Kurumsal B LG Güvenl Yönet M S Stemler Ve Güvenl: Yildiz Tekn K Ün Vers Tes Fen B L Mler Enst Tüsü

YILDIZ TEKN K ÜN VERS TES
FEN B L MLER ENST TÜSÜ
KURUMSAL B LG GÜVENL YÖNET M S STEMLER

VE GÜVENL
Elektrik Mühendisi Mustafa GÜLMÜ"
FBE Elektrik Mühendisli i Anabilim Dal# Elektrik Makinalar# ve Güç Elekroni i Program#nda
Haz#rlanan
YÜKSEK L SANS TEZ
Tez Dan#,man# : Prof. Dr. brahim "ENOL
STANBUL, 2010
Ç NDEK LER
Sayfa
S MGE L STES ........................................................................................................................ v
KISALTMA L STES ............................................................................................................... vi
EK L L STES ........................................................................................................................ xi
Ç ZELGE L STES ..................................................................................................................xii
ÖNSÖZ .................................................................................................................................... xiii
ÖZET ....................................................................................................................................... xiv
ABSTRACT ............................................................................................................................. xv
1. G R ....................................................................................................................... 1
2. B LG ve B LG VARLIKLARI ........................................................................... 12
2.1 Bilgi ....................................................................................................................... 12

2.1.1 Bilgi Varl"klar"....................................................................................................... 13
2.1.1.1 Kurumsal Bilgi Varl"klar"n"n S"n"fland"r"lmas" ve Korunmas" ............................. 14
3. BL M S STEMLER GÜVENL - ................................................................. 16
3.1 Bilgi Güvenli0ine Genel Bak"1 .............................................................................. 16

3.2 Bili1im Korsanl"0"n"n Tarihi .................................................................................. 16
3.3 Bilgi Güvenli0inin Geli1imi ve Güvenlik Türleri .................................................. 23
3.3.1 Fiziksel ve Çevresel Güvenlik ............................................................................... 23
3.3.2 Haberle1me (ileti1im) Güvenli0i............................................................................ 27
3.3.3 Bilgisayar Güvenli0i.............................................................................................. 28
3.3.4 A0 (Network) Güvenli0i........................................................................................ 30
3.3.4.1 Güvenlik Duvar" (Firewall) ................................................................................... 30
3.3.4.2 Sald"r" Tespit Sistemi (Intrusion Detection System-IDS) ..................................... 32
3.3.4.3 Sald"r" Önleme Sistemleri (IPS) ............................................................................ 34
3.3.4.4 DoS ve DdoS Ataklar" Önleme Sistemleri (DoS Appliance) ................................ 36
3.3.4.5 NAC A0 Eri1im Kontrolü ...................................................................................... 37
3.3.4.6 Kablosuz A0(wireless) Sistemleri ......................................................................... 38
3.3.5 Bilgi Güvenli0i ...................................................................................................... 46
4. KURUMSAL B LG GÜVENL G YÖNET M S STEMLER ........................... 51
4.1 ITIL ........................................................................................................................ 51

4.2 COBIT ................................................................................................................... 53
4.3 PCI DSS ................................................................................................................. 55
4.4 HIPAA ................................................................................................................... 56
4.5 CMMI .................................................................................................................... 56
4.6 PRINCE2 ............................................................................................................... 57
4.7 BS 25999 ............................................................................................................... 57
ii
5. ISO/IEC 27001:2005 B LG GÜVENL - YÖNET M S STEM ....................... 59
5.1 ISO/IEC 27001:2005 Standard"............................................................................. 59

5.1.1 Bilgi Güvenli0i Yönetim Sistemi (BGYS) ............................................................ 60
5.1.1.1 Kurumsal Bilgi Güvenli0i Politikalar"................................................................... 61
5.1.1.2 Bilgi Güvenli0i Yönetim Sistemlerinin Kapsam".................................................. 64
5.2 Türkiye’deki Bilgi Güvenli0i Standartlar"............................................................. 64
5.3 BGYS’de Belgelendirme Haz"rl"k ve Ba1vuru ...................................................... 65
5.3.1 BGYS’de Belgelendirme Haz"rl"0" ........................................................................ 66
5.3.2 BGYS’de PUKÖ Döngüsü ve Süreç Yakla1"m".................................................... 68
5.3.3 BGYS’de Belgelendirme A1amalar"...................................................................... 71
5.4 BGYS Sertifikas"n" Veren Kurumlar ve Sertifikay" Alan Kurumlar ..................... 72
5.4.1 Akredite Edilmi1 BGYS Sertifikas"n" Veren Kurumlar ........................................ 72
5.4.2 ISO/IEC 27001 BGYS Sertifikas" Alan Kurumlar ................................................ 74
5.4.3 Ülkemizde ISO/IEC 27001 Sertifikas"n" Alan Firmalar........................................ 75
5.5 BGYS Standartlar" Hakk"nda Genel De0erlendirme ............................................ 77
6. KURUMSAL B LG GÜVENL - NDE R SK YÖNET M ............................... 79
6.1.1 Bili1im Teknolojilerinde Risk Yönetimi ............................................................... 79

6.1.2 Bili1im Teknolojileri Boyutuyla Riskler ............................................................... 79
6.1.3 Bilgi Varl"0"n"n Maruz kalabilece0i Risk De0erinin Hesaplanmas": .................... 83
6.1.4 Varl"0"n Risk De0erinin Hesaplanmas" ................................................................. 88
7. KURUMSAL B LG GÜVENL - N ST SMAR EDEN TEHD TLER ............ 89
7.1 Tehdit ..................................................................................................................... 89

7.2 Tehdit Örnekleri..................................................................................................... 89
7.3 Kötücül Yaz"l"mlara Dayal" Tehditler ................................................................... 92
7.3.1 Virüsler: ................................................................................................................. 93
7.3.2 Solucanlar (worms)................................................................................................ 94
7.3.3 Truva At" (Trojan) ................................................................................................. 94
7.3.4 Casus Yaz"l"m (Spyware) ...................................................................................... 94
7.3.5 Arka Kap"lar (Back Door) ..................................................................................... 95
7.3.6 Mant"ksal Bombalar (Logic Bombs) ..................................................................... 95
7.3.7 Sazan Avlama (Phishing) ...................................................................................... 96
7.4 Zararl" Kodlara Kar1" Koruma Yöntemleri: .......................................................... 96
7.5 DoS ve Ddos Sald"r"lar" ......................................................................................... 97
7.6 Güncel Web Tehditleri .......................................................................................... 97
7.6.1 Kimlik Do0rulama Tehditleri ................................................................................ 98
7.6.2 Yetkisiz Eri1im Tehditleri...................................................................................... 98
7.6.3 Kullan"c" Tarafl" Tehditler ..................................................................................... 98
7.6.4 Komut Çal"1t"rma................................................................................................... 99
7.6.5 Bilgi Aç"0a Ç"karma .............................................................................................. 99
7.6.6 Web Uygulamalar"n" Tehdit Eden Sald"r"lar ......................................................... 99
7.6.6.1 Web Uygulamalar"na Yap"lan Sald"r"lar ............................................................... 99
7.6.6.2 Web Uygulama Sald"r"lar"na (tehdit) Örnekler ................................................... 101
7.7 Veritaban" Güvenli0i ........................................................................................... 101
7.7.1 Veritaban" ............................................................................................................ 101
7.7.2 Veri Taban" Yaz"l"mlar"....................................................................................... 102
7.7.3 Veri Taban"na Eri1im ve Güvenlik ...................................................................... 102
iii
7.7.4 Veritaban" Güvenli0ini çin Yönetilmesi Gereken Unsurlar ............................... 103
7.7.4.1 Veritaban" Kullan"c"lar" ve emalar" ................................................................... 103
7.7.4.2 Yetkilenedirme ve Yetkiler.................................................................................. 104
7.7.4.3 Roller ................................................................................................................... 104
7.7.4.4 Depolama Ayarlar" ve Kapasite Limitleri............................................................ 104
7.7.4.5 Profiller ve Kaynak Limitleri............................................................................... 104
7.7.4.6 Kullan"c"n" Hareketlerinin Denetlenmesi ............................................................ 105
7.7.4.7 Detayl" Denetleme ............................................................................................... 105
7.7.5 Veritabanlar"n" Tehdit Eden Durumlar ................................................................ 105
7.7.5.1 SQL Enjeksiyon Tehditlerine Kar1" Uyulmas" Gereken Kurallar ....................... 106
7.7.6 Veritaban" Zaafiyetlerini Ölçmeye Yarayan Araçlar ........................................... 109
7.8 Sosyal Mühendislik Tehditleri............................................................................. 109
7.9 Güncel Tehditlerle lgili Genel De0erlendirme ................................................... 110
8. B LG VARLIKLARIKLARINI KORUMAYI AMAÇLAYAN
PENETRASYON TESTLER ............................................................................. 113
8.1 Penetrasyon Testi ................................................................................................. 114

8.2 Penetrasyon Testi Bilgi Güvenli0i çin Neden Önemlidir................................... 114
8.3 Penetrasyon Testi Sonras" zlenmesi Gereken Yol .............................................. 114
8.4 Ülkemizde Penetrayon Testi Yapan Kurumlar .................................................... 115
8.5 Penetrayon Testi çin Kullan"lan Yaz"l"mlar ....................................................... 115
9. BL M MEVZUATI ve ÜLKEM ZDEK B L M HUKUKU ..................... 116
9.1 Bilgi Güvenli0iyle lgili Uluslararas" Mevzuatlar ............................................... 116

9.2 Ülkemizde Bili1im Sistemleri ve Güvenli0i le Madde çeren Kanunlar ............ 117
9.3 Türkiye’de Bili1im Suçlar" Hukuku..................................................................... 118
9.4 Türk Ceza Kanunu Bili1im Suçlar" Bölümündeki Suçlar .................................... 119
9.4.1 Bili1im Araçlar" le 1lenebilecek Di0er Suç Tipleri ........................................... 119
9.4.2 Ülkemizde En Çok Kar1"la1"lan Bili1im Suçlar" ................................................. 120
9.4.3 Bili1im Suçlar" le lgili Olarak Ma0dur Olmadan Önce Yap"labilecek ............. 120
9.4.4 Bili1im Suçu le Kar1"la1"ld"0"na Yapabilecekler ................................................ 121
10. SONUÇ ve ÖNER LER ...................................................................................... 122
10.1 Sonuçlar ve De0erlendirmeler ............................................................................. 123

10.2 Ki1isel Kazan"mlar............................................................................................... 130
10.3 Öneriler ................................................................................................................ 131
KAYNAKLAR ....................................................................................................................... 133
NTERNET KAYNAKLARI ................................................................................................. 137
ÖZGEÇM ............................................................................................................................ 140
iv
S MGE L STES
FW Firewall- Güvenlik Duvar"

R Router yönlendirici
G Gizlilik
B Bütünlük
K Kullanabilirlik (Eri1ebilirlik)
TD Tehdit De0er
AD Aç"kl"k De0eri
GS Gizlilik Seviyesi
BS Bütünlük Seviyesi
KS Kullanabilirlik Seviyesi
GRD Gizlilik Risk De0eri
BRD Bütünlük Risk De0eri
KRD Kullanabilirlik Risk De0eri
v
KISALTMA L STES
ABD Amerika Birle1ik Devletleri

ACK Acknowledge, Onaylama paketi
ACT Association for Competitive Technology, Rekabetçi Teknoloji Birli0i
ADSL Asymmetric Digital Subscriber Line, Asimetrik Say"sal Abone Hatt"
AFRINIC African Region Internet Registry, Afrika Bölgesi nternet Kay"t Kurumu
ANSI American National Standards Institute, Ulusal Amerikan Standartlar" Enstitüsü
API Application Programming Interface, Uygulama Programlama Arabirimi
APNIC Asia-Pacific Network Information Centre, Asya/Pasifik Bölgesi Kay"t Kurumu
ARIN American Registry for Internet Numbers, Amerika Bölgesi Kay"t Kurumu
ARP Address Resolution Protocol, Adres Çözümleme Protokolü
ARPANET Advanced Research Projects Agency Network, leri Ara1t"rma Projeleri Ajans"
Bilgisayar A0"
ASP Active Server Pages, Etkin Sunucu Sayfalar"
AT&T American Telephone & Telegraph Company, ABD Telefon ve Telgraf Sirketi
BBS Bulletin Board System, Mesaj Pano Sistemleri
BGYS Bilgi Güvenli0i Yönetim Sistemi
BSDI Berkeley Software Design, Berkeley Yaz"l"m Tasar"m irketi
BSI British Standards Institute, ngiliz Standartlar Enstitüsü
BT Bilgi Teknolojileri
CERT Computer Emergency Response Team, Bilgisayar Acil Durum Ekibi
CGI Common Gateway Interface, Ortak Geçis Arayüzü
CMMI Capability Maturity Model-Integration; Bütünle1ik Yetenek Olgunluk Modeli
COBIT The Control Objectives for Information and related Technology- Bilgi ve lgili
Teknolojiler çin Kontrol Hedefleri
CPU Central Processing Unit, Merkezi 1lem Birimi
CSI The Computer Security Institute, Bilgisayar Güvenlik Enstitüsü
CVE Common Vulnerabilities and Exposures, Bilinen Güvenlik Zafiyetleri
DACL Discretionary Access Control List, ste0e Ba0l" Eri1im Denetim Listeleri
DARPA Defense Advanced Research Projects Agency, ABD Savunma Bakanl"0" leri
Ara1t"rma Projeleri Ajans"
DEC Digital Equipment Corporation, Bilgisayar Firmas"
DHCP Dynamic Host Configuration Protocol, Dinamik stemci Ayarlama Protokolü
DNS Domain Name Server, Bölge Ad Sunucusu
vi
DOM Document Object Model, Belge Nesne Modeli
DoS Denial of Service, Servis Engelleme
DDoS Distributed Denial of Service, Da0"t"k yap" ile Servis engelleme
EAP Extensible Authentication Protocol, Geni1letilebilir Kimlik Do0rulama Protokolü
EMEA Europe, the Middle East and Africa, Avrupa, Ortado0u ve Afrika
FBE Fen Bilimleri Enstitüsü
FBI Federal Bureau of Investigation, Federal Ara1t"rma Bürosu
FIN Finish Packet, Bitis kontrol biti bir olan herhangi bir paket
FISMA Federal Information Security Management Act, Federal Bilgi Güvenli0i Yönetimi
Yasas"
FTP File Transfer Protocol, Dosya Aktar"m Protokolü
GD Güvenlik Duvar"
GHDB Google Hacking Database, Google Sald"r" Veritaban"
GLBA Gramm-Leach-Bliley Act, Gramm-Leach-Bliley Yasas"
GNU General Public License, Genel Kamu Lisans"
HIPAA Health Insurance Portability and Accountability Act, Sa0l"k Sigortas"
Ta1"nabilirlik ve Sorumluluk Yasas"
HP/UX Hewlett Packard ve Unix
HTML Hypertext Markup Language, Hipermetin i1aret Dili
HTTP Hypertext Transfer Protocol, Hipermetin Aktarma leti1im Protokolü
IANA Internet Assigned Numbers Authority, nternet Atanm"1 Numaralar Yetkilisi
ICMP Internet Control Message Protocol, Internet Denetim Mesaj Protokolü
IDS Intrusion Detection System, Sald"r" Tespit Sistemi
IEC The International Electrotechnical Organization, Uluslararas" Elektroteknik
Komisyonunu
IEEE Institute of Electrical and Electronics Engineers, Elektrik Elektronik Mühendisleri
Enstitüsü
IGI Investigative Group International, Uluslararas" Ara1t"rma Grubu Firmas"
IM Instant Messaging, Anl"k Mesajla1ma
IMAP Internet Message Access Protocol, nternet Mesaj Eri1im Protokolü
IP Internet Protocol, nternet Protokolü
IPC Inter-Process Communication, Prosesler Aras" Haberle1me
IPS Intrusion Prevention System, Sald"r" Önleme Sistemi
IRIX Unix Tabanl" 1letim Sistemi
ISACA Information Systems Audit and Control Association, Bilgi Sistemleri Denetimi ve
vii
Kontrolü Birli0i
ISECOM The Institute for Security and Open Methodologies,Güvenlik ve Aç"k Kaynaklar
Enstitüsü
ISF Information Security Forum, Bilgi Güvenli0i Forumu
ISN Initial Sequence Number, Baslang"ç S"ra Numaras"
ISO International Organization for Standardization, Uluslararas" Standardizasyon
Kurumu
ISP Internet Service Providers, nternet Servis Sa0lay"c"lar"
ISS Internet Security Systems, nternet Güvenlik Sistemleri Firmas"
JSP Java Server Pages, Java Sunucu Sayfalar"
JTC Joint Technical Committee, Birle1ik Teknik Kurul
KBG Kurumsal Bilgi Güvenli0i
KGB Komit Gosudarstvennoy Bezopasnosi, Sovyet Gizli Servisi
LAN Local Area Network, Yerel Alan A0"
LDAP Lightweight Directory Access Protocol, Kolay Dizin Eri1im Protokolü
MAC Media Access Control, Ortam Eri1im Denetimi
MIT Massachusetts Institute of Technology, Massachusetts Teknoloji Enstitüsü
MSN Microsoft Network, Microsoft A0"
MVS Multiple Virtual Storage, Çoklu Sanal Depolama
NASD National Association of Securities Dealers, Hisse Senedi Al"m-Sat"mc"lar" Ulusal
Derne0i
NAT Network Address Translation, A0 Adres Çevirimi
NIST National Institute of Standards and Technology, ABD Teknoloji ve Standartlar
Enstitüsü
NOP No Operation, Makine dilinde i1lem yok komutu
NTFS New Technology File System, Yeni Teknoloji Dosya Sistemi
OSSTMM The Open Source Security Testing Methodology Manual, Aç"k Kaynak Güvenlik
Testleri Yöntemler K"lavuzu
OWASP The Open Web Application Security Project, Aç"k Kaynak Web Uygulama Güvenli0i Projesi
PDF Portable Document Format, Ta1"nabilir Belge Biçemi
PHP Hypertext Preprocessor, Hipermetin Ön 1lemci Betik Dili
PIN Personal Identification Number, Ki1isel Kimlik Numaras"
PING Packet Internet Groper, nternet Yoklay"c" Paketi
POP3 Post Office Protocol Version 3, E-posta ileti1im protokolü
PUKÖ Planla–Uygula–Kontrol Et–Önlem Al
viii
RFC Request For Comments, Yorumlar çin Rica
RIP Routing Information Protocol, Yönlendirme Bilgisi Protokolü
RIPE Reseaux IP Network Coordination Center, IP da0"t"m merkezi
RSH Remote Shell, Uzaktan komut çal"st"rma
RST Reset, S"f"rlama
SAN Storage Area Network, Veri Depolama A0"
SATAN Security Administrator Tool for Analyzing Networks, A0lar"n Çözümlenmesi için
Güvenlik Yöneticisi Arac"
SC SubCommittee, Alt Komisyon
SEAL Securing External Access Link, Harici Güvenlik Eri1im Hatt"
SEC Securities and Exchange Commission, Menkul K"ymetler ve Borsalar Komisyonu
SMTP Simple Mail Transfer Protokolü, Basit Posta Gönderme Protokolü
SNMP Simple Network Management Protocol, Basit A0 Yönetimi Protokolü
SOA Statement of Applicability, Uygulanabilirlik Beyannamesi
SOX Sarbanes-Oxley Yasas"
SQL Structured Query Language, Yap"sal Sorgulama Dili
SSI Server Side Includes, Sunucu Tarafl" Betik
SYN Synchronize, Senkronize
TCB Trusted Computing Base, Güvenli Hesaplama Esaslar"
TCK Türk Ceza Kanunu
TCP Transmission Control Protocol, letim Kontrol Protokolü
TFTP Trivial File Transfer Protocol, Önemsiz Dosya Aktar"m Protokolü
TKIP Temporal Key Integrity Protocol, Geçici Anahtar Bütünlük Protokolü
TOS Type of Service, Hizmet Türü
TSE Türk Standartlar" Enstitüsü
TTL Time To Live, Artan Ya1am Süresi
TÜB TAK Türkiye Bilimsel ve Teknik Ara1t"rma Kurumu
UDP User Datagram Protocol, Kullan"c" Veri Protokolü
UEKAE Ulusal Elektronik ve Kriptoloji Ara1t"rma Enstitüsü
UKAS United Kingdom Accreditaion Service, ngiltere Akreditasyon Kurumu
URL Uniform Resource Locator, Tekdüze Kaynak Konumlay"c"
US-CERT The United States Computer Emergency Readiness Team, ABD Bilgisayar Acil
Durum Haz"rl"k Ekibi
YTÜ Y"ld"z Teknik Üniversitesi
VPN Vitual Private Network, Sanal Özel A0"
ix
WASC The Web Application Security Consortium, Web Uygulamalar" Güvenlik
Konsorsiyumu
WEP Wired Equivalent Privacy, Kabloya E1de0er Mahremiyet Güvenlik Protokolü
WG Working Group, Çal"sma Grubu
WPA Wireless Fidelity (Wi-Fi) Protected Access, Kablosuz Ba0lant" Korumal" Eri1im
XSS Cross Site Script, Çapraz Site Kod Çal"1t"rma
x
EK L L STES
ekil 1.1 Bilgi güvenli0inde insan-teknoloji-süreç ili1kisi......................................................... 7

ekil 3.3.4.1.1 Güvenlik duvar" genel yap"land"rmas" ............................................................. 31
ekil 3.3.4.2.1 Sald"r" tespit sisteminin genel yap"land"rmas".................................................. 34
ekil 3.3.4.3.1 Sald"r" önleme sisteminin genel yap"land"rmas"............................................... 35
ekil 3.3.4.4. Terminal (Host IPS) sald"r" önleme sisteminin genel yap"land"rmas"................ 36
ekil 4.1.1 ITIL genel süreci (Johnson ve Higgins, 2007) ...................................................... 52
ekil 4.2.1 COBIT ana süreci .................................................................................................. 54
ekil 5.3.2.1 PUKÖ ad"mlar" ve BGYS döngüsü .................................................................... 69
ekil 5.3.2.2.Detayland"r"lm"1 üç katmanl" BGYS süreci [25]. ............................................... 70
ekil 7.9.1.Web uygulamalar"n"n zaafiyetleri art"1" ............................................................... 111
xi
Ç ZELGE L STES
Çizelge 5.4.1.1. ISO27001 için akredite edilmi1 sertifikasyon kurumlar" ............................... 72

Çizelge 5.4.2.1. Ülkelere göre sertifika alan firma say"s" ........................................................ 74
Çizelge 5.4.3.1 Ülkemizde BGYS sertifikas"n" alan kurumlar................................................. 75
Çizelge 6.1 Tehdit s"kl"k belirleme tablosu .............................................................................. 84
Çizelge 6.2 Aç"kl"k de0erlendirme tablosu .............................................................................. 84
Çizelge 6.3 Varl"k GBK seviyesi de0erlendirme tablosu ......................................................... 85
xii
ÖNSÖZ
Bu tezi haz"rlamamda beni devaml" olarak yönlendiren ve bilgilendiren sevgili hocam Prof.
Dr. brahim enol ve bilgilerinden çok faydaland"0"m Vural Y"lmaz’a, beni daima
destekleyen E1im Gamze Gülmü1’e ve beni motive eden k"z"m Bahar Gülmü1’e çok te1ekkür
ederim.
Bu tezin içindeki tüm bilgiler, akademik kurallar çerçevesinde elde edilerek ve mümkün
oldu0unca tez yaz"m kurallar"na uygun olarak düzenlenmi1tir. Bu çerçevedeki tez
çal"1mas"nda orijinal olmayan her türlü kayna0a da eksiksiz olarak at"f yap"lm"1t"r.
xiii
ÖZET
Bu çal"1mada bilgi güvenli0i ve unsurlar" incelenerek, kurumsal bilgi güvenli0i ve standartlar"

de0erlendirilmi1tir. Bu çerçevede kurumlar"n bilgi güvenli0ini zaafa u0ratacak tehditler,
riskler gözden geçirilerek, ülkemiz bili1im hukuku ve bili1im mevzuat" incelenmi1 ve risk
alt"ndaki uygulamalar de0erlendirilip web ve veri tabanlar" üzerinde yo0unla1m"1t"r. Bu
kapsamda kurumlar"n en de0erli varl"klar"ndan say"lan bilgi varl"klar"n"n korunmas" için
al"nacak önlemler belirlenerek sunulmu1tur.
Makul seviyede bilgi güvenli0inin sa0lanmas" için önemli olan i1lemler tekrar gözden
geçirilmi1 ve kurumsal bilgi güvenli0i yönetimi üzerindeki etkisi ara1t"r"lm"1, tesbit edilen
risklerin giderilmesi ve yönetilmesine yönelik çözüm önerileri sunulmu1tur.
Bu tez çal"1mas"n"n ülkemiz kurumsal bilgi güvenli0i yönetimi alan"nda yap"lan kapsaml" bir
çal"1ma olmas" nedeniyle ülkemizde bilgi güvenli0ine gereken önemin verilmesine katk"
sa0layaca0", kurum ve kurulu1lar için bir uygulama ve fark"ndal"k kayna0" olaca0", ve bilgi
güvenli0i bilincinin yükseltilmesine katk"da bulunaca0" tahmin edilmektedir.
xiv
ABSTRACT
In this study , information security and the elements of information security have been
examined. Enterprise information security and its standards have been evaluated. In this
context, the threats and risks of a company are reviewed for information security weaknesses.
Turkish Legislation about information systems has been reviewed and applications that are
subject to risks are assessed with a special focus on web and database applications. In this
perspective measures for protection of information assets, that are considered to be the most
valuable assets of a company, are determinedand presented.
Significant processes for attaining a reasonable level of information security have been
reviewed and their impact on corporate information security management has been
researched. Solution suggestions are proposed to avoid threats and to manage existing risks
properly.
As this study is a comprehensive study in the field of Enterprise Information Security in
Turkey it is expected to contribute to the importance attributed to information security, to be a
resource for implementation to enterprises and for a greater awareness on the topic and to
improve the overall consciousness on information security.
xv
1
1. GR
Bilgi; her zaman insano0lunun en de0erli varl"0" olmu1tur. Bilgi insanl"0"n ya1am"n",
dü1üncesini, davran"1"n", ileti1imini, geli1imini, üretmesini, tüketmesini belirleyen faktörlerin
ba1"nda her zaman yerini korumu1tur. Bilgi, en basit benzetme ile para gibi bir varl"kt"r.
Ki1iler, kurumlar, kurulu1lar ve ülkeler için bilgi, elde edilmesi ve ayn" zamanda elde
tutulmas" da zor olan bir varl"kt"r. Fikri mülk olarak tan"mlanan bu varl"k, bir kurumun bilgi
ve özbilgi (knowledge) varl"0"d"r. Bu önemli varl"0"n korunmas", tarih boyunca hayati bir
önem arz etmi1 ve daha ilkel zamanlarda bile korumak için çe1itli 1ifrelemeler kullan"lm"1t"r.
Bu önem, tarihteki en eski uygarl"klardan günümüze kadar devam etmi1tir. Günümüzde ise
bilginin ileti1im teknolojisinin h"zla geli1mesi ve geli1mesine devam edilmesiyle bilginin
insano0lunun hayat"nda daha da önemli hale gelmi1tir. Her yeni günde bilgi, ileti1im ve
teknoloji ile iç içe geçmekte ve kullan"m" artmaktad"r. Bu geli1meler do0rultusunda,
elektronik ortamlarda bulunan bilgiler, her geçen gün katlanarak ço0almakta, dolay"s"yla da
bilgi güvenli0inin en üst düzeyde sa0lanmas"na yönelik ihtiyaçlar, ki1isel ve kurumsal olarak
en üst seviyelere ç"kmaktad"r.
Günümüzde i1ler neredeyse tamam bilgi ve ileti1im ile yönetilmektedir. leti1im ve bili1im
teknolojilerinin h"zla geli1mesi ve ya1ant"m"z"n birer parças" olmas" ile; bilginin yönetilmesi,
i1 verimlili0in artmas", i1 ak"1lar"n"n h"zland"r"lmas", insanlar ile insanlar, insanlar ile
kurumlar ve kurumlar ile kurumlar aras"nda daha h"zl" ileti1im kurulabilmesi sa0lanm"1,
hayat"m"z kolayla1m"1 ve üretim ve tüketimde geli1mi1tir. Bili1im teknolojilerin geli1mesi ile
bilgilerin i1lenmesi, ta1"nmas", saklanmas" ve gerekti0inde geri ça0"r"lmas"nda da büyük
kolayl"klar sa0lanm"1t"r.
Bilginin geli1en elektronik ortamlarda i1lenmesi ve ileti1imin geli1mesi ile bilgiye eri1im
kolayla1m"1 ve mekandan eri1mesi ba0"ms"z hale gelmi1tir. Günlük ya1ant"m"zda yapmakta
oldu0umuz birçok i1 ve i1lemler kolayl"kla ve h"zl"ca yap"labilir hale gelmi1tir. Örne0in
Devlet kurumlar"ndan bilgi edinmek için bazen devlet dairelerine gitmeden istedi0imiz
bilgileri elde edebilmekteyiz. Bankac"l"k i1lemlerini bankaya gitmeden evimizde, i1
yerimizlerdeki bilgisayarlar"n veya mobil cihazlar" ile seyahat halinde bile yapmak, borç
sorgulamak, fatura ödemek, pasaport ve vize ba1vurusunda bulunmak, çe1itli rezervasyonlar"
yapmak, uçak bileti sat"n almak, araç kaza ve sigorta durumlar"n" sorgulamak, s"nav
sonuçlar"n" ö0renmek, ö0renci kay"tlar"n" yapt"rmak, hastane tetkik sonuçlar"n" almak ve
2
uzaktan e0itim almak veya vermek, bilgi ve ileti1imde var"lan noktaya verilebilecek
örneklerdir.
bilgi, ileti1im ve araçlar" hayat"m"z"n bir parças"na dahil oldu0una göre bu bilginin ve bilgiyi
ta1"yan veya depolayan ortamlar"n"n da korunmas"n" önemli k"lm"1t"r. Elektronik ortamlarda
bulunan, ki1i ve kurumlar"n sahip oldu0u bilgilerin mahremiyetlerinin korunmas", bu
ortamlar"n yayg"nla1mas"n"n önünün aç"lmas" ve bu ortamlarda herhangi bir kayb"n veya
zarar"n meydana gelmemesi için bu ortamlarda bulunan bilgilerin güvenli0inin sa0lanmas"
gereklidir.
Bili1im ve bili1im a0lar"n yayg"nla1mas", internet ortam" ve internet ortam"nda kullan"lan

uygulamalar"n yayg"nla1mas" ile bilgi güvenli0ini sa0lamak toplumda sadece bilgi
güvenli0iyle u0ra1an ki1i ve kurulu1lar"n u0ra1mas" ile mümkün olamamaktad"r. Bilgi ve
bili1im ça0" olarak adland"r"lan günümüzde, bilgi sistemlerinin küresellesmesi sonucunda bu
sistemlerle do0rudan veya dolayl" yönden ili1kisi olan ve bu sistemleri kullanan tüm birey ve
kurumlar"n katk"da bulunmas" gerekmektedir. Bunun önemli sebepleri i1 veya günlük özel
ya1am"n bir parças" haline gelen uygulamalar"n artmas", ihtiyaç duyulan bilgilerin a0 ve
internet sistemleri üzerinde payla1"m", bilgiye her noktadan eri1ilebilirlik, bu ortamlarda
meydana gelen aç"klar"n büyük tehdit olusturmas", elektronik ortam"nda organize suçlar"n
hergün artmas" ve en daha önemlisi kisi1el ve kurumsal kay"plarda meydana gelen art"1lar
olarak s"ralanabilir. A0lar"n birbirine ba0l" bilgisayarlardan olu1tu0unu dü1ünürsek, bir a0"n
kendisine ba0lanan bilgisayarlardan daha güvenli olmad"0" kolayca anla1"labilir (Locahart,
2006). Dolay"s"yla i1imizi ve ya1ant"m"z" kolayla1t"rmas"n" sa0layan i1lemlerin
h"zland"r"lmas"na katk"lar sa0layan bilgisayar ortamlar", insan hayat"nda günden güne daha da
önem kazanmakta ve her geçen gün de beraberinde güvenli0i üst düzeyde tesis etmeyi
sa0lanan güvenilir bilgi sistem platformlar"na ihtiyaç vard"r.
Herhangi bir bilgisayar ve dolay"s"yla a0"nda meydana gelen güvenlik ihlali bir anda bu a0"n
ba0l" oldu0u di0er a0lar" etkileyebilmektedir. Bu güvenlik ihlali, çe1itli uygulamalara zarar
verebilece0i gibi bazende bu uygulamalar"n eri1ilebilirli0ini imkans"zla1t"r"p bunlar" servis
veremez duruma getirebilmektedir. Bu kurumsal a0lar" üzerinden i1lemlere gerçekle1tiren,
ileti1imi sa0layan uygulama ve bilgilerin de0eri dü1ünüldü0ünde bilgi güvenli0inin tesis
etmenin önemi daha iyi anla1"lacakt"r.
3
Günümüzde bilgi ve bilgisayar güvenli0ine önem vermemenin, bize, çocuklar"m"za,

i1yerimize ve ülkemize maliyeti, zannetti0inizden çok daha fazlad"r (Canbek ve Sa0"ro0lu,
2006).
Günümüzde bilgi, ileti1im ve teknoloji ile iç içe geçmekte ve kullan"m" artmaktad"r. Bu

geli1meler do0rultusunda, elektronik platformlarda bulunan bilgiler, her geçen gün katlanarak
ço0almakta, dolay"s"yla da bilgi güvenli0inin önemi en üst düzeyde sa0lanmas"na yönelik
ihtiyaçlar da hem ki1isel hemde kurumsal olarak en üst seviyelere ç"kmaktad"r.
Günümüzde tüm i1ler art"k bilgi ve bilgi araçlar"yla yürütülmektedir. Bilginin bir k"sm" herkes
taraf"ndan bilinen(public)dir ve bu genel olarak da adland"r"labilir. Di0er bir k"sm" ise
herkesçe bilinmeyen veya bilinmemesi gereken bilgi olup bu da özeldir (privat). 1 bu k"s"m
da özel korumay" ve yetkilendirmeyi gerektirir.
Elektronik platformlarda sunulan hizmetlerin (internet bankac"l"k, e-fatura, e-bilet, e-ticaret,

e-devlet vs.) say"s" her geçen gün artmakta ve bu platformlar" kullananlar"n"n say"lar"n" da
ço0almaktad"r. Elektronik platformlarda hizmet veren kurumlar"n uygulamalar" art"kça bu
ortamlardan nemalanmak isteyen kötü niyetli ki1iler yani sald"rganlar"n bu ortamlara eri1me
iste0i veya cazibesi de artmaktad"r. Hatta bu ortamlar zamanla sald"rganlar"n cazibe merkezi
haline bile gelebilmektedir.
Günümüzde ki1ilerin güvenli0inin yan"nda ki1isel verilerinin de art"k ki1iler gibi korunmas"
gerekti0i bilinmektedir. Ki1isel veriler art"k ekonomik bir meta haline gelmi1tir (Y"ld"r"m,
2010). Özellikle içerisinde önemli bilgiler bulunduran bilgi sistemlerinin güvenli0inin
sa0lanmas" ve yönetimi önem kazanm"st"r.
Bilgi teknolojileriyle birlikte geli1tirilen elektronik uygulamalar bir yandan hayat"m"z"n

i1leyi1ini kolayla1t"r"rken di0er yandan da yeni güvenlik tehditlerini ve yeni suç tiplerini
beraberinde getirmektedir. Ki1ilerin, kurumlar"n ve hatta devletlerin sahip olduklar" önemli
bilgiler, bilgi h"rs"zl"0", korsan ataklar", bilgi s"zd"rmalar"n" ve kurumlar"n kötü niyetli
çal"1anlar"nca olu1turulabilecek bilgi suistimalleri ve ataklar" gibi çok geni1 bir yelpazeye
sahip kaynaklardan gelen tehditlerle kar1" kar1"ya gelebilmektedir. Bilgi güvenli0ini tehdit
eden durumlar sadece elektronik platformlardan yap"lan ataklarla s"n"rl" de0ildir. Çe1itli do0al
afetler, insan hatalar", yang"n, sel, deprem, terör sald"r"lar", sabotaj gibi olaylar sonucunda da
bilgi ve bilgi sistemleri zarar görebilmektedir.
4
Günümüzde elektronik platformlar üzerinde yap"lan güvenlik ihlal ve suistimalerinden

neredeyse her gün yenisi eklenmektedir. Bu durumdan elektronik platformlarda hizmet sunan
kurulu1lar ve hizmet alan kullan"c"lar da etkilenmektedir. Örne0in e-ticaret yapan bir al"1-
veri1 firmas"n"n kullan"c"lar bir ihlal veya sahtekarl"kla doland"r"ld"0"nda paras"n"
kaybederken, hizmeti veren sitenin itibari de kullan"c"lar nezdinde dü1er. Buna benzer tehdit
ve tehlikelerden etkilenmeyi en aza indirmek için kurumlara, organizasyonlara ve
kullan"c"lara dü1en önemli görevler vard"r. Kullan"c"lar"n bilgi güvenli0i konusunda bilinçli
olmalar" gerekirken, kurumlar"n da bilgi güvenli0i kültürünü kurum geneline yerle1tirmesi ile
beraber kurumsal olarak önlemler almas" gereken görevler dü1mektedir.
Kullan"c"lar bilgi güvenli0i hakk"nda edinecekleri bilinçlendirme ve bilgilendirme e0itimleri

sayesinde kendi üzerine dü1en görevleri anlay"p ve uygulayarak gerekli korumay" yapm"1
olacaklard"r. Kurumlar ise kurumsal bilgi güvenli0i anlam" ve öneminin temel gere0i olan
bilgi güvenli0i yönetim ve denetim standartlar"na uyumluluk kapsam"nda altyap"lar"n" gözden
geçirmeli ve gözden geçirme sonucunda ortaya ç"kan riskler ve ihtiyaçlara ba0l" olarak
al"nmas" gereken önlemleri almal"d"r.
Bilgi güvenli0i sa0lamak için bireyler ve kurumlar"n d"1"nda sosyal sivil örgütlere,
üniversitelere ve e0itim kurumlar"na da dü1en görevler vard"r. Bu kurulu1 ve örgütler,
vatanda1lar"m"z" bilinçlendirme çal"1malar" yütürmelidirler.
Bilgi güvenli0i sa0amak için ayr"ca devletimize de önemli görevler dü1mektedir. Özelikle
bilgi güvenli0inin sa0lanmas"yla ilgili yasa ve düzenlemelerin zaman"nda ç"kart"larak
hukuksal bo1luklar"n doldurulmas" gerekmektedir. Di0er önemli bir konu da bilgi güvenli0i
e0itimlerinin verilebilmesi ve bunu tüm ülke geneline yaymas" ile bilgi güvenli0i bilincinin
yayg"nla1t"r"labilmesi amac"yla gerekli olan çal"1malar"n ve düzenlemelerin yap"lmas"d"r.
Vatanda1lar"m"z"n sahip oldu0u ki1isel bilgi güvenli0i önem arz ederken, bundan daha da
önemlisi, vatanda1lar"m"z"n bilgi ve güvenli0ini do0rudan etkileyen kurumsal bilgi
güvenli0imizdir. Günümüzde hepimizin do0rudan veya dolay" yollardan üzerinde hizmet
ald"0"m"z bilgi sistemleri veya kurumsal bilgi platformlar"n bilgi varl"klar"n"n, güvenli0i
sa0lanmad"kça, ki1isel bilgilerinin de güvende oldu0u dü1ünülemez.
Ülkemiz verilerini de içeren güvenlik raporlar"nda kurumsal bilgi güvenli0i konusunda

kurumlar"m"z"n yeterince duyarl" olmad"0" ve gerekli olan önlemleri genellikle bilgisizlik,
5
maddi gerekçeler, personel yetersizli0i gibi nedenlerden dolay" alamad"klar" tespit edilmi1tir.
2008 y"l"ndan itibaren etkisini hissidelen global krizin etkisiyle kurumlar yeni teknolojileri
veya kendi uzmanl"klar" d"1"nda uzmanl"k gerektiren alanlar" takip etmeyi ve kurumsal
altyap"lar"n" buna uyarlama çal"1malar"n" yapamamaktad"rlar [1]. Kurumlar"n kendi kurumsal
bilgi güvenli0i yönetim sistemlerini olu1turmlar" için bilgi güvenli0i konusunda uzman olan
güvenlik elemanlar"na ihtiyaçlar" vard"r. Ülkemizde kurumlar"n kendi bünyesinde bilgi
güvenli0i alan"nda yeti1mi1 eleman bar"nd"rmas" çok azd"r. Baz" kurumlar, bilgi i1lemle ilgili
her i1i yapacak elemanlar ile bilgi güvenli0i sistemini kurmaya çal"1maktad"rlar. Baz"
kurumlar ya bünyesinde bilgi güvenli0i alandaki uzman ki1iler bar"nd"rarak yada bu aç"0"n"
d"1 kaynak kullanmalar" ile bilgi güvenli0i i1ini yürütmektedirler.
Bilgi güvenli0i sisteminin etkinli0ini ve güvenli0ini kontrol edilmesi için güvenlik testleri
(penetrasyon) yapan kurumlar"n say"s" ise yok denecek kadar azd"r. Asl"nda penetraston
testlerinin zaman zaman yap"lmas" son derece önemlidir. Bu i1i yapan firmalar"n do0ru
.
seçilmesi önemlidir. Ülkemizde bu penetrasyon testi yapan baz" firmalar mevcuttur
Penetrasyon testlerini yapt"ran kurumlar kendi network yap"s" ve uygulama zaafiyetlerini
önceden görme 1ans"na sahip olabilirler. Böylece birçok önlem alabilirler.
Öte yandan geli1tirilen birçok yeni donan"m ve yaz"l"ma ra0men bilgi teknolojilerine yönelik
güvenlik sald"r"lar" her geçen gün artmaktad"r. Bilginin gizlili0ine (confidentiality),
bütünlü0üne (integrity) veya kullan"labilirli0ine (availability) kar1" yap"lan sald"r"lar ciddi
risklere neden olabilmektedir . Bili1im sistemlerinde bu riskleri tamamen yok etmek
mümkün de0ildir. Ancak bu riskler, çe1itli güvenlik önlemleri ile kontrol alt"na al"nabilir ve
kay"plar" en aza indiririlebilir. Kurumlar taraf"ndan güvenlik önlemleri al"n"rken göz önüne
al"nmas" gereken önemli noktalar vard"r. Öncelikli olarak al"nan önlemlerin kurum çal"sanlar"
taraf"ndan benimsenmesi ve sahiplenilmesi gerekmektedir.
Di0er bir önemli nokta ise korunmas" gereken bilgi varl"klar"n"n koruma maliyetinin göz
önünde tutulmas"d"r. Varl"0" koruma maliyetinin, varl"0"n de0eri, varl"0"n zarar görme
Penetrasyon testi yapan kurumlar"n listesi tezin 8. Bölümünde verilmi1tir.

Confidentiality, integrity ve availability kavramlar" ilerde aç"klanacakt"r.
6
olas"l"0" (tehdit de0eri) ve varl"0"n zarar görebilme zay"fl"0"n"n çarp"m"ndan büyük olmas"na
önem verilmesi uygun olur. Aksi takdirde varl"0" korumak çok maliyetli olacakt"r.
Bilgi güvenli0inin sa0lanmas"na yönelik kurumlar taraf"ndan maddi yat"r"mlar

yap"lmad"0"nda meydana gelen zararlar"n ekonomik boyutu her geçen gün katlanarak
artmaktad"r. Bilgi güvenli0i ihlallerinin meydana getirebilece0i zararlar yap"lmas" gereken
güvenlik yat"r"mlar"yla k"yasland"0"nda fark"n çok büyük oldu0u güvenlik firmalar"n"n
yapm"1 oldu0u ara1t"rmalar taraf"ndan aç"kça görülmektedir. Dünyada ve ülkemizde bilgi
güvenli0i alan"nda yap"lan ara1t"rmalara, tez çal"1mas"n"n 3. bölümünde olarak yer verilmi1tir.
Kurumsal bilgi güvenli0i gözönünde insan faktörün de bulundurulmas" ve buna göre önlemler
al"nmas" gerekmektedir. ekil 1.1’de görülece0 üzere bilgi güvenli0inin halkalar"ndan birisi
insand"r. Hatta bunun en zay"f halkas" insand"r [2]. Her türlü güvenlik önleminin al"nmas"na
kar1"n, insan"n içinde yer ald"0" her sistemde mutlaka bir aksaman"n meydana gelmesi, bir
aç"0"n olu1mas" mümkündür. Çünkü, insan bilgisayar sistemleri gibi çal"1mamakta, karar
al"rken sadece mant"k de0il duygusal de0erleri de göz önünde bulundurdu0undan dolay"
zaman zaman hataya dü1ebilmektedir. Bu hatalar ve insanlar"n kurallar" tam olarak
uygulamamas" sistemlerde ciddi güvenlik aç"klar"n"n olu1mas"na sebep olmaktad"r. Bu
yüzden, kullan"c"lar"n güvenlik konusunda bilgilendirilmeleri ve sistem kullan"m" s"ras"nda
almalar" gereken önlemler konusunda e0itilmelidirler.
7
ekil 1.1 Bilgi güvenli0inde insan-teknoloji-süreç ili1kisi
Bilgi güvenli0i, bilginin üretildigi, i1lendi0i, ta1"nd"0" ve sakland"0" her ortamda sa0lanmak
zorundad"r. Bilginin korunmas"na çal"1"ld"g" ilk günden itibaren güvenlik zincirinin en zay"f
halkas"n" her zaman insanlar olu1turdu0u yukar"daki paragrafta zikredilmi1ti. Birçok teknik
veya teknik olmayan güvenlik kontrolleri uygulansa dahi bu kontroller sald"rganlar taraf"ndan
en zay"f halka olan insan faktörü kullan"larak çe1itli yöntemlerle a1"labilmektedir. Genel bir
söylem olan “gücünüz en zay"f halkan"z kadard"r” ilkesi bilgi güvenli0i içinde geçerlidir
(Kabay, 2007). Bilgi güvenli0ini en üst düzeyde tehdit eden ve güvenlik kontrollerinin
a1"lmas"n" sa0layan önemli risklerin bas"nda insan faktörü gelmektedir. Bilgiye eri1en, onu
yönlendiren ve kullanan insanlar"n kar1"la1abilece0i riskleri görmezden gelmek kurumsal bilgi
güvenli0i aç"s"ndan kurumlar"n yapabilece0i en ciddi hatalardan bir tanesidir. Günümüzde
sald"rganlar teknolojik olmayan ve engellenmesi daha zor olan sosyal teknikleri daha fazla
tercih etmektedirler. nsan faktörünü kullanarak bilgi güvenli0i ihlalleri olu1mas"n" sa0layan
aldatmaca sanat" teknik yöntemlere göre daha tehlikeli sonuçlar"n olu1mas"n" sa0layan önemli
bir sald"r" arac"d"r (Munro, 2005).
Sosyal mühendislik* olarak adland"r"lan aldatma sanatç"lar"n"n amaçlar" bilgiye eri1im yetkisi
olan kullan"c"lar arac"l"0"yla güvenlik teknolojilerinin atlat"lmas"n" (by-pass) sa0lamakt"r.
Teknolojik önlemler sosyal mühendislik sald"r"lar"ndan kurumlar" koruyamaz çünkü
sald"rganlar"n hedefinde ne güvenlik duvar", ne veri taban" ne de bir web sunucusu vard"r.
Onlar için hedef sadece insanlard"r (Mitnick vd, 2003). E0er hedef bir yaz"l"m olsayd"
yaz"l"m"n zafiyetini gidermek için yamalar yaz"larak veya yeniden kodlanarak güvenli hale
getirilebilirdi. Ancak söz konusu insan oldu0undan güvenlik zafiyeti çal"1anlar"n bilgi
güvenli0i konusunda yeterli bilince ve bilgiye sahip olmas"yla giderilebilmektedir.
Kurumsal bilgi güvenli0inin tesis edilmesi ile ilgili olarak bu tez çal"1mas"nda da güvenli0in
sadece bir uygulama, ürün veya hizmet olmad"0" asl"nda bunun bir süreç oldu0u bu sürecin
insan, e0itim, teknoloji ve i1lem (proses) olarak alg"lanmas" ve uygulanmas" ile makul
seviyede bilgi güvenli0inin sa0lanmas"n"n"n mümkün olabilece0i aç"klanm"1t"r. Bu amaç ile
bu bölümde insan faktörü üzerinde fazla durulmu1tur.
*
Sosyal Mühendislik, insanlar" kendilerinin yarar"na olmayan hareketler yapmaya te1vik etmek, kand"rmak ve
bunlardan faydalanarak güvenlik süreçlerini atlatma yöntemine dayanan i1lere verilen isimdir
8
Bilgi güvenli0inin sa0lanmas"nda e0itimin önemi büyüktür. Teknoloji ve ileti1im ça0" ile
beraber özellikle de internet ortam"ndaki sosyal a0lar"n geli1mesi ile birlikte gerek ki1isel
bilgilerin korunmas" gerekse kurumsal bilgilerin korunmas" bir hayli zorla1maktad"r. Bundan
dolay" ülkemizde bilgi güvenli0i e0itiminin verilmesiyle ilgili olarak üniversitelerimiz,
okullar"m"z ve Milli E0itim Bakanl"0"m"za önemli görevler dü1mektedir.
Okul müfradatlar"nda bili1im güvenli0i ile ilgili derslerin konulmas" ve uygulanmas" ki1isel
ve kurumsal olarak bilgi güvenli0i bilincini geli1tirecektir.
Yukar"da 1u ana kadar özetlendi0i üzere, kurumsal bilgi güvenli0i konusu bir zincirin
halkalar" misali birbirleriyle alakal" e0itim, insan, teknoloji, i1lem, süreçler, standartlar gibi
birçok unsuru içinde bar"nd"rmaktad"r. Bundan dolay" ülkemizde elektronik ortamlar"
kullananlar" ilgilendiren önemli bir konudur.
Bu tez çal"1mas" kapsam"nda bilgi, bilgi varl"0", bilgi güvenli0i, kurumsal bilgi, kurumsal
bilgi güvenli0i, bilgi güvenli0i yöntem ve standartlar", Bilgi sistemleri risk yönetimii bilgi
güvenli0ini istirmas eden zaafiyetler ve tehditleri, penetrasyon testleri ve ülkemizde s"zma
testleri yapan firmalar", bu testlerde kullan"lan araçlar, web ve veritaban" uygulamalar"na
ili1kin tehditler, bilgi güvenli0inin sa0lanmas"na etki eden ünsürlar gibi konu ba1l"klar" alt"nda
ara1t"rmalar sunulmu1 ve yap"lan uygulamalar aç"klanm"1t"r.
Bu tez kapsam"nda; kurumsal bilgi güvenli0inin anla1"labilmesi için öncelikle geni1 bir
anlama sahip olan bilgi ve bilgi varl"0" kavram"n"n aç"klanmas" gerekmektedir. Bu kavramlar
bölüm 2’de “Bilgi Ve Bilgi Varl"klar"” ba1l"0" alt"nda aç"klanm"1t"r.
Bilgi sistemlerinin tarihçesi ve geçmisten günümüze kadar bilginin güvende tutulmas" için
geli1tirilen yöntemlerin anla1"labilmesi için bilgi güvenli0inin geli1imi hakk"nda bilgi sahibi
olunmas" gereklidir. Bu konular bölüm 3’de “Bili1im Sistemleri Güvenli0i” ba1l"0" alt"nda
anlat"lm"1t"r.
Bilgi güvenli0i yönetim sistemleri olu1turulurken dünya genelinde kabul görmü1 standartlar"n
uygulanmas" ve kurum ve kurulu1lara uyarlanmas" amac"yla kurumsal bilgi güvenli0i
politikalar"n"n, standartlar"n ve prosedürlerin ve süreçlerinin yaz"lmas" gerekmektedir. Bu
durum gösteriyor ki bilgi güvenli0inin sa0lanmas"nda bilgi güvenli0i sürecinin süreklili0i ve
yönetimi daha fazla önem kazanmaktad"r.
Kurumlar"n standartla1ma sa0lamas" için kabul gören standart ve çerçevelere (Framework)

9
göre bilgi i1lem i1 ve süreçlerini organize etmesi gerekmektedir. Bilgi güvenli0i ve yönetimi
ile ilgili kabul gören uluslararas" standart ve çerçevelerin ba1l"calar" ISO 27001, ITIL, PCI,
HIPAA, COBIT, CMMI, PRINCE2, BS25999 vs ‘dir.
Bu çal"1mada bu konunun önemi gözetilerek kurumsal bilgi güvenli0inin sa0lanmas"nda

önemli bir yeri olan bilgi güvenlik yönetimi sistemleri ve standartlar" “Kurumsal Bilgi
Güvenligi Yönetim Sistemleri” konu ba1l"0" alt"nda Bölüm 4’de anlat"lm"1t"r.
Standartlasma konusuna önderlik eden Ingiltere taraf"ndan geli1tirilen BS–7799 standard",

ISO taraf"ndan kabul görerek önce ISO–17799 sonras"nda ise ISO– 27001:2005 ad"yla dünya
genelinde bilgi güvenli0i standard" olarak kabul edilmi1tir [3].
Ülkemizde Avrupa Birligi Uyum Kriterlerinde de ad" geçen bu standartlar"n uygulanmas"

konusunda yap"lan çal"1malar yap"lmakla beraber standart" denetimi yapt"r"p sertifi alan
kurum say"s" sadece 20 dir. Bu kurumlardan birkaç tanesi de kamu kurumudur[4].
ISO–27001:2005 standard" ülkemizde Türk Standartlar" Enstitüsü (TSE) taraf"ndan TS

ISO/IEC 27001 “Bilgi Güvenli0i Yönetim Sistemi” standard" ad" alt"nda yay"nlanm"1 ve
belgeleme çal"1malar" ba1lat"lm"1t"r.
ISO 27001 standard" kapsam"nda kurumsal bilgi varl"klar"n"n güvenli0inin istenilen düzeyde
sa0lanabilmesi amac"yla bir dizi prosedür ve uygulamalar"n pratikte çal"1mas" gerekmektedir.
Bu konuyla ilgili olarak ISO 27001 standard"n"n kendisi ve uygulama ad"mlar" “Iso/Iec
27001:2005 Bilgi Güvenli0i Yönetim Sistemi (BGYS)” ba1l"0" alt"nda bölüm 5’te kapsaml"
aç"klanm"1t"r
Bili1im teknolojileri sürekli geli1en ve de0isen bir yap"da oldu0undan, bilgi güvenli0inin
kurumsal bilgi güvenli0inin sa0lanmas" amac"yla bilgi güvenli0i ya1ayan bir süreç olarak ele
al"nmal", sistemler güncellenmeli, e0itimler al"nmal", olu1abilecek yeni tehdit ve riskler
kar1"s"nda yat"r"mlar"n zaman"nda ve do0ru bir 1ekilde yap"lmas" gerekmektedir. Karma1"k
süreçlerden olu1an kurumsal bilgi güvenli0inin sa0lanmas" ve bilgi güvenli0i ya1am
döndügünün döndürülebilmesi amac"yla bilgi güvenli0i yönetim sistemleri bilgi sitemlerinin
risklerinin yönetilmesi gerekmektedir. Bu konu” Kurumsal Bilgi Güvenli0i Risk Yönetimi”
ba1l"0" alt"nda bölüm 6’da aç"klanm"1t"r
Günümüzde kurumsal bilgi güvenli0inin sa0lanabilmesi için bili1im sistemleri için risk
meydana getiren zaafiyet ve tehdit s"n"flar"n"n aç"klanmas" al"nmas" gereken önlemlerin
10
planlanmas" aç"s"ndan önem ta1"maktad"r.
Yukar"da da bahsedildi0i üzere internet h"z kapasiterlerinin artmas" ve ileti1imin geçmi1e

nazaran maliyetlerinin dü1mesi ile bir çok uygulama internet üzerinden ula1"labilir duruma
gelmi1tir. Bununla birlikte beraberinde çe1itli zaafiyetleri ve tehditler de getirmi1tir. Özellikle
web uygulama ve servislerin say"s"n"n artmas"yla internet üzerinden bilgilere eri1im
kolayla1m"1 ve çe1itli hizmet ve i1lemler mekân ve zamandan ba0"ms"z hale gelmi1tir. Bilgiye
eri1imin internet gibi aç"k ortamlardan yap"lmas" üst seviyede bilgi güvenli0inin
sa0lanmas"n" zorunlu k"lmaktad"r. Ülkemiz ve dünya genelinde bilgi güvenli0i zafiyetlerinin
web ve veritaban" uygulamalar"nda yo0unla1t"0" ve tehditlerin artt"0" tespit edilmi1tir. Bu
konu ”Kurumsal Bilgi Güvenli0ini stismar Eden Tehditler” ba1l"0" alt"nda bölüm 7’de
aç"klanm"1t"r
Kurumsal bilgi sistemlerinin güvenli0inin sa0lanmas"nda zaafiyetlerin ve eksikliklerin erken

teshisinin önemi büyüktür. Yap"labilecek sald"r"lardan önce güvenlik zaafiyet ve aç"klar"n
tespit edilmesini sa0layan penetrasyon(s"zma) testlerinin yap"lmas" kurumsal bilgi
güvenli0inin sa0lanmas" aç"s"ndan önem ta1"maktad"r. Yine bir uygulaman"n da çal"1ma
ortam"na (Prodection ortam"na ve k"saca Prod ortam"na) al"nmadan önce zaafiyet ve güvenlik
testlerininin yap"lmas" da çok önemlidir. Ülkemizde k"smen kullan"lan s"zma testlerinin
tan"m", hangi amaçla kullan"ld"0"n"n kurumlar taraf"ndan bilinmesi kurumsal bilgi
güvenli0inin sa0lanmas" ve s"zma testlerinin yayg"nla1mas" aç"s"ndan gereklidir. Kurumsal
bilgi güvenli0inin sa0lanmas"nda önemli bir role sahip olan, ülkemizde bu alanda k"smen
kullan"m" mevcut olan penetrasyon testleri bu testlerde kullan"lan araçlar ve bu testi yapan
firmlar"n listesi hakk"ndaki konular “Bilgi Varl"klar"klar"n" Korumay" Amaçlayan
Peneterasyon Testleri” konu ba1l"0" alt"nda Bölüm 8’de aç"klanm"1t"r.
Dünyada ve ülkemizde bili1im güvenli0inin ilerleme yönlerini görerek önleyici tedbirleri

alabilmek amac"yla güvenlik firmalar"n"n yay"nland"0" raporlar"n bilinmesinde fayda vard"r.
Bili1im ve ileti1im ortam ve teknolojilierinin h"zla geli1emesi, a0 kapasitelerinin artmas" ve

sosyal a0lar"n geli1mesi ile ki1iler ve gruplar aras"nda sanal ortamlar"n artt"0" bilinmektedir.
Bu ortamlardan kamuya yararl" hizmetler ve bilgiler payla1"lmas"n"n yan"nda ç"kar amaçl"
ortamlarda olu1maktad"r. Bu tip bilgi güvenli0i ihlallerinin önlenmesinde cayd"r"c" güç olarak
veya meydana gelen güvenlik ihlallerinin cezaland"r"lmas"nda kullan"lmak üzere bilgi
11
güvenli0iyle ilgili mevzuata hâkim olunmal"d"r. Yukar"da s"ralanan ihtiyaçlar"n aç"klanmas"

amac"yla bilinmesi gerekenler “Bilgi Güvenli0i Mevzuat" ve Ülkemizde bili1im Hukuku”
konu ba1l"0" alt"nda Bölüm 9’da anlat"lm"1t"r.
Tez çal"1mas"n"n bir bütün olarak de0erlendirilmesi, elde edilen bulgular, ülkemiz aç"s"ndan
sa0lanan katk"lar, çal"1malar s"ras"nda kars"la1"lan güçlükler, kazan"mlar ve sunulan öneriler
“Sonuç ve Öneriler” konu ba1l"0" alt"nda Bölüm 10’de verilmi1tir.
12
2. B LG ve B LG VARLIKLARI
Bilgi teknolojilerinin yayg"nla1mas" ile beraber bilgi üretimi de ciddi boyutlarda art"1
göstermi1tir. Bilgi teknolojileri yayg"nla1madan önce, bilginin büyük bir ço0unlu0u bas"l"
dokümanlarda iken, günümüzde bilgi teknolojileri taraf"ndan i1lenir duruma gelmi1tir. Bu
nedenle günümüzde bilgiye eri1me imkânlar" geçmi1 ile kar1"la1t"r"lamayacak seviyede
artm"1t"r. Bu durum, birçok dezavantaj" beraberinde getirmektedir. Bilgi teknolojileri üzerinde
bilinçli veya bilinçsiz yap"lan hatalar"n çok ciddi sonuçlar do0urmas" olas"d"r. Bilgi
teknolojilerindeki aç"kl"klar ve dikkatsiz yap"land"rmalar bilgiye yetkisiz eri1ime yol açabilir.
Bu durumda bilginin yetkisiz imhas", de0i1tirilmesi ve görülmesi söz konusu olabilir.
Geçmi1te sadece fiziksel güvenli0in tesis edilmesi ile sa0lanan bilgi güvenli0i, günümüzde
kurumlar"n en çok zorland"klar" ihtiyaçlar"n ba1"nda gelmektedir.
Bilgi ça0" [5] olarak olarak adland"r"lan günümüzde bilginin çok daha önem kazanmas" ile
birlikte bilginin korunmas" ve güvenli0inin sa0lanmas"da beraberli0inde gelmektedir. Bilgi
üretilip i1lendi0i, ta1"nd"0" ve sakland"0" bili1im sistemlerinin güvenli0i dünyada ve
ülkemizde güncel yerini korumu1tur. Birinci bölümde önemi vurguland"0" üzere günümüzdeki
toplumlar"n temel hammaddesi olan bilgiler elektronik ortamlarda i1lendikçe, ta1"nd"kça ve
saklan"kça bu ortamlarda al"nmas" gereken önlemlerin, emek, metodoloji, güvenlik seviyeleri,
de0er, maliyet ve boyut aç"s"ndan da farkl"l"klar gösterebilmektedir. Bilgi güvenli0inin do0ru
oranda sa0lanmas" için bilgi varl"klar"n"n s"n"fland"r"lmas" ve bu s"n"fland"rmaya göre
de0erinin iyi tespit edilmesi, iyi derecede bir bilgi güvenli0i bilincinin yerle1mesi, kullan"lan
yaz"l"m ve donan"m zay"fl"klar"n"n iyi takip edilmesi, meydana gelen zay"fl"klar"n her an
izlenmesi ve giderilmesi, meydana gelebilecek zay"fl"klar"n önceden tespit edilerek
zaman"nda giderilebilmesi, bu önlemlerin al"nmas" için çal"1anlar"n e0itim ve beceri sahibi
olmas", sistemleri ve bilgileri belirli politikalar çerçevesinde korumak ve bu bilinçle
güvenli0in dinamik bir süreçte ele al"nmas" gerektigi art"k bilinen veya bilinmesi gereken
konulard"r.
Tez çal"1mas"n"n bu bölümünde konunun öneminin daha iyi anlat"lmas" ve bilgi güvenli0i
fark"ndal"0"n olu1turulmas" için bilgi ve bilgi varl"0" incelenmi1tir.
2.1 Bilgi
Bilgi (information) kelimesinin men1ei, Latince’deki herhangi bir 1eye sekil vermek anlam"na
13
gelen “informare” kelimesinden gelmektedir (Floridi, 2010). Bilgi insan ile obje (nesne)
aras"ndaki kar1"l"kl" ili1kiden ç"kan bir sonuçtur. Sözlük anlam"yla bilgi; ö0renme, ara1t"rma
ve gözlem yoluyla elde edilen her türlü gerçek, malumat ve kavray"1"n tümü, insan akl"n"n
erebilece0i olgu, gerçek ve ilkelerin bütünü, insan zekâs"n"n çal"1mas" sonucu ortaya ç"kan
dü1ünce ürünü gibi anlamlar" bulunmaktad"r. Bilgi literatürde çok farkl" 1ekillerde
tan"mlanmaktad"r. Bilgi, do0rulu0u ispatlanm"s inançlard"r. Bilgi, sosyal olaylarda kar1"m"za
ç"kan eylem ve olaylar" anlamam"za yard"m eden i1aret ve kodlamalard"r (Argyris, 1993).
Bilgi, günümüzde i1letmeler için önemli bir varl"k durumuna gelmi1tir. Tek ba1"na maddi ve
finansal varl"klar, i1letmelerin uzun dönemli ba1ar"s" için art"k yeterli de0ildir. En iyi bilgi ve
enformasyona sahip olan, istikrarl" bir 1ekilde yeni bilgi yaratan, bu bilgiyi organizasyonun
her yerine geni1 ölçüde yayan, yeni teknolojilerde ve ürünlerde h"zla kullanan ve inovasyana
olu1turabilen firmalar"n ba1ar"l" oldu0u görülmektedir (Nonaka ve Takeuchi, 1995).
Üretim kavram"n"n ortaya ç"kt"0" ilk zamanlardan beri var olan, hissedilen ancak fiziksel bir
niteli0i olmamas"ndan dolay" görünmeyen bir varl"k olan bilgi, son y"llarda özellikle bilgi
teknolojilerine dayal" sistem ve uygulamalar"n geli1mesi ve buna paralel olarak bu kurumlarda
üretilen ürün ve hizmetlerin de0erlerinin tam olarak belirlenemesi bu de0erlerin ancak bilgi
sistem araçlar" ile ortaya ç"kma sonucu, bu varl"0"n fark edilmeye ba1lanmas"na neden
olmu1tur. Bunun sonucunda geli1mi1 kurumlarda bilgi art"k bir varl"k olarak tan"mlanmaya
ba1lanm"1t"r (Calder ve Watkins, 2007).
Bilgi günümüzde art"k bir varl"k olarak tan"mlanmal" ve ki1i, kurum ve kurulu1lar için önemli
ve de0erli olan bir kaynak gibi muamamele görmeli ve korunmal"d"r.
2.1.1 Bilgi Varl.klar.
ISO standartlar" bilgi varl"0"n", ki1i ve kurumlar"n sahip oldu0u ve kendisi için maddi veya
manevi de0er ifade eden ve bu nedenle uygun korunmay" gerektiren tüm unsurlar 1eklinde
tan"nlam"1lard"r (Iso, 2005).
Bir kurumun sahip oldu0u dokümanlar raporlar, defterler, para kasas", sermayesi,
veritabanlar", mü1teri bilgileri, personel dosyalar", ö0renci bilgileri,not kay"tlar", rekabet
bilgileri, web sayfalar", sistem odalar", sunucu, bilgisayar, a0, telefon gibi bili1im sistemler
gibi varl"klar, bilgi varl"0"na örnek verilebilir.
14
2.1.1.1 Kurumsal Bilgi Varl.klar.n.n S.n.fland.r.lmas. ve Korunmas.
Bilgi varl"0", ki1i, kurum ve kurulu1lar için önemli ve de0erli olan bir kaynakt"r ve korunmas"
gerekir. çeri0ine göre bireysel ve kurumsal olmak üzere ikiye ayr"labilir. Bireysel bilgi,
kurumsal bilgi taban"n"n geli1mesi için gerekli olan beceri ve yeteneklerden olu1maktad"r.
Kurumsal bilgi, kurum içinde üretilen veya kuruma d"1ar"dan gelen, o kurumla ilgili kay"tl" ya
da kay"ts"z her türlü bilgiyi ifade etmektedir. Kurumsal bilgi, bireysel bilgilerin toplam"n"n
yan" s"ra, di0er kurumlar taraf"ndan kolayca taklit edilemeyecek 1ekilde insan, teknoloji ve
yönetim ilkeleri aras"nda üretilen bilgi kaynaklar"n" ifade etmektedir (Bhatt, 2001).
Bilgi güvenli0i aç"s"ndan kurumsal olarak güvenlik risk seviyelerine göre korunmas" gereken
varl"kl"k a1a0"daki gibidir (Iso, 2005):
Bilgi varl.klar.:
Kurulu1un tüm bilgi sistemlerinde i1lenen ve saklanan tüm bilgilerdir. Bu varl"klar, fiziksel ve
mant"ksal ortamlarda bulunabilir. Veritaban", data dosyalar", mü1teri bilgileri,çal"1an özluk
bilgileri, sözle1meler, sistem dökümanlar", kullan"c" rehberleri, ara1t"rma dökümanlar", kurum
rekabet ara1t"rmalar" vs. örnek verilebilir. S"n"fland"rmas" a1a0"daki 1ekilde yap"labilir:
• Yaz.l.mlar: 1letim sistemleri, uygulama yaz"l"mlar", veritabanlar"nda duran bilgileri,

geli1tirme araçlar", çizim ve hesap araçlar" vb.
• Fiziksel varl.k ve donan.mlar: Sunucular, PC’ler, fax-fotokopi, telefonlar vb.
• nsan Kaynaklar.: Çal"1an personel.
• Hizmetler: Bilgi sistemlerinin ba0"ml" oldu0u ileti1im ve bilgisayar hizmetleri, enerji,

"s"tma, so0utma gibi genel hizmetler, i1 süreçleri gibi.
• Maddi olmayan varl.klar: Entellektüel varl"klar, imaj ve itibar örnek verilebilir..
Kurumsal bilgilerin di0er kurumlar taraf"ndan taklit edilmesi, söz konusu unsurlar aras"nda
olu1turulan etkile1im, kurumun kendine özgü kültürü ve kurumun tarihçesini de içine
ald"0"ndan zor ve zaman al"c"d"r.
Bu tan"mlar"n iyi bilinmesi bilgi varl"klar"n"n fark"nda olunmas" ve de0erlerinin do0ru bir
1ekilde belirlenmesi makul seviyede bir bilgi güvenli0inin sa0lanmas" için önemlidir.
Günümüzde kurumlar aç"s"ndan kurumsal bilginin önemini göstermesi aç"s"ndan 1998
15
y"ll"nda kurulan ve 2004 y"l"nda halka aç"lan (Borsada i1lem gören) Google firmas" buna
örnek olarak verilebilir [6]. Günümüzde neredeyse yüzy"ll"k <irketleri piyasa de0erleri ile
k"yasland"0"nda Google firmas"n"n piyasa de0erinin çok daha yüksek oldu0u görülmektedir
[7]. Bilginin günümüz rekabetçi pazarlar"nda son derece büyük bir role ve öneme sahip
oldu0unu ve gelecekte daha da öneminin artacag"n" kan"tlayan buna benzer örnekler her geçen
gün daha fazla ortaya ç"kmaktad"r.
Kurumsal bilginin rekabeti körükleyici, itici, üretken gücünü do0ru ve yerinde kullanan
kurumlar, dünyan"n her bölgesinde rekabet edecek duruma gelebilmektedirler. Kurumsal bilgi
yönetiminin bu derece önemli oldu0u günümüzde kurumsal bilgilerin güvende olmas" ve
güvenli 1ekillerde ta1"nmas" çok önemlidir. Kurumsal bilgi güvenli0inin sa0lanmas" her
kurum için olmazsa olmazlar"n ba1"nda gelmektedir.
Bu tez çal"1mas"nda bunun gerekçelerini ortaya koymak ve al"nmas" gereken önlemleri

sunmak, ülkemizde tam olarak henüz önem verilmeyen kurumsal bilgi güvenli0i yönetimi
süreçlerini ele al"p kurumlar"n bilgi güvenli0i ihlallerinden do0abilecek kay"plar"n"n
azalt"lmas"nda dikkat edilmesi gereken hususlar" göstermek de hedeflenmi1tir.
16
3. BL M S STEMLER GÜVENL >
3.1 Bilgi Güvenli?ine Genel Bak.<
Bilgi güvenli0i, bilgiyi yetkisiz eri1imlerden koruyarak gizlili0ini(confidentiality) sa0lamak,

bilginin bozulmadan taml"0"n"(bütünlük) ve do0rulu0unu (integrity) temin etmek ve istenilen
zamanda eri1ilebilirli0ini(availability) garanti etmekdir (Isaca, 2009).
Bilgi güvenli0inin denince için gizlilik, bütüntük ve eri1ilebilirlik kavramlar" ön plana

ç"kmaktad"r.
Bilginin gizlili?i(confidentiality) ile kastedilen, bir bilgiye sadece o bilgiye eri1mesi gereken
ki1i veya ki1ilerin eri1imine izin verilmesidir.
Bilginin bütünlü?ü(integrity), o bilginin tahrif edilmeden, de0i1tirilmeden oldu0u gibi

orjinal hali ile durmas"d"r.
Bilginin eri<ilebilirli?i veya kullan.labilirli?i(availability) bilgiye istenilen ve makul olan

zamanda eri1ilmesi ve kullan"lmas"d"r.
Bu üç kelime ingilizce olarak CIA (Confidentiality, Integrity, Availability) k"salt"l"p Türkçe

GBK(Gizlili0ini, Bütünlük, Kullan"labilirlilik) olarak da kullan"l"r.
3.2 Bili<im Korsanl.?.n.n Tarihi
Bilgi ve bilgi güvenli0i öneminin daha iyi anla1"lmas" için bilgi ve bili1im h"rs"zl"0"n"n da
bilinmesinde yarar vard"r. Bili1im, insano0lunun teknik, ekonomik ve toplumsal alanlardaki
ileti1iminde kulland"0" ve bilimin dayana0" olan bilginin, özellikle elektronik makineler
arac"l"0"yla, düzenli ve ussal biçimde i1lenmesi bilimidir. Bilgi olgusunu, bilgi saklama,
eri1im dizgeleri, bilginin i1lenmesi, aktar"lmas" ve kullan"lmas" yöntemlerini, toplum ve
insanl"k yarar" gözeterek inceleyen uygulamal" bilim dal"d"r. Bili1im, bilgi eri1im dizgelerinde
kullan"lan türlü araçlar"n tasarlanmas", geli1tirilmesi ve üretilmesiyle ilgili konular" da kapsar.
Bundan ba1ka her türlü endüstri üretiminin özdevimli olarak düzenlenmesine ili1kin teknikleri
kapsayan özdevin alan"na giren birçok konu da, geni1 anlamda, bili1imin kapsam" içerisinde
yer al"r [8].
Bili1im korsanl"0"(h"rs"zl"0" ) bilgi ve bili1im sistemelerine yetkisi olmad"0" halde bu bilgi ve

17
sistemlere giren, girmeye çal"1an, sistemlere sald"rarak devre d"1" b"rakan(DoS ve DdoS
denial of service*), bilgi ve sistemlere zarar veren, kendisine ait olmayan bu bilgiyi if1a eden
diye tan"mlanabilir (Shahim, 2009).
Bili1im güvenli0i denildi0inde insan faktörü, teknoloji ve sürecin birarada de0erlendirilmesi

gerekir. Bilgi güvenli0i öneminin anla1"labilmesi, bilgi varl"klar" ve hizmetlerinin
zaafiyetlerini kullanan tehditleri ve önlemleri konusunda geçmiste ya1anan olaylar" ve bu
olaylar"n sonucunda meydana gelen güvenlik ihlallerinden ders alarak gelecekte benzer
hatalara dü1memek ve korsanlar"n gelecekte bili1im sistemlerinin güvenli0i konusunda neler
yapabilece0ine dair do0ru tahminler yap"lmas" aç"s"ndan önemlidir. Bu zaafiyetleri en iyi
anlama yolu sistem veya uygulamalar" güvenlik testlerine (güvenlik-s"zma testleri veya
penetrasyon) tabii tutmakt"r. Bu testleri yaparken dikkat edilmesi gereken önemli nokta
testlerin gerçe0e yak"n olmas"n"n sa0lanmas"d"r. S"zma testleri yap"l"rken gerçek bir sald"rgan
gibi dü1ünerek sald"rganlar"n kulland"0" araç, yöntem ve becerilerle kurumsal bilgi
varl"klar"n"n güvenlik sevileri test edilmelidir.
Geçmisten günümüze kadar bili1im sistemlerinin güvenli0ini tehdit eden sald"r"lar"n ve al"nan
önlemlerin neler oldu0u, günümüze kadar geçirdi0i de0isim ve geli1im süreçlerinin
bilinmesinde fayda vard"r.
1960'lar, ilk bilgisayar hackerlar" Amerika'da M.I.T.'de (Massachusetts Institute of

Technology) ortaya ç"km"1t". Elektrikli trenleri kurcalay"p daha h"zl" ve farkl" çal"1mas" için
de0i1tiren yani "hack" eden model tren hobi grubunun üyelerini temsil eden "hacker", ayn" i1i
bilgisayarlar üzerinde, yaz"l"mda yapan grubun üyelerinin de kulland"0" bir isim haline geldi.
Korsan (hacker) teriminin do0dugu y"llar olarak literatüre geçmistir (Shinder ve Tittel, 2002).
1970’lar, bili1im korsanl"0" daha sonra telefon hatlar" üzerinde ücretsiz görü1me yap"lmas" ile
ba1lanm"1t"r.
John Draper "Cap'n Crucnh" lakab"n" ald". Draper bu ad" ta1"yan kahvalt" gevre0i kutular"ndan
ç"kan oyuncak düdü0ün ç"kartt"0" 2600 hertz'lik sinyalin, AT&T'nin uzun mesafeli telefon
görü1melerinde kulland"0" sistemle ayn" frekansta oldu0unu ö0reniyor. Ard"ndan bu bulu1u
bedava telefonla konu1mak için kullan"yor. Bu y"llarda telefon korsanlar" (phreaking) ücretsiz
*
DoS ve DdoS, hizmeti devre d"1" b"rakmak olup ilerki bölümlerde anlat"lacakt"r.
18
görü1me yapabilmek için uluslararas" telefon 1ebekelerine s"zmaya ba1lam"st"r. Daha sonra
Captain Crunch lakab"yla an"lan Draper, bu oyunca0"n 2600 Hertz’lik bir sinyal (AT&T’nin
uzak mesafe görü1me sistemine eri1im için kullan"lan tonun ayn"s") ç"kard"g"n" tespit etmi1 ve
mavi kutu (Blue Box) ad" verilen cihaz" geli1tirmi1tir. Bu cihaz sayesinde çok say"da insana
para ödemeden telefonla milletleraras" görü1me yapt"rm"1t"r. Draper gerçeklestirdigi bu
olayla, bili1im sistemlerinin bir parças" olan telefon sistemlerinin güvenlik önlemini delen ilk
ba1ar"l" sald"r" denemesini yap"p ad"n" tarihe ilk telefon korsan" (phone phreaker) olarak
yazd"rm"st"r (Wozniak ve Smith 2006). Bu olay kayda geçen ilk bili1im güvenli0i ihlali
olmas" aç"s"ndan önemlidir. Tutuklanmas"n"n sonras"nda bilgisayar güvenli0iyle ilgili yaz"l"m
geli1tirmeye ba1lam"1t"r. O dönemde mavi kutular" üretenler aras"nda Steve Wozniak ve Steve
Jobs adl" iki kolejli y"llar sonra bilgisayar dünyas"nda devrim yaratan Apple’" kurmu1tur.
1980’ler, bu y"llarda bilgisayarlar"n geli1mesiyle beraber telefon korsanlar" yava1 yava1

bilgisayar alan"na kaymaya ba1lam"1t"r. Ayr"ca ilk elektronik mesaj pano sistemleri ortaya
ç"km"st"r. Bu y"llarda ilk bilgisayar korsan gruplar" kurulmu1tur. ABD’deki Legion of Doom
ve Almanya’daki Chaos Computer Club gibi korsan gruplar öncüler aras"ndad"r. 1982 y"l"nda
Xerox Palo Alto ara1t"rma merkezinde i1 ortamlar"nda yap"lan i1lemlerin performans"n"n
ölçülmesi amac"yla ilk defa solucanlar (worm) kullan"lm"1t"r bu wormlar daha sonra 1998
epostalarla yay"larak dünyada büyük zararlara neden olmu1tur. 1983 y"l"nda ise “Bilgisayar
Virüsü” terimi DEC-VAX sistemleri üzerinde akademik deneylerini yapan Fred Cohen
taraf"ndan resmen tan"mlanm"st"r (Gelbstein ve Kamal, 2002).
1983 y"l"nda Sava1 Oyunlar" (War Games) isimli sinema filmi sald"r" ve korsan efsanesini
geni1 kitlelere tan"tm"st"r.
1985 y"l"nda bilgi teknolojilerinin hizmet yönetimi ile ilgili olan ITIL* (Bilgi Teknolojileri Alt
Yap" Kütüphanesi- Information Technology Infrastructure Library)’ in birinci sürümü
(version-v1) yay"mlanm"1t"r.
1986 y"l"nda korsan gruplar" bilgilerini para kar1"l"0"nda satmaya ba1lam"1t"r. Bu alanda
bilinen ilk olay olan 1986 y"l"nda Almanya Hannover sehrindeki Chaos Computer Club üyesi
olan birkaç korsan ABD’deki kamu (Enerji Bakanl"0", Savunma Bakanl"g", NASA) ve özel
*
ITIL ve CMMI bu tezin 4. Bölümünde anlat"lacakt"r.
19
sektör (savunma firmalar") sistemlerine s"zm"1lard"r. Elde ettikleri bilgileri Sovyet’lerin gizli
servisi KGB’ye satm"1lard"r.
1988 y"l"nda ilk defa fark edilen korsanlar 18 ay boyunca Alman ve Amerikan polislerinin
ortak takipleri sonucunda yakalanarak casusluk suçundan tutuklanm"1t"r. Bu olay, aç"0a ç"kan
ilk siber casusluk vakas" olarak tarihe geçmistir (Rattray, 2001).
1990’l" y"llar, 1990 y"l"nda organize suçlar ve doland"r"c"l"k bürosu taraf"ndan düzenlenen
operasyon ile kredi kart" h"rs"zl"0" ve telefon sahtekârl"0"n"n önüne geçilmesi için yap"lm"1
operasyon, korsanlar"n af kar1"l"0"nda birbirlerini ihbar etmeleri yüzünden korsan camias"nda
bir bölünmeye yol açm"1t"r [9].
1991 y"l"nda yaz"l"m süreci olgunluk modellemesini olan CMMI (Capability Maturity Model-
Integration; Bütünle1ik Yetenek Olgunluk Modeli)’nin birinci sürümü (version 1-v1)
yay"mlanm"1t"r.
1993 y"l"nda dünyan"n dört bir yan"ndaki korsanlar"n ve korsan olmaya hevesli bilgisayar
merakl"lar" DefCon ad" alt"nda ilk defa toplanm"1t"r. Ayn" y"l bir zamanlar "dark dante" takma
ad"yla an"lan eski hacker yeni gazeteci-blogger Kevin Poulsen, Pacific Bell telefon 1irletini
hack ederek, KISS-FM ad"ndaki radyo istasyonunun düzenledi0i yar"1mada, 102. arayan
olmay" ba1ararak Porsche 944 S2 kazanm"1 ve ad"n" tüm ülke çap"nda duyurmu1tu. Ancak
hemen sonra yakalanan ve belli bir süre hapis yatan Poulsen, art"k güvenlik raporlar"
haz"rlayan bir uzman olarak hayat"na devam etmektedir (Hoath, 1998).
Kimilerine göre Dünyan"n en büyük hacker" veya en çok tan"nan hackeri Kevin Mitnick bu
FBI'"n en çok arananlar listesine girmeyi ba1arm"1 ilk hacker olma ünvan"na bu y"l sahip
olmu1tur. Kredi kart" veritabanlar"n", telefon a0lar"n" hack ettikten sonra bilgisayar güvenlik
uzman" T.Shimomura'n"n evindeki bilgisayara s"zmaya çal"1"rken yakalanm"1t"r. Fujitsu,
Motorola, Nokia ve Sun Microsystems gibi 1irketlerin bilgisayar a0lar"na izinsiz girmekten
suçlu bulunarak 5 y"l hapis cezas" alm"1t"r. "The art of deception" ad"nda bir kitab"
bulunmakta. ayr"ca zaman"nda kendisi için "free kevin mitnick" diye bir site de aç"lm"1t".
kendi hayat"n" anlatan "Freedom Downtime" isimli bir filmde kendisini canland"rd".. Kevin
Mitnick sosyal mühendislik sald"r" tekniklerini ustal"kla kullanm"1 ve insan faktörünün
güvenli0in sa0lanmas"ndaki rolünü ortaya koymu1tur. Kevin Mitnick günümüzde yazarl"k ve
bilgi güvenli0i konusunda kurumlara dan"1manl"k vermektedir. Günümüzde, beyaz sapkal" bir
20
bilgisayar korsan" olarak güvenlik dan"1manl"0" yapmakta ve dünya çap"nda bilgi güvenli0iyle
ilgili kongrelere kat"lmaktad"r [10].
1995 y"l"nda ilk zafiyet tarama program" olan SATAN (Security Administrator Tool for
Analyzing Networks) program" yaz"lm"1 ve güvenlik zafiyetlerini tan"mlayabilecek hale
gelmi1tir (Chen vd, 2005).
Bu y"llarda kurumsal bilgi güvenli0i bilinci iyice artmaya ba1lam"1t"r.Üniversiteler ve

kurumlar taraf"ndan standartlar* geli1tirmeye ba1lanm"1t"r. Yine ayn" y"l içerisinde çok önemli
olan kurumsal bilgi güvenli0inin sa0lanmas"nda kullan"lacak olan ve ingiliz standart enstitüsü
(British Standards Institution-BSI) taraf"ndan geli1tirilen BS-7799 standard" haz"rlanm"1 ve
kurumsal bilgi güvenli0i standard" olarak olarak kabul edilmi1tir.
1996 y"l"nda HIPAA (The Health Insurance Portability and Accountability Act) Sa0l"k
Sigortas" Ta1"nabilirlik ve Sorumluluk olan yasa Amerikada ç"km"1t"r. Bu yasan"n yani
Hipaa’n"n amaçlar"ndan bir tanesi de özel sa0l"k bilgilerini korumak ve ki1isel bilgileri
dispersiyon için tek tip bir standard olu1turmakt"r.
Ayn" y"l içerisinde ç"k"1 noktas" bilgi teknolojilerinde proje yönetimi metodolojisi olan
*
PRINCE2 (PRojects IN Controlled Environments) tüm proje türlerinde kullan"lmak üzere
genelle1tirilmi1 ve PRINCE2 ad"n" alm"1t"r. [11]
Yine ayn" y"l bilgi teknolojileri yönetimi için en iyi uygulamalar kümesi olarak kabul edilen
COBIT* (The Control Objectives for Information and related Technology- Bilgi ve lgili
Teknolojiler çin Kontrol Hedefleri (COBIT) ISACA (Information Systems Audit and Control
Association) ve ITGI (IT Governance Institute) taraf"ndan geli1tirilmi1tir. COBIT
yöneticilere, denetçilere ve Bilgi Teknolojileri (BT) kullan"c"lar"na i1 hedeflerinin bilgi i1lem
hedeflerine dönü1ümünü, bu hedeflere ula1mak için gerekli kaynaklar" ve gerçekle1tirilen
süreçleri bir araya getirirken, ayn" zamanda bilgi teknolojileri alt yap"lar"n" da etkin
kullanmay" amaçlam"1t"r (Shahim, 2009).
*
Standardlar bu tezin 4 ve 5. Bölümlerinde detayl" anlat"lacakt"r.
*
PRINCE2 ve COBIT bu tezin 4. Bölümünde anlat"lacakt"r.
21
1997 y"l"nda korsanlar taraf"ndan geli1tirilen “AOHell” adl" küçük bir yaz"l"m piyasaya
sürülmü1tür. Bu yaz"l"m sayesinde s"n"rl" bilgisi olan acemi korsanlar bile AOL sistemine
kolayca girmi1 ve kullan"c"lar"n e-postalar", mesaj gruplar" bakabilmi1lerdir. Geli1tirilen bu
yaz"l"mla birlikte bili1im güvenli0i için yeni tehlikeli bir dönem ba1lam"1t"r. Bu dönemden
günümüze kadar bu tür yaz"l"mlar"n h"zla artmas" sonucunda korsanlar"n bilgi ve becerisine
duyulan ihtiyaç her geçen gün azalm"1t"r. Kurumlar için sadece tecrübeli korsanlar yerine
onlar"n yazm"1 oldu0u yaz"l"mlar" ustal"kla kullanan acemi korsanlarda art"k önemli bir tehdit
unsuru haline gelmi1tir (Garfinkel, 1995).
1998 y"l" içerisinde BS–7799 standard"n"n ikinci k"sm" yay"nlanm"1t"r. BS 7799–2 daha çok
BS-7799 uygulamas"n"n nas"l yap"laca0" anlatan bir rehber niteli0ini ta1"maktad"r. BS 7799–2
Bilgi Güvenli0i Yönetim Sisteminin kurulmas", uygulanmas" ve dokümante edilmesi için
gereklilikleri tan"mlayarak, kurumlar"n hangi güvenlik kontrollerine ihtiyac" oldu0unun
belirlemesini sa0layarak kurumlara kurumsal anlamda bilgilerinin güvende oldu0una dair
belgelendirme imkân" verilmesini sa0lar.
1999 y"l"nda Microsoft Windows 98 isletim sistemini ç"karmas"yla birlikte, 1999 sald"r"lar"n
çok oldu0u ve bilgi güvenli0inin gereklili0inin fazlaca hissedildi0i bir y"l olmustur. Windows
i1letim sisteminde yer alan aç"klar için yüzlerce uyar" ve yama yay"nlanm"1t"r.
Kurumsal bilgi güvenli0i ve Bilgi Güvenli0i Yönetim Sistemi kavramlar" duyulmaya ve

yayg"nla1maya ba1lam"1t"r. ngilterede ngiliz Standartlar" taraf"ndan ilk kez BS–7799
standard"n"n ikinci bölümünün gerekleri yerine getirilmi1 ve belgelendirme i1lemi
gerçekle1tirilmistir. Belge alan ilk kurulu1 giltere’de bulunan The Co-Operative Bank isimli
e-bankac"l"k yapan bir isletme olmustur (Numano0lu, 2005).
2000’li y"llar, kurumsal aç"dan güvenlik kayg"lar"n"n en üst seviyeye ç"kt"0", sald"r"lar"n ve
korsanlar"n çok tehlikeli oldu0u ve art"k sald"r"lar"n daha organize yap"ld"0" yeni bir döneme
girilmi1tir. Bu yeni dönemde kötücül kodlar internet arac"l"g"yla h"zla yay"lm"1 milyonlarca
bilgisayara bula1m"1 ve milyonlarca dolarl"k maddi hasara yol açm"st"r. Sald"r"lar ve etkileri
h"zla artarken Marty Roesch ve Ron Gula taraf"ndan Snort ve Dragon isimli sald"r" tespit
sistemleri hakk"nda ilk defa bilgi vermi1lerdir (Ruiu, 2006).
2000 y"l"nda BS–7799 Bölüm–1 Uluslararas" Standardizasyon Kurumu (ISO) taraf"ndan

tan"nm"1 ve BS ISO/IEC 17799:2000 olarak yay"nlanm"1t"r. BS 7799–2 standard" 2002’de
22
gerçekle1tirilen güncelleme ile di1er yönetim sistemi standartlar" ile daha uyumlu hale
getirilmi1tir. 2005 y"l"nda Bilgi Güvenli0i Yönetimi için uygulama kodu, kurulu1lar"n bilgi
güvenli0i yönetim sistemini kurmalar", uygulamalar", sürdürmeleri ve iyile1tirmeleri için
haz"rlanm"1 olan ISO/IEC 17799:2005* k"lavuzunu yay"nlam"1t"r. Ayn" y"l içerisinde BS
7799–2:2002 standard"n" Uluslararas" Standardizasyon Kurumu ISO/IEC 27001:2005 ad"yla
yay"nlam"1t"r.
Ülkemizde de buna paralel olarak TSE (Türk Standartlar" Enstitüsü) taraf"ndan çal"1malara
ba1lanm"1t"r. Kurulu1lar"n içerisinde bilgi teknolojisi güvenli0ine ula1mak ve sürdürmek için
bir Bilgi Güvenli0i Yönetim Sistemi üzerinde çal"1"lm"1t"r. ISO/IEC 17799:2000 Uygulamalar
için tavsiyeler ve örnek yönetmeler içeren referans bir doküman olarak tasarlanm"1t"r.
Kullan"lmakta olan en iyi bilgi güvenli0i uygulamalar"n" temel alm"1t"r.
2002 senesinde ç"kart"lan BS 7799-2 (Bölüm 2) standard" ile ortaya konan kullan"m k"lavuzu
ile kurumlar"n ISO 17799 sertifikasyonu almas" hedeflenmi1tir. TSE, ISO 17799’u Kas"m
2002’de BS 7799-2’yi ise ubat 2005’te standart olarak kabul edip türkçe olarak
yay"nlam"1t"r.
Kurumsal bilgi güvenli0inin sa0lanmas"nda olmazsa olmaz bir faktör olan standartlar konusu
Bölüm 4 ve 5’te kapsaml" olarak anlat"lm"1t"r.
2000 y"l"ndan sonra özellikle sanal gruplar olu1mu1 ve daha organizeli ve gelir yapla1"ml"
bili1im ihlalleri meydana gelmi1tir. 2000 y"l"ndan günümüze kadar birçok sald"r" olmu1 ve
kurumlar yüksek oranda bu sald"r"lardan etkilenerek maddi manevi zararlar görmüstür. 2000
y"l"ndan sonraki y"llarda otomatik sald"r" araçlar"n"n h"zla yay"lmas" sonucunda yap"lan
sald"r"lara burada yer verilmemi1tir. Bunun basl"ca sebebi sald"r"lar"n ço0almas"d"r. Hatta son
y"llarda devletlerin hizmetlerini aksatan ve durduran sald"r"lar da meydana gelmi1tir.
Günümüzde otomatik programc"k ve programlar"n artmas" sonucu birçok sald"r"
yap"labilinmektedir.
Sonuç olarak son 50 y"lda sald"rganlar"n geldi0i nokta kurumsal bilgi güvenli0ini üst düzeyde
tehdit etmekte ve kurumlar"n ve bireylerin bilgi güvenli0ini sa0lamalar" konusunda üzerine
*
Bilgi güvenli0i standard" olup bu tezin 5. Bölümünde uygulamas" da anlat"lacakt"r.
23
dü1en görevlerini eksiksiz yerine getirmeleri gerekmektedir. Bundan dolay" bilgi güvenli0i
kurumsal kültürün bir parças" yapmayan kurumlar"n ciddi riskler ta1"d"0" görülmektedir.
3.3 Bilgi Güvenli?inin Geli<imi ve Güvenlik Türleri
Bilgi güvenli0inin sa0lanmas" için tarih boyunca çesitli güvenlik yöntemleri kullan"lm"1t"r.
Günümüzde hemen hemen tüm kurumlar kendi içlerindeki gereksinimlere göre bilgi ak"1"n"
sa0layabilmek için bili1im altyap"lar" olu1turmaya ba1lad"lar. Art"k bilgiye eri1mek, bilgiyi
saklamak gibi s"radanla1an i1ler için ço0unlukla bili1im sistemleri kullan"lmaktad"r. Bir
i1letmenin bilgi varl"0"n" art"rmas" ve korumas" o i1letmeyi rekabet ortam"nda bir ad"m öne
geçirmektedir. Giderek kritik bir de0er haline gelen bilginin iç ve d"1 tehditlerden korumas" ve
zarar görmesinin engellemesi için kurumlar"n bilgi güvenli0i politikalar" ve uygulamalar"
olu1turmas" gerekmektedir. Bilginin güvenli0inin sa0lanmas"n"n günümüze kadar olan
de0i1imi ve geli1imi bilgi güvenli0inin sa0lanmas"nda izlenilen yöntemlerin anla1"labilmesi
aç"s"ndan önemlidir. Geçmisten günümüze bilgi güvenli0inin sa0lanmas" için s"ras"yla ba1ta
fiziksel ve çevresel güvenlik, haberlesme güvenli0i, bilgisayar güvenli0i, a0 güvenli0i,
uygulama güvenli0i, veritaban" güvenli0i, web güvenli0i gibi konular"nda çal"1malar
yap"lm"1t"r (Lockhart, 2006).
Günümüzde bilgi güvenli0inin sa0lanabilmesi için yukar"da bahsedilen güvenlik önlemlerinin

hepsinin bir arada dü1ünülmesi gerekti0inden bu önlemler takip eden alt basl"klarda s"ras"yla
aç"klanm"1t"r.
3.3.1 Fiziksel ve Çevresel Güvenlik
Güvenlik insano0lunun hep önem verdi0i bir konu olagelmi1tir. Geçmis zamanlarda insanlar
için önemli bilgilerin, çe1itli i1aretlerle kayalara ta1lara kaz"yarak daha sonra madenlere
i1leyerek saklanm"1lar. Daha sonralar"n ise a0açlara, derilere ve sonras"nda kâ0"tlara yaz"larak
fiziksel güvenli0i sa0lanan ortamlarda saklanm"st"r. Günümüzde art"k bu yazma sanal
medialara i1lenmektedir. Fiziksel güvenli0in sa0lanabilmesi amac"yla, duvarlar örülmüs, kale
ve hendekler çekilmis, surlar ve sedler yap"lm"1, giri1 ç"k"1" kontrol eden nöbetçiler görev
yapm"1t"r. Bilginin güvenli0ini sa0lamaya yönelik fiziksel önlemler al"nmas"na ra0men
genellikle bu korumalar yeterli olmam"1, bilgilerin çal"nmas" veya istenmeyen ki1ilerin eline
geçmesi engellenememi1tir (Boran, 2000).
Günümüzde de fiziksel güvenlik önemini korumakta ve bu konuyla ilgili gerekli çal"1malar

24
yap"lmaktad"r. Örne0in, bina etraf"na yüksek duvarlar ya da demirler yap"lmas", bina giri1inde
özel güvenlik ekiplerinin bulundurulmas", önemli verilerin tutuldu0u odalar"n kilitlenmesi ya
da bu odalara 1ifreli güvenlik sistemleri ile girilmesi, bina giri1-ç"k"1 ve çevresinin kameralar
ile izlenmesi gibi önlemler kullan"lmaktad"r.
Fiziksel ve çevresel güvenlik, bilgi güvenli0i aç"s"ndan de0erlendirildi0inde pratikte kuruma

yetkisiz eri1imlerin engellenmesi ve bilgi varl"klar"n"n h"rs"zl"0a veya tehlikeye kar1"
korunmas" olarak alg"lanabilir.
Konu ile ilgili bir tak"m i1ler art"k standard hale olagelmi1tir . Bu i1ler a1a0"da özetlenerek
s"ralanm"1t"r. Bu i1lerin uygulamas" bilgi güvenli0i aç"s"ndan gereklidir.
• Bilgi i1leme servis merkezlerini korumak amac"yla bir fiziksel bir s"n"r güvenli0i tesisi
(yetki kontrollu kart sistemi, güvenlik elemanl" nizamiye gibi) kurulmu1 olmal"d"r.
• Fiziksel s"n"r güvenli0i, içindeki bilgi varl"klar"n"n güvenlik ihtiyaçlar" ve risk
de0erlendirme sürecinin sonucuna göre olusturulmu1 olmal"d"r.
• Kurum içerisinde belli yerlere sadece yetkili personelin giri1ine izin verecek 1ekilde
kontrol mekanizmalar" kurulmal"d"r.
• Ziyaretçilerin giri1 ve ç"k"1 zamanlar" kaydediliyor olmal"d"r.
• Önemli ve hassas bilgilerin bulundu0u alanlar yetkisiz eri1ime kapat"lmal"d"r.
• Tüm personel ve ziyaretçiler güvenlik elemanlar" taraf"ndan rahatça te1his edilmelerini
sa0layacak kimlik kartlar"n" devaml" tak"yor olmal"d"rlar.
• Güvenli alanlara eri1im haklar" düzenli olarak gözden geçiriliyor olmal"d"r.
• Ofisler ve odalarla ilgili fiziksel güvenlik önlemleri al"nmal"d"r.
• Personel güvenli0i ve sa0l"0" ile ilgili yönetmelikler uygulanmal"d"r.
• Kritik tesisler kolayca ula1"lamayacak yerlere kurulmu1 olmal"d"r.
• Binada bilgi i1lem faaliyetlerinin yürütüldü0üne dair i1aret, tabela vb. bulunmamas"na
dikkat edilmelidir.
• Bilgi i1lem merkezlerinin konumunu içeren dâhili/harici telefon rehberleri halka kapal"
olmal"d"r.
• Harici ve Çevresel Tehditlerden Korunma
• Yang"n, sel, deprem, patlama ve di0er tabii afetler veya toplumsal karga1a sonucu
olu1abilecek hasara kars" fiziksel koruma tedbirleri al"nmal" ve uygulanmal"d"r.
25
• Kom1u tesislerden kaynaklanan potansiyel tehditler göz önünde bulundurulmal"d"r.

• Yedeklenmi1 materyal ve yedek sistemler ana tesisten yeterince uzak bir yerde
konu1land"r"lm"1 olmal"d"r.
• Güvenli bir alan"n mevcut oldu0u ile ilgili olarak veya burada yürütülmekte olan
çesitli faaliyetlerle ilgili olarak personel ve üçüncü parti çal"1anlar" için " htiyac" kadar
bilme" prensibi uygulanmal"d"r.
• Kay"t cihazlar"n"n güvenli alanlara sokulmas"na engel olunmal"d"r.
• Kullan"lmayan güvenli alanlar kilitleniyor ve düzenli olarak kontrol ediliyor olmal"d"r.
• Kötü niyetli giri1imlere engel olmak için güvenli bölgelerde yap"lan çal"1malara
nezaret edilmelidir.
• Halka Aç"k Alanlardan, Yükleme ve Da0"t"m Alanlar"ndan Eri1im
• Bilgi i1lem servisleri ile da0"t"m ve yükleme alanlar" ve yetkisiz ki1ilerin tesislere
girebilece0i noktalar birbirinden izole edilmi1 olmal"d"r.
• Ekipman yerle1imi yap"l"rken çevresel tehditler ve yetkisiz eri1imden
kaynaklanabilecek zararlar"n asgari düzeye indirilmesine çal"1"lmal"d"r.
• Ekipman, gereksiz eri1im asgari düzeye indirilecek 1ekilde yerle1tirilmelidir.
• Kritik veri içeren araçlar yetkisiz kisiler taraf"ndan gözlenemeyecek 1ekilde
yerle1tirilmelidir.
• Özel koruma gerektiren ekipman izole edilmi1 olmal"d"r.
• Nem ve s"cakl"k gibi parametreler izlenmelidir.
• H"rs"zl"k, yang"n, duman, patlay"c"lar, su, toz, sars"nt", kimyasallar, elektromanyetik
radyasyon, sel gibi potansiyel tehditlerden kaynaklanan riskleri dü1ürücü kontroller
uygulanmal"d"r.
• Paratoner kullan"lmal"d"r.
• Bilgi i1lem araçlar"n"n yak"n"nda yeme, içme ve sigara içme konular"n" düzenleyen
kurallar olmal"d"r.
• Elektrik, su, kanalizasyon ve iklimlendirme sistemleri destekledikleri bilgi i1lem
dairesi için yeterli düzeyde olmal"d"r.
• Elektrik 1ebekesine yedekli ba0lant", kesintisiz güç kayna0" gibi önlemler ile
ekipmanlar" elektrik ar"zalar"ndan koruyacak tedbirler al"nm"1 olmal"d"r.
• Yedek jeneratör ve jeneratör için yeterli düzeyde yak"t bulundurulmal"d"r.
26
• Su ba0lant"s" iklimlendirme ve yang"n söndürme sistemlerini destekleyecek düzeyde

olmal"d"r.
• Acil durumlarda ileti1imin kesilmemesi için servis sa0lay"c"dan iki ba0"ms"z hat
al"nm"1 olmal"d"r.
• Kurum bu konuda yasal yükümlülüklerini yerine getirmelidir.
• Güç ve ileti1im kablolar"n"n fiziksel etkilere ve dinleme faaliyetlerine kars" korunmas"
için önlemler al"nm"1 olmal"d"r.
• Kablolar yeralt"nda olmal"d"r.
• Kar"1man"n ("interference") olmamas" için güç kablolar" ile ileti1im kablolar" ayr"lm"1
olmal"d"r.
• Hatal" ba0lant"lar"n olmamas" için ekipman ve kablolar aç"kça etiketlenmi1 ve
i1aretlenmi1 olmal"d"r.
• Hassas ve kritik bilgiler için ekstra güvenlik önlemleri al"nmal"d"r.
• Alternatif yol ve ileti1im kanallar" mevcut olmal"d"r.
• Fiber optik altyap" yap"land"r"lmal"d"r.
• Ba0lant" panelleri ve odalara kontrollü eri1im altyap"s" kurulmu1 olmal"d"r.
• Ekipman"n bak"m" do0ru 1ekilde yap"lmal"d"r.
• Ekipman"n bak"m", üreticinin tavsiye etti0i zaman aral"klar"nda ve üreticinin tavsiye
etti0i 1ekilde yap"lmal"d"r.
• Bak"m sadece yetkili personel taraf"ndan yap"l"yor olmal"d"r.
• Tüm 1üpheli ve mevcut ar"zalar ve bak"m çal"1malar" için kay"t tutulmal"d"r.
• Ekipman bak"m için kurum d"1"na ç"kar"l"rken kontrolden geçirilmelidir.
• çindeki hassas bilgiler silinmelidir.
• Ekipman sigortal"ysa, gerekli sigorta 1artlar" sa0lan"yor olmal"d"r.
• Kurum alan" d"1"nda bilgi i1leme için kullan"lacak ekipman için yönetim taraf"ndan
yetkilendirme yap"l"yor olmal"d"r.
• Tesis d"1"na ç"kar"lan ekipman"n ba1"bo1 b"rak"lmamas"na, seyahat halinde dizüstü
bilgisayarlar"n el bagaj" olarak ta1"nmas"na dikkat edilmelidir.
• Cihaz"n muhafaza edilmesi ile ilgili olarak üretici firman"n talimatlar"na uyuluyor
olunmal"d"r.
27
• Evden çal"1ma ile ilgili tedbirler al"nm"1 olmal"d"r. Sigorta cihazlar"n tesis d"1"nda
korunmas"n" kaps"yor olmal"d"r.
• Kurum alan" d"1"nda kullan"lacak ekipmanlar için uygulanacak güvenlik önlemleri,
tesis d"1"nda çal"1maktan kaynaklanacak farkl" riskler de0erlendirilerek belirlenmi1
olmal"d"r.
• Ekipman imha edilmeden önce gizli bilginin bulundu0u depolama cihaz" fiziksel
olarak imha edilmelidir.
• Depolama cihaz"n"n içerdi0i bilginin bir daha okunamamas" için klasik silme veya
format islemlerinin ötesinde yeterli düzeyde i1lem yap"lmal"d"r.
• Ekipman, bilgi veya yaz"l"m"n yetkilendirme olmadan tesis d"1"na ç"kar"lmamas"n"
sa0layan kontrol mekanizmas" olu1turulmu1 olmal"d"r.
• Kurum varl"klar"n"n yetkisiz olarak kurum d"1"na ç"kar"l"p ç"kar"lmad"0"n" saptamak
için denetleme yap"lmal"d"r.
• Kurum çal"1anlar" bu tip denetlemelerden haberdar olmal"d"r.
3.3.2 Haberle<me (ileti<im) Güvenli?i
Kar1"l"kl" olarak bilgi al"sveri1inde güvenli bir haberle1me ortam"n" olu1turmak üzere yap"lan
faaliyetlerin ortak ad" haberle1me olarak adland"r"l"r [12]. Haberle1me an"nda fiziksel olarak
bilgilerin güvenli0inin sa0lanmas", güvenlik aç"s"ndan yeterli de0ildir. letisim s"ras"nda
bilginin hedefe ula1madan önce ba1ka ki1iler taraf"ndan ele geçirilmesi ve içeri0in
ö0renilmesi riski her zaman vard"r. Haberlesme güvenli0inin sa0lanmas"nda kullan"lan
yöntemler tarih boyunca de0i1memis fakat bu güvenli0i sa0lamak için kullan"lan teknikler ve
yöntemler sürekli olarak geli1mistir (Fry, 2001).
Haberle1me güvenli0inin sa0lanmas"nda kriptografi ve steganografi yöntemleri

kullan"lmaktad"r.
Steganografi, veri içerisinde veri saklama” anlam"na gelip Yunanca “gizli yaz"” veya
ileti1imin varl"0"n" saklayan yöntem olarak bilinir.
Kriptografi, gizli mesaj"n anla1"lamaz hale getirilmesi yani mesaj"n varl"0" bilinir ancak,
içeri0i anla1"lamaz. Kriptografi mesaj"n içeri0ini anla1"lmaz hale getirirken, steganografi
mesaj" görülemeyecek 1ekilde saklar (Artz, 2001).
28
Kriptografi, veriyi yaln"zca okumas" istenen 1ah"slar"n okuyabilece0i bir 1ekilde saklamak ve
göndermek amac"yla kullan"lan bir teknolojidir. Kriptografi’de veri, matematiksel yöntemler
kullan"larak kodlan"r ve ba1kalar"n"n okuyamayaca0" hale getirilir. Bu matematiksel
kodlamaya “kripto algoritmas"” ad" verilir. lk bilinen kripto algoritmalar" 4000 y"l kadar önce
ortaya ç"km"1t"r. Zaman geçtikçe, kullan"lan teknikler ve cihazlar geli1mi1 ve her geçen gün
yeni teknikler kullan"l"r ve yeni algoritmalar üretilir olmu1tur. Bu teknoloji 1u anda bili1im
güvenli0inin vazgeçilmez bir parças"d"r. ifrelenmemi1 bir bilgiye “aç"k metin” (clear text)
denir. Aç"k metin, bir insan"n okuyabilece0i bir yaz" ya da bir bilgisayar"n anlayabilece0i
çal"1t"r"labilir (.exe, .com) bir program ya da bir veri dosyas" (.txt) olabilir. Bir kripto
algoritmas" kullan"larak, herkesin okuyamayaca0" bir 1ekilde kodlanm"1 bilgiye ise “1ifreli
metin” (ciphered text) denir (Sunay, 2003).
3.3.3 Bilgisayar Güvenli?i
Bilgisayarlar"n ortaya ç"kmas" ve kullan"m"n"n yayg"nla1mas"yla hemen hemen tüm veri ve

bilgi günümüzde bilgisayar ortamlar"nda tutulmaya ba1lanm"1t"r. Fiziksel güvenlik,
haberle1me (ileti1im) güvenli0inden sonra bilgisayar güvenli0i, bilgi güvenli0inin sa0lanmas"
aç"s"ndan önem kazanm"1t"r. lk elektronik bilgisayar geli1tirildi0inde, e0itimli ki1ilerin çok
az olmas" ve bu ki1ilerin sadece i1in gereksinimlerinin yapmas" dolay"s" ile, fiziksel tehditler
d"1"nda pek fazla güvenlik problemi ortaya ç"kmam"st"r. Bilgisayarlar i1 dünyas"nda
kullan"lmaya baslad"0"nda, bilgisayarlar"n güvenli0ini korsan sald"r"lar" ve bilgisayarlardan
sorumlu olan ki1ilerin kötü niyetli ve ç"kar amaçl" davran"1lar" tehdit etmeye ba1lam"st"r.
1970’li y"llar"n ba1"nda David Bell ve Leonard La Padula bilgisayar güvenli0ine iliskin bir
model geli1tirmi1lerdir (Bell ve Padula, 1995). Bu model 1983 y"l"nda ABD Savunma
Departman" 5200.28 nolu bu standard" kabul etmi1 ve Güvenli Bilgisayar Sistemi
De0erlendirme Kriterleri (TCSEC-Trusted Computer System Evaluation Criteria) adl" kitab"n
(Turuncu Kitap-Orange Book) olusmas"n" saglam"st"r (Abrams ve Joyce, 1995). Bu kitapta,
bilgisayar sistemlerinin güvenli0ini test etmek için olu1turulan güvenlik seviyeleri asa0"daki
gibi özetlenebilir (Pfleeger, 2006):
En Dü<ük Koruma (D Seviyesi): Daha üst seviyedeki ko1ullar" sa0layamayan sistemler bu

kategoride yer alarak güvensiz ürünler s"n"f"nda yer al"rlar.
29
ste?e Ba?l. (discretionary) Koruma (C1 Seviyesi): Bu seviyedeki bir sistem, kullan"c"lar"
ve veriyi ay"rarak iste0e ba0l" güvenlik seviyesini sa0lamaktad"r. Bunlara ek olarak ki1isel
seviyede eri1im s"n"rlamalar" da sa0lamaktad"r. Kullan"c"lar"n özel bilgilerini korumalar" ve
di0er ki1ilerin kazayla okumalar"n" engellemeleri için uygun bir sistemdir. Bir sistemin bu
seviyede yer alabilmesi için güvenlik politikalar"n"n, izlenebilirlik (kimlik denetimi,
yetkilendirme) sistemlerinin, güvence ve dokümantasyon i1lemlerinin sa0lanmas"
gerekmektedir.
Kontrollü Eri<im (C2 Seviyesi): Bu seviye C1’e göre daha fazla ve daha alt düzeyde eri1im
kontrolü sa0lamaktad"r. Bu seviye oturum açma islemleri, güvenlik olaylar"n"n izlenmesi ve
kaynak tahsisiyle kullan"c"lar"n her birinin kontrol edilebilmesini gerektirmektedir.
Etiketlenmis Güvenlik (B1 Seviyesi): B1 seviyesi kontrollü eri1im seviyesinin tüm

özelliklerini içermektedir. Bunlara ek olarak resmi olmayan güvenlik politikas" modelini, veri
etiketleme, isimlendirilmi1 nesneler üzerinde zorunlu eri1im kontrolünü de sa0lamas"
gerekmektedir.
Yap.sal Güvenlik (B2 Seviyesi): B2 seviyesinde Güvenli Hesaplama Esaslar"n"n (TCB-

Trusted Computing Base) aç"k olarak belirtilmesi ve döküm edilmi1 biçimsel güvenlik
politikas" modeline dayanmas" gerekmektedir. Etiketlenmi1 güvenlik seviyesindeki tüm
özellikleri içermesi ve zorunlu eri1im kontrolünün veri i1leme sistemindeki tüm olay ve
nesnelere kadar geni1letilmesi gerekmektedir.
Güvenlik Alanlar. (B3 Seviyesi): B3 s"n"f" TCB referans monitör gereksinimlerini sa0lamas"
gerekmektedir. Bu seviye güvenlik yöneticisi taraf"ndan desteklenmeli ve denetleme
mekanizmas" tüm güvenlikle ilgili olaylar" kontrol etmesi için genisletilmeli ve sisteme
düzeltme islemleri eklenmelidir.
Onaylanm.s Tasar.m (A1 Seviyesi): A1 s"n"f" fonksiyonellik aç"s"ndan güvenlik alanlar"

seviyesiyle ayn"d"r. Aradaki farkl"l"k TCB'nin tasar"m ve gerçekleme tekniklerinde
yatmaktad"r. Kullan"lan teknikler sonucunda TCB daha dogru ve güvenilir bir 1ekilde
gerçekle1ir.
Günümüzde baz" kurumlar"n bu gibi seviyelerin risk analizi sonucu belirledi0i ve buna göre
kontroller ve önlemler uyguland"0" bilinmektedir (Calder, 2005). Bilgisayar güvenli0i
denildi0inde günümüzde akla bili1im sistemlerinin gizlilik, bütünlük, eri1ilebilirlik
30
tehditlerine kar1" korunmas" gelmektedir. Bili1im sistemleri bilgisayarlar, bilgisayar a0lar" ve

bilginin tutuldu0u di0er tüm elektronik cihaz ve ortamlardan olu1maktad"r. Bilgisayar
güvenli0ini do0al olaylar (deprem, sel, vb.), kazalar (yang"n, vb.), hizmet kesintileri (güç
kayna0"n"n ar"zalanmas", vb.) ve insan faktörü gibi de0isik kaynaklardan olu1an tehditler
olumsuz yönde etkilemektedir. Bu tehditler ve zaafiyetler ilerleyen bölümlerde kapsaml"
olarak ele al"nm"1t"r.
3.3.4 A? (Network) Güvenli?i
A0 (Network) ikiden fazla bilgisayar"n birbirleriyle ileti1im (kablolu veya kablosuz) halinde
olmas"d"r. Bu ileti1im yanyana iki bilgisayar veya cihaz olabilece0i gibi internet üzerinden
farkl" k"talardaki iki bilgisayar veya cihaz da olabilir. A0 ortamlar"n"n temelinde yatan
payla1"m ve uzaktan eri1im imkânlar"n"n kullan"lmas" sonucunda yeni güvenlik aç"klar"
meydana gelmistir. Bu aç"klar, kötü niyetli veya merakl" ki1iler taraf"ndan kullan"ld"0"nda;
bilgilere yetkisiz eri1im, sistemler ve servislerin kullan"lamaz olmas", bilgilerin de0i1tirilmesi
veya aç"0a ç"kmas" gibi güvenlik ihlâlleri olu1maktad"r. Bilgisayar a0lar"n"n yayg"nla1mas"yla
güvenlik ihlâlleri artm"1, bilgi güvenli0i için al"nmas" gereken önlemler fazlala1m"1t"r.
Bilgisayarlar, a0lar arac"l"0"yla kablolu veya kablosuz olarak birbirleriyle ileti1im

kurmaktad"r. Kablolu ve kablosuz a0 ortamlar"n"n güvenli0inin sa0lanmas"yla ilgili farkl"
çözümler geli1tirilmi1tir. Bu bölümde öncelikle genel olarak a0 güvenli0inin sa0lanmas"nda
a1a0"da s"ralanan temel çözümler aç"klanacak, sonras"nda ise kablosuz a0lara ili1kin
geli1tirilen güvenlik çözümlerinden bahsedilecektir.
• Güvenlik duvar" (Firewalls),

• Sald"r" tespit sistemleri (IDS),
• Sald"r" önleme Sistemleri (IPS)
• DoS Ataklar"n" önleme Sistemleri (DoS appliances)
• Kablosuz a0 güvenli0i çözümleri
• NAC (Network Access Control-A0 Eri1im Kontrolu) çözümleri
3.3.4.1 Güvenlik Duvar. (Firewall)
Bir a0"n d"1 dünya ile ba0lant"s" router denilen cihazlar üzerinden yap"lmaktad"r. Routerlar,
d"1 dünyadan kendisine gelen veya iç a0dan d"1a a0a giden paketleri yönlendirmeye yarayan
cihazlard"r. Bu yüzden, kötü niyetli sald"r"lara kar1" önlem al"nacak ilk nokta d"1 dünya ile
31
ba0lant"y" gerçekle1tiren bu cihazlard"r. Bu cihazlar"n konfigürasyonlar"nda çe1itli

k"s"tlamalar yap"larak adres ve paket analizini yapmazlar. Adres ve paket analizi yapmak,
paket geçi1lerine izin vermek (permit) veya paketleri engellemek (drop) için güvenlik duvar"
(Firewall) kullan"l"r. Güvenlik duvar" güvenilir a0lar"n (kurumsal a0lar) s"n"r k"sm"nda
filtreleme (denetleme) noktalar" olu1turarak, bu denetleme noktalar"ndan güvensiz a0lara
(internet) do0ru giden veya güvensiz a0lardan gelen a0 trafi0ini, kurumsal güvenlik
politikalar"nda belirlenen kurallar (rules) veya filtrelere göre denetleyerek hangi isteklerin
kabul (permit) veya red (drop) edilece0ine karar veren yaz"l"m veya donan"m çözümleridir
(Zwicky ve Cooper, 2000). Güvenlik duvarlar", tek noktadan eri1im denetimi ile a0 üzerindeki
bilgisayarlara d"1 dünyadan eri1en kullan"c"lar"n kullan"m"na kurallar koyarak olas" sald"r"lar"n
en aza indirilmesinde kullan"lmaktad"r. Bilgisayar güvenli0inin sa0lanmas"nda gizlilik,
eri1ilebilirlik, bütünlük ve kimlik denetimi gibi temel bilgi güvenli0i unsurlar"n" tehdit eden
sald"r"lara kar1" baz" önlemler güvenlik duvarlar" taraf"ndan al"nmakta ancak bu önlemler
bilgisayar güvenli0inin sa0lanmas"nda tek ba1"na yeterli de0ildir. Kurumsal bilgisayar
a0lar"nda a0 güvenli0inin sa0lanmas"nda kullan"lan güvenlik duvar"na bir örnek, 1ekil
3.3.4.1.1’de verilmi1tir.
ekil 3.3.4.1.1 Güvenlik duvar" genel yap"land"rmas"

32
Güvenlik duvarlar", d"1 a0lardan (güvensiz a0- internet) gelecek tehditlere kar1" kendi
üzerinden geçen a0 trafi0ini koruma alt"na al"rken a0 içerisinden gelecek tehditlere, izin
verilen servislerden gelen sald"r"lara, arka kap"lara ve virüslere, sazan avlamalara ve casus
yaz"l"mlara kars" koruma sa0layamazlar. Farkl" yap"land"rma 1ekilleri olsa da güvenlik
duvarlar" sald"r"lar" engellemede ve güvenli0i sa0lamada daha önceki paragrafta vurguland"0"
gibi tek ba1"na yeterli de0ildir ancak a0 güvenli0inin sa0lanmas"nda en önemli bile1enlerdir.
3.3.4.2 Sald.r. Tespit Sistemi (Intrusion Detection System-IDS)
Bilgilerin, gizlilik, bütünlük ve eri1ilebilirli0ini tehdit eden, yetkisiz olarak bilgiye

eri1ebilmek için bilgisayar a0lar"na veya bilgisayarlara kar1" yap"lan sald"r"lar"n tespit
edilmesinde kullan"lan uyar" veya alarm sistemleri olup güvenlik duvar"n"n yetersiz kald"0"
durumlarda ek koruma sa0lamaktad"r. Sald"r" Tespit Sistemleri, Internet dünyas"n"n geli1im
sürecinde özellikle tüm dünyada kullan"lan web trafi0inin artmas" ve de web sayfalar"n"n
popüler hale gelmesi ile birlikte ki1isel ya da tüzel sayfalara yap"lan sald"r"lar sonucu ihtiyaç
duyulan önemli konulardan biri haline gelmi1tir. Bununla birlikte kurum ya da kurulu1lar"n
sahip olduklar" ve tüm dünyaya aç"k tuttuklar" mail, dns, database gibi sunucular"n"n benzeri
sald"r"lara maruz kalabilecekleri ihtimali yine Sald"r" Tespit Sistemlerini Internet Güvenli0i
alan"n"n vazgeçilmez bir parças" haline getirmi1tir. Kurumlar"n sahip olduklar" çal"1an say"s"
ve bu çal"1anlar"n kendi kurumlar"ndaki kritik de0er ta1"yan yap"lara sald"rabilme ihtimalleri
de iç a0"n ya da tek tek kritik sunucular"n kontrol alt"nda tutulma gereklili0ini beraberinde
getirir.
IDS (Intrusion Detection System) genel olarak iki tip olarak kar1"m"za ç"kar; Sunucu tabanl"
(host ids )IDS ve A0 tabanl" IDS.
A0 tabanl" IDS in görevi, bir kurum yada kurulu1un sahip oldu0u a0 yada a0lara yönlenmi1
olan tüm trafi0i alg"layarak, bu a0a do0ru geçen her bir data paketinin içeri0ini sorgulamak,
bir atak olup olmad"0"na karar vererek kayd"n" alabilmek, kendisi ya da konfigüre edebildi0i
ba1ka bir aktif cihaz taraf"ndan ataklar" kesmek, sistem yöneticisini bilgilendirmek ve ilgili
raporlar olu1turabilmektir. IDS bir data paketinin atak olup olmad"0"n", kendi atak
veritaban"nda bulunan atak tipleriyle kar1"la1t"rarak anlar ve karar verir. Sonuç olarak bir IDS
in en önemli bile1eni bu atak veritaban"d"r. Söz konusu Atak veritaban" n"n içeri0i, ne kadar
33
s"kl"kla ve do0rulukla güncellendi0i ve kimin taraf"ndan olu1turuldu0u/güncellendi0i en

önemli noktad"r.
Sunucu Tabanl" IDS in görevi ise kurulu bulundu0u sunucuya do0ru yönlenmi1 bulunan
trafi0i yine üzerinde bulunan atak veritaban" baz al"narak dinlemesi ve ataklar" sezerek cevap
vermesidir.
IDS' ler, dinledi0i trafi0in kayd"n" tutarak, gerekti0inde bu kay"tlar" baz alarak istenilen
1ekilde raporlar ç"kartabilmektedir. Atak sezdiklerinde ataklar" önleyebilir, yöneticilerine mail
yada benzeri yollarla haber verebilirler, önceden olu1turulmu1 bir program çal"1t"rabilir Tüm
bu özellikleriyle IDS ler sistemin güvenli bir 1ekilde i1lemesine yard"mc" olur ve sistem
yöneticilerinin sistemi güçlü bir 1ekilde izlemesine yard"mc" olmaktad"rlar.
mza tabanl" sald"r" tespit sistemleri günümüzde yayg"n olarak kullan"lmaktad"r. Antivirüs
sistemleri gibi a0 üzerinde yakalanan paketleri inceleme seklinde çal"st"klar" için sald"r"n"n
imza tan"m"n"n önceden tan"mlanm"1 olmas" gereklidir. Bu yöntemin can al"c" noktas", sald"r"
imza listelerinin sistem taraf"ndan otomatik (Auto Update) olarak güncellenmesinin
sa0lanmas"d"r aksi takdirde güncel sald"r"lara kar1" koruma sa0lanamayacakt"r.
Kurumsal bilgisayar a1lar"nda yer alan sald"r" tespit sistemine bir örnek 1ekil 3.3.4.2.1’de
verilmi1tir.
34
ekil 3.3.4.2.1 Sald"r" tespit sisteminin genel yap"land"rmas"
ekil 3.3.4.2.1’de 1.IDS, 2.IDS, 3.IDS,4.IDS üzerinde bulundu0u a0dan olabilecek sald"r"lar"
anlamaya çal"1acakt"r. 1 ve 2.IDS daha çok internet (d"1ardan) gelebilecek sald"r"lar" tespit
edecektir. 3. ve 4.IDS ise daha çok iç a0da olabilecek sald"r"lar" tespit edecektir.
Sald"r" tespit sistemlerinin kullan"m"nda en fazla kar1"la1"lan problemlerden birisi sald"r" tespit
sistemlerinin sistemdeki normal bir davran"1" sald"r" olarak tespit etmesidir (False Positive).
Bu hatadan dolay" sald"r" tespit sistemlerinden beklenen ba1ar" elde edilememektedir. Ancak
yinede günümüzde sistem analizini iyi yapan uygulamalar bulunmaktad"r.
3.3.4.3 Sald.r. Önleme Sistemleri (IPS)
Günümüzde internetten sald"r" teknikleri o kadar karma1"k bir hal alm"1t"r ki bazen sadece bir
güvenlik duvar" ile bu sald"r"lar" engellemek pek mümkün olmamaktad"r. Bu nedenle
internetten gelen veri paketlerini inceleyen (Sald"r" Tespit Sistemi) bu paketlerdeki veriyi
önceki paketlerle kar1"la1t"ran ve sald"r" olma ihtimali olan ve belirli bir 1ablonda gelen
35
paketlerin geçmesini engelleyecek sistemlere ihtiyaç olmu1tur. Bu tip sistemlere Sald"r"

Önleme Sistemleri (Intrusion Prevention Systems) denmektedir [59]. IPS, güvenlik güvarlar"
ile beraber çal"1"rlar. Güvenlik duvarlar" geçen paketleri incelemez sadece geçip
geçmeyece0ine izin verir, Sald"r" Önleme Sistemleri de geçen paketleri inceleyerek zararl"
olup olmayaca0"na karar verir ve buna göre aksiyon al"rlar. Hatta günümüzde IPS cihazlar"
güvenlik duvar"ndan önce önde konumland"rmakta olup paketleri inceler. E0er paketler zararl"
kodlar (kurtçuklar, Truva atlar", uygulama seviyesi sald"r"lar, önbellek ta1malar" gibi)
içeriyorsa IPS, tehditlere kar1" kapsaml" koruma sa0lamaktad"r.
Kurumsal bilgisayar a0lar"nda yer alan sald"r" önleme sistemine bir örnek 1ekil 3.3.4.3.1’de
verilmi1tir.
ekil 3.3.4.3.1 Sald"r" önleme sisteminin genel yap"land"rmas"

36
IPSler içinde bulundu0u a0 ortam"n"n fark"nda olma özelli0i ile, ortamdaki de0i1ikliklere
adapte olabilmektedir. Bu da güvenlik yöneticilerinin sald"r" önleme sistemi yönetimine
ay"rmalar" gereken zaman" azaltmaktad"r.
Kritik uygulamalar" çal"1t"ran sunucular üzerinde sald"r" önleme sistemi ayr"ca sunucu
üzerinde de çal"1t"r"labilmektedir ve bu sisteme host(client veya terminal) IPS denilmektedir.
Bu yap"da daha da güvenli olmaktad"r. ekil 3.3.4.4’de görülen host IPS web sunucusu
üzerinden konumland"r"lm"1t"r.
ekil 3.3.4.4. Terminal (Host IPS) sald"r" önleme sisteminin genel yap"land"rmas"
3.3.4.4 DoS ve DdoS Ataklar. Önleme Sistemleri (DoS Appliance)
DoS(Denial of Service) ve DDoS (Distributed Denial of Service) sald"r"s"nda internetteki bir

bilgisayar veya bir a0"n a1"r" yük yo0unlu0u sayesinde hizmetinin durdurulmas" veya servis
d"1" kalsmas"d"r.Bu CPU, RAM veya A0 donanimi normalinden çok daha fazla bir 1ekilde
kullan"lmas" sonucu ile bilgisayar i1levini do0ru bir 1ekilde yerine getiremez olur yada çöker.
37
Bugüne kadar gerçekle1mi1 en büyük DDOS sald"r"s"n"n, 6 ubat 2007 tarihinde 2,5 saat
sürdü0ü belirtilen bu sald"r" sonucunda, 6 DNS server içerisinden 2’sinin etkisiz hale
getirildi0i ve dünyadaki internet eri1iminde büyük uzun süre boyunca büyük sorun ya1and"0"
aç"klanm"1t"r (Gaudin, 2007). Bu sald"r"lar"n daha hizmet veren bilgisayarlara gelmeden
kesilmesi sald"r" önleme sistemleri (IPS) ile kesilebilmektedir. Ancak a1"r" yok yo0unlu0u
sonucu IPSLer de devre d"1" b"rak"labilir. Bu yüzden daha perdormansl" ve sadece bu DoS
sald"r"lar"ndan anlamas" için programlanan ve buna göre donan"m içeren cihazlar son
zamanlarda üretilmektedir. Bu cihazlara Dos Appliance ad" verilmektedir. çinde Anormal
trafi0i anlayan dedektörleri bar"nd"r"lan bu cihazlar olas" bir DDoS sald"r"s" varl"0"n" tespit
edebilir ve ve gerçek zamanl" olarak zararl" trafi0i bloklar (Davis, 2005).
3.3.4.5 NAC A? Eri<im Kontrolü
NAC, Network Access Control kelimelerin k"saltmas"ndan olu1up Türkçe “a0 eri1im
kontrolü” olarak çevilebilir. NAC bir donam"m veya yaz"l"mdan ibarettir. NAC’"n amac" a0a
ba0lanacak terminallerin güvenlik kriterlerine ve tan"mlanan politikalara(policy) göre dahil
dahil etmek veya bloklamakt"r.
Say"lar" günden güne artan güvenlik aç"klar", virüsler, solucanlar, casus yaz"l"mlar a0lar için
büyük sorunlar olu1turuyor ve her y"l 1irketlerin milyonlarca dolar zarar etmelerine neden
oluyor. Bu durum sadece bu tehditleri önlemek için olu1turulan koruma sistemlerinin
maliyetleri olarak alg"lanmamal", herhangi bir 1ekilde bu tehditlerin a0 içerisinde ortaya
ç"kmas" durumunda ya1anan i1 gücü kayb" ve verece0i zararlarda hesaba kat"lmal"d"r. Cisco
Systems’"n önderli0ini yapt"0" ve güvenlik alan"nda önde gelen 1irketlerin destekledi0i
Network Admission Control (NAC) çözümü a0lar"n kar1" kar1"ya olduklar" tehlikeleri en aza
indirmeyi amaçl"yor [13].
Geleneksel güvenlik teknolojileri bu tehditler kar1"s"nda zaman zaman engelleyici çözümler

sa0layam"yor ve a0 üzerinde bu gibi tehditlerle zaman zaman kar1"la1"labiliyor. Bu gibi
durumlar için daha iyi bir alternatif çözüm olu1turan NAC teknolojisi a0 altyap"s"n"
kullanarak kullan"c"lar"n gerekli güvenlik politikalar"na uyup uymad"klar"n" kontrol ederek
a0lar" tehlikelerden koruyor [14].
NAC’"n amac" a0 kaynaklar"na eri1mek isteyen cihazlar"n bu istekleri s"ras"nda kurumsal

güvenlik politikalar"na uygunlu0unu belirlemek ve uygun olmayan cihazlar"n uygunlu0unun
38
sa0lanarak virüs, solucan ve casus yaz"l"m gibi tehditlerin yarataca0" zararlar" s"n"rlamakt"r.
NAC sadece güvendi0i ve uygunlu0u belirlenmi1 uç cihazlar"n (Masaüstü, dizüstü, avuç içi
bilgisayarlar, sunucular vs) a0a eri1imine izin verir ve bunun d"1"ndaki sistemlerin eri1imini
k"s"tlar.
3.3.4.6 Kablosuz A?(wireless) Sistemleri
Son y"llarda özellikle ADSL ve DSL (daha çok amerika k"tas"nda kullan"l"r) hizmetinin
geni1lemesi ile birlikte kablosuz a0 destekli modemlerin kullan"m" da artm"1t"r. Bu tip
modemlerdeki kablosuz a0 özelli0inin sa0lad"0" esneklikler ve kolay kullan"m" ve dü1ük
maliyeti sayesinde art"k her i1yerinde ve her evde bir kablosuz a0 olu1maya ba1lanm"1t"r.
Kablosuz a0larda kurumlarda kullan"lan kablolu a0lardan farkl" baz" önemli noktalar vard"r.
Kablosuz a0lar"n, iletim ortam" olarak havay" kullanmas"ndan kaynaklanan güvenlik
problemlerinden dolay", kablolu ortamlara göre güvenli0inin sa0lanmas" daha zordur. WEP
(Wired Equivalent Privacy), WPA (Wi-Fi Protected Access) ve EAP (Extensible
Authentication Protocol) kablosuz a0lar için geli1tirilen güvenlik protokolleridir (Gürkas vd,
2005). Kimlik do0rulama mekanizmas" olmayan WEP algoritmas", kablosuz ag güvenli0ini
sa0lamada (bütünlük, gizlilik) sonradan yap"lan iyilettirmelere ra0men ba1ar"s"z olmustur.
WPA, WEP protokolünün eksikliklerini gidermesi için Wi-Fi Alliance ve IEEE taraf"ndan
geçici olarak olu1turulmu1 bir protokoldür. WPA, WEP’e göre daha güçlü bir 1ifreleme
yöntemi olan TKIP (Temporal Key Integrity Protocol)’i desteklemektedir. EAP protokolü ise
uçtan uca ileti1im için kimlik do0rulamas" sa0lar. Kablosuz a0lar"n güvenli0inin sa0lanmas"
için IEEE taraf"ndan kablosuz a0lardaki güvenlik problemlerine detayl" çözümler üretmesi
amac" ile 802.11x standard" geli1tirilmi1tir. Bu standartla güvenilir bir 1ifreleme, kimlik
do0rulama ve veri bütünlü0ünün sa0lanmas" amaçlanmaktad"r (Edney ve Arbaugh, 2003).
WPA2 1uan bulunan en güncel güvenlik standard"d"r. Kablosuz a0lar"n standartla1mas"

çerçevesinde WPA, IEEE (Institute of Electical and Electronic Engineers) taraf"ndan 802.11i
ismiyle geli1tirildi. WPA'n"n güzel taraf" AES (Advanced Encryption Standard) 1ifreleme
standard"n" kullan"yor olmas"s"r. Bunu yaparken de do0al olarak 128, 192 veya 256 Bit
1ifreleme yöntemini kullanmaktad"r. WPA ve WPA2 temel olarak birbirleri ile uyumlu; bu
yüzden baz istasyonlar" bir kar"1"k mo içinde çal"1t"r"labilmektedir.
Kablosuz A?lar.n Güvenli?i:

39
Son y"llarda özellikle ADSL hizmetinin geni1lemesi ile birlikte kablosuz a0 destekli
modemlerin kullan"m" da artm"1t"r. Bu tip modemlerdeki kablosuz a0 özelli0inin sa0lad"0"
esneklikler ve kolay kullan"m" sayesinde art"k her evde ve kurumda bir kablosuz a0 olu1maya
ba1lad"0"n" görülmektedir. Özellikle fiyat/kullan"m özelli0i oran"ndaki ba1ar"m kablosuz
a0lar"n yayg"nla1mas"nda önemli rol oynam"1t"r. Teknolojiye direnmek mümkün de0ildir.
Avantajlar"ndan “zarar görmeden” maksimum seviyede yararlanmay" her ki1i ve kurum
ister.Ancak bu sistemleri ve aç"klar"n"n iyi bilmek gerekmektedir. Kablosuz a0lar"n çal"1ma
mant"klar", güvenlik aç"klar" ve korunma yollar" üzerinde durmak gereklidir.
Kablosuz a?larda en çok kullan.lan güvenlik opsiyonlar. a<a?.daki gibidir:

Open Security,
• WEP,
• WPA,
• WPA2 (en kullan"lan yöntemdir.)
• RADIUS / WPA-RADIUS,
• Wireless Gateway.
Open Security, open security olarak geçen güvenlik modeli 1ifre gerektirmeyen ba0lant"
demektir. Asl"nda bu bir güvenlik modeli de0ildir. Yani herhangi biri bu kablosuz a0lara
asitçe ba0lanabilir.
WEP, Aç"k anahtar (1ifre) kullanan modeldir. Kablosuz a0lar"n güvenli0ini sa0lamak için
kullan"l"r. Geli1tirilmesine ra0men çok büyük aç"klar" bulunmaktad"r. Aç"k anahtar"(1ifre)
bulmak kolayd"r.
WPA/WPA2, Yine aç"k bulunan ancak WEP’ e göre çok daha güçlü bir 1ifre yap"s"na
sahiptir.
WPA (Wi-Fi Protected Access- Wi-Fi Korumal. Eri<im)
WPA kablosuz a0lar için geli1tirilmi1 bir 1ifreleme standard"d"r. Bu standart daha önceki
WEP (Wired Equivalent Privacy- Kabloya E1 Güvenlik) sisteminin yetersizli0ine kar1"l"k
geli1tirilmi1tir. WPA, veri 1ifreleme ve kullan"c" kimlik denetimi alanlar"nda bilgi güvenli0i
sunmaktad"r. WPA, veri 1ifreleme i1lemini geli1tirmek için bu konuda yeni bir yöntem
sunarak 1ifreleme anahtarlar"n" otomatik olarak da0"t"r. Bir bit veri bile 1ifreleme
40
anahtarlar"yla korunur. Bu çözüm ayn" zamanda, veri üzerinde bütünsel bir kontrol yaparak,
verileri ele geçirmek isteyen ki1ilerin bilgileri de0i1tirmesini engeller. WPA, kurumsal
kullan"c"lar"n korunmas" için, a0 üzerindeki her bir kullan"c"ya kimlik denetimi uygularken,
bu kullan"c"lar" veri h"rs"zl"0" amac"yla düzenlenmi1 a0lara geçi1ini de engeller. WPA, IEEE
802.11i taslak standard"n"n bir altkümesidir. 802.1x EAP (Extensible Authentication Protocol-
Geni1letilebilir Kimlik Do0rulama Protokolü) ile De0i1ken Anahtar Da0"t"m (Dynamic Key
Distribution) 1ekillerini Michael do0rultusunda birle1tirmi1tir [15].
WPA2 (Wi-Fi Protected Access 2)
WPA2, WPA’n"n devam" niteli0inde kablosuz a0lar için geli1tirilmi1 bir güvenlik metodudur.
IEEE 802.11.x standard"na dayan"r. WPA2 giri1imciye ve mü1teriye sadece yetkili ki1ilerin
a0lara girebilmesi konusunda büyük bir güven vermektedir. WPA2’nin iki sürümü mevcuttur:
WPA2-Personal (ki1isel) ve WPA2-Enterprise (giri1imci). WPA2-Personal yetkisiz ki1ilerin
a0lara giri1ini bir kurulum 1ifresi kullanarak engellemeyi amaçlar. WPA2-Enterprise ise a0
kullan"c"lar"n" bir sunucu yard"m"yla denetler (Cache ve Liu, 2007).
WPA-WPA2 Personal, WPA ve WPA2 ki1isel sürümü ev ve küçük ofisler gibi kimlik
do0rulama sunucular" olmayan kullan"c"lar için tasarlanm"1t"r. Kimlik do0rulama için IEEE
802.1X yerine önceden payla1"ml" bir 1ifre kullan"r. WPA-WPA2 ki1isel sürümü WPA-
WPA2 Enterprise sürümü ile ayn" 1ifreleme yöntemlerini kullan"r. WPA , TKIP yoluyla
WPA2 ise AES yoluyla kullan"c", oturum, paket ba1"na 1ifrelemeyi destekler.
WPA-WPA2 Enterprise, WPA, WPA2 personal ile ayn" 1ifreleme özelliklerini

desteklemektedir.
WPA-WPA2 ile a? sald.r.lar.ndan korunma
WPA ve WPA2 kablosuz a0" korsan sald"r"lara, zay"f 1ifrelere, kullan"c"larla ilgili sald"r"lara
kar1" korur. WPA, WEP’in hatal" 1ifreleme anahtar"ndan kaynaklanan zay"fl"klar" belirler.
WPA ve WPA2 ile birlikte TKIP ve AES 1ifrelemeleri geli1tirildi0i için sald"r"lar ve
sald"r"lardan etkilenme olas"l"0" en aza indirgenmektedir (Vacca, 2006).
RADIUS, Ba0lant" kuran istemci (client) bir bilet (ticket) sistemi ile kablosuz a0a ba0lan"r.
Ortak bir server oldu0undan do0ru implemantasyonda gayet güvenli bir kablosuz a0 deneyimi
sa0layabilir. Ancak ev kullan"c"lar" ya da küçük organizasyonlar için çok kullan"1s"zd"r.
RADIUS-WPA ise ayn" sistemin WPA desteklisidir.
41
Wireless Gateway, Özellikle halka aç"k yerlerde kablosuz a0 sunan firmalar"n kurdu0u
sistemlerdir. A0 ile kablosuz cihazlar aras"nda bir ba0lant" noktas" olu1turur, giren ki1iler bu
sistemden bir defa onay ald"ktan sonra ilgili kota ve ayarlara göre gerçek a0a (internet)
eri1ebilirler. Ülkemizde TTNet’ in sundu0u TiWinet kablosuz internet eri1imlerinde de bu
metod kullan"l"r.
A0 güvenli0inin sa0lanmas" için a1a0"daki kurallar"n uygulamas" yerinde olacakt"r [16]:
1. Kurumsal a0 kaynaklar"n"z" iç ve d"1 tehditlere kar1" korumak: Günümüzde kurumlar için

yerel a0 kavram" art"k, iç a0/d"1 a0 ayr"m" yap"lmaks"z"n, kurumdaki herhangi bir ki1iye,
herhangi bir yerden eri1ebilmek anlam"nda geni1lemi1tir. Ama bu geli1ime paralel olarak,
güvenlik uzmanlar" da a0lar"na kar1" olan tehditlerle ba1a ç"kabilmek için daha komplike
güvenlik politikalar" uygulamak zorunda kalmaktad"r. Bu tehditleden en ba1ta geleni, önemli
a0 kaynaklar"n" Internet’ten veya yerel a0dan gelebilecek muhtemel sald"r"lara kar1"
korumakt"r.
A0 üzerinden eri1im kontrolü, mevcut a0 kaynaklar"n" korumak için temel yoldur.

Ölçeklenebilir kapsaml" eri1im denetimi kurallar" sayesinde, a0 güvenli0i yöneticileri a0
ba0lant"lar" için kaynak sistem, hedef sistem, a0 trafik türü ve uygulama zaman"n" belirlemek
suretiyle esnek a0 eri1im haklar" belirleyebilirler.
A0 güvenli0ini korumak tabi ki sadece spesifik kaynaklara eri1im denetimi sa0lamaktan ibaret
de0ildir. Bundan ba1ka, komple bir a0 güvenli0i çözümü a1a0"dakileri sa0lamal"d"r:
• A0 kullan"c"lar"n kimliklerinin belirlenmesi,

• Aktar"m esnas"nda veriyi 1ifreleme,
• Kay"tl" IP’leri optimize 1ekilde kullanma,
• A0 trafi0inin tümünün içeri0ine güvenlik politikas"n" uygulama,
• Sald"r"lar" gerçek zamanl" olarak belirleme ve önlem alma,
• Denetim bilgilerinin tümünün kay"tlar"n" tutma.
Ayr"ca güvenlik politkas", kurum içerisinde kullan"lan mevcut ve ileride kullan"lmas"

muhtemel bütün uygulamalara tatbik edilebilmeli ve ba0lant" sorunlar"na, a0 performans
dü1üklüklerine yol açmamal"d"r.
42
2. Mobil ve uzak kullan"c"lar için a0 ba0lant"s" sa0lamak: Birçok 1irket uzak kullan"c"lar"n"n
ba0lant"lar" için, büyük modem ba0lant"lar" gerektiren geleneksel uzaktan eri1im çözümleri ve
pahall" dial-up telefon ba0lant"lar" ile kar1"la1t"r"ld"klar"nda çok ekonomik çözümler sunan
Internet üzerinde geli1tirilen a0 uygulamalar"n"n fark"na vard"lar. Uzak ve mobil
kullan"c"lar"n" kurumsal a0lar"na Internet bazl" özel sanal a0lar (VPNler) arac"l"0" ile
ba0lamak isteyen firmalar"n say"s" artt"kça, bu kritik ba0lant"lar"n güvenli0inin sa0lanmas" da
büyük önem kazanm"1t"r.
Bilgilerinizin Internet gibi herkese aç"k a0lar üzerinden iletimi s"ras"nda güvenli0inden emin
olabilmek için iki temel unsurun yerinde uygulanmas" gerekir. Birincisi, hem uzak istemci,
hem de kurumsal Internet a0geçidi seviyesinde mümkün olan en güçlü tan"lama
sa0lanmal"d"r. kincisi ise, bütün kullan"c" kimlikleri belirlendikten sonra, bütün veri trafi0i
gizlilik aç"s"ndan 1ifreli olarak iletilmelidir.
Hem tan"lama hem de 1ifreleme uygulamalar", a0 güvenlik çözümü çerçevisinde kesintisiz ve

uyumlu olarak çal"1mal"d"r. Eri1im denetimi gibi a0 güvenlik kriterleri sanal özel a0
ileti1imlerinde de çok önemli role sahiptir. Uzak bir kullan"c"n"n VPN ile kurumsal ofisine
ba0lant" kurmas" demek, buradaki tüm a0 kaynaklar"na eri1im hakk" kazanmas" anlam"na
gelmemelidir.
Bir firma için uzak a0 ba0lant" ihtiyac" artt"kça, a0 güvenlik yöneticileri yönetilebilir ve
kullan"m" kolay VPN çözümlerine ihtiyaç duyarlar. Ve seçilecek çözüm, kurulumu kolay,
ileride eklenebilecek yüksek say"da uzak kullan"c" say"s"n" destekleyebilecek esneklikte, son
kullan"c" için ise kesintisiz ve transparan olmal"d"r.
3. Internet’i kullanarak kurumsal veri ileti1im masraflar"n" dü1ürmek: Güvenli a0 eri1imi

sa0lamak amac"yla istemciler ve a0lar aras"nda kurulan VPN ba0lant"lar" pahal" çözümler
olduklar" için, firmalar uzak ofis ba0lant"lar"n" sa0lamak için Internet arac"l"0" ile a0lar aras"
veya bölgeler aras" VPN ba0lant"lar"n" tercih ederek tasaruufa giderler. Ayr"ca herkese aç"k
hatlar üzerinden güçlü tan"lama ve veri 1ifreleme özellikleri kullanarak, bilgi güvenli0inden
ödün vermeksizin ticari ileti1imleri de sa0lamak mümkün olur. Bu sayede, frame-relay ve
kiral"k hatlara yüksek miktar yat"r"mlar yapmaya gerek de kalmaz.
Gözden kaç"r"lmamas" gereken bir konu ise, uzaktan eri1im çözümü olarak güçlü tan"lama ve
1ifreleme teknolojileri seçildi0i vakit, bu seçimin beraberinde yeni güvenlik yönetimi
43
zorluklar" getirebilmesidir. Bu tip muhtemel zorluklar" ya1amamak veya minumum seviyeye

indirgemek için, tüm VPN ba0lant" noktalar"n" merkezi bir konsol arac"l"0" ile yönetebilecek
güvenlik çözümleri tercih edilmelidir.
Internet üzerindeki VPN uygulamalar"n"n sa0lad"0" maliyet dü1üklü0ünün yan" s"ra, a0

ileti1imlerini özel dedike hatlardan Internet üzerine ta1"nmas", beklenmedik performans
dü1üklüklerine ve eri1im sorunlar"na yol açabilir. Bu yüzden, sanal özel bir a0 bünyesinde
öncelikli ba0lant"lar için entegre bantgeni1li0i yönetimi ve yüksek eri1ilebilirlik
desteklenmelidir.
4. Güvenli bir extranet üzerinden i1 ortaklar"na a0 eri1imi sa0lamak: Kendinize ait a0

kaynaklar"n"z" (uzak ve mobil kullan"c"lar, branch ofisler) güvenli 1ekilde birbirine
ba0lad"ktan sonra, s"ra kurumsal a0"n"z" extranet uygulamalar" arac"l"0" ile de0erli i1
ortaklar"n"za ve mü1terilerinize kontrollü bir biçimde açmaya gelir. Endüstri standartlar"nda
protokollere ve algoritmalara ba0l" kalarak gerekli extranet ba0lant"lar" güvenli 1ekilde
sa0lanabilir. Ama bu tür ba0lant"lar için kesinlikle tescilli teknolojiler tercih edilmelidir.
Internet bazl" VPN uygulamalar" için kabul edilen standarda IPSec (Internet Protocol
Security) ad" verilir. IPSec, 1ifrelenmi1 ve tan"lanm"1 bir IP paketinin format"n" ifade eder ve
gelecek nesil IP ileti1imi için gereklidir. ifrelenmi1 anahtarlar"n yönetimini
otomatikle1tirmek için genellikle IPSec ile IKE (Internet Key Exchange) ile kullan"l"r.
Standart bazl" ba0lant" kuruldu0u zaman, d"1ardan eri1ecek kullan"c"lar"n (i1 ortaklar", özel
mü1teriler) ihtiyaçlar"na göre özel haklar sadece ilgili a0 kaynaklar" için tan"nmal"d"r.
Kurumsal a0 kaynaklar"n"n d"1ar"ya aç"lma oran" artt"kça, bununla ilgili uygulanmas" gereken
kapsaml" güvenlik politikas" da periyodik olarak revize edilmelidir.
5. Kurumsal a0"n"z"n yeterli performans, güvenilik ve yüksek eri1ilebilirli0e sahip olmas" :

Kurumsal a0 ba0lant"lar"nda artan Internet kullan"m"n"n do0al sonuçlar"ndan biri olan a0
t"kan"kl"klar" sonucu kritik uygulamalarda performans sorunlar" ya1anabilir. Ortaya
ç"kabilecek ba0lant" hatalar", a0geçidi çökmeleri, a0 ba0lant" gecikmeleri ve di0er performans
dü1üklükleri neticisinde firmalar büyük ekonomik kay"plar ya1ayabilirler.
Internet ve Intranet hatlar"n"n gere0inden fazla istemci ve sunucu taraf"ndan kullan"lmas"

sonucu, trafik miktar"na göre ba0lant" kopukluklar", zay"f ‘response’ zamanlar" ve yava1
Internet kullan"m" sorunlar" ile kar1" kar1"ya gelmek normaldir. Bu gibi durumlarda, s"n"rl"
44
bantgeni1li0i üzerinde mevcut hatt" aktif olarak payla1t"rmaya yönelik bir yönetime
gidilmelidir.
E0er yerel a0"n"z bünyesinde yo0un trafik ya1an"yorsa, birçok kayna0"n"z (halka aç"k popüler
bir Web sunucusu gibi ) negatif yönde etkilenebilir. Bir uygulama için bir sunucuya
güvenmek, zay"f ‘response’ zamanlar"na hatta ba0lant" kopukluklar"na yol açabilir. Sunucu
yük dengelemesi bir uygulama sunucusunun i1levini birçok sunucu üzerine da0"tarak
ölçeklenebilir bir çözüm sa0lar. Bu yolla ayr"ca, sunucular üzerindeki performanslar da
artt"r"lm"1 olur.
Performans"n yetti0i durumlarda dahi, a0geçidi seviyesinde meydana gelebilecek bir hatay"
tolere edebilecek güvenli bir a0 altyap" sistemi olu1turulmal"d"r. Günümüzde art"k ço0u
kurum, a0gecidinde ya1ayacaklar" anl"k eri1im sorunlar" yüzünden dahi büyük mali kay"plar
ya1aycaklar"ndan emin olarak yüksek eri1ilebilirli0i destekleyen a0 güvenlik ürünlerini tercih
etmektedir.
Yüksek eri1ilebilirli0i destekleyen ürünler hem yaz"l"m, hem donan"m baz"nda yedeklemeli
sistemler ile yüzde yüze yak"n seviyelerde eri1ilebilirli0i garanti ederler. Bir sorun meydan
geldi0i zaman, yüksek eri1ilebilirli0i sa0layan bile1enler a0"n"z"n güvenli olmas"n" sa0lamal"
ve son kullan"c"ya tamamen transparan 1ekilde devam ettirilmelidir. Gerçek etkili çözümler
sunacak a0 yöneticileri, iç ve d"1 kullan"c"lar"na daimi güvenilir servisler sa0lamal"d"r.
6. Kullan"c" baz"nda güvenlik politikalar"n" a0 seviyesinde uygulamak : Kurumsal a0

konseptinin geni1lemesi, birçok a0 için kullan"c", uygulamalar ve IP adres kullan"m"
say"lar"nda a1"r" art"1lara yol açm"1t"r. Bu tür dinamik a0 ortamlar"nda emniyetli a0
politikalar"n"n uygulanmas", kullan"c" baz"nda güvenlik politikalar"n"n olu1turulmas"yla
sa0lan"r. Bu politikalar çerçevesinde, a0 kullan"c"lar" için ki1isel eri1im denetimleri, tan"lama
prosedürleri ve 1ifreleme parametreleri belirlenir. Yüksek miktarda kullan"c" bilgisi içeren bu
uygulamalarla u0ra1mak a0 ve güvenlik yöneticileri için bazen kolay olmayabilir.
Kullan"c" seviyesinde güvenlik bilgilerini ölçeklenebilir 1ekilde merkezi bir yerde depolamak
için LDAP protokolü kullanmak en uygun çözümdür. LDAP sayesinde, bütün kullan"c"
bilgileriniz tek bir veritaban"nda tutulup di0er a0 uygulamalar" taraf"ndan payla1"l"r. Bununla
birlikte a0 ve güvenlik yönetimleri paralel çal"1arak güvenlik ile ilgili zaman harcat"c" rutin
prosedürlerin a1"lmas" sa0lan"r.
45
Güvenlik denetimlerini en üst düzeyde tutmak için kullan"c" seviyesinde uygulanan güvenlik
politikalar"n kay"tlar"n"n tutulmas" ve bunlar"n denetlenmesi gerekir. Ki1isel güvenlik
politikalar"n"n uyguland"0" ortamlarda DHCP protokolünün kullan"lmas" etkili bir yol
de0ildir. Bunun sebebi IP adres atamalar"n"n dinamik olarak yap"lmas"d"r.
7. A0"n"za kar1" yap"lan ataklar" ve 1üpheli aktiviteleri an"nda alg"lamak ve bunlara cevap
vermek: Kurumsal a0 güvenli0inizi ancak a0"n"z" ve kullan"c"lar"n"z" korumak için
uygulad"0"n"z güvenlik politikalar" belirler. A0 koruman"z" devaml" olarak ayakta tutman"n
yolu yetkisiz aktiviteleri gerçek zamanl" olarak tespit etmektir.
Etkili bir sald"r" tespit sistemi, atak ve 1üpheli a0 aktivitelerini yetkin bir 1ekilde tespit ederek
kurumsal a0 güvenli0inizin bir baca0"n" olu1turur. Ama bu istenmeyen trafi0in sadece
saptanmas" yeterli de0ildir. Kulland"0"n"z sald"r" tespit uygulamas" öte yandan belirlenecek bu
tür istenmeyen ba0lant"lara an"nda yan"t verebilmeli ve a0 kaynaklar"na yetkisiz eri1imi
engellemelidir.
yi dizayn edilmi1 bir sald"r" tespit uygulamas", gerçek zamanl" kar1"l"klara ek olarak kapsaml"
kay"t tutabilme, komple denetim ve gerekti0inde ilgili ki1ileri ikaz edebilecek geli1mi1 uyar"
mekanizmalar"na sahip olmal"d"r.
8. A0"n"z"n IP adres altyap"s"n" güvenli ve etkili bir biçimde yönetmek :A0lar üzerindeki
kulla"n"c" ve uygulama say"s" artt"kça, a0 cihazlar" ve kullan"c"lar" için gereken IP adres adres
say"s" gittikçe daha çok artmaktad"r. Buna paralel olarak da h"zl" geli1en a0larda IP adres ve
isim alan" yönetimi zorla1maktad"r.
Eskisi gibi her bilgisayar ve a0 cihaz"n"n IP adres konfigürasyonunu manuel olarak kontrol
etmek art"k uygulanmamaktad"r. Bunun sebebi, bu tip bir yönetimin günümüz a0lar" üzerinde
hataya aç"k, zahmetli ve entegrasyon eksikli bir yap" olu1turacak olmas"d"r. Böyle bir yap" da
do0al olarak çok pahal" olmas"n"n yan"nda, merkezi kontrol, ölçeklenebilme ve güvenilirlikten
uzak olacakt"r.
Kurumsal bazl" IP a0 altyap"n"z için merkezi idare ve esnek yönetim sa0layan IP adres
yönetim çözümleri ancak genel a0 altyap"s" ile tamamen entegre olduklar"nda güvenlik
politikalar" için optimum kullan"lm"1 olurlar. Daha spesifik olmak gerekirse, dinamik
payla1"ml" dahi olsalar, mevcut IP adreslerini kullan"c"lara birebir olarak e1lemek kullan"c"
bazl" daha güçlü çözümler yaratmay" sa0layacakt"r.
46
9. Entegrasyona yönelik aç"k platform güvenlik çözümleri kullanmak :A0 güvenlik

yöneticileri, koruduklar" a0 üzerinde kullanacaklar" yaz"l"m uygulamalar" ve a0 altyap"s"nda
kullancaklar" donan"mlar" ba1 döndürücü bir devinim içinde geli1en bili1im teknolojileri
pazar"ndan seçmektedirler. Bu noktada dikkat edilmesi gereken husus, bütün ürünlerin
birbirleri ile teknik olarak entegrasyon sorunu olamaks"z"n yüksek performans ile çal"1mas"
gereklili0idir.
Alternatif olarak, seçece0iniz çözümleri geni1 yelpazede çal"1an üretici tek bir firmadan temin
edebilirsiniz. Bu sayede ürünlerin sistemleriniz üzerinde entegrasyon sorunu olmadan
çal"1aca0"ndan emin olabilirsiniz ama bu a1amada da tercih edebilece0iniz uygulama
say"s"nda daralma ya1ars"n"z. Bütün güvenlik ihtiyaçlar"n"z" temin edebilecek spektrumda
hizmet veren tek bir üretici firma bulman"z pek muhtemel de0ildir.
A0 güvenli0i için tercih edece0iniz çözümler neler olurlarsa olsun, hepsinin seçiminde aç"k
mimari platformu destekleyecek çözümler olmalar"na dikkat edilmelidir. yi tan"mlanm"1
arayüzlere sahip aç"k bir mimari, genel güvenlik politikas" çerçevesinde kullan"lacak bütün
ürünlerin birbirleri ile sorunsuz çal"1mas"n" sa0layacakt"r. Buna ek olarak size özel a0
güvenlik ihtiyaçlar" yaratman"z için uygulama programlama arayüzleri (API’ler)
kullan"labilirsiniz.
10. Güvenli bir a0a sahip olman"n maliyet ve zahmetlerini azaltmak :Kurumsal a0"n"z"n
güvenli0ini sa0lamak için, seçti0iniz çözümleri yönetecek ve denetleyecek ki1ilere önemli
miktarda ücret ödemek durumundas"n"zd"r. Bu yüzden bu ki1ilerin i1lerini, entegre konsollar
üzerinden merkezi olarak idare edebilecekleri çözümler tercih edilmelidir. Böylelikle büyük
bir kurumsal a0 için dahi, tek bir ki1i a0 güvenlik yöneticisi olarak a0 güvenli0i denetimi
yapabilir. Bundan ba1ka güvenlik politikas"nda meydana gelecek çözümleri bütün uygulama
noktalar"na hemen aktarmak gerekir.
3.3.5 Bilgi Güvenli?i
Bilgi güvenli0inin sa0lanabilmesi için daha önceki bölümlerde anlat"lan güvenlik

önlemlerinin tamam"n"n birlikte de0erlendirilmesi gerekmektedir. Bir kurum veya kurulu1un
kâr etmek, de0er yaratmak, rekabet avantaj"n" ve sürdürülebilir büyümeyi yakalamak için
sahip oldu0u veya sahip olmas" gereken, pazar, ürün, teknoloji ve organizasyona ait bilgilerin
tamam" bilgi varl"klar" olarak tan"mlanabilir. Bilgi varl"klar"n"n fiziksel olarak korunmas" için
47
fiziksel güvenli0in, transfer halindeki bilgilerin güvenli0inin sa0lanmas" için ileti1im

güvenli0inin, bilgisayarlar"m"za eri1imin kontrol alt"na al"nmas" için bilgisayar ve a0
güvenli0inin sa0lanmas" gerekmektedir. Bilginin güvenli0inin yüksek seviyede
sa0lanabilmesi için yukar"da aç"klanan güvenlik türlerinin tamam"n"n organize bir 1ekilde
uygulanmas" gerekmektedir. Bilgi güvenli0i ile ilgili literatürde çesitli tan"mlamalar
yap"lm"st"r.
Bu tan"mlardan baz"lar" a1a0"daki 1ekildedir:
Bilgi güvenli?i, “bilginin bir varl"k olarak hasarlardan korunmas", do0ru teknolojinin, do0ru
amaçla ve do0ru 1ekilde kullan"larak bilginin her türlü ortamda, istenmeyen ki1iler taraf"ndan
elde edilmesini önleme olarak” tan"mlan"r (Canbek ve Sa0"ro0lu, 2006).
Bilgi güvenli0i, yetkisiz eri1im ve kullan"m, aç"0a ç"karma, yok etme, de1istirme, bozma gibi
sald"r" tehditlerinden verilerin korunmas" sürecidir [17].
Bilgi güvenli0i, Bilginin bir varl"k (asset) olarak ele al"nmas" ve olas" hasarlardan korunmas"
olarak tan"mlar (Ça0layan, 2003).
Bilgi güvenli0i; bilginin sadece eri1im yetkisi verilmi1 ki1ilerce eri1ilebilir oldu0unu garanti
etme (gizlilik), bilginin ve i1leme yöntemlerinin do0rulu0unu ve bütünlü0ünü temin etme
(bütünlük) ve yetkili kullan"c"lar"n, gerek duyuldu0unda bilgiye ve ili1kili kaynaklara
eri1ebileceklerini garanti etme (eri1ilebilirlik) olarak tan"mlanmaktad"r (Iso, 2005).
Bilgi güvenli0i, kurumsal BT (Bilgi Teknolojileri) kaynaklar"n"n eri1ilebilirlik, bütünlük ve

gizlili0i üzerindeki risk etkilerinin azalt"larak disiplinize edilmesidir (Solms, 2006).
BS 7799 bilgiyi, di0er bütün önemli i1 varl"klar" gibi, bir kurum aç"s"ndan de0eri olan ve
dolay"s"yla korunmas" gereken bir varl"k olarak tan"mlamaktad"r. Bilgi güvenli0i; i1
süreklili0i sa0lamak, i1 hasar ve zararlar"n" asgari düzeyde tutmak ve yat"r"m geri dönü1ü ve
getirilerini ve i1 f"rsatlar"n" azami düzeye ç"kartmak amac"yla, bilgiyi çok çesitli tehditlere
kar1" korur (Tioia, 2006).
Bilgi güvenli0i ile ilgili literatürdeki tan"mlarda dikkate al"nd"0"nda uzmanlar"n sahip
olduklar" bilgi birikimi ve özel uzmanl"k alanlar"na göre bilgi güvenli0ine farkl" aç"lardan
bak"ld"0" görülebilir. Bilgiye sürekli olarak eri1ilebilirli0in sa0land"0" bir ortamda, bilginin
göndericisinden al"c"s"na kadar gizlilik içerisinde, bozulmadan, de0i1ikli0e u0ramadan ve
48
ba1kalar" taraf"ndan ele geçirilmeden bütünlü0ünün sa0lanmas" ve güvenli bir 1ekilde

iletilmesi sürecine bilgi güvenli0i olarak tan"mlanabilir.
Bilgi güvenli0inin sa0lanmas"nda uyulmas" ve uygulanmas" gereken birçok güvenlik bile1eni

vard"r. Öncelikle üç ana ilke olan gizlilik, bütünlük ve eri1ilebilirlik(kullan"labilirlik)
ilkelerine uyulmas" sonras"nda da bu ilkelere ek olarak de0erlendirilebilecek giri1 kontrolü,
emniyet, inkâr edememe, güvenirlik, kay"t tutma, kimlik tespiti gibi ilkelere uyulmas" bilgi
güvenli0inin üst düzeyde sa0lanmas"na yard"mc" olur (Ça0layan, 2003).
Bilgi güvenli0i tan"mlayan bile1enleri aç"klamakta yarar vard"r:
Gizlilik(Confidentialy):
Elektronik ortamlarda bulunan veya ta1"nan bilginin; yetkisi ve izni olmayan ki1iler veya
süreçler taraf"ndan elde edilmesinin engellenmesi olarak tan"mlanabilir. Gizlilik, statik
ortamlar (disk, teyp, cd, dvd, vb.) veya a0 üzerinde bir göndericiden bir al"c"ya gönderilen
dinamik ortamdaki veriler için sa0lanmak zorundad"r. Sald"rganlar, yetkileri olmayan gizli
bilgilere birçok yolla eri1ebilirler. Burada amaç sald"rganlar taraf"ndan bu bilgiler elde edilse
bile anlas"lmas"n" veya çözülmesini zorla1t"racak yakla1"mlar kullan"larak bulunan veya
ta1"nan bilgi çözülemeyecek ba1ka bir formata dönü1türülür. Gizlilik ilkesinin sa0lanmas"nda
1ifreleme algoritmalar" ve steganografi yöntemleri kullan"lmaktad"r (Sa0"ro0lu ve Tunçkanat,
2002; Sa0"ro0lu vd,2002; Yerlikaya vd, 2006).
Bütünlük (integrity):
Bilginin göndericiden ç"kt"0" haliyle bozulmadan bir bütün olarak al"c"s"na ula1t"r"lmas"n"
garanti eden bir güvenlik unsurudur. Bilgi ileti1im s"ras"nda geçti0i yollarda
de0i1tirilmemi1,eksiltip ço0alt"lmam"1 1ekilde al"c"s"na ula1t"r"larak bütünlü0ü sa0lan"r.
Bilginin bütünlü0ünün garanti edilmesi için hashing (özetleme) algoritmalar"
kullan"lmaktad"r.
Eri<ilebilirlik(Kullan.labilirlik- Availability):
Gerkti0i zaman bilgiye kullan"c"lar"n yetkisi dâhilinde zaman"nda eri1imine imkan verilmesi
olarak tan"mlanabilir. Eri1ilebilirlik bili1im sistemlerini kullanan ki1iler veya süreçler
taraf"ndan büyük bir önem ta1"maktad"r.
Kay.t (Log) tutma:

49
Bili1im sistemlerinde gerçekle1en olaylar"n daha sonra analiz edilmesi ve hukuki olaylara
kan"t te1kil etmesi için i1lemlerin kay"t alt"na al"nmas" olarak tan"mlanabilir. Kullan"c"n"n
parolas"n" yazarak sisteme girmesi, veritabanlar"ndan bir bilgi ça0"rmas", web sayfas"na
ba0lanmas", eposta göndermesi veya almas" gibi örnekler kay"t alt"na al"nmas"
gerekenolaylara örnek olarak verilebilir.
Kimlik tespiti (kan.tlama ve do?rulama- Identity):
Bili1im sistemlerinden hizmet alan al"c"n"n, iddia etti0i ki1i oldu0undan emin olunmas" olarak
tan"mlanabilir. Örne0in, giri1 izniniz olan herhangi bir elektronik ortama eri1tiginizde size
sorulan 1ifreler, bilgisayar"n"z" açarken 1ifre girilmesi kullan"c"n"n kimli0inin tespit
edilmesinde kullan"lan yöntemlerdir. Günümüzde kimlik tespiti, bilgisayar a0lar" ve di0er
sistemler için de çok önemli bir hizmet haline gelmistir. Ak"ll" kartlar, tek kullan"ml"k
parolalar (one time password), elektronik imza kartlar", biyometrik teknolojiler kimlik
tespitinde kullan"lan teknolojilerden baz"lar"d"r.
Güvenirlik (reliability):
Bilgisayar sistemlerinin beklenen davran"1" ile elde edilen sonuçlar aras"ndaki tutarl"l"k
durumu olarak tan"mlanabilir. Di0er bir ifadeyle güvenirlik, herhangi bir bilgi sisteminden ne
yapmas"n" bekliyorsak, sistemin kendisinden beklenileni yaparak her çal"st"r"ld"0"nda da ayn"
sonuçlar" vermesi olarak tan"mlanabilir.
nkâr edememe(nonrepudiation):
Elektronik ortamlarda gönderici ve al"c" aras"ndaki haberle1menin inkâr edilmemesi için

gerekli olan önlemlerinin al"nmas"n" sa0layan güvenlik unsurudur. Al"nan güvenlik önlemleri
sayesinde gönderici ile al"c" aras"nda ortaya ç"kabilecek anla1mazl"klar"n, olu1abilecek
zararlar"n en aza indirilmesi sa0lan"r. Bu güvenlik unsuru, özellikle gerçek zamanl" i1lem
gerektiren bankac"l"k ve finans ve e-devlet bilgi sistemlerinde yo0unlukla kullan"lmaktad"r.
Pratikte inkâr edememe unsuru elektronik imza ve aç"k anahtar altyap"s" kullan"larak
sa0lanmaktad"r.
Giri< kontrolü (Eri<im listeleri-Access Control):

50
Bilgi sistemlerine eri1mek için kimlik tespiti yap"lm"1 olan kullan"c" veya uygulamalara
belirlenen yetkilerin atanmas", bir kayna0a eri1mek için belirli izinlerin verilmesi veya
al"nmas" olarak tan"mlanabilir.
51
4. KURUMSAL B LG GÜVENL G YÖNET M S STEMLER
Dünyada ve Türkiye’de yüksek seviyede kurumsal bilgi güvenli0inin sa0lanmas"nda önemli

bir rol oynayan güvenlik yönetim sistemleri ve bilgi güvenli0i standartlar" bu bölümde
aç"klanm"1t"r.
Bilgi güvenli0i ve yönetimi ile ilgili kabul gören uluslararas" standart ve çerçevelerin
ba1l"calar" a1a0"dakilerdir (Shahim, 2009).
• ISO 27001,
• ITIL,
• COBIT,
• PCI DSS,
• HIPAA,
• CMMI,
• PRINCE2,
• BS25999
Bu standart, çerçeve (Framework) ve rehber (Guideline) aras"nda bilgi güvenli0ini ön planda

tutan standart, yeni ad" ile ISO /IEC† 27001’dir. Standartla1ma konusuna önderlik eden
ngiltere standart enstitüsü taraf"ndan geli1tirilen BS–7799 standard", ISO taraf"ndan kabul
görerek önce ISO–17799 sonras"nda ise ISO/IEC 27001:2005 ad"yla dünya genelinde bilgi
güvenli0i standard" olarak kabul edilmi1tir [18].
Bu kapsamda yukar" ad" geçen standartlar hakk"nda k"sa bilgi verilecek ve ülkemizde de en
çok kullan"lan ve hatta elektornik imza yasas"nda geçen ISO/IEC 27001 standard"n"n detaylar"
bölüm 4’de detayl"ca incelenecektir.
4.1 ITIL
ITIL(Information Tehnologies Infrastructure Library) en iyi uygulamalar"n (best practices) ve

deneyimlerin bir araya getirilmesi ile olu1turulmu1 bir kütüphanedir. Ancak 1uanda kütüphane
olmaktan ç"k"p BT yönetim metodoloji olmu1tur.
†
IEC: International Electrotechnical Commission
52
ITIL; 1980’li y"llar"n sonlar"nda, ngiltere Ticaret Bakanl"0" taraf"ndan ba1lat"lan, Bilgi
Teknolojileri altyap" ve hizmet süreçlerinin standartla1t"r"lmas" çal"1malar" ile ortaya ç"kan bir
kütüphanedir. Standartlar"n belirlenmesi a1amas"nda olu1turulan yordamlar zamanla bir
kütüphaneye dönü1mü1tür. 1990’l" y"llar"n ba1lar"nda, özellikle Avrupa ülkelerinde, pek çok
büyük 1irketin ve kamu kurulu1unun ITIL standartlar"n" benimsemesi ve kendi bünyelerinde
uygulamaya ba1lamas" ile ITIL, tüm dünyada kabul edilen bir endüstri standard" durumuna
gelmi1tir. ITIL temel 1emas" 1ekil 4.1.1 de verilmi1tir (Johnson ve Higgins, 2007).
ITIL, IT altyap" ve hizmet süreçlerinin nas"l olmas" gerekti0inin anlat"ld"0" ve

gerçekle1tirilmi1 en iyi örneklerden yola ç"k"larak standartlar"n tan"mland"0" bir süreç ve
yordam kütüphanesidir.
ITIL yordamlar"nda; IT hizmetlerinin, bir bütün olarak, maksimum kalitede, düzende, ve

süreklilikte yürütülmesi, kurumlar"n i1 hedefleri ile maksimum seviyede uyumlu hale
getirilmesi ve mü1teri beklentilerinin en iyi biçimde kar1"lanmas" için hizmetlerin nas"l bir
yap"da yürütülmesi gerekti0i konular"na yönelik süreçler ve yordamlar tan"mlanmaktad"r.
ekil 4.1.1 ITIL genel süreci (Johnson ve Higgins, 2007)
ITIL, operasyonel bilgi i1lem hizmetlerinin verimli ve etkin bir 1ekilde yürütülmesi için
geli1tirilmi1 kalite yönetim metodolojisidir. ITIL operasyonel hizmetlerin, uçtan uca
bütünle1ik süreçler olarak yürtülmesinde esas al"nacak ilkelere aç"kl"k kazand"r"r. ITIL’"
uygulayan firmalar BT servislerinde gözle görülür bir iyile1me elde etmi1lerdir. Genelde bu
53
iyile1meler hizmet seviyesi kalitesinin yükselmesi, eri1ebilirili0in artmas", do0ru kapasite

planlamas"n"n yap"larak maliyetlerin kontrol alt"na al"nmas" gibidir.
ITIL metodolojisi küçük yada büyük ölçekli bütün firmalara uygulanabilir. As"l i1i bilgi
teknolojileri olmayan firmalarda bilgi i1lem bölümleri genellik harcama yapan bölüm olarak
alg"lan"r. Bu birimlerin yapt"0" i1in kurum hedefleri do0rultusunda yap"ld"0"n"n yolu ITIL gibi
süreçlerin oturtmas" ile bilgi teknolojilerine para harcayan bir müdürlük veya birim imaj"ndan
ç"karabilir. As"l hedefin hizmetlerin ölçülebilir olmas" , süreçlerle yönetim ve i1 taraf" ile ayn"
oldu0unun göstergesi olarak kullan"labilir.
ITIL’"n genel olarak amaç ve faydalar"n" a1a0"daki 1ekilde s"ralayabiliriz.
• Maliyetleri dü1ürmek,
• Eri1ilebilirli0i artt"rmak,
• Kapasiteyi ayarlamak,
• 1 gücünü artt"rmak,
• Kaynaklar"n verimli kullan"lmas"n" sa0lamak,
• Ölçülebilirli0i art"rmak,
• Yüksek kalitede bilgi teknolojileri hizmeti vermektir.
ITIL’"n Sürümü, ITIL, 1985, 2001 ve 2007 y"l"nda olmak üzere 3 sürüm halinde
yay"mlanm"1t"r (Malone vd, 2009).
4.2 COBIT
COBIT, kelime olarak Control Objectives for Information and related Technology
kelimelerinin k"saltmalar"ndan olu1turulmu1dur. Cobit, türkçe olarak “Bilgi ve lgili
Teknolojiler çin Kontrol Hedefleri” olarak tan"mlanabilir[19].
Cobit, ISACA (Information Systems Audit and Control Association) ve ITGI (IT Governance
Institute) taraf"ndan 1996 y"l"nda geli1tirilmi1, Bilgi Teknolojileri Yönetimi için en iyi
uygulamalar kümesidir. COBIT yöneticilere, denetçilere ve Bilgi Teknolojileri (BT)
kullan"c"lar"na i1 hedeflerinin bilgi i1lem hedeflerine dönü1ümünü, bu hedeflere ula1mak için
gerekli kaynaklar" ve gerçekle1tirilen süreçleri bir araya getirirken, ayn" zamanda bilgi
teknolojileri alt yap"lar"n" da etkin kullanmay" sa0lar.
54
K"saca bilgi teknolojileri yöneti1imi için sunulmus bir modeldir. Bir standart de0il, bir
referansd"r. Bircok standart" özümsemi1, örneklemi1 ve en iyi uygular"n" içerisine sindirmi1tir.
CobIT kurumumun i1 (Bussiness) gereksinimini destekleyen bir aract"r. 1 ve bilgi
teknolojileri yönetimi aras"ndaki köprü görevini gören bir metodolojidir. CobIT kurum
hedeflerine bilgi teknolojileri alt yap"lar"n" etkin kullanarak ula1may" sa0layan bir araçt"r [20].
CobIT’in mevcut 4.1 sürümü 4 ana alan (domain ) ve34 farkl" sürece ili1kin kontrol hedefleri
bar"nd"rmaktad"r.
CobIT de 4 ana domain a1a0"daki gibidir:
1. Planlama & Organizasyon,

2. Tedari & Uygulama,
3. Hizmet Sunumu & Destek,
4. Izle & De0erlendir
Bu domainlerin kapsad"0" süreçler a1a0"daki1ekilde gösterilmi1tir.
ekil 4.2.1 COBIT ana süreci

55
4.3 PCI DSS
PCI DSS (Payment Card Industry Data Security Standard- Ödeme Kartlar" Endüstrisi Veri
Güvenli0i Standard"), kartl" ödeme sistemlerinde veri güvenli0ini sa0lamak amac"yla
uluslararas" kabul görmü1 ödeme markalar" olan American Express, Discover Financial
Services, JCB International, MasterCard Worldwide ve Visa Inc. International kurumlar"nca
olu1turulmu1 PCI Komitesi taraf"ndan geli1tirilmi1tir.
PCI DSS, kartl" ödeme sistemlerinde yer alan kurum ve kurulu1larda bilgi güvenli0ini
sa0lamak için bilgi sistemlerinde bilgi iletimini, bilgi i1leyi1ini ve bilgi depolamay" esas alan
6 temel kriter baz al"narak olu1turulmu1 12 gereksinim kategorisi ve bu kategoriler alt"nda yer
alan 200 üzerindeki kontrolden olu1maktad"r [21].
PCI DSS kapsam"na, kart ç"karan ve kabul eden tüm bankalar, ödeme kartlar"n" kabul eden
tüm perakendeciler ve kart ve i1lem verilerini kendileri için saklayan veya ileten tüm hizmet
sa0lay"c"lar" girer. Bunun yan"nda bankalar, temsil etti0i perakendeciler ve i1 yapt"0" tüm
üçüncü 1ah"slar"n bu standarda uyumlu olmalar"n"n sa0lanmas"nda da sorumlu
bulunmaktad"rlar.
PCI DSS uyumu kontrolleri için gerek banka, gerek perakendeciler, gerekse hizmet
sa0lay"c"larla ilgili kriterler VISA ve MasterCard kurulu1lar"n"n web sitelerinde
detayland"r"lm"1t"r.
PCI DSS yararlar": Günümüz ko1ullar"nda bilgi güvenli0i her türlü i1letmede, özellikle kartl"
ödeme sistemlerinde dikkate al"nmas" gereken hassas bir konudur. PCI DSS içeri0indeki 12
kategori ile kart bilgisini ta1"yan, i1leyen ve saklayan kurum ya da kurulu1lar"n bilgi
güvenli0ine uyum süreçlerini yönetmekte ve bu kurum ya da kurulu1larda bilgi güvenli0i
disiplininin olu1mas"na katk"da bulunmaktad"r. Kartl" ödeme sistemi içerisinde yer alan
kurum ve kurulu1larda gerek kart kabul eden, gerek kart ç"karan gerekse kart i1lemlerini
çal"1t"ran taraflar"n her hangi birinde bilgi güvenli0inin sa0lanmad"0" durumda kart bilgilerini
aç"0a ç"kma olas"l"0" nedeniyle bu sistem içerisinde yer alan di0er kurum ve kurulu1larda da
güvenlik riski olu1maktad"r. PCI DSS uyumu ile kartl" ödeme sistemleri içinde yer alan tüm
kurum ve kurulu1lar"n veri güvenli0i riski en aza inebilecektir.
PCI DSS uyumu, PCI DSS uyumu kontrolleri, VISA ve MasterCard kurulu1lar"nca
belirlenmi1 kriterler do0rultusunda PCI DSS uyumu için gerekli PCI Council taraf"ndan
56
onaylanm"1 yetkili firmalar (Approved Scanning Vendor - ASV) taraf"ndan; ya uzaktan

yap"lan güvenlik tarama testleri (Vulnerability Scan) ya da hem vulnerbility scan hem de
standarddaki 12 gereksinim kategorisi alt"nda yer alan 200’den fazla kontrol için haz"rlanm"1
olan güvenlik de0erlendirme prosedürleri (Security Assessment Procedures) baz al"narak
yap"lan yerinde denetimler ile gerçekle1tirilmektedir (Özinal, 2009).
4.4 HIPAA
Hippa, Health Insurance Portability and Accountability Act demektir. Sa0lik kurumlar"n"n
hastalar"n gizli sa0l"k belgelerinin gizlili0ini, güvenli0ini ve standartlar"n"n korunmas" için
elektronik i1lemlerde belli normlarda uyulmas"n" 1art ko1an Amerika’da 1996 y"l"nda ç"kan
bir yasad"r. Önemli olan noktalar" tüm hasta ve sa0l"k kurumlar"n"n datalar"n"n gizlili0i,
tuturl"0"n"n sa0lanmas" ve bu bilgileri izinsiz eri1imlere kar1" korunmas"n" temin etmektir ve
güvenli0ini sa0lamakt"r (Beaver ve Herold, 2005).
4.5 CMMI
CMMI (Capability Maturity Model Integration Yetenek Olgunluk Model Entegrasyonu), bir
süreç modeli olup, örgütlerin yaz"l"m süreçlerinin (Yaz"l"m planlama, geli1tirme,
yap"land"rma vb.) olgunlu0unu de0erlendirme modelidir. CMMI, Carnegie Mellon
Üniversitesi'ne ba0l" Yaz"l"m Mühendisli0i Enstititüsü taraf"ndan Amerikan Savunma
Bakanl"0"'n"n iste0i üzerine 1986 y"l"nda geli1tirilmeye ba1lanm"1t"r.
CMMI , kurumlara süreçlerini iyile1tirme konusunda gereken temel ad"mlar" gösteren bir
süreç iyile1tirme yakla1"m"d"r. Ne yap"lmas" gerekti0ini aç"klar. Nas"l sorusuna kesin bir
cevap vermez. Bu yakla1"m bir projeye, bir kuruma ait departmana ya da büyük bir
organizasyona süreçlerini iyile1tirme ve geli1tirme konusunda rehberlik eder. Olgun olmayan
bir süreçten olgun ve disiplinli bir sürece giden evrimsel bir yol çizer. Ortaya konulan
seviyelere göre olgunluk geli1imi sa0lan"r. Her olgunluk modelinin kendine özel sürecleri
bulunur. Boylece sürekli bir iyile1me söz konusu olur. CMMI, geleneksel yap"da ayr" olan
organizasyonel fonksiyonlar"n entegre edilmesine, süreç iyile1tirme için gerekli hedef ve
önceliklerinin belirlenmesine, kalite süreçleri için k"lavuz olu1turulmas"na ve mevcut
süreçlerin de0erlendirilmesi için bir referans noktas" olu1turulmas"na yard"m eder.
CMMI, dünyada ve Türkiye’de daha çok IT sektöründe ve özellikle yaz"l"m geli1tirme yap"lan
kurum, departman ve projelerde, yaz"l"m kalitesini artt"rmak için kullan"lan bir referans model
57
olarak uygulanmaktad"r. Donan"m ve network alanlar"nda da uygulanan model, özellikle

savunma sanayi ba1ta olmak üzere; Ar-Ge ve yeni ürün geli1tirme konusunda hizmet veren
kurumlar"n arad"klar" bir standartt"r (Atasever, 2007).
4.6 PRINCE2
PRINCE, ngilizce “PRojects IN Controlled Environments” ifadesinin k"salt"lm"1 halidir.

Metot 1970ali y"llardan bugüne geli1tirilmektedir. Ç"k"1 noktas" bilgi teknolojilerinde proje
yönetimi olsa da, 1996 y"l"nda tüm proje türlerinde kullan"lmak üzere genelle1tirilmi1 ve
PRINCE2 ad"n" alm"1t"r. En son, Haziran 2009ada güncellenmi1tir.
PRINCE2 proje yönetimi metodolojisi olup proje yönetimindeki metodolojilerin en

yayg"n"d"r. PRINCE2 proje yönetimi metodolojisi olarak iyi tan"mlanm"1 süreçlere, proje
süresince gözetilmesi gereken prensiplere sahiptir. Bunun yan"nda, proje yönetimi ile ilgili
roller ve sorumluluklar tan"mlanm"1, proje süresince üretilecek proje yönetimi ç"kt"lar" (risk-
sorun kay"tlar", durum raporlar", ileti1im plan" vb) için de 1ablonlar ve kullan"m k"lavuzu
içermektedir.
ITIL ve PRINCE2 aras"nda ayn" kurum taraf"ndan geli1tirilmi1 olmalar" ve kendi alanlar"nda
en iyi uygulamalar" içermeleri d"1"nda kavramsal olarak pek ili1kileri yoktur (Borman, 2009).
4.7 BS 25999
BS 25999 1 süreklili0i yönetimi (BCM- business continuity management) standard" olup

ngiliz standard enstitüsü taraf"ndan geli1tirilmi1tir [22].
Bu standart, bir BCM sisteminin temellerini uygulamaya koyman"za yard"mc" olarak en zorlu
ve en beklenmedik durumlarda bile i1lerinizin devam"n" sa0lamak, çal"1anlar"n"z" korumak,
itibar"n"z" sürdürmek ve faaliyetlerinize ve ticari etkinliklerinize devam etmenize yard"mc"
olmak için tasarlanm"1t"r.
BS 25999, 1 Süreklili0i Yönetimi i1lemlerini, prensiplerini ve terminolojisini olu1turmak için

endüstrinin farkl" sektörlerini ve yönetimi temsil eden, dünyan"n en iyi uzmanlar"ndan olu1an
bir grup taraf"ndan geli1tirilmi1tir.
BS 25999, her sektörden büyük küçük tüm kurulu1lar için uygundur. Finans,
telekomünikasyon, ula1"m ve kamu sektörü gibi yüksek risk içeren ortamlarda faaliyet
58
gösteren ve faaliyetleri sürdürmenin kurulu1un kendisi, mü1terileri ve hissedarlar" için hayati

önem ta1"yan kurulu1lar için özellikle gereklidir.
BS 25999, iki bölüm halinde geli1tirilmektedir:
•Bölüm 1 olan Uygulama Kurallari yay"nlanm"1 ve bu sadece rehber niteli0i ta1"yan bir
dokümandir.
•Bölüm 2 olan Spesifikasyon, 1 Süreklili0i Yönetim Sistemi için en iyi uygulamalara ait
gereklilikleri sa0lar. Standardin bu bölümü uygunlu0un kan"tlanmas" amac"yla tetkik ve
belgelendirme kriteri olarak kullan"labilmektedir (British Standard, 2005).
59
5. ISO/IEC 27001:2005 B LG GÜVENL > YÖNET M S STEM
5.1 ISO/IEC 27001:2005 Standard.
lk olarak ngilizler taraf"ndan 1995 de geli1tirilen BS 7799 ad"ndaki ilk ngiliz standard"
olup bilgi güvenli0i yönetimi standard" olarak tarihe geçti Ancak uluslararas" bir standart
niteli0inde de0ildi. Daha sonra BS 7799-1 ve BS 7799-2 olarak yay"mland". Daha sonra ISO
traf"ndan ele yeniden revizyonlarla ISO 17799 Standart" olarak yay"mland". Bilgi güvenli0i
standard" olan BS 7799-2’nin revize edilip 2005’in sonlar"nda ISO/IEC 27001:2005 olarak
de0i1tirilmesiyle yürürlü0e giren bu standart kurumlar"n bilgi güvenli0i yönetim sistemi
kurmalar" için gereklilikleri tan"mlamaktad"r (Iso, 2005).
Tarihçesi a1a0"daki gibidir.
• BS 7799-1: ubat 1995’te ilk yay"nland",

• BS 7799-2: ubat 1998’te ilk yay"nland",
• BS 7799-1 ve -2: 1999’da revizyonu yap"ld",
• ISO 17799: Kas"m 2000’de yay"nland",
• BS 7799-2:2002 yay"nland",
• ISO 27001:2005 yay"nland" ve halen yürürlüktedir.
ISO 27002 uygulama rehberi olarak olarak yay"mland". ISO 27005 ‘de Risk Yönetimi rehberi
olarak yay"nland". Ancak Belgelendirme ISO 27001:2005’e göre yap"lmaktad"r (Calder,
2006).
Bu standard, bir Bilgi Güvenli0i Yönetim Sistemi’ni (BGYS) kurmak, gerçekle1tirmek,

i1letmek, izlemek, gözden geçirmek, sürdürmek ve iyile1tirmek için bir model sa0lamak üzere
haz"rlanm"1t"r. Süreçlerinin güvenli0ini sa0lamay" hedefleyen bir bilgi güvenli0i standard"d"r.
1in içinde sadece bilgisayar, bili1im güvenli0i yoktur. Bunlar"n yan"nda, kâ0"ttaki
dokümanlar"n güvenli0i, her tür sürecin güvenli0ini de kapsar.
Bunun yan" s"ra ISO 17799:2002 numaral" standart ISO 17799:2005 “bilgi teknolojileri
güvenlik teknikleri en iyi uygulamalar rehberi” olarak revize edilip yay"nlanm"1 ve ISO
27001’e göre kurulacak bir BGYS’nin nas"l gerçekle1tirilebilece0ine dair aç"klamalar" içerir.
Yani ISO 27001:2005 bilgi güvenli0i yönetim sistemi standard"r ve ISO 27002:2005 ise bir
uygulama rehberidir ve bu rehber ISO 27001:2005 nas"l uygulanaca0"n" izah eder.
60
Ülkemizde de bu standart geli1imi paralel çal"1malar ve çeviriler Türk Standartlar

Enstitüsü(TSE) taraf"ndan yap"lm"1t"r. Bu standard, ISO taraf"ndan kabul edilen, ISO/IEC
27001 (2005) standard" esas al"narak, TSE Bilgi Teknolojileri ve leti1im htisas Grubu’nca
haz"rlanm"1 ve TSE Teknik Kurulu’nun 02 Mart 2006 tarihli toplant"s"nda Türk Standard"
olarak kabul edilerek yay"m"na karar verilmi1tir. Bu standard"n kabulü ile TS 17799-2 iptal
edilmi1tir (Tse, 2006).
5.1.1 Bilgi Güvenli?i Yönetim Sistemi (BGYS)
Bilgi güvenli0ini sa0lamak, planlamak, tasarlamak, gerçekle1tirmek, i1letmek, izlemek,

denetlemek, sürdürmek ve geli1tirmek için, riski yakla1"m"na dayal" tüm yönetim sisteminin
bir parças" Bilgi Güvenli0i Yönetim Sistemi (BGYS) olarak tan"mlanmaktad"r (Iso, 2005).
Günümüzde bilginin önemi iyi niyetli veya kötü niyetli kullan"c"n" dü1ünüldü0ünde sadece
teknik önlemlerle (güvenlik duvarlar", atak tespit sistemleri, antivirüs yaz"l"mlar", anticasus
yaz"l"mlar, 1ifreleme, vb.) bilgi güvenli0inin sa0lanmas" mümkün de0ildir. BGYS; insanlar",
süreçleri ve bilgi sistemlerini içine alan ve kurumlar"n üst yönetimine i1in içine katan ve üst
yönetimde destek alan bir yönetim sistemidir. Kurumlar aç"s"ndan önemli bilgilerin ve bilgi
sistemlerinin korunabilmesi, risklerin en aza indirilmesi ve süreklili0inin sa0lanmas",
BGYS’nin kurumlarda hayata geçirilmesiyle mümkün olmaktad"r. BGYS’nin kurulmas"yla;
olas" risk ve tehditlerin tespit edilmesi, güvenlik politikalar"n"n olu1turulmas", bilgi güvenli0i
fark"ndal"k e0itimlerin verilmesi, denetimlerin ve uygulamalar"n kontrolü, uygun yöntemlerin
geli1tirilmesi, örgütsel yap"lar kurulmas" ve yaz"l"m/donan"m fonksiyonlar"n"n sa0lanmas"
gibi bir dizi denetimin birbirini tamamlayacak 1ekilde gerçeklestirilmesi anlam"na
gelmektedir.
BGYS’nin kurumlara saglayaca0" faydalar ana hatlar"yla a1a0"da belirtilmektedir (Tbd, 2005).
Bunlar;
• Bilgi varl"klar"n" ihtiyaca en uygun 1ekilde koruma alt"na almas",

• Bilgi varl"klar"na yönelik tehditlerden koruyarak i1 süreklili0i sa0lamas",
• Tehdit ve risklerin belirlenerek etkin bir risk yönetiminin sa0lanmas",
• Kurumsal sayg"nl"0"n korunmas",
• Uluslararas" temsillerde kurumsal bilgi güvenli0ine verdi0i önemi kolayca anlayabilmesi,
• Bilgi kaynaklar"na eri1imin denetlenmesi,
61
• Üçüncü taraflarla yap"lan çal"1ma ortam"ndan kaynaklanacak risklerin tan"mlanmas",

• Kurumun risk bilincine katk"da bulunmas",
• Personelin, yüklenicilerin ve alt yüklenicilerin güvenlik konusunda bilinç düzeyinin
yükseltilmesi ve önemli güvenlik konular"nda bilgilendirilmesi,
• Otomatik ve elle yönetilen sistemlerde, duyarl" bilgilerin uygun bir 1ekilde kullan"ld"0"n"n
garanti alt"na al"nmas" amac"yla gerçekçi bir kontrol sistemi kurulmas",
• Bilgi varl"klar"n"n gizlili0inin, bütünlü0ünün ve do0rulu0unun sa0lanmas",
• Çal"1anlar"n, mü1terilerin ve yüklenicilerin görevlerini yerine getirirken, bilgi sistemleri
kaynaklar"n" kötü amaçl" olarak kullanma ve/veya kaynaklar" suistimal etmelerinin
engellenmesi,
• Personelin, baskalar" taraf"ndan yap"labilecek olan suistimal ve tacizlere kar1" zan alt"nda
kalmas"n"n engellenmesi,
• Yasalara, düzenlemelere, sözle1me 1artlar"na uyumma zorunlulu0unun getirmesi,
• Kuruma rekabet avantaj" sa0lamas",
• Kurum imajina olumlu etki etmesi,
• Bilgi sistemlerini kullanan ki1ilerin, umursamazl"0"ndan, planlanm"1 taciz, bilinçsiz
kullan"m veya bilmeden yanl"1l"kla suistimal etme gibi nedenlerden dolay" olu1abilecek
donan"m, yaz"l"m ya da bilgisayar a0lar"nda meydana gelebilecek ar"zalara bir daha tekrar
etmemesi için iyile1tirme sürecinin olmas" olarak s"ralanabilir.
Kurumsal bilgi güvenlik politikalar"n"n olu1turulmas", BGYS kapsam"n"n belirlenmesi, risk

yönetim metodolojisinin belirlenmesi, denetim kontrollerinin seçilmesi, düzeltici ve önleyici
faaliyetleri için politikalar"n olu1turulmas", uygulanabilirlik beyannameleri gibi unsurlar
BGYS kurulabilmesi için, yap"lmas" gereken ad"mlard"r (Humphreys, 2007). Bilgi
güvenli0inin yönetiminin kurulmas"nda izlenmesi gereken ad"mlar bu bölümde s"ras"yla takip
eden basl"klarda aç"klanm"1t"r.
5.1.1.1 Kurumsal Bilgi Güvenli?i Politikalar.
Bilgi güvenli0i politikalar" kurum veya kurulu1larda kabul edilebilir güvenlik seviyesinin
tan"mlanmas"na yard"m eden, tüm çal"1anlar"n ve ortak çal"1ma içerisinde bulunan di0er
kurum ve kurulu1lar"n uymas" gereken kurallar bütünüdür (Arnason ve Willett, 2008).
Kurumsal bilgi güvenli0i politikas", kurum ve kurulu1larda bilgi güvenli0inin sa0lanmas" için
62
tüm bilgi güvenlik faaliyetlerini kapsayan ve yönlendiren talimatlar olup kurumsal bilgi
kaynaklar"na eri1im yetkisi olan çal"sanlar"n uymalar" gereken kurallar" içeren resmi bir belge
niteli0indedir.
Bilgi güvenlik politikalar" kurumun üst düzey yönetimi taraf"ndan desteklenmeli ve çal"1anlar
taraf"ndan da benimsenmelidir. En tepede kurumun ana bilgi güvenli0i politikas" olup bu
politika, kullan"c"lar taraf"ndan uygulanabilir ve anla1"labilir, güvenlik yöneticileri taraf"ndan
yönetilebilir k"sa ve öz olmal"d"r. Bilgi Güvenli0i Politikas" kurumda bilgi güvenli0ine yön
veren temel dokümand"r. Bu doküman, kurumun tüm payda1lar" taraf"ndan eri1ilebilen ve
bilinen bir doküman olacakt"r. Bu nedenle, politikay" yazarken, dikkat edilmesi gereken ilk
konu, politikan"n k"sa, öz ve anla1"labilir olmas"d"r. Politika çok uzun olursa, kurum
kullan"c"lar" taraf"ndan okunmayacakt"r. Politika, tüm kullan"c"lar taraf"ndan anla1"l"r ve net
olmal"d"r; teknolojik terimlerin kullan"lmas"ndan da mümkün oldu0unca kaç"n"lmal"d"r. Bilgi
güvenli0i politikas" kurum çal"1anlar" taraf"ndan uygulanmas" beklenen bir politikad"r.
Politikan"n gerçekçi olmas" önemlidir. Uygulanmas" zor veya imkâns"z ifadelere yer
verilmemelidir (Barman, 2001).
Iso 27001 standard"nda göre kurumsal bilgi güvenli0i ana politikalar", kurulu1lar"n ihtiyaçlar"
do0rultusunda temel güvenlik ilkelerinin (gizlilik, bütünlük ve eri1ilebilirlik) ve risklerin
kontrol alt"na al"naca0"n" beyan eden ifadeleri içermelidir (Calder, 2005).
Örne0in bir internet servis sa0lay"c"n"n bilgi güvenli0i ana politikas" 1öyle olabilir:
“ irketimizin tabi oldu0u yasal mevzuat çerçevesinde, ba1ta mü1teri ve çal"1anlar"m"z"n

bilgileri olmak üzere, ilgili tüm bilgi varl"klar"m"z"n belirlenen risklerini kontrol alt"nda
tutarak gizlili0ini, bütünlü0ünü ve kullan"labilirli0ini sa0lamakt"r. Bu do0rultuda amac"m"z,
bilgi güvenli0i yönetim sistemimizi, çal"1anlar"m"z"n kat"l"m, katk" ve uyumlar" ile sürekli
geli1tirip iyile1tirmektir.”
Bu tepedeki bilgi güvenli0i ana politikas"n" destekleyen alt politikalar olabilir. Politikalar her
kurulu1 için farkl"l"k gösterse de, genellikle çal"1an"n sorumluluklar"n", güvenlik denetim
araçlar"n", amaç ve hedeflerini kurumsal bilgi varl"klar"n"n yönetimini, korunmas"n",
da0"t"m"n" ve önemli i1levlerin korunmas"n" düzenleyen kurallar ve uygulamalar"n aç"kland"0"
genel ifadelerdir.
63
Politikalar içerisinde; gerekçelerin ve risklerin tan"mland"0", kapsad"0" bilgi varl"klar" ve

politikadan sorumlu olan çal"1anlar"n ve gruplar"n"n belirlendi0i, uygulanmas" ve yap"lmas"
gereken kurallar"n, ihlal edildi0inde uygulanacak cezai yapt"r"mlar"n, teknik terimlerin
tan"mlar"n"n ve düzeltme tarihçesinin yer ald"0" bölümden olu1mal"d"r.
Belli konularda çal"1anlar"n daha fazla bilgilendirilmesi, dikkat etmesi gereken hususlar, ilgili
konunun detayl" bir 1ekilde ifade edilmesi istendi0inde alt politikalar geli1tirilmelidir.
Örne0in kullan"c" 1ifre yönetim politikas", unutma, 1ifre de0i1tirme, yeni 1ifre tan"mlama gibi
durumlarda uyulacak kurallar alt politikalar arac"l"0"yla aç"klanmal"d"r.
Bir ba1ka örnek ise, e-posta gönderme ve alma konusunda, 1irket yönetimin kararlar"n",
haklar"n", kullan"c"n"n uymas" gereken kurallar" alt politika içerisinde ifade etmek daha uygun
olacakt"r. Bu alt politikayla 1irket yönetimin, gerekli gördü0ünde çal"1anlar"n"n 1irket i1leri
için kulland"0" e-postalar"n" okuyabilece0i, e-postalar yoluyla gizlilik dereceli bilgilerin
gönderilip al"namayaca0" gibi hususlar, e-posta alt politikas" içerisinde ifade edilebilir.
Alt politikalar içerisinde, izin verilen yaz"l"mlar, veritabanlar"n"n nas"l korunaca0",

bilgisayarlara uygulanacak eri1im denetim ölçütleri, güvenlikle ilgili kullan"lan yaz"l"m ve
donan"mlar"n nas"l kullan"laca0" gibi konular da aç"klanabilir.
Alt politikalar a1a0"daki örnekler verilebilir.
• Eri1im politikas",
• Yedek alma politikas",
• ifre yönetim politikas",
• Kullan"c" tan"mlama politikas"
• Antivirüs politikas",
• nternet kullan"m politikas",
• A0 yönetim politikas"
• Uzaktan eri1im politikas",
• Fiziksel güvenlik politikas"
• Sunucu kurulum politikas".
64
5.1.1.2 Bilgi Güvenli?i Yönetim Sistemlerinin Kapsam.
Bilgi Güvenli0i Yönetim Sistemleri (BGYS) kapsam"na dâhil edilecek bilgi varl"klar"
kurumlar"n belirledi0i ihtiyaçlar do0rultusunda tespit edilir. BGYS’nin kapsam" ve s"n"rlar"
belirlenmelidir. BGYS’nin kapsam" kurumun belli bir k"sm" olabilece0i gibi, kurumun bütünü
de olabilir. Ancak, her iki durumda da, kurumun BGYS kapsam"n" ve s"n"rlar"n" eksiksiz ve
do0ru bir biçimde tan"mlamas" gerekmektedir Kapsamlar a1a0"da gösterilen kategorilerde
s"n"fland"r"labilir (Landoll, 2006).
• Kurumun sahip oldu0u bilgi sistemlerinin tamam",

• Bilgi sistemlerinin bir k"sm",
• Belli bir yerle1im birimindeki bilgi sistemleri (Merkez bina, Genel
• Müdürlük, A kampüsü vb.),
• Odaklan"lm"1 bir bilgi sistemi (bilgisayarlar, a0 sistemi, sunucu bilgisayarlar, web
sunucusu, vb.) olabilir.
Öner0in bir bir finans kurulu1unda mü1teri verisi ile ilgili bir kapsam 1öyle olabilir:
Finans Port uygulmas" kapsam"ndaki yat"r"mc" kay"tlar"n" korumak ve güvenli bir ortamda
saklamak amac"yla Bilgi Güvenli0i Yönetim Sistemi kurulmu1tur.
5.2 Türkiye’deki Bilgi Güvenli?i Standartlar.
Türkiye’de bilgi güvenli0i standartlar"yla ilgili çal"1malar ve belgelendirmeler, Türk

Standartlar" Enstitüsü (TSE) taraf"ndan yap"lmaktad"r. TSE teknik kurulunun ISO/IEC
17799:2000 standard"n" tercüme ederek 11 Kas"m 2002 tarihinde ald"0" karar ile TS ISO/IEC
17799 Bilgi Teknolojisi-Bilgi Güvenli0i Yönetimi için Uygulama Prensipleri Türk standard"
olarak kabul edilmistir. TS ISO/IEC 17799 standard", kurulu1lar bünyesinde bilgi güvenli0ini
ba1latan, gerçekle1tiren ve süreklili0ini sa0lamak için, bilgi güvenlik yönetimi ile ilgili
tavsiyeleri içeren belgelerdir.
BGYS belgelendirilmesine yönelik TSE teknik kurulu taraf"ndan yap"lan çal"1malar

sonucunda BS 7799–2:2002 standard"n"n tercümesi yap"larak “Bilgi güvenli0i yönetim
sistemleri–Özellikler ve kullan"m k"lavuzu” ismiyle TS 17799–2 standard" olarak 17 Subat
2005 tarihinde kabul edilmi1 ve yürürlü0e girmi1tir. Ancak TS ISO/IEC 27001:2006 “Bilgi
teknolojisi–Güvenlik teknikleri-Bilgi güvenli0i yönetim sistemleri–Gereksinimler”, 2.3.2006
65
tarihinde Türk standart" olarak kabul edildi0inden TS 17799–2 standart" TSE taraf"ndan iptal
edilmi1tir (Tbd, 2005).
TS ISO/IEC 27001:2006 standard", tüm kurulu1 türlerini kapsar. Bu standart, bir BGYS’yi
kurulu1un tüm ticari riskleri ba0lam"nda kurmak, gerçeklestirmek, izlemek, gözdengeçirmek,
sürdürmek ve iyile1tirmek için gereksinimleri kapsar. Ba0"ms"z kurulu1lar"n ya da taraflar"n
ihtiyaçlar"na göre özelle1tirilmi1 güvenlik kontrollerinin gerçeklestirilmesi için gereksinimleri
belirtir. Bu standart ISO/IEC 27001:2005 standard"ndan yararlanarak haz"rlanm"st"r. ISO/IEC
27001:2005 standard"n tercümesidir. Dünyada ve ülkemizde belgelendirme konusunda
yap"lan çal"1malar bir sonraki bölümde anlat"lm"1t"r.
5.3 BGYS’de Belgelendirme Haz.rl.k ve Ba<vuru
BGYS’de belgelendirme, kurumsal bilgi güvenli0inin standartlara uyumlu bir 1ekilde

yönetildi0ine dair otoriteler taraf"ndan verilen sertifikasyonlar arac"l"0"yla yap"lmaktad"r.
Dünyada ve ülkemizde kurumsal bilgi güvenli0i yönetim sistemlerinin
sertifikaland"r"lmas"nda uyumlulu0a esas te1kil eden standart 2005 y"l"na kadar BS7799–2
standard" olurken bu y"ldan sonra ISO/IEC 27001 standard" olarak de0istirilmi1tir. 15 Ekim
ile 15 Nisan 2006 tarihine kadar olan haz"rl"k dönemi s"ras"nda, denetimler ve belgelendirme
ISO/IEC 27001:2005 veya BS 7799–2:2002 standartlar"na göre gerçeklestirilmi1tir. Ancak,
bu süre içerisinde yay"nlanm"1 olan yeni bir BS 7799–2:2002 sertifikas"n"n, Nisan 2007
tarihine kadar ISO/IEC 27001:2005’e geçi1i tamamlanm"1t"r. Nisan 2007 tarihinden sonra
bütün denetimler ve belgelendirmeler ISO/IEC 27001:2005 standard"na göre
gerçekle1tirilmi1tir.
Kurumlar"n ISO/IEC 27001 sertifikas" almas"n"n avantajlar" a1a0"da maddeler halinde

listelenmi1tir [23].
• ç denetimlerinizin ba0"ms"z bir 1ekilde sa0land"0"n" gösterir ve kurumsal yöneti1im

ve i1 devaml"l"0" gereksinimlerini kar1"lar,
• Geçerli yasa ve düzenlemelere uygun davran"ld"0"n" ba0"ms"z bir 1ekilde gösterir,
• Yasa ve Sözle1meden do0an gereklilikleri kar1"layarak ve mü1terilerinize bilgilerinin

güvenli0ine gösterdi0iniz özeni göstererek bir rekabet avantaj" sa0lar,
66
• Bilgi güvenli0i i1lemleriniz, prosedürleriniz ve belgeleriniz biçimlendirilirken

kurumsal risklerinizin gerekti0i gibi tan"mland"0"n", de0erlendirildi0ini ve
yönetildi0ini ba0"ms"z bir 1ekilde do0rular,
• Üst yönetiminizin bilgilerinin güvenli0ine olan taahhüdünü kan"tlar,
• Bilgi güvenli0i fark"ndal"k e0itimleri ile çal"1anlar"n bilgi güvenli0i bilincini canli
tutar,
• Düzenli de0erlendirme i1lemi performans"n"z" sürekli izlemenize ve geli1tirmenize

yard"mc" olur.
5.3.1 BGYS’de Belgelendirme Haz.rl.?.
Kurumsal bilgi güvenli0i yönetim sistemi (BGYS) kurmak için haz"rlanan proje plan"
a1a0"daki ad"mlardan olu1maktad"r [24]:
1.Standard.n al.nmas.: ilk olarak standardlar edinilebilir. Bu standartlar, www.bsi-

global.com adresinden Ingilizce ve www.tse.gov.tr adresinden Türkçe olarak edinilebilir.
Yap"lmas" dü1ünülen BGYS çal"1mas" ile standard"n uyumu kontrol edilmelidir.
2.Ön ekibin e?itimi: BGYS kurman"n yararlar", uygulanabilecek yöntemlerin de yer ald"0"
bir e0itim program" ile kurum içindeki “BGYS Yöneticisi” ve ön ekip ilk haz"rl"0"n"
tamamlar. E0itim program", fark"ndal"k, uygulama ve ba1 tetkikçi e0itimlerini içerebilir. Ekip
içinde en az bir ki1inin ba1 tetkikçi e0itimini alm"1 olmas", yarat"lan sistemin belgelendirme
denetimine haz"rl"0" kolayla1t"r"r.
3.Ekip ve Stratejinin kesinle<tirilmesi: Kurum içinde ilk BGYS ekibinin kurulmas" ve üst
yönetim bilgi/deste0i ile hedefin ortaya konmas"d"r. Ekip, BGYS ekibi içinde gerekli
kaynaklar"n aktar"lmas" ve görevlendirme için üst yönetim temsilcili0ini de yapacak olan
“BGYS Sponsoru”, projenin yönetimini yapacak olan “BGYS Yöneticisi” ve gerekli süreç
sahiplerinden olu1abilir.
4.Kapsam.n belirlenmesi: BGYS’nin hangi s"n"rlar içinde uygulanaca0" kapsam doküman"

içinde belirlenir. Kapsam seçenekleri, tüm kurum, tek bir süreç, bir departman"n tüm süreçleri
olabilir. Kapsam" belirlerken i1in karakteristik özellikleri, organizasyon, yerle1im, varl"klar ve
teknoloji dü1ünülmeli, kapsam d"1"nda b"rak"lan her 1ey ayr"nt"lar" ve gerekçeleri ile
belirtilmelidir.
67
5.Gerekti?inde Dan.<manl.k karar.n.n verilmesi: Kapsam belirlendikten sonra, bu

kapsama giden yolda kendi BGYS’nizi kurarken d"1ar"dan al"nabilecek destek seçeneklerini
de0erlendirilir. Dan"1manl"k, BGYS süresince ekibi yönlendirme ve do0ru sonuçlar" üretme
hedefinde olmal"d"r. Sizin ad"n"za bir ba1ka kurum çal"1an bir BGYS yaratamaz.
6.Politika Beyannamesinin yaz.lmas. ve onaylanmas.: Yukar"da detaylar"n anlat"lan

güvenlik politika beyannamesi, tüm 1irket çal"1anlar"n"n ve ili1ki içinde bulunan ki1ilere
bilgilerin güvenli0i ile ilgili hedeflerin gösterilmesi amac"yla yaz"l"r. Kurumun bilgi güvenli0i
anayasas" gibi hareket görür. Üst yönetim taraf"ndan onaylanm"1 bilgi güvenli0i
beyannamesinin anla1"lmas" kolay, uygulanabilir, gerçekle1tirmesi kolay, yürürlü0e
koyulabilir, i1 hedeflerini kar1"layan yap"da olmas" önemlidir.
7.Bilgi Varl.klar.n.n belirlenmesi: Bilgi güvenli0ini sa0layabilmek için, korunmas" gereken

bilgi varl"klar"n"n listelenmesi, sahiplerinin belirlenmesi gereklidir. Süreçleri takip ederek
ili1ki içinde olan bilgi ve kaynaklar" ç"kart"l"r. Böylece bilgi varl"klar"n"n eksiksiz listelenmesi
sa0lanabilir. Bilgi kaynaklar" ka0"t üzerine bas"lm"1 ya da yaz"lm"1, elektronik olarak
saklan"yor, posta ya da elektronik ortamlarla aktar"lmakta, kurumsal videolarda gösterilmekte
ya da söyle1iler s"ras"nda sözlü olarak aktar"lmakta olabilir.
8.Varl.klar.n De?erlendirmesi: Her varl"k ayn" de0erde de0ildir. Her varl"0"n da korunmas"
için benzer çaba gösterilmesi anlaml" de0ildir. Bu yüzden varl"k sahiplerinin, varl"klar"
önceliklendirmesi gereklidir. Bu önceliklendirme varl"0"n Gizlilik, Bütünlük ve
Kullan"labilirlik ihtiyac"na göre yap"labilir.
9.Risk De?erlendirmesi: Her varl"0"n Gizlili0ini, Bütünlü0ünü ve Kullan"labilirli0ini (GBK)

tehdit eden unsurlar ve bu tehdide “çanak tutan” zay"f noktalar vard"r. Bu tehdit ve zay"f
noktalar birle1erek varl"klar"n GBK’lar" için riskleri olu1tururlar. Risklerin do0ru,
tekrarlanabilir ve kurum ihtiyaçlar"n" kar1"layabilir olmas" BGYS’nin ba1ar"s"n" direk etkiler.
10.Risk Ele Al.n.< + Kontrol Seçimi: Önceki a1amada belirlenen riskler, ya yeterince dü1ük
bulunur ve “kabul edilir” ya da kabul seviyesine gelmesi için çe1itli kontroller uygulanarak
“ortadan kald"r"l"r”, “azalt"l"r” ve “devredilir”. Seçilen kontroller için ISO 27001 ve ISO
27002 (ISO 17799)’dan yararlan"labilir.
68
11.Politika ve Prosedürlerin yaz.lmas.: Seçilen kontrollerin nas"l kullan"laca0", BGYS’nin

nas"l çal"1aca0" haz"rlanan dokümanlar içinde belirlenir. Bu dokümanlar “politikalar”,
“standartlar”, “k"lavuzlar” ve “süreçler adlar"n" al"rlar”.
12.BGYS Dokümantasyonu + Uygulaman.n gerçekle<tirilmesi: Dokümantasyon yönetim

kararlar"n"n kay"tlar"n" içermeli, eylemlerin yönetim kararlar" ve politikalar"na izlenebilir
olmas"n" sa0lamal" ve kaydedilen sonuçlar"n yeniden üretilebilir olmas"n" sa0lamal"d"r.
Önceki maddelerde anlat"lanlar"n d"1"nda “uygulanabilirlik beyannamesi” haz"rlanmal"d"r.
13.Fark.ndal.k E?itimlerinin verilmesi: Haz"rlanan BGYS ka0"t üstünde ne kadar ba1ar"l"
olursa olsun, kurum çal"1anlar" taraf"ndan uygulanmad"kça etkili olamaz. Haz"rlanan politika,
süreç ve di0er BGYS dokümanlar", standart tehdit ve zay"f noktalar ve çözümlerle birlikte
tüm (tam ve yar" zamanl") yöneticileri, çal"1anlar", teknik ve teknik olmayan personel, kapsam
d"1" ama kapsamla ili1kisi olan ki1iler (mü1teriler ve tedarikçiler vb.) fark"ndal"k e0itimlerine
kat"lmal"d"r. Fark"ndal"k e0itimleri web tabanl" olabilece0i gibi, s"n"f e0itimi ya da di0er
yöntemlerle yap"labilir.
14.Gözden Geçirme, Denetim ve Önlemler : ISO 27001 standard"nda yer alan PUKÖ
(Planla-Uygula-Kontrol Et-Önlem Al) döngüsü içinde yer alan “kontrol et”, gerçekle1tirilen
tüm süreçlerin gözden geçirilmesini kastetmektedir. Burada yap"lan izleme süreçlerinin
çal"1t"r"lmas", BGYS’nin etkinli0inin gözden geçirilmesi, planlanan aral"klarla risk
de0erlendirilmesinin gözden geçirilmesi ve üst yönetiminin BGYS’yi gözden geçirmesidir.
Bulgulara göre karar verilen önlemlerin al"nmas" ve sistemin güncellenmesi gereklidir.
15.ISO 27001 Sertifika Ba<vuru & Al.m: Bu a1amaya geldi0inizde sahip oldu0unuz sistemi
belgelendirmek, avantajlara kavu1mak için önemlidir.
5.3.2 BGYS’de PUKÖ Döngüsü ve Süreç Yakla<.m.
PUKÖ : Planla-Uygula-Kontrol Et-Önlem Al kelimelerin k"satlmas"ndan türemi1tir. PUKÖ

döngüsü 1ekil 5.3.2.1’de gösterilmi1tir.
ISO 27001 standard", BGYS’nin süreçlerden olu1an bir sistem olarak alg"lanmas" gerekti0ini
vurgulamaktad"r. Buna ilave olarak, BGYS’nin kendisi de bir süreçtir. ISO 27001 standard"na
göre “Girdileri ç"kt"ya çevirmek için kaynak kullanan ve yönetilen faaliyetler süreç say"l"r”.
Dolay"s"yla sürecin,
-Girdisi ve ç"kt"s"; girdiyi ç"kt"ya dönü1türmekte kulland"0" bilgisi ve yöntemi olacakt"r.

69
Bunlara ilave olarak süreç çal"1"rken kaynak kullanacakt"r. Standart “yönetilen faaliyet”
ifadesi ile yönetim taraf"ndan tan"mlanm"1 faaliyetin, - Yönetim taraf"ndan atanm"1 sorumlular
ve belirlenmi1 roller uyar"nca gerçekle1tirilmesini anl"1"lmaktad"r. Her iki konu ISO 27001 ve
ISO/IEC 27002:2005 standard"nda aç"kça vurgulanmaktad"r [25].
BGYS sürecinin girdisi “Bilgi güvenli0i ihtiyaç ve beklentileri”, ç"kt"s" “Yönetilen bilgi
güvenli0i”dir.
ekil 5.3.2.1 PUKÖ ad"mlar" ve BGYS döngüsü
ekil 5.3.2.1’deki bu dört ad"m"n gerçekle1tirilmesi ile PUKÖ döngüsü tamamlanm"1

olmaktad"r.
ISO/IEC 27002:2005 standard"n"n 4.2 ba1l"0" alt"nda BGYS döngüsünün çok yo0un bir özeti
yap"lmaktad"r. Bu ba1l"k alt"ndan standard"n “dokümantasyon gereksinimleri”, “yönetim
sorumlulu0u”, “iç tetkik”, hatta ISO 27002 kontrollerinin özetlendi0i “Ek A. Kontrol
Amaçlar" ve Kontroller” bölümlerine göndermeler yap"lmaktad"r.
ekil 5.3.2.2’de PUKÖ döngüsü alt"nda bahsi geçen faaliyetler daha detayl" olarak
gösterilmi1tir.
70
ekil 5.3.2.2.Detayland"r"lm"1 üç katmanl" BGYS süreci [25].

71
5.3.3 BGYS’de Belgelendirme A<amalar.
ISO/IEC 27001:2005 belgelendirmesi için geçilmesi gereken alt" a1ama a1a0"da k"saca
aç"klanm"1t"r [26].
1.A<ama: ISO/IEC 27001:2005 standart"n"n tüm gereklerinin yerine getirilmesi ve standartta

belirtilen yönetim iskelet yap"s"n"n olu1turulmas".
2.A<ama: Uyumluluk denetimleri için yetkilendirilmi1 sertifikaland"rma kuruma ön ba1vuru

yap"l"r. Bu ba1vuruya istinaden denetimi yapacak firma belgelendirme için maliyet ve zaman
çizelgesi sunar.
3.A<ama: Maliyet ve zaman çizelgesinin kurum taraf"ndan onaylanarak denetimi

gerçekle1tirecek firmaya resmi ba1vuru yap"l"r.
4.A<ama: Denetimi gerçekle1tirecek olan kurum belgelendirme kapsam"n", güvenlik

politikas"n", risk metodolojisi dokümanlar"n", risk eylem plan"n", uygunluk beyan"n" (SOA)
ve güvenlik prosedürlerini içeren dokümantasyonu gözden geçirir.
5.A<ama: Denetçi firma taraf"ndan masa üstü denetim ba1ar"l" 1ekilde sonuçland"ktan sonra,
denetim firmas"n"n belirledi0i denetçiler taraf"ndan yerinde (on-site) denetim gerçekle1tirilir.
Kurulu1un büyüklü0üne ve i1 tipine uygun kontrollerin olup olmad"0" gözden geçirilir ve elde
edilen sonuçlara göre kurumlara önerilerde bulunulur.
6.A<ama: Denetimin ba1ar" ile tamamlanmas"n"n ard"ndan, Bilgi Güvenli0i Yönetim

Sisteminin kapsam"n" aç"k bir 1ekilde tan"mlayan bir sertifika düzenlenir ve kurulu1a
gönderilir.
Bu sertifika rutin de0erlendirme (takip denetimi ile)ziyaretlerindeki uygunlukla 3 y"l boyunca

geçerlili0ini korur.
ISO/IEC 27001 standard"na göre kurulmu1 olan bir bilgi güvenli0i yönetim sisteminin varl"0",
kurumlar"n bilgi güvenli0i yönetiminde, kapsaml" prosedürler arac"l"0"yla güvenlik
kontrollerini sürekli ve düzenli olarak i1letmeyi ve sistemin sürekli iyile1tirilmesini
gerektirmektedir. Güven ve güvenilirli0in hayati önem ta1"d"0" alanlarda hizmet veren
kurulu1lar"n, uluslararas" geçerlilikte bilgi güvenli0i yönetim sistemleri standard"na uygunluk
belgesine sahip olmas", hem mevzuat hem de kurulu1un güvenli i1leyisi aç"s"ndan bir
zorunluluk olarak de0erlendirilmektedir.
72
5.4 BGYS Sertifikas.n. Veren Kurumlar ve Sertifikay. Alan Kurumlar
5.4.1 Akredite Edilmi< BGYS Sertifikas.n. Veren Kurumlar
Kurumlar"n bilgi güvenli0i sertifikas" verebilmesi için akreditasyon kurumlar" taraf"ndan

yetkilendirilmesi gerekmektedir. BS7799–2 standard" için yetkili olan akreditasyon kurumu,
ngilteredeki UKAS (United Kingdom Accreditaion Service), ISO/IEC 27001 standard" için
ise ISO kurumudur. BGYS sertifikalar" bilgi güvenli0i yönetim standartlar"na göre kurumlar"
denetleyen ve de0erlendiren akredite edilmi1 belgelendirme kurumlar" taraf"ndan
verilmektedir.
Belgelendirme Kurumu gerekti0inde de0erlendirme sürecini denetler, de0erlendirmenin ilgili

standarta uygunlu0unu garanti ederek de0erlendirmeleri ba1ar"l" olan kurumlara sertifikalar"n"
verir. Dünya genelinde akredite edilmi1 sertifikasyon kurumlar"na örnekler Çizelge 5.4.1’de
gösterilmi1tir [27].
Çizelge 5.4.1.1. ISO27001 için akredite edilmi1 sertifikasyon kurumlar"
Akredite Edilmiş Sertifikasyon Kurumları
Sıra Sıra
No No
1 AJA Registrars Ltd 34 LGAI Technological Center
2 BM TRADA Certification Limited 35 LRQA
3 BSI 36 LTSI SAS (France)
4 BSI-J (BSI Japan K.K.) 37 Moody
5 Bureau Veritas Certification 38 MSA
6 Center Teknologisk AS (Norway) 39 National Quality Assurance
7 Certification Europe 40 Nemko (Norway)
8 CIS (Austria) 41 PJR (Perry Johnson Registrars)
9 Comgroup GmbH (Germany) 42 PJR-J

73
10 CQS (Czech Republic) 43 PricewaterhouseCoopers
11 datenschutz cert GmbH (Germany) 44 PSB Certification (Singapore)
12 Defense Procurement Structure.(BSK) 45 QSCert, spol. s.r.o
13 DNV (Det Norske Veritas) 46 RINA S.p.A. (Italy)
14 DQS GmbH (Germany) 47 SAI Global Limited (Australia)
15 DS Certification 48 SEMKO-DEKRA Certification AB
16 ENAC 49 SFS-Inspecta Certification (Finland)
17 HKQAA 50 SGS ICS Limited
18 ICMS 51 SGS Pakistan (Pvt) Limited
19 Intertek Systems Certification 52 SGS Philippines Inc.
20 ISOQAR 53 SIRIM QAS International
21 JACO-IS 54 SQS (Swiss Quality System)
STQC IT Certification Services

22 JATE 55 (India)
23 JICQA (JIC Quality Assurance Ltd) 56 TCIC Ltd
24 JMAQA (JMA QA Registration Center) 57 TECO
25 JQA 58 TÜV Austria Hellas
26 JSA 59 TUV NORD CERT GmbH (Germany)
27 JUSE-ISO 60 TÜV Rheinland Group (Germany)
28 J-VAC 61 TÜV RJ (TUV Rheinland Japan Ltd.)
29 KEMA Quality BV 62 TÜV SAAR CERT (Germany)
30 KPMG Audit plc 63 TÜV SÜD Gruppe

74
31 KPMG Certification 64 UIMCert (Germany)
32 KPMG RJ (KPMG Registrar Co., Ltd.) 65 United Registrar of Systems Limited
33 KPMG SA
Çizelge 5.4.1.1’de Türkiye’de BGYS sertifikas" veren TSE’nin ad"n"n geçmemektedir. Ancak
TSE, Bilgi Güvenli0i Yönetim Sistemi (TS ISO/IEC 27001) Belgelendirme faaliyeti ile ilgili
ISO/IEC 17021 standard"na akreditasyon çal"1malar"m"z tamamlanm"1 ve Nisan 2009
itibariyle TÜRKAK taraf"ndan akredite edilmi1tir [28].
5.4.2 ISO/IEC 27001 BGYS Sertifikas. Alan Kurumlar
Belgelendirilen BGYS sistemi her geçen gün h"zl" bir 1ekilde artmaktad"r. Ülkelere göre belge
say"s" incelendiginde dünya genelinde toplam 6573 adet ISO/IEC 27001 sertifikas" oldu0u
görülmektedir [29].
Çizelge 5.4.2.1. Ülkelere göre sertifika alan firma say"s"
Dünya'da ISO/IEC 27001 alan firma Sayısı
Japan 3572 Philippines 15 Peru 3
India 490 Pakistan 14 Portugal 3
UK 448 Iceland 13 Argentina 2
Taiwan 373 Saudi Arabia 13 Belgium 2
China 373 Netherlands 12 Bosnia 2

Herzegovina
Germany 138 Singapore 12 Cyprus 2
Korea 106 Indonesia 11 Isle of Man 2
USA 96 Bulgaria 10 Kazakhstan 2
Czech Republic 85 Norway 10 Morocco 2
Hungary 71 Russian Federation 10 Ukraine 2
Italy 61 Kuwait 9 Armenia 1

75
Poland 56 Sweden 9 Bangladesh 1
Spain 43 Colombia 8 Belarus 1
Malaysia 39 Iran 8 Denmark 1
Ireland 37 Bahrain 7 Dominican 1

Republic
Austria 35 Switzerland 7 Kyrgyzstan 1
Thailand 34 Croatia 6 Lebanon 1
Hong Kong 32 Canada 5 Luxembourg 1
Romania 30 South Africa 5 Macedonia 1
Australia 29 Sri Lanka 5 Mauritius 1
Greece 28 Vietnam 5 Moldova 1
Mexico 24 Lithuania 4 New Zealand 1
Brazil 23 Oman 4 Sudan 1
Turkey 21 Qatar 4 Uruguay 1
UAE 20 Chile 3 Yemen 1
Slovakia 19 Egypt 3
France 18 Gibraltar 3
Slovenia 16 Macau 3 Total 6573
5.4.3 Ülkemizde ISO/IEC 27001 Sertifikas.n. Alan Firmalar
Özellikle i1 süreçlerini elektronik ortamlara ta1"yan kurumlarda bu ihtiyac"n daha da fazla

olaca0" tahmin edilmektedir. Türkiyedeki sertifika say"s" dünya geneline bak"ld"0"nda yetersiz
oldu0u görülmektedir. Türkiye’deki kurumlar ve sahip olduklar" sertifikalar ise Çizelge 3.5’de
gösterilmi1tir [30].
Çizelge 5.4.3.1 Ülkemizde BGYS sertifikas"n" alan kurumlar
ISO/IEC
Sertifika Alan Kurum Ülke Certification Body 27001:2005
Anadolu Bili!im Hizmetleri A.S. Turkey

ISO/IEC
76
27001:2005
ISO/IEC
Atlas MedAcal ServAces Ltd. Turkey 27001:2005
ISO/IEC
Bankalarasi Kart Merkezi A.S., Istanbul Turkey Bureau Veritas Certification 27001:2005
SGS United Kingdom ISO/IEC

Beko Elektronik A.B. Turkey Limited 27001:2005
ISO/IEC
Borcelik Celik Sanayii Ticaret A.S. Turkey 27001:2005

Bursagaz Bursa A.S. Turkey Limited 27001:2005
ISO/IEC
Corbuss Kurumsal Telekom Turkey 27001:2005
ISO/IEC
E-Kart Elektronik Kart Sistemleri Turkey Bureau Veritas Certification 27001:2005
ISO/IEC
Global Bilgi Pazarlama, Danisma Ve Turkey 27001:2005
ISO/IEC
Haci Omer Sabanci Holding A.S. Turkey 27001:2005
ISO/IEC
CgdaD Cstanbul Gaz DaEAtAm Turkey Bureau Veritas Certification 27001:2005
ISO/IEC
Koc.Net Haberlesme Teknolojileri Turkey 27001:2005
ISO/IEC
Merkezi KayAt KuruluDu A.B Turkey SGS United Kingdom Ltd. 27001:2005
National Ministry Of Education, ISO/IEC

Education Technologies Department Turkey 27001:2005
ISO/IEC
Pwc / Basaran Nas Smmm A.S. Turkey Bureau Veritas Certification 27001:2005
77
ISO/IEC
Siemens AG Turkey 27001:2005
ISO/IEC
Teknosa Ic Ve Dis Ticaret A.S. Turkey 27001:2005

TEMSA SANAYI Ve TICARET A.S. Turkey Limited 27001:2005
ISO/IEC
Turk Traktor Ve Ziraat Makineleri A.S Turkey 27001:2005

Türktrust BiliDim GüvenliEi A.B. Turkey Limited 27001:2005
Tusas Aerospace Industries, Inc., ISO/IEC

Ankara Turkey Bureau Veritas Certification 27001:2005
Çizelge ad" olmayan Türk 1irketleri olabilir. Bu 1irketler ad"n"

http://www.iso27001certificates.com/ ancak bu 1irketler 1-2 adedi geçmez. Bunlardan bir
tanesi Sermaye Piyasas" Kurulu’dir.TSE taraf"ndan Sermaye Piyasas" Kurulu’na, belge TS
ISO/IEC 27001 standard"na göre verilmi1tir.
5.5 BGYS Standartlar. Hakk.nda Genel De?erlendirme
Kurum veya kurulu1lar"n üst düzeyde bilgi güvenli0ini ve i1 süreklili0ini sa0lamalar" için,
teknik önlemlerin yan"nda teknik olmayan (insan faktörü, prosedürel faktörler,vb.) önlemlerin
ve denetimlerin al"nmas", tüm bu süreçlerin devaml"l"0"n"n sa0lan"lmas" ve bilgi güvenli0i
standartlar"na uygun olarak yönetilebilmesi amac"yla yönetim taraf"ndan desteklenen
insanlar", i1 süreçlerini ve bili1im teknolojilerini kapsayan bilgi güvenli0i standartlar"na uygun
olarak BGYS kurmalar" gerekmektedir. Bilgi güvenli0i standartlar" kurumlar"n kendi i1
süreçlerini bilgi güvenli0ine yönelik risklerden korumalar" ve önleyici tedbirleri sistematik
biçimde i1letebilmeleri ve standartlar"n gere0ini yerine getiren kurum veya kurulu1lar"n
belgelendirilmesi amac"yla geli1tirilmi1tir.
Ülkemizde genellikle güvenlik politikalar" standartlara uygun olmadan yaz"l" veya sözlü,
onayl" veya onays"z bir biçimde kurulu1lar taraf"ndan uygulanmakta ve ço0u kurum
taraf"ndan da bilgi güvenli0i yönetimi için yeterli görülmektedir. Bu yanl"1 anlaman"n
78
giderilmesi için dünya genelinde kabul görmü1 ve uygulanabilirli0i test edilmi1 bilgi
güvenli0i standartlar" esas al"narak kurulu1lar"n bilgi güvenli0i yönetimi konusunda
eksikliklerini gidererek BGYS kurmalar" ve belgelendirilmeleri gerekmektedir. BGYS
çerçevesinde olu1turulacak güvenlik politikalar"na üst yönetim ve tüm çal"sanlar"n destek
vermesi ve tavizsiz bir 1ekilde uygulanmas", i1birli0inde bulunulan tüm ki1i ve kurulu1lar"nda
bu politikalara uyma zorunlulu0u, kurumsal bilgi güvenli0inin üst düzeyde sa0lanmas"nda
önemli bir faktördür.
BGYS standartlar"n"n kurumlara uyarlanmas", anlat"lmas", kullan"c", teknik çal"sanlar"n ve

yöneticilerin e0itilmesi konusunda kurulu1lar"n dan"mmanl"k hizmetleri almalar" i1i
h"zland"racak ve kolayla1t"racakt"r.. BGYS uygulamalar" kurumlar taraf"ndan ba1ar"l" bir
1ekilde uyguland"ktan sonra kurulu1lar"n bilgi güvenli0ini yönettiklerine dair uluslararas"
alanda geçerli olan belgeler almas" bilgi güvenli0inin kritik oldu0u kurumlar aç"s"ndan önemli
bir göstergedir.
Bilgi güvenli0inin yönetilmesi bilgi güvenli0inin sa0land"0" anlam"na gelmemektedir.

BGYS’nin kurumsal bilgi güvenli0ini taahhüt etti0i seviyede sa0lay"p saglamad"0",
sa0lam"yorsa eksikliklerinin neler oldu0u, güvenlik denetimlerinin güvenli biçimde kurulup
kurulmad"0", güvenlik denetimlerinin etkin ve politikalara uygun olarak uygulan"p
uygulanmad"0", iyi bir belgelendirme yap"l"p yap"lmad"0" gibi bilgi güvenli0inin sa0lanmas"
aç"s"ndan çok kritik olan sorular" cevaplaman"n tek yolu BGYS kapsam"nda belirlenen bilgi
varl"klar"n"n (insan faktörü, bili1im teknolojileri, vb.) güvenli0ini penetrasyon testleri ile
testleriyle test etmekten geçmektedir.
79
6. KURUMSAL B LG GÜVENL > NDE R SK YÖNET M
ISO 27001 Bilgi Güvenli0i Yönetim Sisteminin en önemli unsurlardan biri risk yönetim
sürecidir.
Risk, sözlük anlam" olarak zarara u0rama tehlikesidir ve öngörülebilir tehlikeleri ifade eder.
Risk Yönetimi ise bir kurumun ya da kurulu1un çal"1abilirli0i, ticari müesseseler içinse
öncelikle karl"l"0"n" olumsuz yönde etkileyebilecek risk faktörlerinin belirlenmesi, ölçülmesi
ve en alt düzeye indirilmesi sürecidir. Finans dünyas" ba1l"ca risk faktörlerini Piyasa Riski,
Kredi Riski ve Operasyonel Risk olarak üç ana ba1l"k alt"nda toplamaktad"r. Bili1im
Teknolojilerinde ise daha çok Operasyonel Risk ön plana ç"kmaktad"r (Egan, ve Mather,
2004).
6.1.1 Bili<im Teknolojilerinde Risk Yönetimi
Öncelikle Operasyonel Risk'den ne anla1"lmas" gerekti0ini netle1tirmemiz gerekmektedir.

Genel literatür taramas"nda, Kredi ve Piyasa Riskleri d"1"ndaki tüm risklerin Operasyonel
Risk olarak tan"mland"0" görülmektedir. Di0er taraftan, yetersiz ya da sorunlu i1 süreçleri,
personel ve sistemlerden kaynaklanabilecek do0rudan ya da dolayl" kay"plar" da operasyonel
riskler olarak tan"mlamak mümkündür.
Teknolojinin h"zl" geli1mesi, ürün ve hizmetlerdeki çe1itlili0in artmas", i1 süreçlerinin buna

ba0l" olarak karma1"kla1mas" sistem ya da sistemler üzerindeki denetimi zorla1t"rmaktad"r.
Bunun sonucunda hata ve doland"r"c"l"0a kar1" tedbirlerin önceden al"nmas" zorunlu hale
gelmektedir. O nedenle, kurum ve kurulu1lar olas" bir zarara kar1" gerekli altyap" yat"r"mlar"n"
önceden yapm"1 olmal"d"rlar.
Kurum ve kurulu1lar için Bili1im Teknolojilerine dayal" süreçler, art"k kurum ve kurulu1lar"n
varl"klar"n" devam ettirebilmeleri aç"s"ndan vazgeçilmezler aras"nda önemli bir yer
tutmaktad"r. Bili1im Teknolojilerine dayal" i1 süreçlerinin herhangi bir sebeple olumsuz yönde
etkilenmesi ayn" zamanda kurum ya da kurulu1lar"n asli i1levlerini sürdürememesi anlam"na
gelmektedir.
6.1.2 Bili<im Teknolojileri Boyutuyla Riskler
Bili1im Teknolojileri hizmetlerini olumsuz yönde etkiliyerek kurum ya da kurulu1lar", asli

görevlerini k"smen veya tamamen yerine getiremez duruma getirebilecek riskleri be1 ana
80
ba1l"k alt"nda toplamak mümkündür.
1. Personel riski (çal"1an sorunlar", insan hatalar", eksik bilgi ve yetkinlikler),

2. Teknolojik risk (hatal" tasarlanm"1 sistem mimarileri, hatal" modellemeler, güvenlik
zaafiyetleri, ileti1im problemi, yaz"l"m ve/veya donan"m hatalar", veri ve sistem
kay"plar"),
3. Organizasyon riski (BT ve i1 birimleri aras"nda yetersiz ileti1im, yetersiz
bütçeleme/planlama, projelendirme hatalar", yanl"1 kaynak kullan"m"),
4. Yasal riskler (Üçüncü 1ah"s (firma) iflaslar" veya anla1mazl"klar"),
5. D.< riskler (Do0al afetler, sabotaj, terörist sald"r"lar, siber sald"r"lar, sava1 hali,
yang"n, su basmas" gibi fiziksel tehditler).
Ba1ar"l" bir risk yönetimi için, kurulu1lar"n bilgi varl"klar"na ve hedeflerine yönelik risklerin
belirlenerek, analiz edilmesi, tan"mlanan risklerin kontrol alt"nda tutularak izlenmesi
gereklidir. Riski yönetmenin en do0ru yolu, gerçekle1me olas"l"0" ve gerçeklesti0inde
verece0i zarar en yüksek olan riskleri azaltacak bilgi teknolojisi risk yönetim sürecinin
olu1turulmas"d"r. Risk yönetim süreci olu1turulduktan sonra yap"lmas" gereken di0er bir i1
risk yönetimi sorumlusunun atanmas"d"r. Sorumlunun kim olaca0" veya i1i nas"l yürütece0i,
kurumun büyüklü0üne ve ihtiyaçlar"na göre de0i1ir. Büyük ölçekli kurum ve kurulu1larda,
risklerle ilgili önemli bilgileri toplayarak uygulanmas" gereken kararlar" verecek, risk
yönetimi politikalar"n" ve k"lavuzlar"n" olu1turacak özel amaçl" risk yönetim sistemlerinin
devreye al"nmas"n" sa0layacak ayr" bir birimin kurulmas" gereklidir. Risk yönetiminde tek bir
birimin veya tek bir ki1inin çal"1mas"n"n yan"nda kurum içi ortak bir çal"1maya da ihtiyaç
duyulmaktad"r.
Risk yönetiminde kurum içi haberle1me kanallar"n"n do0ru yap"larak üst yönetimle iyi bir
ileti1im kurulmas" gereklidir. Risk yönetimi çal"1malar"n"n ba1ar"s", üst yönetimin deste0ine
ve kurumun i1 hedefleriyle uyumlu olmas"na ba0l"d"r. Risk yönetimi ile ilgili üst yönetim ve
kurum çal"1anlar"n"n deste0i sa0land"ktan sonra isleyi1 yöntemlerinin olu1turulmas"
gereklidir. Öncelikle kurulu1un uzun dönemdeki hedefleri üzerinde çal"1"lmal" ve gelecekteki
hedefleri tehlikeye atacak risklerin tan"mlanarak kontrollerin olu1turulmas" gereklidir. Risk
yönetim planlar" daima güncel tutulmal"d"r.
81
Bilgi güvenli0i risk yönetiminde, bilgi güvenli0ini tehdit eden daha önceki bölümlerde
aç"klanan unsurlar"n meydana gelmesinin engellenmesi hedeflenmektedir. Ancak riskler
tamamen ortadan kald"r"lamayaca0"ndan tedbirlere ra0men riskler olu1tu0unda bilgi
güvenli0inin bu risklerden en az etkilenmesi risk yönetimiyle sa0lanacakt"r. Risklerin
olu1mas"n" en aza indirgemek için, önceden al"nmas" gereken tedbirler ve kontrollerin tarif
edilerek kurum çal"1anlar" ve yöneticileri taraf"ndan gerekli önlemler al"nmal"d"r. Risk
olu1tu0unda probleme müdahale, i1 süreklili0inin sa0lanmas" ve ola0anüstü durumdan
kurtulma yöntemlerini içeren felaket yönetimiyle ilgili politikalar olu1turulmal" ve sorun
olu1tu0unda gecikmeksizin uygulanmal"d"r. Burada önemle üzerinde durulmas" gereken,
risklerin ortadan kald"r"lmas" veya azalt"lmas" için olu1turulacak kontrolerin dengesidir.
Gereksiz veya iyi bir risk planlamas" yap"lmadan olu1turulan kontroller sonucunda i1
yap"lamaz duruma gelinmesi de kurumlar için önemli bir risk faktörüdür.
Risk tan"mlamas" yap"ld"ktan sonra, riskler kar1"s"nda al"nacak kararlar a1a0"dakiler olabilir
(Egan, ve Mather, 2004).
• Riskin Kontrol Edilmesi (Azalt.lmas.): Riskin kontrol edilmesine karar verildi0i

durumda, mevcut kontrollerin yetersiz oldu0u, ilave tedbir veya kontrollere ihtiyaç
duyuldu0u anlam"na gelmektedir. Tan"ml" risklerin kabul edilebilir seviyeye çekilmesi
için yap"lmas" gerekenler ve ek güvenlik kontroller (yaz"l"m, donan"m, prosedür, vb.)
devreye al"narak riskin istenilen seviyeye dü1ürülmesidir. Kabul edilebilir seviyedeki
riskler ise art"k (Residual) risk olarak kabul edilir ve herhangi bir i1lem yap"lmaz.
• Riskten kaç.nma : Risklerin çe1itli nedenlerle kontrol edilememesi ve kabul

edilememesi durumunda uygulan"r. Riskin kayna0" olan tehdidin gerçekle1me
olas"l"0"n"n ve i1 etkisinin çok yüksek oldu0u durumlarda riske neden olan bilgi i1lem
olana0" devreden ç"kar"labilir veya riske neden olan i1lem veye faaliyete son
verilebilir.
• Riskin aktarmar.lmas. : Kurum ve kurulu1lar"n yönetiminde ve kontrolünde

olmayan varl"k ve fonksiyonlarla ilgili ve kurum ve kurulu1un müdahale edemeyece0i
konularla ilgili riskler ba1ka kurumlara transfer edilir. Örne0in yang"n, do0al afet,
h"rs"zl"k gibi tehditlerin azalt"lmas" için yap"lan kontrollerden sonra kalan art"k risk
itfaiye, sigorta 1irketi, emniyet güçleri vb. kurumlara aktar"l"r. Riskin etkiledi0i bilgi
82
varl"klar"n"n zararlar"n" ba1ka kurulu1 veya sigorta kurumlar"na devir edilmesi

karar"d"r. Bu sayede riskin önlenmesi için gerekli maliyet dü1ürülür ve sorumluluk
ba1kas"na verilir.
• Riskin Kabulü: Risk kabul karar", mevcut önlemlerin yeterli oldu0u, ilave tedbir
veya kontrol uygulanmas"na gerek olmad"0"n" ifade etmektedir. Herhangi bir ek
güvenlik denetimine ihtiyaç duyulmadan; riskin tespit edilen seviyede sürdürülmesi
karar"d"r. Güvenlik riski mevcut olan ancak sald"r" riski olmayan bilgi varl"klar" için
risk maliyetine girmek yerine, riskin göz ard" edilmesi tercih edilir.
Risk Analizi:
Risklerin tan"mlanmas", hesaplanmas" ve de0erlendirilmesi süreçleri risk analizi olarak

tan"mlanmaktad"r. ISO 27001 standard"n"n gere0i olarak de0erlendiriecek risk analizi ve
yönetimi a1a0"daki ad"mlardan olu1maktad"r (Tipton ve Krause,2004):
1. Varl"klar"n belirlenmesi,
2. Belirlenen varl"klar"n sahiplerinin belirlenmesi (Risk de0erlendirmesi yapacak),
3. Bu varl"klara ili1kin tehditlerin belirlenmesi,
4. Tehdit s"kl"k durumunun belirlenmesi,
5. Bu tehditler taraf"ndan istismar edilebilecek zay"fl"klar"n"n (aç"kl"klar) tespiti,
6. Tehdidin aç"kl"0" istismar etme olas"l"0"n"n belirlenmesi,
7. Bu varl"klar"n tehdit ve aç"l"klar"ndan etkilenme derecesinin Gizlilik, Bütünlük ve
Kullan"labilirlik aç"s"ndan de0erlendirmesi,
8. Gizlilik risk seviyesi, bütünlük risk seviyesi ve Kullan"labilirlik risk seviyesi
de0erlerinin ç"kar"lmas",
9. Risk de0erlerine göre risk karar"n"n verilmesi (Risk de0eri, risk kabul kriterinin
alt"ndaysa ek herhangi bir kontrole gerek yoktur),
10. E0er Risk karar" “kontrol” ise riski indirgemek için ek önlemlerin gereklidir.
Literatürde iki farkl" risk analizi yöntemi mevcuttur. Bunlar, nicel (Quantitative) ve nitel
(Qualitative) yöntemlerdir (Landoll, 2006).
Nicel Hesaplama Yöntemi: Bilgi varl"klar"na, önemine ve korunmas"na göre mali de0erler
atanmas" ile yap"lan risk hesaplama yöntemidir. Nicel risk analizinde, bilginin de0eri, zafiyeti,
83
tehditin olma ihtimali, tehditin etkisi gibi de0erlere say"sal de0erler verilir ve bu de0erler
matematiksel ve mant"ksal yöntemlerle hesaplan"p risk de0eri bulunur.
Nitel Hesaplama Yöntemi: Bilgi sahipleri ve uzman ki1iler taraf"ndan bilginin önemine ve
kritikli0ine de0er atanmas" ve bu de0erlerin bir ekip taraf"ndan kar1"l"kl" müzakereler ile son
kabul gören güvenlik de0erine atanmas"yla yap"lan risk hesaplama yöntemidir. Say"sal
de0erler yerine Kritik, yüksek, orta gibi tan"mlay"c" de0erler kullan"l"r.
Her kurum kendisine uygun standart risk analizi yöntemi bulamaya bilir. Her kurumun
kendine özel bir varl"k envanteri, bu varl"klar"n güvenli0ini tehdit eden farkl" tehlikeler vard"r.
6.1.3 Bilgi Varl.?.n.n Maruz kalabilece?i Risk De?erinin Hesaplanmas.:
Risk, bir tehdidin potansiyel bir zay"fl"ktan istifade etme olas"l"0" ve bunun organizasyon
üzerinde negatif bir etkiye neden olmas"n"n bir fonksiyonu olarak tan"mlanmaktad"r.
ISO 27001 standart"na uygun hesaplanan risk metodolojilerinden birisi a1a0"daki gibidir
(Calder ve Watkins, 2007):
Risk = f(varl"0a etkisi, olas"l"k).
Risk için varl"k (varl"0"n etkisi), varl"0"n zay"fl"0" (zaafiyeti, aç"kl"0") ve bu aç"0"
sömürebilecek tehditler bulunmaktad"r. Bu üç unsurdan risk de0eri elde edilir.
Varl.k, 2. Bölümde anlat"ld"0" üzere ISO standartlar" bilgi varl"0"n", ki1i ve kurumlar"n sahip
oldu0u ve kendisi için maddi veya manevi de0er ifade eden ve bu nedenle uygun korunmay"
gerektiren tüm unsurlar 1eklinde tan"nlam"1lard"r.
Zay.fl.k (Zaafiyet-Aç.kl.k), varl"0a özgü zaafiyetlerdir.
Tehditler, bilinçli veya bilinçsiz olarak varl"0a özgü zay"fl"klar" kullanarak varl"0a zarar
verebilecek eylem veya durumlard"r.
Örne0in 5 skala ile belirlenir a1a0"daki tehdit, zay"fl"k ve varl"k etkisine de0erlendirmelerin
nas"l verildi0inin ve risk de0erlerinin nas"l hesapland"0"n" anlatmakta yarar bulunmaktad"r:
1. Tehdit s.kl.?.n.n de?erlendirilmesi
Bir varl"k üzerindeki tehditlerin çoklu0u, tehditlerin motivasyonu, yayg"nl"0", tehditlerin

gerçekle1me kolayl"0", tehditlerin karma1"kl"0" ve hakk"ndaki bilgi azl"0" gibi durumlar
nedeniyle seviyelendirilmeleri gerekir. Seviyelendirme a1a0"daki skalaya göre yap"l"r. Tehdit
84
s"kl"0" belirlenirken, geçmi1 deneyim ve istatistikler ile teknolojik geli1meler göz önünde
bulundurulmal"d"r. Tehdidin 1imdiye kadar hiç gerçekle1memi1 olmas" s"kl"0"n"n çok dü1ük
oldu0u anlam"na gelmez. Dünyada ya1anan deneyimler ve tehdidin özelli0i dikkate al"narak
s"kl"k belirlenmelidir.
Tehdidin gerçekle1me s"kl"0" a1a0"daki tablo örnek verilebilir:
Tehdit s.kl.k belirleme tablosu
Çizelge 6.1 Tehdit s"kl"k belirleme tablosu
Seviye De?er Tehdit S.kl.k
Kritik 5 3 ay bir kez gerçekle1ebilir.
Yüksek 4 6 ayda bir kez gerçekle1ebilir.
Orta 3 1 y"lda bir kez gerçekle1ebilir.
Dü1ük 2 3 y"lda bir kez gerçekle1ebilir.
Çok Dü1ük 1 5 y"lda bir gerçekle1ebilir.
2. Zay.fl.k (Zaafiyet, aç.kl.k) de?eri (Tehdidin zay.fl.?. istismar etme olas.l.?.):
Aç"kl"k (zaafiyet) de0erleri 5 skala ile belirlenir. Bu de0erler geçmi1 zaman istatistikleri ve
teknolojik geli1im gözönde tutularak belirlenir. Örne0in web sayfas"n"n bir zaafiyetten
yararlan"larak hackedilmesinin olas"l"k de0er hesaplan"rken sadece geçmi1 zaman istatikleri
baz al"namaz. Geçmi1 zaman istatistiklerinin yan"nda teknolojik geli1im de göz önde tutulur.
Geçmi1te bir zaafiyettin bir tehdit taraf"ndan istismar edilmemesi veya k"r"lmamas" zaafiyet
olas"l"0"n"n çok dü1ük oldu0u anlam"na gelmez. Dünyada ya1anan deneyimler ve zaafiyetin
do0as" dikkate al"narak olas"l"k belirlenmelidir.
Aç.kl.k de?erlendirme tablosu:
Çizelge 6.2 Aç"kl"k de0erlendirme tablosu

85
Seviye De?er Aç.klama
Kritik 5 stismar edilme olas"l"0" %75’ten büyüktür.
Yüksek 4 stismar edilme olas"l"0" %50-75 aras"ndad"r.
Orta 3 stismar edilme olas"l"0" %30-50 aras"ndad"r.
Dü1ük 2 stismar edilme olas"l"0" %10-30 aras"ndad"r.
Çok 1 stismar edilme olas"l"0" %10’dan küçüktür.

Dü1ük
Tehdidin varl.k üzerindeki i< etkisinin belirlenmesi:
Etki, bir tehdidin bir aç"kl"ktan yararlanarak sebep olabildi0i negatif sonucun veya zarar"n
büyüklü0ünü ifade eder. Etkinin düzeyi, etkilenen kaynak ve varl"klar"n gizlilik, bütünlük ve
kullanabilirlik seviyesinin ne kadar zarar görece0ine ba0l"d"r.
GBK Seviyesi : Gizlilik Seviyesi (GS), Bütünlük Seviyesi (BS), Kullan"labilirlik Seviyesi
(KS) bile1enlerinden olu1ur. GS, BS ve KS, 1 ile 5 aras"nda de0er al"r. 1 çok dü1ük , 2 dü1ük,
3 orta, 4 yüksek, 5 kritik seviyeleri ifade eder.
Bir varl"k için tespit edilen ve yukar"daki gibi tan"mlanan GBK seviyeleri ile tehditler ve
zay"fl"klar e0er aç"0a ç"karsa o varl"0"n gizlili0i, bütünlü0ü ve kullan"labilirli0i bundan hangi
derecede etkilenir sorusunun cevab" aran"r.
3. Varl.k GBK (Gizlilik, Bütüntük,Kullan.labilirlik) Seviyeleri De?erlendirme

Tablosu:
Çizelge 6.3 Varl"k GBK seviyesi de0erlendirme tablosu
Seviye De?er Gizlilik Bütünlük Kullan.labilirlik

(Eri<ebilirlik)
86
Kritik 5 Varl"0"n yetkisiz Varl"0"n do0rulu0u ve Varl"0"n ihtiyaç

ki1iler taraf"ndan bütünlü0ünün duyuldu0unda
görülmesi veya ele bozulmas": eri1ilemez veya
geçirilmesi: kullan"lamaz olmas":
• Kurumun i1leyi1ini
• Cezai durdurur. • Kurumun
yapt"r"mlara veya i1leyi1ini
• Cezai yapt"r"mlara
düzenleyici durdurur.
veya düzenleyici
kurumlar kurumlar • Cezai
taraf"ndan çok taraf"ndan çok yapt"r"mlara veya
önemli idari önemli idari düzenleyici
tedbirler
tedbirler kurumlar
uygulanmas"na uygulanmas"na taraf"ndan çok
neden olur. neden olur. önemli idari
• Ulusal çapta tedbirler
• Ulusal çapta
medyada çok uygulanmas"na
medyada çok
olumsuz ve "srarla neden olur.
olumsuz ve "srarla
devam eden devam eden • Ulusal çapta
haberler haberler ç"kmas"n" medyada çok
ç"kmas"n" ifade ifade eder. olumsuz ve "srarla
eder. devam eden
• Geri al"nmas"
haberler
mümkün olmayan
ç"kmas"n" ifade
varl"k transferleri
veya varl"k eder.
zarar/kay"plar"na • Varl"0a hiçbir

neden olur. 1ekilde
eri1ilemez.
Yüksek 4 Varl"kl"0"n yetkisiz Varl"k do0rulu0u ve Varl"0"n ihtiyaç

ki1iler taraf"ndan bütünlü0ünün duyuldu0unda
görülmesi veya ele eri1ilemez veya
87
geçirilmesi: bozulmas": kullan"lamaz olmas":
• Düzenleyici • Düzenleyici • Düzenleyici

kurulu1lar"n idari kurulu1lar"n idari kurulu1lar"n idari
para cezas"na para cezas"na para cezas"na
vermesine veya vermesine veya vermesine veya
orta dereceli idari orta dereceli idari orta dereceli idari
tedbirlerine neden tedbirlerine neden tedbirlerine neden
olur. olur. olur.
• Ulusal çapta • Ulusal çapta • Ulusal çapta

medyada negatif medyada negatif medyada negatif
haber ç"kmas"na haber ç"kmas"na haber ç"kmas"na
neden olur. neden olur. neden olur.
• • Varl"0"n eski • Varl"0"n

haline getirilmesi kullan"labilir
veya geri al"nmas" duruma getirmek
için büyük tutarl" için büyük tutarl"
ilave finansal ilave finansal
harcamalara neden harcamalara
olur. neden olur.
Orta 3 Varl"0"n yetkisiz Varl"0"n bütünlü0ü ve Varl"0"n ihtiyaç

ki1iler taraf"ndan do0rulu0unun duyuldu0unda
görülmesi, veya ele bozulmas": eri1ilemez veya
geçirilmesi, kullan"lamaz olmas":
• Düzenleyici
düzenleyici kurulu1un kurulu1un • Düzenleyici
ele1tirisine veya ele1tirisine veya kurulu1un
s"n"rl" tedbirlerine s"n"rl" tedbirlerine ele1tirisine veya
neden olur. neden olur. s"n"rl"
tedbirlerine neden
• Varl"0" eski haline
olur.
getirmek veya geri
88
almak ilave zaman • Varl"0"n

ve çaba gerektirir. kullan"labilir
durum getirmek
için ilave zaman
ve çaba gerektirir.
Dü1ük 2 Varl"k, kurum içi Varl"0"n do0rulu0u ve Varl"0"n kullan"labilir

çal"1anlar aç"s"ndan bütünlü0ünün durumda olmamas"
gizlilik de0eri bozulmas" maddi maddi kay"ba neden
bulunmamaktad"r. kay"ba neden olmaz, olmaz, ancak kurum
Kurum çal"1anlar" ancak kurum içi içi motivasyon
d"1"ndakilerin elini motivasyon kayb"na kayb"na neden olur.
geçmesi Kurum neden olur.
politikalar"n" olumsuz
etkiler.
Çok 1 Varl"0"n gizlilik Varl"0"n do0rulu0u ve Varl"0"n kullan"labilir

Dü1ük de0eri bütünlü0ünün olmamas" herhangi
bulunmamaktad"r. bozulmas"n"n etkisi bir etkisi
bulunmamaktad"r. bulunmamaktad"r.
6.1.4 Varl.?.n Risk De?erinin Hesaplanmas.
Risk(GRD) = varl"0"n etki de0eri x zay"fl"k de0er x tehdit s"kl"0" 6.1.4.1
Risk(BRD) = varl"0"n etki de0eri x zay"fl"k de0er x tehdit s"kl"0" 6.1.4.2
Risk(KRD) = varl"0"n etki de0eri x zay"fl"k de0er x tehdit s"kl"0" 6.1.4.3
varl"0"n etki de0eri: 3 olsun, zay"fl"k de0er : 4 olsun, tehdit s"kl"0": 2 olsun:
Risk De0eri = 3 x 4 x2 = 24 olur. Risk de0eri 125 (5 x 5 x 5) üzerinden 24’tür. De0er 24 risk
kabul kriterin alt"nda ise bu varl"0"n riski mevcut önlemler ile korunmas" yeterlidir. Ancak
e0er risk kabul kriterinden yüksek ise bu riski azaltmak için ek önlemler gereklidir.
89
7. KURUMSAL B LG GÜVENL > N ST SMAR EDEN TEHD TLER
7.1 Tehdit
Bilgi güvenli0i dünydas"nda tehdit, bilgi varl"klar"n"n do0as" gere0i etkisinde bulundu0u
zaafiyeti sömürüp varl"0"n gizlilik, bütünlük ve kullan"labilirli0ini olumsuz yönde etkileme
olas"l"0" olan tan"ml" risklerdir [31]. Tehditlerin bilgi sistemlerinde etkili olabilmesi için bilgi
sistemleri üzerindeki var olan zafiyetleri kullanmalar" gereklidir.Tehditlerin bilgi varl"klar"na
etkisi, tehlikenin olu1ma olas"l"0", bilgi varl"0" üzerindeki aç"kl"k ve varl"0"n de0eri ile do0ru
orant"l"d"r. Tehditler uygun ortam 1artlar"n"n olu1mas"yla bilgi sistemlerine zarar verecek
kusurlar" içeren zafiyetlere, zafiyetler sald"rganlar taraf"ndan kullan"ld"0"nda güvenlik
ihlallerine yol açarak bilgi sistemlerine zarar vermektedir.
Tehditler, tehdit kayna0" aç"s"ndan bak"ld"0"nda;
• Do0al afetler veya teknik ar"zalarla ilgili tehditler,

• Prosedürel eksiklerle ilgili tehditler,
• nsan faktöründen kaynaklanan tehditler,
• Kötücül yaz"l"mlarla ilgili tehditler olarak s"ralanabilir.
7.2 Tehdit Örnekleri
Bilgi güvenli0i ile ilgili güncel tehdit örnekleri a1a0"daki gibidir:
• Deprem, sel, hortum, yang"n gibi do0al afet ile ilgili çevresel tehditler,
• 1 ile ilgili tehditler: finansal zay"fl"klar, iflas, pazar problemleri
• Log dosyalar"n"n yanl"1l"kla yada kasten de0i1tirilmesi
• Yedekleme medyalar"nda bozulma
• Gizli kanallardan bilgi s"zd"r"lmas"
• Kaza veya ar"zalardan olu1abilecek hasar
• Kablo hasarlar"
• Disipline edilmemi1 aksiyonlar veya tehditin farkedilemesi
• Hizmet kesintisi tehdidi
• Ekipman"n tahrip edilmesi tehdidi
• Gizli bilginin ortaya ç"kmas"
• ifreleme anahtar"n"n ele geçirilmesi
90
• Bilginin ele geçirilmesi

• Tozlanma, kirlenme
• Çevresel kirlilikten (gürültü, haberle1me dahil) etkilenme
• Çevresel felaketler
• Güvenlik politikas" içerisinde hatalar ve unutmalar
• Destek servislerinin kesintisi
• Yang"n
• Su ta1mas", su basmas"
• Kötü niyetle istifade (fraud)
• Hardware ar"zas"
• Rutubet ve a1"r" s"cakl"k
• Kan"t toplanmas"n"n sa0lanamamas"
• Hatal" bilgi giri1i
• Hatal" bilgi ç"k"1"
• ifreleme anahtar"n"n/algoritma s"n"n yetersiz duzeyde olmas"
• Kriptografi (1ifreleme ) politikas" eksikli0i
• Bilgi al"1veri1indeki yetersiz anla1malar
• Bilginin s"n"f"land"r"lmas" hatas"
• Kaza/Ar"za bilgilendirme eksikli0i
• Kaza/ar"za yönetiminin ele al"n"1"nda zay"fl"klar
• Veri medyalar"n"n elden ç"kar"lmas" s"ras"nda güvenlik eksikli0i
• Yetersiz ve test edilmemi1 veri yedekleri
• Yetersiz güvenlik yönetimi önlemleri
• 1 aktivitelerinin kesintisi
• 1 süreklili0i plan zay"fl"kl"klar", prosedürel ve yönetimsel eksiklikler
• Çal"1an"n bil güv. Fark"ndal"0"nda zay"fl"k
• Ar"za/kaza bildirimlerinde çal"1anlarda fark"ndal"k eksikli0i
• Bilgi kayb"
• Hizmet kayb"
• Kötü niyetli yaz"l"mlar (virus, trojan, worm v.b.)
91
• Yanl"1 ve yeniden yönlendirilen mesajlar (re-route, mis)

• Yanl"1 yere dial edilme, yanl"1 yere faks gönderme
• Audit veya sistem tool'lar"n"n yanl"1 kullan"lmas"
• Bilgi i1lem olanaklar"n"n yetkisiz veya yanl"1 kullan"m"
• Sistem geli1tirmede kar"1"k ve anla1"lmayan testler
• Yasal düzenlemelerle uyumsuzluk
• Güvenlik kontrolleri ile uyumsuzluk
• Operasyonel zorluklar, tedarik zincirinde eksiklik, yo0un i1gücü
• Unutulmu1 eri1im haklar"
• Gizli dinleme
• Fiziksel müdahele
• Güç sa0lay"c", klima ar"zalar", elektiriksel anaomaliler
• Kuruma ait bilgilerin özel amaçlarla kullan"m"
• Bilgi i1lem süreç hatalar"
• Onaylanmam"1 do0ru olmayan bilginin yay"nlanmas"
• nkar
• Internet, email, elektronik ticaret riskleri
• Teleworking (tele sat"1) riskleri
• Çal"1an"n güvenlik ihlaleri
• D"1 kaynakla ilgili güvenlik ihlaleri (destek firmalar")
• Güvenlik politikas" ile ilgili ihlaller
• 1tirakler, üçüncü taraf kurulu1lar"n yönetimi ile ilgili güvenlik ihlalleri
• Sistem hatalar"
• Bilgi h"rs"zl"0"
• Ekipman ve medya h"rs"zl"0"
• Onaylanmam"1 ve test edillmemil bilgi sistem de0i1iklikleri
• Bilgisayara yetkisiz eri1im
• Ekipmana yetkisiz eri1im
• Bilgiye yetkisiz eri1im
• Mobil ekipmana yetkisiz eri1im
92
• Network ve network servislerine yetkisiz eri1im

• Ta1"ma s"ras"nda yedekleme medyas"na gizli ula1"m veya kopyalama
• Yaz"l"m kaynak kitapl"0"na yetkisiz eri1im
• Sistem dökümanlar"na yetkisiz eri1im
• Mesajlar"n de0i1tirilmesi veya mesajlara yetkisiz eri1im
• Bilgi sistem süreçlerine yetkisiz eri1im
• Yaz"l"m lisans bilgilerini yetkisiz kopyalama
• Yetkisiz yaz"l"m kurma veya yaz"l"mda de0i1iklik
• Yetkisiz oldu0u halde bilgiyi de0i1tirme
• Yetkisiz fiziksel eri1im
• Yetkisiz oldu0u halde medyan"n veya yaz"l"m"n silinmesi
• Bilgiye ula1"lamama durumu
• Bilgi i1lem süreçlerine ula1"lamama durumu
• Personele ula1"lamama durumu
• Kaynaklara ula1"lamama
• Servizlere ula1"lamama
• Sorumluluklar"n yanl"1 ki1iye aktar"lmas" veya kald"r"lamamas"
• 1letim ortam"nda kontol d"1" de0i1iklikler
• Zay"f gözlem nedeniyle tespit edilemeyen güvenlik zaaflar"
• Uygun olmayan kimlik tan"ma mekanizmas" (authenticate)
• Kullan"c" hatalar"
• 1 süreklili0i planlar"n"n olmamas"
• Görev tan"mlar"n"n yap"lmam"1 olmas"
7.3 Kötücül Yaz.l.mlara Dayal. Tehditler
Kötücül yaz"l"mlara dayal" tehditler çok kullan"ld"0"ndanda ve her yeni gün bu tehdit türlerine
rastland"0"ndan dolay" bu konu biraz detayland"r"lm"1t"r.
Sald"rganlar"n, donan"m veya yaz"l"m aç"kl"klar"n" kendi ç"karlar" için kullanarak istedikleri
bilgiye eri1ebilmelerini sa0layan tehditlerdir. Sald"r"lar ç"kar amaçl" olarak yap"labildi0i gibi
kendi ünlerini duyurmak isteyen bireysel sald"rganlar veya önceden planlanm"1 belirlenen
hedefler do0rultusunda organize olmu1 çeteler veya ç"kar amaçl" örgütler taraf"ndan
93
yap"lmaktad"r. Günümüzde sald"r"lar"n büyük bir ço0unlugu kötücül yaz"l"mlar (Malicious

Programs) olarak adland"r"lan programlar arac"l"0"yla yap"lmaktad"r. Kötücül yaz"l"mlara
dayal" olarak yap"lan sald"r"larda kullan"lan yayg"n tehditler ba1l"klar halinde takip eden
paragraflarda verilmi1tir.
7.3.1 Virüsler:
Virüsler üzerinde ilk ciddi çal"1malar" yapm"1 olan matematikçi Dr.Frederick Cohen virüsü
“ba1ka programlar"n içine kendisini kopyalayarak bula1an bir bilgisayar program"” olarak
tan"mlam"1t"r (Canbek ve Sa0"ro0lu, 2006). Virüsleri bilgisayar sistemlerine,ortamlar"na ve
bilgilere zarar vermek üzere gelistirilmi1 program kodlar" olarak da tan"mlayabiliriz. Bu
programlar bilgisayarlara do0rudan zarar verece0i gibi, kendi kodunun kopyas"n" ba1ka
program kodlar"na ekleyerek ço0al"rlar ve verilen zararlar" art"r"rlar. Virüsler hem kendilerini
kopyalayacak kodlar", hem de zarar verici i1lem yapacak kodlar" birlikte içerirler. Virüsleri
di0er programlardan ay"ran özellik, girdigi sistemlere kendilerini, kullan"c"n"n fark"nda
olmadan iste0i d"1"nda kopyalayarak sistemlere zarar vermesidir. Kullan"c" taraf"ndan
çal"st"r"lmadan veya kendisini programlayan ki1i taraf"ndan önceden belirlenmi1 durum
olu1madan aktif hale gelemezler. Baz" virüsler ise aktif hale geldikleri halde, belli bir süre
etkilerini göstermezler. Bula1ma a1amas"nda virüsler, kendilerini ba1ka dosyalara
kopyalayarak h"zla ço0al"rlar, yürütme (execution) a1amas"nda ise programland"klar" zararl"
faaliyeti gerçekle1tirirler. Virüsler, usbler, cdler, dvdler, disketler, a0 payla1"m", internet (e-
posta, dosya indirme,vb. En tercih edilen yöntemdir. Çünkü çok yayg"nd"r) yollar"yla
yay"l"rlar. Aktif olduklar"nda dosyalar" silebilirler, verileri de0i1tirebilirler, bilgisayar"
yava1latabilirler, müzik çalabilir, ekrana çesitli mesajlar ç"kartabilirler. Baz" virüsler zarar
verici i1lemler yapmasa da hata içerirler ve sistem
kaynaklar"n" gereksiz yere kullan"rlar. Genelde i1letim sistemine veya donan"ma ba0"ml"
olarak çal"1"rlar. Her geçen gün say"lar" ve verdikleri zararlar" artmakta olan virüslerin boot
sektörü, yürütülebilir, TSR, gizli, 1ifreli, polimorfik ve makro virüsleri olmak üzere çok
say"da çesidi bulunmaktad"r. Günümüzde bankac"l"k i1lemlerine odaklanan virüsler
co0unluktad"r.
94
7.3.2 Solucanlar (worms)
Herhangi bir yard"m almaks"z"n a0 üzerindeki bilgisayarlar"n korunmas"zl"klar"ndan

faydalanarak kendili0inden di0er bilgisayarlara bula1an ve bilgisayar a0lar" üzerinde yay"lan
sald"r" yapma amaçl" kullan"lan kötücül programlard"r. Virüslerden fark" tan"mda belirtildi0i
gibi kendili0inden yay"l"r ve kendisinin de0i1ik kopyalar"n" otomatik olarak a0 arac"l"0"yla
ba1ka sistemlere dag"t"rlar. Solucanlar ilk olarak, bilgisayarda dosya veya bilgi ileten
özelliklerin denetimini ele geçirdikten sonra kendi ba1"na ilerleyebilir. Solucanlar"n en büyük
tehlikesi, k"sa zamanda kendilerini büyük say"larda internet üzerinden çok kullan"lan
protokoller (HTTP, SMTP, vb.) arac"l"0"yla ço0altma becerileridir
7.3.3 Truva At. (Trojan)
Truva atlar" mitolojide bir arma0an gibi görünüp, asl"nda Troya kentini ele geçirecek Yunanl"
askerleri ta1"yan bir araçsa; bugünün Truva atlar" görünü1te yararl" olup istenmeyen, zarar
verici i1lemler yapacak kodlar" içinde bar"nd"ran programlard"r. Yayg"n truva atlar"na Back
Orifice, Netbus, Schoolbus gibi programlar örnek olarak verilebilir. Truva atlar" bir
bilgisayar"n kontrolünü uzaktan ele geçirerek ekran"n izlenmesini, dosyalar üzerinde
islemlerin yap"lmas"n", uzaktan komut çal"1t"r"lmas"n", klavye tuslar"n"n kontrol edilmesini
sa0larlar. Truva atlar" daha çok kullan"c"lar taraf"ndan ragbet gören oyunlar ve yaz"l"m
güncellemelerinde, msn gibi mesajla1ma programlar" vas"tas"yla yay"l"rlar. Truva atlar ;
insanlar"n me1ru bir kaynaktan geldi0ini düsündükleri bir program" açmaya ikna edilmesi
yoluyla genellikle e-postalar arac"l"0"yla yay"l"r. Truva atlar"na, ücretsiz (shareware,
freeware) veya lisanss"z (kaçak) olarak yüklenilen yaz"l"mlarda daha fazla rastland"0"ndan
güvenilmeyen kaynaklardan indirilen yaz"l"mlar bilgisayara yüklenmemelidir. Truva atlar"n"n
baz"lar" da bula1t"klar" sistemlerde t"pk" solucanlar gibi arka kap"lar açarak sistemlere uzaktan
eri1im yap"lmas"n" sa0larlar.
7.3.4 Casus Yaz.l.m (Spyware)
Tan"t"m, ki1isel bilgi toplama veya kullan"c" onay"n"n al"nmadan bilgisayar yap"land"rmas"n"
de0i1tirme, kullan"c" bilgisayar"n"n her türlü aktivitesini takip etme gibi çok farkl" islemleri
kullan"c"n"n bilgisi olmadan gerçeklestiren yaz"l"mlar için kullan"lmaktad"r (Canbek ve
Sa0"ro0lu, 2006). stenmeyen zamanlarda aç"lan reklâm pencereleri, taray"c"lar"n ilk açt"g"
sayfa (giris sayfan"z) veya arama ayarlar" istem d"1" de0i1misse, bilgisayar"n k"sa zamanda
95
tamamlamas" gereken görevleri normalden daha uzun sürede tamaml"yorsa, aniden

kilitlenmeler gibi olaylar casus yaz"l"m veya ba1ka bir “istenmeyen” veya “casus yaz"l"m”
oldu0unun habercisi olabilir. Casus yaz"l"m"n veya di0er istenmeyen yaz"l"mlar"n
bilgisayarlara girebilmesinin çesitli yollar" vard"r. Müzik veya video dosyas" payla1"m
program" gibi istedi0iniz baska bir yaz"l"m" yüklerken, bu yüklenen yaz"l"m"n gerisinde
gizlenmi1 ve bu i1lemle sisteme gizlice yüklenme, çok kars"la1"lan yöntemlerdendir.
7.3.5 Arka Kap.lar (Back Door)
Bilgisayar programlar"na veya bilgi sistemlerine gizli giri1 amac"yla kullan"lan gizli ba0lant"
noktalar"d"r. Arka kap"lar önceden belirlenen yöntemlerle güvenlik kontrollerinin as"larak
bilgi sistemlerine eri1ilmesine izin verirler. Sisteme arka kap"lar arac"l"0"yla eri1im
yap"ld"0"nda sistem kay"tlar"nda o eri1imle ilgili kay"tlar yer almamaktad"r. Belli bir kullan"c"
taraf"ndan çal"1t"r"l"nca veya belli giri1 de0erleri verilince tetiklenen kodlard"r. En çok
programc"lar taraf"ndan test i1lemlerini kolayla1t"rmak, hatalar" düzeltmek ve hata durumunda
eri1ime izin vermek için kullan"l"r. Örne0in programa giri1te doldurulmas" gereken belli
alanlar veya uzun bir kurulum a1amas" varsa test i1lemlerinde her seferinde ayn" i1lemleri
yapmamak için, hata olu1tugunda programa müdahale izni verilmesi için kullan"labilirler.
Ancak arka kap"lar, uygulamalarda b"rak"l"nca sald"rganlar taraf"ndan ke1fedildi0inde tehdit
haline gelerek yetkisiz eri1im yap"lmas"na izin verirler. Arka kap"lara i1letim sisteminin
müdahale etmesi zordur. Bunlar"n tehdit haline gelmemeleri için uygulama geli1tirilirken ve
güncellenirken güvenlik prosedürlerine uyulmal", uygulama kullan"ma aç"lmadan önce arka
kap"lardan ar"nd"r"lmal"d"r.
7.3.6 Mant.ksal Bombalar (Logic Bombs)
Daha önceden programlanan ko1ullar olustu0unda zarar verecek i1lemler yapan zararl"
programlard"r. Ko1ullar bir tarih (Ocak ay"n"n 22. günü), günün belli bir saati (23:00), belli bir
kullan"c"n"n sisteme giri1i, i1ten ç"kar"lan bir çal"san"n personel listesinden silinmesi gibi
durumlar olabilir. Mant"ksal bombalar sistem kaynaklar"na (bellek, sabit disk, CPU, vb.)
büyük zararlar verebilen tespit edilmesi zor programlard"r. Bu nedenle fark edildiklerinde
genelde sistem hasara u0ram"1t"r ve müdahale için art"k çok geçtir.
96
7.3.7 Sazan Avlama (Phishing)
ngilizce Password Harvesting Fishing sözcüklerinden türetilen Phishing kelimesi Türkçemize

sazan avlama olarak çevirilmi1tir. Bu yöntemde kredi kart" bilgileri ya da parolalar gibi özel
ve gizli kalmas" gereken mahremiyet gerektiren bilgileri, elde etmek için e-postalar veya sahte
web siteleri (örne0in www.akbank.com.tr yerine www.akbank.tr.com.tr adresi ile arayüzü
orjinal site ile ayn" olan bir websitesi aç"lmas") haz"rlayarak kand"rma ve kullan"c"lar"n gizli
bilgilerini elde etme için yap"lan kand"rmaca girisimlerinin tümüne verilen add"r.
Günümüzde 2000- 2007 y"llar" aras"nda çok kullan"ld" ve bir çok kullan"c" olumsuz etkilendir.
Günümüzde halen kullan"lmaktad"r.
7.4 Zararl. Kodlara Kar<. Koruma Yöntemleri:
Kurumsal olarak;
• Kurumsal olarak zararl" kodlar ile mücade edilmesi için bir politika geli1tirilmelidir.
• Kurumun internet ba0lant" noklar" kontrol edilmeli gelen tüm internet ve a0 trafi0inde
zararl" kod taramas" yap"lmas" ve zararl" kodlar do0rudan bloklanmal"d"r.
• Kuruma ba0lanacak tüm cihazlar (Pc, USB disk, vb.) belli bir politika çerçevesinde
taramal" ve böylece ba0lant"ya izin verilmelidir.
Bireysel olarak;
• Bilgisayarlarda muhakkak firewall program" yüklenmelidir.
• Bilgisayarda muhakkak olarak bir antivirüs, antimalware yaz"l"mlar" yüklenmeli ve

daima güncel tutulmal"d"r.
• 1letim sistemimin yamalar" zaman"nda yap"lmal"d"r. (Auto Update seçilmelidir)
• Bilgisayarlara lisans"z programlar yüklenmemelidir.
• Güvenli olmayan sitelerden yaz"l"m indirilmemelidir.
• Kullan"lan tüm programlar"n güvenlik güncellemeleri takip edilmeli ve zaman"nda

yüklenmelidir.
• E-mail ve eklentilerine dikkat edilmelidir. Bilinmeyen e-posta ve eklentiler aç"lmadan

silinmelidir.
97
Her siteye girilmemelidir. Aç"lan pencereler (popuplar) t"klanmamal"d"r.
7.5 DoS ve Ddos Sald.r.lar.
Dos: DoS (Denial Of Service) yani rervislerin devre d"1" b"rak"mad"r. DoS sald"r"lar"ndan
korunmas" oldukça zordur ancak sald"rmas" kolayd"r. DoS için en basit 1ekilde kar1"
sistemde i1lemekte olan servisleri bloke etmek için yap"lan sald"r"d"r.
DdoS: DdoS (Distributed Denial Of Service)’un i1leyi1 tarz" DoS ile ayn"d"r tek fark"
birden fazla noktadan gerçekle1tirilmesidir. Birden fazla noktadan sald"rman"n en önemli
amac" güçlü bir sald"r" gerçekle1tirmek ve sald"r"y" düzenleyen ki1iyi
gizlemektir.Sald"rgan güvenli0i zay"f bilgisayarlara "zombi" ad" verilen bir çe1it uzaktan
eri1im arac" yükler ve sald"r"y" bu zombi bilgisayarlar sayesinde gerçekle1tirir.
Özellikle DDoS ataklar" servis sa0lay"c"lar"n"n korkulu rüyalar"ndan biridir. DDoS tipi
sald"r"lar özellikle büyük firmalar"n bu tür sald"r"lardan etkilenmesi DDoS ad"n" ön plana
ç"kard" Hatta 2008 y"l"nda Rus hackerlar taraf"ndan Estonya’ya bu sald"r"lar yap"larak
özellikle kamu hizmeti sunan bir çok kurum i1 yapamaz duruma gelmi1ti (Ramses, 2009).
7.6 Güncel Web Tehditleri
Günümüzde ve yak"n gelecekte bir çok kurum i1 ve i1lemlerini web ortam"nda yürüttü0ü veya
yürütece0inden dolay" bu web uygulamalar"na dayal" tehditler de her gün ço0almaktad"r.
Dolay"s" ile bu bu konu da biraz detayland"r"lm"1t"r.
Web uygulamalar"n"n güvenli0iyle ilgili birçok çal"1ma yap"lmaktad"r. Bu çal"1malardan birisi

olan, Mark Curphey taraf"ndan 2001 y"l"nda kurulan, kâr amac" gütmeyen ve herkese aç"k bir
ortam olan OWASP (The Open Web Application Security Project) web uygulama
güvenli0inin art"r"lmas"na yönelik ücretsiz araçlar, standartlar, web uygulamalar" güvenli0iyle
ilgili forumlar"n yap"lmas", makalelerin yaz"lmas" konusunda çal"1maktad"r. Di0er bir çal"1ma
ise 2004 y"l"nda Jeremiah Grossman ve Robert Auger taraf"ndan kurulan ve web uygulamalar"
güvenli0iyle ilgili aç"k standartlar"n geli1tirilmesi, yayg"nla1t"r"lmas" ve kullan"m" gibi
konularda çal"1an Web Uygulamalar" Güvenlik Konsorsiyumudur (The Web Application
Security Consortium-WASC). Kurumsal Bilgi Güvenli0ini üst seviyede etkileyen güncel
tehditler takip eden alt ba1l"klarda k"saca aç"klanm"1t"r [31].
98
7.6.1 Kimlik Do?rulama Tehditleri
Web uygulamalar"nda yer alan kimlik do0rulama mekanizmas"n atlatmak veya istismar etmek
için kullan"labilecek zafiyetlerin olu1turdu0u tehditlerdir. Kimlik do0rulamas"nda “sahip
olunan bir nesne”, “bilinen bir bilgi” veya “sahip olunan bir özellik” kullan"lmaktad"r. Kimlik
do0rulama sald"r"lar", web sitesinin kullan"c", servis veya uygulama kimli0ini do0rulayan
sistemleri hedef alan tehditleri kapsar.
7.6.2 Yetkisiz Eri<im Tehditleri
Yetkilendirme sald"r"lar", bir web uygulamas"n"n kullan"c", servis veya uygulaman"n istenen
bir i1lemi gerçekle1tirmesi için gereken izinleri belirlemek için kullan"lan yöntemleri hedef
almaktad"r. Yetkilendirme tehditlerini, oturum bilgisi tahmin etme, yetersiz yetkilendirme,
yetersiz oturum sonland"rma, oturum sabitleme olmak üzere kendi aras"nda dört grupta
s"n"fland"rmak mümkündür. Yetki veya oturum bilgisi tahmin etme, web uygulamas"n"n
kullan"c"s" rolüne girme veya söz konusu kullan"c"n"n oturumunun ele geçirilmesi yöntemidir.
Yetersiz yetkilendirme, web uygulamalar"n"n daha geni1 eri1im kontrol k"s"tlamalar" gereken
hassas bilgiye, yap"land"rma hatalar"ndan kaynaklanan zay"fl"klardan faydalan"larak eri1me
yöntemidir. Yetersiz oturum sonland"rma, web uygulamalar"n"n yetkilendirme için kullan"lan
eski oturum kimlik bilgisini tekrar kullanma imkan vermesinden kaynaklanmaktad"r. Oturum
sabitleme, daha önceden belirlenen bir oturum numaras"n"n çe1itli yöntemlerle kullan"c"lara
tahsis ettirilmesini sa0lamaktad"r.
7.6.3 Kullan.c. Tarafl. Tehditler
Kullan"c" tarafl" tehditler, web sitesi ve kullan"c" aras"nda kurulan güvenin istismar edilmesi
üzerine odaklan"r. Yasal olan web siteleriyle, kullan"c"lar" aras"nda teknolojik ve psikolojik
bir güven kurulmaktad"r. Kullan"c", web uygulamalar"n"n geçerli içerik sunmas"n" beklerken
web uygulamas"ndan herhangi bir sald"r" gelmesini beklemez. çerik sahtecili0i (Content
Spoofing) ve siteler aras" kod çal"1t"rma (Cross Site Script-XSS) kurumsal bilgi güvenli0ini
etkileyen kullan"c" tarafl" tehditlerdir. çerik sahtecili0i, kullan"c"n"n ziyaret etti0i dinamik
içerikli web sitesinde harici olarak çal"1an web uygulamas"n"n ziyaret edilen web sitesinin
resmi içeri0i oldu0una inand"r"lmas"n sa0layan sald"r" yöntemidir. Bu yöntem kullan"c" ile
web sitesi aras"ndaki güveni istismar ederek giri1 formlar", tahrif edilmi1 içerik ve yanl"1
yay"n sürüm bilgileri içeren sahte web siteleri olu1turmak için kullan"lmaktad"r. Siteler aras"
99
kod yazma, kullan"c" ile web sitesi aras"ndaki güven ili1kisi istismar edilerek, web sitesinin
sald"rgan taraf"ndan belirlenen çal"1t"r"labilir kodu kullan"c"ya göndermesi ve bu kodun
kullan"c" web taray"c"s"nda yüklenerek çal"1mas"yla gerçekle1mektedir.
7.6.4 Komut Çal.<t.rma
Komut çal"1t"rma, web uygulamalar"nda uzaktan çal"1t"r"lan komutlar yard"m"yla yap"lan

tehditlerdir. Web uygulamalar" HTTP üzerinden gelen istekler (kullan"c" girdileri)
do0rultusunda nas"l davranaca0"na karar vermektedir. Ço0u zaman bu kullan"c" girdileri
dinamik web sitesi içeri0inin haz"rlan"lmas"nda kullan"lan komutlar"n çal"1t"r"lmas"n"
sa0larlar. E0er dinamik web sitelerinin içeri0inin haz"rlanmas"nda kullan"lan bu komutlar"n
kodlanmas"nda güvenlik ölçütleri göz önüne al"nmaz ve girdi do0rulu0u s"nanmazsa,
çal"1t"r"lan komutlar"n sald"rganlar taraf"ndan manipüle edilmesi sonucu web siteleri üzerinde
güvenlik ihlalleri olu1ur.
7.6.5 Bilgi Aç.?a Ç.karma
Bilgi aç"0a ç"karma, web uygulamalar"n"n kendisi veya çal"1t"0" platformlarla ilgili sisteme
özel (versiyon, çal"1t"0" platform, yama seviyesi, yedek veya geçici dosyalar"n yeri, vb.)
bilgilerin elde edilmesi için yap"lacak i1lemleri kapsamaktad"r. Ço0u durumda, web
uygulamalar" kendileri hakk"nda bir k"s"m bilgiyi gösterecektir. Ancak burada önemli olan
mümkün oldu0unca, uygulamalar hakk"nda gösterilen bilgilerin boyutu en aza
indirgenmektedir. Uygulamalar ve çal"1t"0" platformlar hakk"nda ne kadar çok bilgi toplan"rsa
sald"rganlar taraf"ndan zafiyetlerin belirlenmesi ve kullan"lmas" da o kadar kolay olur.
7.6.6 Web Uygulamalar.n. Tehdit Eden Sald.r.lar
7.6.6.1 Web Uygulamalar.na Yap.lan Sald.r.lar
Kurum ve kurulu1lar bilgilerini elektronik ortamlara açt"kça, elektronik ortamlarda yap"lan i1

ve i1lemler artmakta kar1"la1"lan tehdit ve tehlikelerde de do0al olarak art"1lar
gözlenmektedir. Son y"llarda yap"lan ara1t"rmalar ve çal"1malar incelendi0inde kurumsal bilgi
güvenli0inin üst seviyede tehdit eden ve korunmas"zl"k seviyesinin en yüksek oldu0u güncel
tehditleri içeren ortam olan web uygulamalar" olarak ifade edilebilir.
Web uygulamalar", güncel bilgiye kurum, kurulu1 veya bireylerin kolayca eri1ebilmesi için en
kolay ve en etkin yöntem olarak kar1"m"za ç"kmaktad"r. Web denilince akla ilk olarak
100
kurumlar"n vitrini ve itibar" haline gelmi1 kurumsal web siteleri gelmektedir. Web üzerinden
verilen hizmetler ço0ald"kça web’e yönelik tehditler ve sald"r"lar da art"1lar
gözlemlenmektedir. Bunun nedeni, web uygulamalar" güvenli0inin ilgisizlikten ve
bilgisizlikten kaynaklanan sebeplerden ötürü yeterince ciddiye al"nmamas" ve güvenli yaz"l"m
geli1tirme tekniklerinin bilinmemesi veya kullan"lmamas" olarak aç"klanabilir. Web sitelerinin
çal"1ma prensipleri güncel web tehditlerinin daha iyi anla1"labilmesi amac"yla k"saca a1a0"da
aç"klanm"1t"r.
Web uygulamalar"n"n üzerinde çal"1t"0" Web dinamik veya statik yap"da çal"1an içerikler
sunmaktad"rlar. Statik yap"da çal"1an web siteleri, kullan"c"dan gelen talepler üzerine ilgili
web sayfalar"n"n gösterilmesini sa0layan statik html kodlar"n içermektedirler. Statik web
siteleri günümüzde yerlerini art"k dinamik içerikli web sitelerine veya portallar"na
b"rakmaktad"r. Dinamik web siteleri, kullan"c" istekleri do0rultusunda çal"1an web
uygulamalar" içermektedir. Dinamik web siteleri üç katmanl" bir yap" içerisinde çal"1maktad"r.
Bu katmanlar a1a0"da maddeler halinde k"saca aç"klanm"1t"r:
1.Web siteleri için taleplerin ba1lad"0" Web taray"c"lar"d"r(Internet Explorer, Mozilla, Firefox,
Chrome vb.). Web taray"c"lar" üzerinden kullan"c"lar, web sunucusuna içerikle ilgili taleplerini
iletirler.
2.Dinamik sayfalar"n üretildi0i uygulama katmand"r (Hypertext Processor-PHP, Active Server

Pages-ASP, Java Server Pages-JSP, WebSphere, ColdFusion, SunONE, vb.).
3. Web uygulamalar" taraf"ndan kullan"lan verilerin depoland"0" veri tabanlar"d"r (My SQL,
Oracle,MS SQL, Informix, DB2 Sybase,vb.).
Dinamik içerikli web sitelerinde, web taray"c"lar" taleplerini web uygulamalar"na ilettikten
sonra bu istekler do0rultusunda veritaban" sorgulamas" yap"l"r ve talep edilen isteklere ait
sonuçlar"n yer ald"0" sayfalar üretilerek, taray"c"lar üzerinde gösterilir. Dinamik içerikli web
sayfalar"n bu esnek çal"1ma yap"s" birçok güvenlik tehdidini ve ihlâllerini beraberinde
getirmektedir. Gartner Grup taraf"ndan yap"lan bir ara1t"rmada bu durum aç"kça ortaya
konmaktad"r. Günümüzde yap"lan sald"r"lar"n %70’i uygulama seviyesindeki ataklardan
kaynaklanmakta ve ticari içerikli web sitelerin %75’i ise korunmas"z durumdad"r [32]. Web
uygulamalar"nda olu1abilecek bir zafiyet, güvenlik önlemlerini (güvenlik duvar", sald"r" tespit
ve önleme sistemleri, vb.) devre d"1" b"rakarak güvenilir bölgede yer alan sistemleri üst
101
düzeyde tehdit etmektedir.
7.6.6.2 Web Uygulama Sald.r.lar.na (tehdit) Örnekler
a.1 XSS Sald.r.lar.
XSS sald"r"lar", web sitesinin sald"rgan taraf"ndan belirlenen çal"1t"r"labilir kodu normal bir
kullan"c"ya göndermesi ve bu kodun kullan"c" web taray"c"s"nda yüklenerek çal"1mas"yla
gerçekle1en bir sald"r" çe1itidir.
a.2 çerik Sahtecili?i
çerik sahtecili0i, kullan"c"ya bir web sitesindeki belirli içeri0in me1ru oldu0una ve bu içeri0in
harici bir kayna0a ait olmad"0"na inand"r"lmas"n" sa0layan bir sald"r" tekni0idir.
a.3 Komut Çal.<t.r.larak Gerçekle<tirilen Sald.r.lar
Uzaktan çal"1an komutlarla yap"lan sald"r"lard"r. Bütün web siteleri talepleri kar1"lamak için
kullan"c" girdilerinden faydalan"r. Ço0u zaman bu kullan"c" girdileri dinamik web sitesi içeri0i
haz"rlamada kullan"lan komutlar"n olu1turulmas"nda kullan"l"r. E0er bu i1lem güvenli bir
1ekilde yap"lmazsa, sald"rgan komut çal"1t"rma i1lemini de0i1tirebilir
a.4 Ara Bellek Ta<mas. - Buffer Overflow
Buffer overflow sald"r"lar", haf"zan"n baz" bölümlerinin üzerine yazarak uygulaman"n ak"1"n"
de0i1tiren sald"r"lard"r. Hata ile sonuçlanan genel bir yaz"l"m kusurudur. Bu hata durumu,
ayr"lan yerden daha çok veri haf"zada bir yere yaz"ld"0"nda olu1ur. Bellek ta1t"0"nda, kom1u
haf"za bölgelerinin üzerine yaz"larak hatalara veya çökmelere neden olunur. Bellek
ta1mas"n"n, haf"zay" bozmas" yaz"l"m"n çökmesi ile sonuçlan"r ve bu 1ekilde hizmet d"1"
sald"r"s" olarak kullan"labilir.
a.5 SQL Enjeksiyonu
SQL enjeksiyonu, kullan"c" kaynakl" girdilerden SQL cümleleri olu1turan web sitelerini
sömürmek için kullan"lan bir sald"r" tekni0idir.
7.7 Veritaban. Güvenli?i
7.7.1 Veritaban.
Veri taban", en geni1 anlam"yla; birbiriyle ili1kili verilerin tekrara yer vermeden, çok amaçl"
kullan"m"na olanak sa0layacak 1ekilde depolanmas" olarak tan"mlanabilir.
102
Veri taban" veya Veritaban" düzenli bilgiler toplulu0udur. Kelimenin anlam" bilgisayar
ortam"nda saklanan düzenli verilerle s"n"rl" olmamakla birlikte, daha çok bu anlamda
kullan"lmaktad"r. Bilgisayar terminolojisinde, sistematik eri1im imkân" olan, yönetilebilir,
güncellenebilir , ta1"nabilir, birbirleri aras"nda tan"ml" ili1kiler bulunabilen bilgiler kümesidir.
Bir ba1ka tan"m" da, bir bilgisayarda sistematik 1ekilde saklanm"1, programlarca i1lenebilecek
veri y"0"n"d"r.
7.7.2 Veri Taban. Yaz.l.mlar.
Verileri sistematik bir biçimde depolayan yaz"l"mlara verilen isimdir. Birçok yaz"l"m bilgi
depolayabilir ama aradaki fark, veri taban"n bu bilgiyi verimli ve h"zl" bir 1ekilde yönetip
de0i1tirebilmesidir. Veri taban", bilgi sisteminin kalbidir ve etkili kullanmakla de0er kazan"r.
Bilgiye gerekli oldu0u zaman ula1abilmek esast"r.
Örnek yaz"l"mlar a1a0"daki gibidir:
• MySQL
• Oracle
• MS-SQL
• Sybase
• DB2
• Informix
• Postgresql
• Filemaker
• Berkeley
• Firebird
• Ms access
7.7.3 Veri Taban.na Eri<im ve Güvenlik
Kurum ve kullan"c"lara hizmet veren, ürün sunan, sipari1 alan, sat"1 yapan, ba1vuru alan, kay"t
yapan, sorguya izin veren web uyglamalar" ve di0er özel kullan"c" arayüzü üzerinden hizmet
veren uygulamalar"n beslendi0i bir veritaban" günümüzde art"k neredeyse uygulamalar"n
arayüzlerinin tamam" web arayüzü üzerinden hizmet vermektedir. Genel olarak, web
sitelerindeki form arac"l"0" ile al"nan girdi ile veritaban"ndaki bilgiler filtrelendikten sonra
103
sonucu kullan"c"ya gönderme i1lemine veriban"na eri1im i1lemi olarak alg"lan"r. Bu genellikle
yap"sal sorgulama dili (Structured Query Language - SQL) yap"lmaktad"r. Uygulama
içerisinde kullan"lacak parametre de0erleri al"n"rken kullan"lan formun SQL deyimini yeniden
yap"land"rabilecek baz" özel karakterlere izin vermesiyle güvenlik problemleri ortaya
ç"kmaktad"r. Bu güvenlik problemleri günümüzde en güncel ve en çok suistimale aç"k
durumlard"r.
Bu güvenlik problemleri kullan"larak bir uygulaman"n arkas"nda, bu uygulamaya destek veren

veri taban" üzerindeki bütün bilgilere ula1"labilir veya bilgiler üzerinde de0i1iklik yap"labilir.
Veya veri taban" sisteminin komutlar" kullan"larak kullan"lan sunucular üzerinde uygulama
harici istenen i1lemler de yap"labilir. Bu problemlerden korunmak için de uygulama
girdilerini bu tür karakterlere kar1" kontrol eden fonksiyonlar"n kullan"lmal" ve geni1 çapl"
uygulamalar"n bu güvenlik aç"klar"n" ta1"y"p ta1"mad"0"n" anlamak için güvenlik denetimine
tabi tutulmal"d"r.
Veritaban" güvenli0ini, sistem güvenli0i ve veri güvenli0i 1eklinde iki kategoriye ay"rabiliriz.
Sistem güvenli?i, kullan"c" yaratma, de0i1tirme, silme vb. yetkileri tan"mlayan ve
veritaban"n"n sistem seviyesinde kullan"m"yla ilgili mekanizmalar" kontrol eder. Sistem
güvenli0i mekanizmalar" 1unlar" kontrol eder:
Örne0in, do0ru kullan"c" ad" ve 1ifreleri, kullan"c"ya ait 1ema nesneleri için ayr"lan yer
miktar", kullan"c" için ayr"lan kaynak miktarlar".
Veri güvenli?i, veritaban"n"n 1ema nesneleri seviyesinde kullan"m"yla ilgili mekanizmalar"

kontrol eder. Örne0in, kullan"c" hangi 1ema nesnelerine eri1ebilir, kullan"c" belli bir 1ema
nesnesi üzerinde hangi i1leri yapmaya yetkilidir.
7.7.4 Veritaban. Güvenli?ini çin Yönetilmesi Gereken Unsurlar
7.7.4.1 Veritaban. Kullan.c.lar. ve emalar.
Bir kullan"c"n"n veritaban"na ba0lanabilmesi için veritaban"nda tutulmakta olan geçerli bir
kullan"c" ad" ve 1ifresi vermelidir. Kullan"c"n"n yapabilece0i i1lemlerin olu1turdu0u kümeye
kullan"c"n"n güvenlik alan" denir. Default (kurulumla beraber gelen) gelen kullan"c"lar"n
haklar" k"s"tlanmal" ve 1ifreleri de0i1tirilmelidir. Kullan"lmayan kullan"c"lar devre d"1"
b"rak"lmal"d"r.
104
7.7.4.2 Yetkilenedirme ve Yetkiler
Yetki, belli bir tipteki SQL cümlesini çal"1t"rabilme hakk"d"r. Örne0in, veritaban"na
ba0lanabilme, kendi 1emas" içinde tablo yaratabilme veya bir ba1kas"na ait olan tabloyu
sorgulayabilme. ki tür yetki vard"r. Bunlar sistem yetkileri ve 1ema yetkileridir. Sistem
yetkileri, sistem genelinde yap"lacak i1ler içindir ve genelde sadece sistem yöneticilerine
verilir. ema yetkileri, belirli bir 1emadaki belirli bir nesne üzerinde yap"labilecek i1ler için
verilir. Bu yetkiler direk olarak kullan"calara verilebildi0i gibi yetkiler kümesi olarak
tan"mlanabilecek olan roller arac"l"0"ylada verilebilir. Ancak yetkilerin roller üzerinde
verilmes güvenlik aç"s"ndan daha yararl"d"r.
7.7.4.3 Roller
Roller, kullan"c"lara ve di0er rollere verilecek, birbiriyle alakal", isimlendirilmi1 yetkiler

kümesidir. Yetkilerin yönetimini roller arac"l"0"yla yap"lmas" hem yönetimi kolayla1t"rmakta
hem de daha güvenli bir yap"ya geçmeye izin vermektedir.
7.7.4.4 Depolama Ayarlar. ve Kapasite Limitleri
Her kullan"c" yarat"l"rken bir varsay"lan birde geçici tablespace ile ili1kilendirilmelidir. Bir
nesne yarat"laca0" s"rada e0er tablespace ad" belirtilmezse kullan"c"n"n varsay"lan
tablespace’inde yarat"l"r. Bir SQL cümlesi çal"1t"r"l"rken geçici segmente ihtiyaç duyulursa bu
kullan"c"n"n ili1kilendirilmi1 oldu0u geçici tablespace içinde yarat"l"r. Kullan"c"lar"n
tablespaceler içinde kullanabilecekleri yer miktar" ise o kullan"c"ya o tablespace üzerinde
verilmi1 kotayla s"n"rl" olmal"d"r.
7.7.4.5 Profiller ve Kaynak Limitleri
Veritaban" kaynaklar"n"n gereksiz yere harcanmamas" için her kullan"c"ya kaynak kullan"m
limitlerini belirleyen bir profil atanmal"d"r. Kaynaklar"n kullan"m" ve limitleri güvenlik
aç"s"ndan önemlidir. Profilin içerece0indeki kaynaklardan baz"lar" 1unlard"r:
• Kullan"c"n"n ayn" anda açabilece0i maksimum oturum say"s"

• Kullan"c"n"n oturumu ve çal"1t"raca0" SQL cümleleri için kullanabilece0i CPU zaman"
ve manat"ksal giri1 ç"k"1 miktar"
• Kullan"c"n"n bir i1 yapmadan bekleyebilece0i süre
• Kullan"c"n"n ba0l" kalabilece0i süre
105
• Kaç ba1ar"s"z ba0lanma denemesinden sonra kullan"c" hesab"n"n kilitlenece0i, 1ifrenin

ne kadar süre geçerli oldu0u veya ne tür 1ifrelere izin verilece0i gibi 1ifre k"s"tlamalar"
7.7.4.6 Kullan.c.n. Hareketlerinin Denetlenmesi
Üç farkl" seviyede denetleme yap"labilir. Bunlar cümlelerin, yetkilerin ve 1ema nesnelerinin

denetlenmesidir. Cümle denetlemesi, belli veya tüm kullan"c"lar"n belirli tipteki SQL
cümlelerinin denetlenmesini sa0lar.
Yetki denetlemesi, belli veya tüm kullan"c"lalar"n sistem yetkilerini kullan"mlar"n"n

denetlenmesini sa0lar. ema nesnelerinin denetlenmesi, belli 1emalardaki belli nesneler
üzerinde yap"lacak i1lerin denetlenmesini sa0lar.
Denetlemeler sonucunda elde edilen bilgiler denetleme tablolar"na yaz"l"r. Kullan"c"lar

tan"mlayacaklar" veritaban" tetikleri ile daha karma1"k denetleme mekanizmalar" kurabilirler.
7.7.4.7 Detayl. Denetleme
Eri1ilen verinin içeri0ine göre denetleme yap"lmas"n" sa0lar. Denetleme s"ras"nda önceden
belirlenen durumlar tespit edildi0inde kullan"c"n"n bu durum için tan"mlad"0" veritaban"
prosedürlerinin ça0r"lmas" sa0lanabilir.
7.7.5 Veritabanlar.n. Tehdit Eden Durumlar
nternet üzerinden veri payla1"m" artt"kça veri güvenli0inin sa0lanmas" önemli bir olgu
haline gelmi1tir. Bili1im sistemlerini çökertmek, yava1latmak üzerine yap"lan sald"r"larla

birlikte de0erli olan bilgilerin çal"nmas"na yönelik sald"r"lar daha tehlikeli hale gelmi1tir.
De0erli olan bilgilere günümüzde örnek olarak kredi kart" bilgileri ve banka hesaplar"
verilebilir [33].
D"1 sald"r"lara kar1" güvenlik duvar", sald"r" önleme sistemleri, antivirus ve antispyware gibi
çe1itli programlar, SSL (secure socket layer) benzeri 1ifreleme yöntemleri ve kullan"c"
haklar"n k"s"tlanmas" gibi yapt"r"mlar mevcuttur .Veri taban"ndan bilgi h"rs"zl"0"na kar1"
yap"labilecek haz"r yaz"l"m tarz"nda çok fazla ürün bulunmaktad"r. Tasar"mlar"na ba0l" olarak
güvenlik duvarlar" genelde iç bilgisayarlara her türlü hakk" verirken, SSL tarz"nda
uygulamalar verinin 1ifrelenmesi ve ba1ka ki1iler taraf"ndan okunmas"n" engellenmesi
amac"na yönelik oldu0undan veri tabanlar"na kar1" yap"lan sald"r"lara yapt"r"mlar" çok fazla
de0ildir.
106
Veri sorgulamas"na ve giri1ine izin verilen herhangi bir kullan"c" sistemin içinde kabul edilir.
Veritaban" uygulamalar"nda veritaban" genelde sunucu bilgisayar (server) üzerinde
bulunmakta ve istemci bilgisayarlardan (client) veri giri1i veya sorgulamas" yap"lmaktad"r.
nternete ortam"na hizmet veren sunucu tabanl" uygulamalardan ASP (Active Server Page) ve
PHP (Hypertext Preprocessor) en fazla bilinenleridir. ASP ve PHP tabanl" web programlar",
derlenmi1 kendi ba1"na çal"1abilen (executable binary) dosya yaratmadan web üzerinde
kullan"m sa0larlar (Clarke, 2009).
ASP ve PHP sunucu tabanl" uygulamalarla beraber çal"1an SQL (Structured Query Language)
veri tabanlar" veri giri1ini ve sorgulamas"n" kolayla1t"r"r. SQL veri tabanlar"na MySQL,
PostgreSQL,MS SQL ve Oracle örnek gösterilebilir. Microsoft Internet Explorer veya Firefox
gibi herhangi bir taray"c" (browser) arac"l"0"yla bu veri tabanlar"na veri girilebilir veya veri
tabanlar"ndan veri sorgulanabilir. Veri giri1inin ve sorgusunun h"zland"r"lmas" amac"yla
sunucu tabanl" bilgisayarlarda PHP ve ASP gibi kolay hayata geçirilen uygulamalar baz"
temel kurallara dikkat edilmezse veri taban"na kar1" sald"r"lara aç"k vermektedir.
Sunucu temelli SQL veri tabanlar" ile beraber kullan"lan PHP ve ASP uygulamalar"
programc"l"k hatalar"ndan (bug) ba1ka güvenlik sorunlar" olabilmektedir.
ASP ve PHP temelli uygulamalarda veri tabanlar"ndaki de0erli bilgilere izinsiz ula1maya
olanak veren tasar"m bo1luklar" bulunabilmektedir. Veri giri1i ve sorgulamas" için geli1tirilen
uygulaman"n bir an evel uygulamaya konulma iste0i güvenlik aç"klar"n" ortaya
ç"karabilmektedir.. Veri tabanlar"nda ihtiyaç duyulan güvenli0inin sa0lanmas", kullan"lacak
uygulaman"n tamamlanma süresini uzatmaktad"r. Tasar"m a1amas"nda uygulamada yap"lan
güvenlik aç"kl"klar", uygulaman"n kullan"lmas" s"ras"nda sorunlara yol açabilmektedir.
Veri tabanlar"ndaki aç"klar kredi kart" bilgileri gibi de0erli bilgilerin veya adli sicil gibi ki1isel
bilgilerin çal"nmas"na neden olmaktad"r.
Yukar"da bahsedilen aç"klardan yararlanarak SQL injeksiyonu ile araya girerek SQL
cümlecikleri ile verileri izinsiz bir 1ekilde alma riski en güncel konulardan birisidir
7.7.5.1 SQL Enjeksiyon Tehditlerine Kar<. Uyulmas. Gereken Kurallar
Veritabanlar"na yönelik güvenlik çözümleri veya uyulmas" gereken kurallar a1a0"da
Listelenmi1tir [33].
107
1. Veri giri1i ve sorgulamas"nda kullan"lacak uygulamas"n"n Web Taray"c"s" (Web Browser

örnek Microsoft nternet Explorer, Firefox ) üzerinden girilirken adres çubu0unun
kald"r"lmas". Adres çubu0u internet taray"c"s"ndan kald"r"larak bütün i1lemlerin internet
taray"c"s" üzerinden yap"lmas"n"n sa0lanmas", d"1ar"dan yap"lacak müdahalelerin büyük bir
k"sm"n" engelleyecektir.
2. Veri taban"na ba0land"ktan sonra SQL ifadelerine ba0l" herhangi bir hata mesaj"n"n (error
message) internet taray"c"s"na veya uygulamaya yönlendirilmemesi. Hata mesaj"n"n internet
taray"c"s"na yönlendirilmemesi veritaban"na s"zmak isteyen ki1ilerin hangi konumda
olduklar"n" ö0renmemelerini sa0layacakt"r.
3. ComboBox ve ListBox’lardaki veri taban" ismi ile sunucu veri taban" isminin ayn"
olmamas" ve veri giri1i yap"lan yer adlar" ile veri taban"ndaki de0i1ken (variable) isimlerinin
ayn" olmamas". nternet taray"c"lar"n"n tercihlerini bulunduran ComboBox ve ListbBox’lar
veritaban" ve de0i1kenlerle ayn" isime sahip olursa veritaban"na ula1"lmas" kolayla1acakt"r.
4. Veri tabanlar"nda veri giri1inde ve sorgulanmas"nda çapraz veritabanlar" ve tablolar"n
kullan"lmas". Veritaban"ndan bilgi istendi0inde veya bilgi gönderildi0inde bir yerine birkaç
veri taban" kullan"lmas" ve bunlar aras"nda do0ruluk kar1"la1t"r"lmas" yap"lmas" güvenli0i
artt"racakt"r.
5. Kullan"c" haklar"n"n çapraz veri tabanlar" için ayr" ayr" tan"mlanmas". Kullan"lacak birden
fazla veritaban" için her a1amada kullan"c" haklar"n"n ayr" ayr" tan"mlanmas" gerekmektedir.
E0er bu i1lem bir tek veritaban" üzerinden yürütülürse ve güvenli0in sa0land"0" veritaban"na
s"z"lacak olursa bütün veritaban"n"n güvenli0i tehlikeye dü1ecektir. E0er di0er
veritabanlar"nda da güvenlik tedbirleri olursa s"zma i1lemi gerçekle1tirilmeyecektir. Di0er
veritabanlar"nda güvenlik sa0layaca0"ndan bir veritaban"na s"zmak bilgi s"zd"rmak için yeterli
olmayacakt"r.
6. Veri giri1i yapan ki1inin okuma (read access), yazma (write access) hakk"n"n olmas"
de0i1tirme hakk"n"n süreli olmas".
7. Veri giri1i yapan ki1ilerin yanl"zca kendi girdikleri verileri okuyabilmesi. 6. ve 7. maddeler
temelde analizlere yönelik istatistksel veritabanlar" için geçerlidir. Daha önce girilmi1 ve
do0rulu0u kabul edilmi1 bilgilerin yanl"1l"kla silinmesini engelleyecektir. Hatal" giri1ler için
108
de0i1terme hakk" süreli oldu0undan daha sonra do0ru kabul edilen bilgi üst makamlarca
de0i1tirilebilecektir.
8. Veri giri1i hakk", okuma hakk", de0i1tirme hakk" yanl"zca bir yönetici (veya merkez)
taraf"ndan verilmesi ve hakklar"n verilece0i ki1ilerin önceden belirlenmesi. Bu yöneticinin
veri taban" güvenlik denetleme (auditing) i1ine dahil edilmemesi. Kullan"c"lar"n haklar" bir tek
merkezden verilmeli ve verilen okuma, yazma, de0i1tirme haklar" kay"t alt"na al"nmal"d"r.
9. Veri giri1inde veri girenlerin kulland"klar" SQL ifadelerinin (SQL statement) hepsinin ayr"
ayr" seyir dosyas"na (log file) yaz"lmas". Veri taban"yla yap"lacak her türlü i1lem sunucu
taraf"ndan kay"t edilmelidir. Bu sayede veritaban"nda meydana gelecek hata takip
edilebilecektir.
10. Taray"c"dan gelebilecek SQL komutlar" uzunluklar" yaz"l"m taraf"ndan kontrol edilmelidir.
Veritaban"na s"zmak isteyen birisi SQL komutunu de0i1tirecektir. nternet üzeriden gelen
SQL komut uzunluklar" kontrol mekanizmas" alt"na al"nacak olursa bir çok sald"rgan devre
d"1" kalacakt"r.
11. Güvenlik denetleyecilerin hatal" veri giri1lerini, veri giri1çisinin i1i bittikten sonra veriyi
kontrol etmesi. statistiksel veri tabanlar"nda güvenlik denetçileri girilen veriyi kontrol ederek
kullan"ma haz"r bir hale getirmeleri gerekmektedir.
12. Veri giri1çi kendisine ait veri giri1i parças"n" bitirdikten sonra veri güvenlik denetçisinin
yedekleme (backup) i1lemi yapmas". Say"sal ortama kaydedilen bilgileri güvenlik alt"nda
tutman"n en iyi yolu yedeklenmesi ve yede0in yedeklenmesidir.
13. statistiksel analiz için kullan"lacak veritaban"n"n, web uygulamalar"ndan elde edilecek ve
as"l olarak kullan"lacak veri veritaban"ndan izole edilmesi. As"l verinin veri taban"na yönetici
ve güvenlik denetçileri taraf"ndan düzenlenmesi.
14. As"l olarak kullan"lacak veri taban" üzerinde yönetici hariç hiç bir veri güvenlikçinin
yazma ve silme hakk"n"n olmamas", de0i1tirme hakk"n"n ise ayn" anda iki veya üç veri
güvenlikçinin 1ifresi girildikten sonra veya veri güvenlikçisi ve yönetici 1ifresiyle elde
edilebilmesi.
Internet üzerinden geli1tirilen uygulamalarda, veritabanlar" uygulaman"n son noktas"d"r.

Bilgili ve deneyimli bir sald"rgan e0er uygulama üzerinde bir bo1luk bulursa veritaban"ndaki
109
bilgilere ula1makta zorlanmayacakt"r. Sald"rgan elde edebilece0i yetkilerle giri1lerini standart

kullan"c" gibi gösterecek ve saklanmas" kolayla1acakt"r. Veritabanlar"n" korumak için
uygulanacak önlemler uygulaman"n i1leme konma ve kullan"ma aç"lama süresini ayr"ca
maliyeti artt"racakt"r. Artan süre ve maliyete kar1"l"k eldeki de0erli bilgilerin d"1ar" s"zmas"n"
engelleyecektir di0er bir deyi1le güvenli0in derecesi artacakt"r.
7.7.6 Veritaban. Zaafiyetlerini Ölçmeye Yarayan Araçlar
1.Metasploit Framework, üretilmi1 güvenlik araçlar" ve exploit’ler için geli1tirilmi1 bir

platformdur. Network ve güvenlik uzmanlar" taraf"ndan penetrasyon testleri gerçekle1tirmek,
sistem uzamanlar" için patch kurulumlar"n" kontrol etmek, ürün geli1tirenler için regression
testleri gerçekle1tirmek için kullan"labilecek bir framework’tür. Bu framework Ruby
programlama diliyle yaz"lm"1 ve C ve assembker ‘da yaz"lm"1 kompanetler içerir.
2.Scrawlr – SQL Injection arama arac"d"r.
3.DB Audit v4.2.24.8, Database Denetleme Uzmanlar"n"n Oracle, Sybase, DB2, MySQL ve
Microsoft SQL Server database’leri için profesyonel bir denetleme çözümüdür. Bu araçla
database güvenlik ihtiyaçlar"n""z" çoklu denetleme metodlar"yla iyi bir yap"ya getirilebilir.
4.Sqlmap , SQLmap Python programlama dilinde geli1tirilmi1 bir otomatik SQL Injection
arac"d"r. Web uygulamalar"ndaki SQL Injection aç"klar"n" tespit edip yararlanmay"
hedeflemektedir. Hedef sistemde bir veya daha fazla SQL Injection tespit etti0inde, kullan"c"
arka-plandaki veritaban" sunucusu bilgisi alma, DBMS oturumu kullan"c" ve veritaban" alma,
kullan"c" listesi alma, 1ifre hash’lerini alma, imtiyazlar, veritabanlar" ve DBMS
tablo/kolonlar"n"n tamam"n"n listesini alabilme, kendi istedi0i SQL SELECT komutlar"n"
çal"1t"rabilme, dosya sistemindeki istedi0i dosyay" okuyabilme gibi çok çe1itli seçenekler
aras"ndan istedi0ini seçebilmektedir.
7.8 Sosyal Mühendislik Tehditleri
Sosyal Mühendislik, Bilgisayar güvenli0i terimleriyle Sosyal Mühendislik, insanlar aras"ndaki

ileti1imdeki ve insan davran"1"ndaki modelleri aç"kl"klar olarak tan"y"p, bunlardan
faydalanarak güvenlik süreçlerini atlatma yöntemine dayanan müdahalelere verilen isimdir.
Di0er bir deyi1 ile teknik olmayan yöntemler ile bilgi elde etmektir.
Tehditleri tipleri a1a0"daki gibidir.:

110
• Sahte senaryolar uydurmak kullan"c"lardan bilgi elde etmek (pretexting),

• Güvenilir bir kaynak oldu0una dair kullan"c"lar" ikna etmek (phishing),
• Truva atlar" (trojan) kullanarak kendini oldu0undan ba1ka (arkada1", müdür gibi
tan"tmak ve bilgi alaca0" kullan"c"y" ikna etmek) göstererek bilgi elde etmek,
• Güvenilir bilgi kar1"l"0"nda yard"m, para, e1antiyon, hediye, önermek
• Güven kazanarak bilgi edinmek,
• Omuz sörfü (kullan"c" farketmeden arkadan izlemek),
• Eski ve kullan"lmayan donan"mlar" incelemekle içindeki bilgilere eri1mek,
• Çöp kutular" kar"1t"r"rak bilgi veye bilgiye eri1im yöntemleri hakk"nda bilgi elde
etmek gibi.
7.9 Güncel Tehditlerle lgili Genel De?erlendirme
Kurumsal bilgi güvenli0i tehditlerinin a0 ve sistemlerden web uygulamalar"na do0ru h"zl" bir
1ekilde kaymakta oldu0u görülmektedir. Dünyada oldu0u gibi ülkemizde en fazla güvenlik
aç"0"na web uygulamalar"nda rastlanmaktad"r. Kurumlar"n genelde s"n"r a0 güvenli0inin
sa0lanmas"yla ilgili çözümleri olarak fark"nda olduklar" güvenlik sistemleri güvenlik duvar",
sald"r" tespit sistemleri, sald"r" önleme sistemleri, anti-virüs programlard"r. Öte yandan son
2008 ‘den beri de veri kayb" önleme (Data Loss Prevention) sistemleri geli1mektedir. Ancak
web uygulama güvenli0i kavram"n"n dünyada oldu0u gibi ülkemizde de, uygulamay"
geli1tiren yaz"l"mc"lar"nda dahil oldu0u büyük bir ço0unluk taraf"ndan tam olarak
uygulanamad"0" görülmektedir.
Kurum veya kurulu1lar"n üst düzeyde bilgi güvenli0ini ve i1 süreklili0ini sa0lamalar" için
standartlar çerçevesinde teknik önlemlerin uygulanmas"n"n yan"nda teknik olmayan (insan
faktörü, prosedürel faktörler, vb.) önlemlerin ve denetimlerin al"nmas", tüm bu süreçlerin
devaml"l"0"n"n sa0lan"lmas" ve bilgi güvenli0i standartlar"na uygun olarak yönetilebilmesi
amac"yla yönetim taraf"ndan desteklenen insanlar", i1 süreçlerini ve bili1im teknolojilerini
kapsayan bilgi güvenli0i standartlar"na uygun olarak BGYS kurmalar" gerekmektedir.
2005- 2006 y"l"nda yayg"n olarak kullan"lan ve özellikle 2006 y"l"n"n son aylar"na damgas"n"
vuran sazan avlama (phishing) sald"rganlar taraf"ndan kullan"lan etkili bir sald"r" yöntemidir.
Ülkemizede özellikle bankalar"m"z bu phishing konusunda zaman zaman zor durumda
kald"r"lar. Bununla ilgili olarak banka mü1teri de zaman zaman bu sald"r"lar"n kurban" oldular.
111
zor durum Bu yöntem günümüzde de halen kullan"lmaktad"r . Sazan avlama çal"1ma grubu
(Anti-Phishing Working Group) taraf"ndan Temmuz 2006 tarihinde yay"nlanan ayl"k rapora
göre 14,191 web sitesi üzerinde kimlik h"rs"zl"0", soygun ve di0er kötücül amaçlar için
kullan"lan 23,670 tekil sazan avlama vakas" tespit edilmi1tir (Carver ve Ferguson,2007).
Bilgi güvenli0i alan"nda ya1anan güvenlik ihlallerinin giderek artan bir bölümü a0, ve
sistemlerden uygulamalara hatta veritabanlara do0ru kaymaktad"r. Kurum baz"nda veya birey
baz"nda güvenli ortamlarda i1 yapma ihtiyaç ve istekleri her geçen gün h"zla artmakta,
kullan"lan yaz"l"mlar"n güvenli0i bilgi güvenli0inin sa0lanmas"nda anahtar rol oynamaktad"r
[34]. Y"llar içerisinde a0 ve sistemlerin güvenli0inin sa0lanmas"na ili1kin geli1tirilen
yöntemler kurumlar taraf"ndan ba1ar"yla uygulanm"1 ve S"n"r A0 Güvenli0i (Perimeter
Network Security) kavram"n"n önemi ço0u kurum taraf"ndan anla1"lm"1 ve gerekleri yerine
getirilmi1tir. Ancak benzer durumu uygulama ve veritaban" güvenli0i için belirtmek henüz
zordur. Bilgi güvenli0inin sa0lanmas"nda uygulama ve veritaban" güvenli0i merkezi kritik bir
öneme sahiptir (Mcgraw, 2010).
Cenzic firmas"n"n OWASP, SANS, OSVDB, Symantec ve US-CERT kaynaklar"na dayanarak

haz"rlad"0" raporlar günümüzde a0 ortamlar"nda çal"1an ki1iler ve di0er uygulamalar
taraf"ndan eri1ilebilen uygulama yaz"l"mlar"ndaki güvenlik zafiyetleri bilgi güvenli0i
tehditlerinin ba1"nda geldi0i ve web uygulamalar"nda güvenlik zaafiyetlerin ve tehditlerin
zamanla att"0" görünmektedir [35].
ekil 7.9.1.Web uygulamalar"n"n zaafiyetleri art"1"

112
Gartner, IDC ve Deloitte raporlar" incelendi0inde 2008 y"l"ndan itibaren geli1mi1 ülke ve
ekonomileri dahil tüm dünyay" etkileyen ve halen devam eden global krizle ile beraber kurum
ve kurulu1lar"n güvenlik teknolojilerine yeterli ölçüde yat"r"m yapmad"klar" görülmektedir.
Deloitte firmas"n"n Teknoloji, Medya ve Telekomünikasyon (TMT) 1irketlerini kapsayan bilgi
ve bili1im güvenli0i konusunda ilginç bulgulara eri1en Küresel Güvenlik 2010 Ara1t"rmas"'na
göre; son bir y"lda bu 1irketlerin %10’u bili1im güvenli0i bütçelerinde %10’dan fazla art"1a
giderken, %36’s"n"n güvenlik yat"r"m" ise bir önceki y"la oranla %10’un alt"nda kalm"1t"r [36].
Denetim ve dan"1manl"k 1irketi Ernst & Young´"n 11´incisini düzenledi0i "Küresel Bilgi
Güvenli0i Anketi" sonuçlar"na göre de ülkemizde de güvenlik yat"r"mlar"n"n yeterli
yap"lmad"0" görülmü1tür. Türkiye’nin de içinde bulundu0u 50 farkl" ülkede yap"lan ara1t"rma
sonuçlar"na göre, 1irketlerin bilgi teknolojileri ve güvenli0ine dönük yapt"0" yat"r"mlar artt"0"
halde hâlâ ihtiyac" kar1"lam"yor. Ayr"ca ankete kat"lan ço0u kat"l"mc" (yüzde 85), bilgi
güvenli0inde ya1anan sorunlar"n 1irket itibar"n" do0rudan etkiledi0i inanc"n" ta1"d"0"
görülmü1tür [37].
113
8. B LG VARLIKLARIKLARINI KORUMAYI AMAÇLAYAN PENETRASYON

TESTLER
Bilgi güvenli0i yönetim sistemlerinin en önemli unsurlar"ndan birisi denetim ve penetrasyon

testleri (S"zma testleri)dir. Bilginin her gün önemini art"rd"0" günümüzde bilgiyi korumaya
yönelik yap"lan penetrasyon testleri de en popüler konular"ndan biri olmu1tur.
Güvenlik ihlallerinin olu1mas"na sebep olan birçok zafiyet vard"r. Kurumsal bilgi
güvenli0inin yüksek seviyede sa0lanmas"nda bu zafiyetlerin giderilmesi, güvenlik
bile1enlerinin güvenli biçimde kurulumu ve i1letimi kontrollerin etkin biçimde uygulan"p
uygulanmad"g"n" anlaman"n en iyi yolu bilgi sistemlerini denetim ve s"zma testleriyle
(Penetration Testing) test etmektir. S"zma testleri felaket ba1a gelmeden önce, onu önleyecek
ve ona kar1" savunulacak ihtiyaçlar"n ve tedbirlerin al"nmas"nda kullan"lan önemli bir erken
uyar" sistemidir. S"zma testlerinin ba1ar"l" olabilmesi için kurumlar"n güvenli0ine etki eden
faktörlerinin a0"rl"klar" dikkate al"narak kurumlara özgü farkl" senaryolar geli1tirilmesi
gereklidir. S"zma testleri için geli1tirilen senaryolar kurumlarda kullan"lan teknolojilere,
çal"1anlar"n bilgi düzeylerine, kurumsal bilgi güvenli0i seviyesine, bilgi güvenli0i
bile1enlerinin dozuna göre farkl"l"k gösterebilir. Yap"lan ara1t"rmalar sonucunda ülkemizde
s"zma testlerini yapan birçok firma bulunmaktad"r [38].
Ülkemizde bu testi yapan baz" firmlar ile s"zma testleri konusunda görü1meler yap"lm"1 ve
izledi0i yöntemler hakk"nda bilgiler edinilmeye çal"1"lm"1t"r. S"zma testlerini yapanlar"n
geçmi1 bilgilerini ve piyasadaki haz"r araçlar (Nmap, Nesssus,Hping, Unicornscan, Scanrand,
Xprobe, Snort, Qualys, Mcafee Foundstone, Nexpose, Eyee Retina, Inguma, W3af , vs)
kullanarak yapt"klar" tespit edilmi1tir. Tez kapsam"nda yap"lan s"zma testleri sonucunda
kurumlarda görülen en büyük güvenlik aç"0"n"n literatür ve güvenlik firmalar"n yapt"0"
ara1t"rmalarda vurguland"0" gibi web uygulamalar" ve arkas"ndaki veritaban" aç"klar"nadan
kaynakland"0" tespit edilmi1tir. Özellikle kullan"c"dan girdi al"narak dinamik içerik sa0lamak
amac"yla veritaban" deste0i sa0layan uygulama kodlar" (asp, jsp, php, cgi, vb.) web sitelerinin
en zay"f halkalar"n" olu1turmaktad"r. Ülkemizde kobi olarak tan"mlanan orta ve küçük
i1letmelerin sundu0u web uygulamalar"nda bu aç"klar"n büyük ölçekli firmalara göre daha
yüksek oldu0u tespit edilmi1tir.
114
8.1 Penetrasyon Testi
Penetrasyon (S.zma) testi, Belirlenen bili1im sistemlerine mümkün olabilcek her yolun
denenerek s"z"lmas"d"r. Penetrasyon testinde amaç güvenlik aç"kl"0"n" bulmaktan öte bulunan
aç"kl"0" de0erlendirip sistemlere yetkili eri1imler elde etmektir.
Penetrasyon test çe<itleri, Whitebox, blackbox, graybox olmak üzere genel kabul görmü1 üç
çe1it test vard"r. Bunlardan blackbox genelde bilinen ve uygulanan penetrasyon test
yöntemidir. Bu yöntemde testleri gerçekle1tiren firmayla herhangi bir bilgi payla1"lmaz.
Firma ismi ve firman"n sahip oldu0u domainler üzerinden firmaya ait sistemler belirlenerek
çal"1ma yap"l"r. Di0er yöntemlerde ise penetrayon testi yapacak firmayla belirli bilgiler
payla1"l"r.
Penetrasyon test, Vulnerability assessment kavramlar"ndan fark" nedir?
Vulnerability Assessment(zaafiyet tarama), Belirlenen sistemlerde güvenlik zaafiyetine

sebep olabilecek aç"kl"klar"n ara1t"r"lmas". Bu yöntem için genellikle otomatize araçlar
kullan"l"r(Nmap, Nessus, Qualys vs).
8.2 Penetrasyon Testi Bilgi Güvenli?i çin Neden Önemlidir
Kurumlar"na sahip oldu0u bili1im sistemlerindeki güvenlik zaafiyetlerinin üçüncü bir göz
taraf"ndan kontrol edilmesi ve zaafiyetlerin raporlanmas" ile kurumda bir fark"ndal"k
olu1tururur ve kurum hemen önlem alabilir. Kurumsal bilgilerin ve sistemlerin artmas" ile bu
sistemleri yönetenlerin gözden kaç"rd"0" zaafiyetlerin tespit edilmesi için aç"s"ndan
penetrasyon testlerin yap"lmas" önem arzetmektedir. leti1im ortamlar"n geli1mesi ve
hackerlerin say"s", bilgisi ve becerisi artmas" ile bu önem daha da atrmaktad"r. Kurum
hackerlara yem olmadan kendi güvenli0i için beyaz 1apkal" hackerlara kendi sisteminin
önceden test ettirmesi yerinde bir önlem olacakt"r.
8.3 Penetrasyon Testi Sonras. zlenmesi Gereken Yol
Penetraston testi yapt"rmak ne kadar önemliyse sonuçlar"n" de0erlendirip aksiyon almak o

kadar önemlidir.
• Penetsyon testin raporlar"n"n üst yönetimle payla1"l"p yönetim deste0inin al"nmal",
• Sonuçlar"n"n basit aç"kl"klar olarak de0il, bir risk haritas" kapsam"nda yönetime
sunulmas"
115
• Aç"kl"k hackerlar taraf"ndan de0erlendirilmesi durumunda kurumun kay"plar" ortaya

ç"karmal" ve yönetime sunulmal",
• Raporu detayl"ca inceleyip her bir aç"kl"0"n kimin ilgi alan"na girdi0inin belirlenmesi
yap"lmal",
• Aç"kl"klar"n kapat"lmas"n"n sa0lanmal"d"r.
• bir sonraki penetrasyon test tarihi belirlenmelidir.
8.4 Ülkemizde Penetrayon Testi Yapan Kurumlar
Ülkemizde de bu test her gün önemli hale geliyor. Test yapan firmalar a1a0"daki
gibidir (Önal, 2009).
• Lostar B.G – http://www.lostar.com.tr/
• Pro-G http://www.pro-g.com.tr/
• Nebula Bili<im Hizmetleri http://www.nebulabili<im.com.tr/tr/home.aspx
• ADEO http://www.adeo.com.tr/
• BizNet http://www.biznet.com/
• GamaSec - http://www.gamasec.net/
• Tubitak UEKAE http://www.uekae.tubitak.gov.tr/
8.5 Penetrayon Testi çin Kullan.lan Yaz.l.mlar
Test için birçok yaz"l"m kullan"lmaktad"r. Bunlardan baz"lar" a1a0"daki gibi.
Aç.kkod penetrasyon test yaz.l.mlar.: Nmap, Nessus, Metasploit, Inguma, hping,

Webscarab, jtr, W3af, Kismet,...
Ticari penetrasyon test yaz.l.mlar.: Immunity Canvas, Core Impact, HP Webinspect, Saint
Ssecurity Scanner, Retina, OpenVAS, AppDetective, gibi.
116
9. BL M MEVZUATI ve ÜLKEM ZDEK B L M HUKUKU
9.1 Bilgi Güvenli?iyle lgili Uluslararas. Mevzuatlar
Uluslararas" standartlar, yasalar ve yönetmelikler tüm dünyada oldu0u gibi ülkemizde de

birçok i1letmeyi ve kamu kurulu1unu etkilemektedir. Kurulu1lar"n bilgi güvenli0inin
sa0lanmas" konusundaki yakla1"mlar"na yönelik standartlar getirmesi aç"s"ndan bilgi
güvenli0iyle ilgili mevzuat"n bilinmesi önemlidir. Bilgi güvenli0ini direkt veya dolayl" olarak
ilgilendiren önemli yasa ve yönetmelikler a1a0"da k"saca aç"klanm"1t"r (Tbd, 2005).
Sarbanes-Oxley Yasas. (SOX): Finansal raporlama bilgilerinin gizlili0i, bütünlü0ü ve

eri1ilebilirli0inin sa0lanmas"n"n yan" s"ra finansal bildirim için de denetimler ve standartlar"
zorunlu k"lar. Yöneticiler taraf"ndan ki1isel sertifika verilmesi, uyuma yönelik bask"y" art"r"r
ve üst yönetimin konuyla somut olarak ilgilenmesini mecburi k"lar.
Gramm-Leach-Bliley Yasas. (GLBA): Finansal Hizmetler Modernizasyon Yasas" olarak da

bilinen GLBA, bankalara, menkul k"ymet 1irketlerine ve di0er finans kurulu1lar"na uygulan"r.
Bu yasa, mü1teri kay"tlar"n"n gizlili0ini zorunlu k"lar ve korunmalar"yla ilgili güvenceleri 1art
ko1ar.
Yeni Basel Sermaye Uzla<.s. (Basel II): Uluslararas" Ödemeler Bankas" taraf"ndan
yay"mlanan Basel II, uluslararas" para transferleri yapan bankalarda risk ölçümüne yönelik
yeni standartlar getirmektedir. Buna göre, minimum sermaye yedekleri düzeylerini belirlemek
için kredi ve pazar riskine ilk kez olarak operasyonel riskin hesaplanmas" gere0i de
eklenmi1tir.
AB Veri Koruma Yönergesi: AB ülkelerinde oturanlar"n ki1isel bilgilerinin korunmas"na

yöneliktir. AB üyesi olan ülkeler ile AB üyesi olmayan ülkeler aras"nda ki1isel bilgilerin
aktar"lmas"n" k"s"tlar. Yönerge, ki1isel bilgilerin elde edilmesi, kullan"lmas", aç"klanmas",
silinmesi, kaydedilmesi ve saklanmas"na yönelik k"s"tlamalar" da içerecek sekilde veri
islenmesine yöneliktir. Yönerge, birço0u kendi yasalar"n" da Yönerge ile uyumlu hale
getirmi1 baz" üye devletler taraf"ndan uygulanmaktad"r. ngiltere'nin 1998 tarihli Veri Koruma
Yasas" buna örnek olarak gösterilebilir.
Sa?l.k Sigortas. Tas.nabilirlik ve Sorumluluk Yasas. (HIPAA): Sa0l"k sigortas"n"n

117
ta1"nabilirli0ini sa0laman"n yan" s"ra hasta bilgilerinin güvenli0i ve gizlili0i için de bir dizi
1art getirmektedir.
Menkul K.ymetler ve Borsalar Komisyonu (SEC) Kurallar.: Belirli borsa üyesi

kurulu1lar", komisyoncular ve hisse senedi sat"c"lar" taraf"ndan, ilk iki y"l" kolay eri1ilebilir
durumda bulunmak kayd"yla en az alt" y"l boyunca tutulmas" gereken ileti1im türlerini belirler.
Hisse Senedi Al.m-Sat.mc.lar. Ulusal Dernegi (NASD) Kurallar.: Komisyoncular"n ve

hisse senedi al"m-sat"mc"lar"n"n, kamuya duyurular da dâhil olmak üzere tüm aktivitelerinin
kontrolü için bir sistem kurmak zorundad"r. Bu sart, tüm elektronik ileti1imin düzenli olarak
ara1t"r"lmas" ve incelenmesine yönelik bir süreç gerektirir. Ayr"ca, üye firmalar"n, tüm mü1teri
kay"tlar" ve islem verilerine ait kay"tlar"n denetlenebilir biçimde ve kolay eri1ilebilen bir
ortamda tutulmas"na yönelik kay"t tutma stratejisi uygulamas" gerekmektedir.
Federal Bilgi Güvenli?i Yönetimi Yasas. (FISMA): Bu yeni yasa, her federal kurulu1un
bilgi sistemleri ve varl"klar"n"n güvenli0ini saglayacak bir program uygulamas" ve
belgelendirmesini gerektirir.
Bilgi Güvenli?i Forumu (ISF) Bilgi Güvenli?i En yi Uygulamalar Standard.: BT

ara1t"rma ve risk yönetimi organizasyonu alan"nda dünya lideri olan ISF üyeleri taraf"ndan
yay"mlanan, i1letmelere odaklanm"1 en iyi uygulamalar bildirgesidir.
9.2 Ülkemizde Bili<im Sistemleri ve Güvenli?i le Madde çeren Kanunlar
Uluslararas" standartlar, yasalar ve yönetmelikler tüm dünyada oldu0u gibi ülkemizde de

birçok i1letmeyi ve kamu kurulu1unu etkilemektedir. Kurulu1lar"n bilgi güvenli0inin
sa0lanmas" konusundaki yakla1"mlar"na yönelik standartlar getirmesi aç"s"ndan bilgi
güvenli0iyle ilgili mevzuat"n bilinmesi önemlidir. Bilgi güvenli0ini direkt veya dolayl" olarak
ilgilendiren önemli yasalar a1a0"da s"ralanm"1t"r.
• nternet Ortam"nda Yap"lan Yay"nlar"n Düzenlenmesi Ve Bu Yay"nlar Yoluyla 1lenen

Suçlarla Mücadele Edilmesi Hakk"nda 5651 say"l" Kanun
• Elektronik Haberle1me Kanunu
• Elektronik imza kanunu
• Ara1t"rma ve Geli1tirme Faaliyetlerinin Desteklenmesi Hakk"nda Kanun
• Basma Yaz" ve Resimleri Derleme Kanunu
118
• Bas"n lan Kurumu Te1kiline Dair Kanun

• Bas"n Kanunu
• Bas"n Ve Yay"n Yoluyla 1lenen Suçlara li1kin Dava Ve Cezalar"n Ertelenmesine
Dair Kanun
• Yeni Türk Ceza Kanunu
• Entegre Devre Topo0rafyalar"n"n Korunmas" Hakk"nda Kanun
• Fikir ve Sanat Eserleri Kanunu
• Sermaya Piyasas" Kanunu
• Sosyal Sigortlar ve Genel sa0l"k Sigortas" Kanunun (Hasta bilgilerin gizli0ini içeren
kanun)
• Adli Sicil Kanunu (bilgilerin gizlili0i ve cezai sorumluluk)
• Bilgi Edinme Hakk" Kanunu (Gizli bilgileri ay"rarak bilgi veya belge verme)
9.3 Türkiye’de Bili<im Suçlar. Hukuku
leti1im ortam, uygulamalar", bu uygulamalar" kullanlar"n artmas" ve bu uygulamalarda

yap"labilecek suistimalerin artmas" sonucunda özellikle bilgi güvenli0inin sa0lanmas"nda
cayd"r"c" rol oynamas" aç"s"ndan yukar"da yasa ve yönetmeliklerin yan"nda bili1im suçlar"
tan"mlar" yap"lm"1t"r.
Bilgisayar, çevre birimleri, pos makinesi, cep telefonu, mobil cihaz gibi elektronik ortamlarda
teknolojinin kullan"lmas" ile i1lenilen suçlar bili1im suçlar" olarak tan"mlanmaktad"r. Bili1im
vas"tas"yla islenen suçlara, internet ve di0er bili1im sistemleri üzerinden de
gerçeklestirilebilen küfür, hakaret, doland"r"c"l"k gibi klasik suçlar"n yan"nda bili1ime özgü
suçlar olan verilerin tahrip edilmesi veya de0i1tirilmesi, sistemlere yetkisiz giri1ler, sistemin
isleyi1ini de0i1tirmek örnek olarak verilebilir.
2002 y"l"ndan itibaren Emniyet Genel Müdürlü0ü bünyesinde nternet ve Bili1im Suçlar" ube
Müdürlü0ün kurulmas" sonucu ta1ra te1kilat" olarak ube Müdürlü0ü içerisinde Bili1im
Suçlar" Büro Amirli0i ad" alt"na çal"1malar sürdürülmü1tür. Ülkemizde Bili1im Suçlar" ile
yap"lan mücadelede ya1anan yo0unluk, bili1im alan"nda hizmet veren birçok firma ve
kurumun genel merkezlerinin veya temsilciliklerinin stanbul’da bulunmas" nedeni ile Mali
Suçlarla Mücadele ube Müdürlü0ü bünyesinde faaliyet gösteren Bili1im Suçlar" Büro
119
Amirli0inin kapat"lmas" ve Bili1im Suçlar" Ve Sistemleri ube Müdürlü0ünün kurulmas"

çi1leri Bakanl"0"n"n 25/04/2007 tarihli onay" ile uygun görülmü1tür.
stanbul Valili0inin 29/05/2007 tarihli onay" ile ilde Bili1im Suçlar" ve Sistemleri ube
Müdürlü0ü 03/09/2007 tarihinde Kaçakç"l"k ve Organize Suçlarla Mücadele Daire
Ba1kanl"0"na ba0l" olarak stanbul Emniyet Müdürlü0ü bünyesinde faaliyete geçirilmi1tir
[39].
9.4 Türk Ceza Kanunu Bili<im Suçlar. Bölümündeki Suçlar
Türk Ceza Kanununun bili1im suçlar" bölümünde suçlar 4 grubunda ele al"nm"1t"r.
1. Hukuka ayk"r" olarak bili1im sistemine girme ve sistemde kalma suçu (m.243)
2. Bili1im sisteminin i1leyi1ini engelleme, bozma, verileri yok etme veya de0i1tirme suçu
(m.244)
3. Bili1im sistemi arac"l"0"yla hukuka ayk"r" yarar sa0lama suçu (m. 244/4)
4. Banka veya kredi kartlar"n"n kötüye kullan"lmas" suçu (m.245)
Bu suçlar"n i1lenmesi durumunda; duruma göre 2 y"ldan 5 y"la kadar hapis ve adli para cezas"
da öngörülmektedir.
9.4.1 Bili<im Araçlar. le <lenebilecek Di?er Suç Tipleri
• Bilgisayar yoluyla doland"r"c"l"k

• Bilgisayar yoluyla sahtecilik
• Kanunla korunmu1 bir yaz"l"m"n izinsiz kullan"m"
• Yasad"1" yay"nlar
• Ki1isel verilerin kaydedilmesi suçu
• Ki1isel verileri hukuka ayk"r" olarak verme veya ele geçirme suçu
• Verilerin yok edilmemesi suçu
• Haberle1menin engellenmesi suçu
• Hakaret suçu
• Haberle1menin gizlili0ini ihlal suçu
• Nitelikli h"rs"zl"k suçu
• Nitelikli doland"r"c"l"k suçu
• Kumar oynanmas" için yer ve imkan sa0lanmas" suçu
120
9.4.2 Ülkemizde En Çok Kar<.la<.lan Bili<im Suçlar.
Bili1im Suçlar" alan"nda Ülkemiz ba1ta olmak üzere Dünya genelinde en s"k kar1"la1"lan suç
türleri a1a0"daki gibidir [40]:
• nternet Banka Doland"r"c"l"0"

• Banka ve Kredi Kart Doland"r"c"l"klar"
• BOTNET sald"r"lar"
• Bilgisayar Korsanl"0" (Bili1im sistemine girme, engelleme, de0i1tirme, verileri yok
etmek vs.)
Bu maddeler a1a0"daki gibi detayland"r"labilir [40]:
• nteraktif bankac"l"k doland"r"c"l"0" suçlar"n" i1leyen 1ah"slar"n kulland"0" yöntemler

zamana göre farkl"l"k göstermesine ra0men; temelde kullan"c"y" aldatarak sahte
internet sayfalar"n"n taklit edilmesi, sahte e-posta bildirimleri, cep telefonlar"na
gönderilen mesajlar ya da banka operatörü gibi mü1terileri arayan doland"r"c"lar"n
bankac"l"k i1lemleri için gereken ki1isel bilgiler ile hesap ve kredi kartlar"na ait
bilgilerin çal"nmas" biçiminde kar1"m"za ç"kmaktad"r
• Ba1kalar"n"n ad"na e-mail göndererek özellikle ticari ve özel ili1kileri zedeleme.
• Ba1kalar"n"n ad"na web sayfas" haz"rlamak ve bu web sayfas"n"n tan"t"m" amac"yla
ba1kalar"na e-mail ve mesaj göndermek ve bu mesajlarda da ma0dur olan 1ahs"n
telefon numaralar"n" vermek.
• Ki1isel bilgisayarlar yada kurumsal bilgisayarlara yetkisiz eri1im ile bilgilerin
çal"nmas" ve kar1"l"0"nda tehdit ederek maddi menfaat sa0lanmas",
• irketlere ait web sayfalar"n"n alan ad"n"n izinsiz al"nmas" ve bu alan adlar"n"n
kar1"l"0"nda yüklü miktarlarda para talep etmek.
• Özellikle pornografik içerikli CD/DVD kopyalamak ve satmak.
• Sahte evrak bas"m" gibi çok farkl" konular" içerebilmektedir.
9.4.3 Bili<im Suçlar. le lgili Olarak Ma?dur Olmadan Önce Yap.labilecek
Bili1im suçlar" ile ilgili olarak ma0dur olmadan yap"lanmas"nda yarar bulunanlar a1a0"da
s"ralanm"1t"r [41].
121
• irketinize veya 1ahs"n"za ait önemli bilgilerinizin yer ald"0" bilgisayar"n"z ile özel
güvenlik önlemleri almadan internete ba0lan"lmamal".
• nternet ortam"nda %100 güvenli0in hiçbir zaman sa0lanamayaca0"n" unutulmamal".
• Özellikle anl"k mesajla1ma (Chat) ortam"nda bilgisayar"n"za sald"r"labilece0ini; chat
de tan"1t"0"n"z ki1ilere 1ahs"n"z, aileniz, adres, telefon, i1iniz v.s. konularda 1ahsi
bilgilerinizi vermemeniz gerekti0ini unutulmamal".
• nternet ortam"nda tan"1t"0"n"z ki1ilere hesap ve kredi kart" bilgilerinizi verilmemeli.
• nternet üzerinden yap"lan yaz"1malar"n"zda kar1"n"zdaki kurumlarla özel bir yöntemle
yaz"1ma yap"lmas"n"n yararl" olabilmektedir.
9.4.4 Bili<im Suçu le Kar<.la<.ld.?.na Yapabilecekler
• Yasad"1" siteler (web sayfalar") ile ilgili 1ikayetleri 155@iem.gov.tr adl" e-mail ihbar
adresine bildirilebilir.
• ah"1 veya kurumla ile ilgili 1ikayetçi olunan konular ile ilgili elde edebilece0i tüm
deliller ile birlikte Cumhuriyet Ba1savc"l"0"na müracaat ederek 1ikayetçi olunabilir.
• ikayetçi olunan konular ile ilgili olarak yap"lacak çal"1ma neticesinde ISP( nternet
Servis Sa0lay"c"n"n) yurt d"1"nda bulunmas" durumunda Adli Makamlar taraf"ndan
yap"lacak olan Adli stinabe ile konunun takibi yap"labilmektedir.
122
10. SONUÇ ve ÖNER LER
Bu bölümde, bilgi güvenli0i konusunda daha önceden al"nm"1 olunan dersler ve e0itimler,
bilgi güvenli0iyle ilgili uluslararas" alanda sahip olunan sertifikalar, bilgi güvenli0i
konusunda kat"l"m sa0lanan uluslararas" seminerler, bilgisayar a0lar" ve uygulamalar"
konusunda verilen dersler, 17 y"ll"k sektörel çal"1malardan elde edilen tecrübeler, tez
çal"1mas" esnas"nda incelenen çal"1malar ile elde edilen bilgi birikimi ve deneyimler ile
yap"lan pratik uygulamalara dayan"larak kurumsal bilgi güvenli0inin sa0lanmas"nda yap"lmas"
gerekenler, al"nmas" gereken önlemler, at"lmas" gereken ad"mlar, elde edilen deneyim ve
birikimler sonucu olu1an öneriler yaz"lacakt"r.
Ülkemizin üzerinde bulundu0u bölgenin jeopolitik aç"dan çok önemli olmas", bölgede süper
güç olma yolunda ilerleyebilme, tarih boyunca oldu0u gibi gelecekte de varl"0"m"z" istemeyen
birçok dü1man"m"z"n olmas" ve burada bahsedilmeyen birçok sebeplerden dolay" ulusal
bilgilerimizin güvenli0inin sa0lanmas" ülkemizin gelece0i aç"s"ndan çok önemlidir. Ulusal
bilgilerin güvenli0i, ülkemizde silahl" kuvvetler, sa0l"k, e0itim, hukuk, teknoloji ve di0er
birçok alanda hizmet veren kurum ve kurulu1lar"n bilgilerinin güvenli0inin sa0lanmas"na
ba0l"d"r. Bu kapsamda kurumsal bilgi güvenli0i sadece kurumlar"n kendisi için de0il ulusal
güvenli0imizin sa0lanmas" konusunda da ülkemiz için çok önem ta1"maktad"r.
Kurumlar"n günümüzde sald"rganlar"n teknolojik h"z"na yeti1ebilmesi ve kurumsal bilgi

varl"klar"n" sald"r"lardan koruyabilmesi için bu tez çal"1mas"nda da aç"klanan kurumsal bilgi
güvenli0i yönetimini kavram"n" kavrayabilmeleri ve o kavram"n tüm gereklerini yerine
getirmeleri gerekmektedir. Bu tez çal"1mas"n"n gereksinimlerinden biri olan en önemli
korunma yönteminin insanlarda bilgi güvenli0i bilincinin olu1turulmas" oldu0u konusunda
ülkemize önemli katk"lar sa0layaca0", bu konudaki bilgi yetersizli0inin giderilmesi ve
kurumlara rehber olmas" amac"yla ülkemizde bilgi güvenli0i konusunda eksikli0i giderece0i
umut edilmektedir. Sonuç olarak; bu tez çal"1mas" bilgi güvenli0ine geni1 bir aç"dan
bak"lmas" ve gerek ki1isel gerekse kurumsal ve ulusal bilgi güvenli0inin sa0lanmas"nda
önemli birçok unsurun bir araya getirilmesi, ülkemizde bu alan"nda haz"rlanan ilk tez olmas",
ülkemizde yap"lan çal"1malara ve al"nan koruma tedbirlerine ra0men gözden kaç"r"lan küçük
fakat bilgi güvenli0i aç"s"ndan büyük aç"klar"n tespiti ve bunlar"n kapat"lmas"na yönelik
olarak yap"lmas" veya al"nmas" gerekli tedbirlerin ortaya konulmas" aç"s"ndan önem arz eden
bu çal"1man"n ülkemizdeki bilgi güvenli0i çal"1malar"na katk"lar sa0layaca0" beklenmektedir.
123
Bilginin bir kurulu1un faaliyetleri ve devam" için büyük bir önem ta1"d"0" yukar"da
bahsedilmi1tir. Bu kapsam ile bilginin güvenli0ini sa0lamak ve yönetmek için ISO/IEC 27001
Standard" ve bu standard"n gereklilikleri, de0erli bilgi varl"klar"n"z" yönetmenize, koruman"za
ve özellikle de mü1terilerinize güven vermenize yard"mc" olaca0" yine yukar"da habsedilmi1ti.
10.1 Sonuçlar ve De?erlendirmeler
• Her geçen gün e-toplum olma yolunda h"zla ilerleyen ve e-devletle1me çal"1malar"n"
sürdüren ülkemizde, maalesef bilgi güvenli0inin öneminin kamu veya özel sektör
taraf"ndan tam olarak kavranmad"0" veya yüksek seviyede bir fark"ndal"0"n
olu1mad"0" tez çal"1mas" sonucunda tespit edilen en önemli bulgulardan birisidir.
Ülkemizde bilgi güvenli0i konusunda yap"lan ara1t"rmalar incelendi0inde bilgi
güvenli0inin sa0lanmas"nda dünya standartlar"n"n alt"nda kald"0"m"z görülmektedir.
Bunun için ülkemizde bilgi güvenli0i konusunda daha çok ara1t"rma ve geli1tirme
çal"1malar"na ihtiyaç duyulmaktad"r.
• nternet ülkemizde de her geçen gün h"zla yayg"nla1makta, ticari ve günlük
ya1ant"m"zdaki varl"0"n" hissedilir oranda artt"rmaktad"r. nternetin do0as"nda var olan
güvensizlik unsuru, internet üzerindeki uygulamalar" tehdit eden en büyük unsurdur.
Yukar"da habsi geçen 2008 y"l"nda Rus hackerlar taraf"ndan Estonya’ya yap"lan
sald"r"lar"n özellikle kamu hizmeti sunan bir çok kurumun i1 yapamaz duruma
getirmesi, bilgi güvenli0ine yönelik tehditlerin nitelik ve boyut de0i1imine u0rad"0" bir
y"l olmu1tur. Geçmis y"llarda sald"r"lar, yayg"n ve hedef gözetmeksizin
yap"lmaktayken art"k nokta hedefi gözeten ve bölgesel olarak düzenlenebilen organize
sald"r"lar yap"lmaktad"r. Son y"llarda bilgi ve bilgisayar güvenli0ini zaafa u0ratmaya
hatta y"kmaya çal"1an, kurumlar ve hatta devletler üzerinde maddi manevi büyük
zararlara yol açan, ki1i, kurum ve kurulu1lar" tehdit ederek zararlara u0ramas"na yol
açan bilgi güvenli0i tehditlerinin engellenmesi için kurumsal bilgi güvenli0i
sa0lanmal"d"r.
• Kurumsal bilgi güvenli0ini tehdit eden sald"r"lar"n bilinmesi, bilgi güvenli0inin
sa0lanmas"na yönelik kurumsal stratejilerin geli1tirilmesinde önemli bir role sahiptir.
Bilgi sistemlerine yönelik olarak yap"lan sald"r"lar incelendi0inde; sald"r"lar"n çok
geni1 bir yelpazede yap"ld"0", otomatik teknikler kullan"larak sald"r"lar"n kolayca
yap"lmas"n"n sa0lanmas"nda önemli art"1lar"n görüldü0ü tespit edilmi1tir. Otomatik
124
sald"r" araçlar" sayesinde kurumsal bilgi güvenli0ini tehdit eden usta sald"rganlar"n
yan"nda bilinçsiz ve bilgi eksi0i olan birçok acemi sald"rgan türemi1tir. Virüs
yazarlar", eskiye göre çok daha geli1mi1 araçlarla çal"1maktad"r. Bu araçlar" kullanan
virüs yazarlar", yaz"l"m robotlar" ve rootkitler, sosyal mühendislik, casusluk ve reklâm
amaçl" yaz"l"mlardan yararlanarak karma1"k virüslerle bilgi sistemlerini üst düzeyde
tehdit etmektedirler.
• Özellikle son zamanlarda gittiçe art"1 gösteren ve ülkelerin tüm internet alt yap"lar"n"
tehdit eden DDoS (Distributed Denial Of Service) henüz bir çözüm bulunamam"1t"r.
DoS ve DdoS sald"r"lar"na kar1" özellikle ülkemizin kritik kurumlar"n"n a0lar" ve
hizmetleri kesintiye u0ramamas" için ülkemize yap"lan network trafi0i izlenmelidir.
• Kurumsal bilgi güvenli0inin sa0lanmas" amac"yla, sald"r" türlerinin takip edilmesi,
sald"rganlar"n kulland"0" yöntemlerin saptanmas", ülkemizde ve dünyada bu konuda
yap"lan ara1t"rmalar"n, raporlar"n ve çal"1malar ile tespit edilen aç"klar"n takip edilmesi
ve giderilmesi bilgi güvenli0i ihlalinin ya1anmamas" için gerekli önlemlerin
zaman"nda al"nmas", güvenlik ihlallerine an"nda müdahale edilerek sald"r"lar"n
zararlar"ndan en az 1ekilde etkilenme, felaket an"nda uygulanabilecek felaket ve i1
sürekliligi planlar"n"n uygulanmas" gibi stratejiler, kurumlar taraf"ndan
uygulanmal"d"r.
• Bili1im sektöründeki geli1melere ba0l" olarak ülkemizde ve dünyada hukuksal
sorunlarda gün geçtikçe artmaktad"r. Tez kapsam"nda yap"lan çal"1malar 2006-2007
y"llar"na kadar yap"lan sald"r"lar"n daha çok düzenleme amaçlar" geçmiste oldu0u gibi
1an, söhret, hava, ki1isel tatmin iken günümüzde ekonomik ve hatta stratejik amaçl"
sald"r"lar daha ön plana ç"kmaktad"r. Sald"rganlar taraf"ndan yaz"lan kötücül
yaz"l"mlar, art"k maddi ç"kar sa0lamak için kullan"ld"0" gibi günümüzde devletler
aras"nda ç"kan sorunlardan sonra hackerler organize olup sanal sava1lar
ba1latmaktad"r. Örne0in geçmis kötücül yaz"l"mlar incelendi0inde; dosyalar"n
silinmesi, i1letim sistemlerinin çökertilmesi, bilgisayar performans"n"n dü1ürülmesi,
kullan"c" iste0i d"1"nda e-posta gönderilmesi vb. gibi bireysel eylemler
gerçekle1tirilirken, günümüzde ise kullan"c" bilgisayarlar"na yerle1tirilen casus
programlar arac"l"0"yla, internet bankac"l"0" 1ifreleri, kredi kart" bilgileri vb. gibi
hassas bilgilerin ele geçirilmesi için organize eylemler yap"lmakta ve yasal olmayan
yollarla ekonomik ç"karlar elde edilmektedir. Kötücül yaz"l"m yazan sald"rganlar, i1in
125
içine maddiyat"n kar"1mas" nedeniyle birbirleriyle isbirli0i yapmaya ve örgütlenmeye

baslam"1lard"r. Sald"r"lar art"k organize ve planl" olarak yap"lmaktad"r. Bunun yan"nda
sald"rganlar bir araya gelerek, belirli organizasyonlar ad" alt"nda te1kilatlanmakta, bilgi
al"sveri1i yapmakta ve güvenli0i yeterli seviyede sa0lanamayan bili1im sistemlerini
veya güvenlik bilinci olmayan kullan"c"lar" soymaya yönelik yaz"l"mlar
geli1tirmektedir. Bu tür olaylar" tespit ederek kullan"c"lar" korumak için sald"rganlara
cayd"r"c" cezalar"n verilmesi amac"yla bili1im suçlar"yla ilgili yasalara ve uzman
bili1im hukukçular"n"n (adli bili1imciler) say"s"n"n artmas"na ihtiyaç duyulmaktad"r.
• Tez kapsam"nda yap"lan ara1t"rmalar sonucunda ülkemizde bili1im suçlar" konusunda
kanunlar"n ve adli bili1imcilerin henüz yetersiz oldu0u de0erlendirilmi1tir.
• Bili1im ile ilgili kanunlar"n haz"rlanmas" ve uygulanmas"nda bili1im hukukçular"na
ihtiyaç duyulmaktad"r. Ülkemizde bu alanda uzmanlar"n yeti1tirilmesi konusunda
üniversitelerimize önemli görevler dü1mektedir. Bili1im hukuku ile ilgili dersler hem
hukuk fakülteleri hemde bilgisayar mühendisli0i ile ilgili bölümlerin müfredat"na
konularak bu alandaki bilgi altyap"s"n"n kurulmas" ve bili1im hukuku ile ilgili yüksek
lisans programlar" arac"l"0"yla da uzman adli bili1imcilerin yeti1mesi ülkemiz
aç"s"ndan önemlidir. Tez çal"1mas"nda yap"lan inceleme sonucunda stanbul Bilgi
Üniversitesi'nin 16 May"s 2010 tarihli Resmi Gazete'de yay"mlanan Yönetmeli0i ile
faaliyete geçen, ülkemizin ilk Bili1im ve Teknoloji Hukuku Enstitüsü'nün master
program" YÖK taraf"ndan onayland"0" görülmü1tür.
• Kurumsal bilgi güvenli0ini sadece sald"rganlar, yap"lan sald"r"lar veya olu1an güvenlik
aç"klar" tehdit etmemektedir. Kurumsalla1mas"n" tamamlayamayan kurum ve
kurulu1lardaki prosedürel eksikliklerden kaynaklanan hatalar veya çal"1anlar"n
sebebiyet verdi0i kazalar da bilgi güvenli0ini en az sald"rganlar kadar tehdit
etmektedir. Bu tip tehditlerin ve sald"r"lar"n önüne geçilebilmesi için kurumsal bilgi
güvenli0inin sa0lanmas"nda izlenmesi gereken süreçler, görev tan"mlar" ve
sorumluluklar, ki1ilerin uymas" gereken politikalar, prosedürler, standartlar ve
k"lavuzlar tan"mlanarak uygulanmaya konulmal"d"r.
• Bilgi güvenli0i dünya genelinde benimsenmi1 standartlara ba0l" kal"narak yönetilmesi
gereken bir süreçtir. Dünyada bilgi güvenli0inin yönetilmesi ile ilgili yap"lan
çal"1malar sonucunda 2010 y"l"nda gelinen noktaya bak"ld"0"nda ISO–27001
126
standard"n"n dünya genelinde benimsendi0i ve uygulamaya koymak için kurumlar

taraf"ndan çal"1malar yap"ld"0" görülmü1tür. Ülkemizde bu konuda yap"lan çal"1malar
ve kurumlar"n fark"ndal"klar" yetersiz oldu0undan bilgi güvenli0i yönetimi konusunda
büyük eksiklikler oldu0u tespit edilmi1tir.
• Bilgi güvenli0inin sa0lanmas" konusu birbirine ba0l" ve iç içe geçmis karma1"k
süreçlerden olu1tu0undan, bu süreçlerin yönetilemedi0i durumlarda bilginin
güvenli0inden bahsetmek mümkün de0ildir. Kurumlar aç"s"ndan önemli bilgilerin ve
bilgi sistemlerinin korunabilmesi, risklerin en aza indirilmesi ve i1 süreklili0inin
sa0lanmas"; BGYS’nin kurumlarda hayata geçirilmesiyle mümkün olacakt"r.
• BGYS’nin kurulmas"yla; olas" risk ve tehditlerin tespit edilmesi, güvenlik
politikalar"n"n olu1turulmas", denetimlerin ve uygulamalar"n kontrolü, uygun
yöntemlerin geli1tirilmesi, örgütsel yap"lar kurulmas" ve yaz"l"m/donan"m
fonksiyonlar"n"n sa0lanmas", kurum içinde fark"ndal"k e0itimlerin verilmesi gibi bir
dizi denetimin birbirini tamamlayacak 1ekilde gerçekle1tirilmesi anlam"na
gelmektedir.
• BGYS’nin kurulmas"nda, kurumsal bilgi güvenli0inin sa0lanmas"nda ve yönetiminde
bilgi kaynaklar"na eri1imi olan ki1ilerin uymas" gereken kurallar"n düzenlendi0i bilgi
güvenlik politikalar"n"n önemli bir yeri vard"r.
• Ülkemizde güvenlik politikalar" ço0u kurum ve kurulu1ta genellikle sözlü olarak veya
e-postalar arac"l"0"yla kullan"c"lara duyurularak kullan"ma al"nd"0"ndan istenilen
düzeyde etkiyi sa0lamam"1t"r. Güvenlik politikalar"n"n etkin olabilmesi için yaz"l"
olmas", yönetim taraf"ndan onaylanmas", kullan"c"lar taraf"ndan benimsenmesi,
uygulanabilir ve kolay yönetilebilir olmas", kurumun i1 ihtiyaçlar" ve hedefleri
do0rultusunda haz"rlanmas" gerekmektedir.
• Kurumsal bilgi güvenli0i sa0lanmas"nda, koruma maliyeti gözden kaç"r"lmamal"d"r.
• Kurumlar taraf"ndan verilmek istenen hizmetler, kullan"m kolayl"0" ve güvenli0in
maliyeti ile uygulanacak olan güvenlik önlemleri aras"nda denge kurulmal"d"r.
Hizmetleri aksatacak, kullan"m" zorla0t"racak ve maliyeti çok yüksek güvenlik
önlemleri kurulu1lar"n sistemlerden elde edece0i toplam fayday" azaltacakt"r. Yüzde
yüz güvenlik sa0lanamayaca0" bilinciyle, her zaman için bir bilgi sisteminde bilgi
güvenli0i ihlalinin olu1ma riski vard"r. Burada amac"n, varolan bu riski önlemek
127
yerine uygun bir maliyet-zaman analizi yaparak uygun kararlar al"nmas" ve yüksek
riski dü1ürmenin yüksek maliyet getirece0inin unutulmamas"d"r. Bir bilgi sisteminin
güvenli0inin sa0lanmas"nda riski s"f"rlamak için o k"ymetin de0erinden fazla güvenlik
için kaynak ay"rmak ak"lc" bir yakla1"m olmayacakt"r. Bu nedenle kurumlar"n riski
önlemek yerine, risk ile birlikte ya1amay" ö0renmeleri daha uygun bir çözümdür.
Bazen korunacak sistemin güvenlik ihtiyac" ile güvenlik sa0laman"n maliyeti
aras"ndaki ili1ki, güvenlik önlemlerinden vazgeçmeyi gerektirebilecektir. Basit
formülü ile sistemden elde edilecek fayda, sistemin maliyetlerinin alt"nda
kalmamal"d"r. Bununla birlikte, itibar, prestij ve sayg"nl"k gibi ticari ve psikolojik
parametreler yüksek maliyetlere ra0men kurumlar aç"s"ndan korunmak zorunda olan
de0erlerdir. Yüzde yüz güvenli0in sa0lanamayaca0" bilinciyle bilgi güvenli0i ihlalinin
ve riskin daima varolaca0" göz önünde bulundurularak yüksek seviyede bilgi
güvenli0inin sa0lanmas"n"n devaml"l"k gerektiren bir süreç oldu0u unutulmamal"d"r.
• Bilgilerin düzenli olarak maruz kald"0" bir tak"m tehditlerin tan"mlanmas"na,
yönetilmesine ve bunlar"n minimize edilmesine yard"mc" olan bilgi güvenli0i yönetim
sistemlerinin kurulmas" için gereklilikleri ortaya koyan ISO/IEC 27001:2005 standard"
bu tez kapsam"nda kapsaml" olarak incelenmi1 ve sonuç olarak farkl" sektörler için:
o GBK(Gizlilik, Bütünlük, Kullan"labilirlik veya Eri1ebilirlilik) risklerinin
yönetildi0ine emin olmak,
o GBK yönetimindeki hukuksal yapt"r"mlar"n ve önlemlerin yasalara
uygunlu0undan emin olmak,
o GBK altyap"s"n"n içerdi0i uygulamalar"n ve denetimlerin, kurumlar"n
amaçlad"0" güvenlik seviyesi ile uyu1tu0unu göstermek,
o GBK yönetim süreçlerini belirlemek ve aç"klamak,
o Yönetim taraf"ndan, bilgi güvenli0i yönetimi faaliyetlerinin belirlenmesi ve
gözlemlenmesini sa0lamak,
o ç ve d"1 tetkikçiler taraf"ndan, kurumun, bilgi güvenli0inin sa0lanmas"
konusunda beyan etti0i politikalara, prosedürlere ve standartlara uygunlu0unu
de0erlendirmek,
o Kurumlar"n i1 yapm"1 oldu0u di0er i1 ortaklar"na, bilgi güvenli0i politikalar",
prosedürleri ve standartlar" hakk"nda bilgi sa0lanmas", gibi hususlar" içermesi
gerekti0i tespit edilmistir.
128
• BGYS standartlar"n"n kurumlara uyarlanmas", anlat"lmas", kullan"c", teknik

çal"sanlar"n ve yöneticilerin e0itilmesi konusunda kurulu1lar"n dan"1manl"k hizmetleri
almalar"n"n daha yararl" olabilmektedir.
• BGYS uygulamalar", kurumlar taraf"ndan ba1ar"l" bir 1ekilde uyguland"ktan sonra
kurulu1lar"n bilgi güvenli0ini yönettiklerine dair uluslararas" alanda geçerli olan
belgeler almas" bilgi güvenli0inin kritik oldu0u kurumlar aç"s"ndan önemli bir
göstergedir.
• Bu tez çal"1mas" kapsam"nda yap"lan ara1t"rmalar de0erlendirildiginde dünyada ve
ülkemizde BGYS konusunda istenen düzeyde yeterlilik ve fark"ndal"k olu1mad"0"
anla1"lmaktad"r. Bilgi güvenli0i daha öncede birçok kez tekrarland"0" üzere mutlaka
yönetilmesi gereken, idari ve teknik konular" içeren birçok karma1"k süreçten
olu1maktad"r. Tüm dünyada kabul edilmi1 olan, bir kurulu1un sadece teknik
önlemlerle bilgi güvenli0ini ve i1 süreklili0ini korumas"n"n mümkün olmad"0" görü1ü
ve BGYS arac"l"0"yla al"nacak önlem ve denetimlerin sa0lanmas" gereklili0i konusu
bu tez çal"1mas"nda gösterilmi1tir.
• Kurumsal bilgi sistemlerinin güvenli0inin istenilen düzeyde sa0land"0"ndan emin
olmak için teknik önlemlerin yan"nda teknik olmayan önlemlerinde bir bütün olarak
ele al"nmas"n" ve bilgi sistemlerinin güvenli0ini tehdit eden risklerin ortaya
ç"kart"lmas"n" sa0layan denetim ve penetrasyon testleriye test edilmesi gerekmektedir.
• Penetrasyon testleriyle denenen bilgi sistemleri teknik (bilgisayar a0lar", doküman
yönetim sistemleri, süreç analizleri, vb.), insan ve teknik olmayan (çal"sanlar"n bilinci,
kurum kültürü, yönetimsel prosedürler, fiziksel güvenlik, vb.) etkenler dikkate
al"narak bir bütün olarak degerlendirilmelidir. Denetim ve penetrasyon testleri
de0i1en risklere paralel olarak periyodik zaman aral"klar"nda tekrarlanmal"d"r.
Tekrarlama zaman dilimi kurumlar"n bilgi dinamikleri dikkate al"narak
belirlenmelidir. Genel kanaat y"lda iki kere yap"lmas" yönündedir.
• Kurumsal bilgi güvenli0ine etki eden unsurlar içerisinde en zay"f halka olarak
adland"r"lan insan faktörünün en tehlikeli güvenlik aç"0" olarak kabul edilen güvenlik
bilinci zay"fl"0"n"n belirlenmesinde sosyal mühendislik yöntemiyle yap"lan
penetrasyon testleri önemli bir role sahiptir. Her geçen gün teknolojik önlemlerin
ilerlemesi yaz"l"m veya donan"mdan kaynaