BİLGİ GÜVENLİĞİ

Bilgi nedir? Bilgi, diğer önemli ticari varlıklar gibi bir organizasyon için belirli bir değeri olan varlıktır. Dolayısıyla uygun bir şekilde korunması gerekir. BS ISO 27002:2005

- Elektronik Dosya (Yazılım kodları, veri dosyaları) - Kağıt Belgeler (Basılı materyal, elle yazılan bilgiler, fotoğraflar) - Kayıtlar (Video kaydı, ses kaydı) - Sözlü İletişim (Telefon, yüzyüze) - Yazılı İletişim (E-posta, faks, anlık ileti)

BİLGİ GÜVENLİĞİ NEDİR? Bilginin; hukuka aykırı, her türlü yetkisiz erişimden, kullanımından, ifşa edilmesinden, yok edilmesinden, değiştirilmesinden veya hasar verilmesinden korunması işlemidir.

Bilgi güvenliği, 3 temel unsurdan oluşmaktadır. Gizlilik; Bilginin yetkisiz kişilerce erişilememesidir. Bilginin yetkisiz kişilerce açığa çıkarılmasının engellenmesidir. Bütünlük; Bilginin doğruluğunun ve tamlığının sağlanmasıdır. Bilginin içeriğinin değiştirilmemiş ve hiçbir bölümünün silinmemiş ya da yok edilmemiş olmasıdır. Kazara veya kasıtlı olarak bilginin bozulmamasıdır. Erişilebilirlik; Bilginin her ihtiyaç duyulduğunda sadece erişim yetkisi olanlar tarafından kullanıma hazır durumda olması demektir.

Güvenliğin sadece küçük bir kısmı % 20 teknik güvenlik önlemleri ile sağlanıyor. Büyük kısım ise % 80 kullanıcıya bağlı.

BİLGİ GÜVENLİĞİNİN AMACI Veri Bütünlüğünün Korunması Erişim Denetimi Gizliliğin Korunması Sistem Devamlılığının Sağlanması

Zararlı Programlar Neler Yapabilir? Bilgisayarınızdaki bilgileri çalabilir ve başkalarına gönderebilirler. İşletim sisteminizin veya diğer programlarınızın çalışmamasına, hatalı çalışmasına neden olabilirler. Bilgisayarınızdaki dosya / klasörleri silebilir, kopyalayabilir, yerlerini değiştirebilir veya yeni dosyalar ekleyebilirler.

saldırı türleri Süreçsel saldırılar Engelleme Dinleme Değiştirme Oluşturma İşlemsel saldırılar

Uyulması Gereken Kurallar Kullanıcı hesaplarını, kişisel amaçlarına yönelik kullanmamalıdır. Spam, zincir e-posta, sahte e-posta vb. zararlı e-postalara yanıt yazılmamalıdır. Kurumsal E-postalar yetkili kişilerce hukuksal açıdan gerekli görülen yerlerde önceden haber vermeksizin denetlenebilir. 6 ay süreyle kullanılmamış e-posta adresleri kullanıcıya haber vermeden kapatılmalıdır.

Floppy, USB, CD vs. gibi taşınabilir medya kullanımına özen gösterilmelidir. Başkaları ile paylaşıldığında bu ortamlar içerisinde gereğinden fazla bilgi bulunmamalıdır. İşlevi sona ermiş taşınabilir medya içindeki bilgi tekrar ortaya çıkarılamayacak şekilde yok edilmelidir. Taşınabilir medya, masa gibi açık alanlarda bırakılmamalıdır. Kağıt üzerindeki bilgiler de taşınabilir medya tanımına girebilir. Bir USB bellek, 1 milyon adet kağıtta yer alan bilgi kadar veri içerebilir.

E-posta Güvenliği Virüslerin en fazla yayıldığı ortam e-postalardır. Kaynağı tanınmayan e-postalar kesinlikle açılmamalıdır. Güvenilmeyen eklentiler açılmamalıdır. Gizli bilgi şifrelenmedikçe e-postalarla gönderilmemelidir. Spam e-postalara cevap verilmemelidir. E-posta adres bilgisi güvenilir kaynaklara verilmelidir.

Kullanıcı e-posta hesabına ait parolaları paylaşmamalıdır ve mesajlarının yetkisiz kişiler tarafından okunmasını engellemelidir. Kaynağı bilinmeyen e-posta ekinde gelen dosyalar kesinlikle açılmamalı ve tehdit unsuru olduğu düşünülen e-postalar ilgili birime haber vermelidir.

!!! Bilgisayar başından kalkarken ekran kilitlenmelidir. Parola kullanımı kullanıcı hesapları için ilk güvenlik katmanını oluşturmaktadır. Bu politika ile güçlü bir parola oluşturulması, oluşturulan parolanın korunması ve bu parolanın değiştirilme sıklığı hakkında standart oluşturulması amaçlanmaktadır. Parolalar e-posta iletilerine veya herhangi bir elektronik forma eklenmemelidir. Sistem hesaplarına ait parolalar (örnek; root, administrator, enable, vs.) en geç 6(altı) ayda bir değiştirilmelidir. Kullanıcı hesaplarına ait parolalar (örnek, e-posta, web, masaüstü bilgisayar vs.) en geç 45(kırk beş) günde bir değiştirilmelidir. !!! Bilgisayar başından kalkarken ekran kilitlenmelidir.

Parolalar genel olarak iki şekilde ele geçirilebilir: 1)Tahmin ederek ya da deneme yanılma yolu ile ele geçirilebilir. 2) Parolanızın çalınması ile yani hırsızlık yaparak ele geçirilebilir. Olası Senaryolar: Tanıdığın bir kişi senin hakkında bildikleriyle parolanı tahmin edebilir. Tanımadığın bir kişi ise herkesin sık kullandığı bilinen, basit parolaları deneyerek şifreni bulabilir. Parolanı bulmak isteyen kişi özel programlar kullanarak sık kullanılan yüzlerce parola örneğini ya da sözlüklerdeki binlerce kelimeyi hızlıca deneyerek parolanı belirleyebilir. İyi korunmayan, yazılı ya da sözlü olarak paylaşılan parolalar, yazılı bulunduğu ortama ulaşılarak ya da kulak misafiri olunarak ele geçirilebilir. Bilgisayar virüsleri gibi zararlı programlar da bilgisayardaki işlemlerini izleyerek parolanı ele geçirebilir. Kullanıcı, parolasını başkası ile paylaşmamalı, kâğıtlara ya da elektronik ortamlara yazmamalıdır.

Güvenli Parola Nasıl Olmalı? En az 8 haneli olmalıdır. İçerisinde en az 1 tane harf bulunmalıdır. İçerisinde en az 2 tane rakam bulunmalıdır. İçerisinde en az 1 tane özel karakter bulunmalıdır. (@, !,?,^,+,$,#,&,/,{,*,-,],=) Aynı karakterler peş peşe kullanılmamalıdır. Sıralı karakterler kullanılmamalıdır. (abcd, qwert, asdf,1234,zxcvb...) Kullanıcıya ait anlam ifade eden kelimeler içermemelidir. (Aileden birisinin, arkadaşının, bir sanatçının, sahip olduğu bir hayvanın ismi, arabanın modeli vb.)

Kötü Şifre Örnekleri Kullanıcının adı ve soyadı alicelik İçerisinde kullanıcı ismi ve soyismi geçiyor. Ali_celik1234 Kelimenin türevi Kalem111 Sözlüklerde bulunan bir kelime. Bunun yanında 8 karakterden az. Kalem Özel isim Mercedes Çok kullanılan karakter sıraları. Qwerty123 Doğum tarihi ya da önemli bir tarih. 13nisan1967 Araç plakası. 34bg356 Özel isim. Kullanıcının doğum yeri ise daha zayıf bir şifredir. antalya Kullanıcı isminin türevi de zayıf bir şifredir. 8 karakterden az. ali123 Kullanıcının soyismi. 8 karakterden az. Sadece harfler kullanılmış. Özel karakterler, rakamlar kullanılmamış. celik

SOSYAL MÜHENDİSLİK Sosyal Mühendislik, normalde insanların tanımadıkları biri için yapmayacakları şeyleri yapmalarını sağlama sanatıdır. Etkileme ve ikna yöntemlerini kullanırlar. Kullandığı en büyük silahı, insanların zafiyetleridir. İnsan, güvenliğin en zayıf halkasıdır.

SOSYAL MÜHENDİSLİK ÖNLEME YÖNTEMLERİ Telefonda kuruma ait bilgiler, karşıdaki kişinin doğru kişi olduğuna emin olmadan verilmemelidir Çalışanları kuruma dahil ederken özgeçmişleri, alışkanlıkları ve eğilimleri incelenmelidir Kurum çöpleri (büro malzemeleri, not kağıtları, bordrolar vs.) tamamen kullanılmaz hale getirilmeli daha sonra atılmalıdır Sistem yöneticilerinin, kurumsal bilgileri posta listelerinde, arkadaş ortamlarında ve benzeri yerlerde anması önlenmelidir Önemli sunuculara fiziksel erişimin olduğu noktalarda biometrik doğrulama sistemleri (retina testi, parmak izi testi vs.) ve akıllı kart gibi harici doğrulama sistemleri kullanılmalıdır

5651 Sayılı Kanun İnternet ortamında yapılan yayınların düzenlenmesi ve bu yayınlar yoluyla işlenen suçlarla mücadele edilmesi hakkında kanun (kabul tarihi: 4/5/2007) Madde 1:Bu Kanunun amaç ve kapsamı, içerik sağlayıcı, yer sağlayıcı, erişim sağlayıcı ve toplu kullanım sağlayıcılarının yükümlülük ve sorumlulukları ile internet ortamında işlenen belirli suçlarla içerik üzerinden mücadeleye ilişkin esas ve usulleri düzenlemektir.

Bazı Yanlış Düşünceler Güvenlikten bilgi işlem sorumludur. Antivirüs yazılımımız var, dolayısıyla güvendeyiz! Kurumumuz güvenlik duvarı (firewall) kullanıyor, dolayısıyla güvendeyiz! Bilgimin kopyasını alıyorum, güvenlikten bana ne! Bir çok güvenlik saldırısı kurum dışından geliyor!

2007 YILINDA “SAĞLIK BAKANLIĞI YÖNETİCİLER VE PERSONEL İÇİN BİLGİ GÜVENLİĞİ POLİTİKASI” YAYINLAMIŞTIR.

Hastane bilgi işlem elemanlarına yapılan farkındalık anket sonucu

MADDE 136. - (1) Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, bir yıldan dört yıla kadar hapis cezası ile cezalandırılır.

Türkiye’de ve Dünyada İnternet Kullanımı

Internet’i kullandığınızda arkanızda saldırganlar için önemli izler bırakırsınız ...

TEŞEKKÜRLER