Ayrıcalık ve Kullanıcı Hakları Yönetimi Politikası

(A.8.2)
Amaç
Kurum kullanıcılarının haklarını ve ayrıcalıklarının yönetimini
tanımlamaktır.

Kapsam
Bilgi işlem olanaklarından yararlanan kullanıcıları, birimleri ve
yüklenicileri kapsar.

Sorumlular
 Ayrıcalık haklarının verilmesi veya kaldırılmasına karar veren
yöneticiler.
 Kullanıcı ve ayrıcalık haklarını yönetmekten sorumlu sistem
yöneticileri.

Uygulama

Ayrıcalık Yönetimi

Ayrıcalıklar, yalnızca yazılım kurulumu, bağlantı süreleri,

yüklenicilerin sunuculara erişim istekleri, yükleniciler tarafından
talep edilen tanı ve yapılandırma portlarına erişim istekleri, sızma
/ dalış, servis durdurma testleri, kurum içi uygulamalara yönelik
özel istekler, kurum kullanıcısı ve misafir / yükleniciler için
internet erişimi ve kullanımı, uzaktan çalışma / erişim, VPN ve
mobil cihaz kullanımı ile konularında uygulanır.

Ayrıcalık Yönetimi: Yöneticiler için;

 Yöneticiler tarafından istenen ayrıcalık talebi bilgi işlem

bölümüne gönderilir. Bilgi İşlem sorumlusunun uygun bulması
halinde, talep yerine getirilir.
 Yöneticinin yöneticilikten ayrılması, süreli ise süre bitiminde
veya kendi isteği halinde ayrıcalık hakkı kaldırılır.

Ayrıcalık Yönetimi: Kurum personeline aitse;

 Personel, ayrıcalık talebini ilgili birim sorumlusu yapar.

 İlgili birim sorumlusunun kabul etmesi halinde, talep bilgi
işlem sorumlusuna eposta ile gönderilir.
 Bilgi işlem sorumlusu talebi değerlendirdikten sonra, uygun
bulursa ayrıcalık hakkını tanımlar.
 Ayrıcalık hakkı, süreli olarak verilir. Sürenin bitiminde
verilen hak, sistem yöneticisi tarafından kaldırılır.

Ayrıcalık Yönetimi: Hizmet sağlayıcılar için;

 Hizmet sağlayıcının ayrıcalık hakkı talebini ilgili birim

sorumlusu, bilgi işlem sorumlusuna eposta ile iletir.
 Ayrıcalık ve Kullanıcı Hakları Yönetimi Politikası

(A.8.2)
 Bilgi işlem sorumlusu uygun bulursa ayrıcalık hakkını tanımlar.
 Ayrıcalık hakkı, süreli olarak verilir. Sürenin bitiminde
verilen hak, sistem yöneticisi tarafından kaldırılır.

Ayrıcalık Yönetimi: Mobil Cihazlar

 Mobil cihaz kullanımı gerektiğinde, ayrıcalık hakkı talebini

ilgili birim sorumlu, bilgi işlem sorumlusuna eposta ile
iletir.
 Bilgi işlem sorumlusu talebi değerlendirdikten sonra, uygun
bulursa ayrıcalık hakkını tanımlar.
 İşin / görevlendirmenin bitmesi ile mobil cihazların sistemlere
olan erişim kaldırılır.

Ayrıcalıklı erişim haklarının tahsisi, erişim kontrolüne ilişkin

aşağıdaki hususlar dikkate alınmalıdır:

 Her bir sistem veya süreç için ayrıcalıklı erişim haklarına

ihtiyaç duyan kullanıcılar belirlenir.
 Kullanıcılara ayrıcalıklı erişim haklarının gerektiği şekilde
ve erişim kontrolüne ilişkin konuya özgü politikaya uygun
olarak olay bazında tahsis edilmesi sağlanır.(yani yalnızca
ayrıcalıklı erişim gerektiren faaliyetleri yürütmek için
gerekli yetkinliğe sahip bireylere erişim ve işlevsel rolleri
için minimum gerekliliğe dayalı kişiler belirlenir.),
 Bir yetkilendirme süreci, ayrıcalıklı erişim haklarını kimin
onaylayabileceği belirlenmiş ve tahsis edilen tüm
ayrıcalıkların kaydı tutulması sağlanmaktadır.
 Kullanıcıların ayrıcalıklı erişim haklarının farkında
olmalarını ve ayrıcalıklı erişim modunda olmalarını sağlayacak
önlemlerin alınır. Muhtemel önlemler arasında belirli kullanıcı
kimliklerinin, kullanıcı arabirimi ayarlarının ve hatta belirli
ekipmanların kullanılması yer alır,
 Ayrıcalıklı erişim haklarının sona ermesi için gereklilikler
tanımlanır ve uygulanır,
 Ayrıcalıklı erişim hakları için kimlik kanıtlama (doğrulama )
gereklilikleri, normal erişim hakları gerekliliklerinden daha
yüksek olabilir. Ayrıcalıklı erişim haklarıyla çalışmadan önce
yeniden kimlik doğrulama veya kimlik kanıtlama adım adım
gerekli olabilir,
 Düzenli olarak ve herhangi bir kurumsal değişiklikten sonra,
görevlerinin, rollerinin, sorumluluklarının ve yetkinliklerinin
onları ayrıcalıklı erişim haklarıyla çalışmaya uygun kılıp
Ayrıcalık ve Kullanıcı Hakları Yönetimi Politikası

(A.8.2)
kılmadığını doğrulamak için ayrıcalıklı erişim haklarıyla
çalışan kullanıcılar gözden geçirilir.
 Sistemlerin yapılandırma yeteneklerine bağlı olarak genel
yönetim kullanıcı kimliklerinin ("root"gibi) kullanılmasını
önlemek için özel kurallar oluşturulmuştur. Bu tür kimliklerin
kimlik doğrulama bilgilerinin yönetilmesi ve korunması
sağlanır.
 Kalıcı olarak ayrıcalıklı erişim hakları vermek yerine,
yalnızca onaylanmış değişiklikleri veya etkinlikleri (örneğin,
bakım faaliyetleri veya bazı kritik değişiklikler için)
uygulamak için gerekli zaman penceresi için geçici ayrıcalıklı
erişim verilmesi. Bu genellikle son çare (cam kırma) prosedürü
olarak adlandırılır ve genellikle ayrıcalıklı erişim yönetimi
teknolojileri tarafından otomatikleştirilir,
 Denetim amacıyla sistemlere yapılan tüm ayrıcalıklı erişimlerin
logları tutulur.
 Ayrıcalıklı erişim haklarına sahip kimlikleri birden fazla
kişiyle paylaşılmaması veya ilişkilendirmemesi sağlanır. her
kişiye ayrı bir kimlik atamak, bu da belirli ayrıcalıklı erişim
haklarının atanmasına imkan tanır. Ayrıcalıklı erişim
haklarının yönetimini basitleştirmek için kimlikler
gruplandırılır. (örneğin, bir yönetici grubu tanımlanarak),
 Ayrıcalıklı erişim haklarına sahip kimliklerin yalnızca idari
görevlerin yerine getirilmesi için kullanılması sağlanır.
Günlük genel görevler için [yani; e-posta kontrolü, web'e
erişim (kullanıcıların bu faaliyetler için ayrı bir normal ağ
kimliği olmalıdır)]