KAMU KURUMLARI BT GÜVENLİK ANALİZ SONUÇLARI VE ÇÖZÜM ÖNERİLERİN

1. TÜBİTAK ULUSAL ELEKTRONİK VE KRİPTOLOJİ ARAŞTIRMA ENSTİTÜSÜ
TÜRKİYE KAMU KURUMLARI
BT GÜVENLİK ANALİZ SONUÇLARI VE
ÇÖZÜM ÖNERİLERİ
Mehmet ERİŞ
Uzman Araştırmacı
eris@uekae .tubitak.gov.tr
(262) 648 1527

2. HİZMETE ÖZEL
Gündem
Çalışmaların Amacı
Çalışma Sonuçları
Analiz Sonuçları
Çözüm Önerileri
Güvenlik Önlemleri Listesi
Çözüm Önerileri
2006 Yılı Faaliyet Önerileri
13.06.2006 2

3. Çalışmaların Amacı
Kamu kurumlarının BT Güvenlik
Analizinin yapılması
Çözüm Önerileri geliştirilmesi
13.06.2006 3

4. Çalışma Sonuçları
13.06.2006 4

5. Analiz Sonuçları – Önemli
Eksiklikler
Üst Yönetim Desteği
Bilgi Sistem Güvenlik Politikası
Bilgi Sistem Güvenlik Organizasyonu
Bilgi Sistem Güvenlik Önlemleri
13.06.2006 5

6. Üst Yönetim Desteği
13.06.2006 6

7. Üst Yönetim Desteği (1/3)
Yapılan çalışmalar sonucu:
Kamu kurumlarında Bilgi Sistem
Güvenlik Programının bulunmadığı
ve sahipsiz olduğu tespit edilmiştir.
13.06.2006 7

8. Üst Yönetim Desteği (2/3)
Bu durumun başlıca sebepleri:
Kamu kurumlarının Bilgi Sistem
Güvenliği Yükümlülüklerinin
belirli olmaması ve
Kamu kurumları Üst Yönetiminin
bilgi sistem güvenliği konusunda yeterli
Bilince sahip olmamasıdır.
13.06.2006 8

9. Üst Yönetim Desteği (3/3)
Çözüm Önerileri:
Kamu kurumlarında bilgi sistem
güvenliğinden Sorumlu Üst
Yöneticinin belirlenmesi
Belirlenen üst yöneticileri için Kamu
Kurumları Bilgi Güvenliği
Konferansı düzenlenmesi
Kamu kurumları için Asgari Güvenlik
Önlemlerinin belirlenmesi ve
yayınlanması
13.06.2006 9

10. Bilgi Sistem
Güvenliği Politikası
13.06.2006 10

11. Bilgi Sistem Güvenlik Politikası (1/3)
Yapılan çalışmalar sonucu:
Kamu kurumlarının büyük
çoğunluğunda Bilgi Sistem
Güvenliği Politikasının olmadığı
tespit edilmiştir.
13.06.2006 11

12. Bilgi Sistem Güvenlik Politikası (2/3)
Bu durumun başlıca sebepleri:
Kamu kurumlarının Bilgi Sistem
Güvenliği Yükümlülüklerinin
belirli olmaması ve
Kamu kurumları Üst Yönetim ve
Bilgi Sistem Yönetiminin yeterli
bilince sahip olmaması
13.06.2006 12

13. Bilgi Sistem Güvenlik Politikası (3/3)
Çözüm Önerileri:
Belirlenen bilgi sistem güvenlik
yöneticileri için Kamu Kurumları Bilgi
Güvenliği Konferansı düzenlenmesi,
Kamu kurumları için Kamu Kurumları
Bilgi Sistem Güvenliği Politika
Hazırlama Kılavuzunun hazırlanması.
13.06.2006 13

14. Bilgi Sistem
Güvenlik Organizasyonu
13.06.2006 14

15. Bilgi Sistem Güvenlik Organizasyonu (1/3)
Yapılan çalışmalar sonucu:
Kurum içi: Kurum Birimleri ve
Personeli Yetki ve Sorumluluklarının
ve
Kurum dışı: Dış Kaynak Kullanımı ve
Satın Alma Kurallarının
belirlenmediği tespit edilmiştir.
13.06.2006 15

16. Bilgi Sistem Güvenlik Organizasyonu (2/3)
Bu durumun başlıca sebepleri:
Kamu kurumlarında Bilgi Sistem
Güvenliği Rolleri belirlenmemiştir.
Dış Kaynak Kullanımı ve Satın
Almalar ile ilgili kamu kurumları
yükümlülükleri belirli değildir.
Kamu kurumlarının kritik hizmetleri
alabileceği Yetkin ve Güvenilir Bir
Merkez bulunmamaktadır.
13.06.2006 16

17. Bilgi Sistem Güvenlik Organizasyonu (3/3)
Çözüm Önerileri:
Kurum içi Bilgi Sistem Güvenliği
Rollerinin belirlenmesi
Kamu Bilgi Sistem Güvenliği
Merkezinin kurulması
Dış Kaynak Kullanımı ve Satın Alma
Kurallarının belirlenmesi
13.06.2006 17

18. Kurum İçi BT Güvenliği Rolleri (1/2)
Kurum içi güvenlik faaliyetlerinin
kurumun güvenlik ihtiyaçları ve
kaynakları gözönünde bulundurularak
uygun görev tanımları ile ilgili
personele dağıtılmasıdır.
13.06.2006 18

19. Kurum İçi BT Güvenliği Rolleri (2/2)
Kurum içi bilgi sistem güvenlik rolleri ana
olarak şu şekilde ayrılabilir:
Bilgi Sistem Güvenlik Yönetimi
Güvenlik Sistemleri İşletimi (Güvenlik Duvarları,
Antivirüs yazılımları, ...)
Gözetleme Sistemleri İşletimi (Saldırı Tespit
Sistemleri, Ağ Dinleyicileri, Denetleme Kayıtları
İnceleme,...)
Bilgisayar Güvenlik Olaylarına Müdahale
İş Sürekliliği
Dış kaynak Kullanımı
Güvenlik İç Denetimi
13.06.2006 19

20. Kamu Bilgi Sistem Güvenlik Merkezi
(1/4)
Bilgi sistem teknolojilerinin çok önemli bir
uzmanlık ve araştırma alanıdır.
Bu nedenle kamu kurumlarının, bilgi sistem
güvenliği ile ilgili faaliyetlerin tamamını
kendi (personel) kaynakları ile
gerçekleştirmesi mümkün değildir.
Dışarıdan hizmet satın alınması bir çözüm
yoludur. Fakat bazı kritik hizmetlerin kamu
haricinden temin edilmesi güvenlik
açısından kabul edilemez riskleri de
beraberinde getirmektedir.
13.06.2006 20

21. Kamu Bilgi Sistem Güvenlik Merkezi
(2/4)
Güvenlik ile ilgili faaliyetlerin en verimli ve en güvenli
şekilde sürdürülmesi kamu bilgi sistem güvenliği
merkezinin kurulması ile mümkün olacaktır:
Bu kuruluş;
Bilgi sistem güvenliği ile ilgili araştırmalar yapacak,
Dışarıdan alınması verimli ve güvenli olmayacak
hizmetleri kamu kurumlarına sağlayacak,
Kamu kurumları bilgi sistem güvenliği standartları
ve kılavuzlarını hazırlayacak,
Kamu kurumlar bilgi sistem güvenliği eğitimleri
verecek ve
Dışarıdan alınacak servisler ile standartları
geliştirecektir.
13.06.2006 21

22. Kamu Bilgi Sistem Güvenlik Merkezi
(3/4)
Kamu Bilgi Sistem Güvenliği Merkezinin görevleri
şu şekilde olmalıdır:
Kamu Bilgi Sistem Güvenliği Konusunda Standart ve
Kılavuzlar hazırlamak,
Kamu Kurumlarına Bilgi Sistem Güvenliği Eğitimleri
vermek
Kamu Kurumları Bilgi Sistem Güvenliği Test ve
Denetlemeler yapmak
Kamu Kurumları Bilgi Sistem Ürün ve Sistemlerin Ortak
Kriterler Standardına göre test ve değerlendirmelerini
gerçekleştirmek,
Kamu Kurumlarına Bilgisayar Olaylarına Müdahale ve
Yasal Analiz Konusunda destek vermek
Kamu Kurumları için Güncel Uyarıları Takip Ederek Alarm
ve Uyarılar yayınlamak.
13.06.2006 22

23. Kamu Bilgi Sistem Güvenlik Merkezi
(4/4)
Kamu Bilgi Sistem Güvenliği
Merkezinin görevleri (devam)
Kamu Kurumları Bilgi Sistem Ürün ve
Sistemlerin Ortak Kriterler Standardına
göre test ve değerlendirmelerini
gerçekleştirmek,
Kamu Kurumlarına Bilgisayar Olaylarına
Müdahale ve Yasal Analiz Konusunda
destek vermek
Kamu Kurumları için Güncel Uyarıları
Takip Ederek Alarm ve Uyarılar
yayınlamak.
13.06.2006 23

24. Dış Kaynak Kullanımı
Kamu kurumlarının bilgi sistemleri ile
ilgili dış kaynak kullanımı esasları
belirlenmelidir.
Dış kaynak kullanımı, bakım – onarım,
projelendirme, tedarik, eğitim,
danışmanlık gibi konularla ilgili
kuralların konulmasını içermektedir.
13.06.2006 24

25. Diğer Tedbirler
13.06.2006 25

26. Diğer Tedbirler (1/3)
Yapılan çalışmalar sonucu:
Risk Yönetimi,
Eğitim ve Bilinçlendirme,
Varlık Sınıflandırması ve Denetimi,
Erişim Kontrolü,
Yaşam Döngüsü,
Bilgisayar Olaylarına Müdahale,
İş Sürekliliği,
Personel Güvenliği,
Fiziksel Güvenlik
ile ilgili tedbirlerin yeterli olmadığı tespit edilmiştir.
13.06.2006 26

27. Diğer Tedbirler (2/3)
Bu durumun başlıca sebepleri:
Kamu kurumlarının Bilgi Sistem
Güvenliği Yükümlülüklerinin
belirli olmaması ve
Kamu kurumları Bilgi Sistem
Personelinin yeterli eğitime sahip
olmaması
13.06.2006 27

28. Diğer Tedbirler (3/3)
Çözüm Önerileri:
Kamu Kurumları Asgari Güvenlik
Önlemlerinin hazırlanması ve
yayınlanması
Kamu Kurumları Bilgi Sistem
Güvenliği Eğitim Programının
hazırlanması ve gerçekleştirilmesi
13.06.2006 28

29. Çözüm Önerileri
13.06.2006 29

30. Çözüm Önerileri (1/3)
Bilgi sistem güvenliğinden Sorumlu Üst
Yöneticinin belirlenmesi
Belirlenen üst yöneticileri için Kamu
Kurumları Bilgi Güvenliği Konferansı
düzenlenmesi
Kamu kurumları için Asgari Güvenlik
Önlemlerinin belirlenmesi, yayınlanması
ve denetlenmesi.
13.06.2006 30

31. Çözüm Önerileri (2/3)
Belirlenen bilgi sistem güvenlik
yöneticileri için Kamu Kurumları Bilgi
Güvenliği Konferansı düzenlenmesi
Kamu kurumları için Kamu Kurumları
Bilgi Sistem Güvenliği Politika
Hazırlama Kılavuzunun hazırlanması
Kurum içi Bilgi Sistem Güvenliği
Rollerinin belirlenmesi
13.06.2006 31

32. Çözüm Önerileri (3/3)
Kamu Bilgi Sistem Güvenliği
Merkezinin kurulması
Dış Kaynak Kullanımı ve Satın Alma
Kurallarının belirlenmesi
Kamu Kurumları Bilgi Sistem Güvenliği
Eğitim Programının hazırlanması ve
gerçekleştirilmesi
13.06.2006 32

33. Kamu BT Güvenliği Yol
Haritası
13.06.2006 33

34. Kamu Kurumlarının Önceliklendirilmesi
Kamu kurumlarında alınacak olan
güvenlik önlemleri, kurumun bilgi
sistemlerinin kritikliği ile orantılı
olmalıdır.
Kamu kurumları bilgi sistemleri çok
kritik, kritik ve az kritik olarak
sınıflandırılmalıdır.
Çalışmalar bu şekilde
önceliklendirilmelidir.
13.06.2006 34

35. Kamu BT Güvenliği Yol Haritası
Kritiklik Sınıflandırması – Kamu
Kurumlarının Önceliklendirilmesi
Kamu Kurumları Bilgi Sistem
Yönetici Güvenlik Günü düzenlenmesi
Kamu Bilgisayar Olaylarına
Müdahale Yeteneği kazanılması
kapsamında:
Kurumlarda güvenlik olay müdahale sorumlularının
tespiti
Haberleşme kanallarının kurulması
Çalıştay hazırlanması
13.06.2006 35

36. Kamu BT Güvenliği Yol Haritası
Kamu Kurumları Bilgi Sistem
Güvenlik Politikalarının
hazırlanması
Asgari Güvenlik Önlemleri
dokümanını destekleyici Kılavuz
Dokümanların Hazırlanması
13.06.2006 36

37. Kamu BT Güvenliği Yol Haritası
Çok Kritik Kurumların Asgari
Güvenlik Önlemlerini uygulamaları
ve denetlenmeleri
Çok Kritik Kurumların Bilgi Sistem
Güvenliği Eğitim Programlarının
planlanması ve gerçekleştirilmesi
13.06.2006 37

38. Kamu BT Güvenliği Yol Haritası
Çalışmalara sırasıyla Kritik – Az
Kritik Kurumlarda başlanması
Asgari Güvenlik Önlemleri
Dokümanının düzenli olarak
güncellenmesi
13.06.2006 38

39. TÜBİTAK ULUSAL ELEKTRONİK VE KRİPTOLOJİ ARAŞTIRMA ENSTİTÜSÜ
Teşekkürler ve Sorular?
Mehmet ERİŞ
eris@uekae.tubitak.gov.tr