YZM5604 Bilgi Güvenliği Yönetimi 18 Kasım 2014 Dr. Orhan Gökçöl http://akademik.bahcesehir.edu.tr/~gokcol/yzm5604 Bahçeşehir Üniversitesi, Fen Bilimleri Enstitüsü MT1 Eposta listesi!!! Dönem projesi. Proje gruplarını bildirmek için süreniz azalıyor. Son gün, «GELECEK HAFTA» 1
RİSK YÖNETİMİ Risk Yönetimi Varlık Yönetiminin tamamlayıcısı BGYS İşletilmesi sırasında varlıkların üzerinde ne gibi tehditler olduğunu belirlemiz gerekiyor Bu tehditleri önemlerine göre göre sıralamalıyız En önemli tehditleri berteraf etmek için bazı aksiyonlar uygulamalıyız ISO27001 2
Güvenlikle ilgili sorunlar... BT Sistemleri Saldırıya Açık mı? Tehditler neler? Potansiyel riskler ve varlıklarımıza olan etkileri? AÇIKLIK, TEHDİT VE RİSK ne anlama gelmektedir? Risk Kavramı Açıklık/Zaafiyet RİSK altındaki varlık Tehdit (saldırgan) Risk analizi, hangi varlıkların potansiyel olarak risk altında olduğu, ve ne tür tehditler bulunduğunun belirlenmesi ve bu tehditleri ortaya çıkartabilecek ne tür zaafiyetlerin bulunduğunun belirlenmesi ile başlar. Bu, riski azaltmak için uygulanabilecek tüm gerekli güvenlik çözümlerinin ortaya çıkartılabilmesi için esastır. Risk Analysis and Risk Management RISK NEDİR? Risk, tehlikeli bir durumun ya da bir tehditin gerçekleşmesi ihtimalidir. Tehdit ve savunma mekanizmasının zayıflığı tek tek ele alındığında tehlikeli değildir. Ancak, tehdit ve savunma zaafiyeti bir araya geldiğinde risk oluşmaktadır (diğer bir değişle, tehlikeli bir durumun gerçekleşme ihtimali belirmektedir). 3
Risk Nedir? Neden Önemli? Kaynak:www.niyazikurnaz.net Riskler kurumun hedeflerinin gerçekleştirilmesini engelleyebilme olasılıkları olan her türlü durumdur. Riskler oluşma sıklıklarına ve yaratacakları hasara göre ölçülmeli ve yönetilebilmelidir Etkin bir iç denetim sisteminin en önemli görevlerinden biri tüm risklerin tespit edilmesi ve minimize edilmesi için uygun öneriler geliştirilmesidir. Risk yönetimi, her türlü risklerin tanımlanması, ölçülmesi ve giderilmesini/makul seviyelere indirilmesini kapsayan bir sistematiktir. Vulnerabilities / Threat (Zaafiyet/Tehdit) Vulnerabilities (Açıklık/Zaafiyet) Zaafiyetler, varlıkların yerleşimi, organizasyonu, prosedürleri, yönetimi, kullanıcıları, donanımı, yazılımı ya da içeriği ile ilişkilendirilebilecek bir takım zayıflıklar sonucu ortaya çıkar Zaafiyetler, iş hedeflerine ya da BT sistemine zarar verebilecek bir tehdit sonucunda başımıza dert olmaya başlar! (Tehdit olmadan) açıklık tek başına bir zarara yol açmayacaktır! ISO/IEC TR 13335 page 8, 8.3 Information technology -- Security techniques Threat (Tehdit) Tehdit, sistemlerimizde, organizasyonumuzda ve varlıklarda (maddi olarak) bizi kayba uğratacak istenmeyen bir olaya sebep olma potansiyelindedir. ISO/IEC TR 13335 page 6, 8.2 Information technology -- Security techniques Risk Risk, verilen bir tehdidin açıklıkları (zafiyetleri) kullanarak bir varlık ya da bir grup varlık üzerinde, dolayısıyla tüm işletmede maddi olarak ölçülebilen bir kayba ya da hasara yol açma potansiyelidir.. Ref: ISO/IEC TR 13335, page 8 Information technology -- Security techniques 4
Nasıl ele alınır? Varlık Varlık RİSK = Küpün hacmi RISK Tehdit Tehdit Savunmasızlık/zaafiyet Temel Risk Zaafiyet Koruma tedbirleri uygulandıktan sonra kalan risk RİSK Riskler azaltılabilir, ya da yönetilebilir. If we are careful about how we treat the environment, and if we are aware of our weaknesses and vulnerabilities to existing hazards, then we can take measures to make sure that hazards do not turn into disasters. Risk Analysis and Risk Management RISK YÖNETİMİ Risk management is the process that allows business managers to balance operational and economic costs of protective measures and achieve gains in mission capability by protecting business processes that support the business objectives or mission of the enterprise. 5
Yeni terimler Risk Analizi: Herhangi bir varlığın C, I ve A sını etkileyebilecek potansiyel risklerin ve açıklıkların tutarlı ve dikkatli bir şekilde değerlendirilmesi. Risk analizi temel kavramlar: Riskin oluşması için gereken üç temel etmen : Tehdit/Thread- nihai zararın sebebi Hasar/Damage istenmeyen bir olayın sonucu Zaafiyet/Vulnerability bir tehditin zarara yol açmasını sağlayan istenmeyen bir sistem özelliği Risk analizi temel kavramlar: Örnek, Bir yankesicinin cebinizden cüzdanınızı çalması ihtimali aşağıdaki durumlar söz konusu olduğunda bir risk olarak değerlendirilebilir: Tehdit - there can be pickpockets in places where you are Hasar - you do not want to loose your wallet with its contents Açıklık - you carry your wallet where a skilled pickpocket can pick it in a crowd 6
Risk Süreçleri Varlık(Asset) Neyi korumaya çalışıyorsunuz? Tehdit Ne olmasından korkuyorsunuz? Açıklık Tehdit nasıl ortaya çıkabilir? Riski hafifletme Halihazırda riski ne düşürüyor? Etki İş süreçlerine (genel olarak işinize) olan etkisi ne? Olasılık Mevcut koşullarda tehditin gerçekleşmesi olasılığı nedir? Risk ifadesi (Riski ifade eden/tanımlayan bir cümle) Organizasyonlarda Risk Yönetimi Olgunluk Düzeylerinin Belirlenmesi İşletmelerin risk yönetimi olgunluk düzeylerini saptamada yardımcı olabilecek bazı dokümanlar: National Institute of Standards and Technology (NIST) IT Governance Institute International Standards Organization (ISO) Security Self-Assessment Guide for Information Technology Systems (SP-800-26) Control Objectives for Information and Related Technology (CobiT) ISO Code of Practice for Information Security Management (ISO 27001) Roller ve Sorumlulukların Belirlenmesi Yönetici Ne Önemlidir? Kabul edilebilir risklerin belirlenmesi BG Grubu Risklerin derecelendirilmesi Risklerin değerlendirilmesi Güvenlik ihtiyaçlarının tanımlanması Güvenlik çözümlerinin ölçülmesi BT Grubu En iyi kontrol çözümü Güvenlik çözümlerinin planlanması ve oluşturulması Güvenlik çözümlerinin devreye alınması ve kontrol edilmesi 7
Risk Analizi Risk analizi ile üç sonuç ortaya çıkar : (1) tehditlerin belirlenmesi; (2) bir tehditin oluşma olasılığı ve oluştuğunda yaratacağı etkiyi göz önüne alarak bir risk seviyesinin belirlenmesi, (3) riski kabul edilebilir bir seviyeye indirecek kontrollerin ve güvenlik çözümlerinin tanımlanması Risk; a) tehditin oluşma olasılığı ve b) o varlık ile ilgili ilgili iş sürecine etkisinin bir fonksiyonudur Risk analizinin 6 aşaması 1. Varlıkların tanımlanması 2. (Her bir varlığa olan) tehditlerin belirlenmesi 3. Her bir tehditin ortaya çıkma olasılığının belirlenmesi 4. (Ortaya çıktığı durumda) Tehditin varlığımıza olan etkisinin belirlenmesi 5. Riski azaltmak için alınabilecek önlemlerin (kontroller) belirlenmesi 6. Herşeyin dokümante edilmesi Risk Değerlendirme NIST Style 8
NIST Varlıkların Belirlenmesi (System Characterization) The first step in the risk analysis process is to define the process, application, system, or asset that is going to have the risk analysis performed upon it. The key here is to establish the boundaries of what is to be reviewed. If we are going to manage risk analysis as a project, then the asset definition must be looked upon as a scope statement To gather relevant information about the asset or process under review, the risk management team can use a number of techniques. These include questionnaires, on-site interviews, documentation review, and scanning tools DİKKAT!! Eğer Varlık Sınıflandırması yaptıysanız, Sizin için «en önemli» varlıklarınız hakkında bilgi sahibisiniz! 9
Varlıkların Belirlenmesi /Varlık Tipleri Bilgi: databases and data files, company or system documentation, contracts, user manuals, training material, operational or support procedures, guidelines, documents containing important business results, continuity plans, or fallback arrangements. Varlıkların Belirlenmesi /Varlık Tipleri Süreçler ve servisler: including business processes, application specific activities, computing and communications services and other technical services supporting the processing of information (heating, lighting, power, air-conditioning services) Yazılım: including application software, system software, development tools and utilities Varlıkların Belirlenmesi /Varlık Tipleri Fiziksel varlıklar: including computer and communications equipment, media (paper, tapes, CDs and disks), and other technical equipment (power supplies, air-conditioning units), furniture and accommodation that are used to support the processing of information İnsan: including personnel, customers, subscribers, and any other person within the ISMS that is involved with storing or processing of information. 10
Tehditlerin Belirlenmesi We define a threat as an undesirable event that could impact the business objectives or mission of the business unit or enterprise. Some threats come from existing controls that were either implemented incorrectly or have passed their usefulness and now provide a weakness to the system or platform that can be exploited to circumvent the intended behavior of the control. This process is known as exploiting a vulnerability We will want to create as complete a list of threats as possible. Typically, there are three major categories of threats : Risk Analizi Tehditlerin Belirlenmesi Kurumunuza olabilecek tehditler nelerdir? İnsan Çevresel Doğal Bilgisayar korsanları Eski çalışanlar Davetsiz misafirler (hırsız gibi) Yangın Virüsler Elektrik kesintileri /problemleri Sel Deprem Hortum Risk Analizi Genel bir bakış İnsan Çevresel Doğal Tehdit motivasyonu Tehditin kapasitesi Mevcut kontroller Hata/kusur Zayıflık Kontrol eksikliği 11
Tehditlerin belirlenmesi To create a complete list of threats, there are a number of different methods that can be used. These include developing checklists : if used improperly, a checklist will impact the free flow of ideas and information. So use them to ensure that everything gets covered or identified, but do not make them available at the beginning of the process (like brainstorming!) examining historical data : Research what types of events have occurred as well as how often they have occurred. Once you have the threat, it may be necessary to determine the annual rate of occurrence (ARO). This data can be obtained from a number of sources On-site Interviews. Interviews with IT system support and management personnel can enable risk assessment personnel to collect useful information about the IT system Document Review. Policy documents (e.g., legislative documentation, directives), system documentation (e.g., system user guide, system administrative manual, system design and requirement document, acquisition document), and security-related documentation (e.g., previous audit report, risk assessment report, system test results, system security plan5, security policies) can provide good information about the security controls used by and planned for the IT system Bazı örnek tehditler(from NIIT document) Örnek : Açıklık-tehdit çiftleri 12
(ISO27001) de listelenen bazı tehdit kaynakları disclosure of information disclosure of passwords disruption to business processes dust earthquake eavesdropping environmental contamination (and other forms of natural or man-made disasters) equipment failure errors failure of communications services failure of supporting utilities (such as electricity, water supply, sewage, heating, ventilation, and air conditioning) (ISO27001) de listelenen bazı tehdit kaynakları falsification of records (sahte doküman/kayıt oluşturma) fire (yangın) flooding (sel) fraud (sahtekarlık) hardware failure (donanım hatası) hurricane (kasırga) introduction of unauthorized or untested code illegal import/export of software illegal use of software industrial action (e.g. industrial espionage) information leakage (bilgi sızdırma) information security incidents (BG ihlal olayları) A List of Threats Derived from ISMS interception (alıkoyma/durdurma) interference (karıştırma/engelleme) interruption to business activities and processes lightning (şimşek/yıldırım) loss of integrity loss of records loss of service maintenance error malfunctions of supporting utilities malicious code (kötü niyetli program) masquerading of user identity (kullanıcı adı gizleme) misuse of audit tools misuse of information processing facilities 13
A List of Threats Derived from ISMS misuse of resources or assets network access by unauthorized persons operational support staff error power fluctuation security failure software failure system failure system misuse (accidental or deliberate) theft unauthorized access unauthorized access to audit logs A List of Threats Derived from ISMS unauthorized modification of audit logs unauthorized or unintentional modification unauthorized physical access unauthorized use of IPR material unauthorized use of software unavailability unsuccessful changes A List of Threats Derived from ISMS use of network facilities in an unauthorized way use of software by unauthorized users use of software in an unauthorized way user error vandalism violation of intellectual property rights wilful damage 14
Vulnerabilities related to human resources security - example Threat Vulnerabilities related to physical and environmental security Threat Vulnerabilities related to communications and operations management Threat 15
Vulnerabilities related to Access Control Threat Vulnerabilities related to systems acquisition, development and maintenance Threat Tehditin oluşma olasılığının belirlenmesi Once a list of threats has been finalized, it is necessary to determine how likely that threat is to occur. The risk management team will want to derive an overall likelihood that indicates the probability that a potential threat may be exercised against the risk analysis asset under review. It will be necessary to establish definitions on probability and a number of other key terms 16
Risk Analizi Olasılıkların belirlenmesi Tehditin oluşma olasılığını nedir? Tehdit Motivasyonu Tehditin Kapasitesi Mevcut Kontroller Risk Analizi Etkilerin Değerlendirilmesi Eğer Tehdit Ortaya Çıkarsa, Bunun İşletmenize Etkisi Ne Olacaktır? Will Your Organization Be Knocked Out? Tehditin Etkisinin Belirlenmesi Having determined the probability that a threat might occur, it will then be necessary to determine the impact that the threat will have on the organization. Before determining the impact value, it is necessary to ensure that the scope of the risk analysis has been properly defined. It will be necessary to ensure that the risk management team understands the objectives or mission of the asset under review and how it impacts the organization s overall mission or objectives When determining the risk level (probability and impact), it will be necessary to establish the framework from which the evaluation is to occur. That is, how will existing controls impact the results? 17
Tehditin Etkisinin Belirlenmesi Typically, during the initial review, the threats are examined as if there are no controls in place. This will provide the risk management team with a baseline risk level from which you can identify the controls and safeguards and measure their effectiveness. The results of the review of probability and impact is the determination of a risk level that can be assigned to each threat. Once the risk level is established, then the team can identify appropriate actions The risk level process will require the use of definitions for probability and impact, as well as definitions of levels. The following are sample definitions and how they might be used by the risk management team Tehditin Etkisinin Belirlenmesi (NIST Yaklaşımı) Tehditin Etkisinin Belirlenmesi 18
Risk hesaplama başka bir yaklaşım Bu yaklaşımda, risk değerleri 1..8 ile derecelendirilerek gösterilir Risk değerlendirme raporu Bölüm Kateg ori. Varlıklar # Tehditler Açıklıklar Risk değeri Seçilen kontroller R&D Dept Service File server (windows 2000 server) 1 Malicious software, Misuse, Human errors, unauthorized assess,.. system vulnerabilities 5 A.9.2.4 A.10.1.1~A.10.1.4 A.10.4.1~A.10.4.2 A.11.x.x Riskleri belirle: a. Assets / Threats / Vulnerabilities b. Impact Riskleri değerlendir: a. Estimate the levels Riskleri tedavi et a. Reduce risks by applying appropriate controls b. Transfer risks c. Avoid risks d. Accept risks 19
Risk Analizi Yüksek (3) 7 8 9 Kabul Edilemez Riskler ETKİ Orta (2) Düşük (1) 1 4 5 Kabul 6 Edilebilir Risk Sınırı Kabul edilebilir Riskler 2 3 Minimal Risk Sınırı Minimal Risk Sınırı Düşük (1) Orta (2) OLASILIK Yüksek (3) www.niyazikurnaz.net Önerilen Kontroller After assigning the risk level, the team will identify controls or safeguards that could possibly eliminate the risk or at least reduce the risk to an acceptable level. Remember that one of the goals of risk analysis is to document the organization s due diligence when making business decisions. Therefore, it is important to identify as many controls and safeguards as possible. By doing this the team will be able to document all the options that were considered Önerilen Kontroller The are a number of factors that need to be considered when recommending controls and alternative solutions. For example, how effective is the recommended control? One way to determine the relative effectiveness is to perform the risk level process (probability and impact) to the threat with the control in place. If the risk level is not reduced to an acceptable point, then the team may want to examine another option. There may also be legal and regulatory requirements to implement specific controls. With so many new and expanding requirements mandated by government agencies, controlling boards, and laws, it will be necessary for the risk management team to be current on these requirements. 20
Önerilen Kontroller When selecting any type of control, it will be necessary to measure the operational impact on the organization. Every control will have an impact. It could be the expenditure for the control itself. It could be the impact of productivity and turn-around time.even if the control is a new procedure, the effect on the employees must be reviewed & used in the determination on whether to implement or not. A final consideration is the safety and reliability of the control or safeguard. Does the control have a track record that demonstrates that it will allow the organization to operate in a safe and secure mode? The overall safety of the organization s intellectual property is at stake. The last thing that the risk management team wants to do is implement a control that puts the enterprise at a greater risk To be effective, the risk analysis process should be applied across the entire organization. That is, all of the elements and methodology that make up the risk analysis process should be standard and all business units trained in its use. The output from the risk analysis will lead the organization to identify controls that should reduce the level of threat occurrence ÖRNEK Dokümantasyon Once the risk analysis is complete, the results should be documented in a standard format and a report issued to the asset owner. This report will help senior management, the business owner, make decisions on policy, procedures, budget, and systems and management changes. The risk analysis report should be presented in a systematic and analytical manner that assesses risk so that senior management will understand the risks and allocate resources to reduce the risk to an acceptable level 21
Risk Analizi Süreci Kapsam Belirle/ Varlıklar Tehditlerin Belirlenmesi Açıklıkların Değerlendirilmesi Risk değerinin belirlenmesi / Ortaya çıkma olasılığı Tehdit etkisinin ve riskin Saptanması Önerilen Kontroller Herşeyi dokümante et! Risk Mitigation /Riski Azaltma Metodolojileri Risk mitigation is a systematic methodology used by senior management to reduce organizational risk. The process of risk mitigation can be achieved through a number of different methods. We will take a few minutes and discuss the six most common methods of risk mitigation Risk Management Risk Mitigation Planla Bir uygulama planı hazırla Devreye Al Test et & Doğrula Kontrollerin etkinliğinden emin ol Artık riski belirle Transfer, Reddet/Reject, Azalt/Reduce, Kabul et 22
Risk Management Risk Mitigation Risk Yönetimi Süreci Risk Azaltma Sorumlulukları Belirle Uygulama Planı Geliştir Kontrolleri Devreye Al Test Et ve Doğrula Artık Riski Belirle Kontrol Kategorileri In the information security architecture there are four layers of controls. These layers begin with Avoidance, then Assurance, then Detection, and finally Recovery. Or you can create a set of controls that map to the enterprise, such as Operations, Applications, Systems, Security, etc. Mapping to some standard such as ISO 27001 is another option. When identifying possible controls, it could be beneficial to categorize controls into logical groupings. 23
Risk Yönetimi Güvenlik Kontrolleri Kontrol Tipleri Yönetimsel Kontroller Politika ve Prosedürler Yaptırımlar Fiziksel Kontroller Security Guards Locks Proximity Card Readers Teknik Kontroller Firewalls IDS (Intrusion Detection Systems) Encryption And Decryption Risk Management Security Controls Types of Controls Firewalls, Locks and Security Cameras Are Preventative Controls Intrusion Detection Systems And System Auditing Are Detective Controls Fayda-Maliyet Analizi To allocate resources and implement cost-effective controls, organizations, after identifying all possible controls and evaluating their feasibility and effectiveness, should conduct a cost/benefit analysis. This process should be conducted for each new or enhanced control to determine if the control recommended is appropriate for the organization. A cost/benefit analysis should determine the impact of implementing the new or enhanced control and then determine the impact of not implementing the control 24
Fayda-Maliyet Analizi When performing a cost/benefit analysis, it is necessary to consider the cost of implementation based on some of the following: Costs of implementation, including initial outlay for hardware and software Reduction in operational effectiveness Implementation of additional policies and procedures to support the new controls Risk Management Security Controls Fayda-Maliyet Analizi Impact Of Risk Outweighs Cost Of Control $20,000 to protect $10,000 worth of data or assets???? Consider All Costs Such As: Product Implementation Testing Maintenance Training Support Risk Management Security Controls Önceliklendirme ve Kontrol Seçimi Determine Risks With Greatest Impact And/Or Highest Likelihood Of Occurrence Rank And Present To Management For Implementation 25
Risk Management Process Security Control Identify Security Controls Analyze Cost/Benefit Prioritize Controls Select Controls Business Continuity Planning / İş Sürekliliği Planlama (İSP) AMAÇ: Herhangi bir olumsuz koşul içine girildiğinde kritik iş fonksiyonlarının nasıl sürdürüleceğini planlamak 26
İş Sürekliliği Planlama - İş Sürekliliği Planlama Politikası İş Sürekliliği Planlama Politikası 27
İSP Kapsamı: Herhangi bir olumsuzluk veri işleme kabiliyetini ortadan kaldırdığında ya da ciddi olarak sekteye uğrattığında kritik iş süreçlerinin devamının sağlanması Spesifik bazı aksiyonlar için Hazırlık, test etme ve bakım yapılması ve böylece normal veri işleme yeteneğinin geri kazanılması Felaketler : Doğal ve insan kaynaklı Yangın, sel, kasırga, hortum, deprem, volkanlar Uçak kazaları, saldırı, terörizm, ayaklanma, sabotaj, personel kaybı vb. Normal veri işleme kabiliyetini ciddi biçimde azaltan ya da yok eden herhangi birşey Felaketler (Olağanüstü durum), iş çerçevesinde tanımlanır: Eğer kritik iş süreçlerine zarar veriyorsa bu bir felaket olarak değerlendirilebilir. Zamana bağlı tanım işletme böyle bir derde ne kadar uzun süre dayanabilir? Gözlem olasılığı 28
Daha Geniş bir perspektifte İSP hedefleri - CIA Availability the main focus Confidentiality still important Integrity still important İSP hedefi Aşağıdaki işleri yapacak bir planın oluşturulması, dökümante edilmesi, test edilmesi ve güncellenmesi ana hedeftir: Kritik iş operasyonlarının uygun bir zaman diliminde kurtarılmasına izin vermek Kayıpları en aza indirmek Yasal ve mevzuatla ilgili gereksinimlere uymak İSP Kapsamı Eskiden sadece veri işlemleri ile ilgiliydi (Bilgi İşlem Merkezi) Günümüzde ise : Dağıtık sistemler Personel, ağ, elektrik gücü IT ortamının bütün konuları 29
İSP Oluşturulması sürekli bir işlem. Başlayıp biten bir proje olarak görülmemesi gerekir Creating, testing, maintaining, and updating Critical business functions may evolve The BCP team must include both business and IT personnel Requires the support of senior management 5 temel İSP fazı Proje Yönetimi & başlangıç İş Etki Analizi - Business Impact Analysis (BIA) Kurtarma stratejileri - Recovery strategies Plan, tasarım ve geliştirme - Plan design & development Test, bakım, farkındalık ve eğitim - Testing, maintenance, awareness, training I - Project management & initiation İhtiyacın belirlenmesi (risk analysis) Get management support Takım Oluşturma (functional, technical, BCC Business Continuity Coordinator) Create work plan (scope, goals, methods, timeline) Initial report to management Obtain management approval to proceed 30
II - Business Impact Analysis (BIA) İş Etki Analizi Goal: obtain formal agreement with senior management on the MTD for each time-critical business resource MTD maximum tolerable downtime, also known as MAO (Maximum Allowable Outage) II - Business Impact Analysis (BIA) Quantifies loss due to business outage (financial, extra cost of recovery, embarrassment) Does not estimate the probability of kinds of incidents, only quantifies the consequences II - BIA phases Choose information gathering methods (surveys, interviews, software tools) Select interviewees Customize questionnaire Analyze information Identify time-critical business functions 31
GELECEK HAFTA.. ISO27001 Standardı İncelemesi 32