İç Denetimin İş ve İşleyişinde Katma Değeri Destekleme Yöntemleri

Slides:



Advertisements
Benzer bir sunumlar
Sanallaştırma Güvenliği : Tehditler , Önlemler ve Fırsatlar
Advertisements

HASSAS GÖREV Hakan YÜKSEL Mart.
Bilgi Güvenliği Farkındalık Eğitimi
BİLGİ GÜVENLİK TALİMATI
Information Security Muhammet Baykara.
Türkiye’de e-sağlığın hukuki çerçevesi
BİLGİ GÜVENLİĞİ.
Sağlıklı ve Güvenli Tesisler
KAMU İÇ KONTROL SİSTEMİ STRATEJİ GELİŞTİRME DAİRE BAŞKANLIĞI
Defterdarlıklar İç Kontrol Eğitimi 10 Mart-27 Nisan 2013
Günümüzde ticari şirketler ve devlet kurumları işlerini sürdürebilmek için yoğun bir şekilde bilgi kullanımına yönelmişlerdir. Zaman geçtikçe bilginin.
BİLGİ GÜVENLİĞİ MEHTAP KILIÇ
İÇ DENETİM BİRİMİ BAŞKANLIĞI
Döner Sermaye Mali Yönetim Sistemi Bilgi Güvenliği
Ağ Güvenliği CEIT 316.
HAZİNE MÜSTEŞARLIĞI BİLGİ GÜVENLİĞİ YOL HARİTASI
VERİ ve AĞ GÜVENLİK POLİTİKASI
AĞ GÜVENLİĞİ.
Hassas Görevler hassas…çok….
BİLGİ TEKNOLOJİSİNİN TEMEL KAVRAMLARI
Risk Yönetimi Bingöl KHB Güvenliği Politikaları Eğitimi Sedat ADEMOĞLU
Plan Program Dairesi Başkanlığı Görev Tanımları Genel Müdürlüğümüzün yıllık bütçesini, yatırım programlarını hazırlamak ve uygulanmasını sağlamak, Genel.
İZLEMEİZLEME Defterdarlıklar İç Kontrol Eğitimi 10 Mart-27 Nisan 2013 Strateji Geliştirme Başkanlığı 1.
KONTROL FAALİYETLERİ Defterdarlık İç Kontrol Eğitimi 10 Mart-27 Nisan 2013 Strateji Geliştirme Başkanlığı.
ELEKTRONİK ORTAMDA DENETİME GENEL BAKIŞ Prof. Dr
İç Kontrol Nedir? İdarenin amaçlarına, belirlenmiş politikalara ve mevzuata uygun olarak faaliyetlerin; - etkili, ekonomik ve verimli bir şekilde yürütülmesini,
Windows Server 2008’e Genel Bakış Microsoft Windows Server 2008, bilgi teknolojileri (BT) uzmanlarının altyapıları üzerindeki kontrollerini maksimum seviyeye.
ÜÇÜNCÜ BÖLÜM İÇ DENETİM VE İÇ KONTROL SİSTEMİ
Bilgisayar Sistemleri Güvenliği
Bilgisayar’da Virüsler, Zararlı Yazılımlar ve Alınacak Önlemler
Bingöl KHB Güvenliği Politikaları Eğitimi
Abdulkadir KARADENİZ Avantaj ve Dezavantajları Girdi-İşlem-Çıktı Prensibi Donanım – Yazılım Kavramları Abdulkadir KARADENİZ.
BTP102 VERİTABANI YÖNETİM SİSTEMLERİ 1
BİLGİSAYAR SİSTEMİ.
Strateji Geliştirme Başkanlığı. Strateji Geliştirme Başkanlığı.
YONT171 Bilgi Teknolojilerine Giriş I
Bilgi Teknolojisinin Temel Kavramları
LOGO EJDER ORUÇ Teknik Düzenleme ve Standardizasyon Dairesi Başkanı.
İÇ KONTROL UYUM EYLEM PLANI VE YOL HARİTASI. İÇ KONTROL İç kontrol genel olarak idarenin amaçlarına, belirlenmiş politikalara ve mevzuata uygun olarak;
BİT’in Gizlilik ve Güvenlik Boyutları
Bilgi Güvenliği Hukuksal Süreçler
Bingöl Kamu Hastaneleri Birliği
Bilgisayar ve Veri Güvenliği
Necmi Murat GÜNGÖR İletişim Uzmanı
İŞ GÜVENLİĞİ UYGULAMALARINDA YÖNETİM SİSTEMLERİNİN ENTEGRASYONU
Bilgi Teknolojisinin Temel Kavramları
Bilişim Güvenliği Hazırlayan: Ümüt EZER. Bili ş im Güvenli ğ i : Sahip oldu ğ umuz bili ş im altyapısının sadece i ş süreçleri için tanımladı ğ ımız amaçlar.
Türk Hava Kurumu Üniversitesi
GENEL İŞ SAĞLIĞI VE GÜVENLİĞİ EĞİTİMİ
Bilişim Teknolojileri Kullanımında Güvenlik Temel Kavramlar ve Bilgi Güvenliği.
TELEFONDA KRİTİK BİLGİ PAYLAŞMAYIN  Yöneticileriniz de dahil hiç kimse ile kurum ve personele ait kritik bilgiyi telefondan paylaşmayın.  Telefon ile.
Bilişim Teknolojileri Güvenliği. BT Güvenliği Bilişim teknolojisi kullanan bir kuruluşun en önemli hedeflerinden biri bu teknolojiyi gerektiği gibi çalışır.
Bilişim Suçlarıyla İlgili Mevzuat 3- BM Kararları.
YENİ TÜRK TİCARET KANUNU SÜRECİNDE YOL HARİTASI Hazırlayan: Recep Aşır Temmuz 2012.
BBY 467 Bilimsel ve Kültürel Mirasın Dijitalleştirilmesi Ders 8: Dijital Kütüphane Yazılımları ve Dijital Koruma Arş. Gör. Tolga Çakmak.
Ulusal Bilgi Sistemleri Güvenlik Programı Bilge KARABACAK 8 Haziran 2007, Ankara.
DİSASTER CENTER FELAKET MERKEZİ. Felaket Kurtarma (Disaster Recovery) Her kurum için, vermekte olduğu hizmeti herhangi bir nedenden dolayı veremez duruma.
KAMU YÖNETİMİNDE İÇ KONTROL SİSTEMİ ve İÇ KONTROL EYLEM PLANININ UYGULANMASI KAMU YÖNETİMİNDE İÇ KONTROL SİSTEMİ ve İÇ KONTROL EYLEM PLANININ UYGULANMASI.
BİT’in Gizlilik ve Güvenlik Boyutları.  Bilgi; verinin, işlenerek karar verici için anlamlı ve kullanışlı hale gelmesidir. Veri ise, işletme içinde oluşan.
Bilgi Teknolojileri Denetimi Bilgi Teknolojileri (BT) denetimi ve denetim sürecinin oluşturulması; Bilgi Teknolojileri ile ilgili unsurların güvenlik altında.
Network Access Kontrol Ağ Erişim Kontrolü (NAC) Hüsnü DemirHüseyin YüceGökhan Akın ODTÜMarmara.
BİT’in Gizlilik ve Güvenlik Boyutları
SAP FORUM İSTANBUL Reimagine Business for the Digital Economy
BİT’İN GİZLİLİK VE GÜVENLİK BOYUTLARI
ITIL/COBIT/BT DENETİM UZMANLIĞI
Felaket Merkezi Berk Aydoğdu
TURKHAREKAT.COM Siber Güvenlik Eğitimlerine Hoşgeldiniz.
SİBER GÜVENLİK ve KRİPTOLOJİ. Asım Emre Kaya Ülkelerin altyapı sistemlerinin siber uzaya bağımlı hale gelmesi ile; -bireyler -kurumlar -devletler siber.
ISO BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ
Sunum transkripti:

İç Denetimin İş ve İşleyişinde Katma Değeri Destekleme Yöntemleri BİR İYİ UYGULAMA ÖRNEĞİ OLARAK BAŞLANGIÇ (tEMEL) SEVİYESİNDE BİLGİ TEKNOLOJİSİ DENETİMİ İç Denetimin İş ve İşleyişinde Katma Değeri Destekleme Yöntemleri 11 MAYIS 2018 İSTANBUL

Bilgi Teknolojileri veya Bilgi Sistemleri Denetimi Bilgi Teknolojileri Denetimi, BT altyapısı üzerinde işleyen sistemlerin ve bu sistemlerdeki yönetim kontrollerinin denetlenmesidir. BT Denetimleri sırasında elde edilen kanıtlarla bilgi sistemlerinin; kurumun amaç ve hedefleri doğrultusunda işleyip işlemediği. bilgi varlıklarının gizliliğini, bütünlüğünü ve erişilebilirliğini koruyup koruyamadığı belirlenmeye çalışılır.

Bilgi Güvenliği Denetimi Bilgi güvenliği (güvenlik) denetimlerinde, kurumun bilgi güvenliği politikası (dan hareketle), kullanıcı ve yetkilendirme yönetimi, ağ güvenlik yapılandırmalarının uygunluğu, denetim izlerinin oluşturulması ve takibi, güvenlik olaylarının yönetimi gibi alanlar değerlendirilir. Bu kapsamdaki çalışmalar; veri tabanı, işletim sistemi ve ağ altyapısı gibi teknik bileşenler üzerinde gerçekleştirildiği gibi, ayrıca bilgi güvenliği farkındalığı ve BT kullanıcı eğitimi gibi konuları da kapsar.

BT Yetkinlik Modeli Seviye 1 (Başlangıç seviyesi): Kamu kurumlarında iç denetim faaliyetlerinde bulunmuş ve Temel BT Denetimi Eğitimine katılmış denetçinin bulunduğu seviye olarak tarif edilebilir. Seviye 2 (Gelişme seviyesi): Kamu kurumlarında iç denetim faaliyetlerinde bulunmuş ve Temel BT Denetimi ve ileri BT Denetimi Eğitimlerine katılmış ve kamu kurumlarında en az 1-2 yıl BT denetimi çalışmalarında bulunmuş denetçinin bulunduğu seviye olarak tarif edilebilir. Seviye 3 (Uzman seviyesi): CISA sertifikasına sahip ya da sınavı almaya hazır seviyede gerekli eğitimlerini tamamlamış, BT denetimi alanında en az 2- 3 yıl tecrübeye sahip denetçinin bulunduğu seviye olarak belirtilebilir.

Güvenlik Hizmetleri Yönetimi • Bilgi güvenliği, kuruma ait bilgilerin; iş sürekliliğini sağlamak, iş risklerinin etkilerini azaltmak ve BT yatırımlarından ve fırsatlarından azami faydayı sağlamak adına, yetkisiz şekilde; erişilmesine, açıklanmasına (ifşa edilmesine), değiştirilmesine, kopyalanmasına, imha edilmesine karşı korunmasını amaçlar. • Bilgi güvenliğinin temel unsurları gizlilik, bütünlük ve erişilebilirliktir.

Bilgi Güvenliği Unsurları Gizlilik (Confidentiality): Bilginin yetkisiz kişi, varlık ya da süreçlere kullandırılmaması ya da açıklanmaması. Bütünlük (Integrity): Bilgi varlıklarının doğruluğu ve tamlığının yetkisiz müdahaleden (değiştirme, silme vb.) korunması. Erişilebilirlik (Availability): Bilginin yetkili bir varlık tarafından talep edildiğinde erişilebilir ve kullanılabilir olması

GÜVENLİK HİZMETLERİ YÖNETİMİ SürecinİN BT Denetimi Açısından Önemi • Bilgi sistemlerinin hem fiziksel hem de mantıksal olarak tüm iç ve dış tehditlere karşı hazır tutulması amaçlanır. • Bilgi sistemi varlıklarına yönelik bir çok iç ve dış tehdit vardır; yetkisiz işlemler, zararlı yazılımlar, ağ saldırıları, fiziksel saldırılar • Bilgi sistemleri tarafından sağlanan kritik BT işlevselliğinin gizliliği, bütünlüğü ve erişilebilirliği ile doğrudan ilgili olduğundan, güvenlik hizmetleri tipik bir BT denetiminde kapsama alınmalıdır.

GÜVENLİK HİZMETLERİ YÖNETİMİ RİSKLERİ R1.Kurum bünyesinde gerekli anlayışın ya da farkındalığın oluşmaması sebebiyle bilgi güvenliği sürecinin etkin bir şekilde yönetilememesi R2.Bilgi güvenliği olaylarının takip edilmemesi denetim izlerinin tutulmaması ve zamanında çözülmemesinin sonucu olarak kurum bilgi sistemlerine sızılması, kurum bilgilerinin çalınması ve iş kesintilerinin oluşması. R3. Bilgi güvenliği stratejisinin BT stratejisi ile uyumsuzluk göstermesi R4. Kurum veri bütünlüğünün bozulması ve veri işleyen sistemlerin iş gerekliliklerine uygun çalışamaması R5. Zararlı yazılımların bilgi sistemleri ağına sirayet etmesi ve bu şekilde performans ve veri kayıplarının oluşması

GÜVENLİK HİZMETLERİ YÖNETİMİ RİSKLERİ R6. Kritik dosya ve diğer bilgi kaynaklarının bilinçli ya da farkında olmadan değiştirilmesi R7. Bilgi sistemleri uygulamaları üzerinde kritik veri, bilgi, donanım ve cihazlara yetkisiz erişimlerin gerçekleştirilmesi R8. BT cihaz, ekipman ve donanımlarına yönelik fiziksel güvenliğe olan tehditlerin fark edilememesi R9. Kritik iş süreçlerinin üzerinde çalıştığı sistemlerin fiziksel olarak korunamaması R10.Kritik veriler içeren sabit disklerin ve diğer veri saklama ortamlarının çalınması ve bu şekilde verilerin ifşa olması R11. Cihazlarda izinsiz konfigürasyon değişikliklerinin gerçekleştirilmesi

GÜVENLİK HİZMETLERİ YÖNETİMİ RİSKLERİ R12. Bilgi güvenliği konusundaki yasal yükümlülüklerin yerine getirilememesi; kanun ve yükümlülüklere uyumsuzlukların ortaya çıkması. R13. Bilgi sistemleri üzerinde otomatik olarak tanımlanan varsayılan kullanıcılar üzerinden diğer kullanıcıların yetkilerinin arttırılması R14. Bilgi sistemleri uygulamaları üzerinde gerçekleşen erişimlerin izlenmemesi sonucu yetkisiz erişimlerin ya da erişim girişimlerinin yönetim tarafından fark edilememesi R15. Bilgi sistemleri ve ilgili ağ yapısı üzerinden şifrelenmeden (kriptolanmadan) iletilen kullanıcı adı ve kullanıcı parolalarının yetkisiz kişiler tarafından ele geçirilmesi R16. Kullanıcılar tarafından bilinçli ya da farkında olmadan bilgi sistemleri üzerinde erişim yetkisi arttırma işlemlerinin gerçekleştirilmesi

GÜVENLİK HİZMETLERİ YÖNETİMİ RİSKLERİ R17. Kısıtlanmayan medya yüklemeleri (download) (dosya paylaşımı, video, ses vb.) sonucunda bilgi sistemleri sürekliliği, performans ve kapasitesini etkileyecek hususların oluşması R18. Kontrolsüz dosya paylaşımlarının (ör: dosya paylaşım ağları üzerinden yapılan paylaşımlar) gerçekleşmesi sonucu olarak fikri mülkiyet haklarının ihlal edilmesi R19. Bilgi sistemleri üzerindeki güvenlik ve parola parametrelerinin, yetkisiz erişimleri önleyecek şekilde tanımlanmaması

GÜVENLİK HİZMETLERİ YÖNETİMİ KONTROLLERİ K1.Kurum bünyesinde güvenliğe dair standart, onaylı ve sürekli bir bakış açısıyla bir bilgi güvenliği yönetim sistemi (BGYS) oluşturulur. K2.Bilgi güvenliğinden kaynaklanabilecek risklerin nasıl yönetileceğinin belirlendiği, kurumsal strateji ve kurumsal mimariye uygun bir bilgi güvenliği planı hazırlanır. K3.Kurum bünyesinde bilgi güvenliği uygulamalarının sürekli olarak gelişmesi için BGYS izlenir ve gözden geçirilir. K4. Kurum bilgi sistemleri üzerinde önleyici, tespit edici ve düzeltici değişikliklerin gerçekleştirilmesi ve kurum bünyesinde bu değişikliklere paralel olarak güvenlik yamalarının ve anti-virüs uygulamalarının kullanılması gibi önlemlerin alınması ile BT uygulamaları ve altyapılarının kötü amaçlı yazılımlardan etkilenme riski azaltılır. K5.İletişim ortamındaki bilgilerin korunması için kurum bünyesindeki bilgi sistemleri ağının güvenliği sağlanmalıdır.

GÜVENLİK HİZMETLERİ YÖNETİMİ KONTROLLERİ K6.Kurum ağı erişim noktaları (dizüstü bilgisayarlar, masaüstü bilgisayarlar, sunucular ve diğer mobil ve ağ aygıtları ve yazılımlar), kurum ağı üzerinden iletilen veri için tanımlanan gerekli minimum güvenlik seviyelerini karşılamalıdır. K7.Tüm kullanıcılar, bilgi sistemleri üzerinde iş tanımları ile paralel, ihtiyaç duyacakları en az seviyede erişim yetkilerine sahip olmalıdır. K8.İş gereksinimlerini ve acil durumları göz önünde bulundurarak; binalara, tesislere ve kritik alanlara fiziksel erişimler için yetki verme, yetki kısıtlama ve bu yetkileri iptal etmeye yönelik prosedürler tanımlanmalıdır. Bu alanlara erişimlerin kontrollü olmasının yanında yetkilerin tümü onaya istinaden verilmeli, denetim izleri tutulmalı ve gözden geçirilmelidir. Bu kontroller ilgili alanlara fiziksel erişimi olan daimi ve geçici çalışanlara, ziyaretçilere, vatandaşlara, tedarikçilere veya tüm üçüncü şahıslar dahil olmak üzere herkese uygulanmalıdır.

GÜVENLİK HİZMETLERİ YÖNETİMİ KONTROLLERİ K9.Kurum bünyesinde kullanılan hassas ve bilgi güvenliği açısından kritik bilgi teknolojileri cihazları, özel formlar, kıymetli evrak, özel ihtiyaca yönelik yazıcı ve güvenli anahtar (şifre) üreticiler üzerinde uygun fiziksel güvenlik önlemleri ve envanter (döküm) yönetimi teknikleri uygulanmalıdır. K10.Kurum bilgi sistemleri altyapısı yetkisiz erişimlere karşı izlenir ve bilgi sistemleri altyapısı üzerindeki tüm faaliyetlerin olay izleme ve vaka yönetimi süreci içerisinde kapsandığı teyit edilir.