TSE-TBD BLG GÜVENL VE YAZILIM KALTES SEMPOZYUMU 2007 March 2007 Symposium of the Turkish Standart Enstitute for IT-Security, Compliance Information Technology, Software Product Evaluation, Quality, Characteristics, PH.D. (economics) Bilgi Güvenlii Yönetimi, Hizmet Yönetimi ve Risk Yönetiminde küresel BT Uyumluluk gereklerini karılayabilmek için ulusal baarı faktörleri Critical Success Factors- How to meet the global IT Compliance requirements on Information Security Management, Service Management and Risk Management This presentation is in English and Turkish
Biliim Suçları ile mücadeleye Mevzuat/Regulations Tek Baına Yetmez! - China spioniert bei der Jagd nach deutschem Know-how laut Verfassungsschutz immer häufiger die Computer von Firmen aus. 'In letzter Zeit haben wir verstärkt chinesische Hackerangriffe festgestellt', sagte der Vizepräsident des Bundesverfassungsschutzes, Hans Elmar Remberg, der 'Financial Times Deutschland'." Welt 9.2.07 S. 12 - Chinesische Hacker spionieren bei der Jagd nach deutschem Know-how laut Verfassungsschutz immer häufiger die Computer von Firmen aus. Besonders gefährdet sei der deutsche Mittelstand. Neben den Chinesen versuchten auch vermehrt Russen, durch Industriespionage an das Wissen deutscher Unternehmer zu kommen." MoPo 9.2.07 S. 1 - "Ziemlich zahnlos / Chinesischen Hackern können deutsche Gesetze wenig anhaben - A large gang of phishers has been disbanded in Turkey following an investigation by the authorities in the Turkish city of Izmir. A total of 17 people have been arrested by the police in raids at several addresses, but according to local authorities the roots of this crime syndicate go much deeper and into Russia (http://www.viruslist.com/en/news?id=208274040)!"#$%!#&'(%))**%'+,"-' "#(./0123,4,. - Turkey has not signed or ratified the Council of Europe Convention on Cybercrime and still needs to align its legislation with EU standards on electronic commerce and conditional access services - Turkey s computerised import, export and national transit entry-processing system is not yet compatible with the EU systems such as the integrated tariff (TARIC) or new computerised transit system (NCTS). The Under-secretariat of Customs does not only need to undertake these modernisation activities of IT infrastructure, but also needs to attach particular importance to strengthening its administrative structures, aligning its business procedures and improving the training quality of customs officials.. 2
Bilgi ve Bilim Savasi ve Tehditler Information ware & cybers Istenmeyen Araya Girme Huzur Bozma Sifre Kirma Veri hirsizligi Yetkisiz Eriim DoS/Denial of Services Attacks Saldirilari/ Arka Kapi Saldirilari Virüsler, worms, logic bombs Acik Standartlari Kullanmak Gizli Ajanlar Yetersiz Yönetim ve kontrol Casusluk Sabotaj Dolandiricilik, Hile ve Kandirma Siber (Cyber) terörizm Veri/Bilgi Sabotaji Truva Atlari/ Sahte Kimlikli Hirsizlik Orijinal bilgileri Kötü niyetli degismek Istenmeyen zararli e- postalar Tanidiklardan dahili casusluk yapma Bilisim Agi veya email address gizlice hirsizlamak 3
Evrensel Aratırmalara göre iç saldırırlar di saldırılardan daha etkili ve daha çok maddi/ manevi zarar vericidir 2005 CSI/FBI Computer Crime and Security Survey 4
Bigi yönetim sistemlerinin faydalari Benefits of Data Governence *+), 89,, : ;, 6-84% believe that poor data governance can cause:limited user acceptance, lower productivity, reduced business decision accuracy, and higher total cost of ownership - Only 27% have centralized data ownership - Fully 66% have not documented or communicatedtheir program, and - 50% have no KPIs or measurements of success *+),4 5 5 5, 6+, 47-84% zayif bilgi yönetimi olduguna inaniyorlar. Bu nedenler üretim zayiflgina, cok sinirli kullanici kabullenmesine, zayif is kararlarina ve bilhassada üretim fiyatlarinin artmasina neden oluyor - Sadece 27% nin zentral bilgi sahipligi var - 66% yazilmis standartlari ve haberlesme irtibatlasma kurallari yoktur - 50% nin KPI (key Performance index) isinin saglik ve saglamliginin derecesini kontrol eden veya basari ölcemek gerekli ölcü sistemeleri yokdur Corporate Data Governance Best Practices 2006-07 Scorecards for Data Governance in the Global 5000 (http://ibm.e-leads.com/20060831/?20060831websiteuk) 5
OECD nin & AB nin ileriye dönük Bilgi Güvenlik Kültür Prensipleri 1.Haberdar Olma (Awareness) 2. Sorumluluk (Responsibility) 3. Cevaplamak, Benimsemek (Response) 4. Etik, Ahlak (Ethics) 5. Demokrasi (Democracy) 6. Tehlike degerlendirme (Risk assessment) 7. Güvenlik Planlama ve uygulama (Sec.Dsg.& impl. 8. Güvenlik Yönetmenlik (Security management) 9. Yeniden Deerlendirme (Reassessment) culture of network and information security has the same meaning as that set out in the OECD Guidelines for the security of Information Systems and Networks of 25 July 2002 and the Council Resolution of 18 February 2003 on a European approach towards a culture of network and information security REGULATION (EC) No 460/2004 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCILof 10 March 2004 establishing the European Network and Information Security Agency 1. OECD Guidelines for the Security of Information Systems and Networks TOWARDS A CULTURE OF SECURITY 6
ISO IEC 20000 BT Hizmet Yönetim ve ISO IEC 27001 BT Bilgi güvenlik yönetim sistemi Standardları dier standartlarla iç içe balıdır 9000 ITIL Quality management systems 12207 Information technology Software life cycle processes 15289 Systems and software engineering Content of systems and software life cycle process information products Governance (including AS 8015) UK OGC Library of books, not a standard 20000 15504 Information technology Process assessment 27000 Information technology Information security management 19770 Information technology Software asset management 24774 17050 Conformity assessment Supplier's declaration of conformity System and Software Engineering Life Cycle Management Guidelines for Process Definition 15288 Systems engineering System life cycle processes IAF Guide 62 / ISO IEC 17021 & I9011 7
Evrensel kabul edilmi Standardı ISO 9000 and ISO 27001 *%*%- *% /0( 27<<66<< <-= /0<</,6.!" #$% / > #!"" & %$!$#!$ %' () * % + "+,*"%% ' +% - Number of ISO 27001 (included BS7799-2) Certificates Per Country -Reviewed FEB. 2007 Source: http://www.iso27001certificates.com/ 8
Bilgi teknolojisi -Bilgi güvenlii yönetimi için uygulama prensipleri (TS ISO/IEC 17799) +, 5,? - Bilgi, dier önemli ticari varlıklar gibi, bir iletme için deeri olan ve bu nedenle uygun olarak korunması gereken bir varlıktır. Bilgi güvenlii bilgiyi, ticari süreklilii salamak, ticari kayıpları en aza indirmek ve ticari fırsatların ve yatırımların dönüünü en üst seviyeye çıkartmak için geni tehlike ve tehdit alanlarından korur. - Bilgi güvenlii - Gizlilik: Bilginin sadece eriim yetkisi verilmi kiilerce eriilebilir olduunu garanti etmek; - Bütünlük: Bilginin ve ileme yöntemlerinin doruluunu ve bütünlüünü temin etmek; - Elverililik: Yetkili kullanıcıların, gerek duyulduunda bilgiye ve ilikili kaynaklara eriebileceklerini garanti etmek. +,5,,? - Bilgi ve destek süreçleri, sistemler ve bilgisayar aları önemli ticari varlıklardır - Giderek iletmeler ve sahip oldukları bilgi sistemleri ve aları bilgisayar destekli sahtekarlık, casusluk, sabotaj, yıkıcılık, yangın ve sel gibi çok geni kaynaklardan gelen tehdit ve tehlikelerle karı karıyadırlar Kontrol amaçları ve kontroller (c) Security Policy/ Güvenlik politikası Human Resources Security/ Personel güvenlii Communi-cations and Operations Management/ Haberleme ve iletim yönetimi Asset Management / Varlık sınıflandırması ve kontrolü Business Continuity Management/ süreklilii yönetimi Information Systems Acquisition, Development, And Maintenance/ Sistem gelitirme ve bakım Physical and Environmental Security/ Fiziksel ve çevresel güvenlik Organizational Information Security/ Organizasyonel güvenlik Information Security Incident Management/ Güvenlik arızalarına ve bozulmalarına cevap verilmesi System Access Control / Eriim kontrolü Compliance/ Uyum 9
ISO IEC 20000 Information technology Service Management / BT Hizmet Yönetmenlii Capacity Management Service Delivery Processes /Hizmet verme prosessleri Service Continuity & Availability Management Kapasite yönetim Hizmet süreklilligi & erisim Yönetmenlii Release Processes yayin izni verme Prosessleri Release Management / yayin izni verme Yönetlmenligi Service Level Management Service Reporting/ Hizmet kademe Yönetmenlii ve hizmet raporlugu Control Processes / Kontrol Prosessleri Configuration Management Düzenleni Yönetmenlii Change Management Degisiklik Yönetmenlii Resolution Processes/ çözülüm Prosesleri Incident Management Hizmet arilzalanma Yönetmenlii Problem Management /sorun Yönetmenlii Information Security Management/ Bilgi güvenlik yönetmenigi Budgeting & Accounting for IT Services BT Hizmetleri Finans ve defterlik Relationship Processes/Ilgi-bakim prosessleri Business Relationship Management/ Müsteri Ilgibakim Yönetmenlii Supplier Management/ Destekciler Yönetmenlii 10
Önemli baarı unsurları -Critical success factors @,ı,ı - Deneyimler unu göstermitir ki, bir iletme içerisindeki baarılı bilgi güvenliinin ve bilgi hizmetinin gerçeklemesinde çou kez aaıdaki unsurlar önemlidir: a) hedeflerini yansıtan kalite, güvenlik ve hizmet politikası, hedefleri ve faaliyetleri; b) Kalite, BT güvenlii ve hizmetleri bir iletmenin ana kültürüdür. Bunu devamlı gelitirmek ve gerçekletirmek gereklidir c) Yönetimden görünür destek ve balılık; d) yi bir güvenlik ve hizmet gereksinimleri, risk deerlendirmesi ve risk yönetimi anlayıı; güvenliin ve hizmetlerin kaliteli isletilmesi e) Kalitenin, Güvenliin ve hizmetin, tüm yöneticilere ve çalıanlara etkili bir biçimde yayınlanması ve benimsenmesi; f) Tüm çalıanlara ve anlamalı taraflara, kalite, bilgi güvenlii ve hizmet politika ve Standardları üzerine kılavuzluk daıtımı; g) Uygun öretim ve eitim salanması; h) Bilgi güvenlii ve hizmet yönetiminin kaliteli performansını ve geliimi için geribildirim önerilerini deerlendirmek üzere kullanılan derin ve dengeli bir ölçüm sistemi; 9,, - sletmenizin Kalite, Güvenlik ve Hizmet yönetimleri gerçek i hayatınıza uyumlumu? - Yapacaınız Kalite, Güvenlik ve Hizmet yönetimleri yatırımları isletmenize gelirimi ve faydasını incelediniz mi? - sletmenizin Kalite, Güvenlik ve Hizmet yönetimlerinin alt yapisi topuk düzenlimi yoksa karma karisikmi? - sletmenizin Kalite, Güvenlik ve Hizmet yönetimleri üzerinde kendi çemberinizdemi dolaıyorsunuz yoksa yeni olanaklar ve anslarinizimi kullanmak istiyorsunuz? @, - Ne istiyorsunuz? - Ne için istiyorsunuz? - Neden istiyorsunuz - Ne zaman istiyorsunuz? - Nasıl ve nerde istiyorsunuz? - Hedefinize ne kadar hazırsınız? - Visionlariniz, hayalleriniz nedir? 11
Bilgi güvenlii ve Bilgi hizmet yönetim sistemi methode genel yönetim sistem modeline (Management Systems) dayanir!a(&, - Bir bilgi güvenligi ve bilgi hizmeti kurmak ve yönetmek,dier yönetim sistemlerinde olduu gibi aynı yaklaım(lar)ı gerektirir. Burada açıklanan süreç modeli, sürekli bir faaliyet döngüsünü izler: Planla, Gelitir, Kontrol Et ve Uygula. Bu doru döngü olarak tanımlanabilir çünkü amacı, organizasyonunuzun en iyi uygulamalarının belgelendirilmesini, güçlendirilmesini ve zamanla gelitirilmesini salamaktır. BLG GÜVENL YÖNETM SSTEMLER KULLANIM KILAVUZU LE BELRTM Information security management systems - Specification with guidance for use, TSE Turkish Standard TS 17799-2 12
Evrensel BT Uyum isteklerine tek cevap- Single respond to the Global IT Compliance Requirements 1 Tailoring/ Hazirliklar 2 3 4, < B,, < C4,, D < ),< A,,, <(,,,,. ) / 0&/ E, 4,,,, 6.! <@, )* < C4,,5 5, 12 &/C4,,,,4 Stardarti Planlama ve Uygulama Plan Implementation of the Standard ISO 9001:2000, Quality management systems Requirements Accredited Certication Akkreditili Zertifikalnadirma Accredited ISO 9001 Certification ISO/IEC 20000-1 Information technology Service management Accredited Certification Akkreditili Zertifikation ISO/IEC 20000-2 Information technology Security techniques Information security management systems Requirements Accredited ISO 20000 Certification ISO 9001 ISO/IEC17799 Information technology Security techniques Code of practice for information security management ISO/IEC 27001Information technology Security techniques Information security management systems Requirements Accredited ISO 27001 Certification 13
e-government Legal Framework in Turkey/ e-devlet Mevzuat Altyapısı 9,, <#=A, ı - Amending Turkish Trade Law (Türk Ticaret kanunu Tasarisi), Tax Procedure Law (Vergi Usul Kanunu), Stamp Duty Law (Damga Vergi Kanunu) and Social Insurance Law (Sosyal Güvenlik Kurumu Kanunu) *,, <+,# E 0->2,E. - Right to Information Act (Law No: 4982) in October 2003 - Turkey signed the Convention for the Protection of Individuals with Regard to Automatic Processing of Personal Data (Convention No. 108) in 1981, but has not yet ratified it A! <!,, <E,, E ı ıı - Section 5 of the 1982 Turkish Constitution is entitled, "Privacy and Protection of Private Life". Article 20 of the Turkish constitution deals with "Privacy of the Individual s Life <*,, <#=* E - The law on electronic signatures was enacted in 2004. This establishes that qualified electronic signatures produced according to the identified procedures as having the same legal impact with that of handwritten signatures. ( <,, <, E 2,5 FE, E,ı ı E. - Parliament enacted legislation separating telecommunications policy and regulatory functions in January 2000, by establishing an independent regulatory body, the Telecommunications Authority. - the sale of 55% of Turk Telekom to the Saudiowned Oger Group in November 2005. =!, * <E 45 +,A,ıı, - This issue is partly covered by the Freedom of Information legislation mentioned before. The e- Transformation Turkey 2005 Action Plan includes facilitating reuse of public sector information as one of its targets. 14
egovernment inturkey Türkiye`de e-devlet Turkey s Information Society Transformation Policy which was prepared with the participation of all relevant parties, has been adopted by the e-transformation Turkey Executive Board. The policy document states Turkey s vision of transformation into an information society as follows: To be a country that has become a focal point in the production of science and technology, that uses information and technology as an effective tool, that produces more value with information-based decision-making processes and that is successful in global competition, with a high level of welfare. Kaynak: IDABC egovernment Factsheets, September 2006 http://ec.europa.eu/idabc/egovo 15
Bilgi Güvenlii ve bilgi isletmesi nin uluslararası ve evrensel kanun ve standartlara uyumlu bir ekilde yürütülmesi lazımdır. Aksi takdirde bu uluslararası ve ulusal bilgi ilemlerinde yıkılmaz bir engel olabilir. Tapu & Kadastro Milli Savunma Bakanli Adliye Nufus ve Vatdandalik DPT NATO 16
Kiisel bilgiler in bilgi güvenlii hepimizin görevidir ve Global ilikilerde vazgeçilmezdir Hobileri ve sevdikleri (family, hobbies),banka ve Ticaret Bilgileri (consumer, banking & trade) Vergi, Emeklilik ve Sosyal Sigortalar (socical & insurance) International Identiy Card Meslek ve Ögretim Bilgileri (professions / careers) Saglik ve biyolojik genetik bilgiler Health/ DNA Askerlik ve Polis güvenlik bilgileri (security / police) Uluslararasi Passaport ve Vize Belgeler (Travels/ Visas) E-Ticaret/e-Devlet Internet bilgileri (E-commerce/ e-goverment) Digital Signature & Elektronik Imza Mustafa Kemal Atatürk Mobil Telefon ve Dijital Kamera Genetik Parmak izi Ispat araclari (mobile handy and digicam and DNA Informations for global authethentications) Sabit Ikamet ve Uydu GPRS Iletsim bilgileri (living place /citizen informations) 17
The TSE is Portal of the Turkish Standards The gate for the compliance in global market G, (! (!,( H (,! H,&!, ( ( *,, A! *!,, *, %( H A http://www.tse.org.tr/english/tsedefault1.asp 18
IBM in hizmetleri IBM Services *+) - http://www.ibm.com/tr/ *+), - www.ibm.com -. Bir yönetim y sistemi prosessilerin, insanların n ve teknolo lojinin birlestitirdigi isletme risikolarni kabul edilecek ve yönetilebilecek y seviyede olarak bütenlesen bir kombination dur. An management system is a combination of processes, people and technology that work together to achieve an acceptable and manageable level of risk to the business. Audit Kontrol denetleme Manage / Yönetim *+),, - http://www- 03.ibm.com/industries/financialservices/doc/content/news/p ressrelease/1484482103.html. Process/ Proses Assess Risk/ Risiko belirtme People/ Insanlar Technology/ BT Define Controls / Kontrollerin belirlenmesi Implement Controls/ Kontrolleri uygulama 19
Who am I? ( - Privat e.-mail: dr_ibrahim_@yaoo.com, mobile: +49-171-3035173, Business e.-mail: Dr.@de.ibm.com!,I# - Birth in Gaziantep/Turkey, since 1978 in Germany - Highest Education : Diplom Informatiker (1995), Philosophy Doctor (Ph.D. Economics) in speciality Organization of Management, Planning and Economic Regulation (2000) - Non-IBM Certified Expert for Data Privacy/Data Protection Laws - Certified ISO 27001 Lead Auditor, IBM Patent ownership!,! - 1982-1989 United Parcel Services, Industrial Engineering - IBM Career Path - Since 1990 IBM regular employee by IBM Germany - 1990-1993 Robotic Engineer for 3380,3390 IBM Manufacturing Mainz - 1993-1995 Main Frame System Programmer - 1995-05.1998 Main Frame System & Security Architect - National & International engagements/projects - 06.1998-02.2000 EMEA Sales representative for e-business Secure Payment Solutions, EMEA Privacy Consultant - 02.2000-02.2003 EMEA Technical Solution Architect (TSA)/Manager /TSM) for Networking Outsourcing Services - 03.2003-12.2004 Designer & Lead Evaluator for EMEA Shared Application, Certification Security & Privacy Practice Architect, Expert for Data Privacy Regulations - 01.2005-actual IBM Audit Manager, ITD Audit Project Manager - Private compliance engagements - Subject Matter Expert of German Accreditation Association for ISMS - Subject Matter Expert for Enterprise Information Management, Service Management, Risk Management, Security & Privacy and IT Regulations of EU, OECD - Chair of Hessian Engineers Association for Information Technology,, Member of Hessian Data Privacy forum, Member of National Curriculum for Common Criteria by BSI (German federal Agency for Information Security), Lead Auditor ISO 27001, Certified Data Protection officer 20
Öz Gecmis - CV *&()34 ) 5678 )ı)).8)(&67 9)%+". ). 8)) 8)& ) %'&))/ )ıı ı : ) 5;< ; &=%" >%)?& ) %549.?&%>%')49@& 7) 8)3ıı %'>%"49)49 & ) &49) ) > ııı %"> 49) ) > 49*9*.<*>9 >*=> / <?=))??7849*9*.;& ;7 ) )&. 4)& ıı) ı %"> $49*9*.<*>9 >*= 4ı& 8))) & 8ııı $> '49*9*..1 &?). *& 9 & '8) ) 49 8)) ) <.9= & 49 & 498 &7 4958 <.4 *1=A4@B4 )7& ) +%<9=& ) ' 6.. <> =4 8&)? < = & 7 ).& & 9C ) D 6.., +# )& 7 * 5%'!" +%%++ 49) 4 ) &?7) 8)& )& & ) 5 &.: 4 8 ).. 4<4 8 )=) 11<%'!"=>; 9<>67=)) - Denetim Yöneticisi, ISO 27001 ISMS Accreditation/Certification denetim uzmani, - Küresel (AB, OECD) BT Regulasyon+ ISO BT Standardları uyumluk uzmani, - ISMS /ISO 27001 Ba Tetkikçi 21
Ilginize Tesekkürler
Bilgi güvenlik sorunlarinin ortak nedenleri Ortak nedenleri / Common IT Security weakness Causas *%/JJ--C %,, Global Security Survey, KPMG 2002 23
Güvenlik kapasitesi bilgi güvenlik ana taslaına dayanarak tespit edilir Security principles/ Güvenlik Prensipleri Security policies / Güvenlik Yönetim Politikasi Security processes / Güvenlik Prozessleri Security architecture/ Güvenlik alt yapisi Security procedures/ Güvenlik Prozedurlari Security products/ Güvenlik ürenleri Security standards/ Güvenlik Standardlari 24
Deiik Aratırmaların ve Anketlerin sonuçları ortak bilgi güvenlik sorunlarıni gösteriyor Vatanda saldırıların en zayıf kurbanıdır BT letmesinde 10 güvenlik sorunlari Resmi kurumlar en çok saldırı hedeflerindendir Global Information Security Survey 2004, E&Y 25
Iletiim ve Bilgi Güvenlii üzerinde AB nin termleri,, ıı ı ı,ç,ç ö,,ı ı 2. 9ö, ",ı,,, üü,üü ü,, 2 ",. +,9,, 9ü, 2,. +,,,ı ı,ı,ı ı 2 ". E45,,ı,ıı,ı ı,ı,ı ı 2,, ". 95,,,,, ı,ı,ı ı 2, K. COUNCIL RESOLUTION of 28 January 2002 on a common approach and specific actions in the area of network and information security (2002/C 43/02) 26