Bilgi Teknolojileri Güvenliği İlkeleri

S.A. Arkadaşlar. Wisconsin - Madison Üniversitesi, Kampüs Bilişim Güvenliği Bürosunun (OCIS), Bilgi Teknolojileri Güvenliği İlkeleri konusunda hazırlamış olduğu aşağıdaki listede ulusal standartlarda devlet kurumları, özel işletmeler ve üniversitelerce esas alınmaktadır. 1. Güvenlik herkesin sorumluluğundadır Tüm bu bahse konu kurumlar; kendi bünyelerindeki poliçe, süreç ve denetimleri izleyip, geliştirerek bilgiyi muhafaza etmekle sorumludur. 2. Güvenlik, kalkınma sürecinin bir parçasıdır Herhangi bir sistemin ilerleme süreci, güvenlik işlemlerinin, denetimlerinin sağlanması, uygulanması, geliştirilmesi ve belirlenmesini içermektedir. Sistem aşağıdaki maddeler dikkate alındığında daha da güvenli hala gelir. - Bilgi Gizliliği :  Kurum bünyesindeki çalışanların ve bunların kişisel ve ticari bilgilerinin korunması - Bilgi Güvencesi Sistemin içersinde, araştırmaya destek verme ve uygunsuz kullanımları tespit etme, günlük kontroller ve denetim süreçlerinin yer alması - Kullanılabilirlik Denetimlerin geliştirilmesi ve böylelikle kullanıcıların (çalışanların) kolaylıkla süreci takip edebilmesinin mümkün olması - Derinlemesine Savunma Sistem sürekli olarak geliştirilmeli ve hiç bir zaafiyet oluşturmayacak şekilde devam ettirilmeli. Güvenlik katmanlarının olması, bir uygulamada başarıyla sonuçlanacak saldırı şansını azaltabilir. Gereksiz güvenlik mekanizmalarının olması saldırganın sisteme sızması aşamasında her engeli aşmasını gerektirecektir. 3. Güvenlik aktif yönetim demektir. Aşağıdaki maddeler dikkate alınarak, bir sistemin yönetimi, bilgiyi güvenli kılan işlemleri ve denetimleri içermelidir. - Bilgi Sınıflandırması Bilginin yegane sahibi, bilmesi gereken presibi esas alınarak bilgiye, tasnif dışı, hizmete özel gibi sınırlandırmalar getirmeli - Ayrıcalıklar Asgari düzeyde sadece bilmesi gereken kişilerin bilginin silinmesi, düzenlenmesi, bilgiye erişimi sağlanmalı ve bu durum kısa bir süreliğine geçerli olmalıdır. - Görevler Ayrılığı Süreçler ve denetimler, tek bir kişinin en iyi iş uygulamalarına terş düşen raporlar oluşturmasına izin vermemeli. 4. Güvenlik ortak bir anlayışı oluşturur. Kurumlar, işletmeler bilgiyi güvenli kılmaya yönelik olarak olayları, riskleri, tehditleri ve maliyetleri sentezlemekle sorumludur. - Durum Tespiti Hafifletici stratejiler belirlenip uygulanırken, giderlere ve yönetime yönelik risk ve tehditler dikkate alınmalı - Risk Yönetimi Sistemin geliştirilmesi süreci esnasında, sistem ortakları riski yönetecek ve önlemler alıp belirleyecektir. - Tehditler Yönetim, kurum ve işletmeler mevcut ve yeni ortaya çıkmış tehditlere karşı bilgilendirilmeli - Maliyet Yönetimi Yönetim ve işletme sahipleri bilginin güvenliğine yönelik masraflarda olduğu gibi riskleri azaltmada da denetimi sürdürmeli ve uygulama giderlerini dikkate almalıdır. - Olay Yönetimi Yönetim ve işletmeler bilginin güvenliği ile alakalı olayları rapor edeceklerdir. Yönetim, bilgi tabanlı güvenlik olayları konusunda bilgilendirilecek ve olaylar uygun ve güvenli bir şekilde yürütülecektir. Yukarıda yer verilen bilgi teknolojileri güvenliği ile alakalı liste, elbette güvenlik prosedürlerinin tam olarak tamamını kapsamamaktadır. Sade ve sadece sorumlu olduğunuz sistem ve bilgi ile ilgili güvenliği sağlamak üzere klavuz mahiyetinde değerlendirilebilir.

Posted in: Bilgi Teknolojileri Güvenliği İlkeleri