17 Mart 2016 Perşembe

IT Denetimi

IT Denetimi


  1. Bilgi (Bilişim) Sistemi Nedir?
Bilgi Sistemi yada Bilişim Sistemi dendiğinde; birbirini tamamlayıcı unsurlardan oluşan, veriyi toplayan, işleyen, bilgiye dönüştüren, bu bilgiyi saklayan ve dağıtan, karar verme, koordinasyon ve kontrol süreçlerini destekleyen sistemler anlaşılmalıdır.
Bilgi Sistemi
  • Yönetim (Management)
  • Operasyon (Operation)
  • Teknoloji (Technology) bileşenlerinden oluşur.
Bilgi Teknolojileri (BT), bilgiyi yada veriyi toplayan, saklayan, işleyen ve dağıtan bilgisayar ve haberleşme donanım ve yazılımlarıdır.

  1. Bilgi Teknolojileri (BT ya da IT) veya Bilgi Sistemleri (BS ya da IS) Denetimi;
Bilgi Teknolojileri (BT ya da IT) veya Bilgi Sistemleri (BS ya da IS) Denetimi; BT (BS, IT veya IS) Denetimi, BT altyapısı üzerinde işleyen sistemlerin ve bu sistemlerdeki yönetim kontrollerinin denetlenmesidir.
BT Denetimleri sırasında elde edilen kanıtlarla; bilgi sistemlerinin kurumun amaç ve hedefleri doğrultusunda işleyip işlemediği, bilgi varlıklarının gizliliğini, bütünlüğünü ve erişilebilirliğini koruyup koruyamadığı belirlenmeye çalışılır.

  1. BT Yönetimi
BT yönetiminden:
BT kaynaklarıyla kuruma değer yaratması
BT kaynaklı riskleri yönetmesi
Kurumsal yönetişim ve yasal uyuma katkı sağlaması beklenmektedir. BT yönetişimi her organizasyonda kendine özgüdür.

  1. COBİT 5
Cobit 5 Prensipleri
  • Paydaş ihtiyaçlarının karşılanması
  • Tüm kurumun uçtan uca kapsanması
  • Tek bir entegre çerçeve
  • Bütüncül bir yaklaşım
  • Yönetişim ile yönetimin ayrılması

  1. Bilgi Güvenliği Denetimi
Bilgi Güvenliği Denetimi
Bilgi güvenliği (güvenlik) denetimlerinde,
kurumun bilgi güvenliği politikası (dan hareketle),
  • kullanıcı ve yetkilendirme yönetimi,
  • ağ güvenlik yapılandırmalarının uygunluğu,
  • denetim izlerinin oluşturulması ve takibi,
  • güvenlik olaylarının yönetimi gibi alanlar değerlendirilir.
Bu kapsamdaki çalışmalar; veri tabanı, işletim sistemi ve ağ altyapısı gibi teknik bileşenler üzerinde gerçekleştirildiği gibi, ayrıca bilgi güvenliği farkındalığı ve BT kullanıcı eğitimi gibi konuları da kapsar.

  1. Bilgi Güvenliği Unsurları Tanımlarını ezberle
CIA
  • . Gizlilik (Confidentiality)
  • . Bütünlük (Integrity)
  • . Erişebilirlik (Availability)
Tanımlarını Ezberle.
Bilgi Güvenliği Unsurları [Tanım]
Gizlilik (Confidentiality): Bilginin yetkisiz kişi, varlık ya da süreçlere kullandırılmaması ya da açıklanmaması.
Bütünlük (Integrity): Bilgi varlıklarının doğruluğu ve tamlığının yetkisiz müdahaleden (değiştirme, silme vb.) korunması.
Erişilebilirlik (Availability): Bilginin yetkili bir varlık tarafından talep edildiğinde erişilebilir ve kullanılabilir olması
CIA+
  • Kişisel Veri Gizliliği (Privacy)
  • Kimlik Saptama (Identification)
  • Kimlik Doğrulama (Authentication)
  • Yetkilendirme (Authorization)
  • Hesap Verebilirlik (Accountability)
  • Ret edememe (Non-repudiation)
  • Kimliksizlik (Anonymity)
İsimlerini Ezberle.

  1. BT Kontrolleri  
  1. BT Kurum Seviyesi ve Yönetişim Kontrolleri
    1. BT Yönetişim Kontrolleri
    2. BT Kurum Seviyesi Konroller
  2. Uygulama Kontrolleri
    1. Otomatik Kontroller
    2. BT Destekli Manuel Kontroller
  3. BT Genel Kontrolleri
    1. Süreç Seviyesi Kontroller
    2. Alt Yapı Seviyesi Kontroller

  1. Uygulama Kontrolleri  
Uygulama kontrolleri, kritik BT işlevselliğinin yerine getirilmesini sağlayan ve kurumun bilgi sistemleri tarafından otomatik olarak yerine getirilen kontrollerdir. Uygulama kontrolleri 5 grup olarak ele alınmaktadır:
  • Kaynak Veri Hazırlığı ve Yetkilendirme
  • Kaynak Verilerin Toplanması ve Girilmesi
  • Doğruluk, Tamlık ve Orijinallik Kontrolleri
  • Veri İşleme Bütünlüğü ve Doğrulaması Kontrolleri
  • Çıktı Kontrolü, Mutabakatı ve Hata Yönetimi Kontrolleri

  1. Süreç Seviyesi BT Genel Kontrolleri
  • Değişiklik Yönetimi
  • Güvenlik Hizmetleri Yönetimi
  • Yardım Masası, Olay ve Problem Yönetimi
  • BT Operasyon ve Yedekleme Yönetimi
  • Süreklilik Yönetimi
  • BT Altyapı ve Yazılım Edinim, Kurulum ve Bakımı
  • BT Hizmet Yönetimi
  • BT Risk Yönetimi

  1. Değişiklik Yönetimi Nedinini Bil.
Değişiklik yönetimi, kritik faaliyet ve süreçleri destekleyen BT uygulamaları ve altyapısı üzerindeki tüm değişikliklerin kontrollü bir biçimde gerçekleştirilmesidir.
Uygulama kodlarındaki değişiklikler,
Veri tabanları, işletim sistemleri, uygulamalara yönelik konfigürasyon değişiklikleri,
BT uygulamaları ve altyapısı ile ilgili acil durum değişiklikler,
Sistemlerdeki hataların giderilmesi (bug-fix) ve yama (patch) yönetimi.
Değişiklik yönetiminin etkin bir biçimde uygulanması ile değişikliğin getirilerinden azami ölçüde fayda sağlanması ve değişikliklerden kaynaklanan riskler asgari düzeye indirilmesi amaçlanmaktadır.
Sürecin BT Denetimi Açısından Önemi
Değişiklik yönetimi, uygulama kontrollerinin etkinliğini destekleyen en önemli BT genel kontrol gruplarından biridir.
Değişiklik yönetimi süreci, özellikle mali ve sistem denetimlerinde sıklıkla ele alınan konulardan biridir.
Kritik BT işlevselliğinin değişikliklerden kaynaklanabilecek hata ve suiistimallerden olumsuz etkilenmediğine ve değişikliklerin iş hedeflerine uygun şekilde gerçekleştirildiğine ilişkin makul güvence sağlanabilir.

Değişiklik Yönetimi Süreci






  1. Güvenlik Hizmetleri Yönetimi
Güvenlik Hizmetleri Yönetimi
Bilgi güvenliği, kuruma ait bilgilerin; iş sürekliliğini sağlamak, iş risklerinin etkilerini azaltmak ve BT yatırımlarından ve fırsatlarından azami faydayı sağlamak adına, yetkisiz şekilde;
  • erişilmesine,
  • açıklanmasına (ifşa edilmesine),
  • değiştirilmesine,
  • kopyalanmasına,
  • imha edilmesine karşı korunmasını amaçlar.
Bilgi güvenliğinin temel unsurları gizlilik, bütünlük ve erişilebilirliktir.

  1. Uygulama Kontrolü Kategorileri
Uygulama Kontrolü Kategorileri
Uygulama kontrolleri temelde beş grup olarak ele alınmaktadır:
  • Kaynak Veri Hazırlığı ve Yetkilendirme
  • Kaynak Verilerin Toplanması ve Girilmesi
  • Doğruluk, Tamlık ve Orijinallik Kontrolleri
  • Veri İşleme Bütünlüğü ve Doğrulaması Kontrolleri
  • Çıktı Kontrolü, Mutabakatı ve Hata Yönetimi Kontrolleri


  1. Ağ Adres Dönüştürme Neden NAT. Ne işe yarar. Neden ihtiyaç var böyle bir şeye. Genel IP Özel IP
Genel (Real - Public) IP Adresi Internet ve iç ağlardan ulaşılabilen IP'lerdir. Bu tür IP adresleri ISP’ler (Internet Service Provider) tarafından dağıtılır. Her ülkenin kullanabileceği belli adresler vardır. Ülke içerisinde bu adresler verimli bir şekilde dağıtılır. Özel (Private) IP Adresi Sadece iç ağda kullanılır. Class A: 10.0.0.0 -10.255.255.255 Class B: 172.16.0.0 -172.31.255.255 Class C: 192.168.0.0 -192.168.255.255
Ağ Adres Dönüştürme Neden NAT. Ne işe yarar. Neden ihtiyaç var böyle bir şeye. Genel IP Özel IP

Gönderen zaman:
Etiketler: , , , , , , , , , , ,

Hiç yorum yok:

Yorum Gönder

Kaydol: Kayıt Yorumları (Atom)