Ana Sayfa / Bilgi Güvenliği / Bilgi Güvenliği ve Siber Güvenliğin Ortak Noktaları Nelerdir ?

Bilgi Güvenliği ve Siber Güvenliğin Ortak Noktaları Nelerdir ?

Bilgi Güvenliği ve Siber Güvenliğin Ortak Noktaları Nelerdir ?

Güvenlik Kültürü Bir kurumun güvenlik kültürü, bilgi güvenliği programının etkinliğine katkıda bulunur. Güvenlik süreçleri kurumun kültürüne derinden gömüldüğünde bilgi güvenliği programı daha etkilidir. Yönetim kurulu ve yönetim, bilgi güvenliği programını anlamalı ve desteklemeli ve bilgi güvenliği programını geliştirmek, uygulamak ve sürdürmek için uygun kaynakları sağlamalıdır. Bu anlayış ve desteğin sonucu, yönetim ve çalışanların, programı kurumun iş alanlarına, destek işlevlerine ve üçüncü taraf yönetim programına entegre etmeyi taahhüt ettiği bir programdır. Yeni iş girişimlerinin (yeni hizmet teklifleri veya uygulamalar gibi) sunulması, bilgi güvenliğinin kurumun kültürünün bir parçası olduğu olgunluk derecesini ve derecesini ortaya çıkarabilir. Daha güçlü bir güvenlik kültürüne sahip bir kurum genel olarak bilgi güvenliği ni başlangıçtan itibaren ve hizmetlerin ve uygulamaların yaşam döngüsü boyunca yeni girişimlere entegre eder. Etkin bir kültürün bir başka göstergesi de, yönetim ve çalışanların kurumun bilgi güvenliği programına uymaktan sorumlu olup olmadıklarıdır.

I.B Sorumluluk ve Sorumluluk Yönetim kurulu veya belirlenen yönetim kurulu, kurumun bilgi güvenliği programının geliştirilmesini, uygulanmasını ve bakımını denetlemekten ve üst yönetimin faaliyetlerinden sorumlu tutulmasından sorumlu olmalıdır. Kurul, bilgi güvenliği ve bilgi güvenliği risklerinin iş sonuçları için iş durumunu makul bir şekilde anlamalıdır; yönetim ile yön sağlamak; bilgi güvenliği planlarını, politikalarını ve programlarını onaylamak; bilgi güvenliği programının etkinliğini değerlendirmek; Uygun olduğunda, yönetimin düzeltici eylem önerilerini tartışın. Yönetim kurulu, beklentileri ve gereksinimleri ile yönetim sağlamalı ve merkezi gözetim ve koordinasyon, sorumlulukların atanması ve bilgi güvenliği programının etkinliği için yönetimin sorumlu tutulmasını sağlamalıdır.

Yönetim kurulu veya tayin edilmiş kurul komitesi, kurumun yazılı bilgi güvenliği programını onaylamalıdır; Programın geliştirilmesi, uygulanması ve bakımı için sorumlulukları onaylamak; ve programın genel durumu hakkında en az yılda bir kez bir raporun gözden geçirilmesi.7 Yönetim, programın genel durumunu ve programla ilgili maddi hususları tanımlayan en az yılda bir kez, aşağıdakileri de içeren bir rapor sunmalıdır: • Risk değerlendirmesi tehdit tanımlama ve değerlendirme de dahil olmak üzere süreç.

Bilgi Güvenliği Analizi Nasıl Yapılır ?

• Risk kabulü ve kaçınma dahil risk yönetimi ve kontrol kararları.
• Üçüncü taraf servis sağlayıcı düzenlemeleri.
• Test sonuçları. • Güvenlik, yasa veya yönetmelik ve yönetimin bu tür olaylara verdiği tepkileri ihlal ediyor.

• bilgi güvenliği programındaki güncellemeler için öneriler. bilgi güvenliği konusunda raporlar verirken, yönetim, yönetim değerlendirmelerinin sonuçlarını ve gözden geçirmelerini içermelidir; bilgi güvenliği ile ilgili iç ve dış denetim faaliyetleri; bilgi güvenliği programı ve bilgi güvenliği önlemlerinin üçüncü taraf yorumları; ve bilgi güvenliği programının, süreçlerinin, politikalarının ve kontrollerinin yeterliliğini değerlendirmek için tasarlanmış diğer iç veya dış değerlendirmeler. Yönetim aşağıdakileri de yapmalıdır:
• Kurul onaylı bilgi güvenliği programını uygulayın.

• bilgi güvenliği programını desteklemek için uygun politikalar, standartlar ve prosedürler oluşturun.
• Güvenlik tehditlerinin veya olayların kurum ve iş süreçleri ve süreçlerine etkisini değerlendirmek.
• Açıkça net sorumluluk çizgilerini belirtin ve bilgi güvenliği için hesap verebilirliği iletin. siber güvenlik ile ilgili olanlar dahil olmak üzere bilgi güvenliği tehditlerine veya olaylarına ilişkin yönetim kurulu onaylı risk eşiklerine uyun.
• bilgi güvenliği programını destekleyen müşteri risk azaltma faaliyetleri.
• Riski tanımlayan bir risk kabul süreci uygulayın ve yönetimde kimlerin ne zaman, nasıl, ne ölçüde ve kimin tanımladığı güvenlik açıkları ile ilişkili riski kabul ettiğini.
• Görevlerin ayrılmasını sağlamak.
• Koordinat bilgileri ve fiziksel güvenlik.


• Güvenlik kontrollerini kurum genelinde entegre edin.
• Kurum genelinde benzer bir hassasiyet ve hassasiyete sahip verilerin tutarlı bir şekilde korunması gerekir.
• Bu kitapçığın “Üçüncü Taraf Hizmet Sağlayıcılarının Gözetimi” bölümünde daha ayrıntılı olarak açıklandığı gibi üçüncü tarafların bilgi güvenliği sorumluluklarını oluşturmak ve izlemek.
• Belirli bilgi güvenliği sorumluluklarını içeren iş tanımlarını veya iş sözleşmelerini sürdürün.
• Çalışanlara bilgi güvenliği ve bilinçlendirme eğitimi ve devam eden güvenlikle ilgili iletişim sağlayın ve çalışanların bu eğitimi yılda bir kez tamamladığından emin olun.

Yönetim, bilgi güvenliği programının uygulanmasından ve izlenmesinden sorumlu olan en az bir bilgi güvenliği görevlisi tayin etmelidir. bilgi güvenliği yönetimi sorumlulukları, risk kararlarının nerede verildiğine ve kurumun büyüklüğü, karmaşıklığı, kültürü, operasyonların niteliği veya diğer faktörlere bağlı olarak çeşitli iş kollarına dağıtılabilir. bilgi güvenliği görevlileri doğrudan yönetim kuruluna veya üst yönetime rapor vermeli ve görevlerini yerine getirmek için yeterli yetki, organizasyon içinde bilgi, arka plan, eğitim ve bağımsızlık göstermelidir. Görevlerin uygun şekilde ayrılmasını sağlamak için bilgi güvenliği görevlileri BT operasyon personelinden bağımsız olmalı ve BT operasyon yönetimine rapor vermemelidir. bilgi güvenliği görevlileri, kurum ve müşterilerini yakın bir şekilde bilgi kaybına karşı korumak için acil durum eylemleri sipariş ederek güvenlik olaylarına cevap vermekten sorumlu olmalıdır; bilginin gizliliği, bütünlüğü, kullanılabilirliği veya değeri üzerindeki olumsuz etkileri yönetmek; ve kritik hizmetlerin bozulmasını veya bozulmasını en aza indirir. İç denetçiler, yönetimin sürdürülmesini ve yönetim kurulunun etkili bir bilgi güvenliği programını denetlemesini sağlamak için risk bazlı bir denetim programı uygulamalıdır.

Siber Güvenliğin Temel Analizi Nedir ?

Ek olarak yönetim, yönetim kuruluna uygun raporlar yayınlamalıdır. BT El Kitabının “Denetim” kitapçığına bakınız. I.C Kaynakları Finansmanı, teknik ve yönetsel yeteneklerle birlikte, bilgi güvenliği programının etkinliğine de katkıda bulunmaktadır. Yönetim, başarılı bir bilgi güvenliği programı geliştirmek, uygulamak ve sürdürmek için yeterli finansmanı sağlamalı ve yönetim kurulmalıdır. Program, kurumun teknik ve yönetim ihtiyaçları ile uyumlu ve boyutu, karmaşıklığı ve risk profiline uygun becerilere sahip yeterli personel tarafından sağlanmalıdır. bilgi güvenliği programının başarısı için teknoloji standartları, uygulamaları ve risk metodolojileri bilgisi özellikle önemlidir. Üçüncü taraf hizmet sağlayıcıları bir kurumun teknik ve yönetsel yeteneklerini desteklediğinde, yönetim gözetimi, üçüncü taraf hizmet sağlayıcısı tarafından desteklenen bilgi ve iş süreçlerinin hassasiyeti ve kritikliği ile orantılı olmalıdır. Daha fazla bilgi için BT El Kitabının “Dış Kaynak Kullanımı Teknolojisi Hizmetleri” kitapçığına bakınız. Kurumun kurumun ITRM sürecini destekleyen güçlü ve etkili bir bilgi güvenliği programı olmalıdır.9 Etkin bir bilgi güvenliği programı aşağıdakileri içerir: • Risk tanımlama • Risk ölçümü • Risk azaltma • Risk izleme ve raporlama IT El Kitabının “Yönetimine” bakınız. Daha fazla bilgi için kitapçık. Kapsamlı bir bilgi güvenliği programı siber güvenlik unsurlarını içermeli ve yönetim, bilgi güvenliği programı ve ITRM sürecine uygun olarak siber güvenlik risklerini tanımlamalı, ölçmeli, azaltmalı, izlemeli ve raporlamalıdır. Ayrıca, bilgi güvenliği programının genel etkisini belirlemek için, yönetim kapsamlı güvence ve test süreçlerine sahip olmalıdır. Yönetim, bilgi güvenliği programını kurumun iş kolları ve destek işlevleri ile bütünleştirmelidir. Entegre bir program, yönetime bir olaya ait kurumun olası olasılığını ve potansiyel zararlarını değerlendirme, olayın temel nedenlerini belirleme ve belirlenen sorunları ele almak için kontrolleri uygulama yeteneği sağlar.

Teknolojiyi dış kaynak kullanan kurumlar, iş faaliyetleri ve destek işlevleri, bu faaliyetlerin bilgi güvenliği programı ile etkin bir üçüncü taraf hizmet sağlayıcı yönetim programı aracılığıyla entegrasyonunu sağlamalıdır. Kurum, kurumun ve üçüncü taraf hizmet sağlayıcılarının birleşik faaliyetlerinin kabul edilebilir bir risk düzeyine yol açacağı şekilde, iç bilgi güvenliği programı ile uyumlu beklentileri oluşturup uyguladığı zaman, bu programların etkili bir şekilde bütünleşmesi açıktır. Daha fazla bilgi için BT El Kitabının “Dış Kaynak Kullanımı Teknolojisi Hizmetleri” kitapçığına bakınız. Risk, beklenen veya beklenmeyen olayların kurumun kazancını, sermayesini veya itibarını olumsuz yönde etkileyebilme olasılığıdır. Risk, biri operasyonel risk olan kategoriler açısından değerlendirilmektedir. Operasyonel risk, yetersiz veya başarısız süreçlerden, kişilerden veya sistemlerden kaynaklanan arıza veya kayıp riskidir. İç ve dış olaylar operasyonel riski etkileyebilir. İç olaylarda insan hataları, görevi kötüye kullanma ve içeriden yapılan saldırılar yer alır. BT’yi etkileyen kurumlar ve kurumun faaliyet hedeflerini karşılama yeteneği doğal afetler, siber saldırılar, piyasa koşullarındaki değişiklikler, yeni rakipler, yeni teknolojiler, davalar ve yeni yasalar veya yönetmeliklerdir. Bu olaylar riskler ve fırsatlar yaratır ve kurum bunları risk tanımlama sürecine dahil etmelidir. Etkili olabilmesi için, bir bilgi güvenliği programının, tehditleri ve güvenlik açıklarını sürekli olarak tanımlamak için süreçleri belgelemesi gerekir. Risk tanımlaması, önemli siber güvenlik tehditleri de dahil olmak üzere tehdit gruplarını oluşturmalıdır. Tehditleri, kaynakları ve güvenlik açıklarını sınıflandırmak için bir taksonomi, risk tanımlama sürecinin desteklenmesine yardımcı olabilir. Yönetim, siber güvenlik riski de dahil olmak üzere kurumun bilgi güvenliği risk profilini belirlemek için bu risk tanımlama faaliyetlerini gerçekleştirmelidir. Tehditler Ulusal Standartlar ve Teknoloji Enstitüsü’ne (NIST) göre, bir tehdit, kayıp oluşturma potansiyeline sahip herhangi bir durum veya olaydır.

Bilgi Güvenliği ve Siber Güvenliğin Ortak Noktaları Nelerdir ?

12 Tehdit, doğal bir olay, teknoloji veya fiziksel başarısızlık, zarar verme niyetinde olan bir kişi veya istemeden zarar veren bir kişi olabilir. Tehditler hakkında bilgi kamu ve özel kaynaklardan edinilebilir. Kamu kaynakları arasında haber medyası, bloglar, resmi yayınlar ve duyurular ile çeşitli internet siteleri bulunmaktadır. Özel kaynaklar bilgi güvenliği sağlayıcıları ve bilgi paylaşımı organizasyonlarını içerir. Tehdit tanımlama süreci, bilgi güvenliği risklerinin belirlenmesinde yönetime yardımcı olabilecek potansiyel tehditler hakkında veri toplamak için bir araçtır. Tehdit modellemesi, bir kurumun potansiyel tehditleri bir araya getirip ölçebilmesini sağlayan yapılandırılmış bir yaklaşımdır. Kurumlar tehditlerin doğasını, sıklığını ve karmaşıklığını daha iyi anlamak için tehdit modellemeyi kullanmayı düşünmelidirler; Kurumun bilgi güvenliği risklerini değerlendirir; ve bu bilgiyi kurumun bilgi güvenliği programına uygulayın. Bununla birlikte, tehditler hızla evrimleştikçe, modellemenin, daha önce görülmemiş olan, sıfır-gün saldırıları gibi saldırıları hesaba katamayacağı, ancak önemli etkilere sahip olabileceği anlaşılmaktadır. II.A.2 Güvenlik Açıkları Güvenlik açığı, bir bilgi sistemi, sistem güvenliği prosedürü, iç kontrol veya bir tehdit kaynağı tarafından istismar edilebilecek olan uygulamadaki bir zayıflıktır. Teknik bir güvenlik açığı, donanım, bellenim veya yazılımlarda potansiyel bir sömürüye açık bir bilgi sistemi bırakan bir kusur olabilir. Bu kusurlar, bilgisayar korsanlarının bir bilgisayar sistemine erişmesini, komutları başka bir kullanıcı olarak çalıştırmasını veya belirtilen erişim kısıtlamalarına aykırı verilere erişmesini sağlar.

Kurumlar, bilinen güvenlik açıkları için bilgisayar sistemlerini taramak için otomatik güvenlik açığı tarayıcılarını ve güvenlik açıklarını gidermek için 14’ün Miter Corporation’ın Ortak Güvenlik Açığı ve Etkileri (CVE), 14 gibi üçüncü şahısların sunduğu hizmetleri kullanabilir. Teknoloji tabanlı güvenlik açıklarına ek olarak, ticari operasyonel süreçlerdeki zayıflıklar, güvenlik açıkları oluşturarak finansal kurumları gereksiz risklere maruz bırakabilir. Bu güvenlik açıkları, güvenlik prosedürlerindeki zayıflıkları, idari kontrolleri, fiziksel düzeni veya bilgiye yetkisiz erişim sağlamak veya kritik hizmetleri bozmak için kullanılabilecek iç kontrolleri içerebilir. Örneğin, bir kurumun sistem mimarisi, yönetimin, uygulamadan önce transferlerin gerçekleşmesinden sonra iş sürecinin geçerliliğini yerine getirmediği durumlarda, uygulamadan önce tel aktarımlarının manuel olarak onaylanmasının gerçekleştiği varsayımı temelinde tasarlanabilir. Bir finans kurumunun sistemindeki güvenlik açıklarına ek olarak, güvenlik açıkları birbirine bağlı ve birbiriyle bağlantılı sistemlerden de kaynaklanabilir. Finansal kurumlar, sistemlerini birleşme ve devralmalar yoluyla ve üçüncü taraflarla olan ilişkiler aracılığıyla birbirine bağlarlar. Zamanla, bu sistemler gittikçe birbirine bağlı ve karmaşık hale geldikçe, yeni güvenlik açıkları ortaya çıkabilir. Ayrıca, finansal kuruluşlar, donanım ve yazılım ürünlerinde bulunanlar da dahil olmak üzere tedarik zincirlerinden kaynaklanan güvenlik açıkları ile sonuçlanabilecek çok çeşitli donanım ve hizmetlere bağımlıdır. Yönetim, kurumun ilgili güvenlik açıklarının bir kataloğunu tespit edip sürdürmesi, kurum için önemli bir risk teşkil ettiğini belirleyen ve bu açıkların ortaya çıkardığı riskleri etkili bir şekilde hafifleten ve izleyen süreçler ve prosedürler olup olmadığını değerlendirmelidir. Yönetim bir güvenlik açığını hafifletememek ya da tercih etmemeyi seçtiğinde, yönetim riski, kararsızlıkla ilişkili risk düzeyini ve riski kabul etmekle sorumlu olan kişi kabul etme kararını belgelemelidir. Daha fazla bilgi için bu kitapçığın “Güvenlik İşlemleri” bölümüne bakın.

Hakkında: Admin

Kontrol Ediliyor

Bilgi Güvenliğinde, Verilerin Şifrelenmesi ve Korunması Neden Önemlidir ?

Bilgi Güvenliğinde, Verilerin Şifrelenmesi ve Korunması Neden Önemlidir ? Kriptografi, verilerin dönüştürülmesine dayalı bir matematik …

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir