Hamit Bey Merhaba Ayrı izole odanın kime ne faydası var tartışılır, bana sorarsanız güvenlik bakış açısında hiç bir faydası yoktur. Ama biz daha verimli çalışırız diyorsanız o ayrı : ) Kendimce sebeplerini yazayım, bunları işkembeden yazmıyorum hepsi tecrübeyle sabittir. Zühtü Beyin gönderdiği doküman bence size bu konuda iyi bir referans olacaktır.
1- Genellikle tüm dokümanlar (basılı olanlar hariç kaldı ki onları da kasa da saklasanız bile sizin dışınızda bir çok kişinin bu kasaya erişimi olacaktır) bir ortak alanda tutulur o zaman bu ortak alanın (Sharepoint vb.) bulunduğu sunucunun da izole olması, daha da ileri giderseniz tempest standartlarına uygun olarak ayrılması gerekir. 2- Denetim ve uyumluluk birimini ayırır iseniz SGOM ve SOME bünyesindeki tüm birimleri, sistem ve ağ birimlerini de ayırmanız gerekir ki erişitikleri veriler çoğunlukla denetim verilerinden kat ve kat daha gizlidir. 3- Bu kadar ayrılma durumunda ayrıca bir iletişim platformu kulanılması ve iletişim platformununun da güvenliğinin ayrıca ele alınmasını gerektirir. Sözlü iletişim eksikliği işlerin yapılabilirliğini ve etkinliğini düşürecektir. Günümüz Modern SGOM’larında tüm personelin bir arada çalışması ve fiziksel sınırların aradan kaldırılması gerektiği söylenmektedir. 4- Safety güvenlik değil emniyet olarak çevriliyor, Güvenlik Security olarak çevriliyor. Safety kimi zaman security de içerir. 5- NATO güvenlik kriterlerinde bu tip fiziksel ayrışmalara ihtiyaç duyulmaktadır, o durumda fiziksel olarak kullanacağınız bilgisayarların da ayrılmasına kadar erişim ayrılabilir. Ama bu ihtiyaçla alakalı bir durumdur. Saygılar. E.P > On 26 Mar 2018, at 11:05, Fatih Yigit <[email protected]> wrote: > > Risk analizine ekleyin bilginin ifşa olmasını olan olayları da kaydedin. > > Sonra o olaylar(söylediğiniz gibi gizliliği ihlal olayı yaşanıyor ise) > üzerinden olasılık değerlerini artırın daha sonrada olayı risk işleme > faaliyetine alın > > Riskin işlenme yöntemine de BGYS ekibinin izole edilmesi diye yönetime sunun > Artık riske atmazlar ise sonuç alabileceğinizi düşünüyorum > > Kolay Gelsin > > 2018-03-26 10:32 GMT+03:00 Hamit Altındağ <[email protected] > <mailto:[email protected]>>: > Merhaba, > > Çalıştığım şirkette bilgi güvenliği ekibinin/müdürlüğünün kapalı bir çalışma > alanı bulunmuyor. Araştırdığım/bildiğim kadarıyla da herhangi bir kanun veya > yönetmelikte böyle bir zorunluluktan da bahsedilmiyor. > > Bilginin gizliliği, bütünlüğü ve erişebilirliği, ISO27001 denetimleri, KVK > süreçleri, Adli Bilişim Süreçleri veya ismini bilmediğim bilgi güvenliği ile > ilgili herhangi bir standart, yönetmelik, prosedür, risk veya süreç referans > gösterilerek böyle bir talepte bulunmak niyetindeyiz. Yardım masasıyla yan > yana olan bir bilgi güvenliği ekibi bana çok güvenli gelmiyor. Güvenlik önce > gelir (Safety First) demeyi biliyoruz ama konu bilgi güvenliğine gelince bu > tür bir yaklaşım bana kabul edilemez gibi geliyor. > > Bu konuda daha önce tecrübesi olan veya tavsiyede bulunmak isteyen kişilerin > yardımını bekliyoruz. İnanıyorum ki düzgün referansları doğru bir ihtiyaç ile > birleştirip iletebilirsek kapalı bir çalışma ortamında işimizi güvenli bir > şekilde icra edebiliriz. > > Yardımlarınız için şimdiden teşekkür ederim. > > Not: Çalıştığım şirket ISO27001 ve KVK'ya tabidir. > > ------------------------------------------------- > Firmanızın Siber Risk Skorunu Öğrenmek İster misiniz? > https://www.bgasecurity.com/siber-risk-skor-karti-ve-karnesi/ > <https://www.bgasecurity.com/siber-risk-skor-karti-ve-karnesi/> > > ------------------------------------------------- > > ------------------------------------------------- > Firmanızın Siber Risk Skorunu Öğrenmek İster misiniz? > https://www.bgasecurity.com/siber-risk-skor-karti-ve-karnesi/ > > -------------------------------------------------
------------------------------------------------- Firmanızın Siber Risk Skorunu Öğrenmek İster misiniz? https://www.bgasecurity.com/siber-risk-skor-karti-ve-karnesi/ -------------------------------------------------
