1. BALIKESİR ÜNİVERSİTESİ
  2. BİLGİ İŞLEM DAİRE BAŞKANLIĞI
Balıkesir Üniversitesi Bilgi Güvenliği Usul ve Esasları

BALIKESİR ÜNİVERSİTESİ

BİLGİ GÜVENLİĞİ USUL VE ESASLARI

 

BİRİNCİ BÖLÜM

Amaç, Kapsam ve Tanımlar

 

Amaç ve kapsam

MADDE 1- Bu Usul ve Esasların amacı; Balıkesir Üniversitesinde bilginin işlenmesi süreçlerinde bilgi güvenliğinin sağlanmasına yönelik alınacak tedbirleri belirtmek; bilginin gizlilik, bütünlük ve erişilebilirliğinin tüm tehditlerden korunması için gerekli bilgi güvenliğini sağlamak amacıyla yürütülecek usul ve esasları kapsar.  

Tanımlar

MADDE 2- Bu Usul ve Esaslarda geçen;

a) Üniversite: Balıkesir Üniversitesini,

b) Senato: Balıkesir Üniversitesi Senatosunu,

c) Rektör: Balıkesir Üniversitesi Rektörünü,

ç) Daire Başkanlığı: Balıkesir Üniversitesi Bilgi İşlem Daire Başkanlığını,

d) Donanım Destek Birimi: Balıkesir Üniversitesi Bilgi İşlem Daire Başkanlığı bünyesinde bulunan birimi,

e) Üniversite İnternet Ağı: Balıkesir Üniversitesinin bilgisayar ağı üzerinde tüm kullanıcı uçlarının adres yapılarını ve bilgi iletişimi kurallarını içeren belirli protokoller ile etkileşimi ve iletişimini sağlayan bir sistemi,

f) Open LDAP: OpenLDAP Yazılımı, Basit Dizin Erişim Protokolünün açık kaynaklı bir uygulamasını,

g) Web Arayüzü: Bir web uygulamasına erişmek, etkileşimde bulunmak ve veri alışverişi yapmak için kullanılan kullanıcı arayüzünü,

ğ) Pasif kullanıcı: Open LDAP’da kişisel şifresi oluşmamış kullanıcıyı,

h) ISO 27001: 2013 Bilgi Güvenliği Yönetim Sistemi: Uluslararası bir standart olan Bilgi Güvenliği Yönetim Sisteminin gerekliliklerini belirleyen ISO (International Organization for Standardization) tarafından yayınlanmış bir standartı,

ı) Antivirüs: Bilgisayar sistemlerini, mobil cihazları ve ağları zararlı yazılımlara (virüsler, casus yazılımlar, solucanlar, truva atları vb.) karşı korumak için kullanılan bir yazılımı,

i) Makro: Kullanıcıların belirli bir dizi işlemi otomatikleştirmesine veya tekrarlayan görevleri kolaylaştırmasına olanak tanıyan bir programlama veya komut dizisini,

j) SPAM: Genellikle istenmeyen ve genellikle reklam amaçlı olan büyük miktarda elektronik ileti veya iletişim materyalini,

k) OBS: Balıkesir Üniversitesindeki öğrenci yönetimine ilişkin süreçleri yönetmek ve takip etmek için kullanılan bilişim sistemini,

l) Üniversite Web Yönetim Portalı: Balıkesir Üniversitesi’nin çeşitli web tabanlı hizmetleri, içerikleri ve yönetim işlemlerini bir arada sağlayan bir çevrimiçi platformu,

m) EBYS: Balıkesir Üniversitesindeki resmi yazışmaların gerçekleştiği Elektronik Belge Yönetim Sistemini,

n) HBYS: Balıkesir Üniversitesi Hastanesinde kullanılan ve hastalara ait sağlık bilgilerini barındıran Hastane Bilgi Yönetim Sistemini,

o) Uzaktan Erişim: Bilgisayar sistemlerine veya ağlara fiziksel olarak erişmeden, uzaktan bir yerden erişim sağlama işlemini,

ö) S VPN (Virtual Private Network-Sanal Özel Ağ): İnternet üzerinde güvenli bir bağlantı oluşturmak için kullanılan teknolojiyi,

p) İşletim Sistemi: Bilgisayar donanımını yöneten ve kullanıcılara yazılım uygulamaları çalıştırmak ve kaynakları yönetmek için ara yüz sağlayan temel yazılım sistemini,

r) Yama (Patch): Yazılımın veya işletim sisteminin hatalarını düzeltmek, güvenlik açıklarını kapatmak veya yeni özellikler eklemek için yayınlanan küçük bir güncellemeyi,

s) Servis: Bilgisayar sistemlerinde, ağlarda veya internet üzerinde sunulan bir hizmet veya işlevi,

ş) Port: Bilgisayar ağlarında ve iletişim protokollerinde belirli bir uygulama veya hizmete yönlendirilen bağlantı noktasını,

ifade eder.

İKİNCİ BÖLÜM

İnternet ve E-Posta Kullanımı ve Uzaktan Erişim

E-Posta kullanımı

MADDE 3- E-posta kullanımında aşağıdaki hususlara uyulur:

a) E-posta adresi talep eden şahıslar, e-posta talep formu doldurup imzalayarak, Dairesi Başkanlığına iletirler.

b) E-posta adresi alan kişi, Daire Başkanlığının belirleyeceği bir e-posta hesap adı ve kendisinin belirleyeceği bir kullanıcı şifresine sahip olur.

c) E-posta şifresini unutan kullanıcılar, Daire Başkanlığına bizzat müracaat etmek zorundadır.

ç) Kullanıcılar, Üniversitenin e-posta hizmetlerinde, e-posta sitesinin geneline zarar verecek veya Üniversiteyi başka şahıs ya da kuruluşlarla adli duruma getirecek herhangi bir yazılım veya materyal bulundurmamalıdır.

d) E-posta hesabı sahipleri, kullanım haklarını, doğrudan ya da dolaylı olarak 3. şahıslara devredemez ve kiralayamazlar.

e) Gönderilen e-postalarda veya ekli öğelerde Üniversiteyle ilgili gizli bilgilere yer verilmez.

f) E-posta hesabı sahibi, mer’i mevzuata göre postalanması yasak, gizli olan bilgileri postalamamayı, barındırmamayı ve gönderilme yetkisi olamayan postaları dağıtmamayı ile bunlara ait yasal yükümlülüğü kabul eder.

g) E-posta hesabı sahibi, genel ahlak ve adaba aykırı, ırkçı, ayrımcı, ticari, siyasi propaganda, taciz ve tehdit edici ile Türkiye Cumhuriyeti yasalarına, vatandaşı olduğu diğer ülkelerin yasalarına ve uluslararası anlaşmalara aykırı e-posta göndermemeyi, barındırmamayı ve bunlara aykırı her türlü uygulamalardan doğacak cezai ve hukuki sorumluluğun şahsına ait olduğunu kabul eder.

ğ) E-posta hesabı sahibi, posta hesaplarındaki verilerinin, yetkisiz kişilerce görülmesinden ve okunmasından (e-posta sahiplerinin, gizli bilgilerini başka kişiler ile paylaşması, siteden ayrılırken çıkış yapmaması, vb. durumlardan) dolayı gelebilecek maddi ve manevi zararlardan ötürü Daire Başkanlığının sorumlu olmadığını kabul eder.

h) E-posta servisinin kullanımı sırasında kaybolacak ve/veya eksik alınacak, yanlış adrese iletilecek bilgi, mesaj ve dosyalardan Daire Başkanlığının sorumlu olmayacağını kabul eder.

ı) E-posta hesabı sahibi, e-posta kullanıcı adıyla yapacağı her türlü işlemden bizzat kendisinin sorumlu olduğunu kabul eder.

i) E-posta hesabı sahibinin, e-posta hesabını 3 ay süre ile kullanmadığı takdirde e-posta hesabı askıya alınır, Üniversiteden ayrılması (emeklilik, tayin, istifa, vb.) durumunda 30 gün içerisinde e-posta hesabı kapatılır.

İnternet erişimi ve kullanımı

MADDE 4- İnternet erişimi ve kullanımında aşağıdaki hususlara uyulur:

a) Üniversite İnternet ağına Üniversite öğrenci ve çalışanları ile gerekli durumlarda misafir kullanıcılar, kimlik doğrulama sistemi ile dahil olmaktadır.

b) Kimlik doğrulama için Open LDAP kullanılmaktadır. Open LDAP yetkilendirme sistemi üzerinde kullanıcıların şifre alma, değiştirme gibi işlemleri yapabilmelerini sağlayan web arayüzü bulunur.

c) Öğrenciler her dönem başında sisteme otomatik olarak pasif kullanıcı olarak eklenir, daha sonra her bir öğrenci web arayüzü aracılığı ile kendine özel olarak üretilen şifresini alır ve İnternet ağına dahil olur.

ç) Kullanıcılar, kullanıcı bilgilerinin güvenliğini sağlamalı ve kimseyle bu bilgileri paylaşmamalıdır.

d) Çalışanlar göreve başlama sonrasında birimlerinden gelen resmi yazı üzerine Daire Başkanlığı çalışanları tarafından internet ağına pasif kullanıcı olarak eklenir ve çalışan web arayüzünü kullanarak kendine ait şifreyi oluşturur.

e) Kullanıcılar internet erişimi ile ilgili bir sorunla karşılaştığında resmi iletişim kanallarını kullanarak Daire Başkanlığı çalışanlarına ulaşır ve sorunu giderme yoluna gider.

f) İnternet erişimi yetkisi verilen kullanıcılar bu yetkilerini yasal mevzuat ve BAÜ Bilişim Kaynakları Kullanım Politikası çerçevesinde kullanmalıdır. İnternet erişiminin usulsüz kullanılması durumunda erişim yetkisi sonlandırılabilir.

g) Kurumdan ayrılan personelin internet kullanıcı hesabı kapatılır.

Antivirüs

MADDE 5- Antivirüs kullanımında aşağıdaki hususlara uyulur:

a) Antivirüs kullanımı ile ilgili ISO 27001: 2013 Bilgi Güvenliği Yönetim Sistemi kapsamında hazırlanan PL-04 Antivirüs politikası esas alınır. Bu politikanın amacı kullanılan elektronik bilgi araçlarının içeriden veya dışarıdan gelebilecek virüs saldırılarına karşı korunmasını sağlamak için kuralları belirlemektir.

b) Bilgisayar kullanan tüm kullanıcılar bu politikanın uygulanmasından sorumludur.

c) Üniversiteye ait bilgisayarlar, lisanslı antivirüs yazılımı ile koruma altına alınmaktadır.

ç) Antivirüs yazılımının tüm güncel imzaları otomatik olarak kullanıcı bilgisayarlarında güncellenmektedir.

d) Gerektiği takdirde virüs bulaşan riskli makineler tam olarak temizleninceye kadar ağdan çıkarılmaktadır.

e) Bilinmeyen kişilerden e-posta ile birlikte gelen dosya ve makrolar kesinlikle açılmamalıdır. Bu ekli dosyalar kalıcı olarak silinmelidir.

f) İnternet üzerinden kaynağı belli olmayan web sitesinden yazılım yüklemesi yapılmamalıdır.

g) Tüm e-posta sunucularında antivirüs koruma yazılımı yüklüdür. Tüm e-posta ve ekleri antivirüs taramasından otomatik olarak geçmektedir.

ğ) Bilgisayarlarda kullanılan tüm taşınabilir medya ortamları (disket sürücü, Flash ROM, CD-ROM vs.) kullanılmadan önce virüs taramasına tabi tutulmalıdır.

h) Zararlı yazılımları (solucan, truva atı vs.) kuruluş bünyesinde oluşturmak ve dağıtmak yasaktır.

ı) Hiçbir kullanıcı antivirüs ve/veya SPAM koruma yazılımlarını devre dışı bırakamaz veya kaldıramaz.

Şifre kullanımı

MADDE 6- Şifre kullanımında aşağıdaki hususlara uyulur:

a) Şifre kullanımı ile ilgili ISO 27001: 2013 Bilgi Güvenliği Yönetim Sistemi kapsamında hazırlanan PL-03 Şifre güvenliği politikası esas alınmaktadır. Politikanın amacı Bilgi sistemlerinin korunması için güçlü bir şifreleme oluşturulması, oluşturulan şifrelerin korunması ile ilgili kuralları tanımlamaktır.

b) Bu Politika kurumda bilgi sistemlerine erişimlerde kullanılan tüm parolaları kapsar ve uygulanmasından bilgi sistemlerine erişimi olan tüm kullanıcılar ve geçici erişim hakkı verilen üçüncü taraf çalışanlar sorumludur.

c) Sunucularda kullanılacak şifrelerin en az bir büyük harf, bir küçük harf, bir rakam ve özel karakter bulunduracak şekilde en az 8 karakterden oluşması gerekmektedir. Parolalar diğer kişilerce tahmin edilebilir nitelikte olmamalıdır.

ç) E-posta ve Bilimsel Araştırma Projeleri otomasyonunda kullanılacak şifreler en az 8 karakterden oluşmaktadır. Sistem tarafından verilen ilk parola daha sonra kullanıcılar tarafından web ara yüzünden değiştirilebilir.

d) OBS, EBYS, Üniversite Web Yönetim Portalı ve HBYS’de kullanılacak şifreler en az 8 karakterden oluşmalıdır. Parolalarda, en az bir büyük harf, bir küçük harf, bir rakam ve özel karakter bulunmalıdır. Parolalar diğer kişilerce tahmin edilebilir nitelikte olmamalıdır.

 

Uzaktan erişim

MADDE 7- Uzaktan erişimde aşağıdaki hususlara uyulur:

a) Üniversite ağının dışından Üniversite ağına bağlanmak için kullanıcıların Daire Başkanlığı tarafından yetkilendirilmiş olması gerekmektedir.

b) Uzaktan erişim yetkisi verilen kullanıcılara görevlerini yerine getirebilmek için ihtiyaç duydukları kaynaklara erişebilecek şekilde sınırlı bir erişim yetkisi verilir.

c) Uzaktan erişim yetkisi verilen kullanıcılar bu yetkilerini BAÜ Bilişim Kaynakları Kullanım Politikası çerçevesinde kullanmalıdır. Erişim yetkisinin usulsüz kullanılması durumunda erişim yetkisi sonlandırılabilir. BAÜ Bilişim Kaynakları Kullanım Politikasında usulsüz kullanım şekilleri açıklanmıştır.

ç) Uzaktan erişim için Üniversite tarafından sağlanan VPN uygulaması kullanılmaktadır.

d) Uzaktan erişim hizmetinden faydalanan her kullanıcı, kurum tarafından kendisine tahsis edilen kaynakların kullanımından, güvenliğinden ve bu kaynakların bilinçli veya bilinçsiz olarak üçüncü kişilere kullandırılması durumunda ortaya çıkabilecek yasaklanmış faaliyetlerden birinci derecede sorumludur.

e) Uzaktan erişim yetkisi verilen kullanıcılar, kullanıcı bilgilerinin güvenliğini sağlamalı ve kimseyle bu bilgileri paylaşmamalıdır.

f) Uzaktan erişim yetkisi verilen kullanıcıların uzaktan erişim yaparken kullandıkları cihazın işletim sistemi güvenlik güncelleştirmelerinin yapılmış olması, antivirüs programının kurulu ve güncel olması gerekmektedir. Bu konuda güvenlik zafiyeti oluşması durumunda kullanıcının erişim yetkisi gerekli tedbirler alınıncaya kadar askıya alınabilir.

g) Uzaktan erişim sağlayan kullanıcı Üniversiteden ayrıldığında ya da uzaktan erişim sağlamasını gerektiren durum ortadan kalktığında uzaktan erişim yetkisi sonlandırılmaktadır.

