Kullanılan Bilgisayar Ağı ve Şifreleme Sistemlerinin Olası Riskleri ve Güvenliği

AĞ YÖNETİMİ POLİTİKASI

Amaç Noor Capital Market Menkul Değerler A.Ş. bilgisayar ağında yer alan bilgilerin ve ağ altyapısının güvenliği, gizlilik, bütünlük ve erişilebilirlik kavramları göz önüne alınarak sağlanmalıdır. Uzaktan erişim hususunda özel önem ve titizlik gösterilmelidir. Yetkisiz erişimle ilgili alınabilecek tüm tedbirler alınmalıdır. Ağın güvenliği ve sürekliliğini sağlamak amacıyla bir takım kontroller gerçekleştirilmelidir. Ağ Yönetimi Politikası bu gereksinimleri karşılayan kuralları belirlemek amacıyla geliştirilmiştir. Kapsam Noor Capital Market Menkul Değerler A.Ş. bilgisayar ağının sistem yöneticisi, BIM elemanları faaliyetlerini Ağ Yönetimi Politikasına uygun şekilde yürütmekle yükümlüdür.

Politika

• Bilgisayar ağlarının ve bağlı sistemlerin iş sürekliliğini sağlamak için özel kontroller uygulanmalıdır.

• Ağ servisleriyle ilgili standartlarda, erişimine izin verilen ağlar ve ağ servisleri ve ilgili yetkilendirme yöntemleri belirtilmelidir.

• Ağ üzerinde kullanıcının erişeceği servisler kısıtlanmalıdır.

• Gerek görülen uygulamalar için, portların belirli uygulama servislerine veya güvenli ağ geçitlerine otomatik olarak bağlanması sağlanmalıdır.

• Kullanıcılarda sınırsız ağ dolaşımı yetkisi engellenmelidir.

• İzin verilen kaynak ve hedef ağlar arası iletişimi aktif olarak kontrol edilmelidir. Teknik önlemler alınmalıdır.

• Ağ erişimi VPN, VLAN gibi ayrı mantıksal alanlar oluşturularak sınırlandırılmalıdır.

• Uzaktan teşhis ve müdahale için kullanılacak portların güvenliği sağlanmalıdır.

• Farklı alt ağlar tanımlanmalıdır.

• Ağ bağlantıları periyodik olarak kontrol edilmelidir.

• Ağ üzerindeki yönlendirme kontrol edilmelidir.

• Bilgisayar ağına bağlı bütün makinelerde kurulum ve konfigürasyon parametreleri Noor Capital Market Menkul Değerler A.Ş. güvenlik politika ve standartlınla uyumlu olmalıdır.

• Sistem tasarım ve geliştirmesi yapılırken Noor Capital Market Menkul Değerler A.Ş. tarafından onaylanmış olan ağ ara yüzü ve protokolleri kullanmalıdır.

• Internet trafiği Erişim ve Kullanımı İzleme Politikası ve ilgili standartlarda anlatıldığı şekilde izlenebilecektir.

• Bilgisayar ağındaki adresler, ağa ait konfigürasyon ve diğer tasarım bilgileri 3. şahıs ve Sistemlerin ulaşamayacağı bir şekilde saklanmalıdır. 5. ŞİFRE POLİTİKASI Amaç Bu politikanın amacı güçlü bir şifreleme oluşturulması, oluşturulan şifrenin korunması ve bu şifrenin değiştirilme sıklığı hakkında standart oluşturmaktır. Kapsam Bu politika, kullanıcı hesabi olan (bilgisayar ağına erişen ve şifre gerektiren kişiler) bütün kullanıcıları kapsamaktadır.

Politika

1-) Genel

  1. Bütün sistem şifreleri en az ayda bir değiştirilmelidir. b) Bütün kullanıcı seviyeli şifreler en az 45 gün de bir değiştirilmelidir. Eğer kullanılan sistem buna müsaade ediyorsa bu değişiklik zorunlu hale getirilmelidir. c) Sistem yöneticisi her sistem için farklı şifreler kullanmalıdır. d) Şifreler e-posta iletilerine veya herhangi bir elektronik forma eklenmemelidir. e) Kullanıcı, şifresini başkası ile paylaşmaması, kâğıtlara ya da elektronik ortamlara yazmaması konusunda bilgilendirilmelidir. f) Şifrelerin ilgili kişiye gönderilmesi "kişiye özel" olarak yapılmalıdır. Ayrıca kullanıcıya şifresi e-posta ile iletilmemelidir. g) Bir kullanıcı adi ve şifresini birim zamanda birden çok bilgisayarda kullanılmamalıdır. h) Bütün kullanıcı ve sistem seviyeli şifrelemeler aşağıdaki ana noktalara uymalıdır. 2-) Ana Noktalar A. Genel Şifre Oluşturma Kuralları Şifreler değişik amaçlar için kullanılmaktadır. Bunlardan bazıları: Kullanıcı şifreleri, web erişim şifreleri, e-posta erişim şifreleri, ekran koruma şifreleri, yönlendirici erişim şifreleri vs.) Bütün kullanıcılar güçlü bir şifre secimi hakkında özen göstermelidir. Güçlü şifreler aşağıdaki karakteristiklere sahiptir. a) Küçük ve büyük karakterlere sahiptir (örnek, a-z, A-Z) b) Hem dijit hem de noktalama karakterleri ve ayrıca harflere sahiptir. (0-9, [email protected]#$%A&*()_+Ir-) c) En az sekiz adet alfa numerik karaktere sahiptir. B. Şifre Koruma Standartları Noor Capital Market Menkul Değerler A.Ş.`de kullanılan Şifreleri Noor Capital Market Menkul Değerler A.Ş. dışında herhangi bir şekilde kullanmayınız. (örnek, internet erişim şifreleri, bankacılık işlemlerinde veya diğer yerlerde).
  2. Noor Capital Market Menkul Değerler A.Ş.`de kullanılan şifreleri herhangi bir kimseyle paylaşmayınız. Bütün şifreler Noor Capital Market Menkul Değerler A.Ş. ait gizli bilgiler olarak düşünülmelidir.
  1. Aşağıdakiler yapılmayacakların listesidir:

• Herhangi bir kişiye telefonda şifre vermek.

• e-posta mesajlarında şifre belirtmek.

• Üst yöneticinize şifreleri söylemek. (Bilgi İşlem Müdürü ve Genel Müdür Hariçtir.)

• Başkaları önünde şifreler hakkında konuşmak.

• Aile isimlerini şifre olarak kullanmak.

• Herhangi form üzerinde şifre belirtmek.

• Şifreleri aile bireyleri ile paylaşmak.

• Şifreleri işten uzakta olduğunuz zamanlarda iş arkadaşlarınıza bildirmek. a) Herhangi bir kimse şifre isteğinde bulunursa bu dokumanı referans göstererek Bilgi işlem birimi yetkilisini aramasını söyleyiniz. b) Uygulamalardaki "Şifre hatırlama" özelliklerini seçmeyiniz. (örnek, Outlook, Internet Explorer vs.) c) Tekrar etmek gerekirse, şifreleri herhangi bir yere yazmayınız ve herhangi bir ortamda elektronik olarak saklamayınız.