Bilgi ve İletişim Güvenliği Rehberi’nin Kurumlar ve İşletmeler İçin Önerileri



Bilgi ve İletişim Güvenliği Rehberi’nin Kurumlar ve İşletmeler İçin Önerileri.

“Sahip Olamadığın, Bilmediğin Sistemi/Varlığı/Veriyi Koruyamazsın”

Serdar TANERİ BG-Tek Bilgi Güvenliği Teknolojileri şirketinde PentestBX Ürün Müdürü

Şüphesiz ki dünyanın hiçbir yerinde siber güvenlik alanında yüzde yüz güvenlikten bahsetmek mümkün değildir. Ancak insan, teknoloji, organizasyon yapısı, yasal düzenleme ile ulusal ve uluslararası iş birliği boyutlarının her birinde atılacak doğru ve bilinçli adımlarla yıkıcı etkilerden korunmak mümkündür.

Bilgi ve İletişim Güvenliği tedbirlerini içeren, 06.07.2019 tarih ve 30823 sayılı Resmî Gazete’de yayımlanarak yürürlüğe giren 2019/12 sayılı Cumhurbaşkanlığı Genelgesi yasal düzenleme boyutunda ülke çapında bilgi güvenliği seviyesini artırmaya yönelik önemli bir adım olmuştur.

Orijinal Haline buradan (https://cbddo.gov.tr/SharedFolderServer/Genel/File/bg_rehber.pdf) ulaşabileceğiniz Bilgi ve İletişim Güvenliği Rehberi, uzun araştırmalar ve çalışmalar sonucunda oluşturulmuş ve uluslararası standartları içeren özel bir kaynaktır ve bu çalışmada emeği geçen herkese teşekkürlerimizi sunuyoruz.

Bu makalemizde Bilgi ve İletişim Güvenliği Rehberini inceliyor ve rehberde yer alan başlıklardan bazılarını mercek altına alıyoruz.

Varlık Gruplarına Yönelik Güvenlik Tedbirleri: Tanımlanan her bir varlık grubuna dâhil olduğu ana başlığa göre uygulanacak olan asgari güvenlik tedbirleri belirlenmiş ve detaylandırılmıştır.

Uygulama ve Teknoloji Alanlarına Yönelik Güvenlik Tedbirleri: Varlık grupları özelinde tanımlanan güvenlik tedbirlerine ek olarak, uygulama ve teknoloji alanlarına özel güvenlik tedbirleri tanımlanmış ve detaylandırılmıştır. Her bir varlık grubu için ilgili uygulama ve teknoloji alanları belirlenmeli ve belirlenen alanlar için tanımlanan güvenlik tedbirleri de ilgili varlık gruplarına uygulanmalıdır.

Sıkılaştırma Tedbirleri: İşletim sistemi, veri tabanı ve sunucular için sıkılaştırma tedbirlerini içermektedir.

3.1.1.2  Donanım Envanter İçeriğinin Yönetimi:

Donanım envanteri en az; her bir donanımın ağ adresini, donanım adresini, makine adını, seri numarasını, markasını, modelini, destek alınan tedarikçi sözleşme bilgilerini (bakım süresi, kapsamı vb.), donanımın sorumlusunu, sorumlu kişinin birimini ve donanımın kurum tarafından onaylı olup olmadığı bilgisini içermelidir. Donanım envanter içeriğinde yapılan değişiklikler kayıt altına alınmalıdır.

3.1.2.1  Yazılım Envanterinin Yönetimi

Kurumda kullanılan tüm yazılımların (işletim sistemleri, donanım yazılımları, üçüncü parti yazılımlar, uygulama yazılımları vb.) güncel bir listesi tutulmalı ve listeye yalnızca yetkilendirilmiş personelin erişimi mümkün kılınmalıdır.

3.1.3.1  Yazılım Güncelleme Araçlarının Kullanımı

Tüm sistemlerdeki yazılımların, mevcut iş gereksinimlerini karşılayacak ve yazılım üreticisi tarafından sağlanan en kararlı ve güncel güvenlik sürümleri ile çalıştırılmakta olduğu otomatik yazılım güncelleme araçları kullanılarak kontrol edilmelidir. Otomatik yazılım güncelleme araçlarının kullanılamadığı durumlarda uzman personel tarafından manuel olarak gerekli kontroller periyodik olarak yapılmalıdır.

3.1.3.3  Zafiyet/Yama Yönetimi

Kurum ağının ve sistem bileşenlerinin güvenlik açıklarının zamanında tespit edilmesi için uygulanacak politikalar ve süreçler tanımlanmalıdır. Zafiyet ve yama yönetimine ilişkin değişiklikler, tanımlanmış değişiklik yönetimi süreci üzerinden kontrollü olarak gerçekleştirilmelidir.

Zafiyet tespit edilmesi, zayfiyetlerin kronolojik olarak izlenebilmesi ve zafiyetlerin kapatılıp kapatılmadığının sürekli olarak kontrol edebilmesi için PentestBX kullanılabilir.

3.1.3.6  Güvenlik Açıkları için Risk Analizi Tabanlı Önceliklendirme

Tespit edilen güvenlik açıklarının giderilmesi için hazırlanan aksiyon planına yönelik önceliklendirme risk analizi tabanlı yapılmalıdır.

Bu aşamada sahip olunan varlıkları düşük öncelikli, yüksek öncelikli, kritik gibi kategorize ederek gruplayarak her bir varlık ve varlık grubu için risk puanlarını zayıflık bulgularından yola çıkarak hesaplayan PentestBX ile kolay bir şekilde öncelikler belirlenebilir.

3.1.3.10 Aktif Portların, Servislerin ve Protokollerin Varlık Envanterinde Tutulması

Aktif bağlantı portları, servisler ve protokoller donanım ve yazılım varlık envanterinde yer alan varlıklar ile eşleştirilmelidir. Kurum sistemlerinin tümünü kapsayacak şekilde port, servis ve protokol taramaları gerçekleştirilmelidir.

PentestBX varlıklarınızı düzenli olarak tarayarak aktif protokol ve portları, bu portlar üzerinde çalışmakta olan servisleri, bu servisler üzerindeki zayıflıkları envanterinde tutar ve kronolojik olarak değişikliklerin izlenmesine imkan verir.

3.1.6.1  Ağ Topolojisi

Kurum ağlarına ait topolojiler güvenli bir şekilde tutulmalı ve güncelliği kontrol edilmelidir.

PentestBX ağ haritanızı güncel bir şekilde tutarak varlıklarınızı ve bu varlıkların zayıflıklarını takip edebilmeniz için imkan sağlar.

3.1.6.5  İzin Verilmeyen Trafiğin Engellenmesi

Kurum ağ sınırlarından sadece izin verilen kaynaklardan izin verilen hedeflere, izin verilen port ve protokoller ile trafiğin akışı sağlanmalıdır. Bu gibi filtreleme işlemleri için gelişmi güvenlk duvarı özelliklerine sahip Coslat Firewall ürünleri kullanılabilir.

3.1.6.7  DoS/DDoS Koruması

Kurumun internete açık hizmetleri için olası DoS/DDoS saldırılarına karşı servis dışı kalmasını önlemek, iş sürekliliğini sağlamak amacıyla en az aşağıdaki önlemler alınmalıdır. 

  • Güvenlik ürünleri üzerinde DoS/DDoS saldırılarına özel konfigürasyonların yapılması
  • DDoS engelleme sistemlerinin sınırları ve yeteneklerinin düzenli aralıklarla test edilmesi ve sürekli iyileştirilmesi/güncellenmesi
  • DDoS koruma için bir servis sağlayıcıdan hizmet temin edilmiş ise; servis sağlayıcıdan yukarıdaki şartlara göre hizmet verildiğine dair taahhüt alınması, tedarik şartname ve sözleşmelerinde bu hususların belirtilmesi.

Coslat Firewall ürünleri üzerinde DoS saldırılarını bertaraf etmenizi ya etkilerini azaltmanızı sağlayacak SYN Proxy, Rate Limiting gibi özelliklerle birlikte olası saldırıları ve tespit edip engellemenizi sağlayacak IDS/IPS özellikleri de mevcuttur.

ISP Tarafından sağlanan DoS koruma hizmetinin etkinliğinin test edilmesi için TSE A Sınıfı sızma testi firması olarak uzman ekibimizle güvenlik denetimleri gerçekleştirebilmekteyiz.

3.1.6.8  İnternet Ortamından Kurum İçi Kaynaklara Erişim

İnternet ortamından kurum içi kaynaklara kontrol dışı erişim engellenmelidir. İnternet ortamından kurum içi kaynaklara erişim gerekli ise VPN teknolojileri kullanılmalıdır. Uzaktan erişimlerin kurum politika ve prosedürlerine uygun olarak, kısıtlı süre ve yetkilerle yapılması sağlanmalıdır.

Coslat Firewall ile kurum dışından gelen internet trafiği kurum politikalarına uygun olarak filtrelenebileceği gibi yetkilişi kişilerin VPN bağlantıları ile kurum kaynaklarına erişebilmesi sağlanabilir.

VPN bağlantılarını çift faktörlü kimlik doğrulama ile daha güvenli hale getiren Coslat 2FA ürünü hem Coslat Firewall ile hem de önde gelen firewall ürünleri ile entegre bir şekide çalışabilir.

3.1.6.10  Misafir Ağı Yönetimi

Kurum ağı ile fiziksel ve/veya mantıksal olarak izole edilmiş bir misafir ağı oluşturulmalıdır. Misafirlerin, misafir ağına bağlanmaları öncesinde kimlik bilgilerini doğrulayan mekanizmalar devreye alınmalı ve misafirler tarafından misafir ağı üzerinden yapılan tüm erişimler kayıt altına alınmalıdır. Misafir cihazlarının yalnızca misafir ağına erişimleri mümkün kılınmalıdır.

Coslat Hizmet Portalı (Hotspot) ürünü ile misafir ağlarında ihtiyaç duyuabilecek tüm yetkilendirme ve kimlik doğrulama sorunları çözümlendiği gibi misafir internet erişimlerinin yasal mevzuata uygun olarak kayıt altına alınması sağlanmaktadır.

3.1.6.18  Ağ Sınır Cihazlarında Kayıt Tutulması

Ağ sınır cihazlarındaki bağlantı trafiği, kullanıcı işlemleri gibi bilgiler kayıt altına alınmalıdır. Bu cihazlardan syslog ile gönderilecek loglar Coslat 5651 Log Server üzerinde imzalanarak saklanabilir.

3.1.6.21  Ağ Tabanlı URL Filtreleri Kullanımı

Kurumdaki sistemlerin, kurum tarafından onaylanmayan ve mevzuat gereği erişimi yasak olan web sitelerine bağlanmasını engelleyen ağ tabanlı URL filtreleri uygulanmalıdır.

Coslat Firewall üzerinde yer alan filtreleme servisi hem URL filtreleme hem de içerik filtreleme yaparak kullanıcıların zararlı içeriklere erişimini engelleyebilir. Görünmez modda ya da vekil sunucu modunda kullanılabilen bu servis istemcilere sertifika yüklenmesine gerek kalmadan HTTPS filtreleme yapabilmektedir.

3.1.6.22  URL Kategori Hizmeti Kullanımı

URL sınıflandırma servisleri kullanılmalıdır. Bu servislerin kullandığı listeler güncel tutulmalıdır.

Kategorilendirilmemiş siteler varsayılan olarak engellenmelidir.

Coslat Firewall üzerindeki filtreleme servisi çok sayıda kategoriden oluşan oldukça gelişmiş bir kara listeye sahiptir. Ek olarak Coslat Güvenlik duvarı farklı siber istihbarat servisleriyle entegre olarak çalışabilir ve bu servislerden aldığı zararlı içerikleri filtreleyebilir.

3.1.6.23  URL’lerin Kayıt Altına Alınması

Potansiyel olarak zararlı etkinlikleri tanımlamak ve saldırıya uğramış sistemlerin belirlenmesine yardımcı olmak için sistemlerden gelen tüm isteklere ait URL’ler kaydedilmelidir.

Coslat Firewall ürünleri istemcilerin yaptıkları web erişimlerini yasal mevzuata uygun bir şekilde kayıt altına alabilmektedir.

3.1.11.1  Sızma Testleri ve Güvenlik Denetimlerinin Gerçekleştirilmesi

Kurum sistemlerinin güvenlik açıklarını ve saldırı yüzeyini belirlemek için düzenli aralıklarla harici ve dâhili sızma testleri ve güvenlik denetimleri gerçekleştirilmelidir. Sızma testleri ve güvenlik denetimleri gerçekleştirilmeden önce testi gerçekleştirecek taraftan, test süresince elde edilen hiçbir verinin yetkisiz kişilere verilmemesi, aktarılmaması ve ifşa edilmemesine yönelik taahhüt alınmalıdır. Sızma testi ve güvenlik denetimi kapsamı tanımlanmalı ve dokümante edilmelidir. Sosyal mühendislik testleri de sızma testi kapsamına dâhil edilmelidir.

TSE A Sınıfı Sızma Testi Firması olan BG-TEK uzman ekibi ile standartlara uygun olarak sızma testlerini gerçekleştirmektedir. Yapılan gizlilik ve yetkilendirme sözleşmelerinin ardından uzman ekibimiz  testleri azami dikkat ve özenle gerçekleştirmektedir. Test süreçleri kurum yetkilileriyle işbirliği ve iletişim halinde tamamlanmakta ve elde edilen bulgular detaylı şekilde raporlamaktadır. Bulguların yer aldığı test raporu yalnızca yetkili kişilere şifreli olarak sunulmaktadır.

3.1.11.5 Doğrulama Testlerinin Yaptırılması

Sızma Testi sonrasında bulunan zayıflıklar için aksiyon alınması ve açıkların kapatıdığından emin olunması gerekmektedir. Zayıflıkların giderilip giderilmediğini anlamak için yapılan testlere doğrulama testleri denmektedir. BG-TEK uzman sızma testi ekibiyle zayıflıkların gerçekten kapanıp kapanmadığı kontrol ederek sistem güvenliğinin arttılmasına yardımcı olmaktadır.

3.1.14.7  Kurum Kaynaklarına Uzaktan Erişim

Uzaktan çalışma kapsamında kurum kaynaklarına erişim VPN teknolojileri ve çok faktörlü kimlik doğrulama ile sağlanmalıdır. Erişimler kurum politikalarına göre en az yetki prensibine göre sınırlandırılmalıdır.

Coslat Firewall ile kurum dışarısından VPN ile kullanıcıların kurum ağına bağlanması ve yalnızca yetkili olduklara kaynaklara erişebilmeleri için filtreleme yapılması sağlanabilir.

VPN bağlantılarında çift faktörlü kimlik doğrulama yaparak güvenli bir VPN bağlantısı sağlamak için Coslat 2FA kullanılabilir. Coslat 2FA önde gelen pek çok güvenlik duvarı ile entegre olarak çift faktörlü kimlik doğrulama yapılmasına imkan verir. VPN Bağlantısı yapan kullanıcılara sorulacak ikinci pin SMS ile gönderilebilir ya da Google Authenticator gibi araçlarla sağlanabilir.

3.5.2.1 Farkındalık Eğitimleri Verilmesi

Tüm kurum personeline düzenli aralıklarla temel ve güncel konuları içerecek şekilde bilgi güvenliği ve siber güvenlik farkındalık eğitimleri verilmelidir. Eğitim konuları aşağıdaki gibi listelenebilir.

  • Bilgi güvenliği ve siber güvenlik temel kavramları,
  • Kurumsal bilgi güvenliği ve siber güvenlik politikaları,
  • Parola güvenliği,
  • E-posta kullanımında güvenlik,
  • İnternet kullanımında güvenlik,
  • Mobil güvenlik,
  • Fiziksel güvenlik,
  • Sosyal ağların riskleri ve güvenli kullanımı,
  • Kişisel verilerin güvenliği,
  • Bilinen ve yaygın kullanılan sosyal mühendislik yöntemleri ve bu yöntemlere karşı alınacak önlemler,
  • Lisanslı ürün kullanımı

Eğitim öncesi ve sonrası yazılı sınav, sosyal mühendislik saldırıları gibi yöntemlerle farkındalık eğitimlerinin etkinliğine yönelik ölçümler yapılmalı ve ölçüm sonucu doğrultusunda aksiyonlar planlanmalıdır.

Bu noktada BG-TEK olarak gerek Son Kullanıcı Farkındalık Eğitimleri ve gerekse sosyal mühendislik testleri ile siber güvenlik farkındalığının arttırlmasına ve kurumun güvenlik seviyesinin yükseltilmesine katkı sağlıyoruz.

3.5.2.2  Olayların Tespiti ve Raporlanmasına Yönelik Eğitimlerin Verilmesi

Bilgi güvenliği ve SOME personeline, siber olay veya bilgi güvenliği ihlal olayı tespiti ve raporlanması konularında eğitim verilmelidir.

BG-TEK uzman ekibi ile “SOME Eğitimleri”, “Beyaz Şapkalı Hacker”, “Sızma (Penetration) Testi” gibi teknik içerikli siber güvenlik eğitimlerine ek olarak “Bilişim Hukuku”, KVKK gibi gibi eğitimleri kurumsal olarak vermektedir. Eğitimler saha tecrübesi olan kıdemli eğitmenler tarafından uygulamalı olarak verilmektedir.

“GÜVENLİK BİR ÜRÜN DEĞİL BİR SÜREÇTİR” ve uzman görüş ve destekleri çok önemlidir.

 

Güvende Kalın .

 

Serdar TANERİ

BG-Tek Bilgi Güvenliği Teknolojileri şirketinde PentestBX Ürün Müdürü

 

 


İlginizi Çekebilecek Yazılar








İletişim | Gizlilik | Kullanım Koşulları