Siber güvenlik elektronik ortamdaki cihazların ve bu cihazlar üzerinde işleyen / saklanan verilerin kötü amaçlı saldırganlarlara karşı bütünlüğünü, erişilebilir olmasını ve gizliliğini korumayı amaçlar. Siber güvenlik standartları ise, kurumların işlerliğini sürdürebilmeleri ve siber tehditlerden korumak için alanında uzman kişiler tarafından oluşturulan politikalar bütünüdür.
Siber güvenliğin en önemli amacı, kurumların değerli olarak sınıflandırılan varlıklarını korumak (buna itibarları da dahildir) ve elektronik ortamdaki kurum işlerliğinin sağlanmasıdır. Bu varlıkları korumak amacıyla kullanılan birçok güvenlik uygulaması ve siber güvenlik araçları olduğu gibi ISO ve NIST gibi birçok politika olduğu gibi, kılavuzlar, ek belgeler, risk yönetimi uygulamaları, faaliyetler gibi kapsamlar ve belgeler de kullanılır.
Siber güvenlik alanında ortaya koyulan standartlar, kurumun sahip olduğu bilgiyi yönetebilmesi ve kuruluşların itibarını korumak için sistematik bir yaklaşım sunmaktadır. Günümüz internet dünyasında bilginin gizliliğini, erişilebilirliğini ve bütünlüğünü ön planda tutarak kurumların işlerliğini sağlayan bu standartlar, yasal düzenlemeler için de zorunlu birer ihtiyaç haline de gelmiştir.
Siber güvenlik standartlarının tarihini incelediğimizde ilk olarak 1990’lı yıllarda Stanford Bilgi Güvenliği ve Politikası Araştırmaları Konsorsiyumu‘nda yapılan çalışmalar akla gelir. Siber saldırıların artması ve kurumların bu saldırılardan dolayı maddi ve manevi kayıplar yaşaması sebebiyle, birçok standart ve teknolojik gelişmelerin eşiğinde sektörlere özel politikalar geliştirilmiştir.
Siber Güvenlik Standartlarının Türleri
Tüm dünyada, kurumların sahip oldukları en önemli varlık olan bilginin korunmasını sağlamak için uymaları gereken birçok siber güvenlik standardı bulunmaktadır. Bu standartlar arasında da ISO 27001, NIST ve PCI-DSS gibi birçok uygulama ön plana çıkar. Bu standartların ortaya çıkmasındaki temel amaç, siber saldırılara karşı savunma yapabilmek, önlenebilir olmasını sağlamak veyahut hafifletilebilmesi de dahil olmak üzere ortaya çıkan riskleri azaltmaktır.
Uluslararası standartlar
Fiziksel Güvenlik Belgeleri
Mevcut fiziksel güvenliği listeleyen bir belge birçok kurum için zorunlu hale gelmiştir. Bu durum her sunucunun, iş istasyonunun, yönlendiricinin, hubın veya diğer aygıtların konumunun belgelenmesi anlamına da gelir. Belgelendirme elbette ki dokümantasyon ve seri numaralarının yanı sıra hangi personelin erişebileceği ve izinlerini de içermelidir. Bir aygıt kilitli bir odadaysa, odaya ve cihaza ait belgelerde o odaya kimlerin girebileceği fiziksel güvenlikte listelenmelidir.
Güvenli odalara girişler kayıt edilmelidir. Bu kayıtların birer kopyaları diğer fiziksel belgelerinizle birlikte dosyalanarak saklanır. Belirli bir süre sonra (örneğin 1 yıl) erişim günlüklerinin arşivlendiği, daha uzun bir süre sonra (3 yıl gibi) imha edildiği bir çalışma uygulaması da planlanmalıdır.
Politika ve Personel Belgeleri
Tüm politikalar bir dosyaya kayıt edilir. Herhangi bir revizyon orijinalleri ile birlikte yapılmalıdır. Çalışanlarınızın politikalardan haberdar olduklarını belirten (ve kesinlikle yapmanız gerektiğini) bir anlaşma imzalamaları gerektiği gibi bu dosyaların kopyalarında da olmalıdır.
Politika belgelemesinin yanı sıra, hangi öğelere erişebilecekleri ile birlikte personel listesi de tutulmalıdır. Bu, fiziksel erişimin yanı sıra oturum açma haklarına sahip oldukları tüm makineleri de (sunucular, iş istasyonları veya yönlendiriciler gibi) içerir. Ayrıca ne düzeyde erişime sahip olduklarını (standart kullanıcı, ileri düzey kullanıcı, yönetici vb.) kayıt altında tutmanız gerekir.
Prob Belgeleri
Herhangi bir güvenlik denetimi yaptığınızda, bu denetimin bir raporu ilgili makamlara sunulur. Dış danışmanlar tarafından yapılan denetimler dahi bir dosyada tutulmalıdır. Denetim raporu bulunan kusurları içermeli ve bunları düzeltmek için hangi adımların atıldığına dair bir takip raporuna sahip olmalıdır.
Bir güvenlik olayınız varsa (virüs bulaşması veya davetsiz misafir gibi), meydana gelen olayları özetleyen en az kısa bir not olmalıdır. Bu belge, güvenlik olayının ne olduğunu, ne zaman meydana geldiğini, hangi makinelerin etkilendiğini ve nasıl düzeltildiğini içermelidir.
Ağ Koruması Belgeleri
Belgelenecek en belirgin öğe, tam olarak hangi ağ korumalarına sahip olduğunuzdur. Hangi güvenlik duvarını kullanıyorsunuz ve nasıl yapılandırıldığınız da belirtilir.
- Hangi IDS’yi kullanıyorsunuz ve nasıl yapılandırılıyor.
- Kullandığınız virüsten koruma ve / veya casus yazılım önleme yazılımı.
- Herhangi bir honeypot yapılandırdınız mı?
- Hangi güvenlik önlemlerini (iş istasyonu güvenlik duvarları gibi) aldınız?
ISO Standartları
Uluslararası Standardizasyon Örgütü (ISO) çok çeşitli konular için standartlar oluşturur. Yüzlerce standart bulunur ve bunları tek bir bölümde ele almak imkansızdır. Aslında, her standart bir bölüme veya en azından birkaç bölüme konu olabilir. Elbette ki ağ güvenliği için önemli standartlardan bazıları aşağıdaki gibidir.
- ISO / IEC 15408: Bilgi Teknolojileri Güvenlik Değerlendirmesi için Ortak Kriterler
- ISO / IEC 25000: Sistem ve Yazılım Mühendisliği
- ISO / IEC 27000: Bilgi teknolojisi – Güvenlik Teknolojisi
- ISO / IEC 27001: Bilgi Güvenliği Yönetimi
- ISO / IEC 27005: Risk Yönetimi
- ISO / IEC 27006: Akredite Sertifikasyon Standardı
- ISO / IEC 28000: Tedarik zinciri için güvenlik yönetim sistemleri için şartname
- ISO 27002: Bilgi Güvenliği Kontrolleri
- ISO 27003: ISMS Uygulaması
- ISO 27004: IS Metrikleri
- ISO 27005: Risk yönetimi
- ISO 27006: ISMS sertifikası
- ISO 27007: Yönetim Sistemi Denetimi
- ISO 27008: Teknik Denetim
- ISO 27010: Kuruluşlar arası iletişim
- ISO 27011: Telekomünikasyon
- ISO 27033: Ağ güvenliği
- ISO 27034: Uygulama güvenliği
- ISO 27035: Olay Yönetimi
- ISO 27036: Tedarik zinciri
- ISO 27037: Dijital adli tıp
- ISO 27038: Belge azaltma
- ISO 27039: İzinsiz giriş önleme
- ISO 27040: Depolama güvenliği
- ISO 27041: Soruşturma güvencesi
- ISO 27042: Dijital kanıtların analizi
- ISO 27043: Olay İncelemesi
NIST Standartları
ABD Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), çeşitli konular için standartlar belirlemektedir. Ağ güvenliği için en önemli standartlardan bazıları ise aşağıdaki gibi sıralanmıştır.
NIST SP 800-14
Bilgi teknolojileri sistemlerinin güvenliğini sağlamak için genel kabul görmüş ilke ve uygulamalar, güvenlik politikalarında ele alınması gereken ortak güvenlik ilkelerini açıklar. Bu belgenin amacı, güvenlik politikaları geliştirmek için kullanılabilecek 8 ilke ve 14 uygulamayı tanımlamaktır.
- Bilgisayar güvenliği kuruluşun misyonunu destekler.
- Bilgisayar güvenliği, ses yönetiminin ayrılmaz bir unsurudur.
- Bilgisayar güvenliği düşük maliyetli olmalıdır.
- Sistem sahiplerinin kendi kuruluşları dışında güvenlik sorumlulukları vardır.
- Bilgisayar sorumlulukları ve hesap verebilirlik açık hale getirilmelidir.
- Bilgisayar güvenliği kapsamlı ve entegre bir yaklaşım gerektirir.
- Bilgisayar güvenliği periyodik olarak yeniden değerlendirilmelidir.
- Bilgisayar güvenliği toplumsal faktörler tarafından kısıtlanmaktadır.
NIST SP 800-35
Bilgi Teknolojisi Güvenlik Hizmetleri Rehberi NIST SP 800-35, bilgi güvenliğine genel bir bakış sağlar. Bu standartta BT güvenlik yaşam döngüsünün altı aşaması tanımlanmıştır.
- Aşama 1 Başlatma: Bu noktada kurum, bazı BT güvenlik hizmetlerini, cihazlarını veya süreçlerini uygulamaya çalışmaktadır.
- Aşama 2 Değerlendirme: Bu aşama kuruluşun mevcut güvenlik duruşunun belirlenmesini ve tanımlanmasını içerir.
- Aşama 3 Çözüm: Burada çeşitli çözümler değerlendirilir ve bir veya daha fazla seçilir.
- Aşama 4 Uygulama: Bu aşamada BT güvenlik hizmeti, cihazı veya süreci uygulanır.
- Aşama 5 İşlemler: Beşinci aşama, dördüncü aşamada uygulanan güvenlik hizmeti, aygıt veya işlemin devam eden çalışması ve bakımıdır.
- Aşama 6 Kapanış: Bir noktada, dördüncü aşamada uygulanan her şey sonuçlandırılacaktır. Genellikle bu, bir sistemin daha yeni ve daha iyi bir sistemle değiştirilmesidir.
NIST SP 800-30 Rev. 1
NIST SP 800-30 Rev. 1, Risk Değerlendirmesi Yapma Kılavuzu, risk değerlendirmeleri yapmak için bir standarttır. Risk değerlendirmeleri önceki bölümde tartışılmıştır. Bu standart, böyle bir değerlendirmenin nasıl yapılacağına dair rehberlik sağlar. Süreçte dokuz adım vardır.
- ADIM 1: Sistem Karakterizasyonu
- ADIM 2: Tehdit Tanımlaması
- ADIM 3: Güvenlik Açığı Tanımlaması
- ADIM 4: Kontrol Analizi
- ADIM 5: Olabilirlik Tespiti
- ADIM 6: Etki Analizi
- ADIM 7: Risk Tespiti
- ADIM 8: Kontrol Önerileri
- ADIM 9: Sonuç belgeleri