Uyumluluk

Bilgi güvenliği CIA üçlüsünün tüm parçalarının korunmasını sağlamak için hem iş hem de yasal standartlar oluşturulmuştur. Bu standartlara uymak için önlemler almak uyum olarak bilinir. Bu bölümde, işletmelerin uyması gereken birçok önemli politikanın ayrıntıları özetlenecektir.

Uyumluluk Araçları

Sistemlerin uyumlu olup olmadığını belirlemek için uyumluluk denetimleri gerçekleştirilir. Bunlar otomatik olabilir ve makineleri periyodik olarak tarayan uç nokta yazılımı kadar basit olabilir. Dışarıdan bir ekibin belirli bir sitede sızma testi gerçekleştirmesi kadar karmaşık olabilirler. Her iki durumda da, uygunluk denetimleri güvenlik politikalarını ihlal eden durumları arar.

Risk değerlendirmesi, tespit edilen ihlallerden birinin ne kadar zarar verici olabileceğini belirleyen uyumluluğun önemli bir parçasıdır. Risk analizi raporları genellikle bir uygunluk denetiminin ikinci adımı olarak oluşturulur. Bu raporlar, şirketin hangi önlemlerin alınması gerektiği konusunda bilinçli bir karar vermesine yardımcı olur.

Son olarak değişiklik kontrolleri, gerçekleşmesi gereken değişikliklerin yerine getirilmesini sağlamak ve güvenlik politikalarının ihlal edilmesine yol açan değişiklikleri izlemek için kullanılır. Bir sistemin nasıl ve neden değiştiğini takip ederek ve onaylar gerektirerek sistemler güvensiz bir durumdan güvenli bir duruma geçebilir ve umarız bu şekilde kalabilir. Değişiklik kontrolleri siber güvenlik çalışmalarının her alanında bulunmalıdır.

PII/PCI

Kişisel Olarak Tanımlanabilir Bilgiler (PII) ve Ödeme Kartı Endüstrisi (PCI) uyumluluğu muhtemelen en büyük uyumluluk sektörüdür.  PII, sosyal güvenlik numaraları (SSN'ler), ad ve soyadlar, doğum günleri, adresler, anne kızlık soyadları vb. olabilir. PCI ile ilgili veriler kart sahibinin adı, hesap numarası, kartın son kullanma tarihi, güvenlik kodları, şerit/çip verileri, PIN'ler veya kart numaraları olabilir.

Burada ayrıntıları verilen protokollerin çoğu bu verileri korumak için tasarlanmıştır.

PCI DSS

PCI DSS, Ödeme Kartı Endüstrisi Veri Güvenliği Standartları anlamına gelmektedir. Büyük kredi kartı şirketleri tarafından zorunlu tutulur ve Ödeme Kartı Endüstrisi Güvenlik Standartları Konseyi (PCI SSC) tarafından sürdürülür.

100 sayfadan fazla olan DSS, PCI verilerini korumaya yönelik temel kurallardır. Ağ güvenliği, güvenlik açığı yönetimi, izleme/test gereksinimleri ve diğer bilgi güvenliği politikalarını detaylandırırlar.

Standartlar, bir işletmenin kaç kredi kartı işlemi gerçekleştirdiğine dayanan seviyelere dayanmaktadır. Daha fazla iş yapan şirketlere (daha düşük seviyeler) daha katı standartlar uygulanmaktadır. Seviyeler aşağıda gösterilmiştir:

  • Seviye 1 - Yılda altı milyondan fazla işlem
  • Seviye 2 - Yılda bir ila altı milyon arasında işlem
  • Seviye 3 - Yılda 20.000 ile bir milyon arasında işlem
  • Seviye 4 - Yıllık 20.000'den az işlem

PHI/HIPPA

Korumalı Sağlık Bilgileri (PHI), çeşitli yasal ve sektörel standartlar tarafından kapsanan bir başka korumalı veri türüdür. PHI tıbbi geçmiş, tıbbi tesisler için kabul bilgileri, reçete bilgileri veya sağlık sigortası verileri olabilir.

Sağlık Sigortası Taşınabilirlik ve Hesap Verebilirlik Yasası (HIPAA) PHI'nin nasıl ele alınması gerektiğine ilişkin standartlar sağlamaktadır. HIPAA uyarınca PHI yalnızca belirli taraflara ifşa edilebilir, kullanıcıların PHI'yi görme ve düzeltme hakkı vardır ve PHI güvenli bir şekilde saklanmalı ve iletilmelidir.

Sağlık hizmeti sağlayıcınızın ziyaretinizin ayrıntılarını size e-posta ile göndermek yerine neden sizi her zaman güvenli bir portala gönderdiğini hiç merak ettiyseniz, bunun nedeni PHI ile uğraşmaları ve e-postanın güvenli kabul edilmemesidir.

SOX/GLBA

Sarbanes-Oxley Yasası (SOX) dotcom balonunun patlamasının ardından finansal dolandırıcılıkla mücadeleye yardımcı olmak amacıyla kabul edilmiştir. SOX bazı temel CIA önlemlerini detaylandırmaktadır (çoğu yönetmelik gibi):

Gizlilik

-şifreleme, veri kaybı önleme

Bütünlük

-erişim kontrolü, günlük kaydı

Erişilebilirlik

-veri saklama, denetimler, ihlallerin kamuya açıklanması

İşin ilginç yanı, bu kontrollerin aynı zamanda bir şirketin ilişkileri hakkında yalan söylemesini de zorlaştırmasıdır. SOX, kayıtları 90 gün boyunca saklayarak, değişiklikleri takip ederek ve kamuya açıklama zorunluluğu getirerek şirketlerin sahtekarlık yapmasını zorlaştırmaktadır.

Gram-Leach-Bliley Yasası (GLBA), CIA'yı korumak ve müşteriye daha fazla bilgi sağlamak için tasarlanmış bir başka yasadır. GLBA, bir finans kuruluşunun müşteri bilgileriyle ne yaptığını açıklamasını, müşteriye vazgeçme hakkı sunmasını ve birlikte çalıştığı satıcıların uyum içinde olduğundan emin olmasını zorunlu kılmaktadır.

GDPR

Convert GDPR is used under CC BY 2.0

Genel Veri Koruma Yönetmeliği (GDPR), müşterilerin takip edilmeleri halinde bilgilendirilmelerini gerektiren daha az hedefli ancak daha geniş kapsamlı bir Avrupa Birliği yasasıdır. Çoğu insan için GDPR'nin en büyük etkisi, web siteleri tarafından kullanılan çerezleri onaylamak zorunda olmalarıdır. Çerezlerin neredeyse yalnızca oturum yönetimi için kullanıldığını ve bu nedenle bir web sitesine gelen ziyaretçileri izlediğini hatırlayın.

GDPR risk değerlendirmesi, şifreleme, takma ad kullanımı, dokümantasyon ve denetimlere ilişkin kuralları ana hatlarıyla belirlemektedir. GDPR ayrıca ziyaretçilere müşteri verilerinin bir web sitesi tarafından unutulması seçeneğini de sunmaktadır. Avrupa sahasında faaliyet göstermek isteyen işletmeler, dünya çapındaki işletmelerin çoğu, kendilerini GDPR uyumlu hale getirmelidir.

ABD Vatanseverlik Yasası/PRISM

Uyumluluk gerektiren tüm düzenlemeler bilginin korunmasıyla ilgili değildir. Bazı yönetmelikler, devlet kurumları tarafından casusluk için gizliliği özellikle zayıflatmak üzere tasarlanmıştır.

ABD Vatanseverlik Yasası 11 Eylül saldırılarının ardından kabul edildi ve diğer pek çok şeyin yanı sıra telekom sağlayıcılarının müşteri bilgilerini talep etmelerini gerektirdi. Bunlar telefon aramalarının kayıtları, ağ trafiği örnekleri veya konum bilgileri olabilir.

Daha sonra 2007 yılında Amerika'yı Koruma Yasası (PAA) bu gözetimi genişleterek daha fazla şirketin bilgi taleplerine uymasını zorunlu kılmıştır. Bu eylem, Edward Snowden sızıntılarıyla ortaya çıkan ve şirketleri dünya çapında bir internet izleme programına uymaya zorlayan PRISM programını başlattı.

Önceki Ders: Güvenlik Açığı Yönetimi

Sonraki Ders: Laboratuvar: Nessus ile Tarama

 

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

Dentin Oluşumu

Resim
  Dentinogenez (diş gelişimi) sırasında önemli bölgeler. Gösterge: P = pre-dentin, D = olgun dentin, oklar = pulpanın kenarında bulunan odontoblastların hücre gövdeleri. [Image credit: "Histological section of tooth" by Doc. RNDr. Josef Reischig, CSc. is licensed under CC BY-SA 3.0 / labels added] Dentinogenez , dentin oluşumu sürecidir (ve odontogenez kelimesi ile karıştırılmamalıdır). Dentinogenez diş gelişiminin çan evresi nde başlar. Odontoblastlar (Yukarıdaki şekil) dentin üreten hücrelerdir. İlk adım, iskele görevi gören kolajen de dahil olmak üzere proteinlerin salgılanmasıdır. İkinci adım, iskelenin etrafındaki mineralizasyondur. Başlangıçtaki proteinden zengin materyal pre-dentin dir, mineralize olduktan sonra dentin olarak adlandırılır. Amelogenez in aksine, üçüncü bir protein kaldırma (yeniden şekillendirme) adımı yoktur. İndüksiyon (veya Başlatma) Amelogenez ve dentinogenezin animasyonlu görünümü. İndüksiyon fazı sırasında odontoblast lar orta...
Daha fazla oku »

Periodonsiyum Klinik Uygulamalar

Resim
  Hiper-Sementoz Sementoblast lar yetişkin sementumun yüzeyinde ( PDL içinde) bulunduğu için, sementum yeniden şekillenme ve onarım geçirme yeteneğine sahiptir. Bu da sementumu dentine benzetir ancak mineden farklı kılar. Aşırı sementoblast fonksiyonu hiper-sementoz ile sonuçlanabilir. Bu durum, diş üzerindeki aşırı oklüzal kuvvetler nedeniyle kök ucunda daha sık görülür. Gigantizm/akromegali veya Paget hastalığı gibi büyüme faktörü bozukluklarından da kaynaklanabilir. Konkresans Konkresyon örnekleri.  [Image credit : “Second and third molars joined by cement, in teeth with and without hypercementosis” by Consolaro A et al is licensed under CC BY 4.0] Yeterli miktarda hiper-sementoz iki dişi köklerinden birbirine yapıştırabilir, buna konkresyon denir. Bu, diş çekimi öncesinde radyografinin neden gerekli olduğunu gösterir. Bu durum en sık ikinci ve üçüncü üst azı dişleri arasında görülür. Kök Çürükleri Semental çürükler. [Image credit: “Photograph showing ...
Daha fazla oku »

Ağız Mukozasının Genel Histolojisi

Resim
  Ağız mukozası , ağız boşluğunu kaplayan mukoza zarıdır. Deri ile aynı köken i paylaşır ve bu nedenle aynı doku tiplerini aynı sırada görürüz. Bununla birlikte, katmanları farklı isimler alır ve farklı şekilde sınıflandırılır. Deri tabakaları üç embriyonik germ tabakası na dayanarak bölünmüştür, ancak ağız mukozası bu bölündürmeye uymamıştır. İlk olarak, çok katlı yassı epitel ve altta yatan areolar bağ dokusu bir araya toplanır ve oral mukoza olarak adlandırılır. Çok katlı yassı epitel tek başına ağız epiteli olarak adlandırılabilir ve epidermis gibi ektoderm den türemiştir. Dermis in papiller tabakasına homolog olan areolar bağ dokusu tabakasına lamina propria denir. Mezoderm den türetilen hücreler tarafından üretilir. Ağız mukozasının derinliklerinde, sıkı düzensiz bağ dokusu tabakası alt mukoza olarak adlandırılır ve dermisin retiküler tabakasının homologudur. Alt mukoza da mezodermden türetilen hücreler tarafından üretilir. Ağız mukozasında artan keratin miktarı...
Daha fazla oku »