Bilgi Güvenliği Nedir ve Nasıl Sınıflandırılır

Bilgi iletişim teknolojilerinde en kritik konu bilgi güvenliğidir. Fakat bu konu o kadar geniş ve derindir ki, kendi alt başlıkları arasında bile birçok ihtisas alanına bölünür. Alt başlıkların muhtevaları da o kadar iç içe geçmiştir ki, çoğu kez karıştırılır. Sizin için bilgi güvenliği alanında yolunuzu bulmanızı kolaylaştıracak bir haritayı derledik.

 

Bilgi güvenliÄŸi, bir varlık türü olarak bilginin izinsiz veya yetkisiz bir biçimde eriÅŸim, kullanım, deÄŸiÅŸtirilme, ifÅŸa edilme, ortadan kaldırılma, el deÄŸiÅŸtirme ve hasar verilmesini önlemek olarak tanımlanır ve “gizlilik”, “bütünlük” ve “eriÅŸilebilirlik” olarak isimlendirilen üç temel unsurdan meydana gelir. Bu üç temel güvenlik öğesinden herhangi biri zarar görürse güvenlik zaafiyeti oluÅŸur.

  • Gizlilik: Bilginin yetkisiz kiÅŸilerin eline geçmeme ve yetkisiz eriÅŸime karşı korunmasıdır.
  • Bütünlük: Bilginin yetkisiz kiÅŸiler tarafından deÄŸiÅŸtirilmemesidir.
  • EriÅŸilebilirlik: Bilginin yetkili kiÅŸilerce ihtiyaç duyulduÄŸunda ulaşılabilir ve kullanılabilir durumda olmasıdır.

 

Bilgi güvenliği alanına odaklanmış bir araştırma firması olan Securosis şimdiye kadar oldukça dağınık olan ve çoğu kez birbirine karıştırılan bilgi güvenliği konusunu etraflıca detaylandırmış. Ortaya çıkan bu sınıflandırmaya göre bilgi güvenliği:

  • aÄŸ güvenliÄŸi (network security)
  • uç/son nokta/kullanıcı güvenliÄŸi (endpoint security)
  • veri güvenliÄŸi (data security)
  • uygulama güvenliÄŸi (application security)
  • kimlik ve eriÅŸim yönetimi (identity and access management)
  • güvenlik yönetimi (security management)
  • sanallaÅŸtırma ve bulut (virtualization and cloud)

olarak 7 genel kategoriye ayrılıyor ve ardından bu kategoriler de toplamda tam 32 alt başlığa bölünüyor:

 

1.) Ağ Güvenliği (Network Security) 6 alt başlığa ayrılır:

  • İçerik GüvenliÄŸi (Content Security)
    • E-Posta
    • Web
  • Çevresel Savunma (Perimeter Defense)
    • Firewall/VPN (Güvenlik Duvarı / Sanal Özel AÄŸ)
    • IPS (Saldırı Önleme Sistemi (Intrusion Prevention System))
    • UTM (BirleÅŸtirilmiÅŸ Tehdit Yönetimi (Unified Threat Management))
  • NAC (Network Access Control)
  • Wireless (Kablosuz)
  • Ä°zleme (Monitoring)
    • NBA/NAD
    • Adli (Forensics)
  • Yönetilir Servisler (Managed Services)
    • Ä°zleme (Monitoring)
    • Yönetim (Management)

 

2.) Uç/Son Nokta/Kullanıcı Güvenliği (Endpoint Security) 5 alt başlığa ayrılır:

  • Uç/Son Nokta/Kullanıcı Savunması (Endpoint Defense)
    • Anti-Malware
    • Ana Bilgisayar Güvenlik Duvarı (Host Firewall)
    • Ana Bilgisayar Tabanlı Saldırı Önleme Sistemi (HIPS)
    • Uygulamalar İçin Beyaz Listeleme (Application Whitelisting)
  • Disk Åžifreleme (Disk Encryption)
  • Cihaz Kontrolü (Device Control)
  • Mobil Güvenlik (Mobile Security)
  • Uzaktan EriÅŸim / VPN (Remote Access / VPN)

 

3.) Veri Güvenliği (Data Security) 4 alt başlığa ayrılır:

  • Veritabanı GüvenliÄŸi (Database Security)
    • Veritabanı DeÄŸerlendirme (Database Assessment)
    • Veritabanı Aktivite Kontrolü/Ä°zleme (Database Activity Monitoring)
    • Veritabanı Åžifreleme (Database Encryption)
  • Veri Kaybı/Sızıntısı Önleme (Data Loss Prevention)
    • DLP Çözümleri (DLP Solutions)
      • Tam Çözüm/Takım (Full Suite)
      • AÄŸ DLP (Network DLP)
      • Uç Nokta DLP (Endpoint DLP)
      • İçerik KeÅŸfi (Content Discovery)
    • Veri Kaybı Önleme Özellikleri (DLP Features)
  • Åžifreleme (Encryption)
    • Dosya/Klasör (File/Folder)
      • Dağıtık Åžifreleme (Distributed Encryption)
    • Anahtar Yönetimi (Key Management)
    • SAN/NAS
    • Uygulama Åžifrelemesi (Application Encryption)
  • EriÅŸim Yönetimi (Access Management)
    • Yetki Verme Yönetimi (Entitlement Management)
    • Dosya Aktivitesi Ä°zleme (File Activity Monitoring)

 

4.) Uygulama Güvenliği (Application Security) 5 alt başlığa ayrılır:

  • Web Uygulama Güvenlik Duvarları (Web Application Firewalls)
  • Uygulama Testi (Application Testing)
    • Dinamik Uygulama Testi (Dynamic Application Testing)
    • Statik Uygulama Testi (Static Application Testing)
  • Güvenli GeliÅŸtirme (Secure Development)
    • Tehdit Modelleme (Threat Modeling)
    • GeliÅŸtirme Süreci (Development Process)
    • Test Metodolojileri (Testing Methodologies)
  • Web Uygulama DeÄŸerlendirme (Web Application Assessment)
    • Web Güvenlik Açığı DeÄŸerlendirmesi (Web Vulnerability Assessment)
    • Web Penetrasyon Testi (Web Penetration Testing)
  • Yönetilir Servisler (Managed Services)
    • DeÄŸerlendirme / Testler (Assessment / Testing)
    • Yönetilir Web Uygulama Güvenlik Duvarları (Managed Web Application Firewall (WAF))

 

5.) Kimlik ve Erişim Yönetimi (Identity and Access Management) 5 alt başlığa ayrılır:

  • Dizinler (Directories)
  • Kimlik DoÄŸrulama (Authentication)
  • SaÄŸlama / Hazır Hale Getirme (Provisioning)
  • Web EriÅŸim Yönetimi (Web Access Management)
  • Federation

 

6.) Güvenlik Yönetimi (Security Management) 5 alt başlığa ayrılır:

  • Uyumluluk/Uygunluk
    • IT-GRC
    • PCI
    • SOX
    • HIPAA
    • NERC-CIP
    • Gizlilik/Mahremiyet (Privacy)
  • Güvenlik Operasyonları (Security Operations)
    • Güvenlik Bilgi ve Olay Yönetimi (SIEM)
    • Log Yönetimi (Log Management)
  • Sistem Yönetimi (System Management)
    • Yama Yönetimi (Patch Management)
    • Konfigürasyon Yönetimi (Configuration Management)
  • Güvenlik Açığı Yönetimi (Vulnerability Management)
    • Güvenlik Açığı DeÄŸerlendirmesi (Vulnerability Assessment)
    • Penetrasyon Testi (Penetration Testing)
  • Olay Müdahale (Incident Response)

 

7.) Sanallaştırma ve Bulut (Virtualization and Cloud) 2 alt başlığa ayrılır:

  • SanallaÅŸtırma GüvenliÄŸi (Virtualization Security)
    • Sanal Makine GüvenliÄŸi (Virtual Machine Security)
    • SanallaÅŸtırma Altyapı GüvenliÄŸi (Virtualization Infrastructure Security)
  • Bulut GüvenliÄŸi (Cloud Security)
    • Bulut Güvenik Servisleri (Cloud Security Services)
    • Bulut Güçlendirme (Cloud Hardening)
    • Bulut Risk Yönetimi (Cloud Risk Management)

 

Bu kategorilendirme sonucuna göre şu sıralar en popüler konular bulut bilişim güvenliği, veri kaybı önleme (DLP) ve web güvenliği olarak söylenebilir.

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir