bĠlgĠ gÜvenlĠĞĠ ve yÖnetĠmĠ• iso 17799:2005 yayınlandı • 2005’de iso 27001:2005,...
TRANSCRIPT
1/76
BĠLGĠ GÜVENLĠĞĠ
ve YÖNETĠMĠ
Türkiye Bilişim Derneği
Ankara Şubesi Eğitim Etkinliği
26 Mayıs 2009 Salı, 09:30-12:30
Eğitimci : Neşe SAYARI
ODTÜ Mezunları Derneği Vişnelik Tesisi
2/76
GÜNDEM
• Bilgi Güvenliği Nedir? Neden Önemlidir?
• Bilgi Güvenliği Yönetim Sistemi (BGYS) Nedir?
• Bilgi Güvenliği Nasıl Sağlanır?
• Bilgi Güvenliği Gereksinimlerinin Belirlenmesi
• BGYS Süreçleri
• Risk Yönetimi
• Koruyucu Önlemler
• BGYS Standartları
• ISO 27001 Standardının Tanıtımı
• BGYS Başarı Faktörleri
• BGYS Dokümantasyon Gereksinimi
• Bilgi Güvenliği Denetim Süreci
• Genel Değerlendirme ve Kapanış
3/76
BĠLGĠ GÜVENLĠĞĠ
NEDĠR?
NEDEN ÖNEMLĠDĠR?
4/76
KURUMSAL BĠLGĠ:
Bilgi bir kurumun iş yapabilmesi için sahip olduğu önemli varlıkların en başında gelir. Kurum sahip olduğu bilgiyi derler, üretir, işler, saklar, satar, diğer kişi ve kurumlarla paylaşır. Bilgi;
• Basılı halde kağıtlarda
• Elektronik dosyalarda
• Veritabanlarında
• Telefon konuşmalarında
• Faks mesajlarında
• Masalarda, dolaplarda,
• Ġletim hatlarında, • en önemlisi de kurum çalıĢanlarının akıllarında bulunur.
Bilgi hangi ortamda olursa olsun gerektiği Ģekilde korunmalıdır.
5/76
BĠLGĠ GÜVENLĠĞĠ NEDĠR?
• Bilgi güvenliği bilginin tehditlere karşı uygun şekilde korunması demektir.
• Bilginin korunması; • gizliliğinin gözetilmesi,
• bütünlüğünün garanti altında tutulması ve
• lazım olduğunda erişilebilir durumda olması
anlamına gelir.
Gizlilik
Bütünlük Erişilebilirlik
6/76
BĠLGĠNĠN GĠZLĠLĠĞĠ
Bilgi gizliliğinin gözetilmesi
• Bilginin sadece yetkili kişiler
tarafından erişilebilir durumda
olması,
• Yetkisiz kişilerin erişiminin
engellenmesidir.
GİZLİLİK
Bütünlük Erişilebilirlik
7/76
BĠLGĠNĠN BÜTÜNLÜĞÜ
Bilginin bütünlüğü;
• Ġçeriğinin doğru,
• Güncel ve geçerli olduğu,
• Yetkisiz kişiler tarafından
değiştirilmediği anlamına gelir.
Gizlilik
BÜTÜNLÜK Erişilebilirlik
8/76
BĠLGĠNĠN ERĠġĠLEBĠLĠRLĠĞĠ
Bilginin erişilebilirliği;
• Bilginin olması gereken yerde ve
gerektiğinde kullanıma hazır
olduğunun güvence altında
tutulmasıdır. Gizlilik
Bütünlük ERİŞİLEBİLİRLİK
9/76
BĠLGĠ GÜVENLĠĞĠ NEDEN ÖNEMLĠDĠR?
Bilgi uygun şekilde korunmazsa;
• Gizli bilgiler açığa çıkabilir
• Bilginin içeriğinde yetkisiz kişiler tarafından
değişiklik yapılabilir
• Bilgiye erişim mümkün olmayabilir.
Kullanıcı hataları veya kötü niyetli girişimler bu
sonuçları doğurabilir. Bu olayların izlenebilirliği de
önemli bir konudur.
10/76
BĠLGĠ GÜVENLĠĞĠ NEDEN ÖNEMLĠDĠR?
Bilgi uygun şekilde korunmazsa;
• Kuruma ait gizli ve hassas bilgiler
• Kurum işlerliğini sağlayan bilgi ve süreçler
• Kurumun ismi, güvenilirliği, itibarı
• Üçüncü şahıslar tarafından emanet edilen bilgiler
• Ticari, teknolojik, adli bilgiler
• Ġş sürekliliği
zarar görebilir.
11/76
BĠLGĠ GÜVENLĠĞĠ NEDEN ÖNEMLĠDĠR?
Bilgi uygun şekilde korunmazsa;
• Ülke çıkarının zarar görmesi,
• İş sürekliliğinin aksaması
• Kaynak tüketimi
• Müşteri mağduriyeti, memnuniyetsizliği
• Üçüncü şahıslara yapılan saldırılardan sorumlu tutulma
• Ulusal / kurumsal itibar kaybı
• Yasal yaptırımlar ve tazminatlar
gibi olumsuz sonuçlarla karşılaşılabilir.
12/76
NE TÜR TEHDĠTLER VAR?
• Servis dışı bırakma saldırıları
• Kimlik bilgilerinizin ele geçirilerek kötü
amaçla kullanılması
• Virus, kurtcuk, trojan saldırıları
• Bilgisayarınızın başkası tarafından ele
geçirilerek suç işlenmesi
• Bilgisayarınızın kurum ağına giriş
kapısı olarak kullanılması
• Web sayfası içeriğini değiştirme
• Ġzinsiz kaynak kullanımı
• Kuruma ait bilgisayardan dışarıya
yapılabilecek saldırılar
13/76
KURUMSAL BĠLGĠ GÜVENLĠĞĠ NASIL
SAĞLANIR?
• Kurum çapında bilgi güvenliği farkındalığının
yaratılması
• Uygun kullanım, politikalar, prosedürler...
• Kurum organizasyonu; kişiler, roller, uygun
atamalar ve iş dağılımı,
• Güvenlik yazılım ve donanımları
Bilgi güvenliği, kurum gereksinimleriyle
örtüşecek şekilde ve sistematik bir
yaklaşımla ele alınmalıdır.
14/76
BĠLGĠ GÜVENLĠĞĠNDE KURUMSAL
SORUMLULUK NEDĠR?
• Bilgi güvenliği yönetiminin de diğer yönetsel
süreçlerden biri olarak kurgulanması,
• Gerekli atamaların yapılması ve kaynak
tahsisinin sağlanması,
• Kurum çapında farkındalık ve bilinç
yaratılması,
• Güvenlik ihlallerinin değerlendirilmesi,
• Yaptırımların uygulanmasıdır.
15/76
BĠLGĠ GÜVENLĠĞĠ
GEREKSĠNĠMLERĠ NASIL
BELĠRLENĠR?
16/76
BĠLGĠ GÜVENLĠĞĠ GEREKSĠNĠMLERĠ
• Kurumsal güvenlik gereksinimleri belirlenirken
bazı temel kaynaklara başvurulur:
• Risk Analizi Sonuçları
• Yasal yükümlülükler, yurt içi ve yurt dışı ticari
iş bağlantıları nedeniyle yapılan sözleşmeler,
devlet kurumlarıyla karşılıklı anlaşmalar vs.
• Kurumun işlevlerini destekleyen bilişim
sistemleri ile ilgili prensipler ve gereksinimler.
• Kurumun daha önce yaşadığı güvenlik olayları
17/76
BĠLGĠ GÜVENLĠĞĠ GEREKSĠNĠMLERĠ:
-Risk Analizi-
• Bilgi varlıklarına yönelik tehditler belirlenir
• Bilgi varlıklarının zayıflıkları (korunmasızlık) gözden
geçirilir, tehditlerin bu zayıflıklardan yararlanarak zarar
verme olasılığı değerlendirilir
• Tehditlerin varlıklara olası etkisi değerlendirilir.
• Bu veriler risk hesaplamak için kullanılır ve riskler
listelenir.
Bu çalışma kurumun risk ortamını yansıttığı
için kuruma özgü sonuçlar verir
18/76
BĠLGĠ GÜVENLĠĞĠ GEREKSĠNĠMLERĠ :
-Yasa ve SözleĢmelerle Ġlgili Yükümlülükler-
• Kurumun devlete, diğer kuruluşlara,
müşterilerine karşı taahhütleri nelerdir?
• Yasalar ve sözleşmeler neler gerektirmektedir?
• Bilgi güvenliği kontrolleri belirlenirken bu
gereksinimler göz önüne alınmalıdır.
(Uluslararası sözleşmeler, ortaklık anlaşmaları, sigorta kanunu,
elektronik imza kullanma gerekliliği, 5651 sayılı yasa, kişisel verilerin
gizliliği, hasta bilgilerinin gizliliği, şifreli saklama ve iletim gerekliliği
vb ...)
19/76
BĠLGĠ GÜVENLĠĞĠ GEREKSĠNĠMLERĠ :
-BT ile ilgili prensipler ve gereksinimler-
• Bilgi işlem faaliyetleri ve BT altyapısının kurumsal iş hedeflerini karşılamaya uygun olması
• Uygunluk sağlanması gereken BT standartları ve prensipleri
• BT donanım ve yazılımının yaratacağı yeni güvenlik açıkları
(COBIT, PCI, ITIL vb standartlar, veritabanı şifreleme, kimlik yönetimi, log yönetimi gibi..)
20/76
GÜVENLĠK GEREKSĠNĠMLERĠ:
-Daha önce yaĢanan güvenlik sorunları-
• Kurumda daha önce yaşanan güvenlik olayları,
gözlenen güvenlik açıkları,
• Bu olaylardan öğrenerek, tekrarını engellemek
için önlemler.
21/76
KURUM GEREKSĠNĠMLERĠNĠN
ĠNCELENMESĠ
Ġş gereksinimleri Gizlilik
Kurum yapısı Bütünlük
Güvenlik riskleri EriĢilebilirlik
Bütçe
Diğer koşullar
Bilgi güvenliği sistemi, bu denge gözetilerek kurulur.
22/76
BGYS SÜREÇLERĠ
NELERDĠR?
23/76
BĠLGĠ GÜVENLĠĞĠ YÖNETĠMĠ NEDĠR?
• Kurumsal iş süreçlerindeki bilgi güvenliği
risklerinin tespit edilmesi ve uygun önlemlerle
indirgenmesi çalışmasıdır.
• Bilgi güvenliği yönetimi sistematik ve döngüsel
bir yaklaşımla gerçekleştirilir.
24/76
BĠLGĠ GÜVENLĠĞĠ YÖNETĠM SĠSTEMĠ
(BGYS) SÜREÇLERĠ•PLAN (Planla)
•BGYS nin planlanması ve kurulmasıdır.
•DO (Uygula)
•Seçilen kontrollerin uygulanması ve BGYS
nin politika ve prosedürlere uygun olarak
işletilmesidir.
•CHECK (Kontrol et)
•Uygulamanın politikaya uygunluğunun
denetlenmesidir.
•ACT (ĠyileĢtir)
•BGYS işletiminin sürekli iyileşmesi için
düzeltici ve önleyici faaliyetlerin
gerçekleştirilmesidir.
PLAN
ACT
CHECK
DO
25/76
BGYS
• Diğer yönetim sistemleriyle etkileşimli olarak ele alınması gereken bir
yönetim sistemidir.
• Kurumsal bilgi güvenliği süreçlerinin planlanması, uygulanması,
denetlenmesi ve iyileştirilmesi ile ilgili yöntemler içerir.
• Dokümante edilmiş, işlerliği ve sürekliliği garanti altına alınmış olmalıdır.
• Bilgi Güvenliği teknik değil, yönetsel bir konudur. Bu nedenle BGYS bir IT
(Bilgi Teknolojileri) sistemi değildir. Bir Yönetim Sistemidir.
• Kurumsal bir Bilgi Güvenliği Yönetimi Sistemi’nin uluslararası standartlara
uygun oluşturulması tavsiye edilir.
• Standartlara uygun oluşturulan sistemler belge almaya adaydır.
26/76
BGYS VE TEMEL BĠLEġENLERĠ
Risk ve Zafiyet
Değerlendirmesi
Teknoloji
Strateji ve Kullanım
Politika
Güvenlik Mimarisi ve
Teknik Standartlar
Yönetsel ve Son Kullanıcı ile Ġlgili
Standartlar ve Prosedürler
ĠyileĢtirme
ProsesleriUygulama
Prosesleri
Ġzleme
Prosesleri
ĠĢ Süreçleri
Gü
ven
lik
Viz
yo
nu
ve
Str
ate
jisi
Bilgi Güvenliği Yönetim Sistemi
Eğ
itim v
e Fa
rkın
da
lık P
rog
ram
ıÜst Yönetim Desteği
27/76
RĠSK YÖNETĠMĠ
28/76
RĠSK YÖNETĠMĠ NEDEN ÖNEMLĠDĠR?
• “%100 güvenlik” mümkün değildir!
• “Sıfır risk” ortamı yoktur ve her zaman yönetilmesi gereken riskler vardır.
• Risk analiziyle ortama özgü riskler anlaşılır.
• Gerekli önlemler (kontroller) bu analiz ışığında belirlenir.
• Kontroller uygulanarak riskler kabul edilir seviyeye indirilir.
• ISO 27001 risk yönetimi tabanlı bir yaklaşımı benimsemiştir..
29/76
RĠSK YÖNETĠMĠ NEDEN ÖNEMLĠDĠR
• Önemli bir karar verme aracıdır.
• Üst yönetime mevcut güvenlik seviyesi ve hedefe yakınlığı
ile ilgili bilgi sağlar, bilgi güvenliği kararlarının verilmesine
ışık tutar.
• Kontrolün maliyeti ve faydası arasındaki dengenin
kurulabilmesi için yol gösterir.
30/76
RĠSK ANALĠZĠ TERMĠNOLOJĠSĠ:
• Varlık : Kurum için değer taşıyan ve korunması gereken herşey varlık olarak tanımlanır. Varlıklar süreç akışları incelenerek belirlenir.
• Çeşitli ortamlardaki bilgiler• İnsanlar• Kayıtlar• Donanımlar• Yazılımlar• Tesisler• İmaj• Süreçler• İşlemler
31/76
RĠSK ANALĠZĠ TERMĠNOLOJĠSĠ:
• Varlık Sahibi:
• İş SahibiVarlığın değerini ve risklerini en iyi bilen ve risk analizi sürecinde bu kararları veren, korunma gereksinimini belirleyen birim veya kişidir.
• Teknik SahibiVarlığı belirlenen gereksinimine uygun olarak korunmasından sorumlu olan birim veya kişidir.
32/76
RĠSK ANALĠZĠ TERMĠNOLOJĠSĠ:
• Tehdit : Bir varlığa zarar verme olasılığı olan olaylar tehdit olarak tanımlanır.
• Sabotaj
• Hırsızlık
• Yangın
• Deprem
• Su baskını
• Donanım arızaları
• Ġnsan hataları
• Kötü niyetli girişimler vb.
33/76
RĠSK ANALĠZĠ TERMĠNOLOJĠSĠ:
• Zafiyet: Bir varlığın bir tehditten zarar görmesine yol açacak zayıflıklar, varlığın korunmasız olma halidir.
• Eğitimsiz insanlar
• Zayıf şifreler
• Hatalı kurulan cihazlar
• Kilitsiz kapılar
• Yetkisiz erişilebilen sistemler, odalar vb.
34/76
RĠSK ANALĠZĠ TERMĠNOLOJĠSĠ:
• Kontrol: Zafiyeti veya tehditlerin etkisini azaltma yeteneği olan, sistemler ve süreçlerdir.
• Kartlı giriş sistemleri
• Antivirüs sistemleri
• Alarm sistemleri
• Güçlü şifreler
• İzleme sistemleri
• Politika ve prosedürler
35/76
VARLIK – TEHDĠT – ZAFĠYET – KONTROL
• Risk analizi bu kavramlar arasındaki ilişkiyi inceleyerek,
mevcut risk durumunu ortaya çıkarır.
• Risk analizi sonuçları sadece yapıldığı anı gösteren bir
fotoğraf gibidir. Varlıklar, tehditler, zafiyetler ve kontroller
sürekli değişkenlik gösterir.
36/76
BĠLGĠ GÜVENLĠĞĠNĠ SAĞLAMAK ĠÇĠN...
Risklerin farkında olmamız ve
• Varlıklar
• Tehditler
• Zafiyetler
• Kontroller
arasındaki ilişkiyi bilmemiz gerekir.
•RĠSKLERĠN FARKINDA OLMAK BĠLGĠ GÜVENLĠĞĠNĠ
SAĞLAMANIN ĠLK ADIMIDIR!
37/76
RĠSK YÖNETĠMĠ TERMĠNOLOJĠSĠ:
• Risk Yönetimi : Bir kurumu riskleri açısından kontrol etmek ve yönlendirmek için yapılan koordinasyon altındaki çalışmalardır.
Risk yönetimi, risk analizi, risk işleme, risk kabulü ve riskin duyurulması faaliyetlerinin tümünü kapsar.
• Risk ĠĢleme : Risk seviyelerini düşürmek için önlemlerin seçimi, planlanması ve uygulanması gibi etkinlikleridir.
38/76
RĠSK YÖNETĠMĠ TERMĠNOLOJĠSĠ:
• Kalan Risk : Risk işleme sürecinden sonra artakalan risktir. Alınan tüm önlemler, mevcut tehdit ve zafiyet seviyeleri göz önüne alınarak düşünülür.
• Risk Kabulü : Yönetimin riski göze alma kararıdır. Bu noktadan sonra yeni kontroller gerekli değildir.
• Risk Kabul Kriteri : Yönetimin kabul edilebilir olarak açıkladığı risk seviyesi ve bunu karşılayan kontrollerdir.
