4 Şubat 2014 Salı

Uzaktan Çalışma ve Bilgi Güvenliği


EK-A 6.2.2 Uzaktan Çalışma
Kontrol: Uzaktan erişilen, işlenen veya depolanan bilginin korunması için bir politika ve destekleyici güvenlik önlemleri uygulanmalıdır.



Uygulama Kılavuzu:
Günümüzde uzaktan çalışma hızla yaygınlaşmaktadır. Kuruluşların uzaktan çalışmaya ilişkin koşulları ve sıkılaştırmaları tanımlarken aşağıdaki konu başlıklarını göz önünde bulundurması faydalı olacaktır;

-Uzaktan çalışma alanının fiziksel güvenliği
-İç ağa erişimin gerekliliği  ve erişilen sistemlerin hassaslığına bağlı olarak uzaktan sağlanan iletişimin güvenlik gereksimlerinin belirlenmesi
-Sanal masaüstü bağlantılarının, kişisel cihazlar üzerinde bilgi işlemesi veya bilgi depolamasının önüne geçilmesine ilişkin kontroller
-Uzaktan erişim yapılan alandan yetkisiz erişim tehditleri (Aile bireyleri v.b)
-Uzaktan çalışma yapılan alanda kablosuz ağ güvenliğine ilişkin sıkışlaştırma ve önlemler
-Kişisel cihazlar (uzaktan erişen) üzerinde, fikri mülkiyet haklarına ilişkin kısıtlamaları içeren politika ve prosedürler
- Uzaktan erişen kişisel cihazlara bilgi güvenliği gereksinimlerinin kontrolü veya bilgi güvenliği ihlal olayı araştırmaları gerçekleştirebilmek için erişim kurallarınının belirlenmesi
- Uzaktan erişen bileşenler için lisans yönetim esaslarının belirlenmesi
-Zararlı yazılamlardan korunma ve güvenlik duvarı yapılanadırma esasları

Kuruluş yukarıdaki maddelere ek olarak aşağıdaki maddelere ilişkin önlemler tanımlamalıdır;

-Kuruluşun kontrolü altında olmayan, uzaktan erişim bileşenlerine erişim hakkının verilmemesi
-Çalışma saatlerinin tanımlanması, gerekli yetkilenledirmelerin yapılması ve periyodik kontrollerin tanımlanması
-Uzaktan erişim yapacak bileşene ait minumum güvenlik gereksinimlerinin/sıkılaştırmalarının tanımlanması ve uygulanaması
-Bileşenlerin donanım ve yazılımına ilişkin destek ve bakımının sağlanması
-Teçhizat sigortlama
-Yedekleme ve iş sürekliliğine ilişkin kontrollerin tanımlanması
-Denetlenebilirlik ve izlenebilirliğin sağlanması
- uzaktan çalışma gereksinimi ortadan kalktığında, erişim haklarının kaldırılması ve teçhizatın iadesi ile ilgili kuralların belirlenmesi

Hiç yorum yok:

Yorum Gönderme