Kritik Altyapı Güvenliği Politikası

Amaç

Bu politika, kritik altyapı sistemlerinde uygulanması gereken asgari güvenlik önlemlerinin belirlenmesi amacıyla hazırlanmıştır.

Kapsam

Bu politika, bünyesinde bilişim sistemi bulunan (kritik altyapı işleten) Ondokuz Mayıs Üniversitesi'ni kapsamaktadır.

Kritik Altyapı Tanımı

Kritik altyapı; işlediği bilginin gizliliği, bütünlüğü veya erişilebilirliği bozulduğunda, can kaybına, büyük ölçekli ekonomik zarara, ulusal güvenlik açıklarına veya kamu düzeninin bozulmasına yol açabilecek bilişim veya endüstriyel kontrol sistemlerini barındıran sistemlerdir. Kritik altyapılar genel olarak fiziksel varlıklar, insan kaynakları, bilişim sistemi varlıkları olarak üç katmandan oluşur.

Genel İlkeler

1. Kritik altyapıların korunması sırasında kullanılan güvenlik yönetimi yaklaşımı riskleri anlamaya, bu riskleri makul bir maliyete ve kabul edilebilir bir seviyeye çekmeyi hedeflemektedir. Çalışmalarda risk seviyesinin en yüksek olduğu alanlara odaklanılmaktadır.

2. Sürekli ve doğru işletilmesi gereken, kesinti veya hata durumunda üretimin ve dağıtım hizmetinin durmasına, ciddi hatta veya kasıt durumunda işleten ve hizmet alan insanların fiziki zarar görmesine neden olabilecek kritik altyapı şebekelerinde kullanılan dağıtık denetim sistemlerine yönelik elektronik tehditlerin detaylı olarak incelenmesi ve gerekli önlemlerin alınması gereklidir.

3. Kritik altyapı sistemi tasarlanırken veya mevcut bir sistem güncellenirken karşılaşılabilecek elektronik riskler göz önünde bulundurulmalıdır.

4. Kritik altyapılara sahip binaların fiziksel olarak korunması, farklı koruma mekanizmaları ile donatılması temin edilmelidir.

5. Kurumsal bilgi varlıklarının dağılımı ve bulundurulan bilgilerin kritiklik seviyelerine göre binalarda ve çalışma alanlarında farklı güvenlik bölgeleri tanımlanmalı ve erişim izinleri bu doğrultuda belirlenerek gerekli kontrol altyapıları teşkil edilmelidir.

6. Ziyaretçilerin ve yetkisiz personelin güvenli alanlara girişi yetkili personel gözetiminde gerçekleştirilmelidir.

7. Kritik bilgilerin bulunduğu alanlara girişlerin kontrolü akıllı kartlar veya biyometrik sistemler ile yapılmalı ve izlenmelidir.

8. Tanımlanan farklı güvenlik bölgelerine erişim yetkilerinin güncelliği sağlanmalıdır.

9. Personel kimliği ve yetkilerini belirten kartların ve ziyaretçi kartlarının düzenli olarak taşınması sağlanmalıdır.

10. Kritik sistemler özel sistem odalarında tutulmalıdır.

11. Sistem odaları elektrik kesintilerine ve voltaj değişkenliklerine karşı korunmalı, yangın ve benzer felaketlere karşı koruma altına alınmalı ve iklimlendirilmesi sağlanmalıdır.

12. Fotokopi, yazıcı vs. türü cihazlar mesai saatleri dışında kullanıma kapatılmalı, mesai saatleri içerisinde yetkisiz kullanıma karşı koruma altına alınmalıdır.

13. Çalışma alanlarının kullanılmadıkları zamanlarda kilitli ve kontrol altında tutulması temin edilmelidir.

Referanslar

• T.C. Ulaştırma Denizcilik ve Haberleşme Bakanlığı Kritik Bilgi Sistem Altyapıları için Asgari Güvenlik Önlemleri Dokümanı
• BTK Kritik Altyapıların Korunması