YZM5604 Bilgi Güvenliği Yönetimi 21 Ekim 2014 Dr. Orhan Gökçöl http://akademik.bahcesehir.edu.tr/~gokcol/yzm5604 Bahçeşehir Üniversitesi, Fen Bilimleri Enstitüsü Geçtiğimiz hafta... Bilgi Güvenliği Tarihçe Bilgi Güvenliği Tanımı Bilgi Güvenliği Unsurları ve CIA İşletmelerde Bilgi Güvenliği Yapılanması – Yukarıdan Aşağıya Yaklaşım Sistem Geliştirme Hayat Döngüsü – SDLC Bilgi Güvenliği Sistemi geliştirme Hayat Döngüsü – SecSDLC Bilgi Güvenliği Yönetimi ile ilgili iş tanımları Bilginin Kritik Karakteristikleri Sahip olunan bilginin değeri, bilginin içerdiği birtakım karakteristiklerle ölçülür: Kullanılabilirlik (Availability) Hassasiyet/Doğruluk (Accuracy) Orijinallik (Authenticity) Gizlilik (Confidentiality) Tamlık (Integrity) İşe yararlık (Utility) Sahip olma (Possession) C I A Geçtiğimiz Hafta 1 Güvenlik ve Erişimin Dengelenmesi Mükemmel bir güvenlik tesis etmek imkansızdır – güvenlik mutlak bir kavram değildir; bir süreçtir Güvenlik, koruma ve kullanıma hazır olma durumu arasında bir “denge” hali olarak düşünülmeli Dengeyi sağlamak için, sistemin güvenlik seviyesi makul düzeyde bir erişime izin verirken aynı zamanda saldırılara karşı da koruma sağlamalı. Geçtiğimiz Hafta Figure 1-7 – Approaches to Security Implementation Geçtiğimiz Hafta Yukarıdan-Aşağıya Yaklaşım Üst yönetim tarafından yapılır: Politikalar, prosedürler ve süreçler modellenir (iso 27001) Hedefler ve süreçlerden, projelerden beklenen çıktılar belirlenir, (dikte edilir!) Gereken her aksiyon için kimin sorumlu olduğu saptanır Böyle bir yaklaşımın doğal olarak üst yönetimden çok kuvvetli bir desteği olacaktır. Finansal kaynaklar, planlama, şirket kültürüne etkiler vb çok kolay modellenebilmekte/ olabilmektedir Bilgi Güvenliği oluşturulması standart bir sistem geliştirme stratejisi kapsamında da modellenebilir (sistem geliştirme hayat döngüsü) En başarılı yaklaşım budur. Geçtiğimiz Hafta 2 Stratejik Planlama Geçtiğimiz Hafta Figure 1-8 – SDLC Waterfall Sistem Analizi Methodology İrdeleme Analiz Sistem Tasarımı Mantıksal Tasarım Fiziksel Tasarım Gerçekleştirme Bakım Geçtiğimiz Hafta Sistem Geliştirme Hayat Döngüsü – Şelale Metodolojisi Bilgi Güvenliği Sistemleri Geliştirme Hayat Döngüsü (SecSDLC) Bilgi Güvenliği projesinin uygulanmasında Geleneksel Sistem Geliştirme Hayat Döngüsü ile aynı fazlar kullanılabilir Temel süreç tehditlerin tanımlanması ve berteraf edilmesi için yapılacak kontrollerin belirlenmesidir Geçtiğimiz Hafta 3 SDLC Fazları İrdeleme Analiz Mantıksal Tasarım Fiziksel Tasarım Gerçekleştirme Bakım Geçtiğimiz Hafta Bilgi Güvenliğinin Alt Unsurları security policy – bilgi güvenliği politikası organizational security – kurumsal güvenlik asset classification – varlıkların sınıflandırılması personnel security – insan kaynakları güvenliği physical security – fiziksel ve çevresel güvenlik communication and operations management – haberleşme ve işletim yönetimi access control – erişim kontrolü system development and maintenance – sistem geliştirme ve bakım business continuity planning – iş sürekliliği planlama Compliance - Uyum Geçtiğimiz Hafta Özetle ....... «Bilgi» iş dünyası ve toplum için kritik öneme haizdir. Bir işletme için değeri olan her şey «varlık» (asset) olarak adlandırılır ve BG temel olarak varlıkların güvenliğini sağlamakla ilgilidir. BG «mutlak güvenlik» anlamına gelmez. Tüm işletme için geçerli yaklaşımlar kullanarak, kullanılabilirlik (usability) ve güvenlik (security) arasında bir denge oluşturulması esastır. Bilgisayar Güvenliği, yıllar içinde bilgi güvenliği şeklini almıştır. Bilgi Güvenliği, her varlık için, üç temel unsur göz önüne alınarak yönetilir : C, I ve A. BG, organizasyonda yer alan herkesin sorumluluğudur. Ancak, yöneticiler ve özellikle üst yönetim süreçlerde kritik bir rol oynamaktadır. BG, yukarıdan-aşağıya bir yaklaşımla yönetilir 4 Anahtar Kavramlar: Gizlilik (Confidentiality) Gizlilik Bazı tehditler Korsanlar (Hackers) Sahtekarlar (Masqureaders) İzinsiz kullanıcılar Dosyaların korunmasız olarak indirilmesi LAN (yerel ağ) Truva atları (Trojan horses) sadece yeterli haklara sahip olanlar belirli bir bilgiye erişebilir Gizlilik modelleri Bell-LaPadula (DoD model) No write down & No read up (a subject at a given security level may not read an object at a higher security level (no read-up). TCSEC/TNI (Orange, Red Book) (Trusted Computer System Evaluation Criteria) – multilevel security Chinese wall (bu modellerden bazılarını «erişim kontrolü» konusunda ele alacağız) Anahtar kavramlar: Tamlık Tamlık Tam olma, bozulmamış olma, Diğer sorunlar Tamlık modelleri Biba/low water mark Clark-Wilson Lipner integrity Matrix Ring Orijinallik Veri tamlığı (veriyi ifade etmek için yeterli olma) No write up & No read down Separation of duty (bu modellerden bazılarını «erişim kontrolü» konusunda ele alacağız) Anahtar kavramlar: Süreklilik/Kullanılabilirlik Kullanılabilirlik Bilginin, herhangi bir engelleme ya da bozulma olmadan (gerekli yetkilere sahip) kullanıcının erişimine açık olması Varlığını sürdürebilme/Survivability BG saldırılarında bile varlığını devam ettirme, erişilebilir olma İş sürekliliği (bu kavramları «erişim kontrolü» konusunda tekrar ele alacağız) 5 Anahtar kavramlar: mahremiyet (privacy) Mahremiyet Bilgi sadece, bilgi sahibi tarafından bilinen/onay verilen amaçlar için kullanılır. Varlık/bilgi sahipliği Anahtar kavramlar: Kimlik tanımlama (Identification), Kimlik doğrulama (Authentication) ve Yetkilendirme (Authorization) Tanımlama Doğrulama Bilgi sistemleri, kullanıcılarını, kullanıcı kimlikleri ile tanırlar (kullanıcı adı, yüz, retina vb) Tanıma ve doğrulama zaman zaman birlikte ele alınmalıdır ve bu süreçler, kullanıcının erişim seviyesini yetkilendirmede çok önemlidir Kullanıcının, iddia ettiği kişi olduğunu kanıtlaması (parola girişi, biyo kimlik doğrulama vb.) Yetkilendirme Bir varlığın, erişen kişi tarafından nasıl ve hangi şartlarda kullanılabileceği ile ilgili olarak yapılan düzenlemeler (bu kavramları ilerde tekrar tartışacağız) Anahtar kavramlar: Mesuliyet/Sorumlu tutulma (Accountability), Teminat (Assurance) Mesuliyet : Bir BG kontrolü neticesinde, yapılan tüm eylemlerin bir kişi ya da süreç ile ilişkilendirilmesi ve kimin neyi yaptığının belli olması Teminat (Güvence) : Tüm güvenlik hedeflerine ulaşıldığına dair teminat verilmesi 6 BG – ilişkili taraflar BG, üç farklı grubun yaptığı çeşitli faaliyetleri içermektedir: Bilgi güvenliği yöneticileri ve profesyonelleri Bilgi teknolojisi yöneticileri ve profesyonelleri Teknik olmayan iş (business) yöneticileri ve profesyonelleri Her grubun kendi rol ve sorumlulukları var Güvenlik yönetimi farklı stratejilerin eş zamanlı olarak uygulanması ile elde oluşturulur BG Yönetimi – Temel Hedefi Bilgi Güvenliği Unsurları ve CIA Yaklaşımı Asıl soru : C,I ve A üzerindeki riskleri azaltmak için ne yapmalı?? (Bunlara daha sonra Bilgi Güvenliği Kontrolleri adını vereceğiz) BUNUN İÇİN BİLGİ GÜVENLİĞİNİ YÖNETMEK GEREKİYOR! BİLGİ GÜVENLİĞİ YÖNETİMİ => Bir metodoloji olmali ve çalıştığından kesin emin olmalıyız Günümüzde genellikle Bilgi Güvenliği Programlarının oluşturulması ve yönetilmesi birtakım “best practice” tabanlı yaklaşımlarla yapılıyor ISO27001 NIST Yaklaşımların hepsi de birtakım güvenlik kontrollerinin uygulanması ve güvenlik risklerinin yönetilmesi esasına dayanır En önemli problem..... BG yönetimi için, sıfırdan başlayarak sistematik bir yaklaşım geliştirilmesi, test edilmesi ve uygulanması kolay bir iş değildir! ....Halihazırda, kullanılan birtakım BG modelleri zaten var! Test edilmiş Etkin çalıştığı gösterilmiş Pek çok örnek uygulama yapılmış Çok geniş bir dokümantasyon Danışmanlık almak mümkün Dünya genelinde geçerli bir yaklaşım.. Uygulamalar her yerde aynı 7 Bilgi Güvenliği Yönetimi Modelleri ISO27001 SSE-CMM GASPP/GAISP COBIT and ITIL IT Services Management Control Objectives for Information and Related Technologies (COBIT) toolset that allows managers to bridge the gap between control requirements, technical issues and business risks. ISO27001 Bilgi güvenliğinin açık yönetimsel kontrollerle sağlanmasını hedefleyen resmi bir yönetim sistemidir. Belirli gereksinimlerin karşılanmasını şart koşan bir standarttır. ISO/IEC 27001 uyguladıklarını iddia eden firmalar, resmi olarak denetlenerek bu standarda uygunlukları belgelendirilebilir. ISO/IEC 27001 aşağıdaki konularda yönetimin aksiyon almasını gerektirir: İşletmelerin; tehditler, açıklıklar ve etkileri dikkate alan bir yaklaşımla bilgi güvenliği risklerini sistematik bir biçimde incelemek/değerlendirmek Kabul edilemez riskleri değerlendirerek; geniş kapsamlı , anlaşılır ve birbiriyle uyumlu BG kontrolleri ve diğer risk tedavi formlarını (riskten kaçınma ya da risk transferi gibi) tasarlamak ve uygulamak Uygulanan BG kontrollerinin, işletmenin BG ihtiyaçlarını sürekli bir biçimde sağlamaya devam etmesi için, (tüm işletmeyi/herkesi) kapsayıcı bir yönetim sürecini benimsemek GASPP/GAISP 1. 2. 3. 4. 5. 6. 7. 8. Genel Kabul Gören BG Prensipleri [It is Generally Accepted Information Security Principles –GAISP] –Bilgisayar Sistemleri kullanımı ile ilgili genel prensipler Computer security supports the mission of the organization Computer security is an integral element of sound management Computer security should be cost-effective Systems owners have security responsibilities outside their own organization Computer security responsibilities and accountability should be made explicit Computer security requires a comprehensive and integrated approach Computer security should be periodically reassessed Computer security is constrained by societal factors 8 COBIT/ITIL COBIT : The Control Objectives for Information and related Technology (COBIT) Bilgi Teknolojileri Yönetimi için en iyi uygulamalardan oluşan metodolojik bir yaklaşımdır. COBIT yöneticilere, denetçilere ve Bilgi Teknolojileri (BT) kullanıcılarına iş hedeflerinin bilgi işlem hedeflerine dönüşümünü, bu hedeflere ulaşmak için gerekli kaynakları ve gerçekleştirilen süreçleri bir araya getirirken, aynı zamanda bilgi teknolojileri alt yapılarını da etkin kullanmayı sağlar. ITIL : The Information Technology Infrastructure Library (ITIL) is a set of concepts and policies for managing Information Technology (IT) services (ITSM), developments and operations. ITIL gives a detailed description of a number of important IT practices with comprehensive checklists, tasks and procedures that any IT organization can tailor to its needs. ITIL is published in a series of books, each of which covers an IT management topic. Although ITIL is quite similar with COBIT in many ways, but the basic difference is Cobit set the standard by seeing the process based and risk, and in the other hand ITIL set the standard from basic IT service. NIST – National Institute of Standards and Technology Security Assessment Framework: Level 1 Politika Geliştirme (Documented Policy) Level 2 Prosedürleri Oluşturma (Documented Procedures) Level 3 Prosedürleri ve kontrolleri uygulama (Implemented Procedures and Controls) Level 4 Etkinliği ölçme (Measured Program) Level 5 Pervasive Program /Yaygınlaştırma NIST Framework 9 ISO27001 – PUKÖ Yaklaşımı PLAN ACT DO CONTROL PUKÖ, bir BGYS’nin bilgi güvenliği gereksinimlerini ve ilgili tarafların beklentilerini girdi olarak nasıl aldığını ve gerekli eylem ve prosesler aracılığıyla, bu gereksinimleri ve beklentileri karşılayacak bilgi güvenliği sonuçlarını nasıl ürettiğini gösterir. Yukarıdaki şekil ayrıca, standarttaki Madde 4, Madde 5, Madde 6, Madde 7 ve Madde 8’de sunulan proseslerdeki bağlantıları da gösterir. Bilgi Güvenliği YÖNETİM SORUMLU YUKARIDAN AŞAĞIYA YÖNETİLMELİ GÜVENLİK POLİTİKALARI Güvenlik Çemberi ve Güvenlik Politikası Güvenlik Politikası : Bir işletmeye ait, bilgiyi işleyen ve kaydeden her türlü bilgi (varlık) ve sistemleri korumak için oluşturulmuş iş kurallarından oluşan bir dökümandır. Güvenlik politikası yardımıyla, oluşturulan sistemin yaşayan bir sistem (SecSDLC) olması sağlanır 10 Politika Yapısı Kurum Vizyonu Kurum Misyonu X Y Bilgi Güvenliği Politikası Politikası Politikası Organizational security – Kurumsal Güvenlik Kurumsal güvenlik dendiğinde, “güvenlik politikasının” tüm işletme içinde uygulanabilmesi için bir yapı kurulması anlaşılmalıdır. Bu, aşağıda verilen işlerin yapılmasını gerektirir : Üst yönetimden destek alınması, Bilgi güvenliği farkındalık programının oluşturulması, Yönetim kuruluna raporlamaların yapılması, İşletme içindeki alt birimlerin (departmanların=business unit) kurumsal güvenlik süreci içindeki rollerinin belirlenmesi. Bilgi Güvenliği Yönetiminde Amaçlanan.... Çeşitli Alanlarda Gruplanabilir bir yapı oluşturulması Bu, Bilgi Güvenliği Yönetimine Sistematik Olarak Bakabilmemizi Sağlar HANGİ ALANLAR??? 11 Bilgi Güvenliği Kategorileri Güvenlik Politikası Bilgi Güvenliği Organizasyonu Uyum İş Sürekliliği Yönetimi Bütünlük Varlık Yönetimi Gizlilik BİLGİ (Varlık) Bilgi Güvenliği İhlal Olayı Yönetimi Bilgi Sistemleri Edinim, Geliştirme ve Bakımı İnsan Kaynakları Güvenliği Kullanılabilirlik Erişim Kontrolü Fiziksel ve Çevresel Güvenlik Haberleşme ve İşletim Yönetimi Varlıkların sınıflandırılması (Asset clasification) Varlık sınıflandırmasında, kurumun sahip olduğu tüm kaynaklar sınıflandırılır ve çeşitli gruplara ayrılır. Böylece, kurumlar her gruba farklı seviyede güvenlik tedbirleri uygulayabilirler. Bu süreç, bilgi güvenliği uygulamaya konulduktan sonra, güvenlik yönetimini kolaylaştırır. Ancak, uygulamaya konma aşaması daha zordur. Personnel security – İnsan Kaynakları Güvenliği İşletmelerde çalışan insanların güvenliği ile ilgilidir. İK güvenliği ile ilgili yapılması zorunlu bazı görevler: İş tanımlarının oluşturulması, Özgeçmiş taramaları (background checks), İşe alma sürecine destek olmak, Kullanıcı eğitimleri 12 İnsan kaynağı/personel Müşteriler Ziyaretçiler Çalışanlar Yöneticiler Taşeronlar Danışmanlar Yetkisiz kişiler HEPSİ, Personel Güvenliği kapsamında değerlendirilmeli!!! Physical Security – Fiziksel Güvenlik BG profesyonellerinin, fiziksel güvenliğin genel BG’ne etkisinin ne olduğunu anlaması çok önemlidir. Dengeli bir BG programı, fiziksel güvenliği de içermek zorundadır. Fiziksel güvenlik sağlanarak, bilgi servislerinin çalışmamasına yol açabilecek her türlü fiziksel tehdit etkisinin azaltılması; böylece bilgi varlıkları, fiziksel varlıklar ve insan varlıklarının korunması amaçlanır Fiziksel Güvenlik Tehdit Türleri İnsan kaynaklı ihlaller ◦ Attackers looking to perform some sort of damage or obtain useful information “Doğal ”Felaketler” ◦ ◦ ◦ ◦ Yangın Sel Deprem/Sismik Titreşimler Elektrik sistemindeki kesintiler/düzensizlikler 13 Haberleşme ve Operasyon Yönetimi (Communications and operations management) Haberleşme ve operasyon yönetimi aşağıdaki unsurları içerir: işletme içindeki hiç kimsenin, suç teşkil eden bir eylemi yapması ya da «idare etmesi» nin önüne geçilmesi Geliştirme için kullanılan sistemlerin üretimde/serviste kullanılan sistemlerden ayrılması Ömrü tamamlanan sistemlerin güvenli bir şekilde ortadan kaldırılması. Bunları gerçekleştirmek kolay gibi görünse de, aslında haberleşme ve operasyon yönetimi pek çok güvenlik delikleri de ortaya çıkarma potansiyelindedir Erişim Kontrolü -Access Control Yalnızca yetkilendirilmiş kullanıcıların organizasyonun sistemlerini kullanmasına izin verilmesi Yetkilendirilmiş kullanıcıların yapabilecekleri eylemlerin kısıtlanması. Erişim kontrolü, bilgi sistemleri içinde farklı kısımlarda, farklı yöntemlerle uygulanabilmektedir. Örneğin; Routers Firewalls Desktop operating system File server Applications Sistem Geliştirme ve Bakım (System Development and Maintenance) Yama yönetimi (Patch management), sistem geliştirme ve bakım süreçlerinin önemli bir parçası. Kurum için geliştirilen bir yazılım uygulaması varsa, bu uygulamanın her modülü ya da bileşeni güvenlik açıkları ve uygun yazılım geliştirme yaklaşımları açısından denetlenmeli. SPICE (=ISO15504) CMMI SQRUM SDLC – ISO12207 Ortak Kriterler (CC-Common Criteria) Bu süreçte, saldırganların çok sevdiği ciddi açıklar ortaya çıkabilmektedir. 14 İş Sürekliliği Planlaması (Business Continuity Planning) Sistemleri saldırılara karşı güvenli tutma konusundaki çabalarımız yanında, aynı zamanda herhangi bir felaket anında onları çalışır halde tutmak da çok önemlidir. Bu, genellikle «İş Sürekliliği Planlaması» kapsamında değerlendirilir Bütün BG profesyonellerinin, İSP konusunda bir miktar bilgisinin olması gerekmektedir. Örneğin, Ana bilgisayarınızın sabit diski aniden «ölürse» Kritik dosyalarınızı geri kazanmak için bir planınız var mı? TARTIŞMA!!! İSP’nin BG Risklerinden bir farkı var mı? İSP kapsamında yapacağımız şeyleri Risk Analizi’ne dahil edebilir miyiz? Ne dersiniz? Uyum (Compliance) Pek çok BG profesyoneli, sistemlerin gözden geçirilmesi, test edilmesi konularında çalışmaktadır. Sistemlerin tam olarak çalışıp çalışmadığı, Tanımlanan işlevleri yerine getirip getirmedikleri U Y U M !!! • • • • • • Yasalara uyum Mesleki regülasyonlara uyum Kurumsal politikalara uyum Kişisel hakların gizliliği Kayıtların korunması …. Sosyal Mühendislik (Social Engineering) Birisinin şirket çalışan(lar)ını manipüle ederek bazı bilgilere ulaşması ve bu bilgileri kullanarak sistemlere erişmesi ve BG’ni tehdit etmesi durumuna Sosyal Mühendislik adı verilir. Bu tür saldırılar çok basit olabildiği gibi çok karmaşık da olabilmektedir. Kurumsal web sitelerinde yayınlanan bilgiler ya da telefonla erişilerek elde edilen bilgiler Sosyal Mühendislere yeni ufuklar açmıştır!! 15 Sosyal Mühendislik/Social Engineering Başkalarına yardımcı olma arzusu. We have trained our employees well. Make sure the customer is satisfied. The best way to a good appraisal is to have good responses from those needing assistance. Most of our employees want to be helpful and this can lead to giving away too much information. Social Engineering İnsanlara güvenme eğilimi. Human nature is to actually trust others until they prove that they are not trustworthy. If someone tells us that he is a certain person, we usually accept that statement. We must train our employees to seek independent proof. Social Engineering Başının derde gireceği korkusu. Too many of us have seen negative reaction by superiors because verification of identity took too long or because some official was offended. Management must support all employees who are doing their assignment and protecting the information resources of the enterprise. 16 Sosyal Mühendislik Kolaya kaçma arzusu (willingness to cut corners). Bazen tembellik yaparız!!! Şifreleri kağıtlara yazıp, ekranımızın üzerine yapıştırmak Önemli evrakları, materyalleri, bilgileri herkesin erişebileceği ortamlarda «unutmak, bırakmak» !! A social engineer with enough time, patience, and resolve will eventually exploit some weakness in the control environment of an enterprise. Employee awareness and acceptance of safeguard measures will become our first line of defense in this battle against the attackers. The best defense against social engineer ing requires that employees be tested and that the bar of acceptance be raised regularly. BG Tehditleri BG’nin ilk ve belki de en önemli unsuru güvenlik politikası’dır. BG bir insan gibi modellenebilseydi, güvenlik politikası da «merkezi sinir sistemi» olurdu. Politikalar, yıllar içinde BG’nin tam merkezinde yer almaya başladılar. Böylece, BG’nin diğer unsurları için bir yapısallık ve amaç oluşturma rolüne büründüler. Güvenlik ve Güvenilirlik (Security vs. Reliability) Güvenlik saldırıları, yazılım hataları ve donanımsal sorunlar “CIA”’nın ihlaline sebep olabilir. Bazı olaylar için bu olayların hangisinin güvenlik, hangisinin güvenilirlik ile ilgili olduğunu belirlemek güçtür. Bazı güvenlik ve tedavi mekanizmaları hem güvenlik hem de güvenilirlik olayları için aynıdır. 17 Güvenlik açıkları nereden gelir? Sistem tasarımından (In system design) Not planning for security (many things today) Designing security incorrectly (WiFi original encryption standard) Sistem devreye alınmasından (In system implementation) Ambiguous/incomplete design document Implementation errors (buffer overflows, etc.) Sistem kullanımından (In system use) Configuration--often weakest security “out of the box” Failure to keep up with updates/patches Physical security Dikkatsiz kullanıcı davranışlarından (ill advised user actions) Poor passwords/passwords written down Victims of “social engineering” Management needs to keep all of this in mind when designing, implementing and deploying systems Kurumsal yapı içerisindeki bazı BG rolleri Güvenlik Koordinatörleri in each business unit who, with the support and cooperation of Information Security Management, implement the instructions of the steering committee Güvenlik Yöneticileri in each business unit who maintain the access controls and other tools used as controls to protect information Güvenlik Takımı that gets its support and direction from Information Security Management and the Steering Committee and that focuses on plans to implement new and amended information security processes and tools so that the implementation has the lowest possible impact on the organization Kurumsal yapı içerisindeki bazı BG rolleri BG Yönetimiwho provide direction for the program, advice to the entire organization, and a focal point for resolving security issues İç Tetkik who report on information security practices to the Audit Committee and, through the Audit Committee, to the organization’s directors and other senior management BG Yönetim Komitesi (Steering Committee) composed of the heads of all business units who — among their other duties — take direction from the organization’s senior management and make sure it is translated into working practices 18 BG Sorumlulukları Organizasyonel Yapı içerisinde BG ile ilgili sorumluluklar yer almalı.... Yönetimin Bilgi Güvenliğine Bağlılığı hep ön planda olmalı Bilgi Güvenliği İle İlgili Sorumlulukların tahsisi yapılmalı Bilgi Güvenliğinin Bağımsız Olarak Gözden Geçirilmesi gerekiyor! Tipik bir Organizasyon Yapılanması Direktörler Kurulu Başkan CIO Güvenlik Direktörü Proje Güvenlik Sorumlusu Kurumsal Güvenlik Güvenlik Analisti Sistem Denetçisi Sorumlusu 56 Güvenlik Odaklı Yapılanma Board of Directors/Trustees President SORUN: BG’den sorumlu birim ile onu denetleyen birim ayrılmalı! CIO IT Denetim Sorumlusu Sistem Denetmeni Güvenlik Direktörü Enterprise Security Analyst Security Architect Project Security Architect 57 19 Organizasyon Yapısı – İç Tetkikin Ayrılması Board of Directors/Trustees Audit Committee President Internal Audit IT Audit Manager System Auditor CIO Security Director Enterprise Security Analyst Security Architect Project Security Architect 58 Kurumsal Yapı Denetleme, uygulama ve operasyondan tamamen ayrılmak zorunda! Bağımsızlık riske atılmamalı! BG ile ilgili sorumluluklar iş tanımlarında belirtilmeli Üst yönetimin BG konusunda tam bir sorumluluğu olmalı BG ile ilgili pozisyonların fonksiyonel sorumlulukları olmalı 59 Roller ve Sorumluluklar En İyi uygulamalar: En az yetki (Least Privilege) Zorunlu izin kullanımı (Mandatory Vacations) Görev rotasyonları (Job Rotation) Sorumlulukların ayrılması (Separation of Duties) 60 20 Roller ve Sorumluluklar Owners-Sahip Custodians-Koruyucu Güvenlik gereksinimlerini belirler Gereksinimleri temel alarak güvenliği yönetir. Users-Kullanıcı Güvenlik gereksinimlerinin izin verdiği sınırlar dahilinde erişim sağlar 61 Alt birim (departman) Sorumlulukları Politika ve Standartların oluşturulması ve uygulanması Politika ve standartların oluşturulmasında her birimden katkı gelmesi gerekmektedir. Organizasyon içindeki tüm birimler politikaları gözden geçiren ve onaylayan mekanizma içinde yer almalıdır. Politika ve standartlarla uyum Organizasyon içindeki her birim, yönetimsel anlamda bu politika ve standartlara, birim içerisinde uyum sağlatılmasından sorumludur. Politika ve Standartların Oluşturulması ve Uygulanması Politikaların gerçekten çok güçlü olabilmeleri ve kurumun tüm ihtiyaçlarını yansıtabilmesi için, her birim ikii farklı rol üzerinden temsil edilmelidir: Politika onay sürecinde yer almak; Politikaları gözden geçirip fikir beyan etme sürecinde yer almak Politikalar ve standartlar onaylandığında, her birim kendi içindeki uygulamalardan sorumlu olacaktır 21 Politika ve Standartlarla Uyum Politika ve standartlara tam uyum birim sorumluluğudur. Eğer bir denetleme sırasında uyumsuzluklar ortaya çıkarsa, durumu düzeltmek ve uyumu yeniden sağlayabilmek için çok daha fazla çalışma yapmak gerekecektir. Eğer uyum konusunda gevşeklikler gösterilmesi bir kurum kültürü halini alırsa, BG’nde boşluklar ve şirket varlıklarının korunmasında ciddi riskler oluşması kaçınılmaz olacaktır. BG Farkındalık Programı BG farkındalık programlarının amacı, politika ve standartlar konusunda herkesin aynı şeyleri anladığını sağlamaktır. Eğer politika ve standartlar sadece okunur ve başka hiç bir şey yapılmazsa, iş ortamının yoğunluğu içinde unutulup gidilecektir. Eğer bir kurum politika ve standartlarının gerçekten etkin olarak uygulanmasını arzu ediyorsa, bilginin bir program ve senaryo dahilinde düzenli aktarımını temin etmelidir. Buna, BG farkındalık programı denir. 22 BG Farkındalık Programı Benzeri pek çok programların yapısında, genel olarak sorun yaşanan konular ele alınmaktadır. Örneğin, erişim kontrolü (parola yönetimi, bilgisayar oturumlarının paylaşılması, vb), e-posta pratikleri ve virüsler. Eğer BG uzmanları bu ve benzeri konuları nasıl adresleyeceklerini ve bunların farkındalık artması ile ilgili yararlarını açıkça ortaya koyabilirlerse, böyle programlar için üst yönetimden finans desteği sağlamak da kolay olacaktır!. Bunu yapmanın yolu, programın etkinliğini ölçmekten geçmektedir. BG Farkındalık Programı If an organization is trying to improve users’ access control habits, then Information Security staff must start by finding ways to measure them. These can include password cracking software or sampling walk-throughs where a given number of workstations are observed and a record made of how many are left unattended and logged on. Similarly, if your organization wants to improve e-mail habits, observation of e-mail traffic before any security awareness activity will be necessary Audit findings and workpapers will also provide valuable measurements at no cost to the Information Security department. BG Farkındalık Programı – Ana Hatlar Hangi Sıklıkta? (Frequency) : One of the main factors in the success of the employee information security awareness program will be the frequency with which the message is delivered to staff. If the message is delivered too often, it will become background noise — easily ignored. On the other hand, we want the message to be in employees’ minds as much as possible, so delivering the message too infrequently can be as damaging as delivering it too often 23 BG Farkındalık Programı – Ana Hatlar İçerik: Bu tip programların yapısında genellikle, reklam ve tanıtım yoluyla bir mesaj iletilmesi esastır. Mesaj, örneğin, bir powerpoint sunumu ile başlayabilir ve aşağıdaki konulara odaklanır: BG politikaları Varlık sahipliği Varlık sınıflama İyi BG pratikleri BG Farkındalık Programı – Ana hatlar BG farkındalığı süreklilik arzeden bir yapıda olduğu için, iletilmek istenen mesaj yıldan yıla değişkenlik gösterebilir. Ancak, belli bir plan dahilinde yapılmalıdır BG Farkındalık Programı – Ana hatlar Sunum Ortamı : One of the main factors in the success of the employee information security awareness program will be the composition of the media used. Each media element has its strengths and weaknesses and so media for delivery must be carefully selected to ensure that the message of the program is communicated as effectively as possible. To rely on one medium — that is, video, posters, PowerPoint presentations, etc. — would deaden the message. Staff would become used to seeing whatever medium or media were chosen and would begin to ignore it. The key is to use a mix of media and a frequency of message delivery that achieves the level of consciousness of security issues that the organization has chosen. 24 BG Farkındalık Programı - Bileşenler BG Yönetim Komitesi (IS Steering Committee): the Information Security Steering Committee should ideally be comprised of senior managers (director or VP level) representing every major business element of the organization. BG Yönetim Komitesi Genellikle (en fazla) ayda bir, ya da 3 ayda bir toplanır. Komitenin amacı, ana konuların tartışıldığı bir forum ortamı oluşturmaktır. İş süreçlerindeki büyük değişiklikler ve sistem içinde kullanılmaya başlanan yeni teknolojilerin BG’ne etkilerinin tartışıldığı ve gerekli politika düzenlemelerinin yapıldığı yerdir. BG Yönetim Komitesi Örnek: şirket birleşmeleri ya da şirket satın almalar: For example, in the case of a merger or acquisition, the information security group will study the proposed action and decide on a strategy to bring the merged or acquired company to the same level of control as the parent organization. The information security group will then present the proposed action to the Information Security Steering Committee, which will approve the strategy or direct that changes be made. As the merger or acquisition proceeds, the Information Security group will report progress and details to the committee on a predefined frequency. 25 BG Program Yapısı- bileşenler BG Sorumlulukları BG, kurumsal bir sorumluluktur ve çalışan herkesin belli ölçülerde sorumlulukları bulunmaktadır. BG, ancak tüm çalışanların katkısı ile başarıya ulaşabilecektir. BG, normal bir iş yapma pratiğinin parçası olarak değerlendirilmelidir. Doğal olmalıdır. BG Sorumlulukları Üst Yönetim (Senior Management) : BG’nin tüm kurum içinde uygun şekilde ele alındığının temin edilmesinden sorumludur. BG Sorumlulukları BG Yönetimi: BG ile ilgili sorumlulukları olan kişi ya da birimleri bir polis gücü gibi görmemek lazım. Olsa olsa, bir hakem rolü üstlenirler! Kurumsal yapı içindeki BG Yönetimi sorumlulukları aşağıdaki işleri yapmalıdır: BG politika ve standartlarının oluşturulmasını ve uygulanmasını sağlamak için gereken çabalara itici güç olmak İş sürekliliği planlarının oluşturulması ve koordinasyonu BG ile ilgili çalışmaların yönetimi BG ile ilgili yazılım araçlarının, kurum adına yönetimi. 26 BG Sorumlulukları – Bölüm Yöneticisi BG programı, sadece tüm kurumda aynı şekilde uygulanırsa başarılı olacaktır. Departmanların yöneticileri de, bunun gerçekleştirilmesindeki anahtar kişilerdir. Eğer bir bölümün yöneticisi (müdürü) BG’ne gereken önemi vermezse, diğer organizasyonel çabaların da önünü tıkayacak ve program başarılı olamayacaktır. Departman yöneticileri BG programını aşağıdaki katkılar çerçevesinde destekleyeceklerdir: BG Sorumlulukları – Bölüm Yöneticisi Politika gözden geçirme süreçlerine katılmak. BG standartları için girdi oluşturmak Standartlar, politikalarla karşılaştırıldığında, daha fazla departmana özel unsurlar taşır. (network support writes network security standards, Human Resources writes personnel security standards, etc.) and, with help from Information Security, business unit managers must write standards that their unit can live with and that adequately protect the information used by the unit. BG’nin departman içinde ölçümlenmesi While Information Security will provide the metrics and the mechanisms for measuring the effect of the information security program, the business unit managers themselves benefit from taking responsibility for the measurement BG Sorumlulukları – Bölüm Yöneticisi Politika ve standartlara uyumu sağlamak. Information Security can report violations of policy and standards, but only business unit managers can initiate remedial and disciplinary action in response. Without such remedial and disciplinary action, policies and standards are soon seen as “toothless” and are ignored very quickly afterward BG eğitimi ve farkındalığını desteklemek The information security education and awareness program can only succeed with the clear cooperation of business unit managers. From basic cooperation in providing resources and scheduling events to a directive to adopt the messages delivered by the program, business unit managers’ support is crucial. 27 BG Sorumlulukları – Kısım şefleri Often seen as “the front line” in information security, first line supervisors are on the one hand seen to be examples to judge the level of support for information security and, on the other hand, enforcers of policies and standards. First line supervisors often carry out duties delegated by business unit managers and are a key piece of the communication chain that allows an organization to monitor its information security program BG Sorumlulukları – Kısım Şefi Monitor their employees’ activities in light of organization information security policies and standards : directing better compliance where appropriate and reporting incidents of noncompliance to business unit managers. Communicate security issues to Information Security, senior management (through business unit managers), and through them to the Information Security Steering Committee. In organizations where information security is included as a performance measurement, comment on individual employees’ performance with respect to information security at performance appraisal time Support the information security policy by reinforcing the messages contained in the education and awareness elements of the program. BG Sorumlulukları – Çalışanlar Çalışanların, BG politika ve standartlarına tam uyum göstermesi istenir. Ancak, BG programları sadece ve sadece çalışanların istekli destekleri ve katkıları ile yürüyecektir. Herşeyi basitçe, «politikalara ve standartlara uyum» a indirgemek çok pasif bir yaklaşımdır. Çalışanların birim içindeki yöneticilerine (kısım şefleri ve müdürleri) yeterli katkıyı vermesi beklenmelidir 28 BG Sorumlulukları – Çalışanlar BG ihlallerinin bildirilmesi…More active participation from employees can be encouraged in areas such as reporting security concerns — and it should be stated like this. Most organizations talk of employees “reporting security breaches” to their supervisors but get very little cooperation as a result because very few employees feel comfortable telling tales about their co-workers. Genel BG pratiklerinin sorgulanması…From general security issues (perhaps seen in the press) to topics of concern that are specific to the organization, employees should be encouraged to see the process as simply passing on information or asking for clarification. This line of communication helps make sure that the scarce resources of the Information Security unit are party to as much information as possible about the state of the organization’s program and about outside security news. BG Sorumlulukları – 3.cü Partiler Third parties (contractors, vendors, etc.) are responsible for complying with the information security policies and standards of the organization with which they are contracted or to which they provide goods or services. This must be clearly stated in any contract that binds two organizations. Where any waiver to this rule is allowed, it must only be to state that the contractor or vendor must provide protection for the purchasing organization’s information to an equal or greater degree than the purchasing organization itself. Such contractual terms should be the subject of any service level agreement (SLA) between the purchasing organization and any contractor or vendor. BG Sorumlulukları – Sonuçlar Program performansı her bireyin kendi görevlerini yapmasına bağlıdır. The structure of an information security program is its performance in every level of the organization. The reach of the program, how each business unit supports the program, and how every individual carries out his or her duties as specified in the program all determine how effective the program is going to be. Benzer düzeyde katkı…Uniform participation in the program is necessary if its results are to justify an organization’s investment Etkin uygulamalar…If there are levels or areas in an organization where support is seen to be weak, this will cause gaps in the effectiveness of the program and will weaken the whole information security structure 29 IS POLICIES – Bilgi Güvenliği Politikaları Mimarisinin köşe başları, düzgün yazılmış/oluşturulmuş politika cümleleridir. Politikalar, diğer alt düzey dokümanlar için de belirli bir temel teşkil ederler. Politikanın iki önemli rolü vardır: şirket içi rol ve şirket dışı rol Şirket içinden bakış açısına göre, politikalar; çalışanlara, onlardan beklentileri ve eylemlerinin nasıl değerlendirileceği (cezalandırışacağı!) bildirilir. Dış dünyaya ise, şirketin nasıl çalıştığı ve iş süreçlerini destekleyen politikaların olduğu, varlıkların korunmasının kurum için hayati önem taşıdığı ve bunun şirket misyonunun bir parçası olduğu akratılır!! Bilgi Güvenliği Politika Tanımı “Bir kurumun değerli bilgilerinin yönetimini, korunmasını, dağıtımını ve önemli işlevlerinin korunmasını düzenleyen kurallar ve uygulamalar bütünüdür.” “Politikası olmayan kurum, nereye gideceğini bilmeyen insana benzer.” [Branstad, 1997] Politika Hedefleri Yönetimin perspektifini çalışanlara aktarmak Yönetimin çalışanlara verdiği desteği göstermek Etkinliklerin koordinasyonunu sağlamak Etkinlikler arasında tutarlılık sağlamak Disiplin suçları için temel oluşturmak Davalara karşı önlem almak ..... 30 Politika Özellikleri Kanunların karşısında olmamalıdır, Kurum özellikleri dikkate alınarak geliştirilmelidir, İlişkilendirilip bir bütün haline getirilmelidir, Zaman içinde değişiklik gerektirir, Uygulatılabilirse başarılı olur. Politika Yapısı Kurum Vizyonu Kurum Misyonu X Y Politikası Politikası Bilgi Güvenliği Politikası BG Politikaları Normalde politika dendiğinde, iki anlam ortaya çıkar. İlkinde (ve bu derste kullanacağımız anlamda), politika, üst yönetimin belli bir programı nasıl yürüteceği, hedef ve amaçlarının neler olduğu ve kimin bu uygulamalardan ne ölçüde sorumlu olduğunu yazılı olarak ifade eder. Bir de, belli, bir sistemin çalışması ile ilgili spesifik güvenlik kuralları da politika olarak değerlendirilebilir. such as ACF2 (Access Control Facility – eTrust) rule sets, Resource Access Control Facility (RACF) permits, or intrusion detection system policies. Ayrıca, politika, belli konularda yönetimin kararlarının aktarıldığı bazı yazılı kurallardan oluşan başka başka manalara da gelebilmektedir. E-posta güvenlik politikası, ya da internet kullanım politikası gibi. Ders kapsamında göreceğimiz bazı politikalar bu çerçevede değerlendirilmelidir. 31 Temel Politika İçeriği (Örnek yapı) Politika hedefleri Politika gereksinimleri Politika kapsamı Kullanıcı sorumlulukları Politika ihlali durumunda verilecek cezalar BG Politika Hedefleri Kurumumuz bilgi sistemi değer varlıklarını bilgisayar saldırılarından korumak, Bu tür saldırıların kurumumuza ve çalışanlarımıza verebileceği zararları asgariye indirmek ve Anılan varlıkların anayasa, yasalar ve meslek ahlakı dahilinde kullanılmasını sağlamak, Diğer politikalarla uyum içinde olmak, Standartlarla (ISOxxxx) uyum Politika Gereksinimleri Önlem, tespit, tepki ve güvence yaklaşımları güvenlik yönetim modeline uygun olmalıdır İlgili politikalar kurum çalışmalarını asgari düzeyde etkilemelidir Kurum yönetimi tarafından gerekli görülmeli ve gerekliliği çalışanlara anlatılmalıdır 32 Politika Kapsamı Örnek cümle: Kurumumuz bilgisayar sistemi kullanıcıları ile kurumumuz bilgisayar sistemini herhangi bir şekilde kullanmak isteyenleri kapsar ve anılan kişilerin bilgisayar sistemi ilgili doğrudan ve dolaylı tüm etkinliklerini içerir. Politika Sorumlulukları Kullanıcılar; Bilgi Güvenliği Politikası'na uymakla yükümlüdür. Sergiledikleri etkinliklerden ve sonuçlarından sorumludur. Sorumluluklarının gereğini en hızlı ve en doğru şekilde yerine getirmelidir. Politika ile ilgili varsayımlarda bulunmamalıdır. Politika Sorumlulukları Son Kullanıcı Sorumlulukları Genel sorumluluklar Gözlem ve müdahale sorumlulukları Bildirim sorumlulukları Yönetici Sorumlulukları Uygulatma sorumlulukları Eğitim sorumlulukları Farkındalık sorumlulukları 33 Politika Cezaları Kayıpların karşılanması Uyarı cezası Yetki azaltma İşten çıkarma Dışarıdan bir saldırı söz konusu ise, konu toplanan kanıtlarla birlikte adli makamlara bildirilecektir Politika Yaşam Döngüsü Politika Geliştirme Politika Yerleştirme Politika Uygulatma Politika Güncelleme Politika İzleme Neden BG Politikası oluşturmalı/kullanmalıyız?? Security professionals often view the overall objective of an information security program as being to protect the integrity, confidentiality, and availability. While this is true from a security perspective, it is not the organization objective. Information is an asset and is the property of the organization. As an asset, management is expected to ensure that an appropriate level of controls are in place to protect this resource. 34 Neden BG Politikası oluşturmalı/kullanmalıyız?? An information protection program should be part of any organization’s overall asset protection program. This program is not established to meet security needs or audit requirements; it is a business process that provides management with the processes needed to perform the fiduciary (trust-worth) responsibility. Management is charged with a trust to ensure that adequate controls are in place to protect the assets of the enterprise. An information security program that includes policies, standards, and procedures will allow management to demonstrate a standard of care. Kurumsal Politikalar Pek çok kuruluş, iş yapma süreçlerini tanımlamak ve yönetmek için bazı politika dokümanları geliştirir. There are at least eleven Tier 1 (1.seviye) policies; this means that a policy is implemented to support the entire business or mission of the enterprise. There are also Tier 2 (2.seviye) policies; these are topic-specific policies and address issues related to specific subject matter. The Tier 3 (3.seviye) policies address the requirements for using and supporting specific applications. policy title and a brief description of what the policy encompasses. Kurumsal Politikalar 35 Kurumsal Politikalar Kurumun her yerinde/tüm bölümlerde geçerli olan durumları adresler İşe alma ve istihdam uygulamaları/Employment practices Menfaat çatışması/Conflict of Interest Performans Yönetimi/Performance Management Disiplin Uygulamaları/Employee Discipline Bilgi Güvenliği/Information Security Kurumsal İletişim/Corporate Communications Tedarik ve Kontrat Yapma/Procurement and Contracts Kayıt Yönetimi/Records Management Varlık Sınıflandırma/Asset Classification İş Ortamı Güvenliği/Workplace Security İş Sürekliliği Planlama/Business Continuity Planning Konu spesifik Politikalar Kurumun o an ihtiyacı olan alanlarla ilgili politikalardır Management may find it appropriate to issue a policy on how an organization will approach Internet usage or the use of the company-provided e-mail system. Topic-specific policies may also be appropriate when new issues arise, such as when implementing a recently enacted law requiring protection of particular information. The global (Tier 1) policy is usually broad enough that it does not require modification over time, whereas topic-specific policies are likely to require more frequent revisions as changes in technology and other factors dictate. Konuya özel (Topic-specific) 36 Uygulamaya özel Politikalar (Application Specific Policies) Spesifik bir sistem ya da uygulama ile ilgilidir. Global-level and topic-specific policies address policy on a broad level; they usually encompass the entire enterprise. As the construction of an organization information security architecture takes shape, the final element will be the translation of Tier 1 and Tier 2 policies down to the application and system level. Many security issue decisions apply only at the application or system level. Uygulamaya Özel Politikalar BG Politikası A policy is a high-level statement of enterprise beliefs, goals, and objectives and the general means for their attainment for a specified subject area. When we hear discussions on intrusion detection systems (IDS) monitoring compliance to company policies, these are not the policies we are discussing. The IDS is actually monitoring standards, which we will discuss in more detail later, or rule sets or proxies. 37 Standards Standards are mandatory requirements that support individual policies. Standards can range from what software or hardware can be used, to what remote access protocol is to be implemented, to who is responsible for approving what. We examine standards in more detail later. When developing an information security policy, it will be necessary to establish a set of supporting standards Procedures Procedures are mandatory, step-by-step, detailed actions required to successfully complete a task. Procedures can be very detailed. We discuss procedures in more detail later 38 Guidelines Guidelines are more general statements designed to achieve the policy’s objectives by providing a framework within which to implement procedures. Whereas standards are mandatory, guidelines are recommendations. An everyday example of the difference between a standard and a guideline would be a stop sign, which is a standard, and a “Please Keep Off the Grass” sign, which would be nice but it is not a law Policy key elements The information security policy should cover all forms of information. In 1965, the computer industry introduced the concept of the “paperless office.” The advent of thirdgeneration computers had many in management believing that all information would be stored and secured electronically and that paper would become obsolete. When talking to management about establishing an information security policy, it will be necessary to discuss with them the need to extend the policy to cover all information wherever it is found and in whatever format. Computer-held information makes up a small percentage of the organization’s entire information resources. Make sure the policy meets the needs of the organization. Policy Format The actual physical format (layout) of the policy will depend on what policies look like in your own organization. Policies are generally brief in comparison to procedures and normally consist of one page of text using both sides of the paper. Brevity is important. However, it is important to balance brevity with clarity. Utilize all the words you need to complete the thought, but fight the urge to add more information. 39 Policy Type There are three types of policies and you will use each type at different times in your information security program and throughout the organization to support the business process or mission. The three types of policies are: 1. Global (Tier 1). These are used to create the organization’s overall vision and direction. 2. Topic-specific (Tier 2). These address particular subjects of concern. 3. Application-specific (Tier 3). These focus on decisions taken by management to control particular applications (financial reporting, payroll, etc.) or specific systems (budgeting system). 40 Tier-1 (Global) Policies An information security policy will define the intent of management and its sponsoring body with regard to protecting the information assets of the organization. It will include the scope of the program — that is, where it will reach and what information is included in this policy. Finally, the policy will establish who is responsible for what. The components of a global (Tier 1) policy typically include four characteristics: topic, scope, responsibilities, compliance or consequences Topic - Konu Konu, politikanın neye ilgili olduğunu ifade eden bir giriş cümlesidir. Genellikle, «Konu» kısmında, kurumun BG’ni nasıl gördüğünün açık bir ifadesini bulmalıyız. Konu kısmında sıkça CIA’ya atıfta bulunulabilir. Konu-Örnek Bilgi, şirketimizde üretilen ve bir değeri olan her varlığı ifade eder. Bu politika da her türlü bilgi varlığının aşağıdaki özelliklerinin korunması olarak tanımlanır: a) Gizlilik: Bilginin sadece yetkili kişiler tarafından erişilebilir olması, b)Bütünlük: Bilginin yetkisiz değiştirmelerden korunması ve değiştirildiğinde farkına varılması, c)Kullanılabilirlik: Bilginin yetkili kullanıcılar tarafından gerek duyulduğu an kullanılabilir olması. 41 Scope - Kapsam Kapsam, konu ya da ilgili kişiler bazında genişletilebilir ya da daraltılabilir. Örneğin “bilgi bir varlıktır ve kuruma aittir. Tüm çalışanlar bu varlığın korunması ile ilgili olarak sorumludurlar.” Bu cümlede, kişi kapsamı, «tüm çalışanlar» olarak verilmektedir. Kapsam - örnek «Bu politika, kurum tarafından üretilen ve kullanılan her türlü elektronik verinin Gizlilik, Bütünlük ve Kullanılabilirliğinin sağlanmasını hedefler ve kurumumuz Bilgi İşlem altyapısını kullanmakta olan tüm birimleri, üçüncü taraf olarak bilgi sistemlerine erişen kullanıcıları ve bilgi sistemlerine teknik destek sağlamakta olan hizmet, yazılım veya donanım sağlayıcılarını kapsamaktadır…» Hem konu kapsamı, hem de kişi kapsamı verilmektedir!! Kapsam - örnek Another example of broadening the scope might be as follows: “Information of the Company, its subsidiaries and affiliates in electronic form, whether being transmitted, or stored, is a key asset of the Company and must be protected according to its sensitivity, criticality, and value.” Here,the topic subject is narrowed to “electronic form.” However, the audience is broadened to include “subsidiaries and affiliates. 42 Kapsam - örnek In an Employment Agreement Policy, the audience is restricted to a specific group such as the following: The parties to this Agreement dated (specify) are (Name of Company), a (specify state and type of company) (the “Company”) and (Name of Employee) (the “Executive”). The Company wishes to employ the Executive, and the Executive wishes to accept employment with the Company, on the terms and subject to the conditions set forth in this Agreement. It is therefore agreed as follows: Here, the policy is restricted to Executives and will then go on to discuss what can and cannot be done by the executives Responsibilities - Sorumluluklar Bu kısımda, genel olarak kimin ne için sorumluluğu olduğu tanımlanmaktadır. Bu kısım, kurumda bilgi güvenliği ile ilgili, tam olarak ne beklendiğini anlatır. Görev ve sorumluluklar, kurumun bilgi kaynaklarını kullanan tüm tarafların sorumluluklarını ve bilgi güvenliğinin her alanını kapsamalıdır. Kişi adları yerine, pozisyonlar/ünvanlar belirtilmelidir. Sorumluluklar - örnek «…..Kurumun tüm çalışanları ve BGYS de tanımlanan dış taraflar, bu politikaya ve bu politikayı uygulayan BGYS politika, prosedür ve talimatlarına uymakla yükümlüdür. Birimlerin güvenlik sorumlularından oluşan Güvenlik Koordinasyon Kurulu, BGYS altyapısını desteklemek ve işleyişini devam ettirmekle sorumludur…..» 43 Uyum ve Yaptırımlar (Compliance and Consequences) Bir birim ya da çalışanlar uygun olmayan bir eylem içinde olduklarında, politika dokümanı bu durumda ne gibi cezai müeyyidelerin olacağını da vermelidir. For business units or departments, if they are found in noncompliance, they are generally subject to an audit item and will have to prepare a formal compliance response. For employees, being found in on compliance with a company policy will mean they are in violation of the organization’s Employee Standards of Conduct and will be subject to consequences described in the Employee Discipline Policy. http://www.arcelikas.com/sayfa/840/ARCELIK_A_S__Bilgi_Guvenligi_Politikasi Turk.net BG politikasi http://kurumsal.turk.net/bilgi_guvenligi_politikasi.html 44 OMSAN Lojistik http://www.omsan.com.tr/sayfa.php?id=48&bilgi-guvenligi-yonetim-politikasi BDH – Bilişim Destek Hizmetleri http://www.bdh.com.tr/tr/kurumsal/politikalarimiz/bilgi-guvenligi-politikasi http://www.roitel.com.tr/politika 45 http://sa-ba.com.tr/Kurumsal/Bilgi-G%C3%BCvenli%C4%9Fi-Politikas%C4%B1 http://www.abdiibrahim.com.tr/sosyal-sorumluluk/bilgi-guvenlik-politikasi.aspx Örnek Bilgi Güvenliği Politika Dökümanı 46 Analysis of the Example Topic: “Information is a valuable corporate asset …. As such, steps will be taken to protect information…” Responsibilities: “The protection of these assets is a basic management responsibility.” Scope: “Ensuring that all employees understand their obligation to protect these assets.” Compliance: “Noting variance from established security practice and for initiating corrective action.” Örnek : XXX Şirketi Bilgi Güvenliği Politikası kısaca, XXX Şirketi bilgi varlıklarının oluşturulması, transferi, kullanımı, yedeklenmesi, saklanması, kontrolü ve imha edilmesi sırasında gizliliğinin, bütünlüğünün, ve erişilebilirliğinin sağlanmasıdır. Bunun için risklerin belirlenmesi, değerlendirilmesi, kontrollerin uygulanması, uygulanan kontrollerin etkinliğinin değerlendirilmesi ve gözden geçirilmesi ve Bilgi Güvenliği Sisteminin etkinliğinin gelişen ihtiyaçlar ve teknoloji doğrultusunda sürekli iyileştirilmesi esastır. Kuruluşumuzda ABC Standartları ve ISO – EN 27001 Bilgi Güvenliği Standardı ve müşterilerimizle yaptığımız sözleşmeler ve yasal gereklilikler referans olarak alınmaktadır http://www.yesimurel.com/index.php?option=com_content&task=view&id=15&Itemid=2 A good example 47 Example - cont Example - Cont Example - cont 48 Konu spesifik (Tier 2 /2. seviye) politikalar Where the global (Tier 1) policy is intended to address the broad organization wide issues, the topic-specific (Tier 2) policy is developed to focus on areas of current relevance and concern to the organization. Management may find it appropriate to issue a policy on how an organization will approach Internet usage or the use of the company-provided e-mail system. Topic-specific policies may also be appropriate when new issues arise, such as when implementing a recently enacted law requiring protection of particular information 2. Seviye When creating an Information Security Policies and Standards document, each section in the document will normally begin with a topic-specific policy. The topic-specific policy will narrow the focus to one issue at a time. This will allow the writer to focus on one area and then develop a set of standards to support this particular subject. Whereas Tier 1 policies are approved by the Information Security Steering Committee, topicspecific (Tier 2) policies can be issued by a single senior manager or director. 2. Seviye 49 2. Seviye As with Tier 1 policies, Tier 2 policies will address management’s position on relevant issues. It is necessary to interview management to determine what their concerns are and what is it that they want to have occur. The writer will then take this information and incorporate into the following structure. Tier 2-sections Thesis statement Relevance Responsibilities Compliance Supplementary Information Thesis statement This is similar to the topic section discussed in the Tier 1 policies, but it also adds more information to support the goals and objectives of the policy and management’s directives. This section will be used to discuss the issue in relevant terms and what conditions are included. If appropriate, it may be useful to specify the goal or justification for the policy. This can be useful in gaining compliance with the policy 50 Relevance The Tier 2 policy also needs to establish to whom the policy applies. In addition to whom, the policy will want to clarify where, how, and when the policy is applicable. Is the policy only enforced when employees are on the work-site campus, or will it extend to off-site activities? It is necessary to identify as many of the conditions and terms as possible Responsibilities The assignment of roles and responsibilities is also included in Tier 2 policies. For example, the policy on company-approved software will have to identify the process to get software approved. This would include the authority (by job title) authorized to grant approval and a reference to where this process is documented. Compliance For a Tier 2 policy, it may be appropriate to describe, in some detail, the infractions that are unacceptable and the consequences of such behavior. Penalties may be explicitly stated and should be consistent with the Tier 1 Employee Discipline Policy. Remember: when an employee is found in a noncompliant situation, it is management and Human Resources that are responsible for disciplining the individual. 51 Supplementary Information For any Tier 2 policy, the appropriate individuals in the organization to contact for additional information, guidance, and compliance should be indicated. Typically, the contact information would be specified by job title, not by individual name. It may also be prudent to identify who is the owner of this policy. Uygulama Spesifik (Tier 3 -3. seviye) Politikalar Global-level (Tier 1) and topic-specific (Tier 2) policies address policy on a broad level; they usually encompass the entire enterprise. The application-specific (Tier 3) policy ocuses on one specific system or application. As the construction of an organization information security architecture takes shape, the final element will be the translation of Tier 1 and Tier 2 policies down to the application and system level Tier-3 - Who has the authority to read or modify data? - Under what circumstances can data be read or modified? - How will remote access be controlled? 52 Tier-3 how to set.... To develop a comprehensive set of Tier 3 policies, use a process that determines security requirements from a business or mission objective. Try to avoid implementing requirements based on security issues and concerns. Remember that the security staff has been empowered to support the business process of the organization Tier 3 – how to prepare the policy Understand the overall business objectives or mission of the enterprise. Understand the mission of the application or system. Establish requirements that support both sets of objectives. Sample tier-3 policy (very simple---) 53 As a summary..... Global (Tier 1) policies are used to create the organization’s overall vision and direction. Topic-specific (Tier 2) policies address particular subjects of concern. Application-specific policies focus on decisions taken by management to control particular applications (financial reporting, payroll, etc.) or systems (budgeting system) Politika, Standart ve Yönerge Guidelines describe best practices on how to do something, say harden a MS Vista box for the DMZ. Standards describe what the baseline requirements are for various technologies and configurations that are supported in the enterprise. Policies describe required actions to take and why. 54
© Copyright 2024 Paperzz
