T.C. GAZĐ ÜNĐVERSĐTESĐ EĞĐTĐM BĐLĐMLERĐ ENSTĐTÜSÜ EĞĐTĐM BĐLĐMLERĐ ANA BĐLĐM DALI EĞĐTĐM TEKNOLOJĐSĐ BĐLĐM DALI YÜKSEKÖĞRETĐMDE BĐLGĐ GÜVENLĐĞĐ: BĐLGĐ GÜVENLĐK YÖNETĐM SĐSTEMĐ ĐÇĐN BĐR MODEL ÖNERĐSĐ ve UYGULAMASI DOKTORA TEZĐ Hazırlayan Necla VARDAL Ankara Aralık, 2009 T.C. GAZĐ ÜNĐVERSĐTESĐ EĞĐTĐM BĐLĐMLERĐ ENSTĐTÜSÜ EĞĐTĐM BĐLĐMLERĐ ANA BĐLĐM DALI EĞĐTĐM TEKNOLOJĐSĐ BĐLĐM DALI YÜKSEKÖĞRETĐMDE BĐLGĐ GÜVENLĐĞĐ: BĐLGĐ GÜVENLĐK YÖNETĐM SĐSTEMĐ ĐÇĐN BĐR MODEL ÖNERĐSĐ ve UYGULAMASI DOKTORA TEZĐ Necla VARDAL Danışman: Prof. Dr. Halil Đbrahim YALIN Ankara Aralık, 2009 JÜRĐ ÜYELERĐNĐN ĐMZA SAYFASI Necla Vardal’ın “Yükseköğretimde Bilgi Güvenliği: Bilgi Güvenlik Yönetim Sistemi Đçin Bir Model Önerisi ve Uygulaması” başlıklı tezi 08.12.2009 tarihinde, jürimiz tarafından Eğitim Bilimleri Anabilim Dalı Eğitim Teknolojisi Bilim Dalında Doktora Tezi olarak kabul edilmiştir. Adı Soyadı Đmza Üye (Tez Danışmanı): Prof. Dr. Halil Đbrahim YALIN ………………………. Üye: Prof. Dr. Ahmet MAHĐROĞLU ………………………. Üye: Prof. Dr. Hafize KESER ………………………. Üye: Doç. Dr. Halil Đbrahim BÜLBÜL ………………………. Üye: Yrd. Doç. Dr. Tolga GÜYER ………………………. i ÖNSÖZ Günümüzde belki de en önemli konulardan biri olan bilgi güvenliği hakkında yapılmış olan bu çalışmanın yükseköğretim kurumlarına ve bilgi güvenliğini artırmak isteyen kişi ve kurumlara katkıda bulunması en içten dileğimdir. Araştırmam süresince yardım ve desteğini esirgemeyen, bilgi güvenliğine farklı bir bakış açısı ile yaklaşmamda vesile olan başta danışmanım Prof. Dr. Halil Đbrahim Yalın olmak üzere tez izleme komitemde bulunan Prof. Dr. Ahmet Mahiroğlu ve Prof. Dr. Hafize Keser’e teşekkürü borç bilirim. Önerilen modelin üniversitelerde uygulanmasına izin ve destek verildiği için Gazi Üniversitesi, TOBB Ekonomi ve Teknoloji Üniversitesi ile Ankara Üniversitesi’ne ve model uygulanması aşamasında birlikte çalıştığım üniversite mensuplarına; araştırmada önerilen model ve bilgi toplama araçları konusunda değerli görüşlerine başvurulan uzmanlara ve bu uzun süreçte yanımda bulunan eşim ve Aziz oğluma teşekkürlerimi sunarım. Necla Vardal ii ÖZET YÜKSEKÖĞRETĐMDE BĐLGĐ GÜVENLĐĞĐ: BĐLGĐ GÜVENLĐK YÖNETĐM SĐSTEMĐ ĐÇĐN BĐR MODEL ÖNERĐSĐ ve UYGULAMASI VARDAL, Necla Doktora, Eğitim Teknolojisi Bilim Dalı Tez Danışmanı: Prof. Dr. Halil Đbrahim YALIN Aralık- 2009, xi+235 Sayfa Bilgi güvenliği kurumlar yanında yükseköğretim kurumları içinde çok önemlidir. Bu araştırma güvenlikle ilgili standartlar ve en iyi kullanım örneklerinin karşılaştırmalı olarak incelenmesi ve yükseköğretim kurumları için bilgi güvenlik yönetim sistemi modelinin önerilmesi amacıyla yapılmıştır. Literatür incelemesi yapılmıştır. Ortak güvenlik kontrolleri ve modelin bileşenleri seçilmiştir. Bu çalışmada standartlar/en iyi kullanım örnekleri incelemesi ve üniversiteler için Önerilen Bilgi Güvenlik Yönetim Sistemi Modeli (ÖBGYS) sunulmuştur. Bu modelin amacı, güvenlikte en zayıf halka olan insan faktörünün güçlendirilmesi ve üniversiteler için kullanımı kolay olan talimat ve ipuçlarının verilmesidir. Bu model teknoloji ve bilgi merkezli geleneksel modellerin yerine insan ve bilgi merkezli bir modeldir. Pilot uygulama için bir anket ve kontrol listesi geliştirilmiştir. Seçilen üniversitelerde önerilen modelin pilot uygulaması yapılmıştır. Bilgiler çevirimiçi anket ile toplanmıştır. Anket bilgileri, analiz edilmek için SPSS’e aktarılmıştır. Toplanan veriler SPSS istatistik paket programı kullanılarak çözümlenmiştir. Verilerin çözümlenmesinde frekans(f), yüzde (%) ve aritmetik ortalamadan yararlanılmıştır. Verilerin kullanıcı grubu ve katılımcıların bilgi güvenliği hakkındaki iii görüşlerine göre karşılaştırılmasında tek faktörlü varyans analizi (ANOVA), Tukey ve Dunnett C testleri kullanılmıştır. Çalışma katılımcıların örneğin “bilgi korunması gereken bir varlıktır ve bilgi güvenliği üniversiteler için gereklidir” gibi önerilen ifadelere yüksek derecede katıldığı tespit edilmiştir. Pilot çalışma sonrasında model ve yol haritası gözden geçirilmiş ve son haline getirilmiştir. Bu çalışma bilgi güvenliğinin üniversiteler için önemli olduğunu ve önerilen insan merkezli modelin kolaylıkla uygulanabilir bir model olduğunu göstermektedir. Aynı zamanda bu çalışma farklı standartlar/en iyi kullanım örneklerinin detayları ve benzerlikleri hakkında bilgi içermektedir ve güvenliği artırmaya istekli üniversiteler yanında diğer kurumları için kullanımı kolay bir model ve yol haritası olabilir. Son olarak bu çalışma diğer araştırmacılara bilgi güvenlik yönetim sistemini farklı bir bakış açısıyla yorumlama konusunda ilham verebilir. Anahtar Kelimeler: Bilgi güvenliği, kurumsal bilgi güvenliği, yükseköğretimde bilgi güvenliği, bilişim güvenliği, bilgi güvenlik standartları, bilgi güvenlik yönetim sistemleri, güvenlik farkındalığı. iv ABSTRACT INFORMATION SECURITY AT HIGHER EDUCATION: INFORMATION SECURITY MANAGEMENT MODEL PROPOSAL and IMPLEMENTATION VARDAL, Necla Doctor of Philosophy, Department of Educational Technology Supervisor: Prof. Dr. Halil Đbrahim YALIN December-2009, xi+235 Pages Information security is very important for enterprises as well as for higher education institution. The research was conducted in order to make comparative analysis of security related standards/best practices and to propose an information security management model for higher education institutes. The literature has been reviewed. Common security controls and model’s components have been selected. A review study on standards/best practices and proposed Information Security Model for universities have been presented in this study. The goals of this model are to improve human factor which is the weakest link in security and to give easy to use instructions and tips for universities. This model is human and information centric instead of traditional models which is technology and information centric. A survey and control list has been developed for pilot study. Proposed model’s pilot study has been applied at the selected universities. The information has been collected by online questionnaire. Questionnaires have been transferred to SPSS for analyzing. The data collected has been analyzed by SPSS statistics package program. In data analysis frequency (f), percentage (%) and arithmetic mean have been used. In comparisons of user group and opinion of participants about information security one way variance analysis (ANOVA), Tukey and Dunnett C tests have been used. The survey shows that participants were agree to statements proposed such as “information v is a valuable asset and information security is really important for universities”. After pilot study the model and roadmap has been revised and finalized. It was concluded that this study shows that information security is important for universities and proposed human centric model would be easy to apply. This study also give details about different standards/best practices and commonalities of them and would suggest an easy to use model and roadmap for universities as well as other enterprises willing to improve their security. Finally this study could be inspiring other researcher about interpretating information security management model from the different point of view. Keywords: Information security, enterprise information security, higher education information security, IT security, information security standards, information security management model, security awareness. vi ĐÇĐNDEKĐLER JÜRĐ ÜYELERĐNĐN ĐMZA SAYFASI.......................................................................... i ÖNSÖZ ............................................................................................................................ ii ÖZET...............................................................................................................................iii ABSTRACT..................................................................................................................... v TABLOLAR LĐSTESĐ ................................................................................................... x ŞEKĐLLER LĐSTESĐ .................................................................................................... xi BÖLÜM I :GĐRĐŞ ........................................................................................................... 1 1.1. Problem .............................................................................................................................. 1 1.2. Amaç ................................................................................................................................ 10 1.3. Önem ................................................................................................................................ 11 1.4. Varsayımlar ...................................................................................................................... 12 1.5. Sınırlılıklar ....................................................................................................................... 13 1.6. Tanımlar ........................................................................................................................... 13 BÖLÜM II: KAVRAMSAL ÇERÇEVE .................................................................... 15 2.1. Bilgi ve Đletişim Teknolojisi ile Bilgi Toplumuna Geçiş ................................................. 16 2.2. Bilgi Teknolojileri ve Üniversiteler ................................................................................. 18 2.3. Bilgi Güvenliği................................................................................................................. 21 2.4. Bilgi Güvenliği Standart ve Kılavuzlar (En Đyi Uygulama Örnekleri)............................. 27 2.4.1. BS 7799 Part 1 ; ISO/IEC 17799:2000; ISO/IEC 17799:2005 ; ISO/IEC 27002:2005; TS ISO/IEC 17799:2002; TS ISO/IEC 17799:2006 .......................... 28 2.4.2. BS 7799 Part 2; ISO/IEC 27001:2005; TS 17799-2; TS ISO/IEC 27001.............. 31 2.4.3. TCSEC Güvenilen Bilgisayar Güvenlik Değerlendirme Kriterleri (Trusted Computer Security Evaluation Criteria) - 1983 ...................................................... 36 2.4.4. ITSEC....................................................................................................................... 37 2.4.5. CTCPEC................................................................................................................... 37 2.4.6. ISO/IEC 15408 Ortak Kriterler (Common Criteria ) ............................................... 37 2.4.7. RFC (Request for Comments) 2196.......................................................................... 38 2.4.8. ISO/IEC 13335 Bilgi Teknolojisi- BT Güvenlik Yönetimi için Kılavuz (Information Technology—Guidelines for the Management of IT Security) ................................ 38 2.4.9. COBIT (Bilgi ve Đlgili Teknoloji için Kontrol Hedefleri/Control Objectives for Information and Related Technology)..................................................................... 43 2.4.10. Bilgi Güvenlik Forumu’nun Bilgi Güvenliği için En Đyi Uygulama Standartları (The Information Security Forum’s (ISF’s) Standard of Good Practice for Information Security)............................................................................................... 46 vii 2.4.11. NIST 800-12 Bilgisayar Güvenliğine Giriş- NIST Elkitabı (An Introduction to Computer Security- The NIST Handbook)............................................................... 49 2.4.12. OCTAVE................................................................................................................ 56 2.4.13. PCI (Payment Card Industry) Data Security Standart............................................ 58 2.4.14. OWASP (Open Web Application Security Project) Guide .................................... 62 2.4.15. Diğer Standart ve Kılavuzlar .................................................................................. 63 BÖLÜM III: YÖNTEM ............................................................................................... 66 3.1. Araştırma Modeli ............................................................................................................. 67 3.2. Çalışma Evreni ................................................................................................................. 68 3.3. Verilerin Toplanması ....................................................................................................... 68 3.4. Verilerin Analizi............................................................................................................... 71 BÖLÜM IV: BULGULAR VE YORUM.................................................................... 73 4.1. Standartların ve Kılavuz Dokümanlarının Ortak Noktaları.............................................. 73 4.2. Üniversiteler Đçin Önerilen Bilgi Güvenlik Yönetim Sistemi (ÖBGYS) Modelinin Bileşenleri......................................................................................................................... 88 4.3. ÖBGYS Süreç Adımları................................................................................................... 95 4.4. Üniversitede Bilgi Güvenliğine Yönelik Görüşler......................................................... 109 4.4.1. BT Sistemlerinin Kullanım Amaçlarına Yönelik Görüşler .................................... 110 4.4.2. Bilgi Güvenliğine Yönelik Sorunlar Hakkında Görüşler ....................................... 113 4.4.3. Bilgi Güvenliğine Yönelik Sorunların Olası Kaynakları Hakkında Görüşler ........ 116 4.4.4. Bilgi Güvenliği Sağlanamazsa Olası Etkileri Hakkında Görüşler.......................... 120 4.4.5. Kullanıcı Gruplarının Bilgi Güvenliğine Yönelik Görüşleri.................................. 122 4.5. Model Uygulamasında Karşılaşılan Ortak Sorunlara Yönelik Bulgular........................ 125 4.5.1. BT Birimi Personel Sayısı ve Yönetimi ................................................................. 125 4.5.2. Dokümantasyon Eksikliği ...................................................................................... 126 4.5.3. Bilgi Güvenliğine Yönelik Farkındalık Çalışmaları............................................... 127 4.5.4. Kapsamlı Bir Bilgi Güvenlik Yönetim Sistemi...................................................... 128 BÖLÜM V: SONUÇ VE ÖNERĐLER ...................................................................... 132 5.1. Sonuç.............................................................................................................................. 132 5.2. Öneriler .......................................................................................................................... 135 KAYNAKÇA............................................................................................................... 139 EKLER ........................................................................................................................ 147 EK-1: Yükseköğretimde Bilgi Güvenliği Anketi................................................... 148 EK-2: ÖBGYS Güvenlik Kontrol Listesi .............................................................. 151 EK-3: Üniversitelerde ÖBGYS Modeli ile Oluşturulabilecek Örnek Dokümanlar163 EK-3.1: Örnek- Üniversite Bilgi Güvenlik Politikası ...................................... 164 viii EK-3.2: Örnek- Varlık Envanteri ..................................................................... 183 EK-3.3: Örnek- Risk Analiz Tablosu............................................................... 188 EK-3.4: Örnek- Yöneticiler Đçin Hazırlanan Eğitim Materyali ....................... 200 EK-3.5: Örnek- Kullanıcılar Đçin Hazırlanan Eğitim Materyali ...................... 206 EK-3.6: Örnek- Teknik Personel Đçin Hazırlanan Eğitim Materyali ............... 221 ix TABLOLAR LĐSTESĐ Tablo 1. Anket Bölümleri ve Soru Numaraları.............................................................. 70 Tablo 2. Doküman Taksonomisi.................................................................................... 75 Tablo 3. Đnceleme Đçin Seçilen Dokümanlar ................................................................. 77 Tablo 4. Dokümanların Kapsam Alanlarının Karşılaştırması ....................................... 77 Tablo 5. Süreç Adımları Karşılaştırması ....................................................................... 97 Tablo 6. Örnek ÖBGYS Bileşen Đlişkiler Tablosu ...................................................... 104 Tablo 7. Araştırmaya Katılanların Kullanıcı Grubuna Göre Frekans ve Yüzde Dağılımları ...................................................................................................... 109 Tablo 8. Araştırmaya Katılanların Üniversite ve Kullanıcı Grubuna Göre Dağılımı.. 110 Tablo 9. BT Sistemlerinin Kullanım Amaçlarına Yönelik Görüşlerin Frekans Dağılımları, Aritmetik Ortalama ve Standart Sapmaları ................................ 110 Tablo 10. BT Sistemlerinin Kullanım Amaçlarına Yönelik Görüşlerin Üniversite Bazında Frekans Dağılımları, Aritmetik Ortalama ve Standart Sapmaları .... 112 Tablo 11. Bilgi Güvenliğine Yönelik Sorunlar Hakkında Görüşlerin Frekans Dağılımları, Aritmetik Ortalama ve Standart Sapmaları ................................ 113 Tablo 12. Bilgi Güvenliğe Yönelik Sorunlar Hakkında Görüşlerin Kullanıcı Gruplarına Göre Karşılaştırma Sonuçları.......................................................................... 115 Tablo 13. Bilgi Güvenliğine Yönelik Sorunların Olası Kaynakları Hakkında Görüşlerin Frekans Dağılımları, Aritmetik Ortalama ve Standart Sapmaları................... 117 Tablo 14. Bilgi Güvenliğe Yönelik Sorunların/Risklerin Olası Kaynakları Hakkında Görüşlerin Kullanıcı Gruplarına Göre Karşılaştırma Sonuçları-1 .................. 118 Tablo 15.Bilgi Güvenliğe Yönelik Sorunların/Risklerin Olası Kaynakları Hakkında Görüşlerin Kullanıcı Gruplarına Göre Karşılaştırma Sonuçları-2 .................. 119 Tablo 16. Bilgi Güvenliğe Yönelik Sorunların/Risklerin Olası Kaynakları Hakkından Görüşlerin Kullanıcı Gruplarına Göre Karşılaştırma Sonuçları-3 .................. 119 Tablo 17.Bilgi Güvenliği Sağlanamazsa Olası Etkileri Hakkında Görüşlerin Frekans Dağılımları, Aritmetik Ortalama ve Standart Sapmaları ................................ 120 Tablo 18. Bilgi Güvenliği Sağlanamazsa Olası Etkileri Hakkında Görüşlerin Kullanıcı Gruplarına Göre Karşılaştırma Sonuçları ....................................................... 121 Tablo 19. Kullanıcı Gruplarının Bilgi Güvenliğine Yönelik Görüşlerinin Frekans Dağılımları, Aritmetik Ortalama ve Standart Sapmaları ................................ 122 Tablo 20. Bilgi Güvenliğine Yönelik Görüşlerin Kullanıcı Gruplarına Göre Karşılaştırma Sonuçları................................................................................... 124 x ŞEKĐLLER LĐSTESĐ Şekil 1. Güvenlik Olaylarına Konu Olan Bilgi Kategorileri ......................................... 25 Şekil 2. Güvenlik Olayları ............................................................................................. 26 Şekil 3. Güvenlik Olaylarının Nedenleri ve Kaynakları................................................ 27 Şekil 4. ISO/IEC 17799:2000 Konu Alanları ................................................................ 30 Şekil 5. ISO/IEC 17799: 2005 Konu Alanları ............................................................... 31 Şekil 6. Standartların Yayınlanma Süreleri ................................................................... 36 Şekil 7. Önerilen Bilgi Güvenlik Yönetim Sistemi (ÖBGYS)Modeli Bileşenleri ....... 89 Şekil 8. Đnsan Grupları Örneği....................................................................................... 90 Şekil 9. Bilgi Grupları Örneği ....................................................................................... 91 Şekil 10. Fiziksel ve Çevresel Gruplar Örneği ............................................................... 95 Şekil 11. ITIL Bilgi Güvenlik Modeli ve BT Güvenlik Yönetim Süreci ....................... 96 Şekil 12. BGYS Süreçlerinde PUKO Modelinin Uygulanması ..................................... 96 Şekil 13. ISO 9001 Süreç Modeli ................................................................................... 97 Şekil 14. ADDIE Süreç Modeli ...................................................................................... 98 Şekil 15. ÖBGYS Modeli Süreç Adımları ................................................................... 100 Şekil 16. ÖBGYS Modeli Đpuçları................................................................................ 130 Şekil 17. ÖBGYS Modeli Bileşenleri, Süreç Adımları ve Đpuçları .............................. 136 xi BÖLÜM I 1.GĐRĐŞ Bu bölümde araştırmanın problemi, amacı, önemi, sınırlılıkları ve temel kavramların açıklamaları verilmektedir. 1.1. Problem Mal ve hizmet üretimindeki temel girdiler arasında belki de en pahalı ve en önemli olanı bilgidir (Gökçen, 2002). Đnsanlar, daha nitelikli bir yaşam için bilgiye ulaşma, bilgiyi kullanma, kısacası bilgiye sahip olma gereksinmesi içindedir ve bu da bilginin elde edilmesi, saklanması ve iletilmesinde kullanılan bilgi teknolojilerinin hızla gelişmesinin en önemli nedenini oluşturmaktadır. Bilgi ve iletişim teknolojilerinin günümüzde toplumlar üzerinde büyük etkisi bulunmakta ve birçok alanda kullanılan bilgi teknolojileri modern toplumların güçlü araçları olarak karşımıza çıkmaktadır (Tandoğan ve başk.,1998). Karahan (2003:88) bilgi teknolojilerini “bilginin yaratılması, biriktirilmesi, işlenmesi, yeniden elde edilmesi, yayılması, korunmasına yardımcı olan araçlar” olarak tanımlamakta; Uzay (2001:16) ise bilgi ve iletişim teknolojilerini “Bir bilginin toplanmasını, işlenmesini, bilginin saklanmasını ve gerektiğinde herhangi bir yere iletilmesini ya da herhangi bir yerden bu bilgiye erişilmesini otomatik olarak sağlayan teknolojiler bütünü” olarak ifade etmektedir. Bilgi çağı olarak adlandırılabilen çağımızın en önemli özelliği, bilgi teknolojilerinin yoğun olarak kullanılması ve maddi ürün yerine bilgi üretiminin önem kazanmasıdır (Tandoğan ve başk.,1998; Yıldırım ve Öner, 2004). 2 1980’li yıllardaki, bilim ve teknolojideki hızlı gelişmeler bilgi toplumunun oluşmasının başlangıç yılları olmuştur. “Bilginin bir güç ve kuvvet olduğu Frances Bacon tarafından 1600’lu yıllarda ifade edilmiş olmasına karşın, insanlar ilk defa 2000’li yıllara doğru bilgi toplumundan söz etmeye başlamışlardır” (Aktaş, 2003: 46). “Çağın toplumlarının hedefi bilgi toplumu olmaktır. Çünkü içinde yaşadığımız dönem bilginin güç olarak görüldüğü bir dönemdir” (Tandoğan ve başk., 1998: 10). Ünlü savaş uzmanı Napolyon’a göre, doğru bilgiyi doğru zamanda temin etmek savaşın onda dokuzunu kazanmak demektir (Şimşek, 2002). Bilgi toplumu bireylerin paylaşıldıkça artan bilginin gücü ve üstünlüğünü kabul ettiği ve aktif olarak kullandığı bir yaşam biçimidir ve bilgi, toplumun stratejik kaynağını oluşturmaktadır. Naissbitt ve Aburdene (1990)’nin ve Drucker, (1994)’ın da belirttiği gibi bilgi toplumunda birey merkezi bir konuma sahiptir. Teknolojinin gelişmesiyle paralel şekilde bilginin bireyler ve kurumlar için önemi de artmıştır. Son yıllarda önemli bir güç haline gelen bilginin, üretilmesinin yanı sıra muhafaza edilmesi ve paylaşılması için kullanılan bilgi ve iletişim teknolojileri hayatın her alanında yer almaya başlamıştır. Özellikle her alanda elektronik ortamlara geçişle birlikte erişilmesi kolaylaşan bilginin güvenliğinin sağlanması da, son derece önem kazanmıştır. “Bilgi Güvenliği”, bilginin gizlilik (bilginin sadece erişim yetkisi verilmiş kişilerce erişilebilir olduğunu garanti etme), bütünlük (bilginin ve işleme yöntemlerinin doğruluğunu ve bütünlüğünü temin etme, yetkisiz olarak bilginin değiştirilmemesini sağlama) ve kullanılabilirlik/erişilebilirlik (yetkili kullanıcıların, gerek duyulduğunda, bilgiye ve ilişkili kaynaklara erişebileceklerini garanti etme) unsurlarının temini ve bilgi işleme ekipmanlarının, yazılımlar ve diğer bilgi teknolojisi varlıklarının meydana gelebilecek risklere karşı korunması demektir. Bilgi güvenliği kurumlar ve bireyler için vazgeçilmez ve değerli bir varlık olan bilginin korunması için gerekmektedir. Bir diğer husus bilginin işlenmesi için kullanılan ve sürekli gelişim gösteren teknolojilerin de bilgi unsuru için riskler yarattığı gerçeğidir. Genel olarak bakılacak olursa, bilgi uygunsuz bir şekilde ifşa edilebilir (gizlilik unsuru sağlanamaz), uygun olmayan bir şekilde değiştirilebilir (bütünlük unsuru sağlanamaz), zarar görebilir veya kaybedilebilir (kullanılabilirlik unsuru sağlanamaz) (Blackley ve 3 başk., 2001). Đnsanlar yeni teknolojileri kullanırken bu teknolojilerin sağlayacağı faydaların yanı sıra bu teknolojilerin getirdiği risklerin de farkında olmalıdır. Bilgi güvenliğinin sağlanması konusunda belkide en önemli hususlardan birisi nasıl hareket edilmesi gerektiğidir. Dünyada içerisinde bilgi güvenliği unsuru da geçen pek çok farklı standart ve en iyi uygulama örnekleri (TS ISO/IEC 27001, TS ISO/IEC 17799, RFC2196, NIST800-12, COBIT, PCI vb.) bulunmaktadır. Bu durum bilgi güvenlik yönetim sistemini kurmak isteyen kişi ve kurumlar için “Nereden başlamalıyım? veya “Hangisi güvenlik için daha uygun olur?” gibi sorulara neden olabilmektedir. Farklı ihtiyaçlar ve amaçlar için özelleştirilerek hazırlanmış olan bu dokümanlar incelendiğinde temelde pek çok unsurun tekrarlandığı görülebilecektir. Güvenliğin en önemli zaafının insan davranışı olduğu bilinmektedir. Son yıllarda güvenlik ile ilgili yapılan araştırmalarda güvenliğin sağlanmasında insan faktörünün önemi fark edilmiştir (Brostoff ve Sasse, 2001). Schneier (2000), güvenliğin sadece en zayıf halkanın güvenliği kadar olabileceğini ve insanların zincirdeki en zayıf halka olduğunu belirtmiştir. Poulsen (2000) ise bilgisayar güvenliğindeki insan faktörünün gözden kaçırıldığını, kurumların güvenlik duvarları, şifreleme ve güvenli erişim cihazlarına milyonlarca dolar harcadıklarını, ancak bu teknik önlemlerin güvenlik zincirindeki en zayıf halka olan insan unsurunu adreslemediği için harcanan paranın boşa gittiğini belirtmektedir. Gonzales ve Sawicka (2002), bilgi güvenliğinin teknoloji ve insanı içerdiğini, güvenlik sistemlerinin ne kadar iyi tasarlanmış ve uygulanmış olursa olsun insanlara bağlı olduğunu ve bilgi güvenlik sistemlerinde insan faktörünün daha iyi anlaşılması gerektiğini belirtmektedir. Bu çerçevede bakıldığında kurumlar için bilgi güvenliğinin sağlanmasında teknik altyapının oluşturulması kadar insan faktörünün de dikkate alınması ve bilgi güvenliğinin sağlanması için sistem tasarlanırken kullanıcıların bilinçlendirilmesi için eğitim programları ile bilgi güvenlik yönetim sistemin desteklenmesi gerekliliği ortaya çıkmaktadır. Özelikle son yıllarda bilgi güvenliği konusunda artan sayıda araştırma yapılmaya başlanmıştır. Fakat yoğunlaşmaktadır. genelde yapılan çalışmalar Geleneksel olarak güvenlik mühendislik modelleri bilimlerinde hangi koruma mekanizmalarının olması gerektiğini tanımlamaktadır (Anderson, 2001). Bu modeller 4 günlük hayatta karşılaşılabilecek güvenlik problemlerini ele almamaktadır. Bilgi güvenliğine teknik bakış açısının dışında yaklaşılması faydalı olacaktır. “Bilginin üretildiği, öğretildiği ve sunulduğu yerler olan eğitim örgütleri bilgi toplumunun vazgeçilmez kurumlarıdır. Yirmi birinci yüzyılın ilk yıllarını yaşarken eğitim örgütlerinin, bireyleri bilgi toplumuna hazırlamanın ve onları bu toplumun seçkin bir üyesi yapmanın örgütsel misyonunu üstlenmiş bulunmaları kaçınılmazdır” (Can, 2002:2). Bilgi toplumunda en önemli görev üstlenen kurumlardan birisi üniversitelerdir. Çünkü, üniversiteler bilgi ekonomisinin “hammadde”si olan bilginin üretiminden ve dağıtımından sorumlu temel kurumlardır. Bilgi teknolojisi diğer bütün kurumları olduğu gibi üniversiteleri de etkilemektedir. Kısa bir süre öncesine kadar üniversitelerimizdeki çoğu öğrenci-öğretim elemanının yabancısı olduğu internet teknolojisinin günümüz eğitim-araştırma dünyasındaki yerini ve önemini düşünecek olursak, bilgi teknolojisinin üniversiteler üzerindeki etkisi daha kolay anlaşılabilir (Tonta, 1999). Eğitim kurumları, toplumsal değişme ve gelişmeleri hem başlatan hem de yönlendiren kurumlar olarak teknolojik gelişmeleri de izlemek, kullanmak ve bunların nasıl kullanıldığını öğretmek durumundadır. Günümüzde eğitim kurumları, toplumun gereksinmeleri doğrultusunda, öğrencileri bilgi çağına uygun, bilgi toplumunun özelliklerini göz önünde tutarak yetiştirmelidir (Tandoğan ve başk., 1998; Karahan, 2003). Vural ve Sağıroğlu’nun (2007) da belirttiği gibi; “Bilgi güvenliğini sağlamak toplumda sadece güvenlikle uğraşan kişi ve kuruluşların görevi değil, bilgi çağı olarak adlandırılan günümüzde, bilgi sistemlerinin küreselleşmesi sonucunda bu sistemlerle herhangi bir şekilde doğrudan veya dolaylı yönden ilişkisi olan ve bu sistemleri kullanan tüm birey, kurum ve kuruluşların katkıda bulunması ve görev alması gereken önemli bir konu halini almıştır.” Bilgi güvenliğinin sağlanabilmesi için insan unsurunun mutlaka dikkate alınması, yanı sıra ülkemizdeki üniversitelerin bilgi güvenliği hakkında insanların bilinçlendirilmesi konusunda öncü kurumlar olması gerekmektedir. Bu alanda yapılacak çalışmaların yayınlanması ve her kesimden kişilerin kullanımına sunulması şüphesiz faydalı olacaktır. Ülkemizde özellikle eğitim kurumlarında bilgi güvenliğine yönelik görüşlerin belirlenmesine yönelik yapılmış detaylı bir çalışmaya rastlanmamıştır. Araştırmacı tarafından üniversite web siteleri incelenmiş, ancak üniversitelerin bir 5 kısmında bilgi güvenliğine yönelik doküman ve bilgiler bulunmakla birlikte sistematik bir bilgi güvenlik yönetim sistemi oluşturulduğuna yönelik bir bulgu tespit edilememiştir. Bilgi güvenliği için genelde yapılan araştırmalar teknik alanlarda ve mühendislik bilim dalları tarafından gerçekleştirilmektedir. Ülkemizde yapılmış olan tezler incelendiğinde sayısı fazla olmamakla birlikte bilgisayar güvenliği, yazılım güvenliği, iletişim güvenliği, elektronik savaşlar vb. alanlarda çalışmalar tespit edilmiştir. Yurtdışında eğitim kurumları için bilgi güvenliğine yönelik yapılan çalışmalar bulunmaktadır. Örneğin Teknolojinizin Korunması, Bilgi Güvenliği Elektronik Eğitim için Pratik Kılavuz (Safeguarding Your Technology, Practical Guideline For Electronic Education Information Security) (NCES- Eğitim Đstatistikleri için Ulusal Merkez/ National Center For Education Statistics, 2006) NCES tarafından elektronik eğitimde bilgi güvenliğinin sağlanması için oluşturulan kılavuz niteliğinde bir çalışmadır. Güvenliğin neden gerekli olduğunu açıklayan bir bölüm yanı sıra, güvenlik yönetimi ve sistemlerin korunması için (fiziksel, yazılımsal, erişim, internet güvenliği vb.) yapılması gerekenleri içeren bölümler bulunmaktadır. Farklı konuları içeriyor olmasına rağmen sistematik ve basit bir şekilde nelerin yapılması gerektiği net olarak belirtilmemiştir. UCISA Bilgi Güvenlik Aracı (UCISA Information Security Toolkit) (UCISAÜniversiteler ve Fakültelerin Bilgi Sistemleri Birliği/Universities and Colleges Information Systems Association, 2006) UCISA tarafından 2005 Eylül ayında BS7799 temel alınarak hazırlanmıştır ve UCISA Bilgi Güvenlik Aracı (UCISA Information Security Toolkit) isimli kılavuzun 2. versiyonu yayınlanmıştır. Kılavuzda bilgi güvenlik yönetim sistemi oluşturulması için öneriler yer almaktadır. BS7799 standardı temel alınarak hazırlandığı için temelde bu standart gerekliliklerinin anlatıldığı bir doküman olarak değerlendirilebilir. Dokümanda, önceliklendirmenin nasıl olduğu veya kritik hususların neler olduğu net olarak belirtilmemiştir. 6 Yükseköğretimde Bilgi Güvenliği (Information Security in Higher Education) (Elliot ve diğerleri, 1991) çalışmasında 1989 yılında Amerika’da seçilmiş olan 8 kolej ve üniversitede yüksek eğitimde bilgi güvenliği ile ilgili yapılan araştırmanın bulguları sunulmuştur. Çalışmada görüşme yoluyla bilgi güvenliği hakkında edinilen bulgular sunulmaktadır. Yaşanan sorunlar, bilgi güvenliği için ayrılan kaynak gibi farklı konularda derlenen bilgiler son derece faydalıdır. Fakat bilgi güvenlik yönetim sistemi oluşturulması için nasıl bir süreç izlenebileceği net olarak belirtilmemiştir. Bilgi Güvenlik Yönetim Sistemi Modeli oluşturulurken mevcut görüşlerin toplanması aşamasında bu çalışmadan faydalanılmıştır. Suudi Kraliyet Deniz Birliği için Bilgi Güvenliği Farkındalığı Eğitim Programı Geliştirilmesi (Development of an Information Security Awareness Training Program for The Royal Suidi Naval Forces) (Alageel ,2003) çalışması, Suudi Kraliyet Deniz Birliği (Royal Suidi Naval Forces) için bilgi güvenliği farkındalık eğitim programının tasarlanması hakkında yapılmış bir yüksek lisans çalışmasıdır. Bilgi güvenliği için öncelikle korunması gereken varlıkların neler olduğu ve ne gibi tehditlerden korunması gerektiği anlatılmıştır. Mevcut eğitim programlarının değerlendirmesi yapılarak, eğitim için stratejiler oluşturulmuştur. Bilgi güvenlik yönetim sistemi oluşturulması aşamasında özellikle farkındalığın artırılması için faydalı olabilecek bu çalışma eğitim programının detayında hangi konu başlıklarını içermesi gerektiği açısından da faydalanılabilecek bir kaynak çalışmadır. Üniversitelerde tasarlanan modelin uygulanması aşamasında seminer materyallerinin geliştirilmesi aşamasında bu çalışmadan da faydalanılmıştır. Büyük Kurumlardaki Güvenlik Çözümlerinin Analizi (Analysis Of Security Solutions In Large Enterprises) (Bailey, 2003), geniş iletişim ağlarına sahip kurumlarda güvenlik yönetiminin incelenmesi hakkında yapılmış bir yüksek lisans çalışmasıdır. Kamu ve özel sektörde çalışan uzmanlardan belirlenen güvenlik sorunları ile ilgili görüşme yoluyla bilgilerin toplanması ve analizi gerçekleştirilmiştir. Cevap aranan sorular arasında; büyük kurumlarda işletim sistemi güncellemelerinin ne şekilde yapıldığı; konfigürasyon yönetiminin ne şekilde yapıldığı; yüksek miktardaki verilerin nasıl yönetildiği, izlendiği ve yedeklendiği; bilgi sistemlerinde tutulan güvenlikle ilgili 7 kayıt loglarının nasıl yönetildiği, izlendiği vb. sorular bulunmaktadır. Mevcut durumun analizi aşamasında kullanılabilecek yöntem ve sorular açısından faydalı bir çalışmadır. Ancak bilgi toplamanın sonrasında bilgi güvenlik yönetim sistemi oluşturulması için yapılması gerekenler hakkında bilgi içermemektedir. Üniversitelerde tasarlanan modelin uygulanması aşamasında bilgi toplama araçları geliştirilirken bu çalışmadan da faydalanılmıştır. STRATEJĐK GÜVENLĐK Kritik Güvenlik ve Stratejik Organizasyonel Öğrenme Konuları için Geliştirici Araştırma: Güvenlik Tasarımı Teorisine Doğru (STRATEGIC SECURITY A Constructivist Investigation of Critical Security and Strategic Organisational Learning Issues: Towards a Theory of Security Development) (Makinen, 2005) isimli doktora tezinde öğrenen örgütler çerçevesinde güvenliğin incelenmesi hedeflenmiştir. Araştırmanın amacı stratejik güvenlik modeli ve stratejik güvenlik liderliği modelinin oluşturulmasıdır. Finlandiya Savunma Bakanlığı’ndaki personel ile model oluşturulmuş ve test edilmiştir. “Öğrenen organizasyonda değişen ortamlarda stratejik güvenliğin rolü nedir?” araştırmanın temel sorusunu oluşturmaktadır. Çalışmada stratejik planlama ve personelin, güvenliği artırmak için anahtar faktörler olduğu belirtilmektedir. Stratejik düşünme ve süreçlerle entegrasyon açısından bilgi güvenlik yönetim sistemini inceleyen bu çalışma temel başarı faktörlerinin de ipuçlarını sunmaktadır. Güvenlik Üzerine Dört Bakış Açısı (Four Views on Security) (Virtanen,2002) isimli bir diğer doktora çalışmasında güvenlik kavramı farklı bakış açılarından incelenmektedir. adamlarının Kullanıcılar, bakış açısı ve sistemi tasarlayanlar, Finlandiya’da organizasyonlar kullanılan iki ve güvenlik bilim modeli incelenmektedir. Çalışmada güvenliğin iş modelleri ve yeni ürünler için gerekli olduğu, güvenliğin organizasyonun kültürüne bağlı olduğu, eğitimin ise güvenlik için önemli bir yeri olduğu belirtilmektedir. Farklı gruplar tarafından güvenliğin ne şekilde algılandığının incelendiği bu çalışma bilgi güvenliğine farklı bakış açıları ile yaklaşıldığını göstermektedir. 8 Türkiye’de yapılan çalışmalar incelendiğinde; doğrudan bilgi güvenlik yönetim sistemi ile ilgili olmasa bile, yükseköğretimde e-öğrenme için bir model ve yol haritası sunması açısından faydalı olabilecek bir tez çalışması tespit edilmiştir. Yüksek Öğretimde E-Öğrenme: Çevrimiçi Eğitim Vermek Đsteyen Türk Üniversiteleri Đçin Bir Yol Haritası (Nişancı, 2005) isimli doktora tezinde, Türkiye’deki üç üniversite (Eskişehir Anadolu Üniversitesi, Đstanbul Bilgi Üniversitesi, Orta Doğu Teknik Üniversitesi) tarafından programlarının kavram çevrimiçi olarak aşamasından verilmekte uygulama olan aşamasına lisansüstü eğitim derinlemesine bir incelemesini yapmak suretiyle, web tabanlı uzaktan eğitim programları başlatmak ve uygulamak isteyen diğer Türk üniversiteleri için bir rehber oluşturma amacıyla hazırlanmıştır. Çalışma, görüşmeler ve belge analizleri yoluyla, elektronik ortamda lisansüstü eğitim verme fikrinin nasıl oluştuğunu, hangi idari ve yönetsel önlemlerin alındığını, hangi işbirliği çalışmalarının benimsendiğini, hangi sıkıntılarla karşılaşıldığını, hangi öğretimsel kaygıların göz önüne alındığını, öğretim üyelerinin sürece nasıl dâhil olduklarını, hangi derslerin edinildiğini ve Türk yükseköğretiminin geleceğinde e-öğrenmenin rolünü ortaya koymaktadır. Çalışma sonucunda elde edilen bulgular, Türkiye’de yükseköğretim kurumlarının e-öğrenme faaliyetlerinde faydalanacakları bir model oluşturmada kullanılmıştır. Bilgi güvenlik yönetim sistemi modeli tasarlanırken ve planlanırken bu çalışmadan faydalanılmıştır. Teknik bakış açısı ile hazırlanmış çalışmalardan biri olan Bilgisayar Ağ Güvenliği ve Güvenlik Duvarı (Çakar, 2005) isimli yüksek lisans tezinde, bilgisayar ağlarındaki güvenlik sorunları, güvenliği sağlama yöntemleri, saldırı türleri, koruma mekanizmaları, güvenlik sınıflandırmaları ve güvenlik duvarı yapısı incelenmiştir. Güvenlik duvarı uygulaması (ISA sunucu) gerçekleştirilerek kurulan küçük ölçekli bir ağda bu sistemin etkileri ve özellikleri incelenmiştir. Güvenlikte sadece teknik bir katmanın (ağ güvenliği) incelendiği çalışmada bütünsel bir model için bilgiler bulunmamaktadır. Fakat, özellikle ağ güvenliği ve ağlardaki tehditler açısından faydalı bir kaynaktır. Veri Güvenliğinde Saldırı ve Savunma Yöntemleri (Özkan, 2004) isimli yüksek lisans tezinde, bilgi güvenliği kavramları yanı sıra bilgisayar ağları ve saldırı 9 çeşitlerinden bahsedilmiş ve bilgi güvenliği politikasında olması gereken başlıklar aktarılmıştır. Yine teknik bakış açısı ile güvenlik ürünlerinin nasıl yerleştirilmesi gerektiğine de değinilmiştir. Bütünsel bir model içermemekle beraber, bu çalışma temelde saldırılar ve bu saldırılara karşı teknolojik imkânlarla neler yapılabileceğini gösteren faydalı bir çalışmadır. Küreselleşen Dünyada Bilgi Güvenliğine Yönelik Politikalar: Sayısal Đmza Teknolojisi ve Türkiye (Öğüt, 2006) isimli yüksek lisans tezinde, iletişim ağları ve bilgi güvenliği kavramlarından bahsedilmiş, Türkiye’nin bilgi güvenliğine yönelik politikaları ve 5070 sayılı Elektronik Đmza Kanunu aktarılmıştır. Amaçlanan ise bilgi güvenliği uygulamalarının hukuki ve teknik altyapısının dünyada ve Türkiye’de ne şekilde yapılandığı ve bu yapılanma sürecinde belirleyici olan faktörleri ortaya koymaktır. Bilgi güvenlik yönetim sisteminin bir kısmının detaylı incelendiği bu çalışma özellikle sayısal imza alanında faydalı bilgiler içermektedir. Bilgi Güvenlik Yönetim Sistemi Modeli için Otomasyon Aracı (An Automated Tool for Information Security Management System Model) (Erkan, 2006) isimli yüksek lisans tezinde, Bilgi Güvenliği Yönetimi Sistemi (BGYS) süreçlerinin otomasyonu konusu incelenmiş ve geliştirilen bir uygulama ile örneklendirilmiştir. Tezde ISO/IEC 27001:2005 ve ISO/IEC 17799:2005 standartlarına uygun olarak dokümante edilmiş olan bir BGYS için gerekli faaliyetlerin mümkün olduğunca otomatikleştirilmesinin kurumlara yardımı olacağından yola çıkılarak “Infosec Toolkit” adlı bir araç geliştirilmiştir. Sadece tek bir standardın ne şekilde uygulanacağı ve bu uygulamalar yapılırken süreçlerin otomatizasyonu örneğin varlık envanteri, risk analizi gibi çalışmaların sağlaması açısından faydalı bir çalışmadır. Tezde standardı uygulayabilmek için kullanılabilecek diğer hazır araçlardan da bahsedilmektedir. Yukarıda bahsedildiği üzere giderek daha fazla bilgi ve iletişim teknolojilerinin kullanıldığı eğitim kurumlarında bilgi güvenliğinin sağlanmasında pratik olarak kullanıma elverişli ve eğitim odaklı bir çalışma ülkemizde tespit edilmemiştir. Böyle bir çalışmanın yapılması ve ek olarak bilgi güvenliğinin sağlanmasında teknolojik 10 boyut ile birlikte insan faktörünü de dikkate alan bir modelin tasarlanması, uygulanması ve uygulama sonuçlarının değerlendirilmesi yararlı olacaktır. 1.2. Amaç Bu araştırmanın genel amacı, üniversitelerde bilgi ve iletişim teknolojisinin kullanımında bilgi güvenliğinin sağlanabilmesi için insan ve eğitim faktörlerinin vurgulandığı bir bilgi güvenlik yönetim sistemi modeli tasarlamak, tasarlanan modeli seçilen üniversitelerde uygulayarak revize etmek ve özellikle eğitim kurumlarının faydalanabilecekleri bir yol haritası oluşturmaktır. Tasarlanan modelin sadece eğitim kurumlarında değil, uyarlandığı takdirde bilgi ve iletişim teknolojisi kullanan her kurumda uygulanabilecek bir çalışma olması hedeflenmiştir. Bu amaçla çalışmada aşağıdaki sorular oluşturulmuş ve bu sorulara yanıtlar aranmıştır: 1. Bilgi güvenliği ile ilgili hususları içeren standartlar/kılavuzların (en iyi uygulama örnekleri) kesiştiği noktalar nelerdir? 2. Üniversiteler için bilgi güvenlik yönetim sistemi modelinin bileşenleri (modelin öğeleri/alt boyutları) neler olmalıdır? 3. Modelin uygulanmasındaki süreç adımları neler olmalıdır? 4. Üniversitede kullanıcı gruplarının (öğrenciler, idari personel, akademik personel ve teknik personelin) bilgi güvenliğine yönelik görüşleri nelerdir? a. Bilgi ve iletişim teknolojilerinin (BIT Sistemlerinin) kullanım alanlarına yönelik görüşleri nelerdir? b. Bilgi güvenliğine yönelik sorunlar hakkındaki görüşleri nelerdir? 11 c. Bilgi güvenliğine yönelik sorunların olası kaynakları hakkındaki görüşler nelerdir? d. Bilgi güvenliği sağlanamaması durumunda olası etkileri hakkındaki görüşler nelerdir? e. Kullanıcı gruplarının bilgi güvenliğine yönelik görüşleri arasında anlamlı bir farklılık var mıdır? 5. Modelin uygulanması aşamasında üniversitede karşılaşılan ortak sorunlar ve modeli kullanacak kişilere kılavuz olabilecek ipuçları/öneriler nelerdir? 1.3. Önem Eğitim sisteminin ve özellikle yükseköğretim kurumlarının, teknolojinin getirmiş olduğu yeni şartların ve yeni teknolojik ortamın etkisinin dışında kalması söz konusu olamaz. Eğitim sektöründe gelişen teknolojilerin kullanılması kaçınılmazdır. Eğitimde teknoloji kullanımının eğitim süreçlerine etkilerinin ve katkılarının anlaşılması için pek çok araştırma yapılmıştır ve yapılmaktadır. Yapılan bazı araştırma ve çalışmalar eğitimde teknoloji kullanımının öğrenme sürecinin etkisinin artırılmasına katkıda bulunduğunu göstermiştir. Ancak eğitim süreçlerinde, özellikle bilgi işleme ve iletişim teknolojilerinin kullanımında bilgi güvenliğinin etkileri konusunda çok fazla araştırma bulunmamaktadır. Yapılan literatür incelemesinde Türkiye’de özellikle eğitimde teknoloji kullanımında bilgi güvenliği konusunda kapsamlı bir çalışmaya rastlanılmamıştır. Bilgi güvenliği konusu özellikle son yıllarda önem kazanmış ve bu alanda artan sayıda araştırmalar yapılmaya başlanmıştır. Mühendislik bilimlerinde yoğunlaşan teknoloji odaklı çalışmalar yanı sıra bilgi güvenliğine farklı bir bakış açısıyla yaklaşarak; tasarım ve uygulama aşamalarında insan faktörünü ve eğitimi temel alan ve bu faktörün güçlendirilmesine yönelik önerileri de içeren bir çalışma yapılması faydalı olacaktır. Hangi koruma mekanizmalarının olması gerektiğini tanımlayan teknoloji odaklı güvenlik modelleri günlük hayatta karşılaşılabilecek güvenlik problemlerini adreslemekte yetersiz kalabilmektedir. Bu nedenle güvenliğin sağlanmasında çok 12 önemli bir yeri olan ve aynı zamanda en zayıf halka olarak nitelendirilen insan faktörünün güçlendirilmesine katkı sağlayacak bakış açısıyla konuya yaklaşılmalıdır. Bunun ise bilgi güvenlik yönetim sistemi modelinin tasarlanması aşamasında insan unsurunun ve yeteneklerinin geliştirilmesine katkı sağlayacak hususların model içerisine yerleştirilmesi ile sağlanabileceği düşünülmektedir. Bilgi güvenliği gereklidir, çünkü bilginin önemi artmakla birlikte bilginin işlenmesi için kullanılan teknolojiyle birlikte bilgiye erişimde kolaylaşmaktadır. Eğitim kurumları yeni teknolojileri kullanırken, riskleri de dikkate alarak bilgi güvenliğini sağlamalıdır. Üniversitelerde bilgi ve iletişim teknolojisi kullanımının yaygınlaşması ile birlikte önem kazanan bilgi güvenliğinin sağlanması konusunda yapılacak bu araştırma, bilgi güvenliğinin farklı alanlarında yapılan araştırmalar, dünyada kabul görmüş standartlar ve uygulama örneklerinin irdelenerek oluşturulacak model önerisinin sunulması ve uygulanması ile Türkiye’de ilk olması açısından önemli ve güncel; üniversitelerde bilgi güvenliği ile ilgili risklerin etkilerinin azaltılması için rehber niteliğinde olacağından işlevsel bir çalışma olacaktır. Ayrıca bu çalışma bilgi güvenliğinin sağlanmasında eğitimin ve insan faktörünün ön plana çıkartılması açısından az sayıdaki araştırmalardan birisi olacaktır. Bu çalışmanın ülkemizde bilgi güvenlik yönetimi, bilgi güvenlik farkındalığı ve eğitimi konularında yapılacak diğer çalışmalara referans olması ve bu tarzda yapılacak çalışmalara tetikleyici bir unsur olması ümit edilmektedir. Yapılacak çalışma ile yöntem ve eğitim materyalleri Gazi Üniversitesi, Ankara Üniversitesi ve TOBB Ekonomi ve Teknoloji Üniversitesi tarafından tüm kullanıcılara açılabilir ve kurumlar için faydalanabilecekleri bir kaynak olabilir. 1.4. Varsayımlar Mevcut durumun tespit edilmesi için kullanılan anket ve soru kâğıdı için uzman görüşleri alınmıştır. Görüşü alınan uzmanlar gerekli yeterliliğe sahiptir; kanıları 13 yeterlidir ve görüşlerinde objektif ve samimidirler. Bilgi toplama araçları için (elektronik anket) kişiler soruları içten, yansız ve doğru cevaplandırmıştır. 1.5. Sınırlılıklar Bu tez çalışmasında tasarlanan model, Gazi Üniversitesi, Ankara Üniversitesi ve TOBB Ekonomi ve Teknoloji Üniversitesi bilgi işlem daire başkanlıklarında uygulanmıştır. 1.6. Tanımlar Bilgi Güvenliği: Bilginin gizliliği, bütünlüğü ve kullanılabilirliğinin/ erişilebilirliğinin korunması. Đhtiyaç analizi: Mevcut durumla olması gereken/hedeflenen durumun karşılaştırılması. Risk: Kurum’a veya paydaşlarına zarar verme potansiyeli olan durumu veya bir varlıktaki/süreçteki bir açıklığın (vulnerability) bir tehdit tarafından kullanılma (exploit) ihtimali. Risk Değerlendirmesi: Bilişim kaynaklarının, zafiyetlerin ve tehditlerin dikkate alınarak risklerin belirlenmesi; risklere karşı mevcut kontrollerin dikkate alınarak bu risklerin oluşma olasılığı ve oluşması durumunda etkisinin analiz edilmesi ve riskin oluşma olasılığı belirlenmesi. ve/veya etkisinin azaltılması için alınabilecek aksiyonların 14 Risk Yönetimi: Bilişim kaynaklarını/mevcut süreçleri etkileyebilecek olan risklerin; uygun bir maliyette tanımlanması, kontrol edilmesi ve en aza düşürülmesi veya ortadan kaldırılması süreci. BÖLÜM II 2. KAVRAMSAL ÇERÇEVE Bu bölümde araştırmanın kavramsal çerçevesini oluşturan bilgi güvenliği, teknoloji, eğitim, bilgi güvenlik yönetim sistemi ile ilgili temel kavramlar, ilkeler ve araştırma sonuçları incelenmiştir. Kaynak taramasında aşağıdaki veri tabanları ve indeksler kullanılmıştır. Google Academic Search Premier ERIC EDUCAUSE ISACA ISC2 ACM ProQuest Digital Dissertations YÖK Kütüphanesi YÖK tez veritabanı linkleri Kaynak taramasında aşağıdaki anahtar kelimeler ve ifadeler ile değişik yazımları kullanılmıştır: Bilgi güvenlik/Güvenlik (Information security /Security) 16 Kurumsal bilgi güvenliği (Enterprise information security) Bilgi güvenlik eğitimi (Information security learning) Yükseköğretim bilgi güvenlik (Higher education information security) Güvenlik farkındalığı (Security aweraness) Bilgi güvenlik yönetim sistemleri (Information security management model) BT güvenliği (IT security) Güvenlik standartları (Security standard) Kaynakların seçiminde tezin kavramsal çerçevesi ve araştırma soruları ile ilişkisi göz önünde bulundurulmuş ve kavramsal çerçevenin oluşturulmasında, genelden özele doğru bir sıra izlenmiş ve araştırma bulguları sunulmuştur. “Bilgi ve Đletişim Teknolojisi ile Bilgi Toplumuna Geçiş” bölümünde teknolojinin hayatımızdaki yeri ve toplumda bilginin öneminin artışı aktarılmaya çalışılmıştır. “Bilgi Teknolojileri ve Üniversiteler” bölümünde üniversitelerde bilgi teknolojilerinin kullanımı incelenmiştir. “Bilgi Güvenliği” kısmında bilgi güvenliğinin ne anlama geldiği ve neden önemli olduğu vurgulanmış ve üniversitelerde bilgi güvenliğinin önemi konularına değinilmiştir. “Bilgi Güvenliğine Yönelik Standart ve Kılavuzlar” bölümünde ise içerisinde bilgi güvenliği ile ilgili kısımlar bulunan dokümanlar hakkında araştırma ve inceleme sonuçları sunulmuştur. 2.1. Bilgi ve Đletişim Teknolojisi ile Bilgi Toplumuna Geçiş Bilgi, mal ve hizmet üretimindeki, personel, malzeme, makine (tesis ve enerjiyi de içerir) ve para gibi temel girdilere ilave edilen belki de en pahalı ve önemli girdi olarak ifade edilmektedir (Gökçen, 2002). Bilgi, toplanmış, organize edilmiş, yorumlanmış ve belli bir yöntemle etkin karar vermeyi sağlamak amacıyla ilgili birime iletilmiş, belirli bir amaç doğrultusunda kullanılan, yararlı biçime dönüştürülmüş ve kullanıcıya değer sağlayan verilerdir. Bilgi, çoğulculuğu, çeşitliliği, kurum içi etkileşimleri ve organizasyon faaliyetlerinin mantıksal arka planını oluşturmaktadır. 17 Bilginin ihtiyaç duyulduğu an erişilebilir olması da son derece önemlidir, ünlü savaş uzmanı Napolyon’un belirttiği gibi, doğru bilgiyi doğru zamanda temin etmek savaşın onda dokuzunu kazanmak demektir. Günümüzde de bilgi güç olarak görülmektedir. Toplumların yapısını ve eğitim sistemlerini etkileyen etkenlerin başında gelen bilim ve teknolojideki ilerlemeler, iletişim teknolojilerinin gelişimi, küreselleşmenin etkileri, kurumsal ve toplumsal boyutta kaçınılmaz bir dönüşüme yol açmıştır. Bu dönüşüm günümüzde “enformatik devrim”, “bilgi toplumu” olarak nitelendirilmektedir ve bilgi patlaması, bilimsel ve teknolojik alanda kaydedilen hızlı gelişme ve değişimlere bağlı olarak çağımıza “bilgi çağı”, “iletişim çağı”, “uzay çağı”, “bilişim çağı” gibi adlar verilmektedir. Bu değişim ve gelişmeler, hem bireyleri hem de toplumları etkilemekte, onların yaşam biçimlerini değiştirmektedir. Bilgi çağı olarak adlandırılan bu çağın en önemli özelliği, bilgi teknolojilerinin yoğun olarak kullanılması ve maddi ürün yerine bilgi üretiminin önem kazanmasıdır (Şimşek, 2002; Tandoğan ve diğerleri, 1998; Yıldırım ve Öner, 2004). Bilgi toplumu kavramı çeşitli ülkelerin resmi politika belgelerinde “sosyoekonomik faaliyetlerin giderek etkileşimli sayısal iletişim ağlarının katılımıyla veya bu iletişim ağların yoğun kullanımıyla gerçekleştirilmesi yanında bu amaçla kullanılan her türlü teknolojinin ve uygulamanın üretilmesi olarak” tanımlamaktadır (TUBĐTAK, 2002). Bilgi toplumu, bilginin temel güç ve ana sermaye olduğu, ancak amaç değil, araç olduğu ve toplumsal yaşamın her aşamasını aydınlatan, yönlendiren başlıca güç olduğu bir hayat biçimi, bir düşünce biçimidir. Başka bir ifadeyle bilgi toplumu bireylerin paylaşıldıkça artan bilginin gücü ve üstünlüğünü kabul ettiği ve aktif olarak kullandığı bir yaşam biçimidir ve bilgi, toplumun stratejik kaynağını oluşturmaktadır. Naissbitt ve Aburdene (1990: 269)’nin ve Drucker, (1994)’ın da belirttiği gibi bilgi toplumunda birey, merkezi bir konuma sahiptir. Bilgiyi üreten de kullanan da insan olduğu için, insan kaynakları, dolayısıyla eğitim bu toplumun varlığını sürdürebilmesinin vazgeçilmez koşulu haline gelmiştir (Çetin, 2004). Eraydın (2002)’da benzer şekilde bilgi toplumunda insanın bilgiyi en etkin ve en yararlı 18 olarak kullanabilmesi için onun eğitiminin her zamankinden daha fazla önem kazandığını belirtmektedir. Sonuç olarak, bilgi toplumunda son derece önemli olan; bilginin kaynağı diye nitelendirebileceğimiz, bilginin üretildiği, sunulduğu ve insanlara öğretildiği yerler olan eğitim örgütlerinin kişileri bilgi toplumu olma yönünde hazırlaması da son derece doğaldır (Can, 2002). Son yıllarda önemli bir güç haline gelen bilginin, üretilmesi yanı sıra muhafaza edilmesi ve paylaşılması için kullanılan bilgi ve iletişim teknolojileri hayatın her alanında yer almaya başlamıştır. 2.2. Bilgi Teknolojileri ve Üniversiteler Bilim ve teknoloji alanlarındaki gelişmeler, bir yandan toplumsal yapıları uygun bir dönüşüme zorlarken, bir yandan da bireyler bu gelişmelerin her geçen gün hızla değiştiği yeni ortamlara uyum sorunlarıyla karşılaşmaktadır. Böylece gerek yaşamlarını dengeli bir biçimde sürdürebilmeleri, gerekse içinde bulundukları topluma yapıcı bir üye olarak katılabilmeleri için, bireylerin gerekli bilgi, beceri ve tutumlarla donatılması ihtiyacı ortaya çıkmaktadır. Bunun yapılması ise rastlantılara bırakılamaz. Bu noktada önce teknoloji sonra da eğitim kavramları devreye girmektedir (Tosun, 2006). Eğitim ve teknoloji, bireylerin yaşamlarını, uluslar arasındaki siyasal-ekonomikkültürel ilişkileri ve toplumların sosyal refah düzeylerini belirlemede en önemli faktörler arasındadır. Özellikle teknolojide yaşanan değişim ve gelişimler eğitimi, buna bağlı olarak da toplumu etkilemektedir. Bu nedenle teknoloji ve eğitim birbirleriyle sıkı bir şekilde ilintili kavramlardır (Özkul ve Girginer, 2001). Son yıllardaki gelişmeler değerlendirildiğinde de eğitimde teknolojiden faydalanma oranının arttığı görülmektedir. Yükseköğretim, akademik dereceler vermek üzere üniversiteler ve diğer kuruluşlar tarafından sunulan bir hizmettir. Yükseköğretim hem öğretim hem de 19 araştırma aktivitelerini barındırmakta ve öğretim süreci farklı şekillerde adlandırılsa bile lisans ve lisansüstünü kapsamaktadır. Tarihte yükseköğretimin içeriği ve şekli değişmiş olsa da son yıllarda malumat (information) ve bilginin (knowledge) iletimindeki köklü ve hızlı değişimler yükseköğretimin kitlelere iletilme şeklini de değiştirmeye başlamıştır. Geçmişte olduğu gibi şu anda da teknolojik gelişmeler eğitim dünyasında da kendisine kullanım alanları bulmaktadır (Ersoy ve Acartürk, 2006). T.C. Devlet Teşkilatı Rehberin (1998: 513)’de tanımlanan yükseköğretimin görevleri incelendiğinde bilgi güvenliği konusunda görev tanımları ile ilişkilendirilen konular özetle aşağıda sunulmuştur: “1) Çağdaş uygarlık ve eğitim-öğretim esaslarına dayanan bir düzen içinde, toplumun ihtiyaçlarına ve kalkınma planları ilke ve hedeflerine uygun ve ortaöğretime dayalı çeşitli düzeylerde eğitim, öğretim, bilimsel araştırma, yayın ve danışmanlık yapmak;” (Dünyadaki gelişime bakıldığında bilgi güvenliğinin öneminin arttığı ve ülkemizde özellikle bilgi güvenliği konusunda yükseköğretim kurumlarının topluma destek olması gerekliliğinin de arttığı bir gerçektir). “2) Kendi uzmanlık gücünü ve maddi kaynaklarını rasyonel, verimli ve ekonomik şekilde kullanarak, milli eğitim politikası ve kalkınma planları ilke ve hedefleri ile Yükseköğretim Kurulu tarafından yapılan plan ve programlar doğrultusunda ülkenin ihtiyacı olan dallarda ve sayıda insan gücü yetiştirmek;“ (Teknolojinin hızlı gelişimi karşısında yükseköğretim kurumlarının müfredatlarını gözden geçirerek özellikle bilgi güvenliği alanında yetişmiş insan gücünün temin edilmesinde destekleyici programlarla yardımcı olması gerekmektedir). “3) Türk toplumunun yaşam düzeyini yükseltici ve kamuoyunu aydınlatıcı bilim verilerini söz, yazı ve öteki araçlarla yaymak;” (Yükseköğretim kurumları bilgi güvenliği konusunda araştırma yapılmasına öncülük ederek bilgi güvenlik yönetim sistemi kurulumu için kılavuz olacak yayınları paylaşmalıdır ve bu yayınların artırılmasını sağlamalıdır). 20 “4) Ülkenin bilimsel, kültürel, sosyal ve ekonomik yönlerden ilerlemesini ve gelişmesini ilgilendiren sorunlarını, öteki kuruluşlarla işbirliği yaparak, kamu kuruluşlarına önerilerde bulunarak öğretim ve araştırma konusu yapmak, sonuçlarını toplumun yararına sunmak ve kamu kuruluşlarınca istenecek inceleme ve araştırmaları sonuçlandırarak düşüncelerini ve önerilerini bildirmek;” (Yükseköğretim kurumları bilgi güvenliği konusunda öncülük edici çalışmalar yanı sıra özellikle ülkemizde kamu kurumlarında bilgi güvenliğine yönelik çalışmalarda bulunarak bu kültürün yaygınlaşmasına destek olmalıdır.). “5) Eğitim teknolojisini üretmek, geliştirmek, kullanmak, yaygınlaştırmak.“ (Yükseköğretim kurumları yaygınlaştırılmasını eğitim sağlarken bu teknolojisinin teknolojideki üretilmesi, bilgi kullanılması güvenliğinin ve sağlanması gerekliliğini de dikkate almalıdır). Üniversite, “evrensel kavrayışla pozitif bilimin, insan aklına ve uygarlığın bilgi birikimine duyulan güvenle geliştirildiği yenilendiği araştırma, aydınlanma kurumları”dır (Gürel,1995: 47). “Üniversiteler iki temel amaç için vardır. Birincisi, cinsiyet gözetmeden insanları belli meslekler için eğitmek, ikincisi kısa vadeli yarar gözetmeden bilim ve araştırmayı sürdürmektir” (Russell, 2001: 206). Günümüzde önemi gittikçe artan bilgi güvenliği konusunda gerek yetişmiş insan gücü sağlanması gerekse bu alanda yapılacak araştırma ve inceleme faaliyetlerinin artırılması hakkında üniversitelere büyük sorumluluk düşmektedir. Bilgi toplumunda en önemli görev üstlenen kurumlardan birisi üniversitelerdir. Çünkü, üniversiteler bilgi ekonomisinin “hammadde”si olan bilginin üretiminden ve dağıtımından sorumlu temel kurumlardır. Üniversite, kamu yararı için bilgi üreten, bilgiyi ileten ve yayan özerk bir öğretim ve araştırma kurumudur (Ortaş, 2004). TC Devlet Teşkilatı Rehberinde (1998: 513) ve 2547 sayılı kanunda (1981) yükseköğretimin kuruluş amacı “…yüksek düzeyde bilimsel çalışma ve araştırma yapmak, bilgi ve teknoloji üretmek, bilim verilerini yaymak, ulusal alanda gelişme ve kalkınmaya destek olmak, yurtiçi ve yurtdışı kurumlarla işbirliği yaparak bilim 21 dünyasının seçkin bir üyesi haline gelmek, evrensel ve çağdaş gelişmeye katkıda bulunmak” olarak belirtilmektedir. Bilgi teknolojisi diğer bütün kurumları olduğu gibi üniversiteleri de etkilemektedir. 2.3. Bilgi Güvenliği Günümüzde bilgi teknolojileri kullanımı ile bilginin üretilmesi, depolanması, paylaşılması ve kullanılması kolaylaşmış; bilgi, bilgi çağıyla birlikte bilgi teknolojilerinin yaygınlaşması sonucunda hızlı ve sürekli bir şekilde üretilebilen, geliştirilebilen, iletişim kanallarıyla taşınan, bölünebilen, paylaşılabilen ve üretim faktörleri ile ikame edilebilen bir ürün halini almıştır. Organizasyonlar ve bireyler arasındaki kompleks ilişkiler bilginin alıcısına ulaşma güvenirliğini azaltmaktadır (Guredin, 1994: 4). Bilginin bu kadar hayati önem taşıdığı bir ortamda bilginin güvenliğinin sağlanması da kuşkusuz önemlidir. Çünkü bilgi ve bilginin işlendiği sistemler ve bilgisayar ağları önemli ticari varlıklardır. Konuya kurumsal düzeyde bakıldığında, korunması gerekenlerin, kurum içi veri, kurum içi bilgi sistemleri ve kurum itibarı olduğu görülmektedir. Bilginin gizliliği, güvenilirliği ve kullanılabilirliğinin sağlanması yani bilgi güvenliğinin sağlanması; kurumların ayakta kalabilmesi ve hedeflere ulaşabilmesi için son derece önemlidir. Benzer şekilde bilgi güvenliği, yasal yükümlülükleri yerine getirebilmek, rekabet gücünü ve ticari/sosyal imajı korumak ve sürdürmek için zorunlu ve gereklidir. Herhangi bir şekilde güvenliğin ihlal edilmesi kurumlar için verdikleri hizmetlerin aksamasına, maddi zararlara ve en az maddi zararlar kadar yıkıcı etkisi olan manevi zararlara neden olabilir. Kurumun, kamu, müşteriler, iş ortakları ve hissedarlar karşısında güven kaybına uğraması, stratejik bilgiden yoksun kalması ve kurumsal itibarın zedelenmesi gibi zararlarla karşı karşıya kalması söz konusu olabilir. Bilgi güvenliğinin sağlanabilmesi için sadece teknoloji kullanımı yeterli değildir. Güvenliğin teknik yönü kadar sosyal yönü de dikkate alınmalı ve güvenlikte en zayıf halka olarak nitelendirilen insan faktörü güçlendirilmelidir. Aksi takdirde bilgi güvenliğini sağlamak için sadece teknolojiye yapılan yatırımların boşa gitmesi ihtimali 22 bulunacaktır. Gonzales ve Sawicka (2002), bilgi güvenliğinin teknoloji ve insanı içerdiğini, güvenlik sistemlerinin ne kadar iyi tasarlanmış ve uygulanmış olursa olsun insanlara bağlı olduğunu ve bilgi güvenlik sistemlerinde insan faktörünün daha iyi anlaşılması gerektiğini belirtmektedir. Bu görüşlerin doğruluk payı bulunmaktadır. Kurumun/sistemin kullanıcıları bilinçlenmemişse, en güçlü güvenlik ürünleri bile yeterli koruma sağlayamaz. Bu çerçevede bakıldığında kurumlar için bilgi güvenliğinin sağlanmasında teknik altyapının oluşturulması kadar insan faktörünün de dikkate alınması ve bilgi güvenliğinin sağlanması için sistem tasarlanırken kullanıcıların bilinçlendirilmesi için eğitim programları ile bilgi güvenlik yönetim sistemin desteklenmesi gerekliliği ortaya çıkmaktadır. Ancak burada önemli olan bilgi güvenlik yönetim sisteminin planlama aşamasından itibaren insan ve eğitim faktörlerinin sürece dâhil edilmesidir. Bilgi güvenliğinin sağlanması diğer sektörlerde olduğu gibi eğitim alanında da gereklidir. Çünkü daha önce eğitim kurumlarında saklanması gereken kritik kâğıt belgelerin yerini elektronik kayıtlar almakta, elektronik imzanın uygulanması ile birlikte dijital ortamlara geçişin hızlanacağı öngörülmektedir. Kâğıt ortamda kilit altında saklanan bu belgelere gösterilen özenin elektronik kayıtlara da gösterilmesi gerekmektedir. Günümüzde bilgi güç demektir. Bilişim sistemleri eğitim kurumlarında eğitimsel süreçlerin daha etkili hale getirilmesi için kullanılabilecek bir araçtır. Öğrenciler, personel, dersler, programlar, verilen hizmetler hakkındaki bilgiler bilgi teknolojileri ile toplanabilir ve yönetilebilir. Böylelikle eğitim kurumları öğrencilere sunulan hizmetleri daha iyi koordine edebilir, öğrenme süreçlerini daha az kaynakla ölçebilir; personele görev atamalarını yaparak bunları ve kaynakların kullanımını takip edebilir, topluma pek çok katma değerli hizmet sunabilirler. Dijital kütüphaneler, çevirimiçi eğitim bu hizmetlere örnek olarak verilebilir. Bilgi ve iletişim teknolojileri eğitimsel kayıtların saklanması, bilgiye erişim ve kullanımı kolaylaştırmaktadır, ancak beraberinde bilgi güvenliği ile ilgili riskleri de getirmektedir. Eğitim kurumları yeni teknolojileri kullanırken bu teknolojilerin sağlayacağı faydaların yanı sıra bu teknolojilerin getirdiği risklerin de farkında olmalıdır. Bilgi güvenliğinin eğitim sürecine dolaylı yoldan etkilerinin olması söz 23 konusudur. Bir üniversitede elektronik olarak tutulan öğrenci notlarının değiştirilmesi durumunda ya da daha vahimi bu notların tamamının kaybı durumunda dolaylı yoldan eğitim sürecine etkisinin yüksek olduğunu söylemek yanlış olmaz. Ya da bir akademik personelin bilgisayarında tuttuğu araştırma verileri veya eğitimle ilgili kullandığı bilgi varlıklarının; kütüphanede kullanılan ve kullanılan kaynak bilgileri ile birlikte ödünç alma verilerinin bilgi sistemlerinde tutulması söz konusu ise bu bilgi varlıklarının; öğrenciler ve personelle ilgili bilgi sistemlerinde tutulan bilgi varlıklarının değiştirilmesi, zarar görmesi veya tamamen kaybedilmesi durumunda etkilerinin göz ardı edilmemesi gereklidir. Eğitimde kullanılan bilgisayar laboratuarlarının veya çevrimiçi eğitim sistemlerinin zararlı kodlar (virüs, solucan vb.) sebebiyle iş göremez hale gelmesi, konuyla ilgili yeterli hazırlıkların yapılmamış olması durumunda bu sistemlerin tekrar işler hale getirilmesinde geçecek zaman ve işgücü kaybının etkilerinin de yüksek olacağı söylenebilir. Eğitimsel Güvenlik Olayları (ESI- Educational Security Incidents) web sitesinde dünyadaki kolej ve üniversitelerde meydana gelmiş ve basında yer almış olan bilgi güvenlik olaylarının kayıtları tutulmaktadır. Bu web sitesinin amacı eğitim kurumlarına eğitimsel bilgi ve bilgi sistemlerine karşın tehditlerin var olduğunu anlamalarına yardımcı olmaktır (Dodge, 2008). ESI başlangıçta kolej ve üniversitelerin bilgi güvenliği hakkında düşünmeye başlamalarını sağlayabilmek için kişisel bir araştırma projesi olarak başlatılmıştır. Dodge (2008) raporunda da belirtildiği gibi güvenlik olayları 6 sınıfta gruplandırılmıştır. Bunlar: • Çalışan Sahtekârlığı (Employee Fraud): Çalışanlar tarafından sahtekârlığa yönelik aktiviteleri içeren olaylar. • Taklit (Impersonation): Bir kişinin (kişilerin) farklı bir kişi (kişiler) veya kurum gibi kendini tanıtarak gerçekleştirilen olaylar. • Kayıp (Loss): Fiziksel medyaların örneğin disklerin, ekipmanların veya basılı materyallerin kaybolması tahrip edilmesini içeren olaylar. 24 • Sızma/Nüfuz Etme (Penetration): Bilgisayar yazılımı, bilgisayar sistemi veya bilgisayar ağına sızma olayları. • Hırsızlık (Theft): Fiziksel medyaların örneğin disklerin, ekipmanların veya basılı materyallerin çalınmasını içeren olaylar. • Yetkisiz Açıklama, Đfşa (Unauthorized Disclosure): Bilinmeyen ve/veya yetkisiz kişilere bilginin gösterilmesini içeren olaylar. Raporda güvenlik olaylarına konu olan bilgi için de aşağıdaki 6 sınıfta gruplama yapılmıştır. Bunlar: • Eğitimsel (Educational): Bireylerin ders programı, not bilgileri gibi eğitimsel bilgilerini içermektedir. • Finansal (Financial): Bireylerin banka hesap numaraları, kredi kartı numaraları gibi finansal bilgileri içermektedir. • Tıbbi (Medical): Bireylere ait tıbbi bilgileri içermektedir. • Kişi Olarak Tanımlayıcı (Personally Identifiable): Bir bireye ait olan bilgiyi içermektedir (ama ille de özel olması gerekmez, örneğin isim, adres, doğum tarihi, e-posta adresi, vb. olabilir). • Sosyal Güvenlik Numaraları (Social Security Numbers): Bireylerin sosyal güvenlik numaraları (veya ABD dışındaki ülkelerde benzer amaç için kullanılan bilgileri) içermektedir. • Kullanıcı adları ve şifreleri (Usernames and Passwords): Bireyin bilgi kaynağına erişimi için kullandığı erişim bilgilerini içermektedir. 25 Aşağıda Şekil 1’de görüldüğü gibi “Kişi Olarak Tanımlayıcı Bilgi” 2007 yılındaki bilgi güvenlik olaylarında liderliği sürdürmektedir. Grafikte görülen kullanıcı adı ve şifrelerle ilgili güvenlik olayı az görünmesine rağmen son derece önemlidir. Çünkü bireyler, kurumun bilgisayar ve ağ sistemlerine girmek için bu bilgileri kullanmaktadır ve bu bilgilerin ele geçirilmesi yetkisiz olarak sistemlere giriş imkânı sağlayacaktır (Dodge, 2008). Şekil 1. Güvenlik Olaylarına Konu Olan Bilgi Kategorileri Aşağıdaki Şekil 2’de görüldüğü üzere en genel güvenlik onayı %38 oranı ile yetkisiz açıklama, diğer bir deyişle bilginin yetkisi olmayan kişiler tarafından görülebilir ve kullanılabilir olmasıdır. Bunu % 28 ile hırsızlık olayları takip etmektedir. 2007 yılı boyunca çalışanların faaliyetleri sebebiyle yaşanan güvenlik olayları oranının yüksek olduğu görülmektedir. Saldırganlar tarafından gerçekleştirilen sızma olayları %22 iken, kötü niyetle olmasa bile çalışan faaliyetleri sebebiyle ortaya çıkan kayıp ve yetkisiz açıklama oranı toplamı %47 gibi bir orana sahiptir (Dodge, 2008). 26 Şekil 2. Güvenlik Olayları Gartner (2006) tarafından yayınlanan raporda aşağıdaki Şekil 3’de görüldüğü üzere, güvenlik olaylarının/saldırılarının %52’si kötü niyetli olmayan personel hatalarından kaynaklanmaktadır. Yine aynı raporda geçen verilere göre güvenlik saldırısı kaynakları incelendiğinde bu kaynaklar içerisinde personel birinci sırada yer almaktadır. 27 Şekil 3. Güvenlik Olaylarının Nedenleri ve Kaynakları Đnsan unsurunun bilgi güvenliğinin sağlanmasında önemini vurgulayan bu çalışmalar, bilgi güvenlik yönetim sistemi oluşturulurken de insan ve bilgi odaklı, eğitimsel hedeflerin birinci öncelikte dikkate alındığı bir modelin uygulanmasının da fayda sağlayacağını göstermektedir. Bir başka raporda (Gartner, 2001), yükseköğretim kurumlarından güvenlik yapısını planlama ve uygulamayı başaramayan kurumlardan yüzde yetmiş beşinin sonraki beş yıl içerisinde en az bir güvenlik ihlali ile stratejik servislerinde kesinti olacağını öngörüldüğü belirtilmektedir. Unutulmaması gereken nokta, şimdiye kadar sorunla karşılaşılmamış olmasının bundan sonra da sorun yaşanmayacağının garantisini vermediği gerçeğidir. 2.4. Bilgi Güvenliği Standart ve Kılavuzlar (En Đyi Uygulama Örnekleri) BT kullanımında güvenliğin sağlanması başka bir ifade ile bilgi güvenlik yönetim sistemi oluşturulması, bilgi ve iletişim sistemlerinin etkili kullanımı için dünyada çeşitli standartlar ve en iyi kullanım örneklerini içeren kılavuzlar bulunmaktadır. Bunlara BS7799; ISO/IEC 17799; ISO/IEC 27002; BS7799 part2; 28 ISO/IEC 27001; TCSEC; ITSEC; CTCPEC; Common Criteria (ISO/IEC 15408); RFC2196; NIST 800-12; OCTAVE; ISO IEC13335; PCI DSS örnek verilebilir, ayrıca içerisinde bilgi güvenliğinin sağlanması ile ilgili kısımların olduğu dünyaca kabul görmüş en iyi uygulama örnekleri de (COBIT, ITIL vb.) bulunmaktadır. Güvenli web uygulamaları yazılması için buna odaklanan OWASP çalışması bulunmaktadır, risk analizi konusunu derinlemesine inceleyen OCTAVE, bilgi güvenlik yönetim sistemi oluşturulması için BS7799’dan başlayarak evrimleşen ISO/IEC 27001; daha teknik detaya inen öncelikle işletim sistemleri için güvenli sistem tasarımını anlatmak amacıyla TCSEC olarak hazırlanan ve yine evrimleşerek (TCSEC, ITSEC, CTCPEC gibi standartların ortak noktalarının bir araya getirilmesi ile oluşturulan) ISO/IEC 15408 olarak yayınlanan standart, kartlı ödeme sistemlerinin güvenliğinin sağlanabilmesi için ISO/IEC 27001 ve OWASP gibi standartların bazı maddelerini de içeren PCI Veri Güvenlik Standardı; BT yönetim süreçlerinin iyileştirilmesi, kontrol altına alınması ile ilgili en iyi kullanım örneklerini içeren COBIT bunlara örnek verilebilir. Aşağıda bu standartlarla ilgili araştırma bulguları sunulmuştur. 2.4.1. BS 7799 Part 1 ; ISO/IEC 17799:2000; ISO/IEC 17799:2005 ; ISO/IEC 27002:2005; TS ISO/IEC 17799:2002; TS ISO/IEC 17799:2006 Đngiltere Standartlar Enstitüsü (BSI- British Standards Institude) Đngiltere’deki ulusal standart kurumudur ve Đngiliz standartlarına ilişkin dokümanları yayımlama yetkisine sahiptir. Đngiltere Standartlar Politika ve Strateji Komitesi (The United Kingdom Standards Policy and Strategy Committee) tarafından hazırlanan BS7799 çeşitli ülkeler tarafından da uyarlanmış ve adapte edilmiştir. BS7799 orijinal şekli ile iki kısımda yayımlanmıştır. • BS 7799-1: Bilgi Teknolojisi– Bilgi Güvenlik Yönetimi Uygulama Kılavuzu (Information Technology- Code of Practice for Information Security Management ) 29 • BS 7799-2: Bilgi Güvenlik Yönetim Sistemi- Doküman Kullanım Kılavuzu (Information Security Management Systems- Specification with Guidance for Use) BS 7799, Bilgi Teknolojisi– Bilgi Güvenlik Yönetimi Uygulama Kılavuzu (Information Technology-Code of practice for Information Security Management ) ilk kez 1995’de Đngiltere Standartlar Enstitüsü tarafından bilgi güvenliğinin sağlanabilmesi amacı ile yayınlanmıştır. Standartta bilginin çeşitli kontroller vasıtası ile korunması esastır. Pek çok organizasyon için bu standart ortak bir referans noktası haline gelmiştir. BS7799 uygulayan organizasyon sayısı artmış ve bazı ülkeler bu standarttan yararlanarak kendi ülkeleri için standartlar oluşturmuşlardır. BS7799 standardından yararlanılarak oluşturulan bu tarz standartlara; Hollanda SPE 20003, Avustralya/Yeni Zelanda AS/NZS 4444, Danimarka ve Đsveç SS 627799 örnek olarak verilebilir. 1998 yılında BS 7799 gözden geçirilip 1999 Mart ayında yenilenmiştir. Şu an 159 ülkenin kabul ettiği Standardizasyon için Uluslararası Organizasyon (ISOInternational Organization for Standardization) tarafından kontrollere tabi tutulan BS7799 standardı 2000 Kasım ayında uluslararası bir standart olarak ilan edilmiş ve ISO/IEC 17799:2000 Bilgi Teknolojisi- Bilgi Güvenliği Yönetimi Đçin Uygulama Prensipleri (Information Technology- Code of Practice for Information Security Management) adı ile kullanıma sunulmuştur. Standart, Standardizasyon için Uluslararası Organizasyon ve Uluslararası Elektroteknik Komisyon (International Organisation for Standardisation and International Electrotechnical Commission ) tarafından hazırlanmıştır. ISO/IEC JTC1/SC27 WG1 olarak tanımlanan teknik komite bu dokümanın bakımında sorumludur. ISO/IEC 17799:2000 Đngiliz standardı olan BS 7799-1:1999, Bilgi Güvenlik Yönetimi Uygulama Kılavuzu (Code of Practice for Information Security Management) dokümanını temel alarak hazırlanmıştır. ISO/IEC 17799:2000 güvenliğini uygulamaktan sorumlu taraflara kurum içinde bilgi bilgi vermek amacıyla hazırlanmıştır. Standart, bir kuruma; kurumun denetim, yasal ve tüzel beklentilerini karşılamaya yönelik uluslararası normdaki güvenlik uygulamalarını sunmaktadır. ISO/IEC 17799: 2000’in ilk taslak kısmının hazırlanması süresince, bu dokümanın uygulanmasının yeterince kalifiye olmuş ve deneyimli insanlar tarafından yapılmasının gerekliliği ön 30 koşul olarak olarak kabul edilmiştir. Đçindeki bütün konular kılavuz niteliğinde olup zorunluluk taşımamaktadır. Bu nedenle ancak yeterli bilgi ve deneyime sahip kişiler tarafından, standartta geçen kontrollerin değerlendirilmesi bunlardan gerekli olanların seçilmesi ve uygulanması sağlıklı olarak gerçekleştirilebilir. ISO/IEC 17799:2000 küçükten büyüğe, değişik sektörlerde bulunan kurumların büyük çoğunluğunun gereksinimlerini kapsamlı olarak karşılayacak şekilde tasarlanmıştır. Güvenlik yönetimi kavramlarından genel olarak bahsedilmektedir. Bilgi güvenliğini temin edebilmek için aşağıda Şekil 4’de gösterilen 10 alanda toplanan bu standart 127 kontrolü içerir. Bu kontroller deneyim ve bilgi birikimi ile belirlenmiş olup kurumun çalışma alanı ya da büyüklüğünden bağımsız olarak uygulanabilmektedir. Şekil 4. ISO/IEC 17799:2000 Konu Alanları ISO/IEC 17799:2000 gelişen ihtiyaçlar doğrultusunda tekrar revize edilerek 10.06.2005 tarihinde ISO/IEC 17799:2005 Bilgi Teknolojisi – Güvenlik teknikleriBilgi Güvenliği Yönetimi Đçin Uygulama Prensipleri (Information technology- Security Techniques- Code of Practice for Information Security Management ) olarak yenilenmiştir. Bir önceki versiyondan temel farkı standardın 11 konudan oluşması ve daha önce standart içerisinde geçen bilgi güvenlik olay yönetimi kısmının ayrı bir başlık altında konumlandırılmasıdır. Şekil 5. ‘de bu konu alanları görünmektedir. 31 Şekil 5. ISO/IEC 17799: 2005 Konu Alanları Bu standart için tekrar ISO tarafından 27000 serisine uygun olarak ISO/IEC 27002:2005 Bilgi Teknolojisi- Güvenlik Teknikleri- Bilgi Güvenliği Yönetimi Đçin Uygulama Prensipleri (Information technology- Security Techniques- Code of Practice for Information Security Management ) numara revizyonu yapılmıştır. Ülkemizde Türk Standartları Enstitüsü tarafından ISO/IEC 17799 ile ilgili çalışmalar tamamlanmış ve TS ISO/IEC 17799 Bilgi Teknolojisi - Bilgi Güvenliği Yönetimi Đçin Uygulama Prensipleri adı ile Türkçe olarak 11.11.2002 yılında kabul edilerek yayınlanmıştır. ISO/IEC 17799: 2005 versiyonu dikkate alınarak aynı standart 21.12.2006 tarihinde revize edilerek TS ISO/IEC 17799 yürürlüğe alınmıştır. 2.4.2. BS 7799 Part 2; ISO/IEC 27001:2005; TS 17799-2; TS ISO/IEC 27001 BS 7799 Part 2:2002 Bilgi Güvenlik Yönetim Sistemi – Doküman Kullanım Kılavuzu (Information Security Management Systems—Specification With Guidance for Use) dokümanın amacı bilgi güvenlik yönetim sisteminin, tesis etme uygulama alma, çalıştırma, izleme, gözden geçirme, sürekliliğini sağlama ve iyileştirme için temel şartlarının dokümante edilerek belirlenmesi olup ISO /IEC 9001:2000 Kalite Yönetim Đlkeleri (Quality Management Principles) ve ISO/IEC 14001:1996 Ortam Yönetimi (Environmental Management) standartları ile uyumlu olacak şekilde tasarlanmıştır. 32 Doküman iş ortaklarına ve müşterilere kurumun yönettiği kendi bilgi güvenlik risklerini teşhis ederek, güvenliğin sağlanmasına yönelik minimum standardı karşılamasında güvence verebilir. Kılavuz yöneticiler ve personel için bilgi güvenlik yönetim sistemi kapsamında bir model oluşturmak amacıyla hazırlanmış olup, sertifikasyon otoriteleri tarafından da kullanılabilmektedir. BS7799-2 , Bilgi Güvenlik Yönetim Sisteminde “tesis etme, uygulamaya alma, çalıştırma, izleme, gözden geçirme, sürekliliğini sağlama ve iyileştirme” ile ilgili tüm aktivitelerinin temel şartlarının dokümante edildiği bir modeldir. Şekli, büyüklüğü, coğrafik konumuna bağlı olmaksızın tüm kurumlar tarafından kullanılabilecek şekilde tasarlanmıştır. Dokümanda tanımlanan aktivitelerin nasıl ve ne şekilde gerçekleştirileceği belirtilmemektedir. Ayrıca BS7799 kontrol amaçlı özel uygulamaları da kurumsal farklılıklar göstermesi nedeniylede tanımlamaktan kaçınmaktadır. Bununla birlikte kılavuz olması amacıyla kurumlara ilgili diğer dokümanları bu amaç için kullanılmasını tavsiye etmektedir. BS7799-2’nin ek kısmında kurumların kendi kurumsal güvenlik kontrol çerçevesi esaslarını tanımlamaya ve belirlemeye yönelik temel teşkil edilebilecek kontrol listeleri bulunmaktadır. Bununla birlikte bu liste kuruma fazladan bir yükümlülük vermek amacıyla hazırlanmamıştır. Yani burada geçen tüm kontrollerin uygulanması zorunluluğu yoktur. Doküman, ISO/IEC 9001 gibi diğer yönetim sistemi standartlarında kullanılan planla, uygula, kontrol et, önlem al (PDCA- plan-do-check-act) modelinin tanıtımını içermektedir ve uygulanmasını önermektedir. PDCA modeli ayrıca OECD ‘nin Bilgi Sistemleri ve Veri Ağları Güvenliği Đçin Kılavuz- Güvenlik Kültürüne Doğru (Guidelines for the Security of Information Systems and Networks—Towards a Culture of Security) ve COBIT dokümanlarında da geçen bazı ilkeleri de belirtmektedir. PDCA, global olarak bilinen ve kabul gören standartlarda kullanılan bir yaklaşımdır ve aşağıda bu yaklaşımın bilgi güvenlik yönetim sisteminin kapsamlı olarak yönetilmesinde nasıl kullanılacağı açıklanmaktadır: 33 Planla: Bilgi güvenlik yönetim sisteminin kurulmasına yönelik aşağıdaki aktiviteleri içerir: • Bilgi Güvenlik Yönetim Sisteminin kapsam tanımı (lokasyon, varlıklar, teknoloji). • Kurumsal gereksinimleri yansıtan bilgi güvenlik politikasının tanımı. • Risk değerlendirme metodolojisinin tanımı. • Risklerin değerlendirilmesi ve tanımlanması. • Risklerin uygulanması için seçeneklerin değerlendirilmesi ve tanımlanması . • Kontrol hedeflerinin ve kontrollerin seçilmesi. • Uygulanabilirlik bildiriminin hazırlanması (kontrollerin seçilmesi ve kapsam dışı tutulması için gerekli olan nedenlerin belirlenmesi). Uygula: Bilgi Güvenlik Yönetim sisteminin uygulanması ve operasyonu ile ilgili aktiviteleri olup aşağıdaki konuları içerir: • Risk tedavisi için planların yaratılması, sorumluluk ve önceliklerin atanması. • Kontrollerin uygulanması. • Eğitim ve farkındalık programları. • Operasyon ve özkaynak yönetimi. • Güvenlik olaylarının tespit edilmesi ve olaylara karşı aksiyon alınması için prosedürler. Kontrol et: Bilgi Güvenlik Yönetim Sisteminin izlenmesi ve gözden geçirilmesi ile ilgili aktiviteler olup aşağıdaki konuları içerir: • Đzleme ve diğer kontrol prosedürlerin uygulanması. • Bilgi güvenlik yönetim sisteminin etkinliğinin gözden geçirilmesi. • Kalan ve kabul edilebilen risklerin gözden geçirilmesi. 34 Önlem al: Bilgi Güvenlik Yönetim Sisteminin sürekliliği ve geliştirilmesi ile ilgili aktiviteleri kapsar ve aşağıdaki konuları içerir: • Đyileştirmelerin uygulanması (uygunsuzluğun nedenini elimine etmek ve gelecekteki uygunsuzluklara karşı bariyer oluşturmak amacıyla düzeltici ve önleyici aksiyonların alınması). • Deneyimlerden bilgi sahibi olmak (kişinin ya da diğer kurumların sahip olduğu). • Đlerlemelerin hedefleri karşıladığının temin edilmesi. Doküman BGYS’nin tesis edilmesi ve yönetilmesi için gerekli olan dokümantasyon şekilleri ile birlikte ilgili Đngiliz standardına uyulmasını sağlayacak dokümantasyonu da tanımlamaktadır. Standart aynı zamanda dokümanları ve kayıtları kontrol etmek için bulunması gerekli olan prosedürleri ve yönetimin sorumluluklarını tanımlanmaktadır. Yönetimin sorumlulukları kapsamı içinde, yönetimin konuya bağlılığını göstermek için taahhüdü, özkaynak yönetimi ve BGYS’nin gözden geçirilmesi de aktarılmaktadır. 14 Ekim 2005 tarihinde BS7799-2 ISO tarafından adapte edilerek 27000 bilgi güvenlik standartlar serisi içerisinde ISO/IEC 27001:2005 Bilgi Teknolojisi- Güvenlik Teknikleri- Bilgi Güvenlik Yönetim Sistemi- Gereklilikler (Information TechnologySecurity Techniques– Information Security Management Systems– Requirements) olarak yayınlanmıştır. Standartta kurumun tüm iş riskleri bağlamında, dokümante edilmiş BGYS’nin oluşturulması, uygulanması, işletimi, izlenmesi, gözden geçirilmesi, yönetimi ve iyileştirilmesi için gerekliliklerden bahsedilmektedir. Standart bilgi varlıklarının korunması ve ilgili taraflara güven verilmesi için yeterli ve uygun güvenlik kontrollerinin seçilmesinden emin olunması için tasarlanmıştır. Bu standart aşağıdaki şekillerde kullanıma uygundur. Standart; • Kurum içinde güvenlik gereksinimleri ve hedeflerinin formüle edilmesinde; 35 • Kurum içinde güvenlik risklerinin maliyet etkin bir şekilde yönetilmesini sağlamak için; • Kurum içinde kanun ve düzenlemelere uygunluğu sağlamak için; • Kurum içinde organizasyonun belli güvenlik hedeflerinin karşılanmasını sağlamaya yönelik kontrollerin uygulanması ve yönetilmesinde süreç modeli olarak kullanımı için; • Yeni bilgi güvenlik yönetim süreçleri tanımı için; • Mevcut bilgi güvenlik yönetim süreçlerinin tanımlanması ve netleştirilmesi için; • Kurum yönetimi tarafından bilgi güvenlik yönetim aktivitelerinin durumlarını belirlemek için; • Kurumun iç ya da dış denetçileri tarafından, kurumca adapte edilmiş politika, yönerge ve standartlara uyum derecesinin belirlenmesi için; • Operasyonel ya da ticari nedenlerle etkileşim içerisinde bulunulan ticari ortaklar veya diğer kurumlara bilgi güvenlik politika, yönerge, standart veya prosedürler konusunda ilgili bilgileri sağlamak için; • Đş yaparken bilgi güvenliğinin uygulanması için; • Müşterilere bilgi güvenliği konusunda ilgili bilgileri sağlamak için kullanılabilir. Ülkemizde Türk Standartları Enstitüsü (TSE) tarafından BS 7799-2 (2002) referans alınarak Şubat 2005’de TS 17799-2 Bilgi Güvenliği Yönetim Sistemleri– Özellikler ve Kullanım Kılavuzu adı altında yayınlanan standart yine TSE tarafından ISO/IEC 27001:2005 referans alınarak yenilenmiş ve TS ISO/IEC 27001 Bilgi Teknolojisi– Güvenlik Teknikleri- Bilgi Güvenliği Yönetim Sistemleri– Gereksinimler adı altında 02.03.2006 tarihinde revize edilerek yayınlamıştır. Bu standart, tüm kuruluş türlerini (örneğin, ticari kuruluşlar, kamu kurumları, kar amaçlı olmayan kuruluşlar) kapsamaktadır. Bu standart, dokümante edilmiş bir BGYS’yi kuruluşun tüm ticari 36 riskleri bağlamında kurmak, gerçekleştirmek, izlemek, gözden geçirmek, sürdürmek ve iyileştirmek için gereksinimleri hakkında bilgi vermektedir. Bağımsız kuruluşların ya da tarafların ihtiyaçlarına göre özelleştirilmiş güvenlik kontrollerinin gerçekleştirilmesi için gereksinimleri belirtmektedir. Aşağıda Şekil 6’da BS7799 ile başlayan bilgi güvenlik standartları serisinin tarihçesi görülmektedir. (Vural ve Sağıroğlu, 2008 ) Şekil 6. Standartların Yayınlanma Süreleri 2.4.3. TCSEC Güvenilen Bilgisayar Güvenlik Değerlendirme Kriterleri (Trusted Computer Security Evaluation Criteria) - 1983 Amerika’da 1980’lerin başında Ulusal Bilgisayar Güvenlik Merkezi (NCSCNational Computer Security Center ) tarafından hazırlanmaya başlanan, turuncu kitap olarak bilinen bu kitapta işletim sistemleri için, güvenli sistem tasarımı anlatılmaktadır. 1985 yılında yayınlanan dokümanda güvenli sistemler güvenlik derecesine göre 4 ana guruba (D-MINIMAL PROTECTION, C-DISCRETIONARY PROTECTION, B- MANDATORY PROTECTION, A-VERIFIED PROTECTION) ayrılmıştır ve 37 bunlarda değerlendirme kriterlerinden oluşan 7 sınıfa (D, C1, C2, B1, B2, B3 ve A1) bölünmüştür. Fonksiyonalite ve detaylandırılmıştır. Sınıflar için güvenlik gereksinimleri her sınıf için güvenlik politikası, kaydedilebilirlik, güven ve dokümantasyon olarak 4 temel başlık altında değerlendirme yapılmaktadır. Bu kitap kullanıcılar olduğu kadar ürünler hakkında da referans olarak kullanılmakta ve NCSC tarafından sertifikalandırma işlemi yapılmaktadır (TCSEC, 2009). 2.4.4. ITSEC TCSEC yayınlandıktan sonra ürün ve sistemlerin güvenlik değerlendirmesi için Avrupa da Đngiltere, Fransa, Almanya ve Hollanda’nın işbirliği ile oluşturulan ITSEC, 1991 yılında yayınlanan detaya girmeden sistem ve ürünlerin güvenlik gereksinimlerinin anlatıldığı TCSEC benzeri bir dokümandır. Burada da ürün ve sistemler için 7 seviye tanımlanmıştır ve her bir seviye için gerekli kriterler verilmiştir. Bu kriterler vasıtası ile TCSEC’ten daha geniş bir alanda sistem ve ürünlere uygulanabilmektedir (ITSEC, 2009). 2.4.5. CTCPEC Kanada hükümeti tarafından TCSEC ve ITSEC yaklaşımlarının bir sentezi olan ve Kanada Güvenilen Bilgisayar Güvenlik Değerlendirme Kriterleri ( The Canadian Trusted Computer Product Evaluation Criteria) olarak adlandırılan doküman 1993‘de yayınlanmıştır. 2.4.6. ISO/IEC 15408 Ortak Kriterler (Common Criteria ) Bilgi Teknolojisi Güvenlik Değerlendirme Ortak Kriterleri (Common Criteria for Information Technology Security Evaluation) olarak bilinen bu standart tarafından başlatılan çalışma ile ISO ISO 15408 (CC v 2.1) adında şimdiye kadar yayınlanan TCSEC, ITSEC, CTCPEC gibi standartların ortak bir noktada bir araya 38 getirilmesi ile 1996 yılında oluşturulmuştur. Bilgi teknolojisi güvenlik gereksinimlerinin adreslendiği standart ürün ve sistemlerin analizi ve kullanımında güvenlik konusunda rehber doküman niteliğindedir. 2.4.7. RFC (Request for Comments) 2196 Amerika’da internet güvenlik problemlerinin araştırılması için kurulan ve savunma bakanlığının desteklediği kurum olan CERT/CC (Koordinasyon Merkezi /Coordination Center) tarafından hazırlanan RFC 2196 ya da diğer adıyla IETF (Đnternet Mühendisliği Özel Kuvveti/Internet Engineering Task Force) Site Güvenlik Elkitabı (Site Security Handbook) olarak geçen organizasyonların doküman, internet bağlantısı olan bilgisayar güvenlik politika ve prosedürlerinin hazırlanmasında rehber olması maksadı ile yayınlanmıştır. Risk analizi, politika hazırlanması, tasarım gibi konuları içeren dokümanda pratik öneriler yer almakla beraber kapsamı çok geniş değildir. 2.4.8. ISO/IEC 13335 Bilgi Teknolojisi- BT Güvenlik Yönetimi için Kılavuz (Information Technology—Guidelines for the Management of IT Security) Standardizasyon Đçin Uluslararası Komite ve Uluslararası Elektroteknik Komisyon (ISO/IEC- The International Organisation for Standardisation and International Electrotechnical Commission) tarafından oluşturulan birleşik komitede, kendi içindeki alt komite olan ISO/IEC JTC1, Subcommittee SC27 (BT güvenlik teknikleri) adında uluslararası standartları belirleyen bir komite bulunmaktadır. ISO/IEC tarafından bilgi güvenlik yönetimi ile ilgili temel başlıkları içeren 5 teknik dokümandan oluşan bir kılavuz olarak hazırlanmıştır. 5 bölümden (ISO/IEC TR 13335-1:1996 Bilgi Teknolojisi- BT Güvenlik Yönetimi için Kılavuz- 1. Bölüm: BT Güvenliği için Kavramlar ve Modeller 39 (Information Technology- Guidelines for the Management of IT Security- Part 1: Concepts and Models for IT Security); ISO/IEC TR 13335-2:1997 Bilgi Teknolojisi- BT Güvenlik Yönetimi için Kılavuz- 2. Bölüm: BT Güvenliğinin Yönetimi ve Planlaması (Information Technology- Guidelines for the Management of IT Security- Part 2: Managing and Planning IT Security); ISO/IEC TR 13335-3:1998 Bilgi Teknolojisi- BT Güvenlik Yönetimi için Kılavuz- 3. Bölüm: BT Güvenliğinin Yönetimi için Teknikler (Information Technology- Guidelines for the Management of IT Security- Part 3: Techniques for the Management of IT Security); ISO/IEC TR 13335-4:2000 Bilgi Teknolojisi- BT Güvenlik Yönetimi için Kılavuz- 4. Bölüm: Koruyucu Önlemlerin Seçilmesi (Information Technology- Guidelines for the Management of IT SecurityPart 4: Selection of Safeguards); ISO/IEC TR 13335-5:2001 Bilgi Teknolojisi- BT Güvenlik Yönetimi için Kılavuz- 5. Bölüm: Ağ Güvenliği Yönetim Kılavuzu (Information Technology- Guidelines for the Management of IT Security- Part 5: Management Guidance on Network Security) oluşan bu standart risk yönetimi için kullanılacak güvenlik kontrollerini içermektedir. ISO/IEC’in bu dokümanları hazırlarken temel hedefi bilgi güvenlik yönetimi ile ilgili temel başlıkların 5 ana bölüm altında incelendiği bir doküman yaratılmasıdır. Birinci bölümde güvenlik kavramları ve modelleri tanıtımı yapılarak BT güvenliğinin yönetim iş adımları belirlenmiştir. Đkinci ve üçüncü bölümlerde planlama, tasarım ve test gibi konularla birlikte BT güvenlik yönetiminin uygulanması, yönetim için kritik hususlar ve teknikler tartışılmıştır. Dördüncü bölüm güvenlik ve tehditlerin yanı sıra BT sistemlerinin güvenliğini sağlamak amacıyla güvenlik korumasının sağlanmasına yönelik yol gösterici konuları kapsamaktadır. Dokümanın dördüncü bölümünde koruyucu önlemler ile ilgili faydalı bir liste bulunmakla birlikte, 2004 yılında yayınlandığından güncel teknik risklerin tamamını içermemektedir. Beşinci bölüm ağ güvenliğinin sağlanması için, ağ bağlantılı faktörlerin tanımlanmasını ve analiz edilmesi ile ilgili bilgileri içermektedir. Doküman bilgi güvenlik yönetimi için bir kılavuz niteliğinde olup yapısal yaklaşımı; uluslararası kabul görmüş güvenlik uygulamaları; kurumsal ölçekte denetim, düzenleyici ve yasal beklentilerin karşılanması hakkında bilgileri sunmaktır. Kılavuz bütün tipte, ölçekte ve coğrafik konumdaki organizasyonlara uygulanabilir. Birinci bölüm BT yönetimini ile ilgili hususlardan bahsettiği için, 40 özellikle üst yönetim ve bilgi güvenlik yöneticilerine hitap etmektedir. Diğer bölümler güvenlik kontrollerinin uygulanmasından sorumlu bireylerin örneğin BT yöneticileri, BT güvenlik personeli gibi kişilerin kullanımına uygundur. ISO/IEC 13335 BT güvenliğinin yönetimi ile ilgili olarak kapsamlı bir kılavuz olma özelliğini taşımakla birlikte BT yönetimi için de uygulanabilir bir dokümandır. Kılavuz her boyutta ve sektördeki kurum için kullanılabilmektedir. Yukarıda bahsedilen dokümanı oluşturan beş bölüm/alan inceleme bilgileri aşağıda sunulmuştur: 1. Bölüm: BT Güvenliği için Kavramlar ve Modeller (Part 1: Concepts and Models for IT Security) : Đlk bölüm (23 sayfa) 1996 yılında yayınlanmış olup, BT güvenlik yönetimi kavramının tanıtımını yapmayı ve bu alanda bilgi vermeyi hedeflemektedir. Dokümanda belli bir BT güvenlik yönetimi yaklaşımı sunulmamakla birlikte, genel olarak kavramlar, modeller, araçlar ve teknikler ile ilgili bilgiler yer almaktadır. Söz konusu kısımda politikanın tanımı, rollerin ve sorumlulukların tanımlanması, sistematik risk yönetimi, konfigürasyon ve değişim yönetimi, acil durum ve iş sürekliliği planlanması, koruyucu önlemlerin seçilmesi ve uygulanması, izleme aktivitelerinin hepsi üst seviyede tanımlanmıştır. Doküman BT güvenliğine doğrudan katılımı olmayan veya BT güvenliği konusunda yeni çalışmaya başlayan üst yöneticiler için hazırlanmıştır. Dokümanda belirtilen güvenlik yönetiminin temel bileşenleri: • Varlıklar, • Tehditler, • Zayıflıklar, • Etki, • Risk, • Kontroller, • Kalan riskler, 41 • Sınırlılıklar/kısıtlamalardır. BT güvenlik yönetimi sürecinin alt süreçleri ise aşağıdaki gibidir: • Konfigürasyon yönetimi. • Değişim yönetimi. • Risk yönetimi. • Risk analizi. • Sorumlulukların belirlenmesi. • Güvenlik farkındalığının oluşturulması. • Đzleme. • Devamlılık planları ve felaketlerden kurtulma. 2. Bölüm: BT Güvenliğinin Yönetimi ve Planlaması (Part2: Managing and Planning IT Security ): 2. bölüm (19 sayfa) 1997 yılında basılmış olup, BT güvenliğinin yönetimi için kılavuz niteliğindeki başlıkları içermektedir. BT güvenliği programının tesis edilmesi ve sürekliliğinin sağlanması BT güvenliğinin ana görevidir ve kurum içinde planlama, yönetim süreci, risk yönetimi, uygulamaya alma, bakım ve izleme ile uyumluluk/bütünleşme süreçlerini kapsamaktadır. 3. Bölüm: BT Güvenliğinin Yönetimi için Teknikler (Part 3: Techniques for the Management of IT Security ): 1998 yılında basımı yapılan ve 54 sayfa olan bu bölümde yönetim teknikleri tanımlanmaktadır. Genel bilgilere ilave olarak, BT güvenlik yönetim süreci de incelenmektedir. BT güvenlik yönetim süreci hakkında kritik aktiviteler aşağıda belirtilmiştir: • Güvenlik Gerekliliklerinin Analizi: Güvenlik hedeflerinin ve stratejisinin tanımlanması, kurumsal BT güvenlik politikasının geliştirilmesi. 42 • Kurumsal Risk Analizi Stratejisinin Seçilmesi: Risklerin tanımlanması, değerlendirilmesi ve farklı sistemlerdeki güvenlik gereklilikleri dikkate alınarak bu risklerin kabul edilebilir seviyeye indirgenmesi. • BT Güvenlik Planının Uygulanması: Güvenlik farkındalığı ve eğitimi de dâhil olmak üzere kontrollerin ve koruyucu önlemlerin uygulanması. • Bakım ve Đzleme: Güvenlik olay yönetiminin sağlanması, değişim yönetiminin sağlanması, izleme ve uyumluluk kontrolü gerçekleştirilmesi. Dokümanda güvenlik kontrollerinin uygulanması ve güvenlik farkındalık programlarının gerçekleştirilmesinde güvenlik ihtiyaçlarının tanımlanması tabanlı bir yaklaşım uygulanması önerilmektedir. Güvenlik farkındalık programları ile kurum içinde farkındalık seviyesinin artırılması hedeflenmektedir. Farkındalık programları aşağıdaki adımlardan oluşmaktadır: • Đhtiyaç Analizi: Farklı kullanıcı grupları için mevcut olan ve hedeflenen farkındalık seviyelerinin belirlenmesi. • Programın Uygulanması: Etkileşimli ve teşvik edici teknikler kullanılması. • Đzleme: Periyodik olarak farkındalık seviyesinin ölçülmesi, yeni sistemler veya mevcut sistemlerde değişiklik olduğunda kullanıcıların yeterli seviyede bilgi sahibi olmasının sağlanması. 4. Bölüm: Koruyucu Önlemlerin Seçilmesi (Part 4: Selection of Safeguards): 4. bölüm (70 sayfa), 2000 yılında basılmış olup üst seviyedeki risk tabanlı yaklaşım ile koruyucu önlemlerin seçilmesi hakkında bilgiler içerir. Sistemler için temel koruma seviyesinin belirlenmesi; koruyucu önlemlerin BT sistem tipine göre seçilmesi veya güvenlik ve tehditlere göre seçilmesi olarak iki şekilde sağlanabileceği belirtilmektedir. Koruyucu önlemlerin seçilmesinde önerilmektedir: • Sistem tiplerinin belirlenmesi. aşağıdaki süreç adımlarının uygulanması 43 • Fiziksel ve çevresel koşulların belirlenmesi. • Mevcut ve hedeflenen güvenlik kontrollerinin belirlenmesi. Güvenlik kontrolleri dokümanda organizasyonel/fiziksel ve sisteme has güvenlik kontrolleri olarak iki kısımda incelenmiştir. 5. Bölüm: Ağ Güvenliği Yönetim Kılavuzu (Part5: Management Guidance on Network Security): 5. bölüm (38 sayfa) 2001 yılında basılmıştır ve ağ güvenliği ile ilgili olup ağ bağlantıları ve komünikasyon analizi ve tanımlanması ile ilgilidir. Koruyucu alanlar ile ilgili bir tanıtım kısmı da bulunmaktadır. ISO/IEC tarafından hazırlanan ve yukarıda her bir bölümü özetlenen bu kılavuz dokümanlar serisi ISO/IEC tarafından tekrar gözden geçirilerek, ISO/IEC 13335-1 ve 13335-2 birleştirilmiş ve 2004 yılında ISO/IEC 13335-1:2004 adı ile yayınlanmıştır; ISO/IEC TR 13335-3 ve 13335-4 kısımları yayından kaldırılarak yerine ISO/IEC 27005 geçmiştir, ISO/IEC TR 13335-5 de yayından kaldırılarak yerine ISO/IEC 180281 geçmiştir. 2.4.9. COBIT (Bilgi ve Đlgili Teknoloji için Kontrol Hedefleri/Control Objectives for Information and Related Technology) BT Yönetim Enstitüsü (IT Governance Institute) tarafından basılan ve Bilgi Teknolojileri Yönetimi (IT Governance), Kontrol (Control) ve Güvence (Assurance) alanları için genel olarak kabul görmüş ve uygulanmış en iyi kullanım örneklerinin sınıflandırıldığı bir ana çerçeve ve doküman setlerini içermektedir. Kullanımında BT yönetimi, güvenlik, kontrol ve kullanıcı yönetimi temel alınmıştır. BT Yönetim Enstitüsü COBIT’ i yayınlama çoğaltma hakkına sahiptir. COBIT dünya çapında mutlak zorunlu (de facto) bir standarttır. Đlk versiyonu 1996 yılında yayınlanmıştır. COBIT’ in misyonu; bilgi teknolojileri ve bilişim güvenliği profesyonelleri, bilgi teknolojileri birim yöneticileri için, genel olarak kabul edilen bilgi teknolojilerinin kontrol ana çerçevesini uluslararası, güncel, yetkin olarak desteklemek ve genel olarak tanıtımını sağlamaktır. araştırmak, geliştirmek, 44 COBIT, kurumlar içinde 3 farklı seviyedeki kullanıcıyı hedeflemektedir. Bunlar sırasıyla yönetim, BT kullanıcıları, ve kontrol ve güvenlik profesyonelleridir. COBIT’te değişik oluşum içindeki birçok kurumlar, şahıs ya da kamu şirketleri ve harici denetim/danışmanlık profesyonelleri hedef kitleyi teşkil etmektedir. COBIT BT Yönetimindeki geniş bir yelpazede sorumluluklar ve görevlerle ilgili konuları içermektedir, dolayısıyla güvenlik odaklı bir doküman değildir. Fakat içerisinde güvenlik yönetimi ile ilgili kısımları da içermektedir. COBIT bu şekliyle, ISO/IEC 17799 dokümanında belirtilen güvenlik yönetiminin tüm aktivitelerini derinlemesine içermemektedir. Kurumsal ölçekteki yönetim (enterprise governance- politikalar, prosedürler, standartlar ile kurumun yönetildiği ve kontrol edildiği yönetim modeli-), ve BT yönetimi COBIT perspektifi ile bakıldığında yüksek seviyede birbiriyle bağlantılıdır. Kurumsal ölçekteki yönetim, BT yönetimi olmadan ya da BT yönetimi kurumsal ölçekli yönetim olmadan son derece yetersizdir. COBIT (65 sayfa) BT yönetimi ana çerçevesini yaratma modeli olarak geliştirilmiştir. Bu model iş kontrol modeli (business control model) ve BT kontrol odaklı modeli ile köprü işlevini görmektedir. COBIT’ te belirtilen ana çerçeve bilginin kalite, güvenlik ve güvenilirlilik talebi için duyulan gereksinimi karşılamayı tanımlamaktadır. COBIT’ te bu gereksinimler belirgin ancak birbiri üzerine geçebilen aşağıdaki 7 kategoriye ayrılmıştır: • Kalite 1.Etkinlik: Bilgi geçerli ve iş süreci ile ilgili olduğu kadar, zamanlı, doğru, sürekli ve kullanılabilir olarak verilmiş olmalıdır. 2.Verimlilik: Bilgi özkaynakların en optimal şekilde kullanılması yoluyla (ekonomik ve üretken olarak) tedarik edilmelidir. • Güvenlik 3. Gizlilik: Hassas bilgi yetkisiz olarak ifşa edilmeye olmalıdır. karşı korumalı 45 4. Bütünlük: Bilgi, iş değerleri ve beklentilere göre tam ve geçerli olmalıdır. 5. Kullanılabilirlik: Bilgi ve ilgili özkaynaklar ve yetkinlikler ile ilişkili olarak, şu anda ve gerekli olduğunda kullanılabilir olmalıdır. • Güvenirlik 6. Uyumluluk: Đşin konu olduğu durumlarda kanun, yönetmelik ve sözleşme ile ilgili uyum sağlanmalıdır. 7. Bilginin güvenilirliği: Belirli bir kurumsal kimliği olan ve bu kapsamda finansal ve uyumluluk ile sorumlulukların değerlendirildiği yönetim tarafından gerekli olan bilginin sağlanması ile ilgilidir. Dokümanda 7 kategori belirtildikten sonra ana çerçeve kapsamında hedeflere ulaşmak için gerekli BT kaynakları tanımlanmaktadır. Bunlar : • Veri: En geniş kapsamı içerecek şekilde (iç, dış, yapısal, yapısal olmayan, grafik, ses,..vs) tüm veriler. • Uygulama sistemleri: Manuel ve programatik prosedürlerin toplamı. • Teknoloji: Donanım, işletim sistemi, veri tabanı yönetimi, ağ bağlantısı (network) ,..vs. • Tesisler: Bilgi sistemlerini destekleme ve barındırmak için gerekli olan özkaynaklar. • Đnsan: BT sistemleri ve servislerinin planlanması, organize edilmesi, kazanımı, dağıtımı, destek ve izlenme için personel yeteneklerini, farkındalık ve üretimi kapsar. 46 Dokümanda COBIT ana çerçevesi 4 alan içinde tanımlanan 34 adet kontrol hedeflerinden oluşmaktadır. Buradaki alanlar OECD güvenlik kılavuzu, ISO/IEC 9000, 14000, 15000 ve BS 7799-2:2002 standart ve kılavuzlarında da geçen dört aşamalı süreç modeli (PDCA modellerini) ile uyumlu olarak tasarlanmıştır. COBIT’teki 4 alan aşağıda sıralanmıştır: • Planlama ve Organize etme (Plan & Organise)—11 hedef , P01 - P11. • Elde etme ve Uygulama (Acquire & Implement)—6 hedef , AI1 - AI6. • Teslim Etme ve Destek (Deliver &Support)—13 hedef, DS1 - DS13. • Đzleme ve Değerlendirme (Monitor&Evaluate)—4 hedef , M1 - M4. 2.4.10. Bilgi Güvenlik Forumu’nun Bilgi Güvenliği için En Đyi Uygulama Standartları (The Information Security Forum’s (ISF’s) Standard of Good Practice for Information Security) Doküman bilgi güvenlik ilkeleri ve uygulamalarını kapsar. ISF, çoğunluğu Avrupa’da bulunan kurumsal olarak 250’den fazla organizasyonun kurumsal üyeliğini içeren bir kuruluştur. Đlgili standart ISF üyelerince üretilen bilgi güvenlik ilkeleri ve kontrol uygulamalarını içermektedir. Standardın temel hedefi “dünya çapındaki bütün kuruluşlardaki bilgi güvenliğinin en iyi bir şekilde uygulanmasını ve ilerlemesini sağlamak; bilgi güvenlik riskini kabul edilebilir seviyeye getirmek; uygulanabilir standartların geliştirilmesine yardımcı olmak, doğru alanlara odaklanmak, bilgi güvenlik riskinin etkin olarak azaltılmasını sağlamak ve desteklemek” olarak ifade edilmektedir. Bu kılavuz kurumların güvenlik yapısının diğer kurumlarla karşılaştırmalı değerlendirmesini (security benchmark) sağlamak ve artırmak amacıyla hazırlanmıştır. ISF, sektör farklılığı, coğrafik konumu ve büyüklüğü yönüyle tüm kurumlara hitap edeceğini düşünse bile standart özellikle büyük ulusal ve uluslar arası kurumlar 47 için; bilgi güvenlik uzmanları, BT yönetimi ve danışmanların kullanımına yönelik hazırlanmıştır. Standart genel ve detaylı olarak güvenlik ilkelerini, kontrol hedeflerini ve güvenlik uygulamalarını içermektedir. Bu şekliyle her türlü coğrafik lokasyon içinde ve sektörde bulunan büyük ölçekteki kurumlara hitap etmektedir. Standart doğrudan güvenlik yönetimi kavramlarını kapsamadığı gibi, uygun olan kontrollerin nasıl seçileceğine dair bir öneri ya da kılavuz niteliğini de taşımamaktadır. Bu sebeple kullanılması gerektiğinde, deneyimli bir güvenlik uygulamacısı tarafından ya da ilgili diğer kaynaklarla birlikte uygulanması gereklidir. Bu doküman bilgi güvenlik yönetimi için, uygulanabilir ilkeleri ve uygulama özet bildirgelerini kapsayan (practice statement) 248 sayfadan oluşmuştur. Dokümandaki tanıtım kısmı standardın gelişmesinin arka planını açıklamakta ve kullanımı ile ilgili kazanç ve yönlendirici bileşenleri sunmaktadır. Standartta, standardın uygulanmasından yeterli kazanım sağlanması için; planlanan güvenlik kontrollerinin uygulanmasından doğabilecek maliyete göre karar verebilecek deneyimli güvenlik yöneticileri tarafından kullanılması gerektiği vurgulanmaktadır. Standardın ana çerçevesi, bilgi güvenlik yönetimini her biri kendine özgü olan 5 alana ayırmaktadır. Bu 5 alan, kendi içinde destekleyici birçok alanlara ve onlarda ana ilke ve hedefleri içeren kısımlara bölünmüştür. 5 alan her biri kendi kapsamı içinde tamamlanacak şekilde tasarlanmış olmakla birlikte, bazı kısımlar (örneğin risk analizi) tekrar edilmektedir. Aşağıda dokümanda geçen 5 alan ve bu alanlarda geçen kritik konular bulunmaktadır: • Güvenlik Yönetimi (Kurumsal Ölçek): Yüksek seviyede yönlendirme ve kontrol için yapılması gerekenler anlatılmaktadır. Özetle; − Bilgi Güvenliğin tesis edilmesi, dokümantasyonu, yönelim ve yaptırımı; − Kurumsal ölçekte güvenliğin yönetilmesi ve uygulanması için kurumsal düzenlemeler yapılması; − Bilgi varlıklarının sınıflandırılması ve mülkiyet haklarının tesis edilmesi; 48 − Güvenli ortam için yapılacak olan düzenlemelerin tanımlanması; − Kötü niyetli ataklara karşı korunma ve karşılık verme için alınması gerekli olan adımlar; − E-mail, şifreleme, PKI ve dış kaynak kullanımı gibi özel başlıklar; − Güvenlik ortamının yeterli olarak denetimi, gözden geçirilmesi ve izlenmesi konularını içermektedir. • Kritik Đş Uygulamaları: Uygulamaların korunması ve riskler anlatılmaktadır. Özetle; − Uygulama için güvenlik taleplerinin değerlendirilmesi; − Rol, sorumluluklar, iç kontroller, değişim yönetimi ve iş sürekliliği planlaması ile uygulamaların yönetilmesi; − Uygulamalara erişim kontrolü; − Uygulamaların yeterli şekilde desteğinin ve yedeklenmesinin güvenilir olarak sağlanması; − Uygulama güvenliğinin koordinasyonu, sınıflanması, risk analizi ve gözden geçirme için uygulama örneklerine yer verilmesi; − 3. partiler ile olan sözleşmeler, anahtar yönetimi ve web tabanlı uygulamalar gibi özel başlıklar konularını içermektedir. • Bilgisayar Kurulumları: Bilgisayar servislerinin kurulması ve çalıştırılması için gereklilikler anlatılmaktadır. Özetle; − Bilgisayar kurulumlarının istenen seviyede çalışması ve izlenmesi; − Gerçek ortamın tasarımı ve konfigüre edilmesi; − Sistem operasyonları için temel kontrollerin sağlandığının garantisi; − Bilgiye ve sistemlere bilgisayar kurulumu sırasında erişimin kontrolü; − Bilgisayar kurulumunda, sınıflandırmada, risk analizi ve gözden geçirmede güvenlik yönüyle koordinasyonun sağlanması için uygulama örneklerine yer verilmesi; 49 − Đş sürekliliği planlarının geçerliliği, sürekliliğinin sağlanması ve geliştirilmesi konularını içermektedir. • Ağ bağlantıları: Ağ bağlantılarının kurulması ve çalıştırılması için gereklilikler anlatılmaktadır. Özetle; − Bilgisayar ağ bağlantılarının istenilen seviyeye göre çalışması ve tasarımı; − Yetkisiz ağ trafiğinin önlendiğinin garantiye alınması; − Ağ bağlantısının performansı ve esnekliliğinin izlenmesi ve yönetilmesi; − Ağ güvenliği koordinasyonunda risk analizi ve gözden geçirmede güvenliğin sağlanması için uygulama örneklerine yer verilmesi; − Ses trafiğinin güvenliğinin sağlanması konularını içermektedir. • Sistem Geliştirme:Yeni sistemlere uygulanacak olan güvenlik gereklilikleri anlatılmaktadır. Özetle; − Sistem geliştirme süreci, çevre ve insanların yönetilmesi; − Sistem geliştirmede güvenlik koordinasyonu ve gözden geçirme için aksiyonların adreslenmesi; − Güvenlik gerekliliklerinin belirlenmesi; − Tasarım, devreye alma ve kurma aşamalarında güvenliğe yer verilmesi; − Sistemin test ve uygulamaya alma süreçlerinde uygulama örneklerine yer verilmesi konularını içermektedir. 2.4.11. NIST 800-12 Bilgisayar Güvenliğine Giriş- NIST Elkitabı (An Introduction to Computer Security- The NIST Handbook) ABD Ticaret Bakanlığı’na bağlı bir departman olan The Computer Security Resource Centre (CSRC) of the National Institute of Standards and Technology (NIST) 50 tarafından hazırlanmıştır. Doküman bilgisayar güvenlik programını uygulamaya ve yönetmeye yönelik bilinen müşterek gereklilikleri tanımlamakta ve uygulanabilecek kontrol tiplerine yönelik kılavuz olma niteliğini taşımaktadır. NIST’in 800 serilik kısmından biri olup (Bilgisayar Güvenliği), Ekim 1995 de yayımlanmıştır. Üçlü seriden ilki olan bu doküman dışındaki diğer dokümanlar ise aşağıda belirtilmiştir: • NIST 800-14 Bilgi Teknolojisi Sistemleri Güvenliği için Genel Kabul Görmüş Đlkeler ve Uygulamalar (Eylül 1996) (Generally Accepted Principles and Practices for Securing Information Technology Systems (September 1996)) • NIST 800-18 Bilgi Teknolojisi Sistemleri içim Güvenlik Planları Hazırlama Kılavuzu (Aralık 1998) (Guide for Developing Security Plans for Information Technology Systems (December 1998)) Bilgisayar güvenlik programını uygulamaya almak için detaylı bir kılavuz olma niteliğiyle hazırlanmadığı gibi aynı zamanda kontrol taleplerini detaylı olarak belirtmek içinde tasarlanmamıştır. Daha çok, iyi bir güvenliğin olmasının faydalarına odaklanmıştır. NIST 800-12 ile uyumluluk, genelde ABD Hükümetine bağlı kurumlara uygulanan ilkeler ve kriterlerle şekillenmektedir. Öncelikle ABD Hükümeti’ne bağlı kuruluşlar için tasarlanmış olsa bile, her ölçekte ve özellikteki tüm kuruluşlar içinde kullanılabilecek bir dokümandır. The NIST Handbook 290 sayfadan, dört ana bölüm ve bunlar altında yer alan birçok bölümden oluşan bir dokümandır. Birinci bölüm elkitabına giriş kısmı olup genel bilgileri içermektedir. Dokümanın bilgisayar güvenliğine genel yaklaşımı aşağıdaki 8 ana ilkeye dayalıdır: • Bilgisayar güvenliği kurumun misyonunu destekler. • Bilgisayar güvenliği yönetimin ayrılmaz bir parçasıdır. • Bilgisayar güvenliği etkinlik ve maliyeti dengelemelidir. 51 • Sistem sahiplerinin sorumlulukları kurumları dışında da devam eder. • Bilgisayar güvenliği sorumluluğu ve yükümlülüğü açıkça belirtilmelidir. • Bilgisayar güvenliği kapsamlı ve bütünleşik yaklaşım gerektirir. • Bilgisayar güvenliği periyodik olarak değerlendirilmelidir. • Bilgisayar güvenliği toplumsal faktörleri göz önüne almalıdır. Birinci bölümde bilgi güvenliğine yönelik bilinen tehditler 9 başlık altında (sahtekârlık/fraud, hırsızlık, personel sabotajı, kötü niyetli bilgisayar korsanları/hackerlar, kötü niyetli yazılımlar, hatalar ve ihmaller ve casusluk) açıklanmıştır. Dokümanda iki, üç ve dördüncü bölümlerde geçen kontroller yönetim, teknik ve operasyonel olmak üzere 3 alanda incelenmektedir. Dokümanda ikinci bölüm yönetsel kontrolleri içermekte olup, aşağıdaki konu başlıklarını içermektedir: Bilgisayar Güvenlik Politikası (Computer Security Policy): Bu alanda politika aşağıda belirtilen 3 tipe ayırmaktadır: • Program politikası; “kurumun bilgisayar güvenlik programını yaratmak için kullanılır“ şeklinde tanımlanmaktadır. • Konu bazlı politika; yeni veya teknolojideki dinamizmden kaynaklı olarak değişim gerektiren alanlara yöneliktir. Örnek olarak internet ve e-posta verilebilir. • Sistem bazlı politika; değişik sistemlerin değişik şekilde korunma gereksinimlerinin karşılanması kapsamında ele alınır ve güvenliğine dikkat edilmesi gereken özel bir sisteme yöneliktir. Bilgisayar Güvenliği Program Yönetimi (Computer Security Programme Management): Bu alanda bilgisayar güvenlik programının ne şekilde yapılandırılması gerektiğine yönelik öneriler belirtilmiştir . 52 Bilgisayar Güvenliği Risk Yönetimi (Computer Security Risk Management): Bu alanda risk yönetimi aşağıdaki 3 temel bileşene ayırarak detaylı biçimde açıklanmıştır: • Risk Yönetimi; “Riski yorumlama ve analiz etme süreci“ olarak tanımlanmaktadır. Bu aktivite alanında; konunun kapsamının belirlenmesi, kullanılması gerekli olan metodolojinin belirlenmesi, datanın toplanması, sonuçların analizi ve yorumlanması bulunmaktadır. Varlıkların ve tehditlerin değerlendirilmesi, güvenlik açıklıklarının ve koruyucu önlemlerin değerlendirilmesi gerektiği belirtilmekte ve her bir aktivite tanımlanmaktadır. • Risklerin azaltılması süreci; ek koruyucu önlemlerin seçilmesi ve uygulanması (kalan riskin kabul edildiği noktaya kadar) ve etkinlik için bu önlemlerin izlenmesini kapsar. • Belirsizlik analizi; BT yönetiminin kadar güvenilir ve geçerli risk analizinde, analiz sonuçlarını ne olduğunun, sonuçların etkinliğinin değerlendirilmesi olarak tanımlanır. Güvenlik ve Planlama Bilgisayar Sistemi Yaşam Döngüsü ve Güvence (Security and Planning in the Computer System Life Cycle Chapter Assurance): Bu alanda yaşam döngüsü planlamasının aşağıdaki 5 fazı tanımlanmaktadır: • Başlangıç fazı; sistemin hassasiyetinin ve bilginin olası koruyucu güvenlik önlemlerinin ve onların maliyetlerinin kararlaştırılması sürecidir. • Geliştirme ve kazançların belirlenmesi süreci; güvenlik gerekliliklerinin yasal talepler, politikalar, standartlar ve maliyetleri de kapsayacak şekilde detaylı olarak tanımlanması, kurumsal yönden tasarımını kapsar. • Uygulamaya alma; güvenlik testlerini ve akreditasyon sürecini kapsar (akreditasyon süreci yönetim tarafından sistemin operasyonunun ve riskinin kesin olarak kabul edilmesinin resmi olarak onaylanması sürecidir). 53 • Operasyon ve bakım süreci; koruyucu önlemlerin idari yönetimini, operasyonlarını, takip edilip çalıştığına dair garanti ve güvenceyi sağlama; koruyucu önlemlerin gerektiğinde yeniden akreditasyonu sürecini kapsar. • Elden çıkarma, imha etme; bilginin, yazılımın, donanımın uygun yöntemlerle imhasını elden çıkartılması sürecini kapsar . Güvence (Assurance): Bu alanda bilgisayar güvenliği güvencesi “teknik ve operasyonel güvenlik kontrollerinin, uygulandığı sistemin ve sistemde işlenen bilginin güvenliğini sağlamasının güven derecesi” olarak tanımlanmıştır. Güvence sağlamak için; sistem planlamada, tasarımda uygulamaya almada ve sistemlerin operasyonunda ne zaman güvence gerektiği, hedeflerin tanımlanması ve yöntemler hakkında bilgiler içermektedir. Üçüncü bölüm operasyonel kontrollerle ilgili olarak hazırlanmıştır ve aşağıdaki başlıkları içermektedir: Personel /Kullanıcı Sorunları (Personnel/User Issues): Bu alanda, personelin bulunduğu pozisyonun hassasiyeti, rollerin ayrılması, işe almadan önce yapılan personel özgeçmişi ile ilgili kontroller ve personel eğitimi için gereklilikler hakkında bilgiler sunulmaktadır. Kullanıcı yönetimine de bu alanda yer verilmiştir. Bilgisayar Güvenliği Olay Yönetimi (Computer Security Incident Handling): Bu alanda, fazla detaylı olmamakla birlikte olay yönetimi yetkinliğini ve başarıya ulaşmak için ortak karakteristik özellikleri tanımlanmıştır . Acil Durumu / Đş Devamlılığı Hazırlık Süreci (Preparing for Contingencies and Disasters): Bu alanda, süreklilik planlamasında aşağıdaki 6 ana aktivite tanımlanmıştır: • Kritik iş fonksiyonlarının tanımlanması. • Gerekli özkaynakların tanımlanması. • Acil durumlara katılımın sağlanması. 54 • Stratejinin seçilmesi. • Stratejinin uygulanması. • Planın test edilmesi/güncellenmesi. Bilgisayar Güvenlik Olay Yönetimi (Computer Security Incident Handling): Bu alanda, kurumda olay yönetim yeteneğinin olmasının faydalarından bahsedilmekte ve detaya girmeden konu hakkında bilgiler sunulmaktadır. Olay gerçekleştiğinde müdahale ve iletişim için önerilerde yer almaktadır. Farkındalık, Eğitim ve Öğretim (Aweraness, Training and Education): Bu alanda, güvenlik farkındalığı, eğitim ve öğretiminin aşağıdaki 3 ana amacı tanımlanmıştır: • Sistem kaynaklarının korunması gerekliliği hakkında farkındalığının artırılması. • Bilgisayar kullanıcılarının çalışmalarını daha güvenli olarak yapabilmeleri için bilgi ve yeteneklerinin geliştirilmesi. • Kurum ve sistemler için güvenlik programının tasarlanması, uygulanması ve idame ettirilmesi için gerekli olan detaylı bilginin verilmesi. Yukarıdaki hedefleri gerçekleştirilebilmek için farkındalık, eğitim ve öğretimin gerçekleştirilmesinde aşağıdaki yedi basamaklı yaklaşım tanımlanmıştır: • Programın kapsamının, hedefinin ve amacının tanımlanması. • Eğitimi verecek personelin tanımlanması. • Hedef kitlenin belirlenmesi. • Yönetimin ve çalışanların motive edilmesi. • Programın yönetilmesi. • Programın sürdürülmesi. 55 • Programın değerlendirilmesi. Bilgisayar Desteği ve Operasyonlarında Güvenlik Hususları (Security Considerations in Computer Support and Operations): Bu alanda, bilgisayar sistemini çalıştırmaya yönelik 7 ana alan (kullanıcı desteği, yazılım desteği, konfigürasyon yönetimi, yedekleme, medya kontrolü, dokümantasyon ve bakım) tanımlanmıştır. Fiziksel ve Çevresel Güvenlik (Physical and Environmental Security): Bu alanda, bina ve altyapı korunması için gerekli olan kontrollerden bahsedilmiştir. Alanın tipi, coğrafik konumu ve alanı destekleyen servislerin (insan ve teknik) göz önünde bulundurulması gerekliliği belirtilmiştir. Tehditlerin arasında, fiziksel bina hasarı, fiziksel zarar verebilecek kötü niyetli şahıslar ve fiziksel hırsızlık örnek olarak verilebilir. Dokümanda dördüncü bölüm teknik kontrollerle ilgili olarak hazırlanmıştır ve aşağıdaki başlıkları içermektedir: Kimlik Tanıma ve Doğrulama (Identification and Authentication): Bu alanda, kimlik doğrulamanın 3 şekli tanımlanmış (bildiğin bir şey/what you know, sahip olduğun bir şey/what you have ve kimsin/what you are) ve her biri için uygulanabilecek değişik metotlar ve onlarla ilişkili kazançlar, sorunlar ve nasıl kullanılması gerektiği ile ilgili öneriler belirtilmiştir. Mantıksal Erişim Kontrol (Logical Access Control): Bu alanda, erişim kriterleri ve kontrol şifreleme/encryption ve mekanizmalarından güvenlik duvarı/firewall) (erişim kontrol listesi/ACL, bahsedilmiştir. Erişim kontrol mekanizmalarının yönetimi ile ilgili olarak merkezi ve dağıtık yapı hakkında da bilgiler sunulmuştur. Đz Kayıtları (Audit Trails) : Bu alanda, iz kayıtlarının kullanılmasından doğan kazançlar; sorumluluğun belirlenmesi (accountability), olay bulgularından sonuç çıkarma (event reconstruction), saldırı tespiti (intrusion detection) ve problem analizi (problem analysis) olmak üzere 4 alan içinde incelenmiştir. 56 Şifreleme (Cryptography) : Bu alanda şifreleme yöntemleri hakkında bilgiler sunularak bunlar arasındaki farklılıklara değinilmiştir. 2.4.12. OCTAVE OCTAVE- Operasyonel Olarak Kritik Tehdit, Varlık ve Zafiyetlerin Değerlendirilmesi- Kriterleri Versiyon 2.0 (OCTAVE- Operationally Critical Threat, Asset, and Vulnerability Evaluation- Criteria Version 2.0), Networked Systems Survivability Program Carnegie Mellon Software Engineering Institute (SEI) tarafından 2001 Aralık ayında yayımlanmıştır. The SEI ABD Savunma Bakanlığı tarafından desteklenen bir AR-GE merkezidir. OCTAVE risk değerlendirilmesi için oluşturulan prensiplerden, değişkenlerden ve çıktılar oluşan bir settir. Method (18 Cilt) ve OCTAVE-S (10 Cilt) kriteri uygulamada kullanılan tüm metodolojiyi, detaylı süreç kılavuzlarını, çalışma sayfalarını, güvenlik uygulamalarını ve tanıtım sunumlarını içermektedir. Konuya ilişkin olarak OCTAVE Yaklaşımına Giriş (Introduction to the OCTAVE Approach) adlı doküman da ayrıca yayımlanmıştır. OCTAVE’ın amacı güvenlik için risk tabanlı stratejik değerlendirme ve planlama tekniği hakkında bilgi vermektedir. OCTAVE bilgi güvenlik risklerinin yönetimi ve değerlendirmesi için; operasyonel kritik tehditlerin, varlıkların ve güvenlik zafiyetlerinin değerlendirmesi hakkında genel yaklaşım kriterlerini tanımlamaktadır. OCTAVE’ ın genel yaklaşımı büyük kurumlarda kullanmaya yönelik kriteri kullanmak için bir metot temin etmek iken (örn: 300 ve üzerinde çalışanı olan kurumlar) OCTAVE-S ise daha küçük organizasyonlar için bunun kısaltılmış bir versiyonudur. OCTAVE kurum içindeki riskleri değerlendirerek, korunma için stratejileri geliştiren ve uygulayan kullanıcılara yönelik hazırlanmıştır. 57 OCTAVE risklerin değerlendirilmesi ve bu risklerin yönetimindeki uygulamaların seçilmesi ile ilgili dokümantasyonu bütünüyle sunmakta olup her ölçekte, tipte veya coğrafik lokasyondaki bütün kurumlar için uygun olabilecek şekilde tasarlanmıştır. OCTAVE yalnızca risklerin değerlendirilmesi, önceliklerinin set edilmesi ve kontrollerin seçimi ile ilgili aktiviteleri kapsamaktadır. Bilgi güvenlik yönetimi ile ilgili rol ve sorumlulukların tamamını içermemektedir. OCTAVE, operasyonel olarak kritik varlıkların güvenlik açıklıklarının, tehditlerin ve varlıkların tanımlanıp kritikliğinin belirlenmesi ile ilgili süreci kapsayan bir kendi-kendine kararlaştırma yaklaşımıdır. OCTAVE’ ın yaklaşımı kendi kendine yönlendirme ve operasyonel riskleri ve güvenlik deneyimlerini de kapsamaya yönelik tasarlama üzerine kuruludur. OCTAVE ile aşağıda belirtilen 3 fazlı süreç tanımlanmış olup uygulandığında kurumun bilgi güvenliği gereksinimlerinin belirlenebileceği öngörülmektedir: • I. FAZ, Varlık tabanlı tehdit profillerinin belirlenmesi: Bilgi varlıklarının tanımlanması, var olan kontrollerin değerlendirilmesi ve en kritik varlıkların seçilmesi, güvenlik gereksinimleri ve bu varlıklara yönelik tehditlerin belirlenmesi sürecidir. • II. FAZ, Altyapıdaki güvenlik zafiyetlerinin tanımlanması: BT altyapısının, anahtar bileşenlerinin ve onların ağ ataklarına karşı direncinin değerlendirilmesi sürecidir. • III. FAZ, Güvenlik strateji ve planlarının oluşturulması: Kritik varlıklara yönelik risklerin tanımlanması ve azaltılması için karar verme ve korunma stratejilerinin belirlenmesi sürecidir. 58 2.4.13. PCI (Payment Card Industry) Data Security Standart Kart ve kart sahibi verisini saklayan, işleyen veya aktaran tüm kurumlar Visa ve MasterCard tarafından oluşturulmuş ve AMEX ve Diners gibi diğer ödeme sistemleri tarafından da kabul gören; PCI Güvenlik Standartları Komisyonu (The PCI Security Standards Council) tarafından hazırlanan, Ödeme Kartları Sektörü Veri Güvenlik Standardı (Payment Card Industry Data Security Standard)- PCI DSS düzenlemesine uymak zorundadır. Her ne kadar finans sektöründe geçerliliği olan bir standart olsa da, bu standart bilgi güvenliği için tüm kurumlar tarafından da faydalanılabilecek bilgileri içermektedir. Standart, veri işleme ve saklama sürecinde kullanılan sunucuları, ağ bileşenlerinin, uygulamaları ve veritabanlarını da içeren tüm BT bileşenlerini içermektedir. Ayrıca etkili bir güvenlik ve suiistimal yönetim sisteminin entegre parçası olan manüel süreç ve prosedürler de standardın kapsamı içindedir. Standartta 6 temel başlıkta 12 gereklilik altında dikkat edilmesi gereken hususlar belirtilmiştir. Güvenli Ağlar Oluşturma ve Yönetme (Build and Maintain a Secure Network): Aşağıdaki iki gereklilik başlığı altında ağ katmanında güvenliğin sağlanması için dikkat edilmesi gereken hususlar belirtilmiştir. • Gereklilik1: Kart sahibi bilgisinin korunması için, dışarı açık olan sistemlerin güvenlik duvarı tarafından korunması ve uygun bir şekilde konfigüre edilmesi gerekmektedir. Bu kısımda güvenlik duvarı yapılandırmasının ne şekilde olması gerektiği ve yönetim işlemi için dikkat edilmesi gereken hususlar belirtilmiştir. • Gereklilik 2: Ürün satıcıları tarafından kurulumla birlikte gelen sistem şifreleri ve diğer güvenlik parametrelerinin değiştirilmesi ve kullanılmaması gerekmektedir. Özellikle kötü niyetli kişiler tarafından kullanılarak sistemin 59 ele geçirilmesine sebep olabilecek kurulumla gelen bu şifrelerin ve ayarların değiştirilmesinin önemli olduğu vurgulanmaktadır. Kart sahibi verisinin korunması: Sistemler üzerinde bulunan kritik bilgilerin korunmasına yönelik olarak aşağıdaki iki gereklilik başlığı altında dikkate dilmesi gereken hususlar belirtilmiştir. • Gereklilik 3: Depolanmış kart sahibi verisinin korunması için şifreleme, maskeleme gibi koruma yöntemlerinin yapılacak risk analizi ile belirlenmesi ve uygulanması gerekmektedir. Bu kısımda kritik bilgilerin çok gerekmediği sürece farklı sistemlerde depolanmaması önerilmektedir. Ağ güvenlik sistemlerinin atlatılarak bilgiye erişilmesi durumunda ise ek kontrollerle (şifreleme gibi) bilginin korunması gerektiği vurgulanmaktadır. • Gereklilik 4:Kart sahibi bilgisinin dışa açık ağlarda transfer edilirken şifreli transfer edilmesi gerektiği belirtilmektedir. Kritik bilgilerin yetkisiz kişilerce dinlenerek ele geçirilmesi riskinden hareketle, bu bilgilerin veri iletişim ağında transfer edilirken şifreli olarak iletilmesi gerektiği vurgulanmaktadır. Zafiyet Yönetim Programının Uygulanması: Bilgi sistemlerinde güvenlik zafiyetlerinin bulunması ve sistemlere yönelik saldırıların olması söz konusudur. Bu sebeple sistemlerde güvenlik ürünlerinin kullanılması, sistemlerdeki zafiyetlerin düzenli taramalarla belirlenmesi ve kapatılmasına yönelik gereklilikler bu başlıkta detaylandırılmıştır. • Gereklilik 5: Virüs koruma uygulamalarının kullanılması ve düzenli güncellenmesi gerekmektedir. Zararlı kodların (virüsler, kurtçuklar, truva atları vb.) sistemlere çeşitli şekillerde bulaşabileceği bu sebeple sistemlerde virüs koruma yazılımının kullanılması gerektiği belirtilirken, değişen tehditlere yönelik olarak da bu ürünlerin düzenli olarak güncellemelerinin yapılması gerektiğinin önemi vurgulanmıştır. 60 • Gereklilik 6: Güvenli sistem ve uygulamaların geliştirilmesi ve bakımında dikkat edilmesi gereken hususlar vurgulanmıştır. Sistemlere yetkisiz erişim için güvenlik zafiyetleri kullanılmaktadır. Kritik tüm sistemlerde uygulama üreticisinin yayınladığı ve zafiyetlerin kapatılmasına yönelik güvenlik yamalarının uygulanması, sistemlere zararlı kodların bulaşması veya yetkisiz kişiler tarafından bu zafiyetlerin kullanılarak sistemin ele geçirilmesi riskini azaltacaktır. Yine uygulama geliştirirken dikkat edilmesi gereken hususlarda bu başlıkta verilmiştir. Web uygulamalarının güvenli olarak geliştirilmesi için OWASP (Open Web Application Security Project Guide) dokümanının kullanılması önerilmektedir. Güçlü Erişim Kontrol Önlemlerinin Hayat Geçirilmesi: Sistemlerdeki bilgiye erişim için dikkat edilmesi gereken hususlar bu başlıkta detaylandırılmıştır. • Gereklilik 7: Kart sahibi bilgisine erişim sadece işi gereği bilmesi gereken kişilerle sınırlandırılmalıdır. Bunun için erişim kontrol mekanizmalarının kullanılması ve belirlenen dışındakileri reddet mantığı ile bir yetkilendirme yapılması gerektiği vurgulanmaktadır. • Gereklilik 8: Bilgisayara erişim için ayrıt edici tanımlayıcıların kullanılması gerekmektedir. Her kullanıcının kendine has ve eşsiz olan bir kullanıcı adı ile sisteme giriş yapmasının önemi vurgulanmaktadır. Böylelikle kullanıcının sistem üzerinde gerçekleştirdiği işlemlerden sadece kendisinin sorumlu olması sağlanabilecektir. Bu kısımda kullanıcı şifrelerinin 90 günde bir değiştirilmesi gerektiği, minimum şifre uzunluğunun 7 karakter olması ve şifrenin hem nümerik hem de alfabetik karakterlerden oluşması gerektiği, şifre seçiminde önceki 4 şifrenin seçilememesi ve 6 başarısız şifre denemesinden sonra şifrenin kilitlenmesi özelliğinin kullanılması gibi maddeler de bulunmaktadır. • Gereklilik 9: Kart sahibi bilgisine fiziksel erişimlerin sınırlandırılması gerekmektedir. Sistemlerde saklanan elektronik bilgi güvenliğinin yanı sıra fiziksel olarak bu bilgilerin bulunduğu ortamlara yetkisiz erişim riskinin de dikkate alınarak uygun kontrollerin hayata geçirilmesi gerekmektedir. 61 Bilgilerin yedeklendiği kartuş vb. manyetik ortamların fiziksel güvenliğinin sağlanması gerekliliği yanı sıra kritik sistemlerin bulunduğu alanlara da fiziksel erişimi sınırlandıran kontroller uygulanmalıdır. Ağların Düzenli olarak izlenmesi ve Test Edilmesi: Kullanılan sistemlerin izlenmesi, yetkisiz erişim denemeleri gibi ihlal olaylarının tespiti açısından önemlidir. Aşağıdaki iki gereklilikte bu konuda dikkat edilmesi gereken hususlar detaylandırılmıştır. • Gereklilik 10: Ağ kaynakları ve kart sahibi bilgisine erişimlerin sistemler üzerinde loglarının (iz kayıtlarının) tutulması ve izlenmesi gerekmektedir. Sistemler üzerinde otomatik kayıt tutma özelliği kullanımının hem gerçekleşen, hem de olası yetkisiz erişimlerin tespit edilmesinde önemlidir. Sistem kayıtlarının tutarlı olması için tüm sistem saatlerinin senkronize edilmesinin önemi de vurgulanmaktadır. Sistemler üzerinde tutulan bu kayıtların, sistem yöneticileri tarafından da düzenli olarak takip edilmesi gerekliliği bulunmaktadır. • Gereklilik 11: Güvenlik sistemleri ve süreçlerle ilgili düzenli testler yapılması gerekmektedir. Bu testler sistem ve süreçlerdeki zafiyetlerin tespit edilmesi ve düzeltilmesi için son derece önemlidir. En az senede bir kez veya sistemlerde büyük bir değişiklik yapıldıktan sonra, hem ağ sızma testleri hem de uygulama sızma testlerinin yapılması gerektiği belirtilmiştir. Bilgi Güvenlik Politikasının Sürdürülmesi: Bu kısımda özellikle bilgi güvenliğinin sağlanması için, personel ve hizmet anlaşması yapılan sözleşmeli firmaların bilgi güvenliği sorumluluklarının belirlenmesi ve bu kişilere ve firmalara duyurulması gerekliliği aktarılmıştır. • Gereklilik 12: Kurum tarafından hazırlanan ve bilgi güvenliğini adresleyen politikanın uygulanması ve güncelliğinin sağlanması gerekliliği belirtilmiştir. Kurum çalışanlarının bilgi güvenliği konusunda kurumun kendilerinden ne beklediği ve bilgi güvenliğini sağlamak için yapmaları gerekenler konusunda net bilgiye sahip olması gerekmektedir. Bunu sağlamak için kurumda bilgi 62 güvenliği hakkında dokümanlar hazırlanması, bilgi sistemleri kullanım kurallarının ve sorumlulukların net olarak dokümante edilmesi, bunların yönetim tarafından onaylanarak duyurulması ve farkındalığı artırmak için seminer vb. eğitimlerin verilmesi gerektiği vurgulanmaktadır. 2.4.14. OWASP (Open Web Application Security Project) Guide Açık Web Uygulama Güvenliği Projesi Kılavuzu (The Open Web Application Security Project- OWASP Guide) dünyada uygulamaların güvenliğini artırmak amacıyla oluşturulmuş, ücretsiz ve herkese açık bir çalışmadır. Açık web uygulama güvenliği projesi anlamına gelen OWASP, güvensiz yazılımların oluşturduğu problemlere karşı mücadele etmek için kurulmuş bir topluluktur. OWASP çalışması ile hedeflenen; uygulama güvenliği konusunda kişilerin ve kurumların uygulama güvenlik riskleri konusunda bilgilendirilmesinin sağlanmasıdır. OWASP’ın tüm araçları, dokümanları, listeleri ve bölümleri ücretsiz olarak her yazılım güvenliği çalışanı ve meraklısına sunulmuştur. OWASP topluluğunun her ülkede bir veya birden fazla temsilciliği bulunmaktadır. OWASP-Turkey ise topluluğun Türkiye’deki temsilciliğidir. Bu temsilcilikler ve temsilciler “bölüm toplantısı/chapter meeting” olarak adlandırılan web uygulama güvenliği sohbetlerini gerçekleştirmektedir. Bunlar kimi zaman konferans, sunum, seminer şeklinde olabilmektedir. Chapter meeting’lerin amacı, web güvenliği ile ilgilenen, merak duyan ve aynı ülkede bulunan kişilerin buluşup, uygulama güvenliği üzerine tartışmalarını sağlamaktır. OWASP Türkiye grubunda Đngilizce dokümanların Türkçe çevirilerine http://www.webguvenligi.org/ceviriler adresinden erişilebilmektedir. Güvenli Kodlama Đlkeleri (OWASP GUIDE 2.0.1) dokümanında güvenli kodlama için dikkat edilmesi gereken hususlar belirtilmiştir. Dokümanda gizlilik, bütünlük ve kullanılabilirlik gibi güvenlik ilkelerinin; önemli, geniş ve belirsiz olsalar da değişime uğramadığı, bu ilkelerin ne kadar çok kullanılırsa, uygulamaların o denli sağlam olacağı belirtilmektedir. Dokümanda öncelikle bilgi sınıflandırması yapılması gerektiği, bu sınıflandırma ile kritik olduğu tespit edilen bilgilere yönelik kontrollerin seçilmesi gerektiği aktarılmaktadır. Kontrollerin seçiminin, ancak korunacak verinin 63 sınıflandırılmasından sonra mümkün olabildiği, örneğin, blog ve forumlar gibi kritik bilgi içermeyen dolayısıyla düşük değerli sistemlerde uygulanabilen kontrollerle; muhasebe, bankacılık ve elektronik ticaret sistemleri gibi kritik bilgi içeren dolayısıyla yüksek değere sahip sistemlere uygulanması gereken kontrollerden seviye ve nicelik açısından farklılıklar olacağı vurgulanmaktadır. Güvenlik mimarisi tasarlanırken bilgi güvenliği için bilginin gizliliği, bütünlüğü ve sadece yetkisi olan kişiler tarafından erişilebilirliğini garanti edecek kontrollerin seçilmesi ve uygulanması gerekmektedir. Uygulamaya eklenen her özellik, tüm uygulama güvenliği için risk oluşturabilecektir, bu sebeple her bir özellik için olası riskler göz önüne alınmalıdır ve gereksiz özellikler kullanılmamalıdır. Güvenlikle ilgili bazı özellikler (örneğin şifrenin belli periyotlarda değiştirilmesi veya kompleks şifre seçiminin olması) güvenli öntanımlar olarak uygulamada yer almalıdır. Uygulama geliştirilirken en az ayrıcalık ilkesi (bir işin gerçekleştirilmesi için sadece gerektiği kadar yetki verilmesi) ve katmanlı savunma ilkeleri (kontrollerin kademeli olarak uygulanması) hayata geçirilmelidir. Uygulama bir hata ile sonlanıyorsa, bu hata kullanıcıya yetki seviyesini artırma imkânı sağlamamalıdır. Uygulamada tasarlanan hata mesajları sistem veya uygulama hakkında kritik bilgileri içermemelidir. 2.4.15. Diğer Standart ve Kılavuzlar Eğitimde teknoloji kullanımı ile ilgili ISTE (International Society for Technology in Education) tarafından oluşturulan bir standart bulunmaktadır. ISTE, Ulusal Eğitim Teknolojileri Projesi (National Educational Technology Standards – NETS- Project) ile öğrenciler, öğretmenler ve yöneticiler için “Ulusal Eğitim Teknolojileri Standartları”nı geliştirmiştir. Temel olarak: • Öğrenciler için geliştirilen standartlar; − Teknoloji ile ilgili temel kavram ve işlemleri bilme, − Teknoloji kullanımı ile ilgili sosyal, etik ve insani konuları anlama,öğrenmeyi zenginleştirmede, iletişimde, araştırmada, problem 64 çözme ve karar verme becerilerinin gelişiminde teknolojiyi etkili olarak kullanma; • Öğretmenler için geliştirilen standartlar; − Teknoloji ile ilgili temel işlem ve kavramları bilme, − Teknoloji destekli öğrenme ortamları planlama, tasarlama ve uygulama, − Öğrencinin öğrenmesini değerlendirmede teknoloji destekli farklı değerlendirme stratejilerini kullanma, − Mesleki gelişim için teknolojik değişimleri takip etme ve bu konuda kendini geliştirme, − Teknoloji kullanımı konusunda sosyal, etik, yasal ve insani konularla ilgili ilkeleri sınıfta uygulama olarak ifade edilirken; • Yöneticiler için geliştirilen standartlar; − Teknolojinin entegrasyonunda liderlik etme, − Öğrenme ve öğretimin etkinliğinin artırılması için müfredat programı tasarımının, öğretim stratejileri ve öğrenme ortamlarının uygun teknolojilerle bütünleştirilmesini sağlama, − Teknolojiyi verimliliğin artırılması için kullanma, öğrenme ve yönetimin etkinliğini verimliliğini desteklemek için teknoloji entegrasyonunu sağlama, − Etkili bir değerlendirme sistemi planlanması ve uygulanması için teknolojiyi kullanma, − Teknoloji kullanımında sosyal, etik, yasal ve insani konularla ilgili ilkeleri kullanarak karar verme ile ilgili sorumlulukları yerine getirme, olarak ifade edilmektedir (ISTE, 2006). Eğitim teknolojilerinin etkili kullanımı için oluşturulan bu standartlar içerisinde öğretmenler ve yöneticiler için bilgi güvenliğinin sağlanması gerekliliği de belirtilmektedir. Benzer bir çalışma NCES- Eğitim Đstatistikleri için Ulusal Merkez (National Center For Education Statistics) tarafından yapılmış ve elektronik eğitimde bilgi 65 güvenliğinin sağlanması için bir kılavuz oluşturmuştur. UCISA- Üniversiteler ve Fakültelerin Bilgi Sistemleri Birliği (Universities and Colleges Information Systems Association) (2006) Đngiltere’deki pek çok büyük üniversite ve kolejin oluşturduğu, Đngiltere’deki eğitimde bilgi sistemleri ve teknolojileri üzerine çalışmalar yapan bir topluluktur. UCISA tarafından 2005 Eylül ayında BS7799 temel alınarak hazırlanmış UCISA Bilgi Güvenlik Aracı (UCISA Information Security Toolkit) isimli kılavuzun 2. versiyonu yayınlanmıştır. Kılavuzda bilgi güvenlik yönetim sistemi oluşturulması için öneriler yer almaktadır. EDUCAUSE (2006) yükseköğretimde bilgi teknolojilerinin etkili kullanımının sağlanması için oluşturulmuş bir topluluktur. EDUCAUSE yayınlarından Luker ve Petersen (2003) tarafından derlenen “Yükseköğretimde Bilgisayar ve Network Güvenliği” kitabı bilgi güvenliğinin sağlanması ve artırılması için yapılması gerekenleri içermektedir. Ülkemizde TÜBITAK UEKAE tarafından hazırlanan Bilgi güvenlik yönetim sistemi için hazırlanmış kılavuzlar bulunmaktadır. Bu kılavuzlar ISO/IEC 27001 standardı temel alınarak hazırlanmıştır. BÖLÜM III 3. YÖNTEM Bu bölümde, çalışmada kullanılan yöntem ve süreçler anlatılmıştır. Ayrıca araştırmanın deseni, çalışma evreninin seçilmesi, araştırmada kullanılan veri toplama araçlarının geliştirilmesi, verilerin toplanması ve veri analizine ilişkin açıklamalara yer verilmiştir. Bu araştırma kapsamında öncelikle literatür taraması-belge analizi yapılmıştır. Bu kapsamda, yerli ve yabancı bilimsel nitelikteki kitaplar, dergiler ve yayımlanmış diğer eserlerle, ulaşılabildiği ölçüde istatistikî bilgilerden yararlanılmıştır. Bilgi güvenliği konusunda modeller, standartlar ve en iyi uygulama örnekleri incelenerek kesiştikleri noktalar ve eğitim kurumları için bunların uygulanabilir olanları belirlenmiştir. Bilgi güvenlik yönetim sistemi için dünyada kullanılan standartlar ve kılavuz dokümanlarında geçen modeller incelenerek edinilen bilgilerle bir model önerisi oluşturulmuştur. Önerilen Bilgi Güvenlik Yönetim Sistemi (ÖBGYS) modelinin Ankara’da bulunan üniversitelerden seçilen Gazi Üniversitesi, Ankara Üniversitesi ve TOBB Ekonomi ve Teknoloji Üniversitesi Bilgi Đşlem bölümlerinde pilot uygulaması 2009 bahar ve yaz döneminde; uygulama yapılacak üniversite yönetimlerinden onay alındıktan sonra gerçekleştirilmiştir. Đlk aşamada üniversite genelinde elektronik bir anket gerçekleştirilerek bilgi güvenliğine yönelik görüşler temin edilmiştir. Üniversite yetkili birimleri tarafından tüm öğrenci ve personele anketin linki gönderilmiştir. Katılımcı adaylarının sayısının çok olmasına rağmen, ankete geri dönüşlerin fazla olmamasının sebebinin ankete gönüllü katılım olması, bunun yanı sıra üniversitelerde araştırma amacıyla çok sayıda anketin gönderilmesi nedeni ile katılımcıların yoğun 67 çalışma temposu içerisinde vakit ayıramamasının neden olduğu düşünülmektedir. Elde edilen veriler SPSS programı ile işlenmiştir. Đkinci aşamada üniversitede bilgi güvenlik yönetim sistemi ile ilgili gerekliliklerin ne kadarının karşılandığının tespit edilmesi amacı ile kontrol listesi ve görüşme yöntemi kullanılarak daha detaya inen bir inceleme gerçekleştirilmiştir. Araştırmacı gerek kendisi, gerekse çalışmaya katılan personel ve yönlendirdiği canlı kaynaklardan, üniversitede bilgi güvenliğine yönelik bilgi alınabilecek kaynaklara ulaşmaya çalışmıştır. Kontrol listesi ile edinilen bilgilerin yanı sıra araştırmacı tarafından BGYS için mevcuttaki dokümantasyon, süreçler ve sistemler incelenerek değerlendirilmiş ve bulgular yorumlanmıştır. Mevcut durum ve gereksinimler analiz edilerek model adımları uygulanmıştır. ÖBGYS modelinin oluşturulması için yapılan çalışmalarda yine görüşme ve tarama yöntemi kullanılarak süreç için gerekli dokümanlar hazırlanmıştır. Modelin uygulanmaya başlanmasındaki ilk adımda kullanıcı grupları tespit edilerek bilgi güvenliği için öğrenme hedefleri belirlenmiştir. Eğitim materyalleri, bilgi güvenliğine ilişkin politika dokümanı ve destekleyici diğer dokümanların (risk analizi, acil durum planları, varlık envanteri vb.) yanı sıra örnek olarak BT güvenlik sıkılaştırma kontrol listeleri de hazırlanmıştır. Ek3’ te önerilen modeli uygulamak isteyen kurumlar için kılavuz olması amacıyla benzer taslak dokümanlara yer verilmiştir. Çalışma sonucunda elde edilen deneyimler ile model tasarımı güncellenmiştir ve böylelikle Türkiye’de yükseköğretim kurumlarının bilgi güvenliğini sağlayabilmek için faydalanabilecekleri bir model ve yol haritası oluşturulması hedeflenmiştir. Bu model revize edilerek bilgi teknolojisi kullanan her kurumda da kullanılabilecek yapıda tasarlanmıştır. 3.1. Araştırma Modeli Üniversitelerde bilgi ve iletişim teknolojisinin kullanımında bilgi güvenliğinin sağlanabilmesi için insan ve eğitim faktörlerinin vurgulandığı ÖBGYS modelinin tasarlanması, tasarlanan bu modelin uygulamasının yapılarak revize edilmesi ve özellikle eğitim kurumlarının faydalanabilecekleri bir yol haritası oluşturmayı amaçlayan bu çalışma tarama modelindedir. Var olan durumun betimlenmesi ve tespit 68 edilmeye çalışılması hedeflendiğinden tarama modeli araştırma için uygun bir model olarak görülmüştür. Araştırmada tarama (betimsel) yanında tarihsel araştırma yöntemleri de kullanılmıştır. Bilgi güvenliğinin tarihsel gelişiminin yanı sıra model oluşturulması ve pilot uygulamanın yapılması aşamasında literatür ve doküman incelemesi yapılmıştır. 3.2. Çalışma Evreni Araştırmanın (üniversiteler) çalışma evrenini Ankara’daki yükseköğretim kurumları arasından seçilen 3 üniversite oluşturmaktadır. Seçimde öğrenci ve bölüm sayısı itibarı ile büyük üniversiteler (fen bilimleri ağırlıklı ve sosyal bilimler ağırlıklı üniversiteler olması tercih edilmiştir) yanı sıra öğrenci ve bölüm sayısı dikkate alındığında daha küçük ölçekte bir üniversitenin de seçilmesi, bunun yanı sıra devlet ve vakıf üniversitelerinin birer temsilcisinin yer almasına dikkat edilmiştir. Devlet üniversitelerinden yapısı itibari ile pek çok bölüme sahip olan Gazi Üniversitesi ve Ankara Üniversitesi’nin yanı sıra ölçek olarak daha küçük olan, bir vakıf üniversitesi TOBB Ekonomi ve Teknoloji Üniversitesi seçilmiştir. 3.3. Verilerin Toplanması Bu araştırmada öncelikle literatür taraması- belge analizi yapılmıştır. Bu kapsamda, yerli ve yabancı bilimsel nitelikteki kitaplar, dergiler ve yayımlanmış diğer eserlerle, ulaşılabildiği ölçüde istatistikî bilgilerden yararlanılmıştır. Geçmişte ve günümüzde bilgi güvenliğine yönelik yaklaşımları ve ortak noktaları tespit etmek için tarihsel bir araştırma yapılmış ve edinilen bilgilerle bir model oluşturulmuştur. Seçilen üniversitelerde mevcut durumu var olduğu şekliyle betimlemek amaçlandığı için uygulama aşamasında tarama modeli kullanılmıştır. Nitel ve nicel tekniklerle veriler toplanarak yorumlanmıştır. Araştırmada nicel araştırma yöntemi olarak kişilerin bilgi 69 güvenliğine yönelik görüşlerinin tespit edilmesi için anket uygulaması gerçekleştirilmiştir. Bunun yanı sıra nitel olarak üniversitedeki süreçler, kullanılan BT sistemleri ve dokümanlar incelenerek, bilgi güvenliği konusunda mevcut durumun ve ihtiyaçların tespiti için, bilgi toplama amaçlı görüşme yöntemi ve uluslararası standart ve kılavuz dokümanlarında geçen ortak kriterleri içeren kontrol listesindeki sorulardan yararlanılmıştır. Araştırmada ayrıca betimleme ve tanımlama amacıyla doğal gözlem yöntemlerinden yararlanılmıştır. ÖBGYS modelinin geliştirilmesi için araştırma yapılırken ve oluşturulan ÖBGYS modeli üniversitelerde uygulanırken; literatürde önerildiği gibi, mevcut durumda bilgi güvenliğinin tespit edilmesi için nitel araştırmalarda toplanan çevresel veriler, süreçle ilgili veriler ve üniversitede bilgi güvenliğine yönelik görüşlere yönelik veriler derlenmeye çalışılmıştır (Le Comte ve Goetz,1984; Akt.Yıldırım ve Şimsek, 1999). ÖBGYS modelinin pilot uygulaması için analiz aşamasında kullanılabilecek bilgi toplama aracının hazırlanmasında; araştırmanın amacı doğrultusunda veriler elde etmek amacıyla bilgi güvenliğine yönelik yurt dışında yapılmış olan çalışmalar ve yurt içinde gerçekleştirilmiş uygulamalar taranarak bir anket ve daha detaya inen bir analiz için bir kontrol listesi düzenlenmiştir. Yurtdışında ve yurtiçindeki benzer içerikli anketler ve kontrol listeleri incelenmiş ve bunlardan da faydalanılmıştır. Yurtdışındaki anketlerin soruları araştırmacı yanı sıra 3 farklı kişi tarafından Türkçeye çevrilmiştir ve böylelikle sağlıklı bir çeviri yapıldığı kontrol edilmiştir. Anket ve kontrol listesi için ÖBGYS model bileşenleri ile ilişkilerini de gösteren belirtke tablosu hazırlanmıştır. Anket ve kontrol listesi küçük bir katılımcı gruba uygulanarak sorulardan anlaşılmayanların belirtilmesi istenmiş ve tekrar gözden geçirilmiştir. Anket ve kontrol listesi (belirtke tablosu ile) uygulanması planlanan ÖBGYS model açıklaması ile birlikte, uzmanlara iletilerek görüşler doğrultusunda soru sayısı azaltılmıştır. Maddelerin konuyla ilgisi, tutarlılığı, olumlu-olumsuz ayrımının doğruluk derecesi uzman yargılarıyla belirlenmiştir. Anket ve kontrol listesi son hali ile uzmanlara verilmiş, gelen görüşler dikkate alınarak gerekli düzeltmeler yapılmıştır. Tekrar uzman görüşlerine gönderilmiştir. Bu şekilde anketin ve kontrol listesinin kapsam geçerliliği 70 sağlanmıştır. Anketin son hali ve model önerisi tez izleme komitesi tarafından da kabul edildikten sonra pilot olarak seçilen üniversitelerde uygulama için izin alınmıştır. Yapı geçerliği ve güvenilirlik çalışması, asıl uygulamadan elde edilen puanlar üzerindeki çözümlemeler ile gerçekleştirilmiştir. Karakteristik özellikleri ile ilgili yapılan güvenilirlik analizinde Cronbach Alpha katsayısı 0.94 olarak bulunmuştur. Ek-1’de bulunan “Yükseköğretimde Bilgi Güvenliği Anketi”, çok seçenekli soru (1) ve likert-türü maddeler (5 grupta toplam 65 madde ), bileşiminden ibarettir. Likert-türü maddeler, istatistikî amaca uygun olarak sayısal oranlara çevrilmiştir. Katılımcıların vereceği cevaplar şu şekilde düzenlenmiştir; “Kesinlikle katılıyorum: 5”, “Katılıyorum: 4”, “Kararsızım: 3”, “Katılmıyorum: 2”, “Kesinlikle katılmıyorum: 1”. Pozitif ifadeler için olumlu en yüksek cevaba 5, olumsuz en düşük cevaba ise 1 verilmek üzere 1’den 5’e kadar sayısal bir düzenlemeye gidilmiştir. Tablo 1’de ankette hangi soruların hangi gruplarda bulunduğu gösterilmektedir. Đlerleyen aşamada sorulara verilen yanıtların bu gruplar altında değerlendirme sonuçları sunulacaktır. Tablo 1. Anket Bölümleri ve Soru Numaraları Alt Başlıklar Sorular A- BT Sistemlerinin Kullanım Amaçları 2-14 B- Bilgi Güvenliğine Yönelik Sorunlar/Riskler 15-29 C- Bu Sorunların/Risklerin Kaynağı D- Bilgi Güvenliği Sağlanamazsa Etkileri E- Bilgi Güvenliği Hakkında Görüşler 30-45 46-55 56-66 Ek-2 de bulunan “ÖBGYS Güvenlik Kontrol Listesi” ise araştırmacı tarafından görüşmede kullanılmak üzere tasarlanmıştır. Kontrol listesi çok seçenekli 80 sorudan oluşmaktadır. Bu kontrol listesi güvenlikle ilgili üniversitelerde bulunan güvenlik 71 kontrollerinin ve ÖBGYS için dokümanların tespiti amacıyla araştırmacı tarafından görüşmede kullanılmıştır. 3.4. Verilerin Analizi Tüm veriler, kişisel bilgisayar üzerinde SPSS bilgisayar programı kullanılarak analiz edilmiştir. Öncelikle araştırmanın yapısına ilişkin bir fikir elde etmek amacıyla tüm bağımsız değişkenlere (çalışmadaki bağımsız değişkenler, kullanıcı grubu ve üniversitedir) yönelik frekanslar ve yüzde değerleri ortaya koyan betimsel istatistik yöntemleri kullanılmıştır. Başlıca istatistikî analiz olarak, çeşitli bağımsız değişkenler açısından anlamlı farklılıkları belirlemede uygulanan varyans analizi (ANOVA) kullanılmıştır. Verilerin yorumlanması için beşli ölçeklerde uygulanan “kesinlikle katılıyorum” seçeneğine verilen 5 puandan, “kesinlikle katılmıyorum” seçeneğine verilen 1 puan çıkartılıp 5’e bölünmesi ile [(5-1)/5] 0,80 oranında eşit aralıklar oluşturulması yöntemi kullanılmıştır. Böylece ortalama puanların 1-1,80 arasında olanları çok düşük, 1,81-2,60 arası olanları düşük, 2,61-3,40 arasında olanları orta, 3,41-4,20 arasında olanları yüksek ve 4,21-5 arasında olanları ise çok yüksek olarak değerlendirebilme olanağı sağlanmıştır. Bir maddenin ortalamasının çok düşük olması o konuda olumlu görüş olmaması; çok yüksek olması ise katılımın yüksek olduğu şeklinde değerlendirilmiştir. Veriler çözümlenirken anket başlıklarına verilen yanıtların frekans ve aritmetik ortalamaları değerlendirilmiştir. Verilen yanıtlarla kullanıcı grupları arasında fark olup olmadığının anlaşılabilmesi amacıyla tek faktörlü varyans analizi kullanılmıştır. Tek faktörlü varyans analizi (Analysis of Variance); ilişkisiz iki ya da daha çok örneklem ortalaması arasındaki farkın sıfırdan anlamlı bir şekilde farklılık olup olmadığını test etmek için, başka bir ifadeyle iki ya da daha fazla sayıdaki grup arasında belirli bir değişkene dayalı olarak farklılık olup olmadığının belirlenmesi amacıyla kullanılmıştır. Analizin amacı, gruplar arasındaki farklılaşmaların bireyler arasındaki farklılaşmalardan büyük olup olmadığının tespit edilmesini sağlamaktır. Grup varyanslarının eşit olduğu 72 durumlarda ortalama puanların çoklu karşılaştırmasında sıklıkla Scheffe, Tukey, Benferroni ve Fisher testi; grup varyanslarının eşit olmadığı durumlarda ise Dunnett C testi seçilebilir (Büyüköztürk, 2002). Araştırmada bu testlerden grup varyanslarının eşit olduğu durumlarda Tukey ve eşit olmadığı durumlar için Dunnett C testi kullanılmıştır. Araştırmanın problemlerinden biri olan bilgi güvenliğine ilişkin görüşlerin kullanıcı grubuna göre farklılık gösterip göstermediği konusunda varyans analizi (ANOVA) yapılırken; bağımlı değişkene ait varyansların eşit olması durumu için (grup varyansları eşitse) ANOVA değerinde anlamlı bir fark tespit edildiyse ilgili maddede farkın hangi gruplar arasında olduğunun tespitinde Tukey testi; varyansların eşit olmaması durumu içinse Dunnett C testi uygulanmıştır. BÖLÜM IV 4. BULGULAR ve YORUM Bu bölümde araştırma sorularına ait tespit edilen bulgu ve yorumlar aktarılmıştır. ÖBGYS modelinin pilot uygulamasının yapılması neticesinde elde edilen bulgu ve yorumlara da yer verilmiştir. Đlk kısımda literatür araştırması ile elde edilen standart ve kılavuz dokümanlarının ortak noktaları ve oluşturulan modelle ilgili bulgulara yer verilirken, ikinci kısımda ÖBGYS’nin uygulanması ile edinilen anket bulguları yorumlanmış, son kısımda ise uygulama aşamasında karşılaşılan ortak sorunlar ve modeli kullanacak kişilere kılavuz olabilecek ipuçları/öneriler sunulmuştur. 4.1. Standartların ve Kılavuz Dokümanlarının Ortak Noktaları Araştırma sorularından ilki olan “Bilgi güvenliği ile ilgili hususları içeren standartlar/kılavuzların (en iyi uygulama örneklerinin) kesiştiği noktalar nelerdir?” konusunda yapılan inceleme sonuçları ve incelenen dokümanların karşılaştırması sonucu edinilen bilgiler bu bölümde aktarılmaya çalışılmıştır. Güvenlik konusunda pek çok doküman bulunmaktadır. Bu dokümanların gruplandırılması hakkında yapılan çalışmalardan biri olan, Gartner (2005) tarafından yayınlanan güvenlikle ilgili standart ve kılavuzların taksonomisi dokümanında bilgi güvenlik standart ve kılavuzları: • Yönetimsel standart ve prosedürler (örneğin COSO, COBIT, SOX vb.): Yasal veya düzenleyici gereksinimlere uyum sağlanabilmesi için kullanılan üst düzeyde güvenlik yönetiminin aktarıldığı dokümanlar; 74 • Stratejik bilgi güvenlik standart ve kılavuzları (örneğin ISO/IEC 17799, BS7799-2, NIST 800-xx, ISO/IEC 13335, ITIL vb.): Stratejik güvenlik programları oluşturulması, BGYS’nin oluşturulması ile ilgili yol gösterici olan genel standart ve en iyi kullanım örneklerinin olduğu dokümanlar; • Güvenlik teknoloji standart ve kılavuzları (Common Criteria, IEEE802.1x, SANS step by step guides vb.): Teknik detaya inen bazı endüstri alanlarında ürünlerin güvenlik seviyesinin belirlenmesi/belgelenmesi için kullanılan bütünlük, kalite ve birlikte çalışılabilirliğin adreslendiği dokümanlar; olarak üç bölüme ayrılmıştır. Her bir kategorideki dokümanlar faydalı olmakla birlikte farklı detay seviyelerinde bilgileri içermektedirler. Yönetimsel standart ve prosedürler bilgi güvenlik gereklilikleri ile ilgili belirgin yol göstermeleri içermemektedir. Stratejik bilgi güvenlik standart ve kılavuzları tek başına kurumun güvenliğini sağlamakta yeterli değildir. Güvenlik teknoloji standart ve kılavuzları kullanım alanı ve amacı gereği fazla teknik detay içermektedir ancak, örneğin bu dokümanlara göre sertifikalandırılmış iki ürünün birlikte kullanımı, oluşturulan sistemin güvenliğini garanti etmemektedir. Ürünlerin birlikte çalışması için uyarlamalar yapılması sonucu güvenlik açıkları meydana gelebilmektedir. Bu durumda farklı kullanım alanları olan ve farklı detay seviyelerinde bilgi içeren dokümanlar tek başlarına bilgi güvenliğinin sağlanmasında yeterli olamayabilirler. Bilgi güvenliğinin bir bütün olarak sağlanabilmesi için ihtiyaçlara göre birden fazla dokümandan faydalanılması gerekmektedir. Bilgi Güvenlik Harmonisi- Global Kılavuzların Sınıflandırılması “Information Security Harmonisation- Classification of Global Guidance” (ISACA, 2005) dokümanında dünyada kullanılan farklı güvenlik standartları, en iyi kullanım örnekleri ve kılavuzlarının incelemesi ve karşılaştırılması yapılmıştır. Aşağıda Tablo 2’de uluslararası kabul edilmiş olan güvenlik odaklı 17 dokümanın odaklandığı güvenlik alanına göre doküman taksonomisi belirtilmektedir. 75 Tablo 2. Doküman Taksonomisi Güvenlik Kılavuzları Odaklanılan Güvenlik Alanı Yönetim Program Güvenlik Yüksek Seviyede Detaylı Kontrol Model veya Bileşenleri Esasları Güvenlik Kontrolleri Uygulamaları Metodoloji BS7799 X COBIT X X X X SSE-CMM GAISP X ISF X X X X X X ISO/IEC13335 X ISO/TR13569 X X ISO/IEC15408 X ISO/IEC17799 X X ITIL NIST800-12 X NIST800-14 X X X X X X NIST800-53 OCTAVE X OECD X X X (ISACA, 2005) Yukarıdaki Tablo 2’de BS7799 ve ISO/IEC17799; içerdikleri bilgilerin farklı olması nedeniyle farklı değerlendirilmiştir. Çünkü biri bilgi güvenlik yönetimi için metodoloji ile ilgili bilgileri içerirken, diğeri bilgi güvenlik uygulaması için öneriler ve kılavuz olabilecek bilgileri içermektedir. Tablo ‘de belirtilen beş alanın açıklaması aşağıdaki şekildedir: Bilgi güvenlik yönetim program bileşenleri (Information security management programme components): Kılavuz, bilgi güvenlik yöneticisinin bilgi güvenlik programı içerisinde gerçekleştireceği aktivite tipleri hakkında önerileri içermektedir. • X X X NIST800-18 • X Güvenlik esasları (Security principles): Bilgi güvenlik programının temel alması gereken anahtar güvenlik esasları hakkında önerileri içermektedir. X 76 • Yüksek seviyede bilgi güvenlik kontrolleri (High-level information security controls): Kılavuz, bilgi güvenlik kontrollerini içermekle birlikte detaylı uygulama örnekleri ve kontrolün nasıl uygulandığı ile ilgili bilgileri içermeyebilir. • Detaylı kontrol uygulamaları (Detailed control practices): Kılavuz, detaylı bilgi güvenlik kontrol uygulamalarını içermektedir. • Model veya metodoloji (Model or methodology): Kılavuz, bilgi güvenlik yöneticisinin bir veya daha fazla aktivitesi hakkında iskeleti (framework), model veya metodoloji tanımını içermektedir. Yukarıdaki tablodan da anlaşılacağı üzere her türlü alanda her türlü bilgiyi içeren tek bir doküman olması mümkün değildir. Çalışmada model oluşturulurken kullanılacak dokümanların seçiminde Tablo 2’den faydalanılmıştır. Tablo 2’de her gruptan en az bir dokümanın incelenmesi ve seçilecek dokümanın birden fazla alanda bilgi içermesi hedeflenerek seçim yapılmıştır. BS7799 ve ISO/IEC17799 dokümanları birbirlerini tamamlayan dokümanlar olarak değerlendirilmiş, birlikte üç alanı adreslediğinden seçim içerisine alınmıştır ve bu dokümanların güncellenmesi ile oluşturulan diğer dokümanlar da (örn. ISO/IEC 27001 vb.) incelemeye dâhil edilmiştir. COBIT model ve metodoloji, detaylı kontrol uygulamaları ve yüksek seviyede bilgi güvenlik kontrolleri bilgilerini içerdiğinden seçilmiştir. ISO/IEC13335 ve NIST 800-12 bilgi güvenlik yönetim program bileşenleri, güvenlik esasları ve yüksek seviyede güvenlik kontrolleri için seçilmiştir. OCTAVE ise yönetim bileşenleri hariç diğer konularda ve özellikle risk yönetimi konusunda bilgi sağlayacağı için seçilmiştir. ITIL standardı ise diğerlerinden farklı olarak servis ve hizmet odaklı bir yaklaşım ile hazırlandığı için seçilmiştir. Aşağıda Tablo 3’de model oluşturulması aşamasında faydalanılmak üzere detaylı inceleme için seçilen dokümanların kapsadığı alanlar belirtilmektedir. 77 Tablo 3. Đnceleme Đçin Seçilen Dokümanlar Yönetim Program Bileşenleri Güvenlik Esasları Yüksek Seviyede Güvenlik Kontrolleri NIST800-12 Model veya Metodoloji X BS7799 ISO/IEC17799 COBIT ISF ISO/IEC13335 Detaylı Kontrol Uygulamaları X X X X X X X X X X X X X X OCTAVE ITIL X X X X X X X BT Yönetim Enstitüsü (IT Governance Institute) tarafından hazırlanan COBIT Mapping (ITGI, 2006) dokümanında BT kullanımında yardımcı olarak hazırlanan standart ve kılavuz dokümanlarının incelemesi ve karşılaştırılması konu bazında yapılmıştır. Aşağıdaki Tablo 4’de bu karşılaştırma özeti yer almaktadır. Tablo 4. Dokümanların Kapsam Alanlarının Karşılaştırması TickIT CMMI TOGAF 8.1 IT BPM NIST 800-14 Toplam Sayı X X - X - - X 9 - - - X X X X - - X X 9 9 X X - - - - - X X 9 X X - - - - - X - X 8 X - X - - X X - - X 8 PRINCE2 10 9 ISO/IEC 15408 X X ISO/IEC TR 13335 X X FIPS PUB 200 X ISO/IEC 17799 X - ITIL - COSO - COBIT PMBOK Konu/Alan Veri Yönetimi Teknolojik Eğilimin Tanımlanması X X X X X X X X X X X X X - - BT Risklerinin Belirlenmesi ve Yönetimi Değişikliklerin Yönetimi Çözüm ve Değişikliklerin Kurulması ve Yetkilendirilmesi Sistem Güvenliğinin Sağlanması BT Süreçlerinin, Organizasyonunun ve Đlişkilerinin Tanımlanması Uygulama Yazılımlarının Temini ve Bakımı X X - X X X - X X X X X X X X X X X X X X X X X X X X X X X - X 78 COBIT COSO ITIL ISO/IEC 17799 FIPS PUB 200 ISO/IEC TR 13335 ISO/IEC 15408 PRINCE2 PMBOK TickIT CMMI TOGAF 8.1 IT BPM NIST 800-14 Toplam Sayı Konu/Alan BT Altyapısının Temini ve Bakımı Đşletme ve Kullanım Servis Sürekliliğinin Sağlanması Konfigürasyon Yönetimi X X - X X - X - - X - - X X 8 X X X X X X X X X X X X - - - X - - - X X X 8 8 X X X X X - - X - - X - - X 8 Fiziksel Ortam Yönetimi Đç Kontrollerin Đzlenmesi ve Değerlendirilmesi Bilgi Mimarisinin Tanımlanması Yönetim Hedef ve Yönünün Tartışılması Kullanıcıların Bilgilendirilmesi ve Eğitimi Kalitenin Yönetimi Otomatize Çözümlerin Tanımlanması Performans ve Kapasitenin Yönetimi BT Yatırımlarının Yönetimi BT Đnsan Kaynaklarının Yönetimi 3. Tarafların Servislerinin Yönetimi Yardım Masası ve Olay Yönetimi Problem Yönetimi BT Performansının Đzlenmesi ve Ölçülmesi BT Yönetişiminin Sağlanması X X X - - X X X X X X X X - - X - - X X X X 8 8 X X - X X X - - - - - X - X 7 X X - X X X - - - - - - X X 7 X X - X X X - - - - X - - X 7 X X X - - - X X - X X - - X X X - X - X 6 6 X X X X X - - - - - - - X 6 X X X X X - X X - - X X - - - - - - X 5 5 X - X X X - - - - - - - - X 5 X - X X X - - - - - - - - X 5 X X - X - X X - - - - - X X X - - X X 5 5 X X - X X - - - - - - - - X 5 X X X X - - - - X X - - - X - X - - 4 4 X X X X - X - - - - - X - X - - - - X - 3 3 2 X - X - - - - - - - - - - - 2 X X - - - - - - - - - - - - 2 Projelerin Yönetimi Servis Seviyesinin Tanımlanması ve Yönetimi BT Kaynaklarının Temini Operasyon Yönetimi Stratejik BT Planının Tanımlanması Maliyetlerin Tanımlanması ve Tahsis Edilmesi Yasal Uyumluluğun Sağlanması (ITGI, 2006) - Tablo 4’de COBIT standardı alanlarının 13 farklı standart kılavuz dokümanı ile karşılaştırılmasında, bu alanın dokümanda (standart/kılavuz) yer alması durumunda 79 ilgili standart/kılavuz sütununda “X” işareti ile belirtilmiş; alanla ilgili standart/kılavuz dokümanında çok az bilgi bulunması veya hiç bahsedilmemesi durumunda “–“ işareti kullanılmıştır. Alanın birden fazla standart/ kılavuz dokümanında yer alması konunun kritikliğinin göstergesi olarak değerlendirilerek, her bir alan için en sağ sütunda “X” işaretlerinin (COBIT de dâhil edilerek) toplam sayısı belirtilmiştir. Böylelikle Tablo 4’de “Toplam Sayı” sütununda “Konu/Alan”’da yer alan başlığın standart/kılavuz dokümanlarının kaçında geçtiğini belirten toplam sayı verilmiştir. 14 dokümanın en az yarısında (7 ve daha fazla dokümanda konunun geçmesi) konunun aktarılmış olması durumunu vurgulayabilmek için “Toplam Sayı” sütununda bu sayılar taralı olarak işaretlenmiştir. Özetle aktarmak gerekirse, veri yönetiminin yapılması bunun için ise bilgi gruplarının belirlenmesi; hedeflerin belirlenmesi, bu hedefler ve süreçler için risklerin tespiti ve yönetiminin sağlanması; değişiklikleri yönetirken oluşturulan süreçte bu değişiklikler için kontrol mekanizmaları kurulması ve uygulanması; sistem güvenliğinin sağlanması; süreçlerin incelenerek organizasyon yapısı ile ilişkilerinin belirlenmesi, operasyon ve bunlara yönelik dokümantasyonun hazırlanması; yazılım ve BT altyapı temini ve idame ettirilmesi için gerekli olan işletme ve kullanım kurallarının belirlenmesi, servis sürekliliğinin, konfigürasyon yönetiminin sağlanması; fiziksel ve çevresel ortamın uygun bir şekilde yönetimi; kullanıcılar için bilgilendirme ve eğitim imkânlarının sağlanması yanı sıra tüm bunların uygun bir şekilde gerçekleştirildiğinin kontrol edilmesi, izlenmesi ve değerlendirilmesi konuları incelenen standartların en az yarısında geçmektedir. Oluşturulması planlanan BGYS modelinde; doğrudan bilgi güvenlik yönetim sistemini adresleyen ISO/IEC 17799 standardı ve Tablo- 3 de inceleme için seçilen diğer dokümanlar yanı sıra, BT Yönetim Enstitüsü (IT Governance Institute) tarafından hazırlanan COBIT Mapping (ITGI, 2006) dokümanında geçen standart ve en iyi uygulama örneklerinde sıkça tekrarlanan aşağıdaki konu başlıkları özellikle dikkate alınmıştır: 80 • Yönetimin desteği ve hedeflerin belirlenmesi. • Bilgi mimarisinin tanımlanması. • BT ile ilgili süreçlerin ve ilişkilerin tanımlanması. • Đnsan kaynaklarının yönetimi. • Risklerin belirlenmesi ve yönetimi. • BT sistemleri ve yazılımların temini ve yönetimi. • Süreç ve operasyonların yönetimi. • Değişikliklerin yönetimi. • Çözüm ve değişikliklerin test edilmesi. • Performans ve kapasite yönetimi. • Servis sürekliliğinin sağlanması. • Sistem güvenliğinin sağlanması. • Kullanıcıların eğitimi ve bilgilendirilmesi. • Konfigürasyon yönetimi. • Fiziksel çevre/ortam yönetimi. • Denetimlerin gerçekleştirilmesi. • Üçüncü taraflardan alınan hizmetlerin yönetimi. Tezde “Kavramsal Çerçeve” bölümünde özetleri verilen bilgi güvenliği standart ve kılavuzları hakkında yapılan incelemeye göre; TS ISO/IEC 17799; TS ISO/IEC 27001 BGYS oluşturulması için tüm kurumlar tarafından kullanılabilecek bir dokümandır. RFC 2196; The Information Security Forum’s (ISF’s) Standard of Good Practice for Information Security; NIST 800-12 An Introduction to Computer Security—The NIST Handbook ve ISO/IEC 13335 Information TechnologyGuidelines for the Management of IT Security pratikte uygulanabilecek tavsiyeler içermektedir ve BGYS’nin oluşturulmasında yardımcı dokümanlar olarak kullanılması mümkündür. PCI Data Security Standart her ne kadar finans sektörü için kullanılsa da, içeriği itibarı ile bilgi güvenliğinin sağlanabilmesi için son derece faydalı bilgileri içeren bir doküman niteliğindedir ve özellikle belli konularda spesifik bilgi içermesi (örneğin önerilen şifre uzunluğu, sistemlerde tutulması gereken logların hangi bilgileri içermesi gerektiği vb.) nedeniyle özellikle BT sistemlerini yöneten teknik personel için faydalı bir kaynaktır. OCTAVE ve ISO/IEC 13335 Information Technology- Guidelines for the Management of IT Security özellikle BGYS’nin ayrılmaz bir parçası olan risk yönetimi 81 hakkında faydalanılabilecek kaynaklardır. COBIT tüm kurumlar için süreçlerin iyileştirilmesi açısından kullanılabilecek bir dokümandır, içerisinde bilgi güvenliği ve risk yönetimi ile ilgili kısımlardan destek alınabilir. Güvenli uygulama geliştirme için OWASP ve PCI dokümanları kullanılabilir. TCSEC, ITSEC, CTCPEC ve Common Criteria’nın ürün ve sistem konusunda odaklaşmasına ve güvenlik konusunda faydalı bilgiler içermesine rağmen, komple bir güvenlik sistemini adreslemekten ziyade, daha çok üretilen bir yazılım ya da donanım için uluslararası güvenlik derecesini belirleyen çalışmalar olduğu tespit edilmiştir. Bilgi güvenliğinin sağlanması konusunda beklide en önemli hususlardan birisi nasıl hareket edilmesi gerektiğidir. Dünyada içerisinde bilgi güvenliği unsuru da geçen pek çok farklı standart ve en iyi uygulama örnekleri bulunmaktadır. Aşağıdaki bölümde özellikle bilgi güvenliği bakış açısı ile, yukarıda seçildiği belirtilen standart ve kılavuz dokümanlarının incelemesi yapılarak bilgi güvenliği için kritik hususlar derlenmiştir. Tüm incelemeler neticesinde pek çok standart ve kılavuz dokümanında geçtiği ve tekrarladığı görülen, BGYS oluşturulması için aşağıdaki hususlara dikkat edilmesi gerektiği belirlenmiştir: • Kurum bünyesinde bilgi güvenliğinin sağlanabilmesi için ihtiyaçlar ve hedefler göz önüne alınarak bir süreç oluşturulmalıdır. Oluşturulacak sistem ve süreç periyodik olarak gözden geçirilmeli ve iyileştirilmelidir. • BGYS kurum süreçleri ile entegre edilmelidir, çünkü sağlanabilmesi için bilgi güvenliğinin mevcut süreçlerin de gözden geçirilip gerekli iyileştirmelerin bu süreçlerde gerçekleştirilmesi gerekir. Aksi takdirde yapılacak çalışmanın, sadece bir dizi dokümanın üretilmesi olarak kalması riski bulunmaktadır. Bilgi güvenliği dönüşüm için kullanılmalı ve bir kültür olarak benimsenmelidir. Bilgi güvenliğinin sağlanabilmesi için katılım ve destek şarttır bunun sağlanabilmesi içinde farkındalık yaratılması gerekmektedir. • Kurumda bilgi güvenliği için yapılacak çalışmalarda üst yönetimin desteği olmalıdır ve çalışma sahiplenilmelidir. Konu için organizasyonda farklı 82 birimleri temsil edecek temsilcilerin olduğu bir komite/grup oluşturulması önerilmektedir. Güvenlik sadece teknik ekiplerin sorumluluğu olmamalıdır. Kurumdaki tüm kullanıcı gruplarının desteği sağlanmalıdır. • Kurumda yapılacak çalışma için, kurum hedefleri dikkate alınarak kapsamın belirlenmesi gerekmektedir. Kapsam belirlenirken hedefler, kullanıcı grupları, bilgi grupları, sistemler, süreçler, fiziksel ve çevresel koşullar/imkânlar dikkate alınmalıdır. BGYS kurulumu çalışmalarında gerçekçi olunması gerekmektedir, süreçlerin işlevselliğini de göz önüne alarak gerçekçi hedefler belirlenmelidir. Zira sürekli iyileştirmenin amacı, aşamalı olarak bilgi güvenlik seviyesinin artırılması, bu süreçte bilgi güvenliği kültürünün kalıcı şekilde oluşturulması ve kullanıcıların tepkisini çekmek yerine desteğinin alınarak ilerlenebilmesidir. • BGYS oluşturulmasında sistematik olarak ilerlenmesi faydalı olacaktır. Bu nedenle üst düzeyde, kapsayıcı olan Kurumda bilgi güvenliğine yönelik politikalar belirlenmelidir. Bilgi güvenlikle ilgili politika tek bir doküman olabileceği gibi, birbirini bütünleyen bir dokümanlar seti olarak ta tasarlanabilir. Politika hazırlanırken aşağıdaki hususlara dikkat edilmesi gerekmektedir: − Politika dokümanında amaç, kapsam ve hedef net olarak ifade edilmelidir. Muğlâk ifadeler farklı yorumlamalara veya ifadenin anlaşılmamasına neden olabilir. Kapsam ve hedefin net olarak belirtilmesi, politikaların hangi alanlarda uygulanması gerektiği ve neden uygulanması gerektiği konusuna ışık tutacaktır. − Ortak bir kültür yaratılması ve ortak bir tanım kullanılması için, bilgi güvenliğinin tanımı yapılmalı ve kullanıcıların desteğinin sağlanabilmesi için bilgi güvenliğinin öneminden bahsedilmelidir. Yine politika içerisinde geçen önemli diğer kavramların tanımlarına da yer verilmelidir. Tanımlar yapılırken farklı kullanıcı grupları dikkate alınarak basit ve anlaşılır ifadeler kullanılmalıdır. − Bilgi güvenliğine yönelik sorumluluklar mümkün olduğunca açık bir şekilde belirtilmelidir. Politika dokümanı üst düzeyde bir doküman 83 olacağı için temel sorumluluklar burada belirtilerek, daha spesifik sorumluluklar politika dokümanı ile ilişkilendirilerek hazırlanacak diğer dokümanlarda da verilebilir. − Politika dokümanının temel amaçlarından biri etkili bir BGYS oluşturulmasıdır. Bunu sağlamak için de kurum içerisindeki farklı birim temsilcilerinden oluşan bir komite oluşturulduysa, politika dokümanında bu tarzda oluşturulan komitelerin de tanıtımı yapılmalıdır. − Bilgi güvenliğinin sağlanabilmesi için uygulanacak süreçlerdeki temel güvenlik ilkeleri (örneğin risk değerlendirmesi, güvenlik kontrolleri, üst düzeydeki standartlar vb.) mümkün olduğunca anlaşılır ve öz bir şekilde aktarılmalıdır. − Son olarak dokümanda belirtilen hususların ihlali durumundaki süreçler/ yaptırımlar; politika dokümanın güncellenmesi ve politikayı destekleyecek diğer dokümanlara referansların da belirtilmesi faydalı olacaktır. • Risk yönetimi (risk analizi, risk iyileştirme faaliyetleri gerçekleştirilmesi) için kurallar/ilkeler belirlenmelidir. − Kurumda korunması gereken varlıklar, tehditler, zafiyetler belirlenerek risk analizi gerçekleştirilmelidir. − Risk analizinde kademeli bir geçiş faydalı olacaktır. − Risk analizi sonucu uygulanabilecek kontroller belirlenmeli ve uygulanmalıdır. − Kontroller seçilirken maliyeti de dikkate alınmalıdır. Eğer riskin oluşma olasılığı veya etkisinin azaltılması için harcanacak kaynak riskin meydana gelmesi durumundaki olası zarardan daha fazla olacaksa, kontrol için kaynak harcanmaması ve riskin olduğu gibi kabul edilmesi önerilmektedir. • Süreçler, fiziksel ve çevresel ortamlar, BT sistemleri, kritik varlıklar için bilgi güvenliğinin sağlanmasına yönelik kurallar/ilkeler belirlenmelidir. 84 • Bilgi güvenliğinin sağlanabilmesi için kullanıcı grupları dikkate alınarak detaylandırılmış sorumluluklar belirlenmelidir (Kritik işlerde mümkünse görev ayrımı yapılmalıdır). Örneğin; − BT sistemlerini kullanan kullanıcılar için zararlı kodlardan (virüs, worm vb.) korunma, şifre seçiminde ve kullanımında dikkat edilmesi gereken hususlar, − BT sistemleri hakkında taleplerin, problem ve sorunların- şüphelenilen güvenlik olayları da dâhil olmak üzere- bildirimi için kurallar/ilkeler; − BT sistemlerini yöneten teknik personel için sistem kurulumu sonrası güvenlik sıkılaştırması için yapılması gereken işlemler, sistem yönetiminde dikkat edilmesi gereken kurallar vb. tanımlanmalıdır. • Varlıkların belirlenmesi ve sınıflandırılmasına yönelik kurallar/ilkeler belirlenmelidir. Örneğin; − Varlıkların (kritik varlıklarının -bilgi varlıkları, BT sistemleri vb.-) belirlenmesi ve envanterinin tutulması, varlıkların sınıflandırılması yanı sıra varlıkların kullanımı, imhası, yeniden kullanımı gibi konularda uyulması gereken kurallar/ilkeler; − Kurumda kayıtların/belgelerin ne kadar süre ve ne şekilde saklanması gerektiğine yönelik kurallar/ilkeler belirlenmelidir. • Fiziksel ve çevresel güvenliğin sağlanması için uygulanacak kurallar/ilkeler belirlenmelidir. Örneğin; − Güvenli alanların (merkezi BT sistem platformu vb.) kabul edilen kullanım kuralları/ilkeleri yanı sıra bu alana erişebilecek kişilerin listesi; − Fiziksel güvenlik ihlallerinde işletilecek sürece yönelik kurallar/ilkeler belirlenmelidir. 85 • BT sistemleri hakkında dokümantasyon yanı sıra, BT sistemlerinin kullanımı ve yönetimi ile ilgili süreçlerde uygulanacak kurallar/ilkeler belirlenmelidir. Örneğin; − BT sistemlerinin (örneğin bilgisayar, internet, e-posta, intranet, uygulama kullanım) kabul edilen kullanım kuralları/ilkeleri belirlenmelidir; − BT sistemlerinin envanteri (ayrıt edici kod, tanımı, hangi amaçla kullanıldığı, yönetim sorumlusu, lokasyonu vb. bilgilerin yer alması önerilmektedir), BT sistem topoloji çizimleri (örneğin veri iletişim altyapı çizimi vb.), BT sistemlerinin kurulum ve konfigürasyon (güvenlik konfigürasyon standartlarını da içeren) dokümantasyonu hazırlanmalıdır; − BT sistemlerinde otomatik/manüel olarak hangi kayıtların tutulacağı, ne şekilde inceleneceği ve bu kayıtların ne kadar süre saklanacağına yönelik kurallar/ilkeler; − Kimlik yönetimi (BT sistemleri üzerinde kullanıcının tanımlanmasını sağlayan elektronik kimlikler için -uygulamaya girmek için kullanılan kullanıcı adı veya token, akıllı kart vb. araçlar- ilk kez tanımlamadan, iptal edilmesine kadar süreçler) için sorumlulukları da belirten kurallar/ilkeler; − BT sistemleri üzerinde kullanıcı tanımlama (kullanıcı adı standardı) ve kullanıcı şifrelerine yönelik (şifre uzunluğu, ilk girişte şifre değiştirme, şifre zaman aşımı, şifre kilitleme, şifre seçiminde sınırlandırmalar vb.) kurallar/ilkeler; − Erişim kontrolü, yetkilendirme süreçleri için kurallar/ilkeler; − Değişim yönetimi için kurallar/ilkeler; − Yeni BT sistemlerinin devreye alınmasından önce test edilmesine yönelik kurallar/ilkeler; − BT sistemlerinin ve uygulamaların güncellemeleri ( yama, yeni versiyon vb.) ve takibi için kurallar/ilkeler; 86 − BT sistemlerinde zafiyet yönetimi süreçleri için (işletim sistemi vb. yama geçilmesi süreçleri, antivirüs güncellemeleri) kurallar/ilkeler; − Kritik bilgi varlıklarının (örneğin veritabanları vb.) ve BT sistemlerinin yedeklenmesi konusunda (nelerin yedeğinin hangi periyotta alındığı, nasıl yedekleme alındığı, nasıl restore/geri yükleme yapıldığı vb.) kurallar/ilkeler; − BT Sistemleri edinimi, geliştirme ve bakımı için süreçlerdeki (eğer kurumda uygulama geliştirme yapılıyorsa uygulama geliştirme için de dâhil olmak üzere) kurallar/ilkeler; − BT sistemlerinin güvenlik zafiyet ve sızma testlerine ilişkin kurallar/ilkeler; − BT sistemlerinin kapasite ve performans yönetimi için kurallar/ilkeler. − Verilen servislerde ve BT hizmetlerinde kesinti veya felaket durumlarında uygulanacak (Acil Durumlarda/felaket durumlarında yapılacakların anlatıldığı dokümantasyon) kurallar/ilkeler belirlenmelidir. • Uyum için gerekli süreçler hakkında kurallar/ilkeler belirlenmelidir. Örneğin; − Kurumda uyulması gereken yasa, yönetmelik vb. mevzuat hakkında bilgiler; − Bu mevzuata uyum için denetimler hakkında kurallar/ilkeler (Denetimlerde denetlenen ve denetleyen tarafların farklı olması önemlidir); − Disiplin kuralları (içerisinde bilgi güvenlik ihlalleri de belirtilmelidir); − Varsa üçüncü taraflardan alınan hizmetlerin yönetimi için kurallar/ilkeler belirlenmelidir. • Bilgi güvenlik farkındalığının artırılmasına ve kullanıcıların bilgilendirilmesine yönelik olarak farklı gruplar için belirlenmiş öğrenme hedeflerine göre farklı seviyelerde eğitim materyalleri hazırlanmalıdır. 87 Materyallerde dikkat çekici ve hatırlamayı kolaylaştırıcı öğelerin kullanılması (örneğin görsel öğelerin kullanımı vb.) önerilmektedir. • Etkili bir BGYS’nin ve bilgi güvenlik kültürünün oluşturulması, farkındalık seviyesinin artırılması, standart uygulamaların yaygınlaştırılması ve süreçlerde kişilere bağımlılığın azaltılması için; uygulanacak kurallar/ilkelerin kolay anlaşılır şekilde dokümante edilmesi, duyurulması ve güncel tutulması gerekmektedir. − Kurum bilgi güvenlik politikalarını destekleyecek şekilde, yukarıdaki maddelerde bahsedilen kurallar/ilkeler ve bilgileri içeren dokümanlar hazırlanmalıdır ve duyurulmalıdır. − Kurumun ihtiyaçlarına göre bu hususları içeren tek bir doküman olabileceği gibi birden fazla dokümanda hazırlanabilir. − Önemli olan kişilerin ihtiyaç duyduğu zaman doğru bilgiye mümkün olduğunca hızlı erişebilmesini ve birden fazla doküman hazırlandıysa birbiri ile ilişkilerinin net olarak anlaşılabilmesini sağlamaktır. − Dokümanlar ilgili kişilerin erişimine imkân sağlayacak şekilde yayınlanmalıdır. Ancak BGYS kapsamında hazırlanan her türlü bilginin ve dokümanın, tüm kullanıcılara açık olması doğru değildir. Örneğin BT sistemleri yönetimi ile ilgili hazırlanan bazı dokümanların (örneğin BT sistem topoloji çizimi, BT sistemleri güvenlik konfigürasyonu vb.) yetkisi olmayan kullanılması kişilere erişim imkânı sağlamayacak şekilde ve bu dokümanların gerektiği şekilde korunması gerekmektedir. − Hazırlanacak dokümanların gerektiğinde (güncelleme ihtiyacı olduğunda) ve belirlenecek bir periyot çerçevesinde gözden geçirilip, değişen koşullara uyum sağlayacak şekilde güncellenmesi de en az doküman hazırlanması kadar önemlidir. • Farklı profillerde bilgi güvenliği farkındalık seminerleri düzenlenmeli ve periyodik olarak seminerler tekrarlanmalıdır. Seminerlerin kullanıcı grupları ve ihtiyaçları dikkate alınarak belirlenmesi önemlidir. 88 • BGYS sürekli iyileştirme için kullanılmalıdır. Đlk aşamada her konuda mükemmeliyeti hedeflemek kurulacak BGYS’nin etkinliğini azaltabilir ve kullanıcıların sahiplenmesini engelleyebilir. Bunun yerine aşamalı olarak kontrollerin artırılması kurumda bilgi güvenlik kültürünün oluşması ve kullanıcılardan gerekli desteğin temin edilmesinde faydalı bir yöntem olacaktır. 4.2. Üniversiteler Đçin Önerilen Bilgi Güvenlik Yönetim Sistemi (ÖBGYS) Modelinin Bileşenleri Standart ve kılavuz dokümanları hakkında yapılan detaylı inceleme sonucunda BGYS modelinin temel bileşenlerinin belirlenmesinin modelin anlaşılırlığı ve her bir bileşende uygulanabilecek güvenlik kontrollerinin kategorize edilmesi bakımından faydalı olacağı öngörülmüştür. Bu bölümde modeli oluşturan bileşenler açıklanmıştır. Bilgi güvenliğinin teknik yönünden daha önemli olan, bir sosyal yönü de olduğu unutulmamalıdır. Güvenliğin en önemli zaafının insan davranışı olduğundan yola çıkılarak, insan faktörünün BGYS için son derece önemli olduğunu belirtmek yanlış olmaz. Güvenliğin en zayıf halkasının insan olarak nitelendirilmesi ancak literatürde incelen diğer modellerde insanın temel bir faktör olarak yer almaması nedeniyle, oluşturulacak modelin temelinde insan unsurunun yer almasının faydalı olacağı öngörülmüş ve oluşturulan ÖBGYS modelinin temel noktası insan olarak belirtilmiştir. Đnsanla birlikte güvenliğin sağlanması için bilgi de merkezde konumlandırılmıştır. Çünkü korunması gereken bilgi unsurudur. Bilgi güvenliğinin etkili bir şekilde sağlanabilmesi için; öncelikle kurum içerisindeki kullanıcı grupları ve öğrenme ihtiyaçları, bilgi varlık grupları ve koruma gereksinimleri belirlenerek çalışmalara başlanmalıdır. ÖBGYS bileşenleri içerisinde teknolojinin yanı sıra süreç ve hizmetlerle, fiziksel ve çevresel ortam da dikkate alınmalıdır. ÖBGYS modelinin temel bileşenleri aşağıda belirlenmiştir: 89 • Đnsan ve bilgi (eğitim). • Süreç ve servisler. • Fiziksel ve çevresel ortam/koşullar. • Teknoloji. Yukarıdaki bileşenlerin tamamının bir bütün olarak ele alınması ve kurumda bilgi güvenliğinin sağlanabilmesi için bu bileşenlerin tümünün birbirlerini tamamladığı dikkate alınarak her bir bileşenin gözden geçirilmesi, gerekli güvenlik kontrollerinin tasarlanması ve uygulanması gerekmektedir. Şekil 7’de gösterilen her bir bileşen aşağıda açıklanmıştır: Şekil 7. Önerilen Bilgi Güvenlik Yönetim Sistemi (ÖBGYS)Modeli Bileşenleri Đnsan ve Bilgi: Standart ve Kılavuz dokümanlarında güvenliğin sağlanması için korunması gereken varlıkların temel alınması önerilmektedir. Öte yandan sadece korunacak varlığın temel alınması yerine bununla birlikte güvenliğin en zayıf halkası olarak nitelendirilen insan faktörünün, yani kullanıcı gruplarının belirlenmesi ve çalışmalarda odak noktası olmasının faydalı olacağı öngörülmüştür. Böylelikle Şekil 7’de belirtildiği üzere odak noktası ve diğer model bileşenlerinin kesiştiği alan “Đnsan ve Bilgi “ olarak belirlenmiştir. 90 Đnsan faktörünün güçlendirilmesi farkındalık yaratılması ile mümkün olacaktır. Bu farkındalığın seviyesi ve alanı gruplara göre özelleştirilmelidir. Temel olarak kullanıcıları teknik ve teknik olmayan olarak ikiye ayırmakta fayda bulunmaktadır. Teknik kullanıcılar kurumda BT sistemlerinin yönetimini üstlenen, dolayısıyla bilgi güvenliğinin sağlanabilmesi için kullanılan sistemlerdeki teknik güvenlik kontrollerinin yanı sıra güvenlik tehditleri konusunda da uzmanlaşması gereken grubu temsil etmektedir. Bu gruptaki kullanıcıların sistemin yönetilmesi, geliştirilmesi, denetimi vb. konularda bilgi kazanması hedeflenmelidir. Teknik olmayan grubu ise görevleri gereği bilgiye erişen ve kullanan kullanıcı grubu olarak tanımlayabiliriz. Akademik, idari personel ile öğrenciler bu gruba dâhil olacaktır ve bu grubun bilgi güvenliğinin sağlanabilmesi için uygulanması gereken temel güvenlik kontrolleri ve karşı karşıya oldukları riskler hakkında genel bilgi sahibi olması hedeflenmelidir. Yine teknik olmayan grup içerisinde yer alan ancak, yönetim kademesinde bulunan akademik/idari personelin desteğinin alınması için; yukarıda bahsedilen temel bilgi güvenliği farkındalığının yanı sıra BGYS’nin nasıl oluşturulacağı ve sağlayacağı faydalar hakkında bilgi sahibi olması hedeflenmelidir. Bu grupları ilerleyen aşamada daha da detaylandırmak ve görev tanımları, kullandıkları sistemler ve dâhil oldukları süreçler dikkate alınarak özelleştirilmiş seminerler ile daha detaya inen bilgilendirmenin yapılması da göz önünde bulundurulmalıdır. Aşağıda Şekil 8’de örnek olması amacıyla üniversiteler için belirlenebilecek insan grupları gösterilmiştir. Şekil 8.Đnsan Grupları Örneği 91 Bilginin üretildiği ve paylaşıldığı temel kurumlardan biri olan Üniversitelerde bilgi korunması gereken temel varlıktır. Kurumların kaynakları sınırlıdır, dolayısıyla korunması gereken varlıkların ve bu varlıkların ne seviyede korunacağının belirlenmesi için sistemin oluşturulması aşamasında bilgi gruplarının ve bunların kritikliğinin tespit edilmesi ile işe başlanmalıdır. Üniversitelerde bilgi grupları üst düzeyde aşağıda Şekil 9’da gösterildiği gibi ayrılabilir. Şekil 9. Bilgi Grupları Örneği Süreç ve Hizmetler: Her kurumda süreç ve hizmetlerin mümkün olduğunca kesintisiz ve kaliteli olarak işletilmesi arzu edilir. Şekil 7’de belirtildiği gibi süreç ve hizmetlerin işletilebilmesi için insan ve bilgiye; bu süreç ve hizmetler için fiziksel ve çevresel ortamın sağlanmasına; bu süreç ve hizmetlerin otomasyonu ve hızlandırılması için teknolojiye ihtiyaç duyulmaktadır. Bilgi güvenliğinin sağlanabilmesi için süreç ve hizmetler göz önünde bulundurularak mevcut önlemlerin gözden geçirilmesi ve gerekli 92 ek güvenlik kontrollerinin belirlenmesi gerekmektedir. Örneğin patentinin alınması planlanan bir araştırma projesindeki bilgilerin güvenliğinin sağlanması için bu projede çalışan kişilerin dikkatli olması, kullanılan BT sistemlerinin güvenlik sıkılaştırmalarının yapılması, çalışma yapılan fiziksel alanın güvenliğinin sağlanması gereklidir. Bunların yanı sıra mevcut süreçler içerisinde de güvenlik kontrollerinin yeterliliği sorgulanmalıdır. Örneğin araştırma projesinde daha büyük disk alanı ihtiyacı olduğunu varsayalım. Bilgisayardaki diskin; kapasitesi daha yüksek bir diskle değiştirilmesi için BT ekipman talep/temin süreci başlatılacaktır. Bu süreç içerisinde disk değiştirildiğinde eski diskteki bilgiler yeni diske aktarılmakta ve eski disk formatlanmaktadır. Đçerisinde hassas bilgiler bulunmadığında bu süreç yeterli olarak değerlendirilebilir, ancak patent alımı planlanan bir araştırma verisini içeriyorsa bu verilerin güvenliğinin üst düzeyde sağlanması gerekir. Formatlanmış bile olsa bir diskteki verilerin geri alınması mümkündür. Bunun engellenmesi için ya disk özel olarak güçlü bir manyetik alandan geçirilmelidir (degaussing cihazları), ya özel bir yazılımla üstüne yazılmak sureti ile bilgiler geri alınamaz şekilde silinmelidir ya da imha edilmelidir. Bu senaryo için üniversite süreç ve hizmetlerinde uygun güvenlik kontrolleri yerleştirilmeli; kural olarak BT ekipman/temin sürecinde kritik bilgileri taşıyan bir ekipmanın yeniden kullanılmadan veya hibe edilmeden veya atılmadan önce üzerindeki bilgilerin kalıcı olarak silindiğinden emin olunması gerektiği benimsenmeli ve bunun gerçekleştirilme yöntemi belirlenmelidir. Teknoloji: Bilgi ve iletişim teknolojileri her kurumda olduğu gibi üniversitelerde de yaygın olarak kullanılmaya başlamıştır. Teknolojiye bağımlılık arttıkça; süreç ve hizmetlerde kullanılan bilginin güvenliğinin sağlanabilmesi için teknolojinin doğru kullanımı ve elektronik ortamdaki bilginin güvenliğinin sağlanmasının gerekliliği de artmıştır. Teknolojiyi kullanmaktan beklide daha önemlisi, teknolojiyi doğru bir şekilde ve riskleri de dikkate alarak kullanmak gerekliliğidir. Güvenlik ile operasyonel kolaylık birbirine zıt çalışan iki mekanizmadır. Güvenliği artırmak, operasyonel iş yükünü artırmak, dolayısıyla kullanım kolaylığını azaltmak anlamına gelecektir. Fiziksel güvenliğin hayati görüldüğü havaalanları gibi, girişte sıkı güvenlik kontrollerinin olduğu bir alana giriş ile üniversite kampüsü gibi 93 kamuya açık alanlara girişteki güvenlik kontrolleri arasındaki fark bu dengeyi açık bir şekilde göstermektedir. Genelde tüm donanım ve yazılım üreticilerinin odak noktası kullanım kolaylığını sağlamaktır. Donanım ve yazılımların kurulumlarında da operasyonel kolaylığı sağlayabilmek için yazılımlarda kurulumla birlikte gelen pek çok kullanıcı adı ve şifrenin yanı sıra; bu yazılımın diğer bileşenlerle sorunsuz çalışmasını teminen pek çok gereksiz ayar ve servis de açık bırakılmaktadır. Bu sebeple özellikle kurulumla gelen konfigürasyon ayarları kurumun ihtiyacına göre gözden geçirilmeli ve güvenlik sıkılaştırması yapılmalıdır. Bunlar yapılmadığı durumda kötü niyetli bir kişi tarafından son derece kolay bir şekilde sistemler ele geçirilebilir ve bu sistemlerdeki bilgilere müdahale edilebilir. Đncelenen güvenlik standartları ve kılavuz dokümanları dikkate alındığında teknoloji kullanırken güvenliğin sağlanmasında temel unsurlardan bir diğeri de; güvenliğin dinamik bir kavram olduğu ve güvenliği atlatmaya yönelik yeni tehditlerin ortaya çıkması ile birlikte bunlardan korunma için, güncellemelerin yapılması gerekliliğidir. Bilgi güvenliğini sağlayabilmek için hem insan unsurunun (özellikle sistemleri yöneten teknik personelin) bilgi ve becerisini sürekli güncelleyerek geliştirmesi, hem de kullanılan teknolojideki güncellemelerin sağlanması hedeflenmelidir. Son olarak unutulmalıdır ki, sadece teknolojinin bilgi güvenliğini garanti etmesi mümkün değildir. Bu teknolojiyi kullanan insanların yeterli seviyede destek vermemesi; teknolojiyi kullandığımız süreç ve hizmetlerdeki güvenlik kontrollerinin yeterli seviyede uygulanmaması veya fiziksel güvenliğin sağlanamaması durumunda güvenlik için (kullanılan özel donanım yazılımlar olsa bile) sadece teknoloji kullanımı yetersiz kalacaktır. Fiziksel ve Çevresel Ortam: Fiziksel ve çevresel ortam süreç ve hizmetlerin verilebilmesi, insanların kullanımı ve bilginin depolanmasının yanı sıra kullanılan teknoloji içinde zorunlu bir bileşendir. Bilgi güvenliğinin sağlanabilmesi için, şüphesiz fiziksel ve çevresel ortam güvenliğinin sağlanması gereklidir. Üniversitelerde farklı fiziksel ve çevresel ortamlar bulunmakta, bu ortamlar farklı kullanıcı gruplarına hizmet vermekte, farklı süreç/hizmetler ve teknolojiler için kullanılabilmektedir. 94 Merkezi olarak hizmet veren BT sistemlerinin yer aldığı sistem odası gibi alanlarda fiziksel ve çevresel ortamın uygun olarak tasarlanmış olması gereklidir. Bilgi güvenliğinin üniversiteler için beklide en önemli unsurlarından biri olan bütünlük ve erişilebilirlik unsurunun temin edilmesi için; bu sistemlerin yer aldığı sistem odalarında kesintisiz güç kaynağı, soğutma sistemi, yükseltilmiş döşeme, yangın tespit ve engelleme sistemi, kamera sistemi vb. fiziksel ve çevresel güvenlik kontrolleri kullanılmalıdır. Fiziksel ve çevresel ortam güvenlik kontrolleri belirlenirken bu alanı kullanacak kişiler, bu alanda fiziksel veya elektronik olarak bulunacak bilgi varlıkları, bu alanda bulunacak sistemler ile süreç ve hizmetler dikkate alınmalıdır. Şekil 10’da üniversite fiziksel ve çevresel grupların neler olabileceğine yönelik örnek verilmiştir. Kırmızı renkte gösterilen alanlar (örneğin merkezi sistem odası, bilgisayar laboratuvarı vb.) kullanım amaçları ve içerdikleri varlıklar itibarı ile diğer alanlara nazaran daha fazla fiziksel ve çevresel güvenlik kontrollerine ihtiyaç duyulan alanları ifade etmektedir. Bu alanlara örnek olarak kritik süreç ve hizmetler için kullanılan BT sistemlerinin yer aldığı merkezi sistem odası, bilgisayar laboratuvarı, veri iletişim cihazlarının bulunduğu sistem odası, kritik kayıt ve bilgilerin bulunduğu öğrenci işleri vb. verilebilir. 95 Şekil 10.Fiziksel ve Çevresel Gruplar Örneği 4.3. ÖBGYS Süreç Adımları Uluslar arası standart ve kılavuzlar (COBIT, BS7799, ITIL, ISO/IEC 9001, ISO/IEC 20000) incelendiğinde sistem oluşturulması için genelde 4 aşamalı süreç modelinin önerildiği belirlenmiştir. Aşağıda standart ve kılavuzlarda uygulanması önerilen süreç bilgileri yer almaktadır. ITIL: ITIL dokümanı temelde kurumun servislerine odaklanarak bu servislerin iyileştirilmesine yönelik önerileri içermektedir. ITIL dokümanında BT Güvenliği ile ilgili bir bölümde yer almaktadır. Bu bölümde BT Yönetim Modeli ve süreç akışı aşağıdaki Şekil 11’de görüldüğü gibi belirtilmiştir (ITIL, 2006). 96 (ITIL, 2006) Şekil 11. ITIL Bilgi Güvenlik Modeli ve BT Güvenlik Yönetim Süreci BS7799: BS7799 standardında bilgi güvenlik yönetim sistemi ile ilgili süreç akışı Şekil 12’de belirtilmiştir: Şekil 12.BGYS Süreçlerinde PUKO Modelinin Uygulanması 97 ISO9001: ISO9001 Kalite Yönetim Sistemi Standardında da Şekil 13’deki PUKÖ süreç modeli temel alınmıştır. Benzer bir yaklaşım ISO 20000 içinde geçerlidir. Şekil 13. ISO 9001 Süreç Modeli Tablo 5’de incelenen standart ve kılavuz dokümanlarında belirtilen süreç adımlarının özeti yer almaktadır. Farklı terminolojiler kullanılsa da 4 aşamalı planlama, planları uygulamaya geçirme, uygulama aşamasında sistemi izleyerek süreci idame ettirme ve iyileştirme şeklinde bir süreç işletildiği tespit edilmiştir. Süreç Adımları Tablo 5. Süreç Adımları Karşılaştırması Klasik BT Süreçleri COBIT Süreç Referans Modeli Planlama (Plan) Planlama ve Organizasyon (Plan and Organize) Edinme ve Uygulama (Acquire and Implement) Dağıtım ve Destek (Deliver and Support) Đzleme ve Değerlendirme (Monitor and Evaluate) Geliştirme (Build) Uygulama (Run) Đzleme (Monitör) SÜREÇLER ITIL(BT BS7799 Bilgi Güvenlik Güvenlik Modeli Ve Yönetim Süreci) Sistemi Süreci Politika (Policy) BGYS Risk Analizi Tasarlanması (Risk Analysis) Planlama ve Uygulama (Planning and Implementation) Operasyon (Operation) Değerlendirme ve Denetim (Evaluation and Audit) BGYS Oluşturulması ve Uygulanması BGYS Đzlenmesi ve Gözden Geçirilmesi BGYS’nin Sürdürülmesi ve Đyileştirilmesi ISO 9001 Kalite Yönetim Sistemi Süreci Planla ISO 20000 Servis Yönetim Süreci Uygula Servis Yönetiminin Uygulanması Kontrol Et Đzleme, Ölçme ve Gözden Geçirme Sürekli Đyileştirme Önlem Al Servis Yönetiminin Planlanması 98 Farklı standart ve kılavuz dokümanlarında belirtilen ve Tablo 5’de özetlenen süreçler genelde 4 aşamalı bir döngüyü öngörmektedir. Bu süreçlerin öğretim tasarımı süreçleri ile paralellik gösterdiği söylenebilir. Öğretim tasarımı, öğrenme ve öğretim ilkelerinin; öğretim materyal, etkinlik, bilgi kaynakları ve değerlendirme için kullanılacak tasarımlara dönüştürülmesini sağlayan sistematik ve yansıtıcı süreçtir (Smith and Ragan,1999). Sistematik öğretim tasarımı için önerilen pek çok farklı model bulunmaktadır. Örneğin Dick ve Carey, (1996); Gagné, Briggs ve Wager, (1992); Kemp, Morrison ve Ross, (1998); Smith ve Ragan, (1999). Bu modeller incelendiğinde bu modellerin temel elemanlar olarak analiz, tasarım, geliştirme, uygulama ve değerlendirme gibi ADDIE modelinin parçalarını içerdiği görülmektedir (Hong 2006). ADDIE eğitim bilimleri sözlüğünde “ Herhangi bir alanda yapılacak yenilik ve buluşları sistematize eden beş aşamalı süreç. Buna göre yenilenme süreci sırasıyla; çözümleme, tasarım, geliştirme, uygulama ve değerlendirme aşamalarından oluşur.” olarak tanımlanmaktadır. Şekil 14’de modelin adımları bulunmaktadır. Şekil 14.ADDIE Süreç Modeli 99 ADDIE modeli 5 aşamadan oluşan (Analiz/çözümleme, tasarım, geliştirme, uygulama ve değerlendirme ) sistematik öğretim tasarım modelidir. Sıralı bir şekilde her basamağın çıktısı bir sonraki basamağın girdisi olarak kullanılmaktadır. Aşamalar: • Analiz/çözümleme: Analiz aşamasında tasarımcı öğrenme problemini, amaç ve hedefleri, hedef kitlenin ihtiyaçlarını, mevcut bilgileri ve diğer ilgili özellikleri belirler. Analiz aşamasında ayrıca öğrenme ortamı, sınırlılıklar, süre gibi unsurlarda belirlenir. • Tasarım: Öğrenme hedeflerinin belirlenmesi için sistematik bir süreçtir. Genellikle detaylı prototipler, tasarım, kullanıcı ara yüzü gibi unsurlar belirlenir. Analiz aşamasında belirlenen problemin çözümüne yönelik çalışma yapılır. Gerekli kaynaklar belirlenir. • Geliştirme: Tasarım aşamasında belirlenen içerik ve diğer materyaller hazırlanır. • Uygulama: Plan uygulamaya alınır, hedef kitle ve uygulayıcı için prosedürler oluşturulur. Hazırlanan materyaller uygulamaya alınarak etkinliği izlenir. • Değerlendirme: Uygulamadan edinilen geri beslemelere göre gerekli iyileştirmeler yapılır. Süreç modelinin oluşturulması için literatür incelemesi sonucunda sistem oluşturmada kolaylıkla uyarlanabilecek olan ve standart ile kılavuz dokümanlarında belirtilen dört fazlı süreç ile paralellik gösteren sistematik öğretim tasarım modellerinden 5 aşamadan oluşan ADDIE modeli (Analiz/çözümleme, tasarım, geliştirme, uygulama ve değerlendirme) revize edilerek ÖBGYS modeli oluşturulması için kullanılmıştır. Böylelikle süreç adımları özelleştirilerek her bir süreç adımı içinde ADDIE modelinde geçen temel kavramların uyarlaması yapılmıştır. 100 Şekil 15’de görüldüğü gibi ÖBGYS Modeli, ADDIE modelini baz alarak standartlarda belirtilen BGYS süreç adımlarını da içerecek şekilde revize edilmiştir. ÖBGYS modelinin fazlarında araştırma soruları ve alt adımlar detaylandırılmıştır. ADDIE modelini baz alan ÖBGYS modelinin; BGYS oluşturulmasında teknoloji ve risk tabanlı süreç işletilmesi yerine; bilgi, insan ve öğrenme hedeflerini temel alan bir süreç uygulamasının hayata geçirilmesi için kullanılması hedeflenmiştir. ÖBGYS modelinde her basamak sonrasında bir önceki aşamaların da gözden geçirilerek gerektiğinde güncellemelerin (geribildirimlerin) yapılması söz konusu olacaktır. Şekil 15. ÖBGYS Modeli Süreç Adımları 101 Şekil 15’de belirtilen model önerisi ile ilgili detaylandırma yapılarak, model alt bileşenlerinin her biri için kapsam alanları ve bilgi güvenliği sağlanması için hedefler/iş adımları hazırlanmıştır. Süreç model önerisi ile ilgili olarak yukarıdaki taslak detaylandırılıp her bir öğenin süreç model aşamalarında ne şekilde inceleneceği ve süreç adımlarında gerçekleştirilecek çalışmalar belirlenmiştir. Bu model pilot üniversitelerde yapılan çalışmalarda kullanılmıştır ve uygulama esnasında model üzerinde de revizyonlar yapılmıştır. Model uygulanırken her aşama sonunda önceki aşamalarda gerekli güncelleme işlemleri yapılarak etkinlik ve çalışma hızının artırılması hedeflenmiştir. Aşağıda ÖBGYS’nin her basamağında yapılması gereken çalışmalar ve hedefler detaylandırılmıştır: 1. Analiz Analiz aşamasındaki hedef mevcut durumun tespit edilmesi ve tespit edilen bilgilerden yola çıkılarak yapılacak çalışmaların planlanmasının sağlanmasıdır. Analiz aşamasında tezin araştırma sorularından “Üniversitede bilgi güvenliğine yönelik görüşler nelerdir?” sorusuna yanıt aranmaktadır. Analiz aşaması problem analizi ve ihtiyaç analizi olarak iki temel fazdan oluşmaktadır. • Problem Analizi (Mevcut Durum Tespiti): Üniversitenin organizasyonel yapısı, mevcut süreçleri internet (üniversite web sitesi) ve üniversitedeki canlı kaynaklardan elde edilen bilgiler ile incelenmelidir. Üniversite genelinde uzman görüşleri alınarak hazırlanmış anket uygulanarak, özellikle bilgi güvenliğinin önemi ve bilgi güvenliği sağlanamazsa üniversiteye olası etkileri hakkında görüşler tespit edilmelidir. Sonraki aşamada; standartlar ve kılavuz dokümanları dikkate alınarak, uzman görüşleri ile son haline getirilmiş soru kâğıdı ve görüşme yöntemi kullanılarak mevcut durum analizi yapılmalıdır. Bu işlemler problem analizi olarak da adlandırılabilir. 102 Problem analizi aşamasında aşağıdaki soruların yanıtlarının belirlenmesi hedeflenmelidir: 1. Üniversitede bilgi ve iletişim teknolojilerinin kullanım alanları nedir? 2. Bilgi güvenliğine yönelik yaşanmış/yaşanması muhtemel sorunlar nedir? 3. Bilgi güvenliğinin önemi ve bilgi güvenliği sağlanamazsa etkisi hakkında görüşler nedir? 4. ÖBGYS model uygulama çalışmasında destek olacak kişiler kimdir? 5. Daha önce BGYS oluşturulması için çalışma yapılmış mıdır? Bilgi güvenlik farkındalığına yönelik çalışmalar yapılmış mıdır? Bunların kapsamı nedir? 6. Mevcut durumda BGYS için standartlar ve kılavuz dokümanlarının incelenmesi ile belirlenmiş olan gerekliliklerden (Ek-2 kullanılacaktır) hangileri karşılanmaktadır? 7. Üniversitenin güvenlik açısından karşı karşıya olduğu riskler nedir? Yukarıda belirtilen bilgilerin bir kısmı “EK-1 Yükseköğretimde Bilgi Güvenliği Anketi” kullanılarak edinilmiştir. Đkinci aşamada ise üniversite Bilgi Đşlem Birimi’ndeki personel ve yönlendirilen kişilerle görüşme ile, “EK-2 ÖBGYS Güvenlik Kontrol Listesi” soru kâğıdı ile daha detaya inen bir analiz gerçekleştirilerek diğer bilgilerin edinilmesi hedeflenmiştir. • Đhtiyaç Analizi (Hedef Kitle ve Ortam Analizi): Đhtiyaç analizi; olması gereken durumla mevcut durum arasındaki farkın giderilmesine yönelik yapılması gereken çalışmalar için, ihtiyaçların belirlenmesi aşamasıdır. Unutulmamalıdır ki bir anda tüm yapının kurgulanması ve hayata geçirilmesi gerçekçi bir hedef olmayacaktır. Bu sebeple ihtiyaç analizi aşamasında, gerekliliklerden üniversite için uygun ve öncelikli olanların planlanması ve hayat geçirilmesi söz konusu olmalıdır. Đhtiyaç analizi olarak adlandırılan bu fazda, ÖBGYS modelinin temel bileşenlerinin (insan ve bilgi, süreç ve servisler, fiziksel ve çevresel ortam/koşullar, teknoloji) analizi yapılarak bunların birbirleri ile ilişkileri ve ÖBGYS için gereklilikler belirlenmelidir. 103 Klasik yaklaşımlardan farklı olarak teknoloji sistemlerini temel alan bir yaklaşım yerine, insan unsurunu temel alan bir yaklaşım uygulanmalıdır. Çalışmada öğrenme grupları ve her bir grup için öğrenme hedefleri belirlenmelidir. Yine bu aşamada, ihtiyaç analizi bölümünde risk analizi gözden geçirilip, amaç hedefler ve iş adımları dokümante edilmelidir. Đhtiyaç analizi aşamasında aşağıdaki soruların yanıtlarının belirlenmesi hedeflenmelidir: 1. Üniversite için çalışmadaki hedefler nelerdir? 2. Çalışma için çalışma grubunda kimler yer alacaktır? Çalışma takvimi nasıl olmalıdır? 3. Üniversitede kullanıcı grupları ve bilgi grupları nelerdir? 4. Verilen servisler ve temel süreçler hangileridir? 5. Fiziksel alan grupları nelerdir? Bu alanları hangi kullanıcı grupları kullanmaktadır? Bilgi güvenliği açısından özel olarak korunması gereken alanlar var mıdır? Bunlar nerelerdir? Bu alanlarda mevcut ve gerekli çevresel koşullar nelerdir? 6. Hangi Teknolojiler kullanılmaktadır? Merkezi olarak hizmet veren kritik BT sistemleri hangileridir? Kullanıldıkları süreç ve servisler dikkate alındığında kritiklik sıralaması ne olmalıdır? 7. Kullanıcı grupları için, diğer ÖBGYS bileşenleri de dikkate alındığında bilgi güvenliğine yönelik öğrenme hedefleri ne olmalıdır? 8. Risklerin ve etkilerinin belirlenmesi için hangi strateji kullanılmalıdır? Riskler nelerdir? Bu fazda yapılacak çalışmada Tablo 6’ya benzer bir tablo ile ÖBGYS bileşenleri arasındaki ilişkiler daha anlaşılır olarak ortaya konulabilir. 104 Tablo 6. Örnek ÖBGYS Bileşen Đlişkiler Tablosu Đdari ve Destek Süreçleri Araştırma ve Geliştirme (bilgi üretme) Süreçleri Eğitim ve Öğretim Süreçleri Ana Süreç Alanı Adı Hizmetler/Servisler Süreç Đnsan Grubu Teknoloji (Yazılım ve Donanım) Süreçle Đlgili Bilgi Varlığı Süreç Bilgi Güvenlik Kontrolleri Akademik programlar (eğitim ve öğretim; sınav ve değerlendirme) Bilgisayar laboratuarları; Web sitesi; Akademik değerlendirme sistemi; Öğrenci işleri yönetim sistemi; Teknik destek hizmeti; internet hizmeti; kablosuz internet hizmeti; e-posta; ftp; sms bilgilendirme hizmeti; Akademik/ Đdari/ Teknik personel , Öğrenci Öğrenci işleri yönetim sistemi (1 uygulama, 1 veritabanı sunucusu, SQL veritabanı); e-posta (1 exchange sunucu, 2 DC, 1 içerik filtreleme yazılımı); teknik destek uygulaması (1 uygulama ve veritabanı sunucusu); Antivirüs uygulaması; sms sunucusu; 40 Mb internet çıkışı; Kablosuz internet (10 erişim noktası, 1 yönetim sunucusu); Projeksiyon cihazı; Video konferans sistemi; Tepegöz; personele tahsis edilen bilgisayar vb. donanımlar ve yazılımlar, paket programlar (word, excel, powerpoint) Eğitim öğretim materyalleri; Öğrenci işleri veritabanı; Ders web sayfaları; Kayıtlar (Öğrenci sınav ve değerlendirme kâğıtları); e-posta veritabanı; Yedekleme kartuşları (eposta, öğrenci işleri veritabanı vb.) 1.Süreç veya alt süreçler için bilgi varlıkları ve süreci doğrudan etkileyen BT sistemleri için envanterin oluşturulması 2.Öğrenci işleri yönetim sistemi uygulamasında kullanıcı adı şifre (minimum 6 karakter, harf ve sayısal karışımı, 60 günde bir değiştirilmeye zorlanacak) 3.Öğrenci işleri yönetim sisteminde güvenlik sıkılaştırmasının yapılması 4.Süreçteki yasal gereksinimler gereği saklanması gereken kayıtların güvenliğinin sağlanması 5.Sınav sorularının sınav öncesinde güvenliğinin sağlanması 6.Öğrenci Đşleri Yönetim Sistemi veritabanının yedeğinin alınması 7.Kullanıcıların BT sistemleri kullanım kuralları (bilgisayar laboratuarı, internet, e-posta, zararlı kodlardan korunma, temel bilgisayar güvenliği vb.) konusunda bilgilendirilmesi 8.BT Sorun bildirme uygulaması kayıtlarının analiz edilmesi 9. Merkezi sistem odası kontrolleri (ısı, ups, jeneratör vb.) .... Araştırma ve geliştirme projeleri; Akademik yayınlar Akademik/ Teknik personel Öğrenci Kütüphane bilgi sistemi veritabanı; Makale bilgi sistemi veritabanı; Devam eden araştırma bilgileri; BT sisteminde tutulan araştırma verileri; Dergiler ve akademik yayınlar; 1, 2, 3, 4, 5, 6, 7, 8, 9 10. Patent başvuru belgelerinin saklanması 11. Askeri projelerde proje verileri için BT sistemlerinde şifreleme yazılımı kullanılarak saklanması 12. Araştırma verilerinin , ve veritabanlarının düzenli yedeklenmesi 13. Kritik araştırma verisi içeren medya bozulduysa, yetersizse geri alınamayacak şekilde silinmesi/imhası Personel özlük dosyaları Öğrenci dosyaları Soruşturma dosyaları Yazışmalar ve kayıtlar 1, 2, 6, 8, ...... Laboratuarlar Web sitesi personele tahsis edilen bilgisayar vb. donanımlar ve yazılımlar internet hizmeti e-posta Personel Đşleri ile ilgili hizmetler Öğrenci Đşleri Yazışmalar ...... ..... …... Araştırma projeleri web sunucusu Makale bilgi sistemi Kütüphane Bilgi Sistemi (2 uygulama, 1 veritabanı sunucusu) Araştırma verileri dosya sunucusu antivirüs uygulaması, unix işletim sistemi, oracle veritabanı, spss paket programlar (word, excel, powerpoint) Web sitesi 50 Mb internet çıkışı …... ..... 105 2. Dizayn/Tasarım Dizayn aşamasında analiz aşamasında edinilen veriler ışığında strateji ve politikalar belirlenmeli, ÖBGYS için içerik araştırması ve hazırlığı yapılmalıdır. • Strateji Politika Belirleme: Bu fazda ÖBGYS’nin kapsamı belirlenerek bu kapsam içerisinde, uygulama stratejisi ve hedefleri destekleyici üst düzeyde ilkeler belirlenmelidir. Kullanıcı grupları için eğitim gereksinimleri, ÖBGYS model bileşenleri dikkate alınarak iyileştirme gereksinimleri ve bunların nasıl hayata geçirileceği belirlenmelidir. ÖBGYS modelinin benimsenmesi ve uygulanması için organizasyonel yapılanma çerçevesinde, sorumlulukların neler olması gerektiği tespit edilmelidir. Standart ve kılavuz dokümanlarında belirtildiği gibi; kurulacak ÖBGYS’nin işler tutulması, benimsenmesi ve sürekli iyileştirilmesi için üst düzeyde bir komite oluşturulmalı ve bu sorumluluk üniversitede tek bir bölüme verilmemelidir. Oluşturulacak bu komitede hangi birimlerin yer alacağı ve komitenin sekretarya görevini hangi birimin üstleneceği belirlenmelidir. Üniversitenin bilgi güvenliğine yönelik üst düzeyde kapsayıcı kural/ilkelerini içerecek olan, bilgi güvenlik politika dokümanının içerik başlıklarının hazırlanması sağlanmalıdır. Çalışmalar esnasında etkileşim ve geri bildirimler için yöntem gözden geçirilmelidir. Strateji politika belirleme aşamasında aşağıdaki soruların yanıtlarının belirlenmesi hedeflenmelidir: 1. Analiz aşamasında belirlenen eğitim gereksinimlerini karşılamak için hangi çalışmalar yapılmalıdır? Gerekli kaynaklar nelerdir? 2. Đyileştirme gereksinimleri nelerdir? Bunlar en anlaşılır şekilde nasıl gruplanmalıdır? 3. Mevcut durum tespitinde kullanılan standart ve kılavuz dokümanları dikkate alınarak hazırlanmış gerekliliklerden, hangileri üniversite için önceliklidir ve uygulanabilir? Bunlar nasıl dokümante edilebilir? 4. Oluşturulacak sistem için yönetimin organizasyonu nasıl olmalıdır? Kullanıcı gruplarının bilgi güvenliğine yönelik görev ve sorumlulukları nelerdir? 106 5. ÖBGYS için üst düzeydeki politika dokümanında yer alması gereken konu başlıkları nelerdir? Bu konu başlıkları içinde hangi bilgiler yer almalıdır? ÖBGYS için politikayı tamamlayıcı diğer doküman grupları ne olmalıdır? • Đçerik araştırması ve hazırlığı: Bu fazda strateji politika belirleme aşamasında tespit edilmiş olan konular için ve kullanıcı gruplarına verilecek seminer için hedefleri karşılayacak içeriğin belirlenmesi ve bu içeriğin en iyi şekilde sunulması için kaynak araştırması yapılmalıdır. Kullanıcı grupları için öğretim etkinliklerinin ayrıntılandırılması (ortam, süre, medya seçimi vb.) yapılmalıdır. Politika dokümanı içeriği yanı sıra politikayı destekleyecek kontroller için araştırma yapılarak, bilgiler ilişkilendirilerek kolay anlaşılır gruplar haline getirilmelidir. Đçerik araştırması ve hazırlığı aşamasında aşağıdaki soruların yanıtlarının belirlenmesi hedeflenmelidir: 1. Kullanıcı grupları için öğrenme hedeflerini destekleyecek içerik nedir ve nasıl sunulacaktır? 2. ÖBGYS dokümantasyonu için (politika ve tamamlayıcı diğer dokümanlar) içerik nedir ve nasıl sunulacaktır? 3. Geliştirme Geliştirme aşamasında; analiz ve tasarım aşamalarındaki veriler doğrultusunda çalışmalar iki fazda gerçekleştirilmelidir. Ek-3 de bu faz için hazırlanabilecek örnek dokümanlar bulunmaktadır. • Tasarımı Gerçekleştirme : Bu fazda politika dokümanı hazırlanmalıdır. Politika üst düzeyde kapsayıcı ve ÖBGYS nin çatısı olarak adlandırılabilecek bir dokümandır. Bu doküman tüm kullanıcılar için gerektiğinde yol gösterici olması amacıyla hazırlanmalıdır. Dokümanda ÖBGYS’nin kapsamı, kullanıcıların, birimlerin ve oluşturulmuş bir bilgi güvenlik komitesi varsa bu komitenin sorumlulukları belirtilmelidir. Politika dokümanında varsa 107 mevcut diğer dokümanlara veya kurgulanan diğer dokümanlara atıflar yapılabilir. Politika dokümanındaki cümleler anlaşılır, basit ve soruya mahal bırakmayacak şekilde belirtilmelidir. Bir sonraki adımda politika ile uyumlu, ihtiyaç analizi ile tespit edilen ve tasarım fazında içeriği, kapsamı, öncelikleri belirlenen güvenlik kontrollerini içeren diğer dokümanlar, kullanıcı grupları ve öğrenme hedefleri de dikkate alınarak hazırlanmalıdır. BT sistemleri için standartlar ve güvenlik kontrol listeleri hazırlanmalıdır. Bu kontrol listeleri hazırlanırken eğer sistemlerde kritik bir güvenlik açığı tespit edilirse giderilmesi de sağlanmalıdır. Tasarımı gerçekleştirme aşamasında aşağıdaki soruların yanıtlarının belirlenmesi hedeflenmelidir: 1. Kullanıcı grupları ve öğrenme hedefleri de dikkate alındığında, politika ile uyumlu, ihtiyaç analizi ile tespit edilen ve tasarım fazında içeriği, kapsamı, öncelikleri belirlenen güvenlik kontrollerinin gruplandırılması uygun mudur? 2. Bu gruplandırma için doküman başlıkları neler olmalıdır? Đçeriği ne olmalıdır? 3. Önceliklendirilmiş güvenlik kontrollerinden, kritik ve uygulanabilir olanlar hangileridir? Bunlar sistemlere ne şekilde uygulanabilir? • Eğitim Materyallerinin Üretimi: ÖBGYS’nin oluşturulması için dokümantasyon hazırlığı ile birlikte kullanıcı grupları öğrenme hedefleri için verilecek seminerler hazırlanmalı ve bu seminerlerin planlaması yapılmalıdır. Semineri destekleyici materyal hazırlanması da (afiş, bilgi notu vb.) bu fazda gerçekleştirilmelidir. Eğitim materyallerinin üretimi aşamasında aşağıdaki soruların yanıtlarının belirlenmesi hedeflenmelidir: 1. Sistem kurulumunda temel olacak hazırlanmış dokümanların kullanıcı gruplarındaki öğrenme hedeflerini destekleyecek şekilde seminerlerde içerik nasıl olmalıdır? 108 2. Bu içerik nasıl sunulmalıdır? 3. Seminerle aktarılacak bilgileri destekleyecek materyaller hangileridir? Đçeriği nedir? 4. Seminer süresi ne olmalıdır? Katılımcılar kimlerden oluşmalıdır? 4. Uygulama Uygulama aşamasında geliştirme aşamasında yapılan hazırlıklar hayata geçirilmelidir. Bu aşamanın temel adımları aşağıdaki şekilde olmalıdır: • Sistem ve süreçlerin devreye alınması: − Đçeriğin gözden geçirilmesi. − Đçerikle ilgili onayların alınması. − Teknoloji yönetimi ile ilgili süreçlerin uygulanması (ilgili dokümanların yayınlanması ve duyurusunun yapılması). − Seminerlerin verilmesi. − Uygulama aşamalarının değerlendirilmesi. 5. Değerlendirme Son aşama olan değerlendirme aşamasında tüm yapılan işlemlerin gözden geçirilmesi için aşağıdaki adımlar gerçekleştirilmelidir: • Mevcut durum tespiti (analiz aşamasındaki süreç tekrar işletilerek bulgular tespit edilmelidir.) • Toplam değerlendirme: − Analizi aşamasındaki bulgular ile değerlendirme aşamasındaki mevcut durumun karşılaştırılması, − Tüm sürecin gözden geçirilmesi, − Sürekli iyileştirmenin sağlanması için bakım planları ve gerekliliklerin dokümante edilmesi ve güncellenmesi sağlanmalıdır. Değerlendirme aşamasında aşağıdaki hedeflenmelidir: soruların yanıtlarının belirlenmesi 109 1. Analiz aşamasındaki mevcut durum ile sürecin işletilmesinden sonraki mevcut durum arasındaki farklar nelerdir? 2. Süreç ve destekleyici dokümanlarda iyileştirme gereken hususlar var mıdır? Bunlar ne şekilde düzeltilmelidir? 3. Sürekli iyileştirme için ne yapılmalıdır? 4.4. Üniversitede Bilgi Güvenliğine Yönelik Görüşler Gazi Üniversitesi, Ankara Üniversitesi ve TOBB Ekonomi ve Teknoloji Üniversitesi’nde gerçekleştirilen ankete ilişkin analizler aşağıda sunulmuştur. Tablo 7’de görüldüğü gibi araştırmaya katılan kişilerin %59,2’si akademik personel, %34’ü öğrenci, %5,2’si idari personel ve %1,7’si ise BT sistemlerinin yönetiminden sorumlu teknik personeldir. Üniversitelerde BT sistemlerinin yönetiminden sorumlu personel sayısının son derece az olması neticesinde araştırmaya katılan kişiler içerisinde de yüzdesinin az olması söz konusudur. Tablo 7. Araştırmaya Katılanların Kullanıcı Grubuna Göre Frekans ve Yüzde Dağılımları F Kullanıcı Grubu Akademik Personel Đdari Personel Teknik Personel Öğrenci TOPLAM % 251 59,2 22 5,2 7 1,7 144 34,0 424 100,0 Tablo 8’de görüldüğü üzere araştırmaya, Gazi Üniversitesi’nden 243 kişi, Ankara Üniversitesi’nden 61 kişi, TOBB Ekonomi ve Teknoloji Üniversitesi’nden 120 kişi olmak üzere toplam 424 kişi katılmıştır. 110 Tablo 8. Araştırmaya Katılanların Üniversite ve Kullanıcı Grubuna Göre Dağılımı KULLANICI GRUBU Gazi Üniversitesi N Akademik Personel 184 Ankara Üniversitesi N 41 4 TOBB Ekonomi ve N 26 N 251 Toplam Đdari Personel 5 Teknik Personel 2 Öğrenci 52 243 2 14 61 13 3 78 120 22 7 144 424 Teknoloji Üniversitesi Genel Toplam 4.4.1. BT Sistemlerinin Kullanım Amaçlarına Yönelik Görüşler Anketin ilk kısmında, üniversitede BT sistemlerinin hangi amaçlarla kullanıldığına ilişkin sorulara verilen yanıtların frekans dağılımları, aritmetik ortalama ve standart sapmaları aşağıdaki Tablo 9’da görülmektedir. 206 4,33 0,825 424 14 19 32 136 223 4,26 1,006 Kütüphane Hizmetleri 424 9 15 21 191 188 4,26 0,872 Tanınırlık 424 8 24 43 165 184 4,16 0,953 Đletişim 424 8 17 45 191 163 4,14 0,896 Müfredat Yönetimi 424 9 30 41 176 168 4,09 0,980 Akademik Kalite 424 11 40 64 165 144 3,92 1,048 Sürekli Eğitim 424 13 58 81 166 106 3,69 1,083 Finansal Đşlemler 424 22 46 95 157 104 3,65 1,118 Đdari Đşlemler 424 40 42 78 169 95 3,56 1,209 Sorumluluk Yerine Getirme 424 21 57 106 155 85 3,53 1,104 Sağlık Hizmetleri 424 52 81 95 133 63 3,17 1,250 Fiziksel Güvenlik 424 43 86 153 95 47 3,04 1,130 Araştırma SS 177 Aritmetik Ortalama 22 Kesinlikle Katılıyorum 13 N 424 Katılıyorum Katılmıyoru m 6 Madde Öğrenci Đşleri Kararsızım Kesinlikle Katılmıyorum Tablo 9. BT Sistemlerinin Kullanım Amaçlarına Yönelik Görüşlerin Frekans Dağılımları, Aritmetik Ortalama ve Standart Sapmaları 111 Tablo 9’a göre araştırmaya katılanlar BT sistemlerinin üniversitenin hemen hemen tüm süreçlerinde kullanıldığını düşünmektedir. Ankette olumsuz (kesinlikle katılmıyorum ve katılmıyorum) seçeneklerinin üniversiteler genelinde kullanılmaması bunu doğrulamaktadır. Bunun dışında kararsızım olarak nitelendirilen (tabloda taralı alan) seçeneğin “fiziksel güvenliğin sağlanması” ve “sağlık hizmetlerinde” bulunması, sağlık sektöründe BT sistemlerine geçişin görece yeni olması nedeniyle, doğal kabul edilebilir. BT sistemlerinin üniversitelerde kullanım alanları ile ilgili “kesinlikle katılıyorum” ölçeğinde kalan hizmetler, sırasıyla “öğrenci işleri”, “araştırma” ve “kütüphane hizmetleri”’ dir. Bilimin odağı olan üniversitelerde özellikle araştırma ve kütüphane hizmetlerinde BT sistemlerinin yaygın olarak kullanılması bilgiye ulaşma ve işleme kabiliyetini artırmaktadır. Bulgular değerlendirildiğinde, araştırmadaki katılımcıların görüşünün incelenmesi neticesinde; BT sistemlerinin hemen her alanda üniversite süreçlerinde kullanıldığı tespit edilmiştir. Süreçlerde BT sistemlerine bağımlılığın artması ile birlikte kesintisiz hizmet verebilmek için BT sistemlerinin de kesintisiz bir şekilde işletilmesi ihtiyacı da artmaktadır. Bu ise BT sistemlerinde yedekli bir yapının oluşturulması ve BT sistemlerine daha fazla yatırım yapılması gerekliliğini beraberinde getirecektir. BT kullanımı farklı üniversitelerde farklı şekillerde olabilir. Genelde öğrenci işlerinin ve kütüphane hizmetlerinin, BT vasıtasıyla temin edilmesi yönünde bir eğilim olsa da farklılıkları görebilmek için aşağıda Tablo 10’da BT kullanımı ile ilgili soruların üniversiteler için ayrı ayrı değerlendirmeleri de yapılmıştır. 112 Ankara Üniversitesi TOBB Ekonomi ve Teknoloji Üniversitesi Gazi Üniversitesi Aritmetik Ortalama SS Kesinlikle Katılıyorum Katılıyorum N 243 Kararsızım Madde Öğrenci Đşleri Katılmıyorum Üniversite Adı Kesinlikle Katılmıyorum Tablo 10. BT Sistemlerinin Kullanım Amaçlarına Yönelik Görüşlerin Üniversite Bazında Frekans Dağılımları, Aritmetik Ortalama ve Standart Sapmaları 5 8 10 91 129 4,36 0,872 Araştırma Kütüphane Hizmetleri Tanınırlık Đletişim Müfredat Yönetimi Akademik Kalite Finansal Đşlemler Sürekli Eğitim Đdari Đşlemler Sorumluluk Yerine Getirme Sağlık Hizmetleri Fiziksel Güvenlik Kütüphane Hizmetleri 243 243 243 243 243 243 243 243 243 243 243 243 120 5 5 5 3 7 4 9 4 20 12 20 18 3 9 8 9 11 17 22 17 33 29 37 33 50 1 19 13 21 25 15 35 33 43 39 62 52 86 2 73 111 95 108 106 92 105 98 97 87 96 63 57 137 106 113 96 98 90 79 65 58 45 42 26 57 4,35 4,26 4,24 4,16 4,12 4 3,94 3,77 3,59 3,48 3,44 3,12 4,37 0,925 0,863 0,911 0,875 0,997 1,014 1,037 1,043 1,207 1,107 1,168 1,086 0,788 Öğrenci Đşleri Đletişim Araştırma Tanınırlık Müfredat Yönetimi Akademik Kalite Sorumluluk Yerine Getirme Đdari Đşlemler Sürekli Eğitim Finansal Đşlemler Fiziksel Güvenlik Sağlık Hizmetleri Araştırma 120 120 120 120 120 120 120 120 120 120 120 120 61 0 2 7 2 2 7 5 11 7 11 19 23 2 2 3 7 9 7 10 9 7 14 16 22 36 3 7 15 7 13 18 23 27 28 29 49 46 33 6 56 58 44 49 46 46 49 50 45 32 21 18 19 55 42 55 47 47 34 30 24 25 12 12 10 31 4,37 4,13 4,11 4,08 4,08 3,75 3,75 3,58 3,56 3,15 2,88 2,63 4,21 0,673 0,846 1,129 0,975 0,963 1,132 1,047 1,15 1,121 1,074 1,178 1,195 1,035 Öğrenci Đşleri Đletişim Kütüphane Hizmetleri Müfredat Yönetimi Tanınırlık Akademik Kalite Sürekli Eğitim Finansal Đşlemler Đdari Đşlemler Sorumluluk Yerine Getirme Sağlık Hizmetleri Fiziksel Güvenlik 61 61 61 61 61 61 61 61 61 61 61 61 1 3 1 0 1 0 2 2 9 4 9 6 3 3 6 6 6 8 11 13 6 11 12 14 5 5 6 8 9 6 9 13 11 17 10 21 30 25 23 24 21 27 23 20 22 19 19 11 22 25 25 23 24 20 16 13 13 10 11 9 4,13 4,08 4,07 4,05 4 3,97 3,66 3,48 3,39 3,33 3,18 3,05 0,885 1,069 1,031 0,956 1,049 0,983 1,153 1,149 1,333 1,151 1,348 1,189 113 Tablo 10’da üniversite bazında katılımcılarının yanıtları ve bu yanıtların aritmetik ortalama ve standart sapmaları değerlendirildiğinde, her üç üniversitede de BT sistemlerinin kullanım alanı ile ilgili olumsuz bir görüş bulunmamaktadır. “Kararsızım” ölçeğinde bulunan seçeneğin, Gazi Üniversitesi’nde “fiziksel güvenlik”, Ankara Üniversitesi’nde “fiziksel güvenlik, sağlık hizmetleri, sorumlulukların yerine getirilmesi ve idari işlemler”, TOBB Ekonomi ve Teknoloji Üniversitesi’nde ise “sağlık hizmetleri, fiziksel güvenlik, idari işlemler” olduğu görünmektedir. 4.4.2. Bilgi Güvenliğine Yönelik Sorunlar Hakkında Görüşler Araştırmada üniversitede bilgi güvenliğine yönelik sorunlar/riskler hakkında katılımcıların görüşleri alınmıştır ve bu bölümle ilgili sorulara verilen yanıtların frekans dağılımları, aritmetik ortalama ve standart sapmaları Tablo 11’de görülmektedir. Kesinlikle Katılıyorum Aritmetik Ortalama SS 18 30 212 164 4,23 0,758 4 26 46 151 197 4,21 0,929 6 30 43 162 183 4,15 0,961 34 44 211 135 4,05 0,861 4 37 57 188 138 3,99 0,946 424 8 42 71 149 154 3,94 1,047 Kritik Bilgi Kaybı 424 7 43 69 166 139 3,91 1,020 Şifrenin Başkası Tarafından Edinilmesi Kritik Bilginin Đfşası 424 9 47 60 180 128 3,88 1,032 424 7 48 84 150 135 3,84 1,047 Kritik Bilginin Çalınması 424 8 45 86 158 127 3,83 1,034 Kritik Bilginin Yetkisiz Değiştirilmesi Lisanssız Yazılım Kullanılması 424 9 51 96 142 126 3,77 1,070 424 24 65 75 138 122 3,63 1,207 Hırsızlık 424 24 66 85 157 92 3,54 1,156 Saldırı/Sabotaj 424 24 81 101 134 84 3,41 1,167 Yangın Su Baskını vb. 424 28 83 95 146 72 3,36 1,166 Madde BT Sistemlerinde Kesinti N 424 Đstem Dışı Spam E-posta 424 Zararlı Kod (Virüs, worm vb.) 424 Süreç ve Hizmette Aksama 424 BT Bilişim Saldırı 424 Sosyal Mühendislik Kararsızım Katılıyorum Katılmıyorum Kesinlikle Katılmıyorum Tablo 11. Bilgi Güvenliğine Yönelik Sorunlar Hakkında Görüşlerin Frekans Dağılımları, Aritmetik Ortalama ve Standart Sapmaları 114 Tablo 11’e göre araştırmaya katılanlar içerisinde; ankette yer alan bilgi güvenliğine yönelik risklerin hiçbirinde, aritmetik ortalamalara göre olumsuz görüş (12,60 arası değer) çıkmamıştır. Bu ise, üniversitelerde ankette yer alan risklerin uygun olarak belirlendiği ve diğer üniversitelerin de bilgi güvenliğine yönelik yapacakları çalışmalarda bu riskleri dikkate almalarının faydalı olacağını göstermektedir. Seçeneklerden sadece “yangın, su baskını” riski ortalaması “kararsızım” ölçeğinde yer almaktadır. Üniversitede yangın, su baskını gibi bir olay yaşanması ve bu riskin, bilgilerin basılı veya elektronik ortamda saklandığı bir alanda meydana gelmesi ihtimalinin ilk aşamada öngörülemediği için ortalamanın düşük çıktığı düşünülmektedir. Araştırmaya katılan kişiler en fazla “BT sistemlerinde kesinti olması”, ikinci sırada “istem dışı e-posta gelmesi”, üçüncü sırada ise “sistemlere zararlı kod bulaşması” sorunlarıyla karşılaşılabildiğini göstermektedir. Dikkat çekici bir diğer nokta ülkemizde son yıllarda özellikle bankacılık sektöründe “oltalama saldırıları” ile adını duyuran; kişilerden hassas bilgilerin, kötü niyetli kişiler tarafından ele geçirilmesi (sosyal mühendislik) riskine verilen yanıtların ortalamasının 3,94 ile “katılıyorum” ölçeğinde olmasıdır. Bu durum bilgi güvenliği konusunda, özellikle son yıllarda popüler hale gelen bu saldırı tekniğinin, üniversitelerde farkındalığının yüksek olması anlamında çok pozitif bir bulgudur. Maddelere verilen yanıtların kullanıcı grubuna göre farklılaşıp farklılaşmadığına yönelik yapılan incelemede (farkın hangi gruplarda olduğu için varyanslar eşitse Tukey, varyanslar eşit değilse Dunnett C testi yapılmıştır) akademik personel ile öğrenci grubu arasında her bir maddeye verilen yanıtların ortalamalarının karşılaştırılması sonucunda (0.05 seviyesinde) anlamlı bir fark tespit edilmiştir. Farkın hangi gruplar arasında olduğunun tespitine yönelik yapılan analiz, aşağıdaki Tablo 12’de bulunmaktadır. 115 Tablo 12. Bilgi Güvenliğe Yönelik Sorunlar Hakkında Görüşlerin Kullanıcı Gruplarına Göre Karşılaştırma Sonuçları Madde BT Bilişim Saldırı (I) Kullanıcı Grubu Akademik BT Sistemlerinde Kesinti Akademik Süreç ve Hizmette Aksama Akademik Şifrenin Başkası Tarafından Edinilmesi Akademik Lisanssız Yazılım Kullanılması Akademik Zararlı Kod (Virüs, worm vb.) Akademik Đstem Dışı Spam E-posta Akademik Sosyal Mühendislik Akademik Kritik Bilginin Đfşası Akademik Kritik Bilginin Yetkisiz Değiştirilmesi Akademik Kritik Bilginin Çalınması Akademik Kritik Bilgi Kaybı Akademik Yangın Su Baskını vb. Akademik Hırsızlık Akademik Saldırı/Sabotaj Akademik *. Fark 0.05 seviyesinde önemlidir. (J) Kullanıcı Grubu Đdari Teknik Öğrenci Đdari Teknik Öğrenci Đdari Teknik Öğrenci Đdari Teknik Öğrenci Đdari Teknik Öğrenci Đdari Teknik Öğrenci Đdari Teknik Öğrenci Đdari Teknik Öğrenci Đdari Teknik Öğrenci Đdari Teknik Öğrenci Đdari Teknik Öğrenci Đdari Teknik Öğrenci Đdari Teknik Öğrenci Đdari Teknik Öğrenci Đdari Teknik Öğrenci Ortalama Farkı (I-J) 0,482 0,020 0,441* 0,228 0,033 0,222* 0,320 -0,102 0,336* 0,508 0,437 0,293* 0,968* 0,968 0,788* 0,610* 0,525 0,577* 0,597* 0,792 0,756* 0,440 0,596 0,570* 0,561 0,587 0,391* 0,519 0,928 0,352* 0,686* 0,718 0,379* 0,246 0,635 0,376* 0,198 0,133 0,569* 0,247 0,507 0,696* 0,266 0,487 0,588* Standart Hata 0,206 0,354 0,097 0,168 0,289 0,079 0,189 0,325 0,089 0,234 0,374 0,111 0,255 0,493 0,125 0,169 0,511 0,103 0,166 0,362 0,100 0,185 0,373 0,116 0,234 0,433 0,111 0,243 0,441 0,113 0,221 0,425 0,110 0,224 0,385 0,105 0,253 0,437 0,119 0,235 0,478 0,122 0,253 0,436 0,119 Önem Denetimi 0,090 1,000 0,000 0,525 0,999 0,026 0,328 0,989 0,001 0,691 0,353 0,002 0,863 0,990 0,000 0,720 0,680 0,000 116 Maddelerden Tablo 12’de görüldüğü gibi varyansları eşit olanlarda Tukey testi sonucunda, varyansları eşit olmayanlarda ise Dunnett C testi sonucunda, tüm maddelerde akademik personel ile öğrencilerin yanıtları arasında (0.05 seviyesinde) anlamlı bir farklılık bulunmaktadır. Akademik personelin bilgi güvenliğine yönelik riskler konusunda daha yüksek farkındalıkda olduğu söylenebilir. Benzer şekilde “lisanssız yazılım kullanımı, zararlı kod, istem dışı spam e-posta, kritik bilgilerin çalınması” maddelerinde akademik personel grubu ile idari personel grubunun ortalamaları arasında anlamlı bir fark bulunmuştur. Burada da akademik personelin bu maddelerde belirtilen risklerin daha farkında olduğu şeklinde yorumlanabilir. 4.4.3. Bilgi Güvenliğine Yönelik Sorunların Olası Kaynakları Hakkında Görüşler Araştırmada üniversitede bilgi güvenliğine yönelik sorunların/risklerin neden kaynaklanabileceği konusunda katılımcıların görüşleri alınmıştır ve bu bölümle ilgili sorulara verilen yanıtların frekans dağılımları, aritmetik ortalama ve standart sapmaları Tablo 13’de görülmektedir. Tablo 13’e göre maddelere verilen yanıtların ortalamaları dikkate alındığında, araştırmaya katılanlar içerisinde; belirtilen bilgi güvenliğine yönelik risklerin kaynakları maddelerinin tamamına katılım sağlandığı görülmektedir. 117 Kesinlikle Katılıyorum Aritmetik Ortalama SS 1 17 29 216 161 4,22 0,762 424 3 16 52 213 140 4,11 0,810 Kullanıcı Hataları 424 11 15 39 225 134 4,08 0,883 Güvenlik Stratejisinin Bilinmemesi 424 4 23 62 198 137 4,04 0,878 Đnternetin Güvenli Varsayılması 424 9 22 55 203 135 4,02 0,921 Güvenlik Stratejisinin Uygulanmaması Yaptırımların Yetersiz Olması 424 5 28 84 176 131 3,94 0,936 424 5 34 91 151 143 3,93 0,988 Operasyonel Kolaylığın Tercih Edilmesi Tahmini Kolay Şifre Seçimi 424 8 30 74 197 115 3,90 0,944 424 8 35 74 190 117 3,88 0,969 424 11 37 66 197 113 3,86 0,993 424 4 22 134 159 105 3,80 0,904 424 6 31 124 154 109 3,78 0,960 424 9 47 103 161 104 3,72 1,022 Madde BG Sorumluluklar Hakkında Yetersiz Bilgi Teknoloji Kaynaklı N 424 Bilgi Đsteyen Taraflara Güven Duyulması BT Güvenlik Konfigürasyonunun Eksik Yapılması Güvenlik Đçin Yeterli Kaynak Olmaması Üniversite Güvenlik Stratejisinin Yazılı Olmaması Kararsızım Katılıyorum Katılmıyorum Kesinlikle Katılmıyorum Tablo 13. Bilgi Güvenliğine Yönelik Sorunların Olası Kaynakları Hakkında Görüşlerin Frekans Dağılımları, Aritmetik Ortalama ve Standart Sapmaları Tablo 13’de, anket katılımcılarının risklerin olası kaynakları hakkında birinci sırada “Kullanıcıların bilgi güvenliğine yönelik sorumlulukları konusunda yeterli bilgi sahibi olmaması”, ikinci sırada “Teknolojiden kaynaklanan (yazılım ve donanımdan kaynaklanan zafiyetler nedeniyle) riskler” ve daha da önemlisi, üçüncü sırada “Kullanıcı hatalarının” yer aldığı görünmektedir. “Kullanıcı hataları” seçeneğinin ortalamasının yüksek olması; dolaylı olarak, ne kadar teknolojik yatırım yapılırsa yapılsın insanların desteği olmadan bilgi güvenliğinin sağlanamayacağı konusunda ankete katılanların farkındalığının da yüksek olduğu şeklinde yorumlanabilir. Sorunların kaynağı olarak ifade edilen kullanıcıların bilgi güvenliğine yönelik sorumlulukları konusunda yeterli bilgiye sahip olmaması maddesi, üniversitelerde özellikle bu konuda daha fazla çalışma yapılması, farkındalığın artırılması ve kullanıcıların gerektiğinde ilgili bilgilere ulaşabilecekleri mevzuatın oluşturulması gerekliliğini göstermektedir. 118 Maddelere verilen yanıtların kullanıcı grubuna göre farklılaşıp farklılaşmadığına yönelik yapılan incelemede (farkın hangi gruplarda olduğu için Tukey testi/Dunnett C testi yapılmıştır) akademik personel ile öğrenci grubu arasında Tablo 14’de görüldüğü gibi verilen yanıtların ortalamalarının karşılaştırılması sonucunda (0.05 seviyesinde) anlamlı fark tespit edilmiştir. Özellikle “yaptırımların yetersiz olması” maddesinde ortalamalar arası farkın arttığı ve Tablo 14’deki maddeler için akademik personelin öğrenci grubuna göre belirtilen risklerin daha farkında olduğu görülmektedir. Tablo 14. Bilgi Güvenliğe Yönelik Sorunların/Risklerin Olası Kaynakları Hakkında Görüşlerin Kullanıcı Gruplarına Göre Karşılaştırma Sonuçları-1 Madde (I) Kullanıcı Grubu Akademik Kullanıcı Hataları Akademik Güvenlik Stratejisinin Bilinmemesi Akademik Güvenlik Stratejisinin Uygulanmaması Akademik Yaptırımların Yetersiz Olması Akademik Güvenlik Đçin Yeterli Kaynak Olmaması Akademik Yetersiz Fiziksel Güvenlik Kontrolleri *. Fark 0.05 seviyesinde önemlidir. (J) Kullanıcı Grubu Ortalama Farkı (I-J) Standart Hata Önem Denetimi Öğrenci Öğrenci 0,463* 0,301* 0,103 0,091 0,005 Öğrenci 0,263* 0,095 Öğrenci 0,528* 0,104 Öğrenci 0,316* 0,101 Öğrenci 0,456* 0,100 0,000 Maddelere verilen yanıtların kullanıcı grubuna göre farklılaşıp farklılaşmadığına yönelik yapılan incelemede (farkın hangi gruplarda olduğu için Tukey testi/Dunnett C testi yapılmıştır) akademik personel ile idari personel grubu arasındaki karşılaştırma bulguları Tablo 15’de verilmiştir. 119 Tablo 15.Bilgi Güvenliğe Yönelik Sorunların/Risklerin Olası Kaynakları Hakkında Görüşlerin Kullanıcı Gruplarına Göre Karşılaştırma Sonuçları-2 Madde BG Sorumluluklar (I) Kullanıcı (J) Kullanıcı Ortalama Standart Önem Grubu Grubu Farkı (I-J) Hata Denetimi Akademik Đdari ,443* ,168 ,043 Akademik Đdari ,573* ,183 Đdari * ,190 Hakkında Yetersiz Bilgi Kullanıcı Hataları Güvenlik Đçin Yeterli Akademik ,557 Kaynak Olmaması *. Fark 0.05 seviyesinde önemlidir. Tablo-15’de görüldüğü gibi, verilen yanıtların ortalamalarının karşılaştırılması neticesinde akademik personel ile idari personel arasında da (0.05 seviyesinde) anlamlı fark tespit edilmiştir. Akademik personel idari personele göre bilgi güvenliği sorunlarının kaynağı olarak “kullanıcı hataları” ve “güvenlik için yeterli kaynak olmaması” yönünde görüş bildirirken, idari personelin ortalamalarının düşük kaldığı görülmektedir. Kaynak planlaması ve sağlanması görevleri olan katılımcıların kaynak yetersizliği konusundaki görüşlerinde daha düşük ortalamaya sahip olması gibi bir durum söz konusudur. Maddelere verilen yanıtların kullanıcı grubuna göre farklılaşıp farklılaşmadığına yönelik yapılan incelemede (farkın hangi gruplarda olduğu için Tukey testi/Dunnett C testi yapılmıştır) teknik personel ile idari personel ve öğrenci grubu arasındaki karşılaştırma bulguları Tablo 16’da verilmiştir. Tablo 16. Bilgi Güvenliğe Yönelik Sorunların/Risklerin Olası Kaynakları Hakkından Görüşlerin Kullanıcı Gruplarına Göre Karşılaştırma Sonuçları-3 Madde (I) Kullanıcı (J) Kullanıcı Ortalama Standart Önem Grubu Grubu Farkı (I-J) Hata Denetimi Teknik Đdari 1,032* ,257 Öğrenci * ,207 Kullanıcı Hataları *. Fark 0.05 seviyesinde önemlidir. ,923 120 Tablo 16’da görüldüğü gibi, Tukey testi sonucunda sorunun kaynağı olarak “kullanıcı hataları” maddesinde teknik personel ile idari personel ve öğrencilerin yanıtları arasında (0.05 seviyesinde) anlamlı bir farklılık bulunmaktadır. BT sistemlerinde kullanıcılara sorun durumunda sürekli destek sağlayan teknik personelin çalışmada “kullanıcı hataları” seçeneğini, yaşadığı deneyimden dolayı daha yüksek değerlendirmesi normal sayılabilir. Đdari personel ve öğrencilerin ise hizmet alan konumunda olduklarından, “kullanıcı hataları” seçeneğine daha düşük seviyede katılım verdikleri ve dolayısıyla ortalamalarının da daha düşük çıktığı söylenebilir. 4.4.4. Bilgi Güvenliği Sağlanamazsa Olası Etkileri Hakkında Görüşler Araştırmada üniversitede bilgi güvenliğinin sağlanamaması durumunda olası etkileri konusunda katılımcıların görüşleri alınmıştır ve bu bölümle ilgili sorulara verilen yanıtların frekans dağılımları, aritmetik ortalama ve standart sapmaları Tablo 17’de görülmektedir. Kesinlikle Katılıyorum Aritmetik Ortalama SS 3 3 13 167 238 4,50 0,663 424 3 6 22 152 241 4,47 0,724 Üniversite Güvenilirliğin Azalması 424 3 10 22 151 238 4,44 0,760 Üniversite Hizmetlerinin Olumsuz Etkilenmesi Kullanıcıların Zarar Görmesi 424 1 5 20 180 218 4,44 0,664 424 3 10 24 158 229 4,42 0,764 BT Sistemlerinin Zarar Görmesi 424 4 3 20 190 207 4,40 0,701 Üniversite Hizmetlerinin Kesintisi 424 1 9 26 174 214 4,39 0,720 BT Sistemlerine Karşı Güven Kaybı Maddi Kayıp 424 3 7 25 183 206 4,37 0,733 424 2 13 34 175 200 4,32 0,786 Yasa Đhlali 424 3 10 78 171 162 4,13 0,842 Madde Kritik Bilgilerin Kaybı N 424 Üniversite Đtibar Zedelenmesi Kararsızım Katılıyorum Katılmıyorum Kesinlikle Katılmıyorum Tablo 17. Bilgi Güvenliği Sağlanamazsa Olası Etkileri Hakkında Görüşlerin Frekans Dağılımları, Aritmetik Ortalama ve Standart Sapmaları 121 Tablo 17’ye göre maddelere verilen yanıtların ortalamaları dikkate alındığında araştırmaya katılanlar içerisinde üniversitede bilgi güvenliğinin sağlanamaması durumunda olası etkileri için, verilmiş olan tüm maddelere katılım sağlandığı görülmektedir. Sadece en sonda bulunan “yasa ihlali” maddesi dışında diğer tüm maddelerin ortalamaları “kesinlikle katılıyorum” karşılığı olan 4.21-5 değerlerin arasında çıkmıştır. Đlk üç sırada ise üniversiteler için en değerli varlıklardan biri olan “kritik bilgilerin kaybı veya zarar görmesi”, “üniversite itibarının zedelenmesi” ve “üniversiteye güvenilirliğinin azalması” yer almaktadır. Uluslararası yapılan araştırmalarla da sürekli vurgulanan maddi kayıpların daha ötesinde kurumlara zarar veren manevi kayıplar içerisinde yer alan itibar zedelenmesi ve güvenilirliğin azalması konusunun, yapılan çalışmada ilk sıralarda yer alması anket katılımcılarının farkındalık seviyelerinin yüksek olması ile yorumlanabilir. Maddelere verilen yanıtların kullanıcı grubuna göre farklılaşıp farklılaşmadığına yönelik yapılan incelemede (farkın hangi gruplarda olduğu için Tukey testi/Dunnett C testi yapılmıştır) akademik personel ile öğrenci grubu arasında Tablo 18’de görüldüğü gibi verilen yanıtların ortalamalarının karşılaştırılması sonucunda (0.05 seviyesinde) anlamlı fark tespit edilmiştir. Tablo 18. Bilgi Güvenliği Sağlanamazsa Olası Etkileri Hakkında Görüşlerin Kullanıcı Gruplarına Göre Karşılaştırma Sonuçları Madde (I) Kullanıcı (J) Kullanıcı Ortalama Standart Önem Grubu Grubu Farkı (I-J) Hata Denetimi * 0,081 0,004 Maddi Kayıp Akademik Öğrenci 0,276 Kullanıcıların Zarar Akademik Öğrenci 0,271* 0,088 Akademik Öğrenci 0,356* 0,091 Đdari Öğrenci 0,534 * 0,147 Teknik Öğrenci 0,982* 0,162 Öğrenci * 0,079 Görmesi Yasa Đhlali Üniversite Hizmetlerinin Akademik Kesintisi *. Fark 0.05 seviyesinde önemlidir. 0,231 122 Tablo 18’e göre özellikle, “Yasa ihlali- Yasal gerekliliklerin yerine getirilememesi” maddesinde akademik personel ile öğrenci grupları arasındaki ortalamalar arası farkın diğer maddelere göre arttığı görülmektedir. Aynı maddeyle ilgili idari personel ve teknik personel ile öğrencilerin görüşleri arasında da anlamlı (0.05) bir fark olduğu görülmektedir. Bu fark yasal mevzuatın akademik, idari ve teknik personel tarafından bilinmesi ancak, öğrenciler tarafından henüz net olarak bilinmemesinden kaynaklanabilir. 4.4.5. Kullanıcı Gruplarının Bilgi Güvenliğine Yönelik Görüşleri Araştırmada araştırmaya katılan katılımcılara bilgi güvenliğine yönelik ifadelere katılım dereceleri sorulmuştur ve bu bölümle ilgili sorulara verilen yanıtların frekans dağılımları, aritmetik ortalama ve standart sapmaları Tablo 19’da görülmektedir. Aritmetik Ortalama 17 19 91 89 312 312 4,67 4,67 0,622 0,618 424 3 5 28 180 208 4,38 0,724 424 5 20 38 120 241 4,35 0,913 424 4 19 84 178 139 4,01 0,890 424 6 33 88 161 136 3,92 0,981 424 6 41 79 177 121 3,86 0,985 424 9 53 116 138 108 3,67 1,054 424 10 51 141 133 89 3,57 1,025 424 15 63 134 139 73 3,45 1,051 424 33 87 117 90 97 3,31 1,246 SS Kesinlikle Katılıyorum 2 3 Kararsızım 2 1 N 424 424 Katılıyorum Katılmıyorum Madde Bilgi korunması gereken kritik bir varlıktır. Bilgi güvenliğinin sağlanması üniversite için önemlidir. Üniversitede bilgi güvenliğine yönelik seminerler verilmesi faydalı olur. Bilgi güvenliği hem teknik hem de teknik olmayan konuları içerir. Bilgi güvenliği için fiziksel güvenlik önemlidir. Güçlü (kolayca çözülemeyen) şifre seçimi için ne yapacağımı biliyorum. Đnternet'te PC’mdeki bilgilerin tehdit altında olduğunu düşünüyorum. Kötü niyetli kodlara karşı (virüs, solucan vb.) korunmak için ne yapacağımı biliyorum. Bilgi güvenliğinin sağlanması için sorumluluklarımı biliyorum. Üniversitede BT kullanım kurallarını biliyorum. BT sistemlerinde bilgi güvenliği için teknik kontroller yeterlidir. Kesinlikle Katılmıyorum Tablo 19. Kullanıcı Gruplarının Bilgi Güvenliğine Yönelik Görüşlerinin Frekans Dağılımları, Aritmetik Ortalama ve Standart Sapmaları 123 Tablo 19’a göre maddelere verilen yanıtların ortalamaları dikkate alındığında, araştırmaya katılanlar içerisinde bilgi güvenliğine yönelik ifadelere olumsuz yanıt verilmediği görülmektedir. Bilindiği gibi BT sistemlerinde bilgi güvenliğinin sağlanabilmesi için sadece teknik kontroller (güvenlik donanım/yazılımlarına yatırım yapılması, güvenlik konfigürasyon sıkılaştırmasının yapılması vb.) yeterli değildir. Araştırma katılımcıları da sadece bu maddede “kararsızım” seçeneğine karşılık gelen (2,61-3.40 arasında olan) değer çıkmıştır. Maddelerin ortalamaları sıralandığında birinci sırada yer alan “Bilgi korunması gereken kritik bir varlıktır.” ifadesi, bir önceki bölümde (4.4.4. Bilgi Güvenliği Sağlanamazsa Olası Etkileri Hakkında Görüşler) katılımcıların görüşleri ile ilk sırada belirttikleri ifadeyi (Kritik Bilgilerin Kaybı) desteklemektedir. Đkinci sırada “Bilgi güvenliğinin sağlanması üniversite için önemlidir.” ifadesi de yine bir önceki bölümde (4.4.4. Bilgi Güvenliği Sağlanamazsa Olası Etkileri Hakkında Görüşler) çıkan bulgularla paralel bir sonuç vermektedir. Olası kayıplar göz önüne alındığında üniversite için bilgi güvenliğinin önemi de anlaşılmaktadır. Üçüncü sırada yer alan ifade “bilgi güvenliğine yönelik üniversitede seminerler verilmesinin faydalı olacağı” yönündedir. Özellikle son yıllarda üniversiteler önderliğinde yapılmaya başlanan, bilgi güvenliğine yönelik konferansların artırılması ve daha da önemlisi, sadece belli tarihlerde değil, üniversite paydaşlarına yıl içerisinde katılabilecekleri farkındalık artırma seminerlerinin düzenlenmesinin de son derece faydalı olacağı düşünülmektedir. Bulgular incelendiğinde katılım derecesinin göreceli olarak (bölümdeki diğer maddelere nazaran) daha düşük çıkan maddeleri; kullanıcıların (BT kullanım kuralları, bilgi güvenliği sorumlulukları, kötü niyetli kodlara karşın korunma, güçlü şifre belirleme gibi) bilgi güvenliğine yönelik sorumlulukları ve yapılması gerekenleri bilip bilmediğine yönelik ifadeler olduğu görülmektedir. Bu bulgudan ise daha fazla bilgilendirme ve farkındalığı artırmaya yönelik çalışma yapılması gerekliliği olduğu belirtilebilir. Maddelere verilen yanıtların kullanıcı grubuna göre farklılaşıp farklılaşmadığına yönelik yapılan incelemede (farkın hangi gruplarda olduğu için Tukey testi/Dunnett C testi yapılmıştır) akademik personel ile öğrenci grubu arasında Tablo 20’de görüldüğü gibi verilen yanıtların ortalamalarının karşılaştırılması sonucunda (0.05 seviyesinde) “bilgi güvenliğinin sağlanması üniversite için önemlidir; bilgi güvenliği hem teknik hem de teknik olmayan konuları içerir; bilgi güvenliği için fiziksel güvenlik önemlidir.” 124 maddelerinde anlamlı bir fark tespit edilmiştir. Bu maddeler için, akademik personelin farkındalık seviyesinin öğrencilerden daha fazla olduğu şeklinde yorumlanabilir. Tablo 20. Bilgi Güvenliğine Yönelik Görüşlerin Kullanıcı Gruplarına Göre Karşılaştırma Sonuçları Madde (I)Kullanıcı Grubu (J)Kullanıcı Grubu Bilgi güvenliğinin sağlanması üniversite için önemlidir. Güçlü (kolayca çözülemeyen) şifre seçimi için ne yapacağımı biliyorum. Akademik Öğrenci 0,243* 0,071 Teknik 0,759* 0,844* 0,522* 1,045* 0,847* Teknik Akademik Đdari Akademik Đdari Öğrenci Öğrenci Đdari Akademik Đdari Öğrenci Đdari Öğrenci Đdari Öğrenci Đdari 0,343 1,260* 0,902* -1,630* 0,213 0,251 0,048 0,232 0,089 0,102 0,169 0,197 0,240 0,200 0,192 0,090 0,375 0,335 0,382 Teknik Đdari 1,338* 0,331 Teknik Akademik Đdari Öğrenci 1,101* 1,305* 0,964* 0,197 0,233 0,202 Bilgi güvenliği hem teknik hem de teknik olmayan konuları içerir. Bilgi güvenliğinin sağlanması için sorumluluklarımı biliyorum. Bilgi güvenliği için fiziksel güvenlik önemlidir. Teknik Akademik Akademik Teknik Akademik Teknik BT sistemlerinde bilgi güvenliği için teknik kontroller yeterlidir. Üniversitede BT kullanım kurallarını biliyorum. Kötü niyetli kodlara karşı (virüs, solucan vb.) korunmak için ne yapacağımı biliyorum. Ortalama Farkı (I-J) Standart Hata 0,325* 0,643* 1,117* 1,760* 1,166* 0,701* * Önem Denetimi 0,002 0,001 0,005 0,037 *. Fark 0.05 seviyesinde önemlidir. Yine Tablo 20’de görüldüğü gibi, akademik personelin idari personelle “bilgi güvenliği hem teknik hem de teknik olmayan konuları içerir; bilgi güvenliği için fiziksel güvenlik önemlidir; bilgi güvenliğinin sağlanması için sorumluluklarımı biliyorum” maddelerine ilişkin görüşlerinde de anlamlı bir farklılık tespit edilmiştir. Bu maddeler içinde farkındalığın, akademik personelde idari personele oranla daha fazla olması söz konusudur. Tablo 20’deki önemli bir diğer bulgu ise teknik personelin diğer tüm gruplarla (akademik personel, idari personel ve öğrenci) “bilgi güvenliği hem teknik hem de teknik olmayan konuları içerir; bilgi güvenliğinin sağlanması için 125 sorumluluklarımı biliyorum; kötü niyetli kodlara karşı korunmak için ne yapacağımı biliyorum” maddelerinde görüşlerinde anlamlı bir farklılık tespit edilmiştir. Teknik personelin bu konularda vermiş olduğu yanıtların ortalamasının yüksek olması söz konusudur. Bu durum teknik personelin bu konudaki bilgilerinin diğer gruplara da aktarılmasının faydalı olacağı şeklinde yorumlanabilir. Teknik personelle görüşler arasında farkın en fazla olduğu grup idari personel grubudur. Özelikle idari personelin bu konularda bilgilendirilmesi faydalı olacaktır. Yine Tablo 20’de görüldüğü gibi, bilgi güvenliğinde fiziksel güvenliğin öneminin, akademik ve teknik personelde idari personel ile öğrencilere oranla anlamlı bir farklılıkta görüş olduğu tespit edilmiştir. Fiziksel güvenliğin öneminin akademik personel ve teknik personel tarafından daha önemsendiği sonucu çıkartılabilir. 4.5. Model Uygulamasında Karşılaşılan Ortak Sorunlara Yönelik Bulgular Model uygulaması ile ilgili bilgiler hassas verileri içerebileceğinden bu kısımda üniversite ismi ve pilot detayları verilmeden araştırmacı tarafından tespit edilen çıkartılan dersler, ortak sorunlar ve önerilerden bahsedilecektir. 4.5.1. BT Birimi Personel Sayısı ve Yönetimi Pilot uygulamanın yapıldığı BT birimlerinde personel sayısının az olması nedeniyle sıkıntı yaşandığı belirlenmiştir. Yine bir diğer husus BT yönetimi alanında yetişmiş personelin temininde sıkıntı yaşanmasıdır. Personel günlük işlerin devam ettirilmesi, sorunlara müdahale edilmesi konusunda yoğun mesai harcamaktadır. Dolayısıyla BT sistemlerinde bilgi güvenliği konusunda kapsamlı bir çalışma için vakit ayrılamamıştır. Bir diğer konu bilgi güvenliğinin bütünsel olarak sağlanabilmesi için nereden başlanacağı ve hangi işlemlerin yapılacağı hakkında yeterli bilgiye sahip olunmamasıdır. Pilot uygulamanın bu anlamda faydalı olduğu düşünülmektedir. 126 BT sistem yönetiminde süreçler işlemekle birlikte; bu süreçlerin temel kontrol noktaları ve temel standartlar uygulanmış olmasına rağmen, bunların neler olduğu düzenli olarak dokümante edilmemektedir. BT sistem yönetimi yanı sıra, BT sistemini kullanan kullanıcılara yönelik kılavuz niteliğindeki dokümanların detaylandırılması ihtiyacı bulunmaktadır. Bir diğer konu, üniversite bünyesinde bilgi işlem birimi olarak merkezi bir birim yanı sıra BT sistemlerini yöneten farklı birim(lerin) olmasıdır. Özellikle öğrenci işleri ile ilgili sistemlerin BT grubu yerine, öğrenci işleri biriminin altında oluşturulmuş olan teknik ekip tarafından yürütülmesi söz konusu olabilmektedir. BT sistemlerinde farklı standartların uygulanmasına neden olabilecek bu uygulamaya karşın, üniversitede BT yönetimi ve güvenliği konusunda ilke ve standartların belirlenmesi ve istisnasız her birim tarafından uygulanması ile yaşanabilecek sorunlar aşılabilir. 4.5.2. Dokümantasyon Eksikliği Yapılan görüşmede doküman gereksinimlerinin bir kısmının karşılandığı, ancak BT sistem yönetimi dokümantasyonu ile ilgili maddelerde üniversitelerde BT kadrosunun sayıca az olması nedeniyle hazırlanamadığı tespit edilmiştir. BT birimlerinin az sayıda kadro ile özverili bir çalışma yaptıkları aşikârdır. Ancak, dokümantasyonun olması personele bağımlılığı azaltacak ve yeni bir personel işe alındığında hızlı adaptasyonunu sağlayacaktır. Öte yandan bazı temel dokümanlar (politikalar ve standartlar, risk analizi, kritiklik sıralaması, acil durum planları, çeşitli envanterler, kontrol listeleri vb.) süreçlerin işletilmesinde, süreçlerin ve önceliklerin belirlenmesinde, çalışmaların planlanmasında son derece önem taşıyacaktır. Bir süre sonra gerçekleştirilen dokümantasyonun vakit kaybı olması yerine işleri hızlandırdığı fark edilecektir. Ortak hedeflerin olması ve standartların herkes tarafından uygulanabilmesi için dokümantasyon olması şarttır. Önemli olan bir noktadan başlanmasıdır. Mükemmelin hedeflenmesi doğru olmayacaktır. Bu sebeple temel taşlarından biri olan “aşamalı iyileştirme” hedefi ile 127 çalışmalara başlanılıp, sonrasında dokümanların daha da detaylandırılması yoluna gidilmelidir. 4.5.3. Bilgi Güvenliğine Yönelik Farkındalık Çalışmaları Bilgi güvenliği farkındalığının sağlanabilmesi için özellikle BT sistemlerinde virüslerden korunma, BT sistemlerini kullanım kuralları gibi dokümanlar oluşturulmuş ve yayınlanmıştır. Fakat bu dokümanlarda muğlâk ifadeler yer almaktadır. Örneğin BT kullanım kuralları içerisinde “kullanıcının güvenliği sağlaması gerektiği” belirtilirken bunu nasıl yapabileceği konusunda yeterli bilgi bulunmamaktadır. Bunun yanı sıra bilgi güvenliği konusunda periyodik olarak etkileşimli bir ortamda seminer verilmesi gibi uygulamalar yapılmamaktadır. Üniversitelerin önderliğinde katılımcı diğer kurumlarla birlikte yapılan akademik seminerlerin yanı sıra gerçek hayatta sıkça karşılaşılabilecek sorunlar ve çözümlerine yönelik periyodik tekrarlayan ve bir süreç dahilinde biraz daha detaylandırılarak farklı seviyelerde eğitim programları düzenlenmelidir. Oluşturulacak sistem kapsamında kullanıcı gruplarına farkındalık seminerlerinin başlangıçta gönüllü olarak verilmesi, ancak ilerleyen dönemlerde bu seminerlerin zorunlu hale getirtilmesi hem kaliteyi hem de kullanıcıların bilgi güvenliğine vereceği desteği artıracaktır. Bununla birlikte pilot çalışma kapsamında gerçekleştirilen ankete benzer anketler yapılarak kullanıcıların görüşleri ve ihtiyaçlarının tespit edilmesi, bununla birlikte pilot aşamada yapılan risk analizinin takip edilerek sorunların kayıt altına alındıktan sonra istatistikî olarak incelenmesi ve raporlar şeklinde yayınlanması da farkındalığı destekleyecektir. Pilot çalışmada gerçekleştirilen anket çalışmaya katılan kişilerin üniversitede bilgi güvenliğine yönelik seminerler verilmesi konusuna yüksek derecede katılım sağladıkları tespit edilmiştir. Bu yöndeki talebin karşılanması gerekmektedir. 128 4.5.4. Kapsamlı Bir Bilgi Güvenlik Yönetim Sistemi Üniversitelerde kapsamlı bir BGYS çalışması bulunmamaktadır. Bilgi güvenliğine yönelik çalışmalar yapılmakla birlikte sistematik bir şekilde sürdürülemediği belirlenmiştir. Bunun nedenlerinin; • Üniversitelerde öncelikli konular arasında henüz yer almaması; • Bilgi güvenliğinin ülkemizde henüz yeni sayılabilecek bir kavram olması ve özellikle son yıllarda önem kazanmaya başlaması nedeniyle, pek çok kurumda bu alanda çalışmaların yeni başlatılması; • Bilgi güvenlik yönetim sistemi oluşturulması için nereden başlanılacağı ve ne yapılacağını adresleyen kullanılabilir ve anlaşılabilir dokümanların azlığı; • Bilgi güvenliğinin pek çok alanı kapsaması, özellikle BT sistemlerinde bilgi güvenliği konusunda kişilerin yetiştirilmesi ihtiyacının olması; • Üniversitelerde BT sistemlerini yöneten kadro sayısının azlığı ve yetişmiş personel bulma sıkıntısı; • BT sistemlerinin yönetiminin birden fazla birimde olması; • Uygulamaların dokümante edilmesinde eksiklikler olması; • BGYS oluşturulması için kaynak sıkıntısı, olduğu düşünülmektedir. Etkili bir çalışma için üst yönetimin bilgi güvenliği ile ilgili çalışmanın önemi ve bu çalışmanın gerekliliği konusunda destek olması şarttır. Güvenlik stratejik planlamalarda da yer almalıdır. BGYS oluşturulmasında önemli olan kapsamı belirleyerek aşamalı bir şekilde sürekli iyileştirmeyi hedeflemektir. Yeteri kadar güvenlik hedeflenmelidir. ÖBGYS modelinde belirtildiği gibi, insan unsuru temel alınarak işe başlanmalı ve farkındalık yaratılarak sistemin oluşturulması ve kültür olarak kabul edilmesi 129 sağlanmalıdır. Üniversitelerde bu çalışmaların başlatılması durumunda mutlaka birden fazla birimden oluşan bir komite teşkil edilmeli ve bu komite gözetimi ve desteğinde çalışmalar yürütülmelidir. Komitenin sekretarya görevi tercihen BT sistem yönetimi biriminde olabilir. Bunun nedeni bilgi güvenliğinin önemli bir kısmının teknolojinin hayatımızda yaygın olarak kullanılmaya başlaması ile birlikte, BT sistemlerine bağımlı olmasıdır. Sekretarya her ne kadar BT sistem yönetim biriminde olsa da, çalışmalarda diğer birimlerin de katkısı şart olacaktır. Sistem oluşturulduktan sonra aşamalı olarak güvenlik kontrolleri artırılmalıdır. Örneğin üniversite e-posta şifreleri 4 karakterden oluşuyorsa, bir anda 8 karakter uzunluğunda olması hedeflenmemelidir. Bu tutum hem insanların tepkisine neden olabilir, hem de yeni uygulamaya adaptasyon sürecinde sorunlara sebebiyet verebilir. Bilgi güvenliği farkındalığı için yapılan çalışmalar bir sonraki aşamada zorunlu seminer haline getirilmelidir. ÖBGYS oluşturulmasında mümkün olduğunca süreçler otomatikleştirilmeli ve manuel müdahale azaltılmalıdır. Oluşturulan sistemin sürekli izlenebilmesi ve iyileştirme noktalarının ve iyileştirme sürecinin tespiti için tespit edilmiş olan süreç göstergeleri ile ilgili ölçümler alınmalı ve bunlar raporlanmalıdır. Bu raporlama hem üst yönetimin desteğinin devamına hem de sürecin asıl yapı taşı olan insanların güveni ve katkısı yönünde geri dönüş sağlayacaktır. ÖBGYS Model uygulamasında, ÖBGYS süreçlerinin birden fazla kez uygulanması ile (aşamalı iyileştirme) hedeflere ulaşım ve sistemin başarısı için, üst düzeydeki süreç döngüleri devam ederken dikkat edilmesi gereken kritik noktalar ve ipuçları Şekil 16’da gösterilmiştir. 130 Şekil 16. ÖBGYS Modeli Đpuçları Unutulmaması gereken bir diğer nokta güvenliğin sürekli devam eden bir süreç olduğudur. Teknoloji ve ihtiyaçlar değiştikçe oluşturulan ÖBGYS’nin de değiştirilmesi değişen koşullara uyum sağlanması gerekecektir. Benzer şekilde BT sistemlerinde de güvenliği sağlamak için de bir durak noktası yoktur. Bugün mevcut teknolojik imkânlarla güvenliği sağlanan bir sistemin bir süre sonra yeni çıkan tehditler ve zafiyetler karşısında korumasız kalması ve tekrar yatırım yapılması söz konusu olabilir. BT sistemini yöneten personelin de bu anlamda teknolojiyi yakından takip etmesi ve bilgi birikimini sürekli güncel tutması gerekecektir. BÖLÜM V 5. SONUÇ ve ÖNERĐLER Bu bölümde araştırmadan edinilen bulgular ışığında ulaşılan sonuçlara ve bu sonuçlara dayalı olarak geliştirilen önerilere yer verilmektedir. 5.1. Sonuç Bu araştırmada, üniversitelerde bilgi güvenliğinin sağlanabilmesi için insan ve eğitim faktörlerinin vurgulandığı bir BGYS modeli tasarlanması, tasarlanan modelin üniversitelerde uygulanarak revize edilmesi ve bir yol haritası oluşturulması amacıyla yapılan çalışmalar kapsamında; araştırmanın amaçlarına göre sıralanmış sonuçlar aşağıda sunulmuştur: • Bilgi güvenliği alanında pek çok farklı standart ve çalışmanın olmasının nedeni farklı ihtiyaçlar ve farklı alanlar için tasarlanmış olmalarıdır. Ancak yapılan incelemede, bu dokümanlarda bilgi güvenliğine yönelik benzer konuların olduğu ve bazı kriterlerin tekrarladığı tespit edilmiştir. Bilgi güvenliğinin sağlanabilmesi için; bütünsel bir yaklaşımla farklı alan ve süreçlerde güvenlik kontrollerini içeren, sürekli iyileştirilen bir sisteme ihtiyaç duyulmaktadır. Bu sistemde, uygulanacak güvenlik kontrolleri yanında insan ve eğitim unsurları da yer almaktadır. Bilgi güvenliğinin sağlanması için sadece teknoloji kullanımı veya tek bir kaynak ve tek bir doküman yeterli olmayacaktır. • Araştırma ile oluşturulan ÖBGYS model bileşenleri bilgi ve insan, süreç ve hizmetler, fiziksel ve çevresel ortam, teknoloji olarak belirlenmiştir. Bilgi 133 güvenliğinin sağlanabilmesi için bu bileşenlerin tamamının dikkate alınması gerekmektedir. • ÖBGYS modelinin süreç adımları oluşturulurken standart ve kılavuz dokümanlarındaki süreçler dikkate alınmıştır. Analiz, tasarım, tasarımı geliştirme, uygulama ve değerlendirme başlıklarından oluşan süreç modelinde; ilk aşamadan itibaren ÖBGYS model bileşenleri ve bu bileşenlerden özellikle insan ve eğitim unsurlarının dikkate alınması gerekmektedir. • Yapılan araştırmada seçilen üniversitelerde bilgi ve iletişim teknolojilerinin yaygın olarak hemen her süreçte, özellikle de üniversitelerin ana faaliyet alanları diyebileceğimiz alanlarda (öğrenci işleri, araştırma, kütüphane hizmetleri, iletişim, tanınırlık ve müfredat yönetimi vb.) kullanıldığı, dolayısıyla BT sistemlerine bağımlılığın olduğu tespit edilmiştir. Bu ise üniversitelerde özellikle BT sistemlerinde, bilgi güvenliğinin sağlanması gerekliliğinin yanı sıra, süreç ve hizmetlerin aksamadan yürütülmesi için BT sistemlerinde kesintilerin minimumda tutulması gerekliliğini ortaya çıkartmaktadır. • Araştırmada bilgi güvenliğine yönelik yaşanabilecek sorunlar hakkında; en fazla “BT sistemlerinde kesinti olması”, ikinci sırada “istemdışı e-posta gelmesi”, üçüncü sırada “sistemlere zararlı kod bulaşması” sorunlarıyla karşılaşılabileceğini göstermektedir. Bu bulgular yurt dışında yapılan benzer araştırmalarla paralellik göstermektedir. Ayrıca; bilgi güvenliğinin erişilebilirlik unsurunun, özellikle üniversiteler için, gizlilik unsurundan daha fazla önemsendiğini desteklemektedir. • Araştırmada üniversitelerde bilgi güvenliğinin önemi ve gerekliliği konusunda farkındalığın son derece yüksek olduğu; bilginin korunması gereken kritik bir varlık olduğu ve bilgi güvenliğinin sağlanmasının üniversite için önemli olduğu; bilgi güvenliği sağlanamazsa maddi ve manevi kayıplar (çoğu kez maddi zararlardan daha fazla etkisi olan, üniversite itibarının zedelenmesi ve üniversiteye güvenilirliğinin azalması vb.) yaşanacağı konusunda yüksek derecede katılım ve görüş birliği bulunduğu tespit edilmiştir. Bilgi güvenliğinin önemi ve gerekliliği konusunda farkındalık seviyesinin yüksek 134 olması son derece olumlu bir sonuç olmakla birlikte; üniversitede bilgi güvenliği için sorumluluklar konusunda ve bilgi güvenliğinin sağlanabilmesi için yapılması gerekenler hakkında yeterli bilgiye sahip olunmadığı ve bu eksikliği giderebilmek için üniversitelerde daha fazla çalışma yapılması, eğitimin ve farkındalığın pekiştirilmesi gerekliliği de tespit edilmiştir. Araştırmaya katılan kişilerde, bilgi güvenliğine yönelik seminerler yapılması gerektiği konusunda yüksek derecede katılım olması böyle bir ihtiyacın bulunduğunun tespit edilmesi açısından önemlidir. • Kullanıcı gruplarının bilgi güvenliği konusundaki görüşlerinde bazı maddelerde anlamlı farklılılar olduğu tespit edilmiştir. Bu ise, ÖBGYS modelinin temel bileşeni olarak insan unsurunun alınması ve ÖBGYS’nin uygulaması aşamasında kullanıcı gruplarının belirlenerek bu gruplar için ayrı öğrenme hedefleri ve farkındalık çalışmaları yapılması gerekliliğini desteklemektedir. • Yapılan pilot uygulamada, bilgi işlem birimleri tarafından bilgi güvenliğine yönelik çeşitli çalışmalar yapıldığı, sistemlerde güvenlik kontrollerinin uygulandığı, kullanıcılara yönelik bilgilendirici nitelikte bazı dokümanlar hazırlandığı tespit edilmiştir, ancak üniversitelerde kapsamlı bir bilgi güvenlik yönetim sistemi oluşturulmasına yönelik çalışmanın henüz yapılmadığı sonucuna ulaşılmıştır. Bilgi işlem birimlerinin personel sıkıntısı nedeniyle dokümantasyon hazırlanması konusunda da zorluk çektiği tespit edilmiştir. Yine bilgi güvenlik farkındalığına yönelik periyodik çalışmaların yapılamadığı tespit edilmiştir. Sınırlı kaynaklarla ve sadece tek bir birimin sorumluluğunda bilgi güvenliğinin sağlanması mümkün değildir. Tüm birimlerin ve kullanıcıların katılımı ve katkısı gerekmektedir. 135 5.2. Öneriler Araştırma bulgularından edinilen sonuçlarla ilgili geliştirilen öneriler, aşağıda uygulama ve araştırmaya yönelik öneriler olmak üzere iki başlıkta sunulmuştur: Uygulamaya Đlişkin Öneriler: • Bilgi güvenliğinin sağlanması için sadece teknoloji kullanımı veya tek bir kaynak ve tek bir doküman yeterli olmayacaktır. Farklı standart ve kılavuzlardaki ortak noktalar dikkate alınarak, odak noktası insan unsuru olan bir sistem tasarlanmalı ve uygulanmalıdır. • Üniversitelerde BT sistemlerine bağımlılığın olması nedeniyle, özellikle BT sistemlerinde bilgi güvenliği temin edilmeli; bunun yanı sıra, süreç ve hizmetlerin aksamadan yürütülmesi için BT sistemlerindeki kesintiler minimumda tutulmalıdır. Bunu sağlamak için, BT sistemlerinde kesintisiz hizmeti daha yüksek seviyede garanti edecek çözümler (yedekli, merkezi ve sürekli izlenen bir yapı) hayata geçirilmeli, BT sistemlerine daha fazla kaynak ayrılmalıdır. Ek olarak bilgi güvenliğinin daha etkili sağlanabilmesi için; BT birimlerinde çalışan personel sayısı artırılmalı, bu personel teknik eğitimlerle, özellikle bilgi güvenliği konusundaki eğitimlerle desteklenmeli, bilgi güvenliği konusunda bilgi ve becerisini sürekli güncel tutmalıdır. • Araştırma ile oluşturulan ÖBGYS modelin bileşenleri/alt boyutları, model uygulanması için süreç adımları ve sürekli iyileştirme kapsamında ÖBGYS modeli sürecinin sürekli döngü olarak işletilmesi aşamasında, dikkate alınması gereken ipuçları/kritik olan hususlar Şekil 17’de özetlenmiştir. Şekil 17’de içteki alan ÖBGYS model bileşenlerini (“bilgi ve insan”, “süreç ve hizmetler”, “teknoloji” ve “fiziksel ve çevresel ortam”) göstermektedir ve modelde bilgi ve insan unsuru odak noktası olmalıdır. Bilgi güvenliğinin sağlanabilmesi için bu bileşenlerin tamamı dikkate alınmalıdır. Sadece teknolojide kontrollerin tasarlanması veya sadece süreçlerde kontrollerin tasarlanması yeterli olmayacaktır. ÖBGYS süreçleri (“analiz”, “tasarım”, 136 “tasarımı geliştirme”, “uygulama” ve son olarak “değerlendirme iyileştirme”) işletilirken, ilk adımından itibaren güvenlikteki en zayıf halka olarak nitelendirilen insan unsurunun temel alınıp; kullanıcı gruplarının ve öğrenme hedeflerinin tespiti ile bu unsuru güçlendirmeye yönelik bir süreç işletilmesi hedeflenmelidir. ÖBGYS modelinin süreç adımlarında, her bir adımda önceki adımlara geri besleme yapılmalı ve düzeltici faliyetler bekletilmeden uygulanmalıdır. Böylelikle hızlı ve etkili bir şekilde ilerlenebilecektir. ÖBGYS modelinde uygulanabilir hedefler belirlenmeli ve bir anda çok sıkı güvenlik kontrolleri uygulamaya alınmamalıdır. Kritik olan husus kapsamı belirleyerek aşamalı bir şekilde sürekli iyileştirmeyi hedeflemektir. Modelin etkili bir şekilde uygulanması için üst yönetimin desteğiyle, farklı birimlerden temsilcilerinin olduğu bir komite oluşturulmalıdır. Güvenlik stratejik planlamalarda da yer almalıdır. Şekil 17. ÖBGYS Modeli Bileşenleri, Süreç Adımları ve Đpuçları 137 • Yukarıda Şekil 17’de en dışta yer alan kısım; modelin etkili olarak uygulanmasında sürekli iyileştirme ilkesi ile tekrarlayan süreç adımları için kritik noktaları ve başarı için ipuçlarını belirtmektedir. Öncelikle “yönetimin desteği” alınmalı; çalışmada “bilgi ve insan grupları ve öğrenme hedefleri” belirlenmeli ve temel alınmalı, farklı gruplar için farklı materyaller geliştirilmeli; “dokümantasyon” ilk aşamada mükemmelliği hedeflemeden, aşamalı iyileştirme ilkesi ile hazırlanmalı ve yayımlanmalı; ÖBGYS için “farkındalık yaratma”’ya yönelik çalışmalara ağırlık verilmeli, bu çalışmalar yapılırken bilgi güvenliği için sorumluluklar ve nelerin yapılabileceği konusunda sağlam temellerin oluşturulması hedeflenmeli; “aşamalı olarak güvenlik kontrollerini devreye alınması” ile gerçekçi ve kullanıcıları zorlamayacak hedeflerle güvenlik adım adım iyileştirilmeli, böylelikle insanların desteğini artırıp tepkisini azaltacak bir yaklaşım benimsenmeli; farkındalığı artırmaya yönelik hazırlanan seminerler bir süre sonra “zorunlu eğitim” haline getirilerek daha geniş kitlelere ulaşılmalı; süreçlerde “mümkün olduğunca otomatizasyon”a geçilmeli böylelikle hem hız kazanılması hem de güvenlik kontrollerinin güçlendirilmesi imkânı sağlanmalı; son olarak ise uygulanan BGYS’nin sürekli iyileştirilmesi kapsamında “süreç performans göstergelerinin analizi ve sunulması” ile sürecin işleyişine yönelik kayıtlar analiz edilerek raporlamalar yapılmalı, böylelikle hem farkındalığın pekiştirilmesi hem de güvenlik iyileştirilmesi için kaynak ihtiyacı ve ek iyileştirmelerin gerekçelendirilmesi sağlanmalı devamlılığı temin edilmelidir. ve “yönetimin desteği”nin 138 Araştırmaya Đlişkin Öneriler: • Araştırma kapsamında uygulanan anket bilgi güvenliğine yönelik görüşlerin toplanması amacıyla tüm üniversitelerde uygulanabilir. Böylelikle Türkiye genelindeki durum tespit edilebilir. • Model pilot uygulaması yapılan üniversitelerde, tüm model adımları tamamlandıktan ve süreç adımları tekrar uygulandıktan sonra kaydedilen gelişmeler incelenebilir. • Bilgi güvenlik kültürünün geliştirilmesi için neler yapılabileceği araştırılabilir. • Üniversitelerde yönetim düzeyindekilerin, bilgi güvenliğini nasıl algıladıkları araştırılabilir. 139 KAYNAKÇA AKTAŞ, Z. (2003). Türkiye’de Bilgi Toplumuna Nasıl Erişiriz?. Ankara: Türkiye Bilimler Akademisi, TUBĐTAK Matbaası. ALAGEEL, S. N. (2003). Development of An Information Security Awareness Training Program for The Royal Saudi Naval Forces (RSNF). Unpublished Master’s Thesis, Naval Postgraduate School Monterey, http://cisr.nps.navy.mil/downloads/theses/03thesis_alageel.pdf CA. Web: adresinden 30 Nisan 2005’de alınmıştır. ALKAN, C. (2005). Eğitim Teknolojisi. Ankara: Anı Yayıncılık, Erdem Matbaası. ANDERSON, R. (2001). Security Engineering. UK: John Wiley and Sons. BAILEY, C. F. (2003). Analysis of Security Solutions In Large Enterprises, Unpublished Master’s Thesis, Naval Postgraduate School Monterey, CA. Web: http://www.nps.navy.mil/cs/thesis2.asp?id=5 adresinden 30 Nisan 2005’de alınmıştır. BLACKLEY, B., MCDERMOTT, E. ve GEER, D. (2001). Information Security is Information Risk Management. Proceedings New Security Paradigms Workshop 2001, 97-104. New York:The Association for Computing Machinery press. BROSTOFF, S. ve SASSE, M. A. (2001). Safe and Sound: A Safety-Critical Approach to Security. Proceedings New Security Paradigms Workshop, 41-47. New York:The Association for Computing http://citeseer.ist.psu.edu/brostoff01safe.html Machinery press. Web: adresinden 3 Şubat 2004’de alınmıştır. CAN, N. (2002). Değişim Sürecinde Eğitim Yönetimi. Milli Eğitim Dergisi. No:155156. Web: http://yayim.meb.gov.tr/dergiler/155-156/can.htm adresinden 4 Mart 2005’de alınmıştır. ÇAKAR, H. (2005). Bilgisayar Ağ Güvenliği ve Güvenlik Duvarları, Yayımlanmamış Yüksek Lisans Tezi, Fırat Üniversitesi, Fen Bilimleri Enstitüsü. 140 CHENG, Y. C. (2002). New Paradigm of Borderless Education: Challenges, Strategies and Implications for Effective Education Through Localization and Internalization. Invited keynote speech presented at The International Conference on Learning and Teaching with the theme “Challenge of Learning and teaching in a Brave New World: Issues and Opportunities in Borderless Education”. Thailand: Hatyai. Web:http://www.ied.edu.hk/cird/doc/ speeches/14-16oct02.pdf adresinden 3 Şubat 2004’de alınmıştır. ÇETĐN, S. (2004). Değişen Değerler ve Eğitim. Milli Egitim Dergisi. No:161. Web: http://yayim.meb.gov.tr/dergiler/161/cetin.htm adresinden 4 Mart 2005’de alınmıştır. DICK, W., CAREY, L. (1996). The systematic design of instruction (4th ed.). New York: Harper Collins. DODGE, A. (2008). Educational Security Incidents (ESI) Year In Review-2007. Web:http://www.adamdodge.com/esi/files/Educational Security Incidents Year in Review - 2007.pdf adresinden 20 Kasım 2008’de alınmıştır. DRUCKER, P. F.,(1994). Kapitalist Ötesi Toplum.,Cev: B. Corakcı. Đstanbul: Đnkılap Kitabevi. EDUCAUSE (2006). Web: http://www.educause.edu/ adresinden Aralık 2006’da alınmıştır. EGE, Đ. ve SEZER, S. (2003). Bilgi Teknolojileri Kullanma Đle Akademik Verimlilik Đlişkisi: Erciyes Üniversitesi Örneği. II. Ulusal Bilgi, Ekonomi ve Yönetim Kongresi. Derbent, Đzmir: Beta Yayım Dağıtım A.Ş., Đstanbul.:322. Web: http://www.bilgiyonetimi.org/cm/pages/mkl_gos.php?nt=233 adresinden 10 Şubat 2005’de alınmıştır. ELLIOT, R., YOUNG, M. O., COLLĐNS, V. D., FRAWLEY D. ve TEMARES, M. L. (1991). Information Security in Higher Education. CAUSE The Association for the Management of Information Technology in Higher Education, Professional Paper Series, #5. Web:http:// www.educause.edu/ir/library/pdf/PUB3005.pdf adresinden 2 Eylül 2005’de alınmıştır. 141 ERAYDIN, A.(2002). Bilgi Toplumuna Geçiş. Ankara: Türkiye Bilimler Akademisi Yayınları. ERKAN, A. (2006). An Automated Tool for Information Security Management Model, Unpublished Master’s Thesis, The Middle East Tehnical University, The Graduate School of Informatics. ERSOY, A. F. ve ACARTÜRK, C. (2006). Uluslararası Çevrimiçi Yüksek Öğretim ve Türkiye'nin Durumu: Üniversite Bilgi Đşlemlerine Öneriler. 8. Akademik Bilişim Konferansı. Denizli: Pamukkale Üniversitesi. Web: http://www.metu.edu.tr/~acengiz/ adresinden 7 Mart 2007’de alınmıştır. GAGNE, R. M., BRIGGS, L. J., ve WAGNER, W. W. (1992). Principles of Instructional Design (4th ed.). New York: Harcourt Brace Jovanovich College Publishers. GARTNER (2006). Gartner Datapro Research New Gartner Hype Cycle Highlights Five High Impact IT Security Risks. Gartner IT Security Summit. London. GARTNER, ZASTROCKY, M. BITTINGER, S. YANOSKY, R. (2001) Improving Higher Education IT Security in 2002. GIBBONS, M. (1998). Higher Education Relevance in the 21st Century. Paper presented at UNESCO World Conference on Higher Education. Paris. Web: http://www.worldbank.org/afr/teia/HE%20Relevance%20Gibbons.pdf adresinden 2 Eylül 2005’de alınmıştır. GONZALES, J. J. ve SAWICKA, A.(2002). A Framework for Human Factors in Information Security. Presented at the 2002 WSEAS Int. Conf. On Information Security. Rio de Janerio. Web: http://ikt.hia.no/josejg/ adresinden 2 Eylül 2005’de alınmıştır. GÖKÇEN, H. (2002).Yönetim Bilgi Sistemleri. Ankara: Epi Yayıncılık. GUREDĐN, E.(1994). Denetim. Đstanbul: Beta Yayınları. GÜREL, Z. (1995). Özerk Üniversite ve Vakıflar. Mülkiyeliler Birliği Dergisi, Cilt:19, Sayı:181, 47-48. 142 GÜROL, M. (2002). Web Tabanlı Öğrenme Çevrelerinin Tasarımı. Açık ve Uzaktan Eğitim Sempozyumu 23-25 Mayıs 2002. Web: http://aof20.anadolu.edu.tr/ bildiriler/Mehmet_Gurol.doc adresinden 3 Şubat 2004’de alınmıştır. HANÇERLĐOĞLU, O. (1992).Türk Dili Sözlüğü: 200. HONG, L.(2006). Instructional Project Management: An Emerging Professional Practice for Design and Training Programs. Workforce Education Forum.Volume 33, No.2. Web: http://voc.ed.psu.edu/projects/publications/ books/ Fall2006/ WEF_fall2006.1.html adresinden 7 Mart 2007’de alınmıştır. HOWELL, S. L., WILLIAMS, P. B. ve LINDSAY, N. K. (2003). Thirty-two Trends Affecting Distance Education. Online Journal of Distance Learning Administration, 6(3). 2–16. Web: http://www.emich.edu/cfid/PDFs/ 32Trends.pdf adresinden 3 Şubat 2004’de alınmıştır. ISTE (2006). The National Educational Technology Standards. Web: http://www.iste.org/standards adresinden 7 Mart 2007’de alınmıştır KARADAL, H., KAZAN, H. ve UYGUN, M. (2002). Bilişim Teknolojilerine Geçiş Sürecince Küçük ve Orta Ölçekli Sanayi Đşletmelerinin Temel Üretim ve Yönetim Sorunları: Aksaray Örneği. Web: http://www.emu.edu.tr/smeconf/ turkcepdf/bildiri_43.pdf adresinden 3 Şubat 2004’de alınmıştır. KARAHAN, M. (2003). Eğitimde Bilgi Teknolojileri. Web: http://web.inonu.edu.tr/~mkarahan/ adresinden 3 Şubat 2004’de alınmıştır. KEMP, J., MORRĐSON, G., ve ROSS, S. (1998). Designing Effective Instruction (2nd ed.). New York: Merrill. LUKER, M. ve PETERSEN R. (2003). Computer and Network Security in Higher Education. Publications from the EDUCAUSE Office. Web: http://www.educause.edu/ adresinden 3 Şubat 2004’de alınmıştır. MAKINEN, K. (2005). STRATEGIC SECURITY A Constructivist Investigation of Critical Security and Strategic Organisational Learning Issues: Towards a Theory of Security Development, Unpublished Doctoral Thesis, FINNISH NATIONAL DEFENCE COLLEGE Department of Education. Research Centre for Action Competence, Identity, and Ethics ACIE. Web:http://www.defmin.fi/ 143 chapter_images/3021_3011_Kalevi_MAkinen_Strategic_Security.pdf adresinden 15 Nisan 2006’da alınmıştır. MCCANN, D., CHRISTMASS, J., NICHOLSON, P. ve STUPARICH, J. (1998). Educational Technology in Higher Education. Web: http://www.dest.gov.au/ archive/highered/occpaper/edtech.pdf adresinden 3 Şubat 2004’de alınmıştır. NAISBITT, J. ve ABURDENE, P. (1990). Megatrend 2000 (Büyük Yönelimler). Đstanbul: Form Yayınları. NCES (2006). Safeguarding Your Technology, Practical Guideline For Electronic Education Information Security. Web: http://nces.ed.gov/pubs98/safetech/index.asp. adresinden 15 Nisan 2006’da alınmıştır. NĐŞANCI, M. (2005). Yüksek Öğretimde E-Öğrenme: Çevrimiçi Egitim Vermek Đsteyen Türk Üniversiteleri Đçin Bir Yol Haritası, Yayımlanmamış Doktora Tezi, Orta Doğu Teknik Üniversitesi, Bilgisayar Eğitimi ve Öğretim Teknolojileri Bölümü. Web: http://etd.lib.metu.edu.tr/upload/ 12606254/index.pdf adresinden 10 Mart 2006’da alınmıştır. ODTÜ – BĐDB. (2006). BĐDB Hakkında Misyon. Web:http://www.bidb.odtu.edu.tr/ index.php?go=about&sub=mission adresinden 15 Nisan 2006’da alınmıştır. ORTAŞ, Đ. (2004). Üniversite Özerkliği Nedir?. Üniversite ve Toplum Dergisi, Cilt: 4, Sayı:1. Web: http://www.universite-toplum.org/text.php3?id=179 adresinden 03 Mart 2004’de alınmıştır. ÖĞÜT, P. (2006). Küreselleşen Dünyada Bilgi Güvenliğine Yönelik Politikalar: Sayısal Đmza Teknolojisi ve Türkiye, Yayımlanmamış Yüksek Lisans Tezi, Ankara Üniversitesi, Sosyal Bilimler Enstitüsü. ÖZKAN,Ö. (2004). Veri Güvenliğinde Saldırı ve Savunma Yöntemleri, Yayımlanmamış Yüksek Lisans Tezi, Süleyman Demirel Üniversitesi, Fen Bilimleri Enstitüsü. ÖZKUL E., GĐRGĐNER N. (2001). Uzaktan Eğitimde Teknoloji ve Etkinlik. I. Uluslararası Eğitim Teknolojileri Sempozyumu, Sakarya Üniversitesi, 2830 Kasım 2001. Sakarya. Web: http://www.genbilim.com/content/view/ 4979/39/ adresinden 3 Mart 2004’de alınmıştır. 144 POULSEN, K. (2000). Mitnick to Lawmakers: People, Phones and Weakest Links. Web: http://www.politechbot.com/p-00969.html. adresinden 3 Mart 2004’de alınmıştır. RUSSELL, B. (Çev.Nail Bezel). (2001). Eğitim Üzerine (Beşinci baskı). Đstanbul: Say Yayınları. SASSE, M. A., BROSTOFF S. ve WEIRICH D. (2001). Transforming the ‘Weakest Link’ — a Human/Computer Interaction Approach to Usable and Effective Security. BT Technology Journal, http://www.cs.ucl.ac.uk/staff/A.Sasse/ttw.pdf 19(3), adresinden 122-131. 3 Web: Mart 2004’de alınmıştır. SCHEINER, B. (2000). Secrets and Lies. New York: John Wiley & Sons, Inc. SMITH P. L. ve RAGAN, T. J. (1999). Instructional Design (2nd ed). New York: Wiley & Sons, Inc. ŞĐMŞEK, Ş. (2002).Yönetim ve Organizasyon. Konya: Günay Ofset. TANDOĞAN, M., ÖZER, B., AKKOYUNLU B., KAYA, Z., ODABAŞI F., DERYAKULU, D., ĐMER G. (1998). Çağdaş Eğitimde Yeni Teknolojiler. T.C. Anadolu Üniversitesi Yayınları http://www.aof.edu.tr/kitap/IOLTP/1265/unite01.pdf No:1021. adresinden Web: 2 Şubat 2004’de alınmıştır. TC Devlet Teşkilatı Rehberi. (1998). Ankara: TODAĐE Yayını. TDK (Türk Dil Kurumu). (2009). Büyük Türkçe Sözlük. Web:http://www.tdk.gov.tr/ adresinden 2 Ocak 2009‘da alınmıştır. TONTA, Y. (1999). Bilgi Toplumu ve Bilgi Teknolojisi. Türk Kütüphaneciliği, 13.(4). 363-375. Ankara. Web:http://yunus.hun.edu.tr/~tonta/yayinlar/ biltop99a.htm adresinden 2 Şubat 2004’de alınmıştır. TOSUN, N. (2006). Bilgisayar Destekli ve Bilgisayar Temelli Öğretim Yöntemlerinin, Öğrencilerin Bilgisayar Dersi Başarısı ve Bilgisayar Kullanım Tutumlarına Etkisi: “Trakya Üniversitesi Eğitim Fakültesi Örneği”, Yayımlanmamış Doktora Tezi, Trakya Üniversitesi, Fen Bilimleri Enstitüsü, Bilgisayar Mühendisliği Ana Bilim Dalı. 145 TSĐCHRĐTZĐS, D. (1999). Reengineering The University. Communications of the ACM, 42 (6): 93-100. Web: http://www.ii.uni.wroc.pl/~psw/wayback/ www.sejm.gov.pl/wydarzenia/edukacja/denis.pdf adresinden 2 Şubat 2004’de alınmıştır. TUBĐTAK (2002). Bilgi Toplumu Politikaları Üzerine Bir Değerlendirme. Ankara. Web:http://www.bilten.metu.edu.tr/Web_2002_v1/tr/docs/dunya_bilgi_toplumu _zirvesi/TUBITAK-Bilgi Toplumu Politikalari Degerlendirmesi.pdf adresinden 3 Şubat 2004’de alınmıştır. UCISA (2006). UCISA Information Security Toolkit, Edition 2.0. Web: http://www.ucisa.ac.uk adresinden 12 Mart 2006’da alınmıştır. ULUBAY, M., ACARTÜRK, C. (2006). Geçmişten Geleceğe Projeksiyonlar: Bilgi Đşlem Birimleri Đçin Yol Haritaları. 8. Akademik Bilişim Konferansı. Denizli: Pamukkale Üniversitesi. Web: http://www.metu.edu.tr/~acengiz/ adresinden 4 Mart 2007’de alınmıştır. UZAY, N. (2001). Bilgi Teknolojilerindeki Gelişme ve Verimlilik Artışı. Đstanbul Üniversitesi Siyasal Bilgiler Fakültesi Dergisi. Đstanbul:No.25, 16. VIRTANEN, T.(2002). Four Views on Security, Unpublished Doctoral Thesis, Helsinki University of Technology, Department of Computer Science and Engineering. Web: http://www.tml.tkk.fi/~tpv/opiskelijat/tpv.pdf adresinden 3 Şubat 2004’de alınmıştır. VURAL, Y.; SAĞIROĞLU Ş. (2008). Kurumsal Bilgi Güvenliği ve Standartları Üzerine Bir Đnceleme. Gazi Üniv. Müh. Mim. Fak. Der. Cilt 23, No 2, 507522. YAHYAGĐL, M. Y.(2001). KOBĐ’lerde Bilgisayar Teknolojileri Uygulamaları. Đstanbul: Đstanbul Ticaret Odası. YALIN, H. Đ. (2004). Öğretim Teknolojileri ve Materyal Geliştirme. Ankara: Nobel Yayın Dağıtım. YILDIRIM, A. ve H. SĐMSEK. (1999). Sosyal Bilimlerde Nitel Araştırma Yöntemleri. Ankara: Seçkin Yayınevi. YILDIRIM, U. ve ÖNER, Ş. (2004). Bilgi Toplumu Sürecinde Yerel Yönetimlerde Eğitim-Bilişim Teknolojisinden Yararlanma : Türkiye’de E-Belediye 146 Uygulamaları. The Turkish Online Journal of Educational Technology – TOJET. ISSN: 1303-6521 Volume 3, Issue 1, Article 8. Web: http://www.nvi.gov.tr/attached/NVI/makale/16.pdf adresinden 12 Nisan 2005’de alınmıştır. YILMAZ, S. (2007). Öğretim Tasarımı Modellerinin Karşılaştırılması. Web: http://websitem.gazi.edu.tr/secil.yilmaz/DosyaIndir adresinden 4 Mart 2007’de alınmıştır. Yükseköğretim Kanunu (2547 Sayılı) (1981). Web: http://www.yok.gov.tr/content/view/435/183/lang,tr adresinden 5 Ocak 2008’de alınmıştır. 147 EKLER EK-1: Yükseköğretimde Bilgi Güvenliği Anketi EK-2: ÖBGYS Güvenlik Kontrol Listesi Ek-3: Üniversitelerde ÖBGYS Modeli Đle Oluşturulabilecek Örnek Dokümanlar EK-3.1: Örnek- Üniversite Bilgi Güvenlik Politikası EK-3.2: Örnek- Varlık Envanteri EK-3.3: Örnek- Risk Analiz Tablosu Ek-3.4: Örnek- Yöneticiler Đçin Hazırlanan Eğitim Materyali Ek-3.5: Örnek- Kullanıcılar Đçin Hazırlanan Eğitim Materyali Ek-3.6: Örnek- Teknik Personel Đçin Hazırlanan Eğitim Materyali 148 EK-1: Yükseköğretimde Bilgi Güvenliği Anketi 149 150 151 EK-2: ÖBGYS Güvenlik Kontrol Listesi Üniversitede bilgi güvenlik yönetim sistemi ile ilgili aşağıdaki ifadelere cevap verebilir misiniz? No Soru Evet Hayır Açıklama 1 Üniversitede bilgi güvenliğinin tanımı ve bilgi güvenliğinin sağlanması için politikalar/kurallar içeren dokümantasyon mevcuttur. 2 Üniversite kritik varlıklarının (bilgi varlıkları, BT sistemleri vb.) tanımlanması, sınıflandırması ve kullanımı için dokümantasyon mevcuttur. 3 Risk analizi gerçekleştirilmesi hakkında dokümantasyon mevcuttur. 4 Üniversitede kayıtların/belgelerin ne kadar süre saklanması gerektiğini belirten dokümantasyon mevcuttur. 5 Üniversitede kullanıcılara yönelik, BT sistemlerinin ve uygulamaların kabul edilir kullanım kuralları hakkında dokümantasyon mevcuttur. 6 Kullanıcılara yönelik zararlı kodlardan (virüs, worm vb.) korunma hakkında dokümantasyon mevcuttur. 7 Üniversitede kullanıcılara yönelik, şifre seçiminde ve kullanımında dikkat edilmesi gereken hususları içeren dokümantasyon mevcuttur. 152 No Soru 8 Kullanıcıların fiziksel güvenlik veya BT sistemleri hakkında taleplerin, problem ve sorunların (şüphelenilen güvenlik olayları dahil olmak üzere) bildirimi için kullanılacak dokümantasyon mevcuttur 9 Acil Durumlarda/felaket durumlarında yapılacakların anlatıldığı dokümantasyon mevcuttur. 10 Yapılacak sözleşmeler içerisinde gerektiğinde gizlilik ve bilgi güvenliği hususlarının da eklenmesi gerektiğini belirten dokümantasyon mevcuttur. 11 Disiplin kurallarını içeren ( içerisinde bilgi güvenlik ihlalleri de belirtilmiştir) dokümantasyon mevcuttur. 12 BT sistemleri için risk analiz dokümantasyonu mevcuttur. 13 BT sistemlerinin envanteri (ayrıt edici kod, tanımı, hangi amaçla kullanıldığı, yönetim sorumlusu, lokasyonu vb.) mevcuttur. 14 BT sistem topoloji çizimleri (örneğin veri iletişim altyapı çizimi vb.) mevcuttur. Evet Hayır Açıklama 153 No Soru 15 BT sistemlerinin kurulum ve konfigürasyon (güvenlik konfigürasyon standartlarını içeren) dokümantasyonu mevcuttur. 16 Sistemler üzerinde kullanıcının tanımlanmasını sağlayan elektronik kimlikler için (uygulamaya girmek için kullanılan kullanıcı adı veya token, akıllı kart vb. araçlar) ilk kez tanımlamadan, iptal edilmesine kadar süreçler için sorumlulukları da belirten dokümantasyon mevcuttur. 17 Sistemler üzerinde kullanıcı tanımlama (kullanıcı adı standardı) ve kullanıcı şifrelerine yönelik (şifre uzunluğu, ilk girişte şifre değiştirme, şifre zaman aşımı, şifre kilitleme, şifre seçiminde sınırlandırmalar vb.) kuralları içeren dokümantasyon mevcuttur. 18 Üniversitede BT sistemlerinin ve uygulamaların güncellemeleri ( yama, yeni versiyon vb.) ve takibi için dokümantasyon mevcuttur. 19 Üniversitede bilgi ve BT sistemlerinin yedeklenmesi konusunda (nelerin yedeğinin hangi periyotta alındığı, nasıl yedekleme alındığı, nasıl restore/geri yükleme yapıldığı vb.) dokümantasyon mevcuttur. Evet Hayır Açıklama 154 No Soru 20 Sistemler üzerinde otomatik olarak hangi kayıtların tutulacağına ve bu kayıtların ne kadar süre saklanacağına yönelik dokümantasyon mevcuttur. 21 Eğer Üniversite kullanımı için uygulama geliştirme yapılıyorsa güvenlik için kurallar ve standartları belirten dokümantasyon mevcuttur. 22 Kritik merkezi BT sistemlerinin olduğu ortama (sistem platformuna) kimlerin giriş yapabileceği belgelenmiştir. 23 Yönetim, üniversite içinde uygulanacak güvenlik tedbirlerini aktif olarak desteklemektedir. 24 Üniversitede (Personel, öğrenciler, destek hizmeti alınan 3. taraflar vb. için) bilgi güvenliği rolleri ve sorumlulukları tanımlanmıştır. 25 3. taraflarla yapılan sözleşmeler içerisinde güvenlik gereksinimleri, bilgi güvenliğine yönelik ilkeler ve sorumluluklar belirtilmektedir. 26 Servis kesintisi veya felaket durumlarında sorumluluklar belirlenmiştir Evet Hayır Açıklama 155 No Soru 27 Personeli işe alırken referans bilgilerin doğruluğu kontrol edilmektedir 28 Üniversitede BT güvenlik gereksinimlerini yerine getirebilmek için gerekli kalifiye elemanlar işe alınmakta ve yetiştirilmektedir. 29 Üniversite ile ilişiği kesilen kullanıcıların BT sistemlerindeki kullanıcıları/erişim yetkileri kaldırılmaktadır. 30 Kullanıcı erişim hakları düzenli olarak gözden geçirilmektedir. 31 BT sistemleri kullanımında kişilere görevleri için gereken minimum yetki tanımlaması yapılmaktadır. 32 Kritik işlerde görev ayrımı yapılmaktadır. Bir işin yetkilendirilmesi ile o işin gerçekleştirilmesi farklı kişiler tarafından yapılmaktadır. 33 Bilgi güvenliğine yönelik farkındalık yaratmak ve sorumlulukların aktarılması için bilinçlendirme ve bilgilendirme ortamları sağlanmaktadır. Evet Hayır Açıklama 156 No Soru 34 Üniversitede bilgi güvenliğine yönelik kurallar ve dokümanlar kişilerin kullanımı için yayınlanmıştır. 35 Bilgi güvenliğine yönelik seminerler periyodik olarak tekrarlanmaktadır 36 Üniversite güvenlik konusunda uzmanlaşmış forum, topluluklar ve profesyonel derneklerle irtibat halindedir. 37 Üniversitede bilgi güvenliğinin sağlanabilmesi için gerekli kuralların görüşüldüğü sürekli bir iletişim ortamı sağlanmaktadır. 38 Üniversitede kullanılan kritik tüm varlıklar (BT sistemleri ve bilgi varlıkları da dahil olmak üzere) değeri, yasal gereksinimler ve kritikliği dikkate alınarak sınıflandırılmakta ve envantere kaydedilmektedir. 39 Personelin, öğrencilerin ve diğer kişilerin sadece erişmeye yetkili oldukları bilgilere erişmeleri sağlanmaktadır ve önemli bilgiler sadece yetkili kişilere dağıtılmaktadır. 40 Üniversitede bilginin doğruluğu, geçerliliği, bütünlüğü çeşitli kontrollere tabi tutulmaktadır. Evet Hayır Açıklama 157 No Soru 41 Üniversitede BT sistemlerindeki kritik bilgilerin ve sistemlerin yedeklemelerinin periyodik alınması sağlanmaktadır. 42 Bir felaket veya sistem hatasından sonra gerekli tüm bilgilerin ve yazılımların kurtarılmasını sağlayacak yedekleme kabiliyeti mevcuttur. 43 Kritik bilgiler sistemler üzerinde şifrelenmektedir. 44 Üniversitede gerekli bilgi ve hizmetlerin güvenliğinin sağlanması için risk değerlendirmesi yapılmaktadır. 45 Felaket Kurtarma Planları güncellik ve etkinliklerinin sınanması açısından düzenli olarak test edilmektedir. 46 Güvenlik gereksinimlerini belirlemek için BT sistemleri dikkate alınmaktadır 47 Güvenlik gereksinimlerini belirlemek için sürekli gelişen teknoloji takip edilerek BT sistemleri güvenliği için gerekli ek güvenlik gereksinimleri dikkate alınmaktadır. Evet Hayır Açıklama 158 No Soru 48 Güvenlik gereksinimlerini belirlemek için insan unsuru dikkate alınmaktadır. 49 Güvenlik gereksinimlerini belirlemek için süreçler ve verilen servisler dikkate alınmaktadır 50 Güvenlik gereksinimlerini belirlemek için fiziksel ve çevresel ortam dikkate alınmaktadır 51 Güvenlik gereksinimlerini belirlemek için üniversite dışı tedarikçilere olan bağımlılık dikkate alınmaktadır 52 Güvenlik gereksinimlerini belirlemek için karşı karşıya olunan riskler dikkate alınmaktadır. 53 Güvenlik gereksinimlerini belirlemek için gizlilik, fikir hakları, yasal, düzenleyici ve sözleşmelere dayalı gereksinimler dikkate alınmaktadır. 54 Üniversitede güvenlik gereksinimlerinin yerine getirilmesi sağlanmaktadır. Evet Hayır Açıklama 159 No Soru 55 Yeni bir BT sistemi veya uygulama devreye alınmadan önce fonksiyonel ve operasyonel güvenlik gereksinimlerine karşı kontrol/test edilmektedir. 56 Düzenli olarak güvenlik mekanizmalarının işlerliği kontrol edilmekte, güvenlik istisnaları izlenmekte ve güvenlik kontrollerinin yeterliliği değerlendirilmektedir. 57 Yazılımların lisanslı olduğu ve lisansa uygun kullanılıp kullanılmadığı düzenli olarak gözden geçirilmektedir. 58 Üniversitede fiziksel güvenlik sağlanmaktadır. 59 Üniversitede kritik varlıklar (BT sistemleri, depolama teçhizatları, yedekleme medyaları, kayıt ve belgeler vb.) çalınmaya, hasara, kaybolmaya karşı korunmaktadır. 60 Ekipmanlar çevresel tehditlerden ve tehlikelerden kaynaklanan riskleri ve yetkisiz erişim fırsatlarını azaltmak üzere uygun bir şekilde yerleştirilmiştir ve korunmaktadır. 61 Kritik hizmetleri destekleyen enerji ve haberleşme kabloları kesilme veya hasarlardan korunmaktadır. Evet Hayır Açıklama 160 No Soru 62 Kritik bilgi sistemlerinin bulunduğu ortamda (sistem platformu) ek fiziksel ve çevresel kontroller (örneğin kamera sistemi, giriş kontrolleri, ups, jeneratör, soğutma, yangın söndürme sistemi vb.) bulunmaktadır. 63 BT sistemlerinin düzenli bakımı yapılmaktadır. 64 Fiziksel güvenlik ihlalleri ve bilgi güvenliğine yönelik ihlaller/şüpheli olaylar raporlanmaktadır. 65 Kullanılan dokümanların güncel tutulması sağlanmaktadır. 66 Kapasite planlaması için sistem kaynaklarının ne oranda kullanıldığı izlenmekte ve ileriye dönük kapasite planlaması yapılmaktadır. 67 Değişen ihtiyaçlar doğrultusunda değişen güvenlik tehditleri de göz önüne alınarak kullanılan BT sistemleri (güvenlik sistemleri de dahil olmak üzere) güncellenmektedir. 68 Üniversitede kullanılan BT sistemlerinin ve uygulamaların düzenli güncellemeleri (üretici tarafından yayınlanan yama, yeni versiyon vb. güncellemelere yönelik testler, bunların uygulanması) ve takibi Evet Hayır Açıklama 161 No Soru yapılmaktadır. 69 BT sistemlerinde etki alanı büyük değişiklikler için değerlendirilme yapılmakta, test edilmekte ve kayıt tutulmaktadır. 70 Geliştirme ve test ortamları esas çalışma ortamından ayrılmıştır. 71 Đnternet üzerinden erişilen sunucular birden fazla güvenlik katmanı (örneğin güvenlik duvarı, saldırı tespit sistemi, iletişim ağ cihazlarındaki ayrımlar, erişim kontrol mekanizmaları, sunucu güvenlik sıkılaştırması vb.) tarafından korunmaktadır. 72 Üniversite yerel ağında ayrımlar (sanal özel ağ VPN) yapılmaktadır ve Đnternette doğrudan açık olan sunucular ayrı bir ağ segmentinde yer almaktadır. 73 Üniversite sistemlerinde virüs koruma yazılımları kullanılmaktadır. 74 Virüs koruma yazılımının gerçek zamanlı koruma (realtime protection) özelliği kullanılmaktadır. Evet Hayır Açıklama 162 No Soru 75 Virüs koruma yazılımının otomatik güncelleme yapmasını sağlayacak teknikler kullanılmaktadır. 76 Sistemler üzerinde otomatik olarak kayıtlar (loglar) üretilmektedir ve belli bir süre saklanmaktadır.(Erişimi izlemek ve gerektiği takdirde soruşturmalarda kullanmak üzere kullanıcı faaliyetleri ve güvenlik ile ilgili olay kayıtları ) 77 BT sistemlerindeki kayıtlar şüpheli bir olay ihtimaline karşın incelenmektedir. 78 Sistem ve uygulamalara giriş için kullanıcı adı ve şifre kullanılmaktadır. 79 Her kullanıcının BT sistemlerini ve uygulamaları kullanabilmek için tanımlanmış ayrıt edici özellikte bir kullanıcı adı bulunmaktadır. 80 Sistemler üzerinde şifre uzunluğu, ilk girişte şifre değiştirme, şifre zaman aşımı, şifre kilitleme ve şifre seçiminde sınırlandırmalar vb. uygulanmaktadır. Evet Hayır Açıklama 163 EK-3: Üniversitelerde ÖBGYS Modeli Đle Oluşturulabilecek Örnek Dokümanlar 164 EK-3.1:Örnek- Üniversite Bilgi Güvenlik Politikası ABC ÜNĐVERSĐTESĐ BĐLGĐ GÜVENLĐK POLĐTĐKASI BĐRĐNCĐ BÖLÜM Amaç, Kapsam ve Tanımlar Amaç Madde 1 - Bu politikanın amacı, Üniversitemizde küresel ölçekte üretilmiş, en son bilimsel ve teknolojik bilgiyi elde edip; yeniden üretmek ve topluma sunmak için faaliyetlerimizin dayanağı olan bilginin üretilmesi, saklanması, korunması ve paylaşımı sürecinde Bilişim Kaynaklarımızın kullanımında ihtiyaç duyulan düzeyde bilgi güvenliğini sağlayacak olan ilkeleri belirlemektir. Üniversitemizde bilgi güvenliğine verilen önemin gösterilmesi yanı sıra bilgi güvenliğine yönelik temel sorumlulukların belirlenmesi; bilgi güvenliğine yönelik istenmeyen olayların oluşma riskini ve/veya etkisini azaltmak; tüm personel ve öğrencilerimizle birlikte üniversite paydaşlarının yeterli seviyede uyarılması, bilgilendirilmesini sağlamak amacıyla hazırlanmıştır. Kapsam Madde 2 - Bu politika, tüm personeli, öğrencileri ve Bilişim Kaynaklarını kullanan misafir ve üniversite paydaşlarını; Bilişim Kaynaklarını; fiziksel alanları ve üniversite süreçlerinde bilgi güvenlik konularıyla ilgili temel hususları kapsar. Tanımlar Madde 3 - Bu yönergede geçen terimlerden: a) Bilgi güvenliği: Bilginin; gizliliği (bilginin sadece erişim yetkisi verilmiş kişilerce erişilebilir yöntemlerinin olduğunun doğruluğunun sağlanması), ve bütünlüğü bütünlüğünün (Bilginin ve sağlanması) işleme ve kullanılabilirliğinin/erişilebilirliğinin (yetkili kullanıcıların; gerek duyulduğunda, bilgiye ve ilişkili kaynaklara erişebilmelerinin sağlanması) korunmasını, b) Üniversite: ABC Üniversitesi’ni, 165 c) Bilişim Kaynakları: Mülkiyet hakları Üniversite'ye ait olan, Üniversite tarafından lisanslanan/kiralanan/yönetilen ya da Üniversite tarafından kullanım hakkına sahip olunan her türlü bilgisayar/bilgisayar ağı, donanımı, yazılımı ve servisleri, d) Kullanıcı: Üniversite Bilişim Kaynaklarını kullanan, bu kaynaklar üzerinde gerekli yetkilendirme tanımları yapılarak yetki verilen özel ve tüzel kişileri, e) BĐDB: Bilgi Đşlem Daire Balkanlığı’nı, f) Birimler: Üniversite Bilişim Kaynaklarını kullanan ve/veya kullanıma sunan akademik ve idari birimleri, g) Risk: Üniversiteye veya paydaşlarına zarar verme potansiyeli olan durumu veya bir varlıktaki/süreçteki bir açıklığın (zafiyetin) bir tehdit tarafından kullanılma (exploit) ihtimalini; h) Risk Değerlendirmesi: Bilişim Kaynaklarının, zafiyetlerin ve tehditlerin dikkate alınarak risklerin belirlenmesi; risklere karşı mevcut kontrollerin dikkate alınarak bu risklerin oluşma olasılığı ve oluşması durumunda etkisinin analiz edilmesi ve riskin oluşma olasılığı ve/veya etkisinin azaltılması için alınabilecek aksiyonların belirlenmesini; i) Risk Yönetimi: Bilişim Kaynaklarını/mevcut süreçleri etkileyebilecek olan risklerin; uygun bir maliyette tanımlanması, kontrol edilmesi ve en aza düşürülmesi veya ortadan kaldırılması sürecini, j) Yedekleme(Backup): Orijinalleri bozulduğunda, en az kayıpla geri yüklemeyi sağlayacak şekilde ilgili verilerin kopyalarının gereken zamanlarda alınması, geri yüklenecek şekilde muhafazası ve talep üzerine bu verilere erişimin sağlanmasına yönelik işlemleri, ifade eder. 166 ĐKĐNCĐ BÖLÜM Bilgi Güvenliğine Đlişkin Yetki ve Sorumluluklar Madde 4 - Üniversitede bilgi güvenliği sağlanabilmesi için herkesin katılımı ve katkısı gerekir. Madde 5 - Üniversitede bilgi güvenliğinin sağlanabilmesi için bu politika yanı sıra politika dokümanında referans verilmiş olan diğer dokümanlar da uygulanır. Bilgi Güvenlik Kurulu Madde 6 - Üniversitede bilgi güvenliğinin sağlanabilmesi için Genel Sekreterlik tarafından atanan BĐDB , Öğrenci Đşleri Daire Başkanlığı, …….., ……….. yetkililerinden bir komite oluşturulmuştur. Madde 7 - Bu komite gerektiğinde ve/veya 6 ayda bir toplanır. Komite tarafından gerektiğinde ilgisine göre diğer Birimler’de davet edilir. Madde 8 - Komite bilgi güvenliğinin sağlanması ve artırılmasına ilişkin çalışmaları belirleyerek, takip eder ve Genel Sekreterliğe raporlar. Madde 9 - Üniversitede bilgi güvenliği konusunda çalışmaların belirlenmesi ve koordinasyonunu sağlar. Madde 10 - Gelen önerileri değerlendirir. Üniversitede Birimler Arası Koordinasyon Madde 11 - Bilişim Kaynaklarında bilgi güvenliğinin sağlanabilmesi için Birimler BĐDB koordinasyonunda işbirliği yapar. BĐDB gerektiğinde bilgi güvenliğinin sağlanabilmesi için Birimlere destek olur ve denetimlerle politikaya uyumun sağlandığını kontrol eder. Kullanıcı ve Birim Sorumlulukları Madde 12 - Kullanıcılar ve Birimlerin Üniversite’de bilgi güvenliğinin sağlanabilmesi için katılım ve katkısı şarttır. Bu dokümanda belirtilen uyulur. politikalara 167 Madde 13 - Kullanıcılar ve Birimler Üniversitede bilgi güvenliğinin sağlanması konusundaki önerilerini Bilgi Güvenlik Kurulu’na iletilmek üzere BĐDB ’ye bildirebilirler. Madde 14 - Kullanıcılar Bilişim Kaynaklarında kendilerine tahsis edilen kullanıcı adlarına ilişkin faaliyetlerden ve kullandıkları Bilişim Kaynaklarında tutulan denetim kayıtlarına göre yapılan faaliyetlerden sorumludur. Bilişim Kaynaklarını Yöneten/ Kullanıma Sunan Birimler, Madde 15 - Kullanıcı bilgilerinin gizliliğini, mahremiyetini korur, Madde 16 - Kaynakların adil olarak paylaştırılmasını sağlar, Madde 17 - Kaynağa yönelik tehditleri en aza indirebilmek için risk analizlerini BĐDB koordinasyonunda gerçekleştirerek risk düzeylerine göre gerekli güvenlik önlemlerini alır, Madde 18 - Bilişim Kaynakları ve buna bağlı servislerin kritiklik değerlendirmesini yapar ve gerekiyorsa bunları yedekler, Madde 19 - Güvenliği ilgilendiren durumlarda kanıt özelliği taşıyabilecek bilgileri, kaynakları kullananların kimliğinin tespit edilmesini sağlayacak düzende tutulmasını sağlar, Madde 20 - Sistemlerin yönetiminde işbu politika Đlkerlerine ve BĐDB’ nın belirleyeceği kural ve standartlara uyumu sağlar. Madde 21 - Rektörlük adına BĐDB , doğrultusunda işbu politika üzerinde teknik, yasal ve idari gelişmeler güncelleme http://www.abc.edu.tr/............ adresinden takip edilebilir. yapabilir. Son durum 168 ÜÇÜNCÜ BÖLÜM Bilgi Güvenlik Politikası Bilişim Kaynaklarının Kabul Edilir Kullanımı Madde 22 - Üniversite’de Bilişim Kaynakları Kullanımı “Bilişim Kaynakları Kullanım Yönergesi”ne uygun olarak gerçekleştirilir. Madde 23 - Bilişim Kaynaklarının, Üniversitenin eğitim; öğretim; araştırma; geliştirme; toplumsal hizmet (bilimsel, teknolojik ve kültürel bilginin yayılması) ve idari/yönetimsel faaliyetleri için kullanımı esastır. Bunlar dışındaki kullanım, bahsedilen faaliyetleri kısıtlayıcı/engelleyici olmamak koşulu ile mümkündür. Madde 24 - Kullanıcılar kullanımlarına tahsis edilen/mülkiyeti kendilerine ait olan kaynakların güvenliği ile ilgili kişisel önlemlerini almalı, bu kaynaklar üzerinde yer alan bilgileri, kritik olma düzeyine göre yedeklemelidir. Madde 25 - Kullanıcılar kendilerine verilmiş olan yetkileri genişletmeye veya aşmaya teşebbüs edemez, mevcut güvenlik kontrollerini atlatmaya yönelik davranışlarda bulunamaz. Madde 26 - Bilişim Kaynakları, BĐDB ve/veya ilgili sistemin yönetiminden sorumlu Birim’ce belirlenmiş kurallar ve yönergelere uygun olarak, kullanıcıya verilmiş olan yetkinin veriliş amacına uygun olarak kullanılır. Bu makamların onayı olmadan sistem üzerinde yetki değişikliği yapılmaya teşebbüs edilmemelidir. Madde 27 - Bilişim Kaynakları, Üniversite yönetmeliklerine, Türkiye Cumhuriyeti yasalarına ve bunlara bağlı olan yönetmeliklere aykırı faaliyetlerde bulunmak amacıyla kullanılamaz. Madde 28 - Bilişim Kaynakları; altyapısını, bağlı donanımlarını veya yazılımlarını zarara uğratan, tahrip edici, zedeleyici veya sağlıklı çalışmasını engelleyici hiçbir girişimde bulunulmadan kullanılır. Madde 29 - Bilişim Kaynakları; genel ahlak ilkelerine aykırı materyal üretmek, barındırmak, iletmek; siyasi propaganda yapmak; alıcının istemi dışında mesaj (SPAM iletiler) göndermek; yazı, makale, kitap, film, müzik eserleri ve bunlar gibi materyalin, 169 fikri ve sınaî hakları ihlal edici mahiyette erişime açılması ve dağıtılması; yetkisi olmadığı halde bir kaynağa/veriye erişmeye çalışmak; diğer kullanıcıların kullanımını engellemeye çalışmak; Bilişim kaynaklarında kullanılan güvenlik kontrollerini baypas etmeye çalışmak vb. gibi amaçlarla kullanılmaz. Madde 30 - Kullanıcılar, Üniversitemizin, internet çıkışını sağlayan Ulusal Akademik Ağ ve Bilgi Merkezinin (ULAKBĐM) ağ yönetim birimi olan Ulusal Akademik Ağ (ULAKNET) tarafından yürürlüğe konulan “Kabul Edilebilir Kullanım Politikası Sözleşmesi” ne uygun davranır. Madde 31 - Bilişim Kaynakları (yazılım, donanım vb.) bu kaynakların kullanım kurallarına ve koşullarına (izin, kaynak gösterim koşulu, telif hakkı, lisans koşulları, ağ kullanım kuralları, vb.) uyularak kullanılır. Şifre Seçimi ve Kullanımı Madde 32 - Bilişim Kaynakları’na giriş için kullanılan şifrelerin seçiminde: güvenlik için tahmin edilmesi ve bulunması zor olan (Soy isim veya ad; üniversite ismi, kimlik numarası; araç plaka kayıt numarası; zamanla ilgili şifreler ay, yıl, gün vb.; telefon numarası gibi şifreler seçilmemelidir), kullanıcı hakkında bilgi içermeyen şifreler seçilir. Madde 33 - Şifrenin 6 karakterden fazla olması ve içinde hem alfabetik, hem sayısal hem de özel karakter içermesi tercih edilir. Madde 34 - Şifreler gizli tutulur, başkaları ile paylaşılmaz ve otomatik sistem girişleri sırasında kaydedilmez. Madde 35 - Şifreler düzenli olarak veya Bilişim Kaynağı ile şifrenin güvenliği tehlikeye düştüğü durumlar ortaya çıktığı zaman kullanıcı tarafından değiştirilir. Madde 36 - Ekipman ve yazılım üreticileri tarafından ürün kurulumu ile birlikte standart olarak gelen ilk şifreler derhal değiştirilir ya da ihtiyaç duyulmadığı an iptal edilir. Madde 37 - Sistemin kritikliğine göre Bilişim Kaynaklarındaki şifrelerin belirlenecek periyotlarda kullanıcı tarafından değiştirilmesi zorlanması sağlanır. 170 Art Niyetli Yazılımlardan Korunma Madde 38 - Üniversite Bilişim Kaynakları’nın ve bu kaynaklarda yer alan bilgilerin güvenliğinin sağlanması için art niyetli yazılımlardan korunmaya yönelik uygulamalar kullanılır. Madde 39 - Anti-virüs uygulamalarının gerçek zamanlı koruma özelliği kullanılır ve bilgisayardaki güvenlik veya anti-virüs uygulaması kapatılmaz. BĐDB tarafından gönderilen duyurular uygulanır. Madde 40 - Đşletim sistemi, güvenlik ürünleri vb. uygulamaların güncellemeleri düzenli yapılır. Madde 41 - Internet’ten edinilen bilgilerin ve dosyaların güvenilir olmadığı dikkate alınır. Madde 42 - Kullanıcıların, Đnternetin sağladığı ICQ, Chat, sohbet odaları gibi ortamları kullanmaması ve bu gibi paylaşım sitelerinden indirdikleri dosyaları kullanmaması önerilmektedir. Madde 43 - Şüpheli veya yetkisiz kaynaklardan gelen dosyalar ve güvenilmeyen iletişim ağlarından (örneğin Đnternet) gelen/edinilen dosyalar, kullanılmadan önce art niyetli yazılımlara karşı kontrol edilir, antivirus uygulaması ile taranır. Madde 44 - Kullanıcı bilgisayarında mümkün olduğunca paylaşımlı dizinler kullanmaz ya da paylaşıma açılan dizinler üzerinde özel yetkilendirmeler tanımlanarak (paylaşıma erişebilecek kullanıcı ve yetkisi seçilerek) kullanılır. Madde 45 - Her türlü tedbire rağmen virüs bulaşabileceği göz önünde bulundurularak önemli bilgilerin/ dosyaların yedeklemesi alınır. Madde 46 - Bilgisayarın art niyetli yazılımlardan etkilenmesi ihtimali olduğunda BĐDB destek alınır. Madde 47 - Bilgisayarına sık sık art niyetli yazılım (örneğin virüs) bulaştıran ve BĐDB uyarılarını dikkate almayan kişiler hakkında idari işlem başlatılır. 171 Bilgi Güvenlik Olaylarının/Zayıflıkların Raporlanması Madde 48 - Bilgi güvenliğine yönelik tespit edilen zafiyetler ve/veya olaylar örneğin a) Sisteme kötü niyetli yazılım bulaşması ihtimali; b) Bilişim Kaynaklarının veya bu kaynaklar üzerindeki bilgilerin çalınması, değiştirilmesi; c) Gizliliğin ihlali, kritik bilginin yetkisiz kişilere ifşası; d) Đhtiyacı olmadığı halde sistemlere erişimin olması; e) Sistemlerde güvenlik zafiyetlerinin tespit edilmesi; f) Bilişim kaynaklarının yönetiminden sorumlu Birim(lerin) veya BĐDB’ nin sistem üzerindeki denetim kayıtları incelemelerinde şüpheli durumlar tespit etmesi; g) Ağ sistemlerinde normalin üzerinde trafik tespit edilmesi vb. BĐDB ’ye en kısa sürede bildirilir. Madde 49 - BĐDB tarafından gerekli inceleme ve müdahale işlemi gerçekleştirilir. BĐDB Bilgi Güvenlik Kurulu toplantılarında geçmiş döneme ilişkin bilgileri sunar. Bilgi Güvenliği Farkındalığı Madde 50 - BĐDB bilgi güvenliği farkındalığının artırılması için seminerler düzenlenmesi, kullanıcılara yardımcı olacak materyallerin hazırlanması ve sunulması gibi faaliyetleri yerine getirir. Personelin bu seminerlere katılması gereklidir. Görevlerin Ayrımı Madde 51 - Kritik faaliyetlerin (örneğin satın alma siparişinin verilmesi ve malların alındığının doğruluğunun kanıtlanması faaliyetleri; Bilişim Kaynakları sistem yönetimi ile veritabanı yönetimi faaliyetleri) mümkünse ayrımı ve tek bir kişiye bağımlı olunmaması sağlanır. 172 Madde 52 - Bilişim Kaynaklarında kullanıcı tanımlanmasına yönelik yapılacak tüm yaratma, değişiklik, kaldırma istekleri, yetkili makamca onaylandıktan sonra gerçekleştirilir ve bu istekler, alınan ve uygulanan kararlar kayıt altına alınır. Bilişim Kaynakları Envanteri Madde 53 - Üniversitede kritik varlıkların envanteri güncel tutulur. Madde 54 - Birimler sahip oldukları ve yönettikleri bilgi varlıkları için ek-1 deki “varlık envanter”ini hazırlar, kritiklik sınıflandırmasını belirler ve güncel tutar. Madde 55 - Bilişim Kaynaklarını yöneten Birimler ek-1 de bulunan envanterde ayrıca Bilişim Kaynakları ile ilgili diğer kısımları doldurur ve kritiklik sınıflandırmasını belirler. Bu alandaki Yedekleme bilgilerinin doldurulması ve güncel tutulmasını da sağlar. Yedekleme Madde 56 - Üniversitede Bilişim Kaynakları üzerinde tutulan kritik bilgilerin yedeklenmesinde; a) Merkezi hizmet veren sunucuların bir felaket anında üzerindeki bilgilerin tamamen kaybedilmesi ve yeniden kurulması ihtimaline karşın düzenli olarak yedeklemesi alınır ve alınan yedeklemelerin test edilmesi sağlanır. b) Yedekleme işlemi yapıldığında; yedekleme işlemini yapan Birim tarafından yedekleme işlemi kontrol edilir. Varsa yedeklemelere ait sistemler tarafından üretilen sistem hata kayıtları incelenir, hataların çözümü sorumlu Birimler tarafından analiz edilerek gerçekleştirilir c) Elde edilen yedekleme medyaları etiketlenerek işaretlenir; yedekleme işlemleri sonunda oluşan medyalar, ihtiyaç duyulduğunda kullanılmak üzere güvenli ortamlarda (varsa yanmaz ve kilitli kasada yoksa kilitli bir dolapta) saklanır. d) Alınan yedekler, iş gereklilikleri ve kanuni saklama süresi yükümlülükleri de göz önünde bulundurularak belirlenecek süre saklanır. 173 e) Mümkünse bu yedeklemelerin birer kopyası fiziksel hasar görme riskine karşın farklı bir binada benzer şekilde fiziksel güvenliği sağlanmış bir alanda tutulur. f) Đlk yedekleme başlangıcında ve varlık envanterindeki yedekleme bilgilerinde belirlenen periyotlarda, yedeklemelerden örnekleme yolu ile seçilen medyalardan yedekleme geri dönüş testi yapılır. Test sonucu, ve tarihi varlık envanterine işlenir. Risk Yönetimi Madde 57 - Bilgi güvenliğini etkili bir şekilde sağlayabilmek için risk yönetimi yapılır. Madde 58 - Risk yönetiminin amacı risklerinin tanımlanması ve önceliklerinin belirlenmesi, bu risklerin kabul edilebilir bir seviyeye çekilmesi için gerekli aksiyonların planlanmasını sağlamaktır. Madde 59 - Risklerin azaltılması ya da ortadan kaldırılmasına yönelik kontrol ve çözüm alternatifleri; maliyet, uygulanabilirlik ve yararlılık ilkeleri doğrultusunda değerlendirilir, gerekli önlemler planlanarak uygulanır. Risk yönetimi devamlı bir süreçtir. Madde 60 - BĐDB ve Bilişim Kaynaklarını yöneten Birimler (gerektiğinde BĐDB desteğini alarak) ek-2 deki “Risk Analiz Tablosunu” doldurur ve konsolide edilerek Bilgi Güvenlik Kuruluna sunulmak üzere BĐDB ’ye gönderir. a) Risk değerlendirmesi çalışmasında risk olasılık ve etki değerlerinin verilmesinde Risk Analiz Tablosunda detayları verilen 5’li ölçek kullanılır. b) Risk değerlendirmesi gerektiğinde ve/veya yılda bir kez gözden geçirilir. Madde 61 - Değerlendirmesi yapılan riskler için aşağıdaki aksiyonlardan biri alınabilir: a) Risk kabul edilebilir (Risk değerlendirmesinde belirlenen değer, tespit edilen eşik seviyesinin -istenen/taşınabilir risk seviyesi- altında ise veya riskin etkisi veya oluşma olasılığını azaltacak kontrollerin maliyeti riskin meydana gelmesi durumunda yaratacağı kayıplara göre fazla ise riskle ilgili bir aksiyon alınmaz) 174 b) Riskin meydana gelmesine neden olan süreç/sistem artık işletilmez. c) Risk başka bir kuruma transfer edilebilir, örneğin riskle ilgili süreç dış kaynak kullanılarak gerçekleştirilebilir. d) Maliyet değerlendirmesi sonucunda riskin oluşma olasılığı veya etkisini azaltmaya yönelik çalışma yapılabilir. Fiziksel ve Çevresel Güvenlik Madde 62 - Üniversite alanlarında gerekli fiziksel ve çevresel güvenlik önlemleri alınır. Madde 63 - Kritik (örneğin Rektörlük, merkezi bilişim kaynaklarının bulunduğu sistem odası gibi) alanlarda fiziksel güvenlik personeli, kilit, kamera sistemi gibi ek kontroller uygulanır. Bu alana erişecek kişiler belirlenir ve bu kişilerin dışında alana girişler yetkili olan kişilerin refakatinde gerçekleştirilir. Madde 64 - Merkezi Bilişim Kaynaklarının bulunduğu bu alanlarda gerekli çevresel kontroller (klima, yükseltilmiş döşeme, kesintisi güç kaynağı, ihtiyaca göre nem tespit sistemi, jeneratör vb.) kullanılır. Madde 65 - Bilişim Kaynakları yetkisi olmayan kişiler tarafından, ilgili sistemi yöneten Birimin veya BĐDB onayı alınmadan fiziksel olarak bulunduğu yerden dışarı çıkartılmaz. Sistem Odaları Madde 66 - Sistem odaları kritik Bilişim Kaynaklarını içerdiği için ek fiziksel ve çevresel güvenlik kontrolleri uygulanır. Madde 67 - Sistem odasına sadece ilgili sistem odasında bulunan Bilişim Kaynaklarını yöneten Birim tarafından belirlenen kişiler girebilir. Temizlik, teknik destek vb. durumlarda bu alanda yapılacak çalışmalar odaya giriş yetkisi bulunan bir kişinin refakatinde gerçekleştirilir. Madde 68 - Sistem odasının girişini ve mümkünse ayrıca sistem odasının içerisini görüntüleyecek şekilde güvenlik kamera montajı yapılır. 175 Madde 69 - Sistem odası sıcaklığının belli bir seviyede tutulması için gerekli teçhizatlar (sıcaklık ölçüm araçları, klima vb.) yerleştirilir. Madde 70 - Sistem odasındaki sistemlerin elektrik kesintilerinden ve voltaj değişikliklerinden etkilenmemesi için kesintisiz güç kaynağı kullanılır. Mümkünse kesintisiz güç kaynaklarının besleyebileceği süre dikkate alınarak uzun süreli elektrik kesintisi riskine karşın jeneratör temin edilir. Madde 71 - Sistem odasında yangın çıkması riskine karşın yangın söndürme sistemleri (tercihen FM200 gazlı yangın söndürme sistemi ) temin edilir. Madde 72 - Sistem odası su basması riskine karşın uygun şekilde yerleştirilir ve düzenli bakımlar yaptırılır. Sistem odası üst katta ise çatıdan su sızması riskine karşın gerekli önlemler alınır, çatının düzenli bakımı yaptırılır. Sistem odası ara katta ise üstünde lavabo, mutfak, su borusu vb. su kaynağı bulunan bir lokasyon altında olmamasına dikkat edilir, eğer başka yer bulunamıyorsa da bu alanların düzenli kontrolü ve bakımı yapılır. Sistem odası zemin ve bodrum kat gibi dışarıdan gelecek su baskını riskine açık bir alanda ise su tahliye sistemi temin edilir. Madde 73 - Sistem odasının tabanı yükseltilmiş taban olmalıdır. Madde 74 - Sistem odasındaki çevresel cihazların (klima, kesintisiz güç kaynağı vb.) düzenli bakımları yaptırılır ve işlerliği kontrol edilir. Madde 75 - Sistem odasında yedekleme medyalarının da saklanması gerekiyorsa tercihen yanmaz ve su geçirmez dolap temin edilir. Güvenlik Gereksinimlerinin Analizi ve Belirlenmesi Madde 76 - Üniversitede gelişim ve değişim kaçınılmazdır. Bu sebeple güvenlik gereksinimlerinin analizi ve belirlenmesinde riskler, mevcut ve potansiyel kullanıcılar, süreçler ve servisler, Bilişim Kaynakları ve bununla entegrasyon, fiziksel ve çevresel koşullar, yasal gereksinimler ve mevzuat dikkate alınarak fayda maliyet analizi ile yeterli seviyede güvenliği sağlayacak gereklilikler belirlenir ve uygulanır. BĐDB gerektiğinde diğer Birim’lere destek olur. 176 Madde 77 - Üniversite kullanımı için yeni bir sistem/uygulama devreye alınmadan önce gerekli kontrol ve testler gerçekleştirilir. Kapasite Planlaması Madde 78 - Bilişim Kaynakları kullanımı ilgili sistemi yöneten Birim(ler) veya BĐDB tarafından incelenir ve gelecek için kapasite gereklilikleri planlanır. Madde 79 - Kapasite gereklilikleri planlanırken; kritik bilişim kaynaklarına öncelik ve önem verilir, yeni iş ve sistem gereksinimleri ve Üniversite’nin güncel bilgi işlem eğilimleri dikkate alınır. Erişim Kontrolü ve Yönetimi Madde 80 - Kullanıcılara üniversite bünyesinde Bilişim Kaynaklarına sadece gerektiği kadar erişim yetkisi verilir. Madde 81 - Üniversitede Bilişim Kaynakları için destek alınan 3. taraflara görevleri gereği yeterli olacak erişim yetkileri verilir ve bu tarafların çalışmaları ilgili Birim(ler) veya BĐDB tarafından denetlenir. Madde 82 - Üniversite’de merkezi hizmet sunan Bilişim Kaynaklarını yöneten Birim(ler) veya BĐDB tarafından bu kaynaklardaki güvenlik yönetim fonksiyonları ve sistem yöneticisi gibi ayrıcalıklı haklara sahip kullanıcılar senede asgari iki kez kontrol edilir. Madde 83 - Merkezi hizmet veren sunucuları yöneten Birim(ler) veya BĐDB sunucuya konsolu dışında erişim sağlamaları gerekiyorsa sunucuya belli iplerden erişilecek şekilde erişim kısıtlanır ve konsol dışındaki erişimin şifreli bir şekilde yapılması (terminal erişimi için telnet yerine ssh, e-posta okuma servisi için imap/pop yerine imaps/pops, dosya transferi için ftp yerine sftp vb.), tercih edilir. Đletişim Ağı ve Elektronik Đletişim Güvenliği Madde 84 - Üniversite yerel ağına yeni cihaz ekleme, kablolama, dış ağlarla bağlantı sağlamaya yönelik işlemlerde BĐDB ’den görüş ve onay alınması zorunludur. 177 Madde 85 - BĐDB onayı olmadan iletişim ağındaki trafiği dinleyen ve analiz eden yazılım veya donanım kullanılmaz. Madde 86 - BĐDB onayı olmadan kablosuz ağ erişim sistemi kurulmaz. Madde 87 - Kritik bilgiler e-posta ile gönderilmeden ek bir güvenlik kontrolü ile (örneğin şifreleme vb) korunur. Madde 88 - Uzaktan uygulamalara girişte şifre güvenliğinin sağlanması için şifre giriş ekranları https vb. yöntemlerle tasarlanır, böylelikle iletişimin şifreli bir kanal üzerinden yapılması sağlanır. Madde 89 - BĐDB tarafından iletişim ağında saldırı tespitine yönelik özel uygulamalar kullanılır. Bilişim Kaynakları Kurulum Güvenliği Madde 90 - Üniversitede Bilişim Kaynaklarının güvenliğinin sağlanabilmesi için a) Kurulumda standart olarak gelen ayarlar değiştirilir (örneğin kullanıcılar gerekmiyorsa kapatılır, şifreler değiştirilir vb.); b) Gereksiz servisler, portlar kapatılır; c) Yedekleme envanterine eklenmesi gerekiyorsa eklenir; d) Đşletim sistemi ve uygulamaların güncellemeleri yapılır; e) Kullanıcı tanımlama yapılması söz konusu olacaksa kullanıcı adı standartları, kullanıcıların sunucu sistemler üzerinde çalışan servislere erişimlerini sağlayan mekanizmalar (parolalı erişim, parola vb.) ve bunlara ilişkin kurallar belirlenir; f) Sistemin tekrar kurulması gerektiğinde kullanılmak üzere kurulum ve konfigürasyon işlemi kayıt altına alınır. Madde 91 - Merkezi olarak hizmet verecek bir Bilişim Kaynağı planlama aşamasındayken BĐDB ’ye bilgi verilmeli ve BĐDB yönlendirmeleri dahilinde işlem yapılmalıdır. Bilişim Kaynakları Sistem Denetim Kayıtları 178 Madde 92 - Bilişim Kaynaklarını yöneten Birimler yasal gereksinim ve mevzuata uygun şekilde sistemler üzerinde yeterli denetim kayıtlarının tutulmasını sağlar. Madde 93 - Sistem denetim kayıtları yasal gereksinimler çerçevesinde belirlenen süre kadar saklanır ve bu sürede güvenliği sağlanır. Madde 94 - Sistem denetim kayıtları gerektiğinde sistemi yöneten Birimler ve/veya BĐDB yetkilileri tarafından incelenir. Kullanıcı Tanımlama Madde 95 - Üniversitede Bilişim Kaynakları için mümkünse her bir kullanıcıya ayırt edici bir kullanıcı adı verilir. Madde 96 - Ortak kullanılan kullanıcı adları sadece çok gerekmesi durumunda BĐDB ve/veya ilgili Bilişim Kaynağını yöneten Birim onayı ile kullanılabilir. Madde 97 - Sistemleri yöneten personel ortak kullanıcı adı yerine kendilerine özel kullanıcı adı kullanır. Madde 98 - Ekipman ve yazılım üreticileri tarafından ürün kurulumu ile birlikte standart olarak gelen kullanıcı kodları gereksizse kapatılır, gerekiyorsa ilgili şifresi değiştirilir. Madde 99 - Sistem kullanıcı üzerinde yapılacak tüm yaratma, değişiklik, kaldırma istekleri, yetkili makamca onaylandıktan sonra gerçekleştirilir ve bu istekler, alınan ve uygulanan kararlar kayıt altına alınır. Bilginin Transferi ve Depolanması Madde 100 - Đster elektronik ister kağıt ortamda olsun bilginin depolanması ve transfer edilmesi esnasında; bilginin yetkisiz olarak elde edilmesi, değiştirilmesi veya zarar görmesi riskine karşın yeterli güvenlik önlemleri alınır. Örneğin öğrenci kayıtları veya personel dosyaları gibi basılı ortamdaki ve üniversite için önemi olan belgeler yetkisiz giriş riskine karşın kontrollü ve kilitli alanlarda saklanır. Üniversite için kritik önemi olan Öğrenci Đşleri Bilgi Sistemi gibi Bilişim Kaynaklarına girişte şifreli kanalların kullanılması (https gibi) tercih edilir. 179 Acil Durum / Süreklilik Planları Madde 101 - Bilişim sistemlerini yöneten Birimler BĐDB koordinasyonunda kritik olarak tespit edilen Bilgi sistemleri için Ek-3 deki Süreklilik Planını hazırlar ve güncel tutulmasını sağlar. a) Üniversite’de Bilişim Kaynaklarıyla ilgili servislerin kritiklik sıralaması yapılır. Kritiklik sıralamasında aşağıdaki sınıflandırma kullanılır. • Yüksek: Üniversitenin ana işlevlerinin büyük ölçüde bağımlı olduğu; yasal gereksinimler açısından önem arz eden servislerdir. Serviste kesinti yaşanması durumunda üniversite hizmetlerini ve bu hizmetlerin kalitesini yüksek derecede etkileyecek olan servisler bu kategoride değerlendirilmelidir. Kesintiye uğrayacak servisin veya hizmetin üniversite geneline etkisi bulunmaktadır. Kısa süreli bile olsa kesintinin etkisi yüksek olur ve derhal müdahale edilerek en kısa sürede sorunun giderilmesi gerekir. • Orta: Üniversitenin ana işlevlerine destek olan fakat kesinti yaşanması durumunda çok ciddi sorunların yaşanmayacağı servislerdir. Serviste kesinti yaşanması durumunda üniversite hizmetlerini ve bu hizmetlerin kalitesini orta derecede etkileyecek olan servisler bu kategoride değerlendirilmelidir. Kesintiye uğrayacak servisin veya hizmetin üniversitede belli bir kullanıcı grubunu etkisi bulunmaktadır. Kısa süreli kesintiler önemli değildir ancak gün içerisinde müdahale edilerek servis tekrar işler hale getirilmelidir. • Düşük: Kesinti yaşanması durumunda üniversite ana işlevlerini ve bu hizmetlerin kalitesini etkilemeyecek olan servisler bu kategoride değerlendirilmelidir. Kesinti sadece sınırlı sayıda kişiyi etkiler ve üniversite ana faaliyetlerinin yürütülmesine engel teşkil etmez. Birkaç günlük kesintinin makul sayılabileceği servislerdir. b) Sorun durumunda kullanılmak üzere iletişim listesi hazırlanır. • Kritiklik sınıflandırması yapılan servisler için öneme sahip kritik sunucular ve bağlantılar ile bir sorun durumunda müdahale edebilecek kişi isimleri belirlenir. 180 • Bilişim Kaynakları için dışarıdan teknik destek/hizmet alınan kurum ve irtibat bilgilerinin listesi hazırlanır. • Bir sorun durumunda müdahale edecek ve bilgi verilecek kişi isimleri, telefon numaraları vb. içeren (acil durum listesi) iletişim listesi hazırlanır. • Bir sorun durumunda (yangın, saldırı vb.) destek istenecek birim veya kuruluşların telefonları da iletişim listesine eklenir. c) Sorun durumunda teknik personel tarafından müdahale işleminde destek olabilecek yardımcı diğer dokümanlar (sistemlerle ilgili sistem topoloji çizimleri gibi) da Acil Durum/ Süreklilik Planı ekine konulur ve güncel tutulması sağlanır. Madde 102 - Bilişim Kaynaklarını yöneten Birimler asgari senede bir defa hazırlamış oldukları planın işlerliği ile ilgili test yapar. Eğer mümkünse seçilen sistemler için test adımları birebir uygulanır, mümkün olmaması durumunda ilgililerin katılacağı bir çalışma ile masaüstü testi (adımların gözden geçirilmesi ve eksik yanlış hususların tespit edilerek düzeltilmesi) gerçekleştirilir. Test sonuçlarına göre gerekiyorsa planda güncelleme yapılır. 181 DÖRDÜNCÜ BÖLÜM Çeşitli Hükümler Uygulama ve Yaptırım Madde 103 - Bilişim Kaynaklarının kullanımında veya süreçlerde politikalara uyulmadığının BĐDB tarafından da tespit edilmesinin ardından uygulanacak yaptırımlar şunlardır: a) Kullanıcı ve/veya Birim sözlü veya yazılı olarak uyarılır. b) Kullanıcılarının ve /veya Birimin kasıt içeren eylemlerini tekrarlamaları durumunda kullanıcıya ve/veya Birime tahsis edilen Bilişim Kaynakları sınırlı veya sınırsız süre ile kapatılabilir. c) Üniversite bünyesindeki akademik/idari soruşturma mekanizmaları harekete geçirilebilir. d) Adli yargı mekanizmaları harekete geçirilebilir Madde 104 - Uygulanacak yaptırımların düzeyi veya sırası belirtilen esaslara uyulmayan durumların tekrarına, verilen zararın büyüklüğüne ve Bilişim Kaynakları ve bu kaynaklar üzerindeki bilgilerin gördüğü zarara veya yaratılan olumsuz etkiye bağlı olarak belirlenir. Kullanıcı hiçbir zarar vermemiş olsa bile; Bilişim Kaynaklarına veya bu kaynaklardaki bilgilere yetkisi olmadığı halde erişmeye çalışması (erişim sağlayamamış olması durumunda dahi) yaptırım uygulanması için yeterlidir. Kullanıcı hakkında duruma bağlı olarak, disiplin cezası, akademik ihraç, iş akdinin feshi de dahil olmak üzere değişik yaptırımlar uygulanabilir. Madde 105 - Kullanıcı eylemi/eylemleri, yürürlükte olan ilgili Kanunlara aykırı ise ceza davasına yol açabilir. Madde 106 - Üniversitemize bağlı bulunan tüm birim yetkilileri kendi kullanıcılarının bu kurallara uygun davranmasından sorumlu olup gerekli önlemleri almak zorundadırlar. Yürürlük ve Yürütme 182 Madde 107 - Đşbu Politika, ….. tarih ve …..sayılı Senato kararıyla yürülüğe girmiştir. Madde 108 - Đşbu Politika hükümleri Rektör tarafından yürütür. 183 EK-3.2: Örnek- Varlık Envanteri AMAÇ: Üniversite genelinde Birimlerdeki kritik bilgi varlıklarının ve Merkezi hizmet veren kritik bilişim kaynaklarının kayıt altına alınması ve sınıflandırmasının yapılması ve bu suretle; • Bilgi varlıkları ve Merkezi Bilişim Kaynaklarının (BT) kayıt altına alınmasını, • Üniversite sunulan hizmet ve servisleri desteklemek için gerekli bilgi varlıkları ve Bilişim Kaynaklarının kritiklik sınıflandırmasının yapılmasını, •Bilişim Kaynakları'nda (örneğin sunucularda ) veri yedeklemelerine yönelik stratejinin ve yedekleme envanterinin hazırlanmasını, sağlamaktır. UYGULAMA: Tüm Birimler "Bilgi Varlıkları" sayfasında bulunan kısımları Birim faaliyetlerini dikkate alarak kontrolleri ve sorumlulukları altında olan bilgi varlıklarını içerecek şekilde doldurur ve kritiklik seviyesini aşağıdaki ölçütleri kullanarak tespit eder. Üniversitede Merkezi hizmet sunan Bilişim Kaynaklarını yöneten Birimler "Bilgi Varlıkları" sayfasının yanı sıra "Merkezi Bilişim Kaynakları" sayfasında bulunan kısımları yönettikleri sistemleri dikkate alarak doldurur ve kritiklik seviyesinin aşağıdaki ölçütleri kullanarak tespit eder. Bu sayfada yer alan varlıklar için eğer veri yedeklemesi yapılıyorsa veya yapılması gerekiyorsa sayfanın sağında sarı başlıkla belirtilen yedekleme bilgileri de doldurulur. HEDEFLER: • Üniversite bilgi varlıklarının ve kritiklik seviyesinin belirlenmesi. • Üniversitede merkezi hizmet veren Bilişim Kaynaklarının ve kritiklik seviyesinin belirlenmesi. 184 • Yeterli seviyede bilgi güvenliğinin sağlanabilmesi için korunması gereken kaynakları ve koruma derecesinin tespiti. KRĐTĐKLĐK SEVĐYESĐ: Tabloda kritiklik seviyesini belirlerken aşağıdaki ölçeği kullanınız: •YÜKSEK: Üniversitenin ana işlevlerinin büyük ölçüde bağımlı olduğu; yasal gereksinimler açısından önem arz eden varlıklardır. Varlığın kaybedilmesi, zarar görmesi, erişilememesi, üzerinde yetkisiz değişiklik yapılması gibi durumlarda üniversite hizmetlerini ve bu hizmetlerin kalitesini yüksek derecede etkileyecek olan varlıklar bu kategoride değerlendirilmelidir. Bilişim Kaynakları açısından varlıkta sorun yaşanması durumunda kesintiye uğrayacak servisin veya hizmetin üniversite geneline etkisin olması göz önünde tutulmalıdır. • ORTA: Üniversitenin ana işlevlerine destek olan fakat kullanılamaz hale geldiğinde çok ciddi sorunların yaşanmayacağı varlıklardır. Varlığın kaybedilmesi, zarar görmesi, erişilememesi, üzerinde yetkisiz değişiklik yapılması gibi durumlarda üniversite hizmetlerini ve bu hizmetlerin kalitesini orta derecede etkileyecek olan varlıklar bu kategoride değerlendirilmelidir. Bilişim Kaynakları açısından varlıkta sorun yaşanması durumunda kesintiye uğrayacak servisin veya hizmetin üniversite geneline etkisinin olmayıp buna rağmen belli bir kitlenin etkilenmesi göz önünde tutulmalıdır. • DÜŞÜK:Varlığın kaybedilmesi, zarar görmesi, erişilememesi, üzerinde yetkisiz değişiklik yapılması gibi durumlarda üniversite hizmetlerini ve bu hizmetlerin kalitesini etkilemeyecek olan varlıklar bu kategoride değerlendirilmelidir. Bilişim Kaynakları açısından varlıkta sorun yaşanması sadece sınırlı sayıda kişiyi etkiler ve üniversite ana faaliyetlerinin yürütülmesine engel teşkil etmez. BĐLGĐ VARLIKLARI- ALT KATEGORĐ •Basılı: Kağıt ortamındaki bilgi varlıklarıdır. Örneğin personel özlük dosyaları, öğrenci dosyaları, gelen giden yazışmalar gibi. •Elektronik: Elektronik ortamdaki bilgi varlıklarıdır örneğin web sitesindeki bilgiler, bir uygulamada veritabanında tutulan bilgiler gibi 185 MERKEZĐ BT VARLIKLARI - ALT KATEGORĐ •Sunucu: Birden fazla kişiye hizmet vermekte kullanılan bilgisayarlar. •Depolama üniteleri: Bilgileri depolamakta kullanılan bağımsız depolama üniteleri (sunucuların üzerinde yer alan diskler kastedilmemektedir.) •Teyp robotu Veri iletişim cihazları: •Router •Hub/switch •Modem vb. Çevresel Ekipman •Klima •Kesintisiz güç kaynağı •Kabinet vb. MERKEZĐ BT VARLIKLARI- YEDEKLEME BĐLGĐLERĐ Merkezi BT varlıkları ile ilgili sayfanın sarı boyalı başlıklarıdır. Eğer envanterdeki varlık üzerinde bulunan verilerin düzenli yedeklemesi alınıyorsa sarı boyalı aşağıdaki başlıklar doldurulmalıdır. Yedekleme alınmıyorsa bu kısımlar boş bırakılır. •Sunucuda yedeklenen veri içeriği •Yedeklenen verinin kritiklik sınıflandırması •Yedekleme Saklama Periyodu •Yedekleme kopya sayısı •Yedekleme alınmasından Sorumlu Birim •Yedekleme alınmasından Sorumlu kişi ismi •Yedekleme Periyodu •Yedekleme periyodu açıklama 186 •Yedekleme medyası üzerine yazılıyorsa periyodu? •Yedekleme medyası üzerine yazılıyorsa açıklama •Yedekleme manuel mi yapılıyor otomatik mi? •Yedeklemede kullanılan yazılım/araç •Yedekleme Saklama yeri? •Periyodik Restore/Geri Yükleme Uygulanabilir mi? Evet ise Periyodu •Tahmini Restore süresi •En son restore/geri yükleme testi tarihi 187 188 EK-3.3: Örnek- Risk Analiz Tablosu Birim: BĐDB Hazırlanma Tarihi: ……. 2009 Kapsam: BĐDB tarafından sunulan Bilişim hizmetleri, bu sistemler üzerindeki üniversite bilgi varlıkları, işletilen süreçler, insan, fiziksel ve çevresel ortam dikkate alınarak hazırlanmıştır. Risk değerlendirmesi çalışmasında risk olasılık ve etki değerlerinin verilmesinde aşağıdaki ölçek kullanılmıştır. ETKĐ AÇIKLAMA 5 Riskin gerçekleşmesi durumunda •Üniversitenin hedefleri ciddi olarak etkilenir. •Yıkıcı etkisi vardır, insan hayatının kaybına veya ağır yaralanmalara neden olabilir. Doğal afetler örnek olarak verilebilir. •Kritikliği yüksek olarak adlandırılan servis ve hizmetlerin tamamen durmasına; itibar kaybı ve yasal yükümlülük açısından büyük zararlara neden olabilecek; etkilediği üniversite için kritik bilgi varlığının veya bilişim kaynağının süresiz olarak işlem yapamamasına, büyük ölçüde zarar görmesine ve yüksek ek maliyetlerin doğmasına yol açabilir. •Etki alanı çok geniştir. Üst düzeyde müdahale ve farklı Birimlerin işbirliğini gerektirebilir. 4 Riskin gerçekleşmesi durumunda •Üniversitenin veya bir birimin hedefleri etkilenir. •Yaralanmalara neden olabilir, üniversite genelinde kritik servislerin bir süre verilememesine neden olabilir. •Kritikliği yüksek olarak adlandırılan servis ve hizmetlerde olumsuz etkisi olan ancak itibar kaybı ve yasal yükümlülük açısından büyük bir zarara yol açmayan; etkilediği üniversite için kritik bilgi varlığının veya bilişim kaynağının belirli bir süre kullanılamamasına, zarar görmesine ve ek maliyetlerin doğmasına yol açabilir. 189 •Etki alanı geniştir. Farklı Birimlerin işbirliğini gerektirebilir. Hemen müdahale edilmezse etkisi artabilir. 3 Riskin gerçekleşmesi durumunda •Üniversitenin veya bir birimin temel hedeflerine etkisi azdır. •Kritikliği yüksek veya orta olarak adlandırılan servis ve hizmetlerde olumsuz etkisi vardır. Bilgi varlığı veya bilişim kaynağının belirli bir süre kullanılamamasına, orta derecede zarar görmesine yol açabilir. •Etki alanı fazla değildir belli bir kullanıcı grubunu etkiler. Farklı Birimlerin işbirliğini gerektirebilir. 2 Riskin gerçekleşmesi durumunda •Üniversitenin veya birimin hedeflerini etkilemez. •Kritikliği düşük olarak adlandırılabilecek servis ve hizmetlerde olumsuz etkisi vardır. Kısa süreli ve kontrol edilebilen olaylardır. Bir birime özgü ve asli fonksiyonlarına yönelik olmayan bir sistemde kesinti yaşanması gibi olaylardır. •Etki alanı sınırlıdır, belli bir kullanıcı grubunu etkiler. Rutin müdahale işlemleri ile çözümlenebilir. 1 Riskin gerçekleşmesi durumunda •Rahatsız edici olarak nitelendirilebilir ancak üniversite geneli için önemli olmayan münferit olaylardır. •Etkileri göz ardı edilebilir. •Kişisel karşılaşılabilecek olaylardır. Günlük aktiviteler içerisinde müdahale edilir. 190 OLASILIK AÇIKLAMA 5 •Tipik olarak karşılaşılır. •Oluşma olasılığı %75 den fazladır. •3 Ayda bir veya daha fazla karşılaşılabilir. 4 •Zaman zaman karşılaşılabilir. •Oluşma olasılığı %50-%75 arasıdır. •6 ayda en az bir kez karşılaşılabilir. 3 •Karşılaşılması mümkündür. •Oluşma olasılığı %25-%50 arasıdır. • Yılda bir karşılaşılabilir. 2 •Karşılaşılması düşük bir ihtimaldir. •Oluşma olasılığı %5-%25 arasıdır. •5 yılda bir karşılaşılabilir. 1 •Karşılaşılması çok düşük bir ihtimaldir. •Oluşma olasılığı %5 den düşüktür. •15 yılda bir kez karşılaşılabilir. Risk değeri=Olasılık X Etki 191 Risk Değeri Derecelendirme Tablosu OLASILIK DEĞERLERĐ ETKĐ 1 2 3 4 5 1 1 2 3 4 5 2 2 4 6 8 10 3 3 6 9 12 15 4 4 8 12 16 20 5 5 10 15 20 25 DEĞERLERĐ Risk değeri 1-4 Düşük: Ek aksiyon alınmasına gerek yok, günlük prosedürlerle müdahale edilir. 5-9 Orta : Mevcut kontrollerin yeterliliği kontrol edilmelidir. 10-16 Yüksek: Alınabilecek ek kontroller/aksiyonlar belirlenmeli, maliyeti uygun ise yönetime sunularak kullanılabilir. 20-25 Kritik: Acilen değerlendirme yapılmalı, alınabilecek ek kontroller/aksiyonlar belirlenmeli, maliyeti uygun ise yönetime sunulmalı. 192 Risk Senaryosu (insan, bilgi, fiziksel ve çevresel ortam , bilgi sistemleri, süreçler ve hizmet ile ilgili) RISK DEĞERLENDIRME (Risk Değeri= Etki x Olasılık) Risk Đçin Mevcut Uygulanan Kontroller RISK TEDAVISI Etki Olasılık Risk Değeri RISK TANIMLAMA Önerilen Ek Aksiyonlar Ek Kontroller 1. Fiziksel ve Çevresel Koşullardan Kaynaklanan Tehdit Zafiyetler (afetler, saldırı, yangın, sistem odası çevresel sistem arızaları vb. ) sonucunda bilişim sistemlerinin ve bu sistemler üzerindeki bilgilerin ve personelin zarar görmesi 5 2 10 Depreme dayanıklılık için inceleme yapılmıştır. Deprem (sonucunda sistem Personel (acil durumlarda odasındaki yapılması gerekenler konusunda) 1.1 sistemlerin bilgilendirilmiştir. zarar görmesi, insan ve/veya Sistemlerdeki verilerin bilgi kaybı ) yedeklemesi alınmaktadır. 3 Sistem odasında yangın alarm sistemi bulunmaktadır. 1.2 Sistem odasında söndürme bulunmaktadır. yangın sistemi Cihazların düzenli yapılmaktadır. bakımı Yangın Sistemlerdeki verilerin yedeklemesi alınmaktadır Personel bilgilendirilmiştir. 2 6 - 193 Risk Senaryosu (insan, bilgi, fiziksel ve çevresel ortam , bilgi sistemleri, süreçler ve hizmet ile ilgili) RISK DEĞERLENDIRME (Risk Değeri= Etki x Olasılık) Risk Đçin Mevcut Uygulanan Kontroller Etki Olasılık Risk Değeri RISK TANIMLAMA Sistem odası tabanı yükseltilmiş tabandır. RISK TEDAVISI Önerilen Ek Aksiyonlar Ek Kontroller Nem tespit ve alarm cihazı yerleştirilebilir. Sistem odası ile ilgili yukarıdan veya yan taraflardan gelebilecek su ihtimaline karşın yalıtımı yapılmıştır. 1.3 Su baskını Su tahliye sistemi bulunmaktadır. Cihazların düzenli bakımı yapılmaktadır. Sistemlerdeki verilerin yedeklemesi alınmaktadır Personel bilgilendirilmiştir. Sistem odasında kesintisiz güç kaynağı bulunmaktadır. 1.4. Elektrik/enerji kesintisi Sistem odası ve diğer kritik alanlar için uzun süreli elektrik kesintisine karşın jeneratör sistemleri bulunmaktadır. Cihazların düzenli bakımı yapılmaktadır. Personel bilgilendirilmiştir. Sistem odasında sıcaklık ölçüm cihazları kullanılmaktadır. 1.5. Havalandırma/ Soğutma sistemi arızaları Sistem odasında iklimlendirme sistemi (havalandırma soğutma sistemi) kullanılmaktadır. Cihazların düzenli bakımı yapılmaktadır. Personel bilgilendirilmiştir. 194 Risk Senaryosu (insan, bilgi, fiziksel ve çevresel ortam , bilgi sistemleri, süreçler ve hizmet ile ilgili) RISK DEĞERLENDIRME (Risk Değeri= Etki x Olasılık) Risk Đçin Mevcut Uygulanan Kontroller RISK TEDAVISI Bina girişinde fiziksel güvenlik personeli, manyetik kapı detektörü bulunmaktadır. Sistem odasına giriş çıkışlarla ilgili kayıt tutulması için kartlı giriş sistemi kullanılabilir. Etki Olasılık Risk Değeri RISK TANIMLAMA Önerilen Ek Aksiyonlar Ek Kontroller Bina kamera sistemi ile izlenmektedir. 1.6. Fiziksel saldırı/sabotaj Sistem odaları ve kritik alanlar için kamera sistemi, kilit bulunmaktadır. Sistem odasının anahtarı belli kişilerde bulunmaktadır. Sistem odasına yetkisi olmayan kişiler girmemektedir. Personel bilgilendirilmiştir. Bina girişinde fiziksel güvenlik personeli, manyetik kapı detektörü bulunmaktadır. Bina kamera sistemi ile izlenmektedir. Sistem odaları ve kritik alanlar için kamera sistemi, kilit bulunmaktadır. 1.7. Hırsızlık Sistem odasının anahtarı belli kişilerde bulunmaktadır. Sistem odasına yetkisi olmayan kişiler girmemektedir. Yedekleme medyaları kilitli alanda muhafaza edilmektedir. Personel bilgilendirilmiştir. Sistem odasına giriş çıkışlarla ilgili kayıt tutulması için kartlı giriş sistemi kullanılabilir. 195 Risk Senaryosu (insan, bilgi, fiziksel ve çevresel ortam , bilgi sistemleri, süreçler ve hizmet ile ilgili) RISK DEĞERLENDIRME (Risk Değeri= Etki x Olasılık) Risk Đçin Mevcut Uygulanan Kontroller Etki Olasılık Risk Değeri RISK TANIMLAMA RISK TEDAVISI Önerilen Ek Aksiyonlar Ek Kontroller 2. Teknoloji (yazılım/donanım) kaynaklı Tehdit Zafiyetler (sisteme zararlı kod bulaşması, vb. ) sonucunda bilişim sistemlerinin ve bu sistemler üzerindeki bilgilerin ele geçirilmesi/zarar görmesi ve personelin zarar görmesi Merkezi hizmet Merkezi Sistemlerde güvenlik veren sıkılaştırılması yapılmaktadır. sistemlerin Yazılım güncellemeleri zararlı koddan yapılmaktadır. (virus, worm, Zararlı kodlardan korunma için truva atı, peerürünler kullanılmaktadır. 2.1. to-peer bağlantı Zararlı kodlardan korunma için vb.) etkilenmesi kullanılan ürünlerin düzenli ve hizmet güncellemesi yapılmaktadır. aksaması Sistemlerin düzenli yedeklemesi alınmaktadır. Kullanıcılara kurulum için Kullanıcı Kullanıcı destek verilmektedir. bilgisayarlarının merkezi bilgisayarlarının Zararlı kodlardan korunmak için olarak yönetim zararlı koddan yazılım temin edilmektedir. sağlanabilmesi teknik etkilenmesi ve 2.2. Kullanıcının bilgisayarındaki destek, yamaların düzenli kullanılamaz verilerin yedeklenmesi kullanıcı geçilmesi açısından hale gelmesi sorumluluğundadır. faydalı olabilir. Bilgilendirme yapılmaktadır. Saldırı tespit ve Merkezi Sistemlerde güvenlik engelleme sistemleri sıkılaştırılması yapılmaktadır. alınabilir. Yazılım güncellemeleri Düzenli olarak yapılmaktadır. sistemlerin zafiyet Kurulumla gelen şifre ve kullanıcı adları taraması yapılabilir. değiştirilmekte/kapatılmaktadır. Kritik uygulamalara girişte kullanıcı adı şifre Bilişim bulunmaktadır. sistemlerine Şifre politikaları 2.3. yönelik uygulanmaktadır (karmaşık şifre, saldırılar/ataklar minimum uzunlukta şifre verilmesi, geçmişe yönelik şifre seçilememesi vb.). Kritik uygulamalara erişimde güvenli kanallar (şifreli https vb.) kullanılmaktadır. Kullanıcılara yönelik bilgilendirme yapılmaktadır. 2.4. Merkezi olarak artık desteği olmayan donanım/yazılı m kullanılması Sistemler ihtiyaçlar dikkate alınarak yenilenmektedir. - 196 Risk Senaryosu (insan, bilgi, fiziksel ve çevresel ortam , bilgi sistemleri, süreçler ve hizmet ile ilgili) 2.5. Sistem kapasitesinin yetersiz kalması RISK DEĞERLENDIRME (Risk Değeri= Etki x Olasılık) Risk Đçin Mevcut Uygulanan Kontroller RISK TEDAVISI Sistemler izlenmekte ve kapasite planlaması yapılmaktadır. - Etki Olasılık Risk Değeri RISK TANIMLAMA Önerilen Ek Aksiyonlar Ek Kontroller 3. Süreç Kaynaklı tehdit zafiyetler sonucunda bilişim sistemlerinin ve bu sistemler üzerindeki bilgilerin ele geçirilmesi/zarar görmesi ve personelin zarar görmesi Kontrat gereği taahhüt edilen hizmet kontrol edilmektedir. Bilişim kaynakları için Kontrat içerisinde, taahhüt dışarıya bağlı edilen şartların yerine hizmet alınan firmanın/kurum getirilmemesi durumu için ceza 3.1. hükümleri bulunmaktadır. un kontrat gerekliliklerini yerine getirmemesi 3.2. 3.3. Yeterli testler yapılmadan merkezi sistemlerde kapsamlı değişiklik (yama geçilmesi, yeni bir uygulama devreye alınması vb.) yapılması ve sistemin olumsuz etkilenmesi Güvenlik gereksinimleri dikkate alınmadan yeni bir uygulama/siste m satın alınması entegrasyonda ve üniversite genel güvenlik standartlarının uygulanamamas ı Kapsamlı değişiklikler önce test edilmektedir. Sistemlerdeki verilerin yedeklemesi alınmaktadır. Değişiklik yapıldıktan sonra da bir sure sistem izlenmektedir. - Yeni bir uygulama/sistem geliştirilirken veya temin edilirken güvenlik gereksinimleri de dikkate alınmaktadır. Devreye almadan önce kontrol yapılmaktadır. Eğer dışarıdan bir uygulama/sistem satın alınacaksa şartnameye bir güvenlik zafiyetinin tespit edilmesi durumunda bedelsiz olarak bu zafiyetin giderileceğinin eklenmesi önerilmektedir. 197 Risk Senaryosu (insan, bilgi, fiziksel ve çevresel ortam , bilgi sistemleri, süreçler ve hizmet ile ilgili) RISK DEĞERLENDIRME (Risk Değeri= Etki x Olasılık) Risk Đçin Mevcut Uygulanan Kontroller Etki Olasılık Risk Değeri RISK TANIMLAMA RISK TEDAVISI Önerilen Ek Aksiyonlar Ek Kontroller 4. Personel/insan kaynaklı sorunlar yaşanması 4.1. 4.2. Bilişim Kaynaklarını yöneten kritik personelin iş göremez (hastalık, izin, işten ayrılma vb.) hale gelmesi Yetersiz sayıda personel olması nedeniyle yeterli kalitede hizmet sağlanamaması 4.3. Bilişim Kaynaklarını Yöneten personelin yeterli deneyim ve eğitiminin olmaması 4.4. Kullanıcıların destek ihtiyacının olması (sistemi yanlış kullanım, şifre unutulması, şifresini başkasına verme vb. sorunlar) Personel yedeklemesi (sistemler hakkında tecrübeli en az iki kişinin olması) yapılmaktadır. Mümkün olduğunca teknik dokümantasyon hazırlanmaktadır. Farklı görevdeki personel belli dönemlerde rotasyona tabi tutularak yetiştirilmesi sağlanabilir. Personel fazla mesai yapmaktadır. Mutlaka personel takviyesi yapılmalıdır. Personel seçiminde deneyim ve bilgi dikkate alınmaya çalışılmaktadır. Yeterli bilgi deneyimi olmayan personelin yetiştirilmesi sağlanmaktadır. Eğitim ve seminerlerle mevcut personelin bilgi tazelemesi ve yeniliklerden haberdar olması sağlanmaya çalışılmaktadır. Teknik destek için uygulama kullanılmaktadır. Kullanıcılar için kılavuz dokümanlar hazırlanmaktadır. Özellikle bilgi güvenliği konusunda teknik eğitimler için bütçe ayrılmalıdır. - 198 Risk Senaryosu (insan, bilgi, fiziksel ve çevresel ortam , bilgi sistemleri, süreçler ve hizmet ile ilgili) RISK DEĞERLENDIRME (Risk Değeri= Etki x Olasılık) Risk Đçin Mevcut Uygulanan Kontroller Etki Olasılık Risk Değeri RISK TANIMLAMA RISK TEDAVISI Önerilen Ek Aksiyonlar Ek Kontroller 5. Üniversite için kritik bilginin zarar görmesi, ifşası vb. sorunlar yaşanması 5.1. Bilişim Kaynaklarındaki veritabanında tutulan bilgilerinin yetkisiz kişilerce ele geçirilmesi/deği ştirilmesi, zarar görmesi 5.2. Yedekleme medyalarındaki geçmişe yönelik bilgilerin geri yüklenememesi (yedekleme sağlıklı alınmamış olması, medyanın bozulması vb.) sonucu geçmişe yönelik veri kaybı Merkezi Sistemlerde güvenlik sıkılaştırılması yapılmaktadır. Yazılım güncellemeleri yapılmaktadır. Kurulumla gelen şifre ve kullanıcı adları değiştirilmekte/kapatılmaktadır. Kritik uygulamalara girişte kullanıcı adı şifre bulunmaktadır. Şifre politikaları uygulanmaktadır (karmaşık şifre, minimum uzunlukta şifre verilmesi, geçmişe yönelik şifre seçilememesi vb.). Kritik uygulamalara erişimde güvenli kanallar (şifreli https vb.) kullanılmaktadır. Kullanıcılara yönelik bilgilendirme yapılmaktadır. Sistemdeki bilgilerin yedeklemesi alınmaktadır. Yedekleme medyaları fiziksel olarak korumalı alanlarda saklanmaktadır. Yedekleme medyaları veya diskler elden çıkartılmadan önce üzerine yazılarak kritik bilgi kalmaması temin edilmekte veya imha edilmektedir. Periyodik güvenlik denetimleri (sızma testleri) satın alınabilir. Sistemler üzerinde düzenli yedekleme alınmaktadır. Yedeklemeler için geri dönüş testi yapılmaktadır. Yedekleme medyaları uygun koşullara sahip ortamlarda saklanmaktadır. Çok kritik bilgilerin ikişer kopya yedeklemesi alınarak farklı lokasyonlarda (ayrı binalarda yeterli mesafe uzaklıkta) saklanabilir. Saldırı tespit ve engelleme sistemleri alınabilir. 199 Risk Senaryosu (insan, bilgi, fiziksel ve çevresel ortam , bilgi sistemleri, süreçler ve hizmet ile ilgili) RISK DEĞERLENDIRME (Risk Değeri= Etki x Olasılık) Risk Đçin Mevcut Uygulanan Kontroller Etki Olasılık Risk Değeri RISK TANIMLAMA RISK TEDAVISI Önerilen Ek Aksiyonlar Ek Kontroller 6.Bilişim kaynaklarının veya servisinin kullanılamaz hale gelmesi 6.1. 6.2. 6.3. Merkezi olarak hizmet veren veri iletişim cihazlarının kullanılamaz hale gelmesi Đnternet hizmetinin verilemez hale gelmesi E-posta hizmetinin verilemez hale gelmesi Cihazlar yedekli bir yapıda çalışmaktadır. Düzenli yedeklemeleri alınmaktadır. Düzenli bakımları yapılmaktadır. Sistemler izlenmektedir. Mümkün olduğunca teknik dokümantasyon hazırlanmaktadır Cihazlar yedekli bir yapıda çalışmaktadır. Düzenli yedeklemeleri alınmaktadır. Düzenli bakımları yapılmaktadır. Sistemler izlenmektedir. Mümkün olduğunca teknik dokümantasyon hazırlanmaktadır Cihazlar yedekli bir yapıda çalışmaktadır. Düzenli yedeklemeleri alınmaktadır. Düzenli bakımları yapılmaktadır. Sistemler izlenmektedir. Mümkün olduğunca teknik dokümantasyon hazırlanmaktadır - 200 Ek-3.4: Örnek- Yöneticiler Đçin Hazırlanan Eğitim Materyali 201 202 203 204 205 206 Ek-3.5: Örnek- Kullanıcılar Đçin Hazırlanan Eğitim Materyali 207 208 209 210 211 212 213 214 215 216 217 218 219 220 221 Ek-3.6: Örnek- Teknik Personel Đçin Hazırlanan Eğitim Materyali 222 223 224 225 226 227 228 229 230 231 232 233 234 235