YZM5604 Bilgi Güvenliği Yönetimi

Benzer belgeler
YZM5604 Bilgi Güvenliği Yönetimi

YZM5604 Bilgi Güvenliği Yönetimi. Duyurular

İNTERNET SERVİS SAĞLAYICILIĞI HİZMETİ SUNAN İŞLETMECİLERE İLİŞKİN HİZMET KALİTESİ TEBLİĞİ BİRİNCİ BÖLÜM

Sevdiğiniz her şey güvence altında

AYDIN İLİNDE YAŞ SEBZE ve MEYVE TOPTANCI HALLERİNİN İNCELENMESİ* Mehmet Hakan ÇOŞKUN1, Renan TUNALIOĞLU2

Slayt 1. Slayt 2. İçerik ISO 9000 KALİTE GÜVENCE SİSTEMİ UYGULAMASI KAPSAMINDA KURULUŞ İÇİ TETKİKÇİ EĞİTİMİ

YZM5604 Bilgi Güvenliği Yönetimi. 25 Kasım Dr. Orhan Gökçöl.

TÜRK AKREDİTASYON KURUMU R20.07 LABORATUVAR İÇ DENETİMLERİ

TS EN ISO 9001:2008 Kalite Yönetim Sistemi Kurum İçi Bilgilendirme Eğitimi ISO 9001 NEDİR?

ISF404 SERMAYE PİYASALARI VE MENKUL KIYMETYÖNETİMİ

Ders ile İlgili Önemli Bilgiler

Kırsal Kalkınma için IPARD Programı ndan Sektöre BÜYÜK DESTEK

Yöneticilere Odaklı ISO Bilgilendirme TÜBİTAK BİLGEM Siber Güvenlik Enstitüsü

YÖNETİM SİSTEMLERİ. TS EN ISO Kalite Yönetim Sistemi TS EN ISO Çevre Yönetim Sistemi TS (OHSAS) İSG Yönetim Sistemi

T. C. TÜRK STANDARDLARI ENSTİTÜSÜ

ISO M. Görkem Erdoğan. Bu sunuya ve konunun pdf dosyasına adresinden erişilebilir.

LABORATUVARIN İŞ HİJYENİ ÖLÇÜM, TEST VE ANALİZ HİZMETLERİ KAPSAMINDA AKREDİTASYON BELGESİ ALMASI ZORUNLULUĞU OLAN PARAMETRE LİSTESİ

ENTEGRE YÖNETİM SİSTEMİ YAZILIMI

Gayrimenkul Değerleme Esasları Dönem Deneme Sınavı I

NETCAD e-bldy Bilgiye Dayalı Yerel Yönetim

2015 YILI FAALİYET RAPORU KAYNAKLARI

Çanakkale İli Belediye Sınırları İçerisindeki Peyzaj Alanlarında Sulama Sistemlerinin Projelenmesi ve İşletilmesindeki Hatalar

AMAÇ ve ARAŞTIRMA SORULARI

BS25999 İŞ SÜREKLİLİĞİ İĞİ YÖNETİM M SİSTEMİSTEMİ STANDARDI

MAKEDONYA CUMHURİYETİ NDEKİ İLKOKUL VE LİSELERE YÖNELİK ELEKTRONİK ARAŞTIRMA

BAŞKENT ÜNİVERSİTESİ Makine Mühendisliği Bölümü

T. C. TÜRK STANDARDLARI ENSTİTÜSÜ

Hipotez Testleri. Parametrik Testler

T.C. ATILIM ÜNİVERSİTESİ SOSYAL BİLİMLER ENSTİTÜSÜ SAĞLIK KURUMLARI İŞLETMECİLİĞİ ANABİLİM DALI HEMŞİRELİK HİZMETLERİNDE YÖNETSEL VE

BGYS-PL-01 BİLGİ GÜVENLİĞİ POLİTİKASI

YZM5604 Bilgi Güvenliği Yönetimi. Geçtiğimiz hafta. Fiziksel ve Çevresel Güvenlik. Dr. Orhan Gökçöl

RGN İLETİŞİM HİZMETLERİ A.Ş BİLGİ GÜVENLİĞİ POLİTİKASI

Bilindiği üzere Bilgi Güvenliği Yönetim Sistemi, bilgi ve bilgi varlıklarının

ISO 14001:2015 ÇEVRE YÖNETİM SİSTEMİ GEÇİŞ KILAVUZU

T. C. KAMU İHALE KURUMU

Bilindiği üzere Bilgi Güvenliği Yönetim Sistemi, bilgi ve bilgi varlıklarının

ITMS DAYS Information Technologies Management Systems Days

ÖzelKredi. İsteklerinize daha kolay ulaşmanız için

Yatırım Projelerinde Kaynak Dağıtımı Analizi. Analysis of Resource Distribution in Investment Projects

1. İŞLETMECİ BİLGİ GÜVENLİ YÖNETİM SİSTEMİ (BGYS) KURULACAK VE İŞLETECEKTİR.

ANA NİRENGİ AĞLARINDA NİRENGİ SAYISINA GÖRE GPS ÖLÇÜ SÜRELERİNİN KURAMSAL OLARAK BULUNMASI

BİLGİNİN EĞİTİM TEKNOLOJİLERİNDEN YARARLANARAK EĞİTİMDE PAYLAŞIMI

Atatürk Üniversitesi İktisadi ve İdari Bilimler Dergisi, Cilt: 23, Sayı: 4, ÜRETİM PLANLAMA VE İŞ YÜKLEME METOTLARI

ISF404 SERMAYE PİYASALAR VE MENKUL KIYMETLER YÖNETİMİ

ULUSAL BİLGİ SİSTEMLERİSTEMLERİ GÜVENLİK PROGRAMI

Bu dokümanla BGYS rollerinin ve sorumluluklarının tanımlanarak BGYS sürecinin efektif şekilde yönetilmesi hedeflenmektedir.

DO-178B Sertifikasyonuna Uygun Yazılım Geliştirme Software Development Compatible with DO-178B Certification

Ki- kare Bağımsızlık Testi

Normal Dağılımlı Bir Yığın a İlişkin İstatistiksel Çıkarım

TBD Aralık

ANADOLU ISUZU ANALİST SUNUMU. Mart 2016

BİYOİSTATİSTİK İstatistiksel Tahminleme ve Hipotez Testlerine Giriş Dr. Öğr. Üyesi Aslı SUNER KARAKÜLAH

ISO 9001:2008 KALĠTE YÖNETĠM SĠSTEMĠ (KYS) ĠÇ DENETĠM KILAVUZU

ISO/IEC 27001:2013 REVİZYONU GEÇİŞ KILAVUZU

T. C. KAMU İHALE KURUMU

ISO 9001:2015 KALİTE YÖNETİM SİSTEMİ GEÇİŞ KILAVUZU

PARDUS GÖÇ UZMANI VE FİRMA BELGELENDİRMELERİ. BİLİŞİM TEKNOLOJİLERİ TEST VE BELGELENDİRME DAİRESİ BAŞKANI Mariye Umay AKKAYA

KALİTE YÖNETİM SİSTEMLERİ YAZILIMI

ÇELİKEL A.Ş. Bilgi Güvenliği Politikası

1- Neden İç Kontrol? 2- İç Kontrol Nedir?

KYS İÇ DENETİM PROSEDÜRÜ

İSTANBUL ÜNİVERSİTESİ İÇ DENETİM BİRİMİ BAŞKANLIĞI İÇ DENETİM TANITIM BROŞÜRÜ

OKUL ÖNCESİ DÖNEM İŞİTME ENGELLİ ÇOCUKLARDA MÜZİK EĞİTİMİNİN SÖZEL AÇIKLAMA BECERİLERİNE ETKİSİ

Uyum Risk Yönetimi. KPMG İstanbul. Ekim 2014

Analiz ve Kıyaslama Sistemi

10 SORUDA İÇ KONTROL

T.C. ADANA BİLİM VE TEKNOLOJİ ÜNİVERSİTESİ Strateji Geliştirme Daire Başkanlığı SORU VE CEVAPLARLA KAMU İÇ KONTROL STANDARTLARI UYUM EYLEM PLANI

EME 3117 SİSTEM SIMÜLASYONU. Girdi Analizi Prosedürü. Dağılıma Uyum Testleri. Dağılıma Uyumun Kontrol Edilmesi. Girdi Analizi-II Ders 9

T.C. RECEP TAYYİP ERDOĞAN ÜNİVERSİTESİ İdari ve Mali İşler Daire Başkanlığı SORU VE CEVAPLARLA İÇ KONTROL

ISO 27001:2013 BGYS BAŞDENETÇİ EĞİTİMİ. Kapsam - Terimler

BGYS ve BGYS Kurma Deneyimleri

ANALİTİK HİYERARŞİ SÜRECİ İLE KREDİ DERECELENDİRME ANALİZİ ÜZERİNE BİR MODEL ÖNERİSİ

4/16/2013. Ders 9: Kitle Ortalaması ve Varyansı için Tahmin

ÜLKEMİZDE SİBER GÜVENLİK

BAŞ DENETÇİ PROGRAMLARI

YÜKSEKÖĞRETİMDE SİSTEMİMİZDE KALİTE GÜVENCESİ SÜREÇLERİ ODAKLI GELİŞMELER

T.C. UŞAK ÜNİVERSİTESİ

Tetkik Gün Sayısı Tespiti

Dicle Üniversitesi Tıp Fakültesi Histoloji ve Embriyoloji Anabilim Dalı

Duyuru. YZM5604 Bilgi Güvenliği Yönetimi ISO27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMLERİ GEREKSİNİMLERİ

EK-3 HAVAALANI ĠġLETĠMĠ

ISO 27001:2013 BGYS BAŞTETKİKÇİ EĞİTİMİ

ISO 14001:20014 ve ISO 14001:2015 Şartları Arasındaki Eşleştirme Eşleştirme Kılavuzu

P.O. Number Terms Rep Ship Via F.O.B. Project. Quantity Item Code Description Price Each Amount Total

T.C. DİYANET İŞLERİ BAŞKANLIĞI Strateji Geliştirme Başkanlığı

PAYDAŞ ANALİZİ ve PAYDAŞ BEKLENTİLERİ ANALİZİ PROSEDÜRÜ REFERANS & FORMLAR & RİSKLER

2017 de Siber Güvenlik, Milli Çözümler ve Türkiye «NE LER, NASIL LAR"

CAM, KIRILGAN PLASTİK VE SERAMİK MATERYALLERİN KONTROLÜ

PLM. MSI Dergisi nin Kasım. Savunma ve Havacılık Sanayileri için Çağdaş Bir Yönetişim ve İnovasyon Ortamı: Bölüm VI

İŞLETİM KARAKTERİSTİĞİ EĞRİSİ VE BİR ÇALIŞMA THE OPERATING CHARACTERISTIC CURVE AND A CASE STUDY

İş Sürekliliği Yönetimi ve İşe Etki Analizi için bir uygulama örneği

Siber Savaş ve Terörizm Dr. Muhammet Baykara

Yöneticiler için Bilgi Güvenliği

İSTATİSTİKSEL TAHMİNLEME VE HİPOTEZ TESTİ

SÜREKLİ İYİLEŞTİRME PROSEDÜRÜ

İÇ TETKİKÇİ DEĞERLENDİRME SINAVI

6.046J/18.401J DERS 9. Post mortem (süreç sonrası) Prof. Erik Demaine

Transkript:

YZM5604 Bilgi Güveliği Yöetimi 21 Aralık 2015 Dr. Orha Gökçöl http://akademik.bahcesehir.edu.tr/~gokcol/yzm5604 Bahçeşehir Üiversitesi, Fe Bilimleri Estitüsü Proje Çalışması - NE DURUMDASINIZ???? Aralık Ayı İçide Ara Kotrol q Bu hafta so dersimiz q Gelecek hafta ders yok. Ofiste olacağım. Proje kotrolleriizi yaptırabilirsiiz q 4 Ocak 19:00-21:30 Proje suumları q 11 Ocak- 18:00-22:00 Proje suumları q 11 Ocak; YAZILI Fial Sıavı Normal Sıav!! (Ağırlık:%10 - bous) Sıav kouları : ISO27001 ve bugü işleyeceğimiz koular Geçtiğimiz Derste; ISO27001:2013 Bilgi Güveliği Yöetim Sistemler, Gereksiimleri PUKÖ, bir BGYS i bilgi güveliği gereksiimlerii ve ilgili tarafları bekletilerii girdi olarak asıl aldığıı ve gerekli eylem ve prosesler aracılığıyla, bu gereksiimleri ve bekletileri karşılayacak bilgi güveliği souçlarıı asıl ürettiğii gösterir. Yukarıdaki şekil ayrıca, stadarttaki Madde 4, Madde 5, Madde 6, Madde 7 ve Madde 8 de suula proseslerdeki bağlatıları da gösterir. 1

ISO27001 Nedir?? Kotrol-tabalı Gruplamış olarak suula kotroller, BG deki e iyi uygulamaları içermektedir. «Bilgi» Stadardı Her türlü BİLGİ yi kapsar. Bilgi, her e şekilde olursa olsu; her erede saklaırsa saklası, uygu bir şekilde korumalıdır! 8 Cümle, 11 Kotrol grubu, 134 kotrol Sertifikaladırılabilir - Uluslararası geçerliliği ola - Risk yöetimi esaslı ISO Tarihçe 1992 The Departmet of Trade ad Idustry (DTI), which is part of the UK Govermet, publish a 'Code of Practice for Iformatio Security Maagemet'. 1995 This documet is ameded ad re-published by the British Stadards Istitute (BSI) i 1995 as BS7799. 1999 The first major revisio of BS7799 was published. This icluded may major ehacemets. 2000 I December, BS7799 is agai re-published, this time as a fast tracked ISO stadard. It becomes ISO 17799 (or more formally, ISO/IEC 17799). Accreditatio ad certificatio schemes are lauched. LRQA ad BSI are the first certificatio bodies. Tarihçe 2001 The 'ISO 17799 Toolkit' is lauched. 2002 A secod part to the stadard is published: BS7799-2. This is a Iformatio Security Maagemet Specificatio, rather tha a code of practice. It begis the process of aligmet with other maagemet stadards such as ISO 9000. 2005 A ew versio of ISO 17799 is published. This icludes two ew sectios, ad closer aligmet with BS7799-2 processes.. 2005 ISO 27001 is published, replacig BS7799-2, which is withdraw. This is a specificatio for a ISMS (iformatio security maagemet system), which aligs with ISO 17799 ad is compatible with ISO 9001 ad ISO 14001 2013 New versio releases 2

27000 Serisi stadartları yapısı 27000 Temeller ve aahtar kelimeler 27001:BGYS 27005 Risk Yöetimi 27002 BGY Uygulama Yöergesi 27003 BGY Uygulama Esasları 27004 Metrikler ve Ölçme 27006 BGYS akreditasyou kılavuzu 27007 BGYS deetim kılavuzu (iç, dış, yöetim gözde geçirme) 27008 Deetçiler içi BGYS kotrolleri kılavuzu PUKÖ ISO27001 13 ALAN (Kategori) altıda 35 adet kotrol amacı Bu amaçları gerçekleştirmek içi yapılması gereke TOPLAM 114 tae kotrol 3

ALANLAR A.5: Bilgi Güveliği Politikaları A.6: Bilgi Güveliği Orgaizasyou A.7: İsa Kayakları Güveliği A.8: Varlık Yöetimi A.9: Erişim Kotrolü A.10: Kriptografi (Şifreleme) A.11: Fiziksel ve Çevresel Güvelik A.12: İşlemler Güveliği A.13: Haberleşme Güveliği A.14: Bilgi Sistemleri Ediim, geliştirme ve bakımı A.15: Tedarikçi İlişkileri A.16: Bilgi Güveliği İhlal Olayı Yöetimi A.17: İş Sürekliliği Yöetimii Bilgi Güveliği Usurları A.18: Uyum ISO27001 ve ISO31000 ISO31000 : Risk Yöetimi Stadartı 4

ISO27005 : ISO31000 i TEMEL ALAN BİR RİSK YÖNETİMİ YAKLAŞIMIDIR. BİLGİ GÜVENLİĞİ RİSK YÖNETİMİ İÇİN KULLANILABİLİR. İTERATİF BİR YAKLAŞIM. PUKÖ yü takip eder! ISO27005 Risk Değeri Hesaplama Örek Yaklaşım 1 5

ISO27xxx ISO27xxx SEKTÖREL STANDARTLAR! 6

http://www.cozumpark.com/blogs/cobit-itil/archive/2012/06/02/ts-iso-iec-27001-2005-bilgi-guveligi-yoetim-sistemi-ve -puko-m ode li-bolum-2.aspx İYİ BİR BAŞLANGIÇ NOKTASI http://www.iso27001security.com/ Ülkemizde BG Çalışmaları Bilgi Güveliği Deetmei (Seviye 7) Meslek Stadardı Ref.No:13UMS0292-7 ; Tarih: 30.01.2013 q Türkiye Bilişim Güveliği Dereği tarafıda hazırlamış q Resmi Gazete - 26/2/2013-28571 (Mükerrer) ; şu a yürürlükte q Bir de, Bilgi Güveliği Uzmaı var (Seviye 6) Mesleki Yeterlilik Kurumu : http://www.myk.gov.tr/ - http://www.my k. go v. tr /ima ge s/ arti cle s/e di t or /2 01 3/2 80 21 3/Bi lg i_g u ve li k_d e e tme i _Sev iy e_7. pd f - http://www.my k. go v. tr /ima ge s/ arti cle s/e di t or /2 01 3/2 80 21 3/Bi lg i_g u ve li k_u zma i _Se viy e_6. pd f 7

Ülkemizde BG Yasal Altyapıı Aalizi : - Mevzuatta eksikler ve sorular var. Uygulama boyutuda sorular var https://www.bilgiguveligi.gov.tr/mevzuat/turkiyede-bilisim-guveligiyle-ilgiliyasal-altyapii-aalizi-3.html - Kişisel Verileri Koruması - Ulusal Güvelik - Ceza Kauu Saal Suçlar - Borçlar Kauu - Medei Kau - Elektroik Haberleşme Kauu -.. Kauu - BDDK - Elektroik Belge Yöetimi - Bilgi Toplumu Stratejileri - Ülkemizde BG İki eteresa yazı : Türkiye de Devlet İtereti Bilmiyor - http://www.radikal.com.tr/yazarlar/guve_sak/turkiyede_devlet_itereti_bilmiyor- 1155720 AB Bilgi Güveliği Politikaları http://www.tk.org.tr/idex.php/tk/article/dowload/384/377 Ülkemizde BG Kalkıma Bakalığı Raporu Bilgi Toplumu Stratejisii Yeilemesi Projesi q Bilgi Güveliği, Kişisel Bilgileri Koruması ve Güveli İteret Eksei Mevcut Durum Raporu - Mayıs 2013 tarihli http://akgul.bilket. edu.tr/btstrateji/ mev cut /m - bilgi_guveligi_kisis el_ bilgil eri _k or u ma si_v e_ guv eli _i te re t.p df - Bazı bakalıklar büyeside siber güvelik kurulları oluşturma çalışmaları (2014) - Bilişim Suçlarıyla Mücadele Daire Başkalığı SORUNLAR : - Yasal altyapı soruları mevzuatlarla çözüm araıyor - İsa kayaklarıı BG kousudaki yetersizlikleri uygulama soruları oluşturuyor! (Özellikle adli vakalarda) - Kişisel verileri koruması ile ilgili aayasal güvece var, ama düzelemeler eksik. Bakacılık ve Telekom içi sektörel düzelemeler mevcut. - Avrupa Siber Suçlarla Mücadele sözleşmesi heüz yürürlükte değil (2013 sou) 8

Ülkemizde ISO27001 Uygulamaları Özel sektörde bazı ihalelerde kamu ihale kauua göre ihale aça kurum ve kuruluşlar ihale şartameleride ISO 27001 bilgi güveliği yöetim sistemi belgesi istemektedir. Bu zorululuk yapıla projei gizliliği güveliği üst düzeyde ise ihaleyi aça kuruluş ıso 27001 belgesii özellikle istemektedir. Öreği savuma saayi projelerie yöelik açıla ihalelerde gerek yazılım hizmeti vere gerekse ürü ürete satışıı yapa firmalarda bu belge istemektedir. Ülkemizde ISO27001 Uygulamaları Ayrıca Telekomüikasyo Kurumu tarafıda yapıla bir yetkiledirme çerçeveside elektroik haberleşme hizmeti sua ve/veya elektroik haberleşme şebekesi sağlaya ve alt yapısıı işlete sermaye şirketleri (Data Ceter) kurumları 20.07.2010 tarihie kadar ISO 27001 Bilgi Güveliği Yöetim Sistemi Belgesi alması zorulu hale getirilmiştir. Ülkemizde ISO27001 Uygulamaları Elektroik Haberleşme Yöetmeliğii ilgili maddesi; 11. maddesi ÜÇÜNCÜ BÖLÜM è İşletmecileri Yükümlülükleri MADDE 11 (1) İşletmeci, TS ISO/IEC 27001 veya ISO/IEC 27001 stadardıa uyguluğu sağlamakla yükümlüdür. Yetkilediri le işletmeciler yetkiledirme tarihide itibare bir yıl içeriside söz kousu stadarda uyguluğu sağlar. Belirtile süre içeriside söz kousu stadarda uyguluğu sağlayamaya işletmecilere Kurul tarafıda gerekli görülmesi halide ilave süre verilebilir. Özel sektörde gerek kamu ihalelerid e gerekse kamu ile stratejik alalarda iş birliği yapa kurum kuruluşları ISO 27001 Bilgi Güveliği Yöetim Sistemii kurmalarıı ve belgeledirme deetimie girerek ISO 27001 belgesii almaları gerekmektedir. 9

GÜMRÜK İŞLEMLERİNİN KOLAYLAŞTIRILMASINA İLİŞKİN GÜMRÜK GENEL TEBLİĞİ (29 Mart 2013) Kamu Kurumlarıda ISO 27001 Bilgi Güveliği Yöetim Sistemi Belgesi alıması zorululuğu? Kamu kurumlarıda geellikle özel sektörde farklı olarak ISO 27001 belgesii alıması zorulu değildir fakat aşağıda alatıla bazı kau ve yasalara göre her e kadar belgeledirme zorululuğu yok ise de ISO 27001 Bilgi Güveliği Yöetim Sistemii kurmaları zoruludur. Bilgi Güveliği Yöetim sistemi Kurmak içi kamu kurumlarıa dair çerçeve yasalar 10.12.2003 tarihli ve 5018 sayılı Kamu Mali Yöetimi ve Kotrol Kauuyla kamu malî yöetim sistemi tüm kamu kurumlarıda uluslararası stadartlar ve Avrupa Birliği uygulamalarıa uygu bir şekilde yeide düzelemesi ve bu kapsamda etki bir iç kotrol sistemii oluşturulması içi Maliye Bakalığı tarafıda hazırlaa ve 26.12.2007 tarihli ve 26738 sayılı Resmi Gazetede yayımlaa Kamu İç Kotrol Stadartları Tebliği ile kamu idareleride iç kotrol sistemii oluşturulması, uygulaması, izlemesi ve Geliştirilmesi amacıyla (18) stadart ve bu stadartlar içi gerekli (79) geel şart belirledi. Bu 79 geel şartta e az 10 şart bilgi güveliği sistemii kurumlarda oluşturulmasıı hedeflemektedir. 10

2003 / 48 sayılı Başbakalık Geelgesi ile yürürlüğe gire e- Döüşüm Türkiye Projesii 4.1.1. ici maddeside Bilgi Güveliği Yöetim Sistemii (BGYS) tüm kurumlarda kurulmasıı hedeflediği belirtilmektedir. 05/08/2005 tarihli ve 25897 sayılı Resmi Gazete de yayımlaa, 2005/20 sayılı Başbakalık Geelgesi ile çıkarıla Birlikte Çalışabilirlik Esasları Rehberide elektroik ortamda suula hizmetlerde başarı, güve ortamıı sağlamasıa bağlı olduğu vurgulamıştır. Bu da, güvelikle ilgili politika ve düzelemeleri geliştirilmesii gerektirir. 2006 / 38 sayılı Yüksek Plalama Kurulu Kararı yla oaylaa ve 28/07/2006 tarihli ve 26242 sayılı Resmi Gazete de yayımlaa Bilgi Toplumu Stratejisi Belgeside stratejik öcelikler arasıda yer ala bilgi güveliğii ülke geelide ve kamu kurumlarıda bilgi sistemleri ile elektroik iletişi m v e ağ bağlatılarıda güveliği sağlaması ve sürdürülmesi içi gerekli orgaizasyoel düzelemeleri gerçekleştirileceğide bahsedilmektedir. Ayrıca, bilgi güveliğii sağlaması içi yasal düzelemeleri yapılacağı da vurgulamaktadır. İÇ TETKİK Kotrol Et - PUKÖ ISO19011 : Kalite ve Çevre Yöetim Sistemleri Deetlemesi İçi İzleecek Yötemleri verildiği bir yardımcı kılavuz. q Tetkik : Tetkik delili elde etmek ve tetkik kriterlerii karşılama derecesii objektif olarak değerledirmek içi yapıla sistematik, bağımsız, belgeledirilmiş bir proses (ISO19011, Madde 3.1) 11

TETKİK TÜRLERİ İç Tetkik : Kedi sistemimizi deetliyoruz! Dış Tetkik : Bir tedarikçimizi deetliyoruz, ya da bir müşterimiz bizi deetliyor Dış Tetkik : Bağımsız bir tescil grubu tarafıda (TÜV, BVQI, BSI, TSE gibi) deetleiyoruz! ISO27001 İç Tetkik Stadardı 6.cı maddeside açıkladığı üzere; q Plalaa aralıklarla q Stadartlarla uyum q Bilgi Güveliği Gereksiimleri q Etki gerçekleştirme q Beklediği şekilde yerie getirile q Tetkik programı durumu ve öemi q Tetkikçileri kedi işlerii deetlememesi lazım q Süreç q Gecikmede yürütüle faaliyetler q Takip faaliyetleri alıa ölemleri doğrulaması q Souçları raporlaması İÇ TETKİK NASIL UYGULANIR? Bir Baş tetkikçi vardır. Açılış toplatısı, Tetkiki gerçekleştirilmesi, Bulguları gözde geçirilmesi ve raporlama. 12

Tetkikçii Nitelikleri Kararlı Israrcı Kedie güvee Etik Bilgili Açık fikirli Çok yölü Diplomatik Kavrayışlı Gözlemci TETKİKÇİ İLETİŞİMİ; Saki ve azik olmalı, Göz teması kurmalı, Hazırlıklı olmalı, Yapıla işle ilgilemeli, Vücut dilii kullamalı, Kouşma tou ve sesii ayarlamalı, Tartışmacı olmamalı. Tetkiki Başlatılması Bilgi güveliği iç tetkikleri, bir tetkik programıı kapsamlı hedeflerii bütüü içideki bir kısmı olabilir. q Hedefler q Kapsam q Kriterler 13

Tetkiki Kapsamı Boyut ve sıırları çizilmesi Hagi fiziksel yerleşimler Hagi bölümler Hagi faaliyetler Hagi süreçler Hagi bilgi varlıkları Tetkik Kriterleri Tetkik kriteri, uygulaabilir güvelik politikalarıı ve süreçlerii, stadartları, yasal ve düzelemelere tabi gereksiimleri içerecektir Tetkiki Hedefleri Bilgi Güveliği ile ilgili tüm dokümaları veya bir bölümüü tetkik kriterlerie e ölçüde uyduğuu belirlemesi Bilgi Güveliği ile ilgili tüm dokümaları uygulaabilir yasalar, yöetmelikler ve sözleşme gereksiimleri ile uyumluluğu Bilgi Güveliği ile ilgili tüm dokümaları belirtilmiş ola amaçları karşılayabilme açısıda etkiliğii değerledirme Dokümaları olası iyileştirme alalarıı belirleme 14

İç Tetkik ede gerekli? Güvelik politika ve süreçleriyle uyumu doğrulaması Bilgi Güveliği forumu ve yöetim içi tarafsız bilgi sağlaması Güvelik bilicii artması Güvelik ihlallerii oluşma riskii azaltılması İyileştirme fırsatlarıı belirlemesi Tetkik presipleri İyi Ahlaklılık Adil olmak gerçek ve doğru bildirimler! Profesyoellik titiz ve doğru karar verme Tarafsızlık her zama kaıt aramalı, bireyler eleştirilmemeli, kedileriyle tartışılmamalı Delile dayalı yaklaşım Bulgular hakkıda kişilere tetkik sırasıda bilgi verilmeli Souca ulaşmak içi kullaılabilecek stadart bir metotoloji Tetkik programı Tetkiki belli bir zama dilimi içide hagi programa uygu bir şekilde yürütüleceğii belirlemesi Özellikle tetkiki kapsamı (tetkik kapsamıdaki bilgi varlıkları, süreçler vb) ve tetkiki yapacak ola ekibi büyüklüğü ve iteliği programı şekillemeside çok öemli Tetkikçiler eğitimli ve yetki olmalı 15

Örek Tetkik Çizelgesi Bölüm Oca Şub Mar Nis May Haz Tem Ağu Eyl Eki Kas Ara İK X D Fias X D Pazarlama X D... Tetkik Sırasıda Kapsama dahil ola tüm Bölüm Yöeticileri kedilerie düşe sorumluluğu yerie getirmeli q İlgili persoeli gerektiğide erişilebilir olması q Tetkik programıa sorumluluklar/kayakl ar tahsis etme q Gerekli kayıtları erişilebilirliğii sağlaması Tetkik İçeriği Ageda / Aahtar Noktalar Açılış Toplatısı/Giriş Kapsam ve Süreçleri Araştırmak Sorumluluklar Uyum ve yasal hususlar İş sürekliliği Fiziksel kotroller Persoel güveliği Risk işleme Sistem kotrolleri Özetleme ve kapaış 16

Tetkik Hazırlığı Öceki tetkik bulguları Güvelik el kitapları, kılavuzlar, süreç taımları SOA Güvelik ihlal olayları raporları Uzmalarda alıabilecek görüşler doğrultusuda diğer bilgiler Başlagıç Noktası Güvelik Politikası q Değişiklikler q Gözde geçirmeler Kapsamı teyit edilmesi Değişiklikler ile ilgili risk değerledirmelerii gözde geçirilmesi Bölümlerde tüm kotrolleri asıl uyguladığı (politikalar, süreçler, prosedürler vb) q Etkilikleri asıl izleiyor? Güvelik ihlal olayları asıl tespit ediliyor? Sürekli iyileştirme ile ilgili kaıtlar Örek : Temiz Masa/Temiz Ekra Politikası Ekra e kadar zama sora temizleiyor? Ekralar şifre korumalı mı? Kotrol gerekliliği ile ilgili uyum/farkıdalıklık var mı? kaıt ara Bilgisayar ve masa başıda olumadığı zamalarda görülebilecek bilgiler? 17

Örekler Deliller Rastgele seçile durumlarda oluşturulabilir Tetkikçi tarafıda özellikle seçilmiş durumlarda oluşturulabilir Görüşüle kişilerle üzeride kararlaştırılmış durumlarda oluşturulabilir TETKİKÇİ ASLA VARSAYIMDA BULUNMAMALI! Delil detayları Nasıl Ne Nerede Ne zama Niçi (uygusuzluk ---) Kim roller ve pozisyolar yazılmalı, isim yazılmaz! Doğru Soru Sorma Ne Niçi Nerede Ne zama Nasıl Kim? Lütfe baa gösteri / baa söyleyi 18

Delilleri /Olguları Kaydetme Nesel kaıt q Okuaklı olmalı q Alaşılır içerikte olmalı, izi sürülebilmeli q Yeide ele alıabilir olmalı Bulguları Yazılması Özet bir tetkik raporu Belirlee uygusuzlukları listelemesi Gözlem ve öeriler Bulgular değerledirilirke... Güvelik politikaları Müşteri gereksiimleri Yasalar, düzelemeler Güvelikle ilgili dokümatasyolar (ör. risk degerledirme islem kayıtları, yöetim sorumlulugu, politika (Ör: temiz masa, iteret erisimi, kriptografi, erisim kotrolü vb.) Özel operasyoel dokümalar ve prosedürler, periyodik gözde geçirmeler Şirket stadartları ISO27001 19

UYGUNSUZLUK (Nocoformity) Bir güvelik alt politikasıı veya sürecii olmaması veya bu politikaya/sürece bağlılığı bulumaması sebebiyle bir güvelik ihlali olayıı oluşabilme ihtimalii olması ISO27001 maddelerii gerçekleştirilemiyor olması Majör Uygusuzluk Gerekli bir ISO27001 maddesii doğru şekilde adreslememiş olması edeiyle firma içi müşterileri üzeride etki yaratabilecek veya fiasal souçlar doğurabilecek bir güvelik ihlalie işaret edecek derecede büyük bir uygusuzluğu olması Miör Uygusuzluk Gerekli bir ISO27001 maddesii doğru doğru dokümate edilememiş ya da tam uygulaamıyor olması - firma içi müşterileri üzeride etki yaratabilecek veya fiasal souçlar doğurabilecek bir güvelik ihlalie işaret edecek derecede büyük bir uygusuzluk değil 20

Uygusuzluk Raporu Şuları İçerir : q Nerede buludu q Kaydedile tarih q Gereksiim eydi? (Politikaya ya da stadarda bağlaabilir) q Nesel kaıt edir? Açık ve tam olmalı Doğru, (tartışılmasız, gerçek) olmalı Az ve öz olmalı ISO27001 stadartlarıa refer etmeli KAPANIŞ TOPLANTISI; Tetkikçi,varsa daışma ve gerektiğide diğer yöeticiler de katılır, Kısa bir teşekkür kouşması yapılır, Uygusuzluklar objektif delillerle açıklaır, Tetkik souçları açıklaır, Olumlu yöler belirtilir. Uygusuzlukları Takibi Bulua uygusuzlukları daha sora şirket tarafıda kapatılması ve tetkikçii buu takip deetimleriyle görmesi gerekmektedir 21

BİLGİ GÜVENLİĞİ İHLAL OLAYI İş operasyolarıı tehlikeye atma ve bilgi güveliğii tehdit etme olasılığı ola tek ya da bir dizi istemeye ya da beklemeye bilgi güveliği olayları. Bilgi güveliği ihlal olaylarıı souçları maruz kala kurumları, az seviyede etkilemede, şirketleri kapamasıa kadar gidebilecek yüksek etki seviyeleride etkileyebilir. Bilgi güveliği ihlallerii çoğuluğu bilgi tekolojileri alaıda olsa da, başka alalarda da yaygı bir şekilde karşımıza çıkmaktadır. http://www.cozumpark.com/ ISO27001 Açısıda.. RİSK i HATIRLAYIN! qiformatio security cotrols are imperfect i various ways: cotrols ca fail, work partially, or be completely missig (e.g. ot implemeted or ot operatioal). qcosequetly, icidets are boud to happe sice prevetive cotrols are ot totally reliable ad effective. qmaagig icidets effectively ivolves detective ad corrective cotrols desiged to miimize adverse impacts, gather foresic evidece (where applicable) ad lear the lessos i terms of promptig improvemets to the ISMS, especially the implemetatio of more effective prevetive cotrols. qiformatio security icidets commoly ivolve the exploitatio of previously urecogised ad/or ucotrolled vulerabilities, hece vulerability maagemet (e.g. applyig relevat security patches to IT systems ad addressig cotrol weakesses i procedures) is part prevetive ad part corrective actio. 22

ISO27035:2011 BG İhlal olayları Yöetimi Yöergesi HAZIR OLMA TANIMLAMA KARŞILIK VERME DEĞERLENDİRME DERS ÇIKARMA ISO27001:2013 İHLAL OLAYLARI YÖNETİMİ Bilgi sistemleri ile ilişkili bilgi güveliği olayları ve zayıflıklarıı zamaıda düzeltici ölemleri alıabilmesie izi verecek şekilde bildirilmesii sağlamak. Bilgi güveliği olayları uygu yöetim kaalları aracılığıyla mümkü olduğu kadar hızlı biçimde rapor edilmelidir. Bilgi sistemleri ve hizmetlerii tüm çalışaları, yükleicileri ve üçücü taraf kullaıcılarıda, sistemler ve hizmetlerdeki gözlee veya şüpheleile herhagi bir güvelik zayıflığıı dikkat etmeleri ve rapor etmeleri istemelidir. Bilgi güveliği ihlal olaylarıı türleri, miktarları ve maliyetlerii ölçülüp izleebilmesii sağlaya mekaizmalar bulumalıdır. 23

İhlal Olayı Nasıl Yaklaşmalı Geel olarak, hedefler aşağıdaki usurları içermelidir: q İhlal olayı yaşaa faaliyetleri mümkü olduğuda çabuk bir şekilde eski yapısıa dödürebilmek q İhlali aa sebeplerii saptamak ve ortada kaldırmak q Kayıpları, mümkü olabildiği ölçüde, telafi etmek q (İlave maliyetleri ve karışıklıkları miimumda tutmak!) İhlal Olayı İhlal olayları (Icidets) herhagi bir yer ve zamada meydaa gelebilir Bir sürü çalışaı, ruti işleride alıkoyabilir. Şirket faaliyetleri hem ihlal olayı hem de ihlale cevap verilmesi sırasıda sekteye uğrayabilir (e.g. risk mitigatio, evidece acquisitio) Elemalarımız, geellikle, motivasyoları düşük bir şekilde çalışabilirler İhlal Olayı Yöetimi Olmazsa... Herşey yeide çalışmaya başladıkta sora, ihlal olayıı yok sayma ve edelerii ortada kaldırmama q We ve see compaies go back ito operatio while still compromised ad without removig vulerabilities Good reveue for us we get to come back ad fid the same compromise! q Lear from mistakes ad try ot to make it a blame game Paik olma ve aşırı reaksiyo gösterme Ara sıra ola garip olayları, saki ormal bir şeymiş gibi polise bildirme ve başka hiçbir aksiyoda bulumama Özesiz/dikkatsiz ve et olmaya bilgiler verme/ bilgiledirmeler yapma 24

Bilgi Güveliği Olayları ve Zayıflıklarıı Rapor Edilmesi AMAÇ : Bilgi sistemleri ile ilişkili bilgi güveliği olayları ve zayıflıklarıı zamaıda düzeltici ölemleri alıabilmesie izi verecek şekilde bildirilmesii sağlamak q Bilgi güveliği olaylarıı rapor edilmesi : Bilgi güveliği olayları uygu yöetim kaalları aracılığıyla mümkü olduğu kadar hızlı biçimde rapor edilmelidir q Güvelik zayıflıklarıı rapor edilmesi : Bilgi sistemleri ve hizmetlerii tüm çalışaları, yükleicileri ve üçücü taraf kullaıcılarıda, sistemler ve hizmetlerdeki gözlee veya şüpheleile herhagi bir güvelik zayıflığıı dikkat etmeleri ve rapor etmeleri istemelidir. Raporlama Nede İhlal olayıı Sebebi Ne İhlal olayıı kısa taımı Nasıl İhlal olayıı asıl olduğu Kim İhlal olayıı kimi gerçekleştirdiği Güvelik İhlali Müdahele Timi (Icidet Respose Team)? Deployig the Icidet Respose Team, evidece acquisitio ad assessmet of optios for limitig impact Icidets usually require a time-sesitive respose if staff do t kow what to do, critical iformatio ad optios may be lost Uder stress it is good to kow who is capable ad permitted to decide time-critical issues 25

Bilgi güveliği ihlal olayları ve iyileştirmeleri yöetilmesi AMAÇ : Amaç: Bilgi güveliği ihlal olaylarıı yöetimie tutarlı ve etkili bir yaklaşımı uygulamasıı sağlamak q q q Sorumluluklar ve prosedürler: Bilgi güveliği ihlal olaylarıa hızlı, etkili ve düzeli bir yaıt verilmesii sağlamak içi yöetim sorumlulukları ve prosedürleri oluşturulmalıdır. Bilgi Güveliği İhlal Olaylarıda Öğreme : Bilgi güveliği ihlal olaylarıı türleri, miktarları ve maliyetlerii ölçülüp izleebilmesii sağlaya mekaizmalar bulumalıdır. Kaıt Toplama : Bir bilgi güveliği ihlal olayıda sora bir kişi veya kuruluşa karşı alıa takip ölemi yasal eylem (ya sivil hukuk ya da ceza hukuku) içerdiğide, ilgili yargılama kurallarıda belirlemiş ola kaıt kuralları ile uyumlu şekilde kaıt toplamalı, tutulmalı ve suulmalıdır. Herkesle İletişim İçide olmak öemli!!!! - Commuicatios!!! Cosider havig a Icidet Operatios Hub (the War Room ) withspecific outgoig chaels ad messages Who are the authoritative sources for each type of iformatio? Exterally focused commuicatios Police (for discovered crimial acts) Media (what s the spi?) Customers (you may be legally or cotractually obligated to) Parter orgaisatios Ivestigative pursuit follow up/ search Due diligece (carefuless) /patiace Örek bir DÖFİ formuu iceleyelim (Ders web siteside idirilecektir) 26

2026 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim