29 Nisan 2012 Pazar

BGYS Teknik Açıklık Yönetimi ve Karşılaşılan Zorluklar

BGYS (Bilgi Güvenliği Yönetim Sistemi) kurulumu esnasında çoğunlukla karşılaşıldığı üzere kontrol maddelerinin tanımlarının yanlış/eksik anlaşılması ve uygulama adımında hatalara sebep olması mümkündür. Bu nedenle kontrol ile ilgili detaylı açıklama ve en iyi uygulama örneğine ilişkin açıklamalar aşağıda belirtilmiştir.

ISO 27001 YAMA YÖNETİMİ BEKLENTİLERİ
TS ISO/IEC 27001 kapsamında Teknik Açıklık Yönetimi’ne ait kontrol şu şekilde belirtilmiştir.

Teknik açıklık yönetimi 
Amaç: Yayınlanmış teknik açıklıkların istismarından kaynaklanan riskleri azaltmak.

Teknik açıklıkların kontrolü
Kullanılan bilgi sisteminin teknik açıklıkları hakkında zamanında bilgi elde edilmeli, kuruluşun bu tür açıklıklara maruz kalması değerlendirilmeli ve ilişkili riskleri hedef alan uygun önlemler alınmalıdır

TEKNİK AÇIKLIK TAKİBİ YAPILACAK SİSTEMLERİN/UYGULAMALARIN BELİRLENMESİ
ISO/IEC 27001 BGYS kurulumu esnasında çıkarılmış olan varlık envanterinde yer alan ve kapsamda bulunan ya da kurum tarafından takibi uygun görülen sistemler/uygulamalar için açıklık takibi yapılmalıdır. En iyi uygulama örneği, kurum sistemi içerisinde bulunan ve BGYS ile bağlantılı tüm sistemler için bu takibin yapılmasıdır. Ancak çoğunlukla iş gücü vb. etkenler nedeniyle gerçeklenememektedir.


BGYS kapsamı içerisindeki sistemlerin teknik açıklık yönetiminin gerçekleştirilmesi, sistem güvenliği adına büyük önem taşımaktadır. Bu nedenle kapsam içerinde yer alan tüm sistemlere ait işletim sistemi, uygulama vb. teknik açıklık yönetimi gerçekleştirilmeli ve kayıt altına alınmalıdır.

AÇIKLIKLARIN TAKİBİ
Üretici/geliştiriciler bulunan ve açıklanan açıklıklar için yama geliştirmekte ve bunları yayınlamaktadırlar. Ancak, açıklığın bulunması ve ilgili yamanın geliştirilip yayınlanması arasında ciddi bir zaman geçebilmektedir. Bu nedenle yama yayınlanma tarihleri özenle takip edilmeli ve gerekli kontroller sonrası sisteme mümkün olan en kısa sürede yüklenmelidir.

Belirlenen sistemlerde yer alan işletim sistemleri, veri tabanları, ofis uygulamaları vb. kapsamda yer alan tüm sistemlerle ilgili teknik açıklık takibi yapılmalıdır. Bu takip için, kurum içi görev ve sorumluluk tanımlamaları yapılmalıdır.

Teknik açıklık takibi yapılan kaynaklar (üretici duyuru grupları/siteleri, forumlar vs.) periyodik olarak gözden geçirilmelidir ve gerekiyorsa yenilenmeli ya da değiştirilmelidir. Bu sayede sistem açıklıkları ile ilgili en güncel bilgiye erişilebilecek kaynaklar takip edilmiş olacaktır.

TESPİT EDİLEN AÇIKLIKLAR İÇİN YAMA YÖNETİMİ
Kapsam içi sistemlerde bulunan ya da sistemleri etkileyecek açıklıklar tespit edildiğinde uygun önlemler ve/veya kontroller mümkün olan en kısa sürede sistem üzerinde gerçeklenmelidir.
Kapsam içi sistemlerde potansiyel bir teknik açıklık saptandığında ilişkili olduğu riskler tanımlanmalı ve alınacak önlemler/kontroller belirlenmelidir. Bu riskler ile ilgili yapılacaklar ve planlamalar ivedi olarak sistemde gerçeklenmelidir. İlgili açıklık ile ilgili yama/güncellemelerin yüklenmesi ile oluşabilecek riskler de değerlendirilmelidir. Risk değerlendirmesi sonuçları ’Risk Değerlendirme Planı’na da eklenmelidir.

Takip edilen kaynaklar tarafından gelecek duyurulardan; alınacak önlemler, açıklığı kapatmak için yapılması gerekenleri içeren yol haritaları vb. öğrenilmeli ve uygun görülenler için bir zaman planlaması yapılmalıdır. Bu planlamalar esnasında; sistem kritikliği vb. faktörler göz önünde bulundurularak önceliklendirme yapılmalıdır. Bu sayede kritik sistemler ile ilgili güncellemeler kısa sürede yapılabilecektir.

Canlı sisteme ilgili yamalar yüklenmeden önce, özdeş ya da gerçeğe en yakın örnek sistem üzerinde test edilmelidir. Ortaya çıkabilecek yan etkiler değerlendirilmelidir. Bu sayede sistem üzerinde karşılaşabilecek, üretici tarafından öngörülemeyen hatalar ve/veya kayıplardan korunmak mümkün olabilir. Ayrıca, üretici tarafından gerçeklenecek testler, var olan kurum içi sistem ile birebir özelliklere sahip olmayabilir; bu nedenle sistemde mevcut diğer uygulama/sistemler ile ilgili problemler doğurabilmesi de olasıdır.

