UZMAN SĠSTEM TEMELLĠ BĠLGĠ GÜVENLĠĞĠ YÖNETĠM SĠSTEMĠ YAKLAġIMI Cemal GEMCĠ DOKTORA TEZĠ ELEKTRONĠK VE BĠLGĠSAYAR EĞĠTĠMĠ ANABĠLĠM DALI GAZĠ ÜNĠVERSĠTESĠ BĠLĠġĠM ENSTĠTÜSÜ NĠSAN 2010 ANKARA
YAKLAIMI
GAZ ÜNVERSTES
BLM ENSTTÜSÜ
NSAN 2010
GÜVENL YÖNETM SSTEM YAKLAIMI” adl bu tezin Doktora tezi
olarak
uygun olduunu onaylarm.
Tez Yöneticisi
Bu çalma, jürimiz tarafndan oy birlii ile Elektronik ve Bilgisayar
Eitimi
Anabilim Dalnda Doktora tezi olarak kabul edilmitir.
Bakan : Prof.Dr. A. Ziya AKTA
Üye : Prof.Dr. nan GÜLER
Üye : Prof.Dr. eref SAIROLU
Üye : Yrd.Doç.Dr. Attila BOSTAN
Bu tez, Gazi Üniversitesi Biliim Enstitüsü tez yazm kurallarna
uygundur.
TEZ BLDRM
Tez içindeki bütün bilgilerin etik davran ve akademik kurallar
çerçevesinde elde
edilerek sunulduunu, ayrca tez yazm kurallarna uygun olarak
hazrlanan bu
çalmada orijinal olmayan her türlü kaynaa eksiksiz atf yapldn
bildiririm.
(mza)
YAKLAIMI
güvenlik ihtiyacn birlikte getirmitir. Özellikle Avrupa ve Uzak
Doudaki
kurum ve kurulular arasnda yaygnlaan ISO 27001 standardna
uyumluluk
çalmalar bu konuda yüksek danmanlk ücretleri ödemeyi veya
nitelikli
biliim personeli istihdamn zorunlu klmaktadr. Bu çalmada temel
biliim
teknolojisi bilgisi ile ISO 27001 standardna uyumluluu
salayabilmeye olanak
veren uzman sistem tabanl bir yazlm gelitirilmitir. Gelitirilen
yazlmla
nitelikli eleman istihdam sknts içerisindeki iletmeler yüksek
maliyetlerle
eleman istihdam etmek veya danmanlk satn almak zorunda
kalmayacaklardr.
anlalrl kolaylatrmakla beraber ISO 27001 standardna uyum için en
az
yaplmas gerekenleri belirlemektedir.
ve farkl ba tetkikçiler tarafndan deerlendirilerek
belgelendirilmeye
uygunluklar kantlanmtr.
Anahtar Kelime : Bilgi güvenlii yönetim sistemi, ISO 27001,
Uzman
sistemler
vi
SYSTEM APROACH
(Ph.D. Thesis)
Cemal GEMC
GAZI UNIVERSITY
INFORMATICS INSTITUTE
April 2010
Information Technologies that are today becoming widespread in our
country
have also brought some security needs. Efforts to conform to the
ISO 27001
standard which are now spreading among the organizations
particularly in
Europe and in the Far East require either public and private
payment of
considerable fees to consulting firms or employing qualified IT
staff. In this
study, an expert system based software has been developed which
enables
conformance to the ISO 27001 standard by fundamental IT knowledge.
By
using the developed software, it is expected that enterprises under
distress due
to scarcity of qualified human resources need not employ
highly-paid staff or
pay for high consulting fees.
Software that is been developed specifies the standards of
compliance with ISO
27001 by simplifying complexity and making its comprehensibility
easier.
vii
The results obtained have been implemented at various organizations
for
accuracy and validity, and result assessed by various head
auditors, and proved
to have conformed to the certification.
Science Code : 702, Computer and Control Technologies
Education
Key Words : Information Security Management System, ISO
27001,
Expert Systems
viii
TEEKKÜR
Çalmalarm boyunca deerli yardm ve katklaryla beni yönlendiren Hocam
Prof.
Dr. Ömer Faruk BAYa yine kymetli tecrübelerinden faydalandm
hocalarm Prof.
Dr. nan GÜLER ve Prof. Dr. eref SAIROLUna, ayrca Bilgisayar
Mühendisi
Erol SERBESTe manevi destekleriyle beni hiçbir zaman yalnz
brakmayan sevgili
aileme ve bu çalma esnasnda isimlerini burada belirtmediim
çalma
arkadalarma teekkürü bir borç bilirim.
ix
ÇNDEKLER
Sayfa
2.2. ISO 27001 Standardnn Yaps
.................................................................
14
2.2.1. BGYS nin kapsam ve snrlarnn belirlenmesi
........................... 14
2.2.2. BGYS politikas belirleme
.......................................................... 14
2.2.3. Kuruluun risk deerlendirme yaklamn tanmlama ...............
15
2.2.4. Risklerin tanmlanmas
................................................................
15
2.2.6. Risklerin ilenmesi için seçenekleri tanmlama ve
deerlendirme
..............................................................................
16
2.2.8. BGYSyi gerçekletirmek ve iletmek için yönetim
yetkilendirmesi edinme
...............................................................
17
2.2.10. Dokümantasyon gereksinimleri
................................................... 18
2.3. Uzman Sistemin Bilgi Güvenliinde Kullanm Üzerine Çalmalar
........ 19
3. METODLAR VE MATERYALLER
.................................................................
25
3.1. Yazlm Gelitirme Süreç
Modelleri..........................................................
25
3.1.2. Prototip model
...............................................................................
27
3.1.4. RUP (Rational Unified Process) model
......................................... 28
3.1.5. Timeboxing model
........................................................................
30
3.2. Uzman Sistemler
.......................................................................................
33
3.2.1.1. Bilgi taban
......................................................................
35
3.2.1.3. Bilgi gösterimi
.................................................................
37
3.2.1.4. Çkarm mekanizmas
...................................................... 39
3.2.1.5. Kullanc arabirimi
...........................................................
41
3.2.1.6. Açklama birimi
...............................................................
42
3.2.3. CLIPS (C Language Integration Production System) kabuu
(shell)
.............................................................................................
43
4.1. Uzman Sistem Yaklamnn ISO 27001 Bilgi Güvenlii Yönetim
Sistemine Uygulanmas
.............................................................................
45
5. BULGULAR VE YORUM
................................................................................
66
xi
KAYNAKLAR
..........................................................................................................
77
EKLER
.......................................................................................................................
80
EK-2. Smart ISMS component diagram
............................................................
82
EK-3. Smart ISMS activity diagram
..................................................................
83
EK-4. Smart ISMS class
diagram-I....................................................................
84
EK-8. Raporlar class diagram-I
........................................................................
88
EK-9. Raporlar class diagram-II
........................................................................
89
EK-10. Clips class diagram
................................................................................
90
EK-11. DST Danmanlk ve Destek Hizmetleri Ltd. ti. ISO 27001
bilgi
güvenlii yönetim sistemi denetim raporu
.......................................................... 91
EK-12. OSKO Yap Ltd.ti. ISO 27001 bilgi güvenlii yönetim sistemi
denetim
raporu
..................................................................................................................
93
EK-14. Smart ISMS program kullanmna ilikin kullanc anketi
................ 100
EK-15. SMART ISMS program kullanmna ilikin kullanc anketi
sonuçlar
............................................................................................................
102
ÖZGEÇM
......................................................................................................
105
Çizelge 3.1. Varlk deerlendirme
çizelgesi...........................................................
48
Çizelge 5.1. Smart ISMS kullanc anket seçeneklerine ait
snrlar....................... 73
xiii
ekil 3.3. Extreme programming (XP) de i süreci
........................................... 32
ekil 3.4. XP de bir döngü
.................................................................................
33
ekil 3.5. Uzman sistem mimarisi
....................................................................
35
ekil 3.6. Bilgi mühendislii süreci
...................................................................
37
ekil 3.7. Uzman sistem tabanl BGYS yaklam mimarisi
............................. 46
ekil 3.8. Sequence diagram
..............................................................................
52
ekil 3.9. Smart ISMS ana penceresi
.................................................................
58
ekil 3.10. Açklamalar modülü
..........................................................................
59
ekil 3.11. Organizasyon oluturma penceresi
.................................................... 60
ekil 3.12. Kapsam belirleme penceresi
..............................................................
60
ekil 3.13. Mevcut durum tespiti penceresi
......................................................... 61
ekil 3.14. Mevcut durum tespiti penceresi
......................................................... 61
ekil 3.15. Varlk envanteri penceresi
.................................................................
62
ekil 3.16. Varlk deerlendirme penceresi
......................................................... 62
ekil 3.17. Risk analizi penceresi
........................................................................
63
ekil 3.18. Raporlar menüsü
................................................................................
64
ekil 3.19. Fiziksel ve çevresel güvenlik raporu oluturma penceresi
................ 65
xiv
Bu çalmada kullanlm baz simgeler ve ksaltmalar, açklamalar ile
birlikte
aada sunulmutur.
Simgeler Açklama
Ksaltmalar Açklama
(leri Aratrma Proje Ajans)
BSI British Standards Institude
COBIT Control Objectives for Information and Related
Technology
CLIPS C Language Integration Production System
( C Dili Entegrasyon Üretim Sistemi)
CSI Computer Security Institute
(Ticaret ve Endüstri Tekilat)
(Bilgi Güvenlii Yönetim Sistemi)
(Temel levsel Yapabilirlik Temel Ta)
HIPAA Health Insurance Portability and Account Act
(Salk Sigortasnn Tanabilirlii ve zlenebilirlii
Yasas)
PCI DSS Payment Card Industry Data Security Standard
(Kartl Ödeme Sistemlerinde Veri Güvenlii
Standard)
Konsorsiyumu)
1
sohbetlerde konuulabilir. Bilgi hangi ekilde olursa olsun, her
zaman uygun olarak
korunmaldr.
Bir kuruluun bilgi sistemi; herhangi bir yönetim seviyesinde
istenilen yer ve
zamanda bilgi salayan sistem olarak tanmlanabilir. Böyle bir sistem
bilgisayar
sistemleri yardmyla bilgiyi alabilir, saklayabilir, bulabilir,
farkl ekle sokabilir,
ileyebilir ve iletebilir [1].
Bilgi önceki zamanlarda söylendii gibi güç olmaktan çkm günümüzde
bir varlk
halini almtr. Bilgi ve destek süreçleri, sistemler ve bilgisayar
alar önemli ticari
varlklardr. Bilginin gizlilii, güvenilirlii ve elverililii; rekabet
gücünü, nakit
akn, karll, yasal yükümlülükleri ve ticari imaj korumak ve
sürdürmek için
zorunlu ve gerekli olabilir. Giderek iletmeler ve sahip olduklar
bilgi sistemleri ve
alar bilgisayar destekli sahtekârlk, casusluk, sabotaj, ykclk,
yangn ve sel gibi
çok geni kaynaklardan gelen tehdit ve tehlikelerle kar karyadrlar.
dünyasnda
biliim teknolojilerinin younlukla kullanlmasyla birlikte bilgisayar
virüsleri,
bilgisayar korsanlar ve hizmet saldrlar gibi ykc kaynaklar daha
yaygn, daha
hrsl ve daha karmak hale gelmeye balamtr. Bilgi sistemlerine ve
hizmetlerine
bamllk, iletmelerin güvenlik tehditlerine kar daha savunmasz olduu
anlamna
gelmektedir. Genel ve özel alarn birbiriyle balants ve bilgi
kaynaklarnn
paylam, eriim denetimini oluturmadaki zorluklar arttrmaktadr. Datlm
bilgi
ileme olan eilim, merkezi uzman denetimin etkinliini
zayflatmtr.
Bilgi sistemleri henüz yeterli güvenlik seviyesinde tasarlanmamtr.
Teknik
olanaklar araclyla ulalabilen güvenlik snrldr ve uygun yönetim
ve
yöntemlerle desteklenmelidir. Hangi denetimlerin yer alacann
tanmlanmas,
özenli planlamay ve detaylara dikkati gerektirir. Bilgi güvenlii
yönetimi tüm
iletme çalanlarnn katlmn gerektirir. Ayn zamanda tedarikçilerin,
müterilerin
2
gereklerinde birletirilirse çok daha ucuz ve etkili olur.
Günümüzde sadece çalanlaryla deil, müteri, i ortaklar ve
hissedarlaryla
birlikte tanmlanan organizasyonlarda, bilginin gizlilii, bütünlüü
ve
eriilebilirliine ilikin güven ortamnn yaratlmas, organizasyonun
süreklilii için
önem tamaktadr.
“Bilgisayar Suçlar ve Güvenlik Gözlemi” (Computer Crime and
Security Survey)
nin 2009 yl raporunu özetlersek [2];
Gözlem çalmasna rastgele seçilen kamu ve özel sektörden toplam 443
kurum ve
kuruluun bilgi güvenlik personeli katlmtr. Bu kurum ve
kurulularn
kullandklar bilgi güvenlik teknolojileri Çizelge 1.1 de
gösterilmitir.
3
bilgi güvenlik teknolojileri ve kullanm oranlar.
Kullanlan teknolojiler Kullanm oran
Firewalls 97,9 %
Smart cards and other one-time tokens 32,6 %
Specialized wireless security systems 32,3 %
Static account / login passwords 42,4 %
Virtualization-specific tools 32 %
Web / URL filtering 60,4 %
ve kurulularn güvenlik açklarndan dolay ylda ortalama 285.000 USD
para
kaybna uradklar gözlem raporunda ifade edilmektedir.
4
ngiltere de Department for Business, Innovation and Skills -BIS (,
Yenilik ve
Beceri Tekilat) tarafndan Ekim 2007 ile Ocak 2008 tarihleri arasnda
1007 küçük
ve orta ölçekli iletme üzerinde yaplan anketin sonuçlarna göre bu
ticari
kurulularn yl içerisinde yaadklar en kötü bilgi güvenlii vakasndan
kurtulmak
için ortalama 10.000£ ile 20.000£ harcama yaptklar, bu harcamalarn
büyük ticari
kurulularda ise 90.000£ ile 170.000£ olduu, bilgi güvenlii açklarnn
meydana
getirdii olaylar azaltmann en etkin yolunun bilgi güvenlii
standartlarn
uyumluluun yaygnlatrlmas ve bilgi güvenlii farkndalk eitimlerine
yatrm
yaplmas olduu belirtilmektedir [3].
Bu raporlarn da açkça ortaya koyduu gibi güvenlik açklarndan dolay
kurum ve
kurulular ciddi maddi kayplara uramaktadrlar. Biliim
teknolojilerinde gelimi
ülkelerde bilgi güvenlii kayplar muhtelif ekillerde ölçülmekte,
sonuçlar
yaynlanmakta ve alnmas gereken önlemler devlet tarafndan tavsiye
edilmektedir.
Bilgi güvenlii konusunda dünyadaki çalmalara bakldnda ülkelerin
ve
sektörlerin farkl uygulamalarda bulunduklar gözlemlenmektedir. ABD
de bilgi
güvenlii ile ilgili kanunlar çkarld ve ilgili sektörlerin bu kanuni
yükümlülükleri
yerine getirmelerini belgelendirmeleri istenmektedir. ABD de ki
Bilgi güvenlii ile
ilgili yasalar ve Avrupa Birlii ülkelerince kabul gören standartlar
ksaca
özetlenirse;
Serbane-Oxley Act (SOX): 2002 Enron olayndan sonra ABDde ivedilikle
çkarlm
bir yasadr [4]. Bu yasann amac borsaya açk irketlerin açkladklar
bilgilerin
doruluu ve güvenilirliini salayarak yatrmclar korumaktr. Bu kanuna
göre
irket yöneticileri ve yönetim kurulu üyeleri finansal raporlar
hazrlanrken, yeterli iç
denetimleri ve prosedürleri oluturduklarn ve uyguladklarn
belgelendirmeleri
gerekmektedir. Bu konulara uymayan irket yöneticilerine yasa, hapis
cezas
öngörmektedir.
güvenlii, bütünlüü ve kiiye özel olmasn korunmak için düzenlemitir
[5].
Finansal kurulularn yüksek güvenlik bilincinin dier endüstri
kurulularndan daha
5
fazla olmas tarihten beri bilinmektedir. GLBA, bankalar, sigorta
irketleri, güvenlik
firmalar, mali müavirleri ve kredi kart irketlerini
ilgilendirmektedir. GLBA „e
göre bu irketler Temmuz 2002 den önce bu kanuna uyumluluklarn
tamamlamak ve
yürütmeden sorumlu tarafca denetlenip uyumluluklarn
belgelendirmek
zorundadrlar. GLBAe göre finans kurulular, yönetici ve yönetim
kurulununda
dahil bulunduu risk temelli bilgi güvenlii program gelitirmeli,
tehditlerin risk
deerlendirmesi yaplmal, risk yönetimi ve kontrolleri yöneterek
gerekli önlemleri
almal ve yönetim kuruluna rapor etmelidir.
Health Insurance Portability and Accountability Act (HIPAA): HIPAA
salk hizmeti
salayan kurulularn uymas gereken kurallar açklar. Bu kurallar salk
hizmeti
veren kurulularn kanunun istedii raporlar oluturan bilgilerin
salanmas ve bu
bilgilerin korunmasn zorunlu klmaktadr. HIPAA uyumluluunu salamak
için
irketler bilgilerini muhtemel tehditlere kar korumak, bütünlüünü
salamak,
yetkisiz kullanlmalarn, ortaya çkmalarn önlemek zorundadrlar. Bunun
yannda
kurum çalanlarnn yetkin ve güvenli olduklarnn salanmas gereklidir.
Salk
hizmeti veren kurulular bütün bunlar gerçekletirebilmek için; eriim
kontrolü,
konfigürasyon kontrolü, zararl yazlm tespiti, politika yaptrm,
kullanc takibi ve
yönetimi, çevre ve haberleme güvenliini salamakla yükümlüdürler
[6].
Payment Card Industry Data Security Standard (PCI DSS) : Kartl
ödeme
sistemlerinde veri güvenliini salamak amacyla uluslararas kabul
görmü ödeme
markalar olan American Express, Discover Financial Services, JCB
International,
MasterCard Worldwide ve Visa Inc. International kurumlarnca
oluturulmu PCI
Komitesi tarafndan gelitirilmitir.
PCI DSS, kartl ödeme sistemlerinde yeralan kurum ve kurulularda
bilgi güvenliini
salamak için bilgi sistemlerinde bilgi iletimini, bilgi ileyiini ve
bilgi depolamay
esas alan 6 temel kriter baz alnarak oluturulmu 12 gereksinim
kategorisi ve bu
kategorilerin altnda yer alan 200ün üzerindeki kontrolden
olumaktadr [7].
6
(Information Systems Audit and Control Association) ve ITGI (IT
Governance
Institute) tarafndan 1996 ylnda gelitirilmi, Bilgi Teknolojileri
Yönetimi için en
iyi uygulamalar kümesidir.
teknolojileri alt yaplarn da etkin kullanmay salar [8].
ISO IEC 27001 Information Security Management Systems (ISMS) :
Avrupa ve Uzak
Dou da ise ngiltere de British Standart Institude un balatt çalma
sonucu ortaya
çkan ve International Standart Institude tarafndan da standart
olarak kabul edilen
ISO 27001 standard günden güne yayglaan bir standarttr. Yaygn
pratik
uygulamalardan oluturulmutur. Kurum ve kurulularda bilgi
güvenlik
yöneticilerine çepeçevre kontrol salar.
kullanabilecei uzman sistem tabanl, ISO 27001 standardnn
gerekliliklerini
karlayacak ve uyumluluk belgelendirmesi için zorunlu dokümanlarn
üretmesini
gerçekletirecek bir yazlm gelitirmektir.
Bu konuda yaplan benzer çalmalar içerisinde BGRA risk analiz
yöntemi
incelenmitir ancak gelitirilen yazlmda kullanlmamtr [12]. Bu
çalmada risk
analiz yöntemi olarak ISO 27005 standardn dan bir yöntem seçilmitir
[38].
Bullen, Brezilya da yapm olduu çalmada KOB lerin snrl insan gücü
ve
finansal kaynak kullanabilmeleri nedenleriyle güvenlik
kstlamalardan en çok
etkilenen kesim olduunu ve Brezilya için d kaynak kullanmann en
uygun yöntem
olduunu vurgulamaktadr [13].
7
Qingxiong Ma ile J. Michael Pearsonun birlikte yapm olduklar
çalmada
organizasyonlar için bilgi varlklarn korumak için birçok standart
bulunduu,
bunlarn arasnda ISO 17799 en güvenilir uluslararas bilgi güvenlii
standard
olduunu belirtmiler ve istatistiksel yöntemlerle kantlamlardr
[14].
Uzman sistem kullanan bilgi güvenlii araçlar incelendiinde
genellikle uzman
sistemlerin risk deerlendirme araçlarnda kullanldklar
görülmektedir. RiskPac
özellikle ABD kamu sektöründe ve birçok özel sektör firmas
tarafndan kullanlan
bir araçtr. RiskPack kullancya sorular yönelterek yantlar alr ve
uzman sistem
bilgi tabannda deerlendirerek varlklarn risk analizini yapar
[20].
Octave ise kuruluun i çevresine göre kritik varlklarn ve
tehditlerini tespit eder,
tehditlere neden olabilecek zafiyetleri belirler ve zafiyetlere kar
bir koruma
stratejisi gelitirir. Octaven tüm süreçlerinde bilgi taban
kullanlmaktadr [21].
Uzman sistem tabanl risk deerlendirme araçlar olan RiskPac ve
Octave ISO
27001, HIPAA, SOX, InfoSec, Cobit gibi risk deerlendirme
gereksinimi olan
uyumluluk denetimlerinde sklkla kullanlmtr.
Bu tez çalmasnda tehditlere yönelik korumalarn seçilmesinde ve ISO
27001
dokümantasyonunun hazrlanmasnda uzman sistem kullanlmtr.
Uzman
sistemlerin ISO 27001 kurulumu ve dokümantasyon hazrlanmasnda
kullanlmas
literatürde bulunmamaktadr.
Bu tez çalmasnda Türkiye de yaygn olarak kullanlan Microsoft
Office
uygulamalar ile entegre olabilen ve Nesneye Yönelik bir yazlm
gelitirme
platformu olan Microsoft .NET C# yazlm gelitirme ortam olarak
seçilmitir. Veri
taban olarak Microsoft SQL Express Edition kullanlmtr. Yazlm
gelitirme
modeli olarak Nesneye Yönelik yazlm gelitirmeye uygun olan RUP
(Rational
Unified Process) Model seçilmi tüm modelleme UML ile
gerçekletirilmitir.
8
Uzman sistem gelitirilirken kabuk program kullanlmtr. Uzman sistem
kabuk
program olarak Microsoft .NET platformu için gereken .dll leri
bulunan ve ileri
zincirlemeyi destekleyen CLIPS kabuk program tercih
edilmitir.
Bu tez çalmas alt bölümden olumaktadr. Birinci giri bölümünde
yaplan
çalmann hedefleri, literatür aratrmasnn özeti, metod ve
materyaller
özetlenmektedir. kinci bölümde, “Bilgi Güvenlii” bal altnda bilgi
güvenliinin
tarihi, bilgi güvenlii standartlar, ISO 27001 standartnn ayrntlar
ve detayl
literatür taramas anlatlmtr. Üçüncü bölümde metot ve materyaller
anlatlmtr.
Dördüncü bölümde tasarm ve gerçekletirmenin nasl yapld
anlatlmtr.
Bulgular ve yorum bal ile beinci bölümde çalmann sonucunda elde
edilen
bulgular yorumlanmtr. Altnc ve son bölüm olan sonuçlar bölümünde
ise
çalmann sonuçlar irdelenmitir.
Bilgisayar çann balamasyla birlikte donanmlar, mainframe
bilgisayarlar olarak
görünmeye balad. Büyük sistemler odalar kaplyordu. Yazlmclar bu
büyük
sistemlere komutlarn delikli kartlar yardmyla yaptryorlard. Bu
zamanlarda yerel
alan alar henüz yoktu ve bu mainframeler izole olarak
çalmaktaydlar. Bu
sistemler arasnda iletiim manyetik teybe kopyalanm verilerin dier
sisteme
aktarlmas ile mümkün oluyordu. Bu nedenle sistemlerin ve manyetik
teyp
medyalarnn fiziksel güvenlii bilgi güvenliini oluturmakta idi dier
bir deyile
bilgi güvenlii fiziksel güvenlik ile özde halde idi.
1960 l yllarda mainframeler gittikçe yaygnlayor ve souk savan
etkisiyle askeri
alanlarda çounlukla kullanlyordu. Zamanla, bu sistemlerde yaplan
iler kritik
olmaya ve fiziksel olarak farkl yerlerde bulunan sistemlerden bilgi
ak zorunlu
olmaya balad. Artk manyetik teyplerin postayla gönderilmesi yeterli
olmuyordu.
Bu durumu anlayan Department of Defense's Advanced Research Project
Agency
(ARPA) ARPANET adnda bir projenin finansmann salad. Bu projenin
hedefi
farkl yerlerdeki mainframeler arasnda güvenilir, salam, veri akn
salayacak
network yapsnn salanmasyd. Bugünkü internetin habercisi olan
ARPANET ilk
kez uzak bilgisayarlarn saklad verileri ileme olana salad.
Bilgisayarlara uzaktan eriim bilgi güvenliinin fiziksel güvenlik
ile özde olduu
düüncesini sona erdirdi. ARPANETin kullanmnn arttkça birçok
güvenlik
açnn olduu ortaya çkt. Uzak bilgisayarda bilgi güvenlii politikalar
yetersizdi,
bazen de hiç yoktu. Standartlarn ve formatlarn zayf uygulanmasndan
dolay
parolalarn krlmas kolayd. Uzak siteye telefonla ulamay yönetmek
zordu çünkü
eriim numaralar çou kez korumaszd. Bilgisayar sistemlerine saldrlar
sradan
olmaya balad. Öyle ki 1980 lerin ortalarnda Los Alamos National
Laboratory, the
Memorial Sloan-Kettering Cancer Center, AT& T, ve Department of
Defense
saldrlar halk tarafndan çok iyi biliniyordu. Bu dönemde en büyük
saldrlardan
10
birisi network de dolaan, Unix sistemlerde güvenlik açklarn ortaya
çkaran ve
yeniden dolamas için kendisini kopyalayan bir solucan idi. Bu saldr
o dönemdeki
sistemlerin yaklak 1/10 „u olan 6000 sisteme ayn anda yayld.
Gittikçe büyüyen bu sorunlara tepkiler birçok çevreden farkl
forumlarda geldi. 1970
lerin banda de Department of Defense (Savunma Bakanl) Rand Report
R-609
olarak da bilinen “Bilgisayar Sistemleri için Güvenlik Kontrolleri”
balkl bir rapor
yaynlad. Birçok bakmdan bu rapor bilgi güvenliinin ilk tohumlar
saylmaktadr.
Rand raporu bilgi güvenlii konusunu sadece donanmn fiziksel
güvenliinden farkl
olarak; veri, kullanc ve altyap güvenlii konularn da ele almas
bakmndan
önemli idi. Rapor bilgi varlnn öneminin tannmas, kullanc
yetkilerinin bu
varln güvenliini salamada en önemli unsur olduunu ve bütün bunlarn
anlk
tepkilerle deil kapsaml, çok seviyeli kurumsal bir planda ele
alnmas gerekliliini
vurgulamas ile Rand Report bugünkü bilgi güvenlii disiplininin
filozof isini
oluturmaktadr.
Güvenlik bakndaki deiiklikler uygulamalarda da deiiklikleri
getirdi. Örnein,
1960 larn sonunda ortaya çkan ilk iletim sistemi güvenlik konusunu
ilk öncelikli
olarak dikkate alan bir yapda tasarlanmt. letim sisteminin ad
“Multiplexed
Information and Computer Service” veya ksaca MULTICS ilk kez güçlü
parola
koruma ve birçok güvenlik seviyelerinde yetkilendirme salamaktayd.
lginç olan
konu MULTICS projesine katkda bulunan kiilerin gelitirdii UNIX
iletim sistemi
1970 lerde ilk çktnda bu özelliklere sahip deildi zamanla bu
özellikler UNIX
iletim sistemine ilave edildi.
1980 lerde kiisel bilgisayarlarn artan kullanmyla güvenlik konusu
daha da önem
kazand. Kiisel bilgisayarlar insanlarn çalma masalarnda ve hatta
evlerinde
kullanlmaya baland. Bu balangç küçük yerel alan alarna balanmay ve
daha
sonra global internete balanmay salad. Örümcek a gibi oluan güvenli
veya
güvenliksiz networkler açk veya gizli bir ekilde baka
bilgisayarlardaki bilgilere
erime çabalarn beraberinde getirdi. Zafiyetler internet
kaynaklarndaki bilgilere
eriimi ve paylam daha da kolaylatrd. 1990 larn balarnda grafik
web
11
browserlarn kullanm, network kullanm kolaylklar ve iletim
sistemlerinde grafik
kullanc arayüzleri moda iler olmakla beraberinde acemi kullanclarn
bilgilerinin
tüm dünyaya açmalarna ve merakl hackerlarn da birçok araç
gelitirmelerine ve bu
araçlarla tecrübe kazanmalarna neden oldu. Bu araçlar korunmasz
veya zayf
korumal sistemlerle ve networklerde bulunmakta ve zafiyetlerde
ortaya
çkmaktadrlar. Bu süreç ARPANET in kurulumundan günümüze artarak
devam
etmektedir.
yönetim sisteminin kurulmas ile mümkün olabileceinin anlalmasyla
birlikte tüm
dünyada farkl gruplar tarafndan çalmalar balamtr. Avrupa da ve Uzak
Dou da
yaygn olarak kullanlan ISO 27001 standard ilk olarak ngiltere de
ortaya çkt.
1992 ylnda ngiltere de Ticaret ve Endüstri Bakanlnn “The Department
of Trade
and Industry (DTI)” önderliinde belli bal kurum ve kurulularn
biliim uzmanlar
bir araya gelerek güvenlik tecrübelerini aktardklar “Code of
Practice for
Information Security Management” hazrladlar. 1995 ylnda bu doküman
üzerinde
deiiklikler yaplarak British Standards Institude (BSI) tarafndan
BS7799 ad ile
yeniden ngiliz Standard olarak yaynland. 1996 ylnda ilk destek ve
uyumluluk
arac COBRA adyla pazarland. 1999 ylnda BS7799 un ilk deiiklik
versiyonu
temel deiikliklerle yaynland. BSI ilk sertifikasyon makam oldu.
2000 ylnda
BS7799 yeniden ISO/IEC 17799:2000 adyla ISO standard olarak
yaynlad. 2001
ylnda ISO 17799 toolkit piyasaya sürüldü. 2002 ylnda standardn
ikinci bölümü
BS7799-2:2002 yaynland. kinci bölüm pratik uygulamalar yerine Bilgi
Güvenlii
Yönetimi tanmlamasyd ve ISO standartlar formasyonunda idi.
15 Haziran 2005 tarihinde ISO/IEC 27002 (2005) Information
technology -- Security
techniques -- Code of practice for information security management
standard
yaynlanarak ISO/IEC 17799 (2000) standardnn yerini ald. 14 Ekim
2005 tarihinde
ISO/IEC 27001 (2005) Bilgi Güvenlii Yönetim Sistemi (Information
security
management systems) standard uluslararas bir standart olarak
yaynland. Bilgi
Güvenlii Yönetim Sistemi konusunda yaynlanm olan bu standart
yaym
tarihinden itibaren, BS 7799-2 (2002) nin yerini almtr.
12
ISO/IEC 27000 (2009) Information technology -- Security techniques
-- Information
security management systems -- Overview and vocabulary (Bilgi
Teknolojileri-
Güvenlik Teknikleri-Bilgi Güvenlii Yönetim Sistemi-Genel ve
Terimler).
ISO/IEC 27001 (2005) Information technology -- Security techniques
-- Information
security management systems – Requirements (Bilgi
Teknolojileri-Güvenlik
Teknikleri-Bilgi Güvenlii Yönetim Sistemi-Gereksinimler).
practice for information security management (Bilgi
Teknolojileri-Güvenlik
Teknikleri-Bilgi Güvenlii Yönetim Sistemi için Pratik
Uygulamalar).
ISO/IEC 27003 (2010) Information technology -- Security techniques
-- Information
security management system implementation guidance (Bilgi
Teknolojileri-Güvenlik
Teknikleri-Bilgi Güvenlii Yönetim Sistemi için Uygulama
Rehberi).
ISO/IEC 27004 (2009) Information technology -- Security techniques
-- Information
security management – Measurement (Bilgi Teknolojileri-Güvenlik
Teknikleri-Bilgi
Güvenlii Yönetim Sistemi-Ölçme).
security risk management (Bilgi Teknolojileri-Güvenlik
Teknikleri-Bilgi Güvenlii
Yönetim Sistemi Risk Yönetimi).
Requirements for bodies providing audit and certification of
information security
management systems (Bilgi Teknolojileri-Güvenlik Teknikleri-Denetim
ve Sertifika
Salayclar için Gereksinimler).
information security management systems auditing (Bilgi
Teknolojileri-Güvenlik
Teknikleri-Bilgi Güvenlii Yönetim Sistemi Denetimi için Rehber).
(Henüz
yaynlanmad).
ISO/IEC WD 27008 Guidance for auditors on ISMS controls (Denetçiler
için BGYS
kontrolleri Klavuzu) (Henüz yaynlanmad).
yaynlanmad).
Information security management guidelines for telecommunications
organizations
based on ISO/IEC 27002 (Bilgi Teknolojileri-Güvenlik
Teknikleri-Telekomünikasyon
kurulular için ISO 27002 ye göre Bilgi Güvenlii Yönetimi
Rehberi).
Bilgi Güvenlii Yönetim Sistemi (BGYS) tüm yönetim sisteminin ticari
risk
yaklam, gerçekletirme, iletme, gözlemleme, idame ettirme ve
gelitirmeye dayal
bir parçasdr. Yönetim sistemi organizasyon, kurulu yaps,
politikalar, planlanan
faaliyetler, sorumluluklar, prosedürler ve kaynaklar kapsar. Bilgi
güvenliini
kapsam organizasyonun ve organizasyondaki bilgi kaynaklarnn
büyüklüüne
baldr. Bilgi güvenlii organizasyonun iletme ve i kültürünün tümleik
bir parças
olmaldr. Bilgi güvenlii teknik bir konu olmaktan ziyade temelde
yönetimin
konusudur. Bilgi güvenlii bir kez yaplacak bir i olmayp süreklilik
gerektirir.
Günümüzde bilgi güvenliini ihmal ederek faaliyetini sürdüren baarl
hiçbir
organizasyon bulunmamaktadr. Bilgi güvenlii için iyi seçilmi
yönetim sistemi
kontrolleri, düzgün bir ekilde uygulandnda organizasyonun baarsna
olumlu
katklarda bulunurlar [10].
2.2. ISO 27001 Standardnn Yaps
ISO 27001 13 ana balk altnda 133 tane kontrol maddesi bulundurur.
Bu kontrol
maddelerinin uygulanmas ve zorunlu dokümantasyonun standardn
istedii ekilde
hazrlanmas belgelendirme için bir zorunluluktur. ISO 27001
standardnn bölümleri
aada standartdan özetlenmitir [11].
2.2.1. BGYS nin kapsam ve snrlarnn belirlenmesi
Kuruluun ana faaliyet konusuna uygun olarak BGYS kapsamnn ve kapsam
dnda
kalan faaliyetlerinin belirlenmesi gerekmektedir. Kapsam
belirlenirken kuruluun
müteri ve tedarikçilerine ait bilgilerinden kurulu tarafndan
yaratlan, kullanlan,
gönderilen ve bulundurulan bilgi varlklarnn ileyen, kullanan,
gönderen ve
bulunduran kurulu birimleri mutlaka kapsam içerisinde yer almaldr.
Müteri
bilgilerini dorudan kullanan birimler dndaki birimler, ilgili
birimler olarak
deerlendirilmelidirler. Eer d kaynak hizmet veya ürün alm yaplyorsa
d
kaynak salayclar ise kurulu dnda ilgili taraflar olarak
deerlendirilmelidir.
2.2.2. BGYS politikas belirleme
özelliklerine göre bir BGYS politikas tanmlamaldr.
ISO 27001 standardna göre bilgi güvenlii politikas aadaki
özelliklere sahip
olmaldr:
i. Kurulu bilgi güvenlii ile ilgili olarak hedeflerini ortaya koyan
için bir
çerçeve belirlemeli, prensiplerini ortaya koymal ve bilgi
güvenliine ilikin bir
eylem için kapsaml farkndalk yaratmal,
ii. ve yasal ya da mevzuat gerekleri ve sözlemeye ilikin
güvenlik
yükümlülüklerini dikkate almal,
15
iii. BGYS kurulumu ve sürdürülmesinin yer alaca stratejik kurumsal
ve risk
yönetimini düzenlemeli,
v. Yönetim tarafndan onaylanmaldr.
Kurulu organizasyonunun büyüklüüne ve bilgi varlklarnn çokluuna,
BGYSye
ve tanmlanm i bilgisi güvenliine, yasal ve düzenleyici
gereksinimlere uygun bir
risk deerlendirme metodolojisi (risk deerlendirme yaklam)
belirlemelidir.
Riskleri kabul etmek için kriterler gelitirme ve kabul edilebilir
risk seviyelerini
tanmlanmaldr.
2.2.4. Risklerin tanmlanmas
sahiplerini belirler.
BGYS kapsamnda belirlenen varlklar için var olan tehditler
belirlenir. Tehditler
belirlenirken varln türü ve yaps göz önüne alnmaldr. Bu tehditlere
neden
olabilecek zafiyetler (açklklar) tanmlanmaldr.
deerleri belirlenir. Varlk deeri yüksek varlklar daha çok korunmas
gereken
varlklardr.
16
i. Varlklarn gizliliine, bütünlüüne ya da eriilebilirliine ilikin
oluan
kayplarn olas sonuçlarn dikkate alarak, güvenlik önlemlerinin
eksikliinden
kaynaklanabilecek, kurulu üzerindeki i etkileri
deerlendirilir.
ii. Mevcut tehditler ve zafiyetler ve bu varlklarla ilikili etkiler
nda oluan
güvenlik baarszlklarnn gerçekçi olasln ve gerçekletirilen
mevcut
kontroller deerlendirilir.
iii. Risk seviyeleri belirlenir.
iv. Risklerin kabul edilebilir mi olduunu yoksa riskleri kabul
etmek için
belirlenen kriterler kullanlarak iyiletirme mi gerektirdiini
belirlemek.
2.2.6. Risklerin ilenmesi için seçenekleri tanmlama ve
deerlendirme
Varlklara yönelik tehditlerin yarataca riskleri yok etmek veya
azaltmak için uygun
kontroller uygulanr.
bilerek ve nesnel olarak risklerin kabul edilmesi,
Risklerden kaçnma ve ilikili i risklerini dier taraflara, örnein,
sigorta
irketlerine, tedarikçilere aktarlmas ile riskler azaltlr.
Risklerin ilenmesi için kontrol amaçlar ve standardn uygun
kontrollerini seçme.
Kontrol amaçlar ve kontroller, risk deerlendirme ve risk ileme
süreçlerince
tanmlanan gereksinimleri karlamak için seçilmeli ve
gerçekletirilmelidir.
ISO 27001 Standardnn EK-A snda listelenen kontrol amaçlar ve
kontroller geni
kapsaml deildir ve ek kontrol amaçlar ve kontroller
seçilebilir.
17
Risk yönetiminde hedef riskleri yok etmek veya azaltmaktr ancak
riskleri azaltmak
parasal kaynak gerektirir bu nedenle alnacak önlemler
projelendirilir ve bütçelenir.
Bu esnada risklerin dourabilecekleri tehlikeler aikardr ve
yönetimin belirlemi
olduu risk seviyesinin üzerinde bulunan risklere artk risk
denilmekte ve yönetimin
onayna sunulmaktadr.
edinme
BGYS kurucak kurum ve kurulu BGYS yi gerçekletirmek üzere insan
kaynaklar
görevlendirmesi ve bu personeli yetkilendirmesi gerekir. BGYS
sorumlular kurum
ve kurulularn en üst yetkilisi tarafndan yetkilendirilir ve
yetkilendiren yetkili adna
BGYS deki görevlerini yerine getirir.
2.2.9. Uygulanabilirlik bildirgesi hazrlama
kontrollerin hangilerinin uygulandn, uygulanmayan var ise
neden
uygulanmadnn açkland bir dokümandr. Uygulanabilirlik
bildirgesinin
hazrlanmas bir zorunluluktur.
i. Seçilen kontrol amaçlar ve kontroller ve bunlarn seçilme
nedenleri,
ii. Mevcut gerçekletirilmi kontrol amaçlar ve
iii. ISO 27001 Standardnn EK-A sndaki kontrol amaçlar ve
kontrollerden
herhangi birinin darda braklmas ve bunlarn darda braklmasnn
açklamas.
18
kararlar ve politikalarna izlenebilir olmasn salamal ve kaydedilen
sonuçlarn
yeniden üretilebilir olmasn salamaldr.
Seçilen kontrollerden geriye doru risk deerlendirme ve risk ileme
süreçlerinin
sonuçlarna ve sonra da en geride BGYS politikas ve amaçlarna olan
ilikiyi
gösterebilmek önemlidir.
i. BGYS politikas (ISO 27001 Madde 4.2.1b) ve kontrol
amaçlarnn
dokümante edilmi ifadeleri,
iv. Risk deerlendirme metodolojisinin bir tanm (ISO 27001 Madde
4.2.1c),
v. Risk deerlendirme raporu (ISO 27001 Madde 4.2.1c- 4.2.1g),
vi. Risk ileme plan (ISO 27001 Madde 4.2.2b),
vii. Kurulu tarafndan, bilgi güvenlii süreçlerinin etkin
planlanlanmasn,
iletilmesini ve kontrolünü salamak için ihtiyaç duyulan dokümante
edilmi
uygulama esaslar (prosedürler) ve kontrollerin etkinliinin nasl
ölçüleceini
tanmlama (ISO 27001 Madde 4.2.3c)).
viii. Bu standard tarafndan gerek duyulan kaytlar (ISO 27001 Madde
4.3.3) ve
ix. Uygulanabilirlik Bildirgesi.
süreçlerinin ve uygulama esaslarnn aadakileri gerçekletirip
gerçekletirmediini
belirlemek için planlanan aralklarda yaplmaldr:
19
i. Bu standardn gerekleri ve ilgili yasa ya da düzenlemelere
uyum,
ii. Tanmlanan bilgi güvenlii gereksinimlerine uyum,
iii. Etkin olarak gerçekletirilip sürdürüldüü,
iv. Beklendii gibi ileyip ilemedii.
Bir denetleme program, bir önceki denetim sonuçlarnn yan sra
denetlenecek
süreçlerin ve alanlarn durumu ve önemi dikkate alnarak
planlanmaldr. Denetim
kriterleri, kapsam, sklk ve yöntemler tanmlanmaldr. Denetmenlerin
seçiminde ve
denetimlerin gerçekletirilmesinde, denetim sürecinin nesnel ve
tarafsz olarak
ilemesi salanmaldr. Denetmenler kendi çalmalarn
denetlememelidirler.
Denetimlerin planlanmas ve gerçekletirilmesindeki ve sonuçlarn
raporlanmas ve
kaytlarn tutulmasndaki (ISO 27001 Madde 4.3.3) sorumluluklar ve
gereksinimler,
dokümante edilmi bir prosedür içinde tanmlanmaldr.
Denetlenen alandan sorumlu olan yönetim, saptanan uygunsuzluklarn
ve bunlarn
nedenlerinin giderilmesi için, gereksiz gecikmeler olmakszn
önlemlerin alnmasn
salamaldr. zleme faaliyetleri, alnan önlemlerin dorulanmasn ve
dorulama
sonuçlarnn raporlanmasn (ISO 27001 Madde 8) içermelidir.
2.3. Uzman Sistemin Bilgi Güvenliinde Kullanm Üzerine
Çalmalar
Bilgi güvenlii konusunda yaplan çalmalar incelendiinde;
2003 ylnda Gebze leri teknoloji Enstitüsü Bilgisayar Mühendislii
Ana Bilim
Dalnda yaplan “Bilgi Güvenlii Risk Analizi (BGRA) Yöntemi” konulu
yüksek
lisans tezinde, risk analizi süreçleri içerisinde kullanlan
matematiksel ve istatiksel
metodlar ile risk analiz yöntemleri anlatlarak bilgi güvenlii risk
analizi için yeni bir
yöntem önerilmitir [12]. “Bilgi Güvenlii Risk Analizi” olarak
isimlendirilen bu
yöntem, günümüz deien ihtiyaçlarna cevap vermek üzere tasarlanm hem
nitel
hem nicel araçlar kullanan bir risk analizi yöntemidir. Bilgi
güvenlii risk analizi
sürecine kurum yöneticilerinin ve kurum çalanlarnn da katlmn
salayan,
20
temel olarak benzetim ve anket süreçlerini kapsar.
BGRA yöntemi üç ana admdan oluur. lk admnda riske yol açan bilgi
güvenlii
sorunu, belirlenmi kurallar çerçevesinde ortaya konur. kinci admda,
bilgi güvenlii
sorunu için risk modeli kurulur ve model üzerinde benzetim çaltrlr.
Bu aamada
BGRA yönteminin riski ifade etmek için kulland dier bir metot da
durum analizi
anketidir. Her iki yöntemin sonucunda risk miktar ortaya konur.
Üçüncü admda ise
benzetim ve anket sonuçlar yorumlanr ve risk kontrolü için uygun
öneriler getirilir.
“Security in Brasil: Modelling and Predicting Outsourcing
Decisions” konulu
doktora tezinde James Bullen, günümüzde güvenlik gereksinimlerinin
internet ve
bilgi teknolojilerinin kullanmn kstladn ve özelliklerde KOB lerin
snrl insan
gücü ve finansal kaynak kullanabilmeleri nedenleriyle güvenlik
kstlamalardan en
çok etkilenen kesim olduunu vurgulamakta, KOB ler için biliim
güvenliini d
kaynaktan salamann (outsource) en uygun yöntem olduunu, biliim
güvenliini
outsource etmi 420 KOB ler üzerinde yapm olduu gözlem
çalmasnn
sonuçlarn Logistic regression analysis metodu kullanarak KOB lerde
d kaynaktan
salamann en uygun yöntem olduunu kantlamtr [13].
Missouri State Universitesi Bilgi Sistemleri bölümünden Qingxiong
Ma ile Southern
Illinois Universitesi letme bölümünden J. Michael Pearson„un
birlikte hazrladklar
ve “Communications of the Association for Information Systems
(Volume 15, 2005)
577-591” dergisinde yaynlanan makalede organizasyonlar için bilgi
varlklarn
korumak için birçok standart ve yol haritas önerildii bunlarn
arasnda ISO 17799
en güvenilir uluslararas bilgi güvenlii standard olduunu
belirtmilerdir [14].
Standardn bilgi güvenliini salamak için hem emredici olduunu
hemde
organizasyona adapte edilecek prosedürlerin olduunu ifade
etmilerdir. Biliim
güvenlii professonellerinin ISO 17799 u modern organizasyonlar için
bilgi
güvenliini yönetmede en uygun yöntem olduunu bildirmelerine ramen
imdiye
kadar bu standardn geçerliliini kantlayacak bilinen deneysel bir
çalma
21
olmadndan yola çkarak ISO 17799 standardnn 36 grupta toplad
sorularn
benzer veya yanl anlalmalara neden olabilecek olanlarn birletirerek
veya
ayrarak 56 soru haline getirmilerdir. Çalmaya katkda bulunacak olan
Sertifikal
Bilgi Güvenlii Profesyonellerinden (CISP) International Information
Systems
Security Certificate Consortium (ISC) 2
„um WEB sayfasnda yaynlanan sorulara
“Uygulanamaz” dan balayan ve “Tamamen uyguland” ile son bulan
5-noktal
Likert skalasnda yantlamalar istenmitir. Çalmaya katlan 3000 CISP
den 354
deerlendirmeye alnabilir yant elde edilmitir. Yantlama oran % 11,8
dir.
ISO 17799 da 10 güvenlik boyutu bulunduundan alnan yantlar 10
faktör üzerinden
confirmatory factor analysis (onaylayc faktör analizi)
yaplmtr.
Analiz çalmalarnn sonunda ISO 17799 standardnn 10 güvenlik
boyutundan 7
sinin onayland, 3 boyutunun (“personel güvenlii”,”Fiziksel ve
çevre
güvenlii”,”Uyumluluk”) onaylanmad bunun yannda “D kaynak veya
i
ortaklarnn güvenlii” konusunun eksik olduu ilave edilmesi
gereklilii ortaya
çkartlmtr. Bu çalmann sonuçlar ilgili olan kurululara International
Standart
Organization (ISO)ya, Internet Ingineering Task Force (IETF)ye ve
US National
Institute of Standards and Techonology (NIST)e dikkate alnmas
için
gönderilmitir. Bu çalmann önerileri ISO/IEC 2001 (2005)
versiyonunda gözönüne
alnmtr.
ngilterede yaplan bir çalmada ise; UCISA (Universities and
Colleges
Information System Association) Information Security Tool Kit
ngiltere nin önde
gelen üniversitelerinin (London School of Economics, University of
Reading,
University of Liverpool, West Midlands RSC. vb) katklaryla hazrlanm
ve
özellikle üniversitelerin bilgi güvenliklerini oluturma yolunda
standardizasyonun
salanmas ve dier organizasyonlarnda faydalanabilecei bir çalma
yaplarak
tamamen BS 7799 standardn esas alan Bilgi Güvenlii Yönetim Sistemi
meydana
getirmek için bir tool kit oluturmular ve tüm ngiltere
üniversitelerinin kullanmna
sunmulardr [15].
Vural Y., ve Sarolu ., tarafndan yaplan çalmada; kurumsal bilgi
güvenlii
genel olarak incelenmekte, mevcut çalmalar özetlemekte, kurumsal
bilgi
güvenliinin kurumlarda etkin bir ekilde hayata geçirilmesinin
önemi
vurgulanmaktadr [16]. Kurumsal bilgi güvenliinin uygulanmasnda
önemli bir yer
tutan ISO/IEC 27000 serisi standartlar ksaca açklanmakta ve
ülkemizde Avrupa
Birlii uyum kriterlerinde de ad geçen bu standartlarn uygulanmas
konusunda
yaplan çalmalarn yetersiz olduu, bu standard uygulayan kurum ve
kurulularn
saysnn yok denecek kadar az olduu vurgulanmaktadr.
Callio toolkit : Kanada konulu bir firma olan Callio nun ürünü olan
Callio tollkit BS
7799 Bilgi Güvenlii Yönetim Sisteminin ve dokümantasyonunun
oluturulmasnda
kullanclara kolaylk salayan web üzerinde çalan bir araçtr. ISO
17799,
BS 7799-2, COBIT ve Serbanes-Oxley standartlarnda destekler ve
bu
standartlardan soru alverii yapabilir [17].
Aadaki fonksiyonlar desteklemektedir :
ii. irketin en deerli varlklarnn envanterinin derlenmesi,
iii. BGYS içerisinde süreçlerin ve yapnn belirlenmesi,
iv. Varlklara yönelik risklerin azaltlmas,
v. Kontrollerin uygulanmasnda senaryolar belirlemek,
vi. Taslak güvenlik politikalar (50 den fazla örnek),
vii. Politika dokümannn hazrlanmas ve yönetimi,
viii. Onay bekleyen dokümanlarn onaylanmas veya iptali,
ix. ç tetkik sorularnn kiiselletirilmesi,
x. ç tetkik sorularnn içeri alnmas veya da verilmesi,
xi. BGYS nin BS 7799-2 sertifikasyonu gereksinimlerini
karladnn
dorulanmas,
düzenlenmesi ve dokümante edilmesi,
Standard Directs ISO17799 Toolkit : ISO 17799 ve ISO 27001
standartlarn
destekleyen temel kaynaklardan birisidir. Aracn içerisinde uygulama
ve denetimi
destekleyen bölümler bulunmaktadr [18].
i. ISO 17799 ve ISO 27001 standartlar,
ii. Belgelendirmeye giden bir rehber/yol haritas,
iii. Denetim listesi,
v. Network denetim listesi,
vi. Bilgi güvenlii politikalar,
vii. Felaket kurtarma seti (kontrol listesi ve sorular ile
birlikte),
viii. Standardn içeriini ve çerçevesini yönetim sunumu,
ix. Bilgi Sistemleri ve Bilgi Teknolojileri terimler sözlüü,
ITGovernance Toolkit: IT Governance kitaplar ve kolaylklar (tool)
herhangi bir
organizasyonun BGYS ni ilk kez oluturmalarna rehberlik eder ve
destekler.
Dünyann neresinde olursa olsunlar kamu sektöründen, özel sektörden
veya gönüllü
kurululardan bu kolaylklar kullananlara zaman ve para tasarrufu
salar.
Gelitirdikleri uygulamay kitaplar ile destekleyen bu ngiliz firmas
farkl
gereksinimlere göre paket çözümler salamaktadr. Temelde ISO 17799 a
giden bir
yol haritas ortaya koyar, kullanclarn ihtiyaç duyduu
dokümantasyonu
hazrlamalarna kolaylk salar [19].
kullanldklar görülmektedir. Bu araçlardan RiskPac ve OCTAVE en
tannm
olanlardr. RiskPac özellikle ABD kamu sektöründe ve birçok özel
sektör firmas
tarafndan 1984 ylndan beri kullanlan bir araçtr. RiskPack kullancya
sorular
yönelterek yantlar alr ve uzman sistem bilgi tabannda
deerlendirerek varlklarn
risk analizini yapar [20]. OCTAVE ise kuruluun i çevresine göre
kritik varlklarn
24
ve tehditlerini tespit eder, tehditlere neden olabilecek
zafiyetleri belirler ve
zafiyetlere kar bir koruma stratejisi gelitirir. OCTAVE tüm
süreçlerinde bilgi
taban kullanlmaktadr [21].
Uzman sistem tabanl risk deerlendirme araçlar olan RiskPac ve
OCTAVE ISO
27001, HIPAA, SOX, InfoSec, Cobit gibi risk deerlendirme
gereksinimi olan
uyumluluk denetimlerinde sklkla kullanlmtr.
Bu tez çalmasnda tehditlere yönelik korumalarn seçilmesinde ve ISO
27001
dokümantasyonunun hazrlanmasnda uzman sistem kullanlmtr.
Uzman
sistemlerin ISO 27001 kurulumu ve dokümantasyon hazrlanmasnda
kullanlmasna
literatürde rastlanlmamtr.
Bu tez çalmasnda uzman sistem kullanlarak bilgi güvenlik yönetim
sistemi
kurulmasna yardmc olmak üzere bir yazlm gelitirilmektedir.
3.1. Yazlm Gelitirme Süreç Modelleri
Yazlm gelitirme süreçleri ile kaliteli bir yazlm ürünü gelitirmek
hedeflenir.
Proje gelitirme süreci, projede yaplacak faaliyetleri ve bunlarn
srasn belirler.
Süreç modeli, projenin aamalarn, aamalarn uygulama sralarn, koul
ve
kstlamalarn belirler. Uygun olduu durumlarda süreç modeli
kullanlarak proje
maliyetini düürülmesi, yüksek kalitede ürün elde edilmesi, döngü
süresinin
azaltlmas gibi faydalar süreç modellerinin ana hedefidir
[22].
Yazlm gelitirme süreç modelleri aada özetlenmitir.
3.1.1. elale (Waterfall) modeli
Yazlm gelitirmede kullanlan en basit modeldir. Büyük ve karamak
yazlm
sürecinin küçük parçalara bölünerek yönetilmesi kolay bir hale
dönütürülmesi ana
fikirdir. Model parçalar halindeki süreç aamalarn birbirleriyle
ilikili ancak içiçe
olmasn salar. elale modelinin en büyük avantaj sadeliidir [22].
süreci
aamalar aadaki gibidir [23];
Sistem tasarm
önüne alnarak gereken fayday salayp salamayaca incelenerek rapor
haline
getirilir.
Analiz ve planlama: Mevcut durumun analiz edildii, isterlerin
belirlendii yazlm
sürecinin en kritik aamasn tekil eder. Bu aamada yaplacak bir
yanln
düzeltilmesi insan gücü ve para israfna neden olur.
Sistem Tasarm: Analiz aamasnda belirlenen gereksinimlere uygun
ekilde veri
sözlüü, meta-veri ve veri tabannn tasarland aamaya tasarm aamas
denir.
Kodlama: Tasarm aamasnda oluturulan yapya uygun ekilde yazlmn
yapld
aamadr.
test edildii aamadr. Bu aamada yazlm yeterli olgunluk seviyesine
ulaana kadar
kodlama aamas arasnda git gel yaplarak gereken düzeltmelerin
yaplmas ve
yazlmn istenilen hale gelmesi salanr.
Kurulum: Test aamasndan geçerek yeterli olgunlua ulaan uygulama
yazlmnn
devreye (kullanma) alnd aamadr. Yazlm farkl lokasyonlara kurulacak
ise
kurulum ekibinin eitimi, kullanclarn eitimi ve yardm masasnn
oluturulmas
bu aamada yaplr.
yaplmas ve bakm plannn oluturulmas aamasdr.
elale modelinin yaygn bir ekilde kullanlmasna ramen çok önemli
kstlamalar
vardr. Bunlar;
1. Tasarm aamasn balamadan önce isterlerin kesin bir ekilde
belirlenmesi ve
dondurulmas gerekmektedir.
bir kaç yl süren bir projenin erken aamalarnda donanmn
belirlenmesi
zorunluluunu dourmaktadr.
3. Tüm yazlm bir defada ve proje sonunda elde edilir. Bu durum
yannda büyük
riskleri getirmektedir. Müteri projenin sonuna kadar gelimeler
hakknda bilgi
sahibi olamaz.
4. Müterinin isterleri abartmasna neden olur.
5. Doküman esasl bir süreç olduundan her aama sonunda birçok
doküman
hazrlanmasna neden olur.
3.1.2. Prototip model
elale modelinde analiz safhasnda tespit edilen isterlerin tasarm ve
kodlama
aamalarna geçmeden önce belirlenme zorunluluuna karn prototip model
mevcut
durumda bilinen isterlere göre prototip in yaplmasn salar. Kullanc
arzulanan
sistemin isterlerini daha iyi anlar ve sonuçta daha az deien oturmu
isterlere göre
gelitirilmi bir yazlm salanr. Prototip model manuel sürecin olmad
veya
mevcut sistemin isterlerinin belirlemesi gereken karmak ve geni
sistemlerde
kullanlr. Bu modelde kullancnn prototip ile oynayarak sistemin
isterlerinin
belirlenmesinde gereksiz ve önemli girdileri belirlemesini salar.
Prototip
gelitirildikten sonra kullancya (müteri) prototipi test etmesi için
olanak salanr.
Kullancnn geri beslemeleri alnarak doru olanlar, gelitirilmeye
gereksinim
duyulan yerler ve yanl olan yerler belirlenir. Geri beslemeye göre
prototip üzerinde
gelitirmeye devam edilerek sistem yazlm gelitirilir.
Prototip model;
etmek, elale modelin ve prototip modelin avantajlarn kullanan bir
modeldir. Temel
düünce yazlmn küçük ilavelerle tamamlanmasdr. Her döngünün
sonunda,
projenin baz çktlar elde edilir. Her döngüde, yazlma yeni bir
özellik eklenir.Bu
sayede yazlm kademeli veya artrmsal olarak gelitirilir. Bu model
yazlmn
yapsna daha uygundur çünkü proje ilerledii sürece yeni bilgiler ve
deneyimler
ortaya çkar ve bu bilgi ve deneyimler projeyi gelitirmek için
kullanlabilir [22].
Döngüsel modelde, projenin erken safhalarnda elde edilen çktlar,
projenin geç
safhalarnda deiirse, bu deiiklikler projeye pahalya mal olmaz. Bu
Döngüsel
modelin en büyük avantajdr. Ayn zamanda, döngüsel modeldeki her
döngü,
projenin çalanlar için bir örenme sürecidir [23].
Döngüsel model gereksinimler daha bata olgun olmad ve projenin doas
gerei
döngüler halinde kademeli olarak gelitirmeye yatkn projelerde
kullanlmaya
uygundur. Yazlm fonksiyonel olarak bölünmeye uygun olmaldr. Her
parça ayr
olarak ele alnr ve her döngüde yeni bir grup fonksiyon
eklenir.
3.1.4. RUP (Rational Unified Process) model
IBM tarafndan satn alnan Rational tarafndan gelitirilen RUP dier
bir iterative
modeldir [24]. Genel bir süreç modeli olmasna ramen Unified
Modeling Language
(UML) kullanlarak Nesneye-Yönelik (Object-Oriented) yazlm
gelitirmek için
tasarlanmtr [25]. RUP yazlm gelitirmeyi her biri tamamen çalan
sistemler olan
döngülere bölmeyi öngörür. Genellikle herbir döngü mevcut sisteme
(bir önceki
döngü) baz ilaveler salamay hedefleyen ayr bir proje olarak çalr.
Dört
gelitirme aamas gelitirme döngüsünü oluturur. Son halini alan bir
yazlm ürünü
tüm yaam döngüsü boyunca birçok gelitirme döngüsüne maruz kalr
[26].
29
(Lifecycle Objective Milestone –LCO) belirlenmi olur.
Deerlendirme (Elaboration) aamasnda ihtiyaç makamnn projeyi
onaylamasna
müteakip detayl sistem analizine göre sistemin mimarisi tasarlanr.
Bu aama
tamamlandnda yaam döngüsü mimarisi kilometreta (Lifecycle
Architecture
Milestone - LCA) tamamlanm olur. Mimari yap burada dondurulmu
deildir bu
aamada mimari yapnn performans ve bulundurulabilirlii gibi önemli
nitelikleri
ve mimari yaklam ile kullanlacak teknoloji belirlenir [26].
Yapm (Construction) aamas isterlerin özelliklerini belirlenmesi,
mimari konsept
ve proje plan ile balar. Ürünün gerçekletirilmesi, birim testi ve
sistem testi yapm
aamasnda gerçekletirilir. Yapm aamasnn çkts ürünün tam bir
versiyonudur.
Birinci ilevsel Yetenek kilometre ta (The Initial Operational
Capability Milestone
- IOC) yapm aamasnn sonuç çktsdr.
Geçi (Transition) aamas ürünün gelitirme platformunda kullancnn
operasyonel
platformuna aktarld dier bir deyile ürünün kullancya teslim edildii
aamadr.
Ürünün, teslim, eitim ve destek faaliyetlerini içerir. Bu aamann
sonucunda ürün
kullanma alnr (product relase).
30
ekil 3.1 de RUP (Rational Unified Process) Modeli yaps
görülmektedir [24].
Ana lem Disiplinleri
Genel olarak, RUP üst seviyede tekrarlayc bir yaklam sunmakla
beraber
yenilemeli bir yaklam da tevik eden esnek bir süreç modelidir.
Aamalarda
projenin gereksinimlerine göre farkl ilerin yaplmasna izin verir
[22].
3.1.5. Timeboxing model
Yeni döngü mevcut döngü tamamlanmadan balar böylelikle yeni döngü
mevcut
döngü ile birlikte gelitirilir. Mevcut döngü tamamlanmadan yeni
döngüye balamak
ortalama döngü süresini azaltr böylelikle proje süresi azalm olur.
Timeboxing
modelinde bir zaman dilimi (döngü) elale modelinde olduu gibi
aamalara
bölünmütür . Her aama döngü içerisinde açkça belirlenmi bir görevi
yerine getirir
ve belirli bir sonuca yöneliktir [22].
31
ekil 3.2de de açkça görülecei üzere iki döngü süresinde dört
döngü
gerçekletirilmektedir.
Gereksinimler
3.1.6. Agile süreç modeli
1990 l ylarn banda, dier doküman ve bürokrasi gerektiren geleneksel
süreç
modellerinden ve özellikler elale modelinden farkl gelitirilen bir
süreç modeli
yaklamdr. Agile yaklam aadaki ortak prensipler üzerine kurulmutur
[22].
Çalan yazlm projenin ana ilerleme ölçütüdür.
Bir projede ilerlemeler, hzl gelitirilen küçük artrmlar ile elde
edilir.
Geç gelen gereksinim talepleri kolaylkla karlanabilir.
Dokümantasyon yerine yüz-yüze görümeler tercih edilir.
htiyaç makamnn projeye yakn ilgisi ve sürekli geri beslemesi
kaliteli yazlm
gelitirmek için gereklidir.
Olas senaryoya dayal ayrntl tasarm yapmak yerine zaman içerisinde
gelien
ve olgunlaan basit tasarm daha iyi bir yaklamdr.
Ürün teslim tarihleri yetenekli bireylerden olumu güçlü ekipler
tarafndan
karar verilir.
önerilmitir. Bunlarn içerisinden Extreme programming (XP) en yaygn
ve iyi
bilinen yaklamdr. Dier agile yaklamlar gibi XP kaçnlmaz
deiiklikleri ve
yazlm gelitirmenin bu ani deiiklikleri karlayabilecek bir yapda
olmas
gerektiini kabul eder.
balangç geleneksel isterlerin belirlenmesinden detaylar konusunda
farkldr.
Yazlm gelitirme ekibi kullanc hikayesine göre yazlm gelitirmenin ne
kadar
süreceini kabaca kaç hafta olacan tahmin eder. Bu tahminler ve
hikayeler
kullanlarak hikayelerin hangi sistem yaynnda yaplacann belirlendii
yaynlama
planlamas (release planning) yaplr. Sk ve küçük yaynlar arzu
edilir.
ekil 3.3 de tüm XP i süreci görülmektedir [22].
Kullanc
Yazlm gelitirme bir haftadan fazla sürmeyen döngüler halinde yaplr.
Döngüler
hangi hikayenin bu döngüde yaplacann planland döngü planlamas
(iteration
planning) ile balar. Yüksek deerli ve yüksek riskli hikayeler
yüksek öncelikli kabul
edilir ve erken döngülerde gelitirilir.
33
Yayn Plan
ekil 3.4. XP de bir döngü
XP ve dier agile metodlar isterlerin sk deitii veya deime olaslnn
yüksek
olduu projeler için uygundur.
(Internet) dünyay büyük bir köy haline getirmitir. Dünyann herhangi
bir yerinde
üretilen bilginin saysal hale getirilerek bilgisayar ortamnda
saklanmas, o bilgiye
dünyann herhangi bir yerinden çok ksa sürede eriimi olanakl
klmaktadr.
“Bilgi Ça” ve “Bilgi Toplumu” gibi terimlerin sklkla kullanld
günümüzde
bilginin önemi daha açk bir ekilde ortaya çkmaktadr. Bilginin önemi
artt
oranda o bilgiye ulaabilmeyi salayan sistemlerin de önemi
artmaktadr. Teknolojik
gelimelere paralel olarak bütün i sektörlerinde bilgisayarlar
kullanlmaya
balanmtr ve her türlü gerekli bilgi bilgisayar ortamnda saklanarak
istenildiinde
yöneticilere sunulmaktadr. Burada önemli olan bilgilerin toplanmas,
organize
edilmesi ve datlmasdr. Bir çok organizasyon bilgiyi toplamak,
organize etmek ve
datmak için bilgisayar destekli bilgi sistemlerini kullanmaktadr.
Yönetim bilimleri
tabiriyle iletmelerde “Yönetim Bilgi sistemi” kullanm
yaygnlamaktadr. Bunun
yan sra iletmeler “Uzman Sistem” gibi farkl yönetim bilimi
tekniklerini
kullanmaktadrlar [27].
gerektiren problemleri çözmek için bilgisayar tarafndan depolanan
insan bilgisini
kullanan bir sistemdir. Bu sistemler hem uzman olmayanlar tarafndan
problemlerin
çözümü için kullanlr, hem de uzmanlar tarafndan bilgili yardmclar
olarak
kullanlr.” Uzman Sistemlerin birçok farkl alandaki zor seviyede
saylabilecek
problemleri baarl bir ekilde çözüme kavuturmas, dikkat
çekmelerindeki en
önemli unsuru oluturmutur [28].
çalr. Bu nedenle uzman sistemler insan bilgisini youn biçimde
kullanan
programlardr. Dier bir deyile “Ancak bir uzman insann çözebilecei
karmak
problemlerin bilgisayar ile çözümüne olanak salayan sistemler”
olarak
tanmlanabilir. Bazen Bilgi-Temelli Sistem veya Bilgi-Temelli Uzman
Sistem
ifadeleri Uzman Sistem ifadesi yerine kullanlabilir.
Uzman sistem yazlm gelitirilirken herhangi bir programlama dili
yerine, uzman
sistem kabuk program kullanlmas zaman ve i gücünden önemli bir
tasarruf salar
[35].
1970de ilk kez ortaya çkan Uzman Sistemler, son otuz yl içerisinde
büyük önem
kazanmtr. Uzman Sistemlerin birçok farkl alandaki zor seviyede
saylabilecek
problemleri baarl bir ekilde çözüme kavuturmas, dikkat
çekmelerindeki en
önemli unsuru oluturmutur.
kurallar (production rules) dr [29].
35
Uzman sistemin temel bileenleri bilgi taban (Knowledge Base),
Çkarm
Mekanizmas (Inference Engine) ve Kullanc Ara yüzü (User Interface)
dür. Alan
bilgisi uygun formasyonda bilgi tabannda saklanr.
Uzman sistemin mimari yaps ekil 3.5 de görülmektedir [30].
Bilgi Taban
3.2.1.1. Bilgi taban
Bilgi taban problemlerin anlalmas, formülasyonu ve çözümü için
gerekli olan tüm
bilgileri içerir. Temel olarak iki çeit bilgi vardr bunlar; ifade
edici bilgi (declarative
knowledge) ve ilevsel bilgi (procedural knowledge). fade edici
bilgi veri (data) ve
gerçeklerle (facts) gösterilir. levsel bilgi, ifade edici bilgi
kullanlarak elde edilen
bilgidir. Uzman insanlardan bilgi edinmek ve bu bilgiyi uygun ekile
sokmak ve
saklamak ilemine bilgi mühendislii (knowledge engineering) denir
[30].
36
levsel Bilgi (Procedural knowledge)
IF durum THEN ilem
IF sat gün says > 30 THEN ilgili prosedürü kontrol ediniz.
fade Edici Bilgi (Declarative knowledge)
IF önceki koul THEN sonraki koul
IF X ödenebilir bakiye THEN X borçtur.
IF (Y irketinin borcu = $12,500)
THEN (Y irketi borca itiraz eder)
3.2.1.2. Bilgi mühendislii (Knowledge engineering)
Bilgi mühendislii ileri seviyede alan uzmanl gerektiren karmak
problemlerin
çözümünde bilgisayar sistemlerinin kullanlmas ile ilgili bir
mühendislik disiplinidir.
Bilgi mühendisliinin ana ilevi bilgi sorgulamas, bilgi gösterimi ve
bilgi
geçerliliidir.
Bilgi mühendislii, yaklak yirmi yl önce prensiplerle, metotlarla ve
bilgi toplayan
araçlarla ilgili olarak, bilgi taban gelitirme maksadyla yapay zeka
nn bir parças
olarak kullanlmaya balad.
Son zamanlarda bilgi mühendislii tanmna sadece yapay zeka deil
ticaret
mühendislii (business engineering), e-ticaret mühendislii
(e-business engineering),
bilgisayar bilmi/mühendislii (computer science/engineering), yazlm
mühendislii,
biliim teknolojileri ve bilgi yönetimi de dahil olmutur [31].
Benzer bir tanmlama, Solvberg ve Kung tarafndan bilgi sistemleri
mühendislii
“information systems engineering” teriminin ortaya atlmasyla da
yaplmtr [32].
37
Bilgi geçerleme
- Test durumlar -
ÇkarmDeerlendirme, dorulama
Bilgi kayna
3.2.1.3. Bilgi gösterimi
Aadaki metotlarla yaplr.
2. Çerçeveler (Frames)
4. Nesne-Nitelik-Deer Üçlüsü (Object-Attribute-Value (O-A-V)
Triplets)
5. Üretim Kurallar (Production Rules)
6. Yapay Sinir Alar (Neural Networks)
Yüklemsel Analiz (Predicate Calculus) : Temel birimi nesne (object)
tir. Nesnelerle
ilgili cümlelere belirteç ad verilir. Örnein, mavidir (araba)
arabann mavi olduuna
dair bir savdr.
Nesneler seti vardr.
Fonksiyonlar vardr. Verilen nesneleri dikkate alnarak her fonksiyon
baka bir
nesneyi hesaplar.
Çerçeveler (Frames): Gerçekleri (facts) ve ilikileri temsil eden
bir metod salar.
lgili nesne ile ilintili tüm bilgileri içeren bir nesne yeri (slot)
tanmlar. Slot bir
nesnenin deer, ilk deerler, dier framelerle iaretçiler, kural
kümeleri veya
prosedürler içeren bileenidir.
tanmlarnn gösterimi için kullanlr. Balantlar (Links) nesneler ve
tanmlar
ilikilendirmek için kullanlr.
dayal bilgileri göstermek için yaygn bir yöntemdir. lk uzman sistem
uygulamas
olan MYCIN de kullanlmtr. Nesneler fiziksel veya kavramsal
olabilirler.
Nitelikler nesneler ile birleik genel karakteristikler veya
özelliklerdir.
Üretim Kurallar (Production Rules): Kurallar ilikileri göstermeye
yarar. Kural
tabanl bilgi gösterimi -IF kural THEN eylem- yapsndadr. Problem
konusu koula
uygun ise eylem gerçekletirilir.
Yapay Sinir Alar (Neural Networks): Yapay sinir alar kullanlarak
bilgi gösterimi
aadaki faydalar salar.
Silikon ilemcilere (chips) gömülebilir.
Eitimli ve programlanm deildir.
3.2.1.4. Çkarm mekanizmas
Uzman Sistemin beynidir. Bilgi taban ve çalma alannda bulunan
bilgiler üzerine
düünmek için bir metodoloji sunan ve sonuçlar biçimlendiren bir
bilgisayar
programdr. Bir baka deyile gerçekler ve vaadlerden (promises) sonuç
çkaran
mekanizmadr. Burada sistem bilgisinin nasl kullanlaca hakknda karar
alnr.
Balca 2 temel görev yerine getirir. Bunlar ;
Mevcut gerçekler ve kurallar kontrol eder ve mümkün olduunda yeni
gerçekler
ekler.
Hangi çkarmn yaplacana karar verir.
Çkarm balca Modus ponens ve Modus tollens olmak üzere iki yöntemle
yaplr.
Modus Ponens: Yaygn olarak kullanlan çkarm stratejisidir, basit
muhakeme esasl
ve kolaylkla anlalabilir.
Modus Ponensin gösterimi;
Sral notasyonda , veya kural formunda ,
eklinde
Örnein : IF Bugün Pazartesi, THEN ie gideceim.
Bugün Pazartesidir.
Modus Tollens: Modus Ponens in cevap veremedii eylemin olumsuz
olmas
durumunda kullanlr.
Sral notasyonda , ¬ ¬ veya kural formunda , ¬
¬
Köpek gece boyu havlamad.
Bu nedenle, hrsz gelmedi/yoktu.
bilgi ile de çalabilmelidir. Belirsizlik derecesi gerçek says ile
ilgilidir. ki çkarm
metodu vardr. Bunlar leri Zincirleme (Forward-Chaining), Geri
Zincirleme
(Backward Chaining) dir.
çallr. Kullanc ile uzman sistem arasnda problem çözümünün sonuna
kadar bir
etkileim vardr. Bu etkileim bilgi tabanndaki kural zinciri
içerisinde gerçekleir.
Basit bir ileri zincirleme örnei aadaki gibidir ;
Kural 1
Kural 2
Araba arzalanrsa
Soru : Arabann masraf çkaraca ve eve geç kalacanz durum
nasldr?
Olaylar balatan eylem arabann su kaynatmasdr.
41
sonuca yöneliktir (goal-driven). Sonuç bellidir sebep bulunmaya
çallr. lem,
verilen sonuç bulununcaya veya uygulanacak kural kalmayncaya kadar
devam eder.
Kural 1
THEN Mar motoruna yeterli akm gelmiyor.
Kural 2
THEN Araba çalmaz
Araba bakml deilse ve akü zayfsa araba çalmaz.
3.2.1.5. Kullanc arabirimi
Uzman Sistemler, kullanc ile bilgisayar arasnda probleme yönelik
iletiimin
salanmas için bir dil ileyici içerir. Bu iletiim, en salkl doal dil
ile yaplr.
Ksaca kullanc ara birimi kullanc ile bilgisayar arasnda bir
çevirmen rolünü
üstlenmitir. Modern bilgisayar programlarnda olduu gibi, Uzman
Sistemlerin de
kullancnn rahat kullanabilecei kolay ve anlalr bir arabirimi vardr.
Kullanc
arabiriminin kolay ve anlalr olmas, sistemin iç çalmasnn akc
olaca
anlamna gelmez, fakat bu uç kullanclarn Uzman Sistemi kullanrken
sisteme
problemlerini rahatça anlatabilmelerini ve sistemin verdii sonucu
da rahatça
anlayabilmelerini salar.
Uzman Sistemleri dier sistemlerden farkl yapan bir özellii de
açklama
modülünün olmasdr. Açklama modülünden kast, kullancya çeitli
yardmlarn
verilmesi ve sorularn açklanmas olduu kadar, Uzman Sistemin çkard
sonucu
nasl ve neden çkardn açklayabilmesidir. Burada Uzman Sistem karlkl
soru
cevap eklinde davranlarn açklar.
3.2.2. Uzman sistemlerin özellikleri
Bir Uzman Sistem genelde u özellikleri tayacak ekilde
tasarlanr:
i. Yüksek Performans: Bir Uzman Sistem program, sorulan sorulara
uzman bir
insana denk veya daha iyi bir düzeyde cevap verebilmelidir.
ii. Hzl Cevap Verme: Tasarlanan sistemin, sorulan sorulara yönelik
bir sonuca
makul bir sürede varabilmesi ve hatta uzman bir insandan daha çabuk
karar
verebilmesi gerekir. Örnein, bir uzmann bir saatte sonuca vard bir
konuda,
Uzman Sistemin bir ylda karar vermesi elbette ie yaramaz.
iii. Güvenilirlik: Hazrlanan Uzman Sistemin güvenilir olmas, hata
vermemesi
gerekir.
iv. Anlalabilirlik: Tasarlanan sistemin, bir konuda vard sonucun
aamalarn
tek tek açklayabilmesi gerekir. Sonuca nasl vard meçhul olan bir
sistemden
ziyade, tpk bir insan uzman gibi, gerektiinde vard sonucun
nedenlerini
açklayabilmelidir.
v. Esneklik: Bir Uzman Sistemde kullanmak üzere büyük miktarda
bilgi
yüklemek gerekir. Bu yüzden bilgi ilave etmek, deitirmek ve silmek
için
etkin bir mekanizmann Uzman Sisteme eklenmesi gerekir.
Kural-Tabanl
Sistemlerin (Rule-Based Systems) popüler olmasnn önemli
nedenlerinden
biri, kurallarn etkin ve modüler bir biçimde saklanabilme
özelliidir.
43
B.Johnson Uzay Merkezinin Yazlm Teknoloji ubesi (Software
Technology
Branch -STB-) tarafndan gelitirilmitir. Açk kaynak kodu olarak
temin edilebilen
bir uzman sistem kabuudur. CLIPS ileri zincirleme muhakemesi yapar
ve bilgi
gösteriminde üretim kurallar metodunu kullanr [32].
CLIPS kabuunun notasyonu LISP programlama diline çok benzerdir.
Aada
CLIPS kullanlarak bir kural tanmlamasnn örnei verilmitir
[34]:
(defrule kimdir
(assert (is-patron ?r1)))
?r1 deiken gösterimi için kullanlmtr, bu durum için bir ahstr.
Assert
Veritabanna fact (gerçek) atamak için kullanlr, örnekte üç
gerçekten bir sonuç
üretilmektedir. öyle ki eer ahsn ad Ali, soyad Ylmaz ve saç rengi
kzl ise bu
ahs patrondur.
(assert (ad x Ali))
(assert (soyad x Ylmaz))
(run)
aadaki gibi görünür:
f-3 (is-patron x)
Bu tez çalmasnda uzman sistem CLIPS kabuu kullanlarak bilgi
güvenlik
yönetim sistemi kurulmasn salayan bir yazlm gelitirilmitir.
4.1. Uzman Sistem Yaklamnn ISO 27001 Bilgi Güvenlii Yönetim
Sistemine
Uygulanmas
Bu tez çalmasnda Türkiye de bilgi teknolojileri kullanmnn gün
geçtikçe artt
ve bu konuda bilgi sahibi personelin çok az sayda istihdam edildii
kurum ve
kurululara yönelik ISO 27001 bilgi güvenlii yönetim sisteminin
kurulmas ve
sürdürülmesine ilikin uzman sistem temelli bir çözüm
gelitirilmektedir.
Uygulamann hedef kullanc kitlesi temel bilgisayar bilgisine sahip
personel
istihdam eden kurum ve kurululardr. Bu nedenle gelitirilen yazlmn
kullanm
kolay ve görsel özelliklerin ön planda olduu bir platformda
gelitirilmesi uygun
olacaktr. Bu nedenle yazlm gelitirme ortam olarak kurum ve
kurulularda yaygn
olarak kullanlan Microsoft Office uygulamalar ile entegre olabilen
ve Nesneye
Yönelik bir yazlm gelitirme platformu olan Microsoft .NET C#
seçilmitir. Veri
taban olarak ücretsiz olmas nedeniyle Microsoft SQL Express
Edition
kullanlmtr. Yazlm gelitirme modeli olarak Nesneye Yönelik
yazlm
gelitirmeye uygun olan RUP (Rational Unified Process) Model seçilmi
tüm
modelleme UML ile gerçekletirilmitir.
emek tasarrufu salamas yansra yaplabilecek olas programlama
hatalarn
önleyeceinde dolay gelitirilen yazlmda kabuk program kullanlmtr.
Uzman
sistem kabuk program seçilirken C, C++, C#, Java uygulama
gelitirme
platformlarn destekleyen CLIPS, ACQUIRE gibi kabuk programlar
incelenmitir.
Ücretsiz olarak temin edilebilmesi, Nesneye Yönelik programlamaya
uygun olmas,
Microsoft .NET platformu ile uyumlu çalmas ve .NET için gereken
.dll lerin
46
bulunmas ve özellikle bu tez çalmasnda youn olarak kullanlan ileri
zincirlemeyi
çok iyi desteklemesi nedenleriyle CLIPS kabuk program bu çalmada
tercih
edilmitir.
taban oluturulmutur. Bilgi taban oluturulurken ifade edici bilgi
(declarative
knowledge) ve ilevsel bilgi (procedural knowledge) birlikte
kullanlmtr. Bilgi
taban kullanlarak kurallar oluturulurken bilgi gösterme
yöntemlerinden üretim
kurallar (production rules) kullanlm ve CLIPS kabuk programna
aktarlmtr.
Kullanclarn cevaplamas gereken sorular basit ve kolay anlalr
ekilde
hazrlanmtr. Çkarm birimi ileri zincirleme yöntemi kullanlarak
hazrlanmtr.
Kullanclarn vermi olduklar doru ve yanl cevaplarn nedenleri
kendilerine
açklama birimi tarafndan bildirilerek kullanclarn standardn
gereklerini yerine
getirmeleri salanmtr. Gelitirilen yazlma Smart ISMS ad verilmitir.
Sistemin
mimari yaps ekil 3.7. de gösterilmektedir.
ekil 3.7. Uzman Sistem tabanl BGYS yaklam mimarisi
47
Önerilen sistem ISO 27001, ISO 27002 [37], ISO/IEC 27005 [38] ve TS
13268-1
dokümanlarnda belirtilen BGYS nin belgelendirilebilmesi için
gereken koullar
salayacak ekilde gelitirilmitir [36].
Açklamalar Modülü:
Yönetim Sistemi ve Smart ISMS hakknda açklayc bilgi verir.
Kurumsal Bilgiler Modülü:
oluturulduu modüldür. Ayrca bu modülde kurum/kuruluun mevcut durum
tespiti
kullancya yöneltilen sorulara verilen cevaplarn, çkarm mekanizmas
tarafndan
ISO 27001 „in EK-A snda bulunan 10 balk altnda 133 adet kontrol
maddesi ile
mukayese edilirek kurum/kuruluun tamam ve eksiklikleri tespit
edilir. Kullanc
eksiklikleri tamamlayarak (kullanc isterse eksik olarak) bu kontrol
maddelerinin
organizasyon içerisinde nasl uygulancan açklayan en az 10 prosedür
Smart ISMS
tarafndan hazrlanr ve araçlar modülünde raporlara eklenir.
Risk Yönetimi Modülü:
gizlilik, güvenilirlik ve eriilebilirlik deerlerine göre
deerlemesinin yapld,
varlklarn zafiyet ve tehditlerin tespit edildii ve varlklarn
korumalarnn
belirlendii modüldür.
nasl yaplaca ISO/IEC 27005 (2008) Information Security Risk
Management
doküman esaslarna göre yaplr [38].
Kuruluun kapsam dahilindeki bilgi varlklarn süreç analizi yaparak
belirlenmesi ve
bu varlklara gizlilik, bütünlük, eriilebilirlik deerlerinden oluan
varlk deerinin
belirlenmesi bu modülde gerçekletirilir. Bu tez çalmasnda hedef
kullanc kitlesi
olarak temel bilgisayar bilgisine sahip kiiler göz önüne alndndan,
risk
deerlendirme anlalmas ve kullanm kolay standart bir yaklam ile
yaplmaktadr.
Çizelge 3.1. Varlk deerlendirme çizelgesi
GZLLK
DEER
BÜTÜNLÜK
DEER
ERLEBLRLK
4 4 4 Yüksek
3 3 3 Orta
2 2 2 Düük
Bu çalmada GZLLK, BÜTÜNLÜK ve ERLEBLRLK kriterleri eit
arlkta kabul edilir ve ayn öneme sahip olarak deerlendirilir.
Varlk Deeri Formülü:
Varlk Deeri = GizlilikDeeri x BütünlükDeeri x
EriilebilirlikDeeri
Örnein: En yüksek Varlk Deeri = 5 x 5 x 5 =125
En düük Varlk Deeri : 1 x 1 x 1 = 1 dir
Varlklara yönelik tehditlerin ve zafiyetlerin bu varlklarla ilikili
etkileri nda
oluan güvenlik baarszlklar, gerçekçi olma olaslklar mevcut
kontroller göz
önünde tutularak belirlenir. Herbir tehdit için olaslk deerleri
Çizelge 3.2. esas
49
alnarak tespit edilir. Keza oluan güvenlik baarszlklarnn hasar
derecesi Çizelge
3.3. de gösterilmitir. Deerlendirilen olaslklar ile belirlenen i
hasarlar Risk
Deerlendirme Raporu üzerinde varlklara ait her bir tehdit için
ifade edilir.
Çizelge 3.2. Tehdidin olaslk derecesi çizelgesi
OLASILIK
3 Orta Tehdit gerçekleebilir
1 Çok Düük Tehdit yok denecek kadar azdr
Çizelge 3.3. Tehdidin hasar derecesi çizelgesi
HASAR
kesintiye uratacak hasar
hasar
hasar
Risklerin yok edilmesi veya azaltlmas ve deerlendirmesi aadaki
önlemler
alnarak gerçekletirilir;
edilir,
50
aktarlr.
HASARININ DERECES
Bu formül sonucunda maksimum Risk deeri 3125, minimum risk deeri
ise 1
olmaktadr.
Kabul edilebilir risk deeri tüm deerlerin medyan alnarak hesaplanr
bu durumda;
RSK SEVYES Kabul Edilebilir
= VARLIK DEER Ortalama x TEHDDN OLASILII Var x HASARININ
DERECES Yönetim Karar
= 27
olarak belirlenmitir.
Bu modülde ISO/IEC 27005 (2008) dokümanna uygun olarak varlklarn
tipine göre
tehdit zafiyet belirlemesi ve korumalarn atanmas oluturulan risk
deerlendirme
ilemleri bilgi taban yardmyla yaplr.
Araçlar Modülü:
modül yardmyla tüm dokümanlar üzerinde deiiklikler yaplabilir.
Bilgi güvenlii
politikas ve Smart ISMS tarafndan kullanlan risk deerlendirme
metodolojisi ile
ISO 27001 de zorunlu olarak istenen risk deerlendirme raporu, risk
ileme plan,
uygulanabilirlik bildirgesi bu modül tarafndan hazrlanr. Ayrca bu
modülde
kurum/kuruluun yapmas gereken iç denetimler için soru hazrlamas
yaplr.
51
Smart ISMS yazlmnn yeni kullanc ekleme ve ifre deitirme gibi
ilevlerini
yerine getiren modüldür.
Smart ISMS yazlm hedef kullanc kitlesinin bilgisayar kullanm
bilgisi göz önüne
alnarak görsellii ön planda tutan ve Nesneye Yönelik bir yazlm
gelitirme ortam
olan Microsoft .NET C# platformunda WEB tabanl olarak gelitirilmi,
veri taban
olarak Microsoft SQL Express Edition kullanlmtr.
Yazlm gelitirme metodu olarak RUP kullanlm modelleme arac olarakta
UML
kullanlmtr. UML diagramlarndan önemli olan Use case, Component
diagram,
Activity diagram, Class ve Sequence diagramlar hazrlanmtr. Smart
ISMS
yazlmnn UML diagramlarndan Sequence diagram ekil 3.8
gösterilmitir.
Gelitirilen yazlmn kullanc use case diagram EK-1 de, Component
diagram EK-
2 de, Activity diagram EK-3 arasnda, Class diagramlar EK-4 ile EK-7
arasnda,
Raporlar Class diagramlar EK-8 ile EK-10 arasnda ve Clips class
diagram EK-11
de gösterilmitir.
Class ve Object diyagramlar statik bilgiyi modeller. Halbuki gerçek
zamanl
sistemlerde zaman içinde deien interaktiviteler bu diyagramlarla
gösterilemez. Bu
tür zamanla deien durumlar belirtmek için sequence diyagramlar
kullanlr.
Smart ISMS yazlmnn Sequence diagram ekil 3.8 dedir.
52
D Kaynak Bilgilerini Getir
Süreç Bilgilerini Getir
Varlk Bilgilerini Getir
ekil 3.8. Sequence diagram
53
Alan uzman bilgisi ve ISO 27001, ISO 27002, ISO/IEC 27005
standartlar
kullanlarak üretim kurallar (production rules) hazrlanmtr.
Örnein Risk deerlendime kural aadaki gibidir;
IF
AND
AND
azaltlmmdr IS TRUE
AND
THEN
Hedef kullanc kitlesinin bilgisayar bilgisi göz önüne alnarak kolay
ve anlalr
sorular hazrlanarak kurum veya kuruluun mevcut durum tespiti
yaplmtr.
Kullancnn sorulara verdii cevaplar çkarm biriminde muhakeme
edilerek kurum
veya kuruluun eksik ve tamam olan güvenlik önlemleri kullancya
açklama birimi
tarafndan geri bildirimi yapmaktadr.
1. Kuruluunuza gelen müterileriniz veya misafirleriniz nasl karlanp
içeri
girerler? (Birden fazla k iaretlenebilir)
a. Girite güvenlik görevlisi veya resepsiyon görevlisi karlar
ve
gideceyi yere kadar refakat eder.
b. Yolu bilen misafirler kendisi gelir.(--)
c. Gelenlerin ziyaret maksad ve kiminle görüecei kayt altna
alnr.
54
d. Gelenlere giri kart verilir ve ziyaret süresince görünür
ekilde
tamalar istenir.
f. Kapmz herkese açktr isteyen girer.(--)
g. 7/24 güvenlik görevlisi/görevlileri çevresel ve giri
güvenliini
salamaktadr.
Clips:
(declare (salience 100))
(Soru1 (f1 "evet") (f2 "hayir") (f3 "evet") (f4 "evet") (f5 "evet")
(f6 "hayir") (f7
"evet"))
eksikliiniz yok. " crlf))
(declare (salience 100))
=>
(printout t "eksik Girite güvenlik görevlisi veya resepsiyon
görevlisi dardan
gelen kiileri karlamas ve gideceyi yere kadar refakat etmesi
gerekir" crlf))
(defrule rule1b
(declare (salience 100))
=>
(printout t "eksik Gelenlerin ziyaret maksad ve kimi