Veri Sızıntısı Önleme Politikası

Amaç: Bilginin izinsiz olarak ifşa edilmesini ve çıkarılmasını tespit etmek

ve önlemek için hassas bilgileri işleyen, saklayan veya ileten sistemlere,
ağlara ve diğer cihazlara veri sızıntısını önleme önlemleri uygulanması
amaçlanmaktadır.

Politika

Veri Sınıflandırma Politikasının Oluşturulması

Hassas özel ve kişisel bilgileri tanımlayın ve sınıflandırılır.

Kurum verilerinin sistematik olarak kategorilere ayrılması ve
sınıflandırılması için politikalar oluşturulmuştur.

Servis Sağlayıcıdan Alınan Hizmetlerde Veri Güvenliği Hususları

Bulut servisleri kullanımı durumunda veri erişimi,

muhafazası, kullanımı kapsamındaki güvenlik hususları, servis
şartname ve sözleşmelerinde belirtilir.

Kritik Verinin Envanteri Yönetimi

Kurum bünyesinde veya dışında, kurumun teknoloji sistemleri

tarafından depolanan, işlenen veya iletilen tüm kritik verinin envanteri
tutulmaktadır.

Düzenli Olarak Erişilmeyen Kritik Verinin ve Sistemlerin Kaldırılması

Kurum tarafından düzenli olarak erişilmeyen kritik veri veya

sistemler ağdan çıkarılır. Bu sistemler ihtiyaç duyulmadığı
durumlarda ağ bağlantısı kesilmiş olarak tutulur.

Bulut Servislerinin Kullanımı

Bulut depolama ve bulut e-posta servisi kullanımında “Bulut Bilişim

Güvenliği Politikası”nda ifade edilen hususlar uygulanır.

Taşınabilir Ortam Yönetimi

İş ihtiyaçları gereği taşınabilir ortamların kullanılması

gerektiği durumlarda, yalnızca kurum tarafından
yetkilendirilmiş ve kurum envanterine kayıt edilmiş
taşınabilir ortamların kullanılmasına izin verecek şekilde gerekli
önlemler alınır.

Ağda Kritik Veri Taşınması

Ağda kritik verinin taşınmasında güvenli protokoller kullanılır

(VPN teknolojileri, SSL/TLS vb.) ve kritik veri şifreli olarak
taşınır. E-posta, dosya aktarımları, mobil ve taşınabilir BİT cihazları ve
basılı evraklar gibi hassas bilgilerin sızabileceği kanalları veya
mekanizmaları belirlenmiş ve izlenmektedir.

Ağ İçerisinde Veri Sızıntısı Önleme

Ağ içerisinde veri akışını kontrol etmek, izlemek ve izinsiz ağ trafiğini

takip etmek amacıyla ağ tabanlı veri sızıntısı önleme sistemi
kullanılmalıdır.

Durağan Veri Güvenliğinin Sağlanması

 Veri Sızıntısı Önleme Politikası

Durağan veri ortamlarında yer alan kritik veri, şifrelenerek muhafaza

edilir. Depolanan kritik veri kimlik doğrulama mekanizması
gerektiren ikincil bir araç kullanarak şifrelenmelidir. Kritik
veriyi görüntülemek veya kritik veride değişiklik yapmak için
gerçekleştirilen tüm işlemler kayıt altına alınır.

Taşınabilir Ortam Engelleme

Kritik sistemler taşınabilir depolama birimlerini

desteklemeyecek şekilde yapılandırılmaktadır.

Taşınabilir depolama birimleri takıldığında uyarı üretecek mekanizmalar

aktif edilir. Bu uyarılar izlenir.

Genel
Şifreleme, e-postaları karantinaya alma, veri aktarımları için onay
gerektirme, rastgele aramalar, tokenizasyon gibi hassas bilgilerin
sızmasını önlemek için yöntemler belirlenmiştir.

Hassas bilgilerin izinsiz ifşa edilmesini tanımlamak, izlemek ve günlüğe

kaydetmek/alarm vermek/engellemek için veri sızıntısı önleme
araçlarını(DLP) kullanılır.

Sorumluluklar

• Bilgi Güvenliği, bu politikanın sürdürülmesinden ve genel olarak bilgi

güvenliği kontrolleri konusunda tavsiyelerde bulunulmasından sorumludur.
Diğer kurumsal fonksiyonlarla birlikte çalışarak, bu politikada belirlenen
yükümlülüklere ilişkin farkındalığın ve anlayışın artırılmasına yönelik
eğitim faaliyetlerinin yürütülmesinden de sorumludur.

• BT, bu politikada belirtilen süreç kontrolleri de dahil olmak üzere, tüm

kurumsal BT sistemlerinde/ağlarında yapılan veri sızıntısına yönelik
faaliyetlerin yönetiminden sorumludur.

• Bilgi Sahipleri 'kendilerine ait' bilgilerin korunmasından ve meşru

şekilde kullanılmasından şahsen sorumludur.

• Çalışanlar, yürürlükteki yasal, düzenleyici ve sözleşmeden doğan

yükümlülüklere ve politikalara uygunluktan her zaman kişisel olarak
sorumludur.