1. ISO 27001 Bilgi Güvenliği Yönetim
Sistemi Standardı
140307016 – Alperen Albayrak
140307021 – Burak Karaismailoğlu
2. İÇERİK
• Bilgi Nedir?
• Bilgi Güvenliği Nedir?
– Bilgi Güvenliğini Sağlayıcı Önlemler
• ISO Nedir?
• ISO 27001 Nedir?
– ISO 27001 Standardının Yapısı
– ISO 27001 EK-A Kontrolleri ve Standartları
– ISO 27001 Standardının Genel Özellikleri
– ISO 27001 Kimileri İlgilendirir?
– ISO 27001 Uygulamanın Avantajları
• Bilgi Güvenliği Yönetim Sistemi
– ISO 27001 Bilgi Güvenliği Sistemi Kurma Aşamaları
– Bilgi Güvenliği Yönetim Sistemi Neden Gereklidir?
• ISO 27001 Sertifikası Nasıl Alınır?
• Kaynakça
2
3. Bilgi, diğer önemli ticari varlıklar gibi, bir işletme için değeri olan ve bu nedenle uygun
olarak korunması gereken bir varlıktır. Bilgi, kuruluşunuzun faaliyetleri ve devamı için
büyük bir önem taşır.
3
BİLGELİK, iyi-kötü, doğru-yanlış, etik veya etik değil değerlendirmelerinin
yapılabildiği yerdir.
BİLGİ, zamanla farklı kaynaklardan sentezlenen enformasyonun
teorilere veya yapılara oturtulmasıdır. Tecrübe ve öngörülerden
etkilenir.
ENFORMASYON, verinin bir bağlamı içersinde anlamlı şekilde
düşünülmesidir. Verirnin amacı ve bir anlamı oluşur.
VERİ, gelen mesajların anlamlandırılmamış halidir.
Knowledge Pyramid
4. Erişilebilirlik
(Availability)
• Bilgi yetkili kullanıcı
için istediği zaman
erişilebilir olmalıdır.
Bütünlük
(Integrity)
• Bilgi yalnızca yetkili
kullanıcı tarafından
değiştirilebilir
olmalıdır.
Gizlilik (Confidentiality)
• Bilgiyi yalnızca yetkili
kullanıcı
görebilmelidir.
Bilgi güvenliği, bilginin izinsiz veya yetkisiz bir biçimde erişim, kullanım, değiştirilme, ortadan kaldırılma
ve hasar verilmesini önlemek olarak tanımlanır.
“Gizlilik”, “bütünlük” ve “erişilebilirlik” olarak isimlendirilen üç temel unsurdan meydana gelir.
Bu üç temel güvenlik öğesinden herhangi biri zarar görürse güvenlik zafiyeti oluşur.
4
5. Bilgi Güvenliğini Sağlayıcı Önlemler
Çalışanlar için
güvenlik
farkındalığı
eğitimi
Bilgi altyapısı
için katmanlı
bir güvenlik
sistemi
oluşturma
Periyodik
sızma testleri
yaptırma
Giren/çıkan
veri trafiğini
izleme
Anti-virüs ve
zararlı yazılım
önleyici
çözümler
kullanma
Kullanıcı adı
ve parola
dışında farklı
erişim
kontrolleri
kullanma
Uygulama
yazılım
açıklarını
minimize
etme, bunları
güncel tutma
Veri
sınıflandırma
standardı
oluşturma ve
uygulama
Gizli bilgiler
için şifreleme
teknikleri
kullanma
Gizli bilgilere
erişimi
kısıtlama
5
6. Uluslararası Standartlar Organizasyonu'nun kısaltılmış halidir.
1947 yılında kurulmuş olup, merkezi İsviçre'nin Cenevre Şehri'ndedir.
Kuruluş amacı; dünya çapında geçerliliği olacak şekilde standartlar yayınlamak ve böylelikle
ürünlerin/hizmetlerin uluslararası dolaşımına katkıda bulunmaktır.
nternational
tandardization
rganization
6
7. ISO 27001 BGYS (Bilgi Güvenliği Yönetim Sistemi); ISO'nun (Uluslararası Standartlar Kuruluşu) en kapsamlı
standartlarından bir tanesidir.
Kurum ve kuruluşların hayatlarını sürdürebilmeleri ve varlık değerlerini artırabilmeleri için gerekli en değerli
varlıkları olan "BİLGİ“’yi korumayı amaçlar.
Diğer ISO sertifikalarında olduğu gibi kendi kapsamındaki sistemin kurulmasından, güvenliğinden,
devamlılığından, geliştirilmesi ve denetlenmesinden sorumludur.
Bütün bunları yaparken gizlilik, bütünlük ve erişilebilirlik durumlarını göz önüne alarak değerlendirir.
ISO 27001 güvenlik üzerine oluşturulan bir standart olmasının yanı sıra bütünlük ve erişilebilirlik kapsamında
kaynak yönetimi, sistemlerin izlenmesi, envanter yönetimi, olayların yönetilmesi, iş sürekliliği, risk yönetimi gibi
bir çok kavramı kapsamına almaktadır.
7
8. 8
Standardın kapsamı
Atıf yapılan standartlar
Terimler tarifler
Kuruluşun bağlamı
İlgili tarafların ihtiyaç ve beklentilerinin anlaşılması
Bilgi güvenliği yönetim sisteminin kapsamının belirlenmesi
Bilgi güvenliği yönetim sistemi
Liderlik
Politika
Kurumsal roller, sorumluluklar ve yetkiler
Planlama
Destek
Operasyon
Performans Değerlendirme
İzleme, ölçme, analiz ve değerlendirme
Yönetimin gözden geçirmesi
İyileştirme
9. 9
A.5 Bilgi Güvenliği Politikası
A.6 Bilgi Güvenliği Organizasyonu
A.7 İnsan Kaynakları Güvenliği
A.8 Varlık Yönetimi
A.9 Erişim Kontrolü
A.10 Kriptografi
A.11 Fiziksel ve Çevresel Güvenlik
A.12 İşletim Güvenliği
A.13 İletişim Güvenliği
A.14 Sistem Edinim, Geliştirme ve Bakım
A.15 Tedarikçi İlişkileri
A.16 Bilgi Güvenliği Olay Yönetimi
A.17 İş Sürekliliği Yönetiminin Bilgi Güvenliği Yönü
A.18 Uyum
10. Sektör bağımsız olup, her türlü büyüklükteki kurum için uygulanabilir.
İç denetimlerin bağımsızlığının ve etkinliğinin sağlanması ile kurumsal yönetişim ve iş sürekliliği
ihtiyaçlarını karşılar.
Müşteri bilgilerinin güvenliğine gösterilen önem ile rekabet avantajı ve kurumsal itibarı güçlendirir.
Kurumsal risklerin ön görüldüğünü ve bu riskleri en aza indirgemek için çalışma yapıldığını gösterir.
Teknik ve teknoloji bağımlı bir standart değildir. Belli bir ürün ve ya bilgi teknolojisi ile ilgilenmez.
10
ISO 27001’den bahsederken karıştırılan ve dikkatle alınması gereken
şey ISO 27001 size nasıl virüs bulaşmayacağını anlatmaz. Bilgisayar
ağınıza saldırganların nasıl sızabileceğini söylemez.
Size bilgi güvenliğinin nasıl “yönetileceğini” tanımlar.
11. ISO 27001 Bilgi Güvenliği Sistemi, dünyanın hangi Ülkesinden veya hangi sektörden olursa olsun büyük küçük tüm
kuruluşlara uygundur. Bu standart, finans, sağlık, kamu ve BT sektörleri gibi bilginin korunmasının büyük
öneme sahip olduğu alanlarda özellikle gereklidir.
ISO 27001 sertifikasyonu, BT taşeron şirketleri gibi bilgiyi başkaları adına yöneten kuruluşlar için de oldukça
önemlidir, müşterilere bilgilerinin koruma altında olduğu güvencesini vermek için kullanılabilir.
11
12. Müşteri, tedarikçi, çalışan ve tüm taraflara güven verir
Ulusal ve uluslar arası pazarlarda rekabet gücünü arttırır
Bilginin gizlilik, erişebilirlik ve bütünlüğünü sağlar
Yasal yükümlülüklere uyumun kontrolü için bir yapı oluşturur
Bilgi varlıklarına yönelik tehditlere karşı önlemler alır
Riskler analiz edilir ve işlenerek etkileri azaltılır
Bilgi varlıklarını koruyacak bir yönteme sahip olunur
Bilgi güvenliği açıkları tespit edilir ve tedbirleri alınır
Acil durumlara verilen tepki kabiliyeti gelişir
İş sürekliliğini kesintiye uğratacak durumlar azaltılır
Kuruluşun yönetim sistemine değer katar
Her türlü veri kaybı ihtimallerini ortadan kaldırır
Sürekli iyileştirme yapabilmek için imkân verir 12
13. 13
Bilgi güvenliğini kurmak, gerçekleştirmek, işletmek, izlemek, sürdürmek ve geliştirmek için, iş riski
yaklaşımına dayalı tüm yönetim sisteminin bir parçası.
Sisteminin Kurulmasının Planlaması
Organizasyondaki altyapıyla ilgili bilgilerin toplanması
yapılan işin niteliği
misyon
yerleşim noktaları
Risk yönetimini gerçekleştirecek sorumlular ,
Mevcut durumda organizasyonun güvenlik durumu,
BGYS’nin kapsamını belirleyecek bilgiler; lokasyonlar, işlemler, iş fonksiyonları, bilgi, bilgi teknolojileri,
BGYS’nin kapsamının belirlenmesi,
BGYS’nin hedefi ,
BGYS’nin kurulması için çalışma programının oluşturulması,
BGYS’nin kurulması ve sürekliliği için gerekli olan süreçlerin belirlenmesi.
14. Varlıkların sınıflandırılması,
Gizlilik, bütünlük ve erişebilirlik kriterlerine göre varlıkların değerlendirilmesi,
Risk analizi, (Kaynakları belirlemek ve riski tahmin etmek amacıyla bilginin sistematik kullanımı.)
Risk analizi çıktılarına göre uygulanacak kontrolleri belirleme,
Dokümantasyon oluşturma,
Kontrolleri uygulama,
Kayıtları tutma,
Yönetimin gözden geçirmesi,
Belgelendirme.
14
15. 15
Güvenlik teknolojiden ziyade insan faktörüne bağlıdır,
Çalışanlar yabancılardan daha fazla tehdit oluşturur.
Güvenlik bir zincir gibidir, en zayıf halkası kadar kuvvetlidir.
Güvenliğin üç faktörü vardır, İşlevsellik, maliyet ve risk derecesi,
Güvenlik bir durumdur, çalışan bir süreç değildir kontrolü daha zordur,
“Güvenlik bir yönetimsel sorun değil, bütünüyle teknik bir konudur”
16. Kuruluş, Bilgi Güvenliği Yönetim Sistemi standardın gereksinimlerini karşılayacak şekilde kurduktan sonra,
bu sistemin belgelendirilmesi için bir sertifikasyon kuruluşu ile anlaşır.
Sertifikasyon kuruluşu, kuruluşun bilgi güvenliği sisteminin standardın gereksinimlerini karşılayıp
karşılamadığını tespit etmek üzere bir sertifikasyon denetimi yapar.
Bu denetim sonucunda sertifikasyon kuruluşu, kurulmuş olan bilgi güvenliği sisteminin ilgili standardın
gereksinimlerinin yeterince karşılandığına karar verirse, kuruluşun bilgi güvenliği sistemini belgelendirir.
16