Bilgi Güvenliği Politikası

 

KYT.FR.05

1. AMAÇ VE KAPSAM

İşbu politika, Mistral Gayrimenkul Yatırım Ortaklığı A.Ş.’nin operasyonlarını istikrarlı, rekabetçi, gelişen ve güvenli bir yapıda sürdürebilmesi için bilgi sistemlerine ilişkin stratejilerinin iş hedefleri ile uyumlu olmasını ve bilgi sistemlerinin kurulması, işletilmesi, yönetilmesi ve kullanılmasına ilişkin olarak bilginin gizliliğini, bütünlüğünü ve gerektiğinde erişilebilir olmasını sağlamak amacıyla hazırlanmıştır.

Bu doküman;

  • Bilgi güvenliği süreçlerinin işletilmesi için gerekli rollerin ve sorumlulukların tanımlanmasını,
  • Bilgi sistemlerine ilişkin risklerin yönetilmesine dair süreçlerin oluşturulmasını,
  • Gerekli kontrollerin tesis edilmesini ve gözetimini kapsar.
  1. MEVZUATA UYUM ÇERÇEVESİ

Mistral GYO A.Ş., faaliyet gösterdiği sermaye piyasası ve gayrimenkul yatırım ortaklığı sektörü gereği, başta Sermaye Piyasası Kurulu (SPK) olmak üzere ilgili tüm düzenleyici ve denetleyici kurumlar tarafından yayımlanan mevzuata tam uyum sağlamayı temel bir ilke olarak benimsemektedir.

Bu kapsamda bilgi sistemleri yönetimi;

  • Bilgi Sistemleri Yönetimine İlişkin Usul ve Esaslar Tebliği (VII-128.10),
  • 6362 sayılı Sermaye Piyasası Kanunu çerçevesinde yapılandırılmaktadır.
  1. DIŞ HİZMET SAĞLAYICILAR

Şirket, bilgi güvenliği süreçlerinin etkin şekilde yürütülmesi amacıyla bilgi güvenliği danışmanlığı, siber güvenlik kontrolleri, sızma testi ve teknik güvenlik hizmetlerini uzman dış hizmet sağlayıcılardan temin edilir.

Dış hizmet sağlayıcılar ile yapılan sözleşmelerde gizlilik, veri güvenliği ve mevzuata uyum yükümlülükleri açıkça tanımlanır. Bilgi sistemlerine ilişkin operasyonel faaliyetler dış hizmet yoluyla yürütülse dahi, nihai sorumluluk ve gözetim Şirket Yönetimi’ne aittir.

  1. BİLGİ SİSTEMLERİ EDİNİMİ, GELİŞTİRİLMESİ VE BAKIMI
  • Bilgi sistemleri, Şirket’in ölçeği ve faaliyetleri ile uyumlu olarak planlanır.
  • Üretici bağımsız, yaygın kullanılan ve sürdürülebilir teknolojiler tercih edilir.
  • Donanım, işletim sistemleri ve uygulamalar periyodik bakım kapsamına alınır.
  • Güncelleme ve değişiklikler kontrollü şekilde gerçekleştirilir.
  • Geliştirme, test ve canlı ortamlar birbirinden ayrılır.
  1. VERİ YEDEKLEME VE KURTARMA SÜREÇLERİ

Şirket bilgi sistemlerine ait veriler, 3-2-1 yedekleme kuralına uygun olarak yedeklenir.

Bu kapsamda:

  • Birincil veriler üretim ortamında,
  • İkincil kopyalar yerel NAS ortamında,
  • Üçüncül kopyalar ise bulut ortamında değiştirilemez (immutable) biçimde tutulur.

Yedekleme süreçleri dış hizmet sağlayıcı tarafından yönetilir ve periyodik olarak kontrol edilir. Yedeklerden geri dönüş testleri düzenli aralıklarla gerçekleştirilir.

  1. LOG YÖNETİMİ VE KAYITLAR

Sistem logları, mevcut altyapı kapsamında yalnızca ilgili cihazların kendi üzerinde tutabildiği kapasite süresince saklanabilmektedir.

5651 sayılı Kanun ve KVKK kapsamında uzun süreli ve merkezi loglama yapılabilmesi için ayrı bir loglama yazılımı ve log sunucusu gerekmektedir. Mevcut altyapıda bu yapıyı destekleyecek sanallaştırma ve sunucu ortamı bulunmadığından merkezi loglama uygulanamamaktadır.

Bu durum, bilgi sistemleri risk değerlendirmesi kapsamında kontrollü bir risk olarak izlenir ve altyapı yatırımı yapılması halinde yeniden değerlendirilir.

  1. ERİŞİM VE UZAKTAN BAĞLANTI GÜVENLİĞİ

Şirket bilgi sistemlerine şirket dışından erişimler yalnızca VPN üzerinden ve şifreli (kriptolu) bağlantılar aracılığıyla sağlanır. Yetkisiz uzaktan erişim yöntemleri yasaktır.

  1. İŞLETİM SİSTEMİ VE UÇ NOKTA GÜVENLİĞİ

Şirket bünyesinde kullanılan bazı sunucu işletim sistemleri, üretici desteği sona ermiş veya sınırlı güvenlik güncellemesi alabilmektedir. Bu nedenle güncel güvenlik yamaları ve antivirüs yazılımları istenilen seviyede uygulanamayabilir.

Bu durum bilgi güvenliği risk yönetimi kapsamında kayıt altına alınmış olup, altyapı yenileme ve sanallaştırma yatırımı yapılması halinde giderilmesi hedeflenmektedir.

  1. RİSK YÖNETİMİ VE DENETİM

Bilgi sistemlerine ilişkin riskler yılda en az bir kez değerlendirilir. Şirket bilgi sistemleri, yetkin ve bağımsız kuruluşlar tarafından yılda en az bir kez sızma testine tabi tutulabilir.

  1. TEMEL BİLGİ GÜVENLİĞİ PRENSİPLERİ

Şirket aşağıdaki bilgi güvenliği prensiplerini benimser:

  • Gizlilik
  • Bütünlük
  • Erişilebilirlik

Tüm çalışanlar ve dış hizmet sağlayıcı personel bu politikalara uymakla yükümlüdür.

  1. UYUMSUZLUK VE DİSİPLİN

Bu politika hükümlerine aykırı hareket eden çalışanlar hakkında, ihlalin niteliğine göre disiplin prosedürleri uygulanır. Gerekli hallerde konu yetkili mercilere bildirilirFormun Altı. Bu uygulamalar, bilgi güvenliğinin sürekliliğini sağlamak ve mevzuata uyumu temin etmek amacıyla yürütülür.