Bilgi Güvenliği Yönetim Sistemi

ISO 27001 Kontrolü A.5.17: Kimlik Doğrulama Bilgileri

ISO 27001, bilgi güvenliği yönetim sistemini güçlendirmeyi amaçlayan bir standarttır ve A.5.17 maddesi, organizasyonların kimlik doğrulama bilgilerini etkili ve güvenli bir şekilde yönetmesini sağlayan önemli bir kontrol maddesidir. Bu kontrol, kullanıcıların kimlik doğrulama bilgilerine (örneğin, parolalar) uygun erişimini sağlamak ve onları bu bilgilerin doğru bir şekilde kullanımı konusunda bilgilendirmek için gereklidir.

Temeller

ISO 27001 kontrolü A.5.17, şirketlerin kimlik doğrulama bilgilerini yönetmesini gerektirir. Bu, özellikle parolalar, dijital sertifikalar ve iki faktörlü kimlik doğrulama gibi güvenlik bilgilerini içerir.

Bu kontrolün temel amacı, kimlik doğrulama bilgilerini uygun şekilde tahsis etmek, kullanıcıların bu bilgileri nasıl kullanacaklarını öğretmek ve böylece güvenliği sağlamak, kimlik doğrulama bilgilerinin kaybolmasını, çalınmasını ya da kötüye kullanılmasını önlemektir.

A.5.17 kontrolünün uygulanmasında dikkat edilmesi gereken noktalar:

  • Uygun Kimlik Doğrulama Yöntemleri: Kimlik doğrulama bilgileri yalnızca uygun güvenlik yöntemleriyle korunmalıdır (örneğin, güçlü parolalar, biyometrik doğrulama).

  • Kullanıcı Bilinçlendirme: Kullanıcıların kimlik doğrulama bilgilerini nasıl güvenli bir şekilde kullanacakları konusunda eğitilmeleri önemlidir.

  • İzleme ve Kontrol: Kimlik doğrulama bilgileri ile ilgili işlemler izlenmeli ve kontrol edilmelidir.

Belgeleme

ISO 27001 A.5.17’nin etkin bir şekilde yönetilmesi için belirli belgelerin oluşturulması faydalıdır.

Küçük Şirketler İçin:

Küçük şirketler, Erişim Kontrol Politikası yazarak kimlik doğrulama bilgilerini yönetebilir. Bu politika, kimlik doğrulama bilgileriyle ilgili temel ilkeleri içerir ve hangi yöntemlerin kullanılacağına dair rehberlik sağlar.

Orta ve Büyük Ölçekli Şirketler İçin:

Orta ve büyük ölçekli şirketler için ise Parola Politikası yazılması önerilir. Bu belge, parolaların oluşturulma, yönetilme, güncellenme ve saklanma süreçlerini detaylandırır. Ayrıca, kullanıcıların parolalarını güvenli bir şekilde kullanma yükümlülüklerini de içerir.

Bu Makaleyede Göz Atmalısın!  Gereksinimlerin Belirlenmesine İlişkin Prosedür

Her iki belge de zorunlu değildir ancak denetimler sırasında kolaylık sağlamak ve uygulama süreçlerini tutarlı hale getirmek açısından tavsiye edilir.

Uygulama

ISO 27001 A.5.17’ye uyum sağlamak için üç ana alanı kapsayan uygulamalar gereklidir: teknoloji, organizasyonel süreçler ve insan faktörü.

Teknoloji

Kimlik doğrulama bilgilerini yönetmek için teknoloji kullanımı, güvenliğin sağlanmasında kritik bir rol oynar. Teknolojik çözümler şunları içerebilir:

  • Şifre Kasaları: Şifrelerin güvenli bir şekilde saklanmasını sağlar.

  • Dijital Sertifikalar: Kimlik doğrulama için daha güvenli ve şifrelerden bağımsız bir çözüm sunar.

  • Erişim Yönetim Sistemleri: Kullanıcıların erişim haklarını yönetmeye yardımcı olur.

  • Donanım Tabanlı Doğrulama (Tokenlar): Kullanıcıların kimliklerini fiziksel cihazlar (örneğin, USB güvenlik anahtarları) ile doğrulamaları sağlanabilir.

Bu teknolojiler, yerel sistemlerde kimlik doğrulama bilgilerini yönetmeye olanak tanırken, büyük organizasyonlar genellikle merkezi sistemleri kullanarak ağ üzerinden uzaktan kimlik doğrulama yapabilirler.

Organizasyon/İşlemler

Kimlik doğrulama bilgilerini yönetmek için bir organizasyonel süreç oluşturulmalıdır. Bu süreçlerin bazı ana hatları şunlardır:

  • Kimlik Doğrulama Yöntemleri: Kullanıcılar için kabul edilen kimlik doğrulama yöntemleri (örneğin, şifreler, iki faktörlü kimlik doğrulama, biyometrik doğrulama) belirlenmelidir.

  • Kimlik Doğrulama Bilgilerinin İletilmesi: Kimlik doğrulama bilgileri (parola veya diğer kimlik doğrulama bilgileri) güvenli bir şekilde kullanıcılara iletilmelidir.

  • Kimlik Doğrulama Politikası: Kullanıcıların kimlik doğrulama bilgilerini nasıl kullanacaklarına dair bir politika oluşturulmalıdır. Bu, kullanıcıların güçlü parolalar seçmeleri, parolaları periyodik olarak değiştirmeleri gibi yönergeler içermelidir.

İnsanlar

Çalışanları, kimlik doğrulama bilgilerini kullanma konusunda eğitmek önemlidir. Bu eğitimler şunları kapsamalıdır:

  • Kimlik Doğrulama Bilgilerinin Güvenliği: Çalışanlar, parolalarını nasıl güvenli bir şekilde saklayacakları ve paylaşmayacakları konusunda bilinçlendirilmeli.

  • Tehlikeler ve Riskler: Kimlik doğrulama bilgilerini çalınmaya, kaybolmaya veya kötüye kullanılmaya karşı risklerini anlamaları sağlanmalıdır.

  • Eğitim ve Farkındalık: Çalışanlar, güvenli kimlik doğrulama bilgilerini kullanma konusunda düzenli olarak eğitilmelidir.

Bu Makaleyede Göz Atmalısın!  ISO 27001:2022 Kontrolü A.5.7 – Tehdit İstihbaratı

Denetim Kanıtı

ISO 27001 sertifikasyonu sırasında denetçiler, A.5.17 Kimlik Doğrulama Bilgileri kontrolüne uyum sağlandığını kanıtlamak için aşağıdaki belgeleri arayabilir:

  • Parola Politikası veya Erişim Kontrol Politikası: Kimlik doğrulama bilgilerini nasıl yöneteceğine dair yazılı belgeler.

  • Kimlik Doğrulama Bilgileri Kullanım Kayıtları: Kimlik doğrulama bilgilerini kimlerin kullandığı ve bunların nasıl güvenli bir şekilde yönetildiği hakkında kayıtlar.

  • Kimlik Doğrulama Yöntemlerine Uygunluk: Kullanıcıların kabul edilen kimlik doğrulama yöntemlerine (örneğin, güçlü parolalar, iki faktörlü doğrulama) uygun olup olmadığını gösteren kanıtlar.

  • Kimlik Doğrulama Bilgilerinin İletilmesi ve Güvenliği: Kimlik doğrulama bilgilerini iletme sürecinin güvenli olduğuna dair kanıtlar.

ISO 27001 A.5.17 Kimlik Doğrulama Bilgileri, organizasyonların kullanıcı kimlik doğrulama bilgilerini güvenli bir şekilde yönetmesini sağlayarak veri güvenliğini artırır. Kimlik doğrulama bilgileri, yalnızca güvenli bir şekilde iletilmeli, saklanmalı ve kullanılmalıdır. Teknolojik çözümler, sağlam organizasyonel süreçler ve eğitimli çalışanlar ile bu kontrol etkili bir şekilde uygulanabilir.

ISO 27001 BGYS Nedir? 

İlgili Makaleler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu