BİLGİ GÜVENLİĞİ VE SİBER GÜVENLİK POLİTİKASI

Son Güncelleme: 10 Temmuz 2021

1-) AMAÇ :

LÜTFÜ YÜKSEL GIDA YAĞ YEM SANAYİ VE TİCARET LİMİTED ŞİRKETİ bünyesinde siber güvenlik kapsamında olan tüm bilgi teknolojilerine ilişkin süreçlerin etkin yönetimi için bu politika hazırlanmıştır.

Bu politika LÜTFÜ YÜKSEL GIDA YAĞ YEM SANAYİ VE TİCARET LİMİTED ŞİRKETİ veri ve teknoloji altyapısını siber saldırılara karşı korumak için güvenlik yönergelerini ve kurallarını özetlemektedir.

2-) KAPSAM VE GEÇERLİLİK :

Bu politika tüm çalışanlarımız, yüklenicilerimiz, sistemlerimize ve donanımımıza kalıcı veya geçici erişimi olan herkesi ve LÜTFÜ YÜKSEL GIDA YAĞ YEM SANAYİ VE TİCARET LİMİTED ŞİRKETİ sistem ve teknoloji alt yapısını kapsamaktadır.

3-) UYGULAMA ŞEKLİ :

3.1 Parola Güvenliği

  1. Şirket içi sistemlerde, teknik olarak mümkünse parola kalitesi kontrol fonksiyonları uygulamaya alınır. Parola kalitesi kurallarını belirleyen minimum kriterleri aşağıdaki gibi uygulanır:
  2. Şifre, kullanıcı adı ile aynı olmamalıdır.
  3. Şifre en az 8 karakter içermelidir ve şifrede rakam, büyük harf, küçük harf, rakam ve özel karakterler kombinasyonlarından en az iki tanesi mutlaka bulunmalıdır.
  4. Aynı şifre değiştirildikten sonra en fazla 90 gün boyunca kullanılabilir.
  5. İlk atanan parola, kullanıcı tarafından değiştirilmeye sistem tarafından zorlanır.
  6. Kullanılmış olan son 4 parola tekrar kullanılmaz.
  7. Kullanıcı tarafından 15 dakika süre içerisinde kullanıcı tarafından işlem yapılmazsa, tekrar parola girilmesi gerekir, oturum kilitlenir.
  8. 6 defadan fazla yanlış parola girilmesi durumunda hesabın çalışması durdurulur.
  9. Hesabın açılması için 30 dakika beklenilmesi gerekir veya sistem admini desteği ile hesabın tekrar çalışması sağlanır.
  10. Üreticilerin varsayılan (default) parolaları sistem ve yazılımların kurulumunu takiben hemen değiştirilir
  11. Kullanıcılardan kişisel parolalarını gizli tutacaklarına ve grup parolalarını de grup dışındakilere duyurmayacaklarına dair imzalı beyan alınır ve bu beyan gerekiyorsa iş sözleşmesi içinde yer alır.
  12. Kullanıcıların kendi parola yönetimini üstlendikleri durumlarda kendilerine başlangıçta geçici parolalar verilir ve derhal değiştirmeleri sağlanır.
  13. Kullanıcılara geçici veya yeni parola verilirken kimlik doğrulaması yapılır ve bunun kuralları tanımlanır.
  14. Geçici parolalar kullanıcılara güvenli bir şekilde verilir, üçüncü partiler aracılığıyla veya elektronik postayla açık metin halinde gönderilmez. Parola tesliminde Teslim-Tesellüm formu kullanılarak şifre kullanıcıya teslim edilir.
  15. Geçici parolalar her bir kullanıcı için farklı tanımlanır ve tahmin edilebilir yapıda olmaz.
  16. Kullanıcılar parolalarını aldıklarını doğrular.
  17. Parolalar kesinlikle korumasız olarak bilgisayar ortamlarında saklanmaz.

