Bilgi Güvenliği Sistemi

 

Bilgi Güvenliği Sistemi

Bilgi Nedir?

Sözlük anlamıyla bilgi, öğrenme, araştırma ve gözlem yoluyla elde edilen her türlü gerçek, malumat ve kavrayışın tümüdür. Bilgi, birçok farklı şekillerde tanımlanabilmektedir. Bilgi doğruluğu kanıtlanmış inanışlardır. Bilgi, önceden belirlenen bir dizi sistematik kural ve prosedüre uyacak bir biçimde işlenmiş enformasyondur. Bilgi, sosyal bir varlık olan insanlar arasında gerçekleşen iletişim esnasında paylaşılan, aktarılan ve yeniden şekillendirilen tecrübe ve enformasyonlardır. Bilgi, belirli bir durum, sorun, ilişki, teori ya da kurala ait veri ve enformasyondan oluşan anlayışları kapsar. Bilgi içinde yaşadığımız dünyayı ve olayları yorumlamak ve yönetmek için uyguladığımız anlayış, kavrayış ve genellemelerle, bize güçlü bir kavrayış ve bakış açısı kazandıran her türlü zihni faaliyettir. Bilgi, sosyal herhangi bir durumda karşımıza çıkan eylem ve olayları anlamamıza yardım eden işaret ve kodlamalardır. Bilgi, insanların ve organizasyonların aktif bir biçimde eylem gerçekleştirmeleri için sahip olmaları gereken kapasitedir.

Bilgiyi daha iyi tanımlamak amacıyla benzer bazı kavramların anlamı ile bilginin anlamı arasındaki farklılıkların ortaya konması gereklidir. Bilgi, veri ve enformasyon gibi, daha ham olan anlam formlarıyla, anlayış-kavrayış ve akıl-bilgelik gibi daha zor ve işlenmiş anlam formları arasında yer almaktadır. Veri, gözlemlenebilen, ölçülebilen veya hesaplanabilen bir davranış yada tutuma ait bir değerdir. Veri, kavramsal bir bütün ve yapı içerisinde bulunan bir tür enformasyondur. Enformasyon verileri ve belirli yorum ya da işlemleri içermektedir ve verilere göre daha belirli bir çerçeveye sahiptir. Başka bir deyişle, enformasyon elde edilebilen, filtrelenen ve işlemden geçen verilerdir. Bilgi, deney, tecrübe, yorum ya da fikrin bir araya gelmesi sonucu oluşan enformasyonlardır. Bilgi, sosyal olaylarda, karar ve eylemler için uygulanmaya hazır yüksek değerde bir enformasyon biçimidir. Bilgi kişisel anlamda düzenlenmiş enformasyondur ve genelde deney ve tecrübelerin birleşiminden oluşmaktadır. Anlam piramidinin en tepesinde yer alan akıl ve bilgelik ise, sosyal olaylarda doğru ya da yanlış olanı belirlememize yarayan bütün bilgileri kapsar. Sosyal olayların nedenlerini doğru bir şekilde kavramamıza ve en doğru ya da en güze olanı seçmemize yardımcı olan anlama, kavrama ve akıl yürütme aşamalarında isabetli karar almamız bilginin sistematik bir biçimde işlenmesi, gözlem ve tecrübelerle yeniden şekillendirilmesi yoluyla mümkün olabilir. Bu aşama anlam piramidindeki son alt aşamayı, kısaca akıl-bilgelik aşamasını simgeler.

Bilgi Güvenliği Nedir?

Bilgi, kurumdaki diğer varlıklar gibi, kurum için önem taşıyan ve bu nedenle de en iyi şekilde korunulması gereken bir varlıktır. Bilgi güvenliği; kurumdaki işlerin sürekliliğinin sağlanması, iş alanında meydana gelebilecek aksaklıkların azaltılması ve yatırımlardan gelecek faydanın yükseltilmesi için bilginin geniş çaplı tehditlerden korunmasını sağlar. Bilgi, birçok biçimde bulunabilir; kâğıtta yazılı olabilir, elektronik ortamda saklanıyor olabilir, posta ya da elektronik posta yoluyla bir yerden bir yere iletilebilir ya da kişiler arasında sözlü olarak ifade edilebilir. Bilgi hangi formunda olursa olsun, mutlaka uygun ve doğru bir şekilde korunmalıdır. Bilgi güvenliğinin sağlanabilmesi bilginin gizliliğinin, bütünlüğünün ve kullanılabilirliğinin yeterli olacak bir düzeyde sağlanabilmesi zorunludur. Bilgi güvenliği temelde aşağıdaki üç unsuru hedefler
• Gizlilik (Confidentiality)
• Bütünlük (Integrity)
• Kullanılabilirlik (Availability).

Gizlilik; bilginin yetkisi olmayan kişilerin erişimine kapalı olması durumu, şeklinde tanımlanabilir. Gizlilik; bilginin yetkisiz kişiler tarafından açığa çıkarılmasının engellenmesidir.

Bütünlük; bilginin yetkisi olmayan kişiler tarafından değiştirilmesi, silinmesi ya da herhangi bir şekilde zarar verilmesi, tehditlerine karşı içeriğinin korunmasıdır. Bütünlük için kısaca kaza ile veya kasıtlı olarak bilginin bozulmaması söylenebilir. Kullanılabilirlik; bilginin her ihtiyaç duyulduğunda kullanıma hazır durumda olması demektir. Herhangi bir sorun ya da problem çıkması durumunda bile bilginin erişilebilir olması kullanılabilirlik özelliğinin bir zorunluluğudur. Bu erişim kullanıcının hakları bağlamında olmalıdır. Kullanılabilirlik, ilkesi dahilinde her kullanıcı erişim hakkının bulunduğu bilgi kaynağına, yetkili olduğu zaman diliminde mutlaka erişebilmelidir.

Bilgi Güvenliği Sistemi Nedir?

Bilgi güvenliği, bilginin güvenliğini, bütünlüğünü sağlayan ve gerektiğinde yetkili kişilerin bilgiye kolay bir şekilde ulaşmasına imkan veren bir sistemdir. BGYS olarak kısaltılır. Uluslararası ISO 27001:2013 standardı ile kural haline getirilmiştir. Bu standardın gereklerini yerine getirmekte olan bir kuruluş, değer varlıklarının en başında gelen, Bilgi varlıklarının güvenliğini sağlamaya yönelik, mühim bir ilerleme kaydetmiş demektir.

Yasa tarafından kısıtlanmış veya düzenlenmiş bir işin uygulanması, bir girişimde bulunabilmesi için, kamu otoritesi tarafından verilen ve devredilemeyen bir izin işlemidir.

Bgys, bilgilerin izin olmaksızın kullanımından, izin olmaksızın ifşa edilmesinden, izin olmaksızın yok edilmesinden, izin olmaksızın değiştirilmesinden, bilgilere hasar verilmesinden koruma, veya bilgilere yapılacak olan izinsiz erişimleri engelleme işlemi. Bilgi güvenliği, bilgisayar güvenliği ve bilgi sigortası terimleri, sık olarak birbirinin yerine kullanılmaktadır. Bu alanlar bağlantılılardır ve mahremiyetin, bütünlüğün ve bilginin ulaşılabilirliğinin korunması hususunda ortak amaçları paylaşırlar.

Bilgi Güvenliği Sistemi Yararları?

● Çalışanlar arasında, bilginin korunması konusunda farkındalık yaratılmış olur.
● Bilgi güvenliği sürekli değerlendirilmiş olur.
● Performans sürekli izlendiği için sistemin gelişimi daha hızlı olur.
● Bilgi güvenliğine yönelik faaliyetler, süreç ve dokümantasyon çalışmaları ile desteklenmiş olur.
● Bilgi sistemleri ve bilgisayar ağları sürekli kontrol altında tutulacağından, sistem, bilgisayar destekli tehdit ve tehlikelerden de korunmuş olur.
● Kuruluşta bilginin korunmasına verilen önem gösterilmiş olur.
● Bilgi varlıklarının olası saldırılara ve kötü niyetli kullanıma karşı korunduğu kanıtlanmış olur.
● Kuruluşun faaliyet sürekliliği sağlanmış olur.
● Bilginin gizli, güvenilir ve ulaşılabilir olması ile müşteriler nezdinde güven duygusu yaratılmış olur.
● Aynı zamanda piyasada kuruluş rekabet gücü kazanmış olur.
● Kuruluşun nakit akışı ve verimliliği yükselmiş olur.
● Bilgiye ulaşmada gereksiz zaman kaybının ve gereksiz iş yükünün önüne geçilmiş olur.
● Sektörde kuruluşun imajı yükselmiş olur.
● asa ve yönetmelikler gibi resmi yasal düzenlemelere uyulmuş olur.

Bilgi Güvenliği Sisteminin 4 Temel İlkesi

Gizlilik :
ISO 27001 Bilgi Güvenliği Yönetim Sistem Standardındaki terimlerin açıklandığı ISO/IEC 27000 BGYS sözlüğünde “Gizlilik” ; “Bilginin, yetkisiz kişiler, varlıklar veya işlemler için elverişli yapılmaması ya da açıklanmaması özelliği” olarak tanımlanmaktadır. Harici cihazların (flash bellek, disk vb.) yanında ağ güvenliğinde de önlemlerin alınarak gizliliğin sağlanması gerekmektedir. Saldırganlar birçok yol ile saldırı gerçekleştirebilir ve bunların sonucunda gizli olan ve gizli kalması gereken bilgilere erişebilirler. Bunların en yaygını sosyal mühendislik dediğimiz uygulamadır. Gizli bilgiye erişimi olan bir kullanıcı takip edilerek şifreleri veya özel bilgileri ele geçirilir. Gizlilik hususunun temelinde şifre algoritmaları kullanmak gerekir.

Bütünlük:
ISO 27001 Bilgi Güvenliği Yönetim Sistem Standardının en önemli şartlarından biri bilginin bütünlüğünün korunmasıdır. ISO/IEC 27000 BGYS sözlük standardında “bütünlük”, “Varlıkların doğruluğunu ve tamlığını koruma özelliği” olarak tanımlanır. Verinin, kaynaktan çıkan versiyonuyla alıcıya ulaştırılabilmesidir. Verinin taşınması sırasında hiçbir değişiklik olmaması gerekir. Bunun sağlanabilmesi için özetleme algoritması kullanılır. Eğer veride herhangi bir değişiklik olursa bütünlük ilkesi bozulmuş demektir.

Erişilebilirlik:
ISO/IEC 27000 BGYS sözlükte, “erişilebilirlik”, “Yetkili bir tüzel kişilik tarafından talep edildiğinde erişilebilir ve kullanılabilir olma özelliği” olarak tanımlanmaktadır. Bilgiye ulaşmanın yanı sıra bilgiye istenildiğinde veya gerektiği zaman ulaşılabilmesi gerekir. Bunun sağlanılması, erişilebilirlik ilkesi ile açıklanır. Bu aynı zamanda da bilgi güvenlik çalışanlarının en çok ihtiyaç duyduğu alanlardan birisidir. Olası bir saldırı anında, kendi erişimleri dahilinde olan ve gerektiğinde ulaşmaları gereken verilere ne kadar hızlı ulaşılabilirse o kadar hızlı tepki verebilirler. Bu saldırılar erişilebilirliği düşürme amacıyla da olabilir. (Denial of Service Attack, DDOS). Aynı zamanda, doğal afetler, eğitimi yetersiz personel hataları gibi durumlardan da kaynaklanabilir. Bilişimde erişimin sağlanabilmesi için güvenlik duvarları, saldırı tespit sistemleri ve antivirüs uygulamaları kullanılmalıdır.

Kayıt Tutma:
ISO/IEC 27000 BGYS sözlükte, “kayıt”, “Elde edilen sonuçları belirtilen veya gerçekleştiren faaliyetin delillerini sağlayan doküman” olarak tanımlanmaktadır. Sanal ortamlarda gerçekleşen olayları kayıt altına alıp, sıralı bir şekilde analiz etmektir. Bu olaylar, dijital ortamda veya veri ağı üzerinde gerçekleşen herhangi bir olayı tanımlar. Gerekli analizlerin yapılması sonucunda, saldırı fark edilir, saldırı ihtimali yüksek bir aktivite görülürse, bilinen bir saldırı türü tespit edilirse bir uyarı metni oluşturularak, gerekli konumlara geri dönüş mesajı gönderilir. Böylece döngü tersten çalıştırarak, saldırganın kimliği ve yeri tespit edilebilir.