Copyright © 2007 - The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the Creative Commons Attribution-ShareAlike.

Slides:



Advertisements
Benzer bir sunumlar
TEHLİKELİ ATIK BEYAN SİSTEMİ (TABS)
Advertisements

Edirne Bölge Müdürlüğü
Uluslar arası Muhasebeciler Federasyonu
Presentation of the 21 ETCF II Partnerships ETCF-II is co-funded by the European Union and the Republic of Turkey TOBB.
AKILLI FAKS.
HASSAS GÖREV Hakan YÜKSEL Mart.
INTERNET VE HUKUK Zeynep Derman Hukuk Müşaviri SUPERONLINE A.Ş.
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.
ULAKAAI Kimlik Federasyonu
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the Creative Commons Attribution-ShareAlike.
Yeni TTK ve Doküman Yönetim Süreçleri Nasıl Dönüştürülüyor?
MODÜL 4 Organizasyon.
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.
Günümüzde ticari şirketler ve devlet kurumları işlerini sürdürebilmek için yoğun bir şekilde bilgi kullanımına yönelmişlerdir. Zaman geçtikçe bilginin.
BİLGİ GÜVENLİĞİ MEHTAP KILIÇ
T.C. ÇEVRE VE ORMAN BAKANLIĞI İç Denetim Başkanlığı TAŞINIR İŞLEMLERİNDE SİSTEM DENETİMİ UYGULAMASI Ahmet SANDAL, İç Denetçi (KİDES) Mehmet KURU,
KONTROL ORTAMI Defterdarlıklar İç Kontrol Eğitimi 10 Mart-27 Nisan 2013 Strateji Geliştirme Başkanlığı 1.
Burcu Musaoğlu Data Sistem A.Ş..
BTP 108 BİLGİSAYAR AĞ SİSTEMLERİ AĞ KAVRAMI Birden çok bilgisayarın birbirine bağlı olarak kullanılmasıyla oluşturulan çalışma biçimine bilgisayar ağı.
HAZİNE MÜSTEŞARLIĞI BİLGİ GÜVENLİĞİ YOL HARİTASI
VERİ ve AĞ GÜVENLİK POLİTİKASI
Ağ ve Sistem Yönetimi Şubesi
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.
Hassas Görevler hassas…çok….
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.
Risk Yönetimi Bingöl KHB Güvenliği Politikaları Eğitimi Sedat ADEMOĞLU
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.
Tarım Arazilerinin Sürdürülebilir Kullanımı
KONTROL FAALİYETLERİ Defterdarlık İç Kontrol Eğitimi 10 Mart-27 Nisan 2013 Strateji Geliştirme Başkanlığı.
PERFORMANS PROGRAMI HAZIRLAMA SÜRECİ
T.C. OKAN ÜNİVERSİTESİ SOSYAL BİLİMLER ENSTİTÜSÜ SAĞLIK YÖNETİMİ YÜKSEKLİSANS 1.PROGRAM SAĞLIK HUKUKU ÖDEVİ-II HAZIRLAYAN Dr Beytullah ŞAHİN AKADEMİK DANIŞMAN.
ÜÇÜNCÜ BÖLÜM İÇ DENETİM VE İÇ KONTROL SİSTEMİ
TTB UDEK eSağlık Çalışma Grubu Sonuç Raporu 4 Aralık 2009, İzmir.
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.
Strateji Geliştirme Başkanlığı. Strateji Geliştirme Başkanlığı.
Şişecam S ayısal Yönetimle Verim VIII. "Türkiye'de İnternet" Konferansı 20 ARALIK 2002 Canan Özcan Türkiye Şişe ve Cam Fab. A.Ş.
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.
ŞİŞECAM’DA BİLGİ GÜVENLİĞİ
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.
Kurumsal Yönetimde İç Denetimin Geleceği Esra Aydın
Proje Web Sitesi ve IPPC Envanter Veri Tabanı Onur Mat
Uzm. Fatma BAŞAR Cahit Arf Bilgi Merkezi Eğitim ve Tanıtım Sorumlusu 22 Eylül 2010 T.C. Sağlık Bakanlığı Eğitim Toplantısı TÜBİTAK.
Kurumsal İçerik Yönetimi Kapsamında Bilgi Güvenliği
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.
KONGRE YÖNETİM SİSTEMİ MEHMET TURAN M. SERTAÇ KELEŞ.
EDREMİT İLÇE MİLLİ EĞİTİM MÜDÜRLÜĞÜ Yönetim Paneli Kullanımı
Türk Hava Kurumu Üniversitesi
Kritik Finansal Sistemlerde Yazılım Değişiklik ve Takip Yönetim Sistemi Mehmet Vacit BAYDARMAN BİLGİ TEKNOLOJİLERİ.
AÇIK DERS MALZEMELERİ SAMİYE TUNCER
BALIKESİR ÜNİVERSİTESİ BİRİMLERİ KAMU İÇ KONTROL STANDARTLARINA UYUM EYLEM PLANININ HAZIRLANMASI BALIKESİR ÜNİVERSİTESİ BİRİMLERİ KAMU İÇ KONTROL STANDARTLARINA.
TÜRKİYE BİLİŞİM DERNEĞİ Kamu Bilişim Platformu - 17 E-Ticaret Güvenlik Sertifikasyonu ve Hukuksal Düzenlemeler 1 Çalışma Grubu ve Ötesi Kamu Hizmetlerinde.
BULUTBUDUR UYGULAMA GELİŞTİRME PLATFORMU.
YENİ TÜRK TİCARET KANUNU SÜRECİNDE YOL HARİTASI Hazırlayan: Recep Aşır Temmuz 2012.
Ulusal Bilgi Sistemleri Güvenlik Programı Bilge KARABACAK 8 Haziran 2007, Ankara.
KAMU YÖNETİMİNDE İÇ KONTROL SİSTEMİ ve İÇ KONTROL EYLEM PLANININ UYGULANMASI KAMU YÖNETİMİNDE İÇ KONTROL SİSTEMİ ve İÇ KONTROL EYLEM PLANININ UYGULANMASI.
TÜBİTAK 25 Ekim 2013 AKILLI SAYAÇLAR KORUMA PROFİLİ TÜBİTAK BİLGEM Ortak Kriterler Test Merkezi (OKTEM) Neslihan GÜLER 1.
TAPU ARŞİV DAİRESİ BAŞKANLIĞI FERMAN İYİLEŞTİRME TAKIMI FERMAN İYİLEŞTİRME TAKIMI.
Bir 802.1x Kimlik Kanıtlama Uygulaması: EDUROAM Figen Bozkurt Şule Toker
Bilgisayar Ağlarında Güvenlik
KAMUDA HASSAS GÖREV.
ERP Projesinin Aşamaları İzmir. ERP Projesinin Aşamaları SatışSatış - Başlangıç – Kurulum – Analiz – Plan – Uyarlama – Eğitim – Geliştirme.
(Öğrenci Transkript) Akademik Bilgi Ve Kayıt Sistemi Student
Yazılım Mühendisliği Temel Süreçler - Sistem Analizi
ÖNEMLİLİĞİN BELİRLENMESİ
TEST 1.
Sunum transkripti:

Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the Creative Commons Attribution-ShareAlike 2.5 License. To view this license, visit The OWASP Foundation OWASP Day Turkey - Sep Türkiye’deki Kamu Kurumlarında Bilgi Mahremiyeti– Durum Analizi Hayrettin Bahşi TÜBİTAK-UEKAE

OWASP Günü – Türkiye – Eylül Ajanda  Bilgi Mahremiyeti Tanımı  Mahremiyeti Sağlanması Gereken Bilgiler  Kamu Kurumlarında Bilgi Kritiklik Seviyeleri  Kamu Kurumlarında Tehdit Algılamaları  Temel Web Uygulama Güvenliği Eksiklikleri  Web Uygulamalarında Teknik Bilgi Mahremiyeti Eksiklikleri  Yapılması Gerekenler

OWASP Günü – Türkiye – Eylül 2007 Bilgi Mahremiyeti Tanımı  Bilgi mahremiyeti Bir organizasyonun ya da kişinin kendisine ait bilginin akışını kontrol edebilmesi  Bilgi gizliliği Bilgiyi bilmesi gereken kişinin bilmesi (Need to know)  Bilgi mahremiyetinde  Mahremiyet doğrudan kişiyi ya da kurumu ilgilendirir, gizlilik ise bilgi ile doğrudan ilgilidir.  “Kimin neyi bilmesi gerektiği” net değil, kişiden kişiye değişebilir  Kanunlar sınırları çizmeye çalışıyor  Mahremiyet bir sonuç, gizlilik bir ilke ya da güvenlik mekanizmasıdır

OWASP Günü – Türkiye – Eylül 2007 Mahremiyeti Sağlanması Gereken Bilgiler  Vatandaşların kişisel bilgisi  Kamu kurumu çalışanlarının kişisel bilgisi  Özel şirketlere ait bilgiler  Mali veriler  Ticari veriler  Diğer kamu kurumlarının bilgileri  Denetim yapan kurumlarda diğer kurumların denetim raporları

OWASP Günü – Türkiye – Eylül 2007 Kamu Kurumlarında Bilgi Kritiklik Seviyeleri  Bilgi varlıklarının tam tespit edilememesi  “Hangi bilgi ne kadar kritik?” sorusunun ortak cevabının olmaması  Kritikliğin belirlenmiş ortak bir ölçüsünün olmaması  Ölçü varsa bile ölçüye göre bilginin kritikliğinin belirlenmemiş olması  Kritikliğe göre bilginin ele alınış kurallarının belirlenmemiş olması  Bilginin oluşturulma, taşınma, silme ve depolanma fazlarında uyulması gereken kurallar  Örneğin, “Gizli bilgiler e-posta ile yollanmaz”  “Gizli bilgi içeren kağıtların imhası yakılma ile olur”

OWASP Günü – Türkiye – Eylül 2007 Kamu Kurumlarında Bilgi Kritiklik Seviyeleri (2)  Yazılı dokümanlarda bile sınıflandırma eksikliği  Mahremiyeti ilgilendirilen bilgiler hakkında  “Kritiklik seviyesi nedir?”  Nasıl korunmalıdır? sorularının cevaplarının olmaması

OWASP Günü – Türkiye – Eylül 2007 Kamu Kurumlarında Tehdit Algılamaları  Yüksek bir dış tehdit algılaması  İç tehdit algılamasında eksiklikler  Bilgi güvenliği olaylarının takip edilememesi  Bilgi güvenliği bilinç eksikliği  İç tehdidin kapsamını genişletebilecek durumlar  Farklı kamu kurumlarının birbirine doğrudan bağlı olması  “Leased Line” hatlar  Doğrudan yerel alan ağlar arasında bağlantılar  Çoğu durumda bağlantılarda ağ erişim kontrolünün bile olmaması  Ülkenin değişik yerlerinde şubeler

OWASP Günü – Türkiye – Eylül 2007 Temel Web Uygulama Güvenliği Eksiklikleri  Kurumların kendilerinin geliştirdiği web uygulamaları  Çoğunlukla Intranet uygulamaları  Hızlı geliştirilen küçük uygulamalar  Geliştirici ve sistem yöneticilerinin web güvenliği konusundaki bilgi eksiklikleri  Güvenli olarak uygulama geliştirme ile ilgili süreçlerinin oluşturulmaması  Güvenlik gereksinimlerinin tam olarak belirlenmemesi  Geliştirme sürecinde güvenlik denetim eksiklikleri

OWASP Günü – Türkiye – Eylül 2007 Temel Web Uygulama Güvenliği Eksiklikleri (2)  Kurumların kendilerinin geliştirdiği web uygulamaları  Ürünlerin yeterince test edilememesi  Eski sistemlerin güncellenememesi  İş gücü yetersizliği  Güncellemeye gereken önemin verilmemesi  Eski sistemlerin sahiplerinin bulunamaması!  Canlı ortamda uygulama geliştirme  Test ortamı eksiklikleri

OWASP Günü – Türkiye – Eylül 2007 Temel Web Uygulama Güvenliği Eksiklikleri (3)  Taşerona verilen (outsource) uygulamalar  Güvenlik gereksinimlerinin yeterli düzeyde ele alınmaması  Erişim kontrol mekanizmalarında eksiklikler  İş mantığında (business logic) eksiklikler  Uygulama kayıt mekanizmalarındaki eksiklikler  Sözleşmelerde güvenlikle ilgili maddelerde eksiklikler  Ürünün güvenlik açısından kabulünün nasıl yapılacağı  Tespit edilen açıklıkların kapatılmasının destek kapsamında ele alınmaması  Canlı ortamda uygulama geliştirme

OWASP Günü – Türkiye – Eylül 2007 Web Uygulamalarında Teknik Bilgi Mahremiyeti Eksiklikleri  Özellikle eski sistemlerde çok temel sql-injection, XSS açıklıkları  İntranet web uygulamalarında ssl kullanılmaması  Yetkilendirme (Authorization) eksiklikleri  Yeterli erişim profilinin oluşturulmamış olması  İşlem, parametre vs bazında yetkilendirme eksiklikleri  Belirli bir hakka sahip olan kullanıcıların diğer kullanıcıların bazı haklarına sahip olabilmeleri  SSL kullanılan uygulamalarda kuvvetli algoritmaların sunucu tarafından zorlanmaması

OWASP Günü – Türkiye – Eylül 2007 Web Uygulamalarında Teknik Bilgi Mahremiyeti Eksiklikleri (2)  Yama yönetimi eksiklikleri  Uygulama yönetim modüllerindeki kimlik doğrulama ve yetkilendirme eksiklikleri  Parola kompleksliğinin zorlanmaması (özellikle intranet uygulamalarında)  Kullanıcıya dönen hata mesajları

OWASP Günü – Türkiye – Eylül 2007 Neler Yapılmalı?  Bilgi varlıkların envanterinin tutulması  Bilgi varlıklarının kritiklik derecelerinin belirlenmesi  Mahremiyeti sağlanması gereken bilgilerin kritiklik seviyesi  Söz konusu bilgilerin nasıl korunacağı  Bilgi güvenliği eğitimleri  Güvenli web uygulama geliştirme  Veritabanı güvenliği  Uygulama geliştirme döngüsünde güvenlik

OWASP Günü – Türkiye – Eylül 2007 Neler Yapılmalı? (2)  Uygulama geliştirme döngüsünde güvenlik  Güvenlik gereksinimlerinin belirlenmesi  Geliştirme aşamalarında yapılacak testler  Gerekli ilkelere en azından bundan sonra uyma  Web uygulamalarının güvenliğinin sertifikalandırılması  Daha hızlı bir Ortak Kriter (Common Criteria) değerlendirmesi  Periyodik güvenlik denetimleri  Bağımsız denetimler  İç denetimler

OWASP Günü – Türkiye – Eylül 2007 Neler Yapılmalı?  Etkin bir teknik açıklık yönetimi  İç tehdit algısının artırılması  Kritik sistemler için test ortamları  Denetim sonuçlarının değerlendirilmesi  Taşerona verilen projelerin sözleşmelerinde güvenlik ile ilgili maddeler  Uygulama geliştirme ortamlarının canlı sistemlerden ayrılması

OWASP Günü – Türkiye – Eylül 2007 Teşekkürler