Yama Yönetimi kapsamında sistemde yapılacak değişiklikler Değişiklik Yönetimi’ne ( Change Management) uygun olarak gerçeklenmelidir. Bu sayede sistemde yapılacak değişiklikler için gerekli onayların alınması, gerekli kayıtların oluşturulması vb.mümkünolacaktır.
Teknik Açıklık Yönetimi, ilgili yönetici tarafından etkili ve verimli çalışıp çalışmadığının tespiti amacıyla periyodik olarak gözden geçirilmeli ve değerlendirilmelidir.

TESPİT EDİLEN VE YAMASI MEVCUT OLMAYAN AÇIKLIKLAR İÇİN ALINACAK TEDBİRLER
İlgili açıklık için herhangi bir yama yayınlanmamış ise aşağıdaki kontrollerden uygun olan seçilip uygulanabilir:
  1. Açıklıkla ilgili servis ya da yeteneklerin kapatılması
  2. İlave erişim kontrollerinin sisteme adaptasyonu ya da tanımlanması. Örneğin güvenlik duvarı, ağ sınırları vb. (Bknz: ISO IEC 27002 11.4.5)
  3. Monitörleme sistemlerinde ek önlemler ve tanımlamalar ile ilgili açıklığı kullanan saldırıların tespiti ve/veya önlenmesi.
  4. İlgili açıklık ile ilgili farkındalığı arttırmak. Örneğin eğitim vermek, duyuru iletileri vb.
Yukarıda belirtilen kontrollere ek olarak sistem için uygun görülen ek kontroller gerçeklenmesi mümkündür. Gerçeklenmesi planlanan kontrolün ilgili açıklığı uygun şekilde giderdiği/gerçekleşme olasılığını kabul edilebilir seviyeye düşürdüğü vb. test edilmelidir.

TEKNİK AÇIKLIK TAKİBİNDE KARŞILAŞILAN ZORLUKLAR
Teknik açıklık takibinde karşılaşılan başlıca zorluklar şu şekilde sıralanabilir:

Farkındalık yaratılması
Kurum personelinin, teknik açıklıklar ve bu açıklıkların doğurabileceği sonuçlar konusunda bilgilendirilmesi gerekmektedir. Ayrıca sistem sorumluları ve/veya atanmış teknik açıklık takibi sorumlusu; güncel açıklık takibinin önemini bilmeli ve gerekli önlemleri almalıdır. Ancak çoğu kurumda; personel bu eğitim/bilgilendirmeleri alamamakta ve teknik açıklıkların yaratabileceği sonuçları bilmemektedir.

Yama testi için gerekli özdeş sistem eksikliği
Üretici/geliştiriciler, bulunan açıklıklar ile ilgili yamayı en kısa sürede yayınlamak istemektedirler. Bu nedenle tüm sistemleri kapsayacak tutarlı yamalar, genellikle ilk yayınlanan yamalar olmamaktadır. Bu yamaların test edilmeden sisteme yüklenmesi çeşitli riskleri de beraberinde getirecektir. Bu riskleri azaltmak için yamalar gerçek sisteme en yakın test sistemi üzerinde test edilmeli ve ardından sisteme yüklenmelidir. Ancak bu özdeş sistemler maliyet açısından aşırı yük getirebildiğinden çoğu kurumda bulundurulmamaktadırlar.

Güvenilir teknik açıklık takibi yapılacak kaynağın az olması
Üretici/geliştirici duyurularına ek olarak çeşitli internet kaynağından bu açıklıkların takibinin yapılabilmesi mümkündür. Ancak takip edilen güvenilir kaynak sayısının göreceli olarak az olduğu söylenebilir. Bu nedenle takip edilmesi öngörülen kaynağın güvenilirliği öğrenilmeli, güncelliği periyodik olarak sorgulanmalıdır.

Üretici/geliştirici tarafından yamaların geç yayınlanması nedeniyle ihmal edilen ve gerekli kontrol önlemleri alınmayan açıklıklar
Üretici/geliştirici ilgili açıklık için yama çıkarma sürecini her zaman kısa tutamamaktadır. Dolayısı ile geçecek süre dahilinde sistem üzerinde gerekli kontroller tanımlanmalıdır. Bu sayede yama çıkana kadar geçecek sürede sistemde ilgili açıklığın doğuracağı risk kontrol altına alınabilecektir.

Yetkin personel
Kapsam içi her sistem için yama takibi yapmak için işgücü ayıracak bir yetkin personel mevcut olmayabilir.

SONUÇ
ISO/IEC 27001 BGYS gerçeklenmesi ve yaşatılması sürecinde en sık karşılaşılan sorunlardan biri olan farkındalık, teknik açıklık takibi konusunda da karşımıza çıkmaktadır. İş gücü yetersizliği, test platformu bulunmaması, açıklıkların kapatılması için gerekli yamaların üretici tarafından geç yayınlanması takip eden diğer problemler olarak sıklıkla karşımıza çıkmaktadır. Ancak problemlerin farkında olunması ve uygun kontrollerin sistemde gerçeklenmesi ile sistem risklerinin kontrol altında tutulması mümkündür.

Uygun değişiklik yönetimi ve risk yönetimi süreçlerine sahip kurumlarda güncellemeleri vakit kaybetmeden yapılan sistemlerin daha az risk altında olduğu tartışılmaz bir gerçektir. Bu nedenle teknik açıklık takibinin uygun şekilde yapılması ve sonrasında gerekli kontrollerin sistemde gerçeklenmesi, BGYS etkinliği için gereklidir.

Hiç yorum yok:

Yorum Gönder