09.01.2022

ISO 27001 8. Madde -> ISO 9001 maddelerinden iniyor
 * Referans kontrol amaçları ve kontroller olarak geçer ISO 27002 standartını içine katıyor.
 * Uygulanabilirlik Indeksi (SOA)
 * 4. Madde Kuruluşun bağlamı - Bilgi güvenliği yönetim sistemi 
 * 5. Madde Liderlik , Politikalar
 * 6. Madde Risk analizi methodu (Analizi yok, risk işleme nasıl olacak)
 * 8. Işletim ve kontrol (Risk analizinin sonuçları)
 * 10. Madde - Iyileştirme

 Bilgi Güvenliği Terimolojisi Egzersizi (Sınavda soru olarak çıkabilir)
  * 1 Privacy
  * 2  Elverişlilik
  * 3 Bilgi Güvenliği Olayı
  * 4 Risk  - Risk Değerlendirme
  * 5 Düzeltici Faaliyet
  * 6 Kontröl
  * 7 Bilgi Güvenliği Riski
  * 8 Politika
  * 9 Etkinlik
  * 10 Risk kabülü
  * 11 Uygulanabilirlik Bildirgesi
  * 12 Verimlilik
  * 13 Bilgi Varlığı
  * 14 Bilgi Güvenliği
  * 15 Zayıflık
  * 16 Saldırı
  * 17 Risk Analizi
  * 18 Bütünlük
  * 19 Risk Değerlendirme
  * 20 Güvenilirlik
  * 21 Düzeltici Faaliyet
  * 22 Bilgi Güvenliği Ihlal Olayı 
  * 23 Tehdit
  * 24 Risk belirleme / Risk Değerlendirme

  Türkiye'de 3 ana sektör'de ISO 27001 : Telekomünikasyon , Yetkilendirilmiş Yükümlülük (ithalah / ihracat yapan - lojistik firması) - Enerji (Dağıtım / üretim)

  BGYS
    Kuruluş: Risklerin belirlenmesi , aksiyonların alınması, Risk süreçlerinin işletilmesi, üçünçü taraflara bilgi varlığı güvenliğinin kanıtlanması, veri güvenliğinin sağlanması, itibar kaybının önlenmesi
    Müşteri: Kendi verileri ile ilgili BGYS kapsamında verilerinin korunduğundan haberdar olur, müşteri verilerinin gizliliğinin korunması, kuruluşa gübven sağlanması
    Taşeron:: Taşeron sorumluluklarının açık ve net olması, kuruluş - taşeron arasında uyumluluk ve verimlilik
    Çalışan: BGYS gibi bir sistemde nasıl davranması gerektiğini bilir, kişisel / kurumsal bilgilerinden güven olur
    Paydaşlar / Şirket: Şirketin uygun standartlarda çalıştığına emin olur

 PUKÖ: Planla, Uygula, Önlem Al, Kontrol Et -- TS EN ISO IEC 27001-2017 - PDF'inden.
    Standartın her adımında 5 var yani Liderlik
    Planlama: 4-5-6
    Uygulama: 5-8 (kısmen 7.)
    Önlem al: 5-9-10 (kısmen 9.)
    Kontrol Et: 5-9

    Hesap verilebilirlik: BGYS temsilcisi sorumlusuydu, üst yönetim olarak değişti. Temsilci Atama zorunluluğu kaldırıldı. Hesap verilebilirlik Üst yönetim olacak.

    EG04 - Yazılı bilgiler. 
    Bie denetçi sistemin etkin olmadığına inanıyorsa, 8.1 maddesini baz alarak ceza yazabilir. Kuruluş bir sürecin etkin uygulandığından emin olduğuna dair bilgi saklamalıdır. (Mesela yedekleme nasıl yapıyorsun, yedek planın var mı) Süreçler etkin olarak işlenmiyor, kayıtlar mevcut değil dendiği için bulgu yazılabilir.
    Ana Maddeler: 
    4.3 A
    4.3 B
    4.3 C
    5.2 E
    6.1.2
    6.1.3
    6.2
    7.2
    8.1
    8.2
    8.3
    9.1
    9.2
    9.3
    10.1
    EK A - 9.1.1
    EK A - 12.1.1
    EK A - 13.2.4
    EK A - 14.2.5
    EK A - 15.1.1
    EK A - 17.1.2
    EK A - 16.1.5 --> Bilgi güvenliği olayı nedir ? müdahale rol ve sorumlulukları, nasıl ders çıkarılacak , ve ihlal olaylarına yazılı olarak nasıl cevap verilecek ? (yol / yöntem - prosedür - akış şeması )
    EK A - 18.1.1

    Standartta -> - meli / - malı cümlelerde ispat göstermek zorunda. Uygunsuzluk sınıfına giriyor.
        * Bilgi Varlıklarını Belirle
        Kontrol (a. 8.1.3) Bilgi ve bilgi işleme tesisleri ile ilgili bilgi ve varlıkların kabul edilebilir kullanımına dair kurallar belirlenmeli, yazılı hale
getirilmeli ve uygulanmalıdır.
        Bilgi ve bilgi işleme olanakları ile ilgili varlıklar belirlenmeli  bu varlıkların bir envanteri çıkarılmalı ve idame ettirilmelidir.
        * Politikayı belirle
            Bilgi güvenliği politikası yazılı olarak mevcut mu (5.2)
            Kuruluş içinde duyuruldu mu ? 
            Uygun olan ilgili taraflarca erişilebilir mi ? 
        * Tehdit ve Zayıflıklar --> Risk analizi ile ele alınmalıydı !
            Risk analizi süreç bazlı veya varlık tabanlı istenebilir. Doğru olan süreçsel yani iş odaklı tehditler çıkarılmalı.
            Tehdit kataloğu oluşturuldu mu?
        * Riskler ile ilgili öncelliklendirmeler tanımlandı mı?
            Risk Değerlendirme (önce risk analizi ile) --> 6.1.2 ve 6.1.3 içeriisine bakılacak, 8.2 Sonuçlar ile ilgili ele alınır.
        * Kontrolleri seç    
            6.1.3 baz alınır         
            Kontrol kriterleri 114 tane checklist var ve kapsanacak. (EK A ile kendini check et, kapsıyor mu kontrol et.)
            Yaptığın işe göre kendin de geliştirebilirsin.
        * Risk işle
            Sahiplerin onayı 
            Risk işleme süreci tanımlandı mı ?
            Artık riskler  -> Risk işleme sürecini tanıladıktan sonra, risk daha fazla düşülemiyorsa artık risk deniyor ve yönetim haberdar olmalı. (Afet) Her şeyi yaptın , yapacak bir şey yok ve yönetim kabul edecek.
            Kalan risk -> Risk işlendikten sonra kalan riskler
        * Sorumluluk , görevleri dağıt
            5.3 --> Üst yönetim, bilgi güvenliği ile ilgili olan roller için sorumluluk ve yetkilerin atanmasını yapıyor mu ? Duyuru olarak yayınlıyor mu ?  (5.3)
        * Kontrolleri uygulanması
            6.1.3 ve EK A 114. kontrollerin uygulanması (ağ güvenliği uygulamanız nedir, şifreleme politikanız nedir)
        * Saldırıları , olayları ve performans izle
            9.1 içerisine adresleniyor.
        * Sistem performansını gözden geçir
            9.1. A neyin izleneceği ve ölçümlenmesi baz alınır. 
            9.2 Sistemi gözden geçiriyoruz.
            9.3 Yöntemi gözden geçiriyoruz.
        * Iyileştir - 10.1 baz alınır - Uygunsuzluklar karşısında kuruluş nasıl tepki veriyor ?

    Şart Nedir ?
        Olmazsa olmaz bütün hususların bütünü, 3 tane yasal şart vardır.
        1. 5651 sayılı kanun (Loglama ve log yönetimi, firmalar internet erişim sağlayıcısıdır, internet hizmeti veriyor, 2 yıl boyunca log tutmak zorundalar)
        2. KVKK ve VERBIS girişi var mı? Verbis yetkilisi atanmış mı ? Personellerle ilgili yapmış olduğu gizlilik protoklleri yapılmış mı ?
        3. Fikri ve sınai mülkiyet 6769 kanunu. Lisanssız uygulama kullanılmamalı.

        Bilgi Güvenliği bakımından Turkcell BTK'ya tabiidir.
        
        --> Sahipliği şirketin kurum ve kuruluşun kendine koyduğu politikalar : Bilgi güvenliği bakımından 09 itibariyle kimse turnikeden giremeyecek - Firma bu şekilde bir taahüt vermiş olabilir. 09:00'dan itibaren içeri giren çıkan var mı kontrol edeilebilir ?
        --> ISO 27001 içierisinde 22 tane Yazılı Şartlar 
            --> -meli/-malı şartlar.
        --> Müşteri şartları: Müşteriye sözleşme ile el sıkıştığım şartlar

    Dış kaynaklı process nedir ?
        --> 8.1 Dış kaynaklı süreç
        --> Doğrudan bilgi güvenliğini ilgilendiren bir hususun dış kaynağa aktarılması, dış kaynaklı process'tir.
        --> Denetimde en önemlisi sözleşme, Aldığım hizmet sözleşmesi ve taahütlere bakıyorum
        --> Felaket kurtarma, yedeklilik sistemi varmı soruları sorularbilir