İŞ HAYATINDA STANDARTLAR - Deneme Sınavı - 17

ISO/IEC 27001, Bilgi Güvenliği Yönetimi Sistemi gereksinimlerini tanımlayan tek uluslararası denetlenebilir standarttır.

Bilgi güvenliği, bir varlık türü olarak bilginin izinsiz veya yetkisiz bir biçimde erişim, kullanım, değiştirilme, ifşa edilme, ortadan kaldırılma, el değiştirme ve hasar verilmesini önlemek olarak tanımlanır ve “gizlilik”, “bütünlük” ve “erişilebilirlik” olarak isimlendirilen üç temel unsurdan meydana gelir. Bu çerçevede doğru cevap C'dir.

Varlıkların envanterini çıkartılması ve bu varlıkları etkin bir şekilde korunmasını sağlar. Tüm bilgi varlıklarını içeren bir varlık envanteri tutulmalıdır. Bu envanter hazırlanırken aşağıda belirtilen varlık türlerinin tamamı göz
önünde bulundurulmalıdır.
• Bilgi: Veri tabanı, sözleşme ve anlaşmalar, sistem dokümantasyonu vb.
• Yazılım varlıkları: Uygulama yazılımları, sistem yazılımları ve yazılım geliştirme araçları.
• Fiziksel varlıklar: Bilgisayarlar ve iletişim araçları.
• Hizmete dönük varlıklar: Bilgisayar ve iletişim hizmetleri, ısıtma, aydınlatma,
güç vb.
• Personel: Nitelik ve tecrübeleri ile birlikte.
• Soyut varlıklar: Kuruluşun itibarı ve imajı gibi

Ülkemizde sadece İletişim sektöründe hizmet sunan kuruluşlara ISO 27001 sertifikasyonu zorunlu kılınmaktadır.

Uygulamada farklılıklar bulunmakla birlikte bilgi güvenliği konusunda temel stan- dartlar aynıdır (Nizam, 2014:308):

• Kimliğin doğruluğu: İşlemleri tam olarak kimin yaptığı bilinmelidir.
• Yetki kontrolü: Kişinin yetkisine uygun işler yapmasıdır.
• Kimliğin gizliliği: Kişinin e-posta veya diğer bilgilerine istenmeyen kişilerin eri-

şimlerinin engellenmesidir.
• Kişisel gizlilik: Kimin hangi işi yaptığı veya müşterinin hangi malı satın aldığı gibi

bilgiler kimseyle paylaşılmamalıdır.
• Verinin bütünlüğünün korunması: Gerçek hayatta fatura ve resmi belge gibi var-

lıklar elektronik ortamda parçalara bölünerek saklanır. Bu parçalardan herhangi

biri bozulursa yapılmak istenen işlem farklı bir anlam kazanır.
• İzleme: Yetkisiz erişim durumunda bunun kimin tarafından yapıldığı ve sistemin nerelerini etkilediğini tespit etmek için sistem sürekli izlenmeli ve izlenme sonuç-

ları kaydedilmelidir.

Uygulamada farklılıklar bulunmakla birlikte bilgi güvenliği konusunda temel standartlar aynıdır (Nizam, 2014:308):

• Kimliğin doğruluğu: İşlemleri tam olarak kimin yaptığı bilinmelidir.
• Yetki kontrolü: Kişinin yetkisine uygun işler yapmasıdır.
• Kimliğin gizliliği: Kişinin e-posta veya diğer bilgilerine istenmeyen kişilerin erişimlerinin engellenmesidir.
• Kişisel gizlilik: Kimin hangi işi yaptığı veya müşterinin hangi malı satın aldığı gibi

bilgiler kimseyle paylaşılmamalıdır.
• Verinin bütünlüğünün korunması: Gerçek hayatta fatura ve resmi belge gibi varlıklar elektronik ortamda parçalara bölünerek saklanır. Bu parçalardan herhangi

biri bozulursa yapılmak istenen işlem farklı bir anlam kazanır.
• İzleme: Yetkisiz erişim durumunda bunun kimin tarafından yapıldığı ve sistemin nerelerini etkilediğini tespit etmek için sistem sürekli izlenmeli ve izlenme sonuçları kaydedilmelidir.

Kişisel açıklık değil, kişisel gizlilik olacaktır.

Kişisel gizlilik: Kimin hangi işi yaptığı veya müşterinin hangi malı satın aldığı gibi

bilgiler kimseyle paylaşılmamalıdır.

Kötü amaçlı yazılım programları bilgisayar virüsleri, solucanlar ve Truva atları gibi birçok tehdit içermektedir.

Virüsler, en tehlikeli ve en eski kötü amaçlı yazılımlar olarak kabul edilmektedirler. Organizmalardaki hücrelere bulaşan küçük parçacıklar olarak tanımlanan biyolojik virüslerden esinlenerek adlandırılan bilgisayar virüsleri, kendi kopyalarını çalıştırılabilir diğer kodlara veya belgelere yerleştirilerek yayılan ve kendi kendine çoğalan programlardır.

Truva atları saldırganlara ağ portu üzerinden yasal olmayan erişim sağlayabilecekleri arka kapı açan yazılımlardır.

Hacker faaliyetleri sadece sisteme izinsiz girmenin ötesinde ürün ve bilgi hırsızlığına, bunun yanında sistem zararı ve siber barbarlık (cybervandalism), bilinçli engelleme, içerik bozma ve hatta bir Web sitesinin veya kurumsal bilgi sisteminin çökertilmesine kadar genişlemiştir.

Hacker faaliyetleri sadece sisteme izinsiz girmenin ötesinde ürün ve bilgi hırsızlığına, bunun yanında sistem zararı ve siber barbarlık (cybervandalism), bilinçli engelleme, içerik bozma ve hatta bir Web sitesinin veya kurumsal bilgi sisteminin çökertilmesine kadar genişlemiştir.

Hizmet dışı bırakma (DoS Saldırısı /Denial-of-Service) bir Web servisi veya Web uy- gulaması üzerinde altyapının cevap veremeyeceği derecede aşırı istek veya trafik yükü oluşturarak onu hizmet veremez duruma düşürme amaçlı saldırılardır. Genellikle virüsten etkilenmiş zombi bilgisayarların oluşturduğu robot ağları vasıtasıyla yapılır

Bilgisayar suçu Bilgi Teknolojisi Profesyonelleri Birliği (Association of Information Technology Professionals-AITP) tarafından şu şekilde tanımlanmaktadır (www.aitp.org):

Donanım, yazılım, veri veya ağ kaynaklarının izinsiz kullanımı, erişimi, değiştirilmesi ve tekrar yapılandırılması

Bilginin izinsiz dağıtılması

Yazılımın izinsiz kopyalanması

Bir son kullanıcının kendi donanımına, yazılımına, verilerine veya ağ kaynaklarına

erişiminin engellenmesi

Bilgi veya maddi varlıklara yaşa dışı bir şekilde edinmek için bilgisayar ve ağ kaynaklarını kullanmak veya kullanmaya çalışmak

Kişisel gizlilik: Kimin hangi işi yaptığı veya müşterinin hangi malı satın aldığı gibi bilgiler kimseyle paylaşılmamalıdır.

Doğru cevap B'dir.

Kimliğin doğruluğu: İşlemleri tam olarak kimin yaptığı bilinmelidir.

Doğru cevap D'dir.

Kimliğin gizliliği: Kişinin e-posta veya diğer bilgilerine istenmeyen kişilerin erişimlerinin engellenmesidir.

Doğru cevap A'dır.

Zombi bilgisayar, üçüncü tarafların denetimini ele geçirdiği bilgisayarı tanımlamakta kullanılan bir terimdir. Bu ele geçirme işi ise genellikle zararlılar yoluyla yapılmaktadır. Bilgisayarınızın “zombi” hale gelmesi, onun bir veya daha çok kişi tarafından sizin haberiniz olmadan kontrol edilmesi, örneğin istenmeyen e-postaların gönderilmesi veya İnternetteki diğer PC’lere saldırılar düzenlenmesi anlamına gelmektedir.

Doğru cevap C'dir.

Birçok hacker faaliyeti suç teşkil etmektedir. ABD Adalet Bakanlığı bilgisayar suçunu “ceza hukukunun bir bilgisayar teknolojisi içeren her türlü ihlali” olarak tanımlamaktadır. Bilgisayar suçu Bilgi Teknolojisi Profesyonelleri Birliği (Association of Information Technology Professionals-AITP) tarafından şu şekilde tanımlanmaktadır:
• Donanım, yazılım, veri veya ağ kaynaklarının izinsiz kullanımı, erişimi, değiştirilmesi ve tekrar yapılandırılması
• Bilginin izinsiz dağıtılması
• Yazılımın izinsiz kopyalanması
• Bir son kullanıcının kendi donanımına, yazılımına, verilerine veya ağ kaynaklarına erişiminin engellenmesi
• Bilgi veya maddi varlıklara yaşa dışı bir şekilde edinmek için bilgisayar ve ağ kaynaklarını kullanmak veya kullanmaya çalışmak

Doğru cevap E'dir.

Farkındalık: İşletmenin tüm üyeleri çıkabilecek sorunlara karşı uyanık, eğitimli ve
bilgi sahibi olmalıdır. İşletme çalışanlarını bilinçlendirmeye yönelik eğitimler bu
kapsamdadır. Güvenlik konusunda tolerans olmadığı bilinmelidir.

Doğru cevap A'dır.