1 / 65

BİLGİ SİSTEMLERİ DAİRESİ BAŞKANLIĞI

BİLGİ SİSTEMLERİ DAİRESİ BAŞKANLIĞI. Kurumsal Hizmet Envanterinin Yönetimi ve EDYS Yaygınlaştırma. Kurumsal Kimlik. 16/12/2010. 1- Kurumsal Hizmet Envanteri Yönetimi Sistemi’nin elektronik ortamda tesis edilmesi,

alain
Download Presentation

BİLGİ SİSTEMLERİ DAİRESİ BAŞKANLIĞI

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. BİLGİ SİSTEMLERİ DAİRESİ BAŞKANLIĞI

  2. Kurumsal Hizmet Envanterinin Yönetimi ve EDYS Yaygınlaştırma Kurumsal Kimlik 16/12/2010 1- Kurumsal Hizmet Envanteri Yönetimi Sistemi’nin elektronik ortamda tesis edilmesi, OGM'ninbütünsel ve bütünleşik stratejik yönetim yaklaşımını geliştirmesi ve tüm iş ve işlemlerini stratejisi ile ilintili olarak gerçekleştirmesi için gerekli veri ve iş süreci modeli altyapısının oluşturulması, 2- Elektronik Doküman Yönetim Sistemi (EDYS)’nin teşkilat içinde kullanımına dönük yaygınlaştırma çalışmalarının gerçekleştirilmesi, 3- Bilgi güvenliği altyapısının tesis edilerek OGM çerçevesinde ISO 27001 standardına uygun bir Bilgi Güvenliği Yönetim Sisteminin (BGYS) oluşturulması hedeflenmektedir.

  3. Kurumsal Hizmet Envanterinin Yönetimi ve EDYS Yaygınlaştırma Kurumsal Kimlik 16/12/2010 Bu proje ile şunlar hedeflenmektedir: 1. Tüm iş ve işlemlerinin çağdaş iş süreci modelleme teknikleri ile modellenmesi, standartlarında izlenebilir ve değişikliklerin yönetilebilir olduğu bir altyapıda saklanması, 2. Bu iş ve işlemlerin her bir iş adımında erişilmesi gereken verilerin standart veri analiz yöntemleri kullanılarak detay seviyede modellenmesi, veri modellerinin ve meta veri modellerinin oluşturulması, 3. Veri modelleri için veri kalitesi kriterlerinin saptanması, 4. OGM'yeait verilere erişimde bilinmesi gerektiği kadar prensibini takip eden bir veri erişim yetkilendirme modelinin iş adımlarına paralel biçimde oluşturulması, .

  4. Kurumsal Hizmet Envanterinin Yönetimi ve EDYS Yaygınlaştırma Kurumsal Kimlik 16/12/2010 5. Üretilen veri kaynaklarının entegre edilmesi için merkezi veri yönetimi sistemi kurulması, 6. İhtiyaç duyulan konumsal-zamansal nesne-ilişkisel veritabanı sunucu kümesinin kurulması, 7. Bütünleşik kalite yönetim sisteminin Kurum Hizmet Envanteri çerçevesinde modellenerek kurulması, 8. Birimlerin süreç temelli iş sistemi yönetimi, veri modellemesi ve veri yönetimi, konularında eğitim alması, 9. Birimlerin ISO 9001 Kalite Yönetim Sistemi başta olmak üzere kalite konusunda eğitimler alması, 10. EDYS yazılımının tüm birimlerce kullanılmasını sağlamak, 11. Merkez ve taşra teşkilatındaki evrak servislerinin A4/A3 evrak tarayıcı ihtiyaçlarının karşılanmasını sağlamak,

  5. Kurumsal Hizmet Envanterinin Yönetimi ve EDYS Yaygınlaştırma Kurumsal Kimlik 16/12/2010 12. Kullanıcılara EDYS hakkında gerekli eğitimleri vermek. 13. Merkez ve taşra teşkilatı personelinin bilgi güvenliği kavramlarını doğru anlaması için gerekli farkındalık eğitimlerini almaları, 14. Üst düzey yöneticilerinin ve bilgi işlem personelinin bilgi güvenliği ve bilgi güvenliği yönetimi ile ilgili gerekli eğitimleri almaları, 15. ISO 27001 standardına uygun bir Bilgi Güvenliği Yönetim Sistemi’nin kurulması, bu çalışmalar kapsamında OGM'nin bilgi güvenliği ana politikasının ve bu politikanın ekleri olacak olan uygulama politikalarının oluşturulması, 16. Ağ ve sistem güvenliği için gereken altyapıların tesis edilmesi,

  6. Kurumsal Hizmet Envanterinin Yönetimi ve EDYS Yaygınlaştırma Kurumsal Kimlik 16/12/2010 17. OGM'ninkullanmakta olduğu uygulama yazılımlarına dönük güvenlik önlemlerinin sürekli iyileştirme çerçevesinde devreye alınması, yine bu kapsamda OGM'de ve OGM için geliştirilecek olan tüm uygulama yazılımları için güvenlik profilinin tespit edilmesi, 18. OGM'dekullanımda olan uç nokta bilgisayarlarının güvenliğinin yönetilmesi için gerekli yazılımların tedarik edilmesi, 19. OGM'nintesis güvenliği ihtiyaçlarına dönük rapor hazırlanması, 20. OGM'ninaltyapı olarak Linux altyapısına geçmesinin bilgi güvenliği yönünden etkisine dönük rapor hazırlanması.

  7. Kurumsal Hizmet Envanterinin Yönetimi ve EDYS Yaygınlaştırma - Gerekçe Kurumsal Kimlik 16/12/2010 Ormancılık sadece Türkiye’de değil, tüm dünyada önemli bir değişiklik geçirmektedir. Dünyanın artan hızdaki ekonomik gelişmelere tepki verme süresinin kısalması, çevrenin artan önemi, özellikle karbon salınımı ve tutunumu konusundaki gelişmeler, ormancılığın çok daha bilgi yoğun bir sektör olmasını zorunlu kılmaktadır. Öte yandan, ülkemizde belli ormancılık uygulamaları tek başına başarılı olsa mümkün olsa bile, bu başarının somut ve gözlenebilir sonuçlar getirmesi ayrı bir konudur. Bu çalışmaların, ülke ekonomisine ve özellikle ezici ekonomik koşullar ve %60’a varan işsizlik ile yüzleşen, kentlere göç etmek zorunda kalan orman köylüsüne faydalı olması için bütüncül bir bakış ile yürütülmesi gerektiği birçok çalışma içinde saptanmış ve ulusal politikalarda da ifade edilmiştir.

  8. Kurumsal Hizmet Envanterinin Yönetimi ve EDYS Yaygınlaştırma Kurumsal Kimlik 16/12/2010 OGM'ninbu yeni gelişmeler ışığındaki bilgi sistemi ihtiyacının ortaya konması ve bilgi sistemi geliştirme amaçlarını belirlemek için ORBİS Fizibilite Etüdü Projesi’nde yapılan kapsamlı çalışmalar gerçekleştirilmiştir. Bu çalışmalar iş süreçlerinin yeniden mühendisliği teknikleri ile birçok sosyal bilim araştırma tekniğinin kullanımı ile gerçekleştirilmiş ve önemli bulgular ortaya koymuştur. Proje çalışmaları ile OGM'nin çok fonksiyonlu yapısını kapsayan nitelikte bütünsel ve bütünleşik bir stratejik yönetime ihtiyaç duyduğu sonucuna varılmıştır. Bu ihtiyaç, OGM'nin yüksek bir hızla artan sayıda ve daha da yüksek bir hızla artan karmaşıklıktaki iş ve işlemlerini yönetebilmesi için bir zorunluluk halini almıştır.

  9. Kurumsal Hizmet Envanterinin Yönetimi ve EDYS Yaygınlaştırma Kurumsal Kimlik 16/12/2010 Bununla birlikte, bütünsel ve bütünleşik stratejik yönetimin gerçekleştirilebilmesi için kurumun tüm iş ve işlemlerinin, sebep-sonuç ilişkisi içinde incelendiği, işler arasındaki ilişkilerin gözlendiği ve bu işlerin gerçekleşmesine dönük somut ve standardize edilmiş kayıtların incelenmesi ile yönetilen bir iş süreci yönetimi yaklaşımı ön koşuldur. Bu tür bir iş süreci yönetimi yaklaşımı, esas olarak 2000 yılı ve sonrasında kamu yönetimi ile ilgili olarak yürürlüğe koyulan tüm mevzuatların özünde bulunmaktadır. Kamu idarelerinin kendi çalışmalarını kayda alması, idarenin kendisine verilen görevleri ne etkinlikte ve hangi şekilde gerçekleştirildiğinin gözlenmesi için gerekmektedir.

  10. Kurumsal Hizmet Envanterinin Yönetimi ve EDYS Yaygınlaştırma Kurumsal Kimlik 16/12/2010 Bu konu bir ölçme problemi olarak görülebilir. Örneğin, 2009/15169 karar sayı ve 31 Temmuz 2009 tarihli Resmi Gazete ile “Kamu Hizmetlerinin Sunumunda Uyulacak Usul ve Esaslara İlişkin” bir yönetmelik yayınlanmıştır. Söz konusu yönetmeliğin amacı; etkin, verimli, hesap verebilir, vatandaş beyanına güvenen ve şeffaf bir kamu yönetimi oluşturmak; kamu hizmetlerinin hızlı, kaliteli, basitleştirilmiş ve düşük maliyetli bir şekilde yerine getirilmesini sağlamak üzere, idarelerin uyması gereken usul ve esasları düzenlemektir.

  11. Kurumsal Hizmet Envanterinin Yönetimi ve EDYS Yaygınlaştırma Kurumsal Kimlik 16/12/2010 Yönetmelik, hizmet standartları oluşturma konusunda da yönetmelik ekinde yer alan örneğe göre idarelerin hizmet standartlarını oluşturmasını ve oluşturulan hizmet standartları tablosunda; hizmetin adı, başvuruda istenen belgeler, hizmetin ne kadar sürede tamamlanacağı ve şikâyet mercilerine ilişkin bilgiler yer almasını istemiştir. Bu tablo ile hizmeti doğrudan sunan birimlerce vatandaşların kolayca görebileceği panolarda, kurumsal internet sayfalarında ve e-Devlet Kapısı'nda duyurulması istenmiştir.

  12. Kurumsal Hizmet Envanterinin Yönetimi ve EDYS Yaygınlaştırma Kurumsal Kimlik 16/12/2010 2009/15169 sayılı yönetmelikte öngörülen hususlara ilişkin gerekli her türlü idarî, teknik ve hukukî düzenlemeler için idarelere yönetmeliğin yayımı tarihinden itibaren altı ay içinde gerçekleştirmeleri yönünde bir zaman verilmiştir. 2009 yılı içinde hemen tüm kamu kurumları hizmet standartlarını oluşturmuş ve tablolar halinde yayınlamıştır. OGM içinde de bu hizmet standartları oluşturulmuş, özellikle kuruma özel ve tüzel kişilerin başvurularına dair olan hizmet standartları kolay erişilir biçimde OGM resmi internet sitesi üzerinden “Vatandaşa Sunulan Hizmetlerde İstenilen Belgeler ve İş Bitirme Süreleri” dokümanını yayınlamıştır.

  13. Kurumsal Hizmet Envanterinin Yönetimi ve EDYS Yaygınlaştırma Kurumsal Kimlik 16/12/2010 Bu yönetmelik, esas olarak iş süreçlerinin belgelenmesini ve iş sürecinin ne şekilde aktığı konusunda vatandaşların bilgilendirilmesini istemektedir. Ancak iş süreçlerinin zaman içinde değişmesi durumunda ne yapılacağı ve iş süreçlerindeki değişimin nasıl yönetileceği konusunda belirleyici değildir. Dolayısı ile bu yönetmelik örneğinde gösterildiği gibi, bir kamu idaresinin kendi iş süreçlerini bir kez analiz etmesi ve bu analizin dokümantasyonunu temel alarak bir dizi iş ve işlemi düzenlemesi kendi başına yeterli olmayabilir. OGM, yaptığı işlerin doğası gereği, büyük oranda yerinden yönetilen, çok sayıda coğrafi olarak dağınık iş birimine sahip bir kurumdur. İş ve işlemlerin doğru yapılması konusunda gösterilen titizlik ve özellikle sahada çalışan personelin kendisini işine adaması ile dikkat çekmektedir.

  14. Kurumsal Hizmet Envanterinin Yönetimi ve EDYS Yaygınlaştırma Kurumsal Kimlik 16/12/2010 Yasal yükümlülüklerin ötesinde, iş süreci analizleri ve modelleri, idarelerin kendilerini tanımaları ve analiz ederek değerlendirmeleri için önemli bir temel sunmaktadır. Kamu kurumlarındaki iç ve dış denetim mekanizmaları, performans değerlendirme çalışmaları gibi diğer faaliyetler de esas olarak bu hizmet tablolarında yer alan işlemlerin doğru ve etkin biçimde yürütülmesine dayanır. Ayrıca kamu kurumlarındaki kalite yönetimi çalışmaları da bu tabloları yoğun biçimde kullanmak zorundadır. OGM'nin2011 ve takip eden yıllarda geliştireceği çok sayıda iş uygulaması yazılımı için iş süreci analizlerinin, elektronik ortamda ve insanların kullanımına ek olarak yazılımların doğrudan kullanabileceği bir formatta bulunması gerekmektedir.

  15. Kurumsal Hizmet Envanterinin Yönetimi ve EDYS Yaygınlaştırma Kurumsal Kimlik 16/12/2010 Kamu kurumlarının kullandığı terminoloji, özel sektörün terminolojisi ile oldukça farklı olabilmektedir. Ancak terimler (iş süreci, hizmet standardı, hizmet envanteri, vs) ne olursa olsun, esas olarak bir kurumun işleyişinin nasıl olması gerektiğinin kayda alınması son derece önemli bir gerekliktir. • Kurumsal performansın, doğru ölçülmesi için kişi veya birimden bağımsız olarak iş süreci veya faaliyet türü bazında ölçülmesi gerekmektedir. Ancak iş süreci ve faaliyet türlerinin önceden bilinmesi gerekmektedir. • Denetim işlerinin standardize edilebilmesi, denetim faaliyetlerinin karşılaştırılabilir kurallara bağlanması için, öncelikle normal faaliyetlerin de standardize olması gereklidir. •

  16. Kurumsal Hizmet Envanterinin Yönetimi ve EDYS Yaygınlaştırma Kurumsal Kimlik 16/12/2010 • Kurumların iş akışlarını kendi içine gömen ve bu sayede iş yapış biçimleri için pratik standartlar oluşturan uygulama yazılımlarının aşırı pahalıya mal edilmesi ve geliştirme süreçlerinin aşırı uzaması, esasında kurumsal hizmetlerin standart kayıtlarının olmayışına da bağlıdır. • İdari ve Mali İşler Dairesi Başkanlığı - İdari İşler Şube Müdürlüğü’nün istatistiklerine göre OGM'ye yılda 250 bin adet evrak girişi olmaktadır. Bu sayı, 2007 yılından sonra e-Posta iletişimi ile evrak aktarımının yaygınlaşması sonrasında azalmış bulunan bir sayıdır. • Bunun dışında, OGM taşra teşkilatının kendi evrak giriş çıkışları ve birimler arası yazışmalar ile birlikte, OGM'deki yıllık yazışma ve belge sirkülasyonu adedi milyonlarla ölçülecek şekilde kestirilmektedir. •

  17. Kurumsal Hizmet Envanterinin Yönetimi ve EDYS Yaygınlaştırma Kurumsal Kimlik 16/12/2010 • Yazışma sayısının dışında yazışma türü de çoktur. Değişik amaçlarla yapılan 700’den fazla yazışma türü tespit edilmiştir. • Bir çok iş ve işlemin yıllara yayıldığı ormancılık faaliyetleri ve özellikle uzun dönemli olarak verilen izinler, yazışmalara uzun dönemli erişimi zorunlu tutmakta, arşivlerdeki çoğu materyal imha edilebilir nitelik kazanmadan önce on yıllarca kurum arşivinde beklemek durumunda kalmaktadır. Yasa, yönetmelikler ve tebliğler bir kurumun nasıl çalışması gerektiğine dair kısıtlamaları ve hatta bazen iş akışlarını sunmakla birlikte, çoğu zaman sözel metin içinde işin esas akışının kaybolması riskini taşımaktadır. Ancak mevzuatın incelenmesi ile ortaya çıkartılacak, uluslararası süreç modelleme standartlarına uygun bir biçimde modellenmiş iş süreçleri, bu riski taşımaz.

  18. Kurumsal Hizmet Envanterinin Yönetimi ve EDYS Yaygınlaştırma Kurumsal Kimlik 16/12/2010 Mevzuatın ve mevzuat geliştirme sürecinin asla fiili durumlara anında tepki veremeyeceği sabit olduğundan, tüm kamu kurumlarında idari tasarruf veya projelendirmek sureti ile yapılan işler bulunmaktadır ve bulunacaktır. Ancak bu işlerin özelikle iş hacmi olarak artması durumunda mevzuat ihtiyacının tespit edilmesi gerekmektedir. Bu da yine iş süreçlerinin olduğu hali ile modellenmesi ve izlenmesini gerektirmektedir. Görüldüğü üzere, bazıları mevzuatlara uyum odaklı olan birçok neden ile kamu idarelerinin kendi iş süreçlerini modellemesi ve bu modelleri yönetmesi gerekmektedir, ancak bu gereksinim çok sayıda karmaşık iş ve işlemi, birbiri ile ilintili biçimde ve çok farklı planlama periyotları ile gerçekleştiren OGM için daha belirleyicidir.

  19. Kurumsal Hizmet Envanterinin Yönetimi ve EDYS Yaygınlaştırma Kurumsal Kimlik 16/12/2010 2010 yılı içinde gerçekleştirilen ORBİS Fizibilite Etüdü Projesi kapsamında yapılan çalışmalarda Bilgi güvenliği konusunda aşağıdaki saptamalar yapılmıştır. 1. OGM'niniş ve işlemlerinde gizli olarak sınıflandırılan harita ve harita bilgileri başta olmak üzere, vatandaşlara, kamu kurumlarına ve şirketlere ait bilgiler, hukuki değeri bulunan arşivler ve benzeri çok çeşitli bilgi ve belgenin oluşturulduğu, kayda geçirildiği ve yasal gerekler sonucu uzun dönemli olarak saklandığı gözlenmiştir, 2. Evrakın büyük oranda kağıt ortamında oluşturulup saklanması sonucunda, evrak arşivlerine olan erişimin kısıtlanması bilgi güvenliğinin erişim denetimi bileşeninin sağlanması açısından genel anlamda yararlı olmakla birlikte, sistematik biçimde bir bilgi güvenliği sistemi bulunmadığı gözlenmiştir,

  20. Kurumsal Hizmet Envanterinin Yönetimi ve EDYS Yaygınlaştırma Kurumsal Kimlik 16/12/2010 3. Bilgi güvenliğinin elektronik ortamda sağlanması konusunda temel önlemler alınmakta ancak kapsamlı bir çalışma yürütülmemektedir. 4. Bilgi güvenliği konusunda merkez ve taşra teşkilatının uygulama becerisi ve algısı arasında önemli asimetriler bulunmaktadır. Taşra teşkilatının yapısal kablolamanın eksik olmasından da yola çıkarak kablosuz yerel ağları aşırı kullanımındaki eksikler ve yanlışlar bu konuda bir örnektir.

  21. Kurumsal Hizmet Envanterinin Yönetimi ve EDYS Yaygınlaştırma Kurumsal Kimlik 16/12/2010 5. OGM'niniş ve işlemlerini elektronik ortama taşımasını takiben bilgilere yetki ve görev tanımı bazlı erişimin sağlanması, yasal yükümlülüklere dönük işlem kayıtlarının oluşturulması, verilerin çalınması, tahrif edilmesi veya erişilemez kılınmasını hedefleyen saldırılara karşı etkin güvenlik önlemlerinin alınması için gerekli olan güvenlik teknolojisi mevcut durumda yeterince kullanımda değildir. 6. OGM'ninbir bilgi güvenliği yönetim sistemi bulunmamaktadır. Bu saptamalarla ilgili detaylar ekte bulunan Mevcut Durum Analizi ve Teknik Sistem Analizi raporlarında detaylı biçimde açıklanmaktadır.

  22. Kurumsal Hizmet Envanterinin Yönetimi ve EDYS Yaygınlaştırma Kurumsal Kimlik 16/12/2010 Bu

  23. BİLGİ SİSTEMLERİ DAİRESİ BAŞKANLIĞI Kurumsal Kimlik 16/12/2010 Günümüzde hemen her türlü sistemin BT teknolojileri üzerinden yönetilmesi sonucunda bu sistemler bir yandan hayatımızı kolaylaştırmakta ancak kontrollerini sağladıkları sistemlerin kesintiye uğramasının ya da hatalı çalışmasının çok büyük etki yaratacak bir gücünün olması sebebiyle de kaçınılmaz olarak birer hedef durumuna gelmektedirler.

  24. BİLGİ SİSTEMLERİ DAİRESİ BAŞKANLIĞI Kurumsal Kimlik 16/12/2010 BT sistemlerine yapılan saldırıların yoğunluk, saldırı tipleri, amaçları ve nedenleriyle çok fazla çeşitlik kazandığı günümüzde, organize bir şekilde düzenlenen ve adına "Siber Savaşlar" denilen uluslararası çapta büyük saldırılar dönemi yaşanmaktadır. Ülkelerin ticari, ekonomik, sivil ve askeri sistemlerinin kontrolleri büyük ölçüde dijital ortam üzerinde olması nedeniyle bu siber saldırılara karşı güvenlik önlemleri geliştirme ihtiyacı her geçen gün artmaktadır. Siber Saldırıların sebepleri incelendiğinde; • bir devlete, kuruma, ya da çeşitli güç merkezlerine tepki göstermek, • bilgi casusluğu yaparak çıkar sağlamak , • güç gösterisi yaparak sesini duyurmak, • hedef bir kitlenin çalışmalarını engellemek gibi sebeplerle yapılmakta olduğu gözlenmektedir.

  25. BİLGİ SİSTEMLERİ DAİRESİ BAŞKANLIĞI Kurumsal Kimlik 16/12/2010 Söz konusu siber saldırılara karşı alınması gereken önlemler ve çözümler "Siber Güvenlik" kavramı olarak karşımıza çıkmaktadır. Siber Saldırılara karşı ne tür güvenlik önlemlerinin alınabileceğini incelediğimizde ise konunun çok yönlü yapısı sebebiyle bilgi güvenliği ve ağ güvenliği kavramlarının bir arada ele alınması gerektiği ortaya çıkmaktadır.

  26. BİLGİ SİSTEMLERİ DAİRESİ BAŞKANLIĞI Kurumsal Kimlik 16/12/2010 2009 yılında Microsoft firması tarafından yapılan bir araştırmaya göre saldırıların yaklaşık %40'lık bir oranının yerel ağ'dan gelen saldırılar olduğu sonucu ortaya çıkmıştır.

  27. BİLGİ SİSTEMLERİ DAİRESİ BAŞKANLIĞI Kurumsal Kimlik 16/12/2010 Bilgi; değerli olan uygun şekilde korunması gereken bir varlıktır. BİLGİ GÜVENLİĞİ Günümüzde bilgiye sürekli erişimi sağlamak ve bu bilginin son kullanıcıya kadar bozulmadan, değişikliğe uğramadan ve başkaları tarafından ele geçirilmeden güvenli bir şekilde sunulması zorunluluk haline gelmiştir.

  28. BİLGİ SİSTEMLERİ DAİRESİ BAŞKANLIĞI Kurumsal Kimlik 16/12/2010 Bilgi güvenliği (BG) En genel tanımıyla bilginin, üretim ve hizmet sürekliliğini sağlamak, parasal kayıpları en aza indirmek üzere tehlike ve tehdit alanlarından korunmasıdır. Bilgi Güvenliği Yönetimi, bir kuruluşun fiziksel ve elektronik bilgi varlıklarının gizlilik, bütünlük ve erişilebilirliğini korumak için en üstten en alta kadar uygulayacağı iş odaklı yönetim yaklaşımıdır. Bilgi Güvenliği Yönetimi, kuruluşun stratejik hedefleri doğrultusunda rekabet avantajı, nakit akışı, karlılık, kurumu bağlayıcı yasal düzenlemeler ya da sözleşmeler ve kurumsal imaj ile uyumlu olmalıdır.

  29. BİLGİ SİSTEMLERİ DAİRESİ BAŞKANLIĞI Kurumsal Kimlik 16/12/2010 Bilgi Güvenliğinin Temel Amacı; Gizlilik; Bilgiye, sadece erişim hakkı olan kişilerin erişmesidir. Bilgi, yetkili olmayan kişiler, varlıklar ve süreçler tarafından erişilemez ve ifşa edilemez. Bütünlük; Bilginin, doğruluğunun ve tamlığının ve kendine has özgürlüğünün korunmasıdır. Erişilebilirlik; Bilgiye erişim hakkı olan kişilerin, her ihtiyaç duyduklarında erişebilmesidir.

  30. BİLGİ SİSTEMLERİ DAİRESİ BAŞKANLIĞI Kurumsal Kimlik 16/12/2010 Bilgi Güvenliği Yönetim Sistemi (BGYS) Nedir? Olası risklerin ve tehditlerin belirlenerek, güvenlik politikalarının oluşturulması, denetimlerin ve uygulamaların kontrolü için uygun yöntemlerin geliştirilmesi, örgütsel yapılar kurulması ve yazılım/donanım fonksiyonlarının sağlanması gibi bir dizi denetim eyleminin birbirini tamamlayacak şekilde gerçekleştirilmesidir. Kurumlarda Bilgi Güvenliği Neden önemlidir? 1. İşin sürdürülebilirliği 2. İşin büyümesi ve gelirin artması 3. Kurumsal itibarın muhafaza edilmesi ve geliştirilmesi 4. Yasal uyumluluk 5. Müşterilere, Paydaşlara, Çalışanlara, İş Ortaklarına, Devlete güven vermek

  31. BİLGİ SİSTEMLERİ DAİRESİ BAŞKANLIĞI Kurumsal Kimlik 16/12/2010 Bilgi Güvenliği Sağlama Araçları; Fiziksel Güvenlik: Fiziksel önlemlerle (güvenli ortam vb) güvenliğinin sağlanması. Kullanıcı Doğrulaması Yöntemleri: Akıllı kart, tek kullanımlı parola, token ve PublicKeyCertificate gibi araçlar ve RADIUS gibi merkezi kullanıcı doğrulama sunucularının kullanılması. Şifreleme: Güvensiz ağlar üzerinden geçen verilerin güvenliği için Virtual Private Network veya şifreleme yapan donanımların kullanılması. Ayrıca web tabanlı güvenli veri transferi için SSL ve PublicKey (ortak anahtarlama) şifrelemenin kullanılması. Donanım tabanlı şifreleme çözümleri de mümkündür.

  32. BİLGİ SİSTEMLERİ DAİRESİ BAŞKANLIĞI Kurumsal Kimlik 16/12/2010 ISO 27001 Nedir? Bilgi Güvenliği Yönetim Standardıdır. Aşağıdaki İş Süreçlerini Kapsamaktadır. 1. Bilgi Güvenliği Politikası 2. Bilgi Güvenliği Organizasyonu 3. Varlık Yönetimi 4. Risk Yönetimi 5. İnsan Kaynakları Güvenliği 6. Fiziksel Ve Çevresel Güvenlik 7. Haberleşme Ve İşletim Yönetimi 8. Erişim Kontrolü 9. Bilgi Sistemleri Edinim, Geliştirme Ve Bakımı 10. Bilgi Sistemleri İhlal Olay Yönetimi 11. Uyumluluk 12. İş Sürekliliği Yönetimini, Kapsamaktadır.

  33. BİLGİ SİSTEMLERİ DAİRESİ BAŞKANLIĞI Kurumsal Kimlik 16/12/2010 5651 Sayılı Kanun; İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanundur. Bu Kanunla; içerik sağlayıcı, yer sağlayıcı, erişim sağlayıcı ve toplu kullanım sağlayıcıların yükümlülük ve sorumlulukları ile internet ortamında işlenen belirli suçlarla içerik, yer ve erişim sağlayıcıları üzerinden mücadeleye ilişkin esas ve usuller düzenlenmektedir.

  34. BİLGİ SİSTEMLERİ DAİRESİ BAŞKANLIĞI Kurumsal Kimlik 16/12/2010 Şifre Güvenliği Şifrenizi doğru seçin: İşte hacker'ların 10 dakikada kırdığı, 44.000 yılda bile kıramadığı şifreler...İnternette kullandığımız şifrelerin önemi, e-posta hesaplarının internete taşınmasıyla ve sosyal ağlar gibi kişisel bilgilerimizi paylaştığımız sitelerin ünlenmesiyle eskisinden çok daha önemli bir hal aldı. Birçok kez duymuş olacağınız gibi kullandığımız hizmetler için farklı ve güçlü şifreler kullanmak büyük önem taşıyor. Ancak yine de kırılması çok basit şifrelerin kullanımı oldukça yaygın. Bu da bir hacker'ın şifreyi çok kısa bir süre içinde kırabilmesi demek. İşte bir hacker'ın belli uzunluklardaki şifreleri kırmak için ihtiyaç duyduğu süreler:Şifre sıfırlama ile ilgili yapılan bir aramanın şirketlere ortalama maliyeti: 10 dolar Şifrelerle ilgili aramaların oranı: yüzde 30 Şifre olarak bilinen bir kelime veya basit bir birleşim seçen kullanıcı oranı: Yüzde 50 Kaynak: Gartner, Duo Security, Forrester, LastBit Software, Imperva

  35. BİLGİ SİSTEMLERİ DAİRESİ BAŞKANLIĞI Kurumsal Kimlik 16/12/2010

  36. BİLGİ SİSTEMLERİ DAİRESİ BAŞKANLIĞI Kurumsal Kimlik 16/12/2010 En gelişmiş güvenlik sistemleri - Sayısal imzalar - Kriptografikönlemler - Biometrikgüvenlik - Güvenlik duvarları - Saldırı engelleme sistemleri - Erişim kontrol sistemleri - İnternet erişimine kapalı ağ !!! En zayıf halka: İnsan - USB bellekler !!!

  37. BİLGİ SİSTEMLERİ DAİRESİ BAŞKANLIĞI Kurumsal Kimlik 16/12/2010 • Yazılım Güvenliği • İşletim Sistemi Güvenliği • Sosyal Ağ Güvenliği • Mobil Cihaz Güvenliği • Veri Tabanı Güvenliği • Web Teknolojileri Güvenliği • Web Uygulama Güvenliği • Protokol Güvenliği • Sunucu Güvenliği • IPv6 Güvenliği • Algoritmik Güvenlik • Siber Güvenlik • Kritik Altyapı Güvenliği

  38. BİLGİ SİSTEMLERİ DAİRESİ BAŞKANLIĞI Kurumsal Kimlik 16/12/2010 • Savaşlar internete kaydı.. • Ayyıldız TİM, Cyber Warrior, RedHack, Coldhacker • Anonymous • LulzSec(ABD Senatosu), • Estonya • Gürcistan • Wikileaks • İyilerin ve Kötülerin amansız savaşı • • Saldıran Taraf • ' Savunan Taraf

  39. BİLGİ SİSTEMLERİ DAİRESİ BAŞKANLIĞI Kurumsal Kimlik 16/12/2010 Saldıran Taraf • Saldırılar artmakta saldırı bilgi seviyesi hızla azalmakta • Kötücül kodlar gelişerek ve değişerek hızla yayılmakta • Organize olarak sanal suç örgütlerini kurma • İyilerden hep bir adım önde Savunan Taraf • Güvenliğiniz en zayıf halkanız kadardır. • %99,9 Korunma + %0,1 Korunmasızlık = %100 güvensizlik • Bilgisizlik, ilgisizlik, hafife alma • Korunma maliyetleri (Yatırım, Eğitim) • Kişilere güven duygusu • E-dünyanın doğasında olan güvensizlik

  40. BİLGİ SİSTEMLERİ DAİRESİ BAŞKANLIĞI Kurumsal Kimlik 16/12/2010 SALDIRILAR Saldırılar artık kapsamlı, Çoklu saldırılar popüler Senaryoları yazılmış ve denenmiş, Karma yapıları içeriyor Bilinmeyenler/düşünülmeyenler, Sürekli yenilikler içeriyor Takip gerektiriyor, Yüksek bilgi birikimi gerektiriyor.. Bunun sonucu olarak 1. Casus yazılım sayısı artıyor. 2. Farklılaşıyorlar. 3. Kendilerini saklayabiliyorlar, görünmez olabiliyorlar. 4. Silseniz bile tekrar kopyalayabiliyorlar 5. Belirli bir süre var olup sonra kendilerini yok edebiliyorlar.

  41. BİLGİ SİSTEMLERİ DAİRESİ BAŞKANLIĞI Kurumsal Kimlik 16/12/2010 SALDIRILAR

  42. BİLGİ SİSTEMLERİ DAİRESİ BAŞKANLIĞI Kurumsal Kimlik 16/12/2010 WIKILEAKS • Dünyanın güvenlik açısından çok iyi dersler çıkaracağı en iyi örnek • ABD'nin sanal savaş denemesi • Kendisini/diğer ülkeleri nasıl etkileyecek • Geliştirilen teknolojileri test etme • Facebook ve Google gibi teknolojilerini ne kadar iyi kullanabiliyor testi • İnternet ne kadar kontrol edebilir / edilemez..

  43. BİLGİ SİSTEMLERİ DAİRESİ BAŞKANLIĞI Kurumsal Kimlik 16/12/2010 GOOGLE • Mükemmel bir arama motoru • En çok tercih edilen arama motoru • Mükemmel hizmetler veriyor • Academics, books, translation, blogs, gmail, documents, mobil, talk, maps, IPv6, Google+, • Değeri 200 Milyar Dolar • FAKAT...

  44. BİLGİ SİSTEMLERİ DAİRESİ BAŞKANLIĞI Kurumsal Kimlik 16/12/2010 GOOGLE • Dünyanın en iyi casus yazılım sistemi • Dünyanın bilgisini topluyor.. • Ülkesine hizmet eden en iyi yazılımlardan birisi.. • Bizi bizden (ülkeleri, ülkelerden) daha iyi analiz edebiliyor.. • Kelime/Cümle/Resim/Ses araması yapabiliyor.. • İstihbarat için vazgeçilmez bir ortam.. • Tabii ki bu sistemi iyi kullananlar için.. • encrypted.google.com hizmete giriyor.. • Güvenlik açığı oluşturabilecek hususları kapatıyor..

  45. BİLGİ SİSTEMLERİ DAİRESİ BAŞKANLIĞI Kurumsal Kimlik 16/12/2010 SOSYAL AĞLAR • Kimlikleri Taklit Etme • istenmeyen Epostalar (Spam) ve Bot Saldırıları • Kötü Amaçlı Sosyal Ağ Uygulamaları • Siteler Arası Kod Çalıştırma (XSS) ve Siteler Arası istek Sahteciliği (CSRF) Saldırıları • Kimlik Hırsızlığı • Casusluk • Sahte Linkler/Bağlantılar • Bilgi Toplama Saldırıları

  46. Google Earth uygulaması Kurumsal Kimlik 16/12/2010 Hindistan'ın hassas noktaların sergilenmesi - Hindistan'daki hassas noktaları sergileyen uygulamanın, ülke güvenliğini tehdit ettiği ifade edildi. Güney Kore'nin itirazı - Hükümet, başkanlık sarayı ve kritik askeri tesisler gibi yerlerin görüntülerinin rahatsızlık verdiğini belirtti. İsrail'in rahatsızlığı - İsrail'in savunma güçlerini, gizli hava üslerini, Arrow hava savunma sistemlerini, Tel Aviv'deki Savunma Bakanlığına ait yerleşkeleri, Aşkelon'daki enerji tesislerini, Negev çölündeki nükleer tesisleri gösteren yüksek çözünürlüklü görüntüleri yayınlamaya başladı. Avustralya'daki nükleer tesisler - Sydney yakınlarında bulunan LucasHeights nükleer reaktörünün işletmecileri, Google yetkililerinden tesise ait görüntülerin çözünürlülüğünün düşürülmesini talep ettiler  Gazze'den yapılan roket saldırıları - Gazze'den gerçekleştirdikleri roket saldırılarında Google Earth görüntülerinden faydalandıkları raporlandı. İngiltere'deki kilise hırsızlıkları - İngiltere'de hırsızların Church of England kilisenin kurşun tavanını Googgle Earth ile tespit edip çaldıkları ve sattıkları ortaya çıktı. İlkay ÜNAL-STM

  47. BİLGİ SİSTEMLERİ DAİRESİ BAŞKANLIĞI Kurumsal Kimlik 16/12/2010

  48. BİLGİ SİSTEMLERİ DAİRESİ BAŞKANLIĞI Kurumsal Kimlik 16/12/2010

  49. BİLGİ SİSTEMLERİ DAİRESİ BAŞKANLIĞI Kurumsal Kimlik 16/12/2010 Karşı Önlemler (Kullanıcı Bilinci) • İlk üçte yer alan kritik karşı önlemler: 1. Kullanıcı bilinci 2. Kullanıcı bilinci 3. Kullanıcı bilinci (Kullanıcı = bilgisayar operatörü, sistem yöneticisi, kurum yöneticisi = herkes) • Eğitim (Ne?) • Kurs (Nasıl?) • Bilinçlendirme (Niçin?) Bilge KARABACAK TUBİTAK-BİLGEM

More Related