ISO27001 ve Active Directory

Malum pek çok kurum iş süreçlerini iyileştirmek adına pek çok farklı sertifika programına dahil oluyor ve bu program – standartlar sayesinde de iş süreçlerini, iş yapış şeklini, alt yapısını ve personelini geliştirmektedir. Tabi ISO27001 başlı başına ayrı bir konu olmasına karşın benim uzmanlık alanım olan Active Directory ile aslında kesiştiği bazı süreçler ve kontrol noktaları yer almaktadır. Bu konuda hali hazırda ITSTACK bünyesinde müşterilerimize sağlık taraması kapsamında bu hizmeti verme ile beraber kişisel blog sayfamdan’ da bazı temel bilgileri paylaşmak istiyorum. Öncelikle ISO27001 kapsamındaki başlıkların 18 tanesi AD ile ilişkili olup bunların ne kadar uyumlu olduğunu tespit etmeniz gereklidir. Eğer şartları sağlamayan durumlar var ise bunun için çözüm önerileri araştırmanız veya bu konuda yukarıda da bahsettiğim gibi bir danışmanlık almanız gerekli.

Ancak bu konuda yeterli bir bütçeniz yok ise ve temel anlamda en çok konuşulan başlıkları merak ediyorsanız aşağıdaki şekilde çözüm önerileri ile bu başlıklar için çözüm sunmuş olursunuz;

30 gün ( 45 veya 90 olabilir, bu sizin doğum izni, yurt dışı izni, veya saha satış ekibinin düzenli merkeze gelme aralığı ile değiştirilebilir) hiç login olmamış kullanıcılar disable edilir.Daha sonra bu tip kullanıcılar için açılmış O ya taşınır.

AD’de password policy olup olmadığı belli aralıklarla kontrol edilir.

Kullanıcı hesaplarında password never expires yetkisi olup olmadığı kontrol edilir.

Kritik AD gruplarına üyelikler gözden geçirilir. Domain Admins, Exchange Admins vb. (Görevler Ayrılığı Matrisi, rol-yetki matrisi olmalı, kimin üye olacağı kimin olamayacağı belli olur)

Servis Hesapları ve generic isimli hesapların mutlaka zimmet sahibi tutulur, ayrılan personelin yerine yeni atamalar düzgün olarak yapılmalıdır.

Bunları düzenli işletebiliyor olmanız bile emin olun güvenlik anlamında directory tarafını ciddi manada iyileştirecektir.

Daha fazla bilgi veya danışmanlık hizmetleri için https://www.itstack.com.tr