ݺߣ

ݺߣShare a Scribd company logo
ISO 27001 RİSK Öİİ
Çevre Mühendisi/Çevre Görevlisi
YÖNETİM DANIŞMANI/BAŞ DENETÇİ
C SINIFI İŞ SAĞLIĞI VE GÜVENLİĞİ UZMANI
FERHAT CAMGÖZ
EĞİTİMİN ANA HATLARI
• Bölüm 1: RİSK Öİİ
• Bölüm 2: RİSK ANALİZİ TERMİNOLOJİSİ
• Bölüm 3: VARLIK –TEHDİT –ZAFİYET –KONTROL
•Bölüm 4: RİSK Öİİ TERMİNOLOJİSİ
•Bölüm 5:UYGUN ÖNLEMLERİN (KONTROLLERİN)
BELİRLENMESİ
•Bölüm 6: RİSK İYİLEŞTİRME շ鱷İ󳢷İ
14.4.2014www.ictsert.com.tr
BÖLÜM 1: RİSK Öİİ
RİSK Öİİ
RİSK Öİİ NEDEN ÖNEMLİDİR?
•“%100 güvenlik” mümkün değildir!
•“Sıfır risk” ortamı yoktur ve her zaman yönetilmesi gereken riskler
vardır.
•Risk analiziyle ortama özgü riskler anlaşılır.
•Gerekli önlemler (kontroller) bu analiz ışığında belirlenir.
•Kontroller uygulanarak riskler kabul edilir seviyeye indirilir.
•ISO 27001 risk yönetimi tabanlı bir yaklaşımı benimsemiştir.
RİSK Öİİ
•Önemli bir karar verme aracıdır.
•Üst yönetime mevcut güvenlik seviyesi ve hedefe
yakınlığı ile ilgili bilgi sağlar, bilgi güvenliği kararlarının
verilmesine ışık tutar.
•Kontrolün maliyeti ve faydası arasındaki dengenin
kurulabilmesi için yol gösterir.
Bölüm 2:
RİSK ANALİZİ շİİİ:
RİSK ANALİZİ TERMİNOLOJİSİ
14.4.2014www.ictsert.com.tr
VARLIK :
Kurum için değer taşıyan ve korunması gereken her şey varlık olarak
tanımlanır.Varlıklar süreç akışları incelenerek belirlenir.
•Çeşitli ortamlardaki bilgiler
•İnsanlar
•Kayıtlar
•Donanımlar
•Yazılımlar
•Tesisler
•İmaj
•Süreçler
•İşlemler
VARLIK SAHİBİ:
İŞ SAHİBİ
Varlığın değerini ve risklerini en iyi bilen ve risk analizi
sürecinde bu kararları veren, korunma gereksinimini
belirleyen birim veya kişidir.
TEKNİK SAHİBİ:
Varlığı belirlenen gereksinimine uygun olarak
korunmasından sorumlu olan birim veya kişidir.
RİSK ANALİZİ TERMİNOLOJİSİ
•TEHDİT :Bir varlığa zarar verme olasılığı olan olaylar tehdit olarak
tanımlanır.
•Sabotaj
•Hırsızlık
•Yangın
•Deprem
•Su baskını
•Donanım arızaları
•İnsan hataları
•Kötü niyetli girişimler vb.
RİSK ANALİZİ TERMİNOLOJİSİ
•ZAFİYET:Bir varlığın bir tehditten zarar görmesine yol
açacak zayıflıklar, varlığın korunmasız olma halidir.
•Eğitimsiz insanlar
•Zayıf şifreler
•Hatalı kurulan cihazlar
•Kilitsiz kapılar
•Yetkisiz erişilebilen sistemler, odalar vb.
RİSK ANALİZİ TERMİNOLOJİSİ
•Kontrol:Zafiyeti veya tehditlerin etkisini azaltma yeteneği
olan, sistemler ve süreçlerdir.
•Kartlı giriş sistemleri
•Anti virüs sistemleri
•Alarm sistemleri
•Güçlü şifreler
•İzleme sistemleri
•Politika ve prosedürler
RİSK ANALİZİ TERMİNOLOJİSİ
Bölüm 3:
VARLIK –TEHDİT –ZAFİYET –KONTROL
14.4.2014www.ictsert.com.tr
•Risk analizi bu kavramlar arasındaki ilişkiyi inceleyerek,
mevcut risk durumunu ortaya çıkarır.
•Risk analizi sonuçları sadece yapıldığı anı gösteren bir
fotoğraf gibidir. Varlıklar, tehditler, zafiyetler ve
kontroller sürekli değişkenlik gösterir.
VARLIK –TEHDİT –ZAFİYET –KONTROL
BİLGİ GÜVENLİĞİNİ SAĞLAMAK İÇİN...
Risklerin farkında olmamız ve
•Varlıklar
•Tehditler
•Zafiyetler
•Kontroller
arasındaki ilişkiyi bilmemiz gerekir.
RİSKLERİN FARKINDA OLMAK BİLGİ GÜVENLİĞİNİ
SAĞLAMANIN İLK ADIMIDIR!
VARLIK –TEHDİT –ZAFİYET –KONTROL
Bölüm 4:
RİSK Öİİ շİİİ:
14.4.2014www.ictsert.com.tr
•Risk Yönetimi :Bir kurumu riskleri açısından kontrol
etmek ve yönlendirmek için yapılan koordinasyon
altındaki çalışmalardır.
Risk yönetimi, risk analizi, risk işleme, risk kabulü ve
riskin duyurulması faaliyetlerinin tümünü kapsar.
•Risk İşleme :Risk seviyelerini düşürmek için önlemlerin
seçimi, planlanması ve uygulanması gibi etkinlikleridir.
RİSK Öİİ TERMİNOLOJİSİ
•KALAN RİSK :Risk işleme sürecinden sonra artakalan
risktir. Alınan tüm önlemler, mevcut tehdit ve zafiyet
seviyeleri göz önüne alınarak düşünülür.
•RİSK KABULÜ :Yönetimin riski göze alma kararıdır. Bu
noktadan sonra yeni kontroller gerekli değildir.
•RİSK KABUL KRİTERİ :Yönetimin kabul edilebilir olarak
açıkladığı risk seviyesi ve bunu karşılayan kontrollerdir.
RİSK Öİİ TERMİNOLOJİSİ
Bölüm 5:
UYGUN ÖNLEMLERİN (KONTROLLERİN)
BELİRLENMESİ
14.4.2014www.ictsert.com.tr
•Kontroller, tehdide yol açan zafiyetleri azaltacak veya
tehdidin gerçekleşme olasılığını düşürecek önlemlerdir.
•ISO 27002 standardında tavsiye niteliğinde yaklaşık 130
tane kontrol bulunmaktadır.
•Her varlık-tehdit çifti için uygun kontroller bu tavsiyeler
arasından seçilir.
•Yeterli olmadığı durumlarda, yeni önlemler de seçilebilir.
UYGUN ÖNLEMLERİN
(KONTROLLERİN) BELİRLENMESİ
Bu aşamada, atanan yeni kontrollerle risk değerleri kabul
edilebilir seviyeye çekilmiş olur.
•Bir kontrolün neden seçildiğini, daha önce belirlenen
varlık-tehdit atamaları ile ilişkilendirebilmek önemlidir.
Böylece risk analizinin sağlıklı bir şekilde yapıldığından
emin olabiliriz.
•Kontroller teknik veya yönetsel olabilir. Seçilen kontroller,
hazırlanacak olan politika dokümanları, standartlar ve
prosedürler içinde yer alır.
UYGUN ÖNLEMLERİN
(KONTROLLERİN) BELİRLENMESİ
Bölüm 6:
RİSK İYİLEŞTİRME շ鱷İ󳢷İ
14.4.2014www.ictsert.com.tr
•Üst yönetimin risklerin kabul edilmesiyle ilgili yaklaşımını, hangi
seviyedeki ve/veya ne tür riskleri kabul edeceğini bir diğer
deyişle risk kabul kriterlerini kararlaştırması gerekir.
•Her risk için kabul kriterlerine uygunluk baz alınarak ele alma
yöntemi belirlenir. Riskin;
•Kabul edilmesi
•Transfer edilmesi
•Yönetilmesi
•Önlenmesi
kararları verilebilir
RİSK İYİLEŞTİRME շ鱷İ󳢷İ
RİSK KARARLARI
Riskler yönetilirken aşağıdaki kararları verebiliriz:
•Riski göze almak (Kapı giriş kontrolü yapmamak, anti virüs sistemi
kullanmamak, eğitime önem vermemek ..)
•Risklerimizi başkasına aktarmak (yangın sigortası, mesleki sorumluluk
sigortası, hırsızlık sigortası yaptırmak, PCI),
•Risklerin olasılığını düşürecek önlemler almak (Çelik kapılar, alarm
sistemleri, temiz masa, temiz ekran, izleme sistemleri, yangın
detektörü)
•Risklerin etkisini azaltacak önlemler almak (Yangın söndürücü,
antivirüs sistemleri, güvenlik testleri).
•Riskten sakınmak (Belli bir uygulamayı devreye almamak..)
TÜM KATILIMCILARA
TEŞEKKÜR EDERİM
Ferhat CAMGÖZ
ferhat@ictsert.com.tr

More Related Content

ISO 27001 RİSK DEĞERLENDİRME EĞİTİMİ

  • 1. ISO 27001 RİSK Öİİ Çevre Mühendisi/Çevre Görevlisi YÖNETİM DANIŞMANI/BAŞ DENETÇİ C SINIFI İŞ SAĞLIĞI VE GÜVENLİĞİ UZMANI FERHAT CAMGÖZ
  • 2. EĞİTİMİN ANA HATLARI • Bölüm 1: RİSK Öİİ • Bölüm 2: RİSK ANALİZİ TERMİNOLOJİSİ • Bölüm 3: VARLIK –TEHDİT –ZAFİYET –KONTROL •Bölüm 4: RİSK Öİİ TERMİNOLOJİSİ •Bölüm 5:UYGUN ÖNLEMLERİN (KONTROLLERİN) BELİRLENMESİ •Bölüm 6: RİSK İYİLEŞTİRME շ鱷İ󳢷İ 14.4.2014www.ictsert.com.tr
  • 4. RİSK Öİİ RİSK Öİİ NEDEN ÖNEMLİDİR? •“%100 güvenlik” mümkün değildir! •“Sıfır risk” ortamı yoktur ve her zaman yönetilmesi gereken riskler vardır. •Risk analiziyle ortama özgü riskler anlaşılır. •Gerekli önlemler (kontroller) bu analiz ışığında belirlenir. •Kontroller uygulanarak riskler kabul edilir seviyeye indirilir. •ISO 27001 risk yönetimi tabanlı bir yaklaşımı benimsemiştir.
  • 5. RİSK Öİİ •Önemli bir karar verme aracıdır. •Üst yönetime mevcut güvenlik seviyesi ve hedefe yakınlığı ile ilgili bilgi sağlar, bilgi güvenliği kararlarının verilmesine ışık tutar. •Kontrolün maliyeti ve faydası arasındaki dengenin kurulabilmesi için yol gösterir.
  • 7. RİSK ANALİZİ TERMİNOLOJİSİ 14.4.2014www.ictsert.com.tr VARLIK : Kurum için değer taşıyan ve korunması gereken her şey varlık olarak tanımlanır.Varlıklar süreç akışları incelenerek belirlenir. •Çeşitli ortamlardaki bilgiler •İnsanlar •Kayıtlar •Donanımlar •Yazılımlar •Tesisler •İmaj •Süreçler •İşlemler
  • 8. VARLIK SAHİBİ: İŞ SAHİBİ Varlığın değerini ve risklerini en iyi bilen ve risk analizi sürecinde bu kararları veren, korunma gereksinimini belirleyen birim veya kişidir. TEKNİK SAHİBİ: Varlığı belirlenen gereksinimine uygun olarak korunmasından sorumlu olan birim veya kişidir. RİSK ANALİZİ TERMİNOLOJİSİ
  • 9. •TEHDİT :Bir varlığa zarar verme olasılığı olan olaylar tehdit olarak tanımlanır. •Sabotaj •Hırsızlık •Yangın •Deprem •Su baskını •Donanım arızaları •İnsan hataları •Kötü niyetli girişimler vb. RİSK ANALİZİ TERMİNOLOJİSİ
  • 10. •ZAFİYET:Bir varlığın bir tehditten zarar görmesine yol açacak zayıflıklar, varlığın korunmasız olma halidir. •Eğitimsiz insanlar •Zayıf şifreler •Hatalı kurulan cihazlar •Kilitsiz kapılar •Yetkisiz erişilebilen sistemler, odalar vb. RİSK ANALİZİ TERMİNOLOJİSİ
  • 11. •Kontrol:Zafiyeti veya tehditlerin etkisini azaltma yeteneği olan, sistemler ve süreçlerdir. •Kartlı giriş sistemleri •Anti virüs sistemleri •Alarm sistemleri •Güçlü şifreler •İzleme sistemleri •Politika ve prosedürler RİSK ANALİZİ TERMİNOLOJİSİ
  • 12. Bölüm 3: VARLIK –TEHDİT –ZAFİYET –KONTROL
  • 13. 14.4.2014www.ictsert.com.tr •Risk analizi bu kavramlar arasındaki ilişkiyi inceleyerek, mevcut risk durumunu ortaya çıkarır. •Risk analizi sonuçları sadece yapıldığı anı gösteren bir fotoğraf gibidir. Varlıklar, tehditler, zafiyetler ve kontroller sürekli değişkenlik gösterir. VARLIK –TEHDİT –ZAFİYET –KONTROL
  • 14. BİLGİ GÜVENLİĞİNİ SAĞLAMAK İÇİN... Risklerin farkında olmamız ve •Varlıklar •Tehditler •Zafiyetler •Kontroller arasındaki ilişkiyi bilmemiz gerekir. RİSKLERİN FARKINDA OLMAK BİLGİ GÜVENLİĞİNİ SAĞLAMANIN İLK ADIMIDIR! VARLIK –TEHDİT –ZAFİYET –KONTROL
  • 16. 14.4.2014www.ictsert.com.tr •Risk Yönetimi :Bir kurumu riskleri açısından kontrol etmek ve yönlendirmek için yapılan koordinasyon altındaki çalışmalardır. Risk yönetimi, risk analizi, risk işleme, risk kabulü ve riskin duyurulması faaliyetlerinin tümünü kapsar. •Risk İşleme :Risk seviyelerini düşürmek için önlemlerin seçimi, planlanması ve uygulanması gibi etkinlikleridir. RİSK Öİİ TERMİNOLOJİSİ
  • 17. •KALAN RİSK :Risk işleme sürecinden sonra artakalan risktir. Alınan tüm önlemler, mevcut tehdit ve zafiyet seviyeleri göz önüne alınarak düşünülür. •RİSK KABULÜ :Yönetimin riski göze alma kararıdır. Bu noktadan sonra yeni kontroller gerekli değildir. •RİSK KABUL KRİTERİ :Yönetimin kabul edilebilir olarak açıkladığı risk seviyesi ve bunu karşılayan kontrollerdir. RİSK Öİİ TERMİNOLOJİSİ
  • 18. Bölüm 5: UYGUN ÖNLEMLERİN (KONTROLLERİN) BELİRLENMESİ
  • 19. 14.4.2014www.ictsert.com.tr •Kontroller, tehdide yol açan zafiyetleri azaltacak veya tehdidin gerçekleşme olasılığını düşürecek önlemlerdir. •ISO 27002 standardında tavsiye niteliğinde yaklaşık 130 tane kontrol bulunmaktadır. •Her varlık-tehdit çifti için uygun kontroller bu tavsiyeler arasından seçilir. •Yeterli olmadığı durumlarda, yeni önlemler de seçilebilir. UYGUN ÖNLEMLERİN (KONTROLLERİN) BELİRLENMESİ
  • 20. Bu aşamada, atanan yeni kontrollerle risk değerleri kabul edilebilir seviyeye çekilmiş olur. •Bir kontrolün neden seçildiğini, daha önce belirlenen varlık-tehdit atamaları ile ilişkilendirebilmek önemlidir. Böylece risk analizinin sağlıklı bir şekilde yapıldığından emin olabiliriz. •Kontroller teknik veya yönetsel olabilir. Seçilen kontroller, hazırlanacak olan politika dokümanları, standartlar ve prosedürler içinde yer alır. UYGUN ÖNLEMLERİN (KONTROLLERİN) BELİRLENMESİ
  • 22. 14.4.2014www.ictsert.com.tr •Üst yönetimin risklerin kabul edilmesiyle ilgili yaklaşımını, hangi seviyedeki ve/veya ne tür riskleri kabul edeceğini bir diğer deyişle risk kabul kriterlerini kararlaştırması gerekir. •Her risk için kabul kriterlerine uygunluk baz alınarak ele alma yöntemi belirlenir. Riskin; •Kabul edilmesi •Transfer edilmesi •Yönetilmesi •Önlenmesi kararları verilebilir RİSK İYİLEŞTİRME շ鱷İ󳢷İ
  • 23. RİSK KARARLARI Riskler yönetilirken aşağıdaki kararları verebiliriz: •Riski göze almak (Kapı giriş kontrolü yapmamak, anti virüs sistemi kullanmamak, eğitime önem vermemek ..) •Risklerimizi başkasına aktarmak (yangın sigortası, mesleki sorumluluk sigortası, hırsızlık sigortası yaptırmak, PCI), •Risklerin olasılığını düşürecek önlemler almak (Çelik kapılar, alarm sistemleri, temiz masa, temiz ekran, izleme sistemleri, yangın detektörü) •Risklerin etkisini azaltacak önlemler almak (Yangın söndürücü, antivirüs sistemleri, güvenlik testleri). •Riskten sakınmak (Belli bir uygulamayı devreye almamak..)
  • 24. TÜM KATILIMCILARA TEŞEKKÜR EDERİM Ferhat CAMGÖZ ferhat@ictsert.com.tr