GÜVENLİ SİSTEM MÜHENDİSLİĞİ POLİTİKASI

1. AMAÇ
Bu politikanın amacı, kurum bünyesinde güvenli sistemler tasarlanmasını ve
işletilmesini garanti altına almak için Güvenli Sistem Mühendisliği
Prensiplerinin tanımlanmasıdır.

2. KAPSAM
Bu politika, kurumsal yönetim çerçevesinin bir parçası olarak tüm
organizasyonda geçerlidir.

3. UYGULAMA

3.1. BT yönetimi ile yazılım / donanım geliştirme süreçlerine ilişkin bir

güvenlik kontrol listesi oluşturulmalıdır.

3.2. Bilgi Güvenliği, sistem / yazılım geliştirme süreçlerinin bir parçası

olarak ele alınmalıdır. Bu çerçevede sürecin girdi / çıktı / işlem adımları
/ yetkinlikler açısından bilgi güvenliği gereksinimleri adreslenmelidir.

Süreç girdileri, çıktıları, işlemleri için gizlilik, bütünlük,

erişilebilirlik şartları değerlendirilmelidir.

3.3. Bilgi güvenliği politikaları tarafında ortaya koyulan fiziksel ve

elektronik çalışma sınırları, ara yüzler açıkça tanımlanmalıdır.

3.4. Riskleri kabul edilebilir bir seviyenin altına düşürmek için alınan
aksiyonların sonuçları düzenli / planlı aralıklarla izlenmeli, sonuçları
değerlendirilmelidir.

3.5. Harici sistemlerin güvenli olmadığı varsayılmalıdır. Harici alan,

kontrolünüz altında olmayan alandır. Genel olarak, dış sistemler güvensiz
kabul edilmelidir. Bir dış etki alanı "güvenilir" olarak kabul edilene
kadar, sistem mühendisleri, sistem mimarları ve BT uzmanları, harici bir
sistemin güvenlik önlemlerinin, güvenilir bir dahili sisteminkinden farklı
olduğunu varsaymalı ve sistem güvenlik özelliklerini buna göre
tasarlamalıdır.

3.6. Bilgi güvenliği amaçlarına / hedeflerine ulaşmak için tanımlanmış

güvenlik ölçümleri uygulanmalı, izlenmeli, sonuçları belirli aralıklarla
değerlendirilmeli ve ilgili taraflara raporlanmalıdır.

3.7. İşlenmekte olan, aktarılan veya saklanan bilgi, sınıflandırma

yapılarına uygun önlemlerle korunmalıdır.

Verilerin yetkisiz olarak değiştirilmesi veya yok edilmesi, verilerin ifşa

edilmesi ve aktarım sırasında verilere erişimin engellenmesi riski,
depolanmakta veya işlenmekte olan verilerle ilişkili risklerle birlikte
dikkate alınmalıdır.

Bu nedenle, sistem mühendisleri, mimarları ve BT uzmanları, bilgiler

işlenirken, aktarılırken ve depolanırken uygulama yazılımları da dahil
olmak üzere verilerin bütünlüğünü, gizliliğini ve erişilebilirliğini
gerektiği şekilde korumak için güvenlik önlemleri uygulamalıdır.

3.10. Olası tüm "saldırı" sınıflarına karşı koruma sağlanmalıdır. Güvenlik

kontrollerini tasarlarken, birden çok "saldırı" sınıfının dikkate alınması
gerekir. Kabul edilemez bir riski içeren "saldırı" sınıflarının azaltılması
gerekir. "Saldırı" sınıflarının örnekleri şunlardır:
 Pasif izleme,
 Aktif ağ saldırıları,
 GÜVENLİ SİSTEM MÜHENDİSLİĞİ POLİTİKASI

 İçeriden kişiler tarafından istismar, fiziksel erişim veya

yakınlık gerektiren saldırılar,
 Yazılım geliştirme ve / veya dağıtım sırasında arka kapılar ve
kötü niyetli kodların eklenmesi.

3.11. Yeni teknolojik uyarlamalara imkân sağlayan bir güncelleştirme planı

uygulanmalıdır.

3.12. Katmanlı bilgi güvenliği uygulanmalıdır. Bilgi güvenliği tasarımları,

belirli bir tehdidi ele almak veya ona karşı korumak ya da güvenlik açığını
azaltmak için katmanlı bir yaklaşımı dikkate almalıdır. Sistemin güvenlik
duruşunu daha da iyileştirmek için iyi şifre kontrolleri ve yeterli
kullanıcı eğitimi verilmelidir.

3.13. Bilgi güvenliği olay ve ihlallerinde hasarı sınırlandıran ve tepki

verme süreçlerinde esnek bir BT sistemi tasarlanmalı ve işletilmelidir.
Herhangi bir potansiyel siber saldırıya etkili bir şekilde karşı
koyulmasını sağlamak için her düzeyde yeterli koruma teknolojilerine olan
ihtiyaç kabul edilmelidir.

Algılama ve yanıt verme yetenekleri oluşturmalı, sistemlerdeki tek hata

noktalarını yönetmeli ve bir raporlama ve yanıt stratejisi uygulamalıdır.

3.14. Geliştirme, test ve operasyon ortamları ayrı sistemler olarak

işletilmelidir.

3.15. Test ve operasyon ortamlarının testlerin başarısı için aynı mimari ve

teknik yapıda olması sağlanmalıdır. Test ortamlarında canlı veriler
bulundurulmamalıdır.

3.16. Ayrıcalıklı haklar en az seviyede uygulanmalıdır.

3.17. Yaygın hata ve açıklıklar tanımlanmalı ve önlemler belirlenmiş olmalı

ve düzenli aralıklarla gözden geçirilmelidir.

3.18. Hesap verebilirliği sağlamak için özel/benzersiz kimlikler

kullanılmalıdır. Görevler ayrılığı ilkesi her yetki durumunda
uygulanmalıdır.