15 Kasım 2018 Perşembe

ISO 27001 Kitabı


ISO 27001 Kitabım Yayımlandı
ISO 27001 standardı, bilgi güvenliği konusunda geliştirilmiş uluslararası bir sistemdir.
Kitapta genel olarak “bilgi güvenliği” ve kurumlarda 27001 Bilgi Güvenliği Yönetim Sistemi’nin uygulanmasına yardımcı olacak konular yer almaktadır.
Bilgi varlıklarının belirlenmesi, envanterinin çıkarılması, risk analizi, kontrollerin belirlenmesi, ağ güvenliğinin sağlanması, iş sürekliliğinin sağlanması, vb konular uygulama ve “dokümantasyon” örnekleriyle yer almaktadır.
Ayrıca 27001 standardının ana ve ek maddelerinin gereksinimleri uygulamaya yönelik olarak açıklanmaktadır. İç tetkik ve düzeltici faaliyetler hakkında bilgiler de yine uygulamaya yönelik ve doküman örnekleriyle yer almaktadır.
Kitap Adı: Bilgi Güvenliği Yönetim Sistemi ISO27001:2013 Uygulama Kılavuzu, Faruk Çubukçu
Fiyatı: 35,70 TL, ISBN: 978-605-2359-59-4, Sayfa: 416

16 Ekim 2018 Salı

Bilgi güvenliğini kim sağlayacak

Bilgi güvenliği bir “kurum kültürü” olmalıdır. Bilgi güvenliği kuruluşun her çalışanının
sorumlu olduğu bir şeydir. Bu anlamda bilgi güvenliği, üst yönetimin desteğiyle
uygulanacak olan bilgi güvenliğine yönelik politikalar ve prosedürlerle sağlanır diyebiliriz.
Örneğin herkesin uyacağı internet, temiz ekran ve masaüstü, parola ve elektronik
posta kuralları, çevresel güvenlik ve mobil cihaz kullanımı kuralları gibi.

11 Ekim 2018 Perşembe

Denetimde Gözlem Bulguları

ISO 27001 denetiminde major ve minor uygunsuzluklar bulunur. Bunun yanı sıra "gözlem" olarak bilinen öneriler de yapılır. Bunlara örnek vermek gerekirse;


Gözlem Örnekleri;
  • ·        Kurum içerisinde BGYS ve bilgi güvenliğine yönelik poster ve diğer bilgilendirici görsellerin olması iyi olur.
  • ·        Bilgi varlıklarının etiketlenmesine yönelik olarak pratik kılavuzlar geliştirilebilir ve ofisler içinde belli yerlere asılabilir.
  • ·        Ziyaretçilerin bilgilendirilmesi uygun bir broşür ile olabilir.
  • ...


Değişiklik Yönetimi

İşletim sistemi ayarları ve ağ ayarlarını değiştirmek, yazılım kurulumları, güncellemeler, sistem transferleri, yetkilendirmeler vb sistemin yapısını değiştirecek işlemler “değişiklik” olarak tanımlanır.
Bilgi sistemlerinde “değişiklik” yapılırken olası risklerinin değerlendirilmesi önemlidir.

Bilgi sistemlerinde değişiklik yapılmadan önce DEĞİŞİKLİK İSTEK FORMU doldurulmalıdır. 

10 Ekim 2018 Çarşamba

Bilgi varlığı nedir

Bilgi güvenliğinin sağlanmasının temelinde kuruma ait bilgilerin güvenliğinin sağlanması
yer alır. Bilgiler sadece bilgisayarda yer alan dosyalarından ibaret değildir. Bir
kurumu düşünürseniz, “bilgi” daha geniş anlamdadır. Şirketin bilgisayarları, bilgisayar
ortamındaki dosyalar, veritabanları, elektronik postaları, personelin özel bilgileri, sözleşmeler,
faturalar, arşiv, dışarıdan alınan hizmetler vb. çok sayıda şeyi sayabiliriz. Bu
anlamda terminoloji olarak “varlık” ya da “bilgi varlığı” kavramı geliştirilmiştir.



7 Ekim 2018 Pazar

Bilgi güvenliği nedir

Bilgi güvenliği (information security), bilgilerin güvenliğinin sistemli bir şekilde sağlanmasıdır.
Biz konuyu kurumsal anlamda ele alacağımız için, bilgi güvenliği, kuruluşun
faaliyetlerinin sürekliliğini sağlamak üzere bilgilerin olası her türlü tehlike ve tehdide
karşı korunmasıdır.

ISO 27001 Kitabı


ISO 27001, bilgi güvenliğini kurumsal ortamda sağlamak için geliştirilmiş uluslararası bir standarttır. Kitabımızın amacı bilgi güvenliği temellerini açıklamak ve ISO 27001 – Bilgi Güvenliği Yönetim Sistemi’nin kurumlarda uygulanmasına yardımcı olmaktır.
Birinci bölümde “bilgi güvenliği” konusunda temel bilgiler yer almaktadır. Bilgi nedir, tehditler nelerdir ve temel olarak bilgi güvenliği nasıl sağlanır. İkinci bölümde tümüyle standardın maddeleri ele alınmıştır. Maddeler, uygulayıcı gözüyle yorumlanarak yapılacak çalışmalar açıklanmıştır. Üçüncü ve dördüncü bölümde Bilgi Güvenliği Yönetim Sisteminin süreçleri ve bu süreçler temelinde yapılacak çalışmalar sıralı bir düzen içinde – fark analizinin yapılması, varlık envanterinin çıkarılması, risk analizi, kontrollerin belirlenmesi, iş sürekliliğinin sağlanması ve diğer gerekli konular açıklanmaktadır. Beşinci bölümde bu süreçte gerekli olan dokümantasyon hakkında genel bilgiler ve doküman örnekleri yer almaktadır. Altıncı ve sonraki bölümlerde ise iç tetkik, düzeltici faaliyetler ve iyileştirme işlemlerine yönelik temel bilgiler yer almaktadır.
ISO/IEC 27001 – Bilgi Güvenliği Yönetim Sisteminin kurulması ve sürdürülmesi iki yönlü bir çalışmadır. Bunlardan birincisi yönetimsel, ikincisi de teknik (bilgisayar altyapısı) yönlerdir. ISO 27001, ISO 9001 gibi bir “yönetim sistemi”dir, roller ve sorumlulukların tanımlanması, dokümantasyon hazırlanması, iç tetkiklerin ve düzeltici faaliyetlerin yapılması vb. konuları aynen içerir. Teknik taraf ise bilgi güvenliğini sağlamada kullanılacak bilgisayar sistemleri ve teknolojilerdir. Firewall ile internet erişiminin kontrol edilmesi, bilgisayar ağları, dosyalara erişim, loglama, anti-virüs vb. araçların kullanımı gibi “teknik” işlerdir.

ISO 27001 Kitabı

BİLGİ GÜVENLİĞİ
YÖNETİM SİSTEMİ
ISO 27001:2013
UYGULAMA KILAVUZU
Faruk ÇUBUKÇU

PUSULA YAYINCILIK



Kitapta yapılan tüm tanımlamalar ve öneriler yazarın görüş ve önerilerini yansıtmaktadır,
kesin bir kural ve uygulama değildir. Esasen tüm konular kurumlara,
uygulayıcıya ve denetleyiciye göre farklı şekillerde değerlendirilebilir ve/veya yorumlanabilir.
Burada önemli olan uygulayıcının standardın içeriğini ve işleyişini
kavraması ve kendi gereksinimleri temelinde kurumuna adapte etmesidir



23 Eylül 2018 Pazar

ISO 27001 Sürekli iyileştirme

ISO/IEC 27001:2013 ana maddeleri içinde 10.2 maddesi sürekli iyileştirmeyi tanımlamıştır.
10.2. Sürekli iyileştirme – “BGYS’nin uygunluğu, doğruluğu ve etkinliği sürekli
iyileştirilmelidir” der.
Sürekli iyileştirme şu işlemlerle sağlanır;
• İç tetkikler
• YGG toplantıları
• Açıklık testlerinin yapılması
• Ölçme ve değerlendirme çalışmaları
• Risklerin sürekli olarak değerlendirilmesi

ISO 27001 Dokümantasyonu

Dokümantasyon çok önemlidir. Genellikle ihmal edilir ve birkaç tane prosedür yazılacakmış
gibi düşünülür. Oysa ISO/IEC 27001 için dokümantasyonun belli özellikleri vardır. BGYS
sistemine ilişkin yönetim, iç tetkik, yönetim gözden geçirme vb yönetimsel dokümanlar olduğu
gibi teknik olarak IT tabanlı prosedürlere de ihtiyaç vardır. Bu anlamda dokümanların
sistemli bir şekilde hazırlanması ve düzenli olarak güncellenmesi gerekir.

ISO 27001 Kitabı

BİLGİ GÜVENLİĞİ
YÖNETİM SİSTEMİ
ISO 27001:2013
UYGULAMA KILAVUZU
Faruk ÇUBUKÇU

Bilgi Güvenliği Yönetim Sistemi - BGYS - ISMS

Bilgi Güvenliği Yönetim Sistemi/Information Security Management Systems (ISMS),
kısaca BGYS, her şeyin temeli olan ve bilgi varlıklarının gizliliğini, bütünlüğünü ve
erişilebilirliğini sağlayan bir sistemi ifade eder.

31 Ağustos 2018 Cuma

YGG - Yönetimin Gözden Geçirmesi Toplantısı Gündemi - ISO 27001


Faruk Çubukçu tarafından yapılan toplantıda YGG’de görüşülen konular şunlardır:

       Bilgi Güvenliği Politikası’nın gözden geçirilmesi
       Risk Yönetim metodolojisinin gözden geçirilmesi
       Risk işleme planının gözden geçirilmesi
       Düşürülen risklerin açıklanması
       Güncel risk raporunun değerlendirilmesi
       Artık riskler ve kabul edilebilir risk düzeyinin görüşülmesi ve üst yönetim tarafından onaylanması
       Güvenlik ihlal olaylarının değerlendirilmesi
       İş sürekliliği stratejisinin gözden geçirilmesi
       İş sürekliliği tatbikat sonuçlarının değerlendirilmesi
       Bilgi güvenliği farkındalık çalışmalarının gözden geçirilmesi
       İç tetkik (denetim) raporlarının değerlendirilmesi
       Varlık Envanteri, varlık sahiplik ve kullanıcı erişim haklarının gözden geçirilmesi
       İzleme ve ölçme sonuçları, Sistem Loglarının değerlendirilmesi
       Üçüncü taraflardan geri bildirimlerin değerlendirilmesi (varsa)
·         Donanımların kapasitesi ve ileriye dönük olarak planlaması
       Yedekleme donanımlarının gözden geçirilmesi.
       Gizlilik anlaşmalarının gözden geçirilmesi.
       Personel politikalarının ve insan kaynakları uygulamalarının gözden geçirilmesi.
       Kaynakların ve bütçenin değerlendirilmesi.
       Diğer konular.


24 Ağustos 2018 Cuma

Neden bilgi güvenliği

Bugün genel anlamda “hiçbir bilgisayar tam olarak güvenli değildir” tezinden hareket
edebiliriz. Virüs bulaşabilir, saldırı olabilir, bilgisayarınıza izinsiz erişim yapılabilir,
bilgisayar bozulabilir, dosyalarınız silinebilir, bilgisayar çalınabilir, vb. çok sayıda
tehdit bizi beklemektedir. Bu durumda kişisel ve özellikle kurumsal bilgi sistemlerinin
güvenliğini sağlamak artık “zorunlu” hale gelmiştir.

“bilgi” çok değerli bir varlıktır

“bilgi” çok değerli bir varlıktır; kişiler, şirketler, kurumlar, vb. organizasyonlar için “bilgi” farklı kapsamlarda olabileceği gibi, özünde “gizli” olması gereken ve gizliliği bozulduğunda (başka birisinin eline geçtiğinde) zarar göreceğimiz varlıklardır. Bu bir evrak ya da bilgisayarımızdaki bir
dosya olabilir, benzer şekilde bir Web sitesi, elektronik posta ya da telefonda bir
başkasına iletilen bir şey olabilir. İşte “bilgi güvenliği”nin anlamı, bilgilerin korunmasını
sistematik bir şekilde sağlamak, buna ilişkin önlemler almak ve sistemler
geliştirmektir.

FARUK ÇUBUKÇU - BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ
ISO 27001:2013 UYGULAMA KILAVUZU Kitabının önsözünden. 



17 Nisan 2018 Salı

5 Ocak 2018 Cuma

FARUK ÇUBUKÇU BİLGİ TEKNOLOJİLERİ TANITIM

FARUK ÇUBUKÇU BİLGİ TEKNOLOJİLERİ TANITIM
http://farukcubukcu.com/files/faruk-cubukcu-bilgi-teknolojileri-tanitim_dd08c.pdf