Üniversitelerde Bilgi Güvenliği Politikaları

Slides:



Advertisements
Benzer bir sunumlar
Bilgi Güvenliği Farkındalık Eğitimi
Advertisements

Kamu Yönetimi Etiği Personel Genel Müdürlüğü Ahmet DÜZGÜN
6331 SAYILI İŞ SAĞLIĞI ve GÜVENLİĞİ KANUNU
Kalite Koordinasyon Grubu, Genel Bilgilendirme Toplantıları
Kapasite Geliştirme Çalıştayı Dr. Serap OĞUZ TANATAR Lefkoşa, 09 Kasım 2010 Project: EuropeAid/124745/D/SER/CY Roadway Safety Education & Campaigning TRAFİK.
BİLGİ GÜVENLİĞİ.
Bilişim Sistemleri Mühendisliği Bölümü
KAMU İÇ KONTROL SİSTEMİ STRATEJİ GELİŞTİRME DAİRE BAŞKANLIĞI
İŞLETMELER VEYA KİŞİLERİN HEDEFİ, EN İYİ OLMAK İSTİYORUM + -
INTERNET TABANLI HASTA KAYDI PAYLAŞIMI VE TELEKONSÜLTASYON PLATFORMU
BİLGİ GÜVENLİĞİ MEHTAP KILIÇ
ISO Çevre Yönetim Sistemi ve Çevresel Risk Analizi
İŞ SAĞLIĞI VE GÜVENLİĞİ KÜLTÜRÜ
İÇ KONTROL SİSTEMİ ve KAMU İÇ KONTROL STANDARTLARI
SINIF YÖNETİMİ Sınıf; eğitim-öğretim etkinliklerinin
6331 Sayılı İş Sağlığı ve Güvenliği Kanunu
Proje Dosyanızda Yer Alacak Belgeler
Sistem Geliştirme Sistemin tanımı. Sistemin Temel özellikleri
OHSAS YÖNETİM SİSTEMİ TANIMLAR
İSİG Politikası ve Güvenlik Kültürü
ELEKTRONİK ORTAMDA DENETİME GENEL BAKIŞ Prof. Dr
Yrd.Doç.Dr. Arzu ÜLGEN AYDINLIK
HALK KÜTÜPHANELERİ SOSYAL AĞLARDA HALK KÜTÜPHANELERİNE ERİŞİM.
Doç. Dr. Atilla SANDIKLI BİLGESAM Başkanı
Sistem ve Ağ Yönetiminde Parola Yönetim Zorlukları
ÜÇÜNCÜ BÖLÜM İÇ DENETİM VE İÇ KONTROL SİSTEMİ
Bilgisayar Sistemleri Güvenliği
Kurumlarda Bilgi Güvenliği Politikaları
Üniversiteler için Buluş Yönetim Ofisi Modeli Özgür KULAK, Namık Kemal Üniversitesi
BİLGİSAYARDA GÜVENLİK
LOGO EJDER ORUÇ Teknik Düzenleme ve Standardizasyon Dairesi Başkanı.
İÇ KONTROL UYUM EYLEM PLANI VE YOL HARİTASI. İÇ KONTROL İç kontrol genel olarak idarenin amaçlarına, belirlenmiş politikalara ve mevzuata uygun olarak;
1) İşveren veya vekili (okul/kurum müdürü)
Sertaç ATEŞ Bilişim Teknolojileri Öğretmeni Gürçeşme Anadolu Lisesi
Bingöl Kamu Hastaneleri Birliği
KONULARIMIZ BEP Tanımı Amacı BEP nedir? \ ne değildir?
İş Sağlığı ve Güvenliği
Bilişim Güvenliği Hazırlayan: Ümüt EZER. Bili ş im Güvenli ğ i : Sahip oldu ğ umuz bili ş im altyapısının sadece i ş süreçleri için tanımladı ğ ımız amaçlar.
ISO ÇEVRE YÖNETİM SİSTEMİ TEMEL EĞİTİMİ
Planlama ve Politika. Güvenlik Problemi Çalışanların Sorumlu Olduğu Olaylar %70-80 Dış Saldırılar %20-30 Bilgisayar Kötü Kullanımı  Kullanım hataları.
Örgütsel bilgi kullanımı
İnsan Bilgisayar Etkileşimi Alanında Yılları Arasında Türkiye Kökenli Bilim İnsanları Tarafından Yapılan Çalışmalar Üzerine Bir İçerik Analizi.
BALIKESİR ÜNİVERSİTESİ BİRİMLERİ KAMU İÇ KONTROL STANDARTLARINA UYUM EYLEM PLANININ HAZIRLANMASI BALIKESİR ÜNİVERSİTESİ BİRİMLERİ KAMU İÇ KONTROL STANDARTLARINA.
ISO 9001:2015 KALİTE YÖNETİM SİSTEMİ ŞARTLAR
Ağ ve Sistem Güvenliği’nde Yaygın Problemler
Bilişim Teknolojileri Kullanımında Güvenlik Temel Kavramlar ve Bilgi Güvenliği.
Bilişim Suçlarıyla İlgili Mevzuat 2- AB’ye Uyum. Avrupa Birliği’ne uyum sürecinde Bilişim suçları ve güvenliği ile ilgili Türkiye’yi bağlayan bir başka.
Bilişim Teknolojileri Güvenliği. BT Güvenliği Bilişim teknolojisi kullanan bir kuruluşun en önemli hedeflerinden biri bu teknolojiyi gerektiği gibi çalışır.
FAALİYET RAPORLARI ve HAZIRLAMA ESASLARI
Bilişim Suçlarıyla İlgili Mevzuat 3- BM Kararları.
YÖNETİM SÜRECİ VE ÖZELLİKLERİ
Topluluk İnovasyon Girişimi Süreç Açıklaması ve Yol Haritası Dokümanı 26 Mayıs
Ulusal Bilgi Sistemleri Güvenlik Programı Bilge KARABACAK 8 Haziran 2007, Ankara.
KAMU YÖNETİMİNDE İÇ KONTROL SİSTEMİ ve İÇ KONTROL EYLEM PLANININ UYGULANMASI KAMU YÖNETİMİNDE İÇ KONTROL SİSTEMİ ve İÇ KONTROL EYLEM PLANININ UYGULANMASI.
 Bir projeyi yönetmek üzere görevlendirilen ve projeyi, mümkün olan en yüksek üretkenlik, en düşük belirsizlik ve risk ile yürütmekten sorumlu kişidir.
Bilgisayar Mühendisliğindeki Yeri
Sistem Analizi ve Tasarımı
Temel Bilgi Teknolojileri
Çankaya Üniversitesi Personel Daire Başkanlığı
BİLGİSAYAR VE İNTERNETİN ETİK KULLANIMI
6.3. Şikayet ve Disiplin Şikayet: İşgörenlerin, iş, işletme ve yönetimle ilgili rahatsızlıklarını ifade biçimidir. Yönetim, işgörenlerden gelen tüm şikayetlere.
ÇALIŞANLARIN İŞ SAĞLIĞI VE GÜVENLİĞİ EĞİTİMLERİNİN USUL VE ESASLARI HAKKINDA YÖNETMELİK 15 Mayıs 2013  ÇARŞAMBA RG Sayı :
Problem Çözme Yaklaşımları
“Gizlilik, Bireysel Haklar, Kişisel Verilerin Korunması”
NİŞANTAŞI ÜNİVERSİTESİ turizm mevzuatı
Yazılım Mühendisliği Temel Süreçler - Sistem Analizi
SİBER GÜVENLİK BÖLÜM 6.
KALİTE KOORDİNATÖRLÜĞÜ KALİTE KOMİSYONU BİLGİLENDİRME TOPLANTISI
NİŞANTAŞI ÜNİVERSİTESİ
Çevre ve Şehircilik Bakanlığından: SIFIR ATIK YÖNETMELİĞİ
Sunum transkripti:

Üniversitelerde Bilgi Güvenliği Politikaları Yrd. Doç. Dr. Tuğkan Tuğlular tugkantuglular@iyte.edu.tr İzmir Yüksek Teknoloji Enstitüsü Bilgisayar Mühendisliği Bölümü Bilgi Sistemleri Stratejisi ve Güvenliği ( IS3 ) Laboratuvarı

İçerik Güvenlik Problemi ve Çözüm Yaklaşımı Politika Temel Taşları Politika Geliştirilmesi Politika Belgesi Üniversitelerde Uygulama

Bilgisayar Kötü Kullanımı Güvenlik Problemi Bilgisayar Kötü Kullanımı Kullanım hataları Atıl kullanımlar Kötüye kullanımlar Bilgisayar suçları Çalışanların Sorumlu Olduğu Olaylar %70-80 Dış Saldırılar %20-30 Aksayan İşleyiş Yanlış Sonuçlar Maddi / Manevi Kayıplar

Çözüm Yaklaşımı Yetenek İstek Bilgi Birikimi Alışkanlık Risk Analizi Politikalar Önlemler

Yaklaşım Değişim Süreci Rekabette Avantaj Safhası Kültür Safhası Güvenlik Düzeyi Politika Safhası Polislik Safhası Güven Safhası Zaman

İzlenecek Yol Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar Risk Analizi Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar Öncelikli Riskler

Değer Varlıklar Donanım Yazılım Veri - Bilgi İnsan

Korunacak Nitelikler Gizlilik Doğruluk Bütünlük Özgünlük Kullanılabilirlik

Zayıflıklar kırılgan

Zayıflıklar kırılgan

Tehditler Okuma Değiştirme Ekleme Tekrarlama Kullanılamaz Kılma Ortadan Kaldırma

Kazalar Eyvah, ne yaptım ben!

İhmaller Ben mi!

Saldırılar Başardım!

Saldırılar Dinleme Şifre Kırma Trafik Bloklama / Tekrarlama Hizmet Engelleme Yetkisiz Erişim Nüfuz Etme

Risk = Tehdit * Oluşma Olasılığı * Zarar Riskler Risk = Tehdit * Oluşma Olasılığı * Zarar

İzlenecek Yol Hedefler / Kapsam Sorumluluklar / Cezalar Önlemler Risk Analizi Hedefler / Kapsam Sorumluluklar / Cezalar Önlemler Politika Geliştirilmesi

İzlenecek Yol Yönetsel Prosedürler Mekanizmalar Uygulatma Sorumluluğu Risk Analizi Yönetsel Prosedürler Mekanizmalar Uygulatma Sorumluluğu Politika Geliştirilmesi Önlemlerin Uygulanması

Politika Temel Taşları Tanım Hedefler Yapı İçerik Yaşam Döngüsü Özellikler

Politika Tanımı “Bir kurumun değerli bilgilerinin yönetimini, korunmasını, dağıtımını ve önemli işlevlerinin korunmasını düzenleyen kurallar ve uygulamalar bütünüdür.” “Politikası olmayan kurum, nereye gideceğini bilmeyen insana benzer.” [Branstad, 1997]

Politika Hedefleri Yönetimin perspektifini çalışanlara aktarmak Yönetimin çalışanlara verdiği desteği göstermek Etkinliklerin koordinasyonunu sağlamak Etkinlikler arasında tutarlılık sağlamak Disiplin suçları için temel oluşturmak Davalara karşı önlem almak

Politika Özellikleri Yönergeler ; kanunların karşısında olmamalıdır, kurum özellikleri dikkate alınarak geliştirilmelidir, ilişkilendirilip bir bütün haline getirilmelidir, zaman içinde değişiklik gerektirir, uygulatılabilirse başarılı olur.

Politika Yapısı Temel Politika Gereksinim Gereksinim Politikası Mekanizmalar Kurallar

Politika Yapısı Bilgi Güvenliği Politikası Bilgisayar Fiziksel Güvenlik Politikası Ağ Güvenliği Politikası Bilgisayar Kullanım Politikası

Temel Politika İçeriği Politika Hedefleri Politika Gereksinimleri Politika Kapsamı Kullanıcı Sorumlulukları Politika İhlali Durumunda Verilecek Cezalar

Politika Hedefleri Kurumumuz bilgi sistemi değer varlıklarını bilgisayar saldırılarından korumak, Bu tür saldırıların kurumumuza ve çalışanlarımıza verebileceği zararları asgariye indirmek ve Anılan varlıkların anayasa, yasalar ve meslek ahlakı dahilinde kullanılmasını sağlamaktır.

Politika Gereksinimleri Önlem, tespit, tepki ve güvence yaklaşımları güvenlik yönetim modeline uygun olmalıdır. İlgili politikalar kurum çalışmalarını asgari düzeyde etkilemelidir. Kurum yönetimi tarafından gerekli görülmeli ve gerekliliği çalışanlara anlatılmalıdır.

Politika Gereksinimleri İlgili politikalara ait prosedürler / mekanizmalar ; Diğerlerinden etkilenmemelidir. Değişiklere uyum gösterebilmelidir. Hata toleransına sahip olmalıdır. Farklı kaynaklardan bilgi toplayabilmelidir. Asgari insan etkileşimi ile çalışabilmelidir.

Politika Kapsamı Kurumumuz bilgisayar sistemi kullanıcıları ile kurumumuz bilgisayar sistemini herhangi bir şekilde kullanmak isteyenleri kapsar ve anılan kişilerin bilgisayar sistemi ilgili doğrudan ve dolaylı tüm etkinliklerini içerir.

Politika Sorumlulukları Kullanıcılar ; Bilgi Güvenliği Politikası'na uymakla yükümlüdür. Sergiledikleri etkinliklerden ve sonuçlarından sorumludur. Sorumluluklarının gereğini en hızlı ve en doğru şekilde yerine getirmelidir. Politika ile ilgili varsayımlarda bulunmamalıdır.

Politika Sorumlulukları Son Kullanıcı Sorumlulukları Genel sorumluluklar Gözlem ve müdahale sorumlulukları Bildirim sorumlulukları Yönetici Sorumlulukları Uygulatma sorumlulukları Eğitim sorumlulukları

Politika Cezaları Kayıpların karşılanması Uyarı cezası Yetki azaltma İşten çıkarma Dışarıdan bir saldırı söz konusu ise, konu toplanan kanıtlarla birlikte adli makamlara bildirilecektir.

Politika Yaşam Döngüsü Politika Geliştirme Politika Yerleştirme Politika Uygulatma Politika Güncelleme Apply software engineering approach Politika İzleme

Politika Geliştirilmesi Politika Geliştirme Ekibi Politika Geliştirme Yöntemi Politika Uygulama ve Uygulatma Yaklaşımı Politika Güncelleme Süreci

Politika Geliştirme Ekibi Üst düzey yönetici Kurum avukatı Tipik bir kullanıcı Bilgisayar sistem yöneticisi Politikayı kaleme alacak bir yazar

Politika Geliştirme Yöntemi Başka kuruma ait politikalar aynen alınır Taslak Politika Oluşturulur Sistem Yöneticisi,Kullanıcı,Yazar Önerilecek Politika Kararlaştırılır Proje Geliştirme Ekibi Başka kuruma ait politikalar değiştirilerek alınır Önerilecek Politika Kesinleştirilir Bilgisayar Güvenliği Yöneticisi Politikalar sıfırdan başlayarak geliştirilir Politika Resmen Onaylanır En Yetkili Yönetici

Politika Hazırlanması Genel Hedefler BAŞLA Hayır Gerçekçi mi? Spesifik Hedefler Hayır Evet Kabul edilebilir mi? Önlem Yaklaşımı Evet Dökümantasyon BİTİR

Politika Uygulatma Yaklaşımı Bilgisayar güvenliğini tehdit edici davranışlar; 1- Oluşmamasını sağlamak 2- Önlemek 3- Oluşur ise bunları belirlemek 4- Sorumluları yakalamak ve cezalandırmak

Önlem Yaklaşımı SAKINMA KORUNMA TESPİT KURTARMA Apply software engineering approach

Politika Güncelleme Süreci Kurum İçi Değişiklikler Kurum Dışı Değişiklikler Güvenliği Tehdit Eden Davranışlar Periyodik Gözden Geçirme Politika İzleme

Politika Belgesi Amaç ve Kapsam Kurum ve Bilgisayar Sistemi Tanıtımı İçerik Amaç ve Kapsam Kurum ve Bilgisayar Sistemi Tanıtımı Risk Analizi Önlem Tasarımı Politika Uygulama, Uygulatma Planları Politika Güncelleme Koşulları Yazım Şekli

Politika Yazım Şekli Kesin ve net ifadeler Kurum koşullarını dikkate alan ifadeler Detay içermeyen abstrakt ifadeler Yorumlamaya ilişkin açıklamalar Yorumlamaya ilişkin örnekler Yazım Şekli

Üniversitelerde Uygulama Üniversitelerin Özellikleri Dikkate Alınmalı Düşüncelerin açık tartışıldığı bir ortam Kısıtlanmaktan hoşlanmayan bir topluluk Prensiplerle işleyen bir düşünme yöntemi Dene(me)yi ilke edinmiş bir çalışma yöntemi Ayrıntıları tartışan bir karar alma yöntemi

Üniversitelerde Uygulama Bilgi Teknolojileri Kullanma Bilinci Eğitimi Alışkanlığı Kültürü GÜVENLİK bir gereksinim

Üniversitelerde Uygulama Ne yapmalı??? Uzun Vadeye Yayılan Bir Dönüşüm Bilinçlendirme Etkinlikleri Sürekli Eğitim Politika Temelli Yönetim Güvenlik Çalışmaları

Üniversitelerde Uygulama Politika Geliştirme Ekibi Rektör Yardımcısı İnsan İlişkilerinde Tecrübeli Akademik Kişi Yönetmelikler Konusunda Tecrübeli İdari Kişi Güvenlik Alanında Uzman Bir Kişi Bilgi Teknolojileri Konusunda Uzman Bir Kişi

Üniversitelerde Uygulama Politika Geliştirme Yöntemi Prensiplerden yola çıkmalı ACM Code of Ethics, Netiquette Core Rules Üniversitelerin tecrübelerindan yararlanılmalı Geri beslemeye açık politika temelli yönetim Uygulanabilir ve uygulatılabilir bir politika

Sonuç ve Öneriler Bilgi Güvenliği Politikası Mutlaka olmalı Gerektiği gibi hazırlanmalı ve uygulatılmalı Kriterler kullanılarak denetlenmeli Eğitim ve Bilinçlendirme çalışmaları ile desteklenmeli Yılda bir gözden geçirilmeli

İlginize teşekkür ederim… Yrd. Doç. Dr. Tuğkan Tuğlular