1
YBS4004 Sistem Güvenliği
Hafta 2Bilgi Güvenliği'nde Temel
Kavramlar – Bölüm 2
Dr. Öğr. Üyesi Mete Eminağaoğlu
2
ISO 27001 Bilgi Güvenliği Yönetimi
• Güvenlik Politikası• Bilgi Güvenliği Organizasyonu• Varlık Yönetimi• İnsan Kaynakları Güvenliği • Fiziksel ve Çevresel Güvenlik• Haberleşme ve İşletim Güvenliği• Erişim Kontrolü• Bilgi Sistemleri Geliştirme ve Bakımı• Bilgi Güvenliği İhlal Olayı Yönetimi• İş Sürekliliği Yönetimi• Yasal Uyum
3
Bazı Temel Kavramlar
• ISO 27001’de 11 temel bilgi güvenliği alanı / kontrol amacı bulunmaktadır:
Güvenlik Politikası
Bilgi Güvenliği Organizasyonu
Varlık Yönetimi
İnsan Kaynakları Güvenliği
Fiziksel ve Çevresel Güvenlik
Haberleşme ve İşletim Güvenliği
Erişim Kontrolü
Bilgi Sistemleri Edinim, Geliştirme ve Bakımı
Bilgi Güvenliği İhlal Olayı Yönetimi
İş Sürekliliği Yönetimi
Yasal Uyum
4
Bazı Temel Kavramlar
• Veriler (data): bir kavram, varlık veya konunun herhangi bir simge öbeği ile ifade edilmesidir.
• Bilgi (information): herhangi bir konu veya varlık ile ilgili verilerin bir araya gelmesi ile ortaya çıkan açıklayıcı bir bütündür.
• Bilgi, kişiler veya kurumlar için anlamlı olması yanı sıra belli maddi veya manevi değer de içermektedir. Belli süreçler ya da işlemler sonunda bu bilgiler kazanılmış
bilgiye (knowledge) dönüşmektedir.
• Bilgiler sadece Internet, bilgisayarlar, vb. elektronik biçimde bulunmaz. Kağıt belgeler, manyetik ortamlarda tutulan ses, görüntü kayıtları, vb. diğer bilgi biçimleri
olabildiği gibi, kişilerarası sözlü iletişimle de ifade edilebilir.
5
Bazı Temel Kavramlar
• Bilgi güvenliği, üç temel öğeden oluşur:
Gizlilik
Bütünlük
Kullanılabilirlik
• Gizlilik (confidentiality): bilginin yetkisiz kişiler, varlıklar ya da süreçlerce kullanılamaması ya da bu gibi yetkisiz unsurlara ifşa edilmemesidir.
• Bütünlük (integrity): bilgi varlıklarının doğruluğunu ve tamlığını koruma özelliğidir.
• Kullanılabilirlik (availability): bir bilginin veya bilgi sisteminin sadece yetkililer tarafından ve o yetkililerin gereksinim duyduğu anlarda erişilebilir ve kullanılabilir
olma özelliğidir
• Bu üç temel öğenin korunması ile bilgi güvenliği sağlanır. Bu amaca yönelik bilgi güvenliği yönetimi standardı ISO/IEC 27001:2005’tir.
6
Bilgi Çağı
Risk Yönetimi...
Risk = Varlığın Değeri x Zayıflık x Tehdit x Oluşma Olasılığı
Bilgi Güvenliği Yönetimi - Riskler
7
Kullanıcı Hatası
DoS saldırısı
Yazılım hatası
Sunucu hatası
Yerleşke kaybı
Olasılık
Etki
Bilgi Güvenliği Yönetimi - Riskler
8
Olasılık
Etki
Riskleri Kabul Et
Riskleri İzle ve Yönet
En Üst Düzey Risk Yönetimini Uygula
Bilgi Güvenliği Yönetimi - Riskler
9
Bazı Temel Kavramlar
• Bilgi Güvenliği Riskleri: Bir bilgi varlığına (asset), o varlığın zayıflıklarından (vulnerabilities) yararlanan tehditlerin (threats) ortaya çıkardığı veya gerçekleştirdiği kayıp (loss) veya etki (impact) bileşkesidir. İlgili riskin ne kadar olabilirlikle (likelihood) veya hangi olasılıkla (probability) gerçekleşebileceğine bağlıdır.
10
Bazı Temel Kavramlar
• Risk: Zarara uğrama tehlikesidir. Bir zarara, kayba, tehlikeye yol açabilecek bir olayın ortaya çıkma olasılığıdır.
• Risk yönetimi: Risklerin oluşma olasılıklarını veya oluşan risklerin etkilerini azaltacak ya da riskleri tamamen ortadan kaldıracak her türlü eylem. İki ana
aşaması vardır:
Risk Analizi (Tanımlama, Ölçme, Değerlendirme)
Risk İşleme (Sağaltım)
• Risk İşleme (İng. Treatment) için 4 alternatif yöntem: Riskin azaltılması
Riskin kabul edilmesi,
Riskin transferi, tamamen üçüncü bir tarafa devredilmesi (sigortalama, vb)
Risk kaynağının yok edilmesi
11
Bazı Temel Kavramlar
• Bilgi Güvenliği Risk Analizi ve Değerlendirmesinde 2 değişik yöntem vardır:
Nicel Yöntemler
Nitel Yöntemler
(Bazı kaynaklarda 3. yöntem: İkisinin birlikte kullanıldığı melez nitel-nicel)
• Nicel (Quantitative) Yöntemler: Bilgi varlıklarının gerçek veya gerçeğe yakın ölçülmüş parasal değerleri, tehdit ve zayıflıkların etki etme olasılığının (probability)
istatistiksel olarak nesnel şekilde ölçüldüğü değerler ve riskin gerçekleşmesi
durumunda oluşacak kaybın da gene gerçekçi maliyet (para değeri) olarak
tanımlanabildiği yöntemler.
12
Bilgi Güvenliği Riskleri – Çeşitleri ve Ölçümlenmesi
• Nitel (Qualitative) Tüm değerler [1-3], [1-5], [1-10] vb göreceli ölçek düzeyleriyle (düşük, orta, yüksek, vb) tanımlıdır.
Risk = Etki * Olasılık (Olasılık; Zayıflık ve Tehdidin bileşkesi)
• Nicel (Quantitative) Varlık değerleri de dahil, tüm değerler gerçek sayısal (daha çok parasal) tanımlıdır.
Olaslık değerleri, 0 – 1 arası istatistiksel olasılık değerleridir.
Riskin herhangi bir anda, bir kez gerçekleşmesi (Single Loss Expectancy) durumunda sayısal ve
parasal kayıp hesaplanır
Riskin bir yıl içinde gerçekleşmesi (Annual Loss Expectancy) olasılığı için sayısal ve parasal kayıp
hesaplanır.
13
Bazı Temel Kavramlar
• Nitel (Qualitative) Yöntemler: Gerçek sayısal değerler, finansal maliyetler ve daha önceden hesaplanmış istatistiksel gözlemlere bağlı olasılıklar yoktur. Öznel
değerlendirmeye bağlı olan, göreceli, sayısal olmayan değerler kullanılmaktadır.
Bir tehdidin etki etme ve zarar verme olasılığı genelde olasılık (probability) yerine,
olabilirlik (likelihood) olarak tanımlanır.
Bilgi varlıklarının değeri: “Düşük”, “Orta”, “Yüksek”, vb nitel değerler, sınıflar.
Olabilirlik (olasılık) değeri “Düşük”, “Orta”, “Yüksek”, vb nitel tanımlamalar, değerler.
Riskin gerçekleşmesi durumunda oluşacak zarar veya etki: “Düşük”, “Orta”, “Yüksek”, vb nitel
değerler.
14
Bazı Temel Kavramlar
Tüm nitel sınıflandırmalar aynı zamanda göreceli bir ölçekte tanımlanır. Genelde beşli ölçek (scale) kullanılır. (1 en düşük, 5 en yüksek, vb) Bazen üçlü, sekizli veya onlu ölçekler de kullanılmaktadır.
Ölçekte karşılık gelen olabilirlik değeri ile zararın kartezyen çarpımı alınır. Bazı yöntemlerde, toplamı alınabilir. Olabilirlik - Zarar matrisi oluşturulur. Böylece risk değerleri belli bir ölçek içerisinde hesaplanır ve sıralanır.
Belirlenen kabul edilebilir risk eşik düzeyinden yüksek olan riskler, risk işleme sürecine katılır.
15
Bazı Temel Kavramlar
• Örnek bir nitel bilgi güvenliği risk analizi
16
Bazı Temel Kavramlar
• ISO/IEC 27005:2008
Bilgi Güvenliği Risk Yönetimi Standardı
Kurumların bilgi güvenliği risklerini değerlendirmek amacı ile genel kapsamda bir çerçeve
sunmaktadır. Örnekler, tanımlar, yöntemler ve modelleri içerir.
17
İÇERİĞİ BELİRLE
RİSK KARAR NOKTASI - 1
Değerlendirme Başarılı mı?
RİSK ANALİZİ
RİSK KARAR NOKTASI - 2
Riskleri Kabul Et
Evet
Hayır
Hayır
Evet
RİSK DEĞERLENDİRMESİ
RİSKİ KABUL ET
RİSK İŞLEMESİ
RİSK TANIMLAMASI
RİSK KESTİRİMİ
RİSK ÖLÇÜMÜ
RİS
K İL
ET
İŞİM
İR
İSK
LE
Rİ İZ
LE
VE
GÖ
ZD
EN
GE
ÇİR
ISO 27005
18
RİSKİ KABUL ET
RİSKİ DEVRET
RİSK İŞLEMESİ / RİSKLE BAŞ ETME SEÇENEKLERİ
RİSKTEN KAÇIN
RİSKİ AZALT
Evet
Hayır
KALAN RİSK
RİSK DEĞERLENDİRMESİ
RİSK DEĞERLENDİRME SONUÇLARI
RİSK KABUL EDİLEBİLİR
DÜZEYDE Mİ?
ISO 27005
19
Risk Assessment
• For the risk assessment process; you should identify, calculate and analyse the below;
assets – what do I have?
threats – what / who will attack / damage / destroy it?
vulnerabilities – is the asset at risk?
controls (or countermeasures, etc.) – can I reduce the risk?
likelihood – will it happen?
impacts (consequences) – how much do I lose?
20
Assets
• Hardware• Software• System interfaces (e.g., internal and external connectivity)• Data and information• People who support and use the systems• Infrastructure (electricity, cables, UPS, power supplies, etc. Air ventilation,
etc)
• System mission (e.g., the processes performed by the IT system)
21
Threats
• Set of circumstances that has the potential to cause loss or harm Natural Threats (hazards, earthquakes, volcanic eruption, flood, tornado, etc.)
Human Threats (hackers, disgruntled employee, careless people, terrorists, etc.)
Environmental Threats (fire, dust, humidity, etc.)
Technical Threats (license expiration, software bugs, electrical problems, etc.)
22
Vulnerabilities
• Any weakness, flaw, problem, etc that the threats could expose; Unawareness of employees
Users being careless or irresponsible
Non-patched software
Low salaries paid to software development team
Data center in a weakly constructed building
Lack of change management in the IT project
No SLA, contract, etc. signed with the outsourced service provider
…….
• Risks and exposures; due to (m x n) relationship of threats «-»vulnerabilities
23
Controls (Countermeasures / Safeguards)
• They are the mechanisms or procedures for mitigating vulnerabilities.• Preventative vs. Detective vs. Corrective• Technical vs. Physical vs. Administrative• Reduce likelihood vs. reduce impact• Evaluate existing controls; propose new controls• Understand cost and coverage of control
24
Examples of Controls (Countermeasures / Safeguards)
• Make password changes mandatory• Encrypt data / files• Hardware/software training for personnel• Use a software life cycle development method• Conduct hardware/software inventory• Designate critical programs/files• Use password protected screen saver & lock PCs / terminals • Monitor maintenance personnel• Develop an off-line secondary backup data center• Pass every item from X-ray while entering the building• Use verification & validation procedures during the software development• Make every employee sign an information non-disclosure policy
25
Examples of Controls (Countermeasures / Safeguards)
• Policy documents and their usage• Management• Business Continuity• Financial Strategies• Improving the Project Plan• Incident Response• Education, Training and Awareness• Identification and Authentication• Cryptography• ….
26
Impacts (Consequences)
• If something happens, how bad will it be?• Need to know the value of the asset and how much of that asset will be lost upon
a risk occurs.
27
Example Scenario
•Company X is planning on deploying a web-interface shopping site.
What are the assets?
What are the vulnerabilities?
What are the threat-sources?
What are possible controls?
28
Types of Risk Analysis
• Quantitative Assigns real numbers to costs of safeguards and damage
Annual loss expectancy (ALE)
Probability of event occurring
Can be unreliable / inaccurate
• Qualitative Judges an organization’s relative risk to threats
Based on judgment, intuition, and experience
Ranks the seriousness of the threats for the sensitivity of the asserts
Subjective, lacks hard numbers to justify return on investment
29
A. Quantitative Risk Analysis - Outline
1. Identify and value assets2. Determine vulnerabilities and impact3. Estimate likelihood* (most of the time, statistical probability) of
exploitation
4. Compute Annual Loss Expectancy(ALE)5. Survey applicable controls and their costs6. Project annual savings from control
30
A. Quantitative Risk Analysis - Örnek
• Risk exposure = (Risk:impact) x (Risk:probability) Loss of iPad: risk’s impact is cost to replace it, e.g. $10,000
Probability of iPad loss: 0.10
Risk exposure or expected loss (SLE, Single Loss Expectancy)
= 10,000 x 0.10
= $1,000
• Generally measured per year Annual Loss Expectancy (ALE)
ALE = SLE x (no. of occurences in 1 year)
(he lost his iPad 2 times in the last 5 years)
ALE = 1,000 x (2/5) = $400
31
A. Quantitative Risk Analysis
• Cost benefits analysis of controls• Risk Leverage to evaluate value of control (Cost / Benefit Analysis or
Calculation of Feasibility / Effectiveness of Security
=(cost of expected risk before security controls or solutions) – (cost of expected risk after security solutions) - (cost of security solution/control)
in other words,
= (ALE before security)– (ALE after security) – (Cost of security)
Finally, If the result is > 0 then it can be accepted as feasible.
32
B. Qualitative Risk Analysis
• Generally used in Information Security Hard to make meaningful valuations and meaningful probabilities
Relative ordering is faster and more important
• Many approaches to performing qualitative risk analysis• Same basic steps as quantitative analysis
Still identifying asserts, threats, vulnerabilities, and controls
Just evaluating importance differently
33
Top Related