3.2 E-posta Güvenliği

  1. Şirkete giren ve şirketten çıkan tüm elektronik postalar e-posta her bir bilgisayarın işletim sisteminde kurulu bulunan anti-virüs ve anti-spam programı ile taranır.
  2. Fishing saldırılarına yönelik tanımlanmış mail adresleri, sistem birimi tarafından manuel olarak tanımlanır ve bu adreslerden gelen mailler otomatik olarak engellenir.

3.3 Taşınabilir Cihaz Güvenliği

  1. USB taşınabilir cihazlar kullanımı kısıtlanır.
  2. Taşınabilir sürücüler sadece gerekli olduğunda kullanılabilir hale getirilir.
  3. Gerekli olduğu durumlarda bilgisayar ortamlarının kurum dışına çıkarılması için yetkilendirme yapılır.

3.4 Sosyal Medya ve İnternet Güvenliği

  1. İnternet erişimine ilişkin son kullanıcı sorumlulukları Bilgi Kullanım Taahhütnamesi ile çalışanlara paylaşılır.
  2. İnternet erişiminde içerik filtreleme sistemi kullanılır.
  3. İnternet erişim verileri kayıt altına alınır.
  4. Zararlı içerik içeren sitelere erişimler kategori bazlı olarak otomatik olarak engellenmesi için URL Filtreleme sistemleri kullanılır.
  5. Veri paylaşımına izin veren sitelere erişimler engellenir.
  6. Sosyal medya erişimleri talep ve onay sürecinden sonra kısıtlı olarak verilir.

3.5 Uzaktan Çalışma Güvenliği

LÜTFÜ YÜKSEL GIDA YAĞ YEM SANAYİ VE TİCARET LİMİTED ŞİRKETİ çalışma koşullarında uzaktan çalışma kullanılmamaktadır.

3.6 Ağ Güvenliği

  1. Bilgisayar ağlarını ve ağa bağlı bilgisayar sistemlerini işleten kişilerin birbirinden farklı olması sağlanır.
  2. Herkese açık şebekeler ve kablosuz ağlar üzerinden geçen verinin gizliliğini, doğruluğunu ve erişilebilirliğini garanti etmek, bağlı bilgisayar sistemleri ve uygulamaları korumak için özel kontroller uygulanır.
  3. Kaydetme ve izleme yöntemleri kullanılarak güvenlik vakaları takip edilir.
  4. Servisleri optimize etmek ve kontrollerin tutarlı olarak bütün bilgi işlem altyapısına uygulandığını garanti etmek için yönetim aktiviteleri koordine edilir.
  5. Ağ servislerinin dış kaynak kullanımıyla sağlandığı durumlarda, servisin güvenli şekilde sunulması için gereklilikler belirlenir ve uygunluk denetlenir.
  6. Ağ servisleri ile ilgili olarak, güvenlik ihtiyaçları, servis seviyesi ve yönetim gereksinimleri tanımlanır. Servis sağlayıcıların bunlara uygun hareket ettiği güvence altına alınır
  7. WPA2/AES kullanılır.
  8. Wireless Erişim noktası sadece misafir ağı için kullanılır. Kablosuz ağ üzerinden yerel ağ’a erişim kısıtlaması uygulanır.
  9. Wireless kullanabilmek için misafirler için TC kimlik numarası; personeller için MAC adresi doğrulaması yapılır

3.7 Sistem Yedeklerin Güvenliği

  1. Gereken bütün bilgilerin yedeklenebileceği, bir arıza veya medya kaybını takiben yazılım veya bilgilere yeniden ulaşılabilecek yedekleme olanakları temin edilir.
  2. Yedekleme gereksinimleri tanımlanır.
  3. Yedek kayıtları doğru ve eksiksiz şekilde tutulur, yedekten yükleme prosedürleri geliştirilir.
  4. Yedekleme kapsamı ve sıklığı, kurumun iş gereksinimleri ve iş sürekliliği için bilginin kritikliğine bağlı olarak belirlenir.
  5. Alınan yedekler, bir felaket anında zarar göremeyecek kadar uzak, ayrı bir yerde saklanır.
  6. Geri yükleme prosedürlerinin düzenli olarak kontrol ve test edilerek geri yüklemenin öngörülen süreler dahilinde tamamlanabileceğinden emin olunur.
  7. Gizliliğin çok önemli olduğu durumlarda yedekler şifrelenerek saklanır.
  8. Yedekleme ortamları düzenli olarak test edilir ve acil durumlarda kullanılması gerektiğinde bir sorunla karşılaşılmayacağı garanti altına alınır.
  9. Yedekleme bilgilerinin tutulduğu yerler, ana merkezde uygulanan standartlara uygun seviyede fiziksel ve çevresel korumaya sahip olur ve ana merkezde uygulanan kontroller yedekleme merkezinde de uygulanır.

