Bilgi Güvenligi Genel Tanimlar

Gizlilik;

Saklanan, isleme tabi tutulan ya da aktarilan her türlü bilginin, yalnizca bilgiye erismeye ve kullanmaya yetkili kurulusa ve/veya sahibine ait olmasini saglamak için korunmasi gerekir.

Erisim kontrolünün pek çok sekli, temelde gizliligin korunmasi hakkindadir. Sifreleme, bilginin gizli kalmasini saglayan bir kontrol örnegidir.

Kontroller, bilgi güvenlik yönetimi sisteminin her asamasinda uygulanabilir:
Fiziksel asama (örnegin; kapilarin, muhafaza kaplarinin, kasalarin kilitlenmesi); mantiksal asama (örnegin; bir veri tabaninda ayri veri alanlari, uygulamadaki veri, kâgit halindeki belge).

 Her kosulda tehditler ve hassasiyetler tanimlanmali, iliskili riskler degerlendirilmeli ve bir kontrol sistemi seçilmeli, gerçeklestirilmeli ve söz konusu bu risklere karsi koruma amaciyla uygulanmalidir.

Bütünlük;

Saklanan, isleme tabi tutulan ya da aktarilan bilginin dogru ve eksiksiz olmasinin; dogru bir biçimde isleme tabi tutuldugunun ve yetkisiz kisilerce herhangi bir sekilde degistirilmediginin teyit edilmesi.

Ayrica kurulus, olmasini tasarladigi ag sebekelerinin ve bilgi sistemlerinin bütünlügünü tesis etmeyi de isteyebilir. Bellek sürücüler ve diger ortamlar ile iletisim sistemleri de dahil olmak üzere pek çok veri islem aygitinin veriyi bozmadigindan emin olmak için otomatik bütünlük kontrol etme araç gereçlerini içerir.

Bütünlük kontrolü; isletim sistemlerinde, yazilimda ve uygulama programlarinda veya isleme alinmis olan veride programlarin bilerek ya da kazara bozulmasini önlemesi bakimindan önemlidir.
Bütünlük kontrollerinin; giris/çikis veri geçerleme kontrolleri, kullanici egitimi ve diger isletim türü kontrolleri gibi insandan kaynaklanan riskleri ya da hirsizlik veya dolandiriciligi azaltmak için islem seviyesinde uygulanmasina ihtiyaç vardir.

Kullanilabilirlik;

bilgiyi kullanma yetkisi bulunan kurulus ya da kurulus içerisindeki kullanicilarin, bilgiyi ne zaman ve nerede kullanmaya ya da isleme tabi tutmaya ihtiyaç duyarlarsa bilgiye erismelerinin saglanmasi.
bilginin kullanilabilirligi, uygulamada bir kontrol sistemini gerektirir.

Örnegin; bilginin yedeklenmesi, kapasite planlamasi, sistem kabul prosedürleri ve kriterleri, ihlal olayi yönetimi prosedürleri, çikarilabilir bilgisayar ortami yönetimi, bilgi islem prosedürleri, donanim bakimi ve test edilmesi, sistem kullaniminin izlenmesi prosedürleri ve is süreklilik prosedürleri.

Güvenlik ihlali olaylarinin izlenmesi, gözden geçirilmesi ve kontrol edilmesi, servis kademeleri, zamaninda ve sürekli sistem performansi; kullanilabilirliligin saglanmasinda koruyucu bir kontrol mekanizmasi olabilir.

Hassas veya kritik bilgi;

ISO/IEC 17799, hem kritik, hem de hassas bilgiye uygulanabilen bir dizi kontrolü tanimlar. Hassas ya da kritik bilgi nedir ve hassas veya kritik bilgiyi nasil fark ederiz? Tanim, her kurulus için farklidir.
Bazi tanimlar, bireysel kuruluslar kapsaminda gerektiginde bilginin hassas ya da kritik olarak, geriye kalan bilginin ise hassas ya da kritik olmayan seklinde etiketlenebilmesi amaciyla bilginin degerini ya da kullanimini ortaya koymak için yapilabilir.

Bu kapsamda bir zaman unsuru da bulunmaktadir. Örnegin; kurulusun mali durumu, sermaye piyasasina bilgi vermeden önce çok hassas olabilir, ancak bir kez rapor edildikten sonra hassasiyeti ortadan kalkar. Hassasiyet, veriye verilen siniflandirma seviyesinde de görülmelidir.

Hassas ve kritik bilginin korunmasindaki en önemli öge, risk degerlendirmesidir. Risk degerlendirme sürecinin bölümü ISO 27001:2005 ve ISO/IEC 17799’in 4’üncü Maddesinde genel hatlariyla; daha ayrintili olarak da, BS 7799-3:2005’te verilmistir ve söz konusu bölüm, uygun bir kontrol sistemi kullanilarak, varliklari korumak için gerekli olan güvenlik seviyesi ve riskleri hesaplamak amaciyla bilgi varliklarinin degerlendirilmesini, tehditlerin ve hassasiyetlerin degerlendirilmesini içerir.

KAYNAK: Internet Kültürü