Sunum yükleniyor. Lütfen bekleyiniz

Sunum yükleniyor. Lütfen bekleyiniz

1 AKADEMİK BİLİŞİM 2010 Yazılım Geliştirme Süreçleri ve ISO 27001 Bilgi Güvenliği Yönetim Sistemi 1 Dr. İzzet Gökhan ÖZBİLGİN Bilişim Uzmanı Sermaye Piyasası.

Benzer bir sunumlar


... konulu sunumlar: "1 AKADEMİK BİLİŞİM 2010 Yazılım Geliştirme Süreçleri ve ISO 27001 Bilgi Güvenliği Yönetim Sistemi 1 Dr. İzzet Gökhan ÖZBİLGİN Bilişim Uzmanı Sermaye Piyasası."— Sunum transkripti:

1 1 AKADEMİK BİLİŞİM 2010 Yazılım Geliştirme Süreçleri ve ISO Bilgi Güvenliği Yönetim Sistemi 1 Dr. İzzet Gökhan ÖZBİLGİN Bilişim Uzmanı Sermaye Piyasası Kurulu Mustafa ÖZLÜ Bilgisayar Mühendisi Türk Patent Enstitüsü Yazarlar: Sunum: Mustafa ÖZLÜ

2 2 KONULAR Giriş Yazılım Geliştirme Süreçleri Güvenli Yazılım Geliştirme ISO Bilgi Güvenliği Yönetim Sistemi YGS ve ISO Kontrolleri Sonuç 2

3 3 GİRİŞ - Yazılım geliştirmeyi 5 aşamada ele almak mümkündür - Aşamalarda güvenlik konusu önemlidir - Genelde aşamalar bittikten sonra ele alınmaktadır - Bazen kısmen ya da tümüyle ihmal edilmektedir - Oysaki en baştan düşünülmüş olması ve yaşatılması gerekir - Uluslararası kabul görmüş ISO BGYS bilgi güvenliğini yönetmeyi sağlayan bir standarttır 3

4 4 GİRİŞ - Standart kamu ya da özel, tüm kuruluşlar için uygun - Etkili güvenlik yönetim sisteminin gerekliklilerini ortaya koyar - Yazılımda güvenlik unsurlarının yönetilmesi için rehber olabilecek standarttır - Risklerin standartla ilişkisini inceleyeceğiz - Yazılım geliştirme sürecinde ele alınması gereken standartta yer alan kontrolleri değerlendireceğiz 4

5 5 GİRİŞ - Yazılımda her gün yeni diller, modeller ve yaklaşımlar - Planlanan zamanın gerisinde kalma - Bütçeyi aşma - Düşük kalite - Sürekliliği sağlayamama - Güvenliği ve güvenirliliği sağlayamama - Kullanıcı taleplerini karşılayamama 5

6 6 GİRİŞ - Gartner araştırmasına göre bilişim güvenliği ihlallerinin yazılım güvenliği problemlerinden kaynaklananlarının oranı %80’dir - Genel olarak problemlerin çoğu, yazılım geliştirme sürecinin en başında gereksinim ve sistem analizlerinin doğru ve yeterli yapılmamasından kaynaklanmaktadır - Bu durum güvenlik riski oluşturmakta, bilgiye yönelik tehditlerin ortaya çıkmasına neden olmaktadır 6

7 7 GİRİŞ - Bilginin gizliliğini, bütünlüğünü ve erişilebilirliğini hedefleyen tehditlere karşı yazılımlarda bilgi güvenliğinin sağlanmış olması gerekir -Bilgi Güvenliği hedefleri - Tehditlerin farkında olmak - İşlerin devamlılığını sağlama - Kayıpları en aza indirme - Kuruluşların varlıklarının her koşulda gizliliği, erişebilirliği ve bütünlüğü koruma 7

8 8 GİRİŞ - Bilgi Güvenliği Yönetim Sistemi (BGYS) bu amaçları gerçekleştirmek için ortaya çıkan ve sürekli geliştirilen bir sistemdir - Yazılım geliştirme sürecinde BGYS sağlanmış olması; Yazılımdaki bilgilerin kullanıma hazır olması Sadece yetkisi olanların erişebilmesi Bilginin doğru ve güncel olması 8

9 9 KONULAR Giriş Yazılım Geliştirme Süreçleri Güvenli Yazılım Geliştirme ISO Bilgi Güvenliği Yönetim Sistemi YGS ve ISO Kontrolleri Sonuç 9

10 10 YAZILIM GELİŞTİRME SÜREÇLERİ YAZILIM Bir bilgisayarda donanıma hayat veren ve bilgi işlemde kullanılan programlar, yordamlar, programlama dilleri ve belgelemelerin tümüdür. 10

11 11 YAZILIM GELİŞTİRME SÜREÇLERİ YAZILIM GELİŞTİRME Yazılım kod yazmak, tasarım yapmak değildir Yazılımın hem üretim, hem de kullanım süreci boyunca geçirdiği tüm aşamalar olarak tanımlanabilir. 11

12 12 YAZILIM GELİŞTİRME SÜREÇLERİ YAZILIM GÜVENLİĞİ Geçmişte yazılım geliştirmede başvurulan iş akış şemaları gibi yöntemler özellikle güvenlik odaklı olmadıklarından günümüzde gereksinimleri karşılayamaz hale gelmiş ve etkinliklerini yitirmişlerdir. 12

13 13 YAZILIM GELİŞTİRME SÜREÇLERİ YAZILIM GÜVENLİĞİ Yazılımın her aşamasında güvenliğe ilişkin ortaya çıkabilecek problemleri gözeten etkin bir geliştirme süreci sonuç ürünün daha güvenilir olmasına önemli katkı sağlayacaktır. 13

14 14 YAZILIM GELİŞTİRME SÜREÇLERİ YAZILIM GELİŞTİRME AŞAMALARI Yazılım mühendisliğindeki diğer modellere temel teşkil eden “Çağlayan Modeli (Waterfall Model)” yazılım yaşam döngüsünü analiz, tasarım, kodlama, test ve bakım olmak üzere beş aşamada ele almaktadır. 14

15 15 YAZILIM GELİŞTİRME SÜREÇLERİ ANALİZ Bir problemin çözümü olarak nitelediğimiz yazılımların ne yapacağını ve nasıl yapacağını belirlediğimiz yani problemi tanımladığımız aşamadır TASARIM Analiz aşaması sonucunda belirlenen gereksinimlere yanıt verecek yazılımın temel yapısının oluşturulduğu aşamadır KODLAMA Kodlama aşaması, tasarım sürecinde ortaya konan veriler doğrultusunda yazılımın gerçekleştirilmesi aşamasıdır 15

16 16 YAZILIM GELİŞTİRME SÜREÇLERİ TEST Test aşaması, yazılım kodlanması sürecinin ardından gerçekleştirilen sınama ve doğrulama aşamasıdır. BAKIM Yazılımın tesliminden sonra hata giderme ve yeni eklentiler yapma aşamasıdır. 16

17 17 KONULAR Giriş Yazılım Geliştirme Süreçleri Güvenli Yazılım Geliştirme ISO Bilgi Güvenliği Yönetim Sistemi YGS ve ISO Kontrolleri Sonuç 17

18 18 GÜVENLİ YAZILIM GELİŞTİRME -Yazılımların yaygın olarak kullanılmaya başlandığı ilk yıllarda kaliteli ve olgun yazılım üretmek - Son yıllarda ise özellikle güvenli yazılım geliştirmek için çok sayıda model ve çerçeve üzerinde çalışılmıştır - Bu durumun en büyük tetikleyicisi son yıllarda güvenlik açıklıklarının artmasıdır 18

19 19 GÜVENLİ YAZILIM GELİŞTİRME Günümüzde başlıca güvenli yazılım geliştirme modelleri ; 1. Yetenek Olgunluk Modeli (CMM - Capability Maturity Model) 2. Tümleşik Yetenek Olgunluk Modeli (CMMI Capability Maturity Model Integration) 3.Federal Havacılık Yönetim Tümleşik Yetenek Olgunluk Modeli (FAA-iCMM Federal Aviation integrated Maturity Model) 4. Güvenli CMM/Güvenli Yazılım Metodolojisi (Trusted CMM/Trusted Software Methodology (T-CMM, TSM)) 5. Sistem Güvenlik Mühendisliği Yetenek Olgunluk Modeli (SSE-CMM - Systems Security Engineering Capability Maturity Model) 6. Microsoft Security Development Lifecycle (SDL) 7.OpenSAMM Modeli OWASP (Open Web Application Security Platform) 19

20 20 GÜVENLİ YAZILIM GELİŞTİRME Yazılım geliştirmede erken bir süreçte farkına varılan yazılım açıklıklarının düzeltilmesinin daha ileri süreçlerde farkına varılan açıklıklara göre daha az maliyetli olacağı yazılım endüstrisince yaygın olarak kabul edilen bir ilkedir. 20

21 21 GÜVENLİ YAZILIM GELİŞTİRME Güvenli yazılım geliştirme sürecinde ele alınması gereken temel olarak dokuz ana güvenlik konusu vardır; 1.Girdi Geçerleme (Input Validation) 2.Kimlik Doğrulama (Authentication) 3.Yetkilendirme (Authorization) 4.Konfigürasyon Yönetimi (Configuration Management) 5.Hassas Bilgi (Sensitive Information) 6.Kriptografi (Cryptograhy) 7.Parametre Manipülasyonu (Parameter Manipulations) 8.Hata Yönetimi (Exception Management) 9.Kayıt Tutma ve Denetim (Logging and Auditing) 21

22 22 KONULAR Giriş Yazılım Geliştirme Süreçleri Güvenli Yazılım Geliştirme ISO Bilgi Güvenliği Yönetim Sistemi YGS ve ISO Kontrolleri Sonuç 22

23 23 ISO BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ Bilgi Güvenliği Gereksinimi Bilgi sistemlerinin hayata geçmesiyle ortaya çıkan depolama ve işleme imkânlarının artması, izinsiz erişimler, bilginin yetkisiz imhası, yetkisiz değiştirilmesi veya yetkisiz görülmesi ihtimallerinin artması gibi hususlar nedeniyle bilgi güvenliği kavramı gündeme gelmektedir Bilgi hangi biçime girerse girsin veya ne tür araçlarla paylaşılır veya depolanır olursa olsun, her zaman uygun bir şekilde korunmalıdır. Bilgi sistemlerinin çoğu, bilgi saklanırken, paylaşılırken, gönderilirken güvenlik kaygıları düşünülerek tasarlanmamıştır. 23

24 24 ISO BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ Bilgi Güvenliği Yönetim Sistemi Bilgi güvenliği ihlali ve buradan doğacak kayıpların riskini minimize etmek kurulan sistemlerin en başında BGYS gelmektedir. BGYS, bilgi güvenliğini kurmak, işletmek, izlemek ve geliştirmek için iş riski yaklaşımına dayalı, dokümante edilmiş, işlerliği ve sürekliliği garanti altına alınmış bir yönetim sistemidir. BGYS kurumunuzdaki tüm bilgi varlıklarının değerlendirilmesi ve bu varlıkların sahip oldukları zayıflıkları ve karşı karşıya oldukları tehditleri göz önüne alan bir risk analizi yapılmasını gerektirir. 24

25 25 ISO BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ ISO BGYS, bağımsız kuruluşların ya da tarafların ihtiyaçlarına göre özelleştirilmiş güvenlik kontrollerinin gerçekleştirilmesi için gereksinimleri belirtir. BGYS’nin ihtiyaç duyduğu gereksinimlere cevap vermek için çok sayıda standart vardır. Bunların en önde geleni ISO standardıdır. ISO kurumların bilgi güvenliği yönetim sistemi kurmaları için gereklilikleri tanımlayan tek denetlenebilir BGYS standardıdır. ISO ülkelere göre özel tanımlar içermeyen, genel tanımların bulunduğu uluslararası standardıdır. ISO standardı; kuruluşların kendi bilgi güvenlik sistemlerini sağlamasını mümkün kılan teknoloji tarafsız, satıcı tarafsız yönetim sistemleri için bir çerçeve sağlar. 25

26 26 ISO BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ ISO ISO 27001, kuruma uygun politikalar, prosedürler ve kılavuzlar oluşturmaya yol gösteren uluslararası kabul görmüş yapısal bir metodoloji sunar. ISO sertifikası, kurumların güvenlik seviyesine ve kurumun konuya ciddi yaklaşımına ilişkin bir göstergedir. (Örn: ESHS) Bilgi güvenliği yönetimi konusunda ilk standart British Standard Institute (BSI) tarafından geliştirilen BS 7799’dur. BS 7799 “Pratik Kurallar” ve “BGYS Gerekleri” başlıklı iki kısımdan oluşmaktaydı. BS 7799 birinci kısım daha sonra ISO tarafından 2000 yılında “ISO 17799” olarak kabul edilmiştir. 26

27 27 ISO BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ TS ISO ’de BSI; BS ’yi çıkartmıştır. ISO, 2005 yılında ISO/IEC 1799:2005’i ve BS ’nin yeni hali olan ISO/IEC 27001:2005’i yayınlamıştır. ISO 27001, 2005 yılında yayınlanmasıyla yürürlüğe girmiş ve ISO/IEC standart serisi altında yerini almıştır. Söz konusu bu standart 2006 yılında Türk Standardı olarak kabul edilerek, ”TS ISO/IEC Bilgi Teknolojisi - Güvenlik Teknikleri - Bilgi Güvenliği Yönetim Sistemleri – Gereksinimleri” adıyla yayınlanmıştır. 27

28 28 ISO BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ ISO AİLESİ Bilgi güvenliği ile ilgili olarak ISO serisi güvenlik standartları, kullanıcıların bilinçlenmesi, güvenlik risklerinin azaltılması ve de güvenlik açıklarıyla karşılaşıldığında alınacak önlemlerin belirlenmesinde temel bir başvuru kaynağıdır. Bu standartlar temel ISO’nun 9000 kalite ve çevresel yönetim standartlarıyla da ilgilidir. ISO standardı, ISO standartlar ailesi ile ilgili kavramların açıklanmasını sağlayan ve bilgi güvenliği yönetimine yönelik temel bilgileri içeren bir standarttır. ISO standartlarının büyük bir çoğunluğu bilenen, diğerleri ise basım aşamasında olan standartlar olarak verilebilir. 28

29 29 ISO BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ 29

30 30 ISO BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ PUKÖ Modeli ISO 27001, BGYS’yi kurmak, işletmek, izlemek, gözden geçirmek, sürdürmek ve iyileştirmek için standart proses yaklaşımını benimsemiştir. Bu proses yaklaşımı güvenlik önlemlerinin belirlenip kurulması, uygulanması, etkinliğinin gözden geçirilmesi ve iyileştirilmesi süreçlerini ve bu süreçlerin sürekli olarak tekrarlanmasını içerir. Bu süreçler Planla, Uygula, Kontrol et, Önlem al (PUKÖ) döngüsünden oluşan bir model olarak da ortaya konmuştur. BGYS’de kurum kendine bir risk yönetimi metodu seçmeli ve risk işleme için bir plan hazırlamalıdır. Risk işleme için standartta öngörülen kontrol hedefleri ve kontrollerden seçimler yapılmalı ve uygulanmalıdır. 30

31 31 ISO BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ PUKÖ Model’inin süreçleri aşağıdaki gibidir: Planla: BGYS’nin kurulması Sonuçları kuruluşun genel politikaları ve amaçlarına göre dağıtmak için, risklerin yönetimi ve bilgi güvenliğinin geliştirilmesiyle ilgili BGYS politikası, amaçlar, hedefler, prosesler ve prosedürlerin kurulması. Uygula: BGYS’nin gerçekleştirilmesi ve işletilmesi BGYS politikası, kontroller, prosesler ve prosedürlerin gerçekleştirilip işletilmesi. 31

32 32 ISO BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ Kontrol Et: BGYS’nin izlenmesi ve gözden geçirilmesi BGYS politikası, amaçlar ve kullanım deneyimlerine göre proses performansının değerlendirilmesi ve uygulanabilen yerlerde ölçülmesi ve sonuçların gözden geçirilmek üzere yönetime rapor edilmesi. Önlem Al: BGYS’nin sürekliliğinin sağlanması ve iyileştirilmesi BGYS’nin sürekli iyileştirilmesini sağlamak için, yönetimin gözden geçirme sonuçlarına dayalı olarak, düzeltici ve önleyici faaliyetlerin gerçekleştirilmesi. 32

33 33 ISO BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ 33

34 34 ISO BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ Güvenlik Kontrol Alanları ISO 27001’de BGYS oluşturmada güvenlik için gereken 11 kontrol alanı, 39 kontrol hedefi ve 133 kontrolü tanımlayan bir uygulama kılavuzudur 34

35 35 ISO BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ Güvenlik Kontrol Alanları 1- (A.5) Güvenlik Politikası 2- (A.6) Bilgi Güvenliği Organizasyonu 3- (A.7) Varlık Yönetimi 4- (A.8) İnsan Kaynakları Güvenliği 5- (A.9) Fiziksel ve Çevresel Güvenlik 6- (A.10) Haberleşme ve İşletim Yönetimi 7- (A.11) Erişim Kontrolü 8- (A.12) Bilgi Sistemleri Edinim, Geliştirme ve Bakımı 9- (A.13) Bilgi Güvenliği İhlal Olayı Yönetimi 10- (A.14) İş Sürekliliği Yönetimi 11- (A.15) Uyum 35

36 36 KONULAR Giriş Yazılım Geliştirme Süreçleri Güvenli Yazılım Geliştirme ISO Bilgi Güvenliği Yönetim Sistemi YGS ve ISO Kontrolleri Sonuç 36

37 37 YGS ve ISO KONTROLLERİ ISO 27001, gerek yazılım geliştirme süreçleriyle doğrudan ya da dolaylı ilişki içerisinde olan birçok kontrol içermektedir. Bu kontroller ve kontrol kapsamında yazılım geliştirme süreci aşamalarında gerçekleştirilmesi gereken hususlar şöyledir. 37

38 38 YGS ve ISO KONTROLLERİ Analiz Aşamasına İlişkin Kontroller A Güvenlik gereksinimleri analizi ve belirtimi A Bilgi işleme tesisleri için yetki prosesi A Ağ hizmetleri güvenliği A Bilgi değişim politikaları ve prosedürleri A Fikri mülkiyet hakları (IPR) A Değişim anlaşmaları 38

39 39 YGS ve ISO KONTROLLERİ Tasarım Aşamasına İlişkin Kontroller A İş bilgi sistemleri A Bilgi sızması A Bağlantı süresinin sınırlandırılması A Ağ kontrolleri A Bilgi erişim kısıtlaması 39

40 40 YGS ve ISO KONTROLLERİ Kodlama Aşamasına İlişkin Kontroller A Kayıt bilgisinin korunması A Giriş verisi geçerleme A Çıkış verisi geçerleme A İç işleme kontrolü A Mesaj bütünlüğü A Kötü niyetli koda karşı kontroller A Elektronik mesajlaşma 40

41 41 YGS ve ISO KONTROLLERİ Kodlama Aşamasına İlişkin Kontroller (2) A Mobil koda karşı kontroller A Kriptografik kontrollerin kullanımına ilişkin politika A Anahtar yönetimi A Dışarıdan sağlanan yazılım geliştirme A Değişim kontrol prosedürleri 41

42 42 YGS ve ISO KONTROLLERİ Test Aşamasına İlişkin Kontroller A Geliştirme, test ve işletim olanaklarının ayrımı A Giriş verisi geçerleme A Çıkış verisi geçerleme A İç işleme kontrolü A Sistem test verisinin korunması A Erişim haklarının kaldırılması 42

43 43 YGS ve ISO KONTROLLERİ Bakım Aşamasına İlişkin Kontroller A Yazılım paketlerindeki değişikliklerdeki kısıtlamalar A Kullanıcı erişim haklarının gözden geçirilmesi A Program kaynak koduna erişim kontrolü A Bilgi yedekleme 43

44 44 YGS ve ISO KONTROLLERİ Bakım Aşamasına İlişkin Kontroller (2) A Mülkiyet çıkarımı A Aktarılan fiziksel ortam A Teçhizatın güvenli olarak elden çıkarılması ya da tekrar kullanımı A Operasyonel yazılımın kontrolü A İşletim sistemindeki değişikliklerden sonra teknik gözden geçirme 44

45 45 KONULAR Giriş Yazılım Geliştirme Süreçleri Güvenli Yazılım Geliştirme ISO Bilgi Güvenliği Yönetim Sistemi YGS ve ISO Kontrolleri Sonuç 45

46 46 SONUÇLAR Kurumların güvenli bir ortamda faaliyet gösterebilmeleri için dokümante edilmiş bir BGYS’yi hayata geçirmeleri gerekmektedir. Bu kapsamda ISO standardı tüm dünyada kabul görmüş ve en iyi uygulamaları bir araya getiren bir modeldir. Standart bu yönetim sistemini oluştururken ele aldığı önemli alanlardan biri de yazılım geliştirme süreçlerinde güvenliğinin sağlanması ve buna ilişkin olarak yazılım geliştirme politikasının oluşturulmasıdır. 46

47 47 SONUÇLAR Yazılım geliştirme süreçlerinde standardın belirttiği gizlilik, bütünlük ve erişebilirlik kavramları mutlaka dikkate alınmalıdır. Yazılım geliştirmenin her aşamasında belirli bir güvenlik politikasının uygulanması kritik önem taşımaktadır. Kurumsal güvenlik için öncelikle yazılı olarak kurallar belirlenmelidir. 47

48 48 SONUÇLAR Etkin bir BGYS kurmaya çalışan ve bunu ISO standardına uyumlu yapmak isteyen tüm kurumların oluşturacağı bu politikada belli kontrol maddeleri asgari olarak yer almalıdır. 48

49 49 AKADEMİK BİLİŞİM 2010 Teşekküler… 49 Dr. İzzet Gökhan ÖZBİLGİN Bilişim Uzmanı Sermaye Piyasası Kurulu Mustafa ÖZLÜ Bilgisayar Mühendisi Türk Patent Enstitüsü


"1 AKADEMİK BİLİŞİM 2010 Yazılım Geliştirme Süreçleri ve ISO 27001 Bilgi Güvenliği Yönetim Sistemi 1 Dr. İzzet Gökhan ÖZBİLGİN Bilişim Uzmanı Sermaye Piyasası." indir ppt

Benzer bir sunumlar


Google Reklamları