Akademik BiliÅim '10 10 - 12 Åubat 2010 MuÄla

More documents

Recommendations

Info

Akademik Bilişim’10 - XII. Akademik Bilişim Konferansı Bildirileri10 - 12 Şubat 2010 Muğla ÜniversitesiYazılım Geliştirme Süreçleri ve ISO 27001 Bilgi GüvenliğiYönetim SistemiDr. İzzet Gökhan Özbilgin 1 , Mustafa Özlü 1,21Sermaye Piyasası Kurulu, Ankara2Türk Patent Enstitüsü, Ankaragokhan@spk.gov.tr, mustafa.ozlu@tpe.gov.tr* Çalışmada geçen görüşler yazarlara aittir.Özet: Yazılım geliştirme süreçleri analiz, tasarım, kodlama, test ve bakım olmak üzere beş ana süreceayrılabilir. Tüm bu süreçler gerçekleştirilirken ele alınması gereken hususlardan biri güvenliktir.Güvenlik hususu daha çok yazılım tamamlandıktan sonra ele alınmakta ve ihmal edilebilmektedir.Aslında güvenlik sadece yazılım geliştirme sürecinde değil, ağ kurulumu, veritabanı yönetimigibi bilgi sistemleri ile ilgili tüm süreçlerde daha en baştan düşünülmesi ve yaşatılması gerekenbir husustur. Uluslararası kabul görmüş olan ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemistandardı, ister kamu ister özel olsun, her ölçekteki kuruluşa uygun, etkili bir güvenlik yönetimsisteminin gerekliliklerini ortaya koymaktadır. Bu kapsamda, kuruluşların geliştirecekleri yazılımlardagüvenlik unsurlarının yönetilmesi için rehber olabilecek bir standarttır. Bu çalışmada yazılımgeliştirme süreçlerinde oluşabilecek risklerin bu standart ile ilişkisi incelenecek, bu standartta yeralan ve yazılım geliştirme süreçlerinde ele alınması gereken kontroller değerlendirilecektir.Anahtar Sözcükler: Yazılım Geliştirme, ISO 27001, Bilgi GüvenliğiSoftware Development Processes and ISO 27001 Information Security Management SystemAbstract: The software development processes can be divided into five main process; analysis;design, coding, testing and maintenance. One of the important issues which need to be held duringthese processes is security. Mostly, the security issues could be neglected while developingsoftware and addressed after the completion of it. In fact, the security needs to be considered at thebeginning and held continuously not only in the software development processes, but also in allprocesses related to information technology such as network implementation and database management.The internationally ISO/IEC 27001 Information Security Management System standardcovers all the requirements needed for an effective information security and is designed for usein organizations of all sizes, either public or private. Therefore, this standard may be a guide forthe companies while developing their own software. In this study, the relation between the risksoccurring during software development processes and this standard will be examined. Also thecontrols which must be discussed during software development processes will be investigated.Keywords: Software Development, ISO 27001, Information Security1781. GirişYazılımların hayatımızdaki yeri ve öneminingün geçtikçe artması yazılımlara ilişkin çalışmalarıhızlandırmakta, bu durum yeni yazılımgeliştirme yöntemleri, programlama kurallarıveya programlama dilleri ve araçları ortaya179çıkarmaktadır. Tüm bu gelişmelere rağmenyazılım projelerinde tasarlanan zamanın gerisindekalma, bütçeyi aşma, düşük kalite,sürekliliği ve güvenilirliği sağlayamama, kullanıcıtaleplerinin karşılanmasında yetersizlikgibi problemlerle sıkça karşılaşılmaktadır.Gartner araştırmasına göre bilişim güvenliği
Yazılım Geliştirme Süreçleri ve ISO 27001 Bilgi Güvenliği Yönetim Sistemiİzzet Gökhan Özbilgin, Mustafa Özlüihlallerinin yazılım güvenliği problemlerindenkaynaklananlarının oranı %80’dir [1]. Genelolarak problemlerin çoğu, yazılım geliştirmesürecinin en başında gereksinim ve sistem analizlerinindoğru ve yeterli yapılmamasındankaynaklanmaktadır.Bilgi güvenliği; karşılaşılabilecek tehditlerinfarkında olunması, işlerin devamlılığını sağlama,yaşanabilecek her türlü problemlerdekayıpları en aza indirme, firmaların varlıklarınınher koşulda gizliliği, erişebilirliği vebütünlüğünü korunma amaçları taşımaktadır.Bu kapsamda ortaya çıkartılan ve sürekli geliştirilmekteolan bir süreç de “Bilgi GüvenliğiYönetim Sistemi (BGYS)” dir.Yazılımlarda bilgilerin korunması yazılımın geliştirmesürecinin başından itibaren tüm aşamalarınbilgi güvenliği kontrollerine uygun olarakgerçekleşmesine bağlıdır. Yazılımın geliştirmesürecinde bilgi güvenliği yönetim sistemininsağlanmış olması, yazılımlardaki bilgilerin kullanımahazır olduğunu, sadece yetkisi olanlarınerişebildiğini ve kullanılan bilginin doğru vegüncel olduğu anlamına gelmektedir.Bu çalışmanın ikinci ve üçüncü bölümünde yazılım,yazılım geliştirme süreçleri ve güvenliyazılım geliştirmeye ilişkin bilgilere yer verilecektir.Dördüncü bölümde uluslararası bir standartolan “ISO/IEC 27001 Bilgi Teknolojileri-Güvenlik Teknikleri-Bilgi Güvenliği YönetimSistemi- Gereksinimler Standardı (ISO 27001)”ele alınacak, sonrasında ISO 27001’in yazılımgeliştirme süreçleriyle ilişkili kontrol maddelerineve sonuç bölümüne yer verilecektir.2. Yazılım Geliştirme SüreçleriYazılım, mevcut bir problemi çözmek amacıyladeğişik cihazların birbirleriyle haberleşebilmesinisağlayan ve görevlerini ya da kullanılabilirliklerinigeliştirmeye yarayan bilgisayardili kullanılarak oluşturulmuş anlamlı ifadelerbütünü olarak da nitelendirilebilir [2]. Yazılımgeliştirme ise yazılımın hem üretim hem de180kullanım süreci boyunca geçirdiği tüm aşamalarolarak tanımlanabilir.Geçmişte yazılım geliştirmede başvurulan işakış şemaları gibi yöntemler günümüzde gereksinimlerikarşılayamadıklarından ve güvenlikodaklı olmadıklarından yetersiz kalmışlar,etkinliklerini yitirmişlerdir. Yazılımın her aşamasındagüvenliğe ilişkin ortaya çıkabilecekproblemleri gözeten etkin bir geliştirme sürecisonuç ürünün daha güvenilir olmasına önemlikatkı sağlayacaktır. Yazılım geliştirmede çoksayıda farklı model ve süreç değerlendirmelerindensöz etmek mümkündür. Bununla birlikte;yazılım mühendisliğindeki diğer modelleretemel teşkil eden “Çağlayan Modeli (WaterfallModel)” yazılım yaşam döngüsünü beş aşamadaele almaktadır [3]:2.1. Analiz: Bir problemin çözümü olarak nitelediğimizyazılımların ne yapacağını ve nasılyapacağını belirlediğimiz yani problemi tanımladığımızaşama analiz aşamasıdır.2.2. Tasarım: Analiz aşaması sonucunda belirlenengereksinimlere yanıt verecek yazılımıntemel yapısının oluşturulduğu aşamadır.2.3. Kodlama: Kodlama aşaması, tasarım sürecindeortaya konan veriler doğrultusunda yazılımıngerçekleştirilmesi aşamasıdır.2.4. Test: Test aşaması, yazılım kodlanmasısürecinin ardından gerçekleştirilen sınama vedoğrulama aşamasıdır.2.5. Bakım: Yazılımın tesliminden sonra hatagiderme ve yeni eklentiler yapma aşamasıdır.3. Güvenli Yazılım GeliştirmeYazılımların yaygın olarak kullanılmaya başlandığıilk yıllarda kaliteli ve olgun yazılımüretmek, son yıllarda ise özellikle güvenliyazılım geliştirmek için çok sayıda model veçerçeve üzerinde çalışılmıştır. Bu durumun enbüyük tetikleyicisi son yıllarda güvenlik açıklıklarınınartmasıdır [4]. Artan bu güvenlik tehditleriŞekil 1’de görüldüğü üzere hiç hesabakatılmayan sürpriz maliyetleri de beraberindegetirmektedir. Yazılım geliştirmede erken birsüreçte farkına varılan yazılım açıklıklarınındüzeltilmesinin daha ileri süreçlerde farkınavarılan açıklıklara göre daha az maliyetli olacağıyazılım endüstrisince yaygın olarak kabuledilen bir ilkedir [5].Şekil 1 - Yazılım Geliştirme SüreçlerindeYazılım Açıkları Giderme Maliyeti [5]Güvenli yazılım geliştirme süreçlerinde değişiklikve konfigürasyon yönetimi, geliştirme,test ve üretim ortamı ayrışımı, geliştirmeortamında gerçek verilerin kullanılmaması,üretim ortamına almadan önce kod incelemesi,güvenli programlama teknikleri kullanımı,uygulama güvenlik duvarı kullanımı ya dakaynak kod inceleme hizmeti alınması gibi çalışmalarınyapılması da güvenliğe ayrıca katkısağlayacaktır[1]. Güvenli yazılım geliştirmesürecinde ele alınması gereken temel olarakdokuz ana güvenlik konusu vardır [6]:Akademik Bilişim’10 - XII. Akademik Bilişim Konferansı Bildirileri10 - 12 Şubat 2010 Muğla Üniversitesi1811. Girdi Geçerleme (Input Validation): Günümüzdebilinen ve gelecekte de muhtemel tehditlerinçoğu kötü niyetli girdi ile başlamaktadır.2. Kimlik Doğrulama (Authentication):Kimlik doğrulama, varlıkların (kullanıcı, cihazveya bir uygulama) kimlik kontrolündengeçmesi işlemidir ve farklı kimlik doğrulamayöntemleri bulunmaktadır.3. Yetkilendirme (Authorization): Kullanıcılarıntanımlanması aşaması olan kimlik doğrulamadansonra kullanıcının kimliği doğrultusundaerişim haklarının belirlendiği ve kontrolününgerçekleştiği aşama yetkilendirmedir.4. Konfigürasyon Yönetimi (ConfigurationManagement): Konfigürasyon, uygulama ile ilgilihassas bilgileri içermektedir. Örnek vermekgerekirse veri tabanına erişim için gerekli bağlantıbilgilerini içeren dosyalar bu kapsamdadır.5. Hassas Bilgi (Sensitive Information): Hassasbilginin ne olduğunun belirlenebilmesi için uygulamanınve işin bir arada ele alınması gerekir.6. Kriptografi (Cryptograhy): Veriyi korumanınyollarından biri de şifrelemedir. Bugünşifreleme çalışmaları oldukça ilerlemiş, bilgisayarlaroldukça gelişmiştir.7. Parametre Manipülasyonu (ParameterManipulations): Dağıtık algoritmalar modüllerarasında parametre gönderirler. Eğer bu parametrelerarada değiştirilirse, saldırı gerçekleştirilmişolur.8. Hata Yönetimi (Exception Management):Bazı teknolojiler hataları kullanarak hata yönetimigerçekleştirmektedirler. Hatalar geliştiricilerve sistem yöneticileri için uygulama ileilgili birçok önemli bilgi ihtiva ettiği için çokönemlidirler.9. Kayıt Tutma ve Denetim (Logging andAuditing): Uygulama veya uygulamanın yöneticilerisaldırı altında olduklarını anlamalıdır.Bu durum aslında neyin normal neyin anormalolduğunun belirlenmesi ile sağlanır.Yukarıdaki ve bunlara benzer onlarca tehditgüvenilir uygulamalar geliştirmek için yazılımgeliştirme sürecinin güvenliğinin yönetilmesininbüyük önem arz etmekte olduğunu gözlerönüne sermektedir.4. ISO 27001 Bilgi GüvenliğiYönetim SistemiBilgi güvenliği, yazılı, sözlü, elektronik ortamgibi farklı ortamlardaki bilginin gizlilik, bütünlükve erişebilirlik bakımından güvence altınaalınması ve bu güvence durumunun sürekliliğininsağlanmasıdır. Bilgi sistemlerinin hayatageçmesiyle ortaya çıkan depolama ve işlemeimkânlarının artması, izinsiz erişimler, bilgininyetkisiz imhası, yetkisiz değiştirilmesi veyayetkisiz görülmesi ihtimallerinin artması gibihususlar nedeniyle bilgi güvenliği kavramı gündemegelmektedir. Bilgi sistemlerinin çoğu, bilgisaklanırken, paylaşılırken, gönderilirken güvenlikkaygıları düşünülerek tasarlanmamıştır.
Page 4 and 5:
Tıp Bilişiminde Mobilite Uygulama
Page 6 and 7:
İnternet ve Sanat, Yeni Medya ve n
Page 9 and 10:
Page 11 and 12:
Page 14 and 15:
Akademik Bilişim’10 - XII. Akade
Page 17 and 18:
Öğrenci ve Öğretim Elemanının
Page 19 and 20:
Lise Öğrencilerinin Mesleki Yönl
Page 21 and 22:
Lise Öğrencilerinin Mesleki Yönl
Page 23 and 24:
Telsiz Duyarga Ağları ile Bir Nes
Page 25 and 26:
Page 27 and 28:
Kablosuz Algılayıcı Ağlar ve G
Page 29 and 30:
Page 31 and 32:
Çizge Teorisi, Dağıtık Algoritm
Page 33 and 34:
Uzaktan Eğitimde Sistem Odası Tas
Page 35 and 36:
Hizmet İçi Eğitime Farklı Bir Y
Page 37 and 38:
Hizmet İçi Eğitime Farklı Bir Y
Page 39 and 40: Orta Öğretimden Üniversiteye Gel
Page 41 and 42: Orta Öğretimden Üniversiteye Gel
Page 43 and 44: Uzaktan Eğitimde Yeni Bir Yaklaş
Page 45 and 46: Akademik Bilişim’10 - XII. Akade
Page 47 and 48: Erişim Ağlarında WIMAX’ın Opt
Page 51 and 52: Türk ve Dünya Hukukunda Bilişim
Page 55 and 56: Mekânsal Bilişime Ontolojik Bir Y
Page 61 and 62: Temel Bilişim Eğitiminde Enformat
Page 63 and 64: Mobi̇ l Peer-To-Pee (P2P) Ağlarda
Page 65 and 66: Mobi̇ l Peer-To-Pee (P2P) Ağlarda
Page 67 and 68: Bulut Hesaplama Teknolojisi: Mimari
Page 69 and 70: Bulut Hesaplama Teknolojisi: Mimari
Page 71 and 72: Görevdeş (P2P) Ağlarda Sık Bulu
Page 73 and 74: Görevdeş (P2P) Ağlarda Sık Bulu
Page 75 and 76: Çevrimiçi Web Analiz Yazılımlar
Page 77 and 78: Web Sitelerinde Kullanılabilirlik
Page 81 and 82: Akademik Profil Web SayfasıMehmet
Page 83 and 84: Mekansal Veritabanlarında Hızlı
Page 85 and 86: Mekansal Veritabanlarında Hızlı
Page 87 and 88: Öncül Parola Denetimi Yöntemiyle
Page 89: Öncül Parola Denetimi Yöntemiyle
Page 93 and 94: Yazılım Geliştirme Süreçleri v
Page 95 and 96: Web Tabanlı CMMI Süreç Yönetimi
Page 99 and 100: Geleneksel Yazılım Mühendisliği
Page 101 and 102: Geleneksel Yazılım Mühendisliği
Page 103 and 104: Veriambarı Yazılım Geliştirme S
Page 105 and 106: Veri Madenciliğinde Temel Bileşen
Page 107 and 108: Veri Madenciliğinde Temel Bileşen
Page 109 and 110: İş Zekası Çözümleri için Ço
Page 111 and 112: İş Zekası Çözümleri için Ço
Page 113 and 114: Görüntü İşlemede Yeni Bir Solu
Page 115 and 116: Görüntü İşlemede Yeni Bir Solu
Page 117 and 118: Bağlantısız Web Uygulamalarını
Page 119 and 120: Bağlantısız Web Uygulamalarını
Page 121 and 122: Web 2.0 Yeniliklerinin Eğitimde Ku
Page 123 and 124: Kurumsal Kimlik Yönetiminde Günce
Page 125 and 126: Kurumsal Kimlik Yönetiminde Günce
Page 127 and 128: Nesneye Dayalı Programlarla Nesne
Page 129 and 130: Normatif Çoklu Etmen Sistemlerinde
Page 131 and 132: Normatif Çoklu Etmen Sistemlerinde
Page 133 and 134: Birbirleriyle Etkileşim Halinde Bu
Page 135 and 136: Birbirleriyle Etkileşim Halinde Bu
Page 137 and 138: Gezgin Satıcı Probleminin İkili
Page 139 and 140: Gezgin Satıcı Probleminin İkili
Page 141 and 142:
Page 143 and 144:
Web Tabanlı Sayısal Yarıgrup Hes
Page 145 and 146:
Web 2.0 Uygulamalarının E-Öğren
Page 147 and 148:
Web 2.0 Uygulamalarının E-Öğren
Page 149 and 150:
İstatistiksel Yazılım Geliştirm
Page 151 and 152:
Arama Motoru OptimizasyonuCoşkun A
Page 153 and 154:
Arama Motoru OptimizasyonuCoşkun A
Page 155 and 156:
Üst Seviye Ontolojileri Üzerine B
Page 157 and 158:
Üst Seviye Ontolojileri Üzerine B
Page 159 and 160:
Anlamsal Web Politika Dillerinin Ka
Page 161 and 162:
Anlamsal Web Politika Dillerinin Ka
Page 163 and 164:
Kural ve Sorgu Örüntülerinin Dü
Page 165 and 166:
Page 167 and 168:
Eğitimde bir Günlük Uygulaması:
Page 169 and 170:
Eğitimde bir Günlük Uygulaması:
Page 171 and 172:
Web 2.0 Teknolojilerinin Eğitim Ü
Page 173 and 174:
Türkçe Hayat Bilgisi Veri Tabanı
Page 175 and 176:
Türkçe Hayat Bilgisi Veri Tabanı
Page 177 and 178:
Türkiye’de İşe Alım Sürecini
Page 179 and 180:
Page 181 and 182:
Türkiye’de Bilim ve Teknoloji Po
Page 183 and 184:
Türkiye’de Bilim ve Teknoloji Po
Page 185 and 186:
Türkiye’de Planlı Kalkınma ve
Page 187 and 188:
Türkiye’de Planlı Kalkınma ve
Page 189 and 190:
Bilişim Şuraları, Teknoloji Poli
Page 191 and 192:
Bilişim Şuraları, Teknoloji Poli
Page 193 and 194:
Düşük Maliyetli Web Tabanlı Uza
Page 195 and 196:
Düşük Maliyetli Web Tabanlı Uza
Page 197 and 198:
Mobil Öğrenme Teknolojileri ve Ar
Page 199 and 200:
Page 201 and 202:
Öğretim Teknolojileri: Tanımı v
Page 203 and 204:
Page 205 and 206:
Braille Alfabesi ile Yazılmış Ka
Page 207 and 208:
Bilgi Güvenliğinde El YazısıBor
Page 209 and 210:
Güvenli İnternet Bankacılığı
Page 211 and 212:
Güvenli İnternet Bankacılığı
Page 213 and 214:
SMTP Protokolü ve Spam Mail Proble
Page 215 and 216:
SMTP Protokolü ve Spam Mail Proble
Page 217 and 218:
Sembolik Hesaplamalar için Mathema
Page 219 and 220:
Genişband Gezgin Haberleşmede Yen
Page 221 and 222:
Üç Boyutlu Çerçeve Yapıların
Page 223 and 224:
Üç Boyutlu Çerçeve Yapıların
Page 225 and 226:
Değişken Kalınlıklı İzotrop P
Page 227 and 228:
Değişken Kalınlıklı İzotrop P
Page 229 and 230:
Katsayıları Özellikli Bant Matri
Page 231 and 232:
Page 233 and 234:
Beykent Üniversitesi Yazılım Mü
Page 235 and 236:
Beykent Üniversitesi Yazılım Mü
Page 237 and 238:
Kampüs Ağlarında Etkin Bant Geni
Page 239 and 240:
Kampüs Ağlarında Etkin Bant Geni
Page 241 and 242:
Yabancı Dilde Lisans Öğrenimi i
Page 243 and 244:
Pardus’un 64 bit Mimarisine Port
Page 245 and 246:
Page 247 and 248:
İnternetteki Etkileşim Merkezi So
Page 249 and 250:
Page 251 and 252:
Desert Dune Dynamics And ProcessesL
Page 253 and 254:
Uydu Kentlerin Tasarımı için Bir
Page 255 and 256:
Uydu Kentlerin Tasarımı için Bir
Page 257 and 258:
Kent Kaynaklarının Etkin ve Verim
Page 259 and 260:
Kent Kaynaklarının Etkin ve Verim
Page 261 and 262:
Anadolu Liselerine Öğretmen Atama
Page 263 and 264:
Akıllı Trafik Denetimi ve Yöneti
Page 265 and 266:
Akıllı Trafik Denetimi ve Yöneti
Page 267 and 268:
3-Boyutlu Sanal Üniversite Oryanta
Page 269 and 270:
Page 271 and 272:
Metin İçerikli Türkçe Dokümanl
Page 273 and 274:
Page 275 and 276:
Uygurcada Biçimbilimsel Belirsizli
Page 277 and 278:
Sosyal Ağlar ve Profil Yönetimine
Page 279 and 280:
Sosyal Ağlar ve Profil Yönetimine
Page 281 and 282:
Mimarlıkta Yapı Bilgi Modelleme v
Page 283 and 284:
Mimarlıkta Yapı Bilgi Modelleme v
Page 285 and 286:
Kan Damarı Genişliği Değişimin
Page 287 and 288:
Diş Hekimliği Fakültesi Hastanel
Page 289 and 290:
Diş Hekimliği Fakültesi Hastanel
Page 291 and 292:
Ulusal Aşı Bilgi Sistemi: Bir Dur
Page 293 and 294:
Ulusal Aşı Bilgi Sistemi: Bir Dur
Page 295 and 296:
Dermatolojide Tanı Belirlemeye Yar
Page 297 and 298:
Türkiye’de B2B e-Ticaret’i Uyg
Page 299 and 300:
Türkiye’de B2B e-Ticaret’i Uyg
Page 301 and 302:
Bazı Kamu Kurumlarında Elektronik
Page 303 and 304:
Bazı Kamu Kurumlarında Elektronik
Page 305 and 306:
Page 307 and 308:
Açık Kaynak Kodlu Bilgisayar Enva
Page 309 and 310:
Dicle Üniversitesi Bilgi İşlem O
Page 311 and 312:
Aluminyum Kütle İçerisinde İler
Page 313 and 314:
Aluminyum Kütle İçerisinde İler
Page 315 and 316:
İş Akış Çizelgeleme Problemi
Page 317 and 318:
Meslek Liselerinde Mesleki Eğitimi
Page 319 and 320:
Meslek Liselerinde Mesleki Eğitimi
Page 321 and 322:
ActiveX ile Eğitsel Bir Web Sayfas
Page 323 and 324:
Eğitim Amaçlı Debian Web, FTP ve
Page 325 and 326:
Page 327 and 328:
Yeni Nesil Mobil Öğrenme Aracı:
Page 329 and 330:
Geoteknik Rapor Hazırlanmasında S
Page 331 and 332:
Geoteknik Rapor Hazırlanmasında S
Page 333 and 334:
Excel VBA ile Ankrajlı ve Ankrajs
Page 335 and 336:
Excel VBA ile Ankrajlı ve Ankrajs
Page 337 and 338:
Nüfus Tahmin Metotlarının ve Gel
Page 339 and 340:
Nüfus Tahmin Metotlarının ve Gel
show all

Akademik BiliÅim '10 10 - 12 Åubat 2010 MuÄla

Create successful ePaper yourself

Delete template?

Save as template?

Akademik BiliÅim '10 10 - 12 Åubat 2010 MuÄla