ݺߣ

ݺߣShare a Scribd company logo

8 kamu bilgi_teknoloji_guvenligi

K
kuzeyyolcusu

KAMU KURUMLARI BT GÜVENLİK ANALİZ SONUÇLARI VE ÇÖZÜM ÖNERİLERİN

1 of 39
Downloaded 14 times
TÜBİTAK ULUSAL ELEKTRONİK VE KRİPTOLOJİ ARAŞTIRMA ENSTİTÜSÜ TÜRKİYE KAMU KURUMLARI BT GÜVENLİK ANALİZ SONUÇLARI VE ÇÖZÜM ÖNERİLERİ Mehmet ERİŞ Uzman Araştırmacı eris@uekae .tubitak.gov.tr (262) 648 1527
HİZMETE ÖZEL Gündem Çalışmaların Amacı Çalışma Sonuçları Analiz Sonuçları Çözüm Önerileri Güvenlik Önlemleri Listesi Çözüm Önerileri 2006 Yılı Faaliyet Önerileri 13.06.2006 2
Çalışmaların Amacı Kamu kurumlarının BT Güvenlik Analizinin yapılması Çözüm Önerileri geliştirilmesi 13.06.2006 3
Çalışma Sonuçları 13.06.2006 4
Analiz Sonuçları – Önemli Eksiklikler Üst Yönetim Desteği Bilgi Sistem Güvenlik Politikası Bilgi Sistem Güvenlik Organizasyonu Bilgi Sistem Güvenlik Önlemleri 13.06.2006 5
Üst Yönetim Desteği 13.06.2006 6
Üst Yönetim Desteği (1/3) Yapılan çalışmalar sonucu: Kamu kurumlarında Bilgi Sistem Güvenlik Programının bulunmadığı ve sahipsiz olduğu tespit edilmiştir. 13.06.2006 7
Üst Yönetim Desteği (2/3) Bu durumun başlıca sebepleri: Kamu kurumlarının Bilgi Sistem Güvenliği Yükümlülüklerinin belirli olmaması ve Kamu kurumları Üst Yönetiminin bilgi sistem güvenliği konusunda yeterli Bilince sahip olmamasıdır. 13.06.2006 8
Üst Yönetim Desteği (3/3) Çözüm Önerileri: Kamu kurumlarında bilgi sistem güvenliğinden Sorumlu Üst Yöneticinin belirlenmesi Belirlenen üst yöneticileri için Kamu Kurumları Bilgi Güvenliği Konferansı düzenlenmesi Kamu kurumları için Asgari Güvenlik Önlemlerinin belirlenmesi ve yayınlanması 13.06.2006 9
Bilgi Sistem Güvenliği Politikası 13.06.2006 10
Bilgi Sistem Güvenlik Politikası (1/3) Yapılan çalışmalar sonucu: Kamu kurumlarının büyük çoğunluğunda Bilgi Sistem Güvenliği Politikasının olmadığı tespit edilmiştir. 13.06.2006 11
Bilgi Sistem Güvenlik Politikası (2/3) Bu durumun başlıca sebepleri: Kamu kurumlarının Bilgi Sistem Güvenliği Yükümlülüklerinin belirli olmaması ve Kamu kurumları Üst Yönetim ve Bilgi Sistem Yönetiminin yeterli bilince sahip olmaması 13.06.2006 12
Bilgi Sistem Güvenlik Politikası (3/3) Çözüm Önerileri: Belirlenen bilgi sistem güvenlik yöneticileri için Kamu Kurumları Bilgi Güvenliği Konferansı düzenlenmesi, Kamu kurumları için Kamu Kurumları Bilgi Sistem Güvenliği Politika Hazırlama Kılavuzunun hazırlanması. 13.06.2006 13
Bilgi Sistem Güvenlik Organizasyonu 13.06.2006 14
Bilgi Sistem Güvenlik Organizasyonu (1/3) Yapılan çalışmalar sonucu: Kurum içi: Kurum Birimleri ve Personeli Yetki ve Sorumluluklarının ve Kurum dışı: Dış Kaynak Kullanımı ve Satın Alma Kurallarının belirlenmediği tespit edilmiştir. 13.06.2006 15
Bilgi Sistem Güvenlik Organizasyonu (2/3) Bu durumun başlıca sebepleri: Kamu kurumlarında Bilgi Sistem Güvenliği Rolleri belirlenmemiştir. Dış Kaynak Kullanımı ve Satın Almalar ile ilgili kamu kurumları yükümlülükleri belirli değildir. Kamu kurumlarının kritik hizmetleri alabileceği Yetkin ve Güvenilir Bir Merkez bulunmamaktadır. 13.06.2006 16
Bilgi Sistem Güvenlik Organizasyonu (3/3) Çözüm Önerileri: Kurum içi Bilgi Sistem Güvenliği Rollerinin belirlenmesi Kamu Bilgi Sistem Güvenliği Merkezinin kurulması Dış Kaynak Kullanımı ve Satın Alma Kurallarının belirlenmesi 13.06.2006 17
Kurum İçi BT Güvenliği Rolleri (1/2) Kurum içi güvenlik faaliyetlerinin kurumun güvenlik ihtiyaçları ve kaynakları gözönünde bulundurularak uygun görev tanımları ile ilgili personele dağıtılmasıdır. 13.06.2006 18
Kurum İçi BT Güvenliği Rolleri (2/2) Kurum içi bilgi sistem güvenlik rolleri ana olarak şu şekilde ayrılabilir: Bilgi Sistem Güvenlik Yönetimi Güvenlik Sistemleri İşletimi (Güvenlik Duvarları, Antivirüs yazılımları, ...) Gözetleme Sistemleri İşletimi (Saldırı Tespit Sistemleri, Ağ Dinleyicileri, Denetleme Kayıtları İnceleme,...) Bilgisayar Güvenlik Olaylarına Müdahale İş Sürekliliği Dış kaynak Kullanımı Güvenlik İç Denetimi 13.06.2006 19
Kamu Bilgi Sistem Güvenlik Merkezi (1/4) Bilgi sistem teknolojilerinin çok önemli bir uzmanlık ve araştırma alanıdır. Bu nedenle kamu kurumlarının, bilgi sistem güvenliği ile ilgili faaliyetlerin tamamını kendi (personel) kaynakları ile gerçekleştirmesi mümkün değildir. Dışarıdan hizmet satın alınması bir çözüm yoludur. Fakat bazı kritik hizmetlerin kamu haricinden temin edilmesi güvenlik açısından kabul edilemez riskleri de beraberinde getirmektedir. 13.06.2006 20
Kamu Bilgi Sistem Güvenlik Merkezi (2/4) Güvenlik ile ilgili faaliyetlerin en verimli ve en güvenli şekilde sürdürülmesi kamu bilgi sistem güvenliği merkezinin kurulması ile mümkün olacaktır: Bu kuruluş; Bilgi sistem güvenliği ile ilgili araştırmalar yapacak, Dışarıdan alınması verimli ve güvenli olmayacak hizmetleri kamu kurumlarına sağlayacak, Kamu kurumları bilgi sistem güvenliği standartları ve kılavuzlarını hazırlayacak, Kamu kurumlar bilgi sistem güvenliği eğitimleri verecek ve Dışarıdan alınacak servisler ile standartları geliştirecektir. 13.06.2006 21
Kamu Bilgi Sistem Güvenlik Merkezi (3/4) Kamu Bilgi Sistem Güvenliği Merkezinin görevleri şu şekilde olmalıdır: Kamu Bilgi Sistem Güvenliği Konusunda Standart ve Kılavuzlar hazırlamak, Kamu Kurumlarına Bilgi Sistem Güvenliği Eğitimleri vermek Kamu Kurumları Bilgi Sistem Güvenliği Test ve Denetlemeler yapmak Kamu Kurumları Bilgi Sistem Ürün ve Sistemlerin Ortak Kriterler Standardına göre test ve değerlendirmelerini gerçekleştirmek, Kamu Kurumlarına Bilgisayar Olaylarına Müdahale ve Yasal Analiz Konusunda destek vermek Kamu Kurumları için Güncel Uyarıları Takip Ederek Alarm ve Uyarılar yayınlamak. 13.06.2006 22
Kamu Bilgi Sistem Güvenlik Merkezi (4/4) Kamu Bilgi Sistem Güvenliği Merkezinin görevleri (devam) Kamu Kurumları Bilgi Sistem Ürün ve Sistemlerin Ortak Kriterler Standardına göre test ve değerlendirmelerini gerçekleştirmek, Kamu Kurumlarına Bilgisayar Olaylarına Müdahale ve Yasal Analiz Konusunda destek vermek Kamu Kurumları için Güncel Uyarıları Takip Ederek Alarm ve Uyarılar yayınlamak. 13.06.2006 23
Dış Kaynak Kullanımı Kamu kurumlarının bilgi sistemleri ile ilgili dış kaynak kullanımı esasları belirlenmelidir. Dış kaynak kullanımı, bakım – onarım, projelendirme, tedarik, eğitim, danışmanlık gibi konularla ilgili kuralların konulmasını içermektedir. 13.06.2006 24
Diğer Tedbirler 13.06.2006 25
Diğer Tedbirler (1/3) Yapılan çalışmalar sonucu: Risk Yönetimi, Eğitim ve Bilinçlendirme, Varlık Sınıflandırması ve Denetimi, Erişim Kontrolü, Yaşam Döngüsü, Bilgisayar Olaylarına Müdahale, İş Sürekliliği, Personel Güvenliği, Fiziksel Güvenlik ile ilgili tedbirlerin yeterli olmadığı tespit edilmiştir. 13.06.2006 26
Diğer Tedbirler (2/3) Bu durumun başlıca sebepleri: Kamu kurumlarının Bilgi Sistem Güvenliği Yükümlülüklerinin belirli olmaması ve Kamu kurumları Bilgi Sistem Personelinin yeterli eğitime sahip olmaması 13.06.2006 27
Diğer Tedbirler (3/3) Çözüm Önerileri: Kamu Kurumları Asgari Güvenlik Önlemlerinin hazırlanması ve yayınlanması Kamu Kurumları Bilgi Sistem Güvenliği Eğitim Programının hazırlanması ve gerçekleştirilmesi 13.06.2006 28
Çözüm Önerileri 13.06.2006 29
Çözüm Önerileri (1/3) Bilgi sistem güvenliğinden Sorumlu Üst Yöneticinin belirlenmesi Belirlenen üst yöneticileri için Kamu Kurumları Bilgi Güvenliği Konferansı düzenlenmesi Kamu kurumları için Asgari Güvenlik Önlemlerinin belirlenmesi, yayınlanması ve denetlenmesi. 13.06.2006 30
Çözüm Önerileri (2/3) Belirlenen bilgi sistem güvenlik yöneticileri için Kamu Kurumları Bilgi Güvenliği Konferansı düzenlenmesi Kamu kurumları için Kamu Kurumları Bilgi Sistem Güvenliği Politika Hazırlama Kılavuzunun hazırlanması Kurum içi Bilgi Sistem Güvenliği Rollerinin belirlenmesi 13.06.2006 31
Çözüm Önerileri (3/3) Kamu Bilgi Sistem Güvenliği Merkezinin kurulması Dış Kaynak Kullanımı ve Satın Alma Kurallarının belirlenmesi Kamu Kurumları Bilgi Sistem Güvenliği Eğitim Programının hazırlanması ve gerçekleştirilmesi 13.06.2006 32
Kamu BT Güvenliği Yol Haritası 13.06.2006 33
Kamu Kurumlarının Önceliklendirilmesi Kamu kurumlarında alınacak olan güvenlik önlemleri, kurumun bilgi sistemlerinin kritikliği ile orantılı olmalıdır. Kamu kurumları bilgi sistemleri çok kritik, kritik ve az kritik olarak sınıflandırılmalıdır. Çalışmalar bu şekilde önceliklendirilmelidir. 13.06.2006 34
