Bilgi Güvenliği, kurum ve organizasyonların değerli ve gizli olarak nitelendirilen veri ve bilgilerinin korunmasında çok önemli bir görev üstlenmiştir. Bu noktada, kurum ve organizasyonlar, Bilgi Güvenliği hususunda azami dikkat etmeli, gerekli tedbirleri yerinde ve zamanında almalıdır. [ 1 ] Bu durumun önemine dikkat çekmek ve Bilgi Güvenliğini geliştirecek gerekli çalışmaları yapmak üzere, birçok yönetim ve organizasyon, bazı önemli standartlar ve yasal düzenlemeler oluşturmuştur. Bu sayede Bilgi Güvenliğinin sürekliliği, kaynakların doğru şekilde kullanımı ve güvenlik uygulamalarının geliştirilmesi amaçlanmıştır.
Standartların Kullanım Nedenleri
Kurum ve organizasyonların Bilgi Güvenliğinin sağlanmasında karşılaştıkları belli başlı zorluklar şöyle sıralanabilir:
- Yüksek entegrasyon gerektiren ve karmaşık yapıdaki IT-temelli sistemlerin geniş bir alanda kullanılmaya başlanması.
- Hızla değişen teknolojiyle temellendirilmiş bilgisayarların, uygulamaların ve ağ yapılarının yüksek tehdit altında bulunmaları.
- Hâlihazırdaki ve yeni teknolojik sistemlerin, sürekli saldırıya maruz kalmaları ve açıklıklarının keşfedilmesi.
- Kurum ve organizasyonların düşük maliyetli ve yüksek verimli sistemlere duydukları ihtiyaç.
- Yasal ve düzenleyici zorunlulukların Bilgi Güvenliği adına getirdikleri yükümlülükler.
- Kurum ve organizasyonların, kaynak, beceri ve uzmanlık bakımından Bilgi Güvenliğini sağlamadaki yetersizlikleri.[ 2 ]
Yukarıdaki bahsedilen bu zorluklardan dolayı, kurum ve organizasyonlar, Bilgi Güvenliğini kapsamlı bir şekilde ele alan, faaliyet alanına göre güvenliğin sağlanmasına dair kuralları dile getiren belli başlı standartların oluşturulması ve uygulanması yoluna gitmiştir. Bu makalede, dünyada önemli yer tutmuş belli başlı standartlar ve güvenlik hususundaki kuralları açıklanmıştır.
Yürürlükteki Standartlar
HIPAA: İnternet uygulamaları ya da elektronik sistemler vasıtasıyla, bireylerin korunmuş sağlık bilgilerini aktaran organizasyonlar, HIPAA standartlarının yükümlülüklerini yerine getirmek zorundadırlar. Bu organizasyonlar, ilaç mağazaları, eczaneler, kaza ve sağlık sigortaları, tıbbi hizmet planı veren şirketler, tıbbi cihaz satan ve kiralayan şirketler, bireysel hekim klinikleri, hastaneler vb gibi organizasyonlar olabilir. HIPAA, bireylerin korunmuş veya korunması gereken sağlık bilgilerini mahremiyete ve güvenliğe uygun olarak geliştirilen bir takım idari, fiziksel ve tekniksel ihtiyat standartlarıdır.[ 3 ] Bu standartlar ve özellikleri aşağıdaki gibidir.
- İdari İhtiyatlar: Örtülü birimlerin denetlenmesi ve bunlar için gerekli prosedürlerin yazılması için resmi bir yöneticinin atanması; elektronik korunmuş sağlık bilgilerine kimlerin ulaşıp kimlerin ulaşamayacağı başka bir deyişle eleman sınıflandırmasına gidilmesi; organizasyon ile beraber çalışan üçüncü parti organizasyonlarının da bu standartlara uyacağına dair anlaşmaların yapılması; acil durumlarda birimlerin verileri geri çekebilme ve veri düzeltme işlemlerini yapabilmeleri, zarar durumlarını görebilme ve veri üzerinde zarar tespiti yapabilmeleri…
- Fiziksel İhtiyatlar: Aygıtların ağ çalışma gruplarına katılırken veya gruplardan çıkarılırken gereken ihtiyatın gösterilmesi; sağlık bilgilerini içeren aletlere ulaşımın dikkatlice kontrol edilmesi ve izlenmesi; bu aletlere ulaşımın yetkilendirilmiş kişiler tarafından yapılmasının sağlanması…
- Tekniksel İhtiyatlar: Sağlık bilgilerini içeren aygıtların, siber saldırılara karşı korunması; bu bilgilerin ağ üzerinde akması halinde, şifreleme yöntemlerinin kullanılması; her birimin sağlık verilerinin değişmeyeceği ya da hareket ettirilmeyeceğine dair güvence vermesi; risk analizlerinin ve risk yönetimlerinin belgelendirilmesi…[ 4 ]
GLBA: bankalar, güvenlik şirketleri ve sigorta şirketlerinin güvenliği ve müşteri mahremiyeti için geliştirilmiş bir standartlar bütünüdür. Müşterilere ait gizli bilgilerin korunmasını esas almıştır. Mahremiyetle ve bilgi güvenliği ile ilgili üç temel prensibi vardır:[ 5 ]
- Mali Mahremiyet Kuralı: Mali organizasyonlar, müşteri mahremiyetini korumak adına, onlarla ilgili bilgilerin nerede ve nasıl kullanıldığını, bu bilgilerin nasıl korunduğunu belirten müşteri arşivlerini tutmaları; müşteri bilgilerinin korunmaması durumunda müşterinin ne gibi haklarının bulunduğunun belirtilmesi; organizasyonun güvenlik ile ilgili yaptığı politika değişikliklerini müşterinin onayına sunma zorunluluğu…
- İhtiyat Kuralı: Organizasyonların, müşterilerin gizli bilgilerini korumak adına ne gibi önlemler alacağına ve hangi yöntemleri uygulayacağına dair yazılı planların oluşturulması; en azından bir çalışanı bu iş için görevlendirmesi; her birim için risk yönetim merkezi kurulması; bilgiyi korumak adına, program geliştirilmesi, izlenmesi ve test edilmesi; bilginin toplanması, sunulması ve kullanılmasına göre politikaların değiştirilmesi…
- Veri Çalınmasının Engellenmesi Kuralı: Erişim izni olmadan, diğer müşterilerin bilgilerine ulaşımın engellenmesi…[ 6 ]
BASEL: Bankaların sermaye yeterliliklerinin ölçülmesine ve değerlendirilmesine ilişkin olarak hazırlanmış standartlar bütünüdür.[ 7 ] Amacı bankaların risk yönetimlerini etkin bir hale getirmek, piyasa disiplinini geliştirmek, sermaye yeterliliği ölçümlerinin etkinliğini artırmak ve böylelikle etkili bir bankacılık sistemi oluşturmaktır. Bilişim Sistemlerinde riskin ortadan kaldırılamayacağı ancak gerçekleşme olasılığının minimize edilebileceği felsefesine dayanır. Bilgi güvenliği sağlanması için aşağıdaki maddelere önem verir:
- Erişim Kontrolü: Bir organizasyonda, bilişim teknolojilerine kimin nasıl erişeceği ile ilgili atamaların veya belirlemelerin yapılması; kullanıcı ad ve şifrelerinden oluşan kullanıcı hesapların oluşturulması; kaynak erişim hakları ve ayrıcalıklı yönetici hesaplarının belirlenmesi; şifre ve kullanıcı hesaplarıyla ilgili standartların belirlenmesi…
- İş Sürekliliğinin Sağlanması: Doğal afetler, yazılım veya donanım hataları, elektrik kesintisi gibi önceden bilinemeyecek durumlar için gerekli risk tedbirlerin alınması; bu durumlarda acil risk yönetim masalarının oluşturulması; müşteri hizmetlerinin devamlılığının sağlanması; bu süreçte yasal sorumlulukların yerine getirilmesi; organizasyona ait verinin ve her türlü bilginin korunması; verinin saklandığı sunucuların önceden farklı yerlerde kopyasının tutulması…
- Değişiklik Yöntemi: Talep edilen ve gerekli bulunan değişikliklerin tanımlanması; bir değişikliğin olası etkilerinin belirlenmesi; hangi sistemlerin hangi tarihlerde hangi sırayla güncelleneceğinin tespiti; bunlardan sorumlu personelin belirlenmesi; olumsuz durumlar için geri dönüşüm prosedürlerinin detaylıca hazırlanması…
- Güvenlik Yöntemi: Yetkisiz erişimlerin engellenmesi; bilginin değiştirilmesinin ve bilgiye saldırılmasının engellenmesi; koruma için gereken kontrol ve ölçümlerin tespiti; bu ölçümlerin belgelenmesi ve bu kontrollerin uygulanması…[ 7 ]
PCI DSS: Payment Card Industry Veri Güvenliği Standardı, organizasyonların kredi kartı işlemleri ve ödemeleri sırasında güvenliğin sağlanması, bilgilerin açığa çıkmaması için oluşturulmuş kurallar bütünüdür. Altı gruba ayrılmış on iki gereksinimin sağlanmasını şart koşar. Bu gereksinimler Tablo 1’de maddeler halinde gösterilmiştir.
– Referanslar
[ 1 ] http://www.infosec.gov.hk/english/technical/files/overview.pdf
[ 2 ] https://www.isfsecuritystandard.com/SOGP07/index.htm
[ 3 ] Federal Register: Department of Health and Human Services PART2 (2003)
[ 4 ] Health Insurance Portability and Accountability Act http://en.wikipedia.org/wiki/Health_Insurance_Portability_and_Accountability_Act(2009)
[ 5 ] Federal Register: Federal Trade Commission Part4 (2002)
[ 6 ] Gramm Leach Billey Act http://en.wikipedia.org/wiki/Gramm%E2%80%93Leach%E2%80%93Bliley_Act
[ 7 ] Basel ||: Yeni Yazılım Standartları ve Operasyonel Risk Yönetimi( 2006)
Ref:http://www.bilgiguvenligi.gov.tr/bt-guv.-standartlari/bilgi-guvenligi-standartlari.html
No related posts.
Haftanın Klibi
Desem Ki
Desem ki vakitlerden bir Nisan akşamıdır,
Rüzgarların en ferahlatıcısı senden esiyor,
Sende seyrediyorum denizlerin en mavisini,
Ormanların en kuytusunu sende gezmekteyim,
Senden kopardım çiçeklerin en solmazını,
Toprakların en bereketlisini sende sürdüm,
Senden tattım yemişlerin cümlesini.
Desem ki sen benim için,
Hava kadar lazım,
Ekmek kadar mübarek,
Su gibi aziz bir şeysin;
Nimettensin, nimettensin!
Desem ki...
İnan bana sevgilim inan,
Evimde şenliksin, bahçemde bahar;
Ve soframda en eski şarap.
Ben sende yaşıyorum,
Sen bende hüküm sürmektesin.
Bırak ben söyleyeyim güzelliğini,
Rüzgarlarla, nehirlerle, kuşlarla beraber.
Günlerden sonra bir gün,
Şayet sesimi farkedemezsen,
Rüzgarların, nehirlerin, kuşların sesinden,
Bil ki ölmüşüm.
Fakat yine üzülme, müsterih ol;
Kabirde böceklere ezberletirim güzelliğini,
Ve neden sonra
Tekrar duyduğun gün sesimi gökkubbede,
Hatırla ki mahşer günüdür
Ortalığa düşmüşüm seni arıyorum.
Cahit Sıtkı Tarancı
Kategoriler
Hacks – Threatpost
- Tentacles of ‘0ktapus’ Threat Group Victimize 130 Firms 29 Ağustos 2022Over 130 companies tangled in sprawling phishing campaign that spoofed a multi-factor authentication system.
- iPhone Users Urged to Update to Patch 2 Zero-Days 19 Ağustos 2022Separate fixes to macOS and iOS patch respective flaws in the kernel and WebKit that can allow threat actors to take over devices and are under attack.
- APT Lazarus Targets Engineers with macOS Malware 17 Ağustos 2022The North Korean APT is using a fake job posting for Coinbase in a cyberespionage campaign targeting users of both Apple and Intel-based systems.
- Black Hat and DEF CON Roundup 15 Ağustos 2022‘Summer Camp’ for hackers features a compromised satellite, a homecoming for hackers and cyberwarfare warnings.
- New Hacker Forum Takes Pro-Ukraine Stance 11 Ağustos 2022A uniquely politically motivated site called DUMPS focuses solely on threat activity directed against Russia and Belarus
- Cisco Confirms Network Breach Via Hacked Employee Google Account 11 Ağustos 2022Networking giant says attackers gained initial access to an employee’s VPN client via a compromised Google account.
Leave a reply