Page 41 - bilgem-teknoloji-dergisi-5
P. 41

Fikret OTTEKİN  Kurumsal Bilgi Güvenliğine Işık Tutan Standartlar
 Yazılım Geliştirme İlkeleri Süreci
                           12.6 Teknik Açıklık Yönetimi                                13.2 Bilgi Güvenliği
 12.2
 Uygulamların  Yazılı                                                                     Olaylarının
 doğru  Kaynakların                Yazılı                                                 Yönetilmesi
 çalışması  İzlenmesi  Yazılım  Kaynakların
 ihtiyaçları                     İzlenmesi
 Standarttaki  Güncel tehdit                                         Bilgi Güvenliği
 önlemler  ve açıklıklar                               Yama          Olaylarına                                13.1
                                                      Yönetimi       Müdahale ve                               Bilgi güvenliği
                            Güncel tehdit                            iyileştirmeler     10.10.2                olaylarının ve
                            ve açıklıklar                                               Sistem kullanımının    zayıflıkların rapor
                                                                                                               edilmesi
 Gözden                                                                                 gözlenmesi
 Yazılım
 Geçirme  İlkelerin  Geliştirme
 ve Test  Sık  Belirlenmesi  Uygulanacak                                                     Kurum
 yapılan  ilkeler
 hatalar
              Teknik              Önlem             Yapılandırma
 Envanterdeki  Güvenlik         Havuzunun            Yönetimi
 yazılım,     Testleri  Bulunan  Oluşturulması                          Şekil 12.  Bilgi güvenliği olaylarının algılanması ve yönetilmesi.
 programlama dili      hatalar
 ve geliştirme
 araçları                                                              İş sürekliliği yönetimi (ISO 27002, 14)
 7.1.1  Yazılım          Envanterdeki ağ
 Varlık Envanteri        cihazları, işletim
                         sistemleri, vb...
                                               Önlemlerin uygulanması  İş sürekliliği yönetimi, büyük arıza, sabotaj veya doğal afetlerin
                                                                     kurum bilgi sistemlerinde yaratacağı olumsuz etkileri önleyici
                                                 Varlık Sahipleri
                                   7.1.1                             ve giderici eylemlerin belirlenmesi ve bu önlemlere ait atama,
                               Varlık Envanteri
                                                    Varlıklar        tatbikat, belgeleme ve diğer çalışmaların kurum bünyesinde
 Şekil 10.  Uygulamaların doğru çalışması.                           bir süreç olarak yaşatılması anlamına gelir [11] (Şekil 13).
 3. Geliştirilen yazılımlarda, çapraz gözden  Bu alanda zayıflık oluşmaması için  Şekil 10 ve 11’in incelenmesiyle  Şekil 11.  Teknik açıklık yönetimi.  Kuruma ait bilgi sistemleri gözden geçirilerek önemli iş
 geçirme ve test yapılarak sıkça yapılan  “Teknik açıklık yönetimi”nin ilgili  standardın 12.2 ve 12.6 maddelerindeki  süreçleri ve bilgi varlıkları belirlenir ve kurumun iş sürekliliği
 hataların belirlenmesi,  kurumda bir süreç olarak oluşturulması  güvenlik önlemlerinin gerçekleştirilmesi  5. Gizlilik ve bütünlüğü bozan ihlaller,  konusundaki gereksinimi gerçekçi bir biçimde belirlenir.
 gerektiği standart tarafından  için benzer yapılanmalara gereksinim  Bu kapsamda;
 4. İlk üç maddede elde edilen veriler göz  belirtilmektedir. Sürecin başarı ile  olduğu görülür. Varlık envanterinin, test  6. Bilgi sisteminin kötüye kullanılması
 önünde bulundurularak güvenli yazılım  çalışabilmesi için varlık envanterinin  sonuçlarının ve yazılı kaynakların  1. Kritik iş süreçlerinin ve bunlarla ilgili varlıkların belirlenmesi,
 geliştirme ilkelerinin belirlenmesi ve  güncel ve eksiksiz olarak (yazılım içeren  izlenmesini gerçekleştirecek bir “Bilgi  ve gerekli görülen diğer durumlarda çalıştırılacak prosedürler  bunları etkileyecek tehditlerin ve gerçekleşme olasılıklarının

 5. Belirlenen ilkelerin kurumda yazılım  varlıkların üstündeki yazılımlar, bu  Güvenliği Teknoloji Sorumlusu”, her iki  oluşturulur. Bunlara ek olarak;  belirlenmesi,
 geliştiren tüm personele bildirilmesi  yazılımların sürümleri, envantere girme  sürecin sorumluluğunu üstlenebilir.  1. Olayın nedeninin belirlenmesi ve tekrarına engel olmak  2. Bu risklerin azaltılmasını sağlayacak önlemlerin belirlenmesi,
 tarihi ve benzeri) tutulması gerekir [5].  için düzeltici faaliyetlerin gerçekleştirilmesi,
 işlerini gerçekleştiren bir “Yazılım  Teknik açıklık yönetimi süreci kapsamında  Bilgi güvenliği olaylarının yönetilmesi  bunlar için parasal ve kurumsal kaynak ayrılması (Kurumda
 Geliştirme İlkeleri Süreci” (Şekil 10)  aşağıdaki işlemler gerçekleştirilir:  (ISO 27002, 13.2)  2. Kanıt toplama ve ilgili makamlara iletme,  belirlenen önlemlerin var olan önlemlerle karşılaştırılması),
 oluşturulmalıdır.                                                    3. İş sürekliliği planlarının geliştirilmesi ve belgelenmesi,
 1. Her süreçte olduğu gibi rol ve  ISO 27002 uyarınca, rapor edilen bilgi  3. Canlı sisteme yalnızca yetkili personelin müdahale etmesi,
 Teknik açıklık yönetimi (ISO 27002,  sorumlulukların belirlenmesi,  güvenliği olaylarına hızlı ve etkili karşılık  4. Planların düzenli olarak test edilmesi (“tatbikat” olarak da
 12.6)  verebilmek için tutarlı bir yaklaşımın  4. Yapılan müdahalenin belgelenmesi,  adlandırılabilir) ve güncellenmesi sağlanır.
 2. Kurum varlıklarının ve bilgi  oluşturulması, prosedür ve sorumlulukların
 Teknik açıklık yönetimi kısaca “Teknik  sistemlerinin önemi göz önünde  tanımlanması, bilgi güvenliği olaylarıyla  5. Müdahalelerin düzenli olarak yönetime bildirilmesi ve
 açıklıklardan kaynaklanan risklerin  bulundurularak belirlenecek bir sıklıkta  ilgili izleme, değerlendirme, müdahale ve  yönetim tarafından gözden geçirilmesi
 yönetilmesi” olarak tanımlanır [9]. Teknik  “Teknik Güvenlik Testleri”nin yinelenmesi,  gerektiğinde kanıt toplama çalışmalarının  6. Bilgi sistemlerinin bütünlüğünün en az gecikme ile
 açıklıklar, sunucu bilgisayarlarından çeşitli  bir süreç yaklaşımı içerisinde (gözden  sağlanması
 ağ birimlerine kadar uzanan geniş bir  3. Envanterdeki varlıkların açıklıkları ile  geçirilerek ve iyileştirilerek)
 yelpaze üstünde çalışan yazılımların yama  ilgili bilgi üreten kaynakların belirlenmesi,  gerçekleştirilmesi gerekir [10].  konuları da prosedürler çerçevesinde düzenlenir. Bilgi güvenliği
 yönetimi, yapılandırma ayarları ve diğer  (uygulama yazılımı konusunda olduğu gibi  olaylarının algılanması konusunda
 teknik özelliklerinden kaynaklanan  bu konuda da dünyada son derece aktif  Bilgi güvenliği olaylarına müdahale ile  a) Olay ve zayıflıkların rapor edilmesine (ISO 27002, 13.1 alt
 açıklıklardır. Bunların izlenmesini ve  bir saldırı ve savunma sektörü oluşmuştur),  ilgili olarak
 kapatılmasını konu alan 12.6 maddesi de  güncellenmesi ve izlenmesi,  1. Bilgi sistemi arızası,  başlığı) ek olarak
 ISO 27002 “12.2 Uygulamaların doğru  4. Belirlenen açıklıkları içeren varlıkların  b) Sistem kullanımının düzenli olarak gözlenmesi de (ISO
 çalışması” maddesi gibi standardın 2005  sahipleri ile eş güdüm  2. Virüs saldırısı,  27002, 10.10.2 alt başlığı)
 sürümünde en önemli güvenlik
 uygulamaları arasına katılmış olup bu iki  5. Yama vb. önlemlerin test edilmesi ve  3. Servis dışı bırakma saldırısı,  önemlidir (Şekil 12).
 başlıkta ele alınan konular birbirini  varlık sahipleriyle eş güdümlü olarak  4. Eksik veya hatalı veri girişi,  Şekil 13.  İş sürekliliği yönetimi.
 tamamlar niteliktedir.  uygulanması (Şekil 11).


 38  Sayı 05   Ocak-Nisan 2011  http://www.bilgem.tubitak.gov.tr/  39
 ·
   36   37   38   39   40   41   42   43   44   45   46