Bilgi güvenliğinin maliyeti güvenlik harcamaları ile oluşan güvenlik olaylarının maliyetlerinin toplamından oluşmaktadır. Güvenlik harcamaları ile güvenlik olaylarının maliyetleri arasında ise ters ortantı bulunmaktadır. Ancak harcamaların öncelikli alanlara yapılmaması durumunda olayların optimum miktarda azaltılamaması ile sonuçlanabilir.
ISO27001, bilgi güvenliği problemlerinin ele alınmasını ve yönetilmesini destekleyen bir yönetim sistemi standardıdır. Belgelendirmeye tabi tutulması, düzenleyiciler tarafından düzenlemelere konu edilmesi, bilgi paylaşımını gerektiren tedarik süreçlerinde şartname şartlarından biri haline gelmesi nedeniyle popülerliği gittikçe artan bir standarttır.
ISO/IEC 27005 Bilgi Güvenliği Risk Yönetimi EğitimiBTYÖN Danışmanlık
Risk yönetimi eğitimi bilgi teknolojileri alanında denetim yapacak kişiler için temel bir eğitimdir. Bilgi teknolojileri ile ilgili olarak tespit edilmiş veya raporlanmış her türlü zayıflığın değerlendirilmesi, gerekli kontrollerin geliştirilmesi ve kontrol etkinliğinin izlenmesi için risk yönetimi süreçlerinin bilinmesi gereklidir. Katılımcılar eğitimi tamamladıklarında temel risk kavramlarını ve bilgi güvenliği risk terminolojisini öğrenmiş, ISO27005 standardına göre bilgi güvenliği risk yönetimi yapabilecek seviyeye ulaşmış, bilgi güvenliğinde bağlam oluşturma, risk değerlendirme, risk işleme, risk kabulü, risk haberleşmesi, risk izleme ve iyileştirme yöntemlerini tanımış, bilgi güvenliği risk yönetimi sürecinin tüm bileşenleri için girdileri, aksiyonları ve uygulama ip uçlarını öğrenmiş, işletmelerinde bilgi güvenliği risk yönetimi süreci kurabilecek, denetleyebilecek, işletebilecek veya mevcut olan süreci iyileştirebilecek seviyeye geleceklerdir.
Bu sunum web uygulamalarının kritikliği ne kadar düşük olursa olsun uygulama açıklıklarının sistem ve ağ güvenliğini tehdit edebileceğini göstermektedir.
ISO/IEC 27005 Bilgi Güvenliği Risk Yönetimi EğitimiBTYÖN Danışmanlık
Risk yönetimi eğitimi bilgi teknolojileri alanında denetim yapacak kişiler için temel bir eğitimdir. Bilgi teknolojileri ile ilgili olarak tespit edilmiş veya raporlanmış her türlü zayıflığın değerlendirilmesi, gerekli kontrollerin geliştirilmesi ve kontrol etkinliğinin izlenmesi için risk yönetimi süreçlerinin bilinmesi gereklidir. Katılımcılar eğitimi tamamladıklarında temel risk kavramlarını ve bilgi güvenliği risk terminolojisini öğrenmiş, ISO27005 standardına göre bilgi güvenliği risk yönetimi yapabilecek seviyeye ulaşmış, bilgi güvenliğinde bağlam oluşturma, risk değerlendirme, risk işleme, risk kabulü, risk haberleşmesi, risk izleme ve iyileştirme yöntemlerini tanımış, bilgi güvenliği risk yönetimi sürecinin tüm bileşenleri için girdileri, aksiyonları ve uygulama ip uçlarını öğrenmiş, işletmelerinde bilgi güvenliği risk yönetimi süreci kurabilecek, denetleyebilecek, işletebilecek veya mevcut olan süreci iyileştirebilecek seviyeye geleceklerdir.
Bu sunum web uygulamalarının kritikliği ne kadar düşük olursa olsun uygulama açıklıklarının sistem ve ağ güvenliğini tehdit edebileceğini göstermektedir.
Cumhurbaşkanlığı Bilgi ve İletişim Güvenliği RehberiSparta Bilişim
Cumhurbaşkanlığı Bilgi ve İletişim Güvenliği Rehberi konulu webinara ait sunumdur.
Sunum içerisinde aşağıdaki konuları bulabilirsiniz;
Rehberde neler var?
- Nmap kullanımı: Nmap ile sistem tespiti ve siber hijyen
- Masscan: Hızlı tarama için Nmap'e alternatif
- Zenmap: Windows ile tarama yapmak
- Nmap ile zafiyet tespiti
- Sanallaştırma güvenliği
- Bulut bilişim güvenliği
- Saas güvenliği: Software as a Service güvenliği
- IaaS güvenliği: Infrastructure as a Service güvenliği
- PaaS güvenliği: Platform as a Service
- Uygulama güvenliği
- Veri güvenliği ve Kişisel Verilerin Korunması Kanunu
Window ağlarda saldırganların yatay hareketleri ve bunların tespiti konusunda düzenlediğimiz webinarda kullanılan sunumdur.
Amacımız saldırı ve savunma tarafının bakış açılarını bir arada sunmaktı.
Siber saldırıların tespitinde ve olay müdahalesinde Windows sistemlerin logları bize önemli bilgiler verir. Sistemin ilk ele geçirildiği andan başlayarak siber saldırganların yerel ağda yayılmasına kadar pek çok adıma bu loglar üremektedir.
Webinarda aşağıdaki konuları ele aldık:
1- Siber Ölüm Zinciri: Siber saldırıların 7+1 adımı
2- Yatay hareket (lateral movement): Siber saldırganların yerel ağdaki davranışları
3- Fidye yazılımlardaki rolü: Fidye yazılımların yerel ağda yayılmak için kullandığı teknikler
4- Yaşanılan senaryolardan örnekler
5- Yatay hareket için kullanılan araçlar: Siber saldırganlar tarafından kullanılan araçlar
6- Windows Event Logs: Yatay hareketleri tespit etmek için kullanılabilecek loglar
7- LogonTracer Aracı: Log analizini kolaylaştıracak ücretsiz bir araç
8- Olay tespiti ve müdahalesinde Microsoft Advanced Threat Analytics (ATA) aracı kullanımı
9- Yatay hareket tespiti için öneriler
================
Sorularınız için sparta@sparta.com.tr
Cumhurbaşkanlığı Bilgi ve İletişim Güvenliği RehberiSparta Bilişim
Cumhurbaşkanlığı Bilgi ve İletişim Güvenliği Rehberi konulu webinara ait sunumdur.
Sunum içerisinde aşağıdaki konuları bulabilirsiniz;
Rehberde neler var?
- Nmap kullanımı: Nmap ile sistem tespiti ve siber hijyen
- Masscan: Hızlı tarama için Nmap'e alternatif
- Zenmap: Windows ile tarama yapmak
- Nmap ile zafiyet tespiti
- Sanallaştırma güvenliği
- Bulut bilişim güvenliği
- Saas güvenliği: Software as a Service güvenliği
- IaaS güvenliği: Infrastructure as a Service güvenliği
- PaaS güvenliği: Platform as a Service
- Uygulama güvenliği
- Veri güvenliği ve Kişisel Verilerin Korunması Kanunu
Window ağlarda saldırganların yatay hareketleri ve bunların tespiti konusunda düzenlediğimiz webinarda kullanılan sunumdur.
Amacımız saldırı ve savunma tarafının bakış açılarını bir arada sunmaktı.
Siber saldırıların tespitinde ve olay müdahalesinde Windows sistemlerin logları bize önemli bilgiler verir. Sistemin ilk ele geçirildiği andan başlayarak siber saldırganların yerel ağda yayılmasına kadar pek çok adıma bu loglar üremektedir.
Webinarda aşağıdaki konuları ele aldık:
1- Siber Ölüm Zinciri: Siber saldırıların 7+1 adımı
2- Yatay hareket (lateral movement): Siber saldırganların yerel ağdaki davranışları
3- Fidye yazılımlardaki rolü: Fidye yazılımların yerel ağda yayılmak için kullandığı teknikler
4- Yaşanılan senaryolardan örnekler
5- Yatay hareket için kullanılan araçlar: Siber saldırganlar tarafından kullanılan araçlar
6- Windows Event Logs: Yatay hareketleri tespit etmek için kullanılabilecek loglar
7- LogonTracer Aracı: Log analizini kolaylaştıracak ücretsiz bir araç
8- Olay tespiti ve müdahalesinde Microsoft Advanced Threat Analytics (ATA) aracı kullanımı
9- Yatay hareket tespiti için öneriler
================
Sorularınız için sparta@sparta.com.tr
İç Denetim Birimleri ve İç Denetçilerin, kurumlarında iç denetim kavramı ve faaliyetlerini yönetici ve diğer personele tanıtmaları amacı ile hazırlanmış olan örnek bir sunumdur.
İç denetçiler bahse konu sunumu risk değerlendirme ve denetim evreni belirleme toplantılarında, açılış toplantılarında ve örgütlerine yapacakları çeşitli tanıtım faaliyetleri esnasında kullanabilirler.
A presentation for internal audit shops to introduce themselves and promote their services to their clients.
OWASP/TR Mobil Güvenlik Çalıştayı, Android Uygulamalara Zararlı Yazılım Yerlestirme Sunumu
Android Uygulamara Zararlı Yazılım Yerleştirme konusuda daha fazlasını öğrenmek için tıklayınız. http://blog.btrisk.com/2015/08/android-uygulamalara-malware-yerlestirme-1.html
BTRisk Android Mobil Uygulama Denetimi Eğitimi sunumumuz aşağıdaki ana konu başlıklarından oluşmaktadır:
Mobil Uygulama Mimarisi
-Android İşletim Sistemi
-Android Rooting
-Android Güvenlik Mimarisi
-Uygulama Dili Dönüşümleri
-Dalvik Virtual Machine
ARM (Advanced Risk Machines) Mimamrisi
Mobil Uygulama Fonksiyonalitesi
Androdi Uygulama Bileşenleri
Uygulama Erişim İzinleri
Android Hacking Metodları
-Root Kontrolünü Aşma Yöntemleri
-SSL Pinning Atlatma Yöntemleri
-Android Debug Altyapısı
-Kritolu Verilerin Okunması
-IPC (Inter Process Communication) Saldırıları
-Cihaz Üzerinde Saklanan Bilgiler
-Cihaz Loglarından Sızan Bilgiler
Obfuscation (Karmaşıklaştırma) Yöntemleri
Ekran Resmi Çekme ve Recent Apps Ekran Görüntüleri
Kontrolsüz Gönderilen Broadcast Mesajları
Bilgi sistemlerine yönelik veya bilgi sistemleri kullanılarak işlenen suçlar ve gerçekleştirilen saldırılar bu sistemler üzerinde izler bırakmaktadır. Ayrıca sistem hafızalarında ve ağ üzerinde söz konusu aktivitelere ilişkin canlı analiz ile işlenen suçların izleri gözlenebilmektedir.
Bilgi sistemleri üzerindeki kalıcı ve geçici suç izlerinin elde edilmesi ve analizi için çoğunlukla ticari adli bilişim çözümlerinin kullanılması gerekmektedir. Bunun sebebi incelenecek verilerin çokluğu ve bu büyüklükteki verilerin manuel yöntemlerle makul bir zaman aralığında incelenememesidir.
Ticari çözümler kullanım kolaylığı sağlayabilmek için pek çok teknik detayı kullanıcılardan gizlemektedirler. Ancak kullanıcıların temel teknik bilgilere sahip olmaması uzmanlıklarının sınırlanmasına ve olası problemlere karşı etkili çözümler geliştirememelerine yol açmaktadır.
Web uygulamaları dağıtım kolaylığı nedeniyle masaüstü uygulamalara üstünlük sağlamış ve geniş uygulama alanı bulmuştur. Bunun yanı sıra internete açık olan uygulamaların önemli bir kısmı da web uygulaması şeklindedir. Web uygulaması olmayan masaüstü uygulamalar ve mobil uygulamalar dahi web uygulama mimarisinin önemli bir kısmı olan HTTP protokolünü kullanmaktadır.
Bunların yanı sıra web uygulamaları çok katmanlı mimariye sahip olup, bu durum nispeten web uygulama altyapılarının sıradan masaüstü uygulamalara nazaran karmaşık olmalarına neden olmaktadır.
Tüm bu nedenlerden dolayı web uygulamaları saldırganların gözde hedeflerinden birisidir.
Web uygulama denetimi eğitiminde katılımcılara web uygulamalarında ortaya çıkabilecek açıklıkların neler olduğu, bu açıklıkları nasıl tespit edebilecekleri ve açıklıkların ortadan kaldırılma yöntemleri aktarılmaktadır.
Web uygulama denetimi eğitimi, mobil uygulama denetimi yapacak katılımcılara da gerekli temel web teknolojileri bilgilerini aktarmayı hedeflemektedir.
Yazılım Güvenliği Yönetimi Eğitimimiz aşağıdaki konu başlıklarını içermektedir:
Güvenli Yazılım Geliştirme Modelleri
-TOUCHPOINTS
-Secure Development Lifecycle (Microsoft)
-CLASP (Comprehensive, Lightweight Application Security Process)
Risk Yönetimi
Güvenlik Gereksinim Analizi
Teknik Riskler
Sızma Testi ve Statik Kod Analizi
Güvenlik Operasyonu
Risk odaklı iç denetim uygulamaları işletme riskleri üzerinde odaklanarak bu risklerin işletme hedeflerine uygun bir şekilde yönetilebilmesini amaçlamaktadır. İşletmelerde kurumsal yönetim ve iç kontrol faaliyetlerinin denetlenmesi ve risklerin yönetilmesi konusunda üst yönetime danışmanlık hizmeti sunmaktır. TTK ’ya göre iç denetim; güvence ve danışmanlık faaliyetleri çerçevesinde iç kontrollerin uygunluğunu ve etkinliğini denetlerken, şirketin olabilecek riskleri tahmin ederek yönetmesi, hile-suiistimallere ve acil durumlara karşı hazırlıklı olması gibi önemli fonksiyonlar hakkında makul güvence vermeyi hedefler. Yöneticiler, iç denetim birimi yöneticileri, iç denetim alanında kariyer yapmak isteyenlere yönelik olan eğitimimizde örneklerle kavramlar pekiştirilecektir.
EREACADEMY danışmanları teorik bilgilerini sektörde deneyimlemiş uzman eğitimci ve danışmanlardır. EREACADEMY bilgi teknolojileri konusunda kurumlara teknik eğitimler ve sertifikasyon konusunda eğitimler verir. Eğitim hizmetlerinin yanısıra kurumlara özel çözümler üretmek üzere uzmanlık alanlarında danışmanlık hizmetler sunar.
ISO 9001:20015 bilgilendirme ve farkındalık eğitimi.
Kalite Nedir ?
Müşteri Memnuniyeti
ISO 9001 Gelişimi
PUKÖ Döngüsü
Sürekli İyileştirme
ISO ‘nun faydaları
KYS için gerekli dokümanlar
ISO 9001 Standart Maddeleri
11.09.2014 Perşembe Günü Ataşehir Ofisimizde gerçekleştirmiş olduğumuz "IIBA® Metodolojisi ile Gereksinim Analizi" konulu çalışmaya ait sunumu bulabilirsiniz.
ISO27001 nedir sorusuna cevap arayanlar için temel bilgiler ve standart tanıtımı. Daha detaylı bilgiler için web sitemizi ziyaret edip blog yazılarımıza göz atabilirsiniz. www.kum.com.tr
Bu sunumun detaylarına şu adresten erişin: http://www.kum.com.tr/post/iso-27001-nedir
6698 sayılı Kişisel Verilerin Korunması Kanunu,
95/46/EC sayılı Veri Koruma Direktifi’nin
Türkiye’ye uyarlanmış halidir.
6698 - Kişisel Verilerin Korunması Kanunu, 7 Nisan 2016 tarihinde resmi
gazetede yayınlanarak artık yürürlüğe girmiş bulunmaktadır.
Kanunun amacı kişisel verilerin işlenmesinde başta özel hayatın gizliliği
olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel
verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları
usul ve esasları düzenlemek olarak adreslendi.
Kapsamına baktığımızda ucundan kıyısından müşteri bilgilerini ilgilendiren
herkes kapsama dahil oldu.
Özellikle bankalar ve büyük ölçekli şirketlerin çok sayıda tedarikçiyle
çalıştığını düşündüğümüzde tedarikçi yönetimi ve güvenlik konuları tekrar
değinilmesi gereken bir konu olarak görülmektedir.
Tıbbi cihazlarda yazılım yaşam çevrimi EN 62304S.Oguz Savas
Kendi başına Medikal Cihaz olan ve bir medikal cihaza gömülü olarak çalışan yazılımların geliştirilmesinde baz alınan EN 62304 Tıbbi Cihaz Yazılım Yaşam Çevrimi standardı, Yazılımların belgelendirmesinde bulunması gereken teknik dosya gereklilikleri, Temel seviye yazılım test teknikleri EN 62304 standardının diğer standartlarla ilişkisi anlatılmıştır.
GÜVENLİ YAZILIM GELİŞTİRME YAŞAM DÖNGÜSÜ HİZMETLERİ
Güvenli yazılım geliştirme kavramının önemi günümüzde çok iyi anlaşılmış, bu kavram yazılım geliştirme maliyetini, süresini azaltan ve yazılımın kalitesini arttıran bir unsur olarak kabul görmüştür. Ayrıca yazılım kullanımı sırasında ortaya çıkabilecek pek çok güvenlik olayını da kaynağında engellemenin en etkili yoludur.
Yazılım geliştirme süreçlerinin güvenlik odaklı hale getirilmesi için aşağıda detayları verilen hizmet paketleri Biznet Bilişim tarafından sunulmaktadır.
Similar to BTRisk ISO 27001:2013 Bilgilendirme ve İç Denetim Eğitimi Sunumu (20)
Unix Denitim Dokümanımız aşağıdaki konu başlıklarını içermektedir:
Unix Temelleri
-Shell
-Dosya Sistemi
-Dosya-Dizin Yapıları ve Yetkiler
-Dosya ve Klasör Yönetimi
-Process
-Ağ Servisleri
-Kullanıcı Yönetimi
-Görev Zamanlayıcı (Cron)
-Loglama
-Manual Sayfaları
Unix Sistem Güvenliği Kontrolleri
-Network Servisleri
-Uzak Erişim kontrolleri
-Kritik Dosya ve Komut Erişimleri
-Süreç Takibi
-Sistem Kullanıcılıarı
-Kimlik Doğrulama
-Kapasite ve Sistem Performans Takibi
-Güvenlik Kontrolleri ile İlgili İpuçları
Web uygulamaları dağıtım kolaylığı nedeniyle masaüstü uygulamalara üstünlük sağlamış ve geniş uygulama alanı bulmuştur. Bunun yanı sıra internete açık olan uygulamaların önemli bir kısmı da web uygulaması şeklindedir. Web uygulaması olmayan masaüstü uygulamalar ve mobil uygulamalar dahi web uygulama mimarisinin önemli bir kısmı olan HTTP protokolünü kullanmaktadır.
Bunların yanı sıra web uygulamaları çok katmanlı mimariye sahip olup, bu durum nispeten web uygulama altyapılarının sıradan masaüstü uygulamalara nazaran karmaşık olmalarına neden olmaktadır.
Tüm bu nedenlerden dolayı web uygulamaları saldırganların gözde hedeflerinden birisidir.
Web uygulama denetimi eğitiminde katılımcılara web uygulamalarında ortaya çıkabilecek açıklıkların neler olduğu, bu açıklıkları nasıl tespit edebilecekleri ve açıklıkların ortadan kaldırılma yöntemleri aktarılmaktadır.
Web uygulama denetimi eğitimi, mobil uygulama denetimi yapacak katılımcılara da gerekli temel web teknolojileri bilgilerini aktarmayı hedeflemektedir.
www.btrisk.com
3. • Bilgisayar (işlemci, hafıza, sabit disk, girdi ve çıktı kanalları)
• Uygulama (kaynak kod, makine dili)
• Ağ protokolleri (TCP/IP, kablosuz ağ protokolleri)
• İşletim sistemi servisleri
• Veri saklama ortamları (manyetik ortamlar, optik ortamlar)
• Veritabanı ve dosya sistemi
Bilgi Güvenliği Yönetimine Giriş
• Temel Teknoloji Terimleri
4. • Fiziksel altyapı
• Ağ altyapısı
• Sistem altyapısı
• Uygulamalar ve servisler
• İnsan katmanı
Bilgi Güvenliği Yönetimine Giriş
• Teknoloji ve Altyapı Katmanları
5. • Hizmet / yardım masası
• Uygulama geliştirme ve tedarik organizasyonu
• Sistem yönetim organizasyonu
• Veritabanı yönetim organizasyonu
• Ağ yönetim organizasyonu
• Donanım destek organizasyonu
• (ve artık) BT güvenlik ve uyum organizasyonu
Bilgi Güvenliği Yönetimine Giriş
• BT Organizasyonları
6. • Çağrı merkezi
• Merkezi operasyon organizasyonları
• Kampanya yönetim organizasyonları
Bilgi Güvenliği Yönetimine Giriş
• Yoğun BT Altyapısı ve Bilgi Kullanan Organizasyonlar
7. • BT servis yönetimi
• İş sürekliliği yönetimi
• Kişisel verilerin korunması
• Sürekli denetim / suistimal önleme süreçleri
Bilgi Güvenliği Yönetimine Giriş
• Bilgi güvenliğini etkileyen diğer BT ve kurumsal
yönetim çerçeveleri
8. • İnsan kaynakları süreçleri
• İdari ve fiziksel güvenlik süreçleri
• Muhaberat süreçleri
• Tedarikçi yönetimi (satın alma)
Bilgi Güvenliği Yönetimine Giriş
• Bilgi güvenliği ile ilgili diğer kurumsal süreçler
9. • Kontrol hedefi
• Kontrol (aktivitesi)
• Güvence fonksiyonu
Bilgi Güvenliği Yönetimine Giriş
• Temel yönetişim kavramları
10. • Önleyici
• Tespit edici
• Düzeltici
• Teknolojik İhtiyaçlar
• İnkar Edilemezlik
• Güçlü Kimlik Doğrulama
Bilgi Güvenliği Yönetimine Giriş
• Bilgi güvenliği ihtiyaçları
11. • Bina / tesis çevresi erişim kontrolleri
• Ofis / güvenli alan erişim kontrolleri
• Kamera, hareket sensörü, güvenlik görevlisi kontrolleri
• Yangın söndürme sistemleri
• Güç yedeklilik sistemleri (jeneratör, UPS)
• v.d.
Bilgi Güvenliği Yönetimine Giriş
• Fiziksel bilgi güvenliği kontrollerine örnekler
12. • Kriptografik kontroller
• Ağ erişimi filtreleme kontrolleri (firewall)
• İşletim sistemi, veritabanı, uygulama erişim kontrolleri
• Log konfigürasyonları / log yönetim çözümleri
• Güvenlik çözümleri (anti-virüs, saldırı tespit ve önleme,
Bilgi Güvenliği Yönetimine Giriş
• Mantıksal bilgi güvenliği kontrollerine örnekler
13. • İşe giriş öncesi özgeçmiş kontrolleri, sabıka, kredi notu v.b.
incelemeleri
• Personel gizlilik ve kabul edilebilir kullanım tahhütnamesi
• Farkındalık eğitimleri
• Etik politikası, disiplin yönetmeliği
• İşten ayrılma erişim haklarının kaldırılması ve kurum bilgi
varlıklarının iadesi
• v.d.
Bilgi Güvenliği Yönetimine Giriş
• İnsan katmanına yönelik bilgi güvenliği kontrollerine
örnekler
14. ISO27001 BGYS Standardı
• Temel başarı (hedefe ulaşma) metodu
• Amacı belirle
• Amaçla ilgili kapsamı (organizasyonu, altyapıyı, süreçleri, bağımlılıkları)
belirle
• Amaca ulaşmayı riske sokabilecek durumları belirle
• Bu riskleri ele alma imkanlarını değerlendir
• Riskleri ele al
• Kontrol operasyonlarını yürüt
15. ISO27001 BGYS Standardı
• Temel başarı (hedefe ulaşma) metodu
(devamı)
• Amacı belirle
• Amaçla ilgili kapsamı (organizasyonu, altyapıyı, süreçleri, bağımlılıkları)
belirle
• Amaca ulaşmayı riske sokabilecek durumları belirle
• Bu riskleri ele alma imkanlarını değerlendir
• Riskleri ele al
• Kontrol operasyonlarını yürüt
16. ISO27001 BGYS Standardı
• Genel sürekli iyileşme metodu
• Deming döngüsü
• (P)lanla – (U)ygula – (K)ontrol Et – (Ö)nlem al
17. ISO27001 BGYS Standardı
• BGY Süreçleri
• PLANLA (Risk Analizi)
• UYGULA (Kontrol Geliştirme Projeleri ve Güvenlik Operasyonu)
• KONTROL ET (İç Denetim, Olay Yönetimi)
• ÖNLEM AL (Düzeltici Faaliyet Süreci)
18. ISO27001 BGYS Standardı
• Standartlar
• ISO27001:2013 Bilgi Güvenliği Yönetim Sistemi - Gereksinimler
• ISO31000 Risk Yönetimi – Prensipler ve Rehberler
• ISO27005 Bilgi Güvenliği Risk Yönetim Rehberi
• ISO19011 Kalite ve/veya Çevresel Yönetim Sistemleri Denetim Rehberi
19. ISO27001 BGYS Standardı
• Standardı okuyalım
ISO27001:2013
Madde 4 – Kuruluşun bağlamı
• 4.1 Kuruluşun ve bağlamının anlaşılması
• 4.2 İlgili tarafların ihtiyaç ve beklentilerinin anlaşılması.
20. ISO27001 BGYS Standardı
• Standardı okuyalım
ISO27001:2013
Madde 4 – Kuruluşun bağlamı
• 4.3 Bilgi güvenliği yönetim sisteminin kapsamının belirlenmesi
21. ISO27001 BGYS Standardı
• Madde 4 – Kuruluşun bağlamı ile ilgili alınması
gereken notlar
• Kapsam tanımının kapsam içindeki organizasyon ve diğer
organizasyonlar arasındaki arayüzleri ve bağımlılıkları içermesi
• Kapsam tanımının dokümante edilmesi
22. ISO27001 BGYS Standardı
• Standardı okuyalım
ISO27001:2013
Madde 5 Liderlik
• 5.1 Liderlik ve bağlılık
• 5.2 Politika
23. ISO27001 BGYS Standardı
• Madde 5 Liderlik bölümüyle ilgili alınması gereken
notlar
• Liderlik ve yönetim desteğinin somutlaştırılması
• Bilgi güvenliği politikasının dokümante edilmesi
• Politika içinde güvenlik hedeflerinin bulunması
• Politika içinde yönetim taahhütlerinin bulunması
• Politikanın organizasyon içinde iletişimi
24. ISO27001 BGYS Standardı
• Standardı okuyalım
ISO27001:2013
Madde 5 Liderlik
• 5.3 Kurumsal roller, sorumluluklar ve yetkiler
25. ISO27001 BGYS Standardı
• Risk Değerlendirme
• Sanat mı, bilim mi?
• Genel risk formülü Risk = Etki (Zarar, Sonuçlar) x Olasılık
• Bilgi güvenliği riskleri ile ilgili “Etki” değerini nasıl ifade edebiliriz?
• Etki ve olasılık değerlerini ne kadar net değerlendirebiliriz?
• “Olasılık” değerini nasıl ifade edebiliriz?
26. ISO27001 BGYS Standardı
• Risk Değerlendirme
• Hangi kavramın çevresinde risklerimizi değerlendireceğiz (iş süreci, BT
süreci, bilgi varlığı, kontrol sorusu, v.d.)?
• Kontrol fark analizi – risk değerlendirmesinin hangi aşamasında
yapılmalı?
• Kontrol fark analizi – nasıl yapılmalı?
27. ISO27001 BGYS Standardı
• Standardı okuyalım
ISO27001:2013
Madde 6 Planlama
• 6.1 Risk ve fırsatları ele alan faaliyetler
• 6.1.1 Genel
• 6.1.2 Bilgi güvenliği risk değerlendirmesi
28. ISO27001 BGYS Standardı
• Planlama aşaması ve risk değerlendirmesi ile ilgili
alınması gereken notlar
• Alınan önlemlerin etkinliklerinin değerlendirilmesi
• Risk kabul kriterlerinin belirlenmesi
• Risk değerlendirme kriterlerinin (metodunun) belirlenmesi
• Kayıpların (etki faktörünün) gizlilik, bütünlük ve erişilebilirlik
kategorilerinde belirlenmesi
• Risk formülünde etki, olasılık ve risk seviye
değerlerinin yer alması
29. ISO27001 BGYS Standardı
• Planlama aşaması ve risk değerlendirmesi ile ilgili
alınması gereken notlar
• Risk sahiplerinin belirlenmesi (risk sahibi kavramı için ISO31000’deki
tanıma bakınız)
• Risk değerlendirme sürecinin dokümante edilmesi
• Fark analizi
30. ISO27001 BGYS Standardı
• Risk İşleme
• Risk yanıt opsiyonları:
• Uygun kontrol(ler)le riski azaltma
• Risk kabul kriterlerine uygun olarak riski kabul etme
• Riski transfer etme
• Riskten kaçınma
31. ISO27001 BGYS Standardı
• Standardı okuyalım
ISO27001:2013
Madde 6 Planlama
• 6.1 Risk ve fırsatları ele alan faaliyetler
• 6.1.3 Bilgi güvenliği risk değerlendirmesi
32. ISO27001 BGYS Standardı
• Planlama aşaması ve risk değerlendirmesi ile ilgili
alınması gereken notlar
• Ek A’da bulunan kontrollerin gözden geçirilme ihtiyacı
• Uygulanabilirlik bildirgesinin hazırlanması ve uygulanmayan
kontrollerin uygulanmama gerekçelerinin açıklanması
• Risk sahibinin risk işleme planını ve artık riskleri onaylaması (risk
sahibi kim olmalı?)
• Risk işleme planının dokümante edilmesi
33. ISO27001 BGYS Standardı
• Standardı okuyalım
ISO27001:2013
Madde 6 Planlama
• 6.2 Bilgi güvenliği amaçları ve bu amaçları başarmak için planlama
34. ISO27001 BGYS Standardı
• Bilgi güvenliği hedefleri
• Bilgi güvenliği politikası ve bilgi güvenliği hedefleri ilişkisi
• Bilgi güvenliği hedeflerine örnekler neler olabilir? (kapsam metrikleri)
• Bilgi güvenliği hedefleri, bu hedeflerin standarttaki kriterlere
uygunluğu ve takiplerinin önemi
36. ISO27001 BGYS Standardı
• Destek maddesi ile ilgili alınması gereken notlar
• Farkındalık programının, eğitim planlama ve takibinin önemi
• Yeterlilik değerlendirmesinin zorluğu ve kanıtlanma ihtiyacı
• Farkındalık eğitiminde politikanın, personelin BGYS açısından
öneminin ve disiplin sürecinin vurgulanması
• İletişim planlamasının ve uygulanmasının metodik biçimde yapılması
ihtiyacı
37. ISO27001 BGYS Standardı
• Standardı okuyalım
ISO27001:2013
Madde 7 Destek
• 7.5 Yazılı bilgiler
• 7.5.1 Genel
• 7.5.2 Oluşturma ve güncelleme
• 7.5.3 Yazılı bilgilerin kontrolü
38. ISO27001 BGYS Standardı
• Destek maddesi, dokümante edilmiş bilgi bölümü ile
ilgili alınması gereken notlar
• Standartta özellikle dokümante edilmesi gerekliliği belirtilen
dokümanların opsiyonel olmaması
• Geri kalan dokümantasyonun organizasyonun ihtiyaçlarına bağlı
olması
• Doküman şekil şartları (başlık, tanım,v.d.)
• Dokümanların gözden geçirilme ve onaylanma ihtiyaçları
• Doküman kontrol kurallarının belirlenme ihtiyacı
• Dış kaynaklı dokümanların belirlenmesi
39. ISO27001 BGYS Standardı
• Standardı okuyalım
ISO27001:2013
Madde 8 İşletim
• 8.1 İşletimsel planlama ve kontrol
• 8.2 Bilgi güvenliği risk değerlendirme
• 8.3 Bilgi güvenliği risk işleme
40. ISO27001 BGYS Standardı
• Standardı okuyalım
ISO27001:2013
Madde 9 Performans değerlendirme
• 9.1 İzleme, ölçme, analiz ve değerlendirme
• 9.2 İç tetkik
41. ISO27001 BGYS Standardı
• Performans değerlendirme maddesi, 9.1 ve 9.2
bölümleri için alınması gereken notlar
• “9.1 İzleme, ölçme, analiz ve değerlendirme” ve “6.2 Bilgi güvenliği
hedefleri ve onlara ulaşmak için planlama” ilişkisi
• İzleme sonuçları ve iç denetim sürecinin dokümante edilmesi (iç
denetim süreci üzerinde daha detaylı konuşacağız)
42. ISO27001 BGYS Standardı
• Standardı okuyalım
ISO27001:2013
Madde 9 Performans değerlendirme
• 9.3 Yönetimin gözden geçirmesi
43. ISO27001 BGYS Standardı
• Performans değerlendirme maddesi, 9.3 Yönetimin
gözden geçirmesi bölümü için alınması gereken notlar
• Üst yönetim (top management) vurgusu
• Yönetim gözden geçirme (YGG) toplantılarının sonuçlarının
dokümante edilmesi
44. ISO27001 BGYS Standardı
• Standardı okuyalım
ISO27001:2013
Madde 10 İyileştirme
• 10.1 Uygunsuzluk ve düzeltici faaliyet
• 10.2 Sürekli iyileştirme
45. ISO27001 BGYS Standardı
• Sürekli iyileştirme maddesi için alınması gereken
notlar
• Uygunsuzluğun nedeninin analizi (kök neden analizi)
• Düzeltici faaliyetlerin etkili olup olmadıklarının gözden geçirilmesi
• Uygunsuzluk ve düzeltici faaliyet kayıtlarının tutulması
46. ISO27001 BGYS Standardı
• ISO27001:2013 Ek-A
• A5 Bilgi Güvenliği Politikaları
• A6 Bilgi Güvenliği Organizasyonu
• A7 İnsan Kaynakları Güvenliği
• A8 Varlık Yönetimi
• A9 Erişim Kontrolü
• A10 Kriptografi
• A11 Fiziksel ve Çevresel Güvenlik
47. ISO27001 BGYS Standardı
• ISO27001:2013 Ek-A
• A12 İşletim Güvenliği
• A13 Haberleşme Güvenliği
• A14 Sistem Temini, Geliştirme ve Bakımı
• A15 Tedarikçi İlişkileri
• A16 Bilgi Güvenliği İhlal Olayı Yönetimi
• A17 İş Sürekliği Yönetiminin Bilgi Güvenliği Hususları
• A18 Uyum
48. İç Denetim
• Denetçi prensipleri
• Etik davranış
• Adil sunum
• Mesleki özen
• Denetim prensipleri
• Bağımsızlık
• Kanıta dayalı yaklaşım
49. İç Denetim
• Denetçi yetkinlikleri
• Genel yetkinlikler
• Teknik yetkinlikler
• Sürekli profesyonel eğitim
50. İç Denetim
• Denetim program yönetimi
• Denetim organizasyonu ve denetim yönetiminin bağlı bulunduğu seviye
• Denetim yetkilendirmesi
• Denetim prosedürleri (planlama, denetim kriterleri, kaynak yönetimi,
dokümantasyon, kalite yönetimi)
• Denetçi yetkinlikleri ve eğitim yönetimi
51. İç Denetim
• Denetim türleri
• Birinci taraf denetimleri
• İkinci taraf denetimleri
• Üçüncü taraf / belgelendirme denetimleri
52. İç Denetim
• Denetim planlama
• Denetim uzayı oluşturma
• Risk tabanlı planlama
• ISO27001 iç denetim planlaması
• ISO27001 maddeleri
• Düzeltici faaliyetlerin gözden geçirilmesi
• Önceki denetim bulguları takip denetimi
53. İç Denetim
• Denetim süreci
Denetimin başlatılması
• Denetim ekip liderinin atanması
• Denetim hedeflerinin, kapsamının ve kriterlerinin tanımlanması
• Denetim fizibilite analizi (denetim gerçekleştirilebilir mi?)
• Denetim ekibinin oluşturulması
• Denetlenen ile ilk iletişimin gerçekleştirilmesi
54. İç Denetim
• Denetim süreci
Doküman inceleme
• Yönetim sistemi dokümantasyonunun incelenmesi
• Denetim kriterleri ile karşılaştırılması
55. İç Denetim
• Denetim süreci
Saha denetimine hazırlık
• Denetim planının hazırlanması
• Denetim ekibinin görevlerinin belirlenmesi (bu görevler saha çalışması
sırasında değişebilir)
• Çalışma kağıtlarının hazırlanması
56. İç Denetim
• Denetim süreci
Saha denetiminin gerçekleştirilmesi
• Açılış toplantısının gerçekleştirilmesi
• Denetim sırasında iletişim
• Kanıtların toplanması ve doğrulanması
• Denetim bulgularının tespiti
• Denetim görüşünün oluşturulması
• Kapanış toplantısının gerçekleştirilmesi
57. İç Denetim
• Denetim süreci
Raporlama
• Denetim raporunun hazırlanması
• Denetim raporunun onaylanması
• Denetim raporunun dağıtımı
59. İç Denetim
• Denetim kriterlerinin oluşturulması
• Standart maddeleri
• Kontrat yükümlülükleri
• Yasal düzenlemeler
• Kontrollerin tespiti (süreç dokümantasyonu, iş akış şemaları)
• Walktrough
60. İç Denetim
• Kontrol denetim türleri
Kontrol tasarım etkinliğinin denetimi
Kontrol operasyonel etkinlik denetimi
61. İç Denetim
• Denetim ve Kanıt toplama teknikleri
• Organizasyonun incelenmesi
• Politika ve prosedürlerin incelenmesi
• Mülakat
• Doküman inceleme
• Kontrollerin gözlenmesi
• Kontrolün tekrar uygulanması (reperformance)
• Sürecin bir örnek üzerinden takibi (walkthrough)
62. İç Denetim
• Mülakat soruları
• Açık ve kapalı uçlu sorular
• Yönlendirici sorulardan kaçınma
• Suçlayıcı veya denetleneni kapanmaya itecek sorulardan kaçınma
• Doğrulayıcı ek kanıtlar
• Not almanın amacının açıklanması
• Anlaşılan konuların geri bildirimi
• Sözü kesmeme ve konunun dağılmaması
63. İç Denetim
• Kanıtın güvenilirliği
• Kanıtı sağlayan/tespit eden kişinin bağımsızlığı
• Kanıtı sağlayan/tespit eden kişinin yetkinliği
• Kanıtın objektifliği
• Kanıtın tekrar elde edilebilirliği
64. İç Denetim
• Örnekleme
• Makul güvence kavramı
• İstatistiksel örnekleme
• Profesyonel kanaatle örnekleme
65. İç Denetim
• Denetim dokümantasyonu
• Çalışma kağıtları (work documents)
• Denetim prosedürünün dokümantasyonu
66. İç Denetim
• Rapor yazarken dikkat edilmesi gerekenler
• Net, açık, ağdalı cümlelerden uzak
• Önceden mutabık kalınmış, sürprizlerden uzak
• Çalışma kağıtlarıyla desteklenebilir
• Hedef kitleye uygun bölümler ve/veya teknik detay barındıran
• Kaliteli öneriler içeren, ancak yönetim adına karar verme
riskine girmeyen ifadeler
• Kapsamı ve denetim hedeflerini net ifade eden
• Görüş verilemeyen alanları ve nedenlerini
belirten
67. İç Denetim
• Diğer konular
• Majör ve minör bulgular
• Bilgisayar destekli denetim araçları (CAAT)
• Entegre denetim
• Özdeğerlendirme (control self assessment)
• Sürekli denetim (continuous audit)
68. İç Denetim
• Uygunsuzluk
raporlarının
yazılması
• Örnek form
Düzeltici Faaliyet İstek Formu
Firma /Bölüm: Tarih : DF
Numarası:
Denetçi : Denetlenen :
Standard & Madde Major: Minor
Denetçi Raporu :
(Uygunsuzluk)
İmza:
Tarih:
Kök Neden & Önerilen Düzeltici Faaliyet :
Önerilen Tamamlama Tarihi :
Tarih: İmza
Düzeltici Faaliyetin Gözden Geçirilmesi :
İmza:
Tarih: