BLG SSTEMLERNN GÜVENLNE LKN OECD REHBER LKELER- GÜVENLK KÜLTÜRÜNE DORU

Transkript

1 BLG SSTEMLERNN GÜVENLNE LKN OECD REHBER LKELER- GÜVENLK KÜLTÜRÜNE DORU 14 Aralık 1960 tarihli ktisadi birlii ve Gelime Tekilat Anlamasının, özellikle 1b), 1 c), 3 a) ve 5 b) maddeleri uyarınca; 23 Eylül 1980 tarihli Mahremiyetin Korunması ve Kiisel Verilerin Sınır Ötesi Akıına likin Rehber lkelerine yönelik Konsey Önerisi uyarınca; 11 Nisan 1985 tarihinde OECD Üye ülke hükümetlerince kabul edilen Sınır Ötesi Veri Akıı Bildirisi uyarınca [Ek C(85)139]; 27 Mart 1997 tarihli Kriptografi Politikası Rehber lkelerine likin Konsey Önerisi uyarınca [C(97)62/FINAL]; 7-9 Aralık 1998 tarihli Küresel Alarda Mahremiyetin Korunmasına likin Bakanlar Konseyi Bildirisi uyarınca [Ek C(98)177/FINAL]; 7-9 Aralık 1998 tarihli Elektronik Ticaretin Dorulanmasına likin Bakanlar Konseyi Bildirisi uyarınca[ek C(98)177/FINAL]; Bilgi sistem ve alarının, hükümetler, i çevreleri, kurulular ve bireysel kullanıcılar tarafından kullanımının ve deerinin giderek arttıını; Bilgi sistem ve alarının ve ulusal ekonomilerin, uluslar arası ticaretin ve sosyal, kültürel ve siyasi yaamın dengeli ve verimli ileyii açısından giderek daha fazla önem kazanması nedeniyle söz konusu bilgi sistem ve aların güvenilirliinin korunması ve kuvvetlendirilmesi ihtiyacını; Bilgi sistem ve alarının dünya çapında kullanımının beraberinde yeni ve artan oranda riskler getirdiini; Yetkisiz eriim ve kullanım, kötü kullanım, deitirilme, kötü amaçlı kod iletimleri, hizmetteki aksaklık ya da tahribatlar karısında bilgi sistem ve aları aracılııyla iletilen ve kaydedilen veri ve bilgilerin tehdit altında olduu ve uygun korunma yöntemlerine ihtiyaç duyulduunu; 1

2 Bilgi sistem ve alarına yönelik riskler ve bu risklerle ilgili politikalar, uygulamalar, önlemler ve prosedürler hakkında bilincin artması gerektii ve bir güvenlik kültürünü gelitirmek için uygun tutum ve davranıların tevik edilmesi gereksinimini; Bilgi sistem ve alarına yönelik tehditlerden doan zorluklara karı hazırlıklı olmak için mevcut politika, uygulama, önlem ve prosedürlerin gözden geçirilmeleri gereksinimini; Güvenlik eksiklikleri sebebiyle ulusal ekonomilerin, uluslar arası ticaretin, sosyal, kültürel ve siyasi yaamdaki katılımın karı karıya olduu potansiyel hasarların yarattıı zorluklarla mücadele etmek için uluslararası egüdüm ve ibirliini kuvvetlendiren bir güvenlik kültürü aracılııyla bilgi sistem ve alarının güvenliini tevik etmenin ortak çıkarların gerei olacaını; Bu Öneri Ekinde yer alan Bilgi Sistemlerinin Güvenliine likin Rehber lkelerin ulusların egemenlik haklarını etkilemedii ve istee balı olduunu; Rehber lkelerin amacının güvenlik hususunda tek ve kesin bir çözüm ileri sürmek ya da belli bir durumda hangi politika, uygulama, önlem ve prosedürlerin uygun olduu hususunda net bir açıklama getirmek olmadıı, daha ziyade kullanıcıların bir güvenlik kültürünü nasıl oluturacaı ve aynı zamanda ondan nasıl yararlanacaı konusunda daha iyi bir anlayı yerletirmek üzere çerçeve ilkeler sunmak olduunu GÖZ ÖNÜNE ALARAK; KONSEY, Bilgi sistem ve alarını gelitiren, sahip olan, yöneten, hizmete sunan ve kullanan hükümetler, i çevreleri, dier örgütler ve bireysel kullanıcılar için Bilgi Sistemlerinin Güvenliine likin Rehber lkeler: Güvenlik Kültürüne Doru adlı ilkeleri ÖNERMEKTEDR. Üye ülkelerin; Bilgi Sistemlerinin Güvenliine likin Rehber lkeler: Güvenlik Kültürüne Doru adlı ilkeler uyarınca bir güvenlik kültürünü benimseyerek ve tevik ederek mevcut politika, uygulama, önlem ya da prosedürlerini deitirmelerini ya da yenilerini oluturmalarını; Rehber lkeleri uygulamak için ulusal ve uluslar arası düzeyde ibirlii yapmalarını, koordinasyon salamalarını; 2

3 Güvenlik kültürünü tevik etmek ve tüm kullanıcıları sorumluluk alarak Rehber lkelerini kendilerine düen rollere uygun bir ekilde uygulamak amacıyla gerekli adımları atmaya tevik etmek için Rehber lkelerini hükümetler, i çevreleri, dier örgütler ve bireysel kullanıcılar da dahil olmak üzere tüm kamu ve özel sektöre daıtmalarını; Üye olmayan ülkelere zamanında ve uygun bir ekilde Rehber lkeleri tanıtmalarını; Bilgi sistem ve alarının güvenlii ile ilgili konularda uluslar arası ibirliini kuvvetlendirmek için her be yılda bir Rehber lkeleri gözden geçirmelerini TAVSYE ETMEKTEDR Ve OECD Biliim, Bilgisayar ve letiim Politikası Komitesini Rehber lkelerin uygulanmasını tevik etmekle GÖREVLENDRMEKTEDR. Bu Öneri, Bilgi Sistemlerinin Güvenlii için Rehber lkeler balıklı 26 Kasım 1992 tarihli Önerinin [C(92)188/FINAL]yerine geçmektedir. 3

4 EK BLG SSTEMLERNN GÜVENLNE LKN OECD REHBER LKELER- GÜVENLK KÜLTÜRÜNE DORU ÖNSÖZ 1. Bilgi Sistemlerinin Güvenliine likin Rehber lkelerin ilk kez 1992 de OECD tarafından yayınlanmasından günümüze kadar, bilgi sistemleri ve alarının kullanılması ve tüm bilgi teknolojileri büyük ölçüde deiime uramıtır. Devam edegelen bu deiiklikler önemli avantajlar sunmakla birlikte, aynı zamanda bilgi sistemlerini ve alarını kullanan, gelitiren, sahip olan, yöneten, salayan, sunan ve kullanan hükümetler, i çevreleri, dier örgütler ve bireylerin ( kullanıcılar ) güvenlik hususuna daha fazla dikkat etmelerini gerektirmektedir. 2. Daha güçlü kiisel bilgisayarlar, ilerleyen teknolojiler ve internetin geni kapsamlı kullanımı, kapalı alardaki basit ve tek baına iletilen sistemlerin yerini almıtır. Günümüzde, kullanıcılar giderek artan oranda birbirine balanmakta ve bu balantılar ulusal sınırları amaktadır. Ayrıca internet enerji, ulatırma ve finans gibi önemli altyapıları da desteklemekte olup, irketlerin ileyiinde, hükümetlerin vatandalara ve teebbüslere sundukları hizmetlerde ve bireylerin iletiim ve bilgi alıveriinde önemli bir rol oynamaktadır. letiim ve bilgi altyapısını oluturan teknolojilerin yapısı ve çeidi de oldukça deimitir. Altyapı eriim araçlarının sayısı ve yapısı sabit, kablosuz ve mobil araçları kapsayacak ekilde çoalmıtır. Eriim, artık artan bir oranda sürekli çevrimiçi olan balantılar aracılııyla yapılmaktadır. Sonuç olarak bilgi alıveriinin doası, hacmi ve hassasiyeti büyük ölçüde artmıtır. 3. Bilgi sistemleri ve alarının birbirleri ile balantısındaki artıın sonucu olarak, bilgi sistemleri ve alarının güvenlii artık artan sayıda ve çeitlilikte tehditlere maruzdur. Bu durum güvenlik açısından yeni konuları gündeme getirmektedir. Bu nedenlerle, bu Rehber lkeler, yeni bilgi toplumunda yer alan tüm kullanıcılara yöneliktir ve güvenlik konularının daha bilinçli olarak ele alınmasının ve bir güvenlik kültürü nü gelitirmenin gereini vurgulamaktadır. 4

5 I. GÜVENLK KÜLTÜRÜNE DORU 4. Bu Rehber lkeler, sürekli deien güvenlik ortamına güvenlik kültürünün gelitirilmesini tevik etmek suretiyle cevap vermektedir-yani, bilgi sistem ve alarının gelitirilmesinde güvenlik hususuna dikkat edilmesini ve bilgi sistem ve alarını kullanırken yeni düünme ve davranı yöntemlerinin benimsenmesini önermektedir. Rehber lkeler, sistem ve aların güvenliinin tasarımını ve kullanımını genelde daha sonra ele alan eski yöntemi geride bırakmaktadır. Kullanıcının, bilgi sistemleri, alar ve ilgili hizmetlere daha baımlı hale gelmesinden dolayı bu sistemlerin güvenli olması gerekmektedir. Sadece tüm kullanıcıların çıkarları ile sistem, a ve ilgili hizmetlerin doasını göz önünde bulunduran bir yaklaım etkili bir güvenlik salayabilir. 5. Güvenlii salamak açısından her kullanıcı önemli bir unsurdur. Kullanıcılar, rolleri gerei karı karıya oldukları güvenlik riskleri ve önleyici tedbirlerden haberdar olmalı, sorumluluk almalı ve bilgi sistem ve alarının güvenliini artırmak için gerekli adımları atmalıdır. 6. Güvenlik kültürünün gelitirilmesi hem liderlik hem de geni kapsamlı bir katılım gerektirmekte, bu da, tüm kullanıcılar arasında güvenliin salanması konusundaki anlayı kadar, güvenlik planlaması ve yönetimine de öncelik tanınması sonucunu dourmaktadır. darenin tüm seviyeleri, i çevreleri ve tüm kullanıcılar, güvenlik konularında sorumluluk almalıdır. Bu Rehber lkeler, toplum aracılııyla bir güvenlik kültürü oluturmak için gerekli temeli salamaktadır. Böylelikle kullanıcılar, güvenlik unsurunu bilgi sistemleri ve alarının kullanımı ve tasarımına dahil edebilirler. Rehber lkeler, tüm kullanıcıların, bilgi sistem ve alarıyla ilgili ilemlerde güvenlik kültürünü bir düünce, deerlendirme ve faaliyet yöntemi olarak benimsemesini ve tevik etmesini önermektedir. II. AMAÇLAR 7. Bu Rehber lkeler; - Bilgi sistem ve alarının koruma aracı olarak tüm kullanıcılar arasında güvenlik kültürünü tevik etmeyi, - Bilgi sistemleri ve alarının karı karıya olduu riskler ve bu risklere karı mevcut politikalar, uygulamalar, önlemler ve prosedürlerle ilgili bilinci arttırmak ve bu yöntemlerin uygulanmasının gerekliliini vurgulamayı, 5

6 - Bilgi sistemleri ve aları ile bunların sunum ve kullanım yöntemleri konusunda tüm kullanıcıların güvenini artırmayı, - Bilgi sistemlerinin ve alarının güvenliine yönelik uyumlu politika, uygulama, önlem ve prosedürlerin gelitirilmesi ve uygulanması ile ilgili etik deerlere kullanıcılar tarafından saygı gösterilmesi ve güvenlik konularının iyi anlaılmasına yardımcı olacak genel bir referans çerçevesi oluturulmasını, - Güvenlik politikalarının, uygulamalarının, tedbir ve prosedürlerinin gelitirilmesi ve uygulanması açısından tüm kullanıcılar arasında ibirlii ve bilgi paylaımını tevik etmeyi, - Standartların gelitirilmesi ve uygulanmasında rol alan tüm kullanıcıların güvenlik konusunu önemli bir hedef olarak belirlemelerini tevik etmeyi amaçlamaktadır. III.LKELER 8. Aaıda sayılan dokuz ilke birbirini tamamlayıcı nitelikte olup, bir bütün olarak okunmalıdır. lkeler, politika ve uygulama seviyeleri de dahil olmak üzere tüm kullanıcıları ilgilendirmektedir. Bu Rehber lkeler çerçevesinde kullanıcıların sorumlulukları rollerine göre deiiklik göstermektedir. Daha salam bir güvenlik anlayıının yerlemesi ve uygulamaların benimsenmesi için eitim, bilgi paylaımı ve öretim sayesinde tüm kullanıcılara yardımcı olunacaktır. Bilgi sistemleri ve alarının güvenliini artırma çabaları, demokratik toplum deerleri ile, özellikle de kiisel mahremiyet ile ilgili temel konular ve bilginin açık ve serbest akıı gereksinimi ile uyumlu olmalıdır. 1 1) Bilinç Kullanıcılar, bilgi sistemleri ve alarının güvenliinin gereklilii ve güvenlii artırmak için neler yapabilecekleri konularında bilinçli olmalıdır. Bilgi sistemleri ve alarının güvenlii açısından, riskler ve mevcut korunma yöntemleri konularındaki bilinç ilk savunma adımını oluturmaktadır. Bilgi sistem ve aları hem iç hem de dı risklerden etkilenebilir. Kullanıcılar güvenlik konusundaki eksikliklerin kontrolleri altındaki sistem ve alara büyük ölçüde zarar verebileceini bilmeli, birbirine balı ve baımlı olan sistemler nedeniyle dier kullanıcılara da zarar verebileceklerini 1 Bu Güvenlik Rehber lkelerine ek olarak OECD dünya bilgi toplumu açısından önemli olan dier konularda da tamamlayıcı nitelikte tavsiyelerde bulunmutur. Bu tavsiyeler, mahremiyet (1980 tarihli OECD Mahremiyetin Korunması ve Kiisel Bilgilerin Sınırlararası Akıına Yönelik Rehber lkeler) ve kriptografi (1997 tarihli OECD 6

7 unutmamalıdırlar. Kullanıcılar, sistemlerinin konfigürasyonu, güncelletirilmesi ve a içindeki yeri ile güvenlii artırmak için uygulayabilecekleri iyi örnekler ve dier kullanıcıların gereksinimleri konularında bilgi sahibi olmalıdır. 2) Sorumluluk Tüm kullanıcılar bilgi sistem ve alarının güvenliinden sorumludur. Yerel ve küresel bilgi sistemlerine ve alarına balı olan kullanıcılar, sistem ve aların güvenlii hususunda kendilerine düen sorumlulukların farkında olmalıdır. Kendilerine düen rollere uygun bir ekilde davranmalıdırlar. Kullanıcılar kendi politika, uygulama, önlem ve prosedürlerini düzenli olarak incelemeli ve uygun olup olmadıklarını deerlendirmelidir. Ürün ve hizmet salayan, gelitiren ve tasarlayan kullanıcılar, kullanıcıların ürün ve hizmetlerin güvenlik fonksiyonlarını daha iyi anlayabilmeleri ve bu konuda kendi sorumluluklarının bilincine varabilmeleri için sistem ve a güvenlii konusunu dikkate almalı ve güncelleme dahil gerekli bilgileri sunmalıdır. 3) Tepki Kullanıcılar, güvenlik tehditlerini önlemek, saptamak ve bunlara tepki verebilmek için ibirlii içinde ve zamanında eyleme geçmelidir. Kullanıcılar, bilgi sistem ve alarının birbirlerine balı olan yapısı ve potansiyel hasarların hızla ve geni kapsamda yayılabileceini göz önüne alarak, güvenlikle ilgili tehditler karısında ibirlii içinde olmalı ve zamanında müdahale etmeli; tehdit ve zayıf noktalar konusundaki bilgileri mümkün olduunca paylamalı, güvenlik tehditlerini önlemek, saptamak ve müdahale etmek amacıyla hızlı ve etkili bir ibirlii salamak için gerekli prosedürleri uygulamalıdırlar. zin verildii durumlarda sınır aan bilgi paylaımı ve ibirlii de buna dahil edilebilir. 4) Etik Kullanıcılar birbirlerinin yasal çıkarlarına saygı göstermelidir. Bilgi sistem ve alarının toplumumuzda ne kadar hızlı yaygınlatıı düünülürse, kullanıcıların eylemlerinin veya tepkisizliklerinin dierlerine zarar verebileceini bilmeleri gerekmektedir. Bu sebeple ahlaki davranılar çok önemli olup; kullanıcılar en iyi Kriptografi Politikasına Yönelik Rehber lkeler) ile ilgilidir. Güvenlik Rehber lkeleri bu tavsiyeler ile birlikte okunmalıdır. 7

8 uygulamaları gelitirmeye ve benimsemeye özen göstermeli, güvenlik ihtiyaçlarını göz önünde bulunduran davranıları tevik ederek, dier tarafların çıkarlarına saygı göstermelidir. 5) Demokrasi Bilgi sistem ve alarının güvenlii, demokratik toplumun temel deerleri ile uyumlu olmalıdır. Güvenlik uygulamaları, düünce ve ifade özgürlüü, bilginin serbest akıı, bilgi ve iletiimin güvenilirlii, kiisel bilginin korunması, açıklık ve effaflık gibi demokratik toplumlardaki deerler ile uyumlu bir ekilde yürütülmelidir. 6) Risk deerlendirmesi Kullanıcılar risk deerlendirmeleri yapmalıdır. Tehdit ve hassasiyetleri tanımlayan risk deerlendirmeleri, teknoloji, fiziksel ve insani etkenler, politikalar ve üçüncü taraf hizmetleri gibi önemli iç ve dı faktörleri kapsayacak ekilde geni bir tabana temil edilmelidir. Risk deerlendirmeleri kabul edilebilir risk seviyesinin belirlenmesini salar ve korunması gereken bilginin yapısı ve önemi dorultusunda, bilgi sistem ve alarının karı karıya olduu potansiyel zarar risklerini yönetmek için gerekli kontrollerin seçilmesine yardımcı olur. Bilgi sistemlerinin giderek daha balı bir hale gelmeleri nedeniyle risk deerlendirmeleri, dier kullanıcılardan kaynaklanan ya da onları etkileyebilecek potansiyel hasarları da göz önüne almalıdır. 7) Güvenlik tasarımı ve uygulama Kullanıcılar, güvenlii, bilgi sistem ve alarının önemli bir unsuru olarak ele almalıdır. Güvenlii optimum kılmak için sistemler, alar ve politikalar uygun ekilde tasarlanmalı, uygulanmalı ve koordine edilmelidir. Bu çabaların önemli bir parçası da, tanımlanmı tehdit ve hassasiyetlerden kaynaklanabilecek potansiyel hasarları engellemek ya da en aza indirmek için uygun korunma yöntemleri ve çözümlerinin tasarlanması ve benimsenmesidir. Hem teknik hem de teknik olmayan korunma yöntemleri ve çözümleri gerekmekte olup, bunlar, organizasyonun sistem ve alarında bulunan bilginin deeri ile orantılı olmalıdır. Güvenlik, ürün, hizmet, sistem ve aların temel bir unsuru olmalı ve sistem 8

9 tasarımı ve mimarisinin bölünmez bir parçası haline gelmelidir. Uç kullanıcılar için güvenlik tasarımı ve uygulanıı genelde kendi sistemleri için ürün ve hizmetleri seçmek ve yapılandırmak anlamına gelmektedir. 8) Güvenlik Yönetimi Kullanıcılar güvenlik yönetimi ile ilgili kapsamlı bir yaklaım benimsemelidir. Güvenlik yönetimi, risk deerlendirmesine dayalı ve kullanıcıların tüm faaliyet düzeylerini ve ilemlerinin her safhasını kapsayacak ekilde dinamik olmalıdır. Yeni tehditlere karı ileri görülü çözümler içermeli, sistem onarımı, bakım, inceleme ve arızalara karı önlem, saptama ve müdahale gibi konulara dikkat etmelidir. Bilgi sistem ve a güvenlik politikaları, uygulamaları, önlemleri ve prosedürleri tutarlı bir güvenlik sistemi oluturmak için koordine edilmeli ve bütünletirilmelidir. Güvenlik yönetimi gereksinimleri, katılım seviyesine, kullanıcının rolüne, riske ve sistem gereksinimlerine balıdır. 9) Yeniden deerlendirme Kullanıcılar bilgi sistem ve alarının güvenliklerini incelemeli ve yeniden deerlendirmeli; güvenlik ile ilgili politika, uygulama, önlem ve prosedürlerde gerekli deiiklikleri yapmalıdır. Sürekli olarak yeni ve deien tehdit ve hassasiyetler ortaya çıkmaktadır. Kullanıcılar, deien bu riskler ile mücadele etmek için güvenliin tüm unsurlarını devamlı olarak incelemeli, yeniden deerlendirmeli ve deitirmelidir. 9