NATIONAL INFORMATION AND COMMUNICATION SECURITY GUIDE: AN APPLICATION EXAMPLE FOR IoT SECURITY

Yıl 2022, , 353 - 382, 30.12.2022

Muttalip Tulgar , Abdül Halim Zaim , Muhammed Ali Aydın

https://doi.org/10.55071/ticaretfbd.1141795

Cited By: 1

Öz

In this study, a questionnaire study conducted to organizations that The National Information and Communication Security Guide, which includes information security measures to be followed by the public institutions and the operators providing critical infrastructure services, is the first reference document specific to our country. Along with filling a big gap in the field of information and communication security, the guide also has an important feature in increasing the resilience of institutions against cyber attacks. In this study, the general structure of the guide is examined and information about the guideline implementation processes is given. In addition, cyber security attacks and vulnerabilities for Internet of Things (IoT) security, which is one of the main topics covered in the guide, are mentioned. In this study, it is shown how to perform the IoT security audits in the guide by creating the network topology of a representative corporate structure in the simulation environment. With security audits, it is aimed to ensure the compliance of the representative institution with the measures for IoT security in the guide.

Anahtar Kelimeler

Cyber Security, Information Security, Information and Communication Security Guide, Internet of Things, IoT, Security Audit.

ULUSAL BİLGİ VE İLETİŞİM GÜVENLİĞİ REHBERİ: IoT GÜVENLİĞİ İÇİN BİR UYGULAMA ÖRNEĞİ

Öz

Kamu kurumları ve kritik altyapı hizmeti veren işletmelerce uyulması gereken bilgi güvenliği tedbirlerini içeren Ulusal Bilgi ve İletişim Güvenliği Rehberi, ülkemize özgü ilk referans doküman olma niteliği taşımaktadır. Rehber, bilgi ve iletişim güvenliği alanındaki büyük bir boşluğu doldurmakla birlikte, kurumların siber saldırılara karşı dayanıklılığını artırmada da önemli bir özelliğe sahiptir. Bu çalışmada, Rehber’in genel yapısı incelenerek rehber uygulama süreçleri hakkında bilgi verilmektedir. Ayrıca Rehber kapsamında ele alınan ve ana başlıklardan biri olan Nesnelerin İnterneti (IoT) güvenliğine yönelik siber güvenlik saldırıları ve zafiyetlerine değinilmiştir. Bu çalışmada simülasyon ortamında temsili bir kurumsal yapının ağ topolojisi oluşturularak rehberdeki IoT güvenliği denetimlerinin nasıl yapılacağı gösterilmektedir. Güvenlik denetimleri ile temsili kurumun rehberde yer alan IoT güvenliğine yönelik tedbirlere uyumunun sağlanması amaçlanmaktadır.

Anahtar Kelimeler

Bilgi Güvenliği, Bilgi ve İletişim Güvenliği Rehberi, Güvenlik Denetimi, IoT, Nesnelerin İnterneti, Siber Güvenlik.

Kaynakça

• Ağdeniz, Ş. (2021). Bilgi ve İletişim Güvenliği Denetiminde Kamu İç Denetçilerinin Rolü ve Yetkinliklerine İlişkin Bir Araştırma. Alanya Akademik Bakış, 5(2), 525-545.
• Avcı, İ. (2022). Akıllı Evlerde IoT Teknolojileri ve Siber Güvenlik. Avrupa Bilim ve Teknoloji Dergisi, 34, 226-233.
• Asma Haroon, Munam Ali Shah, Yousra Asim, Wajeeha Naeem, Muhammad Kamran ve Qaisar Javaid. (2016). Constraints in the IoT: The World in 2020 and Beyond. International Journal of Advanced Computer Science and Applications (IJACSA, 7(11). http://dx.doi.org/10.14569/IJACSA.2016.071133
• CIS (Center for Internet Security) (2021). CIS Controls. https://www.cisecurity.org/controls/cis-controls-list adresinden 11 Mayıs 2022 tarihinde alınmıştır.
• CIS (Center for Internet Security) (2021). CIS Benchmarks. https://www.cisecurity.org/cis-benchmarks/ adresinden 11 Mayıs 2022 tarihinde alınmıştır.
• Cisco (2022). Cisco Packet Tracer Frequently Asked Questions. https://www.netacad.com/sites/default/files/cisco-packet-tracer-faq.pdf adresinden 21 Haziran 2022 tarihinde alınmıştır.
• CSA (Cloud Security Alliance ) (2021). Cloud Controls Matrix. https://cloudsecurityalliance.org/download/artifacts/cloud-controls-matrix-v4/ adresinden 11 Mayıs 2022 tarihinde alınmıştır.
• CMMC (Cybersecurity Maturity Model Certification) (2021). CMMC Model Overview. https://www.acq.osd.mil/cmmc/docs/ModelOverview_V2.0_FINAL2_20211202_508.pdf adresinden 05 Mayıs 2022 tarihinde alınmıştır.
• DDO (Cumhurbaşkanlığı Dijital Dönüşüm Ofisi) (2020). Bilgi ve İletişim Güvenliği Rehberi. https://cbddo.gov.tr/SharedFolderServer/Genel/File/bg_rehber.pdf adresinden 02 Nisan 2022 tarihinde alınmıştır.
• DDO (Cumhurbaşkanlığı Dijital Dönüşüm Ofisi) (2021). Bilgi ve İletişim Güvenliği Denetim Rehberi. https://cbddo.gov.tr/SharedFolderServer/Projeler/File/BG_Denetim_Rehberi.pdf adresinden 10 Nisan 2022 tarihinde alınmıştır.
• DDO (Cumhurbaşkanlığı Dijital Dönüşüm Ofisi) (2021). TS EN ISO/IEC 27001:2017 Kontrolleri ile Bilgi ve İletişim Güvenliği Rehberi Eşleştirme Tablosu. Erişim Tarihi: 17.04.2022. https://cbddo.gov.tr/SharedFolderServer/Projeler/File/ISO27001%20-%20BGRehberEslestirmeTablosu.pdf adresinden 17 Nisan 2022 tarihinde alınmıştır.
• ENISA (2017). Security aspects of virtualization. https://www.enisa.europa.eu/publications/security-aspects-of-virtualization/@@download/fullReport adresinden 01 Mayıs 2022 tarihinde alınmıştır.
• ISO/IEC 27001, 2017. Information technology — Security techniques — Information security management systems — Requirements
• Kaymas, S. (2020). Kamu Yönetişiminin Uzamı ve Aracı Olarak Nesnelerin İnterneti Politikaları Üzerine Bir Değerlendirme. İstanbul Gelişim Üniversitesi Sosyal Bilimler Dergisi , 7 (1) , 74-94 . DOI: 10.17336/igusbd.675949
• NIST SP 800-125 (2011). Guide to Security for Full Virtualization Technologies. https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-82r2.pdf adresinden 12 Mayıs 2022 tarihinde alınmıştır.
• NIST SP 800-82 (2015). Guide to Industrial Control Systems (ICS) Security. https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-82r2.pdf adresinden 12 Mayıs 2022 tarihinde alınmıştır.
• NIST SP 800-53 (2020). Security and Privacy Controls for Information Systems and Organizations. https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r5.pdf adresinden 12 Mayıs 2022 tarihinde alınmıştır. OWASP (2021). OWASP Application Security Verification Standard. https://github.com/OWASP/ASVS/raw/v4.0.3/4.0/OWASP%20Application%20Security%20Verification%20Standard%204.0.3-en.pdf adresinden 01 Mayıs 2022 tarihinde alınmıştır.
• OWASP (2021). OWASP Internet of Things Security Verification Standard. https://github.com/OWASP/IoT-Security-Verification-Standard-ISVS adresinden 01 Mayıs 2022 tarihinde alınmıştır.
• OWASP (2022). OWASP Mobile App Security Checklists. https://github.com/OWASP/owasp-mstg/releases/tag/v1.4.0 adresinden 01 Mayıs 2022 tarihinde alınmıştır.
• OWASP (2022). OWASP Top Ten. https://owasp.org/www-project-top-ten adresinden 01 Mayıs 2022 tarihinde alınmıştır.
• Özdoğan, E. & Daş, R. (2021). IoT based a Smart Home Automation System Design: Simulation Case . Balkan Journal of Electrical and Computer Engineering , 9 (3) , 297-303 . DOI: 10.17694/bajece.918826
• STIG (2022). STIGs Document Library. https://public.cyber.mil/stigs/downloads/ adresinden 01 Mayıs 2022 tarihinde alınmıştır.
• Thera, D. (2020). Internet of things simulation using Cisco packet tracer [Yüksek lisans tezi]. İzmir Yüksek Teknoloji Enstitüsü. İzmir.
• Ülker, M. , Canbay, Y. & Sağıroğlu, Ş. (2017). Nesnelerin İnternetinin Kişisel, Kurumsal ve Ulusal Bilgi Güvenliği Açısından İncelenmesi . Türkiye Bilişim Vakfı Bilgisayar Bilimleri ve Mühendisliği Dergisi , 10 (2) , 28-41.
• Wikipedia (2022). OWASP. https://en.wikipedia.org/wiki/OWASP adresinden 01 Mayıs 2022 tarihinde alınmıştır.
• Zeybek, M. & Yılmaz, E. N. (2019). Nesnelerin İnterneti: Risk Temelli Yaklaşım. Denetişim, 0 (19) , 73-88.