ISO 27001 Büyük ve Küçük Uygunsuzlukları

 ISO 27001 Uygunsuzlukları

Büyük Uygunsuzluklar

Standardın bir maddesinin tamamen eksikliği durumlarıdır. Sistemi doğrudan etkileyen bir uygulamanın olmaması ya da uygulanmaması anlamına gelir.

·         Bilgi güvenliği politikası hazırlanmamış

·         Kapsam hazırlanmamış

·         Risk analizi ve değerlendirme işlemi yapılmamış

·         Planlama yapılmamış

·         İletişim planları yapılmamış

·         İç tetkik yapılmamış

·         YGG yapılmamış

 

Küçük Uygunsuzluklar

Sistemin işleyişini etkilemeyen uygunsuzluklardır.

 

Varlık envanterinden varlıkların gizlilik değeri Gizlilik sınıfıyla uyumlu olmaması (A.8.1.1)

Bilgisayar, yazıcı, ziyaretçi ve farklı birimler için farklı ağların (network, VLAN) kullanılmaması

Administrator ve diğer jenerik kullanıcı kayıtlarının değiştirilmeden kullanılması.

Otoriterlerle ve Özel İlgi Gruplarıyla İletişim dokümanları hazırlanmamış

Ayrıcalıklı haklara sahip kullanıcıların yönetimine dair bir düzenleme yapılmamış.  (A.9.2.3)

Elektronik mesajlaşma sisteminde “disclaimer” kullanılmıyor. (A.13.2.3)

Teçhizat ve donanımlara ilişkin bakım kayıtları tutulmamış. (A.11.2.2)

Kullanıcı hesaplarının oluşturulması ve yönetimine ilişkin bir sistem oluşturulmamış (A.9.2.1.)

Personelin işten ayrılması işlemleri varlıkların iadesi işlemleri yapılmıyor. FÇ adlı kişinin ayrılması sürecinde eksiklik var (A.7.3.1, A.8)

Faruk  Çubukçu

 

faruk@farukcubukcu.com

 

www.farukcubukcu.com

www.excelakademi.com

www.excelci.com

http://excelciler.blogspot.com.tr/

http://projeproje.blogspot.com.tr/

http://iso27001-bgys.blogspot.com.tr/

https://www.youtube.com/user/farukcubukcu

ISO 27001 Major ve Minor Uygunsuzlukları

 ISO 27001 Uygunsuzlukları

Major Uygunsuzluklar

Standardın bir maddesinin tamamen eksikliği durumlarıdır. Sistemi doğrudan etkileyen bir uygulamanın olmaması ya da uygulanmaması anlamına gelir.

·         Bilgi güvenliği politikası hazırlanmamış

·         Kapsam hazırlanmamış

·         Risk analizi ve değerlendirme işlemi yapılmamış

·         Planlama yapılmamış

·         İletişim planları yapılmamış

·         İç tetkik yapılmamış

·         YGG yapılmamış

 

Minor Uygunsuzluklar

Sistemin işleyişini etkilemeyen uygunsuzluklardır.

 

Varlık envanterinden varlıkların gizlilik değeri Gizlilik sınıfıyla uyumlu olmaması (A.8.1.1)

Bilgisayar, yazıcı, ziyaretçi ve farklı birimler için farklı ağların (network, VLAN) kullanılmaması

Administrator ve diğer jenerik kullanıcı kayıtlarının değiştirilmeden kullanılması.

Otoriterlerle ve Özel İlgi Gruplarıyla İletişim dokümanları hazırlanmamış

Ayrıcalıklı haklara sahip kullanıcıların yönetimine dair bir düzenleme yapılmamış.  (A.9.2.3)

Elektronik mesajlaşma sisteminde “disclaimer” kullanılmıyor. (A.13.2.3)

Teçhizat ve donanımlara ilişkin bakım kayıtları tutulmamış. (A.11.2.2)

Kullanıcı hesaplarının oluşturulması ve yönetimine ilişkin bir sistem oluşturulmamış (A.9.2.1.)

Personelin işten ayrılması işlemleri varlıkların iadesi işlemleri yapılmıyor. FÇ adlı kişinin ayrılması sürecinde eksiklik var (A.7.3.1, A.8)

Faruk  Çubukçu

 

faruk@farukcubukcu.com

 

www.farukcubukcu.com

www.excelakademi.com

www.excelci.com

http://excelciler.blogspot.com.tr/

http://projeproje.blogspot.com.tr/

http://iso27001-bgys.blogspot.com.tr/

https://www.youtube.com/user/farukcubukcu

Risk Analizi

KVKK Risk Analizi işlemi de ISO 27001 risk analizine benzer. 

•       Kişisel verilerin işlenmesi süreçlerini yönetimi risk tabanlı bir işlemdir. Kişisel verileri işleyen kurumlar risklerini tanımlamalı ve gerekli önlemleri almalıdır. Bu anlamda şu çalışmalar yapılabilir:

•       Risk yönetimi politikası ve prosedürü oluşturulmalıdır.

•       Kişisel veriler ve süreçler temelinde riskler tanımlanmalıdır.

•       Artık risklerin kabul kriterleri belirlenmelidir.

•       Risk işlem planı oluşturulmalıdır.

•       Risk iyileştirme çalışmaları / Aksiyonlar alınmalı ve takip edilmelidir.

 

NOT: Bu ve diğer bütün videolarımda anlatılan uygulamalar ve çalışmalar tümüyle uygulama ortamında yapılabilecek çalışmalara yönelik bir demo niteliğindedir kurumunuza uygun olmayabilir. Sizler kendi kurumunuza ve süreçlerinize uygun riskleri tanımlamanız ve ilgili yönetim süreçlerini yapmanız gerekir.

Video: 

https://youtu.be/NzYJM2xhAuI

KVKK envanter videosu:

 

https://youtu.be/Ck7KVOcrpOs

 

ISO/IEC 27701:2019 PIMS

 

ISO/IEC 27701:2019, ISO/IEC 27001’in BGYS bilgi güvenliği yönetim sisteminin “privacy" eki ya da genişletmesidir.  Bu gizlilik ek gereksinimleri ifade eder ve kurumun PIMS’i oluşturmasını, uyarlamasını ve sürdürmesini sağlar.

ISO 27701 gizliliği koruması kılavuzluğu kurumun kişisel verileri nasıl yöneteceğini ve kişisel veri güvenliğine uyumu (KVKK) sağlar.

Gizli bilgi yönetim sistemi PIMS’nin ISO 27701’in yanında kurulmasını açıklar.

Bilişim çağında en önemli şey "bilgi güvenliği"ni iş yaşamına uygulamaktır.

Bilişim çağında en önemli şey "bilgi güvenliği"ni iş yaşamına uygulamaktır. (FÇ).

ISO 27001 A.6.1.2 Görevlerin Ayrılığı Nasıl Yapılmalı

 

ISO 27001 A.6.1.2 Görevlerin Ayrılığı?

Görevlerin ayrılığı genellikle ihmal edilen bir konu:

Taleplerin bölünmesi, işlemlerin belli adımlara ayrılması (farklı kişiler tarafından ve farklı yetkilendirme sistemleri tarafından desteklenmeli) gerekir.

En temel prensip:

Bir işlemin yapılması için birden çok kişi (en az iki kişi) onay vermeli. Ödeme onayı ya da sistemin değiştirilmesi gibi teknik bir konu.

ISO 27001 4.2 İlgili tarafların ihtiyaç ve beklentilerinin anlaşılması

ISO 27001 4.2 İlgili tarafların ihtiyaç ve beklentilerinin anlaşılması

İlgili taraflar genel olarak paydaşlardır. Yani BGYS’den yarar sağlayacak ve etkilenecek taraflar. Kurumun kendisi, çalışanları, müşteri ve diğer bağlamlar temelinde iç ve dış unsurlardır.

Data protection by design (tasarımda koruma) / Data protection by default (varsayım korum)

 Data protection by design (tasarımda koruma)

Teknoloji alt yapısında ve iletişim ortamlarında gizlilik esas alınmalı. Anonimleştirme ve kriptografik teknikler kullanılmalıdır. Her aşamada gizlilik düşünülmeli.

Data protection by default (varsayım korum)

Bir ürün ya da bir servis kullanıma açıldığında gizlilik ayarları varsayım olmalı. Örneğin bir fc kullanıcı hesabı açıldığında kullanıcının minimum bilgileri olmalı ve güvenliği tehdit edecek birçok özelliğe kapalı olmalı. Örneğin paylaşımlar ya da başkaları tarafından görülme gibi.

ISO/IEC 27701 Gizlilik, Kişisel Veri Yönetim Sistemi

 ISO/IEC 27701 Gizlilik, Kişisel Veri Yönetim Sistemi, KVKK gibi kişisel veri düzenlemelerinin ISO 27001 ve 27002 bilgi güvenliği yönetim sistemine kişisel veri gizliliği için geliştirilen ek kontrollerle uygulanmasını sağlıyor.

https://youtu.be/i6iIGDK5Kgs

Korona viris Pandemisi nedeniyle ISO yönetim sistemleri belgeleri yenilenemiyor…

 

Korona viris Pandemisi nedeniyle ISO yönetim sistemleri belgeleri yenilenemiyor…

https://www.helpnetsecurity.com/2020/08/20/iso-certifications-lapsing/

ISO 27001 için 13 Etkili Güvenlik Kontrolü

 

ISO 27001 için 13 Etkili Güvenlik Kontrolü:

·        Kimlik denetimi çözümleri.

·        Uygun erişim kontrollerinin kullanımı.

·        Anti virüs çözümleri

·        Verilerin şifrelenmesi

·        Penetrasyon testleri

·        Güvenlik ihlal olaylarının loglanması

·        İhlallerin nedenlerinin bulunması

·        …

https://azure.microsoft.com/tr-tr/blog/13-effective-security-controls-for-iso-27001-compliance/

PII Controllers / Veri Kontrolör (Data Controller) / Veri İşleyici (Data Processor)

PII Controllers / Veri Kontrolör (Data Controller)  / Veri İşleyici (Data Processor)

Veri Kontrolör (Data Controller) hangi kişisel verilerin işleneceğini ve aracı belirler. Veri işleyen kurumlar veri kontrolörü rolündedir. Kurumlar bu rolü ortaklaşa üstleniyorsa o zaman aralarında bir anlaşma olması beklenir.

Veri İşleyici (Data Processor), veri kontrolörü adına veri işleyen kişi ya da kurumdur. Veri işleyici genellikle üçüncü parti şirketler ya da tedarikçilerdir. Tipik olarak IT hizmetleri, bulut çözümleri veri işleyicidir.

ISO 27001 Denetim Raporu Özeti

Organizasyon, yapısı, hizmetleri ve süreçleri itibarıyla, ilgili yasal şartları, müşteri şartlarını ve bilgi güvenliği şartlarını sağlamak için, bilgi güvenliği yönetim sistemini (BGYS) etkin bir şekilde uygulayarak sürekli geliştirdiğini göstermiştir.

ISO 27001 Varlık Envanteri – Muhasebe ve İnsan Kaynakları İçin Varlık Örnekleri

ISO 27001 Varlık Envanteri – Muhasebe ve İnsan Kaynakları İçin Varlık Örnekleri:

Muhasebe için dolaplarında sakladıkları evraklar olabilir:

FATURA VE İRSALİYELER

BEYANNAMELER-BİLDİRGELER

MAHSUPLAR

DAMGA VERGİSİ DEFTERİ

GİDER PUSULASI

TEDİYE-TAHSİL MAKBUZU

BORÇ-ALACAK DEKONTLARI

SÖZLEŞMELER

TEMİNAT MEKTUPLARI

…

İK için de;

MAAŞ BORDROLARI

ÇALIŞAN PERSONEL ÖZLÜK DOSYALARI

HİZMET ALIMLARINA DAİR SÖZLEŞMELER

İŞ BAŞVURULARI DOSYASI

MAAŞ BORDROLARI

İNSAN KAYNAKLARI YÖNETMELİKLERİ

EĞİTİM KAYITLARI

…

ISO 27001 Varlık Envanteri

https://www.youtube.com/watch?v=CP8KJ84qy5w

ISO 27001 Varlık Envanteri

Bilgi varlıklarının envanteri de aslında bildiğimiz envanter tanımlarına uygun olarak bilgi varlıkların detaylarıyla (adı, özellikleri, gizlilik değerleri, sahibi vb) gösterildiği bir listedir. Genellikle BGYS yetkilileri tarafından hazırlanır; bilgi varlıkları adı ve diğer özellikleriyle bu tabloda yer alır.

Bu işlem genellikle bir Microsoft Excel ® dosyasında, varsa doküman yönetimi ya da varlık yönetim (assets management) yazılımları üzerinde yapılır. Varlık envanterinde varlıklar (bilgisayar donanımı, yazılım, elektronik ve basılı evraklar, vb.) listelenir. Bu listelerde ayrıca varlıkların kategorileri, süreçleri, sahipleri ve emanetçileri de yazılır.

·        BİLGİSAYARLAR

·        AĞ DONANIMLARI

·        MOBİL CİHAZLAR

·        BİLGİLER

·        HİZMETLER

·        KRİTİK BİRİM VE PERSONEL

·        FİZİKSEL TESİS VE ORTAMLAR

·        YAZILIMLAR

·        …

ISO 27001 Kapanış Toplantısı

Öncelikle kurumunuza ve iş birliği yapan arkadaşlara teşekkür ederim.

Kurumlarınızı ISO 27001 BGYS yönetim sistemi standardı, artı ilgili yasalar ve sözleşmesel gereklerini yerine getirmek üzere iki gün süresi içerisinde denetlemeye çalıştım.

ISO 27001 standardı maddeleri 10 bölüm Ana madde, ve 114 maddelik Ek maddeden oluştmaktadır. Bilgi Teknolojileri, İnsan Kaynakları ve Satın alma departmanı, arşiv ve diğer sahalarda çalışmalar yaptım. Görüşme, doküman inceleme, saha gözlemleri ve örnekleme belli kontrol noktalarını inceledim.

Sisteminizin iyi yanları şunlardır:

·        BGYS ekibi geniş düşünülmüş ve yetkin arkadaşlarla kurulmuş.

·        Entegre yönetim sistemi içinde düşünülmesi çok olumlu bir yaklaşım.

·        Detaylı dokümantasyon çalışmaları yapılmış.

·       Güzel örnek uygulamalara yer verilmiş.

Diğer yandan Denetim sürecinde bulgularım sonucunda ;

şu uygunsuzluk buldum ve raporladım.

....

Teşekkür ederim. 

ISO 27001 Faydası

Bir bilgi ihlali olduğunda; yetkisiz erişim, bilgi hırsızlığı, saldırı, ...
Olay olduğunda harcanacak para, 27001 bilgi güvenliği yönetim sisteminin kurulması için harcanacak paradan daha fazla olacaktır.

Kalitenin bir maliyeti var.

Dijital Dönüşüm İndeksi

Dell Technologies, Intel ve Vanson Bourne ile birlikte “Digital Transformation Index” çalışması.

40’dan fazla şirket, 4600 firma ile anket yapılarak oluşturulmuş. İlk bakışta bilgi güvenliğinin de çok önemli olduğunu söyleyebilirim. 

79 Sayfalık rapor:

https://www.delltechnologies.com/en-gb/perspectives/digital-transformation-index.htm