Merhabalar değerli TurkHackTeam üyeleri. Bu konumuzda sizler ile birlikte "Bilgi Güvenliği" konusuna değineceğiz.
Konu İçeriği - Gizlilik (Confidentiality)
Sensitivity
Discretion
Criticality
Concealment
Secrecy
Privacy
Seclusion
Isolation - Bütünlük (Integrity)
Accuracy
Truthfulness
Authenticity
Validity
Nonrepudiation
Accountability
Responsibility
Completeness
Comprehensiveness - Erişilebilirlik (Availability)
Usability
Accessibility
Timeliness - Güvenilirlik (Reliability – Consistency)
- İnkar Edememe (Non-repudiation)
- Kimliklendirme (Identification)
- Kimlik Sınaması (Authentication)
- Yetkilendirme (Authorization)
- Hesap Verilebilirlik (Accountability)
Bilgi güvenliği, temelinde gizlilik, bütünlük ve erişebilirlik unsurlarını barındırmaktadır. Bahse konusu 3 temel faktör kısaca CIA olarak tanımlanmaktadır.
Gizlilik (Confidentiality)
Bu kavram, bilginin sadece yetkili olanlar tarafından kullanılması anlamına gelmektedir. Bilgisayar sistemlerinde işlenen bilgi, saklama ortamlarında depolandıktan sonra gönderici ve alıcı arasındaki korumada yetkisiz erişimlere karşı korunur. Saldırgan bir girişim neticesinde, yazılım hatasından kaynaklanan sorunlar sonrasında veya Sosyal Mühendislik tekniklerinin kullanılmasıyla izinsiz erişimin sağlanması mümkündür. Bu aşamada en önemli husus bilginin titiz bir şekilde gizlenmesi değil yetkisi olmayan kimseler tarafından erişimin durdurulmasıdır. Gizlilik prensibi ile alakalı temel unsurları aşağıdaki şekilde sıralamak mümkündür.
Sensitivity
Verinin hassaslığı
Discretion
Bilginin paylaşımında ihtiyatlı davranmak(ağzı sıkılık)
Criticality
Kritiklik
Concealment
Açıklamanın gizlenmesi veya önlenmesi
Secrecy
Gizlilik
Privacy
Gizlilik, mahremiyet
Seclusion
Tecrit
Isolation
Bilginin, diğer bilgilerden ayrılarak saklanması
Bütünlük (Integrity)
Burada amaç, bilginin korunması ve elde tutulmasıdır. Bilginin bozulması, değiştirilmesi, yeni verilerle dönüştürülmesi ya da bir kısmının silinmesi engellenmeye çalışılmaktadır. Böylesi bir durumda hedef erişim kontrolünün sağlanması sonrasında düzenli aralıklarla yedeklemenin gerçekleştirilmesidir. Bu kapsamda verinin değiştirilmemiş olduğu, yeni bilgiler eklenmediği ve tekrarın hiç bulunmadığı şekliyle alıcısına ulaşması mümkün olur. Sistem Bütünlüğü ve Veri Bütünlüğü kapsamında ele alınan bütünlükte amaç bilginin değiştirilmesini önlemek değil yetkisiz değişimi engellemektir. Bütünlük prensibi ile ilgili temel kavramlar aşağıdaki gibidir.
Accuracy
Doğruluk, kesinlik
Truthfulness
Doğruluk
Authenticity
Doğruluk
Validity
Geçerlilik
Nonrepudiation
İnkar edilemezlik
Accountability
Hesap verilebilirlik
Responsibility
Sorumluluk
Completeness
Tamlık
Comprehensiveness
Kapsamlılık, kapsayıcılık
Erişilebilirlik (Availability)
Bilginin belirli ya da hedeflenen süreler boyunca erişilebilir ve kullanılabilir olmasını hedefler. Bu aşamada tam ve eksiksiz bilginin ortaya çıkmış olması değerlidir. Erişilebilirlik ile iç ve dış saldırılara karşı daha güçlü bir sistemin inşa edilmesi hedeflenmektedir. Bu kapsamda kullanıcıların sadece erişim izinleri dahilindeki verilere ulaşabilmesi mümkün olmaktadır. Zamanında ve güvenilir bir şekilde gerçekleşen erişim süreçleri sayesinde sistemin belirlenmiş süreler boyunca hizmet vermesi hedeflenmektedir. Bu nedenle de hizmeti süreci zaman zaman süreklilik göstermez. Erişilebilirlik prensibi ile ilgili temel kavramlar aşağıdaki gibidir.
Usability
Kullanılabilirlik
Accessibility
Erişilebilirlik
Timeliness
Vaktindelik
Söz konusu bileşenlerin birbirlerine karşı üstünlükleri değişkendir. Bu çerçevede bütçenin de farklılık göstermesi söz konusu olmaktadır. Kurum ve kuruluşların sahip oldukları bütçeleri titiz bir şekilde kullanabiliyor olmalarının temelinde yatan ilke ve anlayışlar belirlenerek en ideal güvenlik çözümlerine ulaşmak muhtemeldir. Kamu kurumları ile askeri kuruluşlar açısından ‘Gizlilik’, özel sektör organizasyonları açısındansa ‘Erişilebilirlik’ çok değerlidir. Bu çerçevede her kuruluş bütçesi doğrultusunda kendi önlemini almaktadır.
Tüm bu durumlar dikkate alındığında verilerin riske girdiği halleri dikkate alarak bilgi güvenliğini sağlamak adına veri okuma konusunda dokümantasyon sağlanmalı ve onayların alınması sonrasında kısıtlamaların ortaya konması söz konusu olmalıdır.
Üçlü arasındaki dengenin sağlanması iyi bir şekilde amaçlanmaktadır. Pek çok durumda hızlılık sağlanması hedeflenirken erişilebilirlik azalmaktadır.
Gizlilik, bütünlük ve erişilebilirlik dışında kalan diğer unsurları şu şekilde tanımlamak mümkündür.
Güvenilirlik (Reliability – Consistency)
Sistemin beklentiler ve gerçekleşenler konusunda karşılaştırılması ile ortaya çıkan tutarlılıktır. Sistemin beklentileri ne eksik ne de fazla olmaksızın tam anlamıyla yerine getirmesi olarak tanımlanmaktadır.
İnkar Edememe (Non-repudiation)
Verinin gönderilmesi ve alınması süreçlerinde ortaya çıkması muhtemel iletişim problemlerini en aza indirmeyi arzu etmektedir. Gönderme ve alma sürecinin gerçekleşmesi neticesinde alıcı ve göndericinin herhangi bir inkar durumuna başvurması mümkün değildir. Bu prensip için en önemli şart Kimlik Doğrulama” ve “Bütünlük yaklaşımlarının benimsenmiş olmasıdır. Ayrıca “Yetkilendirme” ve “İzlenebilirlik” yaklaşımlarının da sağlanması önemlidir.
Kimliklendirme (Identification)
Bir nesneye ulaşmak isteyen kullanıcı, proses ya da varlık gibi öznelerin sunmuş oldukları unsurlardır. Kullanıcı adı, TC Kimlik Numarası ya da ATM kartı birer kimlik olarak tanımlanmaktadır.
Kimlik Sınaması (Authentication)
Kimlik, güvenilirliği sağlayacak yeterli bir unsur değildir. Bu nedenle kimliğin güvenilirliğini sağlayacak olan ‘Kimlik Doğrulaması’ işlemlerinin gerçekleştirilmesi gerekmektedir. Sistemin kullanılması esnasında cihaz ya da kullanıcının doğrulanması oldukça önemlidir. Bu çerçevede kullanıcı adının sistemde kayıtlı olup olmadığı ile alakalı değerlendirme yapılmaktadır. Doğrulamanın gerçekleştirilmesi durumunda ise sisteme girişe izin verilmektedir. Bilgisayar ağı ve sistemi kapsamında bu önlemin alınması kadar fiziksel sistemler için de gerekli önlemlerin oluşturulmuş olması önemlidir. Retina ve Parmak İzi gibi seçenekler Kimlik Sınaması (Authentication) ve Kimliklendirme (Identification) kapsamında kullanılabilmektedir.
Yetkilendirme (Authorization)
Kullanıcı adı ve parola ile sisteme girecek olan kullanıcının hangi yetki ve haklara sahip olduğunun belirlenmesi söz konusu olacaktır. Sisteme kaydolan kullanıcıların gruplama çerçevesinde yetkilendirilmesi mümkündür. Kullanıcıların ait oldukları grubun bütün yetkilerini ellerinde bulundurmaları söz konusu olmaktadır. Bir kullanıcının birden fazla kullanıcıya sahip olması durumunda gruplara verilen yetkilerin hepsine sahip olmaları mümkündür. Yetkilendirme çerçevesinde dosyaların hepsinin okunması mümkündür. Ancak silme gibi işlemler yapılması mümkün değildir. Sistemin güvenliği açısından kullanıcılara gereğinden fazla yetki verilmemesi önerilmektedir.
İzlenebilirlik/Kayıt Tutma (Auditing)
Bir sorunun ortaya çıkması durumunda tespitin gerçekleştirilebilmesi açısından tercih edilen sistemdir. Sistemdeki kullanıcıların bütün işlemleri ve erişim saatlerinin kaydedilmesi amaçlanmaktadır. Hukuki sebepler ile düzenlemeler çerçevesinde teknik arızalara dair kayıtlar da tutulmaktadır. Bir sorunun ortaya çıkması durumunda sistem içerisindeki problemlerin neden kaynaklandığını değerlendirmek ve çözümü bulmak muhtemeldir.
Hesap Verilebilirlik (Accountability)
Bireylerin eylemlerinden kaynaklanan sorunların yanlış değerlendirmeye mahal vermemek adına log kayıtları tutulmaktadır. “Auditing” ile karıştırılması muhtemel olsa da ‘Hesap Verebilirlik’ ile birlikte hesap bilgileri başkaları tarafından kullanılan kimselerin sorgulanması mümkündür. Erişim kontrolünün temelinde ‘Hesap Verebilirlik’ vardır.
Accountability = Principle of access control
