Bilgi Güvenliği Bakış Açısı İle İş Sürekliliği

0
2056
views
İş Sürekliliği, bir kuruluşun vermiş olduğu hizmetlerin tamamının veya bir kısmının kesintiye uğramasına ya da bu hizmetlerin kabul edilemez düzeyde yavaşlamasına sebep olacak olaylar karşısında, kabul edilebilir düzeyde iş uygulamalarına devam etme becerisi olarak tanımlanır. Bu yazıda İş Sürekliliği konusu bilgi güvenliği bakış açısı ile incelenecektir.

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

 

A) İş Sürekliliği Planı (Business Contiunity Plan – BCP)

İş Sürekliliği Planlaması’nın genel amacı, kuruluşun bir felaket olayının yaşanmasından önce, bu süre boyunca ve sonrasında hizmet vermeye devam etmesini sağlamaktır. İş Sürekliliği Planlaması sürecinin temel amaçları aşağıdaki gibi sıralanabilir.

  • Acil bir durumda hızlı, sakin ve verimli bir yanıt verebilmek
  • Organizasyonun sürekli çalışmasını sağlamak
  • Organizasyonel süreçlere ait riskleri değerlendirmek ve bu risklerinin etkisini en aza indirmek için politika ve prosedürler oluşturmak

 

İş sürekliliği bozulup,iş süreçleri durursa ve organizasyon disaster moda geçerse BCP sürecinin başarısız olduğu anlaşılır. Bu durumda da Disaster Recovery Planning (DRPFelaket Kurtarma Planı) devreye girer.

 

İş sürekliliği planının alt kırılımları aşağıdaki gibi listelenebilir.

  • DRP (Disaster Recovery Plan)
  • COOP (Continuity of Operations Plan)
  • Crisis Communications Plan
  • Critical Infrastructure Protection Plan
  • Cyber Incident Response Plan
  • ISCP (Information System Contingency Plan)
  • OEP (Occupant Emergency Plan): Bir afet (disaster) anında tesisi/kuruluşu, çalışanları ve ortamı kurtarmaya (tahliye etmeye) veya güvenliğini sağlamaya odaklanır. Bu plan, tahliye etme veya güvenliği sağlama işlemlerinin nasıl gerçekleştirildiğini, tatbikatların ne sıklıkta yapılması gerektiğini ve personelin eğitim alması için yapılması gerekenleri ayrıntılarıyla anlatır.

 

A.1) İş Sürekliliği Planı (BCP) ve Felaket Kurtarma Planı (DRP) Arasındaki İlişki

Her iki plan da kuruluşun karşılaştığı yıkıcı olayların yönetimi için gerekli olsa da hedefleri farklıdır.

İş Sürekliliği Planlaması yıkıcı bir olaydan sonra devam eden operasyon (iş / business) için uzun vadeli ve iş odaklı bir plan sağlarken, Felaket Kurtarma Planı belirli aksaklıklarla başa çıkmak için kısa vadeli bir plan sağlar.

Felaket Kurtarma Planı bir felaketin etkisini etkili bir şekilde azaltmaya, önemli bir yıkıcı olay karşısında kritik BT sistemlerine anında müdahele etmeye ve kurtarmaya çalışır. Günümüzde bazı işlerde (business), DRP’ye ihtiyaç duyulmayabilir, hatta dış kaynağa devredilebilir.

DRP süreci BCP’nin bir alt kümesidir.

 

 

BRP ve DRP süreçleri ile ilgili olarak bir barajın üzerinde bulunan veri merkezi örneğini ele alabiliriz. Şöyle ki;

BCP süreçleri uygulanarak belediyenin baraj üzerinde bulunan veri merkezi üzerindeki bakım faaliyetlerinin yapılıp yapılmadığı test edilir. Veri merkezi için alınan önlemler BCP kapsamındadır. Tüm alınan önlemlere rağmen veri merkezi su altında kalarak sistem hizmet veremez hale gelebilir ve DRP sürecine geçilir.

 

A.2) Felaketlerin/Tehditlerin Sınıflandırılması

Bir kuruluşun başına bir çok felaket gelebilir.

 

Gelebilecek bu felaketler ile ilgili detaylı bilgi için kaynaklardaki Siberportal bağlantısı [ii] incelenebilir.

 

B) İş Sürekliliği Planlama Süreci Adımları

BCP’nin genel hedefi acil bir durumda hızlı, sakin ve verimli bir yanıt sağlamak ve kuruluşu bir felaket durumundan kurtarma yeteneğini hızlı bir şekilde artırmaktır.BCP sürecinin 4 ana adımı vardır .

  • Proje kapsamı ve planlaması
  • İş-etki değerlendirmesi
  • Süreklilik planlaması
  • Onaylanma ve uygulamaya koyma

 

B.1) Proje Kapsamı ve Planlaması (Project Scope and Planning)

Kurumlarda güçlü bir iş sürekliliği planı için bir takım çalışmalar yapılmalıdır. Bu çalışmalar aşağıdaki gibi sıralanabilir.

  • Kriz planlama için kuruluşun teşkilatlanmasının (organizasyonun) analizi yapılmalıdır. Bu kapsamda ana hizmetlerinden sorumlu personeller, BT servislerini ayakta tutmaktan sorumlu personeller, üst düzey yöneticiler ve diğer kritik kişiler dikkate alınmalıdır. Ayrıca İş Sürekliliği planı geliştirilirken kuruluşa ait hem merkez ofis hem de diğer şube ofisleri dikkate alınmalıdır
  • Üst yönetimin onayı ile BCP ekibi oluşturulmalıdır. BCP ekibi yukarıdaki organizasyonel analizle belirlenen ana hizmetlerin sunulduğu birimlerden temsilciler, BCP süreci ile ilgili teknik uzmanlığa sahip BT temsilcileri, BCP süreci hakkında bilgi sahibi güvenlik temsilcileri,yasal, düzenleyici ve sözleşme sorumluluklarını bilen yasal temsilciler ve üst yönetim temsilcilerinden oluşur.

 

  • BCP sürecinin öneminin tüm organizasyon tarafından önemsenmesi için, üst düzey yöneticilerin BCP süresinde aktif rol alması istenmelidir. Yasa ve yönetmeliklere bağlı olarak acil bir durum karşısında şahsen sorumlu olabilecekleri ve gerekli özeni göstermesi gerekliliği (due diligence) yöneticilere hatırlatılmalıdır.
  • İş organizasyonu ile ilgili analiz yapıldıktan sonra, BCP ekibi tarafından iş sürekliliği planının oluşturulması için gerekli olan kaynakların değerlendirilmesi gerekir. Kaynak değerlendirme 3 fazdan oluşur:
    • BCP Development
    • BCP Testing-Training-Maintenance
    • BCP Implementation

Not: BCP sürecindeki en önemli kaynak insandır.

  • Felaket durumunda organizasyonun cevabına ilişkin yasal düzenlemeler analiz edilmelidir.BCP ekibinde yasal danışmanlar mutlaka yer almalıdır.Başka firmalarla yapılan hizmet sözleşmeleri SLA içeriyorsa ve bir felaket durumunda verilen hizmet kesintiye uğrarsa sözleşme ihlal edilmiş olur. Kurumdaki tüm çalışan ve yöneticiler iş sürekliliği görevlerini yerine getirmek için gereken özeni göstermekten sorumludurlar.(due diligence)

Not: Bazı organizasyonların resmi bir BCP süreci bulunmamaktadır. Beklenmedik bir acil durum karşısında “seat-of-the-pants” yaklaşımının işe yarayacağı düşünülür. “Seat-of-the-pants” yaklaşımı, herhangi bir karar alma durumunda, analitik yöntemler ve araçları kullanmak yerine sezgi ve hisler ile hareket etme durumudur.

 

B.2) İş-Etki Değerlendirmesi (Business Impact Assessment – BIA)

BIA aşamasında iş sürekliliği için ilk olarak kritik olan kaynaklar belirlenir ve bu kaynaklara yönelik tehditler tanımlanır.

Her tehdidin gerçekleşme olasılığı ve iş üzerindeki etkisi değerlendirilir. Değerlendirme sonuçları kaynakların karşı karşıya olduğu yerel, bölgesel ve ulusal risklere karşı önlem alınmasını sağlar.

 

İş Sürekliliği ile ilgili plan yaparken 2 farklı analiz türü vardır.

  • Quantitative Decision Making: Nicel değerlendirmedir. Karar vermek için sayılar ve formüller kullanılır. Nicel değerlendirme için BCP ekibi kuruluş varlıklarının listesini hazırlamalı ve her bir varlığa parasal olarak bir varlık değeri (AV) atamalıdır.
  • Qualitative Decision Making: Nitel değelendirmedir. Karar vermek için itibar, müşteri güveni vb. diğer kaygılar gibi sayısal olmayan faktörler dikkate alınır. Örnek olarak kuruluş çok önemli birkaç müşteriye bağımlıysa, bu müşterileri uzun vadede tutabilmek için kısa vadeli kayıplar ihmal edilebilir.

BCP ekibi için sayısal verilerle ilerlenmesi ve nicel değerlendirme yapması önerilir.

BIA aşaması aşağıdaki gibi 5 adımdan oluşur.

B.2.1) Öncelikleri Tanımlama (Identify Priorities)

İş-etki değerlendirmesi yaparken BCP ekibinin ilk görevi işler için öncelik listesi hazırlamaktır.

 

BCP’nin ikinci görevi maksimum tolere edilebilir kesinti süresini belirlemektir. (MTO/MTD)

  • MTD (Maximum Tolerable Downtime): Organizasyona ait bir sürecin onarılamaz hale gelebileceği (kurumun hizmet veremeden kalabileceği) maksimum süredir. Maximum Allowable Downtime (MAD) veya Maximum Tolerable Period of Disruption (MTPD) olarak da isimlendirilebilir.
  • MTO (Maximum Tolerable Outage): Organizasyonun bir sürece ait tolere edebileceği maksimum kesinti süresidir.
  • RTO (Recovery Time Objective): Bir aksaklık / felaket durumunda, felaket öncesinde sunulan hizmet ve süreçlerin tanımlı (defined) hizmet seviyesinde tekrar devam edebilmesi için, sistemi geri döndürmeyi düşünülen / planlanan süredir.
  • RPO (Recovery Point Objective): Son alınan yedeklemeyle kesintinin olduğu süre arasında kaybedilmesi kabul edilen (yedek alınamayan) veri miktarıdır.. Yedekleme sıklığı (saatlik, günlük vs) ve yöntemi (teypte ise alatrm durumunda geri dönülmesi uzun sürer) ile doğrudan ilişkilidir.
  • WRT (Work Recovery Time): Geri döndürme (recovery) işleminden sonra, sistemlerin tamamen üretime hazır olması ve normal işlemlerine devam etmesi için gerekli olan maksimum kabul edilebilir süredir. Bu sürede log kayıtları ve veritabanlarından gerekli kontroller (bütünlük kontrolü gibi) yapmak gibi çeşitli doğrulama işlemleri gerçekleştirilir ve uygulamaların / hizmetlerin doğru çalıştıklarından emin olunur.
  • SDO (Service Delivery Objective): Doğrudan iş ihtiyaçları ile ilgili olarak, kesinti süresinden normal duruma gelinene dek alternatif işlem modunda ulaşılacak hizmet seviyesidir. Örneğin bir banka şubesi yandığında, kritik işlemlerin / hizmetlerin yapılması / verilebilmesi için taşınabilir ATM’lerin kurulması sağlanabilir.

MTD = RTO + WRT

Bu adımdaki temel amaç, RTO’nun MTD’den daha düşük olmasını sağlamaktır.

 

B.2.2) Riskleri Tanımlama (Risk Identification)

Kurumda ortaya çıkan risklerin tanımlanması gerekmektedir.

