İçeriğe atla

Bilgi güvenliği

Makale serilerinden
Güvenlik kategorileri
Tehditler
Korunma

Bilgi güvenliği, (Gizlilik, Bütünlük ve Erişilebilirlik) bilgilerin izinsiz kullanımından, izinsiz ifşa edilmesinden, izinsiz yok edilmesinden, izinsiz değiştirilmesinden, bilgilere hasar verilmesinden koruma veya bilgilere yapılacak olan izinsiz erişimleri engelleme işlemi. Bilgi güvenliği, bilgisayar güvenliği ve bilgi sigortası terimleri, sık olarak birbirinin yerine kullanılmaktadır. Bu alanlar alakalıdırlar ve mahremiyetin, bütünlüğün ve bilginin ulaşılabilirliğinin korunması hususunda ortak hedefleri paylaşırlar.

Türkiye

Türk Standartları Enstitüsü TSE tarafından Türkçeye çevrilerek yayınlanan TS ISO/IEC 27001:2005 Bilgi Güvenliği Yönetim Sistemi Standardı, bilgi güvenliğini üç başlık altında inceler:

  • Gizlilik: Bilgilerin yetkisiz erişime karşı korunması
  • Bütünlük: Bilgilerin eksiksiz, tam, tutarlı ve doğru olması
  • Erişilebilirlik: Bilgilere yetkililerce ihtiyaç duyulduğunda erişilebilir olması

Gizlilik, Bütünlük ve Erişilebilirlik, bilgi güvenliğinin temel taşı kavramı olan ve İngilizce Confidentially, Integrity, Availability kelimelerinin baş harflerinden gelen “CIA üçlüsü” olarak adlandırılır.

Gizlilik (Confidentially), verileri sadece Yetkili kişiler görebilir.

Bilgilerin yetkisiz erişilmesini önlemeye çalışır: verileri gizli tutar. Başka bir deyişle, verilere yetkisiz okuma erişimini önlemeye çalışır. Bir gizlilik saldırısı örneği, kredi kartı bilgileri gibi Kişisel Tanımlanabilir Bilgilerin (PII = Personally Identifiable Information) çalınması olabilir. Verilere yalnızca izin, resmi erişim onayı ve bilmeye ihtiyacı/izni olan kullanıcılar erişebilmelidir. Birçok ülke, ulusal güvenlik bilgilerini gizli tutma isteğini paylaşır ve bunu, gizlilik kontrollerinin yerinde olmasını sağlayarak gerçekleştirir. Büyük ve küçük kuruluşların verileri gizli tutması gerekir.

Bütünlük (Integrity), veri bütünlüğü, verilerin yetkisiz kişiler tarafından değiştirilmediği anlamına gelir.

Bilgilerin yetkisiz değiştirilmesini önlemeyi amaçlar. Başka bir deyişle, bütünlük verilere yetkisiz yazma erişimini önlemeye çalışır. İki tür bütünlük vardır: veri bütünlüğü ve sistem bütünlüğü. Veri bütünlüğü, bilgileri yetkisiz değişikliklere karşı korumayı amaçlar; sistem bütünlüğü, Windows 2008 sunucu işletim sistemi gibi bir sistemi yetkisiz değişikliklerden korumayı amaçlar. Etik olmayan bir öğrenci, başarısız notlarını yükseltmek için bir üniversite notu veri tabanı hacklerse, veri bütünlüğünü ihlal etmiş olur. Gelecekteki “arka kapı” (backdoor) erişimine izin vermek için sisteme kötü amaçlı yazılım yüklerse, sistem bütünlüğünü ihlal etmiş olur.

Erişilebilirlik (Availability), erişilebilirlik, verilere ihtiyaç duydukları zaman ve yerde yetkili kişiler tarafından erişilebilmesidir.

Bilgilerin gerektiğinde kullanılabilir olmasını sağlar. Sistemlerin normal iş kullanımı için kullanılabilir (mevcut) olması gerekir. Kullanılabilirliğe yönelik bir saldırı örneği, bir sistemin hizmetini (veya kullanılabilirliğini) durdurmaya çalışan Hizmet bloke (DoS) saldırısı olabilir. Hizmetlerin ve verilerin yüksek düzeyde erişilebilirliğini sağlamak için yük devretme kümeleme, site esnekliği, otomatik yük devretme, yük dengeleme, donanım ve yazılım bileşenlerinin yedekliliği ve hata toleransı gibi teknikleri kullanın. Örneğin, işlemesi uzun zaman alan geçersiz isteklerle bir sistemi aşırı yükleyerek bir hizmetin veya verilerin kullanılabilirliğini reddetmeyi amaçlayan bir hizmet reddi (DoS) saldırısını engellemenize yardımcı olabilirler.

Kavramlar Arası Karşıtlıklar

Gizlilik, bütünlük ve erişilebilirlik bazen birbirine zıttır: verileri bir kasaya kilitlemek ve anahtarı atmak, gizliliğe ve bütünlüğe yardımcı olabilir, ancak kullanılabilirliğe zarar verir. Bu yanlış cevaptır: bilgi güvenliği uzmanları olarak görevimiz gizlilik, bütünlük ve kullanılabilirlik ihtiyaçlarını dengelemek ve gerektiğinde ödünler vermektir. Bir bilgi güvenliği acemi olduğunun kesin bir işareti, kullanılabilirliği ele almazken her türlü gizlilik ve bütünlük kontrolünü bir soruna atmasıdır.

Bu makale, bilgi güvenliğinin genel bir özeti ve temel kavramlarını içerir.

Standardın 2013 Revizyonu olan ISO/IEC 27001:2013, 2013 yılının Ekim ayı içerisinde ISO tarafından yayınlanmıştır.

Türkçe çevirisi olan TS ISO/IEC 27001:2013, 2013 yılının Aralık ayı içerisinde yayınlanmıştır. ISO/IEC 27001:2005 standardı geçerliliğini Eylül 2015 sonunda kaybedecektir. Standardının 2005 versiyonu kullanan firmaların Eylül 2015 sonuna kadar yeni standarda göre belgelenmesi zorunludur.

Standardın 2017 Revizyonu olan ISO/IEC 27001:2017, 2017 yılının Mart ayında ISO tarafından yayınlanmıştır. Türkçe çevirisi olan TS ISO/IEC 27001:2017, 2017 yılının Mayıs ayı içerisinde yayınlanmıştır.

Standardın son revizyonu olarak 2022 Revizyonu olan ISO/IEC 27001:2022, 2022 yılının Şubat ayında ISO tarafından yayınlanmıştır. Türkçe çevirisi henüz yayınlanmamıştır.

Kaynakça

İlgili Araştırma Makaleleri

<span class="mw-page-title-main">ISO</span> uluslararası ölçü standart kurumu

ISO, Uluslararası Standartlar Teşkilatı, Uluslararası Elektroteknik Komisyonu'nun çalışma sahasına giren elektrik ve elektronik mühendisliği konuları dışında, bütün teknik ve teknik dışı dallardaki standartların belirlenmesi çalışmalarını yürütmek gayesiyle resmi olarak 23 Şubat 1947 tarihinde Cenevre'de kurulan uluslararası teşkilât.

<span class="mw-page-title-main">Kriptografi</span>

Kriptografi, kriptoloji ya da şifreleme, okunabilir durumdaki bir verinin içerdiği bilginin istenmeyen taraflarca anlaşılamayacak bir hale dönüştürülmesinde kullanılan yöntemlerin tümüdür. Kriptografi bir matematiksel yöntemler bütünüdür ve önemli bilgilerin güvenliği için gerekli gizlilik, aslıyla aynılık, kimlik denetimi ve asılsız reddi önleme gibi şartları sağlamak amaçlıdır. Bu yöntemler, bir bilginin iletimi esnasında ve saklanma süresinde karşılaşılabilecek aktif saldırı ya da pasif algılamalardan bilgiyi –dolayısıyla bilginin göndericisi, alıcısı, taşıyıcısı, konu edindiği kişiler ve başka her türlü taraf olabilecek kişilerin çıkarlarını da– koruma amacı güderler.

"International Organization for Standardization" İngilizce açılımı kısaltılınca "ISO", Fransızca da Organisation internationale de normalisation kısaltılırsa "OIN" olmasından dolayı yunanca "eşit" anlamına gelen "isos" tan türetilerek şu an kullanılan "ISO" olarak adlandırılmıştır. Uluslararası alanda uygulanacak kalite sistem standardı çalışmaları ilk kez merkezi Cenevre'de olan Uluslararası Standartlar Organizasyonu ISO (standart) tarafından başlatılmıştır. ISO (standart), 23 Şubat 1947 tarihinde kurulmuş olup, 135 üye ülkeden oluşmaktadır. Her ülkeden bir üye bulunmaktadır ve her üye eşit oy hakkına sahiptir. Bu amaçla ISO (standart)'nun aktif üyeleri olan ABD, İngiltere, Kanada tarafından bu çalışmaları yürütmek üzere Teknik Komite oluşturulmuştur. Bu komitenin çalışmaları sonucu ISO 9000 Kalite Sistem Standartları Mart 1987'de yayınlanmış ve birçok ülke tarafından benimsenerek uygulamaya geçilmiştir.

<span class="mw-page-title-main">Dalaman Havalimanı</span>

Dalaman Havalimanı Muğla'nın Dalaman ilçesi sınırları içerisinde bulunan uluslararası havalimanı. Şehir merkezinin 6 km güneyinde yer alan havalimanı; Milas-Bodrum Havalimanı ile birlikte Muğla'ya hizmet veren iki uluslararası havalimanından biridir.

<span class="mw-page-title-main">Bilgisayar güvenliği</span> bilgisayar sistemlerinin ve ağlarının, hırsızlık, hasar, kötüye kullanım gibi durumlara karşı koruma mekanizmaları

Bilgisayar güvenliği, elektronik ortamlarda verilerin veya bilgilerin saklanması ve taşınması esnasında bilgilerin bütünlüğü bozulmadan, izinsiz erişimlerden korunması için, güvenli bir bilgi işleme platformu oluşturma çabalarının tümüdür. Bunun sağlanması için duruma uygun güvenlik politikasının belirlenmesi ve uygulanması gereklidir.

Common Criteria (CC), Türkçeye TS ISO/IEC 15408 gereğince "Ortak Kriterler" olarak çevrilmiştir. Amaç Uluslararası Standartlara dayanan Enformasyon tekniğinin güvenliğini sağlamak ve değerlendirmektir. (ing. Common Criteria for Information Technology Security Evaluation, kısaca CC.) Temeli Avrupa'nin geliştirdiği ITSEC, "Orange-Book" TCSEC, ABD'nin ve Kanada'nin CTCPEC kriterlerine dayanıyor.

<span class="mw-page-title-main">Yurtiçi Kargo</span>

Yurtiçi Kargo, 1982 yılında İstanbul'da kurulmuş kargo şirketi.

İnternet Protokolü Güvenliği (IPsec), Internet Protokolü (IP) kullanılarak sağlanan iletişimlerde her paket için doğrulama ve şifreleme kullanarak koruma sağlayan bir protokol paketidir. IPsec, içinde bulundurduğu protokoller sayesinde, oturum başlarken karşılıklı doğrulama ve oturum sırasında anahtar değişimlerini gerçekleştirme yetkisine sahiptir. İki bilgisayar arasında (host-to-host), iki güvenlik kapısı arasında(network-to-network), bir güvenlik kapısı ve bir bilgisayar arasında(network-to-host) sağlanan bağlantıdaki veri akışını korumak için kullanılır. IPsec kriptografik güvenlik servislerini kullanarak IP protokolü ile gerçekleştirilen bağlantıları korumak için kullanılır. Ağ seviyesinde doğrulama veri kaynağı doğrulama,veri bütünlüğü, şifreleme ve replay saldırılarına karşı koruma görevlerini üstlenir.

Bilgi ve İlgili Teknolojiler İçin Kontrol Hedefleri (COBIT) ISACA ve ITGI tarafından 1996 yılında geliştirilmiş, Bilgi Teknolojileri Yönetimi için en iyi uygulamalar kümesidir. COBIT yöneticilere, denetçilere ve Bilgi Teknolojileri (BT) kullanıcılarına iş hedeflerinin bilgi işlem hedeflerine dönüşümünü, bu hedeflere ulaşmak için gerekli kaynakları ve gerçekleştirilen süreçleri bir araya getirirken, aynı zamanda bilgi teknolojileri alt yapılarını da etkin kullanmayı sağlar.

<span class="mw-page-title-main">KKTC Telsim</span>

KKTC Telsim, Kuzey Kıbrıs'ın ilk GSM operatörüdür.

Mesaj doğrulama kodu kriptografi biliminde bir mesajın doğruluğunu kanıtlamak için kullanılan küçük boyutlu bilgilerdir.

Veri bütünlüğü korunma ve tüm yaşam döngüsü boyunca verilerin doğruluğu ve tutarlılığının güvencesi anlamına gelir ve süreçleri, depolayan veya veri alan herhangi bir sistemin tasarımı, uygulanması ve kullanımının eleştirel bir yönüdür. Süreli veri bütünlüğü kapsamında geniştir ve özel bağlama göre çok farklı anlamlara sahip olabilir - hatta bilgi işlemin aynı genel şemsiyesi altındadır. Bu makalede farklı veri türleri ve veri bütünlüğü kaygılarında sadece bazı geniş bir bakış açısı sunmaktadır.

<span class="mw-page-title-main">Tehdit (risk yönetimi)</span> yaşam, sağlık, mülk veya çevre için potansiyel bir tehdit oluşturan durum

Tehdit veya tehlike, çalışma çevresinin fiziki kusurları ve uygun olmayan şartları ile insanların hatalı davranışları gibi, çalışma ortam ve koşullarında var olan ya da dışarıdan gelebilecek, kapsamı belirlenmemiş, maruz kimselere, işyerine ve çevreye zarar ya da hasar verme potansiyelidir. Çalışanların yaralanma ve sağlık sorunlarına neden olabilen güvenli olmayan iş ortamı ve uygulamalardır. İnsanların yaralanması veya sağlığının bozulması veya bunların birlikte gerçekleşmesine sebep olabilecek kaynak, durum veya işlemdir. İşyerinde var olan ya da dışarıdan gelebilecek, çalışanı veya işyerini etkileyebilecek zarar veya hasar verme potansiyelidir.

iSBAK İBBye bağlı trafik ve sistem mühendisliği iştiraki

İstanbul Bilişim ve Akıllı Kent Teknolojileri A.Ş. veya İSBAK, İstanbul Büyükşehir Belediyesi (İBB) tarafından trafik ve sistem mühendisliği ile projelendirme ve uygulama hizmetlerini gerçekleştirmek amacıyla 1986 yılında kurulmuştur. Kuruluşunun ilk yıllarında İstanbul’un trafik sinyalizasyon çalışmaları ile birlikte İBB’nin araç bakım onarım hizmetlerini de yürüten şirket, 1995 yılında Ar-Ge departmanının kurulmasıyla birlikte faaliyet alanını genişletmiş ve başta trafik sinyalizasyon olmak üzere Akıllı Ulaşım Sistemleri alanında profesyonel çalışmalara başlamıştır.

Kimlik Yönetimi, Kimlik ve Erişim Yönetimi olarak da bilinir, bilgisayar güvenliğinde, “doğru kişilerin, doğru zamanda, doğru amaçlarla, doğru kaynaklara erişimini sağlayan” güvenlik ve işletme disiplinidir. Giderek daha da çok unsurlu hale gelen teknoloji ortamında uygun kaynaklara erişim ihtiyacını ve yine gittikçe titiz hale gelen uyumluluk gerekliliklerini hedefler.

Veritabanı güvenliği, çok çeşitli bilgi güvenliği kontrollerinin kullanımı ile ilgilidir ve veri tabanlarınının(imkân dahilinde verileri, veritabanı uygulamalarını veya kayıt edilmiş işlevleri, veri tabanı sistemlerini, veritabanı sunucularını ve ilişkili ağ bağlantılarını içerir.) gizliliğini, bütünlüğünü ve erişilebilirliğini saldırılara karşı korur. Teknik, idari, yargı ve fiziksel gibi çeşitli türde ve kategoride kontroller veritabanı güvenliği kapsamı içerisine girer. bilgisayar güvenliği, bilgi güvenliği ve risk yönetimi alanları içerisinde, veritabanı güvenliği uzmanlık gerektiren bir konudur.

<span class="mw-page-title-main">Akıllı kart</span>

Akıllı kart, çipli kart veya tümleşik devre kartı (ICC), entegre devreler içeren herhangi bir mikroçip boyutunda karttır. Akıllı kartlar plastikten, genellikle polivinil klorürden, ancak bazen de polietilen tereftalat bazlı polyesterler, akrilonitril bütadien stiren veya polikarbonattan yapılır. Nisan 2009'dan bu yana, bir Japon şirketi, kâğıttan yapılmış yeniden kullanılabilir finansal akıllı kartlar üretti.

<span class="mw-page-title-main">İnternet güvenliği</span>

Internet güvenliği, yalnızca Internet, sıkça tarayıcı güvenliği ve World Wide Web ile ilgili değil, aynı zamanda Ağ Güvenliği, uygulama ve işletim sistemleri sistemleri ile bir bütün olarak ilgilidir. Amacı, internet üzerinden saldırılara karşı kullanılacak kurallar ve önlemler oluşturmaktır. İnternet, bilgi alışverişi için güvenli olmayan bir kanalı temsil eder; bu da kimlik avı, çevrimiçi virüsler, truva atları, solucanlar ve daha fazlası gibi yüksek bir saldırı veya dolandırıcılık riskine yol açar.

ISO/IEC 27001, uluslararası geçerliliği bulunan sağlam bir bilgi güvenliği sistemi için gerekliliklerin belirtildiği standartlar bütünüdür. Hedefi; kurumsal bilgiyi muhafaza etmek, gelebilecek her türlü zararı minimize etmek, bilgiyi korumak ve bilginin üzerindeki riskleri analiz ederek minimuma indirgemektir.

Ağ güvenliği, bilgisayar ağının ve ağdan erişilebilen kaynakların yetkisiz erişimini, kötüye kullanımını, değiştirilmesini veya reddedilmesini önlemek, tespit etmek ve izlemek için benimsenen politika, süreç ve uygulamalardan oluşur .Ağ güvenliği, ağ yöneticisi tarafından kontrol edilen bir ağdaki verilere erişim yetkisini içerir. Kullanıcılar atanmış bir ID ve şifre veya yetkileri dahilindeki bilgilere ve programlara erişmelerine izin veren diğer kimlik doğrulama bilgilerini seçer .Ağ güvenliği, günlük işlerde kullanılan hem genel hem de özel çeşitli bilgisayar ağlarını kapsar: işletmeler, devlet kurumları ve bireyler arasında işlem ve ilişki yürütmek. Ağ güvenliği bir şirket gibi özel veya genel erişime açık olabilir. Ağ güvenliği, kuruluşlarda, işletmelerde ve diğer kurum türlerinde yer alır. Bir ağ kaynağını korumanın en yaygın ve basit yolu, ona benzersiz bir ad ve buna karşılık gelen bir parola atamaktır.


Bu sayfa, bu Vikipedi makalesine dayanmaktadır.
Metin, CC BY-SA 4.0 lisansı altında mevcuttur; ek koşullar uygulanabilir.
Görseller, videolar ve sesler kendi lisansları altında mevcuttur.