ISO 27001’de Yetkisiz Erişim Olaylarına Müdahale Süreci Nasıl Kurulur? (2025 Siber Güvenlik Rehberi)
Yetkisiz erişim, bilgi varlıklarının gizliliğini, bütünlüğünü ve erişilebilirliğini tehdit eden en kritik bilgi güvenliği olaylarından biridir.
ISO/IEC 27001:2022 standardı, bu tür ihlallere karşı proaktif ve planlı müdahale süreçlerinin kurulmasını şart koşar.
Bir veri ihlali fark edildiğinde, ilk 30 dakika içindeki hareket tarzı; oluşacak zararın %80’ini belirler.
Yetkisiz Erişim Nedir?
Yetkisiz erişim, bir kullanıcının sistem, ağ, uygulama ya da veri tabanına onayı veya izni olmadan erişim sağlamasıdır.
Bu durum, aşağıdaki gibi çeşitli tehditlerden kaynaklanabilir:
-
Zayıf şifre politikaları
-
Açıkta kalan ağ servisleri
-
Güncellenmemiş sistemler
-
İç tehditler (çalışanlar)
-
Sosyal mühendislik saldırıları
ISO 27001 Standardında Yetkisiz Erişimle İlgili Maddeler
| Madde | Açıklama |
|---|---|
| A.5.24 – A.5.27 | Bilgi güvenliği olaylarının bildirilmesi, müdahalesi ve gözden geçirilmesi |
| A.8.15 | Kimlik bilgisi ve şifre yönetimi |
| A.8.3 | Erişim kontrolü ilkeleri |
| A.5.10 | Yetkili kullanıcıların tanımlanması ve yönetimi |
Yetkisiz Erişim Olaylarına Müdahale Süreci Nasıl Kurulur?
1. Tespit ve Alarm Sistemi Kurulmalı
-
Log izleme ve güvenlik bilgi olay yönetim (SIEM) sistemleri devrede olmalı
-
Olağan dışı giriş denemeleri için otomatik uyarı sistemleri kurulmalı
-
Olay anında sorumlu kişilere anlık bildirim gönderilmeli
2. İlk Müdahale Prosedürü
| Adım | Açıklama |
|---|---|
| Tespit | Loglardan ya da kullanıcı bildiriminden olay fark edilir |
| İzolasyon | Erişimin gerçekleştiği cihaz/sistem geçici olarak ağdan izole edilir |
| Belgeleme | Olay zamanı, IP adresi, kullanıcı adı gibi teknik veriler toplanır |
| Bildirim | Olay BGYS liderine ve gerekiyorsa üst yönetime raporlanır |
3. Eskalasyon (Yükseltme) Planı
Olayın ciddiyetine göre müdahale seviyesi belirlenir:
| Seviye | Açıklama | Müdahale Ekibi |
|---|---|---|
| Düşük | Tekil giriş denemesi | IT ekibi |
| Orta | Tekrar eden giriş denemeleri | IT + BGYS |
| Yüksek | Veri sızdırma/sistem çökmesi | Üst yönetim + hukuk + dış bildirim (KVKK) |
4. Kök Neden Analizi ve Etkilerin Azaltılması
-
Olay neden yaşandı (zafiyet mi, ihmal mi)?
-
Hangi sistemler etkilendi?
-
Veriler sızdı mı, değiştirildi mi, silindi mi?
-
Mevcut güvenlik kontrolleri neden yetersiz kaldı?
Bu sorularla detaylı kök neden analizi yapılmalı ve benzer olayların önüne geçecek tedbirler alınmalıdır.
5. İyileştirme ve Ders Çıkarma (Lesson Learned)
-
Gerekli düzeltici/önleyici faaliyetler planlanmalı
-
Politika ve prosedürler güncellenmeli
-
Ekipler yeniden bilgilendirilmeli
-
Olay “ders öğrenme raporu” ile dokümante edilmeli
Önerilen Dokümanlar
-
Yetkisiz Erişim Müdahale Prosedürü
-
Olay Müdahale Formu
-
Kök Neden Analizi Şablonu
-
Olay Eskalasyon Matrisi
-
Kullanıcı Bilgilendirme Talimatı
-
Ders Öğrenme Raporu
Denetimlerde Sorulabilecek Sorular
| Soru | Aranan Kanıt |
|---|---|
| Olaylara müdahale prosedürü var mı? | Yazılı prosedür |
| Yetkisiz erişim olayları kayıt altına alınıyor mu? | Olay formları / log kayıtları |
| Olay sonrası düzeltici faaliyet yapıldı mı? | Düzeltici faaliyet formu |
| Sistemde hangi kontroller geliştirildi? | Politika revizyonları |
| Personel bu konuda bilgilendirildi mi? | Eğitim kayıtları |
YYS Danışmanlık ile Süreciniz Nasıl Kurulur?
-
Yetkisiz erişim olay yönetimi sürecinin uçtan uca tasarlanması
-
Denetimlere uygun prosedür ve formların hazırlanması
-
Simülasyon testleri ve kayıtların oluşturulması
-
KVKK’ya bildirim gereken durumlar için rehberlik
-
Olay sonrası sistem ve süreç güncellemeleri
Sonuç:
Her sistemin bir açığı olabilir. Asıl mesele, o açık fark edildiğinde ne kadar hızlı ve sistemli müdahale ettiğinizdir.