EK-A 6.2.1 Mobil Cihaz Politikası
Kontrol: Mobil cihazların kullanımından kaynaklanan risklerin yönetimi için bir politika ve destekleyici güvenlik önlemleri uygulanmalıdır.
Uygulama Kılavuzu:
Kurumsal verilere zarar gelmemesi adına, mobil cihazlar kullanılırken özen gösterilmesi faydalı olacaktır. Mobil cihaz politikası, mobil cihazların korunmasız ortamlarda kullanıldığı riskini her zaman göz önünde bulundurmalıdır.
Mobil cihaz politikası aşağıdaki konu başlıklarına ilişkin çözümler sunmalıdır;
-Mobil cihazların kayıt altına alınması, ek olarak zimmet formu doldurulması
-Mobil cihaz kullanımında fiziksel şartların uygunluğu (Delici, kesici aletler, sıcaklık, nem su v.b)
-Yazılım yüklemeye ilişkin kısıtlamalar
-Mobil cihaz yazılımlarının sürüm takibi ve yama yönetimi
-Bilgi servislerine erişim kısıtlamaları
-Erişim kontrolleri
-Kriptografik kontoller
-Zararlı yazılımlardan korunma
-Uzaktan devre dışı bırakma, silme
-Yedekleme
-Kablosuz ağ kullanımı
-Web uygulamaları ve web servislerinin kullanımı
Mobil cihazlar halka açık alanlarda kullanılırken ekstra özen gösterilmelidir. Yetkisiz erişim ve bilgi ifşasını engelleyecek kontroller uygulanmalıdır. Bu kontroller kriptografik önemler(VPN v.b), parola kullanımı ve diğer kimlik doğrulama mekanizmaları olarak sınıflandırılabilir.
Çalınma ve kaybolmaya ilişkin riskler göz ardı edilmemelidir. Sigortalama ve kuruma özgü diğer ek kontroller uygulanmalıdır. Kritik bilgi taşıyan kurumsal mobil cihazlar, gözetimsiz bırakılmamalı, mümkün olan yerlerde fiziksel olarak kilitli alanlarda saklanmalı(Ör: Dizüstü bilgisayarları mesai saati dışında ofiste kilitli alanlarda saklamak), bu cihazlar güçlü parola ve yetkilendirme mekanizmaları ile kontrol altına alınmalıdır.
Kuruluş, BYOD(bring your own device) gibi bir politika benimsedi ise aşağıdakiler göz önünde bulundurulmalıdır;
-Şahsi ve kurumsal kullanımın ayrımına gidilebilir. Böylelikle kişiye ait olan bir cihazda kurumsal verinin kullanımı daha güvenli olacaktır. (Bu işlemi gerçekleştirme için özelleşmiş yazılımlar kullanılabilir.)
-Kurumsal verilere erişimin sağlanabilmesi için yalnızca sözleşmeyle gerekli yetkiye sahip kullanıcı atanmasıyla, veri kaybı ve çalınmasının önüne geçilebilir.
ISO 27001 etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster
ISO 27001 etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster
30 Ocak 2014 Perşembe
28 Ocak 2014 Salı
Proje Yönetiminde Bilgi Güvenliği
Kontrol: Bilgi güvenliği,
projenin türü ne olursa olsun proje yönetimi içerisinde adreslenmelidir.
Uygulama Kılavuzu:
Bilgi
güvenliği risklerinin tanımlanması ve adreslenmesi için bilgi güvenliği; kuruluşun
proje yönetim süreçlerine dahil edilmelidir. Kuruluş projelerin türünden
bağımsız olarak örneğin IT projeleri, iş geliştirme projeleri, fiziksel ve
çevresel proje süreçlerinde bilgi güvenliği risklerini adreslemelidir.
Hali
hazırda kullanılan proje yönetim metotları aşağıdakilere gereksinim duyacaktır;
-Proje
hedeflerinin bilgi güvenliği hedeflerini içermesi
-Proje’nin
ilk aşamalarında gerekli kontrollerin tespiti için bilgi güvenliği risk değerlendirme
çalışmasının yapılması
-Uygulanan proje
metodolojisinde bilgi güvenliğinin tüm proje evrelerine dahil edilmesi
Etiketler:
Bilgi Güvenliği,
ISO 27001,
ISO 27001:2013,
ISO 27002:2013
23 Ocak 2014 Perşembe
Bilgi Güvenliği ve Özel İlgi Grupları ile İletişim
ISO 27001:2013 EK-A 6.1.4 Özel İlgi Grupları ile İletişim
Kontrol: Özel ilgi
grupları veya diğer uzman güvenlik forumları ve profesyonel dernekler ile uygun
iletişim kurulmalıdır.
Uygulama Kılavuzu;
Kuruluşların bilgi güvenliği yönetim sisteminin
sürekli iyileştirilmesi adına özel ilgili grupları ile iletişim halinde olması
fayda sağlar. Bu özel ilgi gruplarına örnek olarak, e-posta listeleri, e-posta
grupları, sosyal paylaşım platformlarındaki gruplar, üretici bilgilendirme
forumları, açıklık bildirim platformları verilebilir.
Özel ilgi grupları ve prosfesyonel gruplarla
aşağıdaki konular için iletişim kurma gereksinimi vardır.
- Bilgi
Güvenliği ile ilgili konularda güncel bilgilerden haberdar olmak ve en iyi
çözüm önerilerini takip etmek
- Üreticilerin
yayımladığı güvenlik bildirimlerini takip etmek,
- Bilgi
güvenliği ihlal olayları ile ilgili çözüm önerileri paylaşmak ve takip etmek,
- Bilgi
güvenliği ile ilgili fikir paylaşımında bulunmak.
Etiketler:
Bilgi Güvenliği,
ISO 27001,
ISO 27001:2013,
ISO 27002:2013
21 Ocak 2014 Salı
Bilgi Güvenliği ve Otoritelerle İletişim
ISO 27001:2013 EK-A 6.1.3
Otoritelerle İletişim
Kontrol: İlgili
otoritelerle uygun iletişim kurulmalıdır.
Uygulama Kılavuzu;
Kuruluşlar, otorotilerle ne zaman ve kim
tarafından iletişime geçileceğine dair prosedürleri geliştirmelidir. Bu
prosedürler yaşanan bilgi güvenliği ihlal olaylarının nasıl raporlanacağını
içermelidir. Bu konuda acil durum iletişim prosedürü hazırlanabileceği gibi,
bilgi güvenliği ihlal olayları ile entegre bir süreç de oluşturulabilir.
Daha detaylı bakmak gerekirse, otoritelerle
iletişim, bilgi güvenliği ihlal olaylarında veya iş sürekliliğini tehlikeye
atan durumlarda ihtiyaç olacaktır. Örneğin, internet üzerinden karşılaşılan bir
servis sonlandırma saldırısında servis sağlayacılarla çözüm üretmek için
görüşme gereksinimi doğabilir. Öte yandan, otoritelerle iletişim halinde olmak
yasal ve düzenleyici gereksinimlerde doğacak olası değişikliklerde sürekli
iletişim halinde kalınarak, kuruluşun değişiklikleri uygun şekilde yönetmesini
sağlayacaktır. (Ör: BDDK, BTK bünyesinde veya 5651 gibi yasal değişimler).
Bir diğer dikkat edilmesi gereken konu ise,
yangın, sel, büyük çaplı elektrik kesintileri, büyük çaplı su kesintileri, acil
durumları(ambulans, polis, jandarma) yönetmek için otoritelerle iletişim kurmak
gereksinimdir.
Etiketler:
Bilgi Güvenliği,
ISO 27001,
ISO 27001:2013,
ISO 27002:2013
16 Ocak 2014 Perşembe
Bilgi Güvenliği İç Organizasyonu ve Görevler Ayrılığı
ISO 27001:2013 EK-A 6.1.2 Görevler Ayrılığı
Kontrol:
Kuruluşun varlıklarının yetkisiz veya farkında
olmadan değiştirilme ya da kötüye kullanılma fırsatlarını azaltmak için,
görevler ve sorumluluk alanları ayrılmalıdır.
Uygulama Kılavuzu;
Kurum içinde yetkilendirme ve farkında olmadan değiştirilme ya da kötüye kullanılma fırsatlarını azaltmak için; bir varlığa erişim, değiştirme ve varlığın kullanımına ilişkin önlemler alınması faydalıdır.
Görevler ayrılığını uygulamak özellikle çalışan
sayısı görece az olan organizasyonlarda çeşitli güçlükler yaratabilmektedir. Bununla
birlikte görevler ayrılığını mümkün olduğunca gerçekleştirmenin kuruma fayda
sağlayacağı da göz ardı edilmemelidir. Görevler ayrılığı, varlıkların kazara ya
da istemli olarak kötüye kullanımını önlemek için kullanılan bir yöntem olarak
düşünülmelidir.
Etiketler:
Bilgi Güvenliği,
ISO 27001,
ISO 27001:2013,
ISO 27002:2013
14 Ocak 2014 Salı
Bilgi Güvenliği İç Organizasyonu Nasıl Olmalı?
ISO 27001:2013 A-6 Bilgi
Güvenliği Organizasyonu
ISO 27001:2013 A 6.1 İç Organizasyon
Hedef: Kuruluş içerisinde bilgi güvenliği
uygulaması ve işletimini başlatmak ve kontrol etmek için bir yönetim çerçevesi
oluşturmak.
ISO 27001:2013 A 6.1.1 Bilgi Güvenliği Rol ve
Sorumlulukları
Kontrol: Tüm bilgi güvenliği sorumlulukları tanımlanmalı ve
atanmalıdır.
Uygulama Kılavuzu;
Bilgi
güvenliği sorumlulukları Bilgi Güvenliği Politikaları ile paralel olacak
şekilde tahsis edilmesi gerekmektedir.
Genel
olarak;
- Her bir varlığın korunmasına ve özel bilgi
güvenliği süreçlerinin uygulanmasına ilişkin sorumluluklar belirlenmelidir.
- Bilgi güvenliği risk yönetim aktiviteleri
ve artık riskin kabülüne ilişkin sorumluluklar tanımlanmalıdır.
- Gerekli görülen noktalarda, özel konular
ve bilgi işleme olanakları için tüm sorumluluklar, kılavuzluk edecek şekilde
detaylandırılmalıdır.
- Varlıkların korunması ve bilgi güvenliği
aksiyonlarına alınmasına ilişkin sorumluluklar tanımlanmalıdır.
Bilgi
güvenliğinin etkin olarak sürdürülebilmesi için sorumluluk sahibi kişiler
sorumluklarını kurum içi diğer çalışanlara aktarabilirler. Burada en önemli
nokta sorumluluklarını paylaşan kişilerin halen ‘accountable’ kişi olduğu
unutulmamalıdır. Sorumluklarını delege eden kişi, görevlerin doğru olarak
yerine getirip getirilmediğini takip etmekle sorumludur. Yetki delegasyonu
sorumluluğu tümden ortadan kaldırmamalıdır.
Kişilerin
hangi alanlardan sorumlu oldukları
belirlenmelidir. Bu süreçte;
- Varlıklar ve bilgi güvenliği süreçleri
belirlenmeli ve tanımlanmalıdır.
- Her bir varlık veya bilgi güvenliği süreci
ile atamalar yapılmalı ve sorumluluklara ilişkin detaylar dokümante
edilmelidir. (ISO 27002:2013 8.1.2 gözden geçirilebilir)
- Yetkilendirme mekanizmaları ve seviyeleri
tanımlanmalı ve dokümante edilmelidir.
- Sorumlukları atanmış kişilerin yeterli
yetkinlikte olması veya yeterli yetkinliğe gelmesi sağlanmalıdır.
- Tedarikçi veya üçüncü tarafların
koordinasyonu ve gözetimine ilişkin roller tanımlanmalı ve dokümante
edilmelidir.
Etiketler:
Bilgi Güvenliği,
ISO 27001,
ISO 27001:2013,
ISO 27002:2013
Kaydol:
Kayıtlar (Atom)