Cumhurbaşkanlığı Bilgi ve İletişim Güvenliği Rehberi konulu webinara ait sunumdur.
Sunum içerisinde aşağıdaki konuları bulabilirsiniz;
Rehberde neler var?
- Nmap kullanımı: Nmap ile sistem tespiti ve siber hijyen
- Masscan: Hızlı tarama için Nmap'e alternatif
- Zenmap: Windows ile tarama yapmak
- Nmap ile zafiyet tespiti
- Sanallaştırma güvenliği
- Bulut bilişim güvenliği
- Saas güvenliği: Software as a Service güvenliği
- IaaS güvenliği: Infrastructure as a Service güvenliği
- PaaS güvenliği: Platform as a Service
- Uygulama güvenliği
- Veri güvenliği ve Kişisel Verilerin Korunması Kanunu
2. Sparta Bilişim
• 2013 Yılında kuruldu
• Sadece siber güvenlik alanında hizmetler
veriyor
• Türkiye genelinde 300’den fazla kuruluşa
hizmet veriyor
www.sparta.com.tr
3. Hizmetlerimiz
• Sızma testi
– Ağ sızma testleri
– Web uygulama sızma testleri
– Mobil uygulama sızma testleri
– Kablosuz ağ sızma testleri
– Hizmet dışı bırakma (DoS/DDoS) testleri
– Sosyal mühendislik testleri
– Fiziksel sızma testleri
www.sparta.com.tr
• Danışmanlık
• ISO 27001
• KVKK
• Periyodik ziyaretler
• SOME danışmanlığı
• İş sürekliliği
• Eğitimler
• Sızma testi
• SOME
• Siber güvenlik
• Siber istihbarat
• CISSP
4. Bugün Neler Konuşacağız?
• Rehberin ana hatları (Uygulama yapılacaktır)
• Değişiklik yönetimi kavramı
• Varlık yönetimi temelleri
• Varlık yönetimi için kullanılabilecek ücretsiz ve/veya açık kaynak
yazılımlar (Uygulama yapılacaktır)
• Sanallaştırma güvenliği (Uygulama yapılacaktır)
• Bulut bilişim güvenliği (Uygulama yapılacaktır)
• Veri güvenliği ve veri sızıntılarında kullanılan tünelleme yöntemleri
• Ek-A: "Genelge Maddeleri Eşleştirme Tablosu" nasıl kullanılır?
• Ek-B: "Uluslararası Standart Eşleştirme Tablosu" üzerinden güvenlik
yol haritasının belirlenmesi
• Ek-C.1: Varlık kritiklik seviyesi nasıl belirlenir?
• Ek-C.3: Boşluk analizinin yapılması
www.sparta.com.tr
5. Rehber Kimin İçin?
Kamu kurum ve kuruluşları ile kritik altyapı
niteliğinde hizmet veren işletmeler
www.sparta.com.tr
6. Rehber Kimin İçin?
Kamu kurum ve kuruluşu ile kritik altyapı
niteliğinde hizmet veren işletme DEĞİLİZ!!!
www.sparta.com.tr
7. Neden?
• Kamu kurum ve kuruluşları ile kritik altyapı
niteliğinde hizmet veren işletmelerin bilgi
ve iletişim güvenliği kapsamında genel
olarak alması gereken tedbirleri belirlemek
www.sparta.com.tr
8. Hedefler
1. Yerli ve milli ürün kullanımının teşvik edilmesi
2. Rehberi uygulayacak kurum ve kuruluşlarda yapılacak mükerrer çalışmaların ve
yatırımların önüne geçilmesi
3. Güvenlik tedbirlerinin üç seviyeli olacak şekilde derecelendirilmesi ve varlık gruplarına
güvenlik dereceleri ile uyumlu asgari güvenlik tedbirlerinin uygulanması
4. Rehberin güvenlik tedbirleri ile ilgili detayların izlenebilirliğinin sağlanacak şekilde
yapılandırılması
5. Güvenlik tedbirlerinin ürün ve teknoloji bağımsız olarak uygulanabilir olması
6. Güvenlik tedbirlerinin uygulanıp uygulanmadığının denetlenebilmesi
7. Güvenlik tedbirlerinin birbirinden bağımsız şekilde uygulanabilirliğini sağlayacak şekilde
gruplandırılması ve rehberin modülerliğinin sağlanması
8. Tedbirlerin teknik olarak tüm kurum ve kuruluşlar tarafından uygulanabilir olması
9. İhtiyaçlar, gelişen ve değişen şartlar dikkate alınarak rehberin sürdürülebilirliğinin
sağlanması
10. Rehberin format ve içeriğinin özgün olması
11. Rehberin hem güvenlik tedbirlerini uygulayacak personele hem de bu tedbirlerin
uygulanıp uygulanmadığını kontrol edecek denetçilere hitap etmesi
12. Rehber içeriğinin bilgi güvenliği çerçevesinde oluşturulmuş mevzuat ve rehberler ile
ulusal/uluslararası standartlara uyumlu olması
www.sparta.com.tr
9. Hedefler
1. Yerli ve milli ürün kullanımının teşvik edilmesi
2. Rehberi uygulayacak kurum ve kuruluşlarda yapılacak mükerrer çalışmaların ve
yatırımların önüne geçilmesi
3. Güvenlik tedbirlerinin üç seviyeli olacak şekilde derecelendirilmesi ve varlık gruplarına
güvenlik dereceleri ile uyumlu asgari güvenlik tedbirlerinin uygulanması
4. Rehberin güvenlik tedbirleri ile ilgili detayların izlenebilirliğinin sağlanacak şekilde
yapılandırılması
5. Güvenlik tedbirlerinin ürün ve teknoloji bağımsız olarak uygulanabilir olması
6. Güvenlik tedbirlerinin uygulanıp uygulanmadığının denetlenebilmesi
7. Güvenlik tedbirlerinin birbirinden bağımsız şekilde uygulanabilirliğini sağlayacak şekilde
gruplandırılması ve rehberin modülerliğinin sağlanması
8. Tedbirlerin teknik olarak tüm kurum ve kuruluşlar tarafından uygulanabilir olması
9. İhtiyaçlar, gelişen ve değişen şartlar dikkate alınarak rehberin sürdürülebilirliğinin
sağlanması
10. Rehberin format ve içeriğinin özgün olması
11. Rehberin hem güvenlik tedbirlerini uygulayacak personele hem de bu tedbirlerin
uygulanıp uygulanmadığını kontrol edecek denetçilere hitap etmesi
12. Rehber içeriğinin bilgi güvenliği çerçevesinde oluşturulmuş mevzuat ve rehberler ile
ulusal/uluslararası standartlara uyumlu olması
www.sparta.com.tr
23. Varlık Grubu Ana Başlıkları
• Ağ ve Sistemler
• Uygulamalar
• Taşınabilir Cihaz ve Ortamlar
• Nesnelerin İnterneti (IoT) Cihazları
• Fiziksel Mekânlar
• Personel
www.sparta.com.tr
24. Varlık Grubu Ana Başlıkları
• Tüm kurumsal varlıkların hangi varlık grubu ana başlığı altında yer
alacağının belirlenmesi
• Tüm kurumsal varlıkların mümkün olduğunca tek bir varlık grubunda yer
almasının sağlanması (Birden fazla varlık grubu tarafından adreslenmesi
gereken kurumsal varlıklar, kritiklik derecesi en yüksek olan varlık grubu
üzerinden değerlendirilmeli ve dâhil edildiği tüm varlık grupları ile ilgili tedbir
maddeleri kurumsal varlık için ele alınmalıdır.)
• Varlık gruplarının tanımlanması için kullanılacak alt kırılımların kurumsal
ihtiyaçlar doğrultusunda belirlenmesi (kurum hizmet alanları, kurum
organizasyon yapısı, teknolojiler, uluslararası iyi örnekler, BT altyapıları vb.)
• Aynı güvenlik izolasyonunda yer alan varlıkların mümkün olduğunca aynı
varlık grubuna dâhiledilmesi
• Farklı güvenlik seviyesine sahip olması gereken varlıkların farklı varlık
gruplarında olacak şekilde gruplandırılması
• Aynı seviyede güvenlik tedbirlerinin uygulanacağı düşünülen varlık
gruplarının birleştirilerek varlık grubu sayısının azaltılması
• Her bir varlık grubu ana başlığı altında yer alan varlık gruplarının sayılarının
yönetilebilecek sayıda olmas
www.sparta.com.tr
31. Değişiklik Yönetimi
• Değişiklikler sürekli izlenmelidir:
– Yeni varlık gruplarının oluşturulması
– Varlık gruplarında yer alan varlıkların değişmesi
– Mevcut varlık grupları yerine farklı varlık
gruplarının tanımlanması
– Varlık gruplarının kritiklik derecelerinin değişmesi
– Varlık gruplarına uygulanacak uygulama ve
teknoloji alanlarının değişmesi
– Varlık gruplarını etkileyen mevzuat, standart veya
ikincil düzenlemelerin değişmesi
www.sparta.com.tr
32. Varlık Grubuna Yönelik Güvenlik Tedbirleri
• Ağ ve Sistemler
• Uygulamalar
• Taşınabilir Cihaz ve Ortamlar
• Nesnelerin İnterneti (IoT) Cihazları
• Fiziksel Mekânlar
• Personel
www.sparta.com.tr
33. Ağ ve Sistem Güvenliği
• Donanım Varlıklarının Envanter Yönetimi
• Yazılım Varlıklarının Envanter Yönetimi
• Tehdit ve Zafiyet Yönetimi
• E-Posta Sunucusu ve İstemcisi Güvenliği
• Zararlı Yazılımlardan Korunma
• Ağ Güvenliği
• Veri Sızıntısı Önleme
• İz ve Denetim Kayıtlarının Tutulması ve İzlenmesi
• Sanallaştırma Güvenliği
• Siber Güvenlik Olay Yönetimi
• Sızma Testleri ve Güvenlik Denetimleri
• Kimlik Doğrulama ve Erişim Yönetimi
• Felaket Kurtarma ve İş Sürekliliği Yönetimi
• Uzaktan Çalışma
www.sparta.com.tr
37. Sanallaştırma Güvenliği
• Sanallaştırma platformlarına yönelik tehditler:
– Saldırılar
– Sanal makine «snapshot» güvenliği
– Sanal sistem ve fiziksel makine arası geçirgenlik
– Sanal makine «çokluğu»
– Zararlı yazılım
www.sparta.com.tr
38. Sanallaştırma Güvenliği
• Sanallaştırma platformu güvenliği için
– En düşük yetki kullanımı
– Bağlantıları denetimi (firewall, VLAN ve ACL)
– Bütüncül güvenlik (sanal makine, fiziksel makine,
platform, vs. güncellemeleri)
– Yedekleme ve yedekten dönme planı
www.sparta.com.tr
39. Bulut Güvenliği
• Bulut nedir?
– Saas: Software as a Service
– PaaS: Platform as a Service
– IaaS: Infrastructure as a Service
– Hybrid?
www.sparta.com.tr
41. Bulut Güvenliği
• Bulutta güvenlik sorumluluklarımız
www.sparta.com.tr
Senaryo Bizim Hizmet Sağlayıcı
SaaS Ayarlar Veri
PaaS Uygulama Sistem
IaaS İşletim sistemi
Uygulama
Donanım
Fiziksel güvenlik
42. Uygulama ve Veri Güvenliği
• Kimlik Doğrulama
• Oturum Yönetimi
• Yetkilendirme
• Dosyaların ve Kaynakların Güvenliği
• Güvenli Kurulum ve Yapılandırma
• Güvenli Yazılım Geliştirme
• Veri Tabanı ve Kayıt Yönetimi
• Hata Ele Alma ve Kayıt Yönetimi
• İletişim Güvenliği
• Kötücül İşlemleri Engelleme
• Dış Sistem Entegrasyonlarının Güvenliği
www.sparta.com.tr
43. Veri güvenliği
• Sistemleri izlemek veriyi izlemek için yeterli
değildir
– Veri nereye gidiyor?
– Hangi kullanıcı hangi veriye ulaşabiliyor?
– Hangi kullanıcı hangi veriye ulaştı?
www.sparta.com.tr
44. 8 adımda veri güvenliği
1. Veri keşif çalışmaları
2. Veri sınıflandırma
3. Veri izleme
4. Veri kayıp engelleme
5. Şifreleme
6. Kimlik yönetimi
7. Sürekli izleme
8. Eğitim
www.sparta.com.tr
45. 8 adımda veri güvenliği
• Kimlik yönetimi
– Ağırlıklı olarak AD
www.sparta.com.tr
46. 8 adımda veri güvenliği
• Kimlik yönetimi
– Ağırlıklı olarak AD
www.sparta.com.tr
47. Kişisel Verilerin Güvenliği
• Kayıt Yönetimi
• Erişim Kayıtları Yönetimi
• Yetkilendirme
• Şifreleme
• Yedekleme, Silme, Yok Etme ve Anonim Hale
Getirme
• Aydınlatma Yönetimi
• Açık Rıza Yönetimi
• Kişisel Veri Yönetim Sürecinin İşletilmesi
www.sparta.com.tr
48. Kişisel Verilerin Güvenliği
• Şifreleme
– Veriler şifreli mi tutuluyor?
– Gereksiz veri tutuluyor mu?
www.sparta.com.tr
49. Kişisel Verilerin Güvenliği
• Şifreleme
– Veriler şifreli mi tutuluyor?
– Gereksiz veri tutuluyor mu?
– Minimumu yapıyor muyuz?
• Yerel ağdaki uygulamalarda SSL/TLS
– SSLSCAN
www.sparta.com.tr
50. Sıkılaştırma Tedbirleri
• Genel Sıkılaştırma Tedbirleri
• Linux İşletim Sistemi Sıkılaştırma
Tedbirleri
• Windows İşletim Sistemi Sıkılaştırma
Tedbirleri
www.sparta.com.tr