Türkiye Noterler Birliği Eylem Planı Raporu 2009
İÇİNDEKİLER I. Türkiye Noterler Birliği ve Noterler Altyapısı A. Noterlik Paylaşım Sistemi İçin Olması Gereken Topoloji Genel Yapı Güvenli Erişim ve Yetkilendirme Güvenli Saklama Güvenli Yedekleme ve Veri İmhası Olay Takibi ve Aksiyon Güvenlik Denetimleri Ağ Yapısı Sunucu Yapısı ve İhtiyaçlar B. Yazılım Altyapı Değişikliği Gereksinimleri E-Uygulamalarda Olması Gereken Yapı Geçiş İçin Gereksinimler Maliyet Avantajları C. Günlük Operasyon Yönetimi Türkiye Noterler Birliği Hizmet Masası Yapılandırması D. Kurulacak Tüm Sistemin Yönetimi Uzaktan Konfigürasyon Yönetimi Yama Yönetimi (Patch Management ) Uç Nokta Güvenlik Yönetimi (Endpoint Security Management) Sabit Kıymet Yönetimi (Asset Management) Log Yönetimi E. Acil Durum Çözümleri Felaket Kurtarma Merkezi ve Yapılandırılması Felaket Senaryoları Felaket Kurtarma Merkezi Felaket Öncesi İşlemler Felaket Sonrasındaki İşlemler F. E-Öğrenme e-öğrenme Nedir? 2
Multimedya Teknolojisiyle e-öğrenme (e-learning) 'nin Avantajları Eğitim İçeriklerinin Temel Özellikleri Neler Olmalıdır Eğitim Yönetim Sistemi nin ( LMS ) Özellikleri Neler Olmalıdır G. Servis Düzeyi Konvansiyonel Hizmetler Dış Kaynak Kullanım Hizmetleri Proje Yönetimi Danışmanlık Hizmetleri Tanımlar Destek Çeşitleri PC-Server-Çevre Birimleri Bakım/Destek Network Bakım/Destek BT Güvenlik Ürünleri/Sistemleri Bakım/Destek Yazılım Bakım/Destek H. Muhammen Bedel ve Uygulama Takvimi II. Hukuksal Değişimler A. Elektronik İmza Sertifika Sağlayıcılığı B. NES ve BES Kullanımı C. Zaman Damgası D. Kayıtlı Elektronik Posta ve e-tebligat III. Önerilen Organizasyon Yapısı ve Personel Gereksinimleri IV. Eğitim Gereksinimleri 3
I. Türkiye Noterler Birliği ve Noterler Altyapısı A. Noterlik Paylaşım Sistemi İçin Olması Gereken Topoloji Genel Yapı Noterlik Paylaşım Sistemi (NPS), gereksinimlerine genel bakış, güçlü bir güvenlik altyapısı gerektirir. Bu gereksinimler göz önüne alındığında 7 temel yapı ihtiyacı olduğu görülmüştür. 1. Güvenli Erişim ve Yetkilendirme 2. Güvenli Saklama 3. Güvenli Yedekleme ve Veri İmhası 4. Olay Takibi ve Aksiyon 5. Güvenlik Denetimleri 6. Ağ Yapısı 7. Sunucu Yapısı ve İhtiyaçlar Bu yapılar özelinde olması gereken mimari, noterlik verilerinin merkezde dijital ortamda sadece noterin erişebileceği bir yöntem ile şifreli olarak saklanması prensibi üzerine tasarlanmıştır. Güvenli Erişim ve Yetkilendirme Güvenli erişim için mutlaka IPSecVPN üzerinden Noterler ile Türkiye Noterler Birliği (TNB) arasında bir erişim sağlanmalıdır. İkinci el araç satış projesi ile bu altyapı zaten TNB nin elinde olduğundan bu sistem için ek bir maliyet kalemi bulunmamaktadır. Güvenli erişimin ikinci aşamasında mutlaka kişinin girişlerini incelemek ve irdelemek gerekir ki, bunun için Kimlik Yönetim Sistemi (IDM Identity Manager) bulunmalıdır. Kullanılacak olan IDM; yerel yazılım kimlikleri, VPN kimlikleri vb. ile ilişkilendirilerek mutlaka bir takip mekanizması ile izlenmelidir. Bu yöntemle erişim denetimleri kişi bazlı olarak yapılmalı ve kayıt altına alınmalıdır. Kayıt altına alma işlemleri mutlaka 5651 sayılı yasaya uyumlu olmalı ve burada görülen sorunlara uygun aksiyonlar alınabilmelidir. Bu konuya Olay Takibi ve Aksiyon konusunda değinilmiştir. Erişimler her ne kadar VPN üzerinden yapılıyor olsa da erişilecek olan ağ yapısı mutlaka bir güvenlik duvarı denetiminden geçirilmelidir. Uygulama erişimleri tek bir kimlik denetimi ile birleştirilmelidir. Ancak kullanıcı erişimleri uygulama bazlı olarak da kısıtlanmalıdır. Kimlik yönetimine ek olarak kullanıcı yetkilerini ve 4
bilgilerini bir arada tutan bir ortak veri tabanı kullanılması şarttır. Bu sayede farklı noktalardaki kimlik yönetimi zafiyetleri tek nokta kontrolü ile aşılmış olacaktır. Bu sistem için edirectory, LDAP vb. bir yapı kullanılabilir. Her iki sistem de hem Windows hem Linux sunucu ve uç bilgisayarlar ile sorunsuz olarak çalışabilmektedir. Güvenli Saklama Noterlik verilerinin saklanması için bir disk array kullanması şarttır. Bu disk array mutlaka fiber bağlantılara sahip olmalı ve büyümeye de açık olabilecek bir sistem olan SAN (Storage Area Network) yapısında olmalıdır. SAN üzerinden sunucu ve kullanıcı verileri saklanmalıdır. SAN üzerindeki diskler RAID yapısı ile de kendi içlerinde yedekli olmalıdır. Yeni disk eklenmesine olanak sağlayacak raf sistemleri ile büyüme ihtiyaçları da sorunsuz olarak karşılanabilecektir. Bazı kullanıcı verilerinin şifrelenmesi gerekebilir. Örneğin iki firma arasındaki sözleşme; bu durumda veriler noterlerin elektronik sertifikası ile şifrelenerek saklanmalıdır. Ancak Noter in bu sertifikayı kaybetmesi, ya da benzeri durumlarda veriye erişimin mümkün olabilmesi için bu bilgiyi açabilecek genel bir anahtarın yetkilendirilmiş birden fazla yönetici onayı ile açılabilmesi sağlanmalıdır. Bu genel anahtar mutlaka yazılı olarak yüksek güvenlikli bir banka kasasında saklanmalıdır. Kullanıcılar kendilerine ait olan verileri mutlaka elektronik imza ile imzalı olarak saklamalıdırlar. Burada yüklenecek olan tüm bilgilerin elektronik zaman damgası ile de damgalanması verilerin değişmezliğini göstermek için önemlidir. Bunun için bir elektronik zaman damgası sağlayıcısı ile anlaşma yapmak gerekir. TNB nin kendi verilerini kendi sağladığı elektronik zaman damgası ile damgalamasının hiçbir anlamı yoktur. Verilerin raporlanması ve erişimlerin düzenlenmesi için mutlaka web tabanlı bir uygulama geliştirilmelidir. Bu sayede hem işletim sistemi bağımsız bir sistem oluşacaktır, hem de ileride bazı bilgilerin üçüncü kurumlarla paylaşılması çok daha az maliyet ve iş gücü ile sağlanabilecektir. Buradaki verilere erişimlerde kişisel izleme yapılması şarttır. Veri tabanı alanlarına erişim mutlaka denetlenmeli ve ilişkisel sorgulamalara tabi tutulmalıdır. Veri erişim kayıtları yine güvenli bir ortamda saklanmalıdır. Güvenli Yedekleme ve Veri İmhası TNB nin yüksek kapasiteli bir yedekleme ünitesine kesinlikle ihtiyacı vardır. NPS verilerinin yedeklemeleri arttırmalı şekilde günlük olarak alınmalı ve yedeklerin düzgün alınıp alınmadığı mutlaka denetlenmelidir. Haftada bir kere yedeklerden tam geri dönüş testleri yapılmalı ve bütünlükleri kontrol edilmelidir. 5
Verilerin yüksek kapasiteli teyp ünitelerine alınmasından önce veriler ayrı bir disk ünitesi üzerinde depolanmalıdır. Veri bütünlüğü denetlenmeden önce de bu disk ünitesi üzerinden silinmemesi gerekir. Veriler, aylık setler halinde yangına dayanıklı yüksek güvenlikli veri saklama kasalarında saklanmalıdır. Erişim kayıtları yasanın öngördüğü sürelerce saklanmalı, diğer veriler kritiklik durumlarına göre en fazla 5 yıl saklanmalıdır. Bu bilgiler ışığında ortalama veri boyutları ve kartuş miktarları hesaplanarak saklama kasası edinilmelidir. Verilerin imha işlemi basit bir silme işleminden farklıdır. Bunun için dünyada uygulanan en gelişmiş standart Amerika Ulusal Güvenlik Ajansı (NSA) wipe standardıdır. Bu standartlar dahilinde kartuş verilerinin ve disklerin silinmesi şarttır. Bozulan ya da farklı amaçlar için kullanılacak tüm diskler üzerinde bu işlemler yapılmalıdır. Bu silme işlemlerini yapan uygulamalar TNB tarafından edinilmelidir. Bu standartta işlem yapan farklı işletim sistemleri için geliştirilmiş ücretli ve ücretsiz birçok yazılım bulunmaktadır. Olay Takibi ve Aksiyon NPS nin, çok ciddi bir kayıt takip sistemine gereksinimi vardır. Bu sistem mutlaka kimlik yönetim sistemi ile birleştirilmelidir. Bu takip sistemi farklı bilgisayarlardan aldığı kayıtları birleştirebilmeli ve saldırı, hata vb. durumlara karşı belirli süreçleri tetikleyebilmelidir. Kimlik yönetim sistemi ile bu yapı birleştirilmediği sürece NPS üzerinde takip yapmak neredeyse imkânsız hale geleceğinden bu sistemin mutlaka IDM destekli olması şarttır. Sistem kayıtlarının yedeklenmesi ve 5651 sayılı yasaya uyumu en az yedeklerin incelenmesi kadar önemlidir. Yedekler mutlaka elektronik zaman damgası ile yasaya uygun olarak saklanmalı ve erişim raporları alınabilmelidir. Erişim kayıtları mutlaka TNB içerisinde kurulacak bir bilgi güvenliği birimi tarafından düzenli olarak denetlenmeli, sistem yöneticileri, yazılımcılar ya da ilgililer zamanında uyarılmalıdır. Güvenlik Denetimleri TNB de bugüne kadar ne yazılım, ne de sunucu ve ağ altyapısına yönelik bir güvenlik denetimi yapılmadığı görülmüştür. Özellikle yazılımdaki güvenlik açıkları ciddi itibar kayıpları ve telafisi çok ağır olabilecek sorunlara sebep olabilir. Bu nedenle düzenli olarak yazılım üzerinde statik ve dinamik denetim yapılmalı ve yaptırılmalıdır. Ağ ve sistemlerde yine sürekli gelişen ve değişen yapılara karşı yılda 3 seferden az olmamak üzere denetlenmelidir. Bu işlem için TNB yılda en az bir kere dış denetim almalıdır. Dış denetim ile hem ağ içerisinden belirli yetkilere sahip bir kullanıcı olarak, hem de ağ dışında farklı yetki 6
seviyelerine sahip kullanıcılar ile testler gerçekleştirilmeli ve sistem açıkları belirlenerek kapatılmalıdır. Ağ Yapısı Ağ üzerinde mutlaka ortak zaman sunucusu (NTP Network Time Protocol) bulunmalıdır. Yedekleme ile ilgili sistemler kullanıcı erişimlerine kapatılmalı, mümkünse genel ağ üzerinden izole edilmelidir. Veri tabanı erişimleri XML güvenlik duvarları ile sınırlandırılmalı, bu sayede sorguların kaynağı ve istenilen verilerin kontrollü verilmesi sağlanmalıdır. Kullanıcı ağları ve ana sistemler mutlaka ayrılmalıdır. Herkese açık olan sunucular güvenlik duvarından ek kurallar yazılması yerine DMZ (demilitarized zone) bölgesine konmalı bu sayede güvenlik duvarının daha yönetilebilir olması sağlanmalıdır. Kullanıcıları denetlemek ve saldırılarda bir adım öne geçebilmek için sistemler arasında mutlaka tuzak bilgisayarlar yerleştirilmeli, bu sistemler üzerinde sahte uygulamalar çalıştırılarak olası saldırganların hareketleri izlenmelidir. Farklı yetki düzeylerine sahip olan birimler mutlaka birbirlerinden ayrılmalıdır (BIM, Muhasebe, vb.) Her kullanıcı, bilmesi gereken prensibine göre ihtiyacı kadar uygulamaya erişmelidir. Saldırıların birçoğunun iç ağdan geldiği düşünülürse, kullanıcıların iç ağdan dış ağa geçişleri mutlaka sınırlandırılmalı ve denetlenmelidir. Basit bir internet sitesi erişimi bir saldırganın kullandığı bir arka kapı olabileceği için IDS (Intrusion Detection System) sistemi mutlaka sistemler üzerinde kurulmuş olmalıdır. Sunucu Yapısı ve İhtiyaçlar TNB bünyesinde değişen yapıya uygun olarak sanallaştırma altyapısına geçilmesi çok önemlidir. Özellikle felaket kurtarma merkezi maliyetleri sanallaştırma altyapısı ile düşürülebilir. NPS gibi bir sistemin yedeksiz çalışması düşünülemez. Sanallaştırma altyapısı ile farklı bir coğrafi bölgede, deprem, sel, yangın, internet kesintisi gibi durumlara karşı sistemin ayakta kalması sağlanmalıdır. Fiziksel sunucuların yedeklenmesi sanal sunuculara göre çok daha zor ve maliyetlidir. Fiziksel sunuculara CPU, RAM gibi bileşenlerin eklenmesi zaman içerisinde çok yüksek maliyetli ya da fiziksel kapasite sorunları yüzünden mümkün olmayabilir. Ancak sanallaştırma çözümünde birden fazla bilgisayar kümeleme yöntemi ile birleştirilip sunucu gücü istenildiği kadar arttırılabilir. Böylece her iş için yeni bir sunucu almak yerine eldeki sunucuların güçlerini birleştirerek, daha verimli bir altyapı sağlanabilir. 7
Buradaki en önemli sorun yönetilebilirliktir. Yaygın kullanılan 4 kadar sanallaştırma uygulaması vardır. Bu uygulamaların yeteneklerine göre hepsinin kullanılabileceği düşünülürse, tüm bunları yönetecek bir uygulama kullanılması yerinde olacaktır. Bu uygulamaların en çok bilineni PlateSpin yazılımıdır. Bu yazılım ile VMWare, HyperV, Ctrix, Xen gibi sanallaştırma uygulamalarının tamamı tek bir merkezden yönetilebilmektedir. Yukarıda detayları yer alan topolojinin bağlantı yerlerini gösteren şekil aşağıda yer almaktadır. GÜVENLİK NEDENİYLE KALDIRILMIŞTIR Gelişen teknoloji göz önüne alındığında, güvenlik katmanlarını birbirinden ayırırken, sanal bölümleme fiziksel bölümleme kadar yeterli olacaktır.
Yazılım Altyapı Değişikliği Gereksinimleri TNB bünyesinde kullanılan yazılımlar.net tabanlı ve uç bilgisayarlarda çalışan yazılımlardır. Bu yazılımların bazı parçaları web servisleri aracılığı ile merkez ile konuşarak merkeze bilgi aktarmaktadır..net tabanlı yazılımlar güvenlikle ilgili sorunlar ve sistem gereksinimlerinin yüksek olması nedeni ile fazla tercih edilmemektedir. Tek tercih sebebi Windows işletim sistemleri ile uyumlu çalışabilmesidir..net temelli bir yazılımı çalıştırmak için işletim sisteminin Windows olması TNB ye bir lisans maliyeti yüklemektedir. Sistem kaynaklarını da yoğun kullanıyor olması bu lisans maliyetini ve gereksinim duyulan donanım ihtiyacını arttırmaktadır. E-Uygulamalarda Olması Gereken Yapı E-Uygulamaların çoğu merkezi olarak çalışır ve bu yüzden web temelli uygulamalar geliştirilir. Web temelli uygulamaların geliştirilmesinde dünya genelinde kullanılan teknoloji Java dır. Java nın tercih edilmesinin sebeplerine genel olarak bakıldığında, Açık kaynak kodlu olduğu için rahat geliştirilmesi Yüksek güvenlik katmanları içermesi Web temelli ve uç bilgisayara kurulabilecek uygulamaların yapılabilmesi Büyük ölçekli projeler için ölçeklendirilebilir olması Platform bağımsız çalışabilmesi (Windows, Linux, OsX, Cep telefonları vb.) Diğer teknolojilerle uyumlu çalışabilme gibi özellikler göze çarpar. Birçok kurumla ortak çalışabilecek altyapıların önem kazanacağı düşünüldüğünde. Java teknolojileri diğer teknolojilerle uyumlu çalışabildiğinden geliştirilecek uygulamalara harcanacak zaman ve para boşa gitmeyecektir. Java teknolojileri yaygın olarak kullanıldığından, bu alanda uzman personel bulmak da sorun olmayacaktır. Bu da kişiye bağımlılığı ortadan kaldıracaktır. Web temelli küçük uygulamalar için (web servis, formlar, vb.) Java teknolojileri gereğinden büyük bir çözüm önerisi olacaktır. Bu nedenle yine Java ya benzer temel özellikleri taşıyan platform bağımsız, açık kaynak kodlu ve lisans bedeli gerektirmeyen PHP çözümü değerlendirilmelidir. 9
Mevcut internet sitesi ve üzerindeki uygulamaları PHP ortamına taşımak bile sistemin çalışması için gerekli performans gereksinimlerini yarı yarıya düşürecektir. Bunun yanında Windows için ödenmesi gereken lisans ücretine de gerek kalmayacaktır. Geçiş için gereksinimler Personelin Java ve PHP teknolojileri ile ilgili bir eğitim alması en önemli başlangıçtır. Zaten yazılım konusunda deneyimli olan personelin bu teknolojilere uyumu çok kısa süre içerisinde tamamlanacaktır. Eğitim içerisinde bu güne kadar alınmayan, yazılım güvenliği eğitimlerinin de mutlaka yer alması gerekir. Güven kurumu olan Noter lerin yazılımlarında kullanacağı güvenlik tedbirlerinin en üst seviyede olması gerekir. Yazılım geliştirme aşamasının başlarında, bu teknolojiler konusunda liderlik yapabilecek bir danışmanla çalışmak ekibin adaptasyon sürecini kısaltacaktır. Süreç içerisinde mevcut yazılımlar da Java ve PHP teknolojileri ile yenilenmesi ve bu yazılımlara geçişin tamamlanmasından sonra eski sistemler devre dışı bırakılarak teknolojik bağımlılıklardan ve bunların gerektirdiği alternatif maliyetlerden TNB kurtulmuş olacaktır. Maliyet Avantajları Microsoft temelli teknolojiler ile açık kaynak kodlu teknolojiler arasındaki en temel farklardan biri maliyettir. Microsoft temelli çözümler lisans maliyetleri ve gereksinim duyduğu yüksek kapasiteli donanım maliyetleri ile öne çıkarken, açık kaynak kodlu teknolojiler düşük (çoğu zaman bedava) lisans maliyetleri ve çok daha verimli çalışmasından kaynaklı olarak düşük kapasiteli donanımlarda aynı performansta çalışabildiğinden %50 ile %80 arası tasarruf sağlanabilmektedir. 10
B. Günlük Operasyon Yönetimi Türkiye Noterler Birliği Hizmet Masası Yapılandırması TNB temelde üç farklı kullanıcı grubuna hizmet vermektedir. Noterlikler, Noter Odaları ve TNB iç kullanıcıları olarak sınıflandırılabilecek olan bu üç grup içinde ağırlıklı olarak destek talebi noterliklerden gelmektedir. Mevcut durumda, günlük operasyonel çalışmalarda noterliklerden gelecek olan soru ve sorun bildirimleri bir süre önce Bilgi İşlem bünyesinde oluşturulmuş olan destek grubu tarafından karşılanmaktadır. Destek grubuna gelen soruların eğer bu sorunu karşılayan kişi tarafından yanıtlanabiliyorsa yanıt verildiği ancak sorun çözülemiyorsa ilgili gruba (örneğin yazılım geliştirme grubuna vb.) aktarıldığı ve gelen sorular daha sonra rapor alınabilmesi amacıyla da bir izleme sistemine girildiği belirlenmiştir. Kısa bir süre önce başlayan bu destek grubu çalışmaları hedef olarak ulaşılması beklenen Hizmet Masası yapılandırması için temel olması açısından önemli bir gelişmedir. Kurumlara gelen çağrıların %75'inin tek bir telefon ile çözülecek sorunlar olduğu yapılan araştırmalarla belirlenmiştir. Son kullanıcıların tek noktadan erişerek sorunlarını iletmesi veya yardım istemesinin ise merkezi yapıda olası sorunlara karşı bilgi birikiminin oluşturulması ve sorunlara hızlı çözüm getirme hedeflerine ulaşılmasını sağladığı belirlenmiştir. Kullanıcıların iş süreçlerini yakından etkileyebilecek ve özellikle bilişim kaynaklı soru ve/veya sorunların değerlendirilmesi için ideal yapılandırmanın aşağıdaki alt gruplardan oluşması gerekmektedir. Çağrı Kayıt Grubu: Herhangi bir şekilde soruları veya sorunları çözüm bulma görevi olmayan, yalnız gelen kayıtları doğru şekilde sınıflandırarak sorun tanımını yapan ve sevk etmeyi amaçlayan bir iş tanımı vardır. TNB'den hizmet alanların birebir ulaştıkları ilk gruptur. Ayrıca sorunların çözümüne ilişkin takipleri yaparak geri bildirimleri gerçekleştirir. Çağrı kayıtları kapatılmadığı durumlarda sorunun durakladığı gruptan gelişmelerle ilgili bilgileri alarak soru/sorun sahibini bilgilendirir. Çağrı kayıt grubunun en önemli özelliğinin kullanıcılar ile aynı terimleri kullanarak sorunu ve daha sonrasında da gelişmeleri aktarabilmesidir. Mümkün oldukça teknik terimlerin kullanılmaması ve kullanıcı ile aynı dilin konuşulması özellikle Noterliklerden arayanların memnuniyeti açısından oldukça önem arz etmektedir. Deneyimli Hizmet Grubu: Gelen çağrıların büyük bir çoğunluğunu çözen gruptur. Temel olarak yazılımlarda ve/veya iş süreçlerinde değişiklik yapılmasını gerektirmeyen ancak kullanıcıların bilgi eksikliği veya kullanım hataları nedeniyle oluşan çağrıların kapatılma işlemini gerçekleştirir. 11
TNB'den hizmet alanların birebir ulaştıkları ikinci gruptur. Çağrı kapatıldığında geri bildirimleri çağrı kayıt grubu tarafından yapılmasını sağlar. Uzman Hizmet Grubu: Yazılımlarda ve/veya iş süreçlerinde değişiklik yapılmasını gerektirecek çağrılarda, problem tanımını net olarak yapılmasıyla görevli olan gruptur. Soru/sorunlar, çağrı kayıt grubu tarafından alınıp deneyimli hizmet grubu tarafından çözümü yapılamıyorsa, uzman hizmet grubuna yükseltilir. Uzman hizmet grubu problemin tanımını yapar, sorunları çözecek olan grupla birlikte çalışarak çözümün üretilmesini sağlar ve gerekli tüm testleri de yaptıktan sonra çağrıların kapatılma işlemini gerçekleştirir. Çağrı kapatıldığında geri bildirimleri çağrı kayıt grubu tarafından yapılmasını sağlar. Uzman Hizmet Grubunun bir diğer görevi gelen çağrılara ilişkin düzenli raporlar hazırlayıp sorun kaynaklarına ilişkin sorun çıkmadan önce yapılabilecekler konusunda diğer grupların temsilcilerinden oluşacak bir komite ile öneriler hazırlamaktır. TNB yapısı ve verdiği hizmetler incelendiğinde gelen çağrıların zamana yaygın olmadığı, dönemsel artışlar gösterdiği ve düzensiz frekansta geldiği belirlenmiştir. Çağrı Kayıt Grubu olarak çalışacakların sayısının da bu nedenle zaman zaman artması ve azalması gerekebilir. Artışların genellikle yeni yazılımların kullanıma başlaması sürecinde olduğu görülmüştür. Bu dönemlerde yapılabilecek olan geçici görevlendirmeler hesaba katılmazsa 2 kişinin bu grup içinde çalışması gerektiği belirlenmiştir. Deneyimli Hizmet Grubu için ise genel yaklaşım Çağrı Kayıt Grubunun sayısının iki katı kadar çalışanı olması yolundadır. Bu durumda TNB için önerilen sayı ortalama 4 kişi olacaktır. Zaman zaman bu sayının artması ve desteğin diğer gruplardan geçici sürelerde karşılanması gerekebilir. Uzman Hizmet Grubu için TNB gereksinimleri göz önüne alındığında 1 kişinin görevlendirilmesi yetecektir. Deneyimli ve Uzman Hizmet Grubu çalışanlarının TNB'nin sağladığı hizmetlerle ilgili tüm süreçlere hakim olması ve kullanıcı kaynakları sorunların çözümüyle ilgili olarak ortak veritabanı üzerinden gerekli izleme işlemlerini yapabilecek bilgi birikimine sahip olmaları gerekmektedir. Çağrı kayıt izleme sistemi: Noterlikler, Noter Odaları ve TNB'nin iç kullanıcılarından gelen tüm çağrıların kayıt altına alınması gerekmektedir. Bu kayıtlar daha sonra dönemsel raporlar olarak incelenmeli ve soru/sorun tiplerine göre problem oluşmadan önlemlerin alınması (örneğin eğitimlerde olası sorulara ilişkin konulara ağırlık verilmesi gibi) gerekmektedir. Çağrı kayıt izleme sisteminden dönemsel raporların çıkartılması görevi Uzman Hizmet Grubu çalışanlarına aittir. Ancak hangi raporların olması gerektiğine ilişkin çalışma hem Bilgi İşlem yöneticileri ve hem de ilgili hizmeti sağlayan grubun (örneğin yazılım grubu gibi) katılımlarıyla birlikte yapılmalıdır. 12
Örnek bir hizmet masası yapısı şekildeki biçimde olmalıdır. 13
C. Kurulacak Tüm Sistemin Yönetimi TNB nin bilgi sistemleri altyapısında bulunan ve TNB ağına bağlı çalışan kullanıcıların masaüstü, dizüstü, avuç içi ve benzer bilgisayar sistemlerinin uzaktan otomatik olarak yönetilmesini sağlayacak bir yönetim yazılımı; Uzaktan Konfigürasyon Yönetimi, Yama Yönetimi, Uç Nokta Güvenlik Yönetimi, Sabit Kıymet Yönetimi olanakları sağlamalıdır. Çözüm, kimlik yönetimi ve Olay yönetimi alt yapısı sağlamalı ve bütünleşik olarak çalışmalıdır. Çözüm, üretici firma tarafından tek bir paket olarak sunulmalı ve üretici firma tarafından desteklenmelidir. Uzaktan Konfigürasyon Yönetimi (Configuration Management) Uzaktan konfigürasyon yönetimi aşağıdaki özelliklere sahip olmalıdır: Yönetim yazılımı, yöneteceği sistemlerin işletim sisteminden uygulama yazılımlarına kadar üzerine yüklenebilecek ve yüklü bütün yazılımları otomatik olarak kurabilmeli, güncelleyebilmeli, onarabilmeli, kaldırabilmeli, imajlarını alabilmeli ve gerektiğinde birinden diğerine taşıyabilmelidir. Ortaya çıkan bozulma ve hataları raporlayabilmelidir. Yönetilen cihazları uzaktan otomatik olarak bulabilmeli ve gerekli yönetim yazılımlarını otomatik olarak yükleyebilmelidir. Cihazların uzaktan keşfedilmesi için birçok yöntem kullanabilmelidir. Yönetim aktivitelerini kuruluşun önceden belirleyeceği kurallara uygun olarak gerçekleştirmelidir. Kurallar gruplar bazında tanımlanabilmelidir. Kurallar yönetilen sistemlerin belirlenecek kullanım ömürlerine uygun olarak tanımlanabilmelidir. Kuruluşun ağına bağlanma yetkisi verilerek bağlanan bütün yönetilen cihazları coğrafik lokasyondan bağımsız olarak tanıyabilmeli ve cihazın yanına gitmeye gerek kalmadan yönetebilmelidir. Kuruluşun sahip olduğu farklı işletim sistemi sürümlerinde çalışabilmelidir. Yönetilen sistemleri cihaz veya kullanıcı bazında tanımlayabilmeli ve bu bazda verilmiş kurallara uygun olarak yönetebilmelidir. Kuruluşun güvenlik duvarları içindeki veya dışındaki cihazlara aynı güvenlik şartlarında erişim sağlayabilmelidir. Gerektiğinde kuruluşun yapısına ve coğrafik özelliklerine bağlı olarak yönetim yetkisi bütünleşmiş uydu sunuculara paylaştırılabilmelidir. LDAP mimarileri (Novell edirectory ve Microsoft Active Directory) yapılarına uyumlu olarak çalışmalıdır. Yönetim web teknolojileri yardımı ile kolaylıkla sağlanabilmeli, yönetilen cihazlar kontrol merkezinde web arayüzünden kolaylıkla izlenebilmelidir. Arayüzde yönetilen cihazlar esnek ve ölçeklenebilir olarak gruplandırılabilmelidir. İstenen bilgilere kolaylıkla ulaşılabilmelidir. 14
Yönetim ile ilgili faaliyetler bilgi sistemleri bölümü içinde belirlenecek rollere ve yetkilere göre hiyerarşik olarak yapılabilmelidir. Yönetilen cihazlarda yapılan değişiklikler ve alınan uyarılar tarihsel olarak raporlanabilmelidir. Yönetilen sistemlere yüklenecek uygulama yazılımlarını uygun araçlarla yükleyebilmeli ve Windows Installer (MSI) uygulamasını kullanabilmelidir. Yönetilen sistemlerin imajlarını kolaylıkla oluşturabilmelidir. Bu işlem kontrol merkezinden tek komutla yapılabilmelidir. ImageX ve Ghost gibi imaj uygulamaları ile birlikte çalışabilmelidir. İmajların geri yüklenmesini otomatik olarak ve gruplara yapabilmelidir. Zamana bağlı akıllı imaj yönetimi yapabilmeli, imajları zaman içindeki değişiklikleri kaydederek saklayabilmeli ve geri yükleyebilmelidir. Kullanıcılardaki Linux işletim sistemli cihazların kurallara uygun olarak yönetilmesini sağlayabilmelidir. Yama Yönetimi (Patch Management ) Yönetilen sistemlerde yüklü yazılımlar için üreticiler tarafından yayınlanan güvenlik uyarılarını izleyebilmeli, yayımlanan yamaları alabilmeli ve doğru yamayı doğru sisteme durma zamanları yaratmayacak şekilde programlayarak belirlenen kurallara uygun olarak yükleyebilmelidir. Yama yönetimini sağlarken, dijital parmak izi yöntemini kullanarak uyumluluğu güvence altına almalı ve sistemlerin dış saldırılara açılmamasını sağlamalıdır. Konfigürasyon ve yama yönetimi için önceden belirlenen kural ve politikalar değiştirildiğinde yönetim sistemine derhal tanıtılabilmeli ve uygulanabilmelidir. Gelişmiş bir merkezi yama yayıncısına ulaşabilmeli ve buradan gelecek uyarıları izleyebilmelidir. Yama yönetimi web tabanlı ve kolay kullanılabilen bir arayüz yardımı ile yapılabilmelidir. Yönetilen sisteme yeni yüklenen yazılımlar kurallara uygun olarak yama yönetimi kapsamına otomatik olarak alınabilmelidir. Yama yüklemeleri istenen şekillerde esnek olarak raporlanabilmelidir. Uç Nokta Güvenlik Yönetimi (Endpoint Security Management) Kuruluşun yönetilen cihazlar için önceden belirleyeceği konfigürasyon ve erişim kurallarına uyumu merkezi olarak sağlamalı, denetlemeli ve kullanıcıların bu kuralların dışına çıkmasını engelleyebilmelidir. Güvenlik ihlallerini anında tanımlayabilmeli ve gerektiğinde düzeltilmesi için kuralların anında değiştirilmesini sağlayabilmelidir. Kuruluşun bütün kullanıcı cihazlarını, masaüstü, dizüstü, avuç içi, akıllı telefonlar, MP3 çalıcılar, USB bellek ve diğer bütün taşınabilir eklentileri kapsayacak şekilde güvenlik yeteneklerine sahip olmalıdır. 15
Bilgi çalınmasına engel olmak üzere taşınabilir cihazların - USB, floppy, CD/DVD,.mp3 çalıcılar, flash bellek, SCSI ve PCMCIA kartlar sadece okunabilir kullanılmasını sağlayabilmelidir. Yönetilen cihazların disklerindeki kayıtların denetim için gerekli kayıtları bırakmadan dışarıdaki bir ortama kopyalanmamasını sağlamalıdır. Kullanıcısının bulunduğu ortama ve güvenlik şartlarına bağlı olarak yönetilen sistem üzerindeki optik ve floppy cihazların sadece okunabilir olarak çalışmasını sağlamalıdır. Yönetilen sistemler üzerindeki verilerin istendiğinde şifrelenmesini ve bu şekilde kullanılmasını ve taşınmasını sağlamalıdır. Kuruluşun güvenlik duvarında belirlenen kurallara uyumlu olarak çalışabilmelidir. Yönetilen cihazların kablosuz bağlantı özelliği, sadece kuruluşun belirleyeceği kablosuz bağlantı noktalarına bağlanabilmesine olanak verecek şekilde düzenlenebilmelidir. Yönetilen sisteme dışarıdan takılmasına izin verilecek kablosuz adaptör cihazlarının önceden belirlenmesine olanak tanımalıdır. Kablosuz bağlantının kuruluşun izin verdiği şifreleme standartlarına uygun olup olmadığını denetleyerek izin verebilmelidir. Yönetilen sistemlere erişimi port bazında kontrol edebilmelidir. Uygulama bazında kara listeler oluşturarak istenmeyen programların kullanıcılar tarafından çalıştırılmasını engelleyebilmelidir. Kullanılacak uygulamaların lokasyon bazında izin verilerek kullanılmasını sağlayabilmeli. Antivirus ve Spyware gibi güvenlik yazılımlarının doğru çalışıp çalışmadığını denetleyebilmeli. İstendiğinde kullanıcıların sadece yetki verilen VPN şebekeleri ile ağa bağlanmalarını sağlayabilmelidir. Kullanıcı cihazlarının aniden kapatılması güvenlik yeteneklerini etkilememelidir. Sabit Kıymet Yönetimi (Asset Management) Kuruluşun yönetilen sistemler üzerindeki, sabit kıymet envanterini izleyebilmeli, yüklü yazılımları, kullanım oranlarını ve lisanslarını bulmalı, kontrollerini yapabilmeli, zamana bağlı olarak kaydedebilmeli ve uygun şekilde raporlayabilmelidir. Sabit kıymetler web yönetim ekranından kolaylıkla izlenebilmeli ve raporlanabilmeli. Sabit kıymet hareketleri merkezi bir veri tabanında zamana bağlı olarak tutulmalıdır. Yönetim yazılımı piyasada bulunan bütün yazılımları ve yazılım gruplarını tanımlayabilecek, güncellemelerini izleyebilecek bilgi tabanına sahip olmalıdır. Kuruluş tarafından ve özel geliştirilen yazılımları kolaylıkla ve hızla tanımlayabilmelidir. Windows, Mac, Linux ve UNIX işletim sistemlerindeki sabit kıymetleri tanıyabilmelidir. Sabit kıymet hareketlerini yerel şebekeden, telefonla bağlantıya kadar bütün bağlantı tiplerinde izleyebilmeli ve veri tabanına kaydedebilmelidir. İstendiği anda, belirli bir cihazın sabit kıymet kayıtlarını alabilmelidir. Güncellemeleri otomatik olarak kaydedebilmelidir. İstenebilecek bütün raporları verebilecek raporlama yeteneklerine sahip olmalıdır. Yazılım sürümlerini ve servis paketlerini kaydedebilmelidir. 16
Lisans alma zorunluluğu olmayan ücretsiz yazılımları (Adobe Reader gibi) belirleyebilmelidir. Bir yazılım grubunun parçası olan yazılımları ayırabilme ve ihmal edebilme özelliğine sahip olmalıdır. Yazılımları fonksiyonlarına göre sınıflandırabilmelidir. Yazılım gruplarına sonradan eklenen bileşenleri algılayabilmelidir. Satın alınan yazılım lisanslarını, runtime ve deneme sürümlerinden ayırabilmelidir. Büyük yazılım sağlayıcılarla lisans bilgisi doğrulayacak şekilde bağlantı olanakları olmalıdır. Yazılım envanterini karşılaştırabileceği ve sınıflandırabileceği dinamik bir ürün kataloguna sahip olmalıdır. Gerekli lisans bilgilerini diğer bir sistemdeki satın alma kayıtlarından çıkartabilmelidir. Yazılım kayıtlarını istendiği şekilde organize edebilmeli ve kontrol ve raporlamaları bu organizasyona uygun olarak yapabilmelidir. Yönetim yazılımı bulduğu yazılım kurulumları ile lisans kayıtlarını otomatik olarak eşleştirebilmelidir. Kullanılmayan lisanslı ürünleri ve eksik lisansları anlık olarak raporlayabilmelidir. Potansiyel lisans problemlerini bilgi sistemleri yönetimine otomatik olarak e-posta ile bildirebilmelidir. Yönetilen sistemlerdeki yazılımların yerel sunucu üzerinden veya web ortamından kullanım oranlarının detaylı olarak raporlanabilmesini sağlamalıdır. Sistemlerde önyüzde ve arka planda çalışan bütün yazılımların ve kullanım oranlarını raporlanabilmesini sağlamalıdır. Kullanım oranlarına göre kuruluş için büyük öneme sahip kilit uygulamaların ve hiç kullanılmadığında elenebilecek olanların belirlenmesine yardımcı olmalıdır. Özel cihazlarda ve belirli kullanıcılar veya birden çok sayıda kullanıcı tarafından kullanılan uygulamaların belirlenmesine yardımcı olmalıdır. Yönetilen sistemler ağa bağlı olmadığı sürede de üzerlerindeki yüklü yazılımların kullanımını belirleyerek raporlayabilmelidir. İşlemlerini kullanıcıların işlemlerini etkilemeden yürütebilmelidir. Bilgi sistemleri ile ilgili diğer lisans ve bakım anlaşmaları, kiralama anlaşmaları, garantiler ve diğer bütün anlaşmaların izlenebileceği ve raporlanabileceği bir uygulama içermelidir. Anlaşmalarla ilgili başlangıç, bitiş v diğer önemli tarihleri raporlayabilmelidir. Anlaşmaları kuruluşa ait lisans, iş birimi, sabit kıymet ve çalışanlarla ilişkilendirebilmelidir. Anlaşmaların eklerini saklama ve arşivleme yeteneğine sahip olmalıdır. Kuruluşun kiralama analaşmalarının sürelerinin izlenme ve raporlanmasına yardımcı olmalıdır. Log Yönetimi Log Yönetimi aşağıdaki özelliklere sahip olmalıdır: Kurumda yer alan değişik veri kaynaklarından bilgi toplayabilmeli, standartlaştırmalı ve çok sayıda kullanıcıya önceliklendirme ile sunarak tehdit, risk ve kural tabanlı kararlar almalarını olanaklı kılmalıdır. 17
Veri Loglarının Toplanması, Analiz edilmesi ve Raporlanması otomatik olarak yapılmalıdır. Kuruma ilişkin Güvenlikle ilgili olan ya da olmayan verileri Kurum Ağ yapısından ve 3. parti cihaz ve uygulamalardan toplamalıdır ve tanımlanacak gerekli korelasyonları yapmalıdır. Kurum içindeki değişik konumlandırılabilmelidir. bölümlerde de merkezdeki kuralları aynen yansıtacak şekilde Toplanan verilerin Grafik Kullanıcı Ara Yüzü aracılığıyla, güvenlik ve uyumluluk problemlerinin belirlenmesi ve sorun giderme aktivitelerinin gözlemlenmesi sağlanmalıdır. Otomatik Olay Cevap mekanizması içermeli ve kural uyumsuzluğu içeren olayları belgeleme, izleme, eskalasyona tabi tutma ve cevap vermeyi olanaklı kılmalıdır. Problem Kaydı (Trouble-Ticketing) sistemleri ile çift yönlü iletişim bağlantısı içermelidir. Bütünleşik olarak çalışan Otomatik ve Gerçek Zamanlı Güvenlik ve Uyumluluk Gözlemleme yapısı içermelidir. İş Kurallarının, IT kural ve aksiyonlarını tetiklemesine olanak sağlamalıdır. Güvenlik, Sistem ve Erişim olaylarını otomatik olarak belgelemeli ve raporlamalıdır. Kurum kurallarına uyumluluğun yanı sıra, Sarbanes-Oxley, HIPAA, GLBA, FISMA gibi uluslararası ve devlet regülâsyonlarına da uyumluluğu belgeleme ve gözlemleme yeteneği olmalıdır. Korelasyon Uygulaması, iki ya da daha çok olayın diğer risk faktörleri (tehdit, hedef alınan sistemin tehdide açıklığı ve kritikliği gibi) ışığında potansiyel ilişkilerini analiz edebilmelidir. Karmaşık atak şemalarını tanıyabilmeli ve gerekli karşı aksiyonları alma işlemini başlatabilmelidir. Tüm korelasyonlar sistem ya da sistemlerin belleğinde gerçekleştirilmelidir. Tüm korelasyonlar Gerçek Zamanlı olarak yapılmalıdır. Veritabanı analizi (olayların önce veritabanına işlendikten sonra tespiti) tabanlı uygulama yapılmayacaktır. Her bir olayın zaman kaydı (timestamp) kullanılmalıdır. Zaman Senkronizasyonu için NTP (Ağ Yapı Zaman Protokolü) uygulamasına uyumlu olmalıdır. Çözüm, olaylara karşı iş akışı ve cevap yeteneği içermelidir. Çözüm, Olay Yönetimi için hazır şablonlar içermelidir. SANS Institute Olay Yönetim Kılavuzu, SOX ve HIPAA tanımlı Olay Yönetim şablonlarının bulunması tercih edilmelidir. Çözüm, uyumluluk raporları ve geçmiş olay analizi için gerekli tüm aksiyon tarihçesini tutmalı ve Help-Desk uygulamalıyla çift yönlü iletişimle entegre olabilmelidir. Çözüm, bir kural uygulamasıyla bağlantılaşabilecek, tekrarlanabilir aksiyonların oluşturulmasını ve konfigürasyonunu sağlayacak alt yapı içermelidir. Çözüm mimarisi standartlara uygun ve SOA tabanlı olmalıdır. 18
Çözüm mimarisi, bileşenlerin birbirinden bağımsız olarak ve kurum ihtiyacı çıktıkça genişlemesine olanak sağlamalıdır. Çözümde, toplanarak elde edilen işlenmemiş veriyi sınıflandırma, iş açısından ilişkilendirme ve filtreleme yeterliliği olmalıdır. Olay Veritabanı olarak Oracle ve Microsoft SQL Sunucu veri tabanı platformları desteklenmelidir. Çözüm Felaketten Kurtarma (Disaster Recovery) ve Yüksek Çalışırlık (High Availability) sağlamalıdır. Çözüm, veri toplama için gerekli standart kolektörleri içermelidir. Kolektör geliştirme alt yapısı sağlanmalıdır. Herhangi bir bağlantı kopmasında, bağlantı tekrar kurulana kadar olaylar kayıt altına alınmaya devam edilmelidir. Çözüm, bileşenlerinin performansına ilişkin istatistikî verileri tutmalıdır. Çözüm bileşenlerinin performans durumlarına göre kurallar belirlenebilmelidir. Sistem Mimarisi, olay verilerinin sıkıştırılıp şifrelenmesine olanak sağlamalıdır. Çözüm en az 10,000 EPS (event per second) kapasitesinde olmalıdır. Ek performans gerektiğinde, çözümün nasıl genişleyeceği açıklanmalıdır. Aşağıda belirtilen kaynaklara ilişkin kolektörler sağlanmalıdır: Operating Systems HP-UX, IBM AIX, Microsoft Windows NT/2000/XP/2003, Sun Solaris 8/9/10, Sun Trusted Solaris/BSM, Red Hat Linux, SUSE Linux 9/10, Novell NetWare and Open Enterprise Server. Mainframe/Midrange RACF, ACF2, Top Secret, Z/OS, AS/400, HP Nonstop AntiVirus McAfee VirusScan, Symantec AV, Trend Micro VirusWall Web Servers/Proxies Apache, IIS, ISA, Blue Coat Firewalls Cisco PIX, CheckPoint NGX, Juniper Netscreen, Symantec Configuration Management TripWire Enterprise, TripWwire for Servers Intrusion Detection Cisco SIDS, Enterasys Dragon, ISS SiteProtector, ISS RealSecure, McAfee Entercept/HIDS, Juniper NetScreen, NFR Sentivist, Snort, Sourcefire Defense Center, Symantec IntruderAlert Intrusion Prevention ISS Proventia, Juniper IDP, McAfee Entercept, McAfee Intrushield, Symantec ManHunt Novell Products Novell Identity manager, Novell Access Manager, edirectory, Audit, NMAS, SecreStore, SecureLogin Authentication RSA SecurID Service Desk BMC Remedy, HP Service desk Policy Monitoring McAfee epolicy Orchestrator, TippingPoint SMS Vulnerability Assessment eeye Retina, Foundstone Enterprise, ISS Proventia, ncircle 19
IP360, Qualys QualysGuard, Rapid7 NeXspose, Tenable Nessus Directory Services Active Directory, edirectory, LDAP Routers & Switches Cisco, Juniper, Nortel VPN Cisco, Juniper, Nortel Databases Microsoft SQL Server 2000/2005, Oracle 9i/10g, MySQL Miscellaneous Cisco ACS, Intersect Alliance Snare, NMAP Var olan kolektörlerin geliştirilmesi ve değiştirilmesi olanaklı olmalıdır. Çözüm, ajan kullanmamalıdır. Aşağıdaki kaynaklara bağlantılar sağlanmalıdır. Simple Network Management Protocol (SNMP) Windows Management Instrumentation (WMI) Syslog File access Java Database Connectivity (JDBC) Security Device Event Exchange (SDEE) Application process Ids and APIs 20