Bilgi Formu

Bilginin Adresi…

Bilgi Sistemi Yetkilendirme Politikası

Reklam Alanı

Erişim kontrolü, en basit tanımıyla, belli bir varlığa sadece yetkili kişi veya grupların tanımlanan haklar dahilinde erişebilmesini sağlama amacıyla uygulanır. Bu erişim fiziksel olabileceği gibi mantıksal bir erişim de olabilir. En genel haliyle mantıksal erişim bir bilgi varlığına bilgisayar aracılığıyla yapılan erişimleri ifade eder.

Bilgi güvenliği kapsamında ise erişim kontrolü kimlik doğrulama, yetkilendirme  ve izlenebilirlik  kavramlarını içine almaktadır.

Erişim kontrol politikası kurumun bilgi varlıklarına hangi kurallar ve şartlar dahilinde, kimlerin (hangi öznelerin), hangi yetki ve imtiyazlarla erişebileceğini kurallar dahilinde belirleyen dokümandır.

Erişimde bulunan öznelerin sahip olabileceği roller;

• ? Yöneticiler
• ? Birim yöneticileri
• ? Sistem yöneticileri
• ? Kullanıcılar
• ? Kurum dışı kullanıcılar

Ağ erişimi kontrolü kapsamında politikada düzenlenebilecek bazı örnek kontroller şunlar

olabilir:

• ? Kullanıcıların kurum tarafından sağlanan İnternet çıkışı dışında başka yollar (modem,

kablosuz ağ, GSM bağlantıları v.b) üzerinden İnternet?e erişimlerinin kontrol edilmesi

• ? Kullanıcıların İnternet üzerindeki erişebileceği servislerin tanımlanması (http, https ve

smtp gibi) ve söz konusu servisler dışındaki başka servislere erişim taleplerinin yetkili

birimlerce denetlenmesi ve onaylanması

• ? Kurum dışından kurumun bilgi ağı servislerine yapılacak bağlantıların yetkisiz

erişimlere izin vermeyecek şekilde denetlenmesi ve kontrol altına alınması

• ? Kurum içinde gizlilik seviyelerine uygun bilgi ağlarının kurulması ve kritik bilgi içeren

ağların uygun kontrollerle (kimlik doğrulama, yetkilendirme, sınır koruma vb.)

korunması

• ? Yönlendirici ve anahtar gibi aktif cihazlar üzerinde yetkisiz erişimi engelleyecek

yönlendirme kurallarının tanımlanması

• ? Her kullanıcının kendine ait ve kendisini benzersiz olarak tanımlayan bir kullanıcı

hesabının olması

• ? Kullanıcıların kullanıcı hesaplarını paylaşarak bilgi kaynaklarına erişmemesi, aksi

takdirde yaptırımların uygulanması

• ? Kullanıcıların kullanıcı hesaplarını ve parolalarını başkalarıyla paylaşmaması, aksi

takdirde kullanıcı hesabıyla yapılan tüm işlemlerden kullanıcı hesap sahibinin sorumlu

tutulması

• ? Kurumla ilişiği kesilen kişilerin kullanıcı hesaplarının belli bir süre içinde devre dışı

Bırakılması

• ? Kurumda görev değiştiren kullanıcının, iş gereksinimi yoksa kullanıcı hesabının

silinmesi, iş gereksinimi varsa söz konusu gereksinime göre erişim haklarının yeniden

düzenlenmesi

• ? Belli bir süre zarfınca kullanılmayan kullanıcı hesaplarının devre dışı bırakılması
• ? Belli bir süre zarfınca devre dışı kalmış kullanıcı hesaplarının silinmesi
• ? Geçici kullanıcıların (test amaçlı kullanılan, yarı zamanlı kullanıcılar, stajyerler vb.)

tahmini iş bitiş tarihlerine göre kullanıcı hesaplarına son kullanım tarihi verilmesi

• ? Tüm kullanıcı hesaplarına ait bir parolanın olması
• ? Yeni kullanıcı hesaplarına ait parolaların ilk kez giriş yapılırken kullanıcı tarafından

değiştirilmesi

• ? Kimlik doğrulama bilgilerinin sahipleri dışında hiç kimse tarafından kullanılmaması
• ? Kullanıcı hesaplarına ait parolaların uyması gereken kuralların belirtilmesi (en az 8

karakter olması, içermesi gerek zorunlu karakterler, belli aralıklarla değiştirilmesi,

başarısız parola denemelerinin belli bir sayıyla sınırlandırılması gibi)

• ? Bilgi kaynaklarına başarısız erişimlerin tarih, zaman ve erişilen kaynağın detayı ile ilgili

bilgilerinin kaydının tutulması

• ? Kullanıcıların kimlik doğrulaması yaparak oturum açtıkları sistemlerin başından

ayrıldıklarında sistemi kilitlemesi

• ? Halka açık veya paylaşılan ağlardan iletilen kimlik bilgilerinin güçlü şifreleme metotları

ile korunması

• ? Başkaları tarafından öğrenildiğinden şüphelenilen parolaların hemen değiştirilmesi

Yetkilendirme ile ilgili olarak erişim kontrol politikasında düzenlenebilecek bazı örnek

kontroller şunlar olabilir:

• ? Özel olarak yetkilendirme yapılmadığı sürece tüm bilgi varlıklarına erişimin

yasaklanması

• ? Kullanıcılara sadece iş sorumluluklarını veya iş gereksinimlerini yerine getirmelerine

yetecek kadar izin verilmesi

• ? Herhangi bir şekilde fazla yetkiye sahip kullanıcıların bu yetkiyi kullanarak iş

sorumluluklarının veya iş gereksinimlerinin dışında bilgiye ulaşmasının yasaklanması

• ? Fazla/gereksiz yetkinin anlaşılması durumunda yetkilendirmeden sorumlu kişilere ve

varlık sahibine haber verilmesi

• ? Dosya, dizin ve diğer objelere erişim izinlerinin gruplara verilmesi, gerekmediği sürüce

kişilere özel izin verilmesinden kaçınılması

• ? Bir kullanıcının sisteme aynı anda birden çok kez girme sayısının iş gereksinimlerine

göre kısıtlanması

• ? Yönetim yetkilerinin sadece özel olarak bu yetkilere ihtiyaç duyanlara verilmesi
• ? Yönetim işlemlerini gerçekleştiren kişilerin sadece yönetimsel haklar gerektiren işler

için yönetim hesaplarını kullanması

• ? Yetkilendirmelerin belirli aralıklarla gözden geçirilmesi, gereksinimi kalmamış

yetkilerin geri alınması

Benzer Yazılar:

1. (AHBS) Aile Hekimliği Bilgi Sistemi
2. SGK İşyeri Tescil Sistemi
3. Adres Kayıt Sistemi ve İkametgah İşlemleri
4. Adrese Dayalı Nüfus Kayıt Sistemi İşlemleri
5. Personel Bilgi Sistemi (PBS)
6. Aile Hekimliği Bilgi Sistemi
7. Hasta Hakları Uygulama Sistemi, Sağlık Bakanlığı Hasta Hakları Sistemi
8. 112 Acil Armakom Sistemi Nedir? , Armakom Sistemine Nasıl veri Gönderilir?
9. Medula Yeni İlaç Raporu Kayıt Sistemi ve Yaşanan Problemler (E-Rapor)
10. 2010-2011 Aday Bilgi Formları, Aday Bilgi Formu

Eğer yazıyı beğendiyseniz ya da ekleyecekleriniz varsa, lütfen yorumunuz yazın veya RSS aboneliği ile yeni yazılardan anında haberdar olun.

Bu site Wordpress ve, WP Premium yardımıyla hazırlanmıştır.
Tüm hakları ©2008 Bilgi Formu üzerinde saklıdır.

• Site Yönetici Girişi - Çıkış Yap