ISO 27001 BGYS'de Gizlilik, Bütünlük ve Erişilebilirlik Unsurları

-
ISO 27001 BGYS’de Gizlilik, Bütünlük ve Erişilebilirlik Unsurları

Bilgi güvenliği sadece bilginin başkasının eline geçmesi yani gizliliğinden ibaret değildir. McCumber Bilgi Güvenliği Modeli’ne göre (McCumber, 1991) bilginin karakteri, “gizlilik”, “bütünlük” ve “kullanılabilirlik” (confidentiality, integrity, availability) olarak isimlendirilen üç unsurdan oluşur. ISO 27001 de bu bilginin güvenliğini tariflemek için üç unsuru temel almaktadır.

Üç unsuru kısaca açacak olursak:
Gizlilik (Confidentiality): Bilginin yetkisiz kişilerin eline geçmemesidir. Örnek vermek için evinizde bir milyon dolarınız olduğunu düşünün (para, burada herkesin ortak ve ölçülebilir bir  değer biçtiği varlık olması açısından örnek olarak verilmiştir). Sizin bu meblada bir paranız olduğunun, sizce bilmesini istemediğiniz kişilerce bilinmesi paranın gizlilik güvenliğini tehlikeye sokmaktadır. Gizlilik, ifşa olduğunda tehditlere açık olmanın yanı sıra, direk bu durumdan zarar görme anlamına da gelebilmektedir. Hatta BGYS sistemlerinin günümüzdeki karar yaygın olmadığı yıllarda ISO 27001 belgesine sahip şirketler, kendilerine tehdit çekmemek adına açık biçimde belgeleri olduğunu söylemeyebiliyorlardı. McCumber modelinde bilgi gizliliğinin sağlanması amacıyla, bilginin transferi ve depolanması süreçlerinde kripto kullanımı önerilmektedir (McCumber, 2005). Elektronik ortamdaki bilginin gizlilik etiketi, bilgi erişim sırasında kişisel bilgilerin ve bireysel hakların korunması; bilginin gizliliği kapsamındaki başlıca konulardır.
Bütünlük (Integrity): Bilginin yetkisiz kişiler tarafından değiştirilmesi silinmesi ya da herhangi bir şekilde tahrip edilmesi tehditlerine karşı içeriğinin korunmasıdır. Diyelim ki evinizdeki bir milyon dolarınızı bankaya yatırarak korumak istediniz ancak bu büyüklükte bir meblayı yatırırken işlem hatası yüzünden bir sıfır eksik yazıldı ve artık paranız yüz bin dolar olarak görünüyor, bu bütünlük bozulmasıdır. Bütünlük güvenlik sorunları için kısaca kazara veya kasıtlı olarak bilginin orjinal halinden farklılaşmasıdır diyebiliriz. McCumber’e göre bilginin bütünlüğü; kripto çözümleri, karşılaştırmalı analiz, inkâr edememe, kimlik doğrulama ve erişim kontrolü süreçlerini de içine almaktadır (McCumber, 2005). Kimlik doğrulama ve erişim kontrolü ile ilgili yetkisiz erişimi tespit etme ve engelleme sürecinde; kimlik tanımlama, kimlik doğrulama ve yetkilendirme yöntemleri (kullanıcı adı, şifre, parmak izi, elektronik güvenlik sertifikaları, elektronik kart vd.) uygulanarak, kullanıcının önceden yetkilendirilmiş kaynaklara ihtiyaç duyabileceği en düşük yetki ile erişimi sağlanır
Kullanılabilirlik/ Erişilebilirlik/ Devamlılık (Availability): Bilginin her ihtiyaç duyulduğunda ilgili ya da yetkili kişilerce ulaşılabilir ve kullanılabilir durumda olmasıdır. Para örneğinden devam edecek olursak, bankadaki paranızla bir yatırım yapacaksınız, o anda paranızı çekmeye ihtiyacınız var ve sistem aynı gün yüzbin dolar üstünde para çekmenize izin vermiyor, bu bir kullanılabilirlik güvenlik sorunudur. Ayrıca herhangi bir sorun ya da problem çıkması durumunda bile bilginin erişilebilir olması kullanılabilirlik özelliğinin bir gereğidir. Bu erişim tanımlanmış kullanıcı erişim hakları çerçevesinde olmalıdır. Kullanılabilirlik ilkesince her kullanıcı erişim hakkının bulunduğu bilgi kaynağına, yetkili olduğu zaman diliminde mutlaka erişebilmelidir. Veri depolama alanları ile kullanıcılar her an güncel bilgiye erişebilmektedir, ayrıca bu sistemlere hizmet veren cihazların altyapı yedekliliği ve yeterliliği, düzenli yedekleme yönetimi ve gerektiğinde en kısa sürede hizmete erişim bu unsurun önemsediği teknik alanlardır.
Bu üç unsura dikkat edecek olursanız, tüm alternatif güvenlik senaryolarını kapsadıklarını göreceksiniz. Kişisel görüşüm olarak gizlilik riskleri ilk bakışta daha çok akla gelse de, bütün ve kullanılabilir biçimde bilgi varlıklarını korumanızın da gizlilik unsuru riskleriniz kadar değerli olduğunu düşünüyorum. Ayrıca gizlilik unsurunun fazlasıyla desteklenmesi ve uygulanan güvenlik önlemlerinin bilgiye erişimi gereğinden fazla zorlaştırması nedeniyle güvenlik önlemi ile erişilebilirlik dengesi doğru biçimde kurulamayabilir böylelikle bilgi kaynaklarına erişim kısıtlanabilmektedir.
Bu durumu, bilgi güvenliği unsurları için çok kullanılan “üç bacaklı tabure” örneği ile gözünüzde canlandırabilirsiniz. Bu tabure üç bacak aynı uzunlukta ve sağlamlıkta olduğu sürece dengede durmaya uygundur. Herhangi bir unsurda zayıflık olduğu anda o yöne doğru taburenin dengesi bozulmaktadır.
Aynı zamanda bilgi güvenliği için “en zayıf halka” kıyaslaması da kullanılmaktadır. Bu unsurlardan en güçsüzü kadar bilginiz güvende demektir. Başka bir yönden bakacak olursak, bilginiz ihmal ettiğiniz unsurlar nedeniyle tehlikededir diyebiliriz.

Bilgi güvenliği yönetiminde bilginin sahibi, bilgi kullanıcısı ya da bilginin bulunduğu sistemin yöneticisi iseniz bu unsurları korumada sorumluluk sahibisiniz anlamına gelmektedir.
Yer: Ankara, Türkiye

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

ISO 27001 BGYS’de Varlık Yönetimi, İadesi, Sahipliği ve Sorumluluğu

-
Resim
ISO 27001 BGYS’de Varlık Yönetimi, İadesi, Sahipliği ve Sorumluluğu ISO 27001 BGYS’de Varlık Yönetimi ve Sorumluluğu ISO 27001:2013 standardında Varlık Yönetimi kavramı süreç bazlı sistemle dikkatli yönetilmesi gereken bir adım olarak ele alınmaktadır. ISO 27001 standardındaki Ek-A’da bulunan 8. Maddede Varlık Yönetimi ile ilgili konuyu bu yazımızda ele alacağız. Varlık Envanteri nasıl oluşturulur, Varlıkların Sahipliği, Varlıkların Kabul Edilebilir Kullanımı ve Varlıkların İadesi, konularında bir değerlendirme yapacağız. Varlık Envanteri Nasıl oluşturulur? Varlık Envanteri oluşturulurken varlık olarak neleri belirleyeceğimiz önem arzetmektedir. Bu noktada bize en büyük yardımı kapsamımız yapacaktır. Kapsam dâhilindeki tüm varlıkların düzgün bir şekilde envanteri çıkarılmalıdır. Oluşturulan envanter varsa şirketler içerisindeki diğer envanterler ile uyumlu olmalı ve sürekli olarak güncel tutulmalıdır. Düzgün oluşturulmuş bir varlık envanteri ile çok detaylı bir risk değerl
Devamı

TS ISO IEC 15504 Spice Belgesi Sertifikası (ISO 33000)

-
TS ISO IEC 15504 Spice Belgesi Sertifikası Devlet Planlama Teşkilatı Müsteşarlığı tarafından, kamunun bilgi ve iletişim teknolojileri alanındaki yatırımlarına ilişkin genel ilke ve esasların belirlendiği, “Kamu Bilgi ve İletişim Teknolojileri Projeleri Hazırlama Kılavuzu” hazırlanmıştır. Bu kılavuzda kamu yazılım projelerindeki başarısızlıkların önüne geçmenin yanı sıra, sektörde kalite sertifikasyonunun teşvik edilmesi ve uluslararası rekabet gücüne katkı sağlanması amacıyla kamu yazılım projelerinde 2007 yılından itibaren yüklenicilerden projenin doğasına ve tutarına uygun olarak ISO 15504 Spice Belgesi(ya da CMMI Belgesi) yazılım kalite modellerinin uygulanması veya CMMI 2 veya 3’ncü seviye olmaları şartının aranması öngörülmektedir. ISO 15504 Spice Belgesi (ya da CMMI Belgesi) modeli iyi yazılım mühendisliği için gerekli olan temel hedefleri üst seviyede tarif eder ve yazılımı elde etme, sağlama, geliştirme, işletme, tekamül ettirme ve destek yeterliliği oluşturmayı isteyen
Devamı