Risk ve Threat Analizi kabiliyetlerinin organizasyon icinde islerlik kazanmasi ve degerlendirme kabiliyetinin kazandirilmasi

Transkript

1 OCTAVE, 1999 temmuz ayinda CERT, DoD, DISA, NCS ve USAF tarafindan Bilgi Guvenligi Risk Degerlendirme metod`u olarak buyuk organizasyonlar icin olusturuldu. Esas amaci US Agency ve Department`larin bu metodolijiyi kullanmasiydi. Henuz cok yeni olan ve 2002 sonunda OCTAVE-S olarak daha gelismis surumun cikarilacagi duyurulan Octave Sekiz adet kisimdan olusuyor. Octave Asset tabanli Bilgi Guvenligi degerlendirme sistemidir bu baglamda iki tane temel konuya focus olmustur; Bilgi Temelli Asset`lerin tanimlanmasi Risk ve Threat Analizi kabiliyetlerinin organizasyon icinde islerlik kazanmasi ve degerlendirme kabiliyetinin kazandirilmasi olarak iki bolume ayrildi. Bu bolumler ISE(Information Security Evaluation) ve SRE(Software Risk Evaluation) olmak uzere 2 temel uzerinde olgunlastirildi. OCTAVE`i olusturuken gececegimiz 3 ana bolum ise; Asset tabanli tehdit profillerinin olusturulmasi Alt yapi zayifliklarin tanimlanmasi Guvenlik Strateji ve Plan`larin gelistirilmesi Izleyecegimiz Degerlendirme Duzeni; OCTAVE Metod Hazirliklari: Organizasyon tarafindan sponsorship(owner) ve Core Team`in olusturulmasi, OCTAVE icin takvim ve planlarin yapilmasi. Core team calismaya hazir oldugunda; Degerlendirme icin gerekli gozlem ve analizlerin yapilmasi

2 Katilimcilarin Organizasyon icinden cesitli kesimlerden olusumun saglanmasi Workgroup`larin olusturulmasi ve aktiviteler icin takvimin belirlenmesi Lojistik ihtiyaclarinin koordine edilmesi Iyilestirmeler: Yapilan Audit ve Degerlendirme calismalari sonunda gerekli iyilestirmelerin uygulanmasi Ust Duzey Yonetici Aciklamasi : Ust duzey yoneticilerin gorev ve sorumluklarunin role ve asset tabanli olarak yaniden kazandirilmasi. Sonuc Aciklamasi: Gorev, Sorumluluklar ve Organizasyon`nun Infosec acisindan konumu, semasi ve role ve gorev tanimlarinin sirket personeline atanmasi ve deklerasyonu. Sponsorship: Octave`icin karar ve yeni organizasyonu olusacak yetki sahibi olan ust duzey yoneticilerden olusacak olan gurup. Core Team Gibi Sponsor Team`in uygulancak prosedur`lerden haberdar olmasi gerekiyor. Katilimci ornegi: Yonetim Kurulu, Genel Mudur, Finans Direktoru, Yazilim Direktoru, Is Gelistirme Direktoru gibi organizasyonda yetki sahibi kisilerden olusmasi gerekiyor. Bu gurubun diger bir ozelligi ise Organizasyonda bu calismanin devamini, workshop`larin olusumunu, disiplinin saglanmasi, katilimcilarin katiliminin saglanmasi, katilimcilarin calismaya tesvik ve ikna edilmesi gibi cok onemli temel sorumluluklari kendi icerisinde barindiriyor. **NOT**: Eger ust duzey yoneticilerdeki bazi kabiliyetler Core Team`da yer almasini gerektiriyorsa Sponsor Team`deki yerini sectigi bir kisiye vekalet etmek suretiyle Core Team`in icinde yer alabilir. Genel Sorumluluklari Gorunur olmak, aktivitenin devamliligini saglamak Katilimcilari aktivite icin tesvik etmek Butun aktiviteyi yetkilendirmek ve bunu onaylamak Core Team`in ihtiyaclarini giderilmesi icin gerekli onay, izin mekanizmasini olusturmak, saglamak ve Core Team`i bu konuda yetkilendirmek Degerlendirme sonucunu gozden gecirmek, sonuclara ve/veya kararlarin alinmasini saglamak Core Team Aktivitenini yonetmenligini ve degerlendirmenin yonunu, amacini tayin edecek organizasyonda kendi islerine uzman ve yetki sahibi kisilerin olusturdugu exper guruptur. Core Team ayni zamanda katilimcilarin secimi gorevini`de ustlenir ve sponsor team`in yukaridaki sorumluklarini yerine

3 getirmesi icin gerekli ortami olusturur. Ek olarak Eger Istenilirse, Core Team ve Sponsor gurup hep birlikte butun katilimcilarin olusutulmasini ve onlarin rollerinin olusturulmasini saglayabilirler. Onemli olan Degerlendirmenin yonetim ve yonetmenligini zannedilenin aksine sponsor team yerine core team yapiyor olmasidir. Sponsor team genelde saglayici, duzenleyici ve guard gorevini ustlenir. Core Team Min 3 Max 5 kisiden olusur Is Gelistirme/Misyon/Vizyon `u IT/Savunma sektorlerinin yapisana gore degerlendirebilecek persvektifte IT ve Savunma Sektorlerin Business ve Process yapisi hakkinda bilgi sahibi Iyi iletisim ve yaraticilik ozelliklerine sahip olmasi Efor ve gonullu olarak bu iste calisacak yapida olmasi Core Team`in Rolleri ve Sorumluluklari Sponsor Team`in de fikri alinarak (onay degil) degerlendirmenin asagida ornek olarak verilen parcalarini olusturmak, katilimcilari belirlemek ve takvimi olusturmak Sponsor Team`i koordine ederek zayiflik analizlerini Organizasyon ve Teknoloji acisindan gerceklestirmek. Degerlendirme suresince datalarin toplanmasi, analiz edilmesi, maintain edilmesini saglanmasi. Degerlendirme aktivitelerinin tasarim/yonetmenligini yapar. Degerlendirme yapilirken gereken durumlarda fonksiyonlarin/kisilerin degisimini yapar. Aktivite icinde Sponsor Team ve diger katilimcilar uzerinde yetki sahibidir. Ancak fonksiyon/kisi degisiklerini Sponsor team`e gecerli reasoning sunarak bunu gerceklestirebilir. Lojistik ihtiyaclarinin koordine edilmesini saglar Core Team Uyelerinin Diger Rolleri Degerlendirme sonucunda olusumlari takip edecek duzeyde gorus sahibi. Iletisim kurma kabiliyetleri gelismis Analitik dusunebilen Sponsor Team ile ortak platformda caliscabilecek

4 Organizasyonun Is gelistirme/kurma yapisini algilamis Bilgi Sistemlerinin nasil monitor edilebilecegi konusunda bilgi sahibi Organizasyonun Cevresel Bilgi sistemleri ve network topology`sine hakim Genel vulnerability ve exploit mimarileri hakkinda bilgi sahibi (Audit Sonrasi) Organizasyonda mantiksal/teknoloji tabanli zayifliklarinin sonuclarini degerlendirme kabiliyetine sahip Organizasyon ve Stratejik planlama konusunda deyimli Lojistik Core Team Lojistik ihtiyaclarini koordine eder. Belirlenen bir(1) kisi tarafindan bu ihtiyaclar giderilir. Bu kisi Core Team`in disindaki bir kisidir disaridan sadece yonetilir/yonlendirilir, Core Team uyesi degildir. Sorumluluklari Ulasim, Toplanti odalarinin, projektor`un, kirtasiye vs gibi ihtiyaclarinin koordine edilmesi. Workshop ve toplantilarin ayarlanmasi Birbiriyle calisan yer degistiren toplanti veya diger faailiyetlerin koordine edilmesi Core Team ve Lojistik Guruplarinin Zaman Takvimi Core Team Lojistik 1-2 gun hazirlik 7 gun workshoplar (gerekiyorsa ekstra workshoplar ilave edilebilinir) 2-4 gun workshop disi lokal calisma 1-5 gun zayiflik analizleri, abnormal sistem aktivasyonuvs. gibi IDS testleri 1/2 gun aktivitelere hazirlik ve genel bilgilendirme Her Workshop oncesi 2-3 saat workshop ve lojistik ihtiyaclarina yonelik on hazirlik Aktiviteler boyunca lojistik personeline on-call erisim Aktiviteler icin Gerekli dokumantasyon ve bilginin edinilmesi/saglanmasi/arastirilmasi

5 Gecerli(en son) Organizasyon Semasinin ve Gorev tanimlarinin cikartilmasi Bilgisayar yazilim ve donanim listelerinin cikartilmasi Kullanilan Isletim sistemi ve uzerlerinde Major Uygulamalarin detayli listesinin hazirlanmasi Detayli Network Diagram/Topoloji Planlarinin hazirlanmasi Guvenlik Politika Dokumanlarinin hazirlanmasi Guvenlik Prosedur Dokumanlarinin hazirlanmasi Organizasyonun Fiziksel Mimari Bilgileri ve Cevresel Planlarinin cikartilmasi. Binalarin fiziksel fizibilite calismalarinin raporu Gecerli (en son) Guvenlik Egitim ve oryantasyon dokumanlarinin temin edilmesi Routers/Firewall/IDS Konfigurasyon Tablolarinin cikartilmasi Audit ve Zayiflik Raporlarinin hazirlanmasi Server ve Diger araclarin Konfigurasyon tablolarinin cikartilmasi (Http Server, Mail Server vss) Bilinen guvenlik zayifliklari ile ilgili haber ve Advisories kaynaklarina erisimin saglanmasi Zayiflik Degerlendirmesi icin gerekli tool/checklist/scriptlistlerin asagidaki yapilar icin spesifik olarak hazirlanmasi; Isletim Sistemleri Uygulamalar Fiziksel Guvenlik Lojistik Ihtiyaclarinin Koordine Edilmesi Bu bolumde Lojistik, Ihtiyaclari ve Planlamasi anlatilmaktadir. Lojistik bolumu; Lojistik Tabanli ihtiyaclarin aktiviteler icin belirlenmesi Sponsor Team, Core Team ve diger katilimcilarin aktiviteleri gerceklestircekleri fiziksel ortamin ihtiyaclara gore saglanmasi ve lojistik ihtiyaclarinin

6 giderilmesi Toplanti ve workshoplarin gun saat olarak takvim`nin yapilmasi Workshop ve toplantilarin yapilacagi odalarin belirlenip ihtiyac duyulan spesifik ekipman ve diger ihtiyaclarin giderilmesi(yemek vs gibi)

7 Hazirlik Bolumu Katilimci ve Sponsor Team`e aktivite hakkinda bilgi verilmesi ve NDA imzasi Genel aktivite gorusu ve amacinin katilimcilara aktarilmasi Aktiviteler icin Genel Takvimin Sirketin Is durumu baz alinarak cok fazla zorlamiyacak sekilde hazirlanmasi/gelistirilmesi Aktivite takviminin olusuturulmasi ve katilimcilarin(ve/veya guruplarin) bilgilendirilmesi Aktiviteleri yurutmek Sonuclarin kayit edilmesi Detaylandirilmis takvimin sponsor team ile gozden gecirilmesi. Bolum 1: Asset tabanli tehdit profillerinin olusturulmasi Birinci bolum dort adet workshop ve bir adet briefing`den olusuyor; Ilk Workshop Ust duzey yoneticilerin rol, kabiliyet ve sorumluklar acisindan check/tanimlanmasi Ikinci Workshop Operasyonel yonetim/is Gelistirme faaliyetlerinin check/tanimlanmasi Ucuncu Workshop Bilisim/Savunma sektorlerindeki yapi ve organizasyondaki kisilerin rol,kabiliyet ve sorumluluklar acisindan check/tanimlanmasi Dorduncu Workshop Ilk uc Workshop daki sonuclarin: Organizasyonel yapi, Asset, Threat ve guvenlik stratejilerinin zayifliklar temel alinarak iyilestirilmesi ve

8 uygulanabilir politika haline getirilmesi Workshop 1: Ust duzey yoneticilerin rol, kabiliyet ve sorumluklar acisindan check/tanimlanmasi Toplanti takviminin olusuturulmasi ve katilimcilarin bilgilendirilmesi Aktivitenin yurutulmesi Workshop 2: Operasyonel yonetim/is Gelistirme faaliyetlerinin check/tanimlanmasi Toplanti takviminin olusuturulmasi ve katilimcilarin bilgilendirilmesi Aktivitenin yurutulmesi Workshop 3: Bilisim/Savunma Toplanti takviminin olusuturulmasi ve katilimcilarin bilgilendirilmesi Aktivitenin yurutulmesi Workshop 4: Tehdit Profillerinin yaratilmasi Toplanti odasinin Tahsis Edilmesi Aktivitenin yurutulmesi Sonuclarin Kayit edilmesi

9 Bolum 2: Alt yapi zayifliklarin tanimlanmasi Ikinci bolum iki workshop ve Zayiflik Degerlendirme calismasindan olusuyor. Amaci; Bilgi teknolojilerinin icerdigi zayifliklarin tespit edilip gerekli iyilesitmelerin yapilmasi ve organizasyon asset`lerin guclerindilmesini amaclamaktadir. Workshop 5: Organizasyonun onemli bilesenlerinin tanimlanmasi IT/Savunma sektorunden personelin cagrilmasi Aktivitenin yurutulmesi Zayiflik degerlendirmesi icin takvimin olusutrulmasi, uygulanacak kurallar icin haklarin kazanilmasi, aktivitelere katilmis butun personelin son durum hakkinda bilgilendirilmesi Process 6: Secilen Bilesenlerin Degerlendirilmesi On Calisma: Katilim; Core Team,Sponsor Team, Diger katilimcilar, bilgi sistemlerinin esas kullanicilari ve disardan davet edilen kisiler(danisman,gozetmen)`den olusabilir. Workshoplar`dan once, Zayiflik Degerlendirmesi icin ihtiyac duyulan tool, checklist veya script`ler olusturulmasi gerekmektedir. Zayiflik Degerlendirmesine katilacak olan kisiler(core Team veya onun atadiklari) Workshop`dan once konular hakkinda gozlem ve analiz yapmasi gerekmetedir. Workshop boyunca katilimcilar zayiflik degerlendirme sonuclarini Organizasyona uygunlugu acisindan Core Team ile birlikte tartismasi/degerlendirmesi gerekmektedir. Hepbirlikte hangi action`larin alinacagina karar verilmesi gerekmektedir. On calisma aktivitesi Zayiflik Degerlendirmesi, atak tespit toolari`nin sonuclariylada desteklenerek yukaridaki calismanin icine alinmalidir. Calismalar bittiginde, IT personeli veya core team uyeleri degerlendirme/aktivitenin tool ihtiyaclarin takvimi cikartilir. Sonuc olarak gerceklestirilecek olan bu aktivite ve secilen bilesenler organizsayonun altyapisini ve kendisini olusturacaktir. Zayiflik Dergerlendirmesi icin yeni takvimin olusuturulmasi Analiz`lerin cikartilan organizasyon kritik asset

10 profilleri baz alinarak yapilmasi Phase 3 : Guvenlik Strateji ve Planlarini Gelistirilmesi Bolum 7: Risk Analizi Aktivitenin yurutulmesi ve ihtiyac duyulan diger katilimcilarin davet edilmesi Katilimin saglanmasi Bolum 8: Guvenlik Stratejilerinin Gelistirilmesi Core Team Sorumluklari Ihtiyac duyulan diher katilimcilarin davet edilmesi Aktivitenin Yurutulmesi Prezentasyon ve Tartismalarin Sponsor Team ile birlikte Hazirlanmasi Sponsor team ile birlikte sonuclarin tartisilmasi Sonuc Aciklamasi Katilimin yurutulmesi ve butun katilimcilarin katiliminin gerceklesmesi

11 Sponsor Team ve Diger Ust Yoneyime Sonucun Yazili ve Prezantasyon esliginde sunulmasi