Bilgi güvenliğine ilişkin bütün çalışmalar şirketlerin bilgi varlıklarının korunabilmesi ve bir felaket durumunda gerekli kurtarma işlemlerini ve iş sürekliliğinin sağlanması içindir. Bu çalışmaların düzenli bir şekilde yürütülmesi için çeşitli kurumsal faaliyetlerin yapılması gerekir.
Fiziksel Güvenlik
Fiziksel güvenlik, bilgi güvenliğinde özellikle bilgisayar sistemleri ve network aygıtlarının olası fiziksel risklere karşı korunmasıdır. “İlk güvenlik aşaması” olarak değerlendirilen fiziksel güvenlik; sistem odalarına girişi, sistemlere zarar vermeyi ve sistemi alıp götürmeye kadar birçok riski ya da tehditi içerir. Onun dışında başta doğal afetler olmak üzere çok sayıda risk yine fiziksel güvenlik içinde kontrol edilir.
Fiziksel Güvenliğin sırası;
Tipik fiziksel güvenlik tehditleri:
· · Vandalizm
· · Sabotaj
· · Elektrik Kesintisi
· · Çevresel koşullar
· · Su baskını
· · Doğal felaketler
· · Zehirli maddeler
· · Aşırı sıcak ve nem
· · Duman
· · Taşınma, vb.
Fiziksel Güvenlik Önlemleri
Fiziksel güvenlik için gerekli çalışmalar üç ana gruba ayrılır:
· · Yönetimsel Kontroller (Administrative controls)
· · Fiziksel Kontroller
· · Teknik Kontroller
Yönetimsel kontroller binanın seçimi, inşaatı, gerekli düzenlemeler, personelin kontrolü, kaçış prosedürleri, sistemin kapatılması ve özel durumlar olduğunda (donanım hatası, teror vb) yapılacak eylemleri içerir.
Fiziksel kontroller kapıların kotrolü, kilitler, kartlar, kapı güvenliği, vb konuları içerir.
Teknik kontroller ise fiziksel erişim kontrolü, izleme sistemleri, izinsiz giriş ve alarm sistemleri, yaygın dedektör ve önleme sistemleri, disklerin yedeklenmesi, UPS ve HVAC (heating / ventilation / air conditioning) gibi işlemleri içerir.
Yönetimsel Kontroller
Yönetimsel kontroller personel, tesislerin ve aygıtların kullanımıyla ilgilidir. Acil durum prosedürlerini (emergency), personel giriş/çıkışını içerir. Yönetimsel kontroller şu konuları içerir:
· · Personel kontrolü
· · Tesislerin planlanması
· · Tesislerin güvenliği
Personel kontrolü personelik işe alınsından önce personel hakkında yapılacak çalışmalarla başlar.Bu amaçla referansları kontrol edilir. Geçmişi araştırılır, vb. Bu çalışmalar personel çalışırken ve işten ayrıldıktan sonra da devam eder.
Fiziksel Kontroller
Physical güvenlik önlemleri yetkisiz kullanımları, veri hırsızlığını ve diğer riskleri karşılayacak önlemleri içerir. Fiziksel kontroller arasında bariyerler, parmaklıklar, güvenlik görevlileri, vb bileşenler yer alır.
- Ortamın/Çevrenin kontrolü
- Yerin Kontrolü
- Giriş/Çıkışın kontrolü
Ortamın/Çevrenin Kontrolü
Sistem odasındaki bilgisayar sistemleri çok sayıda riske maruz kalabilir. Bunların içinde ortam koşulları ve sistemlerin zarar görmesini sayabiliriz.
Ortamı etkileye faktörler:
· · Isı
· · Nem
· · Elektronik sorunlar
Tipik fiziksel kontrol elemanları:
Güvenlik görevlisi: Güvenlik görevlisinin yaptığı kontroller. Özellikle giriş çıkışın denetlenmesi gibi.
Köpek: Özellikle çevrenin kontrolü için kullanılır.
Kapı/Parmaklık: Sahanını korunmasına yardımcı olur.
Bariyerler: En kolay giriş kontrol sistemidir. Fiziksel güvenlik standartları şirket server’larına erişimde en az üç bariyer sistemini zorunlu kılar.
Tailgating: yetkili birinin ardından takiple giriş. Tailgating ya da piggybacking olarak bilinir.
Dumpster Diving: Çöp toplama. Çıktılar, username, password, IP adresleri, CD, DVD, vb bilgisayar artıklarının toplanması.
Kapan (insan kapanı): İnsan kapanı bir giriş sistemidir. Bir kapı kapanmadan diğeri açılmaz.
Işıklandırma: Giriş ve park alanlarının ışıklandırılması.
Kilitler: Çeşitli kilitlerle kapılar düzenli olarak kilitlenir. Kilit türlerini seçimi gibi konular önemlidir. Örneğin çeşitli key pad kilitler.
Çeşitli kilitleme tipler vardır. “punch code entry” olarak bilinen kilitlere “Cipher lock” denir.
Teknik Kontroller
Teknik kontrollerde çeşitli aygıtlar ve araçlar kullanılır.
· · Smart kartlar
· · Biometrik aygıtlar.
· · Kapalı devre TV
· · Shielding (wireless’lerin dışarı çıkışını engellemek)
Yangın Kontrolleri
Elektronik aygıtların olduğu yerde en önemli risklerden birisi yangındır. Bu nedenle gerekli yangın söndürme önlemlerinin alınması gerekir.
Yangın sınıfları:
· · A sınıfı
· · B sınıfı
· · C sınıfı
· · D sınıfı
A Sınıfı yangınlar: Katı madde yangınlarıdır. Ağaç, kağıt vb. Su ve soda asitlerle söndürülür.
B Sınıfı yangınlar: Yanabilir nitelikteki sıvılar. Örneğin petrol ve ürünler. Genellikle halon. karbondioksit ve soda asit ile söndürülür.
C Sınıfı yangınlar: Elektronik aygıtların ve kabloların yandığı yangınlar. Genellikle halon. karbondioksit ve soda asit ile söndürülür.
D Sınıfı yangınlar: Yanabilir nitelikleri metallerin yandığı yangınlar. Genellikle kuru tozlarla kullanılır.
Risk Yönetimi
Risk yönetimi olası risklerin tanımlanması, değerlendirilmesi ve hafifletmeyi (mitigation) amaçlayan bir çalışmadır. Bilgi güvenliğinde; bilgi varlığının ve tehlikelerinin tanımlanmasını içerir.
Risk yönetiminin adımları:
1) Risk assessment (risk değerlendirme)
2) Risk mitigation (risk azaltma)
3) Sonuçların değerlendirilmesi
Risk Değerlendirme
Risk Yönetimi, olası zarar ve ziyandan korunmak için çalışmalar yapmayı içerir. Bu anlamda organizasyonun bilgi varlığını korumak için ne tür kontrollere gereksinim duyuluğu ortaya çıkarılır.
Risk Değerlendirme Adımları
Risk değerlendirme işleminde sektörce benimsenmiş şu adımlar yer alır:
Adım 1: System Characterization
Adım 2: Threat Identification
Adım 3: Vulnerability Identification
Adım 4: Control Analysis
Adım 5: Likelihood Determination
Adım 6: Impact Analysis
Adım 7: Risk Determination
Adım 8: Control Recommendations
Adım 9: Results Documentation
System Characterization (Sistem Karakteristikleri)
Sistem karakteristikleri sistemlere ilişkin bilgilerin toplanmasını kapsar. Bu aşamada sistemin çalışma ortamı tanımlanır.
Sistem bilgileri:
· · Donanım ve yazılım
· · Sistemin bağlantıları
· · Veriler
· · Destek ve yönetim personeli
· · Sistem ve verilerin önemi ve kritiklik derecesi
Threat Identification (Tehditlerin Tanımlanması)
Bu aşamada tehditler tanımlanır. Bir tehdit bir zayıflık (vulnerability) üzerinde olası zarar verebilecek bir unsudur. Sistemler her yönüyle değerlendirilerek tehditler tanımlanır. Tehditlerin tanımlanmasında tehditlerin kaynağı, nedenleri ve olası eylemleri saldırı türleriyle birlikte göz önünde bulundurulur. Örneğin saldırganın, ego’sal motivasyon ile sosyal mühendislik türünde saldırılar yapması.
Vulnerability Identification (Zayıflıkların Tanımlanması)
Sistem açıklarını ve zayıflıklarını ortaya koymak. Bu aşamada çeşitli araçlar ve teknikleri kullanılabilir:
· · Vulnarability Scanning
· · Penetresyon testleri
Control Analysis (Kontrol Analizleri)
Kontrol analizleri zayıflıkların minimize edilmesi için yapılan çalışmaların kontrol edilmesini kapsar.
Likelihood Determination (Olasılıkların Belirlenmesi)
Zayıflığın kullanılması ve tehditin olması olasılığı hesaplanır. Sonuç “yüksek”, “orta” ve “düşük” olarak belirlenir.
Impact Analysis (Etki Analizi)
Etki analizi yaşanan aksaklıkların etkisi belirlenir. Bu etki bildiğimiz CIA unsurlarının kaybı ile ifade edilir. Sonuç “yüksek”, “orta” ve “düşük” olarak belirlenir.
Risk Determination (Risk Tanımlama)
Bu aşamada sistemin risk düzeyi değerlendirilir. Risk belli bir tehdit/zayıflık bağlamında açıklanır. Sonuç “yüksek”, “orta” ve “düşük” olarak belirlenir.
Control Recommendations (Kontrol Önerileri)
Bu aşamada önerilen kontrol yöntemleriyle risk azaltılır (risk mitigation). Bu öneriler genellikle bir güvenlik politikası kuralları şeklindedir.
Results Documentation (Sonuç Dokümantasyonu)
Risk değerlendirme işlemi tamamlandıktan sonra sonuçlar kurumsal bir raporla açıklanır. Risk sonuç dokümantasyonu genellikle analize ilişkin bilgiler içerir.
Risk Belirlemede Kullanılan Hesaplama Tekniği
Varlıklar tanımlandıktan sonra risk olasılığının tanımlanması gerekir. Örneğin donanımların depremden zarar görme olasığı nedir? Bir riskin bir yıl içinde gerçekleşmesi “Annualized Rate of Occurrence (ARO)” değeriyle hesaplanır.
Annualized Rate of Occurrence (ARO): Riskin yıl içinde gerçekleşme sayısı/oranı.
Risk için ARO değeri hesaplandıktan sonra ilgili varlıklar için parasal kayıp hesaplanır. Örneğin server yanarsa yenisinin alınma maliyeti. Arıca gerekli servis ücretleriyle server yenilenir. Bu durumda yıllık kayıbın (Annual Loss Expectancy-ALE) hesaplanması için ARO ve Single Loss Expectancy (SLE) değeri hesaplanır.
Örneğin 5,000 dolar maliyetli server’ın bozulma olasılığı 3 yılda 1 kere ise 1/3 (%30) ise. Ayrıca servis ücreti 1,000 gerekiyorsa
ALE= ARO x SLE
ALE=.30 * 6,000 = 1,800 dolar.
İş Sürekliliği
İş Sürekliliği (Business Continuity) herhangi bir felaket durumunda organizasyonun fonksiyonlarının sürekliğini sağlamak diğer bir değişke kesilmemesini sağlamamak için kullanılan bir kurumsal sistemdir. Günümüzde özellikle kritik iş fonksiyonlarını düşünürsek artık kaçınılmaz bir faaliyet halini almıştır.
