3. Erişim KontrolüBir bilgi işlem sistemine hangi
kullanıcının,hangi haklarla erişebileceğinin ve bu
sistem üzerinde hangi işlemleri yapmaya yetkin
olduğunun belirlenmesi ve yönetilmesidir.
Erişim Kontrolünün uygulanması sayesinde,
yalnızca yeterli yetkiye sahip olan kullanıcıların
sisteme ve üzerindeki veriye erişmesi sağlanır.
Erişim kontrolü ilkeleri belirlenirken iki temel
gereksinim dikkate alınmalıdır:
Görevlerin Ayrılması
Mümkün Olan En Az Yetki
4.
5. Bu ilkeye göre, belli bir süreci gerçekleştirmek için
birden çok kullanıcı görevlendirilir.
Görevlerin ayrılmasını gerçekleştirmek üzere yapılacak
ilk şey, yapılacak islerin adımlarının belirlenmesidir.
Bu ilkenin uygulanması ile, bir sürecin bastan sona
kontrolünün tek bir kişinin elinde olması engellenmiş
olur.
Görevlerin ayrılması ile, süreci kişisel kazanç haline
dönüştürmek için birden fazla kişinin işbirliği
gereklidir. Böylece güvenlik ihlali olasılığı azaltılmış
olur.
Çünkü birden çok kişinin güvenliği ihlal etme olasılığı,
bir kişinin ihlal etme olasılığına göre çok düşüktür.
6. Sistemde bulunan süreçler ve kullanıcılar, sistem
kaynaklarına erişirken, kendilerine atanmış görevlerini
gerçekleştirmelerine yetecek kadar yetkiye sahiptirler.
Örneğin ,veritabanından raporlama amacıyla veri çeken
bir sürecin, veritabanının sadece raporu oluşturacak
olan tablolarında yalnızca “Okuma” yetkisine sahip
olması yeterlidir.
Örneğin, başka bir tabloda yazma yetkisi ile Erişim hakkı
tanımlamak, “Mümkün Olan En Az Yetki” ilkesine
aykırıdır. Bu ilke “Bilmesi Gereken” ilkesi olarak da
bilinir.
7.
8. Erişim Kontrolünün yeterince yapılamamasının sonucunda,
temel güvenlik gereksinimleri olan, Gizlilik, Bütünlük,
Elverişlilik gereksinimleri yeterince karşılanamaz hale gelebilir.
Veriye/Programlara, yetkisi olmayan kişilerin ya da süreçlerin
erişmesi durumunda, Gizlilik İlkesi ihlal edilir.
Veriye/Programlara,yetkisiz olarak erişen kişiler bu
veri/programları kişisel kazanç sağlamak amacıyla değiştirebilir,
silebilir ya da yenilerini ekleyebilir. Bu durumda Bütünlük
İlkesi ihlal edilmiş olur.
Programlara yetkisiz olarak erişen kişiler, programların çalışma
şeklini değiştirebilir. Eriştikleri programların bilgisayar ağı
üzerindeki band genişliğini doldurarak başkalarının erişmesini
engelleyebilir. Eriştikleri sisteme yerleştirdikleri zaman
bombalarını ya da diğer zararlı kodları(virüs, casus program,
truva atı…vb) faaliyete geçirerek sistemi çalışmaz hale
getirebilirler. Bunun sonucunda Elverişlilik İlkesi ihlal edilmiş
olur.
9. Erişimi sınırlandırmaya yönelik önlemler üç
grupta incelenebilir:
Yönetimsel Önlemler
Teknik Önlemler
Fiziksel Önlemler
10. Yönetimsel önlemler kapsamında kurumun Erişim denetim
politikasının belirlenmesi ve bu politikanın uygulanmasına
yönelik işletim prosedürlerinin yazılması yer alır. Bu sayede,
kurum yönetiminin Erişim Denetimi üzerinde tam bir
kontrolü olması sağlanır.
Belirlenen kuralların uygulanabilir olmasında en önemli
etken, bu kurallara maruz kalacak olan personelin yeterli
eğitimden geçmesine dayanır. Tüm personel, Erişim
Denetimi konusunda yeterli eğitimi almalıdır.
Yönetimin gerekli görmesi durumunda, belirlenen kuralların
uygulanmasının etkinleştirilmesi amacıyla, idari ceza
yöntemlerine başvurulabilir. Bu tür yöntemlerin
uygulanmasında birincil amaç, personeli yanlışından dolayı
cezalandırmak değil,yönetimin politikaları konusundaki
kararlılığını personele iletmek olmalıdır.
11.
12. Tanıma Kullanıcının kimliğini sisteme beyan etmesidir.
Örneğin kullanıcı adını yazmak bir tanıma şeklidir. Bunun yanında
istasyon tanıma da web tabanlı bir uygulamada kullanılabilir.
Uygulamaya erişen kullanıcının yanında,
Erişimin gerçekleştirildiği bilgisayara ait bir özellik de (MAC adresi,
IP adresi, WINS ismi gibi) tanıma amaçlı olarak kullanılabilir.
Kimlik DoğrulamaKimlik doğrulama kullanıcının beyan
ettiği kişi olduğunu ispatlamasıdır. Kimlik doğrulama
amacıyla en sık karşımıza çıkan yöntem parola kullanımıdır.
Gmail ya da Yahoo’daki e-posta hesabımıza girerken ya da
cep telefonumuzu açarken sık sık karşımıza çıkar. Daha
genel olarak bakarsak üç tür kimlik doğrulama yöntemi
karşımıza çıkar
Bilinen bir şey ile
Sahip olunan bir şey ile
Biyolojik bir özellik ile
13.
14. Teknoloji Örnekler Açıklama Zayıf Yönleri
Bilinen bir şey Parola Kullanıcı bildiği bir Parolanın
parolayı sisteme beyan unutulması
eder Başkası tarafından
öğrenilmesi
Sahip olunan bir Jeton Kullanıcı kendisine tahsis Kullanılan cihazın
şey edilmiş cihazı kullanarak bozulması
sisteme kendini tanıtır
Akıllı kart Kullanılan cihazın
kopyalanması
Biyolojik bir Retina, Biyolojik özellik, daha Kullanıcının
özellik İris, önce sisteme biyolojik
Parmak izi, özelliğinin yanlış
El ayası, algılanması
Ses
Yüz şekli Kaydedilen örnek ile
karşılaştırılır
15. Genel olarak yukarıda bahsedilen yöntemlerden
yalnızca birinin kullanılmasıyla “Zayıf Kimlik
Doğrulama” gerçekleştirmiş oluruz.
Eğer bu yöntemlerden iki ya da daha fazlası bir
arada kullanılırsa “Güçlü Kimlik Doğrulama”
gerçekleştirilir. Kritik sistemlerde güçlü kimlik
doğrulama kullanılmalıdır.
Örnek olarak parola ve akıllı kart, jeton ve
parmak izi tanıma aynı anda kullanılabilir.
16.
17. Zayıf kimlik doğrulama yöntemi olan parola kullanımı,
en çok istismar edilen ve sistemde güvenlik boşluğu
yaratan bir yöntem olarak karşımıza çıkar. Parolasını
unutmak istemeyen kullanıcılar, sistemin izin vermesi
durumunda çok basit parolalar seçebilir (Örneğin, kendi
isimleri, doğum tarihleri…vb.)
Bu tür bir parolanın hatırlanmasının kolay olması
dışında bir yararı yoktur. Özellikle parola kırmaya
yönelik programlar, birkaç saat içerisinde basit bir
parolayı elde edebilirler. Önlem olarak parolaların belli
kurallara dayalı olarak yeterince karmaşık seçilmesi
sağlanmalıdır.
18.
