Bilgi güvenliği

Bilgi güvenliği
Makale serilerinden
Güvenlik kategorileri İnternet güvenliği Siber savaş Bilgisayar güvenliği Mobil güvenlik Ağ güvenliği
Tehditler Gelişmiş Sürekli Tehdit Arka kapı Bilişim suçları Güvenlik açığı Eavesdropping Exploit Truva atı Virüs ve solucan Fidye virüsü Mantık bombası Denial-of-service attack Malware Payload Yemleme Veri kazıma Casus yazılım Rootkit Keylogger
Korunma Bilgisayar Erişim Denetimi Uygulama güvenliği Antivirüs yazılımı Güvenli kodlama Güvenlik odaklı işletim sistemi Kimlik doğrulama Çok faktörlü kimlik doğrulaması Veri merkezli güvenlik Yetkilendirme Şifreleme Güvenlik duvarı Saldırı tespit sistemleri Mobil güvenli ağ geçidi
g t d

Bilgi güvenliği, (Gizlilik, Bütünlük ve Erişilebilirlik) bilgilerin izinsiz kullanımından, izinsiz ifşa edilmesinden, izinsiz yok edilmesinden, izinsiz değiştirilmesinden, bilgilere hasar verilmesinden koruma veya bilgilere yapılacak olan izinsiz erişimleri engelleme işlemi. Bilgi güvenliği, bilgisayar güvenliği ve bilgi sigortası terimleri, sık olarak birbirinin yerine kullanılmaktadır. Bu alanlar alakalıdırlar ve mahremiyetin, bütünlüğün ve bilginin ulaşılabilirliğinin korunması hususunda ortak hedefleri paylaşırlar.

Türkiye

Türk Standartları Enstitüsü TSE tarafından Türkçeye çevrilerek yayınlanan TS ISO/IEC 27001:2005 Bilgi Güvenliği Yönetim Sistemi Standardı, bilgi güvenliğini üç başlık altında inceler:

Gizlilik: Bilgilerin yetkisiz erişime karşı korunması
Bütünlük: Bilgilerin eksiksiz, tam, tutarlı ve doğru olması
Erişilebilirlik: Bilgilere yetkililerce ihtiyaç duyulduğunda erişilebilir olması

Gizlilik, Bütünlük ve Erişilebilirlik, bilgi güvenliğinin temel taşı kavramı olan ve İngilizce Confidentially, Integrity, Availability kelimelerinin baş harflerinden gelen “CIA üçlüsü” olarak adlandırılır.

Gizlilik (Confidentially), verileri sadece Yetkili kişiler görebilir.

Bilgilerin yetkisiz erişilmesini önlemeye çalışır: verileri gizli tutar. Başka bir deyişle, verilere yetkisiz okuma erişimini önlemeye çalışır. Bir gizlilik saldırısı örneği, kredi kartı bilgileri gibi Kişisel Tanımlanabilir Bilgilerin (PII = Personally Identifiable Information) çalınması olabilir. Verilere yalnızca izin, resmi erişim onayı ve bilmeye ihtiyacı/izni olan kullanıcılar erişebilmelidir. Birçok ülke, ulusal güvenlik bilgilerini gizli tutma isteğini paylaşır ve bunu, gizlilik kontrollerinin yerinde olmasını sağlayarak gerçekleştirir. Büyük ve küçük kuruluşların verileri gizli tutması gerekir.

Bütünlük (Integrity), veri bütünlüğü, verilerin yetkisiz kişiler tarafından değiştirilmediği anlamına gelir.

Bilgilerin yetkisiz değiştirilmesini önlemeyi amaçlar. Başka bir deyişle, bütünlük verilere yetkisiz yazma erişimini önlemeye çalışır. İki tür bütünlük vardır: veri bütünlüğü ve sistem bütünlüğü. Veri bütünlüğü, bilgileri yetkisiz değişikliklere karşı korumayı amaçlar; sistem bütünlüğü, Windows 2008 sunucu işletim sistemi gibi bir sistemi yetkisiz değişikliklerden korumayı amaçlar. Etik olmayan bir öğrenci, başarısız notlarını yükseltmek için bir üniversite notu veri tabanı hacklerse, veri bütünlüğünü ihlal etmiş olur. Gelecekteki “arka kapı” (backdoor) erişimine izin vermek için sisteme kötü amaçlı yazılım yüklerse, sistem bütünlüğünü ihlal etmiş olur.

Erişilebilirlik (Availability), erişilebilirlik, verilere ihtiyaç duydukları zaman ve yerde yetkili kişiler tarafından erişilebilmesidir.

Bilgilerin gerektiğinde kullanılabilir olmasını sağlar. Sistemlerin normal iş kullanımı için kullanılabilir (mevcut) olması gerekir. Kullanılabilirliğe yönelik bir saldırı örneği, bir sistemin hizmetini (veya kullanılabilirliğini) durdurmaya çalışan Hizmet bloke (DoS) saldırısı olabilir. Hizmetlerin ve verilerin yüksek düzeyde erişilebilirliğini sağlamak için yük devretme kümeleme, site esnekliği, otomatik yük devretme, yük dengeleme, donanım ve yazılım bileşenlerinin yedekliliği ve hata toleransı gibi teknikleri kullanın. Örneğin, işlemesi uzun zaman alan geçersiz isteklerle bir sistemi aşırı yükleyerek bir hizmetin veya verilerin kullanılabilirliğini reddetmeyi amaçlayan bir hizmet reddi (DoS) saldırısını engellemenize yardımcı olabilirler.

Kavramlar Arası Karşıtlıklar

Gizlilik, bütünlük ve erişilebilirlik bazen birbirine zıttır: verileri bir kasaya kilitlemek ve anahtarı atmak, gizliliğe ve bütünlüğe yardımcı olabilir, ancak kullanılabilirliğe zarar verir. Bu yanlış cevaptır: bilgi güvenliği uzmanları olarak görevimiz gizlilik, bütünlük ve kullanılabilirlik ihtiyaçlarını dengelemek ve gerektiğinde ödünler vermektir. Bir bilgi güvenliği acemi olduğunun kesin bir işareti, kullanılabilirliği ele almazken her türlü gizlilik ve bütünlük kontrolünü bir soruna atmasıdır.

Bu makale, bilgi güvenliğinin genel bir özeti ve temel kavramlarını içerir.

Standardın 2013 Revizyonu olan ISO/IEC 27001:2013, 2013 yılının Ekim ayı içerisinde ISO tarafından yayınlanmıştır.

Türkçe çevirisi olan TS ISO/IEC 27001:2013, 2013 yılının Aralık ayı içerisinde yayınlanmıştır. ISO/IEC 27001:2005 standardı geçerliliğini Eylül 2015 sonunda kaybedecektir. Standardının 2005 versiyonu kullanan firmaların Eylül 2015 sonuna kadar yeni standarda göre belgelenmesi zorunludur.

Standardın 2017 Revizyonu olan ISO/IEC 27001:2017, 2017 yılının Mart ayında ISO tarafından yayınlanmıştır. Türkçe çevirisi olan TS ISO/IEC 27001:2017, 2017 yılının Mayıs ayı içerisinde yayınlanmıştır.

Standardın son revizyonu olarak 2022 Revizyonu olan ISO/IEC 27001:2022, 2022 yılının Şubat ayında ISO tarafından yayınlanmıştır. Türkçe çevirisi henüz yayınlanmamıştır.

Kaynakça

National security systems 24 Şubat 2015 tarihinde Wayback Machine sitesinde arşivlendi.
European Network and Information Security Agency (ENISA) 14 Ağustos 2014 tarihinde Wayback Machine sitesinde arşivlendi.
CISSP Study Guide, 3rd Edition by Eric Conrad, Seth Misenar, Joshua Feldman
Mike Meyers' CompTIA Security+ Certification Guide, Second Edition (Exam SY0-501), 2nd Edition by Mike Meyers, Scott Jernigan
ISO/IEC 27002:2022 Information security, cybersecurity and privacy protection — Information security controls https://www.iso.org/standard/75652.html 24 Mayıs 2022 tarihinde Wayback Machine sitesinde arşivlendi.

Bilgisayar ile ilgili bu madde taslak seviyesindedir. Madde içeriğini genişleterek Vikipedi'ye katkı sağlayabilirsiniz.

g t d Bilgisayar biliminin alt dalları
Matematiksel temeller	Matematiksel mantık · Kümeler kuramı · Sayı teorisi · Çizge teorisi · Tip teorisi · Kategori teorisi · Sayısal çözümleme · Bilgi teorisi · Kombinatorik · Boole cebiri
Hesaplama teorisi	Otomat teorisi · Hesaplanabilirlik teorisi · Hesaplamalı karmaşıklık teorisi · Kuantum hesaplama teorisi
Algoritmalar ve veri yapıları	Algoritma çözümlemesi · Algoritma tasarımı · Hesaplamalı geometri
Programlama dilleri ve derleyiciler	Ayrıştırıcılar · Yorumlayıcılar · Yordamsal programlama · Nesne yönelimli programlama · Fonksiyonel programlama · Mantık programlama · Programlama paradigmaları
Eşzamanlı, paralel ve dağıtık sistemler	Çoklu işleme · Dağıtımlı hesaplama · Eşzamanlılık denetimi
Yazılım mühendisliği	Gereksinim çözümleme · Yazılım tasarımı · Bilgisayar programlama · Biçimsel yöntemler · Yazılım testi · Yazılım geliştirme süreci
Sistem mimarisi	Bilgisayar mimarisi · Bilgisayar organizasyonu · İşletim sistemi
Telekomünikasyon ve ağ oluşturma	Bilgisayar müziği · Yönlendirme · Örgü topolojisi · Kriptografi
Veritabanları	Veritabanı yönetim sistemleri · İlişkisel veritabanı · SQL · İşlem yürütme · Veritabanı indeksleme · Veri madenciliği · Metadata (Üst veri) · Ana veri (Master data)
Yapay zekâ	Otomatikleştirilmiş muhakeme · Bilgisayarlı dilbilim · Bilgisayarlı görü · Evrimsel hesaplama · Uzman sistemler · Makine öğrenimi · Doğal dil işleme · Robotik
Bilgisayar grafikleri	Görselleştirme · Bilgisayar animasyonu · Görüntü işleme
İnsan-bilgisayar etkileşimi	Bilgisayar erişilebilirliği · Kullanıcı arayüzleri · Giyilebilir hesaplama · Yaygın bilişim · Sanal gerçeklik
Bilimsel hesaplama	Yapay yaşam · Biyoenformatik · Bilişsel bilim · Bilgisayarlı kimya · Hesaplamalı nörobilim · Hesaplamalı fizik · Sayısal algoritmalar · Sembolik matematik
Bilgisayar bilimi, ACM Hesaplama ve Sınıflandırma Sistemi'ne göre farklı konu ve alanlara ayrılabilir.