ISO 27001 Bilgi

Gvenlii
Farkndalk Eitimi

EMRE ERKIRAN

Eitimin Hedef
Kurum personelinin ve yneticilerin
gvenlik risklerini anlamas,gemite
ve gnmzde sklkla karlalan
saldr teknikleri hakknda
bilgilenip,kurum/kiisel hedefli
saldrlara kar korunma yntemleri
hakknda bilinlenmesi
hedeflenmektedr.

Varlk : Kurulu iin deeri olan herhangi bir ey.

Donanmlar : Server, laptop, yazc
Yazlmlar : Erp Office yazlmlar
Bilgi : Dosyalar, belgeler,mailler ,szlemeler.
Altyap ve D Hizmetler : nternet, elektrik, klima.
nsanlar

Bilgi, dier nemli ticari varlklar gibi bir iletme iin

deeri olan ve bu nedenle uygun olarak korunmas
gereken bir varlktr.
Bilgi deiik formlarda
bulunabilir
Bilgisayarlarda depolanan
veri
Alar boyunca iletilen
ktlar
Fax ile gnderilen katta
yazanlar
Disklerde depolanan
Bantlarda tutulanlar

Bilgi gvenlii nedir ?

Bilgi gvenlii nedir ?

Kurum un en deerli varl olan Bilgi nin
kaybolmasn, zarara uramasn, yok
olmasn, yetkisiz ve kt niyetli kiilerin eline
gemesini engellemektir.

Gizlilik (Kim ?)
Btnlk (Ne ?, Hangi ? )
Eriilebilirlik ( Ne zaman?, Nasl ? )

Bilgi Gvenlii : Bilginin Gizlilii, Btnl ve

Eriilebilirliinin korunmasdr.

Bilgi gvenlii nedir ?

Bilgi Gvenliinde 3 Temel Kavram
Gizlilik: Bilginin yetkisiz kiilerce
eriilememesidir.
Btnlk: Bilginin doruluunun ve tamlnn
salanmasdr.Bilginin ieriinin
deitirilmemi ve hibir blmnn
silinmemi ya da yok edilmemi olmasdr.
Eriilebilirlik: Yetkili bir varlk tarafndan talep
edildiinde eriilebilir ve kullanlabilir olma
zelliidir.

Bilgi gvenlii nedir ?

Bilgi Gvenliinde 3 Temel Kavram

DKKAT !
Bu temel , gvenlik
esinden herhangi biri
zarar grrse gvenlik
zaafyeti oluur.

BLG GVENL YNETM SSTEM

Bilgi gvenliini kurmak, gerekletirmek,

iletmek, izlemek, gzden geirmek,
srdrmek ve gelitirmek iin i riski
yaklamna dayal tm ynetim sisteminin bir
paras.
BGYS, Planla-Uygula-Kontrol Et nlem Al
(PUK) modelini benimser.

BLG GVENL YNETM SSTEM

Planla: BGYSnin kurulmas

Sonular kuruluun genel politikalar ve
amalarna gre datmak iin, risklerin
ynetimi ve bilgi gvenliinin gelitirilmesiyle
ilgili BGYS politikas, amalar, hedefler,
prosesler ve prosedrlerin kurulmas.
Uygula: BGYSnin gerekletirilmesi ve
iletilmesi
BGYS politikas, kontroller, prosesler ve
prosedrlerin gerekletirilip iletilmesi.

BLG GVENL YNETM SSTEM

Kontrol Et: BGYSnin izlenmesi ve gzden

geirilmesi
BGYS politikas, amalar ve kullanm
deneyimlerine gre proses performansnn
deerlendirilmesi ve uygulanabilen yerlerde
llmesi ve sonularn gzden geirilmek
zere ynetime rapor edilmesi.
nlem Al: BGYSnin srekliliinin salanmas
ve iyiletirilmesi
BGYSnin srekli iyiletirilmesini salamak
iin, ynetimin gzden geirme sonularna
dayal olarak, dzeltici ve nleyici
faaliyetlerin gerekletirilmesi .

Bilgi gvenlii politikas ne ie yarar ?

Rekabet avantajn, itibar, gveni korur
Hukuki cezalar nler
Bilgi varlklarn korur:
Tasarmlar
Tesciller
Yazlm
Elektronik dosyalar
Ticari srlar
Finansal bilgi
Kiisel bilgi

Uyarlar !

BGP sadece Bilgi Teknolojileri ni ilgilendiren

bir politika deildir.
Riskleri sfra indirmez, ynetilebilir klar.
Kendi kendini uygulayamaz. Bata ynetim
kurulunun ardndan personel in katks
gerekir.
ten nce gelmez.
Zaman getike gncellenmesi gerekir.
Sadece dari yada teknik bir politika deildir.

Bilgi Gvenlii Hedefleri

Bilgi Gvenlii ihlalleri nelere mal olur ?

Para : Oluabilecek tm maddi kayplar.

Kayb : Bilginin oluturulmasnda harcanan i ve
emek gc kayb.
maj : Sektrde oluan frma isminin, etiketin zarar
grmesi.
Gven : Mteriler ile, tedariki frmalar ile, bayiiler
ile ve birlikte allan veya allabilecek kurumlar
ile gven kayb olumas.
Zaman : Bilginin oluturulmasnda harcanan zamann
kaybolmas.
Hukuksal Problemler : Para Cezalar, Hapis Cezalar.

Dahili Tehdit Unsurlar

Bilgisiz ve Bilinsiz Kullanm
-Temizlik grevlisinin sunucunun fini ekmesi
-Eitilmemi alann veri tabann silmesi
Kt Niyetli Hareketler
-ten karlan alann, Kuruma ait Web sitesini
deitirmesi
-Bir alannn, Ada Sniffer altrarak E-postalar
okumas
-Bir yneticinin, Gelitirilen rnn plann rakip
kurumlara satmas

Harici Tehdit Unsurlar

Hedefe Ynelmi Saldrlar
Bir saldrgann Kurum Web sitesini
deitirmesi
Bir saldrgann Kurumun korunan bilgisini
aldrmas
Birok saldrgann kurum Web sunucusunu
servis d brakma saldrs yapmas

Mehur Gvenlik Olaylar

Sony Playstation Bilgileri
Irak Nkleer Santralinin Hacklenmesi

Avustralya SB sitesi sahte doum kaytlar

yaplmas
Trkiyede Kamu Kurumlarna Ynelik Saldrlar

Mehur Gvenlik Olaylar

Mehur Gvenlik Olaylar

BGYS nin Faydalar

Mterileriniz, onlarn bilgilerini gvende
tutacanz konusundaki taahhdnzden
dolay gven hissederler. Uluslararas
ihalelere katlmda art olan ISO/IEC
27001:2013 gerekleri salanm olur.
srekliliini salamak, meydana
gelebilecek zarar en aza indirebilmek,
kazancn ve i frsatlarnn artrlmas
amacyla bilginin birok tehlikeye kar
korunmasn salar.
Kuruluun kurumsal deerlerini,
yatrmlarn ve hedeflerini srdrebilip,
koruyabilmesi iin ortaya konmas gereken
kontrollerin frma iinde yerletirilmesi ve
uygulanmas yolunda temel tekil eder.

BGYS Neden Gereklidir?

Bilgi kaynaklarna eriimin denetlenmesi

Personelin, yklenicilerin ve alt yklenicilerin
gvenlik konusunda farkndalk dzeyinin
ykseltilmesi ve nemli gvenlik konularnda
bilgilendirilmesi.
Bilgi varlklarnn btnlnn ve
doruluunun salanmas.

BGYS KURULUMU

BGYS KURULUMU
Adm 1: Kapsam
Belirleme
BGYSnin kapsam ve snrlar belirlenmelidir.
BGYSnin kapsam kurumun belli bir ksm
olabilecei gibi, kurumun btn de olabilir.
Her iki durumda da, kurumun BGYS kapsamn ve
snrlarn eksiksiz ve doru bir biimde
tanmlamas gerekmektedir.

BGYS KURULUMU
Adm 2: BGYS Politikas
Ardndan BGYS politikasnn oluturulmas
gerekmektedir. Bu politika, hedefleri ortaya koyan,
ynetime yn veren ve harekete geiren, hangi
riskin deerlendirmeye alnacana ilikin risk
ynetim kapsam ve kriterini belirleyen bir ereve
sunmaldr.

dm 3: Risk Deerlendirme Yaklam

Bilgi gvenlii politikas temel
alnarak sistematik bir risk
deerlendirme yaklam
belirlenmelidir.

BGYS KURULUMU
Adm 4: Risk Belirleme

Korunmas gereken varlklar tehdit eden riskler,

Adm 3te belirlenen yntem kullanlarak tespit
edilmelidir.
Kurum BGYS kapsamna dahil edecei tm
varlklarn sahiplerini, trn ve nem derecesini
bir envanter listesi eklinde belgelemelidir.
dm 5 : Risk Analizi ve Derecelendirilmesi
Tespit edilen risklerin analizi ve
derecelendirilmesi yaplmaldr. Bu adm bir
nceki admda tespit edilen risklerin
yorumlanmas olarak grlebilir.
Risk analizi yaparken riske neden olan
tehdit ve aklklardan yola klmaldr.

BGYS KURULUMU

Adm 6: Risk leme

Bu admda risk deerlendirme sonu raporundan
yola klarak uygun risk ileme (risk treatment)
yntemleri belirlenmelidir.
1.Uygun kontroller uygulanarak riskin ortadan
kaldrlmas veya kabul edilebilir
seviyeye drlmesi
2. Riskin olumasna neden olan faktrleri
ortadan kaldrarak riskten kanlmas
3. Riskin sigorta irketleri veya tedarikiler gibi
kurum dndaki taraflara aktarlmas
4. Kurum politikalarna ve risk kabul ltlerine
uymas artyla riskin objektif bir biimde ve

BGYS KURULUMU

Adm 7: Kontrol Seimi

Risk ileme sreci sonularna uygun kontrol
ve kontrol hedeflerinin seilmesi gerekir
Adm 8: Artk Risk Onay
Risk ileme sreci sonrasnda geriye kalan
riske artk risk (residual risk) denir. Bunlar
kabul edilen riskler veya tamamen ortadan
kaldrlamayan riskler olabilir.
Kurum st ynetimi artk riskler iin onay
vermelidir. Bu adm sonunda artk risk onay
belgesi oluturulmaldr.

BGYS KURULUMU

Adm 9: Ynetim Onay

Risk ynetimi admlarn getikten sonra
BGYS iletimi ve uygulamasn yapmak iin
ynetimden onay almak gerekmektedir.
Adm 10: Uygulanabilirlik
Bildirgesi
Son olarak risklere kar seilen kontrolleri
ieren bir Uygulanabilirlik Bildirgesi
hazrlanarak BGYS kurulum ii tamamlanr.
Uygulanabilirlik Bildirgesi Adm 7de seilen
kontrollerin neler olduu ve bunlarn hangi
gerekelerle seildiini anlatmaldr.

BLG GVENL
YNETM SSTEM

ISO 27001 Ana Balklar

Gvenlik Politikas
Bilgi Gvenlii Organizasyonu
Varlk Ynetimi
nsan Kaynaklar Gvenlii
Fiziksel ve evresel Gvenlik
Haberleme ve letim Ynetimi
Eriim Kontrol
Bilgi Sistemleri Edinim, Gelitirme ve Bakn
Bilgi Gvenlii hlal Olay Ynetimi
Sreklilii Ynetimi
Uyum

SON KULLANICI FARKINDALII

ifre Gvenlii
E-Posta Gvenlii
Sosyal Mhendislik

FRE GVENL
Parola Elde Etme
Yntemleri

Tahmin
alma
Deneme

FRE GVENL
En nemli kiisel bilgi ifrenizdir.
Hi kimseyle herhangi bir ekilde
paylalmamaldr.
Mmknse bir yere yazlmamaldr.
Yazlmas gerekiyorsa gvenli bir yerde
muhafaza edilmelidir.
Gvenli olmadn dndnz
mekanlarda kurumsal ifrelerinizi
kullanmanz gerektirecek uygulamalar
kullanmaynz.

FRE GVENL

Gl ifre zellikleri
En az sekiz karakterli olmaldr.
Hem dijit hem de noktalama karakterleri ve
ayrca harflere sahip olmaldr
(0-9, @, !, &, =, } ? , \)
Byk ve kk harf karakteri kullanlmaldr.
Kiisel bilgilerle ilikili olmamaldr
(ocuunuzun ismi, evlenme yldnm vs)
rnek: Gl bir ifre: AG685kt?!

FRE GVENL
Zayf ifre zellikleri
ifreler sekizden daha az karaktere sahiptir.
Ailesinin, arkadann sahip olduu bir
hayvann veya bir sanatnn ismine sahiptir.
123456, 1453, doum tarihi (01011980),
ahmet, istanbul vb. kolay hatrlanabilecek
ifadeler.

FRE GVENL
https://howsecureismypassword.net/
http://passwordsgenerator.net/

FRE GVENL

ifreler Gvenli Muhafaza Edilmeli

E-Posta Gvenlii
Ne Yapma(ma)lym ?
Kiisel kullanm iin internetteki Forumlara
ye olunmas durumunda kurum e-posta
adresleri kullanlmamaldr.
Kullanclarn kullanc kodu / ifresini
girmesini isteyen e-postalarn sahte e-posta
olabilecei dikkate alnarak, herhangi bir
ilem yaplmakszn derhal silinmelidir.

E-Posta Gvenlii
Ne Yapma(ma)lym ?
Mesajlarn gnderilen kii dnda bakalarna
ulamamas iin gnderilen adrese ve ierdii
bilgilere azami biimde zen gsterilmelidir.
Zincir mesajlar ve mesajlara ilitirilmi her
trl altrlabilir dosya ieren e-postalar
alndnda hemen silinmeli ve kesinlikle
bakalarna iletilmemelidir.

E-Posta Gvenlii
Spam, zincir e-posta,
sahte e-posta vb. zararl epostalara yant
yazlmamaldr.

Sosyal Mhendislik
Yalan Syleme tekniinin siber alemdeki
tanmdr.
Bilgi Gvenliinin en zayf halkas olan
insan zerinden aklk elde etme
almasdr.

Sosyal Mhendislik:
Sistem ve bilgiler zerinde izinsiz eriim
salayabilmek iin insanlarn aldatlma yada
hilekarlkla kullanlmasdr.
Yardmc olmaya istekli olma, bakalarna
gvenme ve zor durumda kalmak istemem gibi
zaaflarmzdan yararlanrlar.
Ama > Dolandrclk, sistemlere erimek,
endstriyel casusluk, kimlik hrszl, sistemleri
bozmak iin gereken bilgiyi elde etmek.

Sosyal Mhendislik

Son Kullancnn
nternete Alan Kaplar
E-posta
Tarayc
Cep Telefonu
Tabletler

Sosyal Mhendislik
Alnacak nlemler

Tadnz, ilediiniz verilerin neminin bilincinde

olunmaldr.
Kt niyetli kiilerin eline gemesi halinde oluacak
zararlar dnerek hareket edin.
Arkadalarnzla paylatnz bilgileri seerken dikkat
edin.
zellikle telefonda, e-posta veya sohbet yoluyla yaplan
haberlemelerde ifre gibi zel bilgilerinizi kimseye
sylemeyin.
ifre kiiye zel bilgidir, sistem yneticinize bile
telefonda veya e-posta ile ifrenizi sylemeyin. Sistem
yneticisi gerekli ilemi ifrenize ihtiya duymadan da
yapacaktr.

Sosyal Mhendislik
Teknikleri
Yetkisiz kiilerin kullandklar kelime ve
tekniklerin bazlar yledir;
"Acil bir durum ortamnn oluturulmas
st ynetimden ikna edici veya yldrc tarzda
formlarn ne srlmesi
yi tannan TV veya radyo muhabirleri isimleri
verme teknii kullanma
Alt yklenici irketlerinin isimlerini verme
teknii kullanma

Sosyal Mhendislik
Teknikleri
Gzel sz, kelime veya hediye argmanlarn
kullanma.
Mail hesabna aldatc mail gnderimi.
Telefonunuza Tebrikler XXX Kazandnz mesaj
gelmesi.

Ne Yapma(ma)lym ?
Kurum alanlar kimliini kantlamayan kiilere
kesinlikle bilgi aktarmamaldr.
hayat ile zel hayatn birbirinden ayrmaldr.
Kurum ve personel ile ilgili gizli bilgiler yakn
evre ve aile ile paylalmamaldr.
letiim kanallar kullanlrken zellikle telefonda
kuruma/kiilere ait bilgiler ifa edilmemelidir.
Mail ve telefon zerinden kullanc ad, ifre, kredi
kart vb. bilgiler paylalmamaldr.
pheli durumlarda yetkili kiilere bavurmaktan
ekinilmemelidir.

Yazlm YklemeGncelleme
*Kurum tarafndan belirlenmi yazlmlarn
dnda bilgisayarlarda program
bulunmamaldr. Her bir programn aklk
oluturma ihtimali vardr.
*Gvenilir olmayan sitelerden yazlmlar
indirilmemeli ve kullanlmamaldr

Dizst Bilgisayar
Kullanm
alnmalara kar fziksel gvenlik
salanmaldr.
ifre gvenlii salanm
olmaldr.
inde kurumsal veri olmamaldr.
Eer veri ifreleme sistemi
kurumda kullanlyor ise gizli
bilgiler ifrelenmelidir.

Evrak mha
Gizli evraklar evrak imha politikas ile
kararlatrlmal imha edilecek evraklar
krpma makinesi veya yaklma yntemleri
kullanlarak imhalar yaplmaldr. mha
edilemeyecek evrak tanmna giren belgeler
geri dnme devirleri yaplmaldr.

Yazc Kullanm
Gizli bilgi ieren dokmanlarn ktlar alnrken,
Dokman ktsnn eksik olmad kontrol
edilmelidir (sayfa ve kopya says baznda)
Yazc hatalar ile karlaldnda gnderilen
dokman iptal edilmeli ve yanllkla baslmad
kontrol edilmelidir.
ktnn yazcda baslmas sresinde
dokmann banda bulunulmaldr.
kt alndktan sonra yazcdan silindiinden
emin olunmal.

Zararl ProgramlarVirsler
Tm bilgisayarlarda virs koruma program
altrlmal ve gncellemesi yaplmaldr.
Anti virs program kapatlmamaldr.
Dosyalar virs taramasndan geirilmelidir.

Mobil Cihaz Gvenlii

Sahte aramalara dikkat
Kurulan yazlmlarn kullanmalar gereken kaynaktan
fazlasna eriim istemesi
Arka planda alan yazlm ve servislerin izlenmesi
Gvenlik ayarlarnda bilinmeyen kaynaktan yazlm
yklenmesine engel olmak
Mobil anti virs kullanmak periyodik tarama
yapmak,gereksiz veya gvenilmeyen uygulamalar
kaldrmak
Mobil cihaz ynetim yazlm kullanmak -letim
sistemini gncel tutmak
KURUMSAL BLGLER
MOBL CHAZLARDA
FREL OLARAK

A Gvenlii
Ortak kablosuz alar veya
parola korumasz cretsiz
kablosuz alarda
VERLERNZN ZLENMES
riski yksektir.
Kritik ilemlerinizi gvenli
olmadn dndnz
kamuya ak kablosuz
alar zerinden
yapmaynz.

