Merhaba TurkHackTeam üyeleri bugün Bilgi Güvenliği Yönetim Sistemini inceleyeceğiz.
Bir bilgi güvenliği yönetim sistemi (BGYS), bir kuruluşun genel bilgilerini daha iyi garanti altına almak için politikaların, prosedürlerin ve hedeflerin oluşturulmasını, uygulanmasını, iletilmesini ve değerlendirilmesini sağlamak için bir kuruluşun birbiriyle ilişkili/etkileşim içindeki tüm bilgi güvenliği unsurlarının harmanlanmasını temsil eder. Bu sistem tipik olarak kuruluşun ihtiyaçlarından, hedeflerinden, güvenlik gereksinimlerinden, boyutundan ve süreçlerinden etkilenir.
Bir BGYS, etkin risk yönetimi ve azaltma stratejilerini içerir ve bunlara katkıda bulunur. Ek olarak, bir kuruluşun bir BGYS'yi benimsemesi, büyük ölçüde, bilgi güvenliği risklerini sistematik olarak tanımladığını, değerlendirdiğini, yönettiğini ve "bilgi gizliliği, bütünlüğü ve kullanılabilirlik gereksinimlerini başarıyla ele alabilecek" olduğunu gösterir. Bununla birlikte, BGYS'nin nihai başarısını en iyi şekilde sağlamak için BGYS geliştirme, uygulama ve uygulama (kullanıcı alanı) ile ilişkili insan faktörleri de dikkate alınmalıdır.
Bilgi Güvenliği Yönetim Sistemi (BGYS) veya İngilizce ismiyle Information Security Management (ISM), bilgilerin gizliliğini, kullanılabilirliğini ve bütünlüğünü tehditlerden ve güvenlik açıklarından makul bir şekilde koruduğundan emin olmak için bir kuruluşun uygulaması gereken kontrolleri yönetir. ISM'nin özü, bir kuruluşun varlıkların yönetimi ve korunmasında ele alması gereken risklerin değerlendirilmesini ve risklerin tüm uygun paydaşlara yayılmasını içeren bir süreç olan bilgi risk yönetimini içerir.
Bu, gizlilik, bütünlük, kullanılabilirlik ve varlıkların değiştirilmesi gibi değerlerin değerlendirilmesi de dahil olmak üzere uygun varlık tanımlama ve değerleme adımlarını gerektirir. Bilgi güvenliği yönetiminin bir parçası olarak bir kuruluş, bilgi güvenliğine ilişkin ISO/IEC 27001, ISO/IEC 27002 ve ISO/IEC 27035 standartlarında bulunan bir bilgi güvenliği yönetim sistemi ve diğer en iyi uygulamaları uygulayabilir.
Risk Yönetimi ve Azaltma
Bilgi güvenliğinin yönetilmesi özünde, varlıklara yönelik çeşitli tehditleri ve güvenlik açıklarını yönetmek ve azaltmak, aynı zamanda potansiyel tehditler ve güvenlik açıkları için harcanan yönetim çabasını bunların gerçekten meydana gelme olasılığını ölçerek dengelemek anlamına gelir. Örneğin, bir sunucu odasına düşen bir meteorite kesinlikle bir tehdittir, ancak bir bilgi güvenliği görevlisi muhtemelen böyle bir tehdide hazırlanmak için çok az çaba gösterecektir. Uygun varlık tanımlama ve değerleme gerçekleştikten sonra, risk yönetimi ve bu varlıklara yönelik risklerin azaltılması aşağıdaki hususların analizini içerir:
Tehditler: Bilgi varlıklarının kasıtlı veya kazara kaybolmasına, zarar görmesine veya kötüye kullanılmasına neden olabilecek istenmeyen olaylar.
Güvenlik Açıkları: Bilgi varlıklarının ve ilgili kontrollerin bir veya daha fazla tehdidin istismarına ne kadar duyarlı olduğu.
Etki ve olasılık: Tehdit ve güvenlik açıklarından bilgi varlıklarına gelebilecek olası hasarın büyüklüğü ve varlıklar için ne kadar ciddi bir risk oluşturdukları; maliyet-fayda analizi de etki değerlendirmesinin bir parçası olabilir veya ondan ayrı olabilir.
Azaltma: Potansiyel tehdit ve güvenlik açıklarının etkisini ve olasılığını en aza indirmek için önerilen yöntem(ler).
Bir tehdit ve/veya güvenlik açığı belirlendikten ve bilgi varlıkları üzerinde yeterli etkiye/olasılığa sahip olduğu değerlendirildikten sonra, bir azaltma planı yürürlüğe konulabilir. Seçilen azaltma yöntemi, büyük ölçüde tehdidin ve/veya güvenlik açığının yedi bilgi teknolojisi (BT) alanından hangisinde bulunduğuna bağlıdır. Kullanıcının güvenlik politikalarına karşı ilgisizliği (kullanıcı alanı) tehdidi, eskiden kullanılandan çok daha farklı bir azaltma planı gerektirecektir. Bir ağın (LAN'dan WAN'a etki alanı) yetkisiz olarak araştırılması ve taranması tehdidini sınırlar
Bir bilgi güvenliği yönetim sistemi (BGYS), bir kuruluşun genel bilgilerini daha iyi garanti altına almak için politikaların, prosedürlerin ve hedeflerin oluşturulmasını, uygulanmasını, iletilmesini ve değerlendirilmesini sağlamak için bir kuruluşun birbiriyle ilişkili/etkileşim içindeki tüm bilgi güvenliği unsurlarının harmanlanmasını temsil eder. Bu sistem tipik olarak kuruluşun ihtiyaçlarından, hedeflerinden, güvenlik gereksinimlerinden, boyutundan ve süreçlerinden etkilenir.
Bir BGYS, etkin risk yönetimi ve azaltma stratejilerini içerir ve bunlara katkıda bulunur. Ek olarak, bir kuruluşun bir BGYS'yi benimsemesi, büyük ölçüde, bilgi güvenliği risklerini sistematik olarak tanımladığını, değerlendirdiğini, yönettiğini ve "bilgi gizliliği, bütünlüğü ve kullanılabilirlik gereksinimlerini başarıyla ele alabilecek" olduğunu gösterir. Bununla birlikte, BGYS'nin nihai başarısını en iyi şekilde sağlamak için BGYS geliştirme, uygulama ve uygulama (kullanıcı alanı) ile ilişkili insan faktörleri de dikkate alınmalıdır.
Bilgi Güvenliği Yönetim Sistemi (BGYS) veya İngilizce ismiyle Information Security Management (ISM), bilgilerin gizliliğini, kullanılabilirliğini ve bütünlüğünü tehditlerden ve güvenlik açıklarından makul bir şekilde koruduğundan emin olmak için bir kuruluşun uygulaması gereken kontrolleri yönetir. ISM'nin özü, bir kuruluşun varlıkların yönetimi ve korunmasında ele alması gereken risklerin değerlendirilmesini ve risklerin tüm uygun paydaşlara yayılmasını içeren bir süreç olan bilgi risk yönetimini içerir.
Bu, gizlilik, bütünlük, kullanılabilirlik ve varlıkların değiştirilmesi gibi değerlerin değerlendirilmesi de dahil olmak üzere uygun varlık tanımlama ve değerleme adımlarını gerektirir. Bilgi güvenliği yönetiminin bir parçası olarak bir kuruluş, bilgi güvenliğine ilişkin ISO/IEC 27001, ISO/IEC 27002 ve ISO/IEC 27035 standartlarında bulunan bir bilgi güvenliği yönetim sistemi ve diğer en iyi uygulamaları uygulayabilir.
Risk Yönetimi ve Azaltma
Bilgi güvenliğinin yönetilmesi özünde, varlıklara yönelik çeşitli tehditleri ve güvenlik açıklarını yönetmek ve azaltmak, aynı zamanda potansiyel tehditler ve güvenlik açıkları için harcanan yönetim çabasını bunların gerçekten meydana gelme olasılığını ölçerek dengelemek anlamına gelir. Örneğin, bir sunucu odasına düşen bir meteorite kesinlikle bir tehdittir, ancak bir bilgi güvenliği görevlisi muhtemelen böyle bir tehdide hazırlanmak için çok az çaba gösterecektir. Uygun varlık tanımlama ve değerleme gerçekleştikten sonra, risk yönetimi ve bu varlıklara yönelik risklerin azaltılması aşağıdaki hususların analizini içerir:
Tehditler: Bilgi varlıklarının kasıtlı veya kazara kaybolmasına, zarar görmesine veya kötüye kullanılmasına neden olabilecek istenmeyen olaylar.
Güvenlik Açıkları: Bilgi varlıklarının ve ilgili kontrollerin bir veya daha fazla tehdidin istismarına ne kadar duyarlı olduğu.
Etki ve olasılık: Tehdit ve güvenlik açıklarından bilgi varlıklarına gelebilecek olası hasarın büyüklüğü ve varlıklar için ne kadar ciddi bir risk oluşturdukları; maliyet-fayda analizi de etki değerlendirmesinin bir parçası olabilir veya ondan ayrı olabilir.
Azaltma: Potansiyel tehdit ve güvenlik açıklarının etkisini ve olasılığını en aza indirmek için önerilen yöntem(ler).
Bir tehdit ve/veya güvenlik açığı belirlendikten ve bilgi varlıkları üzerinde yeterli etkiye/olasılığa sahip olduğu değerlendirildikten sonra, bir azaltma planı yürürlüğe konulabilir. Seçilen azaltma yöntemi, büyük ölçüde tehdidin ve/veya güvenlik açığının yedi bilgi teknolojisi (BT) alanından hangisinde bulunduğuna bağlıdır. Kullanıcının güvenlik politikalarına karşı ilgisizliği (kullanıcı alanı) tehdidi, eskiden kullanılandan çok daha farklı bir azaltma planı gerektirecektir. Bir ağın (LAN'dan WAN'a etki alanı) yetkisiz olarak araştırılması ve taranması tehdidini sınırlar
Son düzenleme: