EN

BGYS KURULUM ve YÖNETİMİ

20 Aralık 2017

Bilgi Güvenliği Yönetimi Sistemi(BGYS)

Bilgi Güvenliği Yönetimi Sistemi, işletmelerin kurum içi her türlü aktivitelerinin bilgi güvenliği kriterlerine uygun bir şekilde gerçekleştirilmesi; kuralları, süreçleri, kurumsal altyapıları, yazılımları ve donanımları kapsayan kontrollerin uygulanması gibi düzenlemeleri şart koşan bir standarttır. ISO/IEC 27002 standardı ilkelerine göre uygulanan BGYS, kamusal ve özel tüm sektörlerden işletmelere uygulanabilecek bir yapıdadır.

BGYS Gereksinimleri

Bir kurumun Bilgi Güvenliği Yönetimi sürecinin planlanması, uygulanması, sürdürülmesi ve iyileştirilmesi gibi aşamaların nasıl gerçekleştirileceği konusunda bir rehber özelliğine sahip olan BGYS standardı güvenliğin sağlanması için uyulması gereken prensipleri de açıklar.

Bu gerekliliklerin ayrıntıları:

- ISO/IEC 27001 standardı esas alınarak oluşturulması gereken bilgi güvenliği politikası
- Bilgi güvenliği yönetimi için rol ve sorumlulukların paylaşılması ve bunun yanı sıra SOME’ler gibi dışarıdan yardım alınacak ekiplerle iletişim halinde olunması
- Dizüstü bilgisayarlar ve akıllı telefonlar gibi mobil cihazlar ve aynı zamanda telekomünikasyon, uzaktan veya sanal erişim altyapıları için güvenlik politikaları ve kontrollerinin belirlenmesi
- Uygun iş açıklamaları yayınlanması ve istihdam öncesi tarama gibi önlemlerle işe alım süreçlerinde bilgi güvenliği politikalarının uygulanması
- Mevcut çalışanların kurumun bilgi güvenliği politikalarının bilincinde olması için farkındalığı arttırma çalışmalarının yapılması
- Ayrılacak olan veya kurum içi görevi değişecek olan personelin kullandığı ancak kuruma ait olan bilgi ve ekipmanın güvenli devralınması, erişim haklarının yeni şartlara göre güncellenmesi, gizlilik ve fikri haklar kanunun ve sözleşme şartlarının getirdiği yükümlülüklerin hatırlatılması gibi güvenlik önlemlerinin alınması
- Tüm bilgi varlığının envanterinin çıkarılması ve güvenliğinden sorumlu tutulmaları için sahiplerinin tanımlanması, ayrıca “kabul edilebilir kullanım” politikalarının belirlenmesi ve çalışanların ayrılması durumunda bilgi varlıklarının geri alınması
- Verilerin, sahipleri tarafından güvenlik politikalarına göre sınıflandırılması ve uygun bir şekilde işletilmesi
- Veri depolama ortamlarının; veri kaybına olanak vermeyecek şekilde yönetilmesi, kontrol edilmesi, taşınması ve elden çıkarılması
- Kurumun erişim kontrol politikaları ve prosedürleri dokümantasyonunda bilgi varlıklarına erişim kontrolüyle ilgili gerekliliklere yer verilmesi; ayrıca ağa erişim ve bağlantılar için kısıtlamalar getirilmesi
- Kullanıcı erişim izinleri için oluşturulacak politikaların kullanıcının ilk kaydından erişim izinlerinin kaldırılmasına kadar tüm süreci kontrol etmesinin sağlanması; bu kuralın parola yönetimi, imtiyazlı erişim yetkileri için kısıtlamalar ve erişim haklarının düzenli güncellemeleri gibi önlemleri de kapsaması.
- Kullanıcıların güçlü parola seçmeleri ve şifrelerini gizli tutmaları sağlanarak sorumluluklarının bilincinde olmalarının sağlanması
- Erişim kontrol politikalarının bir parçası olarak sistem ve uygulamalara erişimi kısıtlamak için güvenli oturum açma, parola yönetimi, imtiyazlı kullanıcıların yönettiği servislerin korunması ve program kaynak koduna kısıtlı erişim gibi düzenlemelerin uygulanması
- Şifreleme protokollerinin yanında dijital imza, mesaj doğrulama kodları ve kriptografik anahtar yönetimi gibi şifreli kimlik doğrulama ve bütünlük kontrolü uygulamalarının kullanılması
- Fiziksel güvenlik kontrollerinin belirlenmesi
- Bilişim teknolojileri sistemlerinde ve altyapısında gerçekleştirilen değişikliklerin kontrol altında tutulması, sorumluluklar ve süreçlerin dokümantasyonu. Geliştirme, test ve operasyonel sistemlerin birbirinden ayrılması
- Zararlı yazılımlardan korunma
- Yedekleme
- Loglama ve izlemenin etkili bir şekilde gerçekleştirilebilmesi için kullanıcılara, adminlere ve operatörlere ait aktiviteler, sıra dışı durumlar, hatalar ve bilgi güvenliği olaylarının loglama ile kaydedilmesi ve korunması; saatlerin senkronize edilmesi
- Operasyonel sistemler üzerinde uygulanacak yazılım kurulumu işlemlerinin kontrolü
- Zafiyetlerin yamalanması ve kullanıcılar tarafından gerçekleştirilecek kurulumları kontrol eden kuralların belirlenmesi
- Bilişim sistemlerinin denetimlerinin planlanması ve kontrolü
- Ağ ve ağ servislerinin güvenliğinin sağlanması
- Güvenli veri aktarımı için politikalar ve prosedürler belirlenmesi; üçüncü taraflara iletilip alınacak veriler için politika ve prosedür belirlemenin yanında sözleşme de yapılması
- Web uygulamalarını ve işlemlerini de kapsayan güvenlik kontrol mekanizmaları belirlemek
- Güvenli yazılım ve sistem geliştirme için politikalar belirlenmesi
- Test verilerinin dikkatli bir şekilde seçilmesi oluşturulması ve kontrol edilmesi.
- Dış servis sağlayıcılara aktarılacak ya da onlardan gelecek verilerin denetlenmesi
- Bilgi güvenliği olaylarını ve zafiyetlerini yönetmek ve dijital adli kanıtları toplamak için sorumluluklar ve prosedürlerin belirlenmesi
- İş sürekliliği yönetimi sistemlerinin bir parçası olarak bilgi güvenliği sürekliliğinin planlanması ve uygulanması
- Erişilebilirliğinin sürekli sağlanması gereken servis ve sistemlerin verimli çalışması için yedekli yapı uygulamak
- Kurumun, yasalara ve sözleşmelere uyumluluk çerçevesinde fikri mülkiyet, kayıtlar, gizlilik ve şifreleme gibi bilgi güvenliği uygulamaları ile ilgili yükümlülüklerini dış otoritelere ve üçüncü taraflara belgelendirmesi
- Kurumun bilgi güvenliği düzenlemelerinin bağımsız denetçiler tarafından incelenerek yönetime raporlanması

Penetrasyon Testi

Sızma testlerinde siber suçluların gerçek dünyada kullandığı yöntemler kullanılarak bir kurumun bilişim altyapısına sızılmaya ve ele geçirilmeye çalışılır.

Penetrasyon Testi Paketlerimiz
Penetrasyon Testi Paketlerimiz
Dışarıdan Penetrasyon Testi Pentest RemoteShell, BeyazNet Pentest Standart Pentest Exploit One, BeyazNet Pentest Pro Pentest Injection Plus, BeyazNet Pentest Pro Plus Pentest ZeroDay Enterprise
Farklılıklarımız
Farklılıklarımız
Alanında lider lisanslı test araçları (Acunetix, NetSparker, Nexpose, BurpSuite, Nessus vb.), DB Vulnerability Scanner ürünü ile veri tabanlarının içerden taranması, DNS Firewall ile DNS trafiği izlenerek zararlı yazılım bulaşmış makinaların tespiti
BeyazNet Pentest Hizmetimiz
BeyazNet Pentest Hizmetimiz
Firmamızın uzman ve sertifikalı ekibi detaylı incelemeler yaparak ağ, sistem ve yazılım katmanındaki zayıflıkları maksimum seviyede tespit etmektedir
Penetrasyon Testi
Göç'e Hazır mısınız?

Tüm alışkanlıklarımızdan, tüm bağımlılıklarımızdan, tüm sıkıntılarımızdan, daha güvenli özgür yazılımlara göç etmek için yanınızdayız.

Planlama neden çok önemli?
Planlama neden çok önemli?
Linux sistemler, Windows'tan çok farklı olduğu için ancak sağlıklı bir planlama ile göç mümkündür.
Güncelleme ve Şifre Sunucusu
Güncelleme ve Şifre Sunucusu
Göç için kurduğumuz sunucular sayesinde işletim sistemleri güncel ve güvenli kalıyor.
Linux Göç
Geçmişe dair kuşkularınız mı var?

TaliaStamp kullanarak, geçmişte edindiğiniz belgeleri damgalayabilir, böylece varlıklarını hukuki olarak garanti altına alabilirsiniz. Damgalayarak sunduğunuz belgenin inkar edilmesi halinde, bu belgenin en azından damgalandığı zamanda var olması sebebiyle belgenin geçmiş zamanda varlığını kanıtlayabilirsiniz.

TaliaStamp
TaliaBee ile cihazlarınıza hükmedin

Kullanıcı dostu bir arayüz ve diğer uygulamalarla iletişim kurabilme desteği sağlayan TaliaBee, sizin olmadığınız ortamlarda uzaktan kontrol edilebilir çıkışları sayesinde elleriniz, sensör bağlayabileceğiniz girişleri sayesinde duyularınız olur.

TaliaBee
İnternet Kontrol Altında

TaliaLog kullanarak, internet paylaşımına dair yasanın gerektirdiği kayıtları tutabilir ve internet erişiminizi istediğiniz kişilerle rahatça paylaşabilirsiniz. İnternetinizi paylaştığınız kişiler, erişim bilgileri ile kayıt altına alınır.

TaliaLog