ISO 27001 BGYS’de Gizlilik, Bütünlük ve Erişilebilirlik Unsurları

ISO 27001 BGYS’de Gizlilik, Bütünlük ve Erişilebilirlik Unsurları

 

Bilgi güvenliği sadece bilginin başkasının eline geçmesi yani gizliliğinden ibaret değildir. McCumber Bilgi Güvenliği Modeli’ne göre (McCumber, 1991) bilginin karakteri, “gizlilik”, “bütünlük” ve “kullanılabilirlik” (confidentiality, integrity, availability) olarak isimlendirilen üç unsurdan oluşur. ISO 27001 de bu bilginin güvenliğini tariflemek için üç unsuru temel almaktadır.

 

Üç unsuru kısaca açacak olursak:

Gizlilik (Confidentiality): Bilginin yetkisiz kişilerin eline geçmemesidir. Örnek vermek için evinizde bir milyon dolarınız olduğunu düşünün (para, burada herkesin ortak ve ölçülebilir bir  değer biçtiği varlık olması açısından örnek olarak verilmiştir). Sizin bu meblada bir paranız olduğunun, sizce bilmesini istemediğiniz kişilerce bilinmesi paranın gizlilik güvenliğini tehlikeye sokmaktadır. Gizlilik, ifşa olduğunda tehditlere açık olmanın yanı sıra, direk bu durumdan zarar görme anlamına da gelebilmektedir. Hatta BGYS sistemlerinin günümüzdeki karar yaygın olmadığı yıllarda ISO 27001 belgesine sahip şirketler, kendilerine tehdit çekmemek adına açık biçimde belgeleri olduğunu söylemeyebiliyorlardı. McCumber modelinde bilgi gizliliğinin sağlanması amacıyla, bilginin transferi ve depolanması süreçlerinde kripto kullanımı önerilmektedir (McCumber, 2005). Elektronik ortamdaki bilginin gizlilik etiketi, bilgi erişim sırasında kişisel bilgilerin ve bireysel hakların korunması; bilginin gizliliği kapsamındaki başlıca konulardır.

Bütünlük (Integrity): Bilginin yetkisiz kişiler tarafından değiştirilmesi silinmesi ya da herhangi bir şekilde tahrip edilmesi tehditlerine karşı içeriğinin korunmasıdır. Diyelim ki evinizdeki bir milyon dolarınızı bankaya yatırarak korumak istediniz ancak bu büyüklükte bir meblayı yatırırken işlem hatası yüzünden bir sıfır eksik yazıldı ve artık paranız yüz bin dolar olarak görünüyor, bu bütünlük bozulmasıdır. Bütünlük güvenlik sorunları için kısaca kazara veya kasıtlı olarak bilginin orjinal halinden farklılaşmasıdır diyebiliriz. McCumber’e göre bilginin bütünlüğü; kripto çözümleri, karşılaştırmalı analiz, inkâr edememe, kimlik doğrulama ve erişim kontrolü süreçlerini de içine almaktadır (McCumber, 2005). Kimlik doğrulama ve erişim kontrolü ile ilgili yetkisiz erişimi tespit etme ve engelleme sürecinde; kimlik tanımlama, kimlik doğrulama ve yetkilendirme yöntemleri (kullanıcı adı, şifre, parmak izi, elektronik güvenlik sertifikaları, elektronik kart vd.) uygulanarak, kullanıcının önceden yetkilendirilmiş kaynaklara ihtiyaç duyabileceği en düşük yetki ile erişimi sağlanır

Kullanılabilirlik/ Erişilebilirlik/ Devamlılık (Availability): Bilginin her ihtiyaç duyulduğunda ilgili ya da yetkili kişilerce ulaşılabilir ve kullanılabilir durumda olmasıdır. Para örneğinden devam edecek olursak, bankadaki paranızla bir yatırım yapacaksınız, o anda paranızı çekmeye ihtiyacınız var ve sistem aynı gün yüzbin dolar üstünde para çekmenize izin vermiyor, bu bir kullanılabilirlik güvenlik sorunudur. Ayrıca herhangi bir sorun ya da problem çıkması durumunda bile bilginin erişilebilir olması kullanılabilirlik özelliğinin bir gereğidir. Bu erişim tanımlanmış kullanıcı erişim hakları çerçevesinde olmalıdır. Kullanılabilirlik ilkesince her kullanıcı erişim hakkının bulunduğu bilgi kaynağına, yetkili olduğu zaman diliminde mutlaka erişebilmelidir. Veri depolama alanları ile kullanıcılar her an güncel bilgiye erişebilmektedir, ayrıca bu sistemlere hizmet veren cihazların altyapı yedekliliği ve yeterliliği, düzenli yedekleme yönetimi ve gerektiğinde en kısa sürede hizmete erişim bu unsurun önemsediği teknik alanlardır.

Bu üç unsura dikkat edecek olursanız, tüm alternatif güvenlik senaryolarını kapsadıklarını göreceksiniz. Kişisel görüşüm olarak gizlilik riskleri ilk bakışta daha çok akla gelse de, bütün ve kullanılabilir biçimde bilgi varlıklarını korumanızın da gizlilik unsuru riskleriniz kadar değerli olduğunu düşünüyorum. Ayrıca gizlilik unsurunun fazlasıyla desteklenmesi ve uygulanan güvenlik önlemlerinin bilgiye erişimi gereğinden fazla zorlaştırması nedeniyle güvenlik önlemi ile erişilebilirlik dengesi doğru biçimde kurulamayabilir böylelikle bilgi kaynaklarına erişim kısıtlanabilmektedir.

Bu durumu, bilgi güvenliği unsurları için çok kullanılan “üç bacaklı tabure” örneği ile gözünüzde canlandırabilirsiniz. Bu tabure üç bacak aynı uzunlukta ve sağlamlıkta olduğu sürece dengede durmaya uygundur. Herhangi bir unsurda zayıflık olduğu anda o yöne doğru taburenin dengesi bozulmaktadır.

Aynı zamanda bilgi güvenliği için “en zayıf halka” kıyaslaması da kullanılmaktadır. Bu unsurlardan en güçsüzü kadar bilginiz güvende demektir. Başka bir yönden bakacak olursak, bilginiz ihmal ettiğiniz unsurlar nedeniyle tehlikededir diyebiliriz.

Bilgi güvenliği yönetiminde bilginin sahibi, bilgi kullanıcısı ya da bilginin bulunduğu sistemin yöneticisi iseniz bu unsurları korumada sorumluluk sahibisiniz anlamına gelmektedir.

Comments are closed.