Kurumsal ve Operasyonel Güvenlik

Bilgi güvenliğine ilişkin bütün çalışmalar şirketlerin bilgi varlıklarının korunabilmesi ve bir felaket durumunda gerekli kurtarma işlemlerini ve iş sürekliliğinin sağlanması içindir. Bu çalışmaların düzenli bir şekilde yürütülmesi için çeşitli kurumsal faaliyetlerin yapılması gerekir.

1Fiziksel Güvenlik

Fiziksel güvenlik, bilgi güvenliğinde özellikle bilgisayar sistemleri ve network aygıtlarının olası fiziksel risklere karşı korunmasıdır. “İlk güvenlik aşaması” olarak değerlendirilen fiziksel güvenlik; sistem odalarına girişi, sistemlere zarar vermeyi ve sistemi alıp götürmeye kadar birçok riski ya da tehditi içerir. Onun dışında başta doğal afetler olmak üzere çok sayıda risk yine fiziksel güvenlik içinde kontrol edilir.

 Fiziksel Güvenliğin sırası;


Tipik fiziksel güvenlik tehditleri:

  • Vandalizm
  • Sabotaj
  • Elektrik Kesintisi
  • Çevresel koşullar
  • Su baskını
  • Doğal felaketler
  • Zehirli maddeler
  • Aşırı sıcak ve nem
  • Duman
  • Taşınma, vb…

1.1 Fiziksel Güvenlik Önlemleri

 Fiziksel güvenlik için gerekli çalışmalar üç ana gruba ayrılır:

  1. Yönetimsel Kontroller (Administrative controls)
  2. Fiziksel Kontroller
  3. Teknik Kontroller

1. Yönetimsel kontroller binanın seçimi, inşaatı, gerekli düzenlemeler, personelin kontrolü, kaçış prosedürleri, sistemin kapatılması ve özel durumlar olduğunda (donanım hatası, terör saldırısı vb) yapılacak eylemleri içerir.

2. Fiziksel kontroller kapıların kontrolü, kilitler, kartlar, kapı güvenliği, vb konuları içerir.

3. Teknik kontroller ise fiziksel erişim kontrolü, izleme sistemleri, izinsiz giriş ve alarm sistemleri, yaygın dedektör ve önleme sistemleri, disklerin yedeklenmesi, UPS ve HVAC (heating / ventilation / air conditioning) gibi işlemleri içerir.

1.2 Yönetimsel Kontroller

Acil durum prosedürlerini (emergency) ve personel giriş/çıkışını içerir. Yönetimsel kontroller şu konuları içerir:

  • Personel kontrolü
  • Tesislerin planlanması
  • Tesislerin güvenliği

Personel kontrolü, personelin insan kaynakları tarafından işe alınmasından önce personel hakkında yapılacak çalışmalarla başlar. Bu amaçla referansları kontrol edilir, geçmişi araştırılır, vb… Bu çalışmalar personel çalışırken ve işten ayrıldıktan sonra da devam eder.

1.3 Fiziksel Kontroller

Fiziksel güvenlik önlemleri yetkisiz kullanımları, veri hırsızlığını ve diğer riskleri karşılayacak önlemleri içerir. Fiziksel kontroller arasında bariyerler, parmaklıklar, güvenlik görevlileri, vb bileşenler yer alır.

  • Ortamın/Çevrenin kontrolü
  • Yerin Kontrolü
  • Giriş/Çıkışın kontrolü

1.4 Ortamın/Çevrenin Kontrolü

Sistem odasındaki bilgisayar sistemleri çok sayıda riske maruz kalabilir. Bunların içinde ortam koşulları ve sistemlerin zarar görmesini sayabiliriz.

 Ortamı etkileye faktörler:

  • Isı
  • Nem
  • Elektronik sorunlar

Tipik fiziksel kontrol elemanları:

Güvenlik görevlisi: Güvenlik görevlisinin yaptığı kontroller. Özellikle giriş çıkışın denetlenmesi gibi.

Köpek: Özellikle çevrenin kontrolü için kullanılır.

Kapı/Parmaklık: Sahanın korunmasına yardımcı olur.

Bariyerler: En kolay giriş kontrol sistemidir. Fiziksel güvenlik standartları şirket server’larına erişimde en az üç bariyer sistemini zorunlu kılar.

Tailgating: Yetkili birinin ardına takılarak giriş yapılan giriş. Kuyruğa takılma olarak bilinir.

Dumpster Diving: Çöp toplama. Çıktılar, kullanıcı adı, parola, IP adresleri, CD, DVD, vb bilgisayar artıklarının toplanması.

Kapan (insan kapanı): İnsan kapanı bir giriş sistemidir. Bir kapı kapanmadan diğeri açılmaz.

Işıklandırma: Giriş ve park alanlarının ışıklandırılması.

Kilitler: Çeşitli kilitlerle kapılar düzenli olarak kilitlenir. Kilit türlerini seçimi gibi konular önemlidir. Örneğin çeşitli key pad kilitler.

Çeşitli kilitleme tipler vardır. “punch code entry” olarak bilinen kilitlere “Cipher lock” denir.

1.5 Teknik Kontroller

Teknik kontrollerde çeşitli aygıtlar ve araçlar kullanılır.

  • Smart kartlar
  • Biometrik aygıtlar.
  • Kapalı devre TV
  • Shielding (wireless’lerin dışarı çıkışını engellemek)

1.6 Yangın Kontrolleri

Elektronik aygıtların olduğu yerde en önemli risklerden birisi yangındır. Bu nedenle gerekli yangın söndürme önlemlerinin alınması gerekir.

 Yangın sınıfları:

  • A sınıfı
  • B sınıfı
  • C sınıfı
  • D sınıfı

A Sınıfı yangınlar: Katı madde yangınlarıdır. Ağaç, kağıt vb. Su ve soda asitlerle söndürülür.

B Sınıfı yangınlar: Yanabilir nitelikteki sıvıların yanmasıyla oluşan yangınlardır. Örneğin petrol ve ürünler. Genellikle halon karbondioksit ve soda asit ile söndürülür.

C Sınıfı yangınlar: Elektronik aygıtların ve kabloların yanmasıyla oluşan yangınlardır. Genellikle halon karbondioksit ve soda asit ile söndürülür.

D Sınıfı yangınlar: Yanabilir nitelikleri olan metallerin yandığı yangınlar.  Genellikle kuru tozlar kullanılarak söndürülür.

1.7 Risk Yönetimi

Risk yönetimi olası risklerin tanımlanması, değerlendirilmesi ve hafifletilmesini (mitigation) amaçlayan bir çalışmadır. Bilgi güvenliğinde; bilgi varlığının ve tehlikelerinin tanımlanmasını içerir.

Risk yönetiminin adımları:

  • Risk assessment (risk değerlendirme)
  • Risk mitigation (risk azaltma)
  • Sonuçların değerlendirilmesi

1.8 Risk Değerlendirme

Risk Yönetimi, olası zarar ve ziyandan korunmak için çalışmalar yapmayı içerir. Bu anlamda organizasyonun bilgi varlığını korumak için ne tür kontrollere gereksinim duyduğu ortaya çıkarılır.

1.8.1 Risk Değerlendirme Adımları

Risk değerlendirme işleminde sektörce benimsenmiş şu adımlar yer alır:

Adım 1: Sistem Karakteristikleri (System Characterization)

Adım 2: Tehditlerin Tanımlanması (Threat Identification)

Adım 3: Zayıflıkların Tanımlanması (Vulnerability Identification)

Adım 4: Kontrol Analizleri (Control Analysis)

Adım 5: Olasılıkların Belirlenmesi (Likelihood Determination)

Adım 6: Etki Analizi (Impact Analysis)

Adım 7: Risk Tanımlama (Risk Determination)

Adım 8: Kontrol Önerileri (Control Recommendations)

Adım 9: Sonuç Dökümantasyonu (Results Documentation)

1.8.2 System Characterization (Sistem Karakteristikleri)

 Sistem karakteristikleri sistemlere ilişkin bilgilerin toplanmasını kapsar. Bu aşamada sistemin çalışma ortamı tanımlanır.

 Sistem bilgileri:

  • Donanım ve yazılım
  • Sistemin bağlantıları
  • Veriler
  • Destek ve yönetim personeli
  • Sistem ve verilerin önemi ve kritiklik derecesi

1.8.3 Threat Identification (Tehditlerin Tanımlanması)

Bu aşamada tehditler tanımlanır. Bir tehdit bir zayıflık (vulnerability) üzerinde olası zarar verebilecek bir unsudur. Sistemler her yönüyle değerlendirilerek tehditler tanımlanır. Tehditlerin tanımlanmasında tehditlerin kaynağı, nedenleri ve olası eylemleri saldırı türleriyle birlikte göz önünde bulundurulur. Örneğin saldırganın, ego’sal motivasyon ile sosyal mühendislik türünde saldırılar yapması.

1.8.4 Vulnerability Identification (Zayıflıkların Tanımlanması)

Sistem açıklarını ve zayıflıklarını ortaya koymak. Bu aşamada çeşitli araçlar ve teknikleri kullanılabilir:

  • Vulnarability Scanning
  • Penetresyon testleri

1.8.5 Control Analysis (Kontrol Analizleri)

Kontrol analizleri zayıflıkların minimize edilmesi için yapılan çalışmaların kontrol edilmesini kapsar.

1.8.6 Likelihood Determination (Olasılıkların Belirlenmesi)

Zayıflığın kullanılması ve tehditin olması olasılığı hesaplanır. Sonuç “yüksek”, “orta” ve “düşük” olarak belirlenir.

1.8.7 Impact Analysis (Etki Analizi)

Etki analizi yaşanan aksaklıkların etkisi belirlenir. Bu etki bildiğimiz CIA unsurlarının kaybı ile ifade edilir. Sonuç “yüksek”, “orta” ve “düşük” olarak belirlenir.

Kavram

Açıklama

Confidentiality

Bilgilerin yalnız yetkili kişi tarafından kullanılması demektir. Bu anlamda izinsiz erişimlerin engellenmesi gerekir.

Integrity

Bilginin gerçek, değiştirilmemiş, bozulmamış ve güvenilir olduğunun sağlanmasıdır. Aynı zamanda bilgi kaynanğının uygun zamanda uygun kişi tarafından değiştirilmesini sağlar. Böylece kritik bilgilerin yanlışlıkla ya da isteyerek değiştirilmesi ya da bozulması engellenir.

Availability

Veri ya da bilgiye, yetkililer tarafından her yerden her zaman erişilebilir.

1.8.8 Risk Determination (Risk Tanımlama)

Bu aşamada sistemin risk düzeyi değerlendirilir. Risk belli bir tehdit/zayıflık bağlamında açıklanır. Sonuç “yüksek”, “orta” ve “düşük” olarak belirlenir.

1.8.9 Control Recommendations (Kontrol Önerileri)

Bu aşamada önerilen kontrol yöntemleriyle risk azaltılır (risk mitigation). Bu öneriler genellikle bir güvenlik politikası kuralları şeklindedir.

1.8.10 Results Documentation (Sonuç Dokümantasyonu)

Risk değerlendirme işlemi tamamlandıktan sonra sonuçlar kurumsal bir raporla açıklanır. Risk sonuç dokümantasyonu genellikle analize ilişkin bilgiler içerir.

 1.8.11 Risk Belirlemede Kullanılan Hesaplama Tekniği

Varlıklar tanımlandıktan sonra risk olasılığının tanımlanması gerekir. Örneğin donanımların depremden zarar görme olasığı nedir? Bir riskin bir yıl içinde gerçekleşmesi “Annualized Rate of Occurrence (ARO)” değeriyle hesaplanır.

Annualized Rate of Occurrence (ARO): Riskin yıl içinde gerçekleşme sayısı/oranı.

Risk için ARO değeri hesaplandıktan sonra ilgili varlıklar için parasal kayıp hesaplanır. Örneğin; Server yanarsa yenisinin alınma maliyeti, ayrıca gerekli servis ücretleriyle server yenilenir. Bu durumda yıllık kayıbın (Annual Loss Expectancy-ALE) hesaplanması için ARO ve Single Loss Expectancy (SLE) değeri hesaplanır.

Örneğin 5,000 dolar maliyetli server’ın bozulma olasılığı 3 yılda 1 kere ise 1/3 (%30) ise ve servis ücreti için 1,000 gerekiyorsa

ALE= ARO x SLE

ALE=.30 * 6,000  = 1,800 dolar.

1.9 İş Sürekliliği

İş Sürekliliği (Business Continuity) herhangi bir felaket durumunda organizasyonun fonksiyonlarının sürekliğini sağlamak için kullanılan kurumsal bir sistemdir. Günümüzde özellikle kritik iş fonksiyonlarını düşünürsek iş sürekliliği oldukça önemli bir hale gelmiştir.

İş sürekliliği içinde risk yönetimi, felaketten kurtarma gibi işlemleri içerir. İş sürekliliği için dünyada BS 25999 gibi kalite standartları geliştirilmiştir. Bu standart, bir iş sürekliliği yönetimi (BCM) sistemi geliştirmeyi ve sistemli bir şekilde kullanılmasını gerektirmektedir.

1.9.1 İş Sürekliği Planı

İş sürekliliği planı şunları içerir:

  • Disaster Recovery Plan: Felaket olduğunda kurtarma planları
  • Business Recovery Plan: İş fonksiyonlarının devam ettirilmesine ilişkin planlar.
  • Business Resumption Plan: Kritik sistemlerin ve ana fonksiyonların devam ettirilmesine ilişkin planlar.
  • Contingency Plan: Normal iş fonksiyonlarına geri dönmek için ne gibi işlemlerin yapılacağını içerir.

1.9.2 Felaketten Kurtarma (Disaster Recovery)

“Felaketten Kurtarma” kritik sistemlerin, verilerin ve diğer bilgilerin geri kazanılmasına ilişkin politika ve prosedürlerdir. İyi bir kurtarma işlemi, kurtarma planı (disaster recovery plan) ile yapılır.

Bir kurtarma planının özellikleri ve içindekiler şunlardır:

  • Kurtarmanın minimum gecikme ile sağlanması
  • Zararın genişlemesini engellemek
  • Yedek sistemlerin sağlamlığının garantisi
  • Personel eğitimi
  • Test planları için standartlar

1.9.3 Alternatif Siteler

Felaket olduğunda organizasyon geçici olarak işini devam ettirmesi gerekir. Bu durumda yeni bir yere gereksinim duyulur. Bu yere “Alternatif site”denir.

Hot Site : Tüm fonksiyonların hemen devam ettirilebildiği bir yer. Telefon hatları, donanım, yazılım, vb… Örneğin sürekli güncellenen şirket server’ların burada bulundurulması.

Warm site: Gerekli donanım ve yazılıma kısmen sahiptir. Faaliyetlerin kısmen devamını sağlar.

Cold site: Birçok işlemin yeniden yapılmasını gerektirir. Kurulumlar, network, vb.

1.10 Güvenlik Politikası

Güvenlik politikaları organizasyonların bilgi varlığını korumak için hazırladıkları yazılı belgelerdir. Güvenlik politikaları bilginin nasıl korunacağına ilişkin kural ve prosedürleri içerir.

Güvenlik politikası ayrıca organizasyon yönetiminin güvenlik kurallarına uyduğunu belirten bir yazılı bildirimdir.

Güvenlik politikaları genellikle şunları içerir:

  • Bilgi güvenliğinin tanımı ve kapsamı
  • Güvenlik standardı olarak hedefler
  • Politikaların ve kuralların özet olarak açıklanması
  • Güvenliğin sağlanmasındaki görev ve sorumluluklar

Politikanın kapsamı organizasyonun bilgi güvenliğine verdiği önemi belirtir. Bu alandaki tanımlar ve organizasyona ilişkin açıklamalar yapılır.

Hedefler bölümünde güvenlik önlemlerinin amaçları belirtilir. Örneğin saldırılara karşı korunma ve olası zararları minimuma indirmek gibi.

Kuralların özetlenmesi bölümünde, ana kurallar ve prosedürler kısaca açıklanır.

Görev ve sorumluklar bölümünde ise kullanıcılar ve diğer personele yönelik sorumluluklar belirtilir.

Kaynaklar

 http://en.wikipedia.org/wiki/Risk_management

http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf

http://en.wikipedia.org/wiki/Business_continuity_planning

http://www.itil-itsm-world.com/itil-8.htm

http://www.bcm-institute.org/bcmi/

http://www.disaster-recovery-guide.com/