Siber Güvenlik Politikaları
Siber güvenlik politikası, bir kuruluşun siber güvenlik vizyonunu, hedeflerini, ihtiyaçlarını, kapsamını ve sorumluluklarını da içeren üst düzey bir belgedir. Özellikle:
- Bir kuruluşun güvenliğe olan bağlılığını gösterir.
- Bir kuruluş içindeki faaliyetlerin, süreçlerin ve operasyonların yürütülmesine ve teknoloji ve bilgi varlıklarının korunmasına yönelik davranış ve güvenlik gereksinimleri standartlarını belirler.
- Sistem işlemlerinin, yazılımın ve donanımın edinimi, kullanımı ve bakımının kuruluş genelinde tutarlı olmasını sağlar.
- Politika ihlallerinin hukuki sonuçlarını tanımlar.
- Güvenlik ekibine üst yönetimden ihtiyaç duydukları desteği verir.
Siber güvenlik politikalarının çeşitli türleri vardır.
1 — Uzman siber güvenlik politikası
Bir kuruluşun siber güvenlik programının taslağı olan bu politika, siber güvenlik kontrollerinin uygulanmasına yönelik stratejik plan görevi görür.
2 — Sisteme özel politika
Bu politika türü, belirli cihazlar veya bilgisayar sistemleri için geliştirilir ve bir kuruluş içindeki onaylanmış uygulamalar, yazılımlar, işletim sistemi konfigürasyonları, donanım ve güçlendirmeye karşı önlemler için standardizasyon oluşturmayı amaçlar.
3 — Soruna özel politika
Bu tür bir politika, daha ayrıntılı gereklilikler ve talimatlar gerektirebilecek belirli operasyonel konular, koşullar veya koşullar için geliştirilmiştir.
Güvenlik Politikası Türleri
Bir kuruluşun, tüm çalışanların farkında olduğu açık ve ayrıntılı güvenlik politikaları oluşturması gerekir. Bu politikaların üst yönetim ekibinin de desteğine sahip olması kritik önem taşıyor.
1 — Kimlik ve kimlik doğrulama politikası
Ağ kaynaklarına kimlerin erişmesine izin verilmesi gerektiğini ve bunu kolaylaştırmak için hangi doğrulama prosedürlerinin mevcut olduğunu belirtir.
2 — Şifre politikası
Kullanılan karakterlerin sayısı ve türü ile bunların ne sıklıkta değiştirilmesi gerektiği gibi minimum şifre gereksinimlerini tanımlar.
3 — Kabul edilebilir kullanım politikası
Ağ kaynaklarına erişimi ve bunların kullanımını belirleyen bir dizi kuralı vurgular. Ayrıca politika ihlallerinin sonuçlarını da tanımlayabilir.
4 — Uzaktan erişim politikası
Bir kuruluşun iç ağına uzaktan nasıl bağlanılacağını belirler ve hangi bilgilere uzaktan erişilebileceğini açıklar.
5 — Ağ bakım politikası
Bir kuruluşun belirlenen işletim sistemlerini ve son kullanıcı uygulamalarını güncellemeye yönelik prosedürleri ana hatlarıyla belirtir.
6 — Olay yönetimi politikası
Bir kuruluş içindeki güvenlikle ilgili olayların nasıl raporlanacağı ve bunlara nasıl müdahale edileceği konusunda rehberlik sağlar.
7 — Veri politikası
Verilerin nerede saklandığını, verilerin nasıl sınıflandırıldığını (yüksek, orta, düşük, gizli, genel veya özel) ve verilerin nasıl işlenip imha edildiğini belirlemek gibi bir kuruluş içinde veri işlemeye yönelik ölçülebilir kurallar belirler.
8 — Kimlik bilgisi politikası
Parolanın minimum ve maksimum uzunluğu gibi kimlik bilgilerini oluşturmaya yönelik kuralları uygular.
9 — Organizasyon politikası
Bir organizasyonda işin nasıl yapılması gerektiğine dair rehberlik sağlar. Örnekler arasında değişiklik yönetimi, değişiklik kontrolü veya varlık yönetimi politikaları yer alabilir.
kaynakça: Cisco Networking Academy