Kurumlarda Bilgi Güvenliği Politikaları Semih Pekol
Gündem Güvenlik Problemi ve Çözüm Yaklaşımı Politika Temel Taşları Politika Geliştirilmesi Politika Belgesi Kurumlarda Uygulama
Bilgisayar Kötü Kullanımı Maddi / Manevi Kayıplar Güvenlik Problemi Bilgisayar Kötü Kullanımı Kullanım hataları Atıl kullanımlar Kötüye kullanımlar Bilgisayar suçları Çalışanların Sorumlu Olduğu Olaylar %70-80 Dış Saldırılar %20-30 Aksayan İşleyiş Yanlış Sonuçlar Maddi / Manevi Kayıplar
Çözüm Yaklaşımı Yetenek İstek Bilgi Birikimi Alışkanlık Risk Analizi Politikalar Önlemler
Yaklaşım Değişim Süreci Rekabette Avantaj Safhası Güvenlik Düzeyi Zaman Kültür Safhası Politika Safhası Polislik Safhası Güven Safhası
Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar İzlenecek Yol Risk Analizi Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar Öncelikli Riskler
Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar Öncelikli Riskler Donanım Yazılım Veri-Bilgi İnsan
Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar Korunacak Nitelikler . Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar Öncelikli Riskler Gizlilik Doğruluk Bütünlük Özgünlük Kullanılabilirlik
Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar Öncelikli Riskler kırılgan
Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar Öncelikli Riskler kırılgan
Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar Öncelikli Riskler Okuma Değiştirme Ekleme Tekrarlama Kullanılamaz Kılma Ortadan Kaldırma
Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar Kazalar Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar Öncelikli Riskler Eyvah, ne yaptım ben!
Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar İhmaller Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar Öncelikli Riskler Ben mi?
Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar Saldırılar Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar Öncelikli Riskler Başardım!
Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar Saldırılar Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar Öncelikli Riskler Dinleme Şifre Kırma Trafik Bloklama / Tekrarlama Hizmet Engelleme Yetkisiz Erişim Nüfuz Etme
Riskler Risk = Tehdit * Oluşma Olasılığı * Zarar Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar Öncelikli Riskler Risk = Tehdit * Oluşma Olasılığı * Zarar
Risk Yönetimi Ne kadar risk ile yaşamaya razıyım? Hiçbir risk tamamiyle yok edilemez Sonuçları can yakıcı ise toleransınız düşük olur Sonuçları ihmal edilebilir ise daha fazla risk alabilirsiniz
Sorumluluklar / Cezalar İzlenecek Yol Risk Analizi Hedefler / Kapsam Sorumluluklar / Cezalar Önlemler Politika Geliştirilmesi
Uygulatma Sorumluluğu İzlenecek Yol Risk Analizi Yönetsel Prosedürler Mekanizmalar Uygulatma Sorumluluğu Politika Geliştirilmesi Önlemlerin Uygulanması
Güvenlik Politikasının Temel Taşları Ne yapacağız?
Politika Temel Taşları Tanım Hedefler Yapı İçerik Yaşam Döngüsü
Politika Tanımı “Bir kurumun değerli bilgilerinin yönetimini, korunmasını, dağıtımını ve önemli işlevlerinin korunmasını düzenleyen kurallar ve uygulamalar bütünüdür.” “Politikası olmayan kurum, nereye gideceğini bilmeyen insana benzer.” [Branstad, 1997]
Politika Hedefleri Yönetimin perspektifini çalışanlara aktarmak Yönetimin çalışanlara verdiği desteği göstermek Etkinliklerin koordinasyonunu sağlamak Etkinlikler arasında tutarlılık sağlamak Disiplin suçları için temel oluşturmak Davalara karşı önlem almak
Politika Özellikleri Yönergeler Kanunların karşısında olmamalıdır, Kurum özellikleri dikkate alınarak geliştirilmelidir, İlişkilendirilip bir bütün haline getirilmelidir, Zaman içinde değişiklik gerektirir, Uygulatılabilirse başarılı olur.
Politika Yapısı Temel Politika Gereksinim Politikası Gereksinim Mekanizmalar Kurallar
Politika Yapısı Kurum Vizyonu Kurum Misyonu X Politikası Y Politikası Bilgi Güvenliği Politikası
Politika Yapısı Bilgi Güvenliği Politikası Bilgisayar Fiziksel Güvenlik Politikası Ağ Güvenliği Politikası Bilgisayar Kullanım Politikası
o kadar güvende olursun Yatırım Güvenliği sağlamak için... yatırım gerekli Ne kadar yatırım yaparsan... o kadar güvende olursun
Kazanç Eğrisi Kazanç Yatırım
Temel Politika İçeriği Politika hedefleri Politika gereksinimleri Politika kapsamı Kullanıcı sorumlulukları Politika ihlali durumunda verilecek cezalar
Politika Hedefleri Kurumumuz bilgi sistemi değer varlıklarını bilgisayar saldırılarından korumak, Bu tür saldırıların kurumumuza ve çalışanlarımıza verebileceği zararları asgariye indirmek ve Anılan varlıkların anayasa, yasalar ve meslek ahlakı dahilinde kullanılmasını sağlamaktır.
Politika Gereksinimleri Önlem, tespit, tepki ve güvence yaklaşımları güvenlik yönetim modeline uygun olmalıdır İlgili politikalar kurum çalışmalarını asgari düzeyde etkilemelidir Kurum yönetimi tarafından gerekli görülmeli ve gerekliliği çalışanlara anlatılmalıdır
Politika Gereksinimleri İlgili politikalara ait prosedür ve mekanizmalar Diğerlerinden etkilenmemelidir Değişiklere uyum gösterebilmelidir Hata toleransına sahip olmalıdır Farklı kaynaklardan bilgi toplayabilmelidir Asgari insan etkileşimi ile çalışabilmelidir
Politika Kapsamı Örnek cümle: Kurumumuz bilgisayar sistemi kullanıcıları ile kurumumuz bilgisayar sistemini herhangi bir şekilde kullanmak isteyenleri kapsar ve anılan kişilerin bilgisayar sistemi ilgili doğrudan ve dolaylı tüm etkinliklerini içerir.
Politika Sorumlulukları Kullanıcılar; Bilgi Güvenliği Politikası'na uymakla yükümlüdür. Sergiledikleri etkinliklerden ve sonuçlarından sorumludur. Sorumluluklarının gereğini en hızlı ve en doğru şekilde yerine getirmelidir. Politika ile ilgili varsayımlarda bulunmamalıdır.
Politika Sorumlulukları Son Kullanıcı Sorumlulukları Genel sorumluluklar Gözlem ve müdahale sorumlulukları Bildirim sorumlulukları Yönetici Sorumlulukları Uygulatma sorumlulukları Eğitim sorumlulukları
Politika Cezaları Kayıpların karşılanması Uyarı cezası Yetki azaltma İşten çıkarma Dışarıdan bir saldırı söz konusu ise, konu toplanan kanıtlarla birlikte adli makamlara bildirilecektir
Politika Yaşam Döngüsü Politika Geliştirme Politika Yerleştirme Politika Uygulatma Politika Güncelleme Apply software engineering approach Politika İzleme
Politika Geliştirilmesi Nasıl yapacağız bunu?
Politika Geliştirilmesi Politika Geliştirme Ekibi Politika Geliştirme Yöntemi Politika Uygulama ve Uygulatma Yaklaşımı Politika Güncelleme Süreci
Politika Geliştirme Ekibi Üst düzey yönetici Kurum avukatı Tipik bir kullanıcı Bilgisayar sistem yöneticisi Politikayı kaleme alacak bir yazar
Politika Geliştirme Yöntemi Başka kuruma ait politikalar aynen alınır Taslak Politika Oluşturulur Sistem Yöneticisi,Kullanıcı,Yazar Önerilecek Politika Kararlaştırılır Proje Geliştirme Ekibi Başka kuruma ait politikalar değiştirilerek alınır Önerilecek Politika Kesinleştirilir Bilgisayar Güvenliği Yöneticisi Politikalar sıfırdan başlayarak geliştirilir Politika Resmen Onaylanır En Yetkili Yönetici
Politika Hazırlanması Genel Hedefler BAŞLA Hayır Gerçekçi mi? Spesifik Hedefler Hayır Evet Kabul edilebilir mi? Önlem Yaklaşımı Evet Dökümantasyon BİTİR
Politika Uygulatma Yaklaşımı Bilgisayar güvenliğini tehdit edici davranışlar Oluşmamasını sağlamak Önlemek Oluşur ise bunları belirlemek Sorumluları yakalamak ve cezalandırmak
Önlem Yaklaşımı SAKINMA KORUNMA TESBİT KURTARMA Apply software engineering approach
Politika Güncelleme Süreci Kurum İçi Değişiklikler Kurum Dışı Değişiklikler Güvenliği Tehdit Eden Davranışlar Periyodik Gözden Geçirme Politika İzleme
Politika Belgesi İçerik Yazım Şekli Amaç ve Kapsam Kurum ve Bilgisayar Sistemi Tanıtımı Risk Analizi Önlem Tasarımı Politika Uygulama, Uygulatma Planları Politika Güncelleme Koşulları İçerik Yazım Şekli
Politika Belgesi İçerik Yazım Şekli Kesin ve net ifadeler Kurum koşullarını dikkate alan ifadeler Detay içermeyen abstrakt ifadeler Yorumlamaya ilişkin açıklamalar Yorumlamaya ilişkin örnekler Yazım Şekli
Kuruluşlar www. infosyssec.net www. sans.org
Geliştirme Kuruluşlarında Uygulama Güvenlik politikasını nasıl yerleştirelim?
Uygun Yaklaşım Kuruluşların Özellikleri Dikkate Alınmalı Düşüncelerin açık tartışıldığı bir ortam Kısıtlanmaktan hoşlanmayan bir topluluk Prensiplerle işleyen bir düşünme yöntemi Dene(me)yi ilke edinmiş bir çalışma yöntemi Ayrıntıları tartışan bir karar alma yöntemi
Gereksinim Geliştirme Bilgi Teknolojileri Kullanma Bilinci Eğitimi Alışkanlığı Kültürü GÜVENLİK bir gereksinim
Uygulama Süreci Uzun Vadeye Yayılan Bir Dönüşüm Bilinçlendirme Etkinlikleri Sürekli Eğitim Politika Temelli Yönetim Güvenlik Çalışmaları
Ekip Politika Geliştirme Ekibi Genel Müdür Yardımcısı İnsan İlişkilerinde Uzman Bir Kişi Yönetmelikler Konusunda Tecrübeli İdari Kişi Güvenlik Alanında Uzman Bir Kişi Bilgi Teknolojileri Konusunda Uzman Bir Kişi
Yöntem Politika Geliştirme Yöntemi Prensiplerden yola çıkmalı ACM Code of Ethics, Netiquette Core Rules Benzer kurumların tecrübelerindan yararlanılmalı Geri beslemeye açık politika temelli yönetim Uygulanabilir ve uygulatılabilir bir politika
Yüksek Öğrenim Kurumlarında Uygulama Güvenlik politikasını nasıl yerleştirelim?
Özellikler Yüksek öğrenim kurumları, şirket veya devlet kuruluşlarına göre daha "açık" ortamlar Öğrenci yurtları ortamı Kütüphanelerin araştırma servisleri Teknik laboratuvarlar: geliştirme ve deneme çalışmaları Sansür ve sınırlama çizgisi Güvenlik için alınacak önlemlerin bu ortamı ve değerleri engellememesi gerek Güvenlik ve bu özellikleri dengeleyecek bir ortam yaratılmalı
ACUPA'nın önerisi http://www.inform.umd.edu/ACUPA/projects/process
Politika Geliştirme Süreci Predevelopment Identify Issues Conduct Analysis Development Draft Language Get Approvals Determine Distribution/Education Maintenance Solicit Evaluation and Review Plan Measurement and Compliance
Özellikler Sağlam bir güvenlik politikasından beklenen özellikler: Setting the Stage Writing Approving Distributing Educating Enforcing Reviewing Consistency with University values and mission Identification and involvement of stakeholders Informed participants Assess cost-benefit Preventing reinvention of the wheel Use a common format Agree on common definitions & terms Allow for user feedback Discussion and consensus building Wide review and input Approval from senior administrative levels Ease of access to resources Online Accessible from one location Allow for text and other searches Send email to official distribution lists Include contacts to answer questions Hold a policy day Have traveling road shows! Have signed user agreements Require policies to be read before services granted Create policy enforcement office Assess liability/ feasibility Respond to complaints Identify an owner for each policy Develop a plan for active maintenance Archive, date, and notify constituencies of major changes
Prensipler Politika oluşturma için altı prensip: Civility and Community Academic and Intellectual Freedom Privacy and Confidentiality Equity, Diversity and Access Fairness and Process Ethics, Integrity and Responsibility
Ana kavramlar Policy Name Scope Purpose Policy Statement Roles/Responsibilities Definitions References Supporting Procedures Consequences/Sanctions for Non-Compliance
Doküman başlıkları Security Architecture Security Awareness Security Implementation Security Management Data Security Identity Theft Incident Handling/Incident Response Information Assurance Network Vulnerability Assessment Physical Security Privacy Security Planning Security Policies Security Risk Assessment and Analysis
Kaynaklar Computer and Network Security in Higher Education, 2003. Mark Luker and Rodney Petersen, editors. http://www.educause.edu/asp/doclib/abstract.asp?ID=PUB7008 Collection of policies and policy development resources: www.educause.edu/security Security policy primer, sample policies and templates: http://www.sans.org/resources/policies/ ve Google!
Sonuç Aklımda ne kaldı?
Sonuç ve Öneriler Bilgi Güvenliği Politikası Mutlaka olmalı Gerektiği gibi hazırlanmalı ve uygulatılmalı Kriterler kullanılarak denetlenmeli Eğitim ve bilinçlendirme çalışmaları ile desteklenmeli Yılda bir gözden geçirilmeli
Teşekkürler... semih.pekol@boun.edu.tr