Azərbaycanca
Беларускі
Dansk
Deutsch
Española
Français
Indonesia
Italiana
日本語
Қазақ
Lietuvos
Nederlands
Português
Русский
සිංහල
แบบไทย
Türkçe
Українська
中國人
United State
Afrikaans
Bu maddede bulunmasına karşın yetersizliği nedeniyle bazı bilgilerin hangi kaynaktan alındığı belirsizdir. (Ağustos 2020) () |
Bilgi güvenliği, (Gizlilik, Bütünlük ve Erişilebilirlik) bilgilerin izinsiz kullanımından, izinsiz ifşa edilmesinden, izinsiz yok edilmesinden, izinsiz değiştirilmesinden, bilgilere hasar verilmesinden koruma veya bilgilere yapılacak olan izinsiz erişimleri engelleme işlemi. Bilgi güvenliği, bilgisayar güvenliği ve bilgi sigortası terimleri, sık olarak birbirinin yerine kullanılmaktadır. Bu alanlar alakalıdırlar ve mahremiyetin, bütünlüğün ve bilginin ulaşılabilirliğinin korunması hususunda ortak hedefleri paylaşırlar.
Türkiye
Türk Standartları Enstitüsü TSE tarafından Türkçeye çevrilerek yayınlanan TS ISO/IEC 27001:2005 Bilgi Güvenliği Yönetim Sistemi Standardı, bilgi güvenliğini üç başlık altında inceler:
- Gizlilik: Bilgilerin yetkisiz erişime karşı korunması
- Bütünlük: Bilgilerin eksiksiz, tam, tutarlı ve doğru olması
- Erişilebilirlik: Bilgilere yetkililerce ihtiyaç duyulduğunda erişilebilir olması
Gizlilik, Bütünlük ve Erişilebilirlik, bilgi güvenliğinin temel taşı kavramı olan ve İngilizce Confidentially, Integrity, Availability kelimelerinin baş harflerinden gelen “CIA üçlüsü” olarak adlandırılır.
Gizlilik (Confidentially), verileri sadece Yetkili kişiler görebilir.
Bilgilerin yetkisiz erişilmesini önlemeye çalışır: verileri gizli tutar. Başka bir deyişle, verilere yetkisiz okuma erişimini önlemeye çalışır. Bir gizlilik saldırısı örneği, kredi kartı bilgileri gibi Kişisel Tanımlanabilir Bilgilerin (PII = Personally Identifiable Information) çalınması olabilir. Verilere yalnızca izin, resmi erişim onayı ve bilmeye ihtiyacı/izni olan kullanıcılar erişebilmelidir. Birçok ülke, ulusal güvenlik bilgilerini gizli tutma isteğini paylaşır ve bunu, gizlilik kontrollerinin yerinde olmasını sağlayarak gerçekleştirir. Büyük ve küçük kuruluşların verileri gizli tutması gerekir.
Bütünlük (Integrity), veri bütünlüğü, verilerin yetkisiz kişiler tarafından değiştirilmediği anlamına gelir.
Bilgilerin yetkisiz değiştirilmesini önlemeyi amaçlar. Başka bir deyişle, bütünlük verilere yetkisiz yazma erişimini önlemeye çalışır. İki tür bütünlük vardır: veri bütünlüğü ve sistem bütünlüğü. Veri bütünlüğü, bilgileri yetkisiz değişikliklere karşı korumayı amaçlar; sistem bütünlüğü, Windows 2008 sunucu işletim sistemi gibi bir sistemi yetkisiz değişikliklerden korumayı amaçlar. Etik olmayan bir öğrenci, başarısız notlarını yükseltmek için bir üniversite notu veri tabanı hacklerse, veri bütünlüğünü ihlal etmiş olur. Gelecekteki “arka kapı” (backdoor) erişimine izin vermek için sisteme kötü amaçlı yazılım yüklerse, sistem bütünlüğünü ihlal etmiş olur.
Erişilebilirlik (Availability), erişilebilirlik, verilere ihtiyaç duydukları zaman ve yerde yetkili kişiler tarafından erişilebilmesidir.
Bilgilerin gerektiğinde kullanılabilir olmasını sağlar. Sistemlerin normal iş kullanımı için kullanılabilir (mevcut) olması gerekir. Kullanılabilirliğe yönelik bir saldırı örneği, bir sistemin hizmetini (veya kullanılabilirliğini) durdurmaya çalışan Hizmet bloke (DoS) saldırısı olabilir. Hizmetlerin ve verilerin yüksek düzeyde erişilebilirliğini sağlamak için yük devretme kümeleme, site esnekliği, otomatik yük devretme, yük dengeleme, donanım ve yazılım bileşenlerinin yedekliliği ve hata toleransı gibi teknikleri kullanın. Örneğin, işlemesi uzun zaman alan geçersiz isteklerle bir sistemi aşırı yükleyerek bir hizmetin veya verilerin kullanılabilirliğini reddetmeyi amaçlayan bir hizmet reddi (DoS) saldırısını engellemenize yardımcı olabilirler.
Kavramlar Arası Karşıtlıklar
Gizlilik, bütünlük ve erişilebilirlik bazen birbirine zıttır: verileri bir kasaya kilitlemek ve anahtarı atmak, gizliliğe ve bütünlüğe yardımcı olabilir, ancak kullanılabilirliğe zarar verir. Bu yanlış cevaptır: bilgi güvenliği uzmanları olarak görevimiz gizlilik, bütünlük ve kullanılabilirlik ihtiyaçlarını dengelemek ve gerektiğinde ödünler vermektir. Bir bilgi güvenliği acemi olduğunun kesin bir işareti, kullanılabilirliği ele almazken her türlü gizlilik ve bütünlük kontrolünü bir soruna atmasıdır.
Bu makale, bilgi güvenliğinin genel bir özeti ve temel kavramlarını içerir.
Standardın 2013 Revizyonu olan ISO/IEC 27001:2013, 2013 yılının Ekim ayı içerisinde ISO tarafından yayınlanmıştır.
Türkçe çevirisi olan TS ISO/IEC 27001:2013, 2013 yılının Aralık ayı içerisinde yayınlanmıştır. ISO/IEC 27001:2005 standardı geçerliliğini Eylül 2015 sonunda kaybedecektir. Standardının 2005 versiyonu kullanan firmaların Eylül 2015 sonuna kadar yeni standarda göre belgelenmesi zorunludur.
Standardın 2017 Revizyonu olan ISO/IEC 27001:2017, 2017 yılının Mart ayında ISO tarafından yayınlanmıştır. Türkçe çevirisi olan TS ISO/IEC 27001:2017, 2017 yılının Mayıs ayı içerisinde yayınlanmıştır.
Standardın son revizyonu olarak 2022 Revizyonu olan ISO/IEC 27001:2022, 2022 yılının Şubat ayında ISO tarafından yayınlanmıştır. Türkçe çevirisi henüz yayınlanmamıştır.
Kaynakça
- National security systems 24 Şubat 2015 tarihinde Wayback Machine sitesinde .
- European Network and Information Security Agency (ENISA) 14 Ağustos 2014 tarihinde Wayback Machine sitesinde .
- CISSP Study Guide, 3rd Edition by Eric Conrad, Seth Misenar, Joshua Feldman
- Mike Meyers' CompTIA Security+ Certification Guide, Second Edition (Exam SY0-501), 2nd Edition by Mike Meyers, Scott Jernigan
- ISO/IEC 27002:2022 Information security, cybersecurity and privacy protection — Information security controls https://www.iso.org/standard/75652.html 24 Mayıs 2022 tarihinde Wayback Machine sitesinde .
 | Bilgisayar ile ilgili bu madde seviyesindedir. Madde içeriğini genişleterek Vikipedi'ye katkı sağlayabilirsiniz. |
wikipedia, wiki, viki, vikipedia, oku, kitap, kütüphane, kütübhane, ara, ara bul, bul, herşey, ne arasanız burada,hikayeler, makale, kitaplar, öğren, wiki, bilgi, tarih, yukle, izle, telefon için, turk, türk, türkçe, turkce, nasıl yapılır, ne demek, nasıl, yapmak, yapılır, indir, ücretsiz, ücretsiz indir, bedava, bedava indir, mp3, video, mp4, 3gp, jpg, jpeg, gif, png, resim, müzik, şarkı, film, film, oyun, oyunlar, mobil, cep telefonu, telefon, android, ios, apple, samsung, iphone, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, pc, web, computer, bilgisayar
Bu maddede kaynak listesi bulunmasina karsin metin ici kaynaklarin yetersizligi nedeniyle bazi bilgilerin hangi kaynaktan alindigi belirsizdir Lutfen kaynaklari uygun bicimde metin icine yerlestirerek maddenin gelistirilmesine yardimci olun Agustos 2020 Bu sablonun nasil ve ne zaman kaldirilmasi gerektigini ogrenin Bilgi guvenligi Gizlilik Butunluk ve Erisilebilirlik bilgilerin izinsiz kullanimindan izinsiz ifsa edilmesinden izinsiz yok edilmesinden izinsiz degistirilmesinden bilgilere hasar verilmesinden koruma veya bilgilere yapilacak olan izinsiz erisimleri engelleme islemi Bilgi guvenligi bilgisayar guvenligi ve bilgi sigortasi terimleri sik olarak birbirinin yerine kullanilmaktadir Bu alanlar alakalidirlar ve mahremiyetin butunlugun ve bilginin ulasilabilirliginin korunmasi hususunda ortak hedefleri paylasirlar TurkiyeTurk Standartlari Enstitusu TSE tarafindan Turkceye cevrilerek yayinlanan TS ISO IEC 27001 2005 Bilgi Guvenligi Yonetim Sistemi Standardi bilgi guvenligini uc baslik altinda inceler Gizlilik Bilgilerin yetkisiz erisime karsi korunmasi Butunluk Bilgilerin eksiksiz tam tutarli ve dogru olmasi Erisilebilirlik Bilgilere yetkililerce ihtiyac duyuldugunda erisilebilir olmasi Gizlilik Butunluk ve Erisilebilirlik bilgi guvenliginin temel tasi kavrami olan ve Ingilizce Confidentially Integrity Availability kelimelerinin bas harflerinden gelen CIA uclusu olarak adlandirilir Gizlilik Confidentially verileri sadece Yetkili kisiler gorebilir Bilgilerin yetkisiz erisilmesini onlemeye calisir verileri gizli tutar Baska bir deyisle verilere yetkisiz okuma erisimini onlemeye calisir Bir gizlilik saldirisi ornegi kredi karti bilgileri gibi Kisisel Tanimlanabilir Bilgilerin PII Personally Identifiable Information calinmasi olabilir Verilere yalnizca izin resmi erisim onayi ve bilmeye ihtiyaci izni olan kullanicilar erisebilmelidir Bircok ulke ulusal guvenlik bilgilerini gizli tutma istegini paylasir ve bunu gizlilik kontrollerinin yerinde olmasini saglayarak gerceklestirir Buyuk ve kucuk kuruluslarin verileri gizli tutmasi gerekir Butunluk Integrity veri butunlugu verilerin yetkisiz kisiler tarafindan degistirilmedigi anlamina gelir Bilgilerin yetkisiz degistirilmesini onlemeyi amaclar Baska bir deyisle butunluk verilere yetkisiz yazma erisimini onlemeye calisir Iki tur butunluk vardir veri butunlugu ve sistem butunlugu Veri butunlugu bilgileri yetkisiz degisikliklere karsi korumayi amaclar sistem butunlugu Windows 2008 sunucu isletim sistemi gibi bir sistemi yetkisiz degisikliklerden korumayi amaclar Etik olmayan bir ogrenci basarisiz notlarini yukseltmek icin bir universite notu veri tabani hacklerse veri butunlugunu ihlal etmis olur Gelecekteki arka kapi backdoor erisimine izin vermek icin sisteme kotu amacli yazilim yuklerse sistem butunlugunu ihlal etmis olur Erisilebilirlik Availability erisilebilirlik verilere ihtiyac duyduklari zaman ve yerde yetkili kisiler tarafindan erisilebilmesidir Bilgilerin gerektiginde kullanilabilir olmasini saglar Sistemlerin normal is kullanimi icin kullanilabilir mevcut olmasi gerekir Kullanilabilirlige yonelik bir saldiri ornegi bir sistemin hizmetini veya kullanilabilirligini durdurmaya calisan Hizmet bloke DoS saldirisi olabilir Hizmetlerin ve verilerin yuksek duzeyde erisilebilirligini saglamak icin yuk devretme kumeleme site esnekligi otomatik yuk devretme yuk dengeleme donanim ve yazilim bilesenlerinin yedekliligi ve hata toleransi gibi teknikleri kullanin Ornegin islemesi uzun zaman alan gecersiz isteklerle bir sistemi asiri yukleyerek bir hizmetin veya verilerin kullanilabilirligini reddetmeyi amaclayan bir hizmet reddi DoS saldirisini engellemenize yardimci olabilirler Kavramlar Arasi Karsitliklar Gizlilik butunluk ve erisilebilirlik bazen birbirine zittir verileri bir kasaya kilitlemek ve anahtari atmak gizlilige ve butunluge yardimci olabilir ancak kullanilabilirlige zarar verir Bu yanlis cevaptir bilgi guvenligi uzmanlari olarak gorevimiz gizlilik butunluk ve kullanilabilirlik ihtiyaclarini dengelemek ve gerektiginde odunler vermektir Bir bilgi guvenligi acemi oldugunun kesin bir isareti kullanilabilirligi ele almazken her turlu gizlilik ve butunluk kontrolunu bir soruna atmasidir Bu makale bilgi guvenliginin genel bir ozeti ve temel kavramlarini icerir Standardin 2013 Revizyonu olan ISO IEC 27001 2013 2013 yilinin Ekim ayi icerisinde ISO tarafindan yayinlanmistir Turkce cevirisi olan TS ISO IEC 27001 2013 2013 yilinin Aralik ayi icerisinde yayinlanmistir ISO IEC 27001 2005 standardi gecerliligini Eylul 2015 sonunda kaybedecektir Standardinin 2005 versiyonu kullanan firmalarin Eylul 2015 sonuna kadar yeni standarda gore belgelenmesi zorunludur Standardin 2017 Revizyonu olan ISO IEC 27001 2017 2017 yilinin Mart ayinda ISO tarafindan yayinlanmistir Turkce cevirisi olan TS ISO IEC 27001 2017 2017 yilinin Mayis ayi icerisinde yayinlanmistir Standardin son revizyonu olarak 2022 Revizyonu olan ISO IEC 27001 2022 2022 yilinin Subat ayinda ISO tarafindan yayinlanmistir Turkce cevirisi henuz yayinlanmamistir KaynakcaNational security systems 24 Subat 2015 tarihinde Wayback Machine sitesinde European Network and Information Security Agency ENISA 14 Agustos 2014 tarihinde Wayback Machine sitesinde CISSP Study Guide 3rd Edition by Eric Conrad Seth Misenar Joshua Feldman Mike Meyers CompTIA Security Certification Guide Second Edition Exam SY0 501 2nd Edition by Mike Meyers Scott Jernigan ISO IEC 27002 2022 Information security cybersecurity and privacy protection Information security controls https www iso org standard 75652 html 24 Mayis 2022 tarihinde Wayback Machine sitesinde Bilgisayar ile ilgili bu madde taslak seviyesindedir Madde icerigini genisleterek Vikipedi ye katki saglayabilirsiniz