• Bilgi güvenliği yönetim sistemleri. Tasarım aşamasında hizmet sürekliliği ve bilgi güvenliği yönetimi. Tedarikçi yönetimi

    dipnot

    Günümüzde dijital alanın güvenliği her ülkenin ulusal güvenliği için yeni bir yol göstermektedir. Bilginin iş dünyasında değerli bir meta olarak oynadığı rol nedeniyle korunması kesinlikle gereklidir. Bu amaca ulaşmak için her kuruluş, bilgi düzeyine (ekonomik değer açısından) bağlı olarak bir yönetim sisteminin geliştirilmesini gerektirir. bilgi Güvenliği fırsat varken bilgi varlıklarınızı koruyun.

    Varlığı önemli ölçüde bilgi teknolojisine bağımlı olan kuruluşlarda, verileri korumak için tüm araçlar kullanılabilir. Ancak bilgi güvenliği tüketiciler, iş ortakları, diğer kuruluşlar ve devlet için hayati öneme sahiptir. Bu bağlamda, değerli bilgileri korumak için her kuruluşun şu veya bu stratejiye yönelik çaba göstermesi ve buna dayalı bir güvenlik sisteminin uygulanması gerekir. Bilgi güvenliği yönetim sistemi, kuruluşun amaç ve gereksinimlerinden türetilen, bilgi güvenliğinin geliştirilmesi, uygulanması, yönetimi, izlenmesi, analizi, bakımı ve iyileştirilmesi ve uygulanması için risk değerlendirmesi ve analizine dayanan kapsamlı bir yönetim sisteminin bir parçasıdır. güvenlik gereksinimleri, kullanılan prosedürler ve organizasyonun boyutu ve yapısı.

    Anahtar Kelimeler: Bilgi sistemi güvenlik, yönetim bilgi sistemleri, teknoloji

    giriiş

    İçinde bulunduğumuz döneme post-endüstriyel veya bilgi çağı deniyor. İÇİNDE modern dünya Altyapı bilgisi, ülkelerin ekonomik ve sosyal kalkınmasında temel faktör olarak rol oynuyor. önemli rol insan faaliyetinde. Bu çağın ana teknolojileri bilgi teknolojisi ve en son yorumla bilgi ve iletişim teknolojileri (BİT) olarak adlandırılmaktadır. İletişim ve bilgi teknolojisi alanındaki değişiklikler hızlanmıştır; bu nedenle bu alandaki uzmanlar ve uzmanların yanı sıra BİT karar vericileri de bilgilerini korumak ve güncellemek için biraz çaba harcamalıdır. Yeni teknolojiler, görevleri ve becerileri basitleştirmek için tasarlanmıştır ancak öncelikle strateji seçimine ve etkinlikleri planlamaya odaklanır. Bilimsel ve teknolojik ilerlemenin ivmesi yüksektir. Alvin Toffler gelecekte şöyle diyor: "65 ila 70 yıl bir neslin (yani geçmiş 800 dönemi) kapsayan bir dönem olarak kabul edilirse, değişimlerin dünyada daha hızlı gerçekleştiği ortaya çıkar. Son nesilönceki 799'a göre" (Alvin Toffler, 1993). Teknolojinin günlük faaliyetler ve karar vermede anahtar rol oynayacağı veritabanı sistemlerinin uygulanmasına yönelik kurumsal desteğin artmasıyla, bu sistemler aracılığıyla yönetilen verilerin güvenliği son derece önemli hale gelmektedir. Önemli. Hasar ve izinsiz veri kullanımı yalnızca bir kullanıcıyı veya uygulamayı etkilemekle kalmaz, aynı zamanda tüm kuruluş için feci sonuçlara yol açabilir (Bertino ve diğerleri, 2005). Teknolojinin benimsenmesini engelleyen diğer bazı organizasyonel faktörler de kapsamlı bir literatür araştırmasının ardından belirlendi Teknolojinin maliyeti, yönetim ve teknolojik becerilerin eksikliği, sistem entegrasyonunun eksikliği ve finansal kaynakların eksikliği dahil.

    Bilgisayar korsanlarını ve bilgisayar ağına izinsiz girenleri önlemek için fiziksel mantık ve bilgi mantığı sağlamak her zaman önde gelen organizasyon yöneticilerinin endişelerinden biri olmuştur.

    Dışarıdan gelenlerin bilgisayar sistemlerini sabote etmeleri, bilgi ve veritabanlarına erişimleri, yayınlanan bilgiler doğrultusunda koruma faktörleri arasında bilgi güvenliğine ciddi öncelik verilmesi gereken tehditlerden biridir. Öte yandan çeşitli hizmet ve hizmetlerin sağlanması e-devlet, e-ticaret, e-öğrenme ve... İnternet alanında bilgi güvenliği çalışmaları iki katına çıkarılacaktır. Bilgisayar ağı misyonunun en önemli faydası kaynaktır. paylaşım donanım ve yazılım ile bilgiye hızlı ve kolay erişim. Bir ağ güvenlik sisteminin en önemli hedefleri olan paylaşılan kaynakların erişimini ve kullanımını kontrol edin. Bilgisayar ağlarının (özellikle İnternet) genişlemesiyle birlikte bilgi güvenliğine yönelik tutumlar ve diğer paylaşılan kaynaklar, yeni bir aşamaya girdi. Bu bakımdan her kuruluşun değerli bilgileri korumak için farklı bir strateji izlemesi ve buna uygun bir güvenlik sistemi uygulaması gerekir. Uygun bir güvenlik sistemi olmadan bazı beklenmedik ve olumsuz sonuçlar ortaya çıkar. Bilgi güvenliğinde başarı, veri ve bilgi sistemlerinin saldırılardan korunmasına bağlıdır ve bu nedenle birçok istihbarat teşkilatı tarafından kullanılmaktadır. Seçilen hizmetin, bir güvenlik sistemi tarafından oluşturulan, saldırıları zamanında tespit eden ve hızlı yanıt veren gerekli kapasiteye sahip olması gerekir. Dolayısıyla seçilen stratejinin temeli koruma, tespit ve müdahale olmak üzere üç bileşene dayandırılabilir.

    Bilgi Güvenliği Yönetim Sistemleri

    Bilgi güvenliği yönetimi, Bilgi Sisteminin (IS) yönetimi, organizasyonu ve sertifikasyonunda önemli bir rol oynar. 1995 yılında bilgi güvenliği yönetimi standardının ortaya çıkmasıyla birlikte, sistem yaklaşımı bilgi alışverişi alanının güvenliğini sağlamak. Bu kavrama göre, uzay bilgi alışverişinin güvenliğinin sağlanması, tasarım, uygulama, değerlendirme ve değişiklik dahil olmak üzere kademeli, tutarlı ve döngüsel olarak gerçekleştirilmelidir. Buna göre her kuruluşun aşağıdaki eylemlerde güvenli bir bilgi paylaşım alanı uygulaması gerekmektedir:

    A - Güvenliğin organizasyonunu, gerekli plan ve programların yapılmasını sağlar.

    B - Güvenlik ve bilgi alışverişinin organizasyonu alanında oluşturulması ve desteklenmesi için gerekli organizasyonları oluşturmak.

    C - plan ve programlarda güvenliğin uygulanması

    Güvenlik standartları iki ana kategoriye ayrılır: Birinci grup, güvenlik alanında dijital imza, şifreleme gibi alanlardaki teknik özelliklerle ilgili olarak kullanılır. Genel anahtar, simetrik şifreleme, önbellek işlevleri, mesaj şifreleme ve kimlik doğrulama işlevleri vb. ve yönetim organizasyonunun çeşitli bölümlerini kapsayan yönetimde güvenlikle ilgili ikinci grup, yönetim standardı BS7799'dur (ISO/IEC 27001'in yeni versiyonu).

    İsimYılHedefTanım
    27000 2009 Diğer standartların temeliDiğer standartlar için bir sözlük olarak kabul edilir
    27001 2005 Yönetim yoluyla bilgi güvenliğinin sağlanmasıTipik olarak ISO\IEC 27002 standardının yanında kullanılır
    27002 2007 2007 Bilgi Güvenliği Yönetimi 27002 için pratik rehberlik sağlanmasıTipik olarak ISO\IEC 27001 geleneksel standardının yanında kullanılır
    27003 2010 Hat rehberliği sağlayın ve bilgi güvenliği yönetiminin uygulanmasına yardımcı olunHedefe ulaşmak için 9 ana parça dahil
    27004 2009 Bilgi güvenliği sistemlerinin ölçülmesi, raporlanması ve etkinleştirilmesiAna bölüm 6 dahil olmak üzere bilgi güvenliği yönetimi çalışmalarının değerlendirilmesi
    27005 2008 Güvenlik riski yönetimi bilgileri için doğrudan rehberlik sağlayınBu standart ISO\IEC 27001 kavramlarını destekler. Bu standart spesifik risk analizi için önerilmemektedir ve bu nedenle yapılandırılmış ve sistematiktir.
    15408 1994'ten sonraBilgisayar sistemlerinin tanınması, uygulanması ve değerlendirilmesi sürecinin işleyişi için bir çerçeve sağlar5 ana güvenlik derecelendirmesi içerir

    Bilgi güvenliği yönetimine yönelik ISO/IEC 27002 standardının hükümlerinden kaynaklanan ve Uluslararası Standardizasyon Örgütü tarafından 2000 yılında yayınlanan bilgi güvenliği yönetim sistemi ifadesi, alandaki diğer standartlarla birlikte ISO 27001 standardına uygun olarak yer almaktadır. yönetim sistemlerinin yalnızca ISO 9001 ile ve kuruluşun üst düzey yöneticisinin doğrudan denetimi ve yönlendirmesi altında gerçekleştirilmesi. Bu sistem kuruluşun bilgi güvenliği sağlayıcısıdır ve süreç yaklaşımını temel alır. Sistem ayrıca BS 7799 ve ISO/IEC ile ISO 15408 (genel kriterler) gibi birçok standart ve metodolojiyi de uygulamaktadır. Bilgi güvenliği yönetim sistemini kurmak ve sürdürmek için aşağıdakileri yapmanız gerekir:

    1. Bilgi güvenliği yönetim sisteminin oluşturulması.
    2. Bilgi güvenliği yönetim sisteminin kurulması ve uygulanması.
    3. Bilgi güvenliği yönetim sisteminin takibi ve kontrolü.
    4. Bilgi yönetim sisteminin sürdürülmesi ve iyileştirilmesi.

    "ISUB" sisteminin nihai amacı gizliliği, güvenilirliği ve erişilebilirliği sağlamaktır.

    Pirinç. 1 Güvenlik yönetimi süreci

    Sertifikasyona ulaşmak ve ISS'nin sürekli yönetimini gerçekleştirmek için bir Güvenlik Forumu oluşturulmasına karar verildi. Güvenlik forumunun ana hedefleri BGYS uyumluluğunu sürekli olarak iyileştirmektir. Bu sorumluluklar şunları içerir:

    • BGYS'nin kapsamının tanımlanması;
    • BGYS ile ilgili tüm belgelerin incelenmesi ve onaylanması;
    • Risk değerlendirmesinin yapılması ve tüm değişikliklerin kaydedilmesi;
    • ekibin ticari zorunluluklarıyla tutarlı olarak güvenlik riskini azaltan güvenlik kontrollerini benimsemek;
    • bir güvenlik yöneticisinin atanması;
    • BGYS uyumluluk kontrollerinin gerçekleştirilmesi;
    • uygunluk testlerinden kaynaklanan düzeltici eylemlerin uygulanması ve izlenmesi;
    • güvenlik ihlalleri ve üretim vakalarının incelenmesi;

    Bilgi güvenliğine yatırım yapmanın faydaları:

    • Sistemlerin ve programların devre dışı bırakılması olasılığının azaltılması
    • Organizasyonda insan ve malzeme kaynaklarının etkin kullanımı
    • Veri kaybı maliyetinin azaltılması
    • Fikri mülkiyet korumasının artırılması

    Belli bir zaman aşamasına göre: Bu, bilgi teknolojisi ile etkileşim sırasında güvenlik sorunlarına yanıt olarak inisiyatif (aktivite) veya tepki gösterebileceği anlamına gelir. "Girişimin" amacı, belirli bir olay meydana gelmeden önce önleyici tedbirler almaktır. sorunlar Bu gibi durumlarda sorunu önlememize yardımcı olacak bir takım sorular ortaya çıkacaktır (Ne yapmalıyız...?). "Reaktivite", belirli bir güvenlik sorunundan sonra verilmesi gereken bir tepkidir (Şimdi... Ne yapmalıyız?). Güvenlik sistemleri düzeyinde uygulamaya dayalı olarak bilgisayar ortamı: bilgi güvenliği teknolojisi, proaktif veya reaktif olmak üzere üç düzeyde uygulanabilir: ağ düzeyi, ana bilgisayar düzeyi, uygulama düzeyi

    Böylece ağ düzeyindeki güvenlik sistemi ve hizmetleri belirli uygulama programlarında veya programın uygulanması için gerekli koşulları sağlayan bir ortamda uygulanacaktır.


    Pirinç. 2 Bilgi güvenliği projeksiyon teknolojisi


    Pirinç. 2 Reaktif bilgi güvenliği teknolojisi

    Bir kuruluşun bilgi sistemine yönelik tehdit riskleri

    Birçok şirket yönetim modellerini yeniden düşünmeye çalışıyor. Bilgi sistemlerinin güvenliğine yönelik bilinen tehditler üç ana kategoriye ayrılabilir: gizliliğin ifşa edilmesi, bilginin bütünlüğünün zarar görmesi (manipülasyon) ve bilgi eksikliği (hizmet uyumu). En önemli bilgi güvenliği tehdidi gizliliğin açığa çıkmasıydı. Diğer tehdit edici riskler şunları içerir:

    • İnsan hatası: Bir bilgi sistemine girmenin bu yönteminden kaynaklanan en büyük hasar. Yeterli eğitim ve bilginin sağlanamaması; Güncellenen bilgiler bazen kullanıcılar ve üreticiler tarafından göz ardı edilir ve bazen onların çalışmalarındaki bilgiler kuruluşa yüksek maliyetler getirir; bu da uygun eğitimle kısmen önemli olarak kullanıcı verileriyle ilgili olarak çözülebilir.
    • Sel, deprem, fırtına ve yıldırım gibi doğal afetler.
    • Sistematik hatalar: sistemin donanım ve yazılım sorunları, donanım sorunları, ekipmanların (kablolar, yönlendiriciler) iletişim ağıyla ilgili sorunlar, elektriğin kesilmesi ve bağlanması vb.;
    • Yazılımdaki boşluklar.
    • Yıkım: Sistemlere yönelik bilgi saldırısı ve sistem hakkındaki bilgilerin yok edilmesi, değiştirilmesi veya ifşa edilmesi amacıyla araç ve koşullarla tehdit edilmesi sırasında insanlar veya makineler tarafından gerçekleştirilen faaliyetler.
    • Donanım ve faaliyetlerin çalınması da dahil olmak üzere yasa dışı faaliyetlere siber suç denir.

    Güvenlik Politikasının Kabulü

    BS 7799'a göre risk durumlarında emniyet şu şekilde uygulanır:

    1. Bilgi güvenliği politikasının tanımlanması
    2. Uygun politikaları uygulayın
    3. Güvenlik politikasının uygulanmasından sonra bilgi güvenliğinin mevcut durumunun anında gözden geçirilmesi
    4. Ağ bilgi güvenliğinin incelenmesi ve test edilmesi
    5. Bilgi güvenliğini organize etme yöntemlerinin iyileştirilmesi

    Bir Güvenlik sistemi düzenleme ihtiyacı

    Yöneticiler, sistemin yönetim gerektirip gerektirmediğini belirlemek için tüm bilgi sistemlerini incelemelidir.(Bilgisayarların ilk zamanlarında, paylaşımlı sistemler kişileri tanımlamak için yalnızca kullanıcı adını kullanıyordu ve şifre girmeye gerek yoktu, ancak sistem suiistimalleri başladıkça şifreler eklendi.) Günümüzde Yönetim, ağ güvenliğini her zamankinden daha fazla dikkate almaktadır.Bunun en önemli nedenleri şunlardır:

    Donanım, yazılım, ekipman, bilgisayar ve yazılıma yatırım yapmanın maliyeti çok pahalıdır ve yerine yenisini koymak zor ve pahalıdır. Bir güvenlik olayında yazılım ve donanım güvenliği sorunları tamamen ortadan kalkmasa bile tüm yazılımların yeniden yüklenmesi ve ardından temel gereksinimlerin belirlenmesi gerekli hale gelebilir. Bu, özellikle sorumlu kişinin yeterli bilgi birikimine sahip olmaması durumunda çok zaman alır. teknik Bilgiler Bu bölgede.

    Kurumsal Verilerin Maliyeti - Bu veriler müşteri listelerini, proje finansmanını veya kullanıcı tarafından yazılan ticari uygulamaları içerebilir.

    Kişisel verilerin maliyeti - bireysel verilerin maddi değeri olmayabilir, ancak bunları kaybetmek çok zararlıdır ve yeni bilgiler oluşturmak çok zaman alacaktır.

    Bilgisayar suçlularının tehdidi Teknolojik ilerlemeyle birlikte, bilgisayar verilerinin çalınmasından çıkar sağlayacak bir grup sabotajcı. Bu insanlar hasara neden oluyor, güvensizliği yayıyor ve daha geniş ölçekte kritik sorunlar yaratıyor.

    Program Güvenlik Sistemindeki zayıflıkların nedenleri genellikle güvenlik konularının dikkate alınmamasından kaynaklanmaktadır. Bu sorunun birkaç nedeni var:

    Kaygısız - programcılar ve tasarımcılar güvenliğin önemini dikkate almıyorlar

    Düşük öncelik - çok uzun zaman önce güvenlik noktalarını bilenler bile bunları uygulamamıştı ve bu nedenle güvenlik konuları şu anda ilgimizi çekmiyor

    Zaman ve Maliyet Kısıtlamaları - Bazı insanlar tasarım, kodlama ve teste yönelik güvenlik etkinliklerinin üretim sürecinde yüksek maliyetli olduğunu ve bunlara adanmanın çok fazla zaman gerektirdiğini düşünüyor.

    Programcının çalışmasındaki düzensizlikler - programla ilgili çalışmada aynı hatalar birkaç kez tekrarlanır ve bu, güvenlik kusurlarına yol açabilir

    Yaratıcı suçlular - yaratıcı ve amaçlı bir kişi her zaman güvenlik engellerini aşmaya çalışır ve sorunlara yol açan hataları keşfettikten sonra bunları aşmanın bir yolunu bulacaktır.

    Düşük farkındalık düzeyi - Düzenli kullanıcılar(güvenlik ihlali mağdurları) genellikle etraflarındaki tehdidi görmezler ve bu nedenle veri güvenliğini sağlamanın uygun yollarını aramazlar

    Sonuç ve öneriler

    Bilgisayar güvenliği aslında teknik olmayan sorunlara yönelik bir dizi teknolojik çözümdür. Bir bilgisayarın güvenliğini sağlamak için zaman, para ve çaba harcanabilir, ancak başıboş veri veya bilginin kasıtlı olarak yok edilmesi endişesi nedeniyle hiçbir zaman güvenli olamaz. Koşullar göz önüne alındığında - yazılım sorunları, çökmeler, hatalar, talihsizlikler, kötü hava koşulları veya agresif ve motive edilmiş ekipmanlar - her bilgisayarın hacklenebileceği, etkinliğin düşebileceği ve hatta tamamen yok edilebileceği görülebilir. Güvenlik uzmanlarının görevi, kuruluşların güvenlik konularına ayıracakları zaman ve maliyetler hakkında karar vermelerine yardımcı olmaktır. Diğer sektörlerde, güvenlik bütçelerinin uygun şekilde tahsis edilmesi nedeniyle Örgüt içerisinde uygun politika ve prosedürlerin sağlanması bir önceliktir. Son olarak uzmanların sistemi incelemesi gerekir çünkü ilgili kuralların doğru uygulanması hedefe ulaşmanın garantisidir. Dolayısıyla güvenlik bir yönetim meselesidir.

    Bu nedenle güvenlik, organizasyon yönetiminin önceliklerinden biri olmalıdır. Yönetim, temel güvenlik sorunlarını anlamalı ve varlıkları korumak için birincil güvenlik ilkelerinin uygulanmasını teşvik etmelidir. Bir güvenlik planı beş farklı aşamaya ayrılabilir:

    1. Güvenlik İhtiyaçlarının Planlanması
    2. Risk değerlendirmesi ve seçimi en iyi pratik
    3. İhtiyacı yansıtacak Politikanın oluşturulması
    4. Güvenlik Uygulaması
    5. Araştırmalar ve olay müdahalesi

    Etkili emniyet planlamasını ve politikalarını etkileyen iki temel prensip vardır: Organizasyonlarda emniyet uygulamaları ve emniyet politikalarına ilişkin bilgi yukarıdan aşağıya doğru genişletilmelidir. Kullanıcıların güvenlik sorunları konusundaki farkındalığı çok önemlidir. Yöneticiler güvenliğe önemli bir konu olarak bakmalı ve bunun kural ve düzenlemelerini benimsemeli ve uygulamalıdır.

    Çoğu kuruluş, tek bir güvenlik tanımı sağlayan güvenli bir ağa sahip olma eğiliminde olsa da, bu, tüm ağ gereksinimlerini karşılamayabilir. Bunun yerine, her kuruluş kendi verilerinin değerini değerlendirmeli ve ardından korunması gereken öğeler için bir güvenlik politikası tanımlamalıdır. Güvenlik sistemleri pahalı ve zaman alıcı gibi görünebilir ancak böyle bir sistemdeki bilgilerin önemi kurumun hayatta kalması için çok önemlidir. Genel olarak kuruluşlar için bir bilgi güvenliği sisteminin tasarımında aşağıdaki üç koşulun dikkate alınması gerektiği anlaşılmaktadır:

    1. Bilginin saklanması ve geri alınmasında bilginin saflığının sağlanması ve bilgiyi kullanma hakkına sahip kişiler için fırsatlar yaratılması.
    2. Doğruluk: Bilgiler doğru olmalıdır.
    3. Kullanılabilirlik: Bilginin, bilgiyi gerektiği gibi kullanabilmesi için, onu kullanmaya yetkili kişilerin erişimine açık olması gerekir.

    Bilgi desteği olmadan birçok iş sürecinin varlığı imkansızdır. Aslında giderek daha fazla iş süreci yalnızca bir veya daha fazla bilgi sisteminden oluşuyor. Bilgi Güvenliği Yönetimi, amacı bilgi sağlama süreçlerini kontrol etmek ve yetkisiz kullanımını önlemek olan önemli bir faaliyettir.

    Uzun yıllardır Bilgi Güvenliği Yönetiminin zorlukları büyük ölçüde göz ardı edildi. Durum değişiyor. Güvenlik artık önümüzdeki yılların ana yönetim sorunlarından biri olarak kabul ediliyor. İnternetin ve özellikle e-ticaretin kullanımının artmasıyla bu konuya olan ilgi de artıyor. Giderek daha fazla işletme türü, faaliyetlerine elektronik kapılar açıyor. Bu, dışarıdan müdahale riskini artırır ve bazı önemli iş sorunlarını gündeme getirir. Hangi riskleri kontrol etmek istiyoruz ve şimdi ve bir sonraki bütçe döngüsünde hangi eylemleri yapmalıyız? Üst düzey yönetimin karar vermesi gerekir ve bu da ancak derinlemesine risk analizi ile mümkündür. Bu analiz, güvenlik gereksinimlerini belirlemek için gerekli olan Bilgi Güvenliği Yönetim Sürecine girdi sağlamalıdır.

    İş bilgileri güvenliği gereksinimleri BT hizmet sağlayıcılarını etkiler ve Hizmet Düzeyi Anlaşmalarına dahil edilmelidir. Bilgi Güvenliği Yönetim Sürecinin amacı, hizmetlerin güvenliğinin müşteri ile mutabakata varılan seviyede sürekli olarak sağlanmasıdır. Güvenlik artık en önemli gösterge yönetim kalitesi.

    Bilgi Güvenliği Yönetimi süreci, hizmet sağlayıcının bakış açısından güvenlik hususlarının BT organizasyonuna entegrasyonunu destekler. Bilgi Güvenliği Yönetimi Uygulama Kuralları (BS 7799), güvenlik kontrollerinin geliştirilmesi, uygulanması ve değerlendirilmesi için rehberlik sağlar.

    15.1.1. Temel konseptler

    Bilgi Güvenliği Yönetimi süreci, görevi bilginin güvenliğini sağlamak olan genel bilgi güvenliği kapsamına girmektedir. Güvenlik, bilinen risklerden korunmak ve mümkün olduğunda bilinmeyen risklerden kaçınmak anlamına gelir. Bunu sağlayacak araç ise güvenliktir. Amaç değerli bilgileri korumaktır. Bilginin değeri gerekli Gizlilik, Bütünlük ve Kullanılabilirlik Düzeyini etkiler.

    Gizlilik- Bilginin yetkisiz erişime ve kullanıma karşı korunması.

    Bütünlük– bilgilerin doğruluğu, eksiksizliği ve güncelliği.

    Kullanılabilirlik- Bilgiler önceden kararlaştırılan zaman aralığında herhangi bir zamanda mevcut olmalıdır. Bu da bilgi işlem sistemlerinin devamlılığına bağlıdır.

    İkincil yönler arasında mahremiyet (özel bilgilerin gizliliği ve bütünlüğü), anonimlik ve doğrulanabilirlik (doğrulanabilme yeteneği) yer alır. doğru kullanım bilgi ve güvenlik önlemlerinin etkinliği).

    15.2. Süreç Hedefleri

    Son yıllarda neredeyse tüm işletme türleri bilgi sistemlerine daha bağımlı hale geldi. Bilgisayar ağlarının kullanımı da arttı, tek bir kuruluşla sınırlı kalmıyor, iş ortaklarını birbirine bağlıyor ve dış dünyayla iletişimi sağlıyor. BT altyapısının artan karmaşıklığı, işletmelerin teknik arızalara, insan hatalarına, kötü niyetli eylemlere, bilgisayar korsanlarına ve davetsiz misafirlere karşı daha savunmasız hale geldiği anlamına geliyor. bilgisayar virüsleri vb. Artan bu karmaşıklık, birleşik bir yönetim yaklaşımını gerektirmektedir. Bilgi Güvenliği Yönetimi sürecinin diğer süreçlerle önemli bağlantıları bulunmaktadır. Bazı güvenlik faaliyetleri Bilgi Güvenliği Yönetim Sürecinin kontrolü altında diğer ITIL kütüphane süreçleri tarafından yürütülür.

    Bilgi Güvenliği Yönetimi sürecinin iki hedefi vardır:

    SLA'da belirtilen güvenlik gerekliliklerine ve harici anlaşmaların, mevzuatın ve belirlenmiş kuralların diğer gerekliliklerine uygunluk;

    Dış gereksinimlerden bağımsız olarak temel bir Güvenlik Düzeyinin sağlanması.

    Bilgi Güvenliği Yönetimi süreci, BT organizasyonunun sürekli işleyişini desteklemek için gereklidir. SLA Yönetiminin karmaşıklık derecesi aynı zamanda sayılarına da bağlı olduğundan, Hizmet Seviyesi Yönetimi dahilinde Bilgi Güvenliği Yönetiminin basitleştirilmesine de yardımcı olur.

    Sürecin girdisi, güvenlik gereksinimlerini tanımlayan ve mümkün olan yerlerde bu alandaki şirket politikasını tanımlayan belgeler ve diğer dış gereksinimlerle desteklenen SLA anlaşmalarıdır. Süreç aynı zamanda alır önemli bilgi Güvenlik olayları gibi diğer işlemlerden kaynaklanan güvenlik sorunlarıyla ilgili. Çıktılar, güvenlik olayı raporları ve düzenli Güvenlik Planlarının yanı sıra SLA'ların başarıyla uygulanmasına ilişkin bilgileri içerir. Şu anda birçok kuruluş bilgi güvenliğiyle stratejik düzeyde ilgilenmektedir. bilgi politikası Araçlar ve diğer güvenlik ürünlerini satın alırken bilgi planlaması ve operasyonel düzeyde. Gerçek Bilgi Güvenliği Yönetimine, sürekli analize ve çalışma kurallarının dönüştürülmesine yeterince önem verilmiyor. teknik çözümler Gereksinimler ve ortamlar değiştikçe güvenlik önlemlerinin etkinliğini sürdürmek. Operasyonel ve stratejik düzeyler arasındaki farkın sonucu, taktik düzeyde önemli kaynakların artık geçerli olmayan güvenlik önlemlerine yatırılması ve yeni, daha etkili önlemlerin alınması gerektiğidir. Bilgi Güvenliği Yönetim Sürecinin amacı kabulün sağlanmasıdır. etkili önlemler Stratejik, taktik ve operasyonel düzeylerde bilgi güvenliği konusunda.

    15.2.1. Süreci kullanmanın faydaları

    Bilgi güvenliği başlı başına bir amaç değildir; işin ve organizasyonun çıkarlarına hizmet etmelidir. Bazı bilgi türleri ve bilgi hizmetleri organizasyon için diğerlerinden daha önemlidir. Bilgi güvenliği Bilginin Önem Düzeyine uygun olmalıdır. Güvenlik, güvenlik kontrolleri, bilginin değeri ve işleme ortamındaki mevcut tehditler dengelenerek planlanır. Yeterli bilgi güvenliği ile etkili bilgi desteği bir kuruluş için iki nedenden dolayı önemlidir:

    İç nedenler: Bir kuruluşun etkin işleyişi ancak doğru ve eksiksiz bilgiye ulaşmasıyla mümkündür. Bilgi Güvenliği düzeyi bu prensibe uygun olmalıdır.

    Dış nedenler : Bir kuruluşta belirli süreçlerin yürütülmesi sonucunda, belirli görevleri yerine getirmek üzere pazarın veya toplumun kullanımına sunulan ürün ve hizmetler yaratılır. Yetersiz bilgi desteği, ilgili görevlerin yerine getirilmesinde kullanılamayan ve kuruluşun varlığını tehdit eden düşük kaliteli ürün ve hizmetlerin üretilmesine yol açmaktadır. Bilgilerin yeterli düzeyde korunması önemli bir durum Yeterli bilgi desteği için. Dolayısıyla bilgi güvenliğinin dışsal önemi kısmen içsel önemiyle belirlenir.

    Güvenlik, bilgi sistemleri için önemli katma değer yaratabilir. Etkili Güvenlik Kuruluşun işleyişinin sürekliliğine ve hedeflerine ulaşmasına katkıda bulunur.

    15.3. İşlem

    Organizasyonlar ve onların bilgi sistemleri değişiyor. Standart şablonlar Bilgi Güvenliği Yönetimi için pratik öneriler Koleksiyonu (Uygulama Kuralları) gibi bilgi için Güvenlik Yönetimi) statiktir ve BT'deki hızlı değişikliklere yeterince yanıt vermemektedir. Bu nedenle Bilgi Güvenliği Yönetim Süreci kapsamında gerçekleştirilen faaliyetlerin, Sürecin etkinliğinin sağlanması amacıyla sürekli olarak gözden geçirilmesi gerekmektedir. Bilgi Güvenliği Yönetimi, hiç bitmeyen bir planlar, eylemler, kontroller ve eylemler döngüsünden oluşur. Bilgi Güvenliği Yönetimi süreci veya Bilgi Güvenliği Yönetiminin kontrolü altındaki diğer süreçler kapsamında gerçekleştirilen faaliyetler aşağıda açıklanmıştır.

    Pirinç. 15.1. Bilgi Güvenliği Yönetim Süreci (kaynak: OGC)


    Müşteri gereksinimleri sürece girdi olarak sağ üst köşede gösterilmektedir. Bu gereksinimler, Güvenlik Hizmet Düzeyi Sözleşmesinin güvenlik bölümünde ve sağlanan Güvenlik Düzeyinde tanımlanmıştır. Hizmet sağlayıcı, bu anlaşmaları BT organizasyonuna, güvenlik kriterlerini veya operasyonel Hizmet Seviyesi Anlaşmalarını tanımlayan bir Güvenlik Planı biçiminde iletir. Bu plan uygulanır ve sonuçları değerlendirilir. Daha sonra Hizmet Seviyesi Yönetiminin müşteriyi bilgilendirdiği plan ve uygulama yöntemleri ayarlanır. Bu şekilde müşteri ve hizmet sağlayıcı tüm süreç döngüsünün şekillendirilmesine birlikte katılmaktadır. Müşteri, alınan raporlara göre gereksinimleri değiştirebilir ve hizmet sağlayıcı, gözlemlere dayanarak plan veya uygulamayı ayarlayabilir veya SLA'da tanımlanan anlaşmalara itiraz edebilir. Kontrol fonksiyonu Şekil 15.1'in ortasında gösterilmektedir. Bu diyagram aşağıda Bilgi Güvenliği Yönetim Sürecinin faaliyetlerini açıklamak için kullanılacaktır.

    15.3.1. Diğer süreçlerle ilişkiler

    Bilgi Güvenliği Yönetimi sürecinin diğer ITIL süreçleriyle bağlantıları vardır (bkz. Şekil 15.2), çünkü diğer süreçler güvenlikle ilgili faaliyetleri gerçekleştirir. Bu faaliyetler belirli bir sürecin ve liderinin sorumluluğu altında rutin olarak yürütülür. Bunu yaparken Bilgi Güvenliği Yönetim Süreci, diğer süreçlere güvenlikle ilgili faaliyetlerin yapısına ilişkin talimatlar sağlar. Tipik olarak bu konudaki anlaşmalar, Bilgi Güvenliği Yönetimi Süreç Yöneticisi ile diğer süreç yöneticileri arasındaki istişare sonrasında belirlenecektir.

    Pirinç. 15.2. Bilgi Güvenliği Yönetim Süreci ile diğer süreçler arasındaki ilişkiler (kaynak: OGC)


    Konfigürasyon yönetimi

    Bilgi güvenliği bağlamında Konfigürasyon Yönetimi süreci en yüksek değer, çünkü Yapılandırma Öğelerini (CI'ler) sınıflandırmanıza olanak tanır. Bu sınıflandırma, Yapılandırma Öğeleri ile yürürlükteki güvenlik önlemleri veya prosedürleri arasındaki ilişkileri tanımlar.

    Yapılandırma Öğelerinin sınıflandırılması onların gizliliğini, bütünlüğünü ve kullanılabilirliğini belirler. Bu sınıflandırma SLA'ların güvenlik gereksinimlerine dayanmaktadır. Bilgi veya bilgi sistemlerinin iş süreçleri için ne kadar önemli olduğuna yalnızca müşteri karar verebileceğinden, sınıflandırmayı BT organizasyonunun müşterisi belirler. Müşteri, Konfigürasyon Birimlerinin sınıflandırmasını oluştururken, iş süreçlerinin bilgi sistemlerine ve bilgilere bağımlılık derecesini dikkate alır. BT organizasyonu daha sonra sınıflandırmayı uygun Yapılandırma Öğeleriyle ilişkilendirir. BT organizasyonunun ayrıca her Sınıflandırma Düzeyi için bir dizi güvenlik kontrolü uygulaması gerekir. Bu önlemler dizisi prosedürler olarak tanımlanabilir; örneğin "Kişisel bilgileri içeren veri ortamlarının işlenmesine ilişkin prosedür". SLA, her Sınıflandırma Düzeyi için güvenlik önlemleri kümelerini tanımlayabilir. Sınıflandırma sistemi her zaman müşterinin organizasyonunun yapısına uygun olmalıdır. Ancak yönetimi basitleştirmek için BT organizasyonunuzun birden fazla müşterisi olsa bile ortak bir sınıflandırma sistemi kullanmanız önerilir.

    Yukarıdakilerden, sınıflandırmanın kilit nokta olduğu sonucuna varabiliriz. Yapılandırma Veritabanındaki (CMDB) her Yapılandırma Öğesi sınıflandırılmalıdır. Bu sınıflandırma, bir Konfigürasyon Öğesini karşılık gelen bir güvenlik kontrol seti veya prosedürüyle ilişkilendirir.

    Olay Yönetimi

    Olay Yönetimi, güvenlik olaylarının varlığını raporlamak için önemli bir süreçtir. Güvenlik olayları doğası gereği diğer olaylardan farklı bir süreç kullanılarak ele alınabilir. Bu nedenle Olay Yönetim Sürecinin güvenlik olaylarını bu şekilde tanıması önemlidir. SLA'nın güvenlik gereksinimlerinin karşılanmasına müdahale edebilecek her türlü olay, güvenlik olayı olarak sınıflandırılır. Güvenlik olayı olarak kabul edilen olay türlerinin bir tanımını SLA'lara dahil etmek faydalı olacaktır. Temel hedeflere ulaşılmasını engelleyen herhangi bir olay dahili Seviye Güvenlik aynı zamanda her zaman bir güvenlik olayı olarak da sınıflandırılır.

