Menü Kapat

Bilgi Güvenliği ve Bilgi Güvenliği Unsurları

1.    BİLGİ GÜVENLİĞİ

Bilgi güvenliği, bilgilerin izinsiz kullanımından, izinsiz ifşa edilmesinden, izinsiz yok edilmesinden, izinsiz değiştirilmesinden, bilgilere hasar verilmesinden koruma veya bilgilere yapılacak olan izinsiz erişimleri engelleme işlemi. Bilgi güvenliği, bilgisayar güvenliği ve bilgi sigortası terimleri, sık olarak birbirinin yerine kullanılmaktadır. Bu alanlar alakalıdırlar ve mahremiyetin, bütünlüğün ve bilginin ulaşılabilirliğinin korunması hususunda ortak hedefleri paylaşırlar. [1]

1.1.   McCumber Bilgi Güvenliği Modeli

Bilgi güvenliği politikalarının oluşturulması ve politikaların uygulamaya dönüşmesi aşamasında, tüm yönleri ile birlikte değerlendirme yapılmadığı müddetçe, bilgi güvenliğinin sağlanmasında başarıya ulaşılması söz konusu değildir. Bilginin gizliliği, bütünlüğü ve kullanılabilirliğinin bilgi güvenliği içindeki  rolü  kadar,  bu  sürece  etki  eden  insan  faktörü  ve  uygulanan  bilgi güvenliği politikalarının da büyük önemi bulunmaktadır. Şekil 1’de yer alan McCumber’in geliştirmiş olduğu model, bilgi güvenliği konusunda ulusal ya da uluslararası boyutta politika geliştirmek ve bilgi güvenliğini tüm yönleri ile uygulayabilmek için temel olabilecek en uygun bilgi güvenliği modelidir. Bilgi güvenliğinin unsurlarının farklı boyutlarını gösteren ve aynı zamanda kendi içinde gruplandıran McCumber’in bilgi güvenliği modeli, 1991 yılından bu yana geçerliliğini korumuş ve daha sonra geliştirilen modellere de temel olmuştur. Bilgi güvenliğini teknik boyutta en katı kurallarla uygulayan ve standartları belirleyen (CISCO gibi) kuruluşlar da  temel  bilgi  güvenliği  kavramları  içerisinde  McCumber  modeline  yer  vermektedirler (CiscoLearning, 2009). AB bilgi güvenliği politikalarının değerlendirilmesinde çok boyutlu ve detaylı bakış açısı sunan McCumber modeli, bilgi merkezleri ve kurumlar için bilgi güvenliği politikası geliştirilirken de dikkate alınması gereken bir kuramsal modeldir. Model üzerinde bilgi güvenliğinin sağlanması ile ilgili olarak; bilginin üç farklı yüzü (karakteristiği/güvenlik servisleri, durumu ve güvenlik önlemleri) gruplandırılarak gösterilmektedir. [2]

sekil1

Şekil 1. McCumber Bilgi Güvenliği Modeli (McCumber, 1991)

2.    BİLGİ GÜVENLİĞİ UNSURLARI

McCumber güvenliğin bileşenlerini tanımlarken; üç ana unsur üzerinden hareket etmektedir. Bunlar; gizlilik, bütünlük ve kullanılabilirliktir. Bu üç unsur, McCumber’in 1991 yılında geliştirdiği bilgi güvenliği modelinde, “bilginin karakteristiği” grubu altında da yer almaktadır. Sözü edilen üç unsura, daha sonra güvenlik politikaları geliştiren araştırmacılar ve güvenlik analizcileri tarafından yeni unsurlar (inkâr edememe gibi) eklenmiştir. Fakat McCumber,  1991 yılında geliştirmiş olduğu modelin 2005 yılında değerlendirmesini yaparken; ayrıca yeni unsurların eklenmesine ihtiyaç olmadığını ve yeni unsurlar olarak gösterilen “inkâr edememe” ve “kimlik doğrulama” unsurlarının bilgi bütünlüğünün bir yüzü olduğunu ifade etmiştir (McCumber, 2005). Bilgi güvenliği konusuna McCumber’in bakış açısıyla bakıldığında; McCumber modelinin hâlâ güncel ve uygulanabilir bir model olduğu söylenebilir. McCumber modelinde “bilginin karakteristiği” grubu altında yer alan gizlilik, bütünlük ve kullanılabilirlik unsurları; bilgi güvenliğinde en fazla üzerinde çalışılan unsurlardır. Solomon’un gizlilik, bütünlük ve kullanılabilirlik üçgeninde de (CIA Triad) (Şekil 2) ifade edildiği gibi; bilgi güvenliği bu üç unsurun birleşimi olarak kabul edilmektedir (Solomon ve Chapple, 2005) [2].

sekil3

Şekil 2. CIA üçgeni.[5]

McCumber’in üzerinde ısrarcı olduğu ve McCumber’in modelini esas alan yeni modellerin güvenlik servisi içerisinde yer alan unsurlarını inceleyelim.

2.1.   Gizlilik

Bilginin gizliliği, bir bilgiye erişmesi uygun görülen kişiler tarafından erişimin sağlanabilmesini ifade eder. Bilgi merkezlerinde ya da büyük verinin bulunduğu sistemler üzerindeki bazı bilgiler herkes tarafından ulaşıma açık olabildiği gibi, bazı bilgiler (örneğin veritabanları) yapılan sözleşmeler çerçevesinde sadece belirli bir grup üyenin erişimine açıktır. Yetkilendirme, şifre ile erişim ve veri kriptolama işlemleri; bilgi gizliliğinin sağlanması için kullanılan başlıca yöntemlerdir. McCumber modelinde bilgi gizliliğinin sağlanması amacıyla, bilginin transferi ve depolanması süreçlerinde kripto kullanımı önerilmektedir (McCumber, 2005). Elektronik ortamdaki bilginin gizlilik etiketi ve bilgi güvenliği politikası kapsamında belirlenmiş “bilmesi gereken ilkesi2”, bilgi gizliliğinin sağlanmasında dikkat edilen öncelikli unsurlardır (WBO, 2003). Bilgiye erişim esnasındaki gizliliğin, kişisel bilgilerin ve bireysel hakların korunması; bilginin gizliliği kapsamındaki başlıca konulardır [2].

2.2.   Bütünlük:

Bilgi  bütünlüğü,  bilgi  merkezlerinde  ya  da  herhangi  bir  elektronik ortamda yer alan bilgi kaynaklarının yayıncı tarafından ulaştırılan orijinal halinin, yetkisiz kişiler tarafından değiştirilmemiş olması anlamını taşımaktadır. Bilgi bütünlüğü kasıtlı olarak bozulabileceği gibi, bilgi sistemlerindeki bazı eksiklikler nedeniyle kullanıcılar tarafından bilmeden ve istemeden de bozulabilir. Bilgi bütünlüğün korunması, aynı zamanda bilginin değerinin de korunması anlamını taşımaktadır. Bu nedenle bilgi güvenliği yatırımları içinde en fazla pay tahsis edilen alanlardan biri bilgi bütünlüğünün korunmasıdır. McCumber’e göre bilginin bütünlüğü; kripto çözümleri, karşılaştırmalı analiz, inkâr edememe, kimlik doğrulama ve erişim kontrolü süreçlerini de içine almaktadır (McCumber, 2005). Kimlik doğrulama ve erişim kontrolü ile ilgili yetkisiz erişimi tespit etme ve engelleme sürecinde; kimlik tanımlama, kimlik doğrulama ve yetkilendirme yöntemleri (kullanıcı adı, şifre, parmak izi, elektronik güvenlik sertifikaları, elektronik kart vd.) uygulanarak, kullanıcının önceden yetkilendirilmiş kaynaklara ihtiyaç duyabileceği en düşük yetki ile erişimi sağlanır [2].

2.3.   Erişilebilirlik/Kullanılabilirlik/Süreklilik

Bilginin kullanılabilirliği,   kullanıcının ihtiyacı olan bilgiye yetki alanı sınırları içinde ve istediği anda ulaşabilmesidir. Başka bir ifade ile bilginin erişim yetkisi olan kişiler tarafından erişilebilmesi ve kullanılabilmesidir. Yer sağlayıcılar ve bilgi profesyonelleri açısından erişilebilirlik konusu mevcut bilgi sistemlerinin faal olmasının ötesinde birtakım sorumlulukları da içermektedir. Veri depolamaalanlarının her an güncel bilgi ile kullanıcıyı buluşturması noktasında üstlenilen kritik sorumluluk; aktif olarak hizmet veren cihazların altyapı yedekliliği ve yeterliliğinin yanı sıra veri yedekliliğinin de düzenli olarak yapılması ve gerektiğinde en kısa sürede hizmete sunulmasını zorunlu kılmaktadır. Erişilebilirlik ile ilgili olarak en fazla yaşanan sorun, uygulanan güvenlik önlemlerinin bilgiye erişimi gereğinden fazla zorlaştırmasıdır. Güvenlik önlemi ile erişilebilirlik dengesinin doğru biçimde kurulmaması, bilgi kaynaklarına erişimi kısıtlayabilmektedir.[2]

Bu üç temel unsurun dışında kimlik kanıtlama (authentication) ve inkâr edememe (non-repudiation), sorumluluk (accountability), erişim denetimi (access control), güvenilirlik (reliability) ve emniyet (safety) etkenleri de bilgi güvenliğini destekleyen unsurlardır.

REFERANSLAR

[1] “Bilgi Güvenliği”, https://tr.wikipedia.org/wiki/Bilgi_g%C3%BCvenli%C4%9Fi
[2] Henkoğlu, T., Yılmaz B. (2013). Avrupa Birliği (AB) Bilgi Güvenliği Politikaları. Hakemli Yazılar.

 

Posted in Bilgi Güvenliği, Bilişim

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir