BİLİŞİM SİSTEMLERİ GÜVENLİĞİNDE YENİ EĞİLİMLER

Benzer belgeler
Uygulamaları ulut bilişime geçirmeden önce, firmanızın/şirketinizin ya da. işinizin gereksinimlerini göz önüne almanız gerekir. Aşağıda bulut bilişime

Bilgi Güvenliği Eğitim/Öğretimi

İÇİNDEKİLER. YAZARLAR HAKKINDA... v. RESİMLER LİSTESİ...xv. 1.1.Bulut Bilişim Kavramının Analizi...1 BÖLÜM 1: TEMELLER...1

İstanbul Bilişim Kongresi. Bilişim Yönetişimi Paneli CobiT ve Diğer BT Yönetim Metodolojileri Karşılaştırması. COBIT ve ISO 27001

Bulut Bilişimin Hayatımızdaki Yeri İnternet Haftası Etkinlikleri 17 Nisan Yard.Doç.Dr.Tuncay Ercan

ULUSAL BİLGİ SİSTEMLERİSTEMLERİ GÜVENLİK PROGRAMI

Bulut Bilişim. Ege Üniversitesi Bilgisayar Mühendisliği Web Servisleri

Bu model, tüm halka servislere ve sistemlere kolaylıkla erişebilmeyi imkan verir. Örneğin

BT DENETİMİ EĞİTİMİ BÖLÜM 1 Bilgi Teknolojilerinin Hayatımızdaki Yeri

UHeM ve Bulut Bilişim

SAMM ile Güvenli Yazılım Geliştirme

IBM Servis Yönetimi Stratejisi. Çağlar Uluğbay Ürün Yöneticisi Tivoli IBM Türk Limited Şirketi

Siber Savunma. SG 507Siber Savaşlar Güz 2014 Yrd. Doç. Dr. Ferhat Dikbıyık

BioAffix Ones Technology nin tescilli markasıdır.

SAMM (Software Assurance Maturity Model) ile Güvenli Yazılım Geliştirme

ESİS Projesi. Kaynaklar Bakanlığı

"Bilişimde Devrime Devam"

Kurumsal Kimlik Yönetimi ve Güçlü Kimlik Doğrulama. Yılmaz Çankaya

T.C. ÇEVRE VE ŞEHİRCİLİK BAKANLIĞI Coğrafi Bilgi Sistemleri Genel Müdürlüğü. Hüseyin BAYRAKTAR

1. İŞLETMECİ BİLGİ GÜVENLİ YÖNETİM SİSTEMİ (BGYS) KURULACAK VE İŞLETECEKTİR.

Bulut ta güvenlikle nasıl mücadele edersiniz?

WINDESKCONCENTO. sıgnum. Kurumsal İş Süreçleri Uygulamaları. windesk.com.tr

Bilgisayar Mühendisliğinin Temelleri (COMPE 100) Ders Detayları

ANET Bilgi Güvenliği Yönetimi ve ISO Ertuğrul AKBAS [ANET YAZILIM]

IBM Rational ile Yazılım Yaşam Döngüsü Mehmet Çağrı ELIBOL IBM Rational Satış Yöneticisi

ERZİNCAN ÜNİVERSİTESİ. BİLGİ YÖNETİM SİSTEMİ Mevcut Durum Analiz ve Kapasite Geliştirme Projesi

Akıllı Şebekede Siber Güvenlik Standardizasyonu

EKLER EK 12UY0106-5/A4-1:

İş Sürekliliği Ve Güvenliği

Selahattin Esim CEO

Tedarikçi risklerini yönetebilmek

ESRI Türkiye Konferansı

CENG 302 Yazılım Mühendisliği Yazılım Mimarisi - Devam. Alper UĞUR

OpenAIREplus Zenodo Son Gelişmeler

Lojistik ve Taşımacılık Sektöründe Yeni Hizmet Modeli. Lojistik ve Taşımacılık Sektöründe Yeni Hizmet Modeli

Bulut Bilişim (ISE 514) Ders Detayları

Model Tabanlı Geliştirmede Çevik Süreç Uygulanması

BioAffix Ones Technology nin tescilli markasıdır.

Atılım Üniversitesi Bilgi & Đletişim Teknolojileri Müdürlüğü Sistem Yönetim Uzmanı Görev Tanımı

e-kuruma DÖNÜŞÜM PROJESİ

BioAffix Ones Technology nin tescilli markasıdır.

Bilişim Teknolojileri Test ve Belgelendirme Hizmetleri. Mustafa YILMAZ

Kurumsal bilgiye hızlı ve kolay erişim Bütünleşik Belge Yönetimi ve İş Akış Sistemi içinde belgeler, Türkçe ve İngilizce metin arama desteği ile içeri

Dijital Dünyada Yazılım Varlık Yönetiminin Artan Önemi

MIS 325T Servis Stratejisi ve Tasarımı Hafta 7:

Pardus Vizyonu. Prof. Dr. Abdullah ÇAVUŞOĞLU

Teknik Açıklıklar Nasıl Yönetilmeli? Hayretdin Bahşi Uzman Araştırmacı

Dijital Dönüşüm ile. Değişen Üretim Süreçleri ve Yeni İş Modelleri. Doç. Dr. Alp ÜSTÜNDAĞ

KABLOSUZ AĞ GÜVENLİĞİNE KURUMSAL BAKIŞ

ENTEGRE YÖNETİM SİSTEMİ YAZILIMI

Atılım Üniversitesi Bilgi & Đletişim Teknolojileri Müdürlüğü Sistem Yönetim Uzman Yardımcısı Görev Tanımı

Bilgi Teknolojileri Yönetişim ve Denetim Konferansı BTYD 2010

İstemci Yönetimi ve Mobil Yazdırma Çözümleri

Yazılım Tanımlı Veri Merkezi - SDDC. Sezgin AŞKIN

EMC Forum Yazılım Temelli Veri Depolama Moro Hekim Sistem Mühendisi

bt-pota Bilgi Teknolojileri Hizmetleri Belgelendirme Standartları Merve Saraç Nisan 2008

Bilgi Teknolojileri Ürün Güvenliği İçin Ortak Kriterler Sertifikasyonu ve Türkiye

Yazılım Destek Hizmeti

Hizmet Sağlayıcı Yönetimi

3. hafta Bulut Bilişim Mimari Yapısı

HSE RADAR. İş Sağlığı ve Güvenliği Yönetimi Uygulama, Denetim, Eğitim ve Takip HSE GLOBAL YAZILIM A.Ş. 11 Mart 2016

ESRI Türkiye Konferansı BULUT BİLİŞİM İLE TURİZM HARİTALARININ YAYIMLANMASI: TRABZON İLİ ÖRNEĞİ

Bilgisayar Güvenliği (ISE 412) Ders Detayları

Bilgi Sistemleri Risk Yönetim Politikası

Proceedings/Bildiriler Kitabı II. YAZILIM G M I. G September /Eylül 2013 Ankara / TURKEY ULUSLARARASI

BİLGİ SİSTEMLERİ YÖNETİMİ TEBLİĞİ

Atılım Üniversitesi Bilgi & Đletişim Teknolojileri Müdürlüğü Bilgi Güvenliği ve Ağ Yönetim Uzmanı Görev Tanımı

SOSAM: SANAL ORTAM SAVUNMA MERKEZİ

COBIT Bilgi Sistemleri Yönetimi. Şubat 2009

Kriptoloji Kavramları ve Kripto Analiz Merkezi Gökçen Arslan

TÜBİTAK UEKAE ULUSAL ELEKTRONİK ve KRİPTOLOJİ ARAŞTIRMA ENSTİTÜSÜ


SPICE TS ISO/IEC Kerem Kemaneci Ankara

Bilgisayar Ağlarında Özel Konular (COMPE 435) Ders Detayları

SPK Bilgi Sistemleri Tebliğleri Uyum Yol Haritası

BİLİŞİM SİSTEMLERİNİN PRENSİPLERİ

Bilgi İşlemde Yeni Bir Çağ IBM Corporation

MerSis. Bilgi Teknolojileri Yönetimi Danışmanlık Hizmetleri

Ulusal Elektronik ve Kriptoloji Araştırma Enstitüsü. Mayıs 2008, Gebze

BİRİM KALİTE GÜVENCESİ DEĞERLENDİRME RAPORU. Bilgi İşlem Daire Başkanlığı

intercomp.com.tr İşinizi büyütmenin en hızlı yolu Bilişimde doğru çözüm ortağınız

Kaspersky Küçük ve Orta Ölçekli İşletmeler İçin Güvenlik

Sağlık Bilgi Teknolojileri ve Yazılım Süreç Yönetimi

Tarih Saat Modül Adı Öğretim Üyesi. 01/05/2018 Salı 3 Bilgisayar Bilimlerine Giriş Doç. Dr. Hacer Karacan

KALİTE YÖNETİM SİSTEMLERİ YAZILIMI

C3S Komuta Kontrol ve Sibernetik Sistemler Ltd. Şti. ŞİRKET BİLGİLERİ VE TANITIMI

ÖNDER BİLGİSAYAR KURSU. Sistem ve Ağ Uzmanlığı Eğitimi İçeriği

Yazılım Mühendisliği 1

Mobil Güvenlik ve Denetim

BİRİM KALİTE GÜVENCESİ DEĞERLENDİRME RAPORU. Bilgi İşlem Daire Başkanlığı

Tarımsal Üretim Uygulamalarında Bulut Hesaplama (Cloud Computing) Teknolojisi

Yazılım Mühendisliğinin Temelleri (SE 100) Ders Detayları

AKILLI ŞEHİRLERİN BİLİŞİM ve VERİ ALTYAPISI

MerSis. Bilgi Teknolojileri Bağımsız Denetim Hizmetleri

SÜREÇ YÖNETİMİ UZMANLIK PROGRAMI

Pardus Çalıştayı Hayrettin Bucak ULAKBİM Müdür V

EK-3.9 İDARİ İSLER VE KOORDİNASYON DAİRE BAŞKANLIĞI

BULUT BİLİŞİM VE BÜYÜK VERİ ARAŞTIRMA LABORATUVARI. Ekim 2017

Sİber Güvenlİk Hİzmet ve Ürün Kataloğu.

Transkript:

BİLİŞİM SİSTEMLERİ GÜVENLİĞİNDE YENİ EĞİLİMLER Dr. Hayrettin Bahşi bahsi@uekae.tubitak.gov.tr 11 Mart 2010

Gündem Bulut Hesaplama Sistemleri ve Bilgi Güvenliği Güvenli Yazılım Geliştirme Hayat Döngüsü Farklı Güvenlik Seviyesindeki Ağların Birbirleriyle Bağlanması Akıllı Kartlar ve Yan Kanal Analizi 2

Bulut Hesaplama Sistemleri ve Bilgi Güvenliği (1) Bulut Hesaplama Sistemleri Nedir? Bilgi Teknolojileri (BT) kullanımı için yeni bir servis veya iş modeli BT servislerinin üçüncü partilerce verilmesi Internet/Intranet üzerinden erişilebilir olması Kullanım temelinde ücretlendirilir olması 3 Bulut Hesaplama Sistemlerinin Avantajları Nelerdir? Kullandığın kadar öde modeli Altyapı için gereken yatırım ve işletim giderlerinin azaltılması BT yatırım ve işletim deneyiminin müşteriler için gerekmemesi

Bulut Hesaplama Sistemleri ve Bilgi Güvenliği (2) Teknik altyapısı Sanallaştırma Dağıtık işlem mimarileri Dinamik kaynak atama aracı yazılımları Güvenilir ve hızlı bir İnternet ve iletişim altyapısı Servis Çeşitleri Bulut Altyapısı Bulut Platformu Bulut Uygulaması 4

Bulut Hesaplama Sistemleri ve Bilgi Güvenliği (3) Bulut Hesaplama Sistemleri Uygulama Modelleri Genel Bulut Modeli (Public Cloud) o Çok farklı organizasyonlarca kullanılması Özel Bulut Modeli (Private Cloud) o Sadece bir organizasyon tarafından kullanılması o İlgili organizasyonca ya da üçüncü parti tarafından yönetilmesi o Organizasyonun kendi tesislerinde de bulunabilmesi Topluluk Bulut Modeli (Community Cloud) o Belirli bir grup organizasyonca kullanılması o Belirli bir misyon, politika ve gereksinime sahip olma Melez Bulut Modeli (Hybrid Cloud) o İki farklı modeli birden içeren yapılar 5

Bulut Hesaplama Sistemleri ve Bilgi Güvenliği (4) Bilgi güvenliği yönetimi sorumluluğu Bulut yazılımda modelinde müşteri sorumluluğu en az Bulut altyapı modelinde müşteri sorumluluğu en fazla Her durumda müşterinin sorumluluğu Hizmete ait güvenlik yeterlilik maddelerinin kontrata ilave edilmesi Hizmeti verenin bilgi güvenliği açısından denetlenmesi 6

Bulut Hesaplama Sistemleri ve Bilgi Güvenliği (5) Bulut uygulama modelinin risk analizi sonucu seçilmesi İç tehdit riskinin üzerinde durulması Risk yönetiminde ve bilgi güvenliği yönetiminde sorumlulukların paylaşımı Kontratta bilgi güvenliği kriterlerinin net tanımlanması Servisin sürekliliğinin sağlanması İnternet erişimi Depolama ve işleme kaynaklarının yeterliliği Firmanın çalışamaması durumunda yapılacakların planlanması 7

Bulut Hesaplama Sistemleri ve Bilgi Güvenliği (6) Verinin gizliliğinin sağlanması Şifreleme işlemlerinin etkin yapılması Şifreleme anahtarlarının dağıtılması Kimlik ve erişim yönetimi İçeriğin sorumluluğunun kime ait olduğunun belirlenmesi Verinin lokasyonu (yurtdışında olabilir) ile ilgili kanunlara uyum 8

Güvenli Yazılım Geliştirme Hayat Döngüsü (1) Günümüzde yazılım güvenliğinin ele alınma yöntemi Güvensiz yazılımların temel nedenleri Yazılımın sızma testine tabi tutulması Yazılım kaynak kodlarının incelenmesi Yazılım güvenliğinin son kabul aşamasında ele alınması Tüm açıklıkların tespit edilememesi Tespit edilenler için yapılacak çalışmaların maliyetli olabilmesi CMMI gibi standartların doğrudan bilgi güvenliğini adreslememesi İşlevsel fonksiyonlara odaklanma Yazılım geliştiricilerin güvenlik bakış açısına sahip olmaması Bilgi güvenliği çalışmalarının tüm geliştirme süreçlerine yayılmamış olması 9

Güvenli Yazılım Geliştirme Hayat Döngüsü (2) - Güvenlik Gereksinimleri - Tehdit Modelleme ve Risk Analizi - Açıklık Yönetimi Gerekesinim Analizi - Güvenli Yazılım Mimarisi - Güvenli Yazılım Tasarımı - Çevre Bileşenlerle Güvenli Entegrasyon -Kullanım ve İşletim Kılavuzlarında Güvenlik - Güvenli Teslim Etme ve Dağıtım Destek Yaygınlaştırma Bilgi Güvenliği Bilinçlendirmesi ve Eğitimi Bilgi Güvenliği Sorumlulukları ve Organizasyonu Tasarım Geliştirme - Güvenli Yazılım Geliştirme Prosedürleri -Güvenlik Birim Testleri -Geliştirme Ortamlarının Fizilsel ve Mantıksal Güvenliği Doğrulama - Kaynak Kod Analizi - Son Güvenlik Test ve Değerlendirmesi - 10

Güvenli Yazılım Geliştirme Hayat Döngüsü (3) 11 OpenSAMM Modeli Yazılım Garanti Olgunluk Modeli (Software Assurance Maturity Model) OWASP (Açık Web Uygulama Güvenliği Projesi) grubu tarafından 2008 yılında yayınlandı 2009 yılında yeni sürümü yayınlandı 4 ana fonksiyon altında toplam 12 uygulama alanı Uygulama alanları için 4 farklı olgunluk seviyesi tanımı 0 : İlgili alanda herhangi bir aktivite yok 1 : İlgili alanda düzensiz bir uygulama var 2 : İlgili alanda etkinlik ve verimlilik artmakta 3 : İlgili alanda mükemmel bir uygulama var Genel amaç: Uygulamada gerçekleşecek değişimlerin artımsal olabilmesini Kuruma özgü adaptasyon yapılabilecek bir anaçatı Anlaşılabilir kavramlar kullanmak Ölçülebilir, basit ve iyi tanımlanmış süreçler oluşturmak

Güvenli Yazılım Geliştirme Hayat Döngüsü (4) OpenSAMM Modeli YÖNETİŞİM (GOVERNANCE) - Strateji ve Ölçütler - Politika ve Uyumluluk - Eğitim ve Yönlendirme YAPIM (CONSTRUCTION) - Tehdit Modelleme - Güvenlik Gereksinimleri - Güvenli Mimari DOĞRULAMA (VERIFICATION) - Tasarım Gözden Geçirme - Yazılım Kodu Gözden Geçirme - Güvenlik Testleri KONUŞLANDIRMA (DEPLOYMENT) - Açıklık Yönetimi - Çevrenin Sıkılaştırılması - Operasyonel Kabiliyet 12

Güvenli Yazılım Geliştirme Hayat Döngüsü (5) Microsoft Güvenli Yazılım Geliştirme Döngüsü (Software Development Life Cycle) Microsoft un 2002 Ocak ayında ortaya attığı Trustworthy Computing (TwC) yönergesinin ilerletilmiş şekli 2004 yılında Microsoft SDL haline getirilmiş Halihazırdaki Microsoft ürünleri bu geliştirme döngüsü kullanılarak üretime alınmakta Genel Amacı: Geliştirilen yazılımlarda hatanın geliştirme, test etme ve dokümantasyon aşamalarında tespit edilerek üretim ortamına alınmadan giderilebilmesi Kullanıcıların kişisel gizliliğini koruyacak önlemleri almış yazılımlar üretilebilmesi Planlanan yazılım geliştirme son tarihlerine güvenliğin de sağlanarak uyum 13

Güvenli Yazılım Geliştirme Hayat Döngüsü (6) Microsoft Güvenli Yazılım Geliştirme Hayat Döngüsü Modeli TASARIM AÇISINDAN GÜVENLİLEŞTİRİLMESİ (Secure by Design) - Güvenli Mimari ve Tasarım - Tehdit Modelleme ve Önleme - Açıklıkların Elenmesi - Güvenlik İyileştirmeleri VARSAYILAN AYARLARIN GÜVENLİLEŞTİRİLMESİ (Secure by Default) - En Düşük Seviyeli Haklar - Derinlemesine Savunma - Önleyici Varsayılanlar - Kullanılmayan Servislerin Kapatılması GELİŞTİRMEDE GÜVENLİLEŞTİRME (Secure in Deployment) - Üretime Alma Kılavuzları - Analiz ve Yönetim Araçları - Yama Araçları İLETİŞİM (Communications) - Olay Müdahale - Toplulukla İlişkiler 14

Farklı Güvenlik Seviyesindeki Ağların Birbirleri ile Bağlanması (1) Farklı kurumların doğrudan birbirleri ile bilgi alışverişi ihtiyacı İnternet üzerinden bilgi alış verişi Bazı kurumlarda güvenlik önlemi olarak Kritik verilerin işlendiği Diğer ağlardan izole Askeri, kamu veya bazı özel kurumlarda farklı ağlar oluşturuldu İzole ağların İnternet üzerindeki diğer ağlarla tek yönlü ya da çift yönlü bilgi alışverişi İzole ağlar arasında tek yönlü ya da çift yönlü bilgi alışverişi 15

16 Farklı Güvenlik Seviyesindeki Ağların Birbirleri ile Bağlanması (2)

Farklı Güvenlik Seviyesindeki Ağların Birbirleri ile Bağlanması (3) Sınır güvenliğinin sağlanması Güvenlik duvarları ve benzeri mekanizmalar Tek yönlü iletişim sağlayan ağ cihazları Bilgi güvenliği yönetimi İki ya da daha fazla kurumun koordine olma zorunluluğu Bilgi güvenliği yönetim sistemleri bazında uzlaşma Ağlar arası bağlantı güvenlik anlaşması Ele alınması gereken bilgi güvenliği yönetimi unsurları Ağların bağlanma kararının risk analizi sonucu verilmesi Bilginin sınıflandırılması konusunda anlaşılması Bilginin korunma yöntemlerinde anlaşılması ve yöntemlerin uygulanması 17

Farklı Güvenlik Seviyesindeki Ağların Birbirleri ile Bağlanması (4) Bilgi güvenliği yönetim unsurları Bilgisayar olaylarına müdahale koordinasyonu Ortak iş sürekliliği planlaması Kullanıcı kimlik doğrulama ve yetkilendirme Değişiklik yönetimi Bağlantı kesilecekse söz konusu çalışmanın planlanması 18

19 Akıllı Kartlar ve Yan Kanal Analizi (1)

Akıllı Kartlar ve Yan Kanal Analizi (2) ŞİFRELENECEK VERİ ŞİFRELİ VERİ İMZALANACAK VERİ İMZALI VERİ GÜÇ ELEKTROMANYETİK ALAN ZAMAN 20 Kriptografik kuvvetlilik dışındaki yöntemleri kullanır Dışarıdan ölçülebilen Güç Elektromanyetik alan Zaman Şifreleme ve imzalama anahtarları elde edebilme

Akıllı Kartlar ve Yan Kanal Analizi (3) Donanım ve yazılım uygulamasına göre yan kanal analizine karşı güçlülüğün değişebilmesi Yan kanal analizine direncin risk analizinin yapılması Tasarımların yan kanal analizini önleyecek şekilde gerçekleştirilmesi Akıllı kartların güvenlik açısından değerlendirilmesi Ortak Kriterler (Common Criteria) standardına göre değerlendirilmiş ürün kullanımı Ortak Kriterler standardına göre değerlendirme gerçekleştirilmesi 21

Teşekkürler Sorular?

2024 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim