Referans ekleyerek veya yayınlanmamış içeriği kaldırarak yardımcı olabilirsiniz. Daha fazla ayrıntı için tartışma sayfasına bakın.
Bilgi sistemlerinin güvenliği ( ISS ) ya da daha basitçe bilgisayar güvenliği , yetkisiz kullanım, kötüye, modifikasyon veya sahtekarlığı önleme amaçlı araçların uygulanması için gerekli tüm teknik, örgütsel, hukuki ve insan kaynakları olan bilgi sistemi . Bilgi sisteminin güvenliğinin sağlanması bilgi sistemi yönetiminin bir faaliyetidir .
Günümüzde güvenlik, şirketler için olduğu kadar çevresindeki tüm oyuncular için de büyük bir sorundur. Artık yalnızca bilgisayar bilimcisinin rolüyle sınırlı değil. Uzun vadeli hedefi, kullanıcıların ve müşterilerin güvenini korumaktır. Orta vadeli hedef, tüm bilgi sisteminin tutarlılığıdır. Kısa vadede amaç, herkesin ihtiyaç duyduğu bilgilere erişmesidir. Bilgi güvenliği yönetim sistemleri (BGYS) ile ilgili standart , Gizlilik - Bütünlük - Kullanılabilirliği vurgulayan ISO / CEI 27001'dir , yani Fransızca kullanılabilirlik , bütünlük ve gizliliği vurgular .
Bilgi sistemleri yöneticileri uzun zamandır verilerin güvenliğini sağlamakla ilgileniyorlar. En yaygın durum ve şüphesiz bilgi güvenliği açısından bir öncü , stratejik ve askeri bilgilerin güvence altına alınması olmaya devam ediyor. Amerika Birleşik Devletleri Savunma Bakanlığı (DoD) kökeni olan TCSEC , konuyla ilgili bir referans çalışması. Aynı şekilde, çok seviyeli güvenlik ilkesinin kökenleri askeri bilgi güvenliği sorunlarının çözümüne yönelik araştırmalara dayanmaktadır . Derinlemesine savunma , eski bir askeri uygulama düz ve hala ilgili bugün. Bu uygulama, bir sistemin her bir alt kümesini güvence altına almaktan oluşur.
Yetersiz güvenliğin sonuçları kuruluşları etkileyebilir, aynı zamanda bir veya daha fazla kişinin özel hayatını , özellikle banka bilgileri, mali durumları, gizli kodları vb. gibi gizli bilgilerin yayılmasıyla etkileyebilir . Genel olarak, bireylerle ilgili verilerin korunması, Veri Koruma Yasası tarafından düzenlenen yasal yükümlülüklere tabidir .
Bugün, güvenliğin %100 garanti edilemeyeceği genel olarak kabul edilmektedir ve bu nedenle çoğu zaman bilgi sistemlerinin sızma şansını azaltmak için bir dizi önlemin harekete geçirilmesini gerektirir.
“Bilgi sistemi, organizasyonun korunması gereken önemli bir mirasını temsil eder. BT güvenliği, bir kuruluşun donanım veya yazılım kaynaklarının yalnızca amaçlanan amaçları için kullanılmasını sağlamakla ilgilidir. "
Bilgi sistemlerinin güvenliği aşağıdaki hedeflere sahiptir (CAID):
Diğer hususlar da bilgi sistemleri güvenlik hedefleri olarak kabul edilebilir, örneğin:
Güvenlik hedefleri belirlendikten sonra, bu unsurların her biri üzerindeki riskler, tehditlere göre tahmin edilebilir . Genel bilgi sistemi güvenliği seviyesi, en zayıf halkanın güvenlik seviyesi ile tanımlanır. Bilgi sisteminin hizmet ve destek sağlaması beklenen bağlama özel güvenlik açıklarına göre önlem ve önlemler alınmalıdır.
Bunun için tahmin etmek gerekir:
Bilgi sistemlerini güvenceye almak için, yaklaşım düzenli bir evrimsel sarmal benimser: Bir döngünün sonu, Deming çarkında olduğu gibi yeni bir döngünün başlamasına yol açar . Güvenlikte şunlardan oluşur:
riskleri ve kritikliklerini değerlendirmek hangi riskler ve tehditler, hangi veriler ve hangi faaliyetler üzerinde, hangi sonuçlarla?Bilgi sistemleri yönetim sisteminin kapsamını tanımlayarak değeri olan varlıkların dikkate alınması önemlidir . Şirketin stratejisine bağlı olarak tüm şirkete, belirli bir siteye, bir hizmete odaklanılabilir. Şirketlerin entelektüel sermayesi hassas bilgileri bütünleştirir , bu bilgi mirası korunmalıdır. Bu nedenle şirket bilgi sistemleri, veri güvenliği ve tanımlama mekanizmaları için bir güvenlik politikası oluşturmalıdır . Ayrıca, güvenlik açısından şirketin belirli sayıda noktaya taahhüdü olan bir BGYS politikasının tanımlanması gerekmektedir. Bu iki nokta , ISO/IEC 27001 standardını oluşturmak ve böylece paydaşlara güven getirmek amacıyla WSIS'in temel taşını oluşturmaktadır .
Adım 2: Risk değerlendirmesiBir bilgi sistemini güvenceye almaya çalışmak, kendini kasıtlı tehditlere ve daha genel olarak bu sistemin veya işlediği bilgilerin güvenliği üzerinde etkisi olabilecek tüm risklere karşı korumaya çalışmak anlamına gelir.
Risk analizi yöntemiBilgi sistemi üzerinde farklı risk analizi yöntemleri mevcuttur. İşte en yaygın risk değerlendirme yöntemleri:
Fransa'da geliştirilen ilk yöntem Marion'du. Bugün, bazı şirketler bu ilk modeli korumuş olsalar bile, yerini CLUSIF tarafından geliştirilen Méhari yöntemi ( Harmonized method of risk analizi ) ve CLUSIF tarafından geliştirilen EBIOS yöntemi ( ihtiyaçların ifadesi ve hedeflerin belirlenmesi güvenliği ) almıştır. Ulusal Bilgi Sistemleri Güvenlik Ajansı ( ANSSI ).
İngiltere'de, Cramm İngiltere hükümeti organizasyon ACTC (Merkezi İletişim ve Telekomünikasyon Kurumu) tarafından geliştirilen bir risk analizi yöntemidir. Bu, Birleşik Krallık hükümetinin tercih ettiği risk analizi yöntemidir, ancak diğer birçok ülke tarafından da kullanılmaktadır.
Amerika Birleşik Devletleri, Carnegie Mellon Üniversitesi tarafından geliştirilen OCTAVE'i ( Operasyonel Kritik Tehdit, Varlık ve Güvenlik Açığı Değerlendirmesi ) kullanır.
Uluslararası olarak, ISO /IEC 27001 sertifikasyon gerekliliklerinin nokta nokta buluşma noktası olan uluslararası bir standart olan ISO/IEC 27005 kullanılmaktadır . En yeni standarttır, ayrıca pragmatik olduğu için kolayca uygulanabilir.
Yöntem | Yazar | Ülke |
---|---|---|
Risk değerlendirmesi | platin kare | Birleşik Krallık |
Afhankelijkheids | Hollanda Bakanlığı | Hollanda |
ISAMM | Evosec | Belçika |
IT-Grundschutz | BSI | Almanya |
Magerit | İspanya Bakanlığı | ispanya |
göç | AMTEC / ElsagDatamat | İtalya |
SP 800-30 | NIST | Amerika Birleşik Devletleri |
ISO 17799 | ISO | Uluslararası |
ISO 13335 | ISO | Uluslararası |
ISO 14408 | ISO | Uluslararası |
Bu yöntemlerin amacı aynı olmakla birlikte kullanılan terimler ve ifadeler farklılık gösterebilmektedir. Yukarıda kullanılanlar genellikle Feros yönteminden esinlenmiştir .
Paradoksal olarak, şirketlerde, makul zaman hedeflerinin tanımlanmasına izin veren ölçülebilir ve ilgili "IS güvenliği" göstergelerinin tanımının hassas olduğu ortaya çıkıyor. Performansı ölçmek için, araçların veya prosedürlerin kurulum durumlarını göstergeler olarak belirleyebiliriz, ancak sonuç göstergelerinin tanımlanması ve değerlendirilmesi daha karmaşıktır, örneğin “virüs uyarıları” ile ilgili olanlar .
Varlıkları tanımlayınBu, BGYS çevresi içindeki tüm önemli bilgi öğelerinin bir listesini yapmaktan oluşur. Farklı varlık türleri vardır:
İçin kimlik varlıklarının, üç sorunlar ortaya:
Bir felaket meydana geldiğinde sürekliliği ve kurtarmayı sağlamak için artık iş güvenliği planlarına sahip olmak çok önemlidir (İş kurtarma planı ). Bu planlar, büyük bir felaket durumunda veri kaybını en aza indirmeye ve yanıt vermeyi artırmaya çalışır. Bir etkili iş sürekliliği planı kullanıcılara neredeyse şeffaf olduğunu ve garanti veri bütünlüğü bilgi kaybı olmadan.
Sorumlu kişileri belirleyinBir hayırdan sorumlu olan, bunun hesabını verecek olandır. Bu genellikle en iyi değeri ve etkisini bilen kişidir kullanılabilirlik arasında bütünlük ve gizlilik içinde varlıkları . Bir şirkette genellikle bilgi varlıklarını en iyi bilen bilgi sistemlerinin güvenliğinden sorumlu kişidir .
Güvenlik açıklarını tanımlayınListelenen her varlığın güvenlik açıkları vardır; varlığın kendisini tehditlere maruz bırakan içsel bir özelliğidir.
Tehditleri tanımlayın ve modelleyinÖnceden tanımlanmış güvenlik açıkları, varlıkları tehditlere maruz bırakır. ISO / CEI 27001 standardı belirlenmesini gerektirir tehditlere Listelenen tüm varlıklar için.
Bir bilgi sisteminin karşılaşabileceği başlıca tehditler şunlardır:
ISO 27001 standardı , sonuçların değerlendirilmesini zorunlu kılar; örneğin: gizlilik, kullanılabilirlik veya bütünlük kaybı. Bu , her bir varlık için tanımlanmış kriterlere göre üç boyutlu bir puan ( gizlilik ; kullanılabilirlik ve bütünlük ) vermek anlamına gelir .
Hasarı tanımlayınBir kuruluşun bilgi sistemini dört tür hasar etkileyebilir:
Bu, bilgi varlığını çevresel bağlamına geri koymayı ve dolayısıyla halihazırda uygulanmakta olan önlemleri dikkate almayı içerir ( örneğin , bir müşteri dosyası zaten şifrelenmişse, gizliliğinin ihlal edildiğini görme olasılığı sınırlıdır). Olasılık kavramını 1'den 5'e kadar bir puanla değerlendirmek mümkündür .
Risk seviyelerini tahmin edinNihai puanın tahsisi, yukarıdaki unsurları dikkate alırken gerçek risk seviyesini yansıtacaktır. ISO 27001 standardı herhangi bir formül dayatmaz, bu nedenle onu seçmek uygulayıcıya kalmıştır. 0 ile 100 arasında bir puan veya bir renk kodu olabilir.
Adım 3: Riski tedavi edin ve kalan riski belirleyinŞirket, belirlenen risklerle 4 şekilde başa çıkabilir :
Riski kabul et riskin ortaya çıkması şirket için kabul edilebilir sonuçlara yol açtığında geçici çözüm . Riskten kaçının bir saldırının sonuçlarının şirket için çok tehlikeli olduğu düşünüldüğünde çözüm. Riski aktarın Şirketin kendi imkanlarıyla (sigorta yaptırmak veya taşeronluk ) riski göze alamadığı durumlarda çözüm . Riski azaltın Riski kabul edilebilir kılmak için bir çözüm.Son olarak, tüm güvenlik önlemlerinin uygulanmasından sonra devam eden “artık riskleri” dikkate almayı unutmamalıyız . Bu riskleri kabul edilebilir kılmak için ek koruyucu önlemler alınmalıdır .
Adım 4: Uygulanacak önlemleri seçin (ISO / IEC 27001 Ek A)ISO2 / CEI 27001 standardının uygulanması genellikle beş tamamlayıcı aşamada gerçekleşir:
Planlama aşaması , organizasyonda alınacak önlemleri tanımlar, ancak bunların somut olarak yerine getirilmesine izin vermez. Bir risk tedavi planı oluşturularak organize edilmeli, gerekli araçlar seçilmeli ve sorumluluklar tanımlanmalıdır. Bu adım proje yönetimi kapsamına girer .
Güvenlik önlemlerini dağıtınBilgi sistemi güvenliğini sağlamak için birçok teknik araç uygulanabilir . Gerekli, yeterli ve adil araçların seçilmesi tavsiye edilir. Aşağıda, belirli bilgi sistemi güvenlik ihtiyaçlarını karşılayabilecek kapsamlı olmayan bir teknik araç listesi bulunmaktadır:
ISO/IEC 27001'in yeni özelliklerinden biri de düzenli güvenlik kontrolleri gerektirmesidir. Yönetici, güvenilirliğini ölçen göstergeleri seçmelidir. İki çeşit olabilirler:
Personeli bilgilendirmek, bir IS güvenlik projesinin başarısı için esastır, böylece onun faydasını anlamaları ve onu nasıl uygulayacaklarını bilmeleri gerekir. Bu nedenle , tüm personeli genel olarak kuruluşları için BT güvenliği konularından haberdar etmek iyi bir uygulamadır . Bu açıklama, kuruluşun taahhütlerini hatırlamalı ve en olağan olaylardan kaçınmak için çok pratik örnekler ve dahili prosedürler vermelidir. Doğrudan BT güvenliğine dahil olan çalışanlar , araçları nasıl doğru kullanacaklarını bilmeleri için eğitilmelidir.
Sosyal mühendislik tekniklerine karşı psikolojik aşılama da dahil olmak üzere eğitim, insanların güvenlik prosedürlerinden ve ilkelerinden sapmaya yönelik cazibelere direnmelerini sağlar.
BGYS'yi günlük olarak yönetinISO / IEC 27001 standardı sadece bir güvenlik sisteminin uygulanmasını değil, aynı zamanda etkinliği kanıtı gerektirir. Bu nedenle şirketler kaynaklarını düzgün bir şekilde yönetmeli ve izlenebilirliği geliştirmelidir .
Hızlı olay algılama ve müdahaleBu aşama, zamana dayalı güvenlik teorisine dayanmaktadır . İlke, bir güvenlik saldırısının başarılı olması için gereken süreyi hesaba katmaktır. Bu süre zarfında şirket, ek bir güvenlik payı ile tehdidi tespit edip yanıt verebilmelidir.
BGYS'nin etkinliğini ve uyumluluğunu izlemek için kontrol araçları olmalıdır .
Bunu kontrol etmek için araçlar var:
İç denetimler Denetim önceden iyi planlanmış ve dinleyici çağıran.
İç kontrol : Sürekli herkesi sağlamak için organizasyon içinde izler günlük prosedürleri uygular.
İncelemeler: WSIS ve ortamını uyumlu hale getirmek için bir adım geri atın.
Kendimize şu şekilde yardımcı olabiliriz:
Kontrol aşaması sayesinde herhangi bir arızayı vurguladıktan sonra, bunları analiz etmek ve yerine koymak önemlidir: