GÜV.04 — Bilgi Güvenliği İhlalleri Yönetimi
Açıklama
Bu dokümanın amacı; Bilgi Teknolojileri ile ilişkili bilgi güvenliği olayları ve zayıflıklarının, zamanında düzeltici önlemlerin alınabilmesine izin verecek şekilde bildirilmesini sağlamak ve bilgi güvenliği ihlal olaylarının yönetimine tutarlı ve etkili bir yaklaşımın uygulanması için izlenmesi gereken süreçleri tanımlamaktır.
Bilgi güvenliği ihlalleri tanımları aşağıdaki gibidir:
- Sistemlerin istek dışı kapatılması, konfigürasyonun değişmesi veya silinmesi
- Sistemlere yapılan izinsiz girişler
- Sistemlerin çalışırlığına zarar verilmesi
- Fiziksel kontrol ekipmanları ile korunan alanlara izinsiz girişler
- Bilgilerin (veri tabanı, doküman vb.) yetkisiz kişiler tarafından erişilmesi, değiştirilmesi, silinmesi ve kopyalanması
- Şirket web sitesi içeriğinin değiştirilmesi
- Servis kesinti atakları sonucu erişim kesintisi
- Sistemlere zararlı yazılım (fidye yazılımı, virüs, solucan vb.) bulaşması
Yukarıda belirlenenlerin dışında, bilgi varlıklarının ve kaynaklarının zarar görmesi ile sonuçlanabilecek olaylar da bilgi güvenliği ihlalleri olarak nitelendirilebilir.
Fark edilme yöntemleri:
- Sistemlere erişimlerin kesilmesi
- Teknik uzmanlar tarafından yapılan sistem konfigürasyonu incelemesi
- Sistemden sorumlu kişi tarafından fark edilmesi
- Sistemden sorumlu kişinin kayıtları incelerken anormal bir durum görmesi
- Merkezi log yönetimi/SIEM korelasyon uyarıları ile EDR (uç nokta tespit ve yanıt) sistemlerinden gelen şüpheli aktivite uyarıları
- Şirket çalışanları ve güvenlik görevlileri tarafından şüphelenilmesi ya da fark edilmesi
Standartlar
Vaka Bildirimi
- Bilgi teknolojileri ve hizmetlerinin tüm çalışanları, yüklenicileri ve üçüncü taraf kullanıcılarından; sistemler ve hizmetlerdeki gözlenen veya şüphelenilen herhangi bir güvenlik zayıflığına dikkat etmeleri ve rapor etmeleri istenir.
- Bilgi güvenliği olayları, uygun yönetim kanalları aracılığıyla mümkün olduğu kadar hızlı biçimde rapor edilir ve kayıt altına alınır.
- Şirketin bilgi güvenliğinden sorumlu kişi/kişilerine telefon veya e-posta ile anında bildirilir.
Bilgi Güvenliği İhlali Analizi
- Bilgi güvenliği ihlalinin gerçekleşip gerçekleşmediği veya gerçekleşen olayın bir güvenlik ihlali olup olmadığı değerlendirilir.
- Güvenlik ihlali analiz çalışmalarının yürütülebilmesi için gerekli kaynaklar belirlenir; ilgili uzmanların katılımı sağlanarak çalışma grubu kurulur.
- Hangi kullanıcıların güvenlik ihlaline dahil oldukları incelenir ve ihlalden doğrudan veya dolaylı yolla etkilenen sistemler tespit edilir.
- Güvenlik ihlalinin iş süreçlerine etkisi ve etkilenen sistemlerin kritiklik/öncelik/gizlilik derecesi belirlenir.
- Güvenlik ihlaline neden olan kişilerin kimler olduğu, yaşanan problemi kimlerin bildiği veya bilginin şirket dışına sızıp sızmadığı tespit edilir.
- Güvenlik ihlalini inceleme esnasında delil toplama ve detaylı teknik analiz (forensic analysis) işlemleri yapılarak detaylı bilgi elde edilir. Gerekli görülürse, ihlalden etkilenen sistemlerdeki bazı delillerin değişime uğramadan kopyalanması (forensic duplication) sağlanır.
- Detaylı araştırma safhasında; vakadan zarar gören iş süreçleri ve sistemlerin tespiti, vakanın nasıl gerçekleştiği, vakaya kimin neden olduğu veya kimin yaptığı ve vakadan etkilenen sistemlerin nasıl düzeltileceği belirlenir.
- Yapılan detaylı çalışma sonrasında; tespit edilen zafiyetlerin güçlendirilmesi, sistemin yenilenmesi veya ortadan kaldırılmasına yönelik çalışmalar başlatılır.
- Yukarıda belirtilen bilgi güvenliği ihlali analizi tamamlandıktan sonra; vakaya ait tüm detayları, sonucu ve alınacak önlemleri içeren ihlal raporu hazırlanır ve üst yönetim ile paylaşılır.
- Bilgi güvenliği ihlalinin medyaya sızması veya iş ortaklarını ve üçüncü tarafları etkilemesi ya da ilgilendirmesi durumunda; gerekli iletişimin yapılması için üst yönetime ve kurumsal iletişimden sorumlu birime bilgilendirme yapılır.