Sunum yükleniyor. Lütfen bekleyiniz

Sunum yükleniyor. Lütfen bekleyiniz

Copyright © 2007 - The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the Creative Commons Attribution-ShareAlike.

Benzer bir sunumlar


... konulu sunumlar: "Copyright © 2007 - The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the Creative Commons Attribution-ShareAlike."— Sunum transkripti:

1 Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the Creative Commons Attribution-ShareAlike 2.5 License. To view this license, visit The OWASP Foundation OWASP Day Turkey - Sep Türkiye’deki Kamu Kurumlarında Bilgi Mahremiyeti– Durum Analizi Hayrettin Bahşi TÜBİTAK-UEKAE

2 OWASP Günü – Türkiye – Eylül Ajanda  Bilgi Mahremiyeti Tanımı  Mahremiyeti Sağlanması Gereken Bilgiler  Kamu Kurumlarında Bilgi Kritiklik Seviyeleri  Kamu Kurumlarında Tehdit Algılamaları  Temel Web Uygulama Güvenliği Eksiklikleri  Web Uygulamalarında Teknik Bilgi Mahremiyeti Eksiklikleri  Yapılması Gerekenler

3 OWASP Günü – Türkiye – Eylül 2007 Bilgi Mahremiyeti Tanımı  Bilgi mahremiyeti Bir organizasyonun ya da kişinin kendisine ait bilginin akışını kontrol edebilmesi  Bilgi gizliliği Bilgiyi bilmesi gereken kişinin bilmesi (Need to know)  Bilgi mahremiyetinde  Mahremiyet doğrudan kişiyi ya da kurumu ilgilendirir, gizlilik ise bilgi ile doğrudan ilgilidir.  “Kimin neyi bilmesi gerektiği” net değil, kişiden kişiye değişebilir  Kanunlar sınırları çizmeye çalışıyor  Mahremiyet bir sonuç, gizlilik bir ilke ya da güvenlik mekanizmasıdır

4 OWASP Günü – Türkiye – Eylül 2007 Mahremiyeti Sağlanması Gereken Bilgiler  Vatandaşların kişisel bilgisi  Kamu kurumu çalışanlarının kişisel bilgisi  Özel şirketlere ait bilgiler  Mali veriler  Ticari veriler  Diğer kamu kurumlarının bilgileri  Denetim yapan kurumlarda diğer kurumların denetim raporları

5 OWASP Günü – Türkiye – Eylül 2007 Kamu Kurumlarında Bilgi Kritiklik Seviyeleri  Bilgi varlıklarının tam tespit edilememesi  “Hangi bilgi ne kadar kritik?” sorusunun ortak cevabının olmaması  Kritikliğin belirlenmiş ortak bir ölçüsünün olmaması  Ölçü varsa bile ölçüye göre bilginin kritikliğinin belirlenmemiş olması  Kritikliğe göre bilginin ele alınış kurallarının belirlenmemiş olması  Bilginin oluşturulma, taşınma, silme ve depolanma fazlarında uyulması gereken kurallar  Örneğin, “Gizli bilgiler e-posta ile yollanmaz”  “Gizli bilgi içeren kağıtların imhası yakılma ile olur”

6 OWASP Günü – Türkiye – Eylül 2007 Kamu Kurumlarında Bilgi Kritiklik Seviyeleri (2)  Yazılı dokümanlarda bile sınıflandırma eksikliği  Mahremiyeti ilgilendirilen bilgiler hakkında  “Kritiklik seviyesi nedir?”  Nasıl korunmalıdır? sorularının cevaplarının olmaması

7 OWASP Günü – Türkiye – Eylül 2007 Kamu Kurumlarında Tehdit Algılamaları  Yüksek bir dış tehdit algılaması  İç tehdit algılamasında eksiklikler  Bilgi güvenliği olaylarının takip edilememesi  Bilgi güvenliği bilinç eksikliği  İç tehdidin kapsamını genişletebilecek durumlar  Farklı kamu kurumlarının birbirine doğrudan bağlı olması  “Leased Line” hatlar  Doğrudan yerel alan ağlar arasında bağlantılar  Çoğu durumda bağlantılarda ağ erişim kontrolünün bile olmaması  Ülkenin değişik yerlerinde şubeler

8 OWASP Günü – Türkiye – Eylül 2007 Temel Web Uygulama Güvenliği Eksiklikleri  Kurumların kendilerinin geliştirdiği web uygulamaları  Çoğunlukla Intranet uygulamaları  Hızlı geliştirilen küçük uygulamalar  Geliştirici ve sistem yöneticilerinin web güvenliği konusundaki bilgi eksiklikleri  Güvenli olarak uygulama geliştirme ile ilgili süreçlerinin oluşturulmaması  Güvenlik gereksinimlerinin tam olarak belirlenmemesi  Geliştirme sürecinde güvenlik denetim eksiklikleri

9 OWASP Günü – Türkiye – Eylül 2007 Temel Web Uygulama Güvenliği Eksiklikleri (2)  Kurumların kendilerinin geliştirdiği web uygulamaları  Ürünlerin yeterince test edilememesi  Eski sistemlerin güncellenememesi  İş gücü yetersizliği  Güncellemeye gereken önemin verilmemesi  Eski sistemlerin sahiplerinin bulunamaması!  Canlı ortamda uygulama geliştirme  Test ortamı eksiklikleri

10 OWASP Günü – Türkiye – Eylül 2007 Temel Web Uygulama Güvenliği Eksiklikleri (3)  Taşerona verilen (outsource) uygulamalar  Güvenlik gereksinimlerinin yeterli düzeyde ele alınmaması  Erişim kontrol mekanizmalarında eksiklikler  İş mantığında (business logic) eksiklikler  Uygulama kayıt mekanizmalarındaki eksiklikler  Sözleşmelerde güvenlikle ilgili maddelerde eksiklikler  Ürünün güvenlik açısından kabulünün nasıl yapılacağı  Tespit edilen açıklıkların kapatılmasının destek kapsamında ele alınmaması  Canlı ortamda uygulama geliştirme

11 OWASP Günü – Türkiye – Eylül 2007 Web Uygulamalarında Teknik Bilgi Mahremiyeti Eksiklikleri  Özellikle eski sistemlerde çok temel sql-injection, XSS açıklıkları  İntranet web uygulamalarında ssl kullanılmaması  Yetkilendirme (Authorization) eksiklikleri  Yeterli erişim profilinin oluşturulmamış olması  İşlem, parametre vs bazında yetkilendirme eksiklikleri  Belirli bir hakka sahip olan kullanıcıların diğer kullanıcıların bazı haklarına sahip olabilmeleri  SSL kullanılan uygulamalarda kuvvetli algoritmaların sunucu tarafından zorlanmaması

12 OWASP Günü – Türkiye – Eylül 2007 Web Uygulamalarında Teknik Bilgi Mahremiyeti Eksiklikleri (2)  Yama yönetimi eksiklikleri  Uygulama yönetim modüllerindeki kimlik doğrulama ve yetkilendirme eksiklikleri  Parola kompleksliğinin zorlanmaması (özellikle intranet uygulamalarında)  Kullanıcıya dönen hata mesajları

13 OWASP Günü – Türkiye – Eylül 2007 Neler Yapılmalı?  Bilgi varlıkların envanterinin tutulması  Bilgi varlıklarının kritiklik derecelerinin belirlenmesi  Mahremiyeti sağlanması gereken bilgilerin kritiklik seviyesi  Söz konusu bilgilerin nasıl korunacağı  Bilgi güvenliği eğitimleri  Güvenli web uygulama geliştirme  Veritabanı güvenliği  Uygulama geliştirme döngüsünde güvenlik

14 OWASP Günü – Türkiye – Eylül 2007 Neler Yapılmalı? (2)  Uygulama geliştirme döngüsünde güvenlik  Güvenlik gereksinimlerinin belirlenmesi  Geliştirme aşamalarında yapılacak testler  Gerekli ilkelere en azından bundan sonra uyma  Web uygulamalarının güvenliğinin sertifikalandırılması  Daha hızlı bir Ortak Kriter (Common Criteria) değerlendirmesi  Periyodik güvenlik denetimleri  Bağımsız denetimler  İç denetimler

15 OWASP Günü – Türkiye – Eylül 2007 Neler Yapılmalı?  Etkin bir teknik açıklık yönetimi  İç tehdit algısının artırılması  Kritik sistemler için test ortamları  Denetim sonuçlarının değerlendirilmesi  Taşerona verilen projelerin sözleşmelerinde güvenlik ile ilgili maddeler  Uygulama geliştirme ortamlarının canlı sistemlerden ayrılması

16 OWASP Günü – Türkiye – Eylül 2007 Teşekkürler


"Copyright © 2007 - The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the Creative Commons Attribution-ShareAlike." indir ppt

Benzer bir sunumlar


Google Reklamları