Aşağıdaki Maddelerin tamamı Kamueposta Hizmetini satın aldığınızda kurumumuz tarafından karşılanmaktadır.
Kurumsal uygulamalar (web, DNS, e-posta, FTP vb. ile diğer uygulamalar) ve kurum ağındaki bileşenler, işletim sisteminin ve paket yazılımların kurulumuyla gelen varsayılan güvenlik ayarlarıyla kullanılmamalıdır. Kullanıma alınmadan önce bilgi güvenliği gereksinimleri dikkate alınarak gerekli güvenlik sıkılaştırmaları yapılmalıdır.
Bk. Bölüm 5
Şifresiz kimlik doğrulama ve haberleşme kullanan servisler (Telnet, FTP, rlogin, HTTP, SMTP vb.), eğer varsa şifreli haberleşme imkânı sağlayan muadilleri (SSH, SFTP, HTTPS, SMTPS vb.) ile değiştirilmelidir.
Tekrar yayınlama (relay) işlemine, belirlenen IP adresleri dışında izin verilmemeli ve e-posta hizmet protokollerinden kullanılmayanlar kapatılmalıdır.
E-posta gönderiminde kullanıcı adı ve parola kullanılarak kimlik doğrulaması yapılmalıdır.
E-posta içeriğindeki zararlı bağlantılara erişim engellenmelidir.
Spam e-postaları engellemek üzere DNS tabanlı filtreleme ve kara liste yöntemleri uygulanmalıdır.
E-posta bombardımanı ve bağlantı temelli servis dışı bırakma saldırılarına karşı SMTP sunucusunda bağlantı sayısı sınırlama vb. yöntemler ile koruma sağlanmalıdır.
Gelen/giden tüm e-posta hesaplarına ait içerikler, istenmeyen e-postalar ve e-posta ile yayılabilecek zararlı yazılımlara karşı güvenliği sağlamak amacıyla SMTP Gateway vb. sistemler kullanılarak kontrol edilmelidir.
Sahte ya da bütünlüğü bozulmuş e-postaların geçerli etki alanlarına sızma ihtimalini azaltmak için SPF, DKIM vb. teknoloji ve standartlar kullanılmalıdır.
Kurum politikaları ile belirlenmiş olan risk içeren izinsiz ve/veya çalıştırılabilir dosya türleri içeren e-posta veya e-posta ekleri engellenmelidir.
Bk. Tedbir No: 3.1.5.1
İstemci ve sunucu sistemlerinin tamamında zararlı yazılımdan korunma uygulamaları kullanılmalı ve zararlı yazılımdan korunma uygulamalarında en güncel yama dosyalarının bulunması ve imza veri tabanının güncel olması sağlanmalıdır. Zararlı yazılımdan korunma uygulamalarına ait politikalar merkezi olarak yönetilmelidir.
E-posta sunucuları, varsayılan ayarlarıyla kullanılmamalı ve kullanıma alınmadan önce tüm sunucuların güvenlik sıkılaştırmaları yapılmalıdır.
Bk. Bölüm 5
İstemci ve e-posta sunucuları arasındaki iletişimde bilinen zafiyet içermeyen güvenilir SSL/TLS sürümleri ile birlikte güvenli e-posta iletişim protokolleri (SMTPs, POP3s, IMAPs, HTTPs vb.) kullanılmalıdır.
Bk. Tedbir No: 3.2.9.1
Kurum politikalarına göre gizlilik dereceli bilgi/veri içeren e-posta alışverişleri şifreli ve imzalı olarak yapılmalıdır. E-posta alışverişleri şifreli ve imzalı olarak yapıldığı durumda kullanılan sertifikalar kuruma özel olarak üretilmelidir.
E-posta sunucularına uzaktan yapılacak erişimlerde çok faktörlü kimlik doğrulama mekanizmaları kullanılmalıdır.
Kimlik doğrulaması yapılmış, kritik veri ya da işlevler içeren tüm bağlantılar SSL/TLS protokolünün bilinen zafiyet içermeyen güvenilir sürümü ile yapılmalıdır. Sertifikalarda ve sertifikanın tüm hiyerarşisinde ulusal ve/veya uluslararası otoriteler tarafından güvenli olarak kabul görmüş güçlü algoritmalar ve protokoller kullanılmalıdır.
Unutulan parolanın sıfırlaması kullanıcı adının unutulması vb. durumlar için; kısa ileti, e-posta onayı, mobil onay, çevrimdışı onay vb. yöntemler kullanılmalıdır. İlgili yöntemler kullanılırken sahip olunan, bilinen ve biyometrik faktörlerin en az ikisinden yararlanılmalıdır.
Hassas işlevler gerçekleştirilmeden önce, yeniden kimlik doğrulama, daha güçlü bir mekanizmayla kimlik doğrulama, çok faktörlü kimlik doğrulama veya işlem imzalama gibi yöntemler uygulanmalıdır.
Uygulamanın ilgili yönetim arayüzlerine yalnızca yetkili kullanıcılar tarafından erişim sağlanmalıdır. Açık anahtar altyapısı tabanlı kimlik doğrulama kullanılıyorsa sertifika yolu doğrulanmalı ve kullanıcının sertifikası sistem üzerindeki geçerli kullanıcı veya grup bilgisi ile eşleştirilmelidir.
Kritik verilerin yurt içinde depolandığı ve yurt dışında barındırılmayacağı garanti altına alınmalıdır. Kurumlara ait özel bulut sistemleri haricinde, bulut servis sağlayıcılardan yer, sunucu veya servis tabanlı bulut hizmeti kullanılacaksa,
• Erişen personel, yetki ve yetkinlik düzeyleri
• Erişim, işlem ve ağ trafiği iz kayıtlarının izlenmesi
• Güncelleme durum alarmları
• Siber olay alarmları
• Performans ve kapasite göstergeleri
kurum tarafından kontrol edilmelidir.
Bulut bilişim hizmeti kapsamında hizmet alınan taraf ile hizmet alan kurum arasında, karşılıklı yükümlülükleri ve gizlilik maddelerini içeren bir sözleşme yapılmalıdır. Alınan hizmetin kapsamı sözleşme içerisinde tam olarak belirtilmeli ve hizmet kapsamında işlenen verinin kritikliği doğrultusunda yeterli seviyede güvenlik önlemleri alınmalıdır.
İlgili sözleşmenin geçerlilik süresi belirlenmeli ve periyodik olarak gözden geçirilmesi sağlanmalıdır.
Bk. Tedbir No: 3.5.3.1
Bk. Tedbir No: 3.5.3.3
Servis sağlayıcılar kendi kaynaklarını DDoS saldırılarına karşı koruyabilmeli ve kapasitesinin üzerinde gelen yüksek boyutlu DDoS saldırılarına karşı iş ve hizmet sürekliliğini sağlayabilmelidir. Hizmet alan taraf ile imzalanan sözleşme ve taahhütlerde bu husus yer almalıdır.
Servis sağlayıcılar, servis verdikleri herhangi bir hizmet alanına gelen bir siber saldırıdan (servis dışı bırakma, zararlı yazılım vb.) veya saldırının sistemlerde oluşturabileceği performans problemlerinden diğer hizmet alanlarının etkilenmemesi için güvenlik duvarı, saldırı tespit sistemi gibi güvenlik önlemlerini almalıdır.
Servis sağlayıcıların verdikleri hizmetler ile ilgili hizmet seviye taahhüt koşulları belirlenmeli, ölçülmeli ve raporlanabilmelidir.
Kurumlar, varlık gruplarının kritiklik derecesine uygun güvenlik tedbirlerini uygulayan ve periyodik güvenlik denetimlerini gerçekleştiren bulut hizmeti sağlayıcılarından hizmet almalıdır.
Operatörler tarafından sunuculara erişimde trafiğin yurt içinde kalmasına yönelik tedbirler uygulanmalıdır.
Bulut hizmeti kullanımında kuruma ait şifreleme anahtarları hizmeti alan kurum tarafından yönetilmelidir. Bulut yönetim arayüzü üzerinden işlem yapmak için IPSec veya SSL VPN geçidi kullanılmalı ve bulut yönetim arayüzüne erişim sadece bu kanallardan yapılmalıdır.
Bulut bilişim hizmeti sunacak servis sağlayıcı iş sürekliliğini sağlamak amacıyla felaket kurtarma merkezi veya yedekleme mekanizmaları ile ilgili yeterlilikleri kurumun bilgi güvenliği gereksinimlerine uygun olarak sağlamalıdır.
Bk. Tedbir Başlık No: 3.1.13
Paylaşımlı/bulut ortamdan hizmet sağlayan servis sağlayıcılar hizmetin sonlanması durumunda hizmet alan tarafa ait profil ayarları, hizmet raporları vb. hizmete ilişkin tanımları silmelidir.
Bulut sistemlerde barındırılan veriler, kullanımının sonlandırılması durumunda sistemlerden geri getirilemeyecek şekilde silinmelidir.
Ayrıntılı bilgi için tıklayınız.
Copyright © 2024 Tüm Hakları Saklıdır.
