Post on 04-Jul-2015
description
Üniversitelerde Bilgi Güvenliğinin Önemi
15 Kasım 2012Hacı OĞUZ
Abdullah Gül Üniversitesi Bilgi İşlem Daire Başkanlığı
30 Ocak 13 Çarşamba
- Bilgi Nedir?- Bilgi Güvenliği Nedir?- Neden Bilgi Güvenliği?- AGÜ’de Bilgi Güvenliği- Güvenlik Problemi ve Çözüm Yaklaşımı- Nasıl Bir Yol İzlenebilir?- İdari Önlemler- Teknolojik Önlemler- Eğitim- Üniversitelerde Uygulama- Sonuç
İçerik
30 Ocak 13 Çarşamba
Bilgi, işlenmiş “veri”Bilgi Nedir?
Veri bir ham (işlenmemiş) gerçek ya da bilgi parçacı
30 Ocak 13 Çarşamba
Bilgi, işlenmiş “veri”Bilgi Nedir?
Veri bir ham (işlenmemiş) gerçek ya da bilgi parçacı
123
30 Ocak 13 Çarşamba
Bilgi, işlenmiş “veri”Bilgi Nedir?
Veri bir ham (işlenmemiş) gerçek ya da bilgi parçacı
30 Ocak 13 Çarşamba
Bilgi, işlenmiş “veri”Bilgi Nedir?
Veri bir ham (işlenmemiş) gerçek ya da bilgi parçacı
30 Ocak 13 Çarşamba
Bilgi, işlenmiş “veri”Bilgi Nedir?
Veri bir ham (işlenmemiş) gerçek ya da bilgi parçacı
30 Ocak 13 Çarşamba
Bilgi, işlenmiş “veri”Bilgi Nedir?
Veri bir ham (işlenmemiş) gerçek ya da bilgi parçacı
125002741350
30 Ocak 13 Çarşamba
Bilgi, işlenmiş “veri”Bilgi Nedir?
Veri bir ham (işlenmemiş) gerçek ya da bilgi parçacı
30 Ocak 13 Çarşamba
Bilgi, işlenmiş “veri”Bilgi Nedir?
Veri bir ham (işlenmemiş) gerçek ya da bilgi parçacı
30 Ocak 13 Çarşamba
Bilgi Güvenliği Nedir?
30 Ocak 13 Çarşamba
Bilgilerin izinsiz erişimi, kullanımı, ifşası, yok edilmesi, değiştirilmesi veya hasar verilmesinden koruma
Bilgi Güvenliği Nedir?
30 Ocak 13 Çarşamba
Bilgilerin izinsiz erişimi, kullanımı, ifşası, yok edilmesi, değiştirilmesi veya hasar verilmesinden koruma
Bilgi Güvenliği Nedir?
Gizlilik: Bilgilerin yetkisiz erişime karşı korunmasıBütünlük: Bilgilerin eksiksiz, tam, tutarlı ve doğru olmasıKullanılabilirlik: Bilgilere yetkili kişiler tarafından ihtiyaç duyulduğunda erişilebilir olması (TS ISO/IEC 27001:2005 Bilgi Güvenliği Yönetim Sistemi Standardı)
30 Ocak 13 Çarşamba
Bilgilerin izinsiz erişimi, kullanımı, ifşası, yok edilmesi, değiştirilmesi veya hasar verilmesinden koruma
Bilgi Güvenliği Nedir?
Gizlilik: Bilgilerin yetkisiz erişime karşı korunmasıBütünlük: Bilgilerin eksiksiz, tam, tutarlı ve doğru olmasıKullanılabilirlik: Bilgilere yetkili kişiler tarafından ihtiyaç duyulduğunda erişilebilir olması (TS ISO/IEC 27001:2005 Bilgi Güvenliği Yönetim Sistemi Standardı)
30 Ocak 13 Çarşamba
Neden Bilgi Güvenliği?
30 Ocak 13 Çarşamba
Bilgi bir kurumun en değerli varlıklarından biridir.
Neden Bilgi Güvenliği?
30 Ocak 13 Çarşamba
Bilgi bir kurumun en değerli varlıklarından biridir.
Neden Bilgi Güvenliği?
Kurumsal itibarİş sürekliliğiBilgi kaynaklarına güvenli erişimFarkındalıkKötü amaçlı kullanımın engellenmesiDenetlenebilirlikBilinçsiz ve dikkatsiz kullanımdan kaynaklı arıza ve problemler
30 Ocak 13 Çarşamba
Bilgi bir kurumun en değerli varlıklarından biridir.
Neden Bilgi Güvenliği?
Kurumsal itibarİş sürekliliğiBilgi kaynaklarına güvenli erişimFarkındalıkKötü amaçlı kullanımın engellenmesiDenetlenebilirlikBilinçsiz ve dikkatsiz kullanımdan kaynaklı arıza ve problemler
30 Ocak 13 Çarşamba
Üniversiteler İçin Bilgi Güvenliği Gerektiren Servisler
30 Ocak 13 Çarşamba
Üniversiteler İçin Bilgi Güvenliği Gerektiren ServislerKullanıcı Doğrulama ve Yetkilendirme Bilgi SistemiKurum tarafından sağlanan hizmetlerin erişim ve yetkilendirme için gerekli olan verilerin tutulduğu merkezi bilgi sistemiÖğrenci Bilgi SistemiÖğrenci ile ilgili tutulan özlük, akademik, disiplin, burs v.b. Personel ve Maaş Bilgi SistemiPersonel özlük, kariyer ve ödeme (maaş, ek ödeme, ek ders) v.b. Akademik Bilgi SistemiAkademik çalışma, araştırma ve proje v.b.Elektronik Posta Kişilere özel ve sadece kişilerin erişmesi gereken verilerin güvenliğiKimlik Paylaşım Sistemiİçişleri Bakanlığı ile Kurum arasında yapılan protokol gereği erişim güvenliğiWeb HizmetleriKurum Web Sayfası, Birimlerin Web Sayfaları, Kişisel Web Sayfaları, FTP
30 Ocak 13 Çarşamba
Çözüm yaklaşımıGüvenlik Problemi
Kullanım hatalarıKötüye kullanımSosyal mühendislikBilişim suçları
Dış Saldırılar (%20-30)Çalışanların Sorumlu Olduğu Olaylar (%70-80)
30 Ocak 13 Çarşamba
Çözüm yaklaşımıGüvenlik Problemi
Kullanım hatalarıKötüye kullanımSosyal mühendislikBilişim suçları
Dış Saldırılar (%20-30)Çalışanların Sorumlu Olduğu Olaylar (%70-80)
Aksayan işleyişYanlış sonuçlarMaddi/manevi kayıplar
30 Ocak 13 Çarşamba
Çözüm yaklaşımıGüvenlik Problemi
Kullanım hatalarıKötüye kullanımSosyal mühendislikBilişim suçları
Dış Saldırılar (%20-30)Çalışanların Sorumlu Olduğu Olaylar (%70-80)
Aksayan işleyişYanlış sonuçlarMaddi/manevi kayıplar
İstek
30 Ocak 13 Çarşamba
Çözüm yaklaşımıGüvenlik Problemi
Kullanım hatalarıKötüye kullanımSosyal mühendislikBilişim suçları
Dış Saldırılar (%20-30)Çalışanların Sorumlu Olduğu Olaylar (%70-80)
Aksayan işleyişYanlış sonuçlarMaddi/manevi kayıplar
İstek Bilgi Birikimi
30 Ocak 13 Çarşamba
Çözüm yaklaşımıGüvenlik Problemi
Kullanım hatalarıKötüye kullanımSosyal mühendislikBilişim suçları
Dış Saldırılar (%20-30)Çalışanların Sorumlu Olduğu Olaylar (%70-80)
Aksayan işleyişYanlış sonuçlarMaddi/manevi kayıplar
İstek Bilgi Birikimi Yetenek
30 Ocak 13 Çarşamba
Nasıl Bir Yol İzlenebilir?
30 Ocak 13 Çarşamba
İdari önlemler, teknolojik önlemler, eğitim Nasıl Bir Yol İzlenebilir?
30 Ocak 13 Çarşamba
İdari önlemler, teknolojik önlemler, eğitim Nasıl Bir Yol İzlenebilir?
İdari önlemler;1. Risk yönetimi2. Güvenlik politikaları3. Standartlar, yönergeler ve prosedürler4. Güvenlik denetimleri
30 Ocak 13 Çarşamba
İdari önlemler, teknolojik önlemler, eğitim Nasıl Bir Yol İzlenebilir?
İdari önlemler;1. Risk yönetimi2. Güvenlik politikaları3. Standartlar, yönergeler ve prosedürler4. Güvenlik denetimleri
Teknolojik önlemler;1. Fiziksel güvenlik 2. Kriptoloji 3. Firewall4. Yedekleme5. Saldırı tespit sistemleri
30 Ocak 13 Çarşamba
İdari önlemler, teknolojik önlemler, eğitim Nasıl Bir Yol İzlenebilir?
İdari önlemler;1. Risk yönetimi2. Güvenlik politikaları3. Standartlar, yönergeler ve prosedürler4. Güvenlik denetimleri
Teknolojik önlemler;1. Fiziksel güvenlik 2. Kriptoloji 3. Firewall4. Yedekleme5. Saldırı tespit sistemleri
Eğitim;FarkındalıkEğitim şart
30 Ocak 13 Çarşamba
İdari Önlemler
30 Ocak 13 Çarşamba
İdari ÖnlemlerRisk Yönetimi
30 Ocak 13 Çarşamba
İdari ÖnlemlerRisk Yönetimi
Temel amaçlar;- Risklerin belirlenmesi - Tehditlerin potansiyel etkisinin belirlenmesi - Riskin gerçekleşmesi durumunda getireceği zararla, bu riskten korunmak için seçilecek tedbir arasında ekonomik bir denge kurulması
30 Ocak 13 Çarşamba
İdari Önlemler
30 Ocak 13 Çarşamba
Güvenlik Politikasıİdari Önlemler
30 Ocak 13 Çarşamba
Güvenlik Politikasıİdari Önlemler
30 Ocak 13 Çarşamba
Güvenlik Politikasıİdari Önlemler
Politika “Bir kurumun değerli bilgilerinin yönetimini,korunmasını, dağıtımını ve önemli işlevlerininkorunmasını düzenleyen kurallar ve uygulamalarbütünüdür.”
30 Ocak 13 Çarşamba
Güvenlik Politikasıİdari Önlemler
Politika “Bir kurumun değerli bilgilerinin yönetimini,korunmasını, dağıtımını ve önemli işlevlerininkorunmasını düzenleyen kurallar ve uygulamalarbütünüdür.”
30 Ocak 13 Çarşamba
Güvenlik Politikasıİdari Önlemler
“Politikası olmayan kurum, nereye gideceğinibilmeyen insana benzer.” [Branstad, 1997]
Politika “Bir kurumun değerli bilgilerinin yönetimini,korunmasını, dağıtımını ve önemli işlevlerininkorunmasını düzenleyen kurallar ve uygulamalarbütünüdür.”
30 Ocak 13 Çarşamba
İdari Önlemler
30 Ocak 13 Çarşamba
Güvenlik Politikası Kısımlarıİdari Önlemler
30 Ocak 13 Çarşamba
Güvenlik Politikası Kısımlarıİdari Önlemler
Genel AçıklamaPolitikayla ilgili gerekçeler ve buna bağlı risklerin tanımı
AmaçNeden bçyle bir politika
KapsamUyması gerekenler (ilgili grup ve/veya kurum) ve bilgi varlıklarının tanımı
PolitikaUygulanması ve uyulması gereken kural ve politikalar
Cezai Yaptırımlarİhlal durumlarında uygulanacak yaptırımlar
TarihçeHangi tarihte neden değişiklik yapıldı
30 Ocak 13 Çarşamba
Bilgi Güvenlik Politikası Çeşitleri
30 Ocak 13 Çarşamba
Bilgi Güvenlik Politikası Çeşitleriİdari Önlemler
30 Ocak 13 Çarşamba
Gizlilik politikasıBütünlük politikasıKullanılabilirlik politikasıTicari güvenlik politikası
Bilgi Güvenlik Politikası Çeşitleriİdari Önlemler
30 Ocak 13 Çarşamba
Gizlilik politikasıBütünlük politikasıKullanılabilirlik politikasıTicari güvenlik politikası
Bilgi Güvenlik Politikası Çeşitleriİdari Önlemler
30 Ocak 13 Çarşamba
İdari Önlemler
30 Ocak 13 Çarşamba
Standartlar, Yönergeler ve Prosedürlerİdari Önlemler
30 Ocak 13 Çarşamba
Standartlar, Yönergeler ve Prosedürlerİdari Önlemler
Standartlar,bilgi güvenliği standartları kullanılmalıdırYönergeler,standartlarda yeterince açık olmayan "gri alanlar" açıklığa kavuşturulur
• kanunların karşısında olmamalıdır,
• kurum özellikleri dikkate alınarak geliştirilmelidir,
• ilişkilendirilip bir bütün haline getirilmelidir,
• zaman içinde değişiklik gerektirir,
• uygulatılabilirse başarılı olur
Prosedürler, belli bir işi gerçekleştirmeye yardımcı olmak amacıyla hazırlanmış olan ve atılacak
30 Ocak 13 Çarşamba
İdari Önlemler
30 Ocak 13 Çarşamba
Güvenlik Denetimleriİdari Önlemler
30 Ocak 13 Çarşamba
Güvenlik Denetimleriİdari Önlemler
Sürekli devam eden etkin güvenlik politikalarının tanımlanması ve korunması
- Şifreleri kırmak zor mu? - Denetleme günlükleri var mı? - Her bir sistem için bütün gereksiz uygulamalar ve bilgisayar hizmetleri elimine edildi mi?
30 Ocak 13 Çarşamba
Güvenlik Denetimleriİdari Önlemler
Sürekli devam eden etkin güvenlik politikalarının tanımlanması ve korunması
- Şifreleri kırmak zor mu? - Denetleme günlükleri var mı? - Her bir sistem için bütün gereksiz uygulamalar ve bilgisayar hizmetleri elimine edildi mi?
30 Ocak 13 Çarşamba
Teknolojik Önlemler
30 Ocak 13 Çarşamba
Teknolojik ÖnlemlerDonanımsal, yazılımsal çözümler
30 Ocak 13 Çarşamba
Teknolojik ÖnlemlerDonanımsal, yazılımsal çözümler
Fiziksel Güvenliksistem odası, ağ aktif cihazlarının istenmeyen ve/veya kontrolsüz erişimlere karşı fiziki güvenliği, Kriptoloji, Şifrelemehaberleşen iki veya daha fazla tarafın bilgi alışverişinin güvenli olarak gerçekleşmesini sağlayan tekniklerin ve uygulamalarFirewall (Güvenlik Duvarı),Internet, güvensiz bir ağdır. Bir güvenlik duvarı ağ ile Internet gibi herkesin kullanımına açık ağ arasında güvenlik sağlar. Yedekleme,veri/bilgilerin geri dönülemez biçiminde kaybolmasını engellemek amacıyla birden fazla kopya halinde bulundurulmasıSaldırı Tespit Sistemleri saldırgan profilleri ve saldırı çeşitleri tespiti
30 Ocak 13 Çarşamba
Teknolojik ÖnlemlerDonanımsal, yazılımsal çözümler
Fiziksel Güvenliksistem odası, ağ aktif cihazlarının istenmeyen ve/veya kontrolsüz erişimlere karşı fiziki güvenliği, Kriptoloji, Şifrelemehaberleşen iki veya daha fazla tarafın bilgi alışverişinin güvenli olarak gerçekleşmesini sağlayan tekniklerin ve uygulamalarFirewall (Güvenlik Duvarı),Internet, güvensiz bir ağdır. Bir güvenlik duvarı ağ ile Internet gibi herkesin kullanımına açık ağ arasında güvenlik sağlar. Yedekleme,veri/bilgilerin geri dönülemez biçiminde kaybolmasını engellemek amacıyla birden fazla kopya halinde bulundurulmasıSaldırı Tespit Sistemleri saldırgan profilleri ve saldırı çeşitleri tespiti
30 Ocak 13 Çarşamba
Eğitim
30 Ocak 13 Çarşamba
Eğitim
Eğitim şart- İnsan faktörü,bilgi güvenliği bilinci ve farkındalığı olmayan insanlar bu güvenlik sürecini aksatacaktır.- Dış saldırı %20-30 çalışan hatası %70-80 bilgi güvenliği ihlali olayları genellikle kurum çalışanları tarafından yapılmıştır
30 Ocak 13 Çarşamba
Eğitim
Eğitim şart- İnsan faktörü,bilgi güvenliği bilinci ve farkındalığı olmayan insanlar bu güvenlik sürecini aksatacaktır.- Dış saldırı %20-30 çalışan hatası %70-80 bilgi güvenliği ihlali olayları genellikle kurum çalışanları tarafından yapılmıştır
30 Ocak 13 Çarşamba
Üniversitelerde Uygulama
30 Ocak 13 Çarşamba
Üniversitelerde UygulamaNeler yapmalı?
30 Ocak 13 Çarşamba
Üniversitelerde Uygulama
- Bilinçlendirme Etkinlikleri- Sürekli Eğitim- Politika Temelli Yönetim- Güvenlik Çalışmaları
Neler yapmalı?
30 Ocak 13 Çarşamba
Üniversitelerde Uygulama
- Bilinçlendirme Etkinlikleri- Sürekli Eğitim- Politika Temelli Yönetim- Güvenlik Çalışmaları
Neler yapmalı?
30 Ocak 13 Çarşamba
Üniversitelerde Uygulama
30 Ocak 13 Çarşamba
Politika Geliştirme EkibiÜniversitelerde Uygulama
30 Ocak 13 Çarşamba
Politika Geliştirme EkibiÜniversitelerde Uygulama
- Üst Yönetimden (Rektör Yardımcısı)- İnsan İlişkilerinde Tecrübeli Akademik Kişi- Yönetmelikler Konusunda Tecrübeli İdari Kişi- Güvenlik Alanında Uzman Bir Kişi
30 Ocak 13 Çarşamba
Politika Geliştirme EkibiÜniversitelerde Uygulama
- Üst Yönetimden (Rektör Yardımcısı)- İnsan İlişkilerinde Tecrübeli Akademik Kişi- Yönetmelikler Konusunda Tecrübeli İdari Kişi- Güvenlik Alanında Uzman Bir Kişi
30 Ocak 13 Çarşamba
Üniversitelerde Uygulama
30 Ocak 13 Çarşamba
Politika Geliştirme YöntemiÜniversitelerde Uygulama
30 Ocak 13 Çarşamba
Politika Geliştirme YöntemiÜniversitelerde Uygulama
- Prensiplerden yola çıkmalı- Diğer üniversitelerin tecrübelerindan yararlanılmalı- Geri beslemeye açık politika temelli yönetim (öğrenebilen sistemler)- Uygulanabilir ve uygulatılabilir bir politika
30 Ocak 13 Çarşamba
Politika Geliştirme YöntemiÜniversitelerde Uygulama
- Prensiplerden yola çıkmalı- Diğer üniversitelerin tecrübelerindan yararlanılmalı- Geri beslemeye açık politika temelli yönetim (öğrenebilen sistemler)- Uygulanabilir ve uygulatılabilir bir politika
30 Ocak 13 Çarşamba
AGÜ’de Bilgi Güvenliği
30 Ocak 13 Çarşamba
Yeni yapılanan bir üniversite olarakAGÜ’de Bilgi Güvenliği
30 Ocak 13 Çarşamba
Yeni yapılanan bir üniversite olarakAGÜ’de Bilgi Güvenliği
Neler yaptık?İnceleme ve Araştırma: Yurtiçi ve yurtdışı üniversite ziyaretleri
Neler yapılmalı?Problem tespiti: Güvenlik ProblemiÇözüm yaklaşımı: Bilgi Güvenliği Politikaları
30 Ocak 13 Çarşamba
Yeni yapılanan bir üniversite olarakAGÜ’de Bilgi Güvenliği
Neler yaptık?İnceleme ve Araştırma: Yurtiçi ve yurtdışı üniversite ziyaretleri
Neler yapılmalı?Problem tespiti: Güvenlik ProblemiÇözüm yaklaşımı: Bilgi Güvenliği Politikaları
30 Ocak 13 Çarşamba
30 Ocak 13 Çarşamba
30 Ocak 13 Çarşamba
Sonuç
30 Ocak 13 Çarşamba
Sonuç- Bilgi güvenliği dinamik bir süreç, mutlaka olmalı- Sadece teknoloji ile sağlanamaz- Eğitim şart- Uluslarası standartlara uygunluk- Uygulanabilir ve denetlenebilirlik- En zayıf halka kadar güvende olabiliriz...
30 Ocak 13 Çarşamba
30 Ocak 13 Çarşamba
Teşekkürler
30 Ocak 13 Çarşamba
Teşekkürler
30 Ocak 13 Çarşamba
Teşekkürler
Kaynakça - ÖDTÜ, Bilgi Güvenliği (http://security.metu.edu.tr/Documents/Bilgi%20Guvenligi.html)- Stanford ITS, UC Berkeley IST - ISO 27001 Standardı Çerçevesinde Kurumsal Bilgi Güvenliği- Wikipedia- BİLGEM- İYTE, Yrd. Doç. Dr. Tuğkan Tuğlular
30 Ocak 13 Çarşamba
Teşekkürler
Kaynakça - ÖDTÜ, Bilgi Güvenliği (http://security.metu.edu.tr/Documents/Bilgi%20Guvenligi.html)- Stanford ITS, UC Berkeley IST - ISO 27001 Standardı Çerçevesinde Kurumsal Bilgi Güvenliği- Wikipedia- BİLGEM- İYTE, Yrd. Doç. Dr. Tuğkan Tuğlular
30 Ocak 13 Çarşamba
Teşekkürler
Kaynakça - ÖDTÜ, Bilgi Güvenliği (http://security.metu.edu.tr/Documents/Bilgi%20Guvenligi.html)- Stanford ITS, UC Berkeley IST - ISO 27001 Standardı Çerçevesinde Kurumsal Bilgi Güvenliği- Wikipedia- BİLGEM- İYTE, Yrd. Doç. Dr. Tuğkan Tuğlular
İletişimHacı OĞUZ
Bilgi İşlem Daire BaşkanıAbdullah Gül Üniversitesi
haci.oguz@agu.edu.trtwitter.com/hacioguz
linkedin.com/in/hacioguz
30 Ocak 13 Çarşamba