YAKLAIMI
GAZ ÜNVERSTES
BLM ENSTTÜSÜ
NSAN 2010
GÜVENL YÖNETM SSTEM YAKLAIMI” adl bu tezin Doktora tezi olarak
uygun olduunu onaylarm.
Tez Yöneticisi
Bu çalma, jürimiz tarafndan oy birlii ile Elektronik ve Bilgisayar Eitimi
Anabilim Dalnda Doktora tezi olarak kabul edilmitir.
Bakan : Prof.Dr. A. Ziya AKTA
Üye : Prof.Dr. nan GÜLER
Üye : Prof.Dr. eref SAIROLU
Üye : Yrd.Doç.Dr. Attila BOSTAN
Bu tez, Gazi Üniversitesi Biliim Enstitüsü tez yazm kurallarna uygundur.
TEZ BLDRM
Tez içindeki bütün bilgilerin etik davran ve akademik kurallar çerçevesinde elde
edilerek sunulduunu, ayrca tez yazm kurallarna uygun olarak hazrlanan bu
çalmada orijinal olmayan her türlü kaynaa eksiksiz atf yapldn bildiririm.
(mza)
YAKLAIMI
güvenlik ihtiyacn birlikte getirmitir. Özellikle Avrupa ve Uzak Doudaki
kurum ve kurulular arasnda yaygnlaan ISO 27001 standardna uyumluluk
çalmalar bu konuda yüksek danmanlk ücretleri ödemeyi veya nitelikli
biliim personeli istihdamn zorunlu klmaktadr. Bu çalmada temel biliim
teknolojisi bilgisi ile ISO 27001 standardna uyumluluu salayabilmeye olanak
veren uzman sistem tabanl bir yazlm gelitirilmitir. Gelitirilen yazlmla
nitelikli eleman istihdam sknts içerisindeki iletmeler yüksek maliyetlerle
eleman istihdam etmek veya danmanlk satn almak zorunda
kalmayacaklardr.
anlalrl kolaylatrmakla beraber ISO 27001 standardna uyum için en az
yaplmas gerekenleri belirlemektedir.
ve farkl ba tetkikçiler tarafndan deerlendirilerek belgelendirilmeye
uygunluklar kantlanmtr.
Anahtar Kelime : Bilgi güvenlii yönetim sistemi, ISO 27001, Uzman
sistemler
vi
SYSTEM APROACH
(Ph.D. Thesis)
Cemal GEMC
GAZI UNIVERSITY
INFORMATICS INSTITUTE
April 2010
Information Technologies that are today becoming widespread in our country
have also brought some security needs. Efforts to conform to the ISO 27001
standard which are now spreading among the organizations particularly in
Europe and in the Far East require either public and private payment of
considerable fees to consulting firms or employing qualified IT staff. In this
study, an expert system based software has been developed which enables
conformance to the ISO 27001 standard by fundamental IT knowledge. By
using the developed software, it is expected that enterprises under distress due
to scarcity of qualified human resources need not employ highly-paid staff or
pay for high consulting fees.
Software that is been developed specifies the standards of compliance with ISO
27001 by simplifying complexity and making its comprehensibility easier.
vii
The results obtained have been implemented at various organizations for
accuracy and validity, and result assessed by various head auditors, and proved
to have conformed to the certification.
Science Code : 702, Computer and Control Technologies Education
Key Words : Information Security Management System, ISO 27001,
Expert Systems
viii
TEEKKÜR
Çalmalarm boyunca deerli yardm ve katklaryla beni yönlendiren Hocam Prof.
Dr. Ömer Faruk BAYa yine kymetli tecrübelerinden faydalandm hocalarm Prof.
Dr. nan GÜLER ve Prof. Dr. eref SAIROLUna, ayrca Bilgisayar Mühendisi
Erol SERBESTe manevi destekleriyle beni hiçbir zaman yalnz brakmayan sevgili
aileme ve bu çalma esnasnda isimlerini burada belirtmediim çalma
arkadalarma teekkürü bir borç bilirim.
ix
ÇNDEKLER
Sayfa
2.2. ISO 27001 Standardnn Yaps ................................................................. 14
2.2.1. BGYS nin kapsam ve snrlarnn belirlenmesi ........................... 14
2.2.2. BGYS politikas belirleme .......................................................... 14
2.2.3. Kuruluun risk deerlendirme yaklamn tanmlama ............... 15
2.2.4. Risklerin tanmlanmas ................................................................ 15
2.2.6. Risklerin ilenmesi için seçenekleri tanmlama ve
deerlendirme .............................................................................. 16
2.2.8. BGYSyi gerçekletirmek ve iletmek için yönetim
yetkilendirmesi edinme ............................................................... 17
2.2.10. Dokümantasyon gereksinimleri ................................................... 18
2.3. Uzman Sistemin Bilgi Güvenliinde Kullanm Üzerine Çalmalar ........ 19
3. METODLAR VE MATERYALLER ................................................................. 25
3.1. Yazlm Gelitirme Süreç Modelleri.......................................................... 25
3.1.2. Prototip model ............................................................................... 27
3.1.4. RUP (Rational Unified Process) model ......................................... 28
3.1.5. Timeboxing model ........................................................................ 30
3.2. Uzman Sistemler ....................................................................................... 33
3.2.1.1. Bilgi taban ...................................................................... 35
3.2.1.3. Bilgi gösterimi ................................................................. 37
3.2.1.4. Çkarm mekanizmas ...................................................... 39
3.2.1.5. Kullanc arabirimi ........................................................... 41
3.2.1.6. Açklama birimi ............................................................... 42
3.2.3. CLIPS (C Language Integration Production System) kabuu
(shell) ............................................................................................. 43
4.1. Uzman Sistem Yaklamnn ISO 27001 Bilgi Güvenlii Yönetim
Sistemine Uygulanmas ............................................................................. 45
5. BULGULAR VE YORUM ................................................................................ 66
xi
KAYNAKLAR .......................................................................................................... 77
EKLER ....................................................................................................................... 80
EK-2. Smart ISMS component diagram ............................................................ 82
EK-3. Smart ISMS activity diagram .................................................................. 83
EK-4. Smart ISMS class diagram-I.................................................................... 84
EK-8. Raporlar class diagram-I ........................................................................ 88
EK-9. Raporlar class diagram-II ........................................................................ 89
EK-10. Clips class diagram ................................................................................ 90
EK-11. DST Danmanlk ve Destek Hizmetleri Ltd. ti. ISO 27001 bilgi
güvenlii yönetim sistemi denetim raporu .......................................................... 91
EK-12. OSKO Yap Ltd.ti. ISO 27001 bilgi güvenlii yönetim sistemi denetim
raporu .................................................................................................................. 93
EK-14. Smart ISMS program kullanmna ilikin kullanc anketi ................ 100
EK-15. SMART ISMS program kullanmna ilikin kullanc anketi
sonuçlar ............................................................................................................ 102
ÖZGEÇM ...................................................................................................... 105
Çizelge 3.1. Varlk deerlendirme çizelgesi........................................................... 48
Çizelge 5.1. Smart ISMS kullanc anket seçeneklerine ait snrlar....................... 73
xiii
ekil 3.3. Extreme programming (XP) de i süreci ........................................... 32
ekil 3.4. XP de bir döngü ................................................................................. 33
ekil 3.5. Uzman sistem mimarisi .................................................................... 35
ekil 3.6. Bilgi mühendislii süreci ................................................................... 37
ekil 3.7. Uzman sistem tabanl BGYS yaklam mimarisi ............................. 46
ekil 3.8. Sequence diagram .............................................................................. 52
ekil 3.9. Smart ISMS ana penceresi ................................................................. 58
ekil 3.10. Açklamalar modülü .......................................................................... 59
ekil 3.11. Organizasyon oluturma penceresi .................................................... 60
ekil 3.12. Kapsam belirleme penceresi .............................................................. 60
ekil 3.13. Mevcut durum tespiti penceresi ......................................................... 61
ekil 3.14. Mevcut durum tespiti penceresi ......................................................... 61
ekil 3.15. Varlk envanteri penceresi ................................................................. 62
ekil 3.16. Varlk deerlendirme penceresi ......................................................... 62
ekil 3.17. Risk analizi penceresi ........................................................................ 63
ekil 3.18. Raporlar menüsü ................................................................................ 64
ekil 3.19. Fiziksel ve çevresel güvenlik raporu oluturma penceresi ................ 65
xiv
Bu çalmada kullanlm baz simgeler ve ksaltmalar, açklamalar ile birlikte
aada sunulmutur.
Simgeler Açklama
Ksaltmalar Açklama
(leri Aratrma Proje Ajans)
BSI British Standards Institude
COBIT Control Objectives for Information and Related
Technology
CLIPS C Language Integration Production System
( C Dili Entegrasyon Üretim Sistemi)
CSI Computer Security Institute
(Ticaret ve Endüstri Tekilat)
(Bilgi Güvenlii Yönetim Sistemi)
(Temel levsel Yapabilirlik Temel Ta)
HIPAA Health Insurance Portability and Account Act
(Salk Sigortasnn Tanabilirlii ve zlenebilirlii
Yasas)
PCI DSS Payment Card Industry Data Security Standard
(Kartl Ödeme Sistemlerinde Veri Güvenlii
Standard)
Konsorsiyumu)
1
sohbetlerde konuulabilir. Bilgi hangi ekilde olursa olsun, her zaman uygun olarak
korunmaldr.
Bir kuruluun bilgi sistemi; herhangi bir yönetim seviyesinde istenilen yer ve
zamanda bilgi salayan sistem olarak tanmlanabilir. Böyle bir sistem bilgisayar
sistemleri yardmyla bilgiyi alabilir, saklayabilir, bulabilir, farkl ekle sokabilir,
ileyebilir ve iletebilir [1].
Bilgi önceki zamanlarda söylendii gibi güç olmaktan çkm günümüzde bir varlk
halini almtr. Bilgi ve destek süreçleri, sistemler ve bilgisayar alar önemli ticari
varlklardr. Bilginin gizlilii, güvenilirlii ve elverililii; rekabet gücünü, nakit
akn, karll, yasal yükümlülükleri ve ticari imaj korumak ve sürdürmek için
zorunlu ve gerekli olabilir. Giderek iletmeler ve sahip olduklar bilgi sistemleri ve
alar bilgisayar destekli sahtekârlk, casusluk, sabotaj, ykclk, yangn ve sel gibi
çok geni kaynaklardan gelen tehdit ve tehlikelerle kar karyadrlar. dünyasnda
biliim teknolojilerinin younlukla kullanlmasyla birlikte bilgisayar virüsleri,
bilgisayar korsanlar ve hizmet saldrlar gibi ykc kaynaklar daha yaygn, daha
hrsl ve daha karmak hale gelmeye balamtr. Bilgi sistemlerine ve hizmetlerine
bamllk, iletmelerin güvenlik tehditlerine kar daha savunmasz olduu anlamna
gelmektedir. Genel ve özel alarn birbiriyle balants ve bilgi kaynaklarnn
paylam, eriim denetimini oluturmadaki zorluklar arttrmaktadr. Datlm bilgi
ileme olan eilim, merkezi uzman denetimin etkinliini zayflatmtr.
Bilgi sistemleri henüz yeterli güvenlik seviyesinde tasarlanmamtr. Teknik
olanaklar araclyla ulalabilen güvenlik snrldr ve uygun yönetim ve
yöntemlerle desteklenmelidir. Hangi denetimlerin yer alacann tanmlanmas,
özenli planlamay ve detaylara dikkati gerektirir. Bilgi güvenlii yönetimi tüm
iletme çalanlarnn katlmn gerektirir. Ayn zamanda tedarikçilerin, müterilerin
2
gereklerinde birletirilirse çok daha ucuz ve etkili olur.
Günümüzde sadece çalanlaryla deil, müteri, i ortaklar ve hissedarlaryla
birlikte tanmlanan organizasyonlarda, bilginin gizlilii, bütünlüü ve
eriilebilirliine ilikin güven ortamnn yaratlmas, organizasyonun süreklilii için
önem tamaktadr.
“Bilgisayar Suçlar ve Güvenlik Gözlemi” (Computer Crime and Security Survey)
nin 2009 yl raporunu özetlersek [2];
Gözlem çalmasna rastgele seçilen kamu ve özel sektörden toplam 443 kurum ve
kuruluun bilgi güvenlik personeli katlmtr. Bu kurum ve kurulularn
kullandklar bilgi güvenlik teknolojileri Çizelge 1.1 de gösterilmitir.
3
bilgi güvenlik teknolojileri ve kullanm oranlar.
Kullanlan teknolojiler Kullanm oran
Firewalls 97,9 %
Smart cards and other one-time tokens 32,6 %
Specialized wireless security systems 32,3 %
Static account / login passwords 42,4 %
Virtualization-specific tools 32 %
Web / URL filtering 60,4 %
ve kurulularn güvenlik açklarndan dolay ylda ortalama 285.000 USD para
kaybna uradklar gözlem raporunda ifade edilmektedir.
4
ngiltere de Department for Business, Innovation and Skills -BIS (, Yenilik ve
Beceri Tekilat) tarafndan Ekim 2007 ile Ocak 2008 tarihleri arasnda 1007 küçük
ve orta ölçekli iletme üzerinde yaplan anketin sonuçlarna göre bu ticari
kurulularn yl içerisinde yaadklar en kötü bilgi güvenlii vakasndan kurtulmak
için ortalama 10.000£ ile 20.000£ harcama yaptklar, bu harcamalarn büyük ticari
kurulularda ise 90.000£ ile 170.000£ olduu, bilgi güvenlii açklarnn meydana
getirdii olaylar azaltmann en etkin yolunun bilgi güvenlii standartlarn
uyumluluun yaygnlatrlmas ve bilgi güvenlii farkndalk eitimlerine yatrm
yaplmas olduu belirtilmektedir [3].
Bu raporlarn da açkça ortaya koyduu gibi güvenlik açklarndan dolay kurum ve
kurulular ciddi maddi kayplara uramaktadrlar. Biliim teknolojilerinde gelimi
ülkelerde bilgi güvenlii kayplar muhtelif ekillerde ölçülmekte, sonuçlar
yaynlanmakta ve alnmas gereken önlemler devlet tarafndan tavsiye edilmektedir.
Bilgi güvenlii konusunda dünyadaki çalmalara bakldnda ülkelerin ve
sektörlerin farkl uygulamalarda bulunduklar gözlemlenmektedir. ABD de bilgi
güvenlii ile ilgili kanunlar çkarld ve ilgili sektörlerin bu kanuni yükümlülükleri
yerine getirmelerini belgelendirmeleri istenmektedir. ABD de ki Bilgi güvenlii ile
ilgili yasalar ve Avrupa Birlii ülkelerince kabul gören standartlar ksaca
özetlenirse;
Serbane-Oxley Act (SOX): 2002 Enron olayndan sonra ABDde ivedilikle çkarlm
bir yasadr [4]. Bu yasann amac borsaya açk irketlerin açkladklar bilgilerin
doruluu ve güvenilirliini salayarak yatrmclar korumaktr. Bu kanuna göre
irket yöneticileri ve yönetim kurulu üyeleri finansal raporlar hazrlanrken, yeterli iç
denetimleri ve prosedürleri oluturduklarn ve uyguladklarn belgelendirmeleri
gerekmektedir. Bu konulara uymayan irket yöneticilerine yasa, hapis cezas
öngörmektedir.
güvenlii, bütünlüü ve kiiye özel olmasn korunmak için düzenlemitir [5].
Finansal kurulularn yüksek güvenlik bilincinin dier endüstri kurulularndan daha
5
fazla olmas tarihten beri bilinmektedir. GLBA, bankalar, sigorta irketleri, güvenlik
firmalar, mali müavirleri ve kredi kart irketlerini ilgilendirmektedir. GLBA „e
göre bu irketler Temmuz 2002 den önce bu kanuna uyumluluklarn tamamlamak ve
yürütmeden sorumlu tarafca denetlenip uyumluluklarn belgelendirmek
zorundadrlar. GLBAe göre finans kurulular, yönetici ve yönetim kurulununda
dahil bulunduu risk temelli bilgi güvenlii program gelitirmeli, tehditlerin risk
deerlendirmesi yaplmal, risk yönetimi ve kontrolleri yöneterek gerekli önlemleri
almal ve yönetim kuruluna rapor etmelidir.
Health Insurance Portability and Accountability Act (HIPAA): HIPAA salk hizmeti
salayan kurulularn uymas gereken kurallar açklar. Bu kurallar salk hizmeti
veren kurulularn kanunun istedii raporlar oluturan bilgilerin salanmas ve bu
bilgilerin korunmasn zorunlu klmaktadr. HIPAA uyumluluunu salamak için
irketler bilgilerini muhtemel tehditlere kar korumak, bütünlüünü salamak,
yetkisiz kullanlmalarn, ortaya çkmalarn önlemek zorundadrlar. Bunun yannda
kurum çalanlarnn yetkin ve güvenli olduklarnn salanmas gereklidir. Salk
hizmeti veren kurulular bütün bunlar gerçekletirebilmek için; eriim kontrolü,
konfigürasyon kontrolü, zararl yazlm tespiti, politika yaptrm, kullanc takibi ve
yönetimi, çevre ve haberleme güvenliini salamakla yükümlüdürler [6].
Payment Card Industry Data Security Standard (PCI DSS) : Kartl ödeme
sistemlerinde veri güvenliini salamak amacyla uluslararas kabul görmü ödeme
markalar olan American Express, Discover Financial Services, JCB International,
MasterCard Worldwide ve Visa Inc. International kurumlarnca oluturulmu PCI
Komitesi tarafndan gelitirilmitir.
PCI DSS, kartl ödeme sistemlerinde yeralan kurum ve kurulularda bilgi güvenliini
salamak için bilgi sistemlerinde bilgi iletimini, bilgi ileyiini ve bilgi depolamay
esas alan 6 temel kriter baz alnarak oluturulmu 12 gereksinim kategorisi ve bu
kategorilerin altnda yer alan 200ün üzerindeki kontrolden olumaktadr [7].
6
(Information Systems Audit and Control Association) ve ITGI (IT Governance
Institute) tarafndan 1996 ylnda gelitirilmi, Bilgi Teknolojileri Yönetimi için en
iyi uygulamalar kümesidir.
teknolojileri alt yaplarn da etkin kullanmay salar [8].
ISO IEC 27001 Information Security Management Systems (ISMS) : Avrupa ve Uzak
Dou da ise ngiltere de British Standart Institude un balatt çalma sonucu ortaya
çkan ve International Standart Institude tarafndan da standart olarak kabul edilen
ISO 27001 standard günden güne yayglaan bir standarttr. Yaygn pratik
uygulamalardan oluturulmutur. Kurum ve kurulularda bilgi güvenlik
yöneticilerine çepeçevre kontrol salar.
kullanabilecei uzman sistem tabanl, ISO 27001 standardnn gerekliliklerini
karlayacak ve uyumluluk belgelendirmesi için zorunlu dokümanlarn üretmesini
gerçekletirecek bir yazlm gelitirmektir.
Bu konuda yaplan benzer çalmalar içerisinde BGRA risk analiz yöntemi
incelenmitir ancak gelitirilen yazlmda kullanlmamtr [12]. Bu çalmada risk
analiz yöntemi olarak ISO 27005 standardn dan bir yöntem seçilmitir [38].
Bullen, Brezilya da yapm olduu çalmada KOB lerin snrl insan gücü ve
finansal kaynak kullanabilmeleri nedenleriyle güvenlik kstlamalardan en çok
etkilenen kesim olduunu ve Brezilya için d kaynak kullanmann en uygun yöntem
olduunu vurgulamaktadr [13].
7
Qingxiong Ma ile J. Michael Pearsonun birlikte yapm olduklar çalmada
organizasyonlar için bilgi varlklarn korumak için birçok standart bulunduu,
bunlarn arasnda ISO 17799 en güvenilir uluslararas bilgi güvenlii standard
olduunu belirtmiler ve istatistiksel yöntemlerle kantlamlardr [14].
Uzman sistem kullanan bilgi güvenlii araçlar incelendiinde genellikle uzman
sistemlerin risk deerlendirme araçlarnda kullanldklar görülmektedir. RiskPac
özellikle ABD kamu sektöründe ve birçok özel sektör firmas tarafndan kullanlan
bir araçtr. RiskPack kullancya sorular yönelterek yantlar alr ve uzman sistem
bilgi tabannda deerlendirerek varlklarn risk analizini yapar [20].
Octave ise kuruluun i çevresine göre kritik varlklarn ve tehditlerini tespit eder,
tehditlere neden olabilecek zafiyetleri belirler ve zafiyetlere kar bir koruma
stratejisi gelitirir. Octaven tüm süreçlerinde bilgi taban kullanlmaktadr [21].
Uzman sistem tabanl risk deerlendirme araçlar olan RiskPac ve Octave ISO
27001, HIPAA, SOX, InfoSec, Cobit gibi risk deerlendirme gereksinimi olan
uyumluluk denetimlerinde sklkla kullanlmtr.
Bu tez çalmasnda tehditlere yönelik korumalarn seçilmesinde ve ISO 27001
dokümantasyonunun hazrlanmasnda uzman sistem kullanlmtr. Uzman
sistemlerin ISO 27001 kurulumu ve dokümantasyon hazrlanmasnda kullanlmas
literatürde bulunmamaktadr.
Bu tez çalmasnda Türkiye de yaygn olarak kullanlan Microsoft Office
uygulamalar ile entegre olabilen ve Nesneye Yönelik bir yazlm gelitirme
platformu olan Microsoft .NET C# yazlm gelitirme ortam olarak seçilmitir. Veri
taban olarak Microsoft SQL Express Edition kullanlmtr. Yazlm gelitirme
modeli olarak Nesneye Yönelik yazlm gelitirmeye uygun olan RUP (Rational
Unified Process) Model seçilmi tüm modelleme UML ile gerçekletirilmitir.
8
Uzman sistem gelitirilirken kabuk program kullanlmtr. Uzman sistem kabuk
program olarak Microsoft .NET platformu için gereken .dll leri bulunan ve ileri
zincirlemeyi destekleyen CLIPS kabuk program tercih edilmitir.
Bu tez çalmas alt bölümden olumaktadr. Birinci giri bölümünde yaplan
çalmann hedefleri, literatür aratrmasnn özeti, metod ve materyaller
özetlenmektedir. kinci bölümde, “Bilgi Güvenlii” bal altnda bilgi güvenliinin
tarihi, bilgi güvenlii standartlar, ISO 27001 standartnn ayrntlar ve detayl
literatür taramas anlatlmtr. Üçüncü bölümde metot ve materyaller anlatlmtr.
Dördüncü bölümde tasarm ve gerçekletirmenin nasl yapld anlatlmtr.
Bulgular ve yorum bal ile beinci bölümde çalmann sonucunda elde edilen
bulgular yorumlanmtr. Altnc ve son bölüm olan sonuçlar bölümünde ise
çalmann sonuçlar irdelenmitir.
Bilgisayar çann balamasyla birlikte donanmlar, mainframe bilgisayarlar olarak
görünmeye balad. Büyük sistemler odalar kaplyordu. Yazlmclar bu büyük
sistemlere komutlarn delikli kartlar yardmyla yaptryorlard. Bu zamanlarda yerel
alan alar henüz yoktu ve bu mainframeler izole olarak çalmaktaydlar. Bu
sistemler arasnda iletiim manyetik teybe kopyalanm verilerin dier sisteme
aktarlmas ile mümkün oluyordu. Bu nedenle sistemlerin ve manyetik teyp
medyalarnn fiziksel güvenlii bilgi güvenliini oluturmakta idi dier bir deyile
bilgi güvenlii fiziksel güvenlik ile özde halde idi.
1960 l yllarda mainframeler gittikçe yaygnlayor ve souk savan etkisiyle askeri
alanlarda çounlukla kullanlyordu. Zamanla, bu sistemlerde yaplan iler kritik
olmaya ve fiziksel olarak farkl yerlerde bulunan sistemlerden bilgi ak zorunlu
olmaya balad. Artk manyetik teyplerin postayla gönderilmesi yeterli olmuyordu.
Bu durumu anlayan Department of Defense's Advanced Research Project Agency
(ARPA) ARPANET adnda bir projenin finansmann salad. Bu projenin hedefi
farkl yerlerdeki mainframeler arasnda güvenilir, salam, veri akn salayacak
network yapsnn salanmasyd. Bugünkü internetin habercisi olan ARPANET ilk
kez uzak bilgisayarlarn saklad verileri ileme olana salad.
Bilgisayarlara uzaktan eriim bilgi güvenliinin fiziksel güvenlik ile özde olduu
düüncesini sona erdirdi. ARPANETin kullanmnn arttkça birçok güvenlik
açnn olduu ortaya çkt. Uzak bilgisayarda bilgi güvenlii politikalar yetersizdi,
bazen de hiç yoktu. Standartlarn ve formatlarn zayf uygulanmasndan dolay
parolalarn krlmas kolayd. Uzak siteye telefonla ulamay yönetmek zordu çünkü
eriim numaralar çou kez korumaszd. Bilgisayar sistemlerine saldrlar sradan
olmaya balad. Öyle ki 1980 lerin ortalarnda Los Alamos National Laboratory, the
Memorial Sloan-Kettering Cancer Center, AT& T, ve Department of Defense
saldrlar halk tarafndan çok iyi biliniyordu. Bu dönemde en büyük saldrlardan
10
birisi network de dolaan, Unix sistemlerde güvenlik açklarn ortaya çkaran ve
yeniden dolamas için kendisini kopyalayan bir solucan idi. Bu saldr o dönemdeki
sistemlerin yaklak 1/10 „u olan 6000 sisteme ayn anda yayld.
Gittikçe büyüyen bu sorunlara tepkiler birçok çevreden farkl forumlarda geldi. 1970
lerin banda de Department of Defense (Savunma Bakanl) Rand Report R-609
olarak da bilinen “Bilgisayar Sistemleri için Güvenlik Kontrolleri” balkl bir rapor
yaynlad. Birçok bakmdan bu rapor bilgi güvenliinin ilk tohumlar saylmaktadr.
Rand raporu bilgi güvenlii konusunu sadece donanmn fiziksel güvenliinden farkl
olarak; veri, kullanc ve altyap güvenlii konularn da ele almas bakmndan
önemli idi. Rapor bilgi varlnn öneminin tannmas, kullanc yetkilerinin bu
varln güvenliini salamada en önemli unsur olduunu ve bütün bunlarn anlk
tepkilerle deil kapsaml, çok seviyeli kurumsal bir planda ele alnmas gerekliliini
vurgulamas ile Rand Report bugünkü bilgi güvenlii disiplininin filozof isini
oluturmaktadr.
Güvenlik bakndaki deiiklikler uygulamalarda da deiiklikleri getirdi. Örnein,
1960 larn sonunda ortaya çkan ilk iletim sistemi güvenlik konusunu ilk öncelikli
olarak dikkate alan bir yapda tasarlanmt. letim sisteminin ad “Multiplexed
Information and Computer Service” veya ksaca MULTICS ilk kez güçlü parola
koruma ve birçok güvenlik seviyelerinde yetkilendirme salamaktayd. lginç olan
konu MULTICS projesine katkda bulunan kiilerin gelitirdii UNIX iletim sistemi
1970 lerde ilk çktnda bu özelliklere sahip deildi zamanla bu özellikler UNIX
iletim sistemine ilave edildi.
1980 lerde kiisel bilgisayarlarn artan kullanmyla güvenlik konusu daha da önem
kazand. Kiisel bilgisayarlar insanlarn çalma masalarnda ve hatta evlerinde
kullanlmaya baland. Bu balangç küçük yerel alan alarna balanmay ve daha
sonra global internete balanmay salad. Örümcek a gibi oluan güvenli veya
güvenliksiz networkler açk veya gizli bir ekilde baka bilgisayarlardaki bilgilere
erime çabalarn beraberinde getirdi. Zafiyetler internet kaynaklarndaki bilgilere
eriimi ve paylam daha da kolaylatrd. 1990 larn balarnda grafik web
11
browserlarn kullanm, network kullanm kolaylklar ve iletim sistemlerinde grafik
kullanc arayüzleri moda iler olmakla beraberinde acemi kullanclarn bilgilerinin
tüm dünyaya açmalarna ve merakl hackerlarn da birçok araç gelitirmelerine ve bu
araçlarla tecrübe kazanmalarna neden oldu. Bu araçlar korunmasz veya zayf
korumal sistemlerle ve networklerde bulunmakta ve zafiyetlerde ortaya
çkmaktadrlar. Bu süreç ARPANET in kurulumundan günümüze artarak devam
etmektedir.
yönetim sisteminin kurulmas ile mümkün olabileceinin anlalmasyla birlikte tüm
dünyada farkl gruplar tarafndan çalmalar balamtr. Avrupa da ve Uzak Dou da
yaygn olarak kullanlan ISO 27001 standard ilk olarak ngiltere de ortaya çkt.
1992 ylnda ngiltere de Ticaret ve Endüstri Bakanlnn “The Department of Trade
and Industry (DTI)” önderliinde belli bal kurum ve kurulularn biliim uzmanlar
bir araya gelerek güvenlik tecrübelerini aktardklar “Code of Practice for
Information Security Management” hazrladlar. 1995 ylnda bu doküman üzerinde
deiiklikler yaplarak British Standards Institude (BSI) tarafndan BS7799 ad ile
yeniden ngiliz Standard olarak yaynland. 1996 ylnda ilk destek ve uyumluluk
arac COBRA adyla pazarland. 1999 ylnda BS7799 un ilk deiiklik versiyonu
temel deiikliklerle yaynland. BSI ilk sertifikasyon makam oldu. 2000 ylnda
BS7799 yeniden ISO/IEC 17799:2000 adyla ISO standard olarak yaynlad. 2001
ylnda ISO 17799 toolkit piyasaya sürüldü. 2002 ylnda standardn ikinci bölümü
BS7799-2:2002 yaynland. kinci bölüm pratik uygulamalar yerine Bilgi Güvenlii
Yönetimi tanmlamasyd ve ISO standartlar formasyonunda idi.
15 Haziran 2005 tarihinde ISO/IEC 27002 (2005) Information technology -- Security
techniques -- Code of practice for information security management standard
yaynlanarak ISO/IEC 17799 (2000) standardnn yerini ald. 14 Ekim 2005 tarihinde
ISO/IEC 27001 (2005) Bilgi Güvenlii Yönetim Sistemi (Information security
management systems) standard uluslararas bir standart olarak yaynland. Bilgi
Güvenlii Yönetim Sistemi konusunda yaynlanm olan bu standart yaym
tarihinden itibaren, BS 7799-2 (2002) nin yerini almtr.
12
ISO/IEC 27000 (2009) Information technology -- Security techniques -- Information
security management systems -- Overview and vocabulary (Bilgi Teknolojileri-
Güvenlik Teknikleri-Bilgi Güvenlii Yönetim Sistemi-Genel ve Terimler).
ISO/IEC 27001 (2005) Information technology -- Security techniques -- Information
security management systems – Requirements (Bilgi Teknolojileri-Güvenlik
Teknikleri-Bilgi Güvenlii Yönetim Sistemi-Gereksinimler).
practice for information security management (Bilgi Teknolojileri-Güvenlik
Teknikleri-Bilgi Güvenlii Yönetim Sistemi için Pratik Uygulamalar).
ISO/IEC 27003 (2010) Information technology -- Security techniques -- Information
security management system implementation guidance (Bilgi Teknolojileri-Güvenlik
Teknikleri-Bilgi Güvenlii Yönetim Sistemi için Uygulama Rehberi).
ISO/IEC 27004 (2009) Information technology -- Security techniques -- Information
security management – Measurement (Bilgi Teknolojileri-Güvenlik Teknikleri-Bilgi
Güvenlii Yönetim Sistemi-Ölçme).
security risk management (Bilgi Teknolojileri-Güvenlik Teknikleri-Bilgi Güvenlii
Yönetim Sistemi Risk Yönetimi).
Requirements for bodies providing audit and certification of information security
management systems (Bilgi Teknolojileri-Güvenlik Teknikleri-Denetim ve Sertifika
Salayclar için Gereksinimler).
information security management systems auditing (Bilgi Teknolojileri-Güvenlik
Teknikleri-Bilgi Güvenlii Yönetim Sistemi Denetimi için Rehber). (Henüz
yaynlanmad).
ISO/IEC WD 27008 Guidance for auditors on ISMS controls (Denetçiler için BGYS
kontrolleri Klavuzu) (Henüz yaynlanmad).
yaynlanmad).
Information security management guidelines for telecommunications organizations
based on ISO/IEC 27002 (Bilgi Teknolojileri-Güvenlik Teknikleri-Telekomünikasyon
kurulular için ISO 27002 ye göre Bilgi Güvenlii Yönetimi Rehberi).
Bilgi Güvenlii Yönetim Sistemi (BGYS) tüm yönetim sisteminin ticari risk
yaklam, gerçekletirme, iletme, gözlemleme, idame ettirme ve gelitirmeye dayal
bir parçasdr. Yönetim sistemi organizasyon, kurulu yaps, politikalar, planlanan
faaliyetler, sorumluluklar, prosedürler ve kaynaklar kapsar. Bilgi güvenliini
kapsam organizasyonun ve organizasyondaki bilgi kaynaklarnn büyüklüüne
baldr. Bilgi güvenlii organizasyonun iletme ve i kültürünün tümleik bir parças
olmaldr. Bilgi güvenlii teknik bir konu olmaktan ziyade temelde yönetimin
konusudur. Bilgi güvenlii bir kez yaplacak bir i olmayp süreklilik gerektirir.
Günümüzde bilgi güvenliini ihmal ederek faaliyetini sürdüren baarl hiçbir
organizasyon bulunmamaktadr. Bilgi güvenlii için iyi seçilmi yönetim sistemi
kontrolleri, düzgün bir ekilde uygulandnda organizasyonun baarsna olumlu
katklarda bulunurlar [10].
2.2. ISO 27001 Standardnn Yaps
ISO 27001 13 ana balk altnda 133 tane kontrol maddesi bulundurur. Bu kontrol
maddelerinin uygulanmas ve zorunlu dokümantasyonun standardn istedii ekilde
hazrlanmas belgelendirme için bir zorunluluktur. ISO 27001 standardnn bölümleri
aada standartdan özetlenmitir [11].
2.2.1. BGYS nin kapsam ve snrlarnn belirlenmesi
Kuruluun ana faaliyet konusuna uygun olarak BGYS kapsamnn ve kapsam dnda
kalan faaliyetlerinin belirlenmesi gerekmektedir. Kapsam belirlenirken kuruluun
müteri ve tedarikçilerine ait bilgilerinden kurulu tarafndan yaratlan, kullanlan,
gönderilen ve bulundurulan bilgi varlklarnn ileyen, kullanan, gönderen ve
bulunduran kurulu birimleri mutlaka kapsam içerisinde yer almaldr. Müteri
bilgilerini dorudan kullanan birimler dndaki birimler, ilgili birimler olarak
deerlendirilmelidirler. Eer d kaynak hizmet veya ürün alm yaplyorsa d
kaynak salayclar ise kurulu dnda ilgili taraflar olarak deerlendirilmelidir.
2.2.2. BGYS politikas belirleme
özelliklerine göre bir BGYS politikas tanmlamaldr.
ISO 27001 standardna göre bilgi güvenlii politikas aadaki özelliklere sahip
olmaldr:
i. Kurulu bilgi güvenlii ile ilgili olarak hedeflerini ortaya koyan için bir
çerçeve belirlemeli, prensiplerini ortaya koymal ve bilgi güvenliine ilikin bir
eylem için kapsaml farkndalk yaratmal,
ii. ve yasal ya da mevzuat gerekleri ve sözlemeye ilikin güvenlik
yükümlülüklerini dikkate almal,
15
iii. BGYS kurulumu ve sürdürülmesinin yer alaca stratejik kurumsal ve risk
yönetimini düzenlemeli,
v. Yönetim tarafndan onaylanmaldr.
Kurulu organizasyonunun büyüklüüne ve bilgi varlklarnn çokluuna, BGYSye
ve tanmlanm i bilgisi güvenliine, yasal ve düzenleyici gereksinimlere uygun bir
risk deerlendirme metodolojisi (risk deerlendirme yaklam) belirlemelidir.
Riskleri kabul etmek için kriterler gelitirme ve kabul edilebilir risk seviyelerini
tanmlanmaldr.
2.2.4. Risklerin tanmlanmas
sahiplerini belirler.
BGYS kapsamnda belirlenen varlklar için var olan tehditler belirlenir. Tehditler
belirlenirken varln türü ve yaps göz önüne alnmaldr. Bu tehditlere neden
olabilecek zafiyetler (açklklar) tanmlanmaldr.
deerleri belirlenir. Varlk deeri yüksek varlklar daha çok korunmas gereken
varlklardr.
16
i. Varlklarn gizliliine, bütünlüüne ya da eriilebilirliine ilikin oluan
kayplarn olas sonuçlarn dikkate alarak, güvenlik önlemlerinin eksikliinden
kaynaklanabilecek, kurulu üzerindeki i etkileri deerlendirilir.
ii. Mevcut tehditler ve zafiyetler ve bu varlklarla ilikili etkiler nda oluan
güvenlik baarszlklarnn gerçekçi olasln ve gerçekletirilen mevcut
kontroller deerlendirilir.
iii. Risk seviyeleri belirlenir.
iv. Risklerin kabul edilebilir mi olduunu yoksa riskleri kabul etmek için
belirlenen kriterler kullanlarak iyiletirme mi gerektirdiini belirlemek.
2.2.6. Risklerin ilenmesi için seçenekleri tanmlama ve deerlendirme
Varlklara yönelik tehditlerin yarataca riskleri yok etmek veya azaltmak için uygun
kontroller uygulanr.
bilerek ve nesnel olarak risklerin kabul edilmesi,
Risklerden kaçnma ve ilikili i risklerini dier taraflara, örnein, sigorta
irketlerine, tedarikçilere aktarlmas ile riskler azaltlr.
Risklerin ilenmesi için kontrol amaçlar ve standardn uygun kontrollerini seçme.
Kontrol amaçlar ve kontroller, risk deerlendirme ve risk ileme süreçlerince
tanmlanan gereksinimleri karlamak için seçilmeli ve gerçekletirilmelidir.
ISO 27001 Standardnn EK-A snda listelenen kontrol amaçlar ve kontroller geni
kapsaml deildir ve ek kontrol amaçlar ve kontroller seçilebilir.
17
Risk yönetiminde hedef riskleri yok etmek veya azaltmaktr ancak riskleri azaltmak
parasal kaynak gerektirir bu nedenle alnacak önlemler projelendirilir ve bütçelenir.
Bu esnada risklerin dourabilecekleri tehlikeler aikardr ve yönetimin belirlemi
olduu risk seviyesinin üzerinde bulunan risklere artk risk denilmekte ve yönetimin
onayna sunulmaktadr.
edinme
BGYS kurucak kurum ve kurulu BGYS yi gerçekletirmek üzere insan kaynaklar
görevlendirmesi ve bu personeli yetkilendirmesi gerekir. BGYS sorumlular kurum
ve kurulularn en üst yetkilisi tarafndan yetkilendirilir ve yetkilendiren yetkili adna
BGYS deki görevlerini yerine getirir.
2.2.9. Uygulanabilirlik bildirgesi hazrlama
kontrollerin hangilerinin uygulandn, uygulanmayan var ise neden
uygulanmadnn açkland bir dokümandr. Uygulanabilirlik bildirgesinin
hazrlanmas bir zorunluluktur.
i. Seçilen kontrol amaçlar ve kontroller ve bunlarn seçilme nedenleri,
ii. Mevcut gerçekletirilmi kontrol amaçlar ve
iii. ISO 27001 Standardnn EK-A sndaki kontrol amaçlar ve kontrollerden
herhangi birinin darda braklmas ve bunlarn darda braklmasnn
açklamas.
18
kararlar ve politikalarna izlenebilir olmasn salamal ve kaydedilen sonuçlarn
yeniden üretilebilir olmasn salamaldr.
Seçilen kontrollerden geriye doru risk deerlendirme ve risk ileme süreçlerinin
sonuçlarna ve sonra da en geride BGYS politikas ve amaçlarna olan ilikiyi
gösterebilmek önemlidir.
i. BGYS politikas (ISO 27001 Madde 4.2.1b) ve kontrol amaçlarnn
dokümante edilmi ifadeleri,
iv. Risk deerlendirme metodolojisinin bir tanm (ISO 27001 Madde 4.2.1c),
v. Risk deerlendirme raporu (ISO 27001 Madde 4.2.1c- 4.2.1g),
vi. Risk ileme plan (ISO 27001 Madde 4.2.2b),
vii. Kurulu tarafndan, bilgi güvenlii süreçlerinin etkin planlanlanmasn,
iletilmesini ve kontrolünü salamak için ihtiyaç duyulan dokümante edilmi
uygulama esaslar (prosedürler) ve kontrollerin etkinliinin nasl ölçüleceini
tanmlama (ISO 27001 Madde 4.2.3c)).
viii. Bu standard tarafndan gerek duyulan kaytlar (ISO 27001 Madde 4.3.3) ve
ix. Uygulanabilirlik Bildirgesi.
süreçlerinin ve uygulama esaslarnn aadakileri gerçekletirip gerçekletirmediini
belirlemek için planlanan aralklarda yaplmaldr:
19
i. Bu standardn gerekleri ve ilgili yasa ya da düzenlemelere uyum,
ii. Tanmlanan bilgi güvenlii gereksinimlerine uyum,
iii. Etkin olarak gerçekletirilip sürdürüldüü,
iv. Beklendii gibi ileyip ilemedii.
Bir denetleme program, bir önceki denetim sonuçlarnn yan sra denetlenecek
süreçlerin ve alanlarn durumu ve önemi dikkate alnarak planlanmaldr. Denetim
kriterleri, kapsam, sklk ve yöntemler tanmlanmaldr. Denetmenlerin seçiminde ve
denetimlerin gerçekletirilmesinde, denetim sürecinin nesnel ve tarafsz olarak
ilemesi salanmaldr. Denetmenler kendi çalmalarn denetlememelidirler.
Denetimlerin planlanmas ve gerçekletirilmesindeki ve sonuçlarn raporlanmas ve
kaytlarn tutulmasndaki (ISO 27001 Madde 4.3.3) sorumluluklar ve gereksinimler,
dokümante edilmi bir prosedür içinde tanmlanmaldr.
Denetlenen alandan sorumlu olan yönetim, saptanan uygunsuzluklarn ve bunlarn
nedenlerinin giderilmesi için, gereksiz gecikmeler olmakszn önlemlerin alnmasn
salamaldr. zleme faaliyetleri, alnan önlemlerin dorulanmasn ve dorulama
sonuçlarnn raporlanmasn (ISO 27001 Madde 8) içermelidir.
2.3. Uzman Sistemin Bilgi Güvenliinde Kullanm Üzerine Çalmalar
Bilgi güvenlii konusunda yaplan çalmalar incelendiinde;
2003 ylnda Gebze leri teknoloji Enstitüsü Bilgisayar Mühendislii Ana Bilim
Dalnda yaplan “Bilgi Güvenlii Risk Analizi (BGRA) Yöntemi” konulu yüksek
lisans tezinde, risk analizi süreçleri içerisinde kullanlan matematiksel ve istatiksel
metodlar ile risk analiz yöntemleri anlatlarak bilgi güvenlii risk analizi için yeni bir
yöntem önerilmitir [12]. “Bilgi Güvenlii Risk Analizi” olarak isimlendirilen bu
yöntem, günümüz deien ihtiyaçlarna cevap vermek üzere tasarlanm hem nitel
hem nicel araçlar kullanan bir risk analizi yöntemidir. Bilgi güvenlii risk analizi
sürecine kurum yöneticilerinin ve kurum çalanlarnn da katlmn salayan,
20
temel olarak benzetim ve anket süreçlerini kapsar.
BGRA yöntemi üç ana admdan oluur. lk admnda riske yol açan bilgi güvenlii
sorunu, belirlenmi kurallar çerçevesinde ortaya konur. kinci admda, bilgi güvenlii
sorunu için risk modeli kurulur ve model üzerinde benzetim çaltrlr. Bu aamada
BGRA yönteminin riski ifade etmek için kulland dier bir metot da durum analizi
anketidir. Her iki yöntemin sonucunda risk miktar ortaya konur. Üçüncü admda ise
benzetim ve anket sonuçlar yorumlanr ve risk kontrolü için uygun öneriler getirilir.
“Security in Brasil: Modelling and Predicting Outsourcing Decisions” konulu
doktora tezinde James Bullen, günümüzde güvenlik gereksinimlerinin internet ve
bilgi teknolojilerinin kullanmn kstladn ve özelliklerde KOB lerin snrl insan
gücü ve finansal kaynak kullanabilmeleri nedenleriyle güvenlik kstlamalardan en
çok etkilenen kesim olduunu vurgulamakta, KOB ler için biliim güvenliini d
kaynaktan salamann (outsource) en uygun yöntem olduunu, biliim güvenliini
outsource etmi 420 KOB ler üzerinde yapm olduu gözlem çalmasnn
sonuçlarn Logistic regression analysis metodu kullanarak KOB lerde d kaynaktan
salamann en uygun yöntem olduunu kantlamtr [13].
