Siber Güvenlik Risklerinin Tanımlanması / Siber Güvenlik Yönetişimi



Benzer belgeler
Sibergüvenlik Faaliyetleri

KURUM AĞLARINI ÖNEMLĠ ZARARLI YAZILIM SALDIRILARINDAN KORUMA. Osman PAMUK

SOME niz SOC unuz} siber olaylara hazır mı? VOLKAN ERTÜRK C EO & C O F O U N D E R BARİKAT II : Güvenliğin Temelleri

Mobil Güvenlik ve Denetim

İstanbul Bilişim Kongresi. Bilişim Yönetişimi Paneli CobiT ve Diğer BT Yönetim Metodolojileri Karşılaştırması. COBIT ve ISO 27001

ENDÜSTRİYEL KONTROL SİSTEMLERİNDE BİLİŞİM GÜVENLİĞİ YÖNETMELİĞİ NE İLİŞKİN HİZMETLER

Venatron Enterprise Security Services W: P: M:

AĞ ve SİSTEM GÜVENLİĞİ

BİLGİ SİSTEMLERİ YÖNETİMİ TEBLİĞİ

Linux Temelli Zararlı Yazılımların Bulaşma Teknikleri, Engellenmesi ve Temizlenmesi

MerSis. Bilgi Güvenliği Danışmanlık Hizmetleri

VII.BİLGİ TEKNOLOJİLERİ YÖNETİŞİM VE DENETİM KONFERANSI 3-4 MART 2016

BİLGİ GÜVENLİĞİ POLİTİKASI

EKLER. EK 12UY0106-4/A5-2: Yeterlilik Biriminin Ölçme ve Değerlendirmesinde Kullanılacak Kontrol Listesi

T. C. KAMU İHALE KURUMU

T. C. KAMU İHALE KURUMU

EKLER EK 12UY0106-5/A4-1:

İ.Ü. AÇIK VE UZAKTAN EĞİTİM FAKÜLTESİ Kullanıcı Deneyimi ve Kullanılabilirlik Değerlendirmesi Standardı

B2B E-Ticaret Siteleri ÖN ONAY KRİTERLERİ (6 sayfa)

Atılım Üniversitesi Bilgi & Đletişim Teknolojileri Müdürlüğü Bilgi Güvenliği ve Ağ Yönetim Uzmanı Görev Tanımı

Siber Güvenlik Ülkemizde Neler Oluyor?

KAMU SİBER GÜVENLİK GÜNÜNE HOŞGELDİNİZ

ANET Bilgi Güvenliği Yönetimi ve ISO Ertuğrul AKBAS [ANET YAZILIM]

İç Tetkik Soru Listesi

T. C. TÜRK STANDARDLARI ENSTİTÜSÜ

MerSis. Bilgi Teknolojileri Bağımsız Denetim Hizmetleri

Prosedür. Kalite Yönetim Sisteminde Neden gerçekleştirilecek?

İŞ SÜREKLİLİĞİ YÖNETİM POLİTİKASI

SOC unuz siber saldırılara hazır mı?

ÖZ DEĞERLENDİRME SORU LİSTESİ

ÇELİKEL A.Ş. Bilgi Güvenliği Politikası

BİLGİ GÜVENLİĞİ. Bu bolümde;

Elbistan Meslek Yüksek Okulu GÜZ Yarıyılı. Öğr. Gör. Murat KEÇECĠOĞLU

SİBER SUÇLARA KARŞI SİBER ZEKA

AĞ GÜVENLİĞİ DERSİ. Donanımsal ağ güvenliğini ve bakımını sağlamak Yazılımsal ağ güvenliğini ve bakımını sağlamak. Ağ Güvenliği (Donanım)

Geleceğin güçlü Türkiye'si için Türkiye'nin Geleceğine Öneriler

UE.18 Rev.Tar/No: /03 SAYFA 1 / 5

ĠSYS KURULUMU ve KRĠTĠK BAġARI FAKTÖRLERĠ. Ali DĠNÇKAN,CISA, Tübitak UEKAE Tel:

T. C. TÜRK STANDARDLARI ENSTİTÜSÜ

Uygulama Tabanlı Bilgisayar ve Ağ. Güvenliği Eğitimi: MSKÜ Deneyimi

SEÇKİN ONUR. Doküman No: Rev.Tarihi Yayın Tarihi Revizyon No 01 OGP 09 SEÇKİN ONUR BİLGİ GÜVENLİĞİ POLİTİKASI

KALİTE VE GIDA GÜVENLİĞİ SİSTEM KAYITLARI KONTROLÜ PROSEDÜRÜ

ORDU ÜNİVERSİTESİ BİLGİ İŞLEM DAİRESİ BAŞKANLIĞI HİZMET ENVANTERİ TABLOSU

HÜR VE KABUL EDİLMİŞ MASONLAR DERNEĞİ GİZLİLİK POLİTİKASI

KABLOSUZ AĞ GÜVENLİĞİNE KURUMSAL BAKIŞ

BİLGİ GÜVENLİĞİ POLİTİKASI

BİLGİ GÜVENLİĞİ VE BİLGİ İŞLEM PROSEDÜRÜ

HAKKIMIZDA. Misyonumuz; Vizyonumuz;

Hakkında ARGE SECOPS EĞİTİM MSSP SOME / SOC PENTEST. BGA Bilgi Güvenliği A.Ş.

Yazılım-donanım destek birimi bulunmalıdır.

HATAY KHB BILGI İŞLEM BİRİMİ

T.C. ANKARA ÜNİVERSİTESİ BELGE YÖNETİMİ VE ARŞİV SİSTEMİ STRATEJİSİ

Sisteminiz Artık Daha Güvenli ve Sorunsuz...

EKLER EK 12UY0106-5/A5-1:

Siber Savunma. SG 507Siber Savaşlar Güz 2014 Yrd. Doç. Dr. Ferhat Dikbıyık

İç Kontrol Uzmanı Pozisyonu İçin Doğru Kriterlere Sahip Olduğunuzdan Emin misiniz?

COBIT Bilgi Sistemleri Yönetimi. Şubat 2009

BT Güvenliği Güncel Durum ve Eğilimler Mert ÜNERİ Baş Uzman Araştırmacı

Bu dokümanla BGYS rollerinin ve sorumluluklarının tanımlanarak BGYS sürecinin efektif şekilde yönetilmesi hedeflenmektedir.

BİLGİ İŞLEM DAİRE BAŞKANLIĞI İŞ TANIMLARI SIRA NO ADI SOYADI GÖREV TANIMLARI

SÜRE BAŞLAMA TARİHİ : 19/12/2018 BİTİŞ TARİHİ : 20/02/2019 KURS SÜRESİ : 144 Saat KURS NO :

Ağ Trafik ve Forensik Analizi

BANKACILIK DÜZENLEME VE DENETLEME KURUMU (Bilgi Yönetimi Dairesi)

ĠÜ ONKOLOJĠ ENSTĠTÜSÜ BÜTÜNLEġĠK KALĠTE YÖNETĠM SĠSTEMĠ EL KĠTABI

RGN İLETİŞİM HİZMETLERİ A.Ş BİLGİ GÜVENLİĞİ POLİTİKASI

KURUM / KURULUŞ BİT KAPASİTESİ ŞABLONU REHBERİ

KALİTE YÖNETİM SİSTEMİ İş Sürekliliği

BÖLÜM 8. Bilişim Sistemleri Güvenliği. Doç. Dr. Serkan ADA


Siber Güvenlik Basın Buluşması. C.Müjdat Altay 15 Haziran 2015

12 NİSAN 2017 İÇ KONTROL STANDARTLARI EĞİTİMİ ÖN TEST SORULARI

Siber Teröristlere Karşı Kurumlar Nasıl Korunmalıdır? Yusuf TULGAR NetDataSoft Genel Müdürü

BÜYÜK KAZA ÖNLEME POLİTİKA BELGESİ TEBLİĞİ TASLAĞI BİRİNCİ BÖLÜM

ISO Kurumsal Bilgi Güvenliği Standardı. Şenol Şen

BİLGİSAYAR GÜVENLİĞİ BİLGİSAYAR GÜVENLİĞİ BİLGİSAYAR GÜVENLİĞİ

1. İŞLETMECİ BİLGİ GÜVENLİ YÖNETİM SİSTEMİ (BGYS) KURULACAK VE İŞLETECEKTİR.

POL.01 Rev.Tar/No: /1.0 HĠZMETE ÖZEL

MEY İÇKİ SAN. VE TİC. A.Ş. KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI

ULUSAL SİBER GÜVENLİK STRATEJİ TASLAK BELGESİ

EMNİYET YÖNETİM SİSTEMİ DENETİMİ KONTROL FORMU

Bilgi ve Bilgisayar Sistemleri Güvenliği (Information and Computer Systems Security)

Türkiye İç Denetim Kongresi, 11 Kasım Sosyal Medya Riski ve Denetimi. Doğan Tanrıseven EY Danışmanlık Hizmetleri, Direktör

Elektrik Altyapılarında Bilgi Güvenliği Riskleri ve Çözümler

Ulusal Mevzuat. 2 Nükleer Güvenlik Forumu, Ankara

İÇ KONTROL SİSTEMİ STRATEJİ GELİŞTİRME BAŞKANLIĞI

KKB Kredi Kayıt Bürosu

OLGUN ÇELİK A.Ş. GİZLİLİK POLİTİKASI

YENİ NESİL SİBER GÜVENLİK OPERASYON MERKEZİ (SGOM) Koruma, Tespit, Müdahale ve Tahmin. BARİKAT BİLİŞİM GÜVENLİĞİ Murat Hüseyin Candan Genel Müdür

ACİL SAĞLIK HİZMETLERİ GENEL MÜDÜRLÜĞÜ HİZMET BİRİMLERİ VE GÖREVLERİ HAKKINDA YÖNERGE. BİRİNCİ BÖLÜM Amaç, Kapsam, Dayanak ve Tanımlar

Teknoloji Trendleri, Veri Merkezleri ve Uyum

SIRA NO SORUMLU BİRİM FAALİYET SORUMLU DURUM AÇIKLAMA

ÇEMTAŞ ÇELİK MAKİNA SANAYİ VE TİCARET ANONİM ŞİRKETİ KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI

LABORATUVAR YÖNETİMİNİN TEMEL UNSURLARI

MERRILL LYNCH MENKUL DEĞERLER A.Ş. YASAL BİLGİLENDİRME

1. AMAÇ Bu Prosedürün amacı, Aksaray Üniversitesi bünyesinde yürütülen bilgi işlem hizmetlerinin yürütülmesi ile ilgili esasları belirlemektir.

BİRİM KALİTE GÜVENCESİ DEĞERLENDİRME RAPORU. Bilgi İşlem Daire Başkanlığı

w w w. n a r b u l u t. c o m

Elektronik Haberleşme Sektöründe Şebeke ve Bilgi Güvenliği Yönetmeliği. 13 Temmuz 2014 PAZAR Resmî Gazete Sayı : sayılı Resmi Gazete de

Transkript:

KURUMLAR İÇİN SİBER GÜVENLİK ÖNLEMLERİNİ ÖLÇME TESTİ DOKÜMANI Kurumlar İçin Siber Güvenlik Önlemlerini Ölçme Testi Dokümanı, kamu kurum ve kuruluşları ile özel sektör temsilcilerinin siber güvenlik adına almış olduğu önlemleri ve çalışmaları ölçmek amaçlı olarak hazırlanmıştır. Belirtilen sorulara verilen cevaplar ile Kurumunuzun siber güvenlik ve tehditler ile ilgili içinde bulunduğu durumu ayrıntılı olarak görme fırsatı doğacağı ve muhtemel siber güvenlik tehditlerine karşı daha etkili bir savunma sistemi kurulmasına neden olacağı değerlendirilmektedir. Ayrıca, bahse konu dokümanda yer alan sorulara karşılık gelen cevap veya cevapları herhangi bir kurum ile paylaşma zorunluluğu bulunmamaktadır. Bu dokümanda yer alan 17 adet soruya verilecek cevaplar ile siber güvenliğin yönetişimi, siber güvenlik risklerinin ölçülmesi ve tanımlanması, bilgi sistemleri ve ağların korunması, ağlarda meydana gelebilecek kimliği ve nedeni tespit edilemeyen hareketlerin tespiti ve bazı siber güvenlik tehditleri ile ilgili tecrübeler hakkında ayrıntılı ve genel bir değerlendirme fırsatı elde edilmiş olunacaktır. Son olarak, bahse konu dokümanın hazırlanmasında, Framework for Improving Critical Infrastructure Cybersecurity, Cybersecurity Examination Initiative ve Report on Cybersecurity Practices adlı dokümanlardan faydalanılmıştır. Siber Güvenlik Risklerinin Tanımlanması / Siber Güvenlik Yönetişimi 1. Aşağıda belirtilen ve kurumunuz tarafından bilgi güvenliği varlıklarının yönetimi amacıyla uygulanan her bir madde ile ilgili belirtilen işlemin; En son yapıldığı tarih, Gerçekleştirilme sıklığı, Gerçekleştirilmesinden sorumlu olan grup veya kişi, İşlemin kurum tarafından gerçekleştirilen kısımları (işlemin tamamı kurum tarafından gerçekleştirilmiyor ise) bilgilerini göz önünde bulundurarak gerekli alanlara ait cevapları belirtiniz. Kurum içerisinde yer alan fiziksel cihazlar ve sistemler hakkında envanter tutulması. Kurum içerisinde yer alan yazılım platformları ve uygulamalar hakkında envanter tutulması. 1/5

Ağ kaynakları, bağlantılar ve veri akışına ait haritalama ve ayrıntılı planlamanın oluşturulması veya güncellenmesi. Kurumun ağına bağlantılı dış kaynakların listelenmesi. Kaynakların (donanım, veri ve yazılım) önemine ve değerine göre korumak için önceliklendirilmesi. İz kaydı kapasitesinin ve uygulamalarının; yeterlilik, uygun saklama ve süreklilik kıstaslarını göz önünde bulundurarak belirlenmesi ve değerlendirilmesi. 2. Kurumunuza ait yazılı bilgi güvenliği politikasını belirtiniz. 3. Kurumunuz tarafından; siber güvenlik tehditlerini, açıklıklarını ve potansiyel sonuçlarını tespit etme adına periyodik olarak risk değerlendirilmesi yapılmakta mıdır? Eğer yapılıyorsa, a. Kim tarafından yapılıyor ve hangi tarihte en güncel değerlendirme yapılmıştır? b. En güncel risk değerlendirmenizden çıkan sonuçlar (hiçbir şey bulunamadı/ortalama/ yüksek risk) nelerdir? 4. Kurumunuz tarafından; siber güvenlik sorununa sebep olacak fiziksel siber güvenlik tehditlerini ve açıklıklarını tespit etme adına periyodik olarak risk değerlendirilmesi yapılmakta mıdır? Eğer yapılıyorsa, a. Kim tarafından yapılıyor ve hangi tarihte en güncel değerlendirme yapıldı? b. En güncel risk değerlendirmenizden çıkan sonuçlar (hiçbir şey bulunamadı/ortalama/ yüksek risk) nelerdir? 5. Kurumunuzda çalışanlar ve yöneticiler için siber güvenlik görevleri ve sorumlulukları açık ve detaylı olarak belirtilmiş ve atanmış ise, bunları detaylı olarak yazınız. 6. Herhangi bir siber güvenlik vakasının etkilerini azaltma ve/veya siber güvenlik vakasının ardından normal çalışma sürecine tekrar dönme adına kurumunuza ait yazılı iş sürekliliği sağlama dokümanını belirtiniz. 7. Kurumunuzda siber güvenlikten sorumlu ve yetkili bir yönetici (Chief Information Security Officer) veya eş değer bir pozisyon var mıdır? Eğer varsa, kişinin özellikleri ve sorumluluğu nedir? Eğer yok ise, kurumda muhtemel olabilecek bir siber güvenlik vakasında sorumlu/yetkili kim olacaktır? 8. Kurumunuza ait iş süreçlerine özgü en uygun siber güvenlik tedbirlerinin belirlenmesi nasıl yapılmaktadır? 2/5

9. Kurumunuzda, gerçekleşebilecek siber güvenlik vakasının ardından zararları ve harcamaları kapsayacak bir sigortalama mevcut mudur? Eğer mevcut ise, anılan bu sigortanın kapsamını ve içeriğini belirtiniz. Kurumların Bilgi Sistemlerinin ve Ağlarının Korunması 10. Kurumunuz tarafından, bilgi güvenliği mimarisi ve süreçlerini modellemek için Türk Standartları Enstitüsü (TSE) veya Uluslararası Standartlar Örgütü (ISO) gibi kurumların yayımlamış olduğu Siber Güvenlik Risk Yönetim Süreci ile ilgili standartları konu alan dokümanlar kullanılmakta mıdır? 11. Aşağıda belirtilen her bir maddede, kurumunuz tarafından bilgi sistemlerinin ve ağlarının korunması için uygulanan politikaları ve prosedürleri yazılı olarak belirtiniz. Kurumunuz tarafından çalışanlarına, bilgi güvenliği riskleri ve sorumlulukları hakkında yazılı kılavuz ve/veya periyodik eğitim verilmekte midir? Cevabınız evet ise, anılan bu eğitimler ve/veya dokümanlar nelerdir ve en son hangi tarihte, hangi konularda düzenlenmiş ve kimlere verilmiştir? Kurumunuz tarafından, kuruma ait ağlarda meydana gelen veya meydana gelebilecek herhangi bir yetkisiz erişim teşebbüsü veya normal olmayan bir hareket tespiti adına kontrol araçları mevcut mudur? Cevabınız evet ise, anılan bu kontrolleri belirtiniz. Kurumunuz tarafından; işlerin sürekliliği ve ağlara zarar gelmemesi adına, kullanıcıların bu ağları kullanması kısıtlanmış mıdır? Cevabınız evet ise, hangi tür kontroller sebebi ile hangi kısıtlamalar yapılmıştır? Kurumunuz tarafından, kendi çalışma ortamından bağımsız bir biçimde işletilen ve kurumda kullanılan yazılımları ve uygulamaları test etmekte kullanılan başka bir ortam mevcut mudur? Cevabınız evet ise, detaylandırınız. Kurumunuz tarafından, benimsenen ve sürdürülen temel donanım ve yazılım yapılandırma ayarları bulunmakta mıdır? Cevabınız evet ise, kullanıcıların bu temel yapılandırma ayarlarını, yetkililerin izni ve onayı olmadan değiştirmeleri engellenmiş midir? Kurumunuzda, Bilgi Teknolojileri (Information Technologies IT) varlıklarının sökülmesi, transfer edilmesi ve yerleştirilmesi adına oluşturulmuş bir süreç yönetimi planı mevcut mudur? Cevabınız evet ise, detaylandırınız. 3/5

Kurumunuzda, güvenlik açıklarına karşılık gelen yazılım yamalarının periyodik olarak yüklenmesini de içeren, düzenli bir sistem bakım süreci mevcut mudur? Cevabınız evet ise, detaylandırınız. Kurumunuzun bilgi güvenliği politikalarında ve eğitimlerinde, taşınabilir ve mobil medya kullanımı hakkında bilgi var mıdır? Cevabınız evet ise, detaylandırınız. Kurumunuzun internete açılan IP adreslerine yönelik gerçekleşebilecek DDoS atağına karşı alınmış önlem var mıdır? Cevabınız evet ise, alınan koruma önlemlerinin neler olduğunu ve bu koruma önlemlerinden kimin sorumlu olduğunu belirtiniz? Kurumunuza ait yazılı bir veri imha politikası var mıdır? Cevabınız evet ise, detaylandırınız. Kurumunuza ait yazılı siber olaylara müdahale politikası mevcut mudur? Cevabınız evet ise, en son hangi tarihte güncellendiğini belirtiniz. Kurumunuza ait siber olaylara müdahale politikası düzenli olarak tatbikatlar ve testler ile değerlendirilmekte midir? Cevabınız evet ise, bu değerlendirmeler en son hangi tarihte ve kimin tarafından yapılmıştır? Kurumunuz tarafından, yedekleme sisteminin düzgün çalışıp çalışmadığı periyodik olarak test edilmekte midir? Cevabınız evet ise, en son hangi tarihte test edilmiştir? 12. Kurumunuz tarafından şifreleme kullanılmakta mıdır? Cevabınız evet ise, hangi kategorilerde ve şartlarda veri, iletişim ve cihazlar şifrelenmektedir? 13. Kurumunuz tarafından, düzenli olarak bilgi güvenliği politikalarının uygunluğu denetlenmekte midir? Cevabınız evet ise, en son denetleme ne zaman ve kimin tarafından gerçekleştirilmiştir? 14. Kurumunuza ait web sitesi veya ağlarına son bir yıl içinde DDoS (Distributed Denial of Service) atağına maruz kalmış mıdır? Cevabınız evet ise, saldırının süresi ve kurumunuza etkisini belirtiniz. Kurum Ağlarında, Yetkisiz Erişim Eylemlerinin Tespit Edilmesi 15. Kurumunuz ağlarında meydana gelen veya gelebilecek yetkisiz erişim eylemlerini tespit etmek için aşağıda belirtilen maddelerin nasıl ve kim(ler) tarafından yerine getirildiğini belirtiniz. 4/5

Yetkisiz erişim eylemlerini tespit etmek ve raporlamak için spesifik sorumlulukların atanması ve tanımlanması, Kurum ağlarında gerçekleşmesi normal karşılanan olayların belirlenmesi, Farklı kaynaklar üzerinden elde edilen iz kayıtları ile verinin toplanması ve ilişkilendirilmesi (korelasyon), Önceden belirlenmiş siber olay alarmlarının ve bunlara karşılık gelen eşik değerlerinin belirlenmesi, Kurum ağlarının yaşanması muhtemel siber olaylara karşı sürekli olarak gözlemlenmesi, Kurum ağlarında çalışan muhtemel zararlı kodları tespit etmek için yazılım (Anti-Virüs vb.) kullanılması, Kurumun ağlarında bulunan yetkisiz kullanıcıların, cihazların, bağlantıların ve yazılımların izlenmesi, Veri kaybı engelleme yazılımlarının kullanılması, Kurum ağlarına yönelik sızma testlerinin ve zafiyet arama çalışmalarının gerçekleştirilmesi, Siber olay tespit süreçlerinin doğruluğunun gözden geçirilmesi, Kurumun siber güvenlik politikaları ve ölçütlerin geliştirilebilmesi için, siber olayların analiz edilmesi. 16. Kurum bilgisayarlarında ve/veya ağlarında, son bir yıl içinde tespit edilen zararlı yazılım(lar) oldu mu? Cevabınız evet ise, zararlı yazılım(lar)ın hangi hizmetleri etkilediğini, ne kadar süre kurum ağlarında çalıştığını, kurum ağlarına nasıl bulaştığını ve özelliklerini belirtiniz. 17. Kurum ağlarından, son bir yıl içerisinde yetkisiz kullanıcılar tarafından bilgi kaçırılmasına yönelik herhangi bir olay gerçekleşti mi? Cevabınız evet ise, yetkisiz kullanıcının kurum ağlarına nasıl sızdığını, kurum ağlarında ne kadar süre kaldığını, anılan saldırının sonuçlarını, kurumun bu saldırıyı nasıl öğrendiğini ve bu saldırıya karşı nasıl karşılık verildiğini belirtiniz. 5/5

2024 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim