TBD Kamu-BĐB. Bilişim Platformu VIII

Ebat: px
Şu sayfadan göstermeyi başlat:

Download "TBD Kamu-BĐB. Bilişim Platformu VIII"

Transkript

1 TBD Kamu-BĐB Bilişim Platformu VIII 4. ÇALIŞMA GRUBU SONUÇ RAPORU E-DEVLET UYGULAMALARINDA GÜVENLĐK VE GÜVENĐLĐRLĐK YAKLAŞIMLARI Raporu Hazırlayanlar ÇG Başkanı : Murat Tora Hazırlayanlar : A.Şükrü Ohri Adnan Coşkunsakarya Aslıhan Yazıcı Beyza Uyukçuoğlu Burak Dayıoğlu Dicle Soyer Eren Ersoy Esin Demirbağ Mehtap Erdoğan Melike Sinem Uçum Nurhan Özalp Sema Altınsoy Ünsal Ayçiçek TBD/KamuBĐB-8/ ÇG 4,

2 ĐÇĐNDEKĐLER 1 GĐRĐŞ KISALTMALAR GENEL DURUM ANALĐZĐ, BĐLGĐ GÜVENLĐĞĐ TEHDĐT UNSURLARI BĐLGĐ ÇAĞI BĐLGĐ TOPLUMU BĐLGĐ SAVAŞI KAVRAMI ULUSAL GÜVENLĐK KAVRAMI VE ULUSAL GÜVENLĐK STRATEJĐSĐ BĐLGĐ GÜVENLĐĞĐ YÖNETĐM SĐSTEMĐ(BGYS) BĐLGĐ GÜVENLĐĞĐ NEDĐR? BĐLGĐ GÜVENLĐĞĐ YÖNETĐM SĐSTEMĐ (BGYS) NEDĐR? BĐLGĐ GÜVENLĐĞĐ YÖNETĐM SĐSTEMĐ NĐÇĐN GEREKLĐDĐR? BĐLGĐ GÜVENLĐĞĐ YÖNETĐM SĐSTEMĐ STANDARTLARI: BS 7799, ISO 17799, ISO BĐLGĐ GÜVENLĐĞĐ YÖNETĐM SĐSTEMĐ KAPSAMI ISO/IEC BĐLGĐ GÜVENLĐĞĐ YÖNETĐMĐ UYGULAMA PRENSĐPLERĐ STANDARDI ISO un Kapsamı ISO Standardı Kimler Đçindir? Varolan Yasal Düzenlemelerle Đlişkisi ISO 17799:2005 in Yapısı ve Formatı Kontrol Hedefleri ve Kontroller BS7799 / ISO UN DĐĞER ISO STANDARTLARI ĐLE ĐLĐŞKĐSĐ ISO/IEC 27001: TÜRKĐYE DE DURUM BT GÜVENLĐĞĐ TEKNĐK KONTROLLERĐ AĞ GÜVENLĐĞĐ Ağ Cihazlarının Yönetimi ve Güvenliği Ağ Yapısında Saldırı Tespit ve Önleme Ağ Güvenlik Politikası, Uygunluğu ve Yönetimi SĐSTEM GÜVENLĐĞĐ Konfigürasyon Sağlamlaştırma Güncelleme, Yamalama Bütünlük Denetimi Saldırı Tespit ve Önleme Politika Uygunluğu Yönetimi YAZILIM GÜVENLĐĞĐ Ortak Kriterler(Common Criteria) VERĐ GÜVENLĐĞĐ YEDEKLEME VE ŞĐFRELEME Yedekleme Şifreleme UÇSĐSTEM GÜVENLĐĞĐ PERĐYODĐK GÜVENLĐK DENETĐMLERĐ ÖRNEK GÜVENLĐ AĞ MĐMARĐLERĐ Örnek Topoloji 1: Tek bir güvenlik duvarı ile merkezi olarak bölünmüş yerel ağlar Örnek Topoloji 2: Katmanlı güvenlik mimarisi Örnek Topoloji 3: Katmanlı Portal Network Mimarisi TBD/KamuBIB-8/ÇG4, Sayfa No : 2 / 41

3 8 E-DEVLET UYGULAMALARINDA BT GÜVENLĐĞĐ KĐMLĐK VE ERĐŞĐM YÖNETĐMĐ ĐZLEME, TAKĐP VE ĐŞLETĐM (KAYIT TUTMA) E-DEVLET UYGULAMALARINDA GÜVEN VE GÜVENĐLĐRLĐK UNSURU ÖZET VE SONUÇ KAYNAKLAR EKLER EK-1 : Grup Üyeleri Listesi TBD/KamuBIB-8/ÇG4, Sayfa No : 3 / 41

4 1 Giriş TBD KAMU-BĐB 4. Çalışma Grubunun konusu E-devlet uygulamalarında Güvenlik ve Güvenilirlik Yaklaşımları olup, bilgi güvenliği kavramı standartlar, bilgi güvenliği yönetim sistemi, teknik kontrol noktaları gibi genel yaklaşımlar ile kamu kurumları / e-devlet uygulamaları özelinde bilgi güvenliği ve sunulan uygulamalara yönelik güvenilirlik başlıkları altında ele alınmaktadır. 2 Kısaltmalar Kısaltma BGYS BT IT ISMS TSE BSI PUKÖ PDCA SOX GLBA HIPAA VPN LAN DMZ WAN ISS CERT Açık Adı Bilgi Güvenliği Yönetim Sistemi Bilişim Teknolojileri Đng. Information Technologies Đng. Information Security Management System Türk Standartları Enstitüsü Đng. British Standards Institution Đngiliz Standartlar Enstitüsü Planla, Uuygula, Kontrol, Önlem Đng. Plan, Do, Check, Act Sarbanes-Oxley Act Gramm-Leach-Bliley Act Health Insurance Portability and Accountability Act Đng. Virtual Pirivate Network Sanal Özel Ağ Đng Local Area network Yeral Alan Ağı Đng. Demilitarized Zone Yarı Güvenli Ağ Bölgesi Đng. Wide Area Netwok Geniş alan Ağı Đnternet Servis Sağlayıcı Đng. Computer Emergency Response Team(Acil Durum Müdahale Ekibi) TBD/KamuBIB-8/ÇG4, Sayfa No : 4 / 41

5 3 Genel Durum Analizi, Bilgi Güvenliği Tehdit Unsurları Küreselleşmenin alabildiğince yaygınlaştığı günümüz dünyasında, bilgi ve iletişim teknolojilerinin yaygın kullanımı nedeni ile ülkelerin ve kuruluşların en önemli değerlerinden olan bilgi nin güvenliğinin sağlanması, ülkelerin ve kuruluşların güvenliğinin sağlanması ile eşdeğer tutulmakta ve önem kazanmaktadır. 3.1 Bilgi Çağı Bilgi Toplumu Tüm dünyada, sanayi toplumu ndan sonra yaşanan dönüşüm, bilgi çağı, sanayi sonrası toplum, enformasyon toplumu gibi adlarla ifade edilmektedir. Bilgi, toplumun bilgi toplumu olarak adlandırılmasına neden olan çok önemli bir değerdir. Alvin Toffler, toplumları tarım, sanayi ve sanayi sonrası toplum olarak sınıflandırmaktadır. Toffler e göre önemli dönüm noktalarından ilki tarım, ikincisi sanayi devrimi dir. Đkinci Dünya Savaşı sonrası başka bir süreç ortaya çıkmıştır. Bu değişim dalgası, 1950 lerin ortalarında ABD de başlamış, daha sonra diğer sanayileşmiş ülkelere ulaşmıştır. Üretim aracı bilgi olan bu yeni süreç, Sanayi Sonrası Devrim olarak adlandırılmaktadır [Toffler1981]. 1 Bilişim teknolojileri kullanılarak elde edilen ve üretilen bilginin, ekonomik yönden en güçlü etmen olduğu toplum, bilgi toplumudur. Sanayi toplumu boyunca üretim faktörü olarak görülen kas gücüne bağlı işgücü, yerini bilgiye dayalı uzmanlığa bırakmıştır. Bilgi ve teknoloji üretimin temel faktörleri olmuştur. Temel başlangıç noktası Berlin Duvarı nın yıkılması ile özdeşleştirilen küreselleşme nin asli unsurları olarak politika, kültür, ulusal güvenlik, finans piyasaları ve çevrecilik e ek olarak teknolojik gelişmeler de sayılmıştır. 2 Bilgi Teknolojileri sayesinde bilgiye erişim çok hızlı olduğundan bilgi, üretim sürecinin temel girdisi haline gelmiştir. Bilgi toplumunda, coğrafi sınırları olmayan sanal bir ortam oluşmuş, dünya küçülmüş, en uzak köşeler, insanlara bir parmakla dokunacak kadar yaklaşmıştır Bilgi toplumunda, bilgi verimliliğin artmasına neden olurken, rekabeti de artırmıştır. Küresel dünyanın yoğun rekabet ortamında varolabilmek için hızla bilgi teknolojilerine adapte olunmaktadır. 3.2 Bilgi Savaşı Kavramı Bilgi Savaşı, Politik ve askeri hedefleri desteklemek için barış, kriz ve savaş dönemlerinde hasımın sahip olduğu bilgi altyapısı, sistem ve süreçlerinin işlevselliğini engellemek, imha etmek, bozmak ve kendi çıkarlarımız için kullanmak amacıyla yapılan hareketlerle; düşmanın bu faaliyetimize karşı önlem almasını engelleyecek ve benzeri harekatına karşı koyacak tedbirler ve süreçlerin tamamı olarak tanımlanmıştır. Bilgi teknolojilerindeki son gelişmeler ile artık savaş, sadece ülke topraklarının savunması amacıyla yapılır olmaktan çıkmıştır. Ülkelerin varlıklarının tüm kayıtları ve işletimi bilgi sistemlerine bağlı hale geldiği için barış ve savaş halinin zaman ve mekan sınırları belirsizleşmiştir. Kamuoyu oluşturma, psikolojik harekat gibi dolaylı faaliyetlerin yanısıra, bilgisayar korsanlarının saldırıları gibi doğrudan faaliyetlerden oluşan siber saldırıları da kapsayan bu yeni savaş hali gündeme gelmiştir. Başta A.B.D, Rusya, Çin, Đsrail ve Almanya olmak üzere bir çok ülke, bilgi savaşlarında kullanılacak silahlar için araştırma-geliştirme faaliyetlerini başlatmışlardır. Ülkemizin bu tip gerginlikler nedeniyle pek hedef olarak seçilmediği düşünülse de aşağıdaki veriler, Türkiye nin de bu saldırılardan ciddi bir pay aldığını göstermektedir [Yarman2004]. 1 Toffler, Alvin, (1981), Üçüncü Dalga, (Çev:Ali Seden), Altın Kitaplar Yayınevi 2 Friedman, Thomas; (1999),Küreselleşmenin Geleceği(Çev.Elif ÖZSAYAR), Boyner Holding Yayınları TBD/KamuBIB-8/ÇG4, Sayfa No : 5 / 41

6 Saldırı Sayısı Son Bir yıldaki Saldırı Sayısı Brezilya Çin Meksika TÜRKĐYE Tayland A.B.D. Ülkeler Tayvan Kolombiya Mısır Arjantin 0 A.B.D. Almanya Brezilya Đngiltere Đtalya Kanada Hollanda Güney Kore Avusturya Arjantin Fransa Ülkeler Đsviçre Avustralya Đspanya Polonya TÜRKĐYE Tayvan 2002 Yılında Kamu ve Askeri Kurum Sitelerine Yapılan Başarılı Saldırılar 1 Milyon Đnternet Kullanıcısı Başına Düşen Başarılı Saldırı Oranı 20,00 18, ,00 S a l d ı r ı S a y ı s ı Çin ABD TÜRKĐYE Brezilya Avusturalya Ülkeler Saldırı Sayısı 14,00 12,00 10,00 8,00 6,00 4,00 2,00 0,00 TÜRKĐYE Brezilya Avusturalya Ülkeler Çin ABD Şekil 1. Saldırı analiz grafikleri En çok saldırıya uğrayan ülkelerde 16. sırada olan Türkiye, doğrudan devlet sitelerine yapılan saldırılarda 4. sıradadır. Kamu ve askeri sitelere yapılan saldırılarda 3. sırada olan Türkiye, tüm saldırıların devlete yapılan saldırılara oranlamasında ve kişi başına düşen başarılı saldırılarda dünyada 1. olmuştur. Bütün bu veriler sayısal tehditlerin zaman gectikçe önem ve sonuclarının arttığını göstermektedir. Öte yandan sistem ve bilgi güvenliğinde yeterli önlemleri alamamış olmamızdan dolayı bot(robot) networkler olarak adlandırılan ve kullanıcıların bilgisi olmaksızın üzerlerinden başka hedeflere saldırı düzenlenebilen sistemlerden oluşturulan saldırı networkleri sıralamasında Türkiye 2003 yılında 26. sırada iken 2004 yılında 7. sırada yer aldığı gözlenmiştir. Yukarıda sunulan veriler bu alanda acil eylem gerektiğine işaret etmektedir. Bu raporun ilgili eylemleri yönlendirme ve önceliklendirme noktasında katkı sağlaması hedeflenmiştir. 4 Ulusal Güvenlik Kavramı ve Ulusal Güvenlik Stratejisi 2945 sayılı Milli Güvenlik Kurulu ve Milli Güvenlik Kurulu Genel Sekreterliği Kanununun 2 nci maddesine göre Milli Güvenlik, Devletin anayasal düzeninin, milli varlığının ve bütünlüğünün milletlerarası alanda siyasi, sosyal, kültürel ve ekonomik dahil bütün menfaatlerinin ve ahdi hukukunun her türlü dış ve iç tehditlere karşı korunması ve kollanması olarak tanımlanmıştır [Başbakanlık2006]. TBD/KamuBIB-8/ÇG4, Sayfa No : 6 / 41

7 Kullanımı ve önemi artan bilişim altyapısının, artması beklenen siber saldırılara karşı askeri, kamu ve özel sektör ayırımı yapmadan güvenlik seviyesinin artırılması için tehdit analizine dayalı olarak hazırlanacak Ulusal Bilgi Güvenliği Stratejik Planı doğrultusunda organize olarak çalışılmalıdır. Savunma sistem gereksinimlerinin yaklaşık %80 ini yurt dışından sağlayan ülkemiz için yüksek teknolojiye dayalı üretim yapan ve ürünlerini dışa satabilen anlık kararlara ya da projeye göre değişen AR-GE ve yatırım stratejileri ile gerçekleştirilmeyen bir ulusal savunma endüstrisinin kurulması en önemli amaç olmalıdır. Öte yandan DPT Bilgi Toplumu Strateji Raporunda yer alması planlanan Bilgi Sistemleri Acil Durum Müdahale Ekibi (Computer Emergency Response Team-CERT) kavramının öncelikli olarak yaşama geçirilmesi gerekmektedir. Siber terörizme, olası siber uzay tehditlerine ve gelecekte oluşabilecek siber savaşta kullanılabilecek uzman personel yetiştirmek üzere savunma ve güvenlik bilişimi programı hazırlanmalıdır. 5 Bilgi Güvenliği Yönetim Sistemi(BGYS) Son yıllarda bilgisayar ve internet kullanımının hızla yaygınlaşarak artması sonucu, kişiler, kurumlar ve kuruluşlar işlerini artık çok büyük oranda elektronik ortamlarda gerçekleştirmektedirler. Bunun sonucu olarak e-ticaret, e-kurum, e-devlet, e-imza, e-posta gibi kavramlar hızla klasik çalışma biçimlerinin yerini almaktadır. Bu değişimi günlük yaşantımızda neredeyse her alanda görebilmekteyiz. Örneğin bankacılık işlemlerini bankaya gitmeden evimizdeki, iş yerimizdeki kişisel bilgisayarlarımızla veya cep telefonlarımızla yapabilmekteyiz. Vergi ve ceza ödemeleri yapmak, pasaport başvurusunda bulunmak, seyahat rezervasyonları yapmak, tamirdeki cihazlarımızın hangi aşamada olduğunu öğrenmek, hatta dizüstü bilgisayarlarımızla mobil bilgi işlem uygulamaları yapmak günümüzde sıradan olaylar olarak algılanmaktadır. Ancak, bilgisayarlaşma hızındaki bu baş döndürücü gelişmelere paralel olarak kişiler, kurumlar ve işletmelerin sahip oldukları veriler, bilgisayar kullanılarak yapılan sahtekarlıklar, bilgi hırsızlığı, bilgisayar korsanları, elektronik saldırılar, bilgi sızdırma ve ilgili kuruluşların kendi çalışanlarınca oluşturulabilecek potansiyel iç saldırılar gibi çok geniş bir yelpazeye sahip kaynaklardan gelen tehdit ve tehlikelerle karşı karşıyadır. Özellikle bilgisayar virüsleri, kötü niyetle bilgisayarları ağ üzerinden ele geçirerek bilgisayarlara zarar veren kişilerin kullandığı yöntemler, kişisel ve kurumsal bilgilerin izinsiz olarak elde edilmesi veya değiştirilmesi konusundaki tehditler artarak sürmekte olup, kişiler ve kurumlar bu tehlikeler karşısında giderek daha riskli bir duruma gelmektedirler. Hizmetlerin internet ortamında sunulma eğiliminin artması, açık ve özel ağlar arasındaki geçişler, bilgilerin halka açık sistemlerle paylaşılması gibi uygulamaların artması sonucu bilgilere erişimin yetkilendirilmesi ve denetlenmesi güçleşmektedir. Bilgi güvenliğini tehdit eden unsurlar sadece elektronik ortamda yapılan saldırılarla sınırlı değildir. Yangın, sel, deprem v.b. doğal afetler veya kullanıcı hataları sonucunda da bilgiler ve bilgi sistemleri tamamen ya da kısmen zarar görebilmektedir. Özellikle kurum ve kuruluşların kuruldukları günden bu yana tüm faaliyetlerini içeren bilgilerin yok olması, tüm kurumsal belleğin bir anda silinmesi anlamına gelecektir. 5.1 Bilgi Güvenliği Nedir? Günümüzde internetin yaygınlığının ve kullanımının artması, gittikçe üzerinden daha fazla kritik veri dolaşması, kurumların iş süreçlerini elektronik ortama taşıyarak kurumsal kaynak planlama (ERP) ile e- iş fonksiyonlarını birleştirme çabaları, bunun sonucunda daha hızlı işlem yapmaları ve dolayısıyle ürün ve hizmetlerine rekabet üstü değerler kazandırmaları gitgide tüm bu unsurlara temel teşkil eden güvenlik teknolojilerinin önemini arttırmaktadır. TBD/KamuBIB-8/ÇG4, Sayfa No : 7 / 41

8 Bugünün "dijital ekonomi" dünyasında, bilgiye sürekli erişimi sağlamak ve bu bilginin son kullanıcıya kadar bozulmadan, değişikliğe uğramadan ve başkaları tarafından ele geçirilmeden güvenli bir şekilde sunulması giderek bir seçim değil zorunluluk haline gelmektedir. Đşte yaşanan tüm bu süreçler bilginin kaynağı ve değerlendirilmesinin yanı sıra Bilgi Güvenliği ile ilgili kavramların incelenmesini de gerekli kılmaktadır. Bilginin oluşma sürecine bakıldığında ham verilerin (data) toplandıktan sonra enformasyona dönüştüğünü, bunların işe yarar ve bizlere katma değer yaratabilecek bilgilere (knowledge) çevrildiğini, en sonunda ise tüm bilgilerin sistematik ve etkin bir şekilde insan aklı ile birlikte yoğrulup değerlendirilerek bundan buluşların ve yeniliklerin ortaya çıktığını görürüz. Tüm dünyada yaygın bir yaklaşımla bilgi güvenliği ile ilgili üç terim öne çıkar: 1. Gizlilik (confidentiality) 2. Bütünlük(integrity) 3. Erişilebilirlik (availability) Kısaca gizlilik; önemli, hassas bilgilerin istenmeyen biçimde yetkisiz kişilerin eline geçmemesini; bütünlük, bilginin bozuk, çarpık ve eksik olmamasını; erişilebilirlik(kullanılırlık) ise bilgi veya bilgi sistemlerinin kesintisiz şekilde kullanıma hazır veya çalışır durumda kalmasını hedefler Bilgi Güvenliği Yönetim Sistemi (BGYS) Nedir? Bilginin bu şekilde değerlenmesi, kurumların ürün ve hizmet bilgilerinin yanı sıra, stratejik, finansal, pazar bilgilerinin rakiplerden ve yetkisiz erişimlerden korunması, süreçlerin hızlı ve kusursuz bir yapıda işlerliği, tüm bunlara hizmet veren bilgi teknolojilerinin (IT) alt yapısı, işletim yazılımları, iletişim ağları, bilgi yönetimi vb unsurların bir sistem dahilinde düzenlenmesi ve ele alınması gerekliliğini ortaya çıkarmıştır. Kurumların internet veya özel iletişim hatları üzerinden akan verilerinin güvenliğinin sağlanması amacıyla kullanılabilecek pekçok teknoloji bulunmakta olup fiziksel güvenlik yapıları, kullanıcı doğrulaması, şifreleme ve erişim / içerik denetimi bunlara örnek olarak sayılabilir. Ancak yalnız teknolojik önlemlerle (anti-virüs, firewall sistemleri, kripto vb.) iş süreçlerinde bilgi güvenliğini sağlama olanağı yoktur. Bilgi güvenliği, kurumsal süreçlerin bir parçası olmalı ve bu bakımdan bir iş anlayışı, yönetim ve kültür sorunu olarak ele alınmalıdır. Her kurum mutlaka kurumsal güvenlik politikası oluşturmak, bunu yazılı olarak dokümante etmek ve çalışanlarına, iş ortaklarına, paydaşlarına aktarmak zorundadır. Tüm çalışanlar bilgi güvenliği konusunda bilinçli olmalı, erişebildikleri bilgiye sahip çıkmalı, özenli davranmalı, üst yönetim tarafından yayınlanan bilgi güvenliği politikası kurum açısından bilgi güvenliğinin önemini ortaya koymalı, sorumlulukları belirlemeli, çalışanlarını bilgilendirmeli ve bilgi güvenliği sistemi iş ortaklarını da(müşteri, tedarikçi, taşeron, ortak firma vb.) kapsamalıdır. Đşte bu nedenlerle "Kurumsal Bilgi Güvenliği" kavramı altında bir yönetim sistemi oluşturma yönünde yapılan çalışmalar 1993 yılında BS 7799 standardını, 2000 yılında ise ISO/IEC standardını ortaya çıkarmıştır. Kısaca ISMS (Information Security Management System) olarak adlandırılan ve daha birçok IT bazlı standartla desteklenen bu yeni yönetim sistemi standardında, bilişim teknolojilerinin güvenliği ile ilgili kriterler ile bu sistemlerin yeterliliği ve denetimi ele alınmakta ve 500'den fazla sorgulama ve detay kontrol yapılmaktadır. 3 ISO Org, ISO/IEC 17799:2005 Information technology - Security techniques TBD/KamuBIB-8/ÇG4, Sayfa No : 8 / 41

9 Tüm bunlardan çıkan sonuç; bilgi güvenliğinin bir teknoloji sorunu olmadığı, bunun bir iş yönetimi sorunu olduğudur. Bu nedenle günümüzün rekabet ortamında global ekonominin içinde varolmak için kurumsal bilgilerimizi koruma ve güvence altına alma, bunu bir yönetim sistemi yaklaşımı içinde kurumsal düzeyde yaygınlaştırma mecburiyeti, kurumları Bilgi Güvenliği Yönetim Sistemi kurmaya ve kullanmaya zorlayacaktır. Vazgeçilmez bilgilerin ve önemli bilgi sistemlerinin korunabilmesi, iş risklerinin en aza indirgenmesi ve iş sürekliliğinin sağlanması ancak bütünsel yaklaşımlar ile sağlanabilir. Bilgi Güvenliği Yönetim Sistemi (BGYS - Information Security Management System, ISMS) bilgilerin her ortamda (kağıt üzerinde, elektronik ortamda, yazılı ve sözlü iletişimde vb.) güvenliği için öngörülen yönetsel çerçeveleri oluşturur. BGYS nin kurulması demek, olası risklerin ve tehditlerin belirlenmesi, güvenlik politikalarının oluşturulması, denetimlerin ve uygulamaların kontrolü, uygun yöntemlerin geliştirilmesi, örgütsel yapılar kurulması ve yazılım/donanım fonksiyonlarının sağlanması gibi bir dizi denetimin birbirini tamamlayacak şekilde gerçekleştirilmesi ve sistematik biçimde işletilerek sürekli iyileştirilmesi anlamına gelmektedir Bilgi Güvenliği Yönetim Sistemi Niçin Gereklidir? Bir kuruluşun sadece teknik önlemlerle bilgi güvenliğini ve iş sürekliliğini korumasının mümkün olmadığı, bunun yanısıra BGYS gibi bir takım önlem ve denetimlerin sağlanması gerektiği konusu tüm dünyada kabul edilmiş bir yaklaşımdır. BGYS çerçevesinde oluşturulacak güvenlik politikalarına üst yönetim ve tüm çalışanların destek vermesi ve tavizsiz bir şekilde uygulaması gerekmektedir. Ayrıca işbirliğinde bulunulan tüm kişi ve kuruluşların da bu politikalara uygun davranması güvenliği artırıcı bir faktördür. Aşağıda bir kuruluşa BGYS nin sağlayacağı faydalar ana hatlarıyla belirtilmektedir: Tehdit ve risklerin belirlenerek etkin bir risk yönetiminin sağlanması Kurumsal prestijin korunması ve artışı Đş sürekliliğinin sağlanması Bilgi kaynaklarına erişimin denetlenmesi Personelin, yüklenicilerin ve alt yüklenicilerin güvenlik konusunda farkındalık düzeyinin yükseltilmesi ve önemli güvenlik konularında bilgilendirilmesi Otomatik ve elle yönetilen sistemlerde, duyarlı bilgilerin uygun bir şekilde kullanıldığının garanti altına alınması amacıyla gerçekçi bir kontrol sistemi kurulması Bilgi varlıklarının bütünlüğünün ve doğruluğunun sağlanması Personelin, müşterilerin ve yüklenicilerin görevlerini yerine getirirken, bilgi sistemleri kaynaklarını kötü amaçlı olarak kullanma ve/veya kaynakları suistimal etmelerinin engellenmesi Bilgi varlıklarının gizliliğinin korunması 4 Bilgi Teknolojisi Bilgi Güvenliği Yönetimi Đçin Uygulama Prensipleri, TS ISO/IEC 17799, Türk Standartları Enstitüsü, Kasım 2002, Türkiye TBD/KamuBIB-8/ÇG4, Sayfa No : 9 / 41

10 Personelin, başkaları tarafından yapılabilecek olan suistimal ve tacizlere karşı zan altında kalmasının engellenmesi Duyarlı bilgilerin uygun bir şekilde üçüncü taraflara ve denetmenlere açık olmasının sağlanması 6 Bilgi Güvenliği Yönetim Sistemi Standartları: BS 7799, ISO 17799, ISO Kurumların kendi iş süreçlerini bilgi güvenliğine yönelik risklerden korumaları ve önleyici tedbirleri sistematik biçimde işletebilmeleri için uluslararası bilgi güvenliği standartları geliştirilmiştir. Bu standartlardan en önemlisi Đngiliz Standartlar Enstitüsü BSI tarafından geliştirilen BS-7799 olup bu standart daha sonra ISO standardı haline getirilerek pek çok ülke tarafından resmi bilgi güvenliği standardı olarak kabul edilmiştir. ISO/IEC (BS :2000) Standardı Kısım-1 olarak bilinmektedir ve orijinal adı Information Technology Code of Practice for Information Security Management dır. Bu kısımda bilişim güvenliği için çalışma kuralları anlatılmakta olup, içerdiği 11 bölüm içerisinde 127 ana kontrol maddesi bulundurmaktadır. BS (Kısım-2) olarak bilinen ve orijinal adı Information Security Management Systems Specification with Guidance for Use olan bölümde ise bilgi güvenliği yönetim sistemleri (Information Security Management System, ISMS) spesifikasyonlarına değinilmektedir. 5 Kısım iki, daha sonra ISO/IEC (ISO/IEC 27001:2005) olarak uluslararası bir standart haline gelmiştir. BSI (British Standards Institution) önderliğinde 1993 yılında başlatılan ilk bilgi güvenliği standardı çalışmalarında endüstri, devlet ve ticari kuruluşlardan gelen, ortak bir güvenlik yapılanması isteği büyük rol oynamıştır. Bu isteğin asıl nedeni, kuruluşların birbirleriyle yaptıkları işlerin yürütülmesi sırasında karşılıklı olarak asgari düzeyde güvenlik seviyesini sağladıklarını birbirlerine göstermek ihtiyacını hissetmeleridir. Bu çalışmaya katılan kuruluşlar arasında British Standards Institution, British Telecommunications, British Security Industry Association gibi yaklaşık 25 şirket bulunmaktadır. Ülkemizde de bu standardın 1. kısmı 11 Kasım 2002 tarihinde TS ISO/IEC adıyla ve 2. kısmı ise TS olarak 17 Şubat 2005 tarihinde TSE tarafından kabul edilmiştir 6. Ancak, BS olarak bilinen ve standardın ikinci kısmı olan BS ye 5 ana madde daha eklenerek toplam 15 ana maddeye çıkarılmış olup, yeni adıyla ISO olarak Ekim 2005 te ISO tarafından yayımlanmıştır. TSE ise ISO in yerelleştirmesini 2006 başında tamamlamıştır. PUKÖ (Đng. PDCA (Plan, Do, Check, Act)) kavramı ile kurum, kuruluş ve işletmelerin bilgi güvenliğinin daha etkin bir şekilde uygulanması ve yönetilmesi amaçlanmaktadır. Bu yaklaşımla, kurum ve kuruluşlar gerek duydukları taktirde standardın maddelerine ek olarak yeni denetimler uygulayabilirler. Bu modele göre şekilde verilen döngünün düzenli aralıklarla kurum, kuruluş ve işletmelerde gözden geçirilmesi gerekmektedir. 5 BS ISO/IEC 17799:2000 BS 7799/1:2000 Information Technology Code of Practice for Information Security Management, UK 6 TSE kurumsal web sayfası TBD/KamuBIB-8/ÇG4, Sayfa No : 10 / 41

11 Şekil 2. Planlama, uygulama, kontrol, düzeltme döngüsü. Bu standardın önemini vurgulamak için bir örnek vermek gerekirse; 5 Ağustos 2005 tarihinde yayımlanan TC Başbakanlık Genelgesi 7 ile e-dönüşüm Türkiye Projesi Birlikte Çalışılabilirlik Esasları Rehberi duyurulmuştur. Bu genelgeye göre tüm kamu kurum ve kuruluşlarının Bilgi Güvenlik Yönetim Sistemini kurmaları ve bunu, TS :2005 veya BS :2002(O tarihte henüz TS ISO IEC yayınlanmadığı ve bu standart yürürlükten kalkmadığı için) sertifikası ile belgelendirmeleri gerekliliği belirtilmiş, bu sertifikanın, kurum bünyesinde BGYS nin bu standartlara uygun şekilde işletildiğini belgeyeceği ifade edilmiştir. 8 Planla (BGYS nin kurulması) Uygula(BGYS nin gerçekleştirilmesi ve işletilmesi) Kontrol Et (BGYS nin izlenmesi ve gözden geçirilmesi) Önlem al (BGYS nin sağlanması ve iyileştirilmesi) sürekliliğinin Sonuçları kuruluşun genel politikaları ve amaçlarına göre dağıtmak için, risklerin yönetimi ve bilgi güvenliğinin geliştirilmesiyle ilgili BGYS politikası, amaçlar, hedefler, süreçler ve prosedürlerin kurulması. BGYS politikası, kontroller, süreçler ve prosedürlerin gerçekleştirilip işletilmesi. BGYS politikası, amaçlar ve kullanım deneyimlerine göre süreç performansının değerlendirilmesi ve uygulanabilen yerlerde ölçülmesi ve sonuçların gözden geçirilmek üzere yönetime rapor edilmesi. BGYS nin sürekli iyileştirilmesini sağlamak için, yönetimin gözden geçirme sonuçlarına dayalı olarak, düzeltici ve önleyici faaliyetlerin gerçekleştirilmesi. Tablo 1. BGYS süreçlerine uygulanan PUKÖ modeli /20 Sayılı Başbakanlık Dış Genelgesi 8 Birlikte Çalışabilirlik rehberi Sayfa:27 TBD/KamuBIB-8/ÇG4, Sayfa No : 11 / 41

12 Bu standart, ilgili yönetim standartlarıyla tutarlı ve tümleşik gerçekleştirme ve işletimi desteklemek için ISO 9001 ve ISO ile uyumludur. Bu nedenle, uygun şekilde tasarlanmış bir yönetim sistemi tüm bu standartların gereksinimlerini karşılayabilir. 6.1 Bilgi Güvenliği Yönetim Sistemi Kapsamı BGYS kapsamında, güvenlik ile ilintili kontroller 11 ana çalışma alanı altında toplanmıştır. Bu alanlar ve kısa tanımları aşağıdaki gibidir: 1. Güvenlik Politikası Bilgi güvenliğini arttırıcı kurallar ve yönetim tavsiyelerini içerir. 2. Organizasyonel Güvenlik Kurum içindeki bilgi güvenliği yönetimini kolaylaştırmak. 3. Varlık Sınıflandırması ve Denetim - Varlıkların envanterini çıkartmak ve bu varlıkları etkin bir şekilde korumak. 4. Personel Güvenliği Đnsan hatası, hırsızlık, dolandırıcılık yada ekipmanın amacı dışında kullanılması gibi riskleri en aza indirmek. 5. Fiziksel ve Çevresel Güvenlik Saldırıyı, kalite kaybını yada endüstriyel vasıtaların ve verinin bozulmasını engellemek. 6. Đletişim ve Operasyonel Yönetim Bilgi işleme donanımlarının yeterli ve güvenilir olduğunun kontrolü. 7. Erişim Kontrolu Bilgiye erişimin kontrolü. 8. Sistemlerin Geliştirilmesi ve Sürekliliği Güvenliğin bilgi sistemlerinin içine dahil edilmesini sağlamak. 9. Olay yönetimi Güvenlik ihlallerinin ne şekilde ele alınacağına yönelik tavsiyeler. 10. Đş Sürekliliği Yönetimi Đş kesintilerini ve etkilerini azaltmak ve şirketin esas işlemlerini arıza ve büyük felaketlerden korumak. 11. Uygunluk Herhangi bir yasal, güvenlik koşulları ile ilgili ihlallerden kaçınmak. Aşağıdaki diyagram 11 ana başlığı gösterir. Her bir ana başlık; yönetimsel, teknik ve fiziksel ölçütler etrafında kurulmuş farklı konuları ele alır ve tepeden aşağıya doğru türetilir. Etkisi yönetim seviyesinden operasyonel seviyeye doğru hissedilir TS ISO/IEC 27001:2006, Sayfa:2 10 TBD BilgiGüvenliği Grubu yayınlanmamış 2006 raporu, sayfa: 12 TBD/KamuBIB-8/ÇG4, Sayfa No : 12 / 41

13 Organizasyonel Güvenlik Politikası Fiziksel Bakış Organizasyonel Güvenlik Organizasyonel Bakış Teknik Bakış Varlık Sınıflandırması ve Denetim Erişim Kontrolu Uygunluk Operasyonel Personel Güvenliği Fiziksel ve Çevresel Güvenlik Sistemlerin Geliştirilmesi ve Sürekliliği Đletişim ve Operasyonel Yönetim Đş Sürekliliği Yönetimi Olay Yönetimi Şekil 3. BGYS Kontrolleri Şeması ISO/IEC BĐLGĐ GÜVENLĐĞĐ YÖNETĐMĐ UYGULAMA PRENSĐPLERĐ STANDARDI ISO un Kapsamı Bilgi güvenliği modern organizasyonların tüm bölümlerini kapsayan geniş bir konudur. Standart, ticari işletmeler, kamu kurumları, yardım dernekleri gibi farklı birçok türdeki organizasyonlara uygundur. Çünkü her kurum bilgi tutar ve bilgiyi işler. Her kurumun kendine özgü güvenlik gereksinimleri olmasına rağmen ISO in ana fikri, çok fazla ortak zeminin olmasıdır. ISO Standardı Kimler Đçindir? BS 7799 / ISO / ISO kamu veya özel tüm şirket ve organizasyonların ihtiyaçlarını karşılamaktadır. Aşağıdaki tablo standartların kullanımı ile ilgili seçenekleri göstermektedir What is BS7799/ISO What is BS7799/ISO TBD/KamuBIB-8/ÇG4, Sayfa No : 13 / 41

14 Şirket Tipi Büyüklük Birincil Öncelik Standartın Kullanımı Küçük işletme veya 200 çalışandan az Yönetimin dikkatini Güvenlik konularını kapsayan Organizasyon bilgi güvenliği ISO yönetim için temel konusuna çekmek olarak alınmalıdır. Orta Boy Đşletme 5000 çalışandan az Uygulanabilir kollektif güvenlik kültürü oluşturmak Büyük Đşletmeler 5000 çalışandan çok Süreç sonucunda güvenlik sertifikası almak Bilgi güvenliği politikası oluşturmak için uygulama içeren bir standart kullanılmalı. Şirket içi güvenlik referans belgesi hazırlamak için BS kullanılmalı. Tablo 2. Standartların kullanımı Aşağıdaki tabloda farklı sektörlerin bilgi güvenliği açısından risk grupları gösterilmektedir. 13 DÜŞÜK ORTA YÜKSEK Tarım Đnşaat ve Emlak Gıda ve Tütün Endütriyel Ekipman Maden Otomotiv Kimya Enerji Nakliyat Toptan Satış Kamu Kurumları Uzay, Havacılık ve Savunma Biomedikal Elektronik Finans ve Banka Sağlık Bilgi Perakende Satış Đlaç Tablo 3. Sektörel risk grupları Varolan Yasal Düzenlemelerle Đlişkisi Birçok hükümet, şirketlerin ve kurumların bilgi güvenliğini nasıl yöneteceği ve nasıl kontrol edeceği konusunda yasal düzenlemeler koymuş durumdadır veya koymaya hazırlanmaktadır. Amaç basittir; yönetim veya yönetim kurullarını bilgi güvenliği konusunda sorumlu tutmak ve diğer varlıklarını korumak için harcadıkları emeği bilgi güvenliği konusunda da harcamaları için cesaretlendirmek. Amerika Birleşik Devletleri nde geçerli yasal düzenlemelerden bazıları Sarbanes-Oxley (SOX) Act, Gramm-Leach-Bliley Act (GLBA) ve Health Insurance Portability and Accountability Act (HIPAA) olarak karşımıza çıkmaktadır: What is BS7799/ISO What is BS7799/ISO TBD/KamuBIB-8/ÇG4, Sayfa No : 14 / 41

15 Yasal Düzenleme Kim Etkileniyor? Güvenlik Hükümlerin Neleri Kapsıyor? Yaptırımları Nelerdir? Sarbanes- Oxley (SOX) Act of 2002 ABD Güvenlik Yasalarına Tabi Tüm Đşletmeler Đç Denetimler ve Finansal Açıklamalar Adli ve Cezai Yaptırımlar Gramm-Leach- Bliley Act of 1999 (GLBA) Finansal Kuruluşlar Müşteri Güvenliği Kayıtlarının Adli ve Cezai Yaptırımlar Health Insurance Portability and Accountability Act (HIPAA) Sağlık Sektörü Elektronik Formdaki Kişisel Sağlık Bilgileri Para Cezası ve Cezai Yaptırımlar Tablo 4. Standartların kullanımı ISO 17799:2005 in Yapısı ve Formatı ISO genel ve tavsiye niteliğinde bir dökümandır. Gizlilik, bütünlük ve erişilebilirlik konularını kapsayan bilgi güvenliği riskleriyle ilgili iyi yapılandırılmış kontrol setleri tasarlar. ISO a geçen kurumlar kendi bilgi güvenliği risklerini belirlemeli ve uygun kontrolleri standartı kullanarak uygulamalıdırlar. Kontrol Hedefleri ve Kontroller ISO 17799:2005 bilgiyi açıklardan korumak için 39 adet kontrol hedefinden oluşur. Bu kontrol hedefleri, kurumun bilgi güvenliği yönetim mimarisi için gerekli teknik özellikleri içerir. ISO yüzlerce en iyi uygulama bilgi güvenliği kontrol ölçütlerini kapsar. Organizasyonlar belirli güvenlik konularını sağlamalıdırlar. Standart spesifik kontrolleri zorunlu kılmaz, fakat risk değerlendirme işlemini kullanarak belirli ihtiyaçlar için en uygun kontrolleri saptar, kontrollerin seçimini ve uygulanmasını kurumlara bırakır. Kontrol hedefleri sağlandığı sürece standartta olmayan kontrollerin seçilmesinde de kurumlar özgürdür. Spesifik kontrolleri zorunlu tutmaması, teknoloji ve güvenlik riskleri değişiyor olmasına rağmen standardı daha geniş alanda uygulanabilir hale getiren en temel etkendir ve kullanıcılara uygulamada çok büyük esneklik sağlar. TBD/KamuBIB-8/ÇG4, Sayfa No : 15 / 41

16 BS7799 / ISO UN DĐĞER ISO STANDARTLARI ĐLE ĐLĐŞKĐSĐ ISO 17799, bilgi güvenliğinin yönetimi ve güvenlik ilkeleri oluşturmada en iyi uygulamaları kurarken, GMITS (Guidelines for the Management of IT Security BT Güvenlik Yönetimi Prensipleri) olarak bilinen ISO onunla eş seviyededir. Bu standart daha çok bilginin teknolojik yönüyle ilgilenir ve risk yönetimine önemli derecede içerik sağlar. ISO ve ISO arasında da oldukça güçlü bir tamamlayıcı ilişki vardır. ISO Genel Kriter adıyla bilinen, bilgi sistemlerinde güvenlik metodları tarafından verilen savunma seviyelerini onaylar. Bu nedenle ISO daha çok organizasyonel ve yönetimsel yönlerine odaklanırken ISO teknik yönlerini kapsar. BGYS için Uygulama Prensipleri ISO BT Güvenlik Yönetim Prensipleri ISO13335 (GMITS) TBD/KamuBIB-8/ÇG4, Sayfa No : 16 / 41

17 ISO ile ISO 18044, ISO 17944, ISO ve ISO arasında da ilişki vardır: ISO ISO ISO : Olay Yönetimi ISO : Finansal Sistemler ISO : Đletişim Yönetimi ISO : E-ticaret Güvenliği ISO BS nin yeni versiyonu ISO 9001:2000 ve ISO 14001:1996 gibi iyi bilinen yönetim sistemleri standartları ile uyumludur. Şekil 4. Standartlar arası ilişkiler 6.3 ISO/IEC 27001:2005 BS 7799 Standardının ikinci bölümü Ekim 2005 te ISO tarafından alınarak yeniden adlandırılmış ve yeni bir uluslararası standart ISO/IEC 27001:2005 olarak yayınlanmıştır. ISO bilgi güvenliği yönetim sistemlerinin bağımsız sertifikasyonunu isteyen organizasyonlar için global bir standarttır. ISO 17799:2005 in güvenlik kontrolleri ISO in ekinde bulunmaktadır. ISO i uygulayan organizasyonlar, kendi özel bilgi güvenliği uygulamaları için hangi bilgi güvenliği kontrollerinin uygulanabilir olduğunu seçmekte özgürdürler. ISO da olduğu gibi uygulanabilir güvenlik kontrollerini seçmek için anahtar organizasyonun bilgi güvenliği riskleri kapsamlı bir denetimden geçirilmelidir. 6.4 Türkiye de Durum 15 TS ISO/IEC Bilgi Teknolojisi - Bilgi Güvenliği Yönetimi Đçin Uygulama Prensipleri tarihinde TSE tarafından kabul edilmiştir. Bu standart, işletmeler içerisinde bilgi güvenliğini başlatan, gerçekleştiren ve sürekliliğini sağlayan kişilerin kullanımı için, bilgi güvenlik yönetimi ile ilgili tavsiyeleri kapsar. ISO/IEC 17799:2000 kaynaklarından yararlanılmıştır. ISO 17799:2000 ve IEC 17799:2000 standartların tercümesine dayanır. TS tarihinde TSE tarafından kabul edilmiştir. Bu standart, belgelenmiş bir BGYS ni kuruluşun tüm ticari riskleri bağlamında kurmak, gerçekleştirmek, izlemek, gözden geçirmek, bakımını yapmak ve iyileştirmek için gereksinimleri kapsar. Ancak son olarak TS ISO/IEC 27001:2006 kabul edildiğinden bu standart TSE tarafından iptal edilmiştir. TS ISO/IEC tarihinde TSE tarafından kabul edilmiştir. Bu standardın tam Türkçe adı Bilgi teknolojisi Güvenlik teknikleri - Bilgi güvenliği yönetim sistemleri Gereksinimler, Đngilizce Information security management systems Requirements dir. 15 TBD/KamuBIB-8/ÇG4, Sayfa No : 17 / 41

18 Bu standart, tüm kuruluş türlerini (örneğin, ticari kuruluşlar, kamu kurumları, kar amaçlı olmayan kuruluşlar) kapsar. Bu standart, bir BGYS yi kuruluşun tüm ticari riskleri bağlamında kurmak, gerçekleştirmek, izlemek, gözden geçirmek, sürdürmek ve iyileştirmek için gereksinimleri kapsar. Bağımsız kuruluşların ya da tarafların ihtiyaçlarına göre özelleştirilmiş güvenlik kontrollerinin gerçekleştirilmesi için gereksinimleri belirtir. Bu standart ISO/IEC 27001:2005 standartından yararlanarak hazırlanmıştır. ISO/IEC 27001:2005 standartın tercümesidir. TS ISO/IEC standardına atıfta bulunmaktadır. TS Bilgi Güvenliği Yönetim Sistemi (BGYS) belgelendirme hizmetine Mart 2005 tarihi itibari ile başlamıştır. 7 BT Güvenliği Teknik Kontrolleri 7.1 AĞ GÜVENLĐĞĐ 16 Bilişim sistemlerinin güvenliğinin sağlanmasında en önemli çalışma alanlarından birisi bilgisayar sistemlerini birbirine bağlayan ağ altyapısının ve bu yapıyı ayakta tutan ana bileşenlerin güvenliğidir. Ağ düzeyinde güvenliğin sağlanabilmesi için Kurumsal ağa giriş ve çıkışların kontrollü ve gözlem altında gerçekleştirilmesi Kullanıcıların kimlik tespiti ve yetkileri çerçevesinde izin verilen işlemleri yapmaları için statik veya dinamik şifrelerle tanıma ve yetkilendirme hizmetleri, Ağ trafiğinde gerçek zamanlı saldırı ve içerik kontrolü yapılarak saldırıların tespit edilmesi ve bunlara karşı konulması, Gizli iletişim için özel sanal ağlar (VPN) oluşturulması Ağ içerisinde farklı güvenlik seviyesindeki alt ağ yapılarının gerekli olduğu durumlarda vlan yapıları ile birbirinden ayrılması Tüm bu sistemleri merkezi olarak yöneterek sistemlerden toplanan logların ve bilgilerin analizlerinin yapılıp raporlarının sunulması ve gerekli önlemlerin alınması tekniklerinden birçoğu bir arada kullanılır. Ağ'larda erişim kontrolü sağlansa bile izin verilen kanallar üzerinden taşınan veri ile birlikte gelmesi muhtemel zararlı içeriğin yerel alan ağına girmeden sınır noktasında(gateway) engellenmesi sağlanmalıdır. Öte yandan ağ trafiğinin kontrol edilerek ve protokol, kullanıcı, uygulama ve zaman bazında önceliklerin belirlenerek bantgenişliğinin etkin ve verimli kullanımı, ağ kaynaklarının iş dışı kullanımının önlenmesi, gerekli görüldüğü durumlarda kurumsal amaçlar dışında internet kullanımının sınırlandırılarak iş konsantrasyonunun arttırılması, URL filtreleme nin sağlanması, e-ticaret gibi kritik uygulamalara erişim için ağ yapılarında yüksek devamlılığın sağlanması ve yük dengeleme çözümleri ile ağ trafiğinin optimize edilmesi ağlar üzerinde verimli ve güvenli erişimin sağlanması için uygulanabilecek çözümlerden bazılarıdır. Ağ Cihazlarının Yönetimi ve Güvenliği Güvenlik yönetiminin süreklililik gerektirdiği düşünüldüğünde, ağa bağlı her elemanın güvenliği kurumsal güvenlik politikaları doğrultusunda sağlanmalı ve sistem devamlı kontrol altında tutulmalıdır. 16 TBD/KamuBIB-8/ÇG4, Sayfa No : 18 / 41

19 Ağ cihazlarına doğrudan konsol portu aracılığıyla da erişim sağlanabildiğinden fiziksel güvenlik de oldukça önem arzetmektedir. Diğer yandan ağ cihazlarının ayarlanması, yönetimi ve kontrolünde kullanılan HTTP, Telnet, SSH, SNMP, TFTP ve FTP protokollerinin zafiyetlerine karşı önlem alınması gerekmektedir. Bu türden erişimlerin kontrollü ve güvenli olarak sağlanması, bu cihazların ve dolayısıyla ağın güvenliği için çok önemlidir. Ağ sistemleri üzerinde ilk kurulum sırasında yapılandırılan varsayılan (default) ayarların kuumsal politikalar doğrultusunda yeniden ayarlanması gerekebilmektedir. Kontrol alanlarından bazıları olarak aşağıdakiler sayılabilir: Cihazlara sadece belirli IP adreslerinin ulaşmasına izin verilmelidir. Ağ cihazları üzerinde bu durum erişim listeleri yazılarak sağlanır. Şifreler cihazlara her türlü izinsiz erişim de hesaba katılarak iyi seçilmelidir. Şifrelerin kullanan kişi tarafından hatırlanması kolay, saldırgan tarafından tahmin edilmesi zor olmalıdır. Sistemler http protokolü ile yönetilecekse mümkün ise şifrelenmiş http (HTTPS) protokolü kullanılmalıdır. Telnet ile erişimlerde saldırganın ağ üzerinden dinleme (sniff) yoluyla iletilen bilgiyi elde etmesi mümkün olduğundan, iletilen veriyi şifreleyen SSH protokolü tercih edilmelidir. SNMP protokolünde, Sadece Oku (Read only) ve Oku-Yaz (Read-Write) erişimleri için kullanılan varsayılan SNMP topluluk (community) adları değiştirilmeli ve bu iki parametre birbirinden farklı olmalıdır. Ağ cihazları çeşitli olaylar (event) hakkında kayıt tutma (logging) özelliğine sahiptir. Bu kayıtlar, güvenlik ihlallerinin belirlenmesinde ve önlem alınmasında kritik önem taşıyabilmektedir. Kayıtlar düzenli olarak takip edilmeli ve sistemin düzgün çalışıp çalışmadığı kontrol edilmelidir. Ağ Yapısında Saldırı Tespit ve Önleme Saldırı tespit ve önleme sistemleri, belli bir kaynaktan (ağ trafiği, bilgisayar üzerinde çalışan süreçler, kullanıcı davranışları vb.) topladıkları bilgileri analiz eden ve bu analiz çerçevesinde saldırıları tespit eden ve önleyen sistemlerdir. Ağ tabanlı saldırı tespit ve önleme sistemleri (network intrusion detection and prevention systems) ağ trafiğini izleyerek belirlenen güvenlik politikasına aykırı, iletişim protokollerinin uygun kullanım tarifleri ile çelişen ya da tümüyle sıra dışı etkileşimleri tespit etmek ve istenirse engellemek üzere modellenmişlerdir. Ağ trafiğini takip edebilmek üzere iletişim yolu üzerine (inline) ya da iletişimi izleyecek biçimde (sniffer kipi) bağlanarak bu türden sistemlerin işletilmesi mümkündür. Ağ Güvenlik Politikası, Uygunluğu ve Yönetimi Ağ güvenlik politikası, kurumun bilgisayar ağının güvenliğini ilgilendiren her türlü bileşenin yönetimi ile ilgili stratejinin bir ifadesidir. Ağ güvenlik politikaları, kurumların yapılarına, iş süreçlerine ve ihtiyaçlarına göre değişmekle birlikte genel olarak ağ güvenliğinin sağlanması için gerekli olan temel politikalardan bir kısmının konu başlığı aşağıda sıralanmıştır: 1. Erişim politikası 2. Sınır güvenliği / ağ güvenlik duvarı politikası 3. Đnternet kullanım politikası TBD/KamuBIB-8/ÇG4, Sayfa No : 19 / 41

20 4. Intranet ağlar kullanım politikası 5. Şifre yönetimi politikası 6. Bantgenişliği yönetim politikası 7.2 SĐSTEM GÜVENLĐĞĐ Bir servisin/hizmetin yerine gelmesinde kullanılan bileşenler temel olarak uygulama, uygulamanın koştuğu sistem ve bu sisteme erişimde kullanılan ağ ve diğer alt yapı bileşenleridir. Kurumsal güvenliğin sağlanması için bu bileşenlerden her birinin yeterli güvenlik seviyesinde olması gerekir. Bu kapsamda bir sistemin güvenli hale getirilmesi için temin edildiği andan itibaren aşağıdaki süreçlerin uygulanması ciddi önem arz eder. Konfigürasyon Sağlamlaştırma Bir sistem temel olarak donanım, bu donanımlarla işletim sistemi arasındaki iletişimi sağlayan sürücüler ve işletim sisteminden oluşur. Đşletim sistemlerinde temel öncelik, donanımları verimli, tutarlı ve sorunsuz bir biçimde çalışır halde tutmaya verilmiş ve hala pek çok işletim sisteminin varsayılan kurulumları buna göre ayarlanmıştır. Bu durum ile işletim sistemlerinin kullanıcı dostu olma çabası birleşince ilk kuruluşta bir sistemin özellikle kurumsal bir servisi vermek için gerekli minimum güvenlik seviyesinde olduğu genellikle söylenemez. Bu nedenle, her sistemde, bir kurumsal servis vermeden önce bir konfigürasyon sağlamlaştırma çalışması yapılmalıdır. Konfigürasyon sağlamlaştırma için şu temel adımlar izlenmelidir: 1. Sistem sürücüleri ve işletim seviyesinin en güncel versiyonları kurulmalı, 2. Sistemde kullanılmayacak servisler mümkünse hiç kurulmamalı, kurulu ve kaldırılamıyorsa kapatılmalı, 3. Sistemde kullanılmayacak donanımlar pasif duruma geçirilmeli, 4. Sistemde kullanılacak servislere yalnız erişmesi gerekenlerin, erişmesi gerektiği kadar yetki ile, erişmesi gereken sürece erişebilmesi için mümkünse gerekli sınırlamalar yapılmalıdır. Bu çalışmanın gerçekleştirilmesinde sistemde açık servisleri, kurulu uygulama ve sürücü versiyonlarını belirlemeyi kolaylaştıracak bir zafiyet tespit aracı kullanılması faydalı olacaktır. Güncelleme, Yamalama Bir sistem bir kez kurulup konfigürasyon sağlamlaştırma çalışması yapıldıktan sonra sürekli olarak belirli bir güvenlik seviyesinde tutulmalıdır. Zaman içinde sistem üzerinde koşan hizmet uygulamalarında ve sistem programlarında güvenlik açıkları tespit edilebilir. Bu açıkların mümkün olduğu kadar kısa bir sürede giderilmesi sistem güvenliğinin sürekliliği için önemlidir. Açıkları gidermeye yönelik en etkili önlemlerden biri ise uygulamaları ve sistem programlarını mümkün olan en güncel versiyon seviyesinde tutmak ve üretici firmalarca yayınlanan yamaları düzenli olarak takip ederek sistemlere uygulamaktır. Sistem güncelleme ve yamalama konusunda şu hususlara dikkat edilmelidir: 1. Kullanılan uygulama ve sistem programlarının üretici firmalarınca yayınlanan yeni versiyonları ve yamaları düzenli olarak takip etmek (web sitesi duyuruları, bakım anlaşmaları kapsamındaki duyurular) 2. Özellikle verilen hizmette kullanılan uygulamalara yönelik güvenlik yamalarını mümkün olan en kısa sürede ve hızlı bir biçimde uygulamak 3. Sistemlerde hizmet kesintisine yol açmamak için öncelikle güncel versiyon ve yamaları bir test sisteminde uygulamak ve sorunsuz çalıştığını gördükten sonra gerçek hizmeti veren sistemi güncellemek, yamalamak. TBD/KamuBIB-8/ÇG4, Sayfa No : 20 / 41

T. C. TÜRK STANDARDLARI ENSTİTÜSÜ

T. C. TÜRK STANDARDLARI ENSTİTÜSÜ T. C. TÜRK STANDARDLARI ENSTİTÜSÜ TS ISO/IEC 27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ, TS ISO/IEC 20000-1 BT HİZMET YÖNETİM SİSTEMİ Sunucu: Gürol GÖKÇİMEN 25.10.2014 Türk Standardları Enstitüsü 1 Güvenlik;

Detaylı

T. C. TÜRK STANDARDLARI ENSTİTÜSÜ

T. C. TÜRK STANDARDLARI ENSTİTÜSÜ T. C. TÜRK STANDARDLARI ENSTİTÜSÜ BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ, TS ISO/IEC 20000-1 BT HİZMET YÖNETİM SİSTEMİ Sunucu: Gürol GÖKÇİMEN 1 Bilgi Güvenliği Yönetim Sistemi Bilgi : anlamlı veri, (bir kurumun

Detaylı

T. C. KAMU İHALE KURUMU

T. C. KAMU İHALE KURUMU T. C. KAMU İHALE KURUMU Elektronik İhale Dairesi KALİTE YÖNETİM SİSTEMİ BT Strateji Yönetimi BT Hizmet Yönetim Politikası Sürüm No: 6.0 Yayın Tarihi: 26.02.2015 444 0 545 2012 Kamu İhale Kurumu Tüm hakları

Detaylı

Atılım Üniversitesi Bilgi & Đletişim Teknolojileri Müdürlüğü Bilgi Güvenliği ve Ağ Yönetim Uzmanı Görev Tanımı

Atılım Üniversitesi Bilgi & Đletişim Teknolojileri Müdürlüğü Bilgi Güvenliği ve Ağ Yönetim Uzmanı Görev Tanımı Atılım Üniversitesi Bilgi & Đletişim Teknolojileri Müdürlüğü Bilgi Güvenliği ve Ağ Yönetim Uzmanı Görev Tanımı Formal Doküman Detayları Hazırlanma Tarihi 20 Eylül 2012 Yayın Taslak Hazırlayan Ersun Ersoy

Detaylı

EKLER. EK 12UY0106-4/A5-2: Yeterlilik Biriminin Ölçme ve Değerlendirmesinde Kullanılacak Kontrol Listesi

EKLER. EK 12UY0106-4/A5-2: Yeterlilik Biriminin Ölçme ve Değerlendirmesinde Kullanılacak Kontrol Listesi EKLER EK 12UY0106-4/A5-1: nin Kazandırılması için Tavsiye Edilen Eğitime İlişkin Bilgiler Bu birimin kazandırılması için aşağıda tanımlanan içeriğe sahip bir eğitim programının tamamlanması tavsiye edilir.

Detaylı

ISO 27001 Kurumsal Bilgi Güvenliği Standardı. Şenol Şen

ISO 27001 Kurumsal Bilgi Güvenliği Standardı. Şenol Şen ISO 27001 Kurumsal Bilgi Güvenliği Standardı Şenol Şen Bilgi Güvenliği Kavramı Bilgi güvenliği, bir varlık türü olarak bilginin izinsiz veya yetkisiz bir biçimde erişim, kullanım, değiştirilme, ifşa edilme,

Detaylı

Siber Güvenlik Risklerinin Tanımlanması / Siber Güvenlik Yönetişimi

Siber Güvenlik Risklerinin Tanımlanması / Siber Güvenlik Yönetişimi KURUMLAR İÇİN SİBER GÜVENLİK ÖNLEMLERİNİ ÖLÇME TESTİ DOKÜMANI Kurumlar İçin Siber Güvenlik Önlemlerini Ölçme Testi Dokümanı, kamu kurum ve kuruluşları ile özel sektör temsilcilerinin siber güvenlik adına

Detaylı

MerSis. Bilgi Güvenliği Danışmanlık Hizmetleri

MerSis. Bilgi Güvenliği Danışmanlık Hizmetleri o MerSis Danışmanlık Hizmetleri Çalışanlarınız, tesisleriniz, üretim araçlarınız koruma altında! Bilgileriniz? danışmanlık hizmetlerimiz, en değerli varlıklarınız arasında yer alan bilgilerinizin gizliliğini,

Detaylı

KALİTE YÖNETİM SİSTEMİ İş Sürekliliği

KALİTE YÖNETİM SİSTEMİ İş Sürekliliği T. C. KAMU İHALE KURUMU Elektronik İhale Dairesi KALİTE YÖNETİM SİSTEMİ İş Sürekliliği İş Sürekliliği Yönetim Sistemi Politikası Sürüm No: 5.0 Yayın Tarihi: 11.05.2014 444 0 545 2012 Kamu İhale Kurumu

Detaylı

KURUMSAL RİSK YÖNETİMİ (KRY) EĞİTİMİ KURUMSAL RİSK YÖNETİMİ: KAVRAMSAL VE TEORİK ÇERÇEVE

KURUMSAL RİSK YÖNETİMİ (KRY) EĞİTİMİ KURUMSAL RİSK YÖNETİMİ: KAVRAMSAL VE TEORİK ÇERÇEVE KURUMSAL RİSK YÖNETİMİ (KRY) EĞİTİMİ KURUMSAL RİSK YÖNETİMİ: KAVRAMSAL VE TEORİK ÇERÇEVE SUNUM PLANI 1. RİSK VE RİSK YÖNETİMİ: TANIMLAR 2. KURUMSAL RİSK YÖNETİMİ 3. KURUMSAL RİSK YÖNETİMİ DÖNÜŞÜM SÜRECİ

Detaylı

HAKKIMIZDA. Misyonumuz; Vizyonumuz;

HAKKIMIZDA. Misyonumuz; Vizyonumuz; HAKKIMIZDA SOFTKEY kurumsal teknoloji hizmetlerinde, müşteri odaklı yaklaşımı, rekabetçi fiyatları ve eksiksiz destek hizmeti sunmak amacıyla kurulmuştur. Sektörün önde gelen teknoloji firmaları ile iş

Detaylı

UE.18 Rev.Tar/No:09.05.2011/03 SAYFA 1 / 5

UE.18 Rev.Tar/No:09.05.2011/03 SAYFA 1 / 5 UE.18 Rev.Tar/No:09.05.2011/03 SAYFA 1 / 5 1. AMAÇ Türksat İnternet ve İnteraktif Hizmetler Direktörlüğü nün bilgi güvenliğini yönetmekteki amacı; bilginin gizlilik, bütünlük ve erişilebilirlik kapsamında

Detaylı

EKLER EK 12UY0106-5/A5-1:

EKLER EK 12UY0106-5/A5-1: Yayın Tarihi: 26/12/2012 Rev. :01 EKLER EK 12UY0106-5/A5-1: nin Kazandırılması için Tavsiye Edilen Eğitime İlişkin Bilgiler Bu birimin kazandırılması için aşağıda tanımlanan içeriğe sahip bir eğitim programının

Detaylı

Bilgi Güvenliği Farkındalık Eğitimi

Bilgi Güvenliği Farkındalık Eğitimi NECMETTİN ERBAKAN Ü N İ V E R S İ T E S İ Meram Tıp Fakültesi Hastanesi Bilgi Güvenliği Farkındalık Eğitimi Ali ALAN Necmettin Erbakan Üniversitesi Meram Tıp Fakültesi Hastanesi Bilgi İşlem Merkezi 444

Detaylı

ULUSAL SİBER GÜVENLİK STRATEJİ TASLAK BELGESİ

ULUSAL SİBER GÜVENLİK STRATEJİ TASLAK BELGESİ ULUSAL SİBER GÜVENLİK STRATEJİ TASLAK BELGESİ Prof. Dr. Şeref SAĞIROĞLU Gazi Üniversitesi Bilgisayar Mühendisliği Bölümü Bilgi Güvenliği Derneği II. Başkan 1 Neden İhtiyaç Duyuldu Diğer Ülke Örnekleri

Detaylı

Information Technology Infrastructure Library ITIL

Information Technology Infrastructure Library ITIL Yazılım Kalite Standartları Sunum Projesi Information Technology Infrastructure Library ITIL Hazırlıyanlar : Gökhan ÇAKIROĞLU - Feyyaz ATEġ - Çiğdem ELĠBOL - Caner ĠBĠCĠOĞLU ITIL Nedir? Kurum ile BT(Bilgi

Detaylı

e-fatura UYGULAMASINDA ÖZEL ENTEGRASYON YÖNTEMİ

e-fatura UYGULAMASINDA ÖZEL ENTEGRASYON YÖNTEMİ e-fatura UYGULAMASINDA ÖZEL ENTEGRASYON YÖNTEMİ igur@gelirler.gov.tr Kaynak: GIB ÖZEL ENTEGRASYON NEDİR? Başka mükelleflerin faturalarını göndermek ve almak amacıyla bilgi işlem sisteminin Başkanlık sistemiyle

Detaylı

e-fatura UYGULAMASINDA ÖZEL ENTEGRASYON YÖNTEMİ

e-fatura UYGULAMASINDA ÖZEL ENTEGRASYON YÖNTEMİ e-fatura UYGULAMASINDA ÖZEL ENTEGRASYON YÖNTEMİ ÖZEL ENTEGRASYON YÖNTEMİ NEDİR? Elektronik faturalamada uzmanlaşmış bir kurumun, başka mükelleflerin faturalarını göndermek ve almak amacıyla kendi sistemini

Detaylı

Bilişim Teknolojileri Test ve Belgelendirme Hizmetleri. Mustafa YILMAZ mustafayilmaz@tse.org.tr

Bilişim Teknolojileri Test ve Belgelendirme Hizmetleri. Mustafa YILMAZ mustafayilmaz@tse.org.tr Bilişim Teknolojileri Test ve Belgelendirme Hizmetleri Mustafa YILMAZ mustafayilmaz@tse.org.tr Türk Standardları Enstitüsü tarafından yapılan Bilişim Teknolojileri Test ve Belgelendirme Hizmetleri Yazılım

Detaylı

T.C. ANKARA ÜNİVERSİTESİ BELGE YÖNETİMİ VE ARŞİV SİSTEMİ STRATEJİSİ

T.C. ANKARA ÜNİVERSİTESİ BELGE YÖNETİMİ VE ARŞİV SİSTEMİ STRATEJİSİ T.C. ANKARA ÜNİVERSİTESİ BELGE YÖNETİMİ VE ARŞİV SİSTEMİ STRATEJİSİ (Doküman No: BEYAS-DK-02) Ankara Üniversitesi için aşağıda verilen temel bir Belge Yönetimi ve Arşiv Sistemi Stratejisi metni hazırlanmıştır.

Detaylı

T. C. KAMU İHALE KURUMU

T. C. KAMU İHALE KURUMU T. C. KAMU İHALE KURUMU Elektronik İhale Dairesi KALİTE YÖNETİM SİSTEMİ BT Strateji Yönetimi BT Hizmet Yönetim Politikası Sürüm No: 5.0 Yayın Tarihi: 14.07.2014 444 0 545 2012 Kamu İhale Kurumu Tüm hakları

Detaylı

Enerji Yönetimi 11 Aralık 2015. Ömer KEDİCİ

Enerji Yönetimi 11 Aralık 2015. Ömer KEDİCİ Enerji Yönetimi 11 Aralık 2015 Ömer KEDİCİ Tanım Enerji yönetimi ; Planlama, Koordinasyon ve Kontrol gibi birbirinden bağımsız olduklarında etkisiz kalabilecek işlevlerin bir araya gelerek oluşturdukları

Detaylı

Tetkik Gün Sayısı Tespiti www.sisbel.biz

Tetkik Gün Sayısı Tespiti www.sisbel.biz ISO/IEC 20000-1 BİLGİ TEKNOLOJİSİ - HİZMET YÖNETİMİ BAŞ DENETÇİ EĞİTİMİ Tetkik Gün Sayısı Tespiti 1.Tetkik Gün Sayısı İle İlgili Tanımlar Tetkik Süresi: Bir tetkikte harcanan toplam zaman. Her tür tetkikte,

Detaylı

ESİS Projesi. Kaynaklar Bakanlığı

ESİS Projesi. Kaynaklar Bakanlığı ESİS Projesi Hem ulusal, hem de uluslararası platformda enerji, bir ülkenin politika üretmesi ve uygulaması gereken en önemli stratejik alanlardan birisidir. Ülkemiz de sahip olduğu kritik jeopolitik konumu

Detaylı

www.pwc.com.tr/siberguvenlik Dijital geleceğinizi güven altına almak için Bilgi Güvenliği ve Siber Güvenlik Hizmetlerimiz

www.pwc.com.tr/siberguvenlik Dijital geleceğinizi güven altına almak için Bilgi Güvenliği ve Siber Güvenlik Hizmetlerimiz www.pwc.com.tr/sibergunlik Dijital geleceğinizi gün altına almak için Bilgi Günliği Siber Günlik Hizmetlerimiz Günli bir gelecek için Herşeyi günli hale getirmek mümkün değil. Kurumsal Öncelikleriniz kurumunuz

Detaylı

2013/101 (Y) BTYK nın 25. Toplantısı. Üstün Yetenekli Bireyler Stratejisi nin İzlenmesi [2013/101] KARAR

2013/101 (Y) BTYK nın 25. Toplantısı. Üstün Yetenekli Bireyler Stratejisi nin İzlenmesi [2013/101] KARAR 2013/101 (Y) Üstün Yetenekli Bireyler Stratejisi nin İzlenmesi [2013/101] BTYK nın 2009/102 no.lu kararı kapsamında hazırlanan ve 25. toplantısında onaylanan Üstün Yetenekli Bireyler Stratejisi nin koordinasyonunun

Detaylı

Elektronik Belge Yönetimine Geçiş Sürecinde Kurumsal Sorumluluklar ve Yol Haritası. Tekirdağ 25 Haziran 2012

Elektronik Belge Yönetimine Geçiş Sürecinde Kurumsal Sorumluluklar ve Yol Haritası. Tekirdağ 25 Haziran 2012 Elektronik Belge Yönetimine Geçiş Sürecinde Kurumsal Sorumluluklar ve Yol Haritası Tekirdağ 25 Haziran 2012 Prof. Dr. Hamza KANDUR Marmara Üniversitesi Rektör Yardımcısı / Bilgi ve Belge Yönetimi Bölüm

Detaylı

KKTC MERKEZ BANKASI. BİLGİ GÜVENLİĞİ POLİTİKASI GENELGESİ (Genelge No: 2015/02) Mart-2015 BANKACILIK DÜZENLEME VE GÖZETİM MÜDÜRLÜĞÜ

KKTC MERKEZ BANKASI. BİLGİ GÜVENLİĞİ POLİTİKASI GENELGESİ (Genelge No: 2015/02) Mart-2015 BANKACILIK DÜZENLEME VE GÖZETİM MÜDÜRLÜĞÜ KKTC MERKEZ BANKASI BİLGİ GÜVENLİĞİ POLİTİKASI GENELGESİ (Genelge No: 2015/02) Mart-2015 BANKACILIK DÜZENLEME VE GÖZETİM MÜDÜRLÜĞÜ İçindekiler Giriş... 1 1 Amaç... 1 2 Bilgi Güvenliği Politikaları... 1

Detaylı

ISO 9001:2015 KALİTE YÖNETİM SİSTEMİ GEÇİŞ KILAVUZU

ISO 9001:2015 KALİTE YÖNETİM SİSTEMİ GEÇİŞ KILAVUZU ISO 9001:2015 KALİTE YÖNETİM SİSTEMİ GEÇİŞ KILAVUZU Dünyada en çok kullanılan yönetim sistemi standardı ISO 9001 Kalite Yönetim Sistemi Standardının son revizyonu 15 Eylül 2015 tarihinde yayınlanmıştır.

Detaylı

BTK nın IPv6 ya İlişkin Çalışmaları

BTK nın IPv6 ya İlişkin Çalışmaları BTK nın IPv6 ya İlişkin Çalışmaları Sezen YEŞİL Bilişim Uzmanı Bilgi Teknolojileri ve İletişim Kurumu (BTK) IPv6 Konferansı Ankara, Türkiye 12 Ocak 2011 1 Gündem BTK nın Görevleri BTK nın Çalışmaları Başbakanlık

Detaylı

EKLER EK 12UY0106-5/A4-1:

EKLER EK 12UY0106-5/A4-1: Yayın Tarihi: 26/12/2012 Rev. :01 EKLER EK 12UY0106-5/A4-1: nin Kazandırılması için Tavsiye Edilen Eğitime İlişkin Bilgiler Bu birimin kazandırılması için aşağıda tanımlanan içeriğe sahip bir eğitim programının

Detaylı

ITMS DAYS www.itmsdays.com. Information Technologies Management Systems Days

ITMS DAYS www.itmsdays.com. Information Technologies Management Systems Days ITMS DAYS Information Technologies Management Systems Days FİNANS PİYASALARINDA BİLGİ GÜVENLİĞİ VE ISO 27001 Dr. İzzet Gökhan ÖZBİLGİN Bilişim Uzmanı, SPK Finansal Piyasalar TAKASBANK Aracı Kuruluşlar

Detaylı

ISO 27001:2013 BGYS BAŞTETKİKÇİ EĞİTİMİ

ISO 27001:2013 BGYS BAŞTETKİKÇİ EĞİTİMİ 1.Tetkik Gün Sayısı İle İlgili Tanımlar Tetkik Süresi: Bir tetkikte harcanan toplam zaman. Her tür tetkikte, tetkik zamanı bina turlarında geçen süreleri, planın dışında geçen süre, dokümanların gözden

Detaylı

BİLGİ GÜVENLİĞİ YÖNETİMİ POLİTİKASI

BİLGİ GÜVENLİĞİ YÖNETİMİ POLİTİKASI KOD BY. PO.01 YAY. TRH 16.12.2015 REV. TRH REV. NO SAYFA NO 1/7 1. Amaç BGYS politikası, T.C. Sağlık Bakanlığı, TKHK İstanbul Anadolu Kuzey Genel Sekreterliği bünyesinde yürütülen bilgi güvenliği yönetim

Detaylı

ISO 27001:2013 BGYS BAŞDENETÇİ EĞİTİMİ. Planlama - Destek

ISO 27001:2013 BGYS BAŞDENETÇİ EĞİTİMİ. Planlama - Destek Planlama - Destek Risk ve fırsatları ele alan faaliyetler enel ilgi güvenliği yönetim sistemi planlaması yaparken, kuruluş Madde 4.1 de atıf yapılan hususları ve Madde 4.3. de atıf yapılan şartları göz

Detaylı

Sistem Geliştirme Yaşam Döngüsü (The Systems Development Life Cycle) (SDLC)

Sistem Geliştirme Yaşam Döngüsü (The Systems Development Life Cycle) (SDLC) Sistem Geliştirme Yaşam Döngüsü (The Systems Development Life Cycle) (SDLC) Sistem analistlerinin ve kullanıcı faaliyetlerinin spesifik döngüsünün kullanılmasıyla En iyi geliştirilmiş sistemin oluşmasını

Detaylı

İŞ SAĞLIĞI VE GÜVENLİĞİ YÖNETİM SİSTEMİ

İŞ SAĞLIĞI VE GÜVENLİĞİ YÖNETİM SİSTEMİ İŞ SAĞLIĞI VE GÜVENLİĞİ YÖNETİM SİSTEMİ Ohsas 18001 Endüstrinin değişik dallarında faaliyet gösteren kuruluşların, faaliyet konularını yerine getirirken, İş Sağlığı ve Güvenliği konusunda da, faaliyet

Detaylı

ISO 27001:2013 BGYS BAŞDENETÇİ EĞİTİMİ. Kapsam - Terimler

ISO 27001:2013 BGYS BAŞDENETÇİ EĞİTİMİ. Kapsam - Terimler Kapsam - Terimler K A P A M Kapsam u standard kuruluşun bağlamı dâhilinde bir bilgi güvenliği yönetim sisteminin kurulması, uygulanması,sürdürülmesi ve sürekli iyileştirilmesi için şartları kapsar. u standard

Detaylı

EKLER. EK 12UY0106-4/A1-2: Yeterlilik Biriminin Ölçme ve Değerlendirmesinde Kullanılacak Kontrol Listesi

EKLER. EK 12UY0106-4/A1-2: Yeterlilik Biriminin Ölçme ve Değerlendirmesinde Kullanılacak Kontrol Listesi Yayın Tarihi: 26/12/2012 Rev. :01 EKLER EK 12UY0106-4/A1-1: nin Kazandırılması için Tavsiye Edilen Eğitime İlişkin Bilgiler Bu birimin kazandırılması için aşağıda tanımlanan içeriğe sahip bir eğitim programının

Detaylı

KAMU SİBER GÜVENLİK GÜNÜNE HOŞGELDİNİZ

KAMU SİBER GÜVENLİK GÜNÜNE HOŞGELDİNİZ KAMU SİBER GÜVENLİK GÜNÜNE HOŞGELDİNİZ SİBER GÜVENLİK FARKINDALIĞI 01.11.2013 Koray ATSAN korayatsan@kamusgd.org.tr Derneğimiz hakkında Kamu Siber Güvenlik Derneği 2013 yılında kuruldu. Temel Amaç : Ülkemizde

Detaylı

POL.01 Rev.Tar/No:22.02.2012/1.0 HĠZMETE ÖZEL

POL.01 Rev.Tar/No:22.02.2012/1.0 HĠZMETE ÖZEL SAYFA 1 / 6 1. AMAÇ TÜRKSAT ın bilgi güvenliğini yönetmekteki amacı; bilginin gizlilik, bütünlük ve erişilebilirlik kapsamında değerlendirilerek içeriden ve/veya dışarıdan gelebilecek, kasıtlı veya kazayla

Detaylı

ITMS DAYS www.itmsdays.com. Information Technologies Management Systems Days

ITMS DAYS www.itmsdays.com. Information Technologies Management Systems Days ITMS DAYS Information Technologies Management Systems Days ELEKTRONİK SERTİFİKA HİZMET SAĞLAYICILARI İÇİN ISO/IEC 27001 İN GEREKLİLİĞİ Demet KABASAKAL Bilgi Teknolojileri ve İletişim Kurumu Bilgi Güvenliği

Detaylı

İŞ SÜREKLİLİĞİ YÖNETİM SİSTEMİ İÇİN KRİTİK BAŞARI FAKTÖRLERİ

İŞ SÜREKLİLİĞİ YÖNETİM SİSTEMİ İÇİN KRİTİK BAŞARI FAKTÖRLERİ İŞ SÜREKLİLİĞİ YÖNETİM SİSTEMİ İÇİN KRİTİK BAŞARI FAKTÖRLERİ Ali Dinçkan, BTYÖN Danışmanlık İş sürekliliği, kurumun kritik süreçlerinin belirlenmesi, bu süreçlerin sürekliliği için gerekli çalışmaların

Detaylı

Bilgi Güvenliği Eğitim/Öğretimi

Bilgi Güvenliği Eğitim/Öğretimi Bilgi Güvenliği Eğitim/Öğretimi İbrahim SOĞUKPINAR Gebze Yüksek Teknoloji Enstitüsü İçerik Bilgi Güvenliği Eğitim/Öğretimi Dünyadaki Örnekler Türkiye deki Örnekler GYTE de Bilgi Güvenliği Dersi Sonuç ve

Detaylı

1. İŞLETMECİ BİLGİ GÜVENLİ YÖNETİM SİSTEMİ (BGYS) KURULACAK VE İŞLETECEKTİR.

1. İŞLETMECİ BİLGİ GÜVENLİ YÖNETİM SİSTEMİ (BGYS) KURULACAK VE İŞLETECEKTİR. 13.07.2014 tarih ve 29059 sayılı resmi gazete ile yürürlüğe giren Elektronik Haberleşme Sektöründe Şebeke ve Bilgi Güvenliği Yönetmeliği ile Bilgi Teknolojileri ve İletişim Kurumu (BTK) elektronik haberleşme

Detaylı

T. C. KAMU İHALE KURUMU

T. C. KAMU İHALE KURUMU T. C. KAMU İHALE KURUMU Elektronik İhale Dairesi KALİTE YÖNETİM SİSTEMİ Bilgi Güvenliği Bilgi Güvenliği Yönetim Sistemi Politikası Sürüm No: 4.0 Yayın Tarihi:11.05.2014 444 0 545 2012 Kamu İhale Kurumu

Detaylı

İŞ YATIRIM MENKUL DEĞERLER A.Ş. İŞ SÜREKLİLİĞİ PLANLAMASI A. AMAÇ

İŞ YATIRIM MENKUL DEĞERLER A.Ş. İŞ SÜREKLİLİĞİ PLANLAMASI A. AMAÇ Sayfa No: 1/7 A. AMAÇ Bu politika, nin deprem, yangın, fırtına, sel gibi doğal afetler ile sabotaj, donanım veya yazılım hatası, elektrik ve telekomünikasyon kesintileri gibi önceden tahmin edilebilen

Detaylı

TÜRKĠYE BĠLĠMSEL VE TEKNOLOJĠK ARAġTIRMA KURUMU BĠLGĠ ĠġLEM DAĠRE BAġKANLIĞI ÇALIġMA USUL VE ESASLARI

TÜRKĠYE BĠLĠMSEL VE TEKNOLOJĠK ARAġTIRMA KURUMU BĠLGĠ ĠġLEM DAĠRE BAġKANLIĞI ÇALIġMA USUL VE ESASLARI TÜRKĠYE BĠLĠMSEL VE TEKNOLOJĠK ARAġTIRMA KURUMU BĠLGĠ ĠġLEM DAĠRE BAġKANLIĞI ÇALIġMA USUL VE ESASLARI BĠRĠNCĠ BÖLÜM Amaç ve Kapsam, Dayanak ve Tanımlar Amaç ve kapsam MADDE 1- (1) Bu Usul ve Esasların

Detaylı

Yöneticiler için Bilgi Güvenliği

Yöneticiler için Bilgi Güvenliği Yöneticiler için Bilgi Güvenliği GÜVENLİĞİ SAĞLAMAK İÇİN EN KRİTİK ROL YÖNETİM ROLÜDÜR 11.2.2015 1 Tanışma Çağan Cebe Endüstri Mühendisi Barikat Profesyonel Hizmetler - Yönetim Sistemleri Uzmanı 4 Yıl

Detaylı

DOK-004 BGYS Politikası

DOK-004 BGYS Politikası DOK-004 BGYS Politikası 1/7 Hazırlayanlar İsim Şule KÖKSAL Ebru ÖZTÜRK Döndü Çelik KOCA Unvan Defterdarlık Uzmanı Defterdarlık Uzmanı Çözümleyici Onaylayan İsim Mustafa AŞÇIOĞLU Unvan Genel Müdür Yardımcısı

Detaylı

ÜLKEMİZDE SİBER GÜVENLİK

ÜLKEMİZDE SİBER GÜVENLİK ÜLKEMİZDE SİBER GÜVENLİK Emine YAZICI ALTINTAŞ Siber Güvenlik Daire Başkanı HABERLEŞME GENEL MÜDÜRLÜĞÜ MEVZUAT SİBER GÜVENLİK Click to edit Master title style Çalışmaları konusundaki çalışmalar 2012 yılında

Detaylı

MerSis. Bilgi Teknolojileri Bağımsız Denetim Hizmetleri

MerSis. Bilgi Teknolojileri Bağımsız Denetim Hizmetleri MerSis Bağımsız Denetim Hizmetleri risklerinizin farkında mısınız? bağımsız denetim hizmetlerimiz, kuruluşların Bilgi Teknolojileri ile ilgili risk düzeylerini yansıtan raporların sunulması amacıyla geliştirilmiştir.

Detaylı

ANET Bilgi Güvenliği Yönetimi ve ISO 27001. Ertuğrul AKBAS [ANET YAZILIM] 09.04.2011

ANET Bilgi Güvenliği Yönetimi ve ISO 27001. Ertuğrul AKBAS [ANET YAZILIM] 09.04.2011 ANET Bilgi Güvenliği Yönetimi ve ISO 27001 2011 Ertuğrul AKBAS [ANET YAZILIM] 09.04.2011 ISO 27001 AŞAMA 1 BGYS Organizasyonu BGYS kapsamının belirlenmesi Bilgi güvenliği politikasının oluşturulması BGYS

Detaylı

AĞ ve SİSTEM GÜVENLİĞİ

AĞ ve SİSTEM GÜVENLİĞİ AĞ ve SİSTEM GÜVENLİĞİ Burak DAYIOĞLU ve Burç YILDIRIM {bd,by}@dikey8.com Bilişim Güvenliği ve Sorunlar Bilişim sistemlerine bağımlılığımız artıyor Güvenlik ihlalleri her yıl en azından ikiye katlanıyor

Detaylı

İletişim Ağlarında Güvenlik

İletişim Ağlarında Güvenlik İletişim Ağlarında Güvenlik Burak DAYIOĞLU 98 Hacettepe Üniversitesi Bilgi İşlem Dairesi Başkanlığı burak@hacettepe.edu.tr Sunum Planı Bilişim Güvenliği ve Kapsamı Bilişim Güvenliği nin Önemi Saldırganlar

Detaylı

TS EN ISO/IEC 9241-151 Kullanılabilir Arayüz Sertifikası Verilmesi Süreci

TS EN ISO/IEC 9241-151 Kullanılabilir Arayüz Sertifikası Verilmesi Süreci TS EN ISO/IEC 9241-151 Kullanılabilir Arayüz Sertifikası Verilmesi Süreci Nihan Ocak 1, Feride Erdal 2, Prof. Dr. Kürşat Çağıltay 3 1 Orta Doğu Teknik Üniversitesi, Bilişim Sistemleri Bölümü, Ankara 2

Detaylı

www.labristeknoloji.com

www.labristeknoloji.com www.labristeknoloji.com İçerik Üretici Profili Bilişim Güvenlik Sektörü Hakkında Ürünler ve Hizmetler Rekabet Avantajları Şirket Performansı Hedeflerimiz 02.09.2009 www.labristeknoloji.com 2 İçerik Üretici

Detaylı

bt-pota Bilgi Teknolojileri Hizmetleri Belgelendirme Standartları Merve Saraç Nisan 2008

bt-pota Bilgi Teknolojileri Hizmetleri Belgelendirme Standartları Merve Saraç Nisan 2008 bt-pota Bilgi Teknolojileri Hizmetleri Belgelendirme Standartları Merve Saraç Nisan 2008 1 TÜBİSAD BT Hizmetleri Komisyonu Amaç, Hedef ve Stratejiler BT hizmetleri pazarının büyütülmesi Hizmet kalitesi

Detaylı

ISO 9000 Serisi Standartların Amacı Nedir?

ISO 9000 Serisi Standartların Amacı Nedir? ISO 9000 Serisi Standartların Amacı Nedir? Etkili bir yönetim sisteminin, nasıl kurulabileceği, dokümante edilebileceği ve sürdürülebileceği konusunda yol göstermek, firmalar arasında güven ortamı yaratmak;

Detaylı

SİSTEM ANALİZİ VE TASARIMI. Sistem Analizi -Bilgi Sistemleri-

SİSTEM ANALİZİ VE TASARIMI. Sistem Analizi -Bilgi Sistemleri- SİSTEM ANALİZİ VE TASARIMI Sistem Analizi -Bilgi Sistemleri- Bilgi Sistemi Bilgi sistemi, karar vericiler için verileri işleyerek bilgi sağlayan çoğunlukla bilgisayara dayalı sistemlerdir. Bilgi sistemi

Detaylı

Web Uygulama Güvenliği Kontrol Listesi 2010

Web Uygulama Güvenliği Kontrol Listesi 2010 Web Uygulama Güvenliği Kontrol Listesi 2010 1 www.webguvenligi.org Web uygulama güvenliği kontrol listesi 2010, OWASP-Türkiye ve Web Güvenliği Topluluğu tarafından güvenli web uygulamalarında aktif olması

Detaylı

Acil Durum Yönetim Sistemi ICS 785 - NFPA 1600

Acil Durum Yönetim Sistemi ICS 785 - NFPA 1600 Acil Durum Yönetim Sistemi ICS 785 - NFPA 1600 Başlarken Acil Durum Yönetim Sistemi Kendilerini acil durumlarda da çalışmaya hedeflemiş organizasyon ve kurumların komuta, kontrol ve koordinasyonunu sağlama

Detaylı

e-dönüşüm Türkiye Projesi ve Bilgi Toplumu Devlet Planlama Teşkilatı Bilgi Toplumu Dairesi 15 Temmuz 2009

e-dönüşüm Türkiye Projesi ve Bilgi Toplumu Devlet Planlama Teşkilatı Bilgi Toplumu Dairesi 15 Temmuz 2009 e-dönüşüm Türkiye Projesi ve Bilgi Toplumu Devlet Planlama Teşkilatı Bilgi Toplumu Dairesi 15 Temmuz 2009 Gündem e-dtr Öncesi Çalışmalar e-dtr Çalışmaları KDEP ve 2005 Eylem Planı Bilgi Toplumu Stratejisi

Detaylı

Farkındalılık ISO 9001 Kalite Yönetim Sistemi Eğitimi. Uygulama ve başarımın anahtarları

Farkındalılık ISO 9001 Kalite Yönetim Sistemi Eğitimi. Uygulama ve başarımın anahtarları ISO 9001 Kalite Yönetim Sistemi Eğitimi Uygulama ve başarımın anahtarları 1 Genel Eğitim Hakkında Kalite ve Yönetim Sistemi Kavramlar ve amaçlar TKY ve Kalite Yönetim Sistemi Standart maddeleri Fayda sağlamanın

Detaylı

w w w. a n k a r a b t. c o m

w w w. a n k a r a b t. c o m Şirket Profili w w w. a n k a r a b t. c o m AnkaraBT, yazılım geliştirme alanında faaliyet gösteren ve uzman kadrosuyla Türkiye'nin önde gelen kurumsal çözümlerini üreten %100 Türk sermayeli bilgi teknolojisi

Detaylı

BİLGİ GÜVENLİĞİ POLİTİKASI

BİLGİ GÜVENLİĞİ POLİTİKASI Doküman No: EBG-GPOL-01 Revizyon No: 01 Tarih:01.08.2011 Sayfa No: 1/5 Amaç: Bu Politikanın amacı E-TUĞRA EBG Bilişim Teknolojileri ve Hizmetleri A.Ş. nin ve hizmet sunduğu birimlerin sahip olduğu bilgi

Detaylı

YÖNETİM SİSTEMLERİ. TS EN ISO 9001-2000 Kalite Yönetim Sistemi TS EN ISO 14001 Çevre Yönetim Sistemi TS (OHSAS) 18001 İSG Yönetim Sistemi

YÖNETİM SİSTEMLERİ. TS EN ISO 9001-2000 Kalite Yönetim Sistemi TS EN ISO 14001 Çevre Yönetim Sistemi TS (OHSAS) 18001 İSG Yönetim Sistemi YÖNETİM SİSTEMLERİ Ülkemiz kuruluşları da Kalite, Çevre ve İş sağlığı ve güvenliği konularına verdikleri önemi göstermek, etkinlik ve verimliliği artırmak amacıyla Yönetim Sistemlerine geçiş için uğraş

Detaylı

Yazılım-donanım destek birimi bulunmalıdır.

Yazılım-donanım destek birimi bulunmalıdır. BİLGİ YÖNETİMİ Yazılım-donanım destek birimi bulunmalıdır. o Yazılım-donanım destek birimi 24 saat kesintisiz hizmet sunmalı, o Yazılım-donanım destek birimi çalışanlarının güncel iletişim bilgileri santralde

Detaylı

MEHMET ŞİRİN DENETİM STANDARTLARI DAİRESİ BAŞKANI

MEHMET ŞİRİN DENETİM STANDARTLARI DAİRESİ BAŞKANI MEHMET ŞİRİN DENETİM STANDARTLARI DAİRESİ BAŞKANI Bağımsız Denetim Standartları 1. Kilit Terimlerin Belirlenmesi 2. Metnin Çevrilmesi 3. İlk Uzman Kontrolü 4. Çapraz Kontrol İkinci Uzman Kontrolü 5. Metnin

Detaylı

BS 8800 İŞ SAĞLIĞI VE İŞ GÜVENLİĞİ YÖNETİM REHBER STANDARDI

BS 8800 İŞ SAĞLIĞI VE İŞ GÜVENLİĞİ YÖNETİM REHBER STANDARDI BS 8800 İŞ SAĞLIĞI VE İŞ GÜVENLİĞİ YÖNETİM REHBER STANDARDI Dr. Handan TOPÇUOĞLU Ph.D. Dr. Şenay ÖZDEMIR Ph.D. İdeal İş sağlığı Ltd.şti. (HS(G)65 BAŞARILI SAĞLIK VE GÜVENLİK YÖNETİM SİSTEMLERİNİ (UK) TEMEL

Detaylı

Kısaca. Müşteri İlişkileri Yönetimi. Nedir? İçerik. Elde tutma. Doğru müşteri 01.06.2011. Genel Tanıtım

Kısaca. Müşteri İlişkileri Yönetimi. Nedir? İçerik. Elde tutma. Doğru müşteri 01.06.2011. Genel Tanıtım Kısaca Müşteri İlişkileri Yönetimi Genel Tanıtım Başar Öztayşi Öğr. Gör. Dr. oztaysib@itu.edu.tr 1 MİY Genel Tanıtım 2 MİY Genel Tanıtım İçerik Müşteri İlişkileri Yönetimi Nedir? Neden? Tipleri Nelerdir?

Detaylı

Atılım Üniversitesi Bilgi & Đletişim Teknolojileri Müdürlüğü Sistem Yönetim Uzmanı Görev Tanımı

Atılım Üniversitesi Bilgi & Đletişim Teknolojileri Müdürlüğü Sistem Yönetim Uzmanı Görev Tanımı Atılım Üniversitesi Bilgi & Đletişim Teknolojileri Müdürlüğü Sistem Yönetim Uzmanı Görev Tanımı Formal Doküman Detayları Hazırlanma Tarihi 17 Eylül 2012 Yayın Taslak Hazırlayan Ersun Ersoy Doküman Numarası

Detaylı

BİLİŞİM SİSTEMLERİ GÜVENLİĞİNDE YENİ EĞİLİMLER

BİLİŞİM SİSTEMLERİ GÜVENLİĞİNDE YENİ EĞİLİMLER BİLİŞİM SİSTEMLERİ GÜVENLİĞİNDE YENİ EĞİLİMLER Dr. Hayrettin Bahşi bahsi@uekae.tubitak.gov.tr 11 Mart 2010 Gündem Bulut Hesaplama Sistemleri ve Bilgi Güvenliği Güvenli Yazılım Geliştirme Hayat Döngüsü

Detaylı

BAKANLIĞIMIZ İÇ KONTROL SİSTEMİ ÇALIŞMALARININ TAMAMLANMASI STRATEJİ GELİŞTİRME BAŞKANLIĞI

BAKANLIĞIMIZ İÇ KONTROL SİSTEMİ ÇALIŞMALARININ TAMAMLANMASI STRATEJİ GELİŞTİRME BAŞKANLIĞI BAKANLIĞIMIZ İÇ KONTROL SİSTEMİ ÇALIŞMALARININ TAMAMLANMASI STRATEJİ GELİŞTİRME BAŞKANLIĞI OCAK 2015 Sunum Planı İç Kontrol ün Tanımı ve Amaçları Birimlerin Sorumlulukları İç Kontrol Standartları Bakanlıkta

Detaylı

1- Neden İç Kontrol? 2- İç Kontrol Nedir?

1- Neden İç Kontrol? 2- İç Kontrol Nedir? T.C. İÇİŞLERİ BAKANLIĞI KİHBİ Dairesi Başkanlığı 10 SORUDA İÇ KONTROL MAYIS 2014 ANKARA 1- Neden İç Kontrol? Dünyadaki yeni gelişmeler ışığında yönetim anlayışı da değişmekte ve kamu yönetimi kendini sürekli

Detaylı

Nagios XI Günümüzün talep gören kurumsal gereksinimleri için en güçlü BT altyapısı gözetim ve uyarı çözümüdür.

Nagios XI Günümüzün talep gören kurumsal gereksinimleri için en güçlü BT altyapısı gözetim ve uyarı çözümüdür. Nagios Enterprises, kurumsal ölçekte, BT altyapı gözetiminde endüstri standardı olan Nagios için resmi ürünler, hizmetler ve çözümler sunuyor. Dünya çapında yüz binlerce kullanıcıyla Nagios bilgi teknolojileri

Detaylı

Siber Savunma. SG 507Siber Savaşlar Güz 2014 Yrd. Doç. Dr. Ferhat Dikbıyık

Siber Savunma. SG 507Siber Savaşlar Güz 2014 Yrd. Doç. Dr. Ferhat Dikbıyık Siber Savunma SG 507Siber Savaşlar Güz 2014 Siber Savunma Siber Caydırıcılık genel anlamda problemli olduğundan etkisi düşük olabilir. Bu durumda bir devletin kendisini siber tehditlere karşı savunabilmesi

Detaylı

COBIT Bilgi Sistemleri Yönetimi. Şubat 2009

COBIT Bilgi Sistemleri Yönetimi. Şubat 2009 COBIT Bilgi Sistemleri Yönetimi Şubat 2009 Gündem Bilgi Sistemleri Yönetimi Bilgi Sistemleri Süreçleri Bilgi Sistemleri Yönetimi Uygulama Yol Haritası Bilgi Sistemleri (BS) Yönetimi Bilgi Sistemleri Yönetimi,

Detaylı

Dünyada Veri Kaçağı ve Veri Kaçağı Önleme (DLP) Sistemleri Tahsin TÜRKÖZ Bilişim Sistemleri Güvenliği Grubu

Dünyada Veri Kaçağı ve Veri Kaçağı Önleme (DLP) Sistemleri Tahsin TÜRKÖZ Bilişim Sistemleri Güvenliği Grubu Dünyada Veri Kaçağı ve Veri Kaçağı Önleme (DLP) Sistemleri Tahsin TÜRKÖZ Bilişim Sistemleri Güvenliği Grubu Mart, 2010 İçerik Veri Kaçağı Önleme Nedir? Dünyada ve Türkiye de Veri Kaçağı Teknoloji Ne Durumda?

Detaylı

MerSis. Bilgi Teknolojileri Yönetimi Danışmanlık Hizmetleri

MerSis. Bilgi Teknolojileri Yönetimi Danışmanlık Hizmetleri MerSis Bilgi Teknolojileri Yönetimi Danışmanlık Hizmetleri Bilgi Teknolojileri risklerinize karşı aldığınız önlemler yeterli mi? Bilgi Teknolojileri Yönetimi danışmanlık hizmetlerimiz, Kuruluşunuzun Bilgi

Detaylı

Bilgi Teknolojileri Ürün Güvenliği İçin Ortak Kriterler Sertifikasyonu ve Türkiye

Bilgi Teknolojileri Ürün Güvenliği İçin Ortak Kriterler Sertifikasyonu ve Türkiye Bilgi Teknolojileri Ürün Güvenliği İçin Ortak Kriterler Sertifikasyonu ve Türkiye Mariye Umay AKKAYA-TSE ORTAK KRİTERLER nedir? ORTAK KRİTERLER; BİLİŞİM TEKNOLOJİSİ ÜRÜNLERİ İÇİN GELİŞTİRİLMİŞ GÜVENLİK

Detaylı

ÖZ DEĞERLENDİRME SORU LİSTESİ

ÖZ DEĞERLENDİRME SORU LİSTESİ T.C TÜRKİYE KAMU HASTANELERİ KURUMU BURSA İLİ KAMU HASTANELERİ BİRLİĞİ GENEL SEKRETERLİĞİ ORHANELİ İLÇE DEVLET HASTANESİ VE RAPORU BİLGİ YÖNETİMİ ÖZDEĞERLENDİRME SORU LİSTESİ TARİH: Doküman Kodu Yayın

Detaylı

MOBĐL UYGULAMALARDA GÜVENLĐK

MOBĐL UYGULAMALARDA GÜVENLĐK TBD Kamu-BĐB Kamu Bilişim Platformu XI II. Belge Grubu MOBĐL UYGULAMALARDA GÜVENLĐK 11 NĐSAN 2009, ANTALYA AKIŞLA ĐLGĐLĐ Giriş ve Rapor Kapsamı Mobil Teknolojileri ve Güvenlik Mobil Uygulamalarda Güvenliğin

Detaylı

Laboratuvar Akreditasyonu

Laboratuvar Akreditasyonu Akreditasyon Laboratuvar, muayene ve belgelendirme kuruluşlarının ulusal ve uluslararası kabul görmüş teknik kriterlere göre değerlendirilmesi, yeterliliğin onaylanması ve düzenli aralıklarla denetlenmesi

Detaylı

10 SORUDA İÇ KONTROL

10 SORUDA İÇ KONTROL T.C. İÇİŞLERİ BAKANLIĞI Avrupa Birliği ve Dış İlişkiler Dairesi Başkanlığı 10 SORUDA İÇ KONTROL 1 Neden İç Kontrol? Dünyadaki yeni gelişmeler ışığında yönetim anlayışı da değişmekte ve kamu yönetimi kendini

Detaylı

DOKÜMAN KODU YAYINLANMA TARİHİ REVİZYON NO REVİZYON TARİHİ SAYFA NO. BG-RH-01 01.03.2015 00 Sayfa 1 / 6

DOKÜMAN KODU YAYINLANMA TARİHİ REVİZYON NO REVİZYON TARİHİ SAYFA NO. BG-RH-01 01.03.2015 00 Sayfa 1 / 6 BG-RH-01 01.03.2015 00 Sayfa 1 / 6 BGYS Politikası Rehberi; T.C. Sağlık Bakanlığı Aydın Kamu Hastaneleri Birliği Genel Sekreterliği bünyesinde yürütülen bilgi güvenliği yönetim sistemi çalışmalarının kapsamını,

Detaylı

Sunum İçeriği. 1. Siber Savaş (Siber Terör) 2. Siber Savunma 3. USOM

Sunum İçeriği. 1. Siber Savaş (Siber Terör) 2. Siber Savunma 3. USOM Sunum İçeriği 1. Siber Savaş (Siber Terör) 2. Siber Savunma 3. USOM Siber Savaş Siber Savaş Siber Saldırı Casusluk Sabotaj Servis Dışı Bırakma (DDOS) Siber Savaş Estonya 2007: DDOS saldırılarıyla ülkenin

Detaylı

Erma Yazılım EBYS Sistemi. (Elektronik Belge Yönetim Sistemi) Dijital Arşivleme. Otomasyonu

Erma Yazılım EBYS Sistemi. (Elektronik Belge Yönetim Sistemi) Dijital Arşivleme. Otomasyonu Erma Yazılım EBYS Sistemi (Elektronik Belge Yönetim Sistemi) ve Dijital Arşivleme Otomasyonu ERMA YAZILIM ELEKTRONİK BELGE YÖNETİM SİSTEMİ EBYS Otomasyonumuzun genel özellikleri; Kaysis web servislerinden

Detaylı

Ağ Yönetiminin Fonksiyonel Mimarisi

Ağ Yönetiminin Fonksiyonel Mimarisi Bölüm 7 Ağ Yönetimi Ağ Yönetiminin Fonksiyonel Mimarisi a) Performans (Performance) Yönetimi b) Sistem Ayarları (Configuration) Yönetimi c) Hesap (Account) t)yönetimi i d) Hata (Fault) Yönetimi e) Güvenlik

Detaylı

Cahide ÜNAL Mart 2011

Cahide ÜNAL Mart 2011 Cahide ÜNAL Mart 2011 Bilgi, bir kurumun en önemli değerlerinden birisidir ve sürekli korunması gerekir. TS ISO IEC 17799:2005 2 BİLGİ TÜRLERİ Kağıt üzerine basılmış, yazılmış Elektronik olarak saklanan

Detaylı

KARADAĞ SUNUMU Natalija FILIPOVIC

KARADAĞ SUNUMU Natalija FILIPOVIC VII. ULUSLARARASI BALKAN BÖLGESİ DÜZENLEYİCİ YARGI OTORİTELERİ KONFERANSI 28-30 MAYIS 2012, İSTANBUL Yeni Teknolojiler ve Bunların Yargıda Uygulanmaları Türkiye Cumhuriyeti Hâkimler ve Savcılar Yüksek

Detaylı

IBM Güvenlik Sistemleri Yeni Nesil Güvenlik Bilgisi Toplama ve Olay Yönetimi

IBM Güvenlik Sistemleri Yeni Nesil Güvenlik Bilgisi Toplama ve Olay Yönetimi Yeni Nesil Güvenlik Bilgisi Toplama ve Olay Yönetimi 6 Aralık 2012 1 2012 IBM Corporation Gündem 2 Günümüzde BT güvenliği gereksinimi IBM güvenlik çerçevesi QRadar: Yeni Nesil Güvenlik Bilgisi Toplama

Detaylı

KALİTE SİSTEM YÖNETİCİSİ EĞİTİMİ

KALİTE SİSTEM YÖNETİCİSİ EĞİTİMİ FMEA-HATA TÜRLERİ VE ETKİ ANALİZİ Tanımlama Mevcut veya olası hataları ortaya koyan, bu hataların yaratabileceği etkileri göz önünde bulunduran ve etkilerine göre hataları önceliklendirerek oluşmalarının

Detaylı

Bilgi Güvenliği Hizmetleri Siber güvenliği ciddiye alın!

Bilgi Güvenliği Hizmetleri Siber güvenliği ciddiye alın! Bilgi Güvenliği Hizmetleri Siber güvenliği ciddiye alın! 2 Securitas ile Bir adım Önde Olun Bir kurumda çalışanlarla ilgili kişisel bilgilerin internette yayınlanması, interaktif bankacılık sistemi kullanıcısının

Detaylı

5651 ve 5070 Sayılı Kanun Tanımlar Yükümlülükler ve Sorumluluklar Logix v2.3 Firewall. Rekare Bilgi Teknolojileri

5651 ve 5070 Sayılı Kanun Tanımlar Yükümlülükler ve Sorumluluklar Logix v2.3 Firewall. Rekare Bilgi Teknolojileri 5651 ve 5070 Sayılı Kanun Tanımlar Yükümlülükler ve Sorumluluklar Logix v2.3 Firewall 5651 Sayılı Kanun Kanunun Tanımı : İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen

Detaylı

ISO 9000: 2000 REVĐZYONUNUN GETĐRDĐKLERĐ

ISO 9000: 2000 REVĐZYONUNUN GETĐRDĐKLERĐ ISO 9000: 2000 REVĐZYONUNUN GETĐRDĐKLERĐ Ayfer ADIGÜZEL Türk Loydu Vakfı Đktisadi Đşletmesi Belgelendirme Bölüm Başkanı 1980 li yılların sonunda ürün bazında standartlarla çalışmanın belirlenen kalitede

Detaylı

Network Access Kontrol Ağ Erişim Kontrolü (NAC)

Network Access Kontrol Ağ Erişim Kontrolü (NAC) Network Access Kontrol Ağ Erişim Kontrolü (NAC) Hüsnü Demir Hüseyin Yüce Gökhan Akın hdemir @ metu.edu.tr huseyin @ marmara.edu.tr akingok@itu.edu.tr ODTÜ Marmara Ü. İTÜ NAC Nedir? NAC Kullanıcı sistem

Detaylı

ISO27001, PCI-DSS, ADSIC İÇİN ENTEGRE TEK ÇÖZÜM

ISO27001, PCI-DSS, ADSIC İÇİN ENTEGRE TEK ÇÖZÜM Tek Hamlede Bilgi Güvenliği Security Unified Management for Governance, Risk Management and Compliance Security Unified Management for Governance, Risk Management and Compliance ISO27001, PCI-DSS, ADSIC

Detaylı