Bilgi Güvenliği Yönetim Sistemi Nedir?

Jaime Lannister

Moderatör
1 Ara 2020
2,838
185
Casterly Rock
Merhaba TurkHackTeam üyeleri bugün Bilgi Güvenliği Yönetim Sistemini inceleyeceğiz.

qludCv.png

YHOrwJ.gif

qludCv.png


Bir bilgi güvenliği yönetim sistemi (BGYS), bir kuruluşun genel bilgilerini daha iyi garanti altına almak için politikaların, prosedürlerin ve hedeflerin oluşturulmasını, uygulanmasını, iletilmesini ve değerlendirilmesini sağlamak için bir kuruluşun birbiriyle ilişkili/etkileşim içindeki tüm bilgi güvenliği unsurlarının harmanlanmasını temsil eder. Bu sistem tipik olarak kuruluşun ihtiyaçlarından, hedeflerinden, güvenlik gereksinimlerinden, boyutundan ve süreçlerinden etkilenir.

igbhbci.


Bir BGYS, etkin risk yönetimi ve azaltma stratejilerini içerir ve bunlara katkıda bulunur. Ek olarak, bir kuruluşun bir BGYS'yi benimsemesi, büyük ölçüde, bilgi güvenliği risklerini sistematik olarak tanımladığını, değerlendirdiğini, yönettiğini ve "bilgi gizliliği, bütünlüğü ve kullanılabilirlik gereksinimlerini başarıyla ele alabilecek" olduğunu gösterir. Bununla birlikte, BGYS'nin nihai başarısını en iyi şekilde sağlamak için BGYS geliştirme, uygulama ve uygulama (kullanıcı alanı) ile ilişkili insan faktörleri de dikkate alınmalıdır.

77xh3aq.


Bilgi Güvenliği Yönetim Sistemi (BGYS) veya İngilizce ismiyle Information Security Management (ISM), bilgilerin gizliliğini, kullanılabilirliğini ve bütünlüğünü tehditlerden ve güvenlik açıklarından makul bir şekilde koruduğundan emin olmak için bir kuruluşun uygulaması gereken kontrolleri yönetir. ISM'nin özü, bir kuruluşun varlıkların yönetimi ve korunmasında ele alması gereken risklerin değerlendirilmesini ve risklerin tüm uygun paydaşlara yayılmasını içeren bir süreç olan bilgi risk yönetimini içerir.

Bu, gizlilik, bütünlük, kullanılabilirlik ve varlıkların değiştirilmesi gibi değerlerin değerlendirilmesi de dahil olmak üzere uygun varlık tanımlama ve değerleme adımlarını gerektirir. Bilgi güvenliği yönetiminin bir parçası olarak bir kuruluş, bilgi güvenliğine ilişkin ISO/IEC 27001, ISO/IEC 27002 ve ISO/IEC 27035 standartlarında bulunan bir bilgi güvenliği yönetim sistemi ve diğer en iyi uygulamaları uygulayabilir.

atvfkve.


Risk Yönetimi ve Azaltma

Bilgi güvenliğinin yönetilmesi özünde, varlıklara yönelik çeşitli tehditleri ve güvenlik açıklarını yönetmek ve azaltmak, aynı zamanda potansiyel tehditler ve güvenlik açıkları için harcanan yönetim çabasını bunların gerçekten meydana gelme olasılığını ölçerek dengelemek anlamına gelir. Örneğin, bir sunucu odasına düşen bir meteorite kesinlikle bir tehdittir, ancak bir bilgi güvenliği görevlisi muhtemelen böyle bir tehdide hazırlanmak için çok az çaba gösterecektir. Uygun varlık tanımlama ve değerleme gerçekleştikten sonra, risk yönetimi ve bu varlıklara yönelik risklerin azaltılması aşağıdaki hususların analizini içerir:

Tehditler: Bilgi varlıklarının kasıtlı veya kazara kaybolmasına, zarar görmesine veya kötüye kullanılmasına neden olabilecek istenmeyen olaylar.
Güvenlik Açıkları: Bilgi varlıklarının ve ilgili kontrollerin bir veya daha fazla tehdidin istismarına ne kadar duyarlı olduğu.
Etki ve olasılık: Tehdit ve güvenlik açıklarından bilgi varlıklarına gelebilecek olası hasarın büyüklüğü ve varlıklar için ne kadar ciddi bir risk oluşturdukları; maliyet-fayda analizi de etki değerlendirmesinin bir parçası olabilir veya ondan ayrı olabilir.
Azaltma: Potansiyel tehdit ve güvenlik açıklarının etkisini ve olasılığını en aza indirmek için önerilen yöntem(ler).

n3uzjpi.


Bir tehdit ve/veya güvenlik açığı belirlendikten ve bilgi varlıkları üzerinde yeterli etkiye/olasılığa sahip olduğu değerlendirildikten sonra, bir azaltma planı yürürlüğe konulabilir. Seçilen azaltma yöntemi, büyük ölçüde tehdidin ve/veya güvenlik açığının yedi bilgi teknolojisi (BT) alanından hangisinde bulunduğuna bağlıdır. Kullanıcının güvenlik politikalarına karşı ilgisizliği (kullanıcı alanı) tehdidi, eskiden kullanılandan çok daha farklı bir azaltma planı gerektirecektir. Bir ağın (LAN'dan WAN'a etki alanı) yetkisiz olarak araştırılması ve taranması tehdidini sınırlar

jhxilmf.


8BfzfS111434df5fdd155e.md.png

zcIPpR.gif
 
Son düzenleme:

Phoenix.py

Moderasyon Çaylak
9 Tem 2021
516
256
THT
Merhaba TurkHackTeam üyeleri bugün Bilgi Güvenliği Yönetim Sistemini inceleyeceğiz.

qludCv.png

YHOrwJ.gif

qludCv.png


Bir bilgi güvenliği yönetim sistemi (BGYS), bir kuruluşun genel bilgilerini daha iyi garanti altına almak için politikaların, prosedürlerin ve hedeflerin oluşturulmasını, uygulanmasını, iletilmesini ve değerlendirilmesini sağlamak için bir kuruluşun birbiriyle ilişkili/etkileşim içindeki tüm bilgi güvenliği unsurlarının harmanlanmasını temsil eder. Bu sistem tipik olarak kuruluşun ihtiyaçlarından, hedeflerinden, güvenlik gereksinimlerinden, boyutundan ve süreçlerinden etkilenir.

igbhbci.


Bir BGYS, etkin risk yönetimi ve azaltma stratejilerini içerir ve bunlara katkıda bulunur. Ek olarak, bir kuruluşun bir BGYS'yi benimsemesi, büyük ölçüde, bilgi güvenliği risklerini sistematik olarak tanımladığını, değerlendirdiğini, yönettiğini ve "bilgi gizliliği, bütünlüğü ve kullanılabilirlik gereksinimlerini başarıyla ele alabilecek" olduğunu gösterir. Bununla birlikte, BGYS'nin nihai başarısını en iyi şekilde sağlamak için BGYS geliştirme, uygulama ve uygulama (kullanıcı alanı) ile ilişkili insan faktörleri de dikkate alınmalıdır.

77xh3aq.


Bilgi Güvenliği Yönetim Sistemi (BGYS) veya İngilizce ismiyle Information Security Management (ISM), bilgilerin gizliliğini, kullanılabilirliğini ve bütünlüğünü tehditlerden ve güvenlik açıklarından makul bir şekilde koruduğundan emin olmak için bir kuruluşun uygulaması gereken kontrolleri yönetir. ISM'nin özü, bir kuruluşun varlıkların yönetimi ve korunmasında ele alması gereken risklerin değerlendirilmesini ve risklerin tüm uygun paydaşlara yayılmasını içeren bir süreç olan bilgi risk yönetimini içerir.

Bu, gizlilik, bütünlük, kullanılabilirlik ve varlıkların değiştirilmesi gibi değerlerin değerlendirilmesi de dahil olmak üzere uygun varlık tanımlama ve değerleme adımlarını gerektirir. Bilgi güvenliği yönetiminin bir parçası olarak bir kuruluş, bilgi güvenliğine ilişkin ISO/IEC 27001, ISO/IEC 27002 ve ISO/IEC 27035 standartlarında bulunan bir bilgi güvenliği yönetim sistemi ve diğer en iyi uygulamaları uygulayabilir.

atvfkve.


Risk Yönetimi ve Azaltma

Bilgi güvenliğinin yönetilmesi özünde, varlıklara yönelik çeşitli tehditleri ve güvenlik açıklarını yönetmek ve azaltmak, aynı zamanda potansiyel tehditler ve güvenlik açıkları için harcanan yönetim çabasını bunların gerçekten meydana gelme olasılığını ölçerek dengelemek anlamına gelir. Örneğin, bir sunucu odasına düşen bir meteorite kesinlikle bir tehdittir, ancak bir bilgi güvenliği görevlisi muhtemelen böyle bir tehdide hazırlanmak için çok az çaba gösterecektir. Uygun varlık tanımlama ve değerleme gerçekleştikten sonra, risk yönetimi ve bu varlıklara yönelik risklerin azaltılması aşağıdaki hususların analizini içerir:

Tehditler: Bilgi varlıklarının kasıtlı veya kazara kaybolmasına, zarar görmesine veya kötüye kullanılmasına neden olabilecek istenmeyen olaylar.
Güvenlik Açıkları: Bilgi varlıklarının ve ilgili kontrollerin bir veya daha fazla tehdidin istismarına ne kadar duyarlı olduğu.
Etki ve olasılık: Tehdit ve güvenlik açıklarından bilgi varlıklarına gelebilecek olası hasarın büyüklüğü ve varlıklar için ne kadar ciddi bir risk oluşturdukları; maliyet-fayda analizi de etki değerlendirmesinin bir parçası olabilir veya ondan ayrı olabilir.
Azaltma: Potansiyel tehdit ve güvenlik açıklarının etkisini ve olasılığını en aza indirmek için önerilen yöntem(ler).

n3uzjpi.


Bir tehdit ve/veya güvenlik açığı belirlendikten ve bilgi varlıkları üzerinde yeterli etkiye/olasılığa sahip olduğu değerlendirildikten sonra, bir azaltma planı yürürlüğe konulabilir. Seçilen azaltma yöntemi, büyük ölçüde tehdidin ve/veya güvenlik açığının yedi bilgi teknolojisi (BT) alanından hangisinde bulunduğuna bağlıdır. Kullanıcının güvenlik politikalarına karşı ilgisizliği (kullanıcı alanı) tehdidi, eskiden kullanılandan çok daha farklı bir azaltma planı gerektirecektir. Bir ağın (LAN'dan WAN'a etki alanı) yetkisiz olarak araştırılması ve taranması tehdidini sınırlar

jhxilmf.


8BfzfS111434df5fdd155e.md.png

zcIPpR.gif
Elinize sağlık hocam
 
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.