3.8 Teknik Açıklıkların Kontrol Esasları

  1. Kurumsal bilgi sistemlerindeki teknik zafiyetler zamanında fark edilerek, olası risklere karşı önlemler alınır.
  2. Teknik açıkların yönetimi için, bilgi varlıkları envanteri eksiksiz ve güncel tutulur, yazılım üreticisinin adı, sürüm numarası, hangi yazılımların hangi sistemler üzerinde kurulu bulunduğu gibi bilgilerle, yazılımın kurum içindeki sorumlusu belirtilir.
  3. Teknik açık yönetimiyle ilgili roller ve sorumluluklar tanımlanır, zafiyet izleme, yol açabileceği riskleri değerlendirme, yama uygulama, varlıkları izleme ve koordinasyon rolleri mutlaka adreslenir.
  4. Teknik açıkları belirlemek ve raporlamak için kullanılacak olanaklar (servisler ve araçlar) kararlaştırılır, bilgi varlığı envanterinde ve bu tür olanaklarda değişiklikler oldukça güncellenir.
  5. Potansiyel teknik açık duyurularıyla ilgili önlemlerin zamanında alınması için planlama yapılır.
  6. Potansiyel bir açık ile ilgili riskler belirlenir, zafiyeti olan sisteme yama uygulanması ve diğer önlemler kararlaştırılır.
  7. Bir güvenlik açığına çözüm getirirken durumun kritikliğine bağlı olarak, değişiklik yönetimi veya vaka yönetimi prosedürlerine uygun önlemler alınır.
  8. Bir yama uygulaması gerektiğinde ilgili riskler değerlendirilir ve buna göre uygulayıp uygulamama konusunda karar verilir.
  9. Yama uygulamamaya karar verildiğinde veya zafiyete karşı yama bulunmadığı durumlarda şu önlemler alınır:
    1. Açığı bulunan servisin durdurulması,
    1. Servise erişimin yeni kontrollerle kısıtlanması,
    1. Olası saldırıların yakından incelenmesi,
    1. Açığın ve muhtemel sonuçlarının kullanıcılara duyurulması.
  10. Teknik açıkların yönetimiyle ilgili prosedür belli aralıklarla gözden geçirilerek etkinliği değerlendirilir.
  11. Teknik açıklar yönetilirken en yüksek risk içeren sistemlere öncelik verilir.
  12. LÜTFÜ YÜKSEL GIDA YAĞ YEM SANAYİ VE TİCARET LİMİTED ŞİRKETİ sistemlerine sızma girişimlerini test edebilmek için gerekli olduğu durumlarda sızma testi hizmet olarak alınır.
  13. Sistem ve uygulamalardaki teknik açıklıkların otomatik yöntemlerle tespit edilebilmesi için gerekli durumlarda zafiyet tarama sistemleri kullanılabilir.

