BİLGİ SİSTEMLERİ GÜVENLİĞİ

BİLGİ SİSTEMLERİ GÜVENLİĞİ Maltepe Üniversitesi Bilgisayar Mühendisliği Bölümü

2 YZM 441 Bilgi Sistemleri Güvenliği BÖLÜM -4- GÜVENLİK K UNSURLARI VE YÖNETİMİ

3 GÜVENLİK K UNSURLARI VE YÖNETY NETİMİ Bilgi güvenliğinin temel unsurları şunlardır: Gizlilik Bütünlük Erişilebilirlik Kimlik kanıtlama İnkar edememe

4 GÜVENLİK K UNSURLARI VE YÖNETY NETİMİ Bu temel unsurların dışında; Sorumluluk Erişim denetimi Güvenilirlik Emniyet gibi etkenlerde bilgi güvenliğini destekleyen unsurlardır. Bu unsurların tamamının gerçekleştirilmesi ile ancak tam bir bilgi güvenliği sağlanabilmektedir. Bu unsurların bir veya birkaçının eksikliği güvenlik boyutunda aksamalara sebebiyet verebilecektir.

5 GÜVENLİK K UNSURLARI VE YÖNETY NETİMİ TSE-17799 Bilgi Güvenliği Yönetim Standardı belgesinde, gizlilik, bilginin sadece erişim hakkı olan yetkili kişilerce erişilebilir olmasının temini olarak; Bütünlük; Bilgi ve bilgi işleme yöntemleri ile veri içeriğinin değişmediğinin doğrulanması olarak, Erişilebilirlik; Yetkili kullanıcıların ihtiyaç duyulduğunda bilgi ve ilişkili varlıklara erişme hakkının olmasının temini olarak tanımlanmıştır.

6 GÜVENLİK K UNSURLARI VE YÖNETY NETİMİ Kimlik doğrulama, geçerli kullanıcı ve proseslerin tanınması ve doğrulanması ile bir kullanıcının veya prosesin hangi sistem kaynaklarına erişme hakkının olduğunun belirlenmesi sürecidir. İnkar edememe, bir bilgiyi alan veya gönderen tarafların, o bilgiyi aldığını veya gönderdiğini inkar edememesini sağlama işlemidir.

7 GÜVENLİK K UNSURLARI VE YÖNETY NETİMİ Sorumluluk: belirli bir eylemin yapılmasından kimin veya neyin sorumlu olduğunu belirleme yeteneğidir. Tipik olarak etkinliklerin kayıtlarını tutmak için bir kayıt tutma sistemine ve bu kayıtları araştıracak bir hesap inceleme sistemine ihtiyaç vardır. Erişim denetimi, bir kaynağa erişmek için belirli izinlerin verilmesi veya alınması olarak tanımlanabilir.

8 GÜVENLİK K UNSURLARI VE YÖNETY NETİMİ Güvenirlilik, bir bilgisayarın, bir bilginin yada iletişim sisteminin şartnamesine, tasarım ve gereksinimlerine sürekli ve kesin bir şekilde uyarak çalışması ve bunu çok güvenli bir şekilde yapabilme yeteneğidir. Emniyet, bir bilgisayar sisteminin veya yazılımın işlevsel ortamına gömülü olduğunda, kendisi veya gömülü olduğu ortam için istenmeyen potansiyel veya sürekli tehlike oluşturacak etkinlik veya olayları önleme tedbirlerini içermektedir.

9 GÜVENLİK K SINIRLARI Bir bilgi varlığı zaman içerisinde çeşitli değişikliklere (bozulma, yenileme, değiştirme, güncelleme) maruz kalabilmektedir. Bu değişikliklerde doğal olarak korunması gereken bilginin sınırlarında da değişikliklere sebebiyet verebilir. Bunu önceden belirlemek için muhtemel değişiklikler önceden tahmin edilir. Varlıkların karşı karşıya oldukları tehditler öncelikle belirlenir. Olayların ortaya çıkma ihtimallerine karşı var olan savunma zayıflıkları tespit edilir ve karşılaşılabilecek tehditlerin ihtimalleri hesaplanır.

10 GÜVENLİK K SINIRLARI Kullanıcılar ve sistemler için bilgi güvenliğinin sınırları, tarafların kendilerini ve sistemlerini güven içinde hissetmeleri için gerekli ve düzenleyici politikalar doğrultusunda ve hukuki zorunluluklar çerçevesinde belirlenir.

11 GÜVENLİK K RİSK R YÖNETY NETİMİ VE SÜRES REÇLERİ Bilgi güvenliği çerçevesinde kurulacak güvenlik sistemi alt yapısının ve politikasının doğru bir şekilde belirlenebilmesi için korunmak istenen bilginin değerlendirilmesi ve risk yönetiminin doğru ve eksiksiz bir şekilde yapılması gerekir. ISO Rehber 73 e göre risk, bir olayın ve bu olayın sonucunun olasılıklarının birleşimi olarak tanımlanmaktadır. Risk yönetiminin bir adımı olan risk değerlendirmesi, risklerin tanımlandığı ve tanımlanan bu risklerin etkilerinin ve önceliklerinin belirlendiği bir süreçtir.

12 GÜVENLİK K RİSK R YÖNETY NETİMİ VE SÜRES REÇLERİ Risk değerlendirmesinin belli başlı safhaları şunlardır. Korunması gereken bilgi yada varlıkların belirlenmesi Bu varlıkların kuruluşlar açısından ne kadar değerli olduğunun saptanması Bu varlıkların başına gelebilecek bilinen ve muhtemel tehditlerden hangilerinin önlenmeye çalışılacağının ortaya konulması Muhtemel kayıpların nasıl cereyan edilebileceğinin araştırılması

13 GÜVENLİK K RİSK R YÖNETY NETİMİ VE SÜRES REÇLERİ Her bir varlığın maruz kalabileceği muhtemel tehditlerin boyutlarının tanımlanması Bu varlıklarda gerçekleşebilecek zararların boyutlarını ve ihtimallerini düşürmek için ilk planda yapılabileceklerin incelenmesi ve ileriye yönelik tehditleri en aza indirmek için atılması gereken adımların planlanması olarak sıralanabilir.

14 GÜVENLİK K RİSK R YÖNETY NETİMİ VE SÜRES REÇLERİ Risk yönetimi sonucunda kurulacak ve yürütülecek güvenlik sisteminin maliyeti dikkate alınması gereken başka önemli bir husustur.

15 GÜVENLİK K RİSK R YÖNETY NETİMİ VE SÜRES REÇLERİ Güvenlik süreçleri ve saldırılara tepkileri şöyle gösterilebilir.

16 GÜVENLİK K RİSK R YÖNETY NETİMİ VE SÜRES REÇLERİ Önleme, güvenlik sistemlerinin en çok üzerinde durduğu ve çalıştığı süreçtir. Bir evin bahçesine çit çekmek, çelik kapı kullanmak gibi güncel hayatta kullanılan emniyet önlemleri gibi, bilgisayar sistemlerine yönelik tehdit ve saldırılara karşı, sistemin yalıtılmış olması için çeşitli önlemler geliştirilmektedir.

17 GÜVENLİK K RİSK R YÖNETY NETİMİ VE SÜRES REÇLERİ Kişisel bilgisayar güvenliği ile ilgili, Virüs tarama programlarının kurulu olması, Bu programların ve işletim sistemi hizmet paketlerinin ve hata düzeltme ve güncellemelerinin düzenli aralıklarla yapılması, Bilgisayarda şifre korumalı ekran koruyucu kullanılması, Bilgisayar başından uzun süreliğine ayrı kalındığında sistemden çıkılması, Kullanılan şifrelerin tahmininin zor olacak şekilde belirlenmesi, bu şifrelerin gizli tutulması ve belirli aralıklarla değiştirilmesi, Disk paylaşımlarında dikkatli olunması,

18 GÜVENLİK K RİSK R YÖNETY NETİMİ VE SÜRES REÇLERİ İnternet üzerinden indirilen veya e-posta ile gelen dosyalara dikkat edilmesi, Önemli belgelerin parola ile korunması veya şifreli olarak saklanması, Gizli veya önemli bilgilerin e-posta, güvenlik sertifikasız siteler gibi güvenli olmayan yollarla gönderilmemesi, Kullanılmadığı zaman İnternet erişiminin kapatılması, Önemli bilgi ve belgelerin düzenli aralıklarla yedeklerinin alınması gibi önlemler, alınabilecek önlemlerden bazılarıdır.

19 GÜVENLİK K RİSK R YÖNETY NETİMİ VE SÜRES REÇLERİ Saptama: Sadece önleme ile yetinilseydi, yapılan çoğu saldırıdan haberdar bile olunamazdı. Saptama ile daha önce bilinen veya yeni ortaya çıkmış saldırılar, rapor edilip, uygun cevaplar verebilir. Saptamada ilk ve en temel basamak, sistemin bütün durumunun ve hareketinin izlenmesi ve bu bilgilerin kayıtlarının tutulmasıdır. Bu şekilde ayrıca, saldırı sonrası analiz için veri ve delil toplanmış olur.

20 GÜVENLİK K RİSK R YÖNETY NETİMİ VE SÜRES REÇLERİ Güvenlik duvarları, saldırı tespit sistemleri, ağ trafiği izleyiciler, kapı (port) tarayıcılar, bal çanağı (honeypot) kullanımı, gerçek zamanlı koruma sağlayan karşı virüs ve casus yazılım araçları, dosya sağlama toplamı (checksum) kontrol programları ve ağ yoklayıcı (sniffer) algılayıcıları, saptama sürecinde kullanılan en başta gelen yöntemlerden bazılarıdır.

21 GÜVENLİK K RİSK R YÖNETY NETİMİ VE SÜRES REÇLERİ Karşılık verme, güvenlik sürecini tamamlayan önemli bir halkadır. Saldırı tam olarak önlenmese bile; sistemin normal durumuna dönmesine, saldırıya sebep olan nedenlerin belirlenmesine, gerektiği durumlarda saldırganın yakalanmasına, güvenlik sistemi açıklarının belirlenmesine ve önleme, saptama ve karşılık verme süreçlerinin yeniden düzenlenmesine olanak verir.

22 GÜVENLİK K RİSK R YÖNETY NETİMİ VE SÜRES REÇLERİ Saldırı tespit edilince yapılması gereken işlerin, daha önceden iyi bir şekilde planlanması, bu sürecin etkin bir şekilde işlemesini ve zaman ve para kaybetmemeyi sağlayacaktır. Yıkım onarımı (disaster recovery), bu aşama için gerçekleştirilen ve en kötü durumu ele alan esaslı planların başında gelir.

23 BİLGİ GÜVENLİĞİ YÖNETİM M SİSTEMS STEMİNİN N YARARLARI Bilgi güvenliği yönetim sisteminin kurumlara sağlayacağı yararları şöyle sıralayabiliriz. Müşterileriniz, onların bilgilerini güvende tutacağınız konusundaki taahhüdünüzden dolayı güven hissederler. İş devamlılığını sağlamak, meydana gelebilecek zararı en aza indirebilmek, kazancın ve iş fırsatlarının artırılması amacıyla bilginin birçok tehlikeye karşı korunmasını sağlar. Kuruluşun kurumsal değerlerini, yatırımlarını ve hedeflerini sürdürebilip, koruyabilmesi için ortaya konması gereken kontrollerin firma içinde yerleştirilmesi ve uygulanması yolunda temel teşkil eder.

24 BİLGİ GÜVENLİĞİ YÖNETİM M SİSTEMS STEMİNİN N YARARLARI Rakiplerinizin bir adım önüne geçmenizi sağlar. Uluslararası ihalelere katılımda şart olan ISO/IEC 27001:2005 gereklerinin sağlanmış olur. Tek bir bilgi güvenlik ihlalinin çıkaracağı masraf çok büyük olabilir. Belgelendirme işlemi maruz kalacağınız bu tür masrafları azaltır ve bu da iş dalınızdaki yatırımcılar ve müşteriler için önemlidir. Bilgi güvenliğiniz ile ilgili sigorta primlerinizde düşüş sağlar. İlgili geçerli tüm kanun ve tüzüklere uygunluğunuzu yetkili makamlara kanıtlamanıza yardımcı olur. Organizasyonun tüm aşamalarında taahhüt/bağlılığın sağlanması ve kanıtlanmasında yardımcı olur. Kuruluş genelinde, bilgi sistemleri ve zayıflıklarının nasıl korunacağı konusundaki farkındalık artar.

25 BİLGİ GÜVENLİĞİ YÖNETİM M SİSTEMS STEMİNİN N YARARLARI Donanım ve veriye daha güvenilir erişim sağlanır. Çalışanların kuruluş içerisindeki sorumlulukları ve bilgi güvenliği konularındaki bilinçlerinin artmasını sağlar. Düzenli olarak gerçekleştirilen denetimler sisteminizin etkinliğini izlemenize ve iyileştirmenize yardımcı olur. Gizlilik ve Bütünlük sağlanır. Bilginin sadece yetkili kişiler tarafından erişilebilir olması sağlanır. Bilginin ve işlem metotlarının doğruluğunun ve bütünlüğünün korunması, içeriğinin değişmemesi sağlanır. Bilgiye ulaşılabilirlik, elde edilebilirliği sağlanır. Başarılı bir e-ticaretin gerekli olan işlevsellik, güvenlik, güvenilirlik ve veri koruması konusunda gereklilikleri sağlar.