Embed Size (px)
Citation preview
ISO 27001 INFORMATION SECURITY MANAGEMENT SYSTEM
Mustafa PARLAKYİĞİTAugust 9, 2014
RECIPA-IMTRECIPA-IMT
Layout
2
- TARGET of This Presentation - INTRODUCTION - IMPLEMENTATION - AUDITING & CERTIFICATION - INFORMATION SECURITY AWARENESS - ACTUAL SITUATION in the WORLD - ACTUAL SITUATION in TURKEY - CONCLUSION - Q&A
Target
3
Introduction
4
• INFORMATION• What is Information?
• HISTORY of the standad • ISO 27K FAMILY • ISO 27001:2013 Standart
• Article 4-5-6-7-8-9-10 General view • ANNEX A General view
Information
5
Information : Meaningful Data.
Information
6
Information
7
Tüm alanlardaki müşteri bilgilerimiz,
Pazarlama satış, kampanya, reklam proje ve ilgili dokümanlar
Tüm satın alma şartname, teklif ve proje ile alakalı tüm dokümanlar,
Muhasebe ve finans raporları,
Bilişim altyapı bilgileri
Ücret bilgileri,
Yönetim yedeklilik planı, kariyer yönetim ve yetkinlik bilgileri,
Kurum e-posta adresleri…………..
Common Mistakes
8
• Bilgi güvenliğinden Bilgi İşlem sorumludur!
• Anti-virüs yazılımımız var dolayısıyla güvendeyiz
• Kurumumuz güvenlik duvarı(firewall) kullanıyor dolayısıyla güvendeyiz ...
• Bir çok güvenlik saldırısı kurum dışından geliyor!
• Dosyalarımın kopyasını alıyorum, güvenlikten bana ne!
• Arkadaşımdır, güvenirim dolayısıyla parolamı paylaşırım!
• Şifremi değiştirmeye ne gerek var? Zaten tek ben bilirim!
• Bilgisayarımı alıp da kim ne yapacak?
Threads
9
Yüksek bilgisayar bilgisi seviyesi
Hırsızlık, kötü niyetli kullanım
Virüs ve truva atları
Servis kesintisi Dokümantasyon eksikliği
Fiziksel güvenlik sorunu
Doğal afetler
Threads
10
No Kategori Örnekler
1 Kullanıcı hataları Hata ile silme, kazara kırma
2 Telif hakları Korsan kullanım, lisans yönetimi
3 Casusluk, kasti eylemler Yetkisiz erişim, bilgi sızdırmak için saldırma
4 Bilgi gaspı Şantaja maruz kalma
5 Sabotaj eylemleri, vandalizm* Sistem veya bilginin yok edilmesi
6 Hırsızlık Yasadışı bilgi edinme
7 Kasıtlı yazılım saldırıları Virüs, worm, DoS** makrolar
8 Servis hizmet kalitesi sapmaları Güç ve ağ erişim sorunları
9 Doğal afetler Yangın, sel, deprem, şimşek
10 Teknik donanım arıza veya hataları Ekipman arızaları
11 Teknik yazılım arıza veya hataları Bug, kod sorunları, bilinmez sonsuz döngüler
12 Teknoloji eksikliği Eski teknolojinin kullanılması
13 İnsan Ölüm, hastalık
LOSS!
11
• İtibar kaybı
• Finansal kayıp
• Fikir haklarının kaybı
• Kanuni yükümlülükler ve cezalar (5846, 5651 vb)
• Müşteri güveninin kaybı
• İş kesintisi
• ….
LOSS!
12
• İtibar kaybı
• Finansal kayıp
• Fikir haklarının kaybı
• Kanuni yükümlülükler ve cezalar (5846, 5651 vb)
• Müşteri güveninin kaybı
• İş kesintisi
• ….
2013 de LivingSocial sitesinden 50 milyon kullanıcıya ait bilgiler çalındı.
Washington Eyalet Mahkemeleri Yönetim Ofisi’ ne yapılan saldırı neticesinde, dahilinde bulunan tüm mahkeme dosyalarındaki kişilere ait tüm veriler dış dünyaya sızdırıldı.
Evernote a üye 50 milyon
kişiye ait tüm bilgiler (ödeme,
hesap bilgileri v.b.) network
açığı sayesinde dışarıya
sızdırıldı.
Examples
Drupal.org sitesindeki yaklaşık bir milyon hesaba ait bilgiler çalındı.
Amerika Federal Rezerv Bankası internet sitesinin Anonymous’un saldırısı ile 4000 yöneticiye ait bilgiler ifşa edilmiştir.
Examples
6 Nisan 2012 de Kırıcılar, Mac güvenlik duvarlarını kırdılar ve 6 milyondan fazla Apple .bilgisayar etkilendi.
11 Haziran 2012 itibarı ile Amerikan hastanelerinden 1,4
milyondan fazla hastanın
bilgileri kırıcı tarafından
çalınmıştır. En son eylemde
erişim Doğu Avrupa bölgesin-
den yapılmıştır.
Examples
Bu duruma düşmemek için
BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ (BGYS)
Implementation
17
o WHO CAN APPLY ISO 27001?o BENEFITS o MANAGEMENT
o Scope o Organisational structure
o DOCUMENTATION
o Policy
Testing
Implementation
18
Implementation
19
Information Security Awareness
20
The most important component of IS is the awareness of the users.
%70 of the Vulnerabilities derives from user mistakes.
Hackers most of the time use these mistakes.
Social Engineering is the biggest risk!
The hishest level of risk : Human
The most important asset : Human
Simple precautions matters.
IS Policies
21
Hardware Policy
Software Policy
General
Network Policy
Internet Policy
VPN Policy
Etc.
General
Do not hang confidential documents on the walls and boards.
Do not junk important documents directly, do use paper shredders.
Before you leave, do not leave any important document on your desk.
Keep your important documents locked all the time.
Do keep your doors locked before you leave.
When you see a stranger without a visit card, politely ask them to put their visit cards and to whom they come to visit.
Be aware of telephone phishing, Do not share any important information with strangers.
Devices
Smart Phones, Laptops and Desktops delivered to staff belongs to Organisation and should be used carefully and properly.
Before you leave, always close your OS session.
Do not let others or guests use your laptop or desktop.
Keep your mobile-devices with you, do not abandon your devices inside the cars etc.
Do use your laptop or desktop for only work purposes.
Do not install any irrelevant, cracked software to your computers.
Keep your softwares up to date
Users can not perform such actions:
Blocking the softwares installed in the devices.
Changing BIOS features.
Opening devices.
Blocking OS, reaching or changing OS files.
Do use your e-mail for only work purposes. Do not use your account for private purposes and general announcements.
Do not use your personal e-mail within the organisation.
Do not open the files sent from strangers, propmtly inform the ISMS Team about such e-mails.
Do not send confidential documents via e-mail outside.
Try not to send confidential documents via e-mail within the organisaiton, If you need to send encrypt documents accourding to our Encryption Instruction INS.34 (You can take help from ISMS Team)
E-mail accounts can not be used in a way that may harm others or for attack purposes.
Network
Connection service is personal, it can not be transferred to other users. Users are directly responsiple from device and any illegal act.
Each socket should be used for one computer and one connection, Users can not share this conneciton using any method.
Network can not be used for any commercial purpose.
Users can not service Proxy, DHCP, BOOTP, DNS within the network and can not announce any forwarding protocol.
Any unlicensed software, film or music files can not be shared through organisation network. All legal responsipilities belongs to the user.
Users can not change IP addresses.
Actual Situation in The World
26
Conclusion
27
Q&A
28
THANK YOU