3.9 Erişim Güvenliği

  1. Her iş uygulaması için erişim gereksinimleri ayrı ayrı belirlenir.
  2. Her iş uygulamasıyla ilgili bilgiler ve bu bilgilerin karşı karşıya olduğu riskler belirlenir.
  3. Bilgi dağıtımı ve yetkilendirme için prosedürler hazırlanır, minimum bilgi prensibi, güvenlik seviyeleri, bilgi sınıfları dikkate alınır.
  4. Farklı sistem ve ağlar üzerinde uygulanacak erişim kontrolü ve bilgi sınıflaması politikalarının tutarlı olması sağlanır.
  5. Veri veya sistemlere erişimle ilgili yasaların veya sözleşmelerin zorunlu kıldığı kısıtlamalara uyulur.
  6. Ortak iş tanımları için standart kullanıcı erişim profilleri tanımlanır.
  7. Dağıtık sistem ve şebeke ortamlarında bağlantı tiplerinin tümü için erişim hakları yönetiminin yapılması sağlanır.
  8. Erişim denetimi ile ilgili roller birbirinden ayrıdır. Örneğin, erişim hakkı talebi, erişim yetkilendirmesi ve erişim yönetimi farklı roller tarafından gerçekleştirilir.
  9. Erişim taleplerinin uygulanması için kurallar tanımlanır.
  10. Erişim haklarının periyodik kontrolüyle ilgili gereksinimler belirlenir.
  11. Erişim haklarının kaldırılması ile ilgili kurallar tanımlanır.
  12. Her durumda ve kesinlikle uyulması gereken erişim kurallarıyla koşula ve isteğe bağlı kurallar arasında net bir ayrım yapılır.
  13. Erişim yetkileriyle ilgili kuralları koyarken “Özellikle yasaklanmayan her şey genel olarak serbesttir” ilkesi yerine daha güvenli olan “Özellikle izin verilmeyen her şey genel olarak yasaktır” ilkesine uyulur.
  14. Bilgi işaretlemesinde, kullanıcı takdirinde olan veya bilgisayar sistemi tarafından otomatik olarak yapılan değişiklikler denetlenir.
  15. Kullanıcı yetkilerinde sistem yöneticisi veya bilgisayar sistemleri tarafından otomatik olarak yapılan değişiklikler denetlenir.
  16. Uygulamaya konmadan önce sistem yöneticisinin veya başka bir otoritenin onayını gerektiren ve gerektirmeyen kurallar belirlenir.
  17. İşletim sistemi, veritabanı yönetim sistemi, uygulamalar gibi her sistem bileşeni için erişim ayrıcalıkları tanımlanır ve bu ayrıcalıklara sahip olacak kullanıcılar belirlenir.
  18. Kişilere gerektiği zaman veya bir olay meydana geldiğinde kullanılmak üzere ayrıcalıklar verilir, ayrıcalıklar rollerinin gerekli kıldığı minimum yetkiyi içerecek şekilde düzenlenir.
  19. Ayrıcalıkların ve ilgili yetkilendirme süreçlerinin tanımlandığı kayıtlar tutulur ve yetkilendirme süreci tamamlanmadan ayrıcalıkların kullanılamayacağı güvence altında alınır.
  20. Ayrıcalık atama gereğini ortadan kaldıracak sistem rutinlerinin geliştirilir ve kullanımı teşvik edilir.
  21. Ayrıcalık atama gereğini ortadan kaldıracak programlar geliştirilir ve kullanımı teşvik edilir.
  22. Ayrıcalıklar kullanıcıların normal olarak kullandığı kimliklerden farklı kullanıcı kimliklerine atanır.

3.10 Zararlı Yazılımdan Korunma

  1. Kötü niyetli yazılımlara karşı korunma amacıyla gerçek zamanlı güvenlik önlemleri alınır.
  2. Sunucu ve kullanıcı bilgisayarlarına antivirüs uygulaması kurulur.
  3. Antivirüs yazılımı ile alarmlar sürekli olarak izler gerekli durumlarda müdahale edilir.
  4. Anti-virüs yazılımı otomatik güncellenecek şekilde ayarlanmıştır. Sistem güncelliği alarm mekanizmaları ile sürekli olarak kontrol edilir.
  5. Güvenli internet sitelerinden, anti-virüs üretici firmaları gibi nitelikli kaynaklardan, elektronik posta gruplarından gerçek kötü niyetli yazılımlar, truva atları, virüsler hakkında güncel bilgileri takip eder.
  6. Son kullanıcıların antivirüs yazılımlarını kaldırmaları ve kapatmaları engellenir.
  7. Son kullanıcı bilgisayarlarında zararlı yazılımları engellemek adına bir software firewall bulunmaktadır.
  8. Anti-virüs yazılımı otomatik güncellenecek şekilde ayarlanır.
  9.  Sistem güncelliği alarm mekanizmaları ile sürekli olarak kontrol edilir. Güncelleme ortalama 24 saatlik periyotlarda yapılır

