güncelleme tarihi Bilgi Güvenliği Bilişim Haberleri

Bilgi Güvenliği İlkeleri

Bilgi Güvenliği İlkeleri için bir yorum yapın

Bilgi güvenliği, bilgi varlıklarının gizliliğini, bütünlüğünü ve erişilebilirliğini korumayı amaçlayan bir dizi prensibe dayanır. Bu prensipler, bilgi güvenliğinin sağlanması için temel taşları oluşturur. Her biri, farklı risklere karşı koruma sağlamak için birbirini tamamlayıcı olarak kullanılır ve organizasyonların bilgi varlıklarını korumak için kritik öneme sahiptir.

Gizlilik (Confidentiality):

  • Tanım: Hassas bilgilerin sadece yetkilendirilmiş kullanıcılar veya roller tarafından erişilebilir olmasıdır.
  • Örnek: Veritabanındaki müşteri kişisel bilgilerinin yalnızca belirli kullanıcılar tarafından erişilebilir ve şifrelenmiş olması.

Bütünlük (Integrity):

  • Tanım: Bilginin doğruluğu, eksiksizliği ve güvenilirliği ile ilgilidir. Bilginin değiştirilmediğini veya bozulmadığını garanti etmek için alınan önlemleri içerir.
  • Örnek: Bir dosyanın veya veritabanının içeriğinin izinsiz değiştirilmesini engellemek için hashing algoritmaları kullanmak.

Erişilebilirlik (Availability):

  • Tanım: Bilginin, sistemlerin ve kaynakların gerektiğinde ve yetkili kişilerce kullanılabilir olmasıdır.
  • Örnek: Yedekleme ve felaket kurtarma planları ile kritik verilerin kaybolması durumunda bile kullanılabilir olması sağlanması.

Kimlik Doğrulama (Authentication):

  • Tanım: Kullanıcıların veya sistemlerin gerçek kimliklerini doğrulama işlemidir.
  • Örnek: Kullanıcıların parola, biyometrik veri veya çoklu faktör kimlik doğrulama yöntemleri kullanarak giriş yapması.

Yetkilendirme (Authorization):

  • Tanım: Doğrulanan bir kimliğin, belirli kaynaklara erişim veya belirli işlemleri gerçekleştirme yetkisi verilmesidir.
  • Örnek: Belirli bir kullanıcının sadece belirli bir klasöre erişim iznine sahip olması.

Denetim (Accountability):

  • Tanım: Sistemlerde gerçekleşen işlemlerin takip edilebilir olması ve sorumlulukların belirlenebilir olmasıdır.
  • Örnek: Günlük dosyaları veya denetim kayıtlarıyla hangi kullanıcının hangi işlemi yaptığı belgelenir.

İnkâr Edilemezlik (Non-repudiation):

  • Tanım: Bir kullanıcının yaptığı bir işlemi veya iletişimi reddedememesi veya inkâr edememesidir. Bu, yapılan eylemlerin taraflarca kabul edilmesini sağlar.
  • Örnek: Elektronik bir imza, gönderilen bir belgeyi gönderen kişinin ileride göndermediğini iddia edememesini sağlar.

Uygunluk (Compliance):

  • Tanım: İlgili yasalara, standartlara, kurallara ve politikalara uygunluğun sağlanmasıdır.
  • Örnek: GDPR gibi bir düzenlemeye uyum sağlamak için kişisel verilerin korunması konusunda gerekli prosedürlerin ve kontrollerin uygulanması.

Risk Yönetimi (Risk Management):

  • Tanım: Organizasyonel risklerin belirlenmesi, analiz edilmesi, izlenmesi ve azaltılması veya kabul edilmesi için stratejilerin oluşturulmasıdır.
  • Örnek: Risk değerlendirmesi yapılarak kritik sistemlerin zayıf noktaları belirlenir ve bu zayıf noktaların azaltılması için önlemler alınır.

Farkındalık ve Eğitim (Awareness and Training):

  • Tanım: Kullanıcıların güvenlik riskleri konusunda bilinçlenmesi ve eğitimlerle bu risklerin azaltılmasıdır.
  • Örnek: Kullanıcıların phishing saldırılarından korunma yollarını öğreten eğitim programları veya güvenli parola oluşturma teknikleri üzerine farkındalık kampanyaları.

Fiziksel Güvenlik (Physical Security):

  • Tanım: Fiziksel varlıkların (sunucular, veri merkezleri) korunması ve erişimin sınırlanmasıdır.
  • Örnek: Biyometrik okuyucular, güvenlik kameraları veya erişim kartlarıyla sınırlı alana erişim sağlanması.

Süreklilik Planlama (Continuity Planning):

  • Tanım: Felaket durumlarında iş sürekliliğini sağlama stratejilerinin geliştirilmesi ve uygulanmasıdır.
  • Örnek: Yedekleme planları, felaket kurtarma merkezleri veya alternatif çalışma yerleri ile iş sürekliliğinin sağlanması.

Önerilen yazılar

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir