Kurumsal bilgi g venli i y netim s reci
This presentation is the property of its rightful owner.
Sponsored Links
1 / 99

Kurumsal Bilgi Güvenliği Yönetim Süreci PowerPoint PPT Presentation


  • 105 Views
  • Uploaded on
  • Presentation posted in: General

TODAİE eDEVLET MERKEZİ BİLGİ YÖNETİMİ SEMİNERİ. Kurumsal Bilgi Güvenliği Yönetim Süreci. BİLGİ YÖNETİMİ SEMİNERİ Prof. Dr. Türksel KAYA BENSGHİR TODAİE 23 Kasım , 20 11. Prof. Dr. Türksel KAYA BENSGHİR TODAİE eDevlet Merkez M üdürü [email protected] [email protected]

Download Presentation

Kurumsal Bilgi Güvenliği Yönetim Süreci

An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -

Presentation Transcript


Kurumsal bilgi g venli i y netim s reci

TODAE eDEVLET MERKEZ BLG YNETM SEMNER

Kurumsal Bilgi Gvenlii Ynetim Sreci

BLG YNETM SEMNER

Prof. Dr. Trksel KAYA BENSGHR

TODAE

23 Kasm, 2011


Kurumsal bilgi g venli i y netim s reci

Prof. Dr. Trksel KAYA BENSGHR

TODAE eDevlet Merkez Mdr

[email protected]

[email protected]

0-312-231 73 60/1803

0-312-2304285

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


Ele al nacak konular

Ele Alnacak Konular

  • Giri

  • Siber Gvenlik Kavramlar

  • Ulusal Gvenlik Kavram

  • Kurumsal Bilgi Gvenlii ve Ynetimi

    • Bilgi Sistemleri Gvenlii Nedir?

    • Bilgi Gvenlii Tehdit Unsurlar

    • Bilgi Gvenlii Salama Aralar

  • Bilgi Gvenlii Ynetim Sistemi (BGYS)

  • Tartma

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


Kurumsal bilgi g venli i y netim s reci

Giri

  • Gnmzde bilgiye srekli eriimi salamak ve bu bilginin son kullancya kadar bozulmadan, deiiklie uramadan ve bakalar tarafndan ele geirilmeden gvenli bir ekilde sunulmas zorunluluk haline gelmitir.

  • Siber dnyada bar ve sava durumunun zaman ve mekan snrlar belirsizlemitir.

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


Kurumsal bilgi g venli i y netim s reci

GR

  • Bata A.B.D, Rusya, in, srail ve Almanya olmak zere birok lke, bilgi savalarnda kullanlacak silahlar iin aratrma-gelitirme faaliyetleri balatmlardr.

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


Uluslararas bilgi sava lar nda kullan lan y ntemlere rnekler

Uluslararas bilgi savalarnda kullanlan yntemlere rnekler

  • Echelon

  • SORM (Rusya),

  • Franchelon (Fransa)

  • Carnivore: (E-Postalar in Echelon)

  • PGP (Pretty Good Privacy)

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


Echelon

Echelon

  • Souk sava dneminde ABD-ngiltere istihbarat ttifak tarafndan yrrle konulan ECHELON sisteminin temel amac, SSCB Birlii ve Dou Blok diplomatik- askeri takip edilmesi.

  • Dnyadaki iletiim trafiinin ou e zamanl szck filitreleriyle izlenmektedir.

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


Carnivore

Carnivore

  • ABDde adli Mercilerin izni ile, internet zerinde gerekleebilecek sular izlemek zere internet servis salaycsna balanarak takibe alnan kiilerin e-posta ve ICQ mesajlar takibe alnmaktadr.

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


Kurumsal bilgi g venli i y netim s reci

PGP

  • Ak anahtarl kriptografinin zelliklerinden yararlanarak kilerin e-posta mesajlarnn btnln, gizliliini ve mesajn kimin tarafndan gnderildiini teyit eden bir uygulama yazlmdr.

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


Uluslararas bilgi sava lar nda kullan lan y ntemlere rnekler1

Uluslararas bilgi savalarnda kullanlan yntemlere rnekler

  • PROMIS (Prosecutors Management Information System) PROMIS olgusu, ulusal ya da ak kod yazlmlarn nemini en ok vurgulayan rneklerden birisidir.

  • ABD Adalet Bakanlna bal savc brolar veritabanlarn birletirmek amac ile Inslaw irketi tarafndan 1970lerin sonunda gelitirilmitir.

  • Girdii btn veritabanlarn bir dosya iine toplamasyla trnn ilk rnei.

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


Bilgi sava kavram

Bilgi Sava Kavram

  • Politik ve askeri hedefleri desteklemek zere,

    bar, kriz ve sava dnemlerinde hasmn sahip olduu bilgi altyaps, sistem ve srelerinin ilevselliini engellemek, imha etmek, bozmak ve kar salamak amacyla yaplan hareketler ile; dmann bu faaliyetlere kar nlem alarak ald benzeri tedbirler ve hareketler btndr.

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


Siber bilgi g venlik temel konular 1

SiberBilgi Gvenlik Temel Konular-1

  • Gvenlik

    • AJAX/Web 2.0/Javascript Gvenlii

    • Java & .NET Gvenlii

    • Mobil Cihaz Gvenlii

    • Bilgisayar Gvenlii

    • Mobil letiim Gvenlii

    • letim Sistemi Gvenlii

    • A Gvenlii

    • Alglayc A Gvenlii

    • Web Gvenlii

    • E-posta Gvenlii

    • Veritaban Gvenlii

    • E-ticaret Protokollerinde Gvenlik

    • IPv6 Gvenlii

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


Siber bilgi g venlik temel konular 11

SiberBilgi Gvenlik Temel Konular-1

  • Gizlilik

    • Temelleri

    • Gelitirme Teknolojileri

    • Koruma Programlama

    • Politika ve Yasalar

  • Doal Felaketler/Acil Servisler/Siber terrizm koruma

  • Risk Analizi, Modelleme ve Ynetimi

  • Gven

    • Biimlendirme ve Modelleme

    • Ynetimi-deerlendirme

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


Kurumsal bilgi g venli i y netim s reci

Kurumsal Dzeyde Bilgi Gvenlii

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


Bilgi g venli i bg

Bilgi gvenlii (BG)

  • En genel tanmyla bilginin, retim ve hizmet sreklilii salamak, parasal kayplar en aza indirmek zere tehlike ve tehdit alanlarndan korunmasdr.

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


Bilgi g venli inin temel amac

Bilgi Gvenliinin Temel Amac;

  • Veri btnlnn korunmas,

  • Yetkisiz eriimin engellenmesi,

  • Mahremiyet ve gizliliin korunmas

  • Sistemin devamllnn salanmasdr.

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


Tehdit

Tehdit

Bir sistemin veya kurumun zarar grmesine neden olan istenmeyen bir olayn arkasndaki gizli neden, olarak tanmlanabilir.

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


Kurumsal bilgi g venli i y netim s reci

TEHDTLER

Sistemi neye kar

korumalym?

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


Hedefler

Hedefler

  • Yazlm

  • Donanm

  • Veri

  • Depolama Ortamlar

  • Bilgi Aktarm Ortamlar

  • nsanlar

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


En kolay giri prensibi

En Kolay Giri Prensibi

  • Herhangi bir saldrgan, bir bilgisayar sistemine girmek iin kullanlabilecek en kolay yolu deneyecektir.

  • En kolay yol demek, en belirgin, en ok beklenen, veya saldrlara kar en ok nlemi alnm olan yol demek deildir.

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


Siber sald r t rleri

Siber Saldr Trleri

  • Program manplasyonu,

  • Sahtekarlk ve taklit,

  • Eriim aralarnn alnmas,

  • Kimlik alma,

  • Ticari bilgi alma,

  • stihbarat amal faaliyetler,

  • Takip ve gzetleme,

  • Hack leme,

  • Virsler, Kurtuklar (worms), Truva atlar (Slammer, MsBlaster, Sobig),

  • Ajan yazlm (spyware),

  • Spam

  • Hizmeti durduran saldrlar

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


Sald r t rleri

Saldrgan

Yetkili Kullanc

Hedef

Hedef

Yetkili Kullanc

Saldr Trleri

  • zinsiz Eriim

    • Kopyalanma

    • Dinlenme

  • Zarar Verme

    (Engelleme)

    • Kaybolma

    • Ulalamaz durumda olma

    • Kullanlamaz durumda olma

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


Sald r t rleri 2

Saldrgan

Yetkili Kullanc

Hedef

Saldrgan

Yetkili Kullanc

Hedef

Saldr Trleri /2

  • Deiiklik Yapma

    • Program kodlar

    • Durgun Veri

    • Aktarlan Veri

  • retim

    • Veri taklidi

    • Veri ekleme

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


Siber sald r lar yollar 1

Siber saldrlar yollar-1

  • Tarama (Scanning) sisteme deiken bilgiler gndererek sisteme giri iin uygun isim ve parolalar bulmak iin kullanlr.

  • Srtlama (Piggybacking), yetkili kullanc boluklarndan ve hatalarndan yararlanarak sisteme girmektir.

  • Dinleme (Eavesdropping), iletiim hatlarna saplama yapmaktr.

  • Casusluk (Spying), nemli bilginin alnmasna ynelik aktivitelerdir.

  • Yerine geme (Masquerading), yetkisiz bir kullancnn yetkili kullanc haklarn kullanarak sisteme girmek istemesidir.

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


Siber sald r lar yollar 2

Siber saldrlar yollar-2

  • pleme (Scavenging), gerekletirilen ilem sonucu kalan kullanlabilir bilgilerin toplanmasdr.

  • Arkaya taklma (Tailgating), dial-up balant dmelerinden veya ilemin tamamlanmasndan sonra hatt elinde bulundurarak sisteme girmektir.

  • Sperzap yntemi (Superzapping), sistem programnn gcnden yararlanarak ilem yapmaktr.

  • Truva at (Trojan Horse),dardan cazibesine kaplarak indirilen veya sisteme kopyalanan programlardr.

  • Virsler, kendi bana alamayan, ancak baka programlar aracl ile alp kendini tayan programlardr.

  • Kapanlar (Trap doors), tasarmclarn ve gelitiricilerin sistem bakmnda yararlanmak zere braktklar programlardr. Kt amala kullanlabilirler.

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


Siber sald r lar yollar 3

Siber saldrlar yollar-3

  • Kurtuklar (worms), kendi kendini altrabilen ve kopyalayabilen bir programdr.

  • Mantk Bombalar (Logic bomb), nceden belirlenmi koullar gerekleince harekete geen programlardr.

  • Salami teknikleri (Salami Techniques), dikkati ekmeyecek byklkte sistem kayna veya kaynaklarn zimmete geirilmesi.

  • Koklama (Sniffing), a zerindeki paketlerin izlenmesi.

  • Aldatma (Spoofing), aa saplama yaplarak bilgilerin deitirilmesi adres deiiklii yaplmas.

  • Krmak (Cracking), sistem gvenlik nlemlerinin krlmas

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


G venlik a klar

zinsiz Eriim

Zarar Verme

Donanm

Yazlm

Veri

retim

Deiiklik

Gvenlik Aklar

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


G venlik a klar donan m

Gvenlik Aklar (Donanm)

  • Kastsz Zarar

    • Yiyecek-iecek

    • Hayvanlar

    • Toz

    • Yldrm

    • Kaba kullanm

  • Kastl Zarar

    • Hrszlk

    • Fiziksel zararlar (krma, bozma, paralama)

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


G venlik a klar yaz l m

Gvenlik Aklar (Yazlm)

  • Silinme

    • Kastsz

    • Kastl

  • Deitirilme

    • Truva Atlar

    • Virsler

    • Arka kaplar

    • Bilgi szdrma

  • Hrszlk

    • Lisanssz kullanm

    • zinsiz kopyalama

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


G venlik a klar veri

Gvenlik Aklar (Veri)

  • Gizliliin ihlali

    • Dinleme (dinleyiciler, alclar, sniffer)

    • Bilgi szdrma (insanlar yoluyla)

  • Engelleme

    • Silme

    • Ulalamaz, ya da kullanlamaz hale getirme

  • Btnln bozulmas

    • Veri deiiklii

    • Sahte veri

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


Gerekti i kadar koruma prensibi

Gerektii Kadar Koruma Prensibi

  • Deerli eyler (yazlm, donanm, veri) sadece deerleri geerli olduu srece korunmal.

  • Korumak iin harcanan sre, aba ve para, korunan eyin deeriyle orantl olmal.

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


Sald rgan gruplar

Saldrgan Gruplar

  • Amatrler

    • Kiiler: Olaan bilgisayar kullanclar

    • Saldr ekli: ounlukla bir a farketme ve yararlanma eklinde

  • Krclar (Crackers)

    • Kiiler:Lise veya niversite rencileri

    • Saldr ekli:Sadece yapm olmak iin, veya yaplabildiini grme/gsterme iin, ak bulmaya alma eklinde

  • Profesyonel Sulular

    • Kiiler:Para karl bilgisayar sular ileyenler

    • Saldr ekli:Saldrnn hedefleri nceden belirli, planl ve organize ekilde

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


Bilgi g venli i y netim sistemi bgys nedir

Bilgi Gvenlii Ynetim Sistemi (BGYS) Nedir?

  • Olas risklerin ve tehditlerin belirlenmesi,

  • gvenlik politikalarnn oluturulmas, denetimlerin ve uygulamalarn kontrol,

  • uygun yntemlerin gelitirilmesi,

  • rgtsel yaplar kurulmas ve yazlm/donanm fonksiyonlarnn salanmas gibi bir dizi denetim eyleminin birbirini tamamlayacak ekilde gerekletirilmesidir.

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


Risk analizi ve y netimi

Risk Analizi ve Ynetimi

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


G venlik risk analizi

Gvenlik Risk Analizi

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


Risk y netimi

Risk Ynetimi

  • Risk altndaki bilginin deeri

  • Risk alma potansiyeli

  • Korunmas gereken deerlerin ve alnabilecek risklerin belirlenmesi

Gvenlik, maliyet ve retkenlik arasnda bir dengedir.

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


Bilgi bili im g venli i nas l sa lan r

Ynetsel nlemler

Teknoloji Uygulamalar

Eitim ve Farkndalk Yaratma

Bilgi-Biliim Gvenlii Nasl Salanr?

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


Bilgi g venli inin sa lanabilmesi i in a a daki ko ullar n sa lanmas beklenir

Bilgi gvenliinin salanabilmesi iin aadaki koullarn salanmas beklenir:

  • Gizlilik (confidentiality)

    • nemli ve hassas bilgilerin istenmeyen biimde yetkisiz kiilerin eline gemesinin nlenmesi ve sadece eriim yetkisi verilmi kiilerce eriilebilir olduu garanti altna alnmasdr.

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


Bilgi g venli inin sa lanabilmesi i in a a daki ko ullar n sa lanmas beklenir1

Bilgi gvenliinin salanabilmesi iin aadaki koullarn salanmas beklenir:

  • Btnlk (integrity)

    • Bilginin yetkili kiiler dnda deitirilmesinin ve silinmesinin nlenmesidir.

  • Sreklilik (availability)

    • Bilgi veya bilgi sistemlerinin srekli kullanma hazr ve kesintisiz alr durumda olmasdr.

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


Bilgi g venli i sa lama ara lar

Bilgi Gvenlii Salama Aralar

  • Fiziksel Gvenlik:

    • Fiziksel nlemlerle (gvenli ortam vb) gvenliinin salanmas.

  • Kullanc Dorulamas Yntemleri:

    • Akll kart, tek kullanml parola, token ve Public Key Certificate gibi aralar ve RADIUS gibi merkezi kullanc dorulama sunucularnn kullanlmas.

  • ifreleme:

    • Gvensiz alar zerinden geen verilerin gvenlii iin Virtual Private Network veya ifreleme yapan donanmlarn kullanlmas. Ayrca web tabanl gvenli veri transferi iin SSL ve Public Key ifrelemenin kullanlmas. Donanm tabanl ifreleme zmleri de mmkndr.

  • E-imza

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


G venlik prensipleri

Gvenlik Prensipleri

  • Gizlilik(Confidentiality):

    • Depolanan ve tanan bilgilere yetkisiz eriimlerin engellenmesi

    • Gizli bilgilerin korunmas ve mahremiyetinin salanmas

  • Gncellik ve Btnlk (Accuracy & Integrity)

    • Kullanclara bilgilerin en gncel halinin sunulmas

    • Yetkisiz deiikliin ve bozulmann engellenmesi

  • Sreklilik(Availability)

    • Sistemin kesintisiz hizmet vermesi

    • Performansn sreklilii

  • zlenebilirlik ya da Kayt Tutma(Accountability)

    • Kullancnn parolasn yazarak sisteme girmesi

    • Web sayfasna balanmak

    • E-posta almak-gndermek

    • Icq ile mesaj yollamak

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


G venlik prensipleri devam

Gvenlik Prensipleri (Devam)

  • Kimlik Snamas(Authentication)

    • Alc-gnderici dorulamas

    • Parola dorulamas

    • Akll kart, biyometri dorulamas

  • Gvenilirlik(Reliability-Consistency)

    • Sistemden bekleneni eksiksiz ve fazlasz vermesi

    • %100 Tutarllk

  • nkr Edememe(Nonrepudiation)

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


Y netsel nlemler 1

Ynetsel nlemler-1

  • Gvenlik Politikalar

    • Kurumsal Gvenlik Politikas

    • Konuya zel Gvenlik Politikas

    • Sisteme zel Gvenlik Politikas

  • Standartlar ve Prosedrler

    • Konfigrasyon Ynetim Prosedr

    • Yedekleme ve Yedekleme Ortamlarn Saklama Prosedr

    • Olay Mdahale Prosedr

    • Sreklilii ve Felaket Kurtarma Prosedr

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


G venlik politikas

Gvenlik Politikas

  • Gvenlik politikas, uygulanacak gvenliin ne yapmas gerektiini tanmlayan yazl bir belgedir.

  • Ayn zamanda, kurumsal kaynaklara eriim yetkisi olan kurum alanlarnn uymalar gereken kurallar ieren resmi bir rapor nitelii tar ve kurumun st dzey ynetimi tarafndan desteklenmelidir.

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


G venlik politikas 2

Gvenlik Politikas/2

  • Gvenlik politikas uygulanabilir, kullanlabilir, karlanabilir ve kolay ynetilebilir olmal ve kurumun i ihtiyalar ve i hedefleri dorultusunda belirlenmelidir.

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


G venlik b t esi

Gvenlik Btesi

  • Gvenlik btesi oluturulmadan nce bir risk analizi yaplmaldr.

  • Risk analizi ile kurumun sahip olduu deerler, bu deerlere kar potansiyel tehditler, tehdidin sonu vermesini salayan zayflklar ve tehdit olutuunda kurumun verecei kayplar tespit edilmeli, risk analizi sonucunda bir maliyet analizi yaplarak, tm gvenlik harcamalarnn ncelikleri doru olarak belirlenmeli ve bu harcamalarn korunacak sistemlerin deerinden ve onarm maliyetinden yksek olmamasna dikkat edilmelidir.

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


G venlik politikas d ng s

Gvenlik Politikas Dngs

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


Y netsel nlemler 2 devam

Ynetsel nlemler-2 (Devam)

  • Gvenlik Yaam Dngs

    • Sistem Glendirme

    • Hazrlk

    • Saldr / Sorun Tespiti

    • Tespit edilen olaya zg nlemlerin alnmas / kurtarma

    • yiletirme, tespit edilen olayn tekrarn nleyecek nlemler

  • Minimalist Yaklam

    • Kimseye gerektiinden fazla eriim hakk tanmama

    • Kimseye gerektiinden fazla bilgi vermeme

    • Gerekmeyen hi bir yazlm yklememe

    • Gerekmeyen hi bir hizmeti sunmama

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


Teknoloji uygulamalar

Teknoloji Uygulamalar

  • Kriptografi

  • Saysal mza ve PKI

  • A Blmlendirmesi ve Gvenlik Duvarlar

  • Yedekleme

  • Saldr Tespiti

  • Eriim Denetimi

  • Anti-Virs Sistemleri

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


Kriptografi

Kriptografi

  • Simetrik Algoritmalar

  • Asimetrik Algoritmalar

  • zetleme Fonksiyonlar

Temel Kriptografi Mekanizmas

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


Say sal mza ve pki

Saysal mza ve PKI

  • Saysal sertifikalar

  • Sertifikasyon Otoriteleri

Bir Mesajn Saysal mzasnn Oluturulmas

Prof. Dr. Trksel KAYA BENSGHIR-TODAE


G venlik duvarlar firewall

Gvenlik Duvarlar (Firewall)

  • Kaynak IP adresi

  • Kaynak hizmet noktas (port)

  • Hedef IP adresi

  • Hedef hizmet noktas

  • Balant tipi (TCP, UDP, ICMP, vb.)

  • Tanml olmayanlara izin verilmesi

    XTanml olmayanlara izin verilmemesi

  • Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    Sald r tespiti ids

    Saldr Tespiti (IDS)

    • Saldr tespit Sistemleri bilgisayarlarn ve bilgisayar alarnn faaliyetlerini izlemek, kaydetmek ve olas saldrlar tespit etmek amal olarak tasarlanan sistemlerdir.

    • Firewall girite kimlik kart kontrol yapan bir kapya benzetirsek, saldr tespit sistemleri ieriyi gzetleyen gvenlik kameralar gibi alrlar.

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    Yedekleme

    Yedekleme

    • Verilerin Yedeklenmesi

    • letiim Hatlarnn Yedeklenmesi

    • G Kaynann Yedeklenmesi

    • Cihazlarn Yedeklenmesi

    • Fiziksel Ortamn Yedeklenmesi

    Bir sistemin dzenli olarak yedeini almak ok zor itir;

    Bu nedenle Kritiklilik/Gereklilik analizi ok iyi yaplmaldr.

    GVENLK-MALYET

    ANALZ

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    Eri im denetimi

    Eriim Denetimi

    Eriim Denetimi, Kaynaklara kimin nasl eritiini kontrol etmektir. (Access Control)

    Eriim denetimi aamal olarak gerekletirilir:

    • Tanmlama (Identification)

      • Kullanc Ad

      • Kullanc Grubu

    • Kimlik Snama (Authentication)

      • Parola passwordtester

      • Akll Kart,

      • Biyometrik aret v.b.

    • Yetkilendirme (Authorization)

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    Anti vir s sistemleri

    Anti-Virs Sistemleri

    • Bilgisayar virsleri, Kt amal program kodu olarak tanmlanabilir.

    • Anti-virs yazlmlar, bilinen virsleri tanyabilen ve temizleyebilen programlardr.

    • E-posta yoluyla virsler, gerek hayattaki virslerden farksz bir hzla yaylmaktadrlar.

      Virs-Solucan(Worm)- Truva At(Trojan Horse)

      Nasl Korunurum?

    • Anti-virs yazlmnn her zaman gncel tutulmas

    • Kullanlan yazlm yamalarnn gncel tutulmas

    • Yabanc birinden gelen bir e-posta ekini almamas

    • Bilinen birinden gelse bile, ne olduunu bilmedike bir e-posta ekteki dosyann almamas

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    E itim ve fark ndal k yaratma

    Eitim ve Farkndalk Yaratma

    • Farkl Grup in Eitim;

      • Yneticiler,

      • Orta Kademe Yneticiler,

      • Ve Teknik Grup

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    Bu y ntemler yeterli mi

    Bu yntemler yeterli mi?

    • Ancak bu tr nlemlerin alnmas tek bana yeterli deildir.

    • Bilgi gvenlii bilgi ynetimi iinde bir sre olarak grlmelidir.

    • Her kurum bir gvenlik politikas oluturmal, bunu yazl olarak raporlayarak, alanlarna, paydalarna aktarmaldr.

    • BIT Standartlar benimsenmeli ve uygulanmaldr.

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    B t standartlar

    BT Standartlar

    • Yazlm Paketleri rn Belgelendirmesi (TS 12119),

    • Yazlm Sre Ynetimi Belgelendirmesi (TS 15504),

    • Bilgi Gvenlii Ynetim Sistemi Belgelendirmesi (TS ISO /IEC 27001)

    • Ortak Kriterlerler (TS ISO/IEC 15408) Belgelendirmesi

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    Ts iso iec 27001 nin kapsam ve hedefleri

    TS ISO IEC 27001 nin kapsam ve hedefleri

    • Kuruluun tm i riskleri kapsamnda yazl bir BGYSin oluturulmas, gerekletirilmesi, iletilmesi, izlenmesi, gzden geirilmesi, srdrlmesi ve gelitirilmesi iin gereksinimleri belirtir.

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    27001 bgy s recinde ana kontrol alanlar

    27001 BGY Srecinde Ana Kontrol Alanlar

    • Bilgi gvenlii politikas

    • BG organizasyonu

    • Varlk ynetimi

    • Personel gvenlii

    • Fiziksel evre gvenlii

    • letiim ve iletim ynetimi

    • Eriim kontrol

    • hlal olaylar ynetme

    • sreklilii

    • Uyum

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    Bilgi g venli i politikas

    Bilgi gvenlii politikas

    • Bir bilgi gvenlii politika dokman, ynetim tarafndan onaylanmal, yaynlanmal ve tm alanlar ve ilgili taraflara bildirilmelidir.

    • Bilgi gvenlii politikas, belirli aralklarla veya nemli deiiklikler ortaya ktnda srekli uygunluunu, doruluunu ve etkinliini salamak iin gzden geirilmelidir.

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    Varl k y netimi

    Varlk Ynetimi

    • Kurumun varlklarnn tm aka tanmlanmal ve nemli varlklarn bir envanteri hazrlanmal ve tutulmaldr.

    • Bilgi ileme olanaklar ile ilikili tm bilgi ve varlklar atanan bir blm tarafndan sahiplenilmelidir.

    • Bilgi, deeri, yasal gereksinimleri, hassasl ve kurulu iin kritikliine gre snflandrlmaldr.

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    Nsan kaynaklar g venli i

    nsan Kaynaklar Gvenlii

    • alanlar, ykleniciler ve nc taraf kullanclarn gvenlik rolleri ve sorumluluklar kuruluun bilgi gvenlii politikasna uygun olarak tanmlanmal ve dokmante edilmelidir.

    • Tm ie alnacak adaylar, ykleniciler ve nc taraf kullanclar ilgili yasa, dzenleme ve etik ilkelere gre almalar iin uygun dorulama kontrolleri gerekletirilmelidir.

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    Fiziksel ve evresel g venlik

    Fiziksel ve evresel Gvenlik

    • Bilgi ve bilgi ileme olanaklarn ieren alanlar korumak iin gvenlik nlemleri (duvarlar gibi engeller, kart kontroll giri kaplar, grevli bulunan resepsiyon masalar) alnmaldr.

    • Veri tayan ya da bilgi hizmetlerini destekleyen iletiim ortamlar ve aralar, kesilme ya da hasarlardan korunmaldr.

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    Leti im ve letim y netimi

    letiim ve letim Ynetimi

    • letim prosedrleri dokmante edilmeli, srdrlmeli ve ihtiyac olan tm kullanclarn kullanmna sunulmaldr.

    • Bilgi ve yazlmlara ait yedekleme kopyalar alnmal ve yedekleme politikasna uygun ekilde dzenli olarak test edilmelidir.

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    Eri im kontrol

    Eriim Kontrol

    • Eriim iin i ve gvenlik gereksinimlerini temel alan bir eriim kontrol politikas kurulmal, dokmante edilmeli ve gzden geirilmelidir.

    • Kullanclardan, parolalarn seiminde ve kullanmnda gvenlik uygulamalarn izlemeleri istenmelidir.

    • Alarda, bilgi hizmetleri, kullanclar ve bilgi sistemleri gruplar ayrlmaldr.

    • Etkin olmayan oturumlar tanmlanm belirli bir hareketsizlik sresinden sonra kapatlmaldr.

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    Bilgi sistemleri edinim geli tirme ve bak m

    Bilgi Sistemleri Edinim, Gelitirme ve Bakm

    • Uygulama sistem yazlm gvenliini salamak iin gerekli kontrol prosedrleri belirlenmeli ve uygulanmaldr.

    • Outsorce edilen yazlmlar kurulu tarafndan denetlenmeli ve izlenmelidir.

    • Kullanlan bilgi sisteminin teknik aklklar hakknda zamannda bilgi elde edilmeli, kuruluun bu tr aklklara maruz kalmas deerlendirilmeli ve riskleri hedef alan uygun nlemler alnmaldr.

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    Bilgi g venli i hlal olay y netimi

    Bilgi Gvenlii hlal Olay Ynetimi

    • Bilgi gvenlii olaylar uygun ynetim kanallar araclyla mmkn olduu kadar hzl biimde rapor edilmelidir.

    • Bilgi sistemleri ve hizmetlerinin tm alanlar, yklenicileri ve nc taraf kullanclarndan, sistemler ve hizmetlerdeki gzlenen veya phelenilen herhangi bir gvenlik zayfln dikkat etmeleri ve rapor etmeleri istenmelidir.

    • Bilgi gvenlii ihlal olaylarnn trleri, miktarlar ve maliyetlerinin llp izlenebilmesini salayan mekanizmalar bulunmaldr.

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    S reklili i y netimi

    Sreklilii Ynetimi

    • Kurulu genelinde i srekliliini salamak bir proses tanmlanmaldr.

    • sreklilii planlarnn, gncel ve etkili olmalarn salamak iin, dzenli olarak test edilmeli ve gncelletirilmelidir.

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    Kurumsal bilgi g venli i y netim s reci

    Uyum

    • lgili tm yasal dzenleme ve szlemeden doan gereksinimler tanmlanmal, dokmante edilmeli ve gncel tutulmaldr.

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    Bgys nin sa layaca faydalar

    BGYSnin salayaca faydalar

    • Tehdit ve risklerin belirlenerek etkin bir risk ynetiminin salanmas

    • Kurumsal saygnln korunmas ve art

    • srekliliinin salanmas

    • Bilgi kaynaklarna eriimin denetlenmesi

    • Personelin ilgili tm taraflarn gvenlik konusunda farkndalk dzeyinin ykseltilmesi ve nemli gvenlik konularnda bilgilendirilmesi

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    Kurumsal bilgi g venli i y netim s reci

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    Bgys nin sa layaca faydalar 2

    BGYSnin salayaca faydalar-2

    • Bilgi varlklarnn btnlnn ve doruluunun salanmas

    • Personelin grevlerini yerine getirirken, bilgi sistemleri kaynaklarn kt amal olarak kullanma ve/veya kaynaklar suistimal etmelerinin engellenmesi

    • Bilgi varlklarnn gizliliinin korunmas

    • Personelin, bakalar tarafndan yaplabilecek olan suistimal ve tacizlere kar zan altnda kalmasnn engellenmesi

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    Kurumsal bilgi g venli i y netim s reci

    Sonu

    • Kesin (% 100) gvenlik ulalabilir deildir!

    • Kurumsal bilgi gvenlii bir kez gerekletirilen bir alma olarak deil, bir sre olarak ele alnmal ve oluturulan kurumsal gvenlilik politikalarna uygunluk srekli denetim altnda tutulmaldr.

    • Bilgi ve Sistem Gvenliine sosyo-teknik sistemle -btncl-yaklamak gerekir.

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    Ulusal b lg s stemler g venl k programi

    ULUSALBLGSSTEMLER GVENLK PROGRAMI

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    Bt stratejisi 88 numaral madde ulusal bilgi sistemleri g venlik program

    BT Stratejisi: 88 numaralmadde:Ulusal Bilgi Sistemleri Gvenlik Program

    • lkemizin bilgisayar olaylarna acil mdahale koordinasyon merkezini kurmak hedeflenmektedir.

    • Sorumlu ve lgili Kurulular:

      • TBTAK-UEKAE (S)

      • Kamu Kurum ve Kurulular()

      • niversiteler ()

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    Kamu kurum ve kurulu lar i in

    Kamu kurum ve kurulular iin:

    • 1. Minimum gvenlik gereksinimlerini belirlemek

    • 2.Bilgi sistem gvenlii ile ilgili tehditleri tespit etmek

    • 3. Bilgi sistem gvenlii eksiklikler konusunda nerilerde bulunmak

    • 4.Bilgi sistem gvenlii ile ilgili acil uyarlar yapmak

    • 5.Bilgi gvenlii ynetim sistemi konusunda pilot kurumlara danmanlk vermek

    • 6.Bilgi sistem gvenlii ile ilgili eitimler vermek

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    Kurumlararas li kiler

    Kurumlararas likiler

    • Korunmak iin ibirlii

    • Dier kurumlarlakoordinasyon

    • Gven ilikisi oluturma

    • Ulusal ve uluslararasOlay engelleme

    • Acil bilgi gvenlik ikazlar oluturma ve paylama

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    Kaynak http www bilgiguvenligi gov tr index php option com content task view id 252 itemid 6

    Kaynak: http://www.bilgiguvenligi.gov.tr/index.php?option=com_content&task=view&id=252&Itemid=6

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    Kaynak http www bilgiguvenligi gov tr index php option com content task view id 252 itemid 61

    Kaynak: http://www.bilgiguvenligi.gov.tr/index.php?option=com_content&task=view&id=252&Itemid=6

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    Lkemizde ger ekle tirilen siber g venlik tatbikatlar

    lkemizde Gerekletirilen Siber Gvenlik Tatbikatlar

    • 1. BOME 2008 Tatbikat

      • 8 Kamu kuruluun katld tatbikata TBTAK BLGEM bnyesinde faaliyet gsteren Trkiye Bilgisayar Olaylar Mdahale Ekibi (TR-BOME) tarafndan gerekletirilmitir.

    • 2. Tatbikat- 2011 (25-28 Ocak)

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    2 tatbikat 2011 25 28 ocak

    2. Tatbikat- 2011 (25-28 Ocak)

    • Tatbikat amac, katlmc kurumlarn siber saldrlar karsndaki teknik kabiliyetleri ve saldrlardan korunma konusunda almalar gereken teknik nlemler kadar siber saldr durumunda kurum ii ve kurumlar aras koordinasyon ve iletiim yeteneklerinin llmesi hedeflenmitir.

    • Ulusal Siber Gvenlik Tatbikat 2011e; enerji, finans, telekom, savunma, salk ve sosyal gvenlik gibi kritik bilgi-sistem altyaplarn oluturan 41 kamu ve zel sektr kurum/kuruluu katlmtr.

    • Tatbikat verileriyle, siber olaylarla mcadelede lkemizin teknik, idari ve hukuki kabiliyetlerinin artrlmas iin neriler gelitirilmesi hedeflenmitir.

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    2 tatbikat 25 28 ocak 2011

    2. Tatbikat (25-28 Ocak 2011)

    • Gerek saldrlar kapsamnda;

      • port taramas,

      • datk servis d brakma saldrs,

      • web sayfas gvenlik denetimi ve

      • kayt dosyas analizi yaplmtr.

        Yazl senaryolarda ise;

      • elektrik kesintisi,

      • kurumiinden veri szdrlmas,

      • web sayfasnn ele geirilmesi,

      • sosyal mhendislik saldrlar gibi olas saldr senaryolar karsnda kurumlarn verdikleri tepkiler yazl olarak deerlendirilmitir.

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    2 tatbikat 25 28 ocak 20111

    2. Tatbikat (25-28 Ocak 2011)

    • Etkinliin iki gnlk ksmnda gerek saldrlar uygulanm;

    • son iki gnlk ksmnda ise yazl ortamda olas saldr senaryolar deerlendirilerek teknik, idari ve hukuki sreler ele alnd.

    • Tatbikatta; 83 gerek saldr, 450nin zerinde yazl senaryo deerlendirilmitir.

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    Tatbikat n sonunda d zenleyici kurumlar n ba kanlar u a klamada bulundular

    Tatbikatn sonunda dzenleyici kurumlarn bakanlar u aklamada bulundular:

    • Tatbikatta Trkiye kazand.

    • Tatbikatta kurulular baznda neler olduu/yapld/karlald gibi bilgiler herhangi bir ekilde paylalmayacak.

    • Bu Tatbikat amacna ulat ve tm katlmc kurulular baarl bir ekilde tamamladlar. Kendilerini deerlendirdiler.

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    Kurumsal bilgi g venli i y netim s reci

    • ilk iki gnlk ksmnda gerek saldrlar uygulanrken, son iki gnlk ksmnda ise yazl ortamda olas saldr senaryolar deerlendirilerek teknik, idari ve hukuki sreler ele alnd. Tatbikatta; 83 gerek saldr, 450nin zerinde yazl senaryo deerlendirilmitir.

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    Kamu kurumlar nda yap lan g venlik testlerinden se ilen baz a kl klar

    Kamu kurumlarnda yaplan gvenlik testlerinden seilen baz aklklar;

    • Gvenlik Yama ve Servis Paket Eksiklii

    • Yetkili/Ynetici Hesaplarnn Yetersiz Korunmas ve Ynetilmesi

    • Gereksiz Servislerin almas

    • DOS Saldrlarna Kar Korunmasz Olmas

    • Gereksiz Programlarn Bulunmas

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    Kurumsal bilgi g venli i y netim s reci

    Gvenlik testlerinden seilen baz aklklar KAYNAK: www.tubitak.gov.tr/tubitak_content.../Korkmaz_Bulut_Bilisim.ppt

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    Kurumsal bilgi g venli i y netim s reci

    Teekkr ederim...

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    The 2005 global security survey

    The 2005 Global Security Survey

    Global Financial Services Industry Deloitte Touche Tohmatsu

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    K resel g venlik ara t rmas 2005 the 2005 global security survey

    Kresel Gvenlik Aratrmas 2005-The 2005 Global Security Survey

    • 180 Finans kuruluunun (banka, sigorta ve gvenlik irketleri) gvenlik ve gizlilik konusunda yaklamlarn ortaya koymak zere aratrma yaplmtr.

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    Profil

    Profil

    • 120 kuruluun 26 s ilk byk 500 kurulu arasnda yer almaktadr. 28 banka ise 2003 itibaryla sermaye bykl asnda ilk sralarda yer almaktadr.

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    Ciso bilgi g venlik y neticisi kime rapor sunmaktad r resmi bir bilgi g venlik stratejileri var m

    CISO-bilgi Gvenlik yneticisi kime rapor sunmaktadr?Resmi bir Bilgi Gvenlik Stratejileri var m?

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    G venlik riskleri

    Gvenlik Riskleri

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    G venlik b t esi1

    Gvenlik Btesi

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    Y netim bilgi g venli ini nas l alg l yor

    Ynetim Bilgi Gvenliini Nasl Alglyor?

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    Siber sald r lardan korunma

    Siber Saldrlardan Korunma

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


    Kar la lan tehditler

    Karlalan Tehditler

    Prof. Dr. Trksel KAYA BENSGHIR-TODAE


  • Login