YZM5604 Bilgi Güvenliği Yönetimi

YZM5604 Bilgi Güvenliği Yönetimi 2 Aralık 2014 Dr. Orhan Gökçöl http://akademik.bahcesehir.edu.tr/~gokcol/yzme5604 Bahçeşehir Üniversitesi, Fen Bilimleri Enstitüsü Proje Çalışması - NE DURUMDASINIZ???? Aralık Ayı İçinde Ara Kontrol Tüm grup üyeleri gelmeli 16 Aralık Salı günü 19:00-20:15 arası ders var. 20:30-21:30 arası DSC02 de kontrollerinizi yaptırabilirsiniz. Quiz-4 23 Aralık Salı günü ders yok. 19:00-20:30 arası OFİSİMDE proje kontrollerinizi yaptırabilirsiniz. 30 Aralık Salı 18:45-22:00 Proje sunumları 6 Ocak Salı; 18:45-22:00 Proje sunumları 15 Ocak Salı; YAZILI Final Sınavı Normal Sınav!! (Ağırlık:%5 -bonus) Gelecek Hafta (9 Aralık) 2. ara sınav yapacağız ev sınavı; o gün ders yok. Sorularınız için 19:00-20:00 arası ofisimde olacağım. 1

Geçtiğimiz Hafta; ISO27001:2013 Bilgi Güvenliği Yönetim Sistemler, Gereksinimleri PUKÖ, bir BGYS nin bilgi güvenliği gereksinimlerini ve ilgili tarafların beklentilerini girdi olarak nasıl aldığını ve gerekli eylem ve prosesler aracılığıyla, bu gereksinimleri ve beklentileri karşılayacak bilgi güvenliği sonuçlarını nasıl ürettiğini gösterir. Yukarıdaki şekil ayrıca, standarttaki Madde 4, Madde 5, Madde 6, Madde 7 ve Madde 8 de sunulan proseslerdeki bağlantıları da gösterir. ISO27001 Nedir?? Kontrol-tabanlı Gruplanmış olarak sunulan kontroller, BG deki en iyi uygulamaları içermektedir. «Bilgi» Standardı Her türlü BİLGİ yi kapsar. Bilgi, her ne şekilde olursa olsun; her nerede saklanırsa saklansın, uygun bir şekilde korunmalıdır! 8 Cümle, 11 Kontrol grubu, 134 kontrol Sertifikalandırılabilir - Uluslararası geçerliliği olan - Risk yönetimi esaslı 2

ISO Tarihçe 1992 The Department of Trade and Industry (DTI), which is part of the UK Government, publish a 'Code of Practice for Information Security Management'. 1995 This document is amended and re-published by the British Standards Institute (BSI) in 1995 as BS7799. 1999 The first major revision of BS7799 was published. This included many major enhancements. 2000 In December, BS7799 is again re-published, this time as a fast tracked ISO standard. It becomes ISO 17799 (or more formally, ISO/IEC 17799). Accreditation and certification schemes are launched. LRQA and BSI are the first certification bodies. Tarihçe 2001 The 'ISO 17799 Toolkit' is launched. 2002 A second part to the standard is published: BS7799-2. This is an Information Security Management Specification, rather than a code of practice. It begins the process of alignment with other management standards such as ISO 9000. 2005 A new version of ISO 17799 is published. This includes two new sections, and closer alignment with BS7799-2 processes.. 2005 ISO 27001 is published, replacing BS7799-2, which is withdrawn. This is a specification for an ISMS (information security management system), which aligns with ISO 17799 and is compatible with ISO 9001 and ISO 14001 2013 New version releases 3

27000 Serisi standartların yapısı 27000 Temeller ve anahtar kelimeler 27001:BGYS 27005 Risk Yönetimi 27002 BGY Uygulama Yönergesi 27003 BGY Uygulama Esasları 27004 Metrikler ve Ölçme 27006 BGYS akreditasyonu kılavuzu 27007 BGYS denetim kılavuzu (iç, dış, yönetim gözden geçirme) 27008 Denetçiler için BGYS kontrolleri kılavuzu PUKÖ 4

ISO27001 13 ALAN (Kategori) altında 35 adet kontrol amacı Bu amaçları gerçekleştirmek için yapılması gereken TOPLAM 114 tane kontrol ALANLAR A.5: Bilgi Güvenliği Politikaları A.6: Bilgi Güvenliği Organizasyonu A.7: İnsan Kaynakları Güvenliği A.8: Varlık Yönetimi A.9: Erişim Kontrolü A.10: Kriptografi (Şifreleme) A.11: Fiziksel ve Çevresel Güvenlik A.12: İşlemler Güvenliği A.13: Haberleşme Güvenliği A.14: Bilgi Sistemleri Edinim, geliştirme ve bakımı A.15: Tedarikçi İlişkileri A.16: Bilgi Güvenliği İhlal Olayı Yönetimi A.17: İş Sürekliliği Yönetiminin Bilgi Güvenliği Unsurları A.18: Uyum 5

ISO31000 : Risk Yönetimi Standartı ISO27001 ve ISO31000 6

ISO27005 : ISO31000 i TEMEL ALAN BİR RİSK YÖNETİMİ YAKLAŞIMIDIR. BİLGİ GÜVENLİĞİ RİSK YÖNETİMİ İÇİN KULLANILABİLİR. İTERATİF BİR YAKLAŞIM. PUKÖ yü takip eder! 7

ISO27005 Risk Değeri Hesaplama Örnek Yaklaşım 1 8

ISO27xxx ISO27xxx SEKTÖREL STANDARTLAR! 9

http://www.cozumpark.com/blogs/cobit-itil/archive/2012/06/02/ts-iso-iec-27001-2005-bilgi-guvenligi-yonetim-sistemi-ve-puko-modeli-bolum-2.aspx İYİ BİR BAŞLANGIÇ NOKTASI http://www.iso27001security.com/ 10

Ülkemizde BG Çalışmaları Bilgi Güvenliği Denetmeni (Seviye 7) Meslek Standardı Ref.No:13UMS0292-7 ; Tarih: 30.01.2013 Türkiye Bilişim Güvenliği Derneği tarafından hazırlanmış Resmi Gazete - 26/2/2013-28571 (Mükerrer) ; şu an yürürlükte Bir de, Bilgi Güvenliği Uzmanı var (Seviye 6) Mesleki Yeterlilik Kurumu : http://www.myk.gov.tr/ - http://www.myk.gov.tr/images/articles/editor/2013/280213/bilgi_guvenlik_denetmeni_seviye_7.pdf - http://www.myk.gov.tr/images/articles/editor/2013/280213/bilgi_guvenlik_uzmani_seviye_6.pdf Ülkemizde BG Yasal Altyapının Analizi : - Mevzuatta eksikler ve sorunlar var. Uygulama boyutunda sorunlar var https://www.bilgiguvenligi.gov.tr/mevzuat/turkiyede-bilisim-guvenligiyle-ilgiliyasal-altyapinin-analizi-3.html - Kişisel Verilerin Korunması - Ulusal Güvenlik - Ceza Kanunu Sanal Suçlar - Borçlar Kanunu - Medeni Kanun - Elektronik Haberleşme Kanunu -.. Kanunu - BDDK - Elektronik Belge Yönetimi - Bilgi Toplumu Stratejileri - 11

Ülkemizde BG İki enteresan yazı : Türkiye de Devlet İnterneti Bilmiyor - http://www.radikal.com.tr/yazarlar/guven_sak/turkiyede_devlet_interneti_bilmiyor- 1155720 AB Bilgi Güvenliği Politikaları http://www.tk.org.tr/index.php/tk/article/download/384/377 Ülkemizde BG Kalkınma Bakanlığı Raporu Bilgi Toplumu Stratejisinin Yenilenmesi Projesi Bilgi Güvenliği, Kişisel Bilgilerin Korunması ve Güvenli İnternet Ekseni Mevcut Durum Raporu - Mayıs 2013 tarihli http://akgul.bilkent.edu.tr/btstrateji/mevcut/mbilgi_guvenligi_kisisel_bilgilerin_korunmasi_ve_guvenli_internet.pdf - Bazı bakanlıklar bünyesinde siber güvenlik kurulları oluşturma çalışmaları (2014) - Bilişim Suçlarıyla Mücadele Daire Başkanlığı SORUNLAR : - Yasal altyapı sorunları mevzuatlarla çözüm aranıyor - İnsan kaynaklarının BG konusundaki yetersizlikleri uygulama sorunları oluşturuyor! (Özellikle adli vakalarda) - Kişisel verilerin korunması ile ilgili anayasal güvence var, ama düzenlemeler eksik. Bankacılık ve Telekom için sektörel düzenlemeler mevcut. - Avrupa Siber Suçlarla Mücadele sözleşmesi henüz yürürlükte değil (2013 sonu) 12

Ülkemizde ISO27001 Uygulamaları Özel sektörde bazı ihalelerde kamu ihale kanununa göre ihale açan kurum ve kuruluşlar ihale şartnamelerinde ISO 27001 bilgi güvenliği yönetim sistemi belgesi istenmektedir. Bu zorunluluk yapılan projenin gizliliği güvenliği üst düzeyde ise ihaleyi açan kuruluş ıso 27001 belgesini özellikle istemektedir. Örneğin savunma sanayi projelerine yönelik açılan ihalelerde gerek yazılım hizmeti veren gerekse ürün üreten satışını yapan firmalardan bu belge istenmektedir. Ülkemizde ISO27001 Uygulamaları Ayrıca Telekomünikasyon Kurumu tarafından yapılan bir yetkilendirme çerçevesinde elektronik haberleşme hizmeti sunan ve/veya elektronik haberleşme şebekesi sağlayan ve alt yapısını işleten sermaye şirketlerin (Data Center) kurumların 20.07.2010 tarihine kadar ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi alması zorunlu hale getirilmiştir. 13

Ülkemizde ISO27001 Uygulamaları Elektronik Haberleşme Yönetmeliğinin ilgili maddesi; 11. maddesi ÜÇÜNCÜ BÖLÜM İşletmecilerin Yükümlülükleri MADDE 11 (1) İşletmeci, TS ISO/IEC 27001 veya ISO/IEC 27001 standardına uygunluğu sağlamakla yükümlüdür. Yetkilendirilen işletmeciler yetkilendirme tarihinden itibaren bir yıl içerisinde söz konusu standarda uygunluğu sağlar. Belirtilen süre içerisinde söz konusu standarda uygunluğu sağlayamayan işletmecilere Kurul tarafından gerekli görülmesi halinde ilave süre verilebilir. Özel sektörde gerek kamu ihalelerinde gerekse kamu ile stratejik alanlarda iş birliği yapan kurum kuruluşların ISO 27001 Bilgi Güvenliği Yönetim Sistemini kurmalarını ve belgelendirme denetimine girerek ISO 27001 belgesini almaları gerekmektedir. GÜMRÜK İŞLEMLERİNİN KOLAYLAŞTIRILMASINA İLİŞKİN GÜMRÜK GENEL TEBLİĞİ (29 Mart 2013) 14

Kamu Kurumlarında ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi alınması zorunluluğu? Kamu kurumlarında genellikle özel sektörden farklı olarak ISO 27001 belgesinin alınması zorunlu değildir fakat aşağıda anlatılan bazı kanun ve yasalara göre her ne kadar belgelendirme zorunluluğu yok ise de ISO 27001 Bilgi Güvenliği Yönetim Sistemini kurmaları zorunludur. Bilgi Güvenliği Yönetim sistemi Kurmak için kamu kurumlarına dair çerçeve yasalar 10.12.2003 tarihli ve 5018 sayılı Kamu Mali Yönetimi ve Kontrol Kanunuyla kamu malî yönetim sistemi tüm kamu kurumlarında uluslararası standartlar ve Avrupa Birliği uygulamalarına uygun bir şekilde yeniden düzenlenmesi ve bu kapsamda etkin bir iç kontrol sisteminin oluşturulması için Maliye Bakanlığı tarafından hazırlanan ve 26.12.2007 tarihli ve 26738 sayılı Resmi Gazetede yayımlanan Kamu İç Kontrol Standartları Tebliği ile kamu idarelerinde iç kontrol sisteminin oluşturulması, uygulanması, izlenmesi ve Geliştirilmesi amacıyla (18) standart ve bu standartlar için gerekli (79) genel şart belirlendi. Bu 79 genel şarttan en az 10 şart bilgi güvenliği sisteminin kurumlarda oluşturulmasını hedeflemektedir. 15

2003 / 48 sayılı Başbakanlık Genelgesi ile yürürlüğe giren e- Dönüşüm Türkiye Projesinin 4.1.1. inci maddesinde Bilgi Güvenliği Yönetim Sisteminin (BGYS) tüm kurumlarda kurulmasının hedeflendiği belirtilmektedir. 05/08/2005 tarihli ve 25897 sayılı Resmi Gazete de yayımlanan, 2005/20 sayılı Başbakanlık Genelgesi ile çıkarılan Birlikte Çalışabilirlik Esasları Rehberinde elektronik ortamda sunulan hizmetlerde başarı, güven ortamının sağlanmasına bağlı olduğu vurgulanmıştır. Bu da, güvenlikle ilgili politika ve düzenlemelerin geliştirilmesini gerektirir. 2006 / 38 sayılı Yüksek Planlama Kurulu Kararı yla onaylanan ve 28/07/2006 tarihli ve 26242 sayılı Resmi Gazete de yayımlanan Bilgi Toplumu Stratejisi Belgesinde stratejik öncelikler arasında yer alan bilgi güvenliğinin ülke genelinde ve kamu kurumlarında bilgi sistemleri ile elektronik iletişim ve ağ bağlantılarında güvenliğin sağlanması ve sürdürülmesi için gerekli organizasyonel düzenlemelerin gerçekleştirileceğinden bahsedilmektedir. Ayrıca, bilgi güvenliğinin sağlanması için yasal düzenlemelerin yapılacağı da vurgulanmaktadır. İÇ TETKİK 16

Kontrol Et - PUKÖ ISO19011 : Kalite ve Çevre Yönetim Sistemleri Denetlemesi İçin İzlenecek Yöntemlerin verildiği bir yardımcı kılavuz. Tetkik : Tetkik delili elde etmek ve tetkik kriterlerinin karşılanma derecesini objektif olarak değerlendirmek için yapılan sistematik, bağımsız, belgelendirilmiş bir proses (ISO19011, Madde 3.1) TETKİK TÜRLERİ İç Tetkik : Kendi sistemimizi denetliyoruz! Dış Tetkik : Bir tedarikçimizi denetliyoruz, ya da bir müşterimiz bizi denetliyor Dış Tetkik : Bağımsız bir tescil grubu tarafından (TÜV, BVQI, BSI, TSE gibi) denetleniyoruz! 17

ISO27001 İç Tetkik Standardın 6.cı maddesinde açıklandığı üzere; Planlanan aralıklarla Standartlarla uyum Bilgi Güvenliği Gereksinimleri Etkin gerçekleştirme Beklendiği şekilde yerine getirilen Tetkik programı durumu ve önemi Tetkikçilerin kendi işlerini denetlememesi lazım Süreç Gecikmeden yürütülen faaliyetler Takip faaliyetleri alınan önlemlerin doğrulanması Sonuçların raporlanması İÇ TETKİK NASIL UYGULANIR? Bir Baş tetkikçi vardır. Açılış toplantısı, Tetkikin gerçekleştirilmesi, Bulguların gözden geçirilmesi ve raporlama. 18

Tetkikçinin Nitelikleri Kararlı Israrcı Kendine güvenen Etik Bilgili Açık fikirli Çok yönlü Diplomatik Kavrayışlı Gözlemci TETKİKÇİ İLETİŞİMİ; Sakin ve nazik olmalı, Göz teması kurmalı, Hazırlıklı olmalı, Yapılan işle ilgilenmeli, Vücut dilini kullanmalı, Konuşma tonu ve sesini ayarlamalı, Tartışmacı olmamalı. 19

Tetkikin Başlatılması Bilgi güvenliği iç tetkikleri, bir tetkik programının kapsamlı hedeflerinin bütünü içindeki bir kısmı olabilir. Hedefler Kapsam Kriterler Tetkikin Kapsamı Boyut ve sınırların çizilmesi Hangi fiziksel yerleşimler Hangi bölümler Hangi faaliyetler Hangi süreçler Hangi bilgi varlıkları 20

Tetkik Kriterleri Tetkik kriteri, uygulanabilir güvenlik politikalarını ve süreçlerini, standartları, yasal ve düzenlemelere tabi gereksinimleri içerecektir Tetkikin Hedefleri Bilgi Güvenliği ile ilgili tüm dokümanların veya bir bölümünün tetkik kriterlerine ne ölçüde uyduğunun belirlenmesi Bilgi Güvenliği ile ilgili tüm dokümanların uygulanabilir yasalar, yönetmelikler ve sözleşme gereksinimleri ile uyumluluğu Bilgi Güvenliği ile ilgili tüm dokümanların belirtilmiş olan amaçları karşılayabilme açısından etkinliğini değerlendirme Dokümanların olası iyileştirme alanlarını belirleme 21

İç Tetkik neden gerekli? Güvenlik politika ve süreçleriyle uyumun doğrulanması Bilgi Güvenliği forumu ve yönetim için tarafsız bilgi sağlanması Güvenlik bilincinin artması Güvenlik ihlallerinin oluşma riskinin azaltılması İyileştirme fırsatlarının belirlenmesi Tetkik prensipleri İyi Ahlaklılık Adil olmak gerçek ve doğru bildirimler! Profesyonellik titiz ve doğru karar verme Tarafsızlık her zaman kanıt aranmalı, bireyler eleştirilmemeli, kendileriyle tartışılmamalı Delile dayalı yaklaşım Bulgular hakkında kişilere tetkik sırasında bilgi verilmeli Sonuca ulaşmak için kullanılabilecek standart bir metotoloji 22

Tetkik programı Tetkikin belli bir zaman dilimi içinde hangi programa uygun bir şekilde yürütüleceğinin belirlenmesi Özellikle tetkikin kapsamı (tetkik kapsamındaki bilgi varlıkları, süreçler vb) ve tetkiki yapacak olan ekibin büyüklüğü ve niteliği programın şekillenmesinde çok önemli Tetkikçiler eğitimli ve yetkin olmalı Örnek Tetkik Çizelgesi Bölüm Oca Şub Mar Nis May Haz Tem Ağu Eyl Eki Kas Ara İK X D Finans X D Pazarlama X D... 23

Tetkik Sırasında Kapsama dahil olan tüm Bölüm Yöneticileri kendilerine düşen sorumluluğu yerine getirmeli İlgili personelin gerektiğinde erişilebilir olması Tetkik programına sorumluluklar/kaynaklar tahsis etme Gerekli kayıtların erişilebilirliğinin sağlanması Tetkik İçeriği Agenda / Anahtar Noktalar Açılış Toplantısı/Giriş Kapsam ve Süreçleri Araştırmak Sorumluluklar Uyum ve yasal hususlar İş sürekliliği Fiziksel kontroller Personel güvenliği Risk işleme Sistem kontrolleri Özetleme ve kapanış 24

Tetkik Hazırlığı Önceki tetkik bulguları Güvenlik el kitapları, kılavuzlar, süreç tanımları SOA Güvenlik ihlal olayları raporları Uzmanlardan alınabilecek görüşler doğrultusunda diğer bilgiler Başlangıç Noktası Güvenlik Politikası Değişiklikler Gözden geçirmeler Kapsamın teyit edilmesi Değişiklikler ile ilgili risk değerlendirmelerinin gözden geçirilmesi Bölümlerde tüm kontrollerin nasıl uygulandığı (politikalar, süreçler, prosedürler vb) Etkinlikleri nasıl izleniyor? Güvenlik ihlal olayları nasıl tespit ediliyor? Sürekli iyileştirme ile ilgili kanıtlar 25

Örnek : Temiz Masa/Temiz Ekran Politikası Ekran ne kadar zaman sonra temizleniyor? Ekranlar şifre korumalı mı? Kontrol gerekliliği ile ilgili uyum/farkındalıklık var mı? kanıt ara Bilgisayar ve masa başında olunmadığı zamanlarda görülebilecek bilgiler? Örnekler Deliller Rastgele seçilen durumlardan oluşturulabilir Tetkikçi tarafından özellikle seçilmiş durumlardan oluşturulabilir Görüşülen kişilerle üzerinde kararlaştırılmış durumlardan oluşturulabilir TETKİKÇİ ASLA VARSAYIMDA BULUNMAMALI! 26

Delil detayları Nasıl Ne Nerede Ne zaman Niçin (uygunsuzluk ---) Kim roller ve pozisyonlar yazılmalı, isim yazılmaz! Doğru Soru Sorma Ne Niçin Nerede Ne zaman Nasıl Kim? Lütfen bana gösterin / bana söyleyin 27

Delilleri /Olguları Kaydetme Nesnel kanıt Okunaklı olmalı Anlaşılır içerikte olmalı, izi sürülebilmeli Yeniden ele alınabilir olmalı Bulguların Yazılması Özet bir tetkik raporu Belirlenen uygunsuzlukların listelenmesi Gözlem ve öneriler 28

Bulgular değerlendirilirken... Güvenlik politikaları Müşteri gereksinimleri Yasalar, düzenlemeler Güvenlikle ilgili dokümantasyonlar (örn. risk degerlendirme islem kayıtları, yönetim sorumlulugu, politika (Örn: temiz masa, internet erisimi, kriptografi, erisim kontrolü vb.) Özel operasyonel dokümanlar ve prosedürler, periyodik gözden geçirmeler Şirket standartları ISO27001 UYGUNSUZLUK (Nonconformity) Bir güvenlik alt politikasının veya sürecinin olmaması veya bu politikaya/sürece bağlılığın bulunmaması sebebiyle bir güvenlik ihlali olayının oluşabilme ihtimalinin olması ISO27001 maddelerinin gerçekleştirilemiyor olması 29

Majör Uygunsuzluk Gerekli bir ISO27001 maddesinin doğru şekilde adreslenmemiş olması nedeniyle firma için müşterileri üzerinde etki yaratabilecek veya finansal sonuçlar doğurabilecek bir güvenlik ihlaline işaret edecek derecede büyük bir uygunsuzluğun olması Minör Uygunsuzluk Gerekli bir ISO27001 maddesinin doğru doğru dokümante edilememiş ya da tam uygulanamıyor olması - firma için müşterileri üzerinde etki yaratabilecek veya finansal sonuçlar doğurabilecek bir güvenlik ihlaline işaret edecek derecede büyük bir uygunsuzluk değil 30

Uygunsuzluk Raporu Şunları İçerir : Nerede bulundu Kaydedilen tarih Gereksinim neydi? (Politikaya ya da standarda bağlanabilir) Nesnel kanıt nedir? Açık ve tam olmalı Doğru, (tartışılmasız, gerçek) olmalı Az ve öz olmalı ISO27001 standartlarına refer etmeli KAPANIŞ TOPLANTISI; Tetkikçi,varsa danışman ve gerektiğinden diğer yöneticiler de katılır, Kısa bir teşekkür konuşması yapılır, Uygunsuzluklar objektif delillerle açıklanır, Tetkik sonuçları açıklanır, Olumlu yönler belirtilir. 31

Uygunsuzlukların Takibi Bulunan uygunsuzlukların daha sonra şirket tarafından kapatılması ve tetkikçinin bunu takip denetimleriyle görmesi gerekmektedir 32