Professional Documents
Culture Documents
al irm
tın al
a
ku a a rın
ru lan b
m , ilg
sa IS i
l b O gü
ir sta ve
yö nd nli
ne ar ği
tim tla ni
g
si rına üve
st
em uy nce
id gu
ir n
istiyor musunuz?
BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ
Ama...
Ofis dokümanlarındaki verilerin güncellikleri ve versiyonlarını takip etmekten,
Farklı kişilerin doldurduğu dokümanları konsolide etmekten,
Farklı dokümanlarda bulunan verileri manuel olarak ilişkilendirmekten (ör: risk
senaryoları ile varlık listelerini, iç denetim bulguları ile düzeltici faaliyetleri, v.b.),
Yazılı olsa bile, risk analizi, iç denetim ve düzeltici faaliyet süreçlerinizi tekrar
tekrar hatırlamaya çalışmaktan yorulduysanız,
ISO27001 standardına uyumu güvence altına almak ve kurulan sistemin ISO31000 Risk Yönetim Standardı’na
uyumunu değerlendirmek için, iç denetimde kullanılmak üzere, BGYS soruları hazır olarak sunulmaktadır. BGYS
soruları en detaylı uyum gereksinimlerine yönelik olup, sorulara verilen yanıtlarla her bir uygunsuzluk net ve
anlaşılır bir biçimde ortaya konulmaktadır.
Risk analizi ve olay yönetimi modülleri entegrasyonu sayesinde, risk analizi sırasında ilgili varlığın daha önce
maruz kaldığı olay kayıtları görüntülenebilir ve tehdit profili hakkında daha somut bilgilere ulaşılabilir.
İç denetim ve düzeltici faaliyet modülleri entegrasyonu sayesinde, bir önceki iç denetim tarihinden sonra
kapatılmış olan düzeltici faaliyetler etkinlikleri değerlendirilmek üzere uygulama üzerinde denetime dahil edilebilir.
Düzeltici faaliyet yönetim süreci diğer üç kritik BGYS sürecine entegre olduğu için gereksiz tekrarlar önlenir.
Örneğin risk analizinde belirlenmiş olan bir düzeltici faaliyet bir olay kaydı ile de ilişkilendirilebilir. Benzer şekilde
aynı düzeltici faaliyet bir iç denetim bulgusuna da bağlanabilir. Her bir düzeltici faaliyet kaydı üzerinde düzeltici
faaliyetin kaynakları izlenebilir.
Kurumsal uygulama;
BTRWatch üzerindeki fonksiyonları kullanabilecek çok sayıda kullanıcı rolü oluşturulabilir. BTRisk’in geliştirdiği
BGYS metodu doğrultusunda öngördüğü roller, uygulama üzerinde tanımlı olarak gelir. Rol altyapısı sayesinde
bilgi güvenliği ve iç denetim alanlarında uzman ekipler yönetim rollerini, risk analizi ve iç denetim süreçlerinin
delege edilen kısımlarının atanacağı personel ise analist ve denetçi rollerini üstlenebilir. Böylece aynı anda ve
aynı yönetim sistemi bünyesinde çok sayıda kullanıcı, görevleri paylaşarak farklı coğrafi alan veya kapsamlarda
risk analizi ve iç denetim çalışmalarını eşzamanlı olarak sürdürebilirler.
Risk analizi ve iç denetim yönetimi rolündeki kullanıcılar, görev atanmış analist ve denetçilerin çalışmalarını, özet
grafikler ve listeler üzerinden merkezi olarak izleyebilirler. Ayrıca analist ve denetçiler’in çalışmaları yönetim ekibi
tarafından gözden geçirilebilir, onaylanabilir ve düzeltilmesi için tekrar analist veya denetçilere iade edilebilir. İç
denetçiler izledikleri denetim prosedürlerine ilişkin destekleyici doküman ve kanıtları uygulamaya yükleyebilir ve
yönetim ekibinin dikkatine sunabilir.
Her risk analizi ve iç denetim dönemi saklanır. Dolayısıyla geçmiş dönemlerdeki risk analizi ve iç denetim
sonuçları izlenebilir.
Örneğin;
BTRWatch üzerinde yürütülen süreçlerin (risk analizi, iç denetim, olay ve zayıflık yönetimi, düzeltici faaliyet
yönetimi) tümünün çıktıları Yönetim Gözden Geçirme (YGG) faaliyetlerinde yapılacak olan
değerlendirmelere ışık tutar.
Sızma testleri ve farkındalık eğitimleri, etkili bir risk analiz faaliyetinin sonuçlarını esas alarak, güvenlik
ihtiyacının yoğun olduğu alanlara odaklanabilirler. Bu sayede kurum kaynakları daha etkili kullanılır ve risk
olasılıkları en aza indirilebilir.
Olay yönetim sürecinin aktif biçimde işletilmesi halinde, tutulan olay ve zayıflık kayıtlarının ışığında, sızma
testi ve farkındalık eğitimleri tehdit olasılığının yüksek olduğu alanlara odaklanabilir.
BTRWatch üzerinde yürütülen kritik bilgi güvenliği yönetim süreçleri, sadece diğer süreçlere girdi
sağlamaz. Aynı zamanda bu süreçlerden doğacak çıktıları bünyesine alarak manuel süreçlerle tam bir
entegrasyon gerçekleştirir.
Örneğin;
Politika ve prosedürlerde belirtilen ve ISO27002 dokümanında yer almayan kontroller kontrol sorularına
eklenerek, risk analizi ve iç denetim süreçlerine dahil edilir.
Güvenlik altyapısındaki değişiklikler varlık envanterine yansıtılarak risk analizine dahil edilir.
Güvenlik operasyonları sırasında tespit edilen ve karşılaşılan güvenlik olayları kayıt altına alınarak gerekli
önlemlerin alınması için düzeltici faaliyet süreci tetiklenir.
Sızma testleri sonucunda bulunulan açıklıklar zayıflık kaydı olarak ele alınır, gerekli düzeltici faaliyet süreci
başlatılır.
Yönetim Gözden Geçirme (YGG) sürecinin sonucu olarak belirlenen gereksinimler, gereksinim kaydı olarak
kaydedilir. Yine yönetim tarafından gözlenen zayıflıklar zayıflık olarak kaydedilir. Belirlenen zayıflık ve
gereksinimlerin gereği olan faaliyetler düzeltici faaliyet sürecinde takip edilir.
Pratik çözümler;
Her bir risk senaryosu için gereksiz tekrarı
önleyebilmek amacıyla, varlıklar ve tehditler,
ilgili risk senaryosuna özel biçimde
gruplanabilir. Bununla birlikte belli varlıkların,
zafiyetlerin, tehditlerin geçtiği risk senaryoları
raporlama imkanları sayesinde filtrelenebilir.
Böylece gruplanmış olsalar dahi belli bir varlık
veya tehdidin dahil edildiği senaryolar
listelenebilir.
Bir önceki dönemden mevcut döneme risk senaryolarının aktarımı sırasında, eğer aktarılan risk senaryosu ile
ilgili bir düzeltici faaliyet planlanmış ve mevcut dönem başlamadan tamamlanmış ise, bu durum zafiyet
düzeyine ve dolayısıyla risk değerine otomatik olarak yansıtılır.
Zafiyetleri belirlemek için kullanılan sorular ISO27002 dokümanı ile paralel biçimde hazırlanmıştır. Her bir kontrol
alanı için bir üst düzey soru ve kontrolün niteliğine bağlı olarak değişen sayıda detaylı soru bulunmaktadır.
BGYS’nin kurulumu aşamasında yapılacak çalışmanın ağırlığı nedeniyle üst düzey sorular seviyesinde çalışma
yapılabilir. Ancak BGYS olgunlaştıkça ve kontrol altyapısı da iyileştikçe daha detaylı kontrol alanlarına inilebilir.
Risk analizi sırasında mevcut kontrol altyapısına, kontrol eksikliklerine ve tespit edilen kontrol eksiklikleri için
uygulanmasına karar verilen düzeltici faaliyetlere ilişkin pek çok veri oluşur. Bu veriler standart
gereksinimlerinden olan uygulanabilirlik bildirgesinin hazırlanması için otomatik olarak toplanıp raporlanır.
Uzman ekip üzerinde çalışmak üzere bu ham verileri bir ofis dokümanı olarak indirebilir.
Kuruma özel kontrol soruları, varlık kategorileri, tehditler ve risk ifadeleri kullanıcılar tarafından yüklenebilir ve
bunlar arasındaki ilişkiler kurulabilir. Bu sayede BTRWatch’un risk analistlerini destekleyici altyapısı özel ihtiyaçlar
için de kullanılabilir.
Risk analizi sırasında bir kullanıcıya atanmış olan kontrol soruları, kullanıcının işten ayrılması veya projeye iştirak
edememesi halinde farklı bir kullanıcıya kaydırılabilir. Böylece girilmiş olan verilerin tekrar girilmesine gerek
kalmadan senaryoların geliştirilmesine devam edilebilir.
BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ
www.btrisk.com