    Olaylar yalnızca kullanıcılardan değil, aynı zamanda muhtemelen alarmlara veya sistem denetim verilerine dayalı olarak çeşitli Yönetim Süreçlerinden de raporlanır. Olay Yönetim Sürecinin tüm güvenlik olaylarını tanıması zorunludur. Bu tür olayların ele alınmasına yönelik uygun prosedürlerin başlatılması için bu gereklidir. için prosedürlerin dahil edilmesi tavsiye edilir. çeşitli türler güvenlik olaylarını öğrenin ve bunları pratikte deneyin. Ayrıca güvenlik olaylarının raporlanmasına ilişkin bir prosedür üzerinde anlaşmaya varılması da tavsiye edilir. Çoğu zaman aşırı şişirilmiş söylentiler nedeniyle panik ortaya çıkar. Benzer şekilde, güvenlik olaylarının derhal rapor edilmemesi sıklıkla hasarla sonuçlanır. Güvenlik olaylarıyla ilgili tüm dış iletişimlerin Bilgi Güvenliği Yönetimi Süreç Yöneticisi aracılığıyla yönlendirilmesi tavsiye edilir.

    Sorun Yönetimi

    Sorun Yönetimi süreci yapısal güvenlik hatalarının tanımlanmasından ve çözülmesinden sorumludur. Sorun aynı zamanda bir güvenlik riski de oluşturabilir. Bu durumda Sorun Yönetimi, yardımcı olmak için Bilgi Güvenliği Yönetim Sürecini devreye sokmalıdır. Yeni güvenlik sorunlarının ortaya çıkmamasını sağlamak için benimsenen nihai çözüm veya geçici çözüm doğrulanmalıdır. Bu doğrulama, önerilen çözümlerin SLA anlaşmalarının gereksinimlerine ve iç güvenlik gereksinimlerine uygunluğuna dayanmalıdır.

    Yönetimi değiştir

    Değişim Yönetimi ve Bilgi Güvenliği Yönetimi birbirine bağımlı olduğundan, Değişiklik Yönetimi Süreci kapsamında gerçekleştirilen iş türleri genellikle güvenlikle yakından ilişkilidir. Kabul edilebilir bir Güvenlik Düzeyine ulaşılmışsa ve Değişiklik Yönetim Sürecinin kontrolü altındaysa, bu Güvenlik Düzeyinin değişiklik gerçekleştikten sonra da korunmaya devam etmesi sağlanabilir. Bu Güvenlik Düzeyini desteklemek için bir takım standart işlemler mevcuttur. Her Değişiklik Talebi (RFC), kabul prosedürünü tanımlayan bir dizi parametreyle ilişkilidir. Aciliyet ve etki parametreleri güvenlikle ilgili bir parametre ile tamamlanabilir. Değişiklik İsteğinin (RFC) bilgi güvenliği üzerinde önemli bir etkisi olması muhtemelse, kapsamlı kabul testleri ve prosedürleri gerekli olacaktır.

    Değişiklik Talebi (RFC) aynı zamanda güvenlik sorunlarına yönelik öneriler de içermelidir. Bunlar yine SLA gereksinimlerine ve BT organizasyonunun gerektirdiği temel İçsel Güvenlik Düzeyine dayanmalıdır. Sonuç olarak, bu teklifler Bilgi Güvenliği Yönetimi Uygulama Standartlarını temel alan bir dizi güvenlik önlemini içerecektir.

    Bilgi Güvenliği Yönetimi Süreç Yöneticisinin (ve muhtemelen müşterinin Güvenlik Görevlisinin) Değişim Danışma Kurulunun (CAB) bir üyesi olması tavsiye edilir.

    Ancak bu, tüm değişikliklerin Bilgi Güvenliği Yönetimi Süreç Yöneticisine danışılması gerektiği anlamına gelmez. Normal bir durumda güvenlik normal çalışma moduna entegre edilmelidir. Değişim Yönetimi Süreç Lideri, kendisinin mi yoksa CAB'nin mi Bilgi Güvenliği Yönetimi Süreç Liderinden girdi isteyip istemediğine karar verebilmelidir. Benzer şekilde, uygun kontroller için yapılandırılmış bir yaklaşımın halihazırda mevcut olması gerektiğinden, Bilgi Güvenliği Yönetimi Süreç Yöneticisinin, Değişiklik Talebi'nden (RFC) etkilenen belirli Yapılandırma Öğeleri için kontrollerin seçilmesine dahil olması gerekmez. Yalnızca bu önlemlerin uygulanma yöntemiyle ilgili sorular ortaya çıkabilir.

    Değişikliklerle ilgili her türlü güvenlik önlemi, değişikliklerle eş zamanlı olarak uygulanmalı ve birlikte test edilmelidir. Güvenlik testleri normal işlevsel testlerden farklıdır. Geleneksel testlerin amacı belirli işlevlerin kullanılabilirliğini belirlemektir. Güvenlik testi yalnızca güvenlik özelliklerinin kullanılabilirliğini kontrol etmekle kalmaz, aynı zamanda sistemin güvenliğini azaltabilecek diğer istenmeyen özelliklerin yokluğunu da kontrol eder.

    Güvenlik açısından bakıldığında Değişim Yönetimi en önemli süreçlerden biridir. Bunun nedeni, Değişiklik Yönetiminin BT altyapısına, bu altyapıdaki değişikliklerle birlikte yeni güvenlik önlemleri getirmesidir.

    Sürüm Yönetimi

    Sürüm Yönetimi süreci, yazılım, donanım, veri iletişim ekipmanı vb.nin tüm yeni sürümlerini kontrol eder ve dağıtır. Bu süreç şunları sağlar:

    Uygun donanım ve yazılım kullanılır;

    Donanım ve yazılım kullanımdan önce test edilir;

    Uygulamaya bir değişiklik prosedürü yoluyla uygun şekilde izin verilir;

    Yazılım yasaldır;

    Yazılım virüs içermemektedir ve Yazılımın dağıtımı yoluyla virüs bulaşmayacaktır;

    Sürüm numaraları, Konfigürasyon Yönetim Süreci tarafından bilinir ve CMDB'ye kaydedilir;

    Dağıtım yönetimi etkili olacaktır.

    Bu süreç aynı zamanda bilgi güvenliği hususlarını da kapsaması gereken normal bir kabul prosedürünü kullanır. Test ve kabul sırasında güvenlik hususlarının dikkate alınması özellikle önemlidir. Bu, SLA'da tanımlanan gereksinimlere ve güvenlik önlemlerine her zaman uyulması gerektiği anlamına gelir.

    Servis seviye yönetimi

    Hizmet Seviyesi Yönetimi süreci, müşterilere sunulan hizmetlere ilişkin anlaşmaların tanımlanmasını ve uygulanmasını sağlar. Hizmet Seviyesi Anlaşmalarında güvenlik önlemleri de dikkate alınmalıdır. Bunun amacı Sağlanan Hizmetlerin Düzeyini optimize etmektir. Hizmet Seviyesi Yönetimi, Bilgi Güvenliği Yönetiminin önemli bir rol oynadığı güvenlikle ilgili bir dizi etkinliği içerir:

    1. Müşterinin güvenlik ihtiyaçlarının belirlenmesi. Bu ihtiyaçlar müşterinin çıkarlarına dayalı olduğundan, güvenlik ihtiyaçlarını belirlemek doğal olarak müşterinin sorumluluğundadır.

    2. Müşteri güvenliği gereksinimlerinin uygulanabilirliğinin kontrol edilmesi.

    3. SLA'daki BT hizmetlerinin Güvenlik Düzeyinin teklifi, tartışılması ve belirlenmesi.

    4. BT hizmetlerine yönelik iç güvenlik gereksinimlerinin belirlenmesi, geliştirilmesi ve formüle edilmesi (Operasyonel Hizmet Seviyesi Anlaşmaları - OLA).

    5. Güvenlik standartlarının izlenmesi (OLA).

    6. Verilen hizmetlere ilişkin raporların hazırlanması.

    Bilgi Güvenliği Yönetimi, Hizmet Seviyesi Yönetimine 1'den 3'e kadar olan faaliyetler için girdi ve destek sağlar. Faaliyet 4 ve 5, Bilgi Güvenliği Yönetimi tarafından yürütülür. Faaliyet 6 için Bilgi Güvenliği Yönetimi ve diğer süreçler gerekli girdi bilgilerini sağlar. Hizmet Seviyesi Yönetimi ve Bilgi Güvenliği Yönetim Süreçleri başkanları, karşılıklı istişarede bulunduktan sonra bu operasyonların gerçekte kimlerin yürütüleceğine karar verir. SLA'ları yazarken genellikle ortak bir temel Güvenlik Düzeyinin olduğu varsayılır. Ek müşteri güvenliği gereksinimleri SLA'da açıkça tanımlanmalıdır.

    Erişilebilirlik Yönetimi

    Kullanılabilirlik Yönetimi süreci, hizmet kullanılabilirliğiyle ilgili olarak BT bileşenlerinin teknik kullanılabilirliğini dikkate alır. Kullanılabilirliğin kalitesi süreklilik, sürdürülebilirlik ve sürdürülebilirlik ile belirlenir. Birçok güvenlik kontrolünün hem kullanılabilirlik hem de güvenliğin gizlilik ve bütünlük yönleri üzerinde olumlu bir etkisi olduğundan, Kullanılabilirlik Yönetimi, BT Hizmet Sürekliliği Yönetimi ve Bilgi Güvenliği Yönetimi Süreçleri arasındaki kontrollerin koordinasyonu önemlidir.

    Kapasite yönetimi

    Kapasite Yönetimi süreci şunlardan sorumludur: en iyi kullanım Müşteriyle yapılan anlaşmaya uygun olarak BT kaynakları. Performans gereksinimleri, Hizmet Seviyesi Yönetimi tarafından tanımlanan niceliksel ve niteliksel standartlara dayanmaktadır. Kapasite Yönetim Sürecinin hemen hemen tüm faaliyetleri kullanılabilirliği ve dolayısıyla Bilgi Güvenliği Yönetim Sürecini de etkiler.

    BT Hizmet Sürekliliği Yönetimi

    BT Hizmet Sürekliliği Yönetimi süreci, öngörülemeyen durumların etkisinin müşteriyle mutabakata varılan düzeyle sınırlı olmasını sağlar. Acil durumların felakete dönüşmesi şart değildir. Ana faaliyetler destek planının tanımlanması, sürdürülmesi, uygulanması ve test edilmesidir. sürekli operasyon ve işleyişin restorasyonu ile önleyici tedbirlerin alınması. Bu tür işlerde güvenlik unsurlarının bulunması nedeniyle Bilgi Güvenliği Yönetim Süreci ile bağlantısı bulunmaktadır. Öte yandan, temel güvenlik gereksinimlerinin karşılanmaması da acil durum olarak değerlendirilebilir.

    15.3.2. Hizmet Seviyesi Anlaşması Güvenlik Bölümü

    Hizmet Seviyesi Anlaşması (SLA), müşteriyle yapılan anlaşmayı tanımlar. Hizmet Seviyesi Yönetimi süreci SLA'lardan sorumludur (ayrıca bkz. Bölüm 10). SLA ana olanıdır itici güç tüm ITIL süreçleri.

    BT organizasyonu, güvenlik gereksinimleri de dahil olmak üzere SLA gereksinimlerinin ne ölçüde karşılandığını belirler. SLA'da tanımlanan güvenlik unsurları ilgili müşteri ihtiyaçlarını karşılamalıdır. Müşteri tüm iş süreçlerinin önemini belirlemelidir (bkz. Şekil 15.3).

    Pirinç. 15.3. Süreçler arasındaki ilişkiler (kaynak: OGC)


    Bu iş süreçleri BT hizmetlerine bağlıdır; ve dolayısıyla BT organizasyonundan. Müşteri, bir risk analizine dayanarak güvenlik gereksinimlerini belirler (Şekil 15.3'te SLA bilgi güvenliği gereksinimleri yoktur). İncirde. 15.4. Bir SLA'nın güvenlik öğelerinin nasıl tanımlandığını gösterir.

    Pirinç. 15.4. Bir SLA'da güvenlik bölümü yazma (kaynak: OGC)


    Güvenlik unsurları müşteri ve hizmet sağlayıcının temsilcileri arasında tartışılır. Hizmet Sağlayıcı, Müşterinin Hizmet Düzeyi gereksinimlerini, standart güvenlik kontrollerini (temel Güvenlik Düzeyi) açıklayan Hizmet Kataloğuyla karşılaştırır. Müşteri ek gereksinimler öne sürebilir.

    Müşteri ve tedarikçi, Hizmet Seviyesi gerekliliklerini Hizmet Kataloğuyla karşılaştırır. SLA'nın güvenlik bölümü, genel bilgi güvenliği politikası, yetkili personel listesi, kaynak koruma prosedürleri, veri kopyalama kısıtlamaları vb. gibi konuları ele alabilir.

    15.3.3. Operasyonel Hizmet Seviyesi Anlaşmasının (OLA) Güvenlik Bölümü

    Bir diğer önemli belge ise Hizmet Seviyesi İşletim Anlaşmasıdır. Dahili hizmet sağlayıcı tarafından sağlanan hizmetleri açıklar. Tedarikçi bu düzenlemeleri kuruluş içindeki mevcut sorumluluklarla ilişkilendirmelidir. Hizmetler Kataloğu bunların genel bir tanımını sağlar. İşletim Hizmet Seviyesi Anlaşması, bu genel açıklamaları tüm hizmetlerin ve bunların bileşenlerinin özel tanımlarına ve Hizmet Seviyesi anlaşmalarının kuruluş içinde nasıl uygulandığına dönüştürür.

    Örnek. Hizmet Kataloğunda "kullanıcılar ve bireyler için yetkilendirme yönetimi" listelenmektedir. İşletim Hizmet Düzeyi Anlaşması, BT organizasyonu tarafından sağlanan tüm spesifik hizmetler için bunu belirtir. Böylece UNIX, VMS, NT, Oracle vb. hizmetleri sağlayan birimler için aktivitenin uygulanması belirlenir.

    Mümkün olduğu durumlarda müşterinin Hizmet Seviyesi gereklilikleri Hizmet Kataloğu referans alınarak belirlenir ve gerektiğinde ek anlaşmalar yapılır. Bu tür ek önlemler Güvenlik Seviyesini standarda göre artırır.

    Bir SLA sözleşmesi hazırlanırken, ölçülen Anahtar Performans Göstergeleri (KPI'ler) ve kriterler konusunda Bilgi Güvenliği Yönetimi ile mutabakata varılması gerekir. Performans göstergeleri ölçülebilir parametreler (metrikler) olmalı ve performans kriterleri ulaşılabilir düzeyde belirlenmelidir. Bazı durumlarda ölçülebilir güvenlik parametreleri üzerinde anlaşmaya varmak zor olabilir. Sayısal olarak ifade edilebilen hizmet kullanılabilirliğini tanımlamak daha kolaydır. Ancak dürüstlük ve gizlilik açısından bunu yapmak çok daha zordur. Bu nedenle, bir SLA'nın güvenlik bölümü genellikle gerekli kontrolleri soyut bir dille açıklar. Bilgi Güvenliği Yönetimi Uygulamaları, temel güvenlik önlemleri seti olarak kullanılır. SLA ayrıca performansı belirleme yöntemini de açıklar. BT organizasyonunun (hizmet sağlayıcı), kullanıcı organizasyonuna (müşteriye) düzenli raporlar sunması gerekir.

    15.4. Faaliyetler

    15.4.1. Kontrol – bilgi güvenliği politikası ve organizasyonu

    Şekil 15.1'in merkezinde sunulan Bilgi Güvenliği Kontrolü, Bilgi Güvenliği Yönetiminin ilk alt süreci olup Sürecin organizasyonu ve Kontrolü ile ilgilidir. Bu faaliyet, aşağıdaki alt süreçleri açıklayan yapılandırılmış bir Bilgi Güvenliği Yönetimi yaklaşımını içerir: Güvenlik Planlarının oluşturulması, uygulanması, uygulamanın değerlendirilmesi ve değerlendirmenin yıllık Güvenlik Planlarına (eylem planları) dahil edilmesi. Ayrıca Hizmet Seviyesi Yönetim Süreci aracılığıyla müşteriye sağlanan raporları da açıklar.

    Bu aktivite alt süreçleri, güvenlik fonksiyonlarını, rolleri ve sorumlulukları tanımlar. Aynı zamanda organizasyon yapısını, raporlama sistemini ve kontrol akışlarını da (kim kime talimat veriyor, kim ne yapıyor, performansın nasıl raporlandığı) açıklıyor. Bilgi Güvenliği Yönetimine yönelik pratik önerilerin derlenmesinden elde edilen aşağıdaki önlemler, bu tür faaliyetler çerçevesinde uygulanmaktadır.

    Dahili çalışma kuralları (politika) :

    Dahili çalışma kurallarının (politikalarının) geliştirilmesi ve uygulanması, diğer kurallarla bağlantılar;

    Amaçlar, genel ilkeler ve önemi;

    Alt süreçlerin tanımı;

    Alt süreçler arasında görev ve sorumlulukların dağılımı;

    Diğer ITIL süreçlerine ve bunların yönetimine bağlantılar;

    Genelkurmay sorumluluğu;

    Güvenlik olaylarını ele almak.

    Bilgi güvenliği organizasyonu:

    Yapısal şema yönetmek;

    Yönetim yapısı (organizasyon yapısı);

    Sorumlulukların daha ayrıntılı dağılımı;

    Bilgi Güvenliği Yönlendirme Komitesinin Oluşturulması;

    Bilgi güvenliği koordinasyonu;

    Araçların uyumlaştırılması (örneğin risk analizi ve farkındalık için);

    Uzmanların istişareleri;

    Kuruluşlar arası işbirliği, iç ve dış etkileşim;

    Bilgi sistemlerinin bağımsız denetimi;

    Üçüncü taraf bilgilerine erişime ilişkin güvenlik ilkeleri;

    Üçüncü taraflarla yapılan sözleşmelerde bilgi güvenliği.

    15.4.2. Planlama

    Planlama alt süreci, Hizmet Seviyesi Yönetim Sürecinin katılımıyla SLA'ların güvenlik bölümünün içeriğinin tanımlanması ve Dış Anlaşmalar çerçevesinde gerçekleştirilen güvenlikle ilgili faaliyetlerin tanımlanmasından ibarettir. SLA'da genel terimlerle tanımlanan görevler, Operasyonel Hizmet Seviyesi Anlaşması (OLA) şeklinde detaylandırılmış ve belirtilmiştir. OLA, hem hizmet sağlayıcının organizasyon yapısı için bir Güvenlik Planı hem de örneğin her BT platformu, uygulama ve ağ için belirli bir Güvenlik Planı olarak değerlendirilebilir.

    Planlama alt sürecine girdi sadece SLA sözleşmesi hükümleri değil, aynı zamanda hizmet sağlayıcının güvenlik politikasının (kontrol alt sürecinden) ilkeleridir. Bu ilkelere örnek olarak şunlar verilebilir: “Her kullanıcı benzersiz şekilde tanımlanmalıdır”; “Tüm müşterilere her zaman Temel Düzeyde Güvenlik sağlanır.”

    Bilgi güvenliğine yönelik Operasyonel Hizmet Seviyesi Anlaşmaları (OLA) (özel Güvenlik Planları) normal prosedürler yoluyla geliştirilir ve uygulanır. Bu, eğer bu faaliyetlerin diğer süreçlerde gerekli hale gelmesi durumunda bu süreçlerle koordinasyonun gerekli olduğu anlamına gelir. BT altyapısında gerekli tüm değişiklikler, Bilgi Güvenliği Yönetim Süreci tarafından sağlanan girdi bilgileri kullanılarak Değişiklik Yönetimi Süreci tarafından gerçekleştirilir. Değişim Yönetimi Sürecinden sorumlu olan, bu Sürecin Yöneticisidir.

    Planlama Alt Süreci, SLA'nın güvenlik bölümünün belirlenmesi, güncellenmesi ve hükümlerine uygunluğun sağlanması amacıyla Hizmet Seviyesi Yönetim Süreci ile koordineli çalışır. Bu koordinasyondan Hizmet Seviyesi Yönetimi Süreç Yöneticisi sorumludur.

    Güvenlik gereksinimleri mümkünse ölçülebilir terimlerle SLA'da tanımlanmalıdır. SLA'nın güvenlik bölümü, tüm müşteri güvenlik gereksinimlerinin ve standartlarının karşılandığının doğrulanabilmesini sağlamalıdır.

    15.4.3. Uygulama

    Uygulama (uygulama) alt sürecinin görevi planlarda tanımlanan tüm faaliyetlerin yürütülmesidir. Bu alt süreç aşağıdaki eylem kontrol listesiyle desteklenebilir.

    BT Kaynaklarının Sınıflandırılması ve Yönetimi:

    CMDB'deki Yapılandırma Öğelerini (CI) desteklemek için giriş verilerinin sağlanması;

    BT kaynaklarını üzerinde anlaşılan ilkelere göre sınıflandırın.

    Personel güvenliği:

    Görev tanımındaki görev ve sorumluluklar;

    Personel seçimi;

    Personel için gizlilik anlaşmaları;

    Eğitim;

    Güvenlik olaylarının çözümü ve tespit edilen güvenlik kusurlarının ortadan kaldırılması konusunda personele yönelik kılavuzlar;

    Disiplin eylemi;

    Geliştirilmiş güvenlik farkındalığı.

    Güvenlik Yönetimi:

    Sorumluluk türlerinin tanıtılması ve sorumlulukların dağılımı;

    Yazılı çalışma talimatları;

    İç kurallar;

    Güvenlik önlemleri sistemlerin tüm yaşam döngüsünü kapsamalıdır; Sistemlerin geliştirilmesi, test edilmesi, kabul edilmesi, operasyonel kullanımı, bakımı ve operasyonel ortamdan uzaklaştırılmasına ilişkin güvenlik yönergeleri bulunmalıdır;

    Geliştirme ve test ortamının operasyonel (çalışma) ortamından ayrılması;

    Olay yönetimi prosedürleri (Olay Yönetim Süreci tarafından uygulanır);

    Kurtarma araçlarının kullanımı;

    Değişim Yönetimi Sürecine girdi sağlamak;

    Virüs koruma önlemlerinin uygulanması;

    Bilgisayarlar, uygulamalar, ağlar ve ağ hizmetleri için yönetim tekniklerini uygulamak;

    Veri ortamının doğru kullanımı ve korunması.

    Giriş kontrolu:

    Erişim politikasının ve erişim kontrolünün uygulanması;

    Ağlara, ağ hizmetlerine, bilgisayarlara ve uygulamalara kullanıcı ve uygulama erişim ayrıcalıklarını destekleyin;

    Bariyer desteği ağ koruması(güvenlik duvarı, çevirmeli ağ hizmetleri, köprüler ve yönlendiriciler);

    15.4.4. Seviye

    Planlanan faaliyetlerin uygulanmasının bağımsız bir değerlendirmesi esastır. Bu değerlendirme, etkinliği belirlemek için gereklidir ve aynı zamanda müşteriler ve üçüncü taraflarca da talep edilir. Değerlendirme alt sürecinin sonuçları, müşteriyle mutabakata varılan önlemlerin ayarlanması ve bunların uygulanması için kullanılabilir. Değerlendirmenin sonuçlarına göre değişiklikler önerilebilir; bu durumda bir Değişiklik Talebi (RFC) formüle edilir ve Değişiklik Yönetim Sürecine gönderilir.

    Üç tür değerlendirme vardır:

    Öz değerlendirme: öncelikle kuruluşun ilgili departmanları tarafından gerçekleştirilir;

    İç denetim: iç BT denetçileri tarafından gerçekleştirilir;

    Dış Denetim: Dış BT denetçileri tarafından gerçekleştirilir.

    Öz değerlendirmeden farklı olarak denetim, diğer alt süreçlerde görev alan aynı personel tarafından yapılmaz. Sorumlulukların ayrılığını sağlamak için bu gereklidir. Denetim, iç denetim departmanı tarafından yapılabilir.

    Değerlendirme aynı zamanda olaylara yanıt olarak da gerçekleştirilir.

    Ana faaliyetler şunlardır::

    Güvenlik politikalarına uygunluğun gözden geçirilmesi ve Güvenlik Planlarının uygulanması;

    BT sistemlerinin güvenlik denetiminin yapılması;

    BT kaynaklarının uygunsuz kullanımının belirlenmesi ve buna karşı önlem alınması;

    Diğer BT denetim türlerinde güvenlik hususlarının kontrol edilmesi.

    15.4.5. Destek

    BT altyapısında, şirkette ve iş süreçlerinde meydana gelen değişiklikler nedeniyle değişen riskler nedeniyle, güvenlik önlemlerine uygun desteğin sağlanması gerekmektedir. Güvenlik kontrolleri desteği, SLA'ların ilgili güvenlik bölümlerine yönelik desteği ve ayrıntılı Güvenlik Planlarına yönelik desteği (İşletim Hizmet Düzeyi Anlaşması düzeyinde) içerir.

    Güvenlik sisteminin etkin işleyişinin sürdürülmesi, Risk Değişimlerinin Değerlendirilmesi ve Analizi alt sürecinin sonuçlarına göre gerçekleştirilir. Öneriler, planlama alt sürecinin bir parçası olarak veya SLA'nın tamamının sürdürülmesinin bir parçası olarak uygulanabilir. Her durumda, yapılan öneriler yıllık Güvenlik Planına ek girişimlerin dahil edilmesine yol açabilir. Herhangi bir değişiklik normal Değişiklik Yönetimi Sürecine tabidir.

    15.4.6. Rapor oluşturma

    Raporlama, diğer alt süreçlerden bilgi sağlayan bir aktivitedir. Raporlar, ulaşılan emniyet performansı hakkında bilgi sağlamak ve müşterileri emniyet sorunları hakkında bilgilendirmek için oluşturulur. Raporların sağlanmasına ilişkin konular genellikle müşteriyle kararlaştırılır.

    Raporlama hem müşteri hem de servis sağlayıcı için önemlidir. Müşteriler, operasyonel performans (örneğin güvenlik önlemlerinin uygulanması) ve mevcut güvenlik önlemleri hakkında doğru bilgiye sahip olmalıdır. Müşteri ayrıca herhangi bir güvenlik olayı hakkında bilgilendirilir. Raporlama önerileri aşağıda verilmiştir.

    Düzenli raporlara ve bunların içerdiği etkinliklere örnekler:

    Planlama alt süreci:

    SLA sözleşmesine ve güvenlik konularında mutabakata varılan temel kalite göstergelerine uygunluk derecesine ilişkin raporlar;

    Dış sözleşmeler ve ilgili konulara ilişkin raporlar;

    İşletim Hizmet Seviyesi Anlaşmalarına (dahili Güvenlik Planları) ve tedarikçinin kendi güvenlik politikalarına (örneğin temel Güvenlik Seviyesi) ilişkin raporlar;

    Yıllık güvenlik planları ve eylem planlarına ilişkin raporlar.

    Uygulama alt süreci:

    Bilgi güvenliğindeki durum hakkında raporlar. Bu, yıllık güvenlik planının uygulanmasına ilişkin bir raporu, uygulanan veya planlanan önlemlerin bir listesini, eğitime ilişkin bilgileri, ek risk analizinin sonuçlarını vb. içerir;

    Muhtemelen önceki raporlama dönemiyle karşılaştırıldığında güvenlik olaylarının ve yanıtlarının bir listesi;

    Olay eğilimlerinin belirlenmesi;

    Bildirim programı durumu.

    Değerlendirme alt süreci:

    Alt süreçlerin etkinliğine ilişkin raporlar;

    Denetim, analiz ve iç değerlendirmelerin sonuçları;

    Uyarılar, yeni tehditlerin tanımlanması.

    Özel raporlar:

    SLA'da tanımlanan güvenlik olaylarını raporlamak için hizmet sağlayıcının, Hizmet Seviyesi Yönetimi, Olay Yönetimi veya Bilgi Güvenliği Yönetimi Süreç Yöneticileri aracılığıyla müşteri temsilcisiyle (muhtemelen kurumsal bilgi güvenliği görevlisi) doğrudan bir iletişim kanalı olması gerekir. Özel durumlarda iletişim için bir prosedür de tanımlanmalıdır. Özel durumlar haricinde raporlar Hizmet Seviyesi Yönetim Süreci aracılığıyla sunulur.

    15.5. Süreç kontrolü

    15.5.1. Kritik başarı faktörleri ve temel performans göstergeleri

    Kritik başarı faktörleri şunlardır:

    Yönetim açısından sürece olan ihtiyacın ve sürece katılımının tam olarak anlaşılması;

    Kullanıcıları süreç geliştirmeye dahil etmek;

    Kesin tanım ve sorumlulukların bölünmesi.

    Bilgi Güvenliği Yönetim Sürecinin performans göstergeleri, Hizmet Seviyesi Yönetim Sürecinin SLA'da ele alınan güvenlik sorunlarıyla ilgili olduğu ölçüde aynı göstergelere karşılık gelir.

    15.5.2. İşlevler ve roller

    Küçük BT organizasyonlarında bir kişi birden fazla süreci yönetebilir. Büyük kuruluşlarda, Bilgi Güvenliği Yönetimi gibi tek bir süreç üzerinde birden fazla kişi çalışır. Bu gibi durumlarda genellikle tek bir Bilgi Güvenliği Yönetimi Süreç Yöneticisi atanır. Bu yönetici sürecin etkin işleyişinden sorumludur. Müşteri organizasyonundaki meslektaşı bilgi güvenliği müfettişidir.

    15.6. Sorunlar ve maliyetler

    15.6.1. Sorunlar

    Bilgi Güvenliği Yönetim Sürecinin başarılı bir şekilde uygulanması için aşağıdaki hususlar esastır:

    Sürecin gerekliliğini anlamak (katılımcılar açısından anlayış): Güvenlik önlemleri personel tarafından nadiren hızlı ve olumlu bir anlayışla karşılanır; Direnç onaydan daha yaygındır. Kullanıcılar, bu özellikler işleri için gerekli olmasa bile, güvenlik önlemlerinin getirilmesi nedeniyle belirli ayrıcalıkların kaybedilmesine içerlemektedir. Bunun nedeni ayrıcalıkların onlara belirli bir statü vermesidir. Bu nedenle, kullanıcıları motive etmek ve güvenlik önlemleri almak için yönetimden onay almak için özel çalışmalara ihtiyaç vardır. Özellikle Bilgi Güvenliği Yönetimi alanında yönetimin örnek olarak liderlik etmesi (“rotayı netleştirmesi” ve “liderlik etmesi”) gerekir. Güvenlik olaylarının olmaması durumunda yönetim, Güvenlik Yönetimi maliyetlerini düşürme eğiliminde olabilir.

    Davranış: Bilgi sistemleri teknik kusurlarından dolayı değil, teknolojinin kullanımındaki hatalardan dolayı güvensizdir. Genellikle insan tutum ve davranışlarıyla ilgilidir. Bu, güvenlik prosedürlerinin rutin operasyonlara entegre edilmesi gerektiği anlamına gelir.

    Farkındalık: Farkındalık, daha doğrusu iletişim anahtar kavramdır. Bazen iletişim ve güvenlik arasında çıkar çatışması olabilir: İletişim yolu açar ancak güvenlik engeller yaratır. Bu, güvenlik önlemlerinin uygulanmasının, kullanıcıların gerekli davranışı benimsemesini sağlamak için tüm iletişim araçlarının kullanılmasını gerektirdiği anlamına gelir.

    Doğrulama: Güvenlik denetlenebilir ve doğrulanabilir olmalıdır. Bu, hem getirilen önlemler hem de uygulanma nedenleri için geçerlidir. Uygun şartlarda doğru kararların alınabilmesini sağlamak gerekir. Örneğin kararları verenlerin kimlik bilgilerinin doğrulanması mümkün olmalıdır.

    Yönetimi değiştir: Çoğu zaman değişiklik yapıldığında, temel Güvenlik Düzeyine uygunluk değerlendirmesinin kalitesi zayıflar.

    Tutku: Bir kuruluş her şeyi aynı anda yapmak istediğinde sıklıkla hatalar meydana gelir. Bir Bilgi Güvenliği Yönetim Süreci başlatılırsa, uygulama teknik önlemlerörgütsel önlemlerle karşılaştırıldığında çok daha az önemlidir. Bir organizasyonu değiştirmek adım adım bir yaklaşım gerektirir ve uzun zaman alır.

    Tespit sistemlerinin eksikliği: İnternet gibi yeni sistemler güvenlik ve bilgisayar korsanlığını tespit etme ihtiyacı için tasarlanmamıştır. Bunun nedeni, güvenli bir sistem geliştirmenin, güvenli olmayan bir sistemden daha uzun sürmesi ve iş dünyasının düşük geliştirme maliyetleri ve pazara sunma süresi talepleriyle çelişmesidir.

    “Zedilemez kale” teknolojisine yönelik aşırı umutlar: Sistem güvenliğine yönelik tehditler, öngörülemeyen yerlerde giderek daha fazla ortaya çıkıyor. ILOVEYOU ve Nimda virüslerinin ilk saldırılarını Hizmet Reddi (DoS) saldırılarının ilk örneğiyle karşılaştırın. Geleneksel "zaptedilemez kale" yaklaşımını kullanarak bilgiyi korumak önemini korurken, güvenlik ihlalleri meydana geldiğinde "karşı saldırı" yaklaşımı da önem kazanmaktadır. Kuruluş, kusur kontrolden çıkmadan önce kaynakları hızlı bir şekilde kusurun bulunduğu yere yönlendirebilmelidir.

    15.6.2. Masraflar

    BT altyapınızı korumak, güvenlik önlemlerini uygulamak, sürdürmek ve incelemek için personel ve dolayısıyla para gerektirir. Bununla birlikte, BT altyapısının korunmaması aynı zamanda paraya da mal olur (üretilmeyen malların maliyeti; değiştirme maliyeti; veri, yazılım veya donanımın zarar görmesi; itibar kaybı; sözleşmeden doğan yükümlülüklerin yerine getirilmemesi nedeniyle para cezaları veya tazminat). Her zaman olduğu gibi dengenin olması gerekiyor.

    Notlar:

    "BT Hizmet Yönetimi" terimi bir yandan "BT Hizmet Yönetimi" terimiyle eşanlamlı olarak kullanılırken, diğer yandan onu güçlendirir, yani tüm BT organizasyonunun yönetimine merkezi bir yaklaşım anlamına gelir. üretim sürecinin ayrılmaz bir parçası olan iş birimi hizmetlerinin sağlanmasını amaçlayan modern bir hizmet birimi.

    Değişiklik Talebi - RFC.

    Yönetim Çerçevesi.

    Bilgi Güvenliği Yönlendirme Komitesi.

    İyi günler canlarım!
    Uzun zamandır Habr'a yazmıyordum, zamanım yoktu, çok işim vardı. Ama şimdi yeni bir gönderi için düşünceleri boşalttım ve oluşturdum.

    Bir organizasyonda bilgi güvenliği işleriyle görevli yoldaşlarımdan biriyle (sistem yöneticisi yoldaş) konuştum ve bana nereden başlayıp nereye gideceğimi sordu. Düşüncelerimi ve bilgilerimi biraz düzene koydum ve ona kaba bir plan verdim.
    Ne yazık ki bu durum izole olmaktan çok uzaktır ve sıklıkla meydana gelir. İşverenler kural olarak bir İsviçreli, bir orakçı ve boruda bir oyuncu istiyor ve bunların hepsini tek bir fiyata istiyor. Bilgi güvenliğinin neden BT olarak sınıflandırılmaması gerektiği sorusuna daha sonra döneceğim, ancak şimdi bu olduysa ve böyle bir maceraya, yani bir bilgi güvenliği yönetim sisteminin oluşturulmasına kaydolduysanız nereden başlamanız gerektiğini düşünelim ( ISMS).

    Risk analizi

    Bilgi güvenliğinde hemen hemen her şey risk analizi ile başlar; bu, tüm güvenlik süreçlerinin temeli ve başlangıcıdır. Pek çok kavramın açık olmaması ve sıklıkla karıştırılması nedeniyle bu alanda kısa bir eğitim programı yürüteceğim.
    Yani 3 ana kavram var:
    • Uygulama olasılığı
    • Güvenlik Açığı

    Risk, bir güvenlik açığının uygulanması nedeniyle herhangi bir kayba (parasal, itibar vb.) maruz kalma olasılığıdır.
    Oluşma olasılığı, riski gerçekleştirmek için belirli bir güvenlik açığından yararlanmanın ne kadar muhtemel olduğudur.
    Güvenlik açığı, güvenlik sisteminizde belirli bir olasılıkla zarara neden olabilecek, yani bir risk oluşturabilecek doğrudan bir boşluktur.

    Birçok teknik var Farklı yaklaşımlar Risk yönetimine gelince, size temelleri anlatacağım; bir BGYS kurarken ilk başta geri kalanına ihtiyacınız olmayacak.
    Dolayısıyla, risk yönetimine ilişkin tüm çalışmalar ya uygulama olasılığının azaltılmasına ya da uygulamadan kaynaklanan kayıpların en aza indirilmesine bağlıdır. Buna göre riskler kuruluş açısından kabul edilebilir veya kabul edilmeyebilir. Bir riskin kabul edilebilirliği, en iyi şekilde, uygulanmasından kaynaklanan belirli miktardaki kayıplarla ifade edilir (her durumda, görünüşte soyut olan itibar kayıpları bile sonuçta kar kaybıyla sonuçlanır). Yönetimle birlikte, kendileri için kabul eşiğinin ne kadar olacağına karar vermek ve bir derecelendirme yapmak (tercihen kayıplar için 3-5 seviye) gereklidir. Daha sonra kayıplarda olduğu gibi olasılığa göre bir derecelendirme yapın ve ardından bu göstergelerin toplamına göre riskleri değerlendirin.
    Hazırlık çalışmalarını yürüttükten sonra kuruluşunuzun gerçek güvenlik açıklarını belirleyin ve bunların uygulanmasından ve kayıplardan kaynaklanan riskleri değerlendirin. Sonuç olarak, kabul edilebilir ve kabul edilemez olmak üzere 2 takım riskle karşılaşacaksınız. Kabul edilebilir riskler söz konusu olduğunda, onları basitçe kabul edersiniz ve bunları en aza indirmek için aktif adımlar atmazsınız (yani, bu riskleri en aza indirmenin bize bunlardan kaynaklanan kayıplardan daha pahalıya mal olacağını kabul ederiz) ve kabul edilemez olanlarda, geliştirme için 2 seçenek vardır. olayların.

    En aza indirin - meydana gelme olasılığını azaltın, olası kayıpları azaltın veya genel olarak riski ortadan kaldırmak için önlemler alın (bir güvenlik açığını kapatmak).
    Aktarma - riskle ilgili endişeleri başka bir kişiye aktarın; örneğin, bir kuruluşu risk olaylarına karşı sigortalayın veya risk altındaki bir varlığı aktarın (örneğin, sunucuları bir veri merkezine taşıyın, böylece kesintisiz güç kaynağı ve sunucuların fiziksel güvenliği veri merkezinin sorumluluğunda olacaktır).

    Ölçek

    Elbette öncelikle felaketin boyutunu değerlendirmek gerekiyor. Kişisel verilerin korunması konularına değinmeyeceğim, bu konuyla ilgili zaten birçok makale var, bazıları birden fazla anlatıldı. pratik öneriler ve eylem algoritmaları.
    Bilgi güvenliğinin öncelikle insanlarla ilgili olduğunu, dolayısıyla düzenleyici belgelere ihtiyaç duyulduğunu da hatırlatayım. Yazmak için önce oraya ne yazacağınızı anlamalısınız.
    Bu konuda bilgi güvenliğine yönelik 3 ana belge bulunmaktadır:
    Bilgi Güvenliği Politikası
    Ana belgeniz, referans kitabınız, İnciliniz ve diğer büyük başlıklarınız. Tüm bilgi güvenliği prosedürlerini açıklar ve kuruluşunuzda takip ettiğiniz güvenlik düzeyini açıklar. Tabiri caizse - tüm kurallara göre belgelenmiş ve kabul edilmiş ideal bir güvenlik profili.
    Politika ölü bir ağırlık olmamalı, belge yaşamalı, yeni tehditlerin, bilgi güvenliğindeki eğilimlerin veya isteklerin etkisi altında değişmelidir. Bu bağlamda, politika (prensipte herhangi bir usul belgesi gibi) uygunluk açısından düzenli olarak gözden geçirilmelidir. Bunu yılda en az bir kez yapmak daha iyidir.
    Bilgi güvenliği konsepti
    Kuruluşunuzun temel güvenliğini açıklayan politikadan küçük bir alıntı; belirli süreçler yoktur ancak BGYS oluşturmaya yönelik ilkeler ve güvenlik oluşturmaya yönelik ilkeler vardır.
    Bu belge daha çok resim belgesi niteliğinde olup, “hassas” bilgiler içermemeli, herkesin erişimine açık ve erişilebilir olmalıdır. Bunu web sitenize yerleştirin, bilgi standının üzerindeki bir tepsiye koyun, böylece müşterileriniz ve ziyaretçileriniz buna alışabilir veya sadece güvenliğe önem verdiğinizi ve bunu göstermeye hazır olduğunuzu görebilir.
    Ticari sırlara ilişkin düzenlemeler (gizli bilgiler)
    Böyle bir belge için alternatif bir ad parantez içinde belirtilmiştir. Genel olarak com. işin sırrı özel durum gizlidir ancak çok az fark vardır.
    Bu belge aşağıdakileri belirtmelidir: com'u oluşturan belgelerin nasıl ve nerede saklandığı. sır, bu belgelerin saklanmasından kimin sorumlu olduğu, bu tür bilgileri içeren bir belgenin şablonunun nasıl görünmesi gerektiği, gizli bilgilerin ifşa edilmesinin cezasının ne olacağı (yasaya göre ve yönetimle yapılan iç anlaşmalara göre). Ve tabii ki ticari sır teşkil eden veya kuruluşunuz için gizli olan bilgilerin bir listesi.
    Kanuna göre, gizli bilgilerin korunmasına yönelik önlemler alınmadığı takdirde, sanki o bilgilere sahip değilsiniz :-) Yani bilginin kendisi var gibi görünüyor ama gizli olamaz. Bir de ilginç bir nokta var ki, yeni çalışan bulunan kuruluşların %90'ında gizlilik sözleşmesi imzalanıyor ancak çok azı yasaların gerektirdiği önlemleri almış durumda. Maksimum bilgi listesi.

    Denetim

    Bu belgeleri yazmak veya daha doğrusu içlerinde ne olması gerektiğini anlamak için bilgi güvenliğinin mevcut durumunu denetlemeniz gerekir. Kuruluşun faaliyetlerine, bölgesel dağılıma vb. bağlı olarak, her kuruluş için birçok nüans ve faktörün olduğu açıktır, ancak hepsinde ortak olan birkaç ana nokta vardır.
    Erişim Politikası
    Burada 2 şube var - bunlar fiziksel erişim tesislere ve bilgi sistemlerine erişim.
    Fiziksel erişim
    Erişim kontrol sisteminizi açıklayın. Erişim kartlarının nasıl ve ne zaman verildiği, kimin hangi binaya erişebileceğinin kim tarafından belirlendiği (binanın erişim kontrol sistemi ile donatılmış olması şartıyla). Burada ayrıca video gözetim sisteminden, yapım ilkelerinden (izlenen odalarda kör noktaların olmaması, binaya giriş ve çıkışların zorunlu kontrolü, sunucu odasına girişin kontrolü vb.) de bahsetmeye değer. Ayrıca ziyaretçileri de unutmayın, eğer genel bir resepsiyon alanınız yoksa (ve varsa bile), ziyaretçilerin kontrollü alana nasıl girdiğini (geçici geçişler, refakatçi) belirtmeniz faydalı olacaktır.
    Sunucu odası için ayrıca ziyaret günlüğünü içeren ayrı bir erişim listesi bulunmalıdır (sunucu odasında bir erişim kontrol sistemi kuruluysa ve her şey otomatik olarak korunursa bu daha kolaydır).
    Bilgi sistemlerine erişim
    Kullanılıyorsa, erişim izni verme prosedürünü açıklayın çok faktörlü kimlik doğrulama, ardından ek tanımlayıcıların verilmesi. Her yerde Tek Oturum Açma özelliğiniz yoksa, erişim izni verilen tüm sistemler için şifre politikası (şifre son kullanma tarihi, karmaşıklık, oturum açma denemelerinin sayısı, deneme sayısını aştıktan sonra hesabı bloke etme süresi).
    Ağ oluşturma
    Harici erişime (DMZ) sahip sunucular nerede bulunur, bunlara içeriden ve dışarıdan nasıl erişilir? Ağ bölümlendirmesi ve nasıl başarıldığı. Güvenlik duvarları, hangi segmentleri korudukları (ağ içindeki segmentler arasında herhangi bir tane varsa).
    Uzaktan erişim
    Nasıl organize edildiği ve kimin erişimi olduğu. İdeal olarak şu şekilde olmalıdır: Yalnızca VPN, yalnızca üst düzey yönetimle mutabakata varılarak ve ihtiyacın gerekçelendirilmesiyle erişim. Üçüncü tarafların (satıcılar, servis personeli vb.) erişime ihtiyacı varsa, erişim zamanla sınırlıdır, yani hesap belirli bir süre için verilir ve ardından otomatik olarak bloke edilir. Doğal olarak ne zaman uzaktan erişim Her durumda, haklar asgari düzeyde sınırlandırılmalıdır.
    Olaylar
    Bunların nasıl işlendiği, kimin sorumlu olduğu ve olay yönetimi sürecinin ve yönetim sorunlarının nasıl yapılandırıldığı (varsa elbette). Olaylarla çalışmayla ilgili zaten bir yazım vardı: habrahabr.ru/post/154405 daha fazlasını okuyabilirsiniz.
    Kuruluşunuzdaki trendleri de belirlemek gerekiyor. Yani, hangi olayların daha sık meydana geldiği ve hangilerinin daha fazla zarara yol açtığı (kesinti süresi, doğrudan mal veya para kaybı, itibar kaybı). Bu, risk kontrolüne ve risk analizine yardımcı olacaktır.
    Varlıklar
    İÇİNDE bu durumda Varlıklar, korunmayı gerektiren her şey anlamına gelir. Yani sunucular, kağıt veya çıkarılabilir ortamdaki bilgiler, bilgisayar sabit diskleri vb. Herhangi bir varlık "hassas" bilgi içeriyorsa, bu durumda bunlar uygun şekilde işaretlenmeli ve bu varlıkla ilgili izin verilen ve yasaklanan eylemlerin bir listesi (örneğin, üçüncü taraflara devretme, başkaları tarafından devretme) bulunmalıdır. e-posta kuruluş içinde, yayınlanmak üzere Kamu erişim organizasyon içinde vb.

    Eğitim

    Birçok insanın unuttuğu bir an. Çalışanlara güvenlik önlemleri anlatılmalıdır. Talimatları ve politikaları öğrenmek ve imzalamak yeterli değildir; %90'ı bunları okumayacak, yalnızca onlardan kurtulmak için imzalayacaktır. Ayrıca eğitimle ilgili bir yayın da yaptım: habrahabr.ru/post/154031 Eğitim sırasında önemli olan ve unutulmaması gereken ana noktaları içerir. Bu tür etkinlikler, eğitimin yanı sıra çalışanlar ile güvenlik görevlisi arasındaki iletişim açısından da faydalıdır ( güzel isim, Gerçekten beğendim :-). Normal işte neredeyse hiç bilemeyeceğiniz bazı küçük olaylar, dilekler ve hatta sorunlar hakkında bilgi edinebilirsiniz.

    Çözüm

    Muhtemelen bilgi güvenliği alanına yeni başlayanlara söylemek istediğim tek şey buydu. Böyle bir gönderiyle bazı meslektaşlarımı işlerinden mahrum bırakabileceğimi anlıyorum, çünkü potansiyel bir işveren bu sorumlulukları yöneticiye devredecektir, ancak aynı zamanda birçok kuruluşu denetimler için para pompalamayı seven entegratörlerden ve dolandırıcılardan da koruyacağım. ve ne hakkında çok sayfalı broşürler yazmak, bunları standart olarak sunmak (http://habrahabr.ru/post/153581/).
    Bir dahaki sefere bilgi güvenliği hizmetinin organizasyonundan bu şekilde bahsetmeye çalışacağım.

    Not: Olumsuz oy verirseniz lütfen yorum yapın ki gelecekte benzer hatalar yapmayayım.

    Etiketler: Etiket ekleyin

    Bilgi Güvenliği Yönetimi (ISM) - sağlayan süreç gizlilik Kuruluşun varlıklarının, bilgilerinin, verilerinin ve hizmetlerinin bütünlüğü ve kullanılabilirliği. Bilgi Güvenliği Yönetimi genellikle hizmet sağlayıcıdan daha geniş bir kapsama sahip olan ve kağıt işleme, erişim oluşturma, telefon çağrıları vb. tüm organizasyon için.

    ISM'nin temel amacı, Hizmetler Otoritesi bünyesindeki tüm hizmet ve faaliyetlerin etkin bilgi güvenliği yönetimini sağlamaktır. Bilgi Güvenliği bilgilerin, bilgi sistemlerinin ve iletişimlerin gizliliğinin, kullanılabilirliğinin ve bütünlüğünün ihlallerine karşı koruma sağlamak üzere tasarlanmıştır.

