YZM5604 Bilgi Güvenliği Yönetimi. Duyurular

Transkript

1 YZM5604 Bilgi Güveliği Yöetimi 23 Kasım 2015 Dr. Orha Gökçöl Bahçeşehir Üiversitesi, Fe Bilimleri Estitüsü Duyurular Döem projeleriiz e durumda? Gruplar? Herkes grupoluşturdu görüüyor. Gelecek haftaders yok. Sııfa gelip projeizle ilgili çalışabilirsiiz. Be de sııfta /ofisimde olacağım. Ara kotrol yaptırabilirsiiz ya da sorularıız varsa sorabilirsiiz. BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMLERİ GEREKSİNİMLERİ Kurumlardaki bilgi güveliği yöetimi gereksiimlerii vere, uluslararası kabul göre bir stadarttır. ISO stadardıdır ve ISO9001 Kalite yöetim sistemi ile pek çok ortak oktası vardır. SON SÜRÜMÜ ISO/IEC 27001:2013 1

2 ISO27001 Nedir?? Kotrol-tabalı Gruplamış olarak suula kotroller, BG deki e iyi uygulamaları içermektedir. «Bilgi» Stadardı Her türlü BİLGİ yi kapsar. Bilgi, her e şekilde olursa olsu; her erede saklaırsa saklası, uygu bir şekilde korumalıdır! 8 Cümle, 11 Kotrol grubu, 134 kotrol Sertifikaladırılabilir - Uluslararası geçerliliği ola - Risk yöetimi esaslı Serisi stadartları yapısı Temeller ve aahtar kelimeler 27001:BGYS Risk Yöetimi BGY Uygulama Yöergesi BGY Uygulama Esasları Metrikler ve Ölçme BGYS akreditasyou kılavuzu BGYS deetim kılavuzu (iç, dış, yöetim gözde geçirme) Deetçiler içi BGYS kotrolleri kılavuzu ISO/IEC stadartlar ailesi Ocak 2015ʼe göre Geel Bilgiler ve aahtar kelimeler Orgaizatioal ecoomics Guide 73 Uygulama Yöergesi Goverace Voc a bula ry Implemetatio guidace Priciples ad guidelies Risk Yöetimi Gereksiimler Measuremets x Exteded Rage Ri sk a sse ssme t techiques Certificatio Co fo rmi ty Asse ssme t Vocabulary ad geeral pricipals F a rk lı se k törle rde kullaım Applicability Iter-se c to r a d Iter orgaizatioal Telecommuicatios Co fo rmi ty a sse ssme t - ISMS Requiremets for bodies audit ad certificatio Fiacial services Cloud Computig service Guidelies for auditig maagemet system Guidelies for ISMS auditig Data protectio cotrol of public cloud computig service P ro c e ss c o tro l sy ste m - TR Guidace for auditors o cotrols - TR He alth 2

3 PUKÖ PUKÖ, bir BGYS i bilgi güveliği gereksiimlerii ve ilgili tarafları bekletilerii girdi olarak asıl aldığıı ve gerekli eylem ve prosesler aracılığıyla, bu gereksiimleri ve bekletileri karşılayacak bilgi güveliği souçlarıı asıl ürettiğii gösterir. PUKÖ Pla Do Check Act Cycle (PDCA) Pla Establish the ISMS Iterested Implemet ad operate the Maitai ad improve the Iterested parties ISMS ISMS parties Do Act Iformatio security requiremets ad expectatios Moitor ad review the ISMS Check Maaged iformatio security 3

4 BGYS Kurulması BGYS kapsamıı belirlemek PUKÖ Üst yöetimi liderliği ve taahhüt; orgaizasyoel roller ve sorumluluklar BG politikasıı taımlamak Risk yöetimi içi sistematik bir yaklaşım taımlamak Riskleri belirlemek Riskleri değerledirmek Riskleri azaltmak içi kullaılabilecek seçeekleri belirlemek ve değerledirmek Riskleri azaltmak içi kotrol amaçlarıı ve kotrolleri belirlemek Uygulaabilirlik Bildirgesi (Prepare a Statemet of Applicability (SOA)) hazırlamak Kala riskleri belirlemek ve bulara yöetimi oayıı almak BGYS çalıştırmak/uygulamak içi yöetimi oayıı almak BGYS i Uygulaması PUKÖ q Riski azaltma plaıı formüle etmek Riski azaltma plaıı uygulamak Seçile kotrolleri uygulamak Eğitimler ve farkıdalıklık programları düzelemek Çalışaları e gibi yetkilikleri olması gerekir? Operasyoları yöetmek Kayakları yöetmek Güvelik ihlallerii saptamak ve karşılamak içi prosedür ve kotrolleri uygulamak BGYS i Kotrol Edilmesi PUKÖ İzleme prosedürlerii çalıştırmak Düzeli gözde geçirmeler yapmak Artık riskleri seviyesii gözde geçirmek İç deetimler yapmak Yöetim değerledirmeleri (yöetimi gözde geçirmesi) yapmak Güvelik ihlal olaylarıı ve bulara verile cevapları kayıt altıa almak 4

5 PUKÖ BGYS i Bakımı, İyileştirilmesi ve Sürdürülebilir Halde Olması Taımlaa iyileştirmeleri uygulaması Öleyici ve düzeltici faaliyetleri yapılması Souçları değerledirilmesi, tartışılması Verimlilik SÜREKLİ İYİLEŞTİRME! BGYS KURULUMU BGYS kurulum isteği kurumu üst yöetimi tarafıda beimsemelidir. Üst yöetim desteği BGYS i başarıya ulaşması açısıda hayati öeme sahiptir. Üst yöetim BGYS i gerekliliğie ve faydasıa iamalıdır. BGYS kurulumu bir BT ürüü veya sistemi kurulumuyla karıştırılmamalıdır. BGYS kurumu iş yapma tarzıı etkileye köklü bir sistemdir ve kurumu tümde etkiler. Tüm kademelerdeki çalışaları işii yaparke bilgi güveliği presiplerie uygu hareket etmesii gerekli kılar. Bu bilici oluşması ve işleyişe geçmesi de bir gelişim sürecii soucu olacaktır. BGYS KURULUMU BGYS sadece kurumu BT bölümüe ait bir iş değildir. BGYS tamame bir tekoloji meselesi veya tekik bir iş de değildir. Tüm kurumu aktif halde katılımıyla hedefie ulaşabilecek bir sistemdir. E üst kademe yöeticide e alt seviye çalışaa kadar katılım ve destek şarttır. Aksi halde BGYS de beklee faydaı elde edilmesi mümkü değildir 5

6 BGYS Kurulumu Etki bir BGYS kurulumu kousuda ilk yapılması gereke işlerde bir diğeri de kurum içide bir Bilgi Güveliği Komisyou oluşturulmasıdır. Bilgi güveliği komisyou (Güvelik Forumu da deir) kurum içideki her bölümde temsilcilerde oluşur. Bilgi işlem, iç deetim, muhasebe, isa kayakları, güvelik ve diğer tüm bölümlerde temsilciler bu komisyoda yer almalıdır. Komisyo temsilcileri bilgi güveliği kousuda deeyimli ve bilgili, buu yaıda kedi bölümlerii temsil edebilme yetkisie sahip kişiler olmalıdır. Komisyo temsilcileri bilgi güveliği kousuda yeterli bilgi seviyesie sahip değilse mutlaka BGYS eğitimleri almalıdır. BGYS Kurulumu Tüm bölümlerde temsilcileri komisyoda yer alması BGYS i başarı şasıı arttırır. BGYS i kurumu tamamıa üfuz etmesii kolaylaştırır. Kurum çapıdaki güvelik ihtiyaçlarıı daha etki bir biçimde farkıda olumasıı sağlar. Bu durum BGYS i doğru plalaması ve sağlıklı işlemesi açısıda hayati öeme sahiptir. Her bölümde bir temsilcii katılımı yöetim ve tekik kadro arasıdaki iletişim kopukluğuu gidermeye de yarar. Soruları ve ihtiyaçları yeride yaşaya kişiler belli koularda yöetimi daha rahat ika edilmesii sağlar. Bilgi güveliği komisyou sayeside BGYS ile ilgili görev ve sorumluluklar da kurum içide dağıtılmış olur. BGYS Politikası Bu politika, hedefleri ortaya koya, yöetime yö vere ve harekete geçire, hagi riski değerledirmeye alıacağıa ilişki risk yöetim kapsamı ve kriterii belirleye bir çerçeve sumalıdır. BGYS politikasıı amacıı bulması içi yöetim politika içeriğideki maddeleri uygulamaya geçirileceğie ilişki kararlarlığıı çalışalara hissettirmelidir. 6

