| 1. AMAÇ | ||||||||||||
| Bu politikanın amacı her hangi bir yerden kurumun bilgisayar ağına erişilmesine ilişkin standartları saptamaktır. Bu standartlar kaynaklarının yetkisiz kullanımından dolayı kuruma gelebilecek potansiyel zararları minimize etmek için tasarlanmıştır. | ||||||||||||
| 2. SORUMLULUKLAR | ||||||||||||
| Bu politika kurumun bütün çalışanlarını, sözleşmelileri veya kurum adına çalışanları ve kısaca kurumun herhangi bir birimindeki bilgisayar ağına erişen bütün kişi ve kurumları kapsamaktadır. | ||||||||||||
| Bu politika, kuruma bağlı bütün uzak erişim bağlantılarını kapsamaktadır ve bunun içerisine e-posta okuma veya gönderme ve intranet web kaynaklarını gözlemleme dahildir. Bütün uzaktan erişim uygulamaları bu politika tarafından kapsanmaktadır. Modemden port yönlendirmesi (RDP) , VPN ile sınırlıdır. | ||||||||||||
| 3. UYGULAMA | ||||||||||||
| 3.1Genel | ||||||||||||
| Uzaktan erişim için yetkilendirilmiş kurum çalışanları veya kurumun bilgisayar ağına bağlanan diğer kullanıcılar yerel ağdan bağlanan kullanıcılar ile eşit sorumluluğa sahiptir. | ||||||||||||
| Uzaktan erişim metotları ile kuruma bağlantılarda bilgi sistemlerinin güvenliğinin sağlanması için aşağıdaki politikalara göz atmak gerekmektedir. | ||||||||||||
| 1- Kabul edilebilir şifreleme politikası | ||||||||||||
| 2-Taşınabilir Cihaz Politikası | ||||||||||||
| 3.2 Gereklilikler | ||||||||||||
| İnternet üzerinden kurumun herhangi bir yerindeki bilgisayar ağına erişen kişi veya kurumlar VPN teknolojisini kullanacaklardır. Bu; veri bütünlüğünün korunması, erişim denetimi, mahremiyet, gizliliğin korunması ve sistem devamlılığını sağlayacaktır. VPN teknolojileri IpSec , L2TP, SSL, PPTP vs. protokollerinden birini içermelidir. | ||||||||||||
| Mümkünse uzaktan erişim güvenliği sıkı bir şekilde denetlenmelidir. Kontrol tek yönlü şifreleme (one time password authentication) veya güçlü bir passpharase (uzun şifre) destekli public /private key sistemi kullanılması tavsiye edilmektedir. Daha fazla bil gi için şifreleme bölüme bakınız. | ||||||||||||
| Kurum çalışanları hiçbir şekilde kendilerinin login ve e -posta şifrelerini aile bireyleri dahil olmak üzere hiç kimseye veremezler. | ||||||||||||
| Kurumun ağına uzaktan bağlantı yetkisi verilen çalışanlar veya sözleşme sahipleri bağlantı esnasında aynı anda başka bir ağa bağlı olmadıklarından emin olmalıdırlar. Kullanıcının tamamıyla kontrolünde olan ağlarda bu kural geçerli değildir. | ||||||||||||
| Çalışanlar kurum ile ilgili çalışmalarında kurumun dışındaki e -posta hesaplarını kullanamazlar. | ||||||||||||
| Uzaktaki kullanıcı cihazını split -tunnel veya dual homing (VPN bağlantısı esnasında başka bir bağlantı daha yapmak) olarak konfigure edemez. | ||||||||||||
| Kurum ağına standart dışı erişim isteğinde bulunan organizasyon veya kişiler birim in özel izni ile geçici olarak izin verilebilirler. | ||||||||||||
| Periyodik olarak yapılan kontrollerle kurumdan ilişiği kesilmiş veya görevi değişmiş kullanıcı kimlikleri ve hesapları kaldırılmalıdır. |