BCP ekibi tarafından bir kuruluş için tehdit oluşturabilecek olayların kapsamlı bir listesini hazırlanmalıdır. Risk tanımlama kısmı nitelikseldir (qualitative). Daha belirsiz risklerin tanımlanması BCP ekibinin yaratıcılığına bağlıdır.

 

B.2.3) Olasılık Değerlendirme (Likelihood Assesment)

Her tehdidin gerçekleşme olasılığı birbirinden farklıdır.

Her bir risk için organizasyonun bu riski yaşamayı ne kadar beklediğini (her tehdidin tek bir yıl içinde gerçekleşme olasılığını) yansıtan ARO (Annualized Rate of Occurrence) belirlenmelidir. ARO kurumsal geçmişe, BCP ekip üyelerinin mesleki deneyimine ve gerektiğinde sismolog, yangın önleme uzmanları ve diğer danışmanların tavsiyelerine göre belirlenir.

Bazı durumlarda, bazı riskler için uzmanlar tarafından hazırlanan olasılık değerlendirmeleri bulunabilir. Aşağıdaki deprem tehlike haritası bu depremlerin ARO’sunu göstermektedir.

 

ARO kavramı ve BT risk Yönetimi ile ilgili detaylı bilgi için kaynaklardaki Siberportal bağlantısı [i] incelenebilir.

 

B.2.4) Etki Değerlendirme (Impact Assessment)

Risk tanımlama ve olasılık değerlendirmesi yapıldıktan sonra toplanan veriler analiz edilerek tanımlanan risklerin gerçekleşmesi durumunda kuruma ne gibi bir etkisi olacağı hesaplanmalıdır.

Bu değerlendirme, The exposure factor (EF), The single loss expectancy (SLE) ve The annualized loss expectancy (ALE) metrikleri ile yapılır. EF, SLE, ALE ve diğer değerlendirme metrikleri ile ilgili detaylı bilgi için kaynaklardaki Siberportal bağlantısı [i] incelenebilir.

Nitel (Qualitative) bir değerlendirme yapılırsa aşağıdaki faktörler göz önüne alınabilir

  • Müşteriler tarafından kuruluşa duyulan güven kaybı
  • Uzun süreli çalışmama sürelerinden sonra çalışanların diğer işlerde kaybı
  • Topluma karşı sosyal / etik sorumluluklar
  • İmaj kaybı

 

B.2.5) Kaynak Önceliklendirme (Resource Prioritization)

İş sürekliliği kaynaklarının daha önce tanımlanan risklere tahsis edildiği aşamadır. Yukarda analiz edilen tüm risklerin bir listesi çıkarılır ve ALE’ye göre sıralanarak öncelikli risk listesi hazırlanır.

Bu liste üzerinde hangi riske nasıl bir kaynak hacanacağı ile ilgili bir çalışma yapılır.

Bu çalışmada nitel (qualitative) ve nicel (quantitative) analiz kullanılır. BCP ekibi ve üst yönetim temsilcileri ile görüşülerek, nitel ve nicel analizler neticesinde risklerin önceliği azaltılabilir ya da artırılabilir.

 

B.3) Süreklilik Planlaması (Continuity Planning)

Risklerin korunan varlıklar üzerindeki etkisini en aza indirmek için bir süreklilik stratejisi geliştirilir ve uygulamaya konulur. Süreklilik planlaması ile ilgili yapılması gerekenler aşağıdadır.

  • Strategy development
  • Provisions and processes
  • Training and education

 

B.3.1) Strategy Development

Bu aşamada daha önce oluşturulan MTD tahminlerine göre hangi risklerin kabul edilebilir olduğu ve hangi risklerin azaltılması gerektiği belirlenmelidir.

 

Örnek olarak Mısır’daki bir operasyon tesisine çarpan bir kar fırtınası göz ardı edilebilir ve risk kabul edilebilir.

 

B.3.2) Provisions and Process

Bu aşamada, strateji geliştirme aşamasında kabul edilemez olarak tanımlanan riskleri azaltacak prosedürler ve mekanizmalar tasarlanır.

BCP süreci çerçevesinde 3 varlık kategorisi korunmak zorundadır.

  • People: Her şeyden önce ilk olarak, acil durum öncesinde, sırasında ve sonrasında kuruluştaki insanların güvenliğinden emin olmak gerekir.
  • Buildings and Facilities: Kuruluşun sürekli uygulamalarında kritik rol oynayan tesisler belirlenmelidir. Bu tesisler standart ofisler, veri merkezleri, depolar olabildiği gibi artık günümüzde için evlerimiz (home office) de bu kapsamdadır ve erişim güvenliği iş sürekliliği için önem arzetmektedir. Bu tesislerde 2 alan dikkate alınmalıdır.
    • Hardening Provisions: Belirlediğimiz tesisleri,strateji geliştirme aşamasında belirlediğimiz risklere karşı korumak için alınacak önlemler (sızdıran bir çatıyı onarmak,… gibi) belirlenmelidir.
    • Alternate Sites: Kuruluşu riske karşı önlem almanın mümkün olmadığı durumlarda, ticari faliyetlere hemen (en azından MTD süresinden daha önce) devam edilebilecek alternatif tesisler belirlenmelidir.
  • Infrastructure: Altyapı, strateji geliştirme aşamasında tanımlanan risklerden korunmalıdır.
    • Physically Hardening Systems: Yangın söndürme sistemleri ve kesintisiz güç kaynakları gibi önlemler alınabilir.
    • Alternate Sites: Yedek sistemler ve bileşenler kullanarak sistem korunabilir.

 

B.3.3) Training and Education

Plana katılacak tüm personel genel plan ve bireysel sorumluluklar ile ilgili doğrudan ve dolaylı olarak bir eğitim almalıdır.

Kuruluştaki tüm çalışanlar iş sürekliliği planından haberdar olmalıdır.

Doğrudan BCP sorumlulukları olan kişiler, yıkıcı bir olay sırasında görevlerini etkin bir şekilde tamamlayabilmeleri için özel BCP görevleri konusunda eğitilmelidir.

Ayrıca, bir acil durum sırasında personelin yaralanması veya işyerine ulaşamaması durumunda işlerin devamlılığını sağlamak için her BCP görevi için en az bir yedek kişi belirlenmeli ve eğitim alması sağlanmalıdır.

 

B.4) Onaylanma ve Uygulamaya Koyma (Approval and Implementation)

BCP’nin tasarım aşaması tamamlandıktan sonra, planlama ile ilgili üst yönetimden onay alınmaldır. Planın üst düzey yönetici tarafından imzalanması, tüm organizasyon için önemini gösterir ve üst yönetimin iş sürekliliğine olan bağlılığını ortaya koyar.

Üst yönetimden onay alındıktan sonra, belirtilen hedeflere ulaşmak için programa ayrılan kaynaklar kullanılarak plan uygulamaya konulur. BCP ekibi, gelişen iş ihtiyaçlarına cevap verilmesini sağlamak için bir BCP bakım planı oluşturulmalı ve denetimler yapmalıdır.

 

C) İş Sürekliliği Planı Dokümantasyonu

İş sürekliliğinin işletilmesi için bir takım dokümanların hazırlanması gerekir. Gerçekleştirilecek dokümantasyonun sağlayacağı başlıca yararlar aşağıdaki gibi sıralanabilir.

  • Acil bir durumda BCP üyelerine ulaşılamazsa bile planın uygulanabilmesi sağlanır.
  • Planı anlamak isteyen veya planda değişiklik yapmak isteyen yeni personel için bir kaynak sağlanır.
  • BCP üyelerinin düşüncelerini kağıda dökmesi zorlanarak, plandaki kusurların daha anlaşılır olması sağlanır.

 

Yazılı bir iş sürekliliği planı dokümantasyonunun içermesi gereken bileşenler aşağıdaki gibidir.

  • Continuity Planning Goals: Plan ilk olarak süreklilik planlamasının amaçlarını tanımlamalıdır. Bu hedeflere ilk BCP toplantısı veya öncesinde karar verilmelidir.
  • Statement of Importance: BCP’nin kuruluşun iş sürekliliği üzerindeki kritikliğini yansıtan belgedir. Kuruluşun çalışanlarına, BCP sürecine neden bu kadar kritik kaynaklar ayrıldığı ve tüm personelin işbirliğinin gerektiği anlatılır. Belgeyi üst düzey yöneticilerin imzalamış olması belgenin önemini artırır.
  • Statement of Priorities: BIA’da resmi olarak belirtilen öncelikler listesi belirtilir.
  • Statement of Organizational Responsibility: Kuruluşun iş sürekliliğine bağlılığını yeniden ifade eden ve üst düzey yönetici tarafından imzalanan belgedir. Statement of Importance ile entegre edilebilir.
  • Statement of Urgency and Timing: BCP ekibi tarafından belirlenen ve üst yönetim tarafından kabul edilen zaman çizelgesidir. BCP’nin önemini ifade eder. Bu ifade Statement of Priorities ve Statement of Organizational Responsibility ile birleştirilecekse, ayrı belgede olmalıdır.
  • Risk Assessment: BIA sırasında dikkate alınan tüm risklerin nitel ve nicel analizle değerlendirilmesidir.
  • Risk Acceptance/Mitigation: Strateji geliştirme bölümünde tanımlanan risklerle ilgili kısımdır.
    • Kabul edilebilir risklerle ilgili olarak; neden kabul edilebilir olarak değerlendirildiği ve ilerde hangi olaylar karşısında bu değerlendirmenin değişebileceği özetlenmelidir. Risk kabul kararlarının, risk sahibi yöneticiler tarafından resmi olarak belgelenmesi istenmelidir.
    • Kabul edilemez risklerle ilgili olarak; riskin azaltılması için yapılan faaliyetlere değinilmelidir.
  • Vital Records Program: BCP belgeleri, kurum için önem derecesi yüksek olan (kritik ticari kayıtların) kayıtların nerde saklanacağı ve bu kayıtların yedeğini oluşturma ve saklama prosedürlerini belirtmelidir.
  • Emergency-Response Guidelines: Bu belge çalışanların acil bir durumu tespit etmelerini ve sonra yapmaları gerekenleri gösterir. Bu yönergeler aşağıdakileri içerir:
    • Acil müdahale prosedürleri (güvenlik ve emniyet prosedürleri, yangın söndürme prosedürleri, uygun acil müdahale kurumlarının bildirilmesi, vb.)
    • Olaydan haberdar edilmesi gereken bireylerin listesi (yöneticiler, BCP ekip üyeleri, vb.)
    • BCP ekibinin toplanmasını beklerken ilk müdahalenin yapılması gereken ikincil müdahale prosedürleri
  • Maintenance: BCP belgeleri ve iş sürekliliği planının kendisi kurumun değişen gereksinimleri karşılamak için dinamik bir yapıda olmalıdır. Tecrübelerden (Lessons Learned) faydalanılarak gerekli iyileştirmeler yapılmalıdır.

BCP ekibi periyodik olarak toplantılar yaparak değişen organizasyonel ihtiyaçlara cevap verilip verilmediğini test etmelidir. BCP deki her değişikllikte sürüm kontrolü yapılmalı ve eski sürümler imha edilerek yeni sürümle değiştirilmelidir.

İş sürekliliği planı, çeşitli sebepler ile gözden geçirilebilir. Bu sebeplerden bir kısmı aşağıdaki gibi sıralanabilir:

  • Altyapı değişiklikleri
  • Ortam değişiklikleri
  • Organizasyonel değişiklikler
  • Donanım, yazılım ve uygulama değişiklikleri
  • Personel değişiklikleri

 

İş sürekliği planı dokümanları, Prod (Canlı) ortamda veya iş kritik IT ortamında bir değişiklik gerçekleştiğinde, her bir alıştırma / tatbikat (exercise) sonrasında, yapılandırma (configuration) ve değişiklik (change) yönetimi süreçleri sırasında ele alınarak güncellenir.

 

D) SSAE-16 Standardı ve SOC Raporları

Sistemlerin dış kaynaklarla ilişkili risklerini değerlendirmek için varsayılan olarak yılda (12 ayda) bir SOC (Service Organization Control) Raporları hazırlanabilir. Bu raporlarla ilgili standartlar The American Institute of Certified Public Accountants (AICPA) tarafından SSAE-16 (Standards for Attestation Engagements) adı ile oluşturulmuştur ve ISAE- 3402 standardı ile uyumluluk sağlanmış olur.

SSAE- 16 standardı çerçevesinde, destek hizmeti sunmakta olan şirketlerin kendi denetçileri tarafından, şirket içindeki denetimlere yönelik olarak düzenlenecek raporlar üçe ayrılmaktadır.

  • SOC 1: Finansal raporlama üzerindeki kontrolleri kapsar. Bu raporlara erişimler kısıtlı taraflara (destek hizmetten yararlanan şirketin yönetimi, destek hizmeti kullanan şirketler veya destek hizmeti kullanan şirketin denetçileri gibi) açıktır. SOC 1 raporları kendi içinde Tip 1 ve Tip 2 olarak ikiye ayrılır.
    • SOC 1 – Tip 1:  Destek hizmeti veren şirkette belirli bir tarihte yapılan denetimleri  ve bunlara ilişkin bulgulara ilişkin açıklamaları içerir.
    • SOC 1 – Tip 2: Tip-1 raporda yer verilen bilgilerin yanı sıra,  söz konusu denetimlerin ne derecede etkin olduğuna dair, en az 6 aylık bir periyot boyunca  sürdürülmüş   detaylı test  çalışmalarının sonuçlarını  içerir
  • SOC 2: Organizasyonların güvenlik, erişilebilirlik, bütünlük, gizlilik ve kişisel veri mahremiyeti kontrollerine ilişkin güvence sağlayan raporlamadır. 2014 yılında AICPA tarafından Güvence Hizmetleri Prensip ve Kriterleri (Trust Services Principles and Criterias, TSP) yenilenmiştir. Bu kapsamda denetçiler, hissedarlar, hizmetlerden yararlanan müşteriler ve düzenleyici otoriteler IT hizmetlerinde güvenlik ve gizliliğin sağlanması için önlem almaları gerekir. SOC 2 raporları da AT-101: Güvence Denetimi (Attestation Engagement) Standardına uygun olarak TSP kriterlerinin varlığı sorgulanır. Bu raporlara erişimler de kısıtlıdır. SOC 2 raporları kendi içinde Tip 1 ve Tip 2 olarak ikiye ayrılır.
  • SOC 3: SOC 2 raporu gibi AT-101: Güvence Denetimi (Attestation Engagement) Standardına uygun olarak TSP kriterleri sorgulanır. Farklı olarak hem daha yüzeyseldir, hem de kamuya (genele) açıktır. Bu rapor denetimin içeriği, denetim ortamı veya denetim etkinliğinin test edilmesi gibi konulara yönelik bilgi içermez.

 

 

Kaynaklar:

https://www.amazon.com/CISSP-All-One-Guide-Eighth-ebook/dp/B07J1JQSJY

[i] https://www.siberportal.org/blue-team/compliance-auditing/bilgi-guvenligi-bakis-acisi-ile-bt-risk-yonetimi#NicelRiskAnalizi
[ii] https://www.siberportal.org/white-team/governance/bilgi-guvenligi-bakis-acisi-ile-site-ve-tesis-planlama#tehdit-turleri
https://security-times.net/business-continuity-planning

Chapter 3: Business Continuity Planning


https://www.oreilly.com/library/view/cissp-isc2-certified/9781119042716/

RPO, RTO, WRT, MTD…WTH?!


https://www.linkedin.com/pulse/sas-70-ssae-16-isae-3402-denetimlere-ili%C5%9Fkin-okan-altunakar/?articleId=7798402763571567745

 

 

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

CEVAP VER

Yorumunuzu giriniz
İsminizi giriniz

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.