Tem 23

COBIT Denetimleri Açısından Bilgi Güvenliği

ITIL - COBIT Yorum Yok »

Hepimizin bildiği gibi, Bilgi Güvenliği bilginin korunmasını amaçlar. Peki, Bilgi nasıl korunur? Bilginin korunması için bütünlüğü (integrity), gizliliği (confidentiality) ve erişilebilirliliği (availability) özelliklerinin her zaman sağlanıyor olması gerekir. Bilginin üretilmesinden imha edilmesine kadar geçen süreçte güvenliğinin sağlanması için BT Güvenliği, Yedekleme, Fiziksel Güvenlik vb kontrollerinin de devreye alınmış olması gerekmektedir. Bu açıdan bakıldığında BT Güvenliği, Bilgi (Veri) Güvenliği'nin sağlanması için etkenlerden sadece bir tanesidir.

Kurumlar verilerinin güvenliğini sağlamak için BT altyapılarına çeşitli güvenlik ürünleri (Firewall, IPS vb) konumlandırmakta, sızma testleri ve zaafiyet analizleri yaptırmaktadırlar. Yasal düzenlemelere ve standartlara uyum için düzenli periyotlarda denetlenen firmalar, denetlemeye hazırlanırken çoğu zaman bu teknik ayrıntıların içinde kaybolup gitmekte Bilgi Güvenliği ve Bilgi Teknolojileri Güvenliği kavramlarını birbirine karıştırmaktadırlar.

Denetimlerde başarılı olmak için sadece en uygun teknolojiyi konumlandırmak yeterli değildir. Güvenlik denetimlerine denetim açısından bakmak gerekmektedir. Denetimde en temel konu, üründen ziyade Bilgi Güvenliği'nin nasıl yönetildiğidir. Denetlenen kurum, mevcut verilerini değerlendirmiş / sınıflandırmış / önceliklendirmiş ve varlıklar için tehdit-risk-kontrol matrisi oluşturarak gerekli kontrolleri devreye almış olmalıdır. Bu kontroller Firewall, IPS gibi teknolojilerinin yanısıra kontrollü giriş kapıları, kapalı devre tv sistemi gibi fiziksel güvenlik öğelerini de içermelidir. Ayrıca, verilerine erişim için gerekli süreçleri etkin bir şekilde işletiyor olması gerekmektedir.

COBIT Bilgi Güvenliği Denetimleri için yukarda bahsettiğimiz konuların kırılımlarını aşağıdaki kontrol listesinde bulabilirsiniz:

Bilgi Güvenliği Yönetimi

  • Bilgi Güvenliği Politikası, İş Stratejisi'ne uygun mudur?
  • Yönetim Kurulu onaylı bir Bilgi Güvenliği Politikası var mıdır? Paydaşlara duyurulmuş mudur?
  • Mevcut bilgi güvenliği durumu Yönetim ve iş Birimleri'ne iletilmekte midir?
  • BT Varlıkları için varlık değerlendirmesi/sınıflandırması/önceliklendirilmesi yapılmış mıdır?

Bilgi Güvenliği Planı

  • Güvenlik Planı, Standartları, Prosedürleri, Klavuzları var mıdır?
  • Yasal Mevzuat ve iş gereksinimlerine uygun mudur?
  • Bilgi Güvenliği Farkındalık Eğitimleri yapılmakta mıdır?

İnsan Kaynakları Yönetimi

  • İş başlangıcı öncesi gerekli kontroller yapılmakta mıdır? (sicil, referans vb)
  • Tüm kullanıcılarla "Bilgi Gizliliği Anlaşmaları", "Uyum ve Şifre Taahhütnameleri" imzalanmış mıdır?
  • Kullanıcıların politika, standartlara ve diğer dokümanlara uyacağını ifade ettiği kullanıcı beyanı mevcut mudur?

Kimlik Yönetimi

  • Kullanıcı aktivitelerini izlemek için altyapı var mıdır?
  • Sistemlerde her kullanıcı için ayrı hesap tanımlanmış mıdır?
  • Tanımlı kullanıcı hakları "En Az Haklar Prensibi"ne uygun mudur?
  • Erişim taleplerini karşılayan yetkilendirme standartları/klavuzları var mıdır? Süreç nasıl işletilmektedir?
  • Kullanıcı parolaları nasıl belirlenmekte, iletilmekte, saklanmaktadır?

3. Taraf kullanıcı hesapları nasıl yönetilmektedir?

Kullanıcı Hesapları Yönetimi

  • İş Başlangıcı, İşten Ayrılma ve Transfer süresinde kullanıcı hesapları nasıl kontrol edilmektedir?
  • Kullanıcı yetkilendirme kılavuzları mevcut mudur?
  • Erişim hakları, Veri Sahibi tarafından mı verilmiştir? Mevcut haklar, düzenli aralıklarla Veri Sahibi tarafından gözden geçirilmekte midir?
  • Ayrıcalıklı kullanıcı hesapları nasıl yönetilmektedir?
  • Ayrıcalıklı Hesap Parolaları nasıl korunmaktadır?
  • Uygulama kullanıcı hesapları nasıl yönetilmektedir?
  • Geçici kullanıcı hesapları nasıl yönetilmektedir?
  • Tanımlı erişimler için "Erişim Hakları Prosedürü" var mıdır? Etkinliği nasıl ölçülmektedir?
  • Kullanıcı bilgisayarlarındaki yönetici hakları kontrol edilmekte midir?
  • Uzaktan erişim hakları düzenli olarak gözden geçirilmekte midir?
  • Mevcut profiller iş ihtiyaçlarına uygunluk açısından periyodik aralıklarla kontrol edilmekte midir?

Güvenlik Teknolojilerinin Korunması

  • Güvenlik ürünleri (yazılım, donanım, altyapı) ve dokümanları nasıl korunmaktadır?

Kriptografik Anahtar Yönetimi

  • Kriptografik anahtarlar kullanılmakta mıdır?
  • Kullanılmakta olan kriptografik anahtarlar nasıl korunmaktadır?

Veritabanı ve Yazılım Güvenliği

  • Veritabanlarındaki bilgilerin güvenliği nasıl sağlanmaktadır?
  • Veritabanı betiklerinin (DDL, DML) çalıştırılmadan önce gözden geçirilmesi ve onay süreci var mıdır?
  • Yazılım geliştirme sürecinde güvenlik kontrolleri var mıdır? Nasıl uygunlanmaktadır?
  • Üretim ortamına aktarılacak sürümün kaynak kodları gözden geçirilmekte midir?

Zararlı Yazılımları Engelleme, Tespit ve Düzenleme

  • Yazılım lisans yönetimi nasıl yapılmaktadır?
  • Lisanssız yazılım kullanımını engellemek için alınan önlemler nelerdir?
  • Sunucu ve istemci sistemleri için zararlı kodlar için antivirus yazılımı kurulmuş mudur? Periyodik olarak zararlı kod taraması yapılmakta mıdır?
  • Antivirus yazılımının güncellemeleri nasıl yapılmaktadır?
  • Sunucu ve istemci işletim sistemlerinin güncellemeleri nasıl yapılmaktadır?
  • Güncellemeler nasıl yapılmaktadır? Test ortamı mevcut mudur?
  • Yüklenen uygulamalar ve güncellemeler için kayıt tutulmakta ve ilgililerine raporlanmakta mıdır?

Ağ Güvenliği

  • Ağa içeriden ve dışarıdan yapılan erişimleri yetkilendirmek, izlemek ve kontrol etmek için kullanılan güvenlik araçları (FW, IDS, ADS, IPS, Network Segmentation) nelerdir? Bunlar nasıl yönetilmektedir?
  • Ağ cihazlarının (router, firewall) yönetimi süreci nasıl işlemektedir? Talepler nasıl iletilmekte, onaylamaktadır?
  • Tanımlı kurallar nasıl yönetilmektedir? Talep/Onay mekanizması var mıdır? Geriye dönük takip edilebilmekte midir?
  • Cihaz kuralları yedeklenmekte midir? Yedekler nasıl saklanmaktadır?
  • Uzaktan erişim için kullanılan teknolojiler ve prosedürler nelerdir?
  • Kablosuz ağ bağlantısı var mıdır? Var ise nasıl yönetilmektedir?
  • Her sene periyodik olarak sızma ve saldırı testi gerçekleştirilmekte midir?

Hassas Verilerin İletimi

  • Hassas verinin sadece güvenli ortam ve kanallardan iletilmesi sağlanmakta mıdır? İletilen hassas verinin bozulmadığı, gönderenin kimliğinden emin olma, alıcının kimliğinden emin olma ve inkar edilemezlik şartları nasıl sağlanmaktadır?
  • Hangi verinin hassas olduğuna ve güvenli iletilmesi gerektiğine nasıl karar verilmektedir?
  • Hassas veri iletimini düzenleyen bir doküman bulunmakta mıdır?
  • Elektronik Mesajlaşma ve Şifreleme Prosedürü bulunmakta mıdır?
  • Gizli bilgi transferinin hangi kanallardan yapılacağını açıkça belirlemiş midir?
  • Şifreleme stratejisinin yönetimi uygun personelle sınırlandırılmış mıdır?

Güvenlik Olayı Tanımlaması

  • Güvenlik olayları tanımlanmış mıdır?
  • Güvenlik ihlal olayları nasıl toplanmakta, iletilmekte, kayıt altına alınmakta, eskale edilmekte ve gerekli aksiyon alınması sağlanmaktadır?
  • Acil Durum nasıl tanımlanmakta ve yönetilmektedir? Acil Durum Müdahale Ekibi var mıdır?

Fiziksel Güvenliği Sağlanması

  • Sistem odası giriş kapısı sürekli kapalı mı tutulmakta, erişim kontrollü olarak sağlanmakta mıdır?
  • Sistem Odası giriş talepleri için nasıl bir süreç işletilmektedir?
  • Sistem odalarına girişler yetkili personel ile kısıtlanmış mıdır? Nasıl kontrol edilmektedir?
  • Bakım, temizlik, kurulum vb amaçlarla Sistem Odası'na giren tedarikçiler için nasıl bir süreç işletilmektedir?
  • Sistem Odası giriş yetkileri ve kayıtları düzenli olarak gözden geçirilmekte midir?
  • Sistem Odası'ndaki cihazların sağlıklı çalışması için gerekli önlemler alınmış mıdır
  • Klima sistemi, Yangın söndürme cihazları, ısı sensörü var mıdır? Kontrolleri ve bakımları yapılmakta mıdır? Kayıtları var mıdır?
  • Sistem Odası'nın yeri hangi kriterlere göre seçilmiştir? Örneğin; deprem riski varsa, yapı güçlendirilmesi yapılmış mıdır?
  • Su baskını için yükseltilmiş tavan, nem ölçer var mıdır?
  • Hırsızlık vb için CCTV sistemi, güvenlik görevlisi vb var mıdır?
  • Fiziksel Güvenlik Kontrolleri otomatize edilmiş midir?

İş Sürekliliğinin Sağlanması ve Bilginin Yedeklenmesi

  • YK onaylı İş Sürekliliği Planı var mıdır? Gerekli roller belirlenip düzenli aralıklarla test edilmekte midir? Sonuçları ilgililerine raporlanmakta mıdır?
  • Bilgi-Veri Sınıflandırması ve İş Etki Analizleri'ne göre yedekleme ve geri dönüş süreleri belirlenmiş midir?
  • Kritik bilgilerin yedekleri şifreli olarak alınmakta mıdır?
  • Alınan tüm yedeklerin güvenliği nasıl sağlanmaktadır?
  • Yedekler için geri dönüş testleri yapılmakta mıdır?

Bilginin İmha Edilmesi

  • Bilginin imha edilmesi için yazılı prosedürler var mıdır? İşletilmekte midir?

Güvenlik Testi, Gözetleme ve İzleme

  • Mevcut güvenlik uygulamalarının/süreçlerinin etkinliği nasıl ölçülmektedir?
  • Belirli aralıklarla Bağımsız Güvenlik Denetimi yaptırılmakta mıdır?
  • İç denetim tarafından periyodik denetim çalışmaları gerçekleştiriliyor mu?
  • İz kayıtlarının yönetilmesine ilişkin prosedür var mıdır? (izlenmesi, raporlanması, saklanması) Etkinliği için kanıt var mıdır?

Yazar ceyhun çamlı \\ tags: , ,

Oca 27

Bilgi Güvenliği ve Genel Güvenlik Kavramları III

Security Yorum Yok »

Auditing

Auditing (audit trial) network ve sistemler üzerindeki aktivitelerin bilgi amaçlı izlenmesi ve loglanmasıdır. Auditing ile ilgili olarak; sistemden silinen ya da değiştirilen dosyaların ne zaman ve kim tarafından yapıldığının kaydedilmesi (loglanması) gibi.

Sistem audit dosyalarının (logların) düzenli olarak izlenmesi gerekir. Aksi takdirde izlemenin bir anlamı olmaz. Sistem audit dosyaları erişime ve değiştirme atakların karşı bilgi verici olabilir.

Sertifikalar

Sertifikalar kimlik bilgilerini dijital olarak doğrulanmasını sağlayan sistemin bir parçasıdır. Sertifikalar dijital olarak imzalanmış bir bilgidir. Güvenilen bir sistem ya da organizasyon tarafından (certification authority-CA) düzenlenirler.

Authentication tabanlı sertifikalar (digital certificate) yetkilerini oluşturur. Örneğin smart kartlar tipik olarak sertifika kullanırlar. Sertifikalar farklı bilgiler içerebilir. Örneğin bir X.509 sertifikası sertifikanın numarasını ve kullanılan algoritmayı ve sertifikayı yayınlanan CA'nın adını içerir. Sertifikalar ayrıca "trust" oluşturmak için de kullanılırlar. Bu trust'lar CA tarafından doğrulanır.

Örneğin; Güvenli Web erişimi için SSL üzerinden iletişim kurmak için bir Web Server, browser'a kendisini tanıtması için sertifika sağlanır. Server'ın sertifikasının doğrulanmasının ardından SSL oturumu başlatılır.

CRL: Certificate Revocation List: Digital certificate revocations.

Certificate system: Authentication'dan sonra sertifika server'dan client'a verilir.

CA-Certification Authority

CA'lar digital imza sağlarlar ve makinelerin, kullanıcıların ve servislerin kimlik doğrulama işlemini gerçekleştirirler. CA'lar genellikle ticari bir servistir. Verisign ya da Thawte gibi. Bir CA bir kurum içinde de oluşturulabilir (Windows Server sertifika servisleri gibi.) Böylece server'a erişimin yasallığından söz edilebilir.

CA ayrıca yazılımların imzalanması için de kullanılırlar. Yazılımların indirilmesinde belirtilen şirketin sertifikası doğrulamayı (orijinal yazılım) sağlar. Ayrıca sertifikalar verilerin şifrelenmesinde de kullanılabilir. Ya da network protokolleri içinde de kullanılır. Örnek IPSec.

X.509 sertifikaları ise Web-based authentication ile sistemlere erişmek için, lokal bilgisayardaki verileri şifrelemek için ve directory servislerinde kullanılır. X.509 sertifikaları ayrıca Smart Cards, e-mailler'de digital signature kullanımı ve e-mail encrypting işlemlerinde de kullanılır.

X.509 Version 3 Certificate

 

Vulnerability Scanning (Zayıflık Taraması)

Vulnerability scanning (System Scanning) hem saldırganlar için hem de güvenlik uzmanları için önemlidir. Bu taramanın amacı zayıf servisleri ve işlemleri bulmayı amaçlar. Vulnerability scanning için çok sayıda araç vardır. En basit örneği Nmap aracıdır. Bu araç bir "port scanner"dır. Host üzerindeki çalışan servisleri listeler ve işletim sisteminin türünü döndürür. Böylece ne tür atak geliştirilebileceğine ilişkin karar verilir.

Diğer yandan Microsoft'un Security Baseline Analyzer aracı şirketin güvenliğini sağlamak üzere; patch'leri ve konfigürasyonları listeler.

Vulnerabilities Scanning ile; Güvenlik delikleri (hole), yolları (flaws) ve kötüye kullanımları (exploits) tespit edilir.

Vulnerability Scanners/Araçları

 

 

Test Yöntemleri

Sistemlerin güvenlik analizlerinde aşağıdaki üç teknik kullanılır:

• Assessments (vulnerability assessments, threat assessments veya risk assessments)

• Audit

• Penetration Testleri

Bu testler saldırganların sistemlerinize girerek zarar vermesini önlemek için güvenlik açıklıklarının belirlenmesi ve kapatılmasına yardım ederler. Bu testler, sürekli yeni açıklıklar keşfedildiği için belirli periyotlarla tekrarlanmalıdır. Güvenlik analizlerinin her aşamasında kurumunuzla işbirliği şarttır. Senkron, en uygun yöntemi belirlemekte size yardım eder.

Test yöntemleri sisteminizin aşağıdaki bileşenlerine uygulanır:

  • Public sunucular (web, dosya sunucuları),
  • Şirket içi sunucular(veri tabanları), network cihazları (router, switch, vb.),
  • Güvenlik mimarisi bileşenleri (firewall, proxy, erişim denetimi cihazları, vb.),
  • Uzaktan erişim cihazları (terminal, modem, vb.) ve genel amaçlı servisler için kullanılan paylaşımlı iş istasyonları.
  • Zayıflık Analizi (Vulnerability Analysis)

Amaç, sistemlerin güvenliğini incelemek, problemleri anlamak ve iyileştirmeleri belirlemektir. Sistemlerinizin taşıdığı riskler belirlenir ve bunların giderilmesi için önerilerde bulunulur. Bu yöntem, kurum güvenlik politikalarının belirlenmesine de yardım eder. Kullanılan test araçları yardımıyla bilinen güvenlik açıklıkları, konfigürasyon hataları, sistematik olarak araştırılır, sonuçlar ve öneriler detaylı olarak raporlanır.

Penetration Testleri

Bu testin amacı, sisteminizin güvenliğinin aşılabilir olup olmadığını belirlemektir. Muhtemel güvenlik delikleri belirlenir ve bunlardan birisinden sisteme girmeye çalışılır. Test sırasında tüm zayıflıkların bulunması yerine herhangi bir delikten sisteme girilmeye çalışılır. Dolayısıyla bu test zayıflık analizinden daha dar kapsamlıdır. Testte, kurumunuzun kullandığı teknolojiler incelenerek muhtemel açıklıklar belirlenir.

Daha sonra bu zayıflıklar kullanılarak sisteme girilmeye çalışılır. Penetration testinde iki metod kullanılır. Sistemleriniz önce kurum dışından test edilip, herkesçe bilinen bilgiler kullanılarak güvenlik aşılmaya çalışılır. Bu amaçla aşağıdaki testler yapılır:

Sistemin bileşenleri ve aralarındaki ilişkiler belirlenir.

  • HTTP, FTP, SMTP, DNS, vb. servislerdeki genel güvenlik açıklıklarının varlığı test edilir.
  • Network topolojisi, network bileşenlerinin yanlış konfigürasyonu ve kullanılan protokollerden kaynaklanabilecek açıklıkları belirlemek için testler yapılır.
  • Kurum networkünde bilinen backdoorlar olup olmadığını anlamak için testler yapılır
  • Kimlik doğrulama ve erişim denetimi servisleri test edilir
  • Kurum içinden yapılan testte ise iç kullanıcılarca bilinen bilgiler kullanılarak sistemin güvenliği test edilir. Bu amaçla;
  • Sistemde super user gibi bazı özel servislerin kullanıcılarının yetkileri elde edilmeye çalışılır,
  • Bazı işlemleri, ilgili yetki olmadan yapmak için testler yapılır.

Gereksiz Servisler, Protokoller ve İşlemler

Atakların işletim sistemlerin ve servislere (web server gibi) yapıldığı düşünülürse gereksiz servislerin disable edilmesi (pasif hale getirilmesi) doğru bir yaklaşım olacaktır. Bununla birlikte protokoller, prosesler de aynı şekilde sistemin zayıf yanlarını artırmaktadır.

NOT: Servislerin durdurulması ya da disable edilmesi bu servise dayanan (dependent) diğer servislerin de durmasına neden olur.

 

Güvenlik İle İlgili Kurumlar

National Security Agency/Central Security Service (NSA/CSS) : Department of Defense (DoD) tarafından kurulmuştur. Askeri amaçlıdır.

National Institute of Standards and Technology (NIST) : US devleti tarafından geliştirilmiştir. Daha önce National Bureau of Standards (NBS) adıyla çalışmıştır. NIST kriptografi standartları ve bu alanda sistem ve teknoloji geliştirmektedir.

American Bankers Association (ABA) : Bankacılık ve finansal alandaki güvenlik düzenlemeleriyle ilgilidir.

Internet Engineering Task Force (IETF) : Network teknolojileri konusunda çalışmaktadır.

Internet Society (ISOC) : Internet uzmanlarının birliği.

World Wide Web Consortium (W3C) : WWW standartlarıyla ilgili kurum.

Comité Consultatif International Téléphonique et Télégraphique (CCITT) : Telekomünikasyon ve iletişim alanında çalışan bir kurum.

International Telecommunications Union (ITU) : Telekomünikasyon ve radyo iletişimi alanında çalışan kurum.

Böylece bilgi güvenliğine giriş niteliği taşıyan ve üç makaleden oluşan bu seriyi tamamlamış olduk. Umarım yararlı olmuştur.

Kaynaklar:

http://secret-epedemiology-statistic.org.ua/1587052091/ch01lev1sec3.html

http://www.passwindow.com/security.html

http://www.owasp.org/index.php/Man-in-the-middle_attack

http://smt-info.com/distributed-denial-of-service-attack-twitter-facebook-google-and-livejournal.html

http://www.linuxfocus.org/Turkce/March2003/article282.shtml

http://www.zeroshell.net/eng/kerberos/Kerberos-operation/

http://web.interhack.com/publications/wiinfosec_cia.php

http://www.cse-cst.gc.ca/tutorials/english/section3/m2/s3_2_9_1.htm

http://en.wikipedia.org/wiki/Access_control

http://en.wikipedia.org/wiki/Authentication

http://en.wikipedia.org/wiki/Mandatory_access_control

Yazar ceyhun çamlı \\ tags: , , , , ,

Şub 18

Bilgi Güvenliği Açısından Erişim Kontrolü

Genel, Security Yorum Yok »

 Bir kurumda bilgi güvenliğinin sağlanması adına, uygulanması ve uyulması gereken en önemli maddelerden biri olan erişim kontrolünün hangi açıdan bakarsanız mutlaklık içeren maddelerden oluştuğunu görebilirsiniz. Erişim kontrolünü etkin ve efektif olarak uygulamak, başta veri kaybı olmak üzere birçok konuda daha güvenli bir yapıda olmanızı sağlayacaktır.

Erişim kontrolü bilgiye erişimin denetlenmesi, bilgi sistemlerine yetkisiz erişimin engellenmesi, yetkisiz kullanıcı erişimine izin verilmemesi, hizmetlerin korunması, yetkisiz işlemlerin tespit edilmesi ve uzaktan çalışma ortamlarında bilgi güvenliğinin sağlanması gibi kritik konuları kapsamaktadır. Bu denli kritik bir konuda güvenliğin sağlanması için aşağıdaki maddeler göz önünde bulundurulmalıdır;

Erişim Kontrolü İçin İş Gereksinimleri

Erişim Kontrolü Politikası

  • Erişimle ilgili iş ve güvenlik ihtiyaçları göz önünde bulundurularak erişim denetimi politikası oluşturulmuş ve belgelenmiş olmalıdır.

  • Erişim denetimi hem fiziksel, hem işlevsel boyutları ile değerlendirilmiş olmalıdır.

  • Erişim denetimi politikası bütün kullanıcılar veya kullanıcı grupları için erişim kurallarını ve haklarını açıkça belirtiyor olmalıdır.

  • Kullanıcılara ve servis sağlayıcılarına erişim denetimiyle hangi iş gereksinimlerinin karşılanacağı iyice açıklanmış olmalıdır.

  • Politika belgesi şu konuları içermelidir; her bir iş sürecinin güvenlik ihtiyaçları, iş süreçleri ile ilgili tüm bilgiler ve bu bilgilerin yüz yüze olduğu riskler, bilginin yayılması ve yetkilendirme ile ilgili politikalar, bilginin sınıflandırılması, güvenlik seviyeleri ve "gerektiği kadar bilme" prensibi, farklı sistem ve ağlardaki bilginin sınıflandırılması ve erişim denetimine ilişkin politikaların tutarlı olması, bilgiye erişimle ilgili olarak kontratlardan ve yasal yükümlülüklerden kaynaklanan şartların yerine getirilmesi, kurumun yaygın kullanıcı profilleri ile ilgili erişim hakları ve Erişimin talep edilmesi, yetkilendirilmesi ve yönetilmesi görevlerinin birbirinden ayrılması.

  • Erişim haklarının "Yasaklanmadıkça her şey serbesttir" değil "İzin verilmedikçe her şey yasaktır" prensibine göre verilmesine dikkat edilmelidir.

Kullanıcı Erişiminin Yönetilmesi

Kullanıcı Kaydı

  • Bilgi sistemlerine ve servislerine erişim hakkı vermek için resmi bir kullanıcı kaydı girme ve kullanıcı kaydı silme prosedürü olmalıdır.

  • Sistem kayıtları ile ilişkilendirme ve sorumlu tutulabilme açısından kullanıcı kimliklerinin her kullanıcı için farklı olmasına dikkat ediliyor olmalıdır.

  • Bilgi sistemini ve servisini kullanabileceğine dair sistem sahibi kullanıcıya yetki vermiş olmalıdır.

  • Verilen erişim hakkı kurumsal güvenlik politikasına ve görevler ayrılığı ilkesine uygun olmalıdır.

  • Kullanıcılara erişim hakları ile ilgili yazılı belge veriliyor ve kullanıcılardan erişim şartlarını anladıklarına ilişkin imzalı belge alınıyor olmalıdır.

  • Görevi değişen veya kuruluştan ayrılan personelin erişim hakları derhal güncellenmelidir.

Ayrıcalık Yönetimi

  • Ayrıcalıkların kullanımı sınırlandırılmış ve denetleniyor olmalıdır.

  • Ayrıcalıklar "kullanması gereken" prensibine göre ve resmi bir yetkilendirme süreci sonunda verilmelidir.

Kullanıcı Parola Yönetimi

  • Kullanıcı parolalarının atanması ya da değiştirilmesi resmi bir prosedür uyarınca yapılmalıdır.

  • Kullanıcılara parolalarını saklı tutacaklarına dair bir anlaşma imzalatılmalıdır.

Kullanıcı Erisim Haklarının Gözden Geçirilmesi

    • Kullanıcı erişim haklarının düzenli aralıklarla kontrol edilmesini sağlayan resmi bir süreç olmalıdır.

    Kullanıcı Sorumlulukları
     

    Parola Kullanımı

    • Kullanıcı parolalarının seçilmesi ve kullanılması ile ilgili güvenlik tedbirleri uygulanmalıdır.

    • Sistem tarafından geçici olarak verilen parolaların kullanıcı tarafından sisteme ilk girişte değiştirilmesi sağlanmalıdır.

    • Kullanıcılar zor kırılacak parolalar seçmeleri konusunda bilinçlendirilmiş olmalıdır.

    • Kişisel parolaların hiç kimse ile paylaşılmamasına, yazılı veya elektronik ortamlarda kaydedilmemesine dikkat edilmelidir.

    • Kullanıcılar düzenli aralıklarla veya sistem güvenliği ile ilgili bir kuşku oluştuktan sonra parolalarını değiştirmeye zorlanmalıdır.

    • Kullanıcılar kişisel işlerinde kullandıkları parolaları kuruluşun iş süreçlerinde kullanmamaları gerektiği konusunda bilinçlendirilmiş olmalılardır.

    Gözetimsiz Kullanıcı Ekipmanı

    • Atıl cihazlara ait güvenlik gereksinimlerinden, bu cihazları koruma prosedürlerinden ve bu cihazları korumak için üzerlerine düşen sorumluluklardan kullanıcıların ve iş ortaklarının haberleri olmalıdır. (İşi biten kullanıcıların bilgisayarını kapatması ve şifreli ekran koruyucuların kullanılması gibi)

    Temiz Masa ve Temiz Ekran Politikası
     

    • Kuruluş kağıt ve taşınabilir elektronik depolama ortamlar ile ilgili olarak temiz masa politikası uygulamalıdır.

    • Kuruluş bilgi veya bilgi işlem araçları ile ilgili olarak temiz ekran politikası uyguluyor olmalıdır.

    • Hassas bilgileri içeren kağıt ve elektronik depolama ortamlarının kullanılmadığı zaman kilitlenmesi, bilgisayar başından kalkarken personelin oturumunu kapaması veya ancak parola ile açılabilen ekran koruyucu vb. önlemleri devreye sokması, gelen/giden postaya erişim noktalarının ve faks cihazlarının denetlenmesi, fotokopi makinesi, tarayıcı, sayısal fotoğraf makinesi gibi kopyalama teknolojilerinin yetkisiz olarak kullanılmaması ve hassas bilgi içeren dokümanların yazıcı üstünde bırakılmaması konularına özen gösterilmelidir.

    Ağ Erişim Kontrolü

    Ağ Hizmetlerinin Kullanılması İle İlgili Politikalar

    • Kullanıcıların sadece kullanma yetkisine sahip oldukları ağ servislerine erişebilmesi sağlanmış olmalıdır.

    • Ağlar ve ağ servisleri ile ilgili olarak şu konuları düzenleyen politikalar uygulanıyor olmalıdır; kimin hangi ağlara ve ağ servislerine erişebileceğini belirlemek için yetkilendirme prosedürü tanımlanmış olmalıdır, ağ bağlantılarını korumak ve ağ servislerine erişimi engellemek için yönetim denetimleri ve süreçleri belirlenmiş olmalıdır.

    Harici Bağlantılar İçin Kullanıcı Kimliği Doğrulaması

    • Sisteme dışarıdan yapılacak kullanıcı bağlantıları için kullanıcı kimliği doğrulama mekanizmaları uygulanmalıdır. (Kripto tabanlı teknikler veya klasik "challange- response" mekanizmaları ile çözülebilir. VPN çözümleri de bu teknikleri kullanmaktadır.)

    Ağlarda Cihaz Kimliği Belirleme

    • Bağlantının belli bir cihaz kullanılarak yapıldığından emin olmak için otomatik cihaz kimliği belirleme yöntemleri kullanılıyor olmalıdır.

    Uzaktan Tanı ve Yapılandırma Portu Koruma

    • Yönetim ve yapılandırma portlarına fiziksel ve işlevsel erişimi denetleyen bir güvenlik mekanizması olmalıdır.

    Ağlardaki Ayrım

    • Bilgi sistemi üstündeki kullanıcı ve  servisler gruplara ayrılmış olmalıdır.

    • Kurumun ağı dahili ve harici etki alanlarına bölünmüş olmalıdır.

    • Etki alanları kurumun erişim kontrol politikası ve erişim ihtiyaçları uyarınca oluşturulmuş olmalıdır.

    • Etki alanları sınır güvenliği sistemleri ile korunmalıdır.

    • Telsiz ağların diğer ağlardan ayrılması ile ilgili olarak çalışma yapılmış olmalıdır.

    Ağ Bağlantı Kontrolü

    • Kurum sınırlarının dışına taşan ağlar ve ağ bağlantılarının kullanımı, kurumun erişim kontrol politikası uyarınca kısıtlanmış olmalıdır.

    • Elektronik mesaj, tek veya çift yönlü dosya aktarımı, interaktif erişim, bağlantı zamanı ve süresi ile ilgili kısıtlamalar getirilmiş olmalıdır.

    Ağ Yönlendirme Kontrolü

    • Ağ yönlendirme kontrolleri, bilgisayar bağlantılarının ve bilgi akışının erişim politikasına uygun gerçekleşmesini sağlayacak şekilde tanımlanmış olmalıdır.

    • Ağ iletişimi kaynak adres ve hedef adreslere bağlı olarak güvenlik duvarı vb. cihazlar aracılığı ile kontrol ediliyor olmalıdır.

    İşletim Sistemi Erişim Kontrolü

    Güvenli Oturum Açma Prosedürleri

    • Oturum açma işlemleri yetkisiz erişim olasılığını asgari düzeye indirecek şekilde düzenlenmiş olmalıdır.

    • Sistem ve uygulamaya ilişkin olarak yetkisiz kullanıcıya yardımcı olabilecek bilgiler oturuma giriş başarıyla tamamlanana kadar gizlenmelidir.

    • Bilgisayarda sadece yetkili personel tarafından erişilebileceğini bildiren uyarı mesajı gösterilmelidir.

    • Oturuma giriş sadece tüm girdi verilerinin doğrulanmasından sonra sağlanmalıdır.

    • Bir hata durumu varsa sistem verinin hangi kısmının doğru veya yanlış olduğu bilgisini gizlemelidir.

    • Sistem tarafından izin verilen başarısız giriş denemelerine sınırlama getirilmiş olmalıdır.

    • Oturuma giriş işlemi için zaman sınırı olmalıdır.

    • Başarısız giriş denemeleri kaydedilmelidir.

    • Ağ üstünden şifrenin açık olarak gönderilmemesi sağlanmalıdır.

    Kullanıcı Kimlik Tanımlama ve Doğrulama

    • Gerektiğinde sistem kayıtlarının incelenmesi ve bir işlemin sorumlusunun bulunabilmesi açısından her bir kullanıcıya kendine özgü bir kullanıcı kimliği verilmiş olmalıdır.

    • Sistem yöneticilerine ait kullanıcı kimlikleri birbirinden faklı olmalıdır.

    • Kurum bünyesinde kullanılan kullanıcı tanımlama ve yetkilendirme mekanizmaları iş gereklerine uygun olmalıdır.

    Parola Yönetim Sistemi

    • Kurum bünyesinde kullanılan belirli bir parola yönetim sistemi olmalıdır.

    • Parola yönetim sistemi şu özelliklere sahip olmalıdır; kullanıcıları bireysel parolaların kullanımına zorluyor olmalıdır, kullanıcıların kendi parolalarını seçmelerine ve değiştirmelerine izin veriyor olmalıdır, kullanıcıyı kuvvetli parola seçmeye zorlamalıdır, kullanıcıyı belli zamanlarda parolasını değiştirmeye zorlamalıdır, sisteme ilk girişte geçici parolayı değiştirmeye zorlamalıdır, eski parolaları hatırlayarak tekrar kullanılmalarına engel olmalıdır, parolalar ağ üstünden gönderilirken ve saklanırken kriptolama gibi yöntemlerle korunuyor olmalıdır.

    Yardımcı Sistem Programlarının Kullanımı

    • Sistem araçlarının sistem özelliklerini ve uygulama programlarının yetkilerini aşarak ekstra işlemler yapmadığı kontrol ediliyor olmalıdır.

    Oturum Zaman Aşımı

    • Kullanılmayan oturumlar tanımlı bir süre sonunda kapatılmalıdır.

    Bağlantı Süresinin Sınırlandırılması

    • Kurum dışından veya halka açık alanlardan yüksek riskli uygulamalara erişim durumunda bağlantı süresi kısıtlanmalıdır.

    • Kullanıcı belli aralıklarla kimliğini tekrar doğrulamaya zorlanıyor olmalıdır.

    Uygulana ve Bilgi Erişim Kontrolü

    Bilgi Erişimi Kısıtlaması

    • Erişim kontrolü politikası uyarınca kullanıcılar ve destek personeli için bilgi sistemleri fonksiyonları ve bilgilerine erişim kısıtlanmış olmalıdır.

    • Kullanıcıların bilgiyi yazma, okuma, silme veya çalıştırma hakları düzenlenmelidir.

    Duyarlı Sistem Yalıtımı

    • Uygulamanın duyarlılığı uygulama sahibi tarafından açıklanmış ve belgelenmiş olmalıdır.

    • Duyarlı bilgilerin bulunduğu sistemler diğer sistemlerden izole edilmelidir. (Kendisine ait bilgisayarda çalıştırılması, ayrı ağ bölmesine yerleştirilmesi, ağ kaynaklarının ayrılması, sadece gerekli uygulamalar ile iletişim kurulması vb. İzolasyon fiziksel veya işlevsel olarak gerçekleştirilebilir.)

    Mobil Bilgi İşleme ve Uzaktan Çalışma

    Mobil Bilgi İşleme ve İletişim

    • Dizüstü bilgisayar, cep bilgisayarı, cep telefonu, akıllı kartlar vb. mobil bilgi işlem ve iletişim araçlarının kullanılmasından kaynaklanan risklerden korunmak için benimsenmiş bir politika ve uygulanmakta olan güvenlik önlemleri olmalıdır.

    • Mobil bilgi işlem politika belgesi fiziksel koruma, erişim denetimi, kriptografik denetimler, yedekleme ve virüs koruması konularını içermelidir.

    • Mobil bilgi işlem araçlarının halka açık yerler, toplantı odaları gibi korumasız ortamlarda kullanılması sırasında yetkisiz erişime ve bilginin açığa çıkmasına karşı kriptografik tekniklerin kullanılması gibi önlemler alınıyor olmalıdır.

    • Hırsızlığa karşı önlemler alınıyor olmalıdır.

    • Hassas bilgi içeren araçların başıboş bırakılmamasına özen gösterilmelidir.

    Uzaktan Çalışma

    • Uzaktan çalışma faaliyetleri için organizasyonun güvenlik politikasına uygun plan ve prosedürler geliştirilmiş olmalıdır.

    • Uzaktan çalışmanın yapılacağı yerde ekipman ve bilginin çalınmasına, bilgiye yetkisiz erişim yapılmasına, kuruluşun dahili sistemlerine uzaktan yetkisiz erişime ve bilgi işlem araçlarının kötüye kullanılmasına engel olmak için uygun önlemler alınmış olmalıdır.

    Yazar ceyhun çamlı \\ tags: , , , ,