-
1
YBS4004 Sistem Güvenliği
Hafta 2Bilgi Güvenliği'nde Temel
Kavramlar – Bölüm 2
Dr. Öğr. Üyesi Mete Eminağaoğlu
-
2
ISO 27001 Bilgi Güvenliği Yönetimi
• Güvenlik Politikası• Bilgi Güvenliği Organizasyonu• Varlık
Yönetimi• İnsan Kaynakları Güvenliği • Fiziksel ve Çevresel
Güvenlik• Haberleşme ve İşletim Güvenliği• Erişim Kontrolü• Bilgi
Sistemleri Geliştirme ve Bakımı• Bilgi Güvenliği İhlal Olayı
Yönetimi• İş Sürekliliği Yönetimi• Yasal Uyum
-
3
Bazı Temel Kavramlar
• ISO 27001’de 11 temel bilgi güvenliği alanı / kontrol amacı
bulunmaktadır:
Güvenlik Politikası
Bilgi Güvenliği Organizasyonu
Varlık Yönetimi
İnsan Kaynakları Güvenliği
Fiziksel ve Çevresel Güvenlik
Haberleşme ve İşletim Güvenliği
Erişim Kontrolü
Bilgi Sistemleri Edinim, Geliştirme ve Bakımı
Bilgi Güvenliği İhlal Olayı Yönetimi
İş Sürekliliği Yönetimi
Yasal Uyum
-
4
Bazı Temel Kavramlar
• Veriler (data): bir kavram, varlık veya konunun herhangi bir
simge öbeği ile ifade edilmesidir.
• Bilgi (information): herhangi bir konu veya varlık ile ilgili
verilerin bir araya gelmesi ile ortaya çıkan açıklayıcı bir
bütündür.
• Bilgi, kişiler veya kurumlar için anlamlı olması yanı sıra
belli maddi veya manevi değer de içermektedir. Belli süreçler ya da
işlemler sonunda bu bilgiler kazanılmış
bilgiye (knowledge) dönüşmektedir.
• Bilgiler sadece Internet, bilgisayarlar, vb. elektronik
biçimde bulunmaz. Kağıt belgeler, manyetik ortamlarda tutulan ses,
görüntü kayıtları, vb. diğer bilgi biçimleri
olabildiği gibi, kişilerarası sözlü iletişimle de ifade
edilebilir.
-
5
Bazı Temel Kavramlar
• Bilgi güvenliği, üç temel öğeden oluşur:
Gizlilik
Bütünlük
Kullanılabilirlik
• Gizlilik (confidentiality): bilginin yetkisiz kişiler,
varlıklar ya da süreçlerce kullanılamaması ya da bu gibi yetkisiz
unsurlara ifşa edilmemesidir.
• Bütünlük (integrity): bilgi varlıklarının doğruluğunu ve
tamlığını koruma özelliğidir.
• Kullanılabilirlik (availability): bir bilginin veya bilgi
sisteminin sadece yetkililer tarafından ve o yetkililerin
gereksinim duyduğu anlarda erişilebilir ve kullanılabilir
olma özelliğidir
• Bu üç temel öğenin korunması ile bilgi güvenliği sağlanır. Bu
amaca yönelik bilgi güvenliği yönetimi standardı ISO/IEC
27001:2005’tir.
-
6
Bilgi Çağı
Risk Yönetimi...
Risk = Varlığın Değeri x Zayıflık x Tehdit x Oluşma
Olasılığı
Bilgi Güvenliği Yönetimi - Riskler
-
7
Kullanıcı Hatası
DoS saldırısı
Yazılım hatası
Sunucu hatası
Yerleşke kaybı
Olasılık
Etki
Bilgi Güvenliği Yönetimi - Riskler
-
8
Olasılık
Etki
Riskleri Kabul Et
Riskleri İzle ve Yönet
En Üst Düzey Risk Yönetimini Uygula
Bilgi Güvenliği Yönetimi - Riskler
-
9
Bazı Temel Kavramlar
• Bilgi Güvenliği Riskleri: Bir bilgi varlığına (asset), o
varlığın zayıflıklarından (vulnerabilities) yararlanan tehditlerin
(threats) ortaya çıkardığı veya gerçekleştirdiği kayıp (loss) veya
etki (impact) bileşkesidir. İlgili riskin ne kadar olabilirlikle
(likelihood) veya hangi olasılıkla (probability)
gerçekleşebileceğine bağlıdır.
-
10
Bazı Temel Kavramlar
• Risk: Zarara uğrama tehlikesidir. Bir zarara, kayba, tehlikeye
yol açabilecek bir olayın ortaya çıkma olasılığıdır.
• Risk yönetimi: Risklerin oluşma olasılıklarını veya oluşan
risklerin etkilerini azaltacak ya da riskleri tamamen ortadan
kaldıracak her türlü eylem. İki ana
aşaması vardır:
Risk Analizi (Tanımlama, Ölçme, Değerlendirme)
Risk İşleme (Sağaltım)
• Risk İşleme (İng. Treatment) için 4 alternatif yöntem: Riskin
azaltılması
Riskin kabul edilmesi,
Riskin transferi, tamamen üçüncü bir tarafa devredilmesi
(sigortalama, vb)
Risk kaynağının yok edilmesi
-
11
Bazı Temel Kavramlar
• Bilgi Güvenliği Risk Analizi ve Değerlendirmesinde 2 değişik
yöntem vardır:
Nicel Yöntemler
Nitel Yöntemler
(Bazı kaynaklarda 3. yöntem: İkisinin birlikte kullanıldığı
melez nitel-nicel)
• Nicel (Quantitative) Yöntemler: Bilgi varlıklarının gerçek
veya gerçeğe yakın ölçülmüş parasal değerleri, tehdit ve
zayıflıkların etki etme olasılığının (probability)
istatistiksel olarak nesnel şekilde ölçüldüğü değerler ve riskin
gerçekleşmesi
durumunda oluşacak kaybın da gene gerçekçi maliyet (para değeri)
olarak
tanımlanabildiği yöntemler.
-
12
Bilgi Güvenliği Riskleri – Çeşitleri ve Ölçümlenmesi
• Nitel (Qualitative) Tüm değerler [1-3], [1-5], [1-10] vb
göreceli ölçek düzeyleriyle (düşük, orta, yüksek, vb)
tanımlıdır.
Risk = Etki * Olasılık (Olasılık; Zayıflık ve Tehdidin
bileşkesi)
• Nicel (Quantitative) Varlık değerleri de dahil, tüm değerler
gerçek sayısal (daha çok parasal) tanımlıdır.
Olaslık değerleri, 0 – 1 arası istatistiksel olasılık
değerleridir.
Riskin herhangi bir anda, bir kez gerçekleşmesi (Single Loss
Expectancy) durumunda sayısal ve
parasal kayıp hesaplanır
Riskin bir yıl içinde gerçekleşmesi (Annual Loss Expectancy)
olasılığı için sayısal ve parasal kayıp
hesaplanır.
-
13
Bazı Temel Kavramlar
• Nitel (Qualitative) Yöntemler: Gerçek sayısal değerler,
finansal maliyetler ve daha önceden hesaplanmış istatistiksel
gözlemlere bağlı olasılıklar yoktur. Öznel
değerlendirmeye bağlı olan, göreceli, sayısal olmayan değerler
kullanılmaktadır.
Bir tehdidin etki etme ve zarar verme olasılığı genelde olasılık
(probability) yerine,
olabilirlik (likelihood) olarak tanımlanır.
Bilgi varlıklarının değeri: “Düşük”, “Orta”, “Yüksek”, vb nitel
değerler, sınıflar.
Olabilirlik (olasılık) değeri “Düşük”, “Orta”, “Yüksek”, vb
nitel tanımlamalar, değerler.
Riskin gerçekleşmesi durumunda oluşacak zarar veya etki:
“Düşük”, “Orta”, “Yüksek”, vb nitel
değerler.
-
14
Bazı Temel Kavramlar
Tüm nitel sınıflandırmalar aynı zamanda göreceli bir ölçekte
tanımlanır. Genelde beşli ölçek (scale) kullanılır. (1 en düşük, 5
en yüksek, vb) Bazen üçlü, sekizli veya onlu ölçekler de
kullanılmaktadır.
Ölçekte karşılık gelen olabilirlik değeri ile zararın kartezyen
çarpımı alınır. Bazı yöntemlerde, toplamı alınabilir. Olabilirlik -
Zarar matrisi oluşturulur. Böylece risk değerleri belli bir ölçek
içerisinde hesaplanır ve sıralanır.
Belirlenen kabul edilebilir risk eşik düzeyinden yüksek olan
riskler, risk işleme sürecine katılır.
-
15
Bazı Temel Kavramlar
• Örnek bir nitel bilgi güvenliği risk analizi
-
16
Bazı Temel Kavramlar
• ISO/IEC 27005:2008
Bilgi Güvenliği Risk Yönetimi Standardı
Kurumların bilgi güvenliği risklerini değerlendirmek amacı ile
genel kapsamda bir çerçeve
sunmaktadır. Örnekler, tanımlar, yöntemler ve modelleri
içerir.
-
17
İÇERİĞİ BELİRLE
RİSK KARAR NOKTASI - 1
Değerlendirme Başarılı mı?
RİSK ANALİZİ
RİSK KARAR NOKTASI - 2
Riskleri Kabul Et
Evet
Hayır
Hayır
Evet
RİSK DEĞERLENDİRMESİ
RİSKİ KABUL ET
RİSK İŞLEMESİ
RİSK TANIMLAMASI
RİSK KESTİRİMİ
RİSK ÖLÇÜMÜ
RİS
K İL
ET
İŞİM
İR
İSK
LE
Rİ İZ
LE
VE
GÖ
ZD
EN
GE
ÇİR
ISO 27005
-
18
RİSKİ KABUL ET
RİSKİ DEVRET
RİSK İŞLEMESİ / RİSKLE BAŞ ETME SEÇENEKLERİ
RİSKTEN KAÇIN
RİSKİ AZALT
Evet
Hayır
KALAN RİSK
RİSK DEĞERLENDİRMESİ
RİSK DEĞERLENDİRME SONUÇLARI
RİSK KABUL EDİLEBİLİR
DÜZEYDE Mİ?
ISO 27005
-
19
Risk Assessment
• For the risk assessment process; you should identify,
calculate and analyse the below;
assets – what do I have?
threats – what / who will attack / damage / destroy it?
vulnerabilities – is the asset at risk?
controls (or countermeasures, etc.) – can I reduce the risk?
likelihood – will it happen?
impacts (consequences) – how much do I lose?
-
20
Assets
• Hardware• Software• System interfaces (e.g., internal and
external connectivity)• Data and information• People who support
and use the systems• Infrastructure (electricity, cables, UPS,
power supplies, etc. Air ventilation,
etc)
• System mission (e.g., the processes performed by the IT
system)
-
21
Threats
• Set of circumstances that has the potential to cause loss or
harm Natural Threats (hazards, earthquakes, volcanic eruption,
flood, tornado, etc.)
Human Threats (hackers, disgruntled employee, careless people,
terrorists, etc.)
Environmental Threats (fire, dust, humidity, etc.)
Technical Threats (license expiration, software bugs, electrical
problems, etc.)
-
22
Vulnerabilities
• Any weakness, flaw, problem, etc that the threats could
expose; Unawareness of employees
Users being careless or irresponsible
Non-patched software
Low salaries paid to software development team
Data center in a weakly constructed building
Lack of change management in the IT project
No SLA, contract, etc. signed with the outsourced service
provider
…….
• Risks and exposures; due to (m x n) relationship of threats
«-»vulnerabilities
-
23
Controls (Countermeasures / Safeguards)
• They are the mechanisms or procedures for mitigating
vulnerabilities.• Preventative vs. Detective vs. Corrective•
Technical vs. Physical vs. Administrative• Reduce likelihood vs.
reduce impact• Evaluate existing controls; propose new controls•
Understand cost and coverage of control
-
24
Examples of Controls (Countermeasures / Safeguards)
• Make password changes mandatory• Encrypt data / files•
Hardware/software training for personnel• Use a software life cycle
development method• Conduct hardware/software inventory• Designate
critical programs/files• Use password protected screen saver &
lock PCs / terminals • Monitor maintenance personnel• Develop an
off-line secondary backup data center• Pass every item from X-ray
while entering the building• Use verification & validation
procedures during the software development• Make every employee
sign an information non-disclosure policy
-
25
Examples of Controls (Countermeasures / Safeguards)
• Policy documents and their usage• Management• Business
Continuity• Financial Strategies• Improving the Project Plan•
Incident Response• Education, Training and Awareness•
Identification and Authentication• Cryptography• ….
-
26
Impacts (Consequences)
• If something happens, how bad will it be?• Need to know the
value of the asset and how much of that asset will be lost upon
a risk occurs.
-
27
Example Scenario
•Company X is planning on deploying a web-interface shopping
site.
What are the assets?
What are the vulnerabilities?
What are the threat-sources?
What are possible controls?
-
28
Types of Risk Analysis
• Quantitative Assigns real numbers to costs of safeguards and
damage
Annual loss expectancy (ALE)
Probability of event occurring
Can be unreliable / inaccurate
• Qualitative Judges an organization’s relative risk to
threats
Based on judgment, intuition, and experience
Ranks the seriousness of the threats for the sensitivity of the
asserts
Subjective, lacks hard numbers to justify return on
investment
-
29
A. Quantitative Risk Analysis - Outline
1. Identify and value assets2. Determine vulnerabilities and
impact3. Estimate likelihood* (most of the time, statistical
probability) of
exploitation
4. Compute Annual Loss Expectancy(ALE)5. Survey applicable
controls and their costs6. Project annual savings from control
-
30
A. Quantitative Risk Analysis - Örnek
• Risk exposure = (Risk:impact) x (Risk:probability) Loss of
iPad: risk’s impact is cost to replace it, e.g. $10,000
Probability of iPad loss: 0.10
Risk exposure or expected loss (SLE, Single Loss Expectancy)
= 10,000 x 0.10
= $1,000
• Generally measured per year Annual Loss Expectancy (ALE)
ALE = SLE x (no. of occurences in 1 year)
(he lost his iPad 2 times in the last 5 years)
ALE = 1,000 x (2/5) = $400
-
31
A. Quantitative Risk Analysis
• Cost benefits analysis of controls• Risk Leverage to evaluate
value of control (Cost / Benefit Analysis or
Calculation of Feasibility / Effectiveness of Security
=(cost of expected risk before security controls or solutions) –
(cost of expected risk after security solutions) - (cost of
security solution/control)
in other words,
= (ALE before security)– (ALE after security) – (Cost of
security)
Finally, If the result is > 0 then it can be accepted as
feasible.
-
32
B. Qualitative Risk Analysis
• Generally used in Information Security Hard to make meaningful
valuations and meaningful probabilities
Relative ordering is faster and more important
• Many approaches to performing qualitative risk analysis• Same
basic steps as quantitative analysis
Still identifying asserts, threats, vulnerabilities, and
controls
Just evaluating importance differently
-
33
