Kurumlarda Bilgi Güvenliği Politikaları

1. KurumlardaBilgi Güvenliği Politikaları Semih Pekol

2. Gündem • Güvenlik Problemi ve Çözüm Yaklaşımı • Politika Temel Taşları • Politika Geliştirilmesi • Politika Belgesi • Kurumlarda Uygulama

3. Güvenlik Problemi Bilgisayar Kötü Kullanımı Kullanım hataları Atıl kullanımlar Kötüye kullanımlar Bilgisayar suçları Çalışanların Sorumlu Olduğu Olaylar %70-80 Dış Saldırılar %20-30 Aksayan İşleyiş Yanlış Sonuçlar Maddi / Manevi Kayıplar

4. Çözüm Yaklaşımı Yetenek İstek Bilgi Birikimi Risk Analizi Politikalar Önlemler Alışkanlık

5. Yaklaşım Değişim Süreci Güvenlik Düzeyi Zaman Rekabette Avantaj Safhası Kültür Safhası Politika Safhası Polislik Safhası Güven Safhası

6. İzlenecek Yol Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar Öncelikli Riskler Risk Analizi

7. Değer Varlıklar Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar Öncelikli Riskler Donanım Yazılım Veri-Bilgi İnsan

8. Korunacak Nitelikler . Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar Öncelikli Riskler Gizlilik Doğruluk Bütünlük Özgünlük Kullanılabilirlik

9. Zayıflıklar Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar Öncelikli Riskler kırılgan

10. Zayıflıklar kırılgan Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar Öncelikli Riskler

11. Tehditler Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar Öncelikli Riskler • Okuma • Değiştirme • Ekleme • Tekrarlama • Kullanılamaz Kılma • Ortadan Kaldırma

12. Kazalar Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar Öncelikli Riskler Eyvah, ne yaptım ben!

13. İhmaller Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar Öncelikli Riskler Ben mi?

14. Saldırılar Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar Öncelikli Riskler Başardım!

15. Saldırılar Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar Öncelikli Riskler • Dinleme • Şifre Kırma • Trafik Bloklama / Tekrarlama • Hizmet Engelleme • Yetkisiz Erişim • Nüfuz Etme

16. Riskler Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar Öncelikli Riskler Risk = Tehdit * Oluşma Olasılığı * Zarar

17. Risk Yönetimi • Ne kadar risk ile yaşamaya razıyım? • Hiçbir risk tamamiyle yok edilemez • Sonuçları can yakıcı ise toleransınız düşük olur • Sonuçları ihmal edilebilir ise daha fazla risk alabilirsiniz

18. İzlenecek Yol Risk Analizi Hedefler / Kapsam Sorumluluklar / Cezalar Önlemler Politika Geliştirilmesi

19. İzlenecek Yol Risk Analizi Yönetsel Prosedürler Mekanizmalar Uygulatma Sorumluluğu Politika Geliştirilmesi Önlemlerin Uygulanması

20. Güvenlik PolitikasınınTemel Taşları Ne yapacağız?

21. Politika Temel Taşları • Tanım • Hedefler • Yapı • İçerik • Yaşam Döngüsü

22. Politika Tanımı “Bir kurumun değerli bilgilerinin yönetimini, korunmasını, dağıtımını ve önemli işlevlerinin korunmasını düzenleyen kurallar ve uygulamalar bütünüdür.” “Politikası olmayan kurum, nereye gideceğini bilmeyen insana benzer.” [Branstad, 1997]

23. Politika Hedefleri • Yönetimin perspektifini çalışanlara aktarmak • Yönetimin çalışanlara verdiği desteği göstermek • Etkinliklerin koordinasyonunu sağlamak • Etkinlikler arasında tutarlılık sağlamak • Disiplin suçları için temel oluşturmak • Davalara karşı önlem almak

24. Politika Özellikleri Yönergeler • Kanunların karşısında olmamalıdır, • Kurum özellikleri dikkate alınarak geliştirilmelidir, • İlişkilendirilip bir bütün haline getirilmelidir, • Zaman içinde değişiklik gerektirir, • Uygulatılabilirse başarılı olur.

25. Politika Yapısı Temel Politika Gereksinim Politikası Gereksinim Politikası Mekanizmalar Kurallar

26. Politika Yapısı KurumVizyonu KurumMisyonu XPolitikası Y Politikası Bilgi Güvenliği Politikası

27. Politika Yapısı Bilgi Güvenliği Politikası Bilgisayar Güvenliği Politikası Fiziksel Güvenlik Politikası Ağ Güvenliği Politikası Bilgisayar Kullanım Politikası

28. Yatırım • Güvenliği sağlamak için... yatırım gerekli • Ne kadar yatırım yaparsan... o kadar güvende olursun

29. Kazanç Eğrisi Kazanç Yatırım

30. Temel Politika İçeriği • Politika hedefleri • Politika gereksinimleri • Politika kapsamı • Kullanıcı sorumlulukları • Politika ihlali durumunda verilecek cezalar

31. Politika Hedefleri • Kurumumuz bilgi sistemi değer varlıklarınıbilgisayar saldırılarından korumak, • Bu tür saldırıların kurumumuza ve çalışanlarımıza verebileceği zararları asgariye indirmek ve • Anılan varlıkların anayasa, yasalar ve meslek ahlakı dahilinde kullanılmasını sağlamaktır.

32. Politika Gereksinimleri • Önlem, tespit, tepki ve güvence yaklaşımları güvenlik yönetim modeline uygun olmalıdır • İlgili politikalar kurum çalışmalarını asgari düzeyde etkilemelidir • Kurum yönetimi tarafından gerekli görülmeli ve gerekliliği çalışanlara anlatılmalıdır

33. Politika Gereksinimleri İlgili politikalara ait prosedür ve mekanizmalar • Diğerlerinden etkilenmemelidir • Değişiklere uyum gösterebilmelidir • Hata toleransına sahip olmalıdır • Farklı kaynaklardanbilgi toplayabilmelidir • Asgari insan etkileşimi ile çalışabilmelidir

34. Politika Kapsamı Örnek cümle: Kurumumuz bilgisayar sistemi kullanıcıları ile kurumumuz bilgisayar sistemini herhangi birşekilde kullanmak isteyenleri kapsar veanılan kişilerin bilgisayar sistemi ilgilidoğrudan ve dolaylı tüm etkinliklerini içerir.

35. Politika Sorumlulukları Kullanıcılar; • Bilgi Güvenliği Politikası'na uymakla yükümlüdür. • Sergiledikleri etkinliklerden ve sonuçlarından sorumludur. • Sorumluluklarının gereğini en hızlı ve en doğru şekilde yerine getirmelidir. • Politika ile ilgili varsayımlarda bulunmamalıdır.

36. Politika Sorumlulukları • Son Kullanıcı Sorumlulukları • Genel sorumluluklar • Gözlem ve müdahale sorumlulukları • Bildirim sorumlulukları • Yönetici Sorumlulukları • Uygulatma sorumlulukları • Eğitim sorumlulukları

37. Politika Cezaları • Kayıpların karşılanması • Uyarı cezası • Yetki azaltma • İşten çıkarma Dışarıdan bir saldırı söz konusu ise, konu toplanan kanıtlarla birlikte adli makamlara bildirilecektir

38. Politika Yaşam Döngüsü Politika Geliştirme Politika Yerleştirme Politika Uygulatma Politika Güncelleme Politika İzleme

39. Politika Geliştirilmesi Nasıl yapacağız bunu?

40. Politika Geliştirilmesi • Politika Geliştirme Ekibi • Politika Geliştirme Yöntemi • Politika Uygulama ve Uygulatma Yaklaşımı • Politika Güncelleme Süreci

41. Üst düzey yönetici Kurum avukatı Tipik bir kullanıcı Bilgisayar sistem yöneticisi Politikayı kaleme alacak bir yazar Politika Geliştirme Ekibi

42. Politika Geliştirme Yöntemi Başka kuruma ait politikalar aynen alınır Başka kuruma ait politikalar değiştirilerek alınır Politikalar sıfırdan başlayarak geliştirilir Taslak Politika Oluşturulur Sistem Yöneticisi,Kullanıcı,Yazar Önerilecek Politika Kararlaştırılır Proje Geliştirme Ekibi Önerilecek Politika Kesinleştirilir Bilgisayar Güvenliği Yöneticisi Politika Resmen Onaylanır En Yetkili Yönetici

43. Politika Hazırlanması Genel Hedefler BAŞLA Gerçekçi mi? Spesifik Hedefler Kabul edilebilir mi? Önlem Yaklaşımı Dökümantasyon BİTİR Hayır Hayır Evet Evet

44. Politika Uygulatma Yaklaşımı Bilgisayar güvenliğini tehdit edici davranışlar • Oluşmamasını sağlamak • Önlemek • Oluşur ise bunları belirlemek • Sorumluları yakalamak ve cezalandırmak

45. Önlem Yaklaşımı SAKINMA KORUNMA TESBİT KURTARMA

46. Politika Güncelleme Süreci Politika İzleme Kurum İçi Değişiklikler Kurum Dışı Değişiklikler Güvenliği Tehdit Eden Davranışlar Periyodik Gözden Geçirme

47. Politika Belgesi Amaç ve Kapsam Kurum ve Bilgisayar Sistemi Tanıtımı Risk Analizi Önlem Tasarımı Politika Uygulama, Uygulatma Planları Politika Güncelleme Koşulları İçerik Yazım Şekli

48. Politika Belgesi Kesin ve net ifadeler Kurum koşullarını dikkate alan ifadeler Detay içermeyen abstrakt ifadeler Yorumlamaya ilişkin açıklamalar Yorumlamaya ilişkin örnekler İçerik Yazım Şekli

49. Kuruluşlar • www. infosyssec.net • www. sans.org

50. Geliştirme Kuruluşlarında Uygulama Güvenlik politikasını nasıl yerleştirelim?