Merhaba sevgili bilişim severler. Bu yazımda Bilgi Güvenliğini ele alacağım.

Bilgi güvenliği, bir varlık türü olarak bilginin izinsiz veya yetkisiz bir biçimde erişim, kullanım, değiştirilme, ifşa edilme, ortadan kaldırılma, el değiştirme ve hasar verilmesini önlemek olarak tanımlanır ve “gizlilik”, “bütünlük” ve “erişilebilirlik” olarak isimlendirilen üç temel unsurdan meydana gelir. Bu üç temel güvenlik öğesinden herhangi biri zarar görürse güvenlik zafiyeti oluşur.

Gizlilik: Bilginin yetkisiz kişilerin eline geçmeme ve yetkisiz erişime karşı korunmasıdır.

Bütünlük: Bilginin yetkisiz kişiler tarafından değiştirilmemesidir.

Erişilebilirlik: Bilginin yetkili kişilerce ihtiyaç duyulduğunda ulaşılabilir ve kullanılabilir durumda olmasıdır.

 

Bilgi güvenliği, kurumdaki işlerin sürekliliğinin sağlanması, işlerde meydana gelebilecek aksaklıkların azaltılması ve yatırımlardan gelecek faydanın artırılması için bilginin geniş çaplı tehditlerden korunmasını sağlayan uygulamalar bütünüdür.

Günümüzde ticari şirketler ve devlet kurumları işlerini sürdürebilmek için yoğun bir şekilde bilgi kullanımına yönelmişlerdir. Zaman geçtikçe bilginin önemi artmış, sadece güvenli bir şekilde saklanması ve depolanması gelişen ihtiyaçlara cevap verememiş aynı zamanda bir yerden bir yere gönderilmesi de kaçınılmaz bir ihtiyaç haline gelmiştir. Bilgiye olan bu bağımlılık bilginin korunması ihtiyacını gündeme getirmiştir. Bu anlamda bilgi, kurumun sahip olduğu varlıklar arasında çok önemli bir yere sahiptir. Bilgiye yönelik olası saldırılar, tahrip edilmesi, silinmesi, bütünlüğünün veya gizliliğinin zarar görmesi, bilgi altyapısının bozulmasına ve bu da beraberinde işlerin aksamasına neden olmaktadır.

Bilgi güvenliği alanını daha ayrıntılı incelemek için 7 genel kategoriye ayrılmıştır. Bunlar;

  • Ağ Güvenliği(Network Security)
  • Uç/Son Nokta/Kullanıcı Güvenliği(Endpoint Security)
  • Veri Güvenliği(Data Security)
  • Uygulama Güvenliği(Application Security)
  • Kimlik ve Erişim Yönetimi(Identity and Access management)
  • Güvenlik Yönetimi(Security management)
  • Sanallaştırma ve Bulut(Virtualization and Cloud)

 

Bilgi güvenliği yönetim sistemi

Bilgi güvenliği, bilginin güvenliğini ve bütünlüğünü sağlayan gerektiğinde yetkili kişilerin bilgiye kolayca ulaşmasına imkân veren bir sistemdir. BGYS olarak kısaltılır. Uluslararası ISO 27001:2013 standardı ile kurallaştırılmıştır. Bu standardın gereklerini yerine getirmekte olan bir kuruluş,  değer varlıklarının başında gelen Bilgi varlıklarının güvenliğini sağlamaya yönelik önemli bir adım atmış demektir.

 

ISO 27001 Bilgi Güvenliği Yönetim Sistemi

 

Bilgi Güvenliği Yönetim Sistemi (BGYS) standardı, tüm kuruluş türlerini kapsar. Bu standard, dokümante edilmiş bir BGYS’yi kuruluşun tüm ticari riskleri bağlamında kurmak, gerçekleştirmek, izlemek, gözden geçirmek, sürdürmek ve iyileştirmek için gereksinimleri kapsar. Bağımsız kuruluşların ya da tarafların ihtiyaçlarına göre özelleştirilmiş güvenlik kontrollerinin gerçekleştirilmesi için gereksinimleri belirtir. BGYS, bilgi varlıklarını koruyan ve ilgili taraflara güven veren yeterli ve orantılı güvenlik kontrollerini sağlamak için tasarlanmıştır.

 

ISO 27001 Kimi ilgilendirir

 

ISO/IEC 27001, dünyanın hangi Ülkesinden veya hangi sektörden olursa olsun büyük küçük tüm kuruluşlara uygundur. Bu standart, finans, sağlık, kamu ve BT sektörleri gibi bilginin korunmasının büyük öneme sahip olduğu alanlarda özellikle gereklidir.
ISO/IEC 27001, BT taşeron şirketleri gibi bilgiyi başkaları adına yöneten kuruluşlar için de oldukça önemlidir: müşterilere bilgilerinin koruma altında olduğu güvencesini vermek için kullanılabilir.

Bir sonraki yazımda görüşmek dileğiyle. İyi Okumalar.