Tez No İndirme Tez Künye Durumu
199160
An automated tool for information security management system / Bilgi güvenliği yönetim sistemi için otomatik bir araç
Yazar:AHMET ERKAN
Danışman: DR. ALİ ARİFOĞLU
Yer Bilgisi: Orta Doğu Teknik Üniversitesi / Enformatik Enstitüsü / Bilişim Sistemleri Bölümü
Konu:Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrol = Computer Engineering and Computer Science and Control
Dizin:
Onaylandı
Yüksek Lisans
İngilizce
2006
110 s.
?B LG GÜVENL Ğ YÖNET M S STEM Ç N OTOMAT K B R ARAÇ?AHMET ERKANBu tez Bilgi Güvenliği Yönetim Sistemi süreçlerinin otomasyonunu konu alır. ISO/IEC27001:2005 ve ISO/IEC 17799:2005 standartlarına uygun olarak dokümante edilmiş birBGYS için gerekli faaliyetlerin mümkün olduğunca otomatikleştirilmesi kurumlara yardımcıolacaktır. Bu amaçla ?InfoSec Toolkit? adında bir araç geliştirilmiştir. Bu tezde, bu alandakiçok bilinen araçlar ve bunlara ilave olarak bu amaç için üretilmiş olan ?InfoSec Toolkit? ileilgili karşılaştırmalı bir çalışma sunulmaktadır. ?InfoSec Toolkit? ISO/IEC 27001:2005 veISO 17799:2005 standartlarına dayanılarak hazırlanmıştır. ?InfoSec Toolkit? i oluşturanbirbiriyle entegre beş temel modül şunlardır; ?Gap Analysis Module?, ?Risk Module?,?Policy Management Module?, ?Monitoring Module? ve ?Query and Reporting Module?.?Gap Analysis Module? kurumların bilgi güvenliği seviyelerinin tespiti için tasarlanmıştır veBGYS tesis edilmeden önce mevcut durum ile sistem kurulduktan sonraki durum arasındakiboşluğu tespit etmektedir. ?Risk Module? tüm sistemin ana kısmını oluşturmaktadır. Bumodül kurumların bilgi varlıklarını, bunlara ilişkin tehdit ve hassasiyetleri, bu tehdit vehassasiyetleri giderecek olan koruma önlemlerinin tespit edilmesini ve bu bilgiler kullanılarakkurumun bilgi güvenliği konusundaki maruz kaldığı riskleri bunları bertaraf edecekönlemlerin ne şekilde yerine getirileceği gibi sistemin temelini oluşturan kısımdır. ?PolicyManagement Module? temel bir bilgi güvenliği politika çerçevesi oluşturmak isteyenkurumlar için hazırlanmıştır. Kurumlar bu modülü kullanılarak kurumsal politikalarınıgeliştirebilirler. Kurumlar ?Monitoring Module? kullanarak oluşturdukları sistemin uygunşekilde çalışıp çalışmadığını izleme ve gözden geçirme imkânı bulmaktadırlar. Query &Reporting Module: bu modül kurumların çeşitli konularda sorgulama ve raporlamayapabilmelerini sağlamaktadır. Ayrıca, Türkiye'deki kurum/kuruluşların bilgi güvenliğihususundaki mevcut durumlarını belirmek için bir araştırma çerçevesi önerilmektedir.1
?AN AUTOMATED TOOL FOR INFORMATION SECURITY MANAGEMENT SYSTEM?AHMET ERKANThis thesis focuses on automation of processes of Information Security ManagementSystem. In accordance with two International Standards, ISO/IEC 27001:2005 andISO/IEC 17799:2005, to automate the activities required for a documented ISMS as muchas possible helps organizations. Some of the well known tools in this scope are analysedand a comparative study on them including ?InfoSec Toolkit?, which is developed for thispurpose in the thesis scope, is given. ?InfoSec Toolkit? is based on ISO/IEC 27001:2005and ISO 17799:2005. Five integrated modules constituting the ?InfoSec Toolkit? are ?GapAnalysis Module?, ?Risk Module?, ?Policy Management Module?, ?Monitoring Module?and ?Query and Reporting Module?. ?Gap Analysis Module? is used for identifying thecurrent situation of the organization about Information Security and about ISMS if theorganization has decided to be certificated. ?Risk Module? is used to identify theorganizations? information security scope, information assets, security requirements,threats, vulnerabilities, risks. ?Policy Management Module? has been constructed as an aidto organizations wishing to put in place a basic information security policy framework. Itcan be used to develop organizational policies. Organizations can use ?MonitoringModule? to review and monitor the established system whether it is working properly ornot. ?Query and Reporting Module? is used to make queries for the organization?s assets,threats, vulnerabilities, risks, selected controls and non-selected controls and also forincidents. In addition a research framework is proposed in order to assess theorganizations? information security situation in Turkey.1