Bilgi güvenliği (BG)
Bilginin, üretim ve hizmet sürekliliği sağlamak, parasal kayıpları en aza indirmek üzere tehlike ve tehdit alanlarından korunmasıdır.
Bilgi, günümüzde üretim faktörü olarak değerlendirilebilmektedir. Kurumlar için vazgeçilemez, önemli bir değerdir. Kurumlar için en kritik varlık bilgidir.
Bilgi Güvenliğinin Temel Amacı;
Veri bütünlüğünün korunması,
Yetkisiz erişimin engellenmesi,
Mahremiyet ve gizliliğin korunması
Sistemin devamlılığının sağlanmasıdır.
Bilgi Güvenliğinin Tehdidi;
Bir sistemin veya kurumun zarar görmesine neden olan istenmeyen bir olayın arkasındaki gizli neden, olarak tanımlanabilir.
Her tehdidin bir kaynağı (threat agent) ve bu kaynağın yararlandığı sistemdeki bir “güvenlik boşluğu” vardır.
Kurumsal Bilgi güvenliği;
Kurumların değerleri, sahip oldukları bilgi ile ölçülmektedir. Bilgi, sadece bilgi teknolojileriyle işlenen bir varlık olarak düşünülmemelidir. Bilgi bir kurum bünyesinde çok değişik yapılarda bulunabilmektedir. Dolayısıyla, bilgi güvenliğini sadece bilgi sistemlerinin güvenliği olarak değerlendirmemek gerekmektedir. Zira bilgi sadece sistemlerde bulunmamakta çeşitli ortamlarda yer almaktadır.
Bu nedenle bilgi güvenliğinin sağlanmasından bahsederken sözü geçen bilgi kavramı sadece bilgi sistemlerinde yer alan bilgiyi ifade etmemektedir. Yani bilgi güvenliği bilgi teknolojileri ile sınırlı tutulmamalıdır. Kurumlar için bu kadar öneme sahip ve her ortamda bulunan bir varlığın korunması, güvenliğinin sağlanması gerekmektedir
Kurumsal bilgi güvenliği insan faktörü, eğitim, teknoloji gibi birçok faktörün etki ettiği tek bir çatı altında yönetilmesi zorunlu olan karmaşık süreçlerden oluşmaktadır. Yani, bilgi güvenliği sadece bir Bilgi Teknolojisi (BT) ya da yaygın söylemle Bilgi Sistemleri işi değildir; kurumun her bir çalışanının katkısını ve katılımını gerektirir. Ciddi boyutta bir kurum kültürü değişimi gerektirdiği için, en başta yönetimin onayı, katılımı ve desteği şarttır. BT’nin teknik olarak gerekli olduğunu saptadığı ve uyguladığı teknik güvenlik çözümleri, iş süreçleri ve politikalarla desteklenmemiş ve kurum kültürüne yansıtılmamışsa etkisiz kalacaklardır. Gerekli inanç ve motivasyon yaratılamamışsa, çalışanlar şifrelerini korumakta özensiz, hassas alanlarda gördükleri yabancı kişilere karşı aldırmaz, kağıt çöpüne gerekli imha işlemini yapmadan atacakları bilgilerin değeri konusunda dikkatsiz olabilecekler ve yapılan güvenlik yatırımlarına karşın büyük bir açık oluşturmaya devam edebileceklerdi.
Güvenliği Sağlama Araçları;
-
Fiziksel Güvenlik:
-
Fiziksel önlemlerle (güvenli ortam vb) güvenliğinin sağlanması.
-
-
Kullanıcı Doğrulaması Yöntemleri:
-
Akıllı kart, tek kullanımlı parola, token ve Public Key Certificate gibi araçlar ve RADIUS gibi merkezi kullanıcı doğrulama sunucularının kullanılması.
-
-
Şifreleme:
-
Güvensiz ağlar üzerinden geçen verilerin güvenliği için Virtual Private Network veya şifreleme yapan donanımların kullanılması. Ayrıca web tabanlı güvenli veri transferi için SSL ve Public Key şifrelemenin kullanılması. Donanım tabanlı şifreleme çözümleri de mümkündür.
-
-
E-imza
Güvenlik Prensipleri;
-
Gizlilik(Confidentiality):
-
Depolanan ve taşınan bilgilere yetkisiz erişimlerin engellenmesi
-
Gizli bilgilerin korunması ve mahremiyetinin sağlanması
-
-
Güncellik ve Bütünlük (Accuracy & Integrity)
-
Kullanıcılara bilgilerin en güncel halinin sunulması
-
Yetkisiz değişikliğin ve bozulmanın engellenmesi
-
-
Süreklilik(Availability)
-
Sistemin kesintisiz hizmet vermesi
-
Performansın sürekliliği
-
-
İzlenebilirlik ya da Kayıt Tutma(Accountability)
-
Kullanıcının parolasını yazarak sisteme girmesi
-
Web sayfasına bağlanmak
-
E-posta almak-göndermek
-
-
Icq ile mesaj yollamakKimlik Sınaması(Authentication)
-
Alıcı-gönderici doğrulaması
-
Parola doğrulaması
-
Akıllı kart, biyometri doğrulaması
-
-
Güvenilirlik(Reliability-Consistency)
-
Sistemden bekleneni eksiksiz ve fazlasız vermesi
-
%100 Tutarlılık
-
-
İnkâr Edememe(Nonrepudiation)
Bu yöntemler yeterli mi?
-
Ancak bu tür önlemlerin alınması tek başına yeterli değildir.
-
Bilgi güvenliği bilgi yönetimi içinde bir süreç olarak görülmelidir.
-
Her kurum bir güvenlik politikası oluşturmalı, bunu yazılı olarak raporlayarak, çalışanlarına, paydaşlarına aktarmalıdır.
-
BIT Standartları benimsenmeli ve uygulanmalıdır.
BİT Standartları;
-
Yazılım Paketleri Ürün Belgelendirmesi (TS 12119),
-
Yazılım Süreç Yönetimi Belgelendirmesi (TS 15504),
-
Bilgi Güvenliği Yönetim Sistemi Belgelendirmesi (TS ISO /IEC 27001)
-
Ortak Kriterlerler (TS ISO/IEC 15408) Belgelendirmesi
TS ISO IEC 27001 ’nin kapsamı ve hedefleri
-
Kuruluşun tüm iş riskleri kapsamında yazılı bir BGYS’in oluşturulması, gerçekleştirilmesi, işletilmesi, izlenmesi, gözden geçirilmesi, sürdürülmesi ve geliştirilmesi için gereksinimleri belirtir.
27001 BGY Sürecinde Ana Kontrol Alanları;
-
Bilgi güvenliği politikası
-
BG organizasyonu
-
Varlık yönetimi
-
Personel güvenliği
-
Fiziksel çevre güvenliği
-
İletişim ve işletim yönetimi
-
Erişim kontrolü
-
İhlal olayları yönetme
-
İş sürekliliği
-
Uyum
Bilgi güvenliği politikası;
-
Bir bilgi güvenliği politika dokümanı, yönetim tarafından onaylanmalı, yayınlanmalı ve tüm çalışanlar ve ilgili taraflara bildirilmelidir.
-
Bilgi güvenliği politikası, belirli aralıklarla veya önemli değişiklikler ortaya çıktığında sürekli uygunluğunu, doğruluğunu ve etkinliğini sağlamak için gözden geçirilmelidir.
Varlık Yönetimi;
-
Kurumun varlıklarının tümü açıkça tanımlanmalı ve önemli varlıkların bir envanteri hazırlanmalı ve tutulmalıdır.
-
Bilgi işleme olanakları ile ilişkili tüm bilgi ve varlıklar atanan bir bölüm tarafından sahiplenilmelidir.
-
Bilgi, değeri, yasal gereksinimleri, hassaslığı ve kuruluş için kritikliğine göre sınıflandırılmalıdır.
İnsan Kaynakları Güvenliği;
-
Çalışanlar, yükleniciler ve üçüncü taraf kullanıcıların güvenlik rolleri ve sorumlulukları kuruluşun bilgi güvenliği politikasına uygun olarak tanımlanmalı ve dokümante edilmelidir.
Tüm işe alınacak adaylar, yükleniciler ve üçüncü taraf kullanıcıları ilgili yasa, düzenleme ve etik ilkelere göre çalışmaları için uygun doğrulama kontrolleri gerçekleştirilmelidir
Fiziksel ve Çevresel Güvenlik;
-
Bilgi ve bilgi işleme olanaklarını içeren alanları korumak için güvenlik önlemleri (duvarlar gibi engeller, kart kontrollü giriş kapıları, görevli bulunan resepsiyon masaları) alınmalıdır.
-
Veri taşıyan ya da bilgi hizmetlerini destekleyen iletişim ortamları ve araçları, kesilme ya da hasarlardan korunmalıdır.
İletişim ve İşletim önetimi;
-
İşletim prosedürleri dokümante edilmeli, sürdürülmeli ve ihtiyacı olan tüm kullanıcıların kullanımına sunulmalıdır.
-
Bilgi ve yazılımlara ait yedekleme kopyaları alınmalı ve yedekleme politikasına uygun şekilde düzenli olarak test edilmelidir.
Erişim Kontrolü;
-
Erişim için iş ve güvenlik gereksinimlerini temel alan bir erişim kontrol politikası kurulmalı, dokümante edilmeli ve gözden geçirilmelidir.
-
Kullanıcılardan, parolaların seçiminde ve kullanımında güvenlik uygulamalarını izlemeleri istenmelidir.
-
Ağlarda, bilgi hizmetleri, kullanıcıları ve bilgi sistemleri grupları ayrılmalıdır.
-
Etkin olmayan oturumlar tanımlanmış belirli bir hareketsizlik süresinden sonra kapatılmalıdır.
Bilgi Sistemleri Edinim, Geliştirme ve Bakım;
-
Uygulama sistem yazılım güvenliğini sağlamak için gerekli kontrol prosedürleri belirlenmeli ve uygulanmalıdır.
-
Outsorce edilen yazılımlar kuruluş tarafından denetlenmeli ve izlenmelidir.
-
Kullanılan bilgi sisteminin teknik açıklıkları hakkında zamanında bilgi elde edilmeli, kuruluşun bu tür açıklıklara maruz kalması değerlendirilmeli ve riskleri hedef alan uygun önlemler alınmalıdır.