Upload
others
View
9
Download
0
Embed Size (px)
Citation preview
ENCODE Confidential 2
BILGI GUVENLIGI RISKLERININ YONETIMI
9 Mayis 2015
Istanbul
ENCODE Confidential 3
Uluslararasi konjunktur, mevcut durum ve ulkemizdeki son 10 yilda
yasanan gelismeler saglik sektorunu bilgi guvenliginin yonetisimini
yapmaya dogru itmektedir
Uluslararasi standartlarin (HIPAA, IHE) gelecekte Turkiye’yeadaptasyonunun bekleniyor olmasi
Bilgi guvenligi mevzuatlarinin (BDDK, SPK, KGK, SGK) Turkiye’de varligi
1 Mayis’ta yururluge giren Kisisel Verileri Koruma Kanunu
Saglik sektorunun bilgi guvenligi acisindan yuksek risk profili
Turkiye’deki saglik kurumlarinda gorulen BT ve bilgiguvenligi yonetisimindeki gelistirme ihtiyaclari
ENCODE Confidential 4
Bunlarin yani sira ayrica uykumuzu kaciran guvenlik riskleriyle de
gunbegun mucadele etmek durumundayiz
Kisisel verilerinkaybi ve gizliliginin
bozulmasi
Kuruma ozel gizlibilgilerin calinmasi, gorulmesi veya ifsa
edilmesi
Siber saldirilar
Kurumsal casuslukGuvenlik ihlallerini
zamanindafarkedememek
Yetkisiz erisimlerianlayamamak ve
onleyememek
Virus vemalware’ler
Tasinabilir medyave aygitlar
5651 riskleri
ENCODE Confidential 5
Bilgi guvenligi yonetisiminin amaci guvenlik tedbirlerinin buyuk bir
kisminin olusmadan evvel onlenebilmesi olmalidir
Onleyici tedbirler almak, ihlal olustuktan sonra onunla mucadele etmekten her zaman dahaucuz ve kolaydir. Bazi guvenlik ihlalleri ciddi anlamda sistem, varlik, bilgi ve itibar kaybina yolacabilir ve belli basli kayiplarin parasal anlamda olculebilmesi imkansiz olabilir.
Onleyici kontrollerin belirlenmesi
Is surecleri ve bilgi guvenligi kontrolleri
Mali controller ve yetkilendirmeler
Islem talep ve onay surecleri
Uygulama kontrolleri
ITGC: BT genel kontrolleri
Onleyici guc olarak dogru karsilik verme ve
mucadelenin kullanimi
Sistemler uzerine kurulmus alarm/red flag
mekanizmalari
Proaktif kontroller
Senaryo bazli karsilik ve duzeltme planlari
Yetkilendirmelerin dogru olusturulmasi
Ihlali Farket
Karsilik verIhlali Farket
Karsilik ver
Kurumun
varliklari
ve
itibarinin
korunmasi
ÖNLE
ÖNLE
ENCODE Confidential
TOGAF
6
Bilgi guvenliginin dogru yonetimi ve yonetisimi icin ana standart
ISO27001 olmakla beraber diger standartlarla etkilesimler de gozonunde
bulundurulmalidir
COBIT
ISO 9000ISO 27001ISO 27002
ITIL
COSO
Neyin yonetisimi yapilacaktir?
Nasil yonetisim yapilacaktir?
Yonetisim kapsami
Biz hangi standartlari kullanmaliyiz?
ENCODE Confidential 7
Saglik kurumlarinin bilgi guvenligi yonetisim kapasitesinin
arttirilmasina yonelik hazirlik calismalari yapilmalidir
Hedef ortamintanimlanmasi ve
analizi
Veri toplama vetestlerin yapilmasi
Zayif noktalarin verisklerin
belirlenmesiIlk tavsiyeler
Bulgu kapatmaplaninin
olusturulmasi
Bulgularinkapatilmasi
Bulgukapatmalarin
kontrolu
Guncel
tehdit, risk
ve BT
guvenlik
zayifliklariyla
ilgili bilgi ve
tecrubeler
Zayif nokta ve risklerinbelirlenmesi
Ozelarastir-malar
Dar acidandetaylianaliz
Genisacidananaliz
Veri toplama
ve testler
Belirleme ve tanimlama
Teyit etme
Kategorilere ayirma veonceliklendirme
Bilinen bilgi kaynaklarinintaranmasi
Kurumdan
gelecek geri
bildirim
Detayli
bulgu
kapatma
tarifleri ve
teknik
cozumler
Sertifikasyon
hazirlik
kriterleri
ENCODE Confidential 8
ISO27001 standartlariyla uyum sureci, bu yaklasimin onemli bir parcasi
olacaktir
Mevcut durumundegerlendirilmesi ve
risk analizi
Tehdit, risk, tehlike ve
aciklarin analizi
Tehlike-Acik-Risk matrisi
olusturulmasi
Risk yonetimininolusturulmasi
Mevcut durumla surecgereksinimlerinin
arasindakifarkliliklarin analizi
Mevcut durumunBT standartlarinin
verdigitavsiyelerle
karsilastirilmasi
Farklarin tesbitve analizi
Bilgi guvenligigereklerinin tespit
edilmesi
Bilgi guvenlik dokumantasyonunun
olusturulmasi
KurumunISO27001’e
uygun GuvenlikPolitikasi
Diger ISO27001 politika,
prosedur, form vedokumanlari
Politikalarinkurum icindeyayinlanmasi
surecine destek
Farkliliklarin giderilmesi icin
verilen danismanlik destegi
Bilgi guvenligigereklerini
karsilayacakproje ve taktikselplanlarin uretimi
Projelerin vegelistirme
calismalarininbaslatilmasi
Proje vegelistirme
calismalarinaverilecek destek
Guvenlik vefarkindalik egitimleri
Kullanicifarkindaligiegitimleri
BT guvenlikyonetici ve teknik
egitimleri
Diger mutabikkalinacakegitimler
Donemsel uyumkontrolleri
Donemsel olarakdenetim vebulgularin
raporlanmasi
Bulgularinkapatilmasi ve busurece verilecek
destek
Bulgukapatmalarinin
kontrolu
ENCODE Confidential 9
Ayni sekilde zayiflik ve sizma (penetrasyon) testleri de bilgi guvenligi
aciklarinin kapatilmasi icin zorunluluk arzetmektedir
Zayiflik ve sizma testi, temel olarak belirli güvenlik düzeyindeki ihlallerin bulunması ve ardındanbu ihlallerin azaltılması, gereken adımların atılmasını sağlamak için var olan güvenlikmekanizmalarını denetleme ve bu mekanizmaları atlatma denemelerinden oluşur. Testkapsamında risklerin, zayıflıkların meydana getirebileceği zararlar, saldırganlarınulaşabilecekleri noktaların analizi yapılarak ağ tam bir denetime tabi tutulur.
DDoS testleriSosyal
mühendislik testleri
Phishing testleri
MEDIKAL sistem testleri
Özel donanım ve gömülü
sistem testleri
Testlerin olasi kapsami
Kesif
IncelemeTestlerinYapilmasi
BulgularinRaporlanmasi
ENCODE Confidential 10
1 Mayis 2015 itibariyle kisisel verilerin korunmasi da bilgi guvenligiyle
elele yuruyecek yeni bir konsept olarak hayatimiza girmistir
Verisahibinin
mutabakati
Kisiselverininkaydi
Kisiselverinin
kullanimi
Verininucuncu
sahislaraaktarimi
VerininTurkiyedisina
cikarilmasi
Verinin yokedilmesi
Veri Koruma Kurumu
Kisisel Verilerin Korunmasi KanunuRegulasyon
Veri Surecleri
Surec ve uygulama kontrolleri Dokuman yonetimi Tedarikcilerin kontrol edilmesi
Veritabani kontrolleri Erisim kontrolleri Fiziksel guvenlikKontroller
Teknoloji katmani (IDS, IPS, anti-malware, DLP, DB security, server security)Altyapi
Mevcut durumundegerlendirilmesi
Gelistirme veuyum planininolusturulmasi
Implementasyondestegi
Implementasyonsonrasi kontroller
Avrupa Birligi Veri Koruma Kanunu bilgi birikimi ve pratik tecrubesiUzman Destegi
ENCODE Confidential 11
DIJITAL HASTANE konsepti kullanarak amac bilgi guvenligi
yonetisimini ulkemizin ve sektorumuzun gerceklerine hizalamaktir
Akilli hastane
Akilli binalar, akilli teknolojiler (mikro, nano,holograf, 3D, M2M, yapay zeka, giyilebilirteknolojiler, biyomedikal, robot)
5 yildizli konfor
Buyuk veri ve bulut teknolojiler
Yesil hastane
LEED sertifikasi, enerji donusumu
Yesil hastane teknolojileri
Kagitsiz hastane
Elektronik order, mobil cihazlar, giyilebilirteknolojiler
Bulut sistemler, kisisel saglik kayitlarinintakibi
Buyuk veri ve sosyal medya entegrasyonu
E-imza, e-recete ve diger e-uygulamalar
Kaynak: Yasin KelesSaglik Bilisim Dernegi Yonetim Kurulu
BaskaniMemorial Hastaneleri Grup CIO’su
ENCODE Confidential 12
ISO15504 surec yetkinlik modeli mevcut durumun anlasilmasi ve
hedeflerin belirlenmesi icin kullanilabilir
0 IncompleteTam islemeyen (incomplete)Surec hayata gecirilmemistir, amaca uygun sonuclari vermiyordur veya dokumantasyonu tam degildir
1 PerformedPA.1.1 Islemektedir ve belgelendirilmistir
Isleyen (performed)Surec hayata gecirilmistir ve amaca uygun sonuclari vermektedir
2 ManagedPA.2.1 Performans yonetim hedefleri bellidir
PA.2.2 Surec urunleri yonetilmektedir
Yonetilen (managed)Surec yonetilmektedir ve surec urunleri, ilgili yonetim prosedurune uygun olarak guncellestirilmekte, control edilmekte ve yonetilmektedir
4 PredictablePA.4.1 Performans yonetimi yapilmaktadir
PA.4.2 Kontrol aktiviteleri tamdir
Onceden tahmin edilebilen (predictable)Surec her seferinde onceden tanimlanmis sinirlar dahilinde calistirilmaktadir
5 OptimizingPA.5.1 Surec inovasyona aciktir
PA.5.2 Surec optimize edilmektedir
Optimize edilmis (optimizing)Surec, mevcut ve gelecekteki kurumsal ve BT hedeflerine uygun olarak gelistirilebilmektedir
3 EstablishedPA.3.1 Surec bir standarda oturtulmustur
PA.3.2 Surec tamamen hayata gecirilmistir
Standarda oturtulmus (established)Surec tamamen tanimlanmis ve bir standarda oturtulmustur
ENCODE Confidential 13
DIJITAL HASTANE alt tanimlarina uygun olarak hedef yetkinlik
seviyeleri belirlenerek gerekli aksiyonlar alinabilir
Uygunluk alani
Alinmasi gereken surec etkinlik notu
AKILLI
HASTANE
YESIL
HASTANE
KAGITSIZ
HASTANE
Yonetisim surecleri
(Risk ve kaynak optimizasyonu)1 2 3
Bilgi guvenliginin planlanmasina iliskin surecler
(IK, butce, tedarikci, risk ve guvenlik yonetimi planlamasi)1 2 3
Guvenlik politikalarini insa etme ve hayata gecirme
surecleri
(Program, proje, degisiklik, erisilebilirlik, kapasite ve
konfigurasyon yonetimi)
2 3 4
Operasyon ve destek surecleri
(Vaka, olay, destek talepleri, problem, devamlilik,
guvenlik/erisim, ve is surec kontrollerinin yonetimi)
2 3 4
Kontrol surecleri
(Uyum programinin yonetimi, ic kontrollerin denetlenmesi)1 2 3
ENCODE Confidential 14
Detayli kapasite gelistirme ve sertifikasyon yaklasimi asagidaki gibi
olacaktir
1
2
Bilgi guvenligine
verilecek ust yonetim
destegi
3
4
Dokumantasyonun
olusturulmasi
5
6
Dokumantasyonun hayata
gecirilmesinin planlanmasi
ve onaylanmasi
7
8
9
10
11
12
13
15
14
16
Farkindalik programinin
hayata gecirilmesi
Belirlenmis kontrollerin
hayata gecirilmesi
Bulgu kapatma plani
ve bulgularin
kapatilma sureci
Sertifikasyon oncesi
denetim ve
degerlendirme
Bilgi guvenligi
sertifikasyon kapsaminin
belirlenmesi
Risklerin degerlendirilmesi
ve risk tablolarinin
olusturulmasi
Detayli dokumantasyonun
olusturulmasi
Dokumantasyonun hayata gecirilmesi icin proje
ve plan olusturulmasi
Dokumantasyonun
plana uygun olarak
hayata gecirilmesi
Hayata gecirme
faaliyetlerinin kontrolu
Sertifikasyon denetimi
KPI ve etkinlik
denetimi
Donemsel guncelleme
denetimleri
ENCODE Confidential 15
Sertifikasyona hazirlik, denetim ve sertifikanin alinmasi sureclerinde
uluslararasi prensip ve standartlara uyulmalidir
Sertifikasyonprograminin
sahiplenilmesi
Saglik sektorununbilinclendirilmesi
Sertifikasyonzorunlulugunun
mevzuatagecirilmesi
Danismanladenetcininayrilmasi
Danismanin vedenetcinin ayri ayri
ve kisiselsertifikasyonu
Danisman vedenetci icin yillik
profesyonel egitim(CPE) zorunlulugu
Danisman vedenetciler icinmeslek odasi
Once on hazirliklarve hayata gecirme, sonra denetim ve
sertifikasyon
Sertifikanindonemsel
denetimlerleguncellenmesi
ENCODE IT Management & Consultancy
Adres: Tepecik Yolu no.28 D:5, Etiler, Besiktas, Istanbul
Tel: +90.212.358.08.12
Email: [email protected]
Web: www.encodeconsultancy.com
Zamanininiz icin tesekkur ederiz