datenschutz-it-blog-dqs-mensch bewegt digitale anzeige

Bilgi güvenliği koruma hedefleri ve önemi

André Saeckel

DQS Standart Uzmanı, Bilgi Güvenliği
Kas 11 , 2022
# Bilgi Güvenliği ve BT Güvenliği

Bilgi güvenliğinin koruma hedefleri, bilginin korunması için temel kilit noktalardır. Bilgi, sadece yeni bir ifade değil, her şirket için önemli bir ekonomik değeri temsil eder. Varlıklarının temelidir ve bu nedenle başarılı bir iş için gerekli ön koşuldur. Bu nedenle, bilgilerin korunması gerektiği açıktır veya en azından arzu edilir. Bununla birlikte, arzu ve gerçeklik arasında hala geniş bir boşluk var.

İÇERİK

Bilgi güvenliğinin koruma hedefleri nelerdir?

Bilgi işlemede yetersiz güvenlik nedeniyle her yıl milyarlarca dolarlık zarar meydana gelmektedir. Ancak kurumsal varlıkların yeterli düzeyde korunması nasıl sağlanabilir? Ve bir şirketin bilgi güvenliği konusuna başlamasının en iyi yolu nedir?

ISO 27001'e göre iyi yapılandırılmış bir bilgi güvenliği yönetim sistemi (BGYS), bütünsel bir güvenlik stratejisinin etkin bir şekilde uygulanması için en uygun temeli sağlar. Standart, koruma seviyesinin tanıtımı, uygulanması, izlenmesi ve iyileştirilmesi için bir model sağlar. Bunu başarmak için şirketler ve kuruluşlar öncelikle bilgi güvenliğinin üç temel koruma hedefini ele almalıdır:

  • Gizlilik
  • Bütünlük
  • Kullanılabilirlik

Bilgi güvenliği koruma hedefleri: Bilginin gizliliği

Amaç, gizli verileri, veri koruma yasaları nedeniyle veya kapsanan ticari sırlar temelinde, yetkisiz erişime karşı korumaktır; Ticari Sırlar Yasasına göre. Bilgilerin ve hassas verilerin gizliliği bu nedenle, yalnızca buna yetkisi olan kişilerin erişime sahip olması durumunda sağlanır. Erişim, örneğin okuma, düzenleme (değiştirme) ve hatta silme anlamına gelir.

Bu nedenle alınan önlemler, hiçbir koşulda yalnızca yetkili kişilerin - yetkisi dahilinde - gizli bilgilere erişmesini sağlamalıdır. Bu aynı zamanda bir masanın üzerinde korumasız bir şekilde duran ve okumaya davet edebilen kağıt üzerindeki bilgiler veya işlenmesi sırasında erişilemeyen verilerin iletimi için de geçerlidir.

Bir şirketin bu koruma hedeflerine ulaşmak için benimsediği önlemlerin uygulanması ve etkinliği, bilgi güvenliği seviyesinin temel bir özelliğidir.

Uluslararası kabul görmüş bilgi güvenliği standardı ISO 27001'in kullanıcıları (veya ilgilenenler) için Ek A oldukça yararlıdır. Bu ek, bilgi güvenliği ile ilgili en önemli durumlar için hedefler ve referans önlemleri sağlar.

Yetkili kişiler için, sahip olmaları gereken erişim türünü, nelere izin verildiğini veya ne yapmaları gerektiğini ve nelere izin verilmediğini de belirtmek gerekir. Yapmalarına izin verilmeyen şeyleri yapamayacaklarından emin olunmalıdır. Bu süreçte kullanılan yöntem ve teknikler çeşitlidir ve bazı durumlarda şirkete özeldir.

"Yalnızca" bilgilerin yetkisiz olarak görüntülenmesi veya ifşa edilmesi söz konusuysa (iletim sırasında da klasik: e-posta trafiği!), örneğin gizliliği korumak için kriptografik önlemler kullanılabilir. Amaç bilginin yetkisiz değiştirilmesini önlemekse, koruma hedefi "bütünlük" devreye girer.

ISO/IEC 27001:2022- Bilgi güvenliği, siber güvenlik ve kişisel veri koruma - Bilgi güvenliği yönetim sistemleri - Gereklilikler
Standardı ISO web sitesinden indirebilirsiniz.

Revize edilen standart 25 Ekim 2022'de yayınlanmıştır. Üç yıllık geçiş süreci 2025'te sona erecek ve ISO 27001:2013 sertifikaları bu tarihten itibaren geçersiz kalacaktır.

Bilginin bütünlüğü

Teknik terim bütünlük, aynı anda birkaç gereklilikle bağlantılıdır:

  • Bilgide kasıtsız değişiklikler imkansız veya en azından tespit edilebilir ve izlenebilir olmalıdır. Uygulamada, aşağıdaki derecelendirme geçerlidir:
    - Yüksek (güçlü) bütünlük, istenmeyen değişiklikleri önler.
    - Düşük (zayıf) bütünlük, değişiklikleri engellemeyebilir ancak (kasıtsız) değişikliklerin tespit edilmesini ve gerekirse izlenebilmesini (izlenebilirlik) sağlar.
  • Verilerin ve sistemlerin güvenilirliği garanti edilmelidir.
  • Bilgilerin eksiksizliği garanti edilmelidir.

Bilginin bütünlüğünü artırmayı amaçlayan önlemler, bu nedenle, dış ve iç saldırılara karşı koruma ile bağlantılı olarak erişim yetkisi sorununu da hedefler.

"Gizlilik" ve "kullanılabilirlik" kelimeleri, bilgi güvenliğinin klasik koruma hedefleri açısından kolaylıkla anlaşılabilir, neredeyse kendi kendini açıklıyor olsa da, teknik "bütünlük" terimi biraz açıklama gerektirir. Anlatılmak istenen (veri ve verinin ve sistemleri), eksiksizlik veya izlenebilirliktir (değişikliklerin)."

Bilgi güvenliği koruma hedefleri: Bilginin kullanılabilirliği

Bilginin mevcudiyeti, gerekli BT sistemleri de dahil olmak üzere bu bilgilerin herhangi bir zamanda herhangi bir yetkili kişi tarafından erişilebilir ve gerektiği ölçüde kullanılabilir (işlevsel) olması gerektiği anlamına gelir. Bir sistem arızalanırsa veya bir binaya erişilemezse, gerekli bilgiler mevcut değildir. Bazı durumlarda bu, örneğin süreçlerin bakımında olduğu gibi, geniş kapsamlı sonuçları olan aksamalara yol açabilir.

Bu nedenle, bir sistem arızası olasılığı, olası süresi ve BT güvenlik açığından kaynaklanan herhangi bir hasar açısından bir risk analizi yapmak mantıklıdır. Sonuçlara göre etkili karşı önlemler alınabilir ve en kötüsü, karşılaşılabilecek kötü bir durumda uygulanabilir.

"Genişletilmiş" koruma hedefleri nelerdir?

Gizlilik, bütünlük ve kullanılabilirlik güvenlik hedeflerine ek olarak, üç ek güvenlik hedefi vardır. Bunlar, birbirini tamamlayan "taahhüt" ve "hesap verebilirlik"in iki yönünü içerir. İlki, bir aktörün eylemini inkar edememesini sağlamak, ikincisi ise bu eylemin güvenilir bir şekilde kendilerine atfedilebilmesini sağlamaktır. Her ikisi de aktörlerin benzersiz tanımlanabilirliğine kadar uzanır ve benzersiz şifrelerin verilmesi bunun için minimum bir gerekliliktir.

Üçüncü genişletilmiş koruma hedefi, "authenticity", yani gerçekliktir. Bu bağlamda basit bir soru şudur: Bilgi gerçek mi, gerçekten belirtilen kaynaktan mı geliyor? Bu koruma hedefi, kaynağın güvenilirliğini değerlendirmek için önemlidir.

Man and a woman with a laptop in a server room

Değer bilgisi bugünün altınıdır ve aynı zamanda şirketiniz için korunması gereken bir varlıktır. ISO 27001 ile ilgili en önemli soruların yanıtlarına buradan ulaşabilirsiniz.

Bilgi güvenliği koruma hedefleri: Sonuç

Bilgi güvenliğinin en önemli üç koruma hedefi "gizlilik", "bütünlük" ve "kullanılabilirlik"tir.

Gizlilik: Bunu garanti altına alabilmek için, hassas verilere kimlerin ve ne şekilde erişme yetkisinin olduğunu açıkça tanımlamanız gerekir. Bu örneğin uygun erişim yetkileri ve kriptografik tekniklerin kullanımı ile bağlantılıdır.

Bütünlük, bilgilerin yetkisiz değiştirilmesine ve silinmesine karşı koruma ve ayrıca bilgilerin güvenilirliği ve eksiksizliği anlamına gelir. Bu nedenle şirketinizin verilerdeki değişiklikleri hızlı bir şekilde tespit etmek veya yetkisiz manipülasyonları baştan önlemek için önlemler alması önemlidir.

Kullanılabilirlik, bilgi, sistem ve binaların her zaman yetkili kişiler tarafından erişilebilir olması gerektiği anlamına gelir. Örneğin sistem arızaları büyük risklerle ilişkili olduğundan, bu karmaşık konular için bir risk analizi yapılmalıdır. En gerekli sistemlerin arıza olasılığını, arıza süresini ve hasar potansiyelini buraya kaydedin.

Taahhüt, sorumluluk ve gerçeklik/özgünlük "genişletilmiş" koruma hedefleridir.

Taahhüt, bir aktörün eylemlerini inkar edememesini sağlamak olarak anlaşılır. Hesap verebilirlik, böyle bir aktörü açıkça belirleyerek bu genişletilmiş koruma hedefini tamamlar. Özgünlük şu soruyu sorar: Bir bilgi parçası gerçek mi ve güvenilir mi?

DQS size neler sunabilir?

Bilgi güvenliği, BT güvenliğinin çok ötesine geçen karmaşık bir konudur. Teknik, organizasyonel ve altyapısal yönleri içerir. Uluslararası standart ISO 27001 bilgi güvenliği yönetim sistemi (BGYS) etkili koruyucu önlemler için uygundur.

DQS, yönetim sistemleri ve süreçlerinin denetimleri ve sertifikasyonu konusunda uzman belgelendirme kuruluşunuzdur. 35 yıllık deneyim ve dünya çapında 2.500 denetçinin bilgi birikimi ile katma değerli denetimler gerçekleştiriyoruz. ISO 27001 ve bilgi güvenliği yönetim sistemleri ile ilgili tüm sorularınız için bize ulaşabilirsiniz.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch

Sorularınızı memnuniyetle yanıtlıyoruz

Bilgi güvenliği yönetim sisteminizin ISO 27001'e göre sertifikalandırılması için ne kadar çaba harcamanız gerekiyor? Gelin birlikte yanıtlayalım.

İletişime geçin

Uzmanlık ve güven

Metinlerimiz yalnızca standart uzmanlarımız veya uzun yıllara dayanan deneyime sahip denetçilerimiz tarafından yazılmıştır. Metin içeriği ile ilgili yazara sorularınız veya sunduğumuz hizmetler hakkında herhangi bir sorunuz varsa, lütfen bize ulaşmaktan çekinmeyin.

Yazar
André Saeckel

Bilgi güvenliği yönetimi alanında DQS Ürün Yöneticisi. Bilgi güvenliği ve BT güvenlik kataloğu (kritik altyapılar) alanında standart uzmanı olan André Säckel, ayrıca aşağıdaki standartlardan ve sektöre özgü standartlardan sorumludur: ISO 27001, ISIS12, ISO 20000-1, KRITIS ve TISAX (otomotiv endüstrisinde bilgi güvenliği). Ayrıca Alman Standardizasyon Enstitüsü DIN'in ulusal delegesi olarak ISO/IEC JTC 1/SC 27/WG 1 çalışma grubunun üyesidir.

Sorularınız mı var?

Sizin için buradayız.
Bize ulaşın