bilişim tabanlı bilgi güvenliği ve elektronik imza

advertisement
BİLİŞİM TABANLI
BİLGİ GÜVENLİĞİ
VE
ELEKTRONİK İMZA
BİLİŞİM NEDİR?
Bilgi ve teknolojinin birlikte etkin şekilde
kullanımı olan bilişim kavramına bilgi
teknolojisi veya enformatik de denir.
Bilişim;bilginin bilimsel yöntemlerle
bilgisayar ve istatistiksel yaklaşımları
kullanarak derlenmesi, sınıflandırılması,
depolanması, işlenmesi ve dolayısı ile en
etkin bir biçimde kullanılmasıdır.
BİLGİ NEDİR?
Bilgi, kurumdaki diğer varlıklar gibi, kurum
için önem taşıyan ve bu nedenle de en iyi
şekilde korunması gereken bir varlıktır.
BİLGİ GÜVENLİĞİ NEDİR?
Kurumdaki işlerin sürekliliğinin sağlanması,
işlerde meydana gelebilecek aksaklıkların
azaltılması ve yatırımlardan gelecek faydanın
artırılması için bilginin geniş çaplı tehditlerden
korunmasını sağlar. Bilgi birçok biçimde
bulunabilir. Bilgi, kağıt üzerinde yazılı olabilir,
elektronik olarak saklanıyor olabilir, posta yada
elektronik posta yoluyla bir yerden bir yere
iletilebilir yada kişiler arası sözlü olarak ifade
edilebilir. Bilgi hangi formda olursa olsun,
mutlaka uygun bir şekilde korunmalıdır.
Bilgi güvenliği konularını incelerken üç
kavram bakış açısından ele alınır.
*Gizlilik
*Bütünlük
*Erişilebilirlik
GİZLİLİK
Gizlilik, ISO tarafından "Bilgiye sadece yetkilendirilmiş
kişilerce ulaşılabilmesi" olarak nitelenir. Bugün
Şifreleme altyapılarının olmasının sebebi temel olarak
gizlilik, ve bütünlüktür. Bilgi güvenliğinin her kavramı her
kurum için eşit önemde olmayabilir. Gizlilik özellikle
kamu kurumları ve bankalar gibi kuruluşlar için önemlidir.
Gizlilik, özellikle bir yasa ya da sözleşme dolayısıyla bir
zorunluluk ise önemlidir. Örneğin avukat - müvekkil
ilişkisi ya da doktor hasta ilişkisi gibi mesleki bilgiler
kanun ile koruma altına alınmıştır. Bazı durumlarda ise
taraflar birtakım bilgileri sözleşme ile birbirlerine
verirlerken gizlilik anlaşmaları yaparlar. Her iki durumda
da gizlilik büyük önem taşımaktadır.
BÜTÜNLÜK
Bütünlük (veri bütünlüğü) dar güvenlik
anlamında verinin yahut bilginin yetkisiz kişilerce
değiştirilmesine veya yok edilmesine karşı
korunmasıdır. Verinin bozulması kasten yahut
kaza ile olabilir ve bu bütünlüğün bozulmuş
olduğu gerçeğini değiştirmez. Güvenlik önlemi
alanların iki tür riske karşı da tedbir almaları
gerekmektedir. Bilginin bütünlüğü aşağıdaki üç
kıstası sağlamalıdır.
*Kesinlik
*Doğruluk
*Geçerlilik
ERİŞİLEBİLİRLİK
Erişilebilirlik, matematiksel olarak ifade
edildiğinde, herhangi bir sistemin yapılış
amaçlarına göre işlev gördüğü zamanın, işlev
gördüğü ve görmediği toplam zamana oranıdır.
Daha yalın bir anlatımla, doğru yetkilendirilmiş
bir kişinin ihtiyacı olduğu anda ihtiyacı olan
hizmetin orada olma oranına erişilebilirlik denir.
Verilen hizmetin ne kadar güvenilir olduğunun
bir ölçütüdür. Kurumlar hizmetin ne kadar önemli
olduğunun ölçümünü yapıp, sistemleri ve verileri
bu ihtiyaca göre yedekli hale getirirler.
"Bilgi, bir kurumun en önemli
değerlerinden birisidir ve sürekli
korunması gerekir."
BİLGİ SİSTEMLERİ GÜVENLİĞİ
Ticari amaçla olup olmadığına
bakılmaksızın bütün toplu kullanım
sağlayıcılar, konusu suç oluşturan
içeriklere erişimi önleyici tedbirleri almakla
yükümlüdür. Bu konuda kanun
kapsamında kamu kurumlarının ve
işletmelerin kesin bir yükümlülükleri vardır.
Kurumlar ;
*Personelin internet erişimini
denetleyebilmeli,
*Suç oluşturan zararlı içeriğin olabildiğince
filtrelenmesini sağlamaya gayret
göstermeli,
*Personelin internet etkinliğini kayıtlarda
tutabilmeli(loglama) ve bu kayıtlarda
(loglarda) ayrıntılı arama yapabilmelidir.
Kurumsal ağın dışarıdan veya içeriden gelebilecek
saldırılara karşı korunması için kullanılabilecek araçlar
ve yöntemler belirtilmiştir. Bunlar;
*Güvenlik duvarı(Firewall):Kurum ağından dışarıya ve
dışarıdan kurum ağına yapılan tüm iletişimi kontrol
ederek kimin, nereye, ne zaman hangi servisi almak
üzere bağlanabileceğini düzenler. Şu an en popüler olan
ve en güvenli olduğu belirtilen güvenlik duvarı türü
durum bazlı olandır.
*Antivirüs yazılımları:Kurum ağındaki kullanıcı
bilgisayarlarına ve sunuculara virüs, Truva atı türünden
kötü yazılımların bulaşmasını engeller.
*Saldırı tespit sistemi:Kurum ağına yapılan saldırıların tespit edilerek alarm
verilmesi gerekirse saldırı trafiğinin engellenmesi.
*Zayıflık tarama yazılımları:Kurum ağında yer alan sistemlerin ve yazılımlarının
açıklarının tespit edilmesi amacıyla kullanılır.
*Ağ dinleme ve yönetim yazılımları:Yerel ağdaki tüm trafiğin dinlenerek anormal
durumların tespit edilmesi ve ağ cihazlarının merkezi olarak yönetilmesi
işine yarar.
*Loglama yazılımları:İç ve dış ağda yapılan tüm iletişimin loglanması ve
bunların düzenli olarak kontrol edilmesi saldırıların önceden tespiti ve
suçlunun bulunması için önemlidir.
*Yedekleme araçları:Herhangi bir güvenlik açığı nedeniyle var olan sisteme
zarar gelmesi durumunda en kısa zamanda çalışan sisteme deri dönme
amacıyla kullanılır.
VERİ GÜVENLİĞİ
Kurumların internet veya özel iletişim hatları üzerinden akan
verilerinin güvenliğinin sağlanması amacıyla kullanılabilecek
teknolojiler burada özetlenmiştir.
*Fiziksel Güvenlik:Bilgisayarların fiziksel güvenliğinin gerek şifre gibi
unsurlarla gerekse akıllı kart türü araçlarla sağlanması.
*Kullanıcı Doğrulaması Yöntemleri:Akıllı kart, tek kullanımlı parola,
token ve public key certificat gibi merkezi kullanıcı doğrulama
sunucularının kullanılması.
*Şifreleme:Güvensiz ağlar üzerinden geçen verilerin güvenliği için
virtual private network veya şifreleme yapan donanımların
kullanılması. Ayrıca web tabanlı güvenli veri transferi için ssl ve
public key şifrelemenin kullanılması. Donanım tabanlı şifreleme
çözümleri de mümkündür.
*İnkar Edilemezlik ve Mesaj Bütünlüğü:Sayısal imza teknolojisi
kullanılarak bunlar sağlanabilir.
İŞ SÜREKLİLİĞİ
İş sürekliliği planlaması bir kurumun çalışmalarının
devamlılığını sağlamak amacıyla bilişim altyapısının
kesintisiz veya olağanüstü durumlarda en az kesintiyle
hizmet vermesi için yapılması gerekenleri içerir.
Bilişim tabanlı servislerin kesintiye
uğramasını/aksamasını gerektirecek durumlar;
*Donanım arızaları,
*İletişim hatları veya elektrik kesintileri,
*Kötü niyetli yazılımlar ve internet tabanlı saldırılar,
*Doğal afetler (deprem,yanardağ),
*Yangın - su basması,
AĞ SERVİSLERİNDE GÜVENLİK
VE GÜVENİLİRLİK KAVRAMI
Ağda kullanıcılar kaynaklara erişirken bazı haklar ve
sınırlandırmalar çerçevesinde ağ kaynaklarından
faydalanırlar. Göreceli olarak geniş ağlarda, kullanıcıların
ağa girebilmesi için login server’lar kullanılır.kullanıcı ağa
bağlanmak için kullanıcı adını ve parolasını girmek
zorundadır. Böylece ağ kaynaklarına kullanıcıların hangi
haklar ve kısıtlamalarla erişebileceği tanımlanabilir. Bu
yapı, bilgiye yetkili erişim imkanı sağlar. Yani her bilgi
kaynağı herkes tarafından kullanılamaz. Bu yapının
şekillenmesi tamamen firmanın güvenlik ihtiyaçlarına
bağlıdır. Güvenlik açısından ve ağ servisleri bakımından
geniş imkanlar sunan Microsoft NT ve Linux gibi ağ
işletim sistemleri örnek olarak verilebilir.
AĞ SERVİSLERİNİN ALTYAPI VE
SUNUCU-İŞLEMCİ MİMARİSİNİN
GÖREVLERİ
*Çalışanların güvenlik konusunda bilinçlendirilmesi ve
güvenlik sorununun herkes arasında paylaştırılarak,
sorumluluğun dağıtılması ve herkes konunun önemini
anlayarak sahip çıkmalı,
*Kurum içinde uygulanan güvenlik politikaları yazılarak
çalışanlara dağıtılmalı ve alınan önlemlerin nedenleri
herkese anlatılmalı,
*Güvenlik politikaları, bir güvenlik sorunu ile karşı karşıya
kalındığında, kurum içinde nasıl davranılması gerektiğini,
kimlerin hangi noktalardan sorumlu olduğunu da açıkça
belirtmeli,
*Güvenlik uzmanlarının karşılaştığı en büyük sorun, bu
sistemler arasında güvenliği tutarlı bir şekilde yönetmek
ve denetleyebilmektir. Bunun için;
°şifre uzunluğu,
°son kullanma tarihi ve format gibi bireysel güvenlik
politikaları,
°her bir platformda farklı formatlarda saklanmalıdır.
*Kurumlar Bilişim Sistemlerini kuracak, kullanacak,
denetleyecek personele yatırım yapmalı ve personel
politikalarını tekrar gözden geçirmeli,
*Kurumlarda mutlaka Bilgi Güvenliği Yöneticisi olmalı,
BİLGİ GÜVENLİĞİ
YÖNETİCİSİNİN GÖREVLERİ
*Güvenlik politikalarını oluşturmak,
*Üst yönetim tarafından onaylanmasını sağlamak,
*Kurumlar tarafından benimsenmesini sağlamak,
*Kurum güvenlik politikalarının güncelliğini ve
sürekliliğini sağlamak,
*Bilgi sistemlerinin güvenlik politikalarına
uygunluğunun kontrolünü yapmak,
*Kurum çalışanlarının güvenlik politikalarına
uymasının denetlenmesi,
ELEKTRONİK İMZA NEDİR?
Elektronik ortamda iletişim kurarken gönderilen bilgi ve
belgelerin, ticari yada resmi işlemlerin bağlayıcı
olabilmesi imza şartını getirmektedir. Bunu internet
ortamında sağlayan mekanizmaya elektronik imza (Eimza) denir. Bu anlamda elektronik imzanın normal bir
imzadan uygulama,amaç ve işlerlik açısından hiçbir farkı
yoktur. Fark sadece biri kağıda atılırken diğeri elektronik
ortamda kripto edilmiş dijital bir şifredir. Bir belgenin
hangi kişi yada kuruma ait olduğunu gösteren ve sahibi
olduğu kişiyi bağlayan (tıpkı normal imza gibi) hukuki bir
uygulamadır.
Elektronik imza internet ortamında genel olarak 3 temel
amacı yerine getirmektedir.
*Veri Bütünlüğü: Verinin izin alınmadan hata ile
değiştirilmesini, silinmesini veya veriye ekleme-çıkarma
yapılmasını önlemek.
*Kimlik Doğrulama ve Onaylama: İster ticari yada hukuki,
isterse kişisel tüm mesaj ve bilgilerin, mesaj sahibine ait
olduğunu ve geçerliliğini sağlamak.
*İnkar Edilemezlik: Kişi yada kurumların elektronik
ortamda gerçekleştirdikleri işlemleri inkar etmelerini
önlemek.
Elektronik imzanın kullanıldığı kamu kurumları;
*Kurumlararası iletişim
(üniversiteler, emniyet müdürlükleri, nüfus ve vatandaşlık işleri işlemleri
vs.)
*Sosyal güvenlik uygulamaları
(ssk, bağ-kur, emekli sandığı ve sigortalar)
*Sağlık uygulamaları
(sağlık personeli, hastaneler, eczaneler)
*Vergi ödemeleri
ELEKTRONİK İMZA OLUŞTURMA
ARAÇLARI
İmza oluşturma araçları;elektronik imza oluşturmak üzere kullanılan yazılım
veya donanımı ifade etmektedir. 5070 sayılı Kanun’da ‘‘güvenli’’ elektronik
imza oluşturma araçlarına değinilmiş ve aşağıdaki özelliklerin sağlanması
şart koşulmuştur:
*Ürettiği elektronik imza oluşturma verilerinin kendi aralarında bir eşi daha
bulunmaması,
*Üzerinde kayıtlı olan elektronik imza oluşturma verilerinin araç dışına hiçbir
biçimde çıkarılmamasının ve gizliliğini sağlaması,
*Üzerinde kayıtlı olan elektronik imza oluşturma verilerinin, üçüncü kişilerce
elde edilmemesi, kullanılmaması ve elektronik imzanın sahteciliğine karşı
korunması,
*İmzalanacak verinin imza sahibi dışında değiştirilmemesi ve bu verilerin imza
sahibi tarafından imzanın oluşturulmasından önce görülebilmesi,
ADIM 1:
Microsoft Outlook Express
programının "Araçlar / Tools"
menüsüne girerek
"Hesaplar / Accounts"
seçeneğine
tıklayınız.
ADIM 2:
Açılan hesaplar ekranında
elektronik imzalı posta
göndermek
istediğiniz e-posta hesabınıza
tıklayarak sağ tarafta bulunan
"Özellikler / Properties"
butonuna
basınız.
ADIM 3:
Açılan özellikler
ekranında üst
tarafta bulunan
sekmelerden
"Güvenlik / Security"
yazanına
tıklayınız.
ADIM 4:
"Seç / Select"
butonuna basarak
bilgisayarınızda yüklü
olan
sertifikaların listesini
açınız.
ADIM 5:
Kullanmak istediğiniz
sertifikanızı
işaretleyerek "Tamam /
OK"
butonuna basınız.
ADIM 6:
"Tamam / OK" butonuna
basarak
hesap özellikleri ekranını
kapatınız.
ADIM 7:
"Kapat / Close"
butonuna basarak
hesaplar penceresini
kapatınız
HAZIRLAYANLAR
KADER OKKA
ŞEYMA TURANOĞLU
MEDİNAY DEDE
SEYLAN YILMAZ
TEŞEKKÜR EDERİZ…
Download