BÖLÜM-1

SECURITY AND RISK MANAGEMENT

GÜVENLİK VE RİSK YÖNETİMİ
TEMEL BİLGİ TEKNOLOJİLERİ
• Uygulamalar
• Sunucu uygulamaları ve ağ servisleri
• İşletim sistemleri
• Sunucu / bilgisayar donanımları
• Ağ cihazları
DİĞER BİLGİ VARLIKLARI
• Personel, tedarikçi personeli
• Basılı dokümanlar
• Güvenli alanlar, ofis alanları
• Kurum itibarı
TEMEL BT SÜREÇLERİ
• BT proje yönetimi
• Yazılım geliştirme
• Hizmet yönetimi
• Olay yönetimi
• Değişiklik yönetimi
• Erişim yönetimi
• Güvenlik olay izleme ve müdahalesi
• Kapasite ve performans izleme
GÜVENLİK İHTİYAÇLARI
Temel İhtiyaçlar ve Uğranabilecek Kayıplar
• Gizlilik (Confidentiality): Sadece yetkili (authorized) ve
bilmesi gereken kişilerin verilere ve bilgi varlıklarına erişimi
ihtiyacı.
• Bütünlük (Integrity): Verilerin veya sistem
konfigürasyonlarının yetkisiz (unauthorized) kişilerce veya
kontrolsüz biçimde değiştirilmemesi ihtiyacı.
• Erişilebilirlik (Availability): Yetkili (authorized) kullanıcıların
verilere ve diğer bilgi varlıklarına zamanında ulaşabilmesi
ihtiyacı.
Dolaylı İhtiyaçlar
• İnkar Edilemezlik (Non-Repudiation)
• Güçlü Kullanıcı Doğrulama (Strong Authentication)
GÜVENLİK YÖNETİŞİMİ
İş ve Bilgi Güvenliği Stratejileri Uyumu
Bilgi güvenliği hedefleri iş stratejileri ile uyumlu olarak
belirlenmeli ve aşağıdaki temel araçlarla hayata geçirilmelidir:
• Bilgi güvenliği yönetim sistemi
• Risk değerlendirme
• Bilgi güvenliği politikası
• İç denetim
Vadelerine göre plan türleri
• Stratejik (3-5 yıllık)
• Taktik (6-18 aylık)
• Operasyonel
GÜVENLİK YÖNETİŞİMİ
Yönetim Sorumluluğu ve Desteğinin Önemi
The Federal Sentencing Guidelines (1991)
• The guidelines formalized the prudent man rule, which
requires senior executives to take personal responsibility for
ensuring the due care that ordinary, prudent individuals
would exercise in the same situation. This rule, developed
in the realm of fiscal responsibility, now applies to
information security as well.
Due Care ve Due Diligence Kavramları
Due diligence, due care uygulanması gereken alanların tespiti
ve due care’in uygulandığından emin olunmasıdır. Yani due
care yapmakla ilgili, due diligence ise yapılması gerekeni bilmek
ve takip etmekle ilgilidir.
GÜVENLİK YÖNETİŞİMİ
Yönetişim Nedir?
Yönetişim kavramı Amerikalılar tarafından geliştirilmiştir,
ama ne yazık ki size İngilizce bir kaynaktan referans
veremeyeceğiz, çünkü iyi bir tane bulamadık. O yüzden
kendi tanımlamamızı paylaşıyoruz:
• Yönetişim yön verme ve denetlemekle ilgilidir. Yani
organizasyonun sağlıklı kalması ve varolmaya devam
edebilmesini hedefler.
• Yönetim ise yüksek kar ve fayda üretmekle ilgilidir. Yani
bir süre için parlak sonuçlar üretebilir ama
organizasyonun sağlık ve sürekliliğini tehlikeye atma
potansiyelini içinde taşır.
GÜVENLİK YÖNETİŞİMİ
Yönetişim Kavramının Temel Bileşenleri
• Direction (önemli riskler neler, neye yatırım yapmalı,
politikalar)
• Assurance (kontroller beklenen faydaları sağlıyor
mu?)
• Best practices (ör: NIST, ITIL, ISO 27000, COSO, and
CobiT)
GÜVENLİK YÖNETİŞİMİ
Bilgi ve Veri Güvenliği Görevleri
• Data / Information / Business Owner kavramı (sınıflandırma
ve varlığın korunduğundan emin olma görevi)
• Data / Information Custodian / Steward kavramı (verinin
korunması için gerekli kontrolleri uygulama görevi)
• Son kullanıcılar (kurallara uyum)
• Üst yönetim (destek ve yön verme)
• Bilgi güvenliği yöneticisi (CISO) (politika ve prosedürlerin
yazılması, uyum çalışmalarının koordinasyonu, değişen tehdit
ve teknolojilerin takibi, olay müdahalesine liderlik, farkındalık
programının koordinasyonu, yönetime ve BT ekiplerine görüş
verme, v.b.)
• Denetçiler (bağımsız güvence)
GÜVENLİK YÖNETİŞİMİ
Kontrol Çerçeveleri ve Standartları
• CobiT – Control Objectives for Information and
Related Technology
• ITIL – IT Infrastructure Library
• PRINCE / PMBOK – Proje yönetim en iyi
uygulamaları
• CMMI – Yazılım ve sistem kabiliyet olgunluk modeli
• ISO27001 – Bilgi Güvenliği Yönetim Sistemi
Standardı
• ISO27002 – Bilgi Güvenliği Kontrolleri İçin Uygulama
Prensipleri
GÜVENLİK YÖNETİŞİMİ
Kontrol Çerçeveleri ve Standartları (devamı)
• NIST SP 800-53 - Security and Privacy Controls for
Federal Information Systems and Organizations
• COSO – Committee of Sponsoring Organizations
(Enterprise Risk Management Framework: Control
Environment, Risk Assessment, Control Activities,
Information and Communication, Monitoring)
• PCI DSS (Data Security Standard) – Kartlı Ödeme
Sistemleri Endüstrisi Veri Güvenliği Standardı
• TOGAF – The Open Group Architecture Framework -
Bir Enterprise Architecture (kurumsal mimari)
çerçevesidir
GÜVENLİK YÖNETİŞİMİ
Genel Risk Yönetim [Enterprise Risk Management –
ERM] Standardı
• ISO31000 – Risk Management – Principles and
Guidelines
GÜVENLİK YÖNETİŞİMİ
ISO27000 Ailesi
GÜVENLİK YÖNETİŞİMİ
ISO27000 Ailesi
• ISO/IEC 27000 - Overview and vocabulary
• ISO/IEC 27001 - Information security management systems - Requirements
• ISO/IEC 27002 - Code of practice for information security controls
• ISO/IEC 27003 - Information security management system implementation
guidance
• ISO/IEC 27005 - Information security risk management
• ISO/IEC 27011 - Information security management guidelines for
telecommunications organizations based on ISO/IEC 27002
• ISO/IEC 27017 - Code of practice for information security controls based on
ISO/IEC 27002 for cloud services
• ISO/IEC TR 27019 - Information security for process control in the energy industry
• ISO/IEC 27034-1 - Application security - Part 1
• SO/IEC 27035-1 - Part 1: Principles of incident management
• ISO/IEC 27043 - Incident investigation
GÜVENLİK YÖNETİŞİMİ
ISO27001 Tarihçesi

BS7799-1 ISO17799 ISO27002

BS7799-2 ISO27001
GÜVENLİK YÖNETİŞİMİ
Kurumsal Mimari ve Güvenlik Yönetişimi
• Kurumsal mimari dokümantasyonu ve yönetiminin doğrudan
güvenlikle ilişkisi yok gibi görünse de aslında iyi bir kurumsal
mimari yönetimi güvenlik ihtiyaçlarının çok daha net
tespitine ve dolayısıyla yönetilebilmesine neden olacaktır.
• ABD kamu yönetiminde kamu kurumlarının bütçe
alabilmelerinin ön şartlarından birisi kurumsal mimari
dokümantasyonlarının yeterli seviyede yapılmasıdır.
• Kurumsal mimari çerçevelerinin ilk örneklerinden birisi olan
Zachman Framework bu yaklaşımın en anlaşılır
örneklerinden birisidir. Bir sonraki sayfadaki şemadan farklı
perspektiflerde yapılabilecek dokümantasyon örneklerini
görebilirsiniz.
GÜVENLİK YÖNETİŞİMİ
Zachman Framework
GÜVENLİK YÖNETİŞİMİ
ISO27001 Ana Alanları
• Context of the organization
• Leadership
• Planning
• Support
• Operation
• Performance evaluation
• Improvement
GÜVENLİK YÖNETİŞİMİ
Dokümantasyon Türleri
• Policy (temel esaslar)
• Procedure (adım adım talimatlar)
• Baseline (consistent level of security)
• Guideline (önerilen iyi uygulamalar)
• Standard (belli bir sistem için uygulanacak
kontroller)
GÜVENLİK YÖNETİŞİMİ
Dokümantasyon Türleri (Politika Türleri)
• Regulatory Policy (düzenlemelerden kaynaklanan
politikalar)
• Informative Policy (yaptırımı olmayan genellikle son
kullanıcılara yönelik öğretici politikalar)
• Advisory Policy (zorunlu ve uyulmaması halinde
yaptırımı olan politikalar)
TEDARİKÇİ RİSK YÖNETİMİ
SLA (Service Level Agreement) kavramı ve içinde
bulunabilecek güvenlik ile ilgili şartlar:
• Güvenlik sorumlulukları ve yaptırımlar
• Süreklilik gereksinimleri
• Gizlilik gereksinimleri
AMERİKAN KONTROL GÜVENCESİ DÜZENLEMELERİ
VE STANDARTLARI TEMEL BİLGİLER
Sarbanes Oxley Act (2002)
• Enron muhasebe yolsuzluğu
• Yatırımcının korunması ve PCAOB’nin (Public Company Accounting
Oversight Board) kuruluşu
• Section 302 is a mandate that requires senior management to
certify the accuracy of the reported financial statement.
• Section 404, mandates management to determine the
effectiveness of the service organization's internal controls that
are vital to its financial reporting processes. To do so,
management was required to do one of the following: document
and assess all the controls that it considers vital to the
organization's financial reporting process or obtain a SAS 70 Type
II service auditor report.
• BT kontrollerinin mali raporlar üzerindeki etkisi
AMERİKAN KONTROL GÜVENCESİ DÜZENLEMELERİ
VE STANDARTLARI TEMEL BİLGİLER
Tedarikçi Denetimi
Service provider denetim türleri
• [Eski standart] SAS-70 (Statement on Auditing
Standards No. 70): 2010 yılında SSAE 16 (Statement on
Standards for Attestation Engagements No. 16)
tarafından yeri alınmış eski hizmet sağlayıcı denetim
standardıdır.
• Bu iki standarda Service Organization Reporting
Standard başlığı altında rastlayabilirsiniz.
• Her iki standart da AICPA (American Institute of
Certified Public Accountants) tarafından yayınlanmıştır.
AMERİKAN KONTROL GÜVENCESİ DÜZENLEMELERİ
VE STANDARTLARI TEMEL BİLGİLER
Tedarikçi Denetimi
Service provider denetim türleri
SAS-70 denetim türleri (SOC rapor türleri tarafından
yerleri alınmıştır)
  Type-I Type-II
Tasarım etkinliği (service
organization’s description of EVET EVET
controls)
Operasyonel etkinlik (a
description of the service
auditor's tests of operating HAYIR EVET
effectiveness and the results
of those tests)
AMERİKAN KONTROL GÜVENCESİ DÜZENLEMELERİ
VE STANDARTLARI TEMEL BİLGİLER
Tedarikçi Denetimi
Service Organization Controls (SOC) denetim türleri
(SSAE 16 çerçevesinde)
 AMERİKAN KONTROL GÜVENCESİ DÜZENLEMELERİ
VE STANDARTLARI TEMEL BİLGİLER
Tedarikçi Denetimi
Service Organization Controls (SOC) denetim türleri (SSAE 16 çerçevesinde)
SOC 1
Hizmet sağlayıcı firmada finansal
raporlamayı etkileyen iç
kontrollerin denetimi.
Rapor finansal denetçilere
verilmek üzere hazırlanır.
Type I ve Type II denetim türleri
vardır. SAS 70’deki tasarım ve
operasyonel etkinlik
denetimlerine aynen karşılık gelir.
SOC 2
Hizmet sağlayıcı firmada güvenlik,
erişilebilirlik, işlem bütünlüğü, gizlilik
ve kişisel verilerin korunması ile ilgili
kontrollerin denetimi (Security,
Availability, Processing Integrity,
Confidentiality, or Privacy)
Rapor hizmet sağlayıcı firmaya, onun
müşterilerine, denetçilerine, v.b.
kısıtlı taraflara verilmek üzere
hazırlanır.
Type I ve Type II denetim türleri
vardır. SAS 70’deki tasarım ve
operasyonel etkinlik denetimlerine
aynen karşılık gelir.
SOC 3
Hizmet sağlayıcı firmada güvenlik,
erişilebilirlik, işlem bütünlüğü, gizlilik ve
kişisel verilerin korunması ile ilgili
kontrollerin denetimi (Security, Availability,
Processing Integrity, Confidentiality, or
Privacy)
Rapor halka açık olmak üzere hazırlanır.
Bir trust criteria’ya göre denetim yapılır ve
genellikle web sitesinde bir mühür (seal) ile
yayınlanır. Dolayısıyla eski Webtrust ve
Systrust denetimlerinin yerini almıştır.
Type kavramı yoktur, ancak alınan seal’ın
kullanılabilmesi için her 12 ayda bir denetim
yapılması gerekir.
ULUSLARARASI HİZMET SAĞLAYICI DENETİM
STANDARTLARI TEMEL BİLGİLER
2010 yılında AICPA tarafından geliştirilen SSAE 16
standardının da esas aldığı uluslararası standart:
• ISAE 3402 (International Standard on Assurance
Engagements No. 3402) 2009 yılında the
International Auditing and Assurance Standards
Board tarafından yayınlanmıştır.
Benzer olmakla birlikte birbirlerinden farklı iki
standarttırlar.
DENETİM (AUDIT) VE DEĞERLENDİRME
(ASSESSMENT) ARASINDAKİ FARKLAR
• Bağımsızlık: Denetim ve assessment arasındaki en
temel fark bağımsızlıktır. Assessment organizasyonun
kendi kendine de yapabileceği bir çalışmadır (Self-
Assessment). Ancak denetim bağımsız bir
organizasyon tarafından yapılmalıdır
• Kanıtlar: Denetim bağımsızlık karakterinin de
yansıması olarak kanıtlara dayalı olarak yapılır. Kanıtlar
değerlendirmeye nazaran daha güçlü olmalıdır.
• Süre: Hem denetim organizasyonunun bağımsız olması
nedeniyle süreçleri anlamak için ihtiyaç duyacağı
zaman, hem de daha güçlü ve objektif kanıtların
toplanması ve dokümantasyonu için gereken zaman
nedeniyle denetim çalışmaları daha uzun sürer.
RİSK ANALİZİ
Risk Analizi Metodolojileri
• OCTAVE - Operationally Critical Threat, Asset and
Vulnerability Evaluation
• ISO27005 - Information Security Risk Management
• NIST SP 800-30r1 - Guide for Conducting Risk
Assessments (ek olarak 800-39, ve 800-66r1)
• CRAMM - CCTA Risk Analysis and Management
Method
• FRAP - Facilitated Risk Analysis Process
RİSK ANALİZİ
Risk Terminolojisi
• Asset
• Asset valuation (parasal, skala ile)
• Threats
• Vulnerability
• Exposure
• Safeguards, countermeasures
• Residual risk
RİSK ANALİZİ
Risk Analiz Türleri
• Quantitative (kantitatif – parasal)
• Qualitative (kalitatif – skala kullanılarak)
• Hybrid (kantitatif analizin mümkün olmadığı
durumlarda kalitatif risk analizini kullanma
yaklaşımı)
 
Quantitative (parasal) risk analizinde tangible (somut,
dokunulabilir) ve intangible (soyut) bilgi varlıklarının bir
arada değerlendirilmesindeki zorluk.
RİSK ANALİZİ
Quantitative Risk Analysis Kavramları
 
• Asset Value (AV)
• Exposure Factor (EF): Risk gerçekleştiğinde varlık
değerinin yüzde kaçı kaybedilecektir.
• Single Loss Expectancy (SLE)
• Annualized Rate of Occurence (ARO)
• Annualized Loss Expectancy (ALE)
• Cost/benefit analysis of countermeasures
RİSK ANALİZİ
Quantitative Risk Analysis Kavramları

Kavram Kısaltma Formül

Asset Value AV  
Exposure Factor EF %
Single Loss Expectancy SLE AV x EF
Annualized Rate of Occurence ARO # / year
Annualized Loss Expectancy ALE SLE x ARO
Annualized Cost of the Safeguard ACS $ / year
Value or benefit of a safeguard   (ALE1 – ALE2) – ACS
RİSK ANALİZİ
Quantitative Risk Analysis Kavramları
Parasal maliyet türleri:
• Purchase cost
• Depreciated cost (amortisman uygulanmış defter
değeri)
• Replacement cost
• Opportunity cost (varlık değeri ile ilgisi olmayan bir
kavram)
RİSK ANALİZİ
Qualitative Risk Analysis Teknikleri
Kalitatif risk analizinin karakteri senaryo bazlı düşünme
ve kayıplara parasal değerler vermekten ziyade
kayıplara, tehditleri, v.d. risk kavramlarına skala
değerleri verilmesidir.
RİSK ANALİZİ
Qualitative Risk Analysis Teknikleri
Aşağıdaki tekniklerle kalitatif risk analizi yapılabilir
(matematiksel net veriler olmadığı için insan yorumunun
yoğun olduğu bir süreçtir)
• Brainstorming
• Delphi technique (anonim konsensusa ulaşma yöntemi)
• Storyboarding
• Focus groups
• Surveys
• Questionnaires
• Checklists
• One-on-one meetings
• Interviews
RİSK ANALİZİ
Tehdit Modellemesi (Threat Modeling) Kavramı
Uygulama geliştirme projelerinde kullanılan tehdit
modelleme yaklaşımı uygulamanın her kullanım
durumu için (Use Case) geçerli olabilecek tehditlerin
önceden belirlenmesi, dolayısıyla yazılım projesinin
başından itibaren önlem alınarak güvenlik risklerinin ve
bulgu düzeltme maliyetlerinin azaltılmasını hedefler.
RİSK ANALİZİ
Tehdit Modellemesi (Threat Modeling) Kavramı
 
STRIDE: Microsoft tarafından geliştirilmiş olan tehdit
kategorizasyonu
• Spoofing: Sahte kaynak adres kullanımı
• Tampering: İletilen veya saklanan veriye müdahale,
yetkisiz değişiklik
• Repudiation: İnkar etme
• Information disclosure: Veri sızması
• Denial of service (DoS): Hizmet kesintisi
• Elevation of privilege: Yetki yükseltme
RİSK ANALİZİ
Geleneksel Risk Formülü
• Risk = Impact X Likelihood
Risk Yanıt Stratejileri
• Risk acceptance (kabul)
• Risk avoidance (kaçınma)
• Risk mitigation (azaltma)
• Risk transference (transfer)
Risk İşleme Adımları
• Risk assignment (Riskin atanması)
• Countermeasure selection (Kontrol seçimi)
• Implementation of risk countermeasures (Uygulama)
RİSK ANALİZİ
NIST Risk Değerlendirme Adımları
NIST SP 800-30 Guide for Conducting Risk Assessments
RİSK YÖNETİMİ
Genel Risk Yönetim Adımları
• Risk analizi
• Risk yanıt stratejilerinin belirlenmesi
• Uygulanacak kontrollerin belirlenmesi ve uygulanması
• İç denetim
• Düzeltici faaliyetlerin uygulanması
RİSK YÖNETİMİ
NIST’in 5 Risk Yönetimi Adımı
• Categorize systems and data
• Select security controls
• Implement security controls
• Assess security controls
• Monitor security
RİSK ÖNCÜLLERİ (INDICATORS) İÇİN
SÜREKLİ İZLEME
Periyodik veya önemli değişiklikler olduğunda yapılacak
risk analizleri / değerlendirmelerinden bağımsız olarak,
bilgi güvenliği olgunluk seviyesi yükselmiş olan
organizasyonlar anahtar performans ve risk işaretlerini
(key performance and risk indicators) sürekli olarak
izleyebilirler. Tabi böyle bir izlemenin ön şartı izlenecek
bilgileri toplamanın maliyetinin düşürülmüş olmasına
(otomatize edilebilmelerine) ve ölçülebilirliklerinin
yüksekliğine bağlıdır.
RİSK ÖNCÜLLERİ (INDICATORS) İÇİN
SÜREKLİ İZLEME
Aşağıda bazı örnek metrikler bulunabilir:
• Number of open vulnerabilities
• Time to resolve vulnerabilities
• Number of compromised accounts
• Number of software flaws detected in preproduction
scanning
• Repeat audit findings
• User attempts to visit known malicious sites
KONTROL KAVRAMLARI
• Defence in depth (derinlemesine savunma) kavramı
• Security through obscurity kavramı ve uygunsuzluğu
• (Security) baseline controls kavramı
KONTROL KAVRAMLARI
Kontrol Türleri ve Örnekler
CISSP adaylarının belli bir kontrolün hangi sınıflara
girdiğini değerlendirebilmesi gerekmektedir (ör: IDS’in bir
detective kontrol olması ve aynı zamanda bir technical
kontrol olması gibi).
KONTROL KAVRAMLARI
Kontrol Türleri ve Örnekler
KONTROL KAVRAMLARI
Kontrol Türleri
Erişim ve genel kontrol türleri şunlardır:
• Preventive Controls: Yetkisiz bir erişimin daha
gerçekleşmeden durdurulması için kullanılan kontrollerdir.
Örneğin çitler, kilitler, veri sınıflandırma, sızma testi,
farkındalık eğitimi gibi.
• Detective Controls: Yetkisiz bir erişimi veya güvenlik ihlalini
keşif veya tespit etmeye yönelik kontrollerdir. Detective
kontroller ancak ihlal gerçekleştikten sonra tespit
yapabilirler.
• Corrective Controls: İstenmeyen bir olay olduğunda veya
yetkisiz bir erişim gerçekleştiğinde sistemlerin normal hale
döndürülmesi için uygulanan kontrollerdir. Corrective
kontroller zararlı aktivitenin durdurulması veya sistemin
yeniden başlatılması gibi basit kontroller olabilirler.
KONTROL KAVRAMLARI
Kontrol Türleri
• Deterrent Controls: Güvenlik politika ihlalini caydırıcı
kontrollerdir.Preventive kontrollere benzemekle birlikte preventive
kontroller saldırganı durdururken deterrent kontrollerin işe yaraması için
saldırganın zararlı faaliyetten vazgeçmesi gerekmektedir. Güvenlik
politikaları, güvenlik farkındalık eğitimleri, kameralar deterrent
kontroller arasında sayılabilir.
• Recovery Controls: Bir kesinti sonrası kaynakların tekrar fonksiyonel hale
gelmesini sağlayan veya kesinti ihtimalini azaltan kontrollerdir. Örneğin
backup ve restore kontrolleri, fault-tolerant disk sistemleri, database
shadowing gibi.
• Directive Controls: Subject’lerin (yani kullanıcıların) davranışlarını
güvenlik politikalarına uygun biçimde yönlendirmek ve sınırlandırmak
için kullanılan direktiflerdir. Örneğin bilgi güvenliği politikası
gereksinimleri, asılmış güvenlik uyarı posterleri gibi.
• Compensating Controls: Birincil kontrol mevcut olmadığında veya
başarılı olamadığında birincil kontrol kadar olmasa da riski azaltan ikincil
kontrollerdir.
KONTROL KAVRAMLARI
Uygulanma Şekline Göre Kontrol Türleri
• Administrative Controls: Yönetsel kontroller
(management controls) olarak da adlandırılan bu
kontroller kurumun bilgi güvenliği politikası ve diğer
düzenlemelerce tanımlanan politika ve prosedürlerdir.
Bu kontroller personele ve iş süreçlerine odaklanır.
• Logical / Technical Controls: Donanımsal ve yazılımsal
olarak uygulanan kontrollerdir. Örneğin kriptolama,
parola kontrolü, firewall’lar, IDS / IPS cihazları gibi.
• Physical Controls: Adından da anlaşılabileceği gibi
fisiksel olarak görülebilen kontrollerdir. Daha çok erişim
kontrollerinden oluşurlar.
İNSAN KATMANINA YÖNELİK GÜVENLİK
KONTROLLERİ
• İşe alım kontrolleri (vetting, background checks v.d.)
• Görev değişikliği ve işten ayrılma kontrolleri
• Farkındalık eğitimleri (awareness)
• Disiplin süreci
• Güvenlik eğitimleri (training)
SOSYAL MÜHENDİSLİK (SOCIAL
ENGINEERING) SALDIRILARI
İnsan katmanına yönelik olarak insani özellikleri kötüye
kullanarak yetkili kullanıcıları veri sızdırmaya veya bir
işlemi yaptırmaya yönlendirme yöntemleridir. Genellikle
kullanılan yöntemlere örnekler aşağıdaki gibidir:
• Phishing / Spear Phishing: Belli bir senaryo ile e-posta
mesajları ile kullanıcıların güvenilir görüntü veren bir
web sitesine yönlendirilerek veri paylaşması veya e-
posta ekinde gelen bir dosyayı indirmesi ve
çalıştırması / açması (MS Word dokümanları gibi macro
barındıran dosyalarda açması da yeterli olabilir) yoluyla
kullanıcıların bilgisayarlarının ele geçirilmesi ile
sonuçlanan saldırılardır. Spear mızrak / zıpkın anlamına
gelir ve kişiye özel hazırlanmış bir içerikle bu tür e-
postaların gönderilmesiyle gerçekleştirilir.
SOSYAL MÜHENDİSLİK (SOCIAL
ENGINEERING) SALDIRILARI
• Pharming: Pharming’de de kurbanların sahte bir web sitesine
yönlendirilmesi söz konusudur, ancak bu tür bir işlemde bir e-
posta mesajından ziyade DNS poisoning gibi teknik yöntemler
kullanılır. Pharming kelimesi tarımdan gelir ve çok sayıda kişiyi
etkilemesi nedeniyle bu isim verilmiştir.
• Whaling: Phishing’in üst düzey yöneticileri hedefleyen türüdür
(balina kelimesinin kullanılmasının nedeni budur).
• Telefon yoluyla sosyal mühendislik: Telefon ile güvenilir bir
kişiymiş gibi davranarak ve güven oluşturmak için kuruma özel
bilgilerin kullanıldığı sosyal mühendislik saldırı türüdür.
• Vishing: Instant messaging ve VoIP ile caller ID bilgisi spoof
edilerek veri sızdırma yöntemidir. Örneğin otomatik bir çağrı ile
kredi kartında bir problem varmış gibi bir metin ile kişilerden
kredi kartı bilgilerini tuşlamaları sağlanabilir.
• Dumpster Diving: Kurumun çöplerinden sosyal mühendislik
saldırıları için bilgi toplama yöntemidir.
YASAL ÇERÇEVE
ABD Yasa Kategorileri
• Criminal Law: Toplum düzenini temin etmek için
yapılan saldırı, hırsızlık, kundakçılık v.b. suçlara yönelik
kanunlardır.
• Civil Law: Adi suç kapsamına girmeyen iş hukuku,
sözleşmeler, alım satımlar v.b. konularla ilgili
kanunlardır.
• Administrative Law: Kamu satın alma süreçleri,
yurttaşlık başvuru süreci, v.b. düzenlemeleri konu alan
kanunlardır.
