Hazine Müsteşarlığı - Bilgi Güvenliği Yol Haritası

Download Report

Transcript Hazine Müsteşarlığı - Bilgi Güvenliği Yol Haritası 

HAZİNE MÜSTEŞARLIĞI
BİLGİ GÜVENLİĞİ YOL HARİTASI
BİLİŞİM TEKNOLOJİLERİ DAİRESİ
Fatih ÇAKMAKCI
Sunum Planı
1. Hazine Müsteşarlığı Bilgi Güvenliği Bileşenleri
•
•
Teknolojik Güvenlik Çalışmaları
Kavramsal Güvenlik Çalışmaları
2. Güvenlik – Kullanılabilirlik  Ölçüyü Tutturmak
•
•
Kullanılabilirlik – Güvenlik dengesi
Kullanım bilgileri
3. BGYS - Bilgi Güvenliği Yönetim Sistemi
•
•
Tanımlar
Risk Yönetimi
4. Olağanüstü Durumlarda Etki Derecesi Yüksek Riskler
•
•
Kavramsal Riskler
Teknolojik Riskler
5. Öneriler – Sıkça Sorulmayan Sorular
2
Hazine Müsteşarlığı - Bilgi Güvenliği Yol Haritası - Bilişim Teknolojileri Dairesi
Soru
Standartlardan önce bilgi güvenliği yok muydu?
3
Hazine Müsteşarlığı - Bilgi Güvenliği Yol Haritası - Bilişim Teknolojileri Dairesi
Hazine Müsteşarlığı Bilgi Güvenliği Bileşenleri
(1)
1996 - 2000
• UTP-CAT5e kablolama
• Güvenlik Duvarları, AntiVirüs sistemleri
• “RADIUS ve Mobile-OTP-token” kartlar ile dosya transferi
• “NT” etki alanı yapısı; Merkezi kimlik doğrulama,
• Yedekli ağ omurgası ve yenilenmiş ağ donanımı
2001 - 2004
• Kullanıcı Aktif Dizin veritabanı
• Güvenli masaüstü ve “WAN-VPN” erişimleri
• Terminal sunucu (ICA/RDP) ve ince istemciler
• Sanal uygulama yayımı (ICA_AP)
• Saldırı tespit sistemi (IDS)
• Sayıştay’ın bilgi sistemleri denetimi (2003)
• Etki alanı içinde kök sertifika sunucusu ve güçlendirilmiş
kimlik doğrulama için “e-token” sayısal sertifika
• TUBİTAK-UEKAE Bilgi Güvenliği Değerlendirmesi (2004)
4
Hazine Müsteşarlığı - Bilgi Güvenliği Yol Haritası - Bilişim Teknolojileri Dairesi
Hazine Müsteşarlığı Bilgi Güvenliği Bileşenleri
(2)
2005 - 2010
5
•
Bilgi Güvenliği Politikası (BGP) hazırlıkları
•
Bilgi Güvenliği Yönetim Komitesi’nin (BGYK) kurulması (2007)
•
Bilgi Güvenliği Politikasının Yayınlanması (2008)
•
BGP’nın tüm personelce imzalanarak teslim alınması (2009)
•
Avrupa Birliği Denetçileri, İç Denetçiler
•
Olağanüstü Durum Yönetim Merkezi’nde anında yedekleme
•
İklimlendirme ve KGK altyapısının yenilenmesi/yedeklenmesi
•
Erişim katmanındaki ağ donanımlarının 802.1x standardına
uyumlu olarak yenilenmesi
•
STS den saldırı korunma sistemlerine geçiş
•
Müsteşarlığımız 2009-2013 stratejik planında (Hedef 5.4)
BGYS, ITIL sertifikasyonu ve CMMI kullanımının yer alması.
Hazine Müsteşarlığı - Bilgi Güvenliği Yol Haritası - Bilişim Teknolojileri Dairesi
Hazine Müsteşarlığı Bilgi Güvenliği Bileşenleri
BİLİŞİM TEKNOLOJİLERİ GÜVENLİĞİ
- Aktif Dizin Kullanıcı Veritabanı
- Etki Alanı Kök Sertifika Sunucusu
- eAnahtar ve Sayısal Sertifika
- İki fazlı Kimlik Doğrulaması
- Kayıt/Kontrol Yönetimi
- Grup Poliçeleri, tarih/saat değişmezliği
- ODYM ile anında yedekleme, Sanallaştırma
- Ağ/Sistem Erişim Kontrolleri
- Mobil imza, Güvenli Veri Transferi
- Güvenlik Duvarları, Güvenli Uzak Erişim
- Merkezi AntiVirüs, AntiSpam ...
- İçerik Denetimi ve Filtreleme
- Saldırı Tespit/Korunma Sis.
6
(3)
KAVRAMSAL BİLGİ GÜVENLİĞİ
- Bilgi Güvenliği Yönetim Sistemi
- BGYK kuruluşu
- BGP’nın yayınlanması
- Farkındalık eğitimleri ve BGYUK
- ….
- ….
- ….
Hazine Müsteşarlığı - Bilgi Güvenliği Yol Haritası - Bilişim Teknolojileri Dairesi
Soru
Önemli yatırımlar yapılan bilgi güvenliği ve internet
teknolojileri verimli kullanılıyor mu?
7
Hazine Müsteşarlığı - Bilgi Güvenliği Yol Haritası - Bilişim Teknolojileri Dairesi
GÜVENLİK - KULLANILABİLİRLİK  ÖLÇÜ
8
Hazine Müsteşarlığı - Bilgi Güvenliği Yol Haritası - Bilişim Teknolojileri Dairesi
GÜVENLİK - KULLANILABİLİRLİK  ÖLÇÜ
9
Hazine Müsteşarlığı - Bilgi Güvenliği Yol Haritası - Bilişim Teknolojileri Dairesi
Soru
Bilgi güvenliği ve kullanıcı MM bir arada olabilir mi?
10
Hazine Müsteşarlığı - Bilgi Güvenliği Yol Haritası - Bilişim Teknolojileri Dairesi
GÜVENLİK - KULLANILABİLİRLİK  ÖLÇÜYÜ TUTTURMAK
MEMNUNİYET
MAHREMİYET
MALİYET
KULLANABİLME
11
KİMLİK DOĞRULAMA
YETKİLENDİRME
HESAP YÖNETİMİ
KAYIT - KONTROL
GİZLİLİK
BÜTÜNLÜK
Hazine Müsteşarlığı - Bilgi Güvenliği Yol Haritası - Bilişim Teknolojileri Dairesi
BGYS - Bilgi Güvenliği Yönetim Sistemi - Tanımlar
• Bilgi; Verilerin ilişkilendirilerek kullanışlı ve
değerli hale gelmiş durumudur. Kurum
kimliği ve sürekliliği için değeri olan ve bu
nedenle uygun olarak korunması gereken bir
varlıktır.
• Bilgi Varlıkları; Kurumsal bilgiyi barındıran
veya kullanılabilir (erişilebilir) kılan,
insan/mekan, donanım/yazılım ve medya
• Bilgi Güvenliği; Bilgi varlıkları üzerindeki
açıklıkları kullanmaya yönelik çok geniş
yelpazedeki tehditlere karşı bilgi varlıklarının
korunması.
12
Hazine Müsteşarlığı - Bilgi Güvenliği Yol Haritası - Bilişim Teknolojileri Dairesi
BGYS - Bilgi Güvenliği Yönetim Sistemi
•
BGYS; Bilgi güvenliğini sağlamak için yapılan tüm
faaliyetleri kontrol eden; geliştirici, iyileştirici ve
yönlendirici iyi uygulamaların yaşam döngüsü (PUKÖ).
Risk  (Varlık, Açıklık, Tehdit)
– Risk sıfırlanamaz
– Bütün riskler göze alınamaz
RİSK YÖNETİMİ
Analiz: Varlık sınıflaması (gizlilik,bütünlük, kullanılabilirlik  değeri),
varlık envanteri, açıklıklar ve tehditler
Değerlendirme: Tehditlerin etki derecesi ve gerçekleşme olasılığı
Azaltma: Bilgi varlıklarının açıklarını kapatmak, tehditlere karşı
önlemler almak, test edip sonuçları değerlendirmek  PUKÖ
13
Hazine Müsteşarlığı - Bilgi Güvenliği Yol Haritası - Bilişim Teknolojileri Dairesi
Soru
Kamu BİM de BGYS sertifikası alınabilir mi?
14
Hazine Müsteşarlığı - Bilgi Güvenliği Yol Haritası - Bilişim Teknolojileri Dairesi
Version 3 January 2009
Copyright © 2009
ISO27k Implementers’ Forum
www.ISO27001security.com
ISMS policy
1. Get
management
support
0. Start
here
Records of
Management
Decisions
Business case
Risk
Assessment
Method/s
ISO/IEC 27002
3. Inventory
information
assets
2. Define
ISMS scope
Document
Control
Procedure
4a. Define risk
assessment
method/s
Risk
Assessment
Report/s
4b. Conduct
information
security risk
assessments
5a. Prepare
Statement of
Applicability
5b. Prepare
Risk
Treatment
Plan
6. Develop
ISMS
implementation
program
Records of
ISMS
Management
Review
9. ISMS operational
artifacts
IS
Policies
Report
Security logs
etc.
8. Information
Security
Management
System
PDCA cycle
(one of many)
Guidelines
10.
Compliance
review
Report
Compliance &
audit reports
etc.
Report
Awareness
&
Report
training
attendance &
test reports etc.
Project plan
Plan project
Standards
Procedures
RTP
ISMS scope
Inventory
IS Procedures
SOA
11. Corrective
actions
Project plan
Plan project
Internal ISMS
Audit proc
Preventive
Action
Procedure
Develop
Internal ISMS
Audit Plan
7. ISMS
implementation
program
Corrective
Action
Procedure
ISMS Operating
Procedures
Records Control
Procedure
12. Precertification
assessment
Key
Mandatory
document
ISO/IEC 27001
13.
Certification
audit
Controls
Documentation
Information
Security Metrics
ISO/IEC 27001
certificate
14. Party
on!
ISO/IEC
standard
PLAN
DO
ACT
CHECK
Soru
Gerçekleşme olasılığının düşük olduğu varsayılan, ancak
etki derecesi yüksek riskler,
göz ardı edilebilir mi?
16
Hazine Müsteşarlığı - Bilgi Güvenliği Yol Haritası - Bilişim Teknolojileri Dairesi
Olağanüstü Hallerde Etki Derecesi Yüksek Riskler
• Kavramsal Riskler
• BGYS için gereken kritik birimlerin ve
organizasyonun kurulamaması
• Bilgi İşlem Merkezlerinin, kurum
organizasyondaki konumu
• BİM personeli istihdam politikaları
• Kullanıcılar ve alışkanlıkları
• Teknolojik Riskler
• Dışa bağımlı teknoloji kullanımı
• Donanımlar ve işletim sistemlerindeki riskler
• Sürekli değişen, gelişen ve artan
tehditler/talepler
17
Hazine Müsteşarlığı - Bilgi Güvenliği Yol Haritası - Bilişim Teknolojileri Dairesi
Öneriler – Sorular
•
•
18
Öneriler
•
Kamu’da BİM personeli istihdam politikalarının ve Bilgi
Teknolojileri Birimlerinin, uyulması beklenen uluslararası
standartlara göre yeniden yapılandırılması
•
Yurtiçinde geliştirilen bilişim teknolojileri ürünlerinin
güvenliğini yükseltecek kısa ve orta vadeli politikaların
geliştirilmesi ve bu ürünlerin hayata geçmesi
Sıkça Sorulmayan Sorular
•
İşletim sistemleri beta halindeyken mi satılıyor?
•
Yeni sürüm kullanılması zorunlu mu?
•
Güvenlik donanımları/yazılımları güvenli mi?
•
Doğal felaketlere karşı alternatif(siz) miyiz?
•
Güvenlik sorunlarının kaynağı nedir?
Hazine Müsteşarlığı - Bilgi Güvenliği Yol Haritası - Bilişim Teknolojileri Dairesi
Dinlediğiniz için teşekkürler…
19
Hazine Müsteşarlığı - Bilgi Güvenliği Yol Haritası - Bilişim Teknolojileri Dairesi