1 / 67

Kurumlarda Bilgi Güvenliği Politikaları

Kurumlarda Bilgi Güvenliği Politikaları. Semih Pekol. Gündem. Güvenlik Problemi ve Çözüm Yaklaşımı Politika Temel Taşları Politika Geliştirilmesi Politika Belgesi Kurumlarda Uygulama. Güvenlik Problemi. Bilgisayar Kötü Kullanımı Kullanım hataları Atıl kullanımlar Kötüye kullanımlar

jenaya
Download Presentation

Kurumlarda Bilgi Güvenliği Politikaları

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. KurumlardaBilgi Güvenliği Politikaları Semih Pekol

  2. Gündem • Güvenlik Problemi ve Çözüm Yaklaşımı • Politika Temel Taşları • Politika Geliştirilmesi • Politika Belgesi • Kurumlarda Uygulama

  3. Güvenlik Problemi Bilgisayar Kötü Kullanımı Kullanım hataları Atıl kullanımlar Kötüye kullanımlar Bilgisayar suçları Çalışanların Sorumlu Olduğu Olaylar %70-80 Dış Saldırılar %20-30 Aksayan İşleyiş Yanlış Sonuçlar Maddi / Manevi Kayıplar

  4. Çözüm Yaklaşımı Yetenek İstek Bilgi Birikimi Risk Analizi Politikalar Önlemler Alışkanlık

  5. Yaklaşım Değişim Süreci Güvenlik Düzeyi Zaman Rekabette Avantaj Safhası Kültür Safhası Politika Safhası Polislik Safhası Güven Safhası

  6. İzlenecek Yol Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar Öncelikli Riskler Risk Analizi

  7. Değer Varlıklar Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar Öncelikli Riskler Donanım Yazılım Veri-Bilgi İnsan

  8. Korunacak Nitelikler . Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar Öncelikli Riskler Gizlilik Doğruluk Bütünlük Özgünlük Kullanılabilirlik

  9. Zayıflıklar Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar Öncelikli Riskler kırılgan

  10. Zayıflıklar kırılgan Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar Öncelikli Riskler

  11. Tehditler Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar Öncelikli Riskler • Okuma • Değiştirme • Ekleme • Tekrarlama • Kullanılamaz Kılma • Ortadan Kaldırma

  12. Kazalar Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar Öncelikli Riskler Eyvah, ne yaptım ben!

  13. İhmaller Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar Öncelikli Riskler Ben mi?

  14. Saldırılar Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar Öncelikli Riskler Başardım!

  15. Saldırılar Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar Öncelikli Riskler • Dinleme • Şifre Kırma • Trafik Bloklama / Tekrarlama • Hizmet Engelleme • Yetkisiz Erişim • Nüfuz Etme

  16. Riskler Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar Öncelikli Riskler Risk = Tehdit * Oluşma Olasılığı * Zarar

  17. Risk Yönetimi • Ne kadar risk ile yaşamaya razıyım? • Hiçbir risk tamamiyle yok edilemez • Sonuçları can yakıcı ise toleransınız düşük olur • Sonuçları ihmal edilebilir ise daha fazla risk alabilirsiniz

  18. İzlenecek Yol Risk Analizi Hedefler / Kapsam Sorumluluklar / Cezalar Önlemler Politika Geliştirilmesi

  19. İzlenecek Yol Risk Analizi Yönetsel Prosedürler Mekanizmalar Uygulatma Sorumluluğu Politika Geliştirilmesi Önlemlerin Uygulanması

  20. Güvenlik PolitikasınınTemel Taşları Ne yapacağız?

  21. Politika Temel Taşları • Tanım • Hedefler • Yapı • İçerik • Yaşam Döngüsü

  22. Politika Tanımı “Bir kurumun değerli bilgilerinin yönetimini, korunmasını, dağıtımını ve önemli işlevlerinin korunmasını düzenleyen kurallar ve uygulamalar bütünüdür.” “Politikası olmayan kurum, nereye gideceğini bilmeyen insana benzer.” [Branstad, 1997]

  23. Politika Hedefleri • Yönetimin perspektifini çalışanlara aktarmak • Yönetimin çalışanlara verdiği desteği göstermek • Etkinliklerin koordinasyonunu sağlamak • Etkinlikler arasında tutarlılık sağlamak • Disiplin suçları için temel oluşturmak • Davalara karşı önlem almak

  24. Politika Özellikleri Yönergeler • Kanunların karşısında olmamalıdır, • Kurum özellikleri dikkate alınarak geliştirilmelidir, • İlişkilendirilip bir bütün haline getirilmelidir, • Zaman içinde değişiklik gerektirir, • Uygulatılabilirse başarılı olur.

  25. Politika Yapısı Temel Politika Gereksinim Politikası Gereksinim Politikası Mekanizmalar Kurallar

  26. Politika Yapısı KurumVizyonu KurumMisyonu XPolitikası Y Politikası Bilgi Güvenliği Politikası

  27. Politika Yapısı Bilgi Güvenliği Politikası Bilgisayar Güvenliği Politikası Fiziksel Güvenlik Politikası Ağ Güvenliği Politikası Bilgisayar Kullanım Politikası

  28. Yatırım • Güvenliği sağlamak için... yatırım gerekli • Ne kadar yatırım yaparsan... o kadar güvende olursun

  29. Kazanç Eğrisi Kazanç Yatırım

  30. Temel Politika İçeriği • Politika hedefleri • Politika gereksinimleri • Politika kapsamı • Kullanıcı sorumlulukları • Politika ihlali durumunda verilecek cezalar

  31. Politika Hedefleri • Kurumumuz bilgi sistemi değer varlıklarınıbilgisayar saldırılarından korumak, • Bu tür saldırıların kurumumuza ve çalışanlarımıza verebileceği zararları asgariye indirmek ve • Anılan varlıkların anayasa, yasalar ve meslek ahlakı dahilinde kullanılmasını sağlamaktır.

  32. Politika Gereksinimleri • Önlem, tespit, tepki ve güvence yaklaşımları güvenlik yönetim modeline uygun olmalıdır • İlgili politikalar kurum çalışmalarını asgari düzeyde etkilemelidir • Kurum yönetimi tarafından gerekli görülmeli ve gerekliliği çalışanlara anlatılmalıdır

  33. Politika Gereksinimleri İlgili politikalara ait prosedür ve mekanizmalar • Diğerlerinden etkilenmemelidir • Değişiklere uyum gösterebilmelidir • Hata toleransına sahip olmalıdır • Farklı kaynaklardanbilgi toplayabilmelidir • Asgari insan etkileşimi ile çalışabilmelidir

  34. Politika Kapsamı Örnek cümle: Kurumumuz bilgisayar sistemi kullanıcıları ile kurumumuz bilgisayar sistemini herhangi birşekilde kullanmak isteyenleri kapsar veanılan kişilerin bilgisayar sistemi ilgilidoğrudan ve dolaylı tüm etkinliklerini içerir.

  35. Politika Sorumlulukları Kullanıcılar; • Bilgi Güvenliği Politikası'na uymakla yükümlüdür. • Sergiledikleri etkinliklerden ve sonuçlarından sorumludur. • Sorumluluklarının gereğini en hızlı ve en doğru şekilde yerine getirmelidir. • Politika ile ilgili varsayımlarda bulunmamalıdır.

  36. Politika Sorumlulukları • Son Kullanıcı Sorumlulukları • Genel sorumluluklar • Gözlem ve müdahale sorumlulukları • Bildirim sorumlulukları • Yönetici Sorumlulukları • Uygulatma sorumlulukları • Eğitim sorumlulukları

  37. Politika Cezaları • Kayıpların karşılanması • Uyarı cezası • Yetki azaltma • İşten çıkarma Dışarıdan bir saldırı söz konusu ise, konu toplanan kanıtlarla birlikte adli makamlara bildirilecektir

  38. Politika Yaşam Döngüsü Politika Geliştirme Politika Yerleştirme Politika Uygulatma Politika Güncelleme Politika İzleme

  39. Politika Geliştirilmesi Nasıl yapacağız bunu?

  40. Politika Geliştirilmesi • Politika Geliştirme Ekibi • Politika Geliştirme Yöntemi • Politika Uygulama ve Uygulatma Yaklaşımı • Politika Güncelleme Süreci

  41. Üst düzey yönetici Kurum avukatı Tipik bir kullanıcı Bilgisayar sistem yöneticisi Politikayı kaleme alacak bir yazar Politika Geliştirme Ekibi

  42. Politika Geliştirme Yöntemi Başka kuruma ait politikalar aynen alınır Başka kuruma ait politikalar değiştirilerek alınır Politikalar sıfırdan başlayarak geliştirilir Taslak Politika Oluşturulur Sistem Yöneticisi,Kullanıcı,Yazar Önerilecek Politika Kararlaştırılır Proje Geliştirme Ekibi Önerilecek Politika Kesinleştirilir Bilgisayar Güvenliği Yöneticisi Politika Resmen Onaylanır En Yetkili Yönetici

  43. Politika Hazırlanması Genel Hedefler BAŞLA Gerçekçi mi? Spesifik Hedefler Kabul edilebilir mi? Önlem Yaklaşımı Dökümantasyon BİTİR Hayır Hayır Evet Evet

  44. Politika Uygulatma Yaklaşımı Bilgisayar güvenliğini tehdit edici davranışlar • Oluşmamasını sağlamak • Önlemek • Oluşur ise bunları belirlemek • Sorumluları yakalamak ve cezalandırmak

  45. Önlem Yaklaşımı SAKINMA KORUNMA TESBİT KURTARMA

  46. Politika Güncelleme Süreci Politika İzleme Kurum İçi Değişiklikler Kurum Dışı Değişiklikler Güvenliği Tehdit Eden Davranışlar Periyodik Gözden Geçirme

  47. Politika Belgesi Amaç ve Kapsam Kurum ve Bilgisayar Sistemi Tanıtımı Risk Analizi Önlem Tasarımı Politika Uygulama, Uygulatma Planları Politika Güncelleme Koşulları İçerik Yazım Şekli

  48. Politika Belgesi Kesin ve net ifadeler Kurum koşullarını dikkate alan ifadeler Detay içermeyen abstrakt ifadeler Yorumlamaya ilişkin açıklamalar Yorumlamaya ilişkin örnekler İçerik Yazım Şekli

  49. Kuruluşlar • www. infosyssec.net • www. sans.org

  50. Geliştirme Kuruluşlarında Uygulama Güvenlik politikasını nasıl yerleştirelim?

More Related