Site İçi Arama
Merhaba, Ziyaretçi. Lütfen giriş yapın veya üye olun.
21 Kasım 2008, 20:39:50
 3688 Mesaj 1366 Konu Gönderen: 16255 Üye
Son üye: Rumbers

Kalite Kontrol Portalı | Forum  |  Kalite Kontrol  |  Standartlar  |  (ISO 27001) Bilgi Güvenliği Yönetim Sistemi Nedir? « önceki sonraki »
Sayfa: [1]
Gönderen Konu: (ISO 27001) Bilgi Güvenliği Yönetim Sistemi Nedir?  (Okunma Sayısı 1471 defa)
AoG
Administrator
*****
Offline Offline

Mesaj Sayısı: 78


Üyelik Bilgileri E-Posta
« : 27 Ekim 2006, 12:44:40 »

Bilgi Güvenliği Yönetim Sistemi Nedir?
Bilgi güvenliği yönetim sistemi hakkında bilinçlendirme ve eğitim faaliyetlerini»» yoğunlaştırarak devam ettiren Gelişim Yönetim Sistemleri A.Ş. 2006 yılında tüm kamu kurumları, üniversiteler ile IT, finans, sağlık sektörleri başta olmak üzere tüm Türkiye’deki kurumlara danışmanlık ve eğitim hizmetleri sunmaktadır.

Türkiye için yeni bir standart olmasına ve Türkçe hemen hemen hiç kaynak bulunmamasına rağmen sektörünün öncü kurumları tarafından faydası tespit edilmiş ve çalışmaları yıllardır sürdürülen bilgi güvenliği yönetim sisteminin yaygınlaşması, doğru anlaşılması ve verimli bir şekilde uygulanabilmesi için seminer faaliyetlerinin yanı sıra hazırlanan Türkçe kılavuzlar ve kitaplar ile de kurumların işlerini kolaylaştıracak çözümler sunmaya devam etmekteyiz.

ISO 27001 bilgi güvenliği yönetim sistemi hakkında dikkat edilmesi gereken temel noktalar aşağıda özetlendiği gibidir. Konuyla ilgili detaylı bilgi için Linklerin Görülmesine İzin Verilmiyor
Linkleri görebilmek İçin Üye Olun veya Giriş Yapın
www.gelisim.org
adresi ziyaret edilebilir.

Bilgi güvenliği standardı BS 7799-2’nin revize edilip 2005’in sonlarında ISO 27001:2005 olarak değiştirilmesiyle yürürlüğe giren bu standart kurumların bilgi güvenliği yönetim sistemi kurmaları için gereklilikleri tanımlamaktadır.
Bunun yanı sıra ISO 17799:2002 numaralı standart ISO 17799:2005 “bilgi teknolojileri güvenlik teknikleri en iyi uygulamalar rehberi” olarak revize edilip yayınlanmıştır ve ISO 27001’e göre kurulacak bir BGYS’nin nasıl gerçekleştirilebileceğine dair açıklamaları içerir.

Bilgi güvenliği yönetim sistemi , kurumunuzdaki tüm bilgi varlıklarının değerlendirilmesi ve bu varlıkların sahip oldukları zayıflıkları ve karşı karşıya oldukları tehditleri göz önüne alan bir risk analizi yapılmasını gerektirir. Kurum kendine bir risk yönetimi metodu seçmeli ve risk işleme için bir plan hazırlamalıdır.

Risk işleme için standartta öngörülen kontrol hedefleri ve kontrollerden seçimler yapılmalı ve uygulanmalıdır. Planla-uygula-kontrol et-önlem al (PUKÖ) çevrimi uyarınca risk yönetimi faaliyetlerini yürütmeli ve varlığın risk seviyesi kabul edilebilir bir seviyeye geriletilene kadar çalışmayı sürdürmelidir.

ISO 27001 Kurumların risk yönetimi ve risk işleme planlarını , görev ve sorumlulukları, iş devamlılığı planlarını , acil durum olay yönetimi prosedürleri hazırlamasını ve uygulamada bunların kayıtlarını tutmasını gerektirir. Kurum tüm bu faaliyetlerin de içinde yer aldığı bir bilgi güvenliği politikası yayınlamalı ve personelini bilgi güvenliği ve tehditler hakkında bilinçlendirmelidir. Seçilen kontrol hedeflerinin ölçülmesi ve kontrollerin amacına uygunluğunun ve performansının sürekli takip edildiği yaşayan bir süreç olarak bilgi güvenliği yönetimi ancak yönetimin aktif desteği ve personelin katılımcılığıyla başarılabilir.

Kurum içerisinde bu çalışmaları yürütecek BGYS takımının ve BGYS yöneticisinin bilgi güvenliği yönetimi konusunda iyi eğitimli olmaları gerekmektedir. Risk yönetimi, politika oluşturma, güvenlik prosedürlerinin hazırlanması ve uygun kontrollerin seçilerek uygulanması aşamalarında uzman desteği ve danışmanlık almaları faydalı olacaktır.

ISO 27001’den bahsederken karıştırılan ve dikkatle ayrılması gereken şey ISO 27001’in YÖNETİM SİSTEMİ öngörmesidir. ISO 27001 size nasıl virüs bulaşmayacağını anlatmaz.

Bilgisayar ağınıza saldırganların nasıl sızabileceğini söylemez. Size toplam bilgi güvenliği ve “yaşayan bir süreç olarak” bilgi güvenliğinin nasıl “yönetileceğini” tanımlar.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi kurmanın yararları

• Bilgi varlıklarının farkına varma: Kuruluş hangi bilgi varlıklarının olduğunu, değerinin farkına varır.
• Sahip olduğu varlıkları koruyabilme: Kuracağı kontroller ile koruma metotlarını belirler ve uygulayarak korur.
• İş sürekliliği: Uzun yıllar boyunca işini garanti eder. Ayrıca bir felaket halinde, işe devam etme yeterliliğine sahip olur.
• İlgili taraflar ile barış halinde olma: Başta tedarikçileri olmak üzere, bilgileri korunacağından ilgili tarafların güvenini kazanır.
• Bilgiyi bir sistem sayesinde korur, tesadüfe bırakmaz.
• Müşterileri değerlendirirse, rakiplerine göre daha iyi değerlendirilir.
• Çalışanların motivasyonunu arttırır.
• Yasal takipleri önler
• Yüksek prestij sağlar

ISO 27001 Bilgi Güvenliği Sistemi Kurma Aşamaları :

• Varlıkların sınıflandırılması
• Gizlilik , bütünlük ve erişebilirlik kriterlerine göre varlıkların değerlendirilmesi
• Risk analizi
• Risk analizi çıktılarına göre uygulanacak kontrolleri belirleme
• Dokümantasyon oluşturma
• Kontrolleri uygulama
• İç tetkik
• Kayıtları tutma
• Yönetimin gözden geçirmesi
• Belgelendirme

Erman TAŞKIN
« Son Düzenleme: 27 Ekim 2006, 13:35:30 Gönderen: o_guney » Logged
Logged
AoG
Administrator
*****
Offline Offline

Mesaj Sayısı: 78


Üyelik Bilgileri E-Posta
« Yanıtla #1 : 27 Ekim 2006, 12:51:33 »
BS 7799 Bilgi Güvenliği Yönetimi Standardı

Bugün iş bilgi ile yönetiliyor. Bilginin bir kısmı herkes tarafından bilinen kısmıdır, başka bir kısmı ise özeldir, hiç kimse ilgilenmez. Öyle bir kısım vardır ki, bazılarını ilgilendirir, o halde gizlidir. Bu bilgi, tasarım, satınalma, personel, pazar, üretim metodu v.b. ile ilgili olabilir. Bu bilgi istenmeyen ellere geçtiğinde etkisi hemen (bir ihalenin kaybı gibi), veya yavaşça olabilir. Bilgiyi kaybettiğinizin farkına varmayabilirsiniz, ancak, işler nedense kötüdür.

Bazı kuruluşların uyguladığı kontroller vardır. Savunmasızlıkları tanımlama ve iyi uygulama örnekleri:

Şifre kullanarak kişisel bağlanma
Virüs kontrolleri, yedekleme ve saklama (ayrı yerde saklama dahil) uygulamaları
Yetki tabloları
İK ile işbirliği
İş planlama / kaza sonucunda ve iş sürekliliği için yapılacaklar
BT hata raporlamalrı
E-posta, fax, internet ve fotokopi için kullanma koşulları
Dosyalara erişimde yetkiler
Bu gibi uygulamalar iyi bir başlangıçtır, ancak şifrelerin paylaşıldığına, bir yere kaydedildiğine, ve görünürde olduğuna sık rastlarız. Bir cep telefonu konuşmasına kulak misafiri olup, hattın öbür ucundakinin ne dediğini tahmin edebilmişizdir.

Bilgi güvenliğinin casus savaşları ile ilgisi yoktur. Aşağıdakiler için bir yönetim sistemidir:

Gizlilik: Bilginin sadece erişim yetkisi verilmiş kişilerce erişilebilir olduğunun garanti edilmesi
Bütünlük: Bilginin ve işleme yöntemlerinin doğruluğunun ve bütünlüğünün temin edilmesi
Elverişlilik: Yetkilendirilmiş kullanıcıların, gerek duyduğunda bilgiye ve ilişkili kaynaklara erişime sahip olabileceklerinin garanti edilmesi
Bunların kaybı ticari zarara, iş kaybına, prestij zedelenmesine yol açabilir.

Bilgi güvenliğini paranoya ile sağlamak mümkün değildir. Başlama noktası her türlü yönetim sistemi gibi risk analizidir. Riskin üç boyutu vardır:

Varlığın değeri
Tehdit
Savunmasızlık
Riskin boyutu bu üçünün toplam etkisi ile oluşur.

1998'de yapılan bir çalışmaya göre başarısızlık
%57'si kaza eseri,
%24'ü kötü niyetli hareketler,
%11'i ekipman hatası,
% 3'ü software hatası,
% 5'i diğer nedenlerden kaynaklanmıştır.

Yine aynı yılın çalışmasına göre bilgi teknolojileri başarısızlıkları

%18'i enerji kesintisi,
%17'si kullanıcı hatası,
%17'si LAN hatası,
%14'ü dış kaynaklı virüsler,
% 9'u WAN hatası,
% 6'sı çalışanların bilerek verdiği zarar,
% 6'sı operatör hatasından oluşmuştur.

Risk değerlendirme çok ciddi bir iştir, ancak üst yönetimin taahhüdü, insanların katılımı, ve iş hedeflerinin açıklığı da bir o kadar önemlidir.

Kuruluşun sahip olduğu varlıkları değerlendirmek, hırsızlık, yangın, sel baskını, deprem, verinin tahribi, ve çok hızlı gelişen bilgi teknolojileri gibi konular için kuruluşun dışarıdan uzman desteği alması gerekebilir.

Bilgi güvenliği yönetim sistemi standardı 2002 baskısı BS 7799-Part 2 belgelendirmesi yapılan bir standarttır. Aynı standardın birinci kısmı Part 1 veya uluslar arası ISO 17799 bir rehber olup iyi uygulama örnekleri verir. TSE bu standardı bir Türk standardı olarak kabul etmiş, ve Kasım 2002'de yayınlamıştır.

Standarda göre sistem kurma için kuruluş

Bilgi güvenliği politikasını belirlemeli,
Sistemin sınırlarını (alan, varlıklar, kapsam, teknoloji) belirlemeli,
Risk değerlendirme sonuçlarını yorumlamalı,
Kullanacağı kontrolleri seçmeli, ve
Yönetim sorumluluklarını belirlemelidir.
Bilgi güvenliği sistem dokümantasyonu

Risk değerlendirme prosesi kayıtları,
Yönetim sorumluluğu,
Politika (Örn: temiz masa, internet erişimi, kriptografi, erişim kontrolü vb.)
Özel operasyonel dokümanlar ve prosedürler,
Gözden geçirmelerden oluşacaktır.
ISO 9000 disiplini elde etmiş firmalar bunu anlamakta zorlanmayacaktır.

Üçüncü tarafları erişimi de kritiktir. Servis verenler, taşeronlar, iş ortaklarının da erişimi dikkate alınmalıdır. Kuruluşun zarar görmesinden zarar göreceklerin hassasiyeti yüreğe ne kadar su serpebilir?

Her ne olursa, ticari süreklilik esastır. Çok basit bir örnek verelim; yangın geçirmiş bir binaya itfaiye haftalarca giriş izni vermez ise, kuruluş buna hazır değilse, işi kaybetmeye kadar varan çok ciddi zararlar ile karşı karşıya kalabilir. Sistem iş sürekliliği için önlemleri şart koşmaktadır.

ABD savunma sistemleri 1995'te 250.000 kez saldırıya uğramış, bunların %65'i başarılı olmuştur. Çok ciddiye alınması gereken bu sistem standardı jeneriktir; yani her boyutta, her tür kuruluş bunu uygulayabilir. Önemli olan geç kalmamaktır.

Hayim VALİ
Logged
Sayfa: [1]
« önceki sonraki »
Gitmek istediğiniz yer:  


Powered by SMF 1.1.2 | SMF © 2006, Simple Machines LLC


S 0 1 2 3 4 5  arsivtr.info NBA | Basketbol Euroleague Beko Basketbol Ligi |