Bilgi Güvenliği Kontrol Tipleri
Bilgi güvenliği ilkeleri oluşturulurken uygulanacağı alanda ve kapsamda olabildiğince fazla noktayı kontrol ederek mevcutta veya gelecekte oluşabilecek zafiyetleri gidermeye ve makul bir güvenlik seviyesi sağlayarak yapılacak işleri engellemeden, güvenlik bakış açısı ile iş sürekliliğine destek olmaktadır.
Bilgi güvenliği kontrolleri uygulanacağı alan iş alanı/sektör bazında değişebilir. Bir hastane, okul, banka, devlet kurumu, nükleer santral veya elektronik ticaret kuruluşu farklı güvenlik kontrollerine ihtiyaç duyacaktır. Bu sektörlerin içinde de bilgi güvenliği kapsamını belirlemek ayrı bir süreçtir. Bu kapsam kuruluşun Bilgi Teknolojileri birimi, üretim alanı veya kuruluşun tüm birimlerini kapsayacak şekilde yapılandırılma ihtiyacı içinde olabilir.
İhtiyaç duyulan bilgi güvenliği kontrolleri farklılık göstermekle birlikte aşağıda sıralanmış olan amaçlar doğrultusunda oluşturulmuş veya kontrol noktası olarak eklenmiştir. Örneğin, fiziksel güvenlik ile ilgili bir kontrol olan “duvar/ çit / tel-örgü” gibi önlemlerin amacı korunacak bölge ile dış dünya arasında bir sınır belirlemektir. Bu sınır kontrolü hem caydırıcı hem de önleyici bir kontrol kategorisi altında yer almaktadır. Diğer güvenlik kontrolleri de bu genel amaçlar ile kurgulanmış ve ortaya çıkartılmıştır.
- İdari Kontrol (Administrative Controls)
- Teknik Kontrol (Technical Controls)
- Fiziksel Kontroller (Physical Controls)
- Caydırıcı Kontroller (Deterrent Controls)
- Önleyici Kontroller (Preventive Controls)
- Tespit Edici/Dedektif Kontroller (Detective Controls)
- Telafi Edici Kontroller (Compensation Controls)
- Düzeltici Kontroller (Corrective Controls)
- Kurtarma Kontrolleri (Recovery Controls)
- Direktif Kontroller (Directive Controls)
İdari Kontrol (Administrative Controls)
İdari kontroller, bir kuruluşun yönetimi tarafından işlerin nasıl yapılmasının beklendiğine dair bir niyet mektubudur, kuruluşun tanımladığı ve çalışanların uymalarını istedikleri politika ve prosedürlerdir.
İdari kontroller oluşturulurken kuruluşun uymakla yükümlü olduğu yasal, mevzuatsal, düzenleyici ve sözleşmesel şartlar da kurum politikalarında yer alırlar.
Teknik Kontrol (Technical Controls)
Teknik veya mantıksal kontroller, idari kontrollerin ışık tuttuğu yönde, kurumun iş stratejilerine uygun olarak geliştirilmiş bilgi teknolojileri altyapı ve sistemlerinin kurulum ve kullanım prensiplerini belirlemeye yardımcı olur. İdari kontroller ile çalışanlar ve 3. taraflarca uyulması gereken güvenlik şartları ilgili taraflara iletildiğinde, bu şartlara uyulmaması veya yanlışlıkla da olsa oluşabilecek hataların önüne geçilebilmesi için teknik olarak da istenen güvenlik şartlarının sağlanması için çalışma yapılmalıdır, çalışan bilinçli olarak istese dahi alınan teknik güvenlik önlemi onu engellemelidir. Teknik kontrollerin uygulanması ile kötü niyet veya hata sonucu oluşabilecek güvenlik riskleri en aza indirilmiş olacaktır. Teknik Kontroller, kaynaklar ve sistemlerde koruma sağlamak için adından da anlaşılacağı gibi teknolojiyi kullanır.
Mantıksal veya teknik kontrollere örnek olarak şifreleme, akıllı kartlar, şifreler, biyometrikler, kısıtlı ara yüzler, erişim kontrol listeleri (ACL’ler), protokoller, güvenlik duvarları, yönlendiriciler ve saldırı tespit sistemleri dahildir.
Teknik kontroller oluşturulurken kuruluşun uymakla yükümlü olduğu yasal, mevzuatsal, düzenleyici ve sözleşmesel şartlar da tasarım ve işletim adımlarında yer almalılar.
Fiziksel Kontroller (Physical Controls)
Fiziksel erişim kontrolleri, öncelikli olarak kuruluşun kapsamına giren coğrafi alanlarda, çalışma lokasyonlarında sınırların belirlenmesi ve bu sınırların dışından veya içinden gelebilecek tehditleri engellemek için uygulanan somut güvenlik önlemleridir. Fiziksel koruma yöntemleri planlanırken ve uygulanırken idari ve teknik tedbirlerden de destek alınır.
Fiziksel erişim kontrollerine örnekler arasında; Güvenlik görevlileri, çitler, hareket detektörleri, kilitli kapılar, kapalı pencereler, ışıklar, kablo koruma, dizüstü bilgisayar kilitleri, kasa, kilitli çanta, kimlik kartları, bekçi köpekleri, video kameraları, man-trap kapılar ve alarmlar sayılabilir.
Fiziksel kontroller oluşturulurken kuruluşun uymakla yükümlü olduğu yasal, mevzuatsal, düzenleyici ve sözleşmesel şartlar da tasarım ve işletim adımlarında yer almalılar.
Caydırıcı Kontroller (Deterrent Controls)
Caydırıcı Kontroller, kurumlarda koruma altına alınmış varlıklara karşı oluşabilecek kötü niyetli tehditleri oluşmadan engellemek ve alınmış güvenlik tedbirlerinin ihlal edilmesini önlemek amacıyla uygulanan güvenlik tedbirleridir.
Caydırıcı ve önleyici kontroller benzerdir, ancak caydırıcı kontroller çoğunlukla bireylere bağlıdır ve bireylerden gelebilecek istenmeyen bir hareketin vazgeçirilmesine bireyin karar vermesini sağlamak amacıyla kullanılır. Bazı Caydırıcı Kontrol örnekleri; Politikalar, güvenlik bilinci/eğitimi, kilitler, yüksek çitler/duvarlar, güvenlik uyarı tabelaları, muhafızlar ve güvenlik kameralarıdır.
Önleyici Kontroller (Preventive Controls)
İstenmeyen veya yetkisiz olayların engellenmesi veya durdurulması için önleyici erişim denetimleri devreye sokulur. Önleyici kontroller için farklı diğer kontroller bir arada kullanılarak istenen güvenlik düzeyi sağlanabilir.
Önleyici kontrollere verilebilecek örnekler arasında; Çitler, kilitler, biyometri, aydınlatma, alarm sistemleri, görev ayrılığı, iş rotasyonu, veri sınıflandırması, penetrasyon testi, erişim kontrol yöntemleri, şifreleme, denetim, güvenlik kameralarının varlığı veya CCTV, akıllı kartlar, geri arama prosedürleri, güvenlik politikaları, güvenlik farkındalığı eğitimi, anti virüs yazılımı, güvenlik duvarları ve saldırı önleme sistemleri bulunur.
Tespit Edici/Dedektif Kontroller (Detective Controls)
İstenmeyen veya yetkisiz bilgi güvenliği ihlal etkinliklerin tespit edilmesi için Dedektif Kontroller devreye alınır. Bir ihlal’in önlenebilmesi veya ihlal’in tespit edilebilmesi ve gerekli alarm mekanizmalarının kurulabilmesi için Tespit Edici Kontroller’den faydalanılır.
Dedektif kontroller olay ardından çalışır ve ihlal etkinliğini ancak meydana geldikten sonra keşfedebilir. Güvenlik görevlileri, hareket detektörleri, güvenlik kameraları veya CCTV tarafından çekilen olayların kaydedilmesi ve gözden geçirilmesi, iş rotasyonu, zorunlu tatiller, denetim yolları, tuzak sistemler, IDS’ler (saldırı tespit sistemleri), ihlal raporları, denetim kullanıcıların ihbarları ve olay incelemeleri Dedektif Kontrollere örnek olarak verilebilir.
Telafi Edici Kontroller (Compensation Controls)
Telefi Edici Kontroller, kurumdaki bir bilgi varlığını korumak için mevcutta uygulanmış bilgi güvenliği tedbirlerine ek olarak yeni güvenlik önlemlerinin eklenmesiyle risk’in azaltılmasıdır.
Örneğin bir veri tabanında kriptolanmış olarak saklanan kişisel veriler, şirket ağı üzerinden başka bir yere transfer edilirken şifresiz/açık şekilde gönderiliyor ise, verilerin transfer sırasında da korunması için Telafi Edici Kontroller eklenmelidir.
Düzeltici Kontroller (Corrective Controls)
Düzeltici Kontroller, kuruluşun bilgi sistemlerinde istenmeyen bir olay veya güvenlik ihlal olayı gerçekleştikten sonra, bilgi sistemlerini eski/sağlıklı çalışır hale getirmek için uygulanması gereken planlamalardan ve kontrollerden oluşur.
Bazı durumlarda, sistemlerde bir anormal durum veya kaynağı belirsiz bir bilgi güvenliği olayı tespit edildiğinde, o sistemi geçici olarak kapatarak analiz için zaman kazanmak da geçici bir çözüm ve Düzeltici Kontrol olarak değerlendirilmelidir.
Kurtarma Kontrolleri (Recovery Controls)
Kurtarma kontrolleri, kuruluşta uygulanan düzeltici kontrollerin bir uzantısıdır, ancak düzeltici kontrollere göre yetenekleri daha gelişmiş ve karmaşıktır. Operasyonel güvenlik, iş sürekliliği, felaket kurtarma yöntemleri, yedekler, RAID disk sistemleri, sistem izleme, sunucu kümeleme, virüsten koruma yazılımı, veritabanı veya sanal makine yedekleme seçenekleri Kurtarma Kontrollerine örnek olarak gösterilebilir.
Direktif Kontroller (Directive Controls)
Direktif Kontroller, kuruluştaki bilgi güvenliği ile ilgili konularda, yasal, mevzuatsal, düzenleyici, sözleşmesel ve kuruluş politikalarına uyumu zorlamak veya teşvik etmek amacıyla yapılacak aktiviteleri yönlendirmek, sınırlandırmak veya kontrol altında tutmak amaçlarıyla planlanan ve uygulanan yöntemlerdir.
Üst Yönetim’in yayınladığı uyum konusundaki destek mesajları, güvenlik görevlileri, bekçi köpekleri, bilgi güvenliği politikası, bildirimler, kaçış yolu çıkış işaretleri, izleme, denetleme, görev prosedürleri ve farkındalık eğitimi Direktif Kontrollerine örnek olarak gösterilebilir.
Güvenlik kontrolleri, uygulanma yöntemlerine göre de ana bölümlere ayrılabilir.
Bu kategoriler; Yönetimsel, Mantıksal/Teknik veya Fizikseldir.
Tablo 1: Güvenlik Kontrol Tipleri Sınıflandırma Tablosu |
|||
---|---|---|---|
İdari | Teknik | Fiziksel | |
Yönlendirici | Politika | Konfigürasyon Standartları | Işıklar
Sadece Yetkili Personel Tabelaları |
Caydırıcı | Politika | Uyarı Afişi | Köpek Var İşareti |
Koruyucu | Kullanıcı Kayıt Prosedürü | Şifreli Giriş/Login | Çit |
Tespit Edici | İhlal Raporlarının İncelenmesi | Denetim İzleri | CCTV
Bekçi |
Düzeltici | Sonlandırma | Bağlantının çıkartılması, izole edilmesi veya sonlandırılması | Yangın söndürücü |
Geri Kazanıcı | ODM Planı | Yedekler | Yeniden inşa etme |
Telafi Edici | Denetim
Rotasyon Denetim İzleri |
CCTV
Tuş hareketlerinin kaydı |
Katmanlı savunma |