Bilgi güvenliği
Bilgi güvenliği, veri veya bilgilerin elektronik ortamlarda depolanması ve taşınması sırasında bilgilerin bütünlüğünü bozmadan, bilgileri yetkisiz erişime karşı korumak için güvenli bir bilgi işlem platformu oluşturma çabasıdır. Bunu başarmak için, uygun güvenlik ilkesi tanımlanmalı ve uygulanmalıdır. Bu politikalar, etkinlikleri sorgulamak, erişimleri izlemek, değişikliklerin kayıtlarını tutmak ve değerlendirmek, silmeleri sınırlamak gibi bazı kullanımlara indirgenebilir. Daha genel olarak bilgi güvenliği, güvenlik mühendisliğinin güvenlik konularını ayrıntılı olarak ele alan bir alt alanı olarak görülmektedir.
Bilgi güvenliği, "bilginin bir varlık olarak zarardan korunması, doğru teknolojinin doğru amaç doğrultusunda ve doğru şekilde kullanılarak herhangi bir ortamda istenmeyen kişiler tarafından doğru teknolojinin elde edilmesinin engellenmesi" olarak tanımlanmaktadır. Bilgisayar teknolojilerinde güvenliğin amacı, “kişi ve kurumların bu teknolojileri kullanırken karşılaşabilecekleri tehdit ve tehlikeleri analiz etmek ve gerekli önlemleri önceden almaktır.”
Özellikle ülkemizde maalesef birçok kurum ve kuruluşun ve her düzeydeki bilgisayar kullanıcılarının çoğu zaman bilgi ve bilgisayar sistemleri ile bilgi güvenliği konusunda yeterli düzeyde bir bakış açısına sahip olmadıkları tespit edilmiştir.
Bilgi güvenliği, (Gizlilik, Bütünlük ve Erişilebilirlik) bilgilerin izinsiz kullanımından, izinsiz ifşa edilmesinden, izinsiz yok edilmesinden, izinsiz değiştirilmesinden, bilgilere hasar verilmesinden koruma, veya bilgilere yapılacak olan izinsiz erişimleri engelleme işlemi. Bilgi güvenliği, bilgisayar güvenliği ve bilgi sigortası terimleri, sık olarak birbirinin yerine kullanılmaktadır. Bu alanlar alakalıdırlar ve mahremiyetin, bütünlüğün ve bilginin ulaşılabilirliğinin korunması hususunda ortak hedefleri paylaşırlar.
Türkiye
Türk Standartları Enstitüsü TSE tarafından Türkçeye çevrilerek yayınlanan TS ISO/IEC 27001:2005 Bilgi Güvenliği Yönetim Sistemi Standardı,
bilgi güvenliğini üç başlık altında inceler:
- Gizlilik: Bilgilerin yetkisiz erişime karşı korunması
- Bütünlük: Bilgilerin eksiksiz, tam, tutarlı ve doğru olması
- Erişilebilirlik: Bilgilere yetkililerce ihtiyaç duyulduğunda erişilebilir olması
Gizlilik, Bütünlük ve Erişilebilirlik, bilgi güvenliğinin temel taşı kavramı olan, ve İngilizce Confidentially, Integrity, Availability kelimelerinin baş harflerinden gelen “CIA üçlüsü” olarak adlandırılır.
Gizlilik (Confidentially), verileri sadece Yetkili kişiler görebilir.
Bilgilerin yetkisiz erişilmesini önlemeye çalışır: verileri gizli tutar. Başka bir deyişle, verilere yetkisiz okuma erişimini önlemeye çalışır. Bir gizlilik saldırısı örneği, kredi kartı bilgileri gibi Kişisel Tanımlanabilir Bilgilerin (PII = Personally Identifiable Information) çalınması olabilir. Verilere yalnızca izin, resmi erişim onayı ve bilmeye ihtiyacı/izni olan kullanıcılar erişebilmelidir. Birçok ülke, ulusal güvenlik bilgilerini gizli tutma isteğini paylaşır ve bunu, gizlilik kontrollerinin yerinde olmasını sağlayarak gerçekleştirir. Büyük ve küçük kuruluşların verileri gizli tutması gerekir.
Bütünlük (Integrity), veri bütünlüğü, verilerin yetkisiz kişiler tarafından değiştirilmediği anlamına gelir.
Bilgilerin yetkisiz değiştirilmesini önlemeyi amaçlar. Başka bir deyişle, bütünlük verilere yetkisiz yazma erişimini önlemeye çalışır. İki tür bütünlük vardır: veri bütünlüğü ve sistem bütünlüğü. Veri bütünlüğü, bilgileri yetkisiz değişikliklere karşı korumayı amaçlar; sistem bütünlüğü, Windows 2008 sunucu işletim sistemi gibi bir sistemi yetkisiz değişikliklerden korumayı amaçlar. Etik olmayan bir öğrenci, başarısız notlarını yükseltmek için bir üniversite notu veri tabanı hacklerse, veri bütünlüğünü ihlal etmiş olur. Gelecekteki “arka kapı” (backdoor) erişimine izin vermek için sisteme kötü amaçlı yazılım yüklerse, sistem bütünlüğünü ihlal etmiş olur.
Erişilebilirlik (Availability), erişilebilirlik, verilere ihtiyaç duydukları zaman ve yerde yetkili kişiler tarafından erişilebilmesidir.
Bilgilerin gerektiğinde kullanılabilir olmasını sağlar. Sistemlerin normal iş kullanımı için kullanılabilir (mevcut) olması gerekir. Kullanılabilirliğe yönelik bir saldırı örneği, bir sistemin hizmetini (veya kullanılabilirliğini) durdurmaya çalışan Hizmet bloke (DoS) saldırısı olabilir. Hizmetlerin ve verilerin yüksek düzeyde erişilebilirliğini sağlamak için yük devretme kümeleme, site esnekliği, otomatik yük devretme, yük dengeleme, donanım ve yazılım bileşenlerinin yedekliliği ve hata toleransı gibi teknikleri kullanın.
Örneğin, işlemesi uzun zaman alan geçersiz isteklerle bir sistemi aşırı yükleyerek bir hizmetin veya verilerin kullanılabilirliğini reddetmeyi amaçlayan bir hizmet reddi (DoS) saldırısını engellemenize yardımcı olabilirler.
Saygı ve sevgilerimle,
Zoptik
Gizlilik (Confidentially), verileri sadece Yetkili kişiler görebilir.
Bilgilerin yetkisiz erişilmesini önlemeye çalışır: verileri gizli tutar. Başka bir deyişle, verilere yetkisiz okuma erişimini önlemeye çalışır. Bir gizlilik saldırısı örneği, kredi kartı bilgileri gibi Kişisel Tanımlanabilir Bilgilerin (PII = Personally Identifiable Information) çalınması olabilir. Verilere yalnızca izin, resmi erişim onayı ve bilmeye ihtiyacı/izni olan kullanıcılar erişebilmelidir. Birçok ülke, ulusal güvenlik bilgilerini gizli tutma isteğini paylaşır ve bunu, gizlilik kontrollerinin yerinde olmasını sağlayarak gerçekleştirir. Büyük ve küçük kuruluşların verileri gizli tutması gerekir.
Bütünlük (Integrity), veri bütünlüğü, verilerin yetkisiz kişiler tarafından değiştirilmediği anlamına gelir.
Bilgilerin yetkisiz değiştirilmesini önlemeyi amaçlar. Başka bir deyişle, bütünlük verilere yetkisiz yazma erişimini önlemeye çalışır. İki tür bütünlük vardır: veri bütünlüğü ve sistem bütünlüğü. Veri bütünlüğü, bilgileri yetkisiz değişikliklere karşı korumayı amaçlar; sistem bütünlüğü, Windows 2008 sunucu işletim sistemi gibi bir sistemi yetkisiz değişikliklerden korumayı amaçlar. Etik olmayan bir öğrenci, başarısız notlarını yükseltmek için bir üniversite notu veri tabanı hacklerse, veri bütünlüğünü ihlal etmiş olur. Gelecekteki “arka kapı” (backdoor) erişimine izin vermek için sisteme kötü amaçlı yazılım yüklerse, sistem bütünlüğünü ihlal etmiş olur.
Erişilebilirlik (Availability), erişilebilirlik, verilere ihtiyaç duydukları zaman ve yerde yetkili kişiler tarafından erişilebilmesidir.
Bilgilerin gerektiğinde kullanılabilir olmasını sağlar. Sistemlerin normal iş kullanımı için kullanılabilir (mevcut) olması gerekir. Kullanılabilirliğe yönelik bir saldırı örneği, bir sistemin hizmetini (veya kullanılabilirliğini) durdurmaya çalışan Hizmet bloke (DoS) saldırısı olabilir. Hizmetlerin ve verilerin yüksek düzeyde erişilebilirliğini sağlamak için yük devretme kümeleme, site esnekliği, otomatik yük devretme, yük dengeleme, donanım ve yazılım bileşenlerinin yedekliliği ve hata toleransı gibi teknikleri kullanın.
Örneğin, işlemesi uzun zaman alan geçersiz isteklerle bir sistemi aşırı yükleyerek bir hizmetin veya verilerin kullanılabilirliğini reddetmeyi amaçlayan bir hizmet reddi (DoS) saldırısını engellemenize yardımcı olabilirler.
Saygı ve sevgilerimle,
Zoptik
Bu içeriği görmek için giriş yapın.