Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

ISO 27001 BGYS FARKINDALIK EĞİTİMİ

No description
by

Aysegül Özoğlu

on 22 June 2016

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of ISO 27001 BGYS FARKINDALIK EĞİTİMİ

BİLGİ GÜVENLİĞİ NEDİR?
Bilgi güvenliği bilginin tehditlere karşı uygun şekilde korunması demektir.
Bilgi Güvenliği
Gizlilik
Bilgi bir kurumun iş yapabilmesi için sahip olduğu önemli varlıkların en başında gelir.
Tehditler Nelerdir ?
Siber saldırılar
Bilgi Güvenliği Nasıl Sağlanır ?
Kurum çapında bilgi güvenliği farkındalığının yaratılması
ISO 27001 BGYS FARKINDALIK EGITIMI
Bilgi;
Basılı halde kağıtlarda
Elektronik dosyalarda
Veritabanlarında
Telefon konuşmalarında
Faks mesajlarında
Masalarda, dolaplarda,
Iletim hatlarında,
En önemlisi de kurum çalışanlarının
akıllarında bulunur.

Bilgi hangi ortamda olursa olsun

gerektiği şekilde
korunmalıdır
Bilginin Korunması
Bütünlük
Erişebilirlik
BiLGiNiN GiZLiLiĞi
Sadece yetkili kişilerin erişebilmesi
Kişi yetkisiz ise erişiminin engellenmesi
Bilginin Bütünlüğü
Içeriğinin doğru,
Güncel ve geçerli olduğu,
Yetkisiz kişiler tarafından değiştirilmemiş
Bilginin Erişebilirliği
Bilginin olması gereken yerde ve
gerektiğinde kullanıma hazır olduğunun
güvence altında tutulmasıdır.
Yetkisiz erişim,sızıntı

Yetkisiz kullanım, değiştirilme

Bilgi sistemlerinin felakete maruz kalması
Uygun kullanım, politikalar, prosedürler...
Kurum organizasyonu; kişiler, roller, uygun
atamalar ve iş dağılımı,
Türkiye’ deki Durum ?
2013 yılının başı ile Nisan 2016 tarihleri arasını kapsayan dönemde veri hırsızlığıyla çalınan kayıt sayısı 3,7 milyarı aştı. Veri hırsızlığının en çok yaşandığı ülkeler arasında Amerika, Çin ve Güney Kore başı çekiyor.
Güvenlik Olayları
Alibaba'dan 300 milyon verinin
eBay'dan 145 milyon veri
191 milyon ABD seçmen kaydının
152 milyon Adobe Systems kaydı
Sahte E-posta
Sahte TTNET Faturası
Sahte TURKCELL Faturası
Tüm bu tehdit ve saldırılardan,
maddi ve manevi zararlardan
korunmak
için ne yapılmalı
ISO 27001 BGYS
Çözüm : Bilgi Güvenliği Yönetim Sistemi (BGYS )
BGYS, Yönetimin almış olduğu stratejik bir karardır.
BGYS için gerekli denetimler sürekli yapılacak ve Yönetim için Raporlar oluşturulacaktır.

BGYS’ nin uygulamasında ;
(PUKÖ) modeli kullanılmaktadır.

PUKO MODELi
BGYS, HES Kablo için stratejik bir karardır.
BGYS, Vizyonumuza bağlı olarak ihtiyaçların ve iş süreçlerinin güven içinde yürütmesi için;

Kapsamı belirledik
Risklerimizi değerlendirdik
Kapsamımıza ve süreçlerimize bağlı kalarak, BGYS Kontrol maddelerini seçtik
Güvenlik politika ve Prosedürlerini oluşturduk
Kontrol ve politikaları uygulamaya başladık
Takip ve kontrol düzenli olarak yapılacaktır.

ISO 27001 BGYS
AMAÇ : Bu Politikanın amacı HES Kablo BT’nin ve
hizmet sunduğu birimlerin sahip olduğu bilgi varlıklarının korunması ve uygun biçimde yönetilmesidir.

BGYS KAPSAMI
HES Kablo Bilgi Güvenliği Yönetim Sistemi;

HES Kablo Bilgi Teknolojileri altyapısını,

Bu altyapıyı kullanan tüm birimleri,

üçüncü taraf olarak kurumun bilgi sistemlerine erişen kullanıcıları,

HES Kablo Bilgi Teknolojileri birimine teknik destek sağlamakta olan hizmet, yazılım veya donanım sağlayıcılarını kapsamaktadır.

Politika ve Prosedürler
Bilginin gizliliğini, bütünlüğünü ve sürekliliğini sağlamak

Yönetimin stratejik kararlarına yönelik beklentilerinin karşılanması

Suistimalleri önlemek ve uygunsuzluklarda disiplin kurallarının çalıştırılmasına zemin hazırlamak



Bilgi güvenliği riskleri konusunda farkındalık oluşturmak

HES Kablo ile paydaşları arasında hukuki dava
ve yaptırımların önüne geçmek

BGYS YAPTIRIMLARI
Uyarı cezası

Yetki azaltma

HES Kablo’nun kayıpların karşılanması

Işten çıkartma

Güvenlik ihlali ve saldırı söz konusu ise, toplanan
kanıtlarla birlikte adli makamlara kaynak
teşkil etmek.

BGYS Kapsamında Çalışanların Sorumlulukları
Tüm çalışanlar ve üçüncü taraf kullanıcılar,
BGYS kapsamında ki kurum politika ve prosedürlerinde belirtilen standartlara ve kurallara uymak durumundadırlar.

Kullanıcı tarafından herhangi bir standarda veya kurala
uyulmaması Bilgi Güvenlik Ihlali kapsamında değerlendirilerek, yaptırımlar kısmında geçen maddeler uygulamaya alınacaktır.

BGYS Kapsamında Çalışanların Sorumlulukları
Şifrenin Korunması
Kullanıcılar;

Kullanıcı kodlarını ve şifrelerini
korumalı ve üçüncü şahıslarla
kesinlikle paylaşmamalıdır.

Şifre seçerken ve şifresini korurken,

Şifre Kullanım Politikası
”nda belirtilen standartlara uymalıdır.

Kullanıcılar;
Içlerinde HES Kablo için “gizli” bilgi bulunduran
dizüstü, tablet, cep telefonu veya diğer
taşınabilir bellekleri hiçbir zaman, diğer
kullanıcıların kolayca erişebileceği yerlerde,
otomobillerinde, korumasız bırakmamalıdır.
Yetkisiz kişilerin, kişisel bilgisayarlara veya bilgi sistemlerinde bulunan kaynaklara erişimlerine kesinlikle izin verilmemelidir.

2- Gizli Belgeler


Kullanıcılar;
Kullanıcı kişisel bilgisayarının başında olmadığı
sürece, bilgisayarını kapatmalı veya kilitlemeli
ya da ekran koruyucusunu şifreli olarak aktif etmelidir.

Kullanıcı, başka bir kullanıcının kişisel bilgisayarının
korumasız olarak (lock edilmemiş veya şifreli ekran koruyucu olmayan) bırakıldığını gördüğünde, derhal kişisel bilgisayarın sahibine veya bu kullanıcının bağlı olduğu birimdeki yetkili kişiye bildirerek gerekli önlemin alınması konusunda uyarıda bulunmalıdır.

3-Açık Oturumlar

Kullanıcılar;
Kullanıcının bilgi sistemlerinde bulunan bir
kaynağa erişebiliyor olması, bu kaynak üzerinde kullanım hakkı, izni veya yetkisi olduğu anlamına gelmez.

4-Yetkisiz Erişim
Kullanıcı, bilgi sistemlerinde bulunan bir kaynağa
kullanım hakkı, izni veya yetkisi olmadığı halde erişebiliyor olabilir.
Böyle bir durum kullanıcı tarafından, derhal ilgili sistemin yönetiminden sorumlu birime bildirilmeli, kaynak kesinlikle kullanılmamalıdır.

5- Yetkisiz Program Kurulumu

Bilgi sistemlerine ve kişisel bilgisayarlara kurum
standartlarında kabul edilen ve kullanım izni
verilen ürünler dışında ürünler kurmamalı,
özellikle güvenlik ürünleri (şifre kırıcılar, tarama
yazılımları vs.) yüklemeli ve çalıştırmamalıdır.
Sistemlerinin güvenliklerini test etmek amaçlı,
onaysız sistem kırma (hacking), şifre kırma (tahmin etme), dosya deşifreleme, yasadışı yazılım kopyalama veya benzer bir şekilde güvenliği zedeleyici yetkisiz işlemler yapmamalı ve yapmaya teşebbüs etmemelidir.

5- Konfigurasyon Değişikliği

Özel olarak yetkilendirilmediyse,
kullandığı bilgisayar üzerine hiçbir
yazılım veya donanım kurulumu
yapmamalıdır.

Bilgi Sistemlerinde bulunan hiçbir kaynağın
(donanım, yazılımın, veya sistem ayarları) konfigürasyon bilgileri ve ayarlarını değiştirmemelidir.

6-Harici Cihaz Kullanımı
Tüm şirket bilgisayarlarında, yönetim
tarafından özel olarak yetkilendirilme-
diği sürece iletişim için 3G, Modem,
Gprs, vs kullanılamaz.
Kişisel bilgisayarlar üzerine,
sistem yöneticisinin bildirdiği programlar dışında hiçbir sebeple program kurulamaz.

7- Çevre Birimleri

Kişisel bilgisayarlarında kullanmak üzere yeni bir
donanım veya yazılıma ihtiyaçları olduğu zaman,
Süreç liderleri, BT ve yönetimin onayı sonrası temin edilip kullanıma tahsis edilebilir.

Kullanıcılar;

Belirlenen yetkiler çerçevesinde,
kullanımına izin verilen sistemlerde
gördükleri açıkları bildirmekle
yükümlüdürler.


Kurum bilgi sistemlerinde, bilgi güvenliğini tehlikeye sokabilecek her olayı ve güvenlik politikalarının ihlal edildiği durumları BT departmanına
EASY Doküman Yönetim Sistemi
üzerinden hemen raporlamalıdır
BGYS – BT Destek / Talep / Bildirim Formu
Kullanıcılar;
Her türlü yetki talebi, yetki iptali,
güvenlik açığı bildirimi,
donanım, ve hizmet taleplerini ve
BGYS kapsamında oluşturulan form
aracılığı ile EASY üzerinden
yapmalıdırlar.

TEŞEKKÜR EDERiZ
Kaynak:Türkiye Bilişim Derneği Ankara Şubesi Eğitim Etkinliği - NEŞE SAYARI
Bilgi Nedir ?
BGYS AMACI
SORULAR
SORULAR
Bilginin korunması;
Gizliliğinin gözetilmesi,
Bütünlüğünün garanti altında tutulması ve
Lazım olduğunda erişilebilir durumda olması
anlamına gelir.
Full transcript