1 / 19

HAZİNE MÜSTEŞARLIĞI BİLGİ GÜVENLİĞİ YOL HARİTASI

HAZİNE MÜSTEŞARLIĞI BİLGİ GÜVENLİĞİ YOL HARİTASI. BİLİŞİM TEKNOLOJİLERİ DAİRESİ Fatih ÇAKMAKCI . Sunum Planı. 1. Hazine Müsteşarlığı Bilgi Güvenliği Bileşenleri Teknolojik Güvenlik Çalışmaları Kavramsal Güvenlik Çalışmaları 2. Güvenlik – Kullanılabilirlik  Ölçüyü Tutturmak

kemp
Download Presentation

HAZİNE MÜSTEŞARLIĞI BİLGİ GÜVENLİĞİ YOL HARİTASI

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. HAZİNE MÜSTEŞARLIĞI BİLGİ GÜVENLİĞİ YOL HARİTASI BİLİŞİM TEKNOLOJİLERİ DAİRESİ Fatih ÇAKMAKCI

  2. Sunum Planı • 1. Hazine Müsteşarlığı Bilgi Güvenliği Bileşenleri • Teknolojik Güvenlik Çalışmaları • Kavramsal Güvenlik Çalışmaları • 2. Güvenlik – Kullanılabilirlik  Ölçüyü Tutturmak • Kullanılabilirlik – Güvenlik dengesi • Kullanım bilgileri • 3. BGYS - Bilgi Güvenliği Yönetim Sistemi • Tanımlar • Risk Yönetimi • 4. Olağanüstü Durumlarda Etki Derecesi Yüksek Riskler • Kavramsal Riskler • Teknolojik Riskler • 5. Öneriler – Sıkça Sorulmayan Sorular Hazine Müsteşarlığı - Bilgi Güvenliği Yol Haritası - Bilişim Teknolojileri Dairesi

  3. Soru • Standartlardan önce bilgi güvenliği yok muydu? Hazine Müsteşarlığı - Bilgi Güvenliği Yol Haritası - Bilişim Teknolojileri Dairesi

  4. Hazine Müsteşarlığı Bilgi Güvenliği Bileşenleri (1) • 1996 - 2000 • UTP-CAT5e kablolama • Güvenlik Duvarları, AntiVirüs sistemleri • “RADIUS ve Mobile-OTP-token” kartlar ile dosya transferi • “NT” etki alanı yapısı; Merkezi kimlik doğrulama, • Yedekli ağ omurgası ve yenilenmiş ağ donanımı • 2001 - 2004 • Kullanıcı Aktif Dizin veritabanı • Güvenli masaüstü ve “WAN-VPN” erişimleri • Terminal sunucu (ICA/RDP) ve ince istemciler • Sanal uygulama yayımı (ICA_AP) • Saldırı tespit sistemi (IDS) • Sayıştay’ın bilgi sistemleri denetimi (2003) • Etki alanı içinde kök sertifika sunucusu ve güçlendirilmiş kimlik doğrulama için “e-token” sayısal sertifika • TUBİTAK-UEKAE Bilgi Güvenliği Değerlendirmesi (2004) Hazine Müsteşarlığı - Bilgi Güvenliği Yol Haritası - Bilişim Teknolojileri Dairesi

  5. Hazine Müsteşarlığı Bilgi Güvenliği Bileşenleri (2) • 2005 - 2010 • Bilgi Güvenliği Politikası (BGP) hazırlıkları • Bilgi Güvenliği Yönetim Komitesi’nin (BGYK) kurulması (2007) • Bilgi Güvenliği Politikasının Yayınlanması (2008) • BGP’nın tüm personelce imzalanarak teslim alınması (2009) • Avrupa Birliği Denetçileri, İç Denetçiler • Olağanüstü Durum Yönetim Merkezi’nde anında yedekleme • İklimlendirme ve KGK altyapısının yenilenmesi/yedeklenmesi • Erişim katmanındaki ağ donanımlarının 802.1x standardına uyumlu olarak yenilenmesi • STS den saldırı korunma sistemlerine geçiş • Müsteşarlığımız 2009-2013 stratejik planında (Hedef 5.4) BGYS, ITIL sertifikasyonu ve CMMI kullanımının yer alması. Hazine Müsteşarlığı - Bilgi Güvenliği Yol Haritası - Bilişim Teknolojileri Dairesi

  6. Hazine Müsteşarlığı Bilgi Güvenliği Bileşenleri (3) BİLİŞİM TEKNOLOJİLERİ GÜVENLİĞİ - Aktif Dizin Kullanıcı Veritabanı - Etki Alanı Kök Sertifika Sunucusu - eAnahtar ve Sayısal Sertifika - İki fazlı Kimlik Doğrulaması - Kayıt/Kontrol Yönetimi - Grup Poliçeleri, tarih/saat değişmezliği - ODYM ile anında yedekleme, Sanallaştırma - Ağ/Sistem Erişim Kontrolleri - Mobil imza, Güvenli Veri Transferi - Güvenlik Duvarları, Güvenli Uzak Erişim - Merkezi AntiVirüs, AntiSpam ... - İçerik Denetimi ve Filtreleme - Saldırı Tespit/Korunma Sis. KAVRAMSAL BİLGİ GÜVENLİĞİ - Bilgi Güvenliği Yönetim Sistemi - BGYK kuruluşu - BGP’nın yayınlanması - Farkındalık eğitimleri ve BGYUK - …. - …. - …. Hazine Müsteşarlığı - Bilgi Güvenliği Yol Haritası - Bilişim Teknolojileri Dairesi

  7. Soru • Önemli yatırımlar yapılan bilgi güvenliği ve internet teknolojileri verimli kullanılıyor mu? Hazine Müsteşarlığı - Bilgi Güvenliği Yol Haritası - Bilişim Teknolojileri Dairesi

  8. GÜVENLİK - KULLANILABİLİRLİK  ÖLÇÜ Hazine Müsteşarlığı - Bilgi Güvenliği Yol Haritası - Bilişim Teknolojileri Dairesi

  9. GÜVENLİK - KULLANILABİLİRLİK  ÖLÇÜ Hazine Müsteşarlığı - Bilgi Güvenliği Yol Haritası - Bilişim Teknolojileri Dairesi

  10. Soru • Bilgi güvenliği ve kullanıcı MM bir arada olabilir mi? Hazine Müsteşarlığı - Bilgi Güvenliği Yol Haritası - Bilişim Teknolojileri Dairesi

  11. GÜVENLİK - KULLANILABİLİRLİK  ÖLÇÜYÜ TUTTURMAK MEMNUNİYET MAHREMİYET MALİYET KULLANABİLME KİMLİK DOĞRULAMA YETKİLENDİRME HESAP YÖNETİMİ KAYIT - KONTROL GİZLİLİK BÜTÜNLÜK Hazine Müsteşarlığı - Bilgi Güvenliği Yol Haritası - Bilişim Teknolojileri Dairesi

  12. BGYS - Bilgi Güvenliği Yönetim Sistemi - Tanımlar • Bilgi; Verilerin ilişkilendirilerek kullanışlı ve değerli hale gelmiş durumudur. Kurum kimliği ve sürekliliği için değeri olan ve bu nedenle uygun olarak korunması gereken bir varlıktır. • Bilgi Varlıkları; Kurumsal bilgiyi barındıran veya kullanılabilir (erişilebilir) kılan, insan/mekan, donanım/yazılım ve medya • Bilgi Güvenliği; Bilgi varlıkları üzerindeki açıklıkları kullanmaya yönelik çok geniş yelpazedeki tehditlere karşı bilgi varlıklarının korunması. Hazine Müsteşarlığı - Bilgi Güvenliği Yol Haritası - Bilişim Teknolojileri Dairesi

  13. BGYS - Bilgi Güvenliği Yönetim Sistemi • BGYS; Bilgi güvenliğini sağlamak için yapılan tüm faaliyetleri kontrol eden; geliştirici, iyileştirici ve yönlendirici iyi uygulamaların yaşam döngüsü (PUKÖ). • Risk  (Varlık, Açıklık, Tehdit) • Risk sıfırlanamaz • Bütün riskler göze alınamaz • RİSK YÖNETİMİ • Analiz: Varlık sınıflaması (gizlilik,bütünlük, kullanılabilirlik değeri), varlık envanteri, açıklıklar ve tehditler • Değerlendirme: Tehditlerin etki derecesi ve gerçekleşme olasılığı • Azaltma: Bilgi varlıklarının açıklarını kapatmak, tehditlere karşı önlemler almak, test edip sonuçları değerlendirmek  PUKÖ Hazine Müsteşarlığı - Bilgi Güvenliği Yol Haritası - Bilişim Teknolojileri Dairesi

  14. Soru • Kamu BİM de BGYS sertifikası alınabilir mi? Hazine Müsteşarlığı - Bilgi Güvenliği Yol Haritası - Bilişim Teknolojileri Dairesi

  15. Soru • Gerçekleşme olasılığının düşük olduğu varsayılan, ancak etki derecesi yüksek riskler, • göz ardı edilebilir mi? Hazine Müsteşarlığı - Bilgi Güvenliği Yol Haritası - Bilişim Teknolojileri Dairesi

  16. Olağanüstü Hallerde Etki Derecesi Yüksek Riskler • Kavramsal Riskler • BGYS için gereken kritik birimlerin ve organizasyonun kurulamaması • Bilgi İşlem Merkezlerinin, kurum organizasyondaki konumu • BİM personeli istihdam politikaları • Kullanıcılar ve alışkanlıkları • Teknolojik Riskler • Dışa bağımlı teknoloji kullanımı • Donanımlar ve işletim sistemlerindeki riskler • Sürekli değişen, gelişen ve artan tehditler/talepler Hazine Müsteşarlığı - Bilgi Güvenliği Yol Haritası - Bilişim Teknolojileri Dairesi

  17. Öneriler – Sorular • Öneriler • Kamu’da BİM personeli istihdam politikalarının ve Bilgi Teknolojileri Birimlerinin, uyulması beklenen uluslararası standartlara göre yeniden yapılandırılması • Yurtiçinde geliştirilen bilişim teknolojileri ürünlerinin güvenliğini yükseltecek kısa ve orta vadeli politikaların geliştirilmesi ve bu ürünlerin hayata geçmesi • Sıkça Sorulmayan Sorular • İşletim sistemleri beta halindeyken mi satılıyor? • Yeni sürüm kullanılması zorunlu mu? • Güvenlik donanımları/yazılımları güvenli mi? • Doğal felaketlere karşı alternatif(siz) miyiz? • Güvenlik sorunlarının kaynağı nedir? Hazine Müsteşarlığı - Bilgi Güvenliği Yol Haritası - Bilişim Teknolojileri Dairesi

  18. Dinlediğiniz için teşekkürler… Hazine Müsteşarlığı - Bilgi Güvenliği Yol Haritası - Bilişim Teknolojileri Dairesi

More Related