    1. Gizlilik- Bilgiye erişimin yalnızca bu hakka sahip kişiler tarafından gerçekleştirildiği bilgi durumu.
    2. Bütünlük- hiçbir değişikliğin olmadığı veya değişikliğin yalnızca bu hakka sahip kişiler tarafından kasıtlı olarak yapıldığı bilgi durumu;
    3. Kullanılabilirlik- erişim haklarına sahip kişilerin bunu hiçbir engel olmadan kullanabileceği bir bilgi durumu.

    Bilgi güvenliğini sağlama hedefine aşağıdaki durumlarda ulaşılır:

    1. Bilgi ihtiyaç duyulduğunda mevcuttur ve bilgi sistemleri saldırılara karşı dayanıklıdır ve bunları önleyebilir veya hızlı bir şekilde kurtarabilir.
    2. Bilgiler yalnızca uygun haklara sahip olanların kullanımına açıktır.
    3. Bilgiler doğrudur, eksiksizdir ve yetkisiz değişikliklere karşı korunmaktadır.
    4. Ortaklar ve diğer kuruluşlarla bilgi alışverişi güvenli bir şekilde korunur.

    Neyin, nasıl korunması gerektiğini işletme belirler. Aynı zamanda bilgi güvenliğinin etkinliği ve bütünlüğü için iş süreçlerinin baştan sona dikkate alınması gerekir çünkü zayıf bir nokta tüm sistemi savunmasız hale getirebilir.

    ISM süreci şunları içermelidir:

    • Bilgi Güvenliği Politikası ve bilgi güvenliği ile ilgili diğer destekleyici politikaların oluşturulması, yönetilmesi, yaygınlaştırılması ve bunlara uyum sağlanması. Bilgi Güvenliği Politikası- Bir kuruluşun bilgi güvenliği yönetimine yaklaşımını tanımlayan bir politika.
    • üzerinde mutabakata varılan mevcut ve gelecekteki iş güvenliği gerekliliklerinin anlaşılması;
    • kullanım güvenlik kontrolleri Bilgi Güvenliği Politikasına uymak ve bilgi, sistem ve hizmetlere erişimle ilgili riskleri yönetmek. Dönem " güvenlik kontrolü" İngilizceden alıntıdır ve bu bağlamda riskleri iptal etmek, azaltmak ve karşı koymak için uygulanan bir dizi karşı önlem ve önlem anlamına gelir. Yani güvenlik kontrolü proaktif ve reaktif eylemlerden oluşur;
    • listeyi belgelemek güvenlik kontrolleri, bunların işletilmesine ve yönetimine yönelik eylemlerin yanı sıra bunlarla ilişkili tüm riskler;
    • Sistemlere ve hizmetlere erişim gerektiren satıcıları ve sözleşmeleri yönetmek. Tedarikçi Yönetimi süreci ile etkileşim halinde yürütülen;
    • sistem ve hizmetlerle ilgili tüm güvenlik ihlallerinin ve olaylarının kontrolü;
    • proaktif iyileştirme güvenlik kontrolleri ve bilgi güvenliği ihlali risklerinin azaltılması;
    • Bilgi güvenliği hususlarının Hizmetler Direktörlüğü'nün tüm süreçlerine entegrasyonu.

    Bilgi güvenliği politikası aşağıdakileri içermelidir:

    • Bilgi Güvenliği Politikasının bazı hususlarının uygulanması;
    • Bilgi Güvenliği Politikasının bazı yönlerinin olası kötüye kullanılması;
    • erişim kontrol politikası;
    • kullanım politikasışifreler;
    • e-posta politikası;
    • internet politikası;
    • antivirüs koruma politikası;
    • bilgi sınıflandırma politikası;
    • belge sınıflandırma politikası;
    • uzaktan erişim politikası;
    • hizmetlere, bilgilere ve bileşenlere tedarikçi erişim politikaları;
    • varlık tahsisi politikası.

    Listelenen politikalar, kendileriyle olan sözleşmelerini yazılı olarak onaylamaları gereken kullanıcılar ve müşterilerin kullanımına açık olmalıdır.

    Politikalar iş ve BT yönetimi tarafından onaylanır ve koşullara göre revize edilir.

    Bilgi güvenliğini sağlamak ve yönetmek için Bilgi Güvenliği Yönetim Sisteminin sürdürülmesi gerekmektedir. Bilgi Güvenliği Yönetim Sistemi veya BGYS- Bir kuruluşun bilgi güvenliği yönetimi hedeflerine ulaşmasını sağlayan politikalar, süreçler, standartlar, kılavuz belgeler ve araçlardan oluşan bir sistem. İncirde. Şekil 6.3 kuruluşlar tarafından en yaygın olarak kullanılan BGYS yapısını göstermektedir.


    Pirinç. 6.3. BGYS

    Bilgi Güvenliği Politikasının sağlanması ve desteklenmesi için bir setin oluşturulması ve kullanılması gerekmektedir. güvenlik kontrolleri. Olayları önlemek ve meydana gelmesi durumunda doğru şekilde müdahale etmek için Şekil 1'de gösterilen güvenlik önlemlerini kullanın. 6.5.


    Pirinç. 6.5.

    İncirde. 6.5'te dört aşama vardır. İlk aşama bir tehdidin ortaya çıkmasıdır. Tehdit, bir iş sürecini olumsuz etkileyebilecek veya kesintiye uğratabilecek herhangi bir şeydir. Olay, gerçekleşen bir tehdittir. Olay başvurunun başlangıç ​​noktasıdır güvenlik kontrolleri. Olay hasarla sonuçlanıyor. Riskleri yönetmek veya ortadan kaldırmak için güvenlik kontrolleri de uygulanır. Her aşama için uygun bilgi güvenliği önlemlerinin seçilmesi gerekir:

    1. önleyici - bir bilgi güvenliği olayının oluşmasını önleyen güvenlik önlemleri. Örneğin erişim haklarının dağıtımı.
    2. onarıcı - bir olay durumunda potansiyel hasarı azaltmayı amaçlayan güvenlik önlemleri. Örneğin yedekleme.
    3. tespit - olayları tespit etmeyi amaçlayan güvenlik önlemleri. Örneğin, anti-virüs koruması veya izinsiz giriş tespit sistemi.
    4. baskılayıcı - bir tehdidi uygulama girişimlerini, yani olayları önleyen güvenlik önlemleri. Örneğin bir ATM, belirli sayıda hatalı PIN girişi sonrasında müşterinin kartını elinden alır.
    5. düzeltici - bir olaydan sonra iyileşmeyi amaçlayan güvenlik önlemleri. Örneğin, yedeklemeleri geri yüklemek, önceki çalışma durumuna geri dönmek vb.

    ISM sürecinin girdileri şunlardır:

    1. işletmeden elde edilen bilgiler - stratejiler, planlar, işletme bütçesi ve ayrıca mevcut ve gelecekteki gereksinimler;
    2. iş güvenliği politikaları, güvenlik planları, Risk Analizi;
    3. BT'den gelen bilgiler - BT stratejisi, planları ve bütçesi;
    4. hizmetler hakkında bilgi - SLM'den, özellikle Hizmet Portföyünden ve Hizmet Kataloğundan (SLA/SLR) alınan bilgiler;
    5. ISM, Kullanılabilirlik Yönetimi ve Hizmet Sürekliliği Yönetiminden süreç ve risk analizi raporları;
    6. tüm bilgi güvenliği olayları ve içindeki “boşluklar” hakkında ayrıntılı bilgi;
    7. değişiklik bilgileri - Değişiklik Yönetimi sürecinden elde edilen bilgiler, özellikle değişikliklerin takvimi ve bunların bilgi güvenliği planları, politikaları ve kontrolleri üzerindeki etkisi;
    8. hizmetler, destek hizmetleri ve teknolojilerle iş ilişkileri hakkında bilgi;
    9. Tedarikçi Yönetimi ve Kullanılabilirlik Yönetimi süreçleri tarafından sağlanan hizmet ve sistemlere iş ortağı ve tedarikçi erişimi hakkında bilgi.

    ISM çıkışları şunlardır:

    1. kapsamlı bir Bilgi Güvenliği Politikası ve bilgi güvenliğiyle ilgili diğer destekleyici politikalar;
    2. ISM'yi desteklemek için gereken tüm bilgileri içeren Bilgi Güvenliği Yönetim Sistemi (BGYS);
    3. Riskin yeniden değerlendirilmesi ve raporların denetiminin sonuçları;
    4. kiti güvenlik kontrolleri, operasyonlarının ve yönetiminin yanı sıra bunlarla ilişkili tüm risklerin bir açıklaması;
    5. bilgi güvenliği denetimleri ve raporları;
    6. bilgi güvenliği planı test programı;
    7. bilgi varlıklarının sınıflandırılması;
    8. bilgi güvenliği ve olaylardaki mevcut “boşluklara” ilişkin raporlar;
    9. Tedarikçi ve iş ortaklarının hizmet ve sistemlere erişimini yönetmeye yönelik politikalar, süreçler ve prosedürler.

    Bilgi Güvenliği Yönetimi süreci için temel performans göstergeleri olarak birçok ölçüm kullanılabilir, örneğin:

    1. bilgi güvenliği ihlallerine karşı işletme koruması
      • Hizmet Masasındaki “boşluklar” hakkındaki mesajlarda yüzdesel azalma;
      • “ihlaller” ve olaylardan kaynaklanan iş üzerindeki olumsuz etkide yüzdesel azalma;
      • SLA'daki bilgi güvenliği öğelerinde yüzde artış.
    2. iş ihtiyaçlarını dikkate alan açık ve tutarlı bir bilgi güvenliği politikası oluşturmak, yani ISM süreçleri ile iş bilgi güvenliği süreçleri ve politikaları arasındaki tutarsızlıkların sayısını azaltmak.
    3. Kuruluşun yönetimi tarafından gerekçelendirilen, üzerinde mutabakata varılan ve onaylanan güvenlik prosedürleri:
      • güvenlik prosedürlerinin tutarlılığının ve uygunluğunun arttırılması;
      • artan yönetim desteği
    4. iyileştirme mekanizmaları:
      • kontroller ve prosedürler için önerilen iyileştirmelerin sayısı;
      • Test ve denetim sırasında tespit edilen tutarsızlıkların sayısını azaltmak.
    5. Bilgi güvenliği, ITSM hizmetlerinin ve süreçlerinin ayrılmaz bir parçasıdır, yani güvenlik önlemlerinin uygulandığı hizmet ve süreçlerin sayısındaki artıştır.

    ISM, bilgi güvenliğinin sağlanmasında birçok zorluk ve riskle karşı karşıyadır. Ne yazık ki uygulamada işletmeler bilgi güvenliği sorunlarının yalnızca BT tarafından çözülmesi gerektiğine inanıyor. Bir işletmenin neden bilgi güvenliğine dikkat etmesi gerektiğini anlamaması daha da kötüdür. Etkili bir bilgi güvenliği sistemi oluşturmak, finansmanla ilgili kararları verenlerin kendileri olması nedeniyle yönetim için açık olması gereken büyük maliyetler gerektirir. Aynı zamanda bir dengenin korunması da önemlidir; bilgi güvenliğinin sağlanması, korunan bilgiden daha pahalı olmamalıdır.

    Bilgi, bir kuruluşa katma değer sağlayan ve dolayısıyla korunması gereken en önemli iş kaynaklarından biridir. Bilgi güvenliğindeki zayıflıklar mali kayıplara neden olabilir ve iş operasyonlarının zarar görmesine neden olabilir. Bu nedenle çağımızda bilgi güvenliği yönetim sisteminin geliştirilmesi ve bir organizasyonda uygulanması konusu kavramsaldır.

    ISO 27001 standardı bilgi güvenliğini şu şekilde tanımlamaktadır: “Bilginin gizliliğinin, bütünlüğünün ve kullanılabilirliğinin korunması; ayrıca özgünlük, inkar edilemezlik ve güvenilirlik gibi diğer özellikler de dahil edilebilir.

    Gizlilik – bilgilerin yalnızca uygun yetkiye sahip kişiler (yetkili kullanıcılar) tarafından erişilebilir olmasını sağlamak;

    Bütünlük - bilgilerin doğruluğunun ve eksiksizliğinin yanı sıra işleme yöntemlerinin sağlanması;

    Kullanılabilirlik – gerektiğinde (talep üzerine) yetkili kullanıcıların bilgiye erişiminin sağlanması.

    Sorularınız için: klubok@site
    Devamını oku: