Sunum yükleniyor. Lütfen bekleyiniz

Sunum yükleniyor. Lütfen bekleyiniz

Bilgi Bilgi, bir kurumun en önemli değerlerinden birisidir ve sürekli korunması gerekir. 2.

Benzer bir sunumlar


... konulu sunumlar: "Bilgi Bilgi, bir kurumun en önemli değerlerinden birisidir ve sürekli korunması gerekir. 2."— Sunum transkripti:

1

2 Bilgi Bilgi, bir kurumun en önemli değerlerinden birisidir ve sürekli korunması gerekir. 2

3 Kurumun İsmi, güvenilirliği Kuruma ait gizli bilgiler İşin devamlılığını sağlayan bilgi ve süreçler Üçüncü şahıslar tarafından emanet edilen bilgiler Kuruma ait adli, ticari, teknolojik bilgiler 3

4 Bilinçsiz ve bilgisiz kullanım Kötü niyetli hareketler 4

5 Hizmet aksatma saldırıları Ticari Bilgi ve Teknoloji hırsızlıkları Web sayfası içeriği değiştirme saldırıları Kurum üzerinden farklı bir hedefe saldırmak Virüs, worm, trojan saldırıları İzinsiz kaynak kullanımı 5

6 Bilgi sistemi ve yetkili kullanıcıyı yetkisiz erişimlere, bilginin değiştirilmesine ve saldırılara karşı korumak. Koruma sırasında gerekli olan kontrollar ve ölçümlerin tespiti, doküman hale getirilmesi ve karşı tedbirlerin alınmasını sağlamak. 6

7 7

8 8

9 9

10 Bilgi Güvenliği Politikası Personel ve Eğitim Politikası İş Sürekliliği Politikası Kayıt Tutma Politikası Yedekleme Politikası Ağ Hizmetleri Politikası E-Posta Politikası Erişim Denetim Politikası Yazılım Hizmetleri Politikası Bilgi ve Yazılım Değişimi Politikası Teknik Destek Politikası Temiz Masa Temiz Ekran Politikası Web Barındırma Hizmeti Politikası Portal Politikası 10

11 Dış Taraflar Taahhütnamesi Güvenlik Forumu Şeması İş süreklilik Planı Personel Gizlilik Taahhütnamesi Risk Analizi Şifre Gizlilik Antlaşması Uygulanabilirlik Bildirgesi Varlık Envanteri 11

12 12 Bilgi ve Sistem Güvenliği Şubesine personel değişikliği bildirilmelidir.

13 Personel ve üçüncü taraf kullanıcılardan, bilgi işleme araçlarına erişim verilmeden önce bir güvenlik taahhütnamesi imzalamaları istenmelidirler. Dış Taraflar Taahhütnamesi Personel Gizlilik Taahhütnamesi 13 Bilgi ve Sistem Güvenliği Şubesine imzalatılan taahhütnameler iletilmelidir.

14 Risk Yönetimi Prosedürü Risk Değerlendirme Prosedürü Toplantı Yönetim Prosedürü Eğitim Prosedürü İç Tetkik Prosedürü Düzeltici Faaliyet Prosedürü Bilgi Sınıflandırma Prosedürü 14

15 Parola Yönetim Prosedürü Göreve Başlama ve Görevden Ayrılma Prosedürü Kayıt Tutma Prosedürü Kayıt İmha Prosedürü Kayıtların Saklanması ve Erişimi Prosedürü İş Etki Analizi Prosedürü 15

16 İş Sürekliliği Planlama Prosedürü İş Sürekliliği Risk Tespit Prosedürü Güvenlik Rolleri Prosedürü Fiziksel Güvenlik Prosedürü Olay Raporlama Prosedürü Personel Rol ve Sorumlulukları Prosedürü Disiplin Prosedürü 16

