Bilgi Güvenliği Unsurları (CIA ve Diğerleri)

1
48889
views
Bilgi güvenliği, bilgilerin izinsiz erişimlerden, kullanımından, ifşa edilmesinden, yok edilmesinden, değiştirilmesinden veya hasar verilmesinden korunması işlemidir. Bu yazıda bilgi güvenliğinin temel unsurları incelenecektir.

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

Bilgi güvenliğinin temelinde gizlilik, bütünlük ve erişebilirlik yatmaktadır. Bu üçlüye kısaca CIA adı verilmektedir. Bu unsurlar temel olarak şu şekildedir:

  • Gizlilik (Confidentiality): Bilginin yetkisiz kişilerin eline geçmesini engellemeyi amaçlamaktadır. Bilgi hem bilgisayar sistemlerinde işlenirken (process), hem saklama ortamlarında depolanırken (storage), hem de ağ üzerinde gönderici ve alıcı arasında taşınırken (transport) yetkisiz erişimlerden korunmalıdır. Saldırgan bir yapılandırma veya yazılım hatasını istismar ederek yahut Sosyal Mühendislik teknikleri ile yetkili insanların hatalarını istismar ederek bilgilere izinsiz olarak erişebilir. Bu prensipte dikkat edilmesi gereken nokta, bilginin tamamen gizlenmesini sağlamak değil, yetkisiz bir şekilde elde edilmesini engellemek ve erişilebildiği durumunda da bundan haberdar olunabilmektir. Gizlilik prensibi ile ilgili temel kavramlar aşağıdaki gibi sıralanabilir.
    • Sensitivity: Verinin hassaslığı
    • Discretion: Bilginin paylaşımında ihtiyatlı davranmak(ağzı sıkılık)
    • Criticality: Kritiklik
    • Concealment: Açıklamanın gizlenmesi veya önlenmesi
    • Secrecy: Gizlilik
    • Privacy: Gizlilik, mahremiyet
    • Seclusion: Tecrit
    • Isolation: Bilginin, diğer bilgilerden ayrılarak saklanması
  • Bütünlük (Integrity): Amaç, bilgiyi olması gerektiği şekilde tutmak ve korumaktır. Bilginin bozulmasını, değiştirilmesini, yeni veriler eklenmesini, bir kısmının veya tamamının silinmesini engellemeyi hedefler. Bu amaçla kritik bilgi için erişim kontrolünün gerçekleşmesi ve belli aralıklarla yedeklemenin gerçekleşmesi gerekmektedir. Bu durumda veri, haberleşme sırasında izlediği yollarda değiştirilmemiş, araya yeni veriler eklenmemiş, belli bir kısmı ya da tamamı tekrar edilmemiş ve sırası değiştirilmemiş şekilde alıcısına ulaşır. Bütünlük prensibi temel olarak Sistem Bütünlüğü ve Veri Bütünlüğü olarak ikiye kısımda incelenebilir. Bu prensipte dikkat edilmesi gereken nokta, bilginin değiştirilmemesini sağlamak değil, yetkisiz bir şekilde değiştirilmesini engellemek ve değişiklik durumunda da bundan haberdar olunabilmektir. Bütünlük prensibi ile ilgili temel kavramlar aşağıdaki gibi sıralanabilir.
    • Accuracy: Doğruluk, kesinlik
    • Truthfulness: Doğruluk
    • Authenticity: Doğruluk
    • Validity: Geçerlilik
    • Nonrepudiation: İnkar edilememezlik
    • Accountability: Hesap verilebilirlik
    • Responsibility: Sorumluluk
    • Completeness: Tamlık
    • Comprehensiveness: Kapsamlılık, kapsayıcılık
  • Erişilebilirlik (Availability): Bilginin (verinin, kaynağın, sistemin,…) belirlenen / beklenen / hedeflenen / ihtiyaç duyulan süre boyunca ulaşılabilir ve kullanılabilir olmasını, tam ve eksiksiz olarak yapılmasını amaçlayan prensiptir. Erişilebilirlik; bilişim sistemlerini, kurum içinden ve dışından gelebilecek başarım düşürücü tehditlere karşı korumayı hedefler. Erişilebilirlik hizmeti sayesinde, kullanıcılar, erişim yetkileri dahilinde olan verilere, veri tazeliğini yitirmeden, zamanında ve güvenilir bir şekilde ulaşabilirler. Bu prensipte dikkat edilmesi gereken nokta, erişilebilirlilik ile sistemin %100 ayakta kalmasını sağlanmaz, belirlenen süre boyunca (SLA – Service Level Agreement) hizmet verilmesinin sağlanmasıdır. Erişilebilirlik prensibi ile ilgili temel kavramlar aşağıdaki gibi sıralanabilir.
    • Usability: Kullanılabilirlik
    • Accessibility: Erişilebilirlik
    • Timeliness: Vaktindelik

 

Bu bileşenlerin birbirine karşı üstünlüğü değişkenlik gösterebilir ve farklı oranda bütçe ayrılabilir. Her kurumun/kuruluşun sahip olduğu bütçeyi en etkin şekilde kullanmak için hangi ilkenin veya varlığın diğerinden daha önemli olduğunu bilmek, bir güvenlik duruşunun oluşturulmasına ve sonuç olarak bir güvenlik çözümünün uygulanmasına rehberlik eder. Kamu kurumları ve askeri kurumlar için “Gizlilik“, özel sektör kuruluşları için “Erişilebilirlik” önemlidir. Bu nedenle bütçeleri doğrultusunda kendileri için öncelikli olan önlemleri alırlar.

Buna ek olarak, bu ve diğer unsurlar ile bilginin güvenliğinin riske girmesi söz konusu olduğu için, gerekli ihtiyaçların (veriyi okuma) sebepleri dokümante edilmeli ve gerekli onaylar alındıktan sonra, mümkünse belirli kısıtlamalar (süre kısıtı gibi) ile  yetki verilmelidir.

Bu üçlü arasındaki dengenin iyi sağlanması gerekmektedir. Birçok durumda gizlilik sağlanmaya çalışılırken erişilebilirlik azalmaktadır. Dengenin sağlanması için Şekil – 1’deki terazi örneği verilebilir.

Şekil 1 - Gizlilik - Bütünlük - Erişilebilirlik Dengesi
Şekil 1 – Gizlilik – Bütünlük – Erişilebilirlik Dengesi

 

CIA üçlüsünün tam tersi de DAD olarak isimlendirilir.

  • Disclosure (İfşa) X Confidentiality
  • Alteration (Yetkisiz Değişiklik) X Integrity
  • Destruction (İmha / Tahribat) X Availability

 

Bilgi güvenliği belirtilen 3 unsur haricinde daha birçok unsurdan oluşur. Bilgi güvenliğini oluşturan en temel unsurlar Şekil – 3’te görülmektedir.

Şekil 2 - Bilgi Güvenliği Unsurları
Şekil 3 – Bilgi Güvenliği Unsurları

 

Gizlilik, bütünlük ve erişilebilirlik hariindeki diğer unsurlar şu şekilde tanımlanabilir.

  • Güvenilirlik (Reliability – Consistency) : Sistemin öngörülen ve beklenen davranışı ile elde edilen sonuçlar arasındaki tutarlılık durumudur. Sistemin kendisinden beklenen şeyi eksiksiz ve fazlasız olarak her çalıştırıldığında tutarlı şekilde yapmasıdır.
  • İnkar Edememe (Non-repudiation): Bu prensip verinin iletildiği gönderici ve alıcı arasında ortaya çıkabilecek iletişim sorunları ve anlaşmazlıkları en aza indirmeyi amaçlar. İki sistem arasında bir bilgi aktarımı yapılmışsa ne gönderen veriyi gönderdiğini, nede alıcı veriyi aldığını inkar edememelidir. Özellikle gerçek zamanlı işlem gerektiren finansal sistemlerde kullanım alanı bulmaktadır. Bu prensip için önşart, “Kimlik Doğrulama” ve “Bütünlük” prensiplerinin sağlanmasıdır. Bunlara ek olarak “Yetkilendirme” ve “İzlenebilirlik” prensiplerinin sağlanması da bu prensip için gereklidir.
  • Kimliklendirme (Identification): Bir nesneye (Object – sisteme veya kaynağa) erişecek olan kullanıcı (user), proses veya varlık (host) gibi öznelerin (Subject) sundukları unsurdur. Kullanıcının adı, öğrencinin ID’si, ATM’e takılan kart birer kimliktir.
  • Kimlik Sınaması (Authentication): Kimlik (Idendity) tek başına güvenilir bir unsur değildir. Örneğin herkes “Ben Bill Gates’im”diyebilir. Ancak sadece gerçek Bill Gates’te ona ait bir kimlik, SSN, (Türkiye’de olsa) E-devlet hesabı,… vardır. Kullanıcının kendisini kanıtlaması için ilk başta yapılması gereken işleme “Kimlik Doğrulaması” adı verilir. Yani, sistem kullanımı sırasında cihaz veya kullanıcının kimliğinin doğrulanmasıdır. Bu işlem ile kullanıcının sahip olduğu kullanıcı adının sistemde kayıtlı olup olmadığı kontrol edilir. Daha sonra kullanıcıya verilen parola da kontrol edilerek doğrulama işlemi yapılır. Doğrulama sağlanırsa kullanıcıya sisteme giriş izni verilir. Bilgisayar ağları ve bilgisayar sistemleri dışında fiziksel sistemler için de çok önemlidir ve bu yüzden akıllı kartlar veya biyometrik teknolojilere [i] dayalı kimlik sınama sistemleri kullanılamaya başlanmıştır. Retina veya parmak izi gibi bazı biyometrik metodlar hem Kimlik Sınaması (Authentication) hem de Kimliklendirme (Identification) olarak kullanılabilir.
  • Yetkilendirme (Authorization): Kullanıcı adı ve parola doğrulaması sağlanan kullanıcıların sisteme, programa veya ağa hangi yetkilerle erişim hakkına sahip olduklarını belirten sistemdir. Sisteme kayıtlı olan kullanıcılar gruplanarak, bu gruplara çeşitli yetkiler verilir. Kullanıcı içerisinde bulunduğu grubun bütün yetkilerine sahiptir. Eğer bir kullanıcı birden fazla gruba üye ise (genellikle) bu gruplara verilen yetkilerin hepsine sahiptir. Yetkilendirme ile kullanıcı dosyayı okuyabilir, ancak silemez; benzer olarak sistemde oturum açabilir, fakat herhangi bir kaynağa erişemez. Güvenliğin tam olarak sağlanabilmesi için kullanıcılara gerekenden fazla yetki verilmemelidir.
  • İzlenebilirlik/Kayıt Tutma (Auditing): Bir sorun ile karşılaşıldığında sorunun tespitinin sağlanabilmesi için kullanılan sistemdir. Sistemde bulunan kullanıcıların yaptıkları bütün işlemler ve erişim saatleri kayıt altına alınır. Hukuki, yasal ve regülatif sebepler ile veya teknik arazılar için bu kayıtlar tutulabilmektedir. Bir problem (siber saldırı vs) çıktığında ise kullanıcı aktivitelerinin tutulduğu bu kayıtlardan sorun anlaşılmaya ve çözülmeye çalışılır.
  • Hesap Verilebilirlik (Accountability): Kişileri eylemlerinden dolayı sorumlu tutmak ve benzer olarak yanlış yargılamaya sebep olmamak için log kayıtları kullanılır. Bu sebeple  “Auditing” ile karıştırılabilir. Hesap verilebilirlilik ile parolası bir başkasının eline geçmiş olan bir kullanıcının hiç yoktan sorgulanmasına / yargılanmasına sebep olabilir. Hesap verilebilirlik, erişim kontrolünün temelini oluşturur.

Accountability = Principle of access control

 

Not: Çok Kullanıcılı İşletim Sistemi için Minimum Güvenlik Gereksinimleri (Minimum Security Requirements for Multi-User Operating System – NISTIR 5153) belgesinin denetim (audit) bölümünde, kullanıcı hesap verebilirliği ele alınmaktadır.

 

Kaynak:

https://www.bilgiguvenligi.gov.tr/microsoft-sistemleri-guvenligi-dokumanlari/index.php
[i] https://www.siberportal.org/white-team/securing-information/biyometrik-yontemler-ile-kimlik-dogrulama/

 

 

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

1 YORUM

CEVAP VER

Yorumunuzu giriniz
İsminizi giriniz

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.