Research Article
BibTex RIS Cite

NATIONAL INFORMATION AND COMMUNICATION SECURITY GUIDE: AN APPLICATION EXAMPLE FOR IoT SECURITY

Year 2022, Volume: 21 Issue: 42, 353 - 382, 30.12.2022
https://doi.org/10.55071/ticaretfbd.1141795

Abstract

In this study, a questionnaire study conducted to organizations that The National Information and Communication Security Guide, which includes information security measures to be followed by the public institutions and the operators providing critical infrastructure services, is the first reference document specific to our country. Along with filling a big gap in the field of information and communication security, the guide also has an important feature in increasing the resilience of institutions against cyber attacks. In this study, the general structure of the guide is examined and information about the guideline implementation processes is given. In addition, cyber security attacks and vulnerabilities for Internet of Things (IoT) security, which is one of the main topics covered in the guide, are mentioned. In this study, it is shown how to perform the IoT security audits in the guide by creating the network topology of a representative corporate structure in the simulation environment. With security audits, it is aimed to ensure the compliance of the representative institution with the measures for IoT security in the guide.

References

  • Ağdeniz, Ş. (2021). Bilgi ve İletişim Güvenliği Denetiminde Kamu İç Denetçilerinin Rolü ve Yetkinliklerine İlişkin Bir Araştırma. Alanya Akademik Bakış, 5(2), 525-545.
  • Avcı, İ. (2022). Akıllı Evlerde IoT Teknolojileri ve Siber Güvenlik. Avrupa Bilim ve Teknoloji Dergisi, 34, 226-233.
  • Asma Haroon, Munam Ali Shah, Yousra Asim, Wajeeha Naeem, Muhammad Kamran ve Qaisar Javaid. (2016). Constraints in the IoT: The World in 2020 and Beyond. International Journal of Advanced Computer Science and Applications (IJACSA, 7(11). http://dx.doi.org/10.14569/IJACSA.2016.071133
  • CIS (Center for Internet Security) (2021). CIS Controls. https://www.cisecurity.org/controls/cis-controls-list adresinden 11 Mayıs 2022 tarihinde alınmıştır.
  • CIS (Center for Internet Security) (2021). CIS Benchmarks. https://www.cisecurity.org/cis-benchmarks/ adresinden 11 Mayıs 2022 tarihinde alınmıştır.
  • Cisco (2022). Cisco Packet Tracer Frequently Asked Questions. https://www.netacad.com/sites/default/files/cisco-packet-tracer-faq.pdf adresinden 21 Haziran 2022 tarihinde alınmıştır.
  • CSA (Cloud Security Alliance ) (2021). Cloud Controls Matrix. https://cloudsecurityalliance.org/download/artifacts/cloud-controls-matrix-v4/ adresinden 11 Mayıs 2022 tarihinde alınmıştır.
  • CMMC (Cybersecurity Maturity Model Certification) (2021). CMMC Model Overview. https://www.acq.osd.mil/cmmc/docs/ModelOverview_V2.0_FINAL2_20211202_508.pdf adresinden 05 Mayıs 2022 tarihinde alınmıştır.
  • DDO (Cumhurbaşkanlığı Dijital Dönüşüm Ofisi) (2020). Bilgi ve İletişim Güvenliği Rehberi. https://cbddo.gov.tr/SharedFolderServer/Genel/File/bg_rehber.pdf adresinden 02 Nisan 2022 tarihinde alınmıştır.
  • DDO (Cumhurbaşkanlığı Dijital Dönüşüm Ofisi) (2021). Bilgi ve İletişim Güvenliği Denetim Rehberi. https://cbddo.gov.tr/SharedFolderServer/Projeler/File/BG_Denetim_Rehberi.pdf adresinden 10 Nisan 2022 tarihinde alınmıştır.
  • DDO (Cumhurbaşkanlığı Dijital Dönüşüm Ofisi) (2021). TS EN ISO/IEC 27001:2017 Kontrolleri ile Bilgi ve İletişim Güvenliği Rehberi Eşleştirme Tablosu. Erişim Tarihi: 17.04.2022. https://cbddo.gov.tr/SharedFolderServer/Projeler/File/ISO27001%20-%20BGRehberEslestirmeTablosu.pdf adresinden 17 Nisan 2022 tarihinde alınmıştır.
  • ENISA (2017). Security aspects of virtualization. https://www.enisa.europa.eu/publications/security-aspects-of-virtualization/@@download/fullReport adresinden 01 Mayıs 2022 tarihinde alınmıştır.
  • ISO/IEC 27001, 2017. Information technology — Security techniques — Information security management systems — Requirements
  • Kaymas, S. (2020). Kamu Yönetişiminin Uzamı ve Aracı Olarak Nesnelerin İnterneti Politikaları Üzerine Bir Değerlendirme. İstanbul Gelişim Üniversitesi Sosyal Bilimler Dergisi , 7 (1) , 74-94 . DOI: 10.17336/igusbd.675949
  • NIST SP 800-125 (2011). Guide to Security for Full Virtualization Technologies. https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-82r2.pdf adresinden 12 Mayıs 2022 tarihinde alınmıştır.
  • NIST SP 800-82 (2015). Guide to Industrial Control Systems (ICS) Security. https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-82r2.pdf adresinden 12 Mayıs 2022 tarihinde alınmıştır.
  • NIST SP 800-53 (2020). Security and Privacy Controls for Information Systems and Organizations. https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r5.pdf adresinden 12 Mayıs 2022 tarihinde alınmıştır. OWASP (2021). OWASP Application Security Verification Standard. https://github.com/OWASP/ASVS/raw/v4.0.3/4.0/OWASP%20Application%20Security%20Verification%20Standard%204.0.3-en.pdf adresinden 01 Mayıs 2022 tarihinde alınmıştır.
  • OWASP (2021). OWASP Internet of Things Security Verification Standard. https://github.com/OWASP/IoT-Security-Verification-Standard-ISVS adresinden 01 Mayıs 2022 tarihinde alınmıştır.
  • OWASP (2022). OWASP Mobile App Security Checklists. https://github.com/OWASP/owasp-mstg/releases/tag/v1.4.0 adresinden 01 Mayıs 2022 tarihinde alınmıştır.
  • OWASP (2022). OWASP Top Ten. https://owasp.org/www-project-top-ten adresinden 01 Mayıs 2022 tarihinde alınmıştır.
  • Özdoğan, E. & Daş, R. (2021). IoT based a Smart Home Automation System Design: Simulation Case . Balkan Journal of Electrical and Computer Engineering , 9 (3) , 297-303 . DOI: 10.17694/bajece.918826
  • STIG (2022). STIGs Document Library. https://public.cyber.mil/stigs/downloads/ adresinden 01 Mayıs 2022 tarihinde alınmıştır.
  • Thera, D. (2020). Internet of things simulation using Cisco packet tracer [Yüksek lisans tezi]. İzmir Yüksek Teknoloji Enstitüsü. İzmir.
  • Ülker, M. , Canbay, Y. & Sağıroğlu, Ş. (2017). Nesnelerin İnternetinin Kişisel, Kurumsal ve Ulusal Bilgi Güvenliği Açısından İncelenmesi . Türkiye Bilişim Vakfı Bilgisayar Bilimleri ve Mühendisliği Dergisi , 10 (2) , 28-41.
  • Wikipedia (2022). OWASP. https://en.wikipedia.org/wiki/OWASP adresinden 01 Mayıs 2022 tarihinde alınmıştır.
  • Zeybek, M. & Yılmaz, E. N. (2019). Nesnelerin İnterneti: Risk Temelli Yaklaşım. Denetişim, 0 (19) , 73-88.

ULUSAL BİLGİ VE İLETİŞİM GÜVENLİĞİ REHBERİ: IoT GÜVENLİĞİ İÇİN BİR UYGULAMA ÖRNEĞİ

Year 2022, Volume: 21 Issue: 42, 353 - 382, 30.12.2022
https://doi.org/10.55071/ticaretfbd.1141795

Abstract

Kamu kurumları ve kritik altyapı hizmeti veren işletmelerce uyulması gereken bilgi güvenliği tedbirlerini içeren Ulusal Bilgi ve İletişim Güvenliği Rehberi, ülkemize özgü ilk referans doküman olma niteliği taşımaktadır. Rehber, bilgi ve iletişim güvenliği alanındaki büyük bir boşluğu doldurmakla birlikte, kurumların siber saldırılara karşı dayanıklılığını artırmada da önemli bir özelliğe sahiptir. Bu çalışmada, Rehber’in genel yapısı incelenerek rehber uygulama süreçleri hakkında bilgi verilmektedir. Ayrıca Rehber kapsamında ele alınan ve ana başlıklardan biri olan Nesnelerin İnterneti (IoT) güvenliğine yönelik siber güvenlik saldırıları ve zafiyetlerine değinilmiştir. Bu çalışmada simülasyon ortamında temsili bir kurumsal yapının ağ topolojisi oluşturularak rehberdeki IoT güvenliği denetimlerinin nasıl yapılacağı gösterilmektedir. Güvenlik denetimleri ile temsili kurumun rehberde yer alan IoT güvenliğine yönelik tedbirlere uyumunun sağlanması amaçlanmaktadır.

References

  • Ağdeniz, Ş. (2021). Bilgi ve İletişim Güvenliği Denetiminde Kamu İç Denetçilerinin Rolü ve Yetkinliklerine İlişkin Bir Araştırma. Alanya Akademik Bakış, 5(2), 525-545.
  • Avcı, İ. (2022). Akıllı Evlerde IoT Teknolojileri ve Siber Güvenlik. Avrupa Bilim ve Teknoloji Dergisi, 34, 226-233.
  • Asma Haroon, Munam Ali Shah, Yousra Asim, Wajeeha Naeem, Muhammad Kamran ve Qaisar Javaid. (2016). Constraints in the IoT: The World in 2020 and Beyond. International Journal of Advanced Computer Science and Applications (IJACSA, 7(11). http://dx.doi.org/10.14569/IJACSA.2016.071133
  • CIS (Center for Internet Security) (2021). CIS Controls. https://www.cisecurity.org/controls/cis-controls-list adresinden 11 Mayıs 2022 tarihinde alınmıştır.
  • CIS (Center for Internet Security) (2021). CIS Benchmarks. https://www.cisecurity.org/cis-benchmarks/ adresinden 11 Mayıs 2022 tarihinde alınmıştır.
  • Cisco (2022). Cisco Packet Tracer Frequently Asked Questions. https://www.netacad.com/sites/default/files/cisco-packet-tracer-faq.pdf adresinden 21 Haziran 2022 tarihinde alınmıştır.
  • CSA (Cloud Security Alliance ) (2021). Cloud Controls Matrix. https://cloudsecurityalliance.org/download/artifacts/cloud-controls-matrix-v4/ adresinden 11 Mayıs 2022 tarihinde alınmıştır.
  • CMMC (Cybersecurity Maturity Model Certification) (2021). CMMC Model Overview. https://www.acq.osd.mil/cmmc/docs/ModelOverview_V2.0_FINAL2_20211202_508.pdf adresinden 05 Mayıs 2022 tarihinde alınmıştır.
  • DDO (Cumhurbaşkanlığı Dijital Dönüşüm Ofisi) (2020). Bilgi ve İletişim Güvenliği Rehberi. https://cbddo.gov.tr/SharedFolderServer/Genel/File/bg_rehber.pdf adresinden 02 Nisan 2022 tarihinde alınmıştır.
  • DDO (Cumhurbaşkanlığı Dijital Dönüşüm Ofisi) (2021). Bilgi ve İletişim Güvenliği Denetim Rehberi. https://cbddo.gov.tr/SharedFolderServer/Projeler/File/BG_Denetim_Rehberi.pdf adresinden 10 Nisan 2022 tarihinde alınmıştır.
  • DDO (Cumhurbaşkanlığı Dijital Dönüşüm Ofisi) (2021). TS EN ISO/IEC 27001:2017 Kontrolleri ile Bilgi ve İletişim Güvenliği Rehberi Eşleştirme Tablosu. Erişim Tarihi: 17.04.2022. https://cbddo.gov.tr/SharedFolderServer/Projeler/File/ISO27001%20-%20BGRehberEslestirmeTablosu.pdf adresinden 17 Nisan 2022 tarihinde alınmıştır.
  • ENISA (2017). Security aspects of virtualization. https://www.enisa.europa.eu/publications/security-aspects-of-virtualization/@@download/fullReport adresinden 01 Mayıs 2022 tarihinde alınmıştır.
  • ISO/IEC 27001, 2017. Information technology — Security techniques — Information security management systems — Requirements
  • Kaymas, S. (2020). Kamu Yönetişiminin Uzamı ve Aracı Olarak Nesnelerin İnterneti Politikaları Üzerine Bir Değerlendirme. İstanbul Gelişim Üniversitesi Sosyal Bilimler Dergisi , 7 (1) , 74-94 . DOI: 10.17336/igusbd.675949
  • NIST SP 800-125 (2011). Guide to Security for Full Virtualization Technologies. https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-82r2.pdf adresinden 12 Mayıs 2022 tarihinde alınmıştır.
  • NIST SP 800-82 (2015). Guide to Industrial Control Systems (ICS) Security. https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-82r2.pdf adresinden 12 Mayıs 2022 tarihinde alınmıştır.
  • NIST SP 800-53 (2020). Security and Privacy Controls for Information Systems and Organizations. https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r5.pdf adresinden 12 Mayıs 2022 tarihinde alınmıştır. OWASP (2021). OWASP Application Security Verification Standard. https://github.com/OWASP/ASVS/raw/v4.0.3/4.0/OWASP%20Application%20Security%20Verification%20Standard%204.0.3-en.pdf adresinden 01 Mayıs 2022 tarihinde alınmıştır.
  • OWASP (2021). OWASP Internet of Things Security Verification Standard. https://github.com/OWASP/IoT-Security-Verification-Standard-ISVS adresinden 01 Mayıs 2022 tarihinde alınmıştır.
  • OWASP (2022). OWASP Mobile App Security Checklists. https://github.com/OWASP/owasp-mstg/releases/tag/v1.4.0 adresinden 01 Mayıs 2022 tarihinde alınmıştır.
  • OWASP (2022). OWASP Top Ten. https://owasp.org/www-project-top-ten adresinden 01 Mayıs 2022 tarihinde alınmıştır.
  • Özdoğan, E. & Daş, R. (2021). IoT based a Smart Home Automation System Design: Simulation Case . Balkan Journal of Electrical and Computer Engineering , 9 (3) , 297-303 . DOI: 10.17694/bajece.918826
  • STIG (2022). STIGs Document Library. https://public.cyber.mil/stigs/downloads/ adresinden 01 Mayıs 2022 tarihinde alınmıştır.
  • Thera, D. (2020). Internet of things simulation using Cisco packet tracer [Yüksek lisans tezi]. İzmir Yüksek Teknoloji Enstitüsü. İzmir.
  • Ülker, M. , Canbay, Y. & Sağıroğlu, Ş. (2017). Nesnelerin İnternetinin Kişisel, Kurumsal ve Ulusal Bilgi Güvenliği Açısından İncelenmesi . Türkiye Bilişim Vakfı Bilgisayar Bilimleri ve Mühendisliği Dergisi , 10 (2) , 28-41.
  • Wikipedia (2022). OWASP. https://en.wikipedia.org/wiki/OWASP adresinden 01 Mayıs 2022 tarihinde alınmıştır.
  • Zeybek, M. & Yılmaz, E. N. (2019). Nesnelerin İnterneti: Risk Temelli Yaklaşım. Denetişim, 0 (19) , 73-88.
There are 26 citations in total.

Details

Primary Language Turkish
Subjects Engineering
Journal Section Research Articles
Authors

Muttalip Tulgar 0000-0001-9151-4741

Abdül Halim Zaim 0000-0002-0233-064X

Muhammed Ali Aydın 0000-0002-1846-6090

Early Pub Date December 10, 2022
Publication Date December 30, 2022
Submission Date July 7, 2022
Published in Issue Year 2022 Volume: 21 Issue: 42

Cite

APA Tulgar, M., Zaim, A. H., & Aydın, M. A. (2022). ULUSAL BİLGİ VE İLETİŞİM GÜVENLİĞİ REHBERİ: IoT GÜVENLİĞİ İÇİN BİR UYGULAMA ÖRNEĞİ. İstanbul Ticaret Üniversitesi Fen Bilimleri Dergisi, 21(42), 353-382. https://doi.org/10.55071/ticaretfbd.1141795
AMA Tulgar M, Zaim AH, Aydın MA. ULUSAL BİLGİ VE İLETİŞİM GÜVENLİĞİ REHBERİ: IoT GÜVENLİĞİ İÇİN BİR UYGULAMA ÖRNEĞİ. İstanbul Ticaret Üniversitesi Fen Bilimleri Dergisi. December 2022;21(42):353-382. doi:10.55071/ticaretfbd.1141795
Chicago Tulgar, Muttalip, Abdül Halim Zaim, and Muhammed Ali Aydın. “ULUSAL BİLGİ VE İLETİŞİM GÜVENLİĞİ REHBERİ: IoT GÜVENLİĞİ İÇİN BİR UYGULAMA ÖRNEĞİ”. İstanbul Ticaret Üniversitesi Fen Bilimleri Dergisi 21, no. 42 (December 2022): 353-82. https://doi.org/10.55071/ticaretfbd.1141795.
EndNote Tulgar M, Zaim AH, Aydın MA (December 1, 2022) ULUSAL BİLGİ VE İLETİŞİM GÜVENLİĞİ REHBERİ: IoT GÜVENLİĞİ İÇİN BİR UYGULAMA ÖRNEĞİ. İstanbul Ticaret Üniversitesi Fen Bilimleri Dergisi 21 42 353–382.
IEEE M. Tulgar, A. H. Zaim, and M. A. Aydın, “ULUSAL BİLGİ VE İLETİŞİM GÜVENLİĞİ REHBERİ: IoT GÜVENLİĞİ İÇİN BİR UYGULAMA ÖRNEĞİ”, İstanbul Ticaret Üniversitesi Fen Bilimleri Dergisi, vol. 21, no. 42, pp. 353–382, 2022, doi: 10.55071/ticaretfbd.1141795.
ISNAD Tulgar, Muttalip et al. “ULUSAL BİLGİ VE İLETİŞİM GÜVENLİĞİ REHBERİ: IoT GÜVENLİĞİ İÇİN BİR UYGULAMA ÖRNEĞİ”. İstanbul Ticaret Üniversitesi Fen Bilimleri Dergisi 21/42 (December 2022), 353-382. https://doi.org/10.55071/ticaretfbd.1141795.
JAMA Tulgar M, Zaim AH, Aydın MA. ULUSAL BİLGİ VE İLETİŞİM GÜVENLİĞİ REHBERİ: IoT GÜVENLİĞİ İÇİN BİR UYGULAMA ÖRNEĞİ. İstanbul Ticaret Üniversitesi Fen Bilimleri Dergisi. 2022;21:353–382.
MLA Tulgar, Muttalip et al. “ULUSAL BİLGİ VE İLETİŞİM GÜVENLİĞİ REHBERİ: IoT GÜVENLİĞİ İÇİN BİR UYGULAMA ÖRNEĞİ”. İstanbul Ticaret Üniversitesi Fen Bilimleri Dergisi, vol. 21, no. 42, 2022, pp. 353-82, doi:10.55071/ticaretfbd.1141795.
Vancouver Tulgar M, Zaim AH, Aydın MA. ULUSAL BİLGİ VE İLETİŞİM GÜVENLİĞİ REHBERİ: IoT GÜVENLİĞİ İÇİN BİR UYGULAMA ÖRNEĞİ. İstanbul Ticaret Üniversitesi Fen Bilimleri Dergisi. 2022;21(42):353-82.