Hepimizin bildiği gibi, Bilgi Güvenliği bilginin korunmasını amaçlar. Peki, Bilgi nasıl korunur? Bilginin korunması için bütünlüğü (integrity), gizliliği (confidentiality) ve erişilebilirliliği (availability) özelliklerinin her zaman sağlanıyor olması gerekir. Bilginin üretilmesinden imha edilmesine kadar geçen süreçte güvenliğinin sağlanması için BT Güvenliği, Yedekleme, Fiziksel Güvenlik vb kontrollerinin de devreye alınmış olması gerekmektedir. Bu açıdan bakıldığında BT Güvenliği, Bilgi (Veri) Güvenliği’nin sağlanması için etkenlerden sadece bir tanesidir.
Kurumlar verilerinin güvenliğini sağlamak için BT altyapılarına çeşitli güvenlik ürünleri (Firewall, IPS vb) konumlandırmakta, sızma testleri ve zaafiyet analizleri yaptırmaktadırlar. Yasal düzenlemelere ve standartlara uyum için düzenli periyotlarda denetlenen firmalar, denetlemeye hazırlanırken çoğu zaman bu teknik ayrıntıların için kaybolup gitmekte Bilgi Güvenliği ve Bilgi Teknolojileri Güvenliği kavramlarını birbirine karıştırmaktadırlar.
Denetimlerde başarılı olmak için sadece en uygun teknolojiyi konumlandırmak yeterli değildir. Güvenlik denetimlerine denetim açısından bakmak gerekmektedir. Denetimde en temel konu, üründen ziyade Bilgi Güvenliği’nin nasıl yönetildiğidir. Denetlenen kurum, mevcut verilerini değerlendirmiş / sınıflandırmış / önceliklendirmiş ve varlıklar için tehdit-risk-kontrol matrisi oluşturarak gerekli kontrolleri devreye almış olmalıdır. Bu kontroller Firewall, IPS gibi teknolojilerinin yanısıra kontrollü giriş kapıları, kapalı devre tv sistemi gibi fiziksel güvenlik öğelerini de içermelidir. Ayrıca, verilerine erişim için gerekli süreçleri de etkin bir şekilde işletiyor olması gerekmektedir.
COBIT Bilgi Güvenliği Denetimleri için yukarda bahsettiğimiz konuların kırılımlarını aşağıdaki kontrol listesinde bulabilirsiniz:
· Bilgi Güvenliği Yönetimi
o Bilgi Güvenliği Politikası, İş Stratejisi’ne uygun mudur?
o Yönetim Kurulu onaylı bir Bilgi Güvenliği Politikası var mıdır? Paydaşlara duyurulmuş mudur?
o Mevcut bilgi güvenliği durumu Yönetim ve iş Birimleri’ne iletilmekte midir?
o BT Varlıkları için varlık değerlendirmesi/sınıflandırması/önceliklendirilmesi yapılmış mıdır?
· Bilgi Güvenliği Planı
o Güvenlik Planı, Standartları, Prosedürleri, Klavuzları var mıdır?
o Yasal Mevzuat ve iş gereksinimlerine uygun mudur?
o Bilgi Güvenliği Farkındalık Eğitimleri yapılmakta mıdır?
· İnsan Kaynakları Yönetimi
o İş başlangıcı öncesi gerekli kontroller yapılmakta mıdır? (sicil, referans vb)
o Tüm kullanıcılarla “Bilgi Gizliliği Anlaşmaları”, “Uyum ve Şifre Taahhütnameleri” imzalanmış mıdır?
o Kullanıcıların politika, standartlara ve diğer dokümanlara uyacağını ifade ettiği kullanıcı beyanı mevcut mudur?
· Kimlik Yönetimi
o Kullanıcı aktivitelerini izlemek için altyapı var mıdır?
o Sistemlerde her kullanıcı için ayrı hesap tanımlanmış mıdır?
o Tanımlı kullanıcı haklar “En Az Haklar Prensibi”ne uygun mudur?
o Erişim taleplerini karşılayan yetkilendirme standartları/klavuzları var mıdır? Süreç nasıl işletilmektedir?
o Kullanıcı parolaları nasıl belirlenmekte, iletilmekte, saklanmaktadır?
o 3. Taraf kullanıcı hesapları nasıl yönetilmektedir?
· Kullanıcı Hesapları Yönetimi
o İş Başlangıcı, İşten Ayrılma ve Transfer süresinde kullanıcı hesapları nasıl kontrol edilmektedir?
o Kullanıcı yetkilendirme kılavuzları mevcut mudur?
o Erişim hakları, Veri Sahibi tarafından mı verilmiştir? Mevcut haklar, düzenli aralıklarla Veri Sahibi tarafından gözden geçirilmekte midir?
o Ayrıcalıklı kullanıcı hesapları nasıl yönetilmektedir?
o Ayrıcalıklı Hesap Parolaları nasıl korunmaktadır?
o Uygulama kullanıcı hesapları nasıl yönetilmektedir?
o Geçici kullanıcı hesapları nasıl yönetilmektedir?
o Tanımlı erişimler için “Erişim Hakları Prosedürü” var mıdır? Etkinliği nasıl ölçülmektedir?
o Kullanıcı bilgisayarlarındaki yönetici hakları kontrol edilmekte midir?
o Uzaktan erişim hakları düzenli olarak gözden geçirilmekte midir?
o Mevcut profiller iş ihtiyaçlarına uygunluk açısından periyodik aralıklarla kontrol edilmekte midir?
· Güvenlik Teknolojilerinin Korunması
o Güvenlik ürünleri (yazılım, donanım, altyapı) ve dokümanları nasıl korunmaktadır?
· Kriptografik Anahtar Yönetimi
o Kriptografik anahtarlar kullanılmakta mıdır?
o Kullanılmakta olan kriptografik anahtarlar nasıl korunmaktadır?
· Veritabanı ve Yazılım Güvenliği
o Veritabanlarındaki bilgilerin güvenliği nasıl sağlanmaktadır?
o Veritabanı betiklerinin (DDL, DML) çalıştırılmadan önce gözden geçirilmesi ve onay süreci var mıdır?
o Yazılım geliştirme sürecinde güvenlik kontrolleri var mıdır? Nasıl uygunlanmaktadır?
o Üretim ortamına aktarılacak sürümün kaynak kodları gözden geçirilmekte midir?
· Zararlı Yazılımları Engelleme, Tespit ve Düzenleme
o Yazılım lisans yönetimi nasıl yapılmaktadır?
o Lisanssız yazılım kullanımını engellemek için alınan önlemler nelerdir?
o Sunucu ve istemci sistemleri için zararlı kodlar için antivirus yazılımı kurulmuş mudur? Periyodik olarak zararlı kod taraması yapılmakta mıdır?
o Antivirus yazılımının güncellemeleri nasıl yapılmaktadır?
o Sunucu ve istemci işletim sistemlerinin güncellemeleri nasıl yapılmaktadır?
o Güncellemeler nasıl yapılmaktadır? Test ortamı mevcut mudur?
o Yüklenen uygulamalar ve güncellemeler için kayıt tutulmakta ve ilgililerine raporlanmakta mıdır?
· Ağ Güvenliği
o Ağa içeriden ve dışarıdan yapılan erişimleri yetkilendirmek, izlemek ve kontrol etmek için kullanılan güvenlik araçları (FW, IDS, ADS, IPS, Network Segmentation) nelerdir? Bunlar nasıl yönetilmektedir?
o Ağ cihazlarının (router, firewall) yönetimi süreci nasıl işlemektedir? Talepler nasıl iletilmekte, onaylamaktadır?
o Tanımlı kurallar nasıl yönetilmektedir? Talep/Onay mekanizması var mıdır? Geriye dönük takip edilebilmekte midir?
o Cihaz kuralları yedeklenmekte midir? Yedekler nasıl saklanmaktadır?
o Uzaktan erişim için kullanılan teknolojiler ve prosedürler nelerdir?
o Kablosuz ağ bağlantısı var mıdır? Var ise nasıl yönetilmektedir?
o Her sene periyodik olarak sızma ve saldırı testi gerçekleştirilmekte midir?
· Hassas Verilerin İletimi
o Hassas verinin sadece güvenli ortam ve kanallardan iletilmesi sağlanmakta mıdır? İletilen hassas verinin bozulmadığı, gönderenin kimliğinden emin olma, alıcının kimliğinden emin olma ve inkar edilemezlik şartları nasıl sağlanmaktadır?
o Hangi verinin hassas olduğuna ve güvenli iletilmesi gerektiğine nasıl karar verilmektedir?
o Hassas veri iletimini düzenleyen bir doküman bulunmakta mıdır?
o Elektronik Mesajlaşma ve Şifreleme Prosedürü bulunmakta mıdır?
o Gizli bilgi transferinin hangi kanallardan yapılacağını açıkça belirlemiş midir?
o Şifreleme stratejisinin yönetimi uygun personelle sınırlandırılmış mıdır?
· Güvenlik Olayı Tanımlaması
o Güvenlik olayları tanımlanmış mıdır?
o Güvenlik ihlal olayları nasıl toplanmakta, iletilmekte, kayıt altına alınmakta, eskale edilmekte ve gerekli aksiyon alınması sağlanmaktadır?
o Acil Durum nasıl tanımlanmakta ve yönetilmektedir? Acil Durum Müdahale Ekibi var mıdır?
· Fiziksel Güvenliği Sağlanması
o Sistem odası giriş kapısı sürekli kapalı mı tutulmakta, erişim kontrollü olarak sağlanmakta mıdır?
o Sistem Odası giriş talepleri için nasıl bir süreç işletilmektedir?
o Sistem odalarına girişler yetkili personel ile kısıtlanmış mıdır? Nasıl kontrol edilmektedir?
o Bakım, temizlik, kurulum vb amaçlarla Sistem Odası’na giren tedarikçiler için nasıl bir süreç işletilmektedir?
o Sistem Odası giriş yetkileri ve kayıtları düzenli olarak gözden geçirilmekte midir?
o Sistem Odası’ndaki cihazların sağlıklı çalışması için gerekli önlemler alınmış mıdır
o Klima sistem, Yangın söndürme cihazları, ısı sensörü mıdır? Kontrolleri ve bakımları yapılmakta mıdır? Kayıtları var mıdır?
o Sistem Odası’nın yeri hangi kriterlere göre seçilmiştir? Örneğin; deprem riski varsa, yapı güçlendirilmesi yapılmış mıdır?
o Su baskını için yükseltilmiş tavan, nem ölçer var mıdır?
o Hırsızlık vb için CCTV sistemi, güvenlik görevlisi vb var mıdır?
o Fiziksel Güvenlik Kontrolleri otomatize edilmiş midir?
· İş Sürekliliğinin Sağlanması ve Bilginin Yedeklenmesi
o YK onaylı İş Sürekliliği Planı var mıdır? Gerekli roller belirlenip düzenli aralıklarla test edilmekte midir? Sonuçları ilgililerine raporlanmakta mıdır?
o Bilgi-Veri Sınıflandırması ve İş Etki Analizleri’ne göre yedekleme ve geri dönüş süreleri belirlenmiş midir?
o Kritik bilgilerin yedekleri şifreli olarak alınmakta mıdır?
o Alınan tüm yedeklerin güvenliği nasıl sağlanmaktadır?
o Yedekler için geri dönüş testleri yapılmakta mıdır?
· Bilginin İmha Edilmesi
· Bilginin imha edilmesi için yazılı prosedürler var mıdır? İşletilmekte midir?
· Güvenlik Testi, Gözetleme ve İzleme
o Mevcut güvenlik uygulamalarının/süreçlerinin etkinliği nasıl ölçülmektedir?
o Belirli aralıklarla Bağımsız Güvenlik Denetimi yaptırılmakta mıdır?
o İç denetim tarafından periyodik denetim çalışmaları gerçekleştiriliyor mu?
o İz kayıtlarının yönetilmesine ilişkin prosedür var mıdır? (izlenmesi, raporlanması, saklanması) Etkinliği için kanıt var mıdır?
Umarım faydalı bir makale olmuştur. Bir sonraki makalemizde görüşmek üzere