Kurumsal bilgi g venli i y netim s reci
Download
1 / 99

Kurumsal Bilgi Güvenliği Yönetim Süreci - PowerPoint PPT Presentation


  • 158 Views
  • Uploaded on
  • Presentation posted in: General

TODAİE eDEVLET MERKEZİ BİLGİ YÖNETİMİ SEMİNERİ. Kurumsal Bilgi Güvenliği Yönetim Süreci. BİLGİ YÖNETİMİ SEMİNERİ Prof. Dr. Türksel KAYA BENSGHİR TODAİE 23 Kasım , 20 11. Prof. Dr. Türksel KAYA BENSGHİR TODAİE eDevlet Merkez M üdürü tkaya@todaie.gov.tr tbensghir@gmail.com

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about 'Kurumsal Bilgi Güvenliği Yönetim Süreci ' - beau


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
Kurumsal bilgi g venli i y netim s reci

TODAE eDEVLET MERKEZ BLG YNETM SEMNER

Kurumsal Bilgi Gvenlii Ynetim Sreci

BLG YNETM SEMNER

Prof. Dr. Trksel KAYA BENSGHR

TODAE

23 Kasm, 2011


Kurumsal bilgi g venli i y netim s reci

Prof. Dr. Trksel KAYA BENSGHR

TODAE eDevlet Merkez Mdr

tkaya@todaie.gov.tr

tbensghir@gmail.com

0-312-231 73 60/1803

0-312-2304285

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


Ele al nacak konular
Ele Alnacak Konular

  • Giri

  • Siber Gvenlik Kavramlar

  • Ulusal Gvenlik Kavram

  • Kurumsal Bilgi Gvenlii ve Ynetimi

    • Bilgi Sistemleri Gvenlii Nedir?

    • Bilgi Gvenlii Tehdit Unsurlar

    • Bilgi Gvenlii Salama Aralar

  • Bilgi Gvenlii Ynetim Sistemi (BGYS)

  • Tartma

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


Kurumsal bilgi g venli i y netim s reci
Giri

  • Gnmzde bilgiye srekli eriimi salamak ve bu bilginin son kullancya kadar bozulmadan, deiiklie uramadan ve bakalar tarafndan ele geirilmeden gvenli bir ekilde sunulmas zorunluluk haline gelmitir.

  • Siber dnyada bar ve sava durumunun zaman ve mekan snrlar belirsizlemitir.

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


Kurumsal bilgi g venli i y netim s reci
GR

  • Bata A.B.D, Rusya, in, srail ve Almanya olmak zere birok lke, bilgi savalarnda kullanlacak silahlar iin aratrma-gelitirme faaliyetleri balatmlardr.

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


Uluslararas bilgi sava lar nda kullan lan y ntemlere rnekler
Uluslararas bilgi savalarnda kullanlan yntemlere rnekler

  • Echelon

  • SORM (Rusya),

  • Franchelon (Fransa)

  • Carnivore: (E-Postalar in Echelon)

  • PGP (Pretty Good Privacy)

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


Echelon
Echelon rnekler

  • Souk sava dneminde ABD-ngiltere istihbarat ttifak tarafndan yrrle konulan ECHELON sisteminin temel amac, SSCB Birlii ve Dou Blok diplomatik- askeri takip edilmesi.

  • Dnyadaki iletiim trafiinin ou e zamanl szck filitreleriyle izlenmektedir.

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


Carnivore
Carnivore rnekler

  • ABDde adli Mercilerin izni ile, internet zerinde gerekleebilecek sular izlemek zere internet servis salaycsna balanarak takibe alnan kiilerin e-posta ve ICQ mesajlar takibe alnmaktadr.

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


Kurumsal bilgi g venli i y netim s reci
PGP rnekler

  • Ak anahtarl kriptografinin zelliklerinden yararlanarak kilerin e-posta mesajlarnn btnln, gizliliini ve mesajn kimin tarafndan gnderildiini teyit eden bir uygulama yazlmdr.

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


Uluslararas bilgi sava lar nda kullan lan y ntemlere rnekler1
Uluslararas bilgi savalarnda kullanlan yntemlere rnekler

  • PROMIS (Prosecutors Management Information System) PROMIS olgusu, ulusal ya da ak kod yazlmlarn nemini en ok vurgulayan rneklerden birisidir.

  • ABD Adalet Bakanlna bal savc brolar veritabanlarn birletirmek amac ile Inslaw irketi tarafndan 1970lerin sonunda gelitirilmitir.

  • Girdii btn veritabanlarn bir dosya iine toplamasyla trnn ilk rnei.

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


Bilgi sava kavram
Bilgi Sava Kavram rnekler

  • Politik ve askeri hedefleri desteklemek zere,

    bar, kriz ve sava dnemlerinde hasmn sahip olduu bilgi altyaps, sistem ve srelerinin ilevselliini engellemek, imha etmek, bozmak ve kar salamak amacyla yaplan hareketler ile; dmann bu faaliyetlere kar nlem alarak ald benzeri tedbirler ve hareketler btndr.

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


Siber bilgi g venlik temel konular 1
SiberBilgi Gvenlik rneklerTemel Konular-1

  • Gvenlik

    • AJAX/Web 2.0/Javascript Gvenlii

    • Java & .NET Gvenlii

    • Mobil Cihaz Gvenlii

    • Bilgisayar Gvenlii

    • Mobil letiim Gvenlii

    • letim Sistemi Gvenlii

    • A Gvenlii

    • Alglayc A Gvenlii

    • Web Gvenlii

    • E-posta Gvenlii

    • Veritaban Gvenlii

    • E-ticaret Protokollerinde Gvenlik

    • IPv6 Gvenlii

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


Siber bilgi g venlik temel konular 11
SiberBilgi Gvenlik rneklerTemel Konular-1

  • Gizlilik

    • Temelleri

    • Gelitirme Teknolojileri

    • Koruma Programlama

    • Politika ve Yasalar

  • Doal Felaketler/Acil Servisler/Siber terrizm koruma

  • Risk Analizi, Modelleme ve Ynetimi

  • Gven

    • Biimlendirme ve Modelleme

    • Ynetimi-deerlendirme

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


Kurumsal bilgi g venli i y netim s reci

Kurumsal Dzeyde Bilgi Gvenlii rnekler

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


Bilgi g venli i bg
Bilgi gvenlii (BG) rnekler

  • En genel tanmyla bilginin, retim ve hizmet sreklilii salamak, parasal kayplar en aza indirmek zere tehlike ve tehdit alanlarndan korunmasdr.

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


Bilgi g venli inin temel amac
Bilgi Gvenliinin Temel Amac; rnekler

  • Veri btnlnn korunmas,

  • Yetkisiz eriimin engellenmesi,

  • Mahremiyet ve gizliliin korunmas

  • Sistemin devamllnn salanmasdr.

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


Tehdit
Tehdit rnekler

Bir sistemin veya kurumun zarar grmesine neden olan istenmeyen bir olayn arkasndaki gizli neden, olarak tanmlanabilir.

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


Kurumsal bilgi g venli i y netim s reci

TEHDTLER rnekler

Sistemi neye kar

korumalym?

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


Hedefler
Hedefler rnekler

  • Yazlm

  • Donanm

  • Veri

  • Depolama Ortamlar

  • Bilgi Aktarm Ortamlar

  • nsanlar

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


En kolay giri prensibi
En Kolay Giri Prensibi rnekler

  • Herhangi bir saldrgan, bir bilgisayar sistemine girmek iin kullanlabilecek en kolay yolu deneyecektir.

  • En kolay yol demek, en belirgin, en ok beklenen, veya saldrlara kar en ok nlemi alnm olan yol demek deildir.

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


Siber sald r t rleri
Siber Saldr Trleri rnekler

  • Program manplasyonu,

  • Sahtekarlk ve taklit,

  • Eriim aralarnn alnmas,

  • Kimlik alma,

  • Ticari bilgi alma,

  • stihbarat amal faaliyetler,

  • Takip ve gzetleme,

  • Hack leme,

  • Virsler, Kurtuklar (worms), Truva atlar (Slammer, MsBlaster, Sobig),

  • Ajan yazlm (spyware),

  • Spam

  • Hizmeti durduran saldrlar

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


Sald r t rleri

Sald rneklerrgan

Yetkili Kullanc

Hedef

Hedef

Yetkili Kullanc

Saldr Trleri

  • zinsiz Eriim

    • Kopyalanma

    • Dinlenme

  • Zarar Verme

    (Engelleme)

    • Kaybolma

    • Ulalamaz durumda olma

    • Kullanlamaz durumda olma

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


Sald r t rleri 2

Sald rneklerrgan

Yetkili Kullanc

Hedef

Saldrgan

Yetkili Kullanc

Hedef

Saldr Trleri /2

  • Deiiklik Yapma

    • Program kodlar

    • Durgun Veri

    • Aktarlan Veri

  • retim

    • Veri taklidi

    • Veri ekleme

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


Siber sald r lar yollar 1
Siber saldrlar yollar-1 rnekler

  • Tarama (Scanning) sisteme deiken bilgiler gndererek sisteme giri iin uygun isim ve parolalar bulmak iin kullanlr.

  • Srtlama (Piggybacking), yetkili kullanc boluklarndan ve hatalarndan yararlanarak sisteme girmektir.

  • Dinleme (Eavesdropping), iletiim hatlarna saplama yapmaktr.

  • Casusluk (Spying), nemli bilginin alnmasna ynelik aktivitelerdir.

  • Yerine geme (Masquerading), yetkisiz bir kullancnn yetkili kullanc haklarn kullanarak sisteme girmek istemesidir.

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


Siber sald r lar yollar 2
Siber saldrlar yollar-2 rnekler

  • pleme (Scavenging), gerekletirilen ilem sonucu kalan kullanlabilir bilgilerin toplanmasdr.

  • Arkaya taklma (Tailgating), dial-up balant dmelerinden veya ilemin tamamlanmasndan sonra hatt elinde bulundurarak sisteme girmektir.

  • Sperzap yntemi (Superzapping), sistem programnn gcnden yararlanarak ilem yapmaktr.

  • Truva at (Trojan Horse),dardan cazibesine kaplarak indirilen veya sisteme kopyalanan programlardr.

  • Virsler, kendi bana alamayan, ancak baka programlar aracl ile alp kendini tayan programlardr.

  • Kapanlar (Trap doors), tasarmclarn ve gelitiricilerin sistem bakmnda yararlanmak zere braktklar programlardr. Kt amala kullanlabilirler.

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


Siber sald r lar yollar 3
Siber saldrlar yollar-3 rnekler

  • Kurtuklar (worms), kendi kendini altrabilen ve kopyalayabilen bir programdr.

  • Mantk Bombalar (Logic bomb), nceden belirlenmi koullar gerekleince harekete geen programlardr.

  • Salami teknikleri (Salami Techniques), dikkati ekmeyecek byklkte sistem kayna veya kaynaklarn zimmete geirilmesi.

  • Koklama (Sniffing), a zerindeki paketlerin izlenmesi.

  • Aldatma (Spoofing), aa saplama yaplarak bilgilerin deitirilmesi adres deiiklii yaplmas.

  • Krmak (Cracking), sistem gvenlik nlemlerinin krlmas

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


G venlik a klar

zinsiz Eriim rnekler

Zarar Verme

Donanm

Yazlm

Veri

retim

Deiiklik

Gvenlik Aklar

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


G venlik a klar donan m
G rneklervenlik Aklar (Donanm)

  • Kastsz Zarar

    • Yiyecek-iecek

    • Hayvanlar

    • Toz

    • Yldrm

    • Kaba kullanm

  • Kastl Zarar

    • Hrszlk

    • Fiziksel zararlar (krma, bozma, paralama)

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


G venlik a klar yaz l m
Gvenlik Aklar (Yazlm) rnekler

  • Silinme

    • Kastsz

    • Kastl

  • Deitirilme

    • Truva Atlar

    • Virsler

    • Arka kaplar

    • Bilgi szdrma

  • Hrszlk

    • Lisanssz kullanm

    • zinsiz kopyalama

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


G venlik a klar veri
Gvenlik Aklar (Veri) rnekler

  • Gizliliin ihlali

    • Dinleme (dinleyiciler, alclar, sniffer)

    • Bilgi szdrma (insanlar yoluyla)

  • Engelleme

    • Silme

    • Ulalamaz, ya da kullanlamaz hale getirme

  • Btnln bozulmas

    • Veri deiiklii

    • Sahte veri

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


Gerekti i kadar koruma prensibi
Gerektii Kadar Koruma Prensibi rnekler

  • Deerli eyler (yazlm, donanm, veri) sadece deerleri geerli olduu srece korunmal.

  • Korumak iin harcanan sre, aba ve para, korunan eyin deeriyle orantl olmal.

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


Sald rgan gruplar
Saldrgan Gruplar rnekler

  • Amatrler

    • Kiiler: Olaan bilgisayar kullanclar

    • Saldr ekli: ounlukla bir a farketme ve yararlanma eklinde

  • Krclar (Crackers)

    • Kiiler:Lise veya niversite rencileri

    • Saldr ekli:Sadece yapm olmak iin, veya yaplabildiini grme/gsterme iin, ak bulmaya alma eklinde

  • Profesyonel Sulular

    • Kiiler:Para karl bilgisayar sular ileyenler

    • Saldr ekli:Saldrnn hedefleri nceden belirli, planl ve organize ekilde

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


Bilgi g venli i y netim sistemi bgys nedir
Bilgi Gvenlii rneklerYnetim Sistemi (BGYS) Nedir?

  • Olas risklerin ve tehditlerin belirlenmesi,

  • gvenlik politikalarnn oluturulmas, denetimlerin ve uygulamalarn kontrol,

  • uygun yntemlerin gelitirilmesi,

  • rgtsel yaplar kurulmas ve yazlm/donanm fonksiyonlarnn salanmas gibi bir dizi denetim eyleminin birbirini tamamlayacak ekilde gerekletirilmesidir.

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


Risk analizi ve y netimi
Risk Analizi ve Ynetimi rnekler

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


G venlik risk analizi
Gvenlik Risk Analizi rnekler

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


Risk y netimi
Risk Ynetimi rnekler

  • Risk altndaki bilginin deeri

  • Risk alma potansiyeli

  • Korunmas gereken deerlerin ve alnabilecek risklerin belirlenmesi

Gvenlik, maliyet ve retkenlik arasnda bir dengedir.

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


Bilgi bili im g venli i nas l sa lan r

Ynetsel nlemler rnekler

Teknoloji Uygulamalar

Eitim ve Farkndalk Yaratma

Bilgi-Biliim Gvenlii Nasl Salanr?

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


Bilgi g venli inin sa lanabilmesi i in a a daki ko ullar n sa lanmas beklenir
Bilgi gvenliinin salanabilmesi iin aadaki koullarn salanmas beklenir:

  • Gizlilik (confidentiality)

    • nemli ve hassas bilgilerin istenmeyen biimde yetkisiz kiilerin eline gemesinin nlenmesi ve sadece eriim yetkisi verilmi kiilerce eriilebilir olduu garanti altna alnmasdr.

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


Bilgi g venli inin sa lanabilmesi i in a a daki ko ullar n sa lanmas beklenir1
Bilgi gvenliinin salanabilmesi iin aadaki koullarn salanmas beklenir:

  • Btnlk (integrity)

    • Bilginin yetkili kiiler dnda deitirilmesinin ve silinmesinin nlenmesidir.

  • Sreklilik (availability)

    • Bilgi veya bilgi sistemlerinin srekli kullanma hazr ve kesintisiz alr durumda olmasdr.

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


Bilgi g venli i sa lama ara lar
Bilgi Gvenlii Salama Aralar koullarn salanmas beklenir:

  • Fiziksel Gvenlik:

    • Fiziksel nlemlerle (gvenli ortam vb) gvenliinin salanmas.

  • Kullanc Dorulamas Yntemleri:

    • Akll kart, tek kullanml parola, token ve Public Key Certificate gibi aralar ve RADIUS gibi merkezi kullanc dorulama sunucularnn kullanlmas.

  • ifreleme:

    • Gvensiz alar zerinden geen verilerin gvenlii iin Virtual Private Network veya ifreleme yapan donanmlarn kullanlmas. Ayrca web tabanl gvenli veri transferi iin SSL ve Public Key ifrelemenin kullanlmas. Donanm tabanl ifreleme zmleri de mmkndr.

  • E-imza

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


G venlik prensipleri
Gvenlik Prensipleri koullarn salanmas beklenir:

  • Gizlilik(Confidentiality):

    • Depolanan ve tanan bilgilere yetkisiz eriimlerin engellenmesi

    • Gizli bilgilerin korunmas ve mahremiyetinin salanmas

  • Gncellik ve Btnlk (Accuracy & Integrity)

    • Kullanclara bilgilerin en gncel halinin sunulmas

    • Yetkisiz deiikliin ve bozulmann engellenmesi

  • Sreklilik(Availability)

    • Sistemin kesintisiz hizmet vermesi

    • Performansn sreklilii

  • zlenebilirlik ya da Kayt Tutma(Accountability)

    • Kullancnn parolasn yazarak sisteme girmesi

    • Web sayfasna balanmak

    • E-posta almak-gndermek

    • Icq ile mesaj yollamak

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


G venlik prensipleri devam
Gvenlik Prensipleri (Devam) koullarn salanmas beklenir:

  • Kimlik Snamas(Authentication)

    • Alc-gnderici dorulamas

    • Parola dorulamas

    • Akll kart, biyometri dorulamas

  • Gvenilirlik(Reliability-Consistency)

    • Sistemden bekleneni eksiksiz ve fazlasz vermesi

    • %100 Tutarllk

  • nkr Edememe(Nonrepudiation)

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


Y netsel nlemler 1
Ynetsel nlemler-1 koullarn salanmas beklenir:

  • Gvenlik Politikalar

    • Kurumsal Gvenlik Politikas

    • Konuya zel Gvenlik Politikas

    • Sisteme zel Gvenlik Politikas

  • Standartlar ve Prosedrler

    • Konfigrasyon Ynetim Prosedr

    • Yedekleme ve Yedekleme Ortamlarn Saklama Prosedr

    • Olay Mdahale Prosedr

    • Sreklilii ve Felaket Kurtarma Prosedr

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


G venlik politikas
Gvenlik Politikas koullarn salanmas beklenir:

  • Gvenlik politikas, uygulanacak gvenliin ne yapmas gerektiini tanmlayan yazl bir belgedir.

  • Ayn zamanda, kurumsal kaynaklara eriim yetkisi olan kurum alanlarnn uymalar gereken kurallar ieren resmi bir rapor nitelii tar ve kurumun st dzey ynetimi tarafndan desteklenmelidir.

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


G venlik politikas 2
Gvenlik Politikas koullarn salanmas beklenir:/2

  • Gvenlik politikas uygulanabilir, kullanlabilir, karlanabilir ve kolay ynetilebilir olmal ve kurumun i ihtiyalar ve i hedefleri dorultusunda belirlenmelidir.

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


G venlik b t esi
Gvenlik koullarn salanmas beklenir:Btesi

  • Gvenlik btesi oluturulmadan nce bir risk analizi yaplmaldr.

  • Risk analizi ile kurumun sahip olduu deerler, bu deerlere kar potansiyel tehditler, tehdidin sonu vermesini salayan zayflklar ve tehdit olutuunda kurumun verecei kayplar tespit edilmeli, risk analizi sonucunda bir maliyet analizi yaplarak, tm gvenlik harcamalarnn ncelikleri doru olarak belirlenmeli ve bu harcamalarn korunacak sistemlerin deerinden ve onarm maliyetinden yksek olmamasna dikkat edilmelidir.

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


G venlik politikas d ng s
Gvenlik Politikas Dngs koullarn salanmas beklenir:

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


Y netsel nlemler 2 devam
Ynetsel nlemler-2 (Devam) koullarn salanmas beklenir:

  • Gvenlik Yaam Dngs

    • Sistem Glendirme

    • Hazrlk

    • Saldr / Sorun Tespiti

    • Tespit edilen olaya zg nlemlerin alnmas / kurtarma

    • yiletirme, tespit edilen olayn tekrarn nleyecek nlemler

  • Minimalist Yaklam

    • Kimseye gerektiinden fazla eriim hakk tanmama

    • Kimseye gerektiinden fazla bilgi vermeme

    • Gerekmeyen hi bir yazlm yklememe

    • Gerekmeyen hi bir hizmeti sunmama

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


Teknoloji uygulamalar
Teknoloji Uygulamalar koullarn salanmas beklenir:

  • Kriptografi

  • Saysal mza ve PKI

  • A Blmlendirmesi ve Gvenlik Duvarlar

  • Yedekleme

  • Saldr Tespiti

  • Eriim Denetimi

  • Anti-Virs Sistemleri

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


Kriptografi
Kriptografi koullarn salanmas beklenir:

  • Simetrik Algoritmalar

  • Asimetrik Algoritmalar

  • zetleme Fonksiyonlar

Temel Kriptografi Mekanizmas

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


Say sal mza ve pki
Saysal mza ve PKI koullarn salanmas beklenir:

  • Saysal sertifikalar

  • Sertifikasyon Otoriteleri

Bir Mesajn Saysal mzasnn Oluturulmas

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


G venlik duvarlar firewall
Gvenlik Duvarlar (Firewall) koullarn salanmas beklenir:

  • Kaynak IP adresi

  • Kaynak hizmet noktas (port)

  • Hedef IP adresi

  • Hedef hizmet noktas

  • Balant tipi (TCP, UDP, ICMP, vb.)

  • Tanml olmayanlara izin verilmesi

    XTanml olmayanlara izin verilmemesi

  • Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    Sald r tespiti ids
    Saldr Tespiti (IDS) koullarn salanmas beklenir:

    • Saldr tespit Sistemleri bilgisayarlarn ve bilgisayar alarnn faaliyetlerini izlemek, kaydetmek ve olas saldrlar tespit etmek amal olarak tasarlanan sistemlerdir.

    • Firewall girite kimlik kart kontrol yapan bir kapya benzetirsek, saldr tespit sistemleri ieriyi gzetleyen gvenlik kameralar gibi alrlar.

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    Yedekleme
    Yedekleme koullarn salanmas beklenir:

    • Verilerin Yedeklenmesi

    • letiim Hatlarnn Yedeklenmesi

    • G Kaynann Yedeklenmesi

    • Cihazlarn Yedeklenmesi

    • Fiziksel Ortamn Yedeklenmesi

    Bir sistemin dzenli olarak yedeini almak ok zor itir;

    Bu nedenle Kritiklilik/Gereklilik analizi ok iyi yaplmaldr.

    GVENLK-MALYET

    ANALZ

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    Eri im denetimi
    Eriim Denetimi koullarn salanmas beklenir:

    Eriim Denetimi, Kaynaklara kimin nasl eritiini kontrol etmektir. (Access Control)

    Eriim denetimi aamal olarak gerekletirilir:

    • Tanmlama (Identification)

      • Kullanc Ad

      • Kullanc Grubu

    • Kimlik Snama (Authentication)

      • Parola passwordtester

      • Akll Kart,

      • Biyometrik aret v.b.

    • Yetkilendirme (Authorization)

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    Anti vir s sistemleri
    Anti-Virs Sistemleri koullarn salanmas beklenir:

    • Bilgisayar virsleri, Kt amal program kodu olarak tanmlanabilir.

    • Anti-virs yazlmlar, bilinen virsleri tanyabilen ve temizleyebilen programlardr.

    • E-posta yoluyla virsler, gerek hayattaki virslerden farksz bir hzla yaylmaktadrlar.

      Virs-Solucan(Worm)- Truva At(Trojan Horse)

      Nasl Korunurum?

    • Anti-virs yazlmnn her zaman gncel tutulmas

    • Kullanlan yazlm yamalarnn gncel tutulmas

    • Yabanc birinden gelen bir e-posta ekini almamas

    • Bilinen birinden gelse bile, ne olduunu bilmedike bir e-posta ekteki dosyann almamas

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    E itim ve fark ndal k yaratma
    Eitim ve Farkndalk Yaratma koullarn salanmas beklenir:

    • Farkl Grup in Eitim;

      • Yneticiler,

      • Orta Kademe Yneticiler,

      • Ve Teknik Grup

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    Bu y ntemler yeterli mi
    Bu yntemler yeterli mi? koullarn salanmas beklenir:

    • Ancak bu tr nlemlerin alnmas tek bana yeterli deildir.

    • Bilgi gvenlii bilgi ynetimi iinde bir sre olarak grlmelidir.

    • Her kurum bir gvenlik politikas oluturmal, bunu yazl olarak raporlayarak, alanlarna, paydalarna aktarmaldr.

    • BIT Standartlar benimsenmeli ve uygulanmaldr.

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    B t standartlar
    BT Standartlar koullarn salanmas beklenir:

    • Yazlm Paketleri rn Belgelendirmesi (TS 12119),

    • Yazlm Sre Ynetimi Belgelendirmesi (TS 15504),

    • Bilgi Gvenlii Ynetim Sistemi Belgelendirmesi (TS ISO /IEC 27001)

    • Ortak Kriterlerler (TS ISO/IEC 15408) Belgelendirmesi

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    Ts iso iec 27001 nin kapsam ve hedefleri
    TS ISO IEC 27001 koullarn salanmas beklenir:nin kapsam ve hedefleri

    • Kuruluun tm i riskleri kapsamnda yazl bir BGYSin oluturulmas, gerekletirilmesi, iletilmesi, izlenmesi, gzden geirilmesi, srdrlmesi ve gelitirilmesi iin gereksinimleri belirtir.

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    27001 bgy s recinde ana kontrol alanlar
    27001 koullarn salanmas beklenir:BGY Srecinde Ana Kontrol Alanlar

    • Bilgi gvenlii politikas

    • BG organizasyonu

    • Varlk ynetimi

    • Personel gvenlii

    • Fiziksel evre gvenlii

    • letiim ve iletim ynetimi

    • Eriim kontrol

    • hlal olaylar ynetme

    • sreklilii

    • Uyum

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    Bilgi g venli i politikas
    Bilgi gvenlii politikas koullarn salanmas beklenir:

    • Bir bilgi gvenlii politika dokman, ynetim tarafndan onaylanmal, yaynlanmal ve tm alanlar ve ilgili taraflara bildirilmelidir.

    • Bilgi gvenlii politikas, belirli aralklarla veya nemli deiiklikler ortaya ktnda srekli uygunluunu, doruluunu ve etkinliini salamak iin gzden geirilmelidir.

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    Varl k y netimi
    Varlk Ynetimi koullarn salanmas beklenir:

    • Kurumun varlklarnn tm aka tanmlanmal ve nemli varlklarn bir envanteri hazrlanmal ve tutulmaldr.

    • Bilgi ileme olanaklar ile ilikili tm bilgi ve varlklar atanan bir blm tarafndan sahiplenilmelidir.

    • Bilgi, deeri, yasal gereksinimleri, hassasl ve kurulu iin kritikliine gre snflandrlmaldr.

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    Nsan kaynaklar g venli i
    nsan Kaynaklar Gvenlii koullarn salanmas beklenir:

    • alanlar, ykleniciler ve nc taraf kullanclarn gvenlik rolleri ve sorumluluklar kuruluun bilgi gvenlii politikasna uygun olarak tanmlanmal ve dokmante edilmelidir.

    • Tm ie alnacak adaylar, ykleniciler ve nc taraf kullanclar ilgili yasa, dzenleme ve etik ilkelere gre almalar iin uygun dorulama kontrolleri gerekletirilmelidir.

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    Fiziksel ve evresel g venlik
    Fiziksel ve evresel Gvenlik koullarn salanmas beklenir:

    • Bilgi ve bilgi ileme olanaklarn ieren alanlar korumak iin gvenlik nlemleri (duvarlar gibi engeller, kart kontroll giri kaplar, grevli bulunan resepsiyon masalar) alnmaldr.

    • Veri tayan ya da bilgi hizmetlerini destekleyen iletiim ortamlar ve aralar, kesilme ya da hasarlardan korunmaldr.

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    Leti im ve letim y netimi
    letiim ve letim Ynetimi koullarn salanmas beklenir:

    • letim prosedrleri dokmante edilmeli, srdrlmeli ve ihtiyac olan tm kullanclarn kullanmna sunulmaldr.

    • Bilgi ve yazlmlara ait yedekleme kopyalar alnmal ve yedekleme politikasna uygun ekilde dzenli olarak test edilmelidir.

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    Eri im kontrol
    Eriim Kontrol koullarn salanmas beklenir:

    • Eriim iin i ve gvenlik gereksinimlerini temel alan bir eriim kontrol politikas kurulmal, dokmante edilmeli ve gzden geirilmelidir.

    • Kullanclardan, parolalarn seiminde ve kullanmnda gvenlik uygulamalarn izlemeleri istenmelidir.

    • Alarda, bilgi hizmetleri, kullanclar ve bilgi sistemleri gruplar ayrlmaldr.

    • Etkin olmayan oturumlar tanmlanm belirli bir hareketsizlik sresinden sonra kapatlmaldr.

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    Bilgi sistemleri edinim geli tirme ve bak m
    Bilgi Sistemleri Edinim, Gelitirme ve Bakm koullarn salanmas beklenir:

    • Uygulama sistem yazlm gvenliini salamak iin gerekli kontrol prosedrleri belirlenmeli ve uygulanmaldr.

    • Outsorce edilen yazlmlar kurulu tarafndan denetlenmeli ve izlenmelidir.

    • Kullanlan bilgi sisteminin teknik aklklar hakknda zamannda bilgi elde edilmeli, kuruluun bu tr aklklara maruz kalmas deerlendirilmeli ve riskleri hedef alan uygun nlemler alnmaldr.

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    Bilgi g venli i hlal olay y netimi
    Bilgi Gvenlii koullarn salanmas beklenir:hlal Olay Ynetimi

    • Bilgi gvenlii olaylar uygun ynetim kanallar araclyla mmkn olduu kadar hzl biimde rapor edilmelidir.

    • Bilgi sistemleri ve hizmetlerinin tm alanlar, yklenicileri ve nc taraf kullanclarndan, sistemler ve hizmetlerdeki gzlenen veya phelenilen herhangi bir gvenlik zayfln dikkat etmeleri ve rapor etmeleri istenmelidir.

    • Bilgi gvenlii ihlal olaylarnn trleri, miktarlar ve maliyetlerinin llp izlenebilmesini salayan mekanizmalar bulunmaldr.

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    S reklili i y netimi
    Sreklilii Ynetimi koullarn salanmas beklenir:

    • Kurulu genelinde i srekliliini salamak bir proses tanmlanmaldr.

    • sreklilii planlarnn, gncel ve etkili olmalarn salamak iin, dzenli olarak test edilmeli ve gncelletirilmelidir.

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    Kurumsal bilgi g venli i y netim s reci
    Uyum koullarn salanmas beklenir:

    • lgili tm yasal dzenleme ve szlemeden doan gereksinimler tanmlanmal, dokmante edilmeli ve gncel tutulmaldr.

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    Bgys nin sa layaca faydalar
    BGYSnin salayaca faydalar koullarn salanmas beklenir:

    • Tehdit ve risklerin belirlenerek etkin bir risk ynetiminin salanmas

    • Kurumsal saygnln korunmas ve art

    • srekliliinin salanmas

    • Bilgi kaynaklarna eriimin denetlenmesi

    • Personelin ilgili tm taraflarn gvenlik konusunda farkndalk dzeyinin ykseltilmesi ve nemli gvenlik konularnda bilgilendirilmesi

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    Kurumsal bilgi g venli i y netim s reci

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE koullarn salanmas beklenir:


    Bgys nin sa layaca faydalar 2
    BGYSnin salayaca faydalar-2 koullarn salanmas beklenir:

    • Bilgi varlklarnn btnlnn ve doruluunun salanmas

    • Personelin grevlerini yerine getirirken, bilgi sistemleri kaynaklarn kt amal olarak kullanma ve/veya kaynaklar suistimal etmelerinin engellenmesi

    • Bilgi varlklarnn gizliliinin korunmas

    • Personelin, bakalar tarafndan yaplabilecek olan suistimal ve tacizlere kar zan altnda kalmasnn engellenmesi

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    Kurumsal bilgi g venli i y netim s reci
    Sonu koullarn salanmas beklenir:

    • Kesin (% 100) gvenlik ulalabilir deildir!

    • Kurumsal bilgi gvenlii bir kez gerekletirilen bir alma olarak deil, bir sre olarak ele alnmal ve oluturulan kurumsal gvenlilik politikalarna uygunluk srekli denetim altnda tutulmaldr.

    • Bilgi ve Sistem Gvenliine sosyo-teknik sistemle -btncl-yaklamak gerekir.

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    Ulusal b lg s stemler g venl k programi
    ULUSAL koullarn salanmas beklenir:BLGSSTEMLER GVENLK PROGRAMI

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    Bt stratejisi 88 numaral madde ulusal bilgi sistemleri g venlik program
    BT Stratejisi: 88 numaral koullarn salanmas beklenir:madde:Ulusal Bilgi Sistemleri Gvenlik Program

    • lkemizin bilgisayar olaylarna acil mdahale koordinasyon merkezini kurmak hedeflenmektedir.

    • Sorumlu ve lgili Kurulular:

      • TBTAK-UEKAE (S)

      • Kamu Kurum ve Kurulular()

      • niversiteler ()

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    Kamu kurum ve kurulu lar i in
    Kamu kurum ve kurulular iin: koullarn salanmas beklenir:

    • 1. Minimum gvenlik gereksinimlerini belirlemek

    • 2.Bilgi sistem gvenlii ile ilgili tehditleri tespit etmek

    • 3. Bilgi sistem gvenlii eksiklikler konusunda nerilerde bulunmak

    • 4.Bilgi sistem gvenlii ile ilgili acil uyarlar yapmak

    • 5.Bilgi gvenlii ynetim sistemi konusunda pilot kurumlara danmanlk vermek

    • 6.Bilgi sistem gvenlii ile ilgili eitimler vermek

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    Kurumlararas li kiler
    Kurumlararas koullarn salanmas beklenir:likiler

    • Korunmak iin ibirlii

    • Dier kurumlarlakoordinasyon

    • Gven ilikisi oluturma

    • Ulusal ve uluslararasOlay engelleme

    • Acil bilgi gvenlik ikazlar oluturma ve paylama

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    Kaynak http www bilgiguvenligi gov tr index php option com content task view id 252 itemid 6
    Kaynak: koullarn salanmas beklenir:http://www.bilgiguvenligi.gov.tr/index.php?option=com_content&task=view&id=252&Itemid=6

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    Kaynak http www bilgiguvenligi gov tr index php option com content task view id 252 itemid 61
    Kaynak: koullarn salanmas beklenir:http://www.bilgiguvenligi.gov.tr/index.php?option=com_content&task=view&id=252&Itemid=6

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    Lkemizde ger ekle tirilen siber g venlik tatbikatlar
    lkemizde Gerekletirilen Siber Gvenlik Tatbikatlar koullarn salanmas beklenir:

    • 1. BOME 2008 Tatbikat

      • 8 Kamu kuruluun katld tatbikata TBTAK BLGEM bnyesinde faaliyet gsteren Trkiye Bilgisayar Olaylar Mdahale Ekibi (TR-BOME) tarafndan gerekletirilmitir.

    • 2. Tatbikat- 2011 (25-28 Ocak)

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    2 tatbikat 2011 25 28 ocak
    2. Tatbikat- 2011 koullarn salanmas beklenir:(25-28 Ocak)

    • Tatbikat amac, katlmc kurumlarn siber saldrlar karsndaki teknik kabiliyetleri ve saldrlardan korunma konusunda almalar gereken teknik nlemler kadar siber saldr durumunda kurum ii ve kurumlar aras koordinasyon ve iletiim yeteneklerinin llmesi hedeflenmitir.

    • Ulusal Siber Gvenlik Tatbikat 2011e; enerji, finans, telekom, savunma, salk ve sosyal gvenlik gibi kritik bilgi-sistem altyaplarn oluturan 41 kamu ve zel sektr kurum/kuruluu katlmtr.

    • Tatbikat verileriyle, siber olaylarla mcadelede lkemizin teknik, idari ve hukuki kabiliyetlerinin artrlmas iin neriler gelitirilmesi hedeflenmitir.

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    2 tatbikat 25 28 ocak 2011
    2. Tatbikat koullarn salanmas beklenir:(25-28 Ocak 2011)

    • Gerek saldrlar kapsamnda;

      • port taramas,

      • datk servis d brakma saldrs,

      • web sayfas gvenlik denetimi ve

      • kayt dosyas analizi yaplmtr.

        Yazl senaryolarda ise;

      • elektrik kesintisi,

      • kurumiinden veri szdrlmas,

      • web sayfasnn ele geirilmesi,

      • sosyal mhendislik saldrlar gibi olas saldr senaryolar karsnda kurumlarn verdikleri tepkiler yazl olarak deerlendirilmitir.

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    2 tatbikat 25 28 ocak 20111
    2. Tatbikat koullarn salanmas beklenir:(25-28 Ocak 2011)

    • Etkinliin iki gnlk ksmnda gerek saldrlar uygulanm;

    • son iki gnlk ksmnda ise yazl ortamda olas saldr senaryolar deerlendirilerek teknik, idari ve hukuki sreler ele alnd.

    • Tatbikatta; 83 gerek saldr, 450nin zerinde yazl senaryo deerlendirilmitir.

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    Tatbikat n sonunda d zenleyici kurumlar n ba kanlar u a klamada bulundular
    Tatbikatn sonunda dzenleyici kurumlarn bakanlar u aklamada bulundular:

    • Tatbikatta Trkiye kazand.

    • Tatbikatta kurulular baznda neler olduu/yapld/karlald gibi bilgiler herhangi bir ekilde paylalmayacak.

    • Bu Tatbikat amacna ulat ve tm katlmc kurulular baarl bir ekilde tamamladlar. Kendilerini deerlendirdiler.

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    Kurumsal bilgi g venli i y netim s reci

    • ilk iki gnlk ksmnda gerek saldrlar uygulanrken, son iki gnlk ksmnda ise yazl ortamda olas saldr senaryolar deerlendirilerek teknik, idari ve hukuki sreler ele alnd. Tatbikatta; 83 gerek saldr, 450nin zerinde yazl senaryo deerlendirilmitir.

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    Kamu kurumlar nda yap lan g venlik testlerinden se ilen baz a kl klar
    Kamu kurumlarnda yaplan gvenlik testlerinden seilen baz aklklar;

    • Gvenlik Yama ve Servis Paket Eksiklii

    • Yetkili/Ynetici Hesaplarnn Yetersiz Korunmas ve Ynetilmesi

    • Gereksiz Servislerin almas

    • DOS Saldrlarna Kar Korunmasz Olmas

    • Gereksiz Programlarn Bulunmas

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    Kurumsal bilgi g venli i y netim s reci
    Gvenlik testlerinden seilen baz aklklar baz aklklar; KAYNAK: www.tubitak.gov.tr/tubitak_content.../Korkmaz_Bulut_Bilisim.ppt

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    Kurumsal bilgi g venli i y netim s reci

    Teekkr ederim... baz aklklar;

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    The 2005 global security survey
    The 2005 Global Security Survey baz aklklar;

    Global Financial Services Industry Deloitte Touche Tohmatsu

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    K resel g venlik ara t rmas 2005 the 2005 global security survey
    Kresel Gvenlik Aratrmas 2005- baz aklklar; The 2005 Global Security Survey

    • 180 Finans kuruluunun (banka, sigorta ve gvenlik irketleri) gvenlik ve gizlilik konusunda yaklamlarn ortaya koymak zere aratrma yaplmtr.

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    Profil
    Profil baz aklklar;

    • 120 kuruluun 26 s ilk byk 500 kurulu arasnda yer almaktadr. 28 banka ise 2003 itibaryla sermaye bykl asnda ilk sralarda yer almaktadr.

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    Ciso bilgi g venlik y neticisi kime rapor sunmaktad r resmi bir bilgi g venlik stratejileri var m
    CISO-bilgi Gvenlik yneticisi kime rapor sunmaktadr? baz aklklar; Resmi bir Bilgi Gvenlik Stratejileri var m?

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    G venlik riskleri
    Gvenlik Riskleri baz aklklar;

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    G venlik b t esi1
    Gvenlik Btesi baz aklklar;

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    Y netim bilgi g venli ini nas l alg l yor
    Ynetim Bilgi Gvenliini Nasl Alglyor? baz aklklar;

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    Siber sald r lardan korunma
    Siber Saldrlardan Korunma baz aklklar;

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    Kar la lan tehditler
    Karlalan Tehditler baz aklklar;

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    ad
  • Login