BĠLGĠ GÜVENLĠĞĠ ve YÖNETĠMĠ Türkiye Bilişim Derneği Ankara Şubesi Eğitim Etkinliği 26 Mayıs 2009 Salı, 09:30-12:30 Eğitimci : Neşe SAYARI ODTÜ Mezunları Derneği Vişnelik Tesisi 1/76
GÜNDEM Bilgi Güvenliği Nedir? Neden Önemlidir? Bilgi Güvenliği Yönetim Sistemi (BGYS) Nedir? Bilgi Güvenliği Nasıl Sağlanır? Bilgi Güvenliği Gereksinimlerinin Belirlenmesi BGYS Süreçleri Risk Yönetimi Koruyucu Önlemler BGYS Standartları ISO 27001 Standardının Tanıtımı BGYS Başarı Faktörleri BGYS Dokümantasyon Gereksinimi Bilgi Güvenliği Denetim Süreci Genel Değerlendirme ve Kapanış 2/76
BĠLGĠ GÜVENLĠĞĠ NEDĠR? NEDEN ÖNEMLĠDĠR? 3/76
KURUMSAL BĠLGĠ: Bilgi bir kurumun iş yapabilmesi için sahip olduğu önemli varlıkların en başında gelir. Kurum sahip olduğu bilgiyi derler, üretir, işler, saklar, satar, diğer kişi ve kurumlarla paylaşır. Bilgi; Basılı halde kağıtlarda Elektronik dosyalarda Veritabanlarında Telefon konuşmalarında Faks mesajlarında Masalarda, dolaplarda, Ġletim hatlarında, en önemlisi de kurum çalıģanlarının akıllarında bulunur. Bilgi hangi ortamda olursa olsun gerektiği Ģekilde korunmalıdır. 4/76
BĠLGĠ GÜVENLĠĞĠ NEDĠR? Bilgi güvenliği bilginin tehditlere karşı uygun şekilde korunması demektir. Bilginin korunması; gizliliğinin gözetilmesi, bütünlüğünün garanti altında tutulması ve lazım olduğunda erişilebilir durumda olması anlamına gelir. Bütünlük Gizlilik Erişilebilirlik 5/76
BĠLGĠNĠN GĠZLĠLĠĞĠ Bilgi gizliliğinin gözetilmesi Bilginin sadece yetkili kişiler tarafından erişilebilir durumda olması, Yetkisiz kişilerin erişiminin engellenmesidir. GİZLİLİK Bütünlük Erişilebilirlik 6/76
BĠLGĠNĠN BÜTÜNLÜĞÜ Bilginin bütünlüğü; Ġçeriğinin doğru, Güncel ve geçerli olduğu, Yetkisiz kişiler tarafından değiştirilmediği anlamına gelir. Gizlilik BÜTÜNLÜK Erişilebilirlik 7/76
BĠLGĠNĠN ERĠġĠLEBĠLĠRLĠĞĠ Bilginin erişilebilirliği; Bilginin olması gereken yerde ve gerektiğinde kullanıma hazır olduğunun güvence altında tutulmasıdır. Gizlilik Bütünlük ERİŞİLEBİLİRLİK 8/76
BĠLGĠ GÜVENLĠĞĠ NEDEN ÖNEMLĠDĠR? Bilgi uygun şekilde korunmazsa; Gizli bilgiler açığa çıkabilir Bilginin içeriğinde yetkisiz kişiler tarafından değişiklik yapılabilir Bilgiye erişim mümkün olmayabilir. Kullanıcı hataları veya kötü niyetli girişimler bu sonuçları doğurabilir. Bu olayların izlenebilirliği de önemli bir konudur. 9/76
BĠLGĠ GÜVENLĠĞĠ NEDEN ÖNEMLĠDĠR? Bilgi uygun şekilde korunmazsa; Kuruma ait gizli ve hassas bilgiler Kurum işlerliğini sağlayan bilgi ve süreçler Kurumun ismi, güvenilirliği, itibarı Üçüncü şahıslar tarafından emanet edilen bilgiler Ticari, teknolojik, adli bilgiler Ġş sürekliliği zarar görebilir. 10/76
BĠLGĠ GÜVENLĠĞĠ NEDEN ÖNEMLĠDĠR? Bilgi uygun şekilde korunmazsa; Ülke çıkarının zarar görmesi, İş sürekliliğinin aksaması Kaynak tüketimi Müşteri mağduriyeti, memnuniyetsizliği Üçüncü şahıslara yapılan saldırılardan sorumlu tutulma Ulusal / kurumsal itibar kaybı Yasal yaptırımlar ve tazminatlar gibi olumsuz sonuçlarla karşılaşılabilir. 11/76
NE TÜR TEHDĠTLER VAR? Servis dışı bırakma saldırıları Kimlik bilgilerinizin ele geçirilerek kötü amaçla kullanılması Virus, kurtcuk, trojan saldırıları Bilgisayarınızın başkası tarafından ele geçirilerek suç işlenmesi Bilgisayarınızın kurum ağına giriş kapısı olarak kullanılması Web sayfası içeriğini değiştirme Ġzinsiz kaynak kullanımı Kuruma ait bilgisayardan dışarıya yapılabilecek saldırılar 12/76
KURUMSAL BĠLGĠ GÜVENLĠĞĠ NASIL SAĞLANIR? Kurum çapında bilgi güvenliği farkındalığının yaratılması Uygun kullanım, politikalar, prosedürler... Kurum organizasyonu; kişiler, roller, uygun atamalar ve iş dağılımı, Güvenlik yazılım ve donanımları Bilgi güvenliği, kurum gereksinimleriyle örtüşecek şekilde ve sistematik bir yaklaşımla ele alınmalıdır. 13/76
BĠLGĠ GÜVENLĠĞĠNDE KURUMSAL SORUMLULUK NEDĠR? Bilgi güvenliği yönetiminin de diğer yönetsel süreçlerden biri olarak kurgulanması, Gerekli atamaların yapılması ve kaynak tahsisinin sağlanması, Kurum çapında farkındalık ve bilinç yaratılması, Güvenlik ihlallerinin değerlendirilmesi, Yaptırımların uygulanmasıdır. 14/76
BĠLGĠ GÜVENLĠĞĠ GEREKSĠNĠMLERĠ NASIL BELĠRLENĠR? 15/76
BĠLGĠ GÜVENLĠĞĠ GEREKSĠNĠMLERĠ Kurumsal güvenlik gereksinimleri belirlenirken bazı temel kaynaklara başvurulur: Risk Analizi Sonuçları Yasal yükümlülükler, yurt içi ve yurt dışı ticari iş bağlantıları nedeniyle yapılan sözleşmeler, devlet kurumlarıyla karşılıklı anlaşmalar vs. Kurumun işlevlerini destekleyen bilişim sistemleri ile ilgili prensipler ve gereksinimler. Kurumun daha önce yaşadığı güvenlik olayları 16/76
BĠLGĠ GÜVENLĠĞĠ GEREKSĠNĠMLERĠ: -Risk Analizi- Bilgi varlıklarına yönelik tehditler belirlenir Bilgi varlıklarının zayıflıkları (korunmasızlık) gözden geçirilir, tehditlerin bu zayıflıklardan yararlanarak zarar verme olasılığı değerlendirilir Tehditlerin varlıklara olası etkisi değerlendirilir. Bu veriler risk hesaplamak için kullanılır ve riskler listelenir. Bu çalışma kurumun risk ortamını yansıttığı için kuruma özgü sonuçlar verir 17/76
BĠLGĠ GÜVENLĠĞĠ GEREKSĠNĠMLERĠ : -Yasa ve SözleĢmelerle Ġlgili Yükümlülükler- Kurumun devlete, diğer kuruluşlara, müşterilerine karşı taahhütleri nelerdir? Yasalar ve sözleşmeler neler gerektirmektedir? Bilgi güvenliği kontrolleri belirlenirken bu gereksinimler göz önüne alınmalıdır. (Uluslararası sözleşmeler, ortaklık anlaşmaları, sigorta kanunu, elektronik imza kullanma gerekliliği, 5651 sayılı yasa, kişisel verilerin gizliliği, hasta bilgilerinin gizliliği, şifreli saklama ve iletim gerekliliği vb...) 18/76
BĠLGĠ GÜVENLĠĞĠ GEREKSĠNĠMLERĠ : -BT ile ilgili prensipler ve gereksinimler- Bilgi işlem faaliyetleri ve BT altyapısının kurumsal iş hedeflerini karşılamaya uygun olması Uygunluk sağlanması gereken BT standartları ve prensipleri BT donanım ve yazılımının yaratacağı yeni güvenlik açıkları (COBIT, PCI, ITIL vb standartlar, veritabanı şifreleme, kimlik yönetimi, log yönetimi gibi..) 19/76
GÜVENLĠK GEREKSĠNĠMLERĠ: -Daha önce yaģanan güvenlik sorunları- Kurumda daha önce yaşanan güvenlik olayları, gözlenen güvenlik açıkları, Bu olaylardan öğrenerek, tekrarını engellemek için önlemler. 20/76
KURUM GEREKSĠNĠMLERĠNĠN ĠNCELENMESĠ Ġş gereksinimleri Kurum yapısı Güvenlik riskleri Bütçe Diğer koşullar Gizlilik Bütünlük EriĢilebilirlik Bilgi güvenliği sistemi, bu denge gözetilerek kurulur. 21/76
BGYS SÜREÇLERĠ NELERDĠR? 22/76
BĠLGĠ GÜVENLĠĞĠ YÖNETĠMĠ NEDĠR? Kurumsal iş süreçlerindeki bilgi güvenliği risklerinin tespit edilmesi ve uygun önlemlerle indirgenmesi çalışmasıdır. Bilgi güvenliği yönetimi sistematik ve döngüsel bir yaklaşımla gerçekleştirilir. 23/76
BĠLGĠ GÜVENLĠĞĠ YÖNETĠM SĠSTEMĠ (BGYS) SÜREÇLERĠ PLAN (Planla) BGYS nin planlanması ve kurulmasıdır. ACT DO (Uygula) Seçilen kontrollerin uygulanması ve BGYS nin politika ve prosedürlere uygun olarak işletilmesidir. PLAN DO CHECK CHECK (Kontrol et) Uygulamanın politikaya uygunluğunun denetlenmesidir. ACT (ĠyileĢtir) BGYS işletiminin sürekli iyileşmesi için düzeltici ve önleyici faaliyetlerin gerçekleştirilmesidir. 24/76
BGYS Diğer yönetim sistemleriyle etkileşimli olarak ele alınması gereken bir yönetim sistemidir. Kurumsal bilgi güvenliği süreçlerinin planlanması, uygulanması, denetlenmesi ve iyileştirilmesi ile ilgili yöntemler içerir. Dokümante edilmiş, işlerliği ve sürekliliği garanti altına alınmış olmalıdır. Bilgi Güvenliği teknik değil, yönetsel bir konudur. Bu nedenle BGYS bir IT (Bilgi Teknolojileri) sistemi değildir. Bir Yönetim Sistemidir. Kurumsal bir Bilgi Güvenliği Yönetimi Sistemi nin uluslararası standartlara uygun oluşturulması tavsiye edilir. Standartlara uygun oluşturulan sistemler belge almaya adaydır. 25/76
Güvenlik Vizyonu ve Stratejisi BGYS VE TEMEL BĠLEġENLERĠ Üst Yönetim Desteği Teknoloji Strateji ve Kullanım Uygulama Prosesleri ĠĢ Süreçleri Politika Güvenlik Mimarisi ve Teknik Standartlar Yönetsel ve Son Kullanıcı ile Ġlgili Standartlar ve Prosedürler Ġzleme Prosesleri Risk ve Zafiyet Değerlendirmesi ĠyileĢtirme Prosesleri Eğitim ve Farkındalık Programı Bilgi Güvenliği Yönetim Sistemi 26/76
RĠSK YÖNETĠMĠ 27/76
RĠSK YÖNETĠMĠ NEDEN ÖNEMLĠDĠR? %100 güvenlik mümkün değildir! Sıfır risk ortamı yoktur ve her zaman yönetilmesi gereken riskler vardır. Risk analiziyle ortama özgü riskler anlaşılır. Gerekli önlemler (kontroller) bu analiz ışığında belirlenir. Kontroller uygulanarak riskler kabul edilir seviyeye indirilir. ISO 27001 risk yönetimi tabanlı bir yaklaşımı benimsemiştir.. 28/76
RĠSK YÖNETĠMĠ NEDEN ÖNEMLĠDĠR Önemli bir karar verme aracıdır. Üst yönetime mevcut güvenlik seviyesi ve hedefe yakınlığı ile ilgili bilgi sağlar, bilgi güvenliği kararlarının verilmesine ışık tutar. Kontrolün maliyeti ve faydası arasındaki dengenin kurulabilmesi için yol gösterir. 29/76
RĠSK ANALĠZĠ TERMĠNOLOJĠSĠ: Varlık : Kurum için değer taşıyan ve korunması gereken herşey varlık olarak tanımlanır. Varlıklar süreç akışları incelenerek belirlenir. Çeşitli ortamlardaki bilgiler İnsanlar Kayıtlar Donanımlar Yazılımlar Tesisler İmaj Süreçler İşlemler 30/76
RĠSK ANALĠZĠ TERMĠNOLOJĠSĠ: Varlık Sahibi: İş Sahibi Varlığın değerini ve risklerini en iyi bilen ve risk analizi sürecinde bu kararları veren, korunma gereksinimini belirleyen birim veya kişidir. Teknik Sahibi Varlığı belirlenen gereksinimine uygun olarak korunmasından sorumlu olan birim veya kişidir. 31/76
RĠSK ANALĠZĠ TERMĠNOLOJĠSĠ: Tehdit : Bir varlığa zarar verme olasılığı olan olaylar tehdit olarak tanımlanır. Sabotaj Hırsızlık Yangın Deprem Su baskını Donanım arızaları Ġnsan hataları Kötü niyetli girişimler vb. 32/76
RĠSK ANALĠZĠ TERMĠNOLOJĠSĠ: Zafiyet: Bir varlığın bir tehditten zarar görmesine yol açacak zayıflıklar, varlığın korunmasız olma halidir. Eğitimsiz insanlar Zayıf şifreler Hatalı kurulan cihazlar Kilitsiz kapılar Yetkisiz erişilebilen sistemler, odalar vb. 33/76
RĠSK ANALĠZĠ TERMĠNOLOJĠSĠ: Kontrol: Zafiyeti veya tehditlerin etkisini azaltma yeteneği olan, sistemler ve süreçlerdir. Kartlı giriş sistemleri Antivirüs sistemleri Alarm sistemleri Güçlü şifreler İzleme sistemleri Politika ve prosedürler 34/76
VARLIK TEHDĠT ZAFĠYET KONTROL Risk analizi bu kavramlar arasındaki ilişkiyi inceleyerek, mevcut risk durumunu ortaya çıkarır. Risk analizi sonuçları sadece yapıldığı anı gösteren bir fotoğraf gibidir. Varlıklar, tehditler, zafiyetler ve kontroller sürekli değişkenlik gösterir. 35/76
BĠLGĠ GÜVENLĠĞĠNĠ SAĞLAMAK ĠÇĠN... Risklerin farkında olmamız ve Varlıklar Tehditler Zafiyetler Kontroller arasındaki ilişkiyi bilmemiz gerekir. RĠSKLERĠN FARKINDA OLMAK BĠLGĠ GÜVENLĠĞĠNĠ SAĞLAMANIN ĠLK ADIMIDIR! 36/76
RĠSK YÖNETĠMĠ TERMĠNOLOJĠSĠ: Risk Yönetimi : Bir kurumu riskleri açısından kontrol etmek ve yönlendirmek için yapılan koordinasyon altındaki çalışmalardır. Risk yönetimi, risk analizi, risk işleme, risk kabulü ve riskin duyurulması faaliyetlerinin tümünü kapsar. Risk ĠĢleme : Risk seviyelerini düşürmek için önlemlerin seçimi, planlanması ve uygulanması gibi etkinlikleridir. 37/76
RĠSK YÖNETĠMĠ TERMĠNOLOJĠSĠ: Kalan Risk : Risk işleme sürecinden sonra artakalan risktir. Alınan tüm önlemler, mevcut tehdit ve zafiyet seviyeleri göz önüne alınarak düşünülür. Risk Kabulü : Yönetimin riski göze alma kararıdır. Bu noktadan sonra yeni kontroller gerekli değildir. Risk Kabul Kriteri : Yönetimin kabul edilebilir olarak açıkladığı risk seviyesi ve bunu karşılayan kontrollerdir. 38/76
UYGUN ÖNLEMLERĠN (KONTROLLERĠN) BELĠRLENMESĠ Kontroller, tehdide yol açan zafiyetleri azaltacak veya tehdidin gerçekleşme olasılığını düşürecek önlemlerdir. ISO 27002 standardında tavsiye niteliğinde yaklaşık 130 tane kontrol bulunmaktadır. Her varlık-tehdit çifti için uygun kontroller bu tavsiyeler arasından seçilir. Yeterli olmadığı durumlarda, yeni önlemler de seçilebilir. 39/76
UYGUN ÖNLEMLERĠN (KONTROLLERĠN) BELĠRLENMESĠ Bu aşamada, atanan yeni kontrollerle risk değerleri kabul edilebilir seviyeye çekilmiş olur. Bir kontrolün neden seçildiğini, daha önce belirlenen varlık-tehdit atamaları ile ilişkilendirebilmek önemlidir. Böylece risk analizinin sağlıklı bir şekilde yapıldığından emin olabiliriz. Kontroller teknik veya yönetsel olabilir. Seçilen kontroller, hazırlanacak olan politika dokümanları, standartlar ve prosedürler içinde yer alır. 40/76
RĠSK ĠYĠLEġTĠRME ALTERNATĠFLERĠ Üst yönetimin risklerin kabul edilmesiyle ilgili yaklaşımını, hangi seviyedeki ve/veya ne tür riskleri kabul edeceğini bir diğer deyişle risk kabul kriterlerini kararlaştırması gerekir. Her risk için kabul kriterlerine uygunluk baz alınarak ele alma yöntemi belirlenir. Riskin; Kabul edilmesi Transfer edilmesi Yönetilmesi Önlenmesi kararları verilebilir 41/76
RĠSK KARARLARI Riskler yönetilirken aşağıdaki kararları verebiliriz: Riski göze almak (Kapı giriş kontrolü yapmamak, antivirüs sistemi kullanmamak, eğitime önem vermemek..) Risklerimizi başkasına aktarmak (yangın sigortası, mesleki sorumluluk sigortası, hırsızlık sigortası yaptırmak, PCI), Risklerin olasılığını düşürecek önlemler almak (Çelik kapılar, alarm sistemleri, temiz masa, temiz ekran, izleme sistemleri, yangın detektörü) Risklerin etkisini azaltacak önlemler almak (Yangın söndürücü, antivirüs sistemleri, güvenlik testleri). Riskten sakınmak (Belli bir uygulamayı devreye almamak..) 42/76
BĠLGĠ GÜVENLĠĞĠ YÖNETĠM SĠSTEMĠ STANDARTLARI 43/76
BĠLGĠ GÜVENLĠĞĠ YÖNETĠMĠ STANDARTLARI Endüstrinin çeşitli kesimlerinden yükselen ortak bir güvenlik modeli talebi standartlaşma gereğini gündeme getirmiştir. Kuruluşlar, birlikte iş yaptıkları taraflara karşı ortak bir asgari güvenlik seviyesi sağladıklarını kanıtlamak istemişler ve bunun için bir referansa gereksinim duymuşlardır. Bilgi Güvenliği Yönetimi konusundaki ilk standart BSI (British Standard Institute), tarafından geliştirilmiştir: BS 7799 44/76
BĠLGĠ GÜVENLĠĞĠ YÖNETĠMĠ STANDARTLARI 1993 te Bilgi Güvenliği Yönetimi için Kural Rehberi olarak yayınlandı. 1995 te Ġngiliz Standardı olarak kabul edildi: BS7799-1 1998 de sertifikasyon gerekleri tanımlandı, BS7799-2 yayınlandı 1999 da BS7799-1 ve 2 güncellendi 2000 de ISO 17799 (BS7799-1) yayınlandı 2002 de BS7799-2 güncellendi ISO 17799:2005 yayınlandı 2005 de ISO 27001:2005, BS7799-2 yerine geçti 2006 da TSE tarafından TS ISO/IEC 27001 ve TS ISO/IEC 17799 isimleriyle yayımlandı. 2007 de ISO 27002, BS7799-1 yerine geçti 2008 de ISO/IEC 27005:2008 (Information security risk management ) yayınlandı TSE tarafından TS ISO/IEC 27005 ismiyle yayımlandı. 45/76
BĠLGĠ GÜVENLĠĞĠ YÖNETĠMĠ STANDARTLARI ISO 27002: Bilişim Güvenliği için sistem oluşturma kuralları tanımlanır. 11 bölümde gerekli kontroller tanımlanmıştır. ISO 27001: Bilgi Güvenliği Yönetim Sistemleri sertifika kriterlerini içerir. 46/76
ISO 27001 KONTROL ALANLARI 47/76
27001 Güvenlik Kontrolleri (Annex) A.5 Güvenlik Politikası A.6 Bilgi Güvenliği rganizasyonu A.7 Varlık Yönetimi A.8 Ġnsan kaynakları yönetimi A.9 Fiziksel ve çevresel güvenlik A.10 Haberleşme ve işletim yönetimi A.11 Erişim Kontrolü A.12 Bilgi sistemleri edinim, geliştirme ve bakımı A.13 Bilgi güvenliği ihlal olayı yönetimi A.14 Ġş sürekliliği yönetimi A.15 Yasal Uyumluluk 48/76
A.5 Güvenlik Politikası A.5.1 BĠLGĠ GÜVENLĠĞĠ POLĠTĠKASI Amaç: Bilgi güvenliği için, iş gereksinimleri ve ilgili yasa ve düzenlemelere göre yönetim yönlendirmesi ve desteği sağlamak. 5.1.1 Bilgi güvenliği politika dokümanı 5.1.2 Bilgi güvenliği politikasını gözden geçirme 49/76
A.6 Bilgi Güvenliği Organizasyonu A.6.1 Ġç Organizasyon Amaç: Kuruluş içerisindeki bilgi güvenliğini yönetmek. 6.1.1 Yönetimin bilgi güvenliğine bağlılığı 6.1.2 Bilgi güvenliği koordinasyonu 6.1.3 Bilgi güvenliği sorumluluklarının tahsisi 6.1.4 Bilgi işleme tesisleri için yetki prosesi 6.1.5 Gizlilik anlaşmaları 6.1.6 Otoritelerle iletişim 6.1.7 Özel ilgi grupları ile iletişim 6.1.8 Bilgi güvenliğinin bağımsız gözden geçirmesi A.6.2 Dış Taraflar Amaç: Kuruluşun dış taraflarca erişilen, işlenen, iletişim kurulan veya yönetilen bilgi ve bilgi işleme olanaklarının güvenliğini sağlamak. 6.2.1 Dış taraflarla ilgili riskleri tanımlama 6.2.2 Müşterilerle ilgilenirken güvenliği ifade etme 6.2.3 Üçüncü taraf anlaşmalarında güvenliği ifade etme 50/76
A.7 Varlık Yönetimi A.7.1 Varlıkların Sorumluluğu Amaç: Kurumsal varlıkların uygun korumasını sağlamak ve sürdürmek. 7.1.1 Varlıkların envanteri 7.1.2 Varlıkların sahipliği 7.1.3 Varlıkların kabul edilebilir kullanımı A.7.2 Bilgi Sınıflandırması Amaç: Bilgi varlıklarının uygun seviyede koruma almalarını sağlamak. 7.2.1 Sınıflandırma kılavuzu 7.2.2 Bilgi etiketleme ve işleme 51/76
A.8 Ġnsan Kaynakları Güvenliği A.8.1 Ġstihdam Öncesi Amaç: Çalışanlar, yükleniciler ve üçüncü taraf kullanıcıların kendi sorumluluklarını anlamalarını ve düşünüldükleri roller için uygun olmalarını sağlamak ve hırsızlık, sahtecilik ya da olanakların yanlış kullanımı risklerini azaltmak. 8.1.1 Roller ve sorumluluklar 8.1.2 Tarama 8.1.3 Ġstihdam koşulları A.8.2 Çalışma Esnasında Amaç: Tüm çalışanlar, yükleniciler ve üçüncü taraf kullanıcıların bilgi güvenliğine ilişkin tehditler ve kaygıların ve kendi sorumluluklarının farkında olmalarını ve normal çalışmaları sırasında kurumsal güvenlik politikasını desteklemek ve insan hatası riskini azaltmak üzere donatılmalarını sağlamak. 8.2.1 Yönetim sorumlulukları 8.2.2 Bilgi güvenliği farkındalığı, eğitim ve öğretimi 8.2.3 Disiplin prosesi 52/76
A.9.1 Güvenli Alanlar A.9 Fiziksel ve Çevresel Güvenlik Amaç: Kuruluş binalarına, ünitelerine ve bilgilerine yetki dışı fiziksel erişimi, hasarı ve müdahaleyi engellemek. 9.1.1 Fiziksel güvenlik çevresi 9.1.2 Fiziksel giriş kontrolleri 9.1.3 Ofisler, odalar ve olanakları korumaya alma 9.1.4 Dış ve çevresel tehditlere karşı koruma 9.1.5 Güvenli alanlarda çalışma 9.1.6 Açık erişim, dağıtım ve yükleme alanları A.9.2 Teçhizat Güvenliği Amaç: Varlıkların kaybını, hasarını, çalınmasını ya da tehlikeye girmesini ve kuruluşun faaliyetlerinin kesintiye uğramasını engellemek. 9.2.1 Teçhizat yerleştirme ve koruma 9.2.2 Destek hizmetleri 9.2.3 Kablolama güvenliği 9.2.4 Teçhizat bakımı 9.2.5 Kuruluş dışındaki teçhizatın güvenliği 9.2.6 Teçhizatın güvenli olarak elden çıkarılması ya da tekrar kullanımı 9.2.7 Mülkiyet çıkarımı 53/76
A.10 Haberleşme ve Ġşletim Yönetimi A.10.1 Operasyonel Prosedürler Ve Sorumluluklar Amaç: Bilgi işleme olanaklarının doğru ve güvenli işletimini sağlamak. 10.1.1 Dokümante edilmiş işletim prosedürleri 10.1.2 Değişim yönetimi 10.1.3 Görev ayrımları 10.1.4 Geliştirme, test ve işletim olanaklarının ayrımı A.10.2 Üçüncü Taraf Hizmet Sağlama Yönetimi Amaç: Üçüncü taraf hizmet sağlama anlaşmalarıyla uyumlu olarak uygun bilgi güvenliği ve hizmet dağıtımı seviyesi gerçekleştirmek ve sürdürmek. 10.2.1 Hizmet sağlama 10.2.2 Üçüncü taraf hizmetleri izleme ve gözden geçirme 10.2.3 Üçüncü taraf hizmetlerdeki değişiklikleri yönetme A.10.3 Sistem Planlama Ve Kabul Amaç: Sistem başarısızlıkları riskini en aza indirmek. 10.3.1 Kapasite planlama 10.3.2 Sistem kabulü A.10.4 Kötü Niyetli Ve Mobil Koda Karşı Koruma Amaç: Yazılım ve bilginin bütünlüğünü korumak. 10.4.1 Kötü niyetli koda karşı kontroller 10.4.2 Mobil koda karşı kontroller 54/76
A.10 Haberleşme ve Ġşletim Yönetimi - Devam A.10.5 Yedekleme Amaç: Bilgi ve bilgi işleme olanaklarının bütünlüğünü ve kullanılabilirliğini sağlamak. 10.5.1 Bilgi yedekleme A.10.6 Ağ Güvenliği Yönetimi Amaç: Ağdaki bilginin ve destekleyici alt yapının korunmasını sağlamak. 10.6.1 Ağ kontrolleri 10.6.2 Ağ hizmetleri güvenliği A.10.7 Ortam Ġşleme Amaç: Varlıkların yetkisiz ifşa edilmesi, değiştirilmesi, kaldırılması veya yok edilmesini ve iş faaliyetlerinin kesintiye uğramasını önlemek. 10.7.1 Taşınabilir ortam yönetimi 10.7.2 Ortamın yok edilmesi 10.7.3 Bilgi işleme prosedürleri 10.7.4 Sistem dokümantasyonu güvenliği 55/76
A.10 Haberleşme ve Ġşletim Yönetimi - Devam A.10.8 Bilgi Değişimi Amaç: Bir kuruluş içindeki ve herhangi bir dış varlık ile değiştirilen bilgi ve yazılımın güvenliğini sağlamak. 10.8.1 Bilgi değişim politikaları ve prosedürleri 10.8.2 Değişim anlaşmaları 10.8.3 Aktarılan fiziksel ortam 10.8.4 Elektronik mesajlaşma 10.8.5 Ġş bilgi sistemleri A.10.9 Elektronik Ticaret Hizmetleri Amaç: Elektronik ticaret hizmetlerinin güvenliğini ve bunların güvenli kullanımını sağlamak. 10.9.1 Elektronik ticaret 10.9.2 Çevrimiçi işlemler 10.9.3 Herkese açık bilgi A.10.10 Ġzleme Amaç: Yetkisiz bilgi işleme faaliyetlerini algılamak. 10.10.1 Denetim kaydetme 10.10.2 Sistem kullanımını izleme 10.10.3 Kayıt bilgisinin korunması 10.10.4 Yönetici ve operatör kayıtları 10.10.5 Hata kaydı 10.10.6 Saat senkronizasyonu 56/76
A.11 Erişim Kontrolü A.11.1 Erişim Kontrolü Ġçin Ġş Gereksinimleri Amaç: Bilgiye erişimi kontrol etmek. 11.1.1 Erişim kontrolü politikası A.11.2 Kullanıcı Erişim Yönetimi Amaç: Bilgi sistemlerine yetkili kullanıcı erişimini sağlamak ve yetkisiz erişimi önlemek. 11.2.1 Kullanıcı kaydı 11.2.2 Ayrıcalık yönetimi 11.2.3 Kullanıcı parola yönetimi 11.2.4 Kullanıcı erişim haklarının gözden geçirilmesi A.11.3 Kullanıcı Sorumlulukları Amaç: Yetkisiz kullanıcı erişimini ve bilgi ve bilgi işleme olanaklarının tehlikeye atılmasını ya da çalınmasını önlemek. 11.3.1 Parola kullanımı 11.3.2 Gözetimsiz kullanıcı teçhizatı 11.3.3 Temiz masa ve temiz ekran politikası 57/76
A.11 Erişim Kontrolü - Devam A.11.4 Ağ Erişim Kontrolü Amaç: Ağ bağlantılı hizmetlere yetkisiz erişimi önlemek. 11.4.1 Ağ hizmetlerinin kullanımına ilişkin politika 11.4.2 Dış bağlantılar için kullanıcı kimlik doğrulama 11.4.3 Ağlarda teçhizat tanımlama 11.4.4 Uzak tanı ve yapılandırma portu koruma 11.4.5 Ağlarda ayrım 11.4.6 Ağ bağlantı kontrolü 11.4.7 Ağ yönlendirme kontrolü A.11.5 Ġşletim Sistemi Erişim Kontrolü Amaç: Ġşletim sistemine yetkisiz erişimi önlemek. 11.5.1 Güvenli oturum açma prosedürleri 11.5.2 Kullanıcı kimlik tanımlama ve doğrulama 11.5.3 Parola yönetim sistemi 11.5.4 Yardımcı sistem programlarının kullanımı 11.5.5 Oturum zaman aşımı 11.5.6 Bağlantı süresinin sınırlandırılması 58/76
A.11 Erişim Kontrolü - Devam A.11.6 Uygulama Ve Bilgi Erişim Kontrolü Amaç: Uygulama sistemlerinde tutulan bilgilere yetkisiz erişimi önlemek. 11.6.1 Bilgi erişim kısıtlaması 11.6.2 Hassas sistem yalıtımı A.11.7 Mobil Bilgi Ġşleme Ve Uzaktan Çalışma Amaç: Mobil bilgi işleme ve uzaktan çalışma hizmetlerini kullanırken bilgi güvenliğini sağlamak. 11.7.1 Mobil bilgi işleme ve iletişim 11.7.2 Uzaktan çalışma 59/76
A.12 Bilgi Sistemleri Edinim, Geliştirme Ve Bakım A.12.1 Bilgi Sistemlerinin Güvenlik Gereksinimleri Amaç: Güvenliğin bilgi sistemlerinin dahili bir parçası olmasını sağlamak. 12.1.1 Güvenlik gereksinimleri analizi ve belirtimi A.12.2 Uygulamalarda Doğru Ġşleme Amaç: Uygulamalardaki bilginin hatalarını, kaybını, yetkisiz değiştirilmesini ve kötüye kullanımını önlemek. 12.2.1 Giriş verisi geçerleme 12.2.2 Ġç işleme kontrolü 12.2.3 Mesaj bütünlüğü 12.2.4 Çıkış verisi geçerleme A.12.3 Kriptografik Kontroller Amaç: Bilginin gizliliğini, aslına uygunluğunu ya da bütünlüğünü kriptografik yöntemlerle korumak. 12.3.1 Kriptografik kontrollerin kullanımına ilişkin politika 12.3.2 Anahtar yönetimi 60/76
A.12 Bilgi Sistemleri Edinim, Geliştirme Ve Bakım - Devam A.12.4 Sistem Dosyalarının Güvenliği Amaç: Sistem dosyalarının güvenliğini sağlamak. 12.4.1 Operasyonel yazılımın kontrolü 12.4.2 Sistem test verisinin korunması 12.4.3 Program kaynak koduna erişim kontrolü A.12.5 Geliştirme Ve Destekleme Proseslerinde Güvenlik Amaç: Uygulama sistem yazılımı ve bilgisinin güvenliğini sağlamak. 12.5.1 Değişim kontrol prosedürleri 12.5.2 Ġşletim sistemindeki değişikliklerden sonra teknik gözden geçirme 12.5.3 Yazılım paketlerindeki değişikliklerdeki kısıtlamalar 12.5.4 Bilgi sızması 12.5.5 Dışarıdan sağlanan yazılım geliştirme A.12.6 Teknik Açıklık Yönetimi Amaç: Yayınlanmış teknik açıklıkların istismarından kaynaklanan riskleri azaltmak. 12.6.1 Teknik açıklıkların kontrolü 61/76
A.13 Bilgi Güvenliği Olay Yönetimi A.13.1 Bilgi Güvenliği Olayları Ve Zayıflıklarının Rapor Edilmesi Amaç: Bilgi sistemleri ile ilişkili bilgi güvenliği olayları ve zayıflıklarının zamanında düzeltici önlemlerin alınabilmesine izin verecek şekilde bildirilmesini sağlamak. 13.1.1 Bilgi güvenliği olaylarının rapor edilmesi 13.1.2 Güvenlik zayıflıklarının rapor edilmesi A.13.2 Bilgi Güvenliği Ġhlal Olayları Ve Ġyileştirmelerinin Yönetilmesi Amaç: Bilgi güvenliği ihlal olaylarının yönetimine tutarlı ve etkili bir yaklaşımın uygulanmasını sağlamak. 13.2.1 Sorumluluklar ve prosedürler 13.2.2 Bilgi güvenliği ihlal olaylarından öğrenme 13.2.3 Kanıt toplama 62/76
A.14 Ġş Sürekliliği Yönetimi A.14.1 Ġş Sürekliliği Yönetiminde Bilgi Güvenliği Hususları Amaç: Ġş faaliyetlerindeki kesilmeleri önlemek ve önemli iş proseslerini büyük bilgi sistemleri başarısızlıklarından ya da felaketlerden korumak ve bunların zamanında devam etmesini sağlamak. 14.1.1 Bilgi güvenliğini iş sürekliliği yönetim prosesine dahil etme 14.1.2 Ġş sürekliliği ve risk değerlendirme 14.1.3 Bilgi güvenliğini içeren süreklilik planlarını geliştirme ve gerçekleştirme 14.1.4 Ġş sürekliliği planlama çerçevesi 14.1.5 Ġş sürekliliği planlarını test etme, sürdürme ve yeniden değerlendirme 63/76
A.15.1 Yasal Gereksinimlere Uyum A.15 Uyum Amaç: Her türlü hukuka, yasal, düzenleyici ya da sözleşmeye tabi yükümlülüklere ve her türlü güvenlik gereksinimlerine ilişkin ihlalleri önlemek. 15.1.1 Uygulanabilir yasaları tanımlanma 15.1.2 Fikri mülkiyet hakları (IPR) 15.1.3 Kurumsal kayıtların korunması 15.1.4 Veri koruma ve kişisel bilgilerin gizliliği 15.1.5 Bilgi işleme olanaklarının kötüye kullanımını önleme 15.1.6 Kriptografik kontrolleri düzenleme A.15.2 Güvenlik Politikaları Ve Standartlarla Uyum Ve Teknik Uyum Amaç: Sistemlerin kurumsal güvenlik politikaları ve standartlarıyla uyumunu sağlamak. 15.2.1 Güvenlik politikaları ve standartlarla uyum 15.2.2 Teknik uyum kontrolü A.15.3 Bilgi Sistemleri Denetim Hususları Amaç: Sistemlerin kurumsal güvenlik politikaları ve standartlarıyla uyumunu sağlamak. 15.3.1 Bilgi sistemleri denetim kontrolleri 15.3.2 Bilgi sistemleri denetim araçlarının korunması 64/76
BGYS ĠÇĠN KRĠTĠK BAġARI FAKTÖRLERĠ Bilgi güvenliği politikasının iş gereksinimleriyle bağlantılı olması, BGYS nin kurum kültürüyle tutarlı bir yaklaşımla uygulanması, Üst yönetim desteğinin ve kararlılığının gözle görülür seviyede olması, Güvenlik gereksinimlerinin, risk tespit ve yönetiminin iyi anlaşılmış olması, Güvenlik konusunun yönetici ve çalışanlara iyi benimsetilmesi Güvenlik politika ve standartlarının kurum içinde ve dışındaki ilgili taraflara dağıtılarak duyurulması, Gerekli eğitim ve bilinçlendirmenin sürekli olarak sağlanması, BGYS performansının değerlendirilebilmesi için kapsamlı bir ölçüt mekanizmasının kurulması ve iyileştirme için çalışanların önerilerinin değerlendirmeye alınması 65/76
BGYS DOKÜMANTASYONU BGYS dokümantasyonu aşağıdaki bileşenlerden oluşmalıdır: Bilgi güvenliği politika dokümanı BGYS nin kapsamı Politikalar ve destekleyici dokümanlar Risk değerlendirme metodolojisi Risk değerlendirme raporu Risk iyileştirme planı BGYS prosedürü Kontrolün etkinliğin nasıl ölçüleceğine dair yöntem Uygunluk Beyanı (Statement of Applicability Report) 66/76
BĠLGĠ GÜVENLĠĞĠ POLĠTĠKASI Kurumsal Bilgi Güvenliği Politikası, Bilgi Güvenliği Yönetimi Sistemi nin temelini oluşturur. Politika, kurumsal bilgi güvenliği stratejilerini belirler. Stratejiye uygun güvenlik hedeflerini oluşturmak için yol gösterir. Kurumsal iş hedefleriyle mutlaka ilişkilendirilmiş olmalıdır. Kurum çapında katkı ve katılımı özendirici olmalıdır. Kurumun üst düzey yönetiminin desteğini ve konuya verdiği önemi açıkça yansıtmalı ve kurum içinde gerekli yetkilendirmeyi, yaptırımları tanımlamalıdır. Politikanın gözden geçirilmesi ve etkinliğinin ölçülebilmesi için gerekli adımlar ve denetim mekanizması tanımlı olmalıdır. 67/76
BĠLGĠ GÜVENLĠĞĠ ORGANĠZASYON YAPISI Güvenlik Politikası Bildirisi ISMS Bilgi Güvenliği Yönetim Sistemi Güvenlik Yönetimi Üst Yönetim Temsilcisi İş Sürekliliği Bilgi Güvenliği Komitesi Felaketlerden Kurtarma Ekibi Güvenlik Müdahale Güvenlik Sürekliliği Güvenlik Altyapısı Güvenlik Analizi Uyumluluk Güvenlik Eğitimleri Olaylara Müdahale Ekibi Güvenlik ihlallerinin izlenmesi Değişikliklerin kontrol altında tutulması Politikalar Planlar/ Programlar Risk Değerlendirmesi Sistem denetimi ve uygunluk değerlendirmesi Güvenlik Bilgilendirme Programı İlgili dış taraflar Standartlar Güvenlik Kontrollerinin Seçimi Kılavuzlar GüvenlikSüreçleri Prosedürler Güvenlik Süreçleri ile ilgili Fonksiyonlar, Bileşenler Bilgi Güvenliği Yönetimi için yukarıdaki süreçlerin birlikte çalışabilirliği sağlanmalıdır. Bu amaçla, fonksiyonları yerine getirmek için uygun atamaların yapılması gerekir. Aynı kişi birden çok fonksiyonu üstlenebilir. 68/76
SERTĠFĠKASYON KRĠTERLERĠ ISO 27001 Madde 4-8 ile uyumluluk sertifikasyon için VAZGEÇĠLMEZ maddelerdir. MADDE 4: Bilgi güvenliği yönetim sistemi 4.1 Genel gereksinimler 4.2 BGYS nin kurulması ve yönetilmesi 4.3 Dokümantasyon gereksinimleri MADDE 5: Yönetim sorumluluğu 5.1 Yönetimin bağlılığı 5.2 Kaynak yönetimi MADDE 6: BGYS iç denetimleri 69/76
SERTĠFĠKASYON KRĠTERLERĠ ISO 27001 Madde 4-8 ile uyumluluk sertifikasyon için VAZGEÇĠLMEZ maddelerdir. MADDE 7: BGYS ni yönetimin gözden geçirmesi 7.1 Genel 7.2 Gözden geçirme girdisi 7.3 Gözden geçirme çıktısı MADDE 8: BGYS iyileģtirme 8.1 Sürekli iyileştirme 8.2 Düzeltici faaliyet 8.3 Önleyici faaliyet 70/76
SERTĠFĠKASYON KRĠTERLERĠ BGYS dokümantasyonu aşağıdakileri içermelidir: Bilgi güvenliği politika dokümanı BGYS nin kapsamı Politikalar ve destekleyici dokümanlar Risk değerlendirme metodolojisi Risk değerlendirme raporu Risk iyileştirme planı BGYS prosedürü Kontrolün etkinliğin nasıl ölçüleceğine dair yöntem Uygunluk Beyanı (Statement of Applicability Report) 71/76
SERTĠFĠKASYON KRĠTERLERĠ ISO 27001 Annex de tanımlanan tüm kontroller uygulanmış olmalı ve kanıtları sunulmalıdır. Hariç tutulan kontroller risk analizi ve risk kabul kriterleriyle ilişkilendirilerek gerekçelendirilebilmelidir. 72/76
Araştırma / Başvuru DENETĠM SÜRECĠ Ön-Denetim (isteğe bağlı) Sertifikasyon Denetimi 1. Aşama: Dokümantasyon Denetimi 2. Aşama: Uygulama Denetimi Belgelendirme Her 3 yılda 1. aşamanın bir bölümü ve 2. aşamanın tamamı 73/76
1. AġAMA DENETĠM - Dokumantasyon ISO 27001 Madde 4 ün karşılandığının nesnel kanıtlarla gösterilmesi gerekir: Güvenlik politikası Kapsam Risk değerlendirme Risk çözümleme ve derecelendirme Risk işleme Kontrol seçimleri Onaylama Uygulanabilirlik Bildirgesi BGYS nin gözden geçirme ve iyileştirme aşamaları Kontrol etkinliğinin ölçülmesi Dokümantasyon gereksinimleri Kayıtlar 74/76
2. AġAMA DENETĠM - Uygulamalar Dokümantasyon denetiminde Kurumun varlığını beyan ettiği BGYS nin uygulanıp uygulanmadığının yerinde denetlenmesi BaĢlıca faaliyetler Ģunlardır: BGYS sahipleri ve kullanıcıları ile görüģmeler DeğiĢik seviyelerdeki risk alanlarının gözden geçirilmesi Güvenliğin ve yönetimin katkısının gözden geçirilmesi Dokümantasyon ile uygulama arasındaki bağlantıların tespiti Bulguların raporlanması ve sonuç önerilerinin verilmesi 75/76
SORULARINIZ? Teşekkür Ederiz. 76/76