EN
EN

ISO/IEC 27001 Nedir?


ISO/IEC 27001 standardizasyonu; kurumların bilgi varlıklarının risk düzeyini tanımlamak, analiz etmek ve ele almak gibi adımlardan oluşan bir bilgi güvenliği yönetim sistemi olarak tanımlanmaktadır. Bu standart; kurumların güvenlik düzenlemelerinin tehditler, zafiyetler ve iş etkileri gibi hassas güvenlik konularında yaşanan değişimlere ayak uydurabilecek şekilde ayarlandığının kontrol edilmesini sağlar. Son sürümü 2013’te yayınlanan ISO/IEC 27001 standardı her boyuttaki ve her sektördeki kurumda uygulanabilen bir standarttır.

 

Uyumluluk sürecinde kurumların göz önünde bulundurması gereken konular

Kurumun Bağlamı: Kurumsal bağlamı, ilgili tarafların ihtiyaç ve beklentilerini saptamak ve Bilgi Güvenliği Yönetimi Sisteminin(BGYS) kapsamını belirlemek. Standart; uyumlu bir BGYS’nin oluşturulmasını, uygulanmasını, idame ettirilmesini ve sürekli olarak iyileştirilmesini şart koşmaktadır.

Yönetim: Üst düzey yönetici kadrosu belirlenen politikaların uygulanmasını zorunlu kılmak, bilgi güvenliği sorumluluk ve yetkilerini tahsis etmek gibi işlemleri sıkı tutarak BGYS’nin etkili yönetimini gerçekleştirmelidir.

Planlama: Bilgi güvenliği risklerinin etkili yönetimi için gerekli işlemlerin belirlenmesi, analizlerin yapılması ve süreçlerin planlanması; aynı zamanda BGYS’nin hedeflerinin açıklığa kavuşturulması

Destek: Yeterli kaynakların ayrılması, farkındalığın arttırılması, belgelendirme işleminin ve kontrollerinin yapılması

Operasyon: Risklerin belirlenip ele alınması, değişikliklerin yönetimi ve dokümantasyon gibi önemli işlemlerin daha ayrıntılı uygulanması

Performans değerlendirmesi: Bilgi güvenliği kontrollerinin, süreçlerinin ve yönetiminin izlenmesi, ölçülmesi, analiz edilmesi ve değerlendirme-denetleme-analiz adımlarının uygulanması, böylece gerektiği durumlarda sistematik iyileştirmenin yapılması

İyileştirme: Denetleme ve gözden geçirme işlemlerinin bulgu ve sonuçlarını analiz ederek BGYS için sürekli bir düzeltme ve geliştirme süreci sağlamak

 

Sertifikasyon için kurumların sunması gereken belgeler:

  • BGYS kapsamı
  • Bilgi güvenliği politikası
  • Risk değerlendirme süreci
  • Risk yönetimi süreci
  • Bilgi güvenliği hedefleri
  • Operasyonel planlama ve kontrol belgeleri
  • Risk değerlendirme sürecinin sonuçları
  • Risk yönetimi ile ilgili kararlar
  • Bilgi güvenliğinin izlenmesi ve ölçümlerinin yapılmasına dair sunulan belgeler
  • BGYS iç denetim programı ve yapılan denetimlerin sonuçları
  • Üst düzey yöneticilerin BGYS’yi revizyonu
  • Belirlenen uyumsuzluklar ve bunlar karşısında alınan aksiyonların belgelenmesi

 

Avantajları:

- Risklerin sistematik bir şekilde tanımlanıp yönetilmesi
- Bilgi güvenliği uygulamalarının bağımsız bir şekilde gözden geçirilmesi
- Güvenli bilginin olanaklı kılınması için bütüncül ve risk tabanlı bir yaklaşım sunması
- Paydaşların güvenini kazanmayı sağlaması
- Uluslararası düzeyde kabul edilmiş kriterlere göre güvenlik seviyesinin tespiti
- Sertifikalandırmanın bir defa gerçekleştirilip küresel düzeyde kabul görmesi

FortiDB ile Veritabanı Analizleri

FortiDB ürünü kurumun ağına kurulur ve network üzerindeki veri tabanlarının tamamını tarayıp veri tabanı zafiyetleri, yetkilendirme hataları, konfigürasyon problemleri gibi analizleri yaparak bir rapor üretir.

OneArm IDS ile Network Trafiği Analizi

Kurumun ağına sniffer modda kurulan bu cihaz ağ üzerinden geçen bütün paketleri toplar. Yaklaşık 1 hafta gibi zaman aralığında gerçekleşen bu işlem sonucunda ağ trafiği izlenerek toplanan verilerin analizi sürecine başlanır. Analizler network içerisinde “Zombi bilgisayar var mı? Hacklenmiş sunucular hangileri?” gibi denetlemeleri gerçekleştirmemizi sağlar.

SIEM ile Adli Analiz

Kurum ağına kurulan SIEM cihazı gerekli aktif cihazlardan gelen logları toplayarak log bazında saldırı tahmini yapılmasını sağlar. Kurumda yaklaşık 1 hafta bırakılan bu cihaz gerekli korelasyon kurallarını oluşturduktan sonra bize bu  kurallar doğrultusunda bir alarm üretir.

BeyazNet ISO/IEC sertifikasyon sürecinin tüm aşamalarında kurumlara danışmanlık ve çözüm hizmetleri vermektedir.