Kurumsal bilgi güvenliği ve standartları üzerine bir inceleme

SAGIROGLU, SEREF; VURAL, Yılmaz

Kurumsal bilgi güvenliği ve standartları üzerine bir inceleme

Yılmaz VURAL, (STM AŞ, Ankara, Türkiye)

Şeref SAĞIROĞLU (Gazi Üniversitesi, Mühendislik Mimarlık Fakültesi, Bilgisayar Mühendisliği Bölümü, Ankara, Türkiye)

Gazi Üniversitesi Mühendislik Mimarlık Fakültesi Dergisi

19 3

Yıl: 2008 Cilt: 23 Sayı: 2 Sayfa Aralığı: 507 - 522 Metin Dili: Türkçe İndeks Tarihi: 29-07-2022

Kurumsal bilgi güvenliği ve standartları üzerine bir inceleme

Öz:

Bilgi varlıklarının korunabilmesi, kurumların karşılaşabileceği risklerin en aza indirgenmesi ve iş sürekliliğinin sağlanması, Bilgi Güvenliği Yönetim Sistemlerinin kurumlarda üst yönetim desteğiyle hayata geçirilmesiyle mümkün olmaktadır. Kurumsal bilgi güvenliğinin yüksek seviyede sağlanması ile ilgili olarak literatürdeki mevcut kaynaklar araştırılıp incelendiğinde, kapsamlı ve güncel bir çalışma olmadığı, sunulan çalışmaların yeterli olmadığı, çoğunlukla ticari içerikli veya güvenilir olmayan web sitelerinde yer aldığı ve nasıl korunması gerektiğiyle ilgili kısa bilgilere yer verildiği tespit edilmiştir. Bu çalışmada genel olarak kurumsal bilgi güvenliği incelenmiş ve değerlendirilmiştir. Mevcut bilgi güvenliği standartları ile yeni oluşturulmakta olan bilgi güvenliği standartları da bu çerçevede gözden geçirilmiştir. Bu tespitlerden yola çıkarak bu çalışmada, kurumsal bilgi güvenliğinin yüksek seviyede sağlanması ve ülkemizde kurumsal bilgi güvenliği bilincinin geliştirilmesi için kurumlar ve bireylerin bilgilendirilmesi amaçlanmıştır. Bu çalışmanın, kurumsal bilgi güvenliğinin yüksek seviyede sağlanmasına yönelik farkındalık oluşturması, mevcut ve yeni standartlar hakkında daha fazla bilgi içermesi, literatür özetini sunması ve yüksek seviyede güvenliğin sağlanmasına katkılar sağlayacağı düşünülmektedir.

Anahtar Kelime:

A review of enterprise information security and standards

Öz:

Information assests are very important for enterprises. In order to secure these assests, risks should be reduced, availability should be enabled, and information secuirty management system should be supported by executives. When the literature has been reviewed on enterprise information security, it has been encountered that compherensive and up-to-date studies were not available, the studies presented not covering all concepts, most of the studies were delivered by commercial and nontrustworty web sites, and also only covering short desciriptions and explanations about. As a result of those, a review study on enterprises security and standards has been presented in this study. It was concluded that this study would increase security awareness, give details about new standards, conclude the available documents and suggest some issues for enterprises willing to improve their security.

Anahtar Kelime:

Belge Türü: Makale Makale Türü: Araştırma Makalesi Erişim Türü: Erişime Açık

1. Barrett, N., “Penetration testing and social engineering: Hacking the weakest link”, Information Security Technical Report, 8(4):56-58, 2003.
2. Arce, I., “The weakest link revisited” IEEE Security & Privacy Magazine, 1(2):72-74, 2003.
3. İnternet: Computer Incident Advisory Capability “PDF XSS Vulnerability” http://www.ciac.org/ciac/bulletins/r-096.shtml, 07.07.2007.
4. Dodge, C. R., Carver, C., Ferguson, J. A., “Phishing for user security awareness” Computers & Security, 26(1): 73, 2007.
5. İnternet: Netcraft “Phishing By The Numbers: 609,000 Blocked Sites in 2006” http://news.netcraft.com/archives/2007/01/15/phi shing_by_the_numbers_609000_blocked_sites_i n_2006.html, 07.07.2007.
6. İnternet: Message Labs “2006: The Year Spam Raised Its Game and Threats Got Personal” http://www.messagelabs.com/portal/server.pt/gat eway/PTARGS _0_5885_404_443_670_43/http%3B/0120-0176- CT01/publishedcontent/publish/about_us_dotcom _en news events/press_releases/DA_174397.html, 07.07.2007. 7. Kudat, B., “Kötü adamların hızına yetişen daha güvenli”, BThaber, 604:15, 2007.
8. Vural, Y., “Kurumsal Bilgi Güvenliği ve Sızma Testleri” Yüksek Lisans Tezi, Gazi Üniversitesi Fen Bilimleri Enstitüsü, 40, 2007.
9. İnternet: Wikipedia, “ISO/IEC 27001”, http://en.wikipedia.org/wiki/ISO_27001, 07.08.2007.
10. Thow-Chang, L., Siew-Mun, K., and Foo, A., “Information Security Management Systems and Standards” Synthesis Journal, 2(2):5,8, 2001.
11. Kalman, S., “Web Security Field Guide”, Cisco Press, Indianapolis, sf.36, 37, 2003.
12. İnternet: Wikipedia “BS-7799” http://en.wikipedia.org/wiki/BS_7799, 08.07.2007.
13. Osborne, M., “How to Cheat at Managing Information Security”, Syngress Publishing Inc., Rockland, 90, 2006.
14. British Standards Institute, “Information Technology — Security Techniques — Code of Practice for Information Security Management”, BSI BS 7799-1:2005, Bristol, 4,5,7,9,19,23,29,37 2005.
15. İnternet: BSI “Information Security Management Systems Guidelines for Information Security Risk Management” http://www.bsi- global.com/en/Shop/PublicationDetail/?pid=0000 00000030125022&recid=2557, 08.07.2007.
16. İnternet: International Organization for Standardization-ISO “JTC 1 / SC 27” http://www.iso.org/iso/en/stdsdevelopment/tc/tcli st/TechnicalCommitteeDetailPage.TechnicalCom mitteeDetail?COMMID=143, 09.07.2007.
17. Saint-Germain, R., “Information Security Management Best Practice Based on ISO/IEC 17799”, The Information Management Journal, 39:61-62, 2005.
18. İnternet: BSI Eurasia “ISO/IEC 17799:2005 Nedir?” http://www.bsi- turkey.com/BilgiGuvenligi/Genel- bakis/BS7799nedir.xalter, 09.07.2007.
19. İnternet: Wikipedia “ISO 27000 Series” http://en.wikipedia.org/wiki/ISO_17799, 08.07.2007.
20. Türk Standardları Enstitüsü, “Bilgi Teknolojisi– Güvenlik Teknikleri-Bilgi Güvenliği Yönetim Sistemleri-Gereksinimler”, TSE- TS ISO/IEC 27001, Ankara, 3-13, 2006.
21. İnternet: ISO 27001 Security “ISO/IEC- 17799&ISO/IEC-27002” http://www.iso27001security.com/html/iso17799. html, 09.07.2007.
22. İnternet: ISO 27001 Security “ISO/IEC 27003” http://www.iso27001security.com/html/iso27003. html , 09.07.2007.
23. İnternet: ISO 27001 Security “ISO/IEC 27004” http://www.iso27001security.com/html/iso27004. html (09.07.2007).
24. İnternet: ISO 27001 Security “ISO/IEC 27005” http://www.iso27001security.com/html/iso27005. html, 09.07.2007.
25. İnternet: ISO 27001 Security “ISO/IEC 27006” http://www.iso27001security.com/html/iso27006. html, 09.07.2007.
26. İnternet: ISO 27001 Security “ISO/IEC 27007” http://www.iso27001security.com/html/iso27007. html, 09.07.2007.
27. İnternet: ISO 27001 Security “ISO/IEC 27031” http://www.iso27001security.com/html/iso27031. html, 09.07.2007.
28. Türkiye Bilişim Derneği, “E-Devlet Uygulamalarında Güvenlik ve Güvenilirlik Yaklaşımları 4. Çalışma Grubu Sonuç Raporu”, TBD Kamu-BİB IV, Ankara, 9, 11, 17, 2005.
29. İnternet: BSI Eurasia “BSI Belgelendirme Yöntemi” http://www.bsi- turkey.com/BilgiGuvenligi/ISMStescil/BSItescily ontemi.xalter?print_only=1, 24.01.2008.
30. İnternet: BSI Eurasia “Bilgi Güvenliği Yönetim Sisteminin Belgelendirilmesi” http://www.bsi- turkey.com/BilgiGuvenligi/ISMStescil/index.xalt er, 24.01.2008.
31. İnternet: OWASP “About The Open Web Application Security Project” http://www.owasp.org/index.php/About_The_Op en_Web_Application_Security_Project, 24.01.2008.
32. İnternet: Web Application Security Consortium “About Us” http://www.webappsec.org/aboutus.shtml, 24.01.2008.
33. Hansche, S., “Official (ISC2) Guide to the CISSP Exam”, Auerbach Publications, New York, 12, 2003.
34. İnternet: Web Application Security Consortium “Weak Password Recovery Validation” http://www.webappsec.org/projects/threat/classes /weak_password _recovery_validation.shtml 24.01.2008.
35. İnternet: Web Application Security Consortium “Cross-site Scripting” http://www.webappsec.org/projects/threat/classes /cross-site_scripting.shtml, 24.01.2008.
36. İnternet: Amit Klein “DOM Based Cross Site Scripting or XSS of the Third Kind” http://www.webappsec.org/projects/articles/0711 05.shtml, 24.01.2008.
37. İnternet: The World Wide Web Consortium (W3C) “Document Object Model FAQ" http://www.w3.org/DOM/faq.html#what, 24.01.2008.
38. Chapela, V., “Advanced SQL Injection” http://www.owasp.org/images/7/74/Advanced_S QL_Injection.ppt, 24.01.2008.
39. Anley, C., “Advanced SQL Injection In SQL Server Applications”, Next Generation Security Software Publication, Surrey, 18- 21, 2002.

APA	VURAL Y, SAGIROGLU S (2008). Kurumsal bilgi güvenliği ve standartları üzerine bir inceleme. , 507 - 522.
Chicago	VURAL Yılmaz,SAGIROGLU SEREF Kurumsal bilgi güvenliği ve standartları üzerine bir inceleme. (2008): 507 - 522.
MLA	VURAL Yılmaz,SAGIROGLU SEREF Kurumsal bilgi güvenliği ve standartları üzerine bir inceleme. , 2008, ss.507 - 522.
AMA	VURAL Y,SAGIROGLU S Kurumsal bilgi güvenliği ve standartları üzerine bir inceleme. . 2008; 507 - 522.
Vancouver	VURAL Y,SAGIROGLU S Kurumsal bilgi güvenliği ve standartları üzerine bir inceleme. . 2008; 507 - 522.
IEEE	VURAL Y,SAGIROGLU S "Kurumsal bilgi güvenliği ve standartları üzerine bir inceleme." , ss.507 - 522, 2008.
ISNAD	VURAL, Yılmaz - SAGIROGLU, SEREF. "Kurumsal bilgi güvenliği ve standartları üzerine bir inceleme". (2008), 507-522.

APA	VURAL Y, SAGIROGLU S (2008). Kurumsal bilgi güvenliği ve standartları üzerine bir inceleme. Gazi Üniversitesi Mühendislik Mimarlık Fakültesi Dergisi, 23(2), 507 - 522.
Chicago	VURAL Yılmaz,SAGIROGLU SEREF Kurumsal bilgi güvenliği ve standartları üzerine bir inceleme. Gazi Üniversitesi Mühendislik Mimarlık Fakültesi Dergisi 23, no.2 (2008): 507 - 522.
MLA	VURAL Yılmaz,SAGIROGLU SEREF Kurumsal bilgi güvenliği ve standartları üzerine bir inceleme. Gazi Üniversitesi Mühendislik Mimarlık Fakültesi Dergisi, vol.23, no.2, 2008, ss.507 - 522.
AMA	VURAL Y,SAGIROGLU S Kurumsal bilgi güvenliği ve standartları üzerine bir inceleme. Gazi Üniversitesi Mühendislik Mimarlık Fakültesi Dergisi. 2008; 23(2): 507 - 522.
Vancouver	VURAL Y,SAGIROGLU S Kurumsal bilgi güvenliği ve standartları üzerine bir inceleme. Gazi Üniversitesi Mühendislik Mimarlık Fakültesi Dergisi. 2008; 23(2): 507 - 522.
IEEE	VURAL Y,SAGIROGLU S "Kurumsal bilgi güvenliği ve standartları üzerine bir inceleme." Gazi Üniversitesi Mühendislik Mimarlık Fakültesi Dergisi, 23, ss.507 - 522, 2008.
ISNAD	VURAL, Yılmaz - SAGIROGLU, SEREF. "Kurumsal bilgi güvenliği ve standartları üzerine bir inceleme". Gazi Üniversitesi Mühendislik Mimarlık Fakültesi Dergisi 23/2 (2008), 507-522.