Sunuyu indir
Sunum yükleniyor. Lütfen bekleyiniz
YayınlayanSüleyman Demirkan Değiştirilmiş 5 yıl önce
1
İç Denetimin İş ve İşleyişinde Katma Değeri Destekleme Yöntemleri
BİR İYİ UYGULAMA ÖRNEĞİ OLARAK BAŞLANGIÇ (tEMEL) SEVİYESİNDE BİLGİ TEKNOLOJİSİ DENETİMİ İç Denetimin İş ve İşleyişinde Katma Değeri Destekleme Yöntemleri 11 MAYIS 2018 İSTANBUL
2
Bilgi Teknolojileri veya Bilgi Sistemleri Denetimi
Bilgi Teknolojileri Denetimi, BT altyapısı üzerinde işleyen sistemlerin ve bu sistemlerdeki yönetim kontrollerinin denetlenmesidir. BT Denetimleri sırasında elde edilen kanıtlarla bilgi sistemlerinin; kurumun amaç ve hedefleri doğrultusunda işleyip işlemediği. bilgi varlıklarının gizliliğini, bütünlüğünü ve erişilebilirliğini koruyup koruyamadığı belirlenmeye çalışılır.
3
Bilgi Güvenliği Denetimi
Bilgi güvenliği (güvenlik) denetimlerinde, kurumun bilgi güvenliği politikası (dan hareketle), kullanıcı ve yetkilendirme yönetimi, ağ güvenlik yapılandırmalarının uygunluğu, denetim izlerinin oluşturulması ve takibi, güvenlik olaylarının yönetimi gibi alanlar değerlendirilir. Bu kapsamdaki çalışmalar; veri tabanı, işletim sistemi ve ağ altyapısı gibi teknik bileşenler üzerinde gerçekleştirildiği gibi, ayrıca bilgi güvenliği farkındalığı ve BT kullanıcı eğitimi gibi konuları da kapsar.
4
BT Yetkinlik Modeli Seviye 1 (Başlangıç seviyesi): Kamu kurumlarında iç denetim faaliyetlerinde bulunmuş ve Temel BT Denetimi Eğitimine katılmış denetçinin bulunduğu seviye olarak tarif edilebilir. Seviye 2 (Gelişme seviyesi): Kamu kurumlarında iç denetim faaliyetlerinde bulunmuş ve Temel BT Denetimi ve ileri BT Denetimi Eğitimlerine katılmış ve kamu kurumlarında en az 1-2 yıl BT denetimi çalışmalarında bulunmuş denetçinin bulunduğu seviye olarak tarif edilebilir. Seviye 3 (Uzman seviyesi): CISA sertifikasına sahip ya da sınavı almaya hazır seviyede gerekli eğitimlerini tamamlamış, BT denetimi alanında en az 2- 3 yıl tecrübeye sahip denetçinin bulunduğu seviye olarak belirtilebilir.
5
Güvenlik Hizmetleri Yönetimi
• Bilgi güvenliği, kuruma ait bilgilerin; iş sürekliliğini sağlamak, iş risklerinin etkilerini azaltmak ve BT yatırımlarından ve fırsatlarından azami faydayı sağlamak adına, yetkisiz şekilde; erişilmesine, açıklanmasına (ifşa edilmesine), değiştirilmesine, kopyalanmasına, imha edilmesine karşı korunmasını amaçlar. • Bilgi güvenliğinin temel unsurları gizlilik, bütünlük ve erişilebilirliktir.
6
Bilgi Güvenliği Unsurları
Gizlilik (Confidentiality): Bilginin yetkisiz kişi, varlık ya da süreçlere kullandırılmaması ya da açıklanmaması. Bütünlük (Integrity): Bilgi varlıklarının doğruluğu ve tamlığının yetkisiz müdahaleden (değiştirme, silme vb.) korunması. Erişilebilirlik (Availability): Bilginin yetkili bir varlık tarafından talep edildiğinde erişilebilir ve kullanılabilir olması
7
GÜVENLİK HİZMETLERİ YÖNETİMİ SürecinİN BT Denetimi Açısından Önemi
• Bilgi sistemlerinin hem fiziksel hem de mantıksal olarak tüm iç ve dış tehditlere karşı hazır tutulması amaçlanır. • Bilgi sistemi varlıklarına yönelik bir çok iç ve dış tehdit vardır; yetkisiz işlemler, zararlı yazılımlar, ağ saldırıları, fiziksel saldırılar • Bilgi sistemleri tarafından sağlanan kritik BT işlevselliğinin gizliliği, bütünlüğü ve erişilebilirliği ile doğrudan ilgili olduğundan, güvenlik hizmetleri tipik bir BT denetiminde kapsama alınmalıdır.
8
GÜVENLİK HİZMETLERİ YÖNETİMİ RİSKLERİ
R1.Kurum bünyesinde gerekli anlayışın ya da farkındalığın oluşmaması sebebiyle bilgi güvenliği sürecinin etkin bir şekilde yönetilememesi R2.Bilgi güvenliği olaylarının takip edilmemesi denetim izlerinin tutulmaması ve zamanında çözülmemesinin sonucu olarak kurum bilgi sistemlerine sızılması, kurum bilgilerinin çalınması ve iş kesintilerinin oluşması. R3. Bilgi güvenliği stratejisinin BT stratejisi ile uyumsuzluk göstermesi R4. Kurum veri bütünlüğünün bozulması ve veri işleyen sistemlerin iş gerekliliklerine uygun çalışamaması R5. Zararlı yazılımların bilgi sistemleri ağına sirayet etmesi ve bu şekilde performans ve veri kayıplarının oluşması
9
GÜVENLİK HİZMETLERİ YÖNETİMİ RİSKLERİ
R6. Kritik dosya ve diğer bilgi kaynaklarının bilinçli ya da farkında olmadan değiştirilmesi R7. Bilgi sistemleri uygulamaları üzerinde kritik veri, bilgi, donanım ve cihazlara yetkisiz erişimlerin gerçekleştirilmesi R8. BT cihaz, ekipman ve donanımlarına yönelik fiziksel güvenliğe olan tehditlerin fark edilememesi R9. Kritik iş süreçlerinin üzerinde çalıştığı sistemlerin fiziksel olarak korunamaması R10.Kritik veriler içeren sabit disklerin ve diğer veri saklama ortamlarının çalınması ve bu şekilde verilerin ifşa olması R11. Cihazlarda izinsiz konfigürasyon değişikliklerinin gerçekleştirilmesi
10
GÜVENLİK HİZMETLERİ YÖNETİMİ RİSKLERİ
R12. Bilgi güvenliği konusundaki yasal yükümlülüklerin yerine getirilememesi; kanun ve yükümlülüklere uyumsuzlukların ortaya çıkması. R13. Bilgi sistemleri üzerinde otomatik olarak tanımlanan varsayılan kullanıcılar üzerinden diğer kullanıcıların yetkilerinin arttırılması R14. Bilgi sistemleri uygulamaları üzerinde gerçekleşen erişimlerin izlenmemesi sonucu yetkisiz erişimlerin ya da erişim girişimlerinin yönetim tarafından fark edilememesi R15. Bilgi sistemleri ve ilgili ağ yapısı üzerinden şifrelenmeden (kriptolanmadan) iletilen kullanıcı adı ve kullanıcı parolalarının yetkisiz kişiler tarafından ele geçirilmesi R16. Kullanıcılar tarafından bilinçli ya da farkında olmadan bilgi sistemleri üzerinde erişim yetkisi arttırma işlemlerinin gerçekleştirilmesi
11
GÜVENLİK HİZMETLERİ YÖNETİMİ RİSKLERİ
R17. Kısıtlanmayan medya yüklemeleri (download) (dosya paylaşımı, video, ses vb.) sonucunda bilgi sistemleri sürekliliği, performans ve kapasitesini etkileyecek hususların oluşması R18. Kontrolsüz dosya paylaşımlarının (ör: dosya paylaşım ağları üzerinden yapılan paylaşımlar) gerçekleşmesi sonucu olarak fikri mülkiyet haklarının ihlal edilmesi R19. Bilgi sistemleri üzerindeki güvenlik ve parola parametrelerinin, yetkisiz erişimleri önleyecek şekilde tanımlanmaması
12
GÜVENLİK HİZMETLERİ YÖNETİMİ KONTROLLERİ
K1.Kurum bünyesinde güvenliğe dair standart, onaylı ve sürekli bir bakış açısıyla bir bilgi güvenliği yönetim sistemi (BGYS) oluşturulur. K2.Bilgi güvenliğinden kaynaklanabilecek risklerin nasıl yönetileceğinin belirlendiği, kurumsal strateji ve kurumsal mimariye uygun bir bilgi güvenliği planı hazırlanır. K3.Kurum bünyesinde bilgi güvenliği uygulamalarının sürekli olarak gelişmesi için BGYS izlenir ve gözden geçirilir. K4. Kurum bilgi sistemleri üzerinde önleyici, tespit edici ve düzeltici değişikliklerin gerçekleştirilmesi ve kurum bünyesinde bu değişikliklere paralel olarak güvenlik yamalarının ve anti-virüs uygulamalarının kullanılması gibi önlemlerin alınması ile BT uygulamaları ve altyapılarının kötü amaçlı yazılımlardan etkilenme riski azaltılır. K5.İletişim ortamındaki bilgilerin korunması için kurum bünyesindeki bilgi sistemleri ağının güvenliği sağlanmalıdır.
13
GÜVENLİK HİZMETLERİ YÖNETİMİ KONTROLLERİ
K6.Kurum ağı erişim noktaları (dizüstü bilgisayarlar, masaüstü bilgisayarlar, sunucular ve diğer mobil ve ağ aygıtları ve yazılımlar), kurum ağı üzerinden iletilen veri için tanımlanan gerekli minimum güvenlik seviyelerini karşılamalıdır. K7.Tüm kullanıcılar, bilgi sistemleri üzerinde iş tanımları ile paralel, ihtiyaç duyacakları en az seviyede erişim yetkilerine sahip olmalıdır. K8.İş gereksinimlerini ve acil durumları göz önünde bulundurarak; binalara, tesislere ve kritik alanlara fiziksel erişimler için yetki verme, yetki kısıtlama ve bu yetkileri iptal etmeye yönelik prosedürler tanımlanmalıdır. Bu alanlara erişimlerin kontrollü olmasının yanında yetkilerin tümü onaya istinaden verilmeli, denetim izleri tutulmalı ve gözden geçirilmelidir. Bu kontroller ilgili alanlara fiziksel erişimi olan daimi ve geçici çalışanlara, ziyaretçilere, vatandaşlara, tedarikçilere veya tüm üçüncü şahıslar dahil olmak üzere herkese uygulanmalıdır.
14
GÜVENLİK HİZMETLERİ YÖNETİMİ KONTROLLERİ
K9.Kurum bünyesinde kullanılan hassas ve bilgi güvenliği açısından kritik bilgi teknolojileri cihazları, özel formlar, kıymetli evrak, özel ihtiyaca yönelik yazıcı ve güvenli anahtar (şifre) üreticiler üzerinde uygun fiziksel güvenlik önlemleri ve envanter (döküm) yönetimi teknikleri uygulanmalıdır. K10.Kurum bilgi sistemleri altyapısı yetkisiz erişimlere karşı izlenir ve bilgi sistemleri altyapısı üzerindeki tüm faaliyetlerin olay izleme ve vaka yönetimi süreci içerisinde kapsandığı teyit edilir.
Benzer bir sunumlar
© 2024 SlidePlayer.biz.tr Inc.
All rights reserved.