Upload
others
View
11
Download
0
Embed Size (px)
Citation preview
Y B S 4004 Sistem Güvenliği
ISO 27001 BGYS
Hazırlayan: Dr. Öğr. Üyesi Mete Eminağaoğlu
Y B S 4004 Sistem Güvenliği
• Bilgi Güvenliği – Temel Kavramlar• ISO 27001 Nedir?• ISO 27001 Alanları ve ilgili Kontroller• ISO 27001’de Bilgi Güvenliği Yönetim Sistemi• ISO 27001 Sertifikasyon Süreci• ISO 27001’in Faydaları• Örnek Uygulamalar
SUNUM PLANI
Y B S 4004 Sistem Güvenliği
Bilgi Güvenliği – Temel Kavramlar
Bilgi:
Bilgi, bir kurum, şirket, vb için değer ifade eden ve sürekli güvenliğinin
sağlanması gereken varlıktır.
BS ISO 17799:2000
Bilgi birçok halde ve durumda bulunabilir ve işlenebilir. Bir kağıda
yazılmış, çıktı halinde, elektonik ortamda saklanabilir, elektronik
ortamda, posta yoluyla veya konuşurken iletilebilir.
Y B S 4004 Sistem Güvenliği
Güvenlik yönetimi ve bilgi güvenliğinin en genel kapsamda temel amacı:
Şirketlerin elektronik ortamda bulunan her türlü veri ve bilgisinin;
Gizliliğini (Confidentiality), Bütünlüğünü (Integrity), Erişilebilirlik / sürekliliğini (Availability)
...sağlamaktır.
Y B S 4004 Sistem Güvenliği
Y B S 4004 Sistem Güvenliği
Şirket
Stratejileri
GüvenlikPolitikaları, Standartları,
Prosedürleri
Güvenlikle ilgili Çözümler, Uygulamalar, Teknolojik Altyapı
Uyum, Bilinç, Bilgilendirme, Şirket bütününde yaygınlaşması
Erişilebilirlik / Kullanılabilirlik (Availability)
Y B S 4004 Sistem Güvenliği
Eğitim
Uygulama
Güvenlik
Politikaları,
Prosedürleri,
Standartları
BGYSSüreç
Döngüsü
Y B S 4004 Sistem Güvenliği
Bilgi Güvenliği sürecini sağlamada farklı yöntemler ve yapılanma şekilleri uygulanabilir.
Tüm yöntemler ve standartların ortak noktası, sürecin yönetilmesi, uygulanması, güncellenmesi,
sürekli canlı ve etkin kılınmasıdır.
Y B S 4004 Sistem Güvenliği
Bilgi Güvenliği Yönetimi ve Denetiminde, belli başlı standartlar ve en çok bilinen, uygulanan evrensel modeller:
ISO 27001 (eski BS 7799:1,2, ISO 17799)
COBIT
ISACA
ITIL
GASSP
HIPAA
SOX
Y B S 4004 Sistem Güvenliği
ISO 27001
BS 7799-1:1999
BS 7799-2:1999, 2002
ISO 17799:2000
BS 7799-2:2002 Spec. for ISMS (also audits)
ISO / IEC 17799:2000 Code of Practice for ISMS
ISO / IEC 27001:2005 Code of Practice for ISMS
Y B S 4004 Sistem Güvenliği
ISO 27001;
Measurable,Scalable,
Repeatable
Teknik Standart değildir
Teknoloji bağlantılı değildir
Common Criteria, vb amaçlı değildir
BGYS (İng. ISMS) altında bir “Framework” olarak oluşturulmuştur.
11 Alan (Domain)
39 Kontrol Amacı
133 Kontrol
Y B S 4004 Sistem Güvenliği
ISO 27001 ALANLARI (DOMAINS)
1. Güvenlik Politikası
2. Bilgi Güvenliği Organizasyonu
3. Varlık Yönetimi
4. İnsan Kaynakları Güvenliği
5. Fiziksel ve Çevresel Güvenlik
6. Haberleşme ve İşletim Güvenliği
7. Erişim Kontrolü
8. Bilgi Sistemleri Edinim, Geliştirme ve Bakımı
9. Bilgi Güvenliği İhlal Olayı Yönetimi
10. İş Sürekliliği Yönetimi
11. Yasal Uyum
Y B S 4004 Sistem Güvenliği
ISO 27001 KONTROLLER
A.5.1 Bilgi Güvenliği Politikası
A.5.1.1 Bilgi Güvenliği politika dökümanı
A.5.1.2 Gözden geçirme ve değerlendirme
Y B S 4004 Sistem Güvenliği
ISO 27001 KONTROLLER
A.6 Bilgi Güvenliği Organizasyonu
A.6.1 İç OrganizasyonA.6.1.1 Yönetimin bilgi güvenliğine bağlılığıA.6.1.2 BG KoordinasyonuA.6.1.3 BG - Sorumlulukların atanmasıA.6.1.4 Bilgi işleme için yetki süreciA 6.1.5 Gizlilik anlaşmalarıA.6.1.6 Otoritelerle iletişimA.6.1.7 Özel faaliyet grupları ile iletişimA.6.1.8 BG’nin bağımsız birimlerce gözden geçirilmesi ve denetimi
Y B S 4004 Sistem Güvenliği
ISO 27001 KONTROLLER
A.6 Bilgi Güvenliği Organizasyonu
A.6.2 Dış Taraflar
A.6.2.1 Risklerin tanımı / belirlenmesiA.6.2.2 Müşterilerle ilgilenirken güvenliği ifade etmeA.6.2.3 Üçüncü şahıs anlaşmalarında güvenliği ifade etme
Y B S 4004 Sistem Güvenliği
ISO 27001 KONTROLLER
A.7 Varlık (Asset) Yönetimi
A.7.1 Varlıkların Sorumluluğu
A.7.1.1 Varlıkların EnvanteriA.7.1.2 Varlıkların SahipliğiA.7.1.3 Varlıkların kabul edilebilir kullanımı
Y B S 4004 Sistem Güvenliği
ISO 27001 KONTROLLER
A.7.2 Bilgi Sınıflandırması
A.7.2.1 Sınıflandırma kılavuzları
A.7.2.2 Bilgi etiketlemesi ve işleme
Top Secret
Secret
Confidential
Sensitive but unclassified
Unclassified
Sensitive but unclassified
until 1/1/2007
Y B S 4004 Sistem Güvenliği
ISO 27001 KONTROLLER
A.8 İnsan Kaynakları Güvenliği
A.8.1 İstihdam Öncesi
A.8.1.1 Roller ve sorumluluklar
A.8.1.2 Referans tarama
A.8.1.3 İstihdam koşulları
Y B S 4004 Sistem Güvenliği
A.8 İnsan Kaynakları Güvenliği
A.8.2 Çalışma Esnasında
A.8.2.1 Yönetim sorumluluklarıA.8.2.2 Bilgi güvenliği farkındalığı, eğitim ve öğretimiA.8.2.3 Disiplin süreçleri
Y B S 4004 Sistem Güvenliği
ISO 27001 KONTROLLER
A.8 İnsan Kaynakları Güvenliği
A.8.3 İstihdamın sonlandırılması veya değiştirilmesi
A.8.3.1 Sonlandırma sorumluluklarıA.8.3.2 Varlıkların iadesiA.8.3.3 Erişim haklarının kaldırılması
Y B S 4004 Sistem Güvenliği
ISO 27001 KONTROLLER
A.9 Fiziksel ve Çevresel Güvenlik
A.9.1 Güvenli Bölgeler
A.9.1.1 Fiziksel güvenlik çevresiA.9.1.2 Fiziksel giriş kontrolleriA.9.1.3 Oda, ofis, fasilite güvenliğiA.9.1.4 Dış ve çevresel tehditlere karşı korumaA.9.1.5 Güvenli alanlarda çalışmaA.9.1.6 Açık erişim, dağıtım ve yükleme alanları
Y B S 4004 Sistem Güvenliği
ISO 27001 KONTROLLER
A.9 Fiziksel ve Çevresel Güvenlik
A.9.2 Ekipman Güvenliği
A.9.2.1 Teçhizat yerleştirme ve korumaA.9.2.2 Destek hizmetleri A.9.2.3 Kablolama güvenliğiA.9.2.4 Teçhizat bakımıA.9.2.5 Kuruluş dışındaki teçhizatın güvenliğiA.9.2.6 Teçhizatın güvenli olarak elden çıkarılması ya da tekrar
kullanımıA.9.2.7 Mülkün kurum dışına çıkarılması
Y B S 4004 Sistem Güvenliği
ISO 27001 KONTROLLER
A.10 Haberleşme ve İşletim Yönetimi
A.10.1 Operasyonel prosedürler ve sorumluluklar
A.10.1.1 Dokümante edilmiş işletim prosedürleriA.10.1.2 Değişim yönetimiA.10.1.3 Görev ayrımlarıA.10.1.4 Geliştirme, test ve işletim olanaklarının ayrımı
Y B S 4004 Sistem Güvenliği
ISO 27001 KONTROLLER
A.10 Haberleşme ve İşletim Yönetimi
A.10.2 Üçüncü taraf hizmet sağlama yönetimi
A.10.2.1 Hizmet sağlamaA.10.2.2 Üçüncü taraf hizmetleri izleme ve gözden geçirmeA.10.2.3 Üçüncü taraf hizmetlerdeki değişiklikleri yönetme
Y B S 4004 Sistem Güvenliği
ISO 27001 KONTROLLER
A.10 Haberleşme ve İşletim Yönetimi
A.10.3 Sistem planlama ve kabulü
A.10.3.1 Kapasite planlamasıA.10.3.2 Sistem kabulü
Y B S 4004 Sistem Güvenliği
ISO 27001 KONTROLLER
A.10 Haberleşme ve İşletim Yönetimi
A.10.4 Zararlı ve mobil kodlara karşı koruma
A.10.4.1 Zararlı koda karşı kontrollerA.10.4.2 Mobil koda karşı kontroller
Y B S 4004 Sistem Güvenliği
ISO 27001 KONTROLLER
A.10 Haberleşme ve İşletim Yönetimi
A.10.5 Yedekleme
A.10.5.1 Bilgi Yedekleme
Y B S 4004 Sistem Güvenliği
ISO 27001 KONTROLLER
A.10 Haberleşme ve İşletim Yönetimi
