Güvenlik kontrolleri - Security controls
Güvenlik kontrolleri , fiziksel mülk, bilgi, bilgisayar sistemleri veya diğer varlıklara yönelik güvenlik risklerini önlemek, tespit etmek, bunlara karşı koymak veya en aza indirmek için alınan önlemler veya karşı önlemlerdir . Bilgi güvenliği alanında , bu tür kontroller bilginin gizliliğini, bütünlüğünü ve kullanılabilirliğini korur .
Kontrol sistemleri, çerçeveler veya standartlar olarak adlandırılabilir. Çerçeveler, bir kuruluşun güvenlik kontrollerini farklı varlık türleri arasında tutarlı bir şekilde yönetmesini sağlayabilir.
Güvenlik kontrol türleri
Güvenlik kontrolleri çeşitli kriterlere göre sınıflandırılabilir. Örneğin, kontroller bazen bir güvenlik ihlaline göre hareket ettiklerinde sınıflandırılır:
- Olaydan önce önleyici kontroller , örneğin yetkisiz davetsiz misafirleri kilitleyerek bir olayın meydana gelmesini önlemeyi amaçlar;
- Olay sırasında, dedektif kontrollerin , örneğin izinsiz giriş alarmını çalarak ve güvenlik görevlilerini veya polisi uyararak devam eden bir olayı tanımlaması ve karakterize etmesi amaçlanır;
- Olaydan sonra, düzeltici kontrollerin amacı, örneğin organizasyonu mümkün olduğunca verimli bir şekilde normal çalışma durumuna geri getirmek gibi olaydan kaynaklanan herhangi bir hasarın kapsamını sınırlamaktır.
Güvenlik kontrolleri ayrıca özelliklerine göre de sınıflandırılabilir, örneğin:
- Fiziksel kontroller örn. çitler, kapılar, kilitler ve yangın söndürücüler;
- Prosedürel veya idari kontroller, ör. olay müdahale süreçleri, yönetim gözetimi, güvenlik bilinci ve eğitimi;
- Teknik veya mantıksal kontroller örn. kullanıcı doğrulama (oturum açma) ve mantıksal erişim kontrolleri, antivirüs yazılımı, güvenlik duvarları;
- Yasal ve düzenleyici veya uyumluluk kontrolleri ör. gizlilik yasaları, politikaları ve maddeleri.
Bilgi işlemde güvenlik kontrolleri hakkında daha fazla bilgi için, bkz . Derinlemesine savunma (bilgi işlem) ve Bilgi güvenliği
Bilgi güvenliği standartları ve kontrol çerçeveleri
Çok sayıda bilgi güvenliği standardı, iyi güvenlik uygulamalarını teşvik eder ve bilgi güvenliği kontrollerini yönetmek için analiz ve tasarımı yapılandırmak için çerçeveler veya sistemler tanımlar. En iyi bilinen standartlardan bazıları aşağıda özetlenmiştir.
Uluslararası Standartlar Organizasyonu
ISO/IEC 27001 , 14 grupta 114 kontrolü belirtir:
- A.5: Bilgi güvenliği politikaları
- A.6: Bilgi güvenliği nasıl düzenlenir?
- A.7: İnsan kaynakları güvenliği - istihdam öncesinde, sırasında veya sonrasında uygulanan kontroller.
- A.8: Varlık yönetimi
- A.9: Erişim kontrolleri ve kullanıcı erişimini yönetme
- A.10: Kriptografik teknoloji
- A.11: Kuruluşun sahalarının ve ekipmanlarının fiziksel güvenliği
- A.12: Operasyonel güvenlik
- A.13: Güvenli iletişim ve veri aktarımı
- A.14: Bilgi sistemlerinin güvenli edinimi, geliştirilmesi ve desteklenmesi
- A.15: Tedarikçiler ve üçüncü şahıslar için güvenlik
- A.16: Olay yönetimi
- A.17: İş sürekliliği/olağanüstü durum kurtarma (bilgi güvenliğini etkilediği ölçüde)
- A.18: Uyum - politikalar gibi dahili gereksinimlerle ve yasalar gibi harici gereksinimlerle.
ABD Federal Hükümeti bilgi güvenliği standartları
Federal Bilgi İşleme Standartları'na (FIPS) tüm ABD devlet kurumları için geçerlidir. Ancak, Ulusal Güvenlik Sistemleri Komitesi'nin yetkisi altındaki bazı ulusal güvenlik sistemleri bu standartların dışında yönetilmektedir.
Federal Bilgi İşleme Standardı 200 (FIPS 200), "Federal Bilgi ve Bilgi Sistemleri için Asgari Güvenlik Gereksinimleri", federal bilgi sistemleri için minimum güvenlik kontrollerini ve riske dayalı güvenlik kontrolleri seçiminin gerçekleştiği süreçleri belirtir. Minimum güvenlik kontrolleri kataloğu, NIST Özel Yayını SP 800-53'te bulunur .
FIPS 200, 17 geniş kontrol ailesini tanımlar:
- AC Erişim Kontrolü.
- AT Farkındalık ve Eğitim.
- AU Denetim ve Sorumluluk.
- CA Güvenlik Değerlendirmesi ve Yetkilendirme. (tarihsel kısaltma)
- CM Yapılandırma Yönetimi.
- CP Acil Durum Planlaması.
- IA Tanımlama ve Kimlik Doğrulama.
- IR Olay Yanıtı.
- MA Bakımı.
- MP Medya Koruması.
- PE Fiziksel ve Çevresel Koruma.
- PL Planlama.
- PS Personel Güvenliği.
- RA Risk Değerlendirmesi.
- SA Sistem ve Hizmet Alımı.
- SC Sistemi ve İletişim Koruması.
- SI Sistemi ve Bilgi Bütünlüğü.
Ulusal Standartlar ve Teknoloji Enstitüsü
NIST Siber Güvenlik Çerçevesi
Beş işlevsel alana ve "çekirdeğinde" yaklaşık 100 ayrı kontrole bölünmüş olgunluğa dayalı bir çerçeve.
NIST SP-800-53
Aileler ve çapraz referanslar halinde gruplandırılmış yaklaşık bin teknik kontrolden oluşan bir veri tabanı.
- 800-53'ün Revizyon 3'ünden başlayarak, Program Yönetimi kontrolleri belirlendi. Bu kontroller sistem kontrollerinden bağımsızdır ancak etkili bir güvenlik programı için gereklidir.
- 800-53'ün 4. Revizyonundan başlayarak, güvenlik kontrollerini federal yasanın gizlilik beklentileriyle uyumlu hale getirmek için sekiz gizlilik kontrolü ailesi belirlendi.
- 800-53 Revizyon 5'ten başlayarak, kontroller ayrıca NIST Veri Gizliliği Çerçevesi tarafından tanımlandığı şekilde veri gizliliğini de ele alır.
Ticari Kontrol Setleri
COBIT5
ISACA tarafından yayınlanan tescilli bir kontrol seti.
- Kurumsal BT Yönetimi
- Değerlendir, Yönlendir ve İzle (EDM) – 5 süreç
- Kurumsal BT Yönetimi
- Hizala, Planla ve Organize Et (APO) – 13 süreç
- İnşa Et, Edin ve Uygula (BAI) – 10 süreç
- Teslimat, Servis ve Destek (DSS) – 6 süreç
- İzleme, Değerlendirme ve Değerlendirme (MEA) - 3 süreç
BDT İlk-20
İnternet Güvenliği Merkezi tarafından yayınlanan, ticari olarak lisanslanabilir bir denetim seti.
- Bir gönüllü ağı tarafından geliştirilen ve bir lisans sözleşmesi yoluyla ticari kullanıma sunulan 20 kontrol.
ts azaltma
Threat Sketch'ten açık (Creative Commons) ve ticari olarak lisanslanabilir bir kontrol seti.
- Açık: Yüz NIST Siber Güvenlik Çerçevesi denetimiyle eşlenen 50 iş dili azaltma.
- Açık: Yaklaşık bin NIST SP-800-53 denetimiyle eşlenen 50 iş dili azaltma.
Telekomünikasyon
Telekomünikasyonda güvenlik kontrolleri , OSI Referans modelinin bir parçası olarak güvenlik hizmetleri olarak tanımlanır.
- ITU-T X.800 Tavsiyesi.
- ISO ISO 7498-2
Bunlar teknik olarak uyumludur. Bu model yaygın olarak tanınmaktadır.
Veri sorumluluğu (yasal, düzenleyici, uyumluluk)
Güvenlik riski ve bakım standartlarını belirleyen yasaların kesişimi, veri sorumluluğunun tanımlandığı yerdir. Risk yöneticilerinin ülke, il/eyalet ve yerel düzeylerde sorumluluğu tanımlayan yasaları araştırmasına yardımcı olmak için bir avuç veri tabanı ortaya çıkıyor. Bu kontrol setlerinde, ilgili yasalara uyum, asıl risk azaltıcı unsurlardır.
- Perkins Coie Güvenlik İhlali Bildirim Tablosu: ABD eyaletleri arasında veri ihlali bildirimi gereksinimlerini tanımlayan bir dizi makale (eyalet başına bir tane).
- NCSL Güvenlik İhlali Bildirimi Yasaları: Veri ihlali bildirimi gereksinimlerini tanımlayan ABD eyalet yasalarının bir listesi.
- ts yetki alanı: Bir ihlalden önce ve sonra siber güvenliği etkileyen 380'den fazla ABD Eyaleti ve Federal yasasını kapsayan ticari bir siber güvenlik araştırma platformu. yetki alanı aynı zamanda NIST Siber Güvenlik Çerçevesi ile de eşleşir.
İş kontrol çerçeveleri
Aşağıdakiler de dahil olmak üzere, dahili işlere ve şirketler arası kontrollere bakan çok çeşitli çerçeveler ve standartlar vardır:
- SSAE 16
- ISAE 3402
- Ödeme Kartı Sektörü Veri Güvenliği Standardı
- Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası
- COBIT 4/5
- BDT İlk-20
- NIST Siber Güvenlik Çerçevesi
Ayrıca bakınız
- Giriş kontrolu
- karşı önlem
- Çevre tasarımı
- Bilgi Güvenliği
- OSI Referans Modeli
- Fiziksel güvenlik
- Risk
- Güvenlik
- Güvenlik mühendisliği
- Güvenlik Yönetimi
- Güvenlik Servisi