ISO 27001 BGYS'de Gizlilik, Bütünlük ve Erişilebilirlik Unsurları
ISO 27001 BGYS’de Gizlilik, Bütünlük ve Erişilebilirlik
Unsurları
Bilgi güvenliği sadece bilginin başkasının eline geçmesi yani gizliliğinden
ibaret değildir. McCumber Bilgi Güvenliği Modeli’ne göre (McCumber, 1991)
bilginin karakteri, “gizlilik”,
“bütünlük” ve “kullanılabilirlik” (confidentiality, integrity, availability) olarak
isimlendirilen üç unsurdan oluşur. ISO 27001 de bu bilginin güvenliğini
tariflemek için üç unsuru temel almaktadır.
Üç unsuru kısaca açacak olursak:
Gizlilik (Confidentiality): Bilginin yetkisiz kişilerin eline geçmemesidir. Örnek
vermek için evinizde bir milyon dolarınız olduğunu düşünün (para, burada herkesin
ortak ve ölçülebilir bir değer biçtiği varlık olması açısından örnek
olarak verilmiştir). Sizin bu meblada bir paranız olduğunun, sizce bilmesini
istemediğiniz kişilerce bilinmesi paranın gizlilik güvenliğini tehlikeye
sokmaktadır. Gizlilik, ifşa olduğunda tehditlere açık olmanın yanı sıra, direk
bu durumdan zarar görme anlamına da gelebilmektedir. Hatta BGYS sistemlerinin
günümüzdeki karar yaygın olmadığı yıllarda ISO 27001 belgesine sahip şirketler,
kendilerine tehdit çekmemek adına açık biçimde belgeleri olduğunu
söylemeyebiliyorlardı. McCumber modelinde bilgi gizliliğinin sağlanması
amacıyla, bilginin transferi ve depolanması süreçlerinde kripto kullanımı
önerilmektedir (McCumber, 2005). Elektronik ortamdaki bilginin gizlilik
etiketi, bilgi erişim sırasında kişisel bilgilerin ve bireysel hakların
korunması; bilginin gizliliği kapsamındaki başlıca konulardır.
Bütünlük (Integrity): Bilginin yetkisiz kişiler tarafından değiştirilmesi
silinmesi ya da herhangi bir şekilde tahrip edilmesi tehditlerine karşı
içeriğinin korunmasıdır. Diyelim ki evinizdeki bir milyon dolarınızı bankaya
yatırarak korumak istediniz ancak bu büyüklükte bir meblayı yatırırken işlem
hatası yüzünden bir sıfır eksik yazıldı ve artık paranız yüz bin dolar olarak
görünüyor, bu bütünlük bozulmasıdır. Bütünlük güvenlik sorunları için kısaca
kazara veya kasıtlı olarak bilginin orjinal halinden farklılaşmasıdır
diyebiliriz. McCumber’e göre bilginin bütünlüğü; kripto çözümleri,
karşılaştırmalı analiz, inkâr edememe, kimlik doğrulama ve erişim kontrolü
süreçlerini de içine almaktadır (McCumber, 2005). Kimlik doğrulama ve erişim
kontrolü ile ilgili yetkisiz erişimi tespit etme ve engelleme sürecinde; kimlik
tanımlama, kimlik doğrulama ve yetkilendirme yöntemleri (kullanıcı adı, şifre,
parmak izi, elektronik güvenlik sertifikaları, elektronik kart vd.)
uygulanarak, kullanıcının önceden yetkilendirilmiş kaynaklara ihtiyaç
duyabileceği en düşük yetki ile erişimi sağlanır
Kullanılabilirlik/ Erişilebilirlik/
Devamlılık (Availability): Bilginin her ihtiyaç duyulduğunda ilgili ya da yetkili kişilerce
ulaşılabilir ve kullanılabilir durumda olmasıdır. Para örneğinden devam edecek
olursak, bankadaki paranızla bir yatırım yapacaksınız, o anda paranızı çekmeye
ihtiyacınız var ve sistem aynı gün yüzbin dolar üstünde para çekmenize izin
vermiyor, bu bir kullanılabilirlik güvenlik sorunudur. Ayrıca herhangi bir
sorun ya da problem çıkması durumunda bile bilginin erişilebilir olması
kullanılabilirlik özelliğinin bir gereğidir. Bu erişim tanımlanmış kullanıcı erişim
hakları çerçevesinde olmalıdır. Kullanılabilirlik ilkesince her kullanıcı
erişim hakkının bulunduğu bilgi kaynağına, yetkili olduğu zaman diliminde
mutlaka erişebilmelidir. Veri depolama alanları ile kullanıcılar her an
güncel bilgiye erişebilmektedir, ayrıca bu sistemlere hizmet veren cihazların
altyapı yedekliliği ve yeterliliği, düzenli yedekleme yönetimi ve gerektiğinde
en kısa sürede hizmete erişim bu unsurun önemsediği teknik alanlardır.
Bu üç unsura dikkat
edecek olursanız, tüm alternatif güvenlik senaryolarını kapsadıklarını
göreceksiniz. Kişisel görüşüm olarak gizlilik riskleri ilk bakışta daha çok
akla gelse de, bütün ve kullanılabilir biçimde bilgi varlıklarını korumanızın
da gizlilik unsuru riskleriniz kadar değerli olduğunu düşünüyorum. Ayrıca
gizlilik unsurunun fazlasıyla desteklenmesi ve uygulanan güvenlik önlemlerinin
bilgiye erişimi gereğinden fazla zorlaştırması nedeniyle güvenlik önlemi ile
erişilebilirlik dengesi doğru biçimde kurulamayabilir böylelikle bilgi
kaynaklarına erişim kısıtlanabilmektedir.
Bu durumu, bilgi güvenliği unsurları için çok kullanılan “üç
bacaklı tabure” örneği ile gözünüzde canlandırabilirsiniz.
Bu tabure üç bacak aynı
uzunlukta ve sağlamlıkta olduğu sürece dengede durmaya uygundur. Herhangi bir
unsurda zayıflık olduğu anda o yöne doğru taburenin dengesi bozulmaktadır.
Aynı zamanda bilgi
güvenliği için “en zayıf halka” kıyaslaması da kullanılmaktadır. Bu unsurlardan
en güçsüzü kadar bilginiz güvende demektir. Başka bir yönden bakacak olursak,
bilginiz ihmal ettiğiniz unsurlar nedeniyle tehlikededir diyebiliriz.
Bilgi güvenliği
yönetiminde bilginin sahibi, bilgi kullanıcısı ya da bilginin bulunduğu
sistemin yöneticisi iseniz bu unsurları korumada sorumluluk sahibisiniz
anlamına gelmektedir.
Yorumlar
Yorum Gönder