Bilgi Güvenliği Bakış Açısı İle Varlık Güvenliği

0
1648
views
Bilgi güvenliğini sağlama konusundaki en önemli unsurlardan birisi varlık güvenliğini sağlamaktır. Bu yazıda varlık güvenliğinin (Asset Security) konusu incelenecektir.

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

Bir organizasyon için ekipmanlar, çalışanlar, bilgi gibi kısaca kurum için değerli olan her şey varlık olarak tanımlandırılabilir. Bilgi ise, kurum için en değerli varlık olarak belirtilebilir ve korunması kurum için oldukça önemlidir.

 

A) Veri Yaşam Döngüsü

Varlık güvenliği (Asset Security) varlıkların tanımlarının yapılması, sınıflandırılması, etiketlenmesi, saklanması, sahiplik atamalarının yapılması gibi yaşam döngüsü boyunca yapılan kontrollerdir.

Veri yaşam döngüsü 4 adımdan oluşur.

Bilgi Yaşam Döngüsü

 

Not: Bunun yanında fakrlı yaşam döngüleri de sunulabilir. Örneğin bir donanım yaşam döngüsü aşağıdaki gibi de sıralanabilir.

  • Gereksinimleri tanımlama
  • Elde etme / edinme (Acquire) ve uygulama (Implement)
  • Ürünü işletme (Operate) ve bakımını sağlama (Maintain)
  • Kullanımdan kaldırma (Disposal) ve hizmetten çıkarma (Decommission)

 

A.1) Veri Edinimi / Oluşturulması (Acquisition)

Veri iki farklı şekilde edinilebilir

  • Farklı bir yerden kopyalanabilir.
  • İlk defa oluşturulabilir.

 

Sistem kullanılmadan önce;

  • Oluşturulma tarihi/saati, yazarı gibi meta veriler (metadata) eklenir.
  • Sınıflandırma, sahiplik gibi iş sürecine ait meta veriler (metadata) eklenir.
  • Arama durumlarında bulunmasının kolaylaştırılması için veriler etiketlenir.
  • Şifreleme, erişim kuralları oluşturma gibi çeşitli kontroller uygulanır.
  • Hassas verilere erişimde daha katı kontroller uygulanır.

 

A.2) Veri Kullanımı (Use)

Veriye sadece yetkilendirilmiş kişilerce erişilebilmelidir. Veri kullanılırken bütünlüğü bozulmamalıdır.

 

A.3) Veri Arşivlenmesi (Archival)

Veri, sonraki dönemde ihtiyaç olması ya da yasal zorunluluklar gibi sebepler ile arşivlenebilir. Arşiv tutma süresi ve şartları önemli olup, uzmanlık ister. Arşiv tutma konusu için teknoloji ve hukuki tarafları göz önünde bulundurulmalıdır. Örneğin DHCP logları X yıl saklanır, bankacılık verileri Y yıl saklanır gibi bir takım regülatif zorunluluklar bulunur.

 

Veri yedekleme ve veri arşivlenme konuları birbiri ile karıştırılabilmektedir.

 

  • Yedekleme (Backup): Mevcutta kullanımda olan verilerin birer kopyasıdır ve orijinal verinin kaybının önlenmesi (günlük operasyonlar) amacıyla yapılır.
  • Arşivleme (Archiving): Gelecekteki dönemlerde ihtiyaç olması durumunda kullanılması amacıyla verilerin kopyalanmasıdır. Arşivleme aşamasında veri orijinal konumundan kaldırılır.

 

A.4) Veri İmhası (Disposal)

Bilgi kullanıldıktan sonra yok edilmelidir. Bu amaçla,

  • Veri imha prosedürleri oluşturulmalıdır.
  • Veri imhasında sorumluluklar tanımlanmalıdır.
  • Verinin hem yazılı ortamda, hem de dijital kopyaları olabilir. Bu süreçte bütün ortamlardaki kopyalar imha edilmelidir.

 

B) Veri Yönetimi Süreci

Veri yönetimi oldukça zorlu bir süreçtir. Veri yönetimi süreci için en iyi uygulama (best practices) adımları aşağıdaki gibi sıralanabilir.

  • Kurumdaki genel veri yönetimi programına rehberlik edecek bir veri yönetimi politikası oluşturun.
  • Verilere güvenilir bir şekilde erişim sağlama maliyetine karşı, veri sağlama maliyeti dikkate alınmalıdır.
  • Veri sahipleri ve veri muhafızları gibi verileri yönetmek için rolleri ve sorumlulukları açıkça tanımlayın.
  • Veri yönetimi için kontrollerin, süreçlerin ve uygulamaların etkinliğini denetleyin.
  • Veri gizliliğinin (public, secret, sensitive… gibi) açıklığa kavuşturulması gerekir.
  • Verilerin doğruluğunu ve bütünlüğünü doğrulamak ve onaylamak için süreçler oluşturun.
  • Her veri kümesi için belirli veri yönetimi uygulamalarını ve verilere ait metadataları dokümante edin.
  • Verilerin korunmasını artıracak veri güvenliğine yönelik katmanlı bir yaklaşım izleyin.
  • Veri erişimi için açıkça tanımlanmış kriterler oluşturun.
  • Veri ve bilgilerle ilgili yasalar ve politikalar uygulanırken dikkate alınmalıdır. Mevcut mevzuat ve politika gereksinimleri, işletmenin veri politikası üzerinde etkili olabilir.

 

C) Veri Sınıflandırma

Kurumların bütçeleri sınırsız değildir ve her varlık için aynı güvenlik önlemlerini alamazlar. Bu nedenle sınıflandırma yaparak kendileri için önemli varlıkları belirler ve bu varlıkların korunmasını önceliklendirmiş olurlar.

Kurumlar, verilerini kritiklik (criticality), hassasiyet (sensitivity) ya da her ikisine göre sınıflandırma yapılabilir. Kritikliğine ve hassasiyetine göre sınıflandırma yapıldıktan sonra, hangi seviyede hangi kontrollerin gerekli olduğu belirlenebilir.

Bir varlığı sınıflandırırken, o varlığın değeri en önemli kriterdir.

Veri sınıflandırması, verinin en uygun maliyetli şekilde korunmasını sağlar.

Bir medya içerisinde birden farklı sınıfta veri varsa, ilgili medya, içerdiği verilerin en yüksek sınıflandırma seviyesine göre etiketlenir.

 

 

C.1) Veri Türleri

C.1.1) Kişisel Veriler

Kişisel olarak tanımlanmayı sağlayacak bilgiler (Personally Identifiable Information – PII), bir kişinin belirli veya belirlenebilir olması, mevcut verilerin herhangi bir şekilde bir gerçek kişiyle ilişkilendirilmesi suretiyle, o kişinin tanımlanabilir hale getirilmesini sağlayacak bilgilerdir. National Institute of Standards and Technology (NIST) Special Publication (SP) 800-122 tarafından aşağıdaki şekilde tanım yapılmıştır:

  • Ad-Soyad, Sosyal Güvenlik Numarası, Doğum Tarihi ve Yeri, Annenin Kızlık Soyadı veya Biyometrik Kayıtlar gibi bir bireyin kimliğini ayırt etmek veya izlemek için kullanılabilecek herhangi bir bilgi
  • Tıbbi, Eğitim, Finans ve İstihdam Bilgileri gibi bir bireyle bağlantılı veya bağlantılı olan diğer bilgilerdir.

 

Kurumlar için de en kritik bilgiler çalışan ya da müşterilere ait kişisel verilerdir.

 

C.1.2) Sağlık Verileri

Korumalı/Kişisel sağlık bilgileri (Protected/Personel Health Information – PHI), bir kişiyle ilişkili olabilecek sağlık verileridir.

Genel olarak tıbbi geçmişe ait veriler, test ve laboratuvar sonuçları, akıl sağlığı bilgileri, sigorta bilgileri ve bir sağlık uzmanının bir kişiyi tanımlamak ve uygun bakımı belirlemek için topladığı diğer veriler bu kapsama girer.

 

C.2) Veri Sınıflandırma Seviyeleri

Sınıflandırma seviyeleri kurumlar arasında değişkenlik gösterebilir. Kurumlar kendileri için en uygun sınıflandırmayı seçmelidir. Sınıflandırma, verinin hangi ortamda olduğuna bakılmaksızın (dijital ortam, kağıt ortamı gibi) yapılmalıdır.

Özel sektörde ya da askeri alanda kullanılan sınıflandırma seviyeleri birbirinden farklı olarak listelenebilir.

 

C.2.1) Ticari (Commercial/Business)

Ticari veriler 4 farklı seviyede sınıflandırılabilir.

  • Gizli (Confidential / Proprietary): En üst sınıflandırma seviyesidir. Kurum hassas verileri (ticari sır gibi) için geçerlidir ve ifşası durumunda Kurum’u ciddi derecede etkileyebilir.
  • Özel (Private): Bu tür bilgilerin yetkisiz ifşası, kurumu veya çalışanlarını ciddi ve olumsuz etkileyebilir. Örneğin, tıbbi bilgiler, maaş bilgileri,… gibi.
  • Hassas (Sensitive): Normal verilere göre daha yüksek bir sınıflandırma seviyesi gerektiren bilgiler hassas olarak adlandırılabilir. Bu bilgilerin izinsiz ifşa edilmesi şirketi etkileyebilir.
  • Herkese açık (Public): En alt sınıflandırma seviyesidir. Bilginin ifşası durumunda şirket zarar görmez, veriler halka açıktır.
Ticari Sınıflandırma Seviyeleri

 

Ticari verileri dijital olarak etiketlemek için bir filigran (watermark) kullanılır ve verinin sahipliğini belirtmek için kullanılabilir

 

 

C.2.2) Kamu/Askeri (Government/Military)

Kamu/askeri veriler 5 farklı seviyede sınıflandırılabilir.

  • Çok gizli (Top secret): En üst sınıflandırma seviyesidir. Bilginin ifşası durumunda ulusal güvenliğe çok ciddi (grave) derecede zarar verilir.
  • Gizli (Secret): Bilginin ifşası durumunda ulusal güvenliğe önemli derecede (serious) bir zarar verilir.
  • Sır (Confidential): Bu bilgilerin yetkisiz ifşası, ülkenin ulusal güvenliğine zarar verebilir.
  • Hassas ancak sınıflandırılmamış (Sensitive but unclassified): Bu, ifşa edilmesi halinde ülkenin ulusal güvenliğine ciddi zarar vermeyecek, küçük bir sır olarak belirlenmiş bilgilerdir. Ancak, bu tür materyaller halka açık olursa “istenmeyen etkilere” neden olabilir.
  • Sınıflandırılmamış (Unclassified): Bu bilgilerin kamuya açıklanması, bir ülkenin ulusal güvenliğine zarar vermeyecektir.
Askeri/Kamu Sınıflandırma Seviyeleri

 

C.3) Veri Sınıflandırma Süreci

Veri sınıflandırma çalışmaları bir süreç içerisinde ele alınmalıdır. Bu sürecin adımları aşağıdaki gibidir.

  • Sınıflandırma seviyelerini belirleyin.
  • Verilerin nasıl sınıflandırılacağını belirleyecek kriterleri belirleyin.
  • Verilerin sınıflandırılmasından sorumlu olacak veri sahiplerini belirleyin. (İş Birimleri)
  • Verilerin ve güvenlik düzeyinin korunmasından sorumlu olacak veri muhafızlarını belirleyin. (İlgili IT Ekibi)
  • Her bir sınıflandırma seviyesi için gerekli olan güvenlik kontrollerini veya koruma mekanizmalarını belirtin
  • Önceki sınıflandırma sorunlarının istisnalarını dokümante edin.
  • Bilginin saklanmasını farklı bir veri sahibine aktarmak için kullanılabilecek yöntemleri belirtin
  • Sınıflandırmayı ve sahipliği periyodik olarak gözden geçirmek için bir prosedür oluşturun. Herhangi bir değişikliği veri sorumlusuna iletin.
  • Verilerin gizliliğini kaldırmak için prosedürleri belirtin.
  • Bu konuları güvenlik farkındalığı programlarına dahil ederek tüm çalışanların farklı sınıflandırma seviyelerinde verilerin nasıl ele alınacağı konusunda bilgi sahibi olmalarını sağlayın.

 

C.4) Sınıflandırma Kontrolleri

Veri sınıflandırma süreçleri işletilirken bir takım kontroller yapılmalıdır. Bu kontroller aşağıdaki gibi sıralanabilir.

 

  • Tüm hassas veri bulunduran ortamlar için sıkı ve ayrıntılı erişim kontrolü uygulanmalıdır.
  • Saklanırken ve iletim sırasında veriler şifrelenmelidir.
  • Denetleme ve izleme (hangi denetim düzeyinin gerekli olduğu ve logların ne kadar süreyle saklanacağı belirlenmelidir.)
  • Görevler ayrılığı uygulanmalıdır. (Prosedürleri tanımlayın ve dokümante edin)
  • Periyodik gözden geçirmeler yapılmalıdır (iş ihtiyaçlarının devam ettiğinden emin olmak için sınıflandırma düzeylerini ve ortamları gözden geçirin; duruma bağlı olarak verilerin veya uygulamaların da yeniden sınıflandırılması veya sınıflandırılma dışı bırakılması gerekebilir.)
  • Yedekleme ve kurtarma prosedürleri tanımlanmalıdır. (tanımlayın ve dokümante edin)
  • Değişiklik kontrol prosedürlerini oluşturulmalıdır (tanımlayın ve dokümante edin)
  • Fiziksel güvenlik korumaları sağlanmalıdır (tanımlayın ve dokümante edin)
  • Uygun imha işlemlerini tanımlanmalıdır (tanımlayın ve dokümante edin)
  • Etiketleme ve kullanım prosedürleri tanımlanmalıdır.

 

C.5) Veri Standartları

Veri standartları; toplanan, otomatikleştirilen veya kuruluşların faaliyetlerinden veya işlevlerinden etkilenen nesneleri, özellikleri veya öğeleri tanımlar. Bu bağlamda, verilerin dikkatlice yönetilmesi ve tanımlanmış kurallara ve protokollere göre organize edilmesi gerekir. Veri standartları, özellikle veri ve bilgilerin paylaşılması veya bir araya getirilmesi gereken durumlarda önemlidir. Veri standartlarının faydaları aşağıdaki gibi sıralanabilir:

  • Daha verimli veri yönetimi sağlamak (güncellemeler ve güvenlik dahil)
  • Veri paylaşımının artmasını sağlamak
  • Daha yüksek kaliteli veriler ile çalışabilmek
  • Geliştirilmiş veri tutarlılığı sağlamak
  • Verilerin birbiri ile daha etkin bir şekilde entegre edilebilmesini sağlamak
  • Verilerin daha iyi anlaşılmasını sağlamak
  • Bilgi kaynaklarının daha iyi dokümante edilmesini sağlamak

 

D) Sorumluluklar

Üst yönetim her zaman için veri korunumundan nihai sorumludur.

 

  • Üst Yönetim (Executive Management): Kurumda en büyük sorumluluk üst yönetimdedir.
  • CEO (Chief Executive Officer): Kurum’un finans, stratejik planlama ve operasyonlarını üst düzeyde denetler. CEO, görevlerini devredebilir, fakat sorumluluklarını devredemez.
  • CFO (Chief Financial Officer): Kurum’un muhasebe ve mali faaliyetlerinden ve genel mali yapısından sorumludur.
  • CIO (Chief Information Officer): Kurum içerisinde bilgi sistemlerinin kullanımından ve yönetiminden sorumludur.
  • CPO (Chief Privacy Officer): Müşteri, kurum ve çalışan verilerinin güvende tutulmasını sağlamaktan sorumludur.
  • CSO/CISO (Chief Security Officer): Şirketin güvenlik risklerinin belirlenmesi ve bu risklerin kabul edilebilir seviyeye indirgenmesinden sorumludur. CISO, kuruluşun bilgi güvenliği politikalarının oluşturulması ve yasal mevzuatlara uyum sağlanmasından sorumludur.

 

 

  • Veri Sahibi (Data Owner): Genellikle belirli bir iş biriminden sorumlu olan Yönetim Kurulu üyesidir. Verilerin sınıflandırılmasından (etiketlenmesinden) ve gerekli güvenlik kontrollerinin uygulanmasını sağlamaktan (yedekleme sıklığını belirlemek, veriye erişim isteklerinin kurallarını belirlemek,… gibi) sorumludur.
  • İş Sahibi (Business Owner): Veri değerini korumak / sağlamak için regülasyon, güvenlik ve diğer güvenlik gereksinimlerinden destek alırlar. COBIT (Control Objectives for Information and Related Technology) gibi ortak çerçeveleri temel alırlar.
  • Varlık Sahibi (Asset Owner): NIST SP 800-18’e göre, kayda değer bir değişiklik olduğu zaman, sistem güvenlik planını güncellemek ile sorumludur.
  • Veri Muhafızı / Sorumlusu (Data Custodian): Güvenlik kontrollerini uygulamaktan ve sürdürmekten sorumludur. Genellikle IT operasyon ekibindekilerdir. Verinin nasıl korunacağına dair kritik kararlar vermezler.
    • Verilerin düzenli olarak yedeklenmesi;
    • Verilerin bütünlüğünün periyodik olarak doğrulanması;
    • Veri güvenliği ve bütünlüğü için günlük izlemenin gerçekleştirilmesi
    • Yedekleme ortamından verilerin geri yüklenmesi;
    • Faaliyet kayıtlarının tutulması;
    • Kurum’un güvenlik politikasında, standartlarında ve bilgi güvenliği ve veri korumayla ilgili yönergelerinde belirtilen gereksinimlerin yerine getirilmesi

gibi görevlerden sorumludur.

Not: Veri sahibi ve veri muhafızı arasındaki fark şu şekilde açıklanabilir:

Veri sahibi, verinin ne kadar sürede bir (24 saatte bir gibi) yedeklenmesi gerektiğini belirtir.

Veri muhafızı ise, veri sahibinin belirttiği kurala uymak için bir çözüm uygular.

 

  • Veri Kahyası (Data Steward): Teknik değil, iş sorumluluğu vardır.  Yönetişim (governance), uyum (compliance), kalite gibi verinin iş tarafı için kullanışlı olmasını sağlayan iş tarafı çalışanlarıdır.
  • Sistem Sahibi (System Owner): Her biri farklı veri sahiplerine ait verileri tutabilen ve işleyebilen bir veya daha fazla sistemden sorumlu olan kişilerdir. Parola yönetimi, uzaktan erişim kontrolleri, işletim sistemi yapılandırmaları, yama yönetiminin sağlanması gibi yeterli güvenliğin sağlanmasından sorumludur.

Not: Veri sahibi ve Sistem sahibi arasındaki fark şu örnekle açıklanabilir:

Sistem sahibi, veritabanı sunucusunda sistem sahibi yazılım ve donanımın güvenliğinden, Oracle/ MySQL gibi Veritabanı Yönetim Sisteminde yama geçilmesini sağlamaktan sorumludur.

Veri sahibi ise, bu sunucu üzerindeki tablolarda yer alan verilerin güvenliğinden sorumludur.

Not: Canlı (Production) ortamda yama geçilmeden hemen önce yedek (veya snaphot) alınması en önemli unsurdur.

  • Veri Kontrolcüsü (Data Controllers): Bir kuruluş içinde hassas verileri oluşturur ve yönetir. İnsan kaynakları çalışanları genellikle veri denetleyicileridir.
  • Veri İşleyicisi (Data Processor): Verileri veri denetleyicileri adına yönetir. Çalışılan 3.parti bir muhasebe firması, bulut hizmet sağlayıcısı,… buna örnek olarak verilebilir ve İnsan Kaynakları kontrolünde muhasebe işlemlerini yerine getirir.

EU DPD (European Data Protection Directive) kapsamında, toplanan verilerin amaç dışında herhangi bir amaçla kullanılmamasını sağlamaktan veri işleyicileri rolündeki üçüncü taraf şirketler sorumludur. Yani, veri sorumlusu olan kurumlar bu sorumluluğu 3. taraf şirketlere devretmiş olur.

  • Kullanıcı (User): İş süreçlerinde verileri kullanan kişilerdir. Politikalar, prosedürlere zorunlu kurallara uymak zorundadırlar. Ayrıca uymak zorunda oldukları kurallar konusunda bilgilendirilmelidirler.
  • Denetçi (Auditor): Periyodik olarak herkesin yapması gereken işleri yaptığını, doğru kontrollerin uygulandığını ve güvenli bir şekilde sürdürüldüğünü kontrol etmekten sorumludur.
  • Veri Toplayıcı (Data Aggregator): Kişisel bilgileri derleyen, saklayan ve satan şirket/taraftır.
  • Veri Yöneticisi (Administrators): Verilere erişim ve kullanım izinlerini atarlar.

 

E) Veri Kalitesi

Verilere uygulandığı şekliyle kalite, belirli bir bağlamda amacına hizmet etmeye uygunluk olarak tanımlanmıştır. Veriler planlama veya karar verme gibi beklenen kullanımları için uygun olduğunda, yüksek kalitede olduğu söylenir. Yüksek kaliteli veriler tutarlı, eksiksiz ve doğrudur.

Verinin yaşam döngüsü boyunca veri kalitesi korunmalıdır. Aksi takdirde, kalite kaybı veri kullanımını doğrudan etkileyebilir.

Veri kalitesi konusunda 2 temel kavram vardır.

  • Kalite Güvencesi (Quality Assurance – QA), standartlara dayalı olarak kalite değerlendirmesi olarak tanımlanır. Kalite Güvencesi, nihai ürünlerin önceden belirlenmiş kalite standartlarını karşıladığından emin olmak için faaliyetleri ve kalite kontrol süreçlerini gözden geçirmeyi içerir. Veri tutarsızlıklarını keşfetme ve bunları düzeltme işlemidir.
  • Veri Kalite Kontrolü (Quality Control – QC), kaliteyi kontrol etmek ve izlemek için, oluşturulan dahili standartlara, süreçlere ve prosedürlere dayalı olarak veri kalitesinin değerlendirilmesi olarak tanımlanır. Bu işlem normalde QA’den sonra yapılır.

Özetle; Kalite Güvencesi, veri geliştirmenin tüm aşamalarında kaliteyi korurken; Kalite Kontrol ortaya çıkan veri ürünlerini izler veya değerlendirir.

 

QA / QC mekanizmaları, bir işlem (process) veya olay (event) sırasında, iki temel hata türünden biri gerçekleştiğinde veri bozulmasını önlemek için tasarlanmıştır:

  • Görev (Commission) Hataları: Veri girişi veya transaction sırasında kaynaklanan hatalardır. Bu tür hatalar ile sık sık karşılaşılır ve giderilmesi kolaydır.
  • İhmal (Omission) Hataları: Genellikle yetersiz dokümantasyondan kaynaklanır ve veri değerlerinin yorumlanmasını etkileyebilir. Bu hataların tespit edilmesi ve düzeltilmesi daha zordur ancak bu hataların çoğu, etkin QC prosedürleriyle açığa çıkarılabilir.

 

F) Veri Saklama Politikası (Data / Record Retention)

Verilerin ne kadar süreli olarak saklanacağına dair genel bir kural yoktur.

  • İş ihtiyaçları
  • Yasal gereklilikler

doğrultusunda veri saklama işlemi yapılır.

Veri saklama politikası ile güncel olmayan veriler temizlenerek hem depolama maliyeti hem de keşif maliyeti azaltılır.

Veri saklama sürecinde 2 temel yaklaşım vardır:

  • Keep Everything (Herşeyi Sakla)
  • Keep Nothing (Hiçbir şeyi Tutma)

Bu yaklaşımlara göre, uyulması gereken en uzun yasal gereklilik belirlenmeli ve bu kural ihtiyaç duyulan tüm veriler üzerinde uygulanmalıdır.

Veri saklama politikası;

  • Hangi verilerin saklanacağı
  • Nerede saklanacağı
  • Nasıl saklanacağı (şifreli gibi)
  • Ne kadar süreyle saklanacağı

gibi hususları ele alır.

Saklanan veriler ihtiyaç halinde erişilebilir olmalıdır. Bunun sağlanması için aşağıdaki işlemler uygulanabilir:

  • Taksonomi: Verilerin sınıflandırılması için şema oluşturulmasıdır. Kronolojik sıralama gibi uygulamalar yapılabilir.
  • Sınıflandırma: Verilerin hassasiyet derecesi hem kullanım durumlarında hem de saklanma durumlarında üzerlerinde uygulanacak kontrollerin belirlenmesinde yardımcı olacaktır.
  • Indeksleme: Tutulan verilerin aranabilir olmasının sağlanmasıdır.

Hassas bilgiler (bir sebepten ötürü) artık kritik olmadığında ve veri saklama politikası kapsamında değerlendirilmeye devam ettiğinde, bu bilgiler yeniden sınıflandırılmalıdır.

Not: Hassas veri içeren bir medyanın (ve içeriğindeki verinin) sınıflandırmanın kaldırılması (veya veriyi tamamen silinmesi) için yapılan harcamanın maliyeti medyanın maliyetinden yüksek olabilir. Bu sebeple, sınıflandırmanın kaldırılması (Declassification) çok tercih edilen bir tercih değildir. Tercih edildiğinde de kurum politikasına uygun şekilde silme veri imya süreci işletilir, sınıflandırma seviyesi düşürülür ve veri etiketi güncellenir.

 

G) Veri İmha Politikası (Data Remanence / Disposal)

Bir dosya diskten silinse de, format atılsa da, üstüne yazılsa da disk üzerinde artık veri kalabilir. Bunu engellemek için farklı yöntemler izlenebilir.

 

Bunlardan en çok tercih edilenler de Overwriting, Degaussing ve Destruction olarak sıralanabilir.

“Erasing / Formatlama” yöntemi işletim sisteminde bir veri silinirken, dosyaya ait linkin (pointer’ın) kaldırılması işlemidir ve en az tercih edilen (en kolay geri getirilebilen) veri imha yöntemidir.

 

Genel olarak güvenilir olan yöntemden olmayan tekniğe göre veri temizleme yöntemleri aşağıdaki gibi sıralanabilir.

  • Media Destruction (Incinerate): Destruction tekniğidir.
  • Shred Disintegrade Drill: Destruction tekniğidir.
  • Degauss: Destruction ve Purging tekniğidir.
  • Crypto Shredding: Purging ve Clearing tekniğidir.
  • Overwrite Wipe Erasure: Clearing tekniğidir.
  • Format: Clearing tekniğidir.
  • Erasing: İndeks linkini kaldırma tekniğidir.

Verinin imhası konusunda verinin yazıldığı ortamın teknolojisi de önem arzeder. Örneğin;

  • Sabit Disk Sürücülerinde (Hard Disk Drive – HDD): Veri diske manyetik olarak yazılır.
  • Flash Tabanlı Katı Hal Sürücülerinde (Solid State Drives – SSD): Veri depolamada flash bellek kullanır. Flash bellek, veri bitlerini birçok bellek hücresi dizisinde elektriksel olarak depolar.

Harddisklerde verinin geride kalmasının engellenmesi için 3 farklı yöntem vardır.

 

G.1) Clearing

Hassas bilgilerin bir depolama aygıtından kaldırılmasını sürecidir. Verilerin yeniden yapılandırılabilmesi için özel kurtarma yazılımı veya araçları gereklidir.

Teknikler;

  • Formatlama işlemi ile dosyanın kendisi değil indeksi silindiği için güvenilir olmayan bir yöntemdir.
  • Üzerine Yazma (Overwriting) işlemi, orijinal verileri kurtarılamaz hale getirmek için depolama ortamında onu temsil eden 1’leri ve 0’ları 1’lerin ve 0’ların rastgele veya sabit kalıplarıyla (tüm sektörlere ‘0’ yazmak gibi) değiştirme işlemine verilen addır.

  • Şifreleme (Crypto Shredding): Verinin şifrelenerek silinmesi tekniğidir.

 

G.2) Purging

Hassas bilgilerin bellekten veya depolama cihazından kalıcı olarak kaldırılmasını içeren temizleme sürecidir.

Teknikler;

  • Degaussing, geleneksel disk sürücülerin veya kasetlerdeki verilerin manyetik alana tabi tutulması işlemidir.

  • Şifreleme (Crypto Shredding): Verinin şifrelenerek silinmesi tekniğidir.

 

G.3) Destruction / Disintegration

Verilerin kurtarılamaması için fiziksel olarak imhasıdır. Özellikle DVD, CD gibi medyalar için uygulanır.

 

Fiziksel olarak parçalama metodu bilgisayarların imhası için pahalı bir seçenektir. Bu sebeple, bilgisayarlardaki verilerin geri getirilmemesi için Sanitization tercih edilir. Eğer Sanitization maliyeti yeni donanım alma maliyetinden fazla ise yeni donanım da alınabilir.

Not: Harddisk imhasında format atma, dosya silme, degaussing gibi yöntemler kullanılabilir. Fakat yapısı itibari ile SSD’lerde bu yöntemler işe yaramaz. Bunun yerine;

  • Cihazı yok etme (Destruction)
  • Yerleşik komutlar yardımıyla veri silme
  • Varolan adres alanı üzerine veri yazma
  • Dosya odaklı veri silme

gibi yöntemler uygulanır. Bu yöntemler ile ilgili detaylı bilgi için kaynaklardaki Lostar bağlantısı incelenebilir.

SSD sürücülerde “spare” ve “bad” sektörler; sürücü tarafından adreslenebilir olsa da işletim sistemi tarafından görülemezler ve temizlenemez.

 

Teknikler;

  • Media Destruction (Incinerate)
  • Shred Disintegrade Drill
  • Degauss

 

H) Verinin Bulunma Durumları

Veri 3 farklı konumda bulunabilir.

 

Not: Her bir konuma göre uygun güvenlik süreçleri işletilmelidir.

 

H.1) Durağan Halde (Data at rest)

Harici veya yardımcı depolama cihazlarında (disk, teyp, CD/DVD, USB,…) bulunan verilerdir. Veriler, yalnızca sistemlerimiz ve ağlarımız üzerinden ona ulaşmaya çalışan tehdit aktörlerine değil, aynı zamanda cihaza fiziksel erişim sağlayabilen herkese karşı savunmasızdır. Çıkarılabilir medya ve mobil cihazlar, hassas verileri depolamak için kullanıldığında uygun şekilde (Bitlocker, AES,…) şifrelenmelidir.

Veri şifrelemede kullanılan araçlar 3’e ayrılır;

  • Self-Encrypting USB Drives: Sabit sürücüye şifreleme algoritmaları yerleştiren, böylece herhangi bir şifreleme yazılımı yükleme ihtiyacını ortadan kaldıran taşınabilir USB sürücülerdir.
  • Media Encryption Software: CD’ler, DVD’ler, USB sürücüler veya dizüstü bilgisayar sabit sürücüleri gibi başka şekilde korunmayan depolama ortamlarını şifrelemek için kullanılan yazılımdır.
  • File Encryption Software: Dosyaları şifrelemeye yarayan yazılımdır. (7zip gibi)

 

H.2) Hareket Halinde (Data In transit / in motion):

Ağ üzerinde hareket halindeki verilerdir. Ağ seviyesinde şifreleme ile koruma sağlanır.

Not: Media/Teyp içerisindeki verinin farklı lokasyonlar arasında taşındığı durum bu kapsa değil, “Data at Rest” kapsamında değerlendirilir. Çünkü, verinin kendisine herhangi bir erişim bulunmamaktadır.

İki temel yöntemi vardır.

H.2.1) End-to-End Encryption

Uçtan uca şifreleme genellikle bir kuruluş içindeki son kullanıcılar tarafından gerçekleştirilir. Veriler, iletişim kanalının başlangıcında veya öncesinde şifrelenir ve diğer uçta şifreleri çözülene kadar şifreli kalır. Veriler bir ağdan geçerken şifreli kalsa da, yönlendirme bilgileri görünür durumda kalır.

End to End Encryption

 

H.2.2) Link Encryption (LE)

Veriler, bir ağ üzerinde bağlantı veya uçtan uca şifreleme kullanılarak şifrelenir. Genel olarak, Link Encryption, veri iletişim sağlayıcısı gibi hizmet sağlayıcılar tarafından gerçekleştirilir. Veri paketinin iletişim kanalının her düğüm noktasında şifrelenir ve çözülür. LE, yönlendirme bilgisini (Routing Information) de şifrelediği için end-to-end encryption a göre daha iyi bir trafik gizliliği sağlar. LE; genellikle Frame Relay veya uydu (satellite) bağlantıları için kullanılır.

Link Encryption

 

Not: Her iki tür şifrelemeyi birleştirmek mümkündür. Hareket halindeki verilerin güvenliğini sağlamaya çalışırken, verilerin güvenli aktarımını tasarlamak için aşağıdaki örnek öneriler dikkate alınmalıdır:

  • Web arayüzü aracılığıyla erişim sağlandığı durumlarda, Web trafiği, yalnızca TLS v1.2 veya TLS v1.3 gibi güçlü güvenlik protokolleri kullanılarak iletilmelidir.
  • E-posta üzerinden iletilen kapsam dahilindeki veriler, PGP veya S / MIME gibi kriptografik açıdan güçlü e-posta şifreleme araçları kullanılarak güvence altına alınmalıdır. Alternatif olarak, e-postayı göndermeden önce, kullanıcılar uyumlu file şifreleme araçlarını kullanarak kapsanan verileri şifrelemeli ve gönderim için e-postaya eklemelidir.
  • Web kapsamına girmeyen veri trafiği, uygulama düzeyinde şifrelenmelidir.
  • Uygulama veritabanının uygulama sunucusunun dışında bulunduğu durumlarda, veritabanı ile uygulama arasındaki tüm bağlantılar FIPS uyumlu kriptografik algoritmalar kullanılarak şifrelenmelidir.
  • Web kapsamında olmayan veri trafiği için; uygulama düzeyinde şifreleme yapılamadığı durumlarda, IPSec veya SSH tüneli gibi ağ düzeyinde şifreleme uygulanmalıdır.
  • Kablosuz ağ iletişiminde WPA2 standardı kullanılmalıdır.

 

H.3) Kullanım Durumundaki Veriler (Data in Use)

İşlenen, erişilen ya da okunan verilerdir. Birincil depolama cihazlarında, RAM üzerinde bulunabilir. Kullanımdaki verileri güvenli hale getirmenin en iyi yolu, erişimi kullanıcı rolüne göre kısıtlayarak sistem erişimini yalnızca ihtiyacı olanlarla sınırlamaktır.

 

 

I) Scoping and Tailoring Kavramları

Scopping, temel güvenlik kontrollerini incelemeyi ve sadece ilgili BT sistemlerine uygun kontrolleri seçmeyi ifade eder. Örneğin, gizli verilerin olmadığı alanlarda gizlilik ile ilgili kontrollerin uygulanmaması gibi.

 

Tailoring, uygulanması planlanan güvenlik kontrollerini kuruma uygun şekilde değiştirmek anlamına gelir. Örneğin, zaman aşımı süresini 10 dakikadan 5 dakikaya dönüştürmek gibi.

Güvenlik kılavuzları (baseline), kurum ihtiyaçlarına göre yapılandırılabilir. Verinin değerine göre uygun kontroller seçilmelidir.

 

J) Veri Sızıntısı Önleme

Veri sızıntılarının büyük çoğunluğunun nedeni ihmaldir. Kurum için finansal kayıplar, itibar kaybı farklı sonuçlara yol açabilir. DLP (Data Leak / Loss Prevention) ürünleri, bilinçli ya da bilinçsiz bir şekilde hassas verilerin kurum dışarısına çıkartılmasını engellemek için kullanılır.

DLP sistemleri, verilere uygulanacak uygun kontrolleri belirlemek için ilgili veriler üzerindeki etiketleri, dosyanın içeriğindeki bir şablonu (ifadeyi) veya dosyanın bir özelliğini kullanabilir.

 

Üç temel DLP kategorisi vardır.

J.1) Network DLP (NDLP)

Hareket halindeki verilere (Data in motion) uygulanır.

 

J.2) Endpoint DLP (EDLP)

Kullanılan (data in use) ya da depolanmış (data at rest) verilere uygulanır. Uç noktalara kurulan ajanlar yardımı ile çalışır.

 

J.3) Hybrid DLP

Network DLP ve Endpoint DLP’nin birlikte kullanılması durumudur ve bu şekilde kullanılması önerilir.

 

K) Mobil Cihaz Koruma

Telefon, diz üstü bilgisayar,… gibi mobil cihazların güvenliği oldukça önemli bir konudur. Mobil cihazları korumak için uygulanabilecek işlemler aşağıdaki gibi sıralanabilir.

  • Tüm mobil cihazların envanteri sağlanmalıdır.
  • Mobil cihazlar için sıkılaştırma yapılmalıdır.
  • Laptop’larda BIOS için şifre koruması uygulanmalıdır.
  • Uçuş süreçlerinde bagajda taşınmamalıdır. Cihazların yanınızda bulunması gereklidir.
  • Cihazlar güvenli bir alanda yedeklenmelidir.
  • Mobil cihazdaki veriler şifrelenmelidir.
  • Cihazda uzaktan silme özelliği etkinleştirilmelidir.

 

L) Kasalar

Kasalar değerli evrakları, yedekleme verilerini, orijinal sözleşmeleri saklamak için kullanılır. Aşağıdaki özelliklere sahip olmalıdır;

  • Yangına, darbeye karşı korumalı olmalı.
  • Şifresi belirli periyotlarla değiştirilmelidir.
  • Kasa ile etkileşimli kişilerin görülebilmesi için uygun bir şekilde konumlandırılmalıdır.

Türleri;

  • Duvar Kasası: Duvara gömülüdür ve kolayca gizlenebilir.
  • Zemin Kasası: Zemine gömülüdür ve kolayca gizlenebilir.
  • Sandıklar (Chests): Taşınabilir sandık kasalardır.
  • Depolar (Depositories): Çekmeceli kasalardır.
  • Kasalar (Vaults): Banka kasaları örnek olarak verilebilir.

 

Kaynaklar:

https://www.c-sharpcorner.com/article/overview-of-data-encryption-in-azure/
http://www.sibergah.com/veri-guvenligi/veri-sizintisi-onleme/bir-bakista-veri-sizintisi-onlemedlp/
https://www.devicelock.com/blog/the-gdpr-fever-dlp-is-necessary-for-gdpr-compliance.html


Archive vs Backup: What’s the Difference? A Definition Guide

Ana Sayfa


https://www.simplilearn.com/asset-security-tutorial-video
https://searchhealthit.techtarget.com/definition/personal-health-information

Flash Tabanlı Katı Hal Sürücülerinden Güvenli Veri Silme


https://www.slideshare.net/KarthikeyanDhayalan1/cissp-chapter-2-asset-security

 

 

 

 

 

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

CEVAP VER

Yorumunuzu giriniz
İsminizi giriniz

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.