BLG GVENL

ve YNETM
Trkiye Biliim Dernei
Ankara ubesi Eitim Etkinlii
26 Mays 2009 Sal, 09:30-12:30
Eitimci : Nee SAYARI

ODT Mezunlar Dernei Vinelik Tesisi

1/76

GNDEM

Bilgi Gvenlii Nedir? Neden nemlidir?

Bilgi Gvenlii Ynetim Sistemi (BGYS) Nedir?
Bilgi Gvenlii Nasl Salanr?

Bilgi Gvenlii Gereksinimlerinin Belirlenmesi

BGYS Sreleri
Risk Ynetimi
Koruyucu nlemler
BGYS Standartlar

ISO 27001 Standardnn Tantm

BGYS Baar Faktrleri
BGYS Dokmantasyon Gereksinimi
Bilgi Gvenlii Denetim Sreci

Genel Deerlendirme ve Kapan

2/76

BLG GVENL
NEDR?
NEDEN NEMLDR?

3/76

KURUMSAL BLG:
Bilgi bir kurumun i yapabilmesi iin sahip olduu nemli
varlklarn en banda gelir. Kurum sahip olduu bilgiyi
derler, retir, iler, saklar, satar, dier kii ve kurumlarla
paylar. Bilgi;

Basl halde katlarda

Elektronik dosyalarda
Veritabanlarnda
Telefon konumalarnda
Faks mesajlarnda
Masalarda, dolaplarda,
letim hatlarnda,

en nemlisi de kurum alanlarnn akllarnda bulunur.

Bilgi hangi ortamda olursa olsun gerektii ekilde korunmaldr.
4/76

BLG GVENL NEDR?

Bilgi gvenlii bilginin
tehditlere kar uygun ekilde
korunmas demektir.
Bilginin korunmas;
gizliliinin gzetilmesi,
btnlnn garanti altnda
tutulmas ve
lazm olduunda eriilebilir
durumda olmas

Gizlilik

Btnlk

Eriilebilirlik

anlamna gelir.
5/76

BLGNN GZLL
Bilgi gizliliinin gzetilmesi
Bilginin sadece yetkili kiiler
tarafndan eriilebilir durumda
olmas,
Yetkisiz kiilerin eriiminin
engellenmesidir.

Btnlk

GZLLK

Eriilebilirlik

6/76

BLGNN BTNL
Bilginin btnl;
eriinin doru,
Gncel ve geerli olduu,
Yetkisiz kiiler tarafndan
deitirilmedii anlamna gelir.

BTNLK

Gizlilik

Eriilebilirlik

7/76

BLGNN ERLEBLRL
Bilginin eriilebilirlii;
Bilginin olmas gereken yerde ve
gerektiinde kullanma hazr
olduunun gvence altnda
Gizlilik
tutulmasdr.

Btnlk

ERLEBLRLK

8/76

BLG GVENL NEDEN NEMLDR?

Bilgi uygun ekilde korunmazsa;

Gizli bilgiler aa kabilir

Bilginin ieriinde yetkisiz kiiler tarafndan
deiiklik yaplabilir
Bilgiye eriim mmkn olmayabilir.

Kullanc hatalar veya kt niyetli giriimler bu

sonular dourabilir. Bu olaylarn izlenebilirlii de
nemli bir konudur.
9/76

BLG GVENL NEDEN NEMLDR?

Bilgi uygun ekilde korunmazsa;

Kuruma ait gizli ve hassas bilgiler

Kurum ilerliini salayan bilgi ve sreler
Kurumun ismi, gvenilirlii, itibar
nc ahslar tarafndan emanet edilen bilgiler
Ticari, teknolojik, adli bilgiler
sreklilii

zarar grebilir.
10/76

BLG GVENL NEDEN NEMLDR?

Bilgi uygun ekilde korunmazsa;

lke karnn zarar grmesi,

srekliliinin aksamas
Kaynak tketimi
Mteri maduriyeti, memnuniyetsizlii
nc ahslara yaplan saldrlardan sorumlu tutulma
Ulusal / kurumsal itibar kayb
Yasal yaptrmlar ve tazminatlar

gibi olumsuz sonularla karlalabilir.

11/76

NE TR TEHDTLER VAR?
Servis d brakma saldrlar
Kimlik bilgilerinizin ele geirilerek kt
amala kullanlmas
Virus, kurtcuk, trojan saldrlar
Bilgisayarnzn bakas tarafndan ele
geirilerek su ilenmesi
Bilgisayarnzn kurum ana giri
kaps olarak kullanlmas
Web sayfas ieriini deitirme
zinsiz kaynak kullanm
Kuruma ait bilgisayardan darya
yaplabilecek saldrlar
12/76

KURUMSAL BLG GVENL NASIL

SALANIR?
Kurum apnda bilgi gvenlii farkndalnn
yaratlmas
Uygun kullanm, politikalar, prosedrler...
Kurum organizasyonu; kiiler, roller, uygun
atamalar ve i dalm,
Gvenlik yazlm ve donanmlar
Bilgi gvenlii, kurum gereksinimleriyle
rtecek ekilde ve sistematik bir
yaklamla ele alnmaldr.
13/76

BLG GVENLNDE KURUMSAL

SORUMLULUK NEDR?
Bilgi gvenlii ynetiminin de dier ynetsel
srelerden biri olarak kurgulanmas,
Gerekli atamalarn yaplmas ve kaynak
tahsisinin salanmas,
Kurum apnda farkndalk ve bilin
yaratlmas,
Gvenlik ihlallerinin deerlendirilmesi,
Yaptrmlarn uygulanmasdr.
14/76

BLG GVENL
GEREKSNMLER NASIL
BELRLENR?

15/76

BLG GVENL GEREKSNMLER

Kurumsal gvenlik gereksinimleri belirlenirken

baz temel kaynaklara bavurulur:
Risk Analizi Sonular
Yasal ykmllkler, yurt ii ve yurt d ticari
i balantlar nedeniyle yaplan szlemeler,
devlet kurumlaryla karlkl anlamalar vs.
Kurumun ilevlerini destekleyen biliim
sistemleri ile ilgili prensipler ve gereksinimler.
Kurumun daha nce yaad gvenlik olaylar
16/76

BLG GVENL GEREKSNMLER:

-Risk Analizi

Bilgi varlklarna ynelik tehditler belirlenir

Bilgi varlklarnn zayflklar (korunmaszlk) gzden
geirilir, tehditlerin bu zayflklardan yararlanarak zarar
verme olasl deerlendirilir
Tehditlerin varlklara olas etkisi deerlendirilir.
Bu veriler risk hesaplamak iin kullanlr ve riskler
listelenir.

Bu alma kurumun risk ortamn yanstt

iin kuruma zg sonular verir
17/76

BLG GVENL GEREKSNMLER :

-Yasa ve Szlemelerle lgili Ykmllkler Kurumun devlete, dier kurululara,

mterilerine kar taahhtleri nelerdir?
Yasalar ve szlemeler neler gerektirmektedir?
Bilgi gvenlii kontrolleri belirlenirken bu
gereksinimler gz nne alnmaldr.
(Uluslararas szlemeler, ortaklk anlamalar, sigorta kanunu,
elektronik imza kullanma gereklilii, 5651 sayl yasa, kiisel verilerin
gizlilii, hasta bilgilerinin gizlilii, ifreli saklama ve iletim gereklilii
vb ...)

18/76

BLG GVENL GEREKSNMLER :

-BT ile ilgili prensipler ve gereksinimler Bilgi ilem faaliyetleri ve BT altyapsnn

kurumsal i hedeflerini karlamaya uygun
olmas
Uygunluk salanmas gereken BT standartlar ve
prensipleri
BT donanm ve yazlmnn yarataca yeni
gvenlik aklar
(COBIT, PCI, ITIL vb standartlar, veritaban ifreleme,
kimlik ynetimi, log ynetimi gibi..)
19/76

GVENLK GEREKSNMLER:
-Daha nce yaanan gvenlik sorunlar Kurumda daha nce yaanan gvenlik olaylar,
gzlenen gvenlik aklar,
Bu olaylardan renerek, tekrarn engellemek
iin nlemler.

20/76

KURUM GEREKSNMLERNN
NCELENMES

gereksinimleri
Kurum yaps
Gvenlik riskleri
Bte
Dier koullar

Gizlilik
Btnlk
Eriilebilirlik

Bilgi gvenlii sistemi, bu denge gzetilerek kurulur.

21/76

BGYS SRELER
NELERDR?

22/76

BLG GVENL YNETM NEDR?

Kurumsal i srelerindeki bilgi gvenlii
risklerinin tespit edilmesi ve uygun nlemlerle
indirgenmesi almasdr.
Bilgi gvenlii ynetimi sistematik ve dngsel
bir yaklamla gerekletirilir.

23/76

BLG GVENL YNETM SSTEM

(BGYS) SRELER
PLAN (Planla)
BGYS nin planlanmas ve kurulmasdr.
DO (Uygula)
Seilen kontrollerin uygulanmas ve BGYS
nin politika ve prosedrlere uygun olarak
iletilmesidir.

ACT

PLAN

CHECK
DO

CHECK (Kontrol et)

Uygulamann politikaya uygunluunun
denetlenmesidir.
ACT (yiletir)
BGYS iletiminin srekli iyilemesi iin
dzeltici ve nleyici faaliyetlerin
gerekletirilmesidir.
24/76

BGYS

Dier ynetim sistemleriyle etkileimli olarak ele alnmas gereken bir

ynetim sistemidir.

Kurumsal bilgi gvenlii srelerinin planlanmas, uygulanmas,

denetlenmesi ve iyiletirilmesi ile ilgili yntemler ierir.

Dokmante edilmi, ilerlii ve sreklilii garanti altna alnm olmaldr.

Bilgi Gvenlii teknik deil, ynetsel bir konudur. Bu nedenle BGYS bir IT
(Bilgi Teknolojileri) sistemi deildir. Bir Ynetim Sistemidir.

Kurumsal bir Bilgi Gvenlii Ynetimi Sisteminin uluslararas standartlara

uygun oluturulmas tavsiye edilir.

Standartlara uygun oluturulan sistemler belge almaya adaydr.

25/76

BGYS VE TEMEL BLEENLER

Sreleri
Teknoloji
Strateji ve Kullanm

Risk ve Zafiyet
Deerlendirmesi

Politika

Gvenlik Mimarisi ve
Teknik Standartlar
Ynetsel ve Son Kullanc ile lgili
Standartlar ve Prosedrler
Uygulama
Prosesleri

zleme
Prosesleri

yiletirme
Prosesleri

Eitim ve Farkndalk Program

Gvenlik Vizyonu ve Stratejisi

st Ynetim Destei

Bilgi Gvenlii Ynetim Sistemi

26/76

RSK YNETM

27/76

RSK YNETM NEDEN NEMLDR?

%100 gvenlik mmkn deildir!
Sfr risk ortam yoktur ve her zaman ynetilmesi gereken
riskler vardr.
Risk analiziyle ortama zg riskler anlalr.
Gerekli nlemler (kontroller) bu analiz nda belirlenir.
Kontroller uygulanarak riskler kabul edilir seviyeye indirilir.
ISO 27001 risk ynetimi tabanl bir yaklam
benimsemitir..

28/76

RSK YNETM NEDEN NEMLDR

nemli bir karar verme aracdr.

st ynetime mevcut gvenlik seviyesi ve hedefe yaknl
ile ilgili bilgi salar, bilgi gvenlii kararlarnn verilmesine
k tutar.
Kontroln maliyeti ve faydas arasndaki dengenin
kurulabilmesi iin yol gsterir.

29/76

RSK ANALZ TERMNOLOJS:

Varlk : Kurum iin deer tayan ve korunmas gereken
herey varlk olarak tanmlanr. Varlklar sre aklar
incelenerek belirlenir.

eitli ortamlardaki bilgiler

nsanlar
Kaytlar
Donanmlar
Yazlmlar
Tesisler
maj
Sreler
lemler

30/76

RSK ANALZ TERMNOLOJS:

Varlk Sahibi:
Sahibi
Varln deerini ve risklerini en iyi bilen ve risk analizi
srecinde bu kararlar veren, korunma gereksinimini
belirleyen birim veya kiidir.

Teknik Sahibi
Varl belirlenen gereksinimine uygun olarak
korunmasndan sorumlu olan birim veya kiidir.

31/76

RSK ANALZ TERMNOLOJS:

Tehdit : Bir varla zarar verme olasl olan
olaylar tehdit olarak tanmlanr.

Sabotaj
Hrszlk
Yangn
Deprem
Su baskn
Donanm arzalar
nsan hatalar
Kt niyetli giriimler vb.
32/76

RSK ANALZ TERMNOLOJS:

Zafiyet: Bir varln bir tehditten zarar grmesine
yol aacak zayflklar, varln korunmasz olma
halidir.

Eitimsiz insanlar
Zayf ifreler
Hatal kurulan cihazlar
Kilitsiz kaplar
Yetkisiz eriilebilen sistemler, odalar vb.

33/76

RSK ANALZ TERMNOLOJS:

Kontrol: Zafiyeti veya tehditlerin etkisini azaltma
yetenei olan, sistemler ve srelerdir.

Kartl giri sistemleri

Antivirs sistemleri
Alarm sistemleri
Gl ifreler
zleme sistemleri
Politika ve prosedrler

34/76

VARLIK TEHDT ZAFYET KONTROL

Risk analizi bu kavramlar arasndaki ilikiyi inceleyerek,
mevcut risk durumunu ortaya karr.
Risk analizi sonular sadece yapld an gsteren bir
fotoraf gibidir. Varlklar, tehditler, zafiyetler ve kontroller
srekli deikenlik gsterir.

35/76

BLG GVENLN SALAMAK N...

Risklerin farknda olmamz ve
Varlklar
Tehditler
Zafiyetler
Kontroller
arasndaki ilikiyi bilmemiz gerekir.
RSKLERN FARKINDA OLMAK BLG GVENLN
SALAMANIN LK ADIMIDIR!
36/76

RSK YNETM TERMNOLOJS:

Risk Ynetimi : Bir kurumu riskleri asndan
kontrol etmek ve ynlendirmek iin yaplan
koordinasyon altndaki almalardr.
Risk ynetimi, risk analizi, risk ileme, risk kabul
ve riskin duyurulmas faaliyetlerinin tmn kapsar.

Risk leme : Risk seviyelerini drmek

iin nlemlerin seimi, planlanmas ve
uygulanmas gibi etkinlikleridir.
37/76

RSK YNETM TERMNOLOJS:

Kalan Risk : Risk ileme srecinden sonra
artakalan risktir. Alnan tm nlemler, mevcut
tehdit ve zafiyet seviyeleri gz nne alnarak
dnlr.
Risk Kabul : Ynetimin riski gze alma
karardr. Bu noktadan sonra yeni kontroller
gerekli deildir.
Risk Kabul Kriteri : Ynetimin kabul edilebilir
olarak aklad risk seviyesi ve bunu karlayan
kontrollerdir.
38/76

UYGUN NLEMLERN (KONTROLLERN)

BELRLENMES
Kontroller, tehdide yol aan zafiyetleri azaltacak
veya tehdidin gerekleme olasln drecek
nlemlerdir.
ISO 27002 standardnda tavsiye niteliinde
yaklak 130 tane kontrol bulunmaktadr.
Her varlk-tehdit ifti iin uygun kontroller bu
tavsiyeler arasndan seilir.
Yeterli olmad durumlarda, yeni nlemler de
seilebilir.