İş sürekliliği içinde risk yönetimi, felaketten kurtarma gibi işlemleri içerir. İş sürekliliği için dünyanın BS 25999 gibi kalite standartları geliştirilmiştir. Bu standart, bir iş sürekliliği yönetimi (BCM) sistemi geliştirmeyi ve sistemli bir şekilde kullanılmasını gerektirmektedir.
İş Sürekliği Planı
İş sürekliliği planı şunları içerir:
· Disaster Recovery Plan: Felaket olduğunda kurtarma planları
· Business Recovery Plan: İş fonksiyonlarının devam ettirilmesine ilişkin planlar.
· Business Resumption Plan: Kritik sistemlerin ve ana fonksiyonların devam ettirilmesine ilişkin planlar.
· Contingency Plan: Normal iş fonksiyonlarına geri dönmek için ne gibi işlemlerin yapılacağını içerir.
Felaketten Kurtarma (Disaster Recovery)
“Disaster recovery” kritik sistemlerin, verilerin ve diğer bilgileri geri kazanılmasına ilişkin politika ve prosedürlerdir. İyi bir kurtarma işlemi kurtarma planı (disaster recovery plan) ile yapılır.
Bir kurtarma planının özellikleri ve içindekiler şunlardır:
· · Kurtarmanın minimum gecikme ile sağlanması
· · Zararın genişlemesini engellemek
· · Yedek sistemlerin sağlamlığının garantisi
· · Personel eğitimi
· · Test planları için standartlar
Alternatif Siteler
Felaket olduğunda organizasyon geçici olarak işini devam ettirmesi gerekir. Bu durumda yeni bir yere gereksinim duyulur. Bu yere “Alternate site”denir.
Hot Site: Tüm fonksiyonların hemen devam ettirilebildiği bir yer. Telefon hatları, donanım, yazılım, vb. Örneğin sürekli güncellenen şirket server’ların burada bulundurulması.
Warm site: Gerekli donanım ve yazılıma kısmen sahiptir. Faaliyetlerin kısmen devamını sağlar.
Cold site: Birçok işlemin yeniden yapılmasını gerektirir. Kurulumlar, network, vb.
Güvenlik Politikası
Güvenlik politikaları organizasyonların bilgi varlığını korumak için hazırlanan yazılı belgelerdir. Güvenlik politikaları bilginin nasıl korunacağına ilişkin kural ve prosedürleri içerir.
Güvenlik politikası ayrıca organizasyon yönetiminin güvenlik kurallarına uyduğunu belirten bir yazılı bildirimdir.
Güvenlik politikaları genellikle şunları içerir:
· · Bilgi güvenliğinin tanımı ve kapsamı
· · Güvenlik standardı olarak hedefler
· · Politikaların ve kuralların özet olarak açıklanması
· · Güvenliğin sağlanmasındaki görev ve sorumluluklar
Politikanın kapsamı organizasyonun bilgi güvenliğine verdiği önemi belirtir. Bu alandaki tanımlar ve organizasyona ilişkin açıklamalar yapılır.
Hedefler bölümünde güvenlik önlemlerinin amaçları belirtilir. Örneğin saldırılara karşı korunma ve olası zararları minimuma indirmek gibi.
Kuralların özetlenmesi. Ana kurallar ve prosedürler kısaca açıklanır.
Görev ve sorumluklar bölümünde kullanıcılar ve diğer personele yönelik sorumluluklar belirtilir.
Kaynaklar
http://en.wikipedia.org/wiki/Risk_management
http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf
http://en.wikipedia.org/wiki/Business_continuity_planning
http://www.itil-itsm-world.com/itil-8.htm
http://www.bcm-institute.org/bcmi/
http://www.disaster-recovery-guide.com/
