Emre Erkıran

1. ISO 27001:2013
Bilgi Güvenliği Yönetim Sistemi
TANITIM EĞİTİMİ

2. Bilgi Nedir?
Bilgi, diğer önemli ticari varlıklar gibi bir işletme için değeri
olan ve bu nedenle uygun olarak korunması gereken bir
varlıktır.
(Kaynak: ISO/ IEC 17799)
Varlık: Kuruluşa önemi ve kuruluş için maddi bir değeri
olan herşey
Bilgi değişik formlarda bulunabilir
• Bilgisayarlarda depolanan veri
• Ağlar boyunca iletilen
• Çıktılar
• Fax ile gönderilen kağıtta yazanlar
• Disklerde depolanan
• Bantlarda tutulanlar
• Karşılıklı telefon konuşmaları

4. Bilgi Tehditleri
Hırsızlık, bilgisayar korsancılığı, sabotaj
Virüs saldırıları
İfşa
Kayıp ya da hasar
Bozulma
Sistem / ağ kusuru
Sınırsız erişim
Model kontrol problemleri
ISO/TC 176 onaylı yorumlar
Dökümantasyon eksikliği
Doğal felaketler – deprem, fırtına, yangın, etc.

5. En Büyük Tehdit Kaynağı
Eğitimsiz ve bilinçsiz personeldir;
• Virüs bulaştırabilir,
• Ağ iletişim hatlarını konnektörlerinden çıkarılabilir ve koparılabilir,
• Yazılımları veya verileri silebilir, çalışamaz hale getirebilir,
• Donanıma zarar verebilir.
• Dışarıya bilgi taşıyabilir.
• Art niyet olmaksızın bilgiyi başkalarına aktarabilir

6. Bilgi Güvenliğine Yönelik Tehditler
Güvenlik Tehditleri
İnsan Doğal Felaketler
Kötü Niyetli Kötü Niyetli Olmayan
Kurum İçinden Dikkatsiz Kullanıcılar
(Yangın, Deprem, Sel vb.)
(Hacker, Rakip vb.) (Küskünler vb.)
Dış Kaynaklı

7. Tehditler
Şifreleri kırmak,
Virüs yaymak,
Truva atları yerleştirmek,
Hizmeti engelleme atakları,
Başkasının adına Elektronik Posta gönderme,
Ağ ortamını dinlemek,
Ağdaki paketleri değiştirmek,
Yazılımlardaki açıklıklardan faydalanmak...

8. Muhtemel Zararlar
Hizmetin belirli bir süre aksaması veya tamamen durması
Kurum/Kuruluşun güvenilirliğini yitirme riski
Personelin morali üzerinde olumsuz etkiler oluşması
Bilinmesi istenmeyen bilgilerin açığa çıkması
Bilgi Sistemine verilen maddi hasarlar
Bilgi Sisteminin tekrar çalıştırılması için zaman kaybı
Sistemde toplanan bilgilerin ve sistem yazılımlarının tahribi
WEB sitesinin çökertilmesi

9. Virüs nedir?
Bilgisayarı kullanan kişilerin bilgisi ve izni olmaksızın,
üzerinde barındığı bilgisayar sisteminin çalışmasını
kesintiye uğratmak ve zarar vermek amacıyla yazılmış
program kodlarına bilgisayar virüsü denir.

10. Virüs Çeşitleri
• Virüs’ler e-posta, veri taşıma ortamları (disket, cd, dvd, usb disk
vb.), dosya paylaşım programları, sohbet programları ve web
sayfaları ile yayılabilir (Melisa, CIH)
• Solucanlar, Virüs’lerin kullandıkları yöntemlere ek olarak,
uygulama/işletim sistemi zayıflıkları ile saldırılar düzenleyebilir
ve bu şekilde de yayılabilir (Code Red, Nimda)
• Truva Atları ancak ilgili uygulama çalıştırıldığında etkili
olmaktadır. (Netbus, Subseven)

11. Diğer Tehlikeler
Mantıksal Bombalar:
Mantıksal Bomba saldırıları ile çeşitli uygulamalara yerleştirilen zararlı
yazılımlar önceden ayarlanan zamanlarda veya uygulamanın belirli bir
fonksiyonunun çalıştırılmasıyla tahribat oluşturmaktadırlar.
Diğer saldırı tekniklerine aşağıda yer verilmiştir:
Servisin devre dışı bırakılması (denial-of service)
Şifre tespit saldırıları
Güvenlik mimarisini değiştirme
Hak ele geçirme
Tahrip etme

13. ÜLKEMİZDE EN ÇOK KARŞILAŞILAN BİLİŞİM
ŞUÇLARINDAN ÖRNEKLER
• http://www.ihbarweb.org.tr/
• Başkalarının adına e-mail göndererek özellikle ticari ve özel ilişkileri
zedeleme.
• Başkalarının adına web sayfası hazırlamak ve bu web sayfasının tanıtımı
amacıyla başkalarına e-mail ve mesaj göndermek ve bu mesajlarda da
mağdur olan şahsın telefon numaralarını vermek.
• Kişisel bilgisayarlar yada kurumsal bilgisayarlara yetkisiz erişim ile bilgilerin
çalınması ve karşılığında tehdit ederek maddi menfaat sağlanması
• Şirketlere ait web sayfalarının alan adının izinsiz alınması ve bu alan adlarının
karşılığında yüklü miktarlarda para talep etmek.
• Özellikle Pornografik içerikli CD kopyalamak ve satmak.
• Sahte evrak basımı gibi çok farklı konuları içerebilmektedir.

14. Resmî Gazete
• Sayı : 26530
KANUN
İNTERNET ORTAMINDA YAPILAN
YAYINLARIN DÜZENLENMESİ VE
BU YAYINLAR YOLUYLA İŞLENEN
SUÇLARLA MÜCADELE EDİLMESİ
HAKKINDA KANUN

15. Bilgisayarınıza Gelen Mesajlara Kanmayın

16. Bilgisayarınıza Gelen Mesajlara Kanmayın

18. Bilgisayarınıza Gelen Mesajlara Kanmayın

19. Cep Telefonunuza Gelen Mesajlara Kanmayın

20. Cep Telefonunuza Gelen Mesajlara Kanmayın

21. Güvenlik Tedbileri
• Kullanıcılar güvenlik ayarları yapılmış standart bilgisayar
kullanmak.
• Kullanıcı erişim yetkilendirmeleri “BİLMESİ GEREKEN”
prensibine uygun yapmak.
• Parola yönetimi, merkezi olarak yürütmek.
• Kullanıcı bilgisayarları ve sunucu bilgisayarlarının güvenlik
kontrolleri devamlı bir faaliyet olarak icra etmek.
• Yazıcılar ağa bağlı olarak kullanmak.
• E-posta kullanımına sınırlama getirmek, gelen ve giden e-
postaların server kaydını tutulmak.
• CD yazıcı ve disket sürücüleri azaltılarak yetki dahilinde
kullanmak.

22. Güvenlik Tedbileri
• Taşınabilir disk ve USB disk gibi veri depolama araçlarının
kullanımı kontrol altına alımak.
• Oluşturulan kullanıcı adı ve parola sistemi sayesinde yetkisiz
kişilerin internete erişimleri engellemek.
• Kullanıcı bilgisayarları üzerinde bulunan ve otomatik olarak
güncellenen Anti Virüs Programı ile virüs kontrolü yapmak.
• İnternette gezilen Web sayfalarından virüs yayılmasına karşı
gerekli önlemler almak.
• Güvenlik duvarı üzerinde web trafiği ile ilgili kayıtlar tutmak.
• İçerik yönünden uygun olmayan Web sayfalarına erişimi
engellemek.

23. Zararlı Kodların Belirlenmesi
* Dosya büyüklüklerinin değişmesi,
* Bozuk disk alanlarının görülmesi,
* Diskteki boş yerin azalması,
* Program yükleme sürelerinin artması,
* Sistemin yavaşlaması,
* Sabit disk ve sürücülerde anormal hareketler görülmesi
(anormal yazma ve okuma işlemleri),
* Hafıza (RAM) azalması,
* Programların hata vermesi/çalışmaması,
* ve çoğu zaman normal kullanıcıların hissedemeyeceği kadar
sinsi belirtiler…

24. Bulaşma Belirtileri
 Dosya büyüklüğü artar,
 Performans düşüklüğü gözlenir,
 Hatalı veya komik mesajlar alınır,
 Yazılımda veya veride kayıplar oluşur,
 Sabit disk veya disketler formatlanır,
 Bilgisayarı açmakta (boot etmekte) zorluklar
yaşanır.

25. Zararlı Kodlardan Korunmak İçin
* İşletim sisteminizin güncel olduğundan emin olunuz.
* Bilgisayarınızdaki anti-virüs programının güncel ve aktif halde
olduğundan emin olunuz.
* Bilmediğiniz e-posta ve eklerini açmayınız.
* Kaynağı belirsiz programları bilgisayarınıza indirmeyiniz,
kopyalamayınız ve çalıştırmayınız.
* Anormal durumlarda hemen bilgisayarınızı kapatarak teknik
personele ulaşınız.

26. Parola Güvenliği
 Parolanızı en az sekiz karakterden oluşturun.
 Seçmiş olduğunuz parola sizin hakkınızda kolaylıkla elde
edilebilecek verilerden oluşmamalıdır. (doğ.tarihi, çocuk
adları, araba plakası vb)
 Parolanızı ortak olarak kullanmayınız. Her hangi bir güvenlik
ihlalinde öncelikli olarak sorumlu olacağınızı unutmayınız.
 Parolanızı harf, sayı ve noktalama işaretlerinin karışımından
oluşturunuz.
 Parolanızı klavye gibi kolaylıkla görünebilecek yerlere
yazmayınız.
 Parolaları kolay hatırlanabilecek sözlerin baş harflerinden oluşturmak
en iyi yöntemdir.

27. Kullanıcıların Uyması Gereken Kurallar
• Veri depolama ortamlarının (sabit disk, teyp vb.) bakım ve
onarım maksadıyla firma dışına çıkarılmaması.
• Lisanssız yazılım kullanılamaz.
• Disket ve CD’ler içindeki bilginin gizlilik derecesine göre
muhafaza edilmelidir. Etiketli olarak kullanılmalıdır.
• Sistemler arası kontrolsüz bilgi transferi yapılamaz.
• Bilgisayarınızın başından uzun süreli ayrılacağınız zaman
bilgisayarınızı kapatınız.
• Geçici olarak ayrılacağınız zaman bilgisayarınızın ekran
koruyucusunu aktif hale getiriniz.

28. Kullanıcıların Uyması Gereken Kurallar
• Evrakı veya dokümanı masa üzerinde veya başka bir yerde
açıkta bırakılmamalıdır.
• Müsvetteler, atılan nüshalar ve karbon kağıtları uygun şekilde
imha edilmelidir.
• Elektronik postalar ilgilileri ile bilmesi gerekenler dışına
gönderilmemelidir.
• Şahsi çanta ve eşyalar içinde şirket bilgilerini ihtiva eden evrak,
doküman veya malzeme taşınmamalıdır.
• Telefon cihazları ile yapılan konuşmalarda kendi duyacağı ses
tonu ile konuşulmalıdır.
• Güvenlik soruşturması temiz olmayanların işe alınmamalıdır.
• İşinizi, işinizle ilgili bilgileri iş yerinden dışarıya çıkartmayınız.

29. Kullanıcıların Uyması Gereken Kurallar
• SONUÇ:
Bilgi güvenliğini korumaya yönelik olarak alınan teknolojik
önlemler; çalışan bilinci ve uygun iş süreçleri ile desteklenmediği
sürece yetersiz kalmaktadır.

30. BGYS Yararları
 Rekabet avantajını, itibarı, güveni korur
 Hukuki cezaları önler
 Bilgi varlıklarını korur:
Tasarımlar
Tesciller
Yazılım
Elektronik dosyalar
Ticari sırlar
Finansal bilgi
Kişisel bilgi

31. Bilgi Güvenliği Amaçları
Gizliliğin Korunması – bilginin sadece erişim yetkisi verilmiş
kişilerce erişilebilir olduğunun garanti edilmesi
Bütünlüğün Korunması – bilginin ve işleme yöntemlerinin
doğruluğunun ve bütünlüğünün temin edilmesi
Elverişlilik – yetkilendirilmiş kullanıcıların, gerek duyulduğunda
bilgiye ve ilişkili kaynaklara erişime sahip olabileceklerinin
garanti edilmesi

32. BGYS nedir?
Kuruluşun kritik bilgi varlıklarını güvence altına almak için
kullandığı politikalar, standartlar, prosedürler, uygulamalar ve
planlanan aktiviteler vb.
Risk değerlendirme metodu
Doküman kontrolleri ve prosesler
Güvenlik bilinci, klavuz, eğitim ve yetkinlikler
Araçlar ve ekipmanlar, güvenlik duvarları, virüs tarayıcıları, otomatik
yönetim ve güvenlik izleme

33. BGYS nedir?
Sistemin tasarımı ve nasıl uygulandığı aşağıdakilere bağlıdır:
Kuruluşun ihtiyaçları ve amaçları
Kuruluşun büyüklüğü ve yapısı
Sahip olduğu ya da başkaları adına yürüttüğü bilgi duyarlılığı ve
bilgi kritikliği
Duyarlılık aşağıdakilerle ilgilidir
Kayıp
Yolsuzluk
Hırsızlık
İfşa
Kesinti

34. BGYS nedir?
BGYS; tedarikçileri, müşterileri ve diğer ilgili tarafları kapsamak
adına kuruluşun dışına genişler
Organizasyon, organizasyonun müşterileri ve tedarikçileri, başka
ilgili taraflar arasında BGYS gereksinimleri konusunda bilginin
sürekli, iki yol akışı vardır;karşılıklı beklentiler ve bilgi güvenlik
yönetimi
Uluslararası kabul görmüş bilgi güvenliğini yönetmeyi sağlayan
bir standarttır

35. Bir kuruluş niçin BGYS kurmalıdır?
Etkili bir BGYS kuran bir kuruluş bilgi güvenliği emniyeti
konusunda güvenilirlik yaratır.
Bu; kuruluş ve müşterileri için yüksek müşteri güveni, itimatı ve
sürekli başarıyı sağlar.
Güveni kazanmak ve ona zarar vermek çok uzun zaman ve
çaba gerektirir.Ters bir güvenlik olayı kuruluşun imajına derin bir
hasara sebep olabilir.

36. ISO 27001 Kapsamı
ISO 27001 tüm bilgi varlıklarına uygulanabilir
Kuruluşa ait –finansal bilgi ya da fikri mülkiyet olabilir
Kişisel Bilgiler – personel verisi, tüketici /müşteri tarihi, müşteri dosyaları
Kritik Bilgi Varlıklarına bağlı olarak kuruluş tarafından gerçek
uygulama kapsamı tanımlanır
BGYS politikası içinde kuruluş tarafından BGYS politikası ve
spesifik amaçlar tanımlanır

37. Bilgi Güvenliği Hedefleri

38. Bilgi Güvenliği Gereksinimi
• Bilgi sistemlerinin hayata geçmesiyle ortaya çıkan depolama ve
işleme imkânlarının artması, izinsiz erişimler, bilginin yetkisiz
imhası, yetkisiz değiştirilmesi veya yetkisiz görülmesi
ihtimallerinin artması gibi hususlar nedeniyle bilgi güvenliği
kavramı gündeme gelmektedir
• Bilgi hangi biçime girerse girsin veya ne tür araçlarla paylaşılır
veya depolanır olursa olsun, her zaman uygun bir şekilde
korunmalıdır.
• Bilgi sistemlerinin çoğu, bilgi saklanırken, paylaşılırken,
gönderilirken güvenlik kaygıları düşünülerek tasarlanmamıştır.

39. Bilgi Güvenliği Yönetim Sistemi
• Bilgi güvenliği ihlali ve buradan doğacak kayıpların riskini
minimize etmek kurulan sistemlerin en başında BGYS
gelmektedir.
• BGYS, bilgi güvenliğini kurmak, işletmek, izlemek ve
geliştirmek için iş riski yaklaşımına dayalı, dokümante
edilmiş, işlerliği ve sürekliliği garanti altına alınmış bir yönetim
sistemidir.
• BGYS kurumunuzdaki tüm bilgi varlıklarının değerlendirilmesi ve
bu varlıkların sahip oldukları zayıflıkları ve karşı karşıya oldukları
tehditleri göz önüne alan bir risk analizi yapılmasını gerektirir.

40. ISO 27001
• BGYS, bağımsız kuruluşların ya da tarafların ihtiyaçlarına göre
özelleştirilmiş güvenlik kontrollerinin gerçekleştirilmesi için
gereksinimleri belirtir. BGYS’nin ihtiyaç duyduğu gereksinimlere
cevap vermek için çok sayıda standart vardır. Bunların en önde
geleni ISO 27001 standardıdır.
• ISO 27001 kurumların bilgi güvenliği yönetim sistemi kurmaları
için gereklilikleri tanımlayan tek denetlenebilir BGYS
standardıdır. ISO 27001 ülkelere göre özel tanımlar içermeyen,
genel tanımların bulunduğu uluslararası standardıdır.
•ISO 27001 standardı; kuruluşların kendi bilgi güvenlik
sistemlerini sağlamasını mümkün kılan teknoloji tarafsız,
satıcı tarafsız yönetim sistemleri için bir çerçeve sağlar.

41. ISO 27001
• ISO 27001, kuruma uygun politikalar, prosedürler ve
kılavuzlar oluşturmaya yol gösteren uluslararası kabul görmüş
yapısal bir metodoloji sunar.
• ISO 27001 sertifikası, kurumların güvenlik seviyesine ve
kurumun konuya ciddi yaklaşımına ilişkin bir göstergedir.

42. ISO 27000 AİLESİ
• Bilgi güvenliği ile ilgili olarak ISO 27000 serisi güvenlik
standartları, kullanıcıların bilinçlenmesi, güvenlik risklerinin
azaltılması ve de güvenlik açıklarıyla karşılaşıldığında
alınacak önlemlerin belirlenmesinde temel bir başvuru
kaynağıdır. Bu standartlar temel ISO’nun 9000 kalite ve 14000
çevresel yönetim standartlarıyla da ilgilidir.
• ISO 27000 standardı, ISO 27000 standartlar ailesi ile ilgili
kavramların açıklanmasını sağlayan ve bilgi güvenliği
yönetimine yönelik temel bilgileri içeren bir standarttır.

43. Diğer İlgili Standartlar
• ISO/IEC 13335: Bilgi Teknolojisi –ICT Güvenlik Yönetimi için
Klavuz
• 13335 bölüm 1 (2004) : ICT güvenlik kavramları ve modelleri
• TR 13335 bölüm 3 :IT güvenlik yönetimi teknikleri
• TR 13335 bölüm 4 :Önlemlerin seçimi
• ISO/ IEC TR 18044:2004: IT Güvenlik Teknikleri — Bilgi
Güvenlik İhlal Olayı Yönetimi
• ISO 27006: BGYS Belgelendirmesi Yapan Kuruluşların
Akreditasyon Klavuzu
• ISO/IEC 19011:2011 - Yönetim Sistemi Denetimi için Klavuz

44. Diğer İlgili Standartlar
• ITIL (Bilgi Teknolojisi Altyapı Kütüphanesi)
• İngiliz Standardı BS 15000
• COBIT (Bilgi ve ilgili Teknoloji için Kontrol Amaçları)
• ISO/IEC 20000 IT Servis Yönetimi için ilk uluslararası standart

46. PUKÖ Modeli
• ISO 27001, BGYS’yi kurmak, işletmek, izlemek, gözden
geçirmek, sürdürmek ve iyileştirmek için standart proses
yaklaşımını benimsemiştir.
•Bu proses yaklaşımı güvenlik önlemlerinin belirlenip kurulması,
uygulanması, etkinliğinin gözden geçirilmesi ve iyileştirilmesi
süreçlerini ve bu süreçlerin sürekli olarak tekrarlanmasını içerir.
Bu süreçler Planla, Uygula, Kontrol et, Önlem al (PUKÖ)
döngüsünden oluşan bir model olarak da ortaya konmuştur.
• BGYS’de kurum kendine bir risk yönetimi metodu seçmeli ve risk
işleme için bir plan hazırlamalıdır. Risk işleme için standartta
öngörülen kontrol hedefleri ve kontrollerden seçimler
yapılmalı ve uygulanmalıdır.

47. PUKÖ Modeli
Planla: BGYS’nin kurulması
Sonuçları kuruluşun genel politikaları ve amaçlarına göre
dağıtmak için, risklerin yönetimi ve bilgi güvenliğinin
geliştirilmesiyle ilgili BGYS politikası, amaçlar, hedefler, prosesler
ve prosedürlerin kurulması.
Uygula: BGYS’nin gerçekleştirilmesi ve işletilmesi
BGYS politikası, kontroller, prosesler ve prosedürlerin
gerçekleştirilip işletilmesi.

48. PUKÖ Modeli
Kontrol Et: BGYS’nin izlenmesi ve gözden geçirilmesi
BGYS politikası, amaçlar ve kullanım deneyimlerine göre proses
performansının değerlendirilmesi ve uygulanabilen yerlerde
ölçülmesi ve sonuçların gözden geçirilmek üzere yönetime rapor
edilmesi.
Önlem Al: BGYS’nin sürekliliğinin sağlanması ve
iyileştirilmesi
BGYS’nin sürekli iyileştirilmesini sağlamak için, yönetimin gözden
geçirme sonuçlarına dayalı olarak, düzeltici ve önleyici
faaliyetlerin gerçekleştirilmesi .

49. Proses Etkileşim Şeması

50. Güvenlik Kontrol Alanları
ISO 27001:2013’de BGYS oluşturmada güvenlik için gereken 14
kontrol alanı ve 114 kontrolü tanımlayan bir uygulama
kılavuzudur oluşturuldu

51. Sonuç
• Kurumların güvenli bir ortamda faaliyet gösterebilmeleri için dokümante
edilmiş bir BGYS’yi hayata geçirmeleri gerekmektedir.
•Bu kapsamda ISO 27001 standardı tüm dünyada kabul görmüş ve en iyi
uygulamaları bir araya getiren bir modeldir.
•Kurumsal güvenlik için öncelikle yazılı olarak kurallar belirlenmelidir.

52. TEŞEKKÜRLER
Emre ERKIRAN