Kurumlarda Bilgi Güvenliği Politikaları Semih Pekol

Gündem Güvenlik Problemi ve Çözüm Yaklaşımı Politika Temel Taşları Politika Geliştirilmesi Politika Belgesi Kurumlarda Uygulama

Bilgisayar Kötü Kullanımı Maddi / Manevi Kayıplar Güvenlik Problemi Bilgisayar Kötü Kullanımı Kullanım hataları Atıl kullanımlar Kötüye kullanımlar Bilgisayar suçları Çalışanların Sorumlu Olduğu Olaylar %70-80 Dış Saldırılar %20-30 Aksayan İşleyiş Yanlış Sonuçlar Maddi / Manevi Kayıplar

Çözüm Yaklaşımı Yetenek İstek Bilgi Birikimi Alışkanlık Risk Analizi Politikalar Önlemler

Yaklaşım Değişim Süreci Rekabette Avantaj Safhası Güvenlik Düzeyi Zaman Kültür Safhası Politika Safhası Polislik Safhası Güven Safhası

Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar İzlenecek Yol Risk Analizi Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar Öncelikli Riskler

Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar Öncelikli Riskler Donanım Yazılım Veri-Bilgi İnsan

Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar Korunacak Nitelikler . Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar Öncelikli Riskler Gizlilik Doğruluk Bütünlük Özgünlük Kullanılabilirlik

Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar Öncelikli Riskler kırılgan

Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar Öncelikli Riskler kırılgan

Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar Öncelikli Riskler Okuma Değiştirme Ekleme Tekrarlama Kullanılamaz Kılma Ortadan Kaldırma

Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar Kazalar Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar Öncelikli Riskler Eyvah, ne yaptım ben!

Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar İhmaller Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar Öncelikli Riskler Ben mi?

Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar Saldırılar Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar Öncelikli Riskler Başardım!

Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar Saldırılar Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar Öncelikli Riskler Dinleme Şifre Kırma Trafik Bloklama / Tekrarlama Hizmet Engelleme Yetkisiz Erişim Nüfuz Etme

Riskler Risk = Tehdit * Oluşma Olasılığı * Zarar Değer Varlıklar / Zayıflıklar Tehditler / Olasılıklar Öncelikli Riskler Risk = Tehdit * Oluşma Olasılığı * Zarar

Risk Yönetimi Ne kadar risk ile yaşamaya razıyım? Hiçbir risk tamamiyle yok edilemez Sonuçları can yakıcı ise toleransınız düşük olur Sonuçları ihmal edilebilir ise daha fazla risk alabilirsiniz

Sorumluluklar / Cezalar İzlenecek Yol Risk Analizi Hedefler / Kapsam Sorumluluklar / Cezalar Önlemler Politika Geliştirilmesi

Uygulatma Sorumluluğu İzlenecek Yol Risk Analizi Yönetsel Prosedürler Mekanizmalar Uygulatma Sorumluluğu Politika Geliştirilmesi Önlemlerin Uygulanması

Güvenlik Politikasının Temel Taşları Ne yapacağız?

Politika Temel Taşları Tanım Hedefler Yapı İçerik Yaşam Döngüsü

Politika Tanımı “Bir kurumun değerli bilgilerinin yönetimini, korunmasını, dağıtımını ve önemli işlevlerinin korunmasını düzenleyen kurallar ve uygulamalar bütünüdür.” “Politikası olmayan kurum, nereye gideceğini bilmeyen insana benzer.” [Branstad, 1997]

Politika Hedefleri Yönetimin perspektifini çalışanlara aktarmak Yönetimin çalışanlara verdiği desteği göstermek Etkinliklerin koordinasyonunu sağlamak Etkinlikler arasında tutarlılık sağlamak Disiplin suçları için temel oluşturmak Davalara karşı önlem almak

Politika Özellikleri Yönergeler Kanunların karşısında olmamalıdır, Kurum özellikleri dikkate alınarak geliştirilmelidir, İlişkilendirilip bir bütün haline getirilmelidir, Zaman içinde değişiklik gerektirir, Uygulatılabilirse başarılı olur.

Politika Yapısı Temel Politika Gereksinim Politikası Gereksinim Mekanizmalar Kurallar

Politika Yapısı Kurum Vizyonu Kurum Misyonu X Politikası Y Politikası Bilgi Güvenliği Politikası

Politika Yapısı Bilgi Güvenliği Politikası Bilgisayar Fiziksel Güvenlik Politikası Ağ Güvenliği Politikası Bilgisayar Kullanım Politikası

o kadar güvende olursun Yatırım Güvenliği sağlamak için... yatırım gerekli Ne kadar yatırım yaparsan... o kadar güvende olursun

Kazanç Eğrisi Kazanç Yatırım

Temel Politika İçeriği Politika hedefleri Politika gereksinimleri Politika kapsamı Kullanıcı sorumlulukları Politika ihlali durumunda verilecek cezalar

Politika Hedefleri Kurumumuz bilgi sistemi değer varlıklarını bilgisayar saldırılarından korumak, Bu tür saldırıların kurumumuza ve çalışanlarımıza verebileceği zararları asgariye indirmek ve Anılan varlıkların anayasa, yasalar ve meslek ahlakı dahilinde kullanılmasını sağlamaktır.

Politika Gereksinimleri Önlem, tespit, tepki ve güvence yaklaşımları güvenlik yönetim modeline uygun olmalıdır İlgili politikalar kurum çalışmalarını asgari düzeyde etkilemelidir Kurum yönetimi tarafından gerekli görülmeli ve gerekliliği çalışanlara anlatılmalıdır

Politika Gereksinimleri İlgili politikalara ait prosedür ve mekanizmalar Diğerlerinden etkilenmemelidir Değişiklere uyum gösterebilmelidir Hata toleransına sahip olmalıdır Farklı kaynaklardan bilgi toplayabilmelidir Asgari insan etkileşimi ile çalışabilmelidir

Politika Kapsamı Örnek cümle: Kurumumuz bilgisayar sistemi kullanıcıları ile kurumumuz bilgisayar sistemini herhangi bir şekilde kullanmak isteyenleri kapsar ve anılan kişilerin bilgisayar sistemi ilgili doğrudan ve dolaylı tüm etkinliklerini içerir.

Politika Sorumlulukları Kullanıcılar; Bilgi Güvenliği Politikası'na uymakla yükümlüdür. Sergiledikleri etkinliklerden ve sonuçlarından sorumludur. Sorumluluklarının gereğini en hızlı ve en doğru şekilde yerine getirmelidir. Politika ile ilgili varsayımlarda bulunmamalıdır.

Politika Sorumlulukları Son Kullanıcı Sorumlulukları Genel sorumluluklar Gözlem ve müdahale sorumlulukları Bildirim sorumlulukları Yönetici Sorumlulukları Uygulatma sorumlulukları Eğitim sorumlulukları

Politika Cezaları Kayıpların karşılanması Uyarı cezası Yetki azaltma İşten çıkarma Dışarıdan bir saldırı söz konusu ise, konu toplanan kanıtlarla birlikte adli makamlara bildirilecektir

Politika Yaşam Döngüsü Politika Geliştirme Politika Yerleştirme Politika Uygulatma Politika Güncelleme Apply software engineering approach Politika İzleme

Politika Geliştirilmesi Nasıl yapacağız bunu?

Politika Geliştirilmesi Politika Geliştirme Ekibi Politika Geliştirme Yöntemi Politika Uygulama ve Uygulatma Yaklaşımı Politika Güncelleme Süreci

Politika Geliştirme Ekibi Üst düzey yönetici Kurum avukatı Tipik bir kullanıcı Bilgisayar sistem yöneticisi Politikayı kaleme alacak bir yazar

Politika Geliştirme Yöntemi Başka kuruma ait politikalar aynen alınır Taslak Politika Oluşturulur Sistem Yöneticisi,Kullanıcı,Yazar Önerilecek Politika Kararlaştırılır Proje Geliştirme Ekibi Başka kuruma ait politikalar değiştirilerek alınır Önerilecek Politika Kesinleştirilir Bilgisayar Güvenliği Yöneticisi Politikalar sıfırdan başlayarak geliştirilir Politika Resmen Onaylanır En Yetkili Yönetici

Politika Hazırlanması Genel Hedefler BAŞLA Hayır Gerçekçi mi? Spesifik Hedefler Hayır Evet Kabul edilebilir mi? Önlem Yaklaşımı Evet Dökümantasyon BİTİR

Politika Uygulatma Yaklaşımı Bilgisayar güvenliğini tehdit edici davranışlar Oluşmamasını sağlamak Önlemek Oluşur ise bunları belirlemek Sorumluları yakalamak ve cezalandırmak

Önlem Yaklaşımı SAKINMA KORUNMA TESBİT KURTARMA Apply software engineering approach

Politika Güncelleme Süreci Kurum İçi Değişiklikler Kurum Dışı Değişiklikler Güvenliği Tehdit Eden Davranışlar Periyodik Gözden Geçirme Politika İzleme

Politika Belgesi İçerik Yazım Şekli Amaç ve Kapsam Kurum ve Bilgisayar Sistemi Tanıtımı Risk Analizi Önlem Tasarımı Politika Uygulama, Uygulatma Planları Politika Güncelleme Koşulları İçerik Yazım Şekli

Politika Belgesi İçerik Yazım Şekli Kesin ve net ifadeler Kurum koşullarını dikkate alan ifadeler Detay içermeyen abstrakt ifadeler Yorumlamaya ilişkin açıklamalar Yorumlamaya ilişkin örnekler Yazım Şekli

Kuruluşlar www. infosyssec.net www. sans.org

Geliştirme Kuruluşlarında Uygulama Güvenlik politikasını nasıl yerleştirelim?

Uygun Yaklaşım Kuruluşların Özellikleri Dikkate Alınmalı Düşüncelerin açık tartışıldığı bir ortam Kısıtlanmaktan hoşlanmayan bir topluluk Prensiplerle işleyen bir düşünme yöntemi Dene(me)yi ilke edinmiş bir çalışma yöntemi Ayrıntıları tartışan bir karar alma yöntemi

Gereksinim Geliştirme Bilgi Teknolojileri Kullanma Bilinci Eğitimi Alışkanlığı Kültürü GÜVENLİK bir gereksinim

Uygulama Süreci Uzun Vadeye Yayılan Bir Dönüşüm Bilinçlendirme Etkinlikleri Sürekli Eğitim Politika Temelli Yönetim Güvenlik Çalışmaları

Ekip Politika Geliştirme Ekibi Genel Müdür Yardımcısı İnsan İlişkilerinde Uzman Bir Kişi Yönetmelikler Konusunda Tecrübeli İdari Kişi Güvenlik Alanında Uzman Bir Kişi Bilgi Teknolojileri Konusunda Uzman Bir Kişi

Yöntem Politika Geliştirme Yöntemi Prensiplerden yola çıkmalı ACM Code of Ethics, Netiquette Core Rules Benzer kurumların tecrübelerindan yararlanılmalı Geri beslemeye açık politika temelli yönetim Uygulanabilir ve uygulatılabilir bir politika

Yüksek Öğrenim Kurumlarında Uygulama Güvenlik politikasını nasıl yerleştirelim?

Özellikler Yüksek öğrenim kurumları, şirket veya devlet kuruluşlarına göre daha "açık" ortamlar Öğrenci yurtları ortamı Kütüphanelerin araştırma servisleri Teknik laboratuvarlar: geliştirme ve deneme çalışmaları Sansür ve sınırlama çizgisi Güvenlik için alınacak önlemlerin bu ortamı ve değerleri engellememesi gerek Güvenlik ve bu özellikleri dengeleyecek bir ortam yaratılmalı

ACUPA'nın önerisi http://www.inform.umd.edu/ACUPA/projects/process

Politika Geliştirme Süreci Predevelopment Identify Issues Conduct Analysis Development Draft Language Get Approvals Determine Distribution/Education Maintenance Solicit Evaluation and Review Plan Measurement and Compliance

Özellikler Sağlam bir güvenlik politikasından beklenen özellikler: Setting the Stage Writing Approving Distributing Educating Enforcing Reviewing Consistency with University values and mission Identification and involvement of stakeholders Informed participants Assess cost-benefit Preventing reinvention of the wheel Use a common format Agree on common definitions & terms Allow for user feedback Discussion and consensus building Wide review and input Approval from senior administrative levels Ease of access to resources Online Accessible from one location Allow for text and other searches Send email to official distribution lists Include contacts to answer questions Hold a policy day Have traveling road shows! Have signed user agreements Require policies to be read before services granted Create policy enforcement office Assess liability/ feasibility Respond to complaints Identify an owner for each policy Develop a plan for active maintenance Archive, date, and notify constituencies of major changes

Prensipler Politika oluşturma için altı prensip: Civility and Community Academic and Intellectual Freedom Privacy and Confidentiality Equity, Diversity and Access Fairness and Process Ethics, Integrity and Responsibility

Ana kavramlar Policy Name Scope Purpose Policy Statement Roles/Responsibilities Definitions References Supporting Procedures Consequences/Sanctions for Non-Compliance

Doküman başlıkları Security Architecture Security Awareness Security Implementation Security Management Data Security  Identity Theft  Incident Handling/Incident Response  Information Assurance   Network Vulnerability Assessment    Physical Security  Privacy  Security Planning Security Policies Security Risk Assessment and Analysis

Kaynaklar Computer and Network Security in Higher Education, 2003. Mark Luker and Rodney Petersen, editors. http://www.educause.edu/asp/doclib/abstract.asp?ID=PUB7008 Collection of policies and policy development resources: www.educause.edu/security Security policy primer, sample policies and templates: http://www.sans.org/resources/policies/ ve Google!

Sonuç Aklımda ne kaldı?

Sonuç ve Öneriler Bilgi Güvenliği Politikası Mutlaka olmalı Gerektiği gibi hazırlanmalı ve uygulatılmalı Kriterler kullanılarak denetlenmeli Eğitim ve bilinçlendirme çalışmaları ile desteklenmeli Yılda bir gözden geçirilmeli

Teşekkürler... semih.pekol@boun.edu.tr