ISO/IEC 27001 sürecinde Mavi Takım kontrol listesi 🚦

ISO/IEC 27001 sürecinde Mavi Takım kontrol listesi 🚦

Onur Keskin

ISO/IEC 27001 uyumluluk sürecinde kendimiz için dikkat edilmesi, yapılması gerekenleri listelemiştim. Paylaşmak istedim. Eksik, hata, önerilerinizi paylaşmanız beni memnun edecektir.

1️⃣ 💻 Sürekli güncel tutulan, aktif olarak kayıt altında olan izin verilmiş cihaz/donanımların erişimini sağla, diğer tüm donanımları yasakla.

2️⃣ 🧮 Sürekli güncel tutulan, aktif olarak kayıt altına alınan yüklenmesine ve çalıştırılmasına izin verilen yazılımları takip et, diğer tüm yazılımları yasakla.

3️⃣ 🔐 Mobil cihaz, dizüstü, iş istasyonu, sunucu gibi tüm cihazların donanım ve yazılım ayarlarını güvenlik prensipleri ile ayarla. Bu ayarları sürekli güncel tut ve aktif olarak takip et.

4️⃣ 🔎 Sürekli zaafiyet değerlendirmeleri ve onlara karşılık gelen iyileştirmeleri uygulayarak, saldırganların fırsat pencerelerini en aza indir.

5️⃣ 🦠 Kötü amaçlı yazılımlara karşı savunmanı yayılma ve çalıştırma adımlarına göre, tesis genelinde, test et. Önlemler alma ve veri toplama faaliyetlerini otomatikleştir

6️⃣ 🚸 Kurum içinde geliştirilen ve dışarıdan alınan yazılımları da güvenlik yaşam döngüsüne dahil et. Güvenlik açıklarını, zayıflıklarını tespit et, önlem al ve düzelt.

7️⃣ 📡 Kablosuz erişim kontrolünün güvenliği için kablosuz ağları, erişim noktalarını ve uç noktadaki cihazları takip et. Güvenlik zaafiyetleri için sürekli denetle ve gereken düzeltmeleri uygula.

8️⃣ ♻️ Veri kurtarma kabiliyeti için güvenilir methodlar ve alt yapılar oluştur. Zamanlamalarını iyi planla. Yedeklerden geri dönüş testlerini yap.

9️⃣ 📚 Görev yetki ve sorumluluklarına göre kurum içindeki kişilerin güvenlik becerilerini değerlendir. Eksikleri gidermek için eğitimler planla. Güvenlik politikalarını güncelle.

🔟 🚨Güvenlik duvarı, router, switch gibi cihazların donanım ve yazılım ayarlarını güvenlik prensipleri ile ayarla. Bu ayarları sürekli güncel tut ve aktif olarak takip et.

1️⃣1️⃣ 🚦Ağdaki portları, protokolleri ve servisleri ihtiyaca göre yönet. İhtiyaç durumunu takip et ve güncelle.

1️⃣2️⃣ 🪓 Bilgisayar, ağ ve uygulamalarda yönetici yetkilerinin kullanımını sınırla ve kontrol et.

1️⃣3️⃣ 🗺 Farklı güven seviyelerindeki ağlar arasında gezen bilgiyi sınır güvenliği mantığı ile yönet. Kurum güvenliğini tehlikeye atan veri giriş ve çıkışının engelleyebilmek için denetle.

1️⃣4️⃣ 🗂 Kurum genelinde saldırılar ile ilgili olayların denetim kayıtlarını toplamaya ve yönetmeye özen göster. Bu kayıtlar, bir olay anında ve sonrasında önlem almak ve düzeltmek için kullanılabilmelidir. Toplanan konumları ve detayını buna göre düzenle.

1️⃣5️⃣ 🪜 Erişim kontrolünü bilmesi gerekene bilmesi gerektiği kadarı ile tanımla. Tanımları kişi, cihaz, ağ ve uygulama başlıklarına göre dağıtıldığından emin ol.

1️⃣6️⃣ 👨‍👩‍👧‍👦 Aktif hesapları, kullanım seviyelerini ve erişim yetkilerini sürekli takip et. Kullanılmayan hesapları askıya al, zaman tanı ve sil.

1️⃣7️⃣ 🛡Veri bütünlüğünü, gizliliğini ve sızıntısını kontrol, takip ve önleyebilecek altyapıları kur. Politikalarını güncelle.

1️⃣8️⃣ 🧭 Kurumun bilgileri ve itibarını korumak için olay müdahale ve yönetim altyapısını kurulması gerekir. Bunun için politikaların oluşturulur, rollerin belirlenir ve eğitimlerin planlanır. Bu sayede hızlıca saldırının ve zararın tespit edilmesi hedeflenir. Saldırının varlığının ortadan kaldırması, ağın ve sistemin bütünlüğünün tekrardan sağlanır.

1️⃣9️⃣ 👩‍💻 Ağ güvenliğinin kurum içinde doğal bir davranış olduğu kültürünü oluştur. Bunun için de operasyonları güven verici ve güvenlikten ödün vermeyecek şekilde tanımlama özen göster.

2️⃣0️⃣ 🛃 Zaafiyet testleri ve kırmızı takım alıştırmaları ile kullanılan teknolojiler, süreçler ve personeller kapsamında kurumun savunmasını simüle et.