Information Security Management

Yıl 2008, Cilt: 11 Sayı: 1, 132 - 137, 30.06.2008

Mehmet Tekerek

Öz

Currently information service has been become widespread rapidly, because of several causes, such as increase of efficiency, facilitating of our daily life and establishing of quicker communication with employees and the other institutions as well. As a result of improvements in information technology, central bodies have been replaced by scattered architectural designs, and electronic applications that are accessible through internet and network. Several concepts beginning with “e-“ (e-commerce, e-education, e-reservation, e-exam, e-school, ebank…) have been become a part of our life as a consequence of an increase in using of electronic information infrastructures, for instance internet, computer networks, online systems, remote access and so on. In parallel with expansion and augmentation in using of informational environments, relevant risks and threats have been increased in same proportion. Increase in numbers of the malicious and harmful attacks against information systems demonstrates that present technical methods are inadequate for securing information systems properly. To provide security on an information system not only technical measures but also administrative measures (rules, punishments, sanctions e.g.) and humanitarian factors should be considered; thus the issue of information system security has become a compulsory management process including more complex solutions. By this study information security is dealt with as a living organic process, and an information security model is developed by emphasizing on necessity of some managerial means and models.

Anahtar Kelimeler

Information security, information security standards, security policies.

Bilgi Güvenliği Yönetimi

Öz

Günümüzde verimliliğin artırılması, is akıslarının hızlandırılması, çalısanlar ve diğer kurumlarla daha hızlı iletisim kurulabilmesi, günlük yasantımızı kolaylastırması gibi birçok sebepten dolayı bilisim sistemleri hızla yaygınlasmaktadır. Bilisim teknolojilerindeki gelismeler sonucunda, merkezi yapılar yerlerini, dağıtık mimarilere, internet ve ağlar üzerinden erisilebilen elektronik uygulamalara bırakmıstır. Web uygulamaları, uzaktan erisimler, çevrimiçi sistemler, bilgisayar ağları, internet gibi elektronik bilgi altyapılarının kullanımının artması sonucunda ekavramlar (e-ticaret, e-öğrenme, e-rezervasyon, e-sınav, e-okul, e-banka, e-devlet vb.) günlük yasantımızın bir parçası haline gelmistir. Bilisim ortamlarının kullanımının artması ve yaygınlasmasına paralel olarak güvenlik tehditleri ve riskleri aynı oranda artmıstır. Teknik güvenlik önlemlerinin gelismesine rağmen bilisim sistemlerine karsı yapılan saldırıların sayısının artması ve bilgi sistemleri üzerinde yüksek derecede etki yapan hasarlar olusturması, teknik yöntemlerin bilgi güvenliğinin sağlanmasında yetersiz olduğunu göstermektedir. Bilgi güvenliğinin sağlanabilmesi için teknik önlemlerin yanında, idari önlemler (kurallar, cezalar, yaptırımlar vb), standartlar (ISO 27001,Ortak Kriterler vb) ve insan faktörü göz önüne alındığında bilgi güvenliği karmasık çözümler içeren ve yönetilmesi zorunlu hale gelen bir süreç halini almıstır. Bu çalısmada bilgi güvenliği yasayan bir süreç olarak ele alınmıs ve yönetilebilirlik gerekliliği ortaya konarak, bir bilgi güvenliği yönetim modeli gelistirilmistir.

Anahtar Kelimeler

Bilgi güvenliği, bilgi güvenliği standartları, bilgi güvenlik politikaları.

Kaynakça

• Anonim. 2003. Bilisim Güvenliği Kitapçığı. ProG Bilisim Güvenliği ve Arastırma Ltd, 7s. http://www.pro-g.com.tr/whitepapers/bilisimguvenligi- v1.pdf (01.07.2008).
• Bishop, M. 2000. Education in information security. Concurrency, IEEE , 8: 4- 5
• Campbell, S. 2003. Supporting digital signatures in mobile environments. Enabling Technologies: Infrastructure for Collaborative Enterprises. Proceedings. Twelfth IEEE International Workshops, 238s.
• Donaldson, M.G. 1996. Evaluation of IT security products, devices and systems. Information Security - Is It Safe?., IEE Colloquium, 3s.
• Duan, H., Wu, J. 1999. Security management for large computer networks. Communications, APCC/OECC '99. Fifth Asia-Pacific Conference on. and Fourth Optoelectronics and Communications Conference, Volume 2, 1210s.
• Fussell, R.S. 2005. Protecting information security availability via self-adapting intelligent agents. Military Communications Conference, IEEE, 2977s.
• Guan, B., Lo, C., Wang, P., Hwang, J. 2003. Evaluation of information security related risks of an organization: the application of the multicriteria decision-making method. Security Technology, Proceedings. IEEE 37th Annual International Carnahan Conference on, 170s.
• Karaarslan E., Teke A., Sengonca H. 2003. Bilgisayar Ağlarında Güvenlik Politikalarının Uygulanması. Akademik Bilisim, Çukurova Üniversitesi, 1s.
• Marcinkowski, S.J., Stanton, J.M. 2003. Motivational aspects of information security policies. Systems, Man and Cybernetics, IEEE International Conference on, 3: 2528s.
• Moffett, J. 1990. Network security management. Security and Networks, IEE Colloquium on , 4- 6
• Okamoto, E., Tanaka, K., 1989, Identity-based information security management system for personal computer Networks. Selected Areas in Communications, IEEE Journal on, 7: 2, 292s.
• Pfleeger, C.P. 1997. The fundamentals of information security. Software, IEEE ,14 (1,14)
• Ruiu, D. 2006. Learning from information security history, Security & Privacy Magazine, IEEE, 4:1, 78s.
• Shephard, B. 2002. Information security-who cares?. Power System Management and Control, Fifth International Conference on (Conf. Publ. No. 488), 126s.