- Katılım
- 20 Ara 2023
- Mesajlar
- 468
- Tepkime puanı
- 13
Yazılım Uygulamaları Geliştirme, Barındırma ve Yönetme Yönergesi İndir
Amaç
MADDE 1- (1) Yazılım geliştirme ve yayınlama süreçlerinde standartlaşmayı teşvik etmek; kimlik yönetimi, iz kayıtlarının tutulması, veri ve bilgi güvenliği, performans ve sistemlerin entegrasyonu gibi teknik gereksinimlerde bütünlüğü sağlamak açısından kritik bir öneme sahiptir. Bu kapsamda, yazılımların tasarım aşamasından itibaren güvenlik ve kalite kriterlerine uygun olarak geliştirilmesi, test edilmesi ve sürdürülebilir bir altyapıya entegre edilmesi temel bir gerekliliktir.
(2) Bu Yönergenin amacı, Millî Eğitim Bakanlığı’nın yasal düzenlemelere ve uluslararası bilgi güvenliği standartlarına uygun bir dijital dönüşüm süreci gerçekleştirmesini desteklemek, Millî Eğitim Bakanlığı tarafından yönetilen veri merkezlerinde barındırılan merkez, taşra ve yurtdışı teşkilatlarına ait kurumsal yazılım uygulamalarının geliştirilmesi, yayınlanması, yönetilmesi ve Bakanlık merkez teşkilatı birimlerinin ihtiyacı olan lisans, yazılım ve sistem altyapısı ürünlerinin teminine ilişkin uyulması gereken usul ve esasları belirlemektir.
Kapsam
MADDE 2- (1) Bu Yönerge, Bakanlık birimlerinin geliştirdikleri uygulamalar için Bakanlık veri merkezlerinden talep ettikleri barındırma hizmeti ile Bakanlık merkez teşkilatı birimlerinin lisans, yazılım ve sistem altyapısı ürünlerinin temini süreçlerindeki çalışma usul ve esaslarını kapsar.
(2) Ölçme, Değerlendirme ve Sınav Hizmetleri Genel Müdürlüğü’nün mevcut sistemlerindeki lisans, yazılım ve sistem altyapısı ürünlerinin temini ve geliştirilmesi bu Yönerge kapsamına dahil olmayıp, bu Yönergenin yürürlüğe girmesinden sonra yapılacak her temin ve geliştirmenin Yönerge kapsamında değerlendirilmesi hususu makam onayı ile belirlenecektir.
Dayanak
MADDE 3- (1) Bu Yönerge, 1 sayılı Cumhurbaşkanlığı Teşkilatı Hakkında Cumhurbaşkanlığı Kararnamesi’nin 311 ve 318/A madde hükümleri, 5/12/1951 tarihli ve 5846 sayılı Fikir ve Sanat Eserleri Kanunu, 4/5/2007 tarihli 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun, 24/03/2016 tarihli 6698 sayılı Kişisel Verilerin Korunması Kanunu hükümlerine dayanılarak hazırlanmıştır.
Tanımlar ve kısaltmalar
MADDE 4- (1) Bu Yönergede geçen;
a) Bakanlık: Millî Eğitim Bakanlığını,
b) BİGM: Bilgi İşlem Genel Müdürlüğünü,
c) YEĞİTEK: Yenilik ve Eğitim Teknolojileri Genel Müdürlüğünü,
ç) Kurum: BİGM veya YEĞİTEK ’i
d) İlgili Birim: Uygulamanın ilgili olduğu genel müdürlüğü, başkanlığı ve il millî eğitim müdürlüğünü,
e) Uygulama: Bakanlık veri merkezlerinde barındırılması talep edilen, İlgili Birimler tarafından geliştirilen yazılımları,
f) Uygulama Yöneticisi: Bakanlık merkez teşkilatında; başkan yardımcısını, genel müdür yardımcısını veya daire başkanını, il millî eğitim müdürlüklerinde; il millî eğitim müdür yardımcısını veya şube müdürünü,
g) Uygulama Koordinatörü: Yazılım geliştirme ve yönetimi süreçlerinde koordinasyonu sağlayacak personeli,
ğ) Uygulama Geliştiricisi: İlgili yazılımları geliştiren kişiyi veya ekibi,
h) İçerik Yöneticisi: Uygulama içeriğini oluşturan, güncelleyen ve içerikten sorumlu olan kişiyi veya ekibi,
ı) Kimlik Yönetimi: Kullanıcıların ve sistemlerin kimliğini doğrulama ve yetkilendirme süreçlerini kapsayan sistemi,
i) İz kaydı: Uygulama izleme kayıtlarını,
j) CDN: İçerik dağıtım sistemini,
k) MEB Panel: İlgili birimin internet sitesi yönetim panelini,
l) Uygulama Talep Ekranı: Uygulamalar için talep girilen ve girilen talebin takibinin yapılacağı MEB Panel üzerindeki ekranı,
m) Zafiyet Tarama Testi: Bir sistemin, ağın veya uygulamanın güvenlik açıklarını belirlemek amacıyla yapılan değerlendirme sürecini ifade eder.
Görev ve sorumluluklar
MADDE 5- (1) BİGM ’nin görev ve sorumlulukları:
a) 1 sayılı Cumhurbaşkanlığı Teşkilatı Hakkında Cumhurbaşkanlığı Kararnamesi’nin 318/A maddesinde tanımlanan görevler kapsamına giren uygulama ve diğer hizmetleri sağlamak.
b) Değerlendirme Komisyonu oluşturmak.
c) BİGM bünyesinde barındırılan uygulamalara yönelik http ve ftp iz kayıtlarını tutmak.
ç) Toplanan iz kayıtları kanun ve yönetmeliklerde belirlenen süreyle saklamak ve gerekli durumlarda ilgili kurumlara sunmak.
d) İlgili birimlerce yapılan talepleri almak, değerlendirmek ve yönetmek.
e) Bünyesinde barındırdığı uygulamalara ait sunucu ve veri tabanlarını yedeklemek.
f) İlgili birimlerce yapılan uygulamaların zafiyet tarama testlerini yapmak.
(2) YEĞİTEK ’in görev ve sorumlulukları:
a) 1 sayılı Cumhurbaşkanlığı Teşkilatı Hakkında Cumhurbaşkanlığı Kararnamesi’nin 311. maddesinde tanımlanan görevler kapsamına giren uygulama ve diğer hizmetleri sağlamak.
b) Değerlendirme Komisyonu oluşturmak.
c) Toplanan iz kayıtları kanun ve yönetmeliklerde belirlenen süreyle saklamak ve gerekli durumlarda ilgili kurumlara sunmak.
ç) İlgili birimlerce yapılan talepleri almak, değerlendirmek ve yönetmek.
d) Bünyesinde barındırdığı uygulamalara ait sunucu ve veri tabanlarını yedeklemek.
e) İlgili birimlerce yapılan uygulamaların zafiyet tarama testlerini yapmak.
(3) İlgili birimlerin görev ve sorumlulukları:
a) Uygulama geliştirme ya da barındırma hizmetlerini Uygulama Talep Ekranından talep etmek.
b) Geliştirilen uygulamalara ait iz kayıtlarını yasal mevzuat çerçevesinde tutulmasını sağlayarak, gerekli durumlarda ilgili makamlara sunmak.
c) Uygulamaların yedeklerini belirli aralıklarla güvenli bir ortamda tutulmasını ve saklanmasını sağlamak.
ç) Uygulama Talep Ekranında yer alan güvenlik gereksinimlerini sağlamak.
d) Geliştirilen uygulamaların performanslı bir şekilde çalışmasını sağlamak üzere teknik iyileştirmeleri yapmak.
e) Görev alanına giren konular ile ilgili uygulamaları gereklilik, uygunluk ve uygulanabilirlik açısından değerlendirerek geliştirme öncesinde onay vermek. Mevcut uygulamaların benzeri veya tekrarı olan talepler ile merkezi olarak gerçekleşmesi gereken uygulamalara onay vermemek.
f) Ülke geneli merkezi olarak gerçekleşmesi gereken uygulamaların geliştirilmesini uygulamanın kapsamına göre BİGM veya YEĞİTEK ’ten talep etmek.
g) Geliştirme sonucu ortaya çıkan uygulamanın amaç ve içerik yönünden uygunluğunu kontrol etmek.
ğ) Uygulama Koordinatörünü ve Uygulama Yöneticisi görevlendirmek ve MEB Panelden kullanıcı tanımlamalarını yapmak.
Değerlendirme komisyonlarının oluşturulması ve görevleri
MADDE 6- (1) BİGM ile YEĞİTEK bünyesinde daire başkanı, veri tabanı yöneticisi, sistem yöneticisi, yazılım geliştirme uzmanı ve bilgi güvenliği uzmanından oluşan birer komisyon oluşturulur.
(2) Değerlendirme komisyonları İlgili Birimlerin taleplerini veri niteliği, teknik gereksinimler ve siber güvenlik açısından değerlendirir.
(3) Değerlendirme süreçleri MEB Panel üzerinden yürütülür.
Uygulama talep başvurusu, değerlendirilmesi ve takibi
MADDE 7- (1) Uygulama talebinde bulunan birim adına, Uygulama Koordinatörü Uygulama Talep Ekranındaki başvuru formunu doğru ve eksiksiz bir şekilde doldurur.
(2) Genel müdürlükler ve başkanlıklardaki uygulama yöneticileri ve uygulama koordinatörleri birimlerinin çalışma alanlarına giren konularda il millî eğitim müdürlüklerinden yapılan ön başvuruları MEB Panel üzerinden değerlendirir.
(3) Eğitim içeriği sunan veya eğitim ortamını destekleyici uygulamalar YEĞİTEK Değerlendirme Komisyonu tarafından, diğer uygulamalar BİGM Değerlendirme Komisyonu tarafından değerlendirilir.
(4) İlgili birimler değerlendirme sonuçlarını MEB Panel üzerinden takip eder.
(5) Uygulama Yöneticisi ve Uygulama Koordinatörü birimlerinin yayında olan uygulamalarına yönelik isteklerini barındırma hizmetini aldığı Genel Müdürlüğe iletir.
(6) Uygulama Yöneticisi ve Uygulama Koordinatörü birimleri tarafından onaylanmış uygulamaların yaşam döngüsünü takip ederek yönergeye uygunluğunu denetler ve kullanım süresi dolduğunda yayından kaldırılmasını sağlar.
Uygulama geliştirme süreçlerinde dikkat edilecek hususlar
MADDE 8- (1) Geliştirilen uygulamalar kapsamındaki kullanıcı tanımlamaları, yapılan işlemlerin izlenebilirliğini sağlayacak ve tekil olarak kişi veya sistemi işaret edecek şekilde yapılır.
(2) Başarılı ve başarısız kimlik doğrulama girişimleri için özet veri içerecek şekilde iz kaydı oluşturulur ve talep edilmesi halinde barındırma hizmetini sağlayan Genel Müdürlüğün merkezi iz kaydı sistemine iletilir.
(3) Kurum tarafından talep edilmesi halinde uygulamadaki kullanıcı hareket kayıtlarını merkezi istatistik yazılımına iletir.
(4) Tüm parola alanlarında kullanıcı giriş yaparken kullanıcının parolası varsayılan olarak maskelenir ve açık olarak gösterilmez. Unutulan parola işlevi ve diğer kurtarma yolları geçerli parolayı açığa çıkarılmaz ve yeni parola kullanıcıya açık metin olarak gönderilmez. Kimlik doğrulama bilgileri sadece güvenli kanallar üzerinden taşınır. Parola veya diğer kimlik doğrulama bilgileri açık metin olarak saklanmaz.
(5) İlk parola belirleme işlemi kullanıcı tarafından yapılacak ise güvenli bir parola belirleme mekanizması ve üretilmiş bu parolaların güvenli olarak taşınması için iletme mekanizması oluşturulur. Ayrıca, bu parolalar ilk kullanımda değiştirilmeye zorlanır.
(6) Kullanıcı tarafından oluşturulan parolalar en az 8 karakter uzunluğunda olur ve büyük harf, küçük harf, rakam ile özel karakter içerecek şekilde oluşturulur. Oluşturulan parolalar belirli zaman aralıklarında değiştirilmeye zorlanır.
(7) Kurum tarafından sürüm kontrol sistemine dahil edilmesi uygun görülen kaynak kodlarda gizli bilgiler, API anahtarları ve parolalar yer almaz.
(8) Uygulama, belirli bir süre boyunca hiç kullanılmamış olan hesapları raporlayabilmelidir. Bu hesaplar pasif duruma getirilir veya silinir.
(9) Kimlik doğrulamayla erişilen tüm sayfalardan oturum kapatma işlevine erişilebilir. Buna ek olarak, oluşturulan oturum kimliğinin geçerlilik süresi belirlenir. İlgili süre sonunda, belirli süre etkinlik olmadığında veya kullanıcı oturumu kapattığında oturum geçersiz hale gelir.
(10) Kullanılan uygulama geliştirme çatısının, programlama dilinin ve iletişim protokolünün sağladığı oturum güvenlik mekanizmaları kullanılmalıdır. İnternet uygulamalarının oturum çerezlerinde HTTPOnly, Secure, SameSite vb. bayraklar kullanılır.
(11) Kullanıcılara verilecek yetkiler, yürütülen görevler ve ihtiyaçlar doğrultusunda belirlenir. En az yetki prensibine göre kullanıcının gerçekleştirebileceği ilgili işlemler için gereken asgari yetkilerin haricinde bir ayrıcalık tanımlanmaz.
(12) Güvenilmeyen kaynaklardan alınan dosyaların öncelikle türü ve içeriği doğrulanır, güvenlik açığına sebep olabilecek bir içeriğe sahip olup olmadığı kontrol edilir. Bu dosyalar kısıtlı izinlerle uygulama ana dizini dışında depolanır. Bu dosyaların çalıştırılmasına ve çalıştırılan koda dâhil edilmesine (parametre, eklenti vb. olarak) izin verilmez. Bu işlemler için Kurum tarafından uygulanan denetimler göz önünde bulundurularak Kurum ile ortak bir değerlendirme yapılır.
(13) Kökler arası kaynak paylaşımında (CORS) güvenilmeyen kaynakların uygulamanın verilerine erişmesi engellenir. URL yeniden yönlendirmelerinin sadece bilinen beyaz liste adreslerine yapılması, bilinmeyen adreslere yönlendirme gerekiyorsa kullanıcının uyarılarak onayının alınması sağlanır.
(14) Kurumun izin verdiği dış kaynaklar hariç geliştirilen uygulamalardaki kaynak dosyaları (css, js, görsel vb.) dış kaynaklardan çağırılmaz, bu dosyalar uygulama içine kopyalanır veya Kurum tarafından sağlanan CDN üzerinden kullanılır.
(15) Uygulama, güvenlik güncellemeleri ve yamaları yapılmış bileşenlerden oluşur.
(16) Uygulamanın güvenliğini artırmak ve istemci tarafında yer alan kaynakların güvenliğini sağlamak amacıyla güvenli HTTP başlıkları (X-Frame-Options, Content-Security-Policy vb.) kullanılır. Uygulamanın diğer sistemler, uygulamalar veya kişiler ile paylaştığı dosya, veri veya kaynaklar için erişim kontrolleri yapılır.
(17) Kurumun izin verdiği haller dışında, uygulamanın kullandığı veri tabanları ve kayıtlar, internetten doğrudan erişilemeyecek şekilde yapılandırılır. Veri tabanı yönetim uygulamaları doğrudan internete açılmaz.
(18) Sunuculara ve çalışma ortamlarına (veri tabanı, dosya sistemi, servisler vb.) sadece uygulamanın ve yetkili kullanıcıların erişebileceği şekilde gerekli güvenlik yapılandırmaları uygulanır. Uygulama sunucuları ve veri tabanı sunucuları gibi bileşenlerin arasındaki iletişimde ihtiyaç duyulan en az yetkiye sahip hesaplar kullanır.
(19) Uygulamanın çalıştığı sunucular üzerine derleyiciler ve diğer geliştirme araçları kurulmaz.
(20) Yazılım geliştirme sürecinde güvenlik gereksinimleri tanımlanır ve bu gereksinimler göz önünde bulundurularak tasarım yapılır. Tedarik edilen veya hizmet alımı ile geliştirilen uygulamaların teknik şartnamelerinde güvenlik gereksinimlerine yer verilir. Tedarik edilen veya hizmet alımı ile geliştirilen uygulamalar için yazılımın kullanım amacına uygun olmayan bir özellik ve arka kapı (kullanıcıların bilgisi/izni olmaksızın sistemlere erişim imkânı sağlayan güvenlik zafiyeti) içermediğine/içermeyeceğine dair üretici ve/veya tedarikçilerden taahhütname alınır.
(21) Üretici tarafından sunulan teknik desteği sona ermiş, güvenlik açığı barındıran veya teknolojisi zaman aşımına uğramış sunucu veya istemci teknolojileri kullanılmaz.
(22) Geliştirme ve/veya test ortamında kullanılacak veriler gerçek veri olmamalıdır. Bu kapsamda, ilgili ortamlarda kullanılması için amaca uygun veriler üretilir.
(23) Kurum tarafından tanımlanan güvenli yazılım geliştirme süreçleri uygulanır ve geliştirilen uygulamanın ya da özelliğin kritiklik seviyesine göre Kurum ile iş birliği içerisinde güvenlik testi yapılır ve uygulama/özellik bu test sonrası yayına alınır.
(24) Uygulamalarda, ilgili mevzuat çerçevesinde özel nitelikli kişisel veriler tutulmaz.
(25) Verilerin yanlışlıkla silinmesine karşı verinin geri döndürülebilmesi için veri tabanı yönetim sisteminin sağladığı yedekleme ve kurtarma mekanizmaları önceden kurulur. Düzenli veri tabanı yedeği alınır.
(26) Uygulamalar, oluşabilecek tüm hataları yakalayabilecek ve hata durumlarında varsayılan olarak güvenli durumlara geçebilecek şekilde tasarlanmış olmalıdır. Hata durumu ile ilgili kullanıcının bilgi sahibi olmaması gereken detaylar kullanıcıya gösterilmemelidir. Uygulama, özel nitelikli kişisel veri içeren hata mesajı veya iz kaydı üretmez.
(27) Uygulama, sunucu tarafında kabul edilen her veri tipi için girdi doğrulama denetimi gerçekleştirir.
(28) İhtiyaç halinde kişilerden toplanan veriler için gerekli aydınlatma metnine yer verilir ve açık rıza beyanı alınır.
(29) Form yapısını kullanan uygulamalar, kritik bilgileri formlarda bulunan gizli alanlarda saklanmaz.
(30) Siteler arası istek sahteciliği (CSRF) zafiyetine karşı gerekli güvenlik önlemleri (CSRF token, SameSite bayrağı vb.) alınır.
(31) Uygulamalarda XSS (Cross-Site Scripting) açıklarına karşı koruma sağlamak için kullanıcı girdilerini doğrulanır, uygun şekilde filtrelemeli ve çıktı üretirken güvenli kodlama standartları uygulanır.
(32) Veri tabanı sorguları, parametrik olarak yapılır ve veri tabanına erişimde kullanılan dile karşı (SQL, NoSQL vb.) enjeksiyon saldırılarını engelleyebilecek güvenlik önlemleri alınır.
(33) Sistemin performansını ve güvenliğini sağlamak amacıyla kişisel veri sorgulanan ve kayıt alan ekran ya da API’lerde uygun oran sınırlamaları (rate limiting) belirlenir ve uygulanır.
(34) Uygulama, dosya yolunu girdi olarak alıyor ise uzak ya da yerel dosya içerme açıklarını önleyici güvenlik denetimleri gerçekleştirilir.
(35) Uygulama ara yüzlerinde lisansa tabi font, içerik vb. kullanılacaksa gerekli lisanslar temin edilir. Lisansız olarak bu türden bileşenlerin kullanılması durumunda tüm sorumluluk ilgili uygulamayı geliştiren birime aittir.
(36) Uygulama, XML açıklarını (XPath sorgu saldırıları, XML harici öğe saldırıları, XML enjeksiyonu vb.) önleyici güvenlik denetimlerini yapar.
(37) HTML form alanlarının veri girdileri, REST çağrıları, HTTP üst başlıkları, çerezler, toplu işlem dosyaları gibi veri girdileri için doğrulama denetimi yapar.
(38) Web Servisi yapılandırmaları (konumlandırma, açılacak servis portlarının tahsisi, ağ yapılandırması vb.) güvenliği en üst düzeyde sağlayacak şekilde belirlenir. Her servis çağrısı için kimlik doğrulama ve yetkilendirme kontrolü yapılır.
(39) Mevcut sistemde entegre olunan sistemden kaynaklanan hataların tolere edilebilmesi için gerekli önlemler (eşik değerinin aşılması, veri uyuşmazlığının olması vb. durumda uyarı mekanizmalarının aktif edilmesi) alınır. Uygulamanın entegre olunan sisteme ulaşamaması veya sistemin hata dönmesi durumlarında, uygulama kararlı ve güvenli şekilde işlemlerini devam ettirebilecek şekilde tasarlanır. Uygulama bu durumlarda hizmet sürekliliğini sağlayacak fonksiyonlara sahip olmalıdır.
(40) Uygulamanın ürettiği hata sayfaları varsayılan hata sayfaları yerine, kullanıcı dostu ve kullanıcı tarafından anlaşılabilir şekilde düzenlenir.
(41) Kullanılan veri tabanlarında sorgu performansını artırmak ve veri bütünlüğünü sağlamak için uygun indeksler, yabancı anahtar tanımlamaları ve diğer optimizasyon teknikleri uygulanır.
(42) Dosya yükleme ekranlarında çalıştırılabilir dosyaların (exe, php, asp, aspx, cs, py vb.) yüklenmesi engellenir. Ayrıca tüm dosya yükleme işlemlerinde MIME türü ile dosya uzantısı kontrolleri beyaz liste prensibine uygun şekilde yapılır.
(43) Kurum onayı olmadan dışarıdan alan adı alınmaz, Bakanlık sunucuları haricinde uygulama ve veri tabanı barındırılmaz.
(44) Herhangi bir siber saldırı halinde işlem yapılmadan, tespit edilen sorunlar Kuruma bildirilir.
(45) Tahsis edilen internet alanına virüs, truva atı vb. zararlı içerikler ile yetkisiz erişime neden olabilecek uygulamalar sunuculara yüklenmez.
(46) İnternet barındırma alanı internet sitesi yayıncılığı dışında dosya depolama ya da arşiv alanı olarak kullanılmaz.
(47) Kullanıcı arayüzleri tasarlanırken özel eğitim gereksinimleri olan bireyler için erişilebilirlik kuralları dikkate alınır.
Veri tabanı yapılandırma esasları
MADDE 9- (1) Üretici tarafından desteklenmeyen sistemler zafiyet içerebileceğinden, veri tabanı bilinen en kararlı versiyon ile kullanılır. Belirli periyotlar ile sistemlerin güncelliği kontrol edilir ve gerekli güncelleştirmeler gerçekleştirilir.
(2) Veri tabanı için sunulan parametreler ulusal ve/veya uluslararası otoriteler tarafından güvenli olarak kabul görmüş yöntemler ile yapılandırılır. Ayrıca veri tabanı yönetim sistemi üreticisi tarafından yayımlanan güvenli kullanım önerileri uygulanılır.
(3) Kurum tarafından sağlanan ya da izin verilen veri tabanları dışında veri tabanı kullanılmaz.
(4) Veri tabanlarında varsayılan kullanıcı hesapları ve parolalar kullanılmaz.
(5) Veri tabanı kullanıcı hesapları, yapılan işlemlerin izlenebilirliğini sağlayacak ve tekil olarak kişi veya sistemi işaret edecek şekilde yapılır.
(6) Veri tabanının çalıştığı işletim sistemi üzerinde; komut çalıştırma, yerel dosya okuma/yazma vb. işlemlere imkân sağlayabilecek ayrıcalıkların sınırlandırılması için veri tabanı yönetim sistemi, desteklediği ölçüde yapılandırılır.
(7) Kurum tarafından yapılan değerlendirme neticesinde; veri tabanında üzerinde çalıştırılmış komut/sorgu geçmişinin merkezi iz kaydı sistemlerine gönderilmesi için Kurum tarafından yapılan ayarlar değiştirilmez.
(8) Yetkisiz kullanıcıların yedek dosyalara erişimini engellemek için dosya izinleri yapılandırılır ve şifreleme gibi yöntemler ile güvenlik sağlanır.
(9) İşletim sistemi üzerinde veri tabanı servislerini çalıştıran kullanıcılar için en az yetki prensibi uygulanır. Bu kapsamda ilgili kullanıcılar, ihtiyaç duyulmadığı takdirde yönetici haklarına sahip olmaz.
(10) Kritik veri içeren tablo ve nesneler için tablo ve/veya nesne bazında yetkilendirme yapılır.
Uygulama sunucusu yapılandırma esasları
MADDE 10- (1) Web sunucu yazılımlarının güncel, zafiyet içermeyen ve üreticisi tarafından desteği devam eden kararlı sürümleri kullanılır. Ayrıca, sunucuda kullanımda olan tüm araçların/paket programların güvenlik yamaları için düzenli aralıklarla kontrol yapılır.
(2) Farklı bir ihtiyaç bulunmadığı sürece web sunucu yalnızca 80,443 portlarından çalışacak şekilde yapılandırılır ve Kurumun ilgili birimlerinin/sistemlerinin desteği ile http’den https’e yönlendirme aktif hale getirilir.
(3) Web sunucusu bilgi ifşalarını önleyecek şekilde yapılandırılır. Varsayılan hata ve kurulum sayfaları kaldırılır. Web sunucu teknolojisi hakkında bilgi ifşasına neden olan HTTP başlıkları kaldırılır. Hatalı HTTP isteklerine dönen cevaplarda bilgi ifşasına izin vermez.
(4) POST, GET, OPTIONS ve HEAD metotları dışında diğer HTTP metotları desteklenmez. PUT, DELETE, PROPFIND gibi metotlar web servisi için kullanılıyorsa, kullanımlarının sadece web servis ihtiyaçları ile sınırlı olup olmadığı kontrol edilir. Bu metotların dosya yükleme, silme gibi farklı amaçlarla kullanımı engellenir.
(5) Dizin listelemesi devre dışı bırakılır.
(6) Web sunucu yazılımı debug (hata ayıklama) modunda çalıştırılmaz.
(7) Yazma izni olan dizinler belirlenir, yazma yetkileri sadece dosya yükleme ihtiyacı olan dizinlere verilir. Uygulama üzerinden yüklenen dosyalar için oluşturulmuş dizinlerde çalıştırma izni kaldırılır.
(8) Sunucuda sadece sunucunun hizmet verme amacıyla ilişkili modüller/servisler aktif edilir.
(9) Web sunucusu yalnızca tanımlı bağlantı noktalarındaki ağ bağlantılarını dinlenir. Sunucunun hizmet vermesi için gerekli olmayan portlar kapatılır.
(10) Sunucu tarafında koruyucu HTTP başlıkları (X-Frame-Options, Strict-Transport-Security vb.) yapılandırılır.
(11) Sunucuya IP adresi üzerinden yapılan erişimler engellenir yalnızca geçerli uygulama adresi üzerinden yapılan erişimlere izin verilir.
(12) Uygulama sunucusu iz kayıtlarının Kurum merkezi iz kaydı sistemlerine gönderilmesi için yapılan ön tanımlı konfigürasyonlar değiştirilmez.
İçerik yönetimi esasları
MADDE 11- (1) 30/11/2007 tarih ve 26716 sayılı Resmî Gazete ’de yayımlanarak yürürlüğe giren “İnternet Ortamında Yapılan Yayınların Düzenlenmesine Dair Usul ve Esaslar Hakkında Yönetmelik” doğrultusunda yayın yapılır.
(2) Yayınlanacak her türlü içerik 6698 Sayılı Kişisel Verilerin Korunması Kanunu ile telif hakları, fikri haklar, şeref ve haysiyetin korunması ve gizlilik hükümlerine uygun olur. Bakanlığın herhangi bir politikasını, kuralını ya da düzenlemesini ihlal edemez.
Uygulama altyapı destek politikası
MADDE 12- (1) Sunucu altyapısına ilişkin teknik destek Kurum tarafından sağlanır.
(2) Yazılım geliştirme sürecinde yaşanacak aksaklık ve hatalar uygulama geliştiricisi tarafından giderilir.
Bakanlık merkez teşkilatı birimlerinin temin hususları
MADDE 13- (1) Bu Yönerge kapsamında, uygulama lisansları, yazılımlar ve bu yazılımlar için gerekli sistem altyapısı ürünleri YEĞİTEK tarafından temin edilir. Ancak, BİGM iş ve işlemleri için temin edilecekler bu kapsamın dışındadır
(2) BİGM veya YEĞİTEK dışında lisans, yazılım ve sistem altyapısı ürünü temin edilemez, barındırma işlemi yapılamaz.
ALTINCI BÖLÜM
Çeşitli Hükümler
Yönergeye aykırı davranışlar
MADDE 14- (1) Bu Yönergeye aykırı olarak gerçekleştirilen faaliyetlerin tespiti halinde BİGM veya YEĞİTEK İlgili Birimlere bildirimde bulunur.
(2) İlgili birimler bildirimlere ilişkin gerekli tedbirleri alır.
(3) İlgili birimler tarafından gerekli tedbirlerin alınmaması halinde, uygulamaların hizmeti sonlandırılır ya da uygulamalara Bakanlık yönetimindeki kurumsal internet ağlarından erişim engellenir.
Hüküm bulunmayan hususlar
MADDE 15- (1) Bu Yönergede hüküm bulunmayan hususlarda ilgili diğer mevzuat hükümlerine göre işlem yapılır.
Yürürlük
MADDE 16- (1) Bu Yönerge, onaylandığı tarihten itibaren yürürlüğe girer.
Yürütme
MADDE 17- (1) Bu Yönerge hükümlerini Millî Eğitim Bakanı yürütür.
MİLLÎ EĞİTİM BAKANLIĞI
YAZILIM UYGULAMALARI GELİŞTİRME, BARINDIRMA VE YÖNETME YÖNERGESİ
BİRİNCİ BÖLÜM
Başlangıç Hükümleri
YAZILIM UYGULAMALARI GELİŞTİRME, BARINDIRMA VE YÖNETME YÖNERGESİ
BİRİNCİ BÖLÜM
Başlangıç Hükümleri
Amaç
MADDE 1- (1) Yazılım geliştirme ve yayınlama süreçlerinde standartlaşmayı teşvik etmek; kimlik yönetimi, iz kayıtlarının tutulması, veri ve bilgi güvenliği, performans ve sistemlerin entegrasyonu gibi teknik gereksinimlerde bütünlüğü sağlamak açısından kritik bir öneme sahiptir. Bu kapsamda, yazılımların tasarım aşamasından itibaren güvenlik ve kalite kriterlerine uygun olarak geliştirilmesi, test edilmesi ve sürdürülebilir bir altyapıya entegre edilmesi temel bir gerekliliktir.
(2) Bu Yönergenin amacı, Millî Eğitim Bakanlığı’nın yasal düzenlemelere ve uluslararası bilgi güvenliği standartlarına uygun bir dijital dönüşüm süreci gerçekleştirmesini desteklemek, Millî Eğitim Bakanlığı tarafından yönetilen veri merkezlerinde barındırılan merkez, taşra ve yurtdışı teşkilatlarına ait kurumsal yazılım uygulamalarının geliştirilmesi, yayınlanması, yönetilmesi ve Bakanlık merkez teşkilatı birimlerinin ihtiyacı olan lisans, yazılım ve sistem altyapısı ürünlerinin teminine ilişkin uyulması gereken usul ve esasları belirlemektir.
Kapsam
MADDE 2- (1) Bu Yönerge, Bakanlık birimlerinin geliştirdikleri uygulamalar için Bakanlık veri merkezlerinden talep ettikleri barındırma hizmeti ile Bakanlık merkez teşkilatı birimlerinin lisans, yazılım ve sistem altyapısı ürünlerinin temini süreçlerindeki çalışma usul ve esaslarını kapsar.
(2) Ölçme, Değerlendirme ve Sınav Hizmetleri Genel Müdürlüğü’nün mevcut sistemlerindeki lisans, yazılım ve sistem altyapısı ürünlerinin temini ve geliştirilmesi bu Yönerge kapsamına dahil olmayıp, bu Yönergenin yürürlüğe girmesinden sonra yapılacak her temin ve geliştirmenin Yönerge kapsamında değerlendirilmesi hususu makam onayı ile belirlenecektir.
Dayanak
MADDE 3- (1) Bu Yönerge, 1 sayılı Cumhurbaşkanlığı Teşkilatı Hakkında Cumhurbaşkanlığı Kararnamesi’nin 311 ve 318/A madde hükümleri, 5/12/1951 tarihli ve 5846 sayılı Fikir ve Sanat Eserleri Kanunu, 4/5/2007 tarihli 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun, 24/03/2016 tarihli 6698 sayılı Kişisel Verilerin Korunması Kanunu hükümlerine dayanılarak hazırlanmıştır.
Tanımlar ve kısaltmalar
MADDE 4- (1) Bu Yönergede geçen;
a) Bakanlık: Millî Eğitim Bakanlığını,
b) BİGM: Bilgi İşlem Genel Müdürlüğünü,
c) YEĞİTEK: Yenilik ve Eğitim Teknolojileri Genel Müdürlüğünü,
ç) Kurum: BİGM veya YEĞİTEK ’i
d) İlgili Birim: Uygulamanın ilgili olduğu genel müdürlüğü, başkanlığı ve il millî eğitim müdürlüğünü,
e) Uygulama: Bakanlık veri merkezlerinde barındırılması talep edilen, İlgili Birimler tarafından geliştirilen yazılımları,
f) Uygulama Yöneticisi: Bakanlık merkez teşkilatında; başkan yardımcısını, genel müdür yardımcısını veya daire başkanını, il millî eğitim müdürlüklerinde; il millî eğitim müdür yardımcısını veya şube müdürünü,
g) Uygulama Koordinatörü: Yazılım geliştirme ve yönetimi süreçlerinde koordinasyonu sağlayacak personeli,
ğ) Uygulama Geliştiricisi: İlgili yazılımları geliştiren kişiyi veya ekibi,
h) İçerik Yöneticisi: Uygulama içeriğini oluşturan, güncelleyen ve içerikten sorumlu olan kişiyi veya ekibi,
ı) Kimlik Yönetimi: Kullanıcıların ve sistemlerin kimliğini doğrulama ve yetkilendirme süreçlerini kapsayan sistemi,
i) İz kaydı: Uygulama izleme kayıtlarını,
j) CDN: İçerik dağıtım sistemini,
k) MEB Panel: İlgili birimin internet sitesi yönetim panelini,
l) Uygulama Talep Ekranı: Uygulamalar için talep girilen ve girilen talebin takibinin yapılacağı MEB Panel üzerindeki ekranı,
m) Zafiyet Tarama Testi: Bir sistemin, ağın veya uygulamanın güvenlik açıklarını belirlemek amacıyla yapılan değerlendirme sürecini ifade eder.
İKİNCİ BÖLÜM
Görevler, Sorumluluklar ve Genel Kurallar
Görevler, Sorumluluklar ve Genel Kurallar
Görev ve sorumluluklar
MADDE 5- (1) BİGM ’nin görev ve sorumlulukları:
a) 1 sayılı Cumhurbaşkanlığı Teşkilatı Hakkında Cumhurbaşkanlığı Kararnamesi’nin 318/A maddesinde tanımlanan görevler kapsamına giren uygulama ve diğer hizmetleri sağlamak.
b) Değerlendirme Komisyonu oluşturmak.
c) BİGM bünyesinde barındırılan uygulamalara yönelik http ve ftp iz kayıtlarını tutmak.
ç) Toplanan iz kayıtları kanun ve yönetmeliklerde belirlenen süreyle saklamak ve gerekli durumlarda ilgili kurumlara sunmak.
d) İlgili birimlerce yapılan talepleri almak, değerlendirmek ve yönetmek.
e) Bünyesinde barındırdığı uygulamalara ait sunucu ve veri tabanlarını yedeklemek.
f) İlgili birimlerce yapılan uygulamaların zafiyet tarama testlerini yapmak.
(2) YEĞİTEK ’in görev ve sorumlulukları:
a) 1 sayılı Cumhurbaşkanlığı Teşkilatı Hakkında Cumhurbaşkanlığı Kararnamesi’nin 311. maddesinde tanımlanan görevler kapsamına giren uygulama ve diğer hizmetleri sağlamak.
b) Değerlendirme Komisyonu oluşturmak.
c) Toplanan iz kayıtları kanun ve yönetmeliklerde belirlenen süreyle saklamak ve gerekli durumlarda ilgili kurumlara sunmak.
ç) İlgili birimlerce yapılan talepleri almak, değerlendirmek ve yönetmek.
d) Bünyesinde barındırdığı uygulamalara ait sunucu ve veri tabanlarını yedeklemek.
e) İlgili birimlerce yapılan uygulamaların zafiyet tarama testlerini yapmak.
(3) İlgili birimlerin görev ve sorumlulukları:
a) Uygulama geliştirme ya da barındırma hizmetlerini Uygulama Talep Ekranından talep etmek.
b) Geliştirilen uygulamalara ait iz kayıtlarını yasal mevzuat çerçevesinde tutulmasını sağlayarak, gerekli durumlarda ilgili makamlara sunmak.
c) Uygulamaların yedeklerini belirli aralıklarla güvenli bir ortamda tutulmasını ve saklanmasını sağlamak.
ç) Uygulama Talep Ekranında yer alan güvenlik gereksinimlerini sağlamak.
d) Geliştirilen uygulamaların performanslı bir şekilde çalışmasını sağlamak üzere teknik iyileştirmeleri yapmak.
e) Görev alanına giren konular ile ilgili uygulamaları gereklilik, uygunluk ve uygulanabilirlik açısından değerlendirerek geliştirme öncesinde onay vermek. Mevcut uygulamaların benzeri veya tekrarı olan talepler ile merkezi olarak gerçekleşmesi gereken uygulamalara onay vermemek.
f) Ülke geneli merkezi olarak gerçekleşmesi gereken uygulamaların geliştirilmesini uygulamanın kapsamına göre BİGM veya YEĞİTEK ’ten talep etmek.
g) Geliştirme sonucu ortaya çıkan uygulamanın amaç ve içerik yönünden uygunluğunu kontrol etmek.
ğ) Uygulama Koordinatörünü ve Uygulama Yöneticisi görevlendirmek ve MEB Panelden kullanıcı tanımlamalarını yapmak.
Değerlendirme komisyonlarının oluşturulması ve görevleri
MADDE 6- (1) BİGM ile YEĞİTEK bünyesinde daire başkanı, veri tabanı yöneticisi, sistem yöneticisi, yazılım geliştirme uzmanı ve bilgi güvenliği uzmanından oluşan birer komisyon oluşturulur.
(2) Değerlendirme komisyonları İlgili Birimlerin taleplerini veri niteliği, teknik gereksinimler ve siber güvenlik açısından değerlendirir.
(3) Değerlendirme süreçleri MEB Panel üzerinden yürütülür.
ÜÇÜNCÜ BÖLÜM
Uygulama Esasları
Uygulama Esasları
Uygulama talep başvurusu, değerlendirilmesi ve takibi
MADDE 7- (1) Uygulama talebinde bulunan birim adına, Uygulama Koordinatörü Uygulama Talep Ekranındaki başvuru formunu doğru ve eksiksiz bir şekilde doldurur.
(2) Genel müdürlükler ve başkanlıklardaki uygulama yöneticileri ve uygulama koordinatörleri birimlerinin çalışma alanlarına giren konularda il millî eğitim müdürlüklerinden yapılan ön başvuruları MEB Panel üzerinden değerlendirir.
(3) Eğitim içeriği sunan veya eğitim ortamını destekleyici uygulamalar YEĞİTEK Değerlendirme Komisyonu tarafından, diğer uygulamalar BİGM Değerlendirme Komisyonu tarafından değerlendirilir.
(4) İlgili birimler değerlendirme sonuçlarını MEB Panel üzerinden takip eder.
(5) Uygulama Yöneticisi ve Uygulama Koordinatörü birimlerinin yayında olan uygulamalarına yönelik isteklerini barındırma hizmetini aldığı Genel Müdürlüğe iletir.
(6) Uygulama Yöneticisi ve Uygulama Koordinatörü birimleri tarafından onaylanmış uygulamaların yaşam döngüsünü takip ederek yönergeye uygunluğunu denetler ve kullanım süresi dolduğunda yayından kaldırılmasını sağlar.
Uygulama geliştirme süreçlerinde dikkat edilecek hususlar
MADDE 8- (1) Geliştirilen uygulamalar kapsamındaki kullanıcı tanımlamaları, yapılan işlemlerin izlenebilirliğini sağlayacak ve tekil olarak kişi veya sistemi işaret edecek şekilde yapılır.
(2) Başarılı ve başarısız kimlik doğrulama girişimleri için özet veri içerecek şekilde iz kaydı oluşturulur ve talep edilmesi halinde barındırma hizmetini sağlayan Genel Müdürlüğün merkezi iz kaydı sistemine iletilir.
(3) Kurum tarafından talep edilmesi halinde uygulamadaki kullanıcı hareket kayıtlarını merkezi istatistik yazılımına iletir.
(4) Tüm parola alanlarında kullanıcı giriş yaparken kullanıcının parolası varsayılan olarak maskelenir ve açık olarak gösterilmez. Unutulan parola işlevi ve diğer kurtarma yolları geçerli parolayı açığa çıkarılmaz ve yeni parola kullanıcıya açık metin olarak gönderilmez. Kimlik doğrulama bilgileri sadece güvenli kanallar üzerinden taşınır. Parola veya diğer kimlik doğrulama bilgileri açık metin olarak saklanmaz.
(5) İlk parola belirleme işlemi kullanıcı tarafından yapılacak ise güvenli bir parola belirleme mekanizması ve üretilmiş bu parolaların güvenli olarak taşınması için iletme mekanizması oluşturulur. Ayrıca, bu parolalar ilk kullanımda değiştirilmeye zorlanır.
(6) Kullanıcı tarafından oluşturulan parolalar en az 8 karakter uzunluğunda olur ve büyük harf, küçük harf, rakam ile özel karakter içerecek şekilde oluşturulur. Oluşturulan parolalar belirli zaman aralıklarında değiştirilmeye zorlanır.
(7) Kurum tarafından sürüm kontrol sistemine dahil edilmesi uygun görülen kaynak kodlarda gizli bilgiler, API anahtarları ve parolalar yer almaz.
(8) Uygulama, belirli bir süre boyunca hiç kullanılmamış olan hesapları raporlayabilmelidir. Bu hesaplar pasif duruma getirilir veya silinir.
(9) Kimlik doğrulamayla erişilen tüm sayfalardan oturum kapatma işlevine erişilebilir. Buna ek olarak, oluşturulan oturum kimliğinin geçerlilik süresi belirlenir. İlgili süre sonunda, belirli süre etkinlik olmadığında veya kullanıcı oturumu kapattığında oturum geçersiz hale gelir.
(10) Kullanılan uygulama geliştirme çatısının, programlama dilinin ve iletişim protokolünün sağladığı oturum güvenlik mekanizmaları kullanılmalıdır. İnternet uygulamalarının oturum çerezlerinde HTTPOnly, Secure, SameSite vb. bayraklar kullanılır.
(11) Kullanıcılara verilecek yetkiler, yürütülen görevler ve ihtiyaçlar doğrultusunda belirlenir. En az yetki prensibine göre kullanıcının gerçekleştirebileceği ilgili işlemler için gereken asgari yetkilerin haricinde bir ayrıcalık tanımlanmaz.
(12) Güvenilmeyen kaynaklardan alınan dosyaların öncelikle türü ve içeriği doğrulanır, güvenlik açığına sebep olabilecek bir içeriğe sahip olup olmadığı kontrol edilir. Bu dosyalar kısıtlı izinlerle uygulama ana dizini dışında depolanır. Bu dosyaların çalıştırılmasına ve çalıştırılan koda dâhil edilmesine (parametre, eklenti vb. olarak) izin verilmez. Bu işlemler için Kurum tarafından uygulanan denetimler göz önünde bulundurularak Kurum ile ortak bir değerlendirme yapılır.
(13) Kökler arası kaynak paylaşımında (CORS) güvenilmeyen kaynakların uygulamanın verilerine erişmesi engellenir. URL yeniden yönlendirmelerinin sadece bilinen beyaz liste adreslerine yapılması, bilinmeyen adreslere yönlendirme gerekiyorsa kullanıcının uyarılarak onayının alınması sağlanır.
(14) Kurumun izin verdiği dış kaynaklar hariç geliştirilen uygulamalardaki kaynak dosyaları (css, js, görsel vb.) dış kaynaklardan çağırılmaz, bu dosyalar uygulama içine kopyalanır veya Kurum tarafından sağlanan CDN üzerinden kullanılır.
(15) Uygulama, güvenlik güncellemeleri ve yamaları yapılmış bileşenlerden oluşur.
(16) Uygulamanın güvenliğini artırmak ve istemci tarafında yer alan kaynakların güvenliğini sağlamak amacıyla güvenli HTTP başlıkları (X-Frame-Options, Content-Security-Policy vb.) kullanılır. Uygulamanın diğer sistemler, uygulamalar veya kişiler ile paylaştığı dosya, veri veya kaynaklar için erişim kontrolleri yapılır.
(17) Kurumun izin verdiği haller dışında, uygulamanın kullandığı veri tabanları ve kayıtlar, internetten doğrudan erişilemeyecek şekilde yapılandırılır. Veri tabanı yönetim uygulamaları doğrudan internete açılmaz.
(18) Sunuculara ve çalışma ortamlarına (veri tabanı, dosya sistemi, servisler vb.) sadece uygulamanın ve yetkili kullanıcıların erişebileceği şekilde gerekli güvenlik yapılandırmaları uygulanır. Uygulama sunucuları ve veri tabanı sunucuları gibi bileşenlerin arasındaki iletişimde ihtiyaç duyulan en az yetkiye sahip hesaplar kullanır.
(19) Uygulamanın çalıştığı sunucular üzerine derleyiciler ve diğer geliştirme araçları kurulmaz.
(20) Yazılım geliştirme sürecinde güvenlik gereksinimleri tanımlanır ve bu gereksinimler göz önünde bulundurularak tasarım yapılır. Tedarik edilen veya hizmet alımı ile geliştirilen uygulamaların teknik şartnamelerinde güvenlik gereksinimlerine yer verilir. Tedarik edilen veya hizmet alımı ile geliştirilen uygulamalar için yazılımın kullanım amacına uygun olmayan bir özellik ve arka kapı (kullanıcıların bilgisi/izni olmaksızın sistemlere erişim imkânı sağlayan güvenlik zafiyeti) içermediğine/içermeyeceğine dair üretici ve/veya tedarikçilerden taahhütname alınır.
(21) Üretici tarafından sunulan teknik desteği sona ermiş, güvenlik açığı barındıran veya teknolojisi zaman aşımına uğramış sunucu veya istemci teknolojileri kullanılmaz.
(22) Geliştirme ve/veya test ortamında kullanılacak veriler gerçek veri olmamalıdır. Bu kapsamda, ilgili ortamlarda kullanılması için amaca uygun veriler üretilir.
(23) Kurum tarafından tanımlanan güvenli yazılım geliştirme süreçleri uygulanır ve geliştirilen uygulamanın ya da özelliğin kritiklik seviyesine göre Kurum ile iş birliği içerisinde güvenlik testi yapılır ve uygulama/özellik bu test sonrası yayına alınır.
(24) Uygulamalarda, ilgili mevzuat çerçevesinde özel nitelikli kişisel veriler tutulmaz.
(25) Verilerin yanlışlıkla silinmesine karşı verinin geri döndürülebilmesi için veri tabanı yönetim sisteminin sağladığı yedekleme ve kurtarma mekanizmaları önceden kurulur. Düzenli veri tabanı yedeği alınır.
(26) Uygulamalar, oluşabilecek tüm hataları yakalayabilecek ve hata durumlarında varsayılan olarak güvenli durumlara geçebilecek şekilde tasarlanmış olmalıdır. Hata durumu ile ilgili kullanıcının bilgi sahibi olmaması gereken detaylar kullanıcıya gösterilmemelidir. Uygulama, özel nitelikli kişisel veri içeren hata mesajı veya iz kaydı üretmez.
(27) Uygulama, sunucu tarafında kabul edilen her veri tipi için girdi doğrulama denetimi gerçekleştirir.
(28) İhtiyaç halinde kişilerden toplanan veriler için gerekli aydınlatma metnine yer verilir ve açık rıza beyanı alınır.
(29) Form yapısını kullanan uygulamalar, kritik bilgileri formlarda bulunan gizli alanlarda saklanmaz.
(30) Siteler arası istek sahteciliği (CSRF) zafiyetine karşı gerekli güvenlik önlemleri (CSRF token, SameSite bayrağı vb.) alınır.
(31) Uygulamalarda XSS (Cross-Site Scripting) açıklarına karşı koruma sağlamak için kullanıcı girdilerini doğrulanır, uygun şekilde filtrelemeli ve çıktı üretirken güvenli kodlama standartları uygulanır.
(32) Veri tabanı sorguları, parametrik olarak yapılır ve veri tabanına erişimde kullanılan dile karşı (SQL, NoSQL vb.) enjeksiyon saldırılarını engelleyebilecek güvenlik önlemleri alınır.
(33) Sistemin performansını ve güvenliğini sağlamak amacıyla kişisel veri sorgulanan ve kayıt alan ekran ya da API’lerde uygun oran sınırlamaları (rate limiting) belirlenir ve uygulanır.
(34) Uygulama, dosya yolunu girdi olarak alıyor ise uzak ya da yerel dosya içerme açıklarını önleyici güvenlik denetimleri gerçekleştirilir.
(35) Uygulama ara yüzlerinde lisansa tabi font, içerik vb. kullanılacaksa gerekli lisanslar temin edilir. Lisansız olarak bu türden bileşenlerin kullanılması durumunda tüm sorumluluk ilgili uygulamayı geliştiren birime aittir.
(36) Uygulama, XML açıklarını (XPath sorgu saldırıları, XML harici öğe saldırıları, XML enjeksiyonu vb.) önleyici güvenlik denetimlerini yapar.
(37) HTML form alanlarının veri girdileri, REST çağrıları, HTTP üst başlıkları, çerezler, toplu işlem dosyaları gibi veri girdileri için doğrulama denetimi yapar.
(38) Web Servisi yapılandırmaları (konumlandırma, açılacak servis portlarının tahsisi, ağ yapılandırması vb.) güvenliği en üst düzeyde sağlayacak şekilde belirlenir. Her servis çağrısı için kimlik doğrulama ve yetkilendirme kontrolü yapılır.
(39) Mevcut sistemde entegre olunan sistemden kaynaklanan hataların tolere edilebilmesi için gerekli önlemler (eşik değerinin aşılması, veri uyuşmazlığının olması vb. durumda uyarı mekanizmalarının aktif edilmesi) alınır. Uygulamanın entegre olunan sisteme ulaşamaması veya sistemin hata dönmesi durumlarında, uygulama kararlı ve güvenli şekilde işlemlerini devam ettirebilecek şekilde tasarlanır. Uygulama bu durumlarda hizmet sürekliliğini sağlayacak fonksiyonlara sahip olmalıdır.
(40) Uygulamanın ürettiği hata sayfaları varsayılan hata sayfaları yerine, kullanıcı dostu ve kullanıcı tarafından anlaşılabilir şekilde düzenlenir.
(41) Kullanılan veri tabanlarında sorgu performansını artırmak ve veri bütünlüğünü sağlamak için uygun indeksler, yabancı anahtar tanımlamaları ve diğer optimizasyon teknikleri uygulanır.
(42) Dosya yükleme ekranlarında çalıştırılabilir dosyaların (exe, php, asp, aspx, cs, py vb.) yüklenmesi engellenir. Ayrıca tüm dosya yükleme işlemlerinde MIME türü ile dosya uzantısı kontrolleri beyaz liste prensibine uygun şekilde yapılır.
(43) Kurum onayı olmadan dışarıdan alan adı alınmaz, Bakanlık sunucuları haricinde uygulama ve veri tabanı barındırılmaz.
(44) Herhangi bir siber saldırı halinde işlem yapılmadan, tespit edilen sorunlar Kuruma bildirilir.
(45) Tahsis edilen internet alanına virüs, truva atı vb. zararlı içerikler ile yetkisiz erişime neden olabilecek uygulamalar sunuculara yüklenmez.
(46) İnternet barındırma alanı internet sitesi yayıncılığı dışında dosya depolama ya da arşiv alanı olarak kullanılmaz.
(47) Kullanıcı arayüzleri tasarlanırken özel eğitim gereksinimleri olan bireyler için erişilebilirlik kuralları dikkate alınır.
Veri tabanı yapılandırma esasları
MADDE 9- (1) Üretici tarafından desteklenmeyen sistemler zafiyet içerebileceğinden, veri tabanı bilinen en kararlı versiyon ile kullanılır. Belirli periyotlar ile sistemlerin güncelliği kontrol edilir ve gerekli güncelleştirmeler gerçekleştirilir.
(2) Veri tabanı için sunulan parametreler ulusal ve/veya uluslararası otoriteler tarafından güvenli olarak kabul görmüş yöntemler ile yapılandırılır. Ayrıca veri tabanı yönetim sistemi üreticisi tarafından yayımlanan güvenli kullanım önerileri uygulanılır.
(3) Kurum tarafından sağlanan ya da izin verilen veri tabanları dışında veri tabanı kullanılmaz.
(4) Veri tabanlarında varsayılan kullanıcı hesapları ve parolalar kullanılmaz.
(5) Veri tabanı kullanıcı hesapları, yapılan işlemlerin izlenebilirliğini sağlayacak ve tekil olarak kişi veya sistemi işaret edecek şekilde yapılır.
(6) Veri tabanının çalıştığı işletim sistemi üzerinde; komut çalıştırma, yerel dosya okuma/yazma vb. işlemlere imkân sağlayabilecek ayrıcalıkların sınırlandırılması için veri tabanı yönetim sistemi, desteklediği ölçüde yapılandırılır.
(7) Kurum tarafından yapılan değerlendirme neticesinde; veri tabanında üzerinde çalıştırılmış komut/sorgu geçmişinin merkezi iz kaydı sistemlerine gönderilmesi için Kurum tarafından yapılan ayarlar değiştirilmez.
(8) Yetkisiz kullanıcıların yedek dosyalara erişimini engellemek için dosya izinleri yapılandırılır ve şifreleme gibi yöntemler ile güvenlik sağlanır.
(9) İşletim sistemi üzerinde veri tabanı servislerini çalıştıran kullanıcılar için en az yetki prensibi uygulanır. Bu kapsamda ilgili kullanıcılar, ihtiyaç duyulmadığı takdirde yönetici haklarına sahip olmaz.
(10) Kritik veri içeren tablo ve nesneler için tablo ve/veya nesne bazında yetkilendirme yapılır.
Uygulama sunucusu yapılandırma esasları
MADDE 10- (1) Web sunucu yazılımlarının güncel, zafiyet içermeyen ve üreticisi tarafından desteği devam eden kararlı sürümleri kullanılır. Ayrıca, sunucuda kullanımda olan tüm araçların/paket programların güvenlik yamaları için düzenli aralıklarla kontrol yapılır.
(2) Farklı bir ihtiyaç bulunmadığı sürece web sunucu yalnızca 80,443 portlarından çalışacak şekilde yapılandırılır ve Kurumun ilgili birimlerinin/sistemlerinin desteği ile http’den https’e yönlendirme aktif hale getirilir.
(3) Web sunucusu bilgi ifşalarını önleyecek şekilde yapılandırılır. Varsayılan hata ve kurulum sayfaları kaldırılır. Web sunucu teknolojisi hakkında bilgi ifşasına neden olan HTTP başlıkları kaldırılır. Hatalı HTTP isteklerine dönen cevaplarda bilgi ifşasına izin vermez.
(4) POST, GET, OPTIONS ve HEAD metotları dışında diğer HTTP metotları desteklenmez. PUT, DELETE, PROPFIND gibi metotlar web servisi için kullanılıyorsa, kullanımlarının sadece web servis ihtiyaçları ile sınırlı olup olmadığı kontrol edilir. Bu metotların dosya yükleme, silme gibi farklı amaçlarla kullanımı engellenir.
(5) Dizin listelemesi devre dışı bırakılır.
(6) Web sunucu yazılımı debug (hata ayıklama) modunda çalıştırılmaz.
(7) Yazma izni olan dizinler belirlenir, yazma yetkileri sadece dosya yükleme ihtiyacı olan dizinlere verilir. Uygulama üzerinden yüklenen dosyalar için oluşturulmuş dizinlerde çalıştırma izni kaldırılır.
(8) Sunucuda sadece sunucunun hizmet verme amacıyla ilişkili modüller/servisler aktif edilir.
(9) Web sunucusu yalnızca tanımlı bağlantı noktalarındaki ağ bağlantılarını dinlenir. Sunucunun hizmet vermesi için gerekli olmayan portlar kapatılır.
(10) Sunucu tarafında koruyucu HTTP başlıkları (X-Frame-Options, Strict-Transport-Security vb.) yapılandırılır.
(11) Sunucuya IP adresi üzerinden yapılan erişimler engellenir yalnızca geçerli uygulama adresi üzerinden yapılan erişimlere izin verilir.
(12) Uygulama sunucusu iz kayıtlarının Kurum merkezi iz kaydı sistemlerine gönderilmesi için yapılan ön tanımlı konfigürasyonlar değiştirilmez.
İçerik yönetimi esasları
MADDE 11- (1) 30/11/2007 tarih ve 26716 sayılı Resmî Gazete ’de yayımlanarak yürürlüğe giren “İnternet Ortamında Yapılan Yayınların Düzenlenmesine Dair Usul ve Esaslar Hakkında Yönetmelik” doğrultusunda yayın yapılır.
(2) Yayınlanacak her türlü içerik 6698 Sayılı Kişisel Verilerin Korunması Kanunu ile telif hakları, fikri haklar, şeref ve haysiyetin korunması ve gizlilik hükümlerine uygun olur. Bakanlığın herhangi bir politikasını, kuralını ya da düzenlemesini ihlal edemez.
Uygulama altyapı destek politikası
MADDE 12- (1) Sunucu altyapısına ilişkin teknik destek Kurum tarafından sağlanır.
(2) Yazılım geliştirme sürecinde yaşanacak aksaklık ve hatalar uygulama geliştiricisi tarafından giderilir.
BEŞİNCİ BÖLÜM
Lisans, Yazılım ve Sistem Altyapısı Ürünlerinin Temin ve Barındırma Esasları
Lisans, Yazılım ve Sistem Altyapısı Ürünlerinin Temin ve Barındırma Esasları
Bakanlık merkez teşkilatı birimlerinin temin hususları
MADDE 13- (1) Bu Yönerge kapsamında, uygulama lisansları, yazılımlar ve bu yazılımlar için gerekli sistem altyapısı ürünleri YEĞİTEK tarafından temin edilir. Ancak, BİGM iş ve işlemleri için temin edilecekler bu kapsamın dışındadır
(2) BİGM veya YEĞİTEK dışında lisans, yazılım ve sistem altyapısı ürünü temin edilemez, barındırma işlemi yapılamaz.
ALTINCI BÖLÜM
Çeşitli Hükümler
Yönergeye aykırı davranışlar
MADDE 14- (1) Bu Yönergeye aykırı olarak gerçekleştirilen faaliyetlerin tespiti halinde BİGM veya YEĞİTEK İlgili Birimlere bildirimde bulunur.
(2) İlgili birimler bildirimlere ilişkin gerekli tedbirleri alır.
(3) İlgili birimler tarafından gerekli tedbirlerin alınmaması halinde, uygulamaların hizmeti sonlandırılır ya da uygulamalara Bakanlık yönetimindeki kurumsal internet ağlarından erişim engellenir.
Hüküm bulunmayan hususlar
MADDE 15- (1) Bu Yönergede hüküm bulunmayan hususlarda ilgili diğer mevzuat hükümlerine göre işlem yapılır.
Yürürlük
MADDE 16- (1) Bu Yönerge, onaylandığı tarihten itibaren yürürlüğe girer.
Yürütme
MADDE 17- (1) Bu Yönerge hükümlerini Millî Eğitim Bakanı yürütür.
