Professional Documents
Culture Documents
CISSP Sınavına Hazırlık Ve Bilgi Güvenliği Kontrolleri Eğitimi Sunumu - Bölüm 1
CISSP Sınavına Hazırlık Ve Bilgi Güvenliği Kontrolleri Eğitimi Sunumu - Bölüm 1
BS7799-2 ISO27001
GÜVENLİK YÖNETİŞİMİ
Kurumsal Mimari ve Güvenlik Yönetişimi
• Kurumsal mimari dokümantasyonu ve yönetiminin doğrudan
güvenlikle ilişkisi yok gibi görünse de aslında iyi bir kurumsal
mimari yönetimi güvenlik ihtiyaçlarının çok daha net
tespitine ve dolayısıyla yönetilebilmesine neden olacaktır.
• ABD kamu yönetiminde kamu kurumlarının bütçe
alabilmelerinin ön şartlarından birisi kurumsal mimari
dokümantasyonlarının yeterli seviyede yapılmasıdır.
• Kurumsal mimari çerçevelerinin ilk örneklerinden birisi olan
Zachman Framework bu yaklaşımın en anlaşılır
örneklerinden birisidir. Bir sonraki sayfadaki şemadan farklı
perspektiflerde yapılabilecek dokümantasyon örneklerini
görebilirsiniz.
GÜVENLİK YÖNETİŞİMİ
Zachman Framework
GÜVENLİK YÖNETİŞİMİ
ISO27001 Ana Alanları
• Context of the organization
• Leadership
• Planning
• Support
• Operation
• Performance evaluation
• Improvement
GÜVENLİK YÖNETİŞİMİ
Dokümantasyon Türleri
• Policy (temel esaslar)
• Procedure (adım adım talimatlar)
• Baseline (consistent level of security)
• Guideline (önerilen iyi uygulamalar)
• Standard (belli bir sistem için uygulanacak
kontroller)
GÜVENLİK YÖNETİŞİMİ
Dokümantasyon Türleri (Politika Türleri)
• Regulatory Policy (düzenlemelerden kaynaklanan
politikalar)
• Informative Policy (yaptırımı olmayan genellikle son
kullanıcılara yönelik öğretici politikalar)
• Advisory Policy (zorunlu ve uyulmaması halinde
yaptırımı olan politikalar)
TEDARİKÇİ RİSK YÖNETİMİ
SLA (Service Level Agreement) kavramı ve içinde
bulunabilecek güvenlik ile ilgili şartlar:
• Güvenlik sorumlulukları ve yaptırımlar
• Süreklilik gereksinimleri
• Gizlilik gereksinimleri
AMERİKAN KONTROL GÜVENCESİ DÜZENLEMELERİ
VE STANDARTLARI TEMEL BİLGİLER
Sarbanes Oxley Act (2002)
• Enron muhasebe yolsuzluğu
• Yatırımcının korunması ve PCAOB’nin (Public Company Accounting
Oversight Board) kuruluşu
• Section 302 is a mandate that requires senior management to
certify the accuracy of the reported financial statement.
• Section 404, mandates management to determine the
effectiveness of the service organization's internal controls that
are vital to its financial reporting processes. To do so,
management was required to do one of the following: document
and assess all the controls that it considers vital to the
organization's financial reporting process or obtain a SAS 70 Type
II service auditor report.
• BT kontrollerinin mali raporlar üzerindeki etkisi
AMERİKAN KONTROL GÜVENCESİ DÜZENLEMELERİ
VE STANDARTLARI TEMEL BİLGİLER
Tedarikçi Denetimi
Service provider denetim türleri
• [Eski standart] SAS-70 (Statement on Auditing
Standards No. 70): 2010 yılında SSAE 16 (Statement on
Standards for Attestation Engagements No. 16)
tarafından yeri alınmış eski hizmet sağlayıcı denetim
standardıdır.
• Bu iki standarda Service Organization Reporting
Standard başlığı altında rastlayabilirsiniz.
• Her iki standart da AICPA (American Institute of
Certified Public Accountants) tarafından yayınlanmıştır.
AMERİKAN KONTROL GÜVENCESİ DÜZENLEMELERİ
VE STANDARTLARI TEMEL BİLGİLER
Tedarikçi Denetimi
Service provider denetim türleri
SAS-70 denetim türleri (SOC rapor türleri tarafından
yerleri alınmıştır)
Type-I Type-II
Tasarım etkinliği (service
organization’s description of EVET EVET
controls)
Operasyonel etkinlik (a
description of the service
auditor's tests of operating HAYIR EVET
effectiveness and the results
of those tests)
AMERİKAN KONTROL GÜVENCESİ DÜZENLEMELERİ
VE STANDARTLARI TEMEL BİLGİLER
Tedarikçi Denetimi
Service Organization Controls (SOC) denetim türleri
(SSAE 16 çerçevesinde)
AMERİKAN KONTROL GÜVENCESİ DÜZENLEMELERİ
VE STANDARTLARI TEMEL BİLGİLER
Tedarikçi Denetimi
Service Organization Controls (SOC) denetim türleri (SSAE 16 çerçevesinde)