SBA Güvenlik Politikaları
12 Kasım 2019


SBA Faz-3 Kapsamı Eğitim ve Admin Yetkisi

    Söz konusu eğitimlere her lokasyondan 1 (bir) kişi sorumlu olarak katılacaktır. Eğitim tarihleri katılacak personele ayrıca e-posta ile bildirilecektir. Eğitimi alacak personelin, Gizlilik Sözleşmelerini imzalayarak resmi yazı ile Sağlık Bilgi Sistemleri Genel Müdürlüğü' ne 31.10.2019 tarihine kadar göndermesi gerekmektedir. Eğitimi tamamlayan personele sorumlu olduğu Güvenlik Sisteminin yönetim yetkisi verilecektir.

SBA Faz-3 Kapsamı Eğitim ve Güvenlik Politikaları Resmi Yazısı
SBA FAZ3 Egitim ve Guvenlik Politikaları Ust Yazısı.pdf

 Bilgi Güvenliği Personel Gizlilik Sözleşmesi
 BG.SZ.01 Personel Gizlilik Sozlesmesi 4.docx


SBA Faz-3 Kapsamı Cihaz Teslimi

   Cihazın yüklenici tarafından konfigürasyonu yapılarak çalışır halde teslim edilmesi gerekmektedir. Devreye alma işlemi tamamlandıktan sonra aşağıda yer alan SBA Faz-3 Kapsamı Cihaz Teslim Tutanağı'nın 4 (dört) nüsha olarak karşılıklı  imza altına alınması ve 1(bir) nüshasının resmi yazı ile Sağlık Bilgi Sistemleri Genel Müdürlüğü'ne gönderilmesi gerekmektedir.

1-SBA Faz-3 Projesi Teslim Tutanakları resmi yazısı
    SBA Faz-3 Projesi Cihaz Teslim Tutanagi Ust Yazisi.pdf

2-SBA Faz-3 Kapsamı Cihaz Teslim Tutanağı

   Cihaz Teslim Tutanagı.docx


İller İçin Güvenlik Sistemi Yönetim Kuralları

SSL - VPN Kullanıcı Oluşturma

  • Islak imzalı gizlilk sözleşmesi olmayan kullanıcı için vpn hesabı oluşturulmaz.
  • VPN kullanıcıları ad.soyad olarak oluşturulmalıdır.
  • VPN kullanıcı şifresi en az 10 karakter ve kompleks oluşturulmalıdır.
  • VPN şifresi SMS ile gönderilirken, Kullanıcı adı eposta ile gönderilecektir.
  • VPN kullanıcısı erişimleri için yazılan kurallarda destination, service,security profile kısıtlamaları uygulanmış olmalıdır.
 
 SSL-VPN Kural Seti Diyagramı
   ssl-vpn kural seti diyagramı.pdf
 

Public Erişimler için Yazılan Kurallar (İnternetten Kurum içerisindeki uygulamalara erişim)

  • Sadece vatandaş tarafından kullanılan uygulamalar(labsonuc, randevu sunucuları vb.) public erişime açılmalıdır.
  • SSH, RDP gibi kritik servisler internet üzerinden erişime kesinlikle açılmamalıdır.
  • Public erişim için yazılan kurallarda service(80-443 vb port) ve security profile uygulanmış olmalıdır.
  • Firmaları çıkış ip adreslerinden kurum kaynaklarına erişim izni verilmekyecektir.Destek veren tüm firmalar destek için vpn üzerinden sunuculara erişim sağlamalıdır.
  • Kuralların "Name" kısmı kuralın amacına uygun olarak doldurulmalıdır.
  • Kural içerisinde kullanılmak için tüm objeler kucuk harf ve turkce karakter kullanmadan oluşturulmalıdır. Örn: wado-merkez-10.0.199.1
  • Tüm kurallar zone bazlı yazılmalıdır.
  • Tüm kuralların loglaması açık olmalıdır.
 
Public Erişimler İçin Kural Seti Diyagramı
 public erisim kural seti diyagramı.pdf
 

Kurum İçinden İnternete doğru yapılan erişim tanımlamaları

  • Kurum içinde bulunan sunucu, kan dolapları ve alarm sistemleri vb sistemleri erişimleri kısıtlanarak verilecektir. Yazılan erişim kurallarında source, destination, service, security profil kısıtları uygulanacaktır.
  • Tüm kullanıcıların internet erişimleri http/https olarak tanımlanmalı ve internet erişimlerinde tüm kullanıcıların captive portala login olması sağlanmalıdır.
  • http/https dışındaki erişim ihtiyaçları için yazılan kurallarda source, destination, service, security profil kısıtları uygulamalıdır.
  • Captive portal login için Sağlık Bakanlığı hesapları kullanılmalı.
 
İnternet Erişimi Kural Seti Diyagramı

internet erisim kural seti diyagramı.pdf
 

Kurum içi Erişimler (LAN, SBA, DMZ)

  • Kurum içerisinde RDP, SSH, SMB gibi kritik servislerin erişimler açılmayacaktır. Tüm erişimler vpn üzerinde sağlanmalıdır.
  • Kullanıcıların birbirleri (vlan arasındaki) erişimler engellenmelidir
  • Kullanıcıların kullanması gereken uygulama/service (HBYS) erişimleri için yazılan kurallarda source, destination, service, security profil kısıtları uygulanmalıdır. ANY, ANY kural yazılmamalıdır.
  • Kurum içi erişim kurallarında nat kesinlikle kullanılmamalıdır.
  • Misafir Wifi'lerinin lokal networklere erişimlerine izin verilmemelidir.
 
 Kurum İçi Erişimi Kural Seti Diyagramı
 kurumici erisim kural seti diyagramı.pdf









    Sitemizde sizlere daha iyi hizmet verebilmek için gizliliğe uygun şekilde çerezler kullanmaktayız. Çerez politikamızı inceleyebilirsiniz. Çerez Politikası

    Tamam