YZM5604 Bilgi Güvenliği Yönetimi
Dr. Orhan Gökçöl
Bahçeşehir Üniversitesi, Fen Bilimleri Enstitüsü 2 Aralık 2014
http://akademik.bahcesehir.edu.tr/~gokcol/yzme5604
Proje Çalışması - NE DURUMDASINIZ????
Aralık Ayı İçinde – Ara Kontrol
Tüm grup üyeleri gelmeli
16 Aralık Salı günü 19:00-20:15 arası ders var. 20:30-21:30 arası DSC02’de kontrollerinizi yaptırabilirsiniz. |Quiz-4
23 Aralık Salı günü ders yok. 19:00-20:30 arası OFİSİMDE proje kontrollerinizi yaptırabilirsiniz.
30 Aralık Salı – 18:45-22:00 Proje sunumları
6 Ocak Salı; 18:45-22:00 Proje sunumları
15 Ocak Salı; YAZILI Final Sınavı – Normal Sınav!!
(Ağırlık:%5 -bonus)
Gelecek Hafta (9 Aralık) 2. ara sınav yapacağız – ev sınavı; o gün ders yok. Sorularınız için 19:00-20:00 arası ofisimde olacağım.
2
Geçtiğimiz Hafta; ISO27001:2013
Bilgi Güvenliği Yönetim Sistemler, Gereksinimleri
PUKÖ, bir BGYS’nin bilgi güvenliği gereksinimlerini ve ilgili tarafların beklentilerini girdi olarak nasıl aldığını ve gerekli eylem ve prosesler aracılığıyla, bu gereksinimleri ve beklentileri karşılayacak bilgi güvenliği sonuçlarını nasıl ürettiğini gösterir. Yukarıdaki şekil ayrıca, standarttaki Madde 4, Madde 5, Madde 6, Madde 7 ve Madde 8’de sunulan proseslerdeki bağlantıları da gösterir.
ISO27001 Nedir??
Kontrol-tabanlı
«Bilgi» Standardı
Sertifikalandırılabilir
- Uluslararası geçerliliği olan - Risk yönetimi esaslı
Gruplanmış olarak sunulan kontroller, BG’deki en iyi uygulamaları içermektedir.
Her türlü BİLGİ’yi kapsar.
“Bilgi, her ne şekilde olursa olsun; her nerede saklanırsa saklansın, uygun bir şekilde korunmalıdır!
8 Cümle, 11 Kontrol grubu, 134 kontrol
ISO Tarihçe
1992
The Department of Trade and Industry (DTI), which is part of the UK Government, publish a 'Code of Practice for Information Security Management'.
1995
This document is amended and re-published by the British Standards Institute (BSI) in 1995 as BS7799.
1999
The first major revision of BS7799 was published. This included many major enhancements.
2000
In December, BS7799 is again re-published, this time as a fast tracked ISO standard. It becomes ISO 17799 (or more formally, ISO/IEC 17799).
Accreditation and certification schemes are launched. LRQA and BSI are the first certification bodies.
Tarihçe
2001
The 'ISO 17799 Toolkit' is launched.
2002
A second part to the standard is published: BS7799-2. This is an Information Security Management Specification, rather than a code of practice. It begins the process of alignment with other management standards such as ISO 9000.
2005
A new version of ISO 17799 is published. This includes two new sections, and closer alignment with BS7799-2 processes..
2005
ISO 27001 is published, replacing BS7799-2, which is withdrawn. This is a specification for an ISMS (information security management system), which aligns with ISO 17799 and is compatible with ISO 9001 and ISO 14001
2013 – New version releases
4 27000 Serisi standartların yapısı
27000 Temeller ve anahtar kelimeler 27001:BGYS
27003 BGY Uygulama Esasları 27002 BGY Uygulama Yönergesi
27004 Metrikler ve Ölçme 27005
Risk Yönetimi
27006 BGYS akreditasyonu kılavuzu
27007 BGYS denetim kılavuzu(iç, dış, yönetim gözden geçirme)
27008 Denetçiler için BGYS kontrolleri kılavuzu
PUKÖ
ISO27001
13 ALAN (Kategori) altında 35 adet kontrol amacı
Bu amaçları gerçekleştirmek için yapılması gereken TOPLAM 114 tane kontrol
ALANLAR
A.5: Bilgi Güvenliği Politikaları
A.6: Bilgi Güvenliği Organizasyonu
A.7: İnsan Kaynakları Güvenliği
A.8: Varlık Yönetimi
A.9: Erişim Kontrolü
A.10: Kriptografi (Şifreleme)
A.11: Fiziksel ve Çevresel Güvenlik
A.12: İşlemler Güvenliği
A.13: Haberleşme Güvenliği
A.14: Bilgi Sistemleri Edinim, geliştirme ve bakımı
A.15: Tedarikçi İlişkileri
A.16: Bilgi Güvenliği İhlal Olayı Yönetimi
A.17: İş Sürekliliği Yönetiminin Bilgi Güvenliği Unsurları
6
ISO27001 ve ISO31000
ISO31000 : Risk Yönetimi Standartı
ISO27005 : ISO31000’i TEMEL ALAN BİR RİSK YÖNETİMİ YAKLAŞIMIDIR.
BİLGİ GÜVENLİĞİ RİSK YÖNETİMİ İÇİN KULLANILABİLİR.
İTERATİF BİR YAKLAŞIM.
PUKÖ’yü takip eder!
8
ISO27005 – Risk Değeri Hesaplama –
Örnek Yaklaşım 1
ISO27xxx
ISO27xxx
SEKTÖREL STANDARTLAR!
10
http://www.cozumpark.com/blogs/cobit-itil/archive/2012/06/02/ts-iso-iec-27001-2005-bilgi-guvenligi-yonetim-sistemi-ve-puko-modeli-bolum-2.aspx
İYİ BİR BAŞLANGIÇ NOKTASI
http://www.iso27001security.com/
Ülkemizde BG Çalışmaları
Bilgi Güvenliği Denetmeni (Seviye 7) – Meslek Standardı Ref.No:13UMS0292-7 ; Tarih: 30.01.2013
Türkiye Bilişim Güvenliği Derneği tarafından hazırlanmış
Resmi Gazete - 26/2/2013 - 28571 (Mükerrer) ; şu an yürürlükte
Bir de, Bilgi Güvenliği Uzmanı var (Seviye 6) Mesleki Yeterlilik Kurumu :
http://www.myk.gov.tr/
- http://www.myk.gov.tr/images/articles/editor/2013/280213/Bilgi_Guvenlik_Denetmeni_Seviye_7.pdf - http://www.myk.gov.tr/images/articles/editor/2013/280213/Bilgi_Guvenlik_Uzmani_Seviye_6.pdf
Ülkemizde BG
Yasal Altyapının Analizi : - Mevzuatta eksikler ve sorunlar var.
Uygulama boyutunda sorunlar var
https://www.bilgiguvenligi.gov.tr/mevzuat/turkiyede-bilisim-guvenligiyle-ilgili- yasal-altyapinin-analizi-3.html
- Kişisel Verilerin Korunması - Ulusal Güvenlik
- Ceza Kanunu – Sanal Suçlar - Borçlar Kanunu
- Medeni Kanun
- Elektronik Haberleşme Kanunu - ….. Kanunu
- BDDK
- Elektronik Belge Yönetimi - Bilgi Toplumu Stratejileri - ………
12
Ülkemizde BG
İki enteresan yazı :
Türkiye’de Devlet İnterneti Bilmiyor -
http://www.radikal.com.tr/yazarlar/guven_sak/turkiyede_devlet_interneti_bilmiyor- 1155720
AB Bilgi Güvenliği Politikaları
http://www.tk.org.tr/index.php/TK/article/download/384/377
Ülkemizde BG
Kalkınma Bakanlığı Raporu – Bilgi Toplumu Stratejisinin Yenilenmesi Projesi
Bilgi Güvenliği, Kişisel Bilgilerin Korunması ve Güvenli İnternet Ekseni Mevcut Durum Raporu - Mayıs 2013 tarihli
http://akgul.bilkent.edu.tr/btstrateji/mevcut/m-
bilgi_guvenligi_kisisel_bilgilerin_korunmasi_ve_guvenli_internet.pdf
SORUNLAR :
- Yasal altyapı sorunları –mevzuatlarla çözüm aranıyor
- İnsan kaynaklarının BG konusundaki yetersizlikleri – uygulama sorunları oluşturuyor! (Özellikle adli vakalarda)
- Kişisel verilerin korunması ile ilgili anayasal güvence var, ama düzenlemeler eksik. Bankacılık ve Telekom için sektörel düzenlemeler mevcut.
- Avrupa Siber Suçlarla Mücadele sözleşmesi henüz yürürlükte değil (2013 sonu)
- Bazı bakanlıklar bünyesinde siber güvenlik kurulları oluşturma çalışmaları (2014) - Bilişim Suçlarıyla Mücadele Daire Başkanlığı
Ülkemizde ISO27001 Uygulamaları
Özel sektörde bazı ihalelerde kamu ihale kanununa göre ihale açan kurum ve kuruluşlar ihale şartnamelerinde ISO 27001 bilgi güvenliği yönetim sistemi belgesi
istenmektedir. Bu zorunluluk yapılan projenin gizliliği güvenliği üst düzeyde ise ihaleyi açan kuruluş ıso 27001 belgesini özellikle istemektedir. Örneğin savunma sanayi projelerine yönelik açılan ihalelerde gerek yazılım hizmeti veren gerekse ürün üreten satışını yapan firmalardan bu belge istenmektedir.
Ülkemizde ISO27001 Uygulamaları
Ayrıca Telekomünikasyon Kurumu tarafından yapılan bir yetkilendirme çerçevesinde elektronik haberleşme hizmeti sunan ve/veya elektronik haberleşme şebekesi sağlayan ve alt yapısını işleten sermaye şirketlerin (Data Center)
kurumların 20.07.2010 tarihine kadar ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi alması zorunlu hale getirilmiştir.
14
Ülkemizde ISO27001 Uygulamaları
Elektronik Haberleşme Yönetmeliğinin ilgili maddesi; 11.
maddesi ÜÇÜNCÜ BÖLÜM İşletmecilerin Yükümlülükleri
MADDE 11 – (1) İşletmeci, TS ISO/IEC 27001 veya ISO/IEC 27001
standardına uygunluğu sağlamakla yükümlüdür. Yetkilendirilen işletmeciler yetkilendirme tarihinden itibaren bir yıl içerisinde söz konusu standarda uygunluğu sağlar. Belirtilen süre içerisinde söz konusu standarda uygunluğu sağlayamayan işletmecilere Kurul tarafından gerekli görülmesi halinde ilave süre verilebilir.
Özel sektörde gerek kamu ihalelerinde gerekse kamu ile stratejik alanlarda iş birliği yapan kurum kuruluşların ISO 27001 Bilgi Güvenliği Yönetim
Sistemini kurmalarını ve belgelendirme denetimine girerek ISO 27001 belgesini almaları gerekmektedir.
GÜMRÜK İŞLEMLERİNİN KOLAYLAŞTIRILMASINA İLİŞKİN GÜMRÜK GENEL TEBLİĞİ (29 Mart 2013)
Kamu Kurumlarında ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi alınması zorunluluğu ?
Kamu kurumlarında genellikle özel sektörden farklı olarak ISO 27001 belgesinin alınması zorunlu değildir fakat aşağıda anlatılan bazı kanun ve yasalara göre her ne kadar
belgelendirme zorunluluğu yok ise de ISO 27001 Bilgi Güvenliği Yönetim Sistemini kurmaları zorunludur.
Bilgi Güvenliği Yönetim sistemi Kurmak için kamu kurumlarına dair çerçeve yasalar
10.12.2003 tarihli ve 5018 sayılı Kamu Mali Yönetimi ve Kontrol Kanunuyla kamu malî yönetim sistemi tüm kamu kurumlarında uluslararası standartlar ve Avrupa Birliği uygulamalarına uygun bir şekilde yeniden düzenlenmesi ve bu kapsamda etkin bir iç kontrol sisteminin oluşturulması için Maliye Bakanlığı tarafından hazırlanan ve 26.12.2007 tarihli ve 26738 sayılı Resmi Gazetede yayımlanan Kamu İç Kontrol Standartları Tebliği ile kamu idarelerinde iç kontrol sisteminin oluşturulması, uygulanması, izlenmesi ve Geliştirilmesi amacıyla (18) standart ve bu standartlar için gerekli (79) genel şart belirlendi.
Bu 79 genel şarttan en az 10 şart bilgi güvenliği sisteminin kurumlarda oluşturulmasını hedeflemektedir.
16
2003 / 48 sayılı Başbakanlık Genelgesi ile yürürlüğe giren e-
Dönüşüm Türkiye Projesinin 4.1.1.’ inci maddesinde Bilgi Güvenliği Yönetim Sisteminin (BGYS) tüm kurumlarda kurulmasının
hedeflendiği belirtilmektedir.
05/08/2005 tarihli ve 25897 sayılı Resmi Gazete’de yayımlanan, 2005/20 sayılı Başbakanlık Genelgesi ile çıkarılan Birlikte Çalışabilirlik EsaslarıRehberinde elektronik ortamda sunulan hizmetlerde başarı, güven ortamının sağlanmasına bağlı olduğu vurgulanmıştır. Bu da, güvenlikle ilgili politika ve düzenlemelerin geliştirilmesini gerektirir.
2006 / 38 sayılı Yüksek Planlama Kurulu Kararı’yla onaylanan ve 28/07/2006 tarihli ve 26242 sayılı Resmi Gazete’de yayımlanan Bilgi Toplumu Stratejisi Belgesinde stratejik öncelikler arasında yer alan bilgi güvenliğinin ülke genelinde ve kamu kurumlarında bilgi sistemleri ile elektronik iletişim ve ağ bağlantılarında güvenliğin sağlanması ve sürdürülmesi için gerekli organizasyonel düzenlemelerin
gerçekleştirileceğinden bahsedilmektedir. Ayrıca, bilgi güvenliğinin sağlanması için yasal düzenlemelerin yapılacağı da
vurgulanmaktadır.
İÇ TETKİK
Kontrol Et - PUKÖ
ISO19011 : Kalite ve Çevre Yönetim Sistemleri Denetlemesi İçin İzlenecek Yöntemlerin verildiği bir yardımcı kılavuz.
Tetkik : Tetkik delili elde etmek ve tetkik kriterlerinin karşılanma derecesini objektif olarak
değerlendirmek için yapılan sistematik, bağımsız, belgelendirilmiş bir proses (ISO19011, Madde 3.1)
TETKİK TÜRLERİ
İç Tetkik : Kendi sistemimizi denetliyoruz!
Dış Tetkik : Bir tedarikçimizi denetliyoruz, ya da bir müşterimiz bizi denetliyor
Dış Tetkik : Bağımsız bir tescil grubu tarafından (TÜV, BVQI, BSI, TSE gibi) denetleniyoruz!
18
ISO27001 İç Tetkik
Standardın 6.cı maddesinde açıklandığı üzere;
Planlanan aralıklarla
Standartlarla uyum
Bilgi Güvenliği Gereksinimleri
Etkin gerçekleştirme
Beklendiği şekilde yerine getirilen
Tetkik programı – durumu ve önemi
Tetkikçilerin kendi işlerini denetlememesi lazım
Süreç
Gecikmeden yürütülen faaliyetler
Takip faaliyetleri – alınan önlemlerin doğrulanması
Sonuçların raporlanması
İÇ TETKİK NASIL UYGULANIR?
Bir Baş tetkikçi vardır.
Açılış toplantısı,
Tetkikin gerçekleştirilmesi,
Bulguların gözden geçirilmesi ve raporlama.
Tetkikçinin Nitelikleri
Kararlı
Israrcı
Kendine güvenen
Etik
Bilgili
Açık fikirli
Çok yönlü
Diplomatik
Kavrayışlı
Gözlemci
TETKİKÇİ İLETİŞİMİ;
Sakin ve nazik olmalı,
Göz teması kurmalı,
Hazırlıklı olmalı,
Yapılan işle ilgilenmeli,
Vücut dilini kullanmalı,
Konuşma tonu ve sesini ayarlamalı,
Tartışmacı olmamalı.
20
Tetkikin Başlatılması
Bilgi güvenliği iç tetkikleri, bir tetkik
programının kapsamlı hedeflerinin bütünü içindeki bir kısmı olabilir.
Hedefler
Kapsam
Kriterler
Tetkikin Kapsamı
Boyut ve sınırların çizilmesi
Hangi fiziksel yerleşimler
Hangi bölümler
Hangi faaliyetler
Hangi süreçler
Hangi bilgi varlıkları
Tetkik Kriterleri
Tetkik kriteri, uygulanabilir güvenlik
politikalarını ve süreçlerini, standartları, yasal ve düzenlemelere tabi gereksinimleri
içerecektir
Tetkikin Hedefleri
Bilgi Güvenliği ile ilgili tüm dokümanların veya bir bölümünün tetkik kriterlerine ne ölçüde uyduğunun belirlenmesi
Bilgi Güvenliği ile ilgili tüm dokümanların uygulanabilir yasalar, yönetmelikler ve sözleşme gereksinimleri ile uyumluluğu
Bilgi Güvenliği ile ilgili tüm dokümanların belirtilmiş olan amaçları karşılayabilme açısından etkinliğini değerlendirme
Dokümanların olası iyileştirme alanlarını belirleme
22
İç Tetkik neden gerekli?
Güvenlik politika ve süreçleriyle uyumun doğrulanması
Bilgi Güvenliği forumu ve yönetim için tarafsız bilgi sağlanması
Güvenlik bilincinin artması
Güvenlik ihlallerinin oluşma riskinin azaltılması
İyileştirme fırsatlarının belirlenmesi
Tetkik prensipleri
İyi Ahlaklılık
Adil olmak – gerçek ve doğru bildirimler!
Profesyonellik – titiz ve doğru karar verme
Tarafsızlık – her zaman kanıt aranmalı, bireyler eleştirilmemeli, kendileriyle tartışılmamalı
Delile dayalı yaklaşım
Bulgular hakkında kişilere tetkik sırasında bilgi verilmeli
Sonuca ulaşmak için kullanılabilecek standart bir metotoloji
Tetkik programı
Tetkikin belli bir zaman dilimi içinde hangi programa uygun bir şekilde yürütüleceğinin belirlenmesi
Özellikle tetkikin kapsamı (tetkik
kapsamındaki bilgi varlıkları, süreçler vb) ve tetkiki yapacak olan ekibin büyüklüğü ve niteliği programın şekillenmesinde çok önemli
Tetkikçiler eğitimli ve yetkin olmalı
Örnek Tetkik Çizelgesi
Bölüm Oca Şub Mar Nis May Haz Tem Ağu Eyl Eki Kas Ara
İK X D
Finans X D
Pazarlama X D
...
24
Tetkik Sırasında
Kapsama dahil olan tüm Bölüm Yöneticileri kendilerine düşen sorumluluğu yerine
getirmeli
İlgili personelin gerektiğinde erişilebilir olması
Tetkik programına sorumluluklar/kaynaklar tahsis etme
Gerekli kayıtların erişilebilirliğinin sağlanması
Tetkik İçeriği – Agenda / Anahtar Noktalar
Açılış Toplantısı/Giriş
Kapsam ve Süreçleri Araştırmak
Sorumluluklar
Uyum ve yasal hususlar
İş sürekliliği
Fiziksel kontroller
Personel güvenliği
Risk işleme
Sistem kontrolleri
Özetleme ve kapanış
Tetkik Hazırlığı
Önceki tetkik bulguları
Güvenlik el kitapları, kılavuzlar, süreç tanımları
SOA
Güvenlik ihlal olayları raporları
Uzmanlardan alınabilecek görüşler doğrultusunda – diğer bilgiler
Başlangıç Noktası
Güvenlik Politikası
Değişiklikler
Gözden geçirmeler
Kapsamın teyit edilmesi
Değişiklikler ile ilgili risk değerlendirmelerinin gözden geçirilmesi
Bölümlerde tüm kontrollerin nasıl uygulandığı (politikalar, süreçler, prosedürler vb)
Etkinlikleri nasıl izleniyor?
Güvenlik ihlal olayları nasıl tespit ediliyor?
Sürekli iyileştirme ile ilgili kanıtlar
26
Örnek : Temiz Masa/Temiz Ekran Politikası
Ekran ne kadar zaman sonra temizleniyor?
Ekranlar şifre korumalı mı?
Kontrol gerekliliği ile ilgili uyum/farkındalıklık var mı? – kanıt ara
Bilgisayar ve masa başında olunmadığı zamanlarda görülebilecek bilgiler ?
Örnekler – Deliller
Rastgele seçilen durumlardan oluşturulabilir
Tetkikçi tarafından özellikle seçilmiş durumlardan oluşturulabilir
Görüşülen kişilerle üzerinde kararlaştırılmış durumlardan oluşturulabilir
TETKİKÇİ ASLA VARSAYIMDA BULUNMAMALI!
Delil detayları
Nasıl
Ne
Nerede
Ne zaman
Niçin (uygunsuzluk ---)
Kim – roller ve pozisyonlar yazılmalı, isim yazılmaz!
Doğru Soru Sorma
Ne
Niçin
Nerede
Ne zaman
Nasıl
Kim?
Lütfen bana gösterin / bana söyleyin
28
Delilleri /Olguları Kaydetme
Nesnel kanıt
Okunaklı olmalı
Anlaşılır içerikte olmalı, izi sürülebilmeli
Yeniden ele alınabilir olmalı
Bulguların Yazılması
Özet bir tetkik raporu
Belirlenen uygunsuzlukların listelenmesi
Gözlem ve öneriler
Bulgular değerlendirilirken...
Güvenlik politikaları
Müşteri gereksinimleri
Yasalar, düzenlemeler
Güvenlikle ilgili dokümantasyonlar (örn. risk degerlendirme islem kayıtları, yönetim
sorumlulugu, politika (Örn: temiz masa, internet erisimi, kriptografi, erisim kontrolü vb.) Özel
operasyonel dokümanlar ve prosedürler, periyodik gözden geçirmeler…
Şirket standartları
ISO27001
UYGUNSUZLUK (Nonconformity)
Bir güvenlik alt politikasının veya sürecinin olmaması veya bu politikaya/sürece bağlılığın bulunmaması sebebiyle bir güvenlik ihlali olayının oluşabilme ihtimalinin olması
ISO27001 maddelerinin gerçekleştirilemiyor olması
30
Majör Uygunsuzluk
Gerekli bir ISO27001 maddesinin doğru şekilde adreslenmemiş olması nedeniyle firma için müşterileri üzerinde etki
yaratabilecek veya finansal sonuçlar doğurabilecek bir güvenlik ihlaline işaret edecek derecede büyük bir uygunsuzluğun olması
Minör Uygunsuzluk
Gerekli bir ISO27001 maddesinin doğru doğru dokümante edilememiş ya da tam uygulanamıyor olması - firma için müşterileri üzerinde etki yaratabilecek veya finansal sonuçlar doğurabilecek bir güvenlik ihlaline işaret edecek derecede büyük bir
uygunsuzluk değil
Uygunsuzluk Raporu
Şunları İçerir :
Nerede bulundu
Kaydedilen tarih
Gereksinim neydi ? (Politikaya ya da standarda bağlanabilir)
Nesnel kanıt nedir?
Açık ve tam olmalı
Doğru, (tartışılmasız, gerçek) olmalı
Az ve öz olmalı
ISO27001 standartlarına refer etmeli
KAPANIŞ TOPLANTISI;
Tetkikçi,varsa danışman ve gerektiğinden diğer yöneticiler de katılır,
Kısa bir teşekkür konuşması yapılır,
Uygunsuzluklar objektif delillerle açıklanır,
Tetkik sonuçları açıklanır,
Olumlu yönler belirtilir.
32
Uygunsuzlukların Takibi
Bulunan uygunsuzlukların daha sonra şirket tarafından kapatılması ve tetkikçinin bunu takip denetimleriyle görmesi gerekmektedir
