close

Enter

Log in using OpenID

BG Farkındalığı - eng.bahcesehir.edu.tr

embedDownload
YZM5604 Bilgi Güvenliği Yönetimi
21 Ekim 2014
Dr. Orhan Gökçöl
http://akademik.bahcesehir.edu.tr/~gokcol/yzm5604
Bahçeşehir Üniversitesi, Fen Bilimleri Enstitüsü
Geçtiğimiz hafta...







Bilgi Güvenliği Tarihçe
Bilgi Güvenliği Tanımı
Bilgi Güvenliği Unsurları ve CIA
İşletmelerde Bilgi Güvenliği Yapılanması –
Yukarıdan Aşağıya Yaklaşım
Sistem Geliştirme Hayat Döngüsü – SDLC
Bilgi Güvenliği Sistemi geliştirme Hayat Döngüsü
– SecSDLC
Bilgi Güvenliği Yönetimi ile ilgili iş tanımları
Bilginin Kritik Karakteristikleri
Sahip olunan bilginin değeri, bilginin içerdiği
birtakım karakteristiklerle ölçülür:







Kullanılabilirlik (Availability)
Hassasiyet/Doğruluk (Accuracy)
Orijinallik (Authenticity)
Gizlilik (Confidentiality)
Tamlık (Integrity)
İşe yararlık (Utility)
Sahip olma (Possession)
C
I
A
Geçtiğimiz Hafta
1
Güvenlik ve Erişimin Dengelenmesi



Mükemmel bir güvenlik tesis etmek imkansızdır –
güvenlik mutlak bir kavram değildir; bir süreçtir
Güvenlik, koruma ve kullanıma hazır olma durumu
arasında bir “denge” hali olarak düşünülmeli
Dengeyi sağlamak için, sistemin güvenlik seviyesi
makul düzeyde bir erişime izin verirken aynı
zamanda saldırılara karşı da koruma sağlamalı.
Geçtiğimiz Hafta
Figure 1-7 – Approaches to Security
Implementation
Geçtiğimiz Hafta
Yukarıdan-Aşağıya Yaklaşım

Üst yönetim tarafından yapılır:
Politikalar, prosedürler ve süreçler modellenir (iso 27001)
 Hedefler ve süreçlerden, projelerden beklenen çıktılar
belirlenir, (dikte edilir!)
 Gereken her aksiyon için kimin sorumlu olduğu saptanır



Böyle bir yaklaşımın doğal olarak üst yönetimden çok kuvvetli
bir desteği olacaktır. Finansal kaynaklar, planlama, şirket
kültürüne etkiler vb çok kolay modellenebilmekte/
olabilmektedir
Bilgi Güvenliği oluşturulması standart bir sistem geliştirme
stratejisi kapsamında da modellenebilir (sistem geliştirme hayat
döngüsü)

En başarılı yaklaşım budur.
Geçtiğimiz Hafta
2
Stratejik Planlama
Geçtiğimiz Hafta
Figure 1-8 – SDLC
Waterfall
Sistem Analizi
Methodology
İrdeleme
Analiz
Sistem Tasarımı
Mantıksal Tasarım
Fiziksel Tasarım
Gerçekleştirme
Bakım
Geçtiğimiz Hafta
Sistem Geliştirme Hayat Döngüsü – Şelale Metodolojisi
Bilgi Güvenliği Sistemleri
Geliştirme Hayat Döngüsü (SecSDLC)


Bilgi Güvenliği projesinin uygulanmasında
Geleneksel Sistem Geliştirme Hayat Döngüsü
ile aynı fazlar kullanılabilir
Temel süreç tehditlerin tanımlanması ve
berteraf edilmesi için yapılacak kontrollerin
belirlenmesidir
Geçtiğimiz Hafta
3
SDLC Fazları
İrdeleme
Analiz
Mantıksal Tasarım
Fiziksel Tasarım
Gerçekleştirme
Bakım
Geçtiğimiz Hafta
Bilgi Güvenliğinin Alt Unsurları










security policy – bilgi güvenliği politikası
organizational security – kurumsal güvenlik
asset classification – varlıkların sınıflandırılması
personnel security – insan kaynakları güvenliği
physical security – fiziksel ve çevresel güvenlik
communication and operations management – haberleşme
ve işletim yönetimi
access control – erişim kontrolü
system development and maintenance – sistem geliştirme
ve bakım
business continuity planning – iş sürekliliği planlama
Compliance - Uyum
Geçtiğimiz Hafta
Özetle .......






«Bilgi» iş dünyası ve toplum için kritik öneme haizdir. Bir
işletme için değeri olan her şey «varlık» (asset) olarak
adlandırılır ve BG temel olarak varlıkların güvenliğini
sağlamakla ilgilidir.
BG «mutlak güvenlik» anlamına gelmez. Tüm işletme için
geçerli yaklaşımlar kullanarak, kullanılabilirlik (usability) ve
güvenlik (security) arasında bir denge oluşturulması esastır.
Bilgisayar Güvenliği, yıllar içinde bilgi güvenliği şeklini almıştır.
Bilgi Güvenliği, her varlık için, üç temel unsur göz önüne
alınarak yönetilir : C, I ve A.
BG, organizasyonda yer alan herkesin sorumluluğudur. Ancak,
yöneticiler ve özellikle üst yönetim süreçlerde kritik bir rol
oynamaktadır.
BG, yukarıdan-aşağıya bir yaklaşımla yönetilir
4
Anahtar Kavramlar: Gizlilik (Confidentiality)




Gizlilik
Bazı tehditler
Korsanlar (Hackers)
Sahtekarlar
(Masqureaders)
İzinsiz kullanıcılar
Dosyaların korunmasız
olarak indirilmesi
LAN (yerel ağ)
Truva atları (Trojan
horses)

sadece yeterli haklara sahip olanlar
belirli bir bilgiye erişebilir

Gizlilik modelleri


Bell-LaPadula (DoD model)

No write down & No read up (a subject at

a given security level may not read an object
at a higher security level (no read-up).



TCSEC/TNI (Orange, Red Book)

(Trusted Computer System Evaluation
Criteria) – multilevel security
Chinese wall
(bu modellerden bazılarını «erişim
kontrolü» konusunda ele alacağız)
Anahtar kavramlar: Tamlık

Tamlık


Tam olma, bozulmamış olma,
Diğer sorunlar

Tamlık modelleri

Biba/low water mark

Clark-Wilson

Lipner integrity Matrix
Ring




Orijinallik
Veri tamlığı (veriyi
ifade etmek için
yeterli olma)
No write up & No read down
Separation of duty
(bu modellerden bazılarını «erişim
kontrolü» konusunda ele alacağız)
Anahtar kavramlar:
Süreklilik/Kullanılabilirlik

Kullanılabilirlik


Bilginin, herhangi bir engelleme ya da
bozulma olmadan (gerekli yetkilere sahip)
kullanıcının erişimine açık olması
Varlığını sürdürebilme/Survivability

BG saldırılarında bile varlığını devam
ettirme, erişilebilir olma

İş sürekliliği
(bu kavramları «erişim kontrolü»
konusunda tekrar ele alacağız)
5
Anahtar kavramlar: mahremiyet
(privacy)

Mahremiyet

Bilgi sadece, bilgi sahibi tarafından bilinen/onay
verilen amaçlar için kullanılır.
Varlık/bilgi sahipliği
Anahtar kavramlar: Kimlik tanımlama (Identification),
Kimlik doğrulama (Authentication) ve Yetkilendirme
(Authorization)
 Tanımlama



Doğrulama


Bilgi sistemleri, kullanıcılarını, kullanıcı kimlikleri ile tanırlar
(kullanıcı adı, yüz, retina vb)
Tanıma ve doğrulama zaman zaman birlikte ele alınmalıdır ve bu
süreçler, kullanıcının erişim seviyesini yetkilendirmede çok
önemlidir
Kullanıcının, iddia ettiği kişi olduğunu kanıtlaması (parola girişi,
biyo kimlik doğrulama vb.)
Yetkilendirme

Bir varlığın, erişen kişi tarafından nasıl ve hangi şartlarda
kullanılabileceği ile ilgili olarak yapılan düzenlemeler
(bu kavramları ilerde tekrar tartışacağız)
Anahtar kavramlar: Mesuliyet/Sorumlu tutulma
(Accountability), Teminat (Assurance)


Mesuliyet : Bir BG kontrolü neticesinde, yapılan tüm
eylemlerin bir kişi ya da süreç ile ilişkilendirilmesi ve kimin neyi
yaptığının belli olması
Teminat (Güvence) : Tüm güvenlik hedeflerine ulaşıldığına
dair teminat verilmesi
6
BG – ilişkili taraflar

BG, üç farklı grubun yaptığı çeşitli faaliyetleri
içermektedir:





Bilgi güvenliği yöneticileri ve profesyonelleri
Bilgi teknolojisi yöneticileri ve profesyonelleri
Teknik olmayan iş (business) yöneticileri ve
profesyonelleri
Her grubun kendi rol ve sorumlulukları var
Güvenlik yönetimi farklı stratejilerin eş zamanlı
olarak uygulanması ile elde oluşturulur
BG Yönetimi – Temel Hedefi

Bilgi Güvenliği Unsurları ve CIA Yaklaşımı




Asıl soru : C,I ve A üzerindeki riskleri azaltmak için ne yapmalı??
(Bunlara daha sonra Bilgi Güvenliği Kontrolleri adını vereceğiz)
BUNUN İÇİN BİLGİ GÜVENLİĞİNİ YÖNETMEK GEREKİYOR!
BİLGİ GÜVENLİĞİ YÖNETİMİ => Bir metodoloji olmali ve
çalıştığından kesin emin olmalıyız
Günümüzde genellikle Bilgi Güvenliği Programlarının
oluşturulması ve yönetilmesi birtakım “best practice”
tabanlı yaklaşımlarla yapılıyor



ISO27001
NIST
Yaklaşımların hepsi de birtakım güvenlik kontrollerinin
uygulanması ve güvenlik risklerinin yönetilmesi esasına dayanır
En önemli problem.....


BG yönetimi için, sıfırdan başlayarak sistematik bir
yaklaşım geliştirilmesi, test edilmesi ve uygulanması
kolay bir iş değildir!
....Halihazırda, kullanılan birtakım BG modelleri zaten
var!






Test edilmiş
Etkin çalıştığı gösterilmiş
Pek çok örnek uygulama yapılmış
Çok geniş bir dokümantasyon
Danışmanlık almak mümkün
Dünya genelinde geçerli bir yaklaşım.. Uygulamalar her
yerde aynı
7
Bilgi Güvenliği Yönetimi Modelleri




ISO27001
SSE-CMM
GASPP/GAISP
COBIT and ITIL
IT Services Management
Control Objectives for
Information and Related
Technologies (COBIT)
toolset that allows managers to bridge the gap
between control requirements, technical
issues and business risks.
ISO27001


Bilgi güvenliğinin açık yönetimsel kontrollerle sağlanmasını
hedefleyen resmi bir yönetim sistemidir. Belirli gereksinimlerin
karşılanmasını şart koşan bir standarttır. ISO/IEC 27001
uyguladıklarını iddia eden firmalar, resmi olarak denetlenerek bu
standarda uygunlukları belgelendirilebilir.
ISO/IEC 27001 aşağıdaki konularda yönetimin aksiyon almasını
gerektirir:



İşletmelerin; tehditler, açıklıklar ve etkileri dikkate alan bir yaklaşımla bilgi güvenliği
risklerini sistematik bir biçimde incelemek/değerlendirmek
Kabul edilemez riskleri değerlendirerek; geniş kapsamlı , anlaşılır ve birbiriyle uyumlu
BG kontrolleri ve diğer risk tedavi formlarını (riskten kaçınma ya da risk transferi gibi)
tasarlamak ve uygulamak
Uygulanan BG kontrollerinin, işletmenin BG ihtiyaçlarını sürekli bir biçimde
sağlamaya devam etmesi için, (tüm işletmeyi/herkesi) kapsayıcı bir yönetim sürecini
benimsemek
GASPP/GAISP

1.
2.
3.
4.
5.
6.
7.
8.
Genel Kabul Gören BG Prensipleri [It is Generally Accepted
Information Security Principles –GAISP] –Bilgisayar Sistemleri
kullanımı ile ilgili genel prensipler
Computer security supports the mission of the organization
Computer security is an integral element of sound management
Computer security should be cost-effective
Systems owners have security responsibilities outside their own
organization
Computer security responsibilities and accountability should be made
explicit
Computer security requires a comprehensive and integrated approach
Computer security should be periodically reassessed
Computer security is constrained by societal factors
8
COBIT/ITIL



COBIT : The Control Objectives for Information and related Technology (COBIT)
Bilgi Teknolojileri Yönetimi için en iyi uygulamalardan oluşan metodolojik bir
yaklaşımdır. COBIT yöneticilere, denetçilere ve Bilgi Teknolojileri (BT)
kullanıcılarına iş hedeflerinin bilgi işlem hedeflerine dönüşümünü, bu hedeflere
ulaşmak için gerekli kaynakları ve gerçekleştirilen süreçleri bir araya getirirken,
aynı zamanda bilgi teknolojileri alt yapılarını da etkin kullanmayı sağlar.
ITIL : The Information Technology Infrastructure Library (ITIL) is a set of
concepts and policies for managing Information Technology (IT) services (ITSM),
developments and operations. ITIL gives a detailed description of a number of
important IT practices with comprehensive checklists, tasks and procedures that
any IT organization can tailor to its needs. ITIL is published in a series of books,
each of which covers an IT management topic.
Although ITIL is quite similar with COBIT in many ways, but the basic difference is
Cobit set the standard by seeing the process based and risk, and in the other
hand ITIL set the standard from basic IT service.
NIST – National Institute of
Standards
and Technology
Security Assessment Framework:
Level 1
Politika Geliştirme (Documented Policy)
Level 2
Prosedürleri Oluşturma (Documented Procedures)
Level 3
Prosedürleri ve kontrolleri uygulama
(Implemented Procedures and Controls)
Level 4
Etkinliği ölçme (Measured Program)
Level 5
Pervasive Program /Yaygınlaştırma
NIST Framework
9
ISO27001 – PUKÖ Yaklaşımı
PLAN
ACT
DO
CONTROL
PUKÖ, bir BGYS’nin bilgi güvenliği gereksinimlerini ve ilgili tarafların beklentilerini girdi
olarak nasıl aldığını ve gerekli eylem ve prosesler aracılığıyla, bu gereksinimleri ve
beklentileri karşılayacak bilgi güvenliği sonuçlarını nasıl ürettiğini gösterir. Yukarıdaki
şekil ayrıca, standarttaki Madde 4, Madde 5, Madde 6, Madde 7 ve Madde 8’de
sunulan proseslerdeki bağlantıları da gösterir.
Bilgi Güvenliği



YÖNETİM SORUMLU
YUKARIDAN AŞAĞIYA YÖNETİLMELİ
GÜVENLİK POLİTİKALARI
Güvenlik Çemberi ve Güvenlik Politikası
Güvenlik Politikası : Bir işletmeye
ait, bilgiyi işleyen ve kaydeden her
türlü bilgi (varlık) ve sistemleri
korumak için oluşturulmuş iş
kurallarından oluşan bir
dökümandır.
Güvenlik politikası yardımıyla,
oluşturulan sistemin yaşayan bir
sistem (SecSDLC) olması
sağlanır
10
Politika Yapısı
Kurum
Vizyonu
Kurum
Misyonu
X
Y
Bilgi Güvenliği
Politikası
Politikası
Politikası
Organizational security – Kurumsal Güvenlik


Kurumsal güvenlik dendiğinde, “güvenlik politikasının”
tüm işletme içinde uygulanabilmesi için bir yapı
kurulması anlaşılmalıdır.
Bu, aşağıda verilen işlerin yapılmasını gerektirir :




Üst yönetimden destek alınması,
Bilgi güvenliği farkındalık programının oluşturulması,
Yönetim kuruluna raporlamaların yapılması,
İşletme içindeki alt birimlerin (departmanların=business unit)
kurumsal güvenlik süreci içindeki rollerinin belirlenmesi.
Bilgi Güvenliği Yönetiminde
Amaçlanan....


Çeşitli Alanlarda Gruplanabilir bir yapı
oluşturulması
Bu, Bilgi Güvenliği Yönetimine Sistematik
Olarak Bakabilmemizi Sağlar
HANGİ ALANLAR???
11
Bilgi Güvenliği Kategorileri
Güvenlik Politikası
Bilgi Güvenliği
Organizasyonu
Uyum
İş Sürekliliği
Yönetimi
Bütünlük
Varlık
Yönetimi
Gizlilik
BİLGİ
(Varlık)
Bilgi Güvenliği
İhlal Olayı
Yönetimi
Bilgi Sistemleri
Edinim, Geliştirme
ve Bakımı
İnsan Kaynakları
Güvenliği
Kullanılabilirlik
Erişim Kontrolü
Fiziksel ve
Çevresel
Güvenlik
Haberleşme ve
İşletim Yönetimi
Varlıkların sınıflandırılması
(Asset clasification)



Varlık sınıflandırmasında, kurumun sahip olduğu
tüm kaynaklar sınıflandırılır ve çeşitli gruplara
ayrılır.
Böylece, kurumlar her gruba farklı seviyede
güvenlik tedbirleri uygulayabilirler.
Bu süreç, bilgi güvenliği uygulamaya
konulduktan sonra, güvenlik yönetimini
kolaylaştırır. Ancak, uygulamaya konma
aşaması daha zordur.
Personnel security – İnsan Kaynakları Güvenliği


İşletmelerde çalışan insanların güvenliği ile ilgilidir.
İK güvenliği ile ilgili yapılması zorunlu bazı
görevler:




İş tanımlarının oluşturulması,
Özgeçmiş taramaları (background checks),
İşe alma sürecine destek olmak,
Kullanıcı eğitimleri
12
İnsan kaynağı/personel







Müşteriler
Ziyaretçiler
Çalışanlar
Yöneticiler
Taşeronlar
Danışmanlar
Yetkisiz kişiler
HEPSİ, Personel Güvenliği
kapsamında değerlendirilmeli!!!
Physical Security – Fiziksel Güvenlik


BG profesyonellerinin, fiziksel güvenliğin genel
BG’ne etkisinin ne olduğunu anlaması çok
önemlidir.
Dengeli bir BG programı, fiziksel güvenliği de
içermek zorundadır. Fiziksel güvenlik
sağlanarak, bilgi servislerinin çalışmamasına yol
açabilecek her türlü fiziksel tehdit etkisinin
azaltılması; böylece bilgi varlıkları, fiziksel
varlıklar ve insan varlıklarının korunması
amaçlanır
Fiziksel Güvenlik Tehdit Türleri

İnsan kaynaklı ihlaller
◦

Attackers looking to perform some sort of damage or
obtain useful information
“Doğal ”Felaketler”
◦
◦
◦
◦
Yangın
Sel
Deprem/Sismik Titreşimler
Elektrik sistemindeki kesintiler/düzensizlikler
13
Haberleşme ve Operasyon Yönetimi
(Communications and operations management)

Haberleşme ve operasyon yönetimi aşağıdaki
unsurları içerir:




işletme içindeki hiç kimsenin, suç teşkil eden bir
eylemi yapması ya da «idare etmesi» nin önüne
geçilmesi
Geliştirme için kullanılan sistemlerin üretimde/serviste
kullanılan sistemlerden ayrılması
Ömrü tamamlanan sistemlerin güvenli bir şekilde
ortadan kaldırılması.
Bunları gerçekleştirmek kolay gibi görünse de,
aslında haberleşme ve operasyon yönetimi pek
çok güvenlik delikleri de ortaya çıkarma
potansiyelindedir
Erişim Kontrolü -Access Control
Yalnızca yetkilendirilmiş kullanıcıların organizasyonun
sistemlerini kullanmasına izin verilmesi


Yetkilendirilmiş kullanıcıların yapabilecekleri eylemlerin
kısıtlanması.
Erişim kontrolü, bilgi sistemleri içinde farklı kısımlarda,
farklı yöntemlerle uygulanabilmektedir. Örneğin;






Routers
Firewalls
Desktop operating system
File server
Applications
Sistem Geliştirme ve Bakım
(System Development and Maintenance)


Yama yönetimi (Patch management), sistem geliştirme ve
bakım süreçlerinin önemli bir parçası.
Kurum için geliştirilen bir yazılım uygulaması varsa, bu
uygulamanın her modülü ya da bileşeni güvenlik açıkları ve
uygun yazılım geliştirme yaklaşımları açısından denetlenmeli.






SPICE (=ISO15504)
CMMI
SQRUM
SDLC – ISO12207
Ortak Kriterler (CC-Common Criteria)
Bu süreçte, saldırganların çok sevdiği ciddi açıklar ortaya
çıkabilmektedir.
14
İş Sürekliliği Planlaması (Business Continuity Planning)


Sistemleri saldırılara karşı güvenli tutma
konusundaki çabalarımız yanında, aynı zamanda
herhangi bir felaket anında onları çalışır halde tutmak
da çok önemlidir. Bu, genellikle «İş Sürekliliği
Planlaması» kapsamında değerlendirilir
Bütün BG profesyonellerinin, İSP konusunda bir
miktar bilgisinin olması gerekmektedir. Örneğin, Ana bilgisayarınızın sabit diski aniden «ölürse»

Kritik dosyalarınızı geri kazanmak için bir planınız var mı?
TARTIŞMA!!!
İSP’nin BG Risklerinden bir farkı var mı? İSP
kapsamında yapacağımız şeyleri Risk Analizi’ne dahil
edebilir miyiz? Ne dersiniz?
Uyum (Compliance)

Pek çok BG profesyoneli, sistemlerin gözden
geçirilmesi, test edilmesi konularında
çalışmaktadır.


Sistemlerin tam olarak çalışıp çalışmadığı,
Tanımlanan işlevleri yerine getirip getirmedikleri
U Y U M !!!
•
•
•
•
•
•
Yasalara uyum
Mesleki regülasyonlara uyum
Kurumsal politikalara uyum
Kişisel hakların gizliliği
Kayıtların korunması
….
Sosyal Mühendislik (Social Engineering)


Birisinin şirket çalışan(lar)ını manipüle ederek
bazı bilgilere ulaşması ve bu bilgileri kullanarak
sistemlere erişmesi ve BG’ni tehdit etmesi
durumuna Sosyal Mühendislik adı verilir.
Bu tür saldırılar çok basit olabildiği gibi çok
karmaşık da olabilmektedir.

Kurumsal web sitelerinde yayınlanan bilgiler ya da
telefonla erişilerek elde edilen bilgiler Sosyal
Mühendislere yeni ufuklar açmıştır!!
15
Sosyal Mühendislik/Social Engineering

Başkalarına yardımcı olma arzusu.

We have trained our employees well. Make sure
the customer is satisfied. The best way to a good
appraisal is to have good responses from those
needing assistance. Most of our employees want
to be helpful and this can lead to giving away too
much information.
Social Engineering

İnsanlara güvenme eğilimi.

Human nature is to actually trust others until they
prove that they are not trustworthy. If someone
tells us that he is a certain person, we usually
accept that statement. We must train our
employees to seek independent proof.
Social Engineering

Başının derde gireceği korkusu.

Too many of us have seen negative reaction by
superiors because verification of identity took too
long or because some official was offended.
Management must support all employees who are
doing their assignment and protecting the
information resources of the enterprise.
16
Sosyal Mühendislik

Kolaya kaçma arzusu (willingness to cut
corners).

Bazen tembellik yaparız!!!


Şifreleri kağıtlara yazıp, ekranımızın üzerine yapıştırmak
Önemli evrakları, materyalleri, bilgileri herkesin
erişebileceği ortamlarda «unutmak, bırakmak» !!
A social engineer with enough time, patience, and resolve will
eventually exploit some weakness in the control environment of
an enterprise. Employee awareness and acceptance of safeguard
measures will become our first line of defense in this battle
against the attackers. The best defense against social engineer
ing requires that employees be tested and that the bar of
acceptance be raised regularly.
BG Tehditleri


BG’nin ilk ve belki de en önemli unsuru güvenlik
politikası’dır. BG bir insan gibi
modellenebilseydi, güvenlik politikası da
«merkezi sinir sistemi» olurdu.
Politikalar, yıllar içinde BG’nin tam merkezinde
yer almaya başladılar. Böylece, BG’nin diğer
unsurları için bir yapısallık ve amaç oluşturma
rolüne büründüler.
Güvenlik ve Güvenilirlik (Security vs.
Reliability)



Güvenlik saldırıları, yazılım hataları ve
donanımsal sorunlar “CIA”’nın ihlaline sebep
olabilir.
Bazı olaylar için bu olayların hangisinin güvenlik,
hangisinin güvenilirlik ile ilgili olduğunu
belirlemek güçtür.
Bazı güvenlik ve tedavi mekanizmaları hem
güvenlik hem de güvenilirlik olayları için aynıdır.
17
Güvenlik açıkları nereden gelir?




Sistem tasarımından (In system design)
 Not planning for security (many things today)
 Designing security incorrectly (WiFi original encryption standard)
Sistem devreye alınmasından (In system implementation)
 Ambiguous/incomplete design document
 Implementation errors (buffer overflows, etc.)
Sistem kullanımından (In system use)
 Configuration--often weakest security “out of the box”
 Failure to keep up with updates/patches
 Physical security
Dikkatsiz kullanıcı davranışlarından (ill advised user actions)
 Poor passwords/passwords written down
 Victims of “social engineering”
Management needs to keep all of this in mind when designing,
implementing and deploying systems
Kurumsal yapı içerisindeki bazı BG rolleri



Güvenlik Koordinatörleri in each business unit who, with
the support and cooperation of Information Security
Management, implement the instructions of the steering
committee
Güvenlik Yöneticileri in each business unit who maintain
the access controls and other tools used as controls to
protect information
Güvenlik Takımı that gets its support and direction from
Information Security Management and the Steering
Committee and that focuses on plans to implement new and
amended information security processes and tools so that
the implementation has the lowest possible impact on the
organization
Kurumsal yapı içerisindeki bazı BG rolleri



BG Yönetimiwho provide direction for the program,
advice to the entire organization, and a focal point for
resolving security issues
İç Tetkik who report on information security practices to
the Audit Committee and, through the Audit Committee,
to the organization’s directors and other senior
management
BG Yönetim Komitesi (Steering Committee)
composed of the heads of all business units who —
among their other duties — take direction from the
organization’s senior management and make sure it is
translated into working practices
18
BG Sorumlulukları




Organizasyonel Yapı içerisinde BG ile ilgili
sorumluluklar yer almalı....
Yönetimin Bilgi Güvenliğine Bağlılığı hep ön
planda olmalı
Bilgi Güvenliği İle İlgili Sorumlulukların tahsisi
yapılmalı
Bilgi Güvenliğinin Bağımsız Olarak Gözden
Geçirilmesi gerekiyor!
Tipik bir Organizasyon Yapılanması
Direktörler Kurulu
Başkan
CIO
Güvenlik Direktörü
Proje Güvenlik
Sorumlusu
Kurumsal Güvenlik
Güvenlik Analisti Sistem Denetçisi
Sorumlusu
56
Güvenlik Odaklı Yapılanma
Board of Directors/Trustees
President
SORUN: BG’den sorumlu
birim ile onu denetleyen birim
ayrılmalı!
CIO
IT Denetim Sorumlusu
Sistem Denetmeni
Güvenlik Direktörü
Enterprise
Security Analyst
Security Architect
Project
Security Architect
57
19
Organizasyon Yapısı – İç Tetkikin Ayrılması
Board of Directors/Trustees
Audit Committee
President
Internal Audit
IT Audit Manager
System Auditor
CIO
Security Director
Enterprise
Security Analyst
Security Architect
Project
Security Architect
58
Kurumsal Yapı

Denetleme, uygulama ve operasyondan
tamamen ayrılmak zorunda!




Bağımsızlık riske atılmamalı!
BG ile ilgili sorumluluklar iş tanımlarında
belirtilmeli
Üst yönetimin BG konusunda tam bir
sorumluluğu olmalı
BG ile ilgili pozisyonların fonksiyonel
sorumlulukları olmalı
59
Roller ve Sorumluluklar

En İyi uygulamalar:




En az yetki (Least Privilege)
Zorunlu izin kullanımı (Mandatory Vacations)
Görev rotasyonları (Job Rotation)
Sorumlulukların ayrılması (Separation of Duties)
60
20
Roller ve Sorumluluklar

Owners-Sahip


Custodians-Koruyucu


Güvenlik gereksinimlerini belirler
Gereksinimleri temel alarak güvenliği yönetir.
Users-Kullanıcı

Güvenlik gereksinimlerinin izin verdiği sınırlar
dahilinde erişim sağlar
61
Alt birim (departman) Sorumlulukları

Politika ve Standartların oluşturulması ve
uygulanması


Politika ve standartların oluşturulmasında her birimden katkı gelmesi
gerekmektedir. Organizasyon içindeki tüm birimler politikaları gözden
geçiren ve onaylayan mekanizma içinde yer almalıdır.
Politika ve standartlarla uyum

Organizasyon içindeki her birim, yönetimsel anlamda bu politika ve
standartlara, birim içerisinde uyum sağlatılmasından sorumludur.
Politika ve Standartların Oluşturulması
ve Uygulanması

Politikaların gerçekten çok güçlü olabilmeleri ve
kurumun tüm ihtiyaçlarını yansıtabilmesi için, her
birim ikii farklı rol üzerinden temsil edilmelidir:



Politika onay sürecinde yer almak;
Politikaları gözden geçirip fikir beyan etme sürecinde yer
almak
Politikalar ve standartlar onaylandığında, her birim
kendi içindeki uygulamalardan sorumlu olacaktır
21
Politika ve Standartlarla Uyum



Politika ve standartlara tam uyum birim sorumluluğudur.
Eğer bir denetleme sırasında uyumsuzluklar ortaya
çıkarsa, durumu düzeltmek ve uyumu yeniden
sağlayabilmek için çok daha fazla çalışma yapmak
gerekecektir.
Eğer uyum konusunda gevşeklikler gösterilmesi bir
kurum kültürü halini alırsa, BG’nde boşluklar ve şirket
varlıklarının korunmasında ciddi riskler oluşması
kaçınılmaz olacaktır.
BG Farkındalık Programı



BG farkındalık programlarının amacı, politika ve
standartlar konusunda herkesin aynı şeyleri anladığını
sağlamaktır.
Eğer politika ve standartlar sadece okunur ve başka hiç
bir şey yapılmazsa, iş ortamının yoğunluğu içinde
unutulup gidilecektir.
Eğer bir kurum politika ve standartlarının gerçekten etkin
olarak uygulanmasını arzu ediyorsa, bilginin bir program
ve senaryo dahilinde düzenli aktarımını temin etmelidir.
Buna, BG farkındalık programı denir.
22
BG Farkındalık Programı


Benzeri pek çok programların yapısında, genel olarak
sorun yaşanan konular ele alınmaktadır. Örneğin, erişim
kontrolü (parola yönetimi, bilgisayar oturumlarının
paylaşılması, vb), e-posta pratikleri ve virüsler. Eğer BG
uzmanları bu ve benzeri konuları nasıl adresleyeceklerini
ve bunların farkındalık artması ile ilgili yararlarını açıkça
ortaya koyabilirlerse, böyle programlar için üst
yönetimden finans desteği sağlamak da kolay olacaktır!.
Bunu yapmanın yolu, programın etkinliğini ölçmekten
geçmektedir.
BG Farkındalık Programı




If an organization is trying to improve users’ access
control habits, then Information Security staff must start
by finding ways to measure them.
These can include password cracking software or
sampling walk-throughs where a given number of
workstations are observed and a record made of how
many are left unattended and logged on.
Similarly, if your organization wants to improve e-mail
habits, observation of e-mail traffic before any security
awareness activity will be necessary
Audit findings and workpapers will also provide valuable
measurements at no cost to the Information Security
department.
BG Farkındalık Programı – Ana Hatlar

Hangi Sıklıkta? (Frequency) : One of the main
factors in the success of the employee information security
awareness program will be the frequency with which the
message is delivered to staff. If the message is delivered
too often, it will become background noise — easily
ignored. On the other hand, we want the message to be in
employees’ minds as much as possible, so delivering the
message too infrequently can be as damaging as
delivering it too often
23
BG Farkındalık Programı – Ana Hatlar

İçerik: Bu tip programların yapısında
genellikle, reklam ve tanıtım yoluyla bir mesaj
iletilmesi esastır. Mesaj, örneğin, bir
powerpoint sunumu ile başlayabilir ve
aşağıdaki konulara odaklanır:




BG politikaları
Varlık sahipliği
Varlık sınıflama
İyi BG pratikleri
BG Farkındalık Programı – Ana hatlar

BG farkındalığı süreklilik arzeden bir yapıda olduğu için,
iletilmek istenen mesaj yıldan yıla değişkenlik
gösterebilir. Ancak, belli bir plan dahilinde yapılmalıdır
BG Farkındalık Programı – Ana hatlar


Sunum Ortamı : One of the main factors in the success
of the employee information security awareness program will
be the composition of the media used.
Each media element has its strengths and weaknesses and
so media for delivery must be carefully selected to ensure that
the message of the program is communicated as effectively
as possible. To rely on one medium — that is, video, posters,
PowerPoint presentations, etc. — would deaden the
message. Staff would become used to seeing whatever
medium or media were chosen and would begin to ignore it.
The key is to use a mix of media and a frequency of message
delivery that achieves the level of consciousness of security
issues that the organization has chosen.
24
BG Farkındalık Programı - Bileşenler

BG Yönetim Komitesi (IS Steering Committee):
the Information Security Steering Committee
should ideally be comprised of senior managers
(director or VP level) representing every major
business element of the organization.
BG Yönetim Komitesi



Genellikle (en fazla) ayda bir, ya da 3 ayda bir toplanır.
Komitenin amacı, ana konuların tartışıldığı bir forum ortamı
oluşturmaktır.
İş süreçlerindeki büyük değişiklikler ve sistem içinde
kullanılmaya başlanan yeni teknolojilerin BG’ne etkilerinin
tartışıldığı ve gerekli politika düzenlemelerinin yapıldığı
yerdir.
BG Yönetim Komitesi

Örnek: şirket birleşmeleri ya da şirket satın almalar:
For example, in the case of a merger or acquisition, the
information security group will study the proposed action
and decide on a strategy to bring the merged or acquired
company to the same level of control as the parent
organization. The information security group will then
present the proposed action to the Information Security
Steering Committee, which will approve the strategy or
direct that changes be made. As the merger or
acquisition proceeds, the Information Security group will
report progress and details to the committee on a
predefined frequency.
25
BG Program Yapısı- bileşenler
BG Sorumlulukları


BG, kurumsal bir sorumluluktur ve çalışan herkesin
belli ölçülerde sorumlulukları bulunmaktadır. BG,
ancak tüm çalışanların katkısı ile başarıya
ulaşabilecektir.
BG, normal bir iş yapma pratiğinin parçası olarak
değerlendirilmelidir. Doğal olmalıdır.
BG Sorumlulukları

Üst Yönetim (Senior Management) : BG’nin
tüm kurum içinde uygun şekilde ele
alındığının temin edilmesinden sorumludur.
BG Sorumlulukları

BG Yönetimi: BG ile ilgili sorumlulukları olan kişi ya da birimleri
bir polis gücü gibi görmemek lazım. Olsa olsa, bir hakem rolü
üstlenirler! Kurumsal yapı içindeki BG Yönetimi sorumlulukları
aşağıdaki işleri yapmalıdır:




BG politika ve standartlarının oluşturulmasını ve uygulanmasını sağlamak
için gereken çabalara itici güç olmak
İş sürekliliği planlarının oluşturulması ve koordinasyonu
BG ile ilgili çalışmaların yönetimi
BG ile ilgili yazılım araçlarının, kurum adına yönetimi.
26
BG Sorumlulukları – Bölüm Yöneticisi



BG programı, sadece tüm kurumda aynı şekilde
uygulanırsa başarılı olacaktır. Departmanların
yöneticileri de, bunun gerçekleştirilmesindeki
anahtar kişilerdir.
Eğer bir bölümün yöneticisi (müdürü) BG’ne
gereken önemi vermezse, diğer organizasyonel
çabaların da önünü tıkayacak ve program başarılı
olamayacaktır.
Departman yöneticileri BG programını aşağıdaki
katkılar çerçevesinde destekleyeceklerdir:
BG Sorumlulukları – Bölüm Yöneticisi


Politika gözden geçirme süreçlerine katılmak.
BG standartları için girdi oluşturmak


Standartlar, politikalarla karşılaştırıldığında, daha fazla departmana özel
unsurlar taşır. (network support writes network security standards,
Human Resources writes personnel security standards, etc.) and, with
help from Information Security, business unit managers must write
standards that their unit can live with and that adequately protect the
information used by the unit.
BG’nin departman içinde ölçümlenmesi

While Information Security will provide the metrics and the mechanisms
for measuring the effect of the information security program, the
business unit managers themselves benefit from taking responsibility
for the measurement
BG Sorumlulukları – Bölüm Yöneticisi

Politika ve standartlara uyumu sağlamak.


Information Security can report violations of policy and standards, but
only business unit managers can initiate remedial and disciplinary
action in response. Without such remedial and disciplinary action,
policies and standards are soon seen as “toothless” and are ignored
very quickly afterward
BG eğitimi ve farkındalığını desteklemek

The information security education and awareness program can only
succeed with the clear cooperation of business unit managers. From
basic cooperation in providing resources and scheduling events to a
directive to adopt the messages delivered by the program, business
unit managers’ support is crucial.
27
BG Sorumlulukları – Kısım şefleri


Often seen as “the front line” in information security, first
line supervisors are on the one hand seen to be
examples to judge the level of support for information
security and, on the other hand, enforcers of policies and
standards.
First line supervisors often carry out duties delegated by
business unit managers and are a key piece of the
communication chain that allows an organization to
monitor its information security program
BG Sorumlulukları – Kısım Şefi




Monitor their employees’ activities in light of organization
information security policies and standards : directing better
compliance where appropriate and reporting incidents of
noncompliance to business unit managers.
Communicate security issues to Information Security, senior
management (through business unit managers), and through
them to the Information Security Steering Committee.
In organizations where information security is included as a
performance measurement, comment on individual employees’
performance with respect to information security at
performance appraisal time
Support the information security policy by reinforcing the
messages contained in the education and awareness elements
of the program.
BG Sorumlulukları – Çalışanlar


Çalışanların, BG politika ve standartlarına tam uyum
göstermesi istenir.
Ancak, BG programları sadece ve sadece çalışanların istekli
destekleri ve katkıları ile yürüyecektir. Herşeyi basitçe,
«politikalara ve standartlara uyum» a indirgemek çok pasif
bir yaklaşımdır. Çalışanların birim içindeki yöneticilerine
(kısım şefleri ve müdürleri) yeterli katkıyı vermesi
beklenmelidir
28
BG Sorumlulukları – Çalışanlar


BG ihlallerinin bildirilmesi…More active participation from
employees can be encouraged in areas such as reporting
security concerns — and it should be stated like this. Most
organizations talk of employees “reporting security breaches” to
their supervisors but get very little cooperation as a result
because very few employees feel comfortable telling tales
about their co-workers.
Genel BG pratiklerinin sorgulanması…From general security
issues (perhaps seen in the press) to topics of concern that are
specific to the organization, employees should be encouraged
to see the process as simply passing on information or
asking for clarification. This line of communication helps
make sure that the scarce resources of the Information Security
unit are party to as much information as possible about the
state of the organization’s program and about outside security
news.
BG Sorumlulukları – 3.cü Partiler



Third parties (contractors, vendors, etc.) are responsible
for complying with the information security policies and
standards of the organization with which they are
contracted or to which they provide goods or services.
This must be clearly stated in any contract that binds two
organizations. Where any waiver to this rule is allowed, it
must only be to state that the contractor or vendor must
provide protection for the purchasing organization’s
information to an equal or greater degree than the
purchasing organization itself.
Such contractual terms should be the subject of any
service level agreement (SLA) between the purchasing
organization and any contractor or vendor.
BG Sorumlulukları – Sonuçlar



Program performansı her bireyin kendi görevlerini
yapmasına bağlıdır. The structure of an information security
program is its performance in every level of the organization.
The reach of the program, how each business unit supports
the program, and how every individual carries out his or her
duties as specified in the program all determine how effective
the program is going to be.
Benzer düzeyde katkı…Uniform participation in the program
is necessary if its results are to justify an organization’s
investment
Etkin uygulamalar…If there are levels or areas in an
organization where support is seen to be weak, this will
cause gaps in the effectiveness of the program and will
weaken the whole information security structure
29
IS POLICIES – Bilgi Güvenliği Politikaları


Mimarisinin köşe başları, düzgün yazılmış/oluşturulmuş
politika cümleleridir. Politikalar, diğer alt düzey
dokümanlar için de belirli bir temel teşkil ederler.
Politikanın iki önemli rolü vardır: şirket içi rol ve şirket dışı
rol
Şirket içinden bakış açısına göre, politikalar; çalışanlara,
onlardan beklentileri ve eylemlerinin nasıl değerlendirileceği
(cezalandırışacağı!) bildirilir.
Dış dünyaya ise, şirketin nasıl çalıştığı ve iş süreçlerini
destekleyen politikaların olduğu, varlıkların korunmasının kurum
için hayati önem taşıdığı ve bunun şirket misyonunun bir parçası
olduğu akratılır!!


Bilgi Güvenliği Politika Tanımı
“Bir kurumun değerli bilgilerinin yönetimini,
korunmasını, dağıtımını ve önemli işlevlerinin
korunmasını düzenleyen kurallar ve
uygulamalar bütünüdür.”
“Politikası olmayan kurum, nereye gideceğini
bilmeyen insana benzer.” [Branstad, 1997]
Politika Hedefleri

Yönetimin perspektifini çalışanlara aktarmak

Yönetimin çalışanlara verdiği desteği göstermek

Etkinliklerin koordinasyonunu sağlamak

Etkinlikler arasında tutarlılık sağlamak

Disiplin suçları için temel oluşturmak

Davalara karşı önlem almak
.....

30
Politika Özellikleri





Kanunların karşısında olmamalıdır,
Kurum özellikleri dikkate alınarak
geliştirilmelidir,
İlişkilendirilip bir bütün haline getirilmelidir,
Zaman içinde değişiklik gerektirir,
Uygulatılabilirse başarılı olur.
Politika Yapısı
Kurum
Vizyonu
Kurum
Misyonu
X
Y
Politikası
Politikası
Bilgi Güvenliği
Politikası
BG Politikaları



Normalde politika dendiğinde, iki anlam ortaya çıkar. İlkinde
(ve bu derste kullanacağımız anlamda), politika, üst yönetimin
belli bir programı nasıl yürüteceği, hedef ve amaçlarının neler
olduğu ve kimin bu uygulamalardan ne ölçüde sorumlu
olduğunu yazılı olarak ifade eder.
Bir de, belli, bir sistemin çalışması ile ilgili spesifik güvenlik
kuralları da politika olarak değerlendirilebilir. such as ACF2
(Access Control Facility – eTrust) rule sets, Resource Access
Control Facility (RACF) permits, or intrusion detection system
policies.
Ayrıca, politika, belli konularda yönetimin kararlarının
aktarıldığı bazı yazılı kurallardan oluşan başka başka
manalara da gelebilmektedir. E-posta güvenlik politikası, ya
da internet kullanım politikası gibi. Ders kapsamında
göreceğimiz bazı politikalar bu çerçevede değerlendirilmelidir.
31
Temel Politika İçeriği (Örnek yapı)





Politika hedefleri
Politika gereksinimleri
Politika kapsamı
Kullanıcı
sorumlulukları
Politika ihlali
durumunda verilecek
cezalar
BG Politika Hedefleri





Kurumumuz bilgi sistemi değer varlıklarını
bilgisayar saldırılarından korumak,
Bu tür saldırıların kurumumuza ve
çalışanlarımıza verebileceği zararları
asgariye indirmek ve
Anılan varlıkların anayasa, yasalar ve meslek
ahlakı dahilinde kullanılmasını sağlamak,
Diğer politikalarla uyum içinde olmak,
Standartlarla (ISOxxxx) uyum
Politika Gereksinimleri



Önlem, tespit, tepki ve güvence yaklaşımları
güvenlik yönetim modeline uygun olmalıdır
İlgili politikalar kurum çalışmalarını asgari
düzeyde etkilemelidir
Kurum yönetimi tarafından gerekli görülmeli
ve gerekliliği çalışanlara anlatılmalıdır
32
Politika Kapsamı
Örnek cümle:
Kurumumuz bilgisayar sistemi kullanıcıları ile
kurumumuz bilgisayar sistemini herhangi bir
şekilde kullanmak isteyenleri kapsar ve
anılan kişilerin bilgisayar sistemi ilgili
doğrudan ve dolaylı tüm etkinliklerini içerir.
Politika Sorumlulukları
Kullanıcılar;
 Bilgi Güvenliği Politikası'na uymakla
yükümlüdür.
 Sergiledikleri etkinliklerden ve sonuçlarından
sorumludur.
 Sorumluluklarının gereğini en hızlı ve en doğru
şekilde yerine getirmelidir.
 Politika ile ilgili varsayımlarda bulunmamalıdır.
Politika Sorumlulukları

Son Kullanıcı Sorumlulukları




Genel sorumluluklar
Gözlem ve müdahale sorumlulukları
Bildirim sorumlulukları
Yönetici Sorumlulukları



Uygulatma sorumlulukları
Eğitim sorumlulukları
Farkındalık sorumlulukları
33
Politika Cezaları




Kayıpların karşılanması
Uyarı cezası
Yetki azaltma
İşten çıkarma
Dışarıdan bir saldırı söz konusu ise, konu
toplanan kanıtlarla birlikte adli makamlara
bildirilecektir
Politika Yaşam Döngüsü
Politika
Geliştirme
Politika
Yerleştirme
Politika
Uygulatma
Politika
Güncelleme
Politika İzleme
Neden BG Politikası oluşturmalı/kullanmalıyız??



Security professionals often view the overall objective of
an information security program as being to protect the
integrity, confidentiality, and availability.
While this is true from a security perspective, it is not the
organization objective. Information is an asset and is the
property of the organization.
As an asset, management is expected to ensure that an
appropriate level of controls are in place to protect this
resource.
34
Neden BG Politikası oluşturmalı/kullanmalıyız??


An information protection program should be part of
any organization’s overall asset protection program.
This program is not established to meet security needs
or audit requirements; it is a business process that
provides management with the processes needed to
perform the fiduciary (trust-worth) responsibility.
Management is charged with a trust to ensure that
adequate controls are in place to protect the assets of
the enterprise. An information security program that
includes policies, standards, and procedures will allow
management to demonstrate a standard of care.
Kurumsal Politikalar




Pek çok kuruluş, iş yapma süreçlerini tanımlamak ve
yönetmek için bazı politika dokümanları geliştirir.
There are at least eleven Tier 1 (1.seviye) policies;
this means that a policy is implemented to support the
entire business or mission of the enterprise.
There are also Tier 2 (2.seviye) policies; these are
topic-specific policies and address issues related to
specific subject matter.
The Tier 3 (3.seviye) policies address the
requirements for using and supporting specific
applications. policy title and a brief description of what
the policy encompasses.
Kurumsal Politikalar
35
Kurumsal Politikalar
Kurumun her yerinde/tüm bölümlerde geçerli olan
durumları adresler











İşe alma ve istihdam uygulamaları/Employment practices
Menfaat çatışması/Conflict of Interest
Performans Yönetimi/Performance Management
Disiplin Uygulamaları/Employee Discipline
Bilgi Güvenliği/Information Security
Kurumsal İletişim/Corporate Communications
Tedarik ve Kontrat Yapma/Procurement and Contracts
Kayıt Yönetimi/Records Management
Varlık Sınıflandırma/Asset Classification
İş Ortamı Güvenliği/Workplace Security
İş Sürekliliği Planlama/Business Continuity Planning
Konu spesifik Politikalar
Kurumun o an ihtiyacı olan alanlarla ilgili politikalardır



Management may find it appropriate to issue a policy
on how an organization will approach Internet usage
or the use of the company-provided e-mail system.
Topic-specific policies may also be appropriate when
new issues arise, such as when implementing a
recently enacted law requiring protection of particular
information.
The global (Tier 1) policy is usually broad enough that
it does not require modification over time, whereas
topic-specific policies are likely to require more
frequent revisions as changes in technology and other
factors dictate.
Konuya özel (Topic-specific)
36
Uygulamaya özel Politikalar (Application Specific Policies)
Spesifik bir sistem ya da uygulama ile ilgilidir.



Global-level and topic-specific policies address policy on
a broad level; they usually encompass the entire
enterprise.
As the construction of an organization information
security architecture takes shape, the final element will
be the translation of Tier 1 and Tier 2 policies down to
the application and system level.
Many security issue decisions apply only at the
application or system level.
Uygulamaya Özel Politikalar
BG Politikası


A policy is a high-level statement of enterprise beliefs,
goals, and objectives and the general means for their
attainment for a specified subject area.
When we hear discussions on intrusion detection
systems (IDS) monitoring compliance to company
policies, these are not the policies we are discussing.
The IDS is actually monitoring standards, which we will
discuss in more detail later, or rule sets or proxies.
37
Standards


Standards are mandatory requirements that
support individual policies. Standards can
range from what software or hardware can be
used, to what remote access protocol is to be
implemented, to who is responsible for
approving what. We examine standards in
more detail later.
When developing an information security
policy, it will be necessary to establish a set of
supporting standards
Procedures

Procedures are mandatory, step-by-step,
detailed actions required to successfully
complete a task. Procedures can be very
detailed. We discuss procedures in more
detail later
38
Guidelines


Guidelines are more general statements
designed to achieve the policy’s objectives by
providing a framework within which to
implement procedures.
Whereas standards are mandatory, guidelines
are recommendations. An everyday example of
the difference between a standard and a
guideline would be a stop sign, which is a
standard, and a “Please Keep Off the Grass”
sign, which would be nice but it is not a law
Policy key elements

The information security policy should cover all forms of
information. In 1965, the computer industry introduced the
concept of the “paperless office.” The advent of thirdgeneration computers had many in management believing
that all information would be stored and secured electronically
and that paper would become obsolete. When talking to
management about establishing an information security
policy, it will be necessary to discuss with them the need to
extend the policy to cover all information wherever it is found
and in whatever format. Computer-held information makes up
a small percentage of the organization’s entire information
resources. Make sure the policy meets the needs of the
organization.
Policy Format


The actual physical format (layout) of the
policy will depend on what policies look like in
your own organization. Policies are generally
brief in comparison to procedures and
normally consist of one page of text using
both sides of the paper.
Brevity is important. However, it is important
to balance brevity with clarity. Utilize all the
words you need to complete the thought, but
fight the urge to add more information.
39
Policy Type

There are three types of policies and you will use
each type at different times in your information
security program and throughout the organization
to support the business process or mission. The
three types of policies are:

1. Global (Tier 1). These are used to create the
organization’s overall vision and direction.
2. Topic-specific (Tier 2). These address particular
subjects of concern.
3. Application-specific (Tier 3). These focus on decisions
taken by management to control particular applications
(financial reporting, payroll, etc.) or specific systems
(budgeting system).


40
Tier-1 (Global) Policies

An information security policy will define the intent of
management and its sponsoring body with regard to
protecting the information assets of the organization. It will
include the scope of the program — that is, where it will
reach and what information is included in this policy.
Finally, the policy will establish who is responsible for
what. The components of a global (Tier 1) policy typically
include four characteristics:




topic,
scope,
responsibilities,
compliance or consequences
Topic - Konu


Konu, politikanın neye ilgili olduğunu ifade
eden bir giriş cümlesidir. Genellikle, «Konu»
kısmında, kurumun BG’ni nasıl gördüğünün
açık bir ifadesini bulmalıyız.
Konu kısmında sıkça CIA’ya atıfta
bulunulabilir.
Konu-Örnek
Bilgi, şirketimizde üretilen ve bir değeri olan her
varlığı ifade eder. Bu politika da her türlü bilgi
varlığının aşağıdaki özelliklerinin korunması
olarak tanımlanır:
a) Gizlilik: Bilginin sadece yetkili kişiler tarafından
erişilebilir olması,
b)Bütünlük: Bilginin yetkisiz değiştirmelerden
korunması ve değiştirildiğinde farkına varılması,
c)Kullanılabilirlik: Bilginin yetkili kullanıcılar
tarafından gerek duyulduğu an kullanılabilir
olması.
41
Scope - Kapsam

Kapsam, konu ya da ilgili kişiler bazında
genişletilebilir ya da daraltılabilir. Örneğin

“bilgi bir varlıktır ve kuruma aittir. Tüm çalışanlar
bu varlığın korunması ile ilgili olarak
sorumludurlar.”
Bu cümlede, kişi kapsamı, «tüm çalışanlar» olarak
verilmektedir.
Kapsam - örnek
«Bu politika, kurum tarafından üretilen ve
kullanılan her türlü elektronik verinin Gizlilik,
Bütünlük ve Kullanılabilirliğinin sağlanmasını
hedefler ve kurumumuz Bilgi İşlem altyapısını
kullanmakta olan tüm birimleri, üçüncü taraf
olarak bilgi sistemlerine erişen kullanıcıları ve
bilgi sistemlerine teknik destek sağlamakta olan
hizmet, yazılım veya donanım sağlayıcılarını
kapsamaktadır…»
Hem konu kapsamı, hem de kişi
kapsamı verilmektedir!!
Kapsam - örnek

Another example of broadening the scope might
be as follows:


“Information of the Company, its subsidiaries and
affiliates in electronic form, whether being transmitted,
or stored, is a key asset of the Company and must be
protected according to its sensitivity, criticality, and
value.”
Here,the topic subject is narrowed to “electronic
form.” However, the audience is broadened to
include “subsidiaries and affiliates.
42
Kapsam - örnek

In an Employment Agreement Policy, the audience is
restricted to a specific group such as the following:


The parties to this Agreement dated (specify) are (Name of
Company), a (specify state and type of company) (the
“Company”) and (Name of Employee) (the “Executive”).
The Company wishes to employ the Executive, and the
Executive wishes to accept employment with the Company,
on the terms and subject to the conditions set forth in this
Agreement. It is therefore agreed as follows:
Here, the policy is restricted to Executives and will then
go on to discuss what can and cannot be done by the
executives
Responsibilities - Sorumluluklar



Bu kısımda, genel olarak kimin ne için sorumluluğu
olduğu tanımlanmaktadır.
Bu kısım, kurumda bilgi güvenliği ile ilgili, tam olarak
ne beklendiğini anlatır. Görev ve sorumluluklar,
kurumun bilgi kaynaklarını kullanan tüm tarafların
sorumluluklarını ve bilgi güvenliğinin her alanını
kapsamalıdır.
Kişi adları yerine, pozisyonlar/ünvanlar
belirtilmelidir.
Sorumluluklar - örnek
«…..Kurumun tüm çalışanları ve BGYS de
tanımlanan dış taraflar, bu politikaya ve bu
politikayı uygulayan BGYS politika, prosedür ve
talimatlarına uymakla yükümlüdür. Birimlerin
güvenlik sorumlularından oluşan Güvenlik
Koordinasyon Kurulu, BGYS altyapısını
desteklemek ve işleyişini devam ettirmekle
sorumludur…..»
43
Uyum ve Yaptırımlar (Compliance and
Consequences)

Bir birim ya da çalışanlar uygun olmayan bir eylem içinde
olduklarında, politika dokümanı bu durumda ne gibi cezai
müeyyidelerin olacağını da vermelidir.


For business units or departments, if they are found in
noncompliance, they are generally subject to an audit item and
will have to prepare a formal compliance response.
For employees, being found in on compliance with a company
policy will mean they are in violation of the organization’s
Employee Standards of Conduct and will be subject to
consequences described in the Employee Discipline Policy.
http://www.arcelikas.com/sayfa/840/ARCELIK_A_S__Bilgi_Guvenligi_Politikasi
Turk.net BG politikasi
http://kurumsal.turk.net/bilgi_guvenligi_politikasi.html
44
OMSAN Lojistik
http://www.omsan.com.tr/sayfa.php?id=48&bilgi-guvenligi-yonetim-politikasi
BDH – Bilişim Destek Hizmetleri
http://www.bdh.com.tr/tr/kurumsal/politikalarimiz/bilgi-guvenligi-politikasi
http://www.roitel.com.tr/politika
45
http://sa-ba.com.tr/Kurumsal/Bilgi-G%C3%BCvenli%C4%9Fi-Politikas%C4%B1
http://www.abdiibrahim.com.tr/sosyal-sorumluluk/bilgi-guvenlik-politikasi.aspx
Örnek Bilgi Güvenliği Politika Dökümanı
46
Analysis of the Example




Topic: “Information is a valuable corporate asset
…. As such, steps will be taken to protect
information…”
Responsibilities: “The protection of these assets is
a basic management responsibility.”
Scope: “Ensuring that all employees understand
their obligation to protect these assets.”
Compliance: “Noting variance from established
security practice and for initiating corrective
action.”
Örnek :

XXX Şirketi Bilgi Güvenliği Politikası kısaca, XXX Şirketi
bilgi varlıklarının oluşturulması, transferi, kullanımı,
yedeklenmesi, saklanması, kontrolü ve imha edilmesi
sırasında gizliliğinin, bütünlüğünün, ve erişilebilirliğinin
sağlanmasıdır. Bunun için risklerin belirlenmesi,
değerlendirilmesi, kontrollerin uygulanması, uygulanan
kontrollerin etkinliğinin değerlendirilmesi ve gözden
geçirilmesi ve Bilgi Güvenliği Sisteminin etkinliğinin gelişen
ihtiyaçlar ve teknoloji doğrultusunda sürekli iyileştirilmesi
esastır. Kuruluşumuzda ABC Standartları ve ISO – EN
27001 Bilgi Güvenliği Standardı ve müşterilerimizle
yaptığımız sözleşmeler ve yasal gereklilikler referans
olarak alınmaktadır
http://www.yesimurel.com/index.php?option=com_content&task=view&id=15&Itemid=2
A good example
47
Example - cont
Example - Cont
Example - cont
48
Konu spesifik (Tier 2 /2. seviye)
politikalar



Where the global (Tier 1) policy is intended to address
the broad organization wide issues, the topic-specific
(Tier 2) policy is developed to focus on areas of current
relevance and concern to the organization.
Management may find it appropriate to issue a policy on
how an organization will approach Internet usage or the
use of the company-provided e-mail system.
Topic-specific policies may also be appropriate when
new issues arise, such as when implementing a recently
enacted law requiring protection of particular information
2. Seviye


When creating an Information Security Policies and
Standards document, each section in the document
will normally begin with a topic-specific policy. The
topic-specific policy will narrow the focus to one
issue at a time. This will allow the writer to focus on
one area and then develop a set of standards to
support this particular subject.
Whereas Tier 1 policies are approved by the
Information Security Steering Committee, topicspecific (Tier 2) policies can be issued by a single
senior manager or director.
2. Seviye
49
2. Seviye

As with Tier 1 policies, Tier 2 policies will
address management’s position on relevant
issues. It is necessary to interview
management to determine what their
concerns are and what is it that they want to
have occur. The writer will then take this
information and incorporate into the following
structure.
Tier 2-sections





Thesis statement
Relevance
Responsibilities
Compliance
Supplementary Information
Thesis statement


This is similar to the topic section discussed in
the Tier 1 policies, but it also adds more
information to support the goals and objectives
of the policy and management’s directives.
This section will be used to discuss the issue in
relevant terms and what conditions are included.
If appropriate, it may be useful to specify the
goal or justification for the policy. This can be
useful in gaining compliance with the policy
50
Relevance

The Tier 2 policy also needs to establish to
whom the policy applies. In addition to whom,
the policy will want to clarify where, how, and
when the policy is applicable. Is the policy
only enforced when employees are on the
work-site campus, or will it extend to off-site
activities? It is necessary to identify as many
of the conditions and terms as possible
Responsibilities

The assignment of roles and responsibilities
is also included in Tier 2 policies. For
example, the policy on company-approved
software will have to identify the process to
get software approved. This would include
the authority (by job title) authorized to grant
approval and a reference to where this
process is documented.
Compliance


For a Tier 2 policy, it may be appropriate to
describe, in some detail, the infractions that are
unacceptable and the consequences of such
behavior.
Penalties may be explicitly stated and should
be consistent with the Tier 1 Employee
Discipline Policy. Remember: when an
employee is found in a noncompliant situation,
it is management and Human Resources that
are responsible for disciplining the individual.
51
Supplementary Information

For any Tier 2 policy, the appropriate
individuals in the organization to contact for
additional information, guidance, and
compliance should be indicated. Typically,
the contact information would be specified by
job title, not by individual name. It may also
be prudent to identify who is the owner of this
policy.
Uygulama Spesifik (Tier 3 -3. seviye)
Politikalar


Global-level (Tier 1) and topic-specific (Tier
2) policies address policy on a broad level;
they usually encompass the entire enterprise.
The application-specific (Tier 3) policy ocuses
on one specific system or application. As the
construction of an organization information
security architecture takes shape, the final
element will be the translation of Tier 1 and
Tier 2 policies down to the application and
system level
Tier-3
- Who has the authority to read or modify data?
- Under what circumstances can data be read or modified?
- How will remote access be controlled?
52
Tier-3 how to set....


To develop a comprehensive set of Tier 3
policies, use a process that determines
security requirements from a business or
mission objective.
Try to avoid implementing requirements
based on security issues and concerns.
Remember that the security staff has been
empowered to support the business process
of the organization
Tier 3 – how to prepare the policy



Understand the overall business objectives or
mission of the enterprise.
Understand the mission of the application or
system.
Establish requirements that support both
sets of objectives.
Sample tier-3 policy (very simple---)
53
As a summary.....



Global (Tier 1) policies are used to create the
organization’s overall vision and direction.
Topic-specific (Tier 2) policies address
particular subjects of concern.
Application-specific policies focus on decisions
taken by management to control particular
applications (financial reporting, payroll, etc.)
or systems (budgeting system)
Politika, Standart ve Yönerge



Guidelines describe best
practices on how to do
something, say harden a MS
Vista box for the DMZ.
Standards describe what the
baseline requirements are for
various technologies and
configurations that are
supported in the enterprise.
Policies describe required
actions to take and why.
54
Author
Document
Category
Uncategorized
Views
0
File Size
2 628 KB
Tags
1/--pages
Report inappropriate content