Kadir Goktas

Kadir Goktas

Developer, Eş, Baba

CSSLP Notları 1.3: Güvenlik politikaları

8 dakika tahmini okuma süresi

Güvenlik standartları

image-center

İç Kodlama Standartları

Yazılım güvenliği üzerinde büyük bir etkiye sahip olan en önemli iç standartlardan biri de kodlama standardıdır. Kodlama standardı, kod yazarken izin verilen ve geliştirme kuruluşu veya ekibi tarafından kabul edilmesi gereken şartları belirler. Bir kodlama standardı takip edildiğinde güvenlik ile doğrudan olmayan; stil tutarlılığı, kod okunabilirliğini, iyileştirme ve bakım kolaylığı gibi faydalar da ortaya çıkar.

NIST Standartları

Amerika Birleşik Devletleri Millî Standardlar ve Teknoloji Enstitüsü‘nün ABD şirketlerini desteklemek için oluşturduğu method ve standlartlardır.

SP 800-12

An Introduction to Information Security (Bilgi Güvenliğine Giriş) donanım, yazılım ve bilgi kaynaklarını güvence altına almak için rehberlik sağlayan genel bir bakış sağlar.

SP 800-14

Generally Accepted Principles and Practices for Security IT Systems (Genel Kabul Görmüş İlkeler ve Güvenlik BT Sistemleri İçin Uygulamalar) kuruluşların BT güvenlik programlarını oluşturmak ve gözden geçirmek için kullanabilecekleri bir temel sağlar.

SP 800-18

Guide for developing Security Plans for Federal Systems (Federal Sistemler İçin Güvenlik Planları Geliştirme Rehberi), sistem güvenliği planlamasının amacı, bilgi sistemi kaynaklarının korunmasını geliştirmek ve belgelemektir.

SP 800-27

Engineering Principles for Information Technology Security (Bilgi Teknolojileri Güvenliği için Mühendislik İlkeleri), bir bilgi sisteminin tasarımında, geliştirilmesinde ve işletilmesinde dikkate alınması gereken sistem düzeyinde güvenlik ilkelerinin bir listesini sunar.

Bu ilkelerin bazıları:

  • Tasarım için “temel” olarak sağlam bir güvenlik politikası oluşturmak
  • Güvenliği, genel sistem tasarımının ayrılmaz bir parçası olarak kabul edin
  • İlgili güvenlik politikaları tarafından yönetilen fiziksel ve mantıksal güvenlik sınırlarını açıkça belirtin
  • Riski kabul edilebilir bir seviyeye düşürün
  • Dış sistemlerin güvensiz olduğunu varsayın
  • Kurumsal güvenlik hedeflerine ulaşmak için özel sistem güvenlik önlemleri uygulayın
  • Sadelik için gayret edin
  • Güvenlik açığını sınırlamak ve hızlı tepki veremek için bir BT sistemi tasarlayın ve çalıştırın
  • Güvenilecek sistem öğelerini en aza indirin
  • Fiziksel ve mantıksal olarak dağıtılan önlemlerin bir kombinasyonu ile güvenliği sağlamak
  • Beklenen tehditler karşısında sistemin esnek ve esnek olmaya devam edeceğine dair güvence verin
  • Güvenlik açıklarını sınırlayın ya da kontrol altına alın
  • Çoklu, örtüşen, bilgi alanlarına yönelik güvenlik önlemleri formüle edin
  • Kamusal erişim sistemlerini kritik görev kaynaklarından ayırın
  • Bilgi işlem sistemlerini ve ağ altyapılarını ayırmak için sınır mekanizmalarını kullanın
  • Mümkün olduğunda, taşınabilirlik ve birlikte çalışabilirlik için açık standartlara dayalı güvenliği baz alın
  • Güvenlik gereksinimlerini geliştirmek için ortak dil kullanın
  • İzinsiz kullanımı tespit etmek ve olay incelemelerini desteklemek için denetim mekanizmaları tasarlayın ve uygulayın
  • Güvenli ve uygun bir teknoloji yükseltme süreci de dahil olmak üzere düzenli olarak yeni teknolojinin benimsenmesine izin veren güvelik politikası oluşturun
  • Çalışma alanları içindeki ve arasındaki erişim kontrolü kararlarını sağlamak için kullanıcıları ve süreçleri doğrulayın
  • Hesap verebilirliği sağlamak için benzersiz kimlikler kullanın
  • En az ayrıcalık uygulayın
  • Gereksiz güvenlik mekanizmalarını uygulamayın
  • İşlenirken, taşınırken ve depolama sırasında bilgileri koruyun
  • Operasyonel kullanım kolaylığı için gayret gösterin
  • Erişilebilirliği sağlamak için acil durum veya felaket kurtarma prosedürlerini geliştirin ve uygulayın
  • Bir sistemin kapatılması veya elden çıkarılmasında uygun güvenliği sağlayın
  • Tüm olası saldırı sınıflarına karşı koruyun
  • Yaygın hataları ve açıkları tanımlayın ve önleyin
  • Geliştiricilerin güvenli yazılım konusunda eğitimli olmalarını sağlayın

SP 800-30

Risk Management Guide for IT (Bilgi Teknolojileri Sistemleri için Risk Yönetimi Rehberi), risk yönetimine genel bir bakışla başlar ve etkili bir risk yönetimi programı için kritik başarı faktörü olarak kabul edilen öğeleri kapsar.

SP 800-61

Computer Security Incident Handling Guide (Bilgisayar Güvenliği Olay Yönetimi Kılavuzu), kuruluşlara bilgisayar güvenlik olayı müdahale yetenekleri oluşturma ve olayları verimli ve etkili bir şekilde işleme konusunda yardım eder

SP 800-64

Security Considerations in the Information Systems Development Life Cycle (Bilgi Sistemleri Geliştirme Yaşam Döngüsü’ndeki Hususlar), sistemin veya yazılımın başlangıcından itibaren BT sistemleri (veya yazılım) geliştirme yaşam döngüsüne (SDLC) güvenlik sağlanması konusunda rehberlik sağlar.

En baştan güvenliği ekleyerek, kuruluşların güvenlik yatırım getirilerini en üst düzeye çıkarmasını sağlar.

  • Güvenlik kontrollerinin uygulama maliyetinin oldukça düşük olduğu SDLC’nin başlarında, güvenlik açıklarını ve yanlış yapılandırmalarını belirlemek ve azaltmak.
  • Güvenlik erken kabul edilmediyse, SDLC’nin daha sonraki bir aşamasında yeniden tasarım gerektirebilecek herhangi bir mühendislik veya tasarım sorununu aydınlatmak.
  • Geliştirme maliyetini ve süresini azaltan, paylaşılabilir güvenlik hizmetlerini belirlemek.
  • Risklerin kapsamlı bir şekilde yönetilmesi ve yöneticilerin risk alma/almama ve risk yönetimi (kabul et/aktar/azalt/kaçın) kararları hakkında bilgilendirilmelerini kolaylaştırmak.

SP 800-100

Information Security Handbook: A Guide for Managers (Bilgi Güvenliği El Kitabı: Yöneticiler İçin Kılavuz), yöneticilere bir bilgi güvenliği programının nasıl oluşturulacağını ve uygulanacağını anlamada yardımcı olacak bilgi güvenliği unsurları hakkında geniş bir bakış sağlar.

FIPS Standartları

NIST’in ürettiği çeşitli Özel Yayınlara ek olarak, Federal Bilgi İşleme Standartları (FIPS) da aşağıdakiler için Federal gereksinimlere yönelik olarak geliştirilmiştir:

  • farklı sistemlerin birlikte çalışabilirliği
  • veri ve yazılım taşınabilirliği ve
  • bilgisayar güvenliği

FIPS 140

Security Requirement for Cryptographic Modules (Şifreleme Modülleri için Güvenlik Gereksinimi), bir şifreleme modülü tarafından karşılanması gereken gereksinimleri belirtir.

FIPS 186

Digital Signature Standard (DSS) (Dijital İmza Standardı), dijital imza oluşturmak için kullanılabilecek bir algoritmaları belirtir.

FIPS 197

Advanced Encryption Standard (Gelişmiş Şifreleme Standardı), elektronik verilerin gizliliğini sağlamak için onaylı bir şifreleme algoritmasını belirtir. AES algoritması hem şifrelemek, hem de şifre çözmek için kullanılabilecek simetrik bir blok şifresidir.

FIPS 201

Personal Identity Verification (PIV) of Federal Employees and Contractors (Federal Çalışanların ve Yüklenicilerin Kişisel Kimlik Doğrulaması (PIV)), Federal olarak kontrol edilen devlet tesislerine fiziksel erişim ve devlet bilgi sistemlerine mantıksal erişim isteyen kişilerin kimliğini etkin bir şekilde doğrulayarak uygun güvenlik güvencesi sağlamayı amaçlar.

ISO Standartları

ISO/IEC 15408

ISO / IEC 15408 daha çok Ortak Kriterler olarak bilinir ve Bilgi Teknolojisi güvenlik ürünlerinin güvenlik özelliklerini ve özelliklerini değerlendirmek için ortak bir çerçeve tanımlayan bir dizi uluslararası kabul görmüş kılavuzlar dizisidir. Ortak Kriterler, üreticilerin ürünlerini, standartta tanımlanmış değerlendirme güvence seviyelerine (EAL’ler) karşı bağımsız bir üçüncü tarafça değerlendirmesini sağlar.

Aşağıda listelendiği gibi çok parçalı bir standarttır.

  • ISO/IEC 15408-1:2005, BT güvenlik fonksiyonelliğini ve güvence gereksinimlerini ifade etmek için iki form tanımlar. Koruma profili (Protection Profile - PP), bu güvenlik gereksinimlerinin kullanılabilir kümelerinin oluşturulmasına izin verir. PP, potansiyel müşteriler tarafından ihtiyaçlarını karşılayacak BT güvenlik özelliklerine sahip ürünlerin belirlenmesi ve tanımlanması için kullanılabilir. Güvenlik hedefi (Security Target - ST) güvenlik gereksinimlerini ifade eder ve değerlendirmenin hedefi (Target of Evaluation - TOE) olarak adlandırılan, değerlendirilecek belirli bir ürün veya sistem için güvenlik işlevlerini belirtir. ST, değerlendiriciler tarafından ISO / IEC 15408’e göre yapılan değerlendirmelerde temel olarak kullanılır.
Güvence Seviyeleri (EAL) Değerlendirme Hedefi (TOE)
EAL1 İşlevsel olarak test edildi
EAL2 Yapısal olarak test edildi
EAL3 Metodik olarak test edildi ve kontrol edildi
EAL4 Metodik olarak tasarlandı, test edildi ve gözden geçirildi
EAL5 Yarı resmi olarak tasarlandı ve test edildi
EAL6 Yarı resmi olarak doğrulanmış tasarım ve test edildi
EAL7 Resmi olarak doğrulanmış tasarım ve test edildi

  • ISO/IEC 15408-2:2008, TOE’ye karşı güvenlik değerlendirmesinin bir parçası olması gereken önceden tanımlanmış güvenlik işlevsel gereksinimleri (Security functional requirements - SFR’ler) kapsamlı kataloğunu içerir. Bu gereksinimler bir sınıf, aile ve bileşen yapısı kullanılarak hiyerarşik olarak düzenlenir.

  • ISO/IEC 15408-3:2008, Güvenlik güvence gereksinimlerini (Security assurance requirements - SAR) tanımlar ve TOE güvencesini ölçmek için değerlendirme güvence seviyelerini (Evaluation Assurance Level - EAL’ler) içerir.

ISO / IEC 15408 standardı ile önceden tanımlanmış SFR’ler ve SAR’lar, Gereksinimler, Geliştirme ve / veya Operasyonlardaki hatalardan kaynaklanan güvenlik açıklarını ele almak için kullanılabilir.

ISO/IEC 21827:2008

ISO/IEC 21827:2008 - Systems Security Engineering Capability Maturity Model® (SSE-CMM®), iyi bir güvenlik mühendisliği sağlamak için bir kuruluşun güvenlik mühendisliği sürecinin temel özelliklerini tanımlar.

Model, aşağıdakileri kapsayan güvenlik mühendisliği uygulamaları için standart bir ölçümdür:

  • geliştirme, işletme, bakım ve hizmetten çıkarma faaliyetleri dahil olmak üzere tüm yaşam döngüsü
  • yönetim, organizasyon ve mühendislik faaliyetleri dahil olmak üzere tüm organizasyon
  • sistem, yazılım, donanım, insan faktörleri ve test mühendisliği gibi diğer disiplinlerle eşzamanlı etkileşimler; sistem yönetimi, işletme ve bakım
  • devralma, sistem yönetimi, belgelendirme, akreditasyon ve değerlendirme dahil diğer kuruluşlarla etkileşimler

ISO/IEC 25000:2005

ISO/IEC 25000:2005 – Software Engineering Product Quality, Yazılım ürünü Kalite Gereksinimleri ve Değerlendirme (Software product Quality Requirements and Evaluation - SQuaRE) adlı yeni Uluslararası Standartlar serisinin kullanımı için rehberlik sağlar.

ISO/IEC 27000:2009

ISO/IEC 27000:2009 – Information Security Management System (ISMS) Overview and Vocabulary, bilgi güvenliği yönetim sistemi (ISMS) standart ailesinin konusunu oluşturan bilgi güvenliği yönetim sistemlerine genel bir bakış sağlar ve ilgili terimleri tanımlar.

ISO/IEC 27001:2005

ISO/IEC 27001:2005 – Information Security Management Systems Requirements, Kuruluşun genel ticari riskleri bağlamında belgelenmiş bir Bilgi Güvenliği Yönetim Sisteminin kurulması, uygulanması, işletilmesi, izlenmesi, gözden geçirilmesi, korunması ve iyileştirilmesi için gereklilikleri belirtir.

ISO / IEC 27001: 2005, aşağıdakiler de dahil olmak üzere birkaç farklı kullanım tipine uygun olması amaçlanmıştır:

  • Güvenlik gereksinimlerini ve hedeflerini formüle etmek
  • Güvenlik risklerinin maliyet etkin bir şekilde yönetilmesini sağlamak
  • Kanun ve yönetmeliklere uygunluğu sağlamak
  • Bir kuruluşun belirli güvenlik hedeflerine ulaşılmasını sağlamak için kontrollerin uygulanması ve yönetimi için bir süreç çerçevesi olmak
  • Mevcut ISMS süreçlerini tanımlamak ve yenilerini tanımlamak
  • Kuruluşların iç ve dış denetçileri tarafından kuruluşun kabul ettiği politikalara, direktiflere ve standartlara uyum derecesini belirlemek için kullanılır
  • İşlem ortakları ve operasyonel veya ticari nedenlerle etkileşimde bulundukları diğer kuruluşlara bilgi güvenliği politikaları, yönergeleri, standartları ve prosedürleri hakkında ilgili bilgi sağlamak

ISO/IEC 27002:2005

ISO/IEC 27002:2005/Cor1:2007 – Code of Practice for Information Security Management, bir kuruluşta bilgi güvenliği yönetimini başlatmak, uygulamak, sürdürmek ve iyileştirmek için kılavuz ilkeler ve genel ilkeler belirler.

ISO/IEC 27005:2008

ISO/IEC 27005:2008 - Information Security Risk Management, bilgi güvenliği risk yönetimi için kılavuz sağlar. ISO / IEC 27001’de belirtilen genel kavramları destekler ve bir risk yönetimi yaklaşımına dayalı bilgi güvenliğinin tatmin edici bir şekilde uygulanmasına yardımcı olmak için tasarlanmıştır.

ISO/IEC 27006:2007

ISO/IEC 27006:2007 – Requirements for Bodies Providing Audit and Certification of Information Security Management Systems, Bu standardın bu ana amacı, bilgi güvenliği yönetim sistemlerini denetleyen ve sertifikalandıran akreditasyon ve sertifikalandırma kuruluşlarını desteklemektir.

ISO 28000:2007

ISO 28000:2007 - Specification for security management systems for the supply chain, Tedarik zincirinin güvenlik güvencesi için kritik olan hususları içeren bir güvenlik yönetim sistemi için gereksinimleri belirler.

PCI Standards

PCI DSS

Payment Card Industry Data Security Standard (PCI DSS)’nin amacı, kuruluşun kart sahibi ödeme hesap verilerini proaktif olarak koruma çabalarını kolaylaştırmaktır.

PA-DSS

Payment Application Data Security Standard (PA-DSS)‘nin amacı, yazılım satıcılarının ve diğerlerinin, tam manyetik şerit, CVV2 veya PIN verileri gibi yasaklanmış verileri saklamayan güvenli ödeme uygulamaları geliştirmelerine ve ödeme uygulamalarının PCI DSS ile uyumluluğu desteklemelerini sağlamalarına yardımcı olmaktır.

OASIS

OASIS konsorsiyumu, küresel bilgi toplumu için açık standartların geliştirilmesi, birleştirilmesi ve benimsenmesini sağlar.

OASIS tarafından yayınlanan ve yazılım güvenliğine ilişkin standartlardan bazıları şunlardır:

  • Application Vulnerability Description Language (AVDL)
  • Security Assertion Markup Language (SAML)
  • eXtensible Access Control Markup Language (XACML)
  • Key Management Interoperability Protocol (KMIP) Specification
  • Universal Description, Discovery and Integration (UDDI)
  • Web Services (WS-*) Security

En İyi Uygulamalar

(OWASP)

Open Web Application Security Project - OWASP, uygulama güvenliği ve ağırlıklı olarak web uygulaması güvenliği üzerine odaklanan dünya çapında ücretsiz ve açık bir topluluktur. OWASP Türkiye sayfası için.

Önemli rehberlerden, ve linklerden bir kaçı:

(ITIL)

Information Technology Infrastructure Library - ITIL, bir bilgi işlem organizasyonunun organizasyon yapısını ve beceri gereksinimlerini ve organizasyonun bir BT operasyonunu ve ilgili altyapısını yönetmesine izin vermek için bir dizi standart operasyonel yönetim prosedürü ve uygulamasını tanımlar.

Yorum yapın

Email adresiniz gösterilmeyecektir. Zorunlu alanlar işaretlenmiştir *

Markdown desteklenmektedir.

Bunlar ilginizi çekebilir: