ISO 27001 BLG GVENL YNETM SSTEM Onur MORAL
ISO 27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ Onur MORAL BT Altyapı Sistemler Müdürü Bilgi Güvenliği Yönetim Sistemi Ekip Lideri 5. 12. 2020 Onur. Moral. com 1
ISO 27001 Bilgi Güvenliği Yönetim Sistemi ü ISO 27001 Kültürü, ü Uygulanabilirlik, Sürdürülebilirlik, ü Yaşayan Sistem ISO 27001, ü Hedef Kitle, ü Farkındalık. 5. 12. 2020 Onur. Moral. com 2
Bilgi Nedir ? Enformasyon Bilgi Veri 5. 12. 2020 Onur. Moral. com 3
Bilgi ! Bilgi; işletmelerin hayatlarını sürdürebilmeleri ve varlık değerlerini artırabilmek için gerekli en değerli varlıklarıdır. En değerli varlık korunmak zorundadır !!! 5. 12. 2020 Onur. Moral. com 4
Bilgi Nerede? Nasıl? ü Fiziksel olarak masa üzeri, yazıcı, yazı tahtası, pano, faks, dolap, çekmece, atık kağıt kutularında yazılı veya basılı olabilir, ü Bilgisayar, cep telefonları, harici disk, CD/DVD gibi elektronik ortamlarda saklanmış olabilir, ü Günlük hayatta ikili veya daha fazla grupların sohbetleri, telefon görüşmelerinde, toplantılarda, yemek araları ve dinlenme anında, toplu taşıma ve diğer ortak kullanılan alanlarda sözlü ifadeler şeklinde olabilir, ü İnternet siteleri, sosyal medya, reklamlar, sunumlar ve eğitimler, ilanlar, video ve diğer görsel ortamlar, ü Kişilerin bilgi dağarcıklarında olabilir. 5. 12. 2020 Onur. Moral. com 5
Bilgi Varlıkları ü Ürün standartları ve kodları, ü Teklifler, satış fiyatları, sözleşmeler, vekaletler, faturalar, ü Müşteri, personel, tedarikçi ve diğer tarafların bilgileri, ü Sunucular, bilgisayarlar, akıllı telefonlar, yazılımlar, yazıcılar, network altyapısı, ü Mali, finansal, hukuki kayıtlar ve dökümanlar, ü İş süreçleri, ü ………… ü İnsan faktörü. 5. 12. 2020 Onur. Moral. com 6
Bilgi Varlığının Sorumluları Çözüm Ortakları Bilginin Sahibi Bilgiyi Kullanan Tedarikçiler 5. 12. 2020 Bilgi Sistemini Yönetenler Onur. Moral. com 7
Bilgi Güvenliği Yazıf Halka Bilgi güvenliği bir yazılım, bir cihaz veya bir proje değildir. Güvenlik; bir sürü halkadan oluşan bir zincirdir, süreçtir. 5. 12. 2020 En zayıf halka FARKINDALIĞI olmayan insandır. Onur. Moral. com 8
Farkındalık 5. 12. 2020 Onur. Moral. com 9
ISO 27001 Bilgi Güvenliği Yönetim Sistemi A. 5 Bilgi güvenliği politikaları A. 6 Bilgi güvenliği organizasyonu A. 18 Uyum A. 7 İnsan kaynakları güvenliği A. 17 İş sürekliliği yönetiminin bilgi güvenliği hususları A. 16 Bilgi güvenliği ihlal olayı yönetimi A. 8 Varlık yönetimi Erişebilirlik Gizlilik BİLGİ A. 15 Tedarikçi ilişkileri A. 9 Erişim kontrolü Bütünlük A. 10 Kriptografi A. 14 Sistem temini, geliştirme ve bakımı 5. 12. 2020 A. 13 Haberleşme güvenliği A. 11 Fiziksel ve çevresel güvenlik A. 12 İşletim Onur. Moral. com güvenliği 10
BGYS Politikaları kurumun uyulması gereken kurallarını ve sorumlularını belirlemek için düzenlenir. 5. 12. 2020 Onur. Moral. com 11
BGYS Organizasyonu BGYS Yönetim Temsilcisi BGYS Ekip Lideri Üye 1 5. 12. 2020 Üye 2 Üye 3 Onur. Moral. com Üye 4 Üye 5 12
İnsan Kaynakları Güvenliği İstihdamın Sonlanması ve Değiştirilmesi İstihdam Öncesi 5. 12. 2020 İstihdam Esnası Onur. Moral. com 13
Varlık Yönetimi Varlık Listesi Envanter Yönetimi Çok Gizli Halka Açık Gizlilik Sınıfları Gizli 1. Donanım, 2. Personel, 3. Yazılım, 4. İş süreçleri. Şirkete Açık 5. 12. 2020 Onur. Moral. com 14
Risk Yönetimi Riskin Kabulü RİSK 5. 12. 2020 Onur. Moral. com Riskten Kaçınmak Riski Azaltmak Riski Transfer Etmek 15
Risk Analizi OLASILIK ŞİDDET RİSK SKORU ÖNEM DURUMU 5. 12. 2020 Onur. Moral. com 16
Erişim Kontrolü Yetki ve erişimler düzenli olarak kontrol edilip ihlal ihtimali olan veya ihlali fark edilen yetki ve erişimler için tedbirler alınır. 5. 12. 2020 Onur. Moral. com 17
Fiziksel ve Çevresel Güvenlik ü Kritik bilgi varlıklarının veya kritik ekipmanların olduğu ortamlara sadece yetkili personel erişebilir, bakım onarım için erişim gerektiğinde yetkili personel eşlik eder ve kayıt altına alınır, ü Tesislerin gerekli görülen bölümleri kameralar ile 7*24 kayıt altına alınır, ü Dolaplar çekmeceler kilitli tutulur, ü Kuruluş dışındaki ekipmanlar (notebook, cep telefonu vb. ) kamuya açık yerlerde gözetimsiz bırakılmaz, 5. 12. 2020 Onur. Moral. comortamlarına erişmelerine izin verilmez. 18 ü Ziyaretçiler toplantı odalarında karşılanır çalışma
İşletim Güvenliği ü Test ortamları ve canlı ortamlar birbirinden ayrı tutulur, ü Antivirüs uygulamaları sürekli çalışır ve güncel tutulur, ü Veriler otomatik olarak yedeklenir, ü Gerçekleşen olaylar kayıt altına alınarak tekrarlanmaması için kök nedenler araştırılır, ü Bilgisayarlara uygulama kurulumu veya ayar değişikliği sadece yetkilendirilmiş BT personeli tarafından yapılır, ü Sistemlerin güvenlik açıkları yetkililer taranarak bulunan güvenlik zaafiyetleri ortadan kaldırılır. 5. 12. 2020 Onur. Moral. com 19
Haberleşme Güvenliği 5. 12. 2020 Onur. Moral. com 20
Tedarikçi İlişkileri 5. 12. 2020 Gizlilik Anlaşması Onur. Moral. com & Tedarikçi Değerlendirme 21
Bilgi Güvenliği İhlal Olayı Yönetimi 5. 12. 2020 Onur. Moral. com 22
İş Sürekliliği Yönetiminin Bilgi Güvenliği Hususları ü BT ekipmanlarının yedeklenmesi, ü Verinin yedeklenmesi, ü Felaketten kurtarma merkezleri. 5. 12. 2020 Onur. Moral. com 23
Uyum Yasalar, söleşmeler, kurallar. 5. 12. 2020 Onur. Moral. com 24
Erişebilirlik, Gizlilik, Bütünlük Ø Erişilebilirlik (Availability): Bilgiye ihtiyaç duyulduğunda yetkisi olan kişiler tarafından erişilebilir olmasıdır. Ø Gizlilik (Confidentiality): Bilgiye sadece yetkisi olanların erişebilmelerini, yetkisi olmayanların engellenmesini sağlamaktır. Ø Bütünlük & Doğruluk (Integrity): Bilginin kontrolsüz şekilde değiştirilmesini veya herhangi bir şekilde zarar görmesini engellemektir. 5. 12. 2020 Onur. Moral. com 25
Tehditler Kullanıcı Hataları Korsanlar Zayıf Şifreler Virüs Yangın Arıza Sabotaj Hırsız Elektrik Kesintisi Doğal Afetler 5. 12. 2020 Sosyal Mühendislik Bilgi Eksikliği Onur. Moral. com Yetkisiz Erişim 26
Zaafiyetler Zayıf Şifreler Yangın Zayıf şifre kullanımı Korsanlar Güvenlik duvarı kullanılmaması Antivirüs olmaması veya güncellenmemesi Yangın koruma Sabotaj sistemi olmaması Bilgisayar ekranlarının açık bırakılması Hırsız Kamera kayıtlarının olmaması Eğitimlerin tamamlanmaması 5. 12. 2020 Arıza Bakım ve tatbikatların yapılmaması Sosyal Mühendislik Bilgi Eksikliği Virüs Jeneratör, UPS Elektrik kullanılmaması İş sürekliliği planının olmaması Erişim kontrollerinin Kullanıcı Yetkisiz yapılmaması Hataları Onur. Moral. com Doğal Afetler Erişim Kesintisi 27
Önlemler Zayıf Şifreler Yangın Güçlü şifre kullanımı Korsanlar Güvenlik duvarı kullanılması Antivirüsün güncel olması Yangın koruma Sabotaj sistemi olması Bilgisayar ekranlarının kilitlenmesi Hırsız Kamera kayıtlarının olması Eğitimlerin tamamlanması 5. 12. 2020 Arıza Bakım ve tatbikatların yapılması Sosyal Mühendislik Bilgi Eksikliği Virüs Jeneratör, UPSElektrik kullanılması Kesintisi İş sürekliliği planının olması Erişim kontrollerinin Kullanıcı Yetkisiz yapılması Hataları Doğal Onur. Moral. com Afetler Erişim 28
ISO 27001 Uygulama Alanları ISO 27001 Hangi Sektörlere Uygulanabilir ? ü Devlet Kurumları, ü Bankalar, ü Hastaneler, ü Okullar, ü Marketler, ü ARGE Merkezleri. Bilgileri önemli olan bütün kurum ve kuruluşlara uygulanabilir. 5. 12. 2020 Onur. Moral. com 29
ISO 27001 Bilgi Güvenliği Yönetim Sistemi TEŞEKKÜRLER … 5. 12. 2020 Onur. Moral. com 30
- Slides: 30