BT DENETİMİ EĞİTİMİ BÖLÜM 2 - idkk.gov.tr · BT DENETİMİ EĞİTİMİ BÖLÜM 2 Bilgi Teknolojileri Ortamında Riskler ve Olası Etkiler Kağan Temel CISA, ISO27001LA 27.5.2016

BT DENETİMİ EĞİTİMİ

BÖLÜM 2 Bilgi Teknolojileri Ortamında Riskler ve Olası Etkiler

Kağan Temel CISA, ISO27001LA

27.5.2016 www.tebit.com.tr 1


BT Yönetişimi BT Kaynak Planlama BT Operasyon Yönetimi BT Olay ve Problem Yönetimi BT Bilgi Güvenliği Planlama BT Değişiklik Yönetimi BT İş sürekliliği Yönetimi BT Yazılım Geliştirme ve Yazılım Tedariği Yönetimi BT Hizmet seviyesi Yönetimi BT Veri madenciliği ve Raporlama Yönetimi BT Versiyon ve Yaygınlaştırma Yönetimi BT Bilgi Güvenliği Yönetimi BT kapasite Yönetimi BT Talep Yönetimi BT Varlık Yönetimi BT konfigurasyon Yönetimi BT Servis Geliştirme Yönetimi BT Yedekleme Yönetimi

BT Süreçleri

BT Risk Değerlendirme için Genel BT süreçleri


Bilgi Güvenliği Risk Yönetimi- nasıl ?

Görevlerin ayrılığı– BT operasyonları ile bilgi güvenliği operasyonlarının, politika,

prosedür ve iç kontrollerinin belirlenmesi fonksiyonlarının ayrılması

BT uzmanlık ve fonksiyonları ile güvenlik uzmanlık ve fonksiyonlarının ayrımı

Bilgi güvenliği fonksiyon ve ekibine yeterli düzeyde yetkilendirme

Dağıtık bir yapı yerine merkezi ve bir bütün olarak yönetilen bilgi güvenliği yapısı

Bilgi varlıklarının tasnif , üretim, saklanma, dağıtım ve takibine yönelik süreçler

Bilgi güvenliği fonksiyonunun yeni servis ürün geliştirme, talep ve proje yönetimi süreçleri içerisine etkin bir şekilde yerleştirilmesi

Bilgi güvenliğinin sadece teknoloji tabanlı süreçler, sistem ve uygulamaları değil ,işe alım, yer değiştirme, işten ayrılma , şirket dışı bağlantıların(regülatif otoriteler, devlet, diğer şirketlerle olan ilişkiler), tedarik gibi süreçleri de kapsayacak şekilde bir bütün olarak değerlendirilmesi

Risk Yönetimi Organizasyonu


Anahtar Risk Göstergesi

KRI - Key Risk Indicators Anahtar Risk Göstergesi, risklerin kurumun daha önceden belirlenmiş risk iştahı seviyesini aşmaması için (risk gerçekleşmeden önce) izlenmesini sağlayacak ölçüm yöntemleridir.

Her bir risk için KRI tanımlamak mümkün değildir. KRI belirleyebilmek için, • Etkisi yüksek olacak riskleri dikkate almak • KRI tanımlanması, ölçme ve raporlaması için harcanacak kaynağı dikkate almak • Tanımlanacak KRI’ ın hassasiyet ve güvenilirlik seviyesini dikkate almak gerekmektedir. KRI belirlemenin, • Risk gerçekleşmeden önce haberdar olma • Risk ile ilgili geçmişe dönük analiz yapabilme • Risk iştahı ve risk toleransının belirlenmesine katkı sağlama • Risk yönetiminin daha iyi yapılamasına ve hedeflerin başarılmasına katkı sağlama gibi faydaları olacaktır.


Anahtar Risk Göstergesi

Örnek KRI

• Zamanında ve bütçesine uygun tamamlanan proje sayısı • Beklenen faydadan daha fazlasını sağlamış BT yatırımlarının

yüzdesi • Şifre standartlarına uymayan kullanıcıların yüzdesi • Yetkisiz erişimlerin sayısı • İş ve süreçlere zarar veren güvenlik ihlallerinin sayısı • Eğitim planındaki eğitimleri tamamlamamış olan BT çalışan

yüzdesi • BT operasyon hatalarından dolayı oluşan hizmet kesintisi sayısı


1. Ne olabilir? 2. Neden olabilir? 3. Neden bunu önemsiyoruz?

Örnek Risk ifadesi: (Hedefler üzerinde etkisi olan bir olay) neden olabilir/neden olur(herhangi bir aksaklık,kesinti vb) bunun sonucunda da (…

etkileri olur)

Doğru Risk İfadesi Yazmak

Müşteri verisinin hatalı olması ya da ulaşılamaması eksik/yanlış finansal işlemlere neden olabilir ve bu durumda düzenleyici kurumların veya .. yasa ile belirlenmiş finansal hata limitlerinin üzerine çıkabilir.


Risk tanımı

Potansiyel etkiler Gözlemler

Risk yanıtı Risk değerlendirme

Uygulama Parametre tanımlama ekranına yetkisiz erişim

Kurumdan ayrılmış personelin kritik sistemlere erişim yetkisinin bulunması ve mevcut kullanıcıların kullanmakta olduğu şifreler için erişim güvenliğini destekleyecek bir şifre politikasının bulunmaması sistemlere yetkisiz erişimlere, dolayısıyla sistemler üzerinde gerçekleştirilebilecek yetkisiz işlemler yoluyla kritik bilgilerin silinmesine veya değiştirlmesine sebep olabilir. Bu durum yanlış bilgiler kullanılarak hatalı işlemler gerçekleştirilmesine, dolayısıyla gelir kaybı, denetlenen birim memnuniyetsizliği ve regülatif problemlere yol açabilir.

Şifre yapısı için Active Directory ile entegre olunacaktır. Kullanıcı yönetimi için IDM ile entegre olunması planlanmıştır .İnsan Kaynakları Birimi ile koordineli olarak çalışılacak ve işten ayrılan ya da görev tanımı değiştirilmiş olan personelin listesi temin edilerek söz konusu listede yer alan değişikliklere uygun olarak Parametre Tanımlama arayüzüne erişim yetkileri ve işlem yetkileri haftalık olarak gözden geçirilecektir. Şifre zayıflıklarını önleyebilecek şifre parametrelerini belirleyen bir şifre politikasına uygun olarak sistemsel uyarlamalar gerçekleştirilecektir.

Risk seviyesi:YÜKSEK Risk Puanı:0-9 Şirket genelinde merkezi bir kullanıcı yönetimi sürecine geçilmesinin gecikmesi yetkisiz erişim ve bilgi/veri çalınması risklerini artıracaktır.

Parametrelerinin doğruluğuna ilişkin gerçekleştirilen kontrolün hangi seviyede gerçekleştirileceğini belirleyen ve sorumlulukları netleştiren bir düzenleme mevcut değildir. Sebep: Sürecin yeni yapılandırılmış olması ve henüz sorumlulukların tam olarak netleşmemiş olması nedeniyle onay mekanizmasına ilişkin düzenlemeler yapılandırılmamıştır.

Risk Yanıt Dökumanı


Risk Analizi Metodolojisi

Süreçleri belirle

Süreç risklerini belirle

Risklerin doğal risk sevilerini

belirle

Azaltıcı faktörleri

değerlendir

Artık riskleri belirle

Risk haritası ve önceliklendirme

Risk yanıtları ve aksiyon takibi


Risk Analiz Metodları

Nicel Risk Analiz Metodu Riskin olasılık ve etkisinin istatistik metodlar kullanılarak hesaplanması. Nitel Analize göre çok daha objektif bir yöntemdir. Güvenilebilir doğrulukta ve yeterlilikte Verinin mevcut olduğu ve kıyaslama açısından geçmişe ait verilerin de mevcut olduğu durumlarda uygulanmalıdır. Her risk için uygulanamayabilir. Örn. Sabotaj-saldırı riski, itibar kaybı riski vb. Nitel Risk Analiz Metodu Riskin olasılık ve etkisinin tahmini olarak belirlenmesi. Risk verisine sınırlı veya düşük seviyede ulaşılabildiği durumlarda uygulanmalıdır. Dezavantajları, • Kişisel bakış açısına bağlı(sübjektif), • Yoruma açık olması, • Risk değerlendirme sürecinde standart bir yaklaşımın uygulanmasını zorlaştırmasıdır. Nicel ve Nitel metodun beraber kullanılması Prensip olarak nicel(istatistiki) metod kullanılmakla birlikte veriye erişilemediği durumlarda Nitel yöntemlerinde kullanılmasıdır.


Risk Yönetimi Standart ve Çerçeveleri • Control Objectives for Information and Related Technology (COBIT)

• CCTA Risk Assessment and Management

• Dutch A&K Analysis

• EBIOS

• ETSI

• Factor Analysis of Information Risk (FAIR)

• Fundamental Information Risk Management (FIRM)

• Failure Modes and Effects Analysis (FMEA)

• Facilitated Risk Assessment Process (FRAP)

• Information Risk Assessment Methodologies (IRAM)

• ISAMM

• Information Security Forum (ISF) Methods

• ISO TR 13335 (a Technical Report which is a precursor to ISO/IEC 27005);

• ISO/IEC 27001

• ISO/IEC 31000

• IT Grundschutz

• Metodologia de Analisis y Gestion de Riesgos de los Sistemas de Informacion (MAGERIT)

• MEHARI

• MIGRA

• NIST SP 800-30

• NIST SP 800-39

• NSA IAM / IEM / IA-CMM

• OCTAVE

• Open Source Security Testing Methodology Manual (OSSTMM)

• Practical Threat Analysis (PTA)

• Security Officers Management and Analysis Project (SOMAP)

• Simplified Process for Risk Identification (SPRINT)

Risk Yönetimi-Kaynaklar


Tümden gelim

Tüme varım

Mevzuat, süreçler

Risk envanteri, risk

senaryoları

Ris

k se

viye

si

Fayda/maliyet oranı

Risk Yanıtının önceliklendirilmesi

Risk Yanıtı seçme kriterleri

Risk Belirleme

Risk Analizi

Risk Yanıtı

Risk analizi ve risk yanıtı süreci


Etki Finansal Hizmet Sürekliliği İtibar Hukuk/Regulasyon

1 100.000TL den az 1 saaten az hizmet kesintisi

Sadece kurum içinde etki

Sadece kurum içi bilgilendirme ile düzeltilebilecek küçük uygunsuzluklar

2 100.000-300.000 1-6 saat

3 300.000-1.000.000 6-12 saat ve birden fazla bölgede kesinti

4 1.000.000-10.000.000

5 10.000.000 TL den fazla 24 saatten fazla ve ülke genelinde kesinti

Kamuoyunda düzeltilmesi çok zor olumsuz imaj

Ciddi Hukuki yaptırımlara neden olabilecek uygunsuzluk

Risk Etki Matrisi Şablonu


Puan Olasılık 1 Yılda 1 kez veya daha az

2 Ayda ortalama 1-2

3 Haftada 1-2

4 Günde 1-2

5 Günde 2 den fazla

Risk Olasılık Matrisi Şablonu


Risk Puanı Risk Seviyesi Risk İşleme

0-5 Çok düşük Risk Kabul

5-10 Düşük Risk Kabul

10-15 Orta Riski azalt

15-20 Yüksek Riski azalt

20-25 Çok yüksek Riskten kaçınma/Risk transfer

Risk Puanlama Şablonu


•Uygun risk yanıtının belirlenmesi

Rsik Yanıtı

•Tasarlanmış kontroller

•Diğer kaynaklardan gelen kontroller

Kontrollerin belirlenmesi

•EK-A dan gerekli kontrolleri belirleme

EK-A kontrollerinin belirlenmesi

•EK-A dan belirlen kontrolleri hariç tutma ve dahil etme gerekçeleri

EK-A kontrollerinin belirlenmesi

•U/B nin oluşturulması

U/B

•Risk sahiplerinin onayının alınması

Risk İşleme Planı

ISO27001 BGYS(Bilgi Güvenliği Yönetim Sistemi)

ISO 27001 BGYS için Risk İşleme Süreci


Kontrol listelerinin oluşturulması • Denetlenecek süreçler • Sürece ait U/B de belirlenmiş kontroller

Riskler belirlenip plan ve sürece uygun olarak gruplanacak, puanlanacak ve risk işleme sürecine uygun olarak aksiyon planları belirlenecektir.

Risk işleme süreci ile birlikte kapsam ve politikaya uygun olarak bilgi

güvenliği amaç ve hedefleri belirlenecektir.

İç denetim planının oluşturulması Denetim yöntemi

• Dokuman inceleme, • Mülakat, • Yerinde inceleme

Düzeltici faaliyet ve düzeltme ve düzeltici aksiyonların gerçekleştirilmesi sürecini belirlenmesi

Denetim öncesi yapılacaklar



Bilgi Güvenliği politikasının denetimi • Dokümante edilmiş bilgi olarak erişilebilir olması, • Organizasyon içinde iletiminin sağlanması • İlgili taraflar için erişilebilir olmasını • Organizasyonun amacına uygun, • Bilgi güvenlik hedeflerini ya da bilgi güvenlik hedeflerinin oluşturulması için çerçeveyi içeren (Madde 6.2) • Bilgi güvenliği yönetim sistemi ile ilgili uygulanabilir gereksinimlerin karşılanmasına ilişkin taahhütleri içeren, • Bilgi güvenliği yönetim sisteminin sürekli iyileştirilmesi için taahhüt içeren



Risk analizi ve risk işleme süreci planının denetlenmesi İlgili dokümantasyonun varlığı

• Risk değerlendirme süreci, • Risk işleme plan ve süreci, • Risk envanteri ve aksiyon planları, • Bilgi güvenliği hedefleri

Dokumantasyona uygun çıktıların, denetim kanıtlarının incelenmesi



Eğitim faaliyetlerinin denetimi Farkındalık eğitiminin yapılması Eğitim kanıtları( katılım kayıtları, eğitim dokumanı

vb.)

Bilgi varlık envanteri 27001:2013 versiyonu gereksinimleri ve varlık sınıfları, gizlilik, bütünlük, erişilebilirlik, tehdit, açıklık kriterlerine göre varlığı ve içeriği denetlenmelidir.

Performans ve Sürekli iyileştirme süreci denetimi Yönetim gözden geçirme toplantısı kayıtları, Düzeltici faaliyet ve düzeltme ve düzeltici aksiyonların gerçekleştirilmesi sürecine ilişkin kayıtlar ve aksiyonlarının denetimi Denetim kanıtları

• YGG toplantı notu, • DOF süreci ve DOF kayıt ve aksiyonları



• İnsan Kaynakları Güvenliği

• Internet ve Intranet Kaynaklarının Kullanımı

• İş Ortakları Hizmet Sağlama

• Kullanımı Tanıma Yetkilendirme

• Risk Yönetimi

• Veri Şifreleme Uygulamaları

• Veri Yedekleme

• Yazılım Değişikliği Yönetimi

• Yazılım Edinme ve Çoğaltma

• Zararlı Yazılımlardan Korunma

• Ağ ve Sistemlerin Güvenli İşletimi

• Bilgi Güvenliği Testleri Uygulama

• BGYS Yönetişim ve İşletim Modeli

• Bilgi Güvenliği Sürekliliği

• Bilgi İçeren Taşınabilir Cihazların Kullanımı

• Bilgi İşleme

• Bilgi Varlıklarının Yönetimi

• Donanım Değişikliklerinin Uygulanması

• Fikri Mülkiyet Haklarının Korunması

• Fiziksel Güvenlik

• Güvenlik İhlalleri Bildirimi ve Müdahalesi

• İlgili Yasa ve Düzenlemelerine Uyum

Örnek ISO 27001 iç denetim alanları



• Yeterli düzeyde kontrol edilmeyen BT projeleri ve BT harcamaları • İş ve BT stratejileri arasındaki eşgüdüm sorunları • Yetersiz BT işlem kapasitesi, performans sorunları • Veri ve programlara yetkisiz erişim • Donanım ve yazılım hataları • Programcı, operatör, vb. teknik personel hataları • Son kullanıcı hataları • Doğal felaketler, yangın, su basması, enerji problemleri, vb. • Sabotaj, terör hareketleri, vb. • BT iç kontrol ve iç denetim faaliyetlerinin yetersizliği • Yasalara, standartlara ya da kurumun iç politikalarına uyumsuzluk

BT DENETİMİ

BT Risk kaynakları


Organizasyonel Birim Süreç Risk

Bilgi İşlem Daire Başkanlığı

Veritabanı Yönetimi ve

Güvenliği

Veritabanına yetkisiz erişimler

ve yetersiz veritabanı

performansı

Örnek Riskler

BT RİSKLERİ




Veritabanı Yönetimi ve Güvenliği

Veritabanlarında aktif durumda olan firma

kullanıcılarının bulunması. Firma

kullanıcıları gizli bilgileri görebilir, silip, değişiklik

yapabilirler.

Örnek Riskler

BT RİSKLERİ





Veritabanlarında birden fazla kişinin kullanabildiği

ortak kullanıcılarının bulunması.Usulsüz

işlemlerin hangi kullanıcı tarafından yapıldığının

tespit edilememesi

Örnek Riskler

BT RİSKLERİ





kullanıcılara gereğinden fazla rol ve yetkiler

verilmesi. Yetkisi dışında veri silme, değiştirme, veritabanından kritik

bilgilerin çekilmesi

Örnek Riskler

BT RİSKLERİ





Veri tabanı kullanıcı işlemlerinin

loglanmaması. İşlemlerin kim tarafından ne zaman

yapıldığının tespit edilememesi.

Örnek Riskler

BT RİSKLERİ



Bilgi İşlem Daire

Başkanlığı

BT Test, Sürüm ve

Yaygınlaştırma Yönetimi

Üretim ortamında

yapılan yetkisiz değişiklikler

Örnek Riskler

BT RİSKLERİ



Bilgi İşlem Daire

Başkanlığı

BT Test, Sürüm ve

Yaygınlaştırma Yönetimi

Uygulama öncesi yetersiz

test

Örnek Riskler

BT RİSKLERİ




BT Değişiklik & Konfigürasyon

Yönetimi

Standart bir değişiklik yönetimi

prosedürünün olmaması

Örnek Riskler

BT RİSKLERİ





Yönetimi

Değişikliklerin yanlış önceliklendirilmesi

Örnek Riskler

BT RİSKLERİ



Bilgi İşlem Daire

Başkanlığı


Yönetimi

Yetkisiz değişikliklerin

yapılması

Örnek Riskler

BT RİSKLERİ



Bilgi İşlem Daire

Başkanlığı


Yönetimi

Yetersiz etki analizi

yapılması

Örnek Riskler

BT RİSKLERİ





Yönetimi

Değişiklik sonrası ilgili sistem

dokumanlarının guncellenmemesi

Örnek Riskler

BT RİSKLERİ



Bilgi İşlem Daire

Başkanlığı

BT Servis Sürekliliği

Veri kurtarma işleminin yetersiz

yapılması

Örnek Riskler

BT RİSKLERİ





Kritik kaynakların

kullanılamaması

Örnek Riskler

BT RİSKLERİ





Felaketten kurtarma

merkezindeki kritik verilerin

arşivlenmemesi

Örnek Riskler

BT RİSKLERİ





Felaketten kurtarma

merkezindeki kritik verilerin

arşivlenmemesi

Örnek Riskler

BT RİSKLERİ



Bilgi İşlem Daire

Başkanlığı


İş kesintisini gidermede yetersizlik

Örnek Riskler

BT RİSKLERİ



Bilgi İşlem Daire

Başkanlığı

BT Bilgi Güvenliği Yönetimi

Yetkisiz erişim

Örnek Riskler

BT RİSKLERİ



Bilgi İşlem Daire

Başkanlığı


Log kayıtlarının uygun

yönetilmemesi

Örnek Riskler

BT RİSKLERİ



Bilgi İşlem Daire

Başkanlığı


Kimlik yönetiminin

olmaması

Örnek Riskler

BT RİSKLERİ



Bilgi İşlem Daire

Başkanlığı


Ağ kaynaklarına

yetkisiz erişim sağlanması

Örnek Riskler

BT RİSKLERİ





Yetersiz ağ performansı, ağın erişilebilirliği ve ağ

kaynaklarının izlenmemesi

Örnek Riskler

BT RİSKLERİ



Bilgi İşlem Daire

Başkanlığı

BT Problem Yönetimi

Problemlerin zamanında

tespit ve eskale edilememesi

Örnek Riskler

BT RİSKLERİ





Olay sonrası problemler için

zamanında aksiyon

alınamaması

Örnek Riskler

BT RİSKLERİ



Bilgi İşlem Daire

Başkanlığı


Yetersiz problem çözümü

Örnek Riskler

BT RİSKLERİ



Bilgi İşlem Daire

Başkanlığı

BT Süreçleri Kalite

Yönetimi

Süreç performans ölçümünün

yapılamaması

Örnek Riskler

BT RİSKLERİ



Bilgi İşlem Daire

Başkanlığı

BT Süreçleri Kalite

Yönetimi

Performans beklentilerinin

sağlıklı iletilmemesi

Örnek Riskler

BT RİSKLERİ



Bilgi İşlem Daire

Başkanlığı

BT Süreçleri Kalite Yönetimi

Temel performans

göstergelerinin eksikliği

Örnek Riskler

BT RİSKLERİ



Bilgi İşlem Daire

Başkanlığı

BT Kayıt, Olay ve Alarm Yönetimi

Kayıt saklama politikasının

olmaması

Örnek Riskler

BT RİSKLERİ



Bilgi İşlem Daire

Başkanlığı


Kayıtların üretilememesi

Örnek Riskler

BT RİSKLERİ





Risk önem seviyelerine göre alarm türleri ve

seviyelerinin uygun bir şekilde

sınıflandırılmaması

Örnek Riskler

BT RİSKLERİ




BT Yardım Masası

BT olaylarının önemlerine

uygun kategorize edilmemesi

Örnek Riskler

BT RİSKLERİ




BT Yardım Masası

Zamanında problem çözümünün

sağlanması için gerekli performans

ölçüm uygulamasının eksikliği

Örnek Riskler

BT RİSKLERİ



Bilgi İşlem Daire

Başkanlığı

Servis Seviyesi Yönetimi

Ölçme yöntemlerinin yetersiz olması

Örnek Riskler

BT RİSKLERİ




Servis Seviyesi Yönetimi

Onaylı servis seviyesi sözleşmelerine

uyumun yeterince kontrol edilememesi

Örnek Riskler

BT RİSKLERİ



Bilgi İşlem Daire

Başkanlığı

BT Kapasite Yönetimi

Yetersiz kapasite

planlaması

Örnek Riskler

BT RİSKLERİ





Kapasite darboğazlarının

öngörülememesinden dolayı hizmet kesintisi

Örnek Riskler

BT RİSKLERİ



Bilgi İşlem Daire

Başkanlığı


İş planlarına göre yatırım yapılmaması

Örnek Riskler

BT RİSKLERİ




BT Uygulamaları Geliştirme

İş gereksinimlerine uygun bir tasarım

dokümanın hazırlanmaması

Örnek Riskler

BT RİSKLERİ





Tasarım dokümanına

uygun geliştirme yapılamaması

Örnek Riskler

BT RİSKLERİ





Uygulama geliştirmelerinin

zamanında yapılamaması

Örnek Riskler

BT RİSKLERİ



Bilgi İşlem Daire

Başkanlığı

Veri Ambarı & İş Zekası Yönetimi

Veri kalitesi ve veri bütünlüğü

eksikliği

Örnek Riskler

BT RİSKLERİ





Veri modeli ve veri mimarisinin doğru olmaması

Örnek Riskler

BT RİSKLERİ





Raporların zamanında ve

doğru bir şekilde üretilememesi

Örnek Riskler

BT RİSKLERİ



Bilgi İşlem Daire Başkanlığı Operasyon

İşletim sistem yazılımı yamalarının uygulanması (veya

uygulanmaması) konusunda uygun seviyede onay

mekanizmasının olmaması

Yetkisiz erişim

Bilgi kaybı

Hizmet kesintisi

Örnek Riskler

BT RİSKLERİ




Ortak kullanım için tanımlanmış kullanıcıların

olması

Yetkisiz erişim

Bilgi kaybı

Bilgiye erişim işlemlerinin izlenememesi

Örnek Riskler

BT RİSKLERİ




Şifre politikasının yetersiz olması, kullanıcıların

şifrelerinin yayınlanmış şifre politikasına uygun olmaması

Yetkisiz erişim

Bilgi kaybı

Bilgiye erişim işlemlerinin izlenememesi

Örnek Riskler

BT RİSKLERİ




Operasyon

Yeni şifrelerin kullanıcılara telefonla bildirilmesi, şifrelerin

ilgisiz kişilere ulaşması ve sistemlere yetkisiz

erişim

Örnek Riskler

BT RİSKLERİ



Bilgi İşlem Daire

Başkanlığı

Konfigürasyon Yönetimi

Lisanssız ve uygun olmayan

yazılım kullanımı

Örnek Riskler

BT RİSKLERİ



Bilgi İşlem Daire

Başkanlığı Ağ Yönetimi

IP adres planlaması ve IP dağıtımının yapılmaması

Örnek Riskler

BT RİSKLERİ



Bilgi İşlem Daire Başkanlığı Ağ Yönetimi

IP adres kulanıcı eşleştirmesinin

yapılmaması-yasal takip veya inceleme durumunda

hangi IP den işlemin kim tarafından yapıldığının

tespit edilememesi

Örnek Riskler

BT RİSKLERİ




Ağ Yönetimi

Kablosuz ağ erişim noktalarında düşük

sevide güvenlik uygulanması-kablosuz ağ üzerinden yerel alan ağ

kaynalarına yetkisiz erişimlerin yapılabilmesi

Örnek Riskler

BT RİSKLERİ




Ağ Yönetimi

Ağ altyapısındaki cihazların yedeksiz olarak çalışması-

problem durumunda sistem kesintisi

süresini artıracaktır.

Örnek Riskler

BT RİSKLERİ




Kullanıcı Yönetimi

Sistem Yöneticisi rolunun çok fazla yada gereğinden

fazla kişiye verilmiş olması

Örnek Riskler

BT RİSKLERİ



Bilgi İşlem Daire

Başkanlığı

Kullanıcı Yönetimi

Kullanıcılara gereğinden fazla yetki

tanımlanması

Örnek Riskler

BT RİSKLERİ




Sunucu işletimi ve güvenliği

Sunucularda yüksek yetkili

kullanıcılarla (root) işlemlerin yapılması

Örnek Riskler

BT RİSKLERİ





Sunucularda tanımlı

kullanıcıların onay sürecinden

geçmemiş olması

Örnek Riskler

BT RİSKLERİ



Bilgi İşlem Daire

Başkanlığı


Sunucularda onaysız

scriptlerin çalışması

Örnek Riskler

BT RİSKLERİ





Yüksek yetkili kullanıcı işlemlerinin ve kritik komutların

log kayıtlarının tutulmaması

Örnek Riskler

BT RİSKLERİ





Sunucular için standart bir şifre

politikasının bulunmaması

Örnek Riskler

BT RİSKLERİ





Sunucularda uzaktan bağlantı

sağlayacak servislerin açık

olması

Örnek Riskler

BT RİSKLERİ



Bilgi İşlem Daire

Başkanlığı


Sunucu log kayıtlarının

değiştirilebilir olması

Örnek Riskler

BT RİSKLERİ



Bilgi İşlem Daire

Başkanlığı


Sunucu işletim sistemlerinde onaysız yama uygulanması

Örnek Riskler

BT RİSKLERİ





Sunucuların hizmet seviyelerinin ve

peformans göstergelerinin

belirlenmemiş olması

Örnek Riskler

BT RİSKLERİ





Sunucuların yedeklenmemesi veya yedeklerin

düzenli olarak test edilmemesi

Örnek Riskler

BT RİSKLERİ




Veritabanı işletimi ve güvenliği

Veritabanlarında tanımlı kurum dışı(

tedarikçi) kullanıcılarının

işlemlerinin takip edilmemesi

Örnek Riskler

BT RİSKLERİ


TEŞEKKÜRLER

Kağan Temel CISA,ISO27001LA [email protected] 0 533 164 48 89 TEBIT Bilgi ve İletişim Teknolojileri Ltd. Şti.

mailto:[email protected]

Documents

BT DENETİMİ EĞİTİMİ BÖLÜM 2 - idkk.gov.tr · BT DENETİMİ EĞİTİMİ BÖLÜM 2 Bilgi Teknolojileri Ortamında Riskler ve Olası Etkiler Kağan Temel CISA, ISO27001LA 27.5.2016