YZM5604 Bilgi Güveliği Yöetimi 5 Ekim 2015-2. Hafta Dr. Orha Gökçöl Bahçeşehir Üiversitesi, Fe Bilimleri Estitüsü Bilgi Tekolojileri Yüksek Lisas Programı Ders ile İlgili Öemli Bilgiler Ders saatleri : Pazartesi, 19:00-22:00 (Beşiktaş/DSC02) İletişim : Orha Gökçöl Orha.Gokcol@eg.bahcesehir.edu.tr 212 381 0 559 Ders Devamı : --- Ders Kayakları Ders Destek Web Sitesi : http://akademik.bahcesehir.edu.tr/~gokcol/yzm5604 -Duyurular ve Hertürlü İletişim -Ders Notları -Ödevler/Projeler -Sıav Souçları -Dersle İlgili Sizile Paylaşacağım heme herşey 1
Ders Değerledirme Yaklaşık 5.ci hafta civarıda projeler dağıtılacak Bilgi Güveliği - Taım Bilgi güveliğii amacı, işletmeleri doaım, yazılım, veri, her türlü bilgi gibi değerli kayaklarıı korumaktır. Bilgi güveliğii sağlaması, aslıda işletmei iş hedeflerie ulaşmak içi yapması gereke bir «olmazsa olmazı» olarak da görülebilir. Bilgi güveliği.. Herhagi bir sistemi geliştirilme ve kullaılma dögüsüde yer ala aahtar bir kısımdır: q Sistem tasarımı q Sistem geliştirme q Sistem işletilmesi (operatio) q Sistemleri devre dışı bırakılması Sistem kavramıı e başıda itibare, bilgi güveliği usurlarıı dahil edilmesi gerekir. Güvelik tekolojilerii kullaımı (firewalls, crypto, IDS(Itrusio Detectio Systems), patchig), güveliği sadece belli bir kısmıdır. Güvelik büyük ölçüde, isa, süreçler ve tekolojiye (birlikte) bağlıdır. Bilgi güveliği tek sefer yapıla ve sorasıda kedi halie terk edile bir durum değildir. Bir süreçtir ve sürekli yöetilmesi gerekmektedir. İsalar (geliştiriciler, kullaıcılar, müşteriler, hacker-lar) baze buu bilmeseler de- bilgi güveliği sürecii parçalarıdır. 2
Bilgi Güveliği Nedir? Bilgi güveliği, bu sebeple, bilgi ve ou kritik bileşelerii (bilgii depoladığı, kullaıldığı ve iletildiği sistemler ve doaımlar) koruması alamıa gelir. Fakat, bilgii ve ilişkili sistemleri koruması; politika, farkıdalıklık, eğitim ve tekoloji gibi usurlara DA bağlıdır. Geçtiğimiz hafta gördüğümüz C.I.A. Üçgei, geçmişte güümüze, bilgisayar ve bilgi güveliği içi bir edüstri stadardı olmuştur. Zama içide, CIA üçgei, bilgii diğer karakteristiklerii de içerecek şekilde geişlemiştir. C.I.A. Üçgei Özellikler: CIA q Cofidetiality (Gizlilik): sadece izi verileler bilgiyi «görebilir» q Itegrity (Tamlık): sadece izi verileler bilgiyi düzeltme yetkisie sahiptir (oluşturma, düzeltme ve silme) Tamlığı sağlaması: bilgii (başkaları tarafıda) değiştirilemeyec eğii bilimesi Tamlık ihlallerii belirlemesi: güveilmeye durumlar oluştuğuda alteratif kayaklarda bilgii elde edilmesi (yedek diskler, yedek suucular) q Availability (Erişilebilirlik, Kullaılabilirlik) : ihtiyaç duyulduğuda, erişebilir olmak. Bir orgaizasyoda eler korumalı? Bir değere sahip herşey güvelik altıda olmalı/korumalı. Tipik bir işletmei değerli pek çok şeyi vardır. Bulara «varlık» (asset) adıı vereceğiz. Bu varlıklar, bazı servisler, süreçler, veri, fiziksel usurlar vb olabilmektedir. Tüm varlıklar şu üç özelliği sağlamalıdır : q C, I, A 3
Varlık ve varlık değeri Her varlığı bir değeri vardır Nasıl belirleir???... q Cofidetiality/Gizlilik açısıda varlık değeri =>V1 q Itegrity/Bütülük açısıda varlık değeri =>V2 q Availability/Kullaılabilirlik açısıda varlık değeri =>V3 Max(V1,V2,V3) => Varlık değeri - Bu varlığı «Gizliliği» ihlal edilirse kaybım e kadar olur? - Bu varlığı «Bütülüğü» ihlal edilirse kaybım e kadar olur? - Bu varlığı «Kullaılabilirliği» ihlal edilirse kaybım e kadar olur? Bilgi Güveliği ve Bilgi Güveliği Yöetimi Bilgi Güveliği (BG), değer atfettiğimiz varlıklar içi; kaybolma, hatalı kullaım, kullaılamama, hasar görme, ifşa edilme risklerie karşı aldığımız her türlü ölemleri ve eylemleri taımlar. Bilgi Güveliği Yöetimi (BGY), yukarıda taımlaa riskleri yöetebilmek ve varlıkları C, I, A hassasiyetlerii makul sıırlar içide tutabilmek içi işletmei uygulaması gereke her türlü (tekik, tekik olmaya) ölemleri (=kotrolleri) taımladığımız sistematik bir yaklaşımdır. Bilgi Güveliği Yöetim Sistemi (BGYS) : C, I ve A yı sağlayabilmek ve etki bir şekilde yöetebilmek içi gereke yöetim becerilerii oluşturulmasıda kullaılacak bir sistemi tasarım ilkelerii ifade eder. Tüm bularda sora BGM i işlevi edir? BİR İŞLETMEDEKİ TÜM VARLIKLAR, ŞU ÜÇ ÖZELLİKLERİNİ SÜRDÜRECEK ŞEKİLDE KORUNMALIDIR : Cofidetiality, Itegrity, Availability CIA Üçgei Özellikler: CIA q Gizlilik (C): Sadece izi verile kişiler/süreçler bir varlığı görebilir/erişebilir q Bütülük (I): Sadece izi verile kişiler/süreçler bir varlıkla ilgili değişiklik yapabilir (varlığı oluşturma ve silme dahil) Bütülüğü koruması: Bilgileri değiştirilemeyeceğii bilmek!! Bütülük ihlallerii saptaması q Kullaılabilirlik (A): varlık, her ihtiyaç duyulduğuda erişilebilir ve kullaıma hazır olmalı 4
Varlıklar ve değerleri Tüm varlıkları bir varlık değeri vardır q Varlık Değerii Nasıl saptamalı?. Aşağıdaki durumlarda şirketi e kaybedeceğii ölçüyoruz: Bir varlığı gizliliği zarar gördüğüde VARLIK DEĞERİ bütülüğü zarar gördüğüde HESAPLANIR Kullaılabilirliği zarar gördüğüde Varlıklar üzerideki güvelik riskleri Eğer varlığı C, I, A sıa saldırı olmazsa kayıp da olmayacaktır KORUMA TEDBİRLERİ - Varlıklara yapıla tehditler - Tüm tehditler tüm varlıklar içi ayı değildir - Tüm varlıklar ayı değerde değildir - Saldırı motiv asy ou tüm v arlık lar iç i ayı değildir - Varlıkları zayıflıkları - Tehditi başarılı olması durumuda şirkete/varlığa vereceği zarar Tehdit, Zayıflık ve etkiyi azattarak RİSKİ KABUL EDİLEBİLİR BİR SEVİYEYE DÜŞÜRMEK (BGM i ihai hedefi; bütü bilgi güveliği risklerii yöeterek tümüü kabul edilebilir seviyeleri altıda kalmasıı sağlamaktır) Bilgi Güveliği Nedir? Güümüzdeki alamıyla Bilgi Güveliği, güvelik riskleri ile buları oluşmamasıı sağlayacak kotrol mekaizmalarıı degeli bir şekilde oluşturulması amacıyla oluşturula, iyi geribeslemesi ola bir güvece sistemidir. Jim Aderso, Iovat (2002) Visa Compay Bilgi Güveliği Taımı - Wikipedia Bilgi güveliği, her türlü varlığı ve bu varlıklara ait verii yetkisiz kişilerce q erişilmesi, q kullaılması, q ifşa edilmesi, q yok edilmesi, q değiştirilmesi, q karıştırılması/bozulması eylemlerii egellemek içi yapıla her türlü faaliyettir. 5
Iteret ve Güvelik? İteret i iletişim protokolleri ve tekik altyapısı ilk tasarladığıda, saırım hiç kimse Hizmet Dışı Bırakma (HDB Deial of Service DoS) saldırılarıı aklıa getirmemiştir (1989 yılıa kadar!!!!) Itereti ilk zamalarıda sadece birkaç tipte uygulama (dosya trasferi, e-posta gibi) düşüülmüştü hiç kimse e-ticaret, VoIP, IPTV, vb. gibi uygulamaları aklıa bile getirmemişti! Souçta, iteret güveliği çok soraları devreye alıa birtakım değişiklikler souda «kouşulabilir» hale geldi. 17 Örek: E-posta Tamame/gerçekte gizli bir mesaj göderebilir miyiz? Bir e-posta mesajıı gerçekte kime göderdiğimizi biliyor muyuz? Göderdiğimiz mesajı aktarım sırasıda değiştirilmediğide emi olabilir miyiz? Gerçekte aoim/isimsiz bir mesaj göderebilir miyiz? 6
Başka bir örek: Olie alışveriş Satıcıya verdiğiiz bilgilere (kredi kartı bilgileriiz ve diğer erişim kodları da dahil olmak üzere) olie bir hırsız tarafıda erişilemeyeceğide emi miyiz? Gerçekte malı bize sata dükkaa ödeme yaptığımıza asıl emi olabiliriz? Tamame isimsiz/aoim bir şekilde alışveriş yapabilir miyiz? İteret üzeride satı aldığıız bir ürü içi, ödediğiiz parayı ikar edebilir misiiz? Dijital Düya ve BG i Öemi Herkesi birbirie bağlı olduğu bir düyada yaşıyoruz : Iteret q Virusler, trojalar q DoS Saldırıları q Phisig (Oltaya takılma) q Sahtekarlık (Fraud) q... Güveliği sağlamak her zamakide çok daha ZOR.. E Temel BGY %100 güvelik zate amacımız değil! (Teraziyi hatırlayı!) Asıl amaç, VARLIKLARIMIZ üzerideki olası riskleri hesaplayarak buları ışığıda güveliği yöetmek VARLIKLARIMIZ Her varlık üzeride ayı risk mi var? Her varlık ayı değere mi sahip??? Şimdi güveliği yöetmeye iyetledik!! 7
Varlıkları koruma, kuruluşu iş hedefleri, misyou ve vizyou ile uyumlu olmalı. Varlıkları koruma, işletmelerde güdelik olarak kediliğide yapıla bir eylem olmalı (farkıdalıklık!- awareess) Varlıkları koruma yüksek maliyetli olmamalı Varlıkları korumada sorumluluklar ve hesap verilebilirlik usurları açıkça yer almalı. (Bular daha çok politika dokümalarıyla sağlaır). Sistem sahiplerii, orgaizasyo dışıda da bilgiyi koruma ile ilgili sorumlulukları olmalı! Varlıkları koruma usurları, sistem geliştirme hayat dögüsüü ayrılmaz bir parçası olarak görülmeli. Varlıkları Koruma Sistemleri Temel Usurlar Varlıkları koruma süreçleri, döemsel olarak kotrolde geçirilmeli ve değerledirilm eli. Şirket kültürü yapılacak tüm bu işlerde çok belirleyici bir rol oyamaktadır. Bilgi güveliği Bilgisayarlar olmada öce de vardı!!! (Sezar şifrelemesi) Soru Gizli dileme ve hattı izleme olması durumua karşı mesaj güveliğii asıl sağlarız? Charlie Bob Kredi kartı umaramı veriyorum plaitext Alice 8
Cevap : Sadece Alice ve Bob u alayabileceği bir dil kullaarak - şifreleyici Charlie Nz dsfejr dbse ovcds jt Bob ciphertext Alice Şifreleme Şifreleme (ecryptio), göderile mesajla birlikte başka bir yazıyı (aahtar) bir foksiyoa gödererek şifrelemiş bir çıktı üretmektir Şifresi çözülmediği sürece, bu çıktı «alaşılamaz» bir formatta olacakdır. Mesaj Şifreleme foksiyou Çözümleme Çözümleme (decryptio), şifreli mesajı bir aahtar ile başka bir foksiyoa gödererek başta şifrelee mesajı yeide üretme işlemidir. Çözümleme foksiyou Başlagıçtaki mesaj 9
Sezar şifreleyicisi Harfler: ABCDEFGHIJKLMNOPQRSTUVWXYZ Şifre : DEFGHIJKLMNOPQRSTUVWXYZABC (Sezar bu yötemi, geerallerie göderdiği mesajlarda kullaıyormuş!!!) Bilgi Güveliği Kısa Tarihçe Bilgisayar güveliği, ilk büyük boy bilgisayarlar (maiframe) ortaya çıktıkta heme sora başlamıştır 2. Düya Savaşı da, şifre kırıcı algoritmalar geliştire grupları çalışmalarıı soucuda güümüzü moder bilgisayarlarıı mimarisi ve çalışma presipleri ortaya çıkmıştır (ör. Ala Turig, - Turig Makiası) Bilgisayar sistemlerie sadece yetkili kişileri giriş yapabilmelerii sağlamak içi, kritik birimlerde (askeri bölgeler vb) fiziksel kotrol uygulaıyordu Tek düşüüler şey, fiziksel hırsızlık, sabotaj ve casusluğa karşı ömel almaktı. Figure 1-1 The Eigma Alma kodlama makiesi : Eigma 10
1960lı yıllar ABD Savuma Bakalığı ı İleri Araştırmalar Projesi Ajası (Departmet of Defese s Advaced Research Project Agecy (ARPA)), ağ temelli haberleşme yapısıı olabilirliğii araştırmaya başladı (Bu projeyi başıda itibare Larry Roberts yürüttü-itereti Babası olarak da biliir) Figure 1-2 - ARPANET 1970li ve ad 80li yıllar ARPANET popüler bir şekilde büyüdü (tabii bu arada potasiyel kötü kullaımları da!) ARPANET i güveliği ile ilgili temel problemler ortaya çıktı. Bular; q ARPANET e telefola (dial-up) bağlatılar içi hiç bir güvelik prosedürü yoktu q Kullaıcı taımlama ve sisteme yetkiledirme (giriş izi) kousuda eksiklikler vardı 1970 leri solarıda, mikro işlemcileri kullaımları çok yaygılaşmaya başladı bu da beraberide güvelik tehdit artışları getirdi. 11
R-609 Bilgisayar Güveliği Çalışmalarıı Başlagıcı Düyada, bilgi Güveliği çalışmalarıı RAND ı yayıladığı bir raporla (R-609) başladığı kabul edilebilir (1979). Bilgisayar güveliği, fiziksel güveliğe ek olarak şuları da kapsamaktadır: q Veri güveliği q Veriye yetkisiz erişimleri sıırladırılması q Orgaizasyodaki farklı seviyelerde kişileri de sisteme dahil edilmesi www.rad.org R-609 http://www.rad.org/pubs/reports/r609-1/r609.1. html 12
1990 lar Bilgisayar ağları çok yoğu olarak kullaılmaya başladı, dolayısıyla farklı ağları birbirleriyle bağlatılı olması ihtiyacı ortaya çıktı. Bu da, bilgisayarlara ve bilgiye ulaşmak içi olara fiziksel temas etme ihtiyacıı TAMAMEN ortada kaldırdı. ARPANET, askeri/akademik ağ olmakta çıkıp ticarileşti ve global bir ağ ola INTERNET (ağları ağı) doğdu Geliştirile ilk iteret uygulamalarıda, güvelik e düşük öceliğe sahip oktalarda biriydi J Güümüz Güümüzde iteret, milyolarca bilgisayarı birbirie bağlaya ve birbirleriyle haberleşmesii sağlaya (bu bilgisayarları çok öemli bir kısmıda güvelik yok!!) bir haberleşme ağı İterete bağlı bir bilgisayarı güveliği, aslıda o bilgisayarı iletişimde buluduğu diğer bilgisayar(lar) ve iletişim ortamıyla da doğruda ilgili... Bilgi Güveliği Nedir? Bir işletmede yer ala her türlü somut ve soyut varlığı ve bulara ait kritik sistemleri (bilgiyi saklaya, ilete ve kullaımıı sağlaya doaımlar ve sistemler de dahil olmak üzere) koruması q Politikalar ve prosedürler, BG kousuda duyarlı olmak, eğitim ve tekoloji kullaımıyla da, bilgi güveliği belli ölçülerde tahsis edilebiliyor Güveli sistemler İyi uygulamalar q C.I.A üçgei (C.I.A. triagle) bu kouda stadarttı. Üç öemli bileşe : Gizlilik (Cofidetiality), tamlık (Itegrity), kullaılabilirlik (Availability) 13
Bilgi Güveliği? Bilgi Sistemii özellikleri arasıdadır. Sadece tekolojik altyapı olarak iteledirilemez Bu özellikler, hem süreçlerle hem de tekolojilerle sağlaacaktır Özellikler: CIA q Gizlilik/Mahremiy et (Cofidetiality): sadece izi verile kişi/usur lar bilgiyi görebilir q Bütülük/Tamlık/Doğr uluk (Itegrity): sadece izi verile kişi/usur lar bilgiyi değiştirebilir (bilgi oluşturma ve silme de dahil) q Kullaılabilirlik (Availability): ihtiyaç duyulduğuda bilgi hazırdır, kullaılabilir CIA daha sora bilgii kritik bileşelerii de kapsayacak şekilde geişletilmiş olarak kullaıldı. Maiframe zamaıda kalma!! Bilgii Kritik Karakteristikleri Sahip olua bilgii değeri, bilgii içerdiği birtakım karakteristiklerle ölçülür: q Kullaılabilirlik (Availability) q Hassasiyet/Doğruluk (Accuracy) q Orijiallik (Autheticity) q Gizlilik (Cofidetiality) q Tamlık (Itegrity) q İşe yararlık (Utility) q Sahip olma (Possessio) C I A Bilgi Güveliği tekik kouları olduğu kadar, yöetimsel usurları da içermektedir Güvelik politikaları geliştirilmeli, kullaılması sağlamalı, yaşatılmalı ve yaptırım gücü olmalı Process (Süreç) Techology (Tekoloji) Tüm sistemler, güvelik politikaları ile uyumlu olacak şekilde geliştirilmelidir Politikaları asıl uygulaacağı ı göstere iş süreçleri geliştirilmelidir. Huma (İsa) Çalışalar, politikalarda taımlaa sorumluluklarıı alamalıdır. 14
Örek: parola kullaım politikası -parolaları asıl sıfırlaacağı ile ilgili süreç taımı, - parolaları e az 8 karakter olduğuu deetleyecek bir sistemi geliştirilmesi, - parolalarıı başkalarıyla paylaşmamaları gerektiğii alaya kullaıcılar Politika uygulamaları; kullaımda ola süreçlere, politikalarla uyumlu çalışa ve zorlayıcı yaı bulua tekolojik çözümlere, ve kullaıcıı politika gereksiimlerii ve kedi sorumluluklarıı iyi bir şekilde alamasıa bağlıdır. Güvelik ve Erişimi Degelemesi Mükemmel bir güvelik tesis etmek imkasızdır güvelik mutlak bir kavram değildir; bir süreçtir Güvelik, koruma ve kullaıma hazır olma durumu arasıda bir dege hali olarak düşüülmeli Degeyi sağlamak içi, sistemi güvelik seviyesi makul düzeyde bir erişime izi verirke ayı zamada saldırılara karşı da koruma sağlamalı. Aşağıda-Yukarı Yaklaşımı Güvelik, sadece sistem yöeticileri tarafıda sağlamaya çalışılır... (grass-roots effort) Temel avataj bu işle uğraşa her yöeticii tekik bilgisi var ve yalış birşey yapılması olasılığı az Bu yötem adire çalışır... Çükü; q Diğer çalışaları desteği/katkısı yok q Tüm orgaizasyo sadece alt seviye tekisyeler/tekik kişilerce kotrol ediliyor, buu zorlukları var. Bilgi erişimi tam bir işlece olabilir. Orgaizasyoel ihtiyaçları göz ardı edilmesi olasılığı var (üst yöetim plalamaya katılmıyor) 15
Yukarıda-Aşağıya Yaklaşım Üst yöetim tarafıda yapılır: q Politikalar, prosedürler ve süreçler modelleir (ör. iso 27001) q Hedefler ve süreçlerde, projelerde beklee çıktılar belirleir, (dikte edilir!) q Gereke her aksiyo içi kimi sorumlu olduğu saptaır Böyle bir yaklaşımı doğal olarak üst yöetimde çok kuvvetli bir desteği olacaktır. Fiasal kayaklar, plalama, şirket kültürüe etkiler vb çok kolay modelleebilmekte/ olabilmektedir Bilgi Güveliği oluşturulması stadart bir sistem geliştirme stratejisi kapsamıda da modelleebilir (sistem geliştirme hayat dögüsü) q E başarılı yaklaşım budur. Figure 1-7 Approaches to Security Implemetatio BGY süreçleride kimler çalışır? Ne gibi BG-ilişkili pozisyolar var? 16
BG Uygulamasıı Plalaması CIO (Chief Iformatio Officer) ve CISO (Chief Iformatio Security Officer) stratejik plaları taktiksel ve operasyoel bilgi güveliği plalarıa döüştürülmeside öemli rol oyarlar CISO plalama detaylarıda, CIO ya göre daha fazla yer alacaktır. CIO : Üst düzey yöetici. GMY lerde birisi olabilir (BT de sorumlu GMY?) CISO : CIO ya bağlı çalışa bir pozisyo Başka e gibi pozisyolar olabilir? CISO İş Taımı Şirketteki stratejik bilgi güveliği plaıı, gelecek vizyouu da düşüerek hazırlar Şirkette yapıla temel iş faaliyetlerii bilir ve tamamıyla alar q Böylece, bu aktivitelerle ilişkili bilgi güveliği çözümleri öerebilir Şirketteki BG durumuu daha iyiye götürmek amacıyla; aksiyo plaları, çizelgeler, bütçeler, durum raporları ve bezeri üst yöetim bilgiledirmeleri hazırlar. Sistem Geliştirme Hayat Dögüsü (SDLC) (System Developmet Life Cycle) SDLC: bir bilgi yöetim sistemi içi tasarım ve uygulama metodolojisi/yaklaşımı SDLC-tabalı projeler plalı olabileceği gibi, bir ihlal (evet, security icidet) olduğu zama da güdeme gelebilmektedir. Her fazı souda geel bir değerledirme yapılmaktadır. Böylece projei durumu hakkıda (devam/bırakalım/dışarıya yaptıralım/erteleyelim gibi) karar verilmektedir. 17
Feasibility (Yapılabilirlik) Evet! Yeterli yerimiz ve doaımımız var! Hayır, daha öce bua bezer bir şeyi hiç yapm adık! Rapor 1 M$ değeride stratejik bir adım atmamızı içeriyor! Yapabilir miyiz? Hayır! Kullaıcılar yei tasar ım a dir eecekler dir! Evet! 14 ayda kedii am or ti eder! FİZİBİLİTE (Y AP ILABİLİRLİK) ANALİZİ Sistem Geliştirme Hayat Dögüsü (SDLC System Developmet Life Cycle) Bilgi güveliği, diğer aa sistem implemetasyolarıa bezer bir yapıda yöetilmelidir. Bir metodoloji kullaılması q Süreç yaklaşımı q Eksik/kayıp adımları oluşması olasılığı yok Hedef, çok etki ve yaygı kullaımlı bir bilgi güveliği programı oluşturmak Figure 1-8 SDLC Waterfall Sistem Aalizi Methodology İrdeleme Aaliz Sistem Tasarımı Matıks al Tas arım Fiziksel Tasarım Gerçekleştirme Bakım Sistem Geliştirme Hayat Dögüsü Şelale Metodolojisi 18
1. Ivestigatio - İrdeleme q İki temel iş yapılıyor q SDLC Fazları Gereksiimleri ortaya çıkartılması Kapsamı belirlemesi, hagi gereksiimi öceliği e? Maliyet/fayda (Cost/beefit) aalizi Bu faz, iş aalizi gibi de düşüülebilir. Mevcut kayakları yetip yetmeyeceği belirleir. Bua göre geliştirmeye devam edilir ya da edilmez!. Sistemi geliştirilmesi ya da geliştirilmemesi ile ilgili gerekçeler ortaya kour SDLC Aaliz q Mevcut sistemi aalizi Gereksiimleri belirlemesi q Mevcut sistem q Gereksiimleri yapısal bir şekilde listelemesi (ayı-bezer olalar birleştirilir vb) Alteratif tasarımları/çözümleri ortaya koması Alteratifleri karşılaştırılması E iyi alteratifi öerilmesi SDLC Tasarım q Matıksal (Logical)Tasarım Sistemi daha çok iş (busiess) gereksiimlerii asıl karşılayacağıa ağırlık verir q Fiziksel Tasarım Sistemle ilgili tekik spesifikasyolar Gerçekleştirme - implemetatio q Gerçekleştirme Yazılım ve doaım kurulumları Programlama Kullaıcı eğitimleri Dokümatasyo 19
SDLC Bakım Değişe koşullara göre sistemde olabilecek değişiklikler Eskiye sistemi devrede çıkartılması SDLC de her aşamada yapılaları dokümate edilmesi / raporlaması ve bir proje plaıa göre hareket edilmesi yararlı olacaktır. SDLC ve SecSDLC (Security SDLC) SecSDLC : q Olay tabalı oluşa bazı olaylara cevap olarak başlar ya da q Plalama tabalı dikkatli bir şekilde geliştirile bir stratejii uygulamasıdır Her faz sorasıda tüm yapıyla ilgili geel gözde geçirmeler yapılır Bilgi Güveliği Sistemleri Geliştirme Hayat Dögüsü (SecSDLC) Bilgi Güveliği projesii uygulamasıda Geleeksel Sistem Geliştirme Hayat Dögüsü ile ayı fazlar kullaılabilir Temel süreç tehditleri taımlaması ve berteraf edilmesi içi yapılacak kotrolleri belirlemesidir 20
Güvelik Sistem Geliştirme Hayat Dögüsü Bazı spesifik oktalarda farklılıklar olsa da geel metodoloji Sistem Geliştirme Hayat Dögüsü e bezer SecSDLC süreçleri şuları içerir : q Belli başlı tehditleri ve bularla ilgili riskleri taımlaması q Bu tehditlerde korumak içi gereke spesifik kotrolleri tasarımı ve uygulamaya koulması; böylece riskleri yöetilerek orgaizasyo içi bir tehdit olmakta çıkartılması. Phases of A SDLC Ivestigatio i the SecSDLC (İrdeleme) Geellikle üst yöetimde gelecek bir direktifle başlaya bir süreçtir. Proje ile ilgili girdileri çıktılar, hedefler ve bütçe belirleir. Sıklıkla yapıla ilk işlerde birisi güvelik politikalarıı oluşturulmasıdır. Takımlar oluşturularak problemler aaliz edilir, kapsam belirleir, hedefler ortaya koulur ve kısıtlar taımlaır. Fizibilite aalizi yapılarak kurumu güvelik altyapı aalizi ve bilgi güveliği yöetimi sistemi kurabilmesi içi gereke kayaklarıı olup olmadığı belirleir. Güvelik Politikaları hakkıda daha sora çok detaylı kouşacağız 21
Aalysis i the SecSDLC (Aaliz) Kurumda (varsa) mevcut politikalar ve kotroller iceleerek bilie tehditlere e derece karşı koyabildiği ortaya çıkartılır. Bilgi Güveliği çözümüü etkileyebilecek yasal hususlar ile ilgili bir aaliz yapılır. Risk yöetimi bu adımda başlayacaktır. Yasal hususlarla ilgili ek bilgileri daha soraki haftalarda vereceğim. Risk Yöetimi Risk Aalizi Hakkıda daha sora Çok detaylı kouşacağız Risk Yöetimi: Şirketi karşı karşıya olduğu risk seviyelerii taımlaması, büyüklüklerii belirlemesi ve değerledirilmesi q Özellikle, şirketi sahip olduğu ve süreçleride kulladığı her türlü varlık/bilgi varlığı Aaliz fazıı daha iyi alamak içi, şirketi karşı karşıya buluduğu tehdit türlerii bilmemiz gerekmektedir. Tehdit dediğide; şirketi sahip olduğu bir varlığa tehdit oluşturabilecek herhagi bir yapı (isa, süreç, bilgisayar programı vb) alaşılmalıdır. Bazı Taımlar : Attack (Saldırı): Çeşitli açıkları/zaafiyetleri (vulerability) kullaarak (exploit), kotrollü bir sistemi riske atacak şekilde kullaılabilecek her türlü eylem q Şirketi bilgi ya da fiziksel varlıklarıı çalma kabiliyetie sahip bir yapı Vulerability (Zaafiyet): Kotrollü olması gereke bir sistemde, gerekli kotrolleri olmadığı/ yapılmasıı uutulduğu her türlü durum 22
BG Tehditlerie bazı örekler Tehdit Kategor isi Ör ekler İsa kayaklı olaylar /hatalar / kaz al ar Etelektüel haklara ola tehdit Plalı bilgi gaspı (extortio) Plalı hırsızlık (deliberate acts of theft) Doğal olaylar Doaım sistemleride ki Yazılım sistemleride ki hatalar hatalar BT sistemlerie karşı, bilie bazı saldırı türleri Kötü iyetli kod Kadırma (hoax) Arka kapı (backdoor) Password crack Brute force Dictioary Deial-of-service (DoS) ad distributed deial-ofservice (DDoS) Sahte e-posta Ma-i-the-middle Spam Mail bombig Siffer Social egieerig Risk Yöetimi Varlık Yöetimi (Asset Maagemet) Hakkıda daha sora Çok detaylı kouşacağız Her bir tehditle ilgili riskleri öcelikledirmek içi bazı yötemler kullaılmaktadır. Riskleri yöetmek içi, tüm varlıklar taımlamalı ve değerleri belirlemelidir. Risk değerledirme yaparak, varlıklarımız üzerideki riskleri karşılaştırma olaağı buluruz. Risk yöetimi, bir kuruluştaki varlıkları açıklıklarıı taımlar ve olası tehditleri dikkate alarak, C, I ve A yı tesis etmek içi atılması gereke tüm adımları belirler. 23
SecSDLC Tasarımı Tasarım aslıda iki ayrı fazda oluşmaktadır: q Matıksal tasarım fazı: takım üyeleri bir pla geliştirir ve temel politikaları iceler, geliştirir. q Fiziksel tasarım fazı: takım üyeleri, plaı uygulamak içi gereke tekolojileri değerledirir, alteratif çözümler üretir ve bir fial tasarım üzeride karar kılıır. Güvelik Modelleri BG yöeticileri, sıklıkla, BG tasarımıda hali hazırda bilie, deemiş modelleri kullaırlar. Bu modeller, BG ile ilgili bilie bütü usurları kapsaya bir çerçeve sumaktadırlar. İşletmeler, kedi güvelik ihtiyaçlarıı karşılayacak bir çerçeveyi kolayca adapte edebilirler. Politika (Policy) BG çerçevesii kritik elemalarıda birisi «BG Poltikası»dır Yöetim, üç tip BG politikası taımlamalıdır: q Geel politikalar; q Kou-spesifik politikalar q Sistem-spesifik politikalar Güvelik Politikalarıı gelecek hafta göreceğiz 24
BG Eğitimleri BG programıı ayrılmaz bir parçası da bilgi güveliği koularıda vereceğimiz eğitimler ve bilgiledirmelerdir Bu tip programlarda üç aa kısım buluur: BG bilgiledirmeleri, BG eğitimleri, ve BG farkıdalık oluşturma BG Eğitimleri souda: q Improvig awareess (Farkıdalığı arttırılması) q Developig skills ad kowledge (Becerileri ve kou hakkıdaki bilgileri geliştirilmesi) q Buildig i-depth kowledge (Daha deri bir bilgi altyapısı oluşturulması) hedeflemektedir. Desig Risklere karşı gerçekleştireceğimiz koruma kotrollerii tasarımı Tehdit ve saldırı risklerie karşı alacağımız her türlü koruma tedbirlerie «kotrol» adıı vereceğiz. Kotroller 3 grupta toplaabilir: q Yöetimsel q Operasyoel q Tekik Yöetimsel Kotroller Güvelik plalama süreçleri ve güvelik programıı yöetimii tasarım ve uygulamaları ile ilgili hususları kapsar Yöetimsel kotroller ayrıca: q Risk yöetimi q BG kotrolleri gözde geçirme hususlarıı kapsar. Risk Yöetimi Hakkıda daha sora geiş olarak kouşacağız 25
Operasyoel Kotroller Daha alt seviyelerdeki yöetimsel foksiyoları kapsar. Söz gelimi, q Felaket durumlarıda kurtulma (Disaster recovery) q İhlal olaylarıa karşı koyma plalaması (Icidet respose plaig) Operasyoel kotroller ayı zamada şuları da kapsar: q Persoel güveliği q Fiziksel güvelik q Üretim girdi ve çıktılarıı koruması (operasyoel güvelik) Bu kavramları daha sora göreceğiz Tekik Kotroller Bilgiyi korumak içi kullaabileceğimiz tekolojiler (firewall, ati virus, ağ yapılaması, vb) Cotigecy Plaig (Acil durum/ Beklemedik durum plalaması) Şirketi tehdit ede çeşitli durumlar gerçekleştiğide (felaket durumu), karşı bir eyleme geçmek ve bir a öce eski duruma geri dömek ile ilgili plalama ve hazırlık dokümaları ve çalışmaları: q İhlal olaylarıa karşılık verme plalaması (Icidet respose plaig (IRP) ) q Felakette kurtulma plalaması (Disaster Recovery Plaig) (DRP) q İş sürekliliği plalaması (Busiess cotiuity plaig (BCP)) Bu kavramları daha sora geiş olarak göreceğiz 26
Fiziksel Güvelik Fiziksel Güvelik: Şirketi fiziki kayaklarıı korumak içi gereke karşı tedbirleri tasarım, uygulama ve bakımları ile ilgilidir. Bazı fiziki kayaklar: q İsa q Doaım q Destek servisleri Fiziksel Güveliği daha sora geiş olarak göreceğiz SecSDLC i Uygulaması BG çözümleri belirleir, elde edilir, test edilir, uygulaır, ve yeide test edilir. Persoel ile ilgili (çalışalar, müşteriler, ortaklar) koular belirli eğitim programları düzeleerek halledilmelidir Uygulama fazıdaki e öemli usur proje plaıdır: q Proje plaıı oluşturmak q İş paketlerii ve proje adımlarıı yöetmek, q Projeyi toparlayıp bitirmek BG Proje Takımı Bir/birde fazla tekik ve tekik olmaya koularda deeyimi ola kişilerde oluşmalıdır. Proje takımıda yer ala kişiler aşağıdaki şekilde sııfladırılabilir: q Champio/Şam piy o q Team leader/takım Lideri q Security policy developers/bg Politikası geliştiricisi q Risk assessmet specialists/risk değerledirme uzmaı q Security professioals/bg uzmaı q Systems admiistrators/bg yöeticisi q Ed users/so kullaıcı 27
BG Profesyoelleri BG ile ilgili koularda, farklı isimlerle aıla profesyoeller yer almaktadır. Bularda bazıları: q Chief Iformatio Officer (CIO) q Chief Iformatio Security Officer (CISO) q Security Maagers/Güvelik Yöeticisi q Security Techicias/Güvelik Tekisyei q Asset Owers/Varlık Sahibi q Asset Custodias/Varlık Koruyucusu q Asset Users/Varlık Kullaıcısı Çeşitli BG sertifikaları Çoğu kuruluş, BGY çalışmaları sırasıda kullaabileceği kişileri/çalışalarıı sertifikalı olmasıı ister. Böylece yapılacak işlerde çok daha olay bir biçimde profesyoellik sağlamış olacaktır: q CISSP Certified Iformatio Systems Security Professioal q SSCP - Systems Security Certified Practitioer q GIAC Global Iformatio Assurace Certificatio q SCP Security Certificate Professioal q ICSA Certificatio for Commercial Security Products q Security + q CISM Certified Iformatio Security Maager SecSDLC Bakım ve İyileştirme BG programı uygulamaya geçtikte sora, q İşletilmeli, q Yöetilmeli q Hazırlaa bazı yöergeleri kullaarak gücel tutulmalıdır Eğer program, şirket iç ve dış ortamlarıdaki değişikliklere uygu şekilde adapte edilemezse, bir süre sora herşeyi e başıda yapmak ve dögüyü yeide başlatmak gerekebilir 28
Bakım Modeli Sistem yöetimi, geliştirile yapıyı yöetme ve işletme amacıı taşır. Bakım modeli ise, sistemi sağlıklı işleyip işlemediği ve karşılaşıla olumsuzluklar karşısıdaki tutumları modeller: q Dış deetim q İç deetim q Risk değerledirme q Zaafiyetleri belirlemesi ve ortada kaldırılması q Hazır olma durumu q Zaafiyetleri değerledirilmesi Bilgi Güveliği Programı Yöetimi BG programı oluşturuldukta sora işletilmeli ve yöetilmelidir. İşletmelerdeki BG programlarıı çalıştırılması içi, formal bir yöetim stadardı kullamak çoğulukla işleri kolaylaştırır. q ISO27001 q NIST q COBIT q??? Üst Yöetim - Seior Maagemet Chief Iformatio Officer /Müdür yardımcısı? q the seior techology officer q primarily resposible for advisig the seior executive(s) for strategic plaig Chief Iformatio Security Officer q resposible for the assessmet, maagemet, ad implemetatio of securig the iformatio i the orgaizatio q may also be referred to as the Maager for Security, the Security Admiistrator, or a similar title 29
Bilgi Güveliği: Bir saat mı? Yoksa bilim mi? Güümüz Bilgi Sistemlerii karmaşıklığı göz öüa alıdığıda, BG i uygulaması sıklıkla bilim ve saatı bir karışımı olarak değerledirilmektedir. Saat olarak Güvelik Keski ve hızlı işleye kurallarımız e yazık ki yok. Evresel olarak kabul göre, her koşulda doğru çalışa kurallarda da söz etmek zor Tüm sistem içi sihirli bir el kitabımız yok Kullaıcılar, geliştirile politikalar ve tekolojik kotroller arasıda oldukça karmaşık bir ilişki söz kousu Bilim olarak Güvelik Yüksek seviyeli bir performas elde etmek içi tekolojik çözümlere odaklamak gereklidir Heme heme her türlü hata, güvelik açığı ve hatalı program, yazılım ve doaımı birbiriyle etkileşimi ile ortaya çıkar Eğer geliştiricileri yeterli zamaı olsa, tüm bu hataları çözebilir ve elemie edebilirlerdi. 30
Sosyal Bilimler açısıda Güvelik Sosyal bilimler, sistemlerle etkileşe bireyleri davraışlarıı iceler Güvelik her zama, sistemle etkileşim içide ola isalarla başlar ve biter So kullaıcılar muhtemele ziciri e zayıf halkalarıdır. BG yöeticileri çoğu durumda so kullaıcılarda kayaklaa riskleri azaltabilir ve daha kabul edilebilir güvelik progilleri oluşturabilirler. C.I.A. Üçgei Özellikler: CIA q Cofidetiality (Gizlilik): sadece izi verileler bilgiyi «görebilir» q Itegrity (Tamlık): sadece izi verileler bilgiyi düzeltme yetkisie sahiptir (oluşturma, düzeltme ve silme) Tamlığı sağlaması: bilgii (başkaları tarafıda) değiştirilemeyec eğii bilimesi Tamlık ihlallerii belirlemes i: güveilmeye durumlar oluştuğuda alteratif kayaklarda bilgii elde edilmesi (yedek diskler, yedek suucular) q Availability (Erişilebilirlik, Kullaılabilirlik) : bilgii, ihtiyaç duyulduğuda, erişilebilir olması. QUIZ 31