ANET YAZILIM BİLGİ GÜVENLİĞİ SÜREÇLER. Ertuğrul AKBAŞ A N E T Y A Z I L I M - I S T A N B U L

Transkript

1 ANET YAZILIM BİLGİ GÜVENLİĞİ SÜREÇLER Ertuğrul AKBAŞ 2011 A N E T Y A Z I L I M - I S T A N B U L

2 Birleşik Tehdit Yönetimi Ağ Güvenlik Cihazları (UTM Firewall) Değerlendirme Hizmetleri...3 Firewall Kural Analizi Hizmetleri...3 AUDIT Hizmetleri...4 Micrsft İşletim sistemi Güvenliği...5 CISCO Güvenliği...5 Veritabanı Güvenliği...5 Linux İşletim Sistemi Güvenliği...5 WEB SUNUCU Güvenliği...5 Web Uygulama Güvenlik Testleri...5 Ağ srgulama (Netwrk Surveying)...6 Prt tarama (Prt Scanning)...6 Hizmetlerin belirlenmesi (Services Identificatin)...6 Sistem belirleme (System Identificatin)...6 Internet uygulama testi (Internet Applicatin Testing)...6 Ruter testi (Ruter Testing)...6 Güvenlik Olayları Yönetimi (SIEM)...6 Temel Özellikleri:...8 Raprlar...8 Envanter Raprları ve Netwrk Tpljisi...9 Alarm Yönetimi...9 Kural Veritabanı Krelasyn ISO27001, SOX, HIPAA ve PCI DSS Uyumluluk Raprları HIPAA Uyumluluk Gereksinimleri SOX Uyumluluk Gereksinimleri BT Varlık Envanteri Oluşturma Kılavuzu BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ KURMAK... 12

3 Birleşik Tehdit Yönetimi Ağ Güvenlik Cihazları (UTM Firewall) Değerlendirme Hizmetleri Bilgi güvenliğinin sağlanmasında temel ürünlerin başında ağ güvenlik duvarlarını (UTM Firewall) gelmektedir. Bilgi güvenliği yönetimi kapsamında UTM Firewall aşağıdaki kriterlere göre değerlendirmeye tabi tutulur. Uluslararası Standartlar: Cmmn Criteria sertifikasynu bulunmalıdır. Çift Yönlü Kruma Atak Tespit ve Durdurma Kategri Bazlı İçerik Filtreleme Uygulama Bazlı Kruma İstenmeyen Psta Kruması Ağ Geçidi Anti Virüs İstenmeyen Ajan Yazılım Kruması Uzak Bağlantı Kruması Active Directry Desteği 5651 Sayılı Kanuna Uygunluk Firewall Kural Analizi Hizmetleri Internet/Intranet güvenliğinin sağlanması için kullanılan en temel araç firewall yazılımları veya dnanımlarıdır. Günümüzde firmalar firewall sistemleri için büyük bütçeler ayırmakta ve kritik sistemlerini krumak için kullanmaktadırlar. Firewall sistemleri farklı ağlar arasında geçit nktası larak knumlandırılarak izin verilen servislerin ve uygulamaların istenilen kaynaklara güvenli biçimde erişimine lanak tanırlar. Kurallar luşturulurken yapılabilecek hatalar veya eksiklikler, krunması istenen sistemlere dğru istenmeyen bağlantıların yapılmasına yl açabilir. Kurallar ve firewall yönetici sayısı arttıkça bu knuda yapılabilecek hata ve ptansiyel risk artar. Bu knuda yaşanan bir başka prblem ise uzun süredir firewall kullanılan sistemlerde geçmişten kalan kuralların değiştirilmemesidir. Genellikle kaldırılmasının bağlantı srunlarına neden labileceği düşünülerek, silinmesine cesaret edilemeyen bu kurallar güvenlik riskleri yaratabilmektedirler. Yukarıda bahsedilen risklere yönelik larak, aşağıdaki kntrller gerçekleştirilerek, mevcut güvenlik duvarı kurallarının ve yapılandırmasının prblem taşıyıp taşımadığı denetlenmektedir. Knfigurasyn Kntrlleri (Cnfiguratin Check-up fr Rules) * Risk luşturan güvenlik kuralları * Tanımlı nesne veritabanına ait kntrller * Önemli firewall bileşenlerine ait kntrller * Firewall lglarının analiz edilmesi * VPN tanımlamalarına yönelik kntrller * Diğer Kntrller

4 AUDIT Hizmetleri ANET Yazılım tarafından geliştirilen AUDIT yazılımı Sarbanes Oxley Act ISO/BS HIPPA ISO/BS Uyumluluğu ve güvenlik zafiyeti tespiti ve giderilmesi amaçlı kullanılan bir uygulamadır. Şekil 1. FAUNA AUDITOR Internet üzerinden yapılan denetim ve penetrasyn testleri internet krsanlarından önce zaafları tespit etmek amacı ile yapılmaktadır. Oysa yapılan tüm araştırma snuçlarında bilgi güvenliği ihlallerinin %80'inden fazlasının yerel ağda gerçekleştiği görülmektedir. Yerel Güvenlik Denetimi hizmetimizle risk sıralamasında birinci sırada bulunan yerel ağda kapsamlı testler gerçekleştiriyruz ve zaafları müşterimize raprluyruz. Yerel Güvenlik Denetimi raprumuzda müşterilerimiz aşağıdaki sruların cevabını bulmaktadır: * Bilgi işlem departmanında çalışan bir persnel hacking araçlarını da kullanarak hangi bilgilere erişebilir? * Diğer departmanlarda çalışan bir persnel hacking araçlarını da kullanarak hangi bilgilere erişebilir? * İş rtağı ve 3.parti persneli ağınıza kabl ile bağlanarak neler yapabilir? * Wifi veya Bluetth kablsuz iletişimlere sızılabilir mi? * Netwrk Sniffing ile şifreler kırılabiliyr mu? * Man in the middle (MITM) ataklarına karşı sunucu, istemci ve yönlendiriciler krunaklı mı? * Intranet/Extranet web uygulamalarınız güvenilir mi? * Müşteri bilgileriniz ve finansal bilgileriniz güvende mi? * Yerel sistemde Zmbi bilgisayar var mı? * Ağ güvenliği ve internet erişim güvenliği teknljileri atlanabiliyr mu? * Sistemdeki güvenlik aktiviteleri eksiksiz ve zamanında raprlanıyr mu? Güvenlik denetimi ve penetrasyn testi lası güvenlik zaaflarını risk gerçekleşmeden önce tespit etmek için zrunludur. Bu nedenle PCI, ISO27001, Sx/Cbit gibi tüm regülasynlarda güvenlik denetimi ve/veya penetrasyn testleri zrunlu tutulmuştur.

5 Intrusive (penetrasyn testi) ve Nn-intrusive (güvenik denetimi) başlıkları altına iki farklı hizmet sunmaktadır. Nn-intrusive testler genellikle regülasyn uyumluluğu için kullanılır ve DS/DDS, sisteme sızma, kanıt alma veya kanıt bırakma gibi işlemler yapılmaz. * Ağ testleri * Uygulama testleri (Kullanıcı adı ve şifre ile girilebilen web uygulamaları dahil) * Güvenlik ürünleri atlama testleri * Üçüncü parti testleri (alan adı, ggle hacking) * DS/DDS testleri Micrsft İşletim sistemi Güvenliği Micrsft Aktif Dizin Güvenliği WSUS ile Yama Yönetimi Güvenlik Zararlı Yazılıma Karşı Krunma Web Sunucu (IIS 6.0) Güvenliği Exchange Server 2003 Güvenliği Micrsft DNS Hizmeti Güvenliği Web Sunucu (IIS 5.0) Güvenliği CISCO Güvenliği Şekil 1 de gösterilen ve ANET tarafından geliştirilen ANET AUDITOR tarafından yürütülür. Veritabanı Güvenliği Oracle, MS SQL, MySQL, DB2 ve Sybase veritabanlarının güvenlik denetimi tmatik larak gerçekleştirilebiliyr. Database Activity Mnitring özelliği ile veritabanında lup bitenleri sürekli izliyr ve PCI, Cbit ve SX uyumluluk sağlıyr. Data Lss Preventin özelliği sayesinde kredi kartları, müşteri bilgileri ve finansal bilgilere yapılan erişimler sürekli kntrl altında tutulabiliyr. Linux İşletim Sistemi Güvenliği Şekil 1 de gösterilen ve ANET tarafından geliştirilen ANET AUDITOR tarafından yürütülür. WEB SUNUCU Güvenliği Güvenli Mysql, Apache, Php ve Mdsecurity Kurulum MySQL SQL Injectn yöntemi ile sunuculardan bilgi tplama Cmmand Injectn yöntemi ile hedef sistemden veri tplama Crss-Site Scriptng (XSS) ve CSRF (Crss-Site Request Frgery) Directry Treversal Açıklığı Lcal File Inclusin ve Remte File Inclusin yöntemleri ile sistemlerden veri tplama testleri Web Uygulama Güvenlik Duvarları Testleri Web Uygulama Güvenlik Testleri Web sunucu kimlik belirleme Prxy Bypass

6 Ağ srgulama (Netwrk Surveying) Şekil 1 de gösterilen ve ANET tarafından geliştirilen ANET AUDITOR tarafından yürütülür. Prt tarama (Prt Scanning) Şekil 1 de gösterilen ve ANET tarafından geliştirilen ANET AUDITOR tarafından yürütülür. Hizmetlerin belirlenmesi (Services Identificatin) Şekil 1 de gösterilen ve ANET tarafından geliştirilen ANET AUDITOR tarafından yürütülür. Sistem belirleme (System Identificatin) Şekil 1 de gösterilen ve ANET tarafından geliştirilen ANET AUDITOR tarafından yürütülür. Internet uygulama testi (Internet Applicatin Testing) Şekil 1 de gösterilen ve ANET tarafından geliştirilen ANET AUDITOR tarafından yürütülür. Ruter testi (Ruter Testing) Şekil 1 de gösterilen ve ANET tarafından geliştirilen ANET AUDITOR tarafından yürütülür. Güvenlik Olayları Yönetimi (SIEM) Olay yönetimi günümüz dünyasında iş yapmanın getirdiği yüksek seviye risklerin yönetilebilmesi için gerekli lan deplama, gerçek zamanlı gözleme, tarihsel analiz ve tmatik cevap gibi mekanizmaları gerektirmektedir. ANET IntelliLg gerçek zamanlı lay yönetimini sağlayan ve ANET tarafından üretilen bir üründür.

7 Ayrıntılı bilgi sağlar ve öncelikleri belirlemek için iyileştirme hakkında bilinçli kararlar vermek için Istatistiksel grafikler üzerinden sistem güvenliği sağlık Anında takdir Basitleştirmek uyarılar ve hata knslide ederek ağ layları izleme ve özlü larak turum klay raprları anlamak Ölçüde güçlü adli srguları bir lay veya anmali arkasında kök nedenini bulmak için süresini azaltır ağ içinde güvenlik eğilimleri analizi sağlar ağ kaynaklarının mevcut durumu gösteren raprlar klay anlaşılır bir dizi genel ağ perfrmansı kapsamlı bir görüntüleme sağlar Web tabanlı uzaktan kumanda dstu grafik arayüzü kullanıcı üzerinden esnek uzaktan yönetim sağlar Özelleştirilebilir ve ölçeklenebilir bir sistem herhangi bir ağ platfrmları uygun Izinsiz girişlere karşı Anında uyarı e-psta ve kısa mesaj servisi (SMS) gibi algılandı

8 Temel Özellikleri: Raprlar Saldırı, Tehdit, VPN, Virüs, URL, Windws Olayları, Perfrmans ve Utilizatin, Spam,Olay kayıtları üzerinden geniş raprlama seçenekleri Örnek Raprlardan Bazıları En çk gezilen siteler En çk gezen kullanıcı(ad entegrasyn mdülü gerektirebilir) En çk gezilen bilgisayar adları (AD entegrasyn mdülü gerektirebilir) En çk gezen IPler En çk gezilen günler En çk trafik üreten ipler En çk trafik üreten kullanıcılar En çk trafik üretilen günler En çk saldırılan ipler En çk saldırıya maruz kalan ipler En çk saldırıya maruz kalınan günler En çk tespit edilen virüsler En çk virüs saldırısına maruz kalan ipler En çk virüs saldırısına maruz kalan bilgisayar adları En çk virüs saldırısına maruz kalınan günler En çk VPN yapan Clientlar En çk VPN Yapılan günler VPN listeleri VPN Trafik Raprları Pratikte Çözüm Bulabileceğiniz Srular

9 En çk web trafiği luşturunların listesi Uygun lmayan web sayfaları ve içeriğe erişenlerin listesi Dışarıdan gelen saldırılar nerelerden kaynaklanıyr? Hangi sunucular en çk hit alıyr? Internet bant genişliği ne seviyede? Bant genişliğimi en çk hangi prtkller kullanıyr? Envanter Raprları ve Netwrk Tpljisi Sistem SNMP prtklü üzerinde netwrk tpljisini çıkarıp haritalandırabildiği gibi envanter raprları akif cihazlar,pasif cihazlar vs.. raprlayabilmektedir. Alarm Yönetimi Tplanan kayıtların gerek lgun ID sine gerekse farklı kaynaklardan alınan lgların ilişkilendirilmesi snucunda belirli bir zaman dilimi içinde yaşanan bir srunu fark edecek mekanizmanın kurulması ve yönetilmesi genel larak tanımlanmaktadır.

10 Kural Veritabanı Her türlü kritere uygun Krelasyn kuralı belirleme yeteneği sistemde mevcuttur. Kullanıcı tarafından belirlen kurallar dışında sistemde hazır gelen veriler ile de kural tabanı genişletilebilir Krelasyn kuralı tanımlama arabirimi Krelasyn Kullanıcı tarafından belirlen kurallar belirli ilişkilerle veya mantıksal peratörlerle işletilerek snuçlar ve çıkarımlar luşturulmasını sağlayan krelasyn mdülü. ISO27001, SOX, HIPAA ve PCI DSS Uyumluluk Raprları Uyumluluk Raprları var lan risklerin minimize edilmesi için lusturulmus prsesler bütünüdür. Risk yönetimi; risk analizi, risk degerlendirme, risk önleme, tehditlerin ve kntrllerin degerlendirilmesi lmak üzere dört ana süreçten luşur ve bu süreçlerdeki uyumluluk raprları sistem tarafından tmatik luşturulur

11 HIPAA Uyumluluk Gereksinimleri Kullanıcı Oturum Raprları (User Lgn Reprt) Başarısız Oturum Açma Raprları (Lgn Failure Reprts) Güvenlik Kayıtlarına Erişim Rapru (Audit Lg Access Reprts) Nesne Erişim Raprları (Object Access Reprts) Sistem Olayları Rapru (System Events Reprt) Oturum Durum Rapru (Hst Sessin Status Reprt) Başarılı Etki Alanı Oturum Açma Rapru (Dmain Lgn Reprts) Başarısız Etki Alanı Oturum Açma Rapru (Dmain Lgn Failures) Güvenlik Kayıtlarının Arşivlenmesi (Security Lg Archiving) SOX Uyumluluk Gereksinimleri Kullanıcı Oturum Raprları (User Lgn Reprt) Başarısız Oturum Açma Raprları (Lgn Failure Reprts) Güvenlik Kayıtlarına Erişim Rapru (Audit Lg Access Reprts) Nesne Erişim Raprları (Object Access Reprts) Sistem Olayları Rapru (System Events Reprt) Oturum Durum Rapru (Hst Sessin Status Reprt)

12 Güvenlik Kayıtlarının Arşivlenmesi (Security Lg Archiving) Oturum Durum Rapru (Hst Sessin Status Reprt) Hesap Yönetim Olaylarının Takibi Kullanıcı Grup Değişikliklerinin Takibi Denetim Plitikalarında Yapılan Değişikliklerin Takibi Başarılı Etki Alanı Oturum Açma Rapru (Dmain Lgn Reprts) Başarısız Etki Alanı Oturum Açma Rapru (Dmain Lgn Failures) Kullanıcı Hareketlerinin Takibi Uygulama Çalıştırma Olaylarının Takibi Dizin/Dsya Erişim Takibi BT Varlık Envanteri Oluşturma Kılavuzu Yazılım ve Dnanım envanterinin luşturulması ve Lisans yönetiminin yapılmasını sağlıyruz BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ KURMAK ISO dünya üzerinde geçerliliği lan ve gitgide birçk alanda zrunlu hale getirilmeye çalışılan bir standarttır. Bu standart, kurumlara genel anlamda bilgi güvenliğini nasıl yapabileceklerini anlatmaktadır. ISO standardını uygulayan ve sertifikasını alan bir şirketin, dünyanın güvenliği en yüksek firması lması gerekmez. Ancak güvenliğin ne seviyede lduğu kurumun yöneticileri tarafından bilinir ve nların kararı ölçüsünde rtaya knmuş durumda lup zaman içinde artan bir güvenlik seviyesi vardır. Özellikle, elektrnik imza servis sağlayıcıları, bankalar, hastaneler, sigrta şirketleri, e-ticaret ile uğraşan şirketlerde BGYS nin uygulanması önemli bir ihtiyaçtır. Bilgi Güvenliği Yönetim Sistemi ni uygulamak isteyen bir kurumda yapılması gereken adımlar aşağıdaki şekildedir: Prje Ekibinin Kurulması: BGYS Prjesi çalışmalarını düzenleyecek, uygulayacak ve yönetebilecek bir takım luşturulmalıdır. Kurum içerisinde bu çalışmaları yürütecek BGYS takımının ve BGYS yöneticisinin bilgi güvenliği yönetimi knusunda iyi eğitimli lmaları gerekmektedir. Risk yönetimi, plitika luşturma, güvenlik prsedürlerinin hazırlanması ve

13 uygun kntrllerin seçilerek uygulanması aşamalarında uzman desteği ve danışmanlık almaları faydalı lacaktır. Böylece BGYS yi en iyi nasıl uygulayacağı knusunda bağımsız danışmanlardan görüş ve tavsiye alabilir. Kurum içinde stratejinin belirlenmesi: Üst yönetimle birlikte rganizasynel strateji hazırlanmalıdır. Kapsamın Belirlenmesi: BGYS nin kurum içinde uygulanacak ve belgelendirilecek kapsam belirlenmeli. Hangi departmanlarda bu sistemin uygulanacağı planlanarak yazılı ve görsel kapsam dkümanları hazırlanmalıdır. Prje ve İletişim Planının Hazırlanması: Kurum ön prje hazırlıklarını tamamlayıp, prje takımını, kapsamını, stratejisini, danışmanlarını belirledikten snra artık prjede ilerleyeceği adımlar için bir prje planı hazırlamalıdır. Nelerin, ne zaman, kimlerle uygulanacağı prje planında yer alarak çalışmalara başlanır. Yapılan tüm çalışmalar, tplantılar çeşitli rapr ve tutanaklarla kayıt altında tutulurken yine kurum tarafından belirlenen aralıklarda (haftalık, aylık) ilgili yönetimle bilgilendirme ve görüş alışverişi yapılır. Bilgi Güvenliği Plitikası: Prjeye başlanmasıyla birlikte, öncelikle ilgili kapsam ve yönetim çalışanlarıyla birlikte, standartın gerektirdiği kişi ve birimlerin (hukuk,vs..) görüşleri alınarak Bilgi Güvenliği Plitikası yazılarak, yönetim tarafından naylanıp, kurum çalışanlarına duyurulur. Bilgi Güvenliği Plitikaları, tüm kurum çalışanlarının görev ve srumluluklarını tanımlamaktadırlar. Hedef; bilgi güvenliği knusunda yönetimin bakış açısını, nayını ve desteğini çalışanlara uygun araç ve denetim mekanizmaları eşliğinde iletmektir, amaç ise; Bilgi Güvenliği hakkında üst yönetimin isteklerini ve kararlarının tüm çalışanlarla paylaşan plitika dkümanlarının hazırlanmasıdır. Varlıkların Belirlenmesi: Varlık Yönetimi için, kapsam dahilinde ve kapsama destek veren birimlere yönelik varlıklarla ilgili prsedür, varlık kayıt tablsu gibi dökümanlar hazırlanır. İlgili varlıklar varlık sahipleri tarafından belirtilerek, kayıt altına alınır. Varlıklar, sınıflandırılıp, gizlilik, bütünlük ve kullanılabilirlik kriterlerine göre değerlendirilir. Risklerin Belirlenmesi, Risk Yönetimi: Yapılan yatırımlarda amaç hep en yüksek snucun alınmasıdır. Risk Analizi, bilgi güvenliğine yapılacak yatırımların öncelikli knulara yöneltilmesi için gerçekleştirilir. Risk Analiz hizmeti sırasında önce bilgi varlıklarının envanteri çıkartılır, yapılan özel bir elemenin ardından tehditler, zayıf nktalar ve bunlara karşılık gelen riskler belirlenir. Risklerin sıralanmasının ardından, öncelikli riskler belirlenir ve alınması gereken önlemlere karar verilir. Amaç, risklerin tanımlanması, gerekli tedbirlerin alınmasını ön plana çıkaran bir risk analizi prsesini başlatmaktır. Bu çalışmalar sırasında luşturulan risklerin izlenmesi ve ölçülmesi ile ilgili teknikler, alınacak önlemlerin yeterliliğini denetlemek için anahtar görev görmektedir. Yapılan Risk Analizini gerçekçi kılan en önemli faktör ise, bu çalışmanın her aşamasında fayda/maliyet dengesini gözetmek ve bu knuda yapılacak ptimizasyndur. Adım, varlıkların belirlenmesiyle birlikte standartında luşturulması ve uygulanmasındaki en önemli nedenlerden biri lan Risk Yönetiminin uygulanmasıdır. Bilgi Güvenliği Yönetim Sistemi, kurumunuzdaki tüm bilgi varlıklarının değerlendirilmesi ve bu varlıkların sahip ldukları zayıflıkları ve karşı karşıya ldukları tehditleri göz önüne alan bir risk analizi yapılmasını gerektirir. Kurum kendine bir risk yönetimi metdu seçmeli ve risk işleme için bir plan hazırlamalıdır.

14 Risk işleme için standartta öngörülen kntrl hedefleri ve kntrllerden seçimler yapılmalı ve uygulanmalıdır. Planlauygula-kntrl et-önlem al (PUKÖ) çevrimi uyarınca risk yönetimi faaliyetlerini yürütmeli ve varlığın risk seviyesi kabul edilebilir bir seviyeye geriletilene kadar çalışmayı sürdürmelidir. Değişim Yönetimi: Bilgi işleme lanakları ve sistemlerinde lan değişiklikler kntrl edilmeli, değişimle ilgili prsedür ve diğer dkümanlar hazırlanmalıdır. Rl ve Srumluluklar ile ilgili hazırlanan dkümanda kurumdaki değişim yöneticisinin kim lduğu belirtilmelidir. Olay Yönetimi: Güvenlik laylarını anında saptayabilme ve güvenlik ihlal laylarına hemen yanıt verebilmek için lay yönetimine yönelik planlar, prsedür ve diğer dkümanlar hazırlanmalıdır. Rl ve Srumluluklar ile ilgili hazırlanan dkümanda kurumdaki lay yöneticisinin kim lduğu belirtilmelidir. Uygulanabilirlik Bildirgesi Uygulanabilirlik Bildirgesi risk işlemeyi ilgilendiren kararların bir özetini sağlar. Standarttaki seçilen kntrl amaçları ve kntrller ve bunların seçilme nedenleri, mevcut gerçekleştirilmiş kntrl amaçları ve kntrller ile standart Ek A da ki kntrl amaçları ve kntrllerden herhangi birinin dışarıda bırakılması ve bunların dışarıda bırakılmasının açıklaması, uygulanabilirlik bildirgesinde ele alınır. Uygulanabilirlik bildirgesinin ardından, kurumdaki yapılacak bazı işlerle ilgili ilgili bölümlerle yapılacağına dair mutabakat zabıtları hazırlanır. Döküman ve Kayıt Yönetimi: Belirtilen plitikalara bağlı larak tüm şirket standart, kural ve prsedürleri gözden geçirilir ve bunun şirket içi işleyişe nasıl yansıyacağı belirlenir. Hizmet, güvenlik ile ilgili prsedürlerin geliştirilmesi ve dkümante edilmesi ile tamamlanır. Plitika, prsedür, talimatlar ve ilgili frmlar hazırlanır. Dkümanlarda belirtilen şartlara göre hareket etmeyecek ve istisna durumların lduğu kullanıcılar için, bu kuralların dışında kullanacağı ve bununla ilgili riskleri kabul ettiği, yönetici nayını alacağı, istisna ile ilgili dkümanlar hazırlanır. Kayıtlara yönelik dküman ve prsedürler hazırlanarak, kayıtlar tutulur. Eğitim ve Farkındalık Çalışmaları Bir bilgi güvenliği sistemi kurulurken ve kurulduktan snra, bunla ilgili tüm çalışanlarını, şirketine düzenli larak dışarıdan gelip giden ama şirketinin brdrsunda yer almayabilir kntratla çalıştırdığın kişilerde dâhil lmak üzere bilgilendirme ve farkındalık eğitimi verir. Plitika, prsedür ve ilgili diğer dkümanları duyurur. Kapsam dâhilinde, varlıkları listeleyip, sınıflandıracak kişilere bunları nasıl yapacaklarına yönelik eğitimler verir. Ve kurumda bilgi güvenliğinin bir yaşam tarzı lması gerektiğini, kurum kültürüne yerleşmesi ve benimsenmesi için çalışmalar yapar.

15 İç denetim Kuruluş BGYS iç denetimlerini, BGYS kntrl amaçlarının, kntrllerinin, prseslerinin ve prsedürlerinin standarta göre gerçekleştirip gerçekleştirmediğini belirlemek için planlanan aralıklarda gerçekleştirmelidir: Yönetimin Gözen Geçirme Yönetim tarafından BGYS denetimleri be gözden geçirmelerinin snuçları, ilgili taraflardan edinilen geribildirimler alınarak sistem gözden geçirilmelidir. Yönetim, kuruluşun BGYS sini planlanan aralıklarla (en az yılda bir kez), sürekli uygunluğunu, dğruluğunu ve etkinliğini sağlamak için gözden geçirmelidir. Bu gözden geçirme, bilgi güvenliği plitikası ve bilgi güvenliği amaçları dâhil BGYS nin iyileştirilmesi ve gereken değişikliklerin yapılması için fırsatların değerlendirilmesini içermelidir. Gözden geçirme snuçları açıkça dkümante edilmeli ve kayıtlar tutulup saklanmalıdır. Düzenleyici Önleyici Faaliyetler (DÖFİ) Kuruluş tekrar rtaya çıkmalarını önlemek için, BGYS şartlarıyla lası uygunsuzlukların nedenlerini gidermek üzere alınacak önlemleri belirlemelidir. Gerçekleştirilen düzeltici, önleyici faaliyetler, lası srunların yapacağı etkiye uygun lmalıdır. Önleyici faaliyetler için dkümante edilmiş prsedürler bulunmalıdır. Belgelendirme Belgelendirme tetkiki seçilen belgelendirme kurumu tarafından yapılacaktır. Bu nktada, belgelendirme kurumu BGYS nizi gözden geçirecek ve belgelenme için önerilip önerilemeyeceğinizi tespit edecektir. Piyasada faaliyet gösteren birçk belgelendirme kurumu lmasından dlayı bir tanesinin seçilmesi ldukça zr bir knu labilir. Göz önünde bulundurulması gereken faktörler arasında endüstriyel deneyim, cğrafik kapsam, fiyat ve sunulan hizmet kalitesi yer almaktadır. Anahtar önem taşıyan husus, sizin gerekliliklerinize en iyi yanıt verecek belgelendirme kurumunu bulmaktır. İŞ SÜREKLİLİĞİ Kurumlar her durumda ayakta kalmak için zrluklarla baş etmek zrundadırlar. Bir kurum için İş Devamlılığı yapısını kurmak, kritik iş fnksiynlarının her durumda çalışabilirliğini sağlamak anlamına gelir. Organizasynların bilgi ve süreçlerine yönelik güvenlik tehditleri, günümüzde rekabet şansı, iş kalitesi ve verimliliğine yönelik tehditler halini almıştır. Kritik iş fnksiynlarının devamlılığı için gerekli altyapı; teknlji ve insan unsurlarından luşur. Bu unsurların iş devamlılığını sağlamak için yeterli kaliteye sahip hale getirilmesi kadar, en kötü durum senaryları düşünülerek alternatif devamlılık yatırımlarının belirlenmesi gerekir. BAŞARI FAKTÖRLERİ İş hedefini yansıtan güvenlik plitikası, Uygulama yaklaşımının şirket kültürü ile tutarlı lması Yönetimin görülür desteği ve bağlılığı Güvenlik gereksinimlerinin, risk değerlendirmesinin ve risk yönetiminin iyi anlaşılması Güvenliğin tüm yöneticilere ve çalışanlara etkili bir biçimde pazarlanması Bilgi güvenliği plitikası ve standartları ile ilgili kılavuzların tüm çalışanlara ve sözleşmelilere dağıtılması Uygun eğitim ve öğretimin sağlanması Bilgi güvenliği yönetimi perfrmansının ve iyileştirme için geri bildirimlerle sunulan önerileri değerlendirilmek için kullanılan kapsamlı ve dengeli bir ölçüm sistemi

16 Yukarıda süreçlerle ilgili danışmanlık ve eğitim desteği sağlıyruz İletişim Bilgileri Dğu Mah. Bilge Sk. N 2 Kat 5 Daire 4 T: F: inf@anetyazilim.cm, inf@anetyazilim.cm.tr