BĠLGĠ GÜVENLĠĞĠ ve YÖNETĠMĠ

Transkript

1 BĠLGĠ GÜVENLĠĞĠ ve YÖNETĠMĠ Türkiye Bilişim Derneği Ankara Şubesi Eğitim Etkinliği 26 Mayıs 2009 Salı, 09:30-12:30 Eğitimci : Neşe SAYARI ODTÜ Mezunları Derneği Vişnelik Tesisi 1/76

2 GÜNDEM Bilgi Güvenliği Nedir? Neden Önemlidir? Bilgi Güvenliği Yönetim Sistemi (BGYS) Nedir? Bilgi Güvenliği Nasıl Sağlanır? Bilgi Güvenliği Gereksinimlerinin Belirlenmesi BGYS Süreçleri Risk Yönetimi Koruyucu Önlemler BGYS Standartları ISO Standardının Tanıtımı BGYS Başarı Faktörleri BGYS Dokümantasyon Gereksinimi Bilgi Güvenliği Denetim Süreci Genel Değerlendirme ve Kapanış 2/76

3 BĠLGĠ GÜVENLĠĞĠ NEDĠR? NEDEN ÖNEMLĠDĠR? 3/76

4 KURUMSAL BĠLGĠ: Bilgi bir kurumun iş yapabilmesi için sahip olduğu önemli varlıkların en başında gelir. Kurum sahip olduğu bilgiyi derler, üretir, işler, saklar, satar, diğer kişi ve kurumlarla paylaşır. Bilgi; Basılı halde kağıtlarda Elektronik dosyalarda Veritabanlarında Telefon konuşmalarında Faks mesajlarında Masalarda, dolaplarda, Ġletim hatlarında, en önemlisi de kurum çalıģanlarının akıllarında bulunur. Bilgi hangi ortamda olursa olsun gerektiği Ģekilde korunmalıdır. 4/76

5 BĠLGĠ GÜVENLĠĞĠ NEDĠR? Bilgi güvenliği bilginin tehditlere karşı uygun şekilde korunması demektir. Bilginin korunması; gizliliğinin gözetilmesi, bütünlüğünün garanti altında tutulması ve lazım olduğunda erişilebilir durumda olması anlamına gelir. Bütünlük Gizlilik Erişilebilirlik 5/76

6 BĠLGĠNĠN GĠZLĠLĠĞĠ Bilgi gizliliğinin gözetilmesi Bilginin sadece yetkili kişiler tarafından erişilebilir durumda olması, Yetkisiz kişilerin erişiminin engellenmesidir. GİZLİLİK Bütünlük Erişilebilirlik 6/76

7 BĠLGĠNĠN BÜTÜNLÜĞÜ Bilginin bütünlüğü; Ġçeriğinin doğru, Güncel ve geçerli olduğu, Yetkisiz kişiler tarafından değiştirilmediği anlamına gelir. Gizlilik BÜTÜNLÜK Erişilebilirlik 7/76

8 BĠLGĠNĠN ERĠġĠLEBĠLĠRLĠĞĠ Bilginin erişilebilirliği; Bilginin olması gereken yerde ve gerektiğinde kullanıma hazır olduğunun güvence altında tutulmasıdır. Gizlilik Bütünlük ERİŞİLEBİLİRLİK 8/76

9 BĠLGĠ GÜVENLĠĞĠ NEDEN ÖNEMLĠDĠR? Bilgi uygun şekilde korunmazsa; Gizli bilgiler açığa çıkabilir Bilginin içeriğinde yetkisiz kişiler tarafından değişiklik yapılabilir Bilgiye erişim mümkün olmayabilir. Kullanıcı hataları veya kötü niyetli girişimler bu sonuçları doğurabilir. Bu olayların izlenebilirliği de önemli bir konudur. 9/76

10 BĠLGĠ GÜVENLĠĞĠ NEDEN ÖNEMLĠDĠR? Bilgi uygun şekilde korunmazsa; Kuruma ait gizli ve hassas bilgiler Kurum işlerliğini sağlayan bilgi ve süreçler Kurumun ismi, güvenilirliği, itibarı Üçüncü şahıslar tarafından emanet edilen bilgiler Ticari, teknolojik, adli bilgiler Ġş sürekliliği zarar görebilir. 10/76

11 BĠLGĠ GÜVENLĠĞĠ NEDEN ÖNEMLĠDĠR? Bilgi uygun şekilde korunmazsa; Ülke çıkarının zarar görmesi, İş sürekliliğinin aksaması Kaynak tüketimi Müşteri mağduriyeti, memnuniyetsizliği Üçüncü şahıslara yapılan saldırılardan sorumlu tutulma Ulusal / kurumsal itibar kaybı Yasal yaptırımlar ve tazminatlar gibi olumsuz sonuçlarla karşılaşılabilir. 11/76

12 NE TÜR TEHDĠTLER VAR? Servis dışı bırakma saldırıları Kimlik bilgilerinizin ele geçirilerek kötü amaçla kullanılması Virus, kurtcuk, trojan saldırıları Bilgisayarınızın başkası tarafından ele geçirilerek suç işlenmesi Bilgisayarınızın kurum ağına giriş kapısı olarak kullanılması Web sayfası içeriğini değiştirme Ġzinsiz kaynak kullanımı Kuruma ait bilgisayardan dışarıya yapılabilecek saldırılar 12/76

13 KURUMSAL BĠLGĠ GÜVENLĠĞĠ NASIL SAĞLANIR? Kurum çapında bilgi güvenliği farkındalığının yaratılması Uygun kullanım, politikalar, prosedürler... Kurum organizasyonu; kişiler, roller, uygun atamalar ve iş dağılımı, Güvenlik yazılım ve donanımları Bilgi güvenliği, kurum gereksinimleriyle örtüşecek şekilde ve sistematik bir yaklaşımla ele alınmalıdır. 13/76

14 BĠLGĠ GÜVENLĠĞĠNDE KURUMSAL SORUMLULUK NEDĠR? Bilgi güvenliği yönetiminin de diğer yönetsel süreçlerden biri olarak kurgulanması, Gerekli atamaların yapılması ve kaynak tahsisinin sağlanması, Kurum çapında farkındalık ve bilinç yaratılması, Güvenlik ihlallerinin değerlendirilmesi, Yaptırımların uygulanmasıdır. 14/76

15 BĠLGĠ GÜVENLĠĞĠ GEREKSĠNĠMLERĠ NASIL BELĠRLENĠR? 15/76

16 BĠLGĠ GÜVENLĠĞĠ GEREKSĠNĠMLERĠ Kurumsal güvenlik gereksinimleri belirlenirken bazı temel kaynaklara başvurulur: Risk Analizi Sonuçları Yasal yükümlülükler, yurt içi ve yurt dışı ticari iş bağlantıları nedeniyle yapılan sözleşmeler, devlet kurumlarıyla karşılıklı anlaşmalar vs. Kurumun işlevlerini destekleyen bilişim sistemleri ile ilgili prensipler ve gereksinimler. Kurumun daha önce yaşadığı güvenlik olayları 16/76

17 BĠLGĠ GÜVENLĠĞĠ GEREKSĠNĠMLERĠ: -Risk Analizi- Bilgi varlıklarına yönelik tehditler belirlenir Bilgi varlıklarının zayıflıkları (korunmasızlık) gözden geçirilir, tehditlerin bu zayıflıklardan yararlanarak zarar verme olasılığı değerlendirilir Tehditlerin varlıklara olası etkisi değerlendirilir. Bu veriler risk hesaplamak için kullanılır ve riskler listelenir. Bu çalışma kurumun risk ortamını yansıttığı için kuruma özgü sonuçlar verir 17/76

18 BĠLGĠ GÜVENLĠĞĠ GEREKSĠNĠMLERĠ : -Yasa ve SözleĢmelerle Ġlgili Yükümlülükler- Kurumun devlete, diğer kuruluşlara, müşterilerine karşı taahhütleri nelerdir? Yasalar ve sözleşmeler neler gerektirmektedir? Bilgi güvenliği kontrolleri belirlenirken bu gereksinimler göz önüne alınmalıdır. (Uluslararası sözleşmeler, ortaklık anlaşmaları, sigorta kanunu, elektronik imza kullanma gerekliliği, 5651 sayılı yasa, kişisel verilerin gizliliği, hasta bilgilerinin gizliliği, şifreli saklama ve iletim gerekliliği vb...) 18/76

19 BĠLGĠ GÜVENLĠĞĠ GEREKSĠNĠMLERĠ : -BT ile ilgili prensipler ve gereksinimler- Bilgi işlem faaliyetleri ve BT altyapısının kurumsal iş hedeflerini karşılamaya uygun olması Uygunluk sağlanması gereken BT standartları ve prensipleri BT donanım ve yazılımının yaratacağı yeni güvenlik açıkları (COBIT, PCI, ITIL vb standartlar, veritabanı şifreleme, kimlik yönetimi, log yönetimi gibi..) 19/76

20 GÜVENLĠK GEREKSĠNĠMLERĠ: -Daha önce yaģanan güvenlik sorunları- Kurumda daha önce yaşanan güvenlik olayları, gözlenen güvenlik açıkları, Bu olaylardan öğrenerek, tekrarını engellemek için önlemler. 20/76

21 KURUM GEREKSĠNĠMLERĠNĠN ĠNCELENMESĠ Ġş gereksinimleri Kurum yapısı Güvenlik riskleri Bütçe Diğer koşullar Gizlilik Bütünlük EriĢilebilirlik Bilgi güvenliği sistemi, bu denge gözetilerek kurulur. 21/76

22 BGYS SÜREÇLERĠ NELERDĠR? 22/76

23 BĠLGĠ GÜVENLĠĞĠ YÖNETĠMĠ NEDĠR? Kurumsal iş süreçlerindeki bilgi güvenliği risklerinin tespit edilmesi ve uygun önlemlerle indirgenmesi çalışmasıdır. Bilgi güvenliği yönetimi sistematik ve döngüsel bir yaklaşımla gerçekleştirilir. 23/76

24 BĠLGĠ GÜVENLĠĞĠ YÖNETĠM SĠSTEMĠ (BGYS) SÜREÇLERĠ PLAN (Planla) BGYS nin planlanması ve kurulmasıdır. ACT DO (Uygula) Seçilen kontrollerin uygulanması ve BGYS nin politika ve prosedürlere uygun olarak işletilmesidir. PLAN DO CHECK CHECK (Kontrol et) Uygulamanın politikaya uygunluğunun denetlenmesidir. ACT (ĠyileĢtir) BGYS işletiminin sürekli iyileşmesi için düzeltici ve önleyici faaliyetlerin gerçekleştirilmesidir. 24/76

25 BGYS Diğer yönetim sistemleriyle etkileşimli olarak ele alınması gereken bir yönetim sistemidir. Kurumsal bilgi güvenliği süreçlerinin planlanması, uygulanması, denetlenmesi ve iyileştirilmesi ile ilgili yöntemler içerir. Dokümante edilmiş, işlerliği ve sürekliliği garanti altına alınmış olmalıdır. Bilgi Güvenliği teknik değil, yönetsel bir konudur. Bu nedenle BGYS bir IT (Bilgi Teknolojileri) sistemi değildir. Bir Yönetim Sistemidir. Kurumsal bir Bilgi Güvenliği Yönetimi Sistemi nin uluslararası standartlara uygun oluşturulması tavsiye edilir. Standartlara uygun oluşturulan sistemler belge almaya adaydır. 25/76

26 Güvenlik Vizyonu ve Stratejisi BGYS VE TEMEL BĠLEġENLERĠ Üst Yönetim Desteği Teknoloji Strateji ve Kullanım Uygulama Prosesleri ĠĢ Süreçleri Politika Güvenlik Mimarisi ve Teknik Standartlar Yönetsel ve Son Kullanıcı ile Ġlgili Standartlar ve Prosedürler Ġzleme Prosesleri Risk ve Zafiyet Değerlendirmesi ĠyileĢtirme Prosesleri Eğitim ve Farkındalık Programı Bilgi Güvenliği Yönetim Sistemi 26/76

27 RĠSK YÖNETĠMĠ 27/76

28 RĠSK YÖNETĠMĠ NEDEN ÖNEMLĠDĠR? %100 güvenlik mümkün değildir! Sıfır risk ortamı yoktur ve her zaman yönetilmesi gereken riskler vardır. Risk analiziyle ortama özgü riskler anlaşılır. Gerekli önlemler (kontroller) bu analiz ışığında belirlenir. Kontroller uygulanarak riskler kabul edilir seviyeye indirilir. ISO risk yönetimi tabanlı bir yaklaşımı benimsemiştir.. 28/76

29 RĠSK YÖNETĠMĠ NEDEN ÖNEMLĠDĠR Önemli bir karar verme aracıdır. Üst yönetime mevcut güvenlik seviyesi ve hedefe yakınlığı ile ilgili bilgi sağlar, bilgi güvenliği kararlarının verilmesine ışık tutar. Kontrolün maliyeti ve faydası arasındaki dengenin kurulabilmesi için yol gösterir. 29/76

30 RĠSK ANALĠZĠ TERMĠNOLOJĠSĠ: Varlık : Kurum için değer taşıyan ve korunması gereken herşey varlık olarak tanımlanır. Varlıklar süreç akışları incelenerek belirlenir. Çeşitli ortamlardaki bilgiler İnsanlar Kayıtlar Donanımlar Yazılımlar Tesisler İmaj Süreçler İşlemler 30/76

31 RĠSK ANALĠZĠ TERMĠNOLOJĠSĠ: Varlık Sahibi: İş Sahibi Varlığın değerini ve risklerini en iyi bilen ve risk analizi sürecinde bu kararları veren, korunma gereksinimini belirleyen birim veya kişidir. Teknik Sahibi Varlığı belirlenen gereksinimine uygun olarak korunmasından sorumlu olan birim veya kişidir. 31/76

32 RĠSK ANALĠZĠ TERMĠNOLOJĠSĠ: Tehdit : Bir varlığa zarar verme olasılığı olan olaylar tehdit olarak tanımlanır. Sabotaj Hırsızlık Yangın Deprem Su baskını Donanım arızaları Ġnsan hataları Kötü niyetli girişimler vb. 32/76

33 RĠSK ANALĠZĠ TERMĠNOLOJĠSĠ: Zafiyet: Bir varlığın bir tehditten zarar görmesine yol açacak zayıflıklar, varlığın korunmasız olma halidir. Eğitimsiz insanlar Zayıf şifreler Hatalı kurulan cihazlar Kilitsiz kapılar Yetkisiz erişilebilen sistemler, odalar vb. 33/76

34 RĠSK ANALĠZĠ TERMĠNOLOJĠSĠ: Kontrol: Zafiyeti veya tehditlerin etkisini azaltma yeteneği olan, sistemler ve süreçlerdir. Kartlı giriş sistemleri Antivirüs sistemleri Alarm sistemleri Güçlü şifreler İzleme sistemleri Politika ve prosedürler 34/76

35 VARLIK TEHDĠT ZAFĠYET KONTROL Risk analizi bu kavramlar arasındaki ilişkiyi inceleyerek, mevcut risk durumunu ortaya çıkarır. Risk analizi sonuçları sadece yapıldığı anı gösteren bir fotoğraf gibidir. Varlıklar, tehditler, zafiyetler ve kontroller sürekli değişkenlik gösterir. 35/76

36 BĠLGĠ GÜVENLĠĞĠNĠ SAĞLAMAK ĠÇĠN... Risklerin farkında olmamız ve Varlıklar Tehditler Zafiyetler Kontroller arasındaki ilişkiyi bilmemiz gerekir. RĠSKLERĠN FARKINDA OLMAK BĠLGĠ GÜVENLĠĞĠNĠ SAĞLAMANIN ĠLK ADIMIDIR! 36/76

37 RĠSK YÖNETĠMĠ TERMĠNOLOJĠSĠ: Risk Yönetimi : Bir kurumu riskleri açısından kontrol etmek ve yönlendirmek için yapılan koordinasyon altındaki çalışmalardır. Risk yönetimi, risk analizi, risk işleme, risk kabulü ve riskin duyurulması faaliyetlerinin tümünü kapsar. Risk ĠĢleme : Risk seviyelerini düşürmek için önlemlerin seçimi, planlanması ve uygulanması gibi etkinlikleridir. 37/76

38 RĠSK YÖNETĠMĠ TERMĠNOLOJĠSĠ: Kalan Risk : Risk işleme sürecinden sonra artakalan risktir. Alınan tüm önlemler, mevcut tehdit ve zafiyet seviyeleri göz önüne alınarak düşünülür. Risk Kabulü : Yönetimin riski göze alma kararıdır. Bu noktadan sonra yeni kontroller gerekli değildir. Risk Kabul Kriteri : Yönetimin kabul edilebilir olarak açıkladığı risk seviyesi ve bunu karşılayan kontrollerdir. 38/76

39 UYGUN ÖNLEMLERĠN (KONTROLLERĠN) BELĠRLENMESĠ Kontroller, tehdide yol açan zafiyetleri azaltacak veya tehdidin gerçekleşme olasılığını düşürecek önlemlerdir. ISO standardında tavsiye niteliğinde yaklaşık 130 tane kontrol bulunmaktadır. Her varlık-tehdit çifti için uygun kontroller bu tavsiyeler arasından seçilir. Yeterli olmadığı durumlarda, yeni önlemler de seçilebilir. 39/76

40 UYGUN ÖNLEMLERĠN (KONTROLLERĠN) BELĠRLENMESĠ Bu aşamada, atanan yeni kontrollerle risk değerleri kabul edilebilir seviyeye çekilmiş olur. Bir kontrolün neden seçildiğini, daha önce belirlenen varlık-tehdit atamaları ile ilişkilendirebilmek önemlidir. Böylece risk analizinin sağlıklı bir şekilde yapıldığından emin olabiliriz. Kontroller teknik veya yönetsel olabilir. Seçilen kontroller, hazırlanacak olan politika dokümanları, standartlar ve prosedürler içinde yer alır. 40/76

41 RĠSK ĠYĠLEġTĠRME ALTERNATĠFLERĠ Üst yönetimin risklerin kabul edilmesiyle ilgili yaklaşımını, hangi seviyedeki ve/veya ne tür riskleri kabul edeceğini bir diğer deyişle risk kabul kriterlerini kararlaştırması gerekir. Her risk için kabul kriterlerine uygunluk baz alınarak ele alma yöntemi belirlenir. Riskin; Kabul edilmesi Transfer edilmesi Yönetilmesi Önlenmesi kararları verilebilir 41/76

42 RĠSK KARARLARI Riskler yönetilirken aşağıdaki kararları verebiliriz: Riski göze almak (Kapı giriş kontrolü yapmamak, antivirüs sistemi kullanmamak, eğitime önem vermemek..) Risklerimizi başkasına aktarmak (yangın sigortası, mesleki sorumluluk sigortası, hırsızlık sigortası yaptırmak, PCI), Risklerin olasılığını düşürecek önlemler almak (Çelik kapılar, alarm sistemleri, temiz masa, temiz ekran, izleme sistemleri, yangın detektörü) Risklerin etkisini azaltacak önlemler almak (Yangın söndürücü, antivirüs sistemleri, güvenlik testleri). Riskten sakınmak (Belli bir uygulamayı devreye almamak..) 42/76

43 BĠLGĠ GÜVENLĠĞĠ YÖNETĠM SĠSTEMĠ STANDARTLARI 43/76

44 BĠLGĠ GÜVENLĠĞĠ YÖNETĠMĠ STANDARTLARI Endüstrinin çeşitli kesimlerinden yükselen ortak bir güvenlik modeli talebi standartlaşma gereğini gündeme getirmiştir. Kuruluşlar, birlikte iş yaptıkları taraflara karşı ortak bir asgari güvenlik seviyesi sağladıklarını kanıtlamak istemişler ve bunun için bir referansa gereksinim duymuşlardır. Bilgi Güvenliği Yönetimi konusundaki ilk standart BSI (British Standard Institute), tarafından geliştirilmiştir: BS /76

45 BĠLGĠ GÜVENLĠĞĠ YÖNETĠMĠ STANDARTLARI 1993 te Bilgi Güvenliği Yönetimi için Kural Rehberi olarak yayınlandı te Ġngiliz Standardı olarak kabul edildi: BS de sertifikasyon gerekleri tanımlandı, BS yayınlandı 1999 da BS ve 2 güncellendi 2000 de ISO (BS7799-1) yayınlandı 2002 de BS güncellendi ISO 17799:2005 yayınlandı 2005 de ISO 27001:2005, BS yerine geçti 2006 da TSE tarafından TS ISO/IEC ve TS ISO/IEC isimleriyle yayımlandı de ISO 27002, BS yerine geçti 2008 de ISO/IEC 27005:2008 (Information security risk management ) yayınlandı TSE tarafından TS ISO/IEC ismiyle yayımlandı. 45/76

46 BĠLGĠ GÜVENLĠĞĠ YÖNETĠMĠ STANDARTLARI ISO 27002: Bilişim Güvenliği için sistem oluşturma kuralları tanımlanır. 11 bölümde gerekli kontroller tanımlanmıştır. ISO 27001: Bilgi Güvenliği Yönetim Sistemleri sertifika kriterlerini içerir. 46/76

47 ISO KONTROL ALANLARI 47/76

48 27001 Güvenlik Kontrolleri (Annex) A.5 Güvenlik Politikası A.6 Bilgi Güvenliği rganizasyonu A.7 Varlık Yönetimi A.8 Ġnsan kaynakları yönetimi A.9 Fiziksel ve çevresel güvenlik A.10 Haberleşme ve işletim yönetimi A.11 Erişim Kontrolü A.12 Bilgi sistemleri edinim, geliştirme ve bakımı A.13 Bilgi güvenliği ihlal olayı yönetimi A.14 Ġş sürekliliği yönetimi A.15 Yasal Uyumluluk 48/76

49 A.5 Güvenlik Politikası A.5.1 BĠLGĠ GÜVENLĠĞĠ POLĠTĠKASI Amaç: Bilgi güvenliği için, iş gereksinimleri ve ilgili yasa ve düzenlemelere göre yönetim yönlendirmesi ve desteği sağlamak Bilgi güvenliği politika dokümanı Bilgi güvenliği politikasını gözden geçirme 49/76

50 A.6 Bilgi Güvenliği Organizasyonu A.6.1 Ġç Organizasyon Amaç: Kuruluş içerisindeki bilgi güvenliğini yönetmek Yönetimin bilgi güvenliğine bağlılığı Bilgi güvenliği koordinasyonu Bilgi güvenliği sorumluluklarının tahsisi Bilgi işleme tesisleri için yetki prosesi Gizlilik anlaşmaları Otoritelerle iletişim Özel ilgi grupları ile iletişim Bilgi güvenliğinin bağımsız gözden geçirmesi A.6.2 Dış Taraflar Amaç: Kuruluşun dış taraflarca erişilen, işlenen, iletişim kurulan veya yönetilen bilgi ve bilgi işleme olanaklarının güvenliğini sağlamak Dış taraflarla ilgili riskleri tanımlama Müşterilerle ilgilenirken güvenliği ifade etme Üçüncü taraf anlaşmalarında güvenliği ifade etme 50/76

51 A.7 Varlık Yönetimi A.7.1 Varlıkların Sorumluluğu Amaç: Kurumsal varlıkların uygun korumasını sağlamak ve sürdürmek Varlıkların envanteri Varlıkların sahipliği Varlıkların kabul edilebilir kullanımı A.7.2 Bilgi Sınıflandırması Amaç: Bilgi varlıklarının uygun seviyede koruma almalarını sağlamak Sınıflandırma kılavuzu Bilgi etiketleme ve işleme 51/76

52 A.8 Ġnsan Kaynakları Güvenliği A.8.1 Ġstihdam Öncesi Amaç: Çalışanlar, yükleniciler ve üçüncü taraf kullanıcıların kendi sorumluluklarını anlamalarını ve düşünüldükleri roller için uygun olmalarını sağlamak ve hırsızlık, sahtecilik ya da olanakların yanlış kullanımı risklerini azaltmak Roller ve sorumluluklar Tarama Ġstihdam koşulları A.8.2 Çalışma Esnasında Amaç: Tüm çalışanlar, yükleniciler ve üçüncü taraf kullanıcıların bilgi güvenliğine ilişkin tehditler ve kaygıların ve kendi sorumluluklarının farkında olmalarını ve normal çalışmaları sırasında kurumsal güvenlik politikasını desteklemek ve insan hatası riskini azaltmak üzere donatılmalarını sağlamak Yönetim sorumlulukları Bilgi güvenliği farkındalığı, eğitim ve öğretimi Disiplin prosesi 52/76

53 A.9.1 Güvenli Alanlar A.9 Fiziksel ve Çevresel Güvenlik Amaç: Kuruluş binalarına, ünitelerine ve bilgilerine yetki dışı fiziksel erişimi, hasarı ve müdahaleyi engellemek Fiziksel güvenlik çevresi Fiziksel giriş kontrolleri Ofisler, odalar ve olanakları korumaya alma Dış ve çevresel tehditlere karşı koruma Güvenli alanlarda çalışma Açık erişim, dağıtım ve yükleme alanları A.9.2 Teçhizat Güvenliği Amaç: Varlıkların kaybını, hasarını, çalınmasını ya da tehlikeye girmesini ve kuruluşun faaliyetlerinin kesintiye uğramasını engellemek Teçhizat yerleştirme ve koruma Destek hizmetleri Kablolama güvenliği Teçhizat bakımı Kuruluş dışındaki teçhizatın güvenliği Teçhizatın güvenli olarak elden çıkarılması ya da tekrar kullanımı Mülkiyet çıkarımı 53/76

54 A.10 Haberleşme ve Ġşletim Yönetimi A.10.1 Operasyonel Prosedürler Ve Sorumluluklar Amaç: Bilgi işleme olanaklarının doğru ve güvenli işletimini sağlamak Dokümante edilmiş işletim prosedürleri Değişim yönetimi Görev ayrımları Geliştirme, test ve işletim olanaklarının ayrımı A.10.2 Üçüncü Taraf Hizmet Sağlama Yönetimi Amaç: Üçüncü taraf hizmet sağlama anlaşmalarıyla uyumlu olarak uygun bilgi güvenliği ve hizmet dağıtımı seviyesi gerçekleştirmek ve sürdürmek Hizmet sağlama Üçüncü taraf hizmetleri izleme ve gözden geçirme Üçüncü taraf hizmetlerdeki değişiklikleri yönetme A.10.3 Sistem Planlama Ve Kabul Amaç: Sistem başarısızlıkları riskini en aza indirmek Kapasite planlama Sistem kabulü A.10.4 Kötü Niyetli Ve Mobil Koda Karşı Koruma Amaç: Yazılım ve bilginin bütünlüğünü korumak Kötü niyetli koda karşı kontroller Mobil koda karşı kontroller 54/76

55 A.10 Haberleşme ve Ġşletim Yönetimi - Devam A.10.5 Yedekleme Amaç: Bilgi ve bilgi işleme olanaklarının bütünlüğünü ve kullanılabilirliğini sağlamak Bilgi yedekleme A.10.6 Ağ Güvenliği Yönetimi Amaç: Ağdaki bilginin ve destekleyici alt yapının korunmasını sağlamak Ağ kontrolleri Ağ hizmetleri güvenliği A.10.7 Ortam Ġşleme Amaç: Varlıkların yetkisiz ifşa edilmesi, değiştirilmesi, kaldırılması veya yok edilmesini ve iş faaliyetlerinin kesintiye uğramasını önlemek Taşınabilir ortam yönetimi Ortamın yok edilmesi Bilgi işleme prosedürleri Sistem dokümantasyonu güvenliği 55/76

56 A.10 Haberleşme ve Ġşletim Yönetimi - Devam A.10.8 Bilgi Değişimi Amaç: Bir kuruluş içindeki ve herhangi bir dış varlık ile değiştirilen bilgi ve yazılımın güvenliğini sağlamak Bilgi değişim politikaları ve prosedürleri Değişim anlaşmaları Aktarılan fiziksel ortam Elektronik mesajlaşma Ġş bilgi sistemleri A.10.9 Elektronik Ticaret Hizmetleri Amaç: Elektronik ticaret hizmetlerinin güvenliğini ve bunların güvenli kullanımını sağlamak Elektronik ticaret Çevrimiçi işlemler Herkese açık bilgi A Ġzleme Amaç: Yetkisiz bilgi işleme faaliyetlerini algılamak Denetim kaydetme Sistem kullanımını izleme Kayıt bilgisinin korunması Yönetici ve operatör kayıtları Hata kaydı Saat senkronizasyonu 56/76

57 A.11 Erişim Kontrolü A.11.1 Erişim Kontrolü Ġçin Ġş Gereksinimleri Amaç: Bilgiye erişimi kontrol etmek Erişim kontrolü politikası A.11.2 Kullanıcı Erişim Yönetimi Amaç: Bilgi sistemlerine yetkili kullanıcı erişimini sağlamak ve yetkisiz erişimi önlemek Kullanıcı kaydı Ayrıcalık yönetimi Kullanıcı parola yönetimi Kullanıcı erişim haklarının gözden geçirilmesi A.11.3 Kullanıcı Sorumlulukları Amaç: Yetkisiz kullanıcı erişimini ve bilgi ve bilgi işleme olanaklarının tehlikeye atılmasını ya da çalınmasını önlemek Parola kullanımı Gözetimsiz kullanıcı teçhizatı Temiz masa ve temiz ekran politikası 57/76

58 A.11 Erişim Kontrolü - Devam A.11.4 Ağ Erişim Kontrolü Amaç: Ağ bağlantılı hizmetlere yetkisiz erişimi önlemek Ağ hizmetlerinin kullanımına ilişkin politika Dış bağlantılar için kullanıcı kimlik doğrulama Ağlarda teçhizat tanımlama Uzak tanı ve yapılandırma portu koruma Ağlarda ayrım Ağ bağlantı kontrolü Ağ yönlendirme kontrolü A.11.5 Ġşletim Sistemi Erişim Kontrolü Amaç: Ġşletim sistemine yetkisiz erişimi önlemek Güvenli oturum açma prosedürleri Kullanıcı kimlik tanımlama ve doğrulama Parola yönetim sistemi Yardımcı sistem programlarının kullanımı Oturum zaman aşımı Bağlantı süresinin sınırlandırılması 58/76

59 A.11 Erişim Kontrolü - Devam A.11.6 Uygulama Ve Bilgi Erişim Kontrolü Amaç: Uygulama sistemlerinde tutulan bilgilere yetkisiz erişimi önlemek Bilgi erişim kısıtlaması Hassas sistem yalıtımı A.11.7 Mobil Bilgi Ġşleme Ve Uzaktan Çalışma Amaç: Mobil bilgi işleme ve uzaktan çalışma hizmetlerini kullanırken bilgi güvenliğini sağlamak Mobil bilgi işleme ve iletişim Uzaktan çalışma 59/76

60 A.12 Bilgi Sistemleri Edinim, Geliştirme Ve Bakım A.12.1 Bilgi Sistemlerinin Güvenlik Gereksinimleri Amaç: Güvenliğin bilgi sistemlerinin dahili bir parçası olmasını sağlamak Güvenlik gereksinimleri analizi ve belirtimi A.12.2 Uygulamalarda Doğru Ġşleme Amaç: Uygulamalardaki bilginin hatalarını, kaybını, yetkisiz değiştirilmesini ve kötüye kullanımını önlemek Giriş verisi geçerleme Ġç işleme kontrolü Mesaj bütünlüğü Çıkış verisi geçerleme A.12.3 Kriptografik Kontroller Amaç: Bilginin gizliliğini, aslına uygunluğunu ya da bütünlüğünü kriptografik yöntemlerle korumak Kriptografik kontrollerin kullanımına ilişkin politika Anahtar yönetimi 60/76

61 A.12 Bilgi Sistemleri Edinim, Geliştirme Ve Bakım - Devam A.12.4 Sistem Dosyalarının Güvenliği Amaç: Sistem dosyalarının güvenliğini sağlamak Operasyonel yazılımın kontrolü Sistem test verisinin korunması Program kaynak koduna erişim kontrolü A.12.5 Geliştirme Ve Destekleme Proseslerinde Güvenlik Amaç: Uygulama sistem yazılımı ve bilgisinin güvenliğini sağlamak Değişim kontrol prosedürleri Ġşletim sistemindeki değişikliklerden sonra teknik gözden geçirme Yazılım paketlerindeki değişikliklerdeki kısıtlamalar Bilgi sızması Dışarıdan sağlanan yazılım geliştirme A.12.6 Teknik Açıklık Yönetimi Amaç: Yayınlanmış teknik açıklıkların istismarından kaynaklanan riskleri azaltmak Teknik açıklıkların kontrolü 61/76

62 A.13 Bilgi Güvenliği Olay Yönetimi A.13.1 Bilgi Güvenliği Olayları Ve Zayıflıklarının Rapor Edilmesi Amaç: Bilgi sistemleri ile ilişkili bilgi güvenliği olayları ve zayıflıklarının zamanında düzeltici önlemlerin alınabilmesine izin verecek şekilde bildirilmesini sağlamak Bilgi güvenliği olaylarının rapor edilmesi Güvenlik zayıflıklarının rapor edilmesi A.13.2 Bilgi Güvenliği Ġhlal Olayları Ve Ġyileştirmelerinin Yönetilmesi Amaç: Bilgi güvenliği ihlal olaylarının yönetimine tutarlı ve etkili bir yaklaşımın uygulanmasını sağlamak Sorumluluklar ve prosedürler Bilgi güvenliği ihlal olaylarından öğrenme Kanıt toplama 62/76

63 A.14 Ġş Sürekliliği Yönetimi A.14.1 Ġş Sürekliliği Yönetiminde Bilgi Güvenliği Hususları Amaç: Ġş faaliyetlerindeki kesilmeleri önlemek ve önemli iş proseslerini büyük bilgi sistemleri başarısızlıklarından ya da felaketlerden korumak ve bunların zamanında devam etmesini sağlamak Bilgi güvenliğini iş sürekliliği yönetim prosesine dahil etme Ġş sürekliliği ve risk değerlendirme Bilgi güvenliğini içeren süreklilik planlarını geliştirme ve gerçekleştirme Ġş sürekliliği planlama çerçevesi Ġş sürekliliği planlarını test etme, sürdürme ve yeniden değerlendirme 63/76

64 A.15.1 Yasal Gereksinimlere Uyum A.15 Uyum Amaç: Her türlü hukuka, yasal, düzenleyici ya da sözleşmeye tabi yükümlülüklere ve her türlü güvenlik gereksinimlerine ilişkin ihlalleri önlemek Uygulanabilir yasaları tanımlanma Fikri mülkiyet hakları (IPR) Kurumsal kayıtların korunması Veri koruma ve kişisel bilgilerin gizliliği Bilgi işleme olanaklarının kötüye kullanımını önleme Kriptografik kontrolleri düzenleme A.15.2 Güvenlik Politikaları Ve Standartlarla Uyum Ve Teknik Uyum Amaç: Sistemlerin kurumsal güvenlik politikaları ve standartlarıyla uyumunu sağlamak Güvenlik politikaları ve standartlarla uyum Teknik uyum kontrolü A.15.3 Bilgi Sistemleri Denetim Hususları Amaç: Sistemlerin kurumsal güvenlik politikaları ve standartlarıyla uyumunu sağlamak Bilgi sistemleri denetim kontrolleri Bilgi sistemleri denetim araçlarının korunması 64/76

65 BGYS ĠÇĠN KRĠTĠK BAġARI FAKTÖRLERĠ Bilgi güvenliği politikasının iş gereksinimleriyle bağlantılı olması, BGYS nin kurum kültürüyle tutarlı bir yaklaşımla uygulanması, Üst yönetim desteğinin ve kararlılığının gözle görülür seviyede olması, Güvenlik gereksinimlerinin, risk tespit ve yönetiminin iyi anlaşılmış olması, Güvenlik konusunun yönetici ve çalışanlara iyi benimsetilmesi Güvenlik politika ve standartlarının kurum içinde ve dışındaki ilgili taraflara dağıtılarak duyurulması, Gerekli eğitim ve bilinçlendirmenin sürekli olarak sağlanması, BGYS performansının değerlendirilebilmesi için kapsamlı bir ölçüt mekanizmasının kurulması ve iyileştirme için çalışanların önerilerinin değerlendirmeye alınması 65/76

66 BGYS DOKÜMANTASYONU BGYS dokümantasyonu aşağıdaki bileşenlerden oluşmalıdır: Bilgi güvenliği politika dokümanı BGYS nin kapsamı Politikalar ve destekleyici dokümanlar Risk değerlendirme metodolojisi Risk değerlendirme raporu Risk iyileştirme planı BGYS prosedürü Kontrolün etkinliğin nasıl ölçüleceğine dair yöntem Uygunluk Beyanı (Statement of Applicability Report) 66/76

67 BĠLGĠ GÜVENLĠĞĠ POLĠTĠKASI Kurumsal Bilgi Güvenliği Politikası, Bilgi Güvenliği Yönetimi Sistemi nin temelini oluşturur. Politika, kurumsal bilgi güvenliği stratejilerini belirler. Stratejiye uygun güvenlik hedeflerini oluşturmak için yol gösterir. Kurumsal iş hedefleriyle mutlaka ilişkilendirilmiş olmalıdır. Kurum çapında katkı ve katılımı özendirici olmalıdır. Kurumun üst düzey yönetiminin desteğini ve konuya verdiği önemi açıkça yansıtmalı ve kurum içinde gerekli yetkilendirmeyi, yaptırımları tanımlamalıdır. Politikanın gözden geçirilmesi ve etkinliğinin ölçülebilmesi için gerekli adımlar ve denetim mekanizması tanımlı olmalıdır. 67/76

68 BĠLGĠ GÜVENLĠĞĠ ORGANĠZASYON YAPISI Güvenlik Politikası Bildirisi ISMS Bilgi Güvenliği Yönetim Sistemi Güvenlik Yönetimi Üst Yönetim Temsilcisi İş Sürekliliği Bilgi Güvenliği Komitesi Felaketlerden Kurtarma Ekibi Güvenlik Müdahale Güvenlik Sürekliliği Güvenlik Altyapısı Güvenlik Analizi Uyumluluk Güvenlik Eğitimleri Olaylara Müdahale Ekibi Güvenlik ihlallerinin izlenmesi Değişikliklerin kontrol altında tutulması Politikalar Planlar/ Programlar Risk Değerlendirmesi Sistem denetimi ve uygunluk değerlendirmesi Güvenlik Bilgilendirme Programı İlgili dış taraflar Standartlar Güvenlik Kontrollerinin Seçimi Kılavuzlar GüvenlikSüreçleri Prosedürler Güvenlik Süreçleri ile ilgili Fonksiyonlar, Bileşenler Bilgi Güvenliği Yönetimi için yukarıdaki süreçlerin birlikte çalışabilirliği sağlanmalıdır. Bu amaçla, fonksiyonları yerine getirmek için uygun atamaların yapılması gerekir. Aynı kişi birden çok fonksiyonu üstlenebilir. 68/76

69 SERTĠFĠKASYON KRĠTERLERĠ ISO Madde 4-8 ile uyumluluk sertifikasyon için VAZGEÇĠLMEZ maddelerdir. MADDE 4: Bilgi güvenliği yönetim sistemi 4.1 Genel gereksinimler 4.2 BGYS nin kurulması ve yönetilmesi 4.3 Dokümantasyon gereksinimleri MADDE 5: Yönetim sorumluluğu 5.1 Yönetimin bağlılığı 5.2 Kaynak yönetimi MADDE 6: BGYS iç denetimleri 69/76

70 SERTĠFĠKASYON KRĠTERLERĠ ISO Madde 4-8 ile uyumluluk sertifikasyon için VAZGEÇĠLMEZ maddelerdir. MADDE 7: BGYS ni yönetimin gözden geçirmesi 7.1 Genel 7.2 Gözden geçirme girdisi 7.3 Gözden geçirme çıktısı MADDE 8: BGYS iyileģtirme 8.1 Sürekli iyileştirme 8.2 Düzeltici faaliyet 8.3 Önleyici faaliyet 70/76

71 SERTĠFĠKASYON KRĠTERLERĠ BGYS dokümantasyonu aşağıdakileri içermelidir: Bilgi güvenliği politika dokümanı BGYS nin kapsamı Politikalar ve destekleyici dokümanlar Risk değerlendirme metodolojisi Risk değerlendirme raporu Risk iyileştirme planı BGYS prosedürü Kontrolün etkinliğin nasıl ölçüleceğine dair yöntem Uygunluk Beyanı (Statement of Applicability Report) 71/76

72 SERTĠFĠKASYON KRĠTERLERĠ ISO Annex de tanımlanan tüm kontroller uygulanmış olmalı ve kanıtları sunulmalıdır. Hariç tutulan kontroller risk analizi ve risk kabul kriterleriyle ilişkilendirilerek gerekçelendirilebilmelidir. 72/76

73 Araştırma / Başvuru DENETĠM SÜRECĠ Ön-Denetim (isteğe bağlı) Sertifikasyon Denetimi 1. Aşama: Dokümantasyon Denetimi 2. Aşama: Uygulama Denetimi Belgelendirme Her 3 yılda 1. aşamanın bir bölümü ve 2. aşamanın tamamı 73/76

74 1. AġAMA DENETĠM - Dokumantasyon ISO Madde 4 ün karşılandığının nesnel kanıtlarla gösterilmesi gerekir: Güvenlik politikası Kapsam Risk değerlendirme Risk çözümleme ve derecelendirme Risk işleme Kontrol seçimleri Onaylama Uygulanabilirlik Bildirgesi BGYS nin gözden geçirme ve iyileştirme aşamaları Kontrol etkinliğinin ölçülmesi Dokümantasyon gereksinimleri Kayıtlar 74/76

75 2. AġAMA DENETĠM - Uygulamalar Dokümantasyon denetiminde Kurumun varlığını beyan ettiği BGYS nin uygulanıp uygulanmadığının yerinde denetlenmesi BaĢlıca faaliyetler Ģunlardır: BGYS sahipleri ve kullanıcıları ile görüģmeler DeğiĢik seviyelerdeki risk alanlarının gözden geçirilmesi Güvenliğin ve yönetimin katkısının gözden geçirilmesi Dokümantasyon ile uygulama arasındaki bağlantıların tespiti Bulguların raporlanması ve sonuç önerilerinin verilmesi 75/76

76 SORULARINIZ? Teşekkür Ederiz. 76/76