13 Şubat 2014 Perşembe

İnsan Kaynakları Güvenliği -Yönetimin Sorumlulukları-




7.2 İstihdam Süresince
Amaç:  Çalışanlar ve yüklenicilerin tüm bilgi güvenliği sorumluluklarının farkında olmalarını ve yerine getirmelerini sağlamak.

7.2.1 Yönetimin Sorumlulukları
 Kontrol: Yönetim, tüm çalışanlar ve yüklenicilerden, kuruluşun politika ve prosedürlerine uygun olarak, bilgi güvenliğini uygulamalarını istemelidir.
Uygulama Kılavuzu:

Yönetimin sorumluklarına ilişkin aşağıdaki maddelerin göz önünde bulundurulması faydalı olacaktır.
-Gizli bilgiye erişimin sağlanmasından önce bilgi güvenliği rol ve sorumlulukların etkin ve etkili bir biçimde aktarılması
-Çalışanların ve yüklenicilerin kuruluşun bilgi güvenliği politikalarına uyumu konusunda desteklenmesi ve motive edilmesi
-Çalışanların ve yüklenicilerin belirlenen seviyede bilgi güvenliği farkındalığına erişmesi için gerekli desteğin sağlanması
-Yönetim, çalışanların ve yüklenicilerin istihdam süresince bilgi güvenliği politikalarına ve çalışma yöntemlerine uygun olarak çalıştığının garanti altına alınması
-Çalışan ve yüklenicilerin gerekli bilgi seviyesi ve yetkinlikte kalması adına eğitim programı düzenlenmesine öncülük etmesi
-Politika ve prosedürlere ilişkin uyumsuzlukların, bağımsız şekilde raporlanmasını sağlayacak kontrollerin geliştirilmesi

Bilgi güvenliğinin hedeflenen etkinlikte olabilmesi adına, üst yönetim çalışanlar için rol-model olmalı ve örnek teşkil etmelidir.

Yönetimin desteğinin yetersiz olması durumda oluşabilecek ihlal olayları kuruluşa büyük zarar verebileceği göz ardı edilmemelidir.

12 Şubat 2014 Çarşamba

Spyware (Casus Yazılımlar)

Spyware (Casus Yazılımlar) izin almaksızın, reklam verme, kişisel bilgi toplama yada bilgisayar konfigürasyonunu değiştirme davranışlarında bulunan, adware yada önemli verileri takip eden yazılımlardır.

Spyware’ler web siteleri üzerinden bir pop-up mesajıyla çıkan yükleme bildirimine izin verilmesi yada bilgilendirme olmaksızın programın bilgisayara yüklenmesi ile bulaşabilir.


Spyware programı bilgisayara bulaştıktan sonra, gerçekleştirilen aktiviteleri izler ve üçüncü taraflarla paylaşımda bulunur. Spyware çalışırken bilgisayarı yavaşlatabilir, çalışamaz hale getirebilir. Antivirüs yazılımları ile bu tür zararlı yazılımların temizlenmesi mümkündür.

11 Şubat 2014 Salı

İnsan Kaynakları Güvenliği -İstihdam Koşulları-



7.1.2 İstihdam Koşulları
Kontrol: Çalışanlar ve yüklenicilerle yapılan sözleşmelerde, çalışanların, yüklenicilerin, kuruluşun bilgi güvenliğine ilişkin sorumluluklarına yer verilmelidir.

Uygulama Kılavuzu:
Çalışan ve yüklenicilerle imzalanan sözleşme yükümlülüklerde bilgi güvenliğini sağlamak adına aşağıdaki maddelerin göz önünde bulundurulması faydalı olacaktır;

-Gizli bilgiye erişen çalışanların ve yüklenicilerin, gizli bilgiye erişiminden önce, ifşa etmeme(açığa vurmama) anlaşmalarını imzalamış olmalıdırlar
-Çalışanların ve yüklenicilerin yasalardan doğan yükümlülükleri ve haklarının tanımlanması (Ör: Fikri mülkiyet hakları, kişisel verilerin gizliliği)
-Çalışanlar ve/veya yükleniciler tarafından kullanılan bilgilerin, bilgi işleme bileşenlerinin, bilgi servislerinin kullanımına ilişkin kurumsal varlık yönetimi ve bilgi sınıflandırılmasına ilişkin sorumluluklar tanımlanması
-Dış taraflar veya diğer kurumlardan edinilen bilgilerin çalışanlar ve yükleniciler tarafından kullanım şekli ve esasları
-Tanımlanan bilgi güvenliği gereksinimlerine uyulmaması durumunda alınacak aksiyonların tanımlanması

İşe başlayacak adaylara, işe başlama öncesi bilgi güvenliği rol ve sorumlulukları hakkında bilgi verilmesi faydalı olacaktır.

Ek olarak istihdamın sonlanması ile birlikte tanımlanan süre boyunca gizli bilgilerin ifşa edilmeyeceğine dair sözleşme maddesi gerekli olacaktır.

10 Şubat 2014 Pazartesi

Denial Of Service (DoS)-Servis Sonlandırma Saldırıları

DoS saldırıları genel olarak sistemleri çalışamaz hale getirmek için yapılan saldırılardır. DoS saldırıları internet üzerinden gerçekleştirilebileceği gibi, ağ yapısı olan tüm ortamlar üzerinde gerçekleştirilebilir. Yani kablosuz ağlar ve yerel ağlarda DoS saldırılarının tehdit ettiği ortamlardır.

DoS saldırıları tek bir makinadan gerçekleştirilebilir yada bir saldırıyı gerçekleştirmek için birden çok bilgisayar/bileşen kullanılabilir. En çok karşılaştığımız haber türlerinden olan bilinen hacker grupların saldırıları DoS saldırıları şeklinde gerçekleşebilmektedir. Bu türden saldırılarda çoğunlukla roBOTNETworks (botnet)’ ler kullanılmakta ve dağıtık servis sonlandırma saldırıları şeklinde gerçekleştirilmektedir. (distrubuted denial of service-DDOS). Bu saldırı türünde bir çok farklı bileşen tek bir hedefin kaynaklarını tüketerek saldırılarını gerçekleştirir.


DoS saldırılarında hedef genellikle gizli bilgilerin ele geçirilmesi yada güvenlik kaybı değildir. Saldırılarda amaçlanan genellikle kişinin yada şirketin/kurumun prestij, zaman ve para kaybetmesidir. Saldırılardan etkilenen sistemlerde dosya ve programlarda zarar görebilmektedir.

7 Şubat 2014 Cuma

Mobile Phone Malware (Cep Telefonu Zararlı Yazılımı)

Mobile Phone Malware, akıllı telefonlar, tabletler, cep bilgisayarları gibi akıllı cihazlar için tasarlanmış zararlı yazılımlardır. 2010’dan beri mobil cihazlar sürekli artan zararlı yazılım tehdidi altındadır. Android ve IOS işletim sistemleri için çok sayıda zararlı yazılım mevcuttur. Ancak bu oranın IOS’a göre android cihazlarda çok daha yüksek olduğu görülmektedir.

Android cihazlar, dosya paylaşım siteleri aracılığı ile popüler uygulamaların zararlı yazılım içeren versiyonlarını yüklemeye olanak tanımaktadır. Bu gibi üçüncü parti kaynaklardan yüklenen uygulamaların zararlı yazılım içerme oranı oldukça yüksektir.

Benzer yazılımlar maddi kazanç elde etmek amacıyla kişisel bilgisayarlarda da kullanılabilmektedir. Mobil zararlı yazılımlar da sahte antivirüs yazılımları üzerinden yayılarak, gizli bilgilere ulaşabilmektedir.

Birçok güvenilir kaynak risk oluşturacak derecede gizli bilgi taşıyan uygulamalar barındırmaktadır. Örneğin reklam içerikli uygulamalar kullanıcının özel bilgilerinin (konum bilgisi, telefon numarası gibi) paylaşımına olanak tanımaktadır. Bu tip uygulamalarda “potentially unwanted applications” (PUAs), yani istenmeyen uygulamalar olarak nitelendirilmelidir.

Cep telefonu, tablet gibi akıllı cihazları zararlı yazılımlardan korumak için, işletim sistemine ait güvenlik güncellemeleri takip edilmeli ve yalnızca güvenilir kaynaklardan (Google Play, Apple iTunes vb.) uygulamalar yüklenmelidir. Mobil cihazlar için olan güvenlik yazılımları da cihazları zararlı yazılımlara karşı korumak için tercih edilen yöntemlerden biridir.

6 Şubat 2014 Perşembe

İnsan Kaynakları Güvenliği -Tarama-



A 7 İnsan Kaynakları Güvenliği
Amaç:  Çalışanlar ve yüklenicilerin kendi sorumluluklarını anlamalarını ve düşünüldükleri roller için uygun olup olmadıklarını sağlamak.

EK-A 7.1 İstihdam Öncesi

7.1.1 Tarama

Kontrol: Tüm işe alım adayları, yükleniciler ve üçüncü taraf kullanıcılar için ilgili yasa, düzenleme ve etik kurallara göre, iş gereksinimleri, erişilecek bilginin sınıflandırması ve alınan risklerle orantılı olarak geçmiş doğrulama kontrolleri gerçekleştirilmelidir.
Uygulama Kılavuzu:
Öncelikle ilgili tarama işlemi yasa ve mevzuatlarla belirlenmiş sınırların ötesine geçmemeli ve adaya tarama ile ilgili bilgi verilmelidir. Bu kontrol çalışılan sistemin hassasiyetine veya kuruluşun yapısına göre(Örn: Kamu kurumları) değişiklik gösterebilir.
Tarama faaliyeti sırasında aşağıdaki konu başlıklarınının göz önünde bulundurulması faydalı olacaktır;
-İş yaşamından ve kişisel yaşamdan referans kontrolü
-Özgeçmişin yeterlilik kontrolü
-Akademik ve profesyonel yetkinliklerin doğrulanması
-Bağımsız  kimlik doğrulması (Nüfüs Cüzdanı, pasaport, ehliyet v.b)
-Adli Sicil belgesi, adli geçmiş belgeleri
Çalışalacak birim güvenlik gereksinimleri gerektiriyorsa, kuruluş ek kontroller geliştirmeli ve uygulamalıdır.
Kuruluş, tarama faaliyetlerine ilişkin kısıtlamaları tanımlamalıdır. Tarama faaliyetlerini kurum içinde kim, ne zaman ve nasıl yapacağına ilişkin esaslar belirlenmelidir.
İnsan kaynaklarına ilişkin üçüncü taraf firmalarla çalışılıyorsa, tarama faaliyetlerine ilişkin sorumlulular ve gizlilik anlaşmaları yapılmalı ve kurallar tanımlanmalıdır.

5 Şubat 2014 Çarşamba

Potentially Unwanted Applications-PUA

İstenmeyen türden olabilecek uygulamalar, zararlı olmayan fakat özellikle iş ortamında kullanılması uygun olmayan, güvenlik kaygısı oluşturabilecek yazılımlardır.

Doğru amaçlar için kullanıldığında faydalı olan fakat şirket ağları içerisinde kullanımı uygun olmayan uygulamalara örnek olarak, adware’ler (Reklam destekli yazılımlar), bilgisayarları uzaktan kontrol etmek için kullanılan araçlar ve sistem açıklıklarını taramak için kullanılan araçlar verilebilir.


Antivirüs programlar ve uç nokta güvenlik programları kullanıcı bilgisayarındaki istenmeyen türden olabilecek bu tip yazılımları (PUAs) tespit ederek, raporlama yapabilmektedir.

4 Şubat 2014 Salı

Uzaktan Çalışma ve Bilgi Güvenliği


EK-A 6.2.2 Uzaktan Çalışma
Kontrol: Uzaktan erişilen, işlenen veya depolanan bilginin korunması için bir politika ve destekleyici güvenlik önlemleri uygulanmalıdır.



Uygulama Kılavuzu:
Günümüzde uzaktan çalışma hızla yaygınlaşmaktadır. Kuruluşların uzaktan çalışmaya ilişkin koşulları ve sıkılaştırmaları tanımlarken aşağıdaki konu başlıklarını göz önünde bulundurması faydalı olacaktır;

-Uzaktan çalışma alanının fiziksel güvenliği
-İç ağa erişimin gerekliliği  ve erişilen sistemlerin hassaslığına bağlı olarak uzaktan sağlanan iletişimin güvenlik gereksimlerinin belirlenmesi
-Sanal masaüstü bağlantılarının, kişisel cihazlar üzerinde bilgi işlemesi veya bilgi depolamasının önüne geçilmesine ilişkin kontroller
-Uzaktan erişim yapılan alandan yetkisiz erişim tehditleri (Aile bireyleri v.b)
-Uzaktan çalışma yapılan alanda kablosuz ağ güvenliğine ilişkin sıkışlaştırma ve önlemler
-Kişisel cihazlar (uzaktan erişen) üzerinde, fikri mülkiyet haklarına ilişkin kısıtlamaları içeren politika ve prosedürler
- Uzaktan erişen kişisel cihazlara bilgi güvenliği gereksinimlerinin kontrolü veya bilgi güvenliği ihlal olayı araştırmaları gerçekleştirebilmek için erişim kurallarınının belirlenmesi
- Uzaktan erişen bileşenler için lisans yönetim esaslarının belirlenmesi
-Zararlı yazılamlardan korunma ve güvenlik duvarı yapılanadırma esasları

Kuruluş yukarıdaki maddelere ek olarak aşağıdaki maddelere ilişkin önlemler tanımlamalıdır;

-Kuruluşun kontrolü altında olmayan, uzaktan erişim bileşenlerine erişim hakkının verilmemesi
-Çalışma saatlerinin tanımlanması, gerekli yetkilenledirmelerin yapılması ve periyodik kontrollerin tanımlanması
-Uzaktan erişim yapacak bileşene ait minumum güvenlik gereksinimlerinin/sıkılaştırmalarının tanımlanması ve uygulanaması
-Bileşenlerin donanım ve yazılımına ilişkin destek ve bakımının sağlanması
-Teçhizat sigortlama
-Yedekleme ve iş sürekliliğine ilişkin kontrollerin tanımlanması
-Denetlenebilirlik ve izlenebilirliğin sağlanması
- uzaktan çalışma gereksinimi ortadan kalktığında, erişim haklarının kaldırılması ve teçhizatın iadesi ile ilgili kuralların belirlenmesi

3 Şubat 2014 Pazartesi

Internet Worm (İnternet Solucanı)

İnternet solucanı aynı zamanda bilgisayar solucanı olarak da bilinir. Bu tip zararlı yazılımlar kendi kendilerini çoğaltarak, yerel ağlarda yada internet üzerinde yayılırlar. 

Trojan yada diğer virüslerin aksine kullanıcı müdahalesi gerektirmeden kendi kendilerine çoğalabilme özelliğine sahiptir. İnternet üzerinden yayılan bu virüsler bilgisayara girerek, kullanıcıdan habersizce çoğalabilirler. Bu özellik virüsleri oldukça tehlikeli hale getirmektedir.

İnternet solucanları herhangi bir virüs çeşidi, komut dosyası yada program olabilir. İnternet solucanları genellikle, sistemlerin güvenlik açıklıklarından yaralanarak sistemlere bulaşırlar. Örnek olarak Conficker solucanı verilebilir.


Bazı internet solucanları ise bilgisayar üzerinde backdoor (arka kapı) oluşturarak bilgisayarın kötü niyetli bir saldırgan tarafından kontrol edilebilmesine neden olabilirler. Bu durum ise bilgisayarın zombi olmasına neden olmaktadır.

31 Ocak 2014 Cuma

Parasitic Viruses (Parazit Virüsler)

Dosya virüsleri olarak bilinen bu virüsler kendilerini programlara ekleyerek yayılırlar. Parazit virüslerden etkilenmiş bir programı çalıştırdığınızda, çalıştırılan programla birlikte aktive olurlar ve çalışmaya başlarlar. İşletim sistemi ise virüsü programın bir parçası olarak algılar ve programdan ayırt edemez. Programın işletim sisteminde sahip olduğu tüm haklara virüs yazılımı da sahip olur. Böylelikle kendini kopyalama şansı bulur ve bilgisayar belleğine kendini yükler yada bilgisayarda izinsiz değişiklikler yapar.

Parazit virüsler, virüs tarihine göre oldukça eski virüslerdir. Yaygınlık oranları ise giderek azalmıştır. Buna rağmen yeni türleri ile tekrar yaygınlaşmaya başladıkları gözlemlenmektedir.