Geri Dön

An information security management system approach and technical security best practices for the enterprise companies

Kurumsal şirketler için bilgi güvenliği yönetim sistemi yaklaşımı ve teknik güvenlik tedbirlerinde en iyi uygulama örnekleri

  1. Tez No: 586556
  2. Yazar: ERCAN BUĞRA TOKDEMİR
  3. Danışmanlar: DR. ÖĞR. ÜYESİ AHMET NACİ ÜNAL
  4. Tez Türü: Yüksek Lisans
  5. Konular: Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrol, Computer Engineering and Computer Science and Control
  6. Anahtar Kelimeler: Bilgi Güvenliği, Risk Değerlendirmesi, SIEM, Güvenlik Sıkılaştırma, Güvenli Yazılım Geliştirme, Information Security, Risk Assessment, SIEM, Security Hardening, Secure Software Development
  7. Yıl: 2019
  8. Dil: İngilizce
  9. Üniversite: Bahçeşehir Üniversitesi
  10. Enstitü: Fen Bilimleri Enstitüsü
  11. Ana Bilim Dalı: Bilgisayar Mühendisliği Ana Bilim Dalı
  12. Bilim Dalı: Belirtilmemiş.
  13. Sayfa Sayısı: 97

Özet

Günümüz hızla gelişen teknoloji dünyasında iş süreçleri dijitalleşmekte, kurumların, bireylerin iş süreçlerinde veya gündelik yaşantılarında kullandıkları tüm veriler dijital ortamlara taşınmakta ve hatta ilgili tarafların erişimine sunulmaktadır. Bu doğrultuda, kurumların bilgi güvenliği alanında olgun bir yapıya ulaşmaları önemini hızla artırmış ve bilgi güvenliği prensiplerinin uygulanması kurumların faaliyetlerini sürdürebilmeleri için temel ve zorunlu gerekesimler haline gelmiştir. Bilgi güvenliği kontrollerinin uygulanması kurumların faaliyetlerini güvenli şekilde sürdürebilmeleri ve bilgi güvenliği riskleri sebebiyle yaşanabilecek iş kesintileri veya finansal kayıp gibi riskleri önlemek için zorunlu bir ihtiyaç olmakla birlikte aynı zamanda kurumların faaliyet alanlarına göre tabi oldukları kanun, yönetmelik ve standartlar gereği ihlali durumunda cezai yaptırımların uygulandığı hukuki bir zorunluluktur. Bilgi güvenliği gereklilikleri bireyler ve kurumlar için önemini büyük ölçüde arttırırken, yüzde 100 güvenli bir sisteme ulaşılamayacağı ve bunun ulaşılamaz bir hedef olduğunun farkına varılması son derece önemlidir. Bu sebeple bilgi güvenliği kontrollerinin en uygun seviyede uygulanması ve bu kontrollerin ihtiyaçlara göre güncellenerek işletilmesi kurumlar için büyük bir zorluk oluşturmaktadır. Bu çalışmayla kurumların bilgi güvenliği gereksinimlerini karşılayabilmeleri için teknik ve idari olarak uygulamaları gereken temel süreç ve kontroller incelenmiş, etkin bir bilgi güvenliği yönetim sistemi kurulması için ihtiyaç duyulan gereksinimler belirlenmiş ve tüm bu çalışmaları sistematik olarak yönetebilmek için etkin bir bilgi güvenliği risk yönetim yaklaşışımı ortaya koyulmuştur. Bilgi güvenliği alanında kurumları ilgilendiren birçok standart, çerçeve, kanun ve ilgili yönetmelikler bir arada analiz edilerek bilgi güvenliği alanında mükerrer kontrollerin yapılmasının önüne geçecek rafine yapıda teknik kontrol setleri oluşturulmuştur. ISO 27001, ISO 27002, ISO 27005, ISO 31000, COBIT, GDPR, ITIL, PCI-DSS, NIST ilgili güvenlik kontrolleri, OWASP ilgili güvenlik kontrolleri, CMMI ilgili güvenlik kontrolleri çalışma kapsamında incelenen ve kurumların asgari güvenlik gereksinimlerinin belirlenmesi için referans alınan temel standartlar, çerçeveler ve kanunlar arasındadır. Çalışma içerisinde temel bilgi güvenliği kontrolleri arasında yer alan denetim izleri ve olay yönetim yapılarının kurulması, bilgi güvenliği alarmlarının izlenmesine yönelik gerekli süreçlerin tanımlanması, Windows işletim sistemleri temel güvenlik yapılandırmaları, Active Directory servisi temel güvenlik yapılandırmaları, veri tabanları temel güvenlik yapılandırmaları ve güvenli yazılım geliştirme süreçleri gibi hususlar detaylıca incelenmiş ve uygulanması gereken kontroller bütüncül olarak belirlenmiştir.

Özet (Çeviri)

In today's rapidly developing technology world, business processes are digitalized and all data used by institutions, individuals in their business processes or in their daily lives are transferred to digital environments and even presented to the relevant parties. In this respect, the fact that institutions have reached a mature structure in the field of information security has rapidly increased its importance and the implementation of the principles of information security has become the basic and compulsory necessities for the institutions to continue their activities. Implementation of information security controls is a mandatory requirement for institutions to maintain their activities safely and to prevent risks such as work interruption or financial loss due to information security risks, while at the same time it is a requirement that criminal sanctions are applied in the case of violation of laws, regulations and standards which institutions are subject to according to their areas of activity. It is extremely important to recognize the fact that, 100 percent secure system cannot be achieved and it is an unachievable goal while information security necessities significantly increase the importance for individuals and institutions. For this reason, the implementation of information security controls at the most appropriate level and the updating and operation of these controls according to the needs constitute a major challenge for the institutions. With this study, the basic processes and controls that the institutions need to apply technically and administratively to meet the information security requirements have been examined and the requirements for establishing an effective information security management system have been determined and an effective information security risk management approach has been introduced to systematically manage all these studies. In the field of information security, many standards, frameworks, laws and related regulations concerning the institutions have been analyzed together and technical control sets in refined manner which will prevent duplicate controls in the field of information security have been established. ISO 27001 information security management systems (ISO 27001), ISO 27002 Code of practice for information security controls (ISO 27002), ISO 27005 Information security risk management (ISO 27005), ISO 31000 information security management systems (ISO 31000), Control objectives for information and related technologies (COBIT), General Data Protection Regulation (GDPR), Information technology infrastructure library (ITIL), The payment card industry data security standard (PCI DSS), The national institute of standards and technology (NIST) related security controls, The open web application security project (OWASP) related security controls, The capability maturity model integration (CMMI) related security controls are among the basic standards, frameworks and laws that have been examined within the scope of the study and which are referenced for the determination of the minimum-security requirements of the institutions. In the study, the issues like the establishment of log and event management structures, the identification of the necessary processes for monitoring information security alarms, the basic security configurations of the windows operating systems, the basic security configurations of the Active Directory service, the basic security configurations of the databases and the secure software development processes, which are covered in the main information security measures, have been examined in detail and the controls to be applied have been determined.

Benzer Tezler

  1. Determining maritime cyber security dynamics on the perspective of marine insurance and development of maritime cyber security risk management tool

    Denizcilik sigortaları açısından deniz siber güvenlik dinamiklerinin belirlenmesi ve deniz siber güvenlik risk yönetim aracının geliştirilmesi

    GİZEM KAYİŞOĞLU

    Doktora

    İngilizce

    İngilizce

    2023

    Denizcilikİstanbul Teknik Üniversitesi

    Deniz Ulaştırma Mühendisliği Ana Bilim Dalı

    DOÇ. DR. PELİN BOLAT

  2. Veri güvenliğinin iyileştirilmesi sürecinde risk tabanlı küresel standart, çerçeve ve en iyi uygulama yaklaşımları

    Risk based global standard, framework and best practice approaches in data protection improvement process

    ONUR KORUCU

    Yüksek Lisans

    Türkçe

    Türkçe

    2021

    Hukukİstanbul Bilgi Üniversitesi

    Bilişim ve Teknoloji Hukuku Ana Bilim Dalı

    PROF. DR. ŞULE IŞINSU ÖZMEN

  3. Investigation of asset management practices in airports

    Havalimanlarında varlık yönetimi uygulamalarının incelenmesi

    CEMİL CAN UZUN

    Yüksek Lisans

    İngilizce

    İngilizce

    2023

    İnşaat Mühendisliğiİstanbul Teknik Üniversitesi

    İnşaat Mühendisliği Ana Bilim Dalı

    PROF. DR. ESİN ERGEN PEHLEVAN

  4. A composed technical debt identification methodology to predict software vulnerabilities

    Yazılım zafiyetlerini tahmin etmek için kapsamlı bir teknik borç tanımlama yöntemi

    RUŞEN HALEPMOLLASI

    Doktora

    İngilizce

    İngilizce

    2024

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrolİstanbul Teknik Üniversitesi

    Bilgisayar Mühendisliği Ana Bilim Dalı

    DOÇ. DR. AYŞE TOSUN KÜHN

  5. Nükleer tesislerde bilişim emniyeti

    Computer security at nuclear facilities

    GÖKHAN AKAR

    Yüksek Lisans

    Türkçe

    Türkçe

    2016

    Nükleer Mühendislikİstanbul Teknik Üniversitesi

    Enerji Bilim ve Teknoloji Ana Bilim Dalı

    PROF. İSKENDER ATİLLA REYHANCAN