3.11   Kullanıcı Farkındalığı

  1. Çalışanlara internet üzerinden gelebilecek sosyal mühendislik saldıları hakkında farkındalık eğitimleri verilir.
  2. Güncel siber saldırı tehditleri ve yöntemleri ile ilgili olarak çalışanlara bilgilendirmeler yapılır.
  3. Çalışanara genel bilgi güvenliği farkındalığı eğitimleri dönemsel olarak verilir.

3.12 Siber Saldırıların Tespit Edilmesi

  1. İnternet üzerinden gelen siber saldırıların tespit edilmesi ve engellenmesi için IPS sistemleri kullanılır.
  2. Zararlı içerik barındıran web sitelerine erişimler URL Filter sistemleri ile sağlanır.
  3. İçeriden dışarı doğru şüpheli internet trafikleri Firewall sistemleri üzerinden takip edilir ve engellenir
  4. Firewall ve IPS logları düzenli olarak izlenir ve analiz edilerek şüpheli trafikler, aktiviteler engellenir

3.13 Sistemlerin ve Cihazların Güvenliği

  1. Sistemlerin ve cihazları siber saldırılara karşı korumasız bırakmamak için güncel versiyonlar kullanılır.
  2. Sistemlerde yapılacak olan yama ve güncelleme gibi değişikliklerden önce güvenlik ihtiyaçları belirlenir ve risk değerlendirmesi yapılır. Bu risk değerlendirmesi formal bir risk değerlendirimesi değildir. Yamayı sağlayan üretici firmanın risk derecelendirmesi (ör; kritik, orta vs) dikkate alınır.
  3. Sunucu, aktif cihaz, uygulama, veri tabanı sistemlerinin ve diğer sistem bileşenlerine uygulanacak olan yama ve güncellemeler değerlendirilir, öncelik sırasına koyulur ve işlem gerçekleştirilmeden önce olası etkiler gözden geçirilir.
  4. Sistemler üzerinde yapılan değişiklikler 24 saat süreyle özel olarak izlenir. Sonrasında standart sistem izleme sürecine geçilir.
  5. Sistemler üzerinde yapılan kritik değişiklikler birim yöneticisi veya görevlendirdiği bir uzman tarafından kontrol edilir.
  6. Son kullanıcı bilgisayarlarında otomatik güncelleştirme ayarı aktif edilir ve son kullanıcıların değiştirmesine olanak vermeyecek şekilde yapılandırılır.
  7. Güncellemeler PC ler için ayda 2 kez, sunucular için 3 ayda 1 kez gerçekleştirilir.
  8. Acil durum yamaları üretici firmanın risk değerlendirmesine göre kritik güvenlik açıklığına sebep olabilecek yama eksiklikleri rutin süreç işletilmeksizin doğrudan sistemler üzerinde uygulanır.
  9. Sunucular için de acil durum yamaları söz konusu olduğunda değişiklik yönetim süreci işletilmeden yama işlemleri uygulanır, sonrasında değişiklik yönetim süreci işletilir.
  10. Ağ cihazlarında güncelleme 3 ayda 1 gerçekleştirilir.

3.14 Sistemlerin ve Cihazların Güvenli Kullanımı

  1. Kullanıcılara verilerin sistem ve cihazların güvenli kullanım kriterleri personel ile paylaşılır.
  2. Yetkilerin ve verilen sistemlerin yetki dışı kullanımı, kötüye kullanımı disiplin yönetmelikleri ile kısıtlanır.
  3. Kullanıcıların karşılaştıkları siber olayları, süpheli olayları raporlaması için iletişim kanalları oluşturulur.