BİLGİ GÜVENLİĞİ Temel Kavramlar Bilgi güvenliği ne demektir? • Bilgi güvenliği denildiğinde akla gelen kendimize ait olan bilginin başkasının eline geçmemesidir. • Bilgi güvenliği, bilginin izinsiz veya yetkisiz bir biçimde erişim, kullanım, değiştirilme, ifşa edilme, ortadan kaldırılma, el değiştirme ve hasar verilmesini önlemek olarak tanımlanır. 3 temel güvenlik öğesi 1.Gizlilik : Bilginin yetkisiz kişilerin eline geçmemesidir. 2.Bütünlük : Bilginin yetkisiz kişiler tarafından değiştirilmemesidir. 3.Erişilebilirlik : Bilginin ilgili ya da yetkili kişilerce ulaşılabilir ve kullanılabilir durumda olmasıdır. 1.Gizlilik (Confidentiality) Bilgi gizliliğinin gözetilmesi • Bilginin sadece yetkili kişiler tarafından erişilebilir durumda olması, • Yetkisiz kişilerin erişiminin engellenmesidir. • Ör: İnternet bankacılığına ait hesap bilgimiz bir saldırganın eline geçmesi 2.Bütünlük(Integrity) Bilginin bütünlüğü; • İçeriğinin doğru, • Güncel ve geçerli olduğu, • Yetkisiz kişiler tarafından değiştirilmediği anlamına gelir. • Ör: Bir web sayfasının içeriği saldırgan tarafından değiştirilmesi 3.Erişilebilirlik:Kullanılabilirlik:Geçerlilik (Availability) Bilginin erişilebilirliği; • Bilginin olması gereken yerde ve gerektiğinde kullanıma hazır olduğunun güvence altında tutulmasıdır. • Ör: Bir web sayfasına erişim engellenmesi Bilgi Güvenliği bu 3 temel özellik dışında güvenilirlik, inkar edememe, kimlik sınaması, yetkilendirme ve izlenebilirlik ile desteklenmelidir. Güvenilirlik (Reliability-Consistency) Sistemin öngörülen ve beklenen davranışı ile elde edilen sonuçlar arasındaki tutarlılık durumudur. Sistemin kendisinden beklenen şeyi eksiksiz/fazlasız olarak her çalıştırıldığında tutarlı şekilde yapmasıdır. İnkâr Edememe (Non-repudiation) Bu prensip verinin iletildiği gönderici ve alıcı arasında ortaya çıkabilecek iletişim sorunları ve anlaşmazlıkları en aza indirmeyi amaçlar. İki sistem arasında bir bilgi aktarımı yapılmışsa ne gönderen veriyi gönderdiğini, nede alıcı veriyi aldığını inkâr edememelidir. Özellikle gerçek zamanlı işlem gerektiren finansal sistemlerde kullanım alanı bulmaktadır. Kimlik Sınaması (Authentication) Kullanıcının sisteme bağlanabilmesi için ilk yapılması gereken işlemdir. Sistem kullanımı sırasında cihaz veya kullanıcının kimliğinin doğrulanmasıdır. Bu işlem ile kullanıcının sahip olduğu kullanıcı adının sistemde kayıtlı olup olmadığı kontrol edilir. Daha sonra kullanıcıya verilen parola da kontrol edilerek doğrulama işlemi yapılır. Doğrulama sağlanırsa kullanıcıya sisteme giriş izni verilir. Bilgisayar ağları ve bilgisayar sistemleri dışında fiziksel sistemler için de çok önemlidir ve bu yüzden akıllı kartlar veya biometrik teknolojilere dayalı kimlik sınama sistemleri kullanılmaya başlanmıştır. Yetkilendirme (Authorization) Kullanıcı adı ve parola doğrulaması sağlanan kullanıcıların sisteme, programa veya ağa hangi yetkilerle erişim hakkına sahip olduklarını belirten prensiptir. Sisteme kayıtlı olan kullanıcılar gruplanarak, bu gruplara çeşitli yetkiler verilir. Kullanıcı içerisinde bulunduğu grubun bütün yetkilerine sahiptir. Eğer bir kullanıcı birden fazla gruba üye ise bu gruplara verilen yetkilerin hepsine sahiptir. Güvenliğin tam sağlanabilmesi için kullanıcılara gerekenden fazla yetki verilmemeli, "least privileges" prensipine göre hareket edilmelidir. İzlenebilirlik (Accountability) Bir sorun ile karşılaşıldığında sorunun tespitinin sağlanabilmesi için kullanılır. Sistemde bulunan kullanıcıların yaptıkları bütün işlemler ve erişim saatleri kayıt altına alınır. Bir problem çıktığında ise kullanıcı aktivitelerinin tutulduğu bu kayıtlardan sorun anlaşılmaya ve çözülmeye çalışılır. Bilgi güvenliği neden önemlidir? Bilgi uygun şekilde korunmazsa; •Gizli bilgiler açığa çıkabilir •Bilginin içeriğinde yetkisiz kişiler tarafından değişiklik yapılabilir •Bilgiye erişim mümkün olmayabilir. Kullanıcı hataları veya kötü niyetli girişimler bu sonuçları doğurabilir. Bu olayların izlenebilirliği de önemli bir konudur. Bilgi güvenliği neden önemlidir? Bilgi uygun şekilde korunmazsa; •Kuruma ait gizli ve hassas bilgiler •Kurum işlerliğini sağlayan bilgi ve süreçler •Kurumun ismi, güvenilirliği, itibarı •Üçüncü şahıslar tarafından emanet edilen bilgiler •Ticari, teknolojik, adli bilgiler •İş sürekliliği zarar görebilir. Bilgi güvenliği neden önemlidir? Bilgi uygun şekilde korunmazsa; •Ülke çıkarının zarar görmesi, •İş sürekliliğinin aksaması •Kaynak tüketimi •Müşteri mağduriyeti, memnuniyetsizliği •Üçüncü şahıslara yapılan saldırılardan sorumlu tutulma •Ulusal / kurumsal itibar kaybı •Yasal yaptırımlar ve tazminatlar gibi olumsuz sonuçlarla karşılaşılabilir. Bilgi Güvenliğinden Kim Sorumludur? Herhangi bir bilgi sisteminde aşağıdaki konumlardan herhangi birisinde iseniz sorumluluğunuz var demektir: • Bilginin sahibi • Bilgiyi kullanan • Bilgi sistemini yöneten Bu durum çok geniş bir kitleyi içerdiğinden "bilgi güvenliğinin sağlanmasından herkes sorumludur" diye genelleme yapmakta bir sakınca yoktur. Herkes sorumlu ise bilgi güvenliğinin seviyesi nasıl belirlenir? • Bilgi sistemlerini bir zincir gibi düşündüğümüzde bu zincirin en zayıf halkası çoğunlukla sistemin kullanıcılarıdır. Unutulmamalıdır ki bir zincir en zayıf halkası kadar sağlamdır." • Bilgi güvenliğinin seviyesi de bu durumda kullanıcılara bağlı olduğundan, kullanıcı bilinci bilgi güvenliğinin sağlanması için son derece hayati bir öneme sahiptir ve bilgi güvenliği seviyesini belirler. Tehditlere karşı alınacak önlemler Bilgi Güvenliğinin Sınıflandırılması • ağ güvenliği (network security) • uç/son nokta/kullanıcı güvenliği (endpoint security) • veri güvenliği (data security) • uygulama güvenliği (application security) • kimlik ve erişim yönetimi (identity and access management) • güvenlik yönetimi (security management) • sanallaştırma ve bulut (virtualization and cloud)