AMAÇ
Bilgi Güvenliği Yönetim Sisteminin etkin bir şekilde uygulanması için standart şartlarının yanısıra Bilgi Güvenliği Temel İlkelerinin de bilinmesi gereklidir. Bu ilkelerle birlikte bilgi güvenliği uygulamalarının tam olarak amacına ulaşması beklenir.
KAPSAM
Bu ilkelere uyumun sağlanması ile bilgi teknolojilerinin güvenliği konusunda endişe en aza indirilir ve bu sayede sürdürülebilirlik ve iş sürekliliği gözle görülür miktarda artış gösterir.
Aşağıda ki Bilgi Güvenliği Yönetim Sistemi ilkeleri kurumumuz tarafından uygulanmaktadır. Tüm Müşterilerimizin ve çalışanlarımızın bu ilkeleri uygun davranması bilgi güvenliği açısında son derece önemlidir. Konu ile ilgili gereken özen ve hassasiyetin gösterilmesini bilgi ve dikkatinize sunarız.
Gizlilik (Confidentiality):
Bilgi Güvenliği Yönetim Sistem Standardındaki “Gizlilik”; “Bilginin yetkisiz kişiler, varlıklar veya prosesler için elverişli yapılmaması ya da açıklanmaması özelliği” olarak tanımlanmıştır. Harici cihazların (flash bellek, disk vb.) yanında ağ güvenliğinde de önlemlerin alınarak gizliliğin sağlanması gerekir. Saldırganlar birçok yol ile saldırı gerçekleştirebilir ve bunların sonucunda gizli kalması gereken bilgilere erişebilirler. Bunların en yaygını sosyal mühendislik dediğimiz uygulamadır. Gizli bilgiye erişimi olan bir kullanıcı takip edilerek şifreleri veya özel bilgileri ele geçirilir. Gizlilik hususunun temelinde şifre algoritmaları kullanmak vardır.
Bütünlük (Integrity):
Bilgi Güvenliği Yönetim Sistem Standardının en önemli şartlarından biri bilginin bütünlüğünün korunmasıdır.“bütünlük”, “Varlıkların doğruluğunu ve tamlığını koruma özelliği” olarak tanımlanır. Verinin, kaynaktan çıktığı haliyle alıcıya ulaştırılabilmesidir. Verinin taşınması sırasında hiçbir ekleme veya çıkartma olmaması gerekir. Bunun sağlanabilmesi için ise özetleme algoritması kullanılır. Eğer veride herhangi bir değişiklik olursa bütünlük ilkesi bozulmuş olur.
Erişilebilirlik (Availability):
Bilgi Güvenliği Yönetim Sistem standardında “erişilebilirlik”, “Yetkili bir tüzel kişilik tarafından talep edildiğinde erişilebilir ve kullanılabilir olma özelliği” olarak tanımlanır. Bilgiye ulaşmanın yanı sıra bilgiye istenildiğinde veya gerektiği zaman ulaşılabilmesi gerekir. Bunun sağlanması erişilebilirlik ilkesi ile açıklanır. Bu aynı zamanda bilgi güvenlik çalışanlarının en çok ihtiyaç duyduğu alanlardandır. Olası bir saldırı durumunda kendi erişimleri olan ve gerektiğinde ulaşmaları gereken verilere ne kadar hızlı ulaşılabilirse o kadar hızlı tepki verilebilir. Bu saldırılar erişilebilirliği düşürmeyi de hedefleyebilir (Denial of Service Attack, DDOS). Aynı zamanda, doğal afetler, eğitimi yetersiz personel hataları gibi durumlardan da kaynaklanabilir. Bilişimde erişimin sağlanabilmesi için güvenlik duvarları, saldırı tespit sistemleri ve antivirüs uygulamaları kullanılmalıdır.
Kayıt Tutma (Log Accountability):
Bilgi Güvenliği Yönetim Sistem standardında “kayıt”, “Elde edilen sonuçları belirtilen veya gerçekleştiren faaliyetin delillerini sağlayan doküman” olarak tanımlanır. Sanal ortamlarda gerçekleşen olayları kayıt altına alıp, periyodik bir şekilde analiz etmektir. Bu olaylar, bilgisayar ortamında veya veri ağı üzerinde gerçekleşen herhangi bir olayı tanımlayabilir. Gerekli analizlerin yapılması sonucunda, saldırı tespit edilirse, saldırı ihtimali yüksek bir aktivite görülürse, bilinen bir saldırı türü tespit edilirse bir uyarı mesajı oluşturularak, gerekli konumlara geri dönüş mesajı gönderilir. Bu sayede döngüyü tersten çalıştırarak, saldırganın kimliği ve yeri tespit edilebilir.
Kimlik Tespiti (Authentication):
Bilgi Güvenliği Yönetim Sistem standardında “kimlik tespiti”, “Bir tüzel kişiliğin, iddia edilen karakteristiğinin doğru olduğuna dair güvencenin temini” olarak tanımlanır. Bilgiye erişim sağlanırken, erişime yetkili kişi tarafından yapılıp yapılmadığının kontrol edilmesidir. Şifre isteme sistemleri, parmak izi uygulamaları örnek verilebilir. Özellikle fiziksel sistemlerde, akıllı kart uygulamaları, tokenler, tek kullanımlık şifreler gibi önemli yöntemler kullanılmalıdır.
Güvenilirlik (Reliability):
Bilgi Güvenliği Yönetim Sistem standardında “güvenilirlik”, “Davranış ve sonuçların tutarlılık özelliği” olarak tanımlanır. Sistemlerin kurulumundan sonra bu sistemlerden beklenen davranış ile oluşan sonuç arasındaki tutarlılık olarak özetlenebilir. Bir cihazın veya sistemin, istenen şekilde kurulumu gerçekleştikten sonra; istenildiği gibi çalışıp çalışmadığının gözlemi üzerine yapılan analiz, sistemin güvenilirlik durumunu ortaya koyacaktır.
İnkar Edememe (Non-Repudiation):
Bilgi Güvenliği Yönetim Sistem standardında “inkar edememe”, “Olayın veya faaliyetin olup olmadığının hakkındaki anlaşmazlıkları ve olay çerisindeki kaynakları çözmek amacıyla, iddia edilen olayın veya faaliyetin oluşumunun ve kaynağının ispat edilebilirliği” olarak tanımlanır. Gönderici ile alıcının, yaptıkları eylemi inkar edememesidir. Genellikle bankacılık ve finans sektöründe önemli bir yer tutar. Gönderici ile alıcı arasında uyuşmazlık durumunu asgari düzeyde tutmak birincil hedeftir. Sayısal imza gibi tekniklerle sağlanır.
