Bilgi Sistemleri Güvenliği

Veri, İz Kayıtları, Kriptografi ve Üçüncü Taraf Güvenliği

Veri, İz Kayıtları, Kriptografi ve Üçüncü Taraf Güvenliği

Bilgi sistemleri güvenliğinde asıl korunmak istenen unsur çoğu zaman veridir. Sistemler, ağlar, uygulamalar ve erişim kontrolleri de büyük ölçüde veriyi korumak için vardır. Ancak verinin korunması yalnızca onu saklamakla sınırlı değildir. Verinin sınıflandırılması, yaşam döngüsü boyunca güvenli yönetilmesi, yapılan işlemlerin iz kayıtları ile takip edilmesi, bu kayıtların bozulmadan saklanması, kriptografik yöntemlerle gizlilik ve bütünlüğün sağlanması ve üçüncü taraflarla kurulan iletişimlerin güvenli biçimde yönetilmesi gerekir.

Kitabın bu bölümünde veri güvenliği, veri yaşam döngüsü, log kayıtları, saklama ve analiz yaklaşımı, syslog ve zaman damgası mantığı, şifreleme, hash, dijital imza, simetrik ve asimetrik şifreleme, açık anahtar altyapısı ile üçüncü taraflarla iletişim güvenliğinin başlama, sürdürme ve sonlandırma aşamaları birlikte ele alınmaktadır.

1) Veri Güvenliği Kavramı

Veri güvenliği, bilginin gizliliğinin, bütünlüğünün ve erişilebilirliğinin korunmasına yönelik teknik, idari ve operasyonel önlemler bütünüdür. Bilgi sistemleri güvenliği açısından veri merkezde yer alır; çünkü kaybolan, değiştirilen, ifşa olan veya erişilemeyen veri çoğu zaman kurum için en büyük zararı doğurur.

Bu nedenle veri güvenliği yalnızca depolama anını değil, verinin üretiminden imhasına kadar tüm süreçleri kapsayan bir yaklaşım olarak düşünülmelidir. Veri güvenliği sağlanmadığında yalnızca teknik sorunlar değil, hukuki, itibari ve operasyonel kayıplar da ortaya çıkar.

2) Veri Sınıflandırması

Veri sınıflandırması, farklı verilerin aynı düzeyde korunmaması gerektiği anlayışına dayanır. Her veri kuruma aynı değeri taşımaz. Bazı veriler genel nitelikteyken bazıları hassas, bazıları ise kritik olabilir. Bu nedenle verinin önem ve hassasiyetine göre sınıflandırılması gerekir.

Sınıflandırma sayesinde hangi veri için hangi erişim kuralının, hangi saklama yönteminin, hangi kriptografik kontrolün ve hangi paylaşım disiplininin uygulanacağı daha net belirlenebilir. Böylece veri güvenliği kaynakları daha doğru ve daha orantılı şekilde kullanılır.

3) Veri Yaşam Döngüsü

Kitaptaki yaklaşım gereği veriler için geçerli olan üretim, kullanım, saklama, taşınma ve imha süreçleri, iz kayıtları için de geçerlidir. Bu ifade veri güvenliğinin yaşam döngüsü mantığıyla ele alınması gerektiğini açıkça göstermektedir. Veri ilk oluşturulduğu andan itibaren işlenir, taşınır, saklanır, yedeklenir, paylaşılır ve sonunda imha edilir.

Her aşama farklı risk taşır. Üretim aşamasında yanlış veri oluşturma, kullanım aşamasında yetkisiz erişim, taşınma aşamasında sızıntı, saklama aşamasında bozulma veya imha aşamasında kalıntı bırakma gibi riskler bulunur. Bu nedenle veri güvenliği, yaşam döngüsünün her evresinde düşünülmelidir.

4) İz Kayıtları (Loglar) Nedir?

Kitapta iz kayıtları veya günlükler; bir kuruluşun sistemleri ve ağları içerisinde meydana gelen olaylara ilişkin kayıtlar olarak tanımlanmaktadır. Her bir satır, meydana gelen bir olaya ilişkin belirli bilgileri içerir. Aslen problem takibi için kullanılan log kayıtları, günümüzde çok daha geniş amaçlarla kullanılmakta; belirli şartlar altında hukuki süreçlerde kanıt değeri de taşıyabilmektedir.

Bilgi sistemlerinde yapılan her işlem, sürecin bir noktasında başarılı veya başarısız sonuç bilgisi, adres, port, tarih-saat ve fiziksel cihaz bilgileri gibi unsurlar içeren iz kayıtları üretebilir. Bu nedenle loglar, sistemlerin hafızası ve olay incelemesinin temel veri kaynağıdır.

5) Logların İçeriği

Kitapta BSY Tebliği uyarınca iz kayıtlarının asgari olarak yapılan işlemin türü ve niteliği, işlemi gerçekleştiren uygulama ve/veya kişi ile tarih ve saat bilgisini içermesi gerektiği belirtilmektedir. Buna ek olarak adres, port ve fiziksel cihaz bilgileri de loglara yansıyabilir.

Bu yaklaşım, logun yalnızca “olay oldu” kaydı olmadığını; olayın bağlamını açıklayan veri seti olduğunu gösterir. Yeterli içerik taşımayan loglar, olay incelemesinde veya korelasyon analizinde anlamlı sonuç üretmeyebilir.

6) Log Kaynakları Yönetimi

Kitapta loglara örnek olarak bilgisayar güvenlik kayıtları ve bina giriş-çıkış sistemi kayıtları verilmektedir. Ayrıca VTYS kapsamında bir iz kayıt envanteri bulunması, logların nasıl alındığı, nasıl güvenli saklandığı, kimlerin erişebildiği ve nasıl imha edildiğinin incelenmesi gerektiği belirtilmektedir.

Bu yaklaşım log kaynakları yönetiminin merkezi önemini gösterir. Log sadece sunucudan alınmaz; ağ cihazları, uygulamalar, güvenlik sistemleri, fiziksel erişim sistemleri ve diğer birçok kaynaktan üretilebilir. Bu farklı kaynakların düzenli ve kontrollü biçimde yönetilmesi gerekir.

7) Log Saklama Süreleri ve Saklama Yaklaşımı

Logların yalnızca üretilmesi değil, güvenli şekilde saklanması da gerekir. Kitapta yasal gereksinimin öğrenilmesi ve buna cevap veren kurumsal yaklaşımın incelenmesi gerektiği belirtilmektedir. Bu da saklama süresinin keyfi değil, mevzuat, iş ihtiyacı ve denetim gerekliliklerine göre belirlenmesi gerektiğini gösterir.

Log saklama yaklaşımı; kayıtların bütünlüğünün korunması, gerektiğinde erişilebilir olması, yetkisiz değişikliğe karşı korunması ve süresi dolduğunda kontrollü biçimde imha edilmesini içerir. Aksi halde loglar ya yetersiz süre tutulur ya da düzensiz biçimde birikir.

8) Zaman Damgası ve NTP

Kitapta iz kayıtlarına ilişkin en önemli noktalardan birinin, log üreten ve toplayan sistemlerde Ağ Zaman Protokolü (NTP) ile tarih ve zaman değerlerinin merkezi bir sistemden referans alınması olduğu açıkça belirtilmektedir. Bunun amacı tüm log zaman damgalarının birbiriyle uyumlu olmasını sağlamaktır.

Zaman uyumu bozuksa olay sıralaması yanlış anlaşılabilir, korelasyon analizi bozulabilir ve loglar delil değeri açısından zayıflayabilir. Bu nedenle log güvenliğinde zaman senkronizasyonu temel teknik gerekliliklerden biridir.

9) Syslog ve Standartlaştırma

Kitapta logların tek bir standart yapıya sahip olmadığı, her sistemin kendine özgü kayıt üretebildiği belirtilmektedir. Bu farklılığı azaltmak için syslog protokolünün geliştirildiği ve RFC 5424 ile log oluşturma/iletme konusunda standartlar ortaya çıktığı ifade edilmektedir.

Ayrıca syslog önem seviyeleri Emergency, Alert, Critical, Error, Warning, Notice, Informational ve Debug olarak sınıflandırılmaktadır. Bu sınıflandırma, logların önceliklendirilmesi ve bildirim mantığının kurulması açısından önemlidir.

10) Log Bütünlüğü, İnkar Edilememe ve Kanıt Niteliği

Kitapta logların oluşturulduktan kısa süre sonra bozulmasını, değiştirilmesini veya tahrip edilmesini önlemeye yönelik tedbirler alınabileceği belirtilmektedir. Bu işlemler hem dosyaların değişmediğini göstermek suretiyle bütünlük sağlar hem de inkar edilemezlik sağlayabilir.

Bunun yöntemleri arasında kriptografik yöntemlerle hash oluşturulması ve üçüncü taraflar kullanılarak dijital imzalama yapılması sayılmaktadır. Zaman damgası da bu bağlamda önemlidir. Böylece loglar yalnızca bilgi kaydı değil, güvenilir delil niteliği taşıyan kayıt haline gelir.

11) Kriptografi ve Şifreleme Kavramı

Kriptografi, verinin yetkisiz kişilerce anlaşılamayacak hale getirilmesi ve aynı zamanda bütünlük, kimlik doğrulama ve inkar edilememe gibi hedeflerin desteklenmesi için kullanılan yöntemler bütünüdür. Kitapta log bütünlüğü ve dijital imzalama bağlamında kriptografik kontrollerin doğrudan kullanıldığı görülmektedir.

Şifreleme, kriptografinin en bilinen uygulamasıdır. Ancak kriptografi yalnızca gizlilik aracı değildir; aynı zamanda verinin değişip değişmediğini anlamak, kaynağını doğrulamak ve işlemin inkârını zorlaştırmak için de kullanılır.

12) Kriptografik Özet (Hash)

Kitaptaki log bütünlüğü açıklamalarında hash değerinin oluşturulmasının yöntemlerden biri olduğu belirtilmektedir. Kriptografik özet, verinin sabit uzunlukta bir çıktıya dönüştürülmesidir ve temel işlevi bütünlük kontrolüdür.

Aynı veriden aynı hash çıkar, veri değişirse özet de değişir. Bu nedenle hash, verinin içerik olarak değişip değişmediğini görmek için kullanılır. Ancak hash tek başına gizlilik sağlamaz; bu fark sınav açısından önemlidir.

13) Simetrik ve Asimetrik Şifreleme

Simetrik şifrelemede şifreleme ve çözme için aynı anahtar kullanılır. Bu yöntem genellikle daha hızlıdır ve büyük veri setlerinde avantaj sağlar. Asimetrik şifrelemede ise açık anahtar ve özel anahtar olmak üzere iki farklı anahtar bulunur.

Asimetrik yapı, özellikle güvenli anahtar paylaşımı, dijital imza ve açık anahtar altyapısı içinde önem taşır. Simetrik yöntemler hız avantajı sunarken, asimetrik yöntemler anahtar yönetimi ve kimlik doğrulama açısından güçlüdür. Bu nedenle pratikte iki yaklaşım birlikte kullanılabilir.

14) Açık Anahtar Altyapısı (PKI)

Açık anahtar altyapısı, açık ve özel anahtar mantığını dijital sertifikalar ve güven zinciri ile yöneten yapıdır. Kitaptaki dijital imzalama ve zaman damgası vurgusu, üçüncü taraf güveni ve sertifika altyapısı ihtiyacını desteklemektedir.

PKI sayesinde bir anahtarın gerçekten ilgili kişiye ya da kuruma ait olduğu konusunda güven oluşturulur. Böylece dijital imza, güvenli iletişim ve kimlik doğrulama süreçleri daha sağlam temele oturur.

15) Kriptografik Kontrollerin Amaçları

Kriptografik kontroller yalnızca veriyi gizlemek için kullanılmaz. Aynı zamanda bütünlük, kimlik doğrulama, inkar edilememe ve güvenilir kayıt oluşturma amacı taşır. Kitaptaki log güvenliği anlatımı bunu açıkça göstermektedir.

Bu nedenle kriptografi, erişim güvenliğinin, veri güvenliğinin ve olay incelemesinin ortak destek araçlarından biridir. Kriptografik kontrol seçimi yapılırken, hangi güvenlik hedefinin sağlanmak istendiği doğru belirlenmelidir.

16) Üçüncü Taraflarla İletişim Güvenliği

Kitapta üçüncü taraflarla iletişim güvenliği ayrı ana başlık olarak yer almaktadır. Bu durum, güvenliğin yalnızca kurum içi sistemlerle sınırlı olmadığını gösterir. Kurum dışı hizmet sağlayıcılar, iş ortakları ve diğer dış taraflarla iletişim kurulurken veri güvenliği riski artar.

Çünkü veri kurum sınırının dışına taşabilir, farklı sistemlerde işlenebilir veya farklı erişim disiplinlerine maruz kalabilir. Bu nedenle üçüncü taraflarla iletişim güvenliği, sözleşmesel, teknik ve operasyonel önlemlerle birlikte ele alınmalıdır.

17) Başlama Aşaması

Üçüncü taraflarla iletişim güvenliğinde başlama aşaması, ilişkinin kurulmadan önce değerlendirilmesini ifade eder. Bu aşamada veri paylaşım ihtiyacı, risk düzeyi, erişim gereksinimi, yasal yükümlülükler ve sözleşmesel güvenlik hükümleri belirlenmelidir.

Başlangıç aşaması güçlü kurulmazsa sonraki aşamalarda kontrol eksiklikleri ortaya çıkar. Bu nedenle üçüncü tarafla ilişkinin ilk adımı, teknik bağlantı kurmadan önce güvenlik çerçevesi kurmaktır.

18) Sürdürme Aşaması

Üçüncü taraf ilişkisi başladıktan sonra güvenlik işi bitmez. İletişimin sürdürülmesi aşamasında erişimlerin izlenmesi, paylaşılan verilerin kapsamının kontrol edilmesi, logların takibi, şifreleme kullanımının devamı ve gerektiğinde denetim yapılması gerekir.

Bu aşama, kurulan güvenlik şartlarının gerçekten uygulanıp uygulanmadığını izleme dönemidir. Üçüncü taraf güvenliği ancak sürekli gözetimle anlamlı hale gelir.

19) Sonlandırma Aşaması

Üçüncü taraf ilişkisinin sona ermesi, güvenliğin bittiği değil; aksine son kritik kontrol aşamasının başladığı andır. Bu aşamada erişimlerin kaldırılması, hesapların kapatılması, anahtarların yenilenmesi veya iptali, paylaşılan verilerin geri alınması ya da güvenli imhası ve logların gerektiği şekilde saklanması önem taşır.

İlişki sonlandırıldığı halde erişimler açık kalırsa risk devam eder. Bu nedenle sonlandırma aşaması, üçüncü taraf güvenliğinin en çok gözden kaçırılan ama en kritik bölümlerinden biridir.

Final Özet (Sınavlık)

• Veri güvenliğinin amacı gizlilik, bütünlük ve erişilebilirliği korumaktır.
• Veri sınıflandırması koruma seviyesini belirlemek için yapılır.
• Veri yaşam döngüsü üretim, kullanım, saklama, taşınma ve imha aşamalarını kapsar.
• İz kayıtları olaylara ilişkin sistem ve ağ kayıtlarıdır.
• Loglarda işlem türü, işlemi yapan taraf, tarih ve saat bilgisi bulunmalıdır.
• Log güvenliğinde NTP ile zaman uyumu kritik önemdedir.
• Syslog, log oluşturma ve iletme için standart yaklaşım sağlar.
• Hash bütünlük sağlar; dijital imza ve zaman damgası inkar edilemezliği destekler.
• Simetrik şifreleme aynı anahtarla, asimetrik şifreleme açık ve özel anahtarla çalışır.
• Üçüncü taraf güvenliği başlama, sürdürme ve sonlandırma aşamalarında ele alınmalıdır.