tc gazđ ünđversđtesđ eğđtđm bđlđmlerđ enstđtüsü eğđtđm

T.C.
GAZĐ ÜNĐVERSĐTESĐ
EĞĐTĐM BĐLĐMLERĐ ENSTĐTÜSÜ
EĞĐTĐM BĐLĐMLERĐ ANA BĐLĐM DALI
EĞĐTĐM TEKNOLOJĐSĐ BĐLĐM DALI
YÜKSEKÖĞRETĐMDE BĐLGĐ GÜVENLĐĞĐ:
BĐLGĐ GÜVENLĐK YÖNETĐM SĐSTEMĐ ĐÇĐN
BĐR MODEL ÖNERĐSĐ ve UYGULAMASI
DOKTORA TEZĐ
Hazırlayan
Necla VARDAL
Ankara
Aralık, 2009
T.C.
GAZĐ ÜNĐVERSĐTESĐ
EĞĐTĐM BĐLĐMLERĐ ENSTĐTÜSÜ
EĞĐTĐM BĐLĐMLERĐ ANA BĐLĐM DALI
EĞĐTĐM TEKNOLOJĐSĐ BĐLĐM DALI
YÜKSEKÖĞRETĐMDE BĐLGĐ GÜVENLĐĞĐ:
BĐLGĐ GÜVENLĐK YÖNETĐM SĐSTEMĐ ĐÇĐN
BĐR MODEL ÖNERĐSĐ ve UYGULAMASI
DOKTORA TEZĐ
Necla VARDAL
Danışman: Prof. Dr. Halil Đbrahim YALIN
Ankara
Aralık, 2009
JÜRĐ ÜYELERĐNĐN ĐMZA SAYFASI
Necla Vardal’ın “Yükseköğretimde Bilgi Güvenliği: Bilgi Güvenlik Yönetim
Sistemi Đçin Bir Model Önerisi ve Uygulaması” başlıklı tezi 08.12.2009 tarihinde,
jürimiz tarafından Eğitim Bilimleri Anabilim Dalı Eğitim Teknolojisi Bilim Dalında
Doktora Tezi olarak kabul edilmiştir.
Adı Soyadı
Đmza
Üye (Tez Danışmanı): Prof. Dr. Halil Đbrahim YALIN
……………………….
Üye: Prof. Dr. Ahmet MAHĐROĞLU
……………………….
Üye: Prof. Dr. Hafize KESER
……………………….
Üye: Doç. Dr. Halil Đbrahim BÜLBÜL
……………………….
Üye: Yrd. Doç. Dr. Tolga GÜYER
……………………….
i
ÖNSÖZ
Günümüzde belki de en önemli konulardan biri olan bilgi güvenliği hakkında
yapılmış olan bu çalışmanın yükseköğretim kurumlarına ve bilgi güvenliğini artırmak
isteyen kişi ve kurumlara katkıda bulunması en içten dileğimdir.
Araştırmam süresince yardım ve desteğini esirgemeyen, bilgi güvenliğine farklı
bir bakış açısı ile yaklaşmamda vesile olan başta danışmanım Prof. Dr. Halil Đbrahim
Yalın olmak üzere tez izleme komitemde bulunan Prof. Dr. Ahmet Mahiroğlu ve Prof.
Dr. Hafize Keser’e teşekkürü borç bilirim.
Önerilen modelin üniversitelerde uygulanmasına izin ve destek verildiği için
Gazi Üniversitesi, TOBB Ekonomi ve Teknoloji Üniversitesi ile Ankara Üniversitesi’ne
ve model uygulanması aşamasında birlikte çalıştığım üniversite mensuplarına;
araştırmada önerilen model ve bilgi toplama araçları konusunda değerli görüşlerine
başvurulan uzmanlara ve bu uzun süreçte yanımda bulunan eşim ve Aziz oğluma
teşekkürlerimi sunarım.
Necla Vardal
ii
ÖZET
YÜKSEKÖĞRETĐMDE BĐLGĐ GÜVENLĐĞĐ: BĐLGĐ GÜVENLĐK YÖNETĐM
SĐSTEMĐ ĐÇĐN BĐR MODEL ÖNERĐSĐ ve UYGULAMASI
VARDAL, Necla
Doktora, Eğitim Teknolojisi Bilim Dalı
Tez Danışmanı: Prof. Dr. Halil Đbrahim YALIN
Aralık- 2009, xi+235 Sayfa
Bilgi güvenliği kurumlar yanında yükseköğretim kurumları içinde çok
önemlidir. Bu araştırma güvenlikle ilgili standartlar ve en iyi kullanım örneklerinin
karşılaştırmalı olarak incelenmesi ve yükseköğretim kurumları için bilgi güvenlik
yönetim sistemi modelinin önerilmesi amacıyla yapılmıştır. Literatür incelemesi
yapılmıştır. Ortak güvenlik kontrolleri ve modelin bileşenleri seçilmiştir.
Bu çalışmada standartlar/en iyi kullanım örnekleri incelemesi ve üniversiteler
için Önerilen Bilgi Güvenlik Yönetim Sistemi Modeli (ÖBGYS) sunulmuştur. Bu
modelin amacı, güvenlikte en zayıf halka olan insan faktörünün güçlendirilmesi ve
üniversiteler için kullanımı kolay olan talimat ve ipuçlarının verilmesidir. Bu model
teknoloji ve bilgi merkezli geleneksel modellerin yerine insan ve bilgi merkezli bir
modeldir.
Pilot uygulama için bir anket ve kontrol listesi geliştirilmiştir. Seçilen
üniversitelerde önerilen modelin pilot uygulaması yapılmıştır. Bilgiler çevirimiçi anket
ile toplanmıştır. Anket bilgileri, analiz edilmek için SPSS’e aktarılmıştır.
Toplanan veriler SPSS istatistik paket programı kullanılarak çözümlenmiştir.
Verilerin
çözümlenmesinde frekans(f),
yüzde (%) ve
aritmetik
ortalamadan
yararlanılmıştır. Verilerin kullanıcı grubu ve katılımcıların bilgi güvenliği hakkındaki
iii
görüşlerine göre karşılaştırılmasında tek faktörlü varyans analizi (ANOVA), Tukey ve
Dunnett C testleri kullanılmıştır.
Çalışma katılımcıların örneğin “bilgi korunması
gereken bir varlıktır ve bilgi güvenliği üniversiteler için gereklidir” gibi önerilen
ifadelere yüksek derecede katıldığı tespit edilmiştir. Pilot çalışma sonrasında model ve
yol haritası gözden geçirilmiş ve son haline getirilmiştir.
Bu çalışma bilgi güvenliğinin üniversiteler için önemli olduğunu ve önerilen
insan merkezli modelin kolaylıkla uygulanabilir bir model olduğunu göstermektedir.
Aynı zamanda bu çalışma farklı standartlar/en iyi kullanım örneklerinin detayları ve
benzerlikleri hakkında bilgi içermektedir ve güvenliği artırmaya istekli üniversiteler
yanında diğer kurumları için kullanımı kolay bir model ve yol haritası olabilir. Son
olarak bu çalışma diğer araştırmacılara bilgi güvenlik yönetim sistemini farklı bir bakış
açısıyla yorumlama konusunda ilham verebilir.
Anahtar Kelimeler: Bilgi güvenliği, kurumsal bilgi güvenliği, yükseköğretimde
bilgi güvenliği, bilişim güvenliği, bilgi güvenlik standartları, bilgi güvenlik yönetim
sistemleri, güvenlik farkındalığı.
iv
ABSTRACT
INFORMATION SECURITY AT HIGHER EDUCATION: INFORMATION
SECURITY MANAGEMENT MODEL PROPOSAL and IMPLEMENTATION
VARDAL, Necla
Doctor of Philosophy, Department of Educational Technology
Supervisor: Prof. Dr. Halil Đbrahim YALIN
December-2009, xi+235 Pages
Information security is very important for enterprises as well as for higher
education institution. The research was conducted in order to make comparative
analysis of security related standards/best practices and to propose an information
security management model for higher education institutes. The literature has been
reviewed. Common security controls and model’s components have been selected.
A review study on standards/best practices and proposed Information Security
Model for universities have been presented in this study. The goals of this model are to
improve human factor which is the weakest link in security and to give easy to use
instructions and tips for universities. This model is human and information centric
instead of traditional models which is technology and information centric.
A survey and control list has been developed for pilot study. Proposed model’s
pilot study has been applied at the selected universities. The information has been
collected by online questionnaire. Questionnaires have been transferred to SPSS for
analyzing.
The data collected has been analyzed by SPSS statistics package program. In
data analysis frequency (f), percentage (%) and arithmetic mean have been used. In
comparisons of user group and opinion of participants about information security one
way variance analysis (ANOVA), Tukey and Dunnett C tests have been used. The
survey shows that participants were agree to statements proposed such as “information
v
is a valuable asset and information security is really important for universities”. After
pilot study the model and roadmap has been revised and finalized.
It was concluded that this study shows that information security is important for
universities and proposed human centric model would be easy to apply. This study also
give details about different standards/best practices and commonalities of them and
would suggest an easy to use model and roadmap for universities as well as other
enterprises willing to improve their security. Finally this study could be inspiring other
researcher about interpretating information security management model from the
different point of view.
Keywords: Information security, enterprise information security, higher
education information security, IT security, information security standards, information
security management model, security awareness.
vi
ĐÇĐNDEKĐLER
JÜRĐ ÜYELERĐNĐN ĐMZA SAYFASI.......................................................................... i
ÖNSÖZ ............................................................................................................................ ii
ÖZET...............................................................................................................................iii
ABSTRACT..................................................................................................................... v
TABLOLAR LĐSTESĐ ................................................................................................... x
ŞEKĐLLER LĐSTESĐ .................................................................................................... xi
BÖLÜM I :GĐRĐŞ ........................................................................................................... 1
1.1. Problem .............................................................................................................................. 1
1.2. Amaç ................................................................................................................................ 10
1.3. Önem ................................................................................................................................ 11
1.4. Varsayımlar ...................................................................................................................... 12
1.5. Sınırlılıklar ....................................................................................................................... 13
1.6. Tanımlar ........................................................................................................................... 13
BÖLÜM II: KAVRAMSAL ÇERÇEVE .................................................................... 15
2.1. Bilgi ve Đletişim Teknolojisi ile Bilgi Toplumuna Geçiş ................................................. 16
2.2. Bilgi Teknolojileri ve Üniversiteler ................................................................................. 18
2.3. Bilgi Güvenliği................................................................................................................. 21
2.4. Bilgi Güvenliği Standart ve Kılavuzlar (En Đyi Uygulama Örnekleri)............................. 27
2.4.1. BS 7799 Part 1 ; ISO/IEC 17799:2000; ISO/IEC 17799:2005 ; ISO/IEC
27002:2005; TS ISO/IEC 17799:2002; TS ISO/IEC 17799:2006 .......................... 28
2.4.2. BS 7799 Part 2; ISO/IEC 27001:2005; TS 17799-2; TS ISO/IEC 27001.............. 31
2.4.3. TCSEC Güvenilen Bilgisayar Güvenlik Değerlendirme Kriterleri (Trusted
Computer Security Evaluation Criteria) - 1983 ...................................................... 36
2.4.4. ITSEC....................................................................................................................... 37
2.4.5. CTCPEC................................................................................................................... 37
2.4.6. ISO/IEC 15408 Ortak Kriterler (Common Criteria ) ............................................... 37
2.4.7. RFC (Request for Comments) 2196.......................................................................... 38
2.4.8. ISO/IEC 13335 Bilgi Teknolojisi- BT Güvenlik Yönetimi için Kılavuz (Information
Technology—Guidelines for the Management of IT Security) ................................ 38
2.4.9. COBIT (Bilgi ve Đlgili Teknoloji için Kontrol Hedefleri/Control Objectives for
Information and Related Technology)..................................................................... 43
2.4.10. Bilgi Güvenlik Forumu’nun Bilgi Güvenliği için En Đyi Uygulama Standartları
(The Information Security Forum’s (ISF’s) Standard of Good Practice for
Information Security)............................................................................................... 46
vii
2.4.11. NIST 800-12 Bilgisayar Güvenliğine Giriş- NIST Elkitabı (An Introduction to
Computer Security- The NIST Handbook)............................................................... 49
2.4.12. OCTAVE................................................................................................................ 56
2.4.13. PCI (Payment Card Industry) Data Security Standart............................................ 58
2.4.14. OWASP (Open Web Application Security Project) Guide .................................... 62
2.4.15. Diğer Standart ve Kılavuzlar .................................................................................. 63
BÖLÜM III: YÖNTEM ............................................................................................... 66
3.1. Araştırma Modeli ............................................................................................................. 67
3.2. Çalışma Evreni ................................................................................................................. 68
3.3. Verilerin Toplanması ....................................................................................................... 68
3.4. Verilerin Analizi............................................................................................................... 71
BÖLÜM IV: BULGULAR VE YORUM.................................................................... 73
4.1. Standartların ve Kılavuz Dokümanlarının Ortak Noktaları.............................................. 73
4.2. Üniversiteler Đçin Önerilen Bilgi Güvenlik Yönetim Sistemi (ÖBGYS) Modelinin
Bileşenleri......................................................................................................................... 88
4.3. ÖBGYS Süreç Adımları................................................................................................... 95
4.4. Üniversitede Bilgi Güvenliğine Yönelik Görüşler......................................................... 109
4.4.1. BT Sistemlerinin Kullanım Amaçlarına Yönelik Görüşler .................................... 110
4.4.2. Bilgi Güvenliğine Yönelik Sorunlar Hakkında Görüşler ....................................... 113
4.4.3. Bilgi Güvenliğine Yönelik Sorunların Olası Kaynakları Hakkında Görüşler ........ 116
4.4.4. Bilgi Güvenliği Sağlanamazsa Olası Etkileri Hakkında Görüşler.......................... 120
4.4.5. Kullanıcı Gruplarının Bilgi Güvenliğine Yönelik Görüşleri.................................. 122
4.5. Model Uygulamasında Karşılaşılan Ortak Sorunlara Yönelik Bulgular........................ 125
4.5.1. BT Birimi Personel Sayısı ve Yönetimi ................................................................. 125
4.5.2. Dokümantasyon Eksikliği ...................................................................................... 126
4.5.3. Bilgi Güvenliğine Yönelik Farkındalık Çalışmaları............................................... 127
4.5.4. Kapsamlı Bir Bilgi Güvenlik Yönetim Sistemi...................................................... 128
BÖLÜM V: SONUÇ VE ÖNERĐLER ...................................................................... 132
5.1. Sonuç.............................................................................................................................. 132
5.2. Öneriler .......................................................................................................................... 135
KAYNAKÇA............................................................................................................... 139
EKLER ........................................................................................................................ 147
EK-1: Yükseköğretimde Bilgi Güvenliği Anketi................................................... 148
EK-2: ÖBGYS Güvenlik Kontrol Listesi .............................................................. 151
EK-3: Üniversitelerde ÖBGYS Modeli ile Oluşturulabilecek Örnek Dokümanlar163
EK-3.1: Örnek- Üniversite Bilgi Güvenlik Politikası ...................................... 164
viii
EK-3.2: Örnek- Varlık Envanteri ..................................................................... 183
EK-3.3: Örnek- Risk Analiz Tablosu............................................................... 188
EK-3.4: Örnek- Yöneticiler Đçin Hazırlanan Eğitim Materyali ....................... 200
EK-3.5: Örnek- Kullanıcılar Đçin Hazırlanan Eğitim Materyali ...................... 206
EK-3.6: Örnek- Teknik Personel Đçin Hazırlanan Eğitim Materyali ............... 221
ix
TABLOLAR LĐSTESĐ
Tablo 1. Anket Bölümleri ve Soru Numaraları.............................................................. 70
Tablo 2. Doküman Taksonomisi.................................................................................... 75
Tablo 3. Đnceleme Đçin Seçilen Dokümanlar ................................................................. 77
Tablo 4. Dokümanların Kapsam Alanlarının Karşılaştırması ....................................... 77
Tablo 5. Süreç Adımları Karşılaştırması ....................................................................... 97
Tablo 6. Örnek ÖBGYS Bileşen Đlişkiler Tablosu ...................................................... 104
Tablo 7. Araştırmaya Katılanların Kullanıcı Grubuna Göre Frekans ve Yüzde
Dağılımları ...................................................................................................... 109
Tablo 8. Araştırmaya Katılanların Üniversite ve Kullanıcı Grubuna Göre Dağılımı.. 110
Tablo 9. BT Sistemlerinin Kullanım Amaçlarına Yönelik Görüşlerin Frekans
Dağılımları, Aritmetik Ortalama ve Standart Sapmaları ................................ 110
Tablo 10. BT Sistemlerinin Kullanım Amaçlarına Yönelik Görüşlerin Üniversite
Bazında Frekans Dağılımları, Aritmetik Ortalama ve Standart Sapmaları .... 112
Tablo 11. Bilgi Güvenliğine Yönelik Sorunlar Hakkında Görüşlerin Frekans
Dağılımları, Aritmetik Ortalama ve Standart Sapmaları ................................ 113
Tablo 12. Bilgi Güvenliğe Yönelik Sorunlar Hakkında Görüşlerin Kullanıcı Gruplarına
Göre Karşılaştırma Sonuçları.......................................................................... 115
Tablo 13. Bilgi Güvenliğine Yönelik Sorunların Olası Kaynakları Hakkında Görüşlerin
Frekans Dağılımları, Aritmetik Ortalama ve Standart Sapmaları................... 117
Tablo 14. Bilgi Güvenliğe Yönelik Sorunların/Risklerin Olası Kaynakları Hakkında
Görüşlerin Kullanıcı Gruplarına Göre Karşılaştırma Sonuçları-1 .................. 118
Tablo 15.Bilgi Güvenliğe Yönelik Sorunların/Risklerin Olası Kaynakları Hakkında
Görüşlerin Kullanıcı Gruplarına Göre Karşılaştırma Sonuçları-2 .................. 119
Tablo 16. Bilgi Güvenliğe Yönelik Sorunların/Risklerin Olası Kaynakları Hakkından
Görüşlerin Kullanıcı Gruplarına Göre Karşılaştırma Sonuçları-3 .................. 119
Tablo 17.Bilgi Güvenliği Sağlanamazsa Olası Etkileri Hakkında Görüşlerin Frekans
Dağılımları, Aritmetik Ortalama ve Standart Sapmaları ................................ 120
Tablo 18. Bilgi Güvenliği Sağlanamazsa Olası Etkileri Hakkında Görüşlerin Kullanıcı
Gruplarına Göre Karşılaştırma Sonuçları ....................................................... 121
Tablo 19. Kullanıcı Gruplarının Bilgi Güvenliğine Yönelik Görüşlerinin Frekans
Dağılımları, Aritmetik Ortalama ve Standart Sapmaları ................................ 122
Tablo 20. Bilgi Güvenliğine Yönelik Görüşlerin Kullanıcı Gruplarına Göre
Karşılaştırma Sonuçları................................................................................... 124
x
ŞEKĐLLER LĐSTESĐ
Şekil 1. Güvenlik Olaylarına Konu Olan Bilgi Kategorileri ......................................... 25
Şekil 2. Güvenlik Olayları ............................................................................................. 26
Şekil 3. Güvenlik Olaylarının Nedenleri ve Kaynakları................................................ 27
Şekil 4. ISO/IEC 17799:2000 Konu Alanları ................................................................ 30
Şekil 5. ISO/IEC 17799: 2005 Konu Alanları ............................................................... 31
Şekil 6. Standartların Yayınlanma Süreleri ................................................................... 36
Şekil 7. Önerilen Bilgi Güvenlik Yönetim Sistemi (ÖBGYS)Modeli Bileşenleri ....... 89
Şekil 8. Đnsan Grupları Örneği....................................................................................... 90
Şekil 9. Bilgi Grupları Örneği ....................................................................................... 91
Şekil 10. Fiziksel ve Çevresel Gruplar Örneği ............................................................... 95
Şekil 11. ITIL Bilgi Güvenlik Modeli ve BT Güvenlik Yönetim Süreci ....................... 96
Şekil 12. BGYS Süreçlerinde PUKO Modelinin Uygulanması ..................................... 96
Şekil 13. ISO 9001 Süreç Modeli ................................................................................... 97
Şekil 14. ADDIE Süreç Modeli ...................................................................................... 98
Şekil 15. ÖBGYS Modeli Süreç Adımları ................................................................... 100
Şekil 16. ÖBGYS Modeli Đpuçları................................................................................ 130
Şekil 17. ÖBGYS Modeli Bileşenleri, Süreç Adımları ve Đpuçları .............................. 136
xi
BÖLÜM I
1.GĐRĐŞ
Bu bölümde araştırmanın problemi, amacı, önemi, sınırlılıkları ve temel
kavramların açıklamaları verilmektedir.
1.1. Problem
Mal ve hizmet üretimindeki temel girdiler arasında belki de en pahalı ve en
önemli olanı bilgidir (Gökçen, 2002). Đnsanlar, daha nitelikli bir yaşam için bilgiye
ulaşma, bilgiyi kullanma, kısacası bilgiye sahip olma gereksinmesi içindedir ve bu da
bilginin elde edilmesi, saklanması ve iletilmesinde kullanılan bilgi teknolojilerinin hızla
gelişmesinin en önemli nedenini oluşturmaktadır. Bilgi ve iletişim teknolojilerinin
günümüzde toplumlar üzerinde büyük etkisi bulunmakta ve birçok alanda kullanılan
bilgi teknolojileri modern toplumların güçlü araçları olarak karşımıza çıkmaktadır
(Tandoğan ve başk.,1998).
Karahan (2003:88) bilgi teknolojilerini “bilginin yaratılması, biriktirilmesi,
işlenmesi, yeniden elde edilmesi, yayılması, korunmasına yardımcı olan araçlar” olarak
tanımlamakta;
Uzay (2001:16) ise
bilgi ve iletişim teknolojilerini “Bir bilginin
toplanmasını, işlenmesini, bilginin saklanmasını ve gerektiğinde herhangi bir yere
iletilmesini ya da herhangi bir yerden bu bilgiye erişilmesini otomatik olarak sağlayan
teknolojiler bütünü” olarak ifade etmektedir.
Bilgi çağı olarak adlandırılabilen
çağımızın en önemli özelliği, bilgi teknolojilerinin yoğun olarak kullanılması ve maddi
ürün yerine bilgi üretiminin önem kazanmasıdır (Tandoğan ve başk.,1998; Yıldırım ve
Öner, 2004).
2
1980’li yıllardaki, bilim ve teknolojideki hızlı gelişmeler bilgi toplumunun
oluşmasının başlangıç yılları olmuştur. “Bilginin bir güç ve kuvvet olduğu Frances
Bacon tarafından 1600’lu yıllarda ifade edilmiş olmasına karşın, insanlar ilk defa
2000’li yıllara doğru bilgi toplumundan söz etmeye başlamışlardır” (Aktaş, 2003: 46).
“Çağın toplumlarının hedefi bilgi toplumu olmaktır. Çünkü içinde yaşadığımız dönem
bilginin güç olarak görüldüğü bir dönemdir” (Tandoğan ve başk., 1998: 10). Ünlü savaş
uzmanı Napolyon’a göre, doğru bilgiyi doğru zamanda temin etmek savaşın onda
dokuzunu kazanmak demektir (Şimşek, 2002).
Bilgi toplumu bireylerin paylaşıldıkça artan bilginin gücü ve üstünlüğünü
kabul ettiği ve aktif olarak kullandığı bir yaşam biçimidir ve bilgi, toplumun stratejik
kaynağını oluşturmaktadır. Naissbitt ve Aburdene (1990)’nin ve Drucker, (1994)’ın da
belirttiği gibi bilgi toplumunda birey merkezi bir konuma sahiptir.
Teknolojinin
gelişmesiyle paralel şekilde bilginin bireyler ve kurumlar için önemi de artmıştır. Son
yıllarda önemli bir güç haline gelen bilginin, üretilmesinin yanı sıra muhafaza edilmesi
ve paylaşılması için kullanılan bilgi ve iletişim teknolojileri hayatın her alanında yer
almaya başlamıştır. Özellikle her alanda elektronik ortamlara geçişle birlikte erişilmesi
kolaylaşan bilginin güvenliğinin sağlanması da, son derece önem kazanmıştır.
“Bilgi Güvenliği”, bilginin gizlilik (bilginin sadece erişim yetkisi verilmiş
kişilerce erişilebilir olduğunu garanti etme), bütünlük (bilginin ve işleme yöntemlerinin
doğruluğunu ve bütünlüğünü temin etme, yetkisiz olarak bilginin değiştirilmemesini
sağlama) ve kullanılabilirlik/erişilebilirlik (yetkili kullanıcıların, gerek duyulduğunda,
bilgiye ve ilişkili kaynaklara erişebileceklerini garanti etme) unsurlarının temini ve bilgi
işleme ekipmanlarının, yazılımlar ve diğer bilgi teknolojisi varlıklarının meydana
gelebilecek risklere karşı korunması demektir.
Bilgi güvenliği kurumlar ve bireyler için vazgeçilmez ve değerli bir varlık olan
bilginin korunması için gerekmektedir. Bir diğer husus bilginin işlenmesi için kullanılan
ve sürekli gelişim gösteren teknolojilerin de bilgi unsuru için riskler yarattığı gerçeğidir.
Genel olarak bakılacak olursa, bilgi uygunsuz bir şekilde ifşa edilebilir (gizlilik unsuru
sağlanamaz), uygun olmayan bir şekilde değiştirilebilir (bütünlük unsuru sağlanamaz),
zarar görebilir veya kaybedilebilir (kullanılabilirlik unsuru sağlanamaz) (Blackley ve
3
başk., 2001). Đnsanlar yeni teknolojileri kullanırken bu teknolojilerin sağlayacağı
faydaların yanı sıra bu teknolojilerin getirdiği risklerin de farkında olmalıdır.
Bilgi güvenliğinin sağlanması konusunda belkide en önemli hususlardan birisi
nasıl hareket edilmesi gerektiğidir. Dünyada içerisinde bilgi güvenliği unsuru da geçen
pek çok farklı standart ve en iyi uygulama örnekleri (TS ISO/IEC 27001, TS ISO/IEC
17799, RFC2196, NIST800-12, COBIT, PCI vb.) bulunmaktadır. Bu durum bilgi
güvenlik yönetim sistemini kurmak isteyen kişi ve kurumlar için “Nereden
başlamalıyım? veya “Hangisi güvenlik için daha uygun olur?” gibi sorulara neden
olabilmektedir. Farklı ihtiyaçlar ve amaçlar için özelleştirilerek hazırlanmış olan bu
dokümanlar incelendiğinde temelde pek çok unsurun tekrarlandığı görülebilecektir.
Güvenliğin en önemli zaafının insan davranışı olduğu bilinmektedir. Son
yıllarda güvenlik ile ilgili yapılan araştırmalarda güvenliğin sağlanmasında insan
faktörünün önemi fark edilmiştir (Brostoff ve Sasse, 2001). Schneier (2000), güvenliğin
sadece en zayıf halkanın güvenliği kadar olabileceğini ve insanların zincirdeki en zayıf
halka olduğunu belirtmiştir. Poulsen (2000) ise
bilgisayar güvenliğindeki insan
faktörünün gözden kaçırıldığını, kurumların güvenlik duvarları, şifreleme ve güvenli
erişim cihazlarına milyonlarca dolar harcadıklarını, ancak bu teknik önlemlerin
güvenlik zincirindeki en zayıf halka olan insan unsurunu adreslemediği için harcanan
paranın boşa gittiğini belirtmektedir. Gonzales ve Sawicka (2002), bilgi güvenliğinin
teknoloji ve insanı içerdiğini, güvenlik sistemlerinin ne kadar iyi tasarlanmış ve
uygulanmış olursa olsun insanlara bağlı olduğunu ve bilgi güvenlik sistemlerinde insan
faktörünün daha iyi anlaşılması gerektiğini belirtmektedir. Bu çerçevede bakıldığında
kurumlar için bilgi güvenliğinin sağlanmasında teknik altyapının oluşturulması kadar
insan faktörünün de dikkate alınması ve bilgi güvenliğinin sağlanması için sistem
tasarlanırken kullanıcıların bilinçlendirilmesi için eğitim programları ile bilgi güvenlik
yönetim sistemin desteklenmesi gerekliliği ortaya çıkmaktadır.
Özelikle son yıllarda bilgi güvenliği konusunda artan sayıda araştırma yapılmaya
başlanmıştır.
Fakat
yoğunlaşmaktadır.
genelde
yapılan
çalışmalar
Geleneksel
olarak
güvenlik
mühendislik
modelleri
bilimlerinde
hangi
koruma
mekanizmalarının olması gerektiğini tanımlamaktadır (Anderson, 2001). Bu modeller
4
günlük hayatta karşılaşılabilecek güvenlik problemlerini ele almamaktadır. Bilgi
güvenliğine teknik bakış açısının dışında yaklaşılması faydalı olacaktır.
“Bilginin üretildiği, öğretildiği ve sunulduğu yerler olan eğitim örgütleri bilgi
toplumunun vazgeçilmez kurumlarıdır. Yirmi birinci yüzyılın ilk yıllarını yaşarken
eğitim örgütlerinin, bireyleri bilgi toplumuna hazırlamanın ve onları bu toplumun seçkin
bir üyesi yapmanın örgütsel misyonunu üstlenmiş bulunmaları kaçınılmazdır” (Can,
2002:2). Bilgi toplumunda en önemli görev üstlenen kurumlardan birisi üniversitelerdir.
Çünkü, üniversiteler bilgi ekonomisinin “hammadde”si olan bilginin üretiminden ve
dağıtımından sorumlu temel kurumlardır. Bilgi teknolojisi diğer bütün kurumları olduğu
gibi üniversiteleri de etkilemektedir. Kısa bir süre öncesine kadar üniversitelerimizdeki
çoğu öğrenci-öğretim elemanının yabancısı olduğu internet teknolojisinin günümüz
eğitim-araştırma dünyasındaki yerini ve önemini düşünecek olursak, bilgi teknolojisinin
üniversiteler üzerindeki etkisi daha kolay anlaşılabilir (Tonta, 1999). Eğitim kurumları,
toplumsal değişme ve gelişmeleri hem başlatan hem de yönlendiren kurumlar olarak
teknolojik gelişmeleri de izlemek, kullanmak ve bunların nasıl kullanıldığını öğretmek
durumundadır. Günümüzde eğitim kurumları, toplumun gereksinmeleri doğrultusunda,
öğrencileri bilgi çağına uygun, bilgi toplumunun özelliklerini göz önünde tutarak
yetiştirmelidir (Tandoğan ve başk., 1998; Karahan, 2003). Vural ve Sağıroğlu’nun
(2007) da belirttiği gibi;
“Bilgi güvenliğini sağlamak toplumda sadece güvenlikle uğraşan kişi ve kuruluşların
görevi değil, bilgi çağı olarak adlandırılan günümüzde, bilgi sistemlerinin
küreselleşmesi sonucunda bu sistemlerle herhangi bir şekilde doğrudan veya dolaylı
yönden ilişkisi olan ve bu sistemleri kullanan tüm birey, kurum ve kuruluşların katkıda
bulunması ve görev alması gereken önemli bir konu halini almıştır.”
Bilgi güvenliğinin
sağlanabilmesi için insan unsurunun mutlaka dikkate
alınması, yanı sıra ülkemizdeki üniversitelerin bilgi güvenliği hakkında insanların
bilinçlendirilmesi konusunda öncü kurumlar olması gerekmektedir. Bu alanda yapılacak
çalışmaların yayınlanması ve her kesimden kişilerin kullanımına sunulması şüphesiz
faydalı olacaktır. Ülkemizde özellikle eğitim kurumlarında bilgi güvenliğine yönelik
görüşlerin belirlenmesine yönelik
yapılmış detaylı bir çalışmaya rastlanmamıştır.
Araştırmacı tarafından üniversite web siteleri incelenmiş, ancak üniversitelerin bir
5
kısmında bilgi güvenliğine yönelik doküman ve bilgiler bulunmakla birlikte sistematik
bir bilgi güvenlik yönetim sistemi oluşturulduğuna yönelik bir bulgu tespit
edilememiştir.
Bilgi güvenliği için genelde yapılan araştırmalar teknik alanlarda ve mühendislik
bilim dalları tarafından gerçekleştirilmektedir. Ülkemizde yapılmış olan tezler
incelendiğinde sayısı fazla olmamakla birlikte bilgisayar güvenliği, yazılım güvenliği,
iletişim güvenliği, elektronik savaşlar vb. alanlarda çalışmalar tespit edilmiştir.
Yurtdışında eğitim kurumları için bilgi güvenliğine yönelik yapılan çalışmalar
bulunmaktadır. Örneğin Teknolojinizin Korunması, Bilgi Güvenliği Elektronik Eğitim
için Pratik Kılavuz (Safeguarding Your Technology, Practical Guideline For Electronic
Education Information Security) (NCES- Eğitim Đstatistikleri için Ulusal Merkez/
National Center For Education Statistics, 2006) NCES tarafından elektronik eğitimde
bilgi güvenliğinin sağlanması için oluşturulan kılavuz
niteliğinde bir çalışmadır.
Güvenliğin neden gerekli olduğunu açıklayan bir bölüm yanı sıra, güvenlik yönetimi ve
sistemlerin korunması için
(fiziksel, yazılımsal, erişim, internet güvenliği vb.)
yapılması gerekenleri içeren bölümler bulunmaktadır. Farklı konuları içeriyor olmasına
rağmen sistematik ve basit bir şekilde nelerin yapılması gerektiği net olarak
belirtilmemiştir.
UCISA Bilgi Güvenlik Aracı (UCISA Information Security Toolkit) (UCISAÜniversiteler ve Fakültelerin Bilgi Sistemleri Birliği/Universities and Colleges
Information Systems Association, 2006) UCISA tarafından 2005 Eylül ayında BS7799
temel alınarak hazırlanmıştır ve UCISA Bilgi Güvenlik Aracı (UCISA Information
Security Toolkit) isimli kılavuzun 2. versiyonu yayınlanmıştır. Kılavuzda bilgi güvenlik
yönetim sistemi oluşturulması için öneriler yer almaktadır. BS7799 standardı temel
alınarak hazırlandığı için temelde bu standart gerekliliklerinin anlatıldığı bir doküman
olarak değerlendirilebilir. Dokümanda, önceliklendirmenin nasıl olduğu veya kritik
hususların neler olduğu net olarak belirtilmemiştir.
6
Yükseköğretimde Bilgi Güvenliği (Information Security in Higher Education)
(Elliot ve diğerleri, 1991) çalışmasında 1989 yılında Amerika’da seçilmiş olan 8 kolej
ve üniversitede yüksek eğitimde bilgi güvenliği ile ilgili yapılan araştırmanın bulguları
sunulmuştur. Çalışmada görüşme yoluyla bilgi güvenliği hakkında edinilen bulgular
sunulmaktadır. Yaşanan sorunlar, bilgi güvenliği için ayrılan kaynak gibi farklı
konularda derlenen bilgiler son derece faydalıdır. Fakat bilgi güvenlik yönetim sistemi
oluşturulması için nasıl bir süreç izlenebileceği net olarak belirtilmemiştir. Bilgi
Güvenlik Yönetim Sistemi Modeli oluşturulurken mevcut görüşlerin toplanması
aşamasında bu çalışmadan faydalanılmıştır.
Suudi Kraliyet Deniz Birliği için Bilgi Güvenliği Farkındalığı Eğitim Programı
Geliştirilmesi (Development of an Information Security Awareness Training Program
for The Royal Suidi Naval Forces) (Alageel ,2003) çalışması, Suudi Kraliyet Deniz
Birliği (Royal Suidi Naval Forces) için bilgi güvenliği farkındalık eğitim programının
tasarlanması hakkında yapılmış bir yüksek lisans çalışmasıdır. Bilgi güvenliği için
öncelikle korunması gereken varlıkların neler olduğu ve ne gibi tehditlerden korunması
gerektiği anlatılmıştır. Mevcut eğitim programlarının değerlendirmesi yapılarak, eğitim
için stratejiler oluşturulmuştur. Bilgi güvenlik yönetim sistemi oluşturulması
aşamasında özellikle farkındalığın artırılması için faydalı olabilecek bu çalışma eğitim
programının detayında hangi konu başlıklarını içermesi gerektiği açısından da
faydalanılabilecek
bir
kaynak
çalışmadır.
Üniversitelerde
tasarlanan
modelin
uygulanması aşamasında seminer materyallerinin geliştirilmesi aşamasında bu
çalışmadan da faydalanılmıştır.
Büyük Kurumlardaki Güvenlik Çözümlerinin Analizi (Analysis Of Security
Solutions In Large Enterprises) (Bailey, 2003), geniş iletişim ağlarına sahip kurumlarda
güvenlik yönetiminin incelenmesi hakkında yapılmış bir yüksek lisans çalışmasıdır.
Kamu ve özel sektörde çalışan uzmanlardan belirlenen güvenlik sorunları ile ilgili
görüşme yoluyla bilgilerin toplanması ve analizi gerçekleştirilmiştir. Cevap aranan
sorular arasında; büyük kurumlarda işletim sistemi güncellemelerinin ne şekilde
yapıldığı; konfigürasyon yönetiminin ne şekilde yapıldığı; yüksek miktardaki verilerin
nasıl yönetildiği, izlendiği ve yedeklendiği; bilgi sistemlerinde tutulan güvenlikle ilgili
7
kayıt loglarının nasıl yönetildiği, izlendiği vb. sorular bulunmaktadır. Mevcut durumun
analizi aşamasında kullanılabilecek yöntem ve sorular açısından faydalı bir çalışmadır.
Ancak bilgi toplamanın sonrasında bilgi güvenlik yönetim sistemi oluşturulması için
yapılması gerekenler hakkında bilgi içermemektedir. Üniversitelerde tasarlanan modelin
uygulanması aşamasında bilgi toplama araçları geliştirilirken bu çalışmadan da
faydalanılmıştır.
STRATEJĐK GÜVENLĐK Kritik Güvenlik ve Stratejik Organizasyonel
Öğrenme Konuları için Geliştirici Araştırma: Güvenlik Tasarımı Teorisine Doğru
(STRATEGIC SECURITY A Constructivist Investigation of Critical Security and
Strategic Organisational Learning Issues: Towards a Theory of Security Development)
(Makinen, 2005) isimli doktora tezinde öğrenen örgütler çerçevesinde güvenliğin
incelenmesi hedeflenmiştir. Araştırmanın amacı stratejik güvenlik modeli ve stratejik
güvenlik liderliği modelinin oluşturulmasıdır. Finlandiya Savunma Bakanlığı’ndaki
personel ile model oluşturulmuş ve test edilmiştir. “Öğrenen organizasyonda değişen
ortamlarda
stratejik
güvenliğin
rolü
nedir?”
araştırmanın
temel
sorusunu
oluşturmaktadır. Çalışmada stratejik planlama ve personelin, güvenliği artırmak için
anahtar faktörler olduğu belirtilmektedir. Stratejik düşünme ve süreçlerle entegrasyon
açısından bilgi güvenlik yönetim sistemini inceleyen bu çalışma temel başarı
faktörlerinin de ipuçlarını sunmaktadır.
Güvenlik Üzerine Dört Bakış Açısı (Four Views on Security) (Virtanen,2002)
isimli bir diğer doktora çalışmasında güvenlik kavramı farklı bakış açılarından
incelenmektedir.
adamlarının
Kullanıcılar,
bakış
açısı
ve
sistemi
tasarlayanlar,
Finlandiya’da
organizasyonlar
kullanılan
iki
ve
güvenlik
bilim
modeli
incelenmektedir. Çalışmada güvenliğin iş modelleri ve yeni ürünler için gerekli olduğu,
güvenliğin organizasyonun kültürüne bağlı olduğu, eğitimin ise güvenlik için önemli bir
yeri olduğu belirtilmektedir. Farklı gruplar tarafından güvenliğin ne şekilde
algılandığının incelendiği bu çalışma bilgi güvenliğine farklı bakış açıları ile
yaklaşıldığını göstermektedir.
8
Türkiye’de yapılan çalışmalar incelendiğinde; doğrudan bilgi güvenlik yönetim
sistemi ile ilgili olmasa bile, yükseköğretimde e-öğrenme için bir model ve yol haritası
sunması açısından faydalı olabilecek bir tez çalışması tespit edilmiştir. Yüksek
Öğretimde E-Öğrenme: Çevrimiçi Eğitim Vermek Đsteyen Türk Üniversiteleri Đçin Bir
Yol Haritası (Nişancı, 2005) isimli doktora tezinde, Türkiye’deki üç üniversite
(Eskişehir Anadolu Üniversitesi, Đstanbul Bilgi Üniversitesi, Orta Doğu Teknik
Üniversitesi)
tarafından
programlarının
kavram
çevrimiçi
olarak
aşamasından
verilmekte
uygulama
olan
aşamasına
lisansüstü
eğitim
derinlemesine
bir
incelemesini yapmak suretiyle, web tabanlı uzaktan eğitim programları başlatmak ve
uygulamak isteyen diğer Türk üniversiteleri için bir rehber oluşturma amacıyla
hazırlanmıştır. Çalışma, görüşmeler ve belge analizleri yoluyla, elektronik ortamda
lisansüstü eğitim verme fikrinin nasıl oluştuğunu, hangi idari ve yönetsel önlemlerin
alındığını,
hangi
işbirliği
çalışmalarının
benimsendiğini,
hangi
sıkıntılarla
karşılaşıldığını, hangi öğretimsel kaygıların göz önüne alındığını, öğretim üyelerinin
sürece nasıl dâhil olduklarını, hangi derslerin edinildiğini ve Türk yükseköğretiminin
geleceğinde e-öğrenmenin rolünü ortaya koymaktadır. Çalışma sonucunda elde edilen
bulgular,
Türkiye’de
yükseköğretim
kurumlarının
e-öğrenme
faaliyetlerinde
faydalanacakları bir model oluşturmada kullanılmıştır. Bilgi güvenlik yönetim sistemi
modeli tasarlanırken ve planlanırken bu çalışmadan faydalanılmıştır.
Teknik bakış açısı ile hazırlanmış çalışmalardan biri olan Bilgisayar Ağ
Güvenliği ve Güvenlik Duvarı (Çakar, 2005) isimli yüksek lisans tezinde, bilgisayar
ağlarındaki güvenlik sorunları, güvenliği sağlama yöntemleri, saldırı türleri, koruma
mekanizmaları, güvenlik sınıflandırmaları ve güvenlik duvarı yapısı incelenmiştir.
Güvenlik duvarı uygulaması (ISA sunucu) gerçekleştirilerek kurulan küçük ölçekli bir
ağda bu sistemin etkileri ve özellikleri incelenmiştir. Güvenlikte sadece teknik bir
katmanın (ağ güvenliği) incelendiği çalışmada bütünsel bir model için bilgiler
bulunmamaktadır. Fakat, özellikle ağ güvenliği ve ağlardaki tehditler açısından faydalı
bir kaynaktır.
Veri Güvenliğinde Saldırı ve Savunma Yöntemleri (Özkan, 2004) isimli yüksek
lisans tezinde, bilgi güvenliği kavramları yanı sıra bilgisayar ağları ve saldırı
9
çeşitlerinden bahsedilmiş ve
bilgi güvenliği politikasında olması gereken başlıklar
aktarılmıştır. Yine teknik bakış açısı ile güvenlik ürünlerinin nasıl yerleştirilmesi
gerektiğine de değinilmiştir. Bütünsel bir model içermemekle beraber, bu çalışma
temelde saldırılar ve bu saldırılara karşı teknolojik imkânlarla neler yapılabileceğini
gösteren faydalı bir çalışmadır.
Küreselleşen Dünyada Bilgi Güvenliğine Yönelik Politikalar: Sayısal Đmza
Teknolojisi ve Türkiye (Öğüt, 2006) isimli yüksek lisans tezinde, iletişim ağları ve bilgi
güvenliği
kavramlarından
bahsedilmiş,
Türkiye’nin
bilgi
güvenliğine
yönelik
politikaları ve 5070 sayılı Elektronik Đmza Kanunu aktarılmıştır. Amaçlanan ise bilgi
güvenliği uygulamalarının hukuki ve teknik altyapısının dünyada ve Türkiye’de ne
şekilde yapılandığı ve bu yapılanma sürecinde belirleyici olan faktörleri ortaya
koymaktır. Bilgi güvenlik yönetim sisteminin bir kısmının detaylı incelendiği bu
çalışma özellikle sayısal imza alanında faydalı bilgiler içermektedir.
Bilgi Güvenlik Yönetim Sistemi Modeli için Otomasyon Aracı (An Automated
Tool for Information Security Management System Model) (Erkan, 2006) isimli yüksek
lisans tezinde, Bilgi Güvenliği Yönetimi Sistemi (BGYS) süreçlerinin otomasyonu
konusu incelenmiş ve geliştirilen bir uygulama ile örneklendirilmiştir. Tezde ISO/IEC
27001:2005 ve ISO/IEC 17799:2005 standartlarına uygun olarak dokümante edilmiş
olan bir BGYS için gerekli faaliyetlerin mümkün olduğunca otomatikleştirilmesinin
kurumlara yardımı olacağından yola çıkılarak “Infosec Toolkit” adlı bir araç
geliştirilmiştir. Sadece tek bir standardın ne şekilde uygulanacağı ve bu uygulamalar
yapılırken süreçlerin
otomatizasyonu
örneğin varlık envanteri, risk analizi gibi çalışmaların
sağlaması açısından faydalı bir çalışmadır.
Tezde standardı
uygulayabilmek için kullanılabilecek diğer hazır araçlardan da bahsedilmektedir.
Yukarıda bahsedildiği üzere giderek daha fazla bilgi ve iletişim teknolojilerinin
kullanıldığı eğitim kurumlarında bilgi güvenliğinin sağlanmasında pratik olarak
kullanıma elverişli ve eğitim odaklı bir çalışma ülkemizde tespit edilmemiştir. Böyle
bir çalışmanın yapılması ve ek olarak bilgi güvenliğinin sağlanmasında teknolojik
10
boyut ile birlikte insan faktörünü de dikkate alan bir modelin tasarlanması, uygulanması
ve uygulama sonuçlarının değerlendirilmesi yararlı olacaktır.
1.2. Amaç
Bu araştırmanın genel amacı, üniversitelerde bilgi ve iletişim teknolojisinin
kullanımında bilgi güvenliğinin sağlanabilmesi için insan ve eğitim faktörlerinin
vurgulandığı bir bilgi güvenlik yönetim sistemi modeli tasarlamak, tasarlanan modeli
seçilen üniversitelerde uygulayarak revize etmek ve özellikle eğitim kurumlarının
faydalanabilecekleri bir yol haritası oluşturmaktır. Tasarlanan modelin sadece eğitim
kurumlarında değil, uyarlandığı takdirde bilgi ve iletişim teknolojisi kullanan her
kurumda uygulanabilecek bir çalışma olması hedeflenmiştir. Bu amaçla çalışmada
aşağıdaki sorular oluşturulmuş ve bu sorulara yanıtlar aranmıştır:
1. Bilgi güvenliği ile ilgili hususları içeren standartlar/kılavuzların (en iyi
uygulama örnekleri) kesiştiği noktalar nelerdir?
2. Üniversiteler için bilgi güvenlik yönetim sistemi modelinin bileşenleri (modelin
öğeleri/alt boyutları) neler olmalıdır?
3. Modelin uygulanmasındaki süreç adımları neler olmalıdır?
4. Üniversitede kullanıcı gruplarının (öğrenciler, idari personel, akademik personel
ve teknik personelin) bilgi güvenliğine yönelik görüşleri nelerdir?
a. Bilgi ve iletişim teknolojilerinin (BIT Sistemlerinin) kullanım alanlarına
yönelik görüşleri nelerdir?
b. Bilgi güvenliğine yönelik sorunlar hakkındaki görüşleri nelerdir?
11
c. Bilgi güvenliğine yönelik sorunların olası kaynakları hakkındaki görüşler
nelerdir?
d. Bilgi güvenliği sağlanamaması durumunda olası etkileri hakkındaki
görüşler nelerdir?
e. Kullanıcı gruplarının bilgi güvenliğine yönelik görüşleri arasında anlamlı
bir farklılık var mıdır?
5. Modelin uygulanması aşamasında üniversitede karşılaşılan ortak sorunlar ve
modeli kullanacak kişilere kılavuz olabilecek ipuçları/öneriler nelerdir?
1.3. Önem
Eğitim sisteminin ve özellikle yükseköğretim kurumlarının, teknolojinin
getirmiş olduğu yeni şartların ve yeni teknolojik ortamın etkisinin dışında kalması söz
konusu olamaz. Eğitim sektöründe gelişen teknolojilerin kullanılması kaçınılmazdır.
Eğitimde teknoloji kullanımının eğitim süreçlerine etkilerinin ve katkılarının
anlaşılması için pek çok araştırma yapılmıştır ve yapılmaktadır. Yapılan bazı araştırma
ve çalışmalar eğitimde teknoloji kullanımının öğrenme sürecinin etkisinin artırılmasına
katkıda bulunduğunu göstermiştir. Ancak eğitim süreçlerinde, özellikle bilgi işleme ve
iletişim teknolojilerinin kullanımında bilgi güvenliğinin etkileri konusunda çok fazla
araştırma bulunmamaktadır. Yapılan literatür incelemesinde Türkiye’de özellikle
eğitimde teknoloji kullanımında bilgi güvenliği konusunda kapsamlı bir çalışmaya
rastlanılmamıştır.
Bilgi güvenliği konusu özellikle son yıllarda önem kazanmış ve bu alanda artan
sayıda araştırmalar yapılmaya başlanmıştır. Mühendislik bilimlerinde yoğunlaşan
teknoloji odaklı çalışmalar yanı sıra bilgi güvenliğine farklı bir bakış açısıyla
yaklaşarak; tasarım ve uygulama aşamalarında insan faktörünü ve eğitimi temel alan ve
bu faktörün güçlendirilmesine yönelik önerileri de içeren bir çalışma yapılması faydalı
olacaktır. Hangi koruma mekanizmalarının olması gerektiğini tanımlayan teknoloji
odaklı güvenlik modelleri günlük hayatta karşılaşılabilecek güvenlik problemlerini
adreslemekte yetersiz kalabilmektedir. Bu nedenle güvenliğin sağlanmasında çok
12
önemli bir yeri olan ve aynı zamanda en zayıf halka olarak nitelendirilen insan
faktörünün güçlendirilmesine katkı sağlayacak bakış açısıyla konuya yaklaşılmalıdır.
Bunun ise bilgi güvenlik yönetim sistemi modelinin tasarlanması aşamasında insan
unsurunun ve yeteneklerinin geliştirilmesine katkı sağlayacak hususların model
içerisine yerleştirilmesi ile sağlanabileceği düşünülmektedir.
Bilgi güvenliği gereklidir, çünkü bilginin önemi artmakla birlikte bilginin
işlenmesi için kullanılan teknolojiyle birlikte bilgiye erişimde kolaylaşmaktadır. Eğitim
kurumları yeni teknolojileri kullanırken, riskleri de dikkate alarak bilgi güvenliğini
sağlamalıdır.
Üniversitelerde bilgi ve iletişim teknolojisi kullanımının yaygınlaşması ile
birlikte önem kazanan bilgi güvenliğinin sağlanması konusunda yapılacak bu araştırma,
bilgi güvenliğinin farklı alanlarında yapılan araştırmalar, dünyada kabul görmüş
standartlar ve uygulama örneklerinin irdelenerek oluşturulacak model önerisinin
sunulması ve uygulanması ile Türkiye’de ilk olması açısından önemli ve güncel;
üniversitelerde bilgi güvenliği ile ilgili risklerin etkilerinin azaltılması için rehber
niteliğinde olacağından işlevsel bir çalışma olacaktır. Ayrıca bu çalışma bilgi
güvenliğinin sağlanmasında eğitimin ve insan faktörünün ön plana çıkartılması
açısından az sayıdaki araştırmalardan birisi olacaktır. Bu çalışmanın ülkemizde bilgi
güvenlik yönetimi, bilgi güvenlik farkındalığı ve eğitimi konularında yapılacak diğer
çalışmalara referans olması ve bu tarzda yapılacak çalışmalara tetikleyici bir unsur
olması ümit edilmektedir. Yapılacak çalışma ile yöntem ve eğitim materyalleri Gazi
Üniversitesi, Ankara Üniversitesi ve TOBB Ekonomi ve Teknoloji Üniversitesi
tarafından tüm kullanıcılara açılabilir ve kurumlar için faydalanabilecekleri bir kaynak
olabilir.
1.4. Varsayımlar
Mevcut durumun tespit edilmesi için kullanılan anket ve soru kâğıdı için uzman
görüşleri alınmıştır.
Görüşü alınan uzmanlar gerekli yeterliliğe sahiptir; kanıları
13
yeterlidir ve görüşlerinde objektif ve samimidirler.
Bilgi toplama araçları için
(elektronik anket) kişiler soruları içten, yansız ve doğru cevaplandırmıştır.
1.5. Sınırlılıklar
Bu tez çalışmasında tasarlanan model, Gazi Üniversitesi, Ankara Üniversitesi ve
TOBB Ekonomi ve Teknoloji Üniversitesi bilgi işlem daire başkanlıklarında
uygulanmıştır.
1.6. Tanımlar
Bilgi
Güvenliği:
Bilginin
gizliliği,
bütünlüğü
ve
kullanılabilirliğinin/
erişilebilirliğinin korunması.
Đhtiyaç analizi: Mevcut durumla olması gereken/hedeflenen durumun
karşılaştırılması.
Risk: Kurum’a veya paydaşlarına zarar verme potansiyeli olan durumu veya bir
varlıktaki/süreçteki bir açıklığın (vulnerability) bir tehdit tarafından kullanılma (exploit)
ihtimali.
Risk Değerlendirmesi: Bilişim kaynaklarının, zafiyetlerin ve tehditlerin dikkate
alınarak risklerin belirlenmesi; risklere karşı mevcut kontrollerin dikkate alınarak bu
risklerin oluşma olasılığı ve oluşması durumunda etkisinin analiz edilmesi ve riskin
oluşma
olasılığı
belirlenmesi.
ve/veya
etkisinin
azaltılması
için
alınabilecek
aksiyonların
14
Risk Yönetimi: Bilişim kaynaklarını/mevcut süreçleri etkileyebilecek olan
risklerin; uygun bir maliyette tanımlanması, kontrol edilmesi ve en aza düşürülmesi
veya ortadan kaldırılması süreci.
BÖLÜM II
2. KAVRAMSAL ÇERÇEVE
Bu bölümde araştırmanın kavramsal çerçevesini oluşturan bilgi güvenliği,
teknoloji, eğitim, bilgi güvenlik yönetim sistemi ile ilgili temel kavramlar, ilkeler ve
araştırma sonuçları incelenmiştir. Kaynak taramasında aşağıdaki veri tabanları ve
indeksler kullanılmıştır.
Google
Academic Search Premier
ERIC
EDUCAUSE
ISACA
ISC2
ACM
ProQuest Digital Dissertations
YÖK Kütüphanesi
YÖK tez veritabanı linkleri
Kaynak taramasında aşağıdaki anahtar kelimeler ve ifadeler ile değişik yazımları
kullanılmıştır:
Bilgi güvenlik/Güvenlik (Information security /Security)
16
Kurumsal bilgi güvenliği (Enterprise information security)
Bilgi güvenlik eğitimi (Information security learning)
Yükseköğretim bilgi güvenlik (Higher education information security)
Güvenlik farkındalığı (Security aweraness)
Bilgi güvenlik yönetim sistemleri (Information security management model)
BT güvenliği (IT security)
Güvenlik standartları (Security standard)
Kaynakların seçiminde tezin kavramsal çerçevesi ve araştırma soruları ile ilişkisi
göz önünde bulundurulmuş ve kavramsal çerçevenin oluşturulmasında, genelden özele
doğru bir sıra izlenmiş ve araştırma bulguları sunulmuştur. “Bilgi ve Đletişim
Teknolojisi ile Bilgi Toplumuna Geçiş” bölümünde teknolojinin hayatımızdaki yeri ve
toplumda bilginin öneminin artışı aktarılmaya çalışılmıştır. “Bilgi Teknolojileri ve
Üniversiteler” bölümünde üniversitelerde bilgi teknolojilerinin kullanımı incelenmiştir.
“Bilgi Güvenliği” kısmında bilgi güvenliğinin ne anlama geldiği ve neden önemli
olduğu
vurgulanmış
ve
üniversitelerde
bilgi
güvenliğinin
önemi
konularına
değinilmiştir. “Bilgi Güvenliğine Yönelik Standart ve Kılavuzlar” bölümünde ise
içerisinde bilgi güvenliği ile ilgili kısımlar bulunan dokümanlar hakkında araştırma ve
inceleme sonuçları sunulmuştur.
2.1. Bilgi ve Đletişim Teknolojisi ile Bilgi Toplumuna Geçiş
Bilgi, mal ve hizmet üretimindeki, personel, malzeme, makine (tesis ve enerjiyi
de içerir) ve para gibi temel girdilere ilave edilen belki de en pahalı ve önemli girdi
olarak ifade edilmektedir (Gökçen, 2002). Bilgi, toplanmış, organize edilmiş,
yorumlanmış ve belli bir yöntemle etkin karar vermeyi sağlamak amacıyla ilgili birime
iletilmiş, belirli bir amaç doğrultusunda kullanılan, yararlı biçime dönüştürülmüş ve
kullanıcıya değer sağlayan verilerdir. Bilgi, çoğulculuğu, çeşitliliği, kurum içi
etkileşimleri ve organizasyon faaliyetlerinin mantıksal arka planını oluşturmaktadır.
17
Bilginin ihtiyaç duyulduğu an erişilebilir olması da son derece önemlidir, ünlü
savaş uzmanı Napolyon’un belirttiği gibi, doğru bilgiyi doğru zamanda temin etmek
savaşın onda dokuzunu kazanmak demektir. Günümüzde de bilgi güç olarak
görülmektedir. Toplumların yapısını ve eğitim sistemlerini etkileyen etkenlerin başında
gelen
bilim
ve
teknolojideki
ilerlemeler,
iletişim
teknolojilerinin
gelişimi,
küreselleşmenin etkileri, kurumsal ve toplumsal boyutta kaçınılmaz bir dönüşüme yol
açmıştır. Bu dönüşüm günümüzde “enformatik devrim”, “bilgi toplumu” olarak
nitelendirilmektedir ve bilgi patlaması, bilimsel ve teknolojik alanda kaydedilen hızlı
gelişme ve değişimlere bağlı olarak çağımıza “bilgi çağı”, “iletişim çağı”, “uzay çağı”,
“bilişim çağı” gibi adlar verilmektedir. Bu değişim ve gelişmeler, hem bireyleri hem de
toplumları etkilemekte, onların yaşam biçimlerini değiştirmektedir. Bilgi çağı olarak
adlandırılan bu çağın en önemli özelliği, bilgi teknolojilerinin yoğun olarak kullanılması
ve maddi ürün yerine bilgi üretiminin önem kazanmasıdır (Şimşek, 2002; Tandoğan ve
diğerleri, 1998; Yıldırım ve Öner, 2004).
Bilgi toplumu kavramı çeşitli ülkelerin resmi politika belgelerinde “sosyoekonomik faaliyetlerin giderek etkileşimli sayısal iletişim ağlarının katılımıyla veya bu
iletişim ağların yoğun kullanımıyla gerçekleştirilmesi yanında bu amaçla kullanılan her
türlü teknolojinin ve uygulamanın üretilmesi olarak” tanımlamaktadır (TUBĐTAK,
2002).
Bilgi toplumu, bilginin temel güç ve ana sermaye olduğu, ancak amaç
değil, araç olduğu ve toplumsal yaşamın her aşamasını aydınlatan, yönlendiren başlıca
güç olduğu bir hayat biçimi, bir düşünce biçimidir. Başka bir ifadeyle bilgi toplumu
bireylerin paylaşıldıkça artan bilginin gücü ve üstünlüğünü kabul ettiği ve aktif
olarak kullandığı bir yaşam biçimidir ve bilgi, toplumun stratejik kaynağını
oluşturmaktadır. Naissbitt ve Aburdene (1990: 269)’nin ve Drucker, (1994)’ın da
belirttiği gibi bilgi toplumunda birey, merkezi bir konuma sahiptir. Bilgiyi üreten de
kullanan da insan olduğu için, insan kaynakları, dolayısıyla eğitim bu toplumun
varlığını sürdürebilmesinin vazgeçilmez koşulu haline gelmiştir
(Çetin, 2004).
Eraydın (2002)’da benzer şekilde bilgi toplumunda insanın bilgiyi en etkin ve en yararlı
18
olarak kullanabilmesi için onun eğitiminin her zamankinden daha fazla önem
kazandığını belirtmektedir. Sonuç olarak, bilgi toplumunda son derece önemli olan;
bilginin kaynağı diye nitelendirebileceğimiz, bilginin üretildiği, sunulduğu ve insanlara
öğretildiği yerler olan eğitim örgütlerinin kişileri bilgi toplumu olma yönünde
hazırlaması da son derece doğaldır (Can, 2002).
Son yıllarda önemli bir güç haline gelen bilginin, üretilmesi yanı sıra muhafaza
edilmesi ve paylaşılması için kullanılan bilgi ve iletişim teknolojileri hayatın her
alanında yer almaya başlamıştır.
2.2. Bilgi Teknolojileri ve Üniversiteler
Bilim ve teknoloji alanlarındaki gelişmeler, bir yandan toplumsal yapıları uygun
bir dönüşüme zorlarken, bir yandan da bireyler bu gelişmelerin her geçen gün hızla
değiştiği yeni ortamlara uyum sorunlarıyla karşılaşmaktadır. Böylece gerek yaşamlarını
dengeli bir biçimde sürdürebilmeleri, gerekse içinde bulundukları topluma yapıcı bir
üye olarak katılabilmeleri için, bireylerin gerekli bilgi, beceri ve tutumlarla donatılması
ihtiyacı ortaya çıkmaktadır. Bunun yapılması ise rastlantılara bırakılamaz. Bu noktada
önce teknoloji sonra da eğitim kavramları devreye girmektedir (Tosun, 2006).
Eğitim ve teknoloji, bireylerin yaşamlarını, uluslar arasındaki siyasal-ekonomikkültürel ilişkileri ve toplumların sosyal refah düzeylerini belirlemede en önemli
faktörler arasındadır. Özellikle teknolojide yaşanan değişim ve gelişimler eğitimi, buna
bağlı olarak da toplumu etkilemektedir. Bu nedenle teknoloji ve eğitim birbirleriyle sıkı
bir şekilde ilintili kavramlardır (Özkul ve Girginer, 2001). Son yıllardaki gelişmeler
değerlendirildiğinde
de
eğitimde
teknolojiden
faydalanma
oranının
arttığı
görülmektedir.
Yükseköğretim, akademik dereceler vermek üzere üniversiteler ve diğer
kuruluşlar tarafından sunulan bir hizmettir. Yükseköğretim hem öğretim hem de
19
araştırma aktivitelerini barındırmakta ve öğretim süreci farklı şekillerde adlandırılsa bile
lisans ve lisansüstünü kapsamaktadır. Tarihte yükseköğretimin içeriği ve şekli değişmiş
olsa da son yıllarda malumat (information) ve bilginin (knowledge) iletimindeki köklü
ve hızlı değişimler yükseköğretimin kitlelere iletilme şeklini de değiştirmeye
başlamıştır. Geçmişte olduğu gibi şu anda da teknolojik gelişmeler eğitim dünyasında
da kendisine kullanım alanları bulmaktadır (Ersoy ve Acartürk, 2006).
T.C. Devlet Teşkilatı Rehberin (1998: 513)’de tanımlanan yükseköğretimin
görevleri incelendiğinde bilgi güvenliği konusunda görev tanımları ile ilişkilendirilen
konular özetle aşağıda sunulmuştur:
“1) Çağdaş uygarlık ve eğitim-öğretim esaslarına dayanan bir düzen içinde,
toplumun ihtiyaçlarına ve kalkınma planları ilke ve hedeflerine uygun ve ortaöğretime
dayalı çeşitli düzeylerde eğitim, öğretim, bilimsel araştırma, yayın ve danışmanlık
yapmak;” (Dünyadaki gelişime bakıldığında bilgi güvenliğinin öneminin arttığı ve
ülkemizde özellikle bilgi güvenliği konusunda yükseköğretim kurumlarının topluma
destek olması gerekliliğinin de arttığı bir gerçektir).
“2) Kendi uzmanlık gücünü ve maddi kaynaklarını rasyonel, verimli ve
ekonomik şekilde kullanarak, milli eğitim politikası ve kalkınma planları ilke ve
hedefleri ile Yükseköğretim Kurulu tarafından yapılan plan ve programlar
doğrultusunda ülkenin ihtiyacı olan dallarda ve sayıda insan gücü yetiştirmek;“
(Teknolojinin hızlı gelişimi karşısında yükseköğretim kurumlarının müfredatlarını
gözden geçirerek özellikle bilgi güvenliği alanında yetişmiş insan gücünün temin
edilmesinde destekleyici programlarla yardımcı olması gerekmektedir).
“3) Türk toplumunun yaşam düzeyini yükseltici ve kamuoyunu aydınlatıcı bilim
verilerini söz, yazı ve öteki araçlarla yaymak;” (Yükseköğretim kurumları bilgi
güvenliği konusunda araştırma yapılmasına öncülük ederek bilgi güvenlik yönetim
sistemi kurulumu için kılavuz olacak yayınları paylaşmalıdır ve bu yayınların
artırılmasını sağlamalıdır).
20
“4) Ülkenin bilimsel, kültürel, sosyal ve ekonomik yönlerden ilerlemesini ve
gelişmesini ilgilendiren sorunlarını, öteki kuruluşlarla işbirliği yaparak, kamu
kuruluşlarına önerilerde bulunarak öğretim ve araştırma konusu yapmak, sonuçlarını
toplumun yararına sunmak ve kamu kuruluşlarınca istenecek inceleme ve araştırmaları
sonuçlandırarak düşüncelerini ve önerilerini bildirmek;” (Yükseköğretim kurumları
bilgi güvenliği konusunda öncülük edici çalışmalar yanı sıra özellikle ülkemizde kamu
kurumlarında
bilgi
güvenliğine
yönelik
çalışmalarda
bulunarak
bu
kültürün
yaygınlaşmasına destek olmalıdır.).
“5) Eğitim teknolojisini üretmek, geliştirmek, kullanmak, yaygınlaştırmak.“
(Yükseköğretim
kurumları
yaygınlaştırılmasını
eğitim
sağlarken
bu
teknolojisinin
teknolojideki
üretilmesi,
bilgi
kullanılması
güvenliğinin
ve
sağlanması
gerekliliğini de dikkate almalıdır).
Üniversite, “evrensel kavrayışla pozitif bilimin, insan aklına ve uygarlığın bilgi
birikimine
duyulan
güvenle
geliştirildiği
yenilendiği
araştırma,
aydınlanma
kurumları”dır (Gürel,1995: 47). “Üniversiteler iki temel amaç için vardır. Birincisi,
cinsiyet gözetmeden insanları belli meslekler için eğitmek, ikincisi kısa vadeli yarar
gözetmeden bilim ve araştırmayı sürdürmektir” (Russell, 2001: 206). Günümüzde
önemi gittikçe artan bilgi güvenliği konusunda gerek yetişmiş insan gücü sağlanması
gerekse bu alanda yapılacak araştırma ve inceleme faaliyetlerinin artırılması hakkında
üniversitelere büyük sorumluluk düşmektedir.
Bilgi toplumunda en önemli görev üstlenen kurumlardan birisi üniversitelerdir.
Çünkü, üniversiteler bilgi ekonomisinin “hammadde”si olan bilginin üretiminden ve
dağıtımından sorumlu temel kurumlardır. Üniversite, kamu yararı için bilgi üreten,
bilgiyi ileten ve yayan özerk bir öğretim ve araştırma kurumudur (Ortaş, 2004). TC
Devlet
Teşkilatı
Rehberinde
(1998:
513)
ve
2547
sayılı
kanunda
(1981)
yükseköğretimin kuruluş amacı “…yüksek düzeyde bilimsel çalışma ve araştırma
yapmak, bilgi ve teknoloji üretmek, bilim verilerini yaymak, ulusal alanda gelişme ve
kalkınmaya destek olmak, yurtiçi ve yurtdışı kurumlarla işbirliği yaparak bilim
21
dünyasının seçkin bir üyesi haline gelmek, evrensel ve çağdaş gelişmeye katkıda
bulunmak” olarak belirtilmektedir. Bilgi teknolojisi diğer bütün kurumları olduğu gibi
üniversiteleri de etkilemektedir.
2.3. Bilgi Güvenliği
Günümüzde bilgi teknolojileri kullanımı ile bilginin üretilmesi, depolanması,
paylaşılması
ve kullanılması
kolaylaşmış;
bilgi,
bilgi
çağıyla birlikte bilgi
teknolojilerinin yaygınlaşması sonucunda hızlı ve sürekli bir şekilde üretilebilen,
geliştirilebilen, iletişim kanallarıyla taşınan, bölünebilen, paylaşılabilen ve üretim
faktörleri ile ikame edilebilen bir ürün halini almıştır. Organizasyonlar ve bireyler
arasındaki kompleks ilişkiler bilginin alıcısına ulaşma güvenirliğini azaltmaktadır
(Guredin, 1994: 4).
Bilginin bu kadar hayati önem taşıdığı bir ortamda bilginin
güvenliğinin sağlanması da kuşkusuz önemlidir. Çünkü bilgi ve bilginin işlendiği
sistemler ve bilgisayar ağları önemli ticari varlıklardır. Konuya kurumsal düzeyde
bakıldığında, korunması gerekenlerin, kurum içi veri, kurum içi bilgi sistemleri ve
kurum
itibarı
olduğu
görülmektedir.
Bilginin
gizliliği,
güvenilirliği
ve
kullanılabilirliğinin sağlanması yani bilgi güvenliğinin sağlanması; kurumların ayakta
kalabilmesi ve hedeflere ulaşabilmesi için son derece önemlidir. Benzer şekilde bilgi
güvenliği, yasal yükümlülükleri yerine getirebilmek, rekabet gücünü ve ticari/sosyal
imajı korumak ve sürdürmek için zorunlu ve gereklidir. Herhangi bir şekilde güvenliğin
ihlal edilmesi kurumlar için verdikleri hizmetlerin aksamasına, maddi zararlara ve en az
maddi zararlar kadar yıkıcı etkisi olan manevi zararlara neden olabilir. Kurumun,
kamu, müşteriler, iş ortakları ve hissedarlar karşısında güven kaybına uğraması, stratejik
bilgiden yoksun kalması ve kurumsal itibarın zedelenmesi gibi zararlarla karşı karşıya
kalması söz konusu olabilir.
Bilgi güvenliğinin sağlanabilmesi için sadece teknoloji kullanımı yeterli değildir.
Güvenliğin teknik yönü kadar sosyal yönü de dikkate alınmalı ve güvenlikte en zayıf
halka olarak nitelendirilen insan faktörü güçlendirilmelidir. Aksi takdirde bilgi
güvenliğini sağlamak için sadece teknolojiye yapılan yatırımların boşa gitmesi ihtimali
22
bulunacaktır. Gonzales ve Sawicka (2002), bilgi güvenliğinin teknoloji ve insanı
içerdiğini, güvenlik sistemlerinin ne kadar iyi tasarlanmış ve uygulanmış olursa olsun
insanlara bağlı olduğunu ve bilgi güvenlik sistemlerinde insan faktörünün daha iyi
anlaşılması gerektiğini belirtmektedir. Bu görüşlerin doğruluk payı bulunmaktadır.
Kurumun/sistemin kullanıcıları bilinçlenmemişse, en güçlü güvenlik ürünleri bile yeterli
koruma sağlayamaz.
Bu çerçevede bakıldığında kurumlar için bilgi güvenliğinin
sağlanmasında teknik altyapının oluşturulması kadar insan faktörünün de dikkate
alınması ve
bilgi güvenliğinin sağlanması için sistem tasarlanırken kullanıcıların
bilinçlendirilmesi için eğitim programları ile bilgi güvenlik yönetim sistemin
desteklenmesi gerekliliği ortaya çıkmaktadır. Ancak burada önemli olan bilgi güvenlik
yönetim sisteminin planlama aşamasından itibaren insan ve eğitim faktörlerinin sürece
dâhil edilmesidir.
Bilgi güvenliğinin sağlanması diğer sektörlerde olduğu gibi eğitim alanında da
gereklidir. Çünkü daha önce eğitim kurumlarında saklanması gereken kritik kâğıt
belgelerin yerini elektronik kayıtlar almakta, elektronik imzanın uygulanması ile birlikte
dijital ortamlara geçişin hızlanacağı öngörülmektedir. Kâğıt ortamda kilit altında
saklanan bu belgelere gösterilen özenin elektronik kayıtlara da gösterilmesi
gerekmektedir. Günümüzde bilgi güç demektir. Bilişim sistemleri eğitim kurumlarında
eğitimsel süreçlerin daha etkili hale getirilmesi için kullanılabilecek bir araçtır.
Öğrenciler, personel, dersler, programlar, verilen hizmetler hakkındaki bilgiler bilgi
teknolojileri ile toplanabilir ve yönetilebilir. Böylelikle eğitim kurumları öğrencilere
sunulan hizmetleri daha iyi koordine edebilir, öğrenme süreçlerini daha az kaynakla
ölçebilir; personele görev atamalarını yaparak bunları ve kaynakların kullanımını takip
edebilir, topluma pek çok katma değerli hizmet sunabilirler. Dijital kütüphaneler,
çevirimiçi eğitim bu hizmetlere örnek olarak verilebilir.
Bilgi ve iletişim teknolojileri eğitimsel kayıtların saklanması, bilgiye erişim ve
kullanımı kolaylaştırmaktadır, ancak beraberinde bilgi güvenliği ile ilgili riskleri de
getirmektedir. Eğitim kurumları yeni teknolojileri kullanırken bu teknolojilerin
sağlayacağı faydaların yanı sıra bu teknolojilerin getirdiği risklerin de farkında
olmalıdır. Bilgi güvenliğinin eğitim sürecine dolaylı yoldan etkilerinin olması söz
23
konusudur. Bir üniversitede elektronik olarak tutulan öğrenci notlarının değiştirilmesi
durumunda ya da daha vahimi bu notların tamamının kaybı durumunda dolaylı yoldan
eğitim sürecine etkisinin yüksek olduğunu söylemek yanlış olmaz. Ya da bir akademik
personelin bilgisayarında tuttuğu araştırma verileri veya eğitimle ilgili kullandığı bilgi
varlıklarının; kütüphanede kullanılan ve kullanılan kaynak bilgileri ile birlikte ödünç
alma verilerinin bilgi sistemlerinde tutulması söz konusu ise bu bilgi varlıklarının;
öğrenciler ve personelle ilgili bilgi sistemlerinde tutulan
bilgi varlıklarının
değiştirilmesi, zarar görmesi veya tamamen kaybedilmesi durumunda etkilerinin göz
ardı edilmemesi gereklidir. Eğitimde kullanılan bilgisayar laboratuarlarının veya
çevrimiçi eğitim sistemlerinin zararlı kodlar (virüs, solucan vb.) sebebiyle iş göremez
hale gelmesi, konuyla ilgili yeterli hazırlıkların yapılmamış olması durumunda bu
sistemlerin tekrar işler hale getirilmesinde geçecek zaman ve işgücü kaybının etkilerinin
de yüksek olacağı söylenebilir.
Eğitimsel Güvenlik Olayları (ESI- Educational Security Incidents) web sitesinde
dünyadaki kolej ve üniversitelerde meydana gelmiş ve basında yer almış olan bilgi
güvenlik olaylarının kayıtları tutulmaktadır. Bu web sitesinin amacı eğitim kurumlarına
eğitimsel bilgi ve bilgi sistemlerine karşın tehditlerin var olduğunu anlamalarına
yardımcı olmaktır (Dodge, 2008). ESI başlangıçta kolej ve üniversitelerin bilgi
güvenliği hakkında düşünmeye başlamalarını sağlayabilmek için kişisel bir araştırma
projesi olarak başlatılmıştır. Dodge (2008) raporunda da belirtildiği gibi güvenlik
olayları 6 sınıfta gruplandırılmıştır. Bunlar:
•
Çalışan Sahtekârlığı (Employee Fraud): Çalışanlar tarafından sahtekârlığa
yönelik aktiviteleri içeren olaylar.
•
Taklit (Impersonation): Bir kişinin (kişilerin) farklı bir kişi (kişiler) veya
kurum gibi kendini tanıtarak gerçekleştirilen olaylar.
•
Kayıp (Loss): Fiziksel medyaların örneğin disklerin, ekipmanların veya basılı
materyallerin kaybolması tahrip edilmesini içeren olaylar.
24
•
Sızma/Nüfuz Etme (Penetration): Bilgisayar yazılımı, bilgisayar sistemi veya
bilgisayar ağına sızma olayları.
•
Hırsızlık (Theft): Fiziksel medyaların örneğin disklerin, ekipmanların veya
basılı materyallerin çalınmasını içeren olaylar.
•
Yetkisiz Açıklama, Đfşa (Unauthorized Disclosure): Bilinmeyen ve/veya
yetkisiz kişilere bilginin gösterilmesini içeren olaylar.
Raporda güvenlik olaylarına konu olan bilgi için de aşağıdaki 6 sınıfta gruplama
yapılmıştır. Bunlar:
•
Eğitimsel (Educational): Bireylerin ders programı, not bilgileri gibi eğitimsel
bilgilerini içermektedir.
•
Finansal (Financial): Bireylerin banka hesap numaraları, kredi kartı
numaraları gibi finansal bilgileri içermektedir.
•
Tıbbi (Medical): Bireylere ait tıbbi bilgileri içermektedir.
•
Kişi Olarak Tanımlayıcı (Personally Identifiable): Bir bireye ait olan bilgiyi
içermektedir (ama ille de özel olması gerekmez, örneğin isim, adres, doğum
tarihi, e-posta adresi, vb. olabilir).
•
Sosyal Güvenlik Numaraları (Social Security Numbers): Bireylerin sosyal
güvenlik numaraları (veya ABD dışındaki ülkelerde benzer amaç için
kullanılan bilgileri) içermektedir.
•
Kullanıcı adları ve şifreleri (Usernames and Passwords): Bireyin bilgi
kaynağına erişimi için kullandığı erişim bilgilerini içermektedir.
25
Aşağıda Şekil 1’de görüldüğü gibi “Kişi Olarak Tanımlayıcı Bilgi” 2007
yılındaki bilgi güvenlik olaylarında liderliği sürdürmektedir. Grafikte görülen kullanıcı
adı ve şifrelerle ilgili güvenlik olayı az görünmesine rağmen son derece önemlidir.
Çünkü bireyler, kurumun bilgisayar ve ağ sistemlerine girmek için bu bilgileri
kullanmaktadır ve bu bilgilerin ele geçirilmesi yetkisiz olarak sistemlere giriş imkânı
sağlayacaktır (Dodge, 2008).
Şekil 1. Güvenlik Olaylarına Konu Olan Bilgi Kategorileri
Aşağıdaki Şekil 2’de görüldüğü üzere en genel güvenlik onayı %38 oranı ile
yetkisiz açıklama,
diğer bir deyişle bilginin yetkisi olmayan kişiler tarafından
görülebilir ve kullanılabilir olmasıdır. Bunu % 28 ile hırsızlık olayları takip etmektedir.
2007 yılı boyunca çalışanların faaliyetleri sebebiyle yaşanan güvenlik olayları oranının
yüksek olduğu görülmektedir. Saldırganlar tarafından gerçekleştirilen sızma olayları
%22 iken, kötü niyetle olmasa bile çalışan faaliyetleri sebebiyle ortaya çıkan kayıp ve
yetkisiz açıklama oranı toplamı %47 gibi bir orana sahiptir (Dodge, 2008).
26
Şekil 2. Güvenlik Olayları
Gartner (2006) tarafından yayınlanan raporda aşağıdaki Şekil 3’de görüldüğü
üzere, güvenlik olaylarının/saldırılarının %52’si kötü niyetli olmayan personel
hatalarından kaynaklanmaktadır. Yine aynı raporda geçen verilere göre
güvenlik
saldırısı kaynakları incelendiğinde bu kaynaklar içerisinde personel birinci sırada yer
almaktadır.
27
Şekil 3. Güvenlik Olaylarının Nedenleri ve Kaynakları
Đnsan unsurunun bilgi güvenliğinin sağlanmasında önemini vurgulayan bu
çalışmalar, bilgi güvenlik yönetim sistemi oluşturulurken de insan ve bilgi odaklı,
eğitimsel hedeflerin birinci öncelikte dikkate alındığı bir modelin uygulanmasının da
fayda sağlayacağını göstermektedir.
Bir başka
raporda (Gartner, 2001), yükseköğretim kurumlarından güvenlik
yapısını planlama ve uygulamayı başaramayan kurumlardan yüzde yetmiş beşinin
sonraki beş yıl içerisinde en az bir güvenlik ihlali ile stratejik servislerinde kesinti
olacağını öngörüldüğü belirtilmektedir. Unutulmaması gereken nokta, şimdiye kadar
sorunla karşılaşılmamış olmasının bundan sonra da sorun yaşanmayacağının garantisini
vermediği gerçeğidir.
2.4. Bilgi Güvenliği Standart ve Kılavuzlar (En Đyi Uygulama
Örnekleri)
BT kullanımında güvenliğin sağlanması başka bir ifade ile bilgi güvenlik
yönetim sistemi oluşturulması, bilgi ve iletişim sistemlerinin etkili kullanımı için
dünyada çeşitli standartlar ve en iyi kullanım örneklerini içeren kılavuzlar
bulunmaktadır. Bunlara
BS7799; ISO/IEC 17799; ISO/IEC 27002; BS7799 part2;
28
ISO/IEC 27001; TCSEC; ITSEC; CTCPEC; Common Criteria (ISO/IEC 15408);
RFC2196; NIST 800-12; OCTAVE; ISO IEC13335; PCI DSS örnek verilebilir, ayrıca
içerisinde bilgi güvenliğinin sağlanması ile ilgili kısımların olduğu dünyaca kabul
görmüş en iyi uygulama örnekleri de (COBIT, ITIL vb.) bulunmaktadır. Güvenli web
uygulamaları yazılması için buna odaklanan OWASP çalışması bulunmaktadır, risk
analizi konusunu derinlemesine inceleyen OCTAVE, bilgi güvenlik yönetim sistemi
oluşturulması için BS7799’dan başlayarak evrimleşen ISO/IEC 27001; daha teknik
detaya inen öncelikle işletim sistemleri için güvenli sistem tasarımını anlatmak
amacıyla TCSEC olarak hazırlanan ve yine evrimleşerek (TCSEC, ITSEC, CTCPEC
gibi standartların ortak noktalarının bir araya getirilmesi ile oluşturulan) ISO/IEC 15408
olarak yayınlanan standart, kartlı ödeme sistemlerinin güvenliğinin sağlanabilmesi için
ISO/IEC 27001 ve OWASP gibi standartların bazı maddelerini de içeren PCI Veri
Güvenlik Standardı; BT yönetim süreçlerinin iyileştirilmesi, kontrol altına alınması ile
ilgili en iyi kullanım örneklerini içeren COBIT bunlara örnek verilebilir. Aşağıda bu
standartlarla ilgili araştırma bulguları sunulmuştur.
2.4.1.
BS 7799 Part 1 ; ISO/IEC 17799:2000; ISO/IEC 17799:2005 ; ISO/IEC
27002:2005; TS ISO/IEC 17799:2002; TS ISO/IEC 17799:2006
Đngiltere Standartlar Enstitüsü (BSI- British Standards Institude) Đngiltere’deki
ulusal standart kurumudur ve Đngiliz standartlarına ilişkin dokümanları yayımlama
yetkisine sahiptir. Đngiltere Standartlar Politika ve Strateji Komitesi (The United
Kingdom Standards Policy and Strategy Committee) tarafından hazırlanan BS7799
çeşitli ülkeler tarafından da uyarlanmış ve adapte edilmiştir.
BS7799 orijinal şekli ile iki kısımda yayımlanmıştır.
•
BS 7799-1: Bilgi Teknolojisi– Bilgi Güvenlik Yönetimi Uygulama Kılavuzu
(Information Technology- Code of Practice for Information Security
Management )
29
•
BS 7799-2: Bilgi Güvenlik Yönetim Sistemi- Doküman Kullanım Kılavuzu
(Information Security Management Systems- Specification with Guidance for
Use)
BS 7799, Bilgi Teknolojisi– Bilgi Güvenlik Yönetimi Uygulama Kılavuzu
(Information Technology-Code of practice for Information Security Management ) ilk
kez 1995’de Đngiltere Standartlar Enstitüsü tarafından bilgi güvenliğinin sağlanabilmesi
amacı ile yayınlanmıştır. Standartta bilginin çeşitli kontroller vasıtası ile korunması
esastır. Pek çok organizasyon için bu standart ortak bir referans noktası haline gelmiştir.
BS7799 uygulayan organizasyon sayısı artmış ve bazı ülkeler bu standarttan
yararlanarak kendi ülkeleri için standartlar oluşturmuşlardır. BS7799 standardından
yararlanılarak oluşturulan bu tarz standartlara; Hollanda SPE 20003, Avustralya/Yeni
Zelanda AS/NZS 4444, Danimarka ve Đsveç SS 627799 örnek olarak verilebilir.
1998 yılında BS 7799 gözden geçirilip 1999 Mart ayında yenilenmiştir. Şu an
159 ülkenin kabul ettiği Standardizasyon için Uluslararası Organizasyon (ISOInternational Organization for Standardization) tarafından kontrollere tabi tutulan
BS7799 standardı 2000 Kasım ayında uluslararası bir standart olarak ilan edilmiş ve
ISO/IEC 17799:2000
Bilgi Teknolojisi- Bilgi Güvenliği Yönetimi Đçin Uygulama
Prensipleri (Information Technology- Code of Practice for Information Security
Management) adı ile kullanıma sunulmuştur. Standart, Standardizasyon için
Uluslararası Organizasyon ve Uluslararası Elektroteknik Komisyon (International
Organisation for Standardisation and International Electrotechnical Commission )
tarafından hazırlanmıştır. ISO/IEC JTC1/SC27 WG1 olarak tanımlanan teknik komite
bu dokümanın bakımında sorumludur.
ISO/IEC 17799:2000 Đngiliz standardı olan BS 7799-1:1999, Bilgi Güvenlik
Yönetimi Uygulama Kılavuzu (Code of Practice for Information Security Management)
dokümanını temel alarak hazırlanmıştır. ISO/IEC 17799:2000
güvenliğini uygulamaktan sorumlu taraflara
kurum içinde bilgi
bilgi vermek amacıyla hazırlanmıştır.
Standart, bir kuruma; kurumun denetim, yasal ve tüzel beklentilerini karşılamaya
yönelik uluslararası normdaki güvenlik uygulamalarını sunmaktadır. ISO/IEC 17799:
2000’in ilk taslak kısmının hazırlanması süresince, bu dokümanın
uygulanmasının
yeterince kalifiye olmuş ve deneyimli insanlar tarafından yapılmasının gerekliliği ön
30
koşul olarak olarak kabul edilmiştir. Đçindeki bütün konular kılavuz niteliğinde olup
zorunluluk taşımamaktadır. Bu nedenle ancak yeterli bilgi ve deneyime sahip kişiler
tarafından, standartta geçen kontrollerin değerlendirilmesi bunlardan gerekli olanların
seçilmesi ve uygulanması sağlıklı olarak gerçekleştirilebilir.
ISO/IEC 17799:2000
küçükten büyüğe, değişik sektörlerde bulunan kurumların büyük çoğunluğunun
gereksinimlerini kapsamlı olarak karşılayacak şekilde tasarlanmıştır. Güvenlik yönetimi
kavramlarından genel olarak bahsedilmektedir.
Bilgi güvenliğini temin edebilmek için aşağıda Şekil 4’de gösterilen 10 alanda
toplanan bu standart 127 kontrolü içerir. Bu kontroller deneyim ve bilgi birikimi ile
belirlenmiş olup kurumun çalışma alanı ya da büyüklüğünden bağımsız olarak
uygulanabilmektedir.
Şekil 4. ISO/IEC 17799:2000 Konu Alanları
ISO/IEC 17799:2000 gelişen ihtiyaçlar doğrultusunda tekrar revize edilerek
10.06.2005 tarihinde ISO/IEC 17799:2005 Bilgi Teknolojisi – Güvenlik teknikleriBilgi Güvenliği Yönetimi Đçin Uygulama Prensipleri (Information technology- Security
Techniques- Code of Practice for Information Security Management ) olarak
yenilenmiştir. Bir önceki versiyondan temel farkı standardın 11 konudan oluşması ve
daha önce standart içerisinde geçen bilgi güvenlik olay yönetimi kısmının ayrı bir başlık
altında konumlandırılmasıdır. Şekil 5. ‘de bu konu alanları görünmektedir.
31
Şekil 5. ISO/IEC 17799: 2005 Konu Alanları
Bu standart için tekrar ISO tarafından 27000 serisine uygun olarak ISO/IEC
27002:2005 Bilgi Teknolojisi- Güvenlik Teknikleri- Bilgi Güvenliği Yönetimi Đçin
Uygulama Prensipleri (Information technology- Security Techniques- Code of Practice
for Information Security Management ) numara revizyonu yapılmıştır.
Ülkemizde Türk Standartları Enstitüsü tarafından ISO/IEC 17799 ile ilgili
çalışmalar tamamlanmış ve TS ISO/IEC 17799 Bilgi Teknolojisi - Bilgi Güvenliği
Yönetimi Đçin Uygulama Prensipleri adı ile Türkçe olarak 11.11.2002 yılında kabul
edilerek yayınlanmıştır. ISO/IEC 17799: 2005 versiyonu dikkate alınarak aynı standart
21.12.2006 tarihinde revize edilerek TS ISO/IEC 17799 yürürlüğe alınmıştır.
2.4.2.
BS 7799 Part 2; ISO/IEC 27001:2005; TS 17799-2; TS ISO/IEC 27001
BS 7799 Part 2:2002 Bilgi Güvenlik Yönetim Sistemi – Doküman Kullanım
Kılavuzu (Information Security Management Systems—Specification With Guidance for
Use) dokümanın amacı bilgi güvenlik yönetim sisteminin, tesis etme uygulama alma,
çalıştırma, izleme, gözden geçirme, sürekliliğini sağlama ve iyileştirme için temel
şartlarının dokümante edilerek belirlenmesi olup ISO /IEC 9001:2000 Kalite Yönetim
Đlkeleri (Quality Management Principles) ve ISO/IEC 14001:1996 Ortam Yönetimi
(Environmental Management) standartları ile uyumlu olacak şekilde tasarlanmıştır.
32
Doküman iş ortaklarına ve müşterilere kurumun yönettiği kendi bilgi güvenlik
risklerini teşhis ederek, güvenliğin sağlanmasına yönelik minimum standardı
karşılamasında güvence verebilir. Kılavuz yöneticiler ve personel için bilgi güvenlik
yönetim sistemi kapsamında bir model oluşturmak amacıyla hazırlanmış olup,
sertifikasyon otoriteleri tarafından da kullanılabilmektedir.
BS7799-2 , Bilgi Güvenlik Yönetim Sisteminde “tesis etme, uygulamaya alma,
çalıştırma, izleme, gözden geçirme, sürekliliğini sağlama ve iyileştirme” ile ilgili tüm
aktivitelerinin temel şartlarının dokümante edildiği bir modeldir. Şekli, büyüklüğü,
coğrafik konumuna bağlı olmaksızın tüm kurumlar tarafından kullanılabilecek şekilde
tasarlanmıştır.
Dokümanda
tanımlanan
aktivitelerin
nasıl
ve
ne
şekilde
gerçekleştirileceği belirtilmemektedir. Ayrıca BS7799 kontrol amaçlı özel uygulamaları
da kurumsal farklılıklar göstermesi nedeniylede tanımlamaktan kaçınmaktadır. Bununla
birlikte kılavuz olması amacıyla kurumlara ilgili diğer dokümanları bu amaç için
kullanılmasını tavsiye etmektedir.
BS7799-2’nin ek kısmında kurumların kendi kurumsal güvenlik kontrol
çerçevesi esaslarını tanımlamaya ve belirlemeye yönelik temel teşkil edilebilecek
kontrol listeleri bulunmaktadır. Bununla birlikte bu liste kuruma fazladan bir
yükümlülük vermek amacıyla hazırlanmamıştır. Yani burada geçen tüm kontrollerin
uygulanması zorunluluğu yoktur.
Doküman, ISO/IEC 9001 gibi diğer yönetim sistemi standartlarında kullanılan
planla, uygula, kontrol et, önlem al (PDCA- plan-do-check-act) modelinin tanıtımını
içermektedir ve uygulanmasını önermektedir. PDCA modeli ayrıca OECD ‘nin Bilgi
Sistemleri ve Veri Ağları Güvenliği Đçin Kılavuz- Güvenlik Kültürüne Doğru
(Guidelines for the Security of Information Systems and Networks—Towards a Culture
of Security) ve COBIT dokümanlarında da geçen bazı ilkeleri de belirtmektedir.
PDCA, global olarak bilinen ve kabul gören standartlarda kullanılan bir
yaklaşımdır ve aşağıda bu yaklaşımın bilgi güvenlik yönetim sisteminin kapsamlı
olarak yönetilmesinde nasıl kullanılacağı açıklanmaktadır:
33
Planla:
Bilgi güvenlik yönetim sisteminin kurulmasına yönelik aşağıdaki
aktiviteleri içerir:
•
Bilgi Güvenlik Yönetim Sisteminin kapsam tanımı (lokasyon, varlıklar,
teknoloji).
•
Kurumsal gereksinimleri yansıtan bilgi güvenlik politikasının tanımı.
•
Risk değerlendirme metodolojisinin tanımı.
•
Risklerin değerlendirilmesi ve tanımlanması.
•
Risklerin uygulanması için seçeneklerin değerlendirilmesi ve tanımlanması .
•
Kontrol hedeflerinin ve kontrollerin seçilmesi.
•
Uygulanabilirlik bildiriminin hazırlanması (kontrollerin seçilmesi ve kapsam
dışı tutulması için gerekli olan nedenlerin belirlenmesi).
Uygula: Bilgi Güvenlik Yönetim sisteminin uygulanması ve operasyonu ile
ilgili aktiviteleri olup aşağıdaki konuları içerir:
•
Risk tedavisi için planların yaratılması, sorumluluk ve önceliklerin atanması.
•
Kontrollerin uygulanması.
•
Eğitim ve farkındalık programları.
•
Operasyon ve özkaynak yönetimi.
•
Güvenlik olaylarının tespit edilmesi ve olaylara karşı aksiyon alınması için
prosedürler.
Kontrol et: Bilgi Güvenlik Yönetim Sisteminin izlenmesi ve gözden geçirilmesi
ile ilgili aktiviteler olup aşağıdaki konuları içerir:
•
Đzleme ve diğer kontrol prosedürlerin uygulanması.
•
Bilgi güvenlik yönetim sisteminin etkinliğinin gözden geçirilmesi.
•
Kalan ve kabul edilebilen risklerin gözden geçirilmesi.
34
Önlem al: Bilgi Güvenlik Yönetim Sisteminin sürekliliği ve geliştirilmesi ile
ilgili aktiviteleri kapsar ve aşağıdaki konuları içerir:
•
Đyileştirmelerin uygulanması (uygunsuzluğun nedenini elimine etmek
ve
gelecekteki uygunsuzluklara karşı bariyer oluşturmak amacıyla düzeltici ve
önleyici aksiyonların alınması).
•
Deneyimlerden bilgi sahibi olmak (kişinin ya da diğer kurumların sahip
olduğu).
•
Đlerlemelerin hedefleri karşıladığının temin edilmesi.
Doküman BGYS’nin tesis edilmesi ve yönetilmesi için gerekli olan
dokümantasyon şekilleri ile birlikte ilgili Đngiliz standardına uyulmasını sağlayacak
dokümantasyonu da tanımlamaktadır. Standart aynı zamanda dokümanları ve kayıtları
kontrol etmek için bulunması gerekli olan prosedürleri ve yönetimin sorumluluklarını
tanımlanmaktadır. Yönetimin sorumlulukları kapsamı içinde, yönetimin konuya
bağlılığını göstermek için taahhüdü, özkaynak yönetimi ve BGYS’nin gözden
geçirilmesi de aktarılmaktadır.
14 Ekim 2005 tarihinde BS7799-2 ISO tarafından adapte edilerek 27000 bilgi
güvenlik standartlar serisi içerisinde ISO/IEC 27001:2005 Bilgi Teknolojisi- Güvenlik
Teknikleri- Bilgi Güvenlik Yönetim Sistemi- Gereklilikler (Information TechnologySecurity Techniques– Information Security Management Systems– Requirements) olarak
yayınlanmıştır. Standartta kurumun tüm iş riskleri bağlamında, dokümante edilmiş
BGYS’nin oluşturulması, uygulanması, işletimi, izlenmesi, gözden geçirilmesi,
yönetimi ve iyileştirilmesi için gerekliliklerden bahsedilmektedir. Standart bilgi
varlıklarının korunması ve ilgili taraflara güven verilmesi için yeterli ve uygun güvenlik
kontrollerinin seçilmesinden emin olunması için tasarlanmıştır. Bu standart aşağıdaki
şekillerde kullanıma uygundur. Standart;
•
Kurum içinde güvenlik gereksinimleri ve hedeflerinin formüle edilmesinde;
35
•
Kurum içinde güvenlik risklerinin maliyet etkin bir şekilde yönetilmesini
sağlamak için;
•
Kurum içinde kanun ve düzenlemelere uygunluğu sağlamak için;
•
Kurum içinde organizasyonun belli güvenlik hedeflerinin karşılanmasını
sağlamaya yönelik kontrollerin uygulanması ve yönetilmesinde süreç modeli
olarak kullanımı için;
•
Yeni bilgi güvenlik yönetim süreçleri tanımı için;
•
Mevcut bilgi güvenlik yönetim süreçlerinin tanımlanması ve netleştirilmesi
için;
•
Kurum yönetimi tarafından bilgi güvenlik yönetim aktivitelerinin durumlarını
belirlemek için;
•
Kurumun iç ya da dış denetçileri tarafından, kurumca adapte edilmiş politika,
yönerge ve standartlara uyum derecesinin belirlenmesi için;
•
Operasyonel ya da ticari nedenlerle etkileşim içerisinde bulunulan ticari
ortaklar veya diğer kurumlara bilgi güvenlik politika, yönerge, standart veya
prosedürler konusunda ilgili bilgileri sağlamak için;
•
Đş yaparken bilgi güvenliğinin uygulanması için;
•
Müşterilere bilgi güvenliği konusunda ilgili bilgileri sağlamak için
kullanılabilir.
Ülkemizde Türk Standartları Enstitüsü (TSE) tarafından BS 7799-2 (2002)
referans alınarak Şubat 2005’de TS 17799-2 Bilgi Güvenliği Yönetim Sistemleri–
Özellikler ve Kullanım Kılavuzu adı altında yayınlanan standart yine TSE tarafından
ISO/IEC 27001:2005 referans alınarak yenilenmiş ve TS ISO/IEC 27001
Bilgi
Teknolojisi– Güvenlik Teknikleri- Bilgi Güvenliği Yönetim Sistemleri– Gereksinimler
adı altında 02.03.2006 tarihinde revize edilerek yayınlamıştır. Bu standart, tüm kuruluş
türlerini (örneğin, ticari kuruluşlar, kamu kurumları, kar amaçlı olmayan kuruluşlar)
kapsamaktadır. Bu standart, dokümante edilmiş bir BGYS’yi kuruluşun tüm ticari
36
riskleri bağlamında kurmak, gerçekleştirmek, izlemek, gözden geçirmek, sürdürmek ve
iyileştirmek için gereksinimleri hakkında bilgi vermektedir. Bağımsız kuruluşların ya da
tarafların ihtiyaçlarına göre özelleştirilmiş güvenlik kontrollerinin gerçekleştirilmesi
için gereksinimleri belirtmektedir.
Aşağıda Şekil 6’da BS7799 ile başlayan bilgi güvenlik standartları serisinin
tarihçesi görülmektedir.
(Vural ve Sağıroğlu, 2008 )
Şekil 6. Standartların Yayınlanma Süreleri
2.4.3.
TCSEC Güvenilen Bilgisayar Güvenlik Değerlendirme Kriterleri
(Trusted Computer Security Evaluation Criteria) - 1983
Amerika’da 1980’lerin başında Ulusal Bilgisayar Güvenlik Merkezi (NCSCNational Computer Security Center ) tarafından hazırlanmaya başlanan, turuncu kitap
olarak bilinen bu kitapta işletim sistemleri için, güvenli sistem tasarımı anlatılmaktadır.
1985 yılında yayınlanan dokümanda güvenli sistemler güvenlik derecesine göre 4 ana
guruba
(D-MINIMAL PROTECTION, C-DISCRETIONARY PROTECTION, B-
MANDATORY PROTECTION, A-VERIFIED PROTECTION)
ayrılmıştır ve
37
bunlarda değerlendirme kriterlerinden oluşan 7 sınıfa (D, C1, C2, B1, B2, B3 ve A1)
bölünmüştür.
Fonksiyonalite
ve
detaylandırılmıştır. Sınıflar için
güvenlik
gereksinimleri
her
sınıf
için
güvenlik politikası, kaydedilebilirlik, güven ve
dokümantasyon olarak 4 temel başlık altında değerlendirme yapılmaktadır. Bu kitap
kullanıcılar olduğu kadar ürünler hakkında da referans olarak kullanılmakta ve NCSC
tarafından sertifikalandırma işlemi yapılmaktadır (TCSEC, 2009).
2.4.4.
ITSEC
TCSEC yayınlandıktan sonra ürün ve sistemlerin güvenlik değerlendirmesi için
Avrupa da Đngiltere, Fransa, Almanya ve Hollanda’nın işbirliği ile oluşturulan ITSEC,
1991
yılında
yayınlanan
detaya
girmeden
sistem
ve
ürünlerin
güvenlik
gereksinimlerinin anlatıldığı TCSEC benzeri bir dokümandır. Burada da ürün ve
sistemler için 7 seviye tanımlanmıştır ve her bir seviye için gerekli kriterler verilmiştir.
Bu kriterler vasıtası ile TCSEC’ten daha geniş bir alanda sistem ve ürünlere
uygulanabilmektedir (ITSEC, 2009).
2.4.5.
CTCPEC
Kanada hükümeti tarafından TCSEC ve ITSEC yaklaşımlarının bir sentezi olan
ve Kanada Güvenilen Bilgisayar Güvenlik Değerlendirme Kriterleri ( The Canadian
Trusted Computer Product Evaluation Criteria) olarak adlandırılan doküman 1993‘de
yayınlanmıştır.
2.4.6.
ISO/IEC 15408 Ortak Kriterler (Common Criteria )
Bilgi Teknolojisi Güvenlik Değerlendirme Ortak Kriterleri (Common Criteria
for Information Technology Security Evaluation) olarak bilinen bu standart
tarafından başlatılan çalışma ile
ISO
ISO 15408 (CC v 2.1) adında şimdiye kadar
yayınlanan TCSEC, ITSEC, CTCPEC gibi standartların ortak bir noktada bir araya
38
getirilmesi ile 1996 yılında oluşturulmuştur. Bilgi teknolojisi güvenlik gereksinimlerinin
adreslendiği standart ürün ve sistemlerin analizi ve kullanımında güvenlik konusunda
rehber doküman niteliğindedir.
2.4.7.
RFC (Request for Comments) 2196
Amerika’da internet güvenlik problemlerinin araştırılması için kurulan ve
savunma bakanlığının desteklediği kurum olan CERT/CC (Koordinasyon Merkezi
/Coordination Center) tarafından hazırlanan RFC 2196 ya da diğer adıyla IETF
(Đnternet Mühendisliği Özel Kuvveti/Internet Engineering Task Force) Site Güvenlik
Elkitabı (Site Security Handbook) olarak geçen
organizasyonların
doküman, internet bağlantısı olan
bilgisayar güvenlik politika ve prosedürlerinin hazırlanmasında
rehber olması maksadı ile yayınlanmıştır. Risk analizi, politika hazırlanması, tasarım
gibi konuları içeren dokümanda pratik öneriler yer almakla beraber kapsamı çok geniş
değildir.
2.4.8.
ISO/IEC 13335 Bilgi Teknolojisi- BT Güvenlik Yönetimi için Kılavuz
(Information Technology—Guidelines for the Management of IT
Security)
Standardizasyon Đçin Uluslararası Komite ve Uluslararası Elektroteknik
Komisyon (ISO/IEC- The International Organisation for Standardisation and
International Electrotechnical Commission) tarafından oluşturulan birleşik komitede,
kendi içindeki alt komite olan ISO/IEC JTC1, Subcommittee SC27 (BT güvenlik
teknikleri) adında uluslararası standartları belirleyen bir komite bulunmaktadır. ISO/IEC
tarafından bilgi güvenlik yönetimi ile ilgili temel başlıkları içeren 5 teknik dokümandan
oluşan bir kılavuz olarak hazırlanmıştır.
5 bölümden
(ISO/IEC TR 13335-1:1996 Bilgi Teknolojisi- BT Güvenlik
Yönetimi için Kılavuz- 1. Bölüm: BT Güvenliği için Kavramlar ve Modeller
39
(Information Technology- Guidelines for the Management of IT Security- Part 1:
Concepts and Models for IT Security); ISO/IEC TR 13335-2:1997 Bilgi Teknolojisi- BT
Güvenlik Yönetimi için Kılavuz- 2. Bölüm: BT Güvenliğinin Yönetimi ve Planlaması
(Information Technology- Guidelines for the Management of IT Security- Part 2:
Managing and Planning IT Security); ISO/IEC TR 13335-3:1998 Bilgi Teknolojisi- BT
Güvenlik Yönetimi için Kılavuz- 3. Bölüm: BT Güvenliğinin Yönetimi için Teknikler
(Information Technology- Guidelines for the Management of IT Security- Part 3:
Techniques for the Management of IT Security); ISO/IEC TR 13335-4:2000 Bilgi
Teknolojisi- BT Güvenlik Yönetimi için Kılavuz- 4. Bölüm: Koruyucu Önlemlerin
Seçilmesi (Information Technology- Guidelines for the Management of IT SecurityPart 4: Selection of Safeguards); ISO/IEC TR 13335-5:2001 Bilgi Teknolojisi- BT
Güvenlik Yönetimi için Kılavuz- 5. Bölüm: Ağ Güvenliği Yönetim Kılavuzu
(Information Technology- Guidelines for the Management of IT Security- Part 5:
Management Guidance on Network Security) oluşan bu standart risk yönetimi için
kullanılacak güvenlik kontrollerini içermektedir.
ISO/IEC’in bu dokümanları hazırlarken temel hedefi bilgi güvenlik yönetimi ile
ilgili temel başlıkların 5 ana bölüm altında incelendiği bir doküman yaratılmasıdır.
Birinci bölümde güvenlik kavramları ve modelleri tanıtımı yapılarak BT güvenliğinin
yönetim iş adımları belirlenmiştir. Đkinci ve üçüncü bölümlerde planlama, tasarım ve
test gibi konularla birlikte BT güvenlik yönetiminin uygulanması, yönetim için kritik
hususlar ve teknikler tartışılmıştır. Dördüncü bölüm güvenlik ve tehditlerin yanı sıra
BT sistemlerinin güvenliğini sağlamak amacıyla güvenlik korumasının sağlanmasına
yönelik yol gösterici konuları kapsamaktadır. Dokümanın dördüncü bölümünde
koruyucu önlemler ile ilgili faydalı bir liste bulunmakla birlikte, 2004 yılında
yayınlandığından güncel teknik risklerin tamamını içermemektedir. Beşinci bölüm ağ
güvenliğinin sağlanması için, ağ bağlantılı faktörlerin tanımlanmasını ve analiz edilmesi
ile ilgili bilgileri içermektedir. Doküman bilgi güvenlik yönetimi için bir
kılavuz
niteliğinde olup yapısal yaklaşımı; uluslararası kabul görmüş güvenlik uygulamaları;
kurumsal ölçekte denetim, düzenleyici ve yasal beklentilerin karşılanması hakkında
bilgileri sunmaktır.
Kılavuz bütün tipte, ölçekte ve coğrafik konumdaki organizasyonlara
uygulanabilir. Birinci bölüm BT yönetimini ile ilgili hususlardan bahsettiği için,
40
özellikle üst yönetim ve bilgi güvenlik yöneticilerine hitap etmektedir. Diğer bölümler
güvenlik kontrollerinin uygulanmasından sorumlu bireylerin örneğin BT yöneticileri,
BT güvenlik personeli gibi
kişilerin kullanımına uygundur. ISO/IEC 13335 BT
güvenliğinin yönetimi ile ilgili olarak kapsamlı bir kılavuz olma özelliğini taşımakla
birlikte BT yönetimi için de uygulanabilir bir dokümandır. Kılavuz her boyutta ve
sektördeki kurum için kullanılabilmektedir.
Yukarıda bahsedilen dokümanı oluşturan beş bölüm/alan inceleme bilgileri
aşağıda sunulmuştur:
1. Bölüm: BT Güvenliği için Kavramlar ve Modeller (Part 1: Concepts and
Models for IT Security) : Đlk bölüm (23 sayfa) 1996 yılında yayınlanmış olup, BT
güvenlik yönetimi kavramının
tanıtımını yapmayı ve bu alanda bilgi vermeyi
hedeflemektedir. Dokümanda belli bir BT güvenlik yönetimi yaklaşımı sunulmamakla
birlikte, genel olarak kavramlar, modeller, araçlar ve teknikler ile ilgili bilgiler yer
almaktadır. Söz konusu kısımda politikanın tanımı, rollerin ve sorumlulukların
tanımlanması, sistematik risk yönetimi, konfigürasyon ve değişim yönetimi, acil durum
ve iş sürekliliği planlanması, koruyucu önlemlerin seçilmesi ve uygulanması, izleme
aktivitelerinin hepsi üst seviyede tanımlanmıştır. Doküman BT güvenliğine doğrudan
katılımı olmayan veya BT güvenliği konusunda yeni çalışmaya başlayan üst yöneticiler
için hazırlanmıştır.
Dokümanda belirtilen güvenlik yönetiminin temel bileşenleri:
•
Varlıklar,
•
Tehditler,
•
Zayıflıklar,
•
Etki,
•
Risk,
•
Kontroller,
•
Kalan riskler,
41
•
Sınırlılıklar/kısıtlamalardır.
BT güvenlik yönetimi sürecinin alt süreçleri ise aşağıdaki gibidir:
•
Konfigürasyon yönetimi.
•
Değişim yönetimi.
•
Risk yönetimi.
•
Risk analizi.
•
Sorumlulukların belirlenmesi.
•
Güvenlik farkındalığının oluşturulması.
•
Đzleme.
•
Devamlılık planları ve felaketlerden kurtulma.
2. Bölüm: BT Güvenliğinin Yönetimi ve Planlaması (Part2: Managing and
Planning IT Security ): 2. bölüm (19 sayfa) 1997 yılında basılmış olup, BT
güvenliğinin yönetimi için kılavuz niteliğindeki başlıkları içermektedir. BT güvenliği
programının tesis edilmesi ve sürekliliğinin sağlanması BT güvenliğinin ana görevidir
ve kurum içinde planlama, yönetim süreci, risk yönetimi, uygulamaya alma, bakım ve
izleme ile uyumluluk/bütünleşme süreçlerini kapsamaktadır.
3. Bölüm: BT Güvenliğinin Yönetimi için Teknikler (Part 3: Techniques for
the Management of IT Security ): 1998 yılında basımı yapılan ve 54 sayfa olan bu
bölümde yönetim teknikleri tanımlanmaktadır. Genel bilgilere ilave olarak, BT güvenlik
yönetim süreci de incelenmektedir. BT güvenlik yönetim süreci hakkında
kritik
aktiviteler aşağıda belirtilmiştir:
•
Güvenlik Gerekliliklerinin Analizi: Güvenlik hedeflerinin ve stratejisinin
tanımlanması, kurumsal BT güvenlik politikasının geliştirilmesi.
42
•
Kurumsal Risk Analizi Stratejisinin Seçilmesi: Risklerin tanımlanması,
değerlendirilmesi ve farklı sistemlerdeki güvenlik gereklilikleri dikkate
alınarak bu risklerin kabul edilebilir seviyeye indirgenmesi.
•
BT Güvenlik Planının Uygulanması: Güvenlik farkındalığı ve eğitimi de dâhil
olmak üzere kontrollerin ve koruyucu önlemlerin uygulanması.
•
Bakım ve Đzleme: Güvenlik olay yönetiminin sağlanması, değişim
yönetiminin sağlanması, izleme ve uyumluluk kontrolü gerçekleştirilmesi.
Dokümanda güvenlik kontrollerinin uygulanması ve güvenlik farkındalık
programlarının gerçekleştirilmesinde güvenlik ihtiyaçlarının tanımlanması tabanlı bir
yaklaşım uygulanması önerilmektedir. Güvenlik farkındalık programları ile kurum
içinde farkındalık seviyesinin artırılması hedeflenmektedir. Farkındalık programları
aşağıdaki adımlardan oluşmaktadır:
•
Đhtiyaç Analizi: Farklı kullanıcı grupları için mevcut olan ve hedeflenen
farkındalık seviyelerinin belirlenmesi.
•
Programın Uygulanması: Etkileşimli ve teşvik edici teknikler kullanılması.
•
Đzleme: Periyodik olarak farkındalık seviyesinin ölçülmesi, yeni sistemler
veya mevcut sistemlerde değişiklik olduğunda kullanıcıların yeterli seviyede
bilgi sahibi olmasının sağlanması.
4. Bölüm: Koruyucu Önlemlerin Seçilmesi (Part 4: Selection of Safeguards):
4. bölüm (70 sayfa), 2000 yılında basılmış olup üst seviyedeki risk tabanlı yaklaşım ile
koruyucu önlemlerin seçilmesi hakkında bilgiler içerir. Sistemler için temel koruma
seviyesinin belirlenmesi; koruyucu önlemlerin BT sistem tipine göre seçilmesi veya
güvenlik ve tehditlere göre seçilmesi olarak iki şekilde sağlanabileceği belirtilmektedir.
Koruyucu
önlemlerin
seçilmesinde
önerilmektedir:
•
Sistem tiplerinin belirlenmesi.
aşağıdaki
süreç
adımlarının
uygulanması
43
•
Fiziksel ve çevresel koşulların belirlenmesi.
•
Mevcut ve hedeflenen güvenlik kontrollerinin belirlenmesi.
Güvenlik kontrolleri dokümanda organizasyonel/fiziksel ve sisteme has güvenlik
kontrolleri olarak iki kısımda incelenmiştir.
5. Bölüm: Ağ Güvenliği Yönetim Kılavuzu (Part5: Management Guidance
on Network Security): 5. bölüm (38 sayfa) 2001 yılında basılmıştır ve ağ güvenliği ile
ilgili olup ağ bağlantıları ve komünikasyon analizi ve tanımlanması ile ilgilidir.
Koruyucu alanlar ile ilgili bir tanıtım kısmı da bulunmaktadır.
ISO/IEC tarafından hazırlanan ve yukarıda her bir bölümü özetlenen bu kılavuz
dokümanlar serisi ISO/IEC tarafından tekrar gözden geçirilerek, ISO/IEC 13335-1 ve
13335-2 birleştirilmiş ve 2004 yılında ISO/IEC 13335-1:2004 adı ile yayınlanmıştır;
ISO/IEC TR 13335-3 ve 13335-4 kısımları yayından kaldırılarak yerine
ISO/IEC
27005 geçmiştir, ISO/IEC TR 13335-5 de yayından kaldırılarak yerine ISO/IEC 180281 geçmiştir.
2.4.9.
COBIT (Bilgi ve Đlgili Teknoloji için Kontrol Hedefleri/Control
Objectives for Information and Related Technology)
BT Yönetim Enstitüsü (IT Governance Institute) tarafından basılan ve Bilgi
Teknolojileri Yönetimi (IT Governance), Kontrol (Control) ve Güvence (Assurance)
alanları için genel olarak kabul görmüş ve uygulanmış en iyi kullanım örneklerinin
sınıflandırıldığı bir ana çerçeve ve doküman setlerini içermektedir. Kullanımında BT
yönetimi, güvenlik, kontrol ve kullanıcı yönetimi temel alınmıştır. BT Yönetim
Enstitüsü COBIT’ i yayınlama çoğaltma hakkına sahiptir. COBIT dünya çapında mutlak
zorunlu (de facto) bir standarttır. Đlk versiyonu 1996 yılında yayınlanmıştır.
COBIT’ in misyonu; bilgi teknolojileri ve bilişim güvenliği profesyonelleri,
bilgi teknolojileri birim yöneticileri için, genel olarak kabul edilen bilgi teknolojilerinin
kontrol ana çerçevesini uluslararası, güncel, yetkin olarak
desteklemek ve genel olarak tanıtımını sağlamaktır.
araştırmak, geliştirmek,
44
COBIT, kurumlar içinde 3 farklı seviyedeki kullanıcıyı hedeflemektedir. Bunlar
sırasıyla yönetim, BT kullanıcıları, ve kontrol ve güvenlik profesyonelleridir. COBIT’te
değişik oluşum içindeki birçok kurumlar, şahıs ya da kamu şirketleri ve harici
denetim/danışmanlık profesyonelleri hedef kitleyi teşkil etmektedir.
COBIT BT Yönetimindeki geniş bir yelpazede sorumluluklar ve görevlerle ilgili
konuları içermektedir, dolayısıyla güvenlik odaklı bir doküman değildir. Fakat
içerisinde güvenlik yönetimi ile ilgili kısımları da içermektedir. COBIT bu şekliyle,
ISO/IEC 17799 dokümanında belirtilen güvenlik yönetiminin tüm aktivitelerini
derinlemesine içermemektedir.
Kurumsal ölçekteki yönetim (enterprise governance- politikalar, prosedürler,
standartlar ile kurumun yönetildiği ve kontrol edildiği yönetim modeli-), ve BT
yönetimi COBIT perspektifi ile bakıldığında yüksek seviyede birbiriyle bağlantılıdır.
Kurumsal ölçekteki yönetim, BT yönetimi olmadan ya da BT yönetimi kurumsal ölçekli
yönetim olmadan son derece yetersizdir. COBIT
(65 sayfa) BT yönetimi ana
çerçevesini yaratma modeli olarak geliştirilmiştir. Bu model iş kontrol modeli (business
control model) ve BT kontrol odaklı modeli ile köprü işlevini görmektedir.
COBIT’ te belirtilen ana çerçeve bilginin kalite, güvenlik ve güvenilirlilik talebi
için duyulan gereksinimi karşılamayı tanımlamaktadır. COBIT’ te bu gereksinimler
belirgin ancak birbiri üzerine geçebilen aşağıdaki 7 kategoriye ayrılmıştır:
•
Kalite
1.Etkinlik: Bilgi geçerli ve iş süreci ile ilgili olduğu kadar, zamanlı, doğru,
sürekli ve kullanılabilir olarak verilmiş olmalıdır.
2.Verimlilik: Bilgi özkaynakların en optimal şekilde kullanılması yoluyla
(ekonomik ve üretken olarak) tedarik edilmelidir.
•
Güvenlik
3. Gizlilik: Hassas bilgi yetkisiz olarak ifşa edilmeye
olmalıdır.
karşı korumalı
45
4. Bütünlük: Bilgi, iş değerleri ve beklentilere göre tam ve geçerli olmalıdır.
5. Kullanılabilirlik: Bilgi ve ilgili özkaynaklar ve yetkinlikler ile ilişkili
olarak, şu anda ve gerekli olduğunda kullanılabilir olmalıdır.
•
Güvenirlik
6. Uyumluluk: Đşin konu olduğu durumlarda kanun, yönetmelik ve sözleşme
ile ilgili uyum sağlanmalıdır.
7. Bilginin güvenilirliği: Belirli bir kurumsal kimliği olan ve bu kapsamda
finansal ve uyumluluk ile sorumlulukların değerlendirildiği yönetim
tarafından gerekli olan bilginin sağlanması ile ilgilidir.
Dokümanda 7 kategori belirtildikten sonra ana çerçeve kapsamında hedeflere
ulaşmak için gerekli BT kaynakları tanımlanmaktadır. Bunlar :
•
Veri: En geniş kapsamı içerecek şekilde (iç, dış, yapısal, yapısal olmayan,
grafik, ses,..vs) tüm veriler.
•
Uygulama sistemleri: Manuel ve programatik prosedürlerin toplamı.
•
Teknoloji: Donanım, işletim sistemi, veri tabanı yönetimi, ağ bağlantısı
(network) ,..vs.
•
Tesisler: Bilgi sistemlerini destekleme ve barındırmak için gerekli olan
özkaynaklar.
•
Đnsan: BT sistemleri ve servislerinin planlanması, organize edilmesi,
kazanımı, dağıtımı, destek ve izlenme için personel yeteneklerini, farkındalık
ve üretimi kapsar.
46
Dokümanda COBIT ana çerçevesi 4 alan içinde tanımlanan 34 adet kontrol
hedeflerinden oluşmaktadır. Buradaki alanlar OECD güvenlik kılavuzu, ISO/IEC 9000,
14000, 15000 ve BS 7799-2:2002 standart ve kılavuzlarında da geçen dört aşamalı
süreç modeli (PDCA modellerini) ile uyumlu olarak tasarlanmıştır. COBIT’teki 4 alan
aşağıda sıralanmıştır:
•
Planlama ve Organize etme (Plan & Organise)—11 hedef , P01 - P11.
•
Elde etme ve Uygulama (Acquire & Implement)—6 hedef , AI1 - AI6.
•
Teslim Etme ve Destek (Deliver &Support)—13 hedef, DS1 - DS13.
•
Đzleme ve Değerlendirme (Monitor&Evaluate)—4 hedef , M1 - M4.
2.4.10.
Bilgi Güvenlik Forumu’nun Bilgi Güvenliği için En Đyi Uygulama
Standartları (The Information Security Forum’s (ISF’s) Standard of
Good Practice for Information Security)
Doküman bilgi güvenlik ilkeleri ve uygulamalarını kapsar. ISF, çoğunluğu
Avrupa’da bulunan kurumsal olarak 250’den fazla organizasyonun kurumsal üyeliğini
içeren bir kuruluştur. Đlgili standart ISF üyelerince üretilen bilgi güvenlik ilkeleri ve
kontrol uygulamalarını içermektedir.
Standardın temel hedefi “dünya çapındaki bütün kuruluşlardaki bilgi
güvenliğinin en iyi bir şekilde uygulanmasını ve ilerlemesini sağlamak; bilgi güvenlik
riskini kabul edilebilir seviyeye getirmek; uygulanabilir standartların geliştirilmesine
yardımcı olmak, doğru alanlara odaklanmak, bilgi güvenlik riskinin etkin olarak
azaltılmasını sağlamak
ve desteklemek” olarak ifade edilmektedir.
Bu
kılavuz
kurumların güvenlik yapısının diğer kurumlarla karşılaştırmalı değerlendirmesini
(security benchmark) sağlamak ve artırmak amacıyla hazırlanmıştır.
ISF, sektör farklılığı, coğrafik konumu ve büyüklüğü yönüyle tüm kurumlara
hitap edeceğini düşünse bile standart özellikle büyük ulusal ve uluslar arası kurumlar
47
için; bilgi güvenlik uzmanları, BT yönetimi ve danışmanların kullanımına yönelik
hazırlanmıştır.
Standart genel ve detaylı olarak güvenlik ilkelerini, kontrol hedeflerini ve
güvenlik uygulamalarını içermektedir. Bu şekliyle her türlü coğrafik lokasyon içinde ve
sektörde bulunan büyük ölçekteki kurumlara hitap etmektedir. Standart doğrudan
güvenlik yönetimi kavramlarını kapsamadığı gibi, uygun olan kontrollerin nasıl
seçileceğine dair bir öneri ya da kılavuz niteliğini de taşımamaktadır. Bu sebeple
kullanılması gerektiğinde, deneyimli bir güvenlik uygulamacısı tarafından ya da ilgili
diğer kaynaklarla birlikte uygulanması gereklidir.
Bu doküman bilgi güvenlik yönetimi için, uygulanabilir ilkeleri ve uygulama
özet
bildirgelerini
kapsayan
(practice
statement)
248
sayfadan
oluşmuştur.
Dokümandaki tanıtım kısmı standardın gelişmesinin arka planını açıklamakta ve
kullanımı ile ilgili kazanç ve yönlendirici bileşenleri sunmaktadır. Standartta, standardın
uygulanmasından yeterli kazanım sağlanması için; planlanan güvenlik kontrollerinin
uygulanmasından doğabilecek maliyete göre karar verebilecek deneyimli güvenlik
yöneticileri tarafından kullanılması gerektiği vurgulanmaktadır.
Standardın ana çerçevesi, bilgi güvenlik yönetimini her biri kendine özgü olan 5
alana ayırmaktadır. Bu 5 alan, kendi içinde destekleyici birçok alanlara ve onlarda ana
ilke ve hedefleri içeren kısımlara bölünmüştür. 5 alan her biri kendi kapsamı içinde
tamamlanacak şekilde tasarlanmış olmakla birlikte, bazı kısımlar (örneğin risk analizi)
tekrar edilmektedir. Aşağıda dokümanda geçen 5 alan ve bu alanlarda geçen kritik
konular bulunmaktadır:
•
Güvenlik Yönetimi (Kurumsal Ölçek): Yüksek seviyede yönlendirme ve
kontrol için yapılması gerekenler anlatılmaktadır. Özetle;
− Bilgi Güvenliğin tesis edilmesi, dokümantasyonu, yönelim ve yaptırımı;
− Kurumsal ölçekte güvenliğin yönetilmesi ve uygulanması için kurumsal
düzenlemeler yapılması;
− Bilgi varlıklarının sınıflandırılması ve mülkiyet haklarının tesis edilmesi;
48
− Güvenli ortam için yapılacak olan düzenlemelerin tanımlanması;
− Kötü niyetli ataklara karşı korunma ve karşılık verme için alınması
gerekli olan adımlar;
− E-mail, şifreleme, PKI ve dış kaynak kullanımı gibi özel başlıklar;
− Güvenlik ortamının yeterli olarak denetimi, gözden geçirilmesi ve
izlenmesi konularını içermektedir.
•
Kritik Đş Uygulamaları: Uygulamaların korunması ve riskler anlatılmaktadır.
Özetle;
− Uygulama için güvenlik taleplerinin değerlendirilmesi;
− Rol, sorumluluklar, iç kontroller, değişim yönetimi ve iş sürekliliği
planlaması ile uygulamaların yönetilmesi;
− Uygulamalara erişim kontrolü;
− Uygulamaların yeterli şekilde desteğinin ve yedeklenmesinin güvenilir
olarak sağlanması;
− Uygulama güvenliğinin koordinasyonu, sınıflanması, risk analizi ve
gözden geçirme için uygulama örneklerine yer verilmesi;
− 3. partiler ile olan sözleşmeler, anahtar yönetimi ve web tabanlı
uygulamalar gibi özel başlıklar konularını içermektedir.
•
Bilgisayar Kurulumları: Bilgisayar servislerinin kurulması ve çalıştırılması
için gereklilikler anlatılmaktadır. Özetle;
− Bilgisayar kurulumlarının istenen seviyede çalışması ve izlenmesi;
− Gerçek ortamın tasarımı ve konfigüre edilmesi;
− Sistem operasyonları için temel kontrollerin sağlandığının garantisi;
− Bilgiye ve sistemlere bilgisayar kurulumu sırasında erişimin kontrolü;
− Bilgisayar kurulumunda, sınıflandırmada, risk analizi ve gözden
geçirmede güvenlik yönüyle koordinasyonun sağlanması için uygulama
örneklerine yer verilmesi;
49
− Đş sürekliliği planlarının geçerliliği, sürekliliğinin sağlanması ve
geliştirilmesi konularını içermektedir.
•
Ağ bağlantıları: Ağ bağlantılarının kurulması ve çalıştırılması için
gereklilikler anlatılmaktadır. Özetle;
− Bilgisayar ağ bağlantılarının istenilen seviyeye göre çalışması ve
tasarımı;
− Yetkisiz ağ trafiğinin önlendiğinin garantiye alınması;
− Ağ bağlantısının performansı ve esnekliliğinin izlenmesi ve yönetilmesi;
− Ağ güvenliği koordinasyonunda risk analizi ve gözden geçirmede
güvenliğin sağlanması için uygulama örneklerine yer verilmesi;
− Ses trafiğinin güvenliğinin sağlanması konularını içermektedir.
•
Sistem Geliştirme:Yeni sistemlere uygulanacak olan güvenlik gereklilikleri
anlatılmaktadır. Özetle;
− Sistem geliştirme süreci, çevre ve insanların yönetilmesi;
− Sistem geliştirmede güvenlik koordinasyonu ve gözden geçirme için
aksiyonların adreslenmesi;
− Güvenlik gerekliliklerinin belirlenmesi;
− Tasarım, devreye alma ve kurma aşamalarında güvenliğe yer verilmesi;
− Sistemin test ve uygulamaya alma süreçlerinde uygulama örneklerine
yer verilmesi konularını içermektedir.
2.4.11.
NIST 800-12 Bilgisayar Güvenliğine Giriş- NIST Elkitabı (An
Introduction to Computer Security- The NIST Handbook)
ABD Ticaret Bakanlığı’na bağlı bir departman olan The Computer Security
Resource Centre (CSRC) of the National Institute of Standards and Technology (NIST)
50
tarafından hazırlanmıştır. Doküman bilgisayar güvenlik programını uygulamaya ve
yönetmeye yönelik bilinen müşterek gereklilikleri tanımlamakta ve uygulanabilecek
kontrol tiplerine yönelik kılavuz olma niteliğini taşımaktadır.
NIST’in 800 serilik kısmından biri olup (Bilgisayar Güvenliği), Ekim 1995 de
yayımlanmıştır. Üçlü seriden ilki olan bu doküman dışındaki diğer dokümanlar ise
aşağıda belirtilmiştir:
•
NIST 800-14 Bilgi Teknolojisi Sistemleri Güvenliği için Genel Kabul
Görmüş Đlkeler ve Uygulamalar (Eylül 1996) (Generally Accepted Principles
and Practices for Securing Information Technology Systems (September
1996))
•
NIST 800-18 Bilgi Teknolojisi Sistemleri içim Güvenlik Planları Hazırlama
Kılavuzu (Aralık 1998) (Guide for Developing Security Plans for Information
Technology Systems (December 1998))
Bilgisayar güvenlik programını uygulamaya almak için detaylı bir kılavuz olma
niteliğiyle hazırlanmadığı gibi aynı zamanda kontrol taleplerini detaylı olarak belirtmek
içinde tasarlanmamıştır. Daha çok, iyi bir güvenliğin olmasının faydalarına
odaklanmıştır. NIST 800-12 ile uyumluluk, genelde ABD Hükümetine bağlı kurumlara
uygulanan ilkeler ve kriterlerle şekillenmektedir. Öncelikle ABD Hükümeti’ne bağlı
kuruluşlar için tasarlanmış olsa bile, her ölçekte ve özellikteki tüm kuruluşlar içinde
kullanılabilecek bir dokümandır.
The NIST Handbook 290 sayfadan, dört ana bölüm ve bunlar altında yer alan
birçok bölümden oluşan bir dokümandır.
Birinci bölüm elkitabına giriş kısmı olup genel bilgileri içermektedir.
Dokümanın bilgisayar güvenliğine genel yaklaşımı aşağıdaki 8 ana ilkeye dayalıdır:
•
Bilgisayar güvenliği kurumun misyonunu destekler.
•
Bilgisayar güvenliği yönetimin ayrılmaz bir parçasıdır.
•
Bilgisayar güvenliği etkinlik ve maliyeti dengelemelidir.
51
•
Sistem sahiplerinin sorumlulukları kurumları dışında da devam eder.
•
Bilgisayar güvenliği sorumluluğu ve yükümlülüğü açıkça belirtilmelidir.
•
Bilgisayar güvenliği kapsamlı ve bütünleşik yaklaşım gerektirir.
•
Bilgisayar güvenliği periyodik olarak değerlendirilmelidir.
•
Bilgisayar güvenliği toplumsal faktörleri göz önüne almalıdır.
Birinci bölümde bilgi güvenliğine yönelik bilinen tehditler 9 başlık altında
(sahtekârlık/fraud,
hırsızlık,
personel
sabotajı,
kötü
niyetli
bilgisayar
korsanları/hackerlar, kötü niyetli yazılımlar, hatalar ve ihmaller ve casusluk)
açıklanmıştır. Dokümanda iki, üç ve dördüncü bölümlerde geçen kontroller yönetim,
teknik ve operasyonel olmak üzere 3 alanda incelenmektedir.
Dokümanda ikinci bölüm yönetsel kontrolleri içermekte olup, aşağıdaki konu
başlıklarını içermektedir:
Bilgisayar Güvenlik Politikası (Computer Security Policy): Bu alanda politika
aşağıda belirtilen 3 tipe ayırmaktadır:
•
Program politikası; “kurumun bilgisayar güvenlik programını yaratmak için
kullanılır“ şeklinde tanımlanmaktadır.
•
Konu bazlı politika; yeni veya teknolojideki dinamizmden kaynaklı olarak
değişim gerektiren alanlara yöneliktir. Örnek olarak internet ve e-posta
verilebilir.
•
Sistem bazlı politika; değişik sistemlerin değişik şekilde korunma
gereksinimlerinin karşılanması kapsamında ele alınır ve güvenliğine dikkat
edilmesi gereken özel bir sisteme yöneliktir.
Bilgisayar Güvenliği Program Yönetimi (Computer Security Programme
Management): Bu alanda bilgisayar güvenlik programının ne şekilde yapılandırılması
gerektiğine yönelik öneriler belirtilmiştir .
52
Bilgisayar Güvenliği Risk Yönetimi (Computer Security Risk Management):
Bu alanda risk yönetimi aşağıdaki 3 temel bileşene ayırarak detaylı biçimde
açıklanmıştır:
•
Risk Yönetimi; “Riski yorumlama ve analiz etme süreci“ olarak
tanımlanmaktadır. Bu aktivite alanında; konunun kapsamının belirlenmesi,
kullanılması gerekli olan metodolojinin belirlenmesi, datanın toplanması,
sonuçların analizi ve yorumlanması bulunmaktadır. Varlıkların ve tehditlerin
değerlendirilmesi,
güvenlik
açıklıklarının
ve
koruyucu
önlemlerin
değerlendirilmesi gerektiği belirtilmekte ve her bir aktivite tanımlanmaktadır.
•
Risklerin
azaltılması
süreci;
ek
koruyucu
önlemlerin
seçilmesi
ve
uygulanması (kalan riskin kabul edildiği noktaya kadar) ve etkinlik için bu
önlemlerin izlenmesini kapsar.
•
Belirsizlik analizi; BT yönetiminin
kadar
güvenilir
ve
geçerli
risk analizinde, analiz sonuçlarını ne
olduğunun,
sonuçların
etkinliğinin
değerlendirilmesi olarak tanımlanır.
Güvenlik ve Planlama Bilgisayar Sistemi Yaşam Döngüsü ve Güvence
(Security and Planning in the Computer System Life Cycle Chapter Assurance): Bu
alanda yaşam döngüsü planlamasının aşağıdaki 5 fazı tanımlanmaktadır:
•
Başlangıç fazı; sistemin hassasiyetinin ve bilginin olası koruyucu güvenlik
önlemlerinin ve onların maliyetlerinin kararlaştırılması sürecidir.
•
Geliştirme ve kazançların belirlenmesi süreci; güvenlik gerekliliklerinin yasal
talepler, politikalar, standartlar ve maliyetleri de kapsayacak şekilde detaylı
olarak tanımlanması, kurumsal yönden tasarımını kapsar.
•
Uygulamaya alma; güvenlik testlerini ve akreditasyon sürecini kapsar
(akreditasyon süreci yönetim tarafından sistemin operasyonunun ve riskinin
kesin olarak kabul edilmesinin resmi olarak onaylanması sürecidir).
53
•
Operasyon ve bakım süreci; koruyucu önlemlerin idari yönetimini,
operasyonlarını, takip edilip çalıştığına dair garanti ve güvenceyi sağlama;
koruyucu önlemlerin gerektiğinde yeniden akreditasyonu sürecini kapsar.
•
Elden çıkarma, imha etme; bilginin, yazılımın, donanımın uygun yöntemlerle
imhasını elden çıkartılması sürecini kapsar .
Güvence (Assurance): Bu alanda bilgisayar güvenliği güvencesi “teknik ve
operasyonel güvenlik kontrollerinin, uygulandığı sistemin ve sistemde işlenen bilginin
güvenliğini sağlamasının güven derecesi” olarak tanımlanmıştır. Güvence sağlamak
için; sistem planlamada, tasarımda uygulamaya almada ve sistemlerin operasyonunda
ne zaman güvence gerektiği, hedeflerin tanımlanması ve yöntemler hakkında bilgiler
içermektedir.
Üçüncü bölüm operasyonel kontrollerle ilgili olarak hazırlanmıştır ve aşağıdaki
başlıkları içermektedir:
Personel /Kullanıcı Sorunları (Personnel/User Issues): Bu alanda, personelin
bulunduğu pozisyonun hassasiyeti, rollerin ayrılması, işe almadan önce yapılan personel
özgeçmişi ile ilgili kontroller ve personel eğitimi için gereklilikler hakkında bilgiler
sunulmaktadır. Kullanıcı yönetimine de bu alanda yer verilmiştir.
Bilgisayar Güvenliği Olay Yönetimi (Computer Security Incident Handling):
Bu alanda, fazla detaylı olmamakla birlikte olay yönetimi yetkinliğini ve başarıya
ulaşmak için ortak karakteristik özellikleri tanımlanmıştır .
Acil Durumu / Đş Devamlılığı Hazırlık Süreci (Preparing for Contingencies
and Disasters): Bu alanda, süreklilik planlamasında aşağıdaki 6 ana aktivite
tanımlanmıştır:
•
Kritik iş fonksiyonlarının tanımlanması.
•
Gerekli özkaynakların tanımlanması.
•
Acil durumlara katılımın sağlanması.
54
•
Stratejinin seçilmesi.
•
Stratejinin uygulanması.
•
Planın test edilmesi/güncellenmesi.
Bilgisayar Güvenlik Olay Yönetimi (Computer Security Incident Handling):
Bu alanda, kurumda olay yönetim yeteneğinin olmasının faydalarından bahsedilmekte
ve detaya girmeden konu hakkında bilgiler sunulmaktadır. Olay gerçekleştiğinde
müdahale ve iletişim için önerilerde yer almaktadır.
Farkındalık, Eğitim ve Öğretim (Aweraness, Training and Education): Bu
alanda, güvenlik farkındalığı, eğitim ve öğretiminin aşağıdaki 3 ana amacı
tanımlanmıştır:
•
Sistem
kaynaklarının
korunması
gerekliliği
hakkında
farkındalığının
artırılması.
•
Bilgisayar kullanıcılarının çalışmalarını daha güvenli olarak yapabilmeleri
için bilgi ve yeteneklerinin geliştirilmesi.
•
Kurum ve sistemler için güvenlik programının tasarlanması, uygulanması ve
idame ettirilmesi için gerekli olan detaylı bilginin verilmesi.
Yukarıdaki hedefleri gerçekleştirilebilmek için farkındalık, eğitim ve öğretimin
gerçekleştirilmesinde aşağıdaki yedi basamaklı yaklaşım tanımlanmıştır:
•
Programın kapsamının, hedefinin ve amacının tanımlanması.
•
Eğitimi verecek personelin tanımlanması.
•
Hedef kitlenin belirlenmesi.
•
Yönetimin ve çalışanların motive edilmesi.
•
Programın yönetilmesi.
•
Programın sürdürülmesi.
55
•
Programın değerlendirilmesi.
Bilgisayar Desteği ve Operasyonlarında Güvenlik Hususları (Security
Considerations in Computer Support and Operations): Bu alanda, bilgisayar sistemini
çalıştırmaya yönelik 7 ana alan (kullanıcı desteği, yazılım desteği, konfigürasyon
yönetimi, yedekleme, medya kontrolü, dokümantasyon ve bakım) tanımlanmıştır.
Fiziksel ve Çevresel Güvenlik (Physical and Environmental Security): Bu
alanda, bina ve altyapı korunması için gerekli olan kontrollerden bahsedilmiştir. Alanın
tipi, coğrafik konumu ve alanı destekleyen servislerin (insan ve teknik) göz önünde
bulundurulması gerekliliği belirtilmiştir. Tehditlerin arasında, fiziksel bina hasarı,
fiziksel zarar verebilecek kötü niyetli şahıslar ve fiziksel hırsızlık örnek olarak
verilebilir.
Dokümanda dördüncü bölüm teknik kontrollerle ilgili olarak hazırlanmıştır ve
aşağıdaki başlıkları içermektedir:
Kimlik Tanıma ve Doğrulama (Identification and Authentication): Bu alanda,
kimlik doğrulamanın 3 şekli tanımlanmış (bildiğin bir şey/what you know, sahip
olduğun bir şey/what you have ve kimsin/what you are) ve her biri için uygulanabilecek
değişik metotlar ve onlarla ilişkili kazançlar, sorunlar ve nasıl kullanılması gerektiği ile
ilgili öneriler belirtilmiştir.
Mantıksal Erişim Kontrol (Logical Access Control): Bu alanda, erişim
kriterleri
ve
kontrol
şifreleme/encryption ve
mekanizmalarından
güvenlik duvarı/firewall)
(erişim
kontrol
listesi/ACL,
bahsedilmiştir. Erişim kontrol
mekanizmalarının yönetimi ile ilgili olarak merkezi ve dağıtık yapı hakkında da bilgiler
sunulmuştur.
Đz Kayıtları (Audit Trails) : Bu alanda, iz kayıtlarının kullanılmasından doğan
kazançlar; sorumluluğun belirlenmesi (accountability), olay bulgularından sonuç
çıkarma (event reconstruction), saldırı tespiti (intrusion detection) ve problem analizi
(problem analysis) olmak üzere 4 alan içinde incelenmiştir.
56
Şifreleme (Cryptography) : Bu alanda şifreleme yöntemleri hakkında bilgiler
sunularak bunlar arasındaki farklılıklara değinilmiştir.
2.4.12.
OCTAVE
OCTAVE- Operasyonel Olarak Kritik Tehdit, Varlık ve Zafiyetlerin
Değerlendirilmesi- Kriterleri Versiyon 2.0 (OCTAVE- Operationally Critical Threat,
Asset, and Vulnerability Evaluation- Criteria Version 2.0), Networked Systems
Survivability Program Carnegie Mellon Software Engineering Institute (SEI) tarafından
2001 Aralık ayında yayımlanmıştır. The SEI ABD Savunma Bakanlığı tarafından
desteklenen bir AR-GE merkezidir.
OCTAVE risk değerlendirilmesi için oluşturulan prensiplerden, değişkenlerden
ve çıktılar oluşan bir settir.
Method (18 Cilt) ve OCTAVE-S (10 Cilt) kriteri
uygulamada kullanılan tüm metodolojiyi, detaylı süreç
kılavuzlarını, çalışma
sayfalarını, güvenlik uygulamalarını ve tanıtım sunumlarını içermektedir. Konuya
ilişkin olarak OCTAVE Yaklaşımına Giriş (Introduction to the OCTAVE Approach)
adlı doküman da ayrıca yayımlanmıştır.
OCTAVE’ın amacı güvenlik için
risk tabanlı stratejik değerlendirme ve
planlama tekniği hakkında bilgi vermektedir. OCTAVE bilgi güvenlik risklerinin
yönetimi ve değerlendirmesi için; operasyonel kritik tehditlerin, varlıkların ve güvenlik
zafiyetlerinin değerlendirmesi hakkında genel yaklaşım kriterlerini tanımlamaktadır.
OCTAVE’ ın genel yaklaşımı büyük kurumlarda kullanmaya yönelik kriteri
kullanmak için bir metot temin etmek iken (örn: 300 ve üzerinde çalışanı olan kurumlar)
OCTAVE-S ise daha küçük organizasyonlar için bunun kısaltılmış bir versiyonudur.
OCTAVE kurum içindeki riskleri değerlendirerek, korunma için stratejileri geliştiren
ve uygulayan kullanıcılara yönelik hazırlanmıştır.
57
OCTAVE
risklerin
değerlendirilmesi
ve
bu
risklerin
yönetimindeki
uygulamaların seçilmesi ile ilgili dokümantasyonu bütünüyle sunmakta olup
her
ölçekte, tipte veya coğrafik lokasyondaki bütün kurumlar için uygun olabilecek şekilde
tasarlanmıştır. OCTAVE yalnızca risklerin değerlendirilmesi, önceliklerinin set
edilmesi ve kontrollerin seçimi ile ilgili aktiviteleri kapsamaktadır. Bilgi güvenlik
yönetimi ile ilgili rol ve sorumlulukların tamamını içermemektedir.
OCTAVE, operasyonel olarak kritik varlıkların güvenlik açıklıklarının,
tehditlerin ve varlıkların tanımlanıp kritikliğinin belirlenmesi ile ilgili süreci kapsayan
bir kendi-kendine kararlaştırma yaklaşımıdır. OCTAVE’ ın yaklaşımı kendi kendine
yönlendirme ve operasyonel riskleri ve güvenlik deneyimlerini de kapsamaya yönelik
tasarlama üzerine kuruludur. OCTAVE ile aşağıda belirtilen 3 fazlı süreç tanımlanmış
olup uygulandığında kurumun bilgi güvenliği gereksinimlerinin belirlenebileceği
öngörülmektedir:
•
I. FAZ, Varlık tabanlı tehdit profillerinin belirlenmesi: Bilgi varlıklarının
tanımlanması, var olan kontrollerin değerlendirilmesi ve en kritik varlıkların
seçilmesi, güvenlik gereksinimleri ve bu varlıklara yönelik tehditlerin
belirlenmesi sürecidir.
•
II.
FAZ,
Altyapıdaki
güvenlik
zafiyetlerinin
tanımlanması:
BT
altyapısının, anahtar bileşenlerinin ve onların ağ ataklarına karşı direncinin
değerlendirilmesi sürecidir.
•
III. FAZ, Güvenlik strateji ve planlarının oluşturulması: Kritik varlıklara
yönelik risklerin tanımlanması ve azaltılması için karar verme ve korunma
stratejilerinin belirlenmesi sürecidir.
58
2.4.13.
PCI (Payment Card Industry) Data Security Standart
Kart ve kart sahibi verisini saklayan, işleyen veya aktaran tüm kurumlar Visa ve
MasterCard tarafından oluşturulmuş ve AMEX ve Diners gibi diğer ödeme sistemleri
tarafından da kabul gören; PCI Güvenlik Standartları Komisyonu (The PCI Security
Standards Council) tarafından hazırlanan, Ödeme Kartları Sektörü Veri Güvenlik
Standardı (Payment Card Industry Data Security Standard)- PCI DSS düzenlemesine
uymak zorundadır. Her ne kadar finans sektöründe geçerliliği olan bir standart olsa da,
bu standart bilgi güvenliği için tüm kurumlar tarafından da faydalanılabilecek bilgileri
içermektedir.
Standart, veri işleme ve saklama sürecinde kullanılan sunucuları, ağ
bileşenlerinin, uygulamaları ve veritabanlarını da içeren tüm BT bileşenlerini
içermektedir. Ayrıca etkili bir güvenlik ve suiistimal yönetim sisteminin entegre parçası
olan manüel süreç ve prosedürler de standardın kapsamı içindedir.
Standartta 6 temel başlıkta 12 gereklilik altında dikkat edilmesi gereken hususlar
belirtilmiştir.
Güvenli Ağlar Oluşturma ve Yönetme (Build and Maintain a Secure
Network): Aşağıdaki iki gereklilik başlığı altında ağ katmanında güvenliğin sağlanması
için dikkat edilmesi gereken hususlar belirtilmiştir.
•
Gereklilik1: Kart sahibi bilgisinin korunması için, dışarı açık olan sistemlerin
güvenlik duvarı tarafından korunması ve uygun bir şekilde konfigüre edilmesi
gerekmektedir. Bu kısımda güvenlik duvarı yapılandırmasının ne şekilde
olması gerektiği ve yönetim işlemi için dikkat edilmesi gereken hususlar
belirtilmiştir.
•
Gereklilik 2: Ürün satıcıları tarafından kurulumla birlikte gelen sistem
şifreleri ve diğer güvenlik parametrelerinin değiştirilmesi ve kullanılmaması
gerekmektedir. Özellikle kötü niyetli kişiler tarafından kullanılarak sistemin
59
ele geçirilmesine sebep olabilecek kurulumla gelen bu şifrelerin ve ayarların
değiştirilmesinin önemli olduğu vurgulanmaktadır.
Kart sahibi verisinin korunması: Sistemler üzerinde bulunan kritik bilgilerin
korunmasına yönelik olarak aşağıdaki iki gereklilik başlığı altında dikkate dilmesi
gereken hususlar belirtilmiştir.
•
Gereklilik 3: Depolanmış
kart sahibi verisinin korunması için şifreleme,
maskeleme gibi koruma yöntemlerinin yapılacak risk analizi ile belirlenmesi
ve uygulanması gerekmektedir. Bu kısımda kritik bilgilerin çok gerekmediği
sürece farklı sistemlerde depolanmaması önerilmektedir. Ağ güvenlik
sistemlerinin atlatılarak bilgiye erişilmesi durumunda ise ek kontrollerle
(şifreleme gibi) bilginin korunması gerektiği vurgulanmaktadır.
•
Gereklilik 4:Kart sahibi bilgisinin dışa açık ağlarda transfer edilirken şifreli
transfer edilmesi gerektiği belirtilmektedir. Kritik bilgilerin yetkisiz kişilerce
dinlenerek ele geçirilmesi riskinden hareketle, bu bilgilerin veri iletişim
ağında transfer edilirken şifreli olarak iletilmesi gerektiği vurgulanmaktadır.
Zafiyet Yönetim Programının Uygulanması: Bilgi sistemlerinde güvenlik
zafiyetlerinin bulunması ve sistemlere yönelik saldırıların olması söz konusudur. Bu
sebeple sistemlerde güvenlik ürünlerinin kullanılması, sistemlerdeki zafiyetlerin düzenli
taramalarla
belirlenmesi
ve
kapatılmasına
yönelik
gereklilikler
bu
başlıkta
detaylandırılmıştır.
•
Gereklilik 5: Virüs koruma uygulamalarının kullanılması ve düzenli
güncellenmesi gerekmektedir. Zararlı kodların (virüsler, kurtçuklar, truva
atları vb.) sistemlere çeşitli şekillerde bulaşabileceği bu sebeple sistemlerde
virüs koruma yazılımının kullanılması gerektiği belirtilirken, değişen
tehditlere yönelik olarak da bu ürünlerin düzenli olarak güncellemelerinin
yapılması gerektiğinin önemi vurgulanmıştır.
60
•
Gereklilik 6: Güvenli sistem ve uygulamaların geliştirilmesi ve bakımında
dikkat edilmesi gereken hususlar vurgulanmıştır. Sistemlere yetkisiz erişim
için güvenlik zafiyetleri kullanılmaktadır. Kritik tüm sistemlerde uygulama
üreticisinin yayınladığı ve zafiyetlerin kapatılmasına yönelik güvenlik
yamalarının uygulanması, sistemlere zararlı kodların bulaşması veya yetkisiz
kişiler tarafından bu zafiyetlerin kullanılarak sistemin ele geçirilmesi riskini
azaltacaktır. Yine uygulama geliştirirken dikkat edilmesi gereken hususlarda
bu başlıkta verilmiştir. Web uygulamalarının güvenli olarak geliştirilmesi için
OWASP (Open Web Application Security Project Guide) dokümanının
kullanılması önerilmektedir.
Güçlü Erişim Kontrol Önlemlerinin Hayat Geçirilmesi: Sistemlerdeki bilgiye
erişim için dikkat edilmesi gereken hususlar bu başlıkta detaylandırılmıştır.
•
Gereklilik 7: Kart sahibi bilgisine erişim sadece işi gereği bilmesi gereken
kişilerle sınırlandırılmalıdır. Bunun için erişim kontrol mekanizmalarının
kullanılması ve belirlenen dışındakileri reddet mantığı ile bir yetkilendirme
yapılması gerektiği vurgulanmaktadır.
•
Gereklilik 8: Bilgisayara erişim için ayrıt edici tanımlayıcıların kullanılması
gerekmektedir. Her kullanıcının kendine has ve eşsiz olan bir kullanıcı adı ile
sisteme giriş yapmasının önemi vurgulanmaktadır. Böylelikle kullanıcının
sistem üzerinde gerçekleştirdiği işlemlerden sadece kendisinin sorumlu olması
sağlanabilecektir. Bu kısımda kullanıcı şifrelerinin 90 günde bir değiştirilmesi
gerektiği, minimum şifre uzunluğunun 7 karakter olması ve şifrenin hem
nümerik hem de alfabetik karakterlerden oluşması gerektiği, şifre seçiminde
önceki 4 şifrenin seçilememesi ve
6 başarısız şifre denemesinden sonra
şifrenin kilitlenmesi özelliğinin kullanılması gibi maddeler de bulunmaktadır.
•
Gereklilik
9:
Kart sahibi bilgisine fiziksel erişimlerin sınırlandırılması
gerekmektedir. Sistemlerde saklanan elektronik bilgi güvenliğinin yanı sıra
fiziksel olarak bu bilgilerin bulunduğu ortamlara yetkisiz erişim riskinin de
dikkate alınarak uygun kontrollerin hayata geçirilmesi gerekmektedir.
61
Bilgilerin yedeklendiği kartuş vb. manyetik ortamların fiziksel güvenliğinin
sağlanması gerekliliği
yanı sıra kritik sistemlerin bulunduğu alanlara da
fiziksel erişimi sınırlandıran kontroller uygulanmalıdır.
Ağların Düzenli olarak izlenmesi ve Test Edilmesi: Kullanılan sistemlerin
izlenmesi, yetkisiz erişim denemeleri gibi ihlal olaylarının tespiti açısından önemlidir.
Aşağıdaki
iki
gereklilikte
bu
konuda
dikkat
edilmesi
gereken
hususlar
detaylandırılmıştır.
•
Gereklilik 10: Ağ kaynakları ve kart sahibi bilgisine erişimlerin sistemler
üzerinde loglarının (iz kayıtlarının) tutulması ve izlenmesi gerekmektedir.
Sistemler üzerinde otomatik kayıt tutma özelliği kullanımının hem
gerçekleşen, hem de olası yetkisiz erişimlerin tespit edilmesinde önemlidir.
Sistem kayıtlarının tutarlı olması için tüm sistem saatlerinin senkronize
edilmesinin önemi de vurgulanmaktadır. Sistemler üzerinde tutulan bu
kayıtların, sistem yöneticileri tarafından da düzenli olarak takip edilmesi
gerekliliği bulunmaktadır.
•
Gereklilik 11:
Güvenlik sistemleri
ve süreçlerle ilgili düzenli testler
yapılması gerekmektedir. Bu testler sistem ve süreçlerdeki zafiyetlerin tespit
edilmesi ve düzeltilmesi için son derece önemlidir. En az senede bir kez veya
sistemlerde büyük bir değişiklik yapıldıktan sonra, hem ağ sızma testleri hem
de uygulama sızma testlerinin yapılması gerektiği belirtilmiştir.
Bilgi Güvenlik Politikasının Sürdürülmesi: Bu kısımda özellikle bilgi
güvenliğinin sağlanması için, personel ve hizmet anlaşması yapılan sözleşmeli
firmaların bilgi güvenliği sorumluluklarının belirlenmesi ve bu kişilere ve firmalara
duyurulması gerekliliği aktarılmıştır.
•
Gereklilik 12: Kurum tarafından hazırlanan ve bilgi güvenliğini adresleyen
politikanın uygulanması ve güncelliğinin sağlanması gerekliliği belirtilmiştir.
Kurum çalışanlarının bilgi güvenliği konusunda kurumun kendilerinden ne
beklediği ve bilgi güvenliğini sağlamak için yapmaları gerekenler konusunda
net bilgiye sahip olması gerekmektedir. Bunu sağlamak için kurumda bilgi
62
güvenliği hakkında dokümanlar hazırlanması,
bilgi sistemleri kullanım
kurallarının ve sorumlulukların net olarak dokümante edilmesi, bunların
yönetim tarafından onaylanarak duyurulması ve farkındalığı artırmak için
seminer vb. eğitimlerin verilmesi gerektiği vurgulanmaktadır.
2.4.14.
OWASP (Open Web Application Security Project) Guide
Açık Web Uygulama Güvenliği Projesi Kılavuzu (The Open Web Application
Security Project- OWASP Guide)
dünyada uygulamaların güvenliğini artırmak
amacıyla oluşturulmuş, ücretsiz ve herkese açık bir çalışmadır. Açık web uygulama
güvenliği projesi anlamına gelen OWASP, güvensiz yazılımların oluşturduğu
problemlere karşı mücadele etmek için kurulmuş bir topluluktur. OWASP çalışması ile
hedeflenen; uygulama güvenliği konusunda kişilerin ve kurumların uygulama güvenlik
riskleri konusunda bilgilendirilmesinin sağlanmasıdır. OWASP’ın tüm araçları,
dokümanları, listeleri ve bölümleri ücretsiz olarak her yazılım güvenliği çalışanı ve
meraklısına sunulmuştur. OWASP topluluğunun her ülkede bir veya birden fazla
temsilciliği bulunmaktadır. OWASP-Turkey ise topluluğun Türkiye’deki temsilciliğidir.
Bu temsilcilikler ve temsilciler “bölüm toplantısı/chapter meeting” olarak adlandırılan
web uygulama güvenliği sohbetlerini gerçekleştirmektedir. Bunlar kimi zaman
konferans, sunum, seminer şeklinde olabilmektedir. Chapter meeting’lerin amacı, web
güvenliği ile ilgilenen, merak duyan ve aynı ülkede bulunan kişilerin buluşup, uygulama
güvenliği üzerine tartışmalarını sağlamaktır. OWASP Türkiye grubunda Đngilizce
dokümanların Türkçe çevirilerine http://www.webguvenligi.org/ceviriler adresinden
erişilebilmektedir.
Güvenli Kodlama Đlkeleri (OWASP GUIDE 2.0.1) dokümanında güvenli
kodlama için dikkat edilmesi gereken hususlar belirtilmiştir. Dokümanda gizlilik,
bütünlük ve kullanılabilirlik gibi güvenlik ilkelerinin; önemli, geniş ve belirsiz olsalar
da değişime uğramadığı, bu ilkelerin ne kadar çok kullanılırsa, uygulamaların o denli
sağlam olacağı belirtilmektedir. Dokümanda öncelikle bilgi sınıflandırması yapılması
gerektiği, bu sınıflandırma ile kritik olduğu tespit edilen bilgilere yönelik kontrollerin
seçilmesi gerektiği aktarılmaktadır. Kontrollerin seçiminin, ancak korunacak verinin
63
sınıflandırılmasından sonra mümkün olabildiği, örneğin, blog ve forumlar gibi kritik
bilgi içermeyen dolayısıyla düşük değerli sistemlerde uygulanabilen kontrollerle;
muhasebe, bankacılık ve elektronik ticaret sistemleri gibi kritik bilgi içeren dolayısıyla
yüksek değere sahip sistemlere uygulanması gereken kontrollerden seviye ve nicelik
açısından farklılıklar olacağı vurgulanmaktadır.
Güvenlik mimarisi tasarlanırken bilgi güvenliği için bilginin gizliliği, bütünlüğü
ve sadece yetkisi olan kişiler tarafından erişilebilirliğini garanti edecek kontrollerin
seçilmesi ve uygulanması gerekmektedir. Uygulamaya eklenen her özellik, tüm
uygulama güvenliği için risk oluşturabilecektir, bu sebeple her bir özellik için olası
riskler göz önüne alınmalıdır ve gereksiz özellikler kullanılmamalıdır. Güvenlikle ilgili
bazı özellikler (örneğin şifrenin belli periyotlarda değiştirilmesi veya kompleks şifre
seçiminin olması) güvenli öntanımlar olarak uygulamada yer almalıdır. Uygulama
geliştirilirken en az ayrıcalık ilkesi (bir işin gerçekleştirilmesi için sadece gerektiği
kadar yetki verilmesi) ve katmanlı savunma ilkeleri (kontrollerin kademeli olarak
uygulanması) hayata geçirilmelidir. Uygulama bir hata ile sonlanıyorsa, bu hata
kullanıcıya yetki seviyesini artırma imkânı sağlamamalıdır. Uygulamada tasarlanan hata
mesajları sistem veya uygulama hakkında kritik bilgileri içermemelidir.
2.4.15.
Diğer Standart ve Kılavuzlar
Eğitimde teknoloji kullanımı ile ilgili ISTE (International Society for
Technology in Education) tarafından oluşturulan bir standart bulunmaktadır. ISTE,
Ulusal Eğitim Teknolojileri Projesi (National Educational Technology Standards –
NETS- Project) ile öğrenciler, öğretmenler ve
yöneticiler için “Ulusal Eğitim
Teknolojileri Standartları”nı geliştirmiştir. Temel olarak:
•
Öğrenciler için geliştirilen standartlar;
− Teknoloji ile ilgili temel kavram ve işlemleri bilme,
− Teknoloji kullanımı ile ilgili sosyal, etik
ve insani konuları
anlama,öğrenmeyi zenginleştirmede, iletişimde, araştırmada, problem
64
çözme ve karar verme becerilerinin gelişiminde teknolojiyi etkili olarak
kullanma;
•
Öğretmenler için geliştirilen standartlar;
− Teknoloji ile ilgili temel işlem ve kavramları bilme,
− Teknoloji destekli öğrenme ortamları planlama, tasarlama ve uygulama,
− Öğrencinin öğrenmesini değerlendirmede teknoloji destekli farklı
değerlendirme stratejilerini kullanma,
− Mesleki gelişim için teknolojik değişimleri takip etme ve bu konuda
kendini geliştirme,
− Teknoloji kullanımı konusunda sosyal, etik, yasal ve insani konularla
ilgili ilkeleri sınıfta uygulama olarak ifade edilirken;
•
Yöneticiler için geliştirilen standartlar;
− Teknolojinin entegrasyonunda liderlik etme,
− Öğrenme ve öğretimin etkinliğinin artırılması için müfredat programı
tasarımının, öğretim stratejileri ve öğrenme ortamlarının uygun
teknolojilerle bütünleştirilmesini sağlama,
− Teknolojiyi verimliliğin artırılması için kullanma, öğrenme ve yönetimin
etkinliğini verimliliğini desteklemek için teknoloji entegrasyonunu
sağlama,
− Etkili bir değerlendirme sistemi planlanması ve uygulanması için
teknolojiyi kullanma,
− Teknoloji kullanımında sosyal, etik, yasal ve insani konularla ilgili
ilkeleri kullanarak karar verme ile ilgili sorumlulukları yerine getirme,
olarak ifade edilmektedir (ISTE, 2006). Eğitim teknolojilerinin etkili kullanımı için
oluşturulan bu standartlar içerisinde öğretmenler ve yöneticiler için bilgi güvenliğinin
sağlanması gerekliliği de belirtilmektedir.
Benzer bir çalışma NCES- Eğitim Đstatistikleri için Ulusal Merkez (National
Center For Education Statistics) tarafından yapılmış ve
elektronik eğitimde bilgi
65
güvenliğinin sağlanması için bir kılavuz oluşturmuştur. UCISA- Üniversiteler ve
Fakültelerin Bilgi Sistemleri Birliği (Universities and Colleges Information Systems
Association) (2006) Đngiltere’deki pek çok büyük üniversite ve kolejin oluşturduğu,
Đngiltere’deki eğitimde bilgi sistemleri ve teknolojileri üzerine çalışmalar yapan bir
topluluktur. UCISA tarafından 2005 Eylül ayında BS7799 temel alınarak hazırlanmış
UCISA Bilgi Güvenlik Aracı (UCISA Information Security Toolkit) isimli kılavuzun 2.
versiyonu yayınlanmıştır. Kılavuzda bilgi güvenlik yönetim sistemi oluşturulması için
öneriler yer almaktadır.
EDUCAUSE (2006) yükseköğretimde bilgi teknolojilerinin etkili kullanımının
sağlanması için oluşturulmuş bir topluluktur. EDUCAUSE yayınlarından Luker ve
Petersen (2003) tarafından derlenen “Yükseköğretimde Bilgisayar ve Network
Güvenliği” kitabı bilgi güvenliğinin sağlanması ve artırılması için yapılması gerekenleri
içermektedir.
Ülkemizde TÜBITAK UEKAE tarafından hazırlanan Bilgi güvenlik yönetim
sistemi için hazırlanmış kılavuzlar bulunmaktadır. Bu kılavuzlar ISO/IEC 27001
standardı temel alınarak hazırlanmıştır.
BÖLÜM III
3. YÖNTEM
Bu bölümde, çalışmada kullanılan yöntem ve süreçler anlatılmıştır. Ayrıca
araştırmanın deseni, çalışma evreninin seçilmesi, araştırmada kullanılan veri toplama
araçlarının geliştirilmesi, verilerin toplanması ve veri analizine ilişkin açıklamalara yer
verilmiştir.
Bu araştırma kapsamında öncelikle literatür taraması-belge analizi yapılmıştır.
Bu kapsamda, yerli ve yabancı bilimsel nitelikteki kitaplar, dergiler ve yayımlanmış
diğer eserlerle, ulaşılabildiği ölçüde istatistikî bilgilerden yararlanılmıştır. Bilgi
güvenliği konusunda modeller, standartlar ve en iyi uygulama örnekleri incelenerek
kesiştikleri noktalar ve eğitim kurumları için bunların uygulanabilir olanları
belirlenmiştir. Bilgi güvenlik yönetim sistemi için dünyada kullanılan standartlar ve
kılavuz dokümanlarında geçen modeller incelenerek edinilen bilgilerle bir model önerisi
oluşturulmuştur.
Önerilen Bilgi Güvenlik Yönetim Sistemi (ÖBGYS) modelinin Ankara’da
bulunan üniversitelerden seçilen Gazi Üniversitesi, Ankara Üniversitesi ve TOBB
Ekonomi ve Teknoloji Üniversitesi Bilgi Đşlem bölümlerinde pilot uygulaması 2009
bahar ve yaz
döneminde; uygulama yapılacak üniversite yönetimlerinden onay
alındıktan sonra gerçekleştirilmiştir. Đlk aşamada üniversite genelinde elektronik bir
anket gerçekleştirilerek bilgi güvenliğine yönelik görüşler temin edilmiştir. Üniversite
yetkili birimleri tarafından tüm öğrenci ve personele anketin linki gönderilmiştir.
Katılımcı adaylarının sayısının çok olmasına rağmen, ankete geri dönüşlerin fazla
olmamasının sebebinin ankete gönüllü katılım olması, bunun yanı sıra üniversitelerde
araştırma amacıyla çok sayıda anketin gönderilmesi nedeni ile katılımcıların yoğun
67
çalışma temposu içerisinde vakit ayıramamasının neden olduğu düşünülmektedir. Elde
edilen veriler SPSS programı ile işlenmiştir. Đkinci aşamada üniversitede bilgi güvenlik
yönetim sistemi ile ilgili gerekliliklerin ne kadarının karşılandığının tespit edilmesi
amacı ile kontrol listesi ve görüşme yöntemi kullanılarak daha detaya inen bir inceleme
gerçekleştirilmiştir. Araştırmacı gerek kendisi, gerekse çalışmaya katılan personel ve
yönlendirdiği canlı kaynaklardan, üniversitede bilgi güvenliğine yönelik bilgi
alınabilecek kaynaklara ulaşmaya çalışmıştır. Kontrol listesi ile edinilen bilgilerin yanı
sıra araştırmacı tarafından BGYS için mevcuttaki dokümantasyon, süreçler ve sistemler
incelenerek değerlendirilmiş ve bulgular yorumlanmıştır.
Mevcut durum ve
gereksinimler analiz edilerek model adımları uygulanmıştır. ÖBGYS modelinin
oluşturulması için yapılan çalışmalarda yine görüşme ve tarama yöntemi kullanılarak
süreç için gerekli dokümanlar hazırlanmıştır. Modelin uygulanmaya başlanmasındaki
ilk adımda kullanıcı grupları tespit edilerek bilgi güvenliği için öğrenme hedefleri
belirlenmiştir. Eğitim materyalleri,
bilgi güvenliğine ilişkin politika dokümanı ve
destekleyici diğer dokümanların (risk analizi, acil durum planları, varlık envanteri vb.)
yanı sıra örnek olarak BT güvenlik sıkılaştırma kontrol listeleri de hazırlanmıştır. Ek3’ te önerilen modeli uygulamak isteyen kurumlar için kılavuz olması amacıyla benzer
taslak dokümanlara yer verilmiştir.
Çalışma sonucunda elde edilen deneyimler ile model tasarımı güncellenmiştir ve
böylelikle Türkiye’de yükseköğretim kurumlarının bilgi güvenliğini sağlayabilmek için
faydalanabilecekleri bir model ve yol haritası oluşturulması hedeflenmiştir. Bu model
revize edilerek bilgi teknolojisi kullanan her kurumda da kullanılabilecek yapıda
tasarlanmıştır.
3.1. Araştırma Modeli
Üniversitelerde bilgi ve iletişim teknolojisinin kullanımında bilgi güvenliğinin
sağlanabilmesi için insan ve eğitim faktörlerinin vurgulandığı ÖBGYS modelinin
tasarlanması, tasarlanan bu modelin uygulamasının yapılarak revize edilmesi ve
özellikle eğitim kurumlarının faydalanabilecekleri bir yol haritası oluşturmayı
amaçlayan bu çalışma tarama modelindedir. Var olan durumun betimlenmesi ve tespit
68
edilmeye çalışılması hedeflendiğinden tarama modeli araştırma için uygun bir model
olarak görülmüştür. Araştırmada tarama (betimsel) yanında tarihsel araştırma
yöntemleri de kullanılmıştır. Bilgi güvenliğinin tarihsel gelişiminin yanı sıra model
oluşturulması ve pilot uygulamanın yapılması aşamasında literatür ve doküman
incelemesi yapılmıştır.
3.2. Çalışma Evreni
Araştırmanın
(üniversiteler)
çalışma
evrenini
Ankara’daki
yükseköğretim
kurumları
arasından seçilen 3 üniversite oluşturmaktadır. Seçimde öğrenci ve
bölüm sayısı itibarı ile büyük üniversiteler (fen bilimleri ağırlıklı ve sosyal bilimler
ağırlıklı üniversiteler olması tercih edilmiştir) yanı sıra öğrenci ve bölüm sayısı dikkate
alındığında daha küçük ölçekte bir üniversitenin de seçilmesi, bunun yanı sıra devlet ve
vakıf üniversitelerinin birer temsilcisinin yer almasına dikkat edilmiştir.
Devlet
üniversitelerinden yapısı itibari ile pek çok bölüme sahip olan Gazi Üniversitesi ve
Ankara Üniversitesi’nin yanı sıra ölçek olarak daha küçük olan, bir vakıf üniversitesi
TOBB Ekonomi ve Teknoloji Üniversitesi seçilmiştir.
3.3. Verilerin Toplanması
Bu araştırmada öncelikle literatür taraması- belge analizi yapılmıştır. Bu
kapsamda, yerli ve yabancı bilimsel nitelikteki kitaplar, dergiler ve yayımlanmış diğer
eserlerle, ulaşılabildiği ölçüde istatistikî bilgilerden yararlanılmıştır. Geçmişte ve
günümüzde bilgi güvenliğine yönelik yaklaşımları ve ortak noktaları tespit etmek için
tarihsel bir araştırma yapılmış ve edinilen bilgilerle bir model oluşturulmuştur. Seçilen
üniversitelerde mevcut durumu var olduğu şekliyle betimlemek amaçlandığı için
uygulama aşamasında tarama modeli kullanılmıştır. Nitel ve nicel tekniklerle veriler
toplanarak yorumlanmıştır. Araştırmada nicel araştırma yöntemi olarak kişilerin bilgi
69
güvenliğine
yönelik
görüşlerinin
tespit
edilmesi
için
anket
uygulaması
gerçekleştirilmiştir. Bunun yanı sıra nitel olarak üniversitedeki süreçler, kullanılan BT
sistemleri ve dokümanlar incelenerek, bilgi güvenliği konusunda mevcut durumun ve
ihtiyaçların tespiti için, bilgi toplama amaçlı görüşme yöntemi ve uluslararası standart
ve kılavuz dokümanlarında geçen ortak kriterleri içeren kontrol listesindeki sorulardan
yararlanılmıştır. Araştırmada ayrıca betimleme ve tanımlama amacıyla doğal gözlem
yöntemlerinden yararlanılmıştır.
ÖBGYS modelinin geliştirilmesi için araştırma yapılırken ve
oluşturulan
ÖBGYS modeli üniversitelerde uygulanırken; literatürde önerildiği gibi, mevcut
durumda bilgi güvenliğinin tespit edilmesi için nitel araştırmalarda toplanan çevresel
veriler, süreçle ilgili veriler ve üniversitede bilgi güvenliğine yönelik görüşlere yönelik
veriler derlenmeye çalışılmıştır (Le Comte ve Goetz,1984; Akt.Yıldırım ve Şimsek,
1999).
ÖBGYS modelinin pilot uygulaması için analiz aşamasında kullanılabilecek
bilgi toplama aracının hazırlanmasında; araştırmanın amacı doğrultusunda veriler elde
etmek amacıyla bilgi güvenliğine yönelik yurt dışında yapılmış olan çalışmalar ve yurt
içinde gerçekleştirilmiş uygulamalar taranarak bir anket ve daha detaya inen bir analiz
için bir kontrol listesi düzenlenmiştir. Yurtdışında ve yurtiçindeki benzer içerikli
anketler ve kontrol listeleri incelenmiş ve bunlardan da faydalanılmıştır. Yurtdışındaki
anketlerin soruları araştırmacı yanı sıra 3 farklı kişi tarafından Türkçeye çevrilmiştir ve
böylelikle sağlıklı bir çeviri yapıldığı kontrol edilmiştir. Anket ve kontrol listesi için
ÖBGYS model bileşenleri ile ilişkilerini de gösteren belirtke tablosu hazırlanmıştır.
Anket ve kontrol listesi
küçük bir katılımcı gruba uygulanarak sorulardan
anlaşılmayanların belirtilmesi istenmiş ve tekrar gözden geçirilmiştir. Anket ve kontrol
listesi (belirtke tablosu ile) uygulanması planlanan ÖBGYS model açıklaması ile
birlikte, uzmanlara iletilerek görüşler doğrultusunda soru sayısı azaltılmıştır.
Maddelerin konuyla ilgisi, tutarlılığı, olumlu-olumsuz ayrımının doğruluk derecesi
uzman yargılarıyla belirlenmiştir. Anket ve kontrol listesi son hali ile uzmanlara
verilmiş, gelen görüşler dikkate alınarak gerekli düzeltmeler yapılmıştır. Tekrar uzman
görüşlerine gönderilmiştir. Bu şekilde anketin ve kontrol listesinin kapsam geçerliliği
70
sağlanmıştır. Anketin son hali ve model önerisi tez izleme komitesi tarafından da kabul
edildikten sonra pilot olarak seçilen üniversitelerde uygulama için izin alınmıştır. Yapı
geçerliği ve güvenilirlik çalışması, asıl uygulamadan elde edilen puanlar üzerindeki
çözümlemeler ile gerçekleştirilmiştir. Karakteristik özellikleri ile ilgili yapılan
güvenilirlik analizinde Cronbach Alpha katsayısı 0.94 olarak bulunmuştur.
Ek-1’de bulunan “Yükseköğretimde Bilgi Güvenliği Anketi”, çok seçenekli
soru (1) ve likert-türü maddeler (5 grupta toplam 65 madde ), bileşiminden ibarettir.
Likert-türü maddeler, istatistikî amaca uygun olarak sayısal oranlara çevrilmiştir.
Katılımcıların vereceği cevaplar şu şekilde düzenlenmiştir; “Kesinlikle katılıyorum: 5”,
“Katılıyorum: 4”, “Kararsızım: 3”, “Katılmıyorum: 2”, “Kesinlikle katılmıyorum: 1”.
Pozitif ifadeler için olumlu en yüksek cevaba 5, olumsuz en düşük cevaba ise 1
verilmek üzere 1’den 5’e kadar sayısal bir düzenlemeye gidilmiştir.
Tablo 1’de ankette hangi soruların hangi gruplarda bulunduğu gösterilmektedir.
Đlerleyen aşamada sorulara verilen yanıtların bu gruplar altında değerlendirme sonuçları
sunulacaktır.
Tablo 1. Anket Bölümleri ve Soru Numaraları
Alt Başlıklar
Sorular
A- BT Sistemlerinin Kullanım Amaçları
2-14
B- Bilgi Güvenliğine Yönelik Sorunlar/Riskler
15-29
C- Bu Sorunların/Risklerin Kaynağı
D- Bilgi Güvenliği Sağlanamazsa Etkileri
E- Bilgi Güvenliği Hakkında Görüşler
30-45
46-55
56-66
Ek-2 de bulunan “ÖBGYS Güvenlik Kontrol Listesi” ise araştırmacı tarafından
görüşmede kullanılmak üzere tasarlanmıştır. Kontrol listesi çok seçenekli 80 sorudan
oluşmaktadır. Bu kontrol listesi güvenlikle ilgili üniversitelerde bulunan güvenlik
71
kontrollerinin ve ÖBGYS için dokümanların tespiti amacıyla araştırmacı tarafından
görüşmede kullanılmıştır.
3.4. Verilerin Analizi
Tüm veriler, kişisel bilgisayar üzerinde SPSS bilgisayar programı kullanılarak
analiz edilmiştir. Öncelikle araştırmanın yapısına ilişkin bir fikir elde etmek amacıyla
tüm bağımsız değişkenlere (çalışmadaki bağımsız değişkenler, kullanıcı grubu ve
üniversitedir) yönelik frekanslar ve yüzde değerleri ortaya koyan betimsel istatistik
yöntemleri kullanılmıştır. Başlıca istatistikî analiz olarak, çeşitli bağımsız değişkenler
açısından anlamlı farklılıkları belirlemede uygulanan varyans analizi (ANOVA)
kullanılmıştır.
Verilerin yorumlanması için beşli ölçeklerde uygulanan “kesinlikle katılıyorum”
seçeneğine verilen 5 puandan, “kesinlikle katılmıyorum” seçeneğine verilen 1 puan
çıkartılıp 5’e bölünmesi ile [(5-1)/5] 0,80 oranında eşit aralıklar oluşturulması yöntemi
kullanılmıştır. Böylece ortalama puanların 1-1,80 arasında olanları çok düşük, 1,81-2,60
arası olanları düşük, 2,61-3,40 arasında olanları orta, 3,41-4,20 arasında olanları yüksek
ve 4,21-5 arasında olanları ise çok yüksek olarak değerlendirebilme olanağı
sağlanmıştır. Bir maddenin ortalamasının çok düşük olması o konuda olumlu görüş
olmaması; çok yüksek olması ise katılımın yüksek olduğu şeklinde değerlendirilmiştir.
Veriler çözümlenirken anket başlıklarına verilen yanıtların frekans ve aritmetik
ortalamaları değerlendirilmiştir. Verilen yanıtlarla kullanıcı grupları arasında fark olup
olmadığının anlaşılabilmesi amacıyla tek faktörlü varyans analizi kullanılmıştır. Tek
faktörlü varyans analizi (Analysis of Variance); ilişkisiz iki ya da daha çok örneklem
ortalaması arasındaki farkın sıfırdan anlamlı bir şekilde farklılık olup olmadığını test
etmek için, başka bir ifadeyle iki ya da daha fazla sayıdaki grup arasında belirli bir
değişkene dayalı olarak farklılık olup olmadığının belirlenmesi amacıyla kullanılmıştır.
Analizin amacı, gruplar arasındaki farklılaşmaların bireyler arasındaki farklılaşmalardan
büyük olup olmadığının tespit edilmesini sağlamaktır. Grup varyanslarının eşit olduğu
72
durumlarda ortalama puanların çoklu karşılaştırmasında sıklıkla Scheffe, Tukey,
Benferroni ve Fisher testi; grup varyanslarının eşit olmadığı durumlarda ise Dunnett C
testi seçilebilir (Büyüköztürk, 2002). Araştırmada bu testlerden grup varyanslarının eşit
olduğu durumlarda Tukey ve eşit olmadığı durumlar için Dunnett C testi kullanılmıştır.
Araştırmanın problemlerinden biri olan bilgi güvenliğine ilişkin görüşlerin kullanıcı
grubuna göre farklılık gösterip göstermediği konusunda varyans analizi (ANOVA)
yapılırken; bağımlı değişkene ait varyansların eşit olması durumu için (grup varyansları
eşitse) ANOVA değerinde anlamlı bir fark tespit edildiyse ilgili maddede farkın hangi
gruplar arasında olduğunun tespitinde Tukey testi; varyansların eşit olmaması durumu
içinse Dunnett C testi uygulanmıştır.
BÖLÜM IV
4.
BULGULAR ve YORUM
Bu bölümde araştırma sorularına ait tespit edilen bulgu ve yorumlar
aktarılmıştır. ÖBGYS modelinin pilot uygulamasının yapılması neticesinde elde edilen
bulgu ve yorumlara da yer verilmiştir. Đlk kısımda literatür araştırması ile elde edilen
standart ve kılavuz dokümanlarının ortak noktaları ve oluşturulan modelle ilgili
bulgulara yer verilirken, ikinci kısımda ÖBGYS’nin uygulanması ile edinilen anket
bulguları yorumlanmış, son kısımda ise uygulama aşamasında karşılaşılan ortak
sorunlar ve modeli kullanacak kişilere kılavuz olabilecek ipuçları/öneriler sunulmuştur.
4.1. Standartların ve Kılavuz Dokümanlarının Ortak Noktaları
Araştırma sorularından ilki olan “Bilgi güvenliği ile ilgili hususları içeren
standartlar/kılavuzların (en iyi uygulama örneklerinin) kesiştiği noktalar nelerdir?”
konusunda yapılan inceleme sonuçları
ve incelenen dokümanların karşılaştırması
sonucu edinilen bilgiler bu bölümde aktarılmaya çalışılmıştır.
Güvenlik konusunda pek çok doküman bulunmaktadır. Bu dokümanların
gruplandırılması hakkında yapılan çalışmalardan biri olan, Gartner (2005) tarafından
yayınlanan güvenlikle ilgili standart ve kılavuzların taksonomisi dokümanında bilgi
güvenlik standart ve kılavuzları:
•
Yönetimsel standart ve prosedürler (örneğin COSO, COBIT, SOX vb.):
Yasal veya düzenleyici gereksinimlere uyum sağlanabilmesi için kullanılan
üst düzeyde güvenlik yönetiminin aktarıldığı dokümanlar;
74
•
Stratejik bilgi güvenlik standart ve kılavuzları (örneğin ISO/IEC 17799,
BS7799-2,
NIST 800-xx, ISO/IEC 13335, ITIL vb.): Stratejik güvenlik
programları oluşturulması, BGYS’nin oluşturulması ile ilgili yol gösterici
olan genel standart ve en iyi kullanım örneklerinin olduğu dokümanlar;
•
Güvenlik teknoloji standart ve kılavuzları (Common Criteria, IEEE802.1x,
SANS step by step guides vb.): Teknik detaya inen bazı endüstri alanlarında
ürünlerin güvenlik seviyesinin belirlenmesi/belgelenmesi için kullanılan
bütünlük, kalite ve birlikte çalışılabilirliğin adreslendiği dokümanlar;
olarak üç bölüme ayrılmıştır. Her bir kategorideki dokümanlar faydalı olmakla
birlikte farklı detay seviyelerinde bilgileri içermektedirler. Yönetimsel standart ve
prosedürler
bilgi
güvenlik
gereklilikleri
ile
ilgili
belirgin
yol
göstermeleri
içermemektedir. Stratejik bilgi güvenlik standart ve kılavuzları tek başına kurumun
güvenliğini sağlamakta yeterli değildir. Güvenlik teknoloji standart ve kılavuzları
kullanım alanı ve amacı gereği fazla teknik detay içermektedir ancak, örneğin bu
dokümanlara göre sertifikalandırılmış iki ürünün birlikte kullanımı, oluşturulan sistemin
güvenliğini garanti etmemektedir. Ürünlerin birlikte çalışması için uyarlamalar
yapılması sonucu güvenlik açıkları meydana gelebilmektedir. Bu durumda farklı
kullanım alanları olan ve farklı detay seviyelerinde bilgi içeren dokümanlar tek
başlarına bilgi güvenliğinin sağlanmasında yeterli olamayabilirler. Bilgi güvenliğinin
bir bütün olarak sağlanabilmesi için ihtiyaçlara göre birden fazla dokümandan
faydalanılması gerekmektedir.
Bilgi Güvenlik Harmonisi- Global Kılavuzların Sınıflandırılması “Information
Security Harmonisation- Classification of Global Guidance”
(ISACA, 2005)
dokümanında dünyada kullanılan farklı güvenlik standartları, en iyi kullanım örnekleri
ve kılavuzlarının incelemesi ve karşılaştırılması yapılmıştır. Aşağıda
Tablo 2’de
uluslararası kabul edilmiş olan güvenlik odaklı 17 dokümanın odaklandığı güvenlik
alanına göre doküman taksonomisi belirtilmektedir.
75
Tablo 2. Doküman Taksonomisi
Güvenlik
Kılavuzları
Odaklanılan Güvenlik Alanı
Yönetim Program
Güvenlik
Yüksek Seviyede
Detaylı Kontrol
Model veya
Bileşenleri
Esasları
Güvenlik
Kontrolleri
Uygulamaları
Metodoloji
BS7799
X
COBIT
X
X
X
X
SSE-CMM
GAISP
X
ISF
X
X
X
X
X
X
ISO/IEC13335
X
ISO/TR13569
X
X
ISO/IEC15408
X
ISO/IEC17799
X
X
ITIL
NIST800-12
X
NIST800-14
X
X
X
X
X
X
NIST800-53
OCTAVE
X
OECD
X
X
X
(ISACA, 2005)
Yukarıdaki Tablo 2’de BS7799 ve ISO/IEC17799; içerdikleri bilgilerin farklı
olması nedeniyle farklı değerlendirilmiştir. Çünkü biri bilgi güvenlik yönetimi için
metodoloji ile ilgili bilgileri içerirken, diğeri bilgi güvenlik uygulaması için öneriler ve
kılavuz olabilecek bilgileri içermektedir.
Tablo ‘de belirtilen beş alanın açıklaması aşağıdaki şekildedir:
Bilgi güvenlik yönetim program bileşenleri (Information security
management programme components): Kılavuz, bilgi güvenlik yöneticisinin
bilgi güvenlik programı içerisinde gerçekleştireceği aktivite tipleri hakkında
önerileri içermektedir.
•
X
X
X
NIST800-18
•
X
Güvenlik esasları (Security principles): Bilgi güvenlik programının temel
alması gereken anahtar güvenlik esasları hakkında önerileri içermektedir.
X
76
•
Yüksek seviyede bilgi güvenlik kontrolleri (High-level information
security controls): Kılavuz, bilgi güvenlik kontrollerini içermekle birlikte
detaylı uygulama örnekleri ve kontrolün nasıl uygulandığı ile ilgili bilgileri
içermeyebilir.
•
Detaylı kontrol uygulamaları (Detailed control practices): Kılavuz, detaylı
bilgi güvenlik kontrol uygulamalarını içermektedir.
•
Model veya metodoloji (Model or methodology): Kılavuz, bilgi güvenlik
yöneticisinin bir veya daha fazla aktivitesi hakkında iskeleti (framework),
model veya metodoloji tanımını içermektedir.
Yukarıdaki tablodan da anlaşılacağı üzere her türlü alanda her türlü bilgiyi
içeren tek bir doküman olması mümkün değildir. Çalışmada model oluşturulurken
kullanılacak dokümanların seçiminde Tablo 2’den faydalanılmıştır. Tablo 2’de her
gruptan en az bir dokümanın incelenmesi ve seçilecek dokümanın birden fazla alanda
bilgi içermesi hedeflenerek seçim yapılmıştır. BS7799 ve ISO/IEC17799 dokümanları
birbirlerini tamamlayan dokümanlar olarak değerlendirilmiş, birlikte üç alanı
adreslediğinden seçim içerisine alınmıştır ve bu dokümanların güncellenmesi ile
oluşturulan diğer dokümanlar da (örn. ISO/IEC 27001 vb.) incelemeye dâhil edilmiştir.
COBIT model ve metodoloji, detaylı kontrol uygulamaları ve yüksek seviyede bilgi
güvenlik kontrolleri bilgilerini içerdiğinden seçilmiştir. ISO/IEC13335 ve NIST 800-12
bilgi güvenlik yönetim program bileşenleri, güvenlik esasları
ve yüksek seviyede
güvenlik kontrolleri için seçilmiştir. OCTAVE ise yönetim bileşenleri hariç diğer
konularda ve özellikle risk yönetimi konusunda bilgi sağlayacağı için seçilmiştir. ITIL
standardı ise diğerlerinden farklı olarak servis ve hizmet odaklı bir yaklaşım ile
hazırlandığı için seçilmiştir. Aşağıda Tablo 3’de model oluşturulması aşamasında
faydalanılmak üzere detaylı inceleme için seçilen dokümanların kapsadığı alanlar
belirtilmektedir.
77
Tablo 3. Đnceleme Đçin Seçilen Dokümanlar
Yönetim
Program
Bileşenleri
Güvenlik
Esasları
Yüksek Seviyede
Güvenlik
Kontrolleri
NIST800-12
Model veya
Metodoloji
X
BS7799
ISO/IEC17799
COBIT
ISF
ISO/IEC13335
Detaylı Kontrol
Uygulamaları
X
X
X
X
X
X
X
X
X
X
X
X
X
X
OCTAVE
ITIL
X
X
X
X
X
X
X
BT Yönetim Enstitüsü (IT Governance Institute) tarafından hazırlanan COBIT
Mapping (ITGI, 2006) dokümanında BT kullanımında yardımcı olarak hazırlanan
standart ve kılavuz dokümanlarının incelemesi ve karşılaştırılması konu bazında
yapılmıştır. Aşağıdaki Tablo 4’de bu karşılaştırma özeti yer almaktadır.
Tablo 4. Dokümanların Kapsam Alanlarının Karşılaştırması
TickIT
CMMI
TOGAF 8.1
IT BPM
NIST 800-14
Toplam Sayı
X X
-
X
-
-
X
9
-
-
-
X
X
X
X
-
-
X
X
9
9
X
X
-
-
-
-
-
X
X
9
X
X
-
-
-
-
-
X
-
X
8
X
-
X
-
-
X
X
-
-
X
8
PRINCE2
10
9
ISO/IEC
15408
X
X
ISO/IEC TR
13335
X
X
FIPS PUB
200
X
ISO/IEC
17799
X
-
ITIL
-
COSO
-
COBIT
PMBOK
Konu/Alan
Veri Yönetimi
Teknolojik Eğilimin
Tanımlanması
X
X
X
X
X
X
X
X
X
X
X
X
X
-
-
BT Risklerinin Belirlenmesi ve
Yönetimi
Değişikliklerin Yönetimi
Çözüm ve Değişikliklerin
Kurulması ve
Yetkilendirilmesi
Sistem Güvenliğinin
Sağlanması
BT Süreçlerinin,
Organizasyonunun ve
Đlişkilerinin Tanımlanması
Uygulama Yazılımlarının
Temini ve Bakımı
X
X
-
X
X
X
-
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
-
X
78
COBIT
COSO
ITIL
ISO/IEC
17799
FIPS PUB
200
ISO/IEC TR
13335
ISO/IEC
15408
PRINCE2
PMBOK
TickIT
CMMI
TOGAF 8.1
IT BPM
NIST 800-14
Toplam Sayı
Konu/Alan
BT Altyapısının Temini ve
Bakımı
Đşletme ve Kullanım
Servis Sürekliliğinin
Sağlanması
Konfigürasyon Yönetimi
X
X
-
X
X
-
X
-
-
X
-
-
X
X
8
X
X
X
X
X
X
X
X
X
X
X
X
-
-
-
X
-
-
-
X
X
X
8
8
X
X
X
X
X
-
-
X -
-
X
-
-
X
8
Fiziksel Ortam Yönetimi
Đç Kontrollerin Đzlenmesi ve
Değerlendirilmesi
Bilgi Mimarisinin
Tanımlanması
Yönetim Hedef ve Yönünün
Tartışılması
Kullanıcıların
Bilgilendirilmesi ve Eğitimi
Kalitenin Yönetimi
Otomatize Çözümlerin
Tanımlanması
Performans ve Kapasitenin
Yönetimi
BT Yatırımlarının Yönetimi
BT Đnsan Kaynaklarının
Yönetimi
3. Tarafların Servislerinin
Yönetimi
Yardım Masası ve Olay
Yönetimi
Problem Yönetimi
BT Performansının Đzlenmesi
ve Ölçülmesi
BT Yönetişiminin Sağlanması
X
X
X
-
-
X
X
X
X
X
X
X
X
-
-
X
-
-
X
X
X
X
8
8
X
X
-
X
X
X
-
-
-
-
-
X
-
X
7
X
X
-
X
X
X
-
-
-
-
-
-
X
X
7
X
X
-
X
X
X
-
-
-
-
X
-
-
X
7
X
X
X
-
-
-
X
X
-
X X
- -
X
X
X
-
X
-
X
6
6
X
X
X
X
X
-
-
-
-
-
-
-
X
6
X
X
X
X
X
-
X
X
-
-
X X
- -
-
-
-
-
X
5
5
X
-
X
X
X
-
-
-
-
-
-
-
-
X
5
X
-
X
X
X
-
-
-
-
-
-
-
-
X
5
X
X
-
X
-
X
X
-
-
-
-
-
X
X
X
-
-
X
X
5
5
X
X
-
X
X
-
-
-
-
-
-
-
-
X
5
X
X
X
X
-
-
-
-
X X
- -
-
X
-
X
-
-
4
4
X
X
X
X
-
X
-
-
-
-
-
X
-
X
-
-
-
-
X
-
3
3
2
X
-
X
-
-
-
-
-
-
-
-
-
-
-
2
X
X
-
-
-
-
-
-
-
-
-
-
-
-
2
Projelerin Yönetimi
Servis Seviyesinin
Tanımlanması ve Yönetimi
BT Kaynaklarının Temini
Operasyon Yönetimi
Stratejik BT Planının
Tanımlanması
Maliyetlerin Tanımlanması ve
Tahsis Edilmesi
Yasal Uyumluluğun
Sağlanması
(ITGI, 2006)
-
Tablo 4’de COBIT standardı alanlarının 13 farklı standart kılavuz dokümanı ile
karşılaştırılmasında, bu alanın dokümanda (standart/kılavuz) yer alması durumunda
79
ilgili standart/kılavuz sütununda “X” işareti ile belirtilmiş; alanla ilgili standart/kılavuz
dokümanında çok az bilgi bulunması veya hiç bahsedilmemesi durumunda “–“ işareti
kullanılmıştır. Alanın birden fazla standart/ kılavuz dokümanında yer alması konunun
kritikliğinin göstergesi olarak değerlendirilerek, her bir alan için en sağ sütunda “X”
işaretlerinin (COBIT de dâhil edilerek) toplam sayısı belirtilmiştir. Böylelikle Tablo
4’de “Toplam Sayı” sütununda “Konu/Alan”’da yer alan başlığın standart/kılavuz
dokümanlarının kaçında geçtiğini belirten toplam sayı verilmiştir. 14 dokümanın en az
yarısında (7 ve daha fazla dokümanda konunun geçmesi) konunun aktarılmış olması
durumunu vurgulayabilmek için “Toplam Sayı” sütununda bu sayılar taralı olarak
işaretlenmiştir.
Özetle aktarmak gerekirse, veri yönetiminin yapılması bunun için ise bilgi
gruplarının belirlenmesi; hedeflerin belirlenmesi, bu hedefler ve süreçler için risklerin
tespiti ve yönetiminin sağlanması; değişiklikleri yönetirken oluşturulan süreçte bu
değişiklikler için kontrol mekanizmaları kurulması ve uygulanması; sistem güvenliğinin
sağlanması; süreçlerin incelenerek organizasyon yapısı ile ilişkilerinin belirlenmesi,
operasyon ve bunlara yönelik dokümantasyonun hazırlanması; yazılım ve BT altyapı
temini ve idame ettirilmesi için gerekli olan işletme ve kullanım kurallarının
belirlenmesi, servis sürekliliğinin, konfigürasyon yönetiminin sağlanması; fiziksel ve
çevresel ortamın uygun bir şekilde yönetimi; kullanıcılar için bilgilendirme ve eğitim
imkânlarının sağlanması yanı sıra tüm bunların uygun bir şekilde gerçekleştirildiğinin
kontrol edilmesi, izlenmesi ve değerlendirilmesi konuları incelenen standartların en az
yarısında geçmektedir.
Oluşturulması planlanan BGYS modelinde; doğrudan bilgi güvenlik yönetim
sistemini adresleyen ISO/IEC 17799 standardı ve Tablo- 3 de inceleme için seçilen
diğer dokümanlar yanı sıra, BT Yönetim Enstitüsü (IT Governance Institute) tarafından
hazırlanan COBIT Mapping (ITGI, 2006) dokümanında geçen standart ve en iyi
uygulama örneklerinde sıkça tekrarlanan aşağıdaki konu başlıkları özellikle dikkate
alınmıştır:
80
•
Yönetimin desteği ve hedeflerin belirlenmesi.
•
Bilgi mimarisinin tanımlanması.
•
BT ile ilgili süreçlerin ve ilişkilerin tanımlanması.
•
Đnsan kaynaklarının yönetimi.
•
Risklerin belirlenmesi ve yönetimi.
•
BT sistemleri ve yazılımların temini ve yönetimi.
•
Süreç ve operasyonların yönetimi.
•
Değişikliklerin yönetimi.
•
Çözüm ve değişikliklerin test edilmesi.
•
Performans ve kapasite yönetimi.
•
Servis sürekliliğinin sağlanması.
•
Sistem güvenliğinin sağlanması.
•
Kullanıcıların eğitimi ve bilgilendirilmesi.
•
Konfigürasyon yönetimi.
•
Fiziksel çevre/ortam yönetimi.
•
Denetimlerin gerçekleştirilmesi.
•
Üçüncü taraflardan alınan hizmetlerin yönetimi.
Tezde “Kavramsal Çerçeve” bölümünde özetleri verilen bilgi güvenliği standart
ve kılavuzları hakkında yapılan incelemeye göre; TS ISO/IEC 17799; TS ISO/IEC
27001 BGYS oluşturulması için tüm kurumlar tarafından kullanılabilecek bir
dokümandır. RFC 2196; The Information Security Forum’s (ISF’s) Standard of Good
Practice for Information Security;
NIST 800-12 An Introduction to Computer
Security—The NIST Handbook ve ISO/IEC 13335 Information TechnologyGuidelines for the Management of IT Security pratikte uygulanabilecek tavsiyeler
içermektedir ve BGYS’nin oluşturulmasında yardımcı dokümanlar olarak kullanılması
mümkündür. PCI Data Security Standart her ne kadar finans sektörü için kullanılsa da,
içeriği itibarı ile bilgi güvenliğinin sağlanabilmesi için son derece faydalı bilgileri içeren
bir doküman niteliğindedir ve özellikle belli konularda spesifik bilgi içermesi (örneğin
önerilen şifre uzunluğu, sistemlerde tutulması gereken logların hangi bilgileri içermesi
gerektiği vb.) nedeniyle özellikle BT sistemlerini yöneten teknik personel için faydalı
bir kaynaktır. OCTAVE ve ISO/IEC 13335 Information Technology- Guidelines for the
Management of IT Security özellikle BGYS’nin ayrılmaz bir parçası olan risk yönetimi
81
hakkında faydalanılabilecek
kaynaklardır. COBIT tüm kurumlar için süreçlerin
iyileştirilmesi açısından kullanılabilecek bir dokümandır, içerisinde bilgi güvenliği ve
risk yönetimi ile ilgili kısımlardan destek alınabilir. Güvenli uygulama geliştirme için
OWASP ve PCI dokümanları kullanılabilir. TCSEC, ITSEC, CTCPEC ve Common
Criteria’nın ürün ve sistem konusunda odaklaşmasına ve güvenlik konusunda faydalı
bilgiler içermesine rağmen, komple bir güvenlik sistemini adreslemekten ziyade, daha
çok üretilen bir yazılım ya da donanım için uluslararası güvenlik derecesini belirleyen
çalışmalar olduğu tespit edilmiştir.
Bilgi güvenliğinin sağlanması konusunda beklide en önemli hususlardan birisi
nasıl hareket edilmesi gerektiğidir. Dünyada içerisinde bilgi güvenliği unsuru da geçen
pek çok farklı standart ve en iyi uygulama örnekleri bulunmaktadır. Aşağıdaki bölümde
özellikle bilgi güvenliği bakış açısı ile, yukarıda seçildiği belirtilen standart ve kılavuz
dokümanlarının incelemesi yapılarak bilgi güvenliği için kritik hususlar derlenmiştir.
Tüm incelemeler neticesinde pek çok standart ve kılavuz dokümanında geçtiği
ve tekrarladığı görülen, BGYS oluşturulması için aşağıdaki hususlara dikkat edilmesi
gerektiği belirlenmiştir:
•
Kurum bünyesinde bilgi güvenliğinin sağlanabilmesi için ihtiyaçlar ve
hedefler göz önüne alınarak bir süreç oluşturulmalıdır. Oluşturulacak sistem
ve süreç periyodik olarak gözden geçirilmeli ve iyileştirilmelidir.
•
BGYS kurum süreçleri ile entegre edilmelidir, çünkü
sağlanabilmesi için
bilgi güvenliğinin
mevcut süreçlerin de gözden geçirilip gerekli
iyileştirmelerin bu süreçlerde gerçekleştirilmesi gerekir. Aksi takdirde
yapılacak çalışmanın, sadece bir dizi dokümanın üretilmesi olarak kalması
riski bulunmaktadır. Bilgi güvenliği dönüşüm için kullanılmalı ve bir kültür
olarak benimsenmelidir. Bilgi güvenliğinin sağlanabilmesi için katılım ve
destek
şarttır
bunun
sağlanabilmesi
içinde
farkındalık
yaratılması
gerekmektedir.
•
Kurumda bilgi güvenliği için yapılacak çalışmalarda üst yönetimin desteği
olmalıdır ve çalışma sahiplenilmelidir. Konu için
organizasyonda farklı
82
birimleri temsil edecek temsilcilerin olduğu bir komite/grup oluşturulması
önerilmektedir. Güvenlik sadece teknik ekiplerin sorumluluğu olmamalıdır.
Kurumdaki tüm kullanıcı gruplarının desteği sağlanmalıdır.
•
Kurumda yapılacak çalışma için, kurum hedefleri dikkate alınarak kapsamın
belirlenmesi gerekmektedir. Kapsam belirlenirken hedefler, kullanıcı grupları,
bilgi grupları, sistemler, süreçler, fiziksel ve çevresel koşullar/imkânlar
dikkate alınmalıdır. BGYS kurulumu çalışmalarında gerçekçi olunması
gerekmektedir, süreçlerin işlevselliğini de göz önüne alarak gerçekçi hedefler
belirlenmelidir. Zira sürekli iyileştirmenin amacı, aşamalı olarak bilgi
güvenlik seviyesinin artırılması, bu süreçte bilgi güvenliği kültürünün kalıcı
şekilde oluşturulması ve kullanıcıların tepkisini çekmek yerine desteğinin
alınarak ilerlenebilmesidir.
•
BGYS oluşturulmasında sistematik olarak ilerlenmesi faydalı olacaktır. Bu
nedenle üst düzeyde, kapsayıcı
olan Kurumda bilgi güvenliğine yönelik
politikalar belirlenmelidir. Bilgi güvenlikle ilgili politika tek bir doküman
olabileceği gibi, birbirini bütünleyen bir dokümanlar seti olarak ta
tasarlanabilir. Politika hazırlanırken aşağıdaki hususlara dikkat edilmesi
gerekmektedir:
− Politika dokümanında amaç, kapsam ve hedef net olarak ifade
edilmelidir. Muğlâk ifadeler farklı yorumlamalara veya ifadenin
anlaşılmamasına neden olabilir. Kapsam ve hedefin net olarak
belirtilmesi, politikaların hangi alanlarda uygulanması gerektiği ve neden
uygulanması gerektiği konusuna ışık tutacaktır.
− Ortak bir kültür yaratılması ve ortak bir tanım kullanılması için, bilgi
güvenliğinin tanımı yapılmalı ve kullanıcıların desteğinin sağlanabilmesi
için bilgi güvenliğinin öneminden bahsedilmelidir. Yine politika
içerisinde geçen önemli diğer kavramların tanımlarına da yer
verilmelidir. Tanımlar yapılırken farklı kullanıcı grupları dikkate
alınarak basit ve anlaşılır ifadeler kullanılmalıdır.
− Bilgi güvenliğine yönelik sorumluluklar mümkün olduğunca açık bir
şekilde belirtilmelidir. Politika dokümanı üst düzeyde bir doküman
83
olacağı için temel sorumluluklar burada belirtilerek, daha spesifik
sorumluluklar politika dokümanı ile ilişkilendirilerek hazırlanacak diğer
dokümanlarda da verilebilir.
− Politika dokümanının temel amaçlarından biri etkili bir BGYS
oluşturulmasıdır. Bunu sağlamak için de kurum içerisindeki farklı birim
temsilcilerinden oluşan bir komite oluşturulduysa, politika dokümanında
bu tarzda oluşturulan komitelerin de tanıtımı yapılmalıdır.
− Bilgi güvenliğinin sağlanabilmesi için uygulanacak süreçlerdeki temel
güvenlik ilkeleri (örneğin risk değerlendirmesi, güvenlik kontrolleri, üst
düzeydeki standartlar vb.) mümkün olduğunca anlaşılır ve öz bir şekilde
aktarılmalıdır.
− Son olarak dokümanda belirtilen hususların ihlali durumundaki süreçler/
yaptırımlar;
politika
dokümanın
güncellenmesi
ve
politikayı
destekleyecek diğer dokümanlara referansların da belirtilmesi faydalı
olacaktır.
•
Risk yönetimi (risk analizi, risk iyileştirme faaliyetleri gerçekleştirilmesi) için
kurallar/ilkeler belirlenmelidir.
− Kurumda korunması gereken varlıklar, tehditler, zafiyetler belirlenerek
risk analizi gerçekleştirilmelidir.
− Risk analizinde kademeli bir geçiş faydalı olacaktır.
− Risk analizi sonucu uygulanabilecek kontroller belirlenmeli ve
uygulanmalıdır.
− Kontroller seçilirken maliyeti de dikkate alınmalıdır. Eğer riskin oluşma
olasılığı veya etkisinin azaltılması için harcanacak kaynak riskin
meydana gelmesi durumundaki olası zarardan daha fazla olacaksa,
kontrol için kaynak harcanmaması ve riskin olduğu gibi kabul edilmesi
önerilmektedir.
•
Süreçler, fiziksel ve çevresel ortamlar, BT sistemleri, kritik varlıklar için bilgi
güvenliğinin sağlanmasına yönelik kurallar/ilkeler belirlenmelidir.
84
•
Bilgi güvenliğinin sağlanabilmesi için kullanıcı grupları dikkate alınarak
detaylandırılmış sorumluluklar belirlenmelidir (Kritik işlerde mümkünse
görev ayrımı yapılmalıdır). Örneğin;
− BT sistemlerini kullanan kullanıcılar için zararlı kodlardan (virüs, worm
vb.) korunma, şifre seçiminde ve kullanımında dikkat edilmesi gereken
hususlar,
− BT sistemleri hakkında taleplerin, problem ve sorunların- şüphelenilen
güvenlik olayları da dâhil olmak üzere- bildirimi için kurallar/ilkeler;
− BT sistemlerini yöneten teknik personel için sistem kurulumu sonrası
güvenlik
sıkılaştırması
için
yapılması
gereken
işlemler,
sistem
yönetiminde dikkat edilmesi gereken kurallar vb. tanımlanmalıdır.
•
Varlıkların belirlenmesi ve sınıflandırılmasına yönelik kurallar/ilkeler
belirlenmelidir. Örneğin;
− Varlıkların (kritik varlıklarının -bilgi varlıkları, BT sistemleri vb.-)
belirlenmesi ve envanterinin tutulması, varlıkların sınıflandırılması yanı
sıra varlıkların kullanımı, imhası, yeniden kullanımı gibi konularda
uyulması gereken kurallar/ilkeler;
− Kurumda kayıtların/belgelerin ne kadar süre ve ne şekilde saklanması
gerektiğine yönelik kurallar/ilkeler belirlenmelidir.
•
Fiziksel ve çevresel güvenliğin sağlanması için uygulanacak kurallar/ilkeler
belirlenmelidir. Örneğin;
− Güvenli alanların
(merkezi BT sistem platformu vb.) kabul edilen
kullanım kuralları/ilkeleri yanı sıra bu alana erişebilecek kişilerin listesi;
− Fiziksel güvenlik ihlallerinde işletilecek sürece yönelik kurallar/ilkeler
belirlenmelidir.
85
•
BT sistemleri hakkında dokümantasyon yanı sıra, BT sistemlerinin kullanımı
ve yönetimi ile ilgili süreçlerde uygulanacak kurallar/ilkeler belirlenmelidir.
Örneğin;
− BT sistemlerinin (örneğin bilgisayar, internet, e-posta, intranet,
uygulama
kullanım)
kabul
edilen
kullanım
kuralları/ilkeleri
belirlenmelidir;
− BT sistemlerinin envanteri (ayrıt edici kod, tanımı, hangi amaçla
kullanıldığı, yönetim sorumlusu, lokasyonu vb. bilgilerin yer alması
önerilmektedir), BT sistem topoloji çizimleri (örneğin veri iletişim
altyapı çizimi vb.), BT sistemlerinin kurulum ve konfigürasyon
(güvenlik konfigürasyon standartlarını da içeren) dokümantasyonu
hazırlanmalıdır;
− BT sistemlerinde otomatik/manüel olarak hangi kayıtların tutulacağı, ne
şekilde inceleneceği ve bu kayıtların ne kadar süre saklanacağına yönelik
kurallar/ilkeler;
− Kimlik yönetimi (BT sistemleri üzerinde kullanıcının tanımlanmasını
sağlayan elektronik kimlikler için -uygulamaya girmek için kullanılan
kullanıcı adı veya token, akıllı kart vb. araçlar- ilk kez tanımlamadan,
iptal edilmesine kadar süreçler) için sorumlulukları da belirten
kurallar/ilkeler;
− BT sistemleri üzerinde kullanıcı tanımlama (kullanıcı adı standardı) ve
kullanıcı şifrelerine yönelik (şifre uzunluğu, ilk girişte şifre değiştirme,
şifre zaman aşımı, şifre kilitleme, şifre seçiminde sınırlandırmalar vb.)
kurallar/ilkeler;
− Erişim kontrolü, yetkilendirme süreçleri için kurallar/ilkeler;
− Değişim yönetimi için kurallar/ilkeler;
− Yeni BT sistemlerinin devreye alınmasından önce test edilmesine
yönelik kurallar/ilkeler;
− BT sistemlerinin ve uygulamaların güncellemeleri ( yama, yeni versiyon
vb.) ve takibi için kurallar/ilkeler;
86
− BT sistemlerinde zafiyet yönetimi
süreçleri için (işletim sistemi vb.
yama geçilmesi süreçleri, antivirüs güncellemeleri) kurallar/ilkeler;
− Kritik bilgi varlıklarının (örneğin veritabanları vb.) ve BT sistemlerinin
yedeklenmesi konusunda (nelerin yedeğinin hangi periyotta alındığı,
nasıl yedekleme alındığı, nasıl restore/geri yükleme yapıldığı vb.)
kurallar/ilkeler;
− BT Sistemleri edinimi, geliştirme ve
bakımı için süreçlerdeki (eğer
kurumda uygulama geliştirme yapılıyorsa uygulama geliştirme için de
dâhil olmak üzere) kurallar/ilkeler;
− BT
sistemlerinin
güvenlik
zafiyet
ve
sızma
testlerine
ilişkin
kurallar/ilkeler;
− BT sistemlerinin kapasite ve performans yönetimi için kurallar/ilkeler.
− Verilen
servislerde
ve
BT
hizmetlerinde
kesinti
veya
felaket
durumlarında uygulanacak (Acil Durumlarda/felaket durumlarında
yapılacakların
anlatıldığı
dokümantasyon)
kurallar/ilkeler
belirlenmelidir.
•
Uyum için gerekli süreçler hakkında kurallar/ilkeler belirlenmelidir. Örneğin;
− Kurumda uyulması gereken yasa, yönetmelik vb. mevzuat hakkında
bilgiler;
− Bu
mevzuata
uyum
için
denetimler
hakkında
kurallar/ilkeler
(Denetimlerde denetlenen ve denetleyen tarafların farklı olması
önemlidir);
− Disiplin kuralları (içerisinde bilgi güvenlik ihlalleri de belirtilmelidir);
− Varsa üçüncü taraflardan alınan hizmetlerin yönetimi için kurallar/ilkeler
belirlenmelidir.
•
Bilgi
güvenlik
farkındalığının
artırılmasına
ve
kullanıcıların
bilgilendirilmesine yönelik olarak farklı gruplar için belirlenmiş öğrenme
hedeflerine göre farklı seviyelerde eğitim materyalleri hazırlanmalıdır.
87
Materyallerde dikkat çekici ve hatırlamayı kolaylaştırıcı öğelerin kullanılması
(örneğin görsel öğelerin kullanımı vb.) önerilmektedir.
•
Etkili bir BGYS’nin ve bilgi güvenlik kültürünün oluşturulması, farkındalık
seviyesinin
artırılması,
standart
uygulamaların
yaygınlaştırılması
ve
süreçlerde kişilere bağımlılığın azaltılması için; uygulanacak kurallar/ilkelerin
kolay anlaşılır şekilde dokümante edilmesi, duyurulması ve güncel tutulması
gerekmektedir.
− Kurum bilgi güvenlik politikalarını destekleyecek şekilde, yukarıdaki
maddelerde bahsedilen kurallar/ilkeler ve bilgileri içeren dokümanlar
hazırlanmalıdır ve duyurulmalıdır.
− Kurumun ihtiyaçlarına göre bu
hususları içeren tek bir doküman
olabileceği gibi birden fazla dokümanda hazırlanabilir.
− Önemli olan kişilerin ihtiyaç duyduğu zaman doğru bilgiye mümkün
olduğunca hızlı erişebilmesini ve birden fazla doküman hazırlandıysa
birbiri ile ilişkilerinin net olarak anlaşılabilmesini sağlamaktır.
− Dokümanlar ilgili kişilerin erişimine imkân sağlayacak şekilde
yayınlanmalıdır. Ancak BGYS kapsamında hazırlanan her türlü bilginin
ve dokümanın, tüm kullanıcılara açık olması doğru değildir. Örneğin BT
sistemleri yönetimi ile ilgili hazırlanan bazı dokümanların (örneğin BT
sistem topoloji çizimi, BT sistemleri güvenlik konfigürasyonu vb.)
yetkisi
olmayan
kullanılması
kişilere
erişim
imkânı
sağlamayacak
şekilde
ve bu dokümanların gerektiği şekilde korunması
gerekmektedir.
− Hazırlanacak
dokümanların
gerektiğinde
(güncelleme
ihtiyacı
olduğunda) ve belirlenecek bir periyot çerçevesinde gözden geçirilip,
değişen koşullara uyum sağlayacak şekilde güncellenmesi de en az
doküman hazırlanması kadar önemlidir.
•
Farklı profillerde bilgi güvenliği farkındalık seminerleri düzenlenmeli ve
periyodik olarak seminerler tekrarlanmalıdır. Seminerlerin kullanıcı grupları
ve ihtiyaçları dikkate alınarak belirlenmesi önemlidir.
88
•
BGYS sürekli iyileştirme için kullanılmalıdır. Đlk aşamada her konuda
mükemmeliyeti hedeflemek kurulacak BGYS’nin etkinliğini azaltabilir ve
kullanıcıların sahiplenmesini engelleyebilir. Bunun yerine aşamalı olarak
kontrollerin artırılması kurumda bilgi güvenlik kültürünün oluşması ve
kullanıcılardan gerekli desteğin temin edilmesinde faydalı bir yöntem
olacaktır.
4.2. Üniversiteler Đçin
Önerilen Bilgi Güvenlik Yönetim
Sistemi (ÖBGYS) Modelinin Bileşenleri
Standart ve kılavuz dokümanları hakkında yapılan detaylı inceleme sonucunda
BGYS modelinin temel bileşenlerinin belirlenmesinin modelin anlaşılırlığı ve her bir
bileşende uygulanabilecek güvenlik kontrollerinin kategorize edilmesi bakımından
faydalı olacağı öngörülmüştür. Bu bölümde modeli oluşturan bileşenler açıklanmıştır.
Bilgi güvenliğinin teknik yönünden daha önemli olan, bir sosyal yönü de olduğu
unutulmamalıdır. Güvenliğin en önemli zaafının insan davranışı olduğundan yola
çıkılarak, insan faktörünün BGYS için son derece önemli olduğunu belirtmek yanlış
olmaz. Güvenliğin en zayıf halkasının insan olarak nitelendirilmesi ancak literatürde
incelen diğer modellerde insanın temel bir faktör olarak yer almaması nedeniyle,
oluşturulacak modelin temelinde insan unsurunun yer almasının faydalı olacağı
öngörülmüş ve oluşturulan ÖBGYS modelinin temel noktası insan olarak belirtilmiştir.
Đnsanla birlikte güvenliğin sağlanması için bilgi de merkezde konumlandırılmıştır.
Çünkü korunması gereken bilgi unsurudur. Bilgi güvenliğinin etkili bir şekilde
sağlanabilmesi için; öncelikle kurum içerisindeki kullanıcı grupları ve öğrenme
ihtiyaçları, bilgi varlık grupları ve koruma gereksinimleri belirlenerek çalışmalara
başlanmalıdır. ÖBGYS bileşenleri içerisinde teknolojinin yanı sıra süreç ve hizmetlerle,
fiziksel ve çevresel ortam da dikkate alınmalıdır. ÖBGYS modelinin temel bileşenleri
aşağıda belirlenmiştir:
89
•
Đnsan ve bilgi (eğitim).
•
Süreç ve servisler.
•
Fiziksel ve çevresel ortam/koşullar.
•
Teknoloji.
Yukarıdaki bileşenlerin tamamının bir bütün olarak ele alınması ve kurumda
bilgi güvenliğinin sağlanabilmesi için bu bileşenlerin tümünün birbirlerini tamamladığı
dikkate alınarak her bir bileşenin gözden geçirilmesi, gerekli güvenlik kontrollerinin
tasarlanması ve uygulanması gerekmektedir. Şekil 7’de gösterilen her bir bileşen
aşağıda açıklanmıştır:
Şekil 7. Önerilen Bilgi Güvenlik Yönetim Sistemi (ÖBGYS)Modeli Bileşenleri
Đnsan ve Bilgi: Standart ve Kılavuz dokümanlarında güvenliğin sağlanması için
korunması gereken varlıkların temel alınması önerilmektedir. Öte yandan sadece
korunacak varlığın temel alınması yerine bununla birlikte güvenliğin en zayıf halkası
olarak nitelendirilen insan faktörünün, yani kullanıcı gruplarının belirlenmesi ve
çalışmalarda odak noktası olmasının faydalı olacağı öngörülmüştür. Böylelikle Şekil
7’de belirtildiği üzere odak noktası ve diğer model bileşenlerinin kesiştiği alan “Đnsan
ve Bilgi “ olarak belirlenmiştir.
90
Đnsan faktörünün güçlendirilmesi farkındalık yaratılması ile mümkün olacaktır.
Bu farkındalığın seviyesi ve alanı gruplara göre özelleştirilmelidir. Temel olarak
kullanıcıları teknik ve teknik olmayan olarak ikiye ayırmakta fayda bulunmaktadır.
Teknik kullanıcılar kurumda BT sistemlerinin yönetimini üstlenen, dolayısıyla bilgi
güvenliğinin sağlanabilmesi için kullanılan sistemlerdeki teknik güvenlik kontrollerinin
yanı sıra güvenlik tehditleri konusunda da uzmanlaşması gereken grubu temsil
etmektedir. Bu gruptaki kullanıcıların sistemin yönetilmesi, geliştirilmesi, denetimi vb.
konularda bilgi kazanması hedeflenmelidir. Teknik olmayan grubu ise görevleri gereği
bilgiye erişen ve kullanan kullanıcı grubu olarak tanımlayabiliriz. Akademik, idari
personel ile öğrenciler bu gruba dâhil olacaktır ve bu grubun bilgi güvenliğinin
sağlanabilmesi için uygulanması gereken temel güvenlik kontrolleri ve karşı karşıya
oldukları riskler hakkında genel bilgi sahibi olması hedeflenmelidir. Yine teknik
olmayan grup içerisinde yer alan ancak, yönetim kademesinde bulunan akademik/idari
personelin desteğinin alınması için; yukarıda bahsedilen temel bilgi güvenliği
farkındalığının yanı sıra BGYS’nin nasıl oluşturulacağı ve sağlayacağı faydalar
hakkında bilgi sahibi olması hedeflenmelidir. Bu grupları ilerleyen aşamada daha da
detaylandırmak ve görev tanımları, kullandıkları sistemler ve dâhil oldukları süreçler
dikkate alınarak özelleştirilmiş seminerler ile daha detaya inen
bilgilendirmenin
yapılması da göz önünde bulundurulmalıdır. Aşağıda Şekil 8’de örnek olması amacıyla
üniversiteler için belirlenebilecek insan grupları gösterilmiştir.
Şekil 8.Đnsan Grupları Örneği
91
Bilginin üretildiği ve paylaşıldığı temel kurumlardan biri olan Üniversitelerde
bilgi korunması gereken temel varlıktır. Kurumların kaynakları sınırlıdır, dolayısıyla
korunması gereken varlıkların ve bu varlıkların ne seviyede korunacağının belirlenmesi
için sistemin oluşturulması aşamasında bilgi gruplarının ve bunların kritikliğinin tespit
edilmesi ile işe başlanmalıdır. Üniversitelerde bilgi grupları üst düzeyde aşağıda Şekil
9’da gösterildiği gibi ayrılabilir.
Şekil 9. Bilgi Grupları Örneği
Süreç ve Hizmetler: Her kurumda süreç ve hizmetlerin mümkün olduğunca
kesintisiz ve kaliteli olarak işletilmesi arzu edilir. Şekil 7’de belirtildiği gibi süreç ve
hizmetlerin işletilebilmesi için insan ve bilgiye; bu süreç ve hizmetler için fiziksel ve
çevresel ortamın sağlanmasına; bu süreç ve hizmetlerin otomasyonu ve hızlandırılması
için teknolojiye ihtiyaç duyulmaktadır. Bilgi güvenliğinin sağlanabilmesi için süreç ve
hizmetler göz önünde bulundurularak mevcut önlemlerin gözden geçirilmesi ve gerekli
92
ek güvenlik kontrollerinin belirlenmesi gerekmektedir. Örneğin patentinin alınması
planlanan bir araştırma projesindeki bilgilerin güvenliğinin sağlanması için bu projede
çalışan kişilerin dikkatli olması, kullanılan BT sistemlerinin güvenlik sıkılaştırmalarının
yapılması, çalışma yapılan fiziksel alanın güvenliğinin sağlanması gereklidir. Bunların
yanı
sıra
mevcut
süreçler
içerisinde
de
güvenlik
kontrollerinin
yeterliliği
sorgulanmalıdır. Örneğin araştırma projesinde daha büyük disk alanı ihtiyacı olduğunu
varsayalım. Bilgisayardaki diskin; kapasitesi daha yüksek bir diskle değiştirilmesi için
BT ekipman talep/temin süreci başlatılacaktır. Bu süreç içerisinde disk değiştirildiğinde
eski diskteki bilgiler yeni diske aktarılmakta ve eski disk formatlanmaktadır. Đçerisinde
hassas bilgiler bulunmadığında bu süreç yeterli olarak değerlendirilebilir, ancak patent
alımı planlanan bir araştırma verisini içeriyorsa bu verilerin güvenliğinin üst düzeyde
sağlanması gerekir. Formatlanmış bile olsa bir diskteki verilerin geri alınması
mümkündür. Bunun engellenmesi için ya disk özel olarak güçlü bir manyetik alandan
geçirilmelidir (degaussing cihazları), ya özel bir yazılımla üstüne yazılmak sureti ile
bilgiler geri alınamaz şekilde silinmelidir ya da imha edilmelidir. Bu senaryo için
üniversite süreç ve hizmetlerinde
uygun güvenlik kontrolleri yerleştirilmeli; kural
olarak BT ekipman/temin sürecinde kritik bilgileri taşıyan bir ekipmanın yeniden
kullanılmadan veya hibe edilmeden veya atılmadan önce üzerindeki bilgilerin kalıcı
olarak silindiğinden emin olunması gerektiği benimsenmeli ve bunun gerçekleştirilme
yöntemi belirlenmelidir.
Teknoloji: Bilgi
ve
iletişim
teknolojileri
her
kurumda olduğu
gibi
üniversitelerde de yaygın olarak kullanılmaya başlamıştır. Teknolojiye bağımlılık
arttıkça; süreç ve hizmetlerde kullanılan bilginin güvenliğinin sağlanabilmesi için
teknolojinin
doğru
kullanımı
ve
elektronik
ortamdaki
bilginin
güvenliğinin
sağlanmasının gerekliliği de artmıştır. Teknolojiyi kullanmaktan beklide daha önemlisi,
teknolojiyi doğru bir şekilde ve riskleri de dikkate alarak kullanmak gerekliliğidir.
Güvenlik ile operasyonel kolaylık birbirine zıt çalışan iki mekanizmadır.
Güvenliği artırmak, operasyonel iş yükünü artırmak, dolayısıyla kullanım kolaylığını
azaltmak anlamına gelecektir. Fiziksel güvenliğin hayati görüldüğü havaalanları gibi,
girişte sıkı güvenlik kontrollerinin olduğu bir alana giriş ile üniversite kampüsü gibi
93
kamuya açık alanlara girişteki güvenlik kontrolleri arasındaki fark bu dengeyi açık bir
şekilde göstermektedir. Genelde tüm donanım ve yazılım üreticilerinin odak noktası
kullanım kolaylığını sağlamaktır. Donanım ve yazılımların kurulumlarında da
operasyonel kolaylığı sağlayabilmek için yazılımlarda kurulumla birlikte gelen pek çok
kullanıcı adı ve şifrenin yanı sıra; bu yazılımın diğer bileşenlerle sorunsuz çalışmasını
teminen pek çok gereksiz ayar ve servis de açık bırakılmaktadır. Bu sebeple özellikle
kurulumla gelen konfigürasyon ayarları kurumun ihtiyacına göre gözden geçirilmeli ve
güvenlik sıkılaştırması yapılmalıdır. Bunlar yapılmadığı durumda kötü niyetli bir kişi
tarafından son derece kolay bir şekilde sistemler ele geçirilebilir ve bu sistemlerdeki
bilgilere müdahale edilebilir.
Đncelenen güvenlik standartları ve kılavuz dokümanları dikkate alındığında
teknoloji kullanırken güvenliğin sağlanmasında temel unsurlardan bir diğeri de;
güvenliğin dinamik bir kavram olduğu ve güvenliği atlatmaya yönelik yeni tehditlerin
ortaya çıkması ile birlikte bunlardan korunma için, güncellemelerin yapılması
gerekliliğidir. Bilgi güvenliğini sağlayabilmek için hem insan unsurunun (özellikle
sistemleri yöneten teknik personelin) bilgi ve becerisini sürekli güncelleyerek
geliştirmesi,
hem
de
kullanılan
teknolojideki
güncellemelerin
sağlanması
hedeflenmelidir. Son olarak unutulmalıdır ki, sadece teknolojinin bilgi güvenliğini
garanti etmesi mümkün değildir. Bu teknolojiyi kullanan insanların yeterli seviyede
destek vermemesi; teknolojiyi kullandığımız süreç ve hizmetlerdeki güvenlik
kontrollerinin yeterli seviyede uygulanmaması veya fiziksel güvenliğin sağlanamaması
durumunda güvenlik için (kullanılan özel donanım yazılımlar olsa bile) sadece teknoloji
kullanımı yetersiz kalacaktır.
Fiziksel ve Çevresel Ortam: Fiziksel ve çevresel ortam süreç ve hizmetlerin
verilebilmesi, insanların kullanımı ve bilginin depolanmasının yanı sıra kullanılan
teknoloji içinde zorunlu bir bileşendir. Bilgi güvenliğinin sağlanabilmesi için, şüphesiz
fiziksel ve çevresel ortam güvenliğinin sağlanması gereklidir. Üniversitelerde farklı
fiziksel ve çevresel ortamlar bulunmakta, bu ortamlar farklı kullanıcı gruplarına hizmet
vermekte, farklı süreç/hizmetler ve teknolojiler için kullanılabilmektedir.
94
Merkezi olarak hizmet veren BT sistemlerinin yer aldığı sistem odası gibi
alanlarda fiziksel ve çevresel ortamın uygun olarak tasarlanmış olması gereklidir. Bilgi
güvenliğinin üniversiteler için beklide en önemli unsurlarından biri olan bütünlük ve
erişilebilirlik unsurunun temin edilmesi için; bu sistemlerin yer aldığı sistem odalarında
kesintisiz güç kaynağı, soğutma sistemi, yükseltilmiş döşeme, yangın tespit ve
engelleme sistemi, kamera sistemi vb. fiziksel ve çevresel güvenlik kontrolleri
kullanılmalıdır. Fiziksel ve çevresel ortam güvenlik kontrolleri belirlenirken bu alanı
kullanacak kişiler, bu alanda fiziksel veya elektronik olarak bulunacak bilgi varlıkları,
bu alanda bulunacak sistemler ile süreç ve hizmetler dikkate alınmalıdır. Şekil 10’da
üniversite fiziksel ve çevresel grupların neler olabileceğine yönelik örnek verilmiştir.
Kırmızı renkte gösterilen alanlar (örneğin merkezi sistem odası, bilgisayar laboratuvarı
vb.) kullanım amaçları ve içerdikleri varlıklar itibarı ile diğer alanlara nazaran daha
fazla fiziksel ve çevresel güvenlik kontrollerine ihtiyaç duyulan alanları ifade
etmektedir.
Bu alanlara örnek olarak kritik süreç ve hizmetler için kullanılan BT
sistemlerinin yer aldığı merkezi sistem odası, bilgisayar laboratuvarı, veri iletişim
cihazlarının bulunduğu sistem odası, kritik kayıt ve bilgilerin bulunduğu öğrenci işleri
vb. verilebilir.
95
Şekil 10.Fiziksel ve Çevresel Gruplar Örneği
4.3. ÖBGYS Süreç Adımları
Uluslar arası standart ve kılavuzlar (COBIT, BS7799, ITIL, ISO/IEC 9001,
ISO/IEC 20000) incelendiğinde sistem oluşturulması için genelde 4 aşamalı süreç
modelinin önerildiği belirlenmiştir. Aşağıda standart ve kılavuzlarda uygulanması
önerilen süreç bilgileri yer almaktadır.
ITIL: ITIL dokümanı temelde kurumun servislerine odaklanarak bu servislerin
iyileştirilmesine yönelik önerileri içermektedir. ITIL dokümanında BT Güvenliği ile
ilgili bir bölümde yer almaktadır. Bu bölümde BT Yönetim Modeli ve süreç akışı
aşağıdaki Şekil 11’de görüldüğü gibi belirtilmiştir (ITIL, 2006).
96
(ITIL, 2006)
Şekil 11. ITIL Bilgi Güvenlik Modeli ve BT Güvenlik Yönetim Süreci
BS7799: BS7799 standardında bilgi güvenlik yönetim sistemi ile ilgili süreç
akışı Şekil 12’de belirtilmiştir:
Şekil 12.BGYS Süreçlerinde PUKO Modelinin Uygulanması
97
ISO9001: ISO9001 Kalite Yönetim Sistemi Standardında da Şekil 13’deki
PUKÖ süreç modeli temel alınmıştır. Benzer bir yaklaşım ISO 20000 içinde geçerlidir.
Şekil 13. ISO 9001 Süreç Modeli
Tablo 5’de incelenen standart ve kılavuz dokümanlarında belirtilen süreç
adımlarının özeti yer almaktadır. Farklı terminolojiler kullanılsa da 4 aşamalı planlama,
planları uygulamaya geçirme, uygulama aşamasında sistemi izleyerek süreci idame
ettirme ve iyileştirme şeklinde bir süreç işletildiği tespit edilmiştir.
Süreç Adımları
Tablo 5. Süreç Adımları Karşılaştırması
Klasik BT
Süreçleri
COBIT Süreç
Referans
Modeli
Planlama
(Plan)
Planlama ve
Organizasyon
(Plan and
Organize)
Edinme ve
Uygulama
(Acquire and
Implement)
Dağıtım ve
Destek
(Deliver and
Support)
Đzleme ve
Değerlendirme
(Monitor and
Evaluate)
Geliştirme
(Build)
Uygulama
(Run)
Đzleme
(Monitör)
SÜREÇLER
ITIL(BT
BS7799 Bilgi
Güvenlik
Güvenlik
Modeli
Ve Yönetim
Süreci)
Sistemi
Süreci
Politika (Policy) BGYS
Risk Analizi
Tasarlanması
(Risk Analysis)
Planlama ve
Uygulama
(Planning and
Implementation)
Operasyon
(Operation)
Değerlendirme
ve Denetim
(Evaluation and
Audit)
BGYS
Oluşturulması
ve
Uygulanması
BGYS
Đzlenmesi ve
Gözden
Geçirilmesi
BGYS’nin
Sürdürülmesi
ve
Đyileştirilmesi
ISO 9001
Kalite
Yönetim
Sistemi
Süreci
Planla
ISO 20000
Servis
Yönetim
Süreci
Uygula
Servis
Yönetiminin
Uygulanması
Kontrol
Et
Đzleme,
Ölçme ve
Gözden
Geçirme
Sürekli
Đyileştirme
Önlem Al
Servis
Yönetiminin
Planlanması
98
Farklı standart ve kılavuz dokümanlarında belirtilen ve Tablo 5’de özetlenen
süreçler genelde 4 aşamalı bir döngüyü öngörmektedir. Bu süreçlerin öğretim tasarımı
süreçleri ile paralellik gösterdiği söylenebilir.
Öğretim tasarımı, öğrenme ve öğretim ilkelerinin; öğretim materyal, etkinlik,
bilgi kaynakları ve değerlendirme için kullanılacak tasarımlara dönüştürülmesini
sağlayan sistematik ve yansıtıcı süreçtir (Smith and Ragan,1999). Sistematik öğretim
tasarımı için önerilen pek çok farklı model bulunmaktadır. Örneğin Dick ve Carey,
(1996); Gagné, Briggs ve Wager, (1992); Kemp, Morrison ve Ross, (1998); Smith ve
Ragan, (1999).
Bu modeller incelendiğinde bu modellerin temel elemanlar olarak
analiz, tasarım, geliştirme, uygulama ve değerlendirme
gibi
ADDIE modelinin
parçalarını içerdiği görülmektedir (Hong 2006).
ADDIE eğitim bilimleri sözlüğünde “ Herhangi bir alanda yapılacak yenilik ve
buluşları sistematize eden beş aşamalı süreç. Buna göre yenilenme süreci sırasıyla;
çözümleme, tasarım, geliştirme, uygulama ve değerlendirme aşamalarından oluşur.”
olarak tanımlanmaktadır. Şekil 14’de modelin adımları bulunmaktadır.
Şekil 14.ADDIE Süreç Modeli
99
ADDIE modeli 5 aşamadan oluşan (Analiz/çözümleme, tasarım, geliştirme,
uygulama ve değerlendirme ) sistematik öğretim tasarım modelidir. Sıralı bir şekilde her
basamağın çıktısı bir sonraki basamağın girdisi olarak kullanılmaktadır. Aşamalar:
•
Analiz/çözümleme: Analiz aşamasında tasarımcı öğrenme problemini, amaç
ve hedefleri, hedef kitlenin ihtiyaçlarını, mevcut bilgileri ve diğer ilgili
özellikleri belirler. Analiz aşamasında ayrıca öğrenme ortamı, sınırlılıklar,
süre gibi unsurlarda belirlenir.
•
Tasarım: Öğrenme hedeflerinin belirlenmesi için sistematik bir süreçtir.
Genellikle detaylı prototipler, tasarım, kullanıcı ara yüzü gibi unsurlar
belirlenir. Analiz aşamasında belirlenen problemin çözümüne yönelik çalışma
yapılır. Gerekli kaynaklar belirlenir.
•
Geliştirme: Tasarım aşamasında belirlenen içerik ve diğer materyaller
hazırlanır.
•
Uygulama: Plan uygulamaya alınır,
hedef kitle ve uygulayıcı için
prosedürler oluşturulur. Hazırlanan materyaller uygulamaya alınarak etkinliği
izlenir.
•
Değerlendirme: Uygulamadan edinilen geri beslemelere göre gerekli
iyileştirmeler yapılır.
Süreç modelinin oluşturulması için literatür incelemesi sonucunda sistem
oluşturmada kolaylıkla uyarlanabilecek olan ve standart ile kılavuz dokümanlarında
belirtilen dört fazlı süreç ile paralellik gösteren sistematik öğretim tasarım
modellerinden
5 aşamadan oluşan
ADDIE modeli (Analiz/çözümleme, tasarım,
geliştirme, uygulama ve değerlendirme) revize edilerek ÖBGYS modeli oluşturulması
için kullanılmıştır. Böylelikle süreç adımları özelleştirilerek her bir süreç adımı içinde
ADDIE modelinde geçen temel kavramların uyarlaması yapılmıştır.
100
Şekil 15’de görüldüğü gibi ÖBGYS Modeli, ADDIE modelini baz alarak
standartlarda belirtilen BGYS süreç adımlarını da içerecek şekilde revize edilmiştir.
ÖBGYS modelinin fazlarında araştırma soruları ve alt adımlar detaylandırılmıştır.
ADDIE modelini baz alan ÖBGYS modelinin; BGYS oluşturulmasında teknoloji ve
risk tabanlı süreç işletilmesi yerine; bilgi, insan ve öğrenme hedeflerini temel alan bir
süreç uygulamasının hayata geçirilmesi için kullanılması hedeflenmiştir. ÖBGYS
modelinde
her basamak sonrasında bir önceki aşamaların da gözden geçirilerek
gerektiğinde güncellemelerin (geribildirimlerin) yapılması söz konusu olacaktır.
Şekil 15. ÖBGYS Modeli Süreç Adımları
101
Şekil 15’de belirtilen model önerisi ile ilgili detaylandırma yapılarak, model alt
bileşenlerinin her biri için kapsam alanları ve bilgi güvenliği sağlanması için hedefler/iş
adımları hazırlanmıştır. Süreç model önerisi ile ilgili olarak yukarıdaki taslak
detaylandırılıp her bir öğenin süreç model aşamalarında ne şekilde inceleneceği ve süreç
adımlarında gerçekleştirilecek çalışmalar belirlenmiştir. Bu model pilot üniversitelerde
yapılan çalışmalarda kullanılmıştır ve uygulama esnasında model üzerinde de
revizyonlar yapılmıştır. Model uygulanırken her aşama sonunda önceki aşamalarda
gerekli güncelleme işlemleri yapılarak etkinlik ve çalışma hızının artırılması
hedeflenmiştir. Aşağıda ÖBGYS’nin her basamağında yapılması gereken çalışmalar ve
hedefler detaylandırılmıştır:
1. Analiz
Analiz aşamasındaki hedef mevcut durumun tespit edilmesi ve tespit edilen
bilgilerden yola çıkılarak yapılacak çalışmaların planlanmasının sağlanmasıdır. Analiz
aşamasında tezin araştırma sorularından “Üniversitede bilgi güvenliğine yönelik
görüşler nelerdir?” sorusuna yanıt aranmaktadır. Analiz aşaması problem analizi ve
ihtiyaç analizi olarak iki temel fazdan oluşmaktadır.
•
Problem Analizi (Mevcut Durum Tespiti):
Üniversitenin organizasyonel yapısı, mevcut süreçleri internet (üniversite web
sitesi) ve üniversitedeki canlı kaynaklardan elde edilen bilgiler ile incelenmelidir.
Üniversite genelinde uzman görüşleri alınarak hazırlanmış anket uygulanarak, özellikle
bilgi güvenliğinin önemi ve bilgi güvenliği sağlanamazsa üniversiteye olası etkileri
hakkında görüşler tespit edilmelidir. Sonraki aşamada; standartlar ve kılavuz
dokümanları dikkate alınarak, uzman görüşleri ile son haline getirilmiş soru kâğıdı ve
görüşme yöntemi kullanılarak mevcut durum analizi yapılmalıdır. Bu işlemler problem
analizi olarak da adlandırılabilir.
102
Problem analizi aşamasında aşağıdaki soruların yanıtlarının belirlenmesi
hedeflenmelidir:
1. Üniversitede bilgi ve iletişim teknolojilerinin kullanım alanları nedir?
2. Bilgi güvenliğine yönelik yaşanmış/yaşanması muhtemel sorunlar nedir?
3. Bilgi güvenliğinin önemi ve bilgi güvenliği sağlanamazsa etkisi hakkında
görüşler nedir?
4. ÖBGYS model uygulama çalışmasında destek olacak kişiler kimdir?
5. Daha önce BGYS oluşturulması için çalışma yapılmış mıdır? Bilgi güvenlik
farkındalığına yönelik çalışmalar yapılmış mıdır? Bunların kapsamı nedir?
6. Mevcut durumda BGYS için standartlar ve kılavuz dokümanlarının incelenmesi
ile
belirlenmiş
olan
gerekliliklerden
(Ek-2
kullanılacaktır)
hangileri
karşılanmaktadır?
7. Üniversitenin güvenlik açısından karşı karşıya olduğu riskler nedir?
Yukarıda belirtilen bilgilerin bir kısmı “EK-1 Yükseköğretimde Bilgi
Güvenliği Anketi” kullanılarak edinilmiştir. Đkinci aşamada ise üniversite Bilgi Đşlem
Birimi’ndeki personel ve yönlendirilen kişilerle
görüşme ile, “EK-2 ÖBGYS
Güvenlik Kontrol Listesi” soru kâğıdı ile daha detaya inen bir analiz gerçekleştirilerek
diğer bilgilerin edinilmesi hedeflenmiştir.
•
Đhtiyaç Analizi (Hedef Kitle ve Ortam Analizi):
Đhtiyaç analizi; olması gereken durumla mevcut durum arasındaki farkın
giderilmesine yönelik yapılması gereken çalışmalar için, ihtiyaçların belirlenmesi
aşamasıdır. Unutulmamalıdır ki bir anda tüm yapının kurgulanması ve hayata
geçirilmesi gerçekçi bir hedef olmayacaktır. Bu sebeple ihtiyaç analizi aşamasında,
gerekliliklerden üniversite için uygun ve öncelikli olanların planlanması ve hayat
geçirilmesi söz konusu olmalıdır. Đhtiyaç analizi olarak adlandırılan bu fazda, ÖBGYS
modelinin temel bileşenlerinin (insan ve bilgi, süreç ve servisler, fiziksel ve çevresel
ortam/koşullar, teknoloji) analizi yapılarak bunların birbirleri ile ilişkileri ve ÖBGYS
için gereklilikler belirlenmelidir.
103
Klasik yaklaşımlardan
farklı olarak teknoloji sistemlerini temel alan bir
yaklaşım yerine, insan unsurunu temel alan bir yaklaşım uygulanmalıdır. Çalışmada
öğrenme grupları ve her bir grup için öğrenme hedefleri belirlenmelidir. Yine bu
aşamada, ihtiyaç analizi bölümünde risk analizi gözden geçirilip, amaç hedefler ve iş
adımları dokümante edilmelidir.
Đhtiyaç analizi aşamasında aşağıdaki soruların yanıtlarının belirlenmesi
hedeflenmelidir:
1. Üniversite için çalışmadaki hedefler nelerdir?
2. Çalışma için çalışma grubunda kimler yer alacaktır? Çalışma takvimi nasıl
olmalıdır?
3. Üniversitede kullanıcı grupları ve bilgi grupları nelerdir?
4. Verilen servisler ve temel süreçler hangileridir?
5. Fiziksel alan grupları nelerdir? Bu alanları hangi kullanıcı grupları
kullanmaktadır? Bilgi güvenliği açısından özel olarak korunması gereken alanlar
var mıdır? Bunlar nerelerdir? Bu alanlarda mevcut ve gerekli çevresel koşullar
nelerdir?
6. Hangi Teknolojiler kullanılmaktadır? Merkezi olarak hizmet veren kritik BT
sistemleri hangileridir? Kullanıldıkları süreç ve servisler dikkate alındığında
kritiklik sıralaması ne olmalıdır?
7. Kullanıcı grupları için, diğer ÖBGYS bileşenleri de dikkate alındığında bilgi
güvenliğine yönelik öğrenme hedefleri ne olmalıdır?
8. Risklerin ve etkilerinin belirlenmesi için hangi strateji kullanılmalıdır? Riskler
nelerdir?
Bu fazda yapılacak çalışmada
Tablo 6’ya benzer bir tablo ile ÖBGYS
bileşenleri arasındaki ilişkiler daha anlaşılır olarak ortaya konulabilir.
104
Tablo 6. Örnek ÖBGYS Bileşen Đlişkiler Tablosu
Đdari ve Destek
Süreçleri
Araştırma ve Geliştirme (bilgi üretme)
Süreçleri
Eğitim ve Öğretim Süreçleri
Ana
Süreç
Alanı
Adı
Hizmetler/Servisler
Süreç
Đnsan
Grubu
Teknoloji (Yazılım ve
Donanım)
Süreçle Đlgili
Bilgi Varlığı
Süreç Bilgi Güvenlik Kontrolleri
Akademik programlar
(eğitim ve öğretim;
sınav ve
değerlendirme)
Bilgisayar laboratuarları;
Web sitesi;
Akademik
değerlendirme sistemi;
Öğrenci işleri yönetim
sistemi;
Teknik destek hizmeti;
internet hizmeti;
kablosuz internet
hizmeti;
e-posta;
ftp;
sms bilgilendirme
hizmeti;
Akademik/
Đdari/
Teknik
personel ,
Öğrenci
Öğrenci işleri yönetim
sistemi (1 uygulama, 1
veritabanı sunucusu,
SQL veritabanı);
e-posta (1 exchange
sunucu, 2 DC, 1 içerik
filtreleme yazılımı);
teknik destek
uygulaması (1
uygulama ve
veritabanı sunucusu);
Antivirüs uygulaması;
sms sunucusu;
40 Mb internet çıkışı;
Kablosuz internet (10
erişim noktası, 1
yönetim sunucusu);
Projeksiyon cihazı;
Video konferans
sistemi;
Tepegöz;
personele tahsis
edilen bilgisayar vb.
donanımlar ve
yazılımlar, paket
programlar (word,
excel, powerpoint)
Eğitim öğretim
materyalleri;
Öğrenci işleri
veritabanı;
Ders web
sayfaları;
Kayıtlar
(Öğrenci sınav
ve
değerlendirme
kâğıtları);
e-posta
veritabanı;
Yedekleme
kartuşları (eposta, öğrenci
işleri veritabanı
vb.)
1.Süreç veya alt süreçler için bilgi
varlıkları ve süreci doğrudan etkileyen
BT sistemleri için envanterin
oluşturulması
2.Öğrenci işleri yönetim sistemi
uygulamasında kullanıcı adı şifre
(minimum 6 karakter, harf ve sayısal
karışımı, 60 günde bir değiştirilmeye
zorlanacak)
3.Öğrenci işleri yönetim sisteminde
güvenlik sıkılaştırmasının yapılması
4.Süreçteki yasal gereksinimler gereği
saklanması gereken kayıtların
güvenliğinin sağlanması
5.Sınav sorularının sınav öncesinde
güvenliğinin sağlanması
6.Öğrenci Đşleri Yönetim Sistemi
veritabanının yedeğinin alınması
7.Kullanıcıların BT sistemleri kullanım
kuralları (bilgisayar laboratuarı, internet,
e-posta, zararlı kodlardan korunma,
temel bilgisayar güvenliği vb.)
konusunda bilgilendirilmesi
8.BT Sorun bildirme uygulaması
kayıtlarının analiz edilmesi
9. Merkezi sistem odası kontrolleri (ısı,
ups, jeneratör vb.) ....
Araştırma ve geliştirme
projeleri; Akademik
yayınlar
Akademik/
Teknik
personel
Öğrenci
Kütüphane bilgi
sistemi
veritabanı;
Makale bilgi
sistemi
veritabanı;
Devam eden
araştırma
bilgileri;
BT sisteminde
tutulan
araştırma
verileri;
Dergiler ve
akademik
yayınlar;
1, 2, 3, 4, 5, 6, 7, 8, 9
10. Patent başvuru belgelerinin
saklanması
11. Askeri projelerde proje verileri için
BT sistemlerinde şifreleme yazılımı
kullanılarak saklanması
12. Araştırma verilerinin , ve
veritabanlarının düzenli yedeklenmesi
13. Kritik araştırma verisi içeren medya
bozulduysa, yetersizse geri
alınamayacak şekilde silinmesi/imhası
Personel özlük
dosyaları
Öğrenci
dosyaları
Soruşturma
dosyaları
Yazışmalar ve
kayıtlar
1, 2, 6, 8, ......
Laboratuarlar
Web sitesi
personele tahsis edilen
bilgisayar vb.
donanımlar ve yazılımlar
internet hizmeti
e-posta
Personel Đşleri ile ilgili
hizmetler
Öğrenci Đşleri
Yazışmalar
......
.....
…...
Araştırma projeleri
web sunucusu
Makale bilgi sistemi
Kütüphane Bilgi
Sistemi (2 uygulama, 1
veritabanı sunucusu)
Araştırma verileri
dosya sunucusu
antivirüs uygulaması,
unix işletim sistemi,
oracle veritabanı,
spss
paket programlar
(word, excel,
powerpoint) Web
sitesi
50 Mb internet çıkışı
…...
.....
105
2. Dizayn/Tasarım
Dizayn aşamasında analiz aşamasında edinilen veriler ışığında strateji ve
politikalar belirlenmeli, ÖBGYS için içerik araştırması ve hazırlığı yapılmalıdır.
•
Strateji Politika Belirleme:
Bu fazda ÖBGYS’nin kapsamı belirlenerek bu kapsam içerisinde, uygulama
stratejisi ve hedefleri destekleyici üst düzeyde ilkeler belirlenmelidir. Kullanıcı grupları
için eğitim gereksinimleri, ÖBGYS model bileşenleri dikkate alınarak iyileştirme
gereksinimleri ve bunların nasıl hayata geçirileceği belirlenmelidir. ÖBGYS modelinin
benimsenmesi
ve
uygulanması
için
organizasyonel
yapılanma
çerçevesinde,
sorumlulukların neler olması gerektiği tespit edilmelidir. Standart ve kılavuz
dokümanlarında belirtildiği gibi; kurulacak ÖBGYS’nin işler tutulması, benimsenmesi
ve sürekli iyileştirilmesi için üst düzeyde bir komite oluşturulmalı ve bu sorumluluk
üniversitede tek bir bölüme verilmemelidir. Oluşturulacak bu komitede hangi birimlerin
yer alacağı ve komitenin sekretarya görevini hangi birimin üstleneceği belirlenmelidir.
Üniversitenin bilgi güvenliğine yönelik üst düzeyde kapsayıcı kural/ilkelerini içerecek
olan,
bilgi
güvenlik
politika
dokümanının
içerik
başlıklarının
hazırlanması
sağlanmalıdır. Çalışmalar esnasında etkileşim ve geri bildirimler için yöntem gözden
geçirilmelidir.
Strateji
politika
belirleme
aşamasında
aşağıdaki
soruların
yanıtlarının
belirlenmesi hedeflenmelidir:
1. Analiz aşamasında belirlenen eğitim gereksinimlerini karşılamak için hangi
çalışmalar yapılmalıdır? Gerekli kaynaklar nelerdir?
2. Đyileştirme
gereksinimleri
nelerdir?
Bunlar
en
anlaşılır
şekilde
nasıl
gruplanmalıdır?
3. Mevcut durum tespitinde kullanılan standart ve kılavuz dokümanları dikkate
alınarak hazırlanmış gerekliliklerden, hangileri üniversite için önceliklidir ve
uygulanabilir? Bunlar nasıl dokümante edilebilir?
4.
Oluşturulacak sistem için yönetimin organizasyonu nasıl olmalıdır? Kullanıcı
gruplarının bilgi güvenliğine yönelik görev ve sorumlulukları nelerdir?
106
5. ÖBGYS için üst düzeydeki politika dokümanında yer alması gereken konu
başlıkları nelerdir? Bu konu başlıkları içinde hangi bilgiler yer almalıdır?
ÖBGYS için politikayı tamamlayıcı diğer doküman grupları ne olmalıdır?
•
Đçerik araştırması ve hazırlığı:
Bu fazda strateji politika belirleme aşamasında tespit edilmiş olan konular için
ve kullanıcı gruplarına verilecek seminer için hedefleri karşılayacak içeriğin
belirlenmesi ve bu içeriğin en iyi şekilde sunulması için kaynak araştırması
yapılmalıdır. Kullanıcı grupları için öğretim etkinliklerinin ayrıntılandırılması (ortam,
süre, medya seçimi vb.) yapılmalıdır. Politika dokümanı içeriği yanı sıra politikayı
destekleyecek kontroller için araştırma yapılarak, bilgiler ilişkilendirilerek kolay
anlaşılır gruplar haline getirilmelidir.
Đçerik araştırması ve hazırlığı aşamasında aşağıdaki soruların yanıtlarının
belirlenmesi hedeflenmelidir:
1. Kullanıcı grupları için öğrenme hedeflerini destekleyecek içerik nedir ve nasıl
sunulacaktır?
2. ÖBGYS dokümantasyonu için (politika ve tamamlayıcı diğer dokümanlar)
içerik nedir ve nasıl sunulacaktır?
3. Geliştirme
Geliştirme aşamasında; analiz ve tasarım aşamalarındaki veriler doğrultusunda
çalışmalar iki fazda gerçekleştirilmelidir. Ek-3 de bu faz için hazırlanabilecek örnek
dokümanlar bulunmaktadır.
•
Tasarımı Gerçekleştirme :
Bu fazda politika dokümanı hazırlanmalıdır. Politika üst düzeyde kapsayıcı ve
ÖBGYS nin çatısı olarak adlandırılabilecek bir dokümandır. Bu doküman tüm
kullanıcılar için gerektiğinde yol gösterici olması amacıyla hazırlanmalıdır. Dokümanda
ÖBGYS’nin kapsamı, kullanıcıların, birimlerin ve oluşturulmuş bir bilgi güvenlik
komitesi varsa bu komitenin sorumlulukları belirtilmelidir. Politika dokümanında varsa
107
mevcut diğer dokümanlara veya kurgulanan diğer dokümanlara atıflar yapılabilir.
Politika dokümanındaki cümleler anlaşılır, basit ve soruya mahal bırakmayacak şekilde
belirtilmelidir.
Bir sonraki adımda politika ile uyumlu, ihtiyaç analizi ile tespit edilen ve tasarım
fazında içeriği, kapsamı, öncelikleri belirlenen güvenlik kontrollerini içeren diğer
dokümanlar,
kullanıcı
grupları
ve
öğrenme
hedefleri
de
dikkate
alınarak
hazırlanmalıdır. BT sistemleri için standartlar ve güvenlik kontrol listeleri
hazırlanmalıdır. Bu kontrol listeleri hazırlanırken eğer sistemlerde kritik bir güvenlik
açığı tespit edilirse giderilmesi de sağlanmalıdır.
Tasarımı gerçekleştirme aşamasında aşağıdaki soruların yanıtlarının belirlenmesi
hedeflenmelidir:
1. Kullanıcı grupları ve öğrenme hedefleri de dikkate alındığında, politika ile
uyumlu, ihtiyaç analizi ile tespit edilen ve tasarım fazında içeriği, kapsamı,
öncelikleri belirlenen güvenlik kontrollerinin gruplandırılması uygun mudur?
2. Bu gruplandırma için doküman başlıkları neler olmalıdır? Đçeriği ne olmalıdır?
3. Önceliklendirilmiş güvenlik kontrollerinden, kritik ve uygulanabilir olanlar
hangileridir? Bunlar sistemlere ne şekilde uygulanabilir?
•
Eğitim Materyallerinin Üretimi:
ÖBGYS’nin oluşturulması için dokümantasyon hazırlığı ile birlikte kullanıcı
grupları öğrenme hedefleri için verilecek seminerler hazırlanmalı ve bu seminerlerin
planlaması yapılmalıdır. Semineri destekleyici materyal hazırlanması da (afiş, bilgi notu
vb.) bu fazda gerçekleştirilmelidir.
Eğitim materyallerinin üretimi aşamasında aşağıdaki soruların yanıtlarının
belirlenmesi hedeflenmelidir:
1. Sistem kurulumunda temel olacak hazırlanmış dokümanların kullanıcı
gruplarındaki öğrenme hedeflerini destekleyecek şekilde seminerlerde içerik
nasıl olmalıdır?
108
2. Bu içerik nasıl sunulmalıdır?
3. Seminerle aktarılacak bilgileri destekleyecek materyaller hangileridir? Đçeriği
nedir?
4. Seminer süresi ne olmalıdır? Katılımcılar kimlerden oluşmalıdır?
4. Uygulama
Uygulama aşamasında geliştirme aşamasında yapılan hazırlıklar hayata
geçirilmelidir. Bu aşamanın temel adımları aşağıdaki şekilde olmalıdır:
•
Sistem ve süreçlerin devreye alınması:
− Đçeriğin gözden geçirilmesi.
− Đçerikle ilgili onayların alınması.
− Teknoloji yönetimi ile ilgili süreçlerin uygulanması (ilgili dokümanların
yayınlanması ve duyurusunun yapılması).
− Seminerlerin verilmesi.
− Uygulama aşamalarının değerlendirilmesi.
5. Değerlendirme
Son aşama olan değerlendirme aşamasında tüm yapılan işlemlerin gözden
geçirilmesi için aşağıdaki adımlar gerçekleştirilmelidir:
•
Mevcut durum tespiti (analiz aşamasındaki süreç tekrar işletilerek bulgular
tespit edilmelidir.)
•
Toplam değerlendirme:
− Analizi aşamasındaki bulgular ile değerlendirme aşamasındaki mevcut
durumun karşılaştırılması,
− Tüm sürecin gözden geçirilmesi,
− Sürekli iyileştirmenin sağlanması için bakım planları ve gerekliliklerin
dokümante edilmesi ve güncellenmesi sağlanmalıdır.
Değerlendirme aşamasında aşağıdaki
hedeflenmelidir:
soruların
yanıtlarının
belirlenmesi
109
1. Analiz aşamasındaki mevcut durum ile sürecin işletilmesinden sonraki mevcut
durum arasındaki farklar nelerdir?
2. Süreç ve destekleyici dokümanlarda iyileştirme gereken hususlar var mıdır?
Bunlar ne şekilde düzeltilmelidir?
3. Sürekli iyileştirme için ne yapılmalıdır?
4.4. Üniversitede Bilgi Güvenliğine Yönelik Görüşler
Gazi Üniversitesi, Ankara Üniversitesi ve TOBB Ekonomi ve Teknoloji
Üniversitesi’nde gerçekleştirilen ankete ilişkin analizler aşağıda sunulmuştur.
Tablo 7’de görüldüğü gibi araştırmaya katılan kişilerin %59,2’si akademik
personel, %34’ü öğrenci, %5,2’si idari personel ve %1,7’si ise BT sistemlerinin
yönetiminden
sorumlu
teknik
personeldir.
Üniversitelerde
BT
sistemlerinin
yönetiminden sorumlu personel sayısının son derece az olması neticesinde araştırmaya
katılan kişiler içerisinde de yüzdesinin az olması söz konusudur.
Tablo 7. Araştırmaya Katılanların Kullanıcı Grubuna Göre Frekans ve Yüzde Dağılımları
F
Kullanıcı Grubu
Akademik Personel
Đdari Personel
Teknik Personel
Öğrenci
TOPLAM
%
251
59,2
22
5,2
7
1,7
144
34,0
424
100,0
Tablo 8’de görüldüğü üzere araştırmaya, Gazi Üniversitesi’nden 243 kişi,
Ankara Üniversitesi’nden 61 kişi, TOBB Ekonomi ve Teknoloji Üniversitesi’nden 120
kişi olmak üzere toplam 424 kişi katılmıştır.
110
Tablo 8. Araştırmaya Katılanların Üniversite ve Kullanıcı Grubuna Göre Dağılımı
KULLANICI GRUBU
Gazi Üniversitesi
N
Akademik
Personel
184
Ankara Üniversitesi
N
41
4
TOBB Ekonomi ve
N
26
N
251
Toplam
Đdari
Personel
5
Teknik
Personel
2
Öğrenci
52
243
2
14
61
13
3
78
120
22
7
144
424
Teknoloji Üniversitesi
Genel Toplam
4.4.1.
BT Sistemlerinin Kullanım Amaçlarına Yönelik Görüşler
Anketin ilk kısmında, üniversitede BT sistemlerinin hangi amaçlarla
kullanıldığına ilişkin sorulara verilen yanıtların frekans dağılımları, aritmetik ortalama
ve standart sapmaları aşağıdaki Tablo 9’da görülmektedir.
206
4,33
0,825
424
14
19
32
136
223
4,26
1,006
Kütüphane Hizmetleri
424
9
15
21
191
188
4,26
0,872
Tanınırlık
424
8
24
43
165
184
4,16
0,953
Đletişim
424
8
17
45
191
163
4,14
0,896
Müfredat Yönetimi
424
9
30
41
176
168
4,09
0,980
Akademik Kalite
424
11
40
64
165
144
3,92
1,048
Sürekli Eğitim
424
13
58
81
166
106
3,69
1,083
Finansal Đşlemler
424
22
46
95
157
104
3,65
1,118
Đdari Đşlemler
424
40
42
78
169
95
3,56
1,209
Sorumluluk Yerine Getirme
424
21
57
106
155
85
3,53
1,104
Sağlık Hizmetleri
424
52
81
95
133
63
3,17
1,250
Fiziksel Güvenlik
424
43
86
153
95
47
3,04
1,130
Araştırma
SS
177
Aritmetik
Ortalama
22
Kesinlikle
Katılıyorum
13
N
424
Katılıyorum
Katılmıyoru
m
6
Madde
Öğrenci Đşleri
Kararsızım
Kesinlikle
Katılmıyorum
Tablo 9. BT Sistemlerinin Kullanım Amaçlarına Yönelik Görüşlerin Frekans Dağılımları,
Aritmetik Ortalama ve Standart Sapmaları
111
Tablo 9’a göre araştırmaya katılanlar BT sistemlerinin üniversitenin hemen
hemen tüm süreçlerinde kullanıldığını düşünmektedir. Ankette olumsuz (kesinlikle
katılmıyorum ve katılmıyorum) seçeneklerinin üniversiteler genelinde kullanılmaması
bunu doğrulamaktadır. Bunun dışında kararsızım olarak nitelendirilen (tabloda taralı
alan) seçeneğin “fiziksel güvenliğin sağlanması” ve “sağlık hizmetlerinde” bulunması,
sağlık sektöründe BT sistemlerine geçişin görece yeni olması nedeniyle, doğal kabul
edilebilir. BT sistemlerinin üniversitelerde kullanım alanları ile ilgili “kesinlikle
katılıyorum” ölçeğinde kalan hizmetler, sırasıyla “öğrenci işleri”, “araştırma” ve
“kütüphane hizmetleri”’ dir. Bilimin odağı olan üniversitelerde özellikle araştırma ve
kütüphane hizmetlerinde BT sistemlerinin yaygın olarak kullanılması bilgiye ulaşma ve
işleme
kabiliyetini
artırmaktadır.
Bulgular
değerlendirildiğinde,
araştırmadaki
katılımcıların görüşünün incelenmesi neticesinde; BT sistemlerinin hemen her alanda
üniversite süreçlerinde kullanıldığı
tespit edilmiştir.
Süreçlerde BT sistemlerine
bağımlılığın artması ile birlikte kesintisiz hizmet verebilmek için BT sistemlerinin de
kesintisiz bir şekilde işletilmesi ihtiyacı da artmaktadır. Bu ise BT sistemlerinde yedekli
bir yapının oluşturulması ve BT sistemlerine daha fazla yatırım yapılması gerekliliğini
beraberinde getirecektir.
BT kullanımı farklı üniversitelerde farklı şekillerde olabilir. Genelde öğrenci
işlerinin ve kütüphane hizmetlerinin, BT vasıtasıyla temin edilmesi yönünde bir eğilim
olsa da farklılıkları görebilmek için aşağıda Tablo 10’da BT kullanımı ile ilgili soruların
üniversiteler için ayrı ayrı değerlendirmeleri de yapılmıştır.
112
Ankara Üniversitesi
TOBB Ekonomi ve Teknoloji
Üniversitesi
Gazi Üniversitesi
Aritmetik
Ortalama
SS
Kesinlikle
Katılıyorum
Katılıyorum
N
243
Kararsızım
Madde
Öğrenci Đşleri
Katılmıyorum
Üniversite
Adı
Kesinlikle
Katılmıyorum
Tablo 10. BT Sistemlerinin Kullanım Amaçlarına Yönelik Görüşlerin Üniversite Bazında Frekans
Dağılımları, Aritmetik Ortalama ve Standart Sapmaları
5
8
10
91
129
4,36
0,872
Araştırma
Kütüphane Hizmetleri
Tanınırlık
Đletişim
Müfredat Yönetimi
Akademik Kalite
Finansal Đşlemler
Sürekli Eğitim
Đdari Đşlemler
Sorumluluk Yerine Getirme
Sağlık Hizmetleri
Fiziksel Güvenlik
Kütüphane Hizmetleri
243
243
243
243
243
243
243
243
243
243
243
243
120
5
5
5
3
7
4
9
4
20
12
20
18
3
9
8
9
11
17
22
17
33
29
37
33
50
1
19
13
21
25
15
35
33
43
39
62
52
86
2
73
111
95
108
106
92
105
98
97
87
96
63
57
137
106
113
96
98
90
79
65
58
45
42
26
57
4,35
4,26
4,24
4,16
4,12
4
3,94
3,77
3,59
3,48
3,44
3,12
4,37
0,925
0,863
0,911
0,875
0,997
1,014
1,037
1,043
1,207
1,107
1,168
1,086
0,788
Öğrenci Đşleri
Đletişim
Araştırma
Tanınırlık
Müfredat Yönetimi
Akademik Kalite
Sorumluluk Yerine Getirme
Đdari Đşlemler
Sürekli Eğitim
Finansal Đşlemler
Fiziksel Güvenlik
Sağlık Hizmetleri
Araştırma
120
120
120
120
120
120
120
120
120
120
120
120
61
0
2
7
2
2
7
5
11
7
11
19
23
2
2
3
7
9
7
10
9
7
14
16
22
36
3
7
15
7
13
18
23
27
28
29
49
46
33
6
56
58
44
49
46
46
49
50
45
32
21
18
19
55
42
55
47
47
34
30
24
25
12
12
10
31
4,37
4,13
4,11
4,08
4,08
3,75
3,75
3,58
3,56
3,15
2,88
2,63
4,21
0,673
0,846
1,129
0,975
0,963
1,132
1,047
1,15
1,121
1,074
1,178
1,195
1,035
Öğrenci Đşleri
Đletişim
Kütüphane Hizmetleri
Müfredat Yönetimi
Tanınırlık
Akademik Kalite
Sürekli Eğitim
Finansal Đşlemler
Đdari Đşlemler
Sorumluluk Yerine Getirme
Sağlık Hizmetleri
Fiziksel Güvenlik
61
61
61
61
61
61
61
61
61
61
61
61
1
3
1
0
1
0
2
2
9
4
9
6
3
3
6
6
6
8
11
13
6
11
12
14
5
5
6
8
9
6
9
13
11
17
10
21
30
25
23
24
21
27
23
20
22
19
19
11
22
25
25
23
24
20
16
13
13
10
11
9
4,13
4,08
4,07
4,05
4
3,97
3,66
3,48
3,39
3,33
3,18
3,05
0,885
1,069
1,031
0,956
1,049
0,983
1,153
1,149
1,333
1,151
1,348
1,189
113
Tablo 10’da üniversite bazında katılımcılarının yanıtları ve bu yanıtların
aritmetik ortalama ve standart sapmaları değerlendirildiğinde, her üç üniversitede de BT
sistemlerinin kullanım alanı ile ilgili olumsuz bir görüş bulunmamaktadır. “Kararsızım”
ölçeğinde bulunan seçeneğin, Gazi Üniversitesi’nde
“fiziksel güvenlik”, Ankara
Üniversitesi’nde “fiziksel güvenlik, sağlık hizmetleri, sorumlulukların yerine getirilmesi
ve idari işlemler”, TOBB Ekonomi ve Teknoloji Üniversitesi’nde ise “sağlık hizmetleri,
fiziksel güvenlik, idari işlemler” olduğu görünmektedir.
4.4.2.
Bilgi Güvenliğine Yönelik Sorunlar Hakkında Görüşler
Araştırmada üniversitede bilgi güvenliğine yönelik sorunlar/riskler hakkında
katılımcıların görüşleri alınmıştır ve bu bölümle ilgili sorulara verilen yanıtların frekans
dağılımları, aritmetik ortalama ve standart sapmaları Tablo 11’de görülmektedir.
Kesinlikle
Katılıyorum
Aritmetik
Ortalama
SS
18
30
212
164
4,23
0,758
4
26
46
151
197
4,21
0,929
6
30
43
162
183
4,15
0,961
34
44
211
135
4,05
0,861
4
37
57
188
138
3,99
0,946
424
8
42
71
149
154
3,94
1,047
Kritik Bilgi Kaybı
424
7
43
69
166
139
3,91
1,020
Şifrenin Başkası Tarafından
Edinilmesi
Kritik Bilginin Đfşası
424
9
47
60
180
128
3,88
1,032
424
7
48
84
150
135
3,84
1,047
Kritik Bilginin Çalınması
424
8
45
86
158
127
3,83
1,034
Kritik Bilginin Yetkisiz
Değiştirilmesi
Lisanssız Yazılım Kullanılması
424
9
51
96
142
126
3,77
1,070
424
24
65
75
138
122
3,63
1,207
Hırsızlık
424
24
66
85
157
92
3,54
1,156
Saldırı/Sabotaj
424
24
81
101
134
84
3,41
1,167
Yangın Su Baskını vb.
424
28
83
95
146
72
3,36
1,166
Madde
BT Sistemlerinde Kesinti
N
424
Đstem Dışı Spam E-posta
424
Zararlı Kod (Virüs, worm vb.)
424
Süreç ve Hizmette Aksama
424
BT Bilişim Saldırı
424
Sosyal Mühendislik
Kararsızım
Katılıyorum
Katılmıyorum
Kesinlikle
Katılmıyorum
Tablo 11. Bilgi Güvenliğine Yönelik Sorunlar Hakkında Görüşlerin Frekans Dağılımları,
Aritmetik Ortalama ve Standart Sapmaları
114
Tablo 11’e göre araştırmaya katılanlar içerisinde; ankette yer alan bilgi
güvenliğine yönelik risklerin hiçbirinde, aritmetik ortalamalara göre olumsuz görüş (12,60 arası değer) çıkmamıştır. Bu ise, üniversitelerde ankette yer alan risklerin uygun
olarak belirlendiği ve diğer üniversitelerin de bilgi güvenliğine yönelik yapacakları
çalışmalarda bu riskleri dikkate almalarının faydalı olacağını göstermektedir.
Seçeneklerden
sadece “yangın, su baskını” riski ortalaması “kararsızım”
ölçeğinde yer almaktadır. Üniversitede yangın, su baskını gibi bir olay yaşanması ve bu
riskin, bilgilerin basılı veya elektronik ortamda saklandığı bir alanda meydana gelmesi
ihtimalinin ilk aşamada öngörülemediği için ortalamanın düşük çıktığı düşünülmektedir.
Araştırmaya katılan kişiler en fazla “BT sistemlerinde kesinti olması”, ikinci sırada
“istem dışı e-posta gelmesi”, üçüncü sırada ise “sistemlere zararlı kod bulaşması”
sorunlarıyla karşılaşılabildiğini göstermektedir. Dikkat çekici bir diğer nokta ülkemizde
son yıllarda özellikle bankacılık sektöründe “oltalama saldırıları” ile adını duyuran;
kişilerden hassas bilgilerin, kötü niyetli kişiler tarafından ele geçirilmesi (sosyal
mühendislik) riskine verilen yanıtların ortalamasının 3,94 ile “katılıyorum” ölçeğinde
olmasıdır. Bu durum bilgi güvenliği konusunda, özellikle son yıllarda popüler hale
gelen bu saldırı tekniğinin, üniversitelerde farkındalığının yüksek olması anlamında çok
pozitif bir bulgudur.
Maddelere verilen yanıtların kullanıcı grubuna göre farklılaşıp farklılaşmadığına
yönelik yapılan incelemede (farkın hangi gruplarda olduğu için
varyanslar eşitse
Tukey, varyanslar eşit değilse Dunnett C testi yapılmıştır) akademik personel ile
öğrenci
grubu
arasında
her
bir
maddeye
verilen
yanıtların
ortalamalarının
karşılaştırılması sonucunda (0.05 seviyesinde) anlamlı bir fark tespit edilmiştir. Farkın
hangi gruplar arasında olduğunun tespitine yönelik yapılan analiz, aşağıdaki Tablo
12’de bulunmaktadır.
115
Tablo 12. Bilgi Güvenliğe Yönelik Sorunlar Hakkında Görüşlerin Kullanıcı Gruplarına Göre
Karşılaştırma Sonuçları
Madde
BT Bilişim Saldırı
(I) Kullanıcı
Grubu
Akademik
BT Sistemlerinde Kesinti
Akademik
Süreç ve Hizmette
Aksama
Akademik
Şifrenin Başkası
Tarafından Edinilmesi
Akademik
Lisanssız Yazılım
Kullanılması
Akademik
Zararlı Kod (Virüs,
worm vb.)
Akademik
Đstem Dışı Spam E-posta
Akademik
Sosyal Mühendislik
Akademik
Kritik Bilginin Đfşası
Akademik
Kritik Bilginin Yetkisiz
Değiştirilmesi
Akademik
Kritik Bilginin
Çalınması
Akademik
Kritik Bilgi Kaybı
Akademik
Yangın Su Baskını vb.
Akademik
Hırsızlık
Akademik
Saldırı/Sabotaj
Akademik
*. Fark 0.05 seviyesinde önemlidir.
(J) Kullanıcı
Grubu
Đdari
Teknik
Öğrenci
Đdari
Teknik
Öğrenci
Đdari
Teknik
Öğrenci
Đdari
Teknik
Öğrenci
Đdari
Teknik
Öğrenci
Đdari
Teknik
Öğrenci
Đdari
Teknik
Öğrenci
Đdari
Teknik
Öğrenci
Đdari
Teknik
Öğrenci
Đdari
Teknik
Öğrenci
Đdari
Teknik
Öğrenci
Đdari
Teknik
Öğrenci
Đdari
Teknik
Öğrenci
Đdari
Teknik
Öğrenci
Đdari
Teknik
Öğrenci
Ortalama
Farkı (I-J)
0,482
0,020
0,441*
0,228
0,033
0,222*
0,320
-0,102
0,336*
0,508
0,437
0,293*
0,968*
0,968
0,788*
0,610*
0,525
0,577*
0,597*
0,792
0,756*
0,440
0,596
0,570*
0,561
0,587
0,391*
0,519
0,928
0,352*
0,686*
0,718
0,379*
0,246
0,635
0,376*
0,198
0,133
0,569*
0,247
0,507
0,696*
0,266
0,487
0,588*
Standart
Hata
0,206
0,354
0,097
0,168
0,289
0,079
0,189
0,325
0,089
0,234
0,374
0,111
0,255
0,493
0,125
0,169
0,511
0,103
0,166
0,362
0,100
0,185
0,373
0,116
0,234
0,433
0,111
0,243
0,441
0,113
0,221
0,425
0,110
0,224
0,385
0,105
0,253
0,437
0,119
0,235
0,478
0,122
0,253
0,436
0,119
Önem
Denetimi
0,090
1,000
0,000
0,525
0,999
0,026
0,328
0,989
0,001
0,691
0,353
0,002
0,863
0,990
0,000
0,720
0,680
0,000
116
Maddelerden Tablo 12’de görüldüğü gibi varyansları eşit olanlarda Tukey testi
sonucunda, varyansları eşit olmayanlarda ise Dunnett C testi sonucunda, tüm
maddelerde akademik personel ile öğrencilerin yanıtları arasında (0.05 seviyesinde)
anlamlı bir farklılık bulunmaktadır. Akademik personelin bilgi güvenliğine yönelik
riskler konusunda daha
yüksek farkındalıkda olduğu söylenebilir.
Benzer şekilde
“lisanssız yazılım kullanımı, zararlı kod, istem dışı spam e-posta, kritik bilgilerin
çalınması” maddelerinde akademik personel grubu ile idari personel grubunun
ortalamaları arasında anlamlı bir fark bulunmuştur. Burada da akademik personelin bu
maddelerde belirtilen risklerin daha farkında olduğu şeklinde yorumlanabilir.
4.4.3.
Bilgi Güvenliğine Yönelik Sorunların Olası Kaynakları Hakkında
Görüşler
Araştırmada üniversitede bilgi güvenliğine yönelik sorunların/risklerin neden
kaynaklanabileceği konusunda katılımcıların görüşleri alınmıştır ve bu bölümle ilgili
sorulara verilen yanıtların frekans dağılımları, aritmetik ortalama ve standart sapmaları
Tablo 13’de görülmektedir. Tablo 13’e göre maddelere verilen yanıtların ortalamaları
dikkate alındığında, araştırmaya katılanlar içerisinde; belirtilen bilgi güvenliğine
yönelik risklerin kaynakları maddelerinin tamamına katılım sağlandığı görülmektedir.
117
Kesinlikle
Katılıyorum
Aritmetik
Ortalama
SS
1
17
29
216
161
4,22
0,762
424
3
16
52
213
140
4,11
0,810
Kullanıcı Hataları
424
11
15
39
225
134
4,08
0,883
Güvenlik Stratejisinin Bilinmemesi
424
4
23
62
198
137
4,04
0,878
Đnternetin Güvenli Varsayılması
424
9
22
55
203
135
4,02
0,921
Güvenlik Stratejisinin
Uygulanmaması
Yaptırımların Yetersiz Olması
424
5
28
84
176
131
3,94
0,936
424
5
34
91
151
143
3,93
0,988
Operasyonel Kolaylığın Tercih
Edilmesi
Tahmini Kolay Şifre Seçimi
424
8
30
74
197
115
3,90
0,944
424
8
35
74
190
117
3,88
0,969
424
11
37
66
197
113
3,86
0,993
424
4
22
134
159
105
3,80
0,904
424
6
31
124
154
109
3,78
0,960
424
9
47
103
161
104
3,72
1,022
Madde
BG Sorumluluklar Hakkında
Yetersiz Bilgi
Teknoloji Kaynaklı
N
424
Bilgi Đsteyen Taraflara Güven
Duyulması
BT Güvenlik Konfigürasyonunun
Eksik Yapılması
Güvenlik Đçin Yeterli Kaynak
Olmaması
Üniversite Güvenlik Stratejisinin
Yazılı Olmaması
Kararsızım
Katılıyorum
Katılmıyorum
Kesinlikle
Katılmıyorum
Tablo 13. Bilgi Güvenliğine Yönelik Sorunların Olası Kaynakları Hakkında Görüşlerin Frekans
Dağılımları, Aritmetik Ortalama ve Standart Sapmaları
Tablo 13’de, anket katılımcılarının risklerin olası kaynakları hakkında birinci
sırada “Kullanıcıların bilgi güvenliğine yönelik sorumlulukları konusunda yeterli bilgi
sahibi olmaması”, ikinci sırada “Teknolojiden kaynaklanan (yazılım ve donanımdan
kaynaklanan zafiyetler nedeniyle) riskler” ve daha da önemlisi, üçüncü sırada
“Kullanıcı hatalarının” yer aldığı görünmektedir. “Kullanıcı hataları” seçeneğinin
ortalamasının yüksek olması; dolaylı olarak, ne kadar teknolojik yatırım yapılırsa
yapılsın insanların desteği olmadan bilgi güvenliğinin sağlanamayacağı konusunda
ankete katılanların farkındalığının da yüksek olduğu şeklinde yorumlanabilir. Sorunların
kaynağı olarak ifade edilen kullanıcıların bilgi güvenliğine yönelik sorumlulukları
konusunda yeterli bilgiye sahip olmaması maddesi, üniversitelerde özellikle bu konuda
daha fazla çalışma yapılması, farkındalığın artırılması ve kullanıcıların gerektiğinde
ilgili bilgilere ulaşabilecekleri mevzuatın oluşturulması gerekliliğini göstermektedir.
118
Maddelere verilen yanıtların kullanıcı grubuna göre farklılaşıp farklılaşmadığına
yönelik yapılan incelemede (farkın hangi gruplarda olduğu için Tukey testi/Dunnett C
testi yapılmıştır) akademik personel ile öğrenci grubu arasında Tablo 14’de görüldüğü
gibi verilen yanıtların ortalamalarının karşılaştırılması sonucunda (0.05 seviyesinde)
anlamlı fark tespit edilmiştir. Özellikle “yaptırımların yetersiz olması” maddesinde
ortalamalar arası farkın arttığı ve Tablo 14’deki maddeler için akademik personelin
öğrenci grubuna göre belirtilen risklerin daha farkında olduğu görülmektedir.
Tablo 14. Bilgi Güvenliğe Yönelik Sorunların/Risklerin Olası Kaynakları Hakkında Görüşlerin
Kullanıcı Gruplarına Göre Karşılaştırma Sonuçları-1
Madde
(I) Kullanıcı
Grubu
Akademik
Kullanıcı Hataları
Akademik
Güvenlik Stratejisinin
Bilinmemesi
Akademik
Güvenlik Stratejisinin
Uygulanmaması
Akademik
Yaptırımların Yetersiz
Olması
Akademik
Güvenlik Đçin Yeterli
Kaynak Olmaması
Akademik
Yetersiz Fiziksel
Güvenlik Kontrolleri
*. Fark 0.05 seviyesinde önemlidir.
(J) Kullanıcı
Grubu
Ortalama
Farkı (I-J)
Standart
Hata
Önem
Denetimi
Öğrenci
Öğrenci
0,463*
0,301*
0,103
0,091
0,005
Öğrenci
0,263*
0,095
Öğrenci
0,528*
0,104
Öğrenci
0,316*
0,101
Öğrenci
0,456*
0,100
0,000
Maddelere verilen yanıtların kullanıcı grubuna göre farklılaşıp farklılaşmadığına
yönelik yapılan incelemede (farkın hangi gruplarda olduğu için Tukey testi/Dunnett C
testi yapılmıştır) akademik personel ile idari personel grubu arasındaki karşılaştırma
bulguları Tablo 15’de verilmiştir.
119
Tablo 15.Bilgi Güvenliğe Yönelik Sorunların/Risklerin Olası Kaynakları Hakkında Görüşlerin
Kullanıcı Gruplarına Göre Karşılaştırma Sonuçları-2
Madde
BG Sorumluluklar
(I) Kullanıcı
(J) Kullanıcı
Ortalama
Standart
Önem
Grubu
Grubu
Farkı (I-J)
Hata
Denetimi
Akademik
Đdari
,443*
,168
,043
Akademik
Đdari
,573*
,183
Đdari
*
,190
Hakkında Yetersiz Bilgi
Kullanıcı Hataları
Güvenlik Đçin Yeterli
Akademik
,557
Kaynak Olmaması
*. Fark 0.05 seviyesinde önemlidir.
Tablo-15’de görüldüğü gibi, verilen yanıtların ortalamalarının karşılaştırılması
neticesinde akademik personel ile idari personel arasında da (0.05 seviyesinde) anlamlı
fark tespit edilmiştir. Akademik personel idari personele göre bilgi güvenliği
sorunlarının kaynağı olarak “kullanıcı hataları” ve “güvenlik için yeterli kaynak
olmaması” yönünde görüş bildirirken, idari personelin ortalamalarının düşük kaldığı
görülmektedir. Kaynak planlaması ve sağlanması görevleri olan katılımcıların kaynak
yetersizliği konusundaki görüşlerinde daha düşük ortalamaya sahip olması gibi bir
durum söz konusudur.
Maddelere verilen yanıtların kullanıcı grubuna göre farklılaşıp farklılaşmadığına
yönelik yapılan incelemede (farkın hangi gruplarda olduğu için Tukey testi/Dunnett C
testi yapılmıştır) teknik personel ile idari personel ve öğrenci grubu arasındaki
karşılaştırma bulguları Tablo 16’da verilmiştir.
Tablo 16. Bilgi Güvenliğe Yönelik Sorunların/Risklerin Olası Kaynakları Hakkından Görüşlerin
Kullanıcı Gruplarına Göre Karşılaştırma Sonuçları-3
Madde
(I) Kullanıcı
(J) Kullanıcı
Ortalama
Standart
Önem
Grubu
Grubu
Farkı (I-J)
Hata
Denetimi
Teknik
Đdari
1,032*
,257
Öğrenci
*
,207
Kullanıcı Hataları
*. Fark 0.05 seviyesinde önemlidir.
,923
120
Tablo 16’da görüldüğü gibi, Tukey testi sonucunda sorunun kaynağı olarak
“kullanıcı hataları” maddesinde teknik personel ile idari personel ve öğrencilerin
yanıtları arasında (0.05 seviyesinde) anlamlı bir farklılık bulunmaktadır. BT
sistemlerinde kullanıcılara sorun durumunda sürekli destek sağlayan teknik personelin
çalışmada “kullanıcı hataları” seçeneğini, yaşadığı deneyimden dolayı daha yüksek
değerlendirmesi normal sayılabilir. Đdari personel ve öğrencilerin ise hizmet alan
konumunda olduklarından, “kullanıcı hataları” seçeneğine daha düşük seviyede katılım
verdikleri ve dolayısıyla ortalamalarının da daha düşük çıktığı söylenebilir.
4.4.4.
Bilgi Güvenliği Sağlanamazsa Olası Etkileri Hakkında Görüşler
Araştırmada üniversitede bilgi güvenliğinin sağlanamaması durumunda olası
etkileri konusunda katılımcıların görüşleri alınmıştır ve bu bölümle ilgili sorulara
verilen yanıtların frekans dağılımları, aritmetik ortalama ve standart sapmaları Tablo
17’de görülmektedir.
Kesinlikle
Katılıyorum
Aritmetik
Ortalama
SS
3
3
13
167
238
4,50
0,663
424
3
6
22
152
241
4,47
0,724
Üniversite Güvenilirliğin Azalması
424
3
10
22
151
238
4,44
0,760
Üniversite Hizmetlerinin Olumsuz
Etkilenmesi
Kullanıcıların Zarar Görmesi
424
1
5
20
180
218
4,44
0,664
424
3
10
24
158
229
4,42
0,764
BT Sistemlerinin Zarar Görmesi
424
4
3
20
190
207
4,40
0,701
Üniversite Hizmetlerinin Kesintisi
424
1
9
26
174
214
4,39
0,720
BT Sistemlerine Karşı Güven
Kaybı
Maddi Kayıp
424
3
7
25
183
206
4,37
0,733
424
2
13
34
175
200
4,32
0,786
Yasa Đhlali
424
3
10
78
171
162
4,13
0,842
Madde
Kritik Bilgilerin Kaybı
N
424
Üniversite Đtibar Zedelenmesi
Kararsızım
Katılıyorum
Katılmıyorum
Kesinlikle
Katılmıyorum
Tablo 17. Bilgi Güvenliği Sağlanamazsa Olası Etkileri Hakkında Görüşlerin Frekans Dağılımları,
Aritmetik Ortalama ve Standart Sapmaları
121
Tablo 17’ye göre maddelere verilen yanıtların ortalamaları dikkate alındığında
araştırmaya katılanlar içerisinde
üniversitede bilgi güvenliğinin sağlanamaması
durumunda olası etkileri için, verilmiş olan tüm maddelere katılım sağlandığı
görülmektedir. Sadece en sonda bulunan “yasa ihlali” maddesi dışında diğer tüm
maddelerin ortalamaları “kesinlikle katılıyorum” karşılığı olan 4.21-5 değerlerin
arasında çıkmıştır. Đlk üç sırada ise üniversiteler için en değerli varlıklardan biri olan
“kritik bilgilerin kaybı veya zarar görmesi”, “üniversite itibarının zedelenmesi” ve
“üniversiteye
güvenilirliğinin
azalması”
yer
almaktadır.
Uluslararası
yapılan
araştırmalarla da sürekli vurgulanan maddi kayıpların daha ötesinde kurumlara zarar
veren manevi kayıplar içerisinde yer alan itibar zedelenmesi ve güvenilirliğin azalması
konusunun, yapılan çalışmada ilk sıralarda yer alması anket katılımcılarının farkındalık
seviyelerinin yüksek olması ile yorumlanabilir.
Maddelere verilen yanıtların kullanıcı grubuna göre farklılaşıp farklılaşmadığına
yönelik yapılan incelemede (farkın hangi gruplarda olduğu için Tukey testi/Dunnett C
testi yapılmıştır) akademik personel ile öğrenci grubu arasında Tablo 18’de görüldüğü
gibi verilen yanıtların ortalamalarının karşılaştırılması sonucunda (0.05 seviyesinde)
anlamlı fark tespit edilmiştir.
Tablo 18. Bilgi Güvenliği Sağlanamazsa Olası Etkileri Hakkında Görüşlerin Kullanıcı Gruplarına
Göre Karşılaştırma Sonuçları
Madde
(I) Kullanıcı
(J) Kullanıcı
Ortalama
Standart
Önem
Grubu
Grubu
Farkı (I-J)
Hata
Denetimi
*
0,081
0,004
Maddi Kayıp
Akademik
Öğrenci
0,276
Kullanıcıların Zarar
Akademik
Öğrenci
0,271*
0,088
Akademik
Öğrenci
0,356*
0,091
Đdari
Öğrenci
0,534
*
0,147
Teknik
Öğrenci
0,982*
0,162
Öğrenci
*
0,079
Görmesi
Yasa Đhlali
Üniversite Hizmetlerinin
Akademik
Kesintisi
*. Fark 0.05 seviyesinde önemlidir.
0,231
122
Tablo 18’e göre özellikle, “Yasa ihlali- Yasal gerekliliklerin yerine
getirilememesi” maddesinde akademik personel ile öğrenci grupları arasındaki
ortalamalar arası farkın diğer maddelere göre arttığı görülmektedir. Aynı maddeyle
ilgili idari personel ve teknik personel ile öğrencilerin görüşleri arasında da anlamlı
(0.05) bir fark olduğu görülmektedir. Bu fark yasal mevzuatın akademik, idari ve teknik
personel tarafından bilinmesi ancak, öğrenciler tarafından henüz net olarak
bilinmemesinden kaynaklanabilir.
4.4.5.
Kullanıcı Gruplarının Bilgi Güvenliğine Yönelik Görüşleri
Araştırmada araştırmaya katılan katılımcılara bilgi güvenliğine yönelik ifadelere
katılım dereceleri sorulmuştur ve bu bölümle ilgili sorulara verilen yanıtların frekans
dağılımları, aritmetik ortalama ve standart sapmaları Tablo 19’da görülmektedir.
Aritmetik
Ortalama
17
19
91
89
312
312
4,67
4,67
0,622
0,618
424
3
5
28
180
208
4,38
0,724
424
5
20
38
120
241
4,35
0,913
424
4
19
84
178
139
4,01
0,890
424
6
33
88
161
136
3,92
0,981
424
6
41
79
177
121
3,86
0,985
424
9
53
116
138
108
3,67
1,054
424
10
51
141
133
89
3,57
1,025
424
15
63
134
139
73
3,45
1,051
424
33
87
117
90
97
3,31
1,246
SS
Kesinlikle
Katılıyorum
2
3
Kararsızım
2
1
N
424
424
Katılıyorum
Katılmıyorum
Madde
Bilgi korunması gereken kritik bir varlıktır.
Bilgi güvenliğinin sağlanması üniversite için
önemlidir.
Üniversitede bilgi güvenliğine yönelik
seminerler verilmesi faydalı olur.
Bilgi güvenliği hem teknik hem de teknik
olmayan konuları içerir.
Bilgi güvenliği için fiziksel güvenlik
önemlidir.
Güçlü (kolayca çözülemeyen) şifre seçimi
için ne yapacağımı biliyorum.
Đnternet'te PC’mdeki bilgilerin tehdit
altında olduğunu düşünüyorum.
Kötü niyetli kodlara karşı (virüs, solucan
vb.) korunmak için ne yapacağımı
biliyorum.
Bilgi güvenliğinin sağlanması için
sorumluluklarımı biliyorum.
Üniversitede BT kullanım kurallarını
biliyorum.
BT sistemlerinde bilgi güvenliği için teknik
kontroller yeterlidir.
Kesinlikle
Katılmıyorum
Tablo 19. Kullanıcı Gruplarının Bilgi Güvenliğine Yönelik Görüşlerinin Frekans Dağılımları,
Aritmetik Ortalama ve Standart Sapmaları
123
Tablo 19’a göre maddelere verilen yanıtların ortalamaları dikkate alındığında,
araştırmaya katılanlar içerisinde bilgi güvenliğine yönelik ifadelere olumsuz yanıt
verilmediği görülmektedir. Bilindiği gibi BT sistemlerinde bilgi güvenliğinin
sağlanabilmesi için sadece teknik kontroller (güvenlik donanım/yazılımlarına yatırım
yapılması, güvenlik konfigürasyon sıkılaştırmasının yapılması vb.) yeterli değildir.
Araştırma katılımcıları da sadece bu maddede “kararsızım” seçeneğine karşılık gelen
(2,61-3.40 arasında olan) değer çıkmıştır.
Maddelerin ortalamaları sıralandığında
birinci sırada yer alan “Bilgi korunması gereken kritik bir varlıktır.” ifadesi, bir önceki
bölümde (4.4.4. Bilgi Güvenliği Sağlanamazsa Olası Etkileri Hakkında Görüşler)
katılımcıların görüşleri ile ilk sırada belirttikleri
ifadeyi (Kritik Bilgilerin Kaybı)
desteklemektedir. Đkinci sırada “Bilgi güvenliğinin sağlanması üniversite için
önemlidir.” ifadesi de yine bir önceki bölümde (4.4.4. Bilgi Güvenliği Sağlanamazsa
Olası Etkileri Hakkında Görüşler) çıkan bulgularla paralel bir sonuç vermektedir. Olası
kayıplar göz önüne alındığında üniversite için bilgi güvenliğinin önemi de
anlaşılmaktadır. Üçüncü sırada yer alan ifade “bilgi güvenliğine yönelik üniversitede
seminerler verilmesinin faydalı olacağı” yönündedir. Özellikle son yıllarda üniversiteler
önderliğinde yapılmaya başlanan, bilgi güvenliğine yönelik konferansların artırılması ve
daha da önemlisi, sadece belli tarihlerde değil, üniversite paydaşlarına yıl içerisinde
katılabilecekleri farkındalık artırma seminerlerinin düzenlenmesinin de son derece
faydalı olacağı düşünülmektedir. Bulgular incelendiğinde katılım derecesinin göreceli
olarak (bölümdeki diğer maddelere nazaran) daha düşük çıkan maddeleri; kullanıcıların
(BT kullanım kuralları, bilgi güvenliği sorumlulukları, kötü niyetli kodlara karşın
korunma, güçlü şifre belirleme
gibi) bilgi güvenliğine yönelik sorumlulukları ve
yapılması gerekenleri bilip bilmediğine yönelik ifadeler olduğu görülmektedir. Bu
bulgudan ise daha fazla bilgilendirme ve farkındalığı artırmaya yönelik çalışma
yapılması gerekliliği olduğu belirtilebilir.
Maddelere verilen yanıtların kullanıcı grubuna göre farklılaşıp farklılaşmadığına
yönelik yapılan incelemede (farkın hangi gruplarda olduğu için Tukey testi/Dunnett C
testi yapılmıştır) akademik personel ile öğrenci grubu arasında Tablo 20’de görüldüğü
gibi verilen yanıtların ortalamalarının karşılaştırılması sonucunda (0.05 seviyesinde)
“bilgi güvenliğinin sağlanması üniversite için önemlidir; bilgi güvenliği hem teknik
hem de teknik olmayan konuları içerir; bilgi güvenliği için fiziksel güvenlik önemlidir.”
124
maddelerinde anlamlı bir fark tespit edilmiştir. Bu maddeler için, akademik personelin
farkındalık seviyesinin öğrencilerden daha fazla olduğu şeklinde yorumlanabilir.
Tablo 20. Bilgi Güvenliğine Yönelik Görüşlerin Kullanıcı Gruplarına Göre Karşılaştırma
Sonuçları
Madde
(I)Kullanıcı
Grubu
(J)Kullanıcı
Grubu
Bilgi güvenliğinin sağlanması
üniversite için önemlidir.
Güçlü (kolayca çözülemeyen) şifre
seçimi için ne yapacağımı biliyorum.
Akademik
Öğrenci
0,243*
0,071
Teknik
0,759*
0,844*
0,522*
1,045*
0,847*
Teknik
Akademik
Đdari
Akademik
Đdari
Öğrenci
Öğrenci
Đdari
Akademik
Đdari
Öğrenci
Đdari
Öğrenci
Đdari
Öğrenci
Đdari
0,343
1,260*
0,902*
-1,630*
0,213
0,251
0,048
0,232
0,089
0,102
0,169
0,197
0,240
0,200
0,192
0,090
0,375
0,335
0,382
Teknik
Đdari
1,338*
0,331
Teknik
Akademik
Đdari
Öğrenci
1,101*
1,305*
0,964*
0,197
0,233
0,202
Bilgi güvenliği hem teknik hem de
teknik olmayan konuları içerir.
Bilgi güvenliğinin sağlanması için
sorumluluklarımı biliyorum.
Bilgi güvenliği için fiziksel güvenlik
önemlidir.
Teknik
Akademik
Akademik
Teknik
Akademik
Teknik
BT sistemlerinde bilgi güvenliği için
teknik kontroller yeterlidir.
Üniversitede BT kullanım kurallarını
biliyorum.
Kötü niyetli kodlara karşı (virüs,
solucan vb.) korunmak için ne
yapacağımı biliyorum.
Ortalama
Farkı (I-J)
Standart
Hata
0,325*
0,643*
1,117*
1,760*
1,166*
0,701*
*
Önem
Denetimi
0,002
0,001
0,005
0,037
*. Fark 0.05 seviyesinde önemlidir.
Yine Tablo 20’de görüldüğü gibi, akademik personelin idari personelle “bilgi
güvenliği hem teknik hem de teknik olmayan konuları içerir; bilgi güvenliği için fiziksel
güvenlik önemlidir; bilgi güvenliğinin sağlanması için sorumluluklarımı biliyorum”
maddelerine ilişkin görüşlerinde de anlamlı bir farklılık tespit edilmiştir. Bu maddeler
içinde farkındalığın, akademik personelde idari personele oranla daha fazla olması söz
konusudur. Tablo 20’deki önemli bir diğer bulgu ise teknik personelin diğer tüm
gruplarla (akademik personel, idari personel ve öğrenci) “bilgi güvenliği hem teknik
hem de teknik olmayan konuları içerir; bilgi güvenliğinin sağlanması için
125
sorumluluklarımı biliyorum; kötü niyetli kodlara karşı korunmak için ne yapacağımı
biliyorum” maddelerinde görüşlerinde anlamlı bir farklılık tespit edilmiştir. Teknik
personelin bu konularda vermiş olduğu yanıtların ortalamasının yüksek olması söz
konusudur. Bu durum teknik personelin bu konudaki bilgilerinin diğer gruplara da
aktarılmasının faydalı olacağı şeklinde yorumlanabilir. Teknik personelle görüşler
arasında farkın en fazla olduğu grup idari personel grubudur. Özelikle idari personelin
bu konularda bilgilendirilmesi faydalı olacaktır. Yine Tablo 20’de görüldüğü gibi, bilgi
güvenliğinde fiziksel güvenliğin öneminin, akademik ve teknik personelde idari
personel ile öğrencilere oranla anlamlı bir farklılıkta görüş olduğu tespit edilmiştir.
Fiziksel güvenliğin öneminin akademik personel ve teknik personel tarafından daha
önemsendiği sonucu çıkartılabilir.
4.5.
Model Uygulamasında Karşılaşılan Ortak Sorunlara Yönelik
Bulgular
Model uygulaması ile ilgili bilgiler hassas verileri içerebileceğinden bu kısımda
üniversite ismi ve pilot detayları verilmeden araştırmacı tarafından tespit edilen
çıkartılan dersler, ortak sorunlar ve önerilerden bahsedilecektir.
4.5.1.
BT Birimi Personel Sayısı ve Yönetimi
Pilot uygulamanın yapıldığı BT birimlerinde personel sayısının az olması
nedeniyle sıkıntı yaşandığı belirlenmiştir. Yine bir diğer husus BT yönetimi alanında
yetişmiş personelin temininde sıkıntı yaşanmasıdır.
Personel günlük işlerin devam
ettirilmesi, sorunlara müdahale edilmesi konusunda yoğun mesai harcamaktadır.
Dolayısıyla BT sistemlerinde bilgi güvenliği konusunda kapsamlı bir çalışma için vakit
ayrılamamıştır. Bir diğer konu bilgi güvenliğinin bütünsel olarak sağlanabilmesi için
nereden başlanacağı ve hangi işlemlerin yapılacağı hakkında yeterli bilgiye sahip
olunmamasıdır. Pilot uygulamanın bu anlamda faydalı olduğu düşünülmektedir.
126
BT sistem yönetiminde süreçler işlemekle birlikte; bu süreçlerin temel kontrol
noktaları ve temel standartlar uygulanmış olmasına rağmen, bunların neler olduğu
düzenli olarak dokümante edilmemektedir. BT sistem yönetimi yanı sıra, BT sistemini
kullanan kullanıcılara yönelik kılavuz niteliğindeki dokümanların detaylandırılması
ihtiyacı bulunmaktadır.
Bir diğer konu, üniversite bünyesinde bilgi işlem birimi olarak merkezi bir birim
yanı sıra BT sistemlerini yöneten farklı birim(lerin) olmasıdır. Özellikle öğrenci işleri
ile ilgili sistemlerin BT grubu yerine, öğrenci işleri biriminin altında oluşturulmuş olan
teknik ekip tarafından yürütülmesi söz konusu olabilmektedir. BT sistemlerinde farklı
standartların uygulanmasına neden olabilecek bu uygulamaya karşın, üniversitede BT
yönetimi ve güvenliği konusunda ilke ve standartların belirlenmesi ve istisnasız her
birim tarafından uygulanması ile yaşanabilecek sorunlar aşılabilir.
4.5.2.
Dokümantasyon Eksikliği
Yapılan görüşmede doküman gereksinimlerinin bir kısmının karşılandığı, ancak
BT sistem yönetimi dokümantasyonu ile ilgili maddelerde üniversitelerde BT
kadrosunun sayıca az olması nedeniyle hazırlanamadığı tespit edilmiştir. BT
birimlerinin az sayıda kadro ile özverili bir çalışma yaptıkları aşikârdır. Ancak,
dokümantasyonun olması personele bağımlılığı azaltacak ve yeni bir personel işe
alındığında hızlı adaptasyonunu sağlayacaktır. Öte yandan bazı temel dokümanlar
(politikalar ve standartlar, risk analizi, kritiklik sıralaması, acil durum planları, çeşitli
envanterler, kontrol listeleri vb.) süreçlerin işletilmesinde, süreçlerin ve önceliklerin
belirlenmesinde, çalışmaların planlanmasında son derece önem taşıyacaktır. Bir süre
sonra gerçekleştirilen dokümantasyonun vakit kaybı olması yerine işleri hızlandırdığı
fark edilecektir. Ortak hedeflerin olması ve standartların herkes tarafından
uygulanabilmesi için dokümantasyon olması şarttır.
Önemli olan bir noktadan başlanmasıdır. Mükemmelin hedeflenmesi doğru
olmayacaktır. Bu sebeple temel taşlarından biri olan “aşamalı iyileştirme” hedefi ile
127
çalışmalara başlanılıp, sonrasında dokümanların daha da detaylandırılması yoluna
gidilmelidir.
4.5.3.
Bilgi Güvenliğine Yönelik Farkındalık Çalışmaları
Bilgi güvenliği farkındalığının sağlanabilmesi için özellikle BT sistemlerinde
virüslerden korunma, BT sistemlerini kullanım kuralları gibi dokümanlar oluşturulmuş
ve yayınlanmıştır. Fakat bu dokümanlarda muğlâk ifadeler yer almaktadır. Örneğin BT
kullanım kuralları içerisinde “kullanıcının güvenliği sağlaması gerektiği” belirtilirken
bunu nasıl yapabileceği konusunda yeterli bilgi bulunmamaktadır. Bunun yanı sıra bilgi
güvenliği konusunda periyodik olarak etkileşimli bir ortamda seminer verilmesi gibi
uygulamalar yapılmamaktadır. Üniversitelerin önderliğinde katılımcı diğer kurumlarla
birlikte yapılan akademik seminerlerin yanı sıra gerçek hayatta sıkça karşılaşılabilecek
sorunlar ve çözümlerine yönelik periyodik tekrarlayan ve bir süreç dahilinde biraz daha
detaylandırılarak farklı seviyelerde eğitim programları düzenlenmelidir.
Oluşturulacak sistem kapsamında kullanıcı gruplarına farkındalık seminerlerinin
başlangıçta gönüllü olarak verilmesi, ancak ilerleyen dönemlerde bu seminerlerin
zorunlu hale getirtilmesi hem kaliteyi hem de kullanıcıların bilgi güvenliğine vereceği
desteği artıracaktır.
Bununla birlikte pilot çalışma kapsamında gerçekleştirilen ankete benzer
anketler yapılarak kullanıcıların görüşleri ve ihtiyaçlarının tespit edilmesi, bununla
birlikte pilot aşamada yapılan risk analizinin takip edilerek sorunların kayıt altına
alındıktan sonra istatistikî olarak incelenmesi ve raporlar şeklinde yayınlanması da
farkındalığı destekleyecektir.
Pilot çalışmada gerçekleştirilen anket çalışmaya katılan kişilerin üniversitede
bilgi güvenliğine yönelik seminerler verilmesi konusuna yüksek derecede katılım
sağladıkları tespit edilmiştir. Bu yöndeki talebin karşılanması gerekmektedir.
128
4.5.4.
Kapsamlı Bir Bilgi Güvenlik Yönetim Sistemi
Üniversitelerde kapsamlı bir BGYS çalışması bulunmamaktadır. Bilgi
güvenliğine
yönelik
çalışmalar
yapılmakla
birlikte
sistematik
bir
şekilde
sürdürülemediği belirlenmiştir. Bunun nedenlerinin;
•
Üniversitelerde öncelikli konular arasında henüz yer almaması;
•
Bilgi güvenliğinin ülkemizde henüz yeni sayılabilecek bir kavram olması ve
özellikle son yıllarda önem kazanmaya başlaması nedeniyle, pek çok kurumda
bu alanda çalışmaların yeni başlatılması;
•
Bilgi güvenlik yönetim sistemi oluşturulması için nereden başlanılacağı ve ne
yapılacağını adresleyen kullanılabilir ve anlaşılabilir dokümanların azlığı;
•
Bilgi güvenliğinin pek çok alanı kapsaması, özellikle BT sistemlerinde bilgi
güvenliği konusunda kişilerin yetiştirilmesi ihtiyacının olması;
•
Üniversitelerde BT sistemlerini yöneten kadro sayısının azlığı ve yetişmiş
personel bulma sıkıntısı;
•
BT sistemlerinin yönetiminin birden fazla birimde olması;
•
Uygulamaların dokümante edilmesinde eksiklikler olması;
•
BGYS oluşturulması için kaynak sıkıntısı,
olduğu düşünülmektedir.
Etkili bir çalışma için üst yönetimin bilgi güvenliği ile ilgili çalışmanın önemi ve
bu çalışmanın gerekliliği konusunda destek olması şarttır. Güvenlik stratejik
planlamalarda da yer almalıdır. BGYS oluşturulmasında önemli olan kapsamı
belirleyerek aşamalı bir şekilde sürekli iyileştirmeyi hedeflemektir. Yeteri kadar
güvenlik hedeflenmelidir.
ÖBGYS modelinde belirtildiği gibi, insan unsuru temel alınarak işe başlanmalı
ve farkındalık yaratılarak sistemin oluşturulması ve kültür olarak kabul edilmesi
129
sağlanmalıdır. Üniversitelerde bu çalışmaların başlatılması durumunda mutlaka birden
fazla birimden oluşan bir komite teşkil edilmeli ve bu komite gözetimi ve desteğinde
çalışmalar yürütülmelidir. Komitenin sekretarya görevi tercihen BT sistem yönetimi
biriminde olabilir. Bunun nedeni bilgi güvenliğinin önemli bir kısmının teknolojinin
hayatımızda yaygın olarak kullanılmaya başlaması ile birlikte, BT sistemlerine bağımlı
olmasıdır. Sekretarya her ne kadar BT sistem yönetim biriminde olsa da, çalışmalarda
diğer birimlerin de katkısı şart olacaktır.
Sistem oluşturulduktan sonra aşamalı olarak güvenlik kontrolleri artırılmalıdır.
Örneğin üniversite e-posta şifreleri 4 karakterden oluşuyorsa, bir anda 8 karakter
uzunluğunda olması hedeflenmemelidir. Bu tutum hem insanların tepkisine neden
olabilir, hem de yeni uygulamaya adaptasyon sürecinde sorunlara sebebiyet verebilir.
Bilgi güvenliği farkındalığı için yapılan çalışmalar bir sonraki aşamada zorunlu seminer
haline
getirilmelidir.
ÖBGYS
oluşturulmasında
mümkün
olduğunca
süreçler
otomatikleştirilmeli ve manuel müdahale azaltılmalıdır. Oluşturulan sistemin sürekli
izlenebilmesi ve iyileştirme noktalarının ve iyileştirme sürecinin tespiti için tespit
edilmiş olan süreç göstergeleri ile ilgili ölçümler alınmalı ve bunlar raporlanmalıdır. Bu
raporlama hem üst yönetimin desteğinin devamına hem de sürecin asıl yapı taşı olan
insanların güveni ve katkısı yönünde geri dönüş sağlayacaktır.
ÖBGYS Model uygulamasında, ÖBGYS süreçlerinin birden fazla kez
uygulanması ile (aşamalı iyileştirme) hedeflere ulaşım ve sistemin başarısı için, üst
düzeydeki süreç döngüleri devam ederken dikkat edilmesi gereken kritik noktalar ve
ipuçları Şekil 16’da gösterilmiştir.
130
Şekil 16. ÖBGYS Modeli Đpuçları
Unutulmaması gereken bir diğer nokta güvenliğin sürekli devam eden bir süreç
olduğudur. Teknoloji ve ihtiyaçlar değiştikçe oluşturulan ÖBGYS’nin de değiştirilmesi
değişen koşullara uyum sağlanması gerekecektir. Benzer şekilde BT sistemlerinde de
güvenliği sağlamak için de bir durak noktası yoktur. Bugün mevcut teknolojik
imkânlarla güvenliği sağlanan bir sistemin bir süre sonra yeni çıkan tehditler ve
zafiyetler karşısında korumasız kalması ve tekrar yatırım yapılması söz konusu olabilir.
BT sistemini yöneten personelin de bu anlamda teknolojiyi yakından takip etmesi ve
bilgi birikimini sürekli güncel tutması gerekecektir.
BÖLÜM V
5.
SONUÇ ve ÖNERĐLER
Bu bölümde araştırmadan edinilen bulgular ışığında ulaşılan sonuçlara ve bu
sonuçlara dayalı olarak geliştirilen önerilere yer verilmektedir.
5.1. Sonuç
Bu araştırmada, üniversitelerde bilgi güvenliğinin sağlanabilmesi için insan ve
eğitim faktörlerinin vurgulandığı bir BGYS modeli tasarlanması, tasarlanan modelin
üniversitelerde uygulanarak revize edilmesi ve bir yol haritası oluşturulması amacıyla
yapılan çalışmalar kapsamında; araştırmanın amaçlarına göre sıralanmış sonuçlar aşağıda
sunulmuştur:
•
Bilgi güvenliği alanında pek çok farklı standart ve çalışmanın olmasının
nedeni farklı ihtiyaçlar ve farklı alanlar için tasarlanmış olmalarıdır. Ancak
yapılan incelemede, bu dokümanlarda bilgi güvenliğine yönelik benzer
konuların olduğu ve bazı kriterlerin tekrarladığı tespit edilmiştir. Bilgi
güvenliğinin sağlanabilmesi için; bütünsel bir yaklaşımla farklı alan ve
süreçlerde güvenlik kontrollerini içeren, sürekli iyileştirilen bir sisteme ihtiyaç
duyulmaktadır. Bu sistemde, uygulanacak güvenlik kontrolleri yanında insan
ve eğitim unsurları da yer almaktadır. Bilgi güvenliğinin sağlanması için
sadece teknoloji kullanımı veya tek bir kaynak ve tek bir doküman yeterli
olmayacaktır.
•
Araştırma ile oluşturulan ÖBGYS model bileşenleri bilgi ve insan, süreç ve
hizmetler, fiziksel ve çevresel ortam, teknoloji olarak belirlenmiştir. Bilgi
133
güvenliğinin sağlanabilmesi için bu bileşenlerin tamamının dikkate alınması
gerekmektedir.
•
ÖBGYS modelinin süreç adımları oluşturulurken standart ve kılavuz
dokümanlarındaki süreçler dikkate alınmıştır. Analiz, tasarım, tasarımı
geliştirme,
uygulama
ve
değerlendirme
başlıklarından
oluşan
süreç
modelinde; ilk aşamadan itibaren ÖBGYS model bileşenleri ve bu
bileşenlerden özellikle insan ve eğitim unsurlarının dikkate alınması
gerekmektedir.
•
Yapılan araştırmada seçilen üniversitelerde bilgi ve iletişim teknolojilerinin
yaygın olarak hemen her süreçte, özellikle de üniversitelerin ana faaliyet
alanları diyebileceğimiz alanlarda (öğrenci işleri, araştırma, kütüphane
hizmetleri, iletişim, tanınırlık ve müfredat yönetimi vb.) kullanıldığı,
dolayısıyla BT sistemlerine bağımlılığın olduğu tespit edilmiştir. Bu ise
üniversitelerde özellikle BT sistemlerinde, bilgi güvenliğinin sağlanması
gerekliliğinin yanı sıra, süreç ve hizmetlerin aksamadan yürütülmesi için BT
sistemlerinde
kesintilerin
minimumda
tutulması
gerekliliğini
ortaya
çıkartmaktadır.
•
Araştırmada bilgi güvenliğine yönelik yaşanabilecek sorunlar hakkında; en
fazla “BT sistemlerinde kesinti olması”, ikinci sırada “istemdışı e-posta
gelmesi”, üçüncü sırada “sistemlere zararlı kod bulaşması” sorunlarıyla
karşılaşılabileceğini göstermektedir. Bu bulgular yurt dışında yapılan benzer
araştırmalarla
paralellik
göstermektedir.
Ayrıca;
bilgi
güvenliğinin
erişilebilirlik unsurunun, özellikle üniversiteler için, gizlilik unsurundan daha
fazla önemsendiğini desteklemektedir.
•
Araştırmada üniversitelerde bilgi güvenliğinin önemi ve gerekliliği konusunda
farkındalığın son derece yüksek olduğu; bilginin korunması gereken kritik bir
varlık olduğu ve bilgi güvenliğinin sağlanmasının üniversite için önemli
olduğu; bilgi güvenliği sağlanamazsa maddi ve manevi kayıplar (çoğu kez
maddi zararlardan daha fazla etkisi olan, üniversite itibarının zedelenmesi ve
üniversiteye güvenilirliğinin azalması vb.) yaşanacağı
konusunda yüksek
derecede katılım ve görüş birliği bulunduğu tespit edilmiştir. Bilgi
güvenliğinin önemi ve gerekliliği konusunda farkındalık seviyesinin yüksek
134
olması son derece olumlu bir sonuç olmakla birlikte; üniversitede bilgi
güvenliği için sorumluluklar konusunda ve bilgi güvenliğinin sağlanabilmesi
için yapılması gerekenler hakkında yeterli bilgiye sahip olunmadığı ve bu
eksikliği giderebilmek için üniversitelerde daha fazla çalışma yapılması,
eğitimin ve farkındalığın pekiştirilmesi gerekliliği de tespit edilmiştir.
Araştırmaya katılan kişilerde, bilgi güvenliğine yönelik seminerler yapılması
gerektiği konusunda yüksek derecede katılım olması böyle bir ihtiyacın
bulunduğunun tespit edilmesi açısından önemlidir.
•
Kullanıcı gruplarının bilgi güvenliği konusundaki görüşlerinde bazı
maddelerde anlamlı farklılılar olduğu tespit edilmiştir. Bu ise, ÖBGYS
modelinin temel bileşeni olarak insan unsurunun alınması ve ÖBGYS’nin
uygulaması aşamasında kullanıcı gruplarının belirlenerek bu gruplar için ayrı
öğrenme hedefleri ve farkındalık çalışmaları yapılması gerekliliğini
desteklemektedir.
•
Yapılan pilot uygulamada, bilgi işlem birimleri tarafından bilgi güvenliğine
yönelik çeşitli çalışmalar yapıldığı, sistemlerde güvenlik kontrollerinin
uygulandığı, kullanıcılara yönelik bilgilendirici nitelikte bazı dokümanlar
hazırlandığı tespit edilmiştir, ancak üniversitelerde kapsamlı bir bilgi güvenlik
yönetim sistemi oluşturulmasına yönelik çalışmanın henüz yapılmadığı
sonucuna ulaşılmıştır. Bilgi işlem birimlerinin personel sıkıntısı nedeniyle
dokümantasyon hazırlanması konusunda da zorluk çektiği tespit edilmiştir.
Yine
bilgi
güvenlik
farkındalığına
yönelik
periyodik
çalışmaların
yapılamadığı tespit edilmiştir. Sınırlı kaynaklarla ve sadece tek bir birimin
sorumluluğunda bilgi güvenliğinin sağlanması mümkün değildir. Tüm
birimlerin ve kullanıcıların katılımı ve katkısı gerekmektedir.
135
5.2. Öneriler
Araştırma bulgularından edinilen sonuçlarla ilgili geliştirilen öneriler, aşağıda
uygulama ve araştırmaya yönelik öneriler olmak üzere iki başlıkta sunulmuştur:
Uygulamaya Đlişkin Öneriler:
•
Bilgi güvenliğinin sağlanması için sadece teknoloji kullanımı veya tek bir
kaynak ve tek bir doküman yeterli olmayacaktır. Farklı standart ve
kılavuzlardaki ortak noktalar dikkate alınarak, odak noktası insan unsuru olan
bir sistem tasarlanmalı ve uygulanmalıdır.
•
Üniversitelerde BT sistemlerine bağımlılığın olması nedeniyle, özellikle BT
sistemlerinde bilgi güvenliği temin edilmeli; bunun yanı sıra, süreç ve
hizmetlerin aksamadan yürütülmesi için BT sistemlerindeki kesintiler
minimumda tutulmalıdır. Bunu sağlamak için, BT sistemlerinde kesintisiz
hizmeti daha yüksek seviyede garanti edecek çözümler (yedekli, merkezi ve
sürekli izlenen bir yapı) hayata geçirilmeli, BT sistemlerine daha fazla kaynak
ayrılmalıdır. Ek olarak bilgi güvenliğinin daha etkili sağlanabilmesi için; BT
birimlerinde çalışan personel sayısı artırılmalı, bu personel teknik eğitimlerle,
özellikle bilgi güvenliği konusundaki eğitimlerle desteklenmeli, bilgi
güvenliği konusunda bilgi ve becerisini sürekli güncel tutmalıdır.
•
Araştırma ile oluşturulan ÖBGYS modelin bileşenleri/alt boyutları, model
uygulanması için süreç adımları ve sürekli iyileştirme kapsamında ÖBGYS
modeli sürecinin sürekli döngü olarak işletilmesi aşamasında, dikkate
alınması gereken ipuçları/kritik olan hususlar Şekil 17’de özetlenmiştir. Şekil
17’de içteki alan ÖBGYS model bileşenlerini (“bilgi ve insan”, “süreç ve
hizmetler”, “teknoloji” ve “fiziksel ve çevresel ortam”) göstermektedir ve
modelde bilgi ve insan unsuru odak noktası olmalıdır. Bilgi güvenliğinin
sağlanabilmesi için bu bileşenlerin tamamı dikkate alınmalıdır. Sadece
teknolojide kontrollerin tasarlanması veya sadece süreçlerde kontrollerin
tasarlanması yeterli olmayacaktır. ÖBGYS süreçleri (“analiz”, “tasarım”,
136
“tasarımı geliştirme”, “uygulama” ve son olarak “değerlendirme iyileştirme”)
işletilirken, ilk adımından itibaren güvenlikteki en zayıf halka olarak
nitelendirilen insan unsurunun temel alınıp; kullanıcı gruplarının ve öğrenme
hedeflerinin tespiti ile bu unsuru güçlendirmeye yönelik bir süreç işletilmesi
hedeflenmelidir. ÖBGYS modelinin süreç adımlarında, her bir adımda önceki
adımlara geri besleme yapılmalı ve düzeltici faliyetler bekletilmeden
uygulanmalıdır. Böylelikle hızlı ve etkili bir şekilde ilerlenebilecektir.
ÖBGYS modelinde uygulanabilir hedefler belirlenmeli ve bir anda çok sıkı
güvenlik kontrolleri uygulamaya alınmamalıdır. Kritik olan husus kapsamı
belirleyerek aşamalı bir şekilde sürekli iyileştirmeyi hedeflemektir. Modelin
etkili bir şekilde uygulanması için üst yönetimin desteğiyle, farklı birimlerden
temsilcilerinin olduğu bir komite oluşturulmalıdır. Güvenlik stratejik
planlamalarda da yer almalıdır.
Şekil 17. ÖBGYS Modeli Bileşenleri, Süreç Adımları ve Đpuçları
137
•
Yukarıda Şekil 17’de en dışta yer alan kısım; modelin etkili olarak
uygulanmasında sürekli iyileştirme ilkesi ile tekrarlayan süreç adımları için
kritik noktaları ve başarı için ipuçlarını belirtmektedir. Öncelikle “yönetimin
desteği” alınmalı; çalışmada “bilgi ve insan grupları ve öğrenme hedefleri”
belirlenmeli ve temel alınmalı, farklı gruplar için farklı materyaller
geliştirilmeli; “dokümantasyon” ilk aşamada mükemmelliği hedeflemeden,
aşamalı iyileştirme ilkesi ile hazırlanmalı ve yayımlanmalı; ÖBGYS için
“farkındalık yaratma”’ya yönelik çalışmalara ağırlık verilmeli, bu çalışmalar
yapılırken bilgi güvenliği için sorumluluklar ve nelerin yapılabileceği
konusunda sağlam temellerin oluşturulması hedeflenmeli; “aşamalı olarak
güvenlik kontrollerini devreye alınması” ile gerçekçi ve kullanıcıları
zorlamayacak hedeflerle güvenlik adım adım iyileştirilmeli, böylelikle
insanların desteğini artırıp tepkisini azaltacak bir yaklaşım benimsenmeli;
farkındalığı artırmaya yönelik hazırlanan seminerler bir süre sonra “zorunlu
eğitim” haline getirilerek daha geniş kitlelere ulaşılmalı; süreçlerde “mümkün
olduğunca otomatizasyon”a geçilmeli böylelikle hem hız kazanılması hem de
güvenlik kontrollerinin güçlendirilmesi imkânı sağlanmalı; son olarak ise
uygulanan BGYS’nin sürekli iyileştirilmesi kapsamında “süreç performans
göstergelerinin analizi ve sunulması” ile sürecin işleyişine yönelik kayıtlar
analiz edilerek raporlamalar yapılmalı, böylelikle
hem farkındalığın
pekiştirilmesi hem de güvenlik iyileştirilmesi için kaynak ihtiyacı ve ek
iyileştirmelerin gerekçelendirilmesi sağlanmalı
devamlılığı temin edilmelidir.
ve “yönetimin desteği”nin
138
Araştırmaya Đlişkin Öneriler:
•
Araştırma kapsamında uygulanan anket bilgi güvenliğine yönelik görüşlerin
toplanması amacıyla tüm üniversitelerde uygulanabilir. Böylelikle Türkiye
genelindeki durum tespit edilebilir.
•
Model pilot uygulaması yapılan üniversitelerde, tüm model adımları
tamamlandıktan ve süreç adımları tekrar uygulandıktan
sonra kaydedilen
gelişmeler incelenebilir.
•
Bilgi güvenlik kültürünün geliştirilmesi için neler yapılabileceği araştırılabilir.
•
Üniversitelerde yönetim düzeyindekilerin, bilgi güvenliğini nasıl algıladıkları
araştırılabilir.
139
KAYNAKÇA
AKTAŞ, Z. (2003). Türkiye’de Bilgi Toplumuna Nasıl Erişiriz?. Ankara: Türkiye
Bilimler Akademisi, TUBĐTAK Matbaası.
ALAGEEL, S. N. (2003). Development of An Information Security Awareness
Training Program for The Royal Saudi Naval Forces (RSNF). Unpublished
Master’s
Thesis,
Naval
Postgraduate
School
Monterey,
http://cisr.nps.navy.mil/downloads/theses/03thesis_alageel.pdf
CA.
Web:
adresinden
30
Nisan 2005’de alınmıştır.
ALKAN, C. (2005). Eğitim Teknolojisi. Ankara: Anı Yayıncılık, Erdem Matbaası.
ANDERSON, R. (2001). Security Engineering. UK: John Wiley and Sons.
BAILEY, C. F. (2003). Analysis of Security Solutions In Large Enterprises,
Unpublished Master’s Thesis, Naval Postgraduate School Monterey, CA. Web:
http://www.nps.navy.mil/cs/thesis2.asp?id=5 adresinden 30 Nisan 2005’de
alınmıştır.
BLACKLEY, B., MCDERMOTT, E. ve GEER, D. (2001). Information Security is
Information Risk Management. Proceedings New Security Paradigms
Workshop 2001, 97-104. New York:The Association for Computing Machinery
press.
BROSTOFF, S. ve SASSE, M. A. (2001). Safe and Sound: A Safety-Critical Approach
to Security. Proceedings New Security Paradigms Workshop, 41-47. New
York:The
Association
for
Computing
http://citeseer.ist.psu.edu/brostoff01safe.html
Machinery
press.
Web:
adresinden 3 Şubat 2004’de
alınmıştır.
CAN, N. (2002). Değişim Sürecinde Eğitim Yönetimi. Milli Eğitim Dergisi. No:155156. Web: http://yayim.meb.gov.tr/dergiler/155-156/can.htm adresinden 4 Mart
2005’de alınmıştır.
ÇAKAR,
H.
(2005).
Bilgisayar
Ağ
Güvenliği
ve
Güvenlik
Duvarları,
Yayımlanmamış Yüksek Lisans Tezi, Fırat Üniversitesi, Fen Bilimleri Enstitüsü.
140
CHENG, Y. C. (2002). New Paradigm of Borderless Education: Challenges, Strategies
and
Implications
for
Effective
Education
Through
Localization
and
Internalization. Invited keynote speech presented at The International
Conference on Learning and Teaching with the theme “Challenge of
Learning and teaching in a Brave New World: Issues and Opportunities in
Borderless Education”. Thailand: Hatyai. Web:http://www.ied.edu.hk/cird/doc/
speeches/14-16oct02.pdf adresinden 3 Şubat 2004’de alınmıştır.
ÇETĐN, S. (2004). Değişen Değerler ve Eğitim. Milli Egitim Dergisi. No:161. Web:
http://yayim.meb.gov.tr/dergiler/161/cetin.htm adresinden 4 Mart 2005’de
alınmıştır.
DICK, W., CAREY, L. (1996). The systematic design of instruction (4th ed.). New
York: Harper Collins.
DODGE, A. (2008). Educational Security Incidents (ESI) Year In Review-2007.
Web:http://www.adamdodge.com/esi/files/Educational Security Incidents Year
in Review - 2007.pdf adresinden 20 Kasım 2008’de alınmıştır.
DRUCKER, P. F.,(1994). Kapitalist Ötesi Toplum.,Cev: B. Corakcı. Đstanbul: Đnkılap
Kitabevi.
EDUCAUSE (2006). Web: http://www.educause.edu/ adresinden Aralık 2006’da
alınmıştır.
EGE, Đ. ve SEZER, S. (2003). Bilgi Teknolojileri Kullanma Đle Akademik Verimlilik
Đlişkisi: Erciyes Üniversitesi Örneği. II. Ulusal Bilgi, Ekonomi ve Yönetim
Kongresi. Derbent, Đzmir: Beta Yayım Dağıtım A.Ş., Đstanbul.:322. Web:
http://www.bilgiyonetimi.org/cm/pages/mkl_gos.php?nt=233
adresinden
10
Şubat 2005’de alınmıştır.
ELLIOT, R., YOUNG, M. O., COLLĐNS, V. D., FRAWLEY D. ve TEMARES, M. L.
(1991). Information Security in Higher Education. CAUSE The Association for
the Management of Information Technology in Higher Education,
Professional
Paper
Series,
#5.
Web:http://
www.educause.edu/ir/library/pdf/PUB3005.pdf adresinden 2 Eylül 2005’de
alınmıştır.
141
ERAYDIN, A.(2002). Bilgi Toplumuna Geçiş. Ankara: Türkiye Bilimler Akademisi
Yayınları.
ERKAN, A. (2006). An Automated Tool for Information Security Management
Model, Unpublished Master’s Thesis, The Middle East Tehnical University, The
Graduate School of Informatics.
ERSOY, A. F. ve ACARTÜRK, C. (2006). Uluslararası Çevrimiçi Yüksek Öğretim ve
Türkiye'nin Durumu: Üniversite Bilgi Đşlemlerine Öneriler. 8. Akademik
Bilişim
Konferansı.
Denizli:
Pamukkale
Üniversitesi.
Web:
http://www.metu.edu.tr/~acengiz/ adresinden 7 Mart 2007’de alınmıştır.
GAGNE, R. M., BRIGGS, L. J., ve WAGNER, W. W. (1992). Principles of
Instructional Design (4th ed.). New York: Harcourt Brace Jovanovich College
Publishers.
GARTNER (2006). Gartner Datapro Research New Gartner Hype Cycle Highlights
Five High Impact IT Security Risks. Gartner IT Security Summit. London.
GARTNER, ZASTROCKY, M. BITTINGER, S. YANOSKY, R. (2001) Improving
Higher Education IT Security in 2002.
GIBBONS, M. (1998). Higher Education Relevance in the 21st Century. Paper
presented at UNESCO World Conference on Higher Education. Paris. Web:
http://www.worldbank.org/afr/teia/HE%20Relevance%20Gibbons.pdf
adresinden 2 Eylül 2005’de alınmıştır.
GONZALES, J. J. ve SAWICKA, A.(2002). A Framework for Human Factors in
Information Security. Presented at the 2002 WSEAS Int. Conf. On
Information Security. Rio de Janerio. Web: http://ikt.hia.no/josejg/ adresinden
2 Eylül 2005’de alınmıştır.
GÖKÇEN, H. (2002).Yönetim Bilgi Sistemleri. Ankara: Epi Yayıncılık.
GUREDĐN, E.(1994). Denetim. Đstanbul: Beta Yayınları.
GÜREL, Z. (1995). Özerk Üniversite ve Vakıflar. Mülkiyeliler Birliği Dergisi, Cilt:19,
Sayı:181, 47-48.
142
GÜROL, M. (2002). Web Tabanlı Öğrenme Çevrelerinin Tasarımı. Açık ve Uzaktan
Eğitim Sempozyumu 23-25 Mayıs 2002. Web: http://aof20.anadolu.edu.tr/
bildiriler/Mehmet_Gurol.doc adresinden 3 Şubat 2004’de alınmıştır.
HANÇERLĐOĞLU, O. (1992).Türk Dili Sözlüğü: 200.
HONG, L.(2006). Instructional Project Management: An Emerging Professional
Practice
for
Design
and
Training
Programs.
Workforce
Education
Forum.Volume 33, No.2. Web: http://voc.ed.psu.edu/projects/publications/
books/ Fall2006/ WEF_fall2006.1.html adresinden 7 Mart 2007’de alınmıştır.
HOWELL, S. L., WILLIAMS, P. B. ve LINDSAY, N. K. (2003). Thirty-two Trends
Affecting Distance Education. Online Journal of Distance Learning
Administration,
6(3).
2–16.
Web:
http://www.emich.edu/cfid/PDFs/
32Trends.pdf adresinden 3 Şubat 2004’de alınmıştır.
ISTE
(2006).
The
National
Educational
Technology
Standards.
Web:
http://www.iste.org/standards adresinden 7 Mart 2007’de alınmıştır
KARADAL, H., KAZAN, H. ve UYGUN, M. (2002). Bilişim Teknolojilerine Geçiş
Sürecince Küçük ve Orta Ölçekli Sanayi Đşletmelerinin Temel Üretim ve
Yönetim Sorunları: Aksaray Örneği. Web: http://www.emu.edu.tr/smeconf/
turkcepdf/bildiri_43.pdf adresinden 3 Şubat 2004’de alınmıştır.
KARAHAN,
M.
(2003).
Eğitimde
Bilgi
Teknolojileri.
Web:
http://web.inonu.edu.tr/~mkarahan/ adresinden 3 Şubat 2004’de alınmıştır.
KEMP, J., MORRĐSON, G., ve ROSS, S. (1998). Designing Effective Instruction
(2nd ed.). New York: Merrill.
LUKER, M. ve PETERSEN R. (2003). Computer and Network Security in Higher
Education.
Publications
from
the
EDUCAUSE
Office.
Web:
http://www.educause.edu/ adresinden 3 Şubat 2004’de alınmıştır.
MAKINEN, K. (2005). STRATEGIC SECURITY A Constructivist Investigation of
Critical Security and Strategic Organisational Learning Issues: Towards a
Theory of Security Development, Unpublished Doctoral Thesis, FINNISH
NATIONAL DEFENCE COLLEGE Department of Education. Research Centre
for Action Competence, Identity, and Ethics ACIE. Web:http://www.defmin.fi/
143
chapter_images/3021_3011_Kalevi_MAkinen_Strategic_Security.pdf
adresinden 15 Nisan 2006’da alınmıştır.
MCCANN, D., CHRISTMASS, J., NICHOLSON, P. ve STUPARICH, J. (1998).
Educational Technology in Higher Education. Web: http://www.dest.gov.au/
archive/highered/occpaper/edtech.pdf adresinden 3 Şubat 2004’de alınmıştır.
NAISBITT, J. ve ABURDENE, P. (1990). Megatrend 2000 (Büyük Yönelimler).
Đstanbul: Form Yayınları.
NCES (2006). Safeguarding Your Technology, Practical Guideline For Electronic
Education
Information
Security.
Web:
http://nces.ed.gov/pubs98/safetech/index.asp. adresinden 15 Nisan 2006’da
alınmıştır.
NĐŞANCI, M. (2005). Yüksek Öğretimde E-Öğrenme: Çevrimiçi Egitim Vermek
Đsteyen Türk Üniversiteleri Đçin Bir Yol Haritası, Yayımlanmamış Doktora
Tezi, Orta Doğu Teknik Üniversitesi, Bilgisayar Eğitimi ve Öğretim
Teknolojileri
Bölümü.
Web:
http://etd.lib.metu.edu.tr/upload/
12606254/index.pdf adresinden 10 Mart 2006’da alınmıştır.
ODTÜ – BĐDB. (2006). BĐDB Hakkında Misyon. Web:http://www.bidb.odtu.edu.tr/
index.php?go=about&sub=mission adresinden 15 Nisan 2006’da alınmıştır.
ORTAŞ, Đ. (2004). Üniversite Özerkliği Nedir?. Üniversite ve Toplum Dergisi, Cilt: 4,
Sayı:1. Web: http://www.universite-toplum.org/text.php3?id=179 adresinden 03
Mart 2004’de alınmıştır.
ÖĞÜT, P. (2006). Küreselleşen Dünyada Bilgi Güvenliğine Yönelik Politikalar:
Sayısal Đmza Teknolojisi ve Türkiye, Yayımlanmamış Yüksek Lisans Tezi,
Ankara Üniversitesi, Sosyal Bilimler Enstitüsü.
ÖZKAN,Ö.
(2004).
Veri
Güvenliğinde
Saldırı
ve
Savunma
Yöntemleri,
Yayımlanmamış Yüksek Lisans Tezi, Süleyman Demirel Üniversitesi, Fen
Bilimleri Enstitüsü.
ÖZKUL E., GĐRGĐNER N. (2001). Uzaktan Eğitimde Teknoloji ve Etkinlik. I.
Uluslararası Eğitim Teknolojileri Sempozyumu, Sakarya Üniversitesi, 2830 Kasım 2001. Sakarya. Web: http://www.genbilim.com/content/view/
4979/39/ adresinden 3 Mart 2004’de alınmıştır.
144
POULSEN, K. (2000). Mitnick to Lawmakers: People, Phones and Weakest Links.
Web: http://www.politechbot.com/p-00969.html. adresinden 3 Mart 2004’de
alınmıştır.
RUSSELL, B. (Çev.Nail Bezel). (2001). Eğitim Üzerine (Beşinci baskı). Đstanbul: Say
Yayınları.
SASSE, M. A., BROSTOFF S. ve WEIRICH D. (2001). Transforming the ‘Weakest
Link’ — a Human/Computer Interaction Approach to Usable and Effective
Security.
BT
Technology
Journal,
http://www.cs.ucl.ac.uk/staff/A.Sasse/ttw.pdf
19(3),
adresinden
122-131.
3
Web:
Mart
2004’de
alınmıştır.
SCHEINER, B. (2000). Secrets and Lies. New York: John Wiley & Sons, Inc.
SMITH P. L. ve RAGAN, T. J. (1999). Instructional Design (2nd ed). New York:
Wiley & Sons, Inc.
ŞĐMŞEK, Ş. (2002).Yönetim ve Organizasyon. Konya: Günay Ofset.
TANDOĞAN, M., ÖZER, B., AKKOYUNLU B., KAYA, Z., ODABAŞI F.,
DERYAKULU, D., ĐMER G. (1998). Çağdaş Eğitimde Yeni Teknolojiler.
T.C.
Anadolu
Üniversitesi
Yayınları
http://www.aof.edu.tr/kitap/IOLTP/1265/unite01.pdf
No:1021.
adresinden
Web:
2
Şubat
2004’de alınmıştır.
TC Devlet Teşkilatı Rehberi. (1998). Ankara: TODAĐE Yayını.
TDK (Türk Dil Kurumu). (2009). Büyük Türkçe Sözlük. Web:http://www.tdk.gov.tr/
adresinden 2 Ocak 2009‘da alınmıştır.
TONTA, Y. (1999). Bilgi Toplumu ve Bilgi Teknolojisi. Türk Kütüphaneciliği,
13.(4).
363-375.
Ankara.
Web:http://yunus.hun.edu.tr/~tonta/yayinlar/
biltop99a.htm adresinden 2 Şubat 2004’de alınmıştır.
TOSUN,
N.
(2006).
Bilgisayar
Destekli
ve
Bilgisayar
Temelli
Öğretim
Yöntemlerinin, Öğrencilerin Bilgisayar Dersi Başarısı ve Bilgisayar
Kullanım Tutumlarına Etkisi: “Trakya Üniversitesi Eğitim Fakültesi
Örneği”, Yayımlanmamış Doktora Tezi, Trakya Üniversitesi, Fen Bilimleri
Enstitüsü, Bilgisayar Mühendisliği Ana Bilim Dalı.
145
TSĐCHRĐTZĐS, D. (1999). Reengineering The University. Communications of the
ACM,
42
(6):
93-100.
Web:
http://www.ii.uni.wroc.pl/~psw/wayback/
www.sejm.gov.pl/wydarzenia/edukacja/denis.pdf adresinden 2 Şubat 2004’de
alınmıştır.
TUBĐTAK (2002). Bilgi Toplumu Politikaları Üzerine Bir Değerlendirme. Ankara.
Web:http://www.bilten.metu.edu.tr/Web_2002_v1/tr/docs/dunya_bilgi_toplumu
_zirvesi/TUBITAK-Bilgi Toplumu Politikalari Degerlendirmesi.pdf adresinden
3 Şubat 2004’de alınmıştır.
UCISA (2006). UCISA Information Security Toolkit, Edition 2.0. Web:
http://www.ucisa.ac.uk adresinden 12 Mart 2006’da alınmıştır.
ULUBAY, M., ACARTÜRK, C. (2006). Geçmişten Geleceğe Projeksiyonlar: Bilgi
Đşlem Birimleri Đçin Yol Haritaları. 8. Akademik Bilişim Konferansı. Denizli:
Pamukkale Üniversitesi. Web: http://www.metu.edu.tr/~acengiz/ adresinden 4
Mart 2007’de alınmıştır.
UZAY, N. (2001). Bilgi Teknolojilerindeki Gelişme ve Verimlilik Artışı. Đstanbul
Üniversitesi Siyasal Bilgiler Fakültesi Dergisi. Đstanbul:No.25, 16.
VIRTANEN, T.(2002). Four Views on Security, Unpublished Doctoral Thesis,
Helsinki University of Technology, Department of Computer Science and
Engineering. Web: http://www.tml.tkk.fi/~tpv/opiskelijat/tpv.pdf adresinden 3
Şubat 2004’de alınmıştır.
VURAL, Y.; SAĞIROĞLU Ş. (2008). Kurumsal Bilgi Güvenliği ve Standartları
Üzerine Bir Đnceleme. Gazi Üniv. Müh. Mim. Fak. Der. Cilt 23, No 2, 507522.
YAHYAGĐL, M. Y.(2001). KOBĐ’lerde Bilgisayar Teknolojileri Uygulamaları.
Đstanbul: Đstanbul Ticaret Odası.
YALIN, H. Đ. (2004). Öğretim Teknolojileri ve Materyal Geliştirme. Ankara: Nobel
Yayın Dağıtım.
YILDIRIM, A. ve H. SĐMSEK. (1999). Sosyal Bilimlerde Nitel Araştırma
Yöntemleri. Ankara: Seçkin Yayınevi.
YILDIRIM, U. ve ÖNER, Ş. (2004). Bilgi Toplumu Sürecinde Yerel Yönetimlerde
Eğitim-Bilişim
Teknolojisinden
Yararlanma
:
Türkiye’de
E-Belediye
146
Uygulamaları. The Turkish Online Journal of Educational Technology –
TOJET.
ISSN:
1303-6521
Volume
3,
Issue
1,
Article
8.
Web:
http://www.nvi.gov.tr/attached/NVI/makale/16.pdf adresinden 12 Nisan 2005’de
alınmıştır.
YILMAZ, S. (2007). Öğretim Tasarımı Modellerinin Karşılaştırılması. Web:
http://websitem.gazi.edu.tr/secil.yilmaz/DosyaIndir adresinden 4 Mart 2007’de
alınmıştır.
Yükseköğretim
Kanunu
(2547
Sayılı)
(1981).
Web:
http://www.yok.gov.tr/content/view/435/183/lang,tr adresinden 5 Ocak 2008’de
alınmıştır.
147
EKLER
EK-1: Yükseköğretimde Bilgi Güvenliği Anketi
EK-2: ÖBGYS Güvenlik Kontrol Listesi
Ek-3: Üniversitelerde ÖBGYS Modeli Đle Oluşturulabilecek Örnek
Dokümanlar
EK-3.1: Örnek- Üniversite Bilgi Güvenlik Politikası
EK-3.2: Örnek- Varlık Envanteri
EK-3.3: Örnek- Risk Analiz Tablosu
Ek-3.4: Örnek- Yöneticiler Đçin Hazırlanan Eğitim Materyali
Ek-3.5: Örnek- Kullanıcılar Đçin Hazırlanan Eğitim Materyali
Ek-3.6: Örnek- Teknik Personel Đçin Hazırlanan Eğitim Materyali
148
EK-1: Yükseköğretimde Bilgi Güvenliği Anketi
149
150
151
EK-2: ÖBGYS Güvenlik Kontrol Listesi
Üniversitede bilgi güvenlik yönetim sistemi ile ilgili aşağıdaki ifadelere cevap
verebilir misiniz?
No Soru
Evet Hayır Açıklama
1
Üniversitede bilgi güvenliğinin tanımı ve
bilgi güvenliğinin sağlanması için
politikalar/kurallar içeren dokümantasyon
mevcuttur.
2
Üniversite kritik varlıklarının (bilgi
varlıkları, BT sistemleri vb.)
tanımlanması, sınıflandırması ve
kullanımı için dokümantasyon mevcuttur.
3
Risk analizi gerçekleştirilmesi hakkında
dokümantasyon mevcuttur.
4
Üniversitede kayıtların/belgelerin ne
kadar süre saklanması gerektiğini belirten
dokümantasyon mevcuttur.
5
Üniversitede kullanıcılara yönelik, BT
sistemlerinin ve uygulamaların kabul
edilir kullanım kuralları hakkında
dokümantasyon mevcuttur.
6
Kullanıcılara yönelik zararlı kodlardan
(virüs, worm vb.) korunma hakkında
dokümantasyon mevcuttur.
7
Üniversitede kullanıcılara yönelik, şifre
seçiminde ve kullanımında dikkat
edilmesi gereken hususları içeren
dokümantasyon mevcuttur.
152
No Soru
8
Kullanıcıların fiziksel güvenlik veya BT
sistemleri hakkında taleplerin, problem ve
sorunların (şüphelenilen güvenlik olayları
dahil olmak üzere) bildirimi için
kullanılacak dokümantasyon mevcuttur
9
Acil Durumlarda/felaket durumlarında
yapılacakların anlatıldığı dokümantasyon
mevcuttur.
10
Yapılacak sözleşmeler içerisinde
gerektiğinde gizlilik ve bilgi güvenliği
hususlarının da eklenmesi gerektiğini
belirten dokümantasyon mevcuttur.
11
Disiplin kurallarını içeren ( içerisinde
bilgi güvenlik ihlalleri de belirtilmiştir)
dokümantasyon mevcuttur.
12
BT sistemleri için risk analiz
dokümantasyonu mevcuttur.
13
BT sistemlerinin envanteri (ayrıt edici
kod, tanımı, hangi amaçla kullanıldığı,
yönetim sorumlusu, lokasyonu vb.)
mevcuttur.
14
BT sistem topoloji çizimleri (örneğin veri
iletişim altyapı çizimi vb.) mevcuttur.
Evet
Hayır Açıklama
153
No Soru
15
BT sistemlerinin kurulum ve
konfigürasyon (güvenlik konfigürasyon
standartlarını içeren) dokümantasyonu
mevcuttur.
16
Sistemler üzerinde kullanıcının
tanımlanmasını sağlayan elektronik
kimlikler için (uygulamaya girmek için
kullanılan kullanıcı adı veya token, akıllı
kart vb. araçlar) ilk kez tanımlamadan,
iptal edilmesine kadar süreçler için
sorumlulukları da belirten
dokümantasyon mevcuttur.
17
Sistemler üzerinde kullanıcı tanımlama
(kullanıcı adı standardı) ve kullanıcı
şifrelerine yönelik (şifre uzunluğu, ilk
girişte şifre değiştirme, şifre zaman aşımı,
şifre kilitleme, şifre seçiminde
sınırlandırmalar vb.) kuralları içeren
dokümantasyon mevcuttur.
18
Üniversitede BT sistemlerinin ve
uygulamaların güncellemeleri ( yama,
yeni versiyon vb.) ve takibi için
dokümantasyon mevcuttur.
19
Üniversitede bilgi ve BT sistemlerinin
yedeklenmesi konusunda (nelerin
yedeğinin hangi periyotta alındığı, nasıl
yedekleme alındığı, nasıl restore/geri
yükleme yapıldığı vb.) dokümantasyon
mevcuttur.
Evet
Hayır Açıklama
154
No Soru
20
Sistemler üzerinde otomatik olarak hangi
kayıtların tutulacağına ve bu kayıtların ne
kadar süre saklanacağına yönelik
dokümantasyon mevcuttur.
21
Eğer Üniversite kullanımı için uygulama
geliştirme yapılıyorsa güvenlik için
kurallar ve standartları belirten
dokümantasyon mevcuttur.
22
Kritik merkezi BT sistemlerinin olduğu
ortama (sistem platformuna) kimlerin
giriş yapabileceği belgelenmiştir.
23
Yönetim, üniversite içinde uygulanacak
güvenlik tedbirlerini aktif olarak
desteklemektedir.
24
Üniversitede (Personel, öğrenciler, destek
hizmeti alınan 3. taraflar vb. için) bilgi
güvenliği rolleri ve sorumlulukları
tanımlanmıştır.
25
3. taraflarla yapılan sözleşmeler
içerisinde güvenlik gereksinimleri, bilgi
güvenliğine yönelik ilkeler ve
sorumluluklar belirtilmektedir.
26
Servis kesintisi veya felaket durumlarında
sorumluluklar belirlenmiştir
Evet
Hayır Açıklama
155
No Soru
27
Personeli işe alırken referans bilgilerin
doğruluğu kontrol edilmektedir
28
Üniversitede BT güvenlik
gereksinimlerini yerine getirebilmek için
gerekli kalifiye elemanlar işe alınmakta
ve yetiştirilmektedir.
29
Üniversite ile ilişiği kesilen kullanıcıların
BT sistemlerindeki kullanıcıları/erişim
yetkileri kaldırılmaktadır.
30
Kullanıcı erişim hakları düzenli olarak
gözden geçirilmektedir.
31
BT sistemleri kullanımında kişilere
görevleri için gereken minimum yetki
tanımlaması yapılmaktadır.
32
Kritik işlerde görev ayrımı yapılmaktadır.
Bir işin yetkilendirilmesi ile o işin
gerçekleştirilmesi farklı kişiler tarafından
yapılmaktadır.
33
Bilgi güvenliğine yönelik farkındalık
yaratmak ve sorumlulukların aktarılması
için bilinçlendirme ve bilgilendirme
ortamları sağlanmaktadır.
Evet
Hayır Açıklama
156
No Soru
34
Üniversitede bilgi güvenliğine yönelik
kurallar ve dokümanlar kişilerin
kullanımı için yayınlanmıştır.
35
Bilgi güvenliğine yönelik seminerler
periyodik olarak tekrarlanmaktadır
36
Üniversite güvenlik konusunda
uzmanlaşmış forum, topluluklar ve
profesyonel derneklerle irtibat halindedir.
37
Üniversitede bilgi güvenliğinin
sağlanabilmesi için gerekli kuralların
görüşüldüğü sürekli bir iletişim ortamı
sağlanmaktadır.
38
Üniversitede kullanılan kritik tüm
varlıklar (BT sistemleri ve bilgi varlıkları
da dahil olmak üzere) değeri, yasal
gereksinimler ve kritikliği dikkate
alınarak sınıflandırılmakta ve envantere
kaydedilmektedir.
39
Personelin, öğrencilerin ve diğer kişilerin
sadece erişmeye yetkili oldukları bilgilere
erişmeleri sağlanmaktadır ve önemli
bilgiler sadece yetkili kişilere
dağıtılmaktadır.
40
Üniversitede bilginin doğruluğu,
geçerliliği, bütünlüğü çeşitli kontrollere
tabi tutulmaktadır.
Evet
Hayır Açıklama
157
No Soru
41
Üniversitede BT sistemlerindeki kritik
bilgilerin ve sistemlerin yedeklemelerinin
periyodik alınması sağlanmaktadır.
42
Bir felaket veya sistem hatasından sonra
gerekli tüm bilgilerin ve yazılımların
kurtarılmasını sağlayacak yedekleme
kabiliyeti mevcuttur.
43
Kritik bilgiler sistemler üzerinde
şifrelenmektedir.
44
Üniversitede gerekli bilgi ve hizmetlerin
güvenliğinin sağlanması için risk
değerlendirmesi yapılmaktadır.
45
Felaket Kurtarma Planları güncellik ve
etkinliklerinin sınanması açısından
düzenli olarak test edilmektedir.
46
Güvenlik gereksinimlerini belirlemek için
BT sistemleri dikkate alınmaktadır
47
Güvenlik gereksinimlerini belirlemek için
sürekli gelişen teknoloji takip edilerek BT
sistemleri güvenliği için gerekli ek
güvenlik gereksinimleri dikkate
alınmaktadır.
Evet
Hayır Açıklama
158
No Soru
48
Güvenlik gereksinimlerini belirlemek için
insan unsuru dikkate alınmaktadır.
49
Güvenlik gereksinimlerini belirlemek için
süreçler ve verilen servisler dikkate
alınmaktadır
50
Güvenlik gereksinimlerini belirlemek için
fiziksel ve çevresel ortam dikkate
alınmaktadır
51
Güvenlik gereksinimlerini belirlemek için
üniversite dışı tedarikçilere olan
bağımlılık dikkate alınmaktadır
52
Güvenlik gereksinimlerini belirlemek için
karşı karşıya olunan riskler dikkate
alınmaktadır.
53
Güvenlik gereksinimlerini belirlemek için
gizlilik, fikir hakları, yasal, düzenleyici
ve sözleşmelere dayalı gereksinimler
dikkate alınmaktadır.
54
Üniversitede güvenlik gereksinimlerinin
yerine getirilmesi sağlanmaktadır.
Evet
Hayır Açıklama
159
No Soru
55
Yeni bir BT sistemi veya uygulama
devreye alınmadan önce fonksiyonel ve
operasyonel güvenlik gereksinimlerine
karşı kontrol/test edilmektedir.
56
Düzenli olarak güvenlik
mekanizmalarının işlerliği kontrol
edilmekte, güvenlik istisnaları izlenmekte
ve güvenlik kontrollerinin yeterliliği
değerlendirilmektedir.
57
Yazılımların lisanslı olduğu ve lisansa
uygun kullanılıp kullanılmadığı düzenli
olarak gözden geçirilmektedir.
58
Üniversitede fiziksel güvenlik
sağlanmaktadır.
59
Üniversitede kritik varlıklar (BT
sistemleri, depolama teçhizatları,
yedekleme medyaları, kayıt ve belgeler
vb.) çalınmaya, hasara, kaybolmaya karşı
korunmaktadır.
60
Ekipmanlar çevresel tehditlerden ve
tehlikelerden kaynaklanan riskleri ve
yetkisiz erişim fırsatlarını azaltmak üzere
uygun bir şekilde yerleştirilmiştir ve
korunmaktadır.
61
Kritik hizmetleri destekleyen enerji ve
haberleşme kabloları kesilme veya
hasarlardan korunmaktadır.
Evet
Hayır Açıklama
160
No Soru
62
Kritik bilgi sistemlerinin bulunduğu
ortamda (sistem platformu) ek fiziksel ve
çevresel kontroller (örneğin kamera
sistemi, giriş kontrolleri, ups, jeneratör,
soğutma, yangın söndürme sistemi vb.)
bulunmaktadır.
63
BT sistemlerinin düzenli bakımı
yapılmaktadır.
64
Fiziksel güvenlik ihlalleri ve bilgi
güvenliğine yönelik ihlaller/şüpheli
olaylar raporlanmaktadır.
65
Kullanılan dokümanların güncel
tutulması sağlanmaktadır.
66
Kapasite planlaması için sistem
kaynaklarının ne oranda kullanıldığı
izlenmekte ve ileriye dönük kapasite
planlaması yapılmaktadır.
67
Değişen ihtiyaçlar doğrultusunda değişen
güvenlik tehditleri de göz önüne alınarak
kullanılan BT sistemleri (güvenlik
sistemleri de dahil olmak üzere)
güncellenmektedir.
68
Üniversitede kullanılan BT sistemlerinin
ve uygulamaların düzenli güncellemeleri
(üretici tarafından yayınlanan yama, yeni
versiyon vb. güncellemelere yönelik
testler, bunların uygulanması) ve takibi
Evet
Hayır Açıklama
161
No Soru
yapılmaktadır.
69
BT sistemlerinde etki alanı büyük
değişiklikler için değerlendirilme
yapılmakta, test edilmekte ve kayıt
tutulmaktadır.
70
Geliştirme ve test ortamları esas çalışma
ortamından ayrılmıştır.
71
Đnternet üzerinden erişilen sunucular
birden fazla güvenlik katmanı (örneğin
güvenlik duvarı, saldırı tespit sistemi,
iletişim ağ cihazlarındaki ayrımlar, erişim
kontrol mekanizmaları, sunucu güvenlik
sıkılaştırması vb.) tarafından
korunmaktadır.
72
Üniversite yerel ağında ayrımlar (sanal
özel ağ VPN) yapılmaktadır ve Đnternette
doğrudan açık olan sunucular ayrı bir ağ
segmentinde yer almaktadır.
73
Üniversite sistemlerinde virüs koruma
yazılımları kullanılmaktadır.
74
Virüs koruma yazılımının gerçek
zamanlı koruma (realtime protection)
özelliği kullanılmaktadır.
Evet
Hayır Açıklama
162
No Soru
75
Virüs koruma yazılımının otomatik
güncelleme yapmasını sağlayacak
teknikler kullanılmaktadır.
76
Sistemler üzerinde otomatik olarak
kayıtlar (loglar) üretilmektedir ve belli bir
süre saklanmaktadır.(Erişimi izlemek ve
gerektiği takdirde soruşturmalarda
kullanmak üzere kullanıcı faaliyetleri ve
güvenlik ile ilgili olay kayıtları )
77
BT sistemlerindeki kayıtlar şüpheli bir
olay ihtimaline karşın incelenmektedir.
78
Sistem ve uygulamalara giriş için
kullanıcı adı ve şifre kullanılmaktadır.
79
Her kullanıcının BT sistemlerini ve
uygulamaları kullanabilmek için
tanımlanmış ayrıt edici özellikte bir
kullanıcı adı bulunmaktadır.
80
Sistemler üzerinde şifre uzunluğu, ilk
girişte şifre değiştirme, şifre zaman aşımı,
şifre kilitleme ve şifre seçiminde
sınırlandırmalar vb. uygulanmaktadır.
Evet
Hayır Açıklama
163
EK-3: Üniversitelerde ÖBGYS Modeli Đle Oluşturulabilecek Örnek
Dokümanlar
164
EK-3.1:Örnek- Üniversite Bilgi Güvenlik Politikası
ABC ÜNĐVERSĐTESĐ
BĐLGĐ GÜVENLĐK POLĐTĐKASI
BĐRĐNCĐ BÖLÜM
Amaç, Kapsam ve Tanımlar
Amaç
Madde 1 - Bu politikanın amacı, Üniversitemizde küresel ölçekte üretilmiş, en
son bilimsel ve teknolojik bilgiyi elde edip; yeniden üretmek ve topluma sunmak için
faaliyetlerimizin dayanağı olan bilginin üretilmesi, saklanması, korunması ve paylaşımı
sürecinde
Bilişim Kaynaklarımızın kullanımında ihtiyaç duyulan düzeyde
bilgi
güvenliğini sağlayacak olan ilkeleri belirlemektir. Üniversitemizde bilgi güvenliğine
verilen önemin gösterilmesi yanı sıra bilgi güvenliğine yönelik temel sorumlulukların
belirlenmesi; bilgi güvenliğine yönelik istenmeyen olayların oluşma riskini ve/veya
etkisini azaltmak; tüm personel ve öğrencilerimizle birlikte üniversite paydaşlarının
yeterli seviyede uyarılması, bilgilendirilmesini sağlamak amacıyla hazırlanmıştır.
Kapsam
Madde 2 - Bu politika, tüm personeli, öğrencileri
ve Bilişim Kaynaklarını
kullanan misafir ve üniversite paydaşlarını; Bilişim Kaynaklarını; fiziksel alanları ve
üniversite süreçlerinde bilgi güvenlik konularıyla ilgili temel hususları kapsar.
Tanımlar
Madde 3 - Bu yönergede geçen terimlerden:
a) Bilgi güvenliği: Bilginin; gizliliği (bilginin sadece erişim yetkisi verilmiş
kişilerce
erişilebilir
yöntemlerinin
olduğunun
doğruluğunun
sağlanması),
ve
bütünlüğü
bütünlüğünün
(Bilginin
ve
sağlanması)
işleme
ve
kullanılabilirliğinin/erişilebilirliğinin (yetkili kullanıcıların; gerek duyulduğunda,
bilgiye ve ilişkili kaynaklara erişebilmelerinin sağlanması) korunmasını,
b) Üniversite: ABC Üniversitesi’ni,
165
c) Bilişim Kaynakları: Mülkiyet hakları Üniversite'ye ait olan, Üniversite
tarafından lisanslanan/kiralanan/yönetilen ya da Üniversite tarafından kullanım hakkına
sahip olunan her türlü bilgisayar/bilgisayar ağı, donanımı, yazılımı ve servisleri,
d) Kullanıcı: Üniversite Bilişim Kaynaklarını kullanan, bu kaynaklar üzerinde
gerekli yetkilendirme tanımları yapılarak yetki verilen özel ve tüzel kişileri,
e) BĐDB: Bilgi Đşlem Daire Balkanlığı’nı,
f) Birimler: Üniversite Bilişim Kaynaklarını kullanan ve/veya kullanıma sunan
akademik ve idari birimleri,
g) Risk: Üniversiteye veya paydaşlarına zarar verme potansiyeli olan durumu
veya bir varlıktaki/süreçteki bir açıklığın (zafiyetin) bir tehdit tarafından kullanılma
(exploit) ihtimalini;
h) Risk Değerlendirmesi: Bilişim Kaynaklarının, zafiyetlerin ve tehditlerin
dikkate alınarak risklerin belirlenmesi; risklere karşı mevcut kontrollerin dikkate
alınarak bu risklerin oluşma olasılığı ve oluşması durumunda etkisinin analiz edilmesi
ve riskin oluşma olasılığı ve/veya etkisinin azaltılması için alınabilecek aksiyonların
belirlenmesini;
i) Risk Yönetimi: Bilişim Kaynaklarını/mevcut süreçleri etkileyebilecek olan
risklerin; uygun bir maliyette tanımlanması, kontrol edilmesi ve en aza düşürülmesi
veya ortadan kaldırılması sürecini,
j) Yedekleme(Backup): Orijinalleri bozulduğunda, en az kayıpla geri yüklemeyi
sağlayacak şekilde ilgili verilerin kopyalarının gereken zamanlarda alınması, geri
yüklenecek şekilde muhafazası ve talep üzerine bu verilere erişimin sağlanmasına
yönelik işlemleri,
ifade eder.
166
ĐKĐNCĐ BÖLÜM
Bilgi Güvenliğine Đlişkin Yetki ve Sorumluluklar
Madde 4 - Üniversitede bilgi güvenliği sağlanabilmesi için herkesin katılımı ve
katkısı gerekir.
Madde 5 - Üniversitede bilgi güvenliğinin sağlanabilmesi için bu politika yanı
sıra politika dokümanında referans verilmiş olan diğer dokümanlar da uygulanır.
Bilgi Güvenlik Kurulu
Madde 6 - Üniversitede bilgi güvenliğinin sağlanabilmesi için Genel Sekreterlik
tarafından
atanan
BĐDB , Öğrenci Đşleri Daire Başkanlığı, ……..,
………..
yetkililerinden bir komite oluşturulmuştur.
Madde 7 - Bu komite gerektiğinde ve/veya 6 ayda bir toplanır. Komite
tarafından gerektiğinde ilgisine göre diğer Birimler’de davet edilir.
Madde 8 - Komite bilgi güvenliğinin sağlanması ve artırılmasına ilişkin
çalışmaları belirleyerek, takip eder ve Genel Sekreterliğe raporlar.
Madde 9 - Üniversitede bilgi güvenliği konusunda çalışmaların belirlenmesi ve
koordinasyonunu sağlar.
Madde 10 - Gelen önerileri değerlendirir.
Üniversitede Birimler Arası Koordinasyon
Madde 11 - Bilişim Kaynaklarında bilgi güvenliğinin sağlanabilmesi için
Birimler BĐDB
koordinasyonunda işbirliği yapar. BĐDB
gerektiğinde bilgi
güvenliğinin sağlanabilmesi için Birimlere destek olur ve denetimlerle politikaya
uyumun sağlandığını kontrol eder.
Kullanıcı ve Birim Sorumlulukları
Madde 12 - Kullanıcılar ve Birimlerin
Üniversite’de bilgi güvenliğinin
sağlanabilmesi için katılım ve katkısı şarttır. Bu dokümanda belirtilen
uyulur.
politikalara
167
Madde 13 - Kullanıcılar ve Birimler Üniversitede bilgi güvenliğinin sağlanması
konusundaki önerilerini Bilgi Güvenlik Kurulu’na iletilmek üzere BĐDB ’ye
bildirebilirler.
Madde 14 - Kullanıcılar Bilişim Kaynaklarında kendilerine tahsis edilen
kullanıcı adlarına ilişkin faaliyetlerden ve kullandıkları Bilişim Kaynaklarında tutulan
denetim kayıtlarına göre yapılan faaliyetlerden sorumludur.
Bilişim Kaynaklarını Yöneten/ Kullanıma Sunan Birimler,
Madde 15 - Kullanıcı bilgilerinin gizliliğini, mahremiyetini korur,
Madde 16 - Kaynakların adil olarak paylaştırılmasını sağlar,
Madde 17 - Kaynağa yönelik tehditleri en aza indirebilmek için risk analizlerini
BĐDB
koordinasyonunda gerçekleştirerek risk düzeylerine göre gerekli güvenlik
önlemlerini alır,
Madde 18 - Bilişim
Kaynakları
ve
buna
bağlı
servislerin
kritiklik
değerlendirmesini yapar ve gerekiyorsa bunları yedekler,
Madde 19 - Güvenliği ilgilendiren durumlarda kanıt özelliği taşıyabilecek
bilgileri, kaynakları kullananların kimliğinin tespit edilmesini sağlayacak düzende
tutulmasını sağlar,
Madde 20 - Sistemlerin yönetiminde işbu politika Đlkerlerine ve BĐDB’ nın
belirleyeceği kural ve standartlara uyumu sağlar.
Madde 21 - Rektörlük adına BĐDB ,
doğrultusunda
işbu
politika
üzerinde
teknik, yasal ve idari gelişmeler
güncelleme
http://www.abc.edu.tr/............ adresinden takip edilebilir.
yapabilir.
Son
durum
168
ÜÇÜNCÜ BÖLÜM
Bilgi Güvenlik Politikası
Bilişim Kaynaklarının Kabul Edilir Kullanımı
Madde 22 - Üniversite’de Bilişim Kaynakları Kullanımı “Bilişim Kaynakları
Kullanım Yönergesi”ne uygun olarak gerçekleştirilir.
Madde 23 - Bilişim Kaynaklarının, Üniversitenin eğitim; öğretim; araştırma;
geliştirme; toplumsal hizmet (bilimsel, teknolojik ve kültürel bilginin yayılması) ve
idari/yönetimsel faaliyetleri için kullanımı esastır. Bunlar dışındaki kullanım,
bahsedilen faaliyetleri kısıtlayıcı/engelleyici olmamak koşulu ile mümkündür.
Madde 24 - Kullanıcılar kullanımlarına tahsis edilen/mülkiyeti kendilerine ait
olan kaynakların güvenliği ile ilgili kişisel önlemlerini almalı, bu kaynaklar üzerinde
yer alan bilgileri, kritik olma düzeyine göre yedeklemelidir.
Madde 25 - Kullanıcılar kendilerine verilmiş olan yetkileri genişletmeye veya
aşmaya
teşebbüs
edemez,
mevcut
güvenlik
kontrollerini
atlatmaya
yönelik
davranışlarda bulunamaz.
Madde 26 - Bilişim Kaynakları, BĐDB
ve/veya ilgili sistemin yönetiminden
sorumlu Birim’ce belirlenmiş kurallar ve yönergelere uygun olarak, kullanıcıya verilmiş
olan yetkinin veriliş amacına uygun olarak kullanılır. Bu makamların onayı olmadan
sistem üzerinde yetki değişikliği yapılmaya teşebbüs edilmemelidir.
Madde 27 - Bilişim
Kaynakları,
Üniversite
yönetmeliklerine,
Türkiye
Cumhuriyeti yasalarına ve bunlara bağlı olan yönetmeliklere aykırı faaliyetlerde
bulunmak amacıyla kullanılamaz.
Madde 28 - Bilişim
Kaynakları;
altyapısını,
bağlı
donanımlarını
veya
yazılımlarını zarara uğratan, tahrip edici, zedeleyici veya sağlıklı çalışmasını engelleyici
hiçbir girişimde bulunulmadan kullanılır.
Madde 29 - Bilişim Kaynakları; genel ahlak ilkelerine aykırı materyal üretmek,
barındırmak, iletmek; siyasi propaganda yapmak; alıcının istemi dışında mesaj (SPAM
iletiler) göndermek; yazı, makale, kitap, film, müzik eserleri ve bunlar gibi materyalin,
169
fikri ve sınaî hakları ihlal edici mahiyette erişime açılması ve dağıtılması; yetkisi
olmadığı halde bir kaynağa/veriye erişmeye çalışmak; diğer kullanıcıların kullanımını
engellemeye çalışmak; Bilişim kaynaklarında kullanılan güvenlik kontrollerini baypas
etmeye çalışmak vb. gibi amaçlarla kullanılmaz.
Madde 30 - Kullanıcılar, Üniversitemizin, internet çıkışını sağlayan Ulusal
Akademik Ağ ve Bilgi Merkezinin (ULAKBĐM) ağ yönetim birimi olan
Ulusal
Akademik Ağ (ULAKNET) tarafından yürürlüğe konulan “Kabul Edilebilir Kullanım
Politikası Sözleşmesi” ne uygun davranır.
Madde 31 - Bilişim Kaynakları (yazılım, donanım vb.) bu kaynakların kullanım
kurallarına ve koşullarına (izin, kaynak gösterim koşulu, telif hakkı, lisans koşulları, ağ
kullanım kuralları, vb.) uyularak kullanılır.
Şifre Seçimi ve Kullanımı
Madde 32 - Bilişim Kaynakları’na giriş için kullanılan şifrelerin seçiminde:
güvenlik için tahmin edilmesi ve bulunması zor olan (Soy isim veya ad; üniversite ismi,
kimlik numarası; araç plaka kayıt numarası; zamanla ilgili şifreler ay, yıl, gün vb.;
telefon numarası gibi şifreler seçilmemelidir), kullanıcı hakkında bilgi içermeyen
şifreler seçilir.
Madde 33 - Şifrenin 6 karakterden fazla olması ve içinde hem alfabetik, hem
sayısal hem de özel karakter içermesi tercih edilir.
Madde 34 - Şifreler gizli tutulur, başkaları ile paylaşılmaz ve otomatik sistem
girişleri sırasında kaydedilmez.
Madde 35 - Şifreler düzenli olarak veya Bilişim Kaynağı ile şifrenin güvenliği
tehlikeye düştüğü durumlar ortaya çıktığı zaman kullanıcı tarafından değiştirilir.
Madde 36 - Ekipman ve yazılım üreticileri tarafından ürün kurulumu ile birlikte
standart olarak gelen ilk şifreler derhal değiştirilir ya da ihtiyaç duyulmadığı an iptal
edilir.
Madde 37 - Sistemin kritikliğine göre Bilişim Kaynaklarındaki şifrelerin
belirlenecek periyotlarda kullanıcı tarafından değiştirilmesi zorlanması sağlanır.
170
Art Niyetli Yazılımlardan Korunma
Madde 38 - Üniversite Bilişim Kaynakları’nın ve bu kaynaklarda yer alan
bilgilerin güvenliğinin sağlanması için art niyetli yazılımlardan korunmaya yönelik
uygulamalar kullanılır.
Madde 39 - Anti-virüs
uygulamalarının
gerçek
zamanlı
koruma
özelliği
kullanılır ve bilgisayardaki güvenlik veya anti-virüs uygulaması kapatılmaz. BĐDB
tarafından gönderilen duyurular uygulanır.
Madde 40 - Đşletim sistemi, güvenlik ürünleri vb. uygulamaların güncellemeleri
düzenli yapılır.
Madde 41 - Internet’ten edinilen bilgilerin ve dosyaların güvenilir olmadığı
dikkate alınır.
Madde 42 - Kullanıcıların, Đnternetin sağladığı ICQ, Chat, sohbet odaları gibi
ortamları kullanmaması ve bu gibi paylaşım sitelerinden indirdikleri dosyaları
kullanmaması önerilmektedir.
Madde 43 - Şüpheli veya yetkisiz kaynaklardan gelen dosyalar ve güvenilmeyen
iletişim ağlarından (örneğin Đnternet) gelen/edinilen dosyalar, kullanılmadan önce art
niyetli yazılımlara karşı kontrol edilir, antivirus uygulaması ile taranır.
Madde 44 - Kullanıcı bilgisayarında mümkün olduğunca paylaşımlı dizinler
kullanmaz ya da paylaşıma açılan dizinler üzerinde özel yetkilendirmeler tanımlanarak
(paylaşıma erişebilecek kullanıcı ve yetkisi seçilerek) kullanılır.
Madde 45 - Her türlü tedbire rağmen virüs bulaşabileceği
göz önünde
bulundurularak önemli bilgilerin/ dosyaların yedeklemesi alınır.
Madde 46 - Bilgisayarın art niyetli yazılımlardan etkilenmesi ihtimali olduğunda
BĐDB destek alınır.
Madde 47 - Bilgisayarına sık sık art niyetli yazılım (örneğin virüs) bulaştıran ve
BĐDB uyarılarını dikkate almayan kişiler hakkında idari işlem başlatılır.
171
Bilgi Güvenlik Olaylarının/Zayıflıkların Raporlanması
Madde 48 - Bilgi güvenliğine yönelik tespit edilen zafiyetler ve/veya olaylar
örneğin
a) Sisteme kötü niyetli yazılım bulaşması ihtimali;
b) Bilişim Kaynaklarının veya bu kaynaklar üzerindeki bilgilerin çalınması,
değiştirilmesi;
c) Gizliliğin ihlali, kritik bilginin yetkisiz kişilere ifşası;
d) Đhtiyacı olmadığı halde sistemlere erişimin olması;
e) Sistemlerde güvenlik zafiyetlerinin tespit edilmesi;
f) Bilişim kaynaklarının yönetiminden sorumlu Birim(lerin) veya BĐDB’ nin
sistem üzerindeki denetim kayıtları incelemelerinde şüpheli durumlar tespit etmesi;
g) Ağ sistemlerinde normalin üzerinde trafik tespit edilmesi vb.
BĐDB ’ye en kısa sürede bildirilir.
Madde 49 - BĐDB
tarafından
gerekli
inceleme
ve
müdahale
işlemi
gerçekleştirilir. BĐDB Bilgi Güvenlik Kurulu toplantılarında geçmiş döneme ilişkin
bilgileri sunar.
Bilgi Güvenliği Farkındalığı
Madde 50 - BĐDB
bilgi güvenliği farkındalığının artırılması için seminerler
düzenlenmesi, kullanıcılara yardımcı olacak materyallerin hazırlanması ve sunulması
gibi faaliyetleri yerine getirir. Personelin bu seminerlere katılması gereklidir.
Görevlerin Ayrımı
Madde 51 - Kritik faaliyetlerin (örneğin satın alma siparişinin verilmesi ve
malların alındığının doğruluğunun kanıtlanması faaliyetleri; Bilişim Kaynakları sistem
yönetimi ile veritabanı yönetimi faaliyetleri) mümkünse ayrımı ve tek bir kişiye bağımlı
olunmaması sağlanır.
172
Madde 52 - Bilişim Kaynaklarında kullanıcı tanımlanmasına yönelik yapılacak
tüm yaratma, değişiklik, kaldırma istekleri, yetkili makamca onaylandıktan sonra
gerçekleştirilir ve bu istekler, alınan ve uygulanan kararlar kayıt altına alınır.
Bilişim Kaynakları Envanteri
Madde 53 - Üniversitede kritik varlıkların envanteri güncel tutulur.
Madde 54 - Birimler sahip oldukları ve yönettikleri bilgi varlıkları için ek-1 deki
“varlık envanter”ini hazırlar, kritiklik sınıflandırmasını belirler ve güncel tutar.
Madde 55 - Bilişim Kaynaklarını yöneten Birimler ek-1 de bulunan envanterde
ayrıca Bilişim Kaynakları ile ilgili diğer kısımları doldurur ve kritiklik sınıflandırmasını
belirler. Bu alandaki Yedekleme bilgilerinin doldurulması ve güncel tutulmasını da
sağlar.
Yedekleme
Madde 56 - Üniversitede Bilişim Kaynakları üzerinde tutulan kritik bilgilerin
yedeklenmesinde;
a) Merkezi hizmet veren sunucuların bir felaket anında
üzerindeki bilgilerin
tamamen kaybedilmesi ve yeniden kurulması ihtimaline karşın düzenli olarak
yedeklemesi alınır ve alınan yedeklemelerin test edilmesi sağlanır.
b) Yedekleme işlemi yapıldığında; yedekleme işlemini yapan Birim tarafından
yedekleme işlemi kontrol edilir. Varsa yedeklemelere ait sistemler tarafından üretilen
sistem hata kayıtları incelenir, hataların çözümü sorumlu Birimler tarafından analiz
edilerek gerçekleştirilir
c) Elde edilen yedekleme medyaları etiketlenerek işaretlenir; yedekleme işlemleri
sonunda oluşan medyalar, ihtiyaç duyulduğunda kullanılmak üzere güvenli ortamlarda
(varsa yanmaz ve kilitli kasada yoksa kilitli bir dolapta) saklanır.
d) Alınan yedekler, iş gereklilikleri ve kanuni saklama süresi yükümlülükleri de
göz önünde bulundurularak belirlenecek süre saklanır.
173
e) Mümkünse bu yedeklemelerin birer kopyası fiziksel hasar görme riskine karşın
farklı bir binada benzer şekilde fiziksel güvenliği sağlanmış bir alanda tutulur.
f) Đlk yedekleme başlangıcında ve varlık envanterindeki yedekleme bilgilerinde
belirlenen periyotlarda, yedeklemelerden örnekleme yolu ile seçilen medyalardan
yedekleme geri dönüş testi yapılır. Test sonucu, ve tarihi varlık envanterine işlenir.
Risk Yönetimi
Madde 57 - Bilgi güvenliğini etkili bir şekilde sağlayabilmek için risk yönetimi
yapılır.
Madde 58 -
Risk yönetiminin amacı risklerinin tanımlanması ve önceliklerinin
belirlenmesi, bu risklerin kabul edilebilir bir seviyeye çekilmesi için gerekli
aksiyonların planlanmasını sağlamaktır.
Madde 59 - Risklerin azaltılması ya da ortadan kaldırılmasına yönelik kontrol ve
çözüm alternatifleri; maliyet, uygulanabilirlik ve yararlılık ilkeleri doğrultusunda
değerlendirilir, gerekli önlemler planlanarak uygulanır. Risk yönetimi devamlı bir
süreçtir.
Madde 60 - BĐDB
ve Bilişim Kaynaklarını yöneten Birimler (gerektiğinde
BĐDB desteğini alarak) ek-2 deki “Risk Analiz Tablosunu” doldurur ve konsolide
edilerek Bilgi Güvenlik Kuruluna sunulmak üzere BĐDB ’ye gönderir.
a) Risk değerlendirmesi çalışmasında
risk olasılık ve etki değerlerinin
verilmesinde Risk Analiz Tablosunda detayları verilen 5’li ölçek kullanılır.
b) Risk değerlendirmesi gerektiğinde ve/veya yılda bir kez gözden geçirilir.
Madde 61 - Değerlendirmesi yapılan riskler için aşağıdaki aksiyonlardan biri
alınabilir:
a) Risk kabul edilebilir (Risk değerlendirmesinde belirlenen değer, tespit edilen
eşik seviyesinin -istenen/taşınabilir risk seviyesi- altında ise veya riskin etkisi veya
oluşma olasılığını azaltacak kontrollerin maliyeti riskin meydana gelmesi durumunda
yaratacağı kayıplara göre fazla ise riskle ilgili bir aksiyon alınmaz)
174
b) Riskin meydana gelmesine neden olan süreç/sistem artık işletilmez.
c) Risk başka bir kuruma transfer edilebilir, örneğin riskle ilgili süreç dış kaynak
kullanılarak gerçekleştirilebilir.
d) Maliyet değerlendirmesi sonucunda riskin oluşma olasılığı veya etkisini
azaltmaya yönelik çalışma yapılabilir.
Fiziksel ve Çevresel Güvenlik
Madde 62 - Üniversite alanlarında gerekli fiziksel ve çevresel güvenlik önlemleri
alınır.
Madde 63 - Kritik (örneğin Rektörlük, merkezi bilişim kaynaklarının bulunduğu
sistem odası gibi) alanlarda fiziksel güvenlik personeli, kilit, kamera sistemi gibi ek
kontroller uygulanır. Bu alana erişecek kişiler belirlenir ve bu kişilerin dışında alana
girişler yetkili olan kişilerin refakatinde gerçekleştirilir.
Madde 64 - Merkezi Bilişim Kaynaklarının bulunduğu bu alanlarda gerekli
çevresel kontroller (klima, yükseltilmiş döşeme, kesintisi güç kaynağı, ihtiyaca göre
nem tespit sistemi, jeneratör vb.) kullanılır.
Madde 65 - Bilişim Kaynakları yetkisi olmayan kişiler tarafından, ilgili sistemi
yöneten Birimin veya BĐDB onayı alınmadan fiziksel olarak bulunduğu yerden dışarı
çıkartılmaz.
Sistem Odaları
Madde 66 - Sistem odaları kritik Bilişim Kaynaklarını içerdiği için ek fiziksel ve
çevresel güvenlik kontrolleri uygulanır.
Madde 67 - Sistem odasına sadece ilgili sistem odasında bulunan Bilişim
Kaynaklarını yöneten Birim tarafından belirlenen kişiler girebilir. Temizlik, teknik
destek vb. durumlarda bu alanda yapılacak çalışmalar odaya giriş yetkisi bulunan bir
kişinin refakatinde gerçekleştirilir.
Madde 68 - Sistem odasının girişini ve mümkünse ayrıca sistem odasının
içerisini görüntüleyecek şekilde güvenlik kamera montajı yapılır.
175
Madde 69 - Sistem odası sıcaklığının belli bir seviyede tutulması için gerekli
teçhizatlar (sıcaklık ölçüm araçları, klima vb.) yerleştirilir.
Madde 70 - Sistem odasındaki sistemlerin elektrik kesintilerinden ve voltaj
değişikliklerinden etkilenmemesi için kesintisiz güç kaynağı kullanılır.
Mümkünse
kesintisiz güç kaynaklarının besleyebileceği süre dikkate alınarak uzun süreli elektrik
kesintisi riskine karşın jeneratör temin edilir.
Madde 71 - Sistem odasında yangın çıkması riskine karşın yangın söndürme
sistemleri (tercihen FM200 gazlı yangın söndürme sistemi ) temin edilir.
Madde 72 - Sistem odası su basması riskine karşın uygun şekilde yerleştirilir ve
düzenli bakımlar yaptırılır. Sistem odası üst katta ise çatıdan su sızması riskine karşın
gerekli önlemler alınır, çatının düzenli bakımı yaptırılır. Sistem odası ara katta ise
üstünde
lavabo, mutfak, su borusu vb. su kaynağı bulunan bir
lokasyon altında
olmamasına dikkat edilir, eğer başka yer bulunamıyorsa da bu alanların düzenli
kontrolü ve bakımı yapılır. Sistem odası zemin ve bodrum kat gibi dışarıdan gelecek su
baskını riskine açık bir alanda ise su tahliye sistemi temin edilir.
Madde 73 - Sistem odasının tabanı yükseltilmiş taban olmalıdır.
Madde 74 - Sistem odasındaki çevresel cihazların (klima, kesintisiz güç kaynağı
vb.) düzenli bakımları yaptırılır ve işlerliği kontrol edilir.
Madde 75 - Sistem odasında yedekleme medyalarının da saklanması gerekiyorsa
tercihen yanmaz ve su geçirmez dolap temin edilir.
Güvenlik Gereksinimlerinin Analizi ve Belirlenmesi
Madde 76 - Üniversitede gelişim ve değişim kaçınılmazdır. Bu sebeple güvenlik
gereksinimlerinin analizi ve belirlenmesinde riskler, mevcut ve potansiyel kullanıcılar,
süreçler ve servisler, Bilişim Kaynakları ve bununla entegrasyon, fiziksel ve çevresel
koşullar, yasal gereksinimler ve mevzuat dikkate alınarak fayda maliyet analizi ile
yeterli seviyede güvenliği sağlayacak gereklilikler belirlenir ve uygulanır. BĐDB
gerektiğinde diğer Birim’lere destek olur.
176
Madde 77 - Üniversite kullanımı için yeni bir sistem/uygulama devreye
alınmadan önce gerekli kontrol ve testler gerçekleştirilir.
Kapasite Planlaması
Madde 78 - Bilişim Kaynakları kullanımı ilgili sistemi yöneten Birim(ler) veya
BĐDB tarafından incelenir ve gelecek için kapasite gereklilikleri planlanır.
Madde 79 - Kapasite gereklilikleri planlanırken; kritik bilişim kaynaklarına
öncelik ve önem verilir, yeni iş ve sistem gereksinimleri ve Üniversite’nin güncel bilgi
işlem eğilimleri dikkate alınır.
Erişim Kontrolü ve Yönetimi
Madde 80 - Kullanıcılara üniversite bünyesinde Bilişim Kaynaklarına sadece
gerektiği kadar erişim yetkisi verilir.
Madde 81 - Üniversitede Bilişim Kaynakları için destek alınan 3. taraflara
görevleri gereği yeterli olacak erişim yetkileri verilir ve bu tarafların çalışmaları ilgili
Birim(ler) veya BĐDB tarafından denetlenir.
Madde 82 - Üniversite’de merkezi hizmet sunan Bilişim Kaynaklarını yöneten
Birim(ler) veya BĐDB tarafından bu kaynaklardaki güvenlik yönetim fonksiyonları ve
sistem yöneticisi gibi ayrıcalıklı haklara sahip kullanıcılar senede asgari iki kez kontrol
edilir.
Madde 83 - Merkezi hizmet veren sunucuları yöneten Birim(ler) veya BĐDB
sunucuya konsolu dışında erişim sağlamaları gerekiyorsa sunucuya belli iplerden
erişilecek şekilde erişim kısıtlanır ve konsol dışındaki erişimin şifreli bir şekilde
yapılması (terminal erişimi için telnet yerine ssh, e-posta okuma servisi için imap/pop
yerine imaps/pops, dosya transferi için ftp yerine sftp vb.), tercih edilir.
Đletişim Ağı ve Elektronik Đletişim Güvenliği
Madde 84 - Üniversite yerel ağına yeni cihaz ekleme, kablolama, dış ağlarla
bağlantı sağlamaya yönelik işlemlerde BĐDB ’den görüş ve onay alınması zorunludur.
177
Madde 85 - BĐDB onayı olmadan iletişim ağındaki trafiği dinleyen ve analiz
eden yazılım veya donanım kullanılmaz.
Madde 86 - BĐDB onayı olmadan kablosuz ağ erişim sistemi kurulmaz.
Madde 87 - Kritik bilgiler e-posta ile gönderilmeden ek bir güvenlik kontrolü ile
(örneğin şifreleme vb) korunur.
Madde 88 - Uzaktan uygulamalara girişte şifre güvenliğinin sağlanması için şifre
giriş ekranları https vb. yöntemlerle tasarlanır, böylelikle iletişimin şifreli bir kanal
üzerinden yapılması sağlanır.
Madde 89 - BĐDB
tarafından iletişim ağında saldırı tespitine yönelik özel
uygulamalar kullanılır.
Bilişim Kaynakları Kurulum Güvenliği
Madde 90 - Üniversitede Bilişim Kaynaklarının güvenliğinin sağlanabilmesi için
a) Kurulumda standart olarak gelen ayarlar değiştirilir (örneğin kullanıcılar
gerekmiyorsa kapatılır, şifreler değiştirilir vb.);
b) Gereksiz servisler, portlar kapatılır;
c) Yedekleme envanterine eklenmesi gerekiyorsa eklenir;
d) Đşletim sistemi ve uygulamaların güncellemeleri yapılır;
e) Kullanıcı tanımlama yapılması söz konusu olacaksa kullanıcı adı standartları,
kullanıcıların sunucu sistemler üzerinde çalışan servislere erişimlerini sağlayan
mekanizmalar (parolalı erişim, parola vb.) ve bunlara ilişkin kurallar belirlenir;
f) Sistemin tekrar kurulması gerektiğinde kullanılmak üzere kurulum ve
konfigürasyon işlemi kayıt altına alınır.
Madde 91 - Merkezi olarak hizmet verecek bir Bilişim Kaynağı planlama
aşamasındayken BĐDB ’ye bilgi verilmeli ve BĐDB yönlendirmeleri dahilinde işlem
yapılmalıdır.
Bilişim Kaynakları Sistem Denetim Kayıtları
178
Madde 92 - Bilişim Kaynaklarını yöneten Birimler yasal gereksinim ve
mevzuata uygun şekilde sistemler üzerinde yeterli denetim kayıtlarının tutulmasını
sağlar.
Madde 93 - Sistem denetim kayıtları yasal gereksinimler çerçevesinde belirlenen
süre kadar saklanır ve bu sürede güvenliği sağlanır.
Madde 94 - Sistem denetim kayıtları gerektiğinde sistemi yöneten Birimler
ve/veya BĐDB yetkilileri tarafından incelenir.
Kullanıcı Tanımlama
Madde 95 - Üniversitede Bilişim Kaynakları için mümkünse her bir kullanıcıya
ayırt edici bir kullanıcı adı verilir.
Madde 96 - Ortak kullanılan kullanıcı adları sadece çok gerekmesi durumunda
BĐDB ve/veya ilgili Bilişim Kaynağını yöneten Birim onayı ile kullanılabilir.
Madde 97 - Sistemleri yöneten personel ortak kullanıcı adı yerine kendilerine
özel kullanıcı adı kullanır.
Madde 98 - Ekipman ve yazılım üreticileri tarafından ürün kurulumu ile birlikte
standart olarak gelen kullanıcı kodları gereksizse kapatılır, gerekiyorsa ilgili şifresi
değiştirilir.
Madde 99 - Sistem kullanıcı üzerinde yapılacak tüm yaratma, değişiklik,
kaldırma istekleri, yetkili makamca onaylandıktan sonra gerçekleştirilir ve bu istekler,
alınan ve uygulanan kararlar kayıt altına alınır.
Bilginin Transferi ve Depolanması
Madde 100 - Đster elektronik ister kağıt ortamda olsun bilginin depolanması ve
transfer edilmesi esnasında; bilginin yetkisiz olarak elde edilmesi, değiştirilmesi veya
zarar görmesi riskine karşın yeterli güvenlik önlemleri alınır. Örneğin öğrenci kayıtları
veya personel dosyaları gibi basılı ortamdaki ve üniversite için önemi olan belgeler
yetkisiz giriş riskine karşın kontrollü ve kilitli alanlarda saklanır. Üniversite için kritik
önemi olan Öğrenci Đşleri Bilgi Sistemi gibi Bilişim Kaynaklarına girişte şifreli
kanalların kullanılması (https gibi) tercih edilir.
179
Acil Durum / Süreklilik Planları
Madde 101 - Bilişim sistemlerini yöneten Birimler BĐDB
koordinasyonunda
kritik olarak tespit edilen Bilgi sistemleri için Ek-3 deki Süreklilik Planını hazırlar ve
güncel tutulmasını sağlar.
a) Üniversite’de Bilişim Kaynaklarıyla ilgili servislerin kritiklik sıralaması
yapılır. Kritiklik sıralamasında aşağıdaki sınıflandırma kullanılır.
• Yüksek: Üniversitenin ana işlevlerinin büyük ölçüde bağımlı olduğu; yasal
gereksinimler açısından önem arz eden servislerdir. Serviste kesinti yaşanması
durumunda üniversite hizmetlerini ve bu hizmetlerin kalitesini yüksek derecede
etkileyecek olan servisler bu kategoride değerlendirilmelidir. Kesintiye
uğrayacak servisin veya hizmetin üniversite geneline etkisi bulunmaktadır. Kısa
süreli bile olsa kesintinin etkisi yüksek olur ve derhal müdahale edilerek en kısa
sürede sorunun giderilmesi gerekir.
• Orta: Üniversitenin ana işlevlerine destek olan fakat kesinti yaşanması
durumunda çok ciddi sorunların yaşanmayacağı servislerdir. Serviste kesinti
yaşanması durumunda üniversite hizmetlerini ve bu hizmetlerin kalitesini orta
derecede etkileyecek olan servisler bu kategoride değerlendirilmelidir. Kesintiye
uğrayacak servisin veya hizmetin üniversitede belli bir kullanıcı grubunu etkisi
bulunmaktadır. Kısa süreli kesintiler önemli değildir ancak gün içerisinde
müdahale edilerek servis tekrar işler hale getirilmelidir.
• Düşük: Kesinti yaşanması durumunda üniversite ana işlevlerini ve bu
hizmetlerin
kalitesini
etkilemeyecek
olan
servisler
bu
kategoride
değerlendirilmelidir. Kesinti sadece sınırlı sayıda kişiyi etkiler ve üniversite ana
faaliyetlerinin yürütülmesine engel teşkil etmez. Birkaç
günlük kesintinin
makul sayılabileceği servislerdir.
b) Sorun durumunda kullanılmak üzere iletişim listesi hazırlanır.
• Kritiklik sınıflandırması yapılan servisler için öneme sahip kritik sunucular ve
bağlantılar ile bir sorun durumunda müdahale edebilecek kişi isimleri belirlenir.
180
• Bilişim Kaynakları için dışarıdan teknik destek/hizmet alınan kurum ve irtibat
bilgilerinin listesi hazırlanır.
• Bir sorun durumunda müdahale edecek ve bilgi verilecek kişi isimleri, telefon
numaraları vb. içeren (acil durum listesi) iletişim listesi hazırlanır.
• Bir sorun durumunda (yangın, saldırı vb.) destek istenecek birim veya
kuruluşların telefonları da iletişim listesine eklenir.
c) Sorun durumunda teknik personel tarafından müdahale işleminde destek
olabilecek yardımcı diğer dokümanlar (sistemlerle ilgili sistem topoloji çizimleri gibi)
da Acil Durum/ Süreklilik Planı ekine konulur ve güncel tutulması sağlanır.
Madde 102 - Bilişim Kaynaklarını yöneten Birimler asgari senede bir defa
hazırlamış oldukları planın işlerliği ile ilgili test yapar. Eğer mümkünse seçilen
sistemler için test adımları birebir uygulanır, mümkün olmaması durumunda ilgililerin
katılacağı bir çalışma ile masaüstü testi (adımların gözden geçirilmesi ve eksik yanlış
hususların tespit edilerek düzeltilmesi) gerçekleştirilir. Test sonuçlarına göre
gerekiyorsa planda güncelleme yapılır.
181
DÖRDÜNCÜ BÖLÜM
Çeşitli Hükümler
Uygulama ve Yaptırım
Madde 103 - Bilişim Kaynaklarının kullanımında veya süreçlerde politikalara
uyulmadığının BĐDB tarafından da tespit edilmesinin ardından uygulanacak yaptırımlar
şunlardır:
a) Kullanıcı ve/veya Birim sözlü veya yazılı olarak uyarılır.
b) Kullanıcılarının ve /veya Birimin kasıt içeren eylemlerini tekrarlamaları
durumunda kullanıcıya ve/veya Birime tahsis edilen Bilişim Kaynakları sınırlı veya
sınırsız süre ile kapatılabilir.
c) Üniversite bünyesindeki akademik/idari soruşturma mekanizmaları harekete
geçirilebilir.
d) Adli yargı mekanizmaları harekete geçirilebilir
Madde 104 - Uygulanacak yaptırımların düzeyi veya sırası belirtilen esaslara
uyulmayan durumların tekrarına, verilen zararın büyüklüğüne ve Bilişim Kaynakları ve
bu kaynaklar üzerindeki bilgilerin gördüğü zarara veya yaratılan olumsuz etkiye bağlı
olarak belirlenir. Kullanıcı hiçbir zarar vermemiş olsa bile; Bilişim Kaynaklarına veya
bu kaynaklardaki bilgilere yetkisi olmadığı halde erişmeye çalışması (erişim
sağlayamamış olması durumunda dahi) yaptırım uygulanması için yeterlidir. Kullanıcı
hakkında duruma bağlı olarak, disiplin cezası, akademik ihraç, iş akdinin feshi de dahil
olmak üzere değişik yaptırımlar uygulanabilir.
Madde 105 - Kullanıcı eylemi/eylemleri, yürürlükte olan ilgili Kanunlara aykırı
ise ceza davasına yol açabilir.
Madde 106 - Üniversitemize
bağlı
bulunan
tüm
birim
yetkilileri
kendi
kullanıcılarının bu kurallara uygun davranmasından sorumlu olup gerekli önlemleri
almak zorundadırlar.
Yürürlük ve Yürütme
182
Madde 107 - Đşbu Politika, ….. tarih ve …..sayılı Senato kararıyla yürülüğe
girmiştir.
Madde 108 - Đşbu Politika hükümleri Rektör tarafından yürütür.
183
EK-3.2: Örnek- Varlık Envanteri
AMAÇ:
Üniversite genelinde Birimlerdeki kritik bilgi varlıklarının ve Merkezi hizmet
veren kritik bilişim kaynaklarının kayıt altına alınması ve sınıflandırmasının yapılması
ve bu suretle;
• Bilgi varlıkları ve Merkezi Bilişim Kaynaklarının (BT) kayıt altına alınmasını,
• Üniversite sunulan hizmet ve servisleri
desteklemek için
gerekli bilgi
varlıkları ve Bilişim Kaynaklarının kritiklik sınıflandırmasının yapılmasını,
•Bilişim Kaynakları'nda (örneğin sunucularda ) veri yedeklemelerine yönelik
stratejinin ve yedekleme envanterinin hazırlanmasını,
sağlamaktır.
UYGULAMA:
Tüm Birimler "Bilgi Varlıkları" sayfasında bulunan kısımları Birim faaliyetlerini
dikkate alarak kontrolleri ve sorumlulukları altında olan bilgi varlıklarını içerecek
şekilde doldurur ve kritiklik seviyesini aşağıdaki ölçütleri kullanarak tespit eder.
Üniversitede Merkezi hizmet sunan Bilişim Kaynaklarını yöneten Birimler
"Bilgi Varlıkları" sayfasının yanı sıra "Merkezi Bilişim Kaynakları" sayfasında bulunan
kısımları yönettikleri sistemleri dikkate alarak doldurur ve kritiklik seviyesinin
aşağıdaki ölçütleri kullanarak tespit eder. Bu sayfada yer alan varlıklar için eğer veri
yedeklemesi yapılıyorsa veya yapılması gerekiyorsa sayfanın sağında sarı başlıkla
belirtilen yedekleme bilgileri de doldurulur.
HEDEFLER:
• Üniversite bilgi varlıklarının ve kritiklik seviyesinin belirlenmesi.
•
Üniversitede merkezi hizmet veren Bilişim Kaynaklarının ve kritiklik
seviyesinin belirlenmesi.
184
• Yeterli seviyede bilgi güvenliğinin sağlanabilmesi için korunması gereken
kaynakları ve koruma derecesinin tespiti.
KRĐTĐKLĐK SEVĐYESĐ:
Tabloda kritiklik seviyesini belirlerken aşağıdaki ölçeği kullanınız:
•YÜKSEK: Üniversitenin ana işlevlerinin büyük ölçüde bağımlı olduğu; yasal
gereksinimler açısından önem arz eden varlıklardır. Varlığın kaybedilmesi, zarar
görmesi, erişilememesi, üzerinde yetkisiz değişiklik yapılması gibi durumlarda
üniversite hizmetlerini ve bu hizmetlerin kalitesini yüksek derecede etkileyecek olan
varlıklar bu kategoride değerlendirilmelidir. Bilişim Kaynakları açısından varlıkta sorun
yaşanması durumunda kesintiye uğrayacak servisin veya hizmetin üniversite geneline
etkisin olması göz önünde tutulmalıdır.
• ORTA: Üniversitenin ana işlevlerine destek olan fakat kullanılamaz hale
geldiğinde çok ciddi sorunların yaşanmayacağı varlıklardır. Varlığın kaybedilmesi,
zarar görmesi, erişilememesi, üzerinde yetkisiz değişiklik yapılması gibi durumlarda
üniversite hizmetlerini ve bu hizmetlerin kalitesini
orta derecede etkileyecek olan
varlıklar bu kategoride değerlendirilmelidir. Bilişim Kaynakları açısından varlıkta sorun
yaşanması durumunda kesintiye uğrayacak servisin veya hizmetin üniversite geneline
etkisinin olmayıp buna rağmen belli bir kitlenin etkilenmesi göz önünde tutulmalıdır.
• DÜŞÜK:Varlığın kaybedilmesi, zarar görmesi, erişilememesi, üzerinde
yetkisiz değişiklik yapılması gibi durumlarda üniversite hizmetlerini ve bu hizmetlerin
kalitesini
etkilemeyecek olan varlıklar bu kategoride değerlendirilmelidir. Bilişim
Kaynakları açısından varlıkta sorun yaşanması sadece sınırlı sayıda kişiyi etkiler ve
üniversite ana faaliyetlerinin yürütülmesine engel teşkil etmez.
BĐLGĐ VARLIKLARI- ALT KATEGORĐ
•Basılı: Kağıt ortamındaki bilgi varlıklarıdır. Örneğin personel özlük dosyaları,
öğrenci dosyaları, gelen giden yazışmalar gibi.
•Elektronik: Elektronik ortamdaki bilgi varlıklarıdır örneğin web sitesindeki
bilgiler, bir uygulamada veritabanında tutulan bilgiler gibi
185
MERKEZĐ BT VARLIKLARI - ALT KATEGORĐ
•Sunucu: Birden fazla kişiye hizmet vermekte kullanılan bilgisayarlar.
•Depolama üniteleri: Bilgileri depolamakta kullanılan bağımsız depolama
üniteleri (sunucuların üzerinde yer alan diskler kastedilmemektedir.)
•Teyp robotu
Veri iletişim cihazları:
•Router
•Hub/switch
•Modem vb.
Çevresel Ekipman
•Klima
•Kesintisiz güç kaynağı
•Kabinet vb.
MERKEZĐ BT VARLIKLARI- YEDEKLEME BĐLGĐLERĐ
Merkezi BT varlıkları ile ilgili sayfanın sarı boyalı başlıklarıdır. Eğer
envanterdeki varlık üzerinde bulunan verilerin düzenli yedeklemesi alınıyorsa sarı
boyalı aşağıdaki başlıklar doldurulmalıdır. Yedekleme alınmıyorsa bu kısımlar boş
bırakılır.
•Sunucuda yedeklenen veri içeriği
•Yedeklenen verinin kritiklik sınıflandırması
•Yedekleme Saklama Periyodu
•Yedekleme kopya sayısı
•Yedekleme alınmasından Sorumlu Birim
•Yedekleme alınmasından Sorumlu kişi ismi
•Yedekleme Periyodu
•Yedekleme periyodu açıklama
186
•Yedekleme medyası üzerine yazılıyorsa periyodu?
•Yedekleme medyası üzerine yazılıyorsa açıklama
•Yedekleme manuel mi yapılıyor otomatik mi?
•Yedeklemede kullanılan yazılım/araç
•Yedekleme Saklama yeri?
•Periyodik Restore/Geri Yükleme Uygulanabilir mi? Evet ise Periyodu
•Tahmini Restore süresi
•En son restore/geri yükleme testi tarihi
187
188
EK-3.3: Örnek- Risk Analiz Tablosu
Birim: BĐDB
Hazırlanma Tarihi: ……. 2009
Kapsam: BĐDB tarafından sunulan Bilişim hizmetleri, bu sistemler üzerindeki
üniversite bilgi varlıkları, işletilen süreçler, insan, fiziksel ve çevresel ortam dikkate
alınarak hazırlanmıştır.
Risk değerlendirmesi çalışmasında
risk olasılık ve etki değerlerinin verilmesinde
aşağıdaki ölçek kullanılmıştır.
ETKĐ
AÇIKLAMA
5
Riskin gerçekleşmesi durumunda
•Üniversitenin hedefleri ciddi olarak etkilenir.
•Yıkıcı etkisi vardır, insan hayatının kaybına veya ağır yaralanmalara
neden olabilir. Doğal afetler örnek olarak verilebilir.
•Kritikliği yüksek olarak adlandırılan servis ve hizmetlerin tamamen
durmasına; itibar kaybı ve yasal yükümlülük açısından büyük zararlara
neden olabilecek; etkilediği üniversite için kritik bilgi varlığının veya
bilişim kaynağının süresiz olarak işlem yapamamasına, büyük ölçüde
zarar görmesine ve yüksek ek maliyetlerin doğmasına yol açabilir.
•Etki alanı çok geniştir. Üst düzeyde müdahale ve farklı Birimlerin
işbirliğini gerektirebilir.
4
Riskin gerçekleşmesi durumunda
•Üniversitenin veya bir birimin hedefleri etkilenir.
•Yaralanmalara neden olabilir, üniversite genelinde kritik servislerin
bir süre verilememesine neden olabilir.
•Kritikliği yüksek olarak adlandırılan servis ve hizmetlerde olumsuz etkisi
olan ancak itibar kaybı ve yasal yükümlülük açısından büyük bir zarara yol
açmayan; etkilediği üniversite için kritik bilgi varlığının veya bilişim
kaynağının belirli bir süre kullanılamamasına, zarar görmesine ve ek
maliyetlerin doğmasına yol açabilir.
189
•Etki alanı geniştir. Farklı Birimlerin işbirliğini gerektirebilir. Hemen
müdahale edilmezse etkisi artabilir.
3
Riskin gerçekleşmesi durumunda
•Üniversitenin veya bir birimin temel hedeflerine etkisi azdır.
•Kritikliği yüksek veya orta olarak adlandırılan servis ve hizmetlerde
olumsuz etkisi vardır. Bilgi varlığı veya bilişim kaynağının belirli bir süre
kullanılamamasına, orta derecede zarar görmesine yol açabilir.
•Etki alanı fazla değildir belli bir kullanıcı grubunu etkiler. Farklı
Birimlerin işbirliğini gerektirebilir.
2
Riskin gerçekleşmesi durumunda
•Üniversitenin veya birimin hedeflerini etkilemez.
•Kritikliği düşük olarak adlandırılabilecek servis ve hizmetlerde olumsuz
etkisi vardır. Kısa süreli ve kontrol edilebilen olaylardır. Bir birime özgü
ve asli fonksiyonlarına yönelik olmayan bir sistemde kesinti yaşanması
gibi olaylardır.
•Etki alanı sınırlıdır, belli bir kullanıcı grubunu etkiler. Rutin müdahale
işlemleri ile çözümlenebilir.
1
Riskin gerçekleşmesi durumunda
•Rahatsız edici olarak nitelendirilebilir ancak üniversite geneli için önemli
olmayan münferit olaylardır.
•Etkileri göz ardı edilebilir.
•Kişisel karşılaşılabilecek olaylardır. Günlük aktiviteler içerisinde
müdahale edilir.
190
OLASILIK AÇIKLAMA
5
•Tipik olarak karşılaşılır.
•Oluşma olasılığı %75 den fazladır.
•3 Ayda bir veya daha fazla karşılaşılabilir.
4
•Zaman zaman karşılaşılabilir.
•Oluşma olasılığı %50-%75 arasıdır.
•6 ayda en az bir kez karşılaşılabilir.
3
•Karşılaşılması mümkündür.
•Oluşma olasılığı %25-%50 arasıdır.
• Yılda bir karşılaşılabilir.
2
•Karşılaşılması düşük bir ihtimaldir.
•Oluşma olasılığı %5-%25 arasıdır.
•5 yılda bir karşılaşılabilir.
1
•Karşılaşılması çok düşük bir ihtimaldir.
•Oluşma olasılığı %5 den düşüktür.
•15 yılda bir kez karşılaşılabilir.
Risk değeri=Olasılık X Etki
191
Risk Değeri Derecelendirme Tablosu
OLASILIK DEĞERLERĐ
ETKĐ
1
2
3
4
5
1
1
2
3
4
5
2
2
4
6
8
10
3
3
6
9
12
15
4
4
8
12
16
20
5
5
10
15
20
25
DEĞERLERĐ
Risk değeri
1-4 Düşük: Ek aksiyon alınmasına gerek yok, günlük prosedürlerle müdahale edilir.
5-9 Orta : Mevcut kontrollerin yeterliliği kontrol edilmelidir.
10-16 Yüksek: Alınabilecek ek kontroller/aksiyonlar belirlenmeli, maliyeti uygun ise
yönetime sunularak kullanılabilir.
20-25 Kritik: Acilen değerlendirme yapılmalı, alınabilecek ek kontroller/aksiyonlar
belirlenmeli, maliyeti uygun ise yönetime sunulmalı.
192
Risk Senaryosu
(insan, bilgi, fiziksel
ve çevresel ortam ,
bilgi sistemleri,
süreçler ve hizmet ile
ilgili)
RISK DEĞERLENDIRME
(Risk Değeri= Etki x Olasılık)
Risk Đçin Mevcut
Uygulanan Kontroller
RISK TEDAVISI
Etki
Olasılık
Risk Değeri
RISK TANIMLAMA
Önerilen Ek
Aksiyonlar Ek
Kontroller
1. Fiziksel ve Çevresel Koşullardan Kaynaklanan Tehdit Zafiyetler (afetler, saldırı, yangın, sistem
odası çevresel sistem arızaları vb. ) sonucunda bilişim sistemlerinin ve bu sistemler üzerindeki
bilgilerin ve personelin zarar görmesi
5 2 10
Depreme
dayanıklılık
için
inceleme yapılmıştır.
Deprem
(sonucunda
sistem
Personel (acil durumlarda
odasındaki
yapılması gerekenler konusunda)
1.1
sistemlerin
bilgilendirilmiştir.
zarar görmesi,
insan ve/veya
Sistemlerdeki verilerin
bilgi kaybı )
yedeklemesi alınmaktadır.
3
Sistem odasında yangın alarm
sistemi bulunmaktadır.
1.2
Sistem
odasında
söndürme
bulunmaktadır.
yangın
sistemi
Cihazların
düzenli
yapılmaktadır.
bakımı
Yangın
Sistemlerdeki
verilerin
yedeklemesi alınmaktadır
Personel bilgilendirilmiştir.
2
6
-
193
Risk Senaryosu
(insan, bilgi, fiziksel
ve çevresel ortam ,
bilgi sistemleri,
süreçler ve hizmet ile
ilgili)
RISK DEĞERLENDIRME
(Risk Değeri= Etki x Olasılık)
Risk Đçin Mevcut
Uygulanan Kontroller
Etki
Olasılık
Risk Değeri
RISK TANIMLAMA
Sistem odası tabanı yükseltilmiş
tabandır.
RISK TEDAVISI
Önerilen Ek
Aksiyonlar Ek
Kontroller
Nem tespit ve alarm
cihazı yerleştirilebilir.
Sistem odası ile ilgili yukarıdan
veya yan taraflardan gelebilecek
su ihtimaline karşın yalıtımı
yapılmıştır.
1.3
Su baskını
Su tahliye sistemi
bulunmaktadır.
Cihazların düzenli bakımı
yapılmaktadır.
Sistemlerdeki verilerin
yedeklemesi alınmaktadır
Personel bilgilendirilmiştir.
Sistem odasında kesintisiz güç
kaynağı bulunmaktadır.
1.4.
Elektrik/enerji
kesintisi
Sistem odası ve diğer kritik
alanlar için uzun süreli elektrik
kesintisine karşın jeneratör
sistemleri bulunmaktadır.
Cihazların düzenli bakımı
yapılmaktadır.
Personel bilgilendirilmiştir.
Sistem odasında sıcaklık ölçüm
cihazları kullanılmaktadır.
1.5.
Havalandırma/
Soğutma
sistemi
arızaları
Sistem odasında iklimlendirme
sistemi (havalandırma soğutma
sistemi) kullanılmaktadır.
Cihazların düzenli bakımı
yapılmaktadır.
Personel bilgilendirilmiştir.
194
Risk Senaryosu
(insan, bilgi, fiziksel
ve çevresel ortam ,
bilgi sistemleri,
süreçler ve hizmet ile
ilgili)
RISK DEĞERLENDIRME
(Risk Değeri= Etki x Olasılık)
Risk Đçin Mevcut
Uygulanan Kontroller
RISK TEDAVISI
Bina girişinde fiziksel güvenlik
personeli, manyetik kapı
detektörü bulunmaktadır.
Sistem odasına giriş
çıkışlarla ilgili kayıt
tutulması için kartlı giriş
sistemi kullanılabilir.
Etki
Olasılık
Risk Değeri
RISK TANIMLAMA
Önerilen Ek
Aksiyonlar Ek
Kontroller
Bina kamera sistemi ile
izlenmektedir.
1.6.
Fiziksel
saldırı/sabotaj
Sistem odaları ve kritik alanlar
için kamera sistemi, kilit
bulunmaktadır.
Sistem odasının anahtarı belli
kişilerde bulunmaktadır.
Sistem odasına yetkisi olmayan
kişiler girmemektedir.
Personel bilgilendirilmiştir.
Bina girişinde fiziksel güvenlik
personeli, manyetik kapı
detektörü bulunmaktadır.
Bina kamera sistemi ile
izlenmektedir.
Sistem odaları ve kritik alanlar
için kamera sistemi, kilit
bulunmaktadır.
1.7.
Hırsızlık
Sistem odasının anahtarı belli
kişilerde bulunmaktadır.
Sistem odasına yetkisi olmayan
kişiler girmemektedir.
Yedekleme medyaları kilitli
alanda muhafaza edilmektedir.
Personel bilgilendirilmiştir.
Sistem odasına giriş
çıkışlarla ilgili kayıt
tutulması için kartlı giriş
sistemi kullanılabilir.
195
Risk Senaryosu
(insan, bilgi, fiziksel
ve çevresel ortam ,
bilgi sistemleri,
süreçler ve hizmet ile
ilgili)
RISK DEĞERLENDIRME
(Risk Değeri= Etki x Olasılık)
Risk Đçin Mevcut
Uygulanan Kontroller
Etki
Olasılık
Risk Değeri
RISK TANIMLAMA
RISK TEDAVISI
Önerilen Ek
Aksiyonlar Ek
Kontroller
2. Teknoloji (yazılım/donanım) kaynaklı Tehdit Zafiyetler (sisteme zararlı kod bulaşması, vb. )
sonucunda bilişim sistemlerinin ve bu sistemler üzerindeki bilgilerin ele geçirilmesi/zarar görmesi ve
personelin zarar görmesi
Merkezi hizmet
Merkezi Sistemlerde güvenlik
veren
sıkılaştırılması yapılmaktadır.
sistemlerin
Yazılım güncellemeleri
zararlı koddan
yapılmaktadır.
(virus, worm,
Zararlı kodlardan korunma için
truva atı, peerürünler kullanılmaktadır.
2.1.
to-peer bağlantı
Zararlı kodlardan korunma için
vb.) etkilenmesi kullanılan ürünlerin düzenli
ve hizmet
güncellemesi yapılmaktadır.
aksaması
Sistemlerin düzenli yedeklemesi
alınmaktadır.
Kullanıcılara kurulum için
Kullanıcı
Kullanıcı
destek verilmektedir.
bilgisayarlarının merkezi
bilgisayarlarının
Zararlı kodlardan korunmak için
olarak yönetim
zararlı koddan
yazılım temin edilmektedir.
sağlanabilmesi teknik
etkilenmesi ve
2.2.
Kullanıcının bilgisayarındaki
destek, yamaların düzenli
kullanılamaz
verilerin yedeklenmesi kullanıcı
geçilmesi açısından
hale gelmesi
sorumluluğundadır.
faydalı olabilir.
Bilgilendirme yapılmaktadır.
Saldırı tespit ve
Merkezi Sistemlerde güvenlik
engelleme sistemleri
sıkılaştırılması yapılmaktadır.
alınabilir.
Yazılım güncellemeleri
Düzenli olarak
yapılmaktadır.
sistemlerin zafiyet
Kurulumla gelen şifre ve
kullanıcı adları
taraması yapılabilir.
değiştirilmekte/kapatılmaktadır.
Kritik uygulamalara girişte
kullanıcı adı şifre
Bilişim
bulunmaktadır.
sistemlerine
Şifre politikaları
2.3.
yönelik
uygulanmaktadır (karmaşık şifre,
saldırılar/ataklar
minimum uzunlukta şifre
verilmesi, geçmişe yönelik şifre
seçilememesi vb.).
Kritik uygulamalara erişimde
güvenli kanallar (şifreli https
vb.) kullanılmaktadır.
Kullanıcılara yönelik
bilgilendirme yapılmaktadır.
2.4.
Merkezi olarak
artık desteği
olmayan
donanım/yazılı
m kullanılması
Sistemler ihtiyaçlar dikkate
alınarak yenilenmektedir.
-
196
Risk Senaryosu
(insan, bilgi, fiziksel
ve çevresel ortam ,
bilgi sistemleri,
süreçler ve hizmet ile
ilgili)
2.5.
Sistem
kapasitesinin
yetersiz kalması
RISK DEĞERLENDIRME
(Risk Değeri= Etki x Olasılık)
Risk Đçin Mevcut
Uygulanan Kontroller
RISK TEDAVISI
Sistemler izlenmekte ve kapasite
planlaması yapılmaktadır.
-
Etki
Olasılık
Risk Değeri
RISK TANIMLAMA
Önerilen Ek
Aksiyonlar Ek
Kontroller
3. Süreç Kaynaklı tehdit zafiyetler sonucunda bilişim sistemlerinin ve bu sistemler üzerindeki
bilgilerin ele geçirilmesi/zarar görmesi ve personelin zarar görmesi
Kontrat gereği taahhüt edilen
hizmet kontrol edilmektedir.
Bilişim
kaynakları için
Kontrat içerisinde, taahhüt
dışarıya bağlı
edilen şartların yerine
hizmet alınan
firmanın/kurum getirilmemesi durumu için ceza
3.1.
hükümleri bulunmaktadır.
un kontrat
gerekliliklerini
yerine
getirmemesi
3.2.
3.3.
Yeterli testler
yapılmadan
merkezi
sistemlerde
kapsamlı
değişiklik (yama
geçilmesi, yeni
bir uygulama
devreye
alınması vb.)
yapılması ve
sistemin
olumsuz
etkilenmesi
Güvenlik
gereksinimleri
dikkate
alınmadan yeni
bir
uygulama/siste
m satın alınması
entegrasyonda
ve üniversite
genel güvenlik
standartlarının
uygulanamamas
ı
Kapsamlı değişiklikler önce test
edilmektedir.
Sistemlerdeki verilerin
yedeklemesi alınmaktadır.
Değişiklik yapıldıktan sonra da
bir sure sistem izlenmektedir.
-
Yeni bir uygulama/sistem
geliştirilirken veya temin
edilirken güvenlik
gereksinimleri de dikkate
alınmaktadır.
Devreye almadan önce kontrol
yapılmaktadır.
Eğer dışarıdan bir
uygulama/sistem satın
alınacaksa şartnameye
bir güvenlik zafiyetinin
tespit edilmesi
durumunda bedelsiz
olarak bu zafiyetin
giderileceğinin eklenmesi
önerilmektedir.
197
Risk Senaryosu
(insan, bilgi, fiziksel
ve çevresel ortam ,
bilgi sistemleri,
süreçler ve hizmet ile
ilgili)
RISK DEĞERLENDIRME
(Risk Değeri= Etki x Olasılık)
Risk Đçin Mevcut
Uygulanan Kontroller
Etki
Olasılık
Risk Değeri
RISK TANIMLAMA
RISK TEDAVISI
Önerilen Ek
Aksiyonlar Ek
Kontroller
4. Personel/insan kaynaklı sorunlar yaşanması
4.1.
4.2.
Bilişim
Kaynaklarını
yöneten kritik
personelin iş
göremez
(hastalık, izin,
işten ayrılma
vb.) hale
gelmesi
Yetersiz sayıda
personel olması
nedeniyle yeterli
kalitede hizmet
sağlanamaması
4.3.
Bilişim
Kaynaklarını
Yöneten
personelin
yeterli deneyim
ve eğitiminin
olmaması
4.4.
Kullanıcıların
destek
ihtiyacının
olması (sistemi
yanlış kullanım,
şifre
unutulması,
şifresini
başkasına verme
vb. sorunlar)
Personel yedeklemesi (sistemler
hakkında tecrübeli en az iki
kişinin olması) yapılmaktadır.
Mümkün olduğunca teknik
dokümantasyon
hazırlanmaktadır.
Farklı görevdeki personel
belli dönemlerde
rotasyona tabi tutularak
yetiştirilmesi
sağlanabilir.
Personel fazla mesai
yapmaktadır.
Mutlaka personel
takviyesi yapılmalıdır.
Personel seçiminde deneyim ve
bilgi dikkate alınmaya
çalışılmaktadır.
Yeterli bilgi deneyimi olmayan
personelin yetiştirilmesi
sağlanmaktadır.
Eğitim ve seminerlerle mevcut
personelin bilgi tazelemesi ve
yeniliklerden haberdar olması
sağlanmaya çalışılmaktadır.
Teknik destek için uygulama
kullanılmaktadır.
Kullanıcılar için kılavuz
dokümanlar hazırlanmaktadır.
Özellikle bilgi güvenliği
konusunda teknik
eğitimler için bütçe
ayrılmalıdır.
-
198
Risk Senaryosu
(insan, bilgi, fiziksel
ve çevresel ortam ,
bilgi sistemleri,
süreçler ve hizmet ile
ilgili)
RISK DEĞERLENDIRME
(Risk Değeri= Etki x Olasılık)
Risk Đçin Mevcut
Uygulanan Kontroller
Etki
Olasılık
Risk Değeri
RISK TANIMLAMA
RISK TEDAVISI
Önerilen Ek
Aksiyonlar Ek
Kontroller
5. Üniversite için kritik bilginin zarar görmesi, ifşası vb. sorunlar yaşanması
5.1.
Bilişim
Kaynaklarındaki
veritabanında
tutulan
bilgilerinin
yetkisiz
kişilerce ele
geçirilmesi/deği
ştirilmesi, zarar
görmesi
5.2.
Yedekleme
medyalarındaki
geçmişe yönelik
bilgilerin geri
yüklenememesi
(yedekleme
sağlıklı
alınmamış
olması,
medyanın
bozulması vb.)
sonucu geçmişe
yönelik veri
kaybı
Merkezi Sistemlerde güvenlik
sıkılaştırılması yapılmaktadır.
Yazılım güncellemeleri
yapılmaktadır.
Kurulumla gelen şifre ve
kullanıcı adları
değiştirilmekte/kapatılmaktadır.
Kritik uygulamalara girişte
kullanıcı adı şifre
bulunmaktadır.
Şifre politikaları
uygulanmaktadır (karmaşık şifre,
minimum uzunlukta şifre
verilmesi, geçmişe yönelik şifre
seçilememesi vb.).
Kritik uygulamalara erişimde
güvenli kanallar (şifreli https
vb.) kullanılmaktadır.
Kullanıcılara yönelik
bilgilendirme yapılmaktadır.
Sistemdeki bilgilerin
yedeklemesi alınmaktadır.
Yedekleme medyaları fiziksel
olarak korumalı alanlarda
saklanmaktadır.
Yedekleme medyaları veya
diskler elden çıkartılmadan önce
üzerine yazılarak kritik bilgi
kalmaması temin edilmekte veya
imha edilmektedir.
Periyodik güvenlik
denetimleri (sızma
testleri) satın alınabilir.
Sistemler üzerinde düzenli
yedekleme alınmaktadır.
Yedeklemeler için geri dönüş
testi yapılmaktadır.
Yedekleme medyaları uygun
koşullara sahip ortamlarda
saklanmaktadır.
Çok kritik bilgilerin
ikişer kopya yedeklemesi
alınarak farklı
lokasyonlarda (ayrı
binalarda yeterli mesafe
uzaklıkta) saklanabilir.
Saldırı tespit ve
engelleme sistemleri
alınabilir.
199
Risk Senaryosu
(insan, bilgi, fiziksel
ve çevresel ortam ,
bilgi sistemleri,
süreçler ve hizmet ile
ilgili)
RISK DEĞERLENDIRME
(Risk Değeri= Etki x Olasılık)
Risk Đçin Mevcut
Uygulanan Kontroller
Etki
Olasılık
Risk Değeri
RISK TANIMLAMA
RISK TEDAVISI
Önerilen Ek
Aksiyonlar Ek
Kontroller
6.Bilişim kaynaklarının veya servisinin kullanılamaz hale gelmesi
6.1.
6.2.
6.3.
Merkezi olarak
hizmet veren
veri iletişim
cihazlarının
kullanılamaz
hale gelmesi
Đnternet
hizmetinin
verilemez hale
gelmesi
E-posta
hizmetinin
verilemez hale
gelmesi
Cihazlar yedekli bir yapıda
çalışmaktadır.
Düzenli yedeklemeleri
alınmaktadır.
Düzenli bakımları yapılmaktadır.
Sistemler izlenmektedir.
Mümkün olduğunca teknik
dokümantasyon
hazırlanmaktadır
Cihazlar yedekli bir yapıda
çalışmaktadır.
Düzenli yedeklemeleri
alınmaktadır.
Düzenli bakımları yapılmaktadır.
Sistemler izlenmektedir.
Mümkün olduğunca teknik
dokümantasyon
hazırlanmaktadır
Cihazlar yedekli bir yapıda
çalışmaktadır.
Düzenli yedeklemeleri
alınmaktadır.
Düzenli bakımları yapılmaktadır.
Sistemler izlenmektedir.
Mümkün olduğunca teknik
dokümantasyon
hazırlanmaktadır
-
200
Ek-3.4: Örnek- Yöneticiler Đçin Hazırlanan Eğitim Materyali
201
202
203
204
205
206
Ek-3.5: Örnek- Kullanıcılar Đçin Hazırlanan Eğitim Materyali
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
Ek-3.6: Örnek- Teknik Personel Đçin Hazırlanan Eğitim Materyali
222
223
224
225
226
227
228
229
230
231
232
233
234
235