Ana Sayfa / Bilgi Güvenliği / Uygulamalı Siber Güvenlik Kontrolleri Nasıl Yapılır ? – Makale

Uygulamalı Siber Güvenlik Kontrolleri Nasıl Yapılır ? – Makale

Uygulamalı Siber Güvenlik Kontrolleri Nasıl Yapılır ?

Korunan bilgiye Erişim, Liman Otoritesi tarafından sözleşmenin veya istihdamın bir hak, ayrıcalık veya avantajı değildir, aksine önceden belirlenmiş rehberliğe dayanır. Korunan bilgiler, burada belirtilen kriterlere veya koşullara uymayan veya Liman İdaresi DISO tarafından verilen bir güvenlik izni için onaylanmamış herhangi bir kuruluşta herhangi bir kişiye verilmemeli, serbest bırakılmamalı, devredilmemeli veya herhangi bir kişiye verilmemelidir. CISO veya OIG. Aşağıdaki güvenlik izni ve erişim yönergeleri ve / veya yasakları Korumalı bilgiyi korumak için geçerlidir: Korunan bilgiler yalnızca gerekli iş sorumluluklarının yerine getirilmesinde veya SIM ve DISO tarafından belirlenen görevlerin tamamlanması için kullanılmalıdır. CISO veya OIG’nin ortak olması. Korunan bilgilerin başka bir şekilde açıklanması veya kullanılmasına izin verilmez. Prot Korunan bilgiye erişim izni verilen bir çalışan, danışman, üçüncü taraf yüklenici, şahıs veya tüzel kişi artık Liman İdaresi tarafından istihdam edilmediğinde veya artık sözleşme konusu olmadığında Korunan bilgiye bireysel erişim iptal edilecektir. ya da artık Liman Yetkilisi ile bir ilişkisi bulunmamakta ya da bir bireyin ya da kuruluşun görevlerini yerine getirmesi ya da görevleri / projeleri tamamlaması için artık Korumalı bilgiye erişim gerektiren bir konumda değildir.

Çalışanlar, tek taraflı olarak arka plan doğrulaması için sponsor olamaz veya bir Yetkili Personel Gümrükleme Listesine isimlerini giremezler. Organizations Korumalı bilgiye kuruluşların grup erişimi yasaklanmalıdır. Bir gruptaki her bireyin Korumalı bilgilere erişmek için güvenlik izni olmalıdır. Prot Korunan bilgiye (örneğin, bakım, yemek servisi, temizlik personeli, satıcılar ve diğer ticari satışlar ya da hassas olmayan görevleri yapan servis personeli) erişimi nadiren isteyen kişiler, bir güvenlik için onaylanmamalıdır. Boşluk. 3.8 Arka Plan Taraması Herhangi bir bireyin Liman Otoritesine veya Tesislerine potansiyel bir güvenlik tehdidi oluşturup oluşturmadığını belirlemek için, Liman Otoritesi güvenli çalışan tüm kontaktörler ve danışmanların kişisel kimliğini doğrulamak ve suçlu tarihini belirlemek için arka plan taraması yapılmasını gerektirir. Liman Otoritesi tesislerindeki alanlar veya güvenlikle ilgili Korumalı bilgiler. Bu nedenle, belirli bir projedeki güvenlikle ilgili belirli Korunan bilgiye erişim gerektiren üçüncü taraf yüklenicilerin / danışmanların çalışanları, CISO veya OIG tarafından yazılı olarak aksi yazılı olarak kabul edilmedikçe, bilgiye erişim sağlanmadan önce bir arkaplan kontrolü yoluyla izin almalıdırlar.

Buna, gizli veya Gizli Ayrıcalıklı bilgilere erişimi olan ve / veya bunları yöneten idari ve yedek personel de dahil olmak üzere, proje üzerinde çalışan tüm bireyler dahildir. Politika kapsamında gerekli olan üçüncü taraflar için tüm arka plan kontrolleri, normalde federal yasaların gerektirmediği durumlar haricinde, arka plan tarama kontrollerinin tek Liman Yetkili onaylı servis sağlayıcısı olan “Güvenli Çalışan Erişimi Konsorsiyumu” (SWAC) aracılığıyla gerçekleştirilmelidir. veya düzenleme. Acil Durum Yönetimi Ofisi bu sağlayıcıyı yönetir. S.W.A.C. bireylerin güvenli toplama, işleme, bakım ve gerçek zamanlı pozitif kimlik doğrulamasını (PIV) sağlayan bir çevrimiçi başvuru (http://www.secureworker.com) tarafından erişilebilir. S.W.A.C. arka plan kontrolü, herhangi bir federal kuruluşun (DHS, TSA, vb.) arka plan taraması için bir yedek değildir. S.W.A.C. Üyelik üç yıl boyunca geçerlidir, bunun sonunda üye çevrimiçi başvuruyu yenilemek zorundadır. Buna ek olarak, Kamu Güvenliği Departmanı gibi belirli çalışanlar, işlerinin bir koşulu olarak ya da federal ya da federal ya da gerektiğinde, federal ve / veya devlet kolluk kuvvetleri tarafından tutulan elektronik veri tabanları aracılığıyla suç geçmişini kontrol etmelidir. Devlet yasalarına, kurallarına ve / veya düzenlemelerine veya bazı durumlarda yasal olarak izin verildiği ve STK veya OIG tarafından uygun görüldüğü hallerde. DISO / SIM’in S.W.A.C.’den arka plan kontrol bilgilerini alma yetkisi vardır. S.W.A.C., kurumsal kayıt ve çevrimiçi başvurular hakkında ek bilgi http://www.secureworker.com adresinde bulunabilir veya  telefondan temasa geçilebilir.

Siber Güvenlik Kontrolleri Nasıl Yapılır ?

S.W.A.C. Başvuru süreci Ek “E” de açıklanmıştır. Bazı durumlarda, TSO’nun Ulaştırma İşçileri Kimlik Belgelerinin Kimlik bilgileri (TWIC) veya güvenlik Kimlik Gösterim Alanı (SIDA) arka planının taranması ve kimlik bilgisi, DISO’nun onayı ile SWAC sürecinin yerine kullanılabilir. 3.9 Yetkili Personel Gümrükleme Listesi DISO ve SIM, ilgili liste veritabanlarını sürekli olarak derlemek, sürdürmek ve güncellemekle yükümlüdür ve bilgileri bir ana liste halinde derlemek için CISO’ya iletir. Her DISO, listenin güncel olduğundan ve her bireyin Korumalı bilgiye erişiminin gerekli olduğundan emin olmak için departmanının / iş biriminin listesini kendi SIM’iyle düzenli olarak gözden geçirmelidir. CISO, tüm çalışanların, danışmanların, üçüncü taraf yüklenicilerin ve Liman Yetkilisi güvenlik açıklığı ve güvenlik temininin alındığı özel kategoriye sahip olan diğer kişilerin ve / veya kurumların isimlerini içeren bir ana liste veri tabanını sürdürecektir. Belirli bir proje için veya belirli bir Korumalı bilgi dahil, ancak bunlarla sınırlı değildir. 3.10 Gizli bilgi Uygulamalarının ve Prosedürlerinin (CIPP) Geliştirilmesi Departmanlar, ofisler ve / veya iş birimleri, Korumalı bilgilerin ele alınmasıyla ilgili kendi özel iş uygulamalarına uyarlanmış kişiselleştirilmiş, ayrı bir CIPP’yi benimseyebilir. CIPP, El Kitabını büyütmek ve bununla tutarlı olmak zorundadır. Her CIPP, uygulanmadan önce CISO tarafından onaylanmalıdır. Bir kamu kuruluşu olarak Liman Otoritesi, satıcı topluluğuna açıklık, dürüstlük ve adalet temelinde kurulmuş bir tedarik sürecine sahiptir. Satın alma sürecinin tamamında ve aynı zamanda ihale süresince / sözleşmenin süresi boyunca uygulanabilecek bir güvenlik ölçütü oluşturmak için, koruma sürecinin başlangıcında Korunan bilgilerin güvenliği sağlanmalıdır. Bir proje, Yaşam Döngüsü aşamalarının bir veya daha fazlasında Korunan bilgiler içerebilir (ön ödül, ödül, tasarım, yapım, kapanma veya bakım / hizmet işletme sözleşmeleri, vb.). Tedarik ve yaşam döngüsü bilgileri, Tedarik Departmanına işlenmek üzere gönderilmeden önce, başvuru sahibi tarafından kapsamlı bir şekilde gözden geçirilmelidir. Korunan bilgilerin, daha sonra Satın Alma veya herhangi bir inceleme departmanı tarafından keşfedilmesi durumunda, ilgili bilgileri almak ve derhal Politika ve bu El Kitabına uygun olarak işlemek için ilgili departman müdürü veya görevlendirmesi derhal temasa geçmelidir.

Uygulamalı Siber Güvenlik Kontrolleri Nasıl Yapılır ?

Riske Maruz Kalma ve İş Risk Stratejisi Alımı, önceden izlenen kişilerin veya ön yeterlikli firmaların, Politika gerekliliklerine uymayı kabul eden hassas projelere teklif vermek için mevcut bir proje listesi geliştirecek ve koruyacaktır. Korunan bilginin potansiyel olarak açığa çıkarılmasının azaltılmasına ve teklif sahiplerine önceden belli güvenlik gerekliliklerinin sağlanmasına yardımcı olmak için ihale belgelerinde gereklilikler yer almalıdır. bilgi koruma uygulamalarının, prosedürlerinin ve protokollerinin her projenin yaşam döngüsü aşamasına dahil edilmesini sağlamak için sözleşme ödüllerine de dahil edilmelidir. Tipik şartlar şunlardır: (i) Gizlilik ve Gizlilik Anlaşmaları (NDA). Bir İHP’nin bir kopyasını almadan önce, muhtemel danışmanları, ana satıcıları, genel yüklenicileri veya ticari işletmeleri Liman Yetkilisi ile bir NDA’ya girmelerini isteyin. NDA’lar proje ve satın alma spesifik olmalı ve belirli tedarik veya projeler için zamanında yapılmalıdır. Genel olarak belirli bir müşavir, ana satıcı, genel yüklenici veya ticari kuruluş için sözleşmeye bağlı tüm satınalmaları ve projeleri kapsayacak şekilde geniş veya jenerik bir NDA kullanılmamalıdır, ancak, belirli durumlarda bu durumun kullanılması uygun olabilir. DISO tarafından CISO’nun mutabakatıyla onaylanması halinde bir NDA. Danışmanlar, Başbakan Satıcıları, Genel Yükleniciler veya Ticari Kuruluşlar, RFP Korumalı bilgi‘yi bir alt yükleniciye sunmadan önce yetki almak için Liman İdaresi ile temasa geçmelidir. Alt yüklenicinin, başarılı teklif sahibinin uyguladığı herhangi bir NDA’nın şartlarına uygun olacağını kabul etmesi gerekebilir. (ii) Arkaplan Taraması. Önceden planlanan ön incelemeye tabi olmak için belirli Korumalı bilgiye erişmeyi isteyen potansiyel kullanıcılar gerektirir. Ön inceleme, Liman İdaresi tarafından Bölüm 3.3’te Korumalı bilgiye erişim izni vermek için kullanılan tarama şartlarına paralel olabilir. S.W.A.C.’ın arka plan taraması genellikle beş ila on iş günü içinde sonuçlandırılır. güvenlik bilgi Yöneticisinin (SIM) belirlenmesi. bilgi güvenliği ve Korunan bilgi gerekliliklerini takip etmek için bir SİM atamak için Korumalı bilgi alımlarına veya projelere dahil olunmasını isteyin. İkinci bir çalışan alternatif bir SIM olarak belirlenebilir.

Tüm SIM’lerin SWAC’d olması gerekir. (iv) bilgi güvenliği Eğitimi ve Farkındalık Eğitimi. Liman İdaresi bilgisi ile ilgili güvenlik bilincinin sağlanması için eğitime katılmak için danışmanlar, satıcılar, yükleniciler ve ticari kuruluşlar talep edin. (v) Fiziksel güvenlik. Korunan bilgilerin saklanması ve korunmasının bu El Kitabının 4. Bölümünün gereksinimleriyle tutarlı olmasını sağlamak için Korumalı bilgilerin ele alınmasıyla ilgili özel yönergeleri ve gereksinimleri ana hatlarıyla belirtin. (vi) Hassas bilgiTransferi veya Nakliye. Bu El Kitabının 4. Bölümünde belirtilen elleçleme prosedürleri ile tutarlı olarak Korumalı bilgilerin aktarımı, nakliyesi ve postalanması ile ilgili yasakları yasaklayın veya yerleştirin. (vii) Web Sitesi Kısıtlamaları. Korumalı bilgileri yetkisiz web sitelerinde veya web sayfalarında yayınlamayı, değiştirmeyi, kopyalamayı, çoğaltmayı, yeniden yayınlamayı, yüklemeyi, indirmeyi, iletmeyi veya dağıtmayı yasaklayın. Bu, aynı zamanda, önceden tarama yapan bir arka plan kontrolünden geçmiş olan veya Gizli bilgilere erişim izni verilmeyen kişilerin bu bilgileri görüntülemelerini kısıtlama da içerebilir. (viii) Belgelerin İmha Edilmesi. Korunan bilginin, bu El Kitabının 4. Bölümünde belirtilen şartlara uygun belirli yöntemler, önlemler veya teknolojiler kullanarak imha edilmesini istemek. (ix) Başbakan ve Alt Yükleniciler / Alt-Yükleniciler Arasındaki Benzer Anlaşmaların Kullanımı. Her bir taşeron / alt danışmanının, herhangi bir Liman İdaresi tarafından verilen ihale sözleşmesi kapsamındaki ana satıcı, genel yüklenici veya danışman için gerekli olan güvenlik düzeylerini muhafaza etmesini sağlamak için asal satıcı, genel yüklenici veya danışmanı zorunlu kılın. (x) Yayın Değişimleri. Yetkili satıcılar, taşeronlar ve alt yükleniciler arasında, Liman Yetkilisinin önceden onayı olmaksızın, projeden geliştirilen veya raporlarda yer alan Korumalı bilgilerin yayınlanmasını, değiştirilmesini veya yayılmasını yasaklamak. Onay talepleri, Hukuk Departmanı ve uygun hallerde Halkla İlişkiler ile bağlantılı olarak CISO’ya yönlendirilmeli ve gözden geçirilmelidir.

Siber Güvenlik Kontrolleri Nasıl Yapılır ?

(xi) bilgi Teknolojisi. bilgi teknolojisi politikasını veya belirli bir donanım veya yazılım kullanımını içeren konular, Liman Otoritesi projelerini desteklemek için belirli protokollerin ve / veya yazılım araçlarının uygulanmasını gerektirmelidir. Belirli projelerin başarısı için bilgi teknolojisinin koordinasyonu ve Teknoloji Hizmetleri Departmanı Direktörü ve CISO ile görüşme yapılması gerekebilir. (xii) Denetim. Liman Yetkilisinin, arka plan kontrol durumunun doğrulanması, belirtilen eğitimin tamamlanmasının onaylanması ve / veya bir saha ziyareti gibi, ancak bunlarla sınırlı olmamak üzere, Korumalı bilgi prosedürleri, protokolleri ve uygulamalarına uygunluk için denetimler yapmasına izin verecek hükümleri dahil edin. malzeme depolama yerlerini ve protokollerini görüntülemek için. (xiii) güvenlik Gereksinimlerinin Bildirilmesi. Tüm danışmanları, üçüncü taraf yüklenicileri ve diğer bireyleri ve / veya kurumları, uygun olduğu şekilde, Liman Yetkilisi güvenlik prosedürü gerekliliklerinin proje süresince uygulanabileceğini tavsiye edin. SGK’yı yöneten federal düzenlemeler uyarınca, Federal Hükümet tarafından SSI olarak belirlenen Liman Yetkilisi Korumalı bilgiler, her bir sayfanın alt kısmında yer alan  (“HASSAS GÜVENLİK BİLGİLERİ”) üzerindeki koruyucu işaretleme ve dağıtım sınırlama bildirimi ile dikkat çekecek şekilde işaretlenmelidir. varsa, ön ve arka kapaklar, başlık sayfası ve herhangi bir bağlayıcı kapak veya klasör dahil olmak üzere belge. Koruyucu işaret, Arial 16 punto yazı tipi boyutunda ve dağıtım sınırlama ifadesinin 8 puntolu bir yazı tipi boyutunda olmalıdır. SSI belgelerinin tüm kopyaları da gerekli işaretlemeleri taşımalıdır. Elleçleme, işlerin yerine getirilmesi veya tamamlanmış görevlerin veya projelerin gerçekleştirilmesi için Korumalı bilgiler üzerinde fiziksel olarak bulundurulması ve bunlarla birlikte çalışmayı içerir. Bu, materyali okumak, kopyalamak, düzenlemek, oluşturmak veya düzeltmekle sınırlı olmamak kaydıyla bunlarla sınırlı değildir. Korunan bilgiler, fiziksel veya elektronik de dahil olmak üzere herhangi bir biçimde yetkili bir kişi tarafından, yetkisiz kişiler tarafından görülmesini veya onlardan elde edilmesini önlemek için sürekli gözetim altında olmalıdır. Korumalı bilgiler, onaylanmış bir güvenlik konteynerinde saklanmadığında kullanımda kabul edilir.

Hakkında: Admin

Kontrol Ediliyor

Bilgi Güvenliğinde, Verilerin Şifrelenmesi ve Korunması Neden Önemlidir ?

Bilgi Güvenliğinde, Verilerin Şifrelenmesi ve Korunması Neden Önemlidir ? Kriptografi, verilerin dönüştürülmesine dayalı bir matematik …

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir