1. AMAÇ |
Bu politikanın amacı her hangi bir yerden kurumun bilgisayar ağına erişilmesine ilişkin standartları saptamaktır. Bu standartlar kaynaklarının yetkisiz kullanımından dolayı kuruma gelebilecek potansiyel zararları minimize etmek için tasarlanmıştır. |
|
2. SORUMLULUKLAR |
Bu politika kurumun bütün çalışanlarını, sözleşmelileri veya kurum adına çalışanları ve kısaca kurumun herhangi bir birimindeki bilgisayar ağına erişen bütün kişi ve kurumları kapsamaktadır. |
Bu politika, kuruma bağlı bütün uzak erişim bağlantılarını kapsamaktadır ve bunun içerisine e-posta okuma veya gönderme ve intranet web kaynaklarını gözlemleme dahildir. Bütün uzaktan erişim uygulamaları bu politika tarafından kapsanmaktadır. Modemden port yönlendirmesi (RDP) , VPN ile sınırlıdır. |
|
3. UYGULAMA |
3.1Genel |
Uzaktan erişim için yetkilendirilmiş kurum çalışanları veya kurumun bilgisayar ağına bağlanan diğer kullanıcılar yerel ağdan bağlanan kullanıcılar ile eşit sorumluluğa sahiptir. |
Uzaktan erişim metotları ile kuruma bağlantılarda bilgi sistemlerinin güvenliğinin sağlanması için aşağıdaki politikalara göz atmak gerekmektedir. |
1- Kabul edilebilir şifreleme politikası |
2-Taşınabilir Cihaz Politikası |
|
3.2 Gereklilikler |
İnternet üzerinden kurumun herhangi bir yerindeki bilgisayar ağına erişen kişi veya kurumlar VPN teknolojisini kullanacaklardır. Bu; veri bütünlüğünün korunması, erişim denetimi, mahremiyet, gizliliğin korunması ve sistem devamlılığını sağlayacaktır. VPN teknolojileri IpSec , L2TP, SSL, PPTP vs. protokollerinden birini içermelidir. |
Mümkünse uzaktan erişim güvenliği sıkı bir şekilde denetlenmelidir. Kontrol tek yönlü şifreleme (one time password authentication) veya güçlü bir passpharase (uzun şifre) destekli public /private key sistemi kullanılması tavsiye edilmektedir. Daha fazla bil gi için şifreleme bölüme bakınız. |
Kurum çalışanları hiçbir şekilde kendilerinin login ve e -posta şifrelerini aile bireyleri dahil olmak üzere hiç kimseye veremezler. |
Kurumun ağına uzaktan bağlantı yetkisi verilen çalışanlar veya sözleşme sahipleri bağlantı esnasında aynı anda başka bir ağa bağlı olmadıklarından emin olmalıdırlar. Kullanıcının tamamıyla kontrolünde olan ağlarda bu kural geçerli değildir. |
Çalışanlar kurum ile ilgili çalışmalarında kurumun dışındaki e -posta hesaplarını kullanamazlar. |
Uzaktaki kullanıcı cihazını split -tunnel veya dual homing (VPN bağlantısı esnasında başka bir bağlantı daha yapmak) olarak konfigure edemez. |
Kurum ağına standart dışı erişim isteğinde bulunan organizasyon veya kişiler birim in özel izni ile geçici olarak izin verilebilirler. |
Periyodik olarak yapılan kontrollerle kurumdan ilişiği kesilmiş veya görevi değişmiş kullanıcı kimlikleri ve hesapları kaldırılmalıdır. |