Tüm dünyada kabul edilmiş, bilgi güvenliğinin en temel üç bileşeni; Gizlilik (Confidentiality), Bütünlük (Integrity) ve Erişilebilirlik (Availability) olarak baz alınmaktadır. Korunacak olan bilgi varlıkları, süreçler, risk yaklaşımı gibi bileşenler öncelikli olarak bu C.I.A üçgeni çerçevesinde farklı kontroller ile koruma altına alınması hedeflenir. Kurumdaki bilgi güvenliği politikaları da bu model çevresinde tasarlanır.
Bu bağlamda, gizlilik bilgiye erişimi kısıtlayan kurallar bütünüdür, bütünlük, bilginin güvenilir ve doğru olduğu güvencesidir ve kullanılabilirlik, yetkili kişilerce bilgiye güvenilir erişimin garantisidir.
Resim 1: Gizlilik, Bütünlük ve Erişilebilirlik Üçlüsü – (CIA Triad)
Gizlilik (Confidentiality)
Bilginin yetkisiz kişilere, kurumlara veya süreçlere açıklanmaması veya ifşa edilmemesidir. Sadece yetkisi olan kişilerin korunan bilgiye ulaşmasıdır.
Banka kayıtlarınızı düşünün, işlem yapabilmek için elbette onlara erişebilmelisiniz, bankanızdaki bir işlemde size yardım eden banka çalışanları da erişebilmeli, ancak başka kimsenin erişmemesi gerekir. Gizliliği korumadaki başarısızlık, erişime sahip olmaması gereken birinin kasıtlı davranış veya kaza yoluyla elde etmeyi başardığı anlamına gelir. Genellikle bir ihlal olarak bilinen gizlilik ihlali, telafi edilemez. Medyada yayınlanan büyük güvenlik olaylarının neredeyse tamamı gizlilik ihlali nedeniyle büyük kayıplar içermektedir.
Gizliliği sağlamak için alınan tedbirler, hassas bilgilerin yanlış kişilere eline geçmesini engellemek için tasarlanırken, doğru kişilerin bu verilere erişebilmelerini de sağlamalıdır. Erişim, söz konusu verileri görüntülemek için yetkili kişilerle sınırlandırılmalıdır. Son derece hassas belgeler veya bilgiler söz konusu olduğunda gizliliği korumak için ek güvenlik önlemleri alınabilir.
Bütünlük (Integrity)
Bilginin, doğru ve eksiksiz olma özelliğidir, verilerin yetkisiz şekilde değiştirilmemesini sağlar.
Bütünlük, tüm yaşam döngüsü boyunca verilerin tutarlılığını, doğruluğunu ve güvenilirliğini korumayı içerir. Veriler transfer edilirken korunmalı ve değiştirilmemelidir, ayrıca verilerin yetkisiz kişiler tarafından değiştirilememesi için (örneğin, bir gizlilik ihlali durumunda) gerekli teknik tedbirler de alınmalıdır. Bu tedbirler dosya izinlerini ve kullanıcı erişim kontrollerini içermelidir. Bazı veriler bütünlüğün doğrulanması için sağlama toplamları, hatta şifreleme sağlama toplamları içerebilir. Etkilenen verileri doğru durumuna getirmek için yedekli sistemler veya veri yedekleri mevcut olmalıdır.
Erişilebilirlik (Availability)
Bir bilgiye, ihtiyaç duyulduğu zaman talep eden yetkili kullanıcı tarafından ulaşılarak kullanılabilmesidir.
Bilgi sistemlerine ait donanımlar ve yazılımlar titizlikle korunarak, gerektiğinde onarımlarını hemen gerçekleştirerek ve yazılım hatalarından temizlenmiş bir işletim sistemi ortamı korunarak, erişilebilirlik en iyi şekilde sağlanır. Gerekli tüm sistem güncellemelerini güncel tutmak da önemlidir. İhtiyaç duyulan iletişim bant genişliğini sağlamak ve darboğazların oluşmasını önlemek de aynı derecede önemlidir. Yedekleme, yük dengeleme, RAID sistemi yüksek kullanılabilirlik grupları, donanım sorunları ortaya çıktığında ciddi sonuçların oluşmasını engelleyebilir. En kötü durum senaryoları için hızlı ve uyarlanabilir felaket kurtarma şarttır; Bu, kapsamlı bir felaket kurtarma planının (DRP) varlığına bağlıdır. Veri kaybına veya bağlantılardaki kesintilere karşı korunma önlemleri, doğal afetler ve yangın gibi öngörülemeyen olayları içermelidir. Bu gibi olaylardan kaynaklanan veri kaybını önlemek için, kritik verilere ait bir yedek kopya coğrafi olarak farklı bir yerde, belki de yanmaz, su geçirmez bir kasada saklanabilir. Güvenlik duvarları ve proxy sunucuları gibi ekstra güvenlik ekipmanı veya yazılımlar, hizmet reddi (DoS) saldırıları ve ağ izinsiz girişler gibi kötü niyetli saldırılar nedeniyle sistem kesintilerine veya erişilemeyen verilere karşı koruma sağlayabilir.
Mahremiyet (Privacy)
Güvenliği sağlanmış verinin, temel hak ve özgürlükler ile etik ilkeler çerçevesinde ihtiyaç doğrultusunda veri sahibinin veya yasaların izin verdiği ölçüde işlenmesidir. İngilizce’de “Privacy” olarak isimlendirir. Genellikle kullanım sırasında bilgi güvenliği ile aynıymış şeklinde bahsi geçer, veriyi korumanın, mahremiyet için yeterli olduğu şeklinde bir algı vardır fakat yeterli değildir. Bilgi güvenliği kurumsal verinin korunmasına odaklanırken, veri mahremiyeti kişisel verilerin korunmasına odaklanır, bilgi güvenliği bir süreç iken, mahremiyet bir hak olarak değerlendirilir, bilgi güvenliğinde gizlilik, bütünlük ve erişebilirlik konularına odaklanırken, veri mahremiyeti bunların üstüne anonimleştirme, takip edilemezlik, gözlenemezlik, ilişkisizlendirme gibi konuları da dikkate alır, bilgi güvenliği veri odaklıdır, veri mahremiyeti ise kişi odaklıdır.
