Varlık Güvenliği: Bilgi Güvenliğinin Temel Taşı
Bilgi güvenliği, organizasyonlar için kritik bir öneme sahip olup, varlık güvenliği de bu sürecin en önemli bileşenlerinden biridir. Varlık güvenliği, organizasyonun sahip olduğu tüm bilgi ve verilerin korunmasını ve bu varlıkların yönetimini içerir. Bu blog yazısında, CISSP (Certified Information Systems Security Professional) sertifikasyonunun ikinci alanı olan Varlık Güvenliği’ni detaylı bir şekilde ele alacağız.
Varlık Güvenliği Nedir?
Varlık güvenliği, bir organizasyonun sahip olduğu varlıkların korunmasını sağlar. Bu varlıklar, fiziksel varlıklar, bilgi varlıkları ve entelektüel varlıklar gibi çeşitli kategorilere ayrılabilir. Varlık güvenliği, varlıkların sınıflandırılması, korunması, saklanması ve gerektiğinde imha edilmesini içerir.
Varlık Sınıflandırması
Varlıkların doğru bir şekilde sınıflandırılması, güvenlik kontrollerinin etkin bir şekilde uygulanabilmesi için kritiktir. Varlıklar, genellikle gizlilik derecelerine göre sınıflandırılır. Bu sınıflandırma, varlığın ne kadar önemli olduğunu ve korunması için hangi güvenlik önlemlerinin alınması gerektiğini belirler.
- Gizli (Top Secret): Çok hassas bilgiler içerir ve sadece yetkili kişiler tarafından erişilebilir.
- Gizli (Secret): Hassas bilgiler içerir, yetkisiz erişim ciddi zararlara neden olabilir.
- Gizli (Confidential): Yetkisiz erişim işletmeye zarar verebilir, ancak ulusal güvenliği tehdit etmez.
- Halka Açık (Unclassified/Public): Erişime açık, halka açık bilgiler.
Veri Saklama Politikaları ve Süreleri
Veri saklama politikaları, organizasyonların verileri ne kadar süreyle saklamaları gerektiğini belirler. Bu politikalar, yasal gereklilikler, iş gereksinimleri ve bilgi güvenliği ihtiyaçlarına göre şekillenir.
- İş Belgeleri: 7 yıl saklanır.
- Faturalar: 5 yıl saklanır.
- İnsan Kaynakları: İşe alınan çalışanlar için 7 yıl, işe alınmayanlar için 3 yıl saklanır.
- Yasal Yazışmalar: Kalıcı olarak saklanır.
Veri Güvenliği Kontrolleri
Veri güvenliği, verinin nerede ve nasıl saklandığına, nasıl aktarıldığına ve nasıl kullanıldığına bağlı olarak çeşitli güvenlik kontrolleri gerektirir.
- Veri Kullanımda (Data in Use): Veri kullanılmakta iken uygulanan güvenlik önlemleri.
- Veri Dinlenmede (Data at Rest): Dinlenme halindeki verinin korunması, genellikle şifreleme ile sağlanır.
- Veri Hareket Halinde (Data in Motion): Veri transferi sırasında uygulanan güvenlik önlemleri, genellikle güvenli protokollerle sağlanır.
Veri Sahipliği ve Yönetimi
Veri sahipliği, bir organizasyonun veri varlıklarının yönetiminden ve korunmasından kimin sorumlu olduğunu belirler. Veri sahipliği, çeşitli roller ve sorumluluklar içerir:
- Veri Sahibi (Data Owner): Verinin ilk sorumlusu, verinin sınıflandırılması ve korunması için standartları belirler.
- Veri Sorumlusu (Data Custodian): Verinin günlük yönetiminden sorumludur, yedekleme ve geri yükleme işlemleri gibi teknik görevleri yerine getirir.
- Sistem Sahipleri (System Owners): Güvenlik kontrollerinin uygulanmasından sorumludur.
- Kullanıcılar (End Users): Veriyi kullanan kişiler, güvenlik politikalarına ve prosedürlerine uymak zorundadır.
Veri Kalıcılığı ve İmha
Veri kalıcılığı, verilerin kalıcı olarak silinmesini ve imha edilmesini sağlar. Bu süreç, verilerin geri alınamayacak şekilde silinmesini içerir.
- Temizleme (Sanitization): Verilerin tamamen silinmesi.
- Manyetik Alan Silme (Degaussing): Manyetik ortamda bulunan verilerin silinmesi.
- Silme (Erasing): Verilerin fiziksel ortamdan silinmesi.
- Üzerine Yazma (Overwriting): Verilerin üzerine yeni verilerin yazılması.
- Fiziksel İmha (Physical Destruction): Verilerin bulunduğu fiziksel ortamın yok edilmesi.
Güvenlik Politikaları, Standartlar ve Rehberler
Güvenlik politikaları, bir organizasyonun bilgi güvenliği ile ilgili olarak uyulması gereken kuralları ve yönergeleri belirler. Bu politikalar, çeşitli kategorilere ayrılır:
- Yasal (Regulatory): Yasal gereksinimlere dayalı politikalar.
- Danışmanlık (Advisory): Tavsiye niteliğinde, zorunlu olmayan ancak uyulması önerilen politikalar.
- Bilişim (Informational): Bilgi işleme ve güvenliği ile ilgili en iyi uygulamaları belirleyen politikalar.
Standartlar
NIST (National Institute of Standards and Technology) ve FIPS (Federal Information Processing Standards) gibi standartlar, bilgi güvenliği için rehberlik sağlar. Bu standartlar, güvenlik kontrollerinin uygulanması ve bilgi güvenliği yönetimi için temel referansları sunar.
Sonuç
Varlık güvenliği, bilgi güvenliğinin temel taşlarından biridir ve organizasyonların bilgi varlıklarını korumak için kritik bir rol oynar. Bu yazıda ele alınan varlık sınıflandırması, veri saklama politikaları, veri güvenliği kontrolleri ve güvenlik politikaları gibi konular, varlık güvenliğinin nasıl sağlanabileceğine dair kapsamlı bir rehber sunmaktadır.
CISSP sertifikasyonu, bilgi güvenliği profesyonellerinin bu konuları anlamalarını ve etkin bir şekilde uygulamalarını sağlar. Güçlü bir varlık güvenliği yönetimi, organizasyonların bilgi varlıklarını korumalarını ve yasal gereksinimlere uyum sağlamalarını sağlar.
Küçükbakkalköy Mah. Dudullu Cad. Brandium R2 Blok No: 23-25B İç Kapı No: 223 Ataşehir/İstanbul