Bilgi Sistemleri Yönetimi-3

Bilgi Sistemleri Kontrollerine İlişkin Esaslar

Kimlik doğrulama

- Bilgi sistemleri üzerinden gerçekleşen işlemler için, risk değerlendirmesi sonucuna uygun kimlik doğrulama yöntemi belirlenir. Yöntem tercih edilirken, bilgi sistemleri üzerinden gerçekleştirilmesi planlanan işlemlerin niteliği, doğurabileceği finansal veya finansal olmayan etkilerinin büyüklüğü, işleme konu verinin, hassasiyeti ve kimlik doğrulama yönteminin kullanım kolaylığı göz önünde bulundurulur.

- Kimlik doğrulama yöntemi, müşterilerin ve personelin bilgi sistemlerine dahil olmalarından, işlemlerini tamamlayıp sistemden ayrılmalarına kadar geçecek tüm süreci kapsayacak şekilde uygulanır. Kimlik doğrulama bilgisinin oturumun başından sonuna kadar doğru olmasını garanti edecek gerekli önlemler alınır. Parola kullanımı gerektiren kimlik doğrulama yöntemlerinde, parolaların tahmin edilmesi ve kırılması zor bir karmaşıklıkta ve uzunlukta olması sağlanır.

- Kullanılan kimlik doğrulama verilerinin tutulduğu ortamların ve bu amaçla kullanılan araçların güvenliğini sağlamaya yönelik gerekli önlemler alınır. Bu önlemler asgari olarak kimlik doğrulama verilerinin şifreli olarak saklanması, bu veriler üzerinde yapılacak her türlü değişikliği algılayacak sistemlerin kurulması, yeterli denetim izlerinin tutulması ve güvenliğinin sağlanması hususlarını içerir. Kimlik doğrulama verilerinin aktarımı sırasında gizliliğinin sağlanmasına yönelik önlemler alınır.

Yetkilendirme

- Bilgi sistemlerine erişim için uygun bir yetkilendirme ve erişim kontrolü tesis edilir. Yetkilendirme düzeyi ve erişim haklarının atanmasında görev ve sorumluluklar göz önünde bulundurularak, gerekli olacak en düşük yetkinin atanması ve en kısıtlı erişim hakkının verilmesi yaklaşımı esas alınır. Atanacak yetkiler ve sorumluluklar görevler ayrılığı ilkesi ile tutarlı olur.

- Tüm yetkiler ve erişim hakları her yıl güncel durumla uyumlulukları açısından değerlendirilmeye tabi tutulur.

- Yetkilendirme verilerinin güvenliği sağlanır ve bu veriler üzerinde yapılacak her türlü değişikliği algılayacak sistemler kurulur. Yetkilendirme verilerinin tutulduğu ortamlara yetkisiz erişim teşebbüsleri kayıt altına alınır ve düzenli olarak gözden geçirilir.

- İstihdamın sonlanması durumunda, ilgili tüm yetkilendirmeler ivedilikle iptal edilir.

İşlemlerin, kayıtların ve verilerin bütünlüğü

- Bilgi sistemleri üzerinden gerçekleşen işlemlerin, kayıtların ve verilerin bütünlüğünün sağlanmasına yönelik gerekli önlemler alınır. Bütünlüğü sağlamaya yönelik önlemler verinin iletimi, işlenmesi ve saklanması aşamalarının tamamını kapsayacak şekilde tesis edilir. Bilgi sistemlerine ilişkin dış kaynak hizmeti alınan kuruluşlar nezdinde gerçekleşen işlemler için de aynı yaklaşım gösterilir.

- Kritik işlemler, kayıtlar ve verilerde meydana gelebilecek bozulmaları saptayacak teknikler kullanılır.

Veri gizliliği

- Bilgi sistemleri faaliyetleri kapsamında gerçekleşen işlemlerin ve bu işlemler kapsamında iletilen, işlenen ve saklanan verilerin gizliliğini sağlayacak önlemler alınır. Gizliliği sağlamak üzere yapılacak çalışmalar asgari olarak aşağıda belirtilen hususları içerir:

a) Bilgi sistemleri yapısı ile iş ve işlem çeşitliliği göz önünde bulundurularak verilerin önem derecesine uygun önlemlerin alınması,

b) Verilere erişim haklarının kişilerin görev ve sorumlulukları çerçevesinde belirlenmesi, erişimlerin kayıt altına alınması, bu kayıtların yetkisiz erişim ve müdahalelere karşı korunması,

c) Veri gizliliğini sağlamada şifreleme tekniklerinin kullanılması durumunda, güvenilirliği ve sağlamlığı ispatlanmış algoritmaların kullanılması; geçerliliğini yitirmiş, çalınmış veya kırılmış şifreleme anahtarlarının kullanılmasının engellenmesi, verinin ve operasyonun önem düzeyine göre anahtarların değiştirilme sıklıklarının belirlenmesi.

- Bilgi sistemleri faaliyetleri kapsamında gerçekleşen işlemlere ilişkin iletilen, işlenen ve saklanan önem derecesi yüksek verilerin kasten veya yanlışlıkla kurum dışına sızmasını önlemeye yönelik olarak gerekli önlemler alınır.