Merhaba, Yiğit beyin dediklerine katılıyorum, ben de şu metodları kullanıyorum:
Kullanıcı sorumlulukları ile ilgili bir politikaya; hangi transfer yöntemlerini kullanamayacaklarını hangileri kullanabileceklerini yazıyorum. BT firmaları ile ilgili anlaşmalara veri transferi nasıl yapılacaksa (web servisler, SFTP ye data bırakma vb) güvenli metodu arkadaşlarla kararlaştırdığımız şekilde yazıyorum. (Tüm BT anlaşmalarının yapılmadan evvel, projeler ve yeni sistemlerde de olduğu gibi güvenlik risklerinin değerlendirilmesi gerek, bu sırada bu tür konuların tamamını kararlaştırmalısınız) Elimde sistem / imkan olduğunda Url filter vb ürünler üzerinden belirli kategorileri (peer to peer, wetransfer, gdrive vb) ortamlara erişimleri kaldırıyorum. Kurum içi bir transfer ortamı geliştirmeye çalışıp kullanıcıya bunu sunuyorum ki, dosyayı hem şifreliyor hem virus kontrolü vb yapıyor, logluyorum vb. Kontrollerim var ve daha güvenli. Boyner Grup Innovation Lab | Information Security Manager Eski Büyükdere Caddesi Oycan Plaza, 34398 Istanbul/Maslak www.boynergrup.com<http://www.boynergrup.com/> From: Liste [mailto:[email protected]] On Behalf Of Fatih Yigit Sent: 27 March, 2018 11:46 To: [email protected] Subject: Re: [NetsecTR] veri transferi iç tetkik 13.2.1 Bilgi transfer politikaları ve prosedürleri Tüm iletişim olanağı türlerinin kullanımıyla bilgi transferini korumak için resmi transfer politikaları, prosedürleri ve kontrolleri mevcut olmalıdır. 13.2.2 Bilgi transferindeki anlaşmalar Anlaşmalar, kuruluş ve dış taraflar arasındaki iş bilgileri’nin güvenli transferini ele almalıdır. Dolayısıyla firma ile ilgili veri transferi yapıyorsanız (bu verilerin de etiketlenmesi uygun olmalı) hizmete özel ve gizli verinin transferinde transfer sırasında oluşabilecek MITM ataklarına karşı mutlaka önlem almış olmanız gerekir. Bu koşulları da politika veya prosedürde belirtmeniz gerekir. Ayrıca fiziksel yada ağ üzerinden gönderme koşullarını da dokümante etmeniz gerekir. Örneğin disk ile gizli veri transferi yapılıyor ise transfer sırasında ele geçmemesi için şifrelemeniz gerekir. Microsoft un ücretsiz uygulaması var windows ile de etkileşimli çalışabiliyor. Diskleri şifreleyebilirsiniz Ağ üzerindeki iletimlerinizi de HTTPS üzerinden iletebilirsiniz. Kolay Gelsin. 2018-03-26 15:38 GMT+03:00 ek danismanlik <[email protected]<mailto:[email protected]>>: Merhaba, Bulgu: Personelin veriyi transfer ederken kullanacağı kanallar tanımlanmamış (Politika), uygulanmamaktadır. wetransfer, dropbox kullanımı politika ile kısıtlanmamış veya alternatif veri kanalları belirlenmemiştir. Konu ile ilgili bir ISO 27001 penceresinden bakacak olursak, ne yapabiliriz, fikri olan var mıdır ? tşkler erkan ------------------------------------------------- Firmanızın Siber Risk Skorunu Öğrenmek İster misiniz? https://www.bgasecurity.com/siber-risk-skor-karti-ve-karnesi/ -------------------------------------------------
------------------------------------------------- Firmanızın Siber Risk Skorunu Öğrenmek İster misiniz? https://www.bgasecurity.com/siber-risk-skor-karti-ve-karnesi/ -------------------------------------------------
