Kategoriler
...

Kurumsal bilgi güvenliğinin denetimi: kavram, standartlar, örnek

Birçok işadamı şirketlerinin sırrını gizli tutmaya çalışıyor. Yüzyıl yüksek teknoloji çağı olduğundan, yapmak oldukça zordur. Neredeyse herkes, kendilerini kurumsal ve kişisel bilgi sızıntısından korumaya çalışıyor, ancak bir profesyonelin gerekli verileri bulmasının zor olacağı bir sır değil. Şu anda, bu tür saldırılara karşı korumak için birçok yöntem vardır. Ancak böyle bir güvenlik sisteminin etkinliğini doğrulamak için bir bilgi güvenliği denetimi yapmak gerekir.

kurumsal bilgi güvenliğinin denetimi

Denetim nedir?

Federal Denetim "Denetleme" Kanununa göre, denetim çeşitli yöntem ve yöntemlerin yanı sıra uygulamaların pratik olarak uygulanmasını da içerir. İşletmenin bilgi güvenliği ile ilgili olarak, sistemin durumunun bağımsız bir değerlendirmesi ve aynı zamanda belirlenmiş gerekliliklere uygunluğunun seviyesidir. Muhasebe ve vergi raporlama, ekonomik destek ve finansal ve ekonomik faaliyetlerle ilgili sınavlar yapılır.

Neden böyle bir çek gerekli?

Bazıları böyle bir etkinliği para israfı olarak görür. Ancak, bu sektördeki sorunları zamanında tespit ederek, daha büyük ekonomik kayıplar önlenebilir. Bilgi güvenliği denetiminin amaçları:

  • koruma seviyesinin belirlenmesi ve gerekli hale getirilmesi;
  • örgütün gizliliğinin sağlanması açısından finansal uzlaştırma;
  • bu sektöre yatırım yapmanın fizibilitesinin gösterilmesi;
  • Güvenlik maliyetlerinizden en iyi şekilde yararlanın
  • iç kuvvetlerin etkinliğinin, kontrol araçlarının ve bunların iş yapma konusundaki yansımalarının onaylanması.

Bir işletmede bilgi güvenliği nasıl denetlenir?

Kapsamlı bir bilgi güvenliği denetimi birkaç aşamada gerçekleştirilir. Süreç örgütsel ve araçsal olarak ayrılmıştır. Kompleksin her iki kısmı çerçevesinde, müşterinin kurumsal bilgi sisteminin güvenliği konusunda bir çalışma yapılmış, daha sonra belirlenmiş standartlara ve gerekliliklere uygunluk tespit edilmiştir. Bir bilgi güvenliği denetimi aşağıdaki aşamalara ayrılmıştır:

  1. Müşteri gereksinimlerinin ve iş kapsamının belirlenmesi.
  2. Gerekli materyallerin çalışılması ve sonuçların çıkarılması.
  3. Olası risklerin analizi.
  4. Yapılan çalışmalar ve uygun kararın verilmesi konusunda uzman görüşü.

bilgi güvenliği denetimiBilgi güvenliği denetiminin ilk aşamasında neler yer almaktadır?

Bilgi güvenliği denetim programı, tam da müşterinin ihtiyaç duyduğu iş miktarını netleştirmekle başlar. Müşteri, uzman değerlendirmesi için başvurduğunu takip ederek görüş ve amacını ifade eder.

Bu aşamada, müşterinin sağladığı genel verilerin doğrulanması başlıyor. Kullanılacak yöntemleri ve planlanan önlem kümesini tanımlamaktadır.

Bu aşamadaki asıl görev belirli bir hedef belirlemektir. Denetimi yürüten müşteri ve kuruluş birbirini anlamalıdır, ortak bir görüş üzerinde anlaşmalıdır. Komisyon kurulduktan sonra, bileşimi uygun uzmanlar tarafından seçilir. Gerekli teknik şartnameler ayrıca müşteriyle ayrı ayrı kararlaştırılır.

Bu olayın yalnızca bilgi saldırılarına karşı koruyan sistemin durumunu göstermesi gerektiği görünüyor. Ancak testin kesin sonuçları farklı olabilir.Bazıları müşterinin şirketinin koruyucu ekipmanlarının çalışmaları hakkında tam bilgi sahibi olurken, diğerleri sadece bireysel bilgi teknolojisi hatlarının verimliliği ile ilgileniyor. Yöntemlerin ve değerlendirme araçlarının seçimi gereksinimlere bağlıdır. Hedef belirleme ayrıca uzman komisyonun çalışma sürecini de etkiler.

bilgi güvenliği örgütlerinin denetimi

Bu arada, çalışma grubu iki kuruluştan uzmanlardan oluşur - denetimi yapan şirket ve denetlenen kuruluşun çalışanları. Aslında, ikincisi, hiç kimse gibi, kurumlarının karmaşıklığını bilmez ve kapsamlı bir değerlendirme için gerekli tüm bilgileri sağlayabilir. Ayrıca, çalışan şirketin çalışanlarının çalışmaları üzerinde de bir çeşit kontrol yürütürler. Denetim sonuçları açıklanırken görüşleri dikkate alınır.

Şirketin bilgi güvenliğini denetleyen şirketin uzmanları, konu alanlarının incelenmesi ile ilgilenmektedir. Uygun bir nitelik seviyesinin yanı sıra bağımsız ve tarafsız bir görüşe sahip olduklarında, koruyucu ekipmanın çalışma durumunu daha doğru bir şekilde değerlendirebilirler. Uzmanlar faaliyetlerini planlanan çalışma planına ve hedeflerine uygun olarak yürütürler. Teknik süreçler geliştirir ve sonuçları birbirleriyle koordine ederler.

Referans şartları açıkça denetçinin hedeflerini belirler, uygulanması için yöntemleri belirler. Ayrıca, denetimin zamanlamasını da açıklar, her aşamada kendi periyodunun olması bile mümkündür.

Bu aşamada, denetlenen kurumun güvenlik hizmetleri ile temas kurulur. Denetçi, denetim sonuçlarını ifşa etmeme yükümlülüğü getirmektedir.

İkinci aşamada uygulama nasıl yapılır?

İkinci aşamada bir işletmenin bilgi güvenliğinin denetimi, değerlendirmek için gerekli olan bilgilerin toplanmasıdır. Öncelikle, bir gizlilik politikasını uygulamaya yönelik genel bir dizi önlem aldığımızı düşünüyoruz.

Verilerin çoğu elektronik ortamda çoğaltıldığından ya da genel olarak şirket, faaliyetlerini yalnızca bilgi teknolojisi yardımı ile gerçekleştirdiğinden, yazılım da teste tabi tutulur. Fiziksel güvenlik de analiz ediliyor.

Bu aşamada, uzmanlar kurum içinde bilgi güvenliğinin nasıl sağlandığını ve denetlendiğini incelemeye ve değerlendirmeye kararlıdır. Bu amaçla, koruma sisteminin organizasyonu, ayrıca sağlanması için teknik imkanlar ve koşullar, analiz için kendisini ödünç vermektedir. Son noktaya özel bir dikkat gösterildi, çünkü dolandırıcılara çoğu zaman tam olarak teknik kısımda koruma konusunda ihlaller buluyorlar. Bu nedenle, aşağıdaki noktalar ayrı ayrı değerlendirilir:

  • yazılım yapısı;
  • sunucuların ve ağ cihazlarının yapılandırılması;
  • gizlilik mekanizmaları.

Bu aşamada işletmenin bilgi güvenliğinin denetimi, rapor halinde yapılan çalışmaların sonuçlarının sorgulanması ve ifadesiyle sona erer. Denetimin sonraki aşamalarının uygulanmasına temel teşkil eden dokümante edilmiş sonuçlardır.

Olası riskler nasıl analiz edilir?

Gerçek tehditleri ve sonuçlarını tespit etmek için organizasyonların bilgi güvenliği denetimi de yapılır. Bu aşama sonunda, bilgi saldırıları olasılığını önleyecek veya en azından asgariye indirecek bir önlemler listesi oluşturulmalıdır.

bilgi güvenliğinin sağlanması ve denetlenmesi

Gizlilik ihlallerini önlemek için, önceki adımın sonunda alınan raporu analiz etmeniz gerekir. Bu sayede şirket alanına gerçek bir müdahalenin mümkün olup olmadığını belirlemek mümkündür. Mevcut teknik koruyucu ekipmanın güvenilirliği ve performansı hakkında bir karar verilir.

Tüm kuruluşların farklı çalışma alanları bulunduğundan, güvenlik gereksinimleri listesi aynı olamaz.Denetlenen kurum için ayrı ayrı bir liste hazırlanır.

Zayıflıklar da bu aşamada tanımlanır ve müşteriye olası saldırganlar ve yaklaşan tehditler hakkında bilgi verilir. İkincisi, hangi numarayı bekleyeceğinizi bilmek ve buna daha fazla dikkat etmek için gereklidir.

Müşterinin, uzman komisyonun yeniliklerinin ve sonuçlarının ne kadar etkili olacağını bilmesi de önemlidir.

Olası risklerin analizi aşağıdaki hedeflere sahiptir:

  • bilgi kaynaklarının sınıflandırılması;
  • iş akışındaki zayıf noktaların belirlenmesi;
  • olası bir dolandırıcılık prototipi.

Analiz ve denetim, bilgi saldırılarının başarısının ne kadar mümkün olduğunu belirlemenizi sağlar. Bunun için zayıflıkların önemi ve yasadışı amaçlarla kullanmanın yolları değerlendirilir.

Denetimin son aşaması nedir?

Son aşama, çalışma sonuçlarının yazılması ile karakterize edilir. Çıkan belgeye denetim raporu denir. Denetlenen şirketin genel güvenlik seviyesi ile ilgili sonucu pekiştirir. Ayrı olarak, bilgi teknolojisi sisteminin güvenlikle ilgili etkinliğinin bir açıklaması vardır. Rapor, potansiyel tehditlerle ilgili rehberlik eder ve olası bir saldırganın modelini açıklar. Ayrıca iç ve dış faktörlerden dolayı yetkisiz izinsiz girme olasılığını da ortaya koymaktadır.

Bilgi güvenliği denetim standartları sadece durumun bir değerlendirmesini değil, aynı zamanda gerekli faaliyetler konusunda uzman bir komisyon tarafından tavsiyelerin verilmesini de sağlar. Kapsamlı çalışmaları yürüten, bilgi altyapısını analiz eden, kendilerini bilgi hırsızlığından korumak için ne yapılması gerektiğini söyleyen uzmanlardır. Güçlendirilmesi gereken yerleri belirteceklerdir. Uzmanlar aynı zamanda teknolojik destek, yani ekipman, sunucu ve güvenlik duvarları hakkında rehberlik sağlar.

bilgi güvenliğinin iç denetimi

Öneriler, ağ cihazlarının ve sunucuların yapılandırmasında yapılması gereken değişikliklerdir. Belki de talimatlar doğrudan seçilen güvenlik yöntemleriyle ilgilidir. Gerekirse, uzmanlar koruma sağlayan mekanizmaları daha da güçlendirmeyi amaçlayan bir dizi önlem hazırlayacaktır.

Şirket ayrıca özel sosyal yardım çalışmaları yürütmeli ve gizliliği amaçlayan bir politika geliştirmelidir. Belki de güvenlik reformları uygulanmalı. Önemli bir nokta, şirketin güvenliği ile ilgili hükümleri pekiştirmek zorunda olan düzenleyici ve teknik tabandır. Takım uygun şekilde bilgilendirilmelidir. Etki alanı ve verilen sorumluluk alanları tüm çalışanlar arasında paylaşılmaktadır. Bu uygunsa, ekibin bilgi güvenliği konusunda eğitimini geliştirmek için bir kurs yürütmek daha iyidir.

Hangi tür denetim var?

Bir işletmenin bilgi güvenliğinin denetimi iki tür olabilir. Bu işlemin kaynağına bağlı olarak, aşağıdaki türler ayırt edilebilir:

  1. Dış formu. Tek kullanımlık olduğu için farklıdır. İkinci özelliği ise bağımsız ve tarafsız uzmanlar tarafından üretilmesidir. Tavsiye niteliğinde ise, kurum sahibi tarafından sipariş edilir. Bazı durumlarda, dış denetim gereklidir. Bu, organizasyon türünün yanı sıra olağanüstü şartlardan da kaynaklanıyor olabilir. İkinci durumda, bir kural olarak, böyle bir denetimin başlatıcıları kolluk kuvvetleridir.
  2. İç formu. Denetim davranışını öngören özel bir hükme dayanmaktadır. Sistemi sürekli izlemek ve açıkları tespit etmek için bir iç bilgi güvenliği denetimi gereklidir.Belirli bir sürede gerçekleşen olayların bir listesidir. Bu iş için çoğunlukla özel bir departman veya yetkili bir çalışan kurulur. Koruyucu ekipmanın durumunu teşhis eder.

Aktif bir denetim nasıl yapılır?

Müşterinin neyi takip ettiğine bağlı olarak, bilgi güvenliği denetim yöntemleri de seçilir. Güvenlik seviyesini incelemenin en yaygın yollarından biri aktif bir denetimdir. Bu gerçek bir hacker saldırısı ifadesidir.

bilgi güvenliği denetim standartları

Bu yöntemin avantajı, tehdit olasılığının en gerçekçi simülasyonuna izin vermesidir. Aktif bir denetim sayesinde, benzer bir durumun hayatta nasıl gelişeceğini anlayabilirsiniz. Bu yönteme araçsal güvenlik analizi de denir.

Aktif bir denetimin özü, bir bilgi sistemine izinsiz girme girişiminin uygulanmasıdır (özel yazılım kullanarak). Aynı zamanda, koruyucu ekipman tam hazır durumda olmalıdır. Bu sayede çalışmalarını böyle bir durumda değerlendirmek mümkün. Yapay hacker saldırısı yapan bir kişiye asgari bilgi verilir. Bu en gerçekçi koşulları yeniden yaratmak için gereklidir.

Sistemi mümkün olduğunca çok saldırıya maruz bırakmaya çalışıyorlar. Farklı yöntemler kullanarak, sistemin en çok maruz kaldığı bilgisayar korsanlığı yöntemlerini değerlendirebilirsiniz. Bu, elbette, bu işi yapan uzmanın niteliklerine bağlıdır. Ancak eylemleri yıkıcı nitelikte olmamalıdır.

Sonuçta, uzman sistemin zayıf yönleri ve en erişilebilir bilgiler hakkında bir rapor oluşturur. Ayrıca, uygun seviyeye kadar daha yüksek güvenlik garanti etmesi gereken olası güncellemeler hakkında önerilerde bulunur.

Uzman denetimi nedir?

Şirketin belirlenen gerekliliklere uygunluğunu belirlemek için bir bilgi güvenliği denetimi de yapılır. Böyle bir görevin bir örneği uzman yöntemde görülebilir. Kaynak verilerle karşılaştırmalı bir değerlendirme yapılır.

Bu çok ideal koruma çalışması, çeşitli kaynaklara dayanabilir. Müşterinin kendisi gereksinimleri belirleyebilir ve hedefler koyabilir. Şirket başkanı, kuruluşunun güvenlik düzeyinin istediğinden ne kadar uzakta olduğunu bilmek isteyebilir.

Karşılaştırmalı bir değerlendirme yapılacak prototip, genel olarak uluslararası standartlarda kabul edilebilir.

Federal Denetleme Kanunu'na göre, yürüten şirket, ilgili bilgileri toplamak ve bilgi güvenliğini sağlamak için mevcut önlemlerin yeterli olduğuna karar vermek için yeterli yetkiye sahiptir. Düzenleyici belgelerin tutarlılığı ve çalışanların koruyucu ekipmanların işletilmesine ilişkin eylemleri de değerlendirilir.

Uygunluk kontrolü nedir?

Bu tür öncekine çok benziyor, çünkü özü de karşılaştırmalı bir değerlendirme. Ancak, sadece bu durumda, ideal prototip soyut bir kavram değil, düzenleyici ve teknik dokümantasyon ve standartlarda belirtilen net gereksinimlerdir. Bununla birlikte, şirketin gizlilik politikasında belirtilen seviyeye uyum derecesini de belirler. Bu ana uymadan, daha fazla çalışma hakkında konuşamayız.

bilgi güvenliği denetimi örneği

Çoğu zaman, bu denetim türü işletmedeki mevcut güvenlik sisteminin belgelendirilmesi için gereklidir. Bu bağımsız bir uzman görüşünü gerektirir. Burada sadece koruma seviyesi değil, aynı zamanda tanınmış kalite standartlarından memnuniyeti de önemlidir.

Bu nedenle, bu tür bir prosedürü uygulamak için, uygulayıcıya karar vermeniz ve ayrıca kendi ihtiyaç ve yeteneklerinize dayanan hedef ve hedefleri vurgulamanız gerektiği sonucuna varabiliriz.


Yorum ekle
×
×
Yorumu silmek istediğinize emin misiniz?
silmek
×
Şikayet nedeni

Başarı hikayeleri

ekipman