 YASAL ÇERÇEVE
Bilişim Suçlarıyla İlgili ABD Yasaları
Yasa
Comprehensive Crime Control
Act (CCCA) içinde yer alan
Computer Crime Law
Computer Fraud and Abuse Act
(CFAA)
Computer Security Act
Yıl Konu
1984 Federal kamu sistemlerine yönelik suçlara odaklanır.
1986 Federal kamu sistemleri ve finansal kurum sistemlerine
odaklanır.
Diğer şartlarının yanı sıra kamu sistemlerine 5.000
USD’lik bir zarardan fazlasının verilmesini suç olarak
tanımlar.
1987 Federal kamu sistemleri için baseline security
gereksinimlerini içerir.
Standartların geliştirilmesi için NIST görevlendirilmiştir.
NIST bunun üzerine Special Publication 800 serisini
geliştirmeye başlamıştır.
 YASAL ÇERÇEVE
Bilişim Suçlarıyla İlgili ABD Yasaları
Yasa
Federal Sentencing Guidelines
National Information
Infrastructure Protection Act
Government Information
Security Reform Act (GISRA)
Federal Information Security
Management Act (FISMA)
Yıl Konu
1991 Prudent man rule prensibi ile kurum üst yöneticilerini
bilgi güvenliği konusunda sorumlu tutar.
1996 CFAA’in kapsamını kritik altyapıları da dahil ederek
genişletir, ayrıca bu altyapılara yönelik yapılacak
saldırılarla ilgili suçları tanımlar.
2000 Federal kamu kurumlarının bilgi güvenliği yönetimiyle
ilgili esasları belirler.
2002 Federal kamu kurumları ile tedarikçilerinin uygulaması
gereken bilgi güvenliği yönetim süreçlerini içerir. Bilgi
güvenliği yönetimiyle ilgili FISMA uygulama
rehberlerinin hazırlanması için NIST görevlendirilmiştir.
 YASAL ÇERÇEVE
Entellektüel Mülkiyet (Intellectual Property) Hakları
Kavramları
Kavram Konu İlgili Yasa
Copyrights Edebiyat, müzik, film, yazılım gibi fikir Digital Millennium Copyright Act (DMCA
ürünlerinin korunmasına yöneliktir. – 1998)
Tekrar eden hırsızlıklarda 1.000.000 USD
ceza ve 10 yıl hapis.
Trademark Bir firmayı, ürünlerini veya servislerini  
tanımlayan logo, slogan, v.b. korumaya
yönelik bir kavramdır.
Patent İcatların 20 yıl süreyle mucite ait olmasını  
güvence altına alır. Bir icadın yeni olması,
bir işe yaraması ve bariz bir çözüm
olmaması gerekir.
Trade secrets Başka tarafların eline geçmesi halinde Economic Espionage Act (1996)
kuruma zarar verecek bilgilerdir. Non ABD şirketlerinden ticari sırların
disclosure agreement’lar (NDA) ile çalınması için $500.000 USD ceza ve 15
korunmaları gerekir. yıl hapis.
YASAL ÇERÇEVE
Licensing (Yazılım Lisansları)
Lisans anlaşmalarının 4 türü vardır:
• Contractual license agreements (yazılı anlaşmalar)
• Shrink-wrap license agreements (yazılım ürününün
kutusunun üzerinde yazan ifadelerin kutunun açılması
halinde kabul edildiğini varsayan yaklaşım)
• Click through license agreements (yazılım kurulumu
sırasında bir kutunun işaretlenmesi suretiyle lisans
sözleşmesinin kabul edildiğini varsayan yaklaşım)
• Cloud services license agreements (yazılı olmayan ve
click through lisans anlaşmalarının cloud servisleri
üzerinde uygulanmış halidir)
YASAL ÇERÇEVE
İhracat Kısıtlamaları
• Computer Export Controls: ABD firmalarının belli
ülkelere bilişim sistemleri satışı yasak veya izne tabidir.
• Encryption Export Controls: ABD yasalarına göre ABD
dışına satılacak yazılım ürünleri ve cihazlarda
kullanılabilecek algoritma ve anahtar uzunlukları
Commerce Department tarafından gözden geçirildikten
sonra onaylanmaktadır.
YASAL ÇERÇEVE
Kişisel Verilerin Korunması (Privacy)
Privacy ile ilgili ABD düzenlemeleri
• Fourth amendment (ABD anayasasında gerekçesiz
aramaları engelleyen düzenlemedir)
• Privacy act of 1974 (federal hükümetin bireylerle ilgili
kişisel bilgilerin üçüncü taraflarla paylaşımını kısıtlar)
• Electronic Communications Privacy Act (ECPA) of 1986
• Health Insurance Portability and Accountability Act
(HIPAA) of 1996 (sağlık kayıtlarının sigorta kurumları ve
sağlık kurumlarında katı kurallarla korunması için
çıkarılmıştır)
YASAL ÇERÇEVE
Kişisel Verilerin Korunması (Privacy)
Privacy ile ilgili ABD düzenlemeleri (devamı)
• Children’s Online Privacy Protection Act (COPPA) of 1998
(13 yaşından küçük çocukların verilerinin toplanması için
velilerinin onay vermesini zorunlu kılar)
• Gramm-Leach-Bliley Act (GLBA) of 1999 (GLBA veri
paylaşımı üzerindeki kısıtlamaları hafifletirken bunların
korunmasına ilişkin kuralları getirmiştir)
• USA PATRIOT Act of 2001 (11 Eylül 2001 olayından sonra
devlet kurumlarının dinleme haklarını artıran bir
düzenlemedir)
• California Online Privacy Protection Act (CalOPPA) kişisel
veri toplayan ticari ve online hizmet sitelerinde Privacy
Policy’lerinin açıkça yayınlanmasını şart koşmaktadır
YASAL ÇERÇEVE
Kişisel Verilerin Korunması (Privacy)
Privacy ile ilgili EU (Avrupa Birliği) düzenlemeleri
• European Union Privacy Law (1995’de yayınlanmış
1998’de devreye girmiştir)
• EU Data Protection Directive (Directive 95/ 46/ EC) –
Uygun veri koruma kontrollerinin sağlanmaması
halinde kişisel verilerin EU dışına transferini yasaklar.
• EU General Data Protection Regulation (GDPR) – EU
Data Protection Directive’in yerini alacak düzenlemedir,
kurumların 2015-2016 yıllarında hazırlanmaları, 2017-
2018 yıllarında da uygulamanın başlaması
planlanmıştır.
YASAL ÇERÇEVE
Kişisel Verilerin Korunması (Privacy)
Privacy ile ilgili EU (Avrupa Birliği) düzenlemeleri (devamı)
Kişisel verilerin işlenebilmesi için uyulması gereken
kriterler:
• Consent
• Contract
• Legal obligation
• Vital interest of the data subject
• Balance between the interests of the data holder and
the interests of the data subject
YASAL ÇERÇEVE
Kişisel Verilerin Korunması (Privacy)
Privacy ile ilgili EU (Avrupa Birliği) düzenlemeleri (devamı)
Kişisel verileri işlenen bireylerin hakları:
• Right to access the data
• Right to know the data’s source
• Right to correct inaccurate data
• Right to withhold consent to process data in some
situations
• Right of legal action should these rights be violated
YASAL ÇERÇEVE
Kişisel Verilerin Korunması (Privacy)
Safe Harbor prensipleri
Merkezi Avrupa Birliği dışında olsa da AB ile veri alışverişinde
bulunan taraflar EU Privacy düzenlemelerine uymak
zorundadırlar.
Bu nedenle AB ile ABD arasında yapılan bir anlaşma ile
Department of Commerce tarafından sertifikalandırılan ve
aşağıdaki “safe harbor” prensiplerine uyan ABD şirketleri AB
vatandaşları ile ilgili verileri işleyebilmektedir:
• Notice: Bireyleri haklarında toplanan bilgiler hakkında
bilgilendirmelidirler.
• Choice: Bireylerin verilerinin farklı bir amaçla
kullanılmasından veya üçüncü taraflarla paylaşılmasından
vazgeçmesi (opt-out etmesi) imkanı bulunmalıdır. Hassas
veriler için opt-in yaklaşımı uygulanmalıdır.
YASAL ÇERÇEVE
Kişisel Verilerin Korunması (Privacy)
Safe Harbor prensipleri (devamı)
• Onward transfer: Organizasyonlar sadece safe harbor
prensiplerine uyan kurumlarla kişisel verileri
paylaşabilirler.
• Access: Bireyler kendileri ile ilgili tutulan verilere
erişebilmelidir.
• Security: Kişisel veriler kayba, kötüye kullanıma, ve
yetkisiz erişime karşı korunmalıdır.
• Data integrity: Organizasyonlar sakladıkları verilerin
bütünlüğüne (bozulmamasına) ilişkin gerekli kontrolleri
uygulamalıdır.
• Enforcement: Organizasyonlar itirazları ele alacak süreçleri
uygulamalıdır.
YASAL ÇERÇEVE
Compliance (Uyum) Gereksinimleri
• Sarbanes Oxley (SOX)
• PCI DSS
• BDDK Bankalarda Bilgi Sistemleri Yönetiminde Esas
Alınacak İlkelere İlişkin Tebliğ
• BDDK Destek Hizmetleri Yönetmeliği
• BTK Elektronik Haberleşme Güvenliği Yönetmeliği
YÖNETİŞİM VE GÜVENLİKLE İLGİLİ
ORGANİZASYONLAR VE ODAK NOKTALARI
• ISC2: Bilgi güvenliği odaklıdır.
• ISACA: Bilgi sistemleri denetim ve yönetişim alanlarına
odaklıdır.
• PCI SSC: Kart veri güvenliği ile ilgili standartlarının
geliştirilmesi ve uygulatılmasına odaklıdır.
• OWASP: Web ve mobil uygulama güvenliğine odaklıdır.
• WASC: Günümüzde aktif olmamakla birlikte web
uygulama güvenliği ile ilgili bir topluluktur.
YÖNETİŞİM VE GÜVENLİKLE İLGİLİ
ORGANİZASYONLAR VE ODAK NOKTALARI
• OECD: 1980 yılından bu yana sınır ötesi (cross-border)
kişisel veri akışını güçlendirecek koruma tedbirleri ile
ilgili çerçeve ve rehberler yayınlamaktadır.
• ISO: Bilgi güvenliği (ISO27000 ailesi), iş sürekliliği
(ISO22301), bilgi teknolojileri hizmet yönetim sistemi
(ISO20000) gibi standartların yayınlayıcısıdır.
• BSI: ISO27001 ve ISO27002’nin kaynağı olan BS7799-2
ve BS7799-1’in yayınlayıcısı İngiliz kurumudur.
• CCTA ve OGC: ISO20000’in de kaynağı olan ITIL
kütüphanesini yayınlayan İngiliz kurumlarıdır.
YÖNETİŞİM VE GÜVENLİKLE İLGİLİ
ORGANİZASYONLAR VE ODAK NOKTALARI
Kurumların Açık Adları
• ISC2: International Information Systems Security
Certification Consortium
• ISACA: Information Systems Audit and Control Association
• PCI SSC: PCI Security Standards Council
• OWASP: Open Web Application Security Project
• WASC: Web Application Security Consortium
• OECD: Organization for Economic Cooperation and
Development
• ISO: International Standards Organization
• BSI: British Standards Institution
• CCTA: Central Computer and Telecommunications Agency
• OGC: Office of Government Commerce
(ISC)2 CODE OF PROFESSIONAL ETHICS
Code of Ethics Preamble (Giriş)
• The safety and welfare of society and the common good,
duty to our principles, and to each other, requires that
we adhere, and be seen to adhere, to the highest ethical
standards of behavior.
• Therefore, strict adherence to this Code is a condition of
certification.
Code of Ethics Canons (Kurallar)
• Protect Society, the Commonwealth, and the
Infrastructure
• Act Honorably, Honestly, Justly, Responsibly, and Legally
• Provide Diligent and Competent Service to Principals
• Advance and Protect the Profession
(ISC)2 CODE OF PROFESSIONAL ETHICS
• Giriş ve kurallara uyum ISC2 üyeliği ve ISC2 tarafından
verilen sertifikaların devam etmesi için zorunludur.
• Profesyonellerin kurallar arasında uyumsuzluk olması
halinde kuralların sırasına göre hareket etmesi beklenir.
Kurallar eşit öneme sahip değildir ve aralarındaki
çelişkilerin etik sıkıntılar yaşatması hedeflenmemiştir.
INTERNET ETHICS
1989 yılında Internet Architecture Board (IAB) internet’in
ilk kullanıcı grubunun dışında hızla büyümeye başladığında
“Ethics and the Internet – RFC 1087” adlı bir dokümanla
internetin aşağıdaki hedeflerle kullanımının kabul
edilemez ve etik dışı olduğunu yayınlamıştır:
• Seeks to gain unauthorized access to the resources of
the Internet
• Disrupts the intended use of the Internet
• Wastes resources (people, capacity, computer) through
such actions
• Destroys the integrity of computer-based information
• Compromises the privacy of users
İŞ SÜREKLİLİĞİ (BUSINESS CONTINUITY)
İş Sürekliliği Planı (BCP) ve Felaket Kurtarma Planı (DRP)
İş sürekliliği esneklik ile ilgilidir. İş sürekliliği planlamasının
doğasında risk analizi ve tespit edilen süreklilik risklerine
karşı risk azaltıcı önlemlerin alınması da vardır.
Ancak felaket kurtarma planı engel olunamayacak bir
felaket gerçekleştiğinde devreye girer ve bu durumlar için
vardır.
İş Sürekliliği ve Felaket Kurtarma ne zaman sona erer: İş
sürekliliği ve felaket kurtarma süreci operasyonlar ana
merkezde (veya yeni belirlenen ana merkezde) felaket
öncesi seviyesinde tekrar sürdürülebilir hale getirildiğinde
sona erer.
İŞ SÜREKLİLİĞİ (BUSINESS CONTINUITY)
İş Sürekliliği Planı (BCP) ve Kriz Yönetimi (Crisis
Management)
Bir felaket gerçekleştiğinde henüz bu felakete karşı bir
hazırlık olup olmadığını değerlendirinceye kadar geçen
süreç kriz yönetim sürecidir.
Eğer süreklilik ve felaket kurtarma planları hazırlanmış bir
senaryo ise iş sürekliliği planı devreye girer. Eğer bir
hazırlık yapılmamışsa kriz yönetimi hizmetler normal
seviyesine dönünceye kadar devam eder.
İŞ SÜREKLİLİĞİ (BUSINESS CONTINUITY)
İletişim Planlaması
• Emergency Communications: Kriz durumunda yeterli
yetki seviyesine sahip kişilere ve doğru teknik personel
ile üçüncü taraf hizmet sağlayıcılara zamanında
ulaşılabilmesi için iletişim bilgileri dokümante edilmeli,
periyodik olarak test edilmeli ve güncel tutulmalıdır.
İletişim bilgileri iş sürekliliği ve felaket kurtarma planının
da önemli bir bileşenidir.
• External Communications: Kriz durumlarında ve
süreklilik planının devrede olduğu durumlarda
müşterileri, halkı ve düzenleyici kurumları bilgilendirmek
için belli sorumlu(lar) ve iletişim prosedürleri
geliştirilmelidir. Bu alandaki hazırlık veya hazırlıksızlık
kurum itibarı üzerinde önemli etkiye neden olacaktır.
İŞ SÜREKLİLİĞİ (BUSINESS CONTINUITY)
İş Sürekliliği Planlama Sürecinin Ana Adımları
• Project scope and planning
• Business impact assessment (risk analizini de içerir)
• Continuity planning (strateji seçimi, altyapı
gereksinimlerinin tespini de içerir)
• Approval and implementation (eğitim, test ve bakım
süreçlerini de içerir)
İŞ SÜREKLİLİĞİ (BUSINESS CONTINUITY)
Project Scope and Planning
• Business organization analysis (iş sürekliliği ile ilgili
olan tüm bölümlerin ve personelin tespiti)
• BCP team selection (ilgili birimlerden katılım)
• Resource requirements (iş sürekliliği planının
geliştirilmesi, bakımı, testi ve uygulanabilmesi için
gerekli kaynakların tespiti)
• Legal and regulatory requirements (sektörel
düzenlemelerden kaynaklanan uyum gereksinimleri
veya kontrat yükümlülükleri)
İŞ SÜREKLİLİĞİ (BUSINESS CONTINUITY)
Business Impact Assessment
İş etki analizinin hedefi organizasyonun sürekliliği için kritik
kaynakların belirlenmesi ve bunlara yönelik tehditlerin analizidir.
• Identify priorities (iş süreçlerinin önem sırasına konulması)
• Asset Value (AV): Varlık veya süreçlerin parasal değeri.
• Maximum Tolerable Downtime (MTD): Kurumun geri
dönülemez bir zarara uğramaması için dayanılabilecek en
uzun kesinti süresi.
• Recovery Time Objective (RTO): Her bir iş fonksiyonu için geri
dönüş hedef süresi.
İŞ SÜREKLİLİĞİ (BUSINESS CONTINUITY)
Business Impact Assessment
İş sürekliliği ve hizmet sürekliliği (availability) ile ilgili diğer
kavramlar:
• Mean Time Between Failures (MTBF): İki arıza arasındaki
ortalama süre.
• Mean Time To Repair (MTTR): Bir arızanın ortalama tamir edilme
süresi.
• Work Recovery Time (WRT): MTD – RTO aralığındaki süre içinde
kalmalıdır. BT altyapısı ayağa kalktıktan sonra hizmet veya
üretimin başlaması için geçecek süre veya süre hedefidir.
İŞ SÜREKLİLİĞİ (BUSINESS CONTINUITY)
Business Impact Assessment (devamı)
• Risk identification (insan kaynaklı veya doğal risklerin
değerlendirilmesi)
• Likelihood assessment (annualized rate of occurrence – ARO)
• Impact assessment (SLE = AV x EF, ALE = SLE X ARO) (sadece
parasal değil itibar gibi diğer varlıkların da değerlendirilmesi
gereklidir)
• Resource prioritization (etki – risk değerlendirmesi sonucunda
kaynakların ayrılacağı alanların önceliklendirilmesi)
İŞ SÜREKLİLİĞİ (BUSINESS CONTINUITY)
İş Sürekliliği Tehditleri
Doğal tehditlere örnekler:
• Deprem
• Sel / su baskını
• Fırtına
• Yangın
İnsan kaynaklı tehditlere örnekler:
• Terör olayları
• Sabotaj / patlama
• Güç kesintileri
• Donanım ve yazılım kesintileri
• Grev
• Hırsızlık / vandalizm
İŞ SÜREKLİLİĞİ (BUSINESS CONTINUITY)
Sistem Esneklik Kavramları
• Single Point of Failure: Tüm sistemin veya sürecin kesintiye
uğramasına neden olabilecek tek bir bileşendir. Örneğin tek diski
olan bir sunucunun diskinin çökmesi halinde sunucu işlevsiz hale
gelecektir.
• Fault Tolerance: Bir hata yaşansa dahi sürekliliği destekleyebilme
kabiliyetidir. Hata toleransı yedeklilik imkanları ile sağlanır.
Örneğin disklerin RAID yapısında çalışması bir disk çökse bile
diğerlerinin disk hizmeti vermeye devam edecek şekilde
kurgulanmış olmasını sağlamaktadır.
• System Resilience: Sistemin bir hata, arıza veya saldırı olayına
rağmen kabul edilebilir hizmet seviyesinde çalışmaya devam
edebilme yeteneği veya olay sonrası hızlı biçimde tekrar işlevsel
hale gelebilmek kabiliyetidir. Örneğin bir sunucu cluster’ındaki
bir sunucunun çökmesine rağmen cluster’daki diğer sunucuların
belli bir hizmet seviyesini sağlayabilmeleri gibi.
İŞ SÜREKLİLİĞİ (BUSINESS CONTINUITY)
Continuity Planning
• Strategy development (hangi riskler azaltılmalı, MTD –
Maximum Tolerable Downtime değerlerine göre RTO –
Recovery Time Objective, yani kurtarma zaman hedef
değerleri ne olmalı ve hangi kurtarma stratejileri
seçilmeli)
• Provisions and processes (people, buildings/facilities,
infrastructure varlıklarımıza yönelik riskleri azaltacak
prosedürlerin, güçlendirme ve yedeklilik ihtiyaçlarının
belirlenmesi)
İŞ SÜREKLİLİĞİ (BUSINESS CONTINUITY)
Teknik Yedekleme Kontrol Örnekleri
• Teyp yedekleme
• Server clustering, load balancing (yük dengeleme)
• RAID disk yapısı (Güvenlik Operasyonları bölümünde
türlerine değinilecektir)
İŞ SÜREKLİLİĞİ (BUSINESS CONTINUITY)
Felaket Kurtarma Merkezi (DRC) Türleri
• Cold site: Gerekli güç ve çevresel sistemler (ör: iklimlendirme
altyapısı) dışında herhangi bir ekipman barındırmayan
merkezlerdir. Aktif veri bağlantı imkanları bulunmaz. Avantajı
bakımı yapılacak bilgi teknolojileri bulunmaması, aylık iletişim
gideri bulunmaması, güç maliyetlerinin düşük olmasıdır.
• Hot site: Cold site’ın tam tersi diyebiliriz, çok kısa sürede
makul hizmet seviyesinde ayağa kalkabilecek yedek sistemleri
barındıran tam teşekküllü veri merkezleridir. Genellikle
sistemler replication ile kısa bir zaman farkı ile güncellenirler.
• Warm site: Cold site ve hot site arasında yer alan bu veri
merkezleri tipik olarak güncel veri barındırmaz. Fakat daha
önceden konfigüre edilmiş sistemleri barındırır ve aktif ağ
bağlantılarına sahiptirler. Genellikle ayağa kaldırılma süresi 12
saati aşan merkezler için warm site denebilir.
İŞ SÜREKLİLİĞİ (BUSINESS CONTINUITY)
Felaket Kurtarma Merkezi (DRC) Türleri (devamı)
• Mobile site: Hareket edebilir trailer formatında kurtarma merkezleridir.
Genellikle cold site ya da warm site olarak konfigüre edilirler ve hareketli
olduklarından gerektiğinde kiralanabilirler.
• Service Bureau: Sunucu parkına sahip olan bu şirketler kurumlara sunucu
kiralama hizmeti verirler. Felaket anında kullanmak üzere personel için
desktop PC’de sağlayabilirler. Ancak aynı anda karşılayamayacakları sayıda
müşteri anlaşması yapabilirler, yani felaket anında hangi sırada hizmete
erişim sağlanabileceği önemlidir.
• Cloud Computing: Cloud hizmetleri pek çok kurum için esnek ve düşük
bütçeli felaket kurtarma merkezi alternatifi haline gelmiştir. Önde gelen
IaaS (Infrastructure as a Service) sağlayıcıları Amazon Web Services,
Microsoft Azure, Google Compute Cloud’dur.
• Mutual Assistance Agreements (MAA): Reciprocal agreements olarak da
adlandırılan bu opsiyonda iki kurum karşılıklı olarak kendi veri
merkezlerini felaket anında diğer kuruma kullandırma hizmeti taahhüdü
verirler. Pratikte uygulanması nadir görülür, ayrıca gizlilik ihtiyacı yüksek
kurumlar için tercih edilmeleri zordur.
İŞ SÜREKLİLİĞİ (BUSINESS CONTINUITY)
Plan Approval and Implementation
• Plan approval (Üst yönetim onayı ve desteği şarttır.)
• Plan implementation
• Training and education (Farklı personel grupları için
farklı eğitimler düzenlenmelidir. Yeni personel için
oryantasyon eğitimi verilirken felaket kurtarma
personeli için detaylı periyodik eğitim verilmelidir.)
İŞ SÜREKLİLİĞİ (BUSINESS CONTINUITY)
BCP Documentation
Bir iş sürekliliği planı aşağıdaki bölümlerden oluşabilir:
• Continuity planning goals
• Statement of importance
• Statement of priorities (iş etki analizinde ulaşılan
sonuçları içerir)
• Statement of organizational responsibility (özetle iş
sürekliliği herkesin sorumluluğundadır anlamında bir
içerik barındırır)
• Statement of urgency and timing (iş sürekliliği planının
uygulanmasının aciliyeti ve uygulama planını içerir)
• Risk assessment (iş etki analizinde belirlenen riskleri
içerir)
İŞ SÜREKLİLİĞİ (BUSINESS CONTINUITY)
BCP Documentation
Bir iş sürekliliği planı aşağıdaki bölümlerden oluşabilir
(devamı):
• Risk acceptance / mitigation (strategy development
aşamasında verilen kararları içerir)
• Vital records program (kritik iş kayıtlarının nerede
saklanacağı, nasıl yedekleneceği ve yedeklerin
saklanacağını içerir)
• Emergency response guidelines (acil durum planını,
iletişim prosedür ve listelerini içerir)
• Maintenance (plan gözden geçirme ve güncelleme)
• Testing and exercises (test planı ve prosedürleri)
İŞ SÜREKLİLİĞİ VE FELAKET KURTARMA
Recovery ve Restoration Kavramları
• Recovery: Felaket sonrasında iş süreçlerini kabul
edilebilir bir seviyede devam edecek hale getirme
faaliyetidir. Felaket kurtarma planı bu seviyede sona
erebilir.
• Restoration (ya da Reconstitution): Felaket sonrasında
kurumun tesislerini orjinal yerlerinde veya geri
döndürülemez bir zarara uğranmışsa uzun vadede
devam ettirecekleri yerlerde faal hale getirme
faaliyetidir. Restoration sonrasında kurum faaliyetlerine
felaket öncesi seviyede devam edebilir. İş sürekliliği
planı bu aşamada tamamlanmış denebilir, bu yüzden iş
sürekliliği planları asıl tesislere dönüşü de kapsamalıdır.
İŞ SÜREKLİLİĞİ VE FELAKET KURTARMA
Süreklilik ve Felaket Kurtarma Planı Test Türleri
İş sürekliliği ve felaket kurtarma planları planların olgunluk
seviyesine ve kurumların imkanlarına göre farklı
düzeylerde test edilebilir. Testlerin amaçları öncelikle
planın geçerliliğinin test edilmesi olmakla birlikte
personelin eğitimi ve dokümantasyonun bakımı da önemli
hedefler arasındadır.
• Read-Through Test: En basit test türü olan bu testte
plan iş sürekliliği ve felaket kurtarma personeline
gözden geçirmeleri için dağıtılır. Amaç personelin
sorumluluklarını hatırlaması, plandaki eksikliklerin
değerlendirilmesi ve organizasyonel değişikliklerin
plana yansıtılmasıdır.
İŞ SÜREKLİLİĞİ VE FELAKET KURTARMA
Süreklilik ve Felaket Kurtarma Planı Test Türleri (devamı)
• Structured Walk-Through: Table-top exercise olarak da geçen bu
test türünde ekip bir toplantı odasında toplanarak seçilecek
felaket senaryoları için role play yaparlar. Seçilen felaket
senaryolarını sadece çalışmanın moderatörü bilir ve ekibe açıklar.
• Simulation Test: Yine seçilen senaryolar için plan işletilir, ancak bu
defa kritik olmayan uygulamalar için testler gerçekten işletilebilir
ve bazı operasyonel personel de bu testlerde görev alabilir.
• Parallel Tests: Bu test seviyesinde görevli personel tam olarak
alternatif site’ta görev alır ve gerçek bir felaket durumundaki gibi
plan işletilir. Ancak asıl merkezdeki hizmetlerde herhangi bir
kesinti veya durma gerçekleştirilmez.
• Full-Interruption Test: Bu testte ana sistemler durdurulur ve tüm
faaliyetler felaket kurtarma merkezine aktarılır.