Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

ISO 27001 BGYS FARKINDALIK EĞİTİMİ

No description
by

Aysegül Özoğlu

on 7 October 2016

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of ISO 27001 BGYS FARKINDALIK EĞİTİMİ

BİLGİ GÜVENLİĞİ NEDİR?
Bilgi güvenliği bilginin tehditlere karşı uygun şekilde korunması demektir.
Bilgi Güvenliği
Gizlilik
Bilgi bir kurumun iş yapabilmesi için sahip olduğu önemli varlıkların en başında gelir.
Tehditler Nelerdir ?
Bilgi Güvenliği Nasıl Sağlanır ?
Kurum çapında bilgi güvenliği farkındalığının yaratılması
ISO 27001 BGYS FARKINDALIK EĞİTİMİ
Bilgi;
Basılı halde kağıtlarda,
Elektronik dosyalarda,
Veritabanlarında,
Telefon konuşmalarında,
Faks mesajlarında,
Masalarda, dolaplarda,
Iletim hatlarında,
En önemlisi de kurum çalışanlarının
akıllarında bulunur.

Bilgi hangi ortamda olursa olsun

gerektiği şekilde
korunmalıdır
Bilginin Korunması
sadece ele geçirilmesini
önlemek midir

Bütünlük
Erişebilirlik
BiLGiNiN GiZLiLiĞi
Sadece yetkili kişilerin erişebilmesi
Kişi yetkisiz ise erişiminin engellenmesi
Bilginin Bütünlüğü
Içeriğinin doğru,
Güncel ve geçerli olduğu,
Yetkisiz kişiler tarafından değiştirilmemiş
Bilginin Erişebilirliği
Bilginin olması gereken yerde ve
gerektiğinde kullanıma hazır olduğunun
güvence altında tutulmasıdır.
Yetkisiz erişim,sızıntı

Yetkisiz kullanım, değiştirilme

Bilgi sistemlerinin felakete maruz kalması
Uygun kullanım, politikalar, prosedürler...
Kurum organizasyonu; kişiler, roller, uygun
atamalar ve iş dağılımı,
Türkiye’ deki Durum ?
2013 yılının başı ile Nisan 2016 tarihleri arasını kapsayan dönemde veri hırsızlığıyla çalınan kayıt sayısı 3,7 milyarı aştı. Veri hırsızlığının en çok yaşandığı ülkeler arasında Amerika, Çin ve Güney Kore başı çekiyor.
Güvenlik Olayları
Alibaba'dan 300 milyon veri
eBay'dan 145 milyon veri
191 milyon ABD seçmen kaydı
152 milyon Adobe Systems kaydı çalınmıştır.
Sahte E-posta
Sahte TTNET Faturası
Sahte TURKCELL Faturası
Tüm bu tehdit ve saldırılardan,
maddi ve manevi zararlardan
korunmak
için ne yapılmalı
ISO 27001 BGYS
Çözüm : Bilgi Güvenliği Yönetim Sistemi (BGYS )
BGYS, Yönetimin almış olduğu stratejik bir karardır.
BGYS için gerekli denetimler sürekli yapılacak ve Yönetim için Raporlar oluşturulacaktır.

BGYS’ nin uygulamasında ;
(PUKÖ) modeli kullanılmaktadır.

PUKO MODELi
BGYS, HES Kablo için stratejik bir karardır.
BGYS, Vizyonumuza bağlı olarak ihtiyaçların ve iş süreçlerinin güven içinde yürütmesi için;

Kapsamı belirledik
Risklerimizi değerlendirdik
Kapsamımıza ve süreçlerimize bağlı kalarak, BGYS Kontrol maddelerini seçtik
Güvenlik politika ve Prosedürlerini oluşturduk
Kontrol ve politikaları uygulamaya başladık
Takip ve kontrol düzenli olarak yapılacaktır.

ISO 27001 BGYS
AMAÇ : Bu Politikanın amacı HES Kablo BT’nin ve
hizmet sunduğu birimlerin sahip olduğu bilgi varlıklarının korunması ve uygun biçimde yönetilmesidir.

BGYS KAPSAMI
HES Kablo Bilgi Güvenliği Yönetim Sistemi;

HES Kablo Bilgi Teknolojileri altyapısını,

Bu altyapıyı kullanan tüm birimleri,

üçüncü taraf olarak kurumun bilgi sistemlerine erişen kullanıcıları,

HES Kablo Bilgi Teknolojileri birimine teknik destek sağlamakta olan hizmet, yazılım veya donanım sağlayıcılarını kapsamaktadır.

Politika ve Prosedürler
Bilginin gizliliğini, bütünlüğünü ve sürekliliğini sağlamak

Yönetimin stratejik kararlarına yönelik beklentilerinin karşılanması

Suistimalleri önlemek ve uygunsuzluklarda disiplin kurallarının çalıştırılmasına zemin hazırlamak



Bilgi güvenliği riskleri konusunda farkındalık oluşturmak

HES Kablo ile paydaşları arasında hukuki dava
ve yaptırımların önüne geçmek

BGYS YAPTIRIMLARI
Uyarı cezası

Yetki azaltma

HES Kablo’nun kayıpların karşılanması

Işten çıkartma

Güvenlik ihlali ve saldırı söz konusu ise, toplanan
kanıtlarla birlikte adli makamlara kaynak
teşkil etmek.

BGYS Kapsamında Çalışanların Sorumlulukları
Tüm çalışanlar ve üçüncü taraf kullanıcılar,
BGYS kapsamında ki kurum politika ve prosedürlerinde belirtilen standartlara ve kurallara uymak durumundadırlar.

Kullanıcı tarafından herhangi bir standarda veya kurala
uyulmaması Bilgi Güvenlik Ihlali kapsamında değerlendirilerek, yaptırımlar kısmında geçen maddeler uygulamaya alınacaktır.

BGYS Kapsamında Çalışanların Sorumlulukları
Şifrenin Korunması
Kullanıcılar;

Kullanıcı kodlarını ve şifrelerini
korumalı ve üçüncü şahıslarla
kesinlikle paylaşmamalıdır.

Şifre seçerken ve şifresini korurken,

Şifre Kullanım Politikası
”nda belirtilen standartlara uymalıdır.

Kullanıcılar;
Içlerinde HES Kablo için “gizli” bilgi bulunduran
dizüstü, tablet, cep telefonu veya diğer
taşınabilir bellekleri hiçbir zaman, diğer
kullanıcıların kolayca erişebileceği yerlerde,
otomobillerinde, korumasız bırakmamalıdır.
Yetkisiz kişilerin, kişisel bilgisayarlara veya bilgi sistemlerinde bulunan kaynaklara erişimlerine kesinlikle izin verilmemelidir.

2- Gizli Belgeler


Kullanıcılar;
Kullanıcı kişisel bilgisayarının başında olmadığı
sürece, bilgisayarını kapatmalı veya kilitlemeli
ya da ekran koruyucusunu şifreli olarak aktif etmelidir.

Kullanıcı, başka bir kullanıcının kişisel bilgisayarının
korumasız olarak (lock edilmemiş veya şifreli ekran koruyucu olmayan) bırakıldığını gördüğünde, derhal kişisel bilgisayarın sahibine veya bu kullanıcının bağlı olduğu birimdeki yetkili kişiye bildirerek gerekli önlemin alınması konusunda uyarıda bulunmalıdır.

3-Açık Oturumlar

Kullanıcılar;
Kullanıcının bilgi sistemlerinde bulunan bir
kaynağa erişebiliyor olması, bu kaynak üzerinde kullanım hakkı, izni veya yetkisi olduğu anlamına gelmez.

4-Yetkisiz Erişim
Kullanıcı, bilgi sistemlerinde bulunan bir kaynağa
kullanım hakkı, izni veya yetkisi olmadığı halde erişebiliyor olabilir.
Böyle bir durum kullanıcı tarafından, derhal ilgili sistemin yönetiminden sorumlu birime bildirilmeli, kaynak kesinlikle kullanılmamalıdır.

5- Yetkisiz Program Kurulumu

Bilgi sistemlerine ve kişisel bilgisayarlara kurum
standartlarında kabul edilen ve kullanım izni
verilen ürünler dışında ürünler kurmamalı,
özellikle güvenlik ürünleri (şifre kırıcılar, tarama
yazılımları vs.) yüklemeli ve çalıştırmamalıdır.
Sistemlerinin güvenliklerini test etmek amaçlı,
onaysız sistem kırma (hacking), şifre kırma (tahmin etme), dosya deşifreleme, yasadışı yazılım kopyalama veya benzer bir şekilde güvenliği zedeleyici yetkisiz işlemler yapmamalı ve yapmaya teşebbüs etmemelidir.

5- Konfigurasyon Değişikliği

Özel olarak yetkilendirilmediyse,
kullandığı bilgisayar üzerine hiçbir
yazılım veya donanım kurulumu
yapmamalıdır.

Bilgi Sistemlerinde bulunan hiçbir kaynağın
(donanım, yazılımın, veya sistem ayarları) konfigürasyon bilgileri ve ayarlarını değiştirmemelidir.

6-Harici Cihaz Kullanımı
Tüm şirket bilgisayarlarında, yönetim
tarafından özel olarak yetkilendirilme-
diği sürece iletişim için 3G, Modem,
Gprs, vs kullanılamaz.
Kişisel bilgisayarlar üzerine,
sistem yöneticisinin bildirdiği programlar dışında hiçbir sebeple program kurulamaz.

7- Çevre Birimleri

Kişisel bilgisayarlarında kullanmak üzere yeni bir
donanım veya yazılıma ihtiyaçları olduğu zaman,
Süreç liderleri, BT ve yönetimin onayı sonrası temin edilip kullanıma tahsis edilebilir.

Kullanıcılar;

Belirlenen yetkiler çerçevesinde,
kullanımına izin verilen sistemlerde
gördükleri açıkları bildirmekle
yükümlüdürler.


Kurum bilgi sistemlerinde, bilgi güvenliğini tehlikeye sokabilecek her olayı ve güvenlik politikalarının ihlal edildiği durumları BT departmanına
EASY Doküman Yönetim Sistemi
üzerinden hemen raporlamalıdır
BGYS – BT Destek / Talep / Bildirim Formu
Kullanıcılar;
Her türlü yetki talebi, yetki iptali,
güvenlik açığı bildirimi,
donanım, ve hizmet taleplerini ve
BGYS kapsamında oluşturulan form
aracılığı ile EASY üzerinden
yapmalıdırlar.

TEŞEKKÜR EDERiZ
Kaynak:Türkiye Bilişim Derneği Ankara Şubesi Eğitim Etkinliği - NEŞE SAYARI
http://bilgem.tubitak.gov.tr/
SOSYAL MÜHENDİSLİK: ZAAFİYETLER VE KORUNMA YÖNTEMLERİ KILAVUZU
Bilgi Nedir ?
Siber saldırılar
BGYS AMACI
SORULAR
SORULAR
Bilginin korunması;
Gizliliğinin gözetilmesi,
Bütünlüğünün garanti altında tutulması ve
Lazım olduğunda erişilebilir durumda olması
anlamına gelir.
Bir kişinin aldığı eğitimler veya edindiği deneyimler sonucunda öğrendiği, elde ettiği keşifler ile oluşan tanımlama, algılama, farkında olma, anlayış ya da beceriye verilen genel kavram olarak açıklanabilir.
Sosyal Mühendislik
SOSYAL MÜHENDİSLİK
Sosyal Mühendislik Nedir ?
Sosyal Mühendislik, insan iletişimindeki ve insan davranışındaki açıklıkları tanıyıp, bunlardan faydalanarak güvenlik süreçlerini atlatma yöntemine dayanan müdahalelere verilen isimdir.
Günümüzde Popüler olan Sosyal Mühendis Davranışları
Bir Saldırının Uyarı Sinyalleri
insanların tanımadıkları biri için yapmayacakları eylemleri yapmalarını sağlama sanatıdır
Sosyal Mühendislik Teknikleri
Omuz sörfü
Çöp karıştırma
Truva atı
Rol yapma
Oltalama
Tersine sosyal mühendislik
Omuz Sörfü
Çöp Karıştırma
Sosyal mühendisler önemsiz gibi görünen bilgileri birleştirip kurbanı inandırıcı senaryolar hazırlayarak önemli bilgiye ulaşma yolunu tercih ederler
Rol Yapma
Genellikle telefonla iletişim üzerinden gerçekleşen bir yöntemdir. Saldırganın amacına ulaşmak için sahte bir senaryo oluşturması ve bu senaryonun satırları arasından kurbanın erişimindeki hassas bilgiye (bir sonraki adımda kullanmak üzere kişisel bilgiler ya da şifreler, güvenlik politikaları gibi erişim bilgileri) ulaşması şeklinde gelişir.
Oltalama
E-posta ile iletişim üzerinden gerçekleşen bir saldırı yöntemidir. Toplu halde onlarca yüzlerce kişiye yönelik yapılabildiğinden, daha sık olarak bu teknik kullanılır
Truva Atı
Zararsız bir işlevi varmış gibi görünen ama aslında zararlı olan yazılımlara truva atı denir
Parola yazılırken ya da erişim kısıtlı sistemlere erişilirken kurbanın izlenmesidir. Dürbün veya diğer görme artırıcı cihazlar kullanılarak yakın mesafenin aksine uzun bir mesafeden de yapılabilir.
Omuz sörfüne maruz kalabilecek olası yerler;
 Havaalanları
Kafeler
Oteller
Halkın ortak kullanım alanları
 Yan masanızda oturan iş arkadaşınız
 Bankamatikler
 Kredi kartıyla ödeme yapılan her yer
Önemsiz olarak görülen belgeler, kredi kartı slipleri, küçük kâğıtlara alınan notlar ve telefon numaraları, imla hatasından atılan raporlar
Çöpe atılmış disket, CD, post-it gibi hassas veri içerebilecek materyaller
Farklı nedenler ile oltalama siteleri hazırlanabilir;
 Parola çalma
 Uzaktan kod çalıştırma
 Köle bilgisayar oluşturma
 …
Güvensiz kaynaklardan
Bilinen bir yazılım görüntüsünde indirilen programlarla
Paylaşma ağlarından indirilen dosyalarla ya da kimliği şüpheli kaynaklardan gönderilen yazılımlara güvenilmesi sonucunda sisteme yayılabilir.
Tersine Sosyal Mühendislik
Rol yapma tekniğine benzer bir saldırı yöntemidir. Fakat bu kez yardımı kurbanın kendisi istemektedir. Sabotaj, pazarlama ve destek adımlarından oluşan bir saldırı tekniğidir.
Sabotaj adımında; sistemi bozar
Pazarlama adımında; sistemi düzeltmeyi teklif eder
Destek adımında; artık kurban sorunun çözülmesi için saldırgana istediği her bilgiyi vermeye başlar ve böylece kritik bilgilere erişim sağlanmış olur.
Kurum çalışanı gibi davranmak
 Ortak iş yürütülen bir şirketin çalışanı gibi davranmak
 Yetkili biri gibi davranmak
 Yardıma ihtiyacı olan, işe yeni girmiş biri gibi davranmak
 Önce sorun yaratmak, sonra sorunu çözmeye çalışmak
 E-posta ekinde zararlı yazılım göndermek
 Kurum içi terimleri kullanmak
Bir geri arama numarası vermekten kaçınılması
Sıra dışı taleplerde bulunulması
 Yetkili olduğunun öne sürülmesi
 Acilliğin üzerine vurgu yapılması
 İsteğin yerine getirilmemesi durumunda kötü
sonuçlar doğacağının söylenmesi
 Soru sorulduğunda rahatsız olunması
 Bilinen adların sıralanması
 İltifat edilmesi ve kur yapılması
BGYS DOKÜMANLARINA ERİŞİM
Full transcript