BİLİŞİM TABANLI BİLGİ GÜVENLİĞİ VE ELEKTRONİK İMZA BİLİŞİM NEDİR? Bilgi ve teknolojinin birlikte etkin şekilde kullanımı olan bilişim kavramına bilgi teknolojisi veya enformatik de denir. Bilişim;bilginin bilimsel yöntemlerle bilgisayar ve istatistiksel yaklaşımları kullanarak derlenmesi, sınıflandırılması, depolanması, işlenmesi ve dolayısı ile en etkin bir biçimde kullanılmasıdır. BİLGİ NEDİR? Bilgi, kurumdaki diğer varlıklar gibi, kurum için önem taşıyan ve bu nedenle de en iyi şekilde korunması gereken bir varlıktır. BİLGİ GÜVENLİĞİ NEDİR? Kurumdaki işlerin sürekliliğinin sağlanması, işlerde meydana gelebilecek aksaklıkların azaltılması ve yatırımlardan gelecek faydanın artırılması için bilginin geniş çaplı tehditlerden korunmasını sağlar. Bilgi birçok biçimde bulunabilir. Bilgi, kağıt üzerinde yazılı olabilir, elektronik olarak saklanıyor olabilir, posta yada elektronik posta yoluyla bir yerden bir yere iletilebilir yada kişiler arası sözlü olarak ifade edilebilir. Bilgi hangi formda olursa olsun, mutlaka uygun bir şekilde korunmalıdır. Bilgi güvenliği konularını incelerken üç kavram bakış açısından ele alınır. *Gizlilik *Bütünlük *Erişilebilirlik GİZLİLİK Gizlilik, ISO tarafından "Bilgiye sadece yetkilendirilmiş kişilerce ulaşılabilmesi" olarak nitelenir. Bugün Şifreleme altyapılarının olmasının sebebi temel olarak gizlilik, ve bütünlüktür. Bilgi güvenliğinin her kavramı her kurum için eşit önemde olmayabilir. Gizlilik özellikle kamu kurumları ve bankalar gibi kuruluşlar için önemlidir. Gizlilik, özellikle bir yasa ya da sözleşme dolayısıyla bir zorunluluk ise önemlidir. Örneğin avukat - müvekkil ilişkisi ya da doktor hasta ilişkisi gibi mesleki bilgiler kanun ile koruma altına alınmıştır. Bazı durumlarda ise taraflar birtakım bilgileri sözleşme ile birbirlerine verirlerken gizlilik anlaşmaları yaparlar. Her iki durumda da gizlilik büyük önem taşımaktadır. BÜTÜNLÜK Bütünlük (veri bütünlüğü) dar güvenlik anlamında verinin yahut bilginin yetkisiz kişilerce değiştirilmesine veya yok edilmesine karşı korunmasıdır. Verinin bozulması kasten yahut kaza ile olabilir ve bu bütünlüğün bozulmuş olduğu gerçeğini değiştirmez. Güvenlik önlemi alanların iki tür riske karşı da tedbir almaları gerekmektedir. Bilginin bütünlüğü aşağıdaki üç kıstası sağlamalıdır. *Kesinlik *Doğruluk *Geçerlilik ERİŞİLEBİLİRLİK Erişilebilirlik, matematiksel olarak ifade edildiğinde, herhangi bir sistemin yapılış amaçlarına göre işlev gördüğü zamanın, işlev gördüğü ve görmediği toplam zamana oranıdır. Daha yalın bir anlatımla, doğru yetkilendirilmiş bir kişinin ihtiyacı olduğu anda ihtiyacı olan hizmetin orada olma oranına erişilebilirlik denir. Verilen hizmetin ne kadar güvenilir olduğunun bir ölçütüdür. Kurumlar hizmetin ne kadar önemli olduğunun ölçümünü yapıp, sistemleri ve verileri bu ihtiyaca göre yedekli hale getirirler. "Bilgi, bir kurumun en önemli değerlerinden birisidir ve sürekli korunması gerekir." BİLGİ SİSTEMLERİ GÜVENLİĞİ Ticari amaçla olup olmadığına bakılmaksızın bütün toplu kullanım sağlayıcılar, konusu suç oluşturan içeriklere erişimi önleyici tedbirleri almakla yükümlüdür. Bu konuda kanun kapsamında kamu kurumlarının ve işletmelerin kesin bir yükümlülükleri vardır. Kurumlar ; *Personelin internet erişimini denetleyebilmeli, *Suç oluşturan zararlı içeriğin olabildiğince filtrelenmesini sağlamaya gayret göstermeli, *Personelin internet etkinliğini kayıtlarda tutabilmeli(loglama) ve bu kayıtlarda (loglarda) ayrıntılı arama yapabilmelidir. Kurumsal ağın dışarıdan veya içeriden gelebilecek saldırılara karşı korunması için kullanılabilecek araçlar ve yöntemler belirtilmiştir. Bunlar; *Güvenlik duvarı(Firewall):Kurum ağından dışarıya ve dışarıdan kurum ağına yapılan tüm iletişimi kontrol ederek kimin, nereye, ne zaman hangi servisi almak üzere bağlanabileceğini düzenler. Şu an en popüler olan ve en güvenli olduğu belirtilen güvenlik duvarı türü durum bazlı olandır. *Antivirüs yazılımları:Kurum ağındaki kullanıcı bilgisayarlarına ve sunuculara virüs, Truva atı türünden kötü yazılımların bulaşmasını engeller. *Saldırı tespit sistemi:Kurum ağına yapılan saldırıların tespit edilerek alarm verilmesi gerekirse saldırı trafiğinin engellenmesi. *Zayıflık tarama yazılımları:Kurum ağında yer alan sistemlerin ve yazılımlarının açıklarının tespit edilmesi amacıyla kullanılır. *Ağ dinleme ve yönetim yazılımları:Yerel ağdaki tüm trafiğin dinlenerek anormal durumların tespit edilmesi ve ağ cihazlarının merkezi olarak yönetilmesi işine yarar. *Loglama yazılımları:İç ve dış ağda yapılan tüm iletişimin loglanması ve bunların düzenli olarak kontrol edilmesi saldırıların önceden tespiti ve suçlunun bulunması için önemlidir. *Yedekleme araçları:Herhangi bir güvenlik açığı nedeniyle var olan sisteme zarar gelmesi durumunda en kısa zamanda çalışan sisteme deri dönme amacıyla kullanılır. VERİ GÜVENLİĞİ Kurumların internet veya özel iletişim hatları üzerinden akan verilerinin güvenliğinin sağlanması amacıyla kullanılabilecek teknolojiler burada özetlenmiştir. *Fiziksel Güvenlik:Bilgisayarların fiziksel güvenliğinin gerek şifre gibi unsurlarla gerekse akıllı kart türü araçlarla sağlanması. *Kullanıcı Doğrulaması Yöntemleri:Akıllı kart, tek kullanımlı parola, token ve public key certificat gibi merkezi kullanıcı doğrulama sunucularının kullanılması. *Şifreleme:Güvensiz ağlar üzerinden geçen verilerin güvenliği için virtual private network veya şifreleme yapan donanımların kullanılması. Ayrıca web tabanlı güvenli veri transferi için ssl ve public key şifrelemenin kullanılması. Donanım tabanlı şifreleme çözümleri de mümkündür. *İnkar Edilemezlik ve Mesaj Bütünlüğü:Sayısal imza teknolojisi kullanılarak bunlar sağlanabilir. İŞ SÜREKLİLİĞİ İş sürekliliği planlaması bir kurumun çalışmalarının devamlılığını sağlamak amacıyla bilişim altyapısının kesintisiz veya olağanüstü durumlarda en az kesintiyle hizmet vermesi için yapılması gerekenleri içerir. Bilişim tabanlı servislerin kesintiye uğramasını/aksamasını gerektirecek durumlar; *Donanım arızaları, *İletişim hatları veya elektrik kesintileri, *Kötü niyetli yazılımlar ve internet tabanlı saldırılar, *Doğal afetler (deprem,yanardağ), *Yangın - su basması, AĞ SERVİSLERİNDE GÜVENLİK VE GÜVENİLİRLİK KAVRAMI Ağda kullanıcılar kaynaklara erişirken bazı haklar ve sınırlandırmalar çerçevesinde ağ kaynaklarından faydalanırlar. Göreceli olarak geniş ağlarda, kullanıcıların ağa girebilmesi için login server’lar kullanılır.kullanıcı ağa bağlanmak için kullanıcı adını ve parolasını girmek zorundadır. Böylece ağ kaynaklarına kullanıcıların hangi haklar ve kısıtlamalarla erişebileceği tanımlanabilir. Bu yapı, bilgiye yetkili erişim imkanı sağlar. Yani her bilgi kaynağı herkes tarafından kullanılamaz. Bu yapının şekillenmesi tamamen firmanın güvenlik ihtiyaçlarına bağlıdır. Güvenlik açısından ve ağ servisleri bakımından geniş imkanlar sunan Microsoft NT ve Linux gibi ağ işletim sistemleri örnek olarak verilebilir. AĞ SERVİSLERİNİN ALTYAPI VE SUNUCU-İŞLEMCİ MİMARİSİNİN GÖREVLERİ *Çalışanların güvenlik konusunda bilinçlendirilmesi ve güvenlik sorununun herkes arasında paylaştırılarak, sorumluluğun dağıtılması ve herkes konunun önemini anlayarak sahip çıkmalı, *Kurum içinde uygulanan güvenlik politikaları yazılarak çalışanlara dağıtılmalı ve alınan önlemlerin nedenleri herkese anlatılmalı, *Güvenlik politikaları, bir güvenlik sorunu ile karşı karşıya kalındığında, kurum içinde nasıl davranılması gerektiğini, kimlerin hangi noktalardan sorumlu olduğunu da açıkça belirtmeli, *Güvenlik uzmanlarının karşılaştığı en büyük sorun, bu sistemler arasında güvenliği tutarlı bir şekilde yönetmek ve denetleyebilmektir. Bunun için; °şifre uzunluğu, °son kullanma tarihi ve format gibi bireysel güvenlik politikaları, °her bir platformda farklı formatlarda saklanmalıdır. *Kurumlar Bilişim Sistemlerini kuracak, kullanacak, denetleyecek personele yatırım yapmalı ve personel politikalarını tekrar gözden geçirmeli, *Kurumlarda mutlaka Bilgi Güvenliği Yöneticisi olmalı, BİLGİ GÜVENLİĞİ YÖNETİCİSİNİN GÖREVLERİ *Güvenlik politikalarını oluşturmak, *Üst yönetim tarafından onaylanmasını sağlamak, *Kurumlar tarafından benimsenmesini sağlamak, *Kurum güvenlik politikalarının güncelliğini ve sürekliliğini sağlamak, *Bilgi sistemlerinin güvenlik politikalarına uygunluğunun kontrolünü yapmak, *Kurum çalışanlarının güvenlik politikalarına uymasının denetlenmesi, ELEKTRONİK İMZA NEDİR? Elektronik ortamda iletişim kurarken gönderilen bilgi ve belgelerin, ticari yada resmi işlemlerin bağlayıcı olabilmesi imza şartını getirmektedir. Bunu internet ortamında sağlayan mekanizmaya elektronik imza (Eimza) denir. Bu anlamda elektronik imzanın normal bir imzadan uygulama,amaç ve işlerlik açısından hiçbir farkı yoktur. Fark sadece biri kağıda atılırken diğeri elektronik ortamda kripto edilmiş dijital bir şifredir. Bir belgenin hangi kişi yada kuruma ait olduğunu gösteren ve sahibi olduğu kişiyi bağlayan (tıpkı normal imza gibi) hukuki bir uygulamadır. Elektronik imza internet ortamında genel olarak 3 temel amacı yerine getirmektedir. *Veri Bütünlüğü: Verinin izin alınmadan hata ile değiştirilmesini, silinmesini veya veriye ekleme-çıkarma yapılmasını önlemek. *Kimlik Doğrulama ve Onaylama: İster ticari yada hukuki, isterse kişisel tüm mesaj ve bilgilerin, mesaj sahibine ait olduğunu ve geçerliliğini sağlamak. *İnkar Edilemezlik: Kişi yada kurumların elektronik ortamda gerçekleştirdikleri işlemleri inkar etmelerini önlemek. Elektronik imzanın kullanıldığı kamu kurumları; *Kurumlararası iletişim (üniversiteler, emniyet müdürlükleri, nüfus ve vatandaşlık işleri işlemleri vs.) *Sosyal güvenlik uygulamaları (ssk, bağ-kur, emekli sandığı ve sigortalar) *Sağlık uygulamaları (sağlık personeli, hastaneler, eczaneler) *Vergi ödemeleri ELEKTRONİK İMZA OLUŞTURMA ARAÇLARI İmza oluşturma araçları;elektronik imza oluşturmak üzere kullanılan yazılım veya donanımı ifade etmektedir. 5070 sayılı Kanun’da ‘‘güvenli’’ elektronik imza oluşturma araçlarına değinilmiş ve aşağıdaki özelliklerin sağlanması şart koşulmuştur: *Ürettiği elektronik imza oluşturma verilerinin kendi aralarında bir eşi daha bulunmaması, *Üzerinde kayıtlı olan elektronik imza oluşturma verilerinin araç dışına hiçbir biçimde çıkarılmamasının ve gizliliğini sağlaması, *Üzerinde kayıtlı olan elektronik imza oluşturma verilerinin, üçüncü kişilerce elde edilmemesi, kullanılmaması ve elektronik imzanın sahteciliğine karşı korunması, *İmzalanacak verinin imza sahibi dışında değiştirilmemesi ve bu verilerin imza sahibi tarafından imzanın oluşturulmasından önce görülebilmesi, ADIM 1: Microsoft Outlook Express programının "Araçlar / Tools" menüsüne girerek "Hesaplar / Accounts" seçeneğine tıklayınız. ADIM 2: Açılan hesaplar ekranında elektronik imzalı posta göndermek istediğiniz e-posta hesabınıza tıklayarak sağ tarafta bulunan "Özellikler / Properties" butonuna basınız. ADIM 3: Açılan özellikler ekranında üst tarafta bulunan sekmelerden "Güvenlik / Security" yazanına tıklayınız. ADIM 4: "Seç / Select" butonuna basarak bilgisayarınızda yüklü olan sertifikaların listesini açınız. ADIM 5: Kullanmak istediğiniz sertifikanızı işaretleyerek "Tamam / OK" butonuna basınız. ADIM 6: "Tamam / OK" butonuna basarak hesap özellikleri ekranını kapatınız. ADIM 7: "Kapat / Close" butonuna basarak hesaplar penceresini kapatınız HAZIRLAYANLAR KADER OKKA ŞEYMA TURANOĞLU MEDİNAY DEDE SEYLAN YILMAZ TEŞEKKÜR EDERİZ…