Confidentiality (Gizlilik):
 Bilgi Güvenliği , Sadece yetkili kişilerin bilgiye erişebilmesinin garanti edilmesi

Integrity (Bütünlük):
 Bilginin ve işleme yöntemlerinin doğruluğunun ve bütünlüğünün sağlanması
 Yetkisiz kişilerce değiştirilememesi

Availability (Kullanılabilirlilik)
 Gerek duyulduğunda bilgiye yetkilendirilmiş kullanıcıların erişebilmesinin garanti edilmesi.

ISO 27001 BİLGİ GÜVENLİK YÖNETİMİ

Bilgi güvenliğinin temel unsurları şunlardır:

 Gizlilik
 Bütünlük
 Erişilebilirlik
 Kimlik kanıtlama
 İnkar edememe

Bu temel unsurların dışında;

 Sorumluluk
 Erişim denetimi
 Güvenilirlik
 Emniyet

gibi etkenlerde bilgi güvenliğini destekleyen unsurlardır. Bu unsurların tamamının gerçekleştirilmesi ile ancak tam bir bilgi güvenliği sağlanabilmektedir. Bu unsurların bir veya birkaçının eksikliği güvenlik boyutunda aksamalara sebebiyet verebilecektir.

TSE-17799 “Bilgi Güvenliği Yönetim Standardı” belgesinde,

Gizlilik, “bilginin sadece erişim hakkı olan yetkili kişilerce erişilebilir olmasının temini” olarak;
Bütünlük; “Bilgi ve bilgi işleme yöntemleri ile veri içeriğinin değişmediğinin doğrulanması” olarak,
Erişilebilirlik; “Yetkili kullanıcıların ihtiyaç duyulduğunda bilgi ve ilişkili varlıklara erişme hakkının olmasının temini” olarak tanımlanmıştır.

Etkin Patent, Kalite Yönetim Sistemleri danışmanları tarafından hazırlanan ISO NedirISO 9001 Toplam Kalite Yönetim Sistemi‘ nin kurulumu, ISO 9001 Kalite Danışmanlık hizmetlerini, Bilgi Güvenliği Yönetim SistemiCE Belgesi ve Hizmet Yeterlilik Belgesi danışmanlık ve belgelendirme ayrıntılarını inceleyebilirsiniz.


Kimlik doğrulama, geçerli kullanıcı ve proseslerin tanınması ve doğrulanması ile bir kullanıcının veya prosesin hangi sistem kaynaklarına erişme hakkının olduğunun belirlenmesi sürecidir.

İnkar edememe, bir bilgiyi alan veya gönderen tarafların, o bilgiyi aldığını veya gönderdiğini inkar edememesini sağlama işlemidir.

Sorumluluk: belirli bir eylemin yapılmasından kimin veya neyin sorumlu olduğunu belirleme yeteneğidir. Tipik olarak etkinliklerin kayıtlarını tutmak için bir kayıt tutma sistemine ve bu kayıtları araştıracak bir hesap inceleme sistemine ihtiyaç vardır.

Erişim denetimi, bir kaynağa erişmek için belirli izinlerin verilmesi veya alınması olarak tanımlanabilir.

Güvenirlik, bir bilgisayarın, bir bilginin yada iletişim sisteminin şartnamesine, tasarım ve gereksinimlerine sürekli ve kesin bir şekilde uyarak çalışması ve bunu çok güvenli bir şekilde yapabilme yeteneğidir.

Emniyet, bir bilgisayar sisteminin veya yazılımın işlevsel ortamına gömülü olduğunda, kendisi veya gömülü olduğu ortam için istenmeyen potansiyel veya sürekli tehlike oluşturacak etkinlik veya olayları önleme tedbirlerini içermektedir.

Bilgi Güvenlik Sınırları

Bir bilgi varlığı zaman içerisinde çeşitli değişikliklere (bozulma, yenileme, değiştirme, güncelleme) maruz kalabilmektedir. Bu değişikliklerde doğal olarak korunması gereken bilginin sınırlarında da değişikliklere sebebiyet verebilir. Bunu önceden belirlemek için muhtemel değişiklikler önceden tahmin edilir. Varlıkların karşı karşıya oldukları tehditler öncelikle belirlenir. Olayların ortaya çıkma ihtimallerine karşı var olan savunma zayıflıkları tespit edilir ve karşılaşılabilecek tehditlerin ihtimalleri hesaplanır.

Kullanıcılar ve sistemler için bilgi güvenliğinin sınırları, tarafların kendilerini ve sistemlerini güven içinde hissetmeleri için gerekli ve düzenleyici politikalar doğrultusunda ve hukuki zorunluluklar çerçevesinde belirlenir.

BİLGİ GÜVENLİK RİSK YÖNETİMİ VE SÜREÇLERİ

Bilgi güvenliği çerçevesinde kurulacak güvenlik sistemi alt yapısının ve politikasının doğru bir şekilde belirlenebilmesi için korunmak istenen bilginin değerlendirilmesi ve risk yönetiminin doğru ve eksiksiz bir şekilde yapılması gerekir.

ISO Rehber 73′ e göre risk, bir olayın ve bu olayın sonucunun olasılıklarının birleşimi olarak tanımlanmaktadır. Risk yönetiminin bir adımı olan risk değerlendirmesi, risklerin tanımlandığı ve tanımlanan bu risklerin etkilerinin ve önceliklerinin belirlendiği bir süreçtir.

Risk değerlendirmesinin belli başlı safhaları şunlardır.

 Korunması gereken bilgi yada varlıkların belirlenmesi
 Bu varlıkların kuruluşlar açısından ne kadar değerli olduğunun saptanması
 Bu varlıkların başına gelebilecek bilinen ve muhtemel tehditlerden hangilerinin önlenmeye çalışılacağının ortaya konulması
 Muhtemel kayıpların nasıl cereyan edilebileceğinin araştırılması


Her bir varlığın maruz kalabileceği muhtemel tehditlerin boyutlarının tanımlanması

Bu varlıklarda gerçekleşebilecek zararların boyutlarını ve ihtimallerini düşürmek için ilk planda yapılabileceklerin incelenmesi ve ileriye yönelik tehditleri en aza indirmek için atılması gereken adımların planlanması olarak sıralanabilir.

Risk yönetimi sonucunda kurulacak ve yürütülecek güvenlik sisteminin maliyeti dikkate alınması gereken başka önemli bir husustur.

Önleme, güvenlik sistemlerinin en çok üzerinde durduğu ve çalıştığı süreçtir. Bir evin bahçesine çit çekmek, çelik kapı kullanmak gibi güncel hayatta kullanılan emniyet önlemleri gibi, bilgisayar sistemlerine yönelik tehdit ve saldırılara karşı, sistemin yalıtılmış olması için çeşitli önlemler geliştirilmektedir.

Kişisel bilgisayar güvenliği ile ilgili,

 Virüs tarama programlarının kurulu olması,
 Bu programların ve işletim sistemi hizmet paketlerinin ve hata düzeltme ve güncellemelerinin düzenli aralıklarla yapılması,
 Bilgisayarda şifre korumalı ekran koruyucu kullanılması,
 Bilgisayar başından uzun süreliğine ayrı kalındığında sistemden çıkılması,
 Kullanılan şifrelerin tahmininin zor olacak şekilde belirlenmesi, bu şifrelerin gizli tutulması ve belirli aralıklarla değiştirilmesi,
 Disk paylaşımlarında dikkatli olunması
 İnternet üzerinden indirilen veya e-posta ile gelen dosyalara dikkat edilmesi,
 Önemli belgelerin parola ile korunması veya şifreli olarak saklanması,
 Gizli veya önemli bilgilerin e-posta, güvenlik sertifikasız siteler gibi güvenli olmayan yollarla gönderilmemesi,
 Kullanılmadığı zaman İnternet erişiminin kapatılması,
 Önemli bilgi ve belgelerin düzenli aralıklarla yedeklerinin alınması gibi önlemler,
alınabilecek önlemlerden bazılarıdır.

Saptama: Sadece önleme ile yetinilseydi, yapılan çoğu saldırıdan haberdar bile olunamazdı. Saptama ile daha önce bilinen veya yeni ortaya çıkmış saldırılar, rapor edilip, uygun cevaplar verebilir. Saptamada ilk ve en temel basamak, sistemin bütün durumunun ve hareketinin izlenmesi ve bu bilgilerin kayıtlarının tutulmasıdır. Bu şekilde ayrıca, saldırı sonrası analiz için veri ve delil toplanmış olur. Güvenlik duvarları, saldırı tespit sistemleri, ağ trafiği izleyiciler, kapı (port) tarayıcılar, bal çanağı (honeypot) kullanımı, gerçek zamanlı koruma sağlayan karşı virüs ve casus yazılım araçları, dosya sağlama toplamı (checksum) kontrol programları ve ağ yoklayıcı (sniffer) algılayıcıları, saptama sürecinde kullanılan en başta gelen yöntemlerden bazılarıdır.

Karşılık verme, güvenlik sürecini tamamlayan önemli bir halkadır. Saldırı tam olarak önlenmese bile; sistemin normal durumuna dönmesine, saldırıya sebep olan nedenlerin belirlenmesine, gerektiği durumlarda saldırganın yakalanmasına, güvenlik sistemi açıklarının belirlenmesine ve önleme, saptama ve karşılık verme süreçlerinin yeniden düzenlenmesine olanak verir. Saldırı tespit edilince yapılması gereken işlerin, daha önceden iyi bir şekilde planlanması, bu sürecin etkin bir şekilde işlemesini ve zaman ve
para kaybetmemeyi sağlayacaktır. Yıkım onarımı (disaster recovery), bu aşama için gerçekleştirilen ve en kötü durumu ele alan esaslı planların başında gelir.

Riskleri Anlamak…

 Saldırılar (Hacking, DDOS Hizmet Engelleme)
 Kritik Bilgilerin Rakiplere Sızdırılması
 Dolandırıcılık
 Sistemsel Hatalar
 Virüs Saldırıları

Sonuçları:
 İş Faaliyetlerinin Sekteye Uğraması
 Üretimin Yavaşlaması Ya Da Durması
 Pazar Payının Kaybedilmesi
 Kârın Düşmesi
 Müşteri Güveninin Kaybedilmesi
 Kurum İmajının ve İsminin Zarar Görmesi

Bilgi Güvenliği Risk Değerlendirmesi

Risk =Değer Varlıklar * Zayıflıklar * Tehditler / Olasılıklar Ve gerçekler “Öncelikli Riskler”

Bilgi Güvenliği Politikalarının Getirileri

 Yönetimin Bakış Açısını Çalışanlara Aktarmak
 Disiplin Suçlarının Tanımlanmasında Temel Oluşturmak
 Bilinçlendirme Sağlamak
 Değer Varlıklarının Bilinmesini Sağlamak
 Zayıflıkları ve Mevcut Denetimleri Ortaya Koymak
 Karar vermeyi kolaylaştırır.

ISO 27001 Oluşturulması Sırasında Uygulanan Bazı Önlemler

 Şifre Kullanarak Kişisel Bağlanma,
 Virüs Kontrolleri, Yedekleme ve Saklama (sirket dısında saklama da dahil) uygulamaları,
 Yetki Tabloları,
 Is Planlama ( kaza sonucunda ve is sürekliligi için yapılacakların listesi),
 E-posta, faks, internet ve fotokopi için kullanma kosulları,
 Dosyalara erisimde yetkiler…

Bilgiyi Klasifiye Etme

 Herkes tarafından bilinmesinde sakınca olmayan genel bilgiler
 Sadece bilmesi gerekenler tarafindan bilinmesi gereken (Need to know) veriler.
 satın alma
 personel
 pazarlama
 üretim metodu
 müşteri bilgileri v.b. ile ilgili olabilir
 İstenmeyen ellere geçmemesi gereken her türlü bilgi

Bilgi Güvenliği | Kritik Bilginin Korunmasi

 Kapsamı belirle
 Need to know ve Segregation of Duties (SoD) kavramları dahilinde kısıtlamaları sağla
 Ve operasyonun işlerligini sağlamak adına elinden geleni yap

Bilgi Güvenliğinin Türkiye’de Uygulanması

20 Temmuz 2008 tarihli resmi gazetede yayınlanan Elektronik Haberleşme Güvenliği Yönetmeliği sonucunda Telekominikasyon Kurumu tarafından yetkilendirme çerçevesinde elektronik haberleşme hizmeti sunan ve/veya elektronik haberleşme şebekesi sağlayan ve alt yapısını işleten sermaye şirketlerinin, bir yıllık süre içerisinde TS ISO/IEC 27001 veya ISO/IEC 27001 standartlarına uyumluluğu yükümlülük haline gelmiştir.

Sonuç

Türkiye’de temel seviyede bilgisayar bağlantısı sağlanmaya başladı, bu da birinci seviyeyi gerçekleştirmeye başladığımız anlamına geliyor.

Ancak güvenlik sağlanmadan diğer aşamalara geçmek riske sokar. Kamuda ISO 27001 in uygulamasıyla kurumların ve vatandaşların Maslow’un ihtiyaçlar hiyerarşisinde ilerlemesine yardımcı olacaktır.

Bunun içinde ilk aşama kurumsal güvenlik politikalarının BGYS kapsamında oluşturulması gerekmektedir.

ISO 27000 AİLESİ

ISO 27001
Bilgi Güvenliği Yönetim Sistemi(BGYS) belirleme amaçlıdır, ve eski BS7799-2 standartlarının yerine gelmiştir.

ISO 27002
ISO 17799 standartlarının yeni ismidir, yüzlerce potansiyel kontrol ve mekanizmayı uygulanabilir teorik başlık altında vermektedir.

ISO 27003
BGYS sisteminin uygulanmasıyla ilgili kılavuzluk yapmayı amaçlayan standartlardır.

ISO 27004
Bilgi güvenliği sistem yönetimi ölçütleri için verilmiş bir numaradır.

ISO 27005
Bilgi güvenliği risk yönetimiyle ilgili bağımsız ISO standartları metodolojisi

ISO 27006
BGYS sertifikasyonu için akreditasyon standartlarını içerir.