AĞ.05 — Uzaktan Erişim Standartları

Ağ Güvenliği IT Standartları · Türkçe

Açıklama

Şirkette kullanıcıların ve sistem yöneticilerinin uzaktan bilgiye ve sistemlere erişimi için geçerli olan minimum güvenlik standartları bu doküman içerisinde tanımlanmıştır.

Standartlar

Uzaktan Erişim Yetkisinin Tanımlanması

  1. Uzaktan erişim yetkisinin atanması; “talep”, “onay” ve “gözden geçirme” adımlarını içeren bir yetkilendirme süreci sonucunda gerçekleşir.
  2. Dış kaynak uzaktan erişimleri, şirket tarafında dış kaynaktan hizmet alan birim yöneticisi onayıyla gerçekleştirilir.
  3. Tüm uzaktan erişim talepleri ve onayları kayıt altında tutulur. Eğer uzaktan erişim için bir donanım kullanılıyorsa (FIDO2 güvenlik anahtarı, donanım OTP cihazı vb.) bu donanımın envanter kayıtları oluşturulur.
  4. Uzaktan erişim yetkisi, asgari yetki prensibiyle yalnızca ihtiyaç duyan sınırlı sayıdaki çalışana ve ihtiyaç duyulan kaynaklara sağlanır.
  5. Erişim yetkisi atanacak kişilerin, erişimden önce bu konudaki güvenlik iyi uygulamalarından haberdar olmaları sağlanır ve erişimden sorumlu olduklarına dair taahhütleri alınır. Erişecek kişinin şirket çalışanı olmaması durumunda alınacak taahhüt, ıslak imzalı matbu doküman formatında olur.
  6. Şirket çalışanı olmayan dış kullanıcılara atanan uzaktan erişim yetkileri zaman kısıtlı olarak verilir ve yetkiler en az ayda bir kez gözden geçirilir. Verilen uzaktan erişim yetkileri süre bitiminde otomatik olarak kapatılır; tekrar erişim gereği varsa talep süreci yeniden işletilir.
  7. Çalışanın işten ayrılması veya dış kaynaklı projenin tamamlanması ile birlikte uzaktan erişim yetkisi kapatılır.
  8. Dış kaynaklı kullanıcılara atanacak uzaktan erişim yetkileri için bir Bilgi Teknolojileri çalışanı sorumlu olarak atanır; yetkilerin gözden geçirilmesi ve kullanımın denetlenmesi sağlanır.
  9. Uzaktan erişim için tanımlanacak tüm kullanıcı hesapları, yetkiler ve şifreler şirket politikalarına uyumlu bir şekilde yönetilir. (Bkz. GÜV.06 Erişim ve Yetkilendirme Standartları)
  10. Uzaktan erişim yetkileri sadece ihtiyaç duyulan uygulamalar ile kısıtlanır.

Uzaktan Erişimin Gerçekleşmesi

  1. Uzaktan erişim, zorunlu olarak çok faktörlü kimlik doğrulama (MFA) sonucunda gerçekleşir. Kullanıcı adı ve parolaya ek olarak TOTP/FIDO2 gibi kimlik doğrulama yöntemlerinden bir veya birkaç tanesi kullanılır; ek kontrol olarak IP kısıtlaması uygulanabilir.
  2. Uzaktan erişim, güvenli bir algoritma kullanan kriptolu bir tünel bağlantısı aracılığıyla gerçekleştirilir.
  3. Tüm uzaktan erişim işlemleri için oturum kayıtları (log) tutulur ve en az 1 yıl saklanır. Bu kayıtlarda;
    • oturum açma (login),
    • oturum kapama (logout),
    • şifre değişikliği,
    • hatalı giriş denemesi,
    • izin verilmeyen sistemlere (VLAN vb.) ve izin verilmeyen yöntemlerle (port vb.) erişim denemeleri saklanır.
  4. Dış kaynak erişimlerinde ek olarak aşağıdaki loglar tutulur:
    • erişilen sistem,
    • yapılan işlemlerin ekran görüntüleri veya sisteme verilen komutlar.
  5. Uzaktan erişim için kullanılan uygulama veya sayfa üzerinde, uyulması gereken temel güvenlik kurallarını açıklayan bilgiler oturum açarken görüntülenir.
  6. Uzaktan erişim üzerinde oturum kontrolü bulunur. Aynı anda bir kullanıcı hesabıyla iki farklı bağlantıya izin verilmez.
  7. 15 dakika inaktif kalan kullanıcı oturumları kapatılır, tekrar kullanıcı adı ve şifre girilmesi istenir.
  8. Uzaktan erişim için kullanılan bilgisayarlarda iz kalması engellenir; bu amaçla çerez ve sayfa önbellek ayarları, kullanıcı oturumunun veya kritik bilgilerin çalınmasını ve taklit edilmesini engelleyecek şekilde yapılandırılır.

Bakım ve Yapılandırma

  1. Uzaktan erişim için oluşturulan altyapılar düzenli olarak sızma testlerine tabi tutulur.
  2. Uzaktan erişim için kullanılan altyapıların yamaları en az 3 ayda bir kez kontrol edilerek önemli güvenlik yamaları acil olarak yüklenir.
  3. Uzaktan erişim altyapısı merkezi olarak yönetilir.
  4. Uzaktan erişimi düzenleyen sistemler üzerindeki admin faaliyetleri, kullanıcı kayıt değişiklikleri ve şifre değiştirme işlemleri loglanır ve en az 1 yıl süreyle saklanır.
  5. Uzaktan erişim için kullanılan cihazların çalınması veya kaybolması durumunda erişimin engellenmesini ve gerekirse cihaz üzerindeki mevcut bilgilerin silinmesini sağlayacak merkezi yönetim araçları kullanılır.
  6. Uzaktan erişim sunucuları yedeklenir ve bu sistemlerin acil durumlarda çalışır durumda olmasını sağlayacak “high availability” ve “replication” yöntemleri kullanılır.

Referanslar

← Tüm IT Standartları