13 Mayıs 2012 Pazar

Cobit Bilgi Güvenliği Denetimleri

COBIT Bilgi Güvenliği Denetimleri için kontrol listesini aşağıdaki bulabilirsiniz:
  • Bilgi Güvenliği Yönetimi
    • Bilgi Güvenliği Politikası, İş Stratejisi’ne uygun mudur?
    • Yönetim Kurulu onaylı bir Bilgi Güvenliği Politikası var mıdır?  Paydaşlara duyurulmuş mudur?
    • Mevcut bilgi güvenliği durumu Yönetim ve iş Birimleri’ne iletilmekte midir?
    • BT Varlıkları için varlık değerlendirmesi/sınıflandırması/önceliklendirilmesi yapılmış mıdır?
  • Bilgi Güvenliği Planı
    • Güvenlik Planı, Standartları, Prosedürleri, Klavuzları var mıdır?
    • Yasal Mevzuat ve iş gereksinimlerine uygun mudur?
    • Bilgi Güvenliği Farkındalık Eğitimleri yapılmakta mıdır?
  • İnsan Kaynakları Yönetimi
    • İş  başlangıcı öncesi gerekli kontroller yapılmakta mıdır? (sicil, referans vb)
    • Tüm kullanıcılarla “Bilgi Gizliliği Anlaşmaları”, “Uyum ve Şifre Taahhütnameleri” imzalanmış mıdır?
    • Kullanıcıların politika, standartlara ve diğer dokümanlara uyacağını ifade ettiği kullanıcı beyanı mevcut mudur?

  • Kimlik Yönetimi
    • Kullanıcı aktivitelerini izlemek için altyapı var mıdır?
    • Sistemlerde her kullanıcı için ayrı hesap tanımlanmış mıdır?
    • Tanımlı kullanıcı haklar “En Az Haklar Prensibi”ne uygun mudur?
    • Erişim taleplerini karşılayan yetkilendirme standartları/klavuzları var mıdır? Süreç nasıl işletilmektedir?
    • Kullanıcı parolaları nasıl belirlenmekte, iletilmekte, saklanmaktadır?
    • 3. Taraf kullanıcı hesapları nasıl yönetilmektedir?
  • Kullanıcı Hesapları Yönetimi
    • İş Başlangıcı, İşten Ayrılma ve Transfer süresinde kullanıcı hesapları nasıl kontrol edilmektedir?
    • Kullanıcı yetkilendirme kılavuzları mevcut mudur?
    • Erişim hakları, Veri Sahibi tarafından mı verilmiştir? Mevcut haklar, düzenli aralıklarla Veri Sahibi tarafından gözden geçirilmekte midir?
    • Ayrıcalıklı kullanıcı hesapları nasıl yönetilmektedir?
    • Ayrıcalıklı Hesap Parolaları nasıl korunmaktadır?
    • Uygulama kullanıcı hesapları nasıl yönetilmektedir?
    • Geçici kullanıcı hesapları nasıl yönetilmektedir?
    • Tanımlı erişimler için “Erişim Hakları Prosedürü” var mıdır? Etkinliği nasıl ölçülmektedir?
    • Kullanıcı bilgisayarlarındaki yönetici hakları kontrol edilmekte midir?
    • Uzaktan erişim hakları düzenli olarak gözden geçirilmekte midir?
    • Mevcut profiller iş ihtiyaçlarına uygunluk açısından periyodik aralıklarla kontrol edilmekte midir?
  • Güvenlik Teknolojilerinin Korunması
    • Güvenlik ürünleri (yazılım, donanım, altyapı) ve dokümanları nasıl korunmaktadır?
  • Kriptografik Anahtar Yönetimi
    • Kriptografik anahtarlar kullanılmakta mıdır?
    • Kullanılmakta olan kriptografik anahtarlar nasıl korunmaktadır?
  • Veritabanı ve Yazılım Güvenliği
    • Veritabanlarındaki bilgilerin güvenliği nasıl sağlanmaktadır?
    • Veritabanı betiklerinin (DDL, DML) çalıştırılmadan önce gözden geçirilmesi ve onay süreci var mıdır?
    • Yazılım geliştirme sürecinde güvenlik kontrolleri var mıdır? Nasıl uygunlanmaktadır?
    • Üretim ortamına aktarılacak sürümün kaynak kodları gözden geçirilmekte midir?
  • Zararlı Yazılımları Engelleme, Tespit ve Düzenleme
    • Yazılım lisans yönetimi nasıl yapılmaktadır?
    • Lisanssız yazılım kullanımını engellemek için alınan önlemler nelerdir?
    • Sunucu ve istemci sistemleri için zararlı kodlar için antivirus yazılımı kurulmuş mudur? Periyodik olarak zararlı kod taraması yapılmakta mıdır?
    • Antivirus yazılımının güncellemeleri nasıl yapılmaktadır?
    • Sunucu ve istemci işletim sistemlerinin güncellemeleri nasıl yapılmaktadır?
    • Güncellemeler nasıl yapılmaktadır? Test ortamı mevcut mudur?
    • Yüklenen uygulamalar ve güncellemeler için kayıt tutulmakta ve ilgililerine raporlanmakta mıdır?
  • Ağ Güvenliği
    • Ağa içeriden ve dışarıdan yapılan erişimleri yetkilendirmek, izlemek ve kontrol etmek için kullanılan güvenlik araçları (FW, IDS, ADS, IPS, Network Segmentation) nelerdir? Bunlar nasıl    yönetilmektedir?
    • Ağ cihazlarının (router, firewall) yönetimi süreci nasıl işlemektedir? Talepler nasıl iletilmekte, onaylamaktadır?
    • Tanımlı kurallar nasıl yönetilmektedir? Talep/Onay mekanizması var mıdır? Geriye dönük takip edilebilmekte midir?
    • Cihaz kuralları yedeklenmekte midir? Yedekler nasıl saklanmaktadır?
    • Uzaktan erişim için kullanılan teknolojiler ve prosedürler nelerdir?
    • Kablosuz ağ bağlantısı var mıdır? Var ise nasıl yönetilmektedir?
    • Her sene periyodik olarak sızma ve saldırı testi gerçekleştirilmekte midir?
  • Hassas Verilerin İletimi
    • Hassas verinin sadece güvenli ortam ve kanallardan iletilmesi sağlanmakta mıdır? İletilen hassas verinin bozulmadığı, gönderenin kimliğinden emin olma, alıcının kimliğinden emin olma ve inkar edilemezlik şartları nasıl sağlanmaktadır?
    • Hangi verinin hassas olduğuna ve güvenli iletilmesi gerektiğine nasıl karar verilmektedir?
    • Hassas veri iletimini düzenleyen bir doküman bulunmakta mıdır?
    • Elektronik Mesajlaşma ve Şifreleme Prosedürü bulunmakta mıdır?
    • Gizli bilgi transferinin hangi kanallardan yapılacağını açıkça belirlemiş midir?
    • Şifreleme stratejisinin yönetimi uygun personelle sınırlandırılmış mıdır?
  • Güvenlik Olayı Tanımlaması
    • Güvenlik olayları tanımlanmış mıdır?
    • Güvenlik ihlal olayları nasıl toplanmakta, iletilmekte, kayıt altına alınmakta, eskale edilmekte ve gerekli aksiyon alınması sağlanmaktadır?
    • Acil Durum nasıl tanımlanmakta ve yönetilmektedir? Acil Durum Müdahale Ekibi var mıdır?
  • Fiziksel Güvenliği Sağlanması
    • Sistem odası giriş kapısı sürekli kapalı mı tutulmakta, erişim kontrollü olarak sağlanmakta mıdır?
    • Sistem Odası giriş talepleri için nasıl bir süreç işletilmektedir?
    • Sistem odalarına girişler yetkili personel ile kısıtlanmış mıdır? Nasıl kontrol edilmektedir?
    • Bakım, temizlik, kurulum vb amaçlarla Sistem Odası’na giren tedarikçiler için nasıl bir süreç işletilmektedir?
    • Sistem Odası giriş yetkileri ve kayıtları düzenli olarak gözden geçirilmekte midir?
    • Sistem Odası’ndaki cihazların sağlıklı çalışması için gerekli önlemler alınmış mıdır
    • Klima sistem, Yangın söndürme cihazları, ısı sensörü mıdır? Kontrolleri ve bakımları yapılmakta mıdır? Kayıtları var mıdır?
    • Sistem Odası’nın yeri hangi kriterlere göre seçilmiştir? Örneğin; deprem riski varsa, yapı güçlendirilmesi yapılmış mıdır?
    • Su baskını için yükseltilmiş tavan, nem ölçer var mıdır?
    • Hırsızlık vb için CCTV sistemi, güvenlik görevlisi vb var mıdır?
    • Fiziksel Güvenlik Kontrolleri otomatize edilmiş midir?
  • İş Sürekliliğinin Sağlanması ve Bilginin Yedeklenmesi
    • YK onaylı İş Sürekliliği Planı var mıdır? Gerekli roller belirlenip düzenli aralıklarla test edilmekte midir? Sonuçları ilgililerine raporlanmakta mıdır?
    • Bilgi-Veri Sınıflandırması ve İş Etki Analizleri’ne göre yedekleme ve geri dönüş süreleri belirlenmiş midir?
    • Kritik bilgilerin yedekleri şifreli olarak alınmakta mıdır?
    • Alınan tüm yedeklerin güvenliği nasıl sağlanmaktadır?
    • Yedekler için geri dönüş testleri yapılmakta mıdır?
  • Bilginin İmha Edilmesi
    • Bilginin imha edilmesi için yazılı prosedürler var mıdır? İşletilmekte midir?
  • Güvenlik Testi, Gözetleme ve İzleme
    • Mevcut güvenlik uygulamalarının/süreçlerinin etkinliği nasıl ölçülmektedir?
    • Belirli aralıklarla Bağımsız Güvenlik Denetimi yaptırılmakta mıdır?
    • İç denetim tarafından periyodik denetim çalışmaları gerçekleştiriliyor mu?
    • İz kayıtlarının yönetilmesine ilişkin prosedür var mıdır? (izlenmesi, raporlanması, saklanması) Etkinliği için kanıt var mıdır?

Hiç yorum yok:

Yorum Gönder