SlideShare ist ein Scribd-Unternehmen logo

Kritik Altyyapıları Asgari Güvenlik Önlemleri

Als PPTX, PDF herunterladen
R
Rumeysa Bozdemir

Sistemlerin Yetkisiz Erişimden Korunması Yetkili Personelin Sistemlere Erişiminin Yönetilmesi Sistem Tedarik, Geliştirme Ve Bakımının Yönetilmesi İş Sürekliliği Önlemleri Bilişim Sistemleri Güvenliği Yöneticisi ve Personel İstihdamı Dokümantasyon Bilgi Güvenliği Olaylarına Müdahale

Technologie
1 von 22
Kritik Altyapılar Asgari Güvenlik Önlemleri Rumeysa Bozdemir C|EH, ISO 27001 Lead Auditor rumeysabozdemir@gmail.com
Kritik Altyapı Nedir? Kritik altyapı, işlediği bilginin gizliliği, bütünlüğü veya erişilebilirliği bozulduğunda, can kaybına, büyük ölçekli ekonomik zarara, ulusal güvenlik açıklarına veya kamu düzeninin bozulmasına yol açabilecek bilişim veya endüstriyel kontrol sistemlerini barındıran sistemlerdir. Ekmeğini tuştan çıkaran kız! 2
Kritik Altyapılarda Bilgi Güvenliği Süreci Kapsam Belirleme Kurumla İletişim Minimum Güvenlik Önlemleri Uygulama Tetkik Düzeltici Faaliyetler Ekmeğini tuştan çıkaran kız! 3
Sistemlerin Yetkisiz Erişimden Korunması Sistem Merkezine Fiziksel Erişimin Yönetilmesi Endüstriyel kontrol sistemlerinin giriş çıkışları sınırlandırılmadır. • Manyetik kart • Parmak izi • Yüz tanıma • El geometrisi tanıma • Retina taramasıyla çalışan biyometrik kontrol sistemleri gibi yöntemlerle gerçekleştirilmeli ve kayıt altına alınmalıdır. Kayıtlar, kayıt yöneticisi tarafından belli aralıklarla gözden geçirilmeli ve gerekli durumlarda yönetime bilgi verilmelidir. Ekmeğini tuştan çıkaran kız! 4
Sistemlerin Yetkisiz Erişimden Korunması Sistemlere Bilgisayar Ağları Aracılığı İle Erişimin Kısıtlanması EKS’nin özellikle İntranet’ten ve zorunlu olmayan durumlarda kurumsal bilgi sisteminden izole edilmesinin sağlanması hedeflenmelidir. Bunun mümkün olmadığı durumlarda; • Gereksinim belgelendirilmeli • Ağ erişimine sadece gerekli durumlarda izin verilmeli • Bağlantıdan doğacak saldırılan için önlem alınmalı (sanal özel ağ (VPN- Virtual Private Network) kullanımı, sadece önceden belirlenmiş IP adreslerinden erişime izin verilmesi vb.) Ekmeğini tuştan çıkaran kız! 5
Sistemlerin Yetkisiz Erişimden Korunması Taşınabilir Saklama Ortamlarının Kısıtlanması EKS’ye taşınabilir saklama ortamlarının bağlanmaması için alınacak önlemler belirlenmelidir. • EKS’ye veya bilişim sistemine bağlanmasına ilişkin gereksinim belgelenmeli • Bağlantıya sadece bu gereksinime uygun durumlarda izin verilmeli • Bağlantı esnasında zararlı yazılım bulaşmaması için önlem alınmalı (antivirüs, dosya format kısıtlaması v.b) Ekmeğini tuştan çıkaran kız! 6
Yetkili Personelin Sistemlere Erişiminin Yönetilmesi Sistem Yöneticisi Ve Operatör Atama Prosedürü EKS’lerde sistem yöneticisi veya operatör olarak, bilişim sistemlerinde ise sistem yöneticisi olarak görev yapacak personelin atanmasını düzenleyecek kurumsal prosedür oluşturulmalıdır. • Sistem yöneticisi veya operatör rolü için gerekli yeterlilikler belirlenmelidir. • Prosedür kapsamında atama süreci ve süreç boyunca oluşturulacak kayıtlar tanımlanmalıdır. • Atanacak personelin güvenlik taraması ile ilgili sonucu belirten kayıt ve atanan personelin yerine getirmekle yükümlü olduğu şartları (kullanıcı adı ve parolasını paylaşmama, sistem üstünde görevlendirildiği işlemler dışında işlem yapmama vb.) kabul ettiğine ilişkin form ve prosedür oluşturulmalıdır. Ekmeğini tuştan çıkaran kız! 7
Yetkili Personelin Sistemlere Erişiminin Yönetilmesi Yetkili Personelin Kullanıcı Kimliklerinin Yönetilmesi Ve Güvenli Oturum Açma Prosedürü EKS’ye erişim yetkisine sahip (sistem yöneticisi, operatör vb.) personelin ve bilişim sistemlerinde sistem yöneticisi olarak görev yapan personelin sisteme erişmek için kullanacağı kullanıcı adları her bir personel için farklı olmalıdır. • Kullanıcı kimliği doğrulanmalıdır. Sisteme erişmeden önce kullanıcı kimliği ve parolası ile doğrulama yapılmalıdır. Kullanılan yazılım bunu desteklemiyorsa tedarikçi ile görüşüp iyileştirilmedir. Güveli oturum açma işlevini uygulayan bir yazılım edinilmelidir. • Yetkili personel kompleks parola kullanımına zorlanmalıdır • Parolanın belli aralıklar değiştirilmesi zorunlu kılınmalıdır. Ekmeğini tuştan çıkaran kız! 8
Yetkili Personelin Sistemlere Erişiminin Yönetilmesi Kayıt Yönetimi Ve Görevler Ayrılığı • Yetkli personel tarafından yapılan işlemler kayıt altına alınmalıdır. (EKS ve BS) • Sistemler, yetkili personelin yaptıkları işlemlerle ilgili kayıtları silme olasılığını ortadan kaldıracak şekilde yapılandırılmalıdır. • Sistemin Internet’e veya kurum bilişim sistemine bağlı olması durumunda bu ara yüzlerden yapılan işlemlerin de kayıt altına alınması gerekir. • Kayıt yöneticisi rolü tanımlanmalı, belli aralıklarla kontrol edilmeli ve gerektiğinde yönetime bilgi verilmelidir. Kayıt yöneticisi sistem üstünde herhangi bir işlem yapma hakkına sahip olmamalıdır. Ekmeğini tuştan çıkaran kız! 9
Yetkili Personelin Sistemlere Erişiminin Yönetilmesi İşletme Prosedürleri, Rol Ve Sorumluluklar • Sistem yöneticisi, operatör vb. rolleri ve bu rollerin yerine getirmesi gereken görev ve sorumluluklar tanımlanmalıdır. • Sistem üstünde yapılması gereken işlemlerle ilgili prosedürler tanımlanmalı, ilgili personel işlemleri prosedürlere uygun şekilde gerçekleştirmeli, böylece kullanıcı hatalarının en alt düzeye indirilmesi sağlanmalıdır. • Sistem alt bileşenleri (sunucu, veritabanı, ağ cihazı vb.) sınıflandırılması yapılmalı ve bu sınıflandırmalara göre erişim yetkileri düzenlenmeli, sistem yöneticisi yetkileri bu düzenlemelere göre kısıtlanmalı ve her sistem yöneticisi kendi sorumluluğundaki alt sistemlere erişebilmelidir. • Sistem yöneticilerinin normal bir kullanıcı hesabı olmalı, günlük cari faaliyetlerde bu hesapları kullanmalı ve sistem yönetim faaliyetlerinde kullanmak üzere ihtiyaç olduğunda kısa süreli olarak ilave bir yetkili kullanıcı hesabı ve parola kullanmalıdır. Ekmeğini tuştan çıkaran kız! 10
Sistem Tedarik, Geliştirme Ve Bakımının Yönetilmesi Uygulama Yazılımlarının Güvenliğinin Yönetilmesi • Yetkisiz erişim • Kötüye kullanma • Hata ve kayıpların asgari düzeye indirilmesi için sağlanması gereken gereksinimler belirlenmelidir. Gereksinimlerin uygulama yazılımları tarafından sağlandığını güvence altına almak için gözden geçirme ve test prosedürleri oluşturulmalı ve prosedürler uygulanmalıdır. Ekmeğini tuştan çıkaran kız! 11
Sistem Tedarik, Geliştirme Ve Bakımının Yönetilmesi Teknik Açıklıkların Yönetilmesi • Sistemlerde yer güncel varlık envanteri tutulmalıdır. (Ağ elemanları, işletim sistemi, veritabanı vb.) • Çıkarılan envantere yönelik bilinen açıklıklardan kaynaklanan risklere maruz kalmaması için gereken önlemler alınmalıdır. • Gerekli yama ve iyileştirme süreçlerinin çalıştırılması gerekmektedir. Ekmeğini tuştan çıkaran kız! 12
Sistem Tedarik, Geliştirme Ve Bakımının Yönetilmesi Bakım Sözleşmesi • Geliştirici ve tedarikçileri ile ilişkiler, sözleşme aracılığı ile yönetilmelidir. • Sözleşme kapsamında acil durumlarda geliştirici tarafından kuruma verilecek destek, sisteme yapılacak müdahaleler ve olağan bakımlarla ilgili gereksinimler düzenlenmelidir. Tüm bu durumlarda geliştiricinin sağlaması gereken güvenlik şartları kararlaştırılmalı ve sözleşmede belirtilmelidir. Ekmeğini tuştan çıkaran kız! 13
İş Sürekliliği Önlemleri Yedek Sistem Merkezi, Prosedür Ve Testler • Sistem merkezinin herhangi bir nedenle devre dışı kalması halinde devreye girebilecek bir yedek sistem merkezinin gerekliliği değerlendirilmeli ve değerlendirme sonucu gerekli altyapı oluşturulmalı veya geliştirilmelidir. • Kritik altyapı sistemlerinde yedek sistem merkezinin devreye girmesi ile ilgili prosedürler oluşturulmalıdır. • Prosedürler test edilerek işlevsellikleri kanıtlanmalı ve prosedür kapsamında görevlendirilmiş personelin görevlerini benimsemeleri sağlanmalıdır. Ekmeğini tuştan çıkaran kız! 14
Bilişim Sistemleri Güvenliği Yöneticisi ve Personel İstihdamı Güvenlik Yöneticisi • EKS ve Bilişim Sistemleri yöneticisine genel itibari ile “Bilişim Sistemleri Güvenliği Yöneticisi” unvanı atanmaktadır. Kişinin liderlik ve yönetimle sağlıklı bilgi alışverişini sağlayacak bir yapıda olmasına özen gösterilmelidir. • EKS ve Bilişim Sistemleri’nin kapasitesine göre de yardım bir personele ihtiyaç duyup duymayacağı belirlenmelidir. Ekmeğini tuştan çıkaran kız! 15
Bilişim Sistemleri Güvenliği Yöneticisi ve Personel İstihdamı Personel Sürekliliği Kritik altyapı sistemi çalıştıran kurumlarda sistem yöneticilerinin ve güvenlik yöneticisinin kurum adına üstlendikleri ve yönettikleri riskler göz önünde bulundurularak uygun koşullarda istihdam edilmeleri büyük önem arz etmektedir. • Sözleşmeler • Personelin profesyonel hayatı için ona sunulan imkanlar • Sosyal hayatını destekleyici durumlar Ekmeğini tuştan çıkaran kız! 16
Bilişim Sistemleri Güvenliği Yöneticisi ve Personel İstihdamı Personel Yetiştirilmesi Ve Eğitimi Kritik altyapı sistemi çalıştıran kurumlarda sistem yöneticisi ve güvenlik yöneticilerinin kurum adına kurum içi/kurumlar arası/yurt içi/yurt dışı eğitimlerine gönderilerek bilgilerinin güncel ve eğitim seviyelerinin yüksek tutulması büyük önem arz etmektedir. Ekmeğini tuştan çıkaran kız! 17
Dokümantasyon Politika Dokümanı İlgili kurumlar, belirtilen önlemlerin her biri ile ilgili değerlendirmelerini ve bu önlemleri kurumlarında nasıl uyguladıklarını açıklayan bir politika dokümanı oluşturmalıdır. Ekmeğini tuştan çıkaran kız! 18
Dokümantasyon Kayıtların Yönetilmesi • Önlemlerin uygulanması sırasında oluşması beklenen kayıtları oluşturmalı ve saklamalıdır. • Kayıtların bir kısmının elektronik ortamda, bir kısmının ise basılı olarak oluşturulmalı ve saklanmalıdır. • Kayıtlar delil niteliğinde olup, sadece kurum yöneticisi ve bilişim sistemleri güvenliği yöneticisi tarafından okunabilir ve hiç bir kurum çalışanı tarafından değiştirilemez olmalarıdır. Ekmeğini tuştan çıkaran kız! 19
Bilgi Güvenliği Olaylarına Müdahale Bilişim sistemlerinin güvenliği ve iş sürekliliği öncelikle teknik bir konu olarak ele alınsa da kasıtlı olarak yapılan yetkisiz işlem ve zarar vermelerin hukuka aykırılık oluşturduğu akıllardan çıkarılmamalıdır. Dolayısı ile sebep olan faillerin ve delillerin tespiti açısından hukuka aykırı durumun yetkili güvenlik güçlerine ivedilikle iletilmesi ve sistem müdahalelerinin koordine ve işbirliği içerisinde yürütülmesi için prosedürler oluşturulmalıdır. Kısacası kurum içerisinde Siber Olaylara Müdahale Ekibi (SOME) oluşturulmalı ve gerekli prosedürler yazılı olarak tutulmalıdır. Ekmeğini tuştan çıkaran kız! 20
Kaynaklar https://www.tubitak.gov.tr/ https://www.youtube.com/watch?v=wmwIlMe5xrg https://www.youtube.com/watch?v=xvVCSYt_YsQ Ekmeğini tuştan çıkaran kız! 21
Sorular Ekmeğini tuştan çıkaran kız! rumeysabozdemir@gmail.com rumeysabzdmr rumeysabzdmr goo.gl/xDcEFH Bilişimci Kız www.rumeysabozdemir.com 22

Empfohlen

Mercure
MercureMercure
Mercure
Nooshafarin Mir-Abdollahi
 
Securiskop
SecuriskopSecuriskop
Securiskop
Nooshafarin Mir-Abdollahi
 
SIEM 6N
SIEM 6NSIEM 6N
SIEM 6N
Ismail Helva
 
Kontrol
KontrolKontrol
Kontrol
Bilgisayar Öğretmeni ( Computer Teaching :))
 
Ne kadar güvenliyiz ?
Ne kadar güvenliyiz ?Ne kadar güvenliyiz ?
Ne kadar güvenliyiz ?
ALİ CAN AKSAKAL
 
BTRisk Yazılım Güvenliği Yönetimi Eğitimi
BTRisk Yazılım Güvenliği Yönetimi EğitimiBTRisk Yazılım Güvenliği Yönetimi Eğitimi
BTRisk Yazılım Güvenliği Yönetimi Eğitimi
BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
ISO 27001 BGYS TEMEL EĞİTİMİ
ISO 27001 BGYS TEMEL EĞİTİMİISO 27001 BGYS TEMEL EĞİTİMİ
ISO 27001 BGYS TEMEL EĞİTİMİ
Ferhat CAMGÖZ
 
Mazars Denge Bilgi Güvenliği Hizmetleri Direktörü Ateş Sünbül'ün Kişisel Veri...
Mazars Denge Bilgi Güvenliği Hizmetleri Direktörü Ateş Sünbül'ün Kişisel Veri...Mazars Denge Bilgi Güvenliği Hizmetleri Direktörü Ateş Sünbül'ün Kişisel Veri...
Mazars Denge Bilgi Güvenliği Hizmetleri Direktörü Ateş Sünbül'ün Kişisel Veri...
Marketing& Communication
 

Empfohlen

Mercure
MercureMercure
Mercure
Nooshafarin Mir-Abdollahi
 
Securiskop
SecuriskopSecuriskop
Securiskop
Nooshafarin Mir-Abdollahi
 
SIEM 6N
SIEM 6NSIEM 6N
SIEM 6N
Ismail Helva
 
Kontrol
KontrolKontrol
Kontrol
Bilgisayar Öğretmeni ( Computer Teaching :))
 
Ne kadar güvenliyiz ?
Ne kadar güvenliyiz ?Ne kadar güvenliyiz ?
Ne kadar güvenliyiz ?
ALİ CAN AKSAKAL
 
BTRisk Yazılım Güvenliği Yönetimi Eğitimi
BTRisk Yazılım Güvenliği Yönetimi EğitimiBTRisk Yazılım Güvenliği Yönetimi Eğitimi
BTRisk Yazılım Güvenliği Yönetimi Eğitimi
BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
ISO 27001 BGYS TEMEL EĞİTİMİ
ISO 27001 BGYS TEMEL EĞİTİMİISO 27001 BGYS TEMEL EĞİTİMİ
ISO 27001 BGYS TEMEL EĞİTİMİ
Ferhat CAMGÖZ
 
Mazars Denge Bilgi Güvenliği Hizmetleri Direktörü Ateş Sünbül'ün Kişisel Veri...
Mazars Denge Bilgi Güvenliği Hizmetleri Direktörü Ateş Sünbül'ün Kişisel Veri...Mazars Denge Bilgi Güvenliği Hizmetleri Direktörü Ateş Sünbül'ün Kişisel Veri...
Mazars Denge Bilgi Güvenliği Hizmetleri Direktörü Ateş Sünbül'ün Kişisel Veri...
Marketing& Communication
 
Denetim - Güncel Yaklaşımlar
Denetim - Güncel YaklaşımlarDenetim - Güncel Yaklaşımlar
Denetim - Güncel Yaklaşımlar
Salih Islam
 
Kontrol
KontrolKontrol
Kontrol
Bilgisayar Öğretmeni ( Computer Teaching :))
 
Biznet - Kişisel Verilerin Korunması
Biznet - Kişisel Verilerin KorunmasıBiznet - Kişisel Verilerin Korunması
Biznet - Kişisel Verilerin Korunması
Biznet Bilişim
 
Cumhurbaşkanlığı Bilgi ve İletişim Güvenliği Rehberi
Cumhurbaşkanlığı Bilgi ve İletişim Güvenliği RehberiCumhurbaşkanlığı Bilgi ve İletişim Güvenliği Rehberi
Cumhurbaşkanlığı Bilgi ve İletişim Güvenliği Rehberi
Sparta Bilişim
 
Oğuz yavuz si̇stem modelleme ve tasarim
Oğuz yavuz si̇stem modelleme ve tasarimOğuz yavuz si̇stem modelleme ve tasarim
Oğuz yavuz si̇stem modelleme ve tasarim
Oğuz YAVUZ
 
Saglikta siber guvenlik ve veri guvenligi by cagri polat
Saglikta siber guvenlik ve veri guvenligi by cagri polatSaglikta siber guvenlik ve veri guvenligi by cagri polat
Saglikta siber guvenlik ve veri guvenligi by cagri polat
Çağrı Polat
 
Yönetim Bilişim Sistemleri
Yönetim Bilişim SistemleriYönetim Bilişim Sistemleri
Yönetim Bilişim Sistemleri
Aytac Mestci
 
SANS 20 Kritik Siber Guvenlik Kontrolü
SANS 20 Kritik Siber Guvenlik KontrolüSANS 20 Kritik Siber Guvenlik Kontrolü
SANS 20 Kritik Siber Guvenlik Kontrolü
Sparta Bilişim
 
Web Uygulamalarında Risk Yönetimi ve Değerlendirme
Web Uygulamalarında Risk Yönetimi ve DeğerlendirmeWeb Uygulamalarında Risk Yönetimi ve Değerlendirme
Web Uygulamalarında Risk Yönetimi ve Değerlendirme
Erkan Başavcı
 
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik Konferansı
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik KonferansıBilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik Konferansı
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik Konferansı
Raif Berkay DİNÇEL
 
Kullanıcı katmanı
Kullanıcı katmanıKullanıcı katmanı
Kullanıcı katmanı
Tekvizyon Pc Teknoloji Hizmetleri
 
Yonetim bilgi sistemleri
Yonetim bilgi sistemleriYonetim bilgi sistemleri
Yonetim bilgi sistemleri
raketot
 
Yonetim bilgi sistemleri
Yonetim bilgi sistemleriYonetim bilgi sistemleri
Yonetim bilgi sistemleri
hakanakdag
 
Sızma Testi (Penetrasyon Testi) Nedir? - Sparta Bilişim
Sızma Testi (Penetrasyon Testi) Nedir? - Sparta BilişimSızma Testi (Penetrasyon Testi) Nedir? - Sparta Bilişim
Sızma Testi (Penetrasyon Testi) Nedir? - Sparta Bilişim
Sparta Bilişim
 
Biznet Bilişim - 360 Derece Bilgi Güvenliği Hizmet Paketleri
Biznet Bilişim - 360 Derece Bilgi Güvenliği Hizmet PaketleriBiznet Bilişim - 360 Derece Bilgi Güvenliği Hizmet Paketleri
Biznet Bilişim - 360 Derece Bilgi Güvenliği Hizmet Paketleri
Biznet Bilişim
 
İstSec 2015 - Siber Saldırılara Hazırlık için Güvenlik Ürünlerimizi Nasıl Tes...
İstSec 2015 - Siber Saldırılara Hazırlık için Güvenlik Ürünlerimizi Nasıl Tes...İstSec 2015 - Siber Saldırılara Hazırlık için Güvenlik Ürünlerimizi Nasıl Tes...
İstSec 2015 - Siber Saldırılara Hazırlık için Güvenlik Ürünlerimizi Nasıl Tes...
BGA Cyber Security
 
isgsis.com yönetim sistemleri sunumu
isgsis.com yönetim sistemleri sunumuisgsis.com yönetim sistemleri sunumu
isgsis.com yönetim sistemleri sunumu
ibys - İSG Yazılımı İSGB - OSGB Yazılım İş Güvenliği -Online Software
 
Some Tatbikatları ve SIEM Testleri İçin Siber Saldırıları Nasıl Optimize Ederiz?
Some Tatbikatları ve SIEM Testleri İçin Siber Saldırıları Nasıl Optimize Ederiz?Some Tatbikatları ve SIEM Testleri İçin Siber Saldırıları Nasıl Optimize Ederiz?
Some Tatbikatları ve SIEM Testleri İçin Siber Saldırıları Nasıl Optimize Ederiz?
BGA Cyber Security
 
YÖNETİM BİLGİ SİSTEMİ
YÖNETİM BİLGİ SİSTEMİYÖNETİM BİLGİ SİSTEMİ
YÖNETİM BİLGİ SİSTEMİ
MUHAMMED ÖMER BULAKÇIBAŞI
 
Yazılım Güvenliği
Yazılım GüvenliğiYazılım Güvenliği
Yazılım Güvenliği
Uğur Tılıkoğlu
 
Network Penetration Testing | OWASP Istanbul
Network Penetration Testing | OWASP Istanbul Network Penetration Testing | OWASP Istanbul
Network Penetration Testing | OWASP Istanbul
Rumeysa Bozdemir
 
Burp Suite SQL Injection Attack | OWASP Istanbul
Burp Suite SQL Injection Attack | OWASP Istanbul Burp Suite SQL Injection Attack | OWASP Istanbul
Burp Suite SQL Injection Attack | OWASP Istanbul
Rumeysa Bozdemir
 

Weitere ähnliche Inhalte

Ähnlich wie Kritik Altyyapıları Asgari Güvenlik Önlemleri

Biznet - Kişisel Verilerin Korunması
Biznet - Kişisel Verilerin KorunmasıBiznet - Kişisel Verilerin Korunması
Biznet - Kişisel Verilerin Korunması
Biznet Bilişim
 
SANS 20 Kritik Siber Guvenlik Kontrolü
SANS 20 Kritik Siber Guvenlik KontrolüSANS 20 Kritik Siber Guvenlik Kontrolü
SANS 20 Kritik Siber Guvenlik Kontrolü
Sparta Bilişim
 
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik Konferansı
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik KonferansıBilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik Konferansı
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik Konferansı
Raif Berkay DİNÇEL
 
Yonetim bilgi sistemleri
Yonetim bilgi sistemleriYonetim bilgi sistemleri
Yonetim bilgi sistemleri
raketot
 
Yonetim bilgi sistemleri
Yonetim bilgi sistemleriYonetim bilgi sistemleri
Yonetim bilgi sistemleri
hakanakdag
 
isgsis.com yönetim sistemleri sunumu
isgsis.com yönetim sistemleri sunumuisgsis.com yönetim sistemleri sunumu
isgsis.com yönetim sistemleri sunumu
ibys - İSG Yazılımı İSGB - OSGB Yazılım İş Güvenliği -Online Software
 

Ähnlich wie Kritik Altyyapıları Asgari Güvenlik Önlemleri (20)

Denetim - Güncel Yaklaşımlar
Denetim - Güncel YaklaşımlarDenetim - Güncel Yaklaşımlar
Denetim - Güncel Yaklaşımlar
 
Kontrol
KontrolKontrol
Kontrol
 
Biznet - Kişisel Verilerin Korunması
Biznet - Kişisel Verilerin KorunmasıBiznet - Kişisel Verilerin Korunması
Biznet - Kişisel Verilerin Korunması
 
Cumhurbaşkanlığı Bilgi ve İletişim Güvenliği Rehberi
Cumhurbaşkanlığı Bilgi ve İletişim Güvenliği RehberiCumhurbaşkanlığı Bilgi ve İletişim Güvenliği Rehberi
Cumhurbaşkanlığı Bilgi ve İletişim Güvenliği Rehberi
 
Oğuz yavuz si̇stem modelleme ve tasarim
Oğuz yavuz si̇stem modelleme ve tasarimOğuz yavuz si̇stem modelleme ve tasarim
Oğuz yavuz si̇stem modelleme ve tasarim
 
Saglikta siber guvenlik ve veri guvenligi by cagri polat
Saglikta siber guvenlik ve veri guvenligi by cagri polatSaglikta siber guvenlik ve veri guvenligi by cagri polat
Saglikta siber guvenlik ve veri guvenligi by cagri polat
 
Yönetim Bilişim Sistemleri
Yönetim Bilişim SistemleriYönetim Bilişim Sistemleri
Yönetim Bilişim Sistemleri
 
SANS 20 Kritik Siber Guvenlik Kontrolü
SANS 20 Kritik Siber Guvenlik KontrolüSANS 20 Kritik Siber Guvenlik Kontrolü
SANS 20 Kritik Siber Guvenlik Kontrolü
 
Web Uygulamalarında Risk Yönetimi ve Değerlendirme
Web Uygulamalarında Risk Yönetimi ve DeğerlendirmeWeb Uygulamalarında Risk Yönetimi ve Değerlendirme
Web Uygulamalarında Risk Yönetimi ve Değerlendirme
 
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik Konferansı
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik KonferansıBilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik Konferansı
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik Konferansı
 
Kullanıcı katmanı
Kullanıcı katmanıKullanıcı katmanı
Kullanıcı katmanı
 
Yonetim bilgi sistemleri
Yonetim bilgi sistemleriYonetim bilgi sistemleri
Yonetim bilgi sistemleri
 
Yonetim bilgi sistemleri
Yonetim bilgi sistemleriYonetim bilgi sistemleri
Yonetim bilgi sistemleri
 
Sızma Testi (Penetrasyon Testi) Nedir? - Sparta Bilişim
Sızma Testi (Penetrasyon Testi) Nedir? - Sparta BilişimSızma Testi (Penetrasyon Testi) Nedir? - Sparta Bilişim
Sızma Testi (Penetrasyon Testi) Nedir? - Sparta Bilişim
 
Biznet Bilişim - 360 Derece Bilgi Güvenliği Hizmet Paketleri
Biznet Bilişim - 360 Derece Bilgi Güvenliği Hizmet PaketleriBiznet Bilişim - 360 Derece Bilgi Güvenliği Hizmet Paketleri
Biznet Bilişim - 360 Derece Bilgi Güvenliği Hizmet Paketleri
 
İstSec 2015 - Siber Saldırılara Hazırlık için Güvenlik Ürünlerimizi Nasıl Tes...
İstSec 2015 - Siber Saldırılara Hazırlık için Güvenlik Ürünlerimizi Nasıl Tes...İstSec 2015 - Siber Saldırılara Hazırlık için Güvenlik Ürünlerimizi Nasıl Tes...
İstSec 2015 - Siber Saldırılara Hazırlık için Güvenlik Ürünlerimizi Nasıl Tes...
 
isgsis.com yönetim sistemleri sunumu
isgsis.com yönetim sistemleri sunumuisgsis.com yönetim sistemleri sunumu
isgsis.com yönetim sistemleri sunumu
 
Some Tatbikatları ve SIEM Testleri İçin Siber Saldırıları Nasıl Optimize Ederiz?
Some Tatbikatları ve SIEM Testleri İçin Siber Saldırıları Nasıl Optimize Ederiz?Some Tatbikatları ve SIEM Testleri İçin Siber Saldırıları Nasıl Optimize Ederiz?
Some Tatbikatları ve SIEM Testleri İçin Siber Saldırıları Nasıl Optimize Ederiz?
 
YÖNETİM BİLGİ SİSTEMİ
YÖNETİM BİLGİ SİSTEMİYÖNETİM BİLGİ SİSTEMİ
YÖNETİM BİLGİ SİSTEMİ
 
Yazılım Güvenliği
Yazılım GüvenliğiYazılım Güvenliği
Yazılım Güvenliği
 

Mehr von Rumeysa Bozdemir

Mehr von Rumeysa Bozdemir (9)

Network Penetration Testing | OWASP Istanbul
Network Penetration Testing | OWASP Istanbul Network Penetration Testing | OWASP Istanbul
Network Penetration Testing | OWASP Istanbul
 
Burp Suite SQL Injection Attack | OWASP Istanbul
Burp Suite SQL Injection Attack | OWASP Istanbul Burp Suite SQL Injection Attack | OWASP Istanbul
Burp Suite SQL Injection Attack | OWASP Istanbul
 
Burp Suite İle File Upload Attack | OWASP Istanbul
Burp Suite İle File Upload Attack | OWASP Istanbul Burp Suite İle File Upload Attack | OWASP Istanbul
Burp Suite İle File Upload Attack | OWASP Istanbul
 
OWASP - Siber Güvenlik Sektöründe Kariyer Yapmak
OWASP - Siber Güvenlik Sektöründe Kariyer YapmakOWASP - Siber Güvenlik Sektöründe Kariyer Yapmak
OWASP - Siber Güvenlik Sektöründe Kariyer Yapmak
 
Burp Suite İle Brute Force Attack | OWASP Istanbul
Burp Suite İle Brute Force Attack | OWASP Istanbul Burp Suite İle Brute Force Attack | OWASP Istanbul
Burp Suite İle Brute Force Attack | OWASP Istanbul
 
Broken Authentication | OWASP Istanbul
Broken Authentication | OWASP IstanbulBroken Authentication | OWASP Istanbul
Broken Authentication | OWASP Istanbul
 
Web App Hacking | OWASP Istanbul
Web App Hacking | OWASP IstanbulWeb App Hacking | OWASP Istanbul
Web App Hacking | OWASP Istanbul
 
Information Gathering | OWASP Istanbul
Information Gathering | OWASP IstanbulInformation Gathering | OWASP Istanbul
Information Gathering | OWASP Istanbul
 
Kritik Altyapıların Güvenliği
Kritik Altyapıların GüvenliğiKritik Altyapıların Güvenliği
Kritik Altyapıların Güvenliği
 

Kritik Altyyapıları Asgari Güvenlik Önlemleri

  • 1. Kritik Altyapılar Asgari Güvenlik Önlemleri Rumeysa Bozdemir C|EH, ISO 27001 Lead Auditor rumeysabozdemir@gmail.com
  • 2. Kritik Altyapı Nedir? Kritik altyapı, işlediği bilginin gizliliği, bütünlüğü veya erişilebilirliği bozulduğunda, can kaybına, büyük ölçekli ekonomik zarara, ulusal güvenlik açıklarına veya kamu düzeninin bozulmasına yol açabilecek bilişim veya endüstriyel kontrol sistemlerini barındıran sistemlerdir. Ekmeğini tuştan çıkaran kız! 2
  • 3. Kritik Altyapılarda Bilgi Güvenliği Süreci Kapsam Belirleme Kurumla İletişim Minimum Güvenlik Önlemleri Uygulama Tetkik Düzeltici Faaliyetler Ekmeğini tuştan çıkaran kız! 3
  • 4. Sistemlerin Yetkisiz Erişimden Korunması Sistem Merkezine Fiziksel Erişimin Yönetilmesi Endüstriyel kontrol sistemlerinin giriş çıkışları sınırlandırılmadır. • Manyetik kart • Parmak izi • Yüz tanıma • El geometrisi tanıma • Retina taramasıyla çalışan biyometrik kontrol sistemleri gibi yöntemlerle gerçekleştirilmeli ve kayıt altına alınmalıdır. Kayıtlar, kayıt yöneticisi tarafından belli aralıklarla gözden geçirilmeli ve gerekli durumlarda yönetime bilgi verilmelidir. Ekmeğini tuştan çıkaran kız! 4
  • 5. Sistemlerin Yetkisiz Erişimden Korunması Sistemlere Bilgisayar Ağları Aracılığı İle Erişimin Kısıtlanması EKS’nin özellikle İntranet’ten ve zorunlu olmayan durumlarda kurumsal bilgi sisteminden izole edilmesinin sağlanması hedeflenmelidir. Bunun mümkün olmadığı durumlarda; • Gereksinim belgelendirilmeli • Ağ erişimine sadece gerekli durumlarda izin verilmeli • Bağlantıdan doğacak saldırılan için önlem alınmalı (sanal özel ağ (VPN- Virtual Private Network) kullanımı, sadece önceden belirlenmiş IP adreslerinden erişime izin verilmesi vb.) Ekmeğini tuştan çıkaran kız! 5
  • 6. Sistemlerin Yetkisiz Erişimden Korunması Taşınabilir Saklama Ortamlarının Kısıtlanması EKS’ye taşınabilir saklama ortamlarının bağlanmaması için alınacak önlemler belirlenmelidir. • EKS’ye veya bilişim sistemine bağlanmasına ilişkin gereksinim belgelenmeli • Bağlantıya sadece bu gereksinime uygun durumlarda izin verilmeli • Bağlantı esnasında zararlı yazılım bulaşmaması için önlem alınmalı (antivirüs, dosya format kısıtlaması v.b) Ekmeğini tuştan çıkaran kız! 6
  • 7. Yetkili Personelin Sistemlere Erişiminin Yönetilmesi Sistem Yöneticisi Ve Operatör Atama Prosedürü EKS’lerde sistem yöneticisi veya operatör olarak, bilişim sistemlerinde ise sistem yöneticisi olarak görev yapacak personelin atanmasını düzenleyecek kurumsal prosedür oluşturulmalıdır. • Sistem yöneticisi veya operatör rolü için gerekli yeterlilikler belirlenmelidir. • Prosedür kapsamında atama süreci ve süreç boyunca oluşturulacak kayıtlar tanımlanmalıdır. • Atanacak personelin güvenlik taraması ile ilgili sonucu belirten kayıt ve atanan personelin yerine getirmekle yükümlü olduğu şartları (kullanıcı adı ve parolasını paylaşmama, sistem üstünde görevlendirildiği işlemler dışında işlem yapmama vb.) kabul ettiğine ilişkin form ve prosedür oluşturulmalıdır. Ekmeğini tuştan çıkaran kız! 7
  • 8. Yetkili Personelin Sistemlere Erişiminin Yönetilmesi Yetkili Personelin Kullanıcı Kimliklerinin Yönetilmesi Ve Güvenli Oturum Açma Prosedürü EKS’ye erişim yetkisine sahip (sistem yöneticisi, operatör vb.) personelin ve bilişim sistemlerinde sistem yöneticisi olarak görev yapan personelin sisteme erişmek için kullanacağı kullanıcı adları her bir personel için farklı olmalıdır. • Kullanıcı kimliği doğrulanmalıdır. Sisteme erişmeden önce kullanıcı kimliği ve parolası ile doğrulama yapılmalıdır. Kullanılan yazılım bunu desteklemiyorsa tedarikçi ile görüşüp iyileştirilmedir. Güveli oturum açma işlevini uygulayan bir yazılım edinilmelidir. • Yetkili personel kompleks parola kullanımına zorlanmalıdır • Parolanın belli aralıklar değiştirilmesi zorunlu kılınmalıdır. Ekmeğini tuştan çıkaran kız! 8
  • 9. Yetkili Personelin Sistemlere Erişiminin Yönetilmesi Kayıt Yönetimi Ve Görevler Ayrılığı • Yetkli personel tarafından yapılan işlemler kayıt altına alınmalıdır. (EKS ve BS) • Sistemler, yetkili personelin yaptıkları işlemlerle ilgili kayıtları silme olasılığını ortadan kaldıracak şekilde yapılandırılmalıdır. • Sistemin Internet’e veya kurum bilişim sistemine bağlı olması durumunda bu ara yüzlerden yapılan işlemlerin de kayıt altına alınması gerekir. • Kayıt yöneticisi rolü tanımlanmalı, belli aralıklarla kontrol edilmeli ve gerektiğinde yönetime bilgi verilmelidir. Kayıt yöneticisi sistem üstünde herhangi bir işlem yapma hakkına sahip olmamalıdır. Ekmeğini tuştan çıkaran kız! 9
  • 10. Yetkili Personelin Sistemlere Erişiminin Yönetilmesi İşletme Prosedürleri, Rol Ve Sorumluluklar • Sistem yöneticisi, operatör vb. rolleri ve bu rollerin yerine getirmesi gereken görev ve sorumluluklar tanımlanmalıdır. • Sistem üstünde yapılması gereken işlemlerle ilgili prosedürler tanımlanmalı, ilgili personel işlemleri prosedürlere uygun şekilde gerçekleştirmeli, böylece kullanıcı hatalarının en alt düzeye indirilmesi sağlanmalıdır. • Sistem alt bileşenleri (sunucu, veritabanı, ağ cihazı vb.) sınıflandırılması yapılmalı ve bu sınıflandırmalara göre erişim yetkileri düzenlenmeli, sistem yöneticisi yetkileri bu düzenlemelere göre kısıtlanmalı ve her sistem yöneticisi kendi sorumluluğundaki alt sistemlere erişebilmelidir. • Sistem yöneticilerinin normal bir kullanıcı hesabı olmalı, günlük cari faaliyetlerde bu hesapları kullanmalı ve sistem yönetim faaliyetlerinde kullanmak üzere ihtiyaç olduğunda kısa süreli olarak ilave bir yetkili kullanıcı hesabı ve parola kullanmalıdır. Ekmeğini tuştan çıkaran kız! 10
  • 11. Sistem Tedarik, Geliştirme Ve Bakımının Yönetilmesi Uygulama Yazılımlarının Güvenliğinin Yönetilmesi • Yetkisiz erişim • Kötüye kullanma • Hata ve kayıpların asgari düzeye indirilmesi için sağlanması gereken gereksinimler belirlenmelidir. Gereksinimlerin uygulama yazılımları tarafından sağlandığını güvence altına almak için gözden geçirme ve test prosedürleri oluşturulmalı ve prosedürler uygulanmalıdır. Ekmeğini tuştan çıkaran kız! 11
  • 12. Sistem Tedarik, Geliştirme Ve Bakımının Yönetilmesi Teknik Açıklıkların Yönetilmesi • Sistemlerde yer güncel varlık envanteri tutulmalıdır. (Ağ elemanları, işletim sistemi, veritabanı vb.) • Çıkarılan envantere yönelik bilinen açıklıklardan kaynaklanan risklere maruz kalmaması için gereken önlemler alınmalıdır. • Gerekli yama ve iyileştirme süreçlerinin çalıştırılması gerekmektedir. Ekmeğini tuştan çıkaran kız! 12
  • 13. Sistem Tedarik, Geliştirme Ve Bakımının Yönetilmesi Bakım Sözleşmesi • Geliştirici ve tedarikçileri ile ilişkiler, sözleşme aracılığı ile yönetilmelidir. • Sözleşme kapsamında acil durumlarda geliştirici tarafından kuruma verilecek destek, sisteme yapılacak müdahaleler ve olağan bakımlarla ilgili gereksinimler düzenlenmelidir. Tüm bu durumlarda geliştiricinin sağlaması gereken güvenlik şartları kararlaştırılmalı ve sözleşmede belirtilmelidir. Ekmeğini tuştan çıkaran kız! 13
  • 14. İş Sürekliliği Önlemleri Yedek Sistem Merkezi, Prosedür Ve Testler • Sistem merkezinin herhangi bir nedenle devre dışı kalması halinde devreye girebilecek bir yedek sistem merkezinin gerekliliği değerlendirilmeli ve değerlendirme sonucu gerekli altyapı oluşturulmalı veya geliştirilmelidir. • Kritik altyapı sistemlerinde yedek sistem merkezinin devreye girmesi ile ilgili prosedürler oluşturulmalıdır. • Prosedürler test edilerek işlevsellikleri kanıtlanmalı ve prosedür kapsamında görevlendirilmiş personelin görevlerini benimsemeleri sağlanmalıdır. Ekmeğini tuştan çıkaran kız! 14
  • 15. Bilişim Sistemleri Güvenliği Yöneticisi ve Personel İstihdamı Güvenlik Yöneticisi • EKS ve Bilişim Sistemleri yöneticisine genel itibari ile “Bilişim Sistemleri Güvenliği Yöneticisi” unvanı atanmaktadır. Kişinin liderlik ve yönetimle sağlıklı bilgi alışverişini sağlayacak bir yapıda olmasına özen gösterilmelidir. • EKS ve Bilişim Sistemleri’nin kapasitesine göre de yardım bir personele ihtiyaç duyup duymayacağı belirlenmelidir. Ekmeğini tuştan çıkaran kız! 15
  • 16. Bilişim Sistemleri Güvenliği Yöneticisi ve Personel İstihdamı Personel Sürekliliği Kritik altyapı sistemi çalıştıran kurumlarda sistem yöneticilerinin ve güvenlik yöneticisinin kurum adına üstlendikleri ve yönettikleri riskler göz önünde bulundurularak uygun koşullarda istihdam edilmeleri büyük önem arz etmektedir. • Sözleşmeler • Personelin profesyonel hayatı için ona sunulan imkanlar • Sosyal hayatını destekleyici durumlar Ekmeğini tuştan çıkaran kız! 16
  • 17. Bilişim Sistemleri Güvenliği Yöneticisi ve Personel İstihdamı Personel Yetiştirilmesi Ve Eğitimi Kritik altyapı sistemi çalıştıran kurumlarda sistem yöneticisi ve güvenlik yöneticilerinin kurum adına kurum içi/kurumlar arası/yurt içi/yurt dışı eğitimlerine gönderilerek bilgilerinin güncel ve eğitim seviyelerinin yüksek tutulması büyük önem arz etmektedir. Ekmeğini tuştan çıkaran kız! 17
  • 18. Dokümantasyon Politika Dokümanı İlgili kurumlar, belirtilen önlemlerin her biri ile ilgili değerlendirmelerini ve bu önlemleri kurumlarında nasıl uyguladıklarını açıklayan bir politika dokümanı oluşturmalıdır. Ekmeğini tuştan çıkaran kız! 18
  • 19. Dokümantasyon Kayıtların Yönetilmesi • Önlemlerin uygulanması sırasında oluşması beklenen kayıtları oluşturmalı ve saklamalıdır. • Kayıtların bir kısmının elektronik ortamda, bir kısmının ise basılı olarak oluşturulmalı ve saklanmalıdır. • Kayıtlar delil niteliğinde olup, sadece kurum yöneticisi ve bilişim sistemleri güvenliği yöneticisi tarafından okunabilir ve hiç bir kurum çalışanı tarafından değiştirilemez olmalarıdır. Ekmeğini tuştan çıkaran kız! 19
  • 20. Bilgi Güvenliği Olaylarına Müdahale Bilişim sistemlerinin güvenliği ve iş sürekliliği öncelikle teknik bir konu olarak ele alınsa da kasıtlı olarak yapılan yetkisiz işlem ve zarar vermelerin hukuka aykırılık oluşturduğu akıllardan çıkarılmamalıdır. Dolayısı ile sebep olan faillerin ve delillerin tespiti açısından hukuka aykırı durumun yetkili güvenlik güçlerine ivedilikle iletilmesi ve sistem müdahalelerinin koordine ve işbirliği içerisinde yürütülmesi için prosedürler oluşturulmalıdır. Kısacası kurum içerisinde Siber Olaylara Müdahale Ekibi (SOME) oluşturulmalı ve gerekli prosedürler yazılı olarak tutulmalıdır. Ekmeğini tuştan çıkaran kız! 20
  • 22. Sorular Ekmeğini tuştan çıkaran kız! rumeysabozdemir@gmail.com rumeysabzdmr rumeysabzdmr goo.gl/xDcEFH Bilişimci Kız www.rumeysabozdemir.com 22