19. Bir kullanıcının kimliğinin doğrulanmış olması, o
kullanıcının sistemdeki tüm kaynaklara erişebiliyor olması
anlamına gelmez. Bu nedenle her kullanıcının hangi yetkilere
sahip olduğunun, hangi sistem kaynaklarına hangi yetkilerle
erişeceğinin açık, net ve anlaşılır bir şekilde belirlenmesi ve
daha da önemlisi belirlenen yetkilerde yapılan geçici ve
kalıcı değişikliklerin sıkı bir sekilde takip edilmesi
gereklidir.
Yetkilendirme amacıyla kullanılabilecek yöntemler söyle
özetlenebilir:
İsteğe Bağlı Erişim Kontrolü: Erişim yetkisini veri sahipleri belirler.
Zorunlu Erişim Kontrolü: Tüm kaynaklara Erişim merkezi bir
noktadan belirlenir.
Aşağıda bu iki yöntemi de açıklayıcı örnekler verilmiştir!!!
20. İsteğe Bağlı Erişim
Denetimi
Kişi A Klasörü B Klasörü C Klasörü Yazıcı
Ahmet Okuma Silme Değiştirme Var
Bora Okuma Okuma Yazma Var
Ayşe Yazma Okuma Yazma Var
Zorunlu Erişim Denetimi
Kişi Yetki Seviyesi Tanımlanmış Yetki Seviyeleri Açıklama
Ahmet Tasnif Dışı Tasnif Dışı Halka açık belgelere erişim
yetkisi. Memur
kıdemindeki personel
Bora Gizli Gizli Şef, Müdür
Ayşe Gizli Çok Gizli Daire Bşk ve üstü personel
21. Yetkilendirme işleminin yapıldığı
yazılımlar ve bu yazılımların
veritabanları (Örneğin,Güvenlik Duvarı)
en az diğer kritik veri kadar iyi
korunmalıdır. Bu noktaların sistemin en
zayıf halkası durumuna gelmesi
engellenmelidir.
22. Sistemde gerçeklesen bir faaliyetin kaydıdır. İzleme kaydı
oluşturulması için, sistemin belirli faaliyetleri kaydetmek üzere
ayarlanması gerekir.
Sistem, Ağ Erişimi, Uygulama ve Kullanıcı Davranışlarının
İzlenmesi, Sistem Güvenliği için bir gereksinimdir. İzleme
kayıtları, periyodik olarak ya da ihtiyaç duyulduğunda gözden
geçirilerek, ard arda gelen faaliyetler incelenip bilgi güvenliği
ihlalleri tespit edilebilir.
Farklı detay seviyelerinde izleme yapılabilir. Az detay kullanmak,
izlenen sistemde olan faaliyetler için daha az bilgi verecek ancak
izleme kaydı verisi daha az yer kaplayacaktır.
Çok detaylı kayıt yapmak ise, sistemde gerçeklesen faaliyetler ile
ilgili daha net bilgi verecek, ancak izleme kaydı verisi çok daha
fazla yer kaplayacaktır.
23.
24. İzlemenin verimli yapılabilmesi ve doğru sonuç vermesi için,
tüm sistemlerin saatlerinin senkronizasyonu
gerçekleştirilmelidir.
Web tabanlı bir uygulamanın izleme kaydında, en az,
aşağıdaki bilgi bulunmalıdır:
Tarih/Saat
Kullanıcı adı
IP adresi
Uygulama modülü
Gerçekleştirilen işlem(okuma,yazma,değiştirme,silme…vb.)
Durum (başarılı/başarısız)
Etkilenen satır sayısı
25.
26. İzleme kayıtları saf veri (raw data) olarak incelenebileceği gibi,
incelenecek verinin yüksek miktarda olması durumunda, bir
raporlama aracı kullanılabilir.İzlemenin periyodik yapıldığı
durumlarda bu faaliyeti daha hızlı gerçekleştirebilmek amacıyla
standart rapor türleri belirlenerek işlem otomatize edilebilir.
Bunun yanında, bilgi güvenliği ihlallerinin daha hızlı takip
edilmesi ve cevap verilmesi gereken durumlarda izleme
kayıtları olusurken, gerçek zamanlı olarak analize tâbi
tutulabilir ve alarm durumlarında yetkili kişilere acil uyarı
iletilebilir.
Bir alarm durumuna örnek olarak, bir kullanıcı adıyla üst üste
25 kere yanlış parola denenerek sisteme girilmek istenmesi
verilebilir.
27. Yetkisiz veri Erişiminde son savunma noktası, erişilmek istenen verinin
şifrelenmesidir. şifreleme protokolü belirlenirken su noktalara dikkat
edilmelidir
Şifreleme Şemasının Belirlenmesi Şifreleme Algoritmaları,Anahtar
Boyları,Şifreleme Parametreleri…vb
Hangi Verinin Hangi Şifreleme Şeması İle Şifreleneceği Bu aşamada eldeki
veri, risk analizi sonucunda tasnif edilerek farklı gizlilik derecelerine farklı
şifreleme semaları atanabilir.
Şifreleme BaşarımıŞifrelemenin yapılması, sistemde yavaşlamaya yol
açabilir. Bu yavaşlama kabul edilebilir seviyenin altında olmalıdır.
Şifrelemenin YeriŞifreleme disk seviyesinde, dosya sistemi seviyesinde ya
da veritabanı seviyesinde yapılabilir.
Anahtar değişimiŞifrelemede kullanılan anahtarlar periyodik olarak
değiştirilmelidir.
Bunun yanında, sistemlere erişirken kullanılan kullanıcı adı ve parola
gibi bilgilerin doğrulanmak üzere, ağ üzerinden giderken şifrelenmesi de
bir gereksinimdir. Bir bilgisayar ağını dinlemek de geçen trafiğin analiz
edilerek bir takım Erişim Bilgilerinin elde edilmesi de çok kolaydır.
28.
29. Uygulama veya veriye uzaktan Erişimin denetimi kadar, bu
uygulama ve verinin bulunduğu bilgi işlem ortamlarına fiziksel
Erişimlerinde sıkı önlemlerle sınırlandırılması büyük önem taşır.
Bilgi işlem sistemlerinin bulunduğu mekanlara, isi olmayan
kişilerin girmesi kesinlikle yasaklanmalıdır.
Yetki seviyesi değişimlerinde,kurum içi atamalarda, ayrılan ve
yeni başlayan personel durumlarında, Erişim denetim listeleri
tekrar gözden geçirilmelidir. Eğer mümkünse, fiziksel Erişim
kontrollerinden birden fazlası aynı anda kullanılarak, kimlik
taklidinin önüne geçilmelidir.
Örneğin, Erişim yetkisi olan bir personel , Erişim yetkisi olmayan
bir personele kimlik kartını vererek bilgi işlem merkezine
girmesini sağlayabilir.
Sistemlerin Konsol Erişimleri en üst düzeyde sınırlandırılmalıdır.
Sistemlerin bulunduğu dolaplara, aktif ağ cihazlarına ve elektrik
panolarına Erişim sıkı kurallara bağlanmalıdır.
30.
31. Erişim kontrolünde, diğer bilgi güvenliği ile ilgili
alanlarda da olduğu gibi, tek bir önlem alarak bir sonuç
elde etmek ne yazık ki mümkün değildir.
Sistemlerimiz web tabanlı hale geldikçe, karşı karşıya
olduğumuz tehditler ve bunlara bağlı olarak da riskler,
acımasız bir sekilde artmaktadır. Bu nedenle,
derinlemesine güvenlik Erişim denetiminde temel
strateji olarak seçilmelidir.
Kurum içinden ya da dışından gelen saldırganlar, bilgi
güvenliği sınırlarını ihlal ettiklerinde, yetkisiz olarak
erişmek istedikleri sisteme ulasana kadar, birçok
engelle karşılaşmalıdırlar. Değerli bilgilerimizi kötü
niyetli kişilerden korumanın tek yolu budur.