İş Hayatında Standartlar Dersi 5. Ünite Özet
Bilgi Güvenliği Yönetim Standartları
- Özet
- Sorularla Öğrenelim
Güvenlikte Amaçlar
Güvenlik yönetiminin amacı tüm bilgi sistemi süreçleri ve kaynaklarının doğrululuğu, bütünlüğü ve güvenliğidir.
Bilgi güvenliği konusunda temel standartlar:
- Kimliğin doğruluğu
- Yetki kontrolü
- Kimliğin gizliliği
- Kişisel gizlilik
- Verinin bütünlüğünün korunması
- İzleme
Sistem Açıkları ve Kötüye Kullanma
- İnternet Açıkları
- Kablosuz Güvenlik Sıkıntıları
- Aldatma (Spoofing) ve Paket Koklama (Sniffing)
- Hizmet Dışı Bırakma
- Kimlik Hırsızlığı
- Tıklama Sahtekârlığı
- Küresel Tehditler: Siber Terör ve Siber Savaş
İnternet açıkları: İnternet gibi büyük kamu ağları sanal olarak herkese açık olduklarından iç ağlardan daha fazla saldırıya açıktırlar. Sabit bir İnternet adresi hackerlar için sabit bir hedef oluşturur. E-posta, anlık mesajlaşma ve denkler arası paylaşım programlarının yaygın kullanımı tehditlere açık olma durumunu arttırmıştır. İşletme çalışanları e-posta mesajlarını değerli ticari sırları, finansal verileri veya gizli müşteri bilgilerini yetkisiz alıcılara aktarmak için kullanabilirler.
Kablosuz güvenlik sıkıntıları: Hem Bluetooth hem de Wi-Fi ağları bilgisayar korsanı (hacker) saldırılarına yatkındır.
- Kötü Amaçlı Yazılım: Virüsler, Solucanlar, Truva Atları ve Casus Yazılımlar
- Bilgisayar Korsanları
Kötü amaçlı yazılım: virüsler, solucanlar, truva atları ve casus yazılımlar: Bilgisayar virüsleri, kendi kopyalarını çalıştırılabilir diğer kodlara veya belgelere yerleştirilerek yayılan ve kendi kendine çoğalan programlardır. Ekranda rahatsız edici, çalışmaya kısa süreliğine de olsa mani olan mesajlar göstermek gibi zararsız sayılabilecek türlerinin de bulunmasına karşın, çoğu virüs programlarının, önemli dosyaları silmek veya konak (host) sistemini tamamen çalışmaz hale getirmek gibi yıkıcı etkileri bulunmaktadır.
Solucanlar, yayılmak için başka bir programa veya virüslerde olduğu gibi insan etkileşimine ihtiyaç duymayan, kendi kendini çoğaltan bir yapı arz ederler. Solucanlar verilere ve programlara zarar vermenin yanında bilgisayar ağlarının çalışmasını engelleyebilir hatta durdurabilirler. Solucanlar ve virüsler genellikle İnternet üzerinde indirilen yazılım dosyalarından, e- postalara eklenen dosyalardan veya e-posta mesajlarından, online reklamlardan veya anlık mesajlaşmalardan yayılırlar.
Truva atları bulaştıkları makine üzerinde uzaktan yönetim yazılım gibi de çalışabilirler. Truva atları çoğalmadığından kendisi bir virüs değildir ancak virüslerin veya diğer zararlı kodların bir bilgisayar sistemine girmesi için bir yoldur.
Casus yazılım, kullanıcılara ait önemli bilgilerin ve kullanıcının yaptığı işlemlerin, kullanıcının bilgisi olmadan toplanmasını ve bu bilgilerin kötü niyetli kişilere gönderilmesini sağlayan yazılım olarak tanımlanır. Bazı kaynaklarda dar manada “snoopware” (burun sokan yazılım) olarak da adlandırılan casus yazılımlar, diğer kötü amaçlı yazılımlara göre özellikle İnternet kullanıcıları tarafından sistemlere farkında olmadan bulaştırılmaktadırlar. Casus yazılımlar, virüs ve solucanlardan farklı olarak hedef sisteme bir kez bulaştıktan sonra kendi kopyasını oluşturarak daha fazla yayılmaya ihtiyaç duymazlar. Casus yazılımın amacı kurban olarak seçilen sistem üzerinde gizli kalarak istenen bilgileri toplamaktır.
Bilgisayar korsanları: Bir bilgisayar korsanı (hacker) bir bilgisayar sistemine yetkisiz erişim elde etmeye çalışan bir bireydir. Hackerlar Web siteleri ve bilgisayar sistemlerinin uyguladığı güvenlik korumalarındaki zayıflıkları bularak sıklıkla açık bir sistem yaratan ve kolay kullanılan İnternetin çeşitli özelliklerinden faydalanarak yetkisiz erişim elde ederler.
Aldatma (spoofing) ve paket koklama (sniffing): Veri paketleri network cihazları vasıtasıyla ağ üzerinden aktarılırken, kötü amaçlı kişiler bu cihazları ve bilgisayarları paket koklama (sniffleyerek) ya da aldatma (spoofing) işlemleri yaparak bilgileri ele geçirebilirler. Saldırganlar bu cihazların IP/MAC tablolarının tutulduğu ARP (Adres Çözümleme Protokolü) belleklerini zehirleyerek, kısacası kandırarak paketlerin kendilerine ulaşmasını sağlayabilirler. Saldırgan ele geçirdiği paket üzerinde değişimler yaparak bunu gerçek alıcısına gönderebilir. Yapılan bu işlemlerden ne göndericinin ne de alıcının haberi olacaktır. Tüm iletim boyunca kendi aralarında haberleştiklerini sanacaklar ve saldırganın kendini aradan çekip bilgisayarların ARP belleklerini eski haline getirmesiyle aldatma işlemi son bulacaktır. Paket koklama ise ağ üzerinde iletilen verilerin çalınması işlemine denir. Bir paket koklayıcı ağ üzerindeki tüm trafiği kontrol etmek için bilgisayar içerisine yerleşir ve kendi kendine çalışır. Birçok koklayıcı, ayrımsız tür olarak adlandırılan “promiscuous mode” özelliğine sahip ethernet kart modülü vasıtasıyla kendileri haricinde diğer kullanıcılara iletilen paketleri de izinsizce ele geçirip, işleyebilirler.
Hizmet dışı bırakma: Hizmet dışı bırakma (DoS Saldırısı /Denial-of-Service) bir Web servisi veya Web uygulaması üzerinde altyapının cevap veremeyeceği derecede aşırı istek veya trafik yükü oluşturarak onu hizmet veremez duruma düşürme amaçlı saldırılardır. Genellikle virüsten etkilenmiş zombi bilgisayarların oluşturduğu robot ağları vasıtasıyla yapılır.
Zombi bilgisayar: Üçüncü tarafların denetimini ele geçirdiği bilgisayarı tanımlamakta kullanılan bir terimdir. Bu ele geçirme işi ise genellikle zararlılar yoluyla yapılmaktadır. Bilgisayarınızın “zombi” hale gelmesi, onun bir veya daha çok kişi tarafından sizin haberiniz olmadan kontrol edilmesi, örneğin istenmeyen e-postaların gönderilmesi veya İnternetteki diğer PC’lere saldırılar düzenlenmesi anlamına gelir.
Bilgisayar suçları: Donanım, yazılım, veri veya ağ kaynaklarının izinsiz kullanımı, erişimi, değiştirilmesi ve tekrar yapılandırılması, bilginin izinsiz dağıtılması, yazılımın izinsiz kopyalanması, bir son kullanıcının kendi donanımına, yazılımına, verilerine veya ağ kaynaklarına erişiminin engellenmesi, bilgi veya maddi varlıklara yaşa dışı bir şekilde edinmek için bilgisayar ve ağ kaynaklarını kullanmak veya kullanmaya çalışmak.
Kimlik hırsızlığı: Kimlik hırsızlığı bir sahtekârın bir başkasını taklit etmek için sosyal güvenlik kimlik numarasını, sürücü ehliyeti numarası veya kredi kartı numaraları gibi önemli kişisel bilgileri elde etmesi suçudur.
Tıklama sahtekarlığı: Tıklama sahtekarlığı bir birey ya da bilgisayar programı, bir online reklama, reklamcı hakkında daha fazla öğrenmek amacı olmaksızın veya bir satın alma yapmaksızın hileli olarak tıkladığında gerçekleşir.
Küresel tehditler: siber terör ve siber savaş: İnternetin küresel yapısı siber suçluların dünyanın herhangi bir yerinde faaliyet göstermesini ve zarar vermesini mümkün kılmaktadır. Siber savaş zarar vermek veya bozmak için bilgisayarlarına veya ağlarına izinsiz girerek bir devleti ya da ulusu zayıatmak veya yenmek için tasarlanan devlet sponsorluğunda bir faaliyettir. Siber terörizm, belirli bir politik ve sosyal amaca ulaşabilmek için bilgisayar veya bilgisayar sistemlerinin bireylere ve mallara karşı bir hükümeti veya toplumu yıldırma, baskı altında tutma amacıyla kullanılmasıdır.
İç tehditler: çalışanlar: Çalışanların ayrıcalıklı bilgilere erişimi vardır ve özensiz iç güvenlik prosedürlerinin olması durumunda sıklıkla bir iz bırakmadan işletmenin sisteminde dolaşabilirler. Bununla beraber çalışanlar iç tehditlerin yükselen tek kaynağı değildir. Hizmet sağlayıcıları ve diğer işletme ortakları da şirket içindeki tehditlerden biridir.
Güvenlik ve Kontrol İçin Bir Çerçeve Oluşturmak
- Bilgi sistemi kontrolü
- Güvenlik altyapısı oluşturma aşamaları
Bilgi sistemi kontrolü: Bilgi sistemi kontrolü, bilgi sistemi faaliyetlerinin doğruluğunu, geçerliliğini ve uygunluğunu sağlayamaya çalışan yöntem ve araçlardır. Bilgi sistemi kontrolü doğru veri girişi, işleme teknikleri, depolama yöntemleri ve bilgi çıkışını sağlayacak şekilde geliştirilmelidir.
Güvenlik Altyapısı Oluşturma Aşamaları: Risklerin tespit edilmesi, farkındalık, insan kaynağı istihdamı, önleme, yakalama, zararı en aza indirme, kurtarma, düzenleme, güvenlik standartlarına uyum.
Bilgi Kaynaklarını Korumak İçin Teknolojiler ve Araçlar
- Kimlik Yönetimi ve Kimlik Tanıma Sistemi (Authentication)
- Güvenlik Duvarları, İzinsiz Giriş Tespit Sistemleri ve Anti-Virüs Yazılımları
- Şifreleme
Kimlik Yönetimi ve Kimlik Tanıma Sistemi (Authentication): Kimlik tanıma sistemi girecek kişinin kimliğinin anlaşılmasını sağlar ve yetkisiz girişlere engel olur. İleri düzey güvenlik için elektronik imza veya iki yönlü doğrulama kullanılabilir. İki yönlü uygulamada şifre ve kullanıcı adı biyometrik sistemlerle desteklenir. Biyometrik kimlik tanıma sistemleri girişe izin vermek veya girişi reddetmek amacıyla parmak izi, göz retinası ve sesler gibi bireyin davranış özelliklerini okuyan ve yorumlayan sistemlerdir.
Güvenlik Duvarları, İzinsiz Giriş Tespit Sistemleri ve Anti- Virüs Yazılımları: Bir ağ güvenlik duvarı, güvenlik duvarı yazılımı ile birlikte bir iletişim işlemcisi, sıklıkla bir router veya server olabilir. Güvenlik duvarı, işletmenin intranetini ve diğer bilgisayar ağlarını, bir filtre ve İnternete ve diğer ağlara bir erişim için güvenli bir transfer noktası sağlayarak ihlallerden koruyan bir ağ geçidi denetçisi sistemi olarak hizmet eder. Tüm ağ trafiğini doğru şifreler veya diğer güvenlik kodları için izler ve ağa sadece izni olan iletimlerin geçmesine izin verir. Özellikle yeni ortaya çıkan virüsler güvenlik duvarını geçebilir. Bu yüzden güvenlik duvarı yazılımı sürekli güncel tutulmalıdır.
Şifreleme: Şifreler, mesajlar ve diğer veriler karışık şifrelenmiş bir halde aktarılır ve sadece izin verilen kullanıcılar için bilgisayar sistemleri tarafından şifresi çözülür. Şifreleme, dijital veriyi aktarmadan önce şifrelenmiş koda dönüştürmek ve sonra alındığında kod açmak için özel matematiksel algoritmaları veya anahtarları kullanmayı içerir
Bilgi Hakları: Mahremiyet ve Özgürlük
Mahremiyet (gizlilik) bireylerin yalnız bırakılma, diğer bireylerin veya devleti de içeren kurumların gözetim ve müdahalesinden uzak olabilme talebidir. Mahremiyet talebi iş yerinde de geçerlidir. Günümüzde ileri teknolojik araçlar ve olanaklar sayesinde, gizlice dinleme, görüntüleme ve özel belgeleri elde etme yoluyla özel yaşam alanına veya mahremiyete yönelik saldırılar, giderek artmakta ve bu alana ilişkin bilgiler basın-yayın araçları ve İnternet üzerinden geniş bir kamu kesimine ulaştırılabilmektedir.
Birçok Amerikan ve Avrupa mahremiyet yasası Adil Bilgi Uygulamaları (Fair Information Practices) adı verilen bir rejimi temel almaktadır. Adil bilgi uygulamaları bireyler hakkında bilginin toplanması ve kullanımını yöneten bir dizi prensipten oluşmaktadır. Adil Bilgi Uygulamaları kayıt tutan ile bireyin karşılıklı çıkarları düşüncesine dayanmaktadır. Bireyin bir işlemde, her satın almada bir çıkarı vardır ve kayıt tutan taraf genellikle, bir işletme veya kamu kurumu, işlemi desteklemek için bilgiye ihtiyaç duymaktadır. ABD’de Federal Ticaret Komisyonu tarafından orijinal hali (1973) geliştirilen Adil Bilgi Uygulamaları online (çevrim içi) mahremiyetin korunması için bir kılavuz sağlamaktadır.
İnternet Kaynaklı Mahremiyet Sorunları: Ağlar üzerinden gönderilen bilgiler son varış yerine ulaşmadan önce birçok farklı bilgisayar sisteminden geçebilir. Bu sistemlerin her biri geçen bu bilgileri izleme, yakalama ve depolama yetisine sahiptir. İnternette yapılan araştırmalar, ziyaret edilen Web siteleri veya sayfaları, erişilen online içerik ve kişinin Web üzerinden incelediği ya da satın aldığı ürünleri içeren birçok online faaliyeti kaydetmek mümkündür. Çerezler kullanıcı web sitelerini ziyaret ettiğinde bilgisayarın sabit diskine yerleşen küçük yazı dosyalarıdır. Çerezler kullanıcının web tarayıcı yazılımını tanımlar ve web sitesine ziyaretleri izler. Ziyaretçi bir çerez saklamış siteye geri döndüğünde, web sitesi yazılımı kullanıcının bilgisayarını araştıracak, çerezi bulacak ve kişinin geçmişte ne yaptığını öğrenecektir. Ayrıca ziyaret süresindeki faaliyete bağlı olarak çerezi güncelleyebilir.
Teknik Çözümler: Hukuki düzenlemeler yanında Web sitelerindeki etkileşimleri süresince kullanıcı mahremiyetini korumak için yeni teknolojiler de mevcuttur. Bu araçların birçoğu e-postaları şifrelemek, e- posta ve İnternette gezinti faaliyetlerini isimsiz yapmak, müşteri bilgisayarının çerezleri kabul etmesini engellemek veya casus yazılımları belirlemek ve yok etmek için kullanılmaktadır.
Iso/Iec 27001 Bilgi Güvenliği Yönetim Sistemi Standardı
Uluslararası Standardizasyon Örgütü (International Organization for Standardization-ISO) 162 ulusal standart kurumun üyeliğiyle oluşmuş bağımsız, uluslararası sivil bir organizasyondur. Üyeleri aracılığıyla bilgi paylaşmak ve inovasyonu destekleyen ve küresel sorunlara çözümler geliştiren gönüllü, fikir birliğine dayalı, ilgili piyasaya ilişkin Uluslararası Standartları geliştirmek için uzmanları bir araya getirir. Uluslararası standartlar işlerin yürümesini sağlar. Ürünlere, hizmetlere ve sistemlere birinci sınıf özellikler verir, kalite, güvenlik ve verimlilik sağlar. Uluslararası ticareti kolaylaştırmada etkilidirler.
ISO’da Uluslararası Standartlar geliştirilir ancak ISO sertifikalandırma süreci içinde yer almaz ve sertifika yayınlamaz. Bu hizmet dış sertifikalandırma kuruluşları tarafından gerçekleştirilmektedir. Yani bir işletme veya organizasyon ISO tarafından sertifikalandırılmaz.
ISO yönetim standartları büyük ya da küçük, hangi ürün ve hizmet olursa olsun ve faaliyet sektörüne bakılmaksızın her işletmede uygulanabilir.
ISO/IEC 27001:2013 Bilgi Güvenliği Yönetim Sistemi: Öncesinde bir İngiliz standardı olan BS 7799-2, 2005 yılında ISO standardına dönüşerek ISO/IEC 27001:2005 adını almış ve 2013 yılında tekrar güncellenmiştir. ISO/IEC 27000 Standart Ailesi Bilgi Güvenliği ve BGYS (Bilgi Güvenliği Yönetim Sistemi) ile ilgilidir. ISO/ IEC 27001 Bilgi Güvenliği Yönetim Sistemi’ni kurmak gerçekleştirmek, işletmek, izlemek, gözden geçirmek, sürdürmek ve sürekli iyileştirmek için bir model sağlamak üzere hazırlanmıştır. Dünyada kabul edilmiş olan bu standart, bir kuruluşun bilgi güvenliğinin sadece teknik önlemlerle korunamayacağını, bunun yanında bir takım bilgi güvenliği politikaları belirleyerek ve uygulayarak desteklenmesi gerektiğini bildirmektedir.
Bilgi, işletmelerin faaliyetleri ve belki devamı için büyük bir önem taşır. ISO/IEC 27001 Belgesi değerli bilgi varlıklarını yönetmeye ve korumaya yardımcı olur. ISO/IEC 27001, Bilgi Güvenliği Yönetimi Sistemi gereksinimlerini tanımlayan tek uluslararası denetlenebilir standarttır.
BGYS standartları kapsamında PUKÖ (Planla – Uygula – Kontrol et – Önlem al) modeli kullanılmaktadır. BGYS yaşayan bir süreç olmak zorundadır. Bu nedenle de Standart BGYS için planla-uygula-kontrol et-önlem al (PUKÖ) döngüsünü benimsemiştir.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi Kurmanın Yararları: BGYS kurma adımlarının izlenmesi sonucunda kurum her şeyden önce bilgi varlıklarının farkına varacaktır. Hangi varlıkları olduğunu ve bu varlıkların önemini anlayacaktır. Risklerini belirleyip yöneterek en önemli unsur olan iş sürekliliğini sağlayabilecektir. İş sü- rekliliğinin sağlanması kurumun faaliyetlerine devam edebilmesi anlamına gelmektedir. Bilgiler korunacağından, kurumun iç ve dış paydaşlarında bir güven duygusu oluşturur, motivasyon sağlar. Daha iyi bir çalışma ortamı yaratılmasına katkı sağlar. Kurum, kuruluş ve işletmelerin belirli güvenlik standartları çerçevesinde bilgi güvenliğini sağlayarak iç ve dış tehditler karsısında zarar görmeden veya en az zararla iş sürekliliklerini devam ettirebilmeleri için bilgi güvenliği standartlarını kendi kuruluşlarında uygulamaları artık neredeyse bir zorunluluk haline gelmişti). Ayrıca bilgiyi bir sistem sayesinde korur, tesadüfe bırakmaz. Müşterileri değerlendirirse rakiplerine göre daha iyi değerlendirilir. Çalışanların motivasyonunu arttırır. Yasal takipleri önler. Yüksek prestij sağlar.