Confidentiality, Integrity and Availability

Confidentiality(gizlilik), Integrity(bütünlük) ve Availability(kullanılabilirlik) modeli bilgi güvenliği politikalarına rehberlik etmek için tasarlanmıştır. 

Bu 3 ana madde bilgi güvenliğinin en önemli unsurlarıdır diyebiliriz. Makalenin devamında daha geniş ele alacağız ama kısa bir özet geçmek gerekirse;

  • Confidentiality, bilgiye erişimi sınırlayan bir dizi kuraldır.
  • Integrity, bilginin güvenilir ve doğru olduğunun güvencesidir.
  • Availability, yetkili kişilerin bilgiye güvenilir bir şekilde erişmesinin garantisidir.

Confidentiality (Gizlilik)

Gizlilik, kabaca mahremiyete eşittir. Gizliliğin sağlanması için alınan önlemler, hassas bilgilerin yanlış kişilere ulaşmasını önlemek amacıyla tasarlanmıştır. Bilgiye erişim sadece yetkilendirilmiş kişilerce sınırlandırılmalıdır. Verilerin istenmeyen ellere düşmesi durumunda yapılabilecek hasarın miktarına ve türüne göre kategorilere ayrılması gerekmektedir. Aşağı yukarı bu kategorilere göre daha sıkı tedbirler uygulanabilir.

Bazen veri gizliliğini korumak, söz konusu belgelere erişim için özel eğitim gerektirebilmektedir. Bu gibi eğitimler genellikle bilgileri tehdit edebilecek güvenlik risklerini içerecektir. Eğitimler, yetkili kişilerin risk faktörlerini öğrenmesini ve nasıl önlem alması gerektiği hakkında yardımcı olabilmektedir. Eğitimin diğer yönleri arasında güçlü şifreler, şifre ile ilgili uygulamalar ve sosyal mühendislik yöntemleri hakkında bilgiler yer alabilir.

Gizliliği sağlamak için kullanılan yöntemlere iyi bir örnek vermek gerekirse, internet bankacılığı yaparken hesap numarası veya yönlendirme numarasıdır. Data encryption(veri şifreleme), gizliliği sağlamak için yaygın bir yöntemdir. Kullanıcı kimlikleri ve şifreler standart bir prosedür oluşturur. Diğer seçenekler arasında biyometrik doğrulama ve güvenlik belirteçleri bulunur. Aşırı hassas belgeler, bağlantısı kesilmiş depolama aygıtlarında veya yalnızca basılı kopya formunda ek önlemler alınabilir.

Integrity (Bütünlük)

Bütünlük, verilerin tüm yaşam döngüsü boyunca tutarlılığını, doğruluğunu ve güvenilirliğini korumayı içerir. Veriler transit geçiş sırasında değiştirilmemeli ve verilerin yetkisiz kişilerce değiştirilememesini sağlamak için (confidentiality ihlalinde) adımlar atılmalıdır. Bu adımlar, dosya izinleri ve kullanıcı erişim denetimlerini içerir. Ek olarak, elektromanyetik darbe (EMP) veya sunucu çökmesi gibi insan kaynaklı olmayan olayların bir sonucu olarak ortaya çıkabilen verideki değişiklikleri tespit etmek için bazı tool lar mutlaka olmalıdır. Bazı veriler, bütünlüğün doğrulanması için checksum, hatta cryptographic checksums içerebilir. Etkilenen verilerin eski haline getirilebilmesi için backup kesinlikle olmalıdır.

Availability (Kullanılabilirlik)

Kullanılabilirlik, tüm donanımın titizlikle korunması, gerekli olduğunda donanım onarımlarının gerçekleştirilmesi ve yazılım çakışmalarının olmadığı, çalışan bir işletim sistemi ortamının yaratılmasıyla sağlanır. Gerekli tüm sistem güncellemeleri ile sistemler güncel tutulmalıdır. Yeterli bandwith olması ve bottleneck(darboğaz analizi) engellenmeside oldukça önemlidir. Donanımsal problemler olduğunda  Backup, Failover, RAID gibi parametreler varsa problemin şiddeti hafifletilebilir. Firewall, proxy server gibi ek güvenlik ekipmanları, denial-of-service (DoS) saldırıları veya ağ saldırıları gibi kötü niyetli eylemlere karşı koruma sağlayabilir.

Kaynak