Veri Güvenliğine Giriş
Veri güvenliği, verilerin veri ihlallerine, veri sızıntısına ve yetkisiz erişimine karşı korunmasıdır. Veri güvenliğinin arkasındakş odak, kişisel veya kurumsal verileri korurken gizliliği sağlamaktır. Veri saklandığı ortamlarda(web sunucusu, veritabanı sunucusu gibi), iletildiği ortamlarda(email, instant messenger, ftp v.b) ve kullanıldığı ortamlarda(kullanıcı bilgisayarı, taşınabilir bellekler vb) izlenmesi ve korunması gerekir.
Cumhurbaşkanlığının yayınladığı genelgeye göre kamu kurum ve kuruluşlarının verilerinin ülke içerisinde tutulması gerekiyor.
Veri Güvenliğinin boyutları
Yazılım veya uygulamalara ait verilerin güvenli bir ortamda yürütülebilmesi için;
- gizlilik,
- yetkilendirme ve
- kabul edilebilirlik
gibi şartların yerine getirilmesi gerekir.
Güvenli Veri Depolama
Veri güvenliği, kaydedilmiş verinin dış tehditlerden ve saldırılardan korunması işlemidir.
Güvenli Veri Depolamaya İlişkin Saldırı ve Tehditler
1- Hırsızlık ve Dolandırıcılık
Kurumun sahip olduğu verilere erişim hakkı olmayan kişilerin(kurum içi veya dışından) veritabanına ulaşarak sistemdeki verileri çalması ve bunu farklı amaçlar için kullanmak istemesidir.
2- Güvenilirlik
Yetkisiz bir kişinin kurumun politikaları ve stratejileri gibi bilgi ve belgeleri içeren verilere ulaşması ve sistemin güvenilirliğini kaybetmesidir.
3- Gizlilik
Yetkisiz bir kişinin kurumun veritabanındaki verilere ve bilgilere ulaşması, kuruma ait önemli bilgilerin başkalarının eline geçmesi ve gizliliğini kaybetmesidir.
4- Bütünlük
Bir virüsün kuruma ait bilgi ve iletilim teknolojisi sistemindeki verilerin ve veritabanının bütünlüğünü bozarak, bazı veri kayıplarına neden olması ve donanım birimlerinin işlevlerini engellemesidir.
5- Varoluş
Bombalama, su baskını ve yangun gibi çeşitli unsurların sistemin varlığımı tehlikeye düşürmesi ve verilerin yok olmasına neden olacak felaketlerle karşı karşıya kalmasıdır.
Güvenli Veri Depolama: Tehdit ve Saldırılara Karşı Önlemler
1- Bilgisayar tabanlı önlemler
İşletim sistemleri, bilgi ve iletişim teknolojisi sistemleri ve veritabanı sistemleri gibi yazılımların-uygulamaların anahtar teknolojilerine yönelik uygun yetkilendirme stratejisinin uygulanmasını içerir.
Bu yetkilendirme ve stratejileri şu şekilde sıralayabiliriz:
- Kullanıcı adı ve şifresi
- E-imza
- Sertifika
- Onay kodu
2- Bilgisayar tabanlı olmayan önlemler
Güvenlik, kurumlar için teknolohik olmaktan daha önemli bir unsurdur. Bundan dolayı, bilgisayar tbanlı olmayan önlemlerinde alınması gerekir. Bu önlemler;
- Kuruma ait bir güvenlik politikasının ve planını olması gerekli kontrol noktalarına bir güvenlik personelinin yerleştirilmesi,
- Bilgisayar donanımının güvenli ortamlarda ve fiziki erişimi mümkün yerlerde bulundurulması,
- Web sitesi dışında yazılım ve verilerin kopyalarının güvenliğinin sağlanması gibi önlemlerden oluşur.
Veri İşlemlerinde Güvenlik
Kurumlar arasında her geçen güb artan veri trafiği, elektronik ortamda gerçekleştirilen işlemlerin güvenirliği konusunda gündeme getirmiştir. Özellikle internet ortamında gerçekleştirilen işlemlerde verilerin transfeinde gizlilik ve yetkilendirme ön plana çıkmaktadır.
Bu tür işlemlerde veri güvenliği için;
- Şifreleme,
- Dijital imzalar(e-imza) ve sertifikalar,
- Güvenlik duvarları
- Tünelleme teknolojisi etkin teknolojilerdir.
Bir veritabanında güvenliğin sağlanması için verştabanı işlemlerşnde tüm adımlarda güvenliğin sağlanması gerekir.
Bu kapsamda veritabanı güvenlik parametreleri:
- Fiziksel güvenliğin sağlanması
- Ağ erişim kontrolü
- Sürüm ve yama kontrolü
- İşletim sistemi yapılandırmaları
- Listener servisi yapılandırmaları
- Kimlik doğrulama yapılandırmaları
- Yetkilendirme yapılandırmaları
- Denetleme yapılandırmaları
Kurumlara ve kişilere ait hassas verilere erişim güvenlik ve yasal gereksinimler çerçevesinde bazı ulusal ve uluslararası standartlar ve yönetmenlikler oluşturulmuştur.
Bu standartlar ve yönetmeliklerden bazıları şunlardır:
- BDDK & CıBIT
- PCI & DSS
- SOX & BASEL-II
- HIPAA