Missouri State Universitesi Bilgi Sistemleri bölümünden Qingxiong Ma ile Southern
Illinois Universitesi letme bölümünden J. Michael Pearson„un birlikte hazrladklar
ve “Communications of the Association for Information Systems (Volume 15, 2005)
577-591” dergisinde yaynlanan makalede organizasyonlar için bilgi varlklarn
korumak için birçok standart ve yol haritas önerildii bunlarn arasnda ISO 17799
en güvenilir uluslararas bilgi güvenlii standard olduunu belirtmilerdir [14].
Standardn bilgi güvenliini salamak için hem emredici olduunu hemde
organizasyona adapte edilecek prosedürlerin olduunu ifade etmilerdir. Biliim
güvenlii professonellerinin ISO 17799 u modern organizasyonlar için bilgi
güvenliini yönetmede en uygun yöntem olduunu bildirmelerine ramen imdiye
kadar bu standardn geçerliliini kantlayacak bilinen deneysel bir çalma
21
olmadndan yola çkarak ISO 17799 standardnn 36 grupta toplad sorularn
benzer veya yanl anlalmalara neden olabilecek olanlarn birletirerek veya
ayrarak 56 soru haline getirmilerdir. Çalmaya katkda bulunacak olan Sertifikal
Bilgi Güvenlii Profesyonellerinden (CISP) International Information Systems
Security Certificate Consortium (ISC) 2
„um WEB sayfasnda yaynlanan sorulara
“Uygulanamaz” dan balayan ve “Tamamen uyguland” ile son bulan 5-noktal
Likert skalasnda yantlamalar istenmitir. Çalmaya katlan 3000 CISP den 354
deerlendirmeye alnabilir yant elde edilmitir. Yantlama oran % 11,8 dir.
ISO 17799 da 10 güvenlik boyutu bulunduundan alnan yantlar 10 faktör üzerinden
confirmatory factor analysis (onaylayc faktör analizi) yaplmtr.
Analiz çalmalarnn sonunda ISO 17799 standardnn 10 güvenlik boyutundan 7
sinin onayland, 3 boyutunun (“personel güvenlii”,”Fiziksel ve çevre
güvenlii”,”Uyumluluk”) onaylanmad bunun yannda “D kaynak veya i
ortaklarnn güvenlii” konusunun eksik olduu ilave edilmesi gereklilii ortaya
çkartlmtr. Bu çalmann sonuçlar ilgili olan kurululara International Standart
Organization (ISO)ya, Internet Ingineering Task Force (IETF)ye ve US National
Institute of Standards and Techonology (NIST)e dikkate alnmas için
gönderilmitir. Bu çalmann önerileri ISO/IEC 2001 (2005) versiyonunda gözönüne
alnmtr.
ngilterede yaplan bir çalmada ise; UCISA (Universities and Colleges
Information System Association) Information Security Tool Kit ngiltere nin önde
gelen üniversitelerinin (London School of Economics, University of Reading,
University of Liverpool, West Midlands RSC. vb) katklaryla hazrlanm ve
özellikle üniversitelerin bilgi güvenliklerini oluturma yolunda standardizasyonun
salanmas ve dier organizasyonlarnda faydalanabilecei bir çalma yaplarak
tamamen BS 7799 standardn esas alan Bilgi Güvenlii Yönetim Sistemi meydana
getirmek için bir tool kit oluturmular ve tüm ngiltere üniversitelerinin kullanmna
sunmulardr [15].
Vural Y., ve Sarolu ., tarafndan yaplan çalmada; kurumsal bilgi güvenlii
genel olarak incelenmekte, mevcut çalmalar özetlemekte, kurumsal bilgi
güvenliinin kurumlarda etkin bir ekilde hayata geçirilmesinin önemi
vurgulanmaktadr [16]. Kurumsal bilgi güvenliinin uygulanmasnda önemli bir yer
tutan ISO/IEC 27000 serisi standartlar ksaca açklanmakta ve ülkemizde Avrupa
Birlii uyum kriterlerinde de ad geçen bu standartlarn uygulanmas konusunda
yaplan çalmalarn yetersiz olduu, bu standard uygulayan kurum ve kurulularn
saysnn yok denecek kadar az olduu vurgulanmaktadr.
Callio toolkit : Kanada konulu bir firma olan Callio nun ürünü olan Callio tollkit BS
7799 Bilgi Güvenlii Yönetim Sisteminin ve dokümantasyonunun oluturulmasnda
kullanclara kolaylk salayan web üzerinde çalan bir araçtr. ISO 17799,
BS 7799-2, COBIT ve Serbanes-Oxley standartlarnda destekler ve bu
standartlardan soru alverii yapabilir [17].
Aadaki fonksiyonlar desteklemektedir :
ii. irketin en deerli varlklarnn envanterinin derlenmesi,
iii. BGYS içerisinde süreçlerin ve yapnn belirlenmesi,
iv. Varlklara yönelik risklerin azaltlmas,
v. Kontrollerin uygulanmasnda senaryolar belirlemek,
vi. Taslak güvenlik politikalar (50 den fazla örnek),
vii. Politika dokümannn hazrlanmas ve yönetimi,
viii. Onay bekleyen dokümanlarn onaylanmas veya iptali,
ix. ç tetkik sorularnn kiiselletirilmesi,
x. ç tetkik sorularnn içeri alnmas veya da verilmesi,
xi. BGYS nin BS 7799-2 sertifikasyonu gereksinimlerini karladnn
dorulanmas,
düzenlenmesi ve dokümante edilmesi,
Standard Directs ISO17799 Toolkit : ISO 17799 ve ISO 27001 standartlarn
destekleyen temel kaynaklardan birisidir. Aracn içerisinde uygulama ve denetimi
destekleyen bölümler bulunmaktadr [18].
i. ISO 17799 ve ISO 27001 standartlar,
ii. Belgelendirmeye giden bir rehber/yol haritas,
iii. Denetim listesi,
v. Network denetim listesi,
vi. Bilgi güvenlii politikalar,
vii. Felaket kurtarma seti (kontrol listesi ve sorular ile birlikte),
viii. Standardn içeriini ve çerçevesini yönetim sunumu,
ix. Bilgi Sistemleri ve Bilgi Teknolojileri terimler sözlüü,
ITGovernance Toolkit: IT Governance kitaplar ve kolaylklar (tool) herhangi bir
organizasyonun BGYS ni ilk kez oluturmalarna rehberlik eder ve destekler.
Dünyann neresinde olursa olsunlar kamu sektöründen, özel sektörden veya gönüllü
kurululardan bu kolaylklar kullananlara zaman ve para tasarrufu salar.
Gelitirdikleri uygulamay kitaplar ile destekleyen bu ngiliz firmas farkl
gereksinimlere göre paket çözümler salamaktadr. Temelde ISO 17799 a giden bir
yol haritas ortaya koyar, kullanclarn ihtiyaç duyduu dokümantasyonu
hazrlamalarna kolaylk salar [19].
kullanldklar görülmektedir. Bu araçlardan RiskPac ve OCTAVE en tannm
olanlardr. RiskPac özellikle ABD kamu sektöründe ve birçok özel sektör firmas
tarafndan 1984 ylndan beri kullanlan bir araçtr. RiskPack kullancya sorular
yönelterek yantlar alr ve uzman sistem bilgi tabannda deerlendirerek varlklarn
risk analizini yapar [20]. OCTAVE ise kuruluun i çevresine göre kritik varlklarn
24
ve tehditlerini tespit eder, tehditlere neden olabilecek zafiyetleri belirler ve
zafiyetlere kar bir koruma stratejisi gelitirir. OCTAVE tüm süreçlerinde bilgi
taban kullanlmaktadr [21].
Uzman sistem tabanl risk deerlendirme araçlar olan RiskPac ve OCTAVE ISO
27001, HIPAA, SOX, InfoSec, Cobit gibi risk deerlendirme gereksinimi olan
uyumluluk denetimlerinde sklkla kullanlmtr.
Bu tez çalmasnda tehditlere yönelik korumalarn seçilmesinde ve ISO 27001
dokümantasyonunun hazrlanmasnda uzman sistem kullanlmtr. Uzman
sistemlerin ISO 27001 kurulumu ve dokümantasyon hazrlanmasnda kullanlmasna
literatürde rastlanlmamtr.
Bu tez çalmasnda uzman sistem kullanlarak bilgi güvenlik yönetim sistemi
kurulmasna yardmc olmak üzere bir yazlm gelitirilmektedir.
3.1. Yazlm Gelitirme Süreç Modelleri
Yazlm gelitirme süreçleri ile kaliteli bir yazlm ürünü gelitirmek hedeflenir.
Proje gelitirme süreci, projede yaplacak faaliyetleri ve bunlarn srasn belirler.
Süreç modeli, projenin aamalarn, aamalarn uygulama sralarn, koul ve
kstlamalarn belirler. Uygun olduu durumlarda süreç modeli kullanlarak proje
maliyetini düürülmesi, yüksek kalitede ürün elde edilmesi, döngü süresinin
azaltlmas gibi faydalar süreç modellerinin ana hedefidir [22].
Yazlm gelitirme süreç modelleri aada özetlenmitir.
3.1.1. elale (Waterfall) modeli
Yazlm gelitirmede kullanlan en basit modeldir. Büyük ve karamak yazlm
sürecinin küçük parçalara bölünerek yönetilmesi kolay bir hale dönütürülmesi ana
fikirdir. Model parçalar halindeki süreç aamalarn birbirleriyle ilikili ancak içiçe
olmasn salar. elale modelinin en büyük avantaj sadeliidir [22]. süreci
aamalar aadaki gibidir [23];
Sistem tasarm
önüne alnarak gereken fayday salayp salamayaca incelenerek rapor haline
getirilir.
Analiz ve planlama: Mevcut durumun analiz edildii, isterlerin belirlendii yazlm
sürecinin en kritik aamasn tekil eder. Bu aamada yaplacak bir yanln
düzeltilmesi insan gücü ve para israfna neden olur.
Sistem Tasarm: Analiz aamasnda belirlenen gereksinimlere uygun ekilde veri
sözlüü, meta-veri ve veri tabannn tasarland aamaya tasarm aamas denir.
Kodlama: Tasarm aamasnda oluturulan yapya uygun ekilde yazlmn yapld
aamadr.
test edildii aamadr. Bu aamada yazlm yeterli olgunluk seviyesine ulaana kadar
kodlama aamas arasnda git gel yaplarak gereken düzeltmelerin yaplmas ve
yazlmn istenilen hale gelmesi salanr.
Kurulum: Test aamasndan geçerek yeterli olgunlua ulaan uygulama yazlmnn
devreye (kullanma) alnd aamadr. Yazlm farkl lokasyonlara kurulacak ise
kurulum ekibinin eitimi, kullanclarn eitimi ve yardm masasnn oluturulmas
bu aamada yaplr.
yaplmas ve bakm plannn oluturulmas aamasdr.
elale modelinin yaygn bir ekilde kullanlmasna ramen çok önemli kstlamalar
vardr. Bunlar;
1. Tasarm aamasn balamadan önce isterlerin kesin bir ekilde belirlenmesi ve
dondurulmas gerekmektedir.
bir kaç yl süren bir projenin erken aamalarnda donanmn belirlenmesi
zorunluluunu dourmaktadr.
3. Tüm yazlm bir defada ve proje sonunda elde edilir. Bu durum yannda büyük
riskleri getirmektedir. Müteri projenin sonuna kadar gelimeler hakknda bilgi
sahibi olamaz.
4. Müterinin isterleri abartmasna neden olur.
5. Doküman esasl bir süreç olduundan her aama sonunda birçok doküman
hazrlanmasna neden olur.
3.1.2. Prototip model
elale modelinde analiz safhasnda tespit edilen isterlerin tasarm ve kodlama
aamalarna geçmeden önce belirlenme zorunluluuna karn prototip model mevcut
durumda bilinen isterlere göre prototip in yaplmasn salar. Kullanc arzulanan
sistemin isterlerini daha iyi anlar ve sonuçta daha az deien oturmu isterlere göre
gelitirilmi bir yazlm salanr. Prototip model manuel sürecin olmad veya
mevcut sistemin isterlerinin belirlemesi gereken karmak ve geni sistemlerde
kullanlr. Bu modelde kullancnn prototip ile oynayarak sistemin isterlerinin
belirlenmesinde gereksiz ve önemli girdileri belirlemesini salar. Prototip
gelitirildikten sonra kullancya (müteri) prototipi test etmesi için olanak salanr.
Kullancnn geri beslemeleri alnarak doru olanlar, gelitirilmeye gereksinim
duyulan yerler ve yanl olan yerler belirlenir. Geri beslemeye göre prototip üzerinde
gelitirmeye devam edilerek sistem yazlm gelitirilir.
Prototip model;
etmek, elale modelin ve prototip modelin avantajlarn kullanan bir modeldir. Temel
düünce yazlmn küçük ilavelerle tamamlanmasdr. Her döngünün sonunda,
projenin baz çktlar elde edilir. Her döngüde, yazlma yeni bir özellik eklenir.Bu
sayede yazlm kademeli veya artrmsal olarak gelitirilir. Bu model yazlmn
yapsna daha uygundur çünkü proje ilerledii sürece yeni bilgiler ve deneyimler
ortaya çkar ve bu bilgi ve deneyimler projeyi gelitirmek için kullanlabilir [22].
Döngüsel modelde, projenin erken safhalarnda elde edilen çktlar, projenin geç
safhalarnda deiirse, bu deiiklikler projeye pahalya mal olmaz. Bu Döngüsel
modelin en büyük avantajdr. Ayn zamanda, döngüsel modeldeki her döngü,
projenin çalanlar için bir örenme sürecidir [23].
Döngüsel model gereksinimler daha bata olgun olmad ve projenin doas gerei
döngüler halinde kademeli olarak gelitirmeye yatkn projelerde kullanlmaya
uygundur. Yazlm fonksiyonel olarak bölünmeye uygun olmaldr. Her parça ayr
olarak ele alnr ve her döngüde yeni bir grup fonksiyon eklenir.
3.1.4. RUP (Rational Unified Process) model
IBM tarafndan satn alnan Rational tarafndan gelitirilen RUP dier bir iterative
modeldir [24]. Genel bir süreç modeli olmasna ramen Unified Modeling Language
(UML) kullanlarak Nesneye-Yönelik (Object-Oriented) yazlm gelitirmek için
tasarlanmtr [25]. RUP yazlm gelitirmeyi her biri tamamen çalan sistemler olan
döngülere bölmeyi öngörür. Genellikle herbir döngü mevcut sisteme (bir önceki
döngü) baz ilaveler salamay hedefleyen ayr bir proje olarak çalr. Dört
gelitirme aamas gelitirme döngüsünü oluturur. Son halini alan bir yazlm ürünü
tüm yaam döngüsü boyunca birçok gelitirme döngüsüne maruz kalr [26].
29
(Lifecycle Objective Milestone –LCO) belirlenmi olur.
Deerlendirme (Elaboration) aamasnda ihtiyaç makamnn projeyi onaylamasna
müteakip detayl sistem analizine göre sistemin mimarisi tasarlanr. Bu aama
tamamlandnda yaam döngüsü mimarisi kilometreta (Lifecycle Architecture
Milestone - LCA) tamamlanm olur. Mimari yap burada dondurulmu deildir bu
aamada mimari yapnn performans ve bulundurulabilirlii gibi önemli nitelikleri
ve mimari yaklam ile kullanlacak teknoloji belirlenir [26].
Yapm (Construction) aamas isterlerin özelliklerini belirlenmesi, mimari konsept
ve proje plan ile balar. Ürünün gerçekletirilmesi, birim testi ve sistem testi yapm
aamasnda gerçekletirilir. Yapm aamasnn çkts ürünün tam bir versiyonudur.
Birinci ilevsel Yetenek kilometre ta (The Initial Operational Capability Milestone
- IOC) yapm aamasnn sonuç çktsdr.
Geçi (Transition) aamas ürünün gelitirme platformunda kullancnn operasyonel
platformuna aktarld dier bir deyile ürünün kullancya teslim edildii aamadr.
Ürünün, teslim, eitim ve destek faaliyetlerini içerir. Bu aamann sonucunda ürün
kullanma alnr (product relase).
30
ekil 3.1 de RUP (Rational Unified Process) Modeli yaps görülmektedir [24].
Ana lem Disiplinleri
Genel olarak, RUP üst seviyede tekrarlayc bir yaklam sunmakla beraber
yenilemeli bir yaklam da tevik eden esnek bir süreç modelidir. Aamalarda
projenin gereksinimlerine göre farkl ilerin yaplmasna izin verir [22].
3.1.5. Timeboxing model
Yeni döngü mevcut döngü tamamlanmadan balar böylelikle yeni döngü mevcut
döngü ile birlikte gelitirilir. Mevcut döngü tamamlanmadan yeni döngüye balamak
ortalama döngü süresini azaltr böylelikle proje süresi azalm olur. Timeboxing
modelinde bir zaman dilimi (döngü) elale modelinde olduu gibi aamalara
bölünmütür . Her aama döngü içerisinde açkça belirlenmi bir görevi yerine getirir
ve belirli bir sonuca yöneliktir [22].
31
ekil 3.2de de açkça görülecei üzere iki döngü süresinde dört döngü
gerçekletirilmektedir.
Gereksinimler
3.1.6. Agile süreç modeli
1990 l ylarn banda, dier doküman ve bürokrasi gerektiren geleneksel süreç
modellerinden ve özellikler elale modelinden farkl gelitirilen bir süreç modeli
yaklamdr. Agile yaklam aadaki ortak prensipler üzerine kurulmutur [22].
Çalan yazlm projenin ana ilerleme ölçütüdür.
Bir projede ilerlemeler, hzl gelitirilen küçük artrmlar ile elde edilir.
Geç gelen gereksinim talepleri kolaylkla karlanabilir.
Dokümantasyon yerine yüz-yüze görümeler tercih edilir.
htiyaç makamnn projeye yakn ilgisi ve sürekli geri beslemesi kaliteli yazlm
gelitirmek için gereklidir.
Olas senaryoya dayal ayrntl tasarm yapmak yerine zaman içerisinde gelien
ve olgunlaan basit tasarm daha iyi bir yaklamdr.
Ürün teslim tarihleri yetenekli bireylerden olumu güçlü ekipler tarafndan
karar verilir.
önerilmitir. Bunlarn içerisinden Extreme programming (XP) en yaygn ve iyi
bilinen yaklamdr. Dier agile yaklamlar gibi XP kaçnlmaz deiiklikleri ve
yazlm gelitirmenin bu ani deiiklikleri karlayabilecek bir yapda olmas
gerektiini kabul eder.
balangç geleneksel isterlerin belirlenmesinden detaylar konusunda farkldr.
Yazlm gelitirme ekibi kullanc hikayesine göre yazlm gelitirmenin ne kadar
süreceini kabaca kaç hafta olacan tahmin eder. Bu tahminler ve hikayeler
kullanlarak hikayelerin hangi sistem yaynnda yaplacann belirlendii yaynlama
planlamas (release planning) yaplr. Sk ve küçük yaynlar arzu edilir.
ekil 3.3 de tüm XP i süreci görülmektedir [22].
Kullanc
Yazlm gelitirme bir haftadan fazla sürmeyen döngüler halinde yaplr. Döngüler
hangi hikayenin bu döngüde yaplacann planland döngü planlamas (iteration
planning) ile balar. Yüksek deerli ve yüksek riskli hikayeler yüksek öncelikli kabul
edilir ve erken döngülerde gelitirilir.
33
Yayn Plan
ekil 3.4. XP de bir döngü
XP ve dier agile metodlar isterlerin sk deitii veya deime olaslnn yüksek
olduu projeler için uygundur.
(Internet) dünyay büyük bir köy haline getirmitir. Dünyann herhangi bir yerinde
üretilen bilginin saysal hale getirilerek bilgisayar ortamnda saklanmas, o bilgiye
dünyann herhangi bir yerinden çok ksa sürede eriimi olanakl klmaktadr.
“Bilgi Ça” ve “Bilgi Toplumu” gibi terimlerin sklkla kullanld günümüzde
bilginin önemi daha açk bir ekilde ortaya çkmaktadr. Bilginin önemi artt
oranda o bilgiye ulaabilmeyi salayan sistemlerin de önemi artmaktadr. Teknolojik
gelimelere paralel olarak bütün i sektörlerinde bilgisayarlar kullanlmaya
balanmtr ve her türlü gerekli bilgi bilgisayar ortamnda saklanarak istenildiinde
yöneticilere sunulmaktadr. Burada önemli olan bilgilerin toplanmas, organize
edilmesi ve datlmasdr. Bir çok organizasyon bilgiyi toplamak, organize etmek ve
datmak için bilgisayar destekli bilgi sistemlerini kullanmaktadr. Yönetim bilimleri
tabiriyle iletmelerde “Yönetim Bilgi sistemi” kullanm yaygnlamaktadr. Bunun
yan sra iletmeler “Uzman Sistem” gibi farkl yönetim bilimi tekniklerini
kullanmaktadrlar [27].
gerektiren problemleri çözmek için bilgisayar tarafndan depolanan insan bilgisini
kullanan bir sistemdir. Bu sistemler hem uzman olmayanlar tarafndan problemlerin
çözümü için kullanlr, hem de uzmanlar tarafndan bilgili yardmclar olarak
kullanlr.” Uzman Sistemlerin birçok farkl alandaki zor seviyede saylabilecek
problemleri baarl bir ekilde çözüme kavuturmas, dikkat çekmelerindeki en
önemli unsuru oluturmutur [28].
çalr. Bu nedenle uzman sistemler insan bilgisini youn biçimde kullanan
programlardr. Dier bir deyile “Ancak bir uzman insann çözebilecei karmak
problemlerin bilgisayar ile çözümüne olanak salayan sistemler” olarak
tanmlanabilir. Bazen Bilgi-Temelli Sistem veya Bilgi-Temelli Uzman Sistem
ifadeleri Uzman Sistem ifadesi yerine kullanlabilir.
Uzman sistem yazlm gelitirilirken herhangi bir programlama dili yerine, uzman
sistem kabuk program kullanlmas zaman ve i gücünden önemli bir tasarruf salar
[35].
1970de ilk kez ortaya çkan Uzman Sistemler, son otuz yl içerisinde büyük önem
kazanmtr. Uzman Sistemlerin birçok farkl alandaki zor seviyede saylabilecek
problemleri baarl bir ekilde çözüme kavuturmas, dikkat çekmelerindeki en
önemli unsuru oluturmutur.
kurallar (production rules) dr [29].
35
Uzman sistemin temel bileenleri bilgi taban (Knowledge Base), Çkarm
Mekanizmas (Inference Engine) ve Kullanc Ara yüzü (User Interface) dür. Alan
bilgisi uygun formasyonda bilgi tabannda saklanr.
Uzman sistemin mimari yaps ekil 3.5 de görülmektedir [30].
Bilgi Taban
3.2.1.1. Bilgi taban
Bilgi taban problemlerin anlalmas, formülasyonu ve çözümü için gerekli olan tüm
bilgileri içerir. Temel olarak iki çeit bilgi vardr bunlar; ifade edici bilgi (declarative
knowledge) ve ilevsel bilgi (procedural knowledge). fade edici bilgi veri (data) ve
gerçeklerle (facts) gösterilir. levsel bilgi, ifade edici bilgi kullanlarak elde edilen
bilgidir. Uzman insanlardan bilgi edinmek ve bu bilgiyi uygun ekile sokmak ve
saklamak ilemine bilgi mühendislii (knowledge engineering) denir [30].
36
levsel Bilgi (Procedural knowledge)
IF durum THEN ilem
IF sat gün says > 30 THEN ilgili prosedürü kontrol ediniz.
fade Edici Bilgi (Declarative knowledge)
IF önceki koul THEN sonraki koul
IF X ödenebilir bakiye THEN X borçtur.
IF (Y irketinin borcu = $12,500)
THEN (Y irketi borca itiraz eder)
3.2.1.2. Bilgi mühendislii (Knowledge engineering)
Bilgi mühendislii ileri seviyede alan uzmanl gerektiren karmak problemlerin
çözümünde bilgisayar sistemlerinin kullanlmas ile ilgili bir mühendislik disiplinidir.
Bilgi mühendisliinin ana ilevi bilgi sorgulamas, bilgi gösterimi ve bilgi
geçerliliidir.
Bilgi mühendislii, yaklak yirmi yl önce prensiplerle, metotlarla ve bilgi toplayan
araçlarla ilgili olarak, bilgi taban gelitirme maksadyla yapay zeka nn bir parças
olarak kullanlmaya balad.
Son zamanlarda bilgi mühendislii tanmna sadece yapay zeka deil ticaret
mühendislii (business engineering), e-ticaret mühendislii (e-business engineering),
bilgisayar bilmi/mühendislii (computer science/engineering), yazlm mühendislii,
biliim teknolojileri ve bilgi yönetimi de dahil olmutur [31].
Benzer bir tanmlama, Solvberg ve Kung tarafndan bilgi sistemleri mühendislii
“information systems engineering” teriminin ortaya atlmasyla da yaplmtr [32].
37
Bilgi geçerleme
- Test durumlar -
ÇkarmDeerlendirme, dorulama
Bilgi kayna
3.2.1.3. Bilgi gösterimi
Aadaki metotlarla yaplr.
2. Çerçeveler (Frames)
4. Nesne-Nitelik-Deer Üçlüsü (Object-Attribute-Value (O-A-V) Triplets)
5. Üretim Kurallar (Production Rules)
6. Yapay Sinir Alar (Neural Networks)
Yüklemsel Analiz (Predicate Calculus) : Temel birimi nesne (object) tir. Nesnelerle
ilgili cümlelere belirteç ad verilir. Örnein, mavidir (araba) arabann mavi olduuna
dair bir savdr.
Nesneler seti vardr.
Fonksiyonlar vardr. Verilen nesneleri dikkate alnarak her fonksiyon baka bir
nesneyi hesaplar.
Çerçeveler (Frames): Gerçekleri (facts) ve ilikileri temsil eden bir metod salar.
lgili nesne ile ilintili tüm bilgileri içeren bir nesne yeri (slot) tanmlar. Slot bir
nesnenin deer, ilk deerler, dier framelerle iaretçiler, kural kümeleri veya
prosedürler içeren bileenidir.
tanmlarnn gösterimi için kullanlr. Balantlar (Links) nesneler ve tanmlar
ilikilendirmek için kullanlr.
dayal bilgileri göstermek için yaygn bir yöntemdir. lk uzman sistem uygulamas
olan MYCIN de kullanlmtr. Nesneler fiziksel veya kavramsal olabilirler.
Nitelikler nesneler ile birleik genel karakteristikler veya özelliklerdir.
Üretim Kurallar (Production Rules): Kurallar ilikileri göstermeye yarar. Kural
tabanl bilgi gösterimi -IF kural THEN eylem- yapsndadr. Problem konusu koula
uygun ise eylem gerçekletirilir.
Yapay Sinir Alar (Neural Networks): Yapay sinir alar kullanlarak bilgi gösterimi
aadaki faydalar salar.
Silikon ilemcilere (chips) gömülebilir.
Eitimli ve programlanm deildir.
3.2.1.4. Çkarm mekanizmas
Uzman Sistemin beynidir. Bilgi taban ve çalma alannda bulunan bilgiler üzerine
düünmek için bir metodoloji sunan ve sonuçlar biçimlendiren bir bilgisayar
programdr. Bir baka deyile gerçekler ve vaadlerden (promises) sonuç çkaran
mekanizmadr. Burada sistem bilgisinin nasl kullanlaca hakknda karar alnr.
Balca 2 temel görev yerine getirir. Bunlar ;
Mevcut gerçekler ve kurallar kontrol eder ve mümkün olduunda yeni gerçekler
ekler.
Hangi çkarmn yaplacana karar verir.
Çkarm balca Modus ponens ve Modus tollens olmak üzere iki yöntemle yaplr.
Modus Ponens: Yaygn olarak kullanlan çkarm stratejisidir, basit muhakeme esasl
ve kolaylkla anlalabilir.
Modus Ponensin gösterimi;
Sral notasyonda , veya kural formunda ,
eklinde
Örnein : IF Bugün Pazartesi, THEN ie gideceim.
Bugün Pazartesidir.
Modus Tollens: Modus Ponens in cevap veremedii eylemin olumsuz olmas
durumunda kullanlr.
Sral notasyonda , ¬ ¬ veya kural formunda , ¬
¬
Köpek gece boyu havlamad.
Bu nedenle, hrsz gelmedi/yoktu.
bilgi ile de çalabilmelidir. Belirsizlik derecesi gerçek says ile ilgilidir. ki çkarm
metodu vardr. Bunlar leri Zincirleme (Forward-Chaining), Geri Zincirleme
(Backward Chaining) dir.
çallr. Kullanc ile uzman sistem arasnda problem çözümünün sonuna kadar bir
etkileim vardr. Bu etkileim bilgi tabanndaki kural zinciri içerisinde gerçekleir.
Basit bir ileri zincirleme örnei aadaki gibidir ;
Kural 1
Kural 2
Araba arzalanrsa
Soru : Arabann masraf çkaraca ve eve geç kalacanz durum nasldr?
Olaylar balatan eylem arabann su kaynatmasdr.
41
sonuca yöneliktir (goal-driven). Sonuç bellidir sebep bulunmaya çallr. lem,
verilen sonuç bulununcaya veya uygulanacak kural kalmayncaya kadar devam eder.
Kural 1
THEN Mar motoruna yeterli akm gelmiyor.
Kural 2
THEN Araba çalmaz
Araba bakml deilse ve akü zayfsa araba çalmaz.
3.2.1.5. Kullanc arabirimi
Uzman Sistemler, kullanc ile bilgisayar arasnda probleme yönelik iletiimin
salanmas için bir dil ileyici içerir. Bu iletiim, en salkl doal dil ile yaplr.
Ksaca kullanc ara birimi kullanc ile bilgisayar arasnda bir çevirmen rolünü
üstlenmitir. Modern bilgisayar programlarnda olduu gibi, Uzman Sistemlerin de
kullancnn rahat kullanabilecei kolay ve anlalr bir arabirimi vardr. Kullanc
arabiriminin kolay ve anlalr olmas, sistemin iç çalmasnn akc olaca
anlamna gelmez, fakat bu uç kullanclarn Uzman Sistemi kullanrken sisteme
problemlerini rahatça anlatabilmelerini ve sistemin verdii sonucu da rahatça
anlayabilmelerini salar.
Uzman Sistemleri dier sistemlerden farkl yapan bir özellii de açklama
modülünün olmasdr. Açklama modülünden kast, kullancya çeitli yardmlarn
verilmesi ve sorularn açklanmas olduu kadar, Uzman Sistemin çkard sonucu
nasl ve neden çkardn açklayabilmesidir. Burada Uzman Sistem karlkl soru
cevap eklinde davranlarn açklar.
3.2.2. Uzman sistemlerin özellikleri
Bir Uzman Sistem genelde u özellikleri tayacak ekilde tasarlanr:
i. Yüksek Performans: Bir Uzman Sistem program, sorulan sorulara uzman bir
insana denk veya daha iyi bir düzeyde cevap verebilmelidir.
ii. Hzl Cevap Verme: Tasarlanan sistemin, sorulan sorulara yönelik bir sonuca
makul bir sürede varabilmesi ve hatta uzman bir insandan daha çabuk karar
verebilmesi gerekir. Örnein, bir uzmann bir saatte sonuca vard bir konuda,
Uzman Sistemin bir ylda karar vermesi elbette ie yaramaz.
iii. Güvenilirlik: Hazrlanan Uzman Sistemin güvenilir olmas, hata vermemesi
gerekir.
iv. Anlalabilirlik: Tasarlanan sistemin, bir konuda vard sonucun aamalarn
tek tek açklayabilmesi gerekir. Sonuca nasl vard meçhul olan bir sistemden
ziyade, tpk bir insan uzman gibi, gerektiinde vard sonucun nedenlerini
açklayabilmelidir.
v. Esneklik: Bir Uzman Sistemde kullanmak üzere büyük miktarda bilgi
yüklemek gerekir. Bu yüzden bilgi ilave etmek, deitirmek ve silmek için
etkin bir mekanizmann Uzman Sisteme eklenmesi gerekir. Kural-Tabanl
Sistemlerin (Rule-Based Systems) popüler olmasnn önemli nedenlerinden
biri, kurallarn etkin ve modüler bir biçimde saklanabilme özelliidir.
43
B.Johnson Uzay Merkezinin Yazlm Teknoloji ubesi (Software Technology
Branch -STB-) tarafndan gelitirilmitir. Açk kaynak kodu olarak temin edilebilen
bir uzman sistem kabuudur. CLIPS ileri zincirleme muhakemesi yapar ve bilgi
gösteriminde üretim kurallar metodunu kullanr [32].
CLIPS kabuunun notasyonu LISP programlama diline çok benzerdir. Aada
CLIPS kullanlarak bir kural tanmlamasnn örnei verilmitir [34]:
(defrule kimdir
(assert (is-patron ?r1)))
?r1 deiken gösterimi için kullanlmtr, bu durum için bir ahstr. Assert
Veritabanna fact (gerçek) atamak için kullanlr, örnekte üç gerçekten bir sonuç
üretilmektedir. öyle ki eer ahsn ad Ali, soyad Ylmaz ve saç rengi kzl ise bu
ahs patrondur.
(assert (ad x Ali))
(assert (soyad x Ylmaz))
(run)
aadaki gibi görünür:
f-3 (is-patron x)
Bu tez çalmasnda uzman sistem CLIPS kabuu kullanlarak bilgi güvenlik
yönetim sistemi kurulmasn salayan bir yazlm gelitirilmitir.
4.1. Uzman Sistem Yaklamnn ISO 27001 Bilgi Güvenlii Yönetim Sistemine
Uygulanmas
Bu tez çalmasnda Türkiye de bilgi teknolojileri kullanmnn gün geçtikçe artt
ve bu konuda bilgi sahibi personelin çok az sayda istihdam edildii kurum ve
kurululara yönelik ISO 27001 bilgi güvenlii yönetim sisteminin kurulmas ve
sürdürülmesine ilikin uzman sistem temelli bir çözüm gelitirilmektedir.
Uygulamann hedef kullanc kitlesi temel bilgisayar bilgisine sahip personel
istihdam eden kurum ve kurululardr. Bu nedenle gelitirilen yazlmn kullanm
kolay ve görsel özelliklerin ön planda olduu bir platformda gelitirilmesi uygun
olacaktr. Bu nedenle yazlm gelitirme ortam olarak kurum ve kurulularda yaygn
olarak kullanlan Microsoft Office uygulamalar ile entegre olabilen ve Nesneye
Yönelik bir yazlm gelitirme platformu olan Microsoft .NET C# seçilmitir. Veri
taban olarak ücretsiz olmas nedeniyle Microsoft SQL Express Edition
kullanlmtr. Yazlm gelitirme modeli olarak Nesneye Yönelik yazlm
gelitirmeye uygun olan RUP (Rational Unified Process) Model seçilmi tüm
modelleme UML ile gerçekletirilmitir.
emek tasarrufu salamas yansra yaplabilecek olas programlama hatalarn
önleyeceinde dolay gelitirilen yazlmda kabuk program kullanlmtr. Uzman
sistem kabuk program seçilirken C, C++, C#, Java uygulama gelitirme
platformlarn destekleyen CLIPS, ACQUIRE gibi kabuk programlar incelenmitir.
Ücretsiz olarak temin edilebilmesi, Nesneye Yönelik programlamaya uygun olmas,
Microsoft .NET platformu ile uyumlu çalmas ve .NET için gereken .dll lerin
46
bulunmas ve özellikle bu tez çalmasnda youn olarak kullanlan ileri zincirlemeyi
çok iyi desteklemesi nedenleriyle CLIPS kabuk program bu çalmada tercih
edilmitir.
taban oluturulmutur. Bilgi taban oluturulurken ifade edici bilgi (declarative
knowledge) ve ilevsel bilgi (procedural knowledge) birlikte kullanlmtr. Bilgi
taban kullanlarak kurallar oluturulurken bilgi gösterme yöntemlerinden üretim
kurallar (production rules) kullanlm ve CLIPS kabuk programna aktarlmtr.
Kullanclarn cevaplamas gereken sorular basit ve kolay anlalr ekilde
hazrlanmtr. Çkarm birimi ileri zincirleme yöntemi kullanlarak hazrlanmtr.
Kullanclarn vermi olduklar doru ve yanl cevaplarn nedenleri kendilerine
açklama birimi tarafndan bildirilerek kullanclarn standardn gereklerini yerine
getirmeleri salanmtr. Gelitirilen yazlma Smart ISMS ad verilmitir. Sistemin
mimari yaps ekil 3.7. de gösterilmektedir.
ekil 3.7. Uzman Sistem tabanl BGYS yaklam mimarisi
47
Önerilen sistem ISO 27001, ISO 27002 [37], ISO/IEC 27005 [38] ve TS 13268-1
dokümanlarnda belirtilen BGYS nin belgelendirilebilmesi için gereken koullar
salayacak ekilde gelitirilmitir [36].
Açklamalar Modülü:
Yönetim Sistemi ve Smart ISMS hakknda açklayc bilgi verir.
Kurumsal Bilgiler Modülü:
oluturulduu modüldür. Ayrca bu modülde kurum/kuruluun mevcut durum tespiti
kullancya yöneltilen sorulara verilen cevaplarn, çkarm mekanizmas tarafndan
ISO 27001 „in EK-A snda bulunan 10 balk altnda 133 adet kontrol maddesi ile
mukayese edilirek kurum/kuruluun tamam ve eksiklikleri tespit edilir. Kullanc
eksiklikleri tamamlayarak (kullanc isterse eksik olarak) bu kontrol maddelerinin
organizasyon içerisinde nasl uygulancan açklayan en az 10 prosedür Smart ISMS
tarafndan hazrlanr ve araçlar modülünde raporlara eklenir.
Risk Yönetimi Modülü:
gizlilik, güvenilirlik ve eriilebilirlik deerlerine göre deerlemesinin yapld,
varlklarn zafiyet ve tehditlerin tespit edildii ve varlklarn korumalarnn
belirlendii modüldür.
nasl yaplaca ISO/IEC 27005 (2008) Information Security Risk Management
doküman esaslarna göre yaplr [38].
Kuruluun kapsam dahilindeki bilgi varlklarn süreç analizi yaparak belirlenmesi ve
bu varlklara gizlilik, bütünlük, eriilebilirlik deerlerinden oluan varlk deerinin
belirlenmesi bu modülde gerçekletirilir. Bu tez çalmasnda hedef kullanc kitlesi
olarak temel bilgisayar bilgisine sahip kiiler göz önüne alndndan, risk
deerlendirme anlalmas ve kullanm kolay standart bir yaklam ile yaplmaktadr.
Çizelge 3.1. Varlk deerlendirme çizelgesi
GZLLK
DEER
BÜTÜNLÜK
DEER
ERLEBLRLK
4 4 4 Yüksek
3 3 3 Orta
2 2 2 Düük
Bu çalmada GZLLK, BÜTÜNLÜK ve ERLEBLRLK kriterleri eit
arlkta kabul edilir ve ayn öneme sahip olarak deerlendirilir.
Varlk Deeri Formülü:
Varlk Deeri = GizlilikDeeri x BütünlükDeeri x EriilebilirlikDeeri
Örnein: En yüksek Varlk Deeri = 5 x 5 x 5 =125
En düük Varlk Deeri : 1 x 1 x 1 = 1 dir
Varlklara yönelik tehditlerin ve zafiyetlerin bu varlklarla ilikili etkileri nda
oluan güvenlik baarszlklar, gerçekçi olma olaslklar mevcut kontroller göz
önünde tutularak belirlenir. Herbir tehdit için olaslk deerleri Çizelge 3.2. esas
49
alnarak tespit edilir. Keza oluan güvenlik baarszlklarnn hasar derecesi Çizelge
3.3. de gösterilmitir. Deerlendirilen olaslklar ile belirlenen i hasarlar Risk
Deerlendirme Raporu üzerinde varlklara ait her bir tehdit için ifade edilir.
Çizelge 3.2. Tehdidin olaslk derecesi çizelgesi
OLASILIK
3 Orta Tehdit gerçekleebilir
1 Çok Düük Tehdit yok denecek kadar azdr
Çizelge 3.3. Tehdidin hasar derecesi çizelgesi
HASAR
kesintiye uratacak hasar
hasar
hasar
Risklerin yok edilmesi veya azaltlmas ve deerlendirmesi aadaki önlemler
alnarak gerçekletirilir;
edilir,
50
aktarlr.
HASARININ DERECES
Bu formül sonucunda maksimum Risk deeri 3125, minimum risk deeri ise 1
olmaktadr.
Kabul edilebilir risk deeri tüm deerlerin medyan alnarak hesaplanr bu durumda;
RSK SEVYES Kabul Edilebilir
= VARLIK DEER Ortalama x TEHDDN OLASILII Var x HASARININ
DERECES Yönetim Karar
= 27
olarak belirlenmitir.
Bu modülde ISO/IEC 27005 (2008) dokümanna uygun olarak varlklarn tipine göre
tehdit zafiyet belirlemesi ve korumalarn atanmas oluturulan risk deerlendirme
ilemleri bilgi taban yardmyla yaplr.
Araçlar Modülü:
modül yardmyla tüm dokümanlar üzerinde deiiklikler yaplabilir. Bilgi güvenlii
politikas ve Smart ISMS tarafndan kullanlan risk deerlendirme metodolojisi ile
ISO 27001 de zorunlu olarak istenen risk deerlendirme raporu, risk ileme plan,
uygulanabilirlik bildirgesi bu modül tarafndan hazrlanr. Ayrca bu modülde
kurum/kuruluun yapmas gereken iç denetimler için soru hazrlamas yaplr.
51
Smart ISMS yazlmnn yeni kullanc ekleme ve ifre deitirme gibi ilevlerini
yerine getiren modüldür.
Smart ISMS yazlm hedef kullanc kitlesinin bilgisayar kullanm bilgisi göz önüne
alnarak görsellii ön planda tutan ve Nesneye Yönelik bir yazlm gelitirme ortam
olan Microsoft .NET C# platformunda WEB tabanl olarak gelitirilmi, veri taban
olarak Microsoft SQL Express Edition kullanlmtr.
Yazlm gelitirme metodu olarak RUP kullanlm modelleme arac olarakta UML
kullanlmtr. UML diagramlarndan önemli olan Use case, Component diagram,
Activity diagram, Class ve Sequence diagramlar hazrlanmtr. Smart ISMS
yazlmnn UML diagramlarndan Sequence diagram ekil 3.8 gösterilmitir.
Gelitirilen yazlmn kullanc use case diagram EK-1 de, Component diagram EK-
2 de, Activity diagram EK-3 arasnda, Class diagramlar EK-4 ile EK-7 arasnda,
Raporlar Class diagramlar EK-8 ile EK-10 arasnda ve Clips class diagram EK-11
de gösterilmitir.
Class ve Object diyagramlar statik bilgiyi modeller. Halbuki gerçek zamanl
sistemlerde zaman içinde deien interaktiviteler bu diyagramlarla gösterilemez. Bu
tür zamanla deien durumlar belirtmek için sequence diyagramlar kullanlr.
Smart ISMS yazlmnn Sequence diagram ekil 3.8 dedir.
52
D Kaynak Bilgilerini Getir
Süreç Bilgilerini Getir
Varlk Bilgilerini Getir
ekil 3.8. Sequence diagram
53
Alan uzman bilgisi ve ISO 27001, ISO 27002, ISO/IEC 27005 standartlar
kullanlarak üretim kurallar (production rules) hazrlanmtr.
Örnein Risk deerlendime kural aadaki gibidir;
IF
AND
AND
azaltlmmdr IS TRUE
AND
THEN
Hedef kullanc kitlesinin bilgisayar bilgisi göz önüne alnarak kolay ve anlalr
sorular hazrlanarak kurum veya kuruluun mevcut durum tespiti yaplmtr.
Kullancnn sorulara verdii cevaplar çkarm biriminde muhakeme edilerek kurum
veya kuruluun eksik ve tamam olan güvenlik önlemleri kullancya açklama birimi
tarafndan geri bildirimi yapmaktadr.
1. Kuruluunuza gelen müterileriniz veya misafirleriniz nasl karlanp içeri
girerler? (Birden fazla k iaretlenebilir)
a. Girite güvenlik görevlisi veya resepsiyon görevlisi karlar ve
gideceyi yere kadar refakat eder.
b. Yolu bilen misafirler kendisi gelir.(--)
c. Gelenlerin ziyaret maksad ve kiminle görüecei kayt altna alnr.
54
d. Gelenlere giri kart verilir ve ziyaret süresince görünür ekilde
tamalar istenir.
f. Kapmz herkese açktr isteyen girer.(--)
g. 7/24 güvenlik görevlisi/görevlileri çevresel ve giri güvenliini
salamaktadr.
Clips:
(declare (salience 100))
(Soru1 (f1 "evet") (f2 "hayir") (f3 "evet") (f4 "evet") (f5 "evet") (f6 "hayir") (f7
"evet"))
eksikliiniz yok. " crlf))
(declare (salience 100))
=>
(printout t "eksik Girite güvenlik görevlisi veya resepsiyon görevlisi dardan
gelen kiileri karlamas ve gideceyi yere kadar refakat etmesi gerekir" crlf))
(defrule rule1b
(declare (salience 100))
=>
(printout t "eksik Gelenlerin ziyaret maksad ve kimi