bilgi güvenliği

advertisement
BİLGİ GÜVENLİĞİ
Temel Kavramlar
Bilgi güvenliği ne demektir?
• Bilgi güvenliği denildiğinde akla gelen
kendimize ait olan bilginin başkasının eline
geçmemesidir.
• Bilgi güvenliği, bilginin izinsiz veya yetkisiz bir
biçimde erişim, kullanım, değiştirilme, ifşa
edilme, ortadan kaldırılma, el değiştirme ve
hasar verilmesini önlemek olarak tanımlanır.
3 temel güvenlik öğesi
1.Gizlilik : Bilginin yetkisiz
kişilerin eline geçmemesidir.
2.Bütünlük : Bilginin yetkisiz
kişiler tarafından
değiştirilmemesidir.
3.Erişilebilirlik : Bilginin ilgili
ya da yetkili kişilerce
ulaşılabilir ve kullanılabilir
durumda olmasıdır.
1.Gizlilik (Confidentiality)
Bilgi gizliliğinin gözetilmesi
• Bilginin sadece yetkili kişiler tarafından
erişilebilir durumda olması,
• Yetkisiz kişilerin erişiminin engellenmesidir.
• Ör: İnternet bankacılığına ait hesap bilgimiz bir
saldırganın eline geçmesi
2.Bütünlük(Integrity)
Bilginin bütünlüğü;
• İçeriğinin doğru,
• Güncel ve geçerli olduğu,
• Yetkisiz kişiler tarafından değiştirilmediği
anlamına gelir.
• Ör: Bir web sayfasının içeriği saldırgan
tarafından değiştirilmesi
3.Erişilebilirlik:Kullanılabilirlik:Geçerlilik
(Availability)
Bilginin erişilebilirliği;
• Bilginin olması gereken yerde ve gerektiğinde
kullanıma hazır olduğunun güvence altında
tutulmasıdır.
• Ör: Bir web sayfasına erişim engellenmesi
Bilgi Güvenliği bu 3 temel özellik dışında güvenilirlik, inkar edememe, kimlik
sınaması, yetkilendirme ve izlenebilirlik ile desteklenmelidir.
Güvenilirlik (Reliability-Consistency)
Sistemin öngörülen ve beklenen davranışı ile
elde edilen sonuçlar arasındaki tutarlılık
durumudur. Sistemin kendisinden beklenen şeyi
eksiksiz/fazlasız olarak her çalıştırıldığında tutarlı
şekilde yapmasıdır.
İnkâr Edememe (Non-repudiation)
Bu prensip verinin iletildiği gönderici ve alıcı
arasında ortaya çıkabilecek iletişim sorunları ve
anlaşmazlıkları en aza indirmeyi amaçlar. İki
sistem arasında bir bilgi aktarımı yapılmışsa ne
gönderen veriyi gönderdiğini, nede alıcı veriyi
aldığını inkâr edememelidir. Özellikle gerçek
zamanlı işlem gerektiren finansal sistemlerde
kullanım alanı bulmaktadır.
Kimlik Sınaması (Authentication)
Kullanıcının sisteme bağlanabilmesi için ilk yapılması
gereken işlemdir. Sistem kullanımı sırasında cihaz
veya kullanıcının kimliğinin doğrulanmasıdır. Bu
işlem ile kullanıcının sahip olduğu kullanıcı adının
sistemde kayıtlı olup olmadığı kontrol edilir. Daha
sonra kullanıcıya verilen parola da kontrol edilerek
doğrulama işlemi yapılır. Doğrulama sağlanırsa
kullanıcıya sisteme giriş izni verilir. Bilgisayar ağları
ve bilgisayar sistemleri dışında fiziksel sistemler için
de çok önemlidir ve bu yüzden akıllı kartlar veya
biometrik teknolojilere dayalı kimlik sınama
sistemleri kullanılmaya başlanmıştır.
Yetkilendirme (Authorization)
Kullanıcı adı ve parola doğrulaması sağlanan
kullanıcıların sisteme, programa veya ağa hangi
yetkilerle erişim hakkına sahip olduklarını belirten
prensiptir. Sisteme kayıtlı olan kullanıcılar
gruplanarak, bu gruplara çeşitli yetkiler verilir.
Kullanıcı içerisinde bulunduğu grubun bütün
yetkilerine sahiptir. Eğer bir kullanıcı birden fazla
gruba üye ise bu gruplara verilen yetkilerin hepsine
sahiptir. Güvenliğin tam sağlanabilmesi için
kullanıcılara gerekenden fazla yetki verilmemeli,
"least privileges" prensipine göre hareket
edilmelidir.
İzlenebilirlik (Accountability)
Bir sorun ile karşılaşıldığında sorunun tespitinin
sağlanabilmesi için kullanılır. Sistemde bulunan
kullanıcıların yaptıkları bütün işlemler ve erişim
saatleri kayıt altına alınır. Bir problem çıktığında
ise kullanıcı aktivitelerinin tutulduğu bu
kayıtlardan sorun anlaşılmaya ve çözülmeye
çalışılır.
Bilgi güvenliği neden önemlidir?
Bilgi uygun şekilde korunmazsa;
•Gizli bilgiler açığa çıkabilir
•Bilginin içeriğinde yetkisiz kişiler tarafından
değişiklik yapılabilir
•Bilgiye erişim mümkün olmayabilir.
Kullanıcı hataları veya kötü niyetli girişimler bu
sonuçları doğurabilir. Bu olayların izlenebilirliği
de önemli bir konudur.
Bilgi güvenliği neden önemlidir?
Bilgi uygun şekilde korunmazsa;
•Kuruma ait gizli ve hassas bilgiler
•Kurum işlerliğini sağlayan bilgi ve süreçler
•Kurumun ismi, güvenilirliği, itibarı
•Üçüncü şahıslar tarafından emanet edilen bilgiler
•Ticari, teknolojik, adli bilgiler
•İş sürekliliği
zarar görebilir.
Bilgi güvenliği neden önemlidir?
Bilgi uygun şekilde korunmazsa;
•Ülke çıkarının zarar görmesi,
•İş sürekliliğinin aksaması
•Kaynak tüketimi
•Müşteri mağduriyeti, memnuniyetsizliği
•Üçüncü şahıslara yapılan saldırılardan sorumlu
tutulma
•Ulusal / kurumsal itibar kaybı
•Yasal yaptırımlar ve tazminatlar
gibi olumsuz sonuçlarla karşılaşılabilir.
Bilgi Güvenliğinden Kim Sorumludur?
Herhangi bir bilgi sisteminde aşağıdaki konumlardan
herhangi birisinde iseniz sorumluluğunuz var demektir:
• Bilginin sahibi
• Bilgiyi kullanan
• Bilgi sistemini yöneten
Bu durum çok geniş bir kitleyi içerdiğinden "bilgi
güvenliğinin sağlanmasından herkes sorumludur" diye
genelleme yapmakta bir sakınca yoktur.
Herkes sorumlu ise bilgi
güvenliğinin seviyesi nasıl
belirlenir?
• Bilgi sistemlerini bir zincir gibi düşündüğümüzde bu
zincirin en zayıf halkası çoğunlukla sistemin
kullanıcılarıdır. Unutulmamalıdır ki bir zincir en zayıf
halkası kadar sağlamdır."
• Bilgi güvenliğinin seviyesi de bu durumda kullanıcılara
bağlı olduğundan, kullanıcı bilinci bilgi güvenliğinin
sağlanması için son derece hayati bir öneme sahiptir ve
bilgi güvenliği seviyesini belirler.
Tehditlere karşı alınacak önlemler
Bilgi Güvenliğinin Sınıflandırılması
• ağ güvenliği (network security)
• uç/son nokta/kullanıcı güvenliği (endpoint
security)
• veri güvenliği (data security)
• uygulama güvenliği (application security)
• kimlik ve erişim yönetimi (identity and access
management)
• güvenlik yönetimi (security management)
• sanallaştırma ve bulut (virtualization and cloud)
Download