| 1. AMAÇ | ||||||||||||
| Bu politikanın amacı güçlü bir şifreleme oluşturulması , oluşturulan şifrenin korunması ve bu şifrenin değiştirilme sıklığı hakkında standart oluşturmaktır. | ||||||||||||
| 2. SORUMLULUKLAR | ||||||||||||
| Şifreleme bilgisayar güvenliği için önemli bir özelliktir. Kullanıcı hesapları için ilk güvelik katmanıdır. Zayıf seçilmiş bir şifre ağ güvenliğini tümüyle riske atabilir. WIN Türkiye çalışanları ve uzak noktalardan erişenler aşağıda belirtilen kurallar dahilinde şifreleme yapmakla sorumludurlar. | ||||||||||||
| 3. UYGULAMA | ||||||||||||
| 3.1 Genel | ||||||||||||
| • Bütün sistem seviyeli şifreler (örnek, root , administrator) 4 ayda bir değiştirilmelidir. | ||||||||||||
| • Bütün kullanıcı seviyeli şifreler (örnek, e -posta , web vs.) en az 6 ayda bir değiştirilmelidir.Tavsiye edilen değiştirme süresi her 4 ayda birdir. | ||||||||||||
| • Sistem yöneticisi her sistem için farklı şifreler kullanmalıdır. | ||||||||||||
| • Şifreler e-posta iletilerine veya herhangi bir elektronik forma eklenmemelidir. | ||||||||||||
| • Kullanıcı, şifresini başkası ile paylaşmaması, kağıtlara yada elektronik ortamlara yazmaması konusunda eğitilmelidir. | ||||||||||||
| • Kurum çalışanı olmayan harici kişiler için açılan kullanıcı hesaplarının şifreleri de kolayca kırılamayacak güçlü bir şifreye sahip olmalıdır. | ||||||||||||
| • Bir kullanıcı adı ve şifresi birim zamanda birden çok bilgisayarda kullanılmamalıdır. | ||||||||||||
| 3.2 Ana Noktalar | ||||||||||||
| Genel Şifre oluşturma Kuralları | ||||||||||||
| Şifreler değişik amaçlar için kullanılmaktadır. Bunlardan bazıları: Kullanıcı şifreleri, Web erişim şifreleri, e-posta erişim şifreleri, ekran koruma şifreleri, yönlendirici erişim şifreleri vs. Bütün kullanıcılar güçlü bir şifre seçimi hakkında özen göstermelidir. | ||||||||||||
| Zayıf şifreler aşağıdaki karakteristiklere sahiptir. | ||||||||||||
| • Şifreler sekizden daha az karaktere sahiptir. | ||||||||||||
| • Şifreler sözlükte bulunan bir kelimeye sahiptir. | ||||||||||||
| • Şifreler aşağıdaki gibi ortak değere sahiptir. | ||||||||||||
| • Ailesinin, arkadaşının sahip olduğu bir hayvanın veya bir sanatçının ismine sahiptir. | ||||||||||||
| • Bilgisayar terminolojisi ve isimleri, komutlar, donanım veya yazılım gibi | ||||||||||||
| • “bilişim” , “Ankara” , “İstanbul” gibi | ||||||||||||
| • AaaBb, qwerty ,qazwsx, 123321 gibi sıralı harf veya rakamlar | ||||||||||||
| Güçlü Şifreler aşağıdaki karakteristiklere sahiptir. | ||||||||||||
| • Küçük ve büyük karakterlere sahiptir. (A -Z , a-z) | ||||||||||||
| • Hem dijit hem de noktalama karakterleri ve ayrıca harflere sahiptir.(0 - 9,!,@,&=(,}?,\) | ||||||||||||
| • En az sekiz adet alfanümerik karaktere s ahiptir. | ||||||||||||
| • Herhangi bir dildeki argo lehçe veya teknik bir kelime olmamalıdır. | ||||||||||||
| • Şifreler herhangi bir yere yazılmamalıdır veya elektronik ortamda tutulmamalıdır . | ||||||||||||
| Genel Şifre Koruma Standartları | ||||||||||||
| WIN Türkiye bünyesinde kullanılan şifreleri kurum dışında herhangi bir şekilde kullanmayınız. Kimse ile paylaşmayınız. İlgili şifreler şirkete ait gizli bilgiler olarak düşünülmelidir. Değişik sistemler için farklı şifreleme kullanın. | ||||||||||||
| Aşağıdaki faaliyetleri gerçekleştirmek kesinlikle yasaktır | ||||||||||||
| • Herhangi bir kişiye telefonda şifre vermek | ||||||||||||
| • E-posta mesajlarında şifre belirtmek | ||||||||||||
| • Üst yöneticinize şifreleri söylemek | ||||||||||||
| • Başkları önünde şifreler hakkında konuşmak | ||||||||||||
| • Aile isimlerini şifre olarak kullanmak | ||||||||||||
| • Şifreleri işten uzakta olduğunuzda iş arkadaşların ıza bildirmek | ||||||||||||
| • Uygulamalardaki “şifre hatırlatma “ özelliklerini seçmeyiniz. | ||||||||||||
| • Şifreler en az 6 ayda bir değiştirilmelidir. Tavsiye edilen aralık ise 4 ayda birdir. | ||||||||||||
| • Veritabanı sunucuları, modemler, santral, virus programı, toplu mail yazılımı erişim şifreleri kapalı bir zarfta imzalı olarak kurumun kasasında saklanmalı ve gereksiz yere açılmamalıdır. Zarfın açılması durumunda firma yetkilileri de bilgilendirilmelidir. | ||||||||||||
| • Şifrelerin değiştirilip değiştirilmediği yapılan testler ile takip edilir. | ||||||||||||
| Uzaktan Erişen Kullanıcılar İçin Şifre Kullanımı | ||||||||||||
| Kurumun bilgisayar ağına uzaktan erişim tek yönlü şifreleme algoritması veya güçlü bir passpharase ile yapılacaktır. | ||||||||||||
| Passpharase | ||||||||||||
| • Bir passpharase standart şifrelerden daha uzun karakter dizisine sahiptir.(genellikle 4‟ten 16‟ ya kadar karaktere sahiptir.), dijital imzaların (bir mesajı gönderen kişinin gerçekten o kişi olduğunu kanıtlayan kodlanmış bir imza), mesajların kodalanması veya çözülmesinde kullanılır. | ||||||||||||
| • Passpharase‟ler şifreler gibi değildir.Passpharase şifrelerden daha uzundur, dolayısı ile daha güvenlidir. | ||||||||||||
| • Passpharase‟ler tipik olarak birçok kelimeden ibarettir. Bundan dolayı passpharase‟ler “sözlük” saldırılarına karşı daha güvenlidir. | ||||||||||||
| • İyi bir passpharase büyük ve küçük harf ve rakamlardan oluşan kombinasyona sahiptir. Örnek bir passpharase :“?\*@102incicaddedekiTrafik*&#!#Busabah” | ||||||||||||
| • Şifreleme için geçerli olan bütün kurallar passpharasel‟er içinde geçerlidir. | ||||||||||||
