Uygulama senaryoları

Güvenlik ile ilgili denetim

Güvenlik ile ilgili denetim — sistem güvenliğinin seviyesi desteklenmesi ve değerlendirmesi için etkili araçlarından birisidir. Genellikle denetim amaçları riskler analizi, güvenliğin güncel seviyesinin değerlendirmesi, normatif taleplere uygunluk ve bilgi güvenliği ile ilgili diğer yönleri olmaktadır. Güvenlik denetiminin sonucu şirketin Bilgi Teknoloji altyapısındaki farklı dallarında zayıf noktalar hakkında kritik bir şekilde önemli bilgiler olabilmektedir. Denetimi gerçekleştirirken sadece bileşik yaklaşım önemli değil, aynı zamanda da bu denetimi yerine getirmek için mümküne kadar basit ve kapsamlı araçlar varlığı de çok önemlidir. Bu araçlar dış kuruluşların hizmetlerini azaltarak veya çıkararak bağımsız bir şekilde kontrolleri gerçekleştirmeye ve böylece zaman ve para masrafları indirmeye izin vermektedir.
RedCheck denetim ile ilgili çok çeşitli görevleri başlı başına çözmeyi ve objektif koruma tablosunu sunmayı imkânı vermektedir.

RedCheck güvenlik denetimi çerçevesinde aşağıdaki kontrolleri uygulanmaktadır:

RedCheck use-cases
Uygulanmaya yaklaşım RedCheck görevlerinin türleri
Güvenlik açıklarının varlığı için tarama Güvenlik açıklarının denetimi
Bilgi güvenliği standartlarına uygunluk analizi dâhil sistem konfigürasyonlarının analizi Konfigürasyonların denetimi. Veri Tabanı Yönetimi Sisteminin denetimi
Kaynaklar envanteri yapılması Envanter yapılması
Dosyaların ve konfigürasyonların bütünlük kavramı ile ilgili kontrol FIM
Bileşik yaklaşım Çeşitli görevler birleşimi ve raporların analizi

Koruma seviyesinin kontrolü

Güvenilirlik, arızalara direnç ve performans gibi bu göstergeler ile birlikte koruma bilgi sistemleri işlenmesi en önemli verimliliğinin göstergelerinden birisidir. Sistemler korunması ile ilgili kontrol aralıksız ve hatasız olması gerekmektedir. İnsanın fiziksel kapasitesi sistemlerin parametreleri ve onların güvenliği hakkında verilerin gigabaytlığını hafızada tutamaz. Bu nedenle RedCheck yönetimi ve Sizin kurumsal şebekeniz korunmasını sağlamak için vazgeçilmez bir yardımcı olabilmektedir.

Etkinlikler RedCheck’te uygulanma
Yazılım ve yetkisiz cihazlar tanımlanması Tarife göre envanter yapılmasında görevlerin yürütmesi
“Kontrol” fonksiyonu açılması
Uygulamalı Yazılım ve İşletme Sistemi güvenli konfigürasyonların kontrolü “Konfigürasyonların denetimi” ile ilgili görevlerin yürütmesi
“Kontrol” fonksiyonu açılması
Güvenlik açıkların aralıksız analizi ve onların giderilmesi “Güvenlik açıklarının denetimi” ile ilgili görevlerin yürütmesi
Path Manager fonksiyonu yardımıyla güvenlik açıklarının giderilmesi
Tekrarlanan denetim. Diferansiyel raporlar oluşturulması
Güvenlik ile ilgili güncellemeler tam zamanında yüklenmesi Tarife göre “güncelleme denetimi” ile ilgili görevlerin yürütmesi
Path Manager yardımıyla güncellemeler yüklenmesi
Diferansiyel raporlar oluşturulması
Ağ bağlantı noktaları kontrolü ve sınırlanması “Bağlantı noktalarının taraması” ile ilgili görevlerin yürütmesi. Raporlar oluşturulması
Arızalara tepki vermesi Kontrollerin (raporların) “tarihi” analizi

Konfigürasyonların kontrolü ve güvenlik standartlarına ve politikalarına uygunluk değerlendirmesi

Gizli bilgi ile çalışan çok kuruluşlar USGSB, GLBA, SOX, HIPAA, PCI DSS, NERC, EUDPD ve diğer gibi uluslararası, milli ve sektör standartlarına uygun olması gerekmektedir. Bu standartların taleplerine uygunluğu özellikle Bilgi Güvenliği sisteminin tüm yaşam süresinin perspektifinde basit olmayan bir görevdir. RedCheck Bilgi teknolojisinin altyapısı korumasının seviyesi durumun tüm tablosunu sunmakta ve sadece uygunluk değerlendirmesini uygulanmak değil, aynı zamanda da sistem parametreleri ayarlanması hakkında net önerileri vermeye izin vermektedir.
RedCheck temel donanımı PCI DSS, USGCB ve diğer uluslararası standartlarına uygunluk ile ilgili kontrol içermektedir. RedCheck tarafından teklif edilmiş güvenlik konfigürasyonları talepleri yorumlamaya, ve bilgi sistemlerine dâhil olan uygulamalı Yazılım ve işletim sistemlerinin seviyesinde onların uygunluğunun kontrolünü gerçekleştirmeye izin vermektedir.
SCAP açık protokolünün desteği tarayıcıya seçmeli uygunluk standartları yüklemeye ve aynı zamanda kendi standartları oluşturmaya izin vermektedir.

ÖRNEK

International, national and industry standards compliance

ISO / IEC 27000 standard

Bilgi Güvenliği yönetimi sisteminin değerlendirmesi (ISO/IEC 27001) ile ilgili etkili bir araçtır.

RedCheck yönetim amaçları uygulanmak ve ISO/IEC 27000 serili standartlar uygulanması durumunda kontrol için faydalı bir araçtır. Aşağıda gösterilmiş tabloda RedCheck yardımıyla uygulanan yönetim elemanlarının esas listesi sunmaktadır. Aslında RedCheck uygulamalarının listesi ISO/IEC 27000 uygunluğu kapsamında çok daha geniştir.

ID Yönetim amaçlarının veya kontrol unvanı RedCheck fonksiyonları Uygunluk nasıl sağlanır
A.6.2 Mobil cihazlar ve uzaktan çalışma “Envanter yapılması” Mobil cihazlar bağlanmadan “Envanter yapılması” ile ilgili görev oluşturulması.
Oluşturulmuş görevin kontrolünü gerçekleştirmek.
Elektronik posta yoluyla uyarılar yardımıyla mobil cihazlar bağlantısı için gerçek zamanında kontrol.
A.8.1.1 Aktif varlıkların envanteri yapılması “Envanter yapılması” “Envanter yapılması” görevi oluşturulması.
Görevlerin yürütmesinin ilerlemesi ile ilgili raporları oluşturmak.
A.9.1.2 Şebekelere ve şebeke servislerine giriş “Bağlantı noktalarının taraması” “Bağlantı noktalarının taraması” ile ilgili görevler oluşturulması.
Şebeke hizmetleri ile kayıt edilmemiş kullanımına bağlı tespit edilmiş sorunları gidermek.
A.9.4.3 Şifreler yönetiminin sistemi “Şifre seçimi” “Şifre seçimi” ile ilgili görevi oluşturmak.
Şifre değiştirilemez karmaşıklığı ile ilgili sorunları gidermek.
A.12.2 Zararlı koda karşı koruma Uygunluk denetimi “Zararlı Yazılıma karşı Koruma” konfigürasyonunu kullanarak “Uygunluk kontrolü” ile ilgili görevi oluşturmak.
Tespit edilmiş güvenlik sorunlarını gidermek.
A.12.5 İşletilen Yazılımın kontrolü “Sabitleme ve kontrol” Şablon çevriminde “Sabitleme” ile ilgili görevi oluşturmak.
Oluşturulmuş görevinin yönetimini uygulamak.
Elektronik posta yoluyla uyarılar yardımıyla gerçek zamanında bütünlük kavramı sağlanması.
A.12.6 Teknik güvenlik açıklarının yönetimi Güvenlik açıklarının denetimi “Güvenlik açıklarının denetimi” ile ilgili görevi oluşturmak
Görevlerin yürütmesinin ilerlemesi ile ilgili raporları oluşturmak.
Raporların verilerini analize etmek.
Güvenlik açıkları giderilmesi hakkında bilgi almak.
admintr/Use cases