SlideShare una empresa de Scribd logo

ISO 27001 RİSK DEĞERLENDİRME EĞİTİMİ

Ferhat CAMGÖZ
Ferhat CAMGÖZ

ISO 27001 RİSK DEĞERLENDİRME EĞİTİMİ

Educación
1 de 24
ISO 27001 RİSK YÖNETİMİ Çevre Mühendisi/Çevre Görevlisi YÖNETİM DANIŞMANI/BAŞ DENETÇİ C SINIFI İŞ SAĞLIĞI VE GÜVENLİĞİ UZMANI FERHAT CAMGÖZ
EĞİTİMİN ANA HATLARI • Bölüm 1: RİSK YÖNETİMİ • Bölüm 2: RİSK ANALİZİ TERMİNOLOJİSİ • Bölüm 3: VARLIK –TEHDİT –ZAFİYET –KONTROL •Bölüm 4: RİSK YÖNETİMİ TERMİNOLOJİSİ •Bölüm 5:UYGUN ÖNLEMLERİN (KONTROLLERİN) BELİRLENMESİ •Bölüm 6: RİSK İYİLEŞTİRME ALTERNATİFLERİ 14.4.2014www.ictsert.com.tr
BÖLÜM 1: RİSK YÖNETİMİ
RİSK YÖNETİMİ RİSK YÖNETİMİ NEDEN ÖNEMLİDİR? •“%100 güvenlik” mümkün değildir! •“Sıfır risk” ortamı yoktur ve her zaman yönetilmesi gereken riskler vardır. •Risk analiziyle ortama özgü riskler anlaşılır. •Gerekli önlemler (kontroller) bu analiz ışığında belirlenir. •Kontroller uygulanarak riskler kabul edilir seviyeye indirilir. •ISO 27001 risk yönetimi tabanlı bir yaklaşımı benimsemiştir.
RİSK YÖNETİMİ •Önemli bir karar verme aracıdır. •Üst yönetime mevcut güvenlik seviyesi ve hedefe yakınlığı ile ilgili bilgi sağlar, bilgi güvenliği kararlarının verilmesine ışık tutar. •Kontrolün maliyeti ve faydası arasındaki dengenin kurulabilmesi için yol gösterir.
Bölüm 2: RİSK ANALİZİ TERMİNOLOJİSİ:
RİSK ANALİZİ TERMİNOLOJİSİ 14.4.2014www.ictsert.com.tr VARLIK : Kurum için değer taşıyan ve korunması gereken her şey varlık olarak tanımlanır.Varlıklar süreç akışları incelenerek belirlenir. •Çeşitli ortamlardaki bilgiler •İnsanlar •Kayıtlar •Donanımlar •Yazılımlar •Tesisler •İmaj •Süreçler •İşlemler
VARLIK SAHİBİ: İŞ SAHİBİ Varlığın değerini ve risklerini en iyi bilen ve risk analizi sürecinde bu kararları veren, korunma gereksinimini belirleyen birim veya kişidir. TEKNİK SAHİBİ: Varlığı belirlenen gereksinimine uygun olarak korunmasından sorumlu olan birim veya kişidir. RİSK ANALİZİ TERMİNOLOJİSİ
•TEHDİT :Bir varlığa zarar verme olasılığı olan olaylar tehdit olarak tanımlanır. •Sabotaj •Hırsızlık •Yangın •Deprem •Su baskını •Donanım arızaları •İnsan hataları •Kötü niyetli girişimler vb. RİSK ANALİZİ TERMİNOLOJİSİ
•ZAFİYET:Bir varlığın bir tehditten zarar görmesine yol açacak zayıflıklar, varlığın korunmasız olma halidir. •Eğitimsiz insanlar •Zayıf şifreler •Hatalı kurulan cihazlar •Kilitsiz kapılar •Yetkisiz erişilebilen sistemler, odalar vb. RİSK ANALİZİ TERMİNOLOJİSİ
•Kontrol:Zafiyeti veya tehditlerin etkisini azaltma yeteneği olan, sistemler ve süreçlerdir. •Kartlı giriş sistemleri •Anti virüs sistemleri •Alarm sistemleri •Güçlü şifreler •İzleme sistemleri •Politika ve prosedürler RİSK ANALİZİ TERMİNOLOJİSİ
Bölüm 3: VARLIK –TEHDİT –ZAFİYET –KONTROL
14.4.2014www.ictsert.com.tr •Risk analizi bu kavramlar arasındaki ilişkiyi inceleyerek, mevcut risk durumunu ortaya çıkarır. •Risk analizi sonuçları sadece yapıldığı anı gösteren bir fotoğraf gibidir. Varlıklar, tehditler, zafiyetler ve kontroller sürekli değişkenlik gösterir. VARLIK –TEHDİT –ZAFİYET –KONTROL
BİLGİ GÜVENLİĞİNİ SAĞLAMAK İÇİN... Risklerin farkında olmamız ve •Varlıklar •Tehditler •Zafiyetler •Kontroller arasındaki ilişkiyi bilmemiz gerekir. RİSKLERİN FARKINDA OLMAK BİLGİ GÜVENLİĞİNİ SAĞLAMANIN İLK ADIMIDIR! VARLIK –TEHDİT –ZAFİYET –KONTROL
Bölüm 4: RİSK YÖNETİMİ TERMİNOLOJİSİ:
14.4.2014www.ictsert.com.tr •Risk Yönetimi :Bir kurumu riskleri açısından kontrol etmek ve yönlendirmek için yapılan koordinasyon altındaki çalışmalardır. Risk yönetimi, risk analizi, risk işleme, risk kabulü ve riskin duyurulması faaliyetlerinin tümünü kapsar. •Risk İşleme :Risk seviyelerini düşürmek için önlemlerin seçimi, planlanması ve uygulanması gibi etkinlikleridir. RİSK YÖNETİMİ TERMİNOLOJİSİ
•KALAN RİSK :Risk işleme sürecinden sonra artakalan risktir. Alınan tüm önlemler, mevcut tehdit ve zafiyet seviyeleri göz önüne alınarak düşünülür. •RİSK KABULÜ :Yönetimin riski göze alma kararıdır. Bu noktadan sonra yeni kontroller gerekli değildir. •RİSK KABUL KRİTERİ :Yönetimin kabul edilebilir olarak açıkladığı risk seviyesi ve bunu karşılayan kontrollerdir. RİSK YÖNETİMİ TERMİNOLOJİSİ
Bölüm 5: UYGUN ÖNLEMLERİN (KONTROLLERİN) BELİRLENMESİ
14.4.2014www.ictsert.com.tr •Kontroller, tehdide yol açan zafiyetleri azaltacak veya tehdidin gerçekleşme olasılığını düşürecek önlemlerdir. •ISO 27002 standardında tavsiye niteliğinde yaklaşık 130 tane kontrol bulunmaktadır. •Her varlık-tehdit çifti için uygun kontroller bu tavsiyeler arasından seçilir. •Yeterli olmadığı durumlarda, yeni önlemler de seçilebilir. UYGUN ÖNLEMLERİN (KONTROLLERİN) BELİRLENMESİ
Bu aşamada, atanan yeni kontrollerle risk değerleri kabul edilebilir seviyeye çekilmiş olur. •Bir kontrolün neden seçildiğini, daha önce belirlenen varlık-tehdit atamaları ile ilişkilendirebilmek önemlidir. Böylece risk analizinin sağlıklı bir şekilde yapıldığından emin olabiliriz. •Kontroller teknik veya yönetsel olabilir. Seçilen kontroller, hazırlanacak olan politika dokümanları, standartlar ve prosedürler içinde yer alır. UYGUN ÖNLEMLERİN (KONTROLLERİN) BELİRLENMESİ
Bölüm 6: RİSK İYİLEŞTİRME ALTERNATİFLERİ
14.4.2014www.ictsert.com.tr •Üst yönetimin risklerin kabul edilmesiyle ilgili yaklaşımını, hangi seviyedeki ve/veya ne tür riskleri kabul edeceğini bir diğer deyişle risk kabul kriterlerini kararlaştırması gerekir. •Her risk için kabul kriterlerine uygunluk baz alınarak ele alma yöntemi belirlenir. Riskin; •Kabul edilmesi •Transfer edilmesi •Yönetilmesi •Önlenmesi kararları verilebilir RİSK İYİLEŞTİRME ALTERNATİFLERİ
RİSK KARARLARI Riskler yönetilirken aşağıdaki kararları verebiliriz: •Riski göze almak (Kapı giriş kontrolü yapmamak, anti virüs sistemi kullanmamak, eğitime önem vermemek ..) •Risklerimizi başkasına aktarmak (yangın sigortası, mesleki sorumluluk sigortası, hırsızlık sigortası yaptırmak, PCI), •Risklerin olasılığını düşürecek önlemler almak (Çelik kapılar, alarm sistemleri, temiz masa, temiz ekran, izleme sistemleri, yangın detektörü) •Risklerin etkisini azaltacak önlemler almak (Yangın söndürücü, antivirüs sistemleri, güvenlik testleri). •Riskten sakınmak (Belli bir uygulamayı devreye almamak..)
TÜM KATILIMCILARA TEŞEKKÜR EDERİM Ferhat CAMGÖZ ferhat@ictsert.com.tr

Recomendados

ISO 27001 BGYS DOKÜMANTASYON EĞİTİMİ
ISO 27001 BGYS DOKÜMANTASYON EĞİTİMİISO 27001 BGYS DOKÜMANTASYON EĞİTİMİ
ISO 27001 BGYS DOKÜMANTASYON EĞİTİMİ
Ferhat CAMGÖZ
 
BTRISK ISO27001 UYGULAMA EGITIMI SUNUMU
BTRISK ISO27001 UYGULAMA EGITIMI SUNUMUBTRISK ISO27001 UYGULAMA EGITIMI SUNUMU
BTRISK ISO27001 UYGULAMA EGITIMI SUNUMU
BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
ISO 27001 BGYS TEMEL EĞİTİMİ
ISO 27001 BGYS TEMEL EĞİTİMİISO 27001 BGYS TEMEL EĞİTİMİ
ISO 27001 BGYS TEMEL EĞİTİMİ
Ferhat CAMGÖZ
 
Performance Analysis of Ipv4 Ipv6 Transition Techniques
Performance Analysis of Ipv4 Ipv6 Transition TechniquesPerformance Analysis of Ipv4 Ipv6 Transition Techniques
Performance Analysis of Ipv4 Ipv6 Transition Techniques
Andy Juan Sarango Veliz
 
BTRisk ISO 27001:2013 Bilgilendirme ve İç Denetim Eğitimi Sunumu
BTRisk ISO 27001:2013 Bilgilendirme ve İç Denetim Eğitimi SunumuBTRisk ISO 27001:2013 Bilgilendirme ve İç Denetim Eğitimi Sunumu
BTRisk ISO 27001:2013 Bilgilendirme ve İç Denetim Eğitimi Sunumu
BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Yeni Nesil DDOS Saldırıları ve Korunma Yöntemleri
Yeni Nesil DDOS Saldırıları ve Korunma YöntemleriYeni Nesil DDOS Saldırıları ve Korunma Yöntemleri
Yeni Nesil DDOS Saldırıları ve Korunma Yöntemleri
BGA Cyber Security
 
Siber Saldırılar i̇çin Erken Uyarı Sistemi
Siber Saldırılar i̇çin Erken Uyarı SistemiSiber Saldırılar i̇çin Erken Uyarı Sistemi
Siber Saldırılar i̇çin Erken Uyarı Sistemi
BGA Cyber Security
 
Yazılım Güvenliği Temelleri
Yazılım Güvenliği TemelleriYazılım Güvenliği Temelleri
Yazılım Güvenliği Temelleri
BGA Cyber Security
 

Recomendados

ISO 27001 BGYS DOKÜMANTASYON EĞİTİMİ
ISO 27001 BGYS DOKÜMANTASYON EĞİTİMİISO 27001 BGYS DOKÜMANTASYON EĞİTİMİ
ISO 27001 BGYS DOKÜMANTASYON EĞİTİMİ
Ferhat CAMGÖZ
 
BTRISK ISO27001 UYGULAMA EGITIMI SUNUMU
BTRISK ISO27001 UYGULAMA EGITIMI SUNUMUBTRISK ISO27001 UYGULAMA EGITIMI SUNUMU
BTRISK ISO27001 UYGULAMA EGITIMI SUNUMU
BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
ISO 27001 BGYS TEMEL EĞİTİMİ
ISO 27001 BGYS TEMEL EĞİTİMİISO 27001 BGYS TEMEL EĞİTİMİ
ISO 27001 BGYS TEMEL EĞİTİMİ
Ferhat CAMGÖZ
 
Performance Analysis of Ipv4 Ipv6 Transition Techniques
Performance Analysis of Ipv4 Ipv6 Transition TechniquesPerformance Analysis of Ipv4 Ipv6 Transition Techniques
Performance Analysis of Ipv4 Ipv6 Transition Techniques
Andy Juan Sarango Veliz
 
BTRisk ISO 27001:2013 Bilgilendirme ve İç Denetim Eğitimi Sunumu
BTRisk ISO 27001:2013 Bilgilendirme ve İç Denetim Eğitimi SunumuBTRisk ISO 27001:2013 Bilgilendirme ve İç Denetim Eğitimi Sunumu
BTRisk ISO 27001:2013 Bilgilendirme ve İç Denetim Eğitimi Sunumu
BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Yeni Nesil DDOS Saldırıları ve Korunma Yöntemleri
Yeni Nesil DDOS Saldırıları ve Korunma YöntemleriYeni Nesil DDOS Saldırıları ve Korunma Yöntemleri
Yeni Nesil DDOS Saldırıları ve Korunma Yöntemleri
BGA Cyber Security
 
Siber Saldırılar i̇çin Erken Uyarı Sistemi
Siber Saldırılar i̇çin Erken Uyarı SistemiSiber Saldırılar i̇çin Erken Uyarı Sistemi
Siber Saldırılar i̇çin Erken Uyarı Sistemi
BGA Cyber Security
 
Yazılım Güvenliği Temelleri
Yazılım Güvenliği TemelleriYazılım Güvenliği Temelleri
Yazılım Güvenliği Temelleri
BGA Cyber Security
 
Alphorm.com Formation F5 BIG-IP LTM : Local Traffic Manager
Alphorm.com Formation F5 BIG-IP LTM : Local Traffic ManagerAlphorm.com Formation F5 BIG-IP LTM : Local Traffic Manager
Alphorm.com Formation F5 BIG-IP LTM : Local Traffic Manager
Alphorm
 
Arista: DevOps for Network Engineers
Arista: DevOps for Network EngineersArista: DevOps for Network Engineers
Arista: DevOps for Network Engineers
Philip DiLeo
 
SDN입문 (Overlay and Underlay)
SDN입문 (Overlay and Underlay)SDN입문 (Overlay and Underlay)
SDN입문 (Overlay and Underlay)
NAIM Networks, Inc.
 
Scheppach HM1
Scheppach HM1Scheppach HM1
Scheppach HM1
Slides of Nilz
 
Güvenli Veri Silme ve Dosya Kurtarma
Güvenli Veri Silme ve Dosya KurtarmaGüvenli Veri Silme ve Dosya Kurtarma
Güvenli Veri Silme ve Dosya Kurtarma
BGA Cyber Security
 
Bilgi Güvenliği Farkındalık Eğitimi Sunumu
Bilgi Güvenliği Farkındalık Eğitimi SunumuBilgi Güvenliği Farkındalık Eğitimi Sunumu
Bilgi Güvenliği Farkındalık Eğitimi Sunumu
BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Mobil Sistemler ve Uygulama Güvenliği
Mobil Sistemler ve Uygulama GüvenliğiMobil Sistemler ve Uygulama Güvenliği
Mobil Sistemler ve Uygulama Güvenliği
BGA Cyber Security
 
GÜVENLİ YAZILIM GELİŞTİRME EĞİTİMİ İÇERİĞİ
GÜVENLİ YAZILIM GELİŞTİRME EĞİTİMİ İÇERİĞİGÜVENLİ YAZILIM GELİŞTİRME EĞİTİMİ İÇERİĞİ
GÜVENLİ YAZILIM GELİŞTİRME EĞİTİMİ İÇERİĞİ
BGA Cyber Security
 
WhatsUp® Gold 2017 is IT monitoring reimagined
WhatsUp® Gold 2017 is IT monitoring reimaginedWhatsUp® Gold 2017 is IT monitoring reimagined
WhatsUp® Gold 2017 is IT monitoring reimagined
Sébastien Roques
 
DOS DDOS TESTLERİ
DOS DDOS TESTLERİ DOS DDOS TESTLERİ
DOS DDOS TESTLERİ
BGA Cyber Security
 
Splunk IT Service Intelligence Sandbox Guidebook
Splunk IT Service Intelligence Sandbox GuidebookSplunk IT Service Intelligence Sandbox Guidebook
Splunk IT Service Intelligence Sandbox Guidebook
Splunk
 
Kesif ve Zafiyet Tarama
Kesif ve Zafiyet TaramaKesif ve Zafiyet Tarama
Kesif ve Zafiyet Tarama
Ferhat Ozgur Catak
 
Cara mengkoneksikan wireless ke hidden ssid di windows
Cara mengkoneksikan wireless ke hidden ssid di windowsCara mengkoneksikan wireless ke hidden ssid di windows
Cara mengkoneksikan wireless ke hidden ssid di windows
Hamdan Paliwang
 
Nessus Kullanım Kitapçığı
Nessus Kullanım KitapçığıNessus Kullanım Kitapçığı
Nessus Kullanım Kitapçığı
BGA Cyber Security
 
PFRv3 – новое поколение технологии Performance Routing для интеллектуального ...
PFRv3 – новое поколение технологии Performance Routing для интеллектуального ...PFRv3 – новое поколение технологии Performance Routing для интеллектуального ...
PFRv3 – новое поколение технологии Performance Routing для интеллектуального ...
Cisco Russia
 
Android Zararlı Yazılım Analizi
Android Zararlı Yazılım AnaliziAndroid Zararlı Yazılım Analizi
Android Zararlı Yazılım Analizi
BGA Cyber Security
 
Temel Ağ Sızma Testine Giriş Dökümanı
Temel Ağ Sızma Testine Giriş DökümanıTemel Ağ Sızma Testine Giriş Dökümanı
Temel Ağ Sızma Testine Giriş Dökümanı
Ahmet Gürel
 
Caldera İle Saldırı Simülasyonu
Caldera İle Saldırı SimülasyonuCaldera İle Saldırı Simülasyonu
Caldera İle Saldırı Simülasyonu
BGA Cyber Security
 
Network Guvenligi Temelleri
Network Guvenligi TemelleriNetwork Guvenligi Temelleri
Network Guvenligi Temelleri
eroglu
 
Bilişim Sistemlerinde Adli Bilişim Analizi ve Bilgisayar Olayları İnceleme
Bilişim Sistemlerinde Adli Bilişim Analizi ve Bilgisayar Olayları İncelemeBilişim Sistemlerinde Adli Bilişim Analizi ve Bilgisayar Olayları İnceleme
Bilişim Sistemlerinde Adli Bilişim Analizi ve Bilgisayar Olayları İnceleme
BGA Cyber Security
 
Disasters-What you should and should not do
Disasters-What you should and should not doDisasters-What you should and should not do
Disasters-What you should and should not do
Molvareen Langstieh
 
Overview em comm_nuwan_day_one
Overview em comm_nuwan_day_oneOverview em comm_nuwan_day_one
Overview em comm_nuwan_day_one
Nuwan Waidyanatha
 

Más contenido relacionado

La actualidad más candente

Alphorm.com Formation F5 BIG-IP LTM : Local Traffic Manager
Alphorm.com Formation F5 BIG-IP LTM : Local Traffic ManagerAlphorm.com Formation F5 BIG-IP LTM : Local Traffic Manager
Alphorm.com Formation F5 BIG-IP LTM : Local Traffic Manager
Alphorm
 
Mobil Sistemler ve Uygulama Güvenliği
Mobil Sistemler ve Uygulama GüvenliğiMobil Sistemler ve Uygulama Güvenliği
Mobil Sistemler ve Uygulama Güvenliği
BGA Cyber Security
 
Nessus Kullanım Kitapçığı
Nessus Kullanım KitapçığıNessus Kullanım Kitapçığı
Nessus Kullanım Kitapçığı
BGA Cyber Security
 
Network Guvenligi Temelleri
Network Guvenligi TemelleriNetwork Guvenligi Temelleri
Network Guvenligi Temelleri
eroglu
 
Bilişim Sistemlerinde Adli Bilişim Analizi ve Bilgisayar Olayları İnceleme
Bilişim Sistemlerinde Adli Bilişim Analizi ve Bilgisayar Olayları İncelemeBilişim Sistemlerinde Adli Bilişim Analizi ve Bilgisayar Olayları İnceleme
Bilişim Sistemlerinde Adli Bilişim Analizi ve Bilgisayar Olayları İnceleme
BGA Cyber Security
 

La actualidad más candente (20)

Alphorm.com Formation F5 BIG-IP LTM : Local Traffic Manager
Alphorm.com Formation F5 BIG-IP LTM : Local Traffic ManagerAlphorm.com Formation F5 BIG-IP LTM : Local Traffic Manager
Alphorm.com Formation F5 BIG-IP LTM : Local Traffic Manager
 
Arista: DevOps for Network Engineers
Arista: DevOps for Network EngineersArista: DevOps for Network Engineers
Arista: DevOps for Network Engineers
 
SDN입문 (Overlay and Underlay)
SDN입문 (Overlay and Underlay)SDN입문 (Overlay and Underlay)
SDN입문 (Overlay and Underlay)
 
Scheppach HM1
Scheppach HM1Scheppach HM1
Scheppach HM1
 
Güvenli Veri Silme ve Dosya Kurtarma
Güvenli Veri Silme ve Dosya KurtarmaGüvenli Veri Silme ve Dosya Kurtarma
Güvenli Veri Silme ve Dosya Kurtarma
 
Bilgi Güvenliği Farkındalık Eğitimi Sunumu
Bilgi Güvenliği Farkındalık Eğitimi SunumuBilgi Güvenliği Farkındalık Eğitimi Sunumu
Bilgi Güvenliği Farkındalık Eğitimi Sunumu
 
Mobil Sistemler ve Uygulama Güvenliği
Mobil Sistemler ve Uygulama GüvenliğiMobil Sistemler ve Uygulama Güvenliği
Mobil Sistemler ve Uygulama Güvenliği
 
GÜVENLİ YAZILIM GELİŞTİRME EĞİTİMİ İÇERİĞİ
GÜVENLİ YAZILIM GELİŞTİRME EĞİTİMİ İÇERİĞİGÜVENLİ YAZILIM GELİŞTİRME EĞİTİMİ İÇERİĞİ
GÜVENLİ YAZILIM GELİŞTİRME EĞİTİMİ İÇERİĞİ
 
WhatsUp® Gold 2017 is IT monitoring reimagined
WhatsUp® Gold 2017 is IT monitoring reimaginedWhatsUp® Gold 2017 is IT monitoring reimagined
WhatsUp® Gold 2017 is IT monitoring reimagined
 
DOS DDOS TESTLERİ
DOS DDOS TESTLERİ DOS DDOS TESTLERİ
DOS DDOS TESTLERİ
 
Splunk IT Service Intelligence Sandbox Guidebook
Splunk IT Service Intelligence Sandbox GuidebookSplunk IT Service Intelligence Sandbox Guidebook
Splunk IT Service Intelligence Sandbox Guidebook
 
Kesif ve Zafiyet Tarama
Kesif ve Zafiyet TaramaKesif ve Zafiyet Tarama
Kesif ve Zafiyet Tarama
 
Cara mengkoneksikan wireless ke hidden ssid di windows
Cara mengkoneksikan wireless ke hidden ssid di windowsCara mengkoneksikan wireless ke hidden ssid di windows
Cara mengkoneksikan wireless ke hidden ssid di windows
 
Nessus Kullanım Kitapçığı
Nessus Kullanım KitapçığıNessus Kullanım Kitapçığı
Nessus Kullanım Kitapçığı
 
PFRv3 – новое поколение технологии Performance Routing для интеллектуального ...
PFRv3 – новое поколение технологии Performance Routing для интеллектуального ...PFRv3 – новое поколение технологии Performance Routing для интеллектуального ...
PFRv3 – новое поколение технологии Performance Routing для интеллектуального ...
 
Android Zararlı Yazılım Analizi
Android Zararlı Yazılım AnaliziAndroid Zararlı Yazılım Analizi
Android Zararlı Yazılım Analizi
 
Temel Ağ Sızma Testine Giriş Dökümanı
Temel Ağ Sızma Testine Giriş DökümanıTemel Ağ Sızma Testine Giriş Dökümanı
Temel Ağ Sızma Testine Giriş Dökümanı
 
Caldera İle Saldırı Simülasyonu
Caldera İle Saldırı SimülasyonuCaldera İle Saldırı Simülasyonu
Caldera İle Saldırı Simülasyonu
 
Network Guvenligi Temelleri
Network Guvenligi TemelleriNetwork Guvenligi Temelleri
Network Guvenligi Temelleri
 
Bilişim Sistemlerinde Adli Bilişim Analizi ve Bilgisayar Olayları İnceleme
Bilişim Sistemlerinde Adli Bilişim Analizi ve Bilgisayar Olayları İncelemeBilişim Sistemlerinde Adli Bilişim Analizi ve Bilgisayar Olayları İnceleme
Bilişim Sistemlerinde Adli Bilişim Analizi ve Bilgisayar Olayları İnceleme
 

Destacado

Destacado (8)

Disasters-What you should and should not do
Disasters-What you should and should not doDisasters-What you should and should not do
Disasters-What you should and should not do
 
Overview em comm_nuwan_day_one
Overview em comm_nuwan_day_oneOverview em comm_nuwan_day_one
Overview em comm_nuwan_day_one
 
NEUSSNER-Risk maps for the support of reconstruction after Typhoon Haiyan-ID1...
NEUSSNER-Risk maps for the support of reconstruction after Typhoon Haiyan-ID1...NEUSSNER-Risk maps for the support of reconstruction after Typhoon Haiyan-ID1...
NEUSSNER-Risk maps for the support of reconstruction after Typhoon Haiyan-ID1...
 
Disaster Risk Reduction Terminology
Disaster Risk Reduction TerminologyDisaster Risk Reduction Terminology
Disaster Risk Reduction Terminology
 
Human health risk assessment
Human health risk assessmentHuman health risk assessment
Human health risk assessment
 
Biosafety- Pankaj Dhaka (08-05-2015)
Biosafety- Pankaj Dhaka (08-05-2015)Biosafety- Pankaj Dhaka (08-05-2015)
Biosafety- Pankaj Dhaka (08-05-2015)
 
Biosafety
Biosafety Biosafety
Biosafety
 
Electrical hazards and safety measures
Electrical hazards and safety measuresElectrical hazards and safety measures
Electrical hazards and safety measures
 

Similar a ISO 27001 RİSK DEĞERLENDİRME EĞİTİMİ

Bilgi Guvenligi Temel Kavramlar
Bilgi Guvenligi Temel Kavramlar Bilgi Guvenligi Temel Kavramlar
Bilgi Guvenligi Temel Kavramlar
Fatih Ozavci
 
Bu eitim modlnde sunulan biyolojik tehlike tanmndaki gve.pdf
Bu eitim modlnde sunulan biyolojik tehlike tanmndaki gve.pdfBu eitim modlnde sunulan biyolojik tehlike tanmndaki gve.pdf
Bu eitim modlnde sunulan biyolojik tehlike tanmndaki gve.pdf
jaipur2
 

Similar a ISO 27001 RİSK DEĞERLENDİRME EĞİTİMİ (8)

Denetim - Güncel Yaklaşımlar
Denetim - Güncel YaklaşımlarDenetim - Güncel Yaklaşımlar
Denetim - Güncel Yaklaşımlar
 
Risk değerlendirme serra
Risk değerlendirme serraRisk değerlendirme serra
Risk değerlendirme serra
 
Risk yonetimi ve degerlendirmesi
Risk yonetimi ve degerlendirmesiRisk yonetimi ve degerlendirmesi
Risk yonetimi ve degerlendirmesi
 
Özlem ÖZKILIÇ - Risk degerlendirme sunumu
Özlem ÖZKILIÇ - Risk degerlendirme sunumuÖzlem ÖZKILIÇ - Risk degerlendirme sunumu
Özlem ÖZKILIÇ - Risk degerlendirme sunumu
 
Riske maruz değer ve stres testi
Riske maruz değer ve stres testiRiske maruz değer ve stres testi
Riske maruz değer ve stres testi
 
Bilgi Guvenligi Temel Kavramlar
Bilgi Guvenligi Temel Kavramlar Bilgi Guvenligi Temel Kavramlar
Bilgi Guvenligi Temel Kavramlar
 
proses (2).ppt
proses (2).pptproses (2).ppt
proses (2).ppt
 
Bu eitim modlnde sunulan biyolojik tehlike tanmndaki gve.pdf
Bu eitim modlnde sunulan biyolojik tehlike tanmndaki gve.pdfBu eitim modlnde sunulan biyolojik tehlike tanmndaki gve.pdf
Bu eitim modlnde sunulan biyolojik tehlike tanmndaki gve.pdf
 

ISO 27001 RİSK DEĞERLENDİRME EĞİTİMİ

  • 1. ISO 27001 RİSK YÖNETİMİ Çevre Mühendisi/Çevre Görevlisi YÖNETİM DANIŞMANI/BAŞ DENETÇİ C SINIFI İŞ SAĞLIĞI VE GÜVENLİĞİ UZMANI FERHAT CAMGÖZ
  • 2. EĞİTİMİN ANA HATLARI • Bölüm 1: RİSK YÖNETİMİ • Bölüm 2: RİSK ANALİZİ TERMİNOLOJİSİ • Bölüm 3: VARLIK –TEHDİT –ZAFİYET –KONTROL •Bölüm 4: RİSK YÖNETİMİ TERMİNOLOJİSİ •Bölüm 5:UYGUN ÖNLEMLERİN (KONTROLLERİN) BELİRLENMESİ •Bölüm 6: RİSK İYİLEŞTİRME ALTERNATİFLERİ 14.4.2014www.ictsert.com.tr
  • 3. BÖLÜM 1: RİSK YÖNETİMİ
  • 4. RİSK YÖNETİMİ RİSK YÖNETİMİ NEDEN ÖNEMLİDİR? •“%100 güvenlik” mümkün değildir! •“Sıfır risk” ortamı yoktur ve her zaman yönetilmesi gereken riskler vardır. •Risk analiziyle ortama özgü riskler anlaşılır. •Gerekli önlemler (kontroller) bu analiz ışığında belirlenir. •Kontroller uygulanarak riskler kabul edilir seviyeye indirilir. •ISO 27001 risk yönetimi tabanlı bir yaklaşımı benimsemiştir.
  • 5. RİSK YÖNETİMİ •Önemli bir karar verme aracıdır. •Üst yönetime mevcut güvenlik seviyesi ve hedefe yakınlığı ile ilgili bilgi sağlar, bilgi güvenliği kararlarının verilmesine ışık tutar. •Kontrolün maliyeti ve faydası arasındaki dengenin kurulabilmesi için yol gösterir.
  • 6. Bölüm 2: RİSK ANALİZİ TERMİNOLOJİSİ:
  • 7. RİSK ANALİZİ TERMİNOLOJİSİ 14.4.2014www.ictsert.com.tr VARLIK : Kurum için değer taşıyan ve korunması gereken her şey varlık olarak tanımlanır.Varlıklar süreç akışları incelenerek belirlenir. •Çeşitli ortamlardaki bilgiler •İnsanlar •Kayıtlar •Donanımlar •Yazılımlar •Tesisler •İmaj •Süreçler •İşlemler
  • 8. VARLIK SAHİBİ: İŞ SAHİBİ Varlığın değerini ve risklerini en iyi bilen ve risk analizi sürecinde bu kararları veren, korunma gereksinimini belirleyen birim veya kişidir. TEKNİK SAHİBİ: Varlığı belirlenen gereksinimine uygun olarak korunmasından sorumlu olan birim veya kişidir. RİSK ANALİZİ TERMİNOLOJİSİ
  • 9. •TEHDİT :Bir varlığa zarar verme olasılığı olan olaylar tehdit olarak tanımlanır. •Sabotaj •Hırsızlık •Yangın •Deprem •Su baskını •Donanım arızaları •İnsan hataları •Kötü niyetli girişimler vb. RİSK ANALİZİ TERMİNOLOJİSİ
  • 10. •ZAFİYET:Bir varlığın bir tehditten zarar görmesine yol açacak zayıflıklar, varlığın korunmasız olma halidir. •Eğitimsiz insanlar •Zayıf şifreler •Hatalı kurulan cihazlar •Kilitsiz kapılar •Yetkisiz erişilebilen sistemler, odalar vb. RİSK ANALİZİ TERMİNOLOJİSİ
  • 11. •Kontrol:Zafiyeti veya tehditlerin etkisini azaltma yeteneği olan, sistemler ve süreçlerdir. •Kartlı giriş sistemleri •Anti virüs sistemleri •Alarm sistemleri •Güçlü şifreler •İzleme sistemleri •Politika ve prosedürler RİSK ANALİZİ TERMİNOLOJİSİ
  • 12. Bölüm 3: VARLIK –TEHDİT –ZAFİYET –KONTROL
  • 13. 14.4.2014www.ictsert.com.tr •Risk analizi bu kavramlar arasındaki ilişkiyi inceleyerek, mevcut risk durumunu ortaya çıkarır. •Risk analizi sonuçları sadece yapıldığı anı gösteren bir fotoğraf gibidir. Varlıklar, tehditler, zafiyetler ve kontroller sürekli değişkenlik gösterir. VARLIK –TEHDİT –ZAFİYET –KONTROL
  • 14. BİLGİ GÜVENLİĞİNİ SAĞLAMAK İÇİN... Risklerin farkında olmamız ve •Varlıklar •Tehditler •Zafiyetler •Kontroller arasındaki ilişkiyi bilmemiz gerekir. RİSKLERİN FARKINDA OLMAK BİLGİ GÜVENLİĞİNİ SAĞLAMANIN İLK ADIMIDIR! VARLIK –TEHDİT –ZAFİYET –KONTROL
  • 15. Bölüm 4: RİSK YÖNETİMİ TERMİNOLOJİSİ:
  • 16. 14.4.2014www.ictsert.com.tr •Risk Yönetimi :Bir kurumu riskleri açısından kontrol etmek ve yönlendirmek için yapılan koordinasyon altındaki çalışmalardır. Risk yönetimi, risk analizi, risk işleme, risk kabulü ve riskin duyurulması faaliyetlerinin tümünü kapsar. •Risk İşleme :Risk seviyelerini düşürmek için önlemlerin seçimi, planlanması ve uygulanması gibi etkinlikleridir. RİSK YÖNETİMİ TERMİNOLOJİSİ
  • 17. •KALAN RİSK :Risk işleme sürecinden sonra artakalan risktir. Alınan tüm önlemler, mevcut tehdit ve zafiyet seviyeleri göz önüne alınarak düşünülür. •RİSK KABULÜ :Yönetimin riski göze alma kararıdır. Bu noktadan sonra yeni kontroller gerekli değildir. •RİSK KABUL KRİTERİ :Yönetimin kabul edilebilir olarak açıkladığı risk seviyesi ve bunu karşılayan kontrollerdir. RİSK YÖNETİMİ TERMİNOLOJİSİ
  • 18. Bölüm 5: UYGUN ÖNLEMLERİN (KONTROLLERİN) BELİRLENMESİ
  • 19. 14.4.2014www.ictsert.com.tr •Kontroller, tehdide yol açan zafiyetleri azaltacak veya tehdidin gerçekleşme olasılığını düşürecek önlemlerdir. •ISO 27002 standardında tavsiye niteliğinde yaklaşık 130 tane kontrol bulunmaktadır. •Her varlık-tehdit çifti için uygun kontroller bu tavsiyeler arasından seçilir. •Yeterli olmadığı durumlarda, yeni önlemler de seçilebilir. UYGUN ÖNLEMLERİN (KONTROLLERİN) BELİRLENMESİ
  • 20. Bu aşamada, atanan yeni kontrollerle risk değerleri kabul edilebilir seviyeye çekilmiş olur. •Bir kontrolün neden seçildiğini, daha önce belirlenen varlık-tehdit atamaları ile ilişkilendirebilmek önemlidir. Böylece risk analizinin sağlıklı bir şekilde yapıldığından emin olabiliriz. •Kontroller teknik veya yönetsel olabilir. Seçilen kontroller, hazırlanacak olan politika dokümanları, standartlar ve prosedürler içinde yer alır. UYGUN ÖNLEMLERİN (KONTROLLERİN) BELİRLENMESİ
  • 22. 14.4.2014www.ictsert.com.tr •Üst yönetimin risklerin kabul edilmesiyle ilgili yaklaşımını, hangi seviyedeki ve/veya ne tür riskleri kabul edeceğini bir diğer deyişle risk kabul kriterlerini kararlaştırması gerekir. •Her risk için kabul kriterlerine uygunluk baz alınarak ele alma yöntemi belirlenir. Riskin; •Kabul edilmesi •Transfer edilmesi •Yönetilmesi •Önlenmesi kararları verilebilir RİSK İYİLEŞTİRME ALTERNATİFLERİ
  • 23. RİSK KARARLARI Riskler yönetilirken aşağıdaki kararları verebiliriz: •Riski göze almak (Kapı giriş kontrolü yapmamak, anti virüs sistemi kullanmamak, eğitime önem vermemek ..) •Risklerimizi başkasına aktarmak (yangın sigortası, mesleki sorumluluk sigortası, hırsızlık sigortası yaptırmak, PCI), •Risklerin olasılığını düşürecek önlemler almak (Çelik kapılar, alarm sistemleri, temiz masa, temiz ekran, izleme sistemleri, yangın detektörü) •Risklerin etkisini azaltacak önlemler almak (Yangın söndürücü, antivirüs sistemleri, güvenlik testleri). •Riskten sakınmak (Belli bir uygulamayı devreye almamak..)
  • 24. TÜM KATILIMCILARA TEŞEKKÜR EDERİM Ferhat CAMGÖZ ferhat@ictsert.com.tr