Merhaba, 2. konu çok geniş. Ilk politikada “Kötü Amaçlı Yazılım Önleme”amacıyla kullanıcılara ve bilgi işlem ekiplerine yüklenen sorumlulukları ve duruşunuzu yazmalısınız. Örneğin bu yazılımların bulaşabilmesi için kullanıcıların oltalama saldırılarına karşı dikkatli olmalarını nasıl sağlıyorsunuz, AV güncelliği için neler yapıyorsunuz, AV nin güncellemesini kullanıcı durdurabiliyor mu, hangi rol / pozisyonlara Local admin hakkı verirsiniz, bilgisayarına virüs vb bulaştığından şüphelenen kullanıcı ne yapmalı, şirkette herhangi bir şüpheli içerik tıklandı / indirildi ise alacağınız aksiyonlar nelerdir (firewall dan logları incelemek, bu linki incelemek, phishing DB inde var mı vb kontrolleri yapmak, kullanıcının bilgisayarını ağdan çıkarmak, taramak vb) bunları yazabilirsiniz.
Güvenlik açığı yönetimi kısmını vaka politikanız ile birleştirebilirsiniz. Çalışanlar da haberdar olduklarında kime / nasıl iletecek belirtebilirsiniz. Örnein bir uygulamada back door tespit ettiler, kime nasıl bildirecekler? Bir de açıklıklardan zamanında haberdar olmak için siz ne yapıyorsunuz? Ilgi gruplarını takip etmek, zaafiyet tarama / tehdit istihbaratı uygulamaları kullanmak vb bunları yazabilirsiniz. Örneğin wanna cry I duyduğunuzda hemen patch geçtiniz, bu tür işlemlerin kim tarafından ne zaman nasıl yapıldığını tarif etmelisiniz. Güvenlik – critical patchleri otomatik mi alıyorsunuz, manuel mi, kullanıcılar bu patchleri durdurabiliyor mu bu gibi konuları yazmalısınız. Her şirketin politikası farklı olabilmek ile birlikte ISO 27002 nasıl olması gerektiği konusunda yol gösterici olacaktır. Güvenli günler, sevgiler, Boyner Grup Innovation Lab | Information Security Manager Eski Büyükdere Caddesi Oycan Plaza, 34398 Istanbul/Maslak www.boynergrup.com<http://www.boynergrup.com/> From: Liste [mailto:[email protected]] On Behalf Of Savas Özer Sent: 29 May, 2018 10:31 To: [email protected] Subject: Re: [NetsecTR] Bilgi güvenliği ekibinin kapalı bir mekanda/odada bulunması zorunluluğu hakkında Merhaba , Bilgi politika ve prosedürlerin yazılması konusunda çalışma yapıyorum. Örnek ya da taslak olarak aşağıdaki iki konuda doküman paylaşabilir misiniz ? Teşekkürler. Kötü Amaçlı Yazılım Önleme Politikası Güvenlik Açığı Yönetimi Politikası [cid:[email protected]]<http://www.polat.com> SAVAŞ ÖZER Bilgi İşlem Müdürü Information Technologies Manager Polat Ofis İmrahor Cad. No: 23 B Blok 5.-6. Kat 34400 Kağıthane, İstanbul / Turkey t : +90 (212) 212 07 00 f : +90 (212) 211 01 04 e : [email protected]<mailto:[email protected]> w : polat.com [cid:[email protected]]<http://www.polat.com> From: Liste <[email protected]<mailto:[email protected]>> On Behalf Of Tugba Ozturk Sent: Monday, March 26, 2018 11:21 AM To: [email protected]<mailto:[email protected]> Subject: Re: [NetsecTR] Bilgi güvenliği ekibinin kapalı bir mekanda/odada bulunması zorunluluğu hakkında Merhaba, ISO 27001 standardı, veri işlemenin bulunduğu, hassas verilerin bulunduğu alanları, hassasiyetine göre bir fiziksel güvenlik çevresinde korunmasını ister. Hepimizin bildiği gibi sistem odaları ile çalışma ofisleri birbirinden farklı hassasiyette olduğu için sistem odalarına erişimi sınırlandırırız. Siz de Bilgi güvenliği ekibinizin faaliyet alanı içinde özellikle olay / vaka bildirimlerini karşılamak, vaka araştırması, delil inceleme, denetim, bulgu takibi gibi konular bulunuyorsa bu tür bilgilerin, ekranlarınızın, çalışma alanındaki farklı kişiler tarafından görüntülenmesi soruna yol açacaksa, kendi içinizde yaptığınız sesli görüşmeler gizli / hassas içerik barındırıyorsa, alanınızı ayırmayı değerlendirmelisiniz. Her ISO 27001 denetçisi, fiziksel güvenlik denetimi sırasında özellikle iç denetim, vaka soruşturma,Ik - bordro gibi ekiplerin ayrı fiziksel güvenlik önlemleri alınmış izole alanlarda çalışma durumunu denetleyecektir. Bilginize, Boyner Grup Innovation Lab | Information Security Manager Eski Büyükdere Caddesi Oycan Plaza, 34398 Istanbul/Maslak www.boynergrup.com<http://www.boynergrup.com/> From: Liste [mailto:[email protected]] On Behalf Of Hamit Altindag Sent: 26 March, 2018 10:33 To: [email protected]<mailto:[email protected]> Subject: [NetsecTR] Bilgi güvenliği ekibinin kapalı bir mekanda/odada bulunması zorunluluğu hakkında Merhaba, Çalıştığım şirkette bilgi güvenliği ekibinin/müdürlüğünün kapalı bir çalışma alanı bulunmuyor. Araştırdığım/bildiğim kadarıyla da herhangi bir kanun veya yönetmelikte böyle bir zorunluluktan da bahsedilmiyor. Bilginin gizliliği, bütünlüğü ve erişebilirliği, ISO27001 denetimleri, KVK süreçleri, Adli Bilişim Süreçleri veya ismini bilmediğim bilgi güvenliği ile ilgili herhangi bir standart, yönetmelik, prosedür, risk veya süreç referans gösterilerek böyle bir talepte bulunmak niyetindeyiz Yardım masasıyla yan yana olan bir bilgi güvenliği ekibi bana çok güvenli gelmiyor. Güvenlik önce gelir (Safety First) demeyi biliyoruz ama konu bilgi güvenliğine gelince bu tür bir yaklaşım bana kabul edilemez gibi geliyor. Bu konuda daha önce tecrübesi olan veya tavsiyede bulunmak isteyen kişilerin yardımını bekliyoruz. İnanıyorum ki düzgün referansları doğru bir ihtiyaç ile birleştirip iletebilirsek kapalı bir çalışma ortamında işimizi güvenli bir şekilde icra edebiliriz. Yardımlarınız için şimdiden teşekkür ederim. Not: Çalıştığım şirket ISO27001 ve KVK'ya tabidir.
------------------------------------------------- Ücretsiz Phishing Domain Tespiti ve Alarm Servisi - https://services.normshield.com/phishing-domain-search -------------------------------------------------
