Kurumlarda Bilgi Güvenliği Politikaları

... konulu sunumlar: "Kurumlarda Bilgi Güvenliği Politikaları"— Sunum transkripti:

1 Kurumlarda Bilgi Güvenliği Politikaları
Semih Pekol

2 Gündem Güvenlik Problemi ve Çözüm Yaklaşımı Politika Temel Taşları
Politika Geliştirilmesi Politika Belgesi Kurumlarda Uygulama

3 Bilgisayar Kötü Kullanımı Maddi / Manevi Kayıplar
Güvenlik Problemi Bilgisayar Kötü Kullanımı Kullanım hataları Atıl kullanımlar Kötüye kullanımlar Bilgisayar suçları Çalışanların Sorumlu Olduğu Olaylar %70-80 Dış Saldırılar %20-30 Aksayan İşleyiş Yanlış Sonuçlar Maddi / Manevi Kayıplar

4 Çözüm Yaklaşımı Yetenek İstek Bilgi Birikimi Alışkanlık Risk Analizi
Politikalar Önlemler

5 Yaklaşım Değişim Süreci
Rekabette Avantaj Safhası Güvenlik Düzeyi Zaman Kültür Safhası Politika Safhası Polislik Safhası Güven Safhası

6 Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar
İzlenecek Yol Risk Analizi Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar Öncelikli Riskler

7 Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar
Öncelikli Riskler Donanım Yazılım Veri-Bilgi İnsan

8 Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar
Korunacak Nitelikler . Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar Öncelikli Riskler Gizlilik Doğruluk Bütünlük Özgünlük Kullanılabilirlik

9 Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar
Öncelikli Riskler kırılgan

10 Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar
Öncelikli Riskler kırılgan

11 Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar
Öncelikli Riskler Okuma Değiştirme Ekleme Tekrarlama Kullanılamaz Kılma Ortadan Kaldırma

12 Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar
Kazalar Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar Öncelikli Riskler Eyvah, ne yaptım ben!

13 Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar
İhmaller Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar Öncelikli Riskler Ben mi?

14 Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar
Saldırılar Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar Öncelikli Riskler Başardım!

15 Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar
Saldırılar Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar Öncelikli Riskler Dinleme Şifre Kırma Trafik Bloklama / Tekrarlama Hizmet Engelleme Yetkisiz Erişim Nüfuz Etme

16 Riskler Risk = Tehdit * Oluşma Olasılığı * Zarar
Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar Öncelikli Riskler Risk = Tehdit * Oluşma Olasılığı * Zarar

17 Risk Yönetimi Ne kadar risk ile yaşamaya razıyım?
Hiçbir risk tamamiyle yok edilemez Sonuçları can yakıcı ise toleransınız düşük olur Sonuçları ihmal edilebilir ise daha fazla risk alabilirsiniz

18 Sorumluluklar / Cezalar
İzlenecek Yol Risk Analizi Hedefler / Kapsam Sorumluluklar / Cezalar Önlemler Politika Geliştirilmesi

19 Uygulatma Sorumluluğu
İzlenecek Yol Risk Analizi Yönetsel Prosedürler Mekanizmalar Uygulatma Sorumluluğu Politika Geliştirilmesi Önlemlerin Uygulanması

20 Güvenlik Politikasının Temel Taşları
Ne yapacağız?

21 Politika Temel Taşları
Tanım Hedefler Yapı İçerik Yaşam Döngüsü

22 Politika Tanımı “Bir kurumun değerli bilgilerinin yönetimini, korunmasını, dağıtımını ve önemli işlevlerinin korunmasını düzenleyen kurallar ve uygulamalar bütünüdür.” “Politikası olmayan kurum, nereye gideceğini bilmeyen insana benzer.” [Branstad, 1997]

23 Politika Hedefleri Yönetimin perspektifini çalışanlara aktarmak
Yönetimin çalışanlara verdiği desteği göstermek Etkinliklerin koordinasyonunu sağlamak Etkinlikler arasında tutarlılık sağlamak Disiplin suçları için temel oluşturmak Davalara karşı önlem almak

24 Politika Özellikleri Yönergeler Kanunların karşısında olmamalıdır,
Kurum özellikleri dikkate alınarak geliştirilmelidir, İlişkilendirilip bir bütün haline getirilmelidir, Zaman içinde değişiklik gerektirir, Uygulatılabilirse başarılı olur.

25 Politika Yapısı Temel Politika Gereksinim Politikası Gereksinim
Mekanizmalar Kurallar

26 Politika Yapısı Kurum Vizyonu Kurum Misyonu X Politikası Y Politikası
Bilgi Güvenliği Politikası

27 Politika Yapısı Bilgi Güvenliği Politikası Bilgisayar
Fiziksel Güvenlik Politikası Ağ Güvenliği Politikası Bilgisayar Kullanım Politikası

28 o kadar güvende olursun
Yatırım Güvenliği sağlamak için... yatırım gerekli Ne kadar yatırım yaparsan... o kadar güvende olursun

29 Kazanç Eğrisi Kazanç Yatırım

30 Temel Politika İçeriği
Politika hedefleri Politika gereksinimleri Politika kapsamı Kullanıcı sorumlulukları Politika ihlali durumunda verilecek cezalar

31 Politika Hedefleri Kurumumuz bilgi sistemi değer varlıklarını bilgisayar saldırılarından korumak, Bu tür saldırıların kurumumuza ve çalışanlarımıza verebileceği zararları asgariye indirmek ve Anılan varlıkların anayasa, yasalar ve meslek ahlakı dahilinde kullanılmasını sağlamaktır.

32 Politika Gereksinimleri
Önlem, tespit, tepki ve güvence yaklaşımları güvenlik yönetim modeline uygun olmalıdır İlgili politikalar kurum çalışmalarını asgari düzeyde etkilemelidir Kurum yönetimi tarafından gerekli görülmeli ve gerekliliği çalışanlara anlatılmalıdır

33 Politika Gereksinimleri
İlgili politikalara ait prosedür ve mekanizmalar Diğerlerinden etkilenmemelidir Değişiklere uyum gösterebilmelidir Hata toleransına sahip olmalıdır Farklı kaynaklardan bilgi toplayabilmelidir Asgari insan etkileşimi ile çalışabilmelidir

34 Politika Kapsamı Örnek cümle:
Kurumumuz bilgisayar sistemi kullanıcıları ile kurumumuz bilgisayar sistemini herhangi bir şekilde kullanmak isteyenleri kapsar ve anılan kişilerin bilgisayar sistemi ilgili doğrudan ve dolaylı tüm etkinliklerini içerir.

35 Politika Sorumlulukları
Kullanıcılar; Bilgi Güvenliği Politikası'na uymakla yükümlüdür. Sergiledikleri etkinliklerden ve sonuçlarından sorumludur. Sorumluluklarının gereğini en hızlı ve en doğru şekilde yerine getirmelidir. Politika ile ilgili varsayımlarda bulunmamalıdır.

36 Politika Sorumlulukları
Son Kullanıcı Sorumlulukları Genel sorumluluklar Gözlem ve müdahale sorumlulukları Bildirim sorumlulukları Yönetici Sorumlulukları Uygulatma sorumlulukları Eğitim sorumlulukları

37 Politika Cezaları Kayıpların karşılanması Uyarı cezası Yetki azaltma
İşten çıkarma Dışarıdan bir saldırı söz konusu ise, konu toplanan kanıtlarla birlikte adli makamlara bildirilecektir

38 Politika Yaşam Döngüsü
Politika Geliştirme Politika Yerleştirme Politika Uygulatma Politika Güncelleme Apply software engineering approach Politika İzleme

39 Politika Geliştirilmesi
Nasıl yapacağız bunu?

40 Politika Geliştirilmesi
Politika Geliştirme Ekibi Politika Geliştirme Yöntemi Politika Uygulama ve Uygulatma Yaklaşımı Politika Güncelleme Süreci

41 Politika Geliştirme Ekibi
Üst düzey yönetici Kurum avukatı Tipik bir kullanıcı Bilgisayar sistem yöneticisi Politikayı kaleme alacak bir yazar

42 Politika Geliştirme Yöntemi
Başka kuruma ait politikalar aynen alınır Taslak Politika Oluşturulur Sistem Yöneticisi,Kullanıcı,Yazar Önerilecek Politika Kararlaştırılır Proje Geliştirme Ekibi Başka kuruma ait politikalar değiştirilerek alınır Önerilecek Politika Kesinleştirilir Bilgisayar Güvenliği Yöneticisi Politikalar sıfırdan başlayarak geliştirilir Politika Resmen Onaylanır En Yetkili Yönetici

43 Politika Hazırlanması
Genel Hedefler BAŞLA Hayır Gerçekçi mi? Spesifik Hedefler Hayır Evet Kabul edilebilir mi? Önlem Yaklaşımı Evet Dökümantasyon BİTİR

44 Politika Uygulatma Yaklaşımı
Bilgisayar güvenliğini tehdit edici davranışlar Oluşmamasını sağlamak Önlemek Oluşur ise bunları belirlemek Sorumluları yakalamak ve cezalandırmak

45 Önlem Yaklaşımı SAKINMA KORUNMA TESBİT KURTARMA
Apply software engineering approach

46 Politika Güncelleme Süreci
Kurum İçi Değişiklikler Kurum Dışı Değişiklikler Güvenliği Tehdit Eden Davranışlar Periyodik Gözden Geçirme Politika İzleme

47 Politika Belgesi İçerik Yazım Şekli Amaç ve Kapsam
Kurum ve Bilgisayar Sistemi Tanıtımı Risk Analizi Önlem Tasarımı Politika Uygulama, Uygulatma Planları Politika Güncelleme Koşulları İçerik Yazım Şekli

48 Politika Belgesi İçerik Yazım Şekli Kesin ve net ifadeler
Kurum koşullarını dikkate alan ifadeler Detay içermeyen abstrakt ifadeler Yorumlamaya ilişkin açıklamalar Yorumlamaya ilişkin örnekler Yazım Şekli

49 Kuruluşlar www. infosyssec.net www. sans.org

50 Geliştirme Kuruluşlarında Uygulama
Güvenlik politikasını nasıl yerleştirelim?

51 Uygun Yaklaşım Kuruluşların Özellikleri Dikkate Alınmalı
Düşüncelerin açık tartışıldığı bir ortam Kısıtlanmaktan hoşlanmayan bir topluluk Prensiplerle işleyen bir düşünme yöntemi Dene(me)yi ilke edinmiş bir çalışma yöntemi Ayrıntıları tartışan bir karar alma yöntemi

52 Gereksinim Geliştirme
Bilgi Teknolojileri Kullanma Bilinci Eğitimi Alışkanlığı Kültürü GÜVENLİK bir gereksinim

53 Uygulama Süreci Uzun Vadeye Yayılan Bir Dönüşüm
Bilinçlendirme Etkinlikleri Sürekli Eğitim Politika Temelli Yönetim Güvenlik Çalışmaları

54 Ekip Politika Geliştirme Ekibi Genel Müdür Yardımcısı
İnsan İlişkilerinde Uzman Bir Kişi Yönetmelikler Konusunda Tecrübeli İdari Kişi Güvenlik Alanında Uzman Bir Kişi Bilgi Teknolojileri Konusunda Uzman Bir Kişi

55 Yöntem Politika Geliştirme Yöntemi Prensiplerden yola çıkmalı
ACM Code of Ethics, Netiquette Core Rules Benzer kurumların tecrübelerindan yararlanılmalı Geri beslemeye açık politika temelli yönetim Uygulanabilir ve uygulatılabilir bir politika

56 Yüksek Öğrenim Kurumlarında Uygulama
Güvenlik politikasını nasıl yerleştirelim?

57 Özellikler Yüksek öğrenim kurumları, şirket veya devlet kuruluşlarına göre daha "açık" ortamlar Öğrenci yurtları ortamı Kütüphanelerin araştırma servisleri Teknik laboratuvarlar: geliştirme ve deneme çalışmaları Sansür ve sınırlama çizgisi Güvenlik için alınacak önlemlerin bu ortamı ve değerleri engellememesi gerek Güvenlik ve bu özellikleri dengeleyecek bir ortam yaratılmalı

58 ACUPA'nın önerisi

59 Politika Geliştirme Süreci
Predevelopment Identify Issues Conduct Analysis Development Draft Language Get Approvals Determine Distribution/Education Maintenance Solicit Evaluation and Review Plan Measurement and Compliance

60 Özellikler Sağlam bir güvenlik politikasından beklenen özellikler:
Setting the Stage Writing Approving Distributing Educating Enforcing Reviewing Consistency with University values and mission Identification and involvement of stakeholders Informed participants Assess cost-benefit Preventing reinvention of the wheel Use a common format Agree on common definitions & terms Allow for user feedback Discussion and consensus building Wide review and input Approval from senior administrative levels Ease of access to resources Online Accessible from one location Allow for text and other searches Send to official distribution lists Include contacts to answer questions Hold a policy day Have traveling road shows! Have signed user agreements Require policies to be read before services granted Create policy enforcement office Assess liability/ feasibility Respond to complaints Identify an owner for each policy Develop a plan for active maintenance Archive, date, and notify constituencies of major changes

61 Prensipler Politika oluşturma için altı prensip:
Civility and Community Academic and Intellectual Freedom Privacy and Confidentiality Equity, Diversity and Access Fairness and Process Ethics, Integrity and Responsibility

62 Ana kavramlar Policy Name Scope Purpose Policy Statement
Roles/Responsibilities Definitions References Supporting Procedures Consequences/Sanctions for Non-Compliance

63 Doküman başlıkları Security Architecture Security Awareness
Security Implementation Security Management Data Security  Identity Theft  Incident Handling/Incident Response  Information Assurance   Network Vulnerability Assessment    Physical Security  Privacy  Security Planning Security Policies Security Risk Assessment and Analysis

64 Kaynaklar Computer and Network Security in Higher Education, Mark Luker and Rodney Petersen, editors. Collection of policies and policy development resources: Security policy primer, sample policies and templates: ve Google!

65 Sonuç Aklımda ne kaldı?

66 Sonuç ve Öneriler Bilgi Güvenliği Politikası Mutlaka olmalı
Gerektiği gibi hazırlanmalı ve uygulatılmalı Kriterler kullanılarak denetlenmeli Eğitim ve bilinçlendirme çalışmaları ile desteklenmeli Yılda bir gözden geçirilmeli

67 Teşekkürler...