ISO 27001 Uygulanabilirlik Bildirgesi (SOA)

SOA (Uygulanabilirlik Bildirgesi)

ISO/IEC 27001 standardı ana maddeler ve ek maddelerden oluşur. Ana maddeler, standardın ilk bölümünde 0 ila 10 numaralarıyla yer alır. Ek maddeler ise ikinci bölümde A.5 ila A.18 numaralarıyla (114 madde) yer alır. (Bakınız ISO 27001 standardı)

Ana maddelerin uygulanması (hayata geçirilmesi) zorunludur. Ek maddeler ise seçimliktir, kurum bu maddelerden kendisine uygun olmayan bir ya da daha çoğunu nedenini belirterek uygulamaz. İşte bu düzenlemenin yapıldığı yani ek maddelerin uygulanıp uygulanmadığını belirtmek için SOA denilen “uygulanabilirlik bildirgesi” (state of applicability) dokümanını hazırlanır.

SOA sayesinde uygulanmayacak olan kontrollerin belirtilmesini sağlanır. Bu anlamda bu maddeler de denetim dışı tutulmuş olur. Ancak genel olarak denetçiler çok sayıda maddenin SOA içinde “uygulanmayacak” şeklinde belirtilmesine karşıdırlar. Çok net gerekçeler olmadığı sürece ek maddelerinde tümünün uygulanması önerilmektedir. Yine de kurum kendi faaliyetleri ve risk analizi sonuçları çerçevesinde uygulaması mümkün ya da gerekli olmayan Ek A kontrollerini SOA içinde gerekçeleriyle belirtebilir ve uygulamaz. 

state of applicability

SOA (Uygulanabilirlik Bildirgesi)

ISO/IEC 27001 standardı ana maddeler ve ek maddelerden oluşur. Ana maddeler, standardın ilk bölümünde 0 ila 10 numaralarıyla yer alır. Ek maddeler ise ikinci bölümde A.5 ila A.18 numaralarıyla (114 madde) yer alır. (Bakınız ISO 27001 standardı)

Ana maddelerin uygulanması (hayata geçirilmesi) zorunludur. Ek maddeler ise seçimliktir, kurum bu maddelerden kendisine uygun olmayan bir ya da daha çoğunu nedenini belirterek uygulamaz. İşte bu düzenlemenin yapıldığı yani ek maddelerin uygulanıp uygulanmadığını belirtmek için SOA denilen “uygulanabilirlik bildirgesi” (state of applicability) dokümanını hazırlanır.

SOA sayesinde uygulanmayacak olan kontrollerin belirtilmesini sağlanır. Bu anlamda bu maddeler de denetim dışı tutulmuş olur. Ancak genel olarak denetçiler çok sayıda maddenin SOA içinde “uygulanmayacak” şeklinde belirtilmesine karşıdırlar. Çok net gerekçeler olmadığı sürece ek maddelerinde tümünün uygulanması önerilmektedir. Yine de kurum kendi faaliyetleri ve risk analizi sonuçları çerçevesinde uygulaması mümkün ya da gerekli olmayan Ek A kontrollerini SOA içinde gerekçeleriyle belirtebilir ve uygulamaz. 

SOA (Uygulanabilirlik Bildirgesi)

SOA (Uygulanabilirlik Bildirgesi)

ISO/IEC 27001 standardı ana maddeler ve ek maddelerden oluşur. Ana maddeler, standardın ilk bölümünde 0 ila 10 numaralarıyla yer alır. Ek maddeler ise ikinci bölümde A.5 ila A.18 numaralarıyla (114 madde) yer alır. (Bakınız ISO 27001 standardı)

Ana maddelerin uygulanması (hayata geçirilmesi) zorunludur. Ek maddeler ise seçimliktir, kurum bu maddelerden kendisine uygun olmayan bir ya da daha çoğunu nedenini belirterek uygulamaz. İşte bu düzenlemenin yapıldığı yani ek maddelerin uygulanıp uygulanmadığını belirtmek için SOA denilen “uygulanabilirlik bildirgesi” (state of applicability) dokümanını hazırlanır.

SOA sayesinde uygulanmayacak olan kontrollerin belirtilmesini sağlanır. Bu anlamda bu maddeler de denetim dışı tutulmuş olur. Ancak genel olarak denetçiler çok sayıda maddenin SOA içinde “uygulanmayacak” şeklinde belirtilmesine karşıdırlar. Çok net gerekçeler olmadığı sürece ek maddelerinde tümünün uygulanması önerilmektedir. Yine de kurum kendi faaliyetleri ve risk analizi sonuçları çerçevesinde uygulaması mümkün ya da gerekli olmayan Ek A kontrollerini SOA içinde gerekçeleriyle belirtebilir ve uygulamaz. 

ISO 27001 Kapsam

´ISO 27001 sertifikası; ithalat, ihracat, transit, gümrükleme gibi gümrük ve dış ticaret işlemlerini ve bu işlemlere ilişkin lojistik, depolama, muhasebe, finans ve bilgi işlem gibi faaliyetlerinin elektronik bilgi varlıkları ile bu varlıkları korumak amacıyla kullandığı bilişim sistemlerini kapsar.

ISO 27001 Komitesi

Kurumlarda bilgi güvenliği yönetim sistemine geçiş sürecinde IT tabanlı BGYS teknik takımının yanı sıra bir de BGYS komitesi kurulur. Bu komite şu işleri yapar:

• Kendi süreçlerine ilişkin bilgi varlıklarının belirlenmesi
• Kendi süreçlerine ilişkin risklerin belirlenmesi
• Dokümantasyona yardım
• Farkındalığı artırma
• İÇ TETKİK
• İyileştirme

Risk Sahibi

Risk Sahibi

Bir riski yönetmek için sorumluluk ve yetki sahibi kişi veya birimdir. Risk sahibi, varlık sahibi olabileceği gibi diğer bir kişi ya da bir departman olabilir olarak belirtilebilir.

Risklere atanan sahipler, risk analizindeki risklerin takibinden ve artık risklerin kabulünden sorumlu olacaklardır.

ISO 27001- Varlık Envanterinde - Varlık Sahipleri Nasıl Atanmalı?

ISO 27001- Varlık Envanterinde - Varlık Sahipleri Nasıl Atanmalı?

UEKAE- BGYS-0003 Dokümanı (20.03.2008/F.KOÇ) Dokümanına dayanarak tanımları ele alalım:

Varlık Sahibi: Varlık sahibi, tanımlanan rol ve sorumluluklara paralel olarak belirlenir. Varlığın sahibi varlığın gizliliğinin, bütünlüğünün, erişilebilirliğinin sağlanmasından birinci derecede sorumlu kişi veya kişilerdir. (Ör: Muhasebe Bölümü Müdürü)

Varlık Sahibi, Varlığın gizliliğinin, bütünlüğünün, erişilebilirliğinin sağlanmasından birinci derecede sorumlu kişi veya kişilerdir. Sahip kelimesi Türkçe de mülkiyet anlamını içinde barındırmaktadır. BGYS Varlık yönetimindeki sahip kavramı daha çok sorumluluk anlamında kullanılmaktadır. Varlık değerinin belirlenmesi, varlığa yönelik risk tanımlamalarının yapılması varlık sahibinin görevleri arasındadır. (Ör: Kurum finansal bilgilerinin sahibi kurumun finans bölüm müdürüdür)

Emanetçi: Varlığın –varsa– emanetçisini belirtir. (Ör: Ağ Yöneticisi). Varlık Emanetçisi, Varlığın sahibi olmamasına rağmen, varlığın sağlıklı bir şekilde sürekliliğinin idamesini sağlayan rolündeki kişi veya kişilerdir. Birçok durumda varlık sahibi ile farklı kişi olabilir. (Ör: Kurum finansal bilgilerinin sahibi finans bölümü müdürü iken emanetçisi ilgili veritabanı yöneticisidir).

Sonuç olarak varlık sahipleri ve emanetçilerine karar verilirken, öncelikte kurumdaki demirbaşların (donanımlar) zimmet yoluyla sahipleri belirleniyorsa onlar Varlık Sahibi olarak belirtilebilir. Ancak genel olarak kişi temelli varlık sahipliğinden kaçınmak gerekiyor. Nedeni ise kişiler değiştiğinde listeleri güncellemek gerekiyor. Bu anlamda kişi adı yerine ünvanları kullanmak daha iyi olur.

Örnek:

Varlık: XYZ Server – Sahibi: BT Müdürü – Emanetçisi: BT Teknik Sorumlusu

Yine de kurum bir toplantı kararıyla ya da tutanakla varlık sahiplerini ve emanetçilerini belirleme konusundaki yaklaşımını netleştirebilir ve onu uygulayabilir. 

bilgi güvenliği için 7 öneri:

http://www.networkworld.com/article/3133370/security/7-steps-to-proactive-security.html

bilgi güvenliği için 7 öneri: Yönetim desteği, düzenli backup ve test, tüm şirket için bir şifreleme sistemi, yaşayan bir dokümantasyon, eğitim ve Bring Your Own Device (BYOD) politikası.

ISO 27001 yönetim sistemi dokümantasyon

Doküman Tip Kodu Kısaltmaları

Tip Kodu	Açıklama
EK	El Kitabı
POL	Politika
PR	Prosedür
TL	Talimat
FR	Form
PRS	Proses
SR	Süreç
LS	Liste
TB	Tablo
ÇİZ	Çizelge
RAP	Rapor
KL	Kontrol Listesi (Checklist)
KYT	Kayıt
İA	İş Akışı
PL	Plan
KL	Kılavuz
YÖ	Yönerge
YN	Yönetmelik
DÖ	Sözleşme
GT	Görev Tanımı
DŞ	Dış Kaynakları Doküman
DD	Diğer Doküman

 İstenilen kısa adlar kullanılabilir. Benim tercihim. 

FC-BGYS-PR01

Prosedür adı. 

ISO 27001:2013 –GEÇİŞ SÜRECİ AŞAMALARI

ISO 27001:2013 –GEÇİŞ SÜRECİ AŞAMALARI

DANIŞMANLIK HİZMETİ

ISO 27001 belgesi alınıncaya kadar – yapılacak çalışmalara destek olmak üzere - danışmanlık hizmetinin detayları şu şekildedir. Belgelendirme kuruluşuyla birlikte toplantı düzenlenir ve belgelendirme sürecine ilişkin yapılacak işlemler netleştirilir. Ardından danışmanlık süreci başlar. Bu konuda yapılacak çalışmalar oluşturulacak BGYS-Takımı ve Danışman Faruk Çubukçu’yla birlikte koordineli olarak yürütülür.

Genel olarak bir çalışma planı:

Hafta 1: ISO 27001:2013 hakkında genel bilgiler, yetkililer ve sorumlulara bilgi verilmesi, kaynaklar, çalışma planı. Toplantı günleri ve çalışma takvimi belirlenir.

Hafta 2: Proje Planının yapılması – Takımın belirlenmesi - Görev dağılımı – Yönetim Temsilcisi (BGYS yöneticisi), Sorumlusu, Yardımcı1/Tetkik, Yardımcı2/Tetkik, Dokümantasyon. Bu arkadaşların haftada bir tam gün toplantılar için ve diğer zamanlarından yarı zamanlarını bu işe ayırmaları gerekir.

Hafta 3: Mevcut durumun çıkarılması, donanım, yazılım, eğitimler, (iç tektik eğitimlerinin planlanması)…

Hafta 4: Dokümantasyon sisteminin kurulması,

Hafta 5: Politikasını yazılması ve onaylanması,

Hafta 6: Risk Analizi – Varlıklar, riskler, risk değerleri, risk hesaplama, risk işleme…

Hafta 7-8-9-10: Dokümantasyon çalışması. İşletim dokümanlarının yazılmaya başlanması. (İŞLETİM DOKÜMANLARI BGYS takımı tarafından yazılır). Uygulamalarının yapılması, uygulamaların dokümante edilmesi

Hafta 11: Dokümanların onaylanması,

Hafta 12-13-14:  İç eğitimler – Eğitim içeriği hazırlanır. Çalışanlara farkındalık eğitimleri verilir. Bu eğitimde İnternet kaynaklı tehlikeler, taşınabilir aygıtlar ve temiz masaüstü ve ekran gibi kurallar anlatılır. Bilgi güvenliği politikasının yaptırımlarından söz edilir. (birkaç grup danışman tarafından verilir. Diğerlerine BGYS takımı verir).

Hafta 15-16: İç Denetim

Hafta 17: Dokümantasyon tamamlanması – Ön denetim için belgeleme kuruluşuna verilmesi.

Faruk Çubukçu

E-posta: faruk@farukcubukcu.com

ISO 27001 GAP ANALİZİ - BOŞLUK/FARK ANALİZİ

Bilgi güvenliği düzeyi

Risk Sahibi

Risk Sahibi

ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi risk sahibinin (risk owner) de tanımlanmasını gerektirir. Risk sahibi riski yöneten ya da riskten sorumlu olan kişidir. Örneğin bir server bilgisayarın sahibi (varlık sahibi), IT yöneticisi olabilir. Risk sahibi ise daha üst düzey birisi (CIO ya da genel müdür) olabilir. Çünkü IT yöneticisi server bilgisayarın günlük çalışmasını sağlarlarken risk sahibi daha geniş anlamda riskleri değerlendirmekle ve çözmekle yükümlüdür.

Risk sahibi nasıl seçilecek? Risk sahibi genellikle ilgili sürece ve operasyona yakın olan kişidir. Genellikle orta düzey yöneticiler risk sahibi olarak tanımlanır. Ancak birçok konuda belirttiğimiz gibi bu tür atamalar şirketin büyüklüğüne ve organizasyonuna göre değişir. 

Varlık Sahibi

Varlığın Sahibi

ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi, varlık envanterinde varlık sahibinin (asset owner) belirlenmesini ister. Varlık sahibi, varlığın işletiminden sorumlu olan bir anlamda onu koruyan kişidir. Örneğin sunucu bilgisayarlar, sistem yöneticisi tarafından yönetilir. Bu anlamda sahibi bilgi işlem sorumlusu olabilir. Diğer yandan bir elektronik dosyanın sahibi onu oluşturan (kaydeden) kişidir. Varlık sahibi, varlığın gizliliğinin, bütünlüğünün, erişilebilirliğinin sağlanmasından birinci derecede sorumlu kişi ya da kişilerdir. 

Varlık sahibinin yanı sıra bir de “varlık emanetçisi” vardır. Emanetçi, “kullanıcı” anlamına gelir. Bir varlığın sahibi farklı kişiler ya da aynı kişi olabilir. Örneğin sözleşmelerden sorumlu kişi sözleşmelerin emanetçisi olabilir, sahibi ise muhasebe müdürü ya da şirket sahibi olabilir. 

Varlık Envanteri

Varlık Envanteri

Envanter terimi genellikle muhasebe terimi olarak karşımızı çıkar ayrıca stok ve malların envanteri de yapılır. Bilgi varlıklarının envanteri de aslında bildiğimiz envanter tanımlarına uygun olarak bilgi varlıkların detaylarıyla (adı, özellikleri, miktarı vb) gösterildiği bir listedir.

Genellikle BGYS Sorumlusu tarafından hazırlanır; bilgi varlıkları adı ve diğer özellikleriyle bu tabloda yer alır. Varlık envanteri, çeşitli kurumsal yazılımlar aracılığıyla ya da Microsoft Excel ® gibi bir hesap tablosu programı aracılığıyla tutulabilir. 

http://www.iso27001akademi.com/

İzmir Ticaret Odası - Ağustos 2016 Eğitimlerimiz

ISO 27001 için roadmap - adımlar

Veritabanı güvenliği - database security

Database – Veritabanı Güvenliği?

Veritabanı güvenliği için de yine prosedürel,  teknik, yönetim ve fiziksel olarak koruma yapılması gerekir.

Unauthorized / unintended erişimler engellenmeli.

Malware infections engellenmeli.

Fiziksel zararlar minimuma indirilmeli.

Güvenlik düzenlemeleri:

·         Access control

·         Auditing

·         Authentication

·         Encryption

·         Integrity controls

·         Backups

·         Application security

Olta saldırıları çok yaygınlaştı. Kullanıcılarımıza daha sık uyarı yapalım.

Olta saldırıları çok yaygınlaştı. Kullanıcılarımıza daha sık uyarı yapalım.

Hacker'lar size Facebook'tan gönderilmiş gibi görünen bir eposta gönderiyor ve sizden bilgilerinizi istiyor. Bu epostalar, sizi bazen hizmetin resmi web sayfasına benzer bir sayfaya yönlendirebiliyor. Gerçekte sahte olan bu sayfaya eposta adresinizi ve parolanızı girdiğinizde, hesap bilgilerinizi hacker'lara kendi ellerinizle teslim etmiş oluyorsunuz.

http://www.chip.com.tr/haber/hackerlar-verilerinizi-nasil-caliyor_63563.html

Denetçinin özellikleri

Denetçinin (Tetkikçinin)  yaptığı  işin  en  önemli  kısmı  iletişimdir. İletişim kurmayı engelleyecek  davranışlardan kaçınmak  gereklidir. Bunu sağlamanın ilk şartı iletişim kurallarına uymaktır.

Nazik ve formel bir iletişim tarzı ile – dinlemek ve not almak gerekiyor.

Tartışma ve “bu olmalı” gibi bir şey yok.

Diğer bazı noktalar:

Hazırlıklı ve kararlı olmak,

Yapılan işle ilgilenmek,

En zayıf halka - şirket çalışanları - kullanıcılar

Verizon’un yayınladığı 2015 Veri İhlali İnceleme Raporu, çalışanların %23’ünün oltalama e-postalarını açmaya, %11’inin ise tanımadıkları kişilerden gelen e-posta eklerini indirmeye yatkın olduklarını gösteriyor.

http://www.computerworld.com.tr/haberler/uc-nokta-guvenligi-neden-onemli/

ISO/IEC 27001 - Tedarikçi firmaların riskleri

ISO/IEC 27001 - Tedarikçi firmaların riskleri,

Hizmetin aksaması,

İstenilen kalitenin sağlanamaması,

Bilgi hırsızlığı,

Eleman eksikliği,

Eleman hataları,

İletişim sorunları/kesilmesi,

….

22 bin flash bellek kuru temizlemede unutulmuş?

http://www.computerworld.com.tr/haberler/22-bin-usb-bellek-kuru-temizlemede-unutuldu/

İçlerinde ne vardı  kim bilir? Özel bilgiler, resimler, videolar, şirket dosyaları, ....

Bilgi güvenliği videoları:

Bilgi güvenliği videoları:

http://www.infoworld.com/video/channel/security

Bilgi güvenliği makaleleri ve haberleri sitesi:

Bilgi güvenliği makaleleri ve haberleri sitesi:

http://www.admin-magazine.com/News

Personeli taraması - Diploma kontrolleri.

Şirketlerde diplomaların kontrolü. ISO/IEC 27001'de A.7.1'de belirtildiği gibi diplomaların ve referans kontrolü şart.

http://www.haberturk.com/gundem/haber/1182445-meb-sahte-diplomali-ogretmen-pesinde