Page 72 - bilgem-teknoloji-dergisi-9
P. 72
Bilgi Güvenliği
Bilgi Güvenliği Mühendisliği ve Yasir Emre Bulut - Uzman Araştırmacı / BİLGEM TDBY
Çalışma Alanları ilgi Güvenliği Mühendisliği, bilgi teknolojileri ürün ve Bilgi Güvenliği hem bireysel, hem
sistemlerinde işlenen bilginin kötü niyetli saldırılar,
organizasyonel, hem de ulusal düzeyde
Bhatalı kullanımlar ve aksaklıklar karşısında güvenilir
kalmasını, açığa çıkmamasını sağlamayı amaçlayan bir ele alınması gereken bir konudur.
mühendislik dalıdır. Güvenilir çalışma koşullarına ihtiyaç
duyan ya da kritik bilgileri işleyen ürün ve sistemlerin tasa- Bilgi Güvenliği Standartları
rım aşamalarından itibaren her türlü konu güvenlik mühen- Herhangi bir sistemde, güvenliğin sağlanması için çeşitli
disliğinin odağındadır.
politikalar ve mekanizmalar belirlenir ve bu araçlarla olası
saldırıların önüne geçilmeye çalışılır. Bilgi Güvenliğinde de
Dijitalleşen dünyada siber güvenlik konusundaki güvenlik bu politika ve mekanizmaları belirlemek amacıyla oluştu-
ihlallerine her gün bir yenisi eklenmektedir. Güvenli olduğu rulmuş uluslararası standartlar mevcuttur. Bilgisayar ve
düşünülerek tasarlanan sistemlerde bile daha önce tespit elektronik sistemlerin neredeyse tamamı için oluşturul-
edilemediği için bilinemeyen sıfırıncı gün (zero day) gibi muş bu standartlarda sistemlerin ne tür güvenlik özellikleri
güvenlik açıkları çıkabilmektedir. İnternete kapalı ortam- sağlaması ve kullanımda nelere dikkat edilmesi gerektiği
larda çalışan sistemlere bile zararlı yazımlar enjekte edile- gibi bilgiler yer almaktadır. Yaygın olarak kullanılan stan-
bileceği İran’a etki eden Stuxnet solucanı ile anlaşılmıştır. dartlara COBIT, ITIL, ISO 27000 Bilgi Güvenliği Yönetim
Siber güvenlik saldırılarının yanı sıra bilgilerin ele geçirilebi- Sistemleri Standartlar Ailesi ve ISO 22301 İş Sürekliliği Yö-
leceği ya da açığa çıkabileceği sosyal mühendislik, sistem- netim Sistemleri örnek olarak verilebilir. Bunların yanında
sel ya da organizasyonel eksiklikler, kullanıcıların bilgi ve kişisel verilerin korunmasını sağlamak amacıyla 6698 sa-
tecrübe eksikliği gibi etkenler de bilgi güvenliği açısından yılı Kişisel Verilerin Korunması Kanunu gibi düzenlemeler
risk oluşturmaktadırlar. Bilgi Güvenliği hem bireysel, hem de bulunmaktadır. Bilginin her yere kolayca yayıldığı ve tek
organizasyonel, hem de ulusal düzeyde ele alınması gere- başına anlamsız verilerin bile analiz sonrası kritik bilgi ha-
ken bir konudur.
line dönüşebildiği günümüzde regülasyonların ve koruma
Çalışma Alanları mekanizmalarının ne kadar önemli olduğu her gün karşıla-
Artan saldırılar ve kayıplarla daha çok önem kazanan bilgi şılan ihlal ve saldırılardan anlaşılmaktadır.
güvenliği; gizlilik, bütünlük ve erişilebilirlik şeklinde tanım- Yönetim Sistemleri için ISO/IEC 27001 Bilgi Güvenliği Yö-
lanan temel unsurların dengeli bir şekilde sağlanmasının netim Sistemleri standardı, bilgi güvenliği yönetimi, risk yö-
yanında, bilginin çeşitli yöntemlerle ele geçirilmesini, de- netimi ve kontrollerin uygulanması ile ilgili öneriler sunar-
ğiştirilmesini, silinmesini engelleme veya en azından azal- ken, ürün güvenliği konusunda en yaygın olarak kullanılan
tılmasını amaçlamaktadır. Bilgi Güvenliği Mühendisleri bu standart Ortak Kriterler standardıdır.
amacı gerçekleştirmek için bilgisayar ve elektronik sistem-
lerin geliştirme aşamalarında olduğu kadar kullanım süreç- Ortak Kriterler, Uluslararası Standartlar Örgütü (ISO) ta-
lerinde de görev yaparlar. Bunların yanında, önemli olan bir rafından 1999 yılında ISO/IEC 15408 numarası ile kabul
diğer görev ise sistemlerin ve ürünlerin geliştirme aşama- edilmiştir. Bilgi teknolojileri ürün ve sistem güvenlik sevi-
ları bitmeden riskleri en aza indirmeyi amaçlayan önlemleri yelerini belirleyip bağımsız laboratuvarlar tarafından test
değerlendirmek, bilinen bütün açıklıklara karşı önlem alın- edilmesini sağlamaktadır. Bu standart yalnızca güvenlik
dığını ve alınan önlemlerin yeterli olduğunu garanti altına gereksinimlerini belirlemekle kalmaz, aynı zamanda ge-
alacak testleri gerçekleştirmektir. liştiricilere bu gereksinimleri ürünlere/sistemlere uygu-
lama konusunda rehberlik eder. Ortak Kriterler standardı
Bilgi Güvenliği Mühendisliği, kriptoloji ve bilgisayar güven- güvenlik gereksinimi bulunan bütün sistemlere uygulana-
liğinden, donanım önlemleri ve biçimsel yöntemlere kadar bilir. Değerlendirme seviyesi arttıkça ürünün daha detaylı
birçok alanda disiplinler arası uzmanlık gerektirir. Bir sis- değerlendirilmesi sağlanır. Ürün ve sistemler yanında ya-
temin güvenliği analiz edilirken hem sistemi anlamak hem şam döngüsü olarak adlandırılan geliştirme süreci, teslim
de bu sisteme yönelik test ortamlarını geliştirmek gerekir. süreci ve teslim sonrası ürünün kullanım süreci de değer-
Bilgi Güvenliği Mühendisleri tıpkı bir satranç oyuncusu gibi lendirme kapsamındadır. Geliştirici için, geliştirme ortam
Bilgi Güvenliği Mühendisliği, bilgi teknolojileri karşıdan gelebilecek saldırıları düşünme becerisine sahip ve araçlarından doğabilecek risklerin en aza indirilmesini,
ürün ve sistemlerinde işlenen bilginin kötü niyetli olup ortaya çıkabilecek saldırıları önceden görmelidir. Di- gerekli önlemlerin alınmasını sağlar. Kullanıcı için ise gü-
ğer mühendislik alanları, geliştirilen ürünlerin ihtiyaca uy-
venli kurulumdan kullanım anındaki güvenliğe, açıklık bil-
saldırılar, hatalı kullanımlar ve aksaklıklar gun özellikleri yapabilmelerini sağlamaya çalışırken, Bilgi diriminin geliştiriciye bildirilmesinden güvenli kaldırmaya
karşısında güvenilir kalmasını, açığa çıkmamasını Güvenliği Mühendisleri bu ürünlerin istenmeyen özellikleri kadar her alanda prosedür belirlenmesini ve her durumun
test edilmesini sağlar.
yapamamalarını sağlamaya yönelik olarak çalışmaktadır.
sağlamayı amaçlayan bir mühendislik dalıdır.
70 71