670 likes | 1.03k Views
Kurumlarda Bilgi Güvenliği Politikaları. Semih Pekol. Gündem. Güvenlik Problemi ve Çözüm Yaklaşımı Politika Temel Taşları Politika Geliştirilmesi Politika Belgesi Kurumlarda Uygulama. Güvenlik Problemi. Bilgisayar Kötü Kullanımı Kullanım hataları Atıl kullanımlar Kötüye kullanımlar
E N D
KurumlardaBilgi Güvenliği Politikaları Semih Pekol
Gündem • Güvenlik Problemi ve Çözüm Yaklaşımı • Politika Temel Taşları • Politika Geliştirilmesi • Politika Belgesi • Kurumlarda Uygulama
Güvenlik Problemi Bilgisayar Kötü Kullanımı Kullanım hataları Atıl kullanımlar Kötüye kullanımlar Bilgisayar suçları Çalışanların Sorumlu Olduğu Olaylar %70-80 Dış Saldırılar %20-30 Aksayan İşleyiş Yanlış Sonuçlar Maddi / Manevi Kayıplar
Çözüm Yaklaşımı Yetenek İstek Bilgi Birikimi Risk Analizi Politikalar Önlemler Alışkanlık
Yaklaşım Değişim Süreci Güvenlik Düzeyi Zaman Rekabette Avantaj Safhası Kültür Safhası Politika Safhası Polislik Safhası Güven Safhası
İzlenecek Yol Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar Öncelikli Riskler Risk Analizi
Değer Varlıklar Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar Öncelikli Riskler Donanım Yazılım Veri-Bilgi İnsan
Korunacak Nitelikler . Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar Öncelikli Riskler Gizlilik Doğruluk Bütünlük Özgünlük Kullanılabilirlik
Zayıflıklar Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar Öncelikli Riskler kırılgan
Zayıflıklar kırılgan Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar Öncelikli Riskler
Tehditler Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar Öncelikli Riskler • Okuma • Değiştirme • Ekleme • Tekrarlama • Kullanılamaz Kılma • Ortadan Kaldırma
Kazalar Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar Öncelikli Riskler Eyvah, ne yaptım ben!
İhmaller Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar Öncelikli Riskler Ben mi?
Saldırılar Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar Öncelikli Riskler Başardım!
Saldırılar Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar Öncelikli Riskler • Dinleme • Şifre Kırma • Trafik Bloklama / Tekrarlama • Hizmet Engelleme • Yetkisiz Erişim • Nüfuz Etme
Riskler Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar Öncelikli Riskler Risk = Tehdit * Oluşma Olasılığı * Zarar
Risk Yönetimi • Ne kadar risk ile yaşamaya razıyım? • Hiçbir risk tamamiyle yok edilemez • Sonuçları can yakıcı ise toleransınız düşük olur • Sonuçları ihmal edilebilir ise daha fazla risk alabilirsiniz
İzlenecek Yol Risk Analizi Hedefler / Kapsam Sorumluluklar / Cezalar Önlemler Politika Geliştirilmesi
İzlenecek Yol Risk Analizi Yönetsel Prosedürler Mekanizmalar Uygulatma Sorumluluğu Politika Geliştirilmesi Önlemlerin Uygulanması
Güvenlik PolitikasınınTemel Taşları Ne yapacağız?
Politika Temel Taşları • Tanım • Hedefler • Yapı • İçerik • Yaşam Döngüsü
Politika Tanımı “Bir kurumun değerli bilgilerinin yönetimini, korunmasını, dağıtımını ve önemli işlevlerinin korunmasını düzenleyen kurallar ve uygulamalar bütünüdür.” “Politikası olmayan kurum, nereye gideceğini bilmeyen insana benzer.” [Branstad, 1997]
Politika Hedefleri • Yönetimin perspektifini çalışanlara aktarmak • Yönetimin çalışanlara verdiği desteği göstermek • Etkinliklerin koordinasyonunu sağlamak • Etkinlikler arasında tutarlılık sağlamak • Disiplin suçları için temel oluşturmak • Davalara karşı önlem almak
Politika Özellikleri Yönergeler • Kanunların karşısında olmamalıdır, • Kurum özellikleri dikkate alınarak geliştirilmelidir, • İlişkilendirilip bir bütün haline getirilmelidir, • Zaman içinde değişiklik gerektirir, • Uygulatılabilirse başarılı olur.
Politika Yapısı Temel Politika Gereksinim Politikası Gereksinim Politikası Mekanizmalar Kurallar
Politika Yapısı KurumVizyonu KurumMisyonu XPolitikası Y Politikası Bilgi Güvenliği Politikası
Politika Yapısı Bilgi Güvenliği Politikası Bilgisayar Güvenliği Politikası Fiziksel Güvenlik Politikası Ağ Güvenliği Politikası Bilgisayar Kullanım Politikası
Yatırım • Güvenliği sağlamak için... yatırım gerekli • Ne kadar yatırım yaparsan... o kadar güvende olursun
Kazanç Eğrisi Kazanç Yatırım
Temel Politika İçeriği • Politika hedefleri • Politika gereksinimleri • Politika kapsamı • Kullanıcı sorumlulukları • Politika ihlali durumunda verilecek cezalar
Politika Hedefleri • Kurumumuz bilgi sistemi değer varlıklarınıbilgisayar saldırılarından korumak, • Bu tür saldırıların kurumumuza ve çalışanlarımıza verebileceği zararları asgariye indirmek ve • Anılan varlıkların anayasa, yasalar ve meslek ahlakı dahilinde kullanılmasını sağlamaktır.
Politika Gereksinimleri • Önlem, tespit, tepki ve güvence yaklaşımları güvenlik yönetim modeline uygun olmalıdır • İlgili politikalar kurum çalışmalarını asgari düzeyde etkilemelidir • Kurum yönetimi tarafından gerekli görülmeli ve gerekliliği çalışanlara anlatılmalıdır
Politika Gereksinimleri İlgili politikalara ait prosedür ve mekanizmalar • Diğerlerinden etkilenmemelidir • Değişiklere uyum gösterebilmelidir • Hata toleransına sahip olmalıdır • Farklı kaynaklardanbilgi toplayabilmelidir • Asgari insan etkileşimi ile çalışabilmelidir
Politika Kapsamı Örnek cümle: Kurumumuz bilgisayar sistemi kullanıcıları ile kurumumuz bilgisayar sistemini herhangi birşekilde kullanmak isteyenleri kapsar veanılan kişilerin bilgisayar sistemi ilgilidoğrudan ve dolaylı tüm etkinliklerini içerir.
Politika Sorumlulukları Kullanıcılar; • Bilgi Güvenliği Politikası'na uymakla yükümlüdür. • Sergiledikleri etkinliklerden ve sonuçlarından sorumludur. • Sorumluluklarının gereğini en hızlı ve en doğru şekilde yerine getirmelidir. • Politika ile ilgili varsayımlarda bulunmamalıdır.
Politika Sorumlulukları • Son Kullanıcı Sorumlulukları • Genel sorumluluklar • Gözlem ve müdahale sorumlulukları • Bildirim sorumlulukları • Yönetici Sorumlulukları • Uygulatma sorumlulukları • Eğitim sorumlulukları
Politika Cezaları • Kayıpların karşılanması • Uyarı cezası • Yetki azaltma • İşten çıkarma Dışarıdan bir saldırı söz konusu ise, konu toplanan kanıtlarla birlikte adli makamlara bildirilecektir
Politika Yaşam Döngüsü Politika Geliştirme Politika Yerleştirme Politika Uygulatma Politika Güncelleme Politika İzleme
Politika Geliştirilmesi Nasıl yapacağız bunu?
Politika Geliştirilmesi • Politika Geliştirme Ekibi • Politika Geliştirme Yöntemi • Politika Uygulama ve Uygulatma Yaklaşımı • Politika Güncelleme Süreci
Üst düzey yönetici Kurum avukatı Tipik bir kullanıcı Bilgisayar sistem yöneticisi Politikayı kaleme alacak bir yazar Politika Geliştirme Ekibi
Politika Geliştirme Yöntemi Başka kuruma ait politikalar aynen alınır Başka kuruma ait politikalar değiştirilerek alınır Politikalar sıfırdan başlayarak geliştirilir Taslak Politika Oluşturulur Sistem Yöneticisi,Kullanıcı,Yazar Önerilecek Politika Kararlaştırılır Proje Geliştirme Ekibi Önerilecek Politika Kesinleştirilir Bilgisayar Güvenliği Yöneticisi Politika Resmen Onaylanır En Yetkili Yönetici
Politika Hazırlanması Genel Hedefler BAŞLA Gerçekçi mi? Spesifik Hedefler Kabul edilebilir mi? Önlem Yaklaşımı Dökümantasyon BİTİR Hayır Hayır Evet Evet
Politika Uygulatma Yaklaşımı Bilgisayar güvenliğini tehdit edici davranışlar • Oluşmamasını sağlamak • Önlemek • Oluşur ise bunları belirlemek • Sorumluları yakalamak ve cezalandırmak
Önlem Yaklaşımı SAKINMA KORUNMA TESBİT KURTARMA
Politika Güncelleme Süreci Politika İzleme Kurum İçi Değişiklikler Kurum Dışı Değişiklikler Güvenliği Tehdit Eden Davranışlar Periyodik Gözden Geçirme
Politika Belgesi Amaç ve Kapsam Kurum ve Bilgisayar Sistemi Tanıtımı Risk Analizi Önlem Tasarımı Politika Uygulama, Uygulatma Planları Politika Güncelleme Koşulları İçerik Yazım Şekli
Politika Belgesi Kesin ve net ifadeler Kurum koşullarını dikkate alan ifadeler Detay içermeyen abstrakt ifadeler Yorumlamaya ilişkin açıklamalar Yorumlamaya ilişkin örnekler İçerik Yazım Şekli
Kuruluşlar • www. infosyssec.net • www. sans.org
Geliştirme Kuruluşlarında Uygulama Güvenlik politikasını nasıl yerleştirelim?