Gizlilik, bütünlük, erişilebilirlik

Bilginin yalnızca erişim hakkı tanınmış kişiler tarafından ulaşılabilir olması, bilginin bütünlüğünün ve doğruluğunun temin edilmesi ve yetkili kullanıcıların ihtiyaç duydukları bilgiye her an erişebilmelerinin garanti altına alınması bilgi güvenliğinin temelini oluşturur.

Sistemin güvenlik politikasını ihlal etmek için kullanılabilecek, sistemin tasarımında veya gerçeklemesinde ortaya çıkan, tasarımcı tarafından düşünülmemiş zayıflıklar olarak tanımlanır.

Bir güvenlik açığından yararlanabilecek olası bir tehlike, tehdit kavramını ifade eder. Güvenliği ihlal etme potansiyeli olarak da ifade edilir.

 Sistem üzerindeki tehdidi, saldırıya açıklığı veya saldırının neden olabileceği zararları öngörüp bunları azaltarak ortadan kaldırmaya ya da engellemeye yönelik bir eylemdir. Bu amaca yönelik uygulanan araç, yöntem veya teknikler karşı önlem olarak adlandırılır.

Sistem güvenliğinde tehdit, bir güvenlik açığını kullanarak güvenlik politikasında belirtilmiş güvenlik kurallarını ihlal edebilecek ve bunun sonucunda zararlara yol açabilecek olası tehlike olarak tanımlanır. İhlalin gerçekleşebileceği gerçeği, bunun gerçekleşmesine neden olan eylemlere karşı korunma veya bunlara hazır olunmasını gerektirir. Bu eylemlere saldırı denir.

Shirey (1994) tehditleri dört ana sınıfta incelemiştir. Bunlar şöyle sıralanabilir:

1. Ele geçirme: Gözetleme, ifşa etme veya yetkisiz bilgiye erişim,
2. Uydurma/Üretme: Aldatma veya sahte verilerin kabul edilmesi,
3. Kesinti: Bozulma, kesinti veya doğru çalışmayı engelleme,
4. Değişiklik: Zorla el koyma veya bir sistemin bir bölümünün yetkisiz kontrolü; sadece yetkisiz erişim elde etmekle kalmaz, aynı zamanda bilgiyi değiştirir.

Bilginin izinsiz bir şekilde ele geçirilmesidir ve bir gözetleme biçimi olarak değerlendirilir. Pasif bir tehdit biçimidir; tehdit eden varlığın sistemin bilgisini ve dosyalarını taraması veya iletişimini dinlemesi örnek olarak verilebilir. Pasif olarak “hatta girme”, hattı dinleyerek bir ağın izlendiği gözetleme biçimidir.

Kaba kuvvet saldırısı, bilgi güvenliği konusundaki en basit saldırı yöntemidir. Bir işin çok zeki olmayan ama güce dayalı çözümüdür ve her zaman en uzun çözüm yoludur. Olası bütün parola ihtimallerinin denenmesi ile doğru parolanın bulunmasına dayanır. Burada kaba kuvvetten kasıt, saldırı yapan varlığın elinde bulundurduğu kaynakları tanımlar. Eğer saldırı yapan varlık sahip olduğu bütün imkan ve kaynaklar ile makul bir zamanda bütün ihtimalleri deneyerek parolayı bulabiliyorsa, kaba kuvvet saldırısı başarılı olmuştur denir

Bir sistem üzerinde var olan sistem açıklarından, kod hatalarından veya hatalı varsayımlardan faydalanarak istenmeyen veya planlanmamış hatalar oluşturmak için tasarlanmış küçük kod veya programlardır

Bilgi güvenliğinde en önemli etmenler, güvenlik politikasının bir bütün olarak oluşturulması ve kurgulanan mekanizma ile arasındaki ayrımın net bir şekilde yapılmasıdır

Saldırıları Önleme, Saldırıları Tespit Etme, Saldırılardan Kurtarma

Güvenlik Politikası Doğrulaması

  Bilgi güvenliği yaşam döngüsü

Solucanlar, kendilerini bir bilgisayardan diğerine otomatik olarak kopyalamak için tasarlanan, yerel sürücüde ya da ağda bant genişliğini tüketerek bilgisayar hızını etkileyip bilgisayarın çökmesine kadar etkilere yol açabilen zararlı yazılımlardır

Virüsler yayılabilmek için bir kullanıcının ilgili virüsü diğer kullanıcılara isteyerek ya da istemeyerek göndermesini beklerler, fakat solucanlar böyle bir dış etki beklemeden kendisini çoğaltmaya ve yeni sistemlerin kullanıcılarına erişmeye çalışırlar

Casus yazılımları virüs ve solucanlardan ayıran en önemli fark hedef sisteme bir kez bulaştıktan sonra daha fazla yayılmaya ihtiyaç duymamalarıdır

• Kuruluşların güvenlik gereksinimlerini ve hedeflerini formüle etmek,
• Kuruluşlar içinde güvenlik risklerinin maliyet etkin bir şekilde yönetilmesini sağlamak,
• Kuruluşların yasa ve yönetmeliklere uyumunu sağlamak,
• Bir organizasyonun kendine özgü güvenlik hedeflerinin yerine getirildiğinden emin olmak,
• Kurumların iç ve dış denetçilerince bir organizasyon tarafından benimsenen politikalara, direktiflere ve standartlara uyum derecesini belirlemek,
• Kuruluşlar tarafından ticari ortaklıklar veya ticari nedenlerden dolayı etkileşimde bulunduğu diğer kuruluşlara, bilgi güvenliği politikaları, direktifleri, standartları ve prosedürleri hakkında gerekli bilgileri sağlamak,
• İş ortamında bilgi güvenliğinin uygulanmasını sağlamak ve
• Kuruluşlar tarafından müşterilere bilgi güvenliği ile ilgili bilgi sağlamak için kullanılır.

 ISO 27001 standardı yeni sürümde görülen en önemli fark, bilgi güvenliği hedeflerinin özelliklerinin ayrıntılı olarak verilmesidir. Bu özellikler:

• Bilgi güvenliği politikasına uyumlu olması,
• Kurum içinde yaygınlaştırılmış olması,
• Hedeflerin ölçülebilir olması,
• Bilgi güvenliği gereksinimlerini dikkate alması,
• Risk değerlendirme sonuçlarını göz önünde bulundurması ve
• Uygun aralıklarla revize edilerek güncellenmesi olarak sayılabilir

Sistemi olası yeni tehditlere karşı güvende tutmanın en önemli kuralı sistem üzerindeki güvenlik açıklarının doğru bir şekilde değerlendirilmesi ve bunlara karşı tam ve kusursuz önlemlerin alındığından emin olunmasıdır.