7 Risk Değerledirme Yaklaşımı Bilgi güveliği politikası temel alıarak sistematik bir risk değerledirme yaklaşımı belirlemelidir. Kurum kedie uygu bir metodoloji seçmekte serbesttir. Seçile risk değerledirme metodolojisi kıyaslaabilir ve tekrarlaabilir souçlar üretmeyi garati etmelidir. Bu adımda kabul edilebilecek risk seviyeleri belirlemeli ve bular içi ölçütler geliştirilmelidir. Risk Belirleme Koruması gereke varlıkları tehdit ede riskler, öceki adımda belirlee yötem kullaılarak tespit edilmelidir. BGYS içerisideki tüm varlıkları taımlaması, yai varlık evaterii çıkarılması risk değerledirme işii esasıı oluşturur. Kurum BGYS kapsamıa dahil edeceği tüm varlıkları sahiplerii, türüü ve öem derecesii bir evater listesi şeklide belgelemelidir. Bir varlığı öem derecesii belirlemek içi bu varlığı gizliliğie,bütülüğüe ve kullaılabilirliğie gelecek zararı kuruma yapacağı etkii derecesii başta ortaya koymak gerekmektedir. Risk Aalizi ve Değerledirilmesi Tespit edile riskleri aalizi ve dereceledirilmesi yapılmalıdır. Bu adım bir öceki adımda tespit edile riskleri yorumlaması olarak görülebilir. Risk aalizi yaparke riske ede ola tehdit ve açıklıklarda yola çıkılmalıdır. Riski dereceledirilmesi veya değerii belirleebilmesi içi öcelikle tehdidi gerçekleşme olasılığı ile etki derecesi hesaplamalıdır. Bular sayısal değerler kullaılarak hesaplaabileceği gibi rakamlarla ifadei zor olduğu durumlarda düşük, orta, yüksek gibi itel değerlerle de belirleebilir. 7

8 Risk Aalizi ve Değerledirilmesi Riski kabul edilebilir olup olmadığı Risk Değerledirme Yaklaşımıda belirlee ölçütler kullaılarak tespit edilmelidir. Tüm bu hesaplama ve değerlemeler uygulamakta ola mevcut kotroller de dikkate alıarak yapılmalıdır. Kotroller risk değerii azaltabilir. Bu adım souda bir risk değerledirme souç raporu yayılamalıdır. Riski Azaltma Bu adımda risk değerledirme souç raporuda yola çıkılarak uygu risk azaltma/tedavi (risk treatmet) yötemleri belirlemelidir. Belli bir risk karşısıda dört farklı tavır alıabilir: q Uygu kotroller uygulaarak riski ortada kaldırılması veya kabul edilebilir seviyeye düşürülmesi q Riski oluşmasıa ede ola faktörleri ortada kaldırarak riskte kaçıılması q Riski sigorta şirketleri veya tedarikçiler gibi kurum dışıdaki taraflara aktarılması q Kurum politikalarıa ve risk kabul ölçütlerie uyması şartıyla riski objektif bir biçimde ve bilerek kabul edilmesi Kotrolleri Seçimi Risk işleme süreci souçlarıa uygu kotrol ve kotrol hedeflerii seçilmesi gerekir. TS ISO/IEC 27001:2013 de bu kotrollerde detaylı bir biçimde bahsedilmektedir. Bu kotroller stadartta yol gösterici olması amacıyla verilmiştir. Kurum kedisie ek olarak başka kotroller de seçmekte serbesttir. ISO27001 kotrolleri, sektör tecrübeleride faydalamak suretiyle, stadart etki alalarıda olabildiğice geiş kapsamlı olarak belirlemiş olsa da dış kayaklı kotrollere ihtiyaç olabilmektedir. 8

9 Yöetimi Oayı Artık Risk Oayı q Risk işleme süreci sorasıda geriye kala riske artık risk (residual risk) deir. Bular kabul edile riskler veya tamame ortada kaldırılamaya riskler olabilir. Kurum üst yöetimi artık riskler içi oay vermelidir. Bu adım souda artık risk oay belgesi oluşturulmalıdır. Yöetim Oayı q Risk yöetimi adımlarıı geçtikte sora BGYS işletimi ve uygulamasıı yapmak içi yöetimde oay almak gerekmektedir. Uygulaabilirlik Bildirgesi (SOA) So olarak risklere karşı seçile kotrolleri içere bir Uygulaabilirlik Bildirgesi hazırlaarak BGYS kurulum işi tamamlaır. Uygulaabilirlik Bildirgesi daha öce seçile kotrolleri eler olduğu ve buları hagi gerekçelerle seçildiğii alatmalıdır. TS ISO/IEC EK A da seçilmeye kotrolleri eler olduğu ile buları seçilmeme gerekçeleri de Uygulaabilirlik Bildirgeside verilmelidir. Ayrıca mevcut durumda uygulamakta ola kotroller de yie bu belge içide yer bulmalıdır. Normalde, kotroller ISO27001 de seçilir. Acak, firmaya özel kotroller ya da başka gereksiimleri/stadartları karşılamak üzere uygulaması gereke kotroller de olabilir SOA SOA dokümaıda seçilecek kotrolü uygulaması ile ilgili olarak, gerekli politikalar ve prosedürlere referas verilmelidir. Ayrıca, seçilmeye kotrolleri ede seçilmediği ile ilgili olarak da bir gerekçe dokümaı hazırlaması yararlı olacaktır. SOA oluşturuldukta soraki adım programı uygulaması olacaktır. 9

10 BGYS KURULUMU - ADIMLAR ISO ALAN (Kategori) altıda 35 adet kotrol amacı Bu amaçları gerçekleştirmek içi yapılması gereke TOPLAM 114 tae kotrol ALANLAR A.5: Bilgi Güveliği Politikaları A.6: Bilgi Güveliği Orgaizasyou A.7: İsa Kayakları Güveliği A.8: Varlık Yöetimi A.9: Erişim Kotrolü A.10: Kriptografi (Şifreleme) A.11: Fiziksel ve Çevresel Güvelik A.12: İşlemler Güveliği A.13: Haberleşme Güveliği A.14: Bilgi Sistemleri Ediim, geliştirme ve bakımı A.15: Tedarikçi İlişkileri A.16: Bilgi Güveliği İhlal Olayı Yöetimi A.17: İş Sürekliliği Yöetimii Bilgi Güveliği Usurları A.18: Uyum 10

11 ISO 27001, daha geiş olarak ISO27002 de alatıla kotrolleri kısa bir özetii ve listesii verir. Pratikte, ISO27001 I adapte ede işletmeler ayı zamada ISO27002 yi de adapte etmiş olurlar. ISO/IEC 27002:2013 ü yapısı Bir tavsiye dokümaıdır. Kotrolleri uygulaması ile ilgili bazı öerilerde buluur. ISO/IEC is a code of practice - a geeric, advisory documet, ot a formal specificatio such as ISO It recommeds iformatio security cotrols addressig iformatio security cotrol objectives arisig from risks to the cofidetiality, itegrity ad availability of iformatio. Orgaizatios that adopt ISO/IEC must assess their ow iformatio security risks, clarify their cotrol objectives ad apply suitable cotrols (or ideed other forms of risk treatmet) usig the stadard for guidace. Kotroller kotrol hedeflerie göre gruplaarak suulmuştur. The stadard is structured logically aroud groups of related security cotrols. May cotrols could have bee put i several sectios but, to avoid duplicatio ad coflict, they were arbitrarily assiged to oe ad, i some cases, cross-refereced from elsewhere. q For example, a card-access-cotrol system for, say, a computer room or archive/vault is both a access cotrol ad a physical cotrol that ivolves techology plus the associated maagemet/admiistratio ad usage procedures ad policies. This has resulted i a few oddities (such as sectio 6.2 o mobile devices ad teleworkig beig part of sectio 6 o the orgaizatio of iformatio security) but it is at least a reasoably comprehesive structure. It may ot be perfect but it is good eough. ISO/IEC Withi each sectio, iformatio security cotrols ad their objectives are specified ad outlied. Specific cotrols are ot madated sice: Each orgaizatio is expected to udertake a structured iformatio security risk assessmet process to determie its specific requiremets before selectig cotrols that are appropriate to its particular circumstaces. It is practically impossible to list all coceivable cotrols i a geeral purpose stadard. Idustry-specific implemetatio guidace for ISO/IEC ad are aticipated to give advice tailored to orgaizatios i the telecomms, fiacial services, healthcare, lotteries ad other idustries. 11

12 Cotets of ISO/IEC 27002:2013 Bölümler ISO27001:2013 STANDART İNCELEMESİ ISO Nedir? ISO/IEC Iformatio techology Security Techiques Iformatio security maagemet systems Requiremets. Secod Editio Iformatio security preservatio of cofidetiality, itegrity ad availability [the CIA] of iformatio (ISO27000) q Cofidetiality importat, but ot everythig A iformatio security maagemet stadard, ot a iformatio security stadard q Framework ad process for developig a iformatio security maagemet system (ISMS) q Tells you how to go about protectig your iformatio, ot what you should do to protect it q Wide applicability ISO27002 provides implemetatio guidace q BS ISO/IEC 27002:2013. Iformatio techology. Security techiques. Code of practice for iformatio security cotrols 12

13 Yapı Giriş cümleleri Zorulu cümleler(kısımları) Bilgi güveliği kotrolleri Zorulu Cümleler N = 7 Diğer ISO stadartlarıda da ortak ola bölümler Kıs ım Kapsam 4 Orgaizasyou Durumu Orgaizasyou ve mevcut durumuu alaşılmas ı/paydaşları ihtiyaç ve bekletilerii alaşılmas ı/ism S kaps amıı belirlemes i/bgys kurma, işletme ve sürekli iyileştirme 5 Liderlik Yöetimi irades ii gös terilmes i/bg politikas ı/orgaizasyoel roller ve sorumluluklar 6 Plalama Ris k değerledirme ve tedavi etme ile ilgili gereks iimler, BG hedefleri ve buları gerçekleştirmek içi yapılacak plalamalar 7 Destek Kayak ayırma/yeterlilikler/far kıdal ık/ İletişim /Dokümatasyo 8 Operasyo Operasyoel işler/risk değerledirme ve tedavii uygulamaya alımas ı 9 Performas değerledirme BGYS i etkiliğii değerledirilmes i/iç tetkik/yöetimi gözde geçirme faaliyetleri 10 İyileştirme Uygusuzlukları ve düzeltici faaliyetleri yapılmas ı/sürekli iyileştirme BG Kotrolleri Ek A. Referas Kotrol Hedefleri ve Kotroller N = 114 kotrol; 14 bölüm halide verilmiş Doğruda ISO27002 de verile kotrollerle eşleştirilebilir q A.5. de A.18. e kadar Bu kotroller, risk değerledirme sürecii bir soucu olarak seçilecek ve SOA da listeleecektir (SOA) cümle

14 A.5: Bilgi Güveliği Politikaları A.6: Bilgi Güveliği Orgaizasyou KONTROLLER A.7: İsa Kayakları Güveliği A.8: Varlık Yöetimi A.9: Erişim Kotrolü A.10: Kriptografi (Şifreleme) A.11: Fiziksel ve Çevresel Güvelik A.12: İşlemler Güveliği A.13: Haberleşme Güveliği A.14: Bilgi Sistemleri Ediim, geliştirme ve bakımı A.15: Tedarikçi İlişkileri A.16: Bilgi Güveliği İhlal Olayı Yöetimi A.17: İş Sürekliliği Yöetimii Bilgi Güveliği Usurları A.18: Uyum ISO Ek A - Kotroller Ref Sectio Cotr ols Cotet A.5 Iformatio security policies 2 Maagemet directio A.6 Orgaizatio of iformatio security 7 Iteral orgaisatio A.7 Huma resource security 6 Prior to, durig employmet; termiatio ad chage A.8 Asset maagemet 10 Resposibilities, iformatio classificatio, media hadlig A.9 Access cotrol 14 Busiess requiremets, user maagemet ad resposibilities, systems ad applicatio access cotrol A.10 Cryptography 2 Cryptographic cotrols A.11 Physical ad evirometal security 15 Secure areas, equipmet A.12 Operatios security 14 Procedures ad resposibilities, malware protectio, backup, loggig ad moitorig, operatioal software, techical vulerabilities, systems audits A.13 Commuicatios security 7 Network security, iformatio trasfer, A.14 Systems acquisitio, developmet ad 13 Security requiremets, developmet ad support, test data maiteace A.15 Supplier relatioships 5 Iformatio security i supplier relatioships, service delivery, A.16 Iformatio security icidet 7 Maagemet of icidets, improvemet (of ISMS) maagemet A.17 Iformatio security aspects of busiess 4 Cotiuity, redudacy (of facilities) cotiuity A.18 Compliace 8 Legal ad cotractual compliace, reviews ISO Maliyeti Stadartlar kitap maliyeti q is crucial, but also ad others i 27* series q From British Stadards Istitute (50% discout for members) Persoel q Desigated perso with overall IS resposibilities ad other persoel with ewly defied resposibilities q Additioal meetigs, e.g. regular maagemet review, iteral/exteral audits q Regular access/operatioal reviews, risk assessmets q Traiig q New procedures created/some procedures ow more formalised - more time cosumig Daışmalık (Devam ede ya da yeilee) Sertifikasyo q (re) Certificatio Audit(s) q Certificate(s) q Surveillace audits 14

15 ISO Faydalar Rekabetçi avataj q ISO27001 certificatio is icreasigly required or positively ecouraged by potetial cliets q Assists i establishig compliace with other stadards ad requiremets, e.g. HMG Security Policy Framework Kültürel değişim q Icreasig awareess of importace of iformatio security i a itercoected world q Expediture o iformatio security icreasigly see as busiess ivestmet ad eabler rather tha techical overhead that ihibits achievemet of busiess goals q Iformatio security maagemet icreasigly see as everyoe s resposibility ad ot solely withi the purview of the IT departmet Etik, yasal ve kotrat bazlı yükümlülükler e uyum kousuda daha fazla kedimize güve duyma! ISO Yararlar (devam) İyileştirilmiş ve sürekli iyileştirile iş ve tekik süreçler q Forced ito better uderstadig of orgaisatioal fuctios ad operatios Impossible ot to improve forces you to cotiually reassess ad requires you to demostrate improvemet 44 15