Kamu BT Güvenliği Yol Haritası Kritiklik Sınıflandırması – Kamu Kurumlarının Önceliklendirilmesi Kamu Kurumları Bilgi Sistem Yönetici Güvenlik Günü düzenlenmesi Kamu Bilgisayar Olaylarına Müdahale Yeteneği kazanılması kapsamında: Kurumlarda güvenlik olay müdahale sorumlularının tespiti Haberleşme kanallarının kurulması Çalıştay hazırlanması 13.06.2006 35
Kamu BT Güvenliği Yol Haritası Kamu Kurumları Bilgi Sistem Güvenlik Politikalarının hazırlanması Asgari Güvenlik Önlemleri dokümanını destekleyici Kılavuz Dokümanların Hazırlanması 13.06.2006 36
Kamu BT Güvenliği Yol Haritası Çok Kritik Kurumların Asgari Güvenlik Önlemlerini uygulamaları ve denetlenmeleri Çok Kritik Kurumların Bilgi Sistem Güvenliği Eğitim Programlarının planlanması ve gerçekleştirilmesi 13.06.2006 37
Kamu BT Güvenliği Yol Haritası Çalışmalara sırasıyla Kritik – Az Kritik Kurumlarda başlanması Asgari Güvenlik Önlemleri Dokümanının düzenli olarak güncellenmesi 13.06.2006 38
TÜBİTAK ULUSAL ELEKTRONİK VE KRİPTOLOJİ ARAŞTIRMA ENSTİTÜSÜ Teşekkürler ve Sorular? Mehmet ERİŞ eris@uekae.tubitak.gov.tr

Recommended

Ne kadar güvenliyiz ?
Ne kadar güvenliyiz ?Ne kadar güvenliyiz ?
Ne kadar güvenliyiz ?
ALİ CAN AKSAKAL
8th pre alg -l44
8th pre alg -l448th pre alg -l44
8th pre alg -l44
jdurst65
8 marzo dia mujer point8 marzo dia mujer point
8 marzo dia mujer point
Gloria Osuna Velasco
8 palabras dogmaticas8 palabras dogmaticas
8 palabras dogmaticas
henedu
8th PreAlg - Feb1
8th PreAlg - Feb18th PreAlg - Feb1
8th PreAlg - Feb1
jdurst65
8th board
8th board8th board
8th board
Nitish Soni
8th pre alg -l38
8th pre alg -l388th pre alg -l38
8th pre alg -l38
jdurst65
8ª sessão reflexão sobre a reunião8ª sessão reflexão sobre a reunião
8ª sessão reflexão sobre a reunião
Isabel Rosa
8th Grade Chapter 1 Lesson 3 pgs.22-26
8th Grade Chapter 1 Lesson 3 pgs.22-268th Grade Chapter 1 Lesson 3 pgs.22-26
8th Grade Chapter 1 Lesson 3 pgs.22-26
MRS.KDUNCAN
Галина Бакум про эл. и наличные деньги в расчетах интернет-магазинов
Галина Бакум про эл. и наличные деньги в расчетах интернет-магазиновГалина Бакум про эл. и наличные деньги в расчетах интернет-магазинов
Галина Бакум про эл. и наличные деньги в расчетах интернет-магазинов
Netpeak
8 octava8 octava
8 octava
Monica Camargo
8th pre alg -l30
8th pre alg -l308th pre alg -l30
8th pre alg -l30
jdurst65
Release Final - 8a. Noite ItalianaRelease Final - 8a. Noite Italiana
Release Final - 8a. Noite Italiana
Vinicius Carossini
Models of Imapct by Mathew Manos
Models of Imapct by Mathew ManosModels of Imapct by Mathew Manos
Models of Imapct by Mathew Manos
PHX Startup Week
8o D No108o D No10
8o D No10
Eli08
8 new physical laws (sems) and civil engineering
8 new physical laws (sems) and civil engineering8 new physical laws (sems) and civil engineering
8 new physical laws (sems) and civil engineering
Miguel Cabral Martín
8.el.d.de.la.i.(cuadro sinóptico)8.el.d.de.la.i.(cuadro sinóptico)
8.el.d.de.la.i.(cuadro sinóptico)
Escuela Libre de Psicología
8 item5 industry_makaryan
8 item5 industry_makaryan8 item5 industry_makaryan
8 item5 industry_makaryan
OECD Environment
8 regalos para ti (1)8 regalos para ti (1)
8 regalos para ti (1)
Garbriela_224
التخريج 8 new
التخريج 8 newالتخريج 8 new
التخريج 8 new
Rahmah Wahyu Ningrum
8th alg -l3.4
8th alg -l3.48th alg -l3.4
8th alg -l3.4
jdurst65
8 remote control
8 remote control8 remote control
8 remote control
johan palomino
8. gen set power selector chart issue 3
8. gen set power selector chart issue 38. gen set power selector chart issue 3
8. gen set power selector chart issue 3
Dang Hanh
8º evaluaciónconrespuestas8º evaluaciónconrespuestas
8º evaluaciónconrespuestas
sindicatocormup
8 marca
8 marca8 marca
8 marca
jagnisia
Muhammer KARAMAN, Hayrettin ÇATALKAYA - KURUMSAL SİBERGÜVENLİK: Açık Kaynak İ...
Muhammer KARAMAN, Hayrettin ÇATALKAYA - KURUMSAL SİBERGÜVENLİK: Açık Kaynak İ...Muhammer KARAMAN, Hayrettin ÇATALKAYA - KURUMSAL SİBERGÜVENLİK: Açık Kaynak İ...
Muhammer KARAMAN, Hayrettin ÇATALKAYA - KURUMSAL SİBERGÜVENLİK: Açık Kaynak İ...
BGA Cyber Security
SOME ve SOC Ekipleri İçin Açık Kaynak Çözümler
SOME ve SOC Ekipleri İçin Açık Kaynak ÇözümlerSOME ve SOC Ekipleri İçin Açık Kaynak Çözümler
SOME ve SOC Ekipleri İçin Açık Kaynak Çözümler
BGA Cyber Security
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİRAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ
BGA Cyber Security
Saglikta siber guvenlik ve veri guvenligi by cagri polat
Saglikta siber guvenlik ve veri guvenligi by cagri polatSaglikta siber guvenlik ve veri guvenligi by cagri polat
Saglikta siber guvenlik ve veri guvenligi by cagri polat
Çağrı Polat
Ulusal Siber Güvenlik Tatbikatı 2011 sonuç raporu
Ulusal Siber Güvenlik Tatbikatı 2011 sonuç raporuUlusal Siber Güvenlik Tatbikatı 2011 sonuç raporu
Ulusal Siber Güvenlik Tatbikatı 2011 sonuç raporu
Erol Dizdar

More Related Content

Viewers also liked (17)

8th Grade Chapter 1 Lesson 3 pgs.22-26
8th Grade Chapter 1 Lesson 3 pgs.22-268th Grade Chapter 1 Lesson 3 pgs.22-26
8th Grade Chapter 1 Lesson 3 pgs.22-26
MRS.KDUNCAN
Галина Бакум про эл. и наличные деньги в расчетах интернет-магазинов
Галина Бакум про эл. и наличные деньги в расчетах интернет-магазиновГалина Бакум про эл. и наличные деньги в расчетах интернет-магазинов
Галина Бакум про эл. и наличные деньги в расчетах интернет-магазинов
Netpeak
8 octava8 octava
8 octava
Monica Camargo
8th pre alg -l30
8th pre alg -l308th pre alg -l30
8th pre alg -l30
jdurst65
Release Final - 8a. Noite ItalianaRelease Final - 8a. Noite Italiana
Release Final - 8a. Noite Italiana
Vinicius Carossini
Models of Imapct by Mathew Manos
Models of Imapct by Mathew ManosModels of Imapct by Mathew Manos
Models of Imapct by Mathew Manos
PHX Startup Week
8o D No108o D No10
8o D No10
Eli08
8 new physical laws (sems) and civil engineering
8 new physical laws (sems) and civil engineering8 new physical laws (sems) and civil engineering
8 new physical laws (sems) and civil engineering
Miguel Cabral Martín
8.el.d.de.la.i.(cuadro sinóptico)8.el.d.de.la.i.(cuadro sinóptico)
8.el.d.de.la.i.(cuadro sinóptico)
Escuela Libre de Psicología
8 item5 industry_makaryan
8 item5 industry_makaryan8 item5 industry_makaryan
8 item5 industry_makaryan
OECD Environment
8 regalos para ti (1)8 regalos para ti (1)
8 regalos para ti (1)
Garbriela_224
التخريج 8 new
التخريج 8 newالتخريج 8 new
التخريج 8 new
Rahmah Wahyu Ningrum
8th alg -l3.4
8th alg -l3.48th alg -l3.4
8th alg -l3.4
jdurst65
8 remote control
8 remote control8 remote control
8 remote control
johan palomino
8. gen set power selector chart issue 3
8. gen set power selector chart issue 38. gen set power selector chart issue 3
8. gen set power selector chart issue 3
Dang Hanh
8º evaluaciónconrespuestas8º evaluaciónconrespuestas
8º evaluaciónconrespuestas
sindicatocormup
8 marca
8 marca8 marca
8 marca
jagnisia
8th Grade Chapter 1 Lesson 3 pgs.22-26
8th Grade Chapter 1 Lesson 3 pgs.22-268th Grade Chapter 1 Lesson 3 pgs.22-26
8th Grade Chapter 1 Lesson 3 pgs.22-26
MRS.KDUNCAN
Галина Бакум про эл. и наличные деньги в расчетах интернет-магазинов
Галина Бакум про эл. и наличные деньги в расчетах интернет-магазиновГалина Бакум про эл. и наличные деньги в расчетах интернет-магазинов
Галина Бакум про эл. и наличные деньги в расчетах интернет-магазинов
Netpeak
8 octava8 octava
8 octava
Monica Camargo
8th pre alg -l30
8th pre alg -l308th pre alg -l30
8th pre alg -l30
jdurst65
Release Final - 8a. Noite ItalianaRelease Final - 8a. Noite Italiana
Release Final - 8a. Noite Italiana
Vinicius Carossini
Models of Imapct by Mathew Manos
Models of Imapct by Mathew ManosModels of Imapct by Mathew Manos
Models of Imapct by Mathew Manos
PHX Startup Week
8o D No108o D No10
8o D No10
Eli08
8 new physical laws (sems) and civil engineering
8 new physical laws (sems) and civil engineering8 new physical laws (sems) and civil engineering
8 new physical laws (sems) and civil engineering
Miguel Cabral Martín
8.el.d.de.la.i.(cuadro sinóptico)8.el.d.de.la.i.(cuadro sinóptico)
8.el.d.de.la.i.(cuadro sinóptico)
Escuela Libre de Psicología
8 item5 industry_makaryan
8 item5 industry_makaryan8 item5 industry_makaryan
8 item5 industry_makaryan
OECD Environment
8 regalos para ti (1)8 regalos para ti (1)
8 regalos para ti (1)
Garbriela_224
التخريج 8 new
التخريج 8 newالتخريج 8 new
التخريج 8 new
Rahmah Wahyu Ningrum
8th alg -l3.4
8th alg -l3.48th alg -l3.4
8th alg -l3.4
jdurst65
8 remote control
8 remote control8 remote control
8 remote control
johan palomino
8. gen set power selector chart issue 3
8. gen set power selector chart issue 38. gen set power selector chart issue 3
8. gen set power selector chart issue 3
Dang Hanh
8º evaluaciónconrespuestas8º evaluaciónconrespuestas
8º evaluaciónconrespuestas
sindicatocormup
8 marca
8 marca8 marca
8 marca
jagnisia

Similar to 8 kamu bilgi_teknoloji_guvenligi (20)

Muhammer KARAMAN, Hayrettin ÇATALKAYA - KURUMSAL SİBERGÜVENLİK: Açık Kaynak İ...
Muhammer KARAMAN, Hayrettin ÇATALKAYA - KURUMSAL SİBERGÜVENLİK: Açık Kaynak İ...Muhammer KARAMAN, Hayrettin ÇATALKAYA - KURUMSAL SİBERGÜVENLİK: Açık Kaynak İ...
Muhammer KARAMAN, Hayrettin ÇATALKAYA - KURUMSAL SİBERGÜVENLİK: Açık Kaynak İ...
BGA Cyber Security
SOME ve SOC Ekipleri İçin Açık Kaynak Çözümler
SOME ve SOC Ekipleri İçin Açık Kaynak ÇözümlerSOME ve SOC Ekipleri İçin Açık Kaynak Çözümler
SOME ve SOC Ekipleri İçin Açık Kaynak Çözümler
BGA Cyber Security
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİRAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ
BGA Cyber Security
Saglikta siber guvenlik ve veri guvenligi by cagri polat
Saglikta siber guvenlik ve veri guvenligi by cagri polatSaglikta siber guvenlik ve veri guvenligi by cagri polat
Saglikta siber guvenlik ve veri guvenligi by cagri polat
Çağrı Polat
Ulusal Siber Güvenlik Tatbikatı 2011 sonuç raporu
Ulusal Siber Güvenlik Tatbikatı 2011 sonuç raporuUlusal Siber Güvenlik Tatbikatı 2011 sonuç raporu
Ulusal Siber Güvenlik Tatbikatı 2011 sonuç raporu
Erol Dizdar
Ultzk2016
Ultzk2016Ultzk2016
Ultzk2016
Mahir SALLAN
Google Güvenli Yapay Zeka Framework Yaklaşımı(Türkçe Çeviri)
Google Güvenli Yapay Zeka Framework Yaklaşımı(Türkçe Çeviri)Google Güvenli Yapay Zeka Framework Yaklaşımı(Türkçe Çeviri)
Google Güvenli Yapay Zeka Framework Yaklaşımı(Türkçe Çeviri)
AISecLab
2010 Bilkent Pardus Günleri
2010 Bilkent Pardus Günleri2010 Bilkent Pardus Günleri
2010 Bilkent Pardus Günleri
Burak Oğuz
Pencereleri Kapatın
Pencereleri KapatınPencereleri Kapatın
Pencereleri Kapatın
Burak Oğuz
guvenlik yonetim 113L (1).pdf
guvenlik yonetim 113L (1).pdfguvenlik yonetim 113L (1).pdf
guvenlik yonetim 113L (1).pdf
YunusEmreKK1
guvenlik yonetim 113L.pdf
guvenlik yonetim 113L.pdfguvenlik yonetim 113L.pdf
guvenlik yonetim 113L.pdf
YunusEmreKK1
14. Ege Bilgi Guvenligi Etkinligi By Cagri Polat
14. Ege Bilgi Guvenligi Etkinligi By Cagri Polat14. Ege Bilgi Guvenligi Etkinligi By Cagri Polat
14. Ege Bilgi Guvenligi Etkinligi By Cagri Polat
Çağrı Polat
Guvenlik yonetimi 56 low (1).pdf
Guvenlik yonetimi 56 low (1).pdfGuvenlik yonetimi 56 low (1).pdf
Guvenlik yonetimi 56 low (1).pdf
YunusEmreKK1
guvenlik yonetim 112.pdf
guvenlik yonetim 112.pdfguvenlik yonetim 112.pdf
guvenlik yonetim 112.pdf
YunusEmreKK1
GUVENLI YAZILIM ve BILGI GUVENLIGI
GUVENLI YAZILIM ve BILGI GUVENLIGIGUVENLI YAZILIM ve BILGI GUVENLIGI
GUVENLI YAZILIM ve BILGI GUVENLIGI
Ahmet Pekel
Seçsi̇s sistemi hakkında değerlendirme ve öneriler
Seçsi̇s sistemi hakkında değerlendirme ve önerilerSeçsi̇s sistemi hakkında değerlendirme ve öneriler
Seçsi̇s sistemi hakkında değerlendirme ve öneriler
Cuneyt Goksu
guvenlik yonetim 107-last.pdf
guvenlik yonetim 107-last.pdfguvenlik yonetim 107-last.pdf
guvenlik yonetim 107-last.pdf
YunusEmreKK1
guvenlik yonetim 107.pdf
guvenlik yonetim 107.pdfguvenlik yonetim 107.pdf
guvenlik yonetim 107.pdf
YunusEmreKK1
Yonetim bilgi sistemleri
Yonetim bilgi sistemleriYonetim bilgi sistemleri
Yonetim bilgi sistemleri
raketot
Yonetim bilgi sistemleri
Yonetim bilgi sistemleriYonetim bilgi sistemleri
Yonetim bilgi sistemleri
hakanakdag
Muhammer KARAMAN, Hayrettin ÇATALKAYA - KURUMSAL SİBERGÜVENLİK: Açık Kaynak İ...
Muhammer KARAMAN, Hayrettin ÇATALKAYA - KURUMSAL SİBERGÜVENLİK: Açık Kaynak İ...Muhammer KARAMAN, Hayrettin ÇATALKAYA - KURUMSAL SİBERGÜVENLİK: Açık Kaynak İ...
Muhammer KARAMAN, Hayrettin ÇATALKAYA - KURUMSAL SİBERGÜVENLİK: Açık Kaynak İ...
BGA Cyber Security
SOME ve SOC Ekipleri İçin Açık Kaynak Çözümler
SOME ve SOC Ekipleri İçin Açık Kaynak ÇözümlerSOME ve SOC Ekipleri İçin Açık Kaynak Çözümler
SOME ve SOC Ekipleri İçin Açık Kaynak Çözümler
BGA Cyber Security
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİRAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ
BGA Cyber Security
Saglikta siber guvenlik ve veri guvenligi by cagri polat
Saglikta siber guvenlik ve veri guvenligi by cagri polatSaglikta siber guvenlik ve veri guvenligi by cagri polat
Saglikta siber guvenlik ve veri guvenligi by cagri polat
Çağrı Polat
Ulusal Siber Güvenlik Tatbikatı 2011 sonuç raporu
Ulusal Siber Güvenlik Tatbikatı 2011 sonuç raporuUlusal Siber Güvenlik Tatbikatı 2011 sonuç raporu
Ulusal Siber Güvenlik Tatbikatı 2011 sonuç raporu
Erol Dizdar
Ultzk2016
Ultzk2016Ultzk2016
Ultzk2016
Mahir SALLAN
Google Güvenli Yapay Zeka Framework Yaklaşımı(Türkçe Çeviri)
Google Güvenli Yapay Zeka Framework Yaklaşımı(Türkçe Çeviri)Google Güvenli Yapay Zeka Framework Yaklaşımı(Türkçe Çeviri)
Google Güvenli Yapay Zeka Framework Yaklaşımı(Türkçe Çeviri)
AISecLab
2010 Bilkent Pardus Günleri
2010 Bilkent Pardus Günleri2010 Bilkent Pardus Günleri
2010 Bilkent Pardus Günleri
Burak Oğuz
Pencereleri Kapatın
Pencereleri KapatınPencereleri Kapatın
Pencereleri Kapatın
Burak Oğuz
guvenlik yonetim 113L (1).pdf
guvenlik yonetim 113L (1).pdfguvenlik yonetim 113L (1).pdf
guvenlik yonetim 113L (1).pdf
YunusEmreKK1
guvenlik yonetim 113L.pdf
guvenlik yonetim 113L.pdfguvenlik yonetim 113L.pdf
guvenlik yonetim 113L.pdf
YunusEmreKK1
14. Ege Bilgi Guvenligi Etkinligi By Cagri Polat
14. Ege Bilgi Guvenligi Etkinligi By Cagri Polat14. Ege Bilgi Guvenligi Etkinligi By Cagri Polat
14. Ege Bilgi Guvenligi Etkinligi By Cagri Polat
Çağrı Polat
Guvenlik yonetimi 56 low (1).pdf
Guvenlik yonetimi 56 low (1).pdfGuvenlik yonetimi 56 low (1).pdf
Guvenlik yonetimi 56 low (1).pdf
YunusEmreKK1
guvenlik yonetim 112.pdf
guvenlik yonetim 112.pdfguvenlik yonetim 112.pdf
guvenlik yonetim 112.pdf
YunusEmreKK1
GUVENLI YAZILIM ve BILGI GUVENLIGI
GUVENLI YAZILIM ve BILGI GUVENLIGIGUVENLI YAZILIM ve BILGI GUVENLIGI
GUVENLI YAZILIM ve BILGI GUVENLIGI
Ahmet Pekel
Seçsi̇s sistemi hakkında değerlendirme ve öneriler
Seçsi̇s sistemi hakkında değerlendirme ve önerilerSeçsi̇s sistemi hakkında değerlendirme ve öneriler
Seçsi̇s sistemi hakkında değerlendirme ve öneriler
Cuneyt Goksu
guvenlik yonetim 107-last.pdf
guvenlik yonetim 107-last.pdfguvenlik yonetim 107-last.pdf
guvenlik yonetim 107-last.pdf
YunusEmreKK1
guvenlik yonetim 107.pdf
guvenlik yonetim 107.pdfguvenlik yonetim 107.pdf
guvenlik yonetim 107.pdf
YunusEmreKK1
Yonetim bilgi sistemleri
Yonetim bilgi sistemleriYonetim bilgi sistemleri
Yonetim bilgi sistemleri
raketot
Yonetim bilgi sistemleri
Yonetim bilgi sistemleriYonetim bilgi sistemleri
Yonetim bilgi sistemleri
hakanakdag

8 kamu bilgi_teknoloji_guvenligi

  • 1. TÜBİTAK ULUSAL ELEKTRONİK VE KRİPTOLOJİ ARAŞTIRMA ENSTİTÜSÜ TÜRKİYE KAMU KURUMLARI BT GÜVENLİK ANALİZ SONUÇLARI VE ÇÖZÜM ÖNERİLERİ Mehmet ERİŞ Uzman Araştırmacı eris@uekae .tubitak.gov.tr (262) 648 1527
  • 2. HİZMETE ÖZEL Gündem Çalışmaların Amacı Çalışma Sonuçları Analiz Sonuçları Çözüm Önerileri Güvenlik Önlemleri Listesi Çözüm Önerileri 2006 Yılı Faaliyet Önerileri 13.06.2006 2
  • 3. Çalışmaların Amacı Kamu kurumlarının BT Güvenlik Analizinin yapılması Çözüm Önerileri geliştirilmesi 13.06.2006 3
  • 5. Analiz Sonuçları – Önemli Eksiklikler Üst Yönetim Desteği Bilgi Sistem Güvenlik Politikası Bilgi Sistem Güvenlik Organizasyonu Bilgi Sistem Güvenlik Önlemleri 13.06.2006 5
  • 7. Üst Yönetim Desteği (1/3) Yapılan çalışmalar sonucu: Kamu kurumlarında Bilgi Sistem Güvenlik Programının bulunmadığı ve sahipsiz olduğu tespit edilmiştir. 13.06.2006 7
  • 8. Üst Yönetim Desteği (2/3) Bu durumun başlıca sebepleri: Kamu kurumlarının Bilgi Sistem Güvenliği Yükümlülüklerinin belirli olmaması ve Kamu kurumları Üst Yönetiminin bilgi sistem güvenliği konusunda yeterli Bilince sahip olmamasıdır. 13.06.2006 8
  • 9. Üst Yönetim Desteği (3/3) Çözüm Önerileri: Kamu kurumlarında bilgi sistem güvenliğinden Sorumlu Üst Yöneticinin belirlenmesi Belirlenen üst yöneticileri için Kamu Kurumları Bilgi Güvenliği Konferansı düzenlenmesi Kamu kurumları için Asgari Güvenlik Önlemlerinin belirlenmesi ve yayınlanması 13.06.2006 9
  • 10. Bilgi Sistem Güvenliği Politikası 13.06.2006 10
  • 11. Bilgi Sistem Güvenlik Politikası (1/3) Yapılan çalışmalar sonucu: Kamu kurumlarının büyük çoğunluğunda Bilgi Sistem Güvenliği Politikasının olmadığı tespit edilmiştir. 13.06.2006 11
  • 12. Bilgi Sistem Güvenlik Politikası (2/3) Bu durumun başlıca sebepleri: Kamu kurumlarının Bilgi Sistem Güvenliği Yükümlülüklerinin belirli olmaması ve Kamu kurumları Üst Yönetim ve Bilgi Sistem Yönetiminin yeterli bilince sahip olmaması 13.06.2006 12
  • 13. Bilgi Sistem Güvenlik Politikası (3/3) Çözüm Önerileri: Belirlenen bilgi sistem güvenlik yöneticileri için Kamu Kurumları Bilgi Güvenliği Konferansı düzenlenmesi, Kamu kurumları için Kamu Kurumları Bilgi Sistem Güvenliği Politika Hazırlama Kılavuzunun hazırlanması. 13.06.2006 13
  • 14. Bilgi Sistem Güvenlik Organizasyonu 13.06.2006 14
  • 15. Bilgi Sistem Güvenlik Organizasyonu (1/3) Yapılan çalışmalar sonucu: Kurum içi: Kurum Birimleri ve Personeli Yetki ve Sorumluluklarının ve Kurum dışı: Dış Kaynak Kullanımı ve Satın Alma Kurallarının belirlenmediği tespit edilmiştir. 13.06.2006 15
  • 16. Bilgi Sistem Güvenlik Organizasyonu (2/3) Bu durumun başlıca sebepleri: Kamu kurumlarında Bilgi Sistem Güvenliği Rolleri belirlenmemiştir. Dış Kaynak Kullanımı ve Satın Almalar ile ilgili kamu kurumları yükümlülükleri belirli değildir. Kamu kurumlarının kritik hizmetleri alabileceği Yetkin ve Güvenilir Bir Merkez bulunmamaktadır. 13.06.2006 16
  • 17. Bilgi Sistem Güvenlik Organizasyonu (3/3) Çözüm Önerileri: Kurum içi Bilgi Sistem Güvenliği Rollerinin belirlenmesi Kamu Bilgi Sistem Güvenliği Merkezinin kurulması Dış Kaynak Kullanımı ve Satın Alma Kurallarının belirlenmesi 13.06.2006 17
  • 18. Kurum İçi BT Güvenliği Rolleri (1/2) Kurum içi güvenlik faaliyetlerinin kurumun güvenlik ihtiyaçları ve kaynakları gözönünde bulundurularak uygun görev tanımları ile ilgili personele dağıtılmasıdır. 13.06.2006 18
  • 19. Kurum İçi BT Güvenliği Rolleri (2/2) Kurum içi bilgi sistem güvenlik rolleri ana olarak şu şekilde ayrılabilir: Bilgi Sistem Güvenlik Yönetimi Güvenlik Sistemleri İşletimi (Güvenlik Duvarları, Antivirüs yazılımları, ...) Gözetleme Sistemleri İşletimi (Saldırı Tespit Sistemleri, Ağ Dinleyicileri, Denetleme Kayıtları İnceleme,...) Bilgisayar Güvenlik Olaylarına Müdahale İş Sürekliliği Dış kaynak Kullanımı Güvenlik İç Denetimi 13.06.2006 19
  • 20. Kamu Bilgi Sistem Güvenlik Merkezi (1/4) Bilgi sistem teknolojilerinin çok önemli bir uzmanlık ve araştırma alanıdır. Bu nedenle kamu kurumlarının, bilgi sistem güvenliği ile ilgili faaliyetlerin tamamını kendi (personel) kaynakları ile gerçekleştirmesi mümkün değildir. Dışarıdan hizmet satın alınması bir çözüm yoludur. Fakat bazı kritik hizmetlerin kamu haricinden temin edilmesi güvenlik açısından kabul edilemez riskleri de beraberinde getirmektedir. 13.06.2006 20
  • 21. Kamu Bilgi Sistem Güvenlik Merkezi (2/4) Güvenlik ile ilgili faaliyetlerin en verimli ve en güvenli şekilde sürdürülmesi kamu bilgi sistem güvenliği merkezinin kurulması ile mümkün olacaktır: Bu kuruluş; Bilgi sistem güvenliği ile ilgili araştırmalar yapacak, Dışarıdan alınması verimli ve güvenli olmayacak hizmetleri kamu kurumlarına sağlayacak, Kamu kurumları bilgi sistem güvenliği standartları ve kılavuzlarını hazırlayacak, Kamu kurumlar bilgi sistem güvenliği eğitimleri verecek ve Dışarıdan alınacak servisler ile standartları geliştirecektir. 13.06.2006 21
  • 22. Kamu Bilgi Sistem Güvenlik Merkezi (3/4) Kamu Bilgi Sistem Güvenliği Merkezinin görevleri şu şekilde olmalıdır: Kamu Bilgi Sistem Güvenliği Konusunda Standart ve Kılavuzlar hazırlamak, Kamu Kurumlarına Bilgi Sistem Güvenliği Eğitimleri vermek Kamu Kurumları Bilgi Sistem Güvenliği Test ve Denetlemeler yapmak Kamu Kurumları Bilgi Sistem Ürün ve Sistemlerin Ortak Kriterler Standardına göre test ve değerlendirmelerini gerçekleştirmek, Kamu Kurumlarına Bilgisayar Olaylarına Müdahale ve Yasal Analiz Konusunda destek vermek Kamu Kurumları için Güncel Uyarıları Takip Ederek Alarm ve Uyarılar yayınlamak. 13.06.2006 22
  • 23. Kamu Bilgi Sistem Güvenlik Merkezi (4/4) Kamu Bilgi Sistem Güvenliği Merkezinin görevleri (devam) Kamu Kurumları Bilgi Sistem Ürün ve Sistemlerin Ortak Kriterler Standardına göre test ve değerlendirmelerini gerçekleştirmek, Kamu Kurumlarına Bilgisayar Olaylarına Müdahale ve Yasal Analiz Konusunda destek vermek Kamu Kurumları için Güncel Uyarıları Takip Ederek Alarm ve Uyarılar yayınlamak. 13.06.2006 23
  • 24. Dış Kaynak Kullanımı Kamu kurumlarının bilgi sistemleri ile ilgili dış kaynak kullanımı esasları belirlenmelidir. Dış kaynak kullanımı, bakım – onarım, projelendirme, tedarik, eğitim, danışmanlık gibi konularla ilgili kuralların konulmasını içermektedir. 13.06.2006 24
  • 26. Diğer Tedbirler (1/3) Yapılan çalışmalar sonucu: Risk Yönetimi, Eğitim ve Bilinçlendirme, Varlık Sınıflandırması ve Denetimi, Erişim Kontrolü, Yaşam Döngüsü, Bilgisayar Olaylarına Müdahale, İş Sürekliliği, Personel Güvenliği, Fiziksel Güvenlik ile ilgili tedbirlerin yeterli olmadığı tespit edilmiştir. 13.06.2006 26
  • 27. Diğer Tedbirler (2/3) Bu durumun başlıca sebepleri: Kamu kurumlarının Bilgi Sistem Güvenliği Yükümlülüklerinin belirli olmaması ve Kamu kurumları Bilgi Sistem Personelinin yeterli eğitime sahip olmaması 13.06.2006 27
  • 28. Diğer Tedbirler (3/3) Çözüm Önerileri: Kamu Kurumları Asgari Güvenlik Önlemlerinin hazırlanması ve yayınlanması Kamu Kurumları Bilgi Sistem Güvenliği Eğitim Programının hazırlanması ve gerçekleştirilmesi 13.06.2006 28
  • 30. Çözüm Önerileri (1/3) Bilgi sistem güvenliğinden Sorumlu Üst Yöneticinin belirlenmesi Belirlenen üst yöneticileri için Kamu Kurumları Bilgi Güvenliği Konferansı düzenlenmesi Kamu kurumları için Asgari Güvenlik Önlemlerinin belirlenmesi, yayınlanması ve denetlenmesi. 13.06.2006 30
  • 31. Çözüm Önerileri (2/3) Belirlenen bilgi sistem güvenlik yöneticileri için Kamu Kurumları Bilgi Güvenliği Konferansı düzenlenmesi Kamu kurumları için Kamu Kurumları Bilgi Sistem Güvenliği Politika Hazırlama Kılavuzunun hazırlanması Kurum içi Bilgi Sistem Güvenliği Rollerinin belirlenmesi 13.06.2006 31
  • 32. Çözüm Önerileri (3/3) Kamu Bilgi Sistem Güvenliği Merkezinin kurulması Dış Kaynak Kullanımı ve Satın Alma Kurallarının belirlenmesi Kamu Kurumları Bilgi Sistem Güvenliği Eğitim Programının hazırlanması ve gerçekleştirilmesi 13.06.2006 32
  • 33. Kamu BT Güvenliği Yol Haritası 13.06.2006 33
  • 34. Kamu Kurumlarının Önceliklendirilmesi Kamu kurumlarında alınacak olan güvenlik önlemleri, kurumun bilgi sistemlerinin kritikliği ile orantılı olmalıdır. Kamu kurumları bilgi sistemleri çok kritik, kritik ve az kritik olarak sınıflandırılmalıdır. Çalışmalar bu şekilde önceliklendirilmelidir. 13.06.2006 34
  • 35. Kamu BT Güvenliği Yol Haritası Kritiklik Sınıflandırması – Kamu Kurumlarının Önceliklendirilmesi Kamu Kurumları Bilgi Sistem Yönetici Güvenlik Günü düzenlenmesi Kamu Bilgisayar Olaylarına Müdahale Yeteneği kazanılması kapsamında: Kurumlarda güvenlik olay müdahale sorumlularının tespiti Haberleşme kanallarının kurulması Çalıştay hazırlanması 13.06.2006 35
  • 36. Kamu BT Güvenliği Yol Haritası Kamu Kurumları Bilgi Sistem Güvenlik Politikalarının hazırlanması Asgari Güvenlik Önlemleri dokümanını destekleyici Kılavuz Dokümanların Hazırlanması 13.06.2006 36
  • 37. Kamu BT Güvenliği Yol Haritası Çok Kritik Kurumların Asgari Güvenlik Önlemlerini uygulamaları ve denetlenmeleri Çok Kritik Kurumların Bilgi Sistem Güvenliği Eğitim Programlarının planlanması ve gerçekleştirilmesi 13.06.2006 37
  • 38. Kamu BT Güvenliği Yol Haritası Çalışmalara sırasıyla Kritik – Az Kritik Kurumlarda başlanması Asgari Güvenlik Önlemleri Dokümanının düzenli olarak güncellenmesi 13.06.2006 38
  • 39. TÜBİTAK ULUSAL ELEKTRONİK VE KRİPTOLOJİ ARAŞTIRMA ENSTİTÜSÜ Teşekkürler ve Sorular? Mehmet ERİŞ eris@uekae.tubitak.gov.tr