Hassas bilgilerin işaretlenmesi, işlenmesi, saklanması ve yok edilmesi (Marking, Handling, Storing and Destroying of Sensitive Information)

Fiziksel varlıkların etiketlenmesi kadar, sistem üzerinde bulunan bilgilerin işaret ve etiketlenmesi de büyük önem taşımaktadır. Bilgisayar ile işletilen bilgilerin, gelecekte bunu zorunlu hale gelmesi konusunda çalışmalar gerçekleştirilmektedir(bkz. Kişisel Verilerin Korunması Kanunu).

Fiziksel varlıkların etiketlenmesi kadar, sistem üzerinde bulunan bilgilerin işaret ve etiketlenmesi de büyük önem taşımaktadır. Bilgisayar ile işletilen bilgilerin, gelecekte bunu zorunlu hale gelmesi konusunda çalışmalar gerçekleştirilmektedir(bkz. Kişisel Verilerin Korunması Kanunu). Ancak erişim denetimleri arasında bu konunun uygulanabildiği MAC(mandatory access control) yöntemidir. DAC(discretionary access control) tipik olarak bilginin etiketlendirilmesini zorunlu kılmaz ve bilginin başka bir sisteme taşınması durumunda sınıflandırma bilgisinin yok olmasına sebebiyet vermektedir.

Bilginin değerinin finansal olarak tespit edilmesi zor bir konudur. Hatta bilginin sahibinin bile bu konu hakkında fikir yürütmesi ve değer belirlemesi oldukça karmaşık bir hal almaktadır.

Fiziksel varlıklardakinin aksine bilginin değerinin belirlenerek taslak haline getirilmesi oldukça güç olup, bazen aynı sistem üzerinde bulunan bilginin önem seviyesi ve korunması gereken yöntemin birbirinden farklı olması gibi farklı sonuçlar doğurabilir. Bu gibi zorlukların önüne geçilebilmesi için bilginin sınıflandırılması (information classification) sıklıkla kullanılmaktadır.

Bilginin sınıflandırılması konusunda, hangi bilginin hangi yöntemle korunmasını; gizlilik seviyesine göre belirlemektedir. Bilgiler gizlilik seviyesine göre belirli bir sınıflandırma yöntemine göre ayrıştırılabilir (Çok Gizli, Gizli ve Public – Kurumun politikasına göre değişiklik gösterebilir).

Kurumun sahip olduğu bilgi zaman içerisinde önem seviyesi olarak değişikliklere uğrayabilir. Daha öncesinde çok gizli bir bilgi zaman içerisinde herkes tarafından erişilebilir bir hale gelebilir. Bilginin bu şekilde sınıflandırılması şirketin yapacağı yatırımlarda fayda sağlamasında olanak tanır. Örneğin günlük olarak yedeklenen bir bilginin önem seviyesinin düşmesi durumunda kullanılan kartuş sayısının azalması veya yapılacak yeni storage yatırımında düşük seviyeye sahip bu bilginin yedeklenmesi gerekmediği için daha uygun bir storage seçimi yapılmasına olanak sağlanır.

Diğer bir çok alanda olduğu gibi bilginin sınıflandırılma konusunda dökümante edilmeli ve güncelliği sağlanmalıdır.

http://csrc.nist.gov/publications/nistpubs/800-60-rev1/SP800-60_Vol1-Rev1.pdf

Medya:

Hassas bilgilerin saklanacağı fiziksel veya mantıksal alanlardır. Güvenlik uzmanları yedeklenen şifrelenmemiş medyalar ile ilgili sürekli endişe duymaktadır. Bu sebepten ötürü medyaların taşınması ve saklanması büyük önem taşımaktadır.

İşaretleme(Marking):

Kurumun sahip olduğu bilgileri işaretlenmesi için uyguladığı politikaların bulunması gerekir. Kullanılan teypler veya storage medyaları fiziksel olarak etiketlenmelidir. Bu teypler kriptolu olarak saklanmalıdır.

İşlemek (Handling):

Sadece kurum içerisinde yetkili kişilerin bu bilgilere erişebilmesi sağlanmalıdır. Bilginin işlenmesi ile ilgili konular politikalar ve prosedürler ile dökümante edilmelidir. Bu konu ile ilgili kişilerin politika ve prosedürler ile eğitilmesi ve bu bilgiler ile işleme ve işaretleme çalışmalarını gerçekleştirmesi beklenir. Verinin işlenmesi aşamasında oluşan kayıtlar düzenli olarak takip edilmelidir.

Saklama (Storing):

Hassas medyalar herkes tarafından erişilebilir bir alanda bulunmaması gerekir. Yedekleme medyaları kriptolu ve güvenli bir alan içerisinde muhafaza edilmelidir. Tercihen manyetik alandan ve yangından etkilenmeyen ve erişim denetimi uygulanan kasa tipleri içerisinde saklanmalıdır. Oluşabilecek bir yıkım durumuna karşı farklı bir ortamda muhafaza edilen medyalar ile oluşan uzaklık 25km uzak yada yakın olmaması gerekir.

Yok etme (Destruction):

Saklanan medyalar belirli bir süreden sonra ihtiyaç duyulmayacak hale gelebilir veya bozulabilir. Bu medyaların gerekliliği gözden geçirilerek tekrar kullanılabilir veya yok edilmesi gerekebilir. Çalışma üçüncü bir kurum veya şirket bünyesinde gerçekleştirilebilir. Çalışmanın gerçekleştirilmesi politika ve prosedürler ile sağlanmalıdır. Bu medyaların yok edilmesi ile ilgili çalışma kayıt altına alınmalıdır.

http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-88r1.pdf

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: