YZM5604 Bilgi Güvenliği Yönetimi. Varlık Yönetimi (Asset Management) Varlık/Değer -Asset. Dr. Orhan Gökçöl

Transkript

1 YZM5604 Bilgi Güveliği Yöetimi 12 Ekim 2015 Dr. Orha Gökçöl Bahçeşehir Üiversitesi, Fe Bilimleri Estitüsü Varlık Yöetimi (Asset Maagemet) Varlık/Değer -Asset Varlık, bir şirketi değer atfettiği herşeydir. q BT Varlıkları (computers, servers, laptops, etwork devices..) q Kağıt varlıklar (reports, drawigs..) q Yazılım varlıkları (OS, ERP programs, statistics programs ) q Fiziksel varlıklar ( Table, chair, eviromet,...) q İK varlıkları q Şirket imajı q Servisler (Heatig, electricity,... ) q Diğer 1

2 Bilgi/Varlık Sııfladırılması Bütü varlıklar / tüm bilgi ayı değerde değildir. Varlık değerlerii C, I ve A ya göre değerledirilmesi gerekmektedir. Varlık değeri, koruma seviyesii de belirleyecektir. Varlığı koruma seviyesi, hagi prosedürleri takip edileceğii belirler Etiketleme, kullaıcıları o varlığı kullaımı kousuda uyarır 4 ISO27001 i aa usurlarıda birtaesi Varlık Sııfladırılması Bütü güvelik stadartları ya da e iyi uygulamalar mutlaka çok sağlam bir varlık sııfladırılması temelie oturtulmak zorudadır. Varlıklarımızı uygu koruması içi, bir varlık sahibi taımlamak şarttır. Varlık yöetimi yaklaşımı ve ou destekleyici diğer usurları uygulaması ile, varlık sahibii sorumluluğudaki bir sııfladırma yapısı içide gerekli kotrolleri belirlemesi gerekmektedir. Nede Sııfladırırız? BG kapsamıda, varlıklarımıza uygu seviyede güvelik sağlayabilmek içi sııfladırma yaparız. Kayaklarımız sıırlı olduğu içi, eyi gerçekte koru()maya ihtiyaç duyduğuu belirleyebilmeli ve öem derecesie göre öcelikledirebilmeliyiz. Tüm varlıklarımız ayı değerde değildir!!!!! 2

3 Gerçek... Bir kurumda bulua bilgileri sadece yaklaşık %10 u gerçekte ticari sır, rekabet avatajı ya da kişisel bilgi içermektedir!!! Kurumdaki bilgileri çoğu, çalışaları işlerii yaparke erişmeleri gereke varlıklara aittir. Kala kısmı ise, yetkili kaallar aracılığı ile kamuu erişimie açılmaktadır. «Geel» olarak taımlaa bilgiler ise; hissedarlara suula raporlar, bası bülteleri, web siteleri ve yetkili ağızlarda yapılmış kamu duyurularıı kapsamaktadır. Gerçek... Bilgi Sııflaması Nedir? Bilgi ya da varlık sııfladırma süreci, bir iş-karar sürecidir. Bilgi bir kurumu varlığıdır ve yöeticiler, varlıkları koruması ve uygu şekilde kullaılmasıda sorumludur. Bilgi sııfladırma süreci, yöeticilere bu sorumluluklarıı yerie getirirke oldukça fazla yardımcı olacaktır!! 3

4 Varlıkları Sııfladırılması Politikası Varlık sııfladırma politikalarıı oluştururke, yöetim tarafıda girdi almak çok öemlidir. Eğer tüm kurumu ilgiledire bir yapı oluşturulacaksa, yöetimi tam olarak eyi istediğii alamak gerekmektedir!! Sorular.. Kritik ya da kurum içi hassasiyeti ola aktiviteler, operasyolar, süreçler vb elerdir? Hassas ya da kritik bilgiler erede saklamaktadır? Bu bilgiler erede işlemektedir? Bu bilgilere kimleri erişmesi gerekmektedir? Bilgi Sııfladırma Hükümet sııfladırması: q Top Secret /Çok Gizli q Secret/Gizli q Cofidetial/Gizli q Sesitive but Uclassified q Uclassified/Tasif dışı 12 4

5 Bilgi Sııfladırma Özel sektör sııfladırması: q Cofidetial/Gizli q Private/Özel q Sesitive/Hassas q Public/Geel q Başka?? 13 Bilgi Sııfladırma Kriter: q Değer q Yaş q Yararlı Ömür q.. q.. 14 Kriter... ( Kurulacak ola sııfladırma yapısıı basit, alaşılır ve küçük bir sııfladırma modeli oluşturuyor olması gerekmektedir. Bilgi varlıkları güvelik açısıda e kadar fazla kategoriye bölüürse, çalışaları bu sistematiği algılayıp bua göre davraması da ayı ölçüde zorlaşmaktadır. Bu yüzde, sııfladırmada kullaıla kategori adedii ihtiyacı karşılayacak kadar fazla ama kafa karıştırmayacak kadar az olması gerekmektedir. 5

6 Bilgi Sııfladırma Kategorileri - Örekler Başka bir örek Örek 6

7 Örek Örek Rek Kodları kullaımı GİZLİ - Kırmızı Provides a sigificat competitive advatage. Disclosure would cause severe damage to operatios. Relates to or describes a log-term strategy or critical busiess plas. Disclosure would cause regulatory or cotractual liability. Disclosure would cause severe damage to our reputatio or the public image. Disclosure would cause a severe loss of market share or the ability to be first to market. Disclosure would cause a loss of a importat customer, shareholder, or busiess parter. Disclosure would cause a log-term or severe drop i stock value. Strog likelihood somebody is seekig to acquire this iformatio. Örek Rek Kodları kullaımı İÇ KULLANIM - Sarı Provides a competitive advatage. Disclosure could cause moderate damage to the compay or a idividual. Relates to or describes a importat part of the operatioal directio of the compay over time. Provides importat techical or fiacial aspects of a product lie or a busiess uit. Disclosure could cause a loss of customer or shareholder cofidece. Disclosure could cause a temporary drop i stock value. Very likely that some third party would seek to acquire this iformatio. 7

8 Rek Kodları kullaımı İÇ KULLANIM - Yeşil Might provide a busiess advatage over those who do ot have access to the same iformatio. Might be useful to a competitor. Not easily idetifiable by ispectio of a product. Not geerally kow outside the compay or available from public sources. Geerally available iterally. Little competitive iterest. GENEL Mavi Would ot provide a busiess or competitive advatage. Routiely made available to iterested members of the geeral public. Little or o competitive iterest. Gizli bilgi e alama gelir? There are a umber of ways to look at iformatio that ca be classified as cofidetial. We examie a umber of statemets relatig to cofidetial iformatio. The first is a geeral statemet about sesitive iformatio Cofidetial Iformatio : Iformatio that is disclosed could violate the privacy of idividuals, reduce the compay s competitive advatage, or could cause damage to the orgaizatio. q The Ecoomic Espioage Act of 1996 (EEA) defies trade secret iformatio to iclude all forms ad types of fiacial, busiess, scietific, techical, ecoomic, or egieerig iformatio, regardless of how it is stored, complied, or memorialized. Copyright (Telif Hakkı) At regular itervals, employees will be creatig ew work i the form of applicatio programs, trasactios, systems, Web sites, etc. To protect the orgaizatio from loss of created material, eterprise policies o copyright owership must be implemeted ad all employees must be remided of these policies o a regular basis. Ulike other forms of itellectual property protectio, the basis for copyright occurs at the creatio of a origial work. The rule is, every origial work has a iheret right to a copyright ad is protected by that right eve if the work is ot published or registered. All origial works of authorship created by employees for a compay are the property of the compay ad are protected by the copyright law. 8

9 Copyright (telif hakkı) Telif hakkı ile korua ürüler: q Her türlü yazılı materyal q Veri tabaları, yazılımlar (kayak kodu, object kodu) q Çıktılar (kişiselleştirilm iş ekralar, prit-out-lar) q q Fotoğraflar, grafikler, plalar, tekik çizimler ve akış diyagramları (ER diyagramları, use-case diyagramları vb) Ses kayıtları Telif hakkı ile korumayalar q Fikirler, keşifler, süreçler ve 3D tasarımlar (bular patet yasası ile koruur) q Markalar, ürüler, slogalar (marka kauu ile koruur ) Ülkemizde Telif Hakları 5846 sayılı Fikir ve Saat Eserleri Kauu kapsamıda değerledirilmektedir. Ayrıtılı bilgi içi : Çalışaları sorumlulukları Tipik olarak üç çeşit çalışa sorumluluğu vardır: Varlık Sahibi, Varlık Koruyucusu ve Varlık Kullaıcısı q Varlık Sahibi : Kurumu bu varlık üzerideki haklarıı, iş gereksiimleri çerçeveside, kulladırtmak içi gerekli izilere sahip usur. Bu rol ormal şartlarda, o varlığı ilk oluşturulduğu ya da temel kullaımıı buluduğu ilgili bölüm sorumlularıa/müdürlerie ataır. 9

10 Sahip Varlığı oluştura ya da tuta kişi ilk sahiptir. Tipik bir orgaizasyoda bu bir bölüm, kısım ya da departma vb sorumlusu (müdür vb) olacaktır Varlık sahibii sorumluluğu şuları içermektedir : Sahip Kedi bölümüde kullaım:there exists a agreed-upo classificatio hierarchy, ad this hierarchy is appropriate for the types of iformatio processed for that busiess uit. Sııfladırma ve evater oluşturma: Classify all iformatio stored ito the agreed types ad create a ivetory (listig) of each type. Koruduğuda emi olma: Esure that, for each classificatio type, the appropriate level of iformatio security safeguards is available (e.g., the log-o cotrols ad access permissios applied by the Iformatio Custodia provide the required levels of cofidetiality). Gözde geçirme: Periodically check to esure that iformatio cotiues to be classified appropriately ad that the safeguards remai valid ad operative. Varlık Koruyucusu İhtiyaç duyula bir soraki sorumluluk, varlık koruyuculuğudur (custodia). Koruyucuu görevi, varlık sahibi tarafıda belirlee kurallar (kullaım gereksiimleri) çerçeveside varlığı uygu korumasıı sağlamaktır. Tipik bir orgaizasyoda bu görev (veri ve bilgi koruma) geellikle BT idir. Varlık koruyucusu, varlık sahibii oayı olmada varlık üzerideki erişim, değiştirme vb eylemlerii egeller 10

11 Koruyucu A Iformatio Custodia is the perso resposible for overseeigad implemetig the ecessary safeguards to protect assets, at the level classified by the iformatio ower This could be the System Admiistrator, cotrollig access to a computer etwork; or a specific applicatio program or evea stadard filig cabiet. Varlık Kullaıcısı Varlık ile ilgili ihai usur varlıkkullaıcısıdır. Kullaıcılar, varlık sahibi tarafıda erişimie izi verilmiş tekil bireylerdir. Varlıklar, sahibii taımladığıçerçeveye göre kullaılır. Kullaıcıı başkaca bir hakkı yoktur. Erişim sağlaırke, e az sorumluluk presibi uygulamalıdır.yai, kullaıcı sadece yaptığı işte ihtiyaç duyacağı kadar yetkiye sahip olacaktır, daha fazlasıa değil! Varlık Sııfladırma Politikaları Varlıklar, gizlilik, bütülük ve kullaılabilirlik (C, I, A) hassasiyetlerie uygu bir şeikde sııfladırılır. Varlık sahibi/sahiplerii taımlaması Varlık sahiplerii sorumlulukları: İlk sııflama Varlık yöetimi ile ilgili kararlara iştirak Mevcut sııfladırmaları gözde geçirme, yeide ele alma Uygu koruma ve gerektiğide uygu bir şekilde yok etme Özel durumlar? (ulusal güvelik vb) Yok etme ile ilgili özel durumlar? 11

12 Politika Sııfladırma Seviyeleri (Örek) 1. Seviye, Geel- Çok düşük hassasiyete sahip bilgiler- şirket çalışaları, müşteriler ve ortaklara ait herhagi bir gizli bilgi yok. Örekler: Bası bülteleri, broşürler, kurumsal web siteleri vb. 2. Seviye, Sıırlı Erişim- Hassas şirket çalışaları, müşteriler ve ortaklara ait herhagi bir hassas bilgiyi açığa çıkartabilir. Örekler: Risk yöetim plaları, iç deetim raporları, isimler, adresler. Policy Classificatio Levels (Sample) 3. Seviye, Kısıtlı Sesitive iformatio, uauthorized access could result i fiacial loss or idetity theft. Examples: Network diagrams, persoally idetifiable iformatio, other iformatio exempt from public records disclosure. 4. Seviye, Kritik- Extremely sesitive, potetial to cause major damage or ijury. Examples: Disclosure that could result i loss of life, disability or serious ijury or regulated iformatio with sigificat pealties for uauthorized disclosure, iformatio that is typically exempt from public disclosure. Örek Politika This is a actual classificatio policy (very high level) for the executive brach of a atioal govermet. There is little here to help the average user. This is a example of a program or geeral policy statemet; however, a topicspecific policy statemet may have bee more beeficial. 12

13 13

14 Varlıkları kullaımı Bilgi varlıklarıı sııfladırmak ve bua göre etiketlemek, bu varlıkları uygu kullaımı içi gerekli olsa da, tek başıa yeterli değildir. Çalışalara ayrıca her bir kategorideki bilgi varlığı ile kullaım sırasıda e gibi işlemleri yapılabileceğii tarif edip, rehberlik etmek te gereklidir. Varlıkları Kullaımı 14

15 Aother example Varlık Sııfladırma Metodolojisi Aşağıdaki adımlar takip edilir q Varlıkları belirlemesi (evater?!!) q Varlık sahiplerii belirlemesi q C, I ve A ya e kadar hassas oldukları ile ilgili bir etki değerledirmesi yapılması q Sııfladırma yapılması q Sııfladırıla varlıkları dokümatasyou q Eğitim, farkıdalık oluşturma faaliyetleri q Sııfladırmaı sürekli olarak gözde geçirilmesi ve düzeli olarak gücellemesi Varlık Yöetim Sistemi Oluşturulması ve Sııfladırmaı Belirlemesi 15

16 Örek Erişim Kotrolü / Access Cotrol ERİŞİM KONTROLÜ ü amacı; bilgiye erişimi kotrol etmek tir : q Erişim kotrolü politikası q Kullaıcı erişim yöetimi q Kullaıcı sorumlulukları (password kullaımı, temiz masa vb) q Ağ erişim kotrolü q İşletim sistemi erişim kotrolü q Uygulamalara ve bilgi kayaklarıa erişimi kotrolü q Daha çok, tekik bir mekaizma olarak düşüülebilir 16

17 Güvelik Presipleri Erişim kotrolü içi de, 3 temel güvelik presibide ödü verilmemesi amaçlamaktadır: q Kullaılabilirlik q Bütülük q Gizlilik 49 E düşük yetki presibi E düşük yetki, bir kullaıcıı yapması gereke işleri yerie getirebilmesi içi sahip olması gereke mutlak miimum miktardaki sistem erişimii taımlar. Kullaıcı Erişim Yöetimi Accout Authorizatio / Kullaıcı yetkiledirme q Kullaıcı kaydı olarak da biliir. Bu süreç, taımlı kullaıcılara, ö bir sistem erişimi sağlayarak sistemde kedileri içi taımlı e tür erişim yetkileri olduğuu belirler. q Yei kullaıcı oluşturma ve yetkiledirme süreçleri içi taımlı politikalar ve prosedürler olması zoruludur. Erişim Yetkileri Yöetimi q Bir kullaıcı uzuca bir süre şirkette çalıştıkta sora, erişim yetkileri kullaıcıı gücel iş taımlarıyla ve sorumluluklarıyla çok uyumlu olmayabilir!!. BG yöeticisi, kullaıcı yetki ve sorumluluklarıı düzeli aralıklarla kotrol etmelidir. Buula ilgili yazılı bir prosedür olmalıdır 17

18 Kullaıcı Erişim Yöetimi Erişim Yetkileri Yöetimi q Moreover, the iformatio security maager should also review accouts o the system to make sure that all user accouts have a correspodig user. It is commo for users who have left the compay to still have valid user accouts o the system. Kullaıcı Deetleme (Autheticatio) Yöetimi q q q q the iformatio security maager should also have a password maagemet scheme i place. Passwords should be chaged o a regular basis; the curret idustry stadard is aroud 30 days. However, the time to chage passwords should reflect the security ecessary to protect the iformatio o the system. It is ot ucommo for a orgaizatio to chage passwords every 90 days, or loger. I additio to havig users chage their passwords regularly, passwords should be well selected. A well-selected password will be at least eight characters i legth, ot based o a dictioary word, ad cotai at least oe uique character. The reaso for these criteria is to make it more difficult for a attacker to use a password crackig utility quickly Sigle Sigo Şu aa dek kullaıla e kötü 20 parola password drago 7. qwerty mustag 10. letmei 11. baseball 12. master 13. micheal 14. football 15. shadow 16. abc pass 18. qazwsx qweasd Sistem ve Ağ Erişim Kotrolü Varsayıla kofigüraso: May etwork devices are left i default or very similar to default cofiguratios. While leavig these devices i this state is ofte easier, it ca be a severe detrimet to security. Çalışa ekstra servisler: Most devices i this cofiguratio are ruig may uecessary services; ad while the user commuity does ot use these services, malicious users o the etwork ca exploit the vulerabilities i these services. Çalışa ekstra servisler: To miimize the amout of security holes i the etwork, the iformatio security maager must disable or remove all the uecessary services o the devices. 18

19 Sistem ve Ağ Erişim Kotrolü Ağ İzleme sistematiğii mutlaka kurulu olması lazım: Oe of the easiest ways to have the security of moitorig the etwork is to implemet remote port protectio. This would allow a iformatio security maager to see if a ew port becomes active o a switch or similar. Aother way to keep your etwork secure is to miimize the umber of devices o a etwork that iteract. To do this, the iformatio security maager may choose to have etwork segregatio FIREWALLs Ateş duvarı-firewalls A firewall is ay device that prevets a specific type of iformatio from movig betwee the utrusted etwork outside ad the trusted etwork iside The firewall may be: q a separate computer system q a service ruig o a existig router or server q a separate etwork cotaiig a umber of supportig devices 19

20 Remote Access (Uzakta Erişim) Hacker-lerifavori yötemi.!!!! 20

21 Taımlama, Doğrulama ve Yetkiledirme. Her üçü de farklı foksiyolar!!! q Kimlik Taımlama q Doğrulama q Yetkiledirme SORUMLULUK!! (Taım lam a) (Doğr ulam a) (VARLIK) (Yetkiledir m e) 61 Kimlik taımlama (Idetificatio), Kimlik doğrulama (Autheticatio) ve Yetkiledirme (Authorizatio) Taımlama q Bilgi sistemleri, kullaıcılarıı, kullaıcı kimlikleri ile taırlar (kullaıcı adı, yüz, retia vb) q Taıma ve doğrulama zama zama birlikte ele alımalıdır ve bu süreçler, kullaıcıı erişim seviyesii yetkiledirmede çok öemlidir Doğrulama q Kullaıcıı, iddia ettiği kişi olduğuu kaıtlaması (parola girişi, biyo kimlik doğrulama vb.) Yetkiledirme q Doğrulaa kişiye, iş taımlarıda taımladığı şekilde, ilgili varlıklara erişebilmesi içi yetkiledirme yapılır Kimlik Taımlama Taımlama q Method of establishig the subject s (user, program, process) idetity. Use of user ame or other public iformatio. Kow idetificatio compoet requiremets

22 Kimlik Doğrulama Doğrulama q Taımlamada belirtile kişi olduğuu doğrulaması. Somethig a perso is, has, or does. Use of biometrics, passwords, passphrase, toke, or other private iformatio. Strog Autheticatio is importat 64 Doğrulama Biometrik yötemler q Verifies a idetity by aalyzig a uique perso attribute or behavior (e.g., what a perso is ). Most expesive way to prove idetity, also has difficulties with user acceptace. May differet types of biometric systems, kow the most commo. 65 E çok bilie biyometrik sistemler: q Parmak izi(figerprit) q Avuç içi taraması (Palm Sca) q El geometrisi taraması(had Geometry) q Iris Sca q Retia Sca q Sigature Dyamics q Keyboard Dyamics q Voice Prit q Facial Sca q Had Topography Kimlik Doğrulama 66 22

23 Kimlik Doğrulama Biyometrik sistemler baze karşılaştırma hataları üretebilmektedir. Tip I Hatası : Hatalı reddetme (doğru bir doğrulamayı yalış zaetme). Tip II Hatası: Hatalı kabul etme (yalış bir doğrulamayı doğru zaetme). q Bu, kaçıılması gereke bir hatadır!!!!!. 67 Parolalar (Passwords) Kimlik Doğrulama q Kullaıcı adı + parola e çok kullaıla kimlik doğrulama yötemidir. q Parolaları kuvvetli seçilmesi lazım. q Matıklı aralıklarla değiştirilmesi gerekir (3 ay?) q Parola belli bir tekrarda sora hala yalış giriliyorsa, bu gibi durumları ölemesi gerekir (clippig level) 68 Kimlik Doğrulama Parolaları ele geçirmede e çok kullaıla yötemler: q Elektroik gözlem (moitorig) q Parola dosyasıa erişim q Brute Force Saldırısı q Dictioary Saldırısı q Sosyal Mühedislik 69 23

24 Tek kullaımlık parolalar Kimlik Doğrulama q Used for autheticatio purposes ad are oly good oce. q Ca be geerated i software (soft tokes), or i a piece of hardware 70 Hashig & Ecryptio Autheticatio q Hash or ecryptig a password to esure that passwords are ot set i clear text (meas extra security) Salts: Radom values added to ecryptio process for additioal complexity. 71 Yetkiledirme Yetkiledirme/Authorizatio q Oaylamış kullaıcıı e tip kayaklara erişebileceği ile ilgili yapılacak ola düzelemeler. Erişim kriterleri geellikle aşağıdakilerde birisi olabilmektedir: q Roller/Roles q Grup/Groups q Koum/Locatio q Zama/Time q İşlem tipi/trasactio Types 24

25 73 Yetkiledirme Akılda tutulması gereke yetkiledirme kavramları: q Yetkileri zama içide üst üste eklemesi/authorizatio Creep : Whe a employee works for a compay over time ad moves from oe departmet to aother ad assiged ew access rights ad permissios without the old permissios beig reviewed ad removed q Sıfır yetki/default to Zero All access cotrols should be based o the cocept of startig with zero access ad the buildig o top of that q Bilme gerektiği kadar bil presibi/need to Kow Priciple Is similar to the lease privilege priciple. It is based o the cocept that idividuals should be give access oly to the iformatio that they absolutely require i order to complete their job duties q Erişim kotrol listeleri/access Cotrol Lists A list of subjects that are authorized to access a particular object. Typically, the types of access are read, write, execute, apped, modify, delete, ad create Yetkiledirme Varlıklara erişimi kotrol ederke karşılaşıla güçlükler: q Farklı erişim ihtiyaçları ola farklı seviyelerde kullaıcılar q Kayaklar erişim ve yetkiledirme ile uyumsuz bir şekilde sııfladırılmış olabilir q Çok fazla miktardaki kullaıcı bilgisi q Kurumsal yapı sürekli değişiyor 74 Yetkiledirme SSO Sigle Sig O Capabilities q Allow user credetials to be etered oe time ad the user is the able to access all resources i primary ad secodary etwork domais SSO techologies iclude: q Kerberos q Sesame q Security Domais q Directory Services q Dumb Termials 75 25

26 Erişim Kotrol Yötemleri Erişim kotrolü, kurum içide farklı katmalarda uygulaabilir: Üç temel kategori: q Yöetimsel q Fiziksel q Tekik 76 Yöetimsel Erişim Kotrol yötemleri q Politika ve prosedürler q Persoel kotrolleri Separatio of Duties Rotatio of Duties q Deetim ve Gözlem q Güvelik farkıdalığı eğitimleri q Kullaıcı sıama/test etme 77 Fiziksel Erişim Kotrol yötemleri q Network Segregatio q Perimeter Security q Computer Cotrols q Work Area Separatio q Data Backups q Cablig: Protectio for the various types of cablig that carry iformatio throughout a etwork. q Cotrol Zoe: is a physical cotrol, ad is a specific area that surrouds ad protects etwork devices that emit electrical sigals

27 Erişim Kotrol yötemleri Tekik q System Access q Network Architecture (ex. subettig) q Network Access q Ecryptio ad protocols q Auditig ağ cihazları ve bilgisayarları her türlü aktivitesii izleme ve kayıt altıa alma 79 Accoutability-Sorumluluk Accoutability is tracked by recordig user, system, ad applicatio activities. Audit iformatio must be reviewed q Evet Orieted Audit Review q Real Time ad Near Real Time Review q Audit Reductio Tools q Variace Detectio Tools q Attack Sigature Tools 80 Other accoutability cocepts Keystroke Moitorig Accoutability q Ca review ad record keystroke etries by a user durig a active sessio. q A hacker ca also do this q May have privacy implicatios for a orgaizatio Scrubbig: Removig specific icrimiatig data withi audit logs. Oly- certai idividuals (admiistrator ad security persoel) should be able to view, modify, ad delete audit trail iformatio.the itegrity ad cofidetiality of audit logs is importat because they could be used as evidece i a trial. 27

28 Erişim Kotrolü iyi uygulamalar Kow the access cotrol tasks that eed to be accomplished regularly to esure satisfactory security. Best practices iclude: q Dey access to aoymous accouts q Eforce strict access criteria q Susped iactive accouts q Replace default passwords q Eforce password rotatio q Audit ad review q Protect audit logs 82 Erişim Kotrolüe ola tehditler Bazı öemlileri q İç tehditler Coutermeasures iclude good policies ad procedures, separatio of duties, job rotatio q Sözlük saldırıları/dictioary Attacks Coutermeasures iclude strog password policies, strog autheticatio, itrusio detectio ad prevetio q Brute Force Attacks Coutermeasures iclude peetratio testig, miimum ecessary iformatio provided, moitorig, itrusio detectio, clippig levels q Yaıltma-Togaya düşürme/spoofig at Logo Coutermeasures iclude a guarateed trusted path, security awareess to be aware of phishig scams, SSL coectio 83 Erişim Kotrolü, bir politika olarak taımlaabilir!! 28

29 Fiziksel ve Çevresel Güvelik Bilgi ve bilgi işleme olaaklarıı içere alaları korumak içi güvelik ölemleri (duvarlar gibi egeller, kart kotrollü giriş kapıları, görevli bulua resepsiyo masaları) alımalıdır. Veri taşıya ya da bilgi hizmetlerii destekleye iletişim ortamları ve araçları, kesilme ya da hasarlarda korumalıdır. Physical Security/Fiziksel Güvelik Bazı fiziksel güvelik tehditleri ve souçları: q Servisleri kesilmesi q Hırsızlık q Fiziksel Hasar q Bilgileri izisiz yayılması q Sistem bütülüğüü kaybolması 87 29

30 Physical Security Tehditler pek çok farklı kategorilerde olabilmektedir: q Doğal/Çevresel tehditler (floods, fire) q Tedarik sistemi tehditleri (power outages, commuicatio iterruptios) q İsa kayaklı tehditler (patlamalar, kırgı çalışalar, doladırıcılar) q Politik kayaklı tehditler (grev, lokavt, sivil itaatsizlikler) 88 Fiziksel Güvelik Plalaması Kademeli (katmalı) bir savuma modeli öerilmektedir. Kurumu e dışıda başlayarak, varlığı buluduğu yere kadar uzaa çok katmalı bir yapı taımlaır. Kademeler: Deterrece (Caydırma), Delayig (Geciktirme), Detectio (Saptama), Assessmet (Değerledirme), Respose (Karşılık verme) 89 Fiziksel güvelik plalaması A physical security program must address: q Crime ad disruptio protectio through deterrece (feces, security guards, warig sigs, etc.). q Reductio of damages through the use of delayig mechaisms (e.g., locks, security persoel, etc.). q Crime or disruptio detectio (e.g., smoke detectors, motio detectors, CCTV, etc.). q Icidet assessmet through respose to icidets ad determiatio of damage levels. q Respose procedures (fire suppressio mechaisms, emergecy respose processes, etc.)

31 Dahili Destek Sistemleri Elektrik kayağı ile ilgili problemler: q A cotiuous supply of electricity assures the availability of compay resources. q Data ceters should be o a differet power supply from the rest of the buildig q Redudat power supplies: two or more feeds comig from two or more electrical substatios 91 Dahili Destek Sistemleri Power protectio: q UPS Systems Olie UPS systems Stadby UPS System q Power lie coditioers q Backup Sources 92 Dahili Destek Sistemleri Çevre ile ilgili sorular q Positive Drais q Static Electricity q Temperature 93 31

32 Dahili Destek Sistemleri Çevre ile ilgili sorular: Kaçaklar q Cotets flow out istead of i q Importat for water, steam, gas lies 94 Dahili Destek Sistemleri Statik Elektrik q To prevet: Use atistatic floorig i data processig areas Esure proper humidity Proper groudig No carpetig i data ceters Atistatic bads 95 Dahili Destek Sistemleri q Sıcaklık Computig compoets ca be affected by temperature: Magetic Storage devices: 38 Deg. C Computer systems ad peripherals: 80 Deg. C

33 Dahili Destek Sistemleri Havaladırma q Airbore materials ad particle cocetratio must be moitored for iappropriate levels. q Closed Loop - the air withi the buildig is reused after it has bee properly filtered, istead of brigig outside air i q Positive Pressurizatio : whe a employee opes a door, the air goes out ad outside area does ot come i. Positive pressurizatio ad vetilatio should be implemeted to cotrol cotamiatio 97 Dahili Destek Sistemleri Fire prevetio, detectio, suppressio Fire Prevetio: Icludes traiig employees o how to react, supplyig the right equipmet, eablig fire suppressio supply, proper storage of combustible elemets Fire Detectio: Icludes alarms, maual detectio pull boxes, automatic detectio respose systems with sesors, etc. Fire Suppressio: Is the use of a suppressio aget to put out a fire. 98 Çevresel Kotrol The first lie of defese is perimeter cotrol at the site locatio, to prevet uauthorized access to the facility. Proximity protectio compoets put i place to provide the followig services: q Cotrol of pedestria ad vehicle traffic q Various levels of protectio for differet security zoes q Buffers ad delayig mechaisms to protect agaist forced etry q Limit ad cotrol etry poits 99 33

34 Perimeter Security Protectio services ca be provided by: q Access Cotrol Mechaisms q Physical Barriers q Itrusio Detectio q Assessmet q Respose q Deterrets 100 Fiziksel Güvelik Daha fazla bilgi içi: q All i Oe Book (Sho Harris, 2005) q Official (ISC)² Guide to the CISSP CBK ((ISC)², 2006) 101 RİSK YÖNETİMİ 34

35 Varlık Yöetimii tamamlayıcısı BGYS İşletilmesi sırasıda varlıkları üzeride e gibi tehditler olduğuu belirlemiz gerekiyor Bu tehditleri öemlerie göre göre sıralamalıyız E öemli tehditleri berteraf etmek içi bazı aksiyolar uygulamalıyız ISO27001 Güvelik problemleri erede gelmektedir? IT system vulerable? Variety of threats? Potetial risks ad impact? What is vulerability, threat ad risk? 35

36 Risk Aalysis ad Risk Maagemet RISK NEDİR? q Risk, tehlikeli bir durumu ya da bir tehditi gerçekleşmesi ihtimalidir. q Tehdit ve savuma mekaizmasıı zayıflığı tek tek ele alıdığıda tehlikeli değildir. q Acak, tehdit ve savuma zaafiyeti bir araya geldiğide risk oluşmaktadır (diğer bir değişle, tehlikeli bir durumu gerçekleşme ihtimali belirmektedir). Risk Nedir? Nede Öemli? Kayak: Riskler kurumu hedeflerii gerçekleştirilmesii egelleyebilme olasılıkları ola her türlü durumdur. Riskler oluşma sıklıklarıa ve yaratacakları hasara göre ölçülmeli ve yöetilebilmelidir Etki bir iç deetim sistemii e öemli görevleride biri tüm riskleri tespit edilmesi ve miimize edilmesi içi uygu öeriler geliştirilmesidir. Risk yöetimi, her türlü riskleri taımlaması, ölçülmesi ve giderilmesii/makul seviyelere idirilmesii kapsaya bir sistematiktir. Vulerabilities / Threat (Zaafiyet/Tehdit) Vulerabilities (Açıklık/Zaafiyet) q Vulerabilities associated with assets iclude weakess i physical layout, orgaizatio, procedures, persoel, maagemet, admiistratio, hardware, software or iformatio. q They may be exploited by a threat that may cause harm to the IT system or busiess objectives. A vulerability i itself does ot cause harm Threat (Tehdit) ISO/IEC TR page 8, 8.3 Iformatio techology -- Security techiques q A threat has the potetial to cause a uwated icidet which may result i harm to a system or orgaizatio ad its assets. ISO/IEC TR page 6, 8.2 Iformatio techology -- Security techiques 36

37 Risk Risk is the potetial that a give threat exploits vulerabilities to cause loss or damage to a asset or group of assets, ad hece directly or idirectly to the orgaizatio. Ref: ISO/IEC TR 13335, page 8 Ifor m atio techology -- Secur ity techiques Nasıl ele alıır? Varlık Varlık RİSK = Küpü hacmi RISK Tehdit Tehdit Savumasızlık/zaafiyet Temel Risk Zaafiyet Koruma tedbirleri uyguladıkta sora kala risk RİSK Riskler azaltılabilir, ya da yöetilebilir. If we are careful about how we treat the eviromet, ad if we are aware of our weakesses ad vulerabilities to existig hazards, the we ca take measures to make sure that hazards do ot tur ito disasters. 37