İŞ HAYATINDA STANDARTLAR

Uygulamada farklılıklar bulunmakla birlikte bilgi güvenliği konusunda temel standartlar aynıdır:

• Kimliğin doğruluğu: İşlemleri tam olarak kimin yaptığı bilinmelidir.
• Yetki kontrolü: Kişinin yetkisine uygun işler yapmasıdır.
• Kimliğin gizliliği: Kişinin e-posta veya diğer bilgilerine istenmeyen kişilerin erişimlerinin engellenmesidir.
• Kişisel gizlilik: Kimin hangi işi yaptığı veya müşterinin hangi malı satın aldığı gibi bilgiler kimseyle paylaşılmamalıdır.
• Verinin bütünlüğünün korunması: Gerçek hayatta fatura ve resmi belge gibi varlıklar elektronik ortamda parçalara bölünerek saklanır. Bu parçalardan herhangi biri bozulursa yapılmak istenen işlem farklı bir anlam kazanır.
• İzleme: Yetkisiz erişim durumunda bunun kimin tarafından yapıldığı ve sistemin nerelerini etkilediğini tespit etmek için sistem sürekli izlenmeli ve izlenme sonuçları kaydedilmelidir.

Yukarıdaki standartlar arasında İzlenme yer almadığından Doğru Cevap C seçeneği olur.

Kötü amaçlı yazılım programları bilgisayar virüsleri, solucanlar ve Truva atları gibi birçok tehdit içermektedir. Virüsler, en tehlikeli ve en eski kötü amaçlı yazılımlar olarak kabul edilmektedirler. Organizmalardaki hücrelere bulaşan küçük parçacıklar olarak tanımlanan biyolojik virüslerden esinlenerek adlandırılan bilgisayar virüsleri, kendi kopyalarını çalıştırılabilir diğer kodlara veya belgelere yerleştirilerek yayılan ve kendi kendine çoğalan programlardır. Truva atları saldırganlara ağ portu üzerinden yasal olmayan erişim sağlayabilecekleri arka kapı açan yazılımlardır. Casus yazılım, kullanıcılara ait önemli bilgilerin ve kullanıcının yaptığı işlemlerin, kullanıcının bilgisi olmadan toplanmasını ve bu bilgilerin kötü niyetli kişilere gönderilmesini sağlayan yazılım olarak tanımlanır. Bilgisayar virüslerine benzer bir yapıda olan solucanlar, virüsler gibi bir başka çalıştırılabilir programa kendisini iliştirmez veya bu programın parçası olmazlar. Solucanlar, yayılmak için başka bir programa veya virüslerde olduğu gibi insan etkileşimine ihtiyaç duymayan, kendi kendini çoğaltan bir yapı arz ederler. Bu bilgilere göre Doğru Cevap B seçeneğidir.

Bilgi Teknolojisi Profesyonelleri Birliği'ne göre aşağıda hem hedef hem de suç aracı olarak bilgisayarın örneklerini verilmiştir.

Suçun Hedefi Olarak Bilgisayarlar
Korunan verilerin gizliliğini ihlal etmek
İzinsiz olarak bir bilgisayar sistemine erişmek
Korunan bir bilgisayara dolandırmak için bilerek erişmek
Korunan bir bilgisayara kasten erişmek ve bilerek veya dikkatsizce bir zarara sebep olmak
Korunan bir bilgisayara kasten zarar veren bir programı, program kodunu veya bir komutu bilerek iletmek
Korunan bir bilgisayara zarar vermek için tehdit etmek

Suç Aracı Olarak Bilgisayarlar
Ticari sırların hırsızlığı
Telifli entelektüel sermayenin yetkisiz kopyalanması
Dolandırma planları
Tehdit ve taciz için e-posta kullanma
Kasten elektronik iletişimi engelleme girişimi
Saklanan e-posta ve sesli postayı içeren elektronik iletişimlere yasa dışı olarak erişilmesi
Bir bilgisayar kullanarak çocuk pornografisi dağıtmak veya sahip olmak

Bu bilgilere göre Doğru Cevap E seçeneği olur.

Bir şirket için güvenlik tehditi oluşturan dış kaynaklar; Teröristler, organize suç, bilgi brokerları, rakipler, yabancı girişimler ve işletmeler, yabancı ulus-devletler, yerel istihbarat teşkilatı, hackerlar olarak ifade edilebilir. Seçenekler arasında yer alan müşteriler ise bir şirket için güvenlik tehditi oluşturan iç kaynaklar arasında yer alır. Dolayısıyla Doğru Cevap C seçeneği olur.

Bilgi sisteminin tüm parçalarını kapsayan bütünleşik bir koruma politika ve stratejileri geliştirilmelidir. Temel aşamalar;

biçiminde sıralanabilir. Bu bilgilere göre tüm öncüller doğrudur. Dolayısıyla Doğru Cevap E seçeneğidir.

Biyometrik kimlik tanıma sistemi her bir bireyi eşsiz yapan fiziksel veya davranışsal özelliklerin ölçülmesine dayalıdır. Parmak izi, göz retinası (III. öncül Doğru olur), yüz gibi bir kişinin eşsiz özelliklerini bu özellikler ile depolanan profil arasında farklılıklar olup olmadığına karar vermek için karşılaştırır. İki profil eşleşirse erişime izin verilir. Parmak izi ve yüz tanıma sistemleri birçok bilgisayarda var olan parmak izi tanıma cihazları ve birçok çeşit Web kamerası içine yerleştirilmiş yüz tanıma yazılımları ile güvenlik uygulamalarında kullanılmaya başlanmıştır. Parmak izi, göz retinası ve ses tanıma yanında avuç içi tarama (II. öncül Doğru olur) ve imza ve el yazısı (I. öncül Doğru olur) da biyometrik kontrol için kullanılan yöntemler arasında sayılabilir. Bu bilgilere göre tüm öncüller doğrudur. Dolayısıyla Doğru Cevap E seçeneğidir.

Verilerin şifrelenmesi bilgilerin ve özellikle İnternet, intranet ve extranetteki diğer ağ kaynaklarının korunması için önemli bir yol haline gelmektedir. Kimlik tanıma sistemi girecek kişinin kimliğinin anlaşılmasını sağlar ve yetkisiz girişlere engel olur. Güvenlik duvarı, işletmenin intranetini ve diğer bilgisayar ağlarını, bir filtre ve İnternete ve diğer ağlara bir erişim için güvenli bir transfer noktası sağlayarak ihlallerden koruyan bir ağ geçidi denetçisi sistemi olarak hizmet eder. Dolayısıyla Doğru Cevap B seçeneği olur.

Federal Ticaret Komisyonu Adil Bilgi Uygulama Prensipleri aşağıdaki şekilde verilmiştir.

Bu şekle göre Federal Ticaret Komisyonu Adil Bilgi Uygulama Prensipleri arasında Mahremiyet yer almamaktadır. Dolayısıyla Doğru Cevap C seçeneği olur.

Varlıkların envanterini çıkartılması ve bu varlıkları etkin bir şekilde korunmasını sağlar. Tüm bilgi varlıklarını içeren bir varlık envanteri tutulmalıdır. Bu envanter hazırlanırken aşağıda belirtilen varlık türleri göz önünde bulundurulmalıdır.

• Bilgi: Veri tabanı, sözleşme ve anlaşmalar, sistem dokümantasyonu vb. (I. öncül Doğru olur)
• Yazılım varlıkları: Uygulama yazılımları, sistem yazılımları ve yazılım geliştirme araçları. (I. öncül Doğru olur)
• Fiziksel varlıklar: Bilgisayarlar ve iletişim araçları.
• Hizmete dönük varlıklar: Bilgisayar ve iletişim hizmetleri, ısıtma, aydınlatma,
güç vb.
• Personel: Nitelik ve tecrübeleri ile birlikte. (II. öncül Doğru olur)
• Soyut varlıklar: Kuruluşun itibarı ve imajı gibi.

Varlık envanteri herhangi bir afetten sonra normal çalışma şartlarına dönmek için gereken (varlığın türü, formatı, konumu, değeri gibi) tüm bilgileri içermelidir. Bu bilgilere göre tüm öncüller doğru olur. Dolayısıyla Doğru Cevap E seçeneğidir.

ISO/IEC 27000, bilgi güvenliği yönetimi sistemi ailesi standartlarına referans vererek bilgi güvenliği yönetimi sistemlerini genel olarak açıklar, tanım ve terimleri verir. ISO/IEC 27000 Standart-Ailesi Bilgi Güvenliği ve Bilgi Güvenliği Yönetim Sistemi ile ilgilidir. Aşağıda sayılan standartlar bilgilendirici ve normatif dokümanlardır:

• ISO/IEC 27000: BGYS Genel Bilgiler ve Tanımlar: Bilgi Güvenliği konusuna genel bir bakış açısı içeren standart, 46 anahtar tanım ve terimi açıklamaktadır.
• ISO/IEC 27001: BGYS Gereksinimleri: Bilgi Güvenliği Standartları arasında çekirdek doküman hükmünde olan bu doküman Bilgi Güvenliği Yönetim Sistemi için gerekli olan gereksinimleri içermektedir. Dokümanın Ek kısmında da gerekli kontroller ve amaçları listelenmiştir.
• ISO/IEC 27002: Uygulama Pratikleri ve Kontrolleri: 27001 EK-A kısmındaki kontrollerinin iyi uygulamaları için bir kılavuz görevi gören bu standart tamamlayıcı açıklamalar içermektedir.
• ISO/IEC 27003 : BGYS Risk Yönetimi Uygulama Rehberi; bu standart Bilgi Güvenliği Yönetimi Sistemi’nin uygulanması için rehberlik etmeyi amaçlayan bir dizi resmi yeni standarttır.
• ISO/IEC 27004: BGYS Etkinlik Ölçüm Rehberi
• ISO/IEC 27005: BGYS Risk Yönetimi Rehberi
• ISO/IEC 27006: BGSY Belgelendirme Kurumları için Rehber
• ISO/IEC 27007: BGYS Denetim Rehberi
• ISO/IEC 27011: Telekomünikasyon Kuruluşları için BGYS
• ISO/IEC 27799: Sağlık Kuruluşları için BGYS Rehberi

Yukarıdaki bilgilere göre Telekomünikasyon Kuruluşları için BGYS standardı "ISO/IEC 27011" olup, Doğru Cevap E seçeneğidir.

PricewaterhouseCoopers’ın Bilgi Güvenliğinin Küresel Durumu Araştırması’na (2015) göre güvenlik kazalarının medya raporları, hava durumu raporları gibi medyada yer bulmaya başlamıştır ve neredeyse dünyadaki her endüstri bazı siber saldırı türleri ile karşılaşmıştır. Küresel olarak 2014 yılında siber güvenlik arızaları kaynaklı beklenen raporlanmış ortalama finansal kayıp 2013 yılına göre %34 artarak 2,7 milyon dolara ulaşmıştır. Finansal etki gelirlerin azalmasını, iş sistemlerinin zarar görmesini, düzenleyici cezaları ve müşteri kaybını içermektedir. Finansal olmayan zararlar ise imaj zedelenmesi, ürünlerin yağmalanması, araştırma ve geliştirme bilgisinin saptırılması, inovasyona etkileri, çalınan iş ve üretim süreçleri yanında üst düzey plan ve kurumsal stratejiler gibi hassas bilgilerin kaybıdır.

Virüsler, en tehlikeli ve en eski kötü amaçlı yazılımlar olarak kabul edilmektedirler. Organizmalardaki hücrelere bulaşan küçük parçacıklar olarak tanımlanan biyolojik virüslerden esinlenerek adlandırılan bilgisayar virüsleri, kendi kopyalarını çalıştırılabilir diğer kodlara veya belgelere yerleştirilerek yayılan ve kendi kendine çoğalan programlardır.

Uygulamada farklılıklar bulunmakla birlikte bilgi güvenliği konusunda temel standartlar aynıdır (Nizam, 2014:308): • Kimliğin doğruluğu: İşlemleri tam olarak kimin yaptığı bilinmelidir. • Yetki kontrolü: Kişinin yetkisine uygun işler yapmasıdır. • Kimliğin gizliliği: Kişinin e-posta veya diğer bilgilerine istenmeyen kişilerin erişimlerinin engellenmesidir. • Kişisel gizlilik: Kimin hangi işi yaptığı veya müşterinin hangi malı satın aldığı gibi bilgiler kimseyle paylaşılmamalıdır. • Verinin bütünlüğünün korunması: Gerçek hayatta fatura ve resmi belge gibi varlıklar elektronik ortamda parçalara bölünerek saklanır. Bu parçalardan herhangi biri bozulursa yapılmak istenen işlem farklı bir anlam kazanır. • İzleme: Yetkisiz erişim durumunda bunun kimin tarafından yapıldığı ve sistemin nerelerini etkilediğini tespit etmek için sistem sürekli izlenmeli ve izlenme sonuçları kaydedilmelidir.

Birçok hacker faaliyeti suç teşkil etmektedir. ABD Adalet Bakanlığı bilgisayar suçunu “ceza hukukunun bir bilgisayar teknolojisi içeren her türlü ihlali” olarak tanımlamaktadır. Bilgisayar suçu Bilgi Teknolojisi Profesyonelleri Birliği (Association of Information Technology Professionals-AITP) tarafından şu şekilde tanımlanmaktadır: • Donanım, yazılım, veri veya ağ kaynaklarının izinsiz kullanımı, erişimi, değiştirilmesi ve tekrar yapılandırılması • Bilginin izinsiz dağıtılması • Yazılımın izinsiz kopyalanması • Bir son kullanıcının kendi donanımına, yazılımına, verilerine veya ağ kaynaklarına erişiminin engellenmesi • Bilgi veya maddi varlıklara yaşa dışı bir şekilde edinmek için bilgisayar ve ağ kaynaklarını kullanmak veya kullanmaya çalışmak

Bilgisayarınızın “zombi” hale gelmesi, onun bir veya daha çok kişi tarafından sizin haberiniz olmadan kontrol edilmesi, örneğin istenmeyen e-postaların gönderilmesi veya İnternetteki diğer PC’lere saldırılar düzenlenmesi anlamına geliyor

Suçun Hedefi Olarak Bilgisayarlar;

Korunan verilerin gizliliğini ihlal etmek 

İzinsiz olarak bir bilgisayar sistemine erişmek 

Korunan bir bilgisayara dolandırmak için bilerek erişmek 

Korunan bir bilgisayara kasten erişmek ve bilerek veya dikkatsizce bir zarara sebep olmak 

Korunan bir bilgisayara kasten zarar veren bir programı, program kodunu veya bir komutu bilerek iletmek 

Korunan bir bilgisayara zarar vermek için tehdit etmek

Güvenlik Tehditlerinin Kaynakları: Şirketin İçindekiler; 

• Mevcut çalışanlar %35 

• Eski çalışanlar %30 

• Mevcut hizmet sağlayıcıları/ danışmanlar %18

• Eski hizmet sağlayıcıları/danışmanlar %15 

• Tedarikçiler/iş ortakları %13 

• Müşteriler %11

Farkındalık: İşletmenin tüm üyeleri çıkabilecek sorunlara karşı uyanık, eğitimli ve bilgi sahibi olmalıdır. İşletme çalışanlarını bilinçlendirmeye yönelik eğitimler bu kapsamdadır. Güvenlik konusunda tolerans olmadığı bilinmelidir.

Bilgi Güvenliği Yönetim Sistemi Standardı’nın 25.09.2013 tarihinde yeni sürümü yayınlandı. İkinci sürüm olan ISO/IEC 27001:2013 teknik olarak gözden geçirilerek ilk sürüm olan ISO/IEC 27001:2005’i iptal etmiş ve yerine geçmiştir

ISO/IEC 27000: BGYS Genel Bilgiler ve Tanımlar: Bilgi Güvenliği konusuna genel bir bakış açısı içeren standart, 46 anahtar tanım ve terimi açıklamaktadır. 

• ISO/IEC 27001: BGYS Gereksinimleri: Bilgi Güvenliği Standartları arasında çekirdek doküman hükmünde olan bu doküman Bilgi Güvenliği Yönetim Sistemi için gerekli olan gereksinimleri içermektedir. Dokümanın Ek kısmında da gerekli kontroller ve amaçları listelenmiştir. 

• ISO/IEC 27002: Uygulama Pratikleri ve Kontrolleri: 27001 EK-A kısmındaki kontrollerinin iyi uygulamaları için bir kılavuz görevi gören bu standart tamamlayıcı açıklamalar içermektedir. 

• ISO/IEC 27003 : BGYS Risk Yönetimi Uygulama Rehberi; bu standart Bilgi Güvenliği Yönetimi Sistemi’nin uygulanması için rehberlik etmeyi amaçlayan bir dizi resmi yeni standarttır. 

• ISO/IEC 27004: BGYS Etkinlik Ölçüm Rehberi 

• ISO/IEC 27005: BGYS Risk Yönetimi Rehberi 

• ISO/IEC 27006: BGSY Belgelendirme Kurumları için Rehber 

• ISO/IEC 27007: BGYS Denetim Rehberi 

• ISO/IEC 27011: Telekomünikasyon Kuruluşları için BGYS 

• ISO/IEC 27799: Sağlık Kuruluşları için BGYS Rehberi