Ana Sayfa Bilgi Sistemleri Bilgi Sistemleri Güvenliği

Bilgi Sistemleri Güvenliği

Bilgi Sistemleri Bağımsız Denetim Lisansı · Ders kodu: BS05

Bilgi SistemleriSPLBT denetimsiber güvenlikISO 27001şifrelemegüvenlik açığıSIEMkonu özetisınav sorularıücretsiz

Konu Özeti

01Bilgi Güvenliği Yönetimi
  • CIA üçgeni: Gizlilik (Confidentiality), Bütünlük (Integrity), Erişilebilirlik (Availability). Bilgi güvenliğinin temel üç hedefi. Ayrıca İnkar Edilemezlik (Non-repudiation) ve Özgünlük (Authenticity) ek hedefler.
  • Bilgi güvenliği politikası: Üst yönetim tarafından onaylanan, tüm çalışanları bağlayan, bilgi güvenliği hedeflerini ve sorumluluklarını tanımlayan belge. Politika → Standart → Prosedür → Kılavuz hiyerarşisi.
  • Üst yönetim sorumluluğu: Bilgi güvenliği kültürü 'tone at the top' ile şekillenir. CISO (Chief Information Security Officer): bilgi güvenliği stratejisinden sorumlu. Yönetim kuruluna raporlama.
  • Risk yönetimi: Varlık belirleme → Tehdit analizi → Açıklık analizi → Risk değerlendirme → Risk yanıtı (kabul, azaltma, transfer, kaçınma) → İzleme. Risk = Tehdit × Açıklık × Varlık Değeri.
  • İhlal yönetimi: Tespit → Kayıt → Sınıflandırma → Yanıt (kontrol altına alma, yok etme, kurtarma) → Kök neden analizi → Raporlama. Yasal bildirim yükümlülükleri (KVKK (kişisel verilerin korunması kanunu): 72 saat).
02Varlık Yönetimi ve Veri Sınıflandırması
  • Varlık yaşam döngüsü: Satın alma/edinme → Devreye alma → Operasyon → Güncelleme/değişiklik → Elden çıkarma/imha. Her aşamada farklı güvenlik kontrolleri gerekir.
  • Varlık envanteri: Tüm bilgi varlıklarının (donanım, yazılım, veri, personel, hizmet) tanımlandığı ve güncel tutulan kayıt. Sahip atama zorunlu. CMDB ile entegrasyon.
  • Veri sınıflandırması: Gizlilik düzeyine göre: Gizli (Classified/Top Secret), Dahili (Internal/Confidential), Genel (Public). Her kategori için erişim, depolama, iletim ve imha kuralları. KVKK (kişisel verilerin korunması kanunu) kapsamında kişisel veri ayrı kategori.
  • Taşınabilir varlıklar: Dizüstü bilgisayar, USB, akıllı telefon. Riskler: kayıp/çalınma ile veri sızıntısı. Kontroller: tam disk şifreleme, uzaktan silme, MDM (Mobile Device Management).
  • Varlık elden çıkarma: Medya imhası — depolama ortamlarının güvenli silinmesi (veri silme, degaussing, fiziksel imha). Yazılım lisanslarının iade edilmesi. İmha belgesi tutulması.
03Fiziksel ve Çevresel Güvenlik
  • Fiziksel güvenlik katmanları: Çevre güvenliği (duvar, tel örgü, bariyer) → Bina güvenliği (giriş kontrol, kapı kilitleri) → Katlı güvenlik → Oda/zona güvenliği → Ekipman güvenliği. Derinliğine savunma prensibi.
  • Giriş kontrol yöntemleri: Kartlı erişim, biyometrik (parmak izi, retina, yüz), PIN, güvenlik personeli. Erişim kaydı (audit trail). Çift kapı (mantrap/airlock): bir seferde yalnızca bir kişi. Ziyaretçi yönetimi.
  • CCTV ve güvenlik izleme: Kapalı devre kamera sistemi. Kayıtların belirli süre saklanması. Kör nokta olmaması. Güvenlik merkezi (NOC/SOC).
  • Çevresel kontroller: İklim kontrolü (sıcaklık 20-25°C, nem %40-60). Yangın algılama (duman dedektörü, ısı sensörü) ve söndürme (gazlı: FM-200, HALON benzeri; su sprinkler BT ekipmanı için uygun değil). Kesintisiz güç kaynağı (UPS) ve jeneratör. Su sızıntısı tespiti.
  • Ekipman güvenliği: Sunucu raflarının kilitleri, kablo yönetimi, çalınmaya karşı fiziksel kilitleme. Ekipman taşıma güvenliği — koruyucu ambalaj, imza zinciri.
04Ağ Güvenliği — Modeller, Protokoller ve Saldırılar
  • OSI modeli (7 katman): 1-Fiziksel, 2-Veri Bağlantı, 3-Ağ, 4-Taşıma, 5-Oturum, 6-Sunum, 7-Uygulama. Her katmanda farklı güvenlik kontrolleri. TCP/IP modeli: Ağ erişimi, İnternet, Taşıma, Uygulama (4 katman).
  • Temel protokoller: HTTP/HTTPS (web), FTP/SFTP (dosya), SMTP/POP3/IMAP (e-posta), DNS (isim çözümleme), DHCP (IP tahsisi), SSH (güvenli uzaktan erişim), SNMP (ağ yönetimi). TCP: bağlantı odaklı, güvenilir. UDP: bağlantısız, hızlı.
  • Saldırı türleri: Sosyal mühendislik (phishing, spear phishing, vishing, smishing, pretexting). Kötü amaçlı yazılım (virüs, worm, trojan, ransomware, spyware, rootkit). Web uygulama saldırıları (SQL injection, XSS, CSRF). DDoS, MITM (Man-in-the-Middle), ARP poisoning, DNS spoofing.
  • Saldırı aşamaları (Cyber Kill Chain): Keşif (reconnaissance) → Silahlanma → Teslim → İstismar → Kurulum → Komuta&Kontrol → Eylem.
  • Ağ güvenliği kontrolleri: Güvenlik duvarı (packet filter, stateful, next-gen NGFW). IDS/IPS (saldırı tespit/engelleme). VPN (uzaktan güvenli erişim). NAC (ağ erişim denetimi). DMZ. Ağ segmentasyonu.
05Erişim Güvenliği
  • Kimlik doğrulama faktörleri: Bilgi (şifre, PIN — 'bir şeyleri bilirim'), Sahiplik (token, akıllı kart, OTP — 'bir şeyim var'), Biyometri (parmak izi, retina — 'bir şeyimim'). Çok faktörlü doğrulama (MFA/2FA): iki veya daha fazla farklı faktör türü.
  • Erişim kontrol modelleri: DAC (Discretionary Access Control) — kaynak sahibi karar verir. MAC (Mandatory Access Control) — merkezi politika, güvenlik etiketleri. RBAC (Role-Based Access Control) — roller üzerinden yetki. ABAC (Attribute-Based Access Control) — özellik bazlı esnek kural.
  • Erişim kontrol prensipleri: En az yetki (least privilege). Görevler ayrılığı (SoD). Bilinmesi gereken (need to know). Varsayılan reddet (default deny). Periyodik erişim gözden geçirme (user access review). Hesap yaşam döngüsü yönetimi.
  • Kimlik ve erişim yönetimi (IAM): Kimlik doğrulama (Authentication), Yetkilendirme (Authorization), Hesap verebilirlik (Accountability) — AAA modeli. LDAP, Active Directory. SSO (Single Sign-On): tek kimlik bilgisiyle birden fazla sisteme erişim.
  • Parola yönetimi: Parola politikası: uzunluk, karmaşıklık, geçmişe dönülmeme. Parola hash'leme ve tuzlama (salting). Şifreli parola yöneticisi kullanımı. Varsayılan parolaların değiştirilmesi.
06Veri ve İz Kayıtları Güvenliği — Şifreleme ve PKI
  • Şifreleme türleri: Simetrik şifreleme: aynı anahtar şifreleme ve çözme için (AES, DES, 3DES). Hızlı, büyük veri için uygun. Anahtar dağıtımı sorun. Asimetrik şifreleme: açık anahtar (şifreleme/doğrulama) ve özel anahtar (şifre çözme/imzalama) çifti (RSA, ECC). Yavaş, anahtar dağıtımı kolay.
  • Kriptografik özet (hash): MD5, SHA-1 (artık zayıf), SHA-256, SHA-3. Tek yönlü, sabit uzunlukta çıktı. Veri bütünlüğünü kanıtlar. Küçük değişiklik çok farklı hash üretir (avalanche effect). HMAC: anahtarlı hash — bütünlük + kimlik doğrulama.
  • PKI (Açık Anahtar Altyapısı): CA (Certificate Authority — Sertifika Otoritesi): dijital sertifika imzalar. RA (Registration Authority): kimlik doğrulama. CRL (Certificate Revocation List) ve OCSP: iptal sorgulama. X.509 sertifika standardı. Sertifika içeriği: açık anahtar, sahip bilgisi, geçerlilik süresi, CA imzası.
  • İz kayıtları (audit logs): Kimin, ne zaman, hangi kaynağa, ne yaptığını kaydeder. Log bütünlüğü korunmalı (değiştirilemez, silinmez). Saklama süresi yasal gerekliliklere uygun. SIEM ile merkezi toplama ve korelasyon.
  • Veri güvenliği kontrolleri: DLP (Data Loss Prevention) — hassas verinin dışarı çıkmasını engeller. Tam disk şifreleme (TDE, BitLocker). Veritabanı şifreleme. E-posta şifreleme (S/MIME, PGP).
07Üçüncü Taraflarla İletişim Güvenliği
  • Üçüncü taraf ilişkisi aşamaları: Başlama (due diligence, sözleşme, güvenlik gereklilikleri), Sürdürme (düzenli izleme, denetim, SLA izleme), Sonlandırma (veri iadesi/imhası, erişim iptali, sözleşme kapanışı).
  • Tedarik zinciri güvenliği: Yazılım tedarik zinciri riskleri (üçüncü taraf kütüphaneler, açık kaynak bileşenler). Donanım tedarik zinciri manipülasyonu. SBOM (Software Bill of Materials). SolarWinds saldırısı örneği.
  • Güvenlik gereklilikleri: Tedarikçinin güvenlik politikaları ve sertifikasyonları (ISO 27001, SOC 2). KVKK (kişisel verilerin korunması kanunu) kapsamında veri işleme sözleşmesi (DPA). NDA (gizlilik anlaşması). Sözleşmede denetim hakkı. Penetrasyon testi sonuçları paylaşımı.
  • Bulut hizmet sağlayıcısı: Paylaşılan sorumluluk modeli. SOC 2 Tip 2 raporu incelemesi. Veri egemenliği ve lokasyon. Veri taşınabilirliği. Çıkış stratejisi (vendor lock-in riski).
  • Üçüncü taraf erişim yönetimi: Minimum erişim prensibi. Zamanla sınırlı erişim (time-limited). Her üçüncü taraf için ayrı hesap. Ayrıcalıklı erişim için PAM. Etkinliklerin log kaydı. Sözleşme bitiminde erişimin derhal iptali.
08Güvenlik Duvarları, IDS/IPS, VPN ve Derinliğine Savunma
  • Güvenlik duvarı türleri: Paket filtresi (stateless): IP/port bazlı kural. Durum bilgili (stateful): bağlantı durumunu izler. Uygulama katmanı (proxy/WAF): derin paket inceleme. Yeni nesil (NGFW): IPS, SSL inceleme, uygulama tanıma entegre.
  • IDS ve IPS: IDS (Intrusion Detection System): saldırı tespit eder, alarm üretir — pasif. IPS (Intrusion Prevention System): saldırıyı gerçek zamanlı engeller — aktif. İmza tabanlı (bilinen saldırılar) ve anomali tabanlı (normal davranıştan sapma) analiz.
  • DMZ (Demilitarized Zone): İç ağ ile dış ağ (İnternet) arasındaki tampon bölge. Web sunucusu, e-posta sunucusu, DNS gibi dışarıdan erişilen sistemler DMZ'de konuşlandırılır. İç ağa doğrudan erişim engellenir.
  • VPN (Sanal Özel Ağ): Kamuya açık ağ üzerinde şifrelenmiş tünel. Site-to-site VPN: lokasyonlar arası. Client-to-site (remote access VPN): uzak kullanıcı. Protokoller: IPSec, SSL/TLS, OpenVPN. Split tunneling riski.
  • Derinliğine savunma (Defence in Depth): Çok katmanlı güvenlik. Bir katman aşılsa diğerleri devreye girer. Katmanlar: fiziksel, ağ, uygulama, veri, son nokta, insan. Tek noktalı başarısızlıktan (SPOF) kaçınma.

Pratik Test

Bilgi Sistemleri Bağımsız Denetim Lisansı — Bilgi Sistemleri Güvenliği konusu için interaktif test çöz. Şıklar karışık, anında açıklama.

100 Soru ile Pratik Teste Başla →