Kişisel Verilerin Korunmasında Proaktif Yaklaşım
Transkript
Kişisel Verilerin Korunmasında Proaktif Yaklaşım
Kişisel Verilerin Korunmasında Proaktif Yaklaşım Yunus ÇADIRCI www.yunuscadirci.com @yunuscadirci Hakkında • Haberleşme Mühendisi/2004 • 6 Yıldır Telekomünikasyon Sektöründe • Güvenli Yazılım Geliştirme Yaşam Döngüsü • Kötü Kod Nasıl Yazılır http://www.yunuscadirci.com https://twitter.com/yunuscadirci 07.11.2012 Kişisel Verilerin Korunmasında Proaktif Yaklaşım Program • • • • Kişisel Veri Nedir? Kişisel Veri İle İlgili Hukuki Durum Güvenlik Yönetimi Kişisel Verilerin Güvenliğinin Sağlanması – Sistemler – Uygulamalar • Kişisel Veri İçeren Raporların Korunması İle İlgili Çözüm Önerisi 07.11.2012 Kişisel Verilerin Korunmasında Proaktif Yaklaşım Kişisel Veri Nedir BTK • Kişisel veri: Belirli veya kimliği belirlenebilir gerçek ve tüzel kişilere ilişkin bütün bilgileri, NIST • Personally Identifiable Information • Information which can be used to distinguish or trace an individual's identity, such as their name, social security number, biometric records, etc. alone, or when combined with other personal or identifying information which is linked or linkable to a specific individual, such as date and place of birth, mother’s maiden name, etc. EU • Personal Data • Article 2a: 'personal data' shall mean any information relating to an identified or identifiable natural person ('data subject'); an identifiable person is one who can be identified, directly or indirectly, in particular by reference to an identification number or to one or more factors specific to his physical, physiological, mental, economic, cultural or social identity; 07.11.2012 Kişisel Verilerin Korunmasında Proaktif Yaklaşım Kişisel Veri İle İlgili Hukuki Durum Anayasa • 12.09.2010 Referandumu • Özel Hayatın Gizliliği Madde 20’ye Ek • Henüz Yok!! • Bakanlar Kurulu’nca 7 Nisan 2008’de Meclise sevkedildi • Avrupa Birliği Uyum Komisyonu • TCK 135 - 136 • Kişisel Nitelikteki Verilerin Otomatik İşleme Tabi Tutulması Karşısında Şahısların Korunmasına Dair Sözleşme Kanun Tebliğ, Yönetmelik vs. 07.11.2012 • Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmelik Kişisel Verilerin Korunmasında Proaktif Yaklaşım Madde 20 (Ek fıkra: 12/9/2010-5982/2 md.) Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir. 07.11.2012 Kişisel Verilerin Korunmasında Proaktif Yaklaşım 07.11.2012 Kişisel Verilerin Korunmasında Proaktif Yaklaşım MADDE 135. - [1] Hukuka aykırı olarak kişisel verileri kaydeden kimseye altı aydan üç yıla kadar hapis cezası verilir. [2] Kişilerin siyasî, felsefî veya dinî görüşlerine, ırkî kökenlerine; hukuka aykırı olarak ahlâkî eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin bilgileri kişisel veri olarak kaydeden kimse, yukarıdaki fıkra hükmüne göre cezalandırılır. MADDE 136. - [1] Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, bir yıldan dört yıla kadar hapis cezası ile cezalandırılır. 07.11.2012 Kişisel Verilerin Korunmasında Proaktif Yaklaşım Güvenlik Yönetimi CIA Kuralı Variety of Security Methods Confidentiality: Gizlilik, bilginin yetkisiz kişilerce açığa çıkarılmasının engellenmesi, Identification Confidentiality Accountability Authentication Integrity: Bütünlük, bilginin yetkisiz kişilerce değiştirilmesi, silinmesi ya da herhangi bir şekilde tahrip edilmesinin engellenmesi, Access Control Authorization Bilgi Güvenliği Nonrepudiation Availability: Kullanılabilirlik, haklar çerçevesinde bilginin ihtiyaç duyulduğunda kullanıma hazır olması, Certification Availability Hashing Integrity Monitoring Intrusion Prevention 07.11.2012 Vulnerability Assessment Kişisel Verilerin Korunmasında Proaktif Yaklaşım Penetration Güvenlik Yönetimi Güvenlik Yönetimi Uygulamalar Sistemler Sunucular Veritabanları Datacenter WAF Firewall IPS XML Firewall NAC IDS Loglama SIEM Admin DLP – PROSEDÜRLER (Korku!!!) DIŞ DÜNYA 07.11.2012 Kişisel Verilerin Korunmasında Proaktif Yaklaşım Kullanıcılar Dolayısıyla Geniş Atak Yüzeyi Güvenlik Yönetimi Tehditler Virus , Trojan, Spyware Bilgi Sızması Önlemler Yazılım Açıkları Kurumsal Antivirus Varlıklar Yetkilendirme Problemleri Loglama Network Saldırıları E-Mail Tehditleri Hakları Kötüye Kullanım Güvenli Yazılım Süreçleri Merkezi Kimlik Yönetimi Firewall Finansal Veriler Kişisel Veriler Kurum Prestiji Kullanıcı SPAM filtreleri Servis Dışı Bırakma Güvenlik Yönetimi oldukça karmaşık, Kişisel Verileri merkeze alan bir yaklaşım/çalışma grubu gerekli 07.11.2012 Kişisel Verilerin Korunmasında Proaktif Yaklaşım Uygulama Sunucu Uygulamalardan Sızan Kişisel Veriler Google: Kişi Sorgulama 07.11.2012 Kişisel Verilerin Korunmasında Proaktif Yaklaşım Uygulamalardan Sızan Kişisel Veriler Google: Kişi Sorgulama 07.11.2012 Kişisel Verilerin Korunmasında Proaktif Yaklaşım Uygulamalardan Sızan Kişisel Veriler Google: Kişi Sorgulama 07.11.2012 Kişisel Verilerin Korunmasında Proaktif Yaklaşım Uygulamadan Sızan Kişisel Veriler Dış Kaynaklı Uygulamaların Güvenliği 07.11.2012 Kişisel Verilerin Korunmasında Proaktif Yaklaşım Uygulamadan Sızan Kişisel Veriler Dış Kaynaklı Uygulamaların Güvenliği 07.11.2012 Kişisel Verilerin Korunmasında Proaktif Yaklaşım Uygulamadan Sızan Kişisel Veriler Dış Kaynaklı Uygulamaların Güvenliği 07.11.2012 Kişisel Verilerin Korunmasında Proaktif Yaklaşım Uygulamadan Sızan Kişisel Veriler SIEM (Security Information and Event Management) Sistemler Anlık Uyarılar • Kim hangi raporu hangi parametrelerle aldı • En çok rapor çeken kimler • X sürede Y işlem yapan kişi için aksiyon al • Kim mesai saatinde VPN ile uygulamaya erişti Sunucular Büyük Ölçekli Yapılarda Merkezi Log [Onur BAŞKAYA] Uygulamalar SIEM Veritabanları Hazır Raporlar 07.11.2012 Kişisel Verilerin Korunmasında Proaktif Yaklaşım Uygulamadan Sızan Kişisel Veriler Need-to-know • Kim hangi ekranlara erişmeli? – Uygulamanızda yetki aşımı var mı? • Anne kızlık soyadının görülmesine gerek var mı? S O Y S A D I A O Y O I Y S M D Y 07.11.2012 M I Kişisel Verilerin Korunmasında Proaktif Yaklaşım Çözüm İsteği Sistem tarafından oluşturulan raporların yetkisiz kişilerce erişimi nasıl engellenebilir? 07.11.2012 Kişisel Verilerin Korunmasında Proaktif Yaklaşım Bir Çözüm Önerisi İhtiyaç Dökümanların lokasyondan bağımsız yetkisiz erişimi engellemek 07.11.2012 Kurum dışına çıkan dökümanların kim tarafından çıkarıldığını tespit etmek Gerektiğinde dökümana erişimi engelleyebilmek Kişisel Verilerin Korunmasında Proaktif Yaklaşım Bir Çözüm Önerisi PGP Doküman Şifresi • Şifre ele geçirildiğinde kontrol kaybediliyor IRM AD RMS 07.11.2012 • • • • AD ile ise merkezi yönetim Ekstra bir user management gerekmiyor Public SDK Mevcut WS geliştirimi yapıldı Kişisel Verilerin Korunmasında Proaktif Yaklaşım AD RMS • AD RMS - Rights Management Services • Dokümanlara belirlenen kişiler tarafından belirlenen haklar ile erişim • Hazır Profiller ayarlanabiliyor Name Read Print Copy Forward Reply All Reply Profil1 Yes No No No Yes Yes Profil2 Kurum Kurum Kurum Kurum No Kurum Profil3 Kurum no no no no no Profil4 Kurum Kurum Kurum Kurum Kurum Kurum Profil5 Kurum no no Kurum Kurum Kurum 07.11.2012 Kişisel Verilerin Korunmasında Proaktif Yaklaşım AD RMS 07.11.2012 Kişisel Verilerin Korunmasında Proaktif Yaklaşım RMS WS •AD RMS ile Tam entegrasyon •Platform bağımsız tüm teknolojiler tarafından kullanılabilir •WS Standartları İnit. RMS WS Parametreler Uygulamalar Dökümanı Gönder Yetkili Kişi Yetkisiz Kişi Dökümanı Oluşturan 07.11.2012 Kişisel Verilerin Korunmasında Proaktif Yaklaşım 07.11.2012 Kişisel Verilerin Korunmasında Proaktif Yaklaşım Özetle • • • • Yaptırımlar ağırlaşıyor Kişisel veriler saldırganların dikkatini çekmekte Kişisel verileri korumak için insiyatif alınmalı Teknolojiler sayesinde doküman fiziksel olarak kurum dışına çıksa dahi korunabiliyor • RMS WS teknoloji bağımsız olarak kullanılabilir 07.11.2012 Kişisel Verilerin Korunmasında Proaktif Yaklaşım Kullanılabilecek Kaynaklar Dokümanlarınızın Gizliliğini Nasıl Sağlıyorsunuz? MSDN > MCS Türkiye http://blogs.msdn.com/b/mcsturkiye/archive/2012/11/03/dok-252-manlar-n-z-ngizlili-ini-nas-l-sa-l-yorsunuz.aspx AD RMS Logging http://technet.microsoft.com/en-us/library/dd772686%28WS.10%29.aspx Dış Kaynaklı Uygulamaların Güvenliği http://www.yunuscadirci.com/files/dkug.pdf Büyük Ölçekli Yapılarda Merkezi Log – Onur Başkaya – Siber Güvenlik Konferansı 2011 07.11.2012 Kişisel Verilerin Korunmasında Proaktif Yaklaşım Teşekkürler www.yunuscadirci.com @yunuscadirci 07.11.2012 Kişisel Verilerin Korunmasında Proaktif Yaklaşım