İçeriğe geç

BGYS-Parola Politikası

ISO 27001 kapsamında Bilgi Güvenliği Yönetim Sistemlerinde parolaların yönetimi için gereken kuralları içeren örnek maddeleri bir çok kurum ve kuruluşun Parola Politikasını derleyerek sizlere aktarıyorum.

Parolalar, kurumun bilgilerini korumak için uygulanan en önemli güvenlik önlemidir. Bu yüzden kolay tahmin edilemeyen ve güvenlik gerekliliklerini karşılayacak şekilde bir parola belirlenmelidir. Parola belirlerken dikkat edilmesi gereken hususlar:
1.Kullanıcılar, kendilerine verilmiş olan kullanıcı adlarını ve parolalarını başkaları ile paylaşmaz ve korurlar. Aksi durumlarda oluşabilecek olumsuz olaylardan kullanıcının kendisi sorumlu olacaktır.
2.Kullanıcıların aktif dizin etki alanı parolaları, 180 gün süreyle geçerlidir. Bu süre aşıldığında parola değiştirilir. Parolanın çalınması ihtimali olduğunda bu süre beklenmeden parola değiştirilir. Aktif dizin etki alanı parolalarının kullanılamadığı uygulamalarda oluşturulacak parola yapısı bu politikadaki özellikleri kapsayacak şekilde yapılandırılır. Parolalar aşağıda
belirtilen özelliklere göre oluşturulur:
(a) Kullanıcıların etki alanı parolaları, en az 8 karakter uzunluğunda ve büyük harf, küçük harf, alfa numerik olmayan karakter ve rakam özelliklerinden en az üçünü içeren “Pss201%1” örneğindeki gibi karmaşık bir yapıda oluşturulur.
(b) Parolalar sözlükte bulunan bir kelimeyi içermez.
(c) Parolalar; doğum tarihi, adres veya telefon numaraları gibi kişisel bilgilerden oluşturulmaz.
(ç) Parolalar; Aaabbb, qwerty, zyxwuts, 123321 gibi sıralı harf veya rakamlardan oluşturulmaz.
(d) Parolalar, yukarıdaki maddelerde örnek verilen kelimelerin tersten yazılışı şeklinde de
olamaz.
(e) Kullanıcıya verilen ilk parola ile parolasını unuttuğu zaman verilen parola “geçici parola”
olarak düşünülür ve ilk oturum açılışında değiştirilir. Parola gün içinde en fazla bir kez
değiştirilebilir.
(3) Kullanıcılar son kullandıkları beş etki alanı parolasını, parola yenileme esnasında
kullanmaz.
(4) Parola kullanım süresinin bitimi öncesinde kullanıcı uyarılır.
(5) Kurum personeli şahsi parolalarını özel kontrol altında tutar, parolalarını YBS personeli de
dâhil olmak üzere hiç kimseyle paylaşmaz.
(6) Kullanıcılar, parolalarının ele geçirildiğinden kuşkulandıklarında YBS’ye haber verir, gereken önlemleri alır ve bilgi güvenliği ihlal olayı kaydı açılır.
(7) Mümkünse kullanıcının birçok parolayı birden hatırlamak zorunluluğunu ortadan kaldıran, tek bir parola ile ağ üzerinde kendisine erişim izni verilen bütün uygulamalara ulaşabilmesini sağlayan SSO(Single Sign On – Tek nokta oturum açma. Tek parola ile bağlantılı olan tüm oturumları açma özelliği) yapısı tercih edilir.
(8) Kullanıcılar, kurum hizmetleri için kullandıkları parolaları, internet üzerinde kurum
tarafından sağlanmayan ortamlarda kullanmaz.
(9) Parolalar, dosya, otomatik komut dosyası, yazılım makrosu, erişim kontrolü olmayan
bilgisayarlar ve başkalarının fark edebileceği şekilde bilgisayar donanımlarının fiziksel dış alanlarına, not kağıtlarına yazılmaz, başkalarının görebileceği şekilde her hangi bir panoya asılmaz.
(10) Sistemlere giriş ekranlarında herhangi bir ipucu olmaz. Eğer böyle bir işlem adımı var ise parola hatırlatması yapılmaz ve kullanıcıya geçici parola verilir. Hesabın bloke olması ya da parolanın unutulması durumlarında YBS ye başvurabilir.
(11) Bütün sistemler, sisteme giriş anında kullanıcı adı ya da parolanın yanlış olması durumunda hangisinin yanlış olduğuna dair bilgi mesajı vermez.
(12) Gerçek kişilere ait olmayan kurumsal e-posta hesaplarının erişim yetkisi ilgili birim yöneticisine veya onun belirlediği tek bir personele verilir. İlgili e-posta hesabının parola işlemleri ve erişim bilgileri erişim yetkisi verilen personelin sorumluluğundadır.
(13) Sunuculara ve ağ cihazlarına erişim için kullanılan yönetici kullanıcı adı ve parolalar ise kullanıcıların etki alanı parola kriterlerine ek olarak en az aşağıdaki özelliklerde olmalıdır:
(a) Kullanıcı isimleri kurum adı ve çalışma alanı gibi kolay tahmin edilebilir isimler olamaz.
(b) Yönetici parolaları, en az 10 karakterden oluşur ve büyük harf, küçük harf, alfa numerik ve rakam özelliklerinin hepsini içerecek şekilde karmaşık olarak belirlenir.
(c) Parolalar en geç 90 günde bir değiştirilir.
(14) Kurumsal bilgiye erişilebilen mobil cihazlar için ekran kilidi kullanımı zorunludur. Ekran kilidini açmak için kolay tahmin edilemeyen pin kodu, parola veya desen kullanılır.
(15) Kurumda e-imza cihazı için kullanılan PİN kodları;
(a) Doğum tarihi, kimlik numarası veya telefon numaraları gibi kişisel bilgilerden
oluşturulmaz.
(b) 112233, 123321, asdasd gibi birbirini tekrarlayan ve ardışık rakamlardan oluşturulmaz.

Tarih:Siber Güvenlik

İlk Yorumu Siz Yapın

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir