Bildirimler
Hepsini Temizle

27001 Bilgi Güvenliği Belgesi alımı  

  RSS
Abdullah Ömer TEMEL
(@AbdullahOmerTEMEL)
Üye

Herkese merhabalar bu konuyu nerde açacağımı bilmediğimden buraya acıyorum yanlışsa kusura bakmayın.Şirketimizde iso 27001 yükümlü yetkili belgesi almak istiyoruz bu konuda destek verecek Bilgi işlem firması var mı ? burda isteiğimiz hem network alt yapısını değiştirirken hemde kalite tarafında destek verebilcek bi firma arıyoruz.Bu konuyla ilgilenmiş arkadaşlar var mı ? Şimdiden teşekkürler.


 

Alıntı
Gönderildi : 10/01/2014 19:42
Mustafa TAŞCI
(@mustafatasci)
Saygın Üye Forum Yöneticisi

Merhaba

Konuyla alakalı bilgi yolladım. 

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 17/01/2014 18:00
Cagatay ISIKCI
(@cagatayisikci)
Üye

Hocam merhabalar,

 

ISO 27001 sertifikası BGYS olarak bilinen Bilgi Güvenliği Yönetim Sistemi'ni belgelendirmek üzere veriliyor. Başlangıç olarak, kurumunuzda Bilgi'nin ne oldugu, kimler tarafından nasıl erişilebileceği ve nerelerde muhafaza edildiğini belirleyerek başlayabilirsiniz. Bu işlem, Yönetim onaylı Bilgi Güvenliği Politikası'nda NE yapılacağı çerçeve olarak belirtilir. İlgili prosedürlerde de NASIL yapılacagı detaylandırılır.

Sonrasında, bu politika doğrultusunda Bilgi için riskler tespit edilir (sosyal müh, sunuculardaki yama eksikleri gibi teknik risklerin yanı sıra, log yönetimi sürecinin olmaması gibi süreçsel riskler). Yönetim gözden geçirmesi adı altında bunlara ilişkin aksiyonlar belirlenir.

Bu risklere ilişkin kontroller tesis edilir. (bilgi güvenlik farkındalık eğitimi alınması, yama yönetimi sürecinin tesis edilmesi, log yonetimi sürecinin yazılı hale getirilmesi ve gerekli SIEM ürünlerinin temini vb).

Bu döngü sürekli olarak tekrarlanır ve yönetime raporlanır.

Daha fazla ayrıntıya girmeden, ISO 27001 konusunda piyasada birçok firma var. Önerim, bu belgeyi hangi kapsamda alacağınıza göre görüşmeler sırasında bu yondeki sorulara verilecek cevapları ve referansları göz önünde bulundurmanızdır.

Saygılarımla,

 

CevapAlıntı
Gönderildi : 18/01/2014 18:28
Ugur DEMIR
(@ugurdemir)
Onursal Üye

Bu belgeyi biz aldık. Öncelikle bir politikanız olmalı ve buna göre ilerlemelsiniz

CevapAlıntı
Gönderildi : 06/02/2014 00:24
Maruf Arslan
(@marufarslan)
Üye

Danışmanlık desteği vs.. aldınız mı?

Politika 27001 nasıl olmalı, kendi bir kalıbı yok mu?. Teşekkür.

 

"Dalgasız denizde, herkes kaptandır."

CevapAlıntı
Gönderildi : 13/10/2014 20:51
Ugur DEMIR
(@ugurdemir)
Onursal Üye

İçeride iç denetçilerimiz ve baş denetçilerimiz var. Ayrıca 27001 için danışmanlık hizmetide veriyoruz.

CevapAlıntı
Gönderildi : 14/10/2014 18:29
Uğur BURMA
(@ugurburma)
Kıdemli Üye Forum Yöneticisi

[quote user="Murat Arslan"]

Danışmanlık desteği vs.. aldınız mı?

Politika 27001 nasıl olmalı, kendi bir kalıbı yok mu?. Teşekkür.

 

[/quote]

http://www.bilgiguvenligi.gov.tr/bt-guv.-standartlari/bilgi-guvenligi-yonetim-sistemi-icin-kritik-basari-faktorleri.html

Alınan Dersler

Araştırmanın son sorusu olarak BGYS sahibi kuruluşlara, “sürece yeniden başlasalar, neyi farklı yapacakları”sorulmuştur.

Kuruluşların üçte biri, “projenin düşünce safhasından itibaren üst yönetimi daha çok işin içine katacaklarını”belirtmiştir. Üst yönetimin Bilgi Güvenliği Yönetim Sistemi başlangıç eğitimlerini almasını, BGYS projesinin getirilerinin ve ulaşılacak hedefin tüm yönetim kademeleri tarafından bilinmesini sağlayacak şekilde BGYS'nin tanıtılmasını ve destek alınmasını kritik olarak belirtmişlerdir.

Katılımcıların %18’i "proje için daha fazla zaman ve iş gücü bulmaya çalışacaklarını" belirtmiştir.

Katılımcıların %7’si, (küçük gibi görünen ama önemli bir azınlık), süreçte "danışman kullanmayacaklarını veya başka bir seçenek olarak dış kaynaklara bağımlılığı azaltacaklarını" belirtmiştir. Bu ifade, diğer yönetim sistemlerinde de yaşanan bir sorunu yansıtmaktadır: Proje sürecinde danışman kullanan kuruluşun, kurulmakta olan sürece dâhil olamaması, bilgiyi transfer edememesi, danışman projeyi tamamladığında süreci anlayamaması ve BGYS sürecini sahiplenememesi söz konusu olabilmektedir. 

CevapAlıntı
Gönderildi : 14/10/2014 20:11
Rıza ŞAHAN
(@www-rizasahan-com)
Değerli Üye Forum Yöneticisi

Bununla ilgili eğitime katılmıştım. Hakkı ile alınacak bir belge saçtan ince kılıçtan keskin disiplinli bir yapı gerektiriyor. Bu iş için denetçilerle çalışabilirsiniz. Bir denetçi size aynı zamanda danışmanlık yapabilir ama sizi denetleyemez. Tabi birazda bütçe götürecektir. Saygılarımla.

CevapAlıntı
Gönderildi : 15/10/2014 00:29
Levent YILDIZ
(@LeventYILDIZ)
Üye

Belge alınması sırasında bahsedildiği gibi çeşitli çözümler de gerekli. SIEM ürünü seçerken kullanılabilecek bir şablon. Orjinali için http://www.slideshare.net/anetertugrul/log-yonetimi-ve-siemkontrol-listesi 

Log
Yönetimi&SIEM Kontrol Listesi 

Log Toplama Yöntemleri
WMI
SYSLOG UDP
SYSLOG TCP
SNMP
SNMP TRAP
Shared Directory
Ajanlı/Ajansız
JDBC/ODBC
SSH
OPSEC(Open Platform for Security)
API
Log Parsing&Normalization
Hangi sistemlerle entegre? Örnek: Cisco,
Windows, VmWare,Linux,Fortinate vb..
Time difference adjustment özelliği var
mı?
Mimari
Sistem
dağıtık mimariyi destekliyor mu? Örneğin Storage server ayrı, WEB Server ayrı

ve Engine ayrı ayrı sunuculara kurulabiliyor mu?
Replikasyon imkanı var mı?
İhtiyaç oldıukça mimari genişleyebilir
mi?
Korelasyon Motoru
Genel Özellikler
Korelasyon Motoru Hafızada (inMemory)
çalışabiliyor mu? Yoksa sadece veritabanı üzerinde mi çalışıyor
Kullanılan veritabanı (SQL veya NoSQL)
servisi stop edilse bile korelasyon kuralları çalışabilir mi?
Korelasyon kuralları real time
çalışabiliyor mu? Yoksa sadece belli periyotlarla mı kurallar (alarmlar) run
ediyor
Kural Özellikleri
Log/veri
toplanan herhangi bir kaynağa  ait bir
olay gerçekleştikten sonra belirli bir süre içerisinde
aynı Log/veri toplanan herhangi bir kaynağa ait farklı olaydan  meydana gelmezse şeklinde tanımlama
yapılabilmelidir.
Örnek: Bir sunucuya bir kullanıcı login olmayı deneyip başarısız  olduktan sonra 2 saat içerisinde
  aynı kullanıcı aynı sunucuya  başarılı bir şekilde logon olmadı ise uyar)
Senaryo
Takibi yapabilmeli.
Örnek:  Bir kullanıcı bir sunucuya
login olduktan sonra o sunucudan 2 saat içerisinde internete çıkış olmazsa
uyar
Bir
sisteme ait belirli bir olay gerçekleşmezse alarm üretilebilmelidir.
Örnek: 2 gün boyunca X kullanıcısı Y sunucusuna login olmazsa uyar
 Korelasyon kuralı oluşumunda "eşittir,eşit değildir,içeriyorsa,
içermiyorsa, büyüktür, küçüktür, başlıyorsa, bitiyorsa,
 boş 
ise, boş  değil ise, say" gibi
ifadeleee bağlı olarak kurallar tanımlanabilmelidir.
SIEM
Kurallarındanda iki olay arasında tarih ilişkisi belirlenebiliyor mu?
Örnek: Birinci olaydan sonra 1 saat içerisinde ikinci olay oldu ise uyar
SIEM
Kurallarındanda İki veya daha fazla olaya rasında ilişki kurulabiliyor
mu?
Örnek: birinci oalyın kaynağı diğer olayın hedefine eşit ise vb..
Gerçek
zamankı tespitler yapabiliyor mu?
Örnek: Seçilen X makinesine Y kullanıcısı Z yazılımını kurduğu anda
uyar 
Threat
Intelligence entegrasyonu var mı?
"Hot-list"  veya comparison list mevcut mu?
Kural Geliştirme Editörü
Kural özellikleri bölümünde
belirtilen kuralları bir görsel editör ile yazılabiliyor mu?
Üreticiye bağımlılık oranı
nedir? 
Özel bir SQL veya Script dili
ya da benzeri notasyon öğrenmeye gerek var mı?
Kural Yazma Kolaylığı
Kuralları
geliştirirken Kullanıcıya güvenlik analiz keywordleri veya
sistem management keywordleri vb.. Yardımlar sunuyor mu?
Kural Kütüphanesi
Hazır kurallar var mı?
Kurallar
IDS/IPS, WEB Server Security, Network Monitoring, Cisco vb.. Network
Cihazları, User Management, Group Management,
Machine Management, Authentication, Windows Firewall, Authorization, Audit
Policy, Software Management, Access Violation,
File Management, Risk Management, Password Management ,Service Management,
Performance Monitoring, File Replication, 

Windows File Protection, Printer, System Uptime, NTDS Defragmentation,  Network, Hardware Errors vb.. geniş bir
yelpazede çeşitleniyor mu?
Alarm Yönetimi
E-mail veya SMS Desteği var mı?
Script veya exe çalıştırma desteği var
mı?
IP blokla,  process kill vs.. gibi aksiyonlar
alınabiliyor mu?
SNMP veya API desteği var mı?
Aksiyonlara senaryo ve logların durumları
ve değerleri aktarılabiliyor mu?
Workflow management özelliği mevcut mu?
Performans
Sistem
100 adet korelasyon kuralını işletirken 5000 EPS ortalma ve 10 000 EPS tepe
değerleri için 24 GB RAM, 500 GB SSD Disk ve 
24  core işlemci yeterli mi? Log
kaçırmadan kesintisiz 7X24X365 çalışabilir mi?
8 GB
RAM, 500 GB SSD Disk ve 2,3 GHz 8 core işlemci ile gerçek zamanlı alınan  1000 0000 0000 (Bir milyar )  satır log/veri için belirli bir tarih
aralığı arasında aynı anda farklı tarih aralıkları için log/veri satırı
içerisinde tanımlanmış olan kolonlardan istenilen en az iki kolon
parametresine göre 10 adet paralel sorgu cevabı süresi ne kadar?
Raporlama&Analiz
Drill
down özelliği var mı?
BI
tooları ile entegre olabiliyor mu?
Data
Workflow  entegrasyonu var mı?
Yeni
rapor tasarımı kolay mı?
İstatistiksel,
görsel,  Statistical, matematiksel
analiz imkanı var mı?
Raporlar
ve filtreler ne kadar esnek?
Logların
ham hallerine ulaşmak mümkün mü?
Rporlarda
analizler de yapılabiliyor mu?
Örnek: Toplam oluşturduğu trafiği MB olarak
Toplam gönderdiği trafiği MB olarak
Toplam aldığı trafiği MB olarak
ve % olarak oranları gib.
Trend
Analizi raporları mevcut mu? Örnek: Gününün hangi saatlerinde daha çok VPN
yapılıyor?
Son 1 ay
içerisinde en çok trafik oluşturan kullanıcılar, bu kullanıcıların toplamda
ne kadar trafik ürettiği,
Bu üretilen trafiğin ne kadarı upload, ne kadarı download için kullanılmış,
Toplam trafiğin % kaçını oluşturmuş ve bu trafiği oluştururken hangi
protokolleri kullanmış gibi verileri içeren analiz raporu üretebiliyor
mu?
CSV,
PDF, HTML formatlarını desteklior mu?
Company
logo, Header, Footer değiştirilebilir mi?
Storage
Üzerinden arama tarama
yapılan aktif veriyi sıkıştırma oranı nedir? 
5651 için imzalanan verinin
sıkıştırma oranı nedir?
Uzak
makinade (SAN veya NAS) veri saklama alternatifleri sunuyor mu?
(Sadece 5651 için değil bütün sistem için)
3. parti araçlarla entegre
olarak verilre ulaşılabiliyor mu?
Arayüz
WEB temelli bir arayüzü var mı?
Anlaşılması kolay mı?
Arayüz performansı 
Arayüz için ayrıca bir yazılım kurulumuna
ihtiyaç var mı?
Compliance
Raporlarda
Linux ve Aktif network Cihazları (Cisco vb..) yer alıyor mu?
Yoksa sadece Windows loglarına göre mi bu raporlar oluşuyor
ISO 27001, SOX, HIPAA, PCI, GLBA
destekliyor mu?
Diğer
BIG DATA
HADOOP desteği var  mı?
Big Data altyapısı  kullanıyor mu?
Görevler Ayrılığı İlkesi
Yetki seviyesine göre görüntüleme desteği
var mı? 
Kullanıcılar yatkilendirilebiliyor mu?
LDAP ve AD OU ya göre yetkilendirme
yapılabiliyor mu?
Incident Management
Bir incident management modülü var mı?
Firma
Üretici firma kaç yıldır piyasada?
Firmanın Ar-GE ve akademik çalışma ve
yayınları var mı?
Firamanın ürünü kendi özgün ürünü mü?
Yoksa Açık kaynak kod veya başak bir üründen mi türetililmiş?
SIEM ile ilgili yatırım yapmaya devam
ediyor mu?
Şirketin SIEM ve Log Yönetimi ana konusu
mu?
En azından 20 Enterprise  referans firma sayabiliyor mu?
Çözüm ortakları ve birlikte çalıştıkları
firmalar (partnerlar) sektörde bilinen firmalar mı?
Destek
Kendi destek ekibi var mı?
Yoksa ekip outsource mu?
Şirketin destek talebine cevap verme
süresi
Kendi kodunu geliştirmek için API desteği
mevcut mu?
Destek yöntemleri? E-mail, Telefon, Uzak
Bağlantı, Yerinde destek vb..
Kurulum
Kurulum için bir setup dosyası
mevcut mu?
Desteklediği sistemler neler?
Windows 2012, Centos vb..
Kurulum ve ayarları üretici
firma olmadan dokümanlara bakaılarak yapılabilir mi?
Kurulum ve konfigurasyon
süresi ne kadar?
Lisanslama
Ayrica bir Veritabanı lisansı
gerektiriyor mu?
Lisanslama modeli nedir? EPS
veya Log Kaynağı sayısı
Fiyat
Fiyatı nedir?
Referanslar
https://www.owasp.org/index.php/Logging_Cheat_Sheet
http://infosecnirvana.com/wp-content/uploads/2014/05/SIEMEvaluationChecklist.pdf
http://www.cisoplatform.com/profiles/blogs/siem-tools-implementation-guide-and-vendor-evaluation-checklist
http://www.sans.org/reading-room/whitepapers/analyst/benchmarking-security-information-event-management-siem-34755
http://searchsecurity.techtarget.in/tip/6-point-SIEM-solution-evaluation-checklist 
http://www.gartner.com/document/2780017
http://infosecnirvana.com/2014/02/ 

 

CevapAlıntı
Gönderildi : 01/11/2014 22:35
Paylaş: