Sunum yükleniyor. Lütfen bekleyiniz

Sunum yükleniyor. Lütfen bekleyiniz

BİLGİ SİSTEMLERİ DAİRESİ BAŞKANLIĞI. 16/12/2010 Kurumsal Kimlik 2 Kurumsal Hizmet Envanterinin Yönetimi ve EDYS Yaygınlaştırma 1- Kurumsal Hizmet Envanteri.

Benzer bir sunumlar


... konulu sunumlar: "BİLGİ SİSTEMLERİ DAİRESİ BAŞKANLIĞI. 16/12/2010 Kurumsal Kimlik 2 Kurumsal Hizmet Envanterinin Yönetimi ve EDYS Yaygınlaştırma 1- Kurumsal Hizmet Envanteri."— Sunum transkripti:

1 BİLGİ SİSTEMLERİ DAİRESİ BAŞKANLIĞI

2 16/12/2010 Kurumsal Kimlik 2 Kurumsal Hizmet Envanterinin Yönetimi ve EDYS Yaygınlaştırma 1- Kurumsal Hizmet Envanteri Yönetimi Sistemi’nin elektronik ortamda tesis edilmesi, OGM'nin bütünsel ve bütünleşik stratejik yönetim yaklaşımını geliştirmesi ve tüm iş ve işlemlerini stratejisi ile ilintili olarak gerçekleştirmesi için gerekli veri ve iş süreci modeli altyapısının oluşturulması, 2- Elektronik Doküman Yönetim Sistemi (EDYS)’nin teşkilat içinde kullanımına dönük yaygınlaştırma çalışmalarının gerçekleştirilmesi, 3- Bilgi güvenliği altyapısının tesis edilerek OGM çerçevesinde ISO standardına uygun bir Bilgi Güvenliği Yönetim Sisteminin (BGYS) oluşturulması hedeflenmektedir.

3 16/12/2010 Kurumsal Kimlik 3 Bu proje ile şunlar hedeflenmektedir: 1. Tüm iş ve işlemlerinin çağdaş iş süreci modelleme teknikleri ile modellenmesi, standartlarında izlenebilir ve değişikliklerin yönetilebilir olduğu bir altyapıda saklanması, 2. Bu iş ve işlemlerin her bir iş adımında erişilmesi gereken verilerin standart veri analiz yöntemleri kullanılarak detay seviyede modellenmesi, veri modellerinin ve meta veri modellerinin oluşturulması, 3. Veri modelleri için veri kalitesi kriterlerinin saptanması, 4. OGM'ye ait verilere erişimde bilinmesi gerektiği kadar prensibini takip eden bir veri erişim yetkilendirme modelinin iş adımlarına paralel biçimde oluşturulması,. Kurumsal Hizmet Envanterinin Yönetimi ve EDYS Yaygınlaştırma

4 16/12/2010 Kurumsal Kimlik 4 5. Üretilen veri kaynaklarının entegre edilmesi için merkezi veri yönetimi sistemi kurulması, 6. İhtiyaç duyulan konumsal-zamansal nesne-ilişkisel veritabanı sunucu kümesinin kurulması, 7. Bütünleşik kalite yönetim sisteminin Kurum Hizmet Envanteri çerçevesinde modellenerek kurulması, 8. Birimlerin süreç temelli iş sistemi yönetimi, veri modellemesi ve veri yönetimi, konularında eğitim alması, 9. Birimlerin ISO 9001 Kalite Yönetim Sistemi başta olmak üzere kalite konusunda eğitimler alması, 10. EDYS yazılımının tüm birimlerce kullanılmasını sağlamak, 11. Merkez ve taşra teşkilatındaki evrak servislerinin A4/A3 evrak tarayıcı ihtiyaçlarının karşılanmasını sağlamak, Kurumsal Hizmet Envanterinin Yönetimi ve EDYS Yaygınlaştırma

5 16/12/2010 Kurumsal Kimlik Kullanıcılara EDYS hakkında gerekli eğitimleri vermek. 13. Merkez ve taşra teşkilatı personelinin bilgi güvenliği kavramlarını doğru anlaması için gerekli farkındalık eğitimlerini almaları, 14. Üst düzey yöneticilerinin ve bilgi işlem personelinin bilgi güvenliği ve bilgi güvenliği yönetimi ile ilgili gerekli eğitimleri almaları, 15. ISO standardına uygun bir Bilgi Güvenliği Yönetim Sistemi’nin kurulması, bu çalışmalar kapsamında OGM'nin bilgi güvenliği ana politikasının ve bu politikanın ekleri olacak olan uygulama politikalarının oluşturulması, 16. Ağ ve sistem güvenliği için gereken altyapıların tesis edilmesi, Kurumsal Hizmet Envanterinin Yönetimi ve EDYS Yaygınlaştırma

6 16/12/2010 Kurumsal Kimlik OGM'nin kullanmakta olduğu uygulama yazılımlarına dönük güvenlik önlemlerinin sürekli iyileştirme çerçevesinde devreye alınması, yine bu kapsamda OGM'de ve OGM için geliştirilecek olan tüm uygulama yazılımları için güvenlik profilinin tespit edilmesi, 18. OGM'de kullanımda olan uç nokta bilgisayarlarının güvenliğinin yönetilmesi için gerekli yazılımların tedarik edilmesi, 19. OGM'nin tesis güvenliği ihtiyaçlarına dönük rapor hazırlanması, 20. OGM'nin altyapı olarak Linux altyapısına geçmesinin bilgi güvenliği yönünden etkisine dönük rapor hazırlanması. Kurumsal Hizmet Envanterinin Yönetimi ve EDYS Yaygınlaştırma

7 16/12/2010 Kurumsal Kimlik 7 Ormancılık sadece Türkiye’de değil, tüm dünyada önemli bir değişiklik geçirmektedir. Dünyanın artan hızdaki ekonomik gelişmelere tepki verme süresinin kısalması, çevrenin artan önemi, özellikle karbon salınımı ve tutunumu konusundaki gelişmeler, ormancılığın çok daha bilgi yoğun bir sektör olmasını zorunlu kılmaktadır. Öte yandan, ülkemizde belli ormancılık uygulamaları tek başına başarılı olsa mümkün olsa bile, bu başarının somut ve gözlenebilir sonuçlar getirmesi ayrı bir konudur. Bu çalışmaların, ülke ekonomisine ve özellikle ezici ekonomik koşullar ve %60’a varan işsizlik ile yüzleşen, kentlere göç etmek zorunda kalan orman köylüsüne faydalı olması için bütüncül bir bakış ile yürütülmesi gerektiği birçok çalışma içinde saptanmış ve ulusal politikalarda da ifade edilmiştir. Kurumsal Hizmet Envanterinin Yönetimi ve EDYS Yaygınlaştırma - Gerekçe

8 16/12/2010 Kurumsal Kimlik 8 OGM'nin bu yeni gelişmeler ışığındaki bilgi sistemi ihtiyacının ortaya konması ve bilgi sistemi geliştirme amaçlarını belirlemek için ORBİS Fizibilite Etüdü Projesi’nde yapılan kapsamlı çalışmalar gerçekleştirilmiştir. Bu çalışmalar iş süreçlerinin yeniden mühendisliği teknikleri ile birçok sosyal bilim araştırma tekniğinin kullanımı ile gerçekleştirilmiş ve önemli bulgular ortaya koymuştur. Proje çalışmaları ile OGM'nin çok fonksiyonlu yapısını kapsayan nitelikte bütünsel ve bütünleşik bir stratejik yönetime ihtiyaç duyduğu sonucuna varılmıştır. Bu ihtiyaç, OGM'nin yüksek bir hızla artan sayıda ve daha da yüksek bir hızla artan karmaşıklıktaki iş ve işlemlerini yönetebilmesi için bir zorunluluk halini almıştır. Kurumsal Hizmet Envanterinin Yönetimi ve EDYS Yaygınlaştırma

9 16/12/2010 Kurumsal Kimlik 9 Bununla birlikte, bütünsel ve bütünleşik stratejik yönetimin gerçekleştirilebilmesi için kurumun tüm iş ve işlemlerinin, sebep-sonuç ilişkisi içinde incelendiği, işler arasındaki ilişkilerin gözlendiği ve bu işlerin gerçekleşmesine dönük somut ve standardize edilmiş kayıtların incelenmesi ile yönetilen bir iş süreci yönetimi yaklaşımı ön koşuldur. Bu tür bir iş süreci yönetimi yaklaşımı, esas olarak 2000 yılı ve sonrasında kamu yönetimi ile ilgili olarak yürürlüğe koyulan tüm mevzuatların özünde bulunmaktadır. Kamu idarelerinin kendi çalışmalarını kayda alması, idarenin kendisine verilen görevleri ne etkinlikte ve hangi şekilde gerçekleştirildiğinin gözlenmesi için gerekmektedir. Kurumsal Hizmet Envanterinin Yönetimi ve EDYS Yaygınlaştırma

10 16/12/2010 Kurumsal Kimlik 10 Bu konu bir ölçme problemi olarak görülebilir. Örneğin, 2009/15169 karar sayı ve 31 Temmuz 2009 tarihli Resmi Gazete ile “Kamu Hizmetlerinin Sunumunda Uyulacak Usul ve Esaslara İlişkin” bir yönetmelik yayınlanmıştır. Söz konusu yönetmeliğin amacı; etkin, verimli, hesap verebilir, vatandaş beyanına güvenen ve şeffaf bir kamu yönetimi oluşturmak; kamu hizmetlerinin hızlı, kaliteli, basitleştirilmiş ve düşük maliyetli bir şekilde yerine getirilmesini sağlamak üzere, idarelerin uyması gereken usul ve esasları düzenlemektir. Kurumsal Hizmet Envanterinin Yönetimi ve EDYS Yaygınlaştırma

11 16/12/2010 Kurumsal Kimlik 11 Yönetmelik, hizmet standartları oluşturma konusunda da yönetmelik ekinde yer alan örneğe göre idarelerin hizmet standartlarını oluşturmasını ve oluşturulan hizmet standartları tablosunda; hizmetin adı, başvuruda istenen belgeler, hizmetin ne kadar sürede tamamlanacağı ve şikâyet mercilerine ilişkin bilgiler yer almasını istemiştir. Bu tablo ile hizmeti doğrudan sunan birimlerce vatandaşların kolayca görebileceği panolarda, kurumsal internet sayfalarında ve e-Devlet Kapısı'nda duyurulması istenmiştir. Kurumsal Hizmet Envanterinin Yönetimi ve EDYS Yaygınlaştırma

12 16/12/2010 Kurumsal Kimlik /15169 sayılı yönetmelikte öngörülen hususlara ilişkin gerekli her türlü idarî, teknik ve hukukî düzenlemeler için idarelere yönetmeliğin yayımı tarihinden itibaren altı ay içinde gerçekleştirmeleri yönünde bir zaman verilmiştir yılı içinde hemen tüm kamu kurumları hizmet standartlarını oluşturmuş ve tablolar halinde yayınlamıştır. OGM içinde de bu hizmet standartları oluşturulmuş, özellikle kuruma özel ve tüzel kişilerin başvurularına dair olan hizmet standartları kolay erişilir biçimde OGM resmi internet sitesi üzerinden “Vatandaşa Sunulan Hizmetlerde İstenilen Belgeler ve İş Bitirme Süreleri” dokümanını yayınlamıştır. Kurumsal Hizmet Envanterinin Yönetimi ve EDYS Yaygınlaştırma

13 16/12/2010 Kurumsal Kimlik 13 Bu yönetmelik, esas olarak iş süreçlerinin belgelenmesini ve iş sürecinin ne şekilde aktığı konusunda vatandaşların bilgilendirilmesini istemektedir. Ancak iş süreçlerinin zaman içinde değişmesi durumunda ne yapılacağı ve iş süreçlerindeki değişimin nasıl yönetileceği konusunda belirleyici değildir. Dolayısı ile bu yönetmelik örneğinde gösterildiği gibi, bir kamu idaresinin kendi iş süreçlerini bir kez analiz etmesi ve bu analizin dokümantasyonunu temel alarak bir dizi iş ve işlemi düzenlemesi kendi başına yeterli olmayabilir. OGM, yaptığı işlerin doğası gereği, büyük oranda yerinden yönetilen, çok sayıda coğrafi olarak dağınık iş birimine sahip bir kurumdur. İş ve işlemlerin doğru yapılması konusunda gösterilen titizlik ve özellikle sahada çalışan personelin kendisini işine adaması ile dikkat çekmektedir. Kurumsal Hizmet Envanterinin Yönetimi ve EDYS Yaygınlaştırma

14 16/12/2010 Kurumsal Kimlik 14 Yasal yükümlülüklerin ötesinde, iş süreci analizleri ve modelleri, idarelerin kendilerini tanımaları ve analiz ederek değerlendirmeleri için önemli bir temel sunmaktadır. Kamu kurumlarındaki iç ve dış denetim mekanizmaları, performans değerlendirme çalışmaları gibi diğer faaliyetler de esas olarak bu hizmet tablolarında yer alan işlemlerin doğru ve etkin biçimde yürütülmesine dayanır. Ayrıca kamu kurumlarındaki kalite yönetimi çalışmaları da bu tabloları yoğun biçimde kullanmak zorundadır. OGM'nin 2011 ve takip eden yıllarda geliştireceği çok sayıda iş uygulaması yazılımı için iş süreci analizlerinin, elektronik ortamda ve insanların kullanımına ek olarak yazılımların doğrudan kullanabileceği bir formatta bulunması gerekmektedir. Kurumsal Hizmet Envanterinin Yönetimi ve EDYS Yaygınlaştırma

15 16/12/2010 Kurumsal Kimlik 15 Kamu kurumlarının kullandığı terminoloji, özel sektörün terminolojisi ile oldukça farklı olabilmektedir. Ancak terimler (iş süreci, hizmet standardı, hizmet envanteri, vs) ne olursa olsun, esas olarak bir kurumun işleyişinin nasıl olması gerektiğinin kayda alınması son derece önemli bir gerekliktir. Kurumsal performansın, doğru ölçülmesi için kişi veya birimden bağımsız olarak iş süreci veya faaliyet türü bazında ölçülmesi gerekmektedir. Ancak iş süreci ve faaliyet türlerinin önceden bilinmesi gerekmektedir. Denetim işlerinin standardize edilebilmesi, denetim faaliyetlerinin karşılaştırılabilir kurallara bağlanması için, öncelikle normal faaliyetlerin de standardize olması gereklidir. Kurumsal Hizmet Envanterinin Yönetimi ve EDYS Yaygınlaştırma

16 16/12/2010 Kurumsal Kimlik 16 Kurumların iş akışlarını kendi içine gömen ve bu sayede iş yapış biçimleri için pratik standartlar oluşturan uygulama yazılımlarının aşırı pahalıya mal edilmesi ve geliştirme süreçlerinin aşırı uzaması, esasında kurumsal hizmetlerin standart kayıtlarının olmayışına da bağlıdır. İdari ve Mali İşler Dairesi Başkanlığı - İdari İşler Şube Müdürlüğü’nün istatistiklerine göre OGM'ye yılda 250 bin adet evrak girişi olmaktadır. Bu sayı, 2007 yılından sonra e-Posta iletişimi ile evrak aktarımının yaygınlaşması sonrasında azalmış bulunan bir sayıdır. Bunun dışında, OGM taşra teşkilatının kendi evrak giriş çıkışları ve birimler arası yazışmalar ile birlikte, OGM'deki yıllık yazışma ve belge sirkülasyonu adedi milyonlarla ölçülecek şekilde kestirilmektedir. Kurumsal Hizmet Envanterinin Yönetimi ve EDYS Yaygınlaştırma

17 16/12/2010 Kurumsal Kimlik 17 Yazışma sayısının dışında yazışma türü de çoktur. Değişik amaçlarla yapılan 700’den fazla yazışma türü tespit edilmiştir. Bir çok iş ve işlemin yıllara yayıldığı ormancılık faaliyetleri ve özellikle uzun dönemli olarak verilen izinler, yazışmalara uzun dönemli erişimi zorunlu tutmakta, arşivlerdeki çoğu materyal imha edilebilir nitelik kazanmadan önce on yıllarca kurum arşivinde beklemek durumunda kalmaktadır. Yasa, yönetmelikler ve tebliğler bir kurumun nasıl çalışması gerektiğine dair kısıtlamaları ve hatta bazen iş akışlarını sunmakla birlikte, çoğu zaman sözel metin içinde işin esas akışının kaybolması riskini taşımaktadır. Ancak mevzuatın incelenmesi ile ortaya çıkartılacak, uluslararası süreç modelleme standartlarına uygun bir biçimde modellenmiş iş süreçleri, bu riski taşımaz. Kurumsal Hizmet Envanterinin Yönetimi ve EDYS Yaygınlaştırma

18 16/12/2010 Kurumsal Kimlik 18 Mevzuatın ve mevzuat geliştirme sürecinin asla fiili durumlara anında tepki veremeyeceği sabit olduğundan, tüm kamu kurumlarında idari tasarruf veya projelendirmek sureti ile yapılan işler bulunmaktadır ve bulunacaktır. Ancak bu işlerin özelikle iş hacmi olarak artması durumunda mevzuat ihtiyacının tespit edilmesi gerekmektedir. Bu da yine iş süreçlerinin olduğu hali ile modellenmesi ve izlenmesini gerektirmektedir. Görüldüğü üzere, bazıları mevzuatlara uyum odaklı olan birçok neden ile kamu idarelerinin kendi iş süreçlerini modellemesi ve bu modelleri yönetmesi gerekmektedir, ancak bu gereksinim çok sayıda karmaşık iş ve işlemi, birbiri ile ilintili biçimde ve çok farklı planlama periyotları ile gerçekleştiren OGM için daha belirleyicidir. Kurumsal Hizmet Envanterinin Yönetimi ve EDYS Yaygınlaştırma

19 16/12/2010 Kurumsal Kimlik yılı içinde gerçekleştirilen ORBİS Fizibilite Etüdü Projesi kapsamında yapılan çalışmalarda Bilgi güvenliği konusunda aşağıdaki saptamalar yapılmıştır. 1. OGM'nin iş ve işlemlerinde gizli olarak sınıflandırılan harita ve harita bilgileri başta olmak üzere, vatandaşlara, kamu kurumlarına ve şirketlere ait bilgiler, hukuki değeri bulunan arşivler ve benzeri çok çeşitli bilgi ve belgenin oluşturulduğu, kayda geçirildiği ve yasal gerekler sonucu uzun dönemli olarak saklandığı gözlenmiştir, 2. Evrakın büyük oranda kağıt ortamında oluşturulup saklanması sonucunda, evrak arşivlerine olan erişimin kısıtlanması bilgi güvenliğinin erişim denetimi bileşeninin sağlanması açısından genel anlamda yararlı olmakla birlikte, sistematik biçimde bir bilgi güvenliği sistemi bulunmadığı gözlenmiştir, Kurumsal Hizmet Envanterinin Yönetimi ve EDYS Yaygınlaştırma

20 16/12/2010 Kurumsal Kimlik Bilgi güvenliğinin elektronik ortamda sağlanması konusunda temel önlemler alınmakta ancak kapsamlı bir çalışma yürütülmemektedir. 4. Bilgi güvenliği konusunda merkez ve taşra teşkilatının uygulama becerisi ve algısı arasında önemli asimetriler bulunmaktadır. Taşra teşkilatının yapısal kablolamanın eksik olmasından da yola çıkarak kablosuz yerel ağları aşırı kullanımındaki eksikler ve yanlışlar bu konuda bir örnektir. Kurumsal Hizmet Envanterinin Yönetimi ve EDYS Yaygınlaştırma

21 16/12/2010 Kurumsal Kimlik OGM'nin iş ve işlemlerini elektronik ortama taşımasını takiben bilgilere yetki ve görev tanımı bazlı erişimin sağlanması, yasal yükümlülüklere dönük işlem kayıtlarının oluşturulması, verilerin çalınması, tahrif edilmesi veya erişilemez kılınmasını hedefleyen saldırılara karşı etkin güvenlik önlemlerinin alınması için gerekli olan güvenlik teknolojisi mevcut durumda yeterince kullanımda değildir. 6. OGM'nin bir bilgi güvenliği yönetim sistemi bulunmamaktadır. Bu saptamalarla ilgili detaylar ekte bulunan Mevcut Durum Analizi ve Teknik Sistem Analizi raporlarında detaylı biçimde açıklanmaktadır. Kurumsal Hizmet Envanterinin Yönetimi ve EDYS Yaygınlaştırma

22 16/12/2010 Kurumsal Kimlik 22 Bu Kurumsal Hizmet Envanterinin Yönetimi ve EDYS Yaygınlaştırma

23 16/12/2010 Kurumsal Kimlik 23 BİLGİ SİSTEMLERİ DAİRESİ BAŞKANLIĞI Günümüzde hemen her türlü sistemin BT teknolojileri üzerinden yönetilmesi sonucunda bu sistemler bir yandan hayatımızı kolaylaştırmakta ancak kontrollerini sağladıkları sistemlerin kesintiye uğramasının ya da hatalı çalışmasının çok büyük etki yaratacak bir gücünün olması sebebiyle de kaçınılmaz olarak birer hedef durumuna gelmektedirler.

24 16/12/2010 Kurumsal Kimlik 24 BİLGİ SİSTEMLERİ DAİRESİ BAŞKANLIĞI BT sistemlerine yapılan saldırıların yoğunluk, saldırı tipleri, amaçları ve nedenleriyle çok fazla çeşitlik kazandığı günümüzde, organize bir şekilde düzenlenen ve adına "Siber Savaşlar" denilen uluslararası çapta büyük saldırılar dönemi yaşanmaktadır. Ülkelerin ticari, ekonomik, sivil ve askeri sistemlerinin kontrolleri büyük ölçüde dijital ortam üzerinde olması nedeniyle bu siber saldırılara karşı güvenlik önlemleri geliştirme ihtiyacı her geçen gün artmaktadır. Siber Saldırıların sebepleri incelendiğinde; bir devlete, kuruma, ya da çeşitli güç merkezlerine tepki göstermek, bilgi casusluğu yaparak çıkar sağlamak, güç gösterisi yaparak sesini duyurmak, hedef bir kitlenin çalışmalarını engellemek gibi sebeplerle yapılmakta olduğu gözlenmektedir.

25 16/12/2010 Kurumsal Kimlik 25 BİLGİ SİSTEMLERİ DAİRESİ BAŞKANLIĞI Söz konusu siber saldırılara karşı alınması gereken önlemler ve çözümler "Siber Güvenlik" kavramı olarak karşımıza çıkmaktadır. Siber Saldırılara karşı ne tür güvenlik önlemlerinin alınabileceğini incelediğimizde ise konunun çok yönlü yapısı sebebiyle bilgi güvenliği ve ağ güvenliği kavramlarının bir arada ele alınması gerektiği ortaya çıkmaktadır.

26 16/12/2010 Kurumsal Kimlik 26 BİLGİ SİSTEMLERİ DAİRESİ BAŞKANLIĞI 2009 yılında Microsoft firması tarafından yapılan bir araştırmaya göre saldırıların yaklaşık %40'lık bir oranının yerel ağ'dan gelen saldırılar olduğu sonucu ortaya çıkmıştır.

27 16/12/2010 Kurumsal Kimlik 27 BİLGİ SİSTEMLERİ DAİRESİ BAŞKANLIĞI Bilgi; değerli olan uygun şekilde korunması gereken bir varlıktır. BİLGİ GÜVENLİĞİ Günümüzde bilgiye sürekli erişimi sağlamak ve bu bilginin son kullanıcıya kadar bozulmadan, değişikliğe uğramadan ve başkaları tarafından ele geçirilmeden güvenli bir şekilde sunulması zorunluluk haline gelmiştir.

28 16/12/2010 Kurumsal Kimlik 28 BİLGİ SİSTEMLERİ DAİRESİ BAŞKANLIĞI Bilgi güvenliği (BG) En genel tanımıyla bilginin, üretim ve hizmet sürekliliğini sağlamak, parasal kayıpları en aza indirmek üzere tehlike ve tehdit alanlarından korunmasıdır. Bilgi Güvenliği Yönetimi, bir kuruluşun fiziksel ve elektronik bilgi varlıklarının gizlilik, bütünlük ve erişilebilirliğini korumak için en üstten en alta kadar uygulayacağı iş odaklı yönetim yaklaşımıdır. Bilgi Güvenliği Yönetimi, kuruluşun stratejik hedefleri doğrultusunda rekabet avantajı, nakit akışı, karlılık, kurumu bağlayıcı yasal düzenlemeler ya da sözleşmeler ve kurumsal imaj ile uyumlu olmalıdır.

29 16/12/2010 Kurumsal Kimlik 29 BİLGİ SİSTEMLERİ DAİRESİ BAŞKANLIĞI Bilgi Güvenliğinin Temel Amacı; Gizlilik; Bilgiye, sadece erişim hakkı olan kişilerin erişmesidir. Bilgi, yetkili olmayan kişiler, varlıklar ve süreçler tarafından erişilemez ve ifşa edilemez. Bütünlük; Bilginin, doğruluğunun ve tamlığının ve kendine has özgürlüğünün korunmasıdır. Erişilebilirlik; Bilgiye erişim hakkı olan kişilerin, her ihtiyaç duyduklarında erişebilmesidir.

30 16/12/2010 Kurumsal Kimlik 30 BİLGİ SİSTEMLERİ DAİRESİ BAŞKANLIĞI Bilgi Güvenliği Yönetim Sistemi (BGYS) Nedir? Olası risklerin ve tehditlerin belirlenerek, güvenlik politikalarının oluşturulması, denetimlerin ve uygulamaların kontrolü için uygun yöntemlerin geliştirilmesi, örgütsel yapılar kurulması ve yazılım/donanım fonksiyonlarının sağlanması gibi bir dizi denetim eyleminin birbirini tamamlayacak şekilde gerçekleştirilmesidir. Kurumlarda Bilgi Güvenliği Neden önemlidir? 1. İşin sürdürülebilirliği 2. İşin büyümesi ve gelirin artması 3. Kurumsal itibarın muhafaza edilmesi ve geliştirilmesi 4. Yasal uyumluluk 5. Müşterilere, Paydaşlara, Çalışanlara, İş Ortaklarına, Devlete güven vermek

31 16/12/2010 Kurumsal Kimlik 31 BİLGİ SİSTEMLERİ DAİRESİ BAŞKANLIĞI Bilgi Güvenliği Sağlama Araçları; Fiziksel Güvenlik: Fiziksel önlemlerle (güvenli ortam vb) güvenliğinin sağlanması. Kullanıcı Doğrulaması Yöntemleri: Akıllı kart, tek kullanımlı parola, token ve Public Key Certificate gibi araçlar ve RADIUS gibi merkezi kullanıcı doğrulama sunucularının kullanılması. Şifreleme: Güvensiz ağlar üzerinden geçen verilerin güvenliği için Virtual Private Network veya şifreleme yapan donanımların kullanılması. Ayrıca web tabanlı güvenli veri transferi için SSL ve Public Key (ortak anahtarlama) şifrelemenin kullanılması. Donanım tabanlı şifreleme çözümleri de mümkündür.

32 16/12/2010 Kurumsal Kimlik 32 BİLGİ SİSTEMLERİ DAİRESİ BAŞKANLIĞI ISO Nedir? Bilgi Güvenliği Yönetim Standardıdır. Aşağıdaki İş Süreçlerini Kapsamaktadır. 1. Bilgi Güvenliği Politikası 2. Bilgi Güvenliği Organizasyonu 3. Varlık Yönetimi 4. Risk Yönetimi 5. İnsan Kaynakları Güvenliği 6. Fiziksel Ve Çevresel Güvenlik 7. Haberleşme Ve İşletim Yönetimi 8. Erişim Kontrolü 9. Bilgi Sistemleri Edinim, Geliştirme Ve Bakımı 10. Bilgi Sistemleri İhlal Olay Yönetimi 11. Uyumluluk 12. İş Sürekliliği Yönetimini, Kapsamaktadır.

33 16/12/2010 Kurumsal Kimlik 33 BİLGİ SİSTEMLERİ DAİRESİ BAŞKANLIĞI 5651 Sayılı Kanun; İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanundur. Bu Kanunla; içerik sağlayıcı, yer sağlayıcı, erişim sağlayıcı ve toplu kullanım sağlayıcıların yükümlülük ve sorumlulukları ile internet ortamında işlenen belirli suçlarla içerik, yer ve erişim sağlayıcıları üzerinden mücadeleye ilişkin esas ve usuller düzenlenmektedir.

34 16/12/2010 Kurumsal Kimlik 34 BİLGİ SİSTEMLERİ DAİRESİ BAŞKANLIĞI Şifre Güvenliği Şifrenizi doğru seçin: İşte hacker'ların 10 dakikada kırdığı, yılda bile kıramadığı şifreler... İnternette kullandığımız şifrelerin önemi, e-posta hesaplarının internete taşınmasıyla ve sosyal ağlar gibi kişisel bilgilerimizi paylaştığımız sitelerin ünlenmesiyle eskisinden çok daha önemli bir hal aldı. Birçok kez duymuş olacağınız gibi kullandığımız hizmetler için farklı ve güçlü şifreler kullanmak büyük önem taşıyor. Ancak yine de kırılması çok basit şifrelerin kullanımı oldukça yaygın. Bu da bir hacker'ın şifreyi çok kısa bir süre içinde kırabilmesi demek. İşte bir hacker'ın belli uzunluklardaki şifreleri kırmak için ihtiyaç duyduğu süreler: Şifre sıfırlama ile ilgili yapılan bir aramanın şirketlere ortalama maliyeti: 10 dolar Şifrelerle ilgili aramaların oranı: yüzde 30 Şifre olarak bilinen bir kelime veya basit bir birleşim seçen kullanıcı oranı: Yüzde 50 Kaynak: Gartner, Duo Security, Forrester, LastBit Software, Imperva

35 16/12/2010 Kurumsal Kimlik 35 BİLGİ SİSTEMLERİ DAİRESİ BAŞKANLIĞI UzunlukŞifre karekterleriKırılma süresi 6 karakterKüçük harf10 dakika Küçük harf ve büyük harf10 saat Küçük ve büyük harf, rakamlar, semboller18 gün 7 karakterKüçük harf4 saat Küçük harf ve büyük harf23 gün Küçük ve büyük harf, rakamlar, semboller4 yıl 8 karakterKüçük harf4 gün Küçük harf ve büyük harf3 yıl Küçük ve büyük harf, rakamlar, semboller463 9 karakterKüçük harf4 ay Küçük harf ve büyük harf178 yıl Küçük ve büyük harf, rakamlar, semboller44530 yıl

36 16/12/2010 Kurumsal Kimlik 36 BİLGİ SİSTEMLERİ DAİRESİ BAŞKANLIĞI En gelişmiş güvenlik sistemleri - Sayısal imzalar - Kriptografik önlemler - Biometrik güvenlik - Güvenlik duvarları - Saldırı engelleme sistemleri - Erişim kontrol sistemleri - İnternet erişimine kapalı ağ !!! En zayıf halka: İnsan - USB bellekler !!!

37 16/12/2010 Kurumsal Kimlik 37 BİLGİ SİSTEMLERİ DAİRESİ BAŞKANLIĞI Yazılım Güvenliği İşletim Sistemi Güvenliği Sosyal Ağ Güvenliği Mobil Cihaz Güvenliği Veri Tabanı Güvenliği Web Teknolojileri Güvenliği Web Uygulama Güvenliği Protokol Güvenliği Sunucu Güvenliği IPv6 Güvenliği Algoritmik Güvenlik Siber Güvenlik Kritik Altyapı Güvenliği

38 16/12/2010 Kurumsal Kimlik 38 BİLGİ SİSTEMLERİ DAİRESİ BAŞKANLIĞI Savaşlar internete kaydı.. Ayyıldız TİM, Cyber Warrior, RedHack, Coldhacker Anonymous LulzSec (ABD Senatosu), Estonya Gürcistan Wikileaks İyilerin ve Kötülerin amansız savaşı Saldıran Taraf ' Savunan Taraf

39 16/12/2010 Kurumsal Kimlik 39 BİLGİ SİSTEMLERİ DAİRESİ BAŞKANLIĞI Saldıran Taraf Saldırılar artmakta saldırı bilgi seviyesi hızla azalmakta Kötücül kodlar gelişerek ve değişerek hızla yayılmakta Organize olarak sanal suç örgütlerini kurma İyilerden hep bir adım önde Savunan Taraf Güvenliğiniz en zayıf halkanız kadardır. %99,9 Korunma + %0,1 Korunmasızlık = %100 güvensizlik Bilgisizlik, ilgisizlik, hafife alma Korunma maliyetleri (Yatırım, Eğitim) Kişilere güven duygusu E-dünyanın doğasında olan güvensizlik

40 16/12/2010 Kurumsal Kimlik 40 BİLGİ SİSTEMLERİ DAİRESİ BAŞKANLIĞI SALDIRILAR Saldırılar artık kapsamlı, Çoklu saldırılar popüler Senaryoları yazılmış ve denenmiş, Karma yapıları içeriyor Bilinmeyenler/düşünülmeyenler, Sürekli yenilikler içeriyor Takip gerektiriyor, Yüksek bilgi birikimi gerektiriyor.. Bunun sonucu olarak 1. Casus yazılım sayısı artıyor. 2. Farklılaşıyorlar. 3. Kendilerini saklayabiliyorlar, görünmez olabiliyorlar. 4. Silseniz bile tekrar kopyalayabiliyorlar 5. Belirli bir süre var olup sonra kendilerini yok edebiliyorlar.

41 16/12/2010 Kurumsal Kimlik 41 BİLGİ SİSTEMLERİ DAİRESİ BAŞKANLIĞI SALDIRILAR

42 16/12/2010 Kurumsal Kimlik 42 BİLGİ SİSTEMLERİ DAİRESİ BAŞKANLIĞI WIKILEAKS Dünyanın güvenlik açısından çok iyi dersler çıkaracağı en iyi örnek ABD'nin sanal savaş denemesi Kendisini/diğer ülkeleri nasıl etkileyecek Geliştirilen teknolojileri test etme Facebook ve Google gibi teknolojilerini ne kadar iyi kullanabiliyor testi İnternet ne kadar kontrol edebilir / edilemez..

43 16/12/2010 Kurumsal Kimlik 43 BİLGİ SİSTEMLERİ DAİRESİ BAŞKANLIĞI GOOGLE Mükemmel bir arama motoru En çok tercih edilen arama motoru Mükemmel hizmetler veriyor Academics, books, translation, blogs, gmail, documents, mobil, talk, maps, IPv6, Google+, Değeri 200 Milyar Dolar FAKAT...

44 16/12/2010 Kurumsal Kimlik 44 BİLGİ SİSTEMLERİ DAİRESİ BAŞKANLIĞI GOOGLE Dünyanın en iyi casus yazılım sistemi Dünyanın bilgisini topluyor.. Ülkesine hizmet eden en iyi yazılımlardan birisi.. Bizi bizden (ülkeleri, ülkelerden) daha iyi analiz edebiliyor.. Kelime/Cümle/Resim/Ses araması yapabiliyor.. İstihbarat için vazgeçilmez bir ortam.. Tabii ki bu sistemi iyi kullananlar için.. encrypted.google.com hizmete giriyor.. Güvenlik açığı oluşturabilecek hususları kapatıyor..

45 16/12/2010 Kurumsal Kimlik 45 BİLGİ SİSTEMLERİ DAİRESİ BAŞKANLIĞI SOSYAL AĞLAR Kimlikleri Taklit Etme istenmeyen Epostalar (Spam) ve Bot Saldırıları Kötü Amaçlı Sosyal Ağ Uygulamaları Siteler Arası Kod Çalıştırma (XSS) ve Siteler Arası istek Sahteciliği (CSRF) Saldırıları Kimlik Hırsızlığı Casusluk Sahte Linkler/Bağlantılar Bilgi Toplama Saldırıları

46 16/12/2010 Kurumsal Kimlik 46 Google Earth uygulaması Hindistan'ın hassas noktaların sergilenmesi - Hindistan'daki hassas noktaları sergileyen uygulamanın, ülke güvenliğini tehdit ettiği ifade edildi. Güney Kore'nin itirazı - Hükümet, başkanlık sarayı ve kritik askeri tesisler gibi yerlerin görüntülerinin rahatsızlık verdiğini belirtti. İsrail'in rahatsızlığı - İsrail'in savunma güçlerini, gizli hava üslerini, Arrow hava savunma sistemlerini, Tel Aviv'deki Savunma Bakanlığına ait yerleşkeleri, Aşkelon'daki enerji tesislerini, Negev çölündeki nükleer tesisleri gösteren yüksek çözünürlüklü görüntüleri yayınlamaya başladı. Avustralya'daki nükleer tesisler - Sydney yakınlarında bulunan Lucas Heights nükleer reaktörünün işletmecileri, Google yetkililerinden tesise ait görüntülerin çözünürlülüğünün düşürülmesini talep ettiler Gazze'den yapılan roket saldırıları - Gazze'den gerçekleştirdikleri roket saldırılarında Google Earth görüntülerinden faydalandıkları raporlandı. İngiltere'deki kilise hırsızlıkları - İngiltere'de hırsızların Church of England kilisenin kurşun tavanını Googgle Earth ile tespit edip çaldıkları ve sattıkları ortaya çıktı. İlkay ÜNAL-STM

47 16/12/2010 Kurumsal Kimlik 47 BİLGİ SİSTEMLERİ DAİRESİ BAŞKANLIĞI

48 16/12/2010 Kurumsal Kimlik 48 BİLGİ SİSTEMLERİ DAİRESİ BAŞKANLIĞI

49 16/12/2010 Kurumsal Kimlik 49 BİLGİ SİSTEMLERİ DAİRESİ BAŞKANLIĞI Karşı Önlemler (Kullanıcı Bilinci) İlk üçte yer alan kritik karşı önlemler: 1. Kullanıcı bilinci 2. Kullanıcı bilinci 3. Kullanıcı bilinci (Kullanıcı = bilgisayar operatörü, sistem yöneticisi, kurum yöneticisi = herkes) Eğitim (Ne?) Kurs (Nasıl?) Bilinçlendirme (Niçin?) Bilge KARABACAK TUBİTAK-BİLGEM

50

51 16/12/2010 Kurumsal Kimlik 51 BİLGİ SİSTEMLERİ DAİRESİ BAŞKANLIĞI

52

53

54

55

56

57

58

59

60

61

62

63

64 R ISKLER Müşterinin Etkilenmesi Çalışanların Etkilenmesi Tedarikçinin Etkilenmesi Yasal Yaptırım

65 16/12/2010 Kurumsal Kimlik 65 BİLGİ SİSTEMLERİ DAİRESİ BAŞKANLIĞI "Bilgi Güçtür!" yerine "Bilgi Güvenliği Sağlandığı Ölçüde Güçtür!"


"BİLGİ SİSTEMLERİ DAİRESİ BAŞKANLIĞI. 16/12/2010 Kurumsal Kimlik 2 Kurumsal Hizmet Envanterinin Yönetimi ve EDYS Yaygınlaştırma 1- Kurumsal Hizmet Envanteri." indir ppt

Benzer bir sunumlar


Google Reklamları