Bilgi Güvenliği Bakışı ile Güvenlik Kontrollerinin Sınıflandırılması

Yazarı:
Ertuğrul BAŞARANOĞLU
-
0
1368
views
Bilgi güvenliğine bütünsel olarak her boyuttan bakmak esastır. Bu amaçla sağlanacak güvenlik önlemleri birbiri ile eşit öneme sahiptir. Bu yazıda bilgi güvenliğini sağlamak için güvenlik kontrolleri türüne, işlevine ve kategorisine göre incelenecektir.

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

Erişim Kontrolü (Access Control), sadece yetkilendirilmiş kullanıcıların ve sistemlerin başka bir sisteme, varlığa ve kaynağa nasıl erişeceklerini yöneten süreçtir. “Need To Know” güvenlik prensibini temel alır ve bilgi güvenliğinin “Gizlilik” ve “Bütünlük” unsurlarını korumaya yarar. Böylece, sadece iş ihtiyacı olan ve ihtiyacı kadar yetkisi onaylanmış olan bir kişi dosya sunucusundaki bir klasöre erişip içerisindeki dosyalarda işlem yapabilir. Bu kısıtlar sayesinde bir saldırganın bu sistemlere veya kaynaklara zarar verme veya hizmetini engelleme ihtimali de güçleşmektedir. Bu sebeple, Erişim Kontrolü ile dolaylı olarak “Erişilebilirlik” bilgi güvenliği unsuru da sağlamış olur.

Rİskler, güvenlik kontrollerini doğrulamak için kullanılırken; güvenlik kontrolleri de, iş (business) risklerini düşürmek için kullanılır. Bunu yaparken de güvenlik kontrollerinin maliyetinin çok yüksek olmaması gerektiği de unutulmamalıdır. Bundan dolayı güvenlik kontrolleri denetlenebilir ve test edilebilir olmalıdır. Güvenlik kontrolleri kurumun varlıkları (asset) ile bu varlıkların karşılaşabileceği tehditler (threat) arasına konumlanmış olup 2 temel işlevi vardır:

  • Tehditin gerçekleşme olasılığını (probability / likelihood) azaltmak
  • Tehditin sebep olduğu zararı (damage) en aza indirmek

Güvenlik kontrolleri tipine ve işlevine göre sınıflandırılabilir. Bir kontrolün birden fazla sınıfa ait olduğu da görülecektir.

 

Örnek olarak kullanılabilecek diğer listeler de aşağıdaki gibidir.

 

 

Seçilecek olan kontrolde iki temel şart sağlanmalıdır.

  • En makul güvenlik kontrolü seçilmelidir. Bu seçim, en az maliyetle en çok güvenliği sağlamalıdır.
  • Güvenlik kontrolü, korunmak istenen varlığın değerinden fazla olmamalıdır.

 

Uygun güvenlik kontrolü seçiminde 2 temel gereksinim karşılanmalıdır.

  • İşlevsel Gereksinimler: Güvenlik kontrolü işlevsellik olarak ihtiyacımızı karşılamalı ve kuruma fayda sağlamalıdır.
  • Güvence Gereksinimleri: Güvenlik kontrolü güvence sağlamalı, güvenilir olmalı ve gelecekte gereksinimlerimizi karşılamalıdır.

 

A) Türüne Göre Güvenlik Kontrolleri

Güvenlik kontrolleri ile sağlanan güvenlik önlemleri uygulanma şekline (tipine) göre 3 ana kategoride incelenebilir

A.1) Yönetimsel Güvenlik Kontrolleri

Yönetimsel güvenlik kontrolleri (Administrative/Directive Security Control) aşağıdaki şekilde örneklendirilebilir.

    • Politika, prosedür ve standart gibi dokümanlar
    • Yeni başlayan veya çalışan personelin güvenlik kontrolleri (background check)
    • Kullanıcı kayıt dokümanları
    • Bilgi güvenliği farkındalık eğitimleri
    • Veri sınıflandırma çalışmaları
    • Güvenlik ihlali raporları
    • Felaket Kurtarma (Disaster Rocovery) planları
    • Vardiya dokümanları
    • Log kayıtları
    • Teftiş raporları
    • Yöneten (sorumlu olan) ve yönetilen (yönetilen) hiyerarşisi
    • Bilgisayar açılışındaki uyarı yazısı

 

A.2) Fiziksel Güvenlik Kontrolleri

Fiziksel güvenlik kontrolleri (Physical Security Control) aşağıdaki şekilde örneklendirilebilir.

  • Girişlerde bekleyen güvenlik çalışanları
  • Kapılar
  • Kilitler
  • Çitler
  • Işlıklar
  • Bekçi köpekleri
  • Kameralar
  • Alarmlar
  • Kapanlar (Man traps): Aynı anda birden fazla kişinin bir girişten geçmesine engel olarak, “tailgating” saldırılarının önüne geçilmesi saplanır.
  • Trafik ışıkları
  • Köpek var uyarı levhası
  • Yangın söndürücü
  • Ağ segmentleri
  • Kablolama
  • Yedekler

 

Not: Çit (fence) yüksekliği en az aşağıdaki uzunluklarda olmalıdır.

  • Normal girişleri engellemek için 3-4 feet (ayak)
  • Girişleri zorlaştırmak için 6 ayak
  • Kritik varlıkları korumak için 8 ayak (ve üç telli tepesi olacak şekilde)

 

A.3) Teknik (Mantıksal) Güvenlik Kontrolleri

Teknik güvenlik kontrolleri (Technical/Logical Security Control) aşağıdaki şekilde örneklendirilebilir.

  • Güvenlik duvarı (Firewall)
  • IPS
  • Şifreleme
  • ACL
  • TCP Wrapper
  • Dosya ve dizin izinleri (ACL)
  • Güvenlik standartları veya talimatları
  • Sistemlere oturum açma esnasında çıkan uyarı yazıları (banner)
  • Parola koruma ekranları
  • Biyometrik özelliklerle kimlik doğrulama
  • Akıllı kart ile kimlik doğrulama
  • Log kayıtları
  • Yedekler
  • CCTV

 

B) İşlevine Göre Güvenlik Kontrolleri

Güvenlik kontrolleri ile sağlanan güvenlik önlemleri işlevine göre 7 ana kategoride incelenebilir

 

B.1) Emredici Güvenlik Kontrolleri

Talimat verici / Yönetimsel (Directive) güvenlik kontrolleri aşağıdaki şekilde örneklendirilebilir.

  • Politika, prosedür ve standart gibi dokümanlar
  • Trafik ışıkları
  • Bilgisayar açılışındaki uyarı yazısı
  • Bilgi güvenliği farkındalık eğitimleri

Not: Yönetimsel güvenlik kontrolleri bazı kaynaklarda ele alınmadığı için, bu kaynaklarda güvenlik kontrolleri 6 sınıfta incelenir.

 

B.2) Caydırıcı Güvenlik Kontrolleri

Caydırıcı (Deterrent / Discourage) güvenlik kontrolleri aşağıdaki şekilde örneklendirilebilir.

  • Köpek bulunduğuna dair uyarı levhası
  • Sistemlere oturum açma esnasında çıkan uyarı yazıları (banner)
  • Çitler
  • Kilitler
  • Işıklar
  • Güvenlik kameraları
  • Alarmlar
  • Güvenlik yaka kartları
  • Güvenlik görevlileri
  • Politika, prosedür ve standart gibi dokümanlar

 

B.3) Önleyici Güvenlik Kontrolleri

Önleyici / Koruyucu (Preventive / Preventative) güvenlik kontrolleri aşağıdaki şekilde örneklendirilebilir.

  • Kullanıcı kayıt dokümanları
  • Parola koruma ekranları
  • Çitler
  • Güvenlik duvarı (Firewall)
  • Görevler ayrılığının uygulanması
  • İş rotasyonu
  • Envanter dokümanları
  • Kağıt öğütücüleri
  • Veri sınıflandırması
  • Sızma testi
  • Erişim kontrol yöntemleri
  • Güvenlik farkındalığı eğitimi
  • IPS
  • Biyometrik erişim kontrolleri
  • Şifreleme
  • Kilitler
  • Kapanlar (Man traps)
  • Antivirüs
  • Alarm sistemleri
  • Güvenlik kamerası
  • CCTV

 

B.4) Tespit Edici Güvenlik Kontrolleri

Tespit edici (Detective) güvenlik kontrolleri aşağıdaki şekilde örneklendirilebilir.

  • Güvenlik ihlali raporları
  • Log kayıtları
  • Girişlerde bekleyen güvenlik çalışanları
  • CCTV (Closed-Circuit Television Cameras)
  • İhlal raporları
  • IDS
  • Alarmlar
  • Çalışanları zorunlu izne çıkarma
  • Çitler
  • Antivirüs ile zararlı tespiti
  • Kullanıcı denetimleri
  • Olay incelemeleri

 

B.5) Düzeltici Güvenlik Kontrolleri

Düzeltici (Corrective) güvenlik kontrolleri aşağıdaki şekilde örneklendirilebilir.

  • Bağlantı kesici
  • Yangın söndürücü
  • Antivirüs ile zararlıyı silme, karantinaya alma
  • Yedekten geri dönme
  • Yeniden yüklenme için yedekleme planları
  • İş sürekliliği planları

 

B.6) Geri döndürücü Güvenlik Kontrolleri

Geri döndürücü (Recovery) güvenlik kontrolleri aşağıdaki şekilde örneklendirilebilir.

  • Felaket Kurtarma (Disaster Rocovery) planları
  • Felaket Kurtarma (Disaster Rocovery) merkezi
  • Yedekler
  • Yüksek erişilebilirlik (High Availability) özelliği
  • Clustering özelliği
  • İş sürekliliği planları
  • Acil durumlar için anahtar yönetimi
  • İmajlar

 

B.7) Telafi Edici Güvenlik Kontrolleri

Telafi edici / Alternatif sağlayıcı (Compensating / Compensative) güvenlik kontrolleri aşağıdaki şekilde örneklendirilebilir.

  • Vardiya dokümanları
  • Personelin internet erişim log kayıtlarını gözden geçirme
  • Teftiş raporları
  • Çit (Güvenlik çalışanının maliyetli olması nedeni ile)
  • CCTV
  • Pahalı bir güvelik çözümü yerine daha ucuz bir çözüm bulunması

 

C) Güvenlik Kontrol Kategorileri

C.1) Proaktif Güvenlik Kontrolleri

Bir tehdit meydana gelmeden alınacak önlemlerdir.

  • Directive (Emredici)
  • Preventive (Önleyici)
  • Deterrent (Caydırıcı)
  • Compensating (Telafi edici / Alternatif sağlayıcı)

C.2) Reaktif Güvenlik Kontrolleri

Bir tehdit meydana geldikten sonra gerçekleştirilecek önlemlerdir.

  • Detective (Tespit edici),
  • Recovery (Geri döndürücü)
  • Corrective (Düzeltici)
  • Compensating (Telafi edici / Alternatif sağlayıcı)

 

D) Uygun Kontrol seçimi

Bir tehdit için uygulanabilkecek bir çok güvenlik kontrolü olabilir. Seçilecek olan güvenlik kriteri 2 temel gereksinimi karşılamalıdır:

  • İşlevsel Gereksinimleri (Functional Requirements): Seçilecek güvenlik kontrolü, işlevsellik olarak iş ihtiyacını gidermelidir. Yani, bu kontrolün sağladığı yarar değerlendirilmelidir.
  • Güvenilirlik Gereksinimlerini (Assurance Requirements): Seçilecek güvenlik kontrolü, istenildiği/beklendiği şekilde yarar sağlamalıdır.

Bu güvenlik kontrollerinden en uygun olanının seçilmesi için temel kriterler aşağıdaki gibi sıralanabilir.

  • Fayda/Maliyet (Cost/Benefit): En büyük yararı en uygun maliyetle sağlayacak güvenlik kontrolü uygulanmalıdır. Seçilecek güvenlik kontrolünün varlık değerinden fazla olmaması da gereklidir.
  • Hesap verilebilirlik (Accountability): Riskin sahibi, seçilen güvenlik kontrolünün riski azalttığı veya giderdiğinden sorumludur.
  • Transparanlık: Güvenlik kontrolü bazı durumlarda kapalı kutu olabilir. Bu çözümlerin ne yaptığı veya nasıl güvenlik sağladıkları üçüncü taraflarca (Common Criteria gibi) doğrulanabilir/akredite edilrebilir.
  • Kontrol ve Özne Bağımsızlığı: Güvenlik kontrolü, kontrol edilen özne üzerinde değişikliğe izin vermemelidir. Örneğin, bir dosya üzerindeki erişim kontrolü varsa, bu dosya üzerindeki erişim kontrolü atlatılamamalıdır.
  • Genele Uyarlama (Universal): Seçilen kontrol şirketin genelinde olmalıdır, özel olmamalıdır. Örneğin kurum içerisinde çok fazla Antivirüs ürünü değil, tek bir genel Antivirüs ürünü olmalı ve tüm kurum bilgisayarlarına yüklenmelidir.
  • Birlikte çalışma (Interoperability): Güvenlik kontrolleri birbiri ile entegre olarak çalışabilmelidir. Böylece güvenlik seviyesi, büyük resim olarak da görülebilir.
  • Derinlemesine güvenlik: Katmanlı güvenlik yapısı uygulanmalıdır. Bu yapıyı uyarlarken de Single Point of Failure veya Single Point of Compromise durumlarında olunmadığı mimari kurulmalıdır.
  • Kabullenilme (Acceptance / Tolerance): Güvenlik kontrolü çalışanlarca kabul edilebilir olmalıdır. Seçilen güvenlik kontrolü iş etkinliğini azaltmamalıdır.
  • Otomatikleştirilebilme: Seçilecek güvenlik kontrolü olabildiğince az insan etkisinde olmalıdır.
  • Tepki: Bir problem olması durumunda güvenlik kontrolü güvenliği düşürmemeli, zamanında uyarı vermeli ve ek önlemler alınabilmesini sağlamalıdır.
  • Sürdürülebilirlik (Sustainability): Seçilecek güvenlik kontrolünün bakımı kolay yapılabilir ve hem bugün hem de gelecek için sürdürülebilir olması (sık sık değiştirilmeye ihtiyacının olmaması) gereklidir.
  • Bölümlendirilebilirlik (Compartmentalization): Seçilecek güvenlik kontrolü bölümlendirilebilir olmalıdır. Örneğin, güvenlik kontrolü gizli ve herkese açık verileri/ortamları birbirinden ayırabilmelidir.
  • Denetlenebilirlik (Auditable): Güvenlik kontrolü test edilebilir olmalıdır.
  • Destek: Güvenlik kontrolü için (ihtiyaç varsa) destek alınabilir olmalıdır. Bu amaçla da güvenilir satıcılar (3. taraflar) ile çalışılmalıdır.
  • Problem duyarlılığı: Bir sıkıntı çıktığında güvenliği sağlamanın yöntemlerini sunmalıdır. Örneğin yönetici parolası kilitlenmesine karşın, yerel kullanıcıların kullanılması veya fiziksel olarak erişim sağlanarak oturum açılabilmesine imkan sağlanmalıdır.

 

Kaynaklar:

https://www.amazon.com/CISSP-Study-Guide-Eric-Conrad/dp/0128024372
https://app.pluralsight.com/paths/certificate/cisspr-certified-information-systems-security-professional

Learn What is Access Control in CISSP

Learn about Access Control in CISSP

Learn Different types of Security Controls in CISSP


https://www.langton.cloud/cissp-study-material/
https://slideplayer.com/slide/7720224/

 

 

İlişkili Yazılar:
Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

Benzer YazılarYAZARIN DİĞER İÇERİKLERİ

CEVAP VER

Yorumunuzu giriniz
İsminizi giriniz

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.