GÜV.01 — Güvenlik Mimarisi

Güvenlik Yönetimi IT Standartları · Türkçe

Açıklama

Bu dokümanın amacı; şirketin bilgi varlıklarının korunması için gerekli minimum gereksinimlerin belirlenmesidir.

Standartlar

Genel Gereksinimler

  1. Mevcut BT altyapı, sistem ve uygulamalarının yeterli güvenlik sınırları içerisinde olduğunu garanti altına almak için yılda en az bir kere düzenli güvenlik taramaları yapılır veya bu konuda uzmanlaşmış üçüncü kişilere yaptırılır. (GÜV.08 – Güvenlik Test ve Taramaları)
  2. Bilgi Teknolojileri ağında mutlaka Güvenlik Duvarı kullanılıyor olmalıdır. Güvenlik ihtiyaçları doğrultusunda internete açık sistemler ve iç ağda segmentasyon sağlamak amacıyla birden fazla Güvenlik Duvarı kullanılır. (AĞ.04 – Güvenlik Duvarı Standartları)
  3. İnternete açık sunucular, güvenlik duvarı arkasında korunaklı bölgede (DMZ) konumlandırılır.
  4. Sistemlere ya da iletişim ağlarına yapılan izinsiz erişimlerin ve saldırıların önüne geçmek amacıyla Atak Tespit ve Önleme Sistemleri konumlandırılır. (AĞ.03 – Atak Önleme Sistemleri Standartları)
  5. E-posta sistemleri üzerinden gelebilecek zararlı yazılım, virüs vb. tehlikelerin önüne geçmek amacıyla Anti Spam yazılımları kullanılır. (MSJ.04 – Antispam Yazılımları)
  6. İnternete erişen kullanıcıları uygunsuz içerik, uygunsuz bilgi ve virüs tehditlerine karşı korumak amacıyla İçerik Filtreleme yazılımları kullanılır. (UNG.02 – URL Filtreleme Standartları)
  7. Son kullanıcı bilgisayarları ve sunucular üzerinde virüs tehlikelerine karşı Anti Virüs yazılımları kullanılır. (UNG.01 – Anti-Virüs Standartları)
  8. Uzaktan erişim güvenliği sağlamak amacıyla Özel Sanal Ağ (VPN) sistemleri kullanılır. (AĞ.05 – Uzaktan Erişim Standartları, AĞ.07 – VPN ile Erişim Standartları)
  9. Kablosuz lokal ağlarda güvenli erişim sağlanması amacıyla, sadece etki alanında yer alan kullanıcıların lokal ağa bağlanmasını sağlayan altyapılar kullanılarak kablosuz ağ güvenliği sağlanır. (AĞ.02 – Kablosuz Ağ Standartları)
  10. Tüm ağlarda 5651 sayılı kanun gereklilikleri kapsamında altyapılar uygulanır. (AĞ.02 – Kablosuz Ağ Standartları, LOG.01 – Log Yönetimi)
  11. Tüm kritik sistemlerin loglarını yönetmek amacıyla Merkezi Log Yönetim Sistemleri kullanılır. (LOG.01 – Log Yönetimi)
  12. Uç nokta güvenliğini sağlamak için merkezi olarak yönetilebilen ve detaylı raporlama yapabilen yazılımlar kullanılır.
  13. Taşınabilir bilgisayarlarda işletim sistemi ve kullanıcı bilgisi dahil tüm disk şifreleme işlemi yapılır.
  14. Taşınabilir ortamların yönetimi ve güvenliği için arabirim kontrolü (USB, Bluetooth, CD/DVD) uygulanır.
  15. Varlık sınıflandırmasına göre hassas olarak sınıflandırılan bilgi/sistemlerde yapılan değişikliklerden, anahtar teşkil eden ve sistemin hassaslığında belirleyici olan bilgide meydana gelen değişiklikler denetim altında tutulur; bilgi/sistem sahibince periyodik olarak gözden geçirilmesi sağlanır.
  16. Değişiminin izlenmesi gereken bilgi; Bilgi Teknolojileri Yöneticisi, İç Denetim Görevlisi (varsa) ve Bilgi/Sistem Sahibi tarafından birlikte tespit edilir. Bu bilgi, söz konusu sistemin yüksek risk ve güvenlik sınıfına girmesine neden olan anahtar bilgidir. (Örneğin; personel maaşları ve banka hesapları, satın alma fiyatları, satış fiyatları, bir malzemenin satın alınmasını etkileyen manuel ihtiyaç kayıtları, malzemelerin kimlerden alınacağını belirleyen kayıtlar vb.)
  17. Bilgi Teknolojileri bölümü, söz konusu sistemin belirlenen bilgide yapılan değişiklikleri otomatik olarak kaydedecek ve bilgi/sistem sahibinin gözden geçireceği düzeni hazırlar veya hazırlatır. Kaydedilen değişiklikler asgari olarak bilginin eski ve yeni içeriğini; ne zaman, hangi kullanıcı tarafından, hangi bilgisayardan yapıldığını belirtmek durumundadır.
  18. Varlık sınıflandırmasına göre hassas olarak sınıflandırılan sistemler başka sistemler ile dosya transferi yoluyla bilgi alıp veriyor ise, transfer edilen bilginin herhangi bir kişi tarafından değişikliğe uğratılmasını engelleyecek önlemler alınır. Transfer edilen dosyalarda asgari olarak "Header" ve "Trailer" kayıtları bulunur; bu kayıtlardaki kontrol bilgileri ile dosyanın bütünlüğü garanti altına alınır. Gereken durumlarda söz konusu dosyalar şifrelenir.
  19. Kaydedilen değişikliklerin, bilgi/sistem sahibince haftalık veya aylık olarak gözden geçirilerek onaylanması sağlanır.
  20. Değişikliklerin bilgi/sistem sahibince gözden geçirilmekte olduğu ispatlanır.

E-Ticaret Sistemleri İçin Ek Gereksinimler

  1. Şirketin e-ticaret sitesi bulunması durumunda, yukarıda belirtilen sistemlere ek olarak internete açık sistemler için YAZ.02 Web Siteleri Standartları içerisindeki gereklilikler yerine getirilir.
  2. DDoS ataklarına karşı DDoS Atak Önleme sistemleri kullanılır.
  3. İnternet uygulamalarının açık portları üzerinden gelecek ataklara karşı Web Uygulama Güvenlik Duvarı (WAF) kullanılır.

İş Ortağı / Üçüncü Taraf Bağlantısı İçin Ek Gereksinimler

İş ortağı / üçüncü taraf uç noktasında ek olarak;

  1. Bağlantı sağlanacak iş ortağının / üçüncü tarafın internetten gelecek tehditlere karşı korunması için güvenlik duvarı kullanılır. Uç noktada kullanılacak güvenlik kutuları, aşağıdaki özelliklere sahip yönetim istasyonları tarafından merkezi olarak yönetilebilir olmalıdır:
    • Antivirüs, Web Filtreleme, AntiSpam çözümleri sunulabilmelidir.
    • Yönettiği cihazlara dair detaylı loglar ve raporlar üretebilmeli ve bu raporlar gerektiğinde kullanıcılara otomatik olarak gönderilebilmelidir.
    • Yönetim sunucusu üzerinde tasarlanacak olan Firewall/VPN/QoS/NAT tanımları otomatik olarak belirli periyotlarla ya da gerektiği anda iletilebilmelidir.
    • Yönetim sunucusu mesh ve star topolojide VPN oluşturabilmeli, sertifika ya da anahtar (key) bazlı kimlik doğrulama kullanabilmeli ve harici yönetilen cihazlarla VPN yapabilmelidir.
    • Yönetim sunucusu, cihazlar üzerindeki Dahili Ağ, DMZ, WLAN ve VLAN ayarlarını yapmaya olanak vermelidir.
    • Yönetim sunucusu, aynı anda birçok cihazın sisteme eklenmesine olanak verecek şekilde çoklu ekleme özelliklerine sahip olmalıdır.
    • Yönetim sunucusu Yedekleme (Backup) ve Yedekten Geri Yükleme (Restore) özelliklerine sahip olmalıdır.
    • Yönetim sunucusu, uç noktalarda statik IP kullanımına gerek olmadan cihazları yönetebilmeli; güvenlik politikalarını yönettiği cihazlara iletebilmek için cihazlar ile iletişimi kendisi başlatmak zorunda olmamalı, güvenlik cihazları kendilerine ait politikaları yönetim sunucusundan ayarlanabilir periyotlarda çekebilmelidir.
    • Cihazlar, güvenlik kurallarının yanı sıra yeni firmware güncellemelerini de yönetim sunucusundan otomatik olarak, her iki tarafta da (cihaz, yönetim sunucusu) manuel bir işleme gerek olmadan çekebilmelidir.
  2. Uç noktada kullanılacak güvenlik cihazları aşağıdaki özelliklere sahip olmalıdır:
    • Kutu (Box) bir çözüm olmalı ve yazılımı üzerinde kurulu olmalıdır. Yazılım, yeni sürüm güncellemelerini internet üzerinden yapabilmelidir. Kutu, bulunduğu yerde lokal müdahale gerektirmeden kendine ait güvenlik politikalarını merkezi yönetim sunucusundan alabilmelidir.
    • Bağımsız bir test ve sertifikasyon kuruluşu tarafından doğrulanmış/sertifikalanmış olmalıdır.
    • Merkezi yönetim sunucusu aracılığı ile AntiVirüs, AntiSpam, URL filtreleme hizmetleri verebilmelidir.
    • Firewall/VPN/QoS/NAT hizmetleri verebilmelidir.
    • DHCP Server/Client, Statik/Dinamik NAT, PAT özelliklerine sahip olmalıdır. Kutu, internete bağlı arayüzün dinamik ve statik IP adreslemesini destekliyor olmalıdır.
    • Hücresel (4G/5G) bağlantı üzerinden yedek WAN hattı sağlayabilmelidir. En az iki WAN bağlantı portuna sahip olmalıdır.
    • LAN portlarında VLAN desteği olmalıdır.
    • Yedek WAN hattının çalışmaması durumunda, kullanılan güvenlik kutusunun hattın olmadığını nasıl fark edeceği anlatılmalıdır.
    • SNMP desteği olmalıdır.
    • Dahili kullanıcı veritabanı ya da RADIUS üzerinden kimlik doğrulama yapabilmelidir.
    • Üzerindeki trafiğe ait logları gerektiğinde yönetim arayüzü ile gösterebilmelidir. Web arayüzü ile yapılan log incelemelerini gerçek zamanlı yapabilmelidir. Saat, gün, tarih, periyot bazında erişim kontrolü yapabilmelidir. Loglarını merkezdeki bir log sunucusuna gönderebilmelidir.
    • Firewall Yazılımı, mimari açıdan IP Paket filtreleme ve Proxy yazılımlarının özelliklerini bünyesinde bulunduran hibrit bir yapıya sahip olmalıdır.
    • 2 (iki) ile 5 (beş)inci katmanlar arasındaki ağ trafiğini izleyebilmelidir.
    • Güvenlik duvarı ağ geçidinin saklanması (Stealth Mode) desteği olmalıdır.
    • Kutunun kullanımı ile ağda hâlihazırda kullanılan uygulama ve sistem yazılımları üzerinde herhangi bir değişiklik yapma gereksinimi olmamalıdır.
    • İnternette kullanılan her servisi desteklemelidir.
    • TCP, UDP, RPC ve ICMP tabanlı protokolleri desteklemelidir.
    • Veri tabanı uygulamaları ile VoIP/görüntülü konferans protokolleri (SIP, H.323) gibi yaygın servisleri destekleyebilmelidir.
    • DoS (Denial of Service) ataklarına karşı koruyabilmelidir. (Örneğin SYN Flooding veya LAND)
    • Gelişkin anti-spoofing özelliği olmalıdır.
    • Firewall yazılımının konfigürasyonu, web üzerinden grafik kullanıcı arayüzü kullanılarak yapılabilmelidir.
    • Site-to-site ve client-to-site VPN desteği olmalıdır. (AES-256 gibi güncel şifreleme algoritmalarını desteklemelidir; DES/3DES gibi eskimiş algoritmalar kullanılmamalıdır.) VPN Server olarak çalışabilmeli ve VPN Client'lar ile uzak bağlantı yapılmasına olanak sağlayabilmelidir.
    • Back-up ISP desteği olmalıdır.
  3. Zararlı yazılımlara karşı koruma sağlayan programlar kullanılır.
  4. İş ortağı / üçüncü taraf erişimlerinde bağlanılan internet servis sağlayıcı şebekesi paylaşımlı, halka açık bir omurga olduğu için şirket ağına yapılacak erişim mutlaka VPN tüneli ile gerçekleştirilmelidir. Sanal Ağ (VPN – Virtual Private Network) ile şifreli erişim sağlanır.
  5. Statik şifre yerine çok faktörlü kimlik doğrulama (MFA) kullanılır; tek seferlik şifre (TOTP), FIDO2 güvenlik anahtarı veya sertifika tabanlı (PKI) kimlik doğrulama tercih edilir.

Şirket tarafında ek olarak;

  1. İş ortağı / üçüncü taraf erişim hakları aylık olarak kontrol edilir, şifreleri değiştirilir.
  2. İş ortağı / üçüncü taraf erişim yetkilendirmesi yapılır. (Yalnızca izin verilen uygulama sunucusuna, izin verilen servisle erişim.)
  3. İş ortağı / üçüncü taraf kullanıcıları LDAP tabanlı sunucularda yaratılır ve uygulamaların kimlik doğrulaması için bu sunucular kullanılır.
  4. Hassas sunuculara erişimde HTTP trafiğinin daha iyi filtrelenmesi için "HTTP (Reverse) Proxy" sunucuları kullanılır.
  5. Hassas bilgi içeren dosya transferleri güvenli protokoller kullanılarak (SFTP, TLS 1.2 ve üzeri sürümlerle HTTPS — tercihen TLS 1.3) gerçekleştirilir.

İyi Uygulama Örnekleri

← Tüm IT Standartları