Gizlilik
Saklanan, iþleme tabi tutulan ya da aktarýlan her türlü bilginin, yalnýzca bilgiye eriþmeye ve kullanmaya yetkili kuruluþa ve/veya sahibine ait olmasýný saðlamak için korunmasý gerekir.
Eriþim kontrolünün pek çok þekli, temelde gizliliðin korunmasý hakkýndadýr. Þifreleme, bilginin gizli kalmasýný saðlayan bir kontrol örneðidir.
Kontroller, bilgi güvenlik yönetimi sisteminin her aþamasýnda uygulanabilir:
Fiziksel aþama (örneðin; kapýlarýn, muhafaza kaplarýnýn, kasalarýn kilitlenmesi); mantýksal aþama (örneðin; bir veri tabanýnda ayrý veri alanlarý, uygulamadaki veri, kâðýt halindeki belge). Her koþulda tehditler ve hassasiyetler tanýmlanmalý, iliþkili riskler deðerlendirilmeli ve bir kontrol sistemi seçilmeli, gerçekleþtirilmeli ve söz konusu bu risklere karþý koruma amacýyla uygulanmalýdýr.
Bütünlük
Saklanan, iþleme tabi tutulan ya da aktarýlan bilginin doðru ve eksiksiz olmasýnýn; doðru bir biçimde iþleme tabi tutulduðunun ve yetkisiz kiþilerce herhangi bir þekilde deðiþtirilmediðinin teyit edilmesi.
Ayrýca kuruluþ, olmasýný tasarladýðý að þebekelerinin ve bilgi sistemlerinin bütünlüðünü tesis etmeyi de isteyebilir. Bellek sürücüler ve diðer ortamlar ile iletiþim sistemleri de dahil olmak üzere pek çok veri iþlem aygýtýnýn veriyi bozmadýðýndan emin olmak için otomatik bütünlük kontrol etme araç gereçlerini içerir.
Bütünlük kontrolü; iþletim sistemlerinde, yazýlýmda ve uygulama programlarýnda veya iþleme alýnmýþ olan veride programlarýn bilerek ya da kazara bozulmasýný önlemesi bakýmýndan önemlidir. Bütünlük kontrollerinin; giriþ/çýkýþ veri geçerleme kontrolleri, kullanýcý eðitimi ve diðer iþletim türü kontrolleri gibi insandan kaynaklanan riskleri ya da hýrsýzlýk veya dolandýrýcýlýðý azaltmak için iþlem seviyesinde uygulanmasýna ihtiyaç vardýr.
Kullanýlabilirlik
bilgiyi kullanma yetkisi bulunan kuruluþ ya da kuruluþ içerisindeki kullanýcýlarýn, bilgiyi ne zaman ve nerede kullanmaya ya da iþleme tabi tutmaya ihtiyaç duyarlarsa bilgiye eriþmelerinin saðlanmasý.
bilginin kullanýlabilirliði, uygulamada bir kontrol sistemini gerektirir.
Örneðin; bilginin yedeklenmesi, kapasite planlamasý, sistem kabul prosedürleri ve kriterleri, ihlal olayý yönetimi prosedürleri, çýkarýlabilir bilgisayar ortamý yönetimi, bilgi iþlem prosedürleri, donaným bakýmý ve test edilmesi, sistem kullanýmýnýn izlenmesi prosedürleri ve iþ süreklilik prosedürleri.
Güvenlik ihlali olaylarýnýn izlenmesi, gözden geçirilmesi ve kontrol edilmesi, servis kademeleri, zamanýnda ve sürekli sistem performansý; kullanýlabilirliliðin saðlanmasýnda koruyucu bir kontrol mekanizmasý olabilir.
Hassas veya kritik bilgi
ISO/IEC 17799, hem kritik, hem de hassas bilgiye uygulanabilen bir dizi kontrolü tanýmlar. Hassas ya da kritik bilgi nedir ve hassas veya kritik bilgiyi nasýl fark ederiz? Taným, her kuruluþ için farklýdýr. Bazý tanýmlar, bireysel kuruluþlar kapsamýnda gerektiðinde bilginin hassas ya da kritik olarak, geriye kalan bilginin ise hassas ya da kritik olmayan þeklinde etiketlenebilmesi amacýyla bilginin deðerini ya da kullanýmýný ortaya k****k için yapýlabilir.
Bu kapsamda bir zaman unsuru da bulunmaktadýr. Örneðin; kuruluþun mali durumu, sermaye piyasasýna bilgi vermeden önce çok hassas olabilir, ancak bir kez rapor edildikten sonra hassasiyeti ortadan kalkar. Hassasiyet, veriye verilen sýnýflandýrma seviyesinde de görülmelidir.
Hassas ve kritik bilginin korunmasýndaki en önemli öðe, risk deðerlendirmesidir. Risk deðerlendirme sürecinin bölümü ISO 27001:2005 ve ISO/IEC 17799’in 4’üncü Maddesinde genel hatlarýyla; daha ayrýntýlý olarak da BS 7799-3:2005’te verilmiþtir ve söz konusu bölüm, uygun bir kontrol sistemi kullanýlarak, varlýklarý korumak için gerekli olan güvenlik seviyesi ve riskleri hesaplamak amacýyla bilgi varlýklarýnýn deðerlendirilmesini, tehditlerin ve hassasiyetlerin deðerlendirilmesini içerir.
Saygýlar..