Bilgi güvenliğine ilişkin bütün çalışmalar şirketlerin bilgi varlıklarının korunabilmesi ve bir felaket durumunda gerekli kurtarma işlemlerini ve iş sürekliliğinin sağlanması içindir. Bu çalışmaların düzenli bir şekilde yürütülmesi için çeşitli kurumsal faaliyetlerin yapılması gerekir.

 

Fiziksel Güvenlik

 

Fiziksel güvenlik, bilgi güvenliğinde özellikle bilgisayar sistemleri ve network aygıtlarının olası fiziksel risklere karşı korunmasıdır. “İlk güvenlik aşaması” olarak değerlendirilen fiziksel güvenlik; sistem odalarına girişi, sistemlere zarar vermeyi ve sistemi alıp götürmeye kadar birçok riski ya da tehditi içerir. Onun dışında başta doğal afetler olmak üzere çok sayıda risk yine fiziksel güvenlik içinde kontrol edilir.

 

Fiziksel Güvenliğin sırası;

 

 

 

Tipik fiziksel güvenlik tehditleri:

 

·         ·         Vandalizm

·         ·         Sabotaj

·         ·         Elektrik Kesintisi

·         ·         Çevresel koşullar

·         ·         Su baskını

·         ·         Doğal felaketler

·         ·         Zehirli maddeler

·         ·         Aşırı sıcak ve nem

·         ·         Duman

·         ·         Taşınma, vb.

 

 

Fiziksel Güvenlik Önlemleri

 

 

Fiziksel güvenlik için gerekli çalışmalar üç ana gruba ayrılır:

 

 

·         ·         Yönetimsel Kontroller (Administrative controls)

·         ·         Fiziksel Kontroller

·         ·         Teknik Kontroller

 

 

 

Yönetimsel kontroller binanın seçimi, inşaatı, gerekli düzenlemeler, personelin kontrolü, kaçış prosedürleri, sistemin kapatılması ve özel durumlar olduğunda (donanım hatası, teror vb) yapılacak eylemleri içerir.

 

 

Fiziksel kontroller kapıların kotrolü, kilitler, kartlar, kapı güvenliği, vb konuları içerir.

 

 

Teknik kontroller ise fiziksel erişim kontrolü, izleme sistemleri, izinsiz giriş ve alarm sistemleri, yaygın dedektör ve önleme sistemleri, disklerin yedeklenmesi, UPS ve HVAC (heating / ventilation / air conditioning) gibi işlemleri içerir.

 

 

Yönetimsel Kontroller

 

 

Yönetimsel kontroller personel, tesislerin ve aygıtların kullanımıyla ilgilidir. Acil durum prosedürlerini (emergency), personel giriş/çıkışını içerir. Yönetimsel kontroller şu konuları içerir:

 

 

·         ·         Personel kontrolü

·         ·         Tesislerin planlanması

·         ·         Tesislerin güvenliği

 

 

 

Personel kontrolü personelik işe alınsından önce personel hakkında yapılacak çalışmalarla başlar.Bu amaçla referansları kontrol edilir. Geçmişi araştırılır, vb. Bu çalışmalar personel çalışırken ve işten ayrıldıktan sonra da devam eder.

 

 

Fiziksel Kontroller

 

 

Physical güvenlik önlemleri yetkisiz kullanımları, veri hırsızlığını ve diğer riskleri karşılayacak önlemleri içerir. Fiziksel kontroller arasında bariyerler, parmaklıklar, güvenlik görevlileri, vb bileşenler yer alır.

 

 

• Ortamın/Çevrenin kontrolü
• Yerin Kontrolü
• Giriş/Çıkışın kontrolü

 

 

 

Ortamın/Çevrenin Kontrolü

 

 

Sistem odasındaki bilgisayar sistemleri çok sayıda riske maruz kalabilir. Bunların içinde ortam koşulları ve sistemlerin zarar görmesini sayabiliriz.

 

 

Ortamı etkileye faktörler:

 

 

·         ·         Isı

·         ·         Nem

·         ·         Elektronik sorunlar

 

 

 

Tipik fiziksel kontrol elemanları:

 

 

Güvenlik görevlisi: Güvenlik görevlisinin yaptığı kontroller. Özellikle giriş çıkışın denetlenmesi gibi.

Köpek: Özellikle çevrenin kontrolü için kullanılır.

 

Kapı/Parmaklık: Sahanını korunmasına yardımcı olur.

 

Bariyerler: En kolay giriş kontrol sistemidir. Fiziksel güvenlik standartları şirket server’larına erişimde en az üç bariyer sistemini zorunlu kılar.

 

Tailgating: yetkili birinin ardından takiple giriş. Tailgating ya da piggybacking olarak bilinir.

 

Dumpster Diving: Çöp toplama. Çıktılar, username, password, IP adresleri, CD, DVD, vb bilgisayar artıklarının toplanması.

 

Kapan (insan kapanı): İnsan kapanı bir giriş sistemidir. Bir kapı kapanmadan diğeri açılmaz.

 

Işıklandırma: Giriş ve park alanlarının ışıklandırılması.

 

Kilitler: Çeşitli kilitlerle kapılar düzenli olarak kilitlenir. Kilit türlerini seçimi gibi konular önemlidir. Örneğin çeşitli key pad kilitler.

 

Çeşitli kilitleme tipler vardır. “punch code entry” olarak bilinen kilitlere “Cipher lock” denir.

 

 

Teknik Kontroller

 

 

 

Teknik kontrollerde çeşitli aygıtlar ve araçlar kullanılır.

 

 

·         ·         Smart kartlar

·         ·         Biometrik aygıtlar.

·         ·         Kapalı devre TV

·         ·         Shielding (wireless’lerin dışarı çıkışını engellemek)

 

 

 

Yangın Kontrolleri

 

 

Elektronik aygıtların olduğu yerde en önemli risklerden birisi yangındır. Bu nedenle gerekli yangın söndürme önlemlerinin alınması gerekir.

 

 

Yangın sınıfları:

 

·         ·         A sınıfı

·         ·         B sınıfı

·         ·         C sınıfı

·         ·         D sınıfı

 

 

 

A Sınıfı yangınlar: Katı madde yangınlarıdır. Ağaç, kağıt vb. Su ve soda asitlerle söndürülür.

 

B Sınıfı yangınlar: Yanabilir nitelikteki sıvılar. Örneğin petrol ve ürünler. Genellikle halon. karbondioksit ve soda asit ile söndürülür.

 

C Sınıfı yangınlar: Elektronik aygıtların ve kabloların yandığı yangınlar. Genellikle halon. karbondioksit ve soda asit ile söndürülür.

 

D Sınıfı yangınlar: Yanabilir nitelikleri metallerin yandığı yangınlar.  Genellikle kuru tozlarla kullanılır.

 

 

Risk Yönetimi

 

 

Risk yönetimi olası risklerin tanımlanması, değerlendirilmesi ve hafifletmeyi (mitigation) amaçlayan bir çalışmadır. Bilgi güvenliğinde; bilgi varlığının ve tehlikelerinin tanımlanmasını içerir.

 

 

Risk yönetiminin adımları:

 

 

1) Risk assessment (risk değerlendirme)

2) Risk mitigation (risk azaltma)

3) Sonuçların değerlendirilmesi

 

 

 

Risk Değerlendirme

 

 

Risk Yönetimi, olası zarar ve ziyandan korunmak için çalışmalar yapmayı içerir. Bu anlamda organizasyonun bilgi varlığını korumak için ne tür kontrollere gereksinim duyuluğu ortaya çıkarılır.

 

 

Risk Değerlendirme Adımları

 

 

Risk değerlendirme işleminde sektörce benimsenmiş şu adımlar yer alır:

 

 

Adım 1: System Characterization

Adım 2: Threat Identification

Adım 3: Vulnerability Identification

Adım 4: Control Analysis

Adım 5: Likelihood Determination

Adım 6: Impact Analysis

Adım 7: Risk Determination

Adım 8: Control Recommendations

Adım 9: Results Documentation

 

 

System Characterization (Sistem Karakteristikleri)

 

 

Sistem karakteristikleri sistemlere ilişkin bilgilerin toplanmasını kapsar. Bu aşamada sistemin çalışma ortamı tanımlanır.

 

 

Sistem bilgileri:

 

 

·         ·         Donanım ve yazılım

·         ·         Sistemin bağlantıları

·         ·         Veriler

·         ·         Destek ve yönetim personeli

·         ·         Sistem ve verilerin önemi ve kritiklik derecesi

 

 

 

Threat Identification (Tehditlerin Tanımlanması)

 

 

Bu aşamada tehditler tanımlanır. Bir tehdit bir zayıflık (vulnerability) üzerinde olası zarar verebilecek bir unsudur. Sistemler her yönüyle değerlendirilerek tehditler tanımlanır. Tehditlerin tanımlanmasında tehditlerin kaynağı, nedenleri ve olası eylemleri saldırı türleriyle birlikte göz önünde bulundurulur. Örneğin saldırganın, ego’sal motivasyon ile sosyal mühendislik türünde saldırılar yapması.

 

 

Vulnerability Identification (Zayıflıkların Tanımlanması)

 

 

Sistem açıklarını ve zayıflıklarını ortaya koymak. Bu aşamada çeşitli araçlar ve teknikleri kullanılabilir:

 

 

·         ·         Vulnarability Scanning

·         ·         Penetresyon testleri

 

 

Control Analysis (Kontrol Analizleri)

 

 

Kontrol analizleri zayıflıkların minimize edilmesi için yapılan çalışmaların kontrol edilmesini kapsar.

 

 

Likelihood Determination (Olasılıkların Belirlenmesi)

 

 

Zayıflığın kullanılması ve tehditin olması olasılığı hesaplanır. Sonuç “yüksek”, “orta” ve “düşük” olarak belirlenir.

 

 

Impact Analysis (Etki Analizi)

 

 

Etki analizi yaşanan aksaklıkların etkisi belirlenir. Bu etki bildiğimiz CIA unsurlarının kaybı ile ifade edilir. Sonuç “yüksek”, “orta” ve “düşük” olarak belirlenir.

 

 

Risk Determination (Risk Tanımlama)

 

 

Bu aşamada sistemin risk düzeyi değerlendirilir. Risk belli bir tehdit/zayıflık bağlamında açıklanır. Sonuç “yüksek”, “orta” ve “düşük” olarak belirlenir.

 

 

Control Recommendations (Kontrol Önerileri)

 

 

Bu aşamada önerilen kontrol yöntemleriyle risk azaltılır (risk mitigation). Bu öneriler genellikle bir güvenlik politikası kuralları şeklindedir.

 

 

Results Documentation (Sonuç Dokümantasyonu)

 

 

Risk değerlendirme işlemi tamamlandıktan sonra sonuçlar kurumsal bir raporla açıklanır. Risk sonuç dokümantasyonu genellikle analize ilişkin bilgiler içerir.

 

 

Risk Belirlemede Kullanılan Hesaplama Tekniği

 

 

Varlıklar tanımlandıktan sonra risk olasılığının tanımlanması gerekir. Örneğin donanımların depremden zarar görme olasığı nedir? Bir riskin bir yıl içinde gerçekleşmesi “Annualized Rate of Occurrence (ARO)” değeriyle hesaplanır.

 

 

Annualized Rate of Occurrence (ARO): Riskin yıl içinde gerçekleşme sayısı/oranı.

 

 

Risk için ARO değeri hesaplandıktan sonra ilgili varlıklar için parasal kayıp hesaplanır. Örneğin server yanarsa yenisinin alınma maliyeti. Arıca gerekli servis ücretleriyle server yenilenir. Bu durumda yıllık kayıbın (Annual Loss Expectancy-ALE) hesaplanması için ARO ve Single Loss Expectancy (SLE) değeri hesaplanır.

 

 

Örneğin 5,000 dolar maliyetli server’ın bozulma olasılığı 3 yılda 1 kere ise 1/3 (%30) ise. Ayrıca servis ücreti 1,000 gerekiyorsa

 

 

ALE= ARO x SLE

 

ALE=.30 * 6,000  = 1,800 dolar.

 

 

İş Sürekliliği

 

 

İş Sürekliliği (Business Continuity) herhangi bir felaket durumunda organizasyonun fonksiyonlarının sürekliğini sağlamak diğer bir değişke kesilmemesini sağlamamak için kullanılan bir kurumsal sistemdir. Günümüzde özellikle kritik iş fonksiyonlarını düşünürsek artık kaçınılmaz bir faaliyet halini almıştır.

 

 

İş sürekliliği içinde risk yönetimi, felaketten kurtarma gibi işlemleri içerir. İş sürekliliği için dünyanın BS 25999 gibi kalite standartları geliştirilmiştir. Bu standart, bir iş sürekliliği yönetimi (BCM) sistemi geliştirmeyi ve sistemli bir şekilde kullanılmasını gerektirmektedir.

 

 

İş Sürekliği Planı

 

 

İş sürekliliği planı şunları içerir:

 

 

·         Disaster Recovery Plan: Felaket olduğunda kurtarma planları

·         Business Recovery Plan: İş fonksiyonlarının devam ettirilmesine ilişkin planlar.

·         Business Resumption Plan: Kritik sistemlerin ve ana fonksiyonların devam ettirilmesine ilişkin planlar.

·         Contingency Plan: Normal iş fonksiyonlarına geri dönmek için ne gibi işlemlerin yapılacağını içerir.

 

 

Felaketten Kurtarma (Disaster Recovery)

 

 

“Disaster recovery” kritik sistemlerin, verilerin ve diğer bilgileri geri kazanılmasına ilişkin politika ve prosedürlerdir. İyi bir kurtarma işlemi kurtarma planı (disaster recovery plan) ile yapılır.

 

 

Bir kurtarma planının özellikleri ve içindekiler şunlardır:

 

 

·         ·         Kurtarmanın minimum gecikme ile sağlanması

·         ·         Zararın genişlemesini engellemek

·         ·         Yedek sistemlerin sağlamlığının garantisi

·         ·         Personel eğitimi

·         ·         Test planları için standartlar

 

 

 

Alternatif Siteler

 

 

Felaket olduğunda organizasyon geçici olarak işini devam ettirmesi gerekir. Bu durumda yeni bir yere gereksinim duyulur. Bu yere “Alternate site”denir.

 

Hot Site: Tüm fonksiyonların hemen devam ettirilebildiği bir yer. Telefon hatları, donanım, yazılım, vb. Örneğin sürekli güncellenen şirket server’ların burada bulundurulması.

 

Warm site: Gerekli donanım ve yazılıma kısmen sahiptir. Faaliyetlerin kısmen devamını sağlar.

 

Cold site: Birçok işlemin yeniden yapılmasını gerektirir. Kurulumlar, network, vb.

 

 

Güvenlik Politikası

 

 

Güvenlik politikaları organizasyonların bilgi varlığını korumak için hazırlanan yazılı belgelerdir. Güvenlik politikaları bilginin nasıl korunacağına ilişkin kural ve prosedürleri içerir.

 

Güvenlik politikası ayrıca organizasyon yönetiminin güvenlik kurallarına uyduğunu belirten bir yazılı bildirimdir.

 

Güvenlik politikaları genellikle şunları içerir:

 

 

·         ·         Bilgi güvenliğinin tanımı ve kapsamı

·         ·         Güvenlik standardı olarak hedefler

·         ·         Politikaların ve kuralların özet olarak açıklanması

·         ·         Güvenliğin sağlanmasındaki görev ve sorumluluklar

 

 

Politikanın kapsamı organizasyonun bilgi güvenliğine verdiği önemi belirtir. Bu alandaki tanımlar ve organizasyona ilişkin açıklamalar yapılır.

 

Hedefler bölümünde güvenlik önlemlerinin amaçları belirtilir. Örneğin saldırılara karşı korunma ve olası zararları minimuma indirmek gibi.

 

Kuralların özetlenmesi. Ana kurallar ve prosedürler kısaca açıklanır.

 

Görev ve sorumluklar bölümünde kullanıcılar ve diğer personele yönelik sorumluluklar belirtilir.

 

Kaynaklar

 

http://en.wikipedia.org/wiki/Risk_management

http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf

http://en.wikipedia.org/wiki/Business_continuity_planning

http://www.itil-itsm-world.com/itil-8.htm

http://www.bcm-institute.org/bcmi/

http://www.disaster-recovery-guide.com/