BİLGİ GÜVENLİĞİ MEHTAP KILIÇ E-CRIME TURKIYE BİLGİ GÜVENLİĞİ MEHTAP KILIÇ
E-CRIME TURKIYE Hoşgeldiniz…
Gündem Bilgi ve Bilgi Güvenliği Standartlar, Düzenlemeler Türkiye ve Dünya
Bilgi, değerli olan ve uygun şekilde korunması gereken varlıktır.
Kişisel Bilgiler T.C. Kimlik Numarası Kredi Kartı No Parola Adres Telefon No
Kurumsal Bilgiler İnsan Sunucular Bilgisayarlar E-Posta Web Sayfası Müşteri Bilgileri Raporlar, planlar…
tarafından erişilemez ve ifşa edilemez. Bilgi Güvenliği GİZLİLİK BÜTÜNLÜK ERİŞİLEBİLİRLİK Bilgiye erişim hakkı olan kişilerin, her ihtiyaç duyduklarında erişebilmesidir. Bilginin, doğruluğunun ve tamlığının ve kendine has özgünlüğünün korunmasıdır. Bilgiye, sadece erişim hakkı olan kişilerin erişmesidir. Bilgi, yetkili olmayan kişiler, varlıklar ve süreçler tarafından erişilemez ve ifşa edilemez. BİLGİ GÜVENLİĞİ BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ ISO 27001
Bilişim Suçu
TEDARİKÇİLERİN ETKİLENMESİ MÜŞTERİNİN ETKİLENMESİ Riskler TEDARİKÇİLERİN ETKİLENMESİ YASAL YAPTIRIM ÇALIŞANLARIN ETKİLENMESİ HİZMETİN AKSAMASI PARASAL KAYIP İTİBAR KAYBI MÜŞTERİNİN ETKİLENMESİ
Standartlar - Düzenlemeler BİLGİ ISO 27001 COBIT PCI DSS BS 25999 ITIL
ISO 27001 Bilgi Güvenliği Politikası Bilgi Güvenliği Organizasyonu Varlık Yönetimi Risk Yönetimi İnsan Kaynakları Güvenliği Fiziksel ve Çevresel Güvenlik Haberleşme ve İşletim Yönetimi Erişim Kontrolü Bilgi Sistemleri Edinim ,Geliştirme ve Bakımı Bilgi Sistemleri İhlal Olay Yönetimi İş Sürekliliği Yönetimi Uyum
Tüm Dünya’da Toplam Sertifikalı Şirket Sayısı ISO 27001 Tüm Dünya’da Toplam Sertifikalı Şirket Sayısı 7346
ISO 27001 Diğer Japonya UK Çin Hindistan
İzleme ve Değerlendirme COBIT ME1 ME2 ME3 ME4 Plan ve Organizasyon Satınalma ve Uygulama Dağıtım ve Destek İzleme ve Değerlendirme PO1 PO2 PO3 PO4 PO5 PO6 PO7 PO8 PO9 PO10 DS1 DS2 DS3 DS4 DS5 DS6 DS7 DS8 DS9 DS10 DS11 DS12 DS13 AI1 AI2 AI3 AI4 AI5 AI6 AI7
PCI-DSS 1- bir firewall konfigürasyonu yüklemek ve devam ettirmek Güçlü erişim kontrol önlemleri uygulamak Güvenli bir network kurmak ve sürdürmek Bir zayıflık yönetim programı oluşturmak Kart sahibi verilerini korumak PCI DSS Kontrol - Gereksinimler Bilgi Güvenliği Politikası Oluşturmak Düzenli şekilde izlemek ve networkü test etmek 1- bir firewall konfigürasyonu yüklemek ve devam ettirmek 2-Satıcı tarafından sağlanan default sistem parolaları ve diğer güvenlik parametrelerini kullanmamak 9- Kart sahibi verilerine fiziksel erişimi kısıtlama 10- Ağ kaynaklarına ve kart sahibi verilerine tüm erişimleri izlemek ve takip etmek 11- Güvenlik sistemlerini ve süreçlerini düzenli olarak test etmek 12- Tüm personel için bilgi güvenliğinin adreslendiği bir politika sağlamak, sürdürmek 5- Anti-virüs yazılımını ya da programlarını kullanmak ve düzenli olarak güncellemek 6- Güvenli sistemler ve uygulamalar geliştirmek ve devam ettirmek 3- Saklanan Kart Sahibi Verilerini Korumak 4- Kart sahibi verilerini, açık, kamu-halka açık ağlarda şifrele iletmek 7- Kart sahibi verilerine erişimi sadece bilinmesi gereken kadarıyla kısıtlama 8- Bilgisayar erişimine sahip her kişi için benzersiz (tek- unique) bir kimlik atama
ITIL Hizmet Tasarım Tedarikçi Yönetimi Hizmet Seviyesi Yönetimi Hizmet Katalog Yönetimi Kullanılabilirlik Yönetimi Hizmet Geçişi Değişim Yönetimi Bilgi Yönetimi Dağıtım ve Geliştirme Yönetimi Hizmet Test ve Doğrulama Konfigürasyon Yönetim Sistemi Hizmet Operasyon Olay Yönetimi Event Yönetimi Problem Yönetimi
E-CRIME TURKIYE Ortak Noktalar
Bilgi Güvenliği Politikasının Oluşturulması ISO 27001 Bilgi Güvenliği Politikası Bilgi Güvenliği Organizasyonu Varlık Yönetimi Risk Yönetimi İnsan Kaynakları Güvenliği Fiziksel ve Çevresel Güvenlik Haberleşme ve İşletim Yönetimi Erişim Kontrolü Bilgi Sistemleri Edinim ,Geliştirme ve Bakımı Bilgi Sistemleri İhlal Olay Yönetimi İş Sürekliliği Yönetimi Uyum PCI DSS Bilgi Güvenliği Politikasının Oluşturulması
ISO 27001 PCI DSS Bilgi Güvenliği Politikası Bilgi Güvenliği Organizasyonu Varlık Yönetimi Risk Yönetimi İnsan Kaynakları Güvenliği Fiziksel ve Çevresel Güvenlik Haberleşme ve İşletim Yönetimi Erişim Kontrolü Bilgi Sistemleri Edinim ,Geliştirme ve Bakımı Bilgi Sistemleri İhlal Olay Yönetimi İş Sürekliliği Yönetimi Uyum PCI DSS
ISO 27001 COBIT Bilgi Güvenliği Politikası Bilgi Güvenliği Organizasyonu Varlık Yönetimi Risk Yönetimi İnsan Kaynakları Güvenliği Fiziksel ve Çevresel Güvenlik Haberleşme ve İşletim Yönetimi Erişim Kontrolü Bilgi Sistemleri Edinim ,Geliştirme ve Bakımı Bilgi Sistemleri İhlal Olay Yönetimi İş Sürekliliği Yönetimi Uyum COBIT PO8 PO7 DS13 DS5 DS10 DS3
İş Sürekliliği Yönetim Sistem ISO 27001 Bilgi Güvenliği Politikası Bilgi Güvenliği Organizasyonu Varlık Yönetimi Risk Yönetimi İnsan Kaynakları Güvenliği Fiziksel ve Çevresel Güvenlik Haberleşme ve İşletim Yönetimi Erişim Kontrolü Bilgi Sistemleri Edinim ,Geliştirme ve Bakımı Bilgi Sistemleri İhlal Olay Yönetimi İş Sürekliliği Yönetimi Uyum BS 25999 İş Sürekliliği Yönetim Sistem
Hizmet Sunumu ve Destek ITIL Hizmet Tasarım Tedarikçi Yönetimi Hizmet Seviyesi Yönetimi Hizmet Katalog Yönetimi Kullanılabilirlik Yönetimi Hizmet Geçişi Değişim Yönetimi Bilgi Yönetimi Dağıtım ve Geliştirme Yönetimi Hizmet Test ve Doğrulama Konfigürasyon Yönetim Sistemi Hizmet Operasyon Olay Yönetimi Event Yönetimi Problem Yönetimi COBIT Hizmet Sunumu ve Destek DS Süreçleri
Araştırma
Bilgi, değerli olan ve uygun şekilde korunması gereken varlıktır. Son Söz Bilgi, değerli olan ve uygun şekilde korunması gereken varlıktır.
? SORULAR… TEŞEKKÜRLER… Mehtap Kılıç Mehtap.kilic@bankasya.com.tr