GÜV.06 — Erişim ve Yetkilendirme Standartları
Açıklama
Bu doküman; bilgisayar, uygulama, elektronik dokümanlar ve diğer bilgi teknolojileri sistemlerine mantıksal erişim ve yetkilendirmeye ilişkin asgari gereksinimleri tanımlamaktadır.
Standartlar
Kullanıcı Hesaplarının Yönetimi
- Kullanıcıların sistemlere erişiminde kişisel hesaplar ve şifreler kullanılır. Her kullanıcıya, kişiye özel ve şirkette tek olacak şekilde bir kullanıcı kimliği verilir.
- Kullanıcı hesapları tanımlanırken KBM.03 İsimlendirme Standartlarına uyulur.
- Her kullanıcı hesabı mutlaka bir şifreye sahiptir; kritik sistemlere erişimde ve uzaktan erişimlerde ek olarak çok faktörlü kimlik doğrulama (MFA — TOTP veya FIDO2) uygulanır.
- Rol bazlı erişim sistematiği benimsenir; yetkiler kullanıcı hesabına değil, aynı roldeki tüm kullanıcılara (kullanıcı gruplarına) verilir.
- Yetkiler, minimum yetki prensibine uygun olarak kısıtlı verilir.
- Sistemler üzerindeki roller (kullanıcı grupları) ve erişim hakları bir "Erişim Kontrol Dokümanı" ile kayıt altına alınır.
- Kullanıcı profillerinin farklı BT kaynakları üzerinde sahip olabileceği erişim hakları "Erişim Kontrol Dokümanı" ile kayıt altına alınır.
- Sistemler üzerindeki tüm hesapların ve yetkilerinin, sistem sahibi iş birimleri tarafından en az yılda 1 kez gözden geçirilmesi sağlanır. Bu hesapların "Erişim Kontrol Dokümanı" ile uyumluluğu da incelenir ve istisnaların kayıt altına alınması sağlanır.
- Kullanıcı erişimlerinin ve erişim denemelerinin logları en az 3 ay süreyle kayıt altına alınır ve bu kayıtlar en az ayda 1 kez gözden geçirilir.
- Uzaktan erişim yetkisi, AĞ.05 Uzaktan Erişim Standartlarına uygun olarak verilir.
- Hesapların şifreleri, GÜV.09 Şifre Standartlarına uygun olarak yönetilir.
Yönetimsel ve Ayrıcalıklı Hesapların Yönetimi
- Sistem kurulumunda gelen ya da kullanıcı kılavuzlarında örnek olarak verilen tüm hesaplar silinir.
- Kurulum ile gelen ve kaldırılması mümkün olmayan kök yönetimsel hesaplar yeniden isimlendirilir. Bu tür hesapların kimlik bilgileri tercihen bir Ayrıcalıklı Erişim Yönetimi (PAM) kasasında saklanır ve kullanım sonrasında otomatik olarak yenilenir. PAM çözümü bulunmayan ortamlarda bu hesapların şifrelerinin, parçalı olarak 2 veya daha fazla kişi tarafından oluşturulması sağlanır. Hesap bilgileri ve şifre parçaları, tarih bilgisi ile birlikte bir kâğıda yazılarak zarf içerisine yerleştirilir. Zarf kapatıldıktan sonra, açılmadığından emin olmak üzere kapağı imzalanır. Bu zarf, sadece Bilgi Teknolojileri birimi yöneticisinin açabildiği bir kasa içerisinde saklanır. Hesabın kullanımına ihtiyaç duyulduğunda kasa ve zarf açılır. Böyle bir durumda, aynı yöntem ile yeni bir şifre oluşturulur ve hesap bilgileri zarfına yerleştirilir.
- Yönetimsel ve ayrıcalıklı yetkilere sahip olan hesaplar ve sahipleri; yetki açıklaması ve sahip olma gerekçesi ile birlikte onaylanarak kayıt altına alınır.
- Bir sistem ile ilgili olarak tek bir kullanıcıya yönetsel yetki verilmez; acil durumlardaki riskleri ortadan kaldırmak için en az bir kullanıcı hesabına daha yönetsel yetkiler tanımlanır.
