Kişisel Verilerin Korunmasında Proaktif Yaklaşım

Transkript

Kişisel Verilerin Korunmasında
Proaktif Yaklaşım
Yunus ÇADIRCI
www.yunuscadirci.com
@yunuscadirci
Hakkında
• Haberleşme Mühendisi/2004
• 6 Yıldır Telekomünikasyon Sektöründe
• Güvenli Yazılım Geliştirme Yaşam Döngüsü
• Kötü Kod Nasıl Yazılır
http://www.yunuscadirci.com
https://twitter.com/yunuscadirci
07.11.2012
Program
•
•
•
•
Kişisel Veri Nedir?
Kişisel Veri İle İlgili Hukuki Durum
Güvenlik Yönetimi
Kişisel Verilerin Güvenliğinin Sağlanması
– Sistemler
– Uygulamalar
• Kişisel Veri İçeren Raporların Korunması İle
İlgili Çözüm Önerisi
07.11.2012
Kişisel Veri Nedir
BTK
• Kişisel veri: Belirli veya kimliği belirlenebilir gerçek ve tüzel kişilere
ilişkin bütün bilgileri,
NIST
• Personally Identifiable Information
• Information which can be used to distinguish or trace an
individual's identity, such as their name, social security number,
biometric records, etc. alone, or when combined with other
personal or identifying information which is linked or linkable to
a specific individual, such as date and place of birth, mother’s
maiden name, etc.
EU
• Personal Data
• Article 2a: 'personal data' shall mean any information relating to
an identified or identifiable natural person ('data subject'); an
identifiable person is one who can be identified, directly or
indirectly, in particular by reference to an identification number
or to one or more factors specific to his physical, physiological,
mental, economic, cultural or social identity;
07.11.2012
Kişisel Veri İle İlgili Hukuki Durum
Anayasa
• 12.09.2010 Referandumu
• Özel Hayatın Gizliliği Madde 20’ye Ek
• Henüz Yok!!
• Bakanlar Kurulu’nca 7 Nisan 2008’de Meclise sevkedildi
• Avrupa Birliği Uyum Komisyonu
• TCK 135 - 136
• Kişisel Nitelikteki Verilerin Otomatik İşleme Tabi Tutulması
Karşısında Şahısların Korunmasına Dair Sözleşme
Kanun
Tebliğ,
Yönetmelik vs.
07.11.2012
• Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve
Gizliliğinin Korunması Hakkında Yönetmelik
Madde 20
(Ek fıkra: 12/9/2010-5982/2 md.) Herkes, kendisiyle
ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak;
kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu
verilere erişme, bunların düzeltilmesini veya silinmesini talep
etme ve amaçları doğrultusunda kullanılıp kullanılmadığını
öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen
hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin
korunmasına ilişkin esas ve usuller kanunla düzenlenir.
07.11.2012
07.11.2012
MADDE 135. - [1] Hukuka aykırı olarak kişisel
verileri kaydeden kimseye altı aydan üç yıla
kadar hapis cezası verilir.
[2] Kişilerin siyasî, felsefî veya dinî
görüşlerine, ırkî kökenlerine; hukuka aykırı
olarak ahlâkî eğilimlerine, cinsel
yaşamlarına, sağlık durumlarına veya
sendikal bağlantılarına ilişkin bilgileri kişisel
veri olarak kaydeden kimse, yukarıdaki fıkra
hükmüne göre cezalandırılır.
MADDE 136. - [1] Kişisel verileri, hukuka
aykırı olarak bir başkasına veren, yayan veya
ele geçiren kişi, bir yıldan dört yıla kadar
hapis cezası ile cezalandırılır.
07.11.2012
Güvenlik Yönetimi
CIA Kuralı
Variety of Security Methods
Confidentiality: Gizlilik, bilginin
yetkisiz kişilerce açığa
çıkarılmasının engellenmesi,
Identification
Confidentiality
Accountability
Authentication
Integrity: Bütünlük, bilginin yetkisiz
kişilerce değiştirilmesi, silinmesi ya
da herhangi bir şekilde tahrip
edilmesinin engellenmesi,
Access Control
Authorization
Bilgi
Güvenliği
Nonrepudiation
Availability: Kullanılabilirlik, haklar
çerçevesinde bilginin ihtiyaç
duyulduğunda kullanıma hazır
olması,
Certification
Availability
Hashing
Integrity
Monitoring
Intrusion
Prevention
07.11.2012
Vulnerability
Assessment
Penetration
Güvenlik Yönetimi
Güvenlik Yönetimi
Uygulamalar
Sistemler
Sunucular
Veritabanları
Datacenter
WAF
Firewall
IPS
XML
Firewall
NAC
IDS
Loglama
SIEM
Admin
DLP – PROSEDÜRLER (Korku!!!)
DIŞ DÜNYA
07.11.2012
Kullanıcılar
Dolayısıyla
Geniş Atak
Yüzeyi
Güvenlik Yönetimi
Tehditler
Virus , Trojan, Spyware
Bilgi Sızması
Önlemler
Yazılım Açıkları
Kurumsal Antivirus
Varlıklar
Yetkilendirme Problemleri
Loglama
Network Saldırıları
E-Mail Tehditleri
Hakları Kötüye Kullanım
Güvenli Yazılım Süreçleri
Merkezi Kimlik Yönetimi
Firewall
Finansal
Veriler
Kişisel
Veriler
Kurum
Prestiji
Kullanıcı
SPAM filtreleri
Servis Dışı Bırakma
Güvenlik Yönetimi oldukça karmaşık, Kişisel Verileri merkeze alan bir
yaklaşım/çalışma grubu gerekli
07.11.2012
Uygulama
Sunucu
Uygulamalardan Sızan Kişisel Veriler
Google: Kişi Sorgulama
07.11.2012
07.11.2012
07.11.2012
Uygulamadan Sızan Kişisel Veriler
Dış Kaynaklı Uygulamaların Güvenliği
07.11.2012
07.11.2012
07.11.2012
SIEM (Security Information and Event Management)
Sistemler
Anlık Uyarılar
• Kim hangi raporu hangi
parametrelerle aldı
• En çok rapor çeken kimler
• X sürede Y işlem yapan kişi için
aksiyon al
• Kim mesai saatinde VPN ile
uygulamaya erişti
Sunucular
Büyük Ölçekli Yapılarda Merkezi Log
[Onur BAŞKAYA]
Uygulamalar
SIEM
Veritabanları
Hazır Raporlar
07.11.2012
Need-to-know
• Kim hangi ekranlara erişmeli?
– Uygulamanızda yetki aşımı var mı?
• Anne kızlık soyadının görülmesine gerek var mı?
S
O
Y
S
A
D
I
A
O
Y
O
I
Y
S
M
D
Y
07.11.2012
M
I
Çözüm İsteği
Sistem tarafından oluşturulan raporların
yetkisiz kişilerce erişimi nasıl engellenebilir?
07.11.2012
Bir Çözüm Önerisi
İhtiyaç
Dökümanların
lokasyondan
bağımsız yetkisiz
erişimi
engellemek
07.11.2012
Kurum dışına
çıkan
dökümanların
kim tarafından
çıkarıldığını
tespit etmek
Gerektiğinde
dökümana
erişimi
engelleyebilmek
Bir Çözüm Önerisi
PGP
Doküman Şifresi
• Şifre ele geçirildiğinde kontrol kaybediliyor
IRM
AD RMS
07.11.2012
•
•
•
•
AD ile ise merkezi yönetim
Ekstra bir user management gerekmiyor
Public SDK Mevcut
WS geliştirimi yapıldı
AD RMS
• AD RMS - Rights Management Services
• Dokümanlara belirlenen kişiler tarafından belirlenen haklar ile erişim
• Hazır Profiller ayarlanabiliyor
Name
Read
Print
Copy
Forward
Reply All Reply
Profil1
Yes
No
No
No
Yes
Yes
Profil2
Kurum
Kurum
Kurum
Kurum
No
Kurum
Profil3
Kurum
no
no
no
no
no
Profil4
Kurum
Kurum
Kurum
Kurum
Kurum
Kurum
Profil5
Kurum
no
no
Kurum
Kurum
Kurum
07.11.2012
AD RMS
07.11.2012
RMS WS
•AD RMS ile Tam entegrasyon
•Platform bağımsız tüm teknolojiler tarafından kullanılabilir
•WS Standartları
İnit.
RMS WS
Parametreler
Uygulamalar
Dökümanı Gönder
Yetkili Kişi
Yetkisiz Kişi
Dökümanı Oluşturan
07.11.2012
07.11.2012
Özetle
•
•
•
•
Yaptırımlar ağırlaşıyor
Kişisel veriler saldırganların dikkatini çekmekte
Kişisel verileri korumak için insiyatif alınmalı
Teknolojiler sayesinde doküman fiziksel olarak
kurum dışına çıksa dahi korunabiliyor
• RMS WS teknoloji bağımsız olarak kullanılabilir
07.11.2012
Kullanılabilecek Kaynaklar
Dokümanlarınızın Gizliliğini Nasıl Sağlıyorsunuz?
MSDN > MCS Türkiye
http://blogs.msdn.com/b/mcsturkiye/archive/2012/11/03/dok-252-manlar-n-z-ngizlili-ini-nas-l-sa-l-yorsunuz.aspx
AD RMS Logging
http://technet.microsoft.com/en-us/library/dd772686%28WS.10%29.aspx
http://www.yunuscadirci.com/files/dkug.pdf
Büyük Ölçekli Yapılarda Merkezi Log – Onur Başkaya – Siber Güvenlik Konferansı 2011
07.11.2012
Teşekkürler
www.yunuscadirci.com
@yunuscadirci
07.11.2012

Kişisel Verilerin Korunmasında Proaktif Yaklaşım

Transkript

Benzer belgeler

Gizlilik Politikası Kişisel Verilerin Korunmasına ilişkin

2. ders - Yuriy Mishchenko

Kişisel verileri korumak artık mümkün mü?

Sosyal Güvenlik Kurumu Genel Sağlık Sigortası Verilerinin

Sunum için tıklayınız!

Sağlık.NET 2” sistemi”

Dosya No: 2014/2832 - UYAP, Kişisel Verilerin Sistem Veri

Üretim katından satış katına

PSİKOLOJİNİN ALANI Psikolojinin Tanımı: Psikoloji "Psyche" ve

Slayt 1 - Fen Bilimleri Enstitüsü

TBD Kamu-BİB Kamu Bilişim Platformu X KĐŞĐSEL VERĐLERĐN KORUNMASI

Zenith25 Pro Serisi - GeoMax

Kişisel Verilerin Korunması Kanunu çıktı!

Dosya İndir