ADALET BAKANLIĞI BİLGİ SİSTEMLERİNİN İNTERNET ÜZERİNDEN GELECEK TEHLİKELERDEN KORUNMASI VE VERİ GÜVENLİĞİNİN SAĞLANMASINDA UYULACAK USUL VE ESASLAR HAKKINDA YÖNETMELİK
ADALET BAKANLIĞI BİLGİ SİSTEMLERİNİN İNTERNET ÜZERİNDEN GELECEK TEHLİKELERDEN KORUNMASI VE VERİ GÜVENLİĞİNİN SAĞLANMASINDA UYULACAK USUL VE ESASLAR HAKKINDA YÖNETMELİK
**Adalet Bakanlığı Bilgi Sistemlerinin İnternet Üzerinden Gelecek Tehlikelerden Korunması Ve Veri Güvenliğinin Sağlanmasında Uyulacak Usul Ve Esaslar Hakkında Yönetmelik Resmi Gazetede yayımlanmamıştır.**
BİRİNCİ BÖLÜM:GENEL ESASLAR
AMAÇ
Madde 1- Bu Yönetmeliğin amacı, Adalet Bakanlığına ait bilgi sistemlerinin internet üzerinden gelecek tehlikelerden korunması ve veri güvenliğinin sağlanması için alınacak güvenlik önlemlerine ilişkin usul ve esasları düzenlemektir.
KAPSAM
Madde 2- Bu Yönetmelik, Güvenlik ürünleri yönetiminden sorumlu olan Bilgi İşlem Dairesi Başkanlığı sistem sorumluları ile Bakanlık tarafından kurulan bilgi işlem sistemini kullanan tüm kullanıcıları kapsar.
KANUNİ DAYANAK
Madde 3- Bu Yönetmelik, 15.05.2001 tarih ve 4674 sayılı Kanun ile 29.3.1984 tarihli ve 2992 sayılı Adalet Bakanlığının Teşkilât ve Görevleri Hakkında Kanun Hükmünde Kararnamenin Değiştirilerek Kabulü Hakkında Kanun'a eklenen 22/A maddesi uyarınca hazırlanmıştır.
TANIMLAR
Madde 4- Bu Yönetmelikte geçen;
a)Kurum: Adalet Bakanlığını,
b)Kullanıcı: İnternet erişimi bulunan sistem kullanıcısını,
c)İnternet: Birçok bilgisayar sistemini birbirine bağlayan dünya çapında yaygın olan ve sürekli büyüyen iletişim ağını,
d)Web tarayıcı (Browser): İnternet sayfalarını görüntülemek için kullanılan programı,
e)Protokol: Bilgisayarların internet üzerinden nasıl iletişim kuracağını belirleyen kurallar setini,
f)İndirme (Download): İnternetten veya herhangi bir uygulamadan yapılan bilgi transferini,
g)Dışarıdan erişim: Ağ kaynaklarına, erişilmek istenen bilgiye fiziksel olarak farklı bir ağda bulunan bilgisayar aracılığı ile erişme sürecini,
h)Güvenlik duvarı (Firewall): Yetkisiz erişimi engellemek amacıyla güvenilir bir ağ ile herkese açık bir ağ arasına yerleştirilen bir yazılım-donanım çözümünü,
i)Modem: Veriyi telefon hatları, kablolar veya mikrodalga gibi transmisyon ortamları üzerinden iletilebilecek duruma getirmek üzere kodlayan aygıtı,
j)Güvenlik ihlali: Bilgi Güvenlik Politika ve talimatlarını ihlal eden veya bununla ters düşen herhangi bir olayı,
k)Yazılım: Bir bilgisayar sisteminde çalışmak üzere tasarlanmış bir uygulamayla ilişkili kod, prosedür ve ilişkili dokümandan oluşan yapıyı,
l)Hassas bilgi: Kurumun isteği dışında açığa çıkması ile, kurum ve ilişkisi olduğu kişi ve kuruluşlara ciddi stratejik ve finansal zararlar verebilecek verileri,
m)Şifreleme: Bilgiyi gizli bir şifre veya anahtar olmadan okunamayacak (deşifre edilemeyecek) bir kod haline getirme işlemini,
n)Virüs: Virüs, herhangi bir bilgisayara değişik yollarla girebilen ve bu bilgisayarlarda istenmeyen sonuç ve zararlara yol açan programları,
o)Dosya: Herhangi bir kayıt ortamında saklanan kayıtlar topluluğunu,
p)Router: Ağlar arasındaki bağlantıları gerçekleştiren cihazları,
ifade eder.
İKİNCİ BÖLÜM:UYGULAMA ESASLARI
GÜVENLİK ÜRÜNLERİ VE YÖNETİMİ
Madde 5- Kurumun internet çıkışı tek bir merkezden sağlanır ve Kurum sunucu ve kullanıcı internet erişim ağını koruyan "Güvenlik Duvarı", ağlar arasındaki veri paketlerini şifrelendirerek yönlendiren "Router", Kurum güvenlik politikası uyarınca kullanıcıların internette gezebilecekleri web sayfalarını filtrelemekte kullanılan "İçerik Denetleme Yazılımı", virüslerden korunmak için kullanılan "Antivirüs Sistemi", kurum sunucularına yönelik saldırıların online olarak izlenebilmesi ve durdurulabilmesi amacıyla kurulan "Saldırı Tespit Sistemi"nin yönetimi Bilgi İşlem Dairesi Başkanlığına aittir.
Bilgi işlem sistemlerinin yönetiminde herhangi bir bilgiye sahip personelin görevden ayrılması veya görev yerinin değiştirilmesi durumunda ilgilinin vakıf olduğu tüm sistem parolaları derhal değiştirilir.
SORUMLULUKLAR VE SINIRLAMALAR
Madde 6- Kurum bilgi sistemlerinde güvenliğin sağlanmasına yönelik güvenlik politikalarının hazırlanması, hazırlanan politikaların uygulanmasının sağlanması, düzenli olarak gözden geçirilerek güncellenmesi, uygulandığının denetlenmesi veya denetlenmesinin sağlanması, Kurum bilgi sistemlerine ilişkin bir güvenlik ihlalinin tespit edilmesi durumunda ise sistem üzerindeki delillerin toplanarak Bakanlığın ilgili birimine sunulması Bilgi İşlem Dairesi Başkanlığının sorumluluğundadır.
Kurum kullanıcıları, Kurum bilgi sistemlerinde güvenliğin sağlanmasına yönelik olarak hazırlanan politikalara ve aşağıda belirtilen temel kurallara uygun davranmaktan sorumludur:
a)Bütün kullanıcılar, mutlaka kendilerine ait "Kullanıcı Adı" ve "Şifre"sini kullanmalıdır. Kurum çalışanının kullanıcı adı ile yapılan işlerdeki tüm sorumluluk kullanıcı adı kullanılan kurum çalışanına ait olacağından hiçbir kullanıcı kendi kullanıcı adı ve şifresini başkaları ile paylaşamaz. Kendisi tarafından kullanılmakta iken, çalışmaya geçici olarak ara verdiği durumlarda da başkası tarafından kullanılmaması için gereken önlemleri alacaktır.
b)Kurum personeli olmayan kişiler (Danışmanlar, hizmet alınan firmaların teknisyenleri, vb.) için hizmet verdikleri birimin yöneticileri tarafından Bilgi İşlem Dairesi Başkanlığına kullanıcı adı ve şifresi tahsis edilmesi için yazılı talepte bulunulmalı ve bu talebe istinaden Bilgi İşlem Dairesi Başkanlığı tarafından verilen kullanıcı adı ve şifresinin kullanılması sağlanmalıdır.
c)Kurum kullanıcıları ile Kurum kullanıcısı olmadığı halde Bilgi İşlem Dairesi Başkanlığınca kendilerine kullanıcı adı ve şifresi tahsis edilmiş olanlar (Danışmanlar, hizmet alınan firmaların teknisyenleri, vb.) dışındakilerin, Kurumun herhangi bir biriminde mevcut bilgisayar veya ağ bağlantı ucunu kullanması yasaktır. Bu tür bir girişime Kurum çalışanlarınca müsaade edilmemesi gerektiği gibi fark edildiği durumlarda da engellenmesi zorunludur.
d)Kurum kullanıcılarının, herhangi bir nedenle görev yerinin, görev veya yetkilerinin veya kurumdaki pozisyonunun değişmesi halinde, yapılan değişiklik görev yaptığı birim amiri tarafından aynı gün içerisinde Bilgi İşlem Dairesi Başkanlığına mail veya yazı ile bildirilmelidir.
e)Masaüstü veya dizüstü bilgisayarlar disket, Cd veya flash-disk gibi harici veri depolama aygıtları kullanılarak başlatılamaz.
f)Bilgi İşlem Dairesi Başkanlığı, Kurum bilgi sistemleri güvenliğini sağlamak amacıyla kullanıcılara tahsis edilen/edilecek masaüstü veya dizüstü bilgisayarlardaki web tarayıcı (browser), güvenlik duvarı (firewall) ve virüs tarama (antivirüs) programlarında özel ayarlar yapacak ve sınırlı bir kullanıcı hesabı (user account) tanımlayacaktır. Bu nedenle söz konusu programların ayarları ve kullanıcı hesabı türü kullanıcılar tarafından kesinlikle değiştirilmemelidir.
g)İnternet erişimi için Kurum ağı kullanılmalıdır. Modem kullanarak telefon hatları vasıtası ile internet bağlantısı kurulması yasaktır. Modem kullanılması, Bilgi İşlem Dairesi Başkanlığının iznine bağlıdır. İzin alındıysa, modem ile internete bağlanılacak bilgisayarın ağ bağlantısı (Kurum bilgi sistemlerine bağlantısı) olmamalıdır.
h)Potansiyel olarak virüs, solucan veya bunlara benzer güvenlik açısından tehlikeli programların bulaşması/bulaştırılması tehlikesi taşıyan bazı internet sitelerine (Örn: yetişkin (adult), kumar, oyun, şifre çözme (crack), hack (saldırı), illegal arama (underground search), sohbet odaları ve yasadışı siteler vb.) girilmemeli, HTTP, SMTP, POP3 dışında kalan servisler (örn: FTP, ICQ, IRC, telnet, messenger vb.) ve bazı uzaktan erişim programları (Dame-Ware, PcAnywhere vb.) kullanılmamalıdır.
i)Göndereni belli olmayan, tanınmayan, tanınıyorsa bile konu kısmında gerekli olmadığı halde yabancı dil kullanılması veya mantıksız ifadeler içermesi nedeniyle şüpheli olan ve ilgili olmadığı düşünülen e-mailler açılmadan, ekli dosyaları ise çalıştırılmadan silinmelidir.
j)Yetkisi olmayan Kurum çalışanları, yönetilen bilgi sistemleri üzerinde hiçbir şekilde güvenlik araştırması yapmaya kalkışmamalı ve güvenlik mekanizmalarını test etme girişiminde bulunmamalıdır. Güvenlik mekanizmalarının bozulmasına neden olabilecek her türlü eylem ve işlem yasaktır.
k)Kullanıcılar, yönetilen bilgi sistemlerindeki davalara, taraflarına veya Kuruma ait hassas bilgileri, iletişim araçları, İnternet vasıtası veya her hangi bir şekilde yayınlayamaz ve açıklayamazlar.
İSTİSNALAR
Madde 7- İnternet üzerindeki erişim hakları veya program kullanımları, Bilgi İşlem Dairesi Başkanlığı tarafından Kurum bilgi sistemlerinde güvenliğin sağlanmasına yönelik olarak hazırlanan politikalar ve bu yönetmeliğin 6.maddesinde sayılan temel kurallar nedeniyle kısıtlanan kullanıcıların, işleri için gerekli ancak güvenlik açısından engellenmiş internet sayfa, servis ve programları kullanabilmeleri, görev yaptıkları birim tarafından talep nedeni ve kullanım süresi de açıkça belirtilerek Bilgi İşlem Dairesi Başkanlığına başvurulması ve bu talebin Bilgi İşlem Dairesi Başkanlığı tarafından yapılacak ihtiyaç/güvenlik değerlendirmesi sonucunda uygun görülmesi şartlarına bağlıdır.
RAPORLAMA VE TEST
Madde 8-
Kullanılan güvenlik ürünlerinin işlerliği, Bilgi İşlem Dairesi Başkanlığı tarafından, düzenli testler ve otomatik izleme/uyarı sistemleri ile takip edilir. Alınan raporların bir kopyası sistem üzerinde güvenlik ihlaline yol açan bir durum ortaya çıktığında delil olarak kullanılmak üzere Bilgi İşlem Dairesi Başkanlığınca saklanmalıdır.
YÜRÜRLÜK
Madde 9- Bu Yönetmelik yayımı tarihinde yürürlüğe girer.
YÜRÜTME
Madde 10- Bu Yönetmelik hükümlerini Adalet Bakanı yürütür.
|