Wondershare EdrawMind
MindMap Gallery PentestbxISO2700127701
- 29
- 1
PentestbxISO2700127701
This is a mind map about PentestbxISO2700127701, Main content: PIMS, A5 Organizasyonel Kontroller, A8 Teknolojik Kontroller.
Edited at 2025-01-02 12:12:18
PentestbxISO2700127701
- Recommended to you
- Outline
Pentestbx ISO27001/27701
A5 Organizasyonel Kontroller
5.1. Bilgi güvenliği politikaları
En az yılda bir kez gözden geçiriliyor
Örnekler
BGYS-POL BİLGİ YÖNETİM POLİTİKASI Rev 11 06.11.2024
P01 BİLGİ SİSTEMLERİ GENEL KULLANIM POLİTİKASI
P03 E-POSTA POLİTİKASI
P05 ŞİFRE POLİTİKASI
P04 ANTİVİSRÜS POLİTİKASI
P02 İNTERNET ERİŞİM POLİTİKASI
5.2. Bilgi güvenliği rolleri ve sorumluluklar
Bilgi Güvenliği Yöneticisi
Doküman
GT.11 İŞ TANIMI REV 3 06.11.2024
Sorumluklar
Revizyonları gerçekleştirmek
İhlallere yönelik faaliyetleri takip etmek
Risk Analizlerinin gerçekleştirilmesini sağlamak
Farkındalığı sağlamak
Yetkinlikler
ISO27001 ve ISO27701 eğitimleri almış olmak
Atanan
DURMUŞ ALİ ŞEN atanmış
Atama yazısı tarihi 22.10.2024
Bilgi Güvenliği Sorumlusu
Doküman
GT.12 İŞ TANIMI REV 3 06.11.2024
Atananlar
Semra Görel
Samet Nergiz
Sorumluklar
Bağlı bulundukları departmanlarda BGYS ve KYS çalışmalarının koordinasyonu
Varlık Listelerinin hazırlanması
Varlık ve Kişisel verilere yönelik Risk analizlerini gerçekleştirmek
Aksaklıkları yöneticiye bildirmek
Yetkinlikler
ISO27001 ve ISO27701 eğitimi almış olmak
5.3. Görevlerin ayrılığı
Bilgi Güvenliği Ekibi atama yazısı, Görev Tanımları, BGYS Rolleri ve Sorumlulukları
Şirket içerisindeki görevlendirmelerde Görevlerin ayrılığı ilkesine riayet edilerek görevlendirme yapılmasına dikkat edilmektedir.
5.4. Yönetim sorumlulukları,
GT.04 Yazılım Yöneticisi Rev 3 11.05.2020
Yönetim çalışanların bilgi güvenliği yönetim sistemi politika, prosedür ve talimatlara uyumunu izlemekte ve çalışanları uyum konusunda desteklemektedir. Şitketin tüm pozisyonlarındaki görev tanımlarında BGYS sorumlulukları da yer almaktadır.
5.5. Yetkililerle iletişim
Bilgi teknolojileri İletişim ve Özel İlgi grupları Politikası BGYS de ifade edilmiştir. İlgili otoriteler iletişim için bir plan oluşturulmuştur.
FR. 01. 04 İletişim Tablosu
İletişim Konusu
Sorumlusu
İletişime geçilecek kişi/kurum
İletişim Kanalı
Rev 4 / 24.04.2020
5.6. Özel ilgi grupları ile iletişim
FR. 01. 04 İletişim Tablosu
İletişim Konusu
Kişisel Veri İhlali
Sorumlusu
Veri Sorumlusu
İletişime geçilecek kişi/kurum
Verbis
İletişim Kanalı
Verbis Portali
Rev 4 / 24.04.2020
5.7. Tehdit istihbaratı
Ürün bazlı inceleme yapılıyor.
Ürün: PentestBX
DarkWeb taraması sürekli yapılıyor
25.12.2024 DarkWeb logları
10.12.2024 Son tarama
Kritik bir bulguya rastlanmamıştır
OdinEye
Leakage araması yapılıyor
Son taramada kritik bir bulguya rastlanmamıştır
5.8. Proje yönetiminde bilgi güvenliği
PR.12 Proje yönetim prosedürü Rev 3 / 26.05.2020
01.08.2024 PentestBX SiberGüvenlik Risk tespit ve analiz otomasyonu
PR.14 Denetim ve Değişim Yönetimi Prosedürü Rev 2 / 12.10.2023
Değişiklik Talep Formu
Değişiklik Takip Listesi
Toplam 25 adet kayıt görülmüştür
Projelerde proje türüne bakılmaksızın bilgi varlıklarına erişen taraflarla gizlilik sözleşmesi imzalanmaktadır. Bununla birlikte proje süresince bilgi ve belge paylaşımları mutlaka güvenli kanallardan yapılır ve gerektiğinde de kriptografi uygulanır.
