YZM5604 Bilgi Güvenliği Yönetimi
25 Kasım 2014
Dr. Orhan Gökçöl
http://akademik.bahcesehir.edu.tr/~gokcol/yzme5604
Bahçeşehir Üniversitesi, Fen Bilimleri Enstitüsü
Duyuru

Proje Grupları Oluşturma => YARIN SON
GÜN!!!!
1
ISO27001
BİLGİ GÜVENLİĞİ YÖNETİM
SİSTEMLERİ
GEREKSİNİMLERİ
ISO27001
Kurumlardaki bilgi güvenliği yönetimi
gereksinimlerini veren, uluslararası kabul
gören bir standarttır.
ISO standardıdır ve ISO9001 Kalite yönetim
sistemi ile pek çok ortak noktası vardır.
SON SÜRÜMÜ
ISO/IEC 27001:2013
2
ISO 9001 – Kalite Yönetimindeki en
iyi Uygulamalar
Nedir?





ISO 9001, işletmelerde kalite yönetimini tesis etmek için kullanılan ve
uluslararası kabul gören bir standarttır.
Ürünleri ortaya çıkartan ve kontrol eden tüm iş süreçlerine ve
işletmenin sunduğu bütün servislere uygulanabilir.
Müşteri beklentileri ve müşteri ihtiyaçlarını karşılamak amacıyla
yapılması gereken faaliyetlerin sistematik kontrolünün sağlanmasını
gerekli kılar.
Dünya üzerinde, sektör bağımsız olarak bilinen tüm ürün ve servislere
uygulanabilir.
ISO9001 uygulayan çok fazla miktarda işletme vardır.
ISO 9001
Faydaları nelerdir?
 Kalite yönetim sisteminin uygulanıyor olması çalışanları motive
eder. Anahtar roller ve sorumlulukları belirli kılar.
 Verimlilik ve üretkenlik artışları neticesinde maliyetler düşer.
Ürün ya da servislerde olabilecek sorunlar daha kolay
belirlenebilir.
 Bundan ötürü, çeşitli iyileştirme olanakları kullanılarak; daha az
atık, uygun olmayan/reddedilen iş ve daha az şikayet gibi güzel
sonuşlar ortaya çıkar.
 Müşteriler siparişlerinin zamanında ve sürekli olarak, doğüru
olarak karşılandığını farkedeceklerdir.
 Bu da, pazarda sürekli artan iş fırsatlarına dönüşebilmektedir.
3
ISO27001 : Bilgi Güvenliği Yönetim
Sistemi
İşletmede Bilgi Güvenliğini Sağlamak İçin yapılması gerekenleri
ortaya çıkartan bir ISO modelidir. Model aşağıdaki unsurları içerir :
-Kurmak
-Gerçekleştirmek
-İşletmek
-İzlemek
-Gözden Geçirmek
-Sürdürmek
-İyileştirmek
Diğer ISO standartlarında olduğu gibi SÜREÇ (process) yaklaşımı
benimsenmiştir. Süreç yaklaşımında kuruluşun bir çok faaliyetini
tanımlaması ve yönetmesi gerekmektedir.
27000 Serisi standartların yapısı
27000 Temeller ve anahtar kelimeler
27001:BGYS
27005
Risk
Yönetimi
27002 BGY Uygulama Yönergesi
27003 BGY Uygulama Esasları
27004 Metrikler ve Ölçme
27006 BGYS akreditasyonu kılavuzu
27007 BGYS denetim kılavuzu (iç, dış, yönetim gözden geçirme)
27008 Denetçiler için BGYS kontrolleri kılavuzu
4
PUKÖ
PUKÖ, bir BGYS’nin bilgi güvenliği gereksinimlerini ve ilgili tarafların beklentilerini girdi
olarak nasıl aldığını ve gerekli eylem ve prosesler aracılığıyla, bu gereksinimleri ve
beklentileri karşılayacak bilgi güvenliği sonuçlarını nasıl ürettiğini gösterir. Yukarıdaki
şekil ayrıca, standarttaki Madde 4, Madde 5, Madde 6, Madde 7 ve Madde 8’de
sunulan proseslerdeki bağlantıları da gösterir.
PUKÖ
5
Plan Do Check Act Cycle (PDCA)
Plan
Establish the
ISMS
Interested
parties
Maintain and
improve the
ISMS
Implement and
operate the
ISMS
Do
Information
security
requirements
and
expectations
Interested
parties
Act
Monitor and
review the
ISMS
Check
Managed
information
security
PUKÖ
BGYS Kurulması
BGYS kapsamını belirlemek

Üst yönetimin liderliği ve taahhüt; organizasyonel roller ve

sorumluluklar

BG politikasını tanımlamak
Risk yönetimi için sistematik bir yaklaşım tanımlamak

Riskleri belirlemek

Riskleri değerlendirmek


Riskleri azaltmak için kullanılabilecek seçenekleri belirlemek
ve değerlendirmek
Riskleri azaltmak için kontrol amaçlarını ve kontrolleri

belirlemek

Uygulanabilirlik Bildirgesi (Prepare a Statement of
Applicability (SOA)) hazırlamak
Kalan riskleri belirlemek ve bunlara yönetimin onayını almak


BGYS çalıştırmak/uygulamak için yönetimin onayını almak
6
PUKÖ
BGYS’nin Uygulanması
Riski azaltma planını formüle etmek
Riski azaltma planını uygulamak
Seçilen kontrolleri uygulamak
Eğitimler ve farkındalıklık programları düzenlemek





Çalışanların ne gibi yetkinlikleri olması gerekir?
Operasyonları yönetmek
Kaynakları yönetmek
Güvenlik ihlallerini saptamak ve karşılamak için
prosedür ve kontrolleri uygulamak



PUKÖ
BGYS’nin Kontrol Edilmesi






İzleme prosedürlerini çalıştırmak
Düzenli gözden geçirmeler yapmak
Artık risklerin seviyesini gözden geçirmek
İç denetimler yapmak
Yönetim değerlendirmeleri (yönetimin gözden
geçirmesi) yapmak
Güvenlik ihlal olaylarını ve bunlara verilen
cevapları kayıt altına almak
7
PUKÖ
BGYS’nin Bakımı, İyileştirilmesi ve Sürdürülebilir
Halde Olması





Tanımlanan iyileştirmeleri uygulanması
Önleyici ve düzeltici faaliyetlerin yapılması
Sonuçların değerlendirilmesi, tartışılması
Verimlilik
SÜREKLİ İYİLEŞTİRME!
BGYS KURULUMU


BGYS kurulum isteği kurumun üst yönetimi tarafından
benimsenmelidir. Üst yönetim desteği BGYS’nin başarıya
ulaşması açısından hayati öneme sahiptir. Üst yönetim
BGYS’nin gerekliliğine ve faydasına inanmalıdır.
BGYS kurulumu bir BT ürünü veya sistemi kurulumuyla
karıştırılmamalıdır. BGYS kurumun iş yapma tarzını
etkileyen köklü bir sistemdir ve kurumu tümden etkiler.
Tüm kademelerdeki çalışanların işini yaparken bilgi
güvenliği prensiplerine uygun hareket etmesini gerekli kılar.
Bu bilincin oluşması ve işleyişe geçmesi de bir gelişim
sürecinin sonucu olacaktır.
8
BGYS KURULUMU


BGYS sadece kurumun BT bölümüne ait bir
iş değildir. BGYS tamamen bir teknoloji
meselesi veya teknik bir iş de değildir. Tüm
kurumun aktif halde katılımıyla hedefine
ulaşabilecek bir sistemdir.
En üst kademe yöneticiden en alt seviye
çalışana kadar katılım ve destek şarttır. Aksi
halde BGYS’den beklenen faydanın elde
edilmesi mümkün değildir
BGYS Kurulumu



Etkin bir BGYS kurulumu konusunda ilk yapılması gereken
işlerden bir diğeri de kurum içinde bir Bilgi Güvenliği
Komisyonu oluşturulmasıdır.
Bilgi güvenliği komisyonu (Güvenlik Forumu da denir)
kurum içindeki her bölümden temsilcilerden oluşur. Bilgi
işlem, iç denetim, muhasebe, insan kaynakları, güvenlik
ve diğer tüm bölümlerden temsilciler bu komisyonda yer
almalıdır.
Komisyon temsilcileri bilgi güvenliği konusunda deneyimli
ve bilgili, bunun yanında kendi bölümlerini temsil
edebilme yetkisine sahip kişiler olmalıdır. Komisyon
temsilcileri bilgi güvenliği konusunda yeterli bilgi
seviyesine sahip değilse mutlaka BGYS eğitimleri almalıdır.
9
BGYS Kurulumu



Tüm bölümlerden temsilcilerin komisyonda yer alması
BGYS’nin başarı şansını arttırır. BGYS’in kurumun tamamına
nüfuz etmesini kolaylaştırır. Kurum çapındaki güvenlik
ihtiyaçlarının daha etkin bir biçimde farkında olunmasını
sağlar.
Bu durum BGYS’in doğru planlanması ve sağlıklı işlemesi
açısından hayati öneme sahiptir. Her bölümden bir
temsilcinin katılımı yönetim ve teknik kadro arasındaki
iletişim kopukluğunu gidermeye de yarar.
Sorunları ve ihtiyaçları yerinde yaşayan kişiler belli konularda
yönetimin daha rahat ikna edilmesini sağlar. Bilgi güvenliği
komisyonu sayesinde BGYS ile ilgili görev ve sorumluluklar da
kurum içinde dağıtılmış olur.
BGYS Politikası


Bu politika, hedefleri ortaya koyan, yönetime yön
veren ve harekete geçiren, hangi riskin
değerlendirmeye alınacağına ilişkin risk yönetim
kapsamı ve kriterini belirleyen bir çerçeve
sunmalıdır.
BGYS politikasının amacını bulması için yönetim
politika içeriğindeki maddelerin uygulamaya
geçirileceğine ilişkin kararlarlığını çalışanlara
hissettirmelidir.
10
Risk Değerlendirme Yaklaşımı


Bilgi güvenliği politikası temel alınarak sistematik
bir risk değerlendirme yaklaşımı belirlenmelidir.
Kurum kendine uygun bir metodoloji seçmekte
serbesttir. Seçilen risk değerlendirme
metodolojisi kıyaslanabilir ve tekrarlanabilir
sonuçlar üretmeyi garanti etmelidir. Bu adımda
kabul edilebilecek risk seviyeleri belirlenmeli ve
bunlar için ölçütler geliştirilmelidir.
Risk Belirleme




Korunması gereken varlıkları tehdit eden riskler, önceki
adımda belirlenen yöntem kullanılarak tespit edilmelidir.
BGYS içerisindeki tüm varlıkların tanımlanması, yani varlık
envanterinin çıkarılması risk değerlendirme işinin esasını
oluşturur.
Kurum BGYS kapsamına dahil edeceği tüm varlıkların
sahiplerini, türünü ve önem derecesini bir envanter listesi
şeklinde belgelemelidir.
Bir varlığın önem derecesini belirlemek için bu varlığın
gizliliğine,bütünlüğüne ve kullanılabilirliğine gelecek
zararın kuruma yapacağı etkinin derecesini baştan ortaya
koymak gerekmektedir.
11
Risk Analizi ve Değerlendirilmesi



Tespit edilen risklerin analizi ve derecelendirilmesi
yapılmalıdır. Bu adım bir önceki adımda tespit edilen
risklerin yorumlanması olarak görülebilir.
Risk analizi yaparken riske neden olan tehdit ve
açıklıklardan yola çıkılmalıdır.
Riskin derecelendirilmesi veya değerinin belirlenebilmesi
için öncelikle tehdidin gerçekleşme olasılığı ile etki
derecesi hesaplanmalıdır. Bunlar sayısal değerler
kullanılarak hesaplanabileceği gibi rakamlarla ifadenin zor
olduğu durumlarda düşük, orta, yüksek gibi nitel
değerlerle de belirlenebilir.
Risk Analizi ve Değerlendirilmesi



Riskin kabul edilebilir olup olmadığı Risk
Değerlendirme Yaklaşımında belirlenen ölçütler
kullanılarak tespit edilmelidir.
Tüm bu hesaplama ve değerlemeler
uygulanmakta olan mevcut kontroller de dikkate
alınarak yapılmalıdır. Kontroller risk değerini
azaltabilir.
Bu adım sonunda bir risk değerlendirme
sonuç raporu yayınlanmalıdır.
12
Riski Azaltma

Bu adımda risk değerlendirme sonuç raporundan yola
çıkılarak uygun risk azaltma/tedavi (risk treatment)
yöntemleri belirlenmelidir. Belli bir risk karşısında dört
farklı tavır alınabilir:




Uygun kontroller uygulanarak riskin ortadan kaldırılması
veya kabul edilebilir seviyeye düşürülmesi
Riskin oluşmasına neden olan faktörleri ortadan kaldırarak
riskten kaçınılması
Riskin sigorta şirketleri veya tedarikçiler gibi kurum
dışındaki taraflara aktarılması
Kurum politikalarına ve risk kabul ölçütlerine uyması
şartıyla riskin objektif bir biçimde ve bilerek kabul edilmesi
Kontrollerin Seçimi



Risk işleme süreci sonuçlarına uygun kontrol ve
kontrol hedeflerinin seçilmesi gerekir. TS ISO/IEC
27001:2013’de bu kontrollerden detaylı bir biçimde
bahsedilmektedir.
Bu kontroller standartta yol gösterici olması
amacıyla verilmiştir. Kurum kendisine ek olarak
başka kontroller de seçmekte serbesttir.
ISO27001 kontrolleri, sektör tecrübelerinden
faydalanmak suretiyle, standart etki alanlarında
olabildiğince geniş kapsamlı olarak belirlenmiş olsa
da dış kaynaklı kontrollere ihtiyaç olabilmektedir.
13
Yönetimin Onayı

Artık Risk Onayı


Risk işleme süreci sonrasında geriye kalan riske
artık risk (residual risk) denir. Bunlar kabul edilen
riskler veya tamamen ortadan kaldırılamayan
riskler olabilir. Kurum üst yönetimi artık riskler için
onay vermelidir. Bu adım sonunda artık risk onay
belgesi oluşturulmalıdır.
Yönetim Onayı

Risk yönetimi adımlarını geçtikten sonra BGYS
işletimi ve uygulamasını yapmak için yönetimden
onay almak gerekmektedir.
Uygulanabilirlik Bildirgesi (SOA)



Son olarak risklere karşı seçilen kontrolleri içeren bir
Uygulanabilirlik Bildirgesi hazırlanarak BGYS kurulum işi
tamamlanır. Uygulanabilirlik Bildirgesi daha önce seçilen
kontrollerin neler olduğu ve bunların hangi gerekçelerle
seçildiğini anlatmalıdır.
TS ISO/IEC 27001 EK A’dan seçilmeyen kontrollerin neler
olduğu ile bunların seçilmeme gerekçeleri de Uygulanabilirlik
Bildirgesinde verilmelidir. Ayrıca mevcut durumda
uygulanmakta olan kontroller de yine bu belge içinde yer
bulmalıdır.
Normalde, kontroller ISO27001’den seçilir. Ancak, firmaya özel
kontroller ya da başka gereksinimleri/standartları karşılamak
üzere uygulanması gereken kontroller de olabilir
14
SOA



SOA dokümanında seçilecek kontrolün
uygulanması ile ilgili olarak, gerekli politikalar
ve prosedürlere referans verilmelidir.
Ayrıca, seçilmeyen kontrollerin neden
seçilmediği ile ilgili olarak da bir gerekçe
dokümanı hazırlanması yararlı olacaktır.
SOA oluşturulduktan sonraki adım programın
uygulanması olacaktır.
BGYS KURULUMU - ADIMLAR
15
ISO27001
















13 ALAN (Kategori) altında 35 adet kontrol
amacı
Bu amaçları gerçekleştirmek için yapılması
gereken TOPLAM 114 tane kontrol
ALANLAR
A.5: Bilgi Güvenliği Politikaları
A.6: Bilgi Güvenliği Organizasyonu
A.7: İnsan Kaynakları Güvenliği
A.8: Varlık Yönetimi
A.9: Erişim Kontrolü
A.10: Kriptografi (Şifreleme)
A.11: Fiziksel ve Çevresel Güvenlik
A.12: İşlemler Güvenliği
A.13: Haberleşme Güvenliği
A.14: Bilgi Sistemleri Edinim, geliştirme ve bakımı
A.15: Tedarikçi İlişkileri
A.16: Bilgi Güvenliği İhlal Olayı Yönetimi
A.17: İş Sürekliliği Yönetiminin Bilgi Güvenliği Unsurları
A.18: Uyum
16
ISO27001 Kontrolleri


Her bir alanla ilgili bir ya da birden çok bilgi
güvenliği amacı bulunmaktadır. (Toplam 35
tane – control objectives)
İlgili alandaki BG amaçlarını
gerçekleştirebilmek için uygulanması
gereken kontroller var (Toplam 114 tane)
Örnek : Kontrol Amaçları –
BİLGİ GÜVENLİĞİ POLİTİKALARI
17
18
19
ISO27001 ve ISO31000

ISO31000 : Risk Yönetimi Standartı
20
21
ISO27005 :
ISO31000’i TEMEL
ALAN BİR RİSK
YÖNETİMİ
YAKLAŞIMIDIR.
BİLGİ GÜVENLİĞİ
RİSK YÖNETİMİ İÇİN
KULLANILABİLİR.
İTERATİF BİR
YAKLAŞIM.
PUKÖ’yü takip
eder!
ISO27005 - Adımlar



Context Establishment (İçerik Oluşturma) –kapsam
Risk Değerini Belirleme : 1) Tanımlama, 2) Analiz, 3)
Değerlendirme
Risk Tedavisi
22
(GÜVENLİK yöneticilerin umurlarında değildir!!!
Onların umurunda olan RİSKdir! )
ISO27005 – Risk Değeri Hesaplama –
Örnek Yaklaşım 1
23
ISO27005 – Risk Değeri Hesaplama – Örnek Yaklaşım 2
24
ISO27005 – Risk Değeri Hesaplama – Örnek Yaklaşım 3
 ISO27001:2013
STANDART İNCELEMESİ
25
Download

ISO27001:2013 - Bahçeşehir Üniversitesi