← Bilgi Bankasına dön← Önceki soruSonraki soru →
Sistem AnaliziSistem Analisti

Bir sistem analisti, karmaşık bir BT projesinde bilgi güvenliği gereksinimlerini nasıl analiz eder ve belgelendirir, böylece hem uygulanabilir hale getirir hem de düzenlemelere uyar?

Hintsage yapay zeka asistanı ile mülakatları geçin

Cevap.

Soru tarihçesi:

Bilgi güvenliği gereksinimleri, büyük BT projelerinin en önemli bileşenlerinden biridir, ilk güvenlik denetim standartları ortaya çıkmaya başladığından beri (örneğin, ISO 27001 veya Rusya'daki 152-FZ gereklilikleri gibi). Gereksinimlerin net bir şekilde analizi ve resmi hale getirilmesi olmadan, sistemin güvenliği yalnızca beyanı olabilir ve pratikte uygulanamaz.

Sorun:

Güvenlik gereksinimleri çoğunlukla soyut bir şekilde ifade edilir ("her şey korunmalı"), gerçek iş süreçlerini ve mimarileri dikkate almaz, düzeyler açısından ayrılmamıştır: organizasyonel, teknolojik, kullanıcı. Ayrıca, müşteriler ve geliştiriciler aynı gereksinimleri farklı şekilde yorumlayabilirler - bu da uygulanabilirlik ve uyumluluk arasında bir tutarsızlık yaratır.

Çözüm:

Sistem analisti, kurumsal, devlet ve sektörel standartları (örneğin: GOST, GDPR, PCI DSS, ISO 27001) incelemeye başlayarak, mimar ile birlikte iş-kritik süreçleri, veri depolama ve iletim noktaları, olası tehditleri belirler, ilgili risklerin bir listesini oluşturur. Bunların temelinde analist, erişim, depolama, günlüğe alma, şifreleme ile ilgili ayrıntılı bir gereksinim matrisi hazırlar ve olay senaryoları geliştirir. Onaylandıktan sonra bunları belgelerde resmi hale getirir - böylece her gereksinim test veya denetim sürecinde kontrol edilebilir hale gelir.

Ana özellikler:

  • Güvenlik gereksinimleri, mimari, iş süreçleri ve RegTech normlarına göre resmileştirilir.
  • Organizasyonel, teknolojik ve kullanıcı güvenlik politikalarını ayırt etmek önemlidir.
  • Güvenlik uzmanları, mimar, avukat ve QA mühendisleri ile yakın iş birliği zorunludur.

Kandırmaca soruları.

Sadece teknik araçlara (antivirüs, güvenlik duvarları, SIEM) bilgi güvenliği sağlama konusunda neden güvenemezsiniz?

Çünkü bilgi güvenliği bir süreçtir, sadece bir sistemler seti değildir. Organizasyonel prosedürler, insan faktörü, düzenli kontroller ve kullanıcıların eğitimi en önemli rolü oynar.

Sistem sadece dahili testlerden geçtiyse, gereksinimler yerine getirildi sayılabilir mi?

Hayır - genellikle düzenlemelere uyum için dış denetim, sertifikasyon ve bazen denetleyici kontrolünde stres testleri gereklidir.

Teklifte "sistem 152-FZ'ye uygun olmalıdır" diye belirtmek yeterli midir?

Yetersizdir - özellikle uygulanacak önlemleri (erişim kontrolü, olay günlüğü saklama, veri şifreleme), uygulama yerlerini ve doğrulama kriterlerini belirtmek gerekir.

Tipik hatalar ve anti-patternler

  • Belirsiz veya beyan edilen gereksinimlerin formülasyonu ("güvenli olmalıdır")
  • Güvenlik sürecinin mimari ve iş analizi sürecinden ayrılması ("paralel çalışıyorlar", etkileşimde bulunmuyorlar)
  • Teknik araçların rolünün insan ve süreç faktörlerini dikkate almadan abartılması
  • Bilgi güvenliği gereksinimlerinin güncelliğinin düzenli kontrollerinin olmaması

Hayattan bir örnek

Olumsuz durum: İnternet bankacılığı projesinde analist, tekliflere yalnızca "152-FZ gereklilikleri yerine getirilecektir" şeklinde bir genel ifade ile iletti. Yükleniciler standart bir kimlik doğrulama ve SSL sertifikası sağladı, ancak dış denetim aşamasında veri saklama kontrolünün eksik olduğu ve kimlik doğrulama kaydının korunmadığı ortaya çıktı.

Artılar:

  • Hızlı geliştirme

Eksiler:

  • Düzenleyicinin tatminsizliği
  • Başlatmanın engellenme riski

Olumlu durum:

Projenin başlangıcında sistem analisti, güvenlik uzmanları ve müşteri ile tehditlerin bir listesini onayladı, her senaryo için şifreleme ve denetim konularında ayrıntılı gereksinimler geliştirdi ve sorumluları belirledi. Sonuç olarak sistem, denetimden geçiş yaptı.

Artılar:

  • Düzenlemelere uyum
  • İtibar koruma

Eksiler:

  • Daha uzun tasarım aşaması