17 Daire çalışanları politika ve prosedürlere uygun davranırlar ve olay raporlama sistemini kullanarak sapmaları ve olayları kendi yöneticilerine bildirme görevleri vardır. Karar alma sürecinde önemli olabilecek tüm bilgileri güvenlik forumuna sunmak tüm daire çalışanlarının görevidir. RİSK YÖNETİM PROSEDÜRÜ 17

18 Her işlem sahibi, sorumlu olduğu işlemlerin bir anketini yapar ve bilgi güvenliği yönetimiyle ilgili olan bilgi varlıkları ve diğer varlıkları tespit eder. İşlemler tespit edilir. Varlıklar tespit edilir. Varlıklara değer atanır. Zayıf noktaları tespit edilir. Tehdidin olma ihtimali belirlenir. Tehdidin mutlak etkisi belirlenir. Risk hesaplanır. Güvenlik Forumuna rapor verilir. Yönetim forumu bu rapordan BHD ve kullanıcılar için en değerli olduğu düşünülen, bundan dolayı en yoğun dikkati ve kontrol hedefleri, kontroller ve karşı önlemlerden en yüksek güvence derecesini gerektiren varlıkları açıkça tanımlayabilir. 18

19 1.Bilgi Güvenliği Toplantısı: Toplantı konuları; yeni güvenlik açıkları, kurumsal veya teknik altyapı değişiklikleri ile ilgili kontroller değerlendirilir. Toplanan dokümanlar ve bilgiler gözden geçirilir. 2. Yönetimin Gözden Geçirmesi Toplantısı Toplantı gündemi oluşturan muhtemel konular aşağıdaki gibidir: Bir önceki toplantı kararların değerlendirilmesi, BGYS Politika ve Hedefleri, Gerçekleştirilen eğitimler ve sonuçları, İç Tetkik raporları, Düzeltici ve Önleyici Faaliyet analiz sonuçları, Yönetim Sisteminde yapılması gereken değişiklikler, Kaynak ihtiyaçları, Diğer ek gündem maddeleri. Yapılan toplantılar kayıt altına alınmalıdır. 19

20 1.Eğitim İhtiyacının belirlenmesi: Yeni başlayan personele güvenlik eğitimleri Bilgi Güvenliği Yöneticisi koordinatörlüğünde yılın belli zamanlarında verilir. Ayrıca personelin bilgi güvenliğine ilişkin tehditlerden ve kaygılardan haberdar olmalarını ve normal çalışmaları sırasında kurumsal güvenlik politikasını desteklemek üzere eğitimleri planlanır. 2. Eğitim Planlaması 3. İşbaşı Eğitimleri 4. Eğitim Etkinliğinin Değerlendirilmesi 5. Eğitim Kayıtlarının Tutulması (muhafazası) Gerçekleşen eğitimler Eğitim Katılım Formu ile kayıt altına alınarak Şube Klasörlerinde muhafaza edilir. Kurum içi ve dışı eğitimlerde eğitim katılım formu doldurularak Bilgi ve Sistem Güvenliği Şubesine iletilmelidir. 20

21 İç tetkikçilerce tespit edilen uygunsuzluklar için İç Tetkik Düzeltici Faaliyet İstek Formu hazırlanır. Uygunsuzluk kapatıldıktan sonra Güvenlik Yöneticisi’ne teslim edilir. İlgili birimin yöneticisi ile birlikte düzeltici faaliyetler tamamlanma tarihleri ile birlikte planlanır. Bu faaliyetler sonunda tetkik tamamlandığında “İç Tetkik Raporu” tamamlanarak, İç tetkikçiler tarafından güvenlik yöneticisine teslim edilir. Kapanış toplantısında uygunsuzluklar, gözlemler ve öneriler ile ilgili hususlar konuşulur. Tetkikçi raporu hazırlayarak ilgili birim sorumlusu imzalar. Varsa takip tetkiki tarihi belirlenir. 21

22 Düzeltici faaliyetler aşağıda belirlenen durumlarda ortaya çıkabilir: 1. Güvenlik Yöneticisi, Uygunsuzluk Raporlarını aylık periyotlarla inceleyerek düzeltici faaliyet isteğinde bulunabilir. 2. İç denetimler sonucunda tespit edilen uygunsuzluklar için denetimi yapan denetim sorumlusu düzeltici faaliyet isteğinde bulunabilir. 3. BGYS Kontrollerinin izlenmesi, ölçülmesi ve veri analizleriyle ilgili çalışmalar yapılırken ortaya çıkan eğilimler düzeltici faaliyet gerektirebilir. Bu durumlarda Güvenlik Yöneticisi ilgili birim sorumlularından düzeltici faaliyet isteğinde bulunabilir. Düzeltici faaliyet istekleri (BH-GN-Frm04) Düzeltici Faaliyet İstek Formu ile yapılır. 22

23 Sınıflandırma: Bilgi üç farklı seviyede sınıflandırmaktadır: – Gizli, – Kuruma Özel, – Genel. Sınıflandırma bilgisi, Etiketleme Talimatına göre varlık üzerine işlenir. Belirli bir sınıflandırma seviyesi ile işaretlenmemiş bilgi, sınıflandırılması amacıyla gönderene iade edilir, eğer iade edilemiyorsa yok edilir. 23

24 Kişisel Bilgisayarlarda Parola Yönetimi Veri Tabanı Parola Yönetimi Ağ Cihazları Parola Yönetimi Aktif Directory Parola Yönetimi Uygulama Sunucuları Parola Yönetimi 24

25 Personel göreve başlarken aşağıdaki adımları izler: 1. Göreve Başlama: MEB Eğitim Teknolojileri Genel Müdürlüğü Yönetim İşleri ve İnsan Kaynakları Şubesi’ne başvurularak Göreve Başlama Formu doldurulur. Ayrıca kişisel bilgilerin toplanması için Personel Formu (BH-GN-Frm05) doldurulur. 2. Kişisel Bilgisayar Alımı: Personele Kişisel Bilgisayar Devir Teslim Prosedürü’ ne uygun olarak bilgisayar ve donanım temin edilir. (BH-TD-Prs03) 3.Bilgisayar Adının Belirlenmesi: Personelin kişisel bilgisayarına Bilgisayar Adının Belirlenmesi Prosedürü’ne uygun olarak isim verilir.( BH-AY-Prs02) 4.Kullanıcı Hesabı Oluşturma: Kullanıcıya Aktif Dizinde Kullanıcı Hesabı Oluşturma ve Dokümante Talimatı’na uygun olarak oturum açılır.( BH-AY-Tal04) 5. Parmak İzi Tanımlanması: Parmak İzi Ekleme ve Silme Talimatına uygun olarak, yetkisi kapsamında parmak izi tanıtılır.( BH-AY-Tal17) 6. Hesabı Açılması: Hesap Açma Prosedürü’ne uygun olarak hesap açılır.(BH-AY-Prs05) Görevden ayrılan personel bilgileri ilgili yerlere, Bilgi ve Sistem Güvenliği Şubesine bildirilmelidir. 25

26 1.Resmi Evrak İmhası : 2.Disklerin İmhası :Üzerinde önemli veri barındıran diskler tekrar kullanılacaksa veya kullanımı iptal edilecekse, üzerindeki verilerin okunmaz hale getirilmesi gerekir. Disklerin okunmaz hale getirilmesi için FDISK, FORMAT, vb. metotlar kullanılabilir. FDISK, FORMAT, vb. işlemlerden sonra disk üzerindeki verilerin gerçek anlamda silinmesi için diskin üzerini anlamsız verilerle(1-0) dolduran programlar kullanılmalıdır. 3.CD’lerin imhası : 26

27 1.Yapılan resmi işlemleri kaydı 2.Ağ cihazları kayıtları 3.Ağ üzerinde yapılan işlemlerin kaydı 4.Veritabanı kayıtları 27

28 1. Elektronik Kayıtlar Elektronik Kayıtların Saklanması Sunucu logları Kayıt Tutma Prosedürüne uygun olarak tutulur. Yine kayıt altına alınması gerekmeyen loglar Kayıt Tutma Prosedürüne uygun olarak silinir. Elektronik Kayıtlara Erişim Kayıtları İnceleme Formu doldurularak talepte bulunulur. Kayıtların teslimi Kayıt Teslim Formu doldurularak yapılır. 2. Basılı Kayıtlar Basılı Kayıtların Saklanması Basılı olan kayıtlar Gelen/Giden Evrak Prosedürüne uygun olarak kaydedilir. Kaydedilen basılı evraklar Desimal Dosyalama Sistemi uygun olarak numaralandırılır. Numaralandırılan evraklar dosyalanır. 28

29 Her bir süreçte yer alan ve kritik öneme sahip bilgi varlıkları belirlenir ve Varlık Envanterindeki ilgili madde ile ilişkilendirilir. Verilen her bir hizmet için Kurumun karşılaşabileceği riskler (doğal afetler, güvenlik veya cihaz arızaları, hizmet kaybı, saldırılar ve hizmete erişilememesi), İş Sürekliliği Risk Tespit Prosedürü ile uyumlu olarak belirlenir. Bütün kritik iş süreçleri ve bir iş sürekliliği olayı gerçekleşmesi durumunda sunulan hizmetin eski haline döndürülmesi için yerine getirilmesi gereken sorumluluklar bu planda tanımlanır. İş Sürekliliği Planı hizmetin eski haline döndürülmesi için atılması gereken adımları belirler. Ayrıca, Acil Durum Müdahale Ekibinin (ADME) kurtarma ve normale dönme sürecinin tamamlanmasını bekleyen iş ve işlemleri nasıl yöneteceği de bu planda düzenlenir. İş sürekliliği planlarında yer alan bütün personel bu görevleriyle ilgili olarak eğitilir ve planların test edilmesi sürecinde aktif rol alır. İş sürekliliği ekibi üyeleri personel tarafından bilinmelidir. Acil durumda ulaşılacak personel ve firma bilgileri Bilgi ve Sistem Güvenliği Şubesine iletilerek uygun yerlere asılması sağlanmalıdır. 29

30 Bilişim Hizmetleri Dairesi Başkanlığı’nda göreve başlayan personele Personel Gizlilik Taahhütnamesi (BH-GN-PT) imzalatılarak güvenlik sorumluluğundan haberdar edilir. Kişisel varlıkların korunması ve belirli güvenlik süreçlerinin yürütülmesi için sorumluluklar Varlık Envanteri (BH-GN-VE)’nde tanımlanır. 30

31 Güvenli Alanlar Bilişim Hizmetleri Daire Başkanlığı bütün şubeleri ve Bakanlık Merkez Binasında MEBNET ağının temel omurgası ile MEB sunucularının bulunduğu sistemodası güvenlik alanına girer. Sistemodasının güvenliği Sistemodası Güvenliği Prosedürü ile sağlanmaktadır. Sistemodasına girişte parmakizi yetkisi olmayan Daire personeli ve dış taraf personelleri Sistemodası Giriş Çıkış Kontrol Formu doldurulur. Ayrıca Bakanlık Merkez Binada bulunan üç şubeye ancak parmakizi yetkisi olan kişiler girebilmektedir. Ayrıca bu dört bölgeye girişlerde uyarı levhaları asılarak yetkisiz girişimler yasaklanmıştır. İzinsiz fotoğraflama, görüntüleme, ses kaydetme gibi kayıt araçlarına izin verilmez. Dışarıdan gelen malzemeler, depodan kullanım alanına taşınmadan önce, olası tehlikelere karşı kontrol edilmelidir. Bütün personel Genel Müdürlüğümüzün yetkili birimleri tarafından hazırlanan yangın, deprem, sel, patlama, yağma ve diğer doğal ya da insan kaynaklı felaketlerden kaynaklanan hasara karşı önlemlerin yer aldığı politika, talimat ve yönergeler hakkında bilgi sahibi olmak, gerekli tedbirleri almakla yükümlüdür. Fiziki güvenlik alanı içinde yer alan bütün oda kapıları, çalışma masası çekmeceleri ve dolaplar kilitli tutulmalıdır. Fiziki güvenlik alanı içinde yer alan tüm yangın kapılarının bilinmesi ve kullanılması, uyarı sinyallerinin tanınması ve giriş kapılarının sıkıca kapalı tutulması hususlarında bütün personel sorumludur. Güvenli alanlarda ziyaretçilere eşlik edilmeli ve giriş ve çıkış tarihleri ve saatleri not edilmelidir. Sistem odalarına ve gizli bilgilerin bulunduğu bilgisayarlara ve bilgi işleme araçlarına erişim sadece yetkili kullanıcılara sınırlıdır. Temizlik görevlileri, evrak takip memurları ve sekreterler sadece gerekli olduğunda güvenli alanlara veya hassas bilgi işleme araçlarına girebilir. 31

32 Art niyetle yapılmadığı bilinen bir nedenin sonucu olmayan, gizlilik, doğruluk veya kullanılabilirlikle ilgili tüm güvenlik olayları, uygun önlemlere karar veren yönetime raporlanır. Olay Raporları, elle veya elektronik olarak,”Olay Raporlama Formu” ile hazırlanır. Bir olay bir başka şubenin ya da dış kaynağın yardımını gerektirdiğinde, olay kaydedilmeden önce önlemlerin sorumluluğunun kimde olduğunda mutabakata varılmalıdır. Güvenlik olayının giderilmesi için uygun eylemlerin hızlıca harekete geçirilmesini ve tavsiyelerin alınabilmesini temin etmek üzere gerekli kişi ve otoritelerle uygun iletişim kurulmalıdır. Önlem mutabık kalınan tarihte tamamlanmadığında, durum güvenlik risklerini de göz önüne alarak tekrar gözden geçirilmeli ve revize edilen önlemler kaydedilmelidir. Bu daha kesin bir çözüm uygulanana kadar kısa vadeli bir düzeltme gerektirebilir. Olay Raporlama Formu (BH-GN-Frm16) Olay raporlama formu doldurularak Bilgi ve Sistem Güvenliği Şubesine iletilmelidir. 32

33 Toplantı İmza Formu Toplantı Tutanağı Eğitim Formu Personel Formu Eğitim Katılım Formu Kayıt Talep Formu Kayıt Teslim Formu Olay Raporlama Formu 33

34 Veri Teslim Formu Acil Durum Raporlama Formu Eğitim Değerlendirme Formu 34

35 35

36 AMAÇ VE İHTİYAÇLAR Kurtarma faaliyetlerini KİM yerine getirecek? Kurtarma, geri döndürme veya devam ettirme faaliyetleri için NE gerekli? Ana merkez zarar gördüyse faaliyetler NEREDE çalışır hale getirilecek? Kurum fonksiyonları NE ZAMAN (ne kadar sürede)geri döndürülmüş olmalı? Kurtarma faaliyetleri NASIL yapılacak? 36

37 37 İŞ SÜREKLİLİĞİ ORGANİZASYONU Takımlar Takım üyeleri Sorumluluklar İş Sürekliliği Komitesi Acil Durum Yönetim Takımı Hasar Tespit Takımı Acil Durum Masası Ağ ve Sistem Kurtarma Takımı Diğer takımlar...

38 38 Felaket Olduğunun İlan Edilmesi Problem Felaket olduğu açık mı? Hasar tespit takımına bildirilir H Felaket olduğu ilan edilir Problem felaket kriteri taşıyor mu? E E Durum çözülmesi için ilgililere aktarılır Plan çalıştırılır Kurtarma faaliyetleri yapılır Süreçler eski haline getirilir H Süreç sahiplerine bildirimde bulunulur

39


"Bilgi Bilgi, bir kurumun en önemli değerlerinden birisidir ve sürekli korunması gerekir. 2." indir ppt

Benzer bir sunumlar


Google Reklamları