Labris Teknoloji YAZILIMI GÜVENLİĞİ YAKLAŞIMI



Benzer belgeler
Web Uygulama Güvenliği Kontrol Listesi 2010

Bilgi Güvenliği Eğitim/Öğretimi

BİLGİ GÜVENLİĞİ. Temel Kavramlar

ANET Bilgi Güvenliği Yönetimi ve ISO Ertuğrul AKBAS [ANET YAZILIM]

Web Application Penetration Test Report

Bilgi ve Bilgisayar Sistemleri Güvenliği (Information and Computer Systems Security)

BT DENETİMİ EĞİTİMİ BÖLÜM 1 Bilgi Teknolojilerinin Hayatımızdaki Yeri

BİLİŞİM SİSTEMLERİ GÜVENLİĞİNDE YENİ EĞİLİMLER

Güvenlik Java ve Web Uygulama Güvenliği

YAZILIM GÜVENLİK TESTLERİ. H A L D U N T E R A M A N h a l d u n t e r a m a g m a i l. c o m

BioAffix Ones Technology nin tescilli markasıdır.

Özgür Yazılımlar ile Kablosuz Ağ Denetimi

BioAffix Ones Technology nin tescilli markasıdır.

Bilgi Güvenliği Denetim Sürecinde Özgür Yazılımlar. Fatih Özavcı Bilgi Güvenliği Danışmanı

Yeni Nesil Ağ Güvenliği

Atılım Üniversitesi Bilgi & Đletişim Teknolojileri Müdürlüğü Bilgi Güvenliği ve Ağ Yönetim Uzmanı Görev Tanımı

Bilgi Teknolojileri Ürün Güvenliği İçin Ortak Kriterler Sertifikasyonu ve Türkiye

BioAffix Ones Technology nin tescilli markasıdır.

Siber Güvenlik Risklerinin Tanımlanması / Siber Güvenlik Yönetişimi

5651 ve 5070 Sayılı Kanun Tanımlar Yükümlülükler ve Sorumluluklar Logix v2.3 Firewall. Rekare Bilgi Teknolojileri

Yazılım-donanım destek birimi bulunmalıdır.

WEB UYGULAMA GÜVENLİĞİ HAKKINDA. Mesut Güngör İzmir Yüksek Teknoloji Enstitüsü Bilgi İşlem Daire Başkanlığı

WEB SUNUCU GÜVENLİĞİ: Web Siteleri Neden Hacklenir?

ÖZ DEĞERLENDİRME SORU LİSTESİ

Kurumsal Kimlik Yönetimi ve Güçlü Kimlik Doğrulama. Yılmaz Çankaya

BioAffix Ones Technology nin tescilli markasıdır.

Kurumsal Ağlarda Web Sistem Güvenliği

KABLOSUZ AĞ GÜVENLİĞİNE KURUMSAL BAKIŞ

Sistem Güvenliği? BT Güvenliği? Bilgi Güvenliği? A.Levend Abay MSc, MBA, CISM, Mart 2014 Yıldız Teknik Üniversitesi. Levend Abay?

MVC Kul anıcı Doğrulama ve Yetkilendirme MVC Filtreler Action Filter FilterAttribute IActionFilter FilterAttribute IActionFilter

BİH 605 Bilgi Teknolojisi Bahar Dönemi 2015

BÖLÜM 8. Bilişim Sistemleri Güvenliği. Doç. Dr. Serkan ADA

11.DERS Yazılım Testi

Bilgi Sistemleri ve Güvenliği

Kets DocPlace LOGO Entegrasyonu

Güvenli Doküman Senkronizasyonu

Siber Savunma. SG 507Siber Savaşlar Güz 2014 Yrd. Doç. Dr. Ferhat Dikbıyık

EKLER EK 12UY0106-5/A4-1:

Bilgisayar Ağları ve Ağ Güvenliği DR. ÖĞR. ÜYESİ KENAN GENÇOL HİTİT ÜNİVERSİTESİ ELEKTRİK-ELEKTRONİK MÜH.

SİBER GÜVENLİK HİZMETLERİ VE ÜRÜNLERİ.

01 Şirket Profili

HATAY KHB BILGI İŞLEM BİRİMİ

ORTA DOĞU TEKNİK ÜNİVERSİTESİ BİLGİ İŞLEM DAİRE BAŞKANLIĞI. Güvenlik ve Virüsler. ODTÜ BİDB İbrahim Çalışır, Ozan Tuğluk, Cengiz Acartürk

BİLGİ GÜVENLİĞİ VE BİLGİ İŞLEM PROSEDÜRÜ

Güncel Versiyon İle E-Defter Oluşturulması ve Gönderilmesi

Bilgi Güvenliği Farkındalık Eğitimi

Ders İ zlencesi. Ders Başlığı. Dersin amacı. Önceden sahip olunması gereken beceri ve bilgiler. Önceden alınması gereken ders veya dersler

T. C. TÜRK STANDARDLARI ENSTİTÜSÜ

Tanımı Problemi 46 Şüpheci Yaklaşım 47 Tamsayı Taşması (Integer Overflow) 47 Tamsayı Taşması Java Uygulaması 48

Tarih Saat Modül Adı Öğretim Üyesi. 01/05/2018 Salı 3 Bilgisayar Bilimlerine Giriş Doç. Dr. Hacer Karacan

Dünyada Veri Kaçağı ve Veri Kaçağı Önleme (DLP) Sistemleri Tahsin TÜRKÖZ Bilişim Sistemleri Güvenliği Grubu

Sibergüvenlik Faaliyetleri

T. C. TÜRK STANDARDLARI ENSTİTÜSÜ

ÖRÜN (WEB) GÜVENLİĞİ. Hazırlayan: Arda Balkanay

Linux işletim sistemlerinde dosya hiyerarşisinde en üstte bulunan dizindir. Diğer bütün dizinler kök dizinin altında bulunur.

w w w. a n k a r a b t. c o m

Sisteminiz Artık Daha Güvenli ve Sorunsuz...

İŞ YATIRIM MENKUL DEĞERLER A.Ş. İŞ SÜREKLİLİĞİ PLANLAMASI A. AMAÇ

BİLGİ SİSTEMLERİ GÜVENLİĞİ

İş Sürekliliği Ve Güvenliği

PAPERWORK TEKNİK MİMARİ

Venatron Enterprise Security Services W: P: M:

Altyapımızı Yeni TTK ile uyumlu hale getirmek...

NETFİLTER VE LİNUX TABANLI BİR FİREBOX TASARIMI

Profesyonel Çözümler Sunar. Profesyonel Çözümler Sunar

/pikalite / bilgipi /pikalite EĞİTİM HİZMETLERİMİZ

Bölüm 1: Veritabanı Yönetim Sistemlerine Giriş

Veritabanında Parola Saklamak için Algoritma Seçiminde Yapılan Yaygın Hatalar

ISO 27001:2013 BGYS BAŞDENETÇİ EĞİTİMİ. Kapsam - Terimler

HİTİT Muhasebe Aktarım Kurulum ve Kullanım Kılavuzu (Netsis Modülü)

Veritabanı. Ders 2 VERİTABANI

Güven Kurumları ve İtibar Yönetimi Oturumu Can ORHUN

BİLGİ GÜVENLİĞİ. Bu bolümde;

Exepto Bilgi Teknolojileri A.Ş. Sözleşme Yönetim Yazılımı

Güvenlik Seviyenizi Arttırmak için Şifreleme Teknolojisinden Yararlanın

1. İŞLETMECİ BİLGİ GÜVENLİ YÖNETİM SİSTEMİ (BGYS) KURULACAK VE İŞLETECEKTİR.

ULUSAL BİLGİ SİSTEMLERİSTEMLERİ GÜVENLİK PROGRAMI

ESİS Projesi. Kaynaklar Bakanlığı

İletişim Ağlarında Güvenlik

Kişisel Verilerin Korunması Kanunu (KVKK) için BT Altyapınızı Nasıl Hazırlayabilirsiniz?

Elbistan Meslek Yüksek Okulu GÜZ Yarıyılı. Öğr. Gör. Murat KEÇECĠOĞLU

Ağ Yönetiminin Fonksiyonel Mimarisi

e-fatura UYGULAMASINDA ÖZEL ENTEGRASYON YÖNTEMİ

BİLGİ GÜVENLİĞİ VE FARKINDALIK WEB SİTESİ KULLANIM KILAVUZU

FortiMail Gateway Modunda Kurulum. v4.00-build /08

SÜRE BAŞLAMA TARİHİ : 19/12/2018 BİTİŞ TARİHİ : 20/02/2019 KURS SÜRESİ : 144 Saat KURS NO :

Misafirlerinize internet hizmeti sunmanın en güvenli yolu!

Sİber Güvenlİk Hİzmet ve Ürün Kataloğu.

TS EN ISO EŞLEŞTİRME LİSTESİ

SOC unuz siber saldırılara hazır mı?

Veritabanı Uygulamaları Tasarımı

UZAKTAN EĞİTİM MERKEZİ

TÜRKĠYE BĠLĠMSEL VE TEKNOLOJĠK ARAġTIRMA KURUMU BĠLGĠ ĠġLEM DAĠRE BAġKANLIĞI ÇALIġMA USUL VE ESASLARI

Film Arşiv Sistemi. Yazılım Tasarım Belgesi

ARiL Veri Yönetim Platformu Gizlilik Politikası

Esra G. Kaygısız Gaziantep Üniversitesi

ÇELİKEL A.Ş. Bilgi Güvenliği Politikası

BGYS ve BGYS Kurma Deneyimleri

BANKACILIK DÜZENLEME VE DENETLEME KURUMU (Bilgi Yönetimi Dairesi)

Transkript:

Labris Teknoloji YAZILIMI GÜVENLİĞİ YAKLAŞIMI

A- YAZILIM GÜVENLİK DENETİMİ Yazılım Güvenliği Yazılım güvenliği kavramı ile ilgili yapılan en önemli yanlış, onu sadece kodun güvenliği ve ek olarak da yetkilendirme güvenliği olarak algılamaktır. Halbuki yazılım güvenliği kavramını güvenilir bilişim (trusted computing) kavramı ile yakından ilişkilendirmek gerekmektedir. Şöyle ki, Trusted Computing Group (TCG) tarafından konmuş olan güvenilir bilişim kavramı 4 sac ayağı üzerinde durmaktadır. Bunları şöyle sıralayabiliriz: - Gizlilik - Bütünlük - Erişilebilirlik - Kurtarılabilirlik İşte ancak bu dördünün ve bunların ima ettiği alt unsurların tam olarak sağlandığından emin isek bir yazılım güvenliği söz konusu olabilir. Güvenilir Bilişim Bunları teker teker incelemek ve bunların alt unsurlarını görmek gerekmektedir. a- Gizlilik: Bir verinin yalnızca erişmesi istenen kişi tarafından erişilebildiğinin garantilenmesidir. İşte yukarıda da bahsi geçen yetkilendirme ve diğer kriptografi, mühürlenmiş alanda çalışma ve benzeri unsurların tamamı gizlilik kalemi altında da değerlendirilebilir. b- Bütünlük ve inkar edememe: Erişilen veri ya da uygulamanın bütün olduğunun yani herhangi bir değişime uğramadan kullanıcısına ulaştığını garanti altına alır. c- Erişilebilirlik: Bir verinin ya da uygulama mantığının istendiği zaman erişilebilir olması gerektiğine işaret eder. d- Kurtarılabilirlik: Herhangi bir veri kaybı anında bu verilerin kurtarılabilir olması anlamına gelir. Bu kendi içinde yedeklemeden tutun, veritabanı bütünlüğünün tekrar oluşturulabilmesine kadar birçok alt unsur barındırır. İşte bu amaçlara ulaşmak için de aşağıda listelenmiş olan yöntemlerin biri ya da daha fazlası işletilebilir: o Şifreleme (kriptografi) o Yetkilendirme o Erişim kontrol listeleri o Bütünlük kontrol yöntemleri o Veritabanı hash leri o Kompartıman içinde çalıştırma o Ortak kaynak kontrolü o Veri girdi kontrolleri o Bellek kontrolleri o Kimlik kontrolleri o Kullanılabilirlik o Kurtarılabilir veri saklama yöntemleri o Güvenli yazılım kodlama teknikleri o... Bu anlamda yazılım güvenlik denetimi yalnızca yazılım kod denetimi olarak anlaşılamaz. Yazılım ile ilişkili her nesne bir tehdit unsuru adledilir ve buna göre güvenli hale getirilir ya da hareket alanı kısıtlanır.

Örneğin sunucu işletim sistemi her ne kadar yazılım ile ilgili görünmese de doğrudan yazılım güvenliğini tek komutla sıfırlayabilecek durumdadır. Bu nedenle hareket alanı kısıtlanır. Ya da son kullanıcımız olan personel niyetinin iyi ya da kötü olmasından bağımsız olarak yazılım bütününe zarar verecek bir eylem gerçekleştirmekte olabilir. Hareket alanı minimuma indirilebilmelidir. Veri Güvenliği Temel olarak yazılım güvenliği ve veri güvenliği alışılagelen tanımlara göre farklı tanımlanıyor olsa da yeni konsept gereği hepsi güvenilir bilişim kavramı altında birbirinden ayrılmaz maddeler olarak tutulmaktadır. Bu nedenle, bakışımızda veri güvenliği yazılım güvenliği kavramı içinde ele alınmaktadır. Ancak veri güvenliği ve yazılım güvenliği arasındaki denetim metodlarında farklar aşikardır. Veri güvenliğini denetlerken verilerin bulunduğu noktalara erişimlerin durumları gözden geçirilmelidir. Verilerin daimi depolanma alanı, geçici olarak bulundukları swap, hafıza, internet hattı, pc geçici alanı gibi alanların tamamı veri güvenliği için oldukça önemlidir. Yazılım Kod Denetimi Güvenlik açıklarının hemen hemen tamamı yazılımların güvenli mimari ve kodlama teknikleri kullanılmadan yazılmasından kaynaklanmaktadır. Bu nedenle yazılım geliştirme sürecinin nasıl işlediği bu noktada çok önem taşımaktadır. Öncelikle OWASP (Web Uygulamaları Güvenlik Platformu) tarafından açıklanmış olan güvenlik açıklarında ilk 10 sıralamasına göz atmakta fayda görmekteyiz. 1- Kontrol edilmemiş girdi: Unvalidated Input Webde kullanıcıdan alınan veri kontrol edilmeden işlemeye geçilirse.. 2- Ezilmiş erişim kontrolü: Broken Access Control Yetkilendirilmiş kullanıcıların sistemde neler yapabileceği uygun şekilde belirtilmediği durumlarda; başka kullanıcı haklarını kullanma, yetkisiz olduğu halde verilere erişebilme gibi sakıncalar... 3- Ezilmiş yetkilendirme ve oturum yönetimi: Broken Authentication and Session Management Hesabın önemli verileri ve token'lar korunmazsa... şifreler, anahtarlar, çerezlerin ele geçirilmesi... 4- Çapraz site betikleri: Cross Site Scripting(XSS) Web yazılımının kullanıcı bilgisayarında bir atak aracı olarak kullanılması durumu... 5- Tampon taşması: Buffer Overflow Kontrolü ele almak üzere tamponların taşırılması olayı... Veri kontrolü yine önem kazanıyor. 6- Sokuşturma açıkları: Injection flaws Parametreler yazılım dışından verilebilir olmamalı... Bu durumda sokuşturma yapılabilir. örneğin sql kodu sokuşturma vb. 7- Uygunsuz hata yönetimi: Improper Error Handling Hatalar uygun bir şekilde kontrol edilmezse, sistem ile ilgili bilgiler verebilir, uç durumlarda göçmeye yol açabilir. 8-Güvensiz Saklama: Insecure Storage Verilerin saklandıkları yerden kullanıcıya verilmeleri sırasında kullanılan verilerin decrypt edilmesi sırasındaki parçalar iyi kodlanmayabilir ya da veri şifrelenmeden saklanıyor olabilir. 9-Servis Reddi: Denial of Service Servisi performans ya da kısıtlamaları yönünden zorlayıp doğru hizmet vermelerini engelleme olayı... 10-Güvensiz Ayar Yönetimi: Insecure Configuration Management Sunucu tarafındaki konfigürasyonların güvenli şekilde yapılmaması olayı... Bunlara göz attığımızda web tabanlı uygulamalardan çoğunda bu sorunların oluşabileceği ve yine uygun denetimler sonucu yok edilebileceği ortaya çıkarılabilir. Uygulamanın doğası denetimlerin de doğası belirleyecektir. Karşımızda web tabanlı bir uygulama olduğundan klasik yazılım denetimlerinin yanında web tabanlı yazılımlara ilişkin denetimler ön planda olacaktır.

İşte yazılım denetimi servisi ile amaçlanan da çeşitli denetleme yazılımlarını ve daha da önemlisi bilgili insan gücünü ortaya koyarak güvenlik açıklarına yol açabilecek zayıflıklar ın belirlenmesidir. Bunların neler olabileceği ile ilgili OWASP ın tanımlamalarına ek olarak şunlar da örnek verilebilir: Tampon taşması Mimari yanlışları Yanlış transaction kullanımı Biçim kelimesi problemleri Sayı taşmaları (Integer Overflow) SQL sokuşturma Komut sokuşturma Hataların ele alınmaması İstisnaların ele alınmaması Çapraz site betikleri Ağ trafiğine sonsuz güven URL bazlı veri girdisi Uygunsuz SSL kullanımı Zayıf şifre yapıları Güvensiz veri saklama Veri sızıntısı Uygunsuz dosya erişimi (veri kaybı) Yarış durumları Yetkilendirilmemiş anahtar değişimleri Kriptografi için yetersiz rastgelelik Kullanışsızlık Optimumu Bulma Diğer yandan güvenlik işi maalesef bir optimumu bulma işidir. Şöyle ki, son kullanıcıyı kısıtlı hareket alanında çalıştırırken yazılımın kullanılabilirliğini yani kullanıcının erişebilirliğini de sağlamak durumundayız. Diğer yandan maliyet de bir optimum alanı oluşturmaktadır. Örneğin verileri disk üzerinde dahi şifrelenmiş halde saklamak ve kullanıcıya imzası karşılığı vermek bir çözüm iken, verileri teker teker güvensiz fakat bütün olarak güven altında saklayıp imzasını gösterenlere vermek diğer bir çözümdür. Bunlardan ilki çok daha maliyetli ve bazı durumlarda kullanışsız bir yapı ortaya koymaktadır. Bu nedenle yazılım güvenlik denetimi sonucunda çıkacak metinler aynı zamanda birer risk analizi raporu parçası niteliği de taşır. Kurum ve firmalar hangi noktada çizgi çekip bunun altını güvenilir kabul edeceklerini belirlemek durumundadırlar. İşte bu karar için gerekli karar desteği de bu raporlar tarafından verilecektir. Denetim Planı Denetimlerdeki incelenecek birimleri gruplara ayrılacaktır. Analiz-Tasarım süreci sonunda bir dizi denetim grubu projeye uygulanacaktır. Bunlar daha çok mimari seçimi, modül ilişkileri, veri tutma stratejileri gibi birimleri sorgulayan denetimler olacaktır. Kodlamanın başlamasının ardından, belli grup denetimler, yatay hiyerarşide her bir modül bitiminde gerçekleştirilecektir. Bunlar kodlama yöntemleri denetimleri gibi daha koda özel denetimler olacaktır.

Modüllerin tamamlanmasının ardından da, geçiş öncesi, bir diğer grup denetim yapılacaktır. Bunlar parça parça bir anlamı olmayan ancak sistemin genel bütününde gözlenebilecek denetimlerdir. Örneğin yetkilendirme, single sign on, yetersiz rastgelelik, elektronik imza güvenliği ve benzeri. 3 haftalık toplantılarla güvenli yazılım geliştirme süreci de takip edilecektir. Final Raporu Final raporu ile beraber yapılan işler, uygulanan yöntemler, bunların çıktıları, çıktı analizleri, ve öneriler verilir. Biçim olarak şu kullanılacaktır: o Problem İsmi o Risk Seviyesi o Problemin Düzeltilme Durumu o Problem Sınıfı (Integrity, availability, accountability, secrecy, recovery) o Problemin Etkisi o Problemli Noktalar o Problemi kullanabilecekler (Son kullanıcı, yazılımcı, bilgisayar saldırganı, suç organizasyonları, istihbarat kuruluşları) o Problemin Kısa Tanımı o Kısa Vadeli Çözüm Yöntemi ve Aksiyonlar (devre dışı bırakma, bölümü durdurma, hızlı ve kirli çözüm, bütün çözüm) B- GÜVENLİK RİSK ANALİZİ Güvenlik analizlerine temel oluşturacak olan envanterin oluşturulması ilk aşamadır. Envanter kendi içinde nitelik, tanım, içerik, kullanıcı ve önem tanımlamalarını da içerecektir. Bilgi sisteminin güvenliğini tehdit edebilecek her türlü bilgisayar ilişkili olan ve olmayan unsur risk kapsamındadır. Bu bağlamda sistem odasının kapısının tahta olması, sistemin bir güvenlik duvarı tarafından korunmaması gibi önemli bir risk unsurudur. Güvenlik risklerini aynı yukarıda yazılımda belirttiğimiz üzere sadece alışılagelmiş eski güvenlik kavramı içinde ele almıyoruz. Bunlara ek olarak gizlilik, bütünlük, erişilebilirlik ve kurtarılabilirlik ana unsurlardır. Bu nedenle bunların tamamını tehdit eden riskleri göz önünde olmalı ve analiz edilmelidir. Ancak bunların tamamının belirlenmesi ile kurumun hizmet güvenliği politikasına, ağ güvenlik ve erişilebilirlik (topoloji) politikasına, acil durum anı politikasına, sunucu güçlendirme politikasına ve güncelleme politikasına baz oluşturacak veriler ortaya çıkacaktır. Bu analiz bu politikaların tamamına, bu politikaları oluşturacak insanları için karar destek hizmeti sağlayacaktır. Yöntem Kullanılacak olan risk yönetimi yöntembilimi olarak Carnegie Mellon University Continuous Risk Management Guidebook (CRM Guidebook) kitapçığı seçilmiştir. Şekil 1 seçilen risk yönetimi yöntembilimindeki iş akışının ana hatlarını çizmektedir.

Şekil 1. CRM İş Akışı 2. Bu planın uygulanması sürekli bir risk yönetim sürecidir. Risklerin ve risk yönetiminin tanımlanması, çözümlenmesi, planlanması, takibi ve denetimi üzerine kuruludur. Plan yıllık olarak güncellenecektir. Aşağıdaki tanımlari süreç ve bu süreç kapsamındaki etkinlikler için geçerlidir. Risklerin tanımlanması ile, risklerin yakalanması, sorumlu birimlere bildirilmesi ve belgelenmesi tanımlanmıştır. Risklerin çözümlenmesi ile, tanımlanan risklerin olasılıklarının saptanması, gerçekleşmesi durumundaki etkilerinin ciddiyetinin belirlenmesi, gerçekleşmesi ve gerçekleşmesi durumunda gerekli eylemlerin uygulanması için zaman aralığının belirtilmesi ve bu özelliklere dayanarak risklerin sınıflandırılması ve önceliklerine göre sıralanması tanımlanmıştır. Risk yönetimi planlanması ile, risklerin ele alınması ile ilgili eylemlerin, planların ve yaklaşımların tespit edilmesi ve bunlarla ilgili sorumluların ve eylemlerin tamamlanması için takvimin belirlenmesi tanımlanmıştır. Risklerin takibi ile, risklerin tespiti, derlenmesi ve risklerin özellikleri ve ilgili ölçütleri kullanarak risklerin ve gerçekleşme durumundaki eylem planlarının etkin biçimde yönetilip yönetilmediğinin belirlenmesi tanımlanmıştır. Risklerin denetimi ile, durumun ve risk takibinin sonuçlarına göre risklerin gerçekleşip gerçekleşmediğinin belirlenmesi ve eylem planlarının uygulanması tanımlanmıştır. Bu beş süreç, bir belgeleme süreci ile desteklenecektir. Tespit edilen riskler ve karşılaşılan olaylar bir veri tabanında tutulacaktır. 3. Risklerin tanımlanması ve çözümlenmesi aşamalarında kullanılmak üzere güvenlik saptaması (security assessment) çalışması yapılacaktır. 4. Çalışma ISO 17799-2000 standardı ile ilişkili biçimde gerçekleştirilecektir. 5. Çalışma aşağıdaki kapsamlarda gerçekleştirilecektir. Bilgi Güvenliği

İş Süreci Güvenliği İnternet Teknolojileri Güvenliği Telefon ve Diğer İletişim Altyapısı Güvenliği Kablosuz Sistemlerin Güvenliği Fiziksel Güvenlik Final Raporu Final raporu ile beraber yapılan işler, uygulanan yöntemler, bunların çıktıları, risk tanımları, risk analizleri ve öneriler verilir. Biçim olarak şu kullanılacaktır: o Risk İsmi o Risk Seviyesi o Riskin Düzeltilme Durumu o Risk Sınıfı (Integrity, availability, accountability, secrecy, recovery) o Riskin Tahmini Etkisi o Riskin Oluştuğu Noktalar o Riski Değerlendirebilecek Durum ve Unsurlar o Riskin Kısa Tanımı o Riske Kısa Vadeli Çözüm Yöntemi, İhtiyaçlar ve Aksiyonlar (devre dışı bırakma, bölümü durdurma, hızlı ve kirli çözüm, bütün çözüm) Sözlük Açık: Herhangi bir tehdide karşı savunmasız bırakabilecek herhangi bir nokta Zayıflık: Herhangi bir açığa yol açabilecek nokta. Optimum: Birbirini azaltan birden fazla unsur arasında bir nokta belirleme olayı IDS: Saldırı Tespit Sistemi IDS/IDP: Saldırı Tespit ve Önleme Sistemi ISO 17799: Bilgi Güvenliği Yönetimi İçin Uygulama Prensipleri Kompartıman: Diğer bölümlerden tamamen yalıtılmış bulunan alan İstisna: Beklenmedik veri, durum (ing. exception) Rastgelelik: Herhangi bir düzene bağlı olmayan durum (ing. random). Referanslar ve Bağlantılar 1. Labris Teknoloji İç Dokümanları 2. Owasp.org 3. ISECOM 4. Portakal Teknoloji İç Dokümanları 5. ISO 17799 6. Carnegie Mellon University, Continuous Risk Management Guidebook

2024 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim