TSE AÇIKLIK BİLDİRİM PROGRAMI



Benzer belgeler
DOKÜMANLARIN KONTROLÜ PROSEDÜRÜ Doküman No: Yürürlük Tarihi: Revizyon Tarih/No:

BARIŞ TATİL SİTESİ DOKÜMAN KONTROLÜ PROSEDÜRÜ

DOKÜMAN KONTROLÜ PROSEDÜRÜ

AHİ EVRAN ÜNİVERSİTESİ DOKÜMAN VERİ PROSEDÜRÜ

SARAYÖNÜ MESLEK YÜKSEKOKULU DOKÜMANTE EDİLMİŞ BİLGİNİN KONTROLÜ PROSEDÜRÜ

DOKÜMAN KONTROL PROSEDÜRÜ

ABANT İZZET BAYSAL ÜNİVERSİTESİ DOKÜMAN VERİ PROSEDÜRÜ

TÜRKİYE İLAÇ VE TIBBİ CİHAZ KURUMU (TİTCK) ELEKTRONİK BAŞVURU YÖNETİMİ (EBS) TALEP BİLDİRİM KULLANICI KILAVUZU

Amaç, Kapsam, Dayanak ve Tanımlar

DOKÜMANLARIN KONTROLU PROSEDÜRÜ

DOKÜMANLARIN KONTROLÜ YÖNETMELİK PROSEDÜRÜ

ITU BİREYSEL/GRUP SERTİFİKASYONU İÇİN BAŞVURUNUN ELE ALINMASI PROSEDÜRÜ

Yapı Malzemesi Enformasyon Sistemi - YMES. Y.Doç.Dr. Elçin TAŞ Y.Doç.Dr. Leyla TANAÇAN Dr. Hakan YAMAN

6. YETKİNLİK ŞARTLARI

T.C. Sağlık Bakanlığı Strateji Geliştirme Başkanlığı

Mikro Ayarları. Mikro Programının kurulu olduğu veritabanı ve web servisi için bağlantı ayarlarının yapıldığı menüdür.

Siber Güvenlik Risklerinin Tanımlanması / Siber Güvenlik Yönetişimi

DOKÜMANLARIN KONTROLU PROSEDÜRÜ

ELEKTRONİK NÜSHA. BASILMIŞ HALİ KONTROLSUZ KOPYADIR

Açıklama Bölüm Kılavuzun ilk yayım tarihi

T.C. ORDU VALİLİĞİ İl Millî Eğitim Müdürlüğü. Sayı : E Konu : Fatih Projesi BT Rehber Öğretmenliği Görevi Düzenlemesi

Doküman No.: P501 Revizyon No: 06 Yürürlük Tarihi:

TÜRK STANDARDLARI ENSTİTÜSÜ

YAZILIM GÜVENLİK TESTLERİ. H A L D U N T E R A M A N h a l d u n t e r a m a g m a i l. c o m

TÜRKİYE İSTATİSTİK KURUMU TARAFINDAN YAYIMLANMIŞ İSTATİSTİKSEL VERİ VE BİLGİLERDE HATALARIN DÜZELTİLMESİ İLE İLGİLİ USUL VE ESASLAR HAKKINDA YÖNERGE

TÜRK STANDARDLARI ENSTİTÜSÜ BİLİŞİM TEKNOLOJİLERİ TEST VE BELGELENDİRME DAİRESİ BAŞKANLIĞI SIZMA TESTİ UZMANI FAALİYETLERİ

KÜTÜPHANE ve DOKÜMANTASYON DAİRE BAŞKANLIĞI İŞ AKIŞ SÜREÇLERİ

SIZMA TESTİ, EĞİTİM VE DANIŞMANLIK HİZMETİ VEREN PERSONEL VE FİRMALAR İÇİN YETKİLENDİRME PROGRAMI

İlk Yayın Tarihi MÜŞTERİYE HİZMET PROSEDÜRÜ. Balıkesir Gıda Kontrol Laboratuvar Müdürlüğü içerisinde müşteri ile muhatap olan bölümler.

ÖZ DEĞERLENDİRME SORU LİSTESİ

DOKÜMAN KOTROLÜ. Çeviri: Elif KILIÇ, Gıda Müh. Düzenleme: Fırat ÖZEL, Gıda Müh.

DOKUMAN KONTROL TALİMATI Doküman

FRG ULUSLARARASI BELGELENDİRME LTD.ŞTİ. MÜŞTERİ BAŞVURU VE BELGELENDİRME SÜRECİ PROSEDÜRÜ

2. KAPSAM OMÜ Mühendislik Fakültesi bünyesinde kullanılan Kalite Yönetim Sistemi dökümanlarını kapsar.

T. C. KAMU İHALE KURUMU

YAZILIM İÇİN YERLİ MALI BELGESİ DÜZENLEMESİNE İLİŞKİN UYGULAMA ESASLARI

Dijital Varlık Yönetimi Yardım Dokümanı

GÖZLEMSEL ÇALIŞMALAR BAŞVURU FORMU

BELGELENDİRME BAŞVURUSU YOL HARİTASI. Türk Standardları Enstitüsü Ürün Belgelendirme Merkezi Başkanlığı Gıda Sektörü Belgelendirme Müdürlüğü

Web Application Penetration Test Report

Eczane İlaç Satış Onay Bildirimi Web Servislerinin Kullanım Kılavuzu

KKTC MERKEZ BANKASI. SIZMA TESTLERİ GENELGESİ (Genelge No: 2015/01) Mart-2015 BANKACILIK DÜZENLEME VE GÖZETİM MÜDÜRLÜĞÜ

Secure Vendor Administration Tool (SVAT) HP Yeni Tedarikçi Talimatları: Firmanızı HP'nin Tedarikçi Veritabanı na Nasıl Kayıt edebilirsiniz

Veritabanı Güvenliği ve Savunma Algoritmaları

Yazılım Destek Hizmeti

TÜRK AKREDİTASYON KURUMU. Ürün Hizmet ve Muayene Akreditasyon Başkanlığı Muayene Kuruluşu Akreditasyonu

T. C. KAMU İHALE KURUMU

DOKÜMA TASYO ve VERĐ KO TROL PROSEDÜRÜ

( ) YOZGAT BOZOK ÜNİVERSİTESİ DOKÜMANLARIN KONTROLÜ PROSEDÜRÜ

KISIM II BİR PROJENİN PROJE YÖNETİMİ İÇİN STANDART

DOKÜMAN YÖNETİM YÖNERGESİ Y17-İK-001

Yardım Masası Kullanım Klavuzu

İSTANBUL AYDIN ÜNİVERSİTESİ SİSTEM ANALİZİ VE TASARIMI KADİR KESKİN ERİM KURT YAZILIM GEREKSİMLERİ DOKÜMANI ONLİNE SİNEMA BİLET SİSTEMİ B1310.

FRG ULUSLARARASI BELGELENDİRME LTD.ŞTİ. MÜŞTERİ BAŞVURU VE BELGELENDİRME SÜRECİ PROSEDÜRÜ

TRAKYA ÜNİVERSİTESİ E-ANKET SİSTEMİ KULLANIM KLAVUZU

MÜŞTERİ MEMNUNİYETİ YÖNETİM TALİMATI

Seyhan Havzası Küresel İklim Değişikliği Etkileri İzlenmesi Sistemi WEB Tabanlı CBS Projesi

ŞARTNAME TAKİP PROGRAMI (STP2006)

ŞİKAYETLER VE İTİRAZLAR PROSEDÜRÜ

Avrupa Birliğine Uyum Danışma ve Yönlendirme Kurulu Toplantısı

Yazılım-donanım destek birimi bulunmalıdır.

DSİ kapsamında oluşturulan dağınık durumdaki verilerinin düzenlenmesi, yeniden tasarlanarak tek bir coğrafi veri tabanı ortamında toplanması,

Dokümanların Kontrolü Prosedürü

KAYSİS İŞLEMLERİ TALİMATI

ATIK YÖNETİM PLANI. Hazırlayan: Büşra SAĞLIK

ATIK YÖNETİM PLANI. Hazırlayan: Büşra SAĞLIK

Atılım Üniversitesi Bilgi ve Đletişim Teknolojileri Müdürlüğü Teknik Eskalasyon Prosedürü

MerSis. Bilgi Teknolojileri Bağımsız Denetim Hizmetleri

T.C MARMARA ÜNİVERSİTESİ MÜLKİYETİ KORUMA VE GÜVENLİK BÖLÜMÜ İŞ SAĞLIĞI VE GÜVENLİĞİ PROGRAMI ÖNLİSANS ÖĞRENCİLERİ ÖDEV HAZIRLAMA YÖNERGESİ

BAĞIMSIZ DENETİM RESMİ SİCİL TEBLİĞİ. BİRİNCİ BÖLÜM Amaç, Kapsam, Dayanak ve Tanımlar

YETERLİLİK TESTİ ÇEVRİMİ ORGANİZASYONU TALİMATI. 1. AMAÇ ve KAPSAM

ENDÜSTRİYEL KONTROL SİSTEMLERİNDE BİLİŞİM GÜVENLİĞİ YÖNETMELİĞİ NE İLİŞKİN HİZMETLER

KARABAĞLAR BELEDİYESİ COĞRAFİ BİLGİ SİSTEMİ UYGULAMA YAZILIMI VE ENTEGRASYON ÇALIŞMALARI BAKIM ve TEKNİK DESTEK HİZMETİ İŞİ TEKNİK ŞARTNAMESİ

EPİAŞ ABONE BİLGİLERİ KAYDI KILAVUZ DOKÜMANI V.2. Kullanıcı. Kapsam. Yasal Dayanak. Veri Kayıt Sorumlusu. Veri kayıt süresi. Ekran Adı.

İ.Ü. AÇIK VE UZAKTAN EĞİTİM FAKÜLTESİ Kullanıcı Deneyimi ve Kullanılabilirlik Değerlendirmesi Standardı

SÜREÇ YÖNETİMİ KAPSAMINDA PROSEDÜR HAZIRLAMA

AĞ ve SİSTEM GÜVENLİĞİ

VET ON KULLANIM KLAVUZU

HATAY KHB BILGI İŞLEM BİRİMİ

HELAL BELGELENDİRME BAŞVURUSU YOL HARİTASI. Türk Standardları Enstitüsü Belgelendirme Merkezi Başkanlığı Helal Belgelendirme Müdürlüğü

BİLGİ İŞLEM HİZMETLERİ PROSEDÜRÜ

KAMUYU AYDINLATMA PLATFORMU

TÜRK STANDARDLARI ENSTİTÜSÜ BİLİŞİM TEST VE BELGELENDİRME ÜCRET TARİFESİ

Tecrübeye Dayanan Risklerde Aksiyon Planına Dahil Edilir

BİLİŞİM SİSTEMLERİ GÜVENLİĞİNDE YENİ EĞİLİMLER

Sibergüvenlik Faaliyetleri

BelgeNET. Ürün Belgelendirme

TEBLİĞ CE İŞARETİ TAŞIMASI GEREKEN BAZI ÜRÜNLERİN İTHALAT DENETİMİ TEBLİĞİ (ÜRÜN GÜVENLİĞİ VE DENETİMİ: 2017/9)

DESTEK DOKÜMANI ANKET YÖNETİMİ. Kurum tarafından yapılacak anketlerin hazırlandığı, yayınlandığı ve sonuçların raporlanabildiği modüldür.

01 Şirket Profili

BİLGİ İŞLEM DAİRESİ BAŞKANLIĞI BİLGİ SİSTEMLERİ ŞUBE MÜDÜRLÜĞÜ TEŞKİLAT YAPISI VE ÇALIŞMA ESASLARINA DAİR YÖNERGE

VII.BİLGİ TEKNOLOJİLERİ YÖNETİŞİM VE DENETİM KONFERANSI 3-4 MART 2016

- ATEX & Seveso II -

TANITIM KILAVUZU. 1- Bilimsel Toplantı katılımcıları için veri tabanına T.C. Kimlik numarası ile başvuru yapılması gerekmektedir

JetSMS Direct Çözümü

Kullandırımlarda gecikmeleri önlemek

BANKACILIK DÜZENLEME VE DENETLEME KURUMU (Bilgi Yönetimi Dairesi)

DOKÜMANLARIN VE KAYITLARIN KONTROLÜ PROSEDÜRÜ PROSEDÜRÜ

e-beyas İŞLEMLERİ TALİMATI

BİLİŞİM TEKNOLOJİLERİ TEST VE BELGELENDİRME DAİRESİ BAŞKANLIĞI SIZMA TESTİ YAPAN EĞİTİM VE DANIŞMANLIK VEREN PERSONEL İÇİN BAŞVURU FORMU

Transkript:

TSE AÇIKLIK BİLDİRİM PROGRAMI 19.06.2015 1

İçindekiler 1 Giriş... 1 2 Amaç... 1 3 Kapsam... 1 4 Terim ve Tarifler... 1 5 Kısaltmalar... 2 6 Uygulama... 2 6.1 Aşama 1: Açıklık Bildirimi ve Açıklık Toplama... 2 6.1.1 Bilinen (resmi veya özel) ve güvenilen kaynaklardan açıklıkların toplanması... 2 6.1.2 Açıklıkların TSE ye doğrudan bildirilmesi... 2 6.1.3 TSE Açıklık Bildirim Programlarına Açıklık Bildirimi Motivasyonları... 3 6.2 Aşama 2: Analiz ve Karar verme... 3 6.3 Aşama 3: İşleme... 4 6.3.1 Kodlama... 4 6.3.2 Dönüştürme... 4 6.3.3 Eşleştirme... 4 6.3.4 Düzeltme Aşaması... 5 6.4 Aşama 4 : Yayınlama Aşaması... 5 6.5 Aşama 5: Açıklıkların Tadili ve Veritabanından Silinmesi... 5 6.5.1 Tadil Aşaması... 5 6.5.2 Açıklıkların veritabanından silinmesi... 5 Kaynaklar... Hata! Yer işareti tanımlanmamış. EK A... 5 Açıklıkların kritiklik seviyeleri... 6 EK B... 7 Açıklık Yayınlama Formatı... 7 2

TSE AÇIKLIK BİLDİRİM PROGRAMI 1 Giriş Günümüzde siber saldırılar ile sistemlerin ve uygulamaların ele geçirilmesinin ve bu sistem ve uygulamalardan bilgi sızdırılmasının en temel sebebi bu sistem ve uygulamalarda bulunan açıklıklardır. Bu açıklıklar, tasarım hatalarından, kodlama hatalarından veya yapılandırma hatalarından kaynaklanıyor olabilir. Saldırganlar bu açıklıkları kullanarak sistem ve uygulamaları ele geçirirler. Sistem ve uygulamalarda açıklıkların bulunması, dinamik değişen sistem ve uygulamalarda çoğu zaman kaçınılmazdır. Açıklıkların kullanılmasını engellemenin en etkin yollarından biri ise bunları saldırganlardan önce tespit etmek ve kapatılmasına yönelik gerekli tedbirleri almaktır. Bu tedbirlerden bir tanesi ise Ulusal Açıklık Veri Tabanı nın oluşturularak, açıklıkların toplanması, tasnif edilmesi ve yayınlanmasıdır. Bu şekilde açıklıklar ile ilgili olarak genel bir bilgilendirme yapılmış olacak ve üreticiler ve kullanıcılar tarafından açıklıkların kapatılmasına yönelik gerekli tedbirlerin alınması sağlanacaktır. 2 Amaç Bu programın temel amacı TSE bünyesinde bir Ulusal Açıklık Veri Tabanı oluşturulmasına yönelik yöntemleri ve işlemleri tanımlamak, bu program kapsamında genel kullanımda olan ulusal BT ürünlerinde keşfedilen açıklıkların TSE nin Açıklık bildirim programına ne şekilde bildirileceğini, TSE tarafından ne şekilde işleneceğini ve yayınlanacağının düzenlenmesidir. 3 Kapsam Bu program, Ulusal açıklık Veri Tabanı nın oluşturulması ve ulusal ve uluslararası olarak keşfedilen açıklıkları ve bunların programa bildirilmesi, tasnif edilmesi, düzenlenmesi ve yayınlanmasına dair hususları kapsar. 4 Terim ve Tarifler Açıklık (Vulnerability): Bir saldırganın olumsuz bir etki veya sonuca sebep olmak amacıyla doğrudan kullanabileceği yazılım hatası. Açıklık Bildirim Programı: TSE tarafından yayınlanan açıklıkların toplanması ve işlenmesine yönelik program. Açıklık Portalı: TSE tarafından açıklıkların toplanacağı ve yayınlanacağı web portalı. Açıklık Veritabanı: Açıklıkların tasnif edilmiş olarak tutulduğu ve yayınlandığı ortam. İstismar (Exploit): Bir açıklığı kullanmak üzere geliştirilen kod parçası. Kırılganlık (Exposure) : Bir saldırgan tarafından bir sistem veya ağ a yetkisiz erişim için kullanılan sistem yapılandırması veya yazılımdaki zayıflık. Zero day : 0.cı Gün Açıklığı(Zero Day):Üretici tarafından bilinmeyen veya biliniyorsa da üretici tarafından halen herhangi bir önlem alınamayan açıklıklardır. 1

5 Kısaltmalar BT : Bilişim teknolojileri CVE SOME TSE : Common Vulnerabilities and Exposures : Siber olaylara müdahale ekibi : Türk Standardları Enstitüsü 6 Uygulama 6.1 Aşama 1: Açıklık Bildirimi ve Açıklık Toplama TSE Açıklık bildirim programı kapsamında açıklıkların toplanması iki şekilde yapılır: 6.1.1 Bilinen (resmi veya özel) ve güvenilen kaynaklardan açıklıkların toplanması Hâlihazırda uluslararası olarak açıklıkları tasnif eden ve yayınlayan belirli sayıda açıklık programı bulunmaktadır. Bu programların kendilerine göre açıklık tasnifi ve yayınlama yöntemleri bulunmaktadır. Açıklık programı hazırlanırken diğer yayınlanmış olan programlardan yararlanılmış fakat açıklıklar tasnif edilirken bu programa özgün bir yöntem kullanılmıştır. Buna göre mevcut açıklık veritabanları işlenerek TSE formatına uygun hale getirilecek ve belirli kriterlere göre tasnif edilerek sınıflandırılacaktır. Buna dair detaylar ilerleyen bölümlerde verilmiştir. TSE Açıklık veritabanı, bilinen (resmi veya özel) ve güvenilen kaynaklardan toplanan açıklıklar ve bilinmeyen ve ilk defa keşfedilmiş olan açıklıklar temelinde oluşturulmakta ve bu açıklıkların derecelendirilmesinde TSE Ulusal hassasiyet parametresi kullanılmaktadır. Ulusal hassasiyet parametresi ise aşağıdaki metrikler ve formülasyon kullanılarak belirlenir: Ulusal hassasiyet parametresi = Kritiklik parametresi x Yaygınlık parametresi Yaygınlık parametresi: Ülkemizde yaygın kullanılan BT ürünlerine göre sınıflandırılarak yayınlanmaktadır. (Anketler vb. girdilerden gelebilir). Risk parametresi : (Zero day TSE belirler. ) İstismar kolaylığı parametresi: Açıklığın ne kadar kolay istismar edilebildiğinin seviyesi. (CVSS calculator puanlaması kullanılacaktır). 6.1.2 Açıklıkların TSE ye doğrudan bildirilmesi TSE ye doğrudan yapılan açıklık bildirimleri, daha önce yayınlanmamış olan (Zero day) açıklıkların ilk olarak TSE ye bildirilmesi şeklinde gerçekleştirilir. Doğrudan açıklık bildirimleri TSE nin https://siberguvenlikacikliklari.gov.tr adresinde yer alan Açıklık bildirim formu üzerinden yapılır. Bu formda ilgili alanlar doldurulduktan sonra açıklık TSE ye bildirilir. Açıklık bildirimi ardından bu 2

dokümanda yer alan diğer aşamalar izlendikten sonra açıklık uygun formata getirilerek ve belirli kriterlere göre tasnif edilerek sınıflandırılır. TSE açıklık bildirim portalı üzerinde yayınlanır. 6.1.3 TSE Açıklık Bildirim Programlarına Açıklık Bildirimi Motivasyonları a.) Milli menfaatler ve Siber Güvenlik kapasitesine katkı sağlamak: Yazılım ve uygulama açıklıkları günümüzde Siber savaşlarda kullanılabilmektedir. Bu noktada 0.cı gün açıklıkları kritik öneme sahiptir. Bu program ile bu tür açıklıkların öncelikle ülkemizde kurulu olan kamu ve özel sektör SOME lerine bildirilerek öncelikli olarak önlem almalarının sağlanması hedeflenmektedir. Bu nedenle bu tür açıklıkların TSE Açıklık bildirim programına bildirilmesi tercih edilmelidir. b.) Taltif ve ödüllendirme programı kapsamında ödüllendirme: TSE yapılan açıklık bildirimlerinde bildirimi yapan kişinin istemesi halinde Adı Soyadı ve Kısa özgeçmişi Açıklık Portalında yayınlanacaktır. Ayrıca yapılan bildirimler de puanlanacak ve kişi bazında puan durumu portalden yayınlanacaktır. c.) Sızma Testi Hizmeti Veren Personel Ve Firmalar İçin Yetkilendirme Programı şartlarını karşılamak: TSE tarafından yayınlanan Sızma testi hizmeti veren personel ve firmalar için şartlar standardında Kıdemli Sızma testi uzmanı olma şartlarından biri de Açıklık bildirmiş olmaktır. TSE Açıklık bildirim programına açıklık bildirimi yapmak ile bu şartlardan biri sağlanmış olacaktır. d.) Diğer avantajlar : o Açıklık bildiriminde bulunan kişinin keşfinin yayınlanmadan önce doğrulanması. o Açıklık bildiriminde bulunan kişinin keşfinin tüm detayları ile birlikte TSE açıklık bildirim portalında ve diğer saygın web sitelerinde yayınlanması. Açıklık bildiriminde bulunan kişi tarafından yayınlanan bilgilerin diğer okuyucular nezdinde güvence temin edilmesi. 6.2 Aşama 2: Analiz ve Karar verme Bilinen (resmi veya özel) ve güvenilen kaynaklardan toplanan açıklıklar önceden onaylı olduğu için bunların analiz edilmesinde detaylı bir çalışma yapılmayacaktır. Sadece bu açıklıklar arasında bir sınıflandırma yapılacak ve gerekli görülen açıklıklar veritabanına eklenecektir. Bu açıklıklar işlendikten sonra TSE açıklık veritabanına kaydedilirler. TSE ye doğrudan bildirilen açıklıklar ise öncelikle asgari seviyede kayıtlı sızma testi uzmanı olan personel tarafından incelenir ve analiz edilir. Sonrasında ise Yazılım Test ve Belgelendirme Daire Başkanlığı tarafından karara bağlanır. Analiz işlemi, bildirilen açıklığın TSE güvenlik uzmanlarınca test edilmesi ve teyit edilmesi şeklinde yapılır. Test ve Teyit işlemleri gerçekleştirilirken Açıklık Test Talimatı na uygun hareket edilir. 3

6.3 Aşama 3: İşleme 6.3.1 Kodlama Kodlama süreci potansiyel bir açıklığın tespit edilmesi ile başlar. Potansiyel bir açıklığın tespit edilmesinden sonra ilk olarak açıklığa geçici bir açıklık kimlik numarası (açıklık ID si) atanır. Tespit edilen bu açıklığın gerçekten bir açıklık olduğu tespit edildikten sonra nihai numara atanır, TSE nin Ulusal Açıklık Veri Tabanı na kaydı yapılır ve https://siberguvenlikacikliklari.gov.tr sitesinde yayınlanır. Açıklık Kimlik Numarasının atanması: Açıklık Kimlik Numarasının atanması aşağıdaki kodlama düzenine göre gerçekleştirilir. ACKLK-YIL-KRİTİKLİK_SEVİYESİ-SIRA_NO (TSE AÇIKLIK- 2015 yılında yayınlanmış-geçici açıklık numarası-0.cı gün- ACKLK-2015-G-0001 sıra no) ACKLK-2015-A-0001 sıra no) (TSE AÇIKLIK- 2015 yılında yayınlanmış-a seviye kritikliğe sahip-0.cı gün- Açıklığın bir CVE kodu olması halinde Açıklık Kimlik numarası bu koddan türetilir. CVE kodu olduğu belirtmek için kritiklik seviyesi olarak Y (Yabancı) kullanılır. Bu durumda, örneğin, CVE-2015-0001 koduna sahip bir açıklık ACKLK-2015-Y-0001 numarası ile Ulusal Açıklık Veri Tabanı na eklenir. Kritik seviyelerinin belirlenmesi ile ilgili hususlar Ek A da verilmektedir. 6.3.2 Dönüştürme Potansiyel bir açıklık tespit edildikten ve bilgi güvenliği açıklığı oluşturduğu doğrulandıktan sonra TSE Bilgi Güvenliği İnceleme Ekibi tarafından uygun bir formata dönüştürülmesi sağlanır. Buradaki formatlamanın amacı, veri tabanında farklı etkileri ve farklı zafiyet oranları olabilen birçok güvenlik açığı bulunabileceğinden ve bu açıklıkların internet sayfasında yayınlandıktan sonra birçok farklı kişi tarafından okunabileceğinden dolayı standartlaştırılmış bir formatta sunulmasının fayda getireceği kanaatidir. Söz konusu açıklık formatı Ek B da verilmiştir. 6.3.3 Eşleştirme Bir bilgi güvenliği açıklığı tespit edildikten ve sonrasında bir açıklık kimlik numarası atandıktan sonra yapılması gereken işlem, benzer güvenlik açıklıklarının gruplandırılmasıdır. Buradaki gruplandırmanın amacı, aynı ürünleri etkileme potansiyeline sahip açıklıkları aynı kategori altına toplamak, anahtar kelimelere göre açıklık grupları oluşturmak, aynı kişi/kurum tarafından tespit edilen açıklıkları belirleyebilmek vb. olarak açıklanabilir. Bu bağlamda dönüştürme aşamasında geliştirilen ve örnek formatı Ek B da verilmiş olan Açıklık Yayınlama Formatı ndaki alanlardan yararlanılabilir. Burada bahsedilen eşleştirmenin her zaman yüksek performanslı sonuçlar üretemeyebileceği unutulmamalıdır. 4

6.3.4 Düzeltme Aşaması Temelde açıkların tanımlanması ve benzer açıklıkların gruplandırılması işlemi sonrasında veritabanında aynı açıklığın birden fazla kez yer alıp almadığının kontrol edilmesi gerekir. Farklı kişi/kurumlar tarafından tespit edilen açıklıklar, aynı açıklık olabileceği gibi hem işlevsellik hem de zafiyet bakımından birbirine çok yakın açıklıklar da olabilir. Aynı açıklığın birden fazla kez veritabanında yer aldığının tespit edilmesi durumunda birbirini tekrarlayan kayıtlar veritabanından çıkarılmalıdır. Benzer açıklıkların tespit edilmesi durumunda ise söz konusu açıklıklar birleştirilerek genişletilmiş bir açıklık tanımı hazırlamak suretiyle veritabanında yayınlanması sağlanmalıdır. Yine düzeltme aşamasında Açıklama Yayınlama Formatı nın kullanılması önerilmektedir. 6.4 Aşama 4: Yayınlama Aşaması Daha önceden tespit edilen bilgi güvenliği açıklığı, açıklık veritabanına eklenir ve TSE Açıklık Veri Tabanı İnternet Sitesi nde yayınlanır. 6.5 Aşama 5: Açıklıkların Tadili ve Veri tabanından Silinmesi 6.5.1 Tadil Aşaması Tespit edilen açıklığın zaman zaman tadil edilmesi (örneğin açıklama alanının güncellenmesi, referans eklenmesi, etkileyebileceği uygulamaların değişebilmesi, vb) gerekebilir. Böyle bir ihtiyaç durumunda ilgili değişiklikler kayıt edilerek güncel sürüm Açıklık Veritabanında yayınlanır. 6.5.2 Açıklıkların Veritabanından silinmesi Yayınlanmış bir açıklığın veritabanından silinmesi için birkaç gerekçe söz konusu olabilir. Bu gerekçelere örnek olarak aşağıdaki hususlar verilebilir: o o Açıklığın, veritabanında yayınlanmış başka bir açıklıkla aynı olduğunun tespit edilmesi, Detaylı yapılan incelemelerde kaydın herhangi bir güvenlik açığı oluşturmadığının tespit edilmesi Yukarıda bahsedilen hususlardan birinin ortaya çıktığı durumda, ilgili açıklık veritabanından silinir. Ancak bu durumda ilgili açıklığın neden silindiği, açıklık kimlik numarasının karşısında yazılmalı ve bu kayıtlar düzenli olarak tutulmalıdır. Silinen açıklığa ait Açıklık Numarası başka bir açıklığa atanmaz. 5

EK A Açıklıkların kritiklik seviyeleri SEVİYE A: Ulusal düzeyde yaygın olarak kullanılan yazılımları etkileyebilen, risk seviyesi yüksek, istismar edilebilme olasılığı yüksek açıklıklara atanan kritiklik seviyesi. SEVİYE B: Ulusal düzeyde yaygın olarak kullanılan yazılımları etkileyebilen, risk seviyesi yüksek, istismar edilebilme olasılığı daha düşük açıklıklara atanan kritiklik seviyesi. SEVİYE C: Ulusal düzeyde orta düzeyde yaygın olarak kullanılan yazılımları etkileyebilen, risk seviyesi orta seviyede olan, istismar edilebilme olasılığı daha yüksek açıklıklara atanan kritiklik seviyesi. SEVİYE D: Ulusal düzeyde orta düzeyde yaygın olarak kullanılan yazılımları etkileyebilen, risk seviyesi düşük olan, istismar edilebilme olasılığı düşük olan açıklıklara atanan kritiklik seviyesi. SEVİYE E: Ulusal düzeyde düşük düzeyde yaygın olarak kullanılan yazılımları etkileyebilen, risk seviyesi düşük olan, istismar edilebilme olasılığı düşük olan açıklıklara atanan kritiklik seviyesi. SEVİYE G: Geçici olarak atanmış ve TSE nin değerlendirme süreci boyunca kullanılacak bir numara olduğunu belirtir. Test aşamalarının sonunda TSE nin verdiği karar uygun olarak ilgili kritiklik seviyesi belirlenerek o seviyenin kodu ile değiştirilir. SEVİYE Y: Bir CVE kodu olduğunu belirtir. Örneğin CVE kodu CVE-2015-0001 olan bir açıklık ACKLK-2015-Y-0001 kodu ile Ulusal veri tabanına kaydedilir. 6

EK B Açıklık Yayınlama Formatı Açıklık Kimlik Numarası Açıklığın Tespit Edildiği Tarih Açıklık Risk Seviyesi Açıklığın Etkileyebileceği Yazılımlar Açıklık Tespitini Gerçekleştiren Kişi/Kurum Kaynaklar Açıklığı Onaylayan/Yayınlayan Kişi 7

2024 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim