Bilgi Guvenligi Temel Kavramlar

  • View
    2.027

  • Download
    0

Embed Size (px)

Transcript

  • 1. Bilgi Gvenlii Temel Kavramlar Eitmen : Fatih zavc

2. Bilgi Nedir lenmi veridir. Bilgi dier nemli i kaynaklar gibi kurum iin deeri olan vedolaysyla uygun bir ekilde korunmas gereken bir kaynaktr. Bir konu ile ilgili belirsizlii azaltan kaynak bilgidir. (Shannon Information Theory)2 3. Gvenlik zerine . Gvenlik risk ynetimidirAnonim Bir sistem, yazlm ihtiyalarnz ve beklentileriniz dorultusundaalyorsa gvenlidir Practical UNIX and Internet Security Gvenlik, bulunurluk, kararllk, eriim denetimi, veri btnl vedorulamadr http://www.sun.com/security/overview.html 3 4. Gvenlik ve nsan Gvenlik, teknoloji kadar insan ve o insanlarn teknolojiyi naslkulland ile ilgilidir. Gvenlik sadece doru teknolojinin kullanlmasndan daha ileride birhedeftir. Doru teknolojinin, doru amala ve doru ekilde kullanlmasdr. 4 5. Teknoloji Tek Bana Yeterli mi ?Eer teknolojinin tek bana gvenlik probleminizi zlebileceinidnyorsanz, gvenlik probleminiz ve gvenlik teknolojileri tamanlalmam demektir. Bruce Schneier ifreleme Uzman 5 6. Gvenlik Ynetim Pratikleri 7. Gvenlik Ynetim Pratikleri Gizlilik, Btnlk, Eriilebilirlik Risk Deerlendirmesi ve Ynetimi Politika, Prosedr ve Rehberler Politika Uygulamalar Eitim Denetim7 8. Gizlilik, Btnlk, EriilebilirlikHangisi nemli ?GizlilikKuruma zel ve gizlilii olanbilgilere, sadece yetkisi olankiilerin sahip olmasBtnlkKurumsal bilgilerin yetkisizdeiim veya bozulmalarakar korunmasEriilebilirlikKurumsal bilgi ve kaynaklarnihtiya duyan kiilerce sreklieriilebilir durumda olmas 8 9. Risk Deerlendirmesi Kurumsal ileyii etkileyebilecek olan risklerin belirlenmesi vedeerlendirilmesi srecidir. Bir risk deerlendirmesi yaplmadan, kurumsal ileyiin politika,prosedr ve uygulamalaryla ne kadar korunduu belirlenemez. Risk ynetimi konusunda yetkililere -tercihen st ynetim- ihtiyaduyulmaktadr. st ynetimin onay ile srecin nemi ve verimi artacak, alanlarpolitika ve prosedrlere daha fazla nem verecektir.9 10. Risk YnetimiRisk Ynetimi Kurumun kar karya olduu risklerin belirlenmesi, Varlklarn zaafiyetlerinin ve kar karya olduklar tehditlerinbelirlenmesi, Ortaya kan riskin nasl ynetilecei ve nasl hareket edileceininplanlanmassrecidir. 10 11. Risk YnetimiAamalar Risk ynetim ekibi kurma Tehdit ve zaafiyetleri dorulama Organizasyon varlklarnn deerlerini belirleme Riske kar yaplacak hareketleri belirlemeKavramlar Tehdit Zaafiyet Kontroller 11 12. Risk Ynetimi Kavramlar TehditOrganizasyonu olumsuz etkileyebilecek olan insan yapm veya doal olaylar ZaafiyetVarlklarn sahip olduu ve istismar edilmesi durumunda gvenliknlemlerinin almasna neden olan eksiklikler KontrollerZaafiyetlerin boyutunu azaltc, koruyucu veya etkilerini azaltc nlemler Caydrc Kontroller Saptayc Kontroller nleyici Kontroller Dzeltici Kontroller12 13. Risk Ynetim KontrolleriDzelticiKontrollerTehdit SaldrZaafiyetAzaltr Oluturur stismarOlutururEtki SaptarDzeyini Drr htimaliKorur AzaltrCaydrcSaptaycnleyiciKontroller Kontroller Tetikler Kontroller13 14. Risk Ynetim Takm Tek bana yaplabilecek bir i deildir, yardmclar ve dier nemlidepartmanlardan alanlar ile yaplmaldr. Bylece riski grmek vekavramak daha kolay olacaktr. Potansiyel Gruplar ; Biliim Sistemleri Gvenlii Biliim Teknolojileri ve Operasyon Ynetimi Sistem Yneticileri nsan Kaynaklar Denetim Fiziksel Gvenlik Devamll Ynetimi Bilgi Varlklarnn Sahipleri14 15. Tehditleri Belirleme Doal Olaylar Deprem, Sel, Kasrga nsan Yapm Olaylar D Kaynakl OlaylarVirs, Web Sayfas Deiimi, Datk Servis Engelleme Kaynakl Olaylar alanlarE-Posta Okuma, Kaynaklara Yetkisiz Eriim, Bilgi Hrszl Eski alanlarnceki Haklarn Kullanm, Bilgi Hrszl, Gizli Bilgilerin fas 15 16. Zaafiyet, Tehdit ve RiskTehdit Tipi TehditZaafiyet/stismar Oluan Risk Kaynakl nsan Kt yetkilendirme ve izleme sistemi Veri deiimi veya yok alanYapmolmay edilmesiD Kaynakl nsanHatal gvenlik duvar Kredi kart bilgilerinin SaldrganYapmyaplandrmas alnmasDoalYangn Kt yangn sndrme sistemi nsan hayat kaybD Kaynakl nsan devamllnn VirsGncellenmemi anti-virs sistemiYapm aksamas Sabit DiskVeri kayb, ok miktardaTeknik TehditVeri yedei alnmamas Bozulmas i kayb16 17. Varlklarn Deerlerini Belirleme Gerek risk ynetimi iin hangi varln kurum iin daha deerliolduu doru biimde belirlenmelidir. Saysal/Nicel Risk Deerlendirmesi yaplacak ise varlklara parabirimi cinsinden deer atanmaldr. Eer Saylamayan/Nitel Risk Deerlendirmesi yaplacak isevarlklarn nceliklerinin belirlenmesi yeterlidir; ancak kacaksonularn saysal olmayaca da n grlmelidir.17 18. Nicel Risk Deerlendirmesi Saysal risk deerlendirme yntemidir, saylar ve para birimleri ile riskbelirlenir. Srecin tm elemanlarna saysal deer verilmelidir. Varlk, Etki Dzeyi, Korunma Verimlilii, Korunma Maliyeti vb. Temel kavramlar ve formller ile risk deerlendirmesi yaplr. Tekil Kayp Beklentisi (SLE) Tekil Kayp Beklentisi = Varlk Deeri x Etki Dzeyi Yllk Gerekleme htimali (ARO) Tehditin bir yl iinde gerekleme ihtimali Yllk Kayp Beklentisi (ALE) Yllk Kayp Beklentisi = Tekil Kayp Beklentisi x Yllk Gerekleme htimali18 19. Nitel Risk Deerlendirmesi Nicel tanmlama tm varlklara veya tehditlere kolayca uygulanamaz,Nitel tanmlama ise ncelik ve nem seviyelerine gredeerlendirmedir. Deerlendirme kts saysal olmayacaktr, bu durum st ynetimtarafndan nceden bilinmelidir. Soru/Cevap veya neriler ile ncelikler belirlenebilir rnek nceliklendirme Deerleri : Dk/Orta/Yksek Dk : Ksa srede telafi edilebilen durumlar iin Orta : Organizasyonda orta dzey maddi hasar oluturan,giderilmesi iin maddi harcamalar gereken durumlar iin Yksek : Organizasyon sonlanmas, mteri kayb veya yasalolarak nemli kayp oluturacak durumlar iin * NIST 800-02619 20. Riske Kar Davran Belirleme Riskin Azaltlmas Bir nlem uygulanarak veya kullanlarak riskin azaltlmas Riskin Aktarlmas Potansiyel hasar veya durumlarn sigorta ettirilmesi Riskin Kabul Edilmesi Riskin gereklemesi durumunda oluacak potansiyel kaybn kabul edilmesi Riskin Reddedilmesi Riskin inandrc bulunmamas ve gzard edilmesi20 21. Risk HesaplamasRiske kar davran belirlenmesinde varlk deeri, hasar boyutu,nlem ve sigorta maliyeti, alnan nlemlerin maliyet etkinlii dikkatledeerlendirilmelidir. Tehdit x Zaafiyet x Varlk Deeri = Toplam Risk Toplam Risk - nlemler = Arta Kalan Risk21 22. Gvenlik Ynetim SreciGvenlik Politikas Gvenlik Politikas Gvenlik Politikas OluturmaUygulamas Denetimi Gvenlik Politikas veya Uygulama HatalarnnAnalizi ve yiletirme22 23. Politika, Prosedr ve Rehberler Organizasyonun gvenlik ncelikleri, organizasyon yaps vebeklentileri yazl olarak hazrlanmaldr. st ynetim, organizasyonun gvenlik nceliklerini belirlemede kilitrole ve en st dzey sorumlulua sahiptir. Hazrlanan politika, prosedr ve rehberler, yasalarla ve sektrelsorumluluklarla uyumlu olmaldr. Hazrlanan dkmanlar, alanlardan beklentileri ve karlanmayanbeklentilerin sonularn aka ifade etmelidir. 23 24. Politikalar Gvenlik politikalar iin mutlak suretle st ynetimin onayalnmaldr. Politikalar, kurumsal gvenlik yaklamn ifade eden dkmanlarnen stnde yer almaktadr. Bu dorultuda genel yaklam ve olmasgerekenler, basite ve uygulanabilir biimde ifade edilmelidir. yi hazrlanm politikalar, politikann sorumlularn, ihtiya duyulangvenlik seviyesini ve kabul edilebilir risk seviyesini akabelirtmelidir. zel bir durum veya srece ynelik, kstl tanmlama veya detaylariermemelidir.24 25. Politika Trleri Duyuru Politikalar alanlarn, davranlarnn sonularn bildiinden eminolunmas hedeflenmektedir. Bilgilendirici Politikalar alanlarn bilgilendirilmesini ve eitilmesini salayarak, grevlerinin ve beklentilerin bilincinde olmalar hedeflenmektedir. Yasal Politikalar Organizasyonun att admlarn, yasal ve sektrel sorumluluklar ile uyumlu olmasnn salanmas hedeflenmektedir. 25 26. Standartlar, Temel Seviyeler, Rehberler veProsedrler Standartlar Organizasyon srelerinin sahip olmas gereken standartlarn belirlendii dkmanlardr. Politikalardan daha zel tanmlamalar iermektedir. Temel Seviyeler Sistem, a veya ekipmanlarn sahip olmas gereken en temel gvenlik seviyelerinin tanmland dkmanlardr. Rehberler Bir iin nasl yaplmas gerektii konusunda neriler ve yntemler ieren dkmanlardr. alanlarn zel durumlarna uygulayabilecei biimde esnek olmaldr. Prosedrler Bir iin nasl yaplacan adm adm belirleyen, ie veya srece zel, ekipman deiimlerinde gncellenmesi gereken tanmlamalar ieren dkmanlardr. 26 27. Politika Uygulamalar st ynetimin onaylamad ve desteklemedii bir ilemuygulanamayacaktr. alanlar, st ynetimin onaynn aka grlmedii bir ilemiyapmaya gnll olmayacaklardr. nemli Admlar ; Veri Snflandrma Roller ve Sorumluluklar Gvenlik Kontrolleri 27 28. Veri Snflandrma Kurumsal gizlilik veya yasal hak ieren bilgiler korunmaldr. Bunedenle veri snflandrma yaplarak, verilerin sahip olduklar ncelikve deerler belirlenebilir. Her bir veri, kurum iin ifade ettii deer, kullanlamaz hale gelmesi,deitirilmesi veya ifa edilmesi durumunda oluacak zarar dikkatealnarak snflandrlmaldr. Farkl snflandrma etiket gruplar kullanlabilir Snflandrlmam, Kuruma zel, Gizli, ok Gizli alanlarn, sahip olduklar gvenlik seviyesine gre verilereeriimine imkan salamaktadr.28 29. Roller ve Sorumluluklar Roller ve sorumluluklar aka ayrlm olmaldr, bylece gvenlikihlallerini ynetmek kolaylaacaktr. rnek Roller Veri Sahibi Veri letmeni Kullanc Gvenlik Denetmeni29 30. Gvenlik Kontrolleri Gvenlik kontrollerinin amac, kurumun gelitirdii gvenlikmekanizmalarnn uygulanmasn salamaktr. Gvenlik Kontrol Trleri Ynetimsel e Alm Sreci alan Kontrolleri ten karma Sreci Teknik Fiziksel 30 31. Eitim alanlar, kurum politikalar, grevleri, sorumluluklar, kullanmaktaolduklar ekipmanlar ve gerekli teknolojiler konusunda eitilmelidir. Ksa Sreli Eitimler Uzun Sreli Eitimler Farkndalk Eitimleri Eitim Sreci Bileenleri Organizasyonun Hedefleri ve Gereksinim Deerlendirmesi htiyalar Dorultusunda Uygun Eitimin Belirlenmesi Eitim Yntemleri ve Aralarnn Belirlenmesi Eitim Verimlilik Deerlendirmeleri 31 32. Denetim Organizasyonun sahip olduu gvenlik altyaps ve gvenlik ynetim