Bilgi Güvenliği Unsurları

Bilgi güvenliği, bilgilerin izinsiz erişimlerden, kullanımından, ifşa edilmesinden, yok edilmesinden, değiştirilmesinden veya hasar verilmesinden korunması işlemidir. Bu yazıda bilgi güvenliğinin temel unsurları incelenecektir.

Bilgi güvenliğinin temelinde gizlilik, bütünlük ve erişebilirlik yatmaktadır. Bu üçlüye kısaca CIA adı verilmektedir. Bu unsurlar temel olarak şu şekildedir:

  • Gizlilik (Confidentiality): Bilginin yetkisiz kişilerin eline geçmesini engellemeyi amaçlamaktadır. Bilgi hem bilgisayar sistemlerinde, hem saklama ortamlarında, hem de ağ üzerinde gönderici ve alıcı arasında taşınırken yetkisiz erişimlerden korunmalıdır. Saldırgan bir yapılandırma veya yazılım hatasını istismar ederek yahut Sosyal Mühendislik teknikleri ile yetkili insanların hatalarını istismar ederek bilgilere izinsiz olarak erişebilir.
  • Veri Bütünlüğü (Data Integrity): Amaç, veriyi olması gerektiği şekilde tutmak ve korumaktır. Bilginin bozulmasını, değiştirilmesini, yeni veriler eklenmesini, bir kısmının veya tamamının silinmesini engellemeyi hedefler. Bu amaçla kritik bilgi için erişim kontrolünün gerçekleşmesi ve belli aralıklarla yedeklemenin gerçekleşmesi gerekmektedir. Bu durumda veri, haberleşme sırasında izlediği yollarda değiştirilmemiş, araya yeni veriler eklenmemiş, belli bir kısmı ya da tamamı tekrar edilmemiş ve sırası değiştirilmemiş şekilde alıcısına ulaşır.
  • Erişilebilirlik (Availability): Bilginin her an ulaşılabilir ve kullanılabilir olmasını amaçlayan prensiptir. Bilişim sistemlerinin kendilerinden beklenen işi sürekli bir şekilde tam ve eksiksiz olarak yapmasını amaçlamaktadır. Erişilebilirlik (Süreklilik) hizmeti, bilişim sistemlerini, kurum içinden ve dışından gelebilecek başarım düşürücü tehditlere karşı korumayı hedefler. Erişilebilirlik hizmeti sayesinde, kullanıcılar, erişim yetkileri dahilinde olan verilere, veri tazeliğini yitirmeden, zamanında ve güvenilir bir şekilde ulaşabilirler.

 

Bu üçlü arasındaki dengenin iyi sağlanması gerekmektedir. Birçok durumda gizlilik sağlanmaya çalışılırken erişilebilirlik azalmaktadır. Dengenin sağlanması için Şekil – 1’deki terazi örneği verilebilir.

Şekil 1 - Gizlilik - Bütünlük - Erişilebilirlik Dengesi

Şekil 1 – Gizlilik – Bütünlük – Erişilebilirlik Dengesi

 

Bilgi güvenliği belirtilen 3 unsur haricinde daha birçok unsurdan oluşur. Bilgi güvenliğini oluşturan en temel unsurlar Şekil – 2’de görülmektedir.

Şekil 2 - Bilgi Güvenliği Unsurları

Şekil 2 – Bilgi Güvenliği Unsurları

 

Gizlilik, bütünlük ve erişilebilirlik hariindeki diğer unsurlar şu şekilde tanımlanabilir.

  • Güvenilirlik (Reliability – Consistency) : Sistemin öngörülen ve beklenen davranışı ile elde edilen sonuçlar arasındaki tutarlılık durumudur. Sistemin kendisinden beklenen şeyi eksiksiz ve fazlasız olarak her çalıştırıldığında tutarlı şekilde yapmasıdır.
  • İnkar Edememe (Non-repudiation): Bu prensip verinin iletildiği gönderici ve alıcı arasında ortaya çıkabilecek iletişim sorunları ve anlaşmazlıkları en aza indirmeyi amaçlar. İki sistem arasında bir bilgi aktarımı yapılmışsa ne gönderen veriyi gönderdiğini, nede alıcı veriyi aldığını inkar edememelidir. Özellikle gerçek zamanlı işlem gerektiren finansal sistemlerde kullanım alanı bulmaktadır.
  • Kimlik Sınaması (Authentication): Kullanıcının sisteme bağlanabilmesi için ilk başta yapılması gereken işlemdir. Sistem kullanımı sırasında cihaz veya kullanıcının kimliğinin doğrulanmasıdır. Bu işlem ile kullanıcının sahip olduğu kullanıcı adının sistemde kayıtlı olup olmadığı kontrol edilir. Daha sonra kullanıcıya verilen parola da kontrol edilerek doğrulama işlemi yapılır. Doğrulama sağlanırsa kullanıcıya sisteme giriş izni verilir. Bilgisayar ağları ve bilgisayar sistemleri dışında fiziksel sistemler için de çok önemlidir ve bu yüzden akıllı kartlar veya biyometrik teknolojilere dayalı kimlik sınama sistemleri kullanılamaya başlanmıştır.
  • Yetkilendirme (Authorization): Kullanıcı adı ve parola doğrulaması sağlanan kullanıcıların sisteme, programa veya ağa hangi yetkilerle erişim hakkına sahip olduklarını belirten sistemdir. Sisteme kayıtlı olan kullanıcılar gruplanarak, bu gruplara çeşitli yetkiler verilir. Kullanıcı içerisinde bulunduğu grubun bütün yetkilerine sahiptir. Eğer bir kullanıcı birden fazla gruba üye ise bu gruplara verilen yetkilerin hepsine sahiptir. Güvenliğin tam olarak sağlanabilmesi için kullanıcılara gerekenden fazla yetki verilmemelidir.
  • İzlenebilirlik/Kayıt Tutma (Accountability): Bir sorun ile karşılaşıldığında sorunun tespitinin sağlanabilmesi için kullanılan sistemdir. Sistemde bulunan kullanıcıların yaptıkları bütün işlemler ve erişim saatleri kayıt altına alınır. Bir problem çıktığında ise kullanıcı aktivitelerinin tutulduğu bu kayıtlardan sorun anlaşılmaya ve çözülmeye çalışılır.

 

Kaynak:

https://www.bilgiguvenligi.gov.tr/microsoft-sistemleri-guvenligi-dokumanlari/index.php

 

 

Yazarın Bilgileri

Ertuğrul BAŞARANOĞLU
Ertuğrul BAŞARANOĞLU

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Kullanabileceğiniz HTLM etiketleri ve özellikleri: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

Bu sayfada incelenen konulardan doğacak sorunlar kişinin kendi sorumluluğundadır.