- Sistemler üzerindeki yönetimsel ve ayrıcalıklı hesapların ve yetkilerinin, ilgili iş birimleri tarafından en az 6 ayda 1 kez gözden geçirilmesi sağlanır.
Yetkilendirme Süreci
- Kullanıcının rolü gereği sahip olması gereken hesaplar ve bu hesapların yetkileri tanımlıdır. İşe girişte, kullanıcının rolüne göre önceden tanımlanmış olan hesaplar açılarak gerekli yetkiler verilir.
- Rollere göre sahip olunması gereken hesaplar ve yetkileri en az yılda 1 kez gözden geçirilir.
- Kullanıcının, işe başladığında tanımlanmış hesap ve yetkiler dışında bir hesap ve yetki ihtiyacı olursa, yetki talebinde bulunur ve bu talep sayısal veya matbu olarak kayıt altına alınır.
- Kullanıcı yetki talebi; içeriği ve formatı şirket ihtiyaçlarına göre farklı şekillerde kayıt altına alınabilir, ancak bu kayıt asgari olarak aşağıdaki bilgi ve onayları içerir:
- Talep sahibinin adı soyadı,
- Talep sahibinin kimliğini tanımlayan sicil numarası, TC kimlik numarası vs.,
- Talebi o kişinin yaptığına dair kanıt (matbu ise imza, sayısal ortam ise kimlik doğrulama vs.),
- Talep edilen hesaplar, yetkiler ve nedenleri,
- Talep sahibinin bölüm yöneticisinin onayı,
- Sistem sahibi iş birimi yöneticisinin onayı,
- Talep tarihi,
- Yetki geçerlilik süresi,
- BT bölümünün onayı,
- Talebi gerçekleştirenin adı/soyadı ve kanıt (matbu ise imza, sayısal ortam ise kimlik doğrulama vs.).
- Yetki talepleri matbu formatta kayıt altına alınıyor ise, bu kayıtlar Bilgi Teknolojileri birimince güvenli bir ortamda muhafaza edilir.
- Herhangi bir bilgi teknolojileri kaynağında "hesap açma" ve "yetkilendirme" yapıldığında sayısal olarak iz bırakması sağlanır.
- Hesap açma ve yetkilendirme izleri en az 1 yıl süre ile saklanır.
- Hesap açan ve yetkilendiren kişinin, bu işlem ile ilgili sistem kayıtlarını değiştirmediğinden emin olmak için gerekli kontroller işlettirilir. (Örn. işlem kayıtlarının geri döndürülemez bir özetini alma (hash), logları sistem yöneticisi farklı olan bir ortamda toplama vb.)
İyi Uygulama Örnekleri
- Erişim ve yetkilendirme için sayısal bir Kimlik Yönetimi uygulaması kullanılarak; yetki talebi, hesap yaratılması, yetki atanması, yetki değişikliği ve hesap kapatılması gibi işlemlerin bu uygulama üzerinden daha sistematik ve kontrollü olarak yapılması sağlanabilir.
- Farklı sistemler için ortak bir kimlik doğrulama altyapısı kullanılarak, kullanıcıların tek oturum açma (single sign-on, SSO) ile birden fazla sisteme giriş yapması sağlanabilir; SSO girişleri çok faktörlü kimlik doğrulama (MFA — TOTP veya FIDO2) ile korunmalıdır.
- Log gözden geçirmelerin mümkün olmayacağı büyük erişim logları söz konusu ise, erişim loglarından faydalanılarak aşağıdaki durumlar için alarmlar (e-posta veya SMS) üretilerek sistem yöneticilerinin haberdar olması sağlanır:
- Belirli sayıda ve üst üste başarısız olmuş erişim denemeleri,
- Aynı kullanıcı hesabı ile belirli bir süre içerisinde anormal sayıda başarılı erişimler.
Referanslar
- ISO/IEC 27001:2022 Information security, cybersecurity and privacy protection — Information security management systems — Requirements
- ISO/IEC 27002:2022 Information security, cybersecurity and privacy protection — Information security controls