Bütün dünyada bilgi güvenliğini sağlamak adına en çok kabul gören sistematik yaklaşım olan ISO 27001 Bilgi Güvenliği yönetim sistemi (BGYS) bakış açısıyla DLP Teknolojisini inceledik.
BGYS’de bilgi güvenliği risklerin olası etkileri EK-A kontrolleri ile en aza indirilmeye çalışılır. DLP’nin EK-A kontrollerin hangilerinin hayata geçmesine katkı sağladığını sizin için derledik.
| EK-A KONTROL MADDESİ | EK-A KONTROL MADDESİ AÇIKLAMASI | DLP İLE OLAN İLİŞKİ |
| A.8.1.3 Varlıkların kabul edilebilir kullanımı | Bilgi ve bilgi işleme tesisleri ile ilgili bilgi ve varlıkların kabul edilebilir kullanımına dair kurallar belirlenmeli, yazılı hale getirilmeli ve uygulanmalıdır. | Kabul edilebilir kullanım politikalarının dokümandan hayata geçirilmesinde çok büyük katkılar sağlayabilir. DLP dışı çözümler kullanıcı farkındalığıyla sınırlıyken DLP’de mantıksal kurallar tanımlanmasından dolayı belirlenen politikaların istenilen düzeyde hatasız ve kullanıcıdan bağımsız olarak işletilmesine olanak sağlar. |
| A.8.2.1 Bilgi sınıflandırması | Bilgi yasal gereksinimler, değeri, kritikliği ve yetkisiz ifşa veya değiştirilmeye karşı hassasiyetine göre sınıflandırılmalıdır. | Bilgi sınıflandırılması hem bilgi güvenliği risklerinin değerlendirilmesi hem regülasyonlara uyum açısından hayati bir öneme sahiptir. Mantıksal verilerin sınıflandırılması ve tasnif edilen verilere ilişkin paylaşım, erişim vb. veri işleme faaliyetlerinin izlenmesi ve yönetilmesi mümkündür. DLP dışı çözümlerin kullanıcıya bağımlılıkları çok yüksektir, DLP’de ise belirtilen sınırlamalar harfiyen ve kullanıcıdan bağımsız olarak işletilebilir. |
| A.8.2.2 Bilgi etiketlemesi | Bilgi etiketleme için uygun bir prosedür kümesi kuruluş tarafından benimsenen sınıflandırma düzenine göre geliştirilmeli ve uygulanmalıdır. | Bilgi sınıflandırılması yapıldıktan sonra gerekli bilgi sınıflarına etiket uygulanması bir zorunluktur, DLP ile bu etiketleme hem doğru hem de iş gücü gerektirmeden yapılabilir. |
| A.8.2.3 Varlıkların kullanımı | Prosedürler, sınıflandırma ile tutarlı kullanım, işleme, depolama ve iletişim bilgisi için güncellenmelidir. | Bilgi varlıklarının uygun kullanımı bilgi güvenliği acısından kritiktir. Mantıksal bilgi varlıklarının uygun kullanımı (özellikle doğru iletişimi) DLP vasıtasıyla kullanıcı hatası riski olmadan belirlendiği şekilde uygulamaya destek olur. |
| A.8.3.1 Taşınabilir ortam yönetimi | Taşınabilir ortam yönetimi için prosedürler, kuruluş tarafından benimsenen sınıflandırma düzenine göre uygulanmalıdır. | Taşınabilir ortamlara aktarılacak verilerin kuruluşun belirlediği politikalar dahilinde olması hem uyumluluk (ör. KVKK) hem de bilgi güvenliği için zorunluluktur. DLP ile bu aktarımlar hem yönetilebilmekte hem de izlenebilmektedir. |
| A.9.1.1 Erişim kontrol politikası | Bir erişim kontrol politikası, iş ve bilgi güvenliği şartları temelinde oluşturulmalı, yazılı hale getirilmeli ve gözden geçirilmelidir. |
DLP ile erişim yetkilendirmeye yeni bir boyut kazandırılıyor, erişimin daha isabetli ve ayrıntılı yapılması sağlanıyor. |
| A.9.2.2 Kullanıcı erişimine izin verme | Tüm kullanıcı türlerine tüm sistemler ve hizmetlere erişim haklarının atanması veya iptal edilmesi için resmi bir kullanıcı erişim izin prosesi uygulanmalıdır. |
“” |
| A.9.4.1 Bilgiye erişimin kısıtlanması | Bilgi ve uygulama sistem fonksiyonlarına erişim, erişim kontrol politikası doğrultusunda kısıtlanmalıdır. | “” |
| A.13.2.1 Bilgi transfer politikaları ve prosedürleri | Tüm iletişim olanağı türlerinin kullanımıyla bilgi transferini korumak için resmi transfer politikaları, prosedürleri ve kontrolleri mevcut olmalıdır. | DLP ile e-posta ile iletilen dosyalar, dosyaların içeriği hatta iletilen görselin uygunsuz olması durumunda e-posta gönderimi engellenerek olası istenmeyen sonuçların önüne geçilir. |
| A.13.2.3 Elektronik mesajlaşma | Elektronik mesajlaşmadaki bilgi uygun şekilde korunmalıdır. | E-postalar kurumların dışarıya açılan kapılarındandır, doğru kullanılmadığında hem regülasyonlar açısından hem de bilgi güvenliği açısından büyük sorunlara yol açabilir. DLP sayesinde e-posta ile iletilen dosyalar, dosyaların içeriği ve hatta iletilen görselin uygunsuz olması durumunda e-posta gönderimi engellenerek olası istenmeyen sonuçların önüne geçilir. |
| A.16.1.2 Bilgi güvenliği olaylarının raporlanması | Bilgi güvenliği olayları uygun yönetim kanalları aracılığı ile olabildiğince hızlı bir şekilde raporlanmalıdır. |
Bilgi güvenliği ihlal olaylarına zamanında cevap verilmesi hayati bir öneme sahiptir, olayın geç tespiti geri dönüşü olmayan zararlara sebep olabilir. DLP sayesinde pek çok olayın gerçekleşmesi mantıksal kısıtlar sayesinde engellenebilir ve tam zamanlı izleme yapıldığından dolayı gerçekleşen ihlaller çok hızlı şekilde olay müdahale ekiplerine iletilebilir. |
| A.16.1.4 Bilgi güvenliği olaylarında değerlendirme ve karar verme | Bilgi güvenliği olayları değerlendirilmeli ve bilgi güvenliği ihlal olayı olarak sınıflandırılıp sınıflandırılmayacağına karar verilmelidir. | “” |
| A.16.1.5 Bilgi güvenliği ihlal olaylarına yanıt verme | Bilgi güvenliği ihlal olaylarına, yazılı prosedürlere uygun olarak yanıt verilmelidir. | “” |
