VERİ GÜVENLİĞİ Özer Çelik Matematik-Bilgisayar Bölümü
Ders Bilgileri Not Değerlendirmesi: Pop-up Quiz/Ödev : % 10 Ara Sınav : % 20 Final : % 30 Dönem Projesi : % 40 Dönem Projesi: Liste halinde sunulacaktır. Derse Katılım Derse katılım zorunludur.
Veri Nedir? Veri, bir ham (işlenmemiş) gerçek ya da enformasyon(derlenmiş bilgi) parçacığına verilen addır. Bilgi, en kısa tanımıyla işlenmiş veridir. Bilgi bir varlıktır ve tıpkı diğer iş varlıkları gibi belli bir değeri vardır ve uygun bir şekilde korunmalıdır. (BS/ISO 27002:2013)
Varlık Nedir? Varlık, bir işletmenin değer addettiği her şeydir. Donanım(BT) varlıkları Yazılım varlıkları Fiziksel Varlıklar Kurum İmajı Vb.
Bilgi Yönetim Yaşam Döngüsü
Bilgi Yönetim Yaşam Döngüsü Bilgi; Oluşturulur Kaydedilir İmha Edlilir İşlenir Transfer Edilir Kullanılır Başkası Tarafından; Bozulmaz Kaybedilmez Silinmez Bilgi hangi formda olursa olsun uygun ve hangi yöntemlerle iletilirse, paylaşılırsa ya da saklanırsa saklansın, uygun bir şekilde korunmalıdır. (BS/ISO 27002:2013)
Bilgi Güvenliği Nedir? Bilgi güvenliği, her türlü varlığın ve bu varlıklara ait verinin yetkisiz kişilerce erişilmesi, kullanılması, ifşa edilmesi, yok edilmesi, değiştirilmesi, karıştırılması/bozulması eylemlerini engellemek için yapılan her türlü faaliyettir.
Güvenlik ekstrem durumlar Açık bir ortamda yer alan bir sistem herkes tarafından, ağ üzerinden erişilerek kolayca kullanılabilir. Temel olarak bu, güvenliksiz bir durumu gösterir (örnek : İnternet Kafe) Penceresi olmayan, 1 metre kalınlığında beton ve metal duvarla örülü bir odada tutulan ve sadece pil ile çalışan bir sistem. Kapısında 24 saat güvenlik var. Tüm bilgi şifreli olarak tutuluyor. İçeri girmek isteyen kişi aşırı bir güvenlik prosedürü ile girebiliyor!! (örnek: askeri güvenlik)
Güvenlik ekstrem durumlar Güvenlik Geliştirme Maliyeti Geliştirme Zamanı Ekipman Maliyeti Bakım Maliyeti Kullanabilirlik İşlevsellik Performans
Güvenlik ekstrem durumlar
Bilgi Güvenliği Bilgi, sisteminin özellikleri arasındadır. Sadece teknolojik altyapı olarak nitelendirilemez. C.I.A üçgeni (C.I.A. triangle) bu konuda standarttı. Üç önemli bileşen : Gizlilik/Mahremiyet (Confidentiality): sadece izin verilen kişi/unsur lar bilgiyi görebilir Bütünlük/Tamlık/Doğruluk (Integrity): sadece izin verilen kişi/unsur lar bilgiyi değiştirebilir (bilgi oluşturma ve silme de dahil) Kullanılabilirlik (Availability): ihtiyaç duyulduğunda bilgi hazırdır, kullanılabilir
Tehlikeler Ordular harekete geçebilir/nükleer silahlar patlayabilir İşletmeler iflas edebilir/batabilir Bireyler tüm kişisel bilgilerini çaldırabilir Askeri yapılar, politik örgütler ve de suç örgütleri bu ve benzeri tehditlerin kaynağı olabilirler
Terimler Bilgisayar Aşağıdaki unsurların bir araya gelmesi ile oluşan yapı Merkezi İşlem Birimi (CPU): Komutların işletilmesi Hafıza(RAM) : Verileri geçici olarak saklanmasını sağlayan alan Disk: Verilerin kalıcı olarak saklanmasını sağlayan alan Monitör/Ekran: Görüntüleme cihazı Printer/Yazıcı: Bilginin kağıt ortamına aktarılmasını sağlar Ağ kartı: Bilgisayarlar arası iletişimi sağlayan elektronik devre
Bilgi, Veri ve Yararlı Bilgi Bilgi güvenliği ve Bilgi Teknolojilerinde kullanılan terimlerin pek çoğu, birbirine yakın anlamlar içerebilir ve biri diğerinin yerine kulanılabilir. Bu yüzden, ders kapsamında kullanacağımız bazı «yakın» kavramların tanımlanmasına ihtiyaç var: Data (Veri) bilginin ham hali. Information (Bilgi), belli bir amaç doğrultusunda toplanmış ve şekil verilmiş, durağan veri. Knowledge (Yararlı/İşlenmiş Bilgi, Malumat) Bilgiden ortaya çıkartılır. Bilginin organize edilmiş ve belli durumu açıklayan bir hale dönüşmesi (yorumlanması) olarak ifade edilebilir.
Güvenlikle ilgili bazı terimler Vulnerability (Saldırıya açık olma) - istismar edilmeye müsait bir zaafiyet Attack (Saldırı) - insan kaynaklı sızma Threat (Tehdit)- açıkların ortaya çıkma potansiyeli Control (Güvenlik Kontrolü)- koruma ölçüsü
Güvenliği sağlamak neden zordur? Yöneticiler, bazı durumlarda, BT ile ilişkilendirilmiş verilerin gerçek değerinden habersiz olabilirler Dış dünyaya karşı imajı koruma çabası, bunun zarar göreceği yaklaşımı Yasal tanımlar, sıklıkla, çok açık olmayabiliyor Adli takip zor Pek çok teknik unsur içerir
Güvenliğin Hedefleri Confidentiality/Gizlilik Bilginin sadece yetki verilmiş kullanıcıların erişimine açık olması Integrity /Bütünlük Bilginin, ifade ettiği/tanımladığı şeylerle ilgili gerekli tüm bileşenleri içermesi ve anlamlı olması Availability /Kullanılabilirlik Bilginin mevcudiyetinin sürekli olması ve erişime açık bulunması Bunların önem derecesi şirketten şirkete değişmekle birlikte her üçü de Veri Güvenliği açısından önemlidir.
Sayısal dünya ve VG nin Önemi İnternet olarak adlandırdığımız, birbirine bağlı unsurlardan oluşan büyük bir dünyada yaşıyoruz. Viruses, trojans DoS saldırıları Phising / Oltaya takılma Fraud / Sahtekarlık
İnternet Kullanımı
İnternet Kullanımı
Veri kaybı olaylarının yıllara göre dağılımı
Tüm olayların türlerine göre dağılımı
Kaynaklar TÜBİTAK BİLGEM Siber Güvenlik Enstitüsü Güvenli Yazılım Geliştirme Temel Kuralları Dökümanı O.Gökçol - Bilgi Güvenliği Yönetimi Ders Notları M.Ince - Web Uygulama Güvenliği Eğitim Notları R.Daş - Bilgi Güvenliği Sistemlerinde Kullanılan Araçların İncelenmesi Ders Notları H.Önal - Beyaz Şapkalı Hacker Eğitimi Yardımcı Ders Notları *Ders kapsamında yararlanılan kaynaklar