Professional Documents
Culture Documents
ve YNETM
Trkiye Biliim Dernei
Ankara ubesi Eitim Etkinlii
26 Mays 2009 Sal, 09:30-12:30
Eitimci : Nee SAYARI
1/76
GNDEM
BLG GVENL
NEDR?
NEDEN NEMLDR?
3/76
KURUMSAL BLG:
Bilgi bir kurumun i yapabilmesi iin sahip olduu nemli
varlklarn en banda gelir. Kurum sahip olduu bilgiyi
derler, retir, iler, saklar, satar, dier kii ve kurumlarla
paylar. Bilgi;
Gizlilik
Btnlk
Eriilebilirlik
anlamna gelir.
5/76
BLGNN GZLL
Bilgi gizliliinin gzetilmesi
Bilginin sadece yetkili kiiler
tarafndan eriilebilir durumda
olmas,
Yetkisiz kiilerin eriiminin
engellenmesidir.
Btnlk
GZLLK
Eriilebilirlik
6/76
BLGNN BTNL
Bilginin btnl;
eriinin doru,
Gncel ve geerli olduu,
Yetkisiz kiiler tarafndan
deitirilmedii anlamna gelir.
BTNLK
Gizlilik
Eriilebilirlik
7/76
BLGNN ERLEBLRL
Bilginin eriilebilirlii;
Bilginin olmas gereken yerde ve
gerektiinde kullanma hazr
olduunun gvence altnda
Gizlilik
tutulmasdr.
Btnlk
ERLEBLRLK
8/76
zarar grebilir.
10/76
NE TR TEHDTLER VAR?
Servis d brakma saldrlar
Kimlik bilgilerinizin ele geirilerek kt
amala kullanlmas
Virus, kurtcuk, trojan saldrlar
Bilgisayarnzn bakas tarafndan ele
geirilerek su ilenmesi
Bilgisayarnzn kurum ana giri
kaps olarak kullanlmas
Web sayfas ieriini deitirme
zinsiz kaynak kullanm
Kuruma ait bilgisayardan darya
yaplabilecek saldrlar
12/76
BLG GVENL
GEREKSNMLER NASIL
BELRLENR?
15/76
18/76
GVENLK GEREKSNMLER:
-Daha nce yaanan gvenlik sorunlar Kurumda daha nce yaanan gvenlik olaylar,
gzlenen gvenlik aklar,
Bu olaylardan renerek, tekrarn engellemek
iin nlemler.
20/76
KURUM GEREKSNMLERNN
NCELENMES
gereksinimleri
Kurum yaps
Gvenlik riskleri
Bte
Dier koullar
Gizlilik
Btnlk
Eriilebilirlik
BGYS SRELER
NELERDR?
22/76
23/76
ACT
PLAN
CHECK
DO
BGYS
Bilgi Gvenlii teknik deil, ynetsel bir konudur. Bu nedenle BGYS bir IT
(Bilgi Teknolojileri) sistemi deildir. Bir Ynetim Sistemidir.
Risk ve Zafiyet
Deerlendirmesi
Politika
Gvenlik Mimarisi ve
Teknik Standartlar
Ynetsel ve Son Kullanc ile lgili
Standartlar ve Prosedrler
Uygulama
Prosesleri
zleme
Prosesleri
yiletirme
Prosesleri
st Ynetim Destei
RSK YNETM
27/76
28/76
29/76
30/76
Teknik Sahibi
Varl belirlenen gereksinimine uygun olarak
korunmasndan sorumlu olan birim veya kiidir.
31/76
Sabotaj
Hrszlk
Yangn
Deprem
Su baskn
Donanm arzalar
nsan hatalar
Kt niyetli giriimler vb.
32/76
Eitimsiz insanlar
Zayf ifreler
Hatal kurulan cihazlar
Kilitsiz kaplar
Yetkisiz eriilebilen sistemler, odalar vb.
33/76
34/76
35/76
39/76
RSK KARARLARI
Riskler ynetilirken aadaki kararlar verebiliriz:
Riski gze almak (Kap giri kontrol yapmamak, antivirs
sistemi kullanmamak, eitime nem vermemek ..)
Risklerimizi bakasna aktarmak (yangn sigortas, mesleki
sorumluluk sigortas, hrszlk sigortas yaptrmak, PCI),
Risklerin olasln drecek nlemler almak (elik kaplar,
alarm sistemleri, temiz masa, temiz ekran, izleme sistemleri,
yangn detektr)
Risklerin etkisini azaltacak nlemler almak (Yangn sndrc,
antivirs sistemleri, gvenlik testleri).
Riskten saknmak (Belli bir uygulamay devreye almamak..)
42/76
BLG GVENL
YNETM SSTEM
STANDARTLARI
43/76
44/76
46/76
47/76
48/76
49/76
A.6.1 Organizasyon
50/76
52/76
53/76
Ama: nc taraf hizmet salama anlamalaryla uyumlu olarak uygun bilgi gvenlii ve hizmet
datm seviyesi gerekletirmek ve srdrmek.
54/76
A.10.5 Yedekleme
55/76
Ama: Bir kurulu iindeki ve herhangi bir d varlk ile deitirilen bilgi ve yazlmn gvenliini
salamak.
56/76
57/76
58/76
59/76
60/76
61/76
62/76
63/76
A.15 Uyum
Ama: Her trl hukuka, yasal, dzenleyici ya da szlemeye tabi ykmllklere ve her
trl gvenlik gereksinimlerine ilikin ihlalleri nlemek.
65/76
BGYS DOKMANTASYONU
66/76
ISMS
Bilgi Gvenlii Ynetim
Sistemi
Gvenlik Ynetimi
st Ynetim Temsilcisi
Felaketlerden
Kurtarma
Ekibi
Bilgi Gvenlii
Komitesi
Gvenlik Mdahale
Olaylara
Mdahale
Ekibi
lgili d
taraflar
Gvenlik Sreklilii
Gvenlik
ihlallerinin
izlenmesi
Deiikliklerin
kontrol altnda
tutulmas
Sreklilii
Gvenlik Altyaps
Politikalar
Standartlar
Planlar/
Programlar
Gvenlik Analizi
Risk
Deerlendirmesi
Uyumluluk
Gvenlik Eitimleri
Sistem denetimi
ve uygunluk
deerlendirmesi
Gvenlik
Bilgilendirme
Program
Gvenlik
Kontrollerinin
Seimi
Klavuzlar
GvenlikSreleri
Prosedrler
Bilgi Gvenlii Ynetimi iin yukardaki srelerin birlikte alabilirlii salanmaldr. Bu amala, fonksiyonlar
yerine getirmek iin uygun atamalarn yaplmas gerekir. Ayn kii birden ok fonksiyonu stlenebilir.
68/76
SERTFKASYON KRTERLER
69/76
SERTFKASYON KRTERLER
70/76
SERTFKASYON KRTERLER
SERTFKASYON KRTERLER
ISO 27001 Annex de tanmlanan tm
kontroller uygulanm olmal ve kantlar
sunulmaldr.
Hari tutulan kontroller risk analizi ve risk
kabul kriterleriyle ilikilendirilerek
gerekelendirilebilmelidir.
72/76
DENETM SREC
Aratrma / Bavuru
Belgelendirme
Gvenlik politikas
Kapsam
Risk deerlendirme
Risk zmleme ve derecelendirme
Risk ileme
Kontrol seimleri
Onaylama
Uygulanabilirlik Bildirgesi
BGYSnin gzden geirme ve iyiletirme aamalar
Kontrol etkinliinin llmesi
Dokmantasyon gereksinimleri
Kaytlar
74/76
75/76
SORULARINIZ ?
Teekkr Ederiz.
76/76