YZM5604 Bilgi Güvenliği Yönetimi

Transkript

1 YZM5604 Bilgi Güveliği Yöetimi 21 Aralık 2015 Dr. Orha Gökçöl Bahçeşehir Üiversitesi, Fe Bilimleri Estitüsü Proje Çalışması - NE DURUMDASINIZ???? Aralık Ayı İçide Ara Kotrol q Bu hafta so dersimiz q Gelecek hafta ders yok. Ofiste olacağım. Proje kotrolleriizi yaptırabilirsiiz q 4 Ocak 19:00-21:30 Proje suumları q 11 Ocak- 18:00-22:00 Proje suumları q 11 Ocak; YAZILI Fial Sıavı Normal Sıav!! (Ağırlık:%10 - bous) Sıav kouları : ISO27001 ve bugü işleyeceğimiz koular Geçtiğimiz Derste; ISO27001:2013 Bilgi Güveliği Yöetim Sistemler, Gereksiimleri PUKÖ, bir BGYS i bilgi güveliği gereksiimlerii ve ilgili tarafları bekletilerii girdi olarak asıl aldığıı ve gerekli eylem ve prosesler aracılığıyla, bu gereksiimleri ve bekletileri karşılayacak bilgi güveliği souçlarıı asıl ürettiğii gösterir. Yukarıdaki şekil ayrıca, stadarttaki Madde 4, Madde 5, Madde 6, Madde 7 ve Madde 8 de suula proseslerdeki bağlatıları da gösterir. 1

2 ISO27001 Nedir?? Kotrol-tabalı Gruplamış olarak suula kotroller, BG deki e iyi uygulamaları içermektedir. «Bilgi» Stadardı Her türlü BİLGİ yi kapsar. Bilgi, her e şekilde olursa olsu; her erede saklaırsa saklası, uygu bir şekilde korumalıdır! 8 Cümle, 11 Kotrol grubu, 134 kotrol Sertifikaladırılabilir - Uluslararası geçerliliği ola - Risk yöetimi esaslı ISO Tarihçe 1992 The Departmet of Trade ad Idustry (DTI), which is part of the UK Govermet, publish a 'Code of Practice for Iformatio Security Maagemet' This documet is ameded ad re-published by the British Stadards Istitute (BSI) i 1995 as BS The first major revisio of BS7799 was published. This icluded may major ehacemets I December, BS7799 is agai re-published, this time as a fast tracked ISO stadard. It becomes ISO (or more formally, ISO/IEC 17799). Accreditatio ad certificatio schemes are lauched. LRQA ad BSI are the first certificatio bodies. Tarihçe 2001 The 'ISO Toolkit' is lauched A secod part to the stadard is published: BS This is a Iformatio Security Maagemet Specificatio, rather tha a code of practice. It begis the process of aligmet with other maagemet stadards such as ISO A ew versio of ISO is published. This icludes two ew sectios, ad closer aligmet with BS processes ISO is published, replacig BS7799-2, which is withdraw. This is a specificatio for a ISMS (iformatio security maagemet system), which aligs with ISO ad is compatible with ISO 9001 ad ISO New versio releases 2

3 27000 Serisi stadartları yapısı Temeller ve aahtar kelimeler 27001:BGYS Risk Yöetimi BGY Uygulama Yöergesi BGY Uygulama Esasları Metrikler ve Ölçme BGYS akreditasyou kılavuzu BGYS deetim kılavuzu (iç, dış, yöetim gözde geçirme) Deetçiler içi BGYS kotrolleri kılavuzu PUKÖ ISO ALAN (Kategori) altıda 35 adet kotrol amacı Bu amaçları gerçekleştirmek içi yapılması gereke TOPLAM 114 tae kotrol 3

4 ALANLAR A.5: Bilgi Güveliği Politikaları A.6: Bilgi Güveliği Orgaizasyou A.7: İsa Kayakları Güveliği A.8: Varlık Yöetimi A.9: Erişim Kotrolü A.10: Kriptografi (Şifreleme) A.11: Fiziksel ve Çevresel Güvelik A.12: İşlemler Güveliği A.13: Haberleşme Güveliği A.14: Bilgi Sistemleri Ediim, geliştirme ve bakımı A.15: Tedarikçi İlişkileri A.16: Bilgi Güveliği İhlal Olayı Yöetimi A.17: İş Sürekliliği Yöetimii Bilgi Güveliği Usurları A.18: Uyum ISO27001 ve ISO31000 ISO31000 : Risk Yöetimi Stadartı 4

5 ISO27005 : ISO31000 i TEMEL ALAN BİR RİSK YÖNETİMİ YAKLAŞIMIDIR. BİLGİ GÜVENLİĞİ RİSK YÖNETİMİ İÇİN KULLANILABİLİR. İTERATİF BİR YAKLAŞIM. PUKÖ yü takip eder! ISO27005 Risk Değeri Hesaplama Örek Yaklaşım 1 5

6 ISO27xxx ISO27xxx SEKTÖREL STANDARTLAR! 6

7 -puko-m ode li-bolum-2.aspx İYİ BİR BAŞLANGIÇ NOKTASI Ülkemizde BG Çalışmaları Bilgi Güveliği Deetmei (Seviye 7) Meslek Stadardı Ref.No:13UMS ; Tarih: q Türkiye Bilişim Güveliği Dereği tarafıda hazırlamış q Resmi Gazete - 26/2/ (Mükerrer) ; şu a yürürlükte q Bir de, Bilgi Güveliği Uzmaı var (Seviye 6) Mesleki Yeterlilik Kurumu : k. go v. tr /ima ge s/ arti cle s/e di t or /2 01 3/ /Bi lg i_g u ve li k_d e e tme i _Sev iy e_7. pd f - k. go v. tr /ima ge s/ arti cle s/e di t or /2 01 3/ /Bi lg i_g u ve li k_u zma i _Se viy e_6. pd f 7

8 Ülkemizde BG Yasal Altyapıı Aalizi : - Mevzuatta eksikler ve sorular var. Uygulama boyutuda sorular var - Kişisel Verileri Koruması - Ulusal Güvelik - Ceza Kauu Saal Suçlar - Borçlar Kauu - Medei Kau - Elektroik Haberleşme Kauu -.. Kauu - BDDK - Elektroik Belge Yöetimi - Bilgi Toplumu Stratejileri - Ülkemizde BG İki eteresa yazı : Türkiye de Devlet İtereti Bilmiyor AB Bilgi Güveliği Politikaları Ülkemizde BG Kalkıma Bakalığı Raporu Bilgi Toplumu Stratejisii Yeilemesi Projesi q Bilgi Güveliği, Kişisel Bilgileri Koruması ve Güveli İteret Eksei Mevcut Durum Raporu - Mayıs 2013 tarihli edu.tr/btstrateji/ mev cut /m - bilgi_guveligi_kisis el_ bilgil eri _k or u ma si_v e_ guv eli _i te re t.p df - Bazı bakalıklar büyeside siber güvelik kurulları oluşturma çalışmaları (2014) - Bilişim Suçlarıyla Mücadele Daire Başkalığı SORUNLAR : - Yasal altyapı soruları mevzuatlarla çözüm araıyor - İsa kayaklarıı BG kousudaki yetersizlikleri uygulama soruları oluşturuyor! (Özellikle adli vakalarda) - Kişisel verileri koruması ile ilgili aayasal güvece var, ama düzelemeler eksik. Bakacılık ve Telekom içi sektörel düzelemeler mevcut. - Avrupa Siber Suçlarla Mücadele sözleşmesi heüz yürürlükte değil (2013 sou) 8

9 Ülkemizde ISO27001 Uygulamaları Özel sektörde bazı ihalelerde kamu ihale kauua göre ihale aça kurum ve kuruluşlar ihale şartameleride ISO bilgi güveliği yöetim sistemi belgesi istemektedir. Bu zorululuk yapıla projei gizliliği güveliği üst düzeyde ise ihaleyi aça kuruluş ıso belgesii özellikle istemektedir. Öreği savuma saayi projelerie yöelik açıla ihalelerde gerek yazılım hizmeti vere gerekse ürü ürete satışıı yapa firmalarda bu belge istemektedir. Ülkemizde ISO27001 Uygulamaları Ayrıca Telekomüikasyo Kurumu tarafıda yapıla bir yetkiledirme çerçeveside elektroik haberleşme hizmeti sua ve/veya elektroik haberleşme şebekesi sağlaya ve alt yapısıı işlete sermaye şirketleri (Data Ceter) kurumları tarihie kadar ISO Bilgi Güveliği Yöetim Sistemi Belgesi alması zorulu hale getirilmiştir. Ülkemizde ISO27001 Uygulamaları Elektroik Haberleşme Yöetmeliğii ilgili maddesi; 11. maddesi ÜÇÜNCÜ BÖLÜM è İşletmecileri Yükümlülükleri MADDE 11 (1) İşletmeci, TS ISO/IEC veya ISO/IEC stadardıa uyguluğu sağlamakla yükümlüdür. Yetkilediri le işletmeciler yetkiledirme tarihide itibare bir yıl içeriside söz kousu stadarda uyguluğu sağlar. Belirtile süre içeriside söz kousu stadarda uyguluğu sağlayamaya işletmecilere Kurul tarafıda gerekli görülmesi halide ilave süre verilebilir. Özel sektörde gerek kamu ihalelerid e gerekse kamu ile stratejik alalarda iş birliği yapa kurum kuruluşları ISO Bilgi Güveliği Yöetim Sistemii kurmalarıı ve belgeledirme deetimie girerek ISO belgesii almaları gerekmektedir. 9

10 GÜMRÜK İŞLEMLERİNİN KOLAYLAŞTIRILMASINA İLİŞKİN GÜMRÜK GENEL TEBLİĞİ (29 Mart 2013) Kamu Kurumlarıda ISO Bilgi Güveliği Yöetim Sistemi Belgesi alıması zorululuğu? Kamu kurumlarıda geellikle özel sektörde farklı olarak ISO belgesii alıması zorulu değildir fakat aşağıda alatıla bazı kau ve yasalara göre her e kadar belgeledirme zorululuğu yok ise de ISO Bilgi Güveliği Yöetim Sistemii kurmaları zoruludur. Bilgi Güveliği Yöetim sistemi Kurmak içi kamu kurumlarıa dair çerçeve yasalar tarihli ve 5018 sayılı Kamu Mali Yöetimi ve Kotrol Kauuyla kamu malî yöetim sistemi tüm kamu kurumlarıda uluslararası stadartlar ve Avrupa Birliği uygulamalarıa uygu bir şekilde yeide düzelemesi ve bu kapsamda etki bir iç kotrol sistemii oluşturulması içi Maliye Bakalığı tarafıda hazırlaa ve tarihli ve sayılı Resmi Gazetede yayımlaa Kamu İç Kotrol Stadartları Tebliği ile kamu idareleride iç kotrol sistemii oluşturulması, uygulaması, izlemesi ve Geliştirilmesi amacıyla (18) stadart ve bu stadartlar içi gerekli (79) geel şart belirledi. Bu 79 geel şartta e az 10 şart bilgi güveliği sistemii kurumlarda oluşturulmasıı hedeflemektedir. 10

11 2003 / 48 sayılı Başbakalık Geelgesi ile yürürlüğe gire e- Döüşüm Türkiye Projesii ici maddeside Bilgi Güveliği Yöetim Sistemii (BGYS) tüm kurumlarda kurulmasıı hedeflediği belirtilmektedir. 05/08/2005 tarihli ve sayılı Resmi Gazete de yayımlaa, 2005/20 sayılı Başbakalık Geelgesi ile çıkarıla Birlikte Çalışabilirlik Esasları Rehberide elektroik ortamda suula hizmetlerde başarı, güve ortamıı sağlamasıa bağlı olduğu vurgulamıştır. Bu da, güvelikle ilgili politika ve düzelemeleri geliştirilmesii gerektirir / 38 sayılı Yüksek Plalama Kurulu Kararı yla oaylaa ve 28/07/2006 tarihli ve sayılı Resmi Gazete de yayımlaa Bilgi Toplumu Stratejisi Belgeside stratejik öcelikler arasıda yer ala bilgi güveliğii ülke geelide ve kamu kurumlarıda bilgi sistemleri ile elektroik iletişi m v e ağ bağlatılarıda güveliği sağlaması ve sürdürülmesi içi gerekli orgaizasyoel düzelemeleri gerçekleştirileceğide bahsedilmektedir. Ayrıca, bilgi güveliğii sağlaması içi yasal düzelemeleri yapılacağı da vurgulamaktadır. İÇ TETKİK Kotrol Et - PUKÖ ISO19011 : Kalite ve Çevre Yöetim Sistemleri Deetlemesi İçi İzleecek Yötemleri verildiği bir yardımcı kılavuz. q Tetkik : Tetkik delili elde etmek ve tetkik kriterlerii karşılama derecesii objektif olarak değerledirmek içi yapıla sistematik, bağımsız, belgeledirilmiş bir proses (ISO19011, Madde 3.1) 11

12 TETKİK TÜRLERİ İç Tetkik : Kedi sistemimizi deetliyoruz! Dış Tetkik : Bir tedarikçimizi deetliyoruz, ya da bir müşterimiz bizi deetliyor Dış Tetkik : Bağımsız bir tescil grubu tarafıda (TÜV, BVQI, BSI, TSE gibi) deetleiyoruz! ISO27001 İç Tetkik Stadardı 6.cı maddeside açıkladığı üzere; q Plalaa aralıklarla q Stadartlarla uyum q Bilgi Güveliği Gereksiimleri q Etki gerçekleştirme q Beklediği şekilde yerie getirile q Tetkik programı durumu ve öemi q Tetkikçileri kedi işlerii deetlememesi lazım q Süreç q Gecikmede yürütüle faaliyetler q Takip faaliyetleri alıa ölemleri doğrulaması q Souçları raporlaması İÇ TETKİK NASIL UYGULANIR? Bir Baş tetkikçi vardır. Açılış toplatısı, Tetkiki gerçekleştirilmesi, Bulguları gözde geçirilmesi ve raporlama. 12

13 Tetkikçii Nitelikleri Kararlı Israrcı Kedie güvee Etik Bilgili Açık fikirli Çok yölü Diplomatik Kavrayışlı Gözlemci TETKİKÇİ İLETİŞİMİ; Saki ve azik olmalı, Göz teması kurmalı, Hazırlıklı olmalı, Yapıla işle ilgilemeli, Vücut dilii kullamalı, Kouşma tou ve sesii ayarlamalı, Tartışmacı olmamalı. Tetkiki Başlatılması Bilgi güveliği iç tetkikleri, bir tetkik programıı kapsamlı hedeflerii bütüü içideki bir kısmı olabilir. q Hedefler q Kapsam q Kriterler 13

14 Tetkiki Kapsamı Boyut ve sıırları çizilmesi Hagi fiziksel yerleşimler Hagi bölümler Hagi faaliyetler Hagi süreçler Hagi bilgi varlıkları Tetkik Kriterleri Tetkik kriteri, uygulaabilir güvelik politikalarıı ve süreçlerii, stadartları, yasal ve düzelemelere tabi gereksiimleri içerecektir Tetkiki Hedefleri Bilgi Güveliği ile ilgili tüm dokümaları veya bir bölümüü tetkik kriterlerie e ölçüde uyduğuu belirlemesi Bilgi Güveliği ile ilgili tüm dokümaları uygulaabilir yasalar, yöetmelikler ve sözleşme gereksiimleri ile uyumluluğu Bilgi Güveliği ile ilgili tüm dokümaları belirtilmiş ola amaçları karşılayabilme açısıda etkiliğii değerledirme Dokümaları olası iyileştirme alalarıı belirleme 14

15 İç Tetkik ede gerekli? Güvelik politika ve süreçleriyle uyumu doğrulaması Bilgi Güveliği forumu ve yöetim içi tarafsız bilgi sağlaması Güvelik bilicii artması Güvelik ihlallerii oluşma riskii azaltılması İyileştirme fırsatlarıı belirlemesi Tetkik presipleri İyi Ahlaklılık Adil olmak gerçek ve doğru bildirimler! Profesyoellik titiz ve doğru karar verme Tarafsızlık her zama kaıt aramalı, bireyler eleştirilmemeli, kedileriyle tartışılmamalı Delile dayalı yaklaşım Bulgular hakkıda kişilere tetkik sırasıda bilgi verilmeli Souca ulaşmak içi kullaılabilecek stadart bir metotoloji Tetkik programı Tetkiki belli bir zama dilimi içide hagi programa uygu bir şekilde yürütüleceğii belirlemesi Özellikle tetkiki kapsamı (tetkik kapsamıdaki bilgi varlıkları, süreçler vb) ve tetkiki yapacak ola ekibi büyüklüğü ve iteliği programı şekillemeside çok öemli Tetkikçiler eğitimli ve yetki olmalı 15

16 Örek Tetkik Çizelgesi Bölüm Oca Şub Mar Nis May Haz Tem Ağu Eyl Eki Kas Ara İK X D Fias X D Pazarlama X D... Tetkik Sırasıda Kapsama dahil ola tüm Bölüm Yöeticileri kedilerie düşe sorumluluğu yerie getirmeli q İlgili persoeli gerektiğide erişilebilir olması q Tetkik programıa sorumluluklar/kayakl ar tahsis etme q Gerekli kayıtları erişilebilirliğii sağlaması Tetkik İçeriği Ageda / Aahtar Noktalar Açılış Toplatısı/Giriş Kapsam ve Süreçleri Araştırmak Sorumluluklar Uyum ve yasal hususlar İş sürekliliği Fiziksel kotroller Persoel güveliği Risk işleme Sistem kotrolleri Özetleme ve kapaış 16

17 Tetkik Hazırlığı Öceki tetkik bulguları Güvelik el kitapları, kılavuzlar, süreç taımları SOA Güvelik ihlal olayları raporları Uzmalarda alıabilecek görüşler doğrultusuda diğer bilgiler Başlagıç Noktası Güvelik Politikası q Değişiklikler q Gözde geçirmeler Kapsamı teyit edilmesi Değişiklikler ile ilgili risk değerledirmelerii gözde geçirilmesi Bölümlerde tüm kotrolleri asıl uyguladığı (politikalar, süreçler, prosedürler vb) q Etkilikleri asıl izleiyor? Güvelik ihlal olayları asıl tespit ediliyor? Sürekli iyileştirme ile ilgili kaıtlar Örek : Temiz Masa/Temiz Ekra Politikası Ekra e kadar zama sora temizleiyor? Ekralar şifre korumalı mı? Kotrol gerekliliği ile ilgili uyum/farkıdalıklık var mı? kaıt ara Bilgisayar ve masa başıda olumadığı zamalarda görülebilecek bilgiler? 17

18 Örekler Deliller Rastgele seçile durumlarda oluşturulabilir Tetkikçi tarafıda özellikle seçilmiş durumlarda oluşturulabilir Görüşüle kişilerle üzeride kararlaştırılmış durumlarda oluşturulabilir TETKİKÇİ ASLA VARSAYIMDA BULUNMAMALI! Delil detayları Nasıl Ne Nerede Ne zama Niçi (uygusuzluk ---) Kim roller ve pozisyolar yazılmalı, isim yazılmaz! Doğru Soru Sorma Ne Niçi Nerede Ne zama Nasıl Kim? Lütfe baa gösteri / baa söyleyi 18

19 Delilleri /Olguları Kaydetme Nesel kaıt q Okuaklı olmalı q Alaşılır içerikte olmalı, izi sürülebilmeli q Yeide ele alıabilir olmalı Bulguları Yazılması Özet bir tetkik raporu Belirlee uygusuzlukları listelemesi Gözlem ve öeriler Bulgular değerledirilirke... Güvelik politikaları Müşteri gereksiimleri Yasalar, düzelemeler Güvelikle ilgili dokümatasyolar (ör. risk degerledirme islem kayıtları, yöetim sorumlulugu, politika (Ör: temiz masa, iteret erisimi, kriptografi, erisim kotrolü vb.) Özel operasyoel dokümalar ve prosedürler, periyodik gözde geçirmeler Şirket stadartları ISO

20 UYGUNSUZLUK (Nocoformity) Bir güvelik alt politikasıı veya sürecii olmaması veya bu politikaya/sürece bağlılığı bulumaması sebebiyle bir güvelik ihlali olayıı oluşabilme ihtimalii olması ISO27001 maddelerii gerçekleştirilemiyor olması Majör Uygusuzluk Gerekli bir ISO27001 maddesii doğru şekilde adreslememiş olması edeiyle firma içi müşterileri üzeride etki yaratabilecek veya fiasal souçlar doğurabilecek bir güvelik ihlalie işaret edecek derecede büyük bir uygusuzluğu olması Miör Uygusuzluk Gerekli bir ISO27001 maddesii doğru doğru dokümate edilememiş ya da tam uygulaamıyor olması - firma içi müşterileri üzeride etki yaratabilecek veya fiasal souçlar doğurabilecek bir güvelik ihlalie işaret edecek derecede büyük bir uygusuzluk değil 20

21 Uygusuzluk Raporu Şuları İçerir : q Nerede buludu q Kaydedile tarih q Gereksiim eydi? (Politikaya ya da stadarda bağlaabilir) q Nesel kaıt edir? Açık ve tam olmalı Doğru, (tartışılmasız, gerçek) olmalı Az ve öz olmalı ISO27001 stadartlarıa refer etmeli KAPANIŞ TOPLANTISI; Tetkikçi,varsa daışma ve gerektiğide diğer yöeticiler de katılır, Kısa bir teşekkür kouşması yapılır, Uygusuzluklar objektif delillerle açıklaır, Tetkik souçları açıklaır, Olumlu yöler belirtilir. Uygusuzlukları Takibi Bulua uygusuzlukları daha sora şirket tarafıda kapatılması ve tetkikçii buu takip deetimleriyle görmesi gerekmektedir 21

22 BİLGİ GÜVENLİĞİ İHLAL OLAYI İş operasyolarıı tehlikeye atma ve bilgi güveliğii tehdit etme olasılığı ola tek ya da bir dizi istemeye ya da beklemeye bilgi güveliği olayları. Bilgi güveliği ihlal olaylarıı souçları maruz kala kurumları, az seviyede etkilemede, şirketleri kapamasıa kadar gidebilecek yüksek etki seviyeleride etkileyebilir. Bilgi güveliği ihlallerii çoğuluğu bilgi tekolojileri alaıda olsa da, başka alalarda da yaygı bir şekilde karşımıza çıkmaktadır. ISO27001 Açısıda.. RİSK i HATIRLAYIN! qiformatio security cotrols are imperfect i various ways: cotrols ca fail, work partially, or be completely missig (e.g. ot implemeted or ot operatioal). qcosequetly, icidets are boud to happe sice prevetive cotrols are ot totally reliable ad effective. qmaagig icidets effectively ivolves detective ad corrective cotrols desiged to miimize adverse impacts, gather foresic evidece (where applicable) ad lear the lessos i terms of promptig improvemets to the ISMS, especially the implemetatio of more effective prevetive cotrols. qiformatio security icidets commoly ivolve the exploitatio of previously urecogised ad/or ucotrolled vulerabilities, hece vulerability maagemet (e.g. applyig relevat security patches to IT systems ad addressig cotrol weakesses i procedures) is part prevetive ad part corrective actio. 22

23 ISO27035:2011 BG İhlal olayları Yöetimi Yöergesi HAZIR OLMA TANIMLAMA KARŞILIK VERME DEĞERLENDİRME DERS ÇIKARMA ISO27001:2013 İHLAL OLAYLARI YÖNETİMİ Bilgi sistemleri ile ilişkili bilgi güveliği olayları ve zayıflıklarıı zamaıda düzeltici ölemleri alıabilmesie izi verecek şekilde bildirilmesii sağlamak. Bilgi güveliği olayları uygu yöetim kaalları aracılığıyla mümkü olduğu kadar hızlı biçimde rapor edilmelidir. Bilgi sistemleri ve hizmetlerii tüm çalışaları, yükleicileri ve üçücü taraf kullaıcılarıda, sistemler ve hizmetlerdeki gözlee veya şüpheleile herhagi bir güvelik zayıflığıı dikkat etmeleri ve rapor etmeleri istemelidir. Bilgi güveliği ihlal olaylarıı türleri, miktarları ve maliyetlerii ölçülüp izleebilmesii sağlaya mekaizmalar bulumalıdır. 23

24 İhlal Olayı Nasıl Yaklaşmalı Geel olarak, hedefler aşağıdaki usurları içermelidir: q İhlal olayı yaşaa faaliyetleri mümkü olduğuda çabuk bir şekilde eski yapısıa dödürebilmek q İhlali aa sebeplerii saptamak ve ortada kaldırmak q Kayıpları, mümkü olabildiği ölçüde, telafi etmek q (İlave maliyetleri ve karışıklıkları miimumda tutmak!) İhlal Olayı İhlal olayları (Icidets) herhagi bir yer ve zamada meydaa gelebilir Bir sürü çalışaı, ruti işleride alıkoyabilir. Şirket faaliyetleri hem ihlal olayı hem de ihlale cevap verilmesi sırasıda sekteye uğrayabilir (e.g. risk mitigatio, evidece acquisitio) Elemalarımız, geellikle, motivasyoları düşük bir şekilde çalışabilirler İhlal Olayı Yöetimi Olmazsa... Herşey yeide çalışmaya başladıkta sora, ihlal olayıı yok sayma ve edelerii ortada kaldırmama q We ve see compaies go back ito operatio while still compromised ad without removig vulerabilities Good reveue for us we get to come back ad fid the same compromise! q Lear from mistakes ad try ot to make it a blame game Paik olma ve aşırı reaksiyo gösterme Ara sıra ola garip olayları, saki ormal bir şeymiş gibi polise bildirme ve başka hiçbir aksiyoda bulumama Özesiz/dikkatsiz ve et olmaya bilgiler verme/ bilgiledirmeler yapma 24

25 Bilgi Güveliği Olayları ve Zayıflıklarıı Rapor Edilmesi AMAÇ : Bilgi sistemleri ile ilişkili bilgi güveliği olayları ve zayıflıklarıı zamaıda düzeltici ölemleri alıabilmesie izi verecek şekilde bildirilmesii sağlamak q Bilgi güveliği olaylarıı rapor edilmesi : Bilgi güveliği olayları uygu yöetim kaalları aracılığıyla mümkü olduğu kadar hızlı biçimde rapor edilmelidir q Güvelik zayıflıklarıı rapor edilmesi : Bilgi sistemleri ve hizmetlerii tüm çalışaları, yükleicileri ve üçücü taraf kullaıcılarıda, sistemler ve hizmetlerdeki gözlee veya şüpheleile herhagi bir güvelik zayıflığıı dikkat etmeleri ve rapor etmeleri istemelidir. Raporlama Nede İhlal olayıı Sebebi Ne İhlal olayıı kısa taımı Nasıl İhlal olayıı asıl olduğu Kim İhlal olayıı kimi gerçekleştirdiği Güvelik İhlali Müdahele Timi (Icidet Respose Team)? Deployig the Icidet Respose Team, evidece acquisitio ad assessmet of optios for limitig impact Icidets usually require a time-sesitive respose if staff do t kow what to do, critical iformatio ad optios may be lost Uder stress it is good to kow who is capable ad permitted to decide time-critical issues 25

26 Bilgi güveliği ihlal olayları ve iyileştirmeleri yöetilmesi AMAÇ : Amaç: Bilgi güveliği ihlal olaylarıı yöetimie tutarlı ve etkili bir yaklaşımı uygulamasıı sağlamak q q q Sorumluluklar ve prosedürler: Bilgi güveliği ihlal olaylarıa hızlı, etkili ve düzeli bir yaıt verilmesii sağlamak içi yöetim sorumlulukları ve prosedürleri oluşturulmalıdır. Bilgi Güveliği İhlal Olaylarıda Öğreme : Bilgi güveliği ihlal olaylarıı türleri, miktarları ve maliyetlerii ölçülüp izleebilmesii sağlaya mekaizmalar bulumalıdır. Kaıt Toplama : Bir bilgi güveliği ihlal olayıda sora bir kişi veya kuruluşa karşı alıa takip ölemi yasal eylem (ya sivil hukuk ya da ceza hukuku) içerdiğide, ilgili yargılama kurallarıda belirlemiş ola kaıt kuralları ile uyumlu şekilde kaıt toplamalı, tutulmalı ve suulmalıdır. Herkesle İletişim İçide olmak öemli!!!! - Commuicatios!!! Cosider havig a Icidet Operatios Hub (the War Room ) withspecific outgoig chaels ad messages Who are the authoritative sources for each type of iformatio? Exterally focused commuicatios Police (for discovered crimial acts) Media (what s the spi?) Customers (you may be legally or cotractually obligated to) Parter orgaisatios Ivestigative pursuit follow up/ search Due diligece (carefuless) /patiace Örek bir DÖFİ formuu iceleyelim (Ders web siteside idirilecektir) 26