KURUMSAL BİLGİ GÜVENLİĞİ VE STANDARTLARI ÜZERİNE BİR İNCELEME

Yılmaz Vural; Şeref Sağıroğlu

KURUMSAL BİLGİ GÜVENLİĞİ VE STANDARTLARI ÜZERİNE BİR İNCELEME

Öz

Bilgi varlıklarının korunabilmesi, kurumların karşılaşabileceği risklerin en aza indirgenmesi ve iş sürekliliğinin sağlanması, Bilgi Güvenliği Yönetim Sistemlerinin kurumlarda üst yönetim desteğiyle hayata geçirilmesiyle mümkün olmaktadır. Kurumsal bilgi güvenliğinin yüksek seviyede sağlanması ile ilgili olarak literatürdeki mevcut kaynaklar araştırılıp incelendiğinde, kapsamlı ve güncel bir çalışma olmadığı, sunulan çalışmaların yeterli olmadığı, çoğunlukla ticari içerikli veya güvenilir olmayan web sitelerinde yer aldığı ve nasıl korunması gerektiğiyle ilgili kısa bilgilere yer verildiği tespit edilmiştir. Bu çalışmada genel olarak kurumsal bilgi güvenliği incelenmiş ve değerlendirilmiştir. Mevcut bilgi güvenliği standartları ile yeni oluşturulmakta olan bilgi güvenliği standartları da bu çerçevede gözden geçirilmiştir. Bu tespitlerden yola çıkarak bu çalışmada, kurumsal bilgi güvenliğinin yüksek seviyede sağlanması ve ülkemizde kurumsal bilgi güvenliği bilincinin geliştirilmesi için kurumlar ve bireylerin bilgilendirilmesi amaçlanmıştır. Bu çalışmanın, kurumsal bilgi güvenliğinin yüksek seviyede sağlanmasına yönelik farkındalık oluşturması, mevcut ve yeni standartlar hakkında daha fazla bilgi içermesi, literatür özetini sunması ve yüksek seviyede güvenliğin sağlanmasına katkılar sağlayacağı düşünülmektedir.

Anahtar Kelimeler

Bilgi güvenliği, kurumsal bilgi güvenliği, bilişim güvenliği, güvenlik politikaları, bilgi güvenliği standartları, bilgi güvenliği yönetim sistemleri.

Kaynakça

Barrett, N., “Penetration testing and social
engineering: Hacking the weakest link”,
Information Security Technical Report,
(4):56-58, 2003.
Arce, I., “The weakest link revisited” IEEE
Security & Privacy Magazine, 1(2):72-74, 2003.
İnternet: Computer Incident Advisory Capability
“PDF XSS Vulnerability” http://www.ciac.org/ciac/bulletins/r-096.shtml,

07.2007.
Dodge, C. R., Carver, C., Ferguson, J. A.,
“Phishing for user security awareness”
Computers & Security, 26(1): 73, 2007.
İnternet: Netcraft “Phishing By The Numbers:
,000 Blocked Sites in 2006”
http://news.netcraft.com/archives/2007/01/15/phi
shing_by_the_numbers_609000_blocked_sites_i
n_2006.html, 07.07.2007.
İnternet: Message Labs “2006: The Year Spam
Raised Its Game and Threats Got Personal”
http://www.messagelabs.com/portal/server.pt/gat
eway/PTARGS
_0_5885_404_443_670_43/http%3B/0120-0176-
CT01/publishedcontent/publish/about_us_dotcom
_en / news
events/press_releases/DA_174397.html,
07.2007.
Kudat, B., “Kötü adamların hızına yetişen daha
güvenli”, BThaber, 604:15, 2007.
Vural, Y., “Kurumsal Bilgi Güvenliği ve Sızma
Testleri” Yüksek Lisans Tezi, Gazi Üniversitesi
Fen Bilimleri Enstitüsü, 40, 2007.
İnternet: Wikipedia, “ISO/IEC 27001”,
http://en.wikipedia.org/wiki/ISO_27001,
08.2007.
Thow-Chang, L., Siew-Mun, K., and Foo, A.,
“Information Security Management Systems and
Standards” Synthesis Journal, 2(2):5,8, 2001.
Kalman, S., “Web Security Field Guide”, Cisco
Press, Indianapolis, sf.36, 37, 2003.
İnternet: Wikipedia “BS-7799”
http://en.wikipedia.org/wiki/BS_7799,
07.2007.
Osborne, M., “How to Cheat at Managing
Information Security”, Syngress Publishing Inc.,
Rockland, 90, 2006.
British Standards Institute, “Information
Technology — Security Techniques — Code of
Practice for Information Security Management”,
BSI BS 7799-1:2005, Bristol ,
,5,7,9,19,23,29,37 2005.
İnternet: BSI “Information Security Management
Systems Guidelines for Information Security
Risk Management” http://www.bsiglobal.
com/en/Shop/PublicationDetail/?pid=0000
&recid=2557, 08.07.2007.
İnternet: International Organization for
Standardization-ISO “JTC 1 / SC 27”
http://www.iso.org/iso/en/stdsdevelopment/tc/tcli
st/TechnicalCommitteeDetailPage.TechnicalCom
mitteeDetail?COMMID=143, 09.07.2007.
Saint-Germain, R., “Information Security
Management Best Practice Based on ISO/IEC
”, The Information Management
Journal, 39:61-62, 2005.
İnternet: BSI Eurasia “ISO/IEC 17799:2005
Nedir?” http://www.bsiturkey.
com/BilgiGuvenligi/Genelbakis/
BS7799nedir.xalter, 09.07.2007.
İnternet: Wikipedia “ISO 27000 Series”
http://en.wikipedia.org/wiki/ISO_17799,
07.2007.
Türk Standardları Enstitüsü, “Bilgi Teknolojisi–
Güvenlik Teknikleri-Bilgi Güvenliği Yönetim
Sistemleri-Gereksinimler”, TSE- TS ISO/IEC
, Ankara, 3-13, 2006.
İnternet: ISO 27001 Security “ISO/IEC-
&ISO/IEC-27002”
http://www.iso27001security.com/html/iso17799.
html, 09.07.2007.
İnternet: ISO 27001 Security “ISO/IEC 27003”
http://www.iso27001security.com/html/iso27003.
html , 09.07.2007.
İnternet: ISO 27001 Security “ISO/IEC 27004”
http://www.iso27001security.com/html/iso27004.
html (09.07.2007).
İnternet: ISO 27001 Security “ISO/IEC 27005”
http://www.iso27001security.com/html/iso27005.
html, 09.07.2007.
İnternet: ISO 27001 Security “ISO/IEC 27006”
http://www.iso27001security.com/html/iso27006.
html, 09.07.2007.
İnternet: ISO 27001 Security “ISO/IEC 27007”
http://www.iso27001security.com/html/iso27007.
html, 09.07.2007.
İnternet: ISO 27001 Security “ISO/IEC 27031”
http://www.iso27001security.com/html/iso27031.
html, 09.07.2007.
Türkiye Bilişim Derneği, “E-Devlet
Uygulamalarında Güvenlik ve Güvenilirlik
Yaklaşımları 4. Çalışma Grubu Sonuç Raporu”,
TBD Kamu-BİB IV, Ankara, 9, 11, 17, 2005.
İnternet: BSI Eurasia “BSI Belgelendirme
Yöntemi” http://www.bsiturkey.
com/BilgiGuvenligi/ISMStescil/BSItescily
ontemi.xalter?print_only=1, 24.01.2008.
İnternet: BSI Eurasia “Bilgi Güvenliği Yönetim
Sisteminin Belgelendirilmesi” http://www.bsiturkey.
com/BilgiGuvenligi/ISMStescil/index.xalt
er, 24.01.2008.
İnternet: OWASP “About The Open Web
Application Security Project”
http://www.owasp.org/index.php/About_The_Op
en_Web_Application_Security_Project,
01.2008.
İnternet: Web Application Security Consortium
“About Us”
http://www.webappsec.org/aboutus.shtml ,
01.2008.
Hansche, S., “Official (ISC2) Guide to the CISSP
Exam”, Auerbach Publications, New York, 12,
-
İnternet: Web Application Security Consortium
“Weak Password Recovery Validation”
http://www.webappsec.org/projects/threat/classes
/weak_password _recovery_validation.shtml
01.2008.
İnternet: Web Application Security Consortium
“Cross-site Scripting”
http://www.webappsec.org/projects/threat/classes
/cross-site_scripting.shtml, 24.01.2008.
İnternet: Amit Klein “DOM Based Cross Site
Scripting or XSS of the Third Kind”
http://www.webappsec.org/projects/articles/0711
shtml, 24.01.2008.
İnternet: The World Wide Web Consortium
(W3C) “Document Object Model FAQ"
http://www.w3.org/DOM/faq.html#what,
01.2008.
Chapela, V., “Advanced SQL Injection”
http://www.owasp.org/images/7/74/Advanced_S
QL_Injection.ppt, 24.01.2008.
Anley, C., “Advanced SQL Injection In SQL
Server Applications”, Next Generation Security
Software Publication, Surrey, 18- 21, 2002.

Ayrıntılar

Birincil Dil

Türkçe

Konular

-

Bölüm

-

Yazarlar

Yılmaz Vural Bu kişi benim

Şeref Sağıroğlu Bu kişi benim

Yayımlanma Tarihi

18 Şubat 2013

Gönderilme Tarihi

18 Şubat 2013

Kabul Tarihi

-

Yayımlandığı Sayı

Yıl 2008 Cilt: 23 Sayı: 2

IZ

https://izlik.org/JA28EL63SB

Kaynak Göster

RIS / Bibtex

APA

Vural, Y., & Sağıroğlu, Ş. (2013). KURUMSAL BİLGİ GÜVENLİĞİ VE STANDARTLARI ÜZERİNE BİR İNCELEME. Gazi Üniversitesi Mühendislik Mimarlık Fakültesi Dergisi, 23(2). https://izlik.org/JA28EL63SB

AMA

1.Vural Y, Sağıroğlu Ş. KURUMSAL BİLGİ GÜVENLİĞİ VE STANDARTLARI ÜZERİNE BİR İNCELEME. GUMMFD. 2013;23(2). https://izlik.org/JA28EL63SB

Chicago

Vural, Yılmaz, ve Şeref Sağıroğlu. 2013. “KURUMSAL BİLGİ GÜVENLİĞİ VE STANDARTLARI ÜZERİNE BİR İNCELEME”. Gazi Üniversitesi Mühendislik Mimarlık Fakültesi Dergisi 23 (2). https://izlik.org/JA28EL63SB.

EndNote

Vural Y, Sağıroğlu Ş (01 Mart 2013) KURUMSAL BİLGİ GÜVENLİĞİ VE STANDARTLARI ÜZERİNE BİR İNCELEME. Gazi Üniversitesi Mühendislik Mimarlık Fakültesi Dergisi 23 2

IEEE

[1]Y. Vural ve Ş. Sağıroğlu, “KURUMSAL BİLGİ GÜVENLİĞİ VE STANDARTLARI ÜZERİNE BİR İNCELEME”, GUMMFD, c. 23, sy 2, Mar. 2013, [çevrimiçi]. Erişim adresi: https://izlik.org/JA28EL63SB

ISNAD

Vural, Yılmaz - Sağıroğlu, Şeref. “KURUMSAL BİLGİ GÜVENLİĞİ VE STANDARTLARI ÜZERİNE BİR İNCELEME”. Gazi Üniversitesi Mühendislik Mimarlık Fakültesi Dergisi 23/2 (01 Mart 2013). https://izlik.org/JA28EL63SB.

JAMA

1.Vural Y, Sağıroğlu Ş. KURUMSAL BİLGİ GÜVENLİĞİ VE STANDARTLARI ÜZERİNE BİR İNCELEME. GUMMFD. 2013;23. Available at https://izlik.org/JA28EL63SB.

MLA

Vural, Yılmaz, ve Şeref Sağıroğlu. “KURUMSAL BİLGİ GÜVENLİĞİ VE STANDARTLARI ÜZERİNE BİR İNCELEME”. Gazi Üniversitesi Mühendislik Mimarlık Fakültesi Dergisi, c. 23, sy 2, Mart 2013, https://izlik.org/JA28EL63SB.

Vancouver

1.Yılmaz Vural, Şeref Sağıroğlu. KURUMSAL BİLGİ GÜVENLİĞİ VE STANDARTLARI ÜZERİNE BİR İNCELEME. GUMMFD [Internet]. 01 Mart 2013;23(2). Erişim adresi: https://izlik.org/JA28EL63SB