Sunum yükleniyor. Lütfen bekleyiniz

Sunum yükleniyor. Lütfen bekleyiniz

Kurumlarda Bilgi Güvenliği Politikaları Semih Pekol.

Benzer bir sunumlar


... konulu sunumlar: "Kurumlarda Bilgi Güvenliği Politikaları Semih Pekol."— Sunum transkripti:

1 Kurumlarda Bilgi Güvenliği Politikaları Semih Pekol

2 2 Gündem Güvenlik Problemi ve Çözüm Yaklaşımı Politika Temel Taşları Politika Geliştirilmesi Politika Belgesi Kurumlarda Uygulama

3 3 Çalışanların Sorumlu Olduğu Olaylar %70-80 Dış Saldırılar %20-30 Bilgisayar Kötü Kullanımı Kullanım hataları Atıl kullanımlar Kötüye kullanımlar Bilgisayar suçları Aksayan İşleyiş Yanlış Sonuçlar Maddi / Manevi Kayıplar Güvenlik Problemi

4 4 İstekYetenek Bilgi Birikimi Alışkanlık Risk Analizi Politikalar Önlemler Çözüm Yaklaşımı

5 5 Güvenlik Düzeyi Zaman GüvenSafhası PolislikSafhası PolitikaSafhası KültürSafhası RekabetteAvantajSafhası Yaklaşım Değişim Süreci

6 6 Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar Öncelikli Riskler Risk Analizi İzlenecek Yol

7 7 Donanım Yazılım Veri-Bilgi İnsan Değer Varlıklar Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar Öncelikli Riskler

8 8 Gizlilik DoğrulukBütünlük Özgünlük Kullanılabilirlik Korunacak Nitelikler. Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar Öncelikli Riskler

9 9 kırılgan Zayıflıklar Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar Öncelikli Riskler

10 10 kırılgan Zayıflıklar Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar Öncelikli Riskler

11 11 Tehditler Okuma Değiştirme Ekleme Tekrarlama Kullanılamaz Kılma Ortadan Kaldırma Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar Öncelikli Riskler

12 12 Eyvah, ne yaptım ben! Kazalar Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar Öncelikli Riskler

13 13 Ben mi? İhmaller Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar Öncelikli Riskler

14 14 Başardım! Saldırılar Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar Öncelikli Riskler

15 15 Saldırılar Dinleme Şifre Kırma Trafik Bloklama / Tekrarlama Hizmet Engelleme Yetkisiz Erişim Nüfuz Etme Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar Öncelikli Riskler

16 16 Risk = Tehdit * Oluşma Olasılığı * Zarar Riskler Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar Öncelikli Riskler

17 17 Risk Yönetimi Ne kadar risk ile yaşamaya razıyım? –Hiçbir risk tamamiyle yok edilemez –Sonuçları can yakıcı ise toleransınız düşük olur –Sonuçları ihmal edilebilir ise daha fazla risk alabilirsiniz

18 18 PolitikaGeliştirilmesi Hedefler / Kapsam Sorumluluklar / Cezalar Önlemler Risk Analizi İzlenecek Yol

19 19 PolitikaGeliştirilmesi Yönetsel Prosedürler Mekanizmalar Uygulatma Sorumluluğu Risk Analizi ÖnlemlerinUygulanması İzlenecek Yol

20 20 Güvenlik Politikasının Temel Taşları Ne yapacağız?

21 21 Politika Temel Taşları Tanım Hedefler Yapı İçerik Yaşam Döngüsü

22 22 Politika Tanımı “Bir kurumun değerli bilgilerinin yönetimini, korunmasını, dağıtımını ve önemli işlevlerinin korunmasını düzenleyen kurallar ve uygulamalar bütünüdür.” “Politikası olmayan kurum, nereye gideceğini bilmeyen insana benzer.” [Branstad, 1997]

23 23 Politika Hedefleri Yönetimin perspektifini çalışanlara aktarmak Yönetimin çalışanlara verdiği desteği göstermek Etkinliklerin koordinasyonunu sağlamak Etkinlikler arasında tutarlılık sağlamak Disiplin suçları için temel oluşturmak Davalara karşı önlem almak

24 24 Politika Özellikleri Yönergeler Kanunların karşısında olmamalıdır, Kurum özellikleri dikkate alınarak geliştirilmelidir, İlişkilendirilip bir bütün haline getirilmelidir, Zaman içinde değişiklik gerektirir, Uygulatılabilirse başarılı olur.

25 25 Temel Politika GereksinimPolitikası Mekanizmalar Kurallar GereksinimPolitikası Politika Yapısı

26 26 Kurum Vizyonu X Politikası YPolitikası Bilgi Güvenliği Politikası Kurum Misyonu Politika Yapısı

27 27 Bilgi Güvenliği Politikası Fiziksel Güvenlik Politikası Ağ Güvenliği PolitikasıBilgisayarKullanımPolitikası Bilgisayar Güvenliği Politikası Politika Yapısı

28 28 Yatırım Güvenliği sağlamak için... yatırım gerekli Ne kadar yatırım yaparsan... o kadar güvende olursun

29 29 Kazanç Yatırım Kazanç Eğrisi

30 30 Temel Politika İçeriği Politika hedefleri Politika gereksinimleri Politika kapsamı Kullanıcı sorumlulukları Politika ihlali durumunda verilecek cezalar

31 31 Politika Hedefleri Kurumumuz bilgi sistemi değer varlıklarını bilgisayar saldırılarından korumak, Bu tür saldırıların kurumumuza ve çalışanlarımıza verebileceği zararları asgariye indirmek ve Anılan varlıkların anayasa, yasalar ve meslek ahlakı dahilinde kullanılmasını sağlamaktır.

32 32 Politika Gereksinimleri Önlem, tespit, tepki ve güvence yaklaşımları güvenlik yönetim modeline uygun olmalıdır İlgili politikalar kurum çalışmalarını asgari düzeyde etkilemelidir Kurum yönetimi tarafından gerekli görülmeli ve gerekliliği çalışanlara anlatılmalıdır

33 33 Politika Gereksinimleri İlgili politikalara ait prosedür ve mekanizmalar Diğerlerinden etkilenmemelidir Değişiklere uyum gösterebilmelidir Hata toleransına sahip olmalıdır Farklı kaynaklardan bilgi toplayabilmelidir Asgari insan etkileşimi ile çalışabilmelidir

34 34 Politika Kapsamı Örnek cümle: Kurumumuz bilgisayar sistemi kullanıcıları ile kurumumuz bilgisayar sistemini herhangi bir şekilde kullanmak isteyenleri kapsar ve anılan kişilerin bilgisayar sistemi ilgili doğrudan ve dolaylı tüm etkinliklerini içerir.

35 35 Politika Sorumlulukları Kullanıcılar; Bilgi Güvenliği Politikası'na uymakla yükümlüdür. Sergiledikleri etkinliklerden ve sonuçlarından sorumludur. Sorumluluklarının gereğini en hızlı ve en doğru şekilde yerine getirmelidir. Politika ile ilgili varsayımlarda bulunmamalıdır.

36 36 Politika Sorumlulukları Son Kullanıcı Sorumlulukları –Genel sorumluluklar –Gözlem ve müdahale sorumlulukları –Bildirim sorumlulukları Yönetici Sorumlulukları –Uygulatma sorumlulukları –Eğitim sorumlulukları

37 37 Politika Cezaları Kayıpların karşılanması Uyarı cezası Yetki azaltma İşten çıkarma Dışarıdan bir saldırı söz konusu ise, konu toplanan kanıtlarla birlikte adli makamlara bildirilecektir

38 38 Politika Geliştirme Politika Yerleştirme Politika Uygulatma Politika Güncelleme Politika İzleme Politika Yaşam Döngüsü

39 39 Politika Geliştirilmesi Nasıl yapacağız bunu?

40 40 Politika Geliştirilmesi Politika Geliştirme Ekibi Politika Geliştirme Yöntemi Politika Uygulama ve Uygulatma Yaklaşımı Politika Güncelleme Süreci

41 41 Politika Geliştirme Ekibi Üst düzey yönetici Kurum avukatı Tipik bir kullanıcı Bilgisayar sistem yöneticisi Politikayı kaleme alacak bir yazar

42 42 Başka kuruma ait politikalar aynen alınır Başka kuruma ait politikalar değiştirilerek alınır Politikalar sıfırdan başlayarak geliştirilir Taslak Politika Oluşturulur Sistem Yöneticisi,Kullanıcı,Yazar Önerilecek Politika Kesinleştirilir Bilgisayar Güvenliği Yöneticisi Önerilecek Politika Kararlaştırılır Proje Geliştirme Ekibi Politika Resmen Onaylanır En Yetkili Yönetici Politika Geliştirme Yöntemi

43 43 Genel Hedefler Spesifik Hedefler Önlem Yaklaşımı Dökümantasyon BİTİR BAŞLA Kabuledilebilirmi? Gerçekçimi? Evet Hayır Evet Politika Hazırlanması

44 44 Politika Uygulatma Yaklaşımı Bilgisayar güvenliğini tehdit edici davranışlar 1.Oluşmamasını sağlamak 2.Önlemek 3.Oluşur ise bunları belirlemek 4.Sorumluları yakalamak ve cezalandırmak

45 45SAKINMA KORUNMA TESBİT KURTARMA Önlem Yaklaşımı

46 46 Kurum Dışı Değişiklikler Kurum İçi DeğişikliklerPeriyodikGözdenGeçirmeGüvenliği Tehdit Eden Davranışlar Politika İzleme Politika Güncelleme Süreci

47 47 İçerik Yazım Şekli Politika Belgesi Amaç ve Kapsam Kurum ve Bilgisayar Sistemi Tanıtımı Risk Analizi Önlem Tasarımı Politika Uygulama, Uygulatma Planları Politika Güncelleme Koşulları

48 48 İçerik Yazım Şekli Politika Belgesi Kesin ve net ifadeler Kurum koşullarını dikkate alan ifadeler Detay içermeyen abstrakt ifadeler Yorumlamaya ilişkin açıklamalar Yorumlamaya ilişkin örnekler

49 49 Kuruluşlar www. infosyssec.net www. sans.org

50 50 Geliştirme Kuruluşlarında Uygulama Güvenlik politikasını nasıl yerleştirelim?

51 51 Uygun Yaklaşım Kuruluşların Özellikleri Dikkate Alınmalı Düşüncelerin açık tartışıldığı bir ortam Kısıtlanmaktan hoşlanmayan bir topluluk Prensiplerle işleyen bir düşünme yöntemi Dene(me)yi ilke edinmiş bir çalışma yöntemi Ayrıntıları tartışan bir karar alma yöntemi

52 52 GÜVENLİK bir gereksinim Gereksinim Geliştirme Bilgi Teknolojileri Kullanma Bilinci Eğitimi Alışkanlığı Kültürü

53 53 Uygulama Süreci Uzun Vadeye Yayılan Bir Dönüşüm Bilinçlendirme Etkinlikleri Sürekli Eğitim Politika Temelli Yönetim Güvenlik Çalışmaları

54 54 Ekip Politika Geliştirme Ekibi Genel Müdür Yardımcısı İnsan İlişkilerinde Uzman Bir Kişi Yönetmelikler Konusunda Tecrübeli İdari Kişi Güvenlik Alanında Uzman Bir Kişi Bilgi Teknolojileri Konusunda Uzman Bir Kişi

55 55 Yöntem Politika Geliştirme Yöntemi Prensiplerden yola çıkmalı –ACM Code of Ethics, Netiquette Core Rules Benzer kurumların tecrübelerindan yararlanılmalı Geri beslemeye açık politika temelli yönetim Uygulanabilir ve uygulatılabilir bir politika

56 56 Yüksek Öğrenim Kurumlarında Uygulama Güvenlik politikasını nasıl yerleştirelim?

57 57 Özellikler Yüksek öğrenim kurumları, şirket veya devlet kuruluşlarına göre daha "açık" ortamlar Öğrenci yurtları ortamı Kütüphanelerin araştırma servisleri Teknik laboratuvarlar: geliştirme ve deneme çalışmaları Sansür ve sınırlama çizgisi Güvenlik için alınacak önlemlerin bu ortamı ve değerleri engellememesi gerek Güvenlik ve bu özellikleri dengeleyecek bir ortam yaratılmalı

58 58 ACUPA'nın önerisi

59 59 Politika Geliştirme Süreci Predevelopment –Identify Issues –Conduct Analysis Development –Draft Language –Get Approvals –Determine Distribution/Education Maintenance –Solicit Evaluation and Review –Plan Measurement and Compliance

60 60 Özellikler Sağlam bir güvenlik politikasından beklenen özellikler: Setting the Stage WritingApprovingDistributingEducatingEnforcingReviewing Consistency with University values and mission Identification and involvement of stakeholders Informed participants Assess cost- benefit Preventing reinvention of the wheel Use a common format Agree on common definitions & terms Allow for user feedback Discussion and consensus building Wide review and input Approval from senior administrative levels Ease of access to resources Online Accessible from one location Allow for text and other searches Send to official distribution lists Include contacts to answer questions Hold a policy day Have traveling road shows! Have signed user agreements Require policies to be read before services granted Create policy enforcement office Assess liability/ feasibility Respond to complaints Identify an owner for each policy Develop a plan for active maintenance Archive, date, and notify constituencies of major changes

61 61 Prensipler Politika oluşturma için altı prensip: Civility and Community Academic and Intellectual Freedom Privacy and Confidentiality Equity, Diversity and Access Fairness and Process Ethics, Integrity and Responsibility

62 62 Ana kavramlar Policy Name Scope Purpose Policy Statement Roles/Responsibilities Definitions References Supporting Procedures Consequences/Sanctions for Non- Compliance

63 63 Doküman başlıkları Security Architecture Security Awareness Security Implementation Security Management Data Security Identity Theft Incident Handling/Incident Response Information Assurance Network Vulnerability Assessment Physical Security Privacy Security Planning Security Policies Security Risk Assessment and Analysis

64 64 Kaynaklar Computer and Network Security in Higher Education, Mark Luker and Rodney Petersen, editors. Collection of policies and policy development resources: Security policy primer, sample policies and templates: ve Google!

65 65 Sonuç Aklımda ne kaldı?

66 66 Sonuç ve Öneriler Bilgi Güvenliği Politikası Mutlaka olmalı Gerektiği gibi hazırlanmalı ve uygulatılmalı Kriterler kullanılarak denetlenmeli Eğitim ve bilinçlendirme çalışmaları ile desteklenmeli Yılda bir gözden geçirilmeli

67 67 Teşekkürler...


"Kurumlarda Bilgi Güvenliği Politikaları Semih Pekol." indir ppt

Benzer bir sunumlar


Google Reklamları