39/76
UYGUN ÖNLEMLERĠN (KONTROLLERĠN)
BELĠRLENMESĠ
• Kontroller, tehdide yol açan zafiyetleri azaltacak veya tehdidin gerçekleşme olasılığını düşürecek önlemlerdir.
• ISO 27002 standardında tavsiye niteliğinde yaklaşık 130 tane kontrol bulunmaktadır.
• Her varlık-tehdit çifti için uygun kontroller bu tavsiyeler arasından seçilir.
• Yeterli olmadığı durumlarda, yeni önlemler de seçilebilir.
40/76
• Bu aşamada, atanan yeni kontrollerle risk değerleri kabul edilebilir seviyeye çekilmiş olur.
• Bir kontrolün neden seçildiğini, daha önce belirlenen varlık-tehdit atamaları ile ilişkilendirebilmek önemlidir. Böylece risk analizinin sağlıklı bir şekilde yapıldığından emin olabiliriz.
• Kontroller teknik veya yönetsel olabilir. Seçilen kontroller, hazırlanacak olan politika dokümanları, standartlar ve prosedürler içinde yer alır.
UYGUN ÖNLEMLERĠN (KONTROLLERĠN)
BELĠRLENMESĠ
41/76
RĠSK ĠYĠLEġTĠRME ALTERNATĠFLERĠ
• Üst yönetimin risklerin kabul edilmesiyle ilgili yaklaşımını, hangi seviyedeki ve/veya ne tür riskleri kabul edeceğini bir diğer deyişle risk kabul kriterlerini kararlaştırması gerekir.
• Her risk için kabul kriterlerine uygunluk baz alınarak ele alma yöntemi belirlenir. Riskin;
• Kabul edilmesi
• Transfer edilmesi
• Yönetilmesi
• Önlenmesi
kararları verilebilir
42/76
RĠSK KARARLARI
Riskler yönetilirken aşağıdaki kararları verebiliriz:
• Riski göze almak (Kapı giriş kontrolü yapmamak, antivirüs sistemi kullanmamak, eğitime önem vermemek ..)
• Risklerimizi başkasına aktarmak (yangın sigortası, mesleki sorumluluk sigortası, hırsızlık sigortası yaptırmak, PCI),
• Risklerin olasılığını düşürecek önlemler almak (Çelik kapılar, alarm sistemleri, temiz masa, temiz ekran, izleme sistemleri, yangın detektörü)
• Risklerin etkisini azaltacak önlemler almak (Yangın söndürücü, antivirüs sistemleri, güvenlik testleri).
• Riskten sakınmak (Belli bir uygulamayı devreye almamak..)
43/76
BĠLGĠ GÜVENLĠĞĠ
YÖNETĠM SĠSTEMĠ
STANDARTLARI
44/76
BĠLGĠ GÜVENLĠĞĠ YÖNETĠMĠ
STANDARTLARI
• Endüstrinin çeşitli kesimlerinden yükselen “ortak bir güvenlik modeli”
talebi standartlaşma gereğini gündeme getirmiştir.
• Kuruluşlar, birlikte iş yaptıkları taraflara karşı ortak bir asgari güvenlik
seviyesi sağladıklarını kanıtlamak istemişler ve bunun için bir
referansa gereksinim duymuşlardır.
• Bilgi Güvenliği Yönetimi konusundaki ilk standart BSI (British Standard
Institute), tarafından geliştirilmiştir: BS 7799
45/76
BĠLGĠ GÜVENLĠĞĠ YÖNETĠMĠ
STANDARTLARI• 1993’te Bilgi Güvenliği Yönetimi için Kural Rehberi olarak yayınlandı.
• 1995’te Ġngiliz Standardı olarak kabul edildi: BS7799 -1
• 1998’de sertifikasyon gerekleri tanımlandı , BS7799 -2 yayınlandı
• 1999’da BS7799-1 ve 2 güncellendi
• 2000’de ISO 17799 (BS7799-1) yayınlandı
• 2002’de BS7799-2 güncellendi
• ISO 17799:2005 yayınlandı
• 2005’de ISO 27001:2005, BS7799-2 yerine geçti
• 2006’da TSE tarafından TS ISO/IEC 27001 ve TS ISO/IEC 17799
isimleriyle yayımlandı.
• 2007’de ISO 27002, BS7799-1 yerine geçti
• 2008’de ISO/IEC 27005:2008 (Information security risk management )
yayınlandı TSE tarafından TS ISO/IEC 27005 ismiyle yayımlandı.
46/76
BĠLGĠ GÜVENLĠĞĠ YÖNETĠMĠ
STANDARTLARI
•ISO 27002:
Bilişim Güvenliği için sistem oluşturma kuralları tanımlanır.
11 bölümde gerekli kontroller tanımlanmıştır.
•ISO 27001:
Bilgi Güvenliği Yönetim Sistemleri sertifika kriterlerini içerir.
47/76
ISO 27001 KONTROL ALANLARI
48/76
27001 Güvenlik Kontrolleri (Annex)
A.5 Güvenlik Politikası
A.6 Bilgi Güvenliği rganizasyonu
A.7 Varlık Yönetimi
A.8 Ġnsan kaynakları yönetimi
A.9 Fiziksel ve çevresel güvenlik
A.10 Haberleşme ve işletim yönetimi
A.11 Erişim Kontrolü
A.12 Bilgi sistemleri edinim, geliştirme ve bakımı
A.13 Bilgi güvenliği ihlal olayı yönetimi
A.14 Ġş sürekliliği yönetimi
A.15 Yasal Uyumluluk
49/76
A.5 Güvenlik Politikası
• A.5.1 BĠLGĠ GÜVENLĠĞĠ POLĠTĠKASI
• Amaç: Bilgi güvenliği için, iş
gereksinimleri ve ilgili yasa ve
düzenlemelere göre yönetim
yönlendirmesi ve desteği sağlamak.
• 5.1.1 Bilgi güvenliği politika dokümanı
• 5.1.2 Bilgi güvenliği politikasını gözden geçirme
50/76
A.6 Bilgi Güvenliği Organizasyonu• A.6.1 Ġç Organizasyon
• Amaç: Kuruluş içerisindeki bilgi güvenliğini yönetmek.
• 6.1.1 Yönetimin bilgi güvenliğine bağlılığı
• 6.1.2 Bilgi güvenliği koordinasyonu
• 6.1.3 Bilgi güvenliği sorumluluklarının tahsisi
• 6.1.4 Bilgi işleme tesisleri için yetki prosesi
• 6.1.5 Gizlilik anlaşmaları
• 6.1.6 Otoritelerle iletişim
• 6.1.7 Özel ilgi grupları ile iletişim
• 6.1.8 Bilgi güvenliğinin bağımsız gözden geçirmesi
• A.6.2 Dış Taraflar
• Amaç: Kuruluşun dış taraflarca erişilen, işlenen, iletişim kurulan veya yönetilen bilgi ve bilgi işleme olanaklarının güvenliğini sağlamak.
• 6.2.1 Dış taraflarla ilgili riskleri tanımlama
• 6.2.2 Müşterilerle ilgilenirken güvenliği ifade etme
• 6.2.3 Üçüncü taraf anlaşmalarında güvenliği ifade etme
51/76
A.7 Varlık Yönetimi
• A.7.1 Varlıkların Sorumluluğu
• Amaç: Kurumsal varlıkların uygun korumasını sağlamak ve
sürdürmek.
• 7.1.1 Varlıkların envanteri
• 7.1.2 Varlıkların sahipliği
• 7.1.3 Varlıkların kabul edilebilir kullanımı
• A.7.2 Bilgi Sınıflandırması
• Amaç: Bilgi varlıklarının uygun seviyede koruma almalarını
sağlamak.
• 7.2.1 Sınıflandırma kılavuzu
• 7.2.2 Bilgi etiketleme ve işleme
52/76
A.8 Ġnsan Kaynakları Güvenliği
• A.8.1 Ġstihdam Öncesi
• Amaç: Çalışanlar, yükleniciler ve üçüncü taraf kullanıcıların kendi
sorumluluklarını anlamalarını ve düşünüldükleri roller için uygun olmalarını
sağlamak ve hırsızlık, sahtecilik ya da olanakların yanlış kullanımı risklerini
azaltmak.
• 8.1.1 Roller ve sorumluluklar
• 8.1.2 Tarama
• 8.1.3 Ġstihdam koşulları
• A.8.2 Çalışma Esnasında
• Amaç: Tüm çalışanlar, yükleniciler ve üçüncü taraf kullanıcıların bilgi
güvenliğine ilişkin tehditler ve kaygıların ve kendi sorumluluklarının farkında
olmalarını ve normal çalışmaları sırasında kurumsal güvenlik politikasını
desteklemek ve insan hatası riskini azaltmak üzere donatılmalarını sağlamak.
• 8.2.1 Yönetim sorumlulukları
• 8.2.2 Bilgi güvenliği farkındalığı, eğitim ve öğretimi
• 8.2.3 Disiplin prosesi
53/76
A.9 Fiziksel ve Çevresel Güvenlik• A.9.1 Güvenli Alanlar
• Amaç: Kuruluş binalarına, ünitelerine ve bilgilerine yetki dışı fiziksel erişimi, hasarı ve
müdahaleyi engellemek.
• 9.1.1 Fiziksel güvenlik çevresi
• 9.1.2 Fiziksel giriş kontrolleri
• 9.1.3 Ofisler, odalar ve olanakları korumaya alma
• 9.1.4 Dış ve çevresel tehditlere karşı koruma
• 9.1.5 Güvenli alanlarda çalışma
• 9.1.6 Açık erişim, dağıtım ve yükleme alanları
• A.9.2 Teçhizat Güvenliği
• Amaç: Varlıkların kaybını, hasarını, çalınmasını ya da tehlikeye girmesini ve kuruluşun
faaliyetlerinin kesintiye uğramasını engellemek.
• 9.2.1 Teçhizat yerleştirme ve koruma
• 9.2.2 Destek hizmetleri
• 9.2.3 Kablolama güvenliği
• 9.2.4 Teçhizat bakımı
• 9.2.5 Kuruluş dışındaki teçhizatın güvenliği
• 9.2.6 Teçhizatın güvenli olarak elden çıkarılması ya da tekrar kullanımı
• 9.2.7 Mülkiyet çıkarımı
54/76
A.10 Haberleşme ve Ġşletim Yönetimi• A.10.1 Operasyonel Prosedürler Ve Sorumluluklar
• Amaç: Bilgi işleme olanaklarının doğru ve güvenli işletimini sağlamak.
• 10.1.1 Dokümante edilmiş işletim prosedürleri
• 10.1.2 Değişim yönetimi
• 10.1.3 Görev ayrımları
• 10.1.4 Geliştirme, test ve işletim olanaklarının ayrımı
• A.10.2 Üçüncü Taraf Hizmet Sağlama Yönetimi
• Amaç: Üçüncü taraf hizmet sağlama anlaşmalarıyla uyumlu olarak uygun bilgi güvenliği ve hizmet
dağıtımı seviyesi gerçekleştirmek ve sürdürmek.
• 10.2.1 Hizmet sağlama
• 10.2.2 Üçüncü taraf hizmetleri izleme ve gözden geçirme
• 10.2.3 Üçüncü taraf hizmetlerdeki değişiklikleri yönetme
• A.10.3 Sistem Planlama Ve Kabul
• Amaç: Sistem başarısızlıkları riskini en aza indirmek.
• 10.3.1 Kapasite planlama
• 10.3.2 Sistem kabulü
• A.10.4 Kötü Niyetli Ve Mobil Koda Karşı Koruma
• Amaç: Yazılım ve bilginin bütünlüğünü korumak.
• 10.4.1 Kötü niyetli koda karşı kontroller
• 10.4.2 Mobil koda karşı kontroller
55/76
A.10 Haberleşme ve Ġşletim Yönetimi - Devam
• A.10.5 Yedekleme
• Amaç: Bilgi ve bilgi işleme olanaklarının bütünlüğünü ve kullanılabilirliğini
sağlamak.
• 10.5.1 Bilgi yedekleme
• A.10.6 Ağ Güvenliği Yönetimi
• Amaç: Ağdaki bilginin ve destekleyici alt yapının korunmasını sağlamak.
• 10.6.1 Ağ kontrolleri
• 10.6.2 Ağ hizmetleri güvenliği
• A.10.7 Ortam Ġşleme
• Amaç: Varlıkların yetkisiz ifşa edilmesi, değiştirilmesi, kaldırılması veya yok
edilmesini ve iş faaliyetlerinin kesintiye uğramasını önlemek.
• 10.7.1 Taşınabilir ortam yönetimi
• 10.7.2 Ortamın yok edilmesi
• 10.7.3 Bilgi işleme prosedürleri
• 10.7.4 Sistem dokümantasyonu güvenliği
56/76
A.10 Haberleşme ve Ġşletim Yönetimi - Devam• A.10.8 Bilgi Değişimi
• Amaç: Bir kuruluş içindeki ve herhangi bir dış varlık ile değiştirilen bilgi ve yazılımın güvenliğini
sağlamak.
• 10.8.1 Bilgi değişim politikaları ve prosedürleri
• 10.8.2 Değişim anlaşmaları
• 10.8.3 Aktarılan fiziksel ortam
• 10.8.4 Elektronik mesajlaşma
• 10.8.5 Ġş bilgi sistemleri
• A.10.9 Elektronik Ticaret Hizmetleri
• Amaç: Elektronik ticaret hizmetlerinin güvenliğini ve bunların güvenli kullanımını sağlamak.
• 10.9.1 Elektronik ticaret
• 10.9.2 Çevrimiçi işlemler
• 10.9.3 Herkese açık bilgi
• A.10.10 Ġzleme
• Amaç: Yetkisiz bilgi işleme faaliyetlerini algılamak.
• 10.10.1 Denetim kaydetme
• 10.10.2 Sistem kullanımını izleme
• 10.10.3 Kayıt bilgisinin korunması
• 10.10.4 Yönetici ve operatör kayıtları
• 10.10.5 Hata kaydı
• 10.10.6 Saat senkronizasyonu
57/76
A.11 Erişim Kontrolü
• A.11.1 Erişim Kontrolü Ġçin Ġş Gereksinimleri
• Amaç: Bilgiye erişimi kontrol etmek.
• 11.1.1 Erişim kontrolü politikası
• A.11.2 Kullanıcı Erişim Yönetimi
• Amaç: Bilgi sistemlerine yetkili kullanıcı erişimini sağlamak ve yetkisiz erişimi
önlemek.
• 11.2.1 Kullanıcı kaydı
• 11.2.2 Ayrıcalık yönetimi
• 11.2.3 Kullanıcı parola yönetimi
• 11.2.4 Kullanıcı erişim haklarının gözden geçirilmesi
• A.11.3 Kullanıcı Sorumlulukları
• Amaç: Yetkisiz kullanıcı erişimini ve bilgi ve bilgi işleme olanaklarının tehlikeye
atılmasını ya da çalınmasını önlemek.
• 11.3.1 Parola kullanımı
• 11.3.2 Gözetimsiz kullanıcı teçhizatı
• 11.3.3 Temiz masa ve temiz ekran politikası
58/76
A.11 Erişim Kontrolü - Devam
• A.11.4 Ağ Erişim Kontrolü
• Amaç: Ağ bağlantılı hizmetlere yetkisiz erişimi önlemek.
• 11.4.1 Ağ hizmetlerinin kullanımına ilişkin politika
• 11.4.2 Dış bağlantılar için kullanıcı kimlik doğrulama
• 11.4.3 Ağlarda teçhizat tanımlama
• 11.4.4 Uzak tanı ve yapılandırma portu koruma
• 11.4.5 Ağlarda ayrım
• 11.4.6 Ağ bağlantı kontrolü
• 11.4.7 Ağ yönlendirme kontrolü
• A.11.5 Ġşletim Sistemi Erişim Kontrolü
• Amaç: Ġşletim sistemine yetkisiz erişimi önlemek.
• 11.5.1 Güvenli oturum açma prosedürleri
• 11.5.2 Kullanıcı kimlik tanımlama ve doğrulama
• 11.5.3 Parola yönetim sistemi
• 11.5.4 Yardımcı sistem programlarının kullanımı
• 11.5.5 Oturum zaman aşımı
• 11.5.6 Bağlantı süresinin sınırlandırılması
59/76
A.11 Erişim Kontrolü - Devam
• A.11.6 Uygulama Ve Bilgi Erişim Kontrolü
• Amaç: Uygulama sistemlerinde tutulan bilgilere yetkisiz erişimi
önlemek.
• 11.6.1 Bilgi erişim kısıtlaması
• 11.6.2 Hassas sistem yalıtımı
• A.11.7 Mobil Bilgi Ġşleme Ve Uzaktan Çalışma
• Amaç: Mobil bilgi işleme ve uzaktan çalışma hizmetlerini kullanırken
bilgi güvenliğini sağlamak.
• 11.7.1 Mobil bilgi işleme ve iletişim
• 11.7.2 Uzaktan çalışma
60/76
A.12 Bilgi Sistemleri Edinim, Geliştirme Ve
Bakım
• A.12.1 Bilgi Sistemlerinin Güvenlik Gereksinimleri
• Amaç: Güvenliğin bilgi sistemlerinin dahili bir parçası olmasını sağlamak.
• 12.1.1 Güvenlik gereksinimleri analizi ve belirtimi
• A.12.2 Uygulamalarda Doğru Ġşleme
• Amaç: Uygulamalardaki bilginin hatalarını, kaybını, yetkisiz değiştirilmesini ve
kötüye kullanımını önlemek.
• 12.2.1 Giriş verisi geçerleme
• 12.2.2 Ġç işleme kontrolü
• 12.2.3 Mesaj bütünlüğü
• 12.2.4 Çıkış verisi geçerleme
• A.12.3 Kriptografik Kontroller
• Amaç: Bilginin gizliliğini, aslına uygunluğunu ya da bütünlüğünü kriptografik
yöntemlerle korumak.
• 12.3.1 Kriptografik kontrollerin kullanımına ilişkin politika
• 12.3.2 Anahtar yönetimi
61/76
A.12 Bilgi Sistemleri Edinim, Geliştirme Ve
Bakım - Devam
• A.12.4 Sistem Dosyalarının Güvenliği
• Amaç: Sistem dosyalarının güvenliğini sağlamak.
• 12.4.1 Operasyonel yazılımın kontrolü
• 12.4.2 Sistem test verisinin korunması
• 12.4.3 Program kaynak koduna erişim kontrolü
• A.12.5 Geliştirme Ve Destekleme Proseslerinde Güvenlik
• Amaç: Uygulama sistem yazılımı ve bilgisinin güvenliğini sağlamak.
• 12.5.1 Değişim kontrol prosedürleri
• 12.5.2 Ġşletim sistemindeki değişikliklerden sonra teknik gözden geçirme
• 12.5.3 Yazılım paketlerindeki değişikliklerdeki kısıtlamalar
• 12.5.4 Bilgi sızması
• 12.5.5 Dışarıdan sağlanan yazılım geliştirme
• A.12.6 Teknik Açıklık Yönetimi
• Amaç: Yayınlanmış teknik açıklıkların istismarından kaynaklanan riskleri
azaltmak.
• 12.6.1 Teknik açıklıkların kontrolü
62/76
A.13 Bilgi Güvenliği Olay Yönetimi
• A.13.1 Bilgi Güvenliği Olayları Ve Zayıflıklarının Rapor Edilmesi
• Amaç: Bilgi sistemleri ile ilişkili bilgi güvenliği olayları ve zayıflıklarının
zamanında düzeltici önlemlerin alınabilmesine izin verecek şekilde
bildirilmesini sağlamak.
• 13.1.1 Bilgi güvenliği olaylarının rapor edilmesi
• 13.1.2 Güvenlik zayıflıklarının rapor edilmesi
• A.13.2 Bilgi Güvenliği Ġhlal Olayları Ve Ġyileştirmelerinin Yönetilmesi
• Amaç: Bilgi güvenliği ihlal olaylarının yönetimine tutarlı ve etkili bir yaklaşımın
uygulanmasını sağlamak.
• 13.2.1 Sorumluluklar ve prosedürler
• 13.2.2 Bilgi güvenliği ihlal olaylarından öğrenme
• 13.2.3 Kanıt toplama
63/76
A.14 Ġş Sürekliliği Yönetimi
• A.14.1 Ġş Sürekliliği Yönetiminde Bilgi Güvenliği Hususları
• Amaç: Ġş faaliyetlerindeki kesilmeleri önlemek ve önemli iş proseslerini büyük
bilgi sistemleri başarısızlıklarından ya da felaketlerden korumak ve bunların
zamanında devam etmesini sağlamak.
• 14.1.1 Bilgi güvenliğini iş sürekliliği yönetim prosesine dahil etme
• 14.1.2 Ġş sürekliliği ve risk değerlendirme
• 14.1.3 Bilgi güvenliğini içeren süreklilik planlarını geliştirme ve
gerçekleştirme
• 14.1.4 Ġş sürekliliği planlama çerçevesi
• 14.1.5 Ġş sürekliliği planlarını test etme, sürdürme ve yeniden
değerlendirme
64/76
A.15 Uyum• A.15.1 Yasal Gereksinimlere Uyum
• Amaç: Her türlü hukuka, yasal, düzenleyici ya da sözleşmeye tabi yükümlülüklere ve her
türlü güvenlik gereksinimlerine ilişkin ihlalleri önlemek.
• 15.1.1 Uygulanabilir yasaları tanımlanma
• 15.1.2 Fikri mülkiyet hakları (IPR)
• 15.1.3 Kurumsal kayıtların korunması
• 15.1.4 Veri koruma ve kişisel bilgilerin gizliliği
• 15.1.5 Bilgi işleme olanaklarının kötüye kullanımını önleme
• 15.1.6 Kriptografik kontrolleri düzenleme
• A.15.2 Güvenlik Politikaları Ve Standartlarla Uyum Ve Teknik Uyum
• Amaç: Sistemlerin kurumsal güvenlik politikaları ve standartlarıyla uyumunu sağlamak.
• 15.2.1 Güvenlik politikaları ve standartlarla uyum
• 15.2.2 Teknik uyum kontrolü
• A.15.3 Bilgi Sistemleri Denetim Hususları
• Amaç: Sistemlerin kurumsal güvenlik politikaları ve standartlarıyla uyumunu sağlamak.
• 15.3.1 Bilgi sistemleri denetim kontrolleri
• 15.3.2 Bilgi sistemleri denetim araçlarının korunması
65/76
BGYS ĠÇĠN KRĠTĠK BAġARI FAKTÖRLERĠ
• Bilgi güvenliği politikasının iş gereksinimleriyle bağlantılı olması,
• BGYS’nin kurum kültürüyle tutarlı bir yaklaşımla uygulanması,
• Üst yönetim desteğinin ve kararlılığının gözle görülür seviyede olması,
• Güvenlik gereksinimlerinin, risk tespit ve yönetiminin iyi anlaşılmış olması,
• Güvenlik konusunun yönetici ve çalışanlara iyi benimsetilmesi
• Güvenlik politika ve standartlarının kurum içinde ve dışındaki ilgili taraflara
dağıtılarak duyurulması,
• Gerekli eğitim ve bilinçlendirmenin sürekli olarak sağlanması,
• BGYS performansının değerlendirilebilmesi için kapsamlı bir ölçüt
mekanizmasının kurulması ve iyileştirme için çalışanların önerilerinin
değerlendirmeye alınması
66/76
BGYS DOKÜMANTASYONU
BGYS dokümantasyonu aşağıdaki bileşenlerden oluşmalıdır:
• Bilgi güvenliği politika dokümanı
• BGYS’nin kapsamı
• Politikalar ve destekleyici dokümanlar
• Risk değerlendirme metodolojisi
• Risk değerlendirme raporu
• Risk iyileştirme planı
• BGYS prosedürü
• Kontrolün etkinliğin nasıl ölçüleceğine dair yöntem
• Uygunluk Beyanı (Statement of Applicability Report)
67/76
BĠLGĠ GÜVENLĠĞĠ POLĠTĠKASI
• Kurumsal Bilgi Güvenliği Politikası, Bilgi Güvenliği Yönetimi
Sistemi’nin temelini oluşturur.
• Politika, kurumsal bilgi güvenliği stratejilerini belirler.
• Stratejiye uygun güvenlik hedeflerini oluşturmak için yol gösterir.
• Kurumsal iş hedefleriyle mutlaka ilişkilendirilmiş olmalıdır.
• Kurum çapında katkı ve katılımı özendirici olmalıdır.
• Kurumun üst düzey yönetiminin desteğini ve konuya verdiği önemi açıkça yansıtmalı ve kurum içinde gerekli yetkilendirmeyi, yaptırımları tanımlamalıdır.
• Politikanın gözden geçirilmesi ve etkinliğinin ölçülebilmesi için
gerekli adımlar ve denetim mekanizması tanımlı olmalıdır.
68/76
BĠLGĠ GÜVENLĠĞĠ ORGANĠZASYON YAPISI
Güvenlik Politikası Bildirisi
ISMS Bilgi Güvenliği Yönetim
Sistemi
Üst Yönetim TemsilcisiGüvenlik Yönetimi İş Sürekliliği
FelaketlerdenKurtarma
Ekibi
Bilgi Güvenliği Komitesi
Güvenlik Müdahale Güvenlik Sürekliliği
Güvenlikihlallerininizlenmesi
Değişikliklerin kontrol altında
tutulması
Güvenlik Altyapısı
Politikalar
Olaylara Müdahale
Ekibi
İlgili dış taraflar Standartlar
Kılavuzlar
Prosedürler
RiskDeğerlendirmesi
Planlar/Programlar
Güvenlik Analizi
Güvenlik Kontrollerinin
Seçimi
Uyumluluk
Sistem denetimive uygunluk
değerlendirmesi
Güvenlik Eğitimleri
GüvenlikBilgilendirme
Programı
GüvenlikSüreçleri
Güvenlik Süreçleri ile ilgili Fonksiyonlar, Bileşenler
Bilgi Güvenliği Yönetimi için yukarıdaki süreçlerin birlikte çalışabilirliği sağlanmalıdır. Bu amaçla, fonksiyonları
yerine getirmek için uygun atamaların yapılması gerekir. Aynı kişi birden çok fonksiyonu üstlenebilir.
69/76
SERTĠFĠKASYON KRĠTERLERĠ
• ISO 27001 Madde 4-8 ile uyumluluk sertifikasyon için VAZGEÇĠLMEZmaddelerdir.
• MADDE 4: Bilgi güvenliği yönetim sistemi
• 4.1 Genel gereksinimler
• 4.2 BGYS’nin kurulması ve yönetilmesi
• 4.3 Dokümantasyon gereksinimleri
• MADDE 5: Yönetim sorumluluğu
• 5.1 Yönetimin bağlılığı
• 5.2 Kaynak yönetimi
• MADDE 6: BGYS iç denetimleri
70/76
SERTĠFĠKASYON KRĠTERLERĠ
• ISO 27001 Madde 4-8 ile uyumluluk sertifikasyon için VAZGEÇĠLMEZmaddelerdir.
• MADDE 7: BGYS’ni yönetimin gözden geçirmesi
• 7.1 Genel
• 7.2 Gözden geçirme girdisi
• 7.3 Gözden geçirme çıktısı
• MADDE 8: BGYS iyileĢtirme
• 8.1 Sürekli iyileştirme
• 8.2 Düzeltici faaliyet
• 8.3 Önleyici faaliyet
71/76
SERTĠFĠKASYON KRĠTERLERĠ
• BGYS dokümantasyonu aşağıdakileri içermelidir:
• Bilgi güvenliği politika dokümanı
• BGYS’nin kapsamı
• Politikalar ve destekleyici dokümanlar
• Risk değerlendirme metodolojisi
• Risk değerlendirme raporu
• Risk iyileştirme planı
• BGYS prosedürü
• Kontrolün etkinliğin nasıl ölçüleceğine dair yöntem
• Uygunluk Beyanı (Statement of Applicability Report)
72/76
SERTĠFĠKASYON KRĠTERLERĠ
ISO 27001 Annex de tanımlanan tüm
kontroller uygulanmış olmalı ve kanıtları
sunulmalıdır.
Hariç tutulan kontroller risk analizi ve risk
kabul kriterleriyle ilişkilendirilerek
gerekçelendirilebilmelidir.
73/76
DENETĠM SÜRECĠ
• Araştırma / Başvuru
• Ön-Denetim (isteğe bağlı)
• Sertifikasyon Denetimi
• 1. Aşama: Dokümantasyon Denetimi
• 2. Aşama: Uygulama Denetimi
• Belgelendirme
• Her 3 yılda 1. aşamanın bir bölümü ve 2.
aşamanın tamamı
74/76
1. AġAMA DENETĠM - Dokumantasyon
• ISO 27001 Madde 4’ün karşılandığının nesnel kanıtlarla gösterilmesi gerekir:
• Güvenlik politikası
• Kapsam
• Risk değerlendirme
• Risk çözümleme ve derecelendirme
• Risk işleme
• Kontrol seçimleri
• Onaylama
• Uygulanabilirlik Bildirgesi
• BGYS’nin gözden geçirme ve iyileştirme aşamaları
• Kontrol etkinliğinin ölçülmesi
• Dokümantasyon gereksinimleri
• Kayıtlar
75/76
2. AġAMA DENETĠM - Uygulamalar
• Dokümantasyon denetiminde Kurumun varlığını beyan ettiği
BGYS’nin uygulanıp uygulanmadığının yerinde denetlenmesi
• BaĢlıca faaliyetler Ģunlardır:
• BGYS sahipleri ve kullanıcıları ile görüĢmeler
• DeğiĢik seviyelerdeki risk alanlarının gözden geçirilmesi
• Güvenliğin ve yönetimin katkısının gözden geçirilmesi
• Dokümantasyon ile uygulama arasındaki bağlantıların tespiti
• Bulguların raporlanması ve sonuç önerilerinin verilmesi
76/76
SORULARINIZ ?
Teşekkür Ederiz.