Microsoft Word dergi 2008 V23 no2 sayfa 507-522. doc
KURUMSAL BİLGİ GÜVENLİĞİ
Yüklə 0,71 Mb. Pdf görüntüsü
|
|
3. KURUMSAL BİLGİ GÜVENLİĞİ POLİTİKALARI (ENTERPRISE INFORMATION SECURITY POLICIES)
Güvenlik politikaları kurum veya kuruluşlarda kabul edilebilir güvenlik seviyesinin tanımlanmasına yardım eden, tüm çalışanların ve ortak çalışma içerisinde bulunan diğer kurum ve kuruluşların uyması gereken kurallar bütünüdür [11]. Kurumsal bilgi güvenliği politikası, kurum ve kuruluşlarda bilgi güvenliğinin sağlanması için tüm bilgi güvenlik faaliyetlerini kapsayan ve yönlendiren talimatlar olup kurumsal bilgi kaynaklarına erişim yetkisi olan tüm çalışanların
Y. Vural ve Ş. Sağıroğlu Kurumsal Bilgi Güvenliği ve Standartları Üzerine Bir İnceleme 510 Gazi Üniv. Müh. Mim. Fak. Der. Cilt 23, No 2, 2008 uyması gereken kuralları içeren belgelerdir. Bilgi güvenliği politikaları her kuruluş için farklılık göstersede genellikle çalışanın sorumluluklarını, güvenlik denetim araçlarını, amaç ve hedeflerini kurumsal bilgi varlıklarının yönetimini, korunmasını, dağıtımını ve önemli işlevlerin korunmasını düzenleyen kurallar ve uygulamaların açıklandığı genel ifadeleri içermektedir.
Politikalar içerisinde; gerekçelerin ve risklerin tanımlandığı, kapsadığı bilgi varlıkları ve politikadan sorumlu olan çalışanların ve gruplarının belirlendiği, uygulanması ve yapılması gereken kuralların, ihlal edildiğinde uygulanacak cezai yaptırımların, teknik terimlerin tanımlarının ve düzeltme tarihçesinin yer aldığı 7 bölümden oluşur [11]. Kurumsal Güvenlik Politikası içerisinde bulunması gereken bölümler Tablo 1’de özetlenmiştir.
Belirli konularda çalışanın daha fazla bilgilendirilmesi,dikkat etmesi gereken hususlar, ilgili konunun detaylı bir şekilde ifade edilmesi istendiğinde alt politikalar geliştirilmelidir. Örneğin kullanıcı hesaplarının oluşturulması ve yönetilmesi, şifre unutma, şifre değiştirme, yeni şifre tanımlama gibi durumlarda uyulacak kurallar alt politikalar aracılığıyla açıklanmalıdır.
Bölüm Adı İçeriği
Genel Açıklama Politikayla ilgili gerekçeler ve buna bağlı risklerin tanımlamasını kapsar. Amaç
Politikanın yazılmasındaki amaç ve neden böyle bir politikaya ihtiyaç duyulduğunu açıklar. Kapsam Politikaya uyması gereken çalışan grupları (ilgili bir grup veya kurumun tamamı) ve bilgi varlıklarını belirler. Politika Uygulanması ve uyulması gereken kuralları veya politikaları içerir. Cezai
Yaptırımlar Politika ihlallerinde uygulanacak cezai yaptırımları açıklar. Tanımlar Teknik terimler ile açık olmayan ifadeler listelenerek açıklanır. Düzeltme Tarihçesi Politika içerisinde yapılan değişiklikler, tarihler ve sebepleri yer alır.
E-posta gönderme ve alma konusunda, üst yönetimin kararlarını, kullanıcının uyması gereken kuralları ve diğer haklarını alt politika içerisinde ifade etmek bir başka örnek olarak verilebilir. Alt politikayla üst yönetimin, gerekli gördüğünde çalışanlarının e- postalarını okuyabileceği, e-postalar yoluyla gizlilik dereceli bilgilerin gönderilip alınamayacağı gibi hususlar, e-posta alt politikası içerisinde ifade edilebilir. Alt politikalar içerisinde, izin verilen yazılımlar, veritabanlarının nasıl korunacağı, bilgisayarlarda uygulanacak erişim denetim ölçütleri, güvenlikle ilgili kullanılan yazılım ve donanımların nasıl kullanılacağı gibi konular da açıklanabilir.
Kurumsal bilgi güvenliği politikaları kuruluşların ihtiyaçları doğrultusunda temel güvenlik unsurlarının (gizlilik, bütünlük, erişilebilirlik, vb.) bazıları üzerinde yoğunlaşabilir. Örneğin askeri kurumlarda, bilgi güvenliği politikalarında gizlilik ve bütünlük unsurları ön plana çıkmaktadır. Askeri bir savaş uçağının kalkış zaman bilgilerinin onaylanıp yürürlüğe girmesi için düşmanlar tarafından görülmemesi (gizlilik) ve değiştirilmemesi (bütünlük) gereklidir. Bir diğer örnek ise kâr amacı gütmeyen kurumlarda uygulanan bilgi güvenliği politikalarında genellikle erişilebilirlik ve bütünlük unsurları ön planda gelmektedir. Üniversite sınav sonuçlarının açıklandığı yükseköğretim kurumunda uygulanan güvenlik politikasında öğrenciler sınav açıklandıktan sonra istediği zaman diliminde (erişilebilirlik) doğru bir
şekilde (bütünlük) sınav sonuçlarına bakabilmelidir.
İyi bir güvenlik politikası, kullanıcıların işini zorlaştırmamalı, kullanıcılar arasında tepkiye yol açmamalı, kullanıcılar tarafından uygulanabilir olmalıdır. Politika, kullanıcıların ve sistem yöneticilerinin eldeki imkânlarla uyabilecekleri ve uygulayabilecekleri yeterli düzeyde yaptırım gücüne sahip kurallardan oluşmalıdır. Alınan güvenlik önlemleri ve politikaları uygulayan yetkililer veya birimler yaptırımları uygulayabilecek idari ve teknik yetkilerle donatılmalıdır. Politika kapsamında herkesin sorumluluk ve yetkileri tanımlanarak kullanıcılar, sistem yöneticileri ve diğer kişilerin sisteme ilişkin sorumlulukları, yetkileri kuşku ve çelişkilere yer bırakmayacak biçimde açıkça tanımlanmalıdır. Politikalar içerisinde uygulanacak olan yasal ve ahlaki mahremiyet koşulları ile elektronik mesajların ve dosyaların içeriğine ulaşım, kullanıcı hareketlerinim kayıt edilmesi gibi denetim ve izlemeye yönelik işlemlerin hangi koşullarda yapılacağı ve bu işlemler yapılırken kullanıcının kişisel haklarının nasıl korunacağı açıklanmalıdır.
Saldırıların ve diğer sorunların tespitinde kullanıcıların, yöneticilerin ve teknik personelin sorumluluk ve görevleri ile tespit edilen sorun ve saldırıların hangi kanallarla kimlere ne kadar zamanda rapor edileceği güvenlik politikalarında açıkça belirtilmelidir. Sistemlerin gün içi çalışma takvimleri, veri kaybı durumunda verinin geri getirilmesi koşulları gibi kullanıcının sisteme erişmesini sınırlayan durumlara politikalar içerisinde yer verilmelidir. Bu durumlarda kullanıcıya, izlemesi
Kurumsal Bilgi Güvenliği ve Standartları Üzerine Bir İnceleme Y. Vural ve Ş. Sağıroğlu Gazi Üniv. Müh. Mim. Fak. Der. Cilt 23, No 2, 2008 511
gereken yolu anlatacak ve yardımcı olacak kılavuzlara da yer verilmelidir.
Yüklə 0,71 Mb. Dostları ilə paylaş:
|