O slideshow foi denunciado.
Utilizamos seu perfil e dados de atividades no LinkedIn para personalizar e exibir anúncios mais relevantes. Altere suas preferências de anúncios quando desejar.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi

Emre Erkıran

  • Seja o primeiro a comentar

ISO 27001 Bilgi Güvenliği Yönetim Sistemi

  1. 1. ISO 27001:2013 Bilgi Güvenliği Yönetim Sistemi TANITIM EĞİTİMİ
  2. 2. Bilgi Nedir? Bilgi, diğer önemli ticari varlıklar gibi bir işletme için değeri olan ve bu nedenle uygun olarak korunması gereken bir varlıktır. (Kaynak: ISO/ IEC 17799) Varlık: Kuruluşa önemi ve kuruluş için maddi bir değeri olan herşey Bilgi değişik formlarda bulunabilir • Bilgisayarlarda depolanan veri • Ağlar boyunca iletilen • Çıktılar • Fax ile gönderilen kağıtta yazanlar • Disklerde depolanan • Bantlarda tutulanlar • Karşılıklı telefon konuşmaları
  3. 3. Bilgi Tehditleri Hırsızlık, bilgisayar korsancılığı, sabotaj Virüs saldırıları İfşa Kayıp ya da hasar Bozulma Sistem / ağ kusuru Sınırsız erişim Model kontrol problemleri ISO/TC 176 onaylı yorumlar Dökümantasyon eksikliği Doğal felaketler – deprem, fırtına, yangın, etc.
  4. 4. En Büyük Tehdit Kaynağı Eğitimsiz ve bilinçsiz personeldir; • Virüs bulaştırabilir, • Ağ iletişim hatlarını konnektörlerinden çıkarılabilir ve koparılabilir, • Yazılımları veya verileri silebilir, çalışamaz hale getirebilir, • Donanıma zarar verebilir. • Dışarıya bilgi taşıyabilir. • Art niyet olmaksızın bilgiyi başkalarına aktarabilir
  5. 5. Bilgi Güvenliğine Yönelik Tehditler Güvenlik Tehditleri İnsan Doğal Felaketler Kötü Niyetli Kötü Niyetli Olmayan Kurum İçinden Dikkatsiz Kullanıcılar (Yangın, Deprem, Sel vb.) (Hacker, Rakip vb.) (Küskünler vb.) Dış Kaynaklı
  6. 6. Tehditler Şifreleri kırmak, Virüs yaymak, Truva atları yerleştirmek, Hizmeti engelleme atakları, Başkasının adına Elektronik Posta gönderme, Ağ ortamını dinlemek, Ağdaki paketleri değiştirmek, Yazılımlardaki açıklıklardan faydalanmak...
  7. 7. Muhtemel Zararlar Hizmetin belirli bir süre aksaması veya tamamen durması Kurum/Kuruluşun güvenilirliğini yitirme riski Personelin morali üzerinde olumsuz etkiler oluşması Bilinmesi istenmeyen bilgilerin açığa çıkması Bilgi Sistemine verilen maddi hasarlar Bilgi Sisteminin tekrar çalıştırılması için zaman kaybı Sistemde toplanan bilgilerin ve sistem yazılımlarının tahribi WEB sitesinin çökertilmesi
  8. 8. Virüs nedir? Bilgisayarı kullanan kişilerin bilgisi ve izni olmaksızın, üzerinde barındığı bilgisayar sisteminin çalışmasını kesintiye uğratmak ve zarar vermek amacıyla yazılmış program kodlarına bilgisayar virüsü denir.
  9. 9. Virüs Çeşitleri • Virüs’ler e-posta, veri taşıma ortamları (disket, cd, dvd, usb disk vb.), dosya paylaşım programları, sohbet programları ve web sayfaları ile yayılabilir (Melisa, CIH) • Solucanlar, Virüs’lerin kullandıkları yöntemlere ek olarak, uygulama/işletim sistemi zayıflıkları ile saldırılar düzenleyebilir ve bu şekilde de yayılabilir (Code Red, Nimda) • Truva Atları ancak ilgili uygulama çalıştırıldığında etkili olmaktadır. (Netbus, Subseven)
  10. 10. Diğer Tehlikeler Mantıksal Bombalar: Mantıksal Bomba saldırıları ile çeşitli uygulamalara yerleştirilen zararlı yazılımlar önceden ayarlanan zamanlarda veya uygulamanın belirli bir fonksiyonunun çalıştırılmasıyla tahribat oluşturmaktadırlar. Diğer saldırı tekniklerine aşağıda yer verilmiştir: Servisin devre dışı bırakılması (denial-of service) Şifre tespit saldırıları Güvenlik mimarisini değiştirme Hak ele geçirme Tahrip etme
  11. 11. ÜLKEMİZDE EN ÇOK KARŞILAŞILAN BİLİŞİM ŞUÇLARINDAN ÖRNEKLER • http://www.ihbarweb.org.tr/ • Başkalarının adına e-mail göndererek özellikle ticari ve özel ilişkileri zedeleme. • Başkalarının adına web sayfası hazırlamak ve bu web sayfasının tanıtımı amacıyla başkalarına e-mail ve mesaj göndermek ve bu mesajlarda da mağdur olan şahsın telefon numaralarını vermek. • Kişisel bilgisayarlar yada kurumsal bilgisayarlara yetkisiz erişim ile bilgilerin çalınması ve karşılığında tehdit ederek maddi menfaat sağlanması • Şirketlere ait web sayfalarının alan adının izinsiz alınması ve bu alan adlarının karşılığında yüklü miktarlarda para talep etmek. • Özellikle Pornografik içerikli CD kopyalamak ve satmak. • Sahte evrak basımı gibi çok farklı konuları içerebilmektedir.
  12. 12. Resmî Gazete • Sayı : 26530 KANUN İNTERNET ORTAMINDA YAPILAN YAYINLARIN DÜZENLENMESİ VE BU YAYINLAR YOLUYLA İŞLENEN SUÇLARLA MÜCADELE EDİLMESİ HAKKINDA KANUN
  13. 13. Bilgisayarınıza Gelen Mesajlara Kanmayın
  14. 14. Bilgisayarınıza Gelen Mesajlara Kanmayın
  15. 15. Bilgisayarınıza Gelen Mesajlara Kanmayın
  16. 16. Cep Telefonunuza Gelen Mesajlara Kanmayın
  17. 17. Cep Telefonunuza Gelen Mesajlara Kanmayın
  18. 18. Güvenlik Tedbileri • Kullanıcılar güvenlik ayarları yapılmış standart bilgisayar kullanmak. • Kullanıcı erişim yetkilendirmeleri “BİLMESİ GEREKEN” prensibine uygun yapmak. • Parola yönetimi, merkezi olarak yürütmek. • Kullanıcı bilgisayarları ve sunucu bilgisayarlarının güvenlik kontrolleri devamlı bir faaliyet olarak icra etmek. • Yazıcılar ağa bağlı olarak kullanmak. • E-posta kullanımına sınırlama getirmek, gelen ve giden e- postaların server kaydını tutulmak. • CD yazıcı ve disket sürücüleri azaltılarak yetki dahilinde kullanmak.
  19. 19. Güvenlik Tedbileri • Taşınabilir disk ve USB disk gibi veri depolama araçlarının kullanımı kontrol altına alımak. • Oluşturulan kullanıcı adı ve parola sistemi sayesinde yetkisiz kişilerin internete erişimleri engellemek. • Kullanıcı bilgisayarları üzerinde bulunan ve otomatik olarak güncellenen Anti Virüs Programı ile virüs kontrolü yapmak. • İnternette gezilen Web sayfalarından virüs yayılmasına karşı gerekli önlemler almak. • Güvenlik duvarı üzerinde web trafiği ile ilgili kayıtlar tutmak. • İçerik yönünden uygun olmayan Web sayfalarına erişimi engellemek.
  20. 20. Zararlı Kodların Belirlenmesi * Dosya büyüklüklerinin değişmesi, * Bozuk disk alanlarının görülmesi, * Diskteki boş yerin azalması, * Program yükleme sürelerinin artması, * Sistemin yavaşlaması, * Sabit disk ve sürücülerde anormal hareketler görülmesi (anormal yazma ve okuma işlemleri), * Hafıza (RAM) azalması, * Programların hata vermesi/çalışmaması, * ve çoğu zaman normal kullanıcıların hissedemeyeceği kadar sinsi belirtiler…
  21. 21. Bulaşma Belirtileri  Dosya büyüklüğü artar,  Performans düşüklüğü gözlenir,  Hatalı veya komik mesajlar alınır,  Yazılımda veya veride kayıplar oluşur,  Sabit disk veya disketler formatlanır,  Bilgisayarı açmakta (boot etmekte) zorluklar yaşanır.
  22. 22. Zararlı Kodlardan Korunmak İçin * İşletim sisteminizin güncel olduğundan emin olunuz. * Bilgisayarınızdaki anti-virüs programının güncel ve aktif halde olduğundan emin olunuz. * Bilmediğiniz e-posta ve eklerini açmayınız. * Kaynağı belirsiz programları bilgisayarınıza indirmeyiniz, kopyalamayınız ve çalıştırmayınız. * Anormal durumlarda hemen bilgisayarınızı kapatarak teknik personele ulaşınız.
  23. 23. Parola Güvenliği  Parolanızı en az sekiz karakterden oluşturun.  Seçmiş olduğunuz parola sizin hakkınızda kolaylıkla elde edilebilecek verilerden oluşmamalıdır. (doğ.tarihi, çocuk adları, araba plakası vb)  Parolanızı ortak olarak kullanmayınız. Her hangi bir güvenlik ihlalinde öncelikli olarak sorumlu olacağınızı unutmayınız.  Parolanızı harf, sayı ve noktalama işaretlerinin karışımından oluşturunuz.  Parolanızı klavye gibi kolaylıkla görünebilecek yerlere yazmayınız.  Parolaları kolay hatırlanabilecek sözlerin baş harflerinden oluşturmak en iyi yöntemdir.
  24. 24. Kullanıcıların Uyması Gereken Kurallar • Veri depolama ortamlarının (sabit disk, teyp vb.) bakım ve onarım maksadıyla firma dışına çıkarılmaması. • Lisanssız yazılım kullanılamaz. • Disket ve CD’ler içindeki bilginin gizlilik derecesine göre muhafaza edilmelidir. Etiketli olarak kullanılmalıdır. • Sistemler arası kontrolsüz bilgi transferi yapılamaz. • Bilgisayarınızın başından uzun süreli ayrılacağınız zaman bilgisayarınızı kapatınız. • Geçici olarak ayrılacağınız zaman bilgisayarınızın ekran koruyucusunu aktif hale getiriniz.
  25. 25. Kullanıcıların Uyması Gereken Kurallar • Evrakı veya dokümanı masa üzerinde veya başka bir yerde açıkta bırakılmamalıdır. • Müsvetteler, atılan nüshalar ve karbon kağıtları uygun şekilde imha edilmelidir. • Elektronik postalar ilgilileri ile bilmesi gerekenler dışına gönderilmemelidir. • Şahsi çanta ve eşyalar içinde şirket bilgilerini ihtiva eden evrak, doküman veya malzeme taşınmamalıdır. • Telefon cihazları ile yapılan konuşmalarda kendi duyacağı ses tonu ile konuşulmalıdır. • Güvenlik soruşturması temiz olmayanların işe alınmamalıdır. • İşinizi, işinizle ilgili bilgileri iş yerinden dışarıya çıkartmayınız.
  26. 26. Kullanıcıların Uyması Gereken Kurallar • SONUÇ: Bilgi güvenliğini korumaya yönelik olarak alınan teknolojik önlemler; çalışan bilinci ve uygun iş süreçleri ile desteklenmediği sürece yetersiz kalmaktadır.
  27. 27. BGYS Yararları  Rekabet avantajını, itibarı, güveni korur  Hukuki cezaları önler  Bilgi varlıklarını korur: Tasarımlar Tesciller Yazılım Elektronik dosyalar Ticari sırlar Finansal bilgi Kişisel bilgi
  28. 28. Bilgi Güvenliği Amaçları Gizliliğin Korunması – bilginin sadece erişim yetkisi verilmiş kişilerce erişilebilir olduğunun garanti edilmesi Bütünlüğün Korunması – bilginin ve işleme yöntemlerinin doğruluğunun ve bütünlüğünün temin edilmesi Elverişlilik – yetkilendirilmiş kullanıcıların, gerek duyulduğunda bilgiye ve ilişkili kaynaklara erişime sahip olabileceklerinin garanti edilmesi
  29. 29. BGYS nedir? Kuruluşun kritik bilgi varlıklarını güvence altına almak için kullandığı politikalar, standartlar, prosedürler, uygulamalar ve planlanan aktiviteler vb. Risk değerlendirme metodu Doküman kontrolleri ve prosesler Güvenlik bilinci, klavuz, eğitim ve yetkinlikler Araçlar ve ekipmanlar, güvenlik duvarları, virüs tarayıcıları, otomatik yönetim ve güvenlik izleme
  30. 30. BGYS nedir? Sistemin tasarımı ve nasıl uygulandığı aşağıdakilere bağlıdır: Kuruluşun ihtiyaçları ve amaçları Kuruluşun büyüklüğü ve yapısı Sahip olduğu ya da başkaları adına yürüttüğü bilgi duyarlılığı ve bilgi kritikliği Duyarlılık aşağıdakilerle ilgilidir Kayıp Yolsuzluk Hırsızlık İfşa Kesinti
  31. 31. BGYS nedir? BGYS; tedarikçileri, müşterileri ve diğer ilgili tarafları kapsamak adına kuruluşun dışına genişler Organizasyon, organizasyonun müşterileri ve tedarikçileri, başka ilgili taraflar arasında BGYS gereksinimleri konusunda bilginin sürekli, iki yol akışı vardır;karşılıklı beklentiler ve bilgi güvenlik yönetimi Uluslararası kabul görmüş bilgi güvenliğini yönetmeyi sağlayan bir standarttır
  32. 32. Bir kuruluş niçin BGYS kurmalıdır? Etkili bir BGYS kuran bir kuruluş bilgi güvenliği emniyeti konusunda güvenilirlik yaratır. Bu; kuruluş ve müşterileri için yüksek müşteri güveni, itimatı ve sürekli başarıyı sağlar. Güveni kazanmak ve ona zarar vermek çok uzun zaman ve çaba gerektirir.Ters bir güvenlik olayı kuruluşun imajına derin bir hasara sebep olabilir.
  33. 33. ISO 27001 Kapsamı ISO 27001 tüm bilgi varlıklarına uygulanabilir Kuruluşa ait –finansal bilgi ya da fikri mülkiyet olabilir Kişisel Bilgiler – personel verisi, tüketici /müşteri tarihi, müşteri dosyaları Kritik Bilgi Varlıklarına bağlı olarak kuruluş tarafından gerçek uygulama kapsamı tanımlanır BGYS politikası içinde kuruluş tarafından BGYS politikası ve spesifik amaçlar tanımlanır
  34. 34. Bilgi Güvenliği Hedefleri
  35. 35. Bilgi Güvenliği Gereksinimi • Bilgi sistemlerinin hayata geçmesiyle ortaya çıkan depolama ve işleme imkânlarının artması, izinsiz erişimler, bilginin yetkisiz imhası, yetkisiz değiştirilmesi veya yetkisiz görülmesi ihtimallerinin artması gibi hususlar nedeniyle bilgi güvenliği kavramı gündeme gelmektedir • Bilgi hangi biçime girerse girsin veya ne tür araçlarla paylaşılır veya depolanır olursa olsun, her zaman uygun bir şekilde korunmalıdır. • Bilgi sistemlerinin çoğu, bilgi saklanırken, paylaşılırken, gönderilirken güvenlik kaygıları düşünülerek tasarlanmamıştır.
  36. 36. Bilgi Güvenliği Yönetim Sistemi • Bilgi güvenliği ihlali ve buradan doğacak kayıpların riskini minimize etmek kurulan sistemlerin en başında BGYS gelmektedir. • BGYS, bilgi güvenliğini kurmak, işletmek, izlemek ve geliştirmek için iş riski yaklaşımına dayalı, dokümante edilmiş, işlerliği ve sürekliliği garanti altına alınmış bir yönetim sistemidir. • BGYS kurumunuzdaki tüm bilgi varlıklarının değerlendirilmesi ve bu varlıkların sahip oldukları zayıflıkları ve karşı karşıya oldukları tehditleri göz önüne alan bir risk analizi yapılmasını gerektirir.
  37. 37. ISO 27001 • BGYS, bağımsız kuruluşların ya da tarafların ihtiyaçlarına göre özelleştirilmiş güvenlik kontrollerinin gerçekleştirilmesi için gereksinimleri belirtir. BGYS’nin ihtiyaç duyduğu gereksinimlere cevap vermek için çok sayıda standart vardır. Bunların en önde geleni ISO 27001 standardıdır. • ISO 27001 kurumların bilgi güvenliği yönetim sistemi kurmaları için gereklilikleri tanımlayan tek denetlenebilir BGYS standardıdır. ISO 27001 ülkelere göre özel tanımlar içermeyen, genel tanımların bulunduğu uluslararası standardıdır. •ISO 27001 standardı; kuruluşların kendi bilgi güvenlik sistemlerini sağlamasını mümkün kılan teknoloji tarafsız, satıcı tarafsız yönetim sistemleri için bir çerçeve sağlar.
  38. 38. ISO 27001 • ISO 27001, kuruma uygun politikalar, prosedürler ve kılavuzlar oluşturmaya yol gösteren uluslararası kabul görmüş yapısal bir metodoloji sunar. • ISO 27001 sertifikası, kurumların güvenlik seviyesine ve kurumun konuya ciddi yaklaşımına ilişkin bir göstergedir.
  39. 39. ISO 27000 AİLESİ • Bilgi güvenliği ile ilgili olarak ISO 27000 serisi güvenlik standartları, kullanıcıların bilinçlenmesi, güvenlik risklerinin azaltılması ve de güvenlik açıklarıyla karşılaşıldığında alınacak önlemlerin belirlenmesinde temel bir başvuru kaynağıdır. Bu standartlar temel ISO’nun 9000 kalite ve 14000 çevresel yönetim standartlarıyla da ilgilidir. • ISO 27000 standardı, ISO 27000 standartlar ailesi ile ilgili kavramların açıklanmasını sağlayan ve bilgi güvenliği yönetimine yönelik temel bilgileri içeren bir standarttır.
  40. 40. Diğer İlgili Standartlar • ISO/IEC 13335: Bilgi Teknolojisi –ICT Güvenlik Yönetimi için Klavuz • 13335 bölüm 1 (2004) : ICT güvenlik kavramları ve modelleri • TR 13335 bölüm 3 :IT güvenlik yönetimi teknikleri • TR 13335 bölüm 4 :Önlemlerin seçimi • ISO/ IEC TR 18044:2004: IT Güvenlik Teknikleri — Bilgi Güvenlik İhlal Olayı Yönetimi • ISO 27006: BGYS Belgelendirmesi Yapan Kuruluşların Akreditasyon Klavuzu • ISO/IEC 19011:2011 - Yönetim Sistemi Denetimi için Klavuz
  41. 41. Diğer İlgili Standartlar • ITIL (Bilgi Teknolojisi Altyapı Kütüphanesi) • İngiliz Standardı BS 15000 • COBIT (Bilgi ve ilgili Teknoloji için Kontrol Amaçları) • ISO/IEC 20000 IT Servis Yönetimi için ilk uluslararası standart
  42. 42. PUKÖ Modeli • ISO 27001, BGYS’yi kurmak, işletmek, izlemek, gözden geçirmek, sürdürmek ve iyileştirmek için standart proses yaklaşımını benimsemiştir. •Bu proses yaklaşımı güvenlik önlemlerinin belirlenip kurulması, uygulanması, etkinliğinin gözden geçirilmesi ve iyileştirilmesi süreçlerini ve bu süreçlerin sürekli olarak tekrarlanmasını içerir. Bu süreçler Planla, Uygula, Kontrol et, Önlem al (PUKÖ) döngüsünden oluşan bir model olarak da ortaya konmuştur. • BGYS’de kurum kendine bir risk yönetimi metodu seçmeli ve risk işleme için bir plan hazırlamalıdır. Risk işleme için standartta öngörülen kontrol hedefleri ve kontrollerden seçimler yapılmalı ve uygulanmalıdır.
  43. 43. PUKÖ Modeli Planla: BGYS’nin kurulması Sonuçları kuruluşun genel politikaları ve amaçlarına göre dağıtmak için, risklerin yönetimi ve bilgi güvenliğinin geliştirilmesiyle ilgili BGYS politikası, amaçlar, hedefler, prosesler ve prosedürlerin kurulması. Uygula: BGYS’nin gerçekleştirilmesi ve işletilmesi BGYS politikası, kontroller, prosesler ve prosedürlerin gerçekleştirilip işletilmesi.
  44. 44. PUKÖ Modeli Kontrol Et: BGYS’nin izlenmesi ve gözden geçirilmesi BGYS politikası, amaçlar ve kullanım deneyimlerine göre proses performansının değerlendirilmesi ve uygulanabilen yerlerde ölçülmesi ve sonuçların gözden geçirilmek üzere yönetime rapor edilmesi. Önlem Al: BGYS’nin sürekliliğinin sağlanması ve iyileştirilmesi BGYS’nin sürekli iyileştirilmesini sağlamak için, yönetimin gözden geçirme sonuçlarına dayalı olarak, düzeltici ve önleyici faaliyetlerin gerçekleştirilmesi .
  45. 45. Proses Etkileşim Şeması
  46. 46. Güvenlik Kontrol Alanları ISO 27001:2013’de BGYS oluşturmada güvenlik için gereken 14 kontrol alanı ve 114 kontrolü tanımlayan bir uygulama kılavuzudur oluşturuldu
  47. 47. Sonuç • Kurumların güvenli bir ortamda faaliyet gösterebilmeleri için dokümante edilmiş bir BGYS’yi hayata geçirmeleri gerekmektedir. •Bu kapsamda ISO 27001 standardı tüm dünyada kabul görmüş ve en iyi uygulamaları bir araya getiren bir modeldir. •Kurumsal güvenlik için öncelikle yazılı olarak kurallar belirlenmelidir.
  48. 48. TEŞEKKÜRLER Emre ERKIRAN

×