Bilgi Sistemleri Güvenliği

Sınav İçin 50 Kritik Bilgi

Sınav İçin 50 Kritik Bilgi

Bu bölüm, Bilgi Sistemleri Güvenliği kitabının tamamı dikkate alınarak hazırlanmış tek sayfalık kritik tekrar özetidir. Amaç, sınav öncesinde mutlaka bilinmesi gereken ana kavramları toplu halde sunmaktır.

50 Kritik Bilgi

1. Bilgi güvenliği yönetimi yalnızca teknik ekip işi değildir; üst yönetim sahipliği gerekir.
2. Bilgi güvenliği politikası yazılı, onaylı, duyurulmuş ve düzenli gözden geçirilen belge olmalıdır.
3. Bilgi güvenliği kapsamındaki roller ve sorumluluklar yazılı ve açık olmalıdır.
4. Farkındalık ve eğitim çalışmaları periyodik olarak tekrar edilmelidir.
5. Bilgi güvenliğinde risk yönetimi; varlık, tehdit ve zafiyet ilişkisi üzerinden yürütülür.
6. Risk işleme seçenekleri genel olarak azaltma, engelleme, paylaşma ve kabul etmedir.
7. Bilgi güvenliği ihlali; bilgiye zarar veren veya zarar verme ihtimali yüksek olaydır.
8. Bilgi güvenliği yönetiminin değerlendirilmesinde politika, eğitim, risk ve ihlal kayıtları birlikte incelenir.
9. Değerlendirme sırasında mümkün olduğu kadar kanıt toplanmalıdır.
10. Varlık, kurum için potansiyel veya gerçek değeri olan her şeydir.
11. BT varlık yönetimi yalnızca envanter tutmak değil, yaşam döngüsünü yönetmektir.
12. Varlık yaşam döngüsü ihtiyaç ve talebin ortaya çıkmasıyla başlar.
13. Kabul ve test aşamasında varlığın ihtiyaç duyulan nitelikleri taşıyıp taşımadığı kontrol edilir.
14. Kabul sonrası varlık envantere alınır, sınıflandırılır, etiketlenir ve yapılandırılır.
15. Her varlık için bir sahip belirlenmelidir.
16. Varlık envanteri güncel tutulmalıdır.
17. Yazılım varlıklarında lisans durumu ve lisans bitiş tarihleri takip edilmelidir.
18. Varlıklar, işledikleri veya sakladıkları bilginin en yüksek kritiklik ve hassasiyet derecesine göre sınıflandırılmalıdır.
19. Kritik bilgi/veri, güvenlik zafiyeti halinde ciddi maddi, manevi veya hukuki sonuç doğurabilecek bilgidir.
20. Kritik varlık, kurumun hedeflerini gerçekleştirmede önemli etkisi olan varlıktır.
21. Sınıflandırma varlık sahibinin sorumluluğudur.
22. Etiketleme fark edilmesi kolay, tutarlı ve herkesçe anlaşılır şekilde yapılmalıdır.
23. Uygun kullanım kuralları yazılı, onaylı olmalı ve tüm ilgililere duyurulmalıdır.
24. Taşınabilir varlıklar özgül riskleri nedeniyle ilave kontrollerle korunmalıdır.
25. USB gibi taşınabilir ortamlar veri sızıntısı ve zararlı yazılım riski taşır.
26. Şifrelenmemiş USB kaybı, içindeki veriye yetkisiz erişime yol açabilir.
27. Fiziksel güvenliğin temel amacı yetkisiz fiziksel erişime ve çevresel etkilere karşı korumadır.
28. En iyi mantıksal erişim kontrolleri bile yetkisiz fiziksel erişim varsa devre dışı bırakılabilir.
29. Kritik bilgi sistemleri için güvenli alanlar oluşturulmalıdır.
30. Güvenli alanlara giriş-çıkış işlemlerinde kimlik doğrulama kullanılmalı ve kayıt tutulmalıdır.
31. Ziyaretçi giriş-çıkış prosedürü bulunmalı, gerekli durumlarda üçüncü taraf personele refakat edilmelidir.
32. Bilgi sistemleri elektrik gücü, sıcaklık ve nem açısından kontrollü ortama ihtiyaç duyar.
33. Çevresel tehdit örnekleri arasında deprem, sel, yangın, patlama, kimyasal dökülme ve elektromanyetik parazit bulunur.
34. Fiziksel ve çevresel güvenlik, elektrik gücü, iklimlendirme ve telekomünikasyon gibi destekleyici hizmetlere bağlıdır.
35. Ağın temel bileşenleri uç nokta cihazlar, bağlantı yazılımı, ağ donanımı, fiziksel iletim ortamı ve adresleme sistemidir.
36. Ağlar organizasyon amacına, topolojiye ve coğrafi ölçeğe göre sınıflandırılabilir.
37. OSI modeli 7 katmanlı, TCP/IP modeli 4 katmanlıdır.
38. TCP güvenilir ve sıralı iletim sağlar; UDP daha hafif ve hızlıdır.
39. İnternet katmanında IP ile mantıksal adresleme ve rota seçimi yapılır.
40. Ağ güvenliği zafiyeti itibar kaybı, gizlilik kaybı, bütünlük kaybı ve erişilememe riski doğurabilir.
41. Bilgi sistemleri altyapısı risk alanları; kullanıcılar, iş istasyonları, LAN, yerel/uzak arası alan, WAN, uzaktan erişim ve sistemler/uygulamalardır.
42. Sosyal mühendislik saldırıları insanı hedef alır.
43. Derinliğine savunma, saldırgan ile sistem arasında birden fazla savunma katmanı kurmaktır.
44. Genişliğine savunma, sistem/ağ/ürün yaşam döngüsünün her aşamasında ve farklı katmanlarda güvenliği hedefler.
45. Güvenlik duvarları, IDS/IPS, VPN ve NAC ağ güvenliğinin temel teknik kontrollerindendir.
46. Mantıksal erişim; kimlik tanımlama, kimlik doğrulama ve yetkilendirme ile kurulur.
47. MAC modelinde erişim kuralları merkezi olarak belirlenir; kullanıcı değiştiremez.
48. DAC modelinde nesne sahibi erişim kararını belirleyebilir.
49. En az yetki ilkesi, kullanıcıya görevini yapması için gereken en düşük erişim düzeyinin verilmesidir.
50. Görevler ayrılığı, riskli yetki ve görevlerin tek kişide toplanmasını önler.
51. İz kayıtları olayların takibi, analiz edilmesi ve gerektiğinde delil niteliği için önemlidir.
52. Loglarda asgari olarak işlem türü, işlemi yapan taraf ile tarih-saat bilgisi bulunmalıdır.
53. Log üreten ve toplayan sistemlerde NTP ile zaman uyumu sağlanmalıdır.
54. Hash bütünlük sağlar; dijital imza ve zaman damgası inkar edilemezliği destekler.
55. Simetrik şifreleme aynı anahtarla, asimetrik şifreleme açık ve özel anahtarla çalışır.
56. Açık anahtar altyapısı güvenli kimlik doğrulama ve sertifika yönetimini destekler.
57. Üçüncü taraf güvenliği başlama, sürdürme ve sonlandırma aşamalarında yönetilmelidir.
58. Üçüncü taraf ilişkisi sona erdiğinde erişimler kapatılmazsa risk devam eder.

Çalışma Notu:
Bu 50 bilgi, sınav öncesi hızlı tekrar için hazırlanmıştır. Özellikle tanım, karşılaştırma ve süreç mantığı içeren maddeler öncelikle ezberlenmelidir.