Bilgi güvenliği

Vikipedi, özgür ansiklopedi

Bilgi güvenliği, (Gizlilik, Bütünlük ve Erişilebilirlik) bilgilerin izinsiz kullanımından, izinsiz ifşa edilmesinden, izinsiz yok edilmesinden, izinsiz değiştirilmesinden, bilgilere hasar verilmesinden koruma, veya bilgilere yapılacak olan izinsiz erişimleri engelleme işlemi. Bilgi güvenliği, bilgisayar güvenliği ve bilgi sigortası terimleri, sık olarak birbirinin yerine kullanılmaktadır. Bu alanlar alakalıdırlar ve mahremiyetin, bütünlüğün ve bilginin ulaşılabilirliğinin korunması hususunda ortak hedefleri paylaşırlar.

Türkiye[değiştir | kaynağı değiştir]

Türk Standartları Enstitüsü TSE tarafından Türkçeye çevrilerek yayınlanan TS ISO/IEC 27001:2005 Bilgi Güvenliği Yönetim Sistemi Standardı, bilgi güvenliğini üç başlık altında inceler:

  • Gizlilik: Bilgilerin yetkisiz erişime karşı korunması
  • Bütünlük: Bilgilerin eksiksiz, tam, tutarlı ve doğru olması
  • Erişilebilirlik: Bilgilere yetkililerce ihtiyaç duyulduğunda erişilebilir olması

Gizlilik, Bütünlük ve Erişilebilirlik, bilgi güvenliğinin temel taşı kavramı olan, ve İngilizce Confidentially, Integrity, Availability kelimelerinin baş harflerinden gelen “CIA üçlüsü” olarak adlandırılır.

Gizlilik (Confidentially), verileri sadece Yetkili kişiler görebilir.

Bilgilerin yetkisiz erişilmesini önlemeye çalışır: verileri gizli tutar. Başka bir deyişle, verilere yetkisiz okuma erişimini önlemeye çalışır. Bir gizlilik saldırısı örneği, kredi kartı bilgileri gibi Kişisel Tanımlanabilir Bilgilerin (PII = Personally Identifiable Information) çalınması olabilir. Verilere yalnızca izin, resmi erişim onayı ve bilmeye ihtiyacı/izni olan kullanıcılar erişebilmelidir. Birçok ülke, ulusal güvenlik bilgilerini gizli tutma isteğini paylaşır ve bunu, gizlilik kontrollerinin yerinde olmasını sağlayarak gerçekleştirir. Büyük ve küçük kuruluşların verileri gizli tutması gerekir.

Bütünlük (Integrity), veri bütünlüğü, verilerin yetkisiz kişiler tarafından değiştirilmediği anlamına gelir.

Bilgilerin yetkisiz değiştirilmesini önlemeyi amaçlar. Başka bir deyişle, bütünlük verilere yetkisiz yazma erişimini önlemeye çalışır. İki tür bütünlük vardır: veri bütünlüğü ve sistem bütünlüğü. Veri bütünlüğü, bilgileri yetkisiz değişikliklere karşı korumayı amaçlar; sistem bütünlüğü, Windows 2008 sunucu işletim sistemi gibi bir sistemi yetkisiz değişikliklerden korumayı amaçlar. Etik olmayan bir öğrenci, başarısız notlarını yükseltmek için bir üniversite notu veri tabanı hacklerse, veri bütünlüğünü ihlal etmiş olur. Gelecekteki “arka kapı” (backdoor) erişimine izin vermek için sisteme kötü amaçlı yazılım yüklerse, sistem bütünlüğünü ihlal etmiş olur.

Erişilebilirlik (Availability), erişilebilirlik, verilere ihtiyaç duydukları zaman ve yerde yetkili kişiler tarafından erişilebilmesidir.

Bilgilerin gerektiğinde kullanılabilir olmasını sağlar. Sistemlerin normal iş kullanımı için kullanılabilir (mevcut) olması gerekir. Kullanılabilirliğe yönelik bir saldırı örneği, bir sistemin hizmetini (veya kullanılabilirliğini) durdurmaya çalışan Hizmet bloke (DoS) saldırısı olabilir. Hizmetlerin ve verilerin yüksek düzeyde erişilebilirliğini sağlamak için yük devretme kümeleme, site esnekliği, otomatik yük devretme, yük dengeleme, donanım ve yazılım bileşenlerinin yedekliliği ve hata toleransı gibi teknikleri kullanın. Örneğin, işlemesi uzun zaman alan geçersiz isteklerle bir sistemi aşırı yükleyerek bir hizmetin veya verilerin kullanılabilirliğini reddetmeyi amaçlayan bir hizmet reddi (DoS) saldırısını engellemenize yardımcı olabilirler.

Kavramlar Arası Karşıtlıklar[değiştir | kaynağı değiştir]

Gizlilik, bütünlük ve erişilebilirlik bazen birbirine zıttır: verileri bir kasaya kilitlemek ve anahtarı atmak, gizliliğe ve bütünlüğe yardımcı olabilir, ancak kullanılabilirliğe zarar verir. Bu yanlış cevaptır: bilgi güvenliği uzmanları olarak görevimiz gizlilik, bütünlük ve kullanılabilirlik ihtiyaçlarını dengelemek ve gerektiğinde ödünler vermektir. Bir bilgi güvenliği acemi olduğunun kesin bir işareti, kullanılabilirliği ele almazken her türlü gizlilik ve bütünlük kontrolünü bir soruna atmasıdır.

Bu makale, bilgi güvenliğinin genel bir özeti ve temel kavramlarını içerir.

Standardın 2013 Revizyonu olan ISO/IEC 27001:2013, 2013 yılının Ekim ayı içerisinde ISO tarafından yayınlanmıştır.

Türkçe çevirisi olan TS ISO/IEC 27001:2013, 2013 yılının Aralık ayı içerisinde yayınlanmıştır. ISO/IEC 27001:2005 standardı geçerliliğini Eylül 2015 sonunda kaybedecektir. ISO 27001 8 Kasım 2020 tarihinde Wayback Machine sitesinde arşivlendi. Standardının 2005 versiyonu kullanan firmaların Eylül 2015 sonuna kadar yeni standarda göre belgelenmesi zorunludur.

Standardın 2017 Revizyonu olan ISO/IEC 27001:2017, 2017 yılının Mart ayında ISO tarafından yayınlanmıştır. Türkçe çevirisi olan TS ISO/IEC 27001:2017, 2017 yılının Mayıs ayı içerisinde yayınlanmıştır.

Standardın son revizyonu olarak 2022 Revizyonu olan ISO/IEC 27001:2022, 2022 yılının Şubat ayında ISO tarafından yayınlanmıştır. Türkçe çevirisi henüz yayınlanmamıştır.

Kaynakça[değiştir | kaynağı değiştir]