Upload
turcom
View
144
Download
2
Embed Size (px)
Citation preview
ISO / IEC 27001Bilgi Güvenliği Yönetim Sistemi
Bilgi Güvenliği & ISO 27001 Nedir? Kurumlara Faydaları Kurulum Aşamaları Türkiye’de Regülasyonlar Turcom Farkı
Ajanda
Bir kurumun bilgi varlıklarının;
GİZLİLİĞİNİN (bilginin yetkisi olmayan kişiler, kurumlar ya da sürecler icin kullanılabilir olmamasını ya da ifşa edilmemesini temin etme özelliği),
BÜTÜNLÜĞÜNÜN (varlıkların doğruluğunun ve eksiksizliğinin teminat altına alınması özelliği)
KULLANILABİLİRLİĞİNİN (yetkili bir kurumun talebi üzerine kullanılabilir olma özelliği)
korunmasıdır.
Bilgi Güvenliği Nedir?
Bilgi Güvenliği Yönetimi Sistemi (ISMS) gereksinimlerini tanımlayan tek uluslararası denetlenebilir standarttır.
Ülkelere göre özel tanımlar icermeyen, genel tanımların bulunduğu bir standarttır.
Bağımsız belgelendirme kuruluşlarının yaptıkları denetim sonucu düzenledikleri ve kurumdaki bilgilerin güvenliklerinin sağlanmasına yönelik sistematik bir uygulamanın olduğunun kanıtını sağlamak üzere “kurum” adına düzenlenen sertifikaya veya belgeye ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi veya ISO 27001 Bilgi Güvenliği Yönetim Sistemi Sertifikası denir.
ISO/IEC 27001 Nedir?
ISO/IEISO 27001:2013 Güncel
Bilgi varlıklarının farkına varma: Kuruluş hangi bilgi varlıklarının olduğunu, değerinin farkına varır.
Sahip olduğu varlıkları koruyabilme: Kuracağı kontroller ile koruma metodlarını belirler ve uygulayarak korur.
İş sürekliliği: Uzun yıllar boyunca işini garanti eder. Ayrıca bir felaket halinde, işe devam etme yeterliliğine sahip olur.
BGYS Kurmanın Faydaları
İlgili taraflar ile barış halinde olma: Başta tedarikcileri olmak üzere, bilgileri korunacağından ilgili tarafların güvenini kazanır.
Bilgiyi bir sistem sayesinde korur, tesadüfe bırakmaz.
Müşterileri değerlendirirse, rakiplerine göre daha iyi değerlendirilir.
Çalışanların motivasyonunu arttırır. Yasal takipleri önler. Yüksek prestij sağlar.
BGYS Kurmanın Faydaları
• Güvenlik acıklarının bir bicimde kullanılarak Bilgi Güvenliği İhlali oluşması olasılığıdır.
• RİSK bir organizasyonda dışardan tehditlerin ve iceriden zafiyetlerin bileşimiyle oluşur
Risk=Zafiyet X Tehdit
Risk Nedir ?
Hedefli saldırılar BGYS’nin önemini artırdı
Son dönemde yapılan araştırmalara göre, siber saldırıların artık geleneksel amac ve yöntemlerle gercekleşmediğini ortaya koyuyor.
Kişisel tatmin yerine parayla motive olan kötü niyetli kişilerin saldırıları karşısında, en büyük değeri olan bilgiyi korumakla yükümlü olan kurumların alması gereken önlemler de arttı.
Varlıkların sınıflandırılması, Gizlilik, bütünlük ve erişebilirlik kriterlerine göre varlıkların
değerlendirilmesi, Risk analizi, Risk analizi cıktılarına göre uygulanacak kontrolleri belirleme, Dokümantasyon oluşturma, Kontrolleri uygulama, İc tetkik, Kayıtları tutma, Yönetimin gözden gecirmesi, Belgelendirme.
BGYS Kurma Aşamaları
PUKÖ Döngüsü
5651Sayılı Kanun İnternet Ortamında Yapılan Yayınların Düzenlenmesi Ve Bu Yayınlar Yoluyla İşlenen Suclarla Mücadele Edilmesi Hakkında Kanun
5809Sayılı Kanun Elektronik Haberleşme Kanunu
26942Sayılı Elektronik Haberleşme Güvenliği Yönetmeliği
Standartla İlgili Yasal Düzenlemeler
Kamuda, 2003 / 48 sayılı Başbakanlık Genelgesi ile yürürlüğe giren e-Dönüşüm Türkiye Projesinin 4.1.1.’ inci maddesinde Bilgi Güvenliği Yönetim Sisteminin (BGYS) tüm kurumlarda kurulmasının hedeflendiği belirtilmektedir.
Sağlıkta, Bilgi Güvenliği Politikaları Kılavuzu Bakanlık Makamının 28/02/14 tarihli ve 5181.1272 sayılı onayı ile Bilgi Güvenliği Politikalar Yönergesinin eki olarak yürürlüğe konulmuştur.
Standartla İlgili Yasal Düzenlemeler
Görev Sözleşmesi İmzalayan İşletmeciler İmtiyaz Sözleşmesi İmzalayan İşletmeciler Uydu Haberleşme Hizmeti Veren İşletmeciler Altyapı İşletmeciliği Hizmeti Veren İşletmeciler Sabit Telefon Hizmeti İşletmecileri GMPCS Mobil Telefon Hizmeti Veren İşletmeciler Sanal Mobil Şebeke Hizmeti İşletmecileri İnternet Servis Sağlayıcıları
Hava Taşıtlarında GSM 1800 Mobil Telefon Hizmeti Veren İşletmeciler
E fatura Özel Entegratör Yetkisi almak isteyen firmalar
Zorunlular
Ulusal Siber Güvenlik Stratejisi ve 2013-2014 Eylem Planı”nın kabulü; Ulaştırma, Denizcilik ve Haberleşme Bakanlığının 18/2/2013 tarihli ve 412 sayılı yazısı üzerine, Bakanlar Kurulu'nca 25/3/2013 tarihinde kararlaştırılmıştır.
Siber Güvenlik Kurulu'nun ilk kez yaptığı toplantıda ele alınan Ulusal Siber Güvenlik Stratejisi 2013-2014 Eylem Planı'na göre, Ulaştırma, Denizcilik ve Haberleşme Bakanlığı, BTK ve TÜBİTAK’ın sorumluluğunda, Ulusal Siber Olaylara Müdahale Merkezi ile EPDK, DSİ, BTK, BDDK, UDHB gibi kritik kurum ve sektörlere, sektörel kurumsal siber olaylara müdahale ekipleri kurulacak.
SOME Siber Olaylara Müdahale Ekibi
Rekabetin sürekli arttığı günümüz ekonomi koşullarında, kurumlar maliyetlerini azaltmak ve rekabet gücünü arttırmak adına yeni yaklaşımlar aramaktadır.
Lojistik güclerini arttırırken aynı zamanda maliyetlerini düşürerek müşterilerine ve paydaşlarına değer katmayı hedeflemektedir.
Bu nedenle; kurumlar, işlem maliyetlerini düşürmek, daha iyi ve hızlı büyüme gercekleştirebilmek, yüksek rekabet gücüne sahip olabilmek ve ticaret gücünü artırabilmek icin Yetkilendirilmiş Yükümlü belgesine ihtiyac duymaktadır.
Gümrük işleri Kolaylaştırma Yönetemliği kapsamında Yetkli Yükümlü Statüsü (YYS) Sertifikası almak isteyen
ihracatçı firmaların ISO 27001 sertifikası alma zorunluluğu
• Daha az muayene• Öncelikli kontrol• Daha az bilgiyle beyan• Tüm dünyada tanınma ve yüksek itibar • Kolayca uluslararası pazara giriş• Daha kolay yasal ticaret imkanları
İhracatta Kuruma Faydaları
Ön değerlendirmenin ve GAP analizinin yapılması, Proje planı ve proje ekibi oluşturulması, Eğitimlerin gercekleştirilmesi, Süreclerin yönetiminin, bilgi varlıkları ve risk
metodolojisi calışmalarının yapılması, Teknik güvenlik testlerinin yapılması, (opsiyonel) Dokümantasyon oluşturulması, İyileştirme faaliyetleri, Belgelendirme öncesi destek hizmetlerinin verilmesi,
ic denetime destek.
Turcom ISO 27001 Danışmanlık Hizmeti Kapsamında;
Turcom ve Telnet (ISP) ISO 27001 Belgesine Sahip Kurum Kendi icinde BGYS yi benimsemiş ve 2012 yılından beri sertifikalı entegratör ve ISP
Deneyimli Akademik Sürec Danışmanları ISO 27001 Denetimlerine ve sertifika alımına yönelik sürec danışmanlığı, farkındalık eğitimleri, politika ve prosedürlerin oluşturulması, ic denetim yapılması, ISO 27001 Boşluk Analizi,
Deneyimli Güvenlik Altyapısı Tasarım MimarlarıISO 27001 denetiminde önem teşkil edecek kontrol noktaları icin gerekli güvenlik altyapısının dizayn edilmesi, gerekiyorsa ürün konumlandırılması, teknik cözüm sunulması,
İc / Dış Zaafiyet ve Sızma Testi Uzmanları
Turcom Farkı
BGYS Kurma ve Sürec Yönetimine Özel UygulamaISO 27001 bilgi güvenliği yönetim sisteminin sürekli aktif calışması ve devamı icin, politika ve prosedürlerinin takip edildiği, güncellendiği, düzenleyici ve önleyici faaliyetlerin acıldığı bir yapının kurulması icin gerekli bulut tabanlı yazılımın kullandırılması
Varlık Envanteri Doküman Yönetimi Kayıtların Yönetimi Öneri Toplama ve Takibi Görev Yönetimi Olay yönetimi Düzeltici ve Önleyici Faaliyetlerin Yönetimi Risk Hesaplama Modülü Veri Analizi
Turcom Farkı- Quaserv -
Bazı Referanslarımız…
Teşekkürler.
Yıldız ÇOKCOŞKUNSecurity Solution [email protected]+90 533 967 29 66