Sunum yükleniyor. Lütfen bekleyiniz

Sunum yükleniyor. Lütfen bekleyiniz

Copyright © 2007 - The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the Creative Commons Attribution-ShareAlike.

YayınlayanSener Bilgili Değiştirilmiş 10 yıl önce

Benzer bir sunumlar

... konulu sunumlar: "Copyright © 2007 - The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the Creative Commons Attribution-ShareAlike."— Sunum transkripti:

1 Copyright © 2007 - The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the Creative Commons Attribution-ShareAlike 2.5 License. To view this license, visit http://creativecommons.org/licenses/by-sa/2.5/ The OWASP Foundation OWASP Day Turkey - Sep 2007 http://www.owasp.org/ Türkiye’deki Kamu Kurumlarında Bilgi Mahremiyeti– Durum Analizi Hayrettin Bahşi TÜBİTAK-UEKAE 90-262-6481558 bahsi@uekae.tubitak.gov.tr

2 OWASP Günü – Türkiye – Eylül 2007 2 Ajanda  Bilgi Mahremiyeti Tanımı  Mahremiyeti Sağlanması Gereken Bilgiler  Kamu Kurumlarında Bilgi Kritiklik Seviyeleri  Kamu Kurumlarında Tehdit Algılamaları  Temel Web Uygulama Güvenliği Eksiklikleri  Web Uygulamalarında Teknik Bilgi Mahremiyeti Eksiklikleri  Yapılması Gerekenler

3 OWASP Günü – Türkiye – Eylül 2007 Bilgi Mahremiyeti Tanımı  Bilgi mahremiyeti Bir organizasyonun ya da kişinin kendisine ait bilginin akışını kontrol edebilmesi  Bilgi gizliliği Bilgiyi bilmesi gereken kişinin bilmesi (Need to know)  Bilgi mahremiyetinde  Mahremiyet doğrudan kişiyi ya da kurumu ilgilendirir, gizlilik ise bilgi ile doğrudan ilgilidir.  “Kimin neyi bilmesi gerektiği” net değil, kişiden kişiye değişebilir  Kanunlar sınırları çizmeye çalışıyor  Mahremiyet bir sonuç, gizlilik bir ilke ya da güvenlik mekanizmasıdır

4 OWASP Günü – Türkiye – Eylül 2007 Mahremiyeti Sağlanması Gereken Bilgiler  Vatandaşların kişisel bilgisi  Kamu kurumu çalışanlarının kişisel bilgisi  Özel şirketlere ait bilgiler  Mali veriler  Ticari veriler  Diğer kamu kurumlarının bilgileri  Denetim yapan kurumlarda diğer kurumların denetim raporları

5 OWASP Günü – Türkiye – Eylül 2007 Kamu Kurumlarında Bilgi Kritiklik Seviyeleri  Bilgi varlıklarının tam tespit edilememesi  “Hangi bilgi ne kadar kritik?” sorusunun ortak cevabının olmaması  Kritikliğin belirlenmiş ortak bir ölçüsünün olmaması  Ölçü varsa bile ölçüye göre bilginin kritikliğinin belirlenmemiş olması  Kritikliğe göre bilginin ele alınış kurallarının belirlenmemiş olması  Bilginin oluşturulma, taşınma, silme ve depolanma fazlarında uyulması gereken kurallar  Örneğin, “Gizli bilgiler e-posta ile yollanmaz”  “Gizli bilgi içeren kağıtların imhası yakılma ile olur”

6 OWASP Günü – Türkiye – Eylül 2007 Kamu Kurumlarında Bilgi Kritiklik Seviyeleri (2)  Yazılı dokümanlarda bile sınıflandırma eksikliği  Mahremiyeti ilgilendirilen bilgiler hakkında  “Kritiklik seviyesi nedir?”  Nasıl korunmalıdır? sorularının cevaplarının olmaması

7 OWASP Günü – Türkiye – Eylül 2007 Kamu Kurumlarında Tehdit Algılamaları  Yüksek bir dış tehdit algılaması  İç tehdit algılamasında eksiklikler  Bilgi güvenliği olaylarının takip edilememesi  Bilgi güvenliği bilinç eksikliği  İç tehdidin kapsamını genişletebilecek durumlar  Farklı kamu kurumlarının birbirine doğrudan bağlı olması  “Leased Line” hatlar  Doğrudan yerel alan ağlar arasında bağlantılar  Çoğu durumda bağlantılarda ağ erişim kontrolünün bile olmaması  Ülkenin değişik yerlerinde şubeler

8 OWASP Günü – Türkiye – Eylül 2007 Temel Web Uygulama Güvenliği Eksiklikleri  Kurumların kendilerinin geliştirdiği web uygulamaları  Çoğunlukla Intranet uygulamaları  Hızlı geliştirilen küçük uygulamalar  Geliştirici ve sistem yöneticilerinin web güvenliği konusundaki bilgi eksiklikleri  Güvenli olarak uygulama geliştirme ile ilgili süreçlerinin oluşturulmaması  Güvenlik gereksinimlerinin tam olarak belirlenmemesi  Geliştirme sürecinde güvenlik denetim eksiklikleri

9 OWASP Günü – Türkiye – Eylül 2007 Temel Web Uygulama Güvenliği Eksiklikleri (2)  Kurumların kendilerinin geliştirdiği web uygulamaları  Ürünlerin yeterince test edilememesi  Eski sistemlerin güncellenememesi  İş gücü yetersizliği  Güncellemeye gereken önemin verilmemesi  Eski sistemlerin sahiplerinin bulunamaması!  Canlı ortamda uygulama geliştirme  Test ortamı eksiklikleri

10 OWASP Günü – Türkiye – Eylül 2007 Temel Web Uygulama Güvenliği Eksiklikleri (3)  Taşerona verilen (outsource) uygulamalar  Güvenlik gereksinimlerinin yeterli düzeyde ele alınmaması  Erişim kontrol mekanizmalarında eksiklikler  İş mantığında (business logic) eksiklikler  Uygulama kayıt mekanizmalarındaki eksiklikler  Sözleşmelerde güvenlikle ilgili maddelerde eksiklikler  Ürünün güvenlik açısından kabulünün nasıl yapılacağı  Tespit edilen açıklıkların kapatılmasının destek kapsamında ele alınmaması  Canlı ortamda uygulama geliştirme

11 OWASP Günü – Türkiye – Eylül 2007 Web Uygulamalarında Teknik Bilgi Mahremiyeti Eksiklikleri  Özellikle eski sistemlerde çok temel sql-injection, XSS açıklıkları  İntranet web uygulamalarında ssl kullanılmaması  Yetkilendirme (Authorization) eksiklikleri  Yeterli erişim profilinin oluşturulmamış olması  İşlem, parametre vs bazında yetkilendirme eksiklikleri  Belirli bir hakka sahip olan kullanıcıların diğer kullanıcıların bazı haklarına sahip olabilmeleri  SSL kullanılan uygulamalarda kuvvetli algoritmaların sunucu tarafından zorlanmaması

12 OWASP Günü – Türkiye – Eylül 2007 Web Uygulamalarında Teknik Bilgi Mahremiyeti Eksiklikleri (2)  Yama yönetimi eksiklikleri  Uygulama yönetim modüllerindeki kimlik doğrulama ve yetkilendirme eksiklikleri  Parola kompleksliğinin zorlanmaması (özellikle intranet uygulamalarında)  Kullanıcıya dönen hata mesajları

13 OWASP Günü – Türkiye – Eylül 2007 Neler Yapılmalı?  Bilgi varlıkların envanterinin tutulması  Bilgi varlıklarının kritiklik derecelerinin belirlenmesi  Mahremiyeti sağlanması gereken bilgilerin kritiklik seviyesi  Söz konusu bilgilerin nasıl korunacağı  Bilgi güvenliği eğitimleri  Güvenli web uygulama geliştirme  Veritabanı güvenliği  Uygulama geliştirme döngüsünde güvenlik

14 OWASP Günü – Türkiye – Eylül 2007 Neler Yapılmalı? (2)  Uygulama geliştirme döngüsünde güvenlik  Güvenlik gereksinimlerinin belirlenmesi  Geliştirme aşamalarında yapılacak testler  Gerekli ilkelere en azından bundan sonra uyma  Web uygulamalarının güvenliğinin sertifikalandırılması  Daha hızlı bir Ortak Kriter (Common Criteria) değerlendirmesi  Periyodik güvenlik denetimleri  Bağımsız denetimler  İç denetimler

15 OWASP Günü – Türkiye – Eylül 2007 Neler Yapılmalı?  Etkin bir teknik açıklık yönetimi  İç tehdit algısının artırılması  Kritik sistemler için test ortamları  Denetim sonuçlarının değerlendirilmesi  Taşerona verilen projelerin sözleşmelerinde güvenlik ile ilgili maddeler  Uygulama geliştirme ortamlarının canlı sistemlerden ayrılması

16 OWASP Günü – Türkiye – Eylül 2007 Teşekkürler

"Copyright © 2007 - The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the Creative Commons Attribution-ShareAlike." indir ppt

Benzer bir sunumlar

TEHLİKELİ ATIK BEYAN SİSTEMİ (TABS)

TEHLİKELİ ATIK BEYAN SİSTEMİ (TABS)
Edirne Bölge Müdürlüğü

Edirne Bölge Müdürlüğü
Uluslar arası Muhasebeciler Federasyonu

Uluslar arası Muhasebeciler Federasyonu
Presentation of the 21 ETCF II Partnerships ETCF-II is co-funded by the European Union and the Republic of Turkey TOBB.

Presentation of the 21 ETCF II Partnerships ETCF-II is co-funded by the European Union and the Republic of Turkey TOBB.
AKILLI FAKS.

AKILLI FAKS.
HASSAS GÖREV Hakan YÜKSEL 26-27 Mart.

HASSAS GÖREV Hakan YÜKSEL Mart.
INTERNET VE HUKUK Zeynep Derman Hukuk Müşaviri SUPERONLINE A.Ş.

INTERNET VE HUKUK Zeynep Derman Hukuk Müşaviri SUPERONLINE A.Ş.
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.

Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.
ULAKAAI Kimlik Federasyonu

ULAKAAI Kimlik Federasyonu
Copyright © 2007 - The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the Creative Commons Attribution-ShareAlike.

Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the Creative Commons Attribution-ShareAlike.
Yeni TTK ve Doküman Yönetim Süreçleri Nasıl Dönüştürülüyor?

Yeni TTK ve Doküman Yönetim Süreçleri Nasıl Dönüştürülüyor?
MODÜL 4 Organizasyon.

MODÜL 4 Organizasyon.
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.

Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.
Günümüzde ticari şirketler ve devlet kurumları işlerini sürdürebilmek için yoğun bir şekilde bilgi kullanımına yönelmişlerdir. Zaman geçtikçe bilginin.

Günümüzde ticari şirketler ve devlet kurumları işlerini sürdürebilmek için yoğun bir şekilde bilgi kullanımına yönelmişlerdir. Zaman geçtikçe bilginin.
BİLGİ GÜVENLİĞİ MEHTAP KILIÇ

BİLGİ GÜVENLİĞİ MEHTAP KILIÇ
T.C. ÇEVRE VE ORMAN BAKANLIĞI İç Denetim Başkanlığı TAŞINIR İŞLEMLERİNDE SİSTEM DENETİMİ UYGULAMASI Ahmet SANDAL, İç Denetçi (KİDES) Mehmet KURU,

T.C. ÇEVRE VE ORMAN BAKANLIĞI İç Denetim Başkanlığı TAŞINIR İŞLEMLERİNDE SİSTEM DENETİMİ UYGULAMASI Ahmet SANDAL, İç Denetçi (KİDES) Mehmet KURU,
KONTROL ORTAMI Defterdarlıklar İç Kontrol Eğitimi 10 Mart-27 Nisan 2013 Strateji Geliştirme Başkanlığı 1.

KONTROL ORTAMI Defterdarlıklar İç Kontrol Eğitimi 10 Mart-27 Nisan 2013 Strateji Geliştirme Başkanlığı 1.
Burcu Musaoğlu Data Sistem A.Ş..

Burcu Musaoğlu Data Sistem A.Ş..
BTP 108 BİLGİSAYAR AĞ SİSTEMLERİ AĞ KAVRAMI Birden çok bilgisayarın birbirine bağlı olarak kullanılmasıyla oluşturulan çalışma biçimine bilgisayar ağı.

BTP 108 BİLGİSAYAR AĞ SİSTEMLERİ AĞ KAVRAMI Birden çok bilgisayarın birbirine bağlı olarak kullanılmasıyla oluşturulan çalışma biçimine bilgisayar ağı.
HAZİNE MÜSTEŞARLIĞI BİLGİ GÜVENLİĞİ YOL HARİTASI

HAZİNE MÜSTEŞARLIĞI BİLGİ GÜVENLİĞİ YOL HARİTASI

Benzer bir sunumlar

Google Reklamları