5.9. Bilgi ve diğer ilişkili varlıkların envanteri
PR.07 Risk değerlendirme prosedürü
FR.06.01 Varlık Envanter Listesi
Toplam varlık sayısı 139
PUKİ yazılım paketi ile kayıt altına alınmış
Varlık Kategori
Altyapı
Donanım
Doküman
İnsan
Yazılım
Taşınabilir Bilgisayar
Bina
Bilgi
Departman
Varlık Değeri
GBE değerlendirmesine göre 1-5 aralığındadır
Sınıflandırma
L0-Paylaşıma açık
L1-Dışarıya kapalı
L2-Erişimi kısıtlanmış
Varlık Sahibi
Tüm varlıklar için belirlenmiştir
PR.03 Yönetimin Gözden Geçirme Prosedürü
Varlık Envanteri oluşturulmuş ve YGG gözden geçirilmektedir.
5.10. Bilgilerin ve diğer ilişkili varlıkların kabul edilebilir kullanımı
FR.06.01 Varlık Envanter Listesi
P12 KABUL EDİLEBİLİR KULLANIM POLİTİKASI
BG-TEK Grup Şirketlerinin Gizli olarak belirlediği tüm bilgilerin gizliliğine sıkı bir şekilde uyulacaktır. Şirketin iş gereksinimi dışında bu bilgilerin kopya edilmesi ve iletilmesi yasaktır.
5.11. Varlıkların iadesi
PR05 İK Prosedürü Rev 6 / 06.11.2024
Madde 4.6.5 Zimmet iadelerini belirtmektedir.
5.12. Bilgilerin sınıflandırılması
Sınıflandırma
PR.07 Risk Değerlendir Prosedürü Rev 7 / 28.12.2022
L0-Paylaşıma açık
L1-Dışarıya kapalı
L2-Erişimi kısıtlanmış
5.13. Bilgilerin etiketlenmesi
PR.07 Risk Değerlendirme Prosedürü Rev 7 / 28.12.2022
İyileştirme
L0-Paylaşıma açık
L1-Dışarıya kapalı
L2-Erişimi kısıtlanmış
5.14. Bilgi aktarımı
P16 ÜÇÜNCÜ TARAF GÜVENLİK POLİTİKASI
Denetim ve değişim yönetimi ile imha/elden çıkarma, "F. Bilgi İçeren Ortam, Kuruluşun Fiziksel Sınırları Ötesinde Taşıma" gibi sürecleri tanımlanmıştır. Çift Taraflı Gizlilik Sözleşmesi 3.Taraflar ile gerçekleştirilmiş. Denetim ve değişim yönetiminde "F. Bilgi İçeren Ortam, Kuruluşun Fiziksel Sınırları Ötesinde Taşıma" gibi sürecleri tanımlanmıştır.
5.15. Erişim kontrolü
P11 KİMLİK DOĞRULAMA VE YETKİLENDİRME POLİTİKASI
1. sistemlere, hangi kimlik doğrulama yöntemi ile erişeceği belirlenecektir.
2. Kurum sistemlerine erişmesi gereken firma kullanıcılarına yönelik ilgili profiller ve kimlik doğrulama yöntemleri tanımlanacak.
3. Kurum bünyesinde kullanılan ve merkezi olarak erişilen tüm uygulama yazılımları, paket programlar, veri tabanları, işletim sistemleri ve log-on olarak erişilen tüm sistemler üzerindeki kullanıcı rolleri ve yetkiler belirlenmeli, denetim altında tutulmalıdır.
4. Erişim ve yetki seviyelerinin sürekli olarak güncelliği temin edilmelidir.
5. Kullanıcılar da kurum tarafından kullanımlarına tahsis edilen sistemlerin güvenliğinden sorumludur.
6. Sistemler başarılı ve başarısız erişim logları düzenli olarak tutulmalıdır.
7. Kullanıcılar kendilerine verilen erişim şifrelerini gizlemeli ve kimseyle paylaşmamalıdır.
8. Sistemlere logon olan kullanıcıların yetki aşımına yönelik hareketleri izlenmeli ve kayıt alınmalıdır.
9. Kullanıcı hatalarını izleyebilmek üzere her kullanıcıya kendisine ait bir kullanıcı hesabı açılmalıdır.
5.16. Kimlik yönetimi
GitHub, GitLab, Gmail Kurumsal kullanılmaktadır. Google Authenticator.
5.17. Kimlik doğrulama bilgileri
Google Authenticator
PR.15 Sistem Güvenliği Prosedürü Rev 3 / 15.09.2022
4.1 Fiziksel güvenlik
4.2 Veri tabanı güvenliği
4.3 Sunucu güvenliği
5. Kaynak koda erişim kontrolü
5.18. Erişim hakları
Google Drive PUKI Soft
PR.05 İnsan Kaynakları Prosedürü
Erişim hakları IK süreciyle başlamakta ve bitmektedir.
Ahmet Emin Yalçınkaya - Yazılım Geliştirme - 07.08.2024 İşe Giriş Ağustos 2024
FR.13.01 Erişim ve Kullanım Yetki Tablosu
PR.03 Yönetimi Gözden Geçirme Prosedürü
5.19. Tedarikçi ilişkilerinde bilgi güvenliği)
PR.18 Tedarikçi Seçimi ve Değerlendirilmesi Prosedürü Rev 3 / 10.11.2022
Tedarikçi sözleşmeleri
ULUTEK 01.10.2024
Gizlilik Sözleşmesi de aynı tarihli
DNS 01.11.2024
3. Taraflar ve Tedarikçilere ilişkin sözleşmelerde bilgi güvenliği risklerini ifade eden şartları içermektedir.
FR.18.02 Tedarikçi Denetleme Planı
5.20. Tedarikçi sözleşmelerinde bilgi güvenliğinin ele alınması
5.21. Bilgi ve iletişim teknolojisi (BİT) tedarik zincirinde bilgi güvenliğinin yönetilmesi
PR.18 Tedarikçi Seçimi ve Değerlendirilmesi Prosedürü Rev 3 / 10.11.2022
3. Taraflar ve Tedarikçilere ilişkin sözleşmelerde bilgi güvenliği risklerini ifade eden şartları içermektedir.
5.22. Tedarikçi hizmetlerinin izlenmesi, gözden geçirilmesi ve değişiklik yönetimi
Tedarikçi Seçimi ve Değerlendirilmesi Prosedürüne göre yönetilmektedir ve Kritik süreçler belirlenmiş ve iş sürekliliği talimatına göre uygulanmaktadır.
FR.18.03 Tedarikçi Değerlendirme Formu
Pen DC değerlendirmesi görüldü 09.08.2024
ULUTEK
ULUNET
TİNA BİLİŞİM
DNS 01.11.2024
5.23. Bulut Servisleri Kullanımında bilgi güvenliği
Bulut hizmetler satın alınırken piyasada genel kabul görmüş ürünler seçilmeye çalışır. Alınacak uygulamalar PoC ortamında test edilir.
Pen DC (Cloud hizmeti) değerlendirmesi görüldü 09.08.2024
Bulut sağlayıcısının değişimine yönelik herhangibir yöntem SoA üzerinde belirtilmemiştir.
5.24. Bilgi güvenliği olay yönetimi planlaması ve hazırlanması
OLAY İHLAL BİLDİRİM VE YÖNETİM POLİTİKASI,
PR.16 Olay Yönetimi Prosedürü Rev1 /13.10.2023
FR.16.03 Olah İhlal Takip Çizelgesi Rev 01 / 13.10.2023
Toplamda 33 kayıt görülmüştür. Son kayıt 01.09.2024 tarhinde açılmış ve 09.09.2024 tarihinde takip tamamlanmış. İlgili kayıt formu da görüldü. DÖF açılmış Eylül-24-03.
PR.03 Yönetimin Gözden Geçirme Prosedürü
5.25. Bilgi güvenliği olaylarının değerlendirilmesi ve karara bağlanması
PR.16 Olay Yönetimi Prosedürü Rev1 /13.10.2023
1.2 Araştırma maddesi
Güvenlik olayları 1 - 5 aralığında, Kritik, Yüksek, Orta, Düşük, Sıfır olmak üzere önem derecesi ile sıraya alınır
5.26. Bilgi güvenliği olaylarına yanıt verme
SoA'da refere edilen FR.16.04 Olay İhlal Karar Tutanağı kullanılmamaktadır
5.27. Bilgi güvenliği olaylarından öğrenme
P17 OLAY İHLAL BİLDİRİM VE YÖNETİM POLİTİKASI
5.28. Kanıtların toplanması
P17 OLAY İHLAL BİLDİRİM VE YÖNETİM POLİTİKASI
5.29. Kesinti Sırasında bilgi güvenliği
PR.10 İş Sürekliliği ve Afet Yönetimi Prosedürü 02.02.2015
FR.10.01. İş Sürekliliği Planı
17.03.2020 / Rev 4
5.30. İş sürekliliği için BİT hazırlığı
Tatbikat raporu 29.08.2024 Lisans Sunucusu geridönüş testi - Süre 17d10s Kabul edilebilir seviyededir.
