YZM5604 Bilgi Güveliği Yöetimi 23 Kasım 2015 Dr. Orha Gökçöl http://akademik.bahcesehir.edu.tr/~gokcol/yzm5604 Bahçeşehir Üiversitesi, Fe Bilimleri Estitüsü Duyurular Döem projeleriiz e durumda? Gruplar? Quiz ve Sıavlarıızıokudum. Lütfeders web sayfasıda otuuzu kotrol edi! Risk Yöetim Süreci ISO27005-2011 SON DERSTE RİSK ANALİZİ VE YÖNETİMİNİ GÖRDÜK. Risk Aalizi ve Yöetimi, sadece misyo, vizyo, değerler ve stratejileri belirli orgaizasyolarda sağlıklı bir şekilde yapılabilir 1
So derste Risk azaltma Stratejileri q Fayda-maliyet aalizi q E yüksek etkisi ola riskleri belirleme risk öcelikledirme q Risk tedaviside orgaizasyou etkileyebilecek kısıtlar Politik, stratejik, bölgesel, ekoomik, yapısal, foksiyoel, çalışalarla ilgili, kurum takvimi, yötemsel, kültürel, bütçe q İş SürekliliğiPlalama İSP /BCP Kritik İş Foksiyolarıı bir felaket aıda asıl sürdürebilirsiiz? BG ileilgisi e? İSP AMACI Herhagi bir olumsuz koşul içie girildiğide kritik iş foksiyolarıı asıl sürdürüleceğii plalamak İzi verilebilir e kısa sürede orgaizasyou tekrar eski halie getirmek Felaketler: Doğal ve İsa Kayaklı Yagı, sel, kasırga, hortum, deprem, volkalar Uçak kazaları, saldırı, terörizm, ayaklama, sabotaj, persoel kaybı vb. Normal veri işleme kabiliyetii ciddi biçimde azalta ya da yok ede herhagi birşey 2
Felaketler İş Foksiyolarıı Sekteye Uğrata Etkilere Bazı Örekler Yagı Sel Terörizm Bilgisayar Korsaları Eerji Kayıpları BT Nelere felaket deir? Nasıl değerledirilir? Eğer kritik iş süreçlerie zarar veriyorsa bu bir felaket olarak değerledirilebilir. Zamaa bağlı taım işletme böyle bir derde e kadar uzu süre dayaabilir? Gözlem olasılığı Nede kimse İSP yi düşümek istemez? İsa etkisi!!. Baa olmaz, Bizim şirketi başıa gelmez felsefesi Kaygıları geellikle belli bir zama aralığı ile ya da kişisel tecrübelerimizle değerledirmeeğilimideyiz. q Heüz başımıza gelmedi ki q Yöeticii hedefleri arasıda değil q Bir şekilde hallederiz q Çok BÜYÜK bir şeygibi görüüyor. Nerede başlaacağıı bilmiyorum. Çok karmaşık. 3
İSP Hedefleri Nelerdir? TEMEL SORUN - KULLANILABİLİRLİK GİZLİLİK VE BÜTÜNLÜK DE HALA ÖNEMİNİ KORUYOR!! GÜVENLİK MODELİ Souç Olarak İSP. Aşağıdaki işleri yapacak bir plaı oluşturulması, dökümate edilmesi, test edilmesi ve gücellemesii kapsamaktadır. q Kritik iş operasyolarıı uygu bir zama dilimide kurtarılmasıa izi vermek q Kayıpları e aza idirmek q Yasal ve mevzuatla ilgili gereksiimlere uymak İSP Kapsamı Eskide sadece veri işlemleri ile ilgiliydi (Bilgi İşlem Merkezi) Güümüzde ise : q Dağıtık sistemler q Persoel, ağ, elektrik gücü q IT ortamıı bütü kouları 4
Yai.. İSP SADECE BİLGİSAYARLARLA VE BT İLE İLGİLİ BİR KAVRAM DEĞİLDİR!! İSP Oluşturulması Sürekli bir işlem. Başlayıp bite bir proje olarak görülmemesi gerekir. q Oluşturma, test etme, bakım ve gücelleme q Kritik iş foksiyoları zama içide değişebilir İSP takımıda hem iş tarafıda hem de IT tarafıda kişiler olmalı Üst yöetimi oayı gerekiyor İş Sürekliliği Plalama ve Risk Aalizi Acil Durum Plalama Risk Yöetimi Güvelik Kotrollerii Uygulaması Felaket Olayları Acil Durum Plaı İşletilmesi Pla Yaıt Kurtarmak 5
İş Sürekliliği Plalama BT felaket plalaması, plalar, prosedürler ve tekik kouları da içere koordie bir stratejik yaklaşıma işareteder. Bu yaklaşımda temel hedef; BT sistemlerii, BT içere kritik operasyoları ve verileri bir felaketsorası kurtarılmasıdır. Felaketplalaması geellikle kesitiye uğraya BT servislerii geri kazaımı içi bir ya da daha fazla çözüm yaklaşımı içerir: Sekteye uğraya BT operasyolarıı alteratif bir lokasyoda devreye alıması BT operasyolarıı alteratif cihaz ve ekipmalar ile kurtarılması/iyileştirilmesi Felakette etkilee bazı ya da tüm iş süreçlerii mauel olarak yürütülmesi 5 Temel İSP Fazı Proje Yöetimi & başlagıç İş Etki Aalizi - Busiess Impact Aalysis (BIA) Kurtarma stratejileri - Recovery strategies Pla, tasarım ve geliştirme - Pla desig & developmet Test, bakım, farkıdalık ve eğitim - Testig, maiteace, awareess, traiig 1- Proje Yöetimi ve Başlama İhtiyacı belirlemesi (risk aalizi) q Yöetimi desteğii al Takım Oluşturma (foksiyoel, tekik, İSP Koordiasyo) İş plaı hazırlama (Kapsam, hedefler, yötem, zama plaı) Yöetime suulacak ilk rapor Devam etmek içi yöetimi oayıı alıması 6
2- İş Etki Aalizi Hedef: Her türlü zama-kritik iş süreçlerii MTD leri içi yöetimi oayıı al MTD tolere edilebilir e büyük kapalı kalma zamaı - maximum tolerable dowtime İşi aksamasıda ötürü oluşacak kayıpları ortaya çıkartır (fiasal, kurtarma maliyeti, prestij kaybı vb) Felaketleri olma olasılıklarıı tahmi etmez; sadece souçlarıı ortaya çıkartır. İş Etki Aalizi Fazları Bilgi toplama yötemlerii seç (aketler, saha çalışmaları, yüzyüze görüşmeler, yazılşım araçları) Kimlerle kouşulacak? Aket sorularıı kişiselleştirilmesi Toplaa bilgileri aalizi Zama-kritik iş foksiyolarıı belirlemesi Tolere edilebilir e büyük kapalı kalma zamalarıı belirlemesi Kritik İş foksiyolarıı MTD lere göre sıralaması Kurtarma seçeeklerii raporlaması Yöetimi oayıı alıması Toplaa Bilgileri Tablolaması It is importat that the iformatio gathered from the iterview be tabulated as soo as possible after cocludig the iterview. It is huma ature to decide to take a ote of some detail, believig that we will surely remember it, ad the forget it if we allow too much time to elapse betwee the iterview ad tabulatig the results of the iterview. 7
Kritik İş Foksiyoları Kategorileri Durum Kritik olmaya, öemsiz süreç Normal Öemli Acil Kritik/Temel iş foksiyou Gereke İyileştirme Zamaı 30 gü 7 gü 72 saat 24 saat 1 4 saat Kritik İş Foksiyoları Kategorileri Durum Çok yüksek(1) Yüksek (2) Orta (3) Düşük (4) Gereke İyileştirme Zamaı 0 12 saat 12 24 saat 24-72 saat > 72 saat 8
3. Kurtarma Stratejileri Kurtarma stratejileri MTD lere göre belirleir. Öcede taımlıdır. Plalıdırve asıl uygulaacağı bellidir. (Off-the-shelf) Yöetim bu stratejileri bir felaket durumuda kullaılması içi oay vermelidir. MTD tolere edilebilir e büyük kapalı kalma zamaı - maximum tolerable dowtime 3. Kurtarma Stratejileri Farklı tekik stratejiler Farklı maliyetler vefaydalar Nasıl seçmeli? Dikkatlibir fayda/maliyet aalizi yapmak lazım İş gereksiimleri kurtarma stratejimizi e olacağıa yö verecektir. 3. Kurtarma Stratejileri Aşağıdakileri kurtarılması ile ilgili stratejiler olmalı: İş operasyoları Busiess operatios were eumerated i the BIA what IT ad other requiremets are ecessary to support them? Hizmet araçları ve tedarik where do I sit at the DR site? Where is my coferece room? Do I get a whiteboard? Ad by the way, I eed a pecil Kullaıcılar (workers ad ed-users) ca maual processes be used as part of DR? If so, how does the maual processig get itegrated back ito the electroic processig later? Do we eed housig, trasportatio? Ağ, veri merkezi (tekik) Recovery of data ceters ad etworks is a obvious ecessity requirig careful plaig. There are techical solutios available, though. (Brig moey.) Veri (veri ve uygulama yedekleris) 9
3. Kurtarma Stratejileri Tekik kurtarma stratejileri eleri kapsar Veri merkezi Yerel ağlar ve ağ bağlatıları Haberleşme Network coectivity (loss of) could be defied as a disaster all by itself. Telecommuicatios are vital to most busiesses. You do t wat to get to the DR site ad realize you forgot the eed for a PBX or a FAX machie. Tekik kurtarma stratejileri - yötemler Üyelik servisleri (subscriptio) Karşılıklı yardım alaşmaları (Mutual aid agreemets) Yedek (Redudat) veri merkezleri 3. Kurtarma Stratejileri Techical recovery strategies subscriptio service sites Hot fully equipped Warm missig key compoets like computers, hece ot testable Cold empty data ceter Mirror full redudacy Mobile trailer full of computers A subscriptio fee is paid for this purpose 3. Kurtarma Stratejileri Tekik kurtarma stratejileri karşılıklıyardım alaşması I ll help you if you ll help me! Iexpesive Usually ot practical Tekik kurtarma stratejileri yedek veri merkezleri Expesive Maybe ot eough spare capacity for critical operatios Thik of load balaced redudat sites, for istace. Operatios are goig OK, but are both sites ruig at less tha 50% capacity? Ca site A hadle the load if site B goes dow? 10
3. Kurtarma Stratejileri Tekik kurtarma stratejileri - veri Backups of data ad applicatios Off-site vs. o-site storage of media How fast ca data be recovered? How much data ca you lose? Security of off-site backup media Types of backups (full, icremetal, differetial, cotiuous) 4. İSP geliştirme ve devreye alma Detaylı geri kurtarma plaları İş ve servis kurtarma plaları Bakım Farkıdalık ve eğitim Plaı test edilmesi (!!!) 4. İSP geliştirme ve devreye alma Örek pla aşamaları Felakete ilk müdahele Kritik iş foksiyolarıı kurtarılması Kritik olmaya iş foksiyolarıı kurtarılması Restorasyo (retur to primary site) Paydaşlarla iletişim ve etki,leşim içide olma (customers, media, emergecy respoders) 11
5. İSP So faz Test Bakım Farkıdalık Eğitim 5. İSP - Test Etme Test edilee kadar, hiç bir pla pla değildir! Nasıl test edersiiz? Structured walk-through Checklist Simulatio Parallel DR site is put ito full operatio without takig dow the primary results compared betwee the two Full iterruptio Full-scale test of BCP by a plaed fail-over to the secodary site ad fail-back to the primary. Risky. 5. İSP - Bakım Fix problems foud i testig Implemet chage maagemet Audit ad address audit fidigs Aual review of pla Build pla ito orgaizatio 12
5. İSP - Eğitim BCP team is probably the DR team BCP traiig must be o-goig BCP traiig eeds to be part of the stadard o-boardig ad part of the corporate culture 13
TCMB Ödeme Sistemleri Öreği : Kılavuzda ele alıa sorular AKTARICI BİLGİSAYAR ÖRNEK İSP KATILIMCI İLETİŞİM ARAÇLARI 1. Yedeği ola AB ı çalışmaması 2. Yedeksiz AB ı çalışmaması 1. Kedi yerleşkesideki modemii çalışmaması 2. Kiralık hattıı çalışmaması 3. Çevirmeli hattıı çalışmaması 4. İletişim satralideki portuu çalışmaması 5. TCMB deki çevirmeli hattıı çalışmaması 6. TCMB deki modemii çalışmaması KATILIMCI ANABİLGİSAYARI SİSTEM DIŞI İŞLEMLER 40 1. Aabilgisayar-AB bağlatısıı kesilmesi 2. Aabilgisayarı çalışmaması 1. Aa ve Yedek merkezi çalışmaması 2. EFT Sistemii çalışmaması 3. EMKT Sistemii çalışmaması 4. Katılımcı AB ıı çalışmaması 5. Yölediricii çalışamaması ya da tüm iletişimi kesilmesi OLAĞANÜSTÜ DURUM ELE ALMA YORDAMI TCMB Öreği TCMB de EŞGÜDÜM MASASI OLUŞTURULUR SORUNA UYGUN ALT BÖLÜM BELİRLE NİR ÖRNEK İSP ÇÖZÜM SEÇENEKLERİNİN GEREKTİRDİĞİ SÜRELER VE RİSKLE R BELİRLE NİR SEÇENEKLER E ÖM, ÖSİM ve KATILIMCI TARAFINDAN DE ĞERLENDİRİLİR UYGULANACAK YORDAM BELİRLE NİR ve SEÇİLE N YORDAM UYGULANI R 41 OLAĞANÜSTÜ DURUM SORUN KAYIT FORMU NA SORUN VE ÇÖZÜM BİLGİSİ KAYDEDİLİR Katılımcı tarafıda alıması gerekli ölemler: ÖRNEK İSP iletişim araçları içi Operasyoel koular Aktarıcı Bilgisayar içi Aabilgisayar bağlatısı içi TCMB ölemleri 42 14
Katılımcı tarafıda alıması gerekli ölemler q q q Aktarıcı Bilgisayar içi Eşzamalı çalışa yedek sistem kullaır, Yedek ABı iletişim bağlatılarıı çalışır durumda tutar, AB sistemlerii düzeli olarak yedeğii alır. iletişim araçları içi Operasyoel koular Aabilgisayar bağlatısı içi 43 Aktarıcı Bilgisayar içi TCMB ölemler Katılımcı tarafıda alıması gerekli ölemler q q q q q Ek olarak TCMB tarafıda Yazılımları uygu sürümleri ve uyumlu sistem yazılımları kullaılır, Yazılımlarda ortaya çıka her türlü soru ve değişiklik sürekli izleir, Yazılım ve doaım periyodik bakımlarla kotrol altıda tutulur, Yardım Masası tarafıda düzeli olarak sistem kotrolleri ve periyodik bakımlar yapılır. Modemleri yedek sisteme erişim kotrolleri düzeli olarak yapılır. iletişim araçları içi Operasyoel koular Aabilgisayar bağlatısı içi 44 Aktarıcı Bilgisayar içi TCMB ölemler Katılımcı tarafıda alıması gerekli ölemler q q q Operasyoel koularda Sistemlerii sürekli izler ve sorularıı e kısa sürede bildirir. OD yordamlarıı uygulaabilmesi içi her türlü hazırlığı yapar. Operasyo ve tekik sorumlularıı iletişim bilgilerii TCMB de gücel olmasıı sağlar. iletişim araçları içi Operasyoel koular Aabilgisayar bağlatısı içi Aktarıcı Bilgisayar içi TCMB ölemler 45 15
Katılımcı tarafıda alıması gerekli ölemler İletişim araçları ve hatlar q Modemleri uygu fiziksel ortamlarda çalışmalarıı sağlar. q Modem ve hatlarıı izler, sorularıı Yardım Masasıa bildirir. q Veri hatlarıı daima çalışır ve hazır halde tutar. q Modemleri bakım alaşması garatisie alır. iletişim araçları içi Operasyoel koular Aabilgisayar bağlatısı içi Aktarıcı Bilgisayar içi TCMB ölemler 46 Katılımcı tarafıda alıması gerekli ölemler q q q Aabilgisayar bağlatılı katılımcı Aabilgisayarıı yedekler. Yedek merkezie geçiş içi hazırdır. Çevrimdışı aabilgisayar bağlatısı içi her zama hazırdır. iletişim araçları içi 47 Operasyoel koular Aabilgisayar bağlatısı içi Aktarıcı Bilgisayar içi TCMB ölemler 16
ISO27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMLERİ GEREKSİNİMLERİ ISO27001 Kurumlardaki bilgi güveliği yöetimi gereksiimlerii vere, uluslararası kabul göre bir stadarttır. ISO stadardıdır ve ISO9001 Kalite yöetim sistemi ile pek çok ortak oktası vardır. SON SÜRÜMÜ ISO/IEC 27001:2013 ISO 9001 Kalite Yöetimideki e iyi Uygulamalar Nedir? ISO 9001, işletmelerde kalite yöetimii tesis etmek içi kullaıla ve uluslararası kabul göre bir stadarttır. Ürüleri ortaya çıkarta ve kotrol ede tüm iş süreçlerie ve işletmei suduğu bütü servislere uygulaabili r. Müşteri bekletileri ve müşteri ihtiyaçlarıı karşılamak amacıyla yapılması gereke faaliyetleri sistematik kotrolüü sağlamasıı gerekli kılar. Düya üzeride, sektör bağımsız olarak bilie tüm ürü ve servislere uygulaabil ir. ISO9001 uygulaya çok fazla miktarda işletme vardır. 17
ISO 9001 Faydaları elerdir? Kalite yöetim sistemii uygulaıyor olması çalışaları motive eder. Aahtar roller ve sorumlulukları belirli kılar. Verimlilik ve üretkelik artışları eticeside maliyetler düşer. Ürü ya da servislerde olabilecek sorular daha kolay belirleebilir. Buda ötürü, çeşitli iyileştirme olaakları kullaılarak; daha az atık, uygu olmaya/reddedile iş ve daha az şikayet gibi güzel souşlar ortaya çıkar. Müşteriler siparişlerii zamaıda ve sürekli olarak, doğüru olarak karşıladığıı farkedeceklerdir. Bu da, pazarda sürekli arta iş fırsatlarıa döüşebilmektedir. ISO27001 : Bilgi Güveliği Yöetim Sistemi İşletmede Bilgi Güveliğii Sağlamak İçi yapılması gerekeleri ortaya çıkarta bir ISO modelidir. Model aşağıdaki usurları içerir : -Kurmak -Gerçekleştirmek -İşletmek -İzlemek -Gözde Geçirmek -Sürdürmek -İyileştirmek Diğer ISO stadartlarıda olduğu gibi SÜREÇ (process) yaklaşımı beimsemiştir. Süreç yaklaşımıda kuruluşu bir çok faaliyetii taımlaması ve yöetmesi gerekmektedir. ISO27001 Nedir?? Kotrol-tabalı Gruplamış olarak suula kotroller, BG deki e iyi uygulamaları içermektedir. «Bilgi» Stadardı Her türlü BİLGİ yi kapsar. Bilgi, her e şekilde olursa olsu; her erede saklaırsa saklası, uygu bir şekilde korumalıdır! 8 Cümle, 11 Kotrol grubu, 134 kotrol Sertifikaladırılabilir - Uluslararası geçerliliği ola - Risk yöetimi esaslı 18
ISO Tarihçe 1992 The Departmet of Trade ad Idustry (DTI), which is part of the UK Govermet, publish a 'Code of Practice for Iformatio Security Maagemet'. 1995 This documet is ameded ad re-published by the British Stadards Istitute (BSI) i 1995 as BS7799. 1999 The first major revisio of BS7799 was published. This icluded may major ehacemets. 2000 I December, BS7799 is agai re-published, this time as a fast tracked ISO stadard. It becomes ISO 17799 (or more formally, ISO/IEC 17799). Accreditatio ad certificatio schemes are lauched. LRQA ad BSI are the first certificatio bodies. Tarihçe 2001 The 'ISO 17799 Toolkit' is lauched. 2002 A secod part to the stadard is published: BS7799-2. This is a Iformatio Security Maagemet Specificatio, rather tha a code of practice. It begis the process of aligmet with other maagemet stadards such as ISO 9000. 2005 A ew versio of ISO 17799 is published. This icludes two ew sectios, ad closer aligmet with BS7799-2 processes.. 2005 ISO 27001 is published, replacig BS7799-2, which is withdraw. This is a specificatio for a ISMS (iformatio security maagemet system), which aligs with ISO 17799 ad is compatible with ISO 9001 ad ISO 14001 2013 New versio releases Accordig to the ISO survey for 2012, there were early 20,000 ISO/IEC 27001 certificates worldwide, a umber that had icreased by more tha 10% sice the year before: 19
27000 Serisi stadartları yapısı 27000 Temeller ve aahtar kelimeler 27001:BGYS 27005 Risk Yöetimi 27002 BGY Uygulama Yöergesi 27003 BGY Uygulama Esasları 27004 Metrikler ve Ölçme 27006 BGYS akreditasyou kılavuzu 27007 BGYS deetim kılavuzu (iç, dış, yöetim gözde geçirme) 27008 Deetçiler içi BGYS kotrolleri kılavuzu PUKÖ PUKÖ, bir BGYS i bilgi güveliği gereksiimlerii ve ilgili tarafları bekletilerii girdi olarak asıl aldığıı ve gerekli eylem ve prosesler aracılığıyla, bu gereksiimleri ve bekletileri karşılayacak bilgi güveliği souçlarıı asıl ürettiğii gösterir. Yukarıdaki şekil ayrıca, stadarttaki Madde 4, Madde 5, Madde 6, Madde 7 ve Madde 8 de suula proseslerdeki bağlatıları da gösterir. PUKÖ 20
Pla Do Check Act Cycle (PDCA) Pla Establish the ISMS Iterested parties Implemet ad operate the ISMS Do Maitai ad improve the ISMS Act Iterested parties Iformatio security requiremets ad expectatios Moitor ad review the ISMS Check Maaged iformatio security BGYS Kurulması BGYS kapsamıı belirlemek PUKÖ Üst yöetimi liderliği ve taahhüt; orgaizasyoel roller ve sorumluluklar BG politikasıı taımlamak Risk yöetimi içi sistematik bir yaklaşım taımlamak Riskleri belirlemek Riskleri değerledirmek Riskleri azaltmak içi kullaılabilecek seçeekleri belirlemek ve değerledirmek Riskleri azaltmak içi kotrol amaçlarıı ve kotrolleri belirlemek Uygulaabilirlik Bildirgesi (Prepare a Statemet of Applicability (SOA)) hazırlamak Kala riskleri belirlemek ve bulara yöetimi oayıı almak BGYS çalıştırmak/uygulamak içi yöetimi oayıı almak BGYS i Uygulaması PUKÖ q Riski azaltma plaıı formüle etmek Riski azaltma plaıı uygulamak Seçile kotrolleri uygulamak Eğitimler ve farkıdalıklık programları düzelemek Çalışaları e gibi yetkilikleri olması gerekir? Operasyoları yöetmek Kayakları yöetmek Güvelik ihlallerii saptamak ve karşılamak içi prosedür ve kotrolleri uygulamak 21
BGYS i Kotrol Edilmesi PUKÖ İzleme prosedürlerii çalıştırmak Düzeli gözde geçirmeler yapmak Artık riskleri seviyesii gözde geçirmek İç deetimler yapmak Yöetim değerledirmeleri (yöetimi gözde geçirmesi) yapmak Güvelik ihlal olaylarıı ve bulara verile cevapları kayıt altıa almak PUKÖ BGYS i Bakımı, İyileştirilmesi ve Sürdürülebilir Halde Olması Taımlaa iyileştirmeleri uygulaması Öleyici ve düzeltici faaliyetleri yapılması Souçları değerledirilmesi, tartışılması Verimlilik SÜREKLİ İYİLEŞTİRME! BGYS KURULUMU BGYS kurulum isteği kurumu üst yöetimi tarafıda beimsemelidir. Üst yöetim desteği BGYS i başarıya ulaşması açısıda hayati öeme sahiptir. Üst yöetim BGYS i gerekliliğie ve faydasıa iamalıdır. BGYS kurulumu bir BT ürüü veya sistemi kurulumuyla karıştırılmamalıdır. BGYS kurumu iş yapma tarzıı etkileye köklü bir sistemdir ve kurumu tümde etkiler. Tüm kademelerdeki çalışaları işii yaparke bilgi güveliği presiplerie uygu hareket etmesii gerekli kılar. Bu bilici oluşması ve işleyişe geçmesi de bir gelişim sürecii soucu olacaktır. 22
BGYS KURULUMU BGYS sadece kurumu BT bölümüe ait bir iş değildir. BGYS tamame bir tekoloji meselesi veya tekik bir iş de değildir. Tüm kurumu aktif halde katılımıyla hedefie ulaşabilecek bir sistemdir. E üst kademe yöeticide e alt seviye çalışaa kadar katılım ve destek şarttır. Aksi halde BGYS de beklee faydaı elde edilmesi mümkü değildir BGYS Kurulumu Etki bir BGYS kurulumu kousuda ilk yapılması gereke işlerde bir diğeri de kurum içide bir Bilgi Güveliği Komisyou oluşturulmasıdır. Bilgi güveliği komisyou (Güvelik Forumu da deir) kurum içideki her bölümde temsilcilerde oluşur. Bilgi işlem, iç deetim, muhasebe, isa kayakları, güvelik ve diğer tüm bölümlerde temsilciler bu komisyoda yer almalıdır. Komisyo temsilcileri bilgi güveliği kousuda deeyimli ve bilgili, buu yaıda kedi bölümlerii temsil edebilme yetkisie sahip kişiler olmalıdır. Komisyo temsilcileri bilgi güveliği kousuda yeterli bilgi seviyesie sahip değilse mutlaka BGYS eğitimleri almalıdır. BGYS Kurulumu Tüm bölümlerde temsilcileri komisyoda yer alması BGYS i başarı şasıı arttırır. BGYS i kurumu tamamıa üfuz etmesii kolaylaştırır. Kurum çapıdaki güvelik ihtiyaçlarıı daha etki bir biçimde farkıda olumasıı sağlar. Bu durum BGYS i doğru plalaması ve sağlıklı işlemesi açısıda hayati öeme sahiptir. Her bölümde bir temsilcii katılımı yöetim ve tekik kadro arasıdaki iletişim kopukluğuu gidermeye de yarar. Soruları ve ihtiyaçları yeride yaşaya kişiler belli koularda yöetimi daha rahat ika edilmesii sağlar. Bilgi güveliği komisyou sayeside BGYS ile ilgili görev ve sorumluluklar da kurum içide dağıtılmış olur. 23
BGYS Politikası Bu politika, hedefleri ortaya koya, yöetime yö vere ve harekete geçire, hagi riski değerledirmeye alıacağıa ilişki risk yöetim kapsamı ve kriterii belirleye bir çerçeve sumalıdır. BGYS politikasıı amacıı bulması içi yöetim politika içeriğideki maddeleri uygulamaya geçirileceğie ilişki kararlarlığıı çalışalara hissettirmelidir. Risk Değerledirme Yaklaşımı Bilgi güveliği politikası temel alıarak sistematik bir risk değerledirme yaklaşımı belirlemelidir. Kurum kedie uygu bir metodoloji seçmekte serbesttir. Seçile risk değerledirme metodolojisi kıyaslaabilir ve tekrarlaabilir souçlar üretmeyi garati etmelidir. Bu adımda kabul edilebilecek risk seviyeleri belirlemeli ve bular içi ölçütler geliştirilmelidir. Risk Belirleme Koruması gereke varlıkları tehdit ede riskler, öceki adımda belirlee yötem kullaılarak tespit edilmelidir. BGYS içerisideki tüm varlıkları taımlaması, yai varlık evaterii çıkarılması risk değerledirme işii esasıı oluşturur. Kurum BGYS kapsamıa dahil edeceği tüm varlıkları sahiplerii, türüü ve öem derecesii bir evater listesi şeklide belgelemelidir. Bir varlığı öem derecesii belirlemek içi bu varlığı gizliliğie,bütülüğüe ve kullaılabilirliğie gelecek zararı kuruma yapacağı etkii derecesii başta ortaya koymak gerekmektedir. 24
Risk Aalizi ve Değerledirilmesi Tespit edile riskleri aalizi ve dereceledirilmesi yapılmalıdır. Bu adım bir öceki adımda tespit edile riskleri yorumlaması olarak görülebilir. Risk aalizi yaparke riske ede ola tehdit ve açıklıklarda yola çıkılmalıdır. Riski dereceledirilmesi veya değerii belirleebilmesi içi öcelikle tehdidi gerçekleşme olasılığı ile etki derecesi hesaplamalıdır. Bular sayısal değerler kullaılarak hesaplaabileceği gibi rakamlarla ifadei zor olduğu durumlarda düşük, orta, yüksek gibi itel değerlerle de belirleebilir. Risk Aalizi ve Değerledirilmesi Riski kabul edilebilir olup olmadığı Risk Değerledirme Yaklaşımıda belirlee ölçütler kullaılarak tespit edilmelidir. Tüm bu hesaplama ve değerlemeler uygulamakta ola mevcut kotroller de dikkate alıarak yapılmalıdır. Kotroller risk değerii azaltabilir. Bu adım souda bir risk değerledirme souç raporu yayılamalıdır. Riski Azaltma Bu adımda risk değerledirme souç raporuda yola çıkılarak uygu risk azaltma/tedavi (risk treatmet) yötemleri belirlemelidir. Belli bir risk karşısıda dört farklı tavır alıabilir: q Uygu kotroller uygulaarak riski ortada kaldırılması veya kabul edilebilir seviyeye düşürülmesi q Riski oluşmasıa ede ola faktörleri ortada kaldırarak riskte kaçıılması q Riski sigorta şirketleri veya tedarikçiler gibi kurum dışıdaki taraflara aktarılması q Kurum politikalarıa ve risk kabul ölçütlerie uyması şartıyla riski objektif bir biçimde ve bilerek kabul edilmesi 25
Kotrolleri Seçimi Risk işleme süreci souçlarıa uygu kotrol ve kotrol hedeflerii seçilmesi gerekir. TS ISO/IEC 27001:2013 de bu kotrollerde detaylı bir biçimde bahsedilmektedir. Bu kotroller stadartta yol gösterici olması amacıyla verilmiştir. Kurum kedisie ek olarak başka kotroller de seçmekte serbesttir. ISO27001 kotrolleri, sektör tecrübeleride faydalamak suretiyle, stadart etki alalarıda olabildiğice geiş kapsamlı olarak belirlemiş olsa da dış kayaklı kotrollere ihtiyaç olabilmektedir. Yöetimi Oayı Artık Risk Oayı q Risk işleme süreci sorasıda geriye kala riske artık risk (residual risk) deir. Bular kabul edile riskler veya tamame ortada kaldırılamaya riskler olabilir. Kurum üst yöetimi artık riskler içi oay vermelidir. Bu adım souda artık risk oay belgesi oluşturulmalıdır. Yöetim Oayı q Risk yöetimi adımlarıı geçtikte sora BGYS işletimi ve uygulamasıı yapmak içi yöetimde oay almak gerekmektedir. Uygulaabilirlik Bildirgesi (SOA) So olarak risklere karşı seçile kotrolleri içere bir Uygulaabilirlik Bildirgesi hazırlaarak BGYS kurulum işi tamamlaır. Uygulaabilirlik Bildirgesi daha öce seçile kotrolleri eler olduğu ve buları hagi gerekçelerle seçildiğii alatmalıdır. TS ISO/IEC 27001 EK A da seçilmeye kotrolleri eler olduğu ile buları seçilmeme gerekçeleri de Uygulaabilirlik Bildirgeside verilmelidir. Ayrıca mevcut durumda uygulamakta ola kotroller de yie bu belge içide yer bulmalıdır. Normalde, kotroller ISO27001 de seçilir. Acak, firmaya özel kotroller ya da başka gereksiimleri/stadartları karşılamak üzere uygulaması gereke kotroller de olabilir 26
SOA SOA dokümaıda seçilecek kotrolü uygulaması ile ilgili olarak, gerekli politikalar ve prosedürlere referas verilmelidir. Ayrıca, seçilmeye kotrolleri ede seçilmediği ile ilgili olarak da bir gerekçe dokümaı hazırlaması yararlı olacaktır. SOA oluşturuldukta soraki adım programı uygulaması olacaktır. BGYS KURULUMU - ADIMLAR ISO27001 13 ALAN (Kategori) altıda 35 adet kotrol amacı Bu amaçları gerçekleştirmek içi yapılması gereke TOPLAM 114 tae kotrol 27
ALANLAR A.5: Bilgi Güveliği Politikaları A.6: Bilgi Güveliği Orgaizasyou A.7: İsa Kayakları Güveliği A.8: Varlık Yöetimi A.9: Erişim Kotrolü A.10: Kriptografi (Şifreleme) A.11: Fiziksel ve Çevresel Güvelik A.12: İşlemler Güveliği A.13: Haberleşme Güveliği A.14: Bilgi Sistemleri Ediim, geliştirme ve bakımı A.15: Tedarikçi İlişkileri A.16: Bilgi Güveliği İhlal Olayı Yöetimi A.17: İş Sürekliliği Yöetimii Bilgi Güveliği Usurları A.18: Uyum ISO 27001 icorporates a summary (little more tha the sectio titles i fact) of cotrols from ISO 27002 i Aex A. I practice, most orgaizatios that adopt ISO/IEC 27001 also adopt ISO/IEC 27002. Structure ad format of ISO/IEC 27002:2013 ISO/IEC 27002 is a code of practice - a geeric, advisory documet, ot a formal specificatio such as ISO 27001. It recommeds iformatio security cotrols addressig iformatio security cotrol objectives arisig from risks to the cofidetiality, itegrity ad availability of iformatio. Orgaizatios that adopt ISO/IEC 27002 must assess their ow iformatio security risks, clarify their cotrol objectives ad apply suitable cotrols (or ideed other forms of risk treatmet) usig the stadard for guidace. The stadard is structured logically aroud groups of related security cotrols. May cotrols could have bee put i several sectios but, to avoid duplicatio ad coflict, they were arbitrarily assiged to oe ad, i some cases, cross-refereced from elsewhere. q For example, a card-access-cotrol system for, say, a computer room or archive/vault is both a access cotrol ad a physical cotrol that ivolves techology plus the associated maagemet/admiistratio ad usage procedures ad policies. This has resulted i a few oddities (such as sectio 6.2 o mobile devices ad teleworkig beig part of sectio 6 o the orgaizatio of iformatio security) but it is at least a reasoably comprehesive structure. It may ot be perfect but it is good eough. 28
ISO/IEC 27002 Withi each sectio, iformatio security cotrols ad their objectives are specified ad outlied. Specific cotrols are ot madated sice: Each orgaizatio is expected to udertake a structured iformatio security risk assessmet process to determie its specific requiremets before selectig cotrols that are appropriate to its particular circumstaces. It is practically impossible to list all coceivable cotrols i a geeral purpose stadard. Idustry-specific implemetatio guidace for ISO/IEC 27001 ad 27002 are aticipated to give advice tailored to orgaizatios i the telecomms, fiacial services, healthcare, lotteries ad other idustries. Cotets of ISO/IEC 27002:2015 ISO27001 ISO27001 has bee prepared to provide a model for - establishig, (kurmak) - implemetig, (gerçekleştirmek) - operatig, (işletmek) - moitorig, (izlemek) - reviewig, (gözde geçirmek) - maitaiig ad (sürdürmek) - improvig (iyileştirmek) a Iformatio Security Maagemet System (ISMS). ISO27001 is a «process based» approach for establishig, implemetig, operatig, moitorig, reviewig, maitaiig ad improvig a orgaizatio s ISMS. A orgaizatio eeds to idetify ad maage may activities i order to fuctio effectively. Ay activity usig resources ad maaged i order to eable the trasformatio of iputs ito outputs ca be cosidered to be a process. Ofte the output from oe process directly forms the iput to the followig process. 29
Process Approach The applicatio of a system of processes withi a orgaizatio, together with the idetificatio ad iteractios of these processes, ad their maagemet, ca be referred to as a process approach. This approach ecourages its users to emphasize the importace of: ü uderstadig a orgaizatio s iformatio security requiremets ad the eed to establish policy ad objectives for iformatio security; ü implemetig ad operatig cotrols to maage a orgaizatio s iformatio security risks i the cotext of the orgaizatio s overall busiess risks; ü moitorig ad reviewig the performace ad effectiveess of the ISMS; ad ü cotiual improvemet based o objective measuremet. ISO27001:2013 STANDART İNCELEMESİ 30