1 / 31

BİLGİ GÜVENLİĞİ

BİLGİ GÜVENLİĞİ. Bilgi nedir? Bilgi, diğer önemli ticari varlıklar gibi bir organizasyon için belirli bir değeri olan varlıktır. Dolayısıyla uygun bir şekilde korunması gerekir. BS ISO 27002:2005. - Elektronik Dosya (Yazılım kodları, veri dosyaları)

Download Presentation

BİLGİ GÜVENLİĞİ

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. BİLGİ GÜVENLİĞİ

  2. Bilgi nedir? Bilgi, diğer önemli ticari varlıklar gibi bir organizasyon için belirli bir değeri olan varlıktır. Dolayısıyla uygun bir şekilde korunması gerekir. BS ISO 27002:2005

  3. - Elektronik Dosya (Yazılım kodları, veri dosyaları) - Kağıt Belgeler (Basılı materyal, elle yazılan bilgiler, fotoğraflar) - Kayıtlar (Video kaydı, ses kaydı) - Sözlü İletişim (Telefon, yüzyüze) - Yazılı İletişim (E-posta, faks, anlık ileti)

  4. BİLGİ GÜVENLİĞİ NEDİR? • Bilginin; hukuka aykırı, her türlü yetkisiz erişimden, kullanımından, ifşa edilmesinden, yok edilmesinden, değiştirilmesinden veya hasar verilmesinden korunması işlemidir.

  5. Bilgi güvenliği, 3 temel unsurdan oluşmaktadır. • Gizlilik; • Bilginin yetkisiz kişilerce erişilememesidir. Bilginin yetkisiz kişilerce açığa çıkarılmasının engellenmesidir. • Bütünlük; • Bilginin doğruluğunun ve tamlığının sağlanmasıdır. Bilginin içeriğinin değiştirilmemiş ve hiçbir bölümünün silinmemiş ya da yok edilmemiş olmasıdır. Kazara veya kasıtlı olarak bilginin bozulmamasıdır. • Erişilebilirlik; • Bilginin her ihtiyaç duyulduğunda sadece erişim yetkisi olanlar tarafından kullanıma hazır durumda olması demektir.

  6. Güvenliğin sadece küçük bir kısmı % 20 teknik güvenlik önlemleri ile sağlanıyor. • Büyük kısım ise % 80 kullanıcıya bağlı.

  7. BİLGİ GÜVENLİĞİNİN AMACI • Veri Bütünlüğünün Korunması • Erişim Denetimi • Gizliliğin Korunması • Sistem Devamlılığının Sağlanması

  8. Zararlı Programlar Neler Yapabilir? • Bilgisayarınızdaki bilgileri çalabilir ve başkalarına gönderebilirler. • İşletim sisteminizin veya diğer programlarınızın çalışmamasına, hatalı çalışmasına neden olabilirler. • Bilgisayarınızdaki dosya / klasörleri silebilir, kopyalayabilir, yerlerini değiştirebilir veya yeni dosyalar ekleyebilirler.

  9. saldırı türleri • Süreçsel saldırılar • Engelleme • Dinleme • Değiştirme • Oluşturma • İşlemsel saldırılar

  10. Uyulması Gereken Kurallar • Kullanıcı hesaplarını, kişisel amaçlarına yönelik kullanmamalıdır. • Spam, zincir e-posta, sahte e-posta vb. zararlı e-postalara yanıt yazılmamalıdır. • Kurumsal E-postalar yetkili kişilerce hukuksal açıdan gerekli görülen yerlerde önceden haber vermeksizin denetlenebilir. • 6 ay süreyle kullanılmamış e-posta adresleri kullanıcıya haber vermeden kapatılmalıdır.

  11. Floppy, USB, CD vs. gibi taşınabilir medya kullanımına özen gösterilmelidir. • Başkaları ile paylaşıldığında bu ortamlar içerisinde gereğinden fazla bilgi bulunmamalıdır. • İşlevi sona ermiş taşınabilir medya içindeki bilgi tekrar ortaya çıkarılamayacak şekilde yok edilmelidir. • Taşınabilir medya, masa gibi açık alanlarda bırakılmamalıdır. • Kağıt üzerindeki bilgiler de taşınabilir medya tanımına girebilir. Bir USB bellek, 1 milyon adet kağıtta yer alan bilgi kadar veri içerebilir.

  12. E-posta Güvenliği • Virüslerin en fazla yayıldığı ortam e-postalardır. • Kaynağı tanınmayan e-postalar kesinlikle açılmamalıdır. • Güvenilmeyen eklentiler açılmamalıdır. • Gizli bilgi şifrelenmedikçe e-postalarla gönderilmemelidir. • Spam e-postalara cevap verilmemelidir. • E-posta adres bilgisi güvenilir kaynaklara verilmelidir.

  13. Kullanıcı e-posta hesabına ait parolaları paylaşmamalıdır ve mesajlarının yetkisiz kişiler tarafından okunmasını engellemelidir. • Kaynağı bilinmeyen e-posta ekinde gelen dosyalar kesinlikle açılmamalı ve tehdit unsuru olduğu düşünülen e-postalar ilgili birime haber vermelidir.

  14. Parola kullanımı kullanıcı hesapları için ilk güvenlik katmanını oluşturmaktadır. Bu politika ile güçlü bir parola oluşturulması, oluşturulan parolanın korunması ve bu parolanın değiştirilme sıklığı hakkında standart oluşturulması amaçlanmaktadır. Parolalar e-posta iletilerine veya herhangi bir elektronik forma eklenmemelidir. Sistem hesaplarına ait parolalar (örnek; root, administrator, enable, vs.) en geç 6(altı) ayda bir değiştirilmelidir. Kullanıcı hesaplarına ait parolalar (örnek, e-posta, web, masaüstü bilgisayar vs.) en geç 45(kırk beş) günde bir değiştirilmelidir. !!! Bilgisayar başından kalkarken ekran kilitlenmelidir.

  15. Parolalar genel olarak iki şekilde ele geçirilebilir: 1)Tahmin ederekya da deneme yanılma yolu ile ele geçirilebilir. 2) Parolanızın çalınmasıile yani hırsızlık yaparak ele geçirilebilir. Olası Senaryolar: Tanıdığın bir kişi senin hakkında bildikleriyle parolanı tahmin edebilir. Tanımadığın bir kişi ise herkesin sık kullandığı bilinen, basit parolaları deneyerek şifreni bulabilir. Parolanı bulmak isteyen kişi özel programlar kullanarak sık kullanılan yüzlerce parola örneğini ya da sözlüklerdeki binlerce kelimeyi hızlıca deneyerek parolanı belirleyebilir. İyi korunmayan, yazılı ya da sözlü olarak paylaşılan parolalar, yazılı bulunduğu ortama ulaşılarak ya da kulak misafiri olunarak ele geçirilebilir. Bilgisayar virüsleri gibi zararlı programlar da bilgisayardaki işlemlerini izleyerek parolanı ele geçirebilir. Kullanıcı, parolasını başkası ile paylaşmamalı, kâğıtlara ya da elektronik ortamlara yazmamalıdır.

  16. Güvenli Parola Nasıl Olmalı? • En az 8 haneli olmalıdır. • İçerisinde en az 1 tane harf bulunmalıdır. • İçerisinde en az 2 tane rakam bulunmalıdır. • İçerisinde en az 1 tane özel karakter bulunmalıdır. (@, !,?,^,+,$,#,&,/,{,*,-,],=) • Aynı karakterler peş peşe kullanılmamalıdır. • Sıralı karakterler kullanılmamalıdır. (abcd, qwert, asdf,1234,zxcvb...) • Kullanıcıya ait anlam ifade eden kelimeler içermemelidir. (Aileden birisinin, arkadaşının, bir sanatçının, sahip olduğu bir hayvanın ismi, arabanın modeli vb.)

  17. celik Kullanıcının soyismi. 8 karakterden az.Sadece harfler kullanılmış. Özel karakterler, rakamlar kullanılmamış. alicelik Kullanıcının adı ve soyadı Ali_celik1234 İçerisinde kullanıcı ismi ve soyismi geçiyor. ali123 Kullanıcı isminin türevi de zayıf bir şifredir. 8 karakterden az. antalya Özel isim. Kullanıcının doğum yeri ise daha zayıf bir şifredir. 34bg356 Araç plakası. 13nisan1967 Doğum tarihi ya da önemli bir tarih. Qwerty123 Çok kullanılan karakter sıraları. Mercedes Özel isim Kalem Sözlüklerde bulunan bir kelime. Bunun yanında 8karakterden az. Kalem111 Kelimenin türevi Kötü Şifre Örnekleri

  18. SOSYAL MÜHENDİSLİK • Sosyal Mühendislik, normalde insanların tanımadıkları biri için yapmayacakları şeyleri yapmalarını sağlama sanatıdır. • Etkileme ve ikna yöntemlerini kullanırlar. • Kullandığı en büyük silahı, insanların zafiyetleridir. • İnsan, güvenliğin en zayıf halkasıdır.

  19. SOSYAL MÜHENDİSLİK ÖNLEME YÖNTEMLERİ • Telefonda kuruma ait bilgiler, karşıdaki kişinin doğru kişi olduğuna emin olmadan verilmemelidir • Çalışanları kuruma dahil ederken özgeçmişleri, alışkanlıkları ve eğilimleri incelenmelidir • Kurum çöpleri (büro malzemeleri, not kağıtları, bordrolar vs.) tamamen kullanılmaz hale getirilmeli daha sonra atılmalıdır • Sistem yöneticilerinin, kurumsal bilgileri posta listelerinde, arkadaş ortamlarında ve benzeri yerlerde anması önlenmelidir • Önemli sunuculara fiziksel erişimin olduğu noktalarda biometrik doğrulama sistemleri (retina testi, parmak izi testi vs.) ve akıllı kart gibi harici doğrulama sistemleri kullanılmalıdır

  20. 5651 Sayılı Kanun • İnternet ortamında yapılan yayınların düzenlenmesi ve bu yayınlar yoluyla işlenen suçlarla mücadele edilmesi hakkında kanun (kabul tarihi: 4/5/2007) • Madde 1:Bu Kanunun amaç ve kapsamı, içerik sağlayıcı, yer sağlayıcı, erişim sağlayıcı ve toplu kullanım sağlayıcılarının yükümlülük ve sorumlulukları ile internet ortamında işlenen belirli suçlarla içerik üzerinden mücadeleye ilişkin esas ve usulleri düzenlemektir.

  21. Bazı Yanlış Düşünceler • Güvenlikten bilgi işlem sorumludur. • Antivirüs yazılımımız var, dolayısıyla güvendeyiz! • Kurumumuz güvenlik duvarı (firewall) kullanıyor, dolayısıyla güvendeyiz! • Bilgimin kopyasını alıyorum, güvenlikten bana ne! • Bir çok güvenlik saldırısı kurum dışından geliyor!

  22. 2007 YILINDA “SAĞLIK BAKANLIĞI YÖNETİCİLER VE PERSONEL İÇİN BİLGİ GÜVENLİĞİ POLİTİKASI” YAYINLAMIŞTIR.

  23. Hastane bilgi işlem elemanlarına yapılan farkındalık anket sonucu

  24. MADDE 136. - (1) Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, bir yıldan dört yıla kadar hapis cezası ile cezalandırılır.

  25. Türkiye’de ve Dünyada İnternet Kullanımı

  26. Internet’i kullandığınızda arkanızda saldırganlar için önemli izler bırakırsınız ...

  27. TEŞEKKÜRLER

More Related