international standart ISO 27001 ISMS

1. ISO 27001
INFORMATION SECURITY MANAGEMENT SYSTEM
Mustafa PARLAKYİĞİT
August 9, 2014
Mustafa.Parlakyigit@sealcert.com.tr
RECIPA-IMT

2. Layout
2
- TARGET of This Presentation
- INTRODUCTION
- IMPLEMENTATION
- AUDITING & CERTIFICATION
- INFORMATION SECURITY AWARENESS
- ACTUAL SITUATION in the WORLD
- ACTUAL SITUATION in TURKEY
- CONCLUSION
- Q&A

3. Target
3

4. Introduction
4
• INFORMATION
• What is Information?
• HISTORY of the standad
• ISO 27K FAMILY
• ISO 27001:2013 Standart
• Article 4-5-6-7-8-9-10 General view
• ANNEX A General view

5. Information
5
Information : Meaningful Data.

6. Information
6

7. Information
7
Tüm alanlardaki müşteri bilgilerimiz,
Pazarlama satış, kampanya, reklam proje
ve ilgili dokümanlar
Tüm satın alma şartname, teklif ve proje ile
alakalı tüm dokümanlar,
Muhasebe ve finans raporları,
Bilişim altyapı bilgileri
Ücret bilgileri,
Yönetim yedeklilik planı, kariyer yönetim
ve yetkinlik bilgileri,
Kurum e-posta adresleri…………..

8. Common Mistakes
8
• Bilgi güvenliğinden Bilgi İşlem sorumludur!
• Anti-virüs yazılımımız var dolayısıyla güvendeyiz
• Kurumumuz güvenlik duvarı(firewall) kullanıyor dolayısıyla güvendeyiz ...
• Bir çok güvenlik saldırısı kurum dışından geliyor!
• Dosyalarımın kopyasını alıyorum, güvenlikten bana ne!
• Arkadaşımdır, güvenirim dolayısıyla parolamı paylaşırım!
• Şifremi değiştirmeye ne gerek var? Zaten tek ben bilirim!
• Bilgisayarımı alıp da kim ne yapacak?

9. Threads
9
Yüksek bilgisayar
bilgisi seviyesi
Hırsızlık, kötü
niyetli kullanım
Virüs ve truva atları
Servis kesintisi Dokümantasyon
eksikliği
Fiziksel
güvenlik
sorunu
Doğal afetler

10. Threads
10
No Kategori Örnekler
1 Kullanıcı hataları Hata ile silme, kazara kırma
2 Telif hakları Korsan kullanım, lisans yönetimi
3 Casusluk, kasti eylemler Yetkisiz erişim, bilgi sızdırmak için
saldırma
4 Bilgi gaspı Şantaja maruz kalma
5 Sabotaj eylemleri, vandalizm* Sistem veya bilginin yok edilmesi
6 Hırsızlık Yasadışı bilgi edinme
7 Kasıtlı yazılım saldırıları Virüs, worm, DoS** makrolar
8 Servis hizmet kalitesi sapmaları Güç ve ağ erişim sorunları
9 Doğal afetler Yangın, sel, deprem, şimşek
10 Teknik donanım arıza veya hataları Ekipman arızaları
11 Teknik yazılım arıza veya hataları Bug, kod sorunları, bilinmez sonsuz
döngüler
12 Teknoloji eksikliği Eski teknolojinin kullanılması
13 İnsan Ölüm, hastalık

11. LOSS!
11
• İtibar kaybı
• Finansal kayıp
• Fikir haklarının kaybı
• Kanuni yükümlülükler ve cezalar (5846, 5651 vb)
• Müşteri güveninin kaybı
• İş kesintisi
• ….

12. LOSS!
12
• İtibar kaybı
• Finansal kayıp
• Fikir haklarının kaybı
• Kanuni yükümlülükler ve cezalar (5846, 5651 vb)
• Müşteri güveninin kaybı
• İş kesintisi
• ….

13. 2013 de LivingSocial sitesinden 50 milyon kullanıcıya ait bilgiler çalındı.
Washington Eyalet Mahkemeleri Yönetim Ofisi’ ne yapılan saldırı
neticesinde, dahilinde bulunan tüm mahkeme dosyalarındaki kişilere ait
tüm veriler dış dünyaya sızdırıldı.
Evernote a üye 50 milyon
kişiye ait tüm bilgiler (ödeme,
hesap bilgileri v.b.) network
açığı sayesinde dışarıya
sızdırıldı.
Examples

14. Drupal.org sitesindeki yaklaşık bir milyon hesaba ait bilgiler çalındı.
Amerika Federal Rezerv Bankası internet sitesinin Anonymous’un
saldırısı ile 4000 yöneticiye ait bilgiler ifşa edilmiştir.
Examples

15. 6 Nisan 2012 de Kırıcılar, Mac güvenlik duvarlarını kırdılar ve 6
milyondan fazla Apple .bilgisayar etkilendi.
11 Haziran 2012 itibarı ile Amerikan hastanelerinden 1,4
milyondan fazla hastanın
bilgileri kırıcı tarafından
çalınmıştır. En son eylemde
erişim Doğu Avrupa bölgesin-
den yapılmıştır.
Examples

16. Bu duruma düşmemek için
BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ (BGYS)

17. Implementation
17
o WHO CAN APPLY ISO 27001?
o BENEFITS
o MANAGEMENT
o Scope
o Organisational structure
o DOCUMENTATION
o Policy
Testing

18. Implementation
18

19. Implementation
19

20. Information Security Awareness
20
The most important component of IS is the awareness of the users.
%70 of the Vulnerabilities derives from user mistakes.
Hackers most of the time use these mistakes.
Social Engineering is the biggest risk!
The hishest level of risk : Human
The most important asset : Human
Simple precautions matters.

21. IS Policies
21
 Hardware Policy
 Software Policy
 General
 Network Policy
 Internet Policy
 VPN Policy
 Etc.

22. General
 Do not hang confidential documents on the walls and boards.
 Do not junk important documents directly, do use paper shredders.
 Before you leave, do not leave any important document on your desk.
 Keep your important documents locked all the time.
 Do keep your doors locked before you leave.
 When you see a stranger without a visit card, politely ask them to put their
visit cards and to whom they come to visit.
 Be aware of telephone phishing, Do not share any important information
with strangers.

23. Devices
 Smart Phones, Laptops and Desktops delivered to staff belongs to
Organisation and should be used carefully and properly.
 Before you leave, always close your OS session.
 Do not let others or guests use your laptop or desktop.
 Keep your mobile-devices with you, do not abandon your devices inside
the cars etc.
 Do use your laptop or desktop for only work purposes.
 Do not install any irrelevant, cracked software to your computers.
 Keep your softwares up to date
 Users can not perform such actions:
 Blocking the softwares installed in the devices.
 Changing BIOS features.
 Opening devices.
 Blocking OS, reaching or changing OS files.

24. E-mail
 Do use your e-mail for only work purposes. Do not use your account for
private purposes and general announcements.
 Do not use your personal e-mail within the organisation.
 Do not open the files sent from strangers, propmtly inform the ISMS Team
about such e-mails.
 Do not send confidential documents via e-mail outside.
 Try not to send confidential documents via e-mail within the organisaiton, If
you need to send encrypt documents accourding to our Encryption
Instruction INS.34 (You can take help from ISMS Team)
 E-mail accounts can not be used in a way that may harm others or for
attack purposes.

25. Network
 Connection service is personal, it can not be transferred to other users.
Users are directly responsiple from device and any illegal act.
 Each socket should be used for one computer and one connection, Users
can not share this conneciton using any method.
 Network can not be used for any commercial purpose.
 Users can not service Proxy, DHCP, BOOTP, DNS within the network and
can not announce any forwarding protocol.
 Any unlicensed software, film or music files can not be shared through
organisation network. All legal responsipilities belongs to the user.
 Users can not change IP addresses.

26. Actual Situation in The World
26

27. Conclusion
27

28. Q&A
28