 

Sunucu güvenliği

MADDE 8- Sunucu güvenliğinin sağlanmasında aşağıdaki hususlara uyulur:

a) Sunucu güvenliği ile ilgili ISO 27001: 2013 Bilgi Güvenliği Yönetim Sistemi kapsamında hazırlanan PL-10 Sunucu Güvenliği Politikası esas alınmaktadır. Bu politikanın amacı; Daire Başkanlığında yer alan sunucuların güvenliğinin sağlanması için gerekli minimum güvenlik koşullarını sağlamak için kuralları tanımlamaktır.

b) Sunucular, fiziksel olarak güvenli ortamlarda tutulmaktadır.

c) Sunuculara ait tüm konfigürasyon bilgileri belgelenmiştir.

ç) Her sunucunun, konfigürasyon, işletim sistemi versiyonu, yüklü yama listesi, yedekleme ve geri yükleme prosedürleri belgelenmiş ve günceldir.

d) Sunuculara, kullanım amacına yönelik olarak işletim sistemi ve diğer yazılımlar kurulmaktadır.

e) Sunucu üzerinde kullanılmayan servisler ve portlar kapatılmaktadır.

f) Sunucu üzerinde çalışan işletim sistemlerinin, sistem yazılımlarının ve güvenlik amaçlı yazılımların sürekli güncellenmesi sağlanmalıdır. Mümkünse yama ve antivirüs güncellemeleri otomatik olarak yazılımlar tarafından yapılmalı, ancak değişiklik yönetimi kuralları çerçevesinde bir onay ve test mekanizmasından geçirildikten sonra uygulanmalıdır.

g) Kritik ve önemli sunucular için aynı özellikte yedekleri tutulmalı, bir acil durum yaşanması durumunda bu yedek sunucu hemen devreye alınmalıdır. Mümkünse yedek sunucu, asıl sunucunun devre dışı kaldığını otomatik olarak anlayarak anında onun yerine geçebilmelidir.

ğ) Sunucu logları düzenli aralıklarla denetim ve izlemeye tabi tutulmalıdır.

h) Üzerinde çalıştığı uygulamaların başarısı kanıtlandıktan sonra, tüm sunucu güvenlik yamaları yüklenmelidir.

ı) Sunucuların uzaktan yönetimi gerekiyor ise; yönetim konsolu ve sunucu arasındaki haberleşme güvenli kanal ve tekniklerle gerçekleştirilmelidir.

 

Donanım kullanımı

MADDE 9- Donanım kullanımında aşağıdaki hususlara uyulur:

a) Kullanılan tüm donanımlara ait varlık envanterleri bilgi güvenliği kapsamında, Daire Başkanlığınca merkezi olarak tutulmaktadır.

b) Donanımlarla ilgili arıza ya da teknik bir sorunun çözümü için Donanım Destek Birimine başvurulmalıdır.

c) Donanım Destek Birimine teslim edilen cihaz içerisinde teknik personelin görmesinde sakınca olan hiçbir veri bulunmamalıdır.

ç) Formatlanması için teslim edilen cihazdaki tüm veriler cihazın sahibi tarafından yedeklenmelidir. Donanım Destek Biriminde yedek alınmayacaktır.

d) Donanım Destek Birimi personeli tarafından cihazdaki verinin kopyalanmayacağı ve hiçbir şekilde paylaşılmayacağı taahhüt edilir.

Yürürlük

MADDE 10- Bu Usul ve Esaslar, Senatoda kabul edildiği tarihte yürürlüğe girer.

Yürütme

MADDE 11- Bu Usul ve Esasların hükümlerini Rektör yürütür.

Adres

Üniversitesi Rektörlüğü Çağış Yerleşkesi Üzeri 17. km, Bigadiç Caddesi, 10145 Balıkesir

İletişim

0266 612 1400
bidb@balikesir.edu.tr

Bizi Takip Edin: