Professional Documents
Culture Documents
UEKAE BGYS0008-Bilgi Güvenliği Bilinçlendirme Süreci Oluşturma Kılavuzu
UEKAE BGYS0008-Bilgi Güvenliği Bilinçlendirme Süreci Oluşturma Kılavuzu
ARATIRMA ENSTTS
BLG GVENL
BLNLENDRME SREC
OLUTURMA KILAVUZU
SRM 1.00
22.02.2008
NSZ
Ulusal Elektronik ve Kriptoloji Aratrma Enstits (UEKAE)'nn misyonu, "bilgi
gvenlii, haberleme ve ileri elektronik alanlarnda Trkiye'nin teknolojik
bamszln salamak ve srdrmek iin nitelikli insan gc ve uluslararas
dzeyde kabul grm altyaps ile, bilimsel ve teknolojik zmler retmek ve
uygulamaktr". Bu ana hedef gz nnde bulundurularak belirlenen "bilgi
gvenlii, haberleme ve ileri elektronik alanlarnda yeni teknolojilerin
gelitirilmesine nclk eden uluslararas bilim, teknoloji ve retim merkezi
olmak"
vizyonuna
ulalabilmesi
ve
lkenin
ihtiyac
olan teknolojilerin
TBTAK UEKAE
BLGLENDRME
TBTAK UEKAE
NDEKLER
1. GR .................................................................................................................................................... 5
2.1 st ynetim..........................................................................................................................7
2.2 Bilgi Gvenlii Yneticisi ...................................................................................................7
2.3 Bilgi Gvenlii Bilinlendirme Sreci Yrtcs ............................................................8
2.4 Blm Yneticileri ..............................................................................................................8
2.5 Kullanclar ..........................................................................................................................9
3. SRECN OLUTURULMASI .......................................................................................................... 9
TBTAK UEKAE
1. GR
Bilgiyi ileme ve kullanma faaliyetlerinin byk ksmnn bilgi alar zerinde gerekletii
gnmz i dnyasnda, kurumlarn sahip olduklar bilginin gizliini, btnln ve
kullanlabilirliini koruyabilmeleri iin BT kullanan ve yneten kurum alanlarnn:
Kurumun misyonu dorultusunda grev ve sorumluluklarn anlamalar
Kurumun bilgi gvenlii politika, prosedr ve uygulamalarn anlamalar
Sorumlu olduklar bilgi (biliim) kaynaklarn korumaya ynelik ynetimsel,
operasyonel ve teknik adan gerekli asgari bilgi seviyesine sahip olmalar
gerekmektedir.
Bilgi Gvenlii denetim raporlar, makaleler veya konferans sunularnda da ifade edildii ve
BT gvenlii uzmanlarnca da kabul edildii zere, bilgi gvenliinin salanmasndaki en
zayf halka insandr. nsan faktr uygun ve yeterli seviyede gvenliin salanmasnda
anahtar role sahiptir. Bu sebeplerden tr bir kurum varl olarak insan zerinde daha
byk bir dikkatle durulmas gerekmektedir. Bu balamda, Bilgi Gvenlii Ynetim
Sistemi (BGYS) kapsamnda her seviyedeki kurum alann bilgi gvenlii konusundaki
sorumluluklarn kavramasn salayacak bir bilinlendirme srecinin oluturulmas
zaruridir.
1.1 Ama ve Kapsam
Bu dokman bir BGYS kapsamnda bilgi gvenlii bilinlendirme ve eitim sreci
oluturma ve yrtme konusunda yol gsterici bilgiler vermeyi hedeflemektedir.
Bilinlendirme sreci tasarlama (planlama), gelitirme, uygulama ve iyiletirme
admlarndan oluan bir yaam dngs iinde sunulmaktadr. Bu dokman ayrca
bilinlendirme sreci gereksinimlerinin nasl belirlenecei, bir eitim plannn nasl
gelitirilecei ve sre iin finansal destein nasl salanacan anlatmaktadr. Bu
dokmanda aadaki hususlar da ele alnmaktadr:
Bilinlendirme ve eitim konularnn seilmesi
Bilinlendirme ve eitim materyalleri iin kaynak bulunmas
Farkl metotlar izleyerek eitim materyallerinin hazrlanmas
Bilinlendirme srecinin etkinliinin deerlendirilmesi
Deien teknoloji ve kurum ncelikleri karsnda gncel kalnmas
TBTAK UEKAE
BGYS
BT
: Bilgi Teknolojileri
UEKAE
TBTAK UEKAE
2. GREV VE SORUMLULUKLAR
Baarl ve etkin ileyen bir bilgi gvenlii bilinlendirme sreci oluturulabilmesi iin bu
alandaki grev ve sorumluluklarn ak ve net bir biimde belirlenmesi gerekmektedir.
Olgunlam bir bilinlendirme sreci, bu grev ve sorumluluklarn sahipleri tarafndan doru
anlalmas, bilinmesi ve uygulanmas ile mmkndr. Bilgi gvenlii bilinlendirme sreci
kurum iinde en st seviyeden en alt seviyeye kadar alanlarn katlmn gerektirmektedir.
2.1 st ynetim
st ynetim bilgi gvenlii bilinlendirme srecinden nihai olarak sorumlu olan taraftr.
Kurumun st ynetimi etkin bir bilinlendirme sreci oluturulmasna ynelik kararlln
ortaya koymaldr. Bilinlendirme srecinin baarya ulamasnda st ynetimin tutum ve
yaklam son derece nemlidir. Bu alanda st ynetime den grev ve sorumluluklar u
ekilde sralanabilir:
Kurum iinde bir Bilgi Gvenlii Yneticisi atanmas
Kurum apnda ileyen bir bilgi gvenlii bilinlendirme srecinin oluturulmas, yeterli
kaynak ve bte ile desteklenmesi
Kurumun bilgi varlklarnn korunmasn salayabilecek seviyede bilinli ve eitimli bir
personel kadrosunun bulunmas
2.2 Bilgi Gvenlii Yneticisi
Bilgi Gvenlii Yneticisi kurum st ynetimi tarafndan bilgi gvenlii bilinlendirme
srecinin oluturmasn ynetmekle grevlendirilen kiidir. Etkin bir bilinlendirme sreci iin
Bilgi Gvenlii Yneticisinin, Bilgi Sistemleri Yneticisi (BT Yneticisi veya direktr CIO)
ile birlikte almas gerekmektedir. Bilgi Gvenlii Yneticisinin grev ve sorumluluklar u
ekilde sralanabilir:
Bilgi gvenlii bilinlendirme sreci iin genel stratejinin belirlenmesi
Kurum iinde bir bilgi gvenlii bilinlendirme sreci yrtcs atanmas
st ynetimin, blm yneticilerinin, dier seviyedeki yneticilerin, alanlarn ve dier
personelin bilinlendirme srecinin temel kavramlarn ve hedeflerini anlamalarn
salamak, onlar srecin geliimi ve ilerlemesi konusunda bilgilendirmek
Bilinlendirme srecinin yeterli seviyede finanse edilmesini salamak
TBTAK UEKAE
gvenlii
bilinlendirme
sreci
yrtcs taktik
ve
uygulama
seviyesinde
bilinlendirme srecinin hayata geirilmesinden sorumlu olan kiidir. Bu roldeki kiinin grev
ve sorumluklar u ekilde sralanabilir:
Her seviyedeki personel iin uygun bilinlendirme ve eitim materyalinin zamannda
gelitirilmi olmasn salamak
Her seviyedeki personel iin uygun bilinlendirme ve eitim materyalinin planlanan
kiilere etkin bir ekilde datlmasn salamak
Bilinlendirme ve eitim materyalleri ile bunlarn sunumlar hakknda personel ve
yneticilerin grlerini iletebilmelerine imkan veren uygun bir geri besleme ynteminin
salanmas
Bilinlendirme ve eitim materyallerinin periyodik olarak gzden geirilmesini ve
gereksinim halinde gncellenmesini salamak
Bilgi gvenlii bilinlendirme srecinin takip edilmesi ve uygunsuzluklarn rapor
edilmesinde Bilgi Gvenlii Yneticisine yardmc olmak
2.4 Blm Yneticileri
Yneticiler bilgi gvenlii bilinlendirme ve eitimi srecinin gereklerine personelinin
uymasn salamakla sorumludurlar. Dier grev ve sorumluklar u ekilde sralanabilir:
Bilgi gvenlii bilinlendirme sreci kapsamnda ortak sorumluluklar yerine getirmek
amacyla Bilgi Gvenlii Yneticisi ve Bilgi Gvenlii Bilinlendirme Sreci Yrtcs
ile birlikte almak
Bilgi gvenlii alannda grev ve sorumlulua sahip personelinin mesleki anlamda
bireysel geliimine katkda bulunmak
TBTAK UEKAE
Yar zamanl personel, stajyer alan ve yklenici firma personeli dahil olmak zere tm
kullanclarn eriimde bulunmadan nce bilgi gvenlii sorumluluklarn yerine
getirebilmeleri iin uygun eitimleri almalarn salamak
Yar zamanl personel, stajyer alan ve yklenici firma personeli dahil olmak zere tm
kullanclarn kullandklar sistem ve uygulamann, ilgili politika veya prosedrle
belirtilen kurallarn bilmelerini ve anlamalarn salamak
Eitim ve bilinlendirme eksiklii sebebiyle kullanclarn yaptklar hata veya
ihmallerden kaynaklanabilecek, bilgi varlklarndaki her trl kayp ve zarar azaltmaya
almak
2.5 Kullanclar
Kullanclar bilgi gvenlii bilinlendirme srecindeki en byk ve nemli hedef kitledir.
Kurum iindeki iler yrtlrken istemeden yaplan hatalar ve bilgi sisteminde oluabilecek
aklklar en aza indirmek onlarn elindedir. Kurum alanlar, yklenici firma personeli, yar
zamanl personel, stajyerler, dier kurum alanlar, ziyaretiler, i ortaklarnn alanlar,
destek alnan firmalarn personeli, ksaca kurumun bilgi varlklarna eriim gereksinimi olan
herkes kullanc kategorisine girmektedir. Kullanclarn sorumluluklar u ekilde sralanabilir:
Gvenlik politika ve prosedrlerini anlamak, gereklerine uymak
Eriim hakknn bulunduu bilgi varlklarnn kullanm ve gvenlik kurallarn reten
eitimleri almak
Bilinlendirme ve eitim ihtiyalarnn giderilmesi iin ynetimle birlikte almak
Kullandklar yazlm ve uygulamalarn gvenlik yamalarnn gncel tutulmasn
salamak
Gl parola kullanm, antivirs yazlm kullanlmas, pheli olay ve ihlal durumlarnn
rapor edilmesi, veri yedeklemesi, sosyal mhendislik saldrlarna kar koyulan kurallara
uyulmas vb. gibi kurum bilgisini daha iyi korumaya ynelik uygulama ve faaliyetlerin
farknda ve bilincinde olmak
3. SRECN OLUTURULMASI
Bilgi
gvenlii
bilinlendirme
ve
eitim
sreci
oluturulmas
ana
admda
gereklemektedir:
1. Srecin planlanmas ve tasarlanmas
TBTAK UEKAE
TBTAK UEKAE
TBTAK UEKAE
11
btn
sorumluluklar
organizasyonel
birimlere
braklmaktadr.
Bu
modelde
bilinlendirme sreci ile ilgili yetki dalm yaplmaktadr. Alt seviye Bilgi Gvenlii
Yneticilii ve Bilinlendirme Sreci Yrtcl merkez dndaki birimlerde de oluturulur
ve merkezdeki stlerine balanrlar. htiya analizi organizasyonel birimlerce yapldndan
bilinlendirme ve eitimlerle ilgili stratejiler de buralarda gelitirilir. Ayrca program iin
btenin belirlenmesi de birimlerin sorumluluundadr. Ksacas bu modelde merkezi ynetim
bilinlendirme faaliyetiyle ilgili kurum misyonuna uygun genel ereveyi belirler, geri kalan
admlarla ilgili btn sorumluluklar birimlere kalmaktadr.
Datk modelin uygulanabilecei kurumlarn:
Uluslar aras seviyede faaliyet gsteren ve olduka byk
Kurum idaresi ve ynetimsel sorumluluklar asndan olduka datk bir yapya sahip
Birbirinden olduka farkl alanlarda grevleri yrten birimlere sahip
gibi karakteristik zellikleri bulunmaktadr.
3.1.2 htiya Analizi ve Deerlendirmesi
Kurumun bilgi gvenlii bilinlendirme ve eitim ihtiyalarnn belirlenmesi ilemidir. htiya
analizi ve deerlendirmesinden elde edilecek sonular bilinlendirme faaliyeti iin gerekli
kaynaklarn salanmas konusunda st ynetim onaynn alnmasnda yardmc olur. Ayrca
ihtiya analizi, bilinlendirme program iin izlenecek stratejinin de belirlenmesinde yol
gsterici role sahiptir.
Bilgi gvenlii bilinlendirme ihtiyalar belirlenirken personelin kurum iinde stlenmekte
olduu farkl seviyedeki rol ve grevler dikkate alnmas gerekir. Bilinlendirme ihtiyalar
zellikle belirlenmesi gereken kritik personel unlardr:
12
TBTAK UEKAE
TBTAK UEKAE
13
Misyon ve
Ynergeler
Vizyon
Rol ve
Bilinlendirme
Bilinlendirme ve
Sorumluluklar
htiya Analizi
Gzlem ve
Kullanc geri
Tavsiyeler
bildirimleri
ekil 1 - htiya Analizi Girdileri
TBTAK UEKAE
Kurumsal rol ve risk (yksek sorumluluk ve yksek risk alanlarnda eitime ncelik
verilmesi)
Bu madde, kurum iinde kimlerin bilgi gvenli konusunda baaryla eitildii, kimlerin hala eitime ihtiya
duyduu, katlmclarn eitim materyallerini nasl deerlendirecei ve kurumun katlmclarn eitim ve dier
faaliyetlerden gerekten bir kazanm salayp salamadklarn nasl tespit edecei ile ilgilidir
2
Hedef kitleye bilinlendirme ve eitim uygulamas ylda en az bir kere yaplmaldr. Programn hedefine
ulamas asndan sreklilik gereklidir. Bilgi gvenlii konusunda daha ok sorumlulua sahip personel (sistem
yneticileri, a yneticileri, bilgi gvenlii sorumlular vb.) iin bu periyot daha sk olmaldr.
TBTAK UEKAE
15
16
TBTAK UEKAE
gibi olabilir.
3.2 Bilinlendirme ve Eitim Materyalinin Gelitirilmesi
Bilinlendirme ve eitim materyallerinin gelitirilmesi adm geni kapsaml olarak
anlalmaldr. Bu admda bilinlendirme ve eitim faaliyetleriyle verilecek ierik detaylaryla
belirlenir ve temin edilir. Bilinlendirme ve eitim materyalinin temin edilmesi farkl
biimlerde gerekleebilir:
Hangi yolla temin edilirse edilsin materyaller gelitirilirken srekli aklda tutulmas gereken iki
nemli husus bulunmaktadr:
TBTAK UEKAE
17
Bir bilinlendirme materyalinde veya oturumunda ele alnabilecek nemli pek ok farkl konu
seilebilir. Bu konular unlar olabilir:
18
Politikalar
Sosyal mhendislik
El cihazlar gvenlii
olmasna,
katlmclara
ihtiya
duyulan
konularda
belli
kabiliyetleri
Bir eitim program kapsamnda bavurulabilecek kaynaklar tespit ederken atlacak ilk adm
materyalin kurum iinde mi gelitirilecei yoksa dardan m alnacana karar verilmesidir.
Eer kurum eitim materyalinin gelitirilmesi iin gerekli kaynaklar ieriden temin edebilecek
yetkinlie sahipse bunu kendisi yapabilir. Aada eitim materyali gelitirilmesi konusunda
d kaynak kullanm kararnn alnmasnda deerlendirilmesi gereken kriterler verilmektedir:
Kurum olarak yeterli kaynaa sahip miyiz? Uygun kabiliyet ve tecrbeye sahip
personele sahip miyiz?
TBTAK UEKAE
19
Eitim materyali gelitirmenin maliyetini karlamak iin mevcut bir mekanizma var
m? Bu i iin ayrlan bte ne kadar olmaldr?
Eitim materyali dardan bir kurulu tarafndan gelitirilecekse, bunu takip ve kontrol
edebilecek kaynaklara sahip miyiz?
Kritik eitimlerin takvimi d kaynak kullanm ile gelitirilecek materyal ile planlanan
zamanda salanabilir mi?
Kalem, not kad, kahve fincan, fare altl gibi nesneler zerine yazlabilecek uyarc
mesajlar
20
TBTAK UEKAE
nteraktif sunumlar
TBTAK UEKAE
21
KAYNAKA
[1]. NIST Special Publication 800-50 Building an Information Technology Security
Awareness and Training Program
[2]. NIST Special Publication 800-16 Information Technology Security Training
Requirements: A Role- and Performance-Based Model
[3]. Dancho Danchev, Building and Implementing a Successful Information Security
Policy, http://www.windowssecurity.com
[4]. Douglas
Alred,
Awareness,
http://www.sans.org/reading_room
[5]. Michelle
Johnston,
Security
http://www.sans.org/reading_room
Never
Awareness
Ending
Training
and
Struggle,
Privacy,
[6]. David Sustaita, Security Awareness Training Quiz - Finding the WEAKEST link!,
http://www.sans.org/reading_room
[7]. Chris Garrett , Developing a Security-Awareness Culture Improving Security
Decision Making, http://www.sans.org/reading_room
[8]. Chelsa Russell, Security Awareness Implementing an Effective Strategy,
http://www.sans.org/reading_room
[9]. Fred Hinchcliffe, Creating the effective Security Awareness Program and
Demonstration, http://www.sans.org/reading_room
[10]. Information Security and ISO27001 An Introduction,
www.itgovernance.co.uk/files/Infosec_101v1.1.pdf
[11]. How to Establish an ISMS Management Framework ,
http://www.isms.jipdec.jp/en/isms/frame.html
22
TBTAK UEKAE