Uygulama Yazılımları Kullanma ve Geliştirme Güvenliği Politikası

Yazar: | Tarih: 2 Mart 2018

Uygulama Yazılımları Kullanma ve Geliştirme Güvenliği Politikası

Amaç

Bu politika, Ondokuz Mayıs Üniversitesi'nde geliştirilmiş ve geliştirilmekte olan tüm uygulamalarında yazılımın her türlü güvenliğinin sağlanması amacıyla tüm yazılım geliştiriciler, veri tabanı ve sistem yöneticileri tarafından uyulması gereken kuralları ve kontrol edilmesi gereken adımları tanımlamak üzere hazırlanmıştır.

Kapsam

Bu politika, Ondokuz Mayıs Üniversitesi BİDB tarafından geliştirilen uygulamaların (web sayfaları, masaüstü uygulamaları, web otomasyonları vb.) geliştirilmesi, bakım ve desteğinin sağlanması gibi faaliyetleri yürüten tüm akademik ve idari personelin uyması gereken kuralları kapsamaktadır.

Genel İlkeler

  1. Bilgisayarların üzerinde kullanılan işletim sistemleri düzenli olarak güncelleştirilmelidir.

  2. Üniversite için hazırlanacak uygulamalar güvenlik zafiyetlerini en aza indirmek için güvenli yazılım yaşam döngüsüne uygun olarak tasarlanmalıdır.

  3. Geliştirilen yazılımlar gizlilik, bütünlük ve erişebilirlik şartlarına uygun olmalıdır.

  4. Yazılım geliştirme sürecinde; giriş doğrulama, yetkilendirme, kimlik doğrulama, konfigürasyon yönetimi, hassas bilgi, kriptografi, parametre manipülasyonu, hata yönetimi, kayıt tutma ve denetimi kriterleri dikkate alınmalıdır.

  5. Yazılım geliştirme süreci boyunca gerekli bütün testler eksiksiz şekilde yapılmalıdır.

  6. Kurum için geliştirilen uygulamalar ve satın alınan yazılımlar, güvenlik zafiyetlerine neden olmamak için en son stabil yamalara ve güncelleştirmelere sahip olmalıdır.

  7. Uygulamalar geliştirilme süreçlerinde gerçek ortamda uygulanmadan önce test sunucularında test edilmelidir.

  8. Üniversite için geliştirilen uygulamalar, uluslararası kabul görmüş standartlara bağlı dokümante edilmelidir. Uygulama için yazılmış olan dokümanlar uygulama ile beraber kuruma teslim edilmelidir.

  9. Sistem geliştirmede, ihtiyaç analizi, fizibilite çalışması, tasarım, geliştirme, deneme ve onaylama safhalarını içeren sağlıklı bir iş planı kullanılmalıdır.

  10. Üniversite için geliştirilmiş yazılımlar ve seçilen paket sistemler kurum ihtiyaçlarını karşılamalıdır.

  11. Yazılım geliştirme ve temin politikalarına uygun olmayan, ulusal ve uluslararası yazılım geliştirme standartları çerçevesinde geliştirilmemiş ve kurum talebi olmaksızın üretilmiş olan yazılımların kurumsal sistemler üzerine entegre edilmesine izin verilmemelidir.

  12. Herhangi bir taşıma durumunda, eski sistemlerdeki veriler tamamen, doğru olarak ve yetkisiz değişiklikler olmadan yeni sisteme aktarılmalıdır.

  13. Geliştirme süreci sonrasında, yazılımların yayına alınması kararı bilgi işlem hizmetleri sorumluları tarafından verilmelidir.

  14. Yazılımlar sınıflandırılmalı/etiketlenmeli ve envanterleri çıkarılarak bir yazılım kütüğünde muhafaza edilmelidir.

  15. Güncelliğini veya işlevselliğini yitirmiş yazılımları güvenli bir depolama ortamında arşivlenerek yayından kaldırılmalıdır.

  16. Üniversite bünyesinde; akademik personel, idari personel, hizmet alımı yoluyla temin edilmiş personel, görevlendirme yoluyla kurumda görevlendirilmiş personel ve benzeri yollarla görev yapan ve yazılım geliştirmekle sorumlu tutulmuş olan kişilerin geliştirdiği tüm yazılımların; telif, kullanım, değiştirme, ticari kazanç etme ve diğer tüm hakları Ondokuz Mayıs Üniversitesi'ne aittir.

Referanslar