lHill .Hil{/iler BİLGİSAYAR GÜVENLİĞİ ·,,,, ,ot··11· 1[ 1E••1L1E· 11, rı ' • ! \ l İ ilW:lı : , l 1 l'!!2 ilgisayar güvenliğinin sağlanmasında üç temel f-:, prensipten bahsedilebilinir: Hiç-yalnız-bırakmama, sınırlı-memuriyet-süresi ve görevlerin-ayrılması prensipleri. Hiç-Yalnız-Bırakmama Prensibi Personel kaynakları elverdiği ölçüde ve yöneticinin tehdit değerlendirme çalışmalarına uygun olarak, elektronik bilgi işlem merkezi yöneticisi tarafından belirlenecek olan profesyonel ve güvenilir bir veya birkaç kişi güvenlik ile ilgili her olaya şahitlik etmeli ve uygun bir kütüğü imzalayarak bu olayları tasdik etmelidir. Aşağıdaki maddeler güvenlikle ilgili olaylarla ne kastedildiğini sunmaktadır: 1. Erişim kontrol ile ilgili her çeşit cihaz veya kimliklerin verilmesi ve alınımı. 2. Elektronik bilgi işlem aygıtlarının verilmesi ve iade edilmesi. 3. Sistemlerin tekrar çalışmaya başlatılması ve kapatılması. 4. Hassas bilgi işlemleri. 5. Donanım ve yazılımın bakım işlemleri. 6. Donanımın testi ve kabulü. 7. Donanımın modifikasyonu. 8. Mevcut sistemin yeniden yapılandırılması. 9. Veri tabanının tasarımı ve faaliyete geçirilmesi. 10. Uygulama programlarının tasarımı, faaliyete geçirilmesi ve modifikasyonları. 11. İşletim sistemlerinin tasarımı, faaliyete geçirilmesi ve modifikasyonları . 12. Güvenlik yazılımının tasarımı, faaliyete geçirilmesi ve modifikasyonları. 13. Dökümantasyondaki değişiklikler. 14. Acil durum ve beklenmedik hal planlarındaki değişiklikler. 15. Acil durum halinin belirlenmesi ve ilan edilmesi. 16. Önemli programların ve bilgilerin silinmesi veya yok edilmesi. YANGIN VE GÜVENLİK Şevki KOYUN / DAK GÜVENLİK-Proje Grup Mühendisi, E.E. 17. Hassas bilgilerin kopyalanması. 18. Elektronik bilgi işlemin işletim prosedürlerindeki değişiklikler. 19. Değerli malzemelerin verilmesi, teslim alınması ve gönderilmesi. Sınırlı-Memuriyet-Süresi Prensibi Hiç kimse güvenlik ile ilgili bir pozisyonda, kişinin bu pozisyonu çok özel veya daimi veya görevlerin daha önceden bilindiği bir pozisyon olduğuna inanmasına yetecek kadar uzun süre bırakılmamalıdır. İnsanların pozisyonlarının hangi sıklıkta değiştireleceği personel durumunun elverişliliği ve eleman suistimallerinin ne ölçüde bir tehdit olarak algılandığına bağlıdır. Memuriyet süresinin sınırlandırılması için, ekipler/ gruplar vardiyalarda rastgele bir rotasyona tabi tutulmalı, bireylere ekipler/gruplarda rastgele rotasyon yaptırılmalı, zorunlu tatil periyotları desteklenmeli ve çapraz eğitimler sağlanmalıdır ki sınırlı memuriyet süresi uygulaması tatbik edilebilir bir politika haline gelebilsin. Görevlerin-Ayrılması Prensibi Personel kaynakları elverdiği ölçüde ve yönetimin yapmış olduğu şirket elemanlarının suistimalleri tehdidini değerlendirme çalışmalarına uygun olarak, hiç kimse kendi sorumluluk alanı dışındaki güvenlik ile ilgili bir fonksiyona katılm amalı, maruz bırakılmamalı ve bilgi sahibi olmamalıdır. Güvenlik için, farklı bireyler ya da gruplar tarafından gerçekleştirilmesi gereken 10 adet Elektronik Bilgi İşlem fonksiyonu vardır. Bunlar: 1. Bilgisayar işlemleri ve bilgisayar programlanması. 2. Bilgi hazırlanması ve bilgi işlem. 3. Bilgi İşlem ve Elektronik Bilgi İşlem kalite kontrolü. 4. Bilgisayar İşlemleri ve Elektronik Bilgi İşlem cihazlarının korunması. 5. Hassas veya değerli materyalin alınımı veya gönderimi. 6. Hassas bilgilerin kopyalanması, verilmesi veya yok edilmesi ve bu işlemlerin yetkili tarafından tasdik edilmesi. 7. Uygulamaların ve sistemlerin programlanması. 8. Uygulamaların programlanması ve veri-tabanı işletimi. 9. Güvenlik yazılımının tasarımı, uygulamaya geçirilmesi ve modifikasyonu. 1 O. Erişim-kontrol malzemelerinin kontrolü ve diğer fonksiyonları. ■ MAYIS-HAZİRAN SAYI 31
RkJQdWJsaXNoZXIy MTcyMTY=