BİRİNCİ BÖLÜM
Genel Hükümler
Amaç
Madde 1- Bu yönergenin amacı, Manisa Valiliği bilgi işlem sistemlerinden en verimli şekilde yararlanmak, tüm bilgisayarların, yardımcı donanımların, bilgi işlem sistemlerinin güvenli bir şekilde çalışmasını temin etmek, sunucular (server) ile kullanıcı bilgisayarlarına (client) yüklenen yazılımların amacına uygun bir şekilde kullanılmasını sağlamak, ağ kaynaklarından mümkün olan en yüksek düzeyde yararlanmak ve iletişim ağının amacına uygun olarak kullanılmasını sağlamak üzere sistem kullanımı ve güvenliğine yönelik genel kuralları belirlemektir.
Kapsam
Madde 2- Bu yönerge, Manisa Valiliği bilgi işlem sistemlerini kullanan tüm personel ile kendilerine herhangi bir nedenle bilgi işlem sistemlerini kullanma yetkisi verilen paydaş ve konukların bilgi sistemleri kullanımına yönelik kurumsal ve kişisel bilgi güvenliği, ilke ve kurallarını kapsamaktadır.
Hukuki Dayanak
Madde 3- Bu yönerge, 3152 sayılı İçişleri Bakanlığı Teşkilat ve Görevleri Hakkında Kanunun 33 üncü maddesine, 23.05.2007 tarih ve 26530 sayılı Resmi Gazetede yayınlanan 5651 sayılı kanunun 6. Maddesi ile 20.02.2012 tarihli İçişleri Bakanlığı Bilgi Güvenliği Politikaları Yönergesine dayanılarak hazırlanmıştır.
Tanımlar
Madde 4- Bu yönergede geçen;
Kullanıcı : Bakanlık bilgi sistemlerini kullanan tüm kişileri,
Domain : Sunucu üzerine bağlanacak bilgisayarların bağlantı adresini temsil eder.
Login : Giriş
Sunucu : İstemcilerden gelen isteklere hizmet verebilen bilgisayar sistemini,
İstemci : Sunucuların verdiği hizmeti alan bilgisayar sistemini,
Bilişim Cihazları : Bilgisayar, yazıcı, tarayıcı, fotokopi, faks, projeksiyon cihazı ve televizyon vb. Konfigurasyon : Bir bilgisayarı oluşturan parçaların tümü yada programların ayarlarının tümü.
Multimedia Streaming : Streaming nıedia, ses, video ve diğer multimedia dosyalarının İnternet'te veya kurumsal intranetlerde bilgisayara yüklemeden ve sabit disk içerisinde yer kaplamadan on-line izlenmesini sağlayan, tamamen ses ve görüntü dosyalarından oluşan bir sistemdir. "Streaming" sistemi sayesinde seslere ve görüntülere, veriyi bilgisayarınıza "indirmeyi" beklemeden ulaşabilirsiniz. Streaming media teknolojisinin kullanıcı, kullanıcı bilgisayarı, kullanıcı yazılımı, Internet bağlantısı, ağ altyapısı, sunucu alt yapısı gibi kalite belirleyici kriterlerini, ifade eder.
İKİNCİ BÖLÜM
Bilgi Sistemlerinin Genel Kullanım Politikaları
E-İmza Politikası
Madde 5- E-İmza ile ilgili yasaklanmış kullanım kuralları aşağıda belirtilmiştir.
- Kullanıcıların şahsına ait olan Elektronik İmza ve Cihazlarının başkaları tarafından kullanılmasına izin verdikleri takdirde, cihazı kullanan kadar kullandıran personelinde haklarında oluşacak hukuki ve idari sonuçlarını kabul etmiş sayılırlar.
- Kullanıcılar Elektronik îmza ve Cihazlarının kaybolması veya çalınması durumunda E- İçişleri Proje Sorumlusuna bilgilendirmekle sorumludur.
- Yeni Kullanıcılar (adına cihaz düzenlenmemiş olanlar) , Kayıp, Çalıntı veya Cihazların Arızalanması durumları haricinde, Tüm kullanıcılar Elektronik İmzaların sistem üzerinde kullanmaları zorunludur.
Kişisel Kullanım Kuralları Politikası
Madde 6- Kullanıcıların uyması gereken genel kuralları kapsar.
- Kurumun güvenlik sistemleri kişilere makul seviyede mahremiyet sağlamış olmakla birlikte, Kurumun bünyesinde oluşturulan tüm veriler kurumun mülkiyetindedir.
- Kullanıcı, herhangi bir bilginin çok kritik olduğunu düşünüyorsa o bilgi şifrelenmelidir. Kullanıcılar tarafından bilgisayar ortamında üretilecek gizli yazılarda GİZLİ ibaresi doküman üzerine yazılacak ve kullanıcı tarafından en az 8 (sekiz) karakterle şifrelenecek, ÇOK GİZLİ nitelikteki e-posta ve yazılar, internet ve internete bağlı bilgisayarlarda tutulmamalıdır.
- Güvenlik ve ağın bakımı amacıyla Bilgi İşlem Şube Müdürlüğü yetkili kişileri, cihazları, sistemleri ve ağ trafiğini gözlemleyebilir. Bu nedenle kurum bünyesindeki bilgisayarların kullanıcı şifreleri Bilgi İşlem Şube Müdürlüğü bürosunda bulunacak ve kullanıcılar tarafından bu şifreler ile bilgisayar anakart şifreleri ve ayarları kesinlikle değiştirilmeyecektir.
- Bilgi İşlem Şubesi Müdürlüğü, ağları ve sistemleri periyodik olarak denetleme hakkına sahiptir. Denetleme esnasında. Vali, Vali Yardımcıları ve Daire Müdürlerine ait olanlar hariç olmak üzere bilgisayarlar incelenmek amacıyla, kullanıcısına haber verilmeksizin Bilgi İşlem Personeli tarafından alınır, yerinde veya Bilgi İşlem Şube Müdürlüğünde incelenir.
- Bütün bilgisayarlar mutlaka domaine login olmalıdır. Domaine bağlı olmayan bilgisayarlar yerel ağdan çıkarılmalı, yerel ağdaki cihazlar ile bu tür cihazlar arasında bilgi alışverişi yapılmamalıdır.
- Bilgisayarlarda oyun ve eğlence amaçlı programlar çalıştırılmamalı, kopyalanmamalıdır.
- Kurum bünyesinde bulunan İnternet Ağı üzerinden canlı televizyon yayınlarının izlemesi yasaktır. Gerekli görüldüğü durumlarda Televizyon veya Bilgisayar üzerine takılacak TV Kartı ile izlenebilecektir.
- Bilgisayarlarda resmi belgeler, programlar ve eğitim belgeleri haricinde dosya alışverişi bulundurulmamalıdır.
- Kurumda Bilgi İşlem Şube Müdürlüğünün bilgisi olmadan ağ sisteminde (web hosting servisi, e-posta servisi vb.) sunucu nitelikli bilgisayar bulundurulmamalıdır.
- Bilgi İşlem Şube Müdürlüğü personelinin bilgisi dışında bilgisayarlar üzerindeki ağ ayarları, kullanıcı tanımları, kaynak profilleri vb. üzerinde mevcut yapılan düzenlemeler hiçbir suretle değiştirilmemelidir.
- Bilgisayarlara resmi nitelikte olmayan herhangi bir lisanssız bir program yüklenmemeli, kullanılmamalıdır.
- Gerekmedikçe bilgisayar kaynakları paylaşıma açılmamalıdır, kaynakların paylaşıma açılması halinde de mutlaka şifre kullanma kurallarına göre hareket edilmelidir.
- Bütün kullanıcılar kendi bilgisayar sisteminin güvenliğinden sorumludur. Kullanıcı hatası veya ihmali neticesinde, Kuruma veya kişiye yönelik saldırılardan (örnek, elektronik bankacılık vs.) kullanıcı sorumludur.
- Çalışanlar kurumla ilgili yazışmalarında birimlerine ait e-posta adresleri kullanılmalıdır. Özel e- posta hesaplan (Hotmail, yahoo, mynet vs.) zaruri olmadıkça kullanılmamalıdır.
Yasaklanmış Politikalar
Madde 7- Aşağıdaki aktiviteler hiçbir istisna olmadan kesinlikle yasaklanmıştır.
- Herhangi bir kişinin veya kurumun izinsiz kopyalama, ticari sır, patent veya diğer şirket bilgileri yazılım lisansları vs. haklarını çiğnemek,
- Kitapların izinsiz kopyalanması, magazinlerdeki fotoğrafların dijital formata dönüştürülmesi, lisans gerektiren yazılımların kopyalanması,
- Zararlı programların (virus, solucan, Truva atı, e-mail bombaları vs.) ağ veya sunuculara bulaştırılması,
- Kendi hesabınızın şifresini başkalarına vermek veya kendi hesabınızı kullandırmak, e-) Kurumun bilgisayarlarını kullanarak taciz veya yasadışı olaylara karışmak,
- Ağ güvenliğini etkilemek ( örnek, bir kişinin yetkili olmadığı halde sunuculara erişmek istemesi) veya ağ haberleşmesini bozmak,
- Port veya ağ taraması yapmak,
- Kullanıcı kimlik tanıma yöntemlerinden kaçmak,
- Program / script / komut kullanarak kullanıcının bağlantısını etkilemek,
- Kurum bilgilerini kurum dışından üçüncü şahıslara iletmek,
- Kullanıcıların kişisel bilgisayarları üzerine Bilgi İşlem Şubesinin onayı alınmaksızın herhangi bir çevre birimi bağlantısı yapması,
- Cihaz, yazılım ve verinin izinsiz olarak kurum dışına çıkarılması, yerlerinin değiştirilmesi,
- Kurumun belirlediği programlar dışında kaynağı belirsiz olan programları (internetten indirilen programlar, portable programlar vs.) kurmak ve kullanmak,
- Herhangi bir kullanıcı, kurumun kaynaklarını kullanarak hiçbir şart altında herhangi bir yasadışı aktivitede bulunması,
İnternet Erişim Politikaları
Madde 8- Kullanıcıların İnternete çıkışları ile gerekli izin ve yasaklamaları kapsar.
- Kurumun ihtiyacı doğrultusunda içerik fıltreleme sistemleri kullanılacaktır. Bilgi Güvenliği Politikaları yönergesi gereği istenilmeyen siteler (pornografik, oyun, kumar, şiddet içeren vs) ve video paylaşım siteleri (Youtube v.b.) yasaktır.
- Hiçbir kullanıcı peer-to-peer bağlantı yoluyla internetteki servisleri kullanamayacaktır. (Örnek; KaZaA, iMesh, eDonkey2000. Gnutella, Napster, Aimster, Madster, FastTrack, Audiogalaxy, MFTP, eMule, Overnet, NeoModus, Direct Connect, Acquisition, BearShare! Gnucleus, GTK- Gnutella, Lime Wire, Mactella, Morpheus, Phex, Qtella, Shareaza, XoLoX, OpenNap, WinMX. v.b.)
- Bilgisayarlar arası ağ üzerinden ICQ, MIRC, Messenger v.b. mesajlaşma ve sohbet programları gibi chat programları kullanılmayacaktır. Bu chat programları üzerinden dosya alışverişinde bulunulmayacaktır.(Sadece resmi yazışmalarda olmak üzere gerekli görüldüğü durumda ilgili Daire Müdürlerinin Bilgi İşlem Şube Müdürlüğüne yazılı talepleri doğrultusunda ilgili Daire Müdürlerinin uygun gördüğü personellerin kullanımına izin verilecektir.)
- Hiçbir kullanıcı internet üzerinden Multimedia Streaming yapamayacaktır.
- E-içişleri (e-devlet) kapsamında internet sisteminin hızlı ve sağlıklı çalışması zorunluluğu bulunduğundan çalışma saatleri içerisinde aşırı bir şekilde iş ile ilgili olmayan sitelerde gezinmek yasaktır.
- Bilgisayarlar üzerinden genel ahlak anlayışına aykırı internet sitelerine girilmeyecek ve dosya indirimi yapılmayacaktır. İş ile ilgili olmayan (müzik, video dosyalan ) yüksek hacimli dosyalar göndermek (upload) ve indirmek (download) etmek yasaktır.
- Üçüncü şahısların (Misafirlerin) kurum internetini kullanmaları Bilgi İşlem sorumlularının izni ve bu konudaki kurallar dahilinde gerçekleştirilebilecektir.
Kurumsal Ağ ve Sistem Güvenliği Politikaları
Madde 9- Kurumsal Ağ ve Sistem Güvenliği ile ilgili kurallar aşağıda belirtilmiştir.
- Zararlı programları (örnek, Truva atı, solucanlar, virüsler, email bombaları vs.) kurum bünyesinde oluşturmak ve dağıtmak yasaktır. Hiçbir kullanıcı herhangi bir sebepten dolayı anti virüs programını sisteminden kaldıramaz pasif hale getiremez, farklı bir virüs programı kuramaz.
- Bilinmeyen veya şüpheli kaynaklardan asla dosya indirilmemelidir. Bilinmeyen kaynaklardan gelen flopy disketleri, cd-romlar ve harici diskler, bellekler kullanımdan önce virüslere karşı taranmalıdır.
- Bilinmeyen kişilerden e-posta ile birlikte gelen dosya veya makrolar kesinlikle açılmamalı, bu ekli dosyalar hemen silinmeli daha sonra silinmiş öğelerden tekrar silinmelidir. Sıpam, zincir ve diğer junk e-mailler silinmelidir. Kişisel kullanım için internetteki listelere üye olunması durumunda kurum e-posta adresleri kullanılmamalıdır.
- Kullanıcılar, kurumsal ağa, yazılı onay almadan, herhangi bir cihaz (masaüstü veya dizüstü bilgisayar, kamera, cep telefonu, tablet vb.) bağlayamaz.
- İnternet üzerinden interaktif uygulamalar kullanılamaz, (internet üzerinden oynanan oyunlar, borsa, mesajlaşma vb.)
- Herhangi bir kullanıcının şifresini kırmak veya ele geçirmek amaçlı programlar (keylogger, spy ware, trojen vb) kullanılamaz.
- Kurumsal ağ üzerindeki paketleri yakalama izleme değiştirme İP değiştirme, msn dinleme vb. işlemleri gerçekleştirmeye yönelik programlar kullanılamaz, işlem yapılamaz.
- Bakanlık tarafından belirtilen ceza ve yasak kapsamına giren internet adresleri ile bakanlık sistem güvenliği ve valilik sistem güvenliği açısından tehlike yaratabilecek nitelikte zararlı olduğu tespit edilen internet adreslerine erişim tüm kullanıcılar için engellenir. Kullanıcılar tarafından bu tür engellemelerin kaldırılması konusunda Bilgi İşlem Şube Müdürlüğü personelinden talepte bulunulamaz.
- Kullanıcılar da kurum tarafından kullanımlarına tahsis edilen sistemlerin güvenliğinden sorumludurlar.
Bilgi İşlem Sisteminin Yönetimi Politikası
Madde 10- Bilgi İşlem Sisteminin Yönetimi Politikası aşağıda belirtilmiştir.
- Kurum bünyesindeki bütün dahili sunucuların yönetiminden yetkilendirilmiş Bilgi İşlem Şube Müdürlüğü personeli sorumludur. Sunucu konfigürasyonları sadece bu gruptaki kişiler tarafından yapılacaktır.
- İşletim sistemi konfigürasyonları Bilgi İşlem Şube Müdürlüğü talimatlarına göre yapılacaktır.
- Birimler tarafından kullanılmakta olan Bilgi İşlem Sisteminin ve Bilgi İşlem Hizmetlerinin yönetimi ve denetimi işlemleri, Bilgi İşlem Şube Müdürlüğü koordinasyonunda yürütülür.
- Bilgi İşlem Sisteminde yer alan tüm donanım ve yazılımlar bakanlığa ait olup bakanlık hizmetlerinde kullanılmak üzere personelin kullanımına tahsis edilir.
- Ağ bağlantıları, Bilgi İşlem Şube Müdürlüğünün yetkili personeli tarafından periyodik olarak kontrol edilir.
- Bilgi İşlem Şube Müdürlüğü personelleri teknik hizmet sunmaları nedeniyle, 657 sayılı Devlet Memurları Kılık Kıyafet Yönetmeliğine uyma zorunluluğu bulunmamakta olup, birim amirinin uygun gördüğü kılık ve kıyafet ile hizmet sunulur.
- Donanım, işletim sistemi, servisler, cihazlar (yazıcı, tarayıcı, fax, modem vb) ve uygulamalar (çeşitli yazılımlar vb.) temin edilmeden ve sisteme entegre edilmeden önce Bilgi İşlem Şube Müdürlüğü tarafından onaylanmalıdır.
- Yetkisi olmayan personelin kurumdaki gizli ve hassas bilgileri görmesi veya elde etmesi yasaktır.
- Kurum ağma standart dışı erişim isteğinde bulunan organizasyon veya kişiler kurumun Bilgi İşlem Şube Müdürlüğünden izin almak ve kurumun belirlediği bağlantı ve kısıtlamaları kullanmak zorundadırlar.
- Valiliğimiz bünyesinde mevcut bulunan ve yeni alınacak olan bilişim cihazlarının planlaması ve dağıtımı Bilgi İşlem Şube Müdürlüğünce yapılır.
- Bilgi güncelleme denetimi, Bilgi İşlem Şube Müdürlüğünün yetkili personeli tarafından yapılacaktır.
Donanım, İşletim Sistemi ve Yazılım, Teknik Destek Hizmetleri Politikaları
Madde 11- Donanım, İşletim Sistemi ve Yazılım, Teknik Destek Hizmetleri Politikaları aşağıda gösterilmiştir.
- Valilik kurumsal ağında yer alan tüm bilgisayarlar, yazıcılar, tarayıcılar ve yazılımların envanter bilgileri takip edilmekte olup, Bilgi İşlem Şube Müdürlüğünün bilgisi dışında, yetkisiz kişiler tarafından herhangi bir değişiklik (ekran kartı, TV kartı takılıp sökülmesi, yazılım yüklenmesi veya kaldırılması vb.) yapılamaz.
- Bilgisayar, yazıcı, tarayıcı vb. cihazlar sürekli enerji tükettiğinden, uzun süre kullanılmamaları durumunda kapalı tutulmaları gerekmektedir. Söz konusu cihazların verimli kullanılması esas olup, cihazlar mesai sonunda mutlak surette kapatılır. Açık bırakılan cihazların uğrayacağı zararlardan birim amirleri sorumludur.
- Ağ üzerinde kullanıcının erişeceği servisler kısıtlanacaktır. Sınırsız ağ dolaşımı engellenecektir.
- İzin verilen kaynak ve hedef ağlar arasındaki iletişimi aktif olarak kontrol eden teknik önlemler Bilgi İşlem Şube Müdürlüğü tarafından alınacaktır.(ömek, firewall).
- Gereksiz servis ve kişisel uygulamalar kaldırılacaktır.
- Güvenlikle ilgili loglar sorumlu kişi tarafından değerlendirilecek ve gerekli tedbirler kullanıcılara bildirilmeksizin alınacaktır.
- Bilgisayar ağlarının ve bağlı sistemlerin iş sürekliliğini sağlamak için özel kontroller uygulanacaktır, (uzaktan erişim yolu vb. )
- Bilgisayar, yazıcı, tarayıcı vb. cihazların data ve enerji kablolarının hasar görmemesi (aşırı gergin olması sebebiyle kopması, sandalye altında ezilmesi vb.) için gereken önlemleri almak kullanıcının sorumluluğundadır.
- Bilgisayar, yazıcı, tarayıcı vb. cihazların bağlı olduğu prizlere kullanımı yasak olan ısıtıcı, çaydanlık vb. özel kullanım amaçlı cihazlar kesinlikle takılamaz.
- Bilgi işlem sistemine ilişkin talepler ve sorunlar kullanıcılar tarafından kendi birim sorumlularına iletilecek, birim sorumluları da Bilgi İşlem Şube Müdürlüğü amirine iletecektir.
- Valilik birimlerinde bilgisayar donanımı ve yazılımı, ağ bağlantısı, internet vb. hizmetlerle ilgili yaşanan arızalara Bilgi İşlem Şube Müdürlüğü personeli tarafından müdahale edilir. Yetkili olmayan personel veya şahıslar tarafından müdahale edilen bilgisayarların İnternet bağlantıları derhal kesilir. Sorunun giderilmesi halinde internet bağlantısı tekrar verilir. Bu tür müdahaleler sonucunda ortaya çıkabilecek arızalar, maddi hasarlar ya da Valilik sistem güvenliğinin ihlaline yol açan uygulamalar, ilgili bilgisayar kullanıcısının sorumluluğundadır.
- Birimlerden arıza sebebiyle Bilgi İşlem Şube Müdürlüğüne gönderilen bilgisayarlar üzerindeki verilerin yedeklenerek korunması kullanıcının sorumluluğu altındadır. Kullanıcı tarafından alman yedekler Bilgi İşlem Şube Müdürlüğü personeli kontrolünde geri yüklenir.
- Yedekleme ve geri yükleme işlemleri sırasında işbu yönerge ile kurulumu ve kullanımı yasaklanmış olan öğeler tespit edildiğinde Bilgi İşlem Şube Müdürlüğü teknik personeli tarafından derhal silinir.
- Valilik demirbaşına kayıtlı olmayan. Valilik personelinin şahsi bilgisayarlarına arıza bakım ve teknik destek hizmeti verilmez. Bu bilgisayarlara Valiliğin lisanslı yazılımlarının yüklenmesi kesinlikle yasak olup, Bilgi İşlem Şube Müdürlüğü personelinden bu konuda talepte bulunulamaz.
- Bilgi İşlem Şube Müdürlüğü personeli uygulamalar, yazılımlar ve donanımların uyumları, gelişmeleri ve hatalarını tespit etmek amacıyla Donanım, Yazılım ve Cihazları kullanırlar kendi bilgisayarları üzerinde test edebilirler.
Cezai Yükümlülükler
Madde 12- Yukarıda belirtilen maddeler ile 20.02.2012 tarihli İçişleri Bakanlığı Bilgi Güvenliği Politikaları Yönergesini ihlal eden personeller hakkında adli suçlar saklı kalmak kaydı ile 657 sayılı Devlet Memurları Kanununun 125. Maddesi gereğince işlem yapılacaktır.
Yürürlük:
Madde 13- Bu yönerge Manisa Valisinin onayladığı tarihte yürürlüğe girer.
Yürütme:
Madde 14- Bu yönerge hükümlerini Manisa Valisi yürütür.