“Güvenlik” iyi durumdaki bilgi ve yapının hırsızlık, veri değişikliği, bilgiyi bozma, servislerin açıklarına karşı korumasını sağlamaktır.
Bilişim Güvenliği Gizliliğe, Orijinalliğe, Güvenilirliğe ve Kullanılabilirliğe dayanır.
1. Gizlilik: Bilgi ya da kaynakların gizlenmesi
2. Orijinallik: Bilginin kaynağından emin olmaktır.
3. Güvenilirlik: Veri ya da kaynağın uygunsuz ya da yetkisizce değiştirilmediğinden emin olmaktır.
4. Kullanılabilirlik: İstenildiği zaman veri ve kaynakların ulaşılabilir durumda olmasıdır.
Bilişim Güvenliğini sağlamada dikkat edilmesi gerekenler
1. Genele açık bilgilerin kontrol altına alınması
• Kurumsal e-posta kullanımının kapsamlarının belirlenmesi ve e-posta güvenliğinin sağlanması.
• DNS, E-posta vb internete açık sistemlerin verebildiği bilgilerin kontrolü ve güvenliğinin sağlanması.
• Kariyer ilanlarının dışarıya verebileceği bilginin belirlenmesi.
2. İnternete açık olan saldırı yüzeyinin daraltılması
• İnternete çıkış noktalarının minimum da tutulması
• İnternet üzerinden erişime açık sistemlerin bilgi verme seviyelerinin kontrolü.
• Kurumun internete çıkışının tek noktadan yönetilmesi.
• İnternet üzerinden erişimi açık sistemlerin güncellemelerinin ve gereksiz servislerinin takip edilmesi.
• Port tarama ve diğer benzer saldırılara karşı güvenlik duvarı ve IDS, IPS sistemlerinin yapılandırılması ve ilke kontrollerinin sağlanması
• Çalışanların internet erişimlerinin politikalarının dışına çıkıp çıkmadıklarının kontrolü.
• Zararlı yazılımlarının yerel sistemler için erişilebilir olup olmadıklarının kontrolü.
• 3g ve GSM gibi kontrolsüz internet erişimi sağlayabilecek sistemlerin kontrolü.
4. Yetki kontrolleri
• Kurum çalışanlarının yetkileri dışında yaptıkların yada yapmaya çalıştıkları eylemlerin takip edilmesi.
• Önemli veriye erişim için tanımlanmış olan ilkelerin gerçekten uygulanıp uygulanmadığının doğrulanması.
• Önemli verinin yetkisizce dışarıya çıkarılıp çıkarılamadığının kontrolleri.
• Denetlemeler ile çalışanların yaptıkları eylemlerin kayıt altına alınması.
5. Güvenlik uygulamalarının kontrolleri
• Kurum çalışanlarının güvenliği sağlama için kullanılan anti virüs ve anti spam yazılımlarının çalışırlığının test edilmesi.
6. Ağ Güvenliğinin Sağlanması
• Yerel ağda kullanılan iletişimin güvenli hale getirilmesinin sağlanması. (Şifreleme)
• Ağ üzerinde şifreleri çalmak için kullanılabilecek uygulamalarının sistemlere kurulumunun engellenmesi.,
• Kurum çalışanlarının sistemlerinde yapılabilecek fiziksel adres (MAC) değişimlerinin kontrolü
7. Çalışanların Bilgi Güvenliği konularında eğitimi
• Periyodik eğitimler ile bilgi güvenliği konularında çalışanları eğitiminin sağlanması.
• Erişim sağlanacak verinin belirlenmesi ve çalışanlara belirtilmesi.
• Yapılan eğitimler sonunda çalışanlara toplantılara katıldıklarına ve verilen bilgilerin anlaşıldığına dair imza alınması.
• Yeni İşe giren personelin yapılacak anlaşma dahilinde Bilgi güvenliği konularından haberdar edilmesinin sağlanması.
• Sistemlerin oturum açma sırasında uyarı mesajları ile kullanıcılara hatırlatmalarda bulunmasının sağlanması.
8. Web Uygulamalarının test edilmesi
• İnternete açık ve intranette kullanılan web uygulamalarının periyodik olarak testlerinin gerçekleştirilmesi ve yeni bulunan zayıflıklara karşı korunmasının sağlanması.
• Web uygulamalarının zayıflık tarayıcı uygulamalar ile periyodik olarak taranması sonucu raporların kontrol edilmesi.
9. Kablosuz Ağ Güvenliği
• Ağ' a girişin en kolay yolu olan kablosuz ağların güvenliklerinin kontrolleri.
• Kablosuz ağ şifrelerinin periyodik olarak değiştirilmesi.
10. Fiziksel Güvenlik
• Sunucu odası ve yedekleme ünitelerinin bulunduğu konumlara girişin korunması.
• Özel sistemlere ve odalara girişin biometrik cihazlar ile korunmasının sağlanması.
• Taşınabilir olan (Laptop , Palm , PDA ) cihazların çalınmaya karşı testlerinin yapılması.
• Kablo lama hatalarından doğabilecek güvenlik zaafiyetlerinin kontrollerinin yapılması.
• Yedekleme ve geri dönme çalışmalarının gerçekleştirilmesi.
11. Bilişim güvenliği yardımcı yazılımlarının kullanılması
• Önemli verinin dışarı aktarılmasını önlemek için DLP (Data Loss Prevention) uygulamalarının yardımı.
• Filtreleme, kayıt altına alma ve Saldırılardan haberdar olmak için Güvenlik Duvarı, IDS ve IPS uygulamalarının yardımı.
• Ağ anormalliklerinin tespiti kolaylaştırmak için Ağ izleme yazılımlarının yardımı.
12. Güvenlik Testleri
• Sistem üzerinde olabilecek zafiyetleri tespit etmek adına periyodik olarak güvenlik testlerinin gerçekleştirilmesi sağlanmalıdır.
0 yorum:
Yorum Gönder