ISO 27001 INFORMATION SECURITY MANAGEMENT SYSTEM Mustafa PARLAKYİĞİT August 9, 2014 RECIPA-IMT.

... konulu sunumlar: "ISO 27001 INFORMATION SECURITY MANAGEMENT SYSTEM Mustafa PARLAKYİĞİT August 9, 2014 RECIPA-IMT."— Sunum transkripti:

1 ISO 27001 INFORMATION SECURITY MANAGEMENT SYSTEM Mustafa PARLAKYİĞİT August 9, 2014 Mustafa.Parlakyigit@sealcert.com.tr RECIPA-IMT

2 Layout 2 -TARGET of This Presentation -INTRODUCTION -IMPLEMENTATION -AUDITING & CERTIFICATION -INFORMATION SECURITY AWARENESS -ACTUAL SITUATION in the WORLD -ACTUAL SITUATION in TURKEY -CONCLUSION -Q&A

3 Target 3

4 Introduction 4 INFORMATION What is Information? HISTORY of the standad ISO 27K FAMILY ISO 27001:2013 Standart Article 4-5-6-7-8-9-10 General view ANNEX A General view

5 Information 5 Information : Meaningful Data.

6 Information 6

7 7 Tüm alanlardaki müşteri bilgilerimiz, Pazarlama satış, kampanya, reklam proje ve ilgili dokümanlar Tüm satın alma şartname, teklif ve proje ile alakalı tüm dokümanlar, Muhasebe ve finans raporları, Bilişim altyapı bilgileri Ücret bilgileri, Yönetim yedeklilik planı, kariyer yönetim ve yetkinlik bilgileri, Kurum e-posta adresleri…………..

8 Common Mistakes 8 Bilgi güvenliğinden Bilgi İşlem sorumludur! Anti-virüs yazılımımız var dolayısıyla güvendeyiz Kurumumuz güvenlik duvarı(firewall) kullanıyor dolayısıyla güvendeyiz... Bir çok güvenlik saldırısı kurum dışından geliyor! Dosyalarımın kopyasını alıyorum, güvenlikten bana ne! Arkadaşımdır, güvenirim dolayısıyla parolamı paylaşırım! Şifremi değiştirmeye ne gerek var? Zaten tek ben bilirim! Bilgisayarımı alıp da kim ne yapacak?

9 Threads 9 Yüksek bilgisayar bilgisi seviyesi Hırsızlık, kötü niyetli kullanım Virüs ve truva atları Servis kesintisiDokümantasyon eksikliği Fiziksel güvenlik sorunu Doğal afetler

10 Threads 10 NoKategoriÖrnekler 1Kullanıcı hatalarıHata ile silme, kazara kırma 2Telif haklarıKorsan kullanım, lisans yönetimi 3Casusluk, kasti eylemlerYetkisiz erişim, bilgi sızdırmak için saldırma 4Bilgi gaspıŞantaja maruz kalma 5Sabotaj eylemleri, vandalizm*Sistem veya bilginin yok edilmesi 6HırsızlıkYasadışı bilgi edinme 7Kasıtlı yazılım saldırılarıVirüs, worm, DoS** makrolar 8Servis hizmet kalitesi sapmalarıGüç ve ağ erişim sorunları 9Doğal afetlerYangın, sel, deprem, şimşek 10Teknik donanım arıza veya hatalarıEkipman arızaları 11Teknik yazılım arıza veya hatalarıBug, kod sorunları, bilinmez sonsuz döngüler 12Teknoloji eksikliğiEski teknolojinin kullanılması 13İnsanÖlüm, hastalık

11 LOSS! 11 İtibar kaybı Finansal kayıp Fikir haklarının kaybı Kanuni yükümlülükler ve cezalar (5846, 5651 vb) Müşteri güveninin kaybı İş kesintisi ….

12 LOSS! 12 İtibar kaybı Finansal kayıp Fikir haklarının kaybı Kanuni yükümlülükler ve cezalar (5846, 5651 vb) Müşteri güveninin kaybı İş kesintisi ….

13 2013 de LivingSocial sitesinden 50 milyon kullanıcıya ait bilgiler çalındı. Washington Eyalet Mahkemeleri Yönetim Ofisi’ ne yapılan saldırı neticesinde, dahilinde bulunan tüm mahkeme dosyalarındaki kişilere ait tüm veriler dış dünyaya sızdırıldı. Evernote a üye 50 milyon kişiye ait tüm bilgiler (ödeme, hesap bilgileri v.b.) network açığı sayesinde dışarıya sızdırıldı. Examples

14 Drupal.org sitesindeki yaklaşık bir milyon hesaba ait bilgiler çalındı. Amerika Federal Rezerv Bankası internet sitesinin Anonymous’un saldırısı ile 4000 yöneticiye ait bilgiler ifşa edilmiştir. Examples

15 6 Nisan 2012 de Kırıcılar, Mac güvenlik duvarlarını kırdılar ve 6 milyondan fazla Apple.bilgisayar etkilendi. 11 Haziran 2012 itibarı ile Amerikan hastanelerinden 1,4 milyondan fazla hastanın bilgileri kırıcı tarafından çalınmıştır. En son eylemde erişim Doğu Avrupa bölgesin- den yapılmıştır. Examples

16 Bu duruma düşmemek için BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ (BGYS)

17 Implementation 17 o WHO CAN APPLY ISO 27001? o BENEFITS o MANAGEMENT o Scope o Organisational structure o DOCUMENTATION o Policy Testing

18 Implementation 18

19 Implementation 19

20 Information Security Awareness 20 The most important component of IS is the awareness of the users. %70 of the Vulnerabilities derives from user mistakes. Hackers most of the time use these mistakes. Social Engineering is the biggest risk! The hishest level of risk : Human The most important asset : Human Simple precautions matters.

21 IS Policies 21  Hardware Policy  Software Policy  General  Network Policy  Internet Policy  VPN Policy  Etc.

22 General  Do not hang confidential documents on the walls and boards.  Do not junk important documents directly, do use paper shredders.  Before you leave, do not leave any important document on your desk.  Keep your important documents locked all the time.  Do keep your doors locked before you leave.  When you see a stranger without a visit card, politely ask them to put their visit cards and to whom they come to visit.  Be aware of telephone phishing, Do not share any important information with strangers.

23 Devices  Smart Phones, Laptops and Desktops delivered to staff belongs to Organisation and should be used carefully and properly.  Before you leave, always close your OS session.  Do not let others or guests use your laptop or desktop.  Keep your mobile-devices with you, do not abandon your devices inside the cars etc.  Do use your laptop or desktop for only work purposes.  Do not install any irrelevant, cracked software to your computers.  Keep your softwares up to date  Users can not perform such actions:  Blocking the softwares installed in the devices.  Changing BIOS features.  Opening devices.  Blocking OS, reaching or changing OS files.

24 E-mail  Do use your e-mail for only work purposes. Do not use your account for private purposes and general announcements.  Do not use your personal e-mail within the organisation.  Do not open the files sent from strangers, propmtly inform the ISMS Team about such e-mails.  Do not send confidential documents via e-mail outside.  Try not to send confidential documents via e-mail within the organisaiton, If you need to send encrypt documents accourding to our Encryption Instruction INS.34 (You can take help from ISMS Team)  E-mail accounts can not be used in a way that may harm others or for attack purposes.

25 Network  Connection service is personal, it can not be transferred to other users. Users are directly responsiple from device and any illegal act.  Each socket should be used for one computer and one connection, Users can not share this conneciton using any method.  Network can not be used for any commercial purpose.  Users can not service Proxy, DHCP, BOOTP, DNS within the network and can not announce any forwarding protocol.  Any unlicensed software, film or music files can not be shared through organisation network. All legal responsipilities belongs to the user.  Users can not change IP addresses.

26 Actual Situation in The World 26

27 Conclusion 27

28 Q&A 28

29