Bilgi Güvenliği Aşamaları ve Bilgi Güvenliğinin Hukuki Süreçleri

Bilgi Güvenliğinin Kısa Tarihi

Bilgi güvenliğinin tarihi aslında eskiye dayanır.Bilginin korunması ve güvende tutulmasına en eski örneklerden bir tanesi Millatdan önce Mısırlıların Krallarının ölümleri sonrasında önemli yazıtları ve bilgileri Firavunları öldüğünde onlar için yapılan bubi tuzaklı piramitler veya mezar odalarında tutulmuştur.İnsanların bu çağlarda kullandıkları bilgiyi koruma biçimleri teknoloji çağına kadar farklı şekillerde ilerledikçe değişmiş ve hasar verici korumaların yerine digital korumalar devreye girmiştir.Şimdiki dijital döneme geldiğimizde ise datacentarlar olsun veritabanı kullanan e-belge kullanan işletmeler,kamu kurum ve kurumları veya bunlarla ilgili arşivleme yapan yazılım şirketleri gibi bir çok datayı beraberinde toplayan veri merkezlerinin hepsi bilginin depolanması ve kullanılması noktasında kurumlara hizmet sunmaktadır.

Tabi bunların yanında farklı sektörlerdeki normal kurum ve kuruluşlarında bu yönde ilerlediğini görmek gerekiyor.Tabiki iş sadece verilerin saklanması veya kullanıcılara sunularakkullanılması güvenlik sistemi için yeterli bir önlem olmamaktadır.Bu bilgi ve belgelerin yani verinin korunmasıda oldukça önemli bir husustur.Bilgi güvenliği; kurumdaki işlerin sürekliliğinin sağlanması, işlerde meydana gelebilecek aksaklıkların azaltılması ve yatırımlardan gelecek faydanın artırılması için bilginin geniş çaplı tehditlerden korunmasını sağlar.

Bilgi güvenliği temelde aşağıdaki üç unsuru hedefler;

*Gizlilik (Confidentiality)

*Bütünlük (Integrity)

*Kullanılabilirlik (Availability) 

Yukarıda tanımları biraz açmak gerekirse.Gizlilik dediğimiz kısım verinin veya diğer tabir ile kullanılabilen datanın yetkisiz ve erişimi olmayan kişilere kapalı olması anlamına gelir.Temel olarak yetkisi olmayan kişilerin içeriye girip verileri ele geçirmemesine yönelik bir koruma sağlama protokoludur.Bütünlük prensibi ise gizlilik içerisinde olan dataların veri bütünlülüğünün korunması bunun yanında yetkisiz bir şekilde silinmesi veya tahrip edilmesinin önüne geçebilmektir.Kullanılabilirlik ise kaynağa her zaman kullanılmak için yetkili kişilerce erişilebilmesidir.Herhangi bir sıkıntı olduğunda dahi bir şekilde veriye ulaşmak ve bilgiyi işlemek oldukça önemlidir.Kullanıcıların bilgiye erişiminde erişilebilirlik ilkesi içerisinde gerekli haklara göre erişip bilgiye ulaşmasıda ayrıca önem arz etmektedir.

Bilgi Yönetim Sistemi (BGYS) Nedir?

Bilgi yönetim sistemi yani kısa adı ile BGYS ilgili kurumların hassas ve kritik verilerinin yönetilmesi ile ilgili belirli sisteme oturtulmuş olan bir şematik düzendir. Bu sistemin temel noktası ilgili veri kaynağının korunması ve kullanılabilir olmasıdır. Tabiki bu sadece veriler değil sistem akış diagramının çalışması ve süreçlerinide kapsayan bir yapıdır.

Bilgi güvenliği dediğimizde bu terimin ilk kullanılış tarihi 1998 yılında cereyan etmiştir. İngiliz British Standards Institute denilen kuruluş tarafından deklare edilen BS-7799/2 standartları dünya genelinde kabul görmüş daha sonra ISO/IEC 27001:2005 maddesi ile yayına girmiştir. Tabi bunun yanında ISO/IEC 27001 sürecide bilgi belge evrak yönetim ve koruma sistemi ile alakalı olarak bizlere yardımcı olan bir standart protokoldur. ISO/IEC 27001 standartları protokol bazında uluslarası denetlemelerde referans alınan bir standarttır. Bu denetimleri geçen kuruluşlar güvenlik konusunda belirli bir standart seviyeye ulaşmış olurlar.

 Bu sağlanan standartların tek buluştuğu nokta ISO 27001 standartlarıdır.Bu noktada bu standartların önemi özellikle kurumların risk işlemedeki kabiliyetleri,olay yönetimlerinin hangi şekilde sağlandığı,yedeklilik ve gizlilik prosedurleri gibi bir çok temel  konuyu kapsamaktadır.Tabi bu temel standartların bilgi teknoloji ile beraber kurumsal kullanıcılarında faydalanabileceği bir dökümantasyon ile beraber hazırlanması ve uygulanmasıda olmazsa olmaz  kritik bir birleşendir.Tabi bu noktada bu standartların aktif olarak uygulanması ve yaşayan bir sisteme dönüştürülmeside oldukça önemli bir durum arz etmektedir.Tabi bu sadece bilişim tarafının uygulayacağı bir yöntem olmayıp ilgili kurumların bütün birimlerinin efektif olarak katıldığı bir sistem bütünlüğüne sahip olması gerekir.Ancak bu şekilde bu standartların başarılı olması mümkündür.

 ISO 27001 sürecinin avantajlarından bahsetmek gerekirse. Bir kere bilgi güvenliği konusunda daha rahat ve kriz anında daha sogukkanlı bir çalışma planınız hazır olur. Bilgi Güvenliği Yönetimi Sisteminizi oluşturmak, uygulamak, işletmek, izlemek, incelemek, sürdürmek ve geliştirmek için süreç yaklaşımını daha efektif bir şekilde kullanabilirsiniz.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi Kurmanın Yararları Nelerdir?

*Kuruluşunuzdaki bilgi değerini ve varlıklarını daha denetlenebilir bir ortama sahip olduğunu kuruma hissettirir.

*Önemli dataları kendi yönetim sistemi ile korur. Bu sayede oluşabilicek kriz ihtimallerine karşı daha dirençlidir. İşi olasılıklara bırakmaz.

*Kurumunu için önemli olan ve dikkatli şekilde denetimlere sebep veren yasal takipleri önler. *Kurumunuz için bilgi güvenliği olduğundan ötürü diğer kurumlardan daha prestijli bir konumda olursunuz.

ISO 27001 Bilgi Güvenliği Sistemi Proje Aşamaları Aşağıdaki gibi süreçlendirilmiştir;

 *Öncelikle kurumunuzda bulunan varlıkları çeşitli kategorilerde sınıflandırmanız gerekmektedir.

*Sınıflandırma tamamlandıktan sonra yukarıda açıkladığımız gibi (Gizlilik-Bütünlük ve Erişilebilirlik) nodlarına göre değerlendirilmesi.

*Kurum için risk analizinin yapılması.

*Risk analiz raporlarının çıkarılmasından sonra uygulanıcak yol haritasının belirlenmesi.

*Gerekli dökümantasyonların hazırlanması ve dosyalanması.

*İlgili senaryoları test etme ve uygulamaların kontrolünün sağlanması.

*İç denetim faliyetlerinin gözden geçirilmesi.

*İlgili varlıklar ve sistemin kayıtlarının tutulması.

*Yönetimsel projelerin gözden geçirilmesi.

*Raporlama ve Belgelendirilmenin oluşturulması.

Siber güvenlik ve ona uygun bilgi güvenliği sekron şekilde giden iki yarım elma gibidir. Sisteminizdeki bütünleşik yapı ve farkındalığın arttırılması ile beraber siber güvenliğin temellerini atarak kriz ve felaket anlarında müdahale şansınızın artacağı gibi bu konuda master ve slave planlarınızın olmasıda önemlilik arz etmektedir.

Ülkemizde ve Dünyada Bilişim Suçları

Bilişim suçları esasında küresel veya lokal düzeyde çeşitli gruplar veya bireysel olarak ı tarafa zarar verme amaçlı girişilen çeşitli yazılım ve teknolojiler ile desteklenen mağdura fiziksel veya zihinsel olarak doğrudan veya dolaylı olarak zarar verme suçu kastı ile internet ve cep telefonu, elektronik posta gibi çağdaş iletişim araçları kullanarak zarar verme amaçlı saldırıların yapılmasıdır. Bu tür suçlara aynı zamanda Siber saldırıda denilmektedir. Siber Suçlar bir ulusun güvenlik ve ekonomik bütünlüğüne yönelik bir tehdit de oluşturabilir. Bu tür suçlarda ortaya çıkan görünüm, özellikle yazılım CD’ lerinin şifrelerinin kırılması, Korsan CD/DVD, telif hakları ihlalleri, çocuk pornografisi ve çocukların diğer biçimlerde istismarı konularında başlıca görünüm yüksek kazanç elde etme isteğidir. Mahrem bilgilerin kaybedilmesi veya yasaya aykırı olarak elde edilmesi durumlarında özel yaşamın gizliliğinin ihlali suçu ortaya çıkar.

Bilişim suçlarının diğer suçlardan ayıran temel bazı farklılıklar vardır. Bu farklılıklar; zaman, mekân veya yer ile sınırlı olmadan meydana gelmesi, kolayca tanımlanabilecek sınırlara sahip olmaması, ülke ve yargı sınırlarını aşması, kanunlaştırma ve delillendirmenin güç ve dikkate değer teknik bilgi gerektirmesi, henüz bu alanda neyin suç olup olmadığı konusunda net tanımların oluşmaması olarak sayılabilmektedir.Bir suçlunun işlediği suçtan sonra o suçla ilgili delil, iz ve emare bırakmaması değişmeyen bir kural olarak kendi elinde olmadığı gibi, bilişim sistemleri ile işlenen suçlarda da suç ile ilgili deliller farklı şekil ve formatlarda suç sonrasında dijital delil olarak bulunabilmektedir.

Bilişim suçlarında unutulmaması gereken bir prensip vardır ki (bu sizin testlerde de göreceğiniz bir durumdur. Bilişim dünyasında olsun normal adi veya cinayet gibi suçlarda suç sahnesine giren bir şey veya bir kişi, olay yerinden bazı şeyleri yanına alırken, birtakım şeyleri de olay yerinde bırakırBilişim sistemleri üzerinde ise, iz bırakmadan işlem yapmak neredeyse imkansızdır. Önemli olan bu izleri doğru bir şekilde tespit edip, sonuca götürücü verilere ulaşmaktır. Bu işlemlerin sağlıklı ve bilimsel olarak yürütülmesi amacıyla adli bilişim bilimi ortaya çıkmış ve gelişmeye başlamıştır. Adli Bilişim konusunu kitabın ilerleyen dönemlerinde ayrı bir başlık altında irdeleyeceğimden emin olabilirsiniz.

Bilişim Suçlarında TCK Maddeleri Nelerdir?

Bilişim suçları konusunda TCK tarafındaki maddeler ise aşağıdaki gibidir. Kitap üzerindeki uygulamaları dener iken Bilişim suçları içerisinde nelere sebep olabileceğinizide hesap etmeniz için gerekli kanun maddelerini koymak istiyorum;

Türk Ceza Kanunu Madde 243(Bilişim sistemine girme)

(1) Bir bilişim sisteminin bütününe veya bir kısmına, hukuka aykırı olarak giren ve orada kalmaya devam eden kimseye bir yıla kadar hapis veya adlî para cezası verilir. 

(2) Yukarıdaki fıkrada tanımlanan fiillerin bedeli karşılığı yararlanılabilen sistemler hakkında işlenmesi hâlinde, verilecek ceza yarı oranına kadar indirilir. 

(3) Bu fiil nedeniyle sistemin içerdiği veriler yok olur veya değişirse, altı aydan iki yıla kadar hapis cezasına hükmolunur. Türk Ceza Kanunu Madde 244 (Sistemi engelleme, bozma, verileri yok etme veya değiştirme)

(1) Bir bilişim sisteminin işleyişini engelleyen veya bozan kişi, bir yıldan beş yıla kadar hapis cezası ile cezalandırılır. 

(2) Bir bilişim sistemindeki verileri bozan, yok eden, değiştiren veya erişilmez kılan, sisteme veri yerleştiren, var olan verileri başka bir yere gönderen kişi, altı aydan üç yıla kadar hapis cezası ile cezalandırılır. 

(3) Bu fiillerin bir banka veya kredi kurumuna ya da bir kamu kurum veya kuruluşuna ait bilişim sistemi üzerinde işlenmesi halinde, verilecek ceza yarı oranında artırılır.  (4) Yukarıdaki fıkralarda tanımlanan fiillerin işlenmesi suretiyle kişinin kendisinin veya başkasının yararına haksız bir çıkar sağlamasının başka bir suç oluşturmaması hâlinde, iki yıldan altı yıla kadar hapis ve beşbin güne kadar adlî para cezasına hükmolunur

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

error: Content is protected !!