Professional Documents
Culture Documents
EĞİTİMİ
blog.btrisk.com @btrisk /btrisktv /btrisk
TANIŞMA
BTRİSK HAKKINDA
• Sosyal ve Kültürel
• Politik, Yasal ve Mevzuata İlişkin
• Finansal, Teknolojik ve Ekonomik
• Doğal Ortam
• Rekabetçi Ortam
• Kilit Sürücüler ve Eğilimler
• Dış Paydaşlarla (Müşteriler, Ortaklar) İlişkiler, Onların
Algılamaları ve Değerleri
KURULUŞUN BAĞLAMI BÖLÜMÜNÜN
BAŞLIKLARI (ÖRNEK)
İç Bağlam
• İdare, kuruluşa ilişkin yapı, roller ve yükümlülükler
• Yerine Getirilecek Politikalar, Hedefler ve Stratejiler
• Kaynaklar ve Bilgi Birikimi
• İç Paydaşlarla İlişkiler ve Onların Algılamaları ve
Değerleri
• Kuruluşun Kültürü
• Bilgi Sistemleri, Bilgi Akışı ve Karar Alma Süreçleri
• Kuruluş Tarafından Uyarlanan Standartlar, Kılavuzlar
ve Modeller
• Sözleşmeye İlişkin İlişkilerin Biçim ve Genişliği
KURULUŞUN BAĞLAMI BÖLÜMÜNÜN
BAŞLIKLARI (ÖRNEK)
KURULUŞUN BAĞLAMI BÖLÜMÜNÜN
BAŞLIKLARI (ÖRNEK)
İLGİLİ TARAFLARIN İHTİYAÇ VE BEKLENTİLERİNİN
ANLAŞILMASI
2005 versiyonunda vurgulanan dış ve iç gereksinimlerin
belirlenmesi ihtiyacı 2013 versiyonunda bu başlık
altında ele alınmıştır.
• 7.1 Kaynaklar
• 7.2 Yeterlilik (güvenlik organizasyonu v.d. ilgili personel için)
• 7.3 Farkındalık
• 7.4 İletişim
İç
İç Gereksinim
Gereksinim
Tanımlama
Tanımlama
BTRWATCH RİSK DEĞERLENDİRME SÜRECİ
Dış
Dış Gereksinim
Gereksinim
Tanımlama
Tanımlama
BTRWATCH RİSK DEĞERLENDİRME SÜRECİ
İç
İç Gereksinimlere
Gereksinimlere
Bilgi
Bilgi ve
ve İş
İş Süreçleri
Süreçleri
Tanımlama
Tanımlama
BTRWATCH RİSK DEĞERLENDİRME SÜRECİ
İç
İç ve
ve Dış
Dış
Gereksinimlere
Gereksinimlere
Bilgi
Bilgi Tanımlama
Tanımlama
BTRWATCH RİSK DEĞERLENDİRME SÜRECİ
İç
İç ve
ve Dış
Dış
Gereksinimlere
Gereksinimlere
İş
İş Süreçleri
Süreçleri
Tanımlama
Tanımlama
BTRWATCH RİSK DEĞERLENDİRME SÜRECİ
Varlık
Varlık tanımlama
tanımlama
(Gizlilik-Bütünlük-Erişebilirlik)
(Gizlilik-Bütünlük-Erişebilirlik)
BTRWATCH RİSK DEĞERLENDİRME SÜRECİ
Risk
Risk hesaplama
hesaplama formülü
formülü ve
ve
kabul
kabul edilebilir
edilebilir risk
risk seviyesi
seviyesi
tanımlama
tanımlama
BTRWATCH RİSK DEĞERLENDİRME SÜRECİ
Kontrol
Kontrol uygulanabilirlik
uygulanabilirlik
durumu
durumu tanımlama
tanımlama
BTRWATCH RİSK DEĞERLENDİRME SÜRECİ
Kontrol
Kontrol soruları
soruları atama
atama
BTRWATCH RİSK DEĞERLENDİRME SÜRECİ
İlgili
İlgili personele
personele atanan
atanan
kontrol
kontrol soruları
soruları
BTRWATCH RİSK DEĞERLENDİRME SÜRECİ
İlgili
İlgili personeline
personeline atanan
atanan
kontrol
kontrol sorusunun
sorusunun
cevaplanması
cevaplanması
(ilgili
(ilgili varlığı
varlığı ekleyerek)
ekleyerek)
BTRWATCH RİSK DEĞERLENDİRME SÜRECİ
İlgili
İlgili varlıklara
varlıklara
tehdit
tehdit ilişkilendirme
ilişkilendirme
BTRWATCH RİSK DEĞERLENDİRME SÜRECİ
Risk
Risk ifadesi
ifadesi
tanımlama
tanımlama
BTRWATCH RİSK DEĞERLENDİRME SÜRECİ
Risk
Risk analizini
analizini onaya
onaya
gönderme
gönderme
BTRWATCH RİSK DEĞERLENDİRME SÜRECİ
Yöneticinin
Yöneticinin Risk
Risk
analizini
analizini
onaylaması
onaylaması
BTRWATCH RİSK DEĞERLENDİRME SÜRECİ
Yöneticinin
Yöneticinin Risk
Risk
analizini
analizini iptal
iptal etmesi
etmesi
BTRWATCH RİSK DEĞERLENDİRME SÜRECİ
Risk
Risk yanıt
yanıt stratejisini
stratejisini
tanımlama
tanımlama
BTRWATCH RİSK DEĞERLENDİRME SÜRECİ
Risk
Risk yanıt
yanıt stratejisindeki
stratejisindeki
risk
risk sorumlusu
sorumlusu tanımlama
tanımlama
BTRWATCH RİSK DEĞERLENDİRME SÜRECİ
Risk
Risk yanıt
yanıt stratejisi
stratejisi tanımlama
tanımlama
(kontrolleri
(kontrolleri uygulama,
uygulama, kaçınma,
kaçınma, kabul
kabul etme,
etme, transfer
transfer etme)
etme)
BİLGİ GÜVENLİĞİ AMAÇLARI, İZLEME VE ÖLÇME
Diğer ISO yönetim sistemi standartlarında da olduğu gibi
ISO27001’de hedefler, izleme ve ölçmeye önem vermektedir.
Bilgi
Bilgi Güvenliği
Güvenliği Amaçları
Amaçları Tanımlama
Tanımlama
BTRWATCH İZLEME VE ÖLÇME
Oluşturulan
Oluşturulan Bilgi
Bilgi
Güvenliği
Güvenliği Amaçlarının
Amaçlarının
PKT(Planlı
PKT(Planlı Kontrol
Kontrol Takibi)
Takibi)
tanımlanması
tanımlanması
BTRWATCH İZLEME VE ÖLÇME
Bilgi
Bilgi Güvenliği
Güvenliği Amaçlarının
Amaçlarının Listesi
Listesi
BTRWATCH İZLEME VE ÖLÇME
Bilgi
Bilgi Güvenliği
Güvenliği Amaçlarının
Amaçlarının
Performansının
Performansının Tanımlaması
Tanımlaması
BTRWATCH İZLEME VE ÖLÇME
Oluşturulan
Oluşturulan Bilgi
Bilgi
Güvenliği
Güvenliği Performansına
Performansına
PKT
PKT tanımlanması
tanımlanması
BTRWATCH İZLEME VE ÖLÇME
Bilgi
Bilgi Güvenliği
Güvenliği Performansının
Performansının Listesi
Listesi
BTRWATCH PLANLI KONTROL TAKİBİ SÜRECİ
Planlı
Planlı kontrol
kontrol takibi
takibi oluşturma
oluşturma
BTRWATCH PLANLI KONTROL TAKİBİ SÜRECİ
Planlı
Planlı kontrol
kontrol takibi
takibi listeleme
listeleme
BTRWATCH PLANLI KONTROL TAKİBİ SÜRECİ
Tatil
Tatil işlemlerinin
işlemlerinin tanımlanması
tanımlanması
BTRWATCH PLANLI KONTROL TAKİBİ SÜRECİ
Oluşturulan
Oluşturulan PKT’
PKT’ lerin
lerin
Kullanıcı
Kullanıcı Bazlı
Bazlı Listesi
Listesi
BTRWATCH PLANLI KONTROL TAKİBİ SÜRECİ
İstenilen
İstenilen amaca
amaca göre
göre oluşturulan
oluşturulan PKT’
PKT’ nin
nin
İşlem
İşlem girişi
girişi
BTRWATCH PLANLI KONTROL TAKİBİ SÜRECİ
İstenilen
İstenilen amaca
amaca göre
göre oluşturulan
oluşturulan PKT’
PKT’ nin
nin
İşlem
İşlem kayıt
kayıt girişi
girişi
İÇ TETKİK
• İç tetkik BGYS’nin kurumun kendi koyduğu kurallara
ve ISO27001 standardına uygunluğunu denetlemek
amacıyla (periyodik olarak) yapılır. (9.2.a)
• İç tetkik sonuçları Yönetim Gözden Geçirme
faaliyetinin en önemli girdilerinden birisini
oluşturmaktadır. (9.3.c.3)
• İç tetkik programının yapılması ve yazılı olarak
saklanması gereklidir. (9.2.c, 9.2.g)
İÇ TETKİK
Denetim prensipleri
• Bağımsızlık
• Yetkinlik
• Kanıta dayalı yaklaşım
Denetçi prensipleri
• Etik davranış
• Adil sunum
• Mesleki özen
Denetçi yetkinlikleri
• Genel yetkinlikler
• Teknik yetkinlikler
• Sürekli profesyonel eğitim
İÇ TETKİK
Denetim program yönetimi
• Denetim organizasyonu ve denetim yönetiminin bağlı
bulunduğu seviye
• Denetim yetkilendirmesi
• Denetim prosedürleri (planlama, denetim kriterleri,
kaynak yönetimi, dokümantasyon, kalite yönetimi)
• Denetçi yetkinlikleri ve eğitim yönetimi
İÇ TETKİK
Denetim türleri (ISO yönetim sistemi terminolojisiyle)
• Birinci taraf denetimleri
• İkinci taraf denetimleri
• Üçüncü taraf / belgelendirme denetimleri
İÇ TETKİK
Denetim planlama
• Denetim uzayı oluşturma (denetlenebilir birim /
auditable unit kavramı)
• Risk tabanlı planlama
Raporlama
• Denetim raporunun hazırlanması
• Denetim raporunun onaylanması
• Denetim raporunun dağıtımı
İÇ TETKİK
Kontrol denetim türleri
• Kontrol tasarım etkinliğinin denetimi
• Kontrol operasyonel etkinlik denetimi
• Yönetici özeti
• Denetim hedefleri
• Denetim kapsamı
• Denetim kriterleri
• Denetim süresi
• Denetime katılan kişiler
• Bulgu istatistikleri
• Denetim görüşü (conclusion)
• Teknik bulgular
• Rapor dağıtım listesi
İÇ TETKİK
Rapor yazarken dikkat edilmesi gerekenler
İç
İç denetim
denetim tanımlanma
tanımlanma
BTRWATCH İÇ TETKİK YÖNETİMİ
Denetçilere
Denetçilere soru
soru atama
atama
(BGYS
(BGYS sorusu,
sorusu, Kontrol
Kontrol sorusu,
sorusu, Düzeltici
Düzeltici Faaliyet)
Faaliyet)
BTRWATCH İÇ TETKİK YÖNETİMİ
Denetçilere
Denetçilere BGYS
BGYS sorusu
sorusu atama
atama
BTRWATCH İÇ TETKİK YÖNETİMİ
Denetçilere
Denetçilere Kontrol
Kontrol sorusu
sorusu atama
atama
BTRWATCH İÇ TETKİK YÖNETİMİ
Denetçilere
Denetçilere Düzeltici
Düzeltici Faaliyet
Faaliyet atama
atama
BTRWATCH İÇ TETKİK YÖNETİMİ
İç
İç denetim
denetim gerçekleştirme
gerçekleştirme
(BGYS
(BGYS sorusu,
sorusu, Kontrol
Kontrol sorusu,
sorusu, Düzeltici
Düzeltici Faaliyet)
Faaliyet)
BTRWATCH İÇ TETKİK YÖNETİMİ
Kontrol
Kontrol Sorusu
Sorusu denetimi
denetimi
BGYS
BGYS sorusu
sorusu denetimi
denetimi
Düzeltici
Düzeltici Faaliyet
Faaliyet denetimi
denetimi
BGYS ve Kontrol
sorularının denetleme
ekran görüntüleri
eklenmeli…
BTRWATCH İÇ TETKİK YÖNETİMİ
Kontrol
Kontrol Sorusu
Sorusu denetimi
denetimi
Düzeltici
Düzeltici Faaliyet
Faaliyet denetimi
denetimi
BGYS ve Kontrol
sorularının denetleme
ekran görüntüleri
eklenmeli…
BTRWATCH İÇ TETKİK YÖNETİMİ
Düzeltici
Düzeltici Faaliyet
Faaliyet denetimi
denetimi
BTRWATCH İÇ TETKİK YÖNETİMİ
İç
İç denetimi
denetimi sonlandırma
sonlandırma
BTRWATCH İÇ TETKİK YÖNETİMİ
İç
İç denetimi
denetimi onaya
onaya gönderme
gönderme
BTRWATCH İÇ TETKİK YÖNETİMİ
Yöneticinin
Yöneticinin iç
iç denetimi
denetimi onaylaması/reddetmesi
onaylaması/reddetmesi
DÜZELTİCİ FAALİYET YÖNETİMİ
• Standartta düzeltici faaliyet kavramı uygunsuzluk etrafında
kullanılmaktadır.
• Ancak düzeltici faaliyet oluşturma, izleme ve gözden geçirme
süreçleri risk değerlendirme sonuçlarından kaynaklanan risk
işleme planından, olay / zayıflık ve gereksinimlerden de
doğacak bulgu ve gereksinimlerin takibi için etkili bir yönetim
imkanı sağlamaktadır.
• Bizim önerimiz (CobiT 4.1’de DS 5.2 BT Güvenlik Planı olarak
da geçen) tüm bilgi güvenliği düzeltme, yeni geliştirme
projelerinde oluşturulacak Düzeltici Faaliyet Yönetimi’nin
kullanılmasıdır.
DÜZELTİCİ FAALİYET YÖNETİMİ
Standartta DF süreci ile ilgili vurgulanan konular:
Risk
Risk Analizi
Analizi
Düzeltici
Düzeltici Faaliyet
Faaliyet oluşturma
oluşturma
BTRWATCH DÜZELTİCİ FAALİYET YÖNETİMİ
İç
İç Denetim
Denetim
Düzeltici
Düzeltici Faaliyet
Faaliyet oluşturma
oluşturma
BTRWATCH DÜZELTİCİ FAALİYET YÖNETİMİ
Olay
Olay Kayıt
Kayıt
Düzeltici
Düzeltici Faaliyet
Faaliyet oluşturma
oluşturma
BTRWATCH DÜZELTİCİ FAALİYET YÖNETİMİ
Zayıflık/Gereksinim
Zayıflık/Gereksinim
Düzeltici
Düzeltici Faaliyet
Faaliyet oluşturma
oluşturma
BTRWATCH DÜZELTİCİ FAALİYET YÖNETİMİ
Bulgu
Bulgu Takip
Takip
Düzeltici
Düzeltici Faaliyet
Faaliyet oluşturma
oluşturma
BTRWATCH DÜZELTİCİ FAALİYET YÖNETİMİ
Oluşturulan
Oluşturulan
Düzeltici
Düzeltici Faaliyetleri
Faaliyetleri
listeleme
listeleme
BTRWATCH DÜZELTİCİ FAALİYET YÖNETİMİ
Yöneticinin
Yöneticinin
Düzeltici
Düzeltici Faaliyetleri
Faaliyetleri
onaylaması
onaylaması
YGG İÇERİĞİ
Üst yönetim tarafından periyodik olarak gerçekleştirilmesi
gereken YGG aktivitesinin standarda göre kapsamı aşağıdaki gibi
olmalıdır:
a) Önceki yönetimin gözden geçirmelerinden gelen görevlerin
durumu,
b) Bilgi güvenliği yönetim sistemini ilgilendiren dış ve iç
konulardaki değişiklikler,
c) Aşağıdakiler deki gelişmeler dâhil bilgi güvenliği
performansına dair geri bildirim:
1) Uygunsuzluklar ve düzeltici faaliyetler,
2) İzleme ve ölçme sonuçları,
3) Tetkik sonuçları ve
4) Bilgi güvenliği amaçlarının yerine getirilmesi,
YGG İÇERİĞİ
Üst yönetim tarafından periyodik olarak gerçekleştirilmesi
gereken YGG aktivitesinin standarda göre kapsamı aşağıdaki gibi
olmalıdır (devamı):
d) İlgili taraflardan geri bildirimler,
e) Risk değerlendirme sonuçları ve risk işleme planının durumu
ve
f ) Sürekli iyileştirme için fırsatlar.
Olay
Olay türleri
türleri tanımlama
tanımlama
BTRWATCH OLAY YÖNETİMİ
Olay
Olay müdahale
müdahale ekibini
ekibini
tanımlama
tanımlama
BTRWATCH OLAY YÖNETİMİ
Olay
Olay kaydı
kaydı tanımlama
tanımlama
BTRWATCH OLAY YÖNETİMİ
Olay
Olay kaydına
kaydına
ilgili
ilgili soru
soru ve
ve varlık
varlık tanımlama
tanımlama
BTRWATCH OLAY YÖNETİMİ
Olay
Olay müdahale
müdahale işlemleri
işlemleri
BTRWATCH OLAY YÖNETİMİ
Olay
Olay kaydı
kaydı için
için Düzeltici
Düzeltici Faaliyet
Faaliyet
oluşturma
oluşturma
BTRWATCH OLAY YÖNETİMİ
Olay
Olay kaydını
kaydını kapatma
kapatma
BTRWATCH ZAYIFLIK/GEREKSİNİM YÖNETİMİ
Zayıflık/Gereksinim
Zayıflık/Gereksinim Tanımlama
Tanımlama
BTRWATCH ZAYIFLIK/GEREKSİNİM YÖNETİMİ
Oluşturulan
Oluşturulan Zayıflık/Gereksinim
Zayıflık/Gereksinim
(Kontrol
(Kontrol Sorusu,
Sorusu, Varlık,
Varlık, DF
DF ve
ve Dosya/Kanıt)
Dosya/Kanıt)
kontrollerini
kontrollerini ekleme
ekleme
EK-A
EK-A KONTROLLER
A.5 Bilgi güvenliği politikaları
A.5.1 Bilgi güvenliği için yönetimin yönlendirmesi
Amaç: Bilgi güvenliği için, iş gereksinimleri ve ilgili yasalar ve düzenlemelere göre yönetimin
yönlendirmesi ve desteğini sağlamak.
Kontrol
Bilgi güvenliği için Bir dizi bilgi güvenliği politikaları, yönetim tarafından
A.5.1.1 tanımlanmalı, onaylanmalı ve yayınlanarak çalışanlara ve ilgili
politikalar
dış taraflara bildirilmelidir.
Kontrol
Bilgi güvenliği için
A.5.1.2 politikaların gözden Bilgi güvenliği politikaları, belirli aralıklarla veya önemli
geçirilmesi değişiklikler ortaya çıktığında sürekli uygunluk ve etkinliği
sağlamak amacıyla gözden geçirilmelidir.
EK-A KONTROLLER
A.6 Bilgi güvenliği organizasyonu
A.6.1 İç organizasyon
Amaç: Kuruluş içerisinde bilgi güvenliği operasyonu ve uygulamasının başlatılması ve kontrol
edilmesi amacıyla bir yönetim çerçevesi kurmak.
Kontrol
Bilgi güvenliği rolleri Tüm bilgi güvenliği sorumlulukları tanımlanmalı ve tahsis
A.6.1.1
ve sorumlulukları edilmelidir.
Kontrol
Kontrol
Özel ilgi grupları ile Özel ilgi grupları veya diğer uzman güvenlik forumları ve
A.6.1.4 profesyonel dernekler ile uygun iletişim kurulmalıdır.
iletişim
Kontrol
Kontrol
Kontrol
İstihdam hüküm ve
A.7.1.2 Çalışanlar ve yükleniciler ile yapılan sözleşmeler kendilerinin
koşulları
ve kuruluşun bilgi güvenliği sorumluluklarını belirtmelidir.
EK-A KONTROLLER
A.7.2 Çalışma esnasında
Amaç: Çalışanların ve yüklenicilerin bilgi güvenliği sorumluluklarının farkında olmalarını ve
yerine getirmelerini temin etmek.
Kontrol
Kontrol
İstihdam Kontrol
sorumluluklarının
sonlandırılması veya İstihdamın sonlandırılması veya değiştirilmesinden sonra
değiştirilmesi geçerli olan bilgi güvenliği sorumlulukları ve görevleri
A.7.3.1
tanımlanmalı, çalışan veya yükleniciye bildirilmeli ve
yürürlüğe konulmalıdır.
EK-A KONTROLLER
A.8 Varlık yönetimi
Kontrol
Kontrol
Kontrol
Bilgi sınıflandırması Bilgi, yasal şartlar, değeri, kritikliği ve yetkisiz ifşa veya
A.8.2.1
değiştirilmeye karşı hassasiyetine göre sınıflandırılmalıdır.
Kontrol
Kontrol
Kontrol
Ortamın yok
8.3.2 Ortam artık ihtiyaç kalmadığında resmi prosedürler
edilmesi
kullanılarak güvenli bir şekilde yok edilmelidir.
Kontrol
Fiziksel ortam
8.3.3 Bilgi içeren ortam, aktarım sırasında yetkisiz erişim, kötüye
aktarımı
kullanım ve bozulmaya karşı korunmalıdır.
EK-A KONTROLLER
A.9 Erişim kontrolü
Kontrol
Kontrol
Ağlara ve ağ
A.9.1.2 hizmetlerine erişim
Kullanıcılara sadece özellikle kullanımı için yetkilendirildikleri
ağ ve ağ hizmetlerine erişim verilmelidir.
EK-A KONTROLLER
A.9.2 Kullanıcı erişim yönetimi
Amaç: Yetkili kullanıcı erişimini temin etmek ve sistem ve hizmetlere yetkisiz erişimi engellemek
Kontrol
Kullanıcı kaydetme
A.9.2.1 Erişim haklarının atanmasını sağlamak için, resmi bir kullanıcı
ve kayıt silme
kaydetme ve kayıt silme prosesi uygulanmalıdır.
Kontrol
Kontrol
Ayrıcalıklı erişim
A.9.2.3 haklarının yönetimi Ayrıcalıklı erişim haklarının tahsis edilmesi ve kullanımı
kısıtlanmalı ve kontrol edilmelidir.
EK-A KONTROLLER
Kontrol
Kullanıcılara ait gizli Gizli kimlik doğrulama bilgisinin tahsis edilmesi, resmi bir
A.9.2.4 kimlik doğrulama yönetim prosesi yoluyla kontrol edilmelidir.
bilgilerinin yönetimi
Kontrol
Kullanıcı erişim
A.9.2.5 haklarının gözden Varlık sahipleri kullanıcıların erişim haklarını düzenli aralıklarla
geçirilmesi gözden geçirmelidir.
Kontrol
Erişim Tüm çalışanların ve dış taraf kullanıcılarının bilgi ve bilgi
haklarının işleme olanaklarına erişim yetkileri, istihdamları, sözleşmeleri
A.9.2.6 kaldırılması veya anlaşmaları sona erdirildiğinde kaldırılmalı veya
veya bunlardaki değişiklik üzerine düzenlenmelidir.
düzenlenmesi
EK-A KONTROLLER
A.9.3 Kullanıcı sorumlulukları
Amaç: Kullanıcıları kendi kimlik doğrulama bilgilerinin korunması konusunda sorumlu tutmak
Kontrol
Gizli kimlik
A.9.3.1 doğrulama Kullanıcıların, gizli kimlik doğrulama bilgisinin kullanımında
bilgisinin kullanımı kurumsal uygulamalara uymaları şart koşulmalıdır.
Kontrol
Kontrol
Parola yönetim
A.9.4.3 Parola yönetim sistemleri etkileşimli olmalı ve yeterli güvenlik
sistemi
seviyesine sahip parolaları temin etmelidir.
Kontrol
Ayrıcalıklı destek
A.9.4.4 programlarının Sistem ve uygulamaların kontrollerini geçersiz kılma
kullanımı kabiliyetine sahip olabilen destek programlarının kullanımı
kısıtlanmalı ve sıkı bir şekilde kontrol edilmelidir.
Amaç: Bilginin gizliliği, aslına uygunluğu ve/veya bütünlüğü ’nün korunması için kriptografi’nin
doğru ve etkin kullanımın temin etmek
Kontrol
Kriptografik
kontrollerin Bilginin korunması için kriptografik kontrollerin kullanımına
A.10.1.1
kullanımına ilişkin dair bir politika geliştirilmeli ve uygulanmalıdır.
politika
Kontrol
Amaç: Yetkisiz fiziksel erişimi, kuruluşun bilgi ve bilgi işleme olanaklarına hasar verilmesi ve
müdahale edilmesini engellemek
Kontrol
Kontrol
A.11.1.2 Fiziksel giriş kontrolleri Güvenli alanlar sadece yetkili personele erişim izni
verilmesini temin etmek için uygun giriş kontrolleri ile
korunmalıdır.
EK-A KONTROLLER
Kontrol
Ofislerin, odaların ve
A.11.1.3
tesislerin güvenliğinin Ofisler, odalar ve tesisler için fiziksel güvenlik tasarlanmalı ve
sağlanması uygulanmalıdır.
Kontrol
Dış ve çevresel
A.11.1.4
tehditlere karşı Doğal felaketler, kötü niyetli saldırılar veya kazalara karşı
koruma fiziksel koruma tasarlanmalı ve uygulanmalıdır.
Kontrol
A.11.1.5 Güvenli alanlarda
çalışma Güvenli alanlarda çalışma için prosedürler tasarlanmalı ve
uygulanmalıdır.
Kontrol
A.11.1.6 Teslimat ve yükleme Yetkisiz kişilerin tesise giriş yapabildiği, teslimat ve yükleme
alanları alanları gibi erişim noktaları ve diğer noktalar kontrol
edilmeli ve mümkünse yetkisiz erişimi engellemek için bilgi
işleme olanaklarından ayrılmalıdır.
EK-A KONTROLLER
A.11.2 Teçhizat
Amaç: Varlıkların kaybedilmesi, hasar görmesi, çalınması veya ele geçirilmesini ve kuruluşun
faaliyetlerinin kesintiye uğramasını engellemek.
Kontrol
A.11.2.1 Teçhizat yerleştirme ve
Teçhizat, çevresel tehditlerden ve tehlikelerden ve yetkisiz
koruma
erişim fırsatlarından kaynaklanan riskleri azaltacak şekilde
yerleştirilmeli ve korunmalıdır.
Kontrol
A.11.2.2 Destekleyici altyapı
Teçhizat destekleyici altyapı hizmetlerindeki hatalardan
hizmetleri
kaynaklanan enerji kesintileri ve diğer kesintilerden
korunmalıdır.
Kontrol
A.11.2.3
Kablo güvenliği Veri veya destekleyici bilgi hizmetlerini taşıyan enerji ve
telekomünikasyon kabloları, dinleme, girişim oluşturma veya
hasara karşı korunmalıdır.
EK-A KONTROLLER
Kontrol
Kontrol
Kontrol
Kontrol
A.11.2.8 Gözetimsiz kullanıcı Kullanıcılar, gözetimsiz teçhizatın uygun şekilde korunmasını
teçhizatı temin etmelidir.
Kontrol
A.11.2.9 Temiz masa temiz Kâğıtlar ve taşınabilir depolama ortamları için bir temiz masa
ekran politikası politikası ve bilgi işleme olanakları için bir temiz ekran
politikası benimsenmelidir.
EK-A KONTROLLER
A.12 İşletim güvenliği
Kontrol
A.12.1.1 Yazılı işletim İşletim prosedürleri yazılı hale getirilmeli ve ihtiyacı olan tüm
prosedürleri kullanıcılara sağlanmalıdır.
Kontrol
Kontrol
Geliştirme, test ve
A.12.1.4 Geliştirme, test ve işletim ortamlar, yetkisiz erişim veya
işletim ortamların
birbirinden ayrılması işletim ortamlarında değişiklik risklerinin azaltılması için
birbirinden ayrılmalıdır.
Kontrol
Kontrol
A.12.4.4 Bir kuruluş veya güvenlik alanında yer alan tüm ilgili bilgi
Saat senkronizasyonu işleme sistemlerinin saatleri tek bir referans zaman
kaynağına göre senkronize edilmelidir.
EK-A KONTROLLER
A.12.5 İşletimsel yazılımının kontrolü
Kontrol
Kontrol
Kontrol
Kontrol
Kontrol
Kontrol
Kontrol
Amaç: Bilgi güvenliğinin, bilgi sistemlerinin tüm yaşam döngüsü boyunca dâhili bir parçası
olmasını sağlamak. Bu aynı zamanda halka açık ağlar üzerinden hizmet sağlayan bilgi sistemleri
gereksinimlerini de içerir.
Kontrol
Kontrol
Kontrol
Kontrol
Kontrol
Kontrol
Kontrol
Tedarikçi ilişkileri için Tedarikçinin kuruluşun varlıklarına erişimi ile ilgili riskleri
A.15.1.1 azaltmak için bilgi güvenliği gereksinimleri tedarikçi ile
bilgi güvenliği
politikası kararlaştırılmalı ve yazılı hale getirilmelidir.
Kontrol
Kontrol
Kontrol
Kontrol
Bilgi güvenliği Bilgi güvenliği olayları uygun yönetim kanalları aracılığı ile
A.16.1.2
olaylarının olabildiğince hızlı bir şekilde raporlanmalıdır.
raporlanması
EK-A KONTROLLER
Kontrol
Kontrol
Bilgi güvenliği
A.16.1.4 olaylarında Bilgi güvenliği olayları değerlendirilmeli ve bilgi güvenliği ihlal
değerlendirme ve olayı olarak sınıflandırılıp sınıflandırılmayacağına karar
karar verme verilmelidir.
Kontrol
A.16.1.5 Bilgi güvenliği ihlal Bilgi güvenliği ihlal olaylarına, yazılı prosedürlere uygun
olaylarına yanıt verme olarak yanıt verilmelidir.
EK-A KONTROLLER
Kontrol
Kontrol
Kontrol
Bilgi güvenliği
A.17.1.2 Kuruluş, olumsuz bir olay süresince bilgi güvenliği için
sürekliliğinin istenen düzeyde sürekliliğin sağlanması için prosesleri,
uygulanması prosedürleri ve kontrolleri kurmalı, yazılı hale getirmeli,
uygulamalı ve sürdürmelidir.
EK-A KONTROLLER
Kontrol
Kontrol
Kontrol
A.18.1.4 Kişi tespit bilgisinin Kişiyi tespit bilgisinin gizliliği ve korunması uygulanabilen
gizliliği ve korunması yerlerde ilgili yasa ve düzenlemeler ile sağlanmalıdır.
Kontrol
Kriptografik Kriptografik kontroller tüm ilgili sözleşmeler, yasa ve
A.18.1.5
kontrollerin düzenlemelere uyumlu bir şekilde kullanılmalıdır.
düzenlemesi
EK-A KONTROLLER
A.18.2 Bilgi güvenliği gözden geçirmeleri
Kontrol
Kontrol
A.18.2.3 Teknik uyum gözden Kuruluşun bilgi güvenliği politika ve standartları ile uyumu
geçirmesi için bilgi sistemleri düzenli bir şekilde gözden geçirilmelidir.
BTRWATCH
VAKA
ÇALIŞMASI
KONULAR
Parametreler
• Kapsam Tanımlama (İstenilirse süreçler işletildikten sonra
tanımlama yapılabilir)
• İş Süreçleri Tanımlama
• Bilgi Listesi Tanımlama
• İç ve Dış Gereksinim Tanımlama
• Varlık Tanımlama (Gizlilik, Bütünlük, Erişebilirlik değerlerinin
girilmesi)
• Soru Tanımlama (İstenilirse)
• Risk Tanımlama (İstenilirse)
• Tehdit Tanımlama (İstenilirse)
KONULAR
Risk Analizi
• Kontrol Uygulanabilirlik Durumu (Demo amacıyla Madde 11
hariç "Uygulanabilir Değil" olarak tanımlanacaktır)
• Dönem Tanımlama
• Kontrol Sorusu Atama (Fiziksel ve Çevresel Güvenlik 11.
Maddedeki kontrol soruları atanacaktır)
• Risk Analizinden Oluşan DF’ler
• Risk Analizini Sonlandırma
KONULAR
Bilgi Güvenliği Amaçları
• Bilgi Güvenliği Amaçları Tanımlama
• Bilgi Güvenliği Amaçlarının Performansını Tanımlama
Planlı Kontrol Takibi
• Planlı Kontrol Takibi Tanımlama
İç Denetim
• İç Denetim Tanımlama
• İç Denetim Sorularını Atama
• İç Denetim Gerçekleştirme
• İç Denetimden Oluşan DF’ler
• İç Denetim Sonlandırılma
KONULAR
Olay / Zayıflık / Gereksinim
• Olay kayıtlarının girilmesi
• Zayıflık ve Gereksinim Girilmesi
• Oluşan olay/zayıflık/gereksinim durumlarından oluşan DF’ler