İŞ HAYATINDA STANDARTLAR - Deneme Sınavı - 18

Güvenlik altyapısı oluşturma aşamaları: Risklerin tespit edilmesi,  Farkındalık,  İnsan kaynağı istihdamı, Önleme, Yakalama, Zararı en aza indirme, Kurtarma, Düzenleme ve Güvenlik standartlarına uyumdur.

ABD’de Federal Ticaret Komisyonu tarafından orijinal hali (1973) geliştirilen Adil Bilgi Uygulamaları online (çevrim içi) mahremiyetin korunması için bir kılavuz sağlamaktadır. Bu prensipler aşağıda verilmektedir.

Bildirim/farkındalık (temel prensip): Web siteleri veri toplamadan önce bilgi uygulamalarını açıklamak zorundadır. Bilgiyi toplayanın kimliği; verinin kullanımı; toplamanın yapısı (aktif/pasif); gönüllü veya zorunlu durumu; reddetmenin sonuçları ve verinin gizliliğini, bütünlüğünü ve kalitesini korumak için atılması gereken adımları içermelidir.

Seçim/onay (temel prensip): Müşterilere bilgilerinin iç kullanım ve üçüncü taraflara dağıtımını da içerecek şekilde ikincil amaçlarla işlemi desteklemek dışında nasıl kullanılacağını seçmelerine izin veren bir seçim rejimi olmalıdır.

Erişim/katılım: Müşteriler kendileri hakkında toplanan verilerin doğruluğunu ve eksiksizliğini düzenli, uygun maliyetli bir süreçte inceleyebilmeli ve itiraz edebilmelidir.

Güvenlik. Veri toplayıcıları müşteri bilgisinin yetkisiz kullanımdan uzak ve güvenli olmasını sağlayacak adımlar atmalıdırlar.

Uygulama: Adil Bilgi Uygulamalarının uygulanması için bir mekanizma kurulmalıdır. Uygulama, öz denetim, müşterilere ihlallere karşı hukuki çözüm veren düzenlemeler veya kanunları içermelidir.

BGYS süreçlerine uygulanan PUKÖ modeli aşamaları su şekilde özetlenebilir:

Güvenlik politikası: Bilgi güvenliğini arttırıcı kurallar ve yönetim tavsiyelerini içerir.

Bilgi güvenliği organizasyonu: Kurum içindeki bilgi güvenliği yönetimini kolaylaştırır.

İnsan kaynakları güvenliği: İnsan hatası, hırsızlık, dolandırıcılık ya da ekipmanın amacı dışında kullanılması gibi riskleri en aza indirmesini sağlar.

Fiziksel ve çevresel güvenlik: Saldırıyı, kalite kaybını ya da endüstriyel vasıtaların ve verinin bozulmasını engeller.

İletişim ve operasyonel yönetim: Bilgi isleme donanımlarının yeterli ve güvenilir olduğunun kontrolünü sağlar.

Güvenlik, bilgi sistemlerini izinsiz erişim, değiştirme, hırsızlık veya fiziksel zarardan korumak için kullanılan politikalar, prosedürler ve teknik önlemlerdir.

Programlamadaki hatalar, yanlış kurulum veya izinsiz (yetkisiz) değişiklikler bilgisayar yazılımının çökmesine neden olur.

Uygulamada farklılıklar bulunmakla birlikte bilgi güvenliği konusunda temel standartlar: Kimliğin doğruluğu, yetki kontrolü, kimliğin gizliliği, kişisel gizlilik, verinin bütünlüğünün korunması ve izleme olarak sıralanabilir. Bu bilgiler çerçevesinde bilgi güvenliği konusunda veri akışkanlığı gibi bir standart olmadığından doğru cevap E'dir.

Solucanlar, yayılmak için başka bir programa veya virüslerde olduğu gibi insan etkileşimine ihtiyaç duymayan, kendi kendini çoğaltan bir yapı arz ederler. Bu bilgiler çerçevesinde doğru cevap C'dir.

Truva atları saldırganlara ağ portu üzerinden yasal olmayan erişim sağlayabilecekleri
arka kapı açan yazılımlardır.

Üçüncü tarafların denetimini ele geçirdiği bilgisayarı tanımlamakta kullanılan terime, zombi bilgisayar denir. Bu bilgiler ışığında doğru cevap A'dır.

Bilgisayar suçu, Bilgi Teknolojisi Profesyonelleri Birliği (Association of Information Technology Professionals-AITP) tarafından şu şekilde tanımlanmaktadır: Donanım, yazılım, veri veya ağ kaynaklarının izinsiz kullanımı, erişimi, değiştirilmesi ve tekrar yapılandırılması, bilginin izinsiz dağıtılması, yazılımın izinsiz kopyalanması, bir son kullanıcının kendi donanımına, yazılımına, verilerine veya ağ kaynaklarına erişiminin engellenmesi, bilgi veya maddi varlıklara yaşa dışı bir şekilde edinmek için bilgisayar ve ağ kaynaklarını kullanmak veya kullanmaya çalışmak. Verilen bu bilgiler ışığında 'Bilgi veya maddi varlıkları yasal bir şekilde edinmek için bilgisayar ve ağ kaynaklarını kullanmak' bilgisayar suçu olmadığından doğru cevap E'dir.

Tuş kaydediciler, yazılımın seri numarasını çalmak, İnternet saldırıları yapmak,
e-posta hesaplarına erişim elde etmek, korunan bilgisayar sistemlerinin şifrelerini elde
etmek veya kredi karı numarası gibi kişisel bilgileri almak için bilgisayarda yapılan her
tuş darbesini kaydederler.

Suçun Hedefi Olarak Bilgisayarlara örnek teşkil eden durumlar şu şekildedir: Korunan verilerin gizliliğini ihlal etmek, izinsiz olarak bir bilgisayar sistemine erişmek, korunan bir bilgisayara dolandırmak için bilerek erişmek, korunan bir bilgisayara kasten erişmek ve bilerek veya dikkatsizce bir zarara sebep olmak, korunan bir bilgisayara kasten zarar veren bir programı, program kodunu veya bir komutu bilerek iletmek, korunan bir bilgisayara zarar vermek için tehdit etmek. Bu bağlamda doğru cevap A'dır. Diğer seçeneklerde yer alan ögeler 'Suç Aracı Olarak Bilgisayarlara' örnek teşkil etmektedir.

Kötü amaçlı yazılım yaymak, hizmet dışı bırakma (DoS saldırıları) gibi siber suç faaliyetleri sınırsızdır. Çin, ABD, Güney Kore, Rusya ve Tayvan dünyanın kötü amaçlı yazılımlarının çoğunun kaynağıdır. Bu bilgiler ışığında doğru cevap B'dir.

Risklerin tespit edilmesi: İşletmeler, bilgi ve sistemlerinin karşı karşıya kaldığı
riskler hakkında bilgi sahibi olmalı, verilerin güvenlik düzeyini değerlendirmeli,
kendi çalışanlarını ve diğer işletmelerinin yaşanmış tecrübelerinden ders almalıdır.

Bütünleşik koruma politikaları ve stratejileri geliştirilirken uygulanacak temel aşamalar şu şekilde sıralanabilir. Bunlar: Risklerin tespit edilmesi, farkındalık, insan kaynağı istihdamı, önleme, yakalama, zararı en aza indirme, kurtarma, düzenleme ve güvenlik standartlarına uyumdur. Bu bilgiler çerçevesinde doğru cevap E'dir.

İnternette kontrol ve güvenlik için kullanılan yöntemlerden birisi güvenlik duvarlarıdır. Güvenlik duvarı yetkisiz kullanıcıların özel ağlara girmesini engeller. Giren ve çıkan ağ trafiğini kontrol eden yazılım ve donanımım bir birleşimidir. Bu bilgiler çerçevesinde doğru cevap D'dir.

Güvenlik duvarı, işletmenin İnternetini ve diğer bilgisayar ağlarını, bir filtre ve İnternete ve diğer ağlara erişim için güvenli bir transfer noktası sağlayarak ihlallerden koruyan bir ağ geçidi denetçisi sistemi olarak hizmet eder.

Bütünlük (Integrity): Bilginin doğruluğunun ve tamlığının sağlanmasıdır. Bilginin içeriğinin değiştirilmemiş ve hiçbir bölümünün silinmemiş ya da yok edilmemiş olmasıdır.

Bilgi güvenliğini sağlamak için gerekli olan üç temel unsur, Gizlilik (Confidentiality), Bütünlük (Integrity) ve Erişilebilirlik (Availability) olarak sıralanabilir. Bu bağlamda değerlendirildiğinde doğru cevap A'dır.