resim1
Etnical Hacking

Bilgi Güvenliği Standartları

0 1070

Bilgi Güvenliği, kurum ve organizasyonların değerli ve gizli olarak nitelendirilen veri ve bilgilerinin korunmasında çok önemli bir görev üstlenmiştir. Bu noktada, kurum ve organizasyonlar, Bilgi Güvenliği hususunda azami dikkat etmeli, gerekli tedbirleri yerinde ve zamanında almalıdır. [ 1 ] Bu durumun önemine dikkat çekmek ve Bilgi Güvenliğini geliştirecek gerekli çalışmaları yapmak üzere, birçok yönetim ve organizasyon, bazı önemli standartlar ve yasal düzenlemeler oluşturmuştur. Bu sayede Bilgi Güvenliğinin sürekliliği, kaynakların doğru şekilde kullanımı ve güvenlik uygulamalarının geliştirilmesi amaçlanmıştır.

Standartların Kullanım Nedenleri

Kurum ve organizasyonların Bilgi Güvenliğinin sağlanmasında karşılaştıkları belli başlı zorluklar şöyle sıralanabilir:

  • Yüksek entegrasyon gerektiren ve karmaşık yapıdaki IT-temelli sistemlerin geniş bir alanda kullanılmaya başlanması.
  • Hızla değişen teknolojiyle temellendirilmiş bilgisayarların, uygulamaların ve ağ yapılarının yüksek tehdit altında bulunmaları.
  • Hâlihazırdaki ve yeni teknolojik sistemlerin, sürekli saldırıya maruz kalmaları ve açıklıklarının keşfedilmesi.
  • Kurum ve organizasyonların düşük maliyetli ve yüksek verimli sistemlere duydukları ihtiyaç.
  • Yasal ve düzenleyici zorunlulukların Bilgi Güvenliği adına getirdikleri yükümlülükler.
  • Kurum ve organizasyonların, kaynak, beceri ve uzmanlık bakımından Bilgi Güvenliğini sağlamadaki yetersizlikleri.[ 2 ]

Yukarıdaki bahsedilen bu zorluklardan dolayı, kurum ve organizasyonlar, Bilgi Güvenliğini kapsamlı bir şekilde ele alan, faaliyet alanına göre güvenliğin sağlanmasına dair kuralları dile getiren belli başlı standartların oluşturulması ve uygulanması yoluna gitmiştir. Bu makalede, dünyada önemli yer tutmuş belli başlı standartlar ve güvenlik hususundaki kuralları açıklanmıştır.

Yürürlükteki Standartlar

HIPAA: İnternet uygulamaları ya da elektronik sistemler vasıtasıyla, bireylerin korunmuş sağlık bilgilerini aktaran organizasyonlar, HIPAA standartlarının yükümlülüklerini yerine getirmek zorundadırlar. Bu organizasyonlar, ilaç mağazaları, eczaneler, kaza ve sağlık sigortaları, tıbbi hizmet planı veren şirketler, tıbbi cihaz satan ve kiralayan şirketler, bireysel hekim klinikleri, hastaneler vb gibi organizasyonlar olabilir. HIPAA, bireylerin korunmuş veya korunması gereken sağlık bilgilerini mahremiyete ve güvenliğe uygun olarak geliştirilen bir takım idari, fiziksel ve tekniksel ihtiyat standartlarıdır.[ 3 ] Bu standartlar ve özellikleri aşağıdaki gibidir.

  • İdari İhtiyatlar: Örtülü birimlerin denetlenmesi ve bunlar için gerekli prosedürlerin yazılması için resmi bir yöneticinin atanması; elektronik korunmuş sağlık bilgilerine kimlerin ulaşıp kimlerin ulaşamayacağı başka bir deyişle eleman sınıflandırmasına gidilmesi; organizasyon ile beraber çalışan üçüncü parti organizasyonlarının da bu standartlara uyacağına dair anlaşmaların yapılması; acil durumlarda birimlerin verileri geri çekebilme ve veri düzeltme işlemlerini yapabilmeleri, zarar durumlarını görebilme ve veri üzerinde zarar tespiti yapabilmeleri…
  • Fiziksel İhtiyatlar: Aygıtların ağ çalışma gruplarına katılırken veya gruplardan çıkarılırken gereken ihtiyatın gösterilmesi; sağlık bilgilerini içeren aletlere ulaşımın dikkatlice kontrol edilmesi ve izlenmesi; bu aletlere ulaşımın yetkilendirilmiş kişiler tarafından yapılmasının sağlanması…
  • Tekniksel İhtiyatlar: Sağlık bilgilerini içeren aygıtların, siber saldırılara karşı korunması; bu bilgilerin ağ üzerinde akması halinde, şifreleme yöntemlerinin kullanılması; her birimin sağlık verilerinin değişmeyeceği ya da hareket ettirilmeyeceğine dair güvence vermesi; risk analizlerinin ve risk yönetimlerinin belgelendirilmesi…[ 4 ]

GLBA: bankalar, güvenlik şirketleri ve sigorta şirketlerinin güvenliği ve müşteri mahremiyeti için geliştirilmiş bir standartlar bütünüdür. Müşterilere ait gizli bilgilerin korunmasını esas almıştır. Mahremiyetle ve bilgi güvenliği ile ilgili üç temel prensibi vardır:[ 5 ]

  • Mali Mahremiyet Kuralı: Mali organizasyonlar, müşteri mahremiyetini korumak adına, onlarla ilgili bilgilerin nerede ve nasıl kullanıldığını, bu bilgilerin nasıl korunduğunu belirten müşteri arşivlerini tutmaları; müşteri bilgilerinin korunmaması durumunda müşterinin ne gibi haklarının bulunduğunun belirtilmesi; organizasyonun güvenlik ile ilgili yaptığı politika değişikliklerini müşterinin onayına sunma zorunluluğu…
  • İhtiyat Kuralı: Organizasyonların, müşterilerin gizli bilgilerini korumak adına ne gibi önlemler alacağına ve hangi yöntemleri uygulayacağına dair yazılı planların oluşturulması; en azından bir çalışanı bu iş için görevlendirmesi; her birim için risk yönetim merkezi kurulması; bilgiyi korumak adına, program geliştirilmesi, izlenmesi ve test edilmesi; bilginin toplanması, sunulması ve kullanılmasına göre politikaların değiştirilmesi…
  • Veri Çalınmasının Engellenmesi Kuralı: Erişim izni olmadan, diğer müşterilerin bilgilerine ulaşımın engellenmesi…[ 6 ]

BASEL: Bankaların sermaye yeterliliklerinin ölçülmesine ve değerlendirilmesine ilişkin olarak hazırlanmış standartlar bütünüdür.[ 7 ] Amacı bankaların risk yönetimlerini etkin bir hale getirmek, piyasa disiplinini geliştirmek, sermaye yeterliliği ölçümlerinin etkinliğini artırmak ve böylelikle etkili bir bankacılık sistemi oluşturmaktır. Bilişim Sistemlerinde riskin ortadan kaldırılamayacağı ancak gerçekleşme olasılığının minimize edilebileceği felsefesine dayanır. Bilgi güvenliği sağlanması için aşağıdaki maddelere önem verir:

  • Erişim Kontrolü: Bir organizasyonda, bilişim teknolojilerine kimin nasıl erişeceği ile ilgili atamaların veya belirlemelerin yapılması; kullanıcı ad ve şifrelerinden oluşan kullanıcı hesapların oluşturulması; kaynak erişim hakları ve ayrıcalıklı yönetici hesaplarının belirlenmesi; şifre ve kullanıcı hesaplarıyla ilgili standartların belirlenmesi…
  • İş Sürekliliğinin Sağlanması: Doğal afetler, yazılım veya donanım hataları, elektrik kesintisi gibi önceden bilinemeyecek durumlar için gerekli risk tedbirlerin alınması; bu durumlarda acil risk yönetim masalarının oluşturulması; müşteri hizmetlerinin devamlılığının sağlanması; bu süreçte yasal sorumlulukların yerine getirilmesi; organizasyona ait verinin ve her türlü bilginin korunması; verinin saklandığı sunucuların önceden farklı yerlerde kopyasının tutulması…
  • Değişiklik Yöntemi: Talep edilen ve gerekli bulunan değişikliklerin tanımlanması; bir değişikliğin olası etkilerinin belirlenmesi; hangi sistemlerin hangi tarihlerde hangi sırayla güncelleneceğinin tespiti; bunlardan sorumlu personelin belirlenmesi; olumsuz durumlar için geri dönüşüm prosedürlerinin detaylıca hazırlanması…
  • Güvenlik Yöntemi: Yetkisiz erişimlerin engellenmesi; bilginin değiştirilmesinin ve bilgiye saldırılmasının engellenmesi; koruma için gereken kontrol ve ölçümlerin tespiti; bu ölçümlerin belgelenmesi ve bu kontrollerin uygulanması…[ 7 ]

PCI DSS: Payment Card Industry Veri Güvenliği Standardı, organizasyonların kredi kartı işlemleri ve ödemeleri sırasında güvenliğin sağlanması, bilgilerin açığa çıkmaması için oluşturulmuş kurallar bütünüdür. Altı gruba ayrılmış on iki gereksinimin sağlanmasını şart koşar. Bu gereksinimler Tablo 1’de maddeler halinde gösterilmiştir.

– Referanslar

[ 1 ]    http://www.infosec.gov.hk/english/technical/files/overview.pdf

[ 2 ]    https://www.isfsecuritystandard.com/SOGP07/index.htm

[ 3 ]    Federal Register: Department of Health and  Human Services PART2 (2003)

[ 4 ]    Health Insurance Portability and Accountability Act                                                                                                                                                 http://en.wikipedia.org/wiki/Health_Insurance_Portability_and_Accountability_Act(2009)

[ 5 ]    Federal Register: Federal Trade Commission Part4 (2002)

[ 6 ]    Gramm Leach Billey Act            http://en.wikipedia.org/wiki/Gramm%E2%80%93Leach%E2%80%93Bliley_Act

[ 7 ]    Basel ||: Yeni Yazılım Standartları ve Operasyonel Risk Yönetimi( 2006)

Ref:http://www.bilgiguvenligi.gov.tr/bt-guv.-standartlari/bilgi-guvenligi-standartlari.html

About the author / 

Mustafa Kaya

Leave a reply

Your email address will not be published. Required fields are marked *

Haftanın Klibi

BEN ANADOLU’YUM – HACI GÜRHAN

Bir yanımdan şafak sökerken bir baştan bir başa,
Her gün selam veriyor güneş kurda kuşa.
Dört mevsim bir yaşarım, yok cihanda böyle eş, akşam sefasından ufuklardan batıyor Güneş.
İşte ben Anadolu'yum, yiğidim çatıktır kaşım,
Bir babanın öz oğluyum, yedi kardaşım.
Yedi oğlum var biri Aras'tır, bir ucunda serhat,
Bir kızım var Dicle'dir, bir oğlum var Fırat, İki ikizim var Seyhan, Ceyhan kıskançlık verirler yada,
Her nesneye can verilir, yeşil Çukurova'da.
Bir oğlum var, uzun boyludur rengi kızıl ya,
Bir kızım vardır, kaşları hilaldir adı Sakarya.
İşte benim ben, ben Anadolu'yum.
Ben Türküm, Kürdüm, Zazayım, Lazım, Çerkezim, Dadaşım
Dedik ya bir babanın öz oğluyum, yedi kardaşım
Ben Karadeniz'de Lazım Hazar denizinde Ahbazım,
Bir elimde kemençe bir elimde sazım.
İşte benim ben, ben Anadolu'yum.
Ağrı Dağında güvercinim.
Bitlis'te Ahlat, Van'da Gevaş'ım
Ben Bingöl dağların da çobanım, Muş ile kardaşım.
Hakkâri'de Ahmed-i Hani, Feqiye Teyran'a kuşum,
Ben Cizre yollarında Mem-u Zin ile yoldaşım.
Batman da petrol, Diyarbakır ovasında pamuk, Melik Ahmet dükkanında kumaşım.
Siirt'te Koçero, Mardin'de Süryani Antep'te Şahin, Urfa'da Halil-ul Rahman sofrasında aşım.
Ben Erzincan'da Terzi Baba Elâzığ'da Gagoşum.
Ben Munzur'da Alevi, Sivas'ta Kızılbaşım.
İşte benim ben, ben Anadolu'yum.
Ben Hatay da Arap'ım Habib-i Neccar'a yandaşım,
Ben Malatya, Adıyaman, ben Maraş'ım,
Ben Kayseri, Kırşehir, Kırıkkale, eğilmez başım.
Ben Yozgat, Tokat, Ankara vatan duvarında taşım.
Adana, Antalya, İzmir, Bursa'dan hoşum,
Sakarya, İzmit, İstanbul aşkıylan sarhoşum,
Egede efe Trakya'da Roman Marmara'da Mamoş'um,
Ben Yurtta Sulh Cihanda Barışım,
Ben Kur'an-ı Kerim in ışığında çağdaşım,
Ben Anadolu erenleri Mevlana, Yunus, Hacı Bektaş'ım
Ey sevgili kendine gel ,sen bensin ben sizim.
Çanakkale'de yatan binlerce kefensizim.
Beni benden ayırmak ne mümkün, aynı bedenim, aynı kemiğim, aynı tırnağım, aynı dişim.
Ben anayım, ben babayım, ben dayı, yeğenim, ben eşim.
Ya Rabbi sana arzu niyazım var ayırma beni haktan.
Ya rab koru beni düşmanlardan dış mihraklardan.
Otuz beş yıldır ne baharım var ne yazım, mevsimde kışım.
Ben üzgünüm, ben kırgınım, ben ağlayan gözlerde yaşım.
Ben Gürhan'ım, garip ozanım, bu topraklarda vatandaşım.

RSS Threatpost | The first stop for security news

Türkçe Konuş
Lütfen check yerine kontrol kelimesini kullanın.