İçindekiler
ISO 27001 Bilgi Güvenliği Yönetim Sisteminin etkin bir şekilde uygulanması için standart şartlarının yanısıra Bilgi Güvenliği Temel İlkelerinin de bilinmesi gereklidir. Bilgi güvenliğinin tam olarak sağlanabilmesi için uyulması gereken temel ilkelerden en önemlileri bu yazımızda incelenmiştir. Bu ilkelerle birlikte bilgi güvenliği uygulamalarının tam olarak amacına ulaşması beklenir.
ISO 27001 Bilgi Güvenliği Yönetim Sistem Standardındaki terimlerin açıklandığı ISO/IEC 27000 BGYS sözlüğünde “Gizlilik” ; “Bilginin yetkisiz kişiler, varlıklar veya prosesler için elverişli yapılmaması ya da açıklanmaması özelliği” olarak tanımlanmıştır. Harici cihazların (flash bellek, disk vb.) yanında ağ güvenliğinde de önlemlerin alınarak gizliliğin sağlanması gerekir. Saldırganlar birçok yol ile saldırı gerçekleştirebilir ve bunların sonucunda gizli kalması gereken bilgilere erişebilirler. Bunların en yaygını sosyal mühendislik dediğimiz uygulamadır. Gizli bilgiye erişimi olan bir kullanıcı takip edilerek şifreleri veya özel bilgileri ele geçirilir. Gizlilik hususunun temelinde şifre algoritmaları kullanmak vardır.
ISO 27001 Bilgi Güvenliği Yönetim Sistem Standardının en önemli şartlarından biri bilginin bütünlüğünün korunmasıdır. ISO/IEC 27000 BGYS sözlük standardında “bütünlük”, “Varlıkların doğruluğunu ve tamlığını koruma özelliği” olarak tanımlanır. Verinin, kaynaktan çıktığı haliyle alıcıya ulaştırılabilmesidir. Verinin taşınması sırasında hiçbir ekleme veya çıkartma olmaması gerekir. Bunun sağlanabilmesi için ise özetleme algoritması kullanılır. Eğer veride herhangi bir değişiklik olursa bütünlük ilkesi bozulmuş olur.
ISO/IEC 27000 BGYS sözlük standardında “erişilebilirlik”, “Yetkili bir tüzel kişilik tarafından talep edildiğinde erişilebilir ve kullanılabilir olma özelliği” olarak tanımlanır. Bilgiye ulaşmanın yanı sıra bilgiye istenildiğinde veya gerektiği zaman ulaşılabilmesi gerekir. Bunun sağlanması erişilebilirlik ilkesi ile açıklanır. Bu aynı zamanda bilgi güvenlik çalışanlarının en çok ihtiyaç duyduğu alanlardandır. Olası bir saldırı durumunda kendi erişimleri olan ve gerektiğinde ulaşmaları gereken verilere ne kadar hızlı ulaşılabilirse o kadar hızlı tepki verilebilir. Bu saldırılar erişilebilirliği düşürmeyi de hedefleyebilir (Denial of Service Attack, DDOS). Aynı zamanda, doğal afetler, eğitimi yetersiz personel hataları gibi durumlardan da kaynaklanabilir. Bilişimde erişimin sağlanabilmesi için güvenlik duvarları, saldırı tespit sistemleri ve antivirüs uygulamaları kullanılmalıdır.
ISO/IEC 27000 BGYS sözlük standardında “kayıt”, “Elde edilen sonuçları belirtilen veya gerçekleştiren faaliyetin delillerini sağlayan doküman” olarak tanımlanır. Sanal ortamlarda gerçekleşen olayları kayıt altına alıp, periyodik bir şekilde analiz etmektir. Bu olaylar, bilgisayar ortamında veya veri ağı üzerinde gerçekleşen herhangi bir olayı tanımlayabilir. Gerekli analizlerin yapılması sonucunda, saldırı tespit edilirse, saldırı ihtimali yüksek bir aktivite görülürse, bilinen bir saldırı türü tespit edilirse bir uyarı mesajı oluşturularak, gerekli konumlara geri dönüş mesajı gönderilir. Bu sayede döngüyü tersten çalıştırarak, saldırganın kimliği ve yeri tespit edilebilir.
ISO/IEC 27000 BGYS sözlük standardında “kimlik tespiti”, “Bir tüzel kişiliğin, iddia edilen karakteristiğinin doğru olduğuna dair güvencenin temini” olarak tanımlanır. Bilgiye erişim sağlanırken, erişime yetkili kişi tarafından yapılıp yapılmadığının kontrol edilmesidir. Şifre isteme sistemleri, parmak izi uygulamaları örnek verilebilir. Özellikle fiziksel sistemlerde, akıllı kart uygulamaları, tokenler, tek kullanımlık şifreler gibi önemli yöntemler kullanılmalıdır.
ISO/IEC 27000 BGYS sözlük standardında “güvenilirlik”, “Davranış ve sonuçların tutarlılık özelliği” olarak tanımlanır. Sistemlerin kurulumundan sonra bu sistemlerden beklenen davranış ile oluşan sonuç arasındaki tutarlılık olarak özetlenebilir. Bir cihazın veya sistemin, istenen şekilde kurulumu gerçekleştikten sonra; istenildiği gibi çalışıp çalışmadığının gözlemi üzerine yapılan analiz, sistemin güvenilirlik durumunu ortaya koyacaktır.
ISO/IEC 27000 BGYS sözlük standardında “inkar edememe”, “Olayın veya faaliyetin olup olmadığının hakkındaki anlaşmazlıkları ve olay çerisindeki kaynakları çözmek amacıyla, iddia edilen olayın veya faaliyetin oluşumunun ve kaynağının ispat edilebilirliği” olarak tanımlanır. Gönderici ile alıcının, yaptıkları eylemi inkar edememesidir. Genellikle bankacılık ve finans sektöründe önemli bir yer tutar. Gönderici ile alıcı arasında uyuşmazlık durumunu asgari düzeyde tutmak birincil hedeftir. Sayısal imza gibi tekniklerle sağlanır.
Bu ilkelere uyumun sağlanması ile bilgi teknolojilerinin güvenliği konusunda endişe en aza indirilir ve bu sayede firmanız ve birlikte çalıştığınız kurumlar ile aranızda bir güven duygusu oluşur. Sürdürülebilirlik ve iş imkânları gözle görülür miktarda artış gösterir.