Bilgi Güvenliği (IS), bilgileri bilgi edinme tesisindeki dış ve iç etkilerden korumak için bir dizi teknik ve uygulamadır.
Ib’nin temel amacı, onu işleyen bilgileri ve altyapıyı üçüncü şahıslara veri kaybına veya ihlaline karşı korumaktır.
Bilişim tesisinde bir İB sisteminin oluşturulması üç ilkeye dayanmaktadır.
Bilgi güvenliğini sağlamak
Ana
İlk ilke gizliliktir. Verilere erişim, “gerekli minimum farkındalık” kuralına göre sağlanır. Başka bir deyişle, kullanıcının yalnızca resmi görevlerini yerine getirmek için ihtiyaç duyduğu bilgilerin bir kısmına erişim hakkına sahip olması gerekir.
Bu prensibi yerine getirmenin yöntemlerinden biri verileri sıralamaktır (sınıflandırmaktır). Örneğin, bir kuruluş içinde bilgiler 3 türe ayrılır: halka açık, dahili ve kesinlikle gizli.
İkinci ilke bütünlüktür. Bilgiler değişikliklerden veya bozulmalardan korunmalıdır. Güvenilir iletişim kanalları üzerinden saklanmalı, işlenmeli ve iletilmelidir.
Kullanıcı düzeyinde bütünlüğü sağlamak için «yetkilerin sınırlandırılması» kuralını kullanırlar, yani herhangi bir değişiklik bir kullanıcı tarafından yapılırken, onaylama veya reddetme başka bir kullanıcı tarafından yapılır. Bilgi sistemindeki herhangi bir işlemin kaydedilmesi zorunludur.
Üçüncü ilke erişilebilirliktir. Bu, bilgilerin gerektiğinde kullanıcıya sunulması gerektiği anlamına gelir. İdeal seçenek 24*7*365 .
Bu madde sadece insan faktörünü değil, aynı zamanda doğal faktörü de (örneğin bir tsunami veya kasırga) içerir. Bilgi sistemi her koşulda erişilebilirliği sağlamalıdır.
Varlık
Bilgileri koruma aracı olarak aşağıdakiler kullanılır:
- Yasal olanlar. Bilgi edinme tesisinde, id’yi sağlamak için yönlendirilen özel belgeler geliştirilmektedir. Asıl mesele, korumanın temeline dayanan IS politikasıdır.
- Örgütseller. Bunlar, çalışanların işlerini (bilgisayarlar, UPS’ler vb.), veri merkezlerini (anahtarlama, veri depolama sistemleri, bilgi işlem gücü vb.), yedekliliği (yinelenen iletişim bağlantılarının oluşturulması, verilerin yedeklenmesi) içerir.
- Yazılım tabanlı. Çalışanların eylemlerini kontrol etmeye, bilgileri depolamaya ve verilere güvenilir erişim sağlamaya yardımcı olan yazılımlar.
- Teknikler. Bilgileri sızıntıya veya bilgisayar korsanlığına karşı koruyan özel ekipman. Örneğin şifreleme, iki adımlı kimlik doğrulama prosedürü, sanal çalışma ortamları vb.
Şirkette bilgi güvenliğinin sağlanması, güvenilir ve hataya dayanıklı bir sistem oluşturmaya yönelik entegre bir yaklaşımdan oluşur. Yukarıdaki noktaların herhangi bir bilgi edinme tesisinde uygulanması tavsiye edilmektedir.