Cahide ÜNAL Mart 2011

Transkript

1 Cahide ÜNAL Mart 2011

2 Bilgi, bir kurumun en önemli değerlerinden birisidir ve sürekli korunması gerekir. TS ISO IEC 17799:2005 2

3 BİLGİ TÜRLERİ Kağıt üzerine basılmış, yazılmış Elektronik olarak saklanan Posta ya da elektronik ortama aktarılmış Kurumsal videolarda gösterilen Söyleşiler sırasında sözlü olarak aktarılan

4 Temel Güvenlik Nesneleri Gizlilik (Confidentiality) Yetkisiz kişilere, süreçlere ve benzeri vb. açıklanmaması yada teslim edilmemesi gerekli veri ya da programların özelliği [Bilişim Sözlüğü, Bülent Sankur] Bozulmamışlık (Integrity) Programların sistemin ve verilerin kötü niyetli olsun olmasın değiştirlmesi ve bozulmasına karşı korunması ya da korunmuş olması [Bilişim Sözlüğü, Bülent Sankur] Kullanırlık (Availability) Bir sistem yada özkaynağın gereksinildiğinde kullanıma elverişli olma derecesi [Bilişim Sözlüğü, Bülent Sankur]

5 Saldırıya Uğrayabilecek Değerler Kurumun İsmi, güvenilirliği Kuruma ait gizli bilgiler İşin devamlılığını sağlayan bilgi ve süreçler Üçüncü şahıslar tarafından emanet edilen bilgiler Kuruma ait adli, ticari, teknolojik bilgiler

6 Görülebilecek Zararın Boyutu Müşteri Mağduriyeti Kaynakların Tüketimi İşin yavaşlaması ya da durması Kurumsak imaj kaybı Üçüncü şahıslara yapılan saldırı mesuliyeti

7 Dahili Tehdit Unsurları Bilinçsiz ve bilgisiz kullanım Kötü niyetli hareketler

8 Harici Tehdit Unsurları Saldırı Yöntemleri Hizmet aksatma saldırıları Ticari Bilgi ve Teknoloji hırsızlıkları Web sayfası içeriği değiştirme saldırıları Kurum üzerinden farklı bir hedefe saldırmak Virüs, worm, trojan saldırıları İzinsiz kaynak kullanımı

9 Bilgi Güvenliği Bilgi sistemi ve yetkili kullanıcıyı yetkisiz erişimlere, bilginin değiştirilmesine ve saldırılara karşı korumak. Koruma sırasında gerekli olan kontrollar ve ölçümlerin tespiti, doküman hale getirilmesi ve karşı tedbirlerin alınmasını sağlamak.

10 TS ISO IEC Bilgi sistemlerini ve ağları bilgisayar destekli sahtekârlık, casusluk, sabotaj, yıkıcılık, yangın ve sel gibi çok geniş kaynaklardan gelen tehdit ve tehlikelerden korur. Bilginin gizliliği, güvenilirliği ve elverişliliği; rekabet gücünün, nakit akışının, karlılığın, yasal yükümlülüklerin ve ticari imajın korunması ve sürdürülmesini sağlar.

11 TS ISO IEC GİRİŞ 1- KAPSAM 2- ATIF YAPILAN STANDARTLAR VE/VEYA DOKÜMANLAR 3- TERİMLER VE TARİFLER 4- BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ 5- YÖNETİM SORUMLULUĞU 6- BGYS İÇ DENETİMLERİ 7- YÖNETİM GÖZDEN GEÇİRMESİ 8- BGYS İYİLEŞTİRME Ek A: KONTROLLER

12 TS ISO IEC BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ 4-1 Genel Gereklilikler Kuruluş, belgelendirilen bir BGYS ni, kuruluşun tüm ticari faaliyetleri ve riskleri bağlamında gerçekleştirir, geliştir, sürdürür ve sürekli iyileştirir. Bu standardın bir gereği olarak, kullanılan süreç PUKO modeline dayanır.

13 TS ISO IEC BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ BGYS Kurma ve Yönetme -Kapsamın Belirlenmesi -Politikanın Tanımlanması -Risk Değerlendirme Yaklaşımı -Risklerin Tanımlanması -Risklerin Değerlendirilmesi -Risklerin İyileştirilmesi

14 TS ISO IEC Dokümantasyon Şartları a) Güvenlik politikası b) BGYS ni destekleyici prosedür ve kontroller c) Risk Değerlendirme Raporu d) Risk iyileştirme Planı e) Gereksinim duyulan prosedürler f) Kayıtlar g) Uygulanabilirlik Beyannamesi

15 BGYS Gözden Geçirmesi TS ISO IEC Yönetimin Sorumluluğu 5-1 Yönetimin Taahhüdü Politika oluşturma Amaçların ve planların kurulması Rollerin ve Yetkilerin Belirlenmesi Bilinçlilik Kaynakların Sağlanması Risk seviyelerinin belirlenmesi

16 TS ISO IEC Kaynak Yönetimi Kaynak Sağlanması BGYS ni Kurmak, Gerçekleştirmek, İşletmek ve Sürdürmek İş gereksinimlerini sağlamak Yasal şartları yerine getirmek Gözden geçirmek ve iyileştirmek için gerekli kaynaklar

17 Belgelendirmenin gerçekleşmesi Uygulama Süreci Kapsamın Tanımlanması Ekip oluşturulması ve Stratejinin Belirlenmesi Eğitim İhtiyacının Değerlendirilmesi Bilgi varlıklarının saptanması Bilgi varlıklarının değerinin belirlenmesi Risk belirlenmesi Kontrollerden istenen güvence derecesinin belirlenmesi Kontrol Hedeflerinin ve Kontrollerin Saptanması Dokümantasyonun hazırlanması Prosedürlerin ve dokümanların uygulamaya alınması İç Denetimlerin yapılması Yönetimin Gözden Geçirilmesinin yapılması Belgelendirme için başvuru

18 RİSK ANALİZİ ve RİSK YÖNETİMİ TS ISO IEC UYGULAMASI VE BELGELENDİRMESİ RESMİ BİR RİSK DEGERLENDİRMESİ SÜRECİNİN SONUÇLARINA BAĞLIDIR.

19 TS ISO IEC kapsamında risklerin değerlendirilmesi ve denetimlerin seçimi Kuruluş, oluşturulan ve sürdürülen BGYS kapsamında tanımlanan bilgi sistemleri için risk altında bulunan bilgi ve diğer varlıkların iş sahasındaki değerini dikkate alarak kendi güvenlik risklerinin değerlendirilmesine ihtiyaç duyar. Kuruluşun kendi iş özelliği ve ortamıyla ilişkili olan kuruluş tarafından seçilen ve BGYS tarafından yazılı hale getirilen denetim hedefleri ve denetimleri; bir risk değerlendirme prosesi kullanılarak güvenlik risklerinin tanımlanması ve değerlendirilmesi prosesiyle belirlenmesi şeklinde olmalıdır.

20 Risk Değerlendirme Prosesi Risk değerlendirmesi aşağıdaki faktörlere bağlıdır: Varlıkların tanımlanması ve değer atanması Tehditler, açıklıklar, yasal ve iş gereksinimleri gibi tüm güvenlik gereksinimlerinin tanımlanması Olması muhtemel tehditler ve açıklıklar ile yasal ve iş gereksinimlerinin öneminin değerlendirilmesi Yukarıda sayılan faktörlerden çıkarılan riskin hesaplanması Uygun risk giderme biçiminin seçimi Riskleri kabul edilebilir bir seviyeye indirgemek için kontrollerin seçimi.

21 Varlık (Asset) Varlığın, risk analizi konseptindeki tanımı, korunması gereken herşeydir. Bilgi teknolojilerinde, tüm varlıkların bir sahibi vardır. Risk analizinde, varlıklar, somut ya da soyut olabilir. Donanım ve insan somut, yazılım, veri ve politikalar ise soyut varlıklardır. Açıklık (Vulnerability) Bir varlığı tehditlere karşı korumasız hale getiren kusurlardır. Bir bilgi sistemi varlığı için açıklık, varlığın programlamasındaki hatalar olabileceği gibi, doğal etkenlere (toz, nem, güneş ışığı, yangın, vb) karşı korumasız durumda olması da olabilir.

22 Tehdit (Threat) Bir bilgi varlığındaki açıklıkları kullanarak varlığa kısmen ya da tamamen zarar veren etkenlere tehdit denilmektedir. Bilgi sistemlerine zarar verebilecek üç tip tehdit vardır. Bunlar, doğal tehditler, kasıtsız tehditler ve kasıtlı tehditlerdir. Doğal tehditler, genel olarak insan faktöründen kaynaklanmayan, sel, yıldırım, yangınlar gibi tabiat olaylarıdır. Kasıtsız tehditler, insan faktöründen kaynaklanan ancak bilerek yapılmayan tehditlerdir. Bir kurum ağındaki zararlı kullanıcı aktiviteleri kasıtsız bir tehdit sayılabilir. Kasıtlı tehditler ise, kasıtsız tehditler gibi insan faktöründen kaynaklanır, ancak belli bir amaca yönelik olarak bilerek yapılırlar.

23 Tehdit Örnekleri Bomba saldırısı İletişim hatlarına / kablolarına zarar verilmesi Saklama ortamının tahrip edilmesi Deprem Dinleme (tele-kulak) Sıcaklık ve nemdeki anormal değişiklikler Yangın Yazılımın yasa dışı biçimde kullanımı Kötü niyetli yazılımlar (virüsler, kurtlar, Truva atları) Kullanıcı kimliğinin maskelenmesi Mesajların yanlış yönlendirilmesi Hırsızlık Ağ şebekesinin yetki dışı kullanımı Bilerek zarar verme Yazılım arızası Ağ şebekesinin yetki dışı kullanımı

24 Karşı Önlem (Safeguard, Security Measure) Bir varlıkta bulunan açıklıkları kullanan tehditlerin verdiği zararı sıfırlamak ya da azaltmak amacıyla alınan tedbirlere karşı önlem denir. Karşı önlemler arasında, güvenlik yamaları, güvenilir ürünler, güvenlik politikaları, konfigürasyon düzenlemeleri, tasarım, güvenlik yazılımları, donanımlar, eğitimler, kişilere sorumluluk yükleme ve izleme sayılabilir. Risk Risk, zarara yol açan ya da zarar verme kapasitesi olan kişi ya da nesne olarak tanımlanmaktadır. Riskin önceki başlıklar altında değinilen varlık, açıklık ve tehdit kavramları bağlamındaki bir diğer tanımı bir kıymetteki bir açıklığın bir tehdit tarafından kullanılma ihtimalidir şeklindedir.

25 Risk Analizi Risk analizi, sonucu itibariyle güvenlik ihlallerine neden olan risklerin ortaya konması ve yorumlanması işlemidir. Risk analizi kendi içerisinde uzun ve ayrıntılı bir prosesdir. Risk analizinde ilk olarak bilgi sisteminde varolabilecek tüm varlıkların, bu varlıklardaki açıklıkların ve bu varlıkları etkileyebilecek tüm tehditlerin ortaya konması yapılır. Ayrıca, halihazırda mevcut olan karşı önlemler incelenir. Daha sonraki aşamada ortaya konulmuş olan varlık, açıklık, tehdit ve karşı önlemlerinin değerlendirilmesi işlemi yapılır. Değerlendirilmiş varlık, açıklık, tehdit ve karşı önlem değerleri girdi olarak alınıp, çeşitli metodlar kullanılarak risk değeri bulunur.

26 Risk Yönetimi (Risk Management) Risk yönetimi, risk analizi sonucunda ortaya konan ve yorumlanan risklerin önüne geçmek ve/veya azaltmak amacıyla uygun, maliyet etkin karşı önlemlerin alınması işlemidir. Risk analizi sonuçlarına göre, risk yönetimi dört farklı işten birini yapabilir. Risk yüksektir, karşı önlemler yoktur ya da çok pahalıdır. Varlık kullanılmaz. Uygun karşı önlemler alınarak risk düşürülebilir. Karşı önlemlerin alınmasının maliyeti, riskin açacağı zarardan çok daha fazla olduğu için risk önemsenmeyebilir. Varlılar sigortalanarak risk transfer edilebilir.

27 Risk Analizinin ve Yönetiminin Yararları

28 Risk Analizinin ve Yönetiminin Yararları Kurumun yazılı prosedür ve politikalarının olmasını ya da olgunlaşmasını sağlar. Kurum çalışanlarının ve bilgi işlem personelinin bilgi güvenliği konusunda bilgi sahibi olmasını sağlar. Bir kurum yönetiminin de bilgi teknolojileri güvenliği konusunda bilgi sahibi olmasını ve bu konularda karar vermesini sağlar. Risk analizi prosesinin ilk kısmında yapılan varlık analizi sonuçlarının kurumun yazılım ve donanım envanterlerinin yenilenmesinde yardımcı olur.

29 RİSK DEĞERLENDİRMESİ ÖRNEĞİ 1. RİSK ANALİZİ VARLIK BELİRLEME VARLIĞA DEĞER ATANMASI AÇIKLIK BELİRLEME TEHDİT BELİRLEME TEHTİDİN ETKİSİ RİSK HESAPLAMASI 2. RİSK YÖNETİMİ 29

30 KONTROL MADDELERİ

31 TS ISO IEC Standardı Kontrol Maddeleri A.5 Güvenlik Politikası: A.5.1 Bilgi Güvenliği Politikası: Bilgi güvenliği için, iş gereksinimleri ve ilgili yasa ve düzenlemelere göre yönetim yönlendirmesi ve denetimi sağlamayı amaçlamaktadır. 31

32 TS ISO IEC Standardı Kontrol Maddeleri A.6 Bilgi Güvenliği Organizasyonu A.6.1 İç Organizasyon: Kuruluş içerisindeki bilgi güvenliğini yönetmek. A.6.2 Dış Taraflar: Kuruluşun dış taraflarca erişilen, işlenen, iletişim kurulan veya yönetilen bilgi ve bilgi işleme olanaklarının güvenliğini sağlamak. 32

33 TS ISO IEC Standardı Kontrol Maddeleri A.7 Varlık Yönetimi A.7.1 Varlıkların Sorumluluğu: Kurumsal varlıkların uygun korumasını sağlamak ve sürdürmek. A.7.2 Bilgi Sınıflandırması: Bilgi varlıklarının uygun seviyede koruma almalarını sağlamak. 33

34 TS ISO IEC Standardı Kontrol Maddeleri A.8 İnsan Kaynakları Güvenliği A.8.1 İstihdam Öncesi: Çalışanlar, yükleniciler ve üçüncü taraf kullanıcıların kendi sorumluluklarını anlamalarını ve düşünüldükleri roller için uygun olmalarını sağlamak ve hırsızlık, sahtecilik ya da olanakların yanlış kullanımı risklerini azaltmak. 34

35 TS ISO IEC Standardı Kontrol Maddeleri A.8.2 Çalışma esnasında: Tüm çalışanlar, yükleniciler ve üçüncü taraf kullanıcıların bilgi güvenliğine ilişkin tehditler ve kaygıların ve kendi sorumluluklarının farkında olmalarını ve normal çalışmaları sırasında kurumsal güvenlik politikasını desteklemek ve insan hatası riskini azaltmak üzere donatılmalarını sağlamak. A.8.3 İstihdamın sonlandırılması veya değiştirilmesi: Çalışanlar, yükleniciler ve üçüncü taraf kullanıcıların düzenli bir şekilde kuruluştan ayrılmalarını veya istihdamın değiştirilmesini sağlamak. 35

36 TS ISO IEC Standardı Kontrol Maddeleri A.9 Fiziksel ve Çevresel Güvenlik A.9.1 Güvenli alanlar: Kuruluş binalarına, ünitelerine ve bilgilerine yetki dışı fiziksel erişimi, hasarı ve müdahaleyi engellemek. A.9.2 Teçhizat güvenliği: Varlıkların kaybını, hasarını, çalınmasını ya da tehlikeye girmesini ve kuruluşun faaliyetlerinin kesintiye uğramasını engellemek. 36

37 TS ISO IEC Standardı Kontrol Maddeleri A.10 Haberleşme ve işletim yönetimi A.10.1 Operasyonel prosedürler ve sorumluluklar: Bilgi işleme olanaklarının doğru ve güvenli işletimini sağlamak. A.10.2 Üçüncü taraf hizmet sağlama yönetimi: Üçüncü taraf hizmet sağlama anlaşmalarıyla uyumlu olarak uygun bilgi güvenliği ve hizmet dağıtımı seviyesi gerçekleştirmek ve sürdürmek. 37

38 TS ISO IEC Standardı Kontrol Maddeleri A.10.3 Sistem planlama ve kabul: Sistem başarısızlıkları riskini en aza indirmek. A.10.4 Kötü niyetli ve mobil koda karşı koruma: Yazılım ve bilginin bütünlüğünü korumak. A.10.5 Yedekleme: Bilgi ve bilgi işleme olanaklarının bütünlüğünü ve kullanılabilirliğini sağlamak. 38

39 TS ISO IEC Standardı Kontrol Maddeleri A.10.6 Ağ güvenliği yönetimi: Ağdaki bilginin ve destekleyici alt yapının korunmasını sağlamak. A.10.7 Ortam işleme: Varlıkların yetkisiz ifşa edilmesi, değiştirilmesi, kaldırılması veya yok edilmesini ve iş faaliyetlerinin kesintiye uğramasını önlemek. A.10.8 Bilgi değişimi: Bir kuruluş içindeki ve herhangi bir dış varlık ile değiştirilen bilgi ve yazılımın güvenliğini sağlamak. 39

40 TS ISO IEC Standardı Kontrol Maddeleri A.10.9 Elektronik ticaret hizmetleri: Elektronik ticaret hizmetlerinin güvenliğini ve bunların güvenli kullanımını sağlamak. A İzleme: Yetkisiz bilgi işleme faaliyetlerini algılamak. 40

41 TS ISO IEC Standardı Kontrol Maddeleri A.11 Erişim kontrolü A.11.1 Erişim kontrolü için iş gereksinimi: Bilgiye erişimi kontrol etmek. A.11.2 Kullanıcı erişim yönetimi: Bilgi sistemlerine yetkili kullanıcı erişimini sağlamak ve yetkisiz erişimi önlemek. A.11.3 Kullanıcı sorumlulukları: Yetkisiz kullanıcı erişimini ve bilgi ve bilgi işleme olanaklarının tehlikeye atılmasını ya da çalınmasını önlemek. 41

42 TS ISO IEC Standardı Kontrol Maddeleri A.11.4 Ağ erişim kontrolü: Ağ bağlantılı hizmetlere yetkisiz erişimi önlemek. A.11.5 İşletim sistemi erişim kontrolü: İşletim sistemine yetkisiz erişimi önlemek. A.11.6 Uygulama ve bilgi erişim kontrolü: Uygulama sistemlerinde tutulan bilgilere yetkisiz erişimi önlemek. A.11.7 Mobil bilgi işleme ve uzaktan çalışma: Mobil bilgi işleme ve uzaktan çalışma hizmetlerini kullanırken bilgi güvenliğini sağlamak. 42

43 TS ISO IEC Standardı Kontrol Maddeleri A.12 Bilgi sistemleri edinim, geliştirme ve bakımı A.12.1 Bilgi sistemlerinin güvenlik gereksinimleri: Güvenliğin bilgi sistemlerinin dahili bir parçası olmasını sağlamak. A.12.2 Uygulamalarda doğru işleme: Uygulamalardaki bilginin hatalarını, kaybını, yetkisiz değiştirilmesini ve kötüye kullanımını önlemek. 43

44 TS ISO IEC Standardı Kontrol Maddeleri A.12.3 Kriptografik kontroller: Bilginin gizliliğini, aslına uygunluğunu ya da bütünlüğünü kriptografik yöntemlerle korumak. A.12.4 Sistem dosyalarının güvenliği: Sistem dosyalarının güvenliğini sağlamak. 44

45 TS ISO IEC Standardı Kontrol Maddeleri A.12.5 Geliştirme ve destekleme proseslerinde güvenlik: Uygulama sistem yazılımı ve bilgisinin güvenliğini sağlamak. A.12.6 Teknik açıklık yönetimi: Yayınlanmış teknik açıklıkların istismarından kaynaklanan riskleri azaltmak. 45

46 TS ISO IEC Standardı Kontrol Maddeleri A.13 Bilgi güvenliği ihlal olayı yönetimi A.13.1 Bilgi güvenliği olayları ve zayıflıklarının rapor edilmesi: Bilgi sistemleri ile ilişkili bilgi güvenliği olayları ve zayıflıklarının zamanında düzeltici önlemlerin alınabilmesine izin verecek şekilde bildirilmesini sağlamak. A.13.2 Bilgi güvenliği ihlal olayları ve iyileştirmelerin yönetilmesi: Bilgi güvenliği ihlal olaylarının yönetimine tutarlı ve etkili bir yaklaşımın uygulanmasını sağlamak. 46

47 TS ISO IEC Standardı Kontrol Maddeleri A.14 İş sürekliliği yönetimi A.14.1 İş sürekliliği yönetiminin bilgi güvenliği hususları: İş faaliyetlerindeki kesilmeleri önlemek ve önemli iş proseslerini büyük bilgi sistemleri başarısızlıklarından ya da felaketlerden korumak ve bunların zamanında devam etmesini sağlamak. 47

48 TS ISO IEC Standardı Kontrol Maddeleri A.15 Uyum A.15.1 Yasal gereksinimlerle uyum: Her türlü hukuka, yasal, düzenleyici ya da sözleşmeye tabi yükümlülüklere ve her türlü güvenlik gereksinimlerine ilişkin ihlalleri önlemek. 48

49 TS ISO IEC Standardı Kontrol Maddeleri A.15.2 Güvenlik politikaları ve standartlarla uyum ve teknik uyum: Sistemlerin kurumsal güvenlik politikaları ve standartlarıyla uyumunu sağlamak. A.15.3 Bilgi sistemleri denetim hususları: Bilgi sistemleri denetim prosesinin etkinliğini artırmak ve müdahaleleri azaltmak. 49

50 Teşekkür ederim