Editörler Prof. Dr. Şeref Sağıroğlu Prof. Dr. Mustafa Alkan Sağıroğlu / Alkan grafik
) Siber Güvenlik Kontrollerinin Özellikleri
Yüklə 3,91 Mb. Pdf görüntüsü
|
- Bu səhifədəki naviqasiya:
- 1) Siber Güvenlik Kontrollerinin Özellikleri
|
1) Siber Güvenlik Kontrollerinin Özellikleri
Her kuruluş, organizasyonun risk duruşuna özgü kontroller tasar- lamalı ve süreçleri ve insanların sürekli olarak kontrolleri yönetecek şekilde olmasını sağlamalıdır. Kontrol sorunları tipik olarak tek- nolojinin başarısızlığından kaynaklanmaz, ancak daha çok, süreci yürütmeyen veya kötü tanımlanmış bir süreci kullanan bireylerin sonucudur. Yönetimsel, teknik ve operasyonel kontroller, temel olarak Bilgi Güvenliği için COBIT® 5 gibi birçok yerden temin edi- lebilir [1]. Herhangi bir siber güvenlik programının temel hedefle- rinden biri, saldırganın çekiciliğini sınırlamak olmalıdır. Bilgisayar korsanlığı, script kiddie tehdidi sahnesinin çok ötesine geçti ve bir saldırganın bir sisteme nüfuz etmesi için gereken süre, hedefin o kadar az arzu edilir hale gelmesidir. Siber güvenlik ile ilgili kontrol yatırımları, insanlara, süreçlere, tek- nolojiye ve güvenlik odaklı bir kültüre yönelik teknik, idari ve ope- rasyonel yatırımlar yoluyla organizasyon genelinde yapılmaktadır. Kurumsal ölçekte yapılan yatırımları değerlendirebilmek için hangi kategorilerde ne tür yatırımlar yapıldığının tespit edilmesi gerekli- dir. Bu yatırımlar şunları içerebilir: • Farkındalık yatırımı • Politika ve düzenleme yatırımı • Saldırı Tespit Sistemleri • Olay günlüğü ve loglama • Olay yanıtı • Güvenlik açığı taraması • Bilgi varlık sınıflandırması • İleri zeka ve analitik • Mimari ve teknoloji güçlendirme • Tahkim edilmiş BT sistemleri a) Farklı Siber Güvenlik Kontrol Çerçevelerinden Yararlanma Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) Özel Yayını (SP) 800-53 Revizyon 4, Federal Bilgi Sistemleri ve Organizasyonları için S İ B E R G Ü V E N L İ K D E N E T İ M İ 355 Güvenlik ve Gizlilik Kontrolleri gibi siber güvenlik kontrol ortam- larının belirlenmesi için birçok yaklaşım mevcuttur [2]. NIST 800-53 SP’nin amacı, federal hükümetin yürütme kurumlarını destekleyen bilgi sistemleri için güvenlik kontrollerinin seçilmesi ve belirlenme- si için kılavuz sağlamaktır. Küresel ölçekte NIST modeli genel ka- bul görmüştür. NIST modeli, COBIT® 5 modelinin aksine, doğası gereği çok belirleyicidir ve birçok kuruluşa karşı çok büyük olabilir. SP 800-53 çok detaylı tanımlar içerir ve en iyi şekilde, kapsamlı siber güvenlik sürecini destekleyen COBIT 5 uygulamalarını gerçekleş- tirmek için organizasyonlara özgü detaylı etkinlikleri tamamlayıcı ve geliştirmeye yardımcı olabilir. ABD İnternet Güvenliği Merkezi (CIS), siber saldırıların riskini azaltmak için önceliklendirilmiş bir dizi siber güvenlik uygulaması sağlamak için kritik kontrolleri teşvik etmektedir [3]. Bunlar, teknik tabanlı kontrollerdir - örneğin yetkili ve yetkisiz cihazların doğru stoklarının mevcut olmasını sağlama gibi yapılandırmalar oluştu- rulur, güvenlik açıkları değerlendirilir ve giderilir ve yönetimsel ayrıcalıklar kontrol edilir - daha yüksek düzeyde kontrol önemi ile önceliklendirilir. Bu kontroller, NIST SP 800-53 kontrollerinde oldu- ğu gibi, ihtiyaç duyulan süreçleri ve uygulamaları desteklemek için detaylı aktivitelerin oluşturulmasında yararlıdır, fakat doğru siber güvenlik faaliyetlerinin verimli ve etkin bir şekilde gerçekleştiril- mesini sağlamak için COBIT 5 işlem etkinleştiricileri gereklidir. Bu yapılar sadece CIS Kritik Kontrolleri kullanılarak kolayca anlaşıla- maz. Uluslararası Standardizasyon Örgütü (ISO) Uluslararası Elektro- teknik Komisyonu (IEC) 27001, Bilgi teknolojisi — Güvenlik teknik- leri — Bilgi güvenliği yönetim sistemleri — Gereksinimler [4] ve Bil- gi Güvenliği için İyi Uygulama Standardı Bilgi Güvenliği Forumu Standardı [5] beş temel sürecin tamamlanması için kullanılabilir. Bilgi Güvenliği çerçevesi için COBIT 5 etki alanları. Bu standartlar- daki ilgili rehber, NIST SP 800-53 kontrolleri ile birlikte, Bilgi Gü- venliği ekleri için COBIT 5’teki COBIT 5 çerçevesine eşlenmiştir. COBIT 5 çerçevesinin ve ilgili süreçlerin kullanılması, siber güven- lik faaliyetlerinin yönetilmesinden ve planlanmasından programın devam eden operasyonuna ve ölçümüne kadar, siber güvenlik kap- samının yeterli olduğu kapsayıcı yönetişim ve yönetim güvencesini sağlar. D R . A H M E T E F E 356 Ülkemizin Siber Güvenlik Ulusal Stratejisinde herhangi bir model kullanılıp kullanılmayacağı ile ilgili olarak herhangi bir hedef, so- rumluluk ve faaliyet öngörülmemiştir. Bu nedenle bu kapsamda COBIT-5 çerçevesinin uygulanması iş süreçleri ile entegre olarak uygulanabilir bir siber güvenlik stratejisinin hayata geçirilmesine olanak sağlayabilir. Yüklə 3,91 Mb. Dostları ilə paylaş:
|