• Sonuç bulunamadı

Bilgi Güvenlik Forumu’nun Bilgi Güvenliği için En Đyi Uygulama Standartları

BÖLÜM II: KAVRAMSAL ÇERÇEVE

2.4. Bilgi Güvenliği Standart ve Kılavuzlar (En Đyi Uygulama Örnekleri)

2.4.10. Bilgi Güvenlik Forumu’nun Bilgi Güvenliği için En Đyi Uygulama Standartları

Good Practice for Information Security)

Doküman bilgi güvenlik ilkeleri ve uygulamalarını kapsar. ISF, çoğunluğu Avrupa’da bulunan kurumsal olarak 250’den fazla organizasyonun kurumsal üyeliğini içeren bir kuruluştur. Đlgili standart ISF üyelerince üretilen bilgi güvenlik ilkeleri ve kontrol uygulamalarını içermektedir.

Standardın temel hedefi “dünya çapındaki bütün kuruluşlardaki bilgi güvenliğinin en iyi bir şekilde uygulanmasını ve ilerlemesini sağlamak; bilgi güvenlik riskini kabul edilebilir seviyeye getirmek; uygulanabilir standartların geliştirilmesine yardımcı olmak, doğru alanlara odaklanmak, bilgi güvenlik riskinin etkin olarak azaltılmasını sağlamak ve desteklemek” olarak ifade edilmektedir. Bu kılavuz kurumların güvenlik yapısının diğer kurumlarla karşılaştırmalı değerlendirmesini (security benchmark) sağlamak ve artırmak amacıyla hazırlanmıştır.

ISF, sektör farklılığı, coğrafik konumu ve büyüklüğü yönüyle tüm kurumlara hitap edeceğini düşünse bile standart özellikle büyük ulusal ve uluslar arası kurumlar

için; bilgi güvenlik uzmanları, BT yönetimi ve danışmanların kullanımına yönelik hazırlanmıştır.

Standart genel ve detaylı olarak güvenlik ilkelerini, kontrol hedeflerini ve güvenlik uygulamalarını içermektedir. Bu şekliyle her türlü coğrafik lokasyon içinde ve sektörde bulunan büyük ölçekteki kurumlara hitap etmektedir. Standart doğrudan güvenlik yönetimi kavramlarını kapsamadığı gibi, uygun olan kontrollerin nasıl seçileceğine dair bir öneri ya da kılavuz niteliğini de taşımamaktadır. Bu sebeple kullanılması gerektiğinde, deneyimli bir güvenlik uygulamacısı tarafından ya da ilgili diğer kaynaklarla birlikte uygulanması gereklidir.

Bu doküman bilgi güvenlik yönetimi için, uygulanabilir ilkeleri ve uygulama özet bildirgelerini kapsayan (practice statement) 248 sayfadan oluşmuştur. Dokümandaki tanıtım kısmı standardın gelişmesinin arka planını açıklamakta ve kullanımı ile ilgili kazanç ve yönlendirici bileşenleri sunmaktadır. Standartta, standardın uygulanmasından yeterli kazanım sağlanması için; planlanan güvenlik kontrollerinin uygulanmasından doğabilecek maliyete göre karar verebilecek deneyimli güvenlik yöneticileri tarafından kullanılması gerektiği vurgulanmaktadır.

Standardın ana çerçevesi, bilgi güvenlik yönetimini her biri kendine özgü olan 5 alana ayırmaktadır. Bu 5 alan, kendi içinde destekleyici birçok alanlara ve onlarda ana ilke ve hedefleri içeren kısımlara bölünmüştür. 5 alan her biri kendi kapsamı içinde tamamlanacak şekilde tasarlanmış olmakla birlikte, bazı kısımlar (örneğin risk analizi) tekrar edilmektedir. Aşağıda dokümanda geçen 5 alan ve bu alanlarda geçen kritik konular bulunmaktadır:

Güvenlik Yönetimi (Kurumsal Ölçek): Yüksek seviyede yönlendirme ve kontrol için yapılması gerekenler anlatılmaktadır. Özetle;

− Bilgi Güvenliğin tesis edilmesi, dokümantasyonu, yönelim ve yaptırımı;

− Kurumsal ölçekte güvenliğin yönetilmesi ve uygulanması için kurumsal düzenlemeler yapılması;

− Güvenli ortam için yapılacak olan düzenlemelerin tanımlanması;

− Kötü niyetli ataklara karşı korunma ve karşılık verme için alınması gerekli olan adımlar;

− E-mail, şifreleme, PKI ve dış kaynak kullanımı gibi özel başlıklar;

− Güvenlik ortamının yeterli olarak denetimi, gözden geçirilmesi ve izlenmesi konularını içermektedir.

Kritik Đş Uygulamaları: Uygulamaların korunması ve riskler anlatılmaktadır. Özetle;

− Uygulama için güvenlik taleplerinin değerlendirilmesi;

− Rol, sorumluluklar, iç kontroller, değişim yönetimi ve iş sürekliliği planlaması ile uygulamaların yönetilmesi;

− Uygulamalara erişim kontrolü;

− Uygulamaların yeterli şekilde desteğinin ve yedeklenmesinin güvenilir olarak sağlanması;

− Uygulama güvenliğinin koordinasyonu, sınıflanması, risk analizi ve gözden geçirme için uygulama örneklerine yer verilmesi;

− 3. partiler ile olan sözleşmeler, anahtar yönetimi ve web tabanlı uygulamalar gibi özel başlıklar konularını içermektedir.

Bilgisayar Kurulumları: Bilgisayar servislerinin kurulması ve çalıştırılması için gereklilikler anlatılmaktadır. Özetle;

− Bilgisayar kurulumlarının istenen seviyede çalışması ve izlenmesi;

− Gerçek ortamın tasarımı ve konfigüre edilmesi;

− Sistem operasyonları için temel kontrollerin sağlandığının garantisi;

− Bilgiye ve sistemlere bilgisayar kurulumu sırasında erişimin kontrolü;

− Bilgisayar kurulumunda, sınıflandırmada, risk analizi ve gözden geçirmede güvenlik yönüyle koordinasyonun sağlanması için uygulama örneklerine yer verilmesi;

− Đş sürekliliği planlarının geçerliliği, sürekliliğinin sağlanması ve geliştirilmesi konularını içermektedir.

Ağ bağlantıları: Ağ bağlantılarının kurulması ve çalıştırılması için gereklilikler anlatılmaktadır. Özetle;

− Bilgisayar ağ bağlantılarının istenilen seviyeye göre çalışması ve tasarımı;

− Yetkisiz ağ trafiğinin önlendiğinin garantiye alınması;

− Ağ bağlantısının performansı ve esnekliliğinin izlenmesi ve yönetilmesi;

− Ağ güvenliği koordinasyonunda risk analizi ve gözden geçirmede güvenliğin sağlanması için uygulama örneklerine yer verilmesi;

− Ses trafiğinin güvenliğinin sağlanması konularını içermektedir.

Sistem Geliştirme:Yeni sistemlere uygulanacak olan güvenlik gereklilikleri anlatılmaktadır. Özetle;

− Sistem geliştirme süreci, çevre ve insanların yönetilmesi;

− Sistem geliştirmede güvenlik koordinasyonu ve gözden geçirme için aksiyonların adreslenmesi;

− Güvenlik gerekliliklerinin belirlenmesi;

− Tasarım, devreye alma ve kurma aşamalarında güvenliğe yer verilmesi;

− Sistemin test ve uygulamaya alma süreçlerinde uygulama örneklerine yer verilmesi konularını içermektedir.

2.4.11. NIST 800-12 Bilgisayar Güvenliğine Giriş- NIST Elkitabı (An

Introduction to Computer Security- The NIST Handbook)

ABD Ticaret Bakanlığı’na bağlı bir departman olan The Computer Security Resource Centre (CSRC) of the National Institute of Standards and Technology (NIST)

tarafından hazırlanmıştır. Doküman bilgisayar güvenlik programını uygulamaya ve yönetmeye yönelik bilinen müşterek gereklilikleri tanımlamakta ve uygulanabilecek kontrol tiplerine yönelik kılavuz olma niteliğini taşımaktadır.

NIST’in 800 serilik kısmından biri olup (Bilgisayar Güvenliği), Ekim 1995 de yayımlanmıştır. Üçlü seriden ilki olan bu doküman dışındaki diğer dokümanlar ise aşağıda belirtilmiştir:

• NIST 800-14 Bilgi Teknolojisi Sistemleri Güvenliği için Genel Kabul Görmüş Đlkeler ve Uygulamalar (Eylül 1996) (Generally Accepted Principles and Practices for Securing Information Technology Systems (September 1996))

• NIST 800-18 Bilgi Teknolojisi Sistemleri içim Güvenlik Planları Hazırlama Kılavuzu (Aralık 1998) (Guide for Developing Security Plans for Information Technology Systems (December 1998))

Bilgisayar güvenlik programını uygulamaya almak için detaylı bir kılavuz olma niteliğiyle hazırlanmadığı gibi aynı zamanda kontrol taleplerini detaylı olarak belirtmek içinde tasarlanmamıştır. Daha çok, iyi bir güvenliğin olmasının faydalarına odaklanmıştır. NIST 800-12 ile uyumluluk, genelde ABD Hükümetine bağlı kurumlara uygulanan ilkeler ve kriterlerle şekillenmektedir. Öncelikle ABD Hükümeti’ne bağlı kuruluşlar için tasarlanmış olsa bile, her ölçekte ve özellikteki tüm kuruluşlar içinde kullanılabilecek bir dokümandır.

The NIST Handbook 290 sayfadan, dört ana bölüm ve bunlar altında yer alan birçok bölümden oluşan bir dokümandır.

Birinci bölüm elkitabına giriş kısmı olup genel bilgileri içermektedir. Dokümanın bilgisayar güvenliğine genel yaklaşımı aşağıdaki 8 ana ilkeye dayalıdır:

• Bilgisayar güvenliği kurumun misyonunu destekler.

• Bilgisayar güvenliği yönetimin ayrılmaz bir parçasıdır.

• Sistem sahiplerinin sorumlulukları kurumları dışında da devam eder.

• Bilgisayar güvenliği sorumluluğu ve yükümlülüğü açıkça belirtilmelidir.

• Bilgisayar güvenliği kapsamlı ve bütünleşik yaklaşım gerektirir.

• Bilgisayar güvenliği periyodik olarak değerlendirilmelidir.

• Bilgisayar güvenliği toplumsal faktörleri göz önüne almalıdır.

Birinci bölümde bilgi güvenliğine yönelik bilinen tehditler 9 başlık altında (sahtekârlık/fraud, hırsızlık, personel sabotajı, kötü niyetli bilgisayar korsanları/hackerlar, kötü niyetli yazılımlar, hatalar ve ihmaller ve casusluk) açıklanmıştır. Dokümanda iki, üç ve dördüncü bölümlerde geçen kontroller yönetim, teknik ve operasyonel olmak üzere 3 alanda incelenmektedir.

Dokümanda ikinci bölüm yönetsel kontrolleri içermekte olup, aşağıdaki konu başlıklarını içermektedir:

Bilgisayar Güvenlik Politikası (Computer Security Policy): Bu alanda politika aşağıda belirtilen 3 tipe ayırmaktadır:

• Program politikası; “kurumun bilgisayar güvenlik programını yaratmak için kullanılır“ şeklinde tanımlanmaktadır.

• Konu bazlı politika; yeni veya teknolojideki dinamizmden kaynaklı olarak değişim gerektiren alanlara yöneliktir. Örnek olarak internet ve e-posta verilebilir.

• Sistem bazlı politika; değişik sistemlerin değişik şekilde korunma gereksinimlerinin karşılanması kapsamında ele alınır ve güvenliğine dikkat edilmesi gereken özel bir sisteme yöneliktir.

Bilgisayar Güvenliği Program Yönetimi (Computer Security Programme

Management): Bu alanda bilgisayar güvenlik programının ne şekilde yapılandırılması

Bilgisayar Güvenliği Risk Yönetimi (Computer Security Risk Management): Bu alanda risk yönetimi aşağıdaki 3 temel bileşene ayırarak detaylı biçimde açıklanmıştır:

• Risk Yönetimi; “Riski yorumlama ve analiz etme süreci“ olarak tanımlanmaktadır. Bu aktivite alanında; konunun kapsamının belirlenmesi, kullanılması gerekli olan metodolojinin belirlenmesi, datanın toplanması, sonuçların analizi ve yorumlanması bulunmaktadır. Varlıkların ve tehditlerin değerlendirilmesi, güvenlik açıklıklarının ve koruyucu önlemlerin değerlendirilmesi gerektiği belirtilmekte ve her bir aktivite tanımlanmaktadır.

• Risklerin azaltılması süreci; ek koruyucu önlemlerin seçilmesi ve uygulanması (kalan riskin kabul edildiği noktaya kadar) ve etkinlik için bu önlemlerin izlenmesini kapsar.

• Belirsizlik analizi; BT yönetiminin risk analizinde, analiz sonuçlarını ne kadar güvenilir ve geçerli olduğunun, sonuçların etkinliğinin değerlendirilmesi olarak tanımlanır.

Güvenlik ve Planlama Bilgisayar Sistemi Yaşam Döngüsü ve Güvence (Security and Planning in the Computer System Life Cycle Chapter Assurance): Bu alanda yaşam döngüsü planlamasının aşağıdaki 5 fazı tanımlanmaktadır:

• Başlangıç fazı; sistemin hassasiyetinin ve bilginin olası koruyucu güvenlik önlemlerinin ve onların maliyetlerinin kararlaştırılması sürecidir.

• Geliştirme ve kazançların belirlenmesi süreci; güvenlik gerekliliklerinin yasal talepler, politikalar, standartlar ve maliyetleri de kapsayacak şekilde detaylı olarak tanımlanması, kurumsal yönden tasarımını kapsar.

• Uygulamaya alma; güvenlik testlerini ve akreditasyon sürecini kapsar (akreditasyon süreci yönetim tarafından sistemin operasyonunun ve riskinin kesin olarak kabul edilmesinin resmi olarak onaylanması sürecidir).

• Operasyon ve bakım süreci; koruyucu önlemlerin idari yönetimini, operasyonlarını, takip edilip çalıştığına dair garanti ve güvenceyi sağlama; koruyucu önlemlerin gerektiğinde yeniden akreditasyonu sürecini kapsar.

• Elden çıkarma, imha etme; bilginin, yazılımın, donanımın uygun yöntemlerle imhasını elden çıkartılması sürecini kapsar .

Güvence (Assurance): Bu alanda bilgisayar güvenliği güvencesi “teknik ve operasyonel güvenlik kontrollerinin, uygulandığı sistemin ve sistemde işlenen bilginin güvenliğini sağlamasının güven derecesi” olarak tanımlanmıştır. Güvence sağlamak için; sistem planlamada, tasarımda uygulamaya almada ve sistemlerin operasyonunda ne zaman güvence gerektiği, hedeflerin tanımlanması ve yöntemler hakkında bilgiler içermektedir.

Üçüncü bölüm operasyonel kontrollerle ilgili olarak hazırlanmıştır ve aşağıdaki başlıkları içermektedir:

Personel /Kullanıcı Sorunları (Personnel/User Issues): Bu alanda, personelin bulunduğu pozisyonun hassasiyeti, rollerin ayrılması, işe almadan önce yapılan personel özgeçmişi ile ilgili kontroller ve personel eğitimi için gereklilikler hakkında bilgiler sunulmaktadır. Kullanıcı yönetimine de bu alanda yer verilmiştir.

Bilgisayar Güvenliği Olay Yönetimi (Computer Security Incident Handling): Bu alanda, fazla detaylı olmamakla birlikte olay yönetimi yetkinliğini ve başarıya ulaşmak için ortak karakteristik özellikleri tanımlanmıştır .

Acil Durumu / Đş Devamlılığı Hazırlık Süreci (Preparing for Contingencies

and Disasters): Bu alanda, süreklilik planlamasında aşağıdaki 6 ana aktivite

tanımlanmıştır:

• Kritik iş fonksiyonlarının tanımlanması.

• Gerekli özkaynakların tanımlanması.

• Stratejinin seçilmesi.

• Stratejinin uygulanması.

• Planın test edilmesi/güncellenmesi.

Bilgisayar Güvenlik Olay Yönetimi (Computer Security Incident Handling): Bu alanda, kurumda olay yönetim yeteneğinin olmasının faydalarından bahsedilmekte ve detaya girmeden konu hakkında bilgiler sunulmaktadır. Olay gerçekleştiğinde müdahale ve iletişim için önerilerde yer almaktadır.

Farkındalık, Eğitim ve Öğretim (Aweraness, Training and Education): Bu alanda, güvenlik farkındalığı, eğitim ve öğretiminin aşağıdaki 3 ana amacı tanımlanmıştır:

• Sistem kaynaklarının korunması gerekliliği hakkında farkındalığının artırılması.

• Bilgisayar kullanıcılarının çalışmalarını daha güvenli olarak yapabilmeleri için bilgi ve yeteneklerinin geliştirilmesi.

• Kurum ve sistemler için güvenlik programının tasarlanması, uygulanması ve idame ettirilmesi için gerekli olan detaylı bilginin verilmesi.

Yukarıdaki hedefleri gerçekleştirilebilmek için farkındalık, eğitim ve öğretimin gerçekleştirilmesinde aşağıdaki yedi basamaklı yaklaşım tanımlanmıştır:

• Programın kapsamının, hedefinin ve amacının tanımlanması.

• Eğitimi verecek personelin tanımlanması.

• Hedef kitlenin belirlenmesi.

• Yönetimin ve çalışanların motive edilmesi.

• Programın yönetilmesi.

• Programın değerlendirilmesi.

Bilgisayar Desteği ve Operasyonlarında Güvenlik Hususları (Security

Considerations in Computer Support and Operations): Bu alanda, bilgisayar sistemini

çalıştırmaya yönelik 7 ana alan (kullanıcı desteği, yazılım desteği, konfigürasyon yönetimi, yedekleme, medya kontrolü, dokümantasyon ve bakım) tanımlanmıştır.

Fiziksel ve Çevresel Güvenlik (Physical and Environmental Security): Bu alanda, bina ve altyapı korunması için gerekli olan kontrollerden bahsedilmiştir. Alanın tipi, coğrafik konumu ve alanı destekleyen servislerin (insan ve teknik) göz önünde bulundurulması gerekliliği belirtilmiştir. Tehditlerin arasında, fiziksel bina hasarı, fiziksel zarar verebilecek kötü niyetli şahıslar ve fiziksel hırsızlık örnek olarak verilebilir.

Dokümanda dördüncü bölüm teknik kontrollerle ilgili olarak hazırlanmıştır ve aşağıdaki başlıkları içermektedir:

Kimlik Tanıma ve Doğrulama (Identification and Authentication): Bu alanda, kimlik doğrulamanın 3 şekli tanımlanmış (bildiğin bir şey/what you know, sahip olduğun bir şey/what you have ve kimsin/what you are) ve her biri için uygulanabilecek değişik metotlar ve onlarla ilişkili kazançlar, sorunlar ve nasıl kullanılması gerektiği ile ilgili öneriler belirtilmiştir.

Mantıksal Erişim Kontrol (Logical Access Control): Bu alanda, erişim kriterleri ve kontrol mekanizmalarından (erişim kontrol listesi/ACL,

şifreleme/encryption ve güvenlik duvarı/firewall) bahsedilmiştir. Erişim kontrol mekanizmalarının yönetimi ile ilgili olarak merkezi ve dağıtık yapı hakkında da bilgiler sunulmuştur.

Đz Kayıtları (Audit Trails) : Bu alanda, iz kayıtlarının kullanılmasından doğan kazançlar; sorumluluğun belirlenmesi (accountability), olay bulgularından sonuç çıkarma (event reconstruction), saldırı tespiti (intrusion detection) ve problem analizi (problem analysis) olmak üzere 4 alan içinde incelenmiştir.

Şifreleme (Cryptography) : Bu alanda şifreleme yöntemleri hakkında bilgiler sunularak bunlar arasındaki farklılıklara değinilmiştir.