Selamlar Ek gereksinimler için öncelikle hangi verilerin iletilebileceği belirtilmelidir. Örneğin özel nitelikli veri aktarılıyor ise ilgili yönetmelikteki şifreleme vb. ek önlemler belirlenmelidir.
Daha sonra her bir veri kategorisi için izlenecek minimum gereksinimler dokümanter edilmelidir (örnek: gizli veri x256 ile şifrelenir vb.) Daha sonra tabii ki de bu tanımlanan metotları uygulamak gerekir. Dikkat edilmesi gereken bir diğer nokta ise girişken çalışanların alternatif metotları kullanmasını engelleyecek önlemlerin (örnek: xtransfer.com gibi sitelere erişim engellenmesi, USB kapatma vb.) alınması gerekebilir. ________________________________ From: Liste <[email protected]> on behalf of Fatih Yigit <[email protected]> Sent: Tuesday, March 27, 2018 8:46 AM To: [email protected] Subject: Re: [NetsecTR] veri transferi iç tetkik 13.2.1 Bilgi transfer politikaları ve prosedürleri Tüm iletişim olanağı türlerinin kullanımıyla bilgi transferini korumak için resmi transfer politikaları, prosedürleri ve kontrolleri mevcut olmalıdır. 13.2.2 Bilgi transferindeki anlaşmalar Anlaşmalar, kuruluş ve dış taraflar arasındaki iş bilgileri’nin güvenli transferini ele almalıdır. Dolayısıyla firma ile ilgili veri transferi yapıyorsanız (bu verilerin de etiketlenmesi uygun olmalı) hizmete özel ve gizli verinin transferinde transfer sırasında oluşabilecek MITM ataklarına karşı mutlaka önlem almış olmanız gerekir. Bu koşulları da politika veya prosedürde belirtmeniz gerekir. Ayrıca fiziksel yada ağ üzerinden gönderme koşullarını da dokümante etmeniz gerekir. Örneğin disk ile gizli veri transferi yapılıyor ise transfer sırasında ele geçmemesi için şifrelemeniz gerekir. Microsoft un ücretsiz uygulaması var windows ile de etkileşimli çalışabiliyor. Diskleri şifreleyebilirsiniz Ağ üzerindeki iletimlerinizi de HTTPS üzerinden iletebilirsiniz. Kolay Gelsin. 2018-03-26 15:38 GMT+03:00 ek danismanlik <[email protected]<mailto:[email protected]>>: Merhaba, Bulgu: Personelin veriyi transfer ederken kullanacağı kanallar tanımlanmamış (Politika), uygulanmamaktadır. wetransfer, dropbox kullanımı politika ile kısıtlanmamış veya alternatif veri kanalları belirlenmemiştir. Konu ile ilgili bir ISO 27001 penceresinden bakacak olursak, ne yapabiliriz, fikri olan var mıdır ? tşkler erkan ------------------------------------------------- Firmanızın Siber Risk Skorunu Öğrenmek İster misiniz? https://www.bgasecurity.com/siber-risk-skor-karti-ve-karnesi/<https://nam03.safelinks.protection.outlook.com/?url=https%3A%2F%2Fwww.bgasecurity.com%2Fsiber-risk-skor-karti-ve-karnesi%2F&data=02%7C01%7C%7C3a36e05e88454679e10c08d593cec5c8%7C84df9e7fe9f640afb435aaaaaaaaaaaa%7C1%7C0%7C636577438648545989&sdata=vEd50ok2L%2BAd%2BMTh735jphT5dM9oUaHvIKbgakluquU%3D&reserved=0> -------------------------------------------------
------------------------------------------------- Firmanızın Siber Risk Skorunu Öğrenmek İster misiniz? https://www.bgasecurity.com/siber-risk-skor-karti-ve-karnesi/ -------------------------------------------------