A.10.6 Ağ Güvenliği Yönetimi
A.10.6.1 Ağ kontrolleriA.10.6.2 Ağ hizmetleri güvenliği
Y B S 4004 Sistem Güvenliği
ISO 27001 KONTROLLER
A.10 Haberleşme ve İşletim Yönetimi
A.10.7 Medya işleme
A.10.7.1 Taşınabilir ortam yönetimiA.10.7.2 Medyanın yok edilmesiA.10.7.3 Bilgi işleme prosedürleriA.10.7.4 Sistem dokümantasyonu güvenliği
Y B S 4004 Sistem Güvenliği
ISO 27001 KONTROLLER
A.10 Haberleşme ve İşletim Yönetimi
A.10.8 Bilgi Değişimi
A.10.8.1 Bilgi değişim politikaları ve prosedürleriA.10.8.2 Değişim anlaşmalarıA.10.8.3 Aktarılan fiziksel ortamA.10.8.4 Elektronik mesajlaşmaA.10.8.5 İş bilgi sistemleri
Y B S 4004 Sistem Güvenliği
ISO 27001 KONTROLLER
A.10 Haberleşme ve İşletim Yönetimi
A.10.9 Elektronik Ticaret Hizmetleri
A.10.9.1 Elektronik ticaretA.10.9.2 Çevrimiçi işlemlerA.10.9.3 Herkese açık bilgi
Y B S 4004 Sistem Güvenliği
ISO 27001 KONTROLLER
A.10 Haberleşme ve İşletim Yönetimi
A.10.10 İzleme
A.10.10.1 Denetim kaydetmeA.10.10.2 Sistem kullanımını izlemeA.10.10.3 Kayıt bilgisinin korunmasıA.10.10.4 Yönetici ve operatör kayıtlarıA.10.10.5 Hata kaydıA.10.10.6 Saat senkronizasyonu
Y B S 4004 Sistem Güvenliği
ISO 27001 KONTROLLER
A.11 Erişim Kontrolleri
A.11.1 Erişim kontrolü için iş gereksinimi
A.11.1.1 Erişim kontrolü politikası
Y B S 4004 Sistem Güvenliği
ISO 27001 KONTROLLER
A.11 Erişim Kontrolleri
A.11.2 Kullanıcı Erişim Yönetimi
A.11.2.1 Kullanıcı kaydıA.11.2.2 Yetki yönetimiA.11.2.3 Kullanıcı parola yönetimiA.11.2.4 Kullanıcı erişim haklarının gözden geçirilmesi
Y B S 4004 Sistem Güvenliği
ISO 27001 KONTROLLER
A.11 Erişim Kontrolleri
A.11.3 Kullanıcı sorumlulukları
A.11.3.1 Parola kullanımıA.11.3.2 Gözetimsiz kullanıcı teçhizatıA.11.3.3 Temiz masa ve temiz ekran politikası
Y B S 4004 Sistem Güvenliği
ISO 27001 KONTROLLER
A.11 Erişim Kontrolleri
A.11.4 Ağ erişim kontrolü
A.11.4.1 Ağ hizmetlerinin kullanımına ilişkin politikaA.11.4.2 Dış bağlantılar için kullanıcı kimlik doğrulamaA.11.4.3 Ağlarda teçhizat tanımlamaA.11.4.4 Uzak tanı ve yapılandırma portu korumaA.11.4.5 Ağlarda ayrımA.11.4.6 Ağ bağlantı kontrolüA.11.4.7 Ağ yönlendirme kontrolü
Y B S 4004 Sistem Güvenliği
ISO 27001 KONTROLLER
A.11 Erişim Kontrolleri
A.11.5 İşletim Sistemi Erişim Kontrolü
A.11.5.1 Güvenli oturum açma prosedürleriA.11.5.2 Kullanıcı kimlik tanımlama ve doğrulamaA.11.5.3 Parola yönetim sistemiA.11.5.4 Yardımcı sistem programlarının kullanımıA.11.5.5 Oturum zaman aşımıA.11.5.6 Bağlantı süresinin sınırlandırılması
Y B S 4004 Sistem Güvenliği
ISO 27001 KONTROLLER
A.11 Erişim Kontrolleri
A.11.6 Uygulama ve bilgi erişim kontrolü
A.11.6.1 Bilgiye erişim kısıtlamasıA.11.6.2 Hassas sistem yalıtımı
Y B S 4004 Sistem Güvenliği
ISO 27001 KONTROLLER
A.11 Erişim Kontrolleri
A.11.7 Mobil bilgi işleme ve uzaktan çalışma
A.11.7.1 Mobil bilgi işleme ve iletişimA.11.7.2 Uzaktan çalışma
Y B S 4004 Sistem Güvenliği
ISO 27001 KONTROLLER
A.12 Bilgi sistemleri edinim, geliştirme ve bakımı
A.12.1 Bilgi sistemlerinin güvenlik gereksinimleri
A.12.1.1 Güvenlik gereksinim analizleri ve belirlenmesi
Y B S 4004 Sistem Güvenliği
ISO 27001 KONTROLLER
A.12 Bilgi sistemleri edinim, geliştirme ve bakımı
A.12.2 Uygulamalarda doğru işleme
A.12.2.1 Giriş verisi geçerliliğiA.12.2.2 İç işleme kontrolüA.12.2.3 Mesaj bütünlüğüA.12.2.4 Çıkış verisi geçerliliği
Y B S 4004 Sistem Güvenliği
ISO 27001 KONTROLLER
A.12 Bilgi sistemleri edinim, geliştirme ve bakımı
A.12.3 Kriptografik Kontroller
A.12.3.1 Kriptografik kontrollerin kullanımına ilişkin politika
A.12.3.2 Anahtar yönetimi
Y B S 4004 Sistem Güvenliği
ISO 27001 KONTROLLER
A.12 Bilgi sistemleri edinim, geliştirme ve bakımı
A.12.4 Sistem dosyalarının güvenliği
A.12.4.1 Operasyonel yazılımın kontrolüA.12.4.2 Sistem test verisinin korunmasıA.12.4.3 Program kaynak koduna erişim kontrolü
Y B S 4004 Sistem Güvenliği
ISO 27001 KONTROLLER
A.12 Bilgi sistemleri edinim, geliştirme ve bakımı
A.12.5 Geliştirme ve destek süreçlerinde güvenlik
A.12.5.1 Değişim kontrol prosedürleriA.12.5.2 İşletim sistemindeki değişikliklerden sonra teknik
gözden geçirmeA.12.5.3 Yazılım paketlerindeki değişikliklerdeki kısıtlamalarA.12.5.4 Bilgi sızmasıA.12.5.5 Dışarıdan sağlanan yazılım geliştirme
Y B S 4004 Sistem Güvenliği
ISO 27001 KONTROLLER
A.12 Bilgi sistemleri edinim, geliştirme ve bakımı
A.12.6 Teknik açıkların yönetimi
A.12.5.1 Teknik açıkların kontrolü
Y B S 4004 Sistem Güvenliği
ISO 27001 KONTROLLER
A.13 Bilgi Güvenliği Olay Yönetimi
A.13.1 Bilgi güvenliği olayları ve zayıflıklarının rapor edilmesi
A.13.1.1 Bilgi güvenliği olaylarının rapor edilmesiA.13.1.2 Güvenlik zayıflıklarının rapor edilmesi
A.13.2 Bilgi güvenliği olayları ve iyileştirmelerin yönetilmesi
A.13.2.1 Sorumluluklar ve prosedürlerA.13.2.2 Bilgi güvenliği ihlal olaylarından öğrenmeA.13.2.3 Kanıt toplama
Y B S 4004 Sistem Güvenliği
ISO 27001 KONTROLLER
A.14 İş Sürekliliği Yönetimi
A.14.1 İş Sürekliliği Yönetiminin Bilgi Güvenliği Hususları
A.14.1.1 Bilgi güvenliğini iş sürekliliği yönetim sürecine dahil etme
A.14.1.2 İş sürekliliği ve risk değerlendirmeA.14.1.3 Bilgi güvenliğini içeren süreklilik planlarını geliştirme
ve gerçekleştirmeA.14.1.4 İş sürekliliği planlama çerçevesiA.14.1.5 İş sürekliliği planlarını test etme,
sürdürme ve yeniden değerlendirme
Y B S 4004 Sistem Güvenliği
ISO 27001 KONTROLLER
A.15 Uygunluk / Uyum
A.15.1 Yasal konulara uygunluk
A.15.1.1 Uygulanabilir yasaları tanımlanmaA.15.1.2 Sınai mülkiyet haklarıA.15.1.3 Kurum kayıtlarının korunmasıA.15.1.4 Veri güvenliği ve kişisel bilgilerin mahremiyetiA.15.1.5 Bilgi işleme fasilitelerinin suistimalden korunmasıA.15.1.6 Kriptografik kontrolleri düzenleme
Y B S 4004 Sistem Güvenliği
ISO 27001 KONTROLLER
A.15 Uygunluk / Uyum
A.15.2 Güvenlik politikası ve teknik uygunluğun gözden geçirilmesi
A.15.2.1 Güvenlik poltikasına uyumA.15.2.2 Teknik uyum kontrolleri, denetimleri
Y B S 4004 Sistem Güvenliği
ISO 27001 KONTROLLER
A.15 Uygunluk / Uyum (Compliance)
A.15.3 Bilgi sistemleri denetim konuları
A.12.3.1 Bilgi sistemleri denetim kontrolleriA.12.3.2 Bilgi sistemleri denetim araç / gereçlerinin korunması
Y B S 4004 Sistem Güvenliği
DİKKAT !
Tüm kontrol maddeleri, her durumda, her kurum / şirkette uygulanabilir veya gerekli değildir;
veya,
sadece belli bir sistem, alan, kullanıcıya kısmen uygulanabilirdir.
Y B S 4004 Sistem Güvenliği
Yönetim Sistemleri;
Şirket / kurum politika ve hedeflerine erişmek ve bunlara erişecek unsurları belirleme amaçlı sistemlerdir.
Bilgi Güvenlik Yönetim Sistemleri de (ISMS);
Yönetim sisteminin bir parçası olup, “iş riskleri”ni temel alarak bilgi güvenliğinin oluşturulması, uyarlanması, işletilmesi, izlenmesi, gözden geçirilmesi, bakım ve geliştirilmesini sağlamayı hedefler.
Y B S 4004 Sistem Güvenliği
İç Yönetim
Çalışanlar
Hissedarlar İç Denetimler
Toplum
Bütünlük Gizlilik
Kullanılabilirlik
Risk
Bilgi Güvenliği Yönetimi Evreni – İdeal Yönetici Bakışı:
Y B S 4004 Sistem Güvenliği
Bilgi Güvenlik Yönetim Sistemlerinin tasarımı, uygulanması, ve güvenliğin yönetimi, denetimi, yapılanması;
O şirket / kuruma özgü iş gereksinimleri, iş stratejileri, yapısı, kültürü, büyüklüğü, hedefleri, bunlara yönelik güvenlik gereksinimleri ve süreçlerden yola çıkar / çıkmalıdır.
Y B S 4004 Sistem Güvenliği
Standartların çoğunda, Bilgi Güvenliği Yönetimi için bir program ve bir yönetim sistemi (BGYS), buna uygun bir yapılanma önerilir. ISO 27001’de PDCA metodolojisi vardır;
Y B S 4004 Sistem Güvenliği
Y B S 4004 Sistem Güvenliği
ISO 27001 BGYS Dökümantasyon Kırılımları:
1. Düzey: Politikalar (Kim, niçin?)
2. Düzey: Prosedürler (Kim, ne, ne zaman, nerede ?)
3. Düzey: Detaylı dökümanlar, standartlar, formlar, akış diagramları,
vb (Nasıl ?)
4. Düzey: Kayıtlar, kanıtlar - 1,2,3. düzey dökümanların uygunluk ve
uyum denetimine yardımcı (log’lar, sistem kayıtları, audit trails,
erişim kayıtları, vb)
Y B S 4004 Sistem Güvenliği
Üst Yönetim Sorumlulukları:
Üst yönetim taahhüt ve sahiplenmesi
Kaynak yönetimi
Kaynak sağlama / atama
Bilinçlendirme, eğitim, öğretim
BGYS’nin Üst Yönetimce Takip ve Değerlendirilmesi:
Genel
Girdilerin gözden geçirilmesi
Çıktıların gözden geçirilmesi
İç Denetimler
BGYS’nin Geliştirilmesi / İyileştirilmesi:
Sürekli Geliştirmeler
Düzeltici (Corrective) Aksiyonlar
Önleyici (Preventive) Aksiyonlar
Y B S 4004 Sistem Güvenliği
Kimler, hangi rol ?
Risk analiz ve değerlendirmesi ? BGYK + risk uzmanları
Bilgi güvenliği ve ISMS yönetimi ? BGYK
Politikalar ? BGYK
Uygulama ? BT ekipleri
Denetim ? Auditor
Yaptırım ? İK, Üst yönetim
Y B S 4004 Sistem Güvenliği
Board of Directors
CISOCIO
Policy Management• Policies and standards
• Risk assessment/profiling
• Policy compliance and consulting
• Awareness training
• Business security architecture
Security Administration• Platform/application user management
Security Engineering• Minimum platform standards• Technical security architecture
Incident Response• ID threat + solution
BISO
CEO
Business Unit Management
Y B S 4004 Sistem Güvenliği
Bilgi Güvenliği Yönetim Kurulu
Bilgi Güvenliği Yönetim Kurulu / Komitesi, daha çok, bir tür yönlendirme komitesi (steering) ve aynı zamanda icra kurulu (executive) mantığında çalışırlar.
Kimler, hangi görev ?
CEO / Grup Md. / Gn. Md. BaşkanİK koord. / Md ÜyeMali İşler koord. / Md. ÜyeTemel iş kolları / şirket Gn. Md. ÜyeBT koord. / BT Gn. Md. ÜyeCISO / Bilgi Güvenlik Md. ÜyeMali Denetim ÜyeHukuk Üye
Y B S 4004 Sistem Güvenliği
CEO
CSO orCISO
CorporateLegal
ISM Board
HumanResources
IT/CIO
System Activation
Initial Response
Size Up
Resource Activation
Ongoing Management
Incident Conclusion/”Mop Up”
Post-Incident Analysis
Co
mm
un
ica
tio
ns
Tra
ck
ing
Command
PlanningFinance/Admin
CommandStaff
LogisticsOperations
Y B S 4004 Sistem Güvenliği
Politikalar: Bilgi Güvenlik politikasındaki üst düzey olan dokümanlardır. (Genel – tüm çalışanlar)
Güvenlik Standartları: Spesifik teknolojileri kullanarak kurumlarda bilgi güvenliğini sağlamaktadırlar ve uyulması şart olan kurallardır.
Güvenlik prosedürleri: Güvenlik politikalarının hayata geçirilmesi için gereken en alt düzeydeki detaylı adımlardır.
Y B S 4004 Sistem Güvenliği
Güvenlik Politikaları, kurumların güvenlik stratejisini yansıtan kurallar bütünüdür
Güvenlik gereksiniminin nedeniGüvenlik seviyesi Güvenlik rol ve sorumluluklarıYaptırımlar
Güvenlik Prosedürleri ve Standartları , kurumda güvenliğin nasıl sağlanacağına yönelik kurallar bütünüdür
Y B S 4004 Sistem Güvenliği
Üst Yönetim tarafından yazılan Politika
Genel Organizasyon Politikaları
Politikalar
Standartlar
Detaylı Prosedürler
Y B S 4004 Sistem Güvenliği
Küçük/orta boyutlu işletmeler için tek politika yeterli olabilir.
Büyük boyutlu organizasyonlar şirket içi farklı departmanlar/sistemler için farklı politikalara ihtiyaç duyabilir.
Politikalar;
Basit ve öz olmalıdır
Üst düzey politika tek sayfada toplanmalıdır
Alt düzey politikaya herkes tarafından erişilebilmelidir
Y B S 4004 Sistem Güvenliği
Üst Düzey Politika Örneği:
Üst düzey yönetim güvenlik forumunun oluşturulmasıBireysel olarak güvenlik bilinçlendirmesine yönelik eğitim ihtiyacıRisk yönetimi yaklaşımıBu standart altında sertifikasyon alınması ve güncellemesi taahhütüÖzel politikalara referans
(Tehlike) Olasılık planı Veri yedeklemesi gereksinimiVirüs, vb karşı korunmaİnternete-postaSistem ve verilere erişimin kontrolüGüvenlik olaylarının raporlanmasıDisiplin kurallarıvb
Y B S 4004 Sistem Güvenliği
Tüm Politikalarda Bulunan Bölümler:
Bilgi güvenliğinin tanımı, objektifleri, kapsamı, amacı ve bilgi paylaşımındaki rolü
Üst yönetimin, bilgi güvenliğinin sağlanması için gerekli desteği nasıl sağlayacağını açıklayan bildirisi
Güvenlik politikasına ait prosedür, ilke ve usullerin özeti
Bilgi güvenlik politikasının ihlali durumunda uygulanacak prosedürler
Bilgi güvenliğinin sağlanmasında personel ve yönetime düşen sorumlulukların tanımı
Ve son olarak bilgi güvenliliğinin nasıl sağlanacağını belirten prosedürlerinbulunduğu bölümlere referans
Politikayı belirleyen ve onaylayan
Politika adı, tarih, versiyon no, önceki versiyonlar, güncelleme takip bilgileri
Y B S 4004 Sistem Güvenliği
Politikalar nasıl etkin uygulanır / uygulatılır ?
Kurumda risk analiz ve değerlendirmesi yapılmış olmalı,
Azaltılacak risklere yönelik önceliklendirilmiş şekilde o kurum için en gerekli ve uygulanabilir, gerçekçi politikalar hazırlanmalı
Üst yönetim desteği ve sahiplenmesi
Bilgilendirme, yaygınlaştırma,
Kurum geneli bilinçlendirme,
Ne kadar uyulduğu / uyulmadığının denetimi
Disiplin süreçleri, yaptırımlar
Y B S 4004 Sistem Güvenliği
Statement of Applicability (SOA)
Güvenlik kontrollerinden hangilerine kurumda gerek görüldüğü ve uygulanılabilir olduğunun formal dökümantasyonudur
ISO 27001’de geçen bir metodolojidir
SOA’nın benzerleri farklı ISMS veya denetim, risk yönetimi standartlarında bulunur
BS7799-2 Standartlarındaki denetimlerde 1. aşamada incelenen belgelerden biridir
Risk değerlendirme çalışmaları sonrası, risk yönetimi kapsamında kullanılır
Y B S 4004 Sistem Güvenliği
Statement of Applicability
Risk değerlendirmesiyle hangi kontrollerin uyarlanacağı belirlenecektir. SOA, hangi kontrollerin gerekli / ilgili olduğunun kanıtıdır.
2. Aşamadaki denetim planı için yardımcı kaynaktır
Çok detaylı olmamalıdır, kurum gizliliği ve güvenliği için tehlikeli olabilir, ayrıca mutlaka SOA dökümanlarında yeterli klerans tanımı olmalıdır.
Y B S 4004 Sistem Güvenliği
Statement of Applicability
Clause No Control
Objective
Control Applicable
? (Y/N)
Reference
Document A.3 Security Policy
A.3.1 Inf. Sec. Policy A.3.1.1 Inf Sec Policy
document
Y S-000101 Policy
A.3.1.2 Review &
evaluation
Y S-000101 Policy
....
....
A.4 Security Organization
....
A.4.3 Outsourcing A.4.3.1 Sec. Req. in
outsourcing contracts
N N/A
.... A.6 Personnel Security
....
A.6.2 User training A.6.2.1 Inf Sec education
and training
Y HR-000404
Personnel Procedure
...
Y B S 4004 Sistem Güvenliği
ISO27001 BGYS’de en kritik başarı faktörü;
Üst yönetimin isteği, desteği, sahiplenmesidir.
Y B S 4004 Sistem Güvenliği
1. AŞAMA: BGYS’nin oluşturulması (5 – 14 ay)
2. AŞAMA: Hazır hale gelinmesi, karar alınarak sertifika için başvuru yapılması
3. AŞAMA: Dış bağımsız denetime (sertifika verecek yetkili kuruluş; IRCA, UKAS, vb) alınması ve başarılı sonuçlanması durumunda sertifika alınması (1-2 ay)
ISO27001 SERTİFİKASYON SÜRECİ
Y B S 4004 Sistem Güvenliği
ISO27001 SERTİFİKASYON SÜRECİ – 1.AŞAMAKISIM A
• Sertifikasyonun ve BGYS’nin kapsamının oluşması• Ön Analiz ve Planlama;• Kapsam netleşmesi• Görev ve sorumlukların tespiti • İş Planı• Yöntem seçimi• Planlama Raporu• Bilişim Eğitimleri (Proje ekipleri ve Bilişim Yetkilileri İçin) • Kapsam Konusu Envanter Tespiti ve Bilgi Sınıflandırma• Dahili Bilişim Penetrasyon ve Açık Bulma Testleri• Güvenlik Risklerinin belirlenmesi ve Rapor• Güvenlik Önlemlerinin Tespiti• ISO27001 Güvenlik Politikalarının Hazırlanması• ISO 27001 Güvenlik Prosedürlerinin Hazırlanması• ISO 27001 Güvenlik Denetimi ve Kontrolu
Y B S 4004 Sistem Güvenliği
ISO27001 SERTİFİKASYON SÜRECİ – 1.AŞAMAKISIM B
• Güvenlik Politika ve Prosedürlerinin personel ve hedef kullanıcılara duyurulması
• Danışmanlık kapsamında tespit edilen güvenlik önlemlerinin Yönetim tarafından uygulamaya konmak üzere yıllık plana alınması
• Bilgi Güvenlik Olay Takibinin kurulması • Bilgi Güvenlik Yönetimi için Görev ve Sorumlulukların
belirlenmesi• Kullanıcı eğitimleri
Y B S 4004 Sistem Güvenliği
• BGYS yapılanmasının sertifikasyona hazır hale gelmesi ve bu konuda yönetim kararı çıkması
• Sertifikayı veren resmi kuruluşa başvuru yapılması(Başvuruda kapsam belirtilir)
ISO27001 SERTİFİKASYON SÜRECİ – 2.AŞAMA
Y B S 4004 Sistem Güvenliği
SertifikaFaz 2
Ön denetim
Karar
Faz 1
•Denetim Firması = İş Ortağı
• İsteğe bağlı ön denetim
•Faz 1 - Doküman inceleme
•Faz 2 – Saha denetimi
•Sürecin onaylanması ve sertifika basımı
ISO27001 SERTİFİKASYON SÜRECİ – 3. AŞAMA
Y B S 4004 Sistem Güvenliği
Bilgi Güvenliği Denetimlerinde (ISO 27001) başta genel bilgi güvenliği pol. olmak üzere, öncelikle politika ve sonrasında da ilgili prosedür ve standart dökümanları incelenir. Ayrıca, tüm dökümanların standardize hazırlanıp hazırlanmadığı da incelenir.
ISACA, COBIT, vb denetimlerde, denetim odak, kapsam ve amacına göre, politika ve / veya ilgili prosedür ve standartların dökümanları denetlenir.
Tüm denetim yöntem ve stand.da, kurumun iş yapısı ve büyüklüğü ne olursa olsun, genel bilgi güvenliği politikasının olması beklenir.
ISO27001 SERTİFİKASYON SÜRECİNDEDENETİMLER
Y B S 4004 Sistem Güvenliği
ISO 27001 Sertifikasyon Sürecindeki Zorunlu Konular
Tehdit Etkisi ve Olasılığı
Kontrol Seçimi ve Uygulama
Varlıkların Envanteri
• Çalışanlar• Kağıt Dokümanlar• Yazılım Varlıkları, Programlar• Fiziksel Varlıklar• Şirket imajı• Servisler• Đş Ortakları• Tedarikçiler
• Doğal Afetler• Yetersiz kaynak• Farkında olmama• Fiziksel paylaşım • Sözleşme gereklilikleri • Sistem kaynaklı riskler• Geçikme
• Standart Ek A • Diğer kontroller• Önlem Al• Riski kabul et• Görmezden gel..!• Çözüm Planı
BGYS
Y B S 4004 Sistem Güvenliği
Şirketlerde Sertifikasyon Sürecindeki Uygulamalar
Yönetim Desteği Güvenlik
Forumu
Olay Yönetimi
İş SürekliliğiFiziksel
İzleme
EğitimFarkındalık
Politika
Olmazsa olmaz güvenlik bileşenleri şirketten şirkete farklılık gösterebilir.
Hukuk
Denetim
Y B S 4004 Sistem Güvenliği
• Gizlilik sağlanır. • Bilginin sadece yetkili kişiler tarafından erişilebilir olması sağlanır.• Bütünlük sağlanır. • Bilgiye ulaşılabilirlik, sürekliliği sağlanır.• Rakiplerinizin bir adım önüne geçmenizi sağlar. • Müşterileriniz, onların bilgilerini güvende tutacağınız konusundaki
taahhüdünüzden dolayı güven hissederler. • Uluslararası ihalelere katılılımda şart olan ISO/IEC 27001:2005 gereklerini
sağlanmış olursunuz. • Bilgi güvenlik ihlallerinin çıkaracağı büyük zarar ve masrafları oldukça azaltır
ve bu da iş dalınızdaki yatırımcılar ve müşteriler için önemlidir. • İlgili geçerli tüm kanun ve tüzüklere uygunluğunuzu yetkili makamlara
kanıtlamanıza yardımcı olur. • Türkiye’de bu yapılanmayı ve sertifikasyonu başarmış olan az sayıdaki
kurumlardan birisi olacaksınız.
ISO 27001 - FAYDALARI
Y B S 4004 Sistem Güvenliği
• Organizasyonun tüm aşamalarında ve birimlerinde güvenliğe taahhüt/bağlılığın sağlanması ve kanıtlanmasında yardımcı olur.
• Kurumunuz genelinde, bilgi sistemleri ve zayıflıklarının nasıl korunacağı konusundaki farkındalık artar.
• Donanım ve veriye daha güvenilir erişim sağlanır.
• Çalışanların kuruluş içerisindeki sorumlulukları ve bilgi güvenliği konularındaki bilinçlerinin artmasını sağlar.
• Düzenli olarak gerçekleştirilen denetimler sisteminizin etkinliğini izlemenize ve iyileştirmenize yardımcı olur.
• Müşterileriniz, iş ortaklarınız ve tüm kamuoyu nezdinde prestijinizi arttırır, size; tanıtım, reklam ve pazarlama çalışmalarınızda artı değer katar.
• Kuruluşun kurumsal değerlerini, yatırımlarını ve hedeflerini koruyabilmesi için gereken kontrollerin firma içinde yerleştirilmesi ve uygulanmasına temel olur.
• Personelin bireysel beceri, iş ve kariyer gelişimlerine katkıda bulunur.
ISO 27001 - FAYDALARI
Y B S 4004 Sistem Güvenliği
• Müşterileriniz, iş ortaklarınız ve tüm kamuoyu nezdinde prestijinizi arttırır, size; tanıtım, reklam ve pazarlama çalışmalarınızda artı değer katar.
• Başarılı bir e-ticaretin gerekli olan işlevsellik, güvenlik, güvenilirlik ve veri koruması konusunda gereklilikleri sağlar.
• Bilgi güvenliği, kurum kültürünüzün bir parçası haline gelir.
• İş ortaklarınız veya size hizmet veren 3. şahıs firmaların; sizin standartlarınıza yükselmesi ve size daha güvenli, kaliteli hizmet vermelerini sağlatır.
• İş süreçlerinizde risk azaltımı yanı sıra, iş süreçlerinizde kalite de artar, kalite güvencesine katkı sağlar.
• Kurumunuzdaki iş uygulamaları ve ilgili teknolojilerin, sistemlerin kalite ve performanslarını da arttırır.
• Yönetimsel yapılarınızda iş etkinliği ve kaliteyi arttıracak değişimlere de katkı sağlar.
• Personelin iş yapış şekillerini iyileştirerek performanslarını arttırır.
ISO 27001 - FAYDALARI
Y B S 4004 Sistem Güvenliği
Örnek Uygulamalar – Global Bilgi A.Ş.
1.5 yıllık bir süreçte ISO 27001 sertifikasyonunu aldı
Doğru Başlangıç, Doğru İnsanlar, Doğru Kapsam seçimiyle başarıldı
Bilgi güvenliğinde Ölçülebilir İlerleme (Risklerde % 60 azalma) sağlandı
Yönetim Desteği çok önemliydi
Şirket kültürüne uygun çözümlerle gidildi
İnsanlarda değişim yönetimi sağlandı
Eğitim ve İletişim büyük katkı yaptı
Y B S 4004 Sistem Güvenliği
Örnek Uygulamalar – TürkTraktör A.Ş.
2 yıllık bir süreçte ISO 27001 sertifikasyonunu aldı
Sadece güvenlik değil, iş süreçleri ve BT’de kalitede artış sağlandı
Organizasyon yapıları değişti ve düzeldi
Personelde bilgi güvenliği bilinci oluştu
Kurumda bilgi güvenliği kültürü gelişmeye başladı
Gizli kalan riskler ortaya çıktı ve azaltıldı
Maddi ve manevi kayıplar ciddi düzeyde (yıllık ALE oranı % 48) azaldı
Kurum içi iletişim, koordinasyon, yönetimsel kararlarda hız ve etkinlik arttı
Y B S 4004 Sistem Güvenliği
Örnek Uygulamalar – Tusaş Havacılık ve Uzay Sanayi A.Ş.
ISO 27001 sertifikasyonunu aldı
Üretim, montaj ve ilgili süreçleri kapsadılar
Kapsamı ve hedefi önceden ve doğru belirleyerek başardılar
Güvenlik yanı sıra, hizmet ve üretim kalitesinde de artış sağlandı
Türkiye’de kendi sektöründe sertifikayı alan ilk kurum olmasıyla rakiplerine avantaj sağlıyor
Faaliyet alanındaki uluslararası gereksinimlere ve regülasyonlara uyumu hızlı ve etkin bir şekilde sağladılar
Çalışanların; kuruma bağlılığı,etkinliği ve bilgi kalitesinde büyük artış oldu
Y B S 4004 Sistem Güvenliği
"The only system which is truly secure is one which is switched off and unplugged, locked in a titanium lined safe, buried in a concrete bunker, and is surrounded by nerve gas and very highly paid armed guards.
Even then, I wouldn't stake my life on it."
Gene Spafford,Computer Operations and Head of Security Technology (COAST) Project
% 100 Güvenlik, % 100 Uyum, 0 risk ...?
Y B S 4004 Sistem Güvenliği
TEŞEKKÜR EDERİM
Dr. METE EMİNAĞAOĞLU