Bilgi Güvenliği Yönetim Sistemi

Confidentiality (Gizlilik):
Sadece yetkili kişilerin bilgiye erişebilmesinin garanti edilmesi

Integrity (Bütünlük):
Bilginin ve işleme yöntemlerinin doğruluğunun ve bütünlüğünün sağlanması
Yetkisiz kişilerce değiştirilememesi

Availability (Kullanılabilirlilik)
Gerek duyulduğunda bilgiye yetkilendirilmiş kullanıcıların erişebilmesinin garanti edilmesi.

ISO 27001 BİLGİ GÜVENLİK YÖNETİMİ| AMASYA PATENT

iso 27001 bilgi güvenlik yönetimi-amasya patent

Bilgi Güvenliği Yönetim Sistemi , Bilgi güvenliğinin temel unsurları şunlardır:

Gizlilik
Bütünlük
Erişilebilirlik
Kimlik kanıtlama
İnkar edememe

Bu temel unsurların dışında;

Sorumluluk
Erişim denetimi
Güvenilirlik
Emniyet

gibi etkenlerde bilgi güvenliğini destekleyen unsurlardır. Bu unsurların tamamının gerçekleştirilmesi ile ancak tam bir bilgi güvenliği sağlanabilmektedir. Bu unsurların bir veya birkaçının eksikliği güvenlik boyutunda aksamalara sebebiyet verebilecektir.

TSE-17799 “Bilgi Güvenliği Yönetim Standardı” belgesinde,

Gizlilik, “bilginin sadece erişim hakkı olan yetkili kişilerce erişilebilir olmasının temini” olarak;
Bütünlük; “Bilgi ve bilgi işleme yöntemleri ile veri içeriğinin değişmediğinin doğrulanması” olarak,
Erişilebilirlik; “Yetkili kullanıcıların ihtiyaç duyulduğunda bilgi ve ilişkili varlıklara erişme hakkının olmasının temini” olarak tanımlanmıştır.

Amasya Patent, Kalite Yönetim Sistemleri danışmanları tarafından hazırlanan ISO Nedir, ISO 9001 Toplam Kalite Yönetim Sistemi‘ nin kurulumu, ISO 9001 Kalite Danışmanlık hizmetlerini, Bilgi Güvenliği Yönetim Sistemi, CE Belgesi ve Hizmet Yeterlilik Belgesi danışmanlık ve belgelendirme ayrıntılarını inceleyebilirsiniz.
Kimlik doğrulama, geçerli kullanıcı ve proseslerin tanınması ve doğrulanması ile bir kullanıcının veya prosesin hangi sistem kaynaklarına erişme hakkının olduğunun belirlenmesi sürecidir.

İnkar edememe, bir bilgiyi alan veya gönderen tarafların, o bilgiyi aldığını veya gönderdiğini inkar edememesini sağlama işlemidir.

Sorumluluk: belirli bir eylemin yapılmasından kimin veya neyin sorumlu olduğunu belirleme yeteneğidir. Tipik olarak etkinliklerin kayıtlarını tutmak için bir kayıt tutma sistemine ve bu kayıtları araştıracak bir hesap inceleme sistemine ihtiyaç vardır.

Erişim denetimi, bir kaynağa erişmek için belirli izinlerin verilmesi veya alınması olarak tanımlanır.

Güvenirlik, bir bilgisayarın, bir bilginin yada iletişim sisteminin şartnamesine, tasarım ve gereksinimlerine sürekli ve kesin bir şekilde uyarak çalışması ve bunu çok güvenli bir şekilde yapabilme yeteneğidir.

Emniyet, bir bilgisayar sisteminin veya yazılımın işlevsel ortamına gömülü olduğunda, kendisi veya gömülü olduğu ortam için istenmeyen potansiyel veya sürekli tehlike oluşturacak etkinlik veya olayları önleme tedbirlerini içermektedir.

Bilgi Güvenlik Sınırları

Bir bilgi varlığı zaman içerisinde çeşitli değişikliklere (bozulma, yenileme, değiştirme, güncelleme) maruz kalabilmektedir. Bu değişikliklerde doğal olarak korunması gereken bilginin sınırlarında da değişikliklere sebebiyet verebilmektedir. Bunu önceden belirlemek için muhtemel değişiklikler önceden tahmin edilmektedir. Varlıkların karşı karşıya oldukları tehditler öncelikle belirlenir. Olayların ortaya çıkma ihtimallerine karşı var olan savunma zayıflıkları tespit edilir ve karşılaşılabilecek tehditlerin ihtimalleri hesaplanır.

Kullanıcılar ve sistemler için bilgi güvenliğinin sınırları, tarafların kendilerini ve sistemlerini güven içinde hissetmeleri için gerekli ve düzenleyici politikalar doğrultusunda ve hukuki zorunluluklar çerçevesinde belirlenmektedir.

BİLGİ GÜVENLİK RİSK YÖNETİMİ VE SÜREÇLERİ | AMASYA PATENT

bilgi güvenlik risk yönetimi ve süreçleri-amasya patent

Bilgi güvenliği çerçevesinde kurulacak güvenlik sistemi alt yapısının ve politikasının doğru bir şekilde belirlenebilmesi için korunmak istenen bilginin değerlendirilmesi ve risk yönetiminin doğru ve eksiksiz bir şekilde yapılması gerekir.

ISO Rehber 73′ e göre risk, bir olayın ve bu olayın sonucunun olasılıklarının birleşimi olarak tanımlanmaktadır. Risk yönetiminin bir adımı olan risk değerlendirmesi, risklerin tanımlandığı ve tanımlanan bu risklerin etkilerinin ve önceliklerinin belirlendiği bir süreçtir.

Risk değerlendirmesinin belli başlı safhaları şunlardır.

Korunması gereken bilgi yada varlıkların belirlenmesi
Bu varlıkların kuruluşlar açısından ne kadar değerli olduğunun saptanması
Bu varlıkların başına gelebilecek bilinen ve muhtemel tehditlerden hangilerinin önlenmeye çalışılacağının ortaya konulması
Muhtemel kayıpların nasıl cereyan edilebileceğinin araştırılması

Her bir varlığın maruz kalabileceği muhtemel tehditlerin boyutlarının tanımlanması

Bu varlıklarda gerçekleşebilecek zararların boyutlarını ve ihtimallerini düşürmek için ilk planda yapılabileceklerin incelenmesi ve ileriye yönelik tehditleri en aza indirmek için atılması gereken adımların planlanması olarak sıralanabilir.

Risk yönetimi sonucunda kurulacak ve yürütülecek güvenlik sisteminin maliyeti dikkate alınması gereken başka önemli bir husustur.

Önleme, güvenlik sistemlerinin en çok üzerinde durduğu ve çalıştığı süreçtir. Bir evin bahçesine çit çekmek, çelik kapı kullanmak gibi güncel hayatta kullanılan emniyet önlemleri gibi, bilgisayar sistemlerine yönelik tehdit ve saldırılara karşı, sistemin yalıtılmış olması için çeşitli önlemler geliştirilmektedir.

Kişisel bilgisayar güvenliği ile ilgili,

Virüs tarama programlarının kurulu olması,
Bu programların ve işletim sistemi hizmet paketlerinin ve hata düzeltme ve güncellemelerinin düzenli aralıklarla yapılması,
Bilgisayarda şifre korumalı ekran koruyucu kullanılması,
Bilgisayar başından uzun süreliğine ayrı kalındığında sistemden çıkılması,
Kullanılan şifrelerin tahmininin zor olacak şekilde belirlenmesi, bu şifrelerin gizli tutulması ve belirli aralıklarla değiştirilmesi,
Disk paylaşımlarında dikkatli olunması
İnternet üzerinden indirilen veya e-posta ile gelen dosyalara dikkat edilmesi,
Önemli belgelerin parola ile korunması veya şifreli olarak saklanması,
Gizli veya önemli bilgilerin e-posta, güvenlik sertifikasız siteler gibi güvenli olmayan yollarla gönderilmemesi,
Kullanılmadığı zaman İnternet erişiminin kapatılması,
Önemli bilgi ve belgelerin düzenli aralıklarla yedeklerinin alınması gibi önlemler,
alınabilecek önlemlerden bazılarıdır.

Saptama: Sadece önleme ile yetinilseydi, yapılan çoğu saldırıdan haberdar bile olunamazdı. Saptama ile daha önce bilinen veya yeni ortaya çıkmış saldırılar, rapor edilip, uygun cevaplar verebilmektedir. Saptamada ilk ve en temel basamak, sistemin bütün durumunun ve hareketinin izlenmesi ve bu bilgilerin kayıtlarının tutulmasıdır. Bu şekilde ayrıca, saldırı sonrası analiz için veri ve delil toplanmış olmaktadır. Güvenlik duvarları, saldırı tespit sistemleri, ağ trafiği izleyiciler, kapı (port) tarayıcılar, bal çanağı (honeypot) kullanımı, gerçek zamanlı koruma sağlayan karşı virüs ve casus yazılım araçları, dosya sağlama toplamı (checksum) kontrol programları ve ağ yoklayıcı (sniffer) algılayıcıları, saptama sürecinde kullanılan en başta gelen yöntemlerden bazılarıdır.

Karşılık verme, güvenlik sürecini tamamlayan önemli bir halkadır. Saldırı tam olarak önlenmese bile; sistemin normal durumuna dönmesine, saldırıya sebep olan nedenlerin belirlenmesine, gerektiği durumlarda saldırganın yakalanmasına, güvenlik sistemi açıklarının belirlenmesine ve önleme, saptama ve karşılık verme süreçlerinin yeniden düzenlenmesine olanak verir. Saldırı tespit edilince yapılması gereken işlerin, daha önceden iyi bir şekilde planlanması, bu sürecin etkin bir şekilde işlemesini ve zaman ve
para kaybetmemeyi sağlayacaktır. Yıkım onarımı (disaster recovery), bu aşama için gerçekleştirilen ve en kötü durumu ele alan esaslı planların başında gelir.

Riskleri Anlamak…

Saldırılar (Hacking, DDOS Hizmet Engelleme)
Kritik Bilgilerin Rakiplere Sızdırılması
Dolandırıcılık
Sistemsel Hatalar
Virüs Saldırıları

Sonuçları:
İş Faaliyetlerinin Sekteye Uğraması
Üretimin Yavaşlaması Ya Da Durması
Pazar Payının Kaybedilmesi
Kârın Düşmesi
Müşteri Güveninin Kaybedilmesi
Kurum İmajının ve İsminin Zarar Görmesi

Bilgi Güvenliği Risk Değerlendirmesi

Risk =Değer Varlıklar * Zayıflıklar * Tehditler / Olasılıklar Ve gerçekler “Öncelikli Riskler”

Bilgi Güvenliği Politikalarının Getirileri

Yönetimin Bakış Açısını Çalışanlara Aktarmak
Disiplin Suçlarının Tanımlanmasında Temel Oluşturmak
Bilinçlendirme Sağlamak
Değer Varlıklarının Bilinmesini Sağlamak
Zayıflıkları ve Mevcut Denetimleri Ortaya Koymak
Karar vermeyi kolaylaştırır.

ISO 27001 Oluşturulması Sırasında Uygulanan Bazı Önlemler

Şifre Kullanarak Kişisel Bağlanma,
Virüs Kontrolleri, Yedekleme ve Saklama (sirket dısında saklama da dahil) uygulamaları,
Yetki Tabloları,
Is Planlama ( kaza sonucunda ve is sürekliligi için yapılacakların listesi),
E-posta, faks, internet ve fotokopi için kullanma kosulları,
Dosyalara erisimde yetkiler…

Bilgiyi Klasifiye Etme

Herkes tarafından bilinmesinde sakınca olmayan genel bilgiler
Sadece bilmesi gerekenler tarafindan bilinmesi gereken (Need to know) veriler.
satın alma
personel
pazarlama
üretim metodu
müşteri bilgileri v.b. ile ilgili olabilmektedir
İstenmeyen ellere geçmemesi gereken her türlü bilgi

Bilgi Güvenliği | Kritik Bilginin Korunmasi

Kapsamı belirle
Need to know ve Segregation of Duties (SoD) kavramları dahilinde kısıtlamaları sağla
Ve operasyonun işlerligini sağlamak adına elinden geleni yap

Bilgi Güvenliğinin Türkiye’de Uygulanması

20 Temmuz 2008 tarihli resmi gazetede yayınlanan Elektronik Haberleşme Güvenliği Yönetmeliği sonucunda Telekominikasyon Kurumu tarafından yetkilendirme çerçevesinde elektronik haberleşme hizmeti sunan ve/veya elektronik haberleşme şebekesi sağlayan ve alt yapısını işleten sermaye şirketlerinin, bir yıllık süre içerisinde TS ISO/IEC 27001 veya ISO/IEC 27001 standartlarına uyumluluğu yükümlülük haline gelmiştir.

Sonuç

Türkiye’de temel seviyede bilgisayar bağlantısı sağlanmaya başladı, bu da birinci seviyeyi gerçekleştirmeye başladığımız anlamına geliyor.

Ancak güvenlik sağlanmadan diğer aşamalara geçmek riske sokar. Kamuda ISO 27001 in uygulamasıyla kurumların ve vatandaşların Maslow’un ihtiyaçlar hiyerarşisinde ilerlemesine yardımcı olacaktır.

Bunun içinde ilk aşama kurumsal güvenlik politikalarının BGYS kapsamında oluşturulması gerekmektedir.