Mobil Cihaz Gvenlii

Akll telefonlar ve gnmz teknoloji dnyas sebebi ile
her birimiz "Online" bireyler haline geldik.
Akll telefonlar zararl yazlmlar ile kontrol altna
alnabilir.
Sms gemii
Yer Tespiti
Arama gemii
Mesajlama uygulamalar
zinsiz arama
Hassas bilgilere eriim

Virs nedir?
Bilgisayar kullanan kiilerin bilgisi
ve izni olmakszn, zerinde
barnd bilgisayar sisteminin
almasn kesintiye uratmak ve
zarar vermek amacyla yazlm
program kodlarna bilgisayar virs
denir.

Sistem gvenlii:
Virsler nasl bular ?
nternet yada a zerinden
USB bellek yada harici disklerden
Korsan \ Lisanssz yazlm CD
lerinden
E-Posta yoluyla

Bulama Belirtileri
Dosya bykl artar,
Performans dkl gzlenir,
Hatal veya komik mesajlar alnr,
Yazlmda veya veride kayplar oluur,
Sabit disk veya disketler formatlanr,
Bilgisayar amakta (boot etmekte)
zorluklar
yaanr.

5651 Sayl Kanun

nternet ortamnda yaplan yaynlarn
dzenlenmesi ve bu yaynlar yoluyla ilenen
sularla mcadele edilmesi hakknda kanun
(kabul tarihi: 4/5/2007)
Madde 1:Bu Kanunun ama ve kapsam, ierik
salayc, yer salayc, eriim salayc ve
toplu kullanm salayclarnn ykmllk ve
sorumluluklar ile internet ortamnda ilenen
belirli sularla ierik zerinden mcadeleye
ilikin esas ve usulleri dzenlemektir.

A Gvenlii
KAMUYA AIK KABLOSUZ ALARA DKKAT !

Tren,Havaalan,Gemi,Otobs,Ev,,Cafe,Otel,R
estaurant

Bilgi Gvenlii Temel

nlemler

ifre gvenliinin salanmas - E-Posta

gvenlii
Anti-virs kullanm -Firewall etkinletirme
Kullanlmayan programlarn kaldrmas
Eriim yetkilerinin dzenlenmesi
Yedeklerin alnmas ve testi
Gncelletirmeler
A gvenlii
Veriye eriimin denetlenmesi
Risk Ynetimi
Profesyonel destek

Personel den beklenenler

Fiziksel gvenlik :
Binann korunmas
Kilitler
BT bileenlerinin korunmas
Fiziksel saldr tesbit sistemleri
Gvenlik grevlisi
Kap giri sistemleri
Kameralar

alma ortam temizlii (Temiz Masa lkesi)

11

10

8
9

13

6
7

12

67

Sistem gvenlii:
Donanm ve Yazlm kurulmas
lgili ekipman gvenlik ana sebep olabilir
lgili ekipman mevcut sistemin
almamasna sebep olabilir
Kopya ve lisanssz ise hukuki problem
oluturabilir
nternetten indirilmi ise virs tayor olabilir
Mevcut sistemle uyumuyor olabilir

Phishing
Sistem gvenlii: Phishing saldrs

Bilgisayarnza Gelen Mesajlara

Kanmayn

Bilgisayarnza Gelen Mesajlara

Kanmayn

Bilgisayarnza Gelen Mesajlara

Kanmayn

Cep Telefonunuza Gelen Mesajlara

Kanmayn

6698 sayl Kiisel Verilerin Korunmas Kanunu

75

SORULARINIZ

Kaynaklar
http://www.eurogamer.net/articles/20
16-04-26-sony-admitted-the-great-psn
-hack-fve-years-ago-today