Bilgi Sistemleri Kontrollerine İlişkin Esaslar
Üst yönetim, bilgi güvenliği politikası kapsamında, bilgi sistemlerinden kaynaklanan güvenlik risklerinin yeterli düzeyde yönetildiğinden emin olmak için, bilgi sistemlerinin ve üzerinde işlenmek, iletilmek, depolanmak üzere bulunan verilerin gizlilik, bütünlük ve erişilebilirliklerini sağlayacak önlemlere ilişkin kontrollerin geliştirilmesini, işletilmesini, güncelliğini sağlar ve gerekli yönetsel sorumlulukları tanımlar.
- Bilgi sistemleri kontrolleri kapsamında asgari olarak aşağıdaki hususlar dikkate alınır:
a) Her kontrol süreci için süreç sahibinin, rollerin, faaliyetlerin ve sorumlulukların açık bir şekilde tanımlanması,
b) Kontrol süreçlerinin periyodik biçimde tanımlanması,
c) Her kontrol sürecinin hedef ve amaçlarının açıkça tanımlanmış olması ve performansının ölçülebilir olması.
- Bilgi sistemleri kontrollerine ilişkin etkinlik, yeterlilik ve uygunluk ile öngörülen risk ya da risklerin etkisini azaltmaya yönelik faaliyetler devamlı bir şekilde takip edilir ve değerlendirilir. Değerlendirme neticesinde tespit edilen önemli kontrol eksiklikleri üst yönetime raporlanır ve gerekli önlemlerin alınması sağlanır.
Varlık yönetimi
- Sahip olunan bilgi varlıkları ve bu varlıkların sorumluları belirlenir, bu varlıkların envanteri oluşturulur ve envanterin güncelliği sağlanır.
- Bilgi varlıkları önem derecelerine göre sınıflandırılır.
- Taşınabilir ortamlar, içerdiği bilgilerin hassasiyet derecesine göre kaybolma veya hırsızlık risklerine karşı korunur ve önem derecesi yüksek bilgileri veya bu bilgilere erişim sağlayan yazılımları barındıran taşınabilir ortamlar yetkilendirme olmaksızın dışarıya çıkarılmaz.
- Depolama ortamları elden çıkarılmadan önce üzerinde kuruluşa ait veri, bilgi ve lisanslı yazılımın bulunmamasına yönelik gerekli önlemler alınır.
- Temiz masa ve temiz ekran ilkeleri benimsenir.
Görevler ayrılığı prensibi
- Bilgi sistemleri üzerinde hata, eksiklik veya kötüye kullanım risklerini azaltmak için görev ve sorumluluk alanları ayrılır. Sistem, veri tabanı ve uygulamaların geliştirilmesinde, test edilmesinde ve işletilmesinde görevler ayrılığı prensibi uygulanır. Görev ve sorumluluklar belirli aralıklarla gözden geçirilir ve güncelliği sağlanır.
- Bilgi sistemleri süreçleri tasarlanırken kritik işlemlerin tek bir personele veya dış kaynak hizmeti sunan kuruluşa bağımlı olmaması göz önünde bulundurulur.
- Görevlerin tam ve uygun şekilde ayrılmasının mümkün olmadığı durumlarda oluşabilecek hata, eksiklik veya kötüye kullanımı önlemeye ve tespit etmeye yönelik telafi edici kontroller tesis edilir.
Fiziksel ve çevresel güvenlik
Fiziksel erişimin yalnızca yetkilendirilmiş kişilerce yapılmasını sağlamak amacıyla, güvenli alanlar gerekli giriş kontrolleriyle korunur.
Güvenli alanlara giriş ve çıkışlar gerekçelendirilir, yetkilendirilir, kaydedilir ve izlenir.
Yangın, sel, deprem, patlama, yağma ve diğer doğal ya da insan kaynaklı felaketlerden kaynaklanan hasara karşı fiziksel koruma tasarlanır ve uygulanır.
Ağ güvenliği
- Ağların tehditlere karşı korunması ve ağları kullanan sistem, veri tabanı ve uygulamaların güvenliğinin sağlanması için kontroller tesis edilir ve etkin bir şekilde yönetilir.
- İletişim altyapıları dinlemeye ve fiziksel hasarlara karşı korunur.
- Mobil cihazların ağ erişimine ilişkin risklere yönelik güvenlik önlemleri alınır ve uygulanır.
- Bilgi sistemleri altyapısına yönelik yetkisiz erişimler engellenir ve gözetim süreçleri tesis edilir.
- Yüksek riskli uygulamaların güvenlik düzeyini artırmak için bağlantı süreleri ile ilgili kısıtlamalar kullanılır.
- İç kaynak yoluyla sağlanan veya dış kaynak kullanımı yoluyla alınan her türlü ağ hizmetinin güvenlik kriterleri, hizmet düzeyleri ve yönetim gereksinimleri tanımlanır ve hizmet anlaşmalarına dahil edilir.
- Uzaktan erişim sağlayan kullanıcıları kontrol etmek için gerekli yetkilendirmeler yapılır. Bu kapsamda belirli konumlardan ve ekipmanlardan gelen bağlantıları yetkilendirmek için otomatik ekipman tanımlaması göz önüne alınır.
- Kurumsal ağ dışındaki ağlarla olan iletişimde, dış ağlardan gelebilecek tehditler için sürekli gözetim altında tutulan güvenlik duvarı çözümleri kullanılır.
- İç ağın farklı güvenlik gereksinimlerine sahip alt bölümleri birbirinden ayrılarak, denetimli geçişi temin eden kontroller tesis edilir.