Bilgi Güvenliği Nedir?
Bilgi güvenliği, bilginin bir varlık olarak tehdit veya tehlikelerden korunması için doğru teknolojinin, doğru amaçla ve doğru şekilde kullanılarak, bilginin varlığının her türlü ortam üzerinde istenmeyen kişiler tarafınca elde edilmesini önleme girişimidir.
Bilgi güvenliği; sağlanan servislerin, sistem ve verilerin korunmasını sağlar. Kullanıcılar bilgi güvenliğini kendi bakış açıları ile değerlendirdiğinde, basit bir tanım olarak; günlük hayatta kullanılan bilgisayar ve akıllı telefonlar ile kullandığı sistemlere giriş güvenliğinin sağlanması olarak düşünülebilir. Bir başka deyişle, bilgilerin izinsiz kullanımından, izinsiz ifşa edilmesinden, izinsiz yok edilmesinden, izinsiz değiştirilmesinden, bilgilere hasar verilmesinden koruma, veya bilgilere yapılacak olan izinsiz erişimleri engelleme işlemi. Bilgi güvenliği, bilgisayar güvenliği ve bilgi sigortası terimleri, sık olarak birbirinin yerine kullanılmaktadır.
Verinin paylaşımı ve sürekli olarak erişime açık olma durumu dolayısıyla bilginin gönderen kaynak tarafından alıcıya kadar gizlilik içerisinde, bozulmaya uğramadan, yok edilmeden, değişime uğramadan ve başkaları tarafından ele geçirilmeden bütünlüğü sağlanmış bir şekilde iletilmesi bilgi güvenliğinin sağlanması için temel kriterlerdir.
Bilgi Güvenliğinin Bileşenleri Nelerdir?
Bilgi güvenliğinin 7 unsuru bulunmaktadır. Bunlar güvenirlilik, bütünlük, kimlik tespiti, inkar edememe, gizlilik, log (kayıt) tutma ve erişilebilirlik.
1) Güvenirlilik
Sistemlerin kurulumundan sonra bu sistemlerden beklenen davranış ile oluşan sonuç arasındaki tutarlılık olarak özetlenebilir. Bir cihazın veya sistemin, istenen şekilde kurulumu gerçekleştikten sonra; istenildiği gibi çalışıp çalışmadığının gözlemi üzerine yapılan analiz, sistemin güvenilirlik durumunu ortaya koyacaktır. Güvenilirlik, ISO/IEC 27000 BGYS sözlük standardında Davranış ve sonuçların tutarlılık özelliği olarak tanımlanır. Sistemlerin kurulumundan sonra bu sistemlerden beklenen davranış ile oluşan sonuç arasındaki tutarlılık olarak özetlenebilir. Bir cihazın veya sistemin, istenen şekilde kurulumu gerçekleştikten sonra; istenildiği gibi çalışıp çalışmadığının gözlemi üzerine yapılan analiz, sistemin güvenilirlik durumunu ortaya koyacaktır.
2) Bütünlük
Bilginin yetkisi olmayan kişilerce değiştirilmemesidir yani bilgiyi gerektiği şekilde tutmak ve saklamaktır. Başka bir deyişle, bütünlük verilere yetkisiz yazma erişimini önlemeye çalışır. İki tür bütünlük vardır: veri bütünlüğü ve sistem bütünlüğü. Veri bütünlüğü, bilgileri yetkisiz değişikliklere karşı korumayı amaçlar; sistem bütünlüğü, Sunucular, network cihazları gibi bir sistemi yetkisiz değişikliklerden korumayı amaçlar. Kötü niyetli bir kullanıcı, mail sunucusunu hackleyip yetkileri değiştirirse, veri bütünlüğünü ihlal etmiş olur. Gelecekteki “arka kapı” (backdoor) erişimine izin vermek için sisteme kötü amaçlı yazılım yüklerse, sistem bütünlüğünü ihlal etmiş olur.
3) Kimlik Tespiti
Bilgiye erişmek isteyen kullanıcının kimliğinin doğrulanıp tespiti yapılarak sistemde kayıtlı olup olmadığının doğrulamasıdır. Sistemlere veya internet üzerindeki bir web sayfasına giren tüm kullanıcıların kimliklerini belirtilen yöntemler ile örneğin kullanıcı adı parola ile veya bankaların internet şubelerine girişlerde kullanılan T.C. kimlik numarası, parola ile doğru kişinin sisteme girdiğinin doğrulanması işlemidir. Bu şekilde kötü niyetli kişilerin sisteme girişleri engellenmiş olur. Kimlik tespiti, ISO/IEC 27000 BGYS sözlük standardında bir tüzel kişiliğin, iddia edilen karakteristiğinin doğru olduğuna dair güvencenin temini olarak tanımlanır
4) İnkar Edememe
Bilginin paylaşılması durumunda bilgiyi gönderen kişi ile bilgiyi alan kişinin, bilginin paylaşılmadığını inkar edememesidir. İnkar edememe, ISO/IEC 27000 BGYS sözlük standardında ise olayın veya faaliyetin olup olmadığının hakkındaki anlaşmazlıkları ve olay içerisindeki kaynakları çözmek amacıyla, iddia edilen olayın veya faaliyetin oluşumunun ve kaynağının ispat edilebilirliği olarak tanımlanır.
5) Gizlilik
Bilginin yetkisi olmayan kişilerin eline geçmesinin engellenmesidir yani bilgiye erişim yetkisi bulunmayan kişilerin erişip, değiştirmesini veya herhangi bir şekilde kullanmasını kısıtlamaktır. Bir gizlilik saldırısı örneği, kredi kartı bilgileri gibi Kişisel Tanımlanabilir Bilgilerin çalınması olabilir. Verilere yalnızca izin, resmi erişim onayı ve bilmeye izni olan kullanıcılar erişebilmelidir. Birçok ülke, ulusal güvenlik bilgilerini gizli tutma isteğini paylaşır ve bunu, gizlilik kontrollerinin yerinde olmasını sağlayarak gerçekleştirir. Büyük ve küçük kuruluşların verileri gizli tutması gerekir.
6) Log (kayıt) Tutma
Log, bir sistemdeki olayların, saat, kullanıcı adı ve eylem cinsinden otomatik olarak kaydedilmesi işlemidir. Bu kayıt, sistem hatalarının ve sistemde yapılan değişikliklerin sonradan kontrol edilebilmesi için de tutulmaktadır. İnternete bir ağ üzerinden giren tüm kullanıcılar ile bir ağda bulunan tüm bileşenlerin ağda yaptıkları işlemler de benzer şekilde kaydedilir.
7) Erişilebilirlik
Bilginin yalnızca yetkisi olan kişiler tarafından erişilebilir olması durumudur. Bilgilerin gerektiğinde kullanılabilir olmasını sağlar. Kullanılabilirliğe yönelik bir saldırı örneği, bir sistemin hizmetini durdurmaya çalışan Hizmet bloke (DoS) saldırısı olabilir. Hizmetlerin ve verilerin yüksek düzeyde erişilebilirliğini sağlamak için yük devretme kümeleme, site esnekliği, otomatik yük devretme, yük dengeleme, donanım ve yazılım bileşenlerinin yedekliliği gibi teknikleri kullanın. Erişilebilirlik, ISO/IEC 27000 BGYS sözlük standardında “Yetkili bir tüzel kişilik tarafından talep edildiğinde erişilebilir ve kullanılabilir olma özelliği” olarak tanımlanır.
Bu ilkelere uyumun sağlanması ile bilgi teknolojilerinin güvenliği konusunda endişe en aza indirilir. Sürdürülebilirlikte gözle görülür miktarda artış gösterir.
Bu yazıyı okuyanlar, bunları da okudu;
Her BT Uzmanının Bilmesi Gereken 12 Güvenlik Kuralı
IP Santrallarda Güvenlik Önlemleri
IT Alanında Siber Güvenlik - İç ve Dış Tehditlerinin Analizi