5.31. Yasal, mevzuat, düzenleyici ve sözleşmeye dayalı gereklilikler
FR.01.05. İlgili Taraflar ve Beklentiler 10.09.2020 Rev 01
5651
ttk
vuk
kvkk
tedarikçiler
müşteriler
5.32. Fikri mülkiyet hakları
Kullanıcılar lisansız yazılım yüklememeleri doğrultusunda bilinçlendirilimiş ve P01 BGYS Politikası içerisinde de idari olarak yasaklanmıştır. Lisans alımları için satınalma süreci çalıştırılır. Pro-Aktif bir lisans takibi yapılmamaktadır.
5.33. Kayıtların korunması
PR.01 Doküman ve Kayıt Kontrolü Prosedürü Rev 5 / 06.11.2024
Madde 4.4 Kayıtların saklanması altında süre tanımlanmış
5.34. Kişisel bilgilerin (PII) gizliliği ve korunması
5.35. Bilgi güvenliğinin bağımsız denetimi
PR.11 İç Tetkik Prosedürü Rev 1 / 01.08.2021
ISO27001:2013 kriter olarak alınmış
FR.11.01 İç Tetkik Planı
Erhan Yazan
Fatih Şenel
Halil İbrahim Aslan
Semih Danak
Mustafa Tosyalı
Eğitim Sertifikası 10.02.2018 - DNS
Durmuş Ali Şen
5.36. Bilgi güvenliği politikalarına, kurallarına ve standartlarına uyum
BGYS-POL Bilgi Yönetim Politikalarıı ,
PR.03 Yönetimin Gözden Geçirme Prosedürü,
PR.11 İç Tetkik Prosedürü,
5.37. Yazılı işletim prosedürleri
P04 ANTİVİRÜS POLİTİKASI
P07 SUNUCU GÜVENLİK POLİTİKASI
P08 AĞ YÖNETİMİ POLİTİKASI
P10 UZAK BAĞLANTI POLİTİKASI
PR15 Sistem Güvenliği Prosedürü R3 / 15.09.2022
Yedekleme
Genel Konfigürasyon kuralları
PIMS
8 Veri işleyenler için ek ISO 27002 kılavuz bilgileri
8.1 Genel,
8.2 Toplama ve işleme koşulları,
SZ 05 Müşteri Açık Rıza Beyanı 18.08.2021
BORLEASE OTOMOTIV A.Ş 02.11.2023
SZ 06 Müşteri Aydınlatma Metni 18.08.2021
Finans Ve Muhasebe İşlerinin Yürütülmesi, Lojistik Faaliyetlerinin Yürütülmesi, Faaliyetlerin Mevzuata Uygun Yürütülmesi, Sözleşme Süreçlerinin Yürütülmesi, Fiziksel Mekân Güvenliğinin Temini, Taleplerinizin Değerlendirilmesi, Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi, Yönetim Faaliyetlerinin Yürütülmesi, Hukuk İşlerinin Takibi Ve Yürütülmesi, Organizasyon Ve Etkinlik Yönetimi.
8.3 Veri sahiplerine karşı yükümlülükler,
SZ 06 Müşteri Aydınlatma Metni 18.08.2021
Metin içerisinde sebepler ve kurumun yükümlülükleri, kanuni şartlar belirtilmiştir.
BG-TEK Grup Şirketleri, kullandığı bütün veri işleyenlerle yazılı bir sözleşme düzenlemelidir. Veri işleyenler ister BG-TEK Grup Şirketleri personeli olsun ister tedarikçi olsun muhakkak gizlilik sözleşmesi imzalanmalıdır. Kişisel veri aktarılan 3. Taraflar var ise “Kişisel Veri Aktarımına İlişkin Sözleşme” imzalanmalı ve kayıt altına alınmalıdır.
8.4 Tasarım gereği gizlilik ve varsayılan olarak gizlilik,
P04 BG -TEK KVYS El Kitabı
7.3.2 Açık Rıza Alma ve Saklama Süreci
7.4.5. Kişisel Verilerin Kimlik Gizliliği ve İşleme Sonunda Silinmesi
7.4.1. Toplamayı Sınırlandırma
7.4. Tasarımda Gizlilik ve Varsayılan Olarak Gizlilik
7.4.1. Toplamayı Sınırlandırma,
BG-TEK Grup Şirketleri; verdiği hizmetler için ihtiyacı olan kişisel verileri, bu verilerin işlenme amaçlarını belirlemiş ve dokümante etmiştir. Belirlenen bu amaçlar doğrultusunda toplanacak ve işlenecek olan kişisel veriler, amaçlar doğrultusunda sınırlandırılmıştır. Kişisel verilerin toplanması her zaman kişisel verinin sahibinin onayı/bilgisi dahilinde gerçekleştirilecektir.
7.4.2. İşlemeyi Sınırlandırma,
BG-TEK Grup Şirketleri, toplamış olduğu kişisel verileri; kişisel veri envanterinde belirtilmiş olan işleme amacı, saklama süresi ve hangi tarafların erişebileceği kriterlerine göre asgari düzeyde sınırlandırılmıştır. Bu hususu destekleyecek Bilgi Güvenliği ve Gizliliği Politikası dokümante edilmiş ve yayınlanmıştır.
7.4.3. Doğruluk
BG-TEK Grup Şirketleri, amaçlarına uygun ve asgari düzeyde toplamış olduğu tüm kişisel verilerin doğruluğundan ve güncelliğinden sorumludur. Bu bağlamda, kişisel veri envanteri her yılın ilk ayı olacak şekilde yılda en az 1 kere gözden geçirilir.
7.4.4. Kişisel Verileri En Aza İndirme Hedefleri
BG-TEK Grup Şirketleri olarak, GDPR ve KVKK kanunları gereğince de veri minimizasyonunu bütün süreçlerde uygulamaktayız. Veri minimizasyonunu, süreçlerde işlenen kişisel verilerin sadece amaçlar doğrultusunda kullanılması zorunlu olan kişisel veriler ile sınırlı tutulması ile sağlamaktayız. Hangi süreçte hangi kişisel verilerin ne amaçla kullanıldığı kişisel veri envanterinde belirtilmiştir. Ayrıca kurulun yayınlamış olduğu “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Rehberi” referans alınarak anonim hale çalışmaları verilen eğitimlerle kurum kültürü hale getirilmesi hedeflenmektedir. Bu bağlamda, kişisel veri envanteri yılda en az 2 kere veya süreçlerde değişiklik olduğunda gözden geçirilir.
7.4.5. Kişisel Verilerin Kimlik Gizliliği ve İşleme Sonunda Silinmesi
Kişisel Verilerin Silinmesi Yok Edilmesi ve Anonim Hale Getirilmesi Rehberi
Kişisel veriler; veri işleme amacı ve belirli bir süre boyunca işlenmekte, ömrünün dolması ile 6698 sayılı KVKK kanununun ön gördüğü imha yöntemlerinden uygun olanı ile imha edilmektedir. Verilerin ömrü Kişisel Veri Envanteri üzerinden takip edilip, Veri Saklama ve İmha Prosedüründe belirtildiği gibi İmha Formu’ nun doldurulması ile imhaları gerçekleştirilmektedir.
7.4.6. Geçici Dosyalar
Verilen hizmetler ve yürütülmekte olan süreçlerde kullanılan sistemlerin oluşturmuş olduğu geçici dosyalar, iş süreci tamamlandığında imha talimatına uygun olarak temizlenmektedir.
7.4.7. Saklama
BG-TEK Grup Şirketleri, hizmetleri ve süreçleri için kullanmış olduğu bütün kişisel verileri ve bu verilerin ömürlerini belirlemiş, Kişisel veri envanterinde belirtmiştir. Kişisel veriler sadece hizmetin verildiği, sözleşmenin geçerli olduğu, yasal bir dayanağın geçerli olduğu, meşru menfaate dayandırılabildiği sürece saklanmaktadır. Ömrünü tamamlamış olan kişisel veriler, Veri Saklama ve İmha Prosedürünce imha edilir.
7.4.8. Elden Çıkarma
Veri depolama olanağı sunan USB, CD, Harici HDD gibi varlıkların, kişisel verilerin aktarılması ve yedeklenmesi amacıyla kullanılması şirket politikalarınca yasaklanmıştır. Gerekli olması durumunda, kurum dışarısına çıkarılacak olan taşınabilir ortamlar mutlaka Bilgi Güvenliği Yöneticisi onayı almalıdır.
Aynı zamanda, yaşam döngüsünü tamamlayıp imha edilecek ya da başka bir gerçek kişiye devredilecek her türlü kişisel veri işleyebilen ortamın, transfer öncesinde içerisinde kurtarılabilecek bir kişisel veri bulunmadığından emin olunması Bilgi Güvenliği Yöneticisinin sorumluluğuna bırakılmış ve takibi sağlanmıştır.
7.4.9. Kişisel veri aktarım kontrolleri
Bazı süreçlerin yürütülebilmesi için, kişisel verilerin kurum dışı taraflar ile paylaşılması gerekebilir. 3. Taraflara aktarılması gereken kişisel veriler, aktarım öncesi mutlaka bir dayanağının olduğundan veya açık rızanın alındığından emin olunmaktadır.
Toplanmış ve aktarımı sağlanacak olan kişisel verilerin, aktarım öncesi, aktarım sırasında ve aktarılan tarafta işlendiği süreç boyunca güvenliğinden yine BG-TEK Grup Şirketleri sorumludur. Bu bağlamda mutlaka, aktarılacak olan kişisel verilerin aktarılacağı ortam ve yöntemler, sektörce kabul görmüş ve Bilgi Güvenliği Yöneticisi tarafından da onaylanmış yöntemler olmalıdır. Aktarılan taraf ile gizlilik sözleşmeleri, imzalanmaktadır. Hassas veriler hem saklanırken hem de taşınırken veya iletilirken şifrelenmektedir.
7.5 Kişisel Veri Paylaşımı, Aktarım ve İfşa
7.5.1. Yetki alanları arasında kişisel veri aktarımının temelini belirlenmesi
KVKK gereğince, kişisel verilerin belirli onay mekanizmalarından geçmeden yurt dışına aktarılması veri ihlali olarak ele alınmaktadır. Bu bağlamda, e-posta alt yapısının özellikle yurt dışında olması sebebi gibi genel sebeplerden spesifik nedenlere, bütün yurt dışı aktarımları için gerçek kişilerden açık rıza alınmaktadır. Hangi süreçlerde hangi veri türlerinin yurt dışına aktarılması gerektiği Kişisel Veri Envanteri üzerinden incelenebilir.
7.5.2. Kişisel bilgilerin aktarılabileceği ülkeler ve uluslararası kuruluşlar
BG-TEK Grup Şirketleri olarak bulunduğumuz yetki alanında, yurt dışı veri paylaşımı yapılabilecek ülkelerin listesi KVK Kurulu tarafından henüz yayınlanmadığından dolayı, yurt dışına yapılacak bütün iletişimler, destekleyici açık rıza olmadığı sürece, yasaklanmıştır.
7.5.3. Kişisel verilerin aktarım kayıtları
Kurum dışına çıkarılacak olan kişisel veriler için mail üzerinden BGYS Yöneticisinden izin alınması gerekmektedir. Kurum dışına yapılan kişisel verilerin ya da farklı kaynaklardan toplanan kişisel verilerin hepsi Kişisel Veri Envanteri üzerinde belirtilmektedir.
8.5 Kişisel verileri paylaşma, aktarma ve ifşa etme
7.5.4 Üçüncü şahıslara kişisel veri ifşa (açıklama) kayıtları
Herhangi bir veri ihlali gerçekleşmesi durumunda, 72 saat içerisinde ilgili ihlal bildirilmektedir. Aynı zamanda veri ihlalleri “Veri ihlal formu” üzerinde kayıt altına alınmaktadır. Gerçekleşmiş olan veri ihlalleri “Veri İhlal Listesi” üzerine kayıt altına alınmaktadır.
Kişisel Veri Envanteri
A8 Teknolojik Kontroller
8.1.Kullanıcı uç noktası cihazları
Şifre politikaları uygulanmaktadır. Otomatik güncelleştirmeler aktiftir. Bitlocker ile disk şifrelenmektedir.
P15 Mobil ve Taşınabilir Cihaz Politikası
P01 BİLGİ SİSTEMLERİ GENEL KULLANIM POLİTİKASI
P02 İNTERNET ERİŞİM POLİTİKASI
P03 E-POSTA POLİTİKASI
P04 ANTİVİRÜS POLİTİKASI
Bilgisayarlarda antivirüs uygulaması (MS-Defender) bulunmaktadır.
P05 ŞİFRE POLİTİKASI
P06 FİZİKSEL GÜVENLİK POLİTİKASI
P07 SUNUCU GÜVENLİK POLİTİKASI
P08 AĞ YÖNETİMİ POLİTİKASI
P09 DEĞİŞİM YÖNETİMİ POLİTİKASI
P10 UZAK BAĞLANTI POLİTİKASI
P11 KİMLİK DOĞRULAMA VE YETKİLENDİRME POLİTİKASI
P12 KABUL EDİLEBİLİR KULLANIM POLİTİKASI
P13 TEMİZ MASA TEMİZ EKRAN POLİTİKASI
P14 KRİPTOGRAF
8.2.Ayrıcalıklı erişim hakları,
PR.15 Sistem Güvenliği Prosedürü R3 / 15.09.2022
FR.13.01 Erişim ve Kullanım Yetki Tablosu
Erişim Yetkiler roller bazında tanımlanmış
Gitlab
Openkm
İzleme servisi
8.3.Bilgi erişim kısıtlaması,
8.4.Kaynak koduna erişim,
PR.15 Sistem Güvenliği Prosedürü R3 / 15.09.2022
Madde 5 Kaynak koda erişim
8.5.Güvenli kimlik doğrulama,
P01-->P11 KİMLİK DOĞRULAMA VE YETKİLENDİRME POLİTİKASI
2FA uygulaması
8.6.Kapasite yönetimi,
FR.09.01 Kapasite Ölçüm Kontrol Formu,
Kapasite değerleri anlık olarak "Zabbix" üzerinden takip edilir. Aylık periyorlar ile de değerlendirme yapılarak kontrol formuna işlenir. Kapasite kullanıma yönelik vakalar ise düzeltici önleyici faaliyetler ve risk yönetimi ile takip edilmektedir.
PR.09 Donanım ve Ekipmanı Bakım Prosedürü,
8.7.Kötü amaçlı yazılımlara karşı koruma,
BİLGİ SİSTEMLERİ GENEL KULLANIM POLİTİKASI, ANTİ-VİRÜS POLİTİKASI,MOBİL CİHAZ POLİTİKASI
Kötü niyetli koda karşı koruma gerekli politikalarla sağlanmış virüs yazılımı Defender mevcut.
8.8.Teknik güvenlik açıklarının yönetimi,
SUNUCU GÜVENLİK POLİTİKASI
PR.08 Ölçüm yöntemleri Ve Kontrolleri Prosedürü,
TL.08.01 Bilgi Güvenliği Testleri Uygulama Talimatı
PentestBX yazılımı ile tarama yapılmaktadır. Zafiyet tespit edildiğinde DÖF açılarak takibi yapılmaktadır.
8.9.Konfigürasyon yönetimi,
PR.19.15 Network Cihazları Yönetim Prosedürü
PR.15 Sistem Güvenliği Prosedürü R3 / 15.09.2022
Mevcut servislerin nasıl konfigüre edileceği detaylandırılmıştır
PR.14 Denetim ve Değişim Yönetimi Prosedürü Rev.2 12.10.2023
Bir değişiklik gerektiği zaman bu süreç ile takip edilmektedir. Konfigürasyon uyumundan birim yöneticileri sorumludur. İç tetkiklerde uyum takip edilmektedir.
8.10.Bilgilerin silinmesi,
PR.19.17 İmha Bilgi Silme ve Maskeleme Prosedürü 01.08.2024
1. Bilgi Silme Prosedürleri
3.1 Varlıkların İmhası
3.2 Verilerin Silinmesi Yöntemleri
3.3 Varlıkların ve Verinin Yok Edilmesi Yöntemleri
2.2. Hassas Veri Kategorilerinin Belirlenmesi
8.11.Veri maskeleme,
PR.19.17 İmha Bilgi Silme ve Maskeleme Prosedürü 01.08.2024
2. Veri Maskeleme
2.1. Maskeleme Kurallarının Geliştirilmesi
2.2. Hassas Veri Kategorilerinin Belirlenmesi
2.3. Uygun Maskeleme Tekniklerinin Seçilmesi
8.12.Veri sızıntısı önleme,
İş faaliyetleri gereği USB erişimlerinde kısıtlama yapılamamaktadır. Konu ile ilgili farkındalık yüksek ve riskler ele alınmaktadır.
8.13.Bilgi yedekleme,
FR.15.01 Yedekleme Planı
Günlük yedekler alınmaktadır. Canlı loglar görüldü
8.14.Bilgi işleme tesislerinin yedekliliği,
Lokal'daki sistemler yedekli kurulmuş ve sunucular Cloud ortamında barındırılmaktadır.
8.15.Log yönetimi,
Merkezi Log sunucusu üzerinde barındırılmaktadır. TimeStamp ile koruma altındadır. Yetkilendirme ile yetkisiz erişime karşı koruma sağlamıştır.
8.16.İzleme faaliyetleri,
Zabbix ile sürekli izleme yapılmaktadır
8.17.Saat senkronizasyonu,
Saatler time.ume.tubitak.gov.tr tarafıdan yönetilmektedir ve firmadaki tüm cihazların saatleri server ile aynıdır
8.18.Ayrıcalıklı yardımcı programların kullanımı,
PR.15 Sistem Güvenliği Prosedürü,
Tüm kullanıcılar sahip olunan destek sistemlerine gerekli erişim seviyeleri belirlenmiş talimat ve prosedürler tanımlanmış.
FR.13.01 Erişim ve Kullanım Yetki Tablosu
8.19.Operasyonel sistemlere yazılım kurulumu,
P09 DEĞİŞİM YÖNETİMİ POLİTİKASI,
PR.14 Değişim Yönetimi Prosedürü
Yazılım Yükleme sadece Destek ekibi ve Teknik Servis Yöneticisi tarafından yüklenir.
8.20.Ağ güvenliği,
BİLGİ SİSTEMLERİ GENEL KULLANIM POLİTİKASI,
P08 AĞ YÖNETİMİ POLİTİKASI
802.1x uygulanmaktadır
MAC Filter uygulanmıştır
PR.15 Sistem Güvenliği Prosedürü
8.21.Ağ servislerinin güvenliği,
Bilgi sistemleri genel kullnım politikası, Ağ yönetimi politikası, ağ cihazları güvenlik politikası ve sistem güvenliği ve Ağ Donanım ve Ekipmanı Bakım Prosedürlerine uygun olarak IT tarafından yönetilmektedir.
8.22.Ağların ayrılması,
Misafir bağlatıları Firewall ile yönetilmektedir.Yetki ve Kullanım tablosuyla belirlenmiştir. Yönetim, Destek, Misafir, Coslat Mobile, Yazılım, Teknik Servis VLAN'leri gözlenmiştir.
8.23.Ağ filtreleme,
COSLAT Firewall ile tüm riskli içerikler engellenmektedir.
8.24.Kriptografi kullanımı,
P01--> P14 KRİPTOGRAFİK KONTROLLER POLİTİKASI
8.25.Güvenli geliştirme yaşam döngüsü,
P18 GÜVENLİ YAZILIM GELİŞTİRME POLİTİKASI
PentestBX Siber Güvenlik Risk Tespit ve Analiz Otomasyonu
Siber güvenlik risklerinin belirlenen periyotlar ile otomatik olarak tespit edilmesini ve analizini sağlayan uygulamadır.
PR.12 PROJE YÖNETİMİ PROSEDÜRÜ
4.1 Araştırma Periyodu
4.2 İş Analizi Periyodu
4.2 Sistem Analizi Periyodu
4.3 Tasarım Periyodu
4.4 Geliştirme Periyodu
4.5 Test Periyodu
8.26.Uygulama güvenliği gereksinimleri,
PR.12 PROJE YÖNETİMİ PROSEDÜRÜ
4.2 Sistem Analizi Periyodu
4.3 Tasarım Periyodu
8.27.Güvenli sistem mimarisi ve Mühendislik İlkeleri,
PR.12 PROJE YÖNETİMİ PROSEDÜRÜ
4.2 Sistem Analizi Periyodu
4.3 Tasarım Periyodu
PR.15 Sistem Güvenliği Prosedürü R3 / 15.09.2022
nasıl konfigüre edileceği detaylandırılmıştır
8.28.Güvenli kodlama,
GitLAB taraması üzerine ekip tarafından CodeReview yapılmaktadır
8.29.Geliştirme ve kabul aşamasındaki güvenlik testleri,
PR.12 PROJE YÖNETİMİ PROSEDÜRÜ
4.5.2.Güvenlik testleri
8.30.Dış kaynaklı geliştirme,
3.Taraflar Proje için gerekli olması durumunda tek seferlik oturumlar için FR.12.01 Güven ve Gizlilik Taahhütnamesi formu toplantıya katılan tüm taraflara imzalatılır.
8.31.Geliştirme, test ve canlı ortamlarının ayrılması,
platform.pentestbx.com (Canlı platform)
test.platform.pentestbx.com (Test ortamı)
Github üzerinde de geliştirme ortamı mevcut
8.32.Değişiklik yönetimi,
DEĞİŞİM YÖNETİMİ POLİTİKASI,
PR.14 Değişim Yönetimi Prosedürü
Örnek kayıt: 25 . Windows Bilgisayarlar için AD yönetimine geçilmesi - 15.06.2023
Gitlab versiyonlama ve takip
8.33.Test bilgileri,
Dummy Test verisi oluşturularak testler yapılmaktadır
8.34.Denetim testleri sırasında bilgi sistemlerinin korunması
Önceden duyurular ile yapılmakta olup, rutin işlerin aksaması engellenmektedir.