İçeriğe geç

BGYS – Uzaktan Erisim Politikası

ISO 27001 kapsamında Bilgi Güvenliği Yönetim Sistemlerinde önemli başlıklardan biri olan Uzaktan Erişim Politikası ile ilgili olması gereken maddeleri birçok kurum ve kuruluşuda inceleyerek sizlere aktarıyorum.

Uzaktan Erişimin Politikaları oluşturulurken nelere dikkat edilmesi gerekir.

Uzaktan erişim kapsamında VPN ve kurumsal kaynaklar dışında bağlantı sağlanamaz. VPN Teknolojileri IPSec,SSL,VPDN,PPTP,L2TP vs. protokollerinden birini içermelidir.Kurum ağına uzaktan erişim ve çalışma esnasında aşağıdaki kontroller uygulanır:
(1) Uzaktan erişim ve çalışma faaliyetleri VPN bağlantısı ile gerçekleştirilir.
(2) Uzaktan erişim yetkisi yalnızca kullanıcının erişim yetkisi olduğu belirtilen sunucu ya da uygulamalara verilir, hesabın diğer sunucu ve uygulamalara erişimi engellenir.
(3) VPN erişimi için tanımlanan kullanıcı sayılarının VPN bağlantı lisans sayısını aşmaması
YBS tarafından takip edilir.
(4) Uzaktan erişim ile Kurum ağına bağlanan kullanıcılar, yerel ağdan bağlanan kullanıcılar ile
eşit sorumluluklara sahiptir.
(5) Uzaktan erişimde parola güvenliği, mümkünse tek kullanımlık anlık parolalar ile mümkün
değil ise Kurum “Parola Politikası”na uygun parola kullanımı ile sağlanır.
(6) Sadece gizlilik sözleşmesi imzalayan üçüncü taraflara VPN bağlantı yetkisi verilebilir.
(7) Uzaktan erişim yetkisi olan personel ile üçüncü taraflar, bağlantı ve erişim bilgilerini saklı
tutmakla yükümlüdür.
(8) Kurum ağına VPN bağlantısı yapıldığında, aynı bilgisayar üzerinden başka ağlara VPN
bağlantısı yapılmaz.(Bu madde teknik olarakta zor zaten:)
(9) Kurum ağına uzaktan erişecek üçüncü taraflara ait bilgisayarların, işletim sistemi ve
antivirüs yazılımı güncellemelerinin yapılmış olmasından bağlantı sahibi sorumludur.
(10) VPN bağlantısı hesapları, kullanılmadıkları sürece devre dışı bırakılır, gereksinimleri sona
ermiş hesapların yetkileri YBS tarafından kapatılır.
(11) Uzak erişimde yapılan ağ hareketlerinin olay kayıtları tutulur ve İNCELENİR!
(12) Uzak erişim hesabının aktif olması durumu, onaylanan süre ya da en fazla bir 6 ay olarak
tanımlanır. Kullanılmayan VPN hesapları pasif hale getirilir.
(13) Erişim bilgileri kullanıcıya YBS tarafından şifahen bildirilir.
(14) Uzak erişim bağlantısında bağlantı aşım süresi ihtiyaca göre sınırlandırılır.

(15) Tanımlanmış VPN hesabı ile aynı zaman içerisinde birden fazla bağlantı yapılmayacak
şekilde yapılandırılır.
(16) İlişiği kesilmiş veya görevi değişmiş kullanıcıların gerekli bilgileri yürütülen projeler üzerinden alınmalı, yetkiler ve hesap özellikleri buna göre güncellenmelidir.

 

Tarih:Siber Güvenlik

İlk Yorumu Siz Yapın

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir