PERFODA
Bilişim Hizmetleri



 

Özet:

Kurumsal bilgi sistemlerinin kullanıcı sayılarının yükselmesi ve internete bağlanması güvenlik risklerini artırmaktadır. Güvenlik risklerinin yönetilebilmesi için bilgi sistemlerinin özelliklerine ve kullanıcı topluluğunun özelliklerine bağlı politikalar geliştirilmesi gerekmektedir.

Summary

While the numbers of the enterprise information systems connected to the Internet are rise,the security risks are increas. For the successful management of security risks security policies must developed and the information systems must administered according that policies.

Kuruluşlar etkinlik alanlarına göre, bilgi işlem altyapılarına büyük yatırımlar yapıyorlar. İnternetin ticari potansiyeli artıkça, kuruluşların özel ağları internet ile entegre hale getiriliyor. Bilgisayar ağlarına ve internete bağımlılığın artması, güvenlik sorunlarının da artmasına yol açıyor.

Bilgisayar ağı ve uygulamaları olan bütün kuruluşlar, sistemlerin kullanım saatleri, yedeklenme kuralları, kullanım hakları, yetki ve sınırlamalar gibi konularda kural ve ilkeler geliştiriyorlar. Yazılı olmasa bile, kuruluşun yöneticileri, sistem yöneticileri ve kullanıcılar arasında kabul edilmiş ve yaşayan bir kurallar topluluğu; bir güvenlik politikası oluşuyor. Ancak, yazılmadığı sürece politikanın uygulanabilirliği ve amacı gerçekleştirme potansiyeli istenen düzeye yükselmiyor.

Yapılan çalışmaların çarpıcı tespitlerinden biri, bilgisayar ağlarına dönük tehditlerin önemli ölçüde kuruluş içinden geldiğini gösteriyor. Yeterli eğitim verilmemiş olan kullanıcılar, bilgi işlem olanaklarını yanlış kullanabiliyorlar. Kullanıcı hesaplarının yetkisiz ve yanlış kullanılması sistemlere giderilmesi güç zararlar veriyor. Sistem bakım ve onarım süreçlerinin düzensiz yürütülmesi veri ve zaman kayıplarına yol açıyor.

Bilgisayar ağları ve uygulamalarına dönük çeşitli sorun ve tehditlere karşı alınabilecek en genel önlem kuruluşun yapısına uygun güvenlik politikaları geliştirmek ve bu politikaları ilgili herkesin erişebileceği dokümanlar haline getirmektir.

Politika dokümanları, kuralların farklı ve yanlış anlaşılmasını önlemek, ilgilileri eğitmek, muhtemel sorunları önceden tespit edebilmek, kriz durumlarında hızlı hareket edebilmek gibi faydalar sağlar. Yasal boşlukların olduğu durumlarda, kuruluşun saldırganlardan karunabilmesi için, politika dokümanları, yasal destek oluşturur.

  • Güvenlik politikası, öncelikle uygulanabilir olmalıdır. Politika kullanıcıların ve sistem yöneticilerinin eldeki olanaklarla uyabilecekleri kurallar ve ilkelerden oluşmalıdır.
  • Politika yeterli düzeyde yaptırım gücüne sahip olmalıdır. Alınan güvenlik önlemleri ve politikayı uygulayan yetkililer yaptırımları uygulayabilecek güçle donatılmalıdır.
  • Politika kapsamında herkesin sorumluluk ve yetkileri açıkça tanımlanmalıdır. Kullanıcılar, sistem yöneticileri ve diğer ilgililerin sisteme ilişkin sorumlulukları ve yetkileri kuşku ve çelişkilere yer bırakmayacak biçimde açıklanmalıdır. Gerekli durumlarda istisnalar ve alternatif uygulamalar açıklanmalıdır.

Güvenlik politikasının kapsamı da nitelikleri kadar önemlidir.

Kuruluşun satınalma politikaları ve prosedürleri ile güvenlik politikası arasında uyum sağlanarak, alınan donanımın güvenlik kurallarına uygun olması sağlanmalıdır.

Uygulanacak olan yasal ve ahlaki mahremiyet koşulları açıklanmalıdır. Elektronik mesajların ve dosyaların okunması, kullanıcı işlemlerinin kaydedilmesi gibi kullanıcıların davranışlarının izlenmesine dönük işlemlerin hangi koşullarda yapılacağı ve bu işlemler yapılırken kullanıcının kişisel haklarının nasıl korunacağı açıklanmalıdır.

Kullanıcıların erişebilecekleri sistem kaynakları ve bu kaynakların kullanılması sırasında uyulması gereken kurallar açıklanmalıdır. Aynı şekilde sistem yönetimi sırasında teknik personelin çalışmalarında uyması gereken kurallar da açıklanmalıdır.

Saldırıların ve diğer sorunların tespitinde kullanıcıların, yöneticilerin ve teknik personelin sorumluluk ve görevleri açıklanmalıdır. Tespit edilen sorun ve saldırıların hangi kanallarla kimlere rapor edileceği açıkça belirtilmelidir.

Kullanıcı hesaplarının oluşturulması ve yönetilmesine ilişkin politika; şifre unutma, şifre değiştirme, yeni şifre tanımlama gibi durumlarda uyulacak kurallar açıklanmalıdır. Şifre gizliliğinin kaybolması konusunda bütün kullanıcı ve sistem yöneticileri uyarılmalı ve yaptırımlar konusunda bilgilendirilmelidir.

Sistemlerin gün içi çalışma takvimleri, veri kaybı durumunda verinin geri getirilmesi koşulları gibi kullanıcının sisteme erişmesini sınırlayan durumlar açıklanmalıdır. Bu durumlarda kullanıcıya, yardımcı olacak prosedür ve birimler belirtilmelidir.

Sistemin bakım ve devamlılığının sağlanmasına ilişkin önlem ve işlemler açıklanmalıdır. Özellikle yedekleme yapılması, yedekleme ortamlarının korunması, sorun giderimi gibi konulara ilişkin sorumluluklar ve işlemler açıklanmalı veya bunların detaylı olarak ele alındığı prosedür dokümanlarına gönderme yapılmalıdır. .

Kural ihlallerinin nasıl ele alınacağı ve hangi yaptırımların uygulanacağı açıklanmalıdır. Gerekli hallerde yasal yollara başvurulabilmesi için yasa ve yönetmeliklere atıfta bulunulmalıdır.

  1. Eldeki kaynaklar tespit edilmelidir.
  2. Muhtemel sorun ve saldırı kaynakları tespit edilmelidir.
  3. Sorun ve saldırıların gerçekleşme olasılığı tespit edilmelidir.
  4. Sistemlerin korunması için maliyet-etkin önlemler önerilmelidir.
  5. Sistemin zayıf noktalarını giderici ve sistemi iyileştirici uygulamalar önerilmelidir.

Donanım, yazılım, veriler, insanlar, dokümantasyon ve sarf malzemeleri gibi aktif ve pasif elemanlar korunması gereken kaynaklardır. Her kaynağın işlerin yapılmasında bir rolü ve bir önemi vardır. Kaynakların sistem içindeki işlevsel önemleri belirlenmelidir.

Genel amaç, sistemlerin hepsini işler halde bulundurmak olsa da, kriz durumlarında kuruluşun çalışabilmesi için gerekli en önemli alt sistemlere öncelik verilmelidir.

Bilgi işlem sistemleri açısından bakıldığında muhtemel sorun ve saldırı kaynaklarını üç grupta toplamak mümkündür.

  • Yetkisiz ve istenmeyen kişilerin kaynakları kullanması (sızma-nüfuz).
  • Değerli verinin kısmen veya tamamen kaybedilmesi.
  • Sistemlerin kısmen veya tamamen çalışmaz hale gelmesi.

Muhtemel sorun ve saldırılar tespit edildikten sonra, öncelikli sistemlere dönük olanlar başta olmak üzere, bir sınıflama, sıralama ve ağırlıklandırma çalışması yapılmalıdır. Daha önceki yaşantılar ve benzer sistemlerde yaşananlar dikkate alınarak sorun ve saldırıların gerçekleşme olasılığı tahmin edilebilir.

Verilmek istenen hizmetler, kullanım kolaylığı ve güvenliğin maliyeti ile uygulanacak olan güvenlik önlemleri arasında denge kurulmalıdır. Hizmetleri aksatacak, kullanımı zorlaştıracak ve maliyeti çok yüksek güvenlik önlemleri kuruluşun sistemlerden elde edeceği toplam faydayı azaltacaktır.

Bazen korunacak sistemin güvenlik ihtiyacı ile güvenlik sağlamanın maliyeti arasındaki ilişki, güvenlik önlemlerinden vazgeçmeyi gerektirir. Basit formülü ile sistemden elde edilecek fayda, sistemin maliyetlerin altında kalmamalıdır. Bununla birlikte, saygınlık gibi sosyal ve psikolojik parametreler yüksek maliyetlere rağmen korunmak zorundadır.

Politikaların geliştirilmesi ve dokümanların hazırlanması belirli bir noktada tamamlanan süreçler değildir. Konuları yaşadığı için politikalar da yaşamak zorundadır.

Sürecin hareketliliği dolayısıyla politika dokümanları kısıtlayıcı ve katı kurallar yerine esnek kurallardan oluşmalıdır. Bazen kısıtlayıcı ve katı kurallara ihtiyaç duyulabilir. Bu durumlarda esneklik sağlamak üzere istisnalar ve alternatif uygulamalar önerilmelidir.

Politikalarda değişiklik yaparken politikanın temel ilke ve kurallarına uygunluk kadar sistemin gelişim yönü de dikkate alınmalıdır. Değişiklik yaparken, verilmek istenen hizmetler, kullanım kolaylığı ve güvenliğin maliyeti ile uygulanacak olan güvenlik kuralları arasındaki denge korunmalıdır.

Güvenlik politikaları, etki alanları ve etkileri dikkate alındığında kuruluştaki herkesi ilgilendirir. Bu nedenle, güvenlik politikası geliştirilirken mümkün olan en uygun yolla temsil edici bir ekip oluşturulmalıdır. Güvenlik politikası geliştirme ekibinde yer almasını önerebileceğimiz kişiler şunlardır:

  • Kuruluşta varsa sistem güvenlik yöneticisi. Veya bir güvenlik danışmanı.
  • Konu ile ilgili bilgi işlem teknik personeli ve yöneticileri.
  • Kuruluşun birim yöneticileri.
  • Kullanıcı temsilcileri.
  • Hukuk danışmanı.

Politika dokümanının temel işlevlerinden biri eğitimdir. Bir diğer işlev kuruluşun yasalar karşısında güçlü kılınmasıdır. Bu iki işlev politika dokümanlarının bütün çalışanlara ve ilgili diğer kişilere yayınlanmasını gerektirir. Doğal olarak, ilgililerin özellikle kendilerini ilgilendiren bölümleri anlayabilmesi ve benimseyebilmesi için özel çaba gösterilmelidir.

Diğer yandan herkesin politika dokümanı kapsamındaki bütün kuralları anlaması gerekmez. Örneğin sistem yöneticileri ve diğer teknik personele dönük yedekleme, raporlama gibi konular bütün kullanıcılar tarafından anlaşılmasa bile politika dokümanının kapsamından çıkarılamaz.

Politika dokümanı bütün halinde yayınlanmalıdır. Dokümanda değişiklikler yapıldığında veya dokümanın göndermeler yaptığı prosedür, yönetmelik ve yasalarda değişiklik olduğunda bu değişiklikler de ilgililere duyurulmalıdır.

Güvenlik politikası, kuruluş yönetiminin desteği olmadan uygulanamaz. Bu nedenle politikanın geliştirilmesi aşamasından başlayarak, yönetimin desteği alınmalıdır.

Dokümanın hazırlanma sürecine yöneticilerin ve kullanıcı temsilcilerinin de katılımı sağlanmalıdır. Böylece ilgililerin sorumluluk alması ve yapılacak olan uygulamaların gereğine inanması sağlanabilir.



 
Telefon: +90 (544) 421 49 89
E-mail: dakkurt@yahoo.com
© 2014 Dursun Akkurt, Tasarım: Dursun Akkurt - http://www.ak-kurt.com
© Telif Hakkı ve Yasal Kullanım Koşulları