39/76

UYGUN NLEMLERN (KONTROLLERN)

BELRLENMES
Bu aamada, atanan yeni kontrollerle risk
deerleri kabul edilebilir seviyeye ekilmi olur.
Bir kontroln neden seildiini, daha nce
belirlenen varlk-tehdit atamalar ile
ilikilendirebilmek nemlidir. Bylece risk
analizinin salkl bir ekilde yapldndan emin
olabiliriz.
Kontroller teknik veya ynetsel olabilir. Seilen
kontroller, hazrlanacak olan politika
dokmanlar, standartlar ve prosedrler iinde
yer alr.
40/76

RSK YLETRME ALTERNATFLER

st ynetimin risklerin kabul edilmesiyle ilgili yaklamn,
hangi seviyedeki ve/veya ne tr riskleri kabul edeceini
bir dier deyile risk kabul kriterlerini kararlatrmas
gerekir.
Her risk iin kabul kriterlerine uygunluk baz alnarak ele
alma yntemi belirlenir. Riskin;
Kabul edilmesi
Transfer edilmesi
Ynetilmesi
nlenmesi
kararlar verilebilir
41/76

RSK KARARLARI
Riskler ynetilirken aadaki kararlar verebiliriz:
Riski gze almak (Kap giri kontrol yapmamak, antivirs
sistemi kullanmamak, eitime nem vermemek ..)
Risklerimizi bakasna aktarmak (yangn sigortas, mesleki
sorumluluk sigortas, hrszlk sigortas yaptrmak, PCI),
Risklerin olasln drecek nlemler almak (elik kaplar,
alarm sistemleri, temiz masa, temiz ekran, izleme sistemleri,
yangn detektr)
Risklerin etkisini azaltacak nlemler almak (Yangn sndrc,
antivirs sistemleri, gvenlik testleri).
Riskten saknmak (Belli bir uygulamay devreye almamak..)

42/76

BLG GVENL
YNETM SSTEM
STANDARTLARI

43/76

BLG GVENL YNETM

STANDARTLARI
Endstrinin eitli kesimlerinden ykselen ortak bir gvenlik modeli
talebi standartlama gereini gndeme getirmitir.
Kurulular, birlikte i yaptklar taraflara kar ortak bir asgari gvenlik
seviyesi saladklarn kantlamak istemiler ve bunun iin bir
referansa gereksinim duymulardr.

Bilgi Gvenlii Ynetimi konusundaki ilk standart BSI (British Standard

Institute), tarafndan gelitirilmitir: BS 7799

44/76

BLG GVENL YNETM

STANDARTLARI
1993te Bilgi Gvenlii Ynetimi iin Kural Rehberi olarak yaynland.
1995te ngiliz Standard olarak kabul edildi: BS7799 -1
1998de sertifikasyon gerekleri tanmland , BS7799 -2 yaynland
1999da BS7799-1 ve 2 gncellendi
2000de ISO 17799 (BS7799-1) yaynland
2002de BS7799-2 gncellendi
ISO 17799:2005 yaynland

2005de ISO 27001:2005, BS7799-2 yerine geti

2006da TSE tarafndan TS ISO/IEC 27001 ve TS ISO/IEC 17799
isimleriyle yaymland.
2007de ISO 27002, BS7799-1 yerine geti
2008de ISO/IEC 27005:2008 (Information security risk management )
yaynland TSE tarafndan TS ISO/IEC 27005 ismiyle yaymland.
45/76

BLG GVENL YNETM

STANDARTLARI
ISO 27002:
Biliim Gvenlii iin sistem oluturma kurallar tanmlanr.
11 blmde gerekli kontroller tanmlanmtr.
ISO 27001:
Bilgi Gvenlii Ynetim Sistemleri sertifika kriterlerini ierir.

46/76

ISO 27001 KONTROL ALANLARI

47/76

27001 Gvenlik Kontrolleri (Annex)

A.5 Gvenlik Politikas
A.6 Bilgi Gvenlii rganizasyonu
A.7 Varlk Ynetimi
A.8 nsan kaynaklar ynetimi
A.9 Fiziksel ve evresel gvenlik
A.10 Haberleme ve iletim ynetimi
A.11 Eriim Kontrol
A.12 Bilgi sistemleri edinim, gelitirme ve bakm
A.13 Bilgi gvenlii ihlal olay ynetimi
A.14 sreklilii ynetimi
A.15 Yasal Uyumluluk

48/76

A.5 Gvenlik Politikas

A.5.1 BLG GVENL POLTKASI

Ama: Bilgi gvenlii iin, i

gereksinimleri ve ilgili yasa ve
dzenlemelere gre ynetim
ynlendirmesi ve destei salamak.
5.1.1 Bilgi gvenlii politika dokman
5.1.2 Bilgi gvenlii politikasn gzden geirme

49/76

A.6 Bilgi Gvenlii Organizasyonu

A.6.1 Organizasyon

Ama: Kurulu ierisindeki bilgi gvenliini ynetmek.

6.1.1 Ynetimin bilgi gvenliine ball

6.1.2 Bilgi gvenlii koordinasyonu
6.1.3 Bilgi gvenlii sorumluluklarnn tahsisi
6.1.4 Bilgi ileme tesisleri iin yetki prosesi
6.1.5 Gizlilik anlamalar
6.1.6 Otoritelerle iletiim
6.1.7 zel ilgi gruplar ile iletiim
6.1.8 Bilgi gvenliinin bamsz gzden geirmesi
A.6.2 D Taraflar

Ama: Kuruluun d taraflarca eriilen, ilenen, iletiim kurulan veya

ynetilen bilgi ve bilgi ileme olanaklarnn gvenliini salamak.
6.2.1 D taraflarla ilgili riskleri tanmlama
6.2.2 Mterilerle ilgilenirken gvenlii ifade etme
6.2.3 nc taraf anlamalarnda gvenlii ifade etme

50/76

A.7 Varlk Ynetimi

A.7.1 Varlklarn Sorumluluu

Ama: Kurumsal varlklarn uygun korumasn salamak ve

srdrmek.

7.1.1 Varlklarn envanteri

7.1.2 Varlklarn sahiplii
7.1.3 Varlklarn kabul edilebilir kullanm
A.7.2 Bilgi Snflandrmas
Ama: Bilgi varlklarnn uygun seviyede koruma almalarn
salamak.
7.2.1 Snflandrma klavuzu
7.2.2 Bilgi etiketleme ve ileme
51/76

A.8 nsan Kaynaklar Gvenlii

A.8.1 stihdam ncesi

Ama: alanlar, ykleniciler ve nc taraf kullanclarn kendi

sorumluluklarn anlamalarn ve dnldkleri roller iin uygun olmalarn
salamak ve hrszlk, sahtecilik ya da olanaklarn yanl kullanm risklerini
azaltmak.
8.1.1 Roller ve sorumluluklar
8.1.2 Tarama
8.1.3 stihdam koullar

A.8.2 alma Esnasnda

Ama: Tm alanlar, ykleniciler ve nc taraf kullanclarn bilgi

gvenliine ilikin tehditler ve kayglarn ve kendi sorumluluklarnn farknda
olmalarn ve normal almalar srasnda kurumsal gvenlik politikasn
desteklemek ve insan hatas riskini azaltmak zere donatlmalarn salamak.
8.2.1 Ynetim sorumluluklar
8.2.2 Bilgi gvenlii farkndal, eitim ve retimi
8.2.3 Disiplin prosesi

52/76

A.9 Fiziksel ve evresel Gvenlik

A.9.1 Gvenli Alanlar

Ama: Kurulu binalarna, nitelerine ve bilgilerine yetki d fiziksel eriimi, hasar ve

mdahaleyi engellemek.

9.1.1 Fiziksel gvenlik evresi

9.1.2 Fiziksel giri kontrolleri
9.1.3 Ofisler, odalar ve olanaklar korumaya alma
9.1.4 D ve evresel tehditlere kar koruma
9.1.5 Gvenli alanlarda alma
9.1.6 Ak eriim, datm ve ykleme alanlar

A.9.2 Tehizat Gvenlii

Ama: Varlklarn kaybn, hasarn, alnmasn ya da tehlikeye girmesini ve kuruluun

faaliyetlerinin kesintiye uramasn engellemek.

9.2.1 Tehizat yerletirme ve koruma

9.2.2 Destek hizmetleri
9.2.3 Kablolama gvenlii
9.2.4 Tehizat bakm
9.2.5 Kurulu dndaki tehizatn gvenlii
9.2.6 Tehizatn gvenli olarak elden karlmas ya da tekrar kullanm
9.2.7 Mlkiyet karm

53/76

A.10 Haberleme ve letim Ynetimi

A.10.1 Operasyonel Prosedrler Ve Sorumluluklar

Ama: Bilgi ileme olanaklarnn doru ve gvenli iletimini salamak.

10.1.1 Dokmante edilmi iletim prosedrleri

10.1.2 Deiim ynetimi
10.1.3 Grev ayrmlar
10.1.4 Gelitirme, test ve iletim olanaklarnn ayrm
A.10.2 nc Taraf Hizmet Salama Ynetimi

Ama: nc taraf hizmet salama anlamalaryla uyumlu olarak uygun bilgi gvenlii ve hizmet
datm seviyesi gerekletirmek ve srdrmek.

10.2.1 Hizmet salama

10.2.2 nc taraf hizmetleri izleme ve gzden geirme
10.2.3 nc taraf hizmetlerdeki deiiklikleri ynetme
A.10.3 Sistem Planlama Ve Kabul

Ama: Sistem baarszlklar riskini en aza indirmek.

10.3.1 Kapasite planlama

10.3.2 Sistem kabul
A.10.4 Kt Niyetli Ve Mobil Koda Kar Koruma

Ama: Yazlm ve bilginin btnln korumak.

10.4.1 Kt niyetli koda kar kontroller

10.4.2 Mobil koda kar kontroller

54/76

A.10 Haberleme ve letim Ynetimi - Devam

A.10.5 Yedekleme

Ama: Bilgi ve bilgi ileme olanaklarnn btnln ve kullanlabilirliini

salamak.
10.5.1 Bilgi yedekleme

A.10.6 A Gvenlii Ynetimi

Ama: Adaki bilginin ve destekleyici alt yapnn korunmasn salamak.
10.6.1 A kontrolleri
10.6.2 A hizmetleri gvenlii

A.10.7 Ortam leme

Ama: Varlklarn yetkisiz ifa edilmesi, deitirilmesi, kaldrlmas veya yok

edilmesini ve i faaliyetlerinin kesintiye uramasn nlemek.

10.7.1 Tanabilir ortam ynetimi

10.7.2 Ortamn yok edilmesi
10.7.3 Bilgi ileme prosedrleri
10.7.4 Sistem dokmantasyonu gvenlii

55/76

A.10 Haberleme ve letim Ynetimi - Devam

A.10.8 Bilgi Deiimi

Ama: Bir kurulu iindeki ve herhangi bir d varlk ile deitirilen bilgi ve yazlmn gvenliini
salamak.

10.8.1 Bilgi deiim politikalar ve prosedrleri

10.8.2 Deiim anlamalar
10.8.3 Aktarlan fiziksel ortam
10.8.4 Elektronik mesajlama
10.8.5 bilgi sistemleri
A.10.9 Elektronik Ticaret Hizmetleri

Ama: Elektronik ticaret hizmetlerinin gvenliini ve bunlarn gvenli kullanmn salamak.

10.9.1 Elektronik ticaret

10.9.2 evrimii ilemler
10.9.3 Herkese ak bilgi
A.10.10 zleme

Ama: Yetkisiz bilgi ileme faaliyetlerini alglamak.

10.10.1 Denetim kaydetme

10.10.2 Sistem kullanmn izleme
10.10.3 Kayt bilgisinin korunmas
10.10.4 Ynetici ve operatr kaytlar
10.10.5 Hata kayd
10.10.6 Saat senkronizasyonu

56/76

A.11 Eriim Kontrol

A.11.1 Eriim Kontrol in Gereksinimleri

Ama: Bilgiye eriimi kontrol etmek.

11.1.1 Eriim kontrol politikas

A.11.2 Kullanc Eriim Ynetimi

Ama: Bilgi sistemlerine yetkili kullanc eriimini salamak ve yetkisiz eriimi

nlemek.

11.2.1 Kullanc kayd

11.2.2 Ayrcalk ynetimi
11.2.3 Kullanc parola ynetimi
11.2.4 Kullanc eriim haklarnn gzden geirilmesi
A.11.3 Kullanc Sorumluluklar
Ama: Yetkisiz kullanc eriimini ve bilgi ve bilgi ileme olanaklarnn tehlikeye
atlmasn ya da alnmasn nlemek.
11.3.1 Parola kullanm
11.3.2 Gzetimsiz kullanc tehizat
11.3.3 Temiz masa ve temiz ekran politikas

57/76

A.11 Eriim Kontrol - Devam

A.11.4 A Eriim Kontrol

Ama: A balantl hizmetlere yetkisiz eriimi nlemek.

11.4.1 A hizmetlerinin kullanmna ilikin politika

11.4.2 D balantlar iin kullanc kimlik dorulama
11.4.3 Alarda tehizat tanmlama
11.4.4 Uzak tan ve yaplandrma portu koruma
11.4.5 Alarda ayrm
11.4.6 A balant kontrol
11.4.7 A ynlendirme kontrol
A.11.5 letim Sistemi Eriim Kontrol

Ama: letim sistemine yetkisiz eriimi nlemek.

11.5.1 Gvenli oturum ama prosedrleri

11.5.2 Kullanc kimlik tanmlama ve dorulama
11.5.3 Parola ynetim sistemi
11.5.4 Yardmc sistem programlarnn kullanm
11.5.5 Oturum zaman am
11.5.6 Balant sresinin snrlandrlmas

58/76

A.11 Eriim Kontrol - Devam

A.11.6 Uygulama Ve Bilgi Eriim Kontrol

Ama: Uygulama sistemlerinde tutulan bilgilere yetkisiz eriimi

nlemek.

11.6.1 Bilgi eriim kstlamas

11.6.2 Hassas sistem yaltm
A.11.7 Mobil Bilgi leme Ve Uzaktan alma
Ama: Mobil bilgi ileme ve uzaktan alma hizmetlerini kullanrken
bilgi gvenliini salamak.
11.7.1 Mobil bilgi ileme ve iletiim
11.7.2 Uzaktan alma

59/76

A.12 Bilgi Sistemleri Edinim, Gelitirme Ve

Bakm

A.12.1 Bilgi Sistemlerinin Gvenlik Gereksinimleri

Ama: Gvenliin bilgi sistemlerinin dahili bir paras olmasn salamak.

12.1.1 Gvenlik gereksinimleri analizi ve belirtimi

A.12.2 Uygulamalarda Doru leme

Ama: Uygulamalardaki bilginin hatalarn, kaybn, yetkisiz deitirilmesini ve

ktye kullanmn nlemek.

12.2.1 Giri verisi geerleme

12.2.2 ileme kontrol
12.2.3 Mesaj btnl
12.2.4 k verisi geerleme
A.12.3 Kriptografik Kontroller
Ama: Bilginin gizliliini, aslna uygunluunu ya da btnln kriptografik
yntemlerle korumak.
12.3.1 Kriptografik kontrollerin kullanmna ilikin politika
12.3.2 Anahtar ynetimi

60/76

A.12 Bilgi Sistemleri Edinim, Gelitirme Ve

Bakm - Devam

A.12.4 Sistem Dosyalarnn Gvenlii

Ama: Sistem dosyalarnn gvenliini salamak.

12.4.1 Operasyonel yazlmn kontrol

12.4.2 Sistem test verisinin korunmas
12.4.3 Program kaynak koduna eriim kontrol
A.12.5 Gelitirme Ve Destekleme Proseslerinde Gvenlik

Ama: Uygulama sistem yazlm ve bilgisinin gvenliini salamak.

12.5.1 Deiim kontrol prosedrleri

12.5.2 letim sistemindeki deiikliklerden sonra teknik gzden geirme
12.5.3 Yazlm paketlerindeki deiikliklerdeki kstlamalar
12.5.4 Bilgi szmas
12.5.5 Dardan salanan yazlm gelitirme
A.12.6 Teknik Aklk Ynetimi

Ama: Yaynlanm teknik aklklarn istismarndan kaynaklanan riskleri

azaltmak.
12.6.1 Teknik aklklarn kontrol

61/76

A.13 Bilgi Gvenlii Olay Ynetimi

A.13.1 Bilgi Gvenlii Olaylar Ve Zayflklarnn Rapor Edilmesi

Ama: Bilgi sistemleri ile ilikili bilgi gvenlii olaylar ve zayflklarnn

zamannda dzeltici nlemlerin alnabilmesine izin verecek ekilde
bildirilmesini salamak.

13.1.1 Bilgi gvenlii olaylarnn rapor edilmesi

13.1.2 Gvenlik zayflklarnn rapor edilmesi
A.13.2 Bilgi Gvenlii hlal Olaylar Ve yiletirmelerinin Ynetilmesi
Ama: Bilgi gvenlii ihlal olaylarnn ynetimine tutarl ve etkili bir yaklamn
uygulanmasn salamak.
13.2.1 Sorumluluklar ve prosedrler
13.2.2 Bilgi gvenlii ihlal olaylarndan renme
13.2.3 Kant toplama

62/76

A.14 Sreklilii Ynetimi

A.14.1 Sreklilii Ynetiminde Bilgi Gvenlii Hususlar

Ama: faaliyetlerindeki kesilmeleri nlemek ve nemli i proseslerini byk

bilgi sistemleri baarszlklarndan ya da felaketlerden korumak ve bunlarn
zamannda devam etmesini salamak.
14.1.1 Bilgi gvenliini i sreklilii ynetim prosesine dahil etme
14.1.2 sreklilii ve risk deerlendirme
14.1.3 Bilgi gvenliini ieren sreklilik planlarn gelitirme ve
gerekletirme
14.1.4 sreklilii planlama erevesi
14.1.5 sreklilii planlarn test etme, srdrme ve yeniden
deerlendirme

63/76

A.15 Uyum

A.15.1 Yasal Gereksinimlere Uyum

Ama: Her trl hukuka, yasal, dzenleyici ya da szlemeye tabi ykmllklere ve her
trl gvenlik gereksinimlerine ilikin ihlalleri nlemek.

15.1.1 Uygulanabilir yasalar tanmlanma

15.1.2 Fikri mlkiyet haklar (IPR)
15.1.3 Kurumsal kaytlarn korunmas
15.1.4 Veri koruma ve kiisel bilgilerin gizlilii
15.1.5 Bilgi ileme olanaklarnn ktye kullanmn nleme
15.1.6 Kriptografik kontrolleri dzenleme
A.15.2 Gvenlik Politikalar Ve Standartlarla Uyum Ve Teknik Uyum

Ama: Sistemlerin kurumsal gvenlik politikalar ve standartlaryla uyumunu salamak.

15.2.1 Gvenlik politikalar ve standartlarla uyum

15.2.2 Teknik uyum kontrol
A.15.3 Bilgi Sistemleri Denetim Hususlar

Ama: Sistemlerin kurumsal gvenlik politikalar ve standartlaryla uyumunu salamak.

15.3.1 Bilgi sistemleri denetim kontrolleri

15.3.2 Bilgi sistemleri denetim aralarnn korunmas
64/76

BGYS N KRTK BAARI FAKTRLER

Bilgi gvenlii politikasnn i gereksinimleriyle balantl olmas,
BGYSnin kurum kltryle tutarl bir yaklamla uygulanmas,
st ynetim desteinin ve kararllnn gzle grlr seviyede olmas,

Gvenlik gereksinimlerinin, risk tespit ve ynetiminin iyi anlalm olmas,

Gvenlik konusunun ynetici ve alanlara iyi benimsetilmesi
Gvenlik politika ve standartlarnn kurum iinde ve dndaki ilgili taraflara
datlarak duyurulmas,

Gerekli eitim ve bilinlendirmenin srekli olarak salanmas,

BGYS performansnn deerlendirilebilmesi iin kapsaml bir lt
mekanizmasnn kurulmas ve iyiletirme iin alanlarn nerilerinin
deerlendirmeye alnmas

65/76

BGYS DOKMANTASYONU

BGYS dokmantasyonu aadaki bileenlerden olumaldr:

Bilgi gvenlii politika dokman
BGYSnin kapsam
Politikalar ve destekleyici dokmanlar
Risk deerlendirme metodolojisi
Risk deerlendirme raporu
Risk iyiletirme plan
BGYS prosedr
Kontroln etkinliin nasl lleceine dair yntem
Uygunluk Beyan (Statement of Applicability Report)

66/76

BLG GVENL POLTKASI

Kurumsal Bilgi Gvenlii Politikas, Bilgi Gvenlii Ynetimi
Sisteminin temelini oluturur.

Politika, kurumsal bilgi gvenlii stratejilerini belirler.

Stratejiye uygun gvenlik hedeflerini oluturmak iin yol gsterir.
Kurumsal i hedefleriyle mutlaka ilikilendirilmi olmaldr.

Kurum apnda katk ve katlm zendirici olmaldr.

Kurumun st dzey ynetiminin desteini ve konuya verdii nemi
aka yanstmal ve kurum iinde gerekli yetkilendirmeyi,
yaptrmlar tanmlamaldr.
Politikann gzden geirilmesi ve etkinliinin llebilmesi iin
gerekli admlar ve denetim mekanizmas tanml olmaldr.
67/76

BLG GVENL ORGANZASYON YAPISI

Gvenlik Politikas
Bildirisi

ISMS
Bilgi Gvenlii Ynetim
Sistemi
Gvenlik Ynetimi

st Ynetim Temsilcisi

Felaketlerden
Kurtarma
Ekibi

Bilgi Gvenlii
Komitesi

Gvenlik Mdahale
Olaylara
Mdahale
Ekibi

lgili d
taraflar

Gvenlik Sreklilii

Gvenlik
ihlallerinin
izlenmesi

Deiikliklerin
kontrol altnda
tutulmas

Sreklilii

Gvenlik Altyaps

Politikalar

Standartlar

Planlar/
Programlar

Gvenlik Analizi
Risk
Deerlendirmesi

Uyumluluk

Gvenlik Eitimleri

Sistem denetimi
ve uygunluk
deerlendirmesi

Gvenlik
Bilgilendirme
Program

Gvenlik
Kontrollerinin
Seimi

Klavuzlar

GvenlikSreleri
Prosedrler

Gvenlik Sreleri ile ilgili

Fonksiyonlar, Bileenler

Bilgi Gvenlii Ynetimi iin yukardaki srelerin birlikte alabilirlii salanmaldr. Bu amala, fonksiyonlar
yerine getirmek iin uygun atamalarn yaplmas gerekir. Ayn kii birden ok fonksiyonu stlenebilir.

68/76

SERTFKASYON KRTERLER

ISO 27001 Madde 4-8 ile uyumluluk sertifikasyon iin VAZGELMEZ

maddelerdir.
MADDE 4: Bilgi gvenlii ynetim sistemi
4.1 Genel gereksinimler
4.2 BGYSnin kurulmas ve ynetilmesi
4.3 Dokmantasyon gereksinimleri
MADDE 5: Ynetim sorumluluu
5.1 Ynetimin ball
5.2 Kaynak ynetimi
MADDE 6: BGYS i denetimleri

69/76

SERTFKASYON KRTERLER

ISO 27001 Madde 4-8 ile uyumluluk sertifikasyon iin VAZGELMEZ

maddelerdir.
MADDE 7: BGYSni ynetimin gzden geirmesi
7.1 Genel
7.2 Gzden geirme girdisi
7.3 Gzden geirme kts
MADDE 8: BGYS iyiletirme
8.1 Srekli iyiletirme
8.2 Dzeltici faaliyet
8.3 nleyici faaliyet

70/76

SERTFKASYON KRTERLER

BGYS dokmantasyonu aadakileri iermelidir:

Bilgi gvenlii politika dokman

BGYSnin kapsam
Politikalar ve destekleyici dokmanlar
Risk deerlendirme metodolojisi
Risk deerlendirme raporu
Risk iyiletirme plan
BGYS prosedr
Kontroln etkinliin nasl lleceine dair yntem
Uygunluk Beyan (Statement of Applicability Report)
71/76

SERTFKASYON KRTERLER
ISO 27001 Annex de tanmlanan tm
kontroller uygulanm olmal ve kantlar
sunulmaldr.
Hari tutulan kontroller risk analizi ve risk
kabul kriterleriyle ilikilendirilerek
gerekelendirilebilmelidir.

72/76

DENETM SREC
Aratrma / Bavuru

n-Denetim (istee bal)

Sertifikasyon Denetimi
1. Aama: Dokmantasyon Denetimi
2. Aama: Uygulama Denetimi

Belgelendirme

Her 3 ylda 1. aamann bir blm ve 2.

aamann tamam
73/76

1. AAMA DENETM - Dokumantasyon

ISO 27001 Madde 4n karlandnn nesnel kantlarla gsterilmesi gerekir:

Gvenlik politikas
Kapsam
Risk deerlendirme
Risk zmleme ve derecelendirme
Risk ileme
Kontrol seimleri
Onaylama
Uygulanabilirlik Bildirgesi
BGYSnin gzden geirme ve iyiletirme aamalar
Kontrol etkinliinin llmesi
Dokmantasyon gereksinimleri
Kaytlar
74/76

2. AAMA DENETM - Uygulamalar

Dokmantasyon denetiminde Kurumun varln beyan ettii

BGYSnin uygulanp uygulanmadnn yerinde denetlenmesi

Balca faaliyetler unlardr:

BGYS sahipleri ve kullanclar ile grmeler

Deiik seviyelerdeki risk alanlarnn gzden geirilmesi
Gvenliin ve ynetimin katksnn gzden geirilmesi
Dokmantasyon ile uygulama arasndaki balantlarn tespiti
Bulgularn raporlanmas ve sonu nerilerinin verilmesi

75/76

SORULARINIZ ?
Teekkr Ederiz.

76/76