BİLGİ GÜVENLİĞİ TEMEL EĞİTİMİ
∗ Günümüzde kurumlar ve bireylerin sahip olduğu en değerli varlık bilgidir. Bilginin gizlilik, bütünlük ve erişilebilirlik nitelikleri bakımından sürekli korunması gerekmektedir.
BİLGİNİN BULUNDUĞU ORTAMLAR
• Fiziksel ortamlar: Kâğıt, tahta, pano, faks, çöp/atık kağıt kutuları, dolaplar, vb.
• Elektronik ortamlar: Bilgisayarlar, mobil iletişim cihazları, e-posta, USB, CD, disk, disket, vb. manyetik ortamlar.
• Sosyal ortamlar: Telefon görüşmeleri, muhabbetler, yemek araları, toplu taşıma araçları, vb. sosyal aktiviteler.
• Tanıtım platformları: İnternet siteleri, broşürler, reklamlar, sunular, eğitimler, video ya da görsel ortamlar.
BİLGİNİN KORUNMASI “Bilgi, bir kurumun en önemli değerlerinden biridir ve sürekli korunması gerekir”.
• Gizlilik: Bilginin yetkili olmayan kişiler, varlıklar ve süreçler tarafından erişilemez olmasıdır.
• Bütünlük: Bilginin yetkisiz kişiler tarafından değiştirilmemesidir.
• Kullanılabilirlik(erişilebilirlik): Bilginin, ilgili ya da yetkili kişiler tarafından istenildiğinde ulaşılabilir ve kullanılabilir olma özelliğine denir.
BİLGİ GÜVENLİĞİ
∗ Bilgi sistemi ve yetkili kullanıcıyı, yetkisiz erişimlere, bilginin değiştirilmesine ve saldırılara karşı korumak.
BİLGİ GÜVENLİĞİ VE TEHDİTLER Dahili Tehditler ∗ Bilinçsiz ve bilgisiz kullanım ∗ Kötü niyetli hareketler
BİLGİ GÜVENLİĞİ VE TEHDİTLER Harici Tehditler • Doğal tehditler; yangın, sel, yıldırım, vb. doğal afetler
• Zararlı yazılımlar; virüsler,
solucanlar(worm), truva atları(trojan), casus yazılımlar (spyware, spyware cookie, spam, exploit, keylogger, botnet, sniffer, phishing, vb.)
• Sosyal mühendislik
• Güvenlik açıkları ve fiziksel güvenlik
• Korsanlar ve bilgiye erişime yönelik tehditler
Saldırıya Uğrayabilecek Değerler
• • • • •
Kurumun ismi, güvenilirliği Kuruma ait gizli bilgiler İşin devamlılığını sağlayan bilgi ve süreçler Üçüncü şahıslar tarafından emanet edilen bilgiler Kuruma ait adli, ticari, teknolojik bilgiler
Görülebilecek Zararın Boyutu
• • • • •
Müşteri mağduriyeti Kaynakların tüketimi İşin yavaşlaması ya da durması Kurumsal imaj kaybı Üçüncü şahıslara yapılan saldırı mesuliyeti
TS ISO IEC 27001 ∗ Bilgi sistemlerini ve ağları, bilgisayar destekli sahtekârlık, casusluk, sabotaj, yıkıcılık, yangın ve sel gibi çok geniş kaynaklardan gelebilecek tehdit ve tehlikelerden korumak amacıyla hazırlanmış bir standarttır.
TS ISO IEC 27001
BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ Genel Gereklilikler Kuruluş, belgelendirilen bir BGYS’ni, kuruluşun tüm ticari faaliyetleri ve riskleri bağlamında gerçekleştirir, geliştirir, sürdürür ve sürekli iyileştirir.
PUKÖ DÖNGÜSÜ Planla Uygula
Bir risk giderme planının formülize edilmesi, Risk giderme planının gerçekleştirilmesi, Seçilen tüm kontrol hedeflerinin ve denetimlerin gerçekleştirilmesi, Eğitim ve bilinçlendirme programlarının gerçekleştirilmesi, Faaliyetlerin yönetimi, Kaynakların yönetimi.
BGYS’nin kapsamının tanımlanması, BGYS politikasının tanımlanması, Risklerin tanımlanması, Risklerin değerlendirilmesi, Riskin ortadan kaldırılması için seçenekler sunulması,
Denetim hedeflerinin ve denetimlerin seçilmesi ,
Uygulanabilirlik Belgesi’nin hazırlanması, Yönetim onayının alınması.
Kontrol et
İzleme işlemlerinin icrası, BGYS’nin etkinliğinin düzenli aralıklarla gözden geçirilmesi, Artık risk ile kabul edilebilir risk seviyesinin gözden geçirilmesi, İç BGYS kontrollerinin yapılması, Düzenli aralıklarla BGYS yönetiminin gözden geçirilmesi, BGYS performansına tesiri olan tüm olayların kaydedilmesi.
Önlem al Tanımlanan iyileştirmelerin gerçekleştirilmesi, Uygun koruyucu ve düzeltici eylemlerin yapılması, İlgili tüm taraflara sonuçların bildirilmesi, İyileştirmelerle tasarlanan hedeflerin elde edilmesinin sağlaması.
Temiz Masa Kuralları Masalarda ya da çalışma ortamlarında korumasız bırakılmış bilgiler, yetkisiz kişilerin erişimleriyle gizlilik ilkesinin ihlaline; yangın, sel, deprem gibi felaketlerle bütünlüğünün bozulmasına ya da yok olmasına sebep olabilir.
Temiz Masa Kuralları • Çalışma sonunda kağıt ortamında ya da elektronik cihazlar üzerinde tutulan “gizli” ya da “çok gizli” bilgiler güvenlikli ortamlarda (çelik kasa, kilitli güvenli ortamlar, vb.) saklanmalıdır.
Temiz Masa Kuralları • Kullanım ömrü sona eren, artık ihtiyaç duyulmadığına karar verilen bilgiler kağıt öğütücü, disk/disket kıyıcı, yakma, vb. metotlarla imha edilmeli, bilginin geri dönüşümünün ya da yeniden kullanılabilir olmasının önüne geçilmelidir.
Temiz Masa Kuralları • Her türlü haberleşmede kullanılan cihazlar (telefon, faks, fotokopi makineleri) başı boş, yetkisiz erişimlere açık bir şekilde konumlandırılmamalı, bu cihazlar üzerinde bilgi ve belge bırakılmamalıdır. • Hassas bilgiler her türlü yağmur, sel, yangına karşı korunaklı yerlerde saklanmalıdır.
Temiz Masa Kuralları • Her türlü bilgiler, şifreler, anahtarlar ve bilginin sunulduğu sistemler, ana makineler (server), pc’ler, vb. cihazlar yetkisiz kişilerin erişebileceği şekilde şifresiz ve korumasız bırakılmamalıdır.
Şifre Güvenliği • Elektronik ortamlarda ya da kasalarda korumalı bir şekilde tutulan bilgilere erişmede kullanılan şifrelerin korunması, bilgi güvenliği risklerini önlemede hayati öneme sahiptir.
Şifre Güvenliği Şifre Seçimi Şifreler başkaları tarafından kolayca tahmin edilememeli, kullanıcı hakkında özel bilgileri (doğum tarihi, çocuk bilgisi, araç plaka numarası, vb.) içermemelidir. Güçlü bir parola; • En az 6 karakterden oluşur. • Harflerin yanı sıra, rakam ve "?, @, !, #, %, +, -, *, %" gibi özel karakterler içerir. • Büyük ve küçük harfler bir arada kullanılır.
Şifre Güvenliği Hatırlaması kolay güçlü parola önerileri ∗ Bir elin nesi var, iki elin sesi var. --> 1Env,2Esv. ∗ 10 Yılda 15 milyon genç yarattık her yaştan. --> 10Y15mgyhy. ∗ Ben 1996 yılının 7. ayında mezun oldum --> B1996y7.amo ∗ Mezuniyet tarihim 1998 yılının 4. ayıdır. --> Mt98y4.a
Şifre Güvenliği Koruma Şifreler kağıt ortamlar üzerine yazılmamalı, başkalarıyla paylaşılmamalı, şifrelerin tutulduğu ortamların güvenliği sağlanmalı, güvenliğinden şüphe edilen durumlarda yetkililer bilgilendirilmeli ve gerekiyorsa şifre değiştirilmelidir.
Şifre Güvenliği ∗ Her bir kullanıcı, bilgisayarda kendi "Kullanıcı Adı" ve "Şifre"si ile oturum açarak çalışmalıdır. Çalışması biten kullanıcı, oturumu veya bilgisayarını kapatmalıdır. (Log off) ∗ Kısa süreli bilgisayar başından ayrılmalarda bilgisayar oturumu kilitlenmelidir. (Başlat tuşu+L)
Şifre Güvenliği Düzenli Gözden Geçirme Şifreler düzenli olarak kritiklik durumuna göre en geç altı ayda bir gözden geçirilip değiştirilmelidir.
Yasal Düzenlemeler Kurum ve bireylerin bilgi güvenliği kapsamında bağlı olduğu belli başlı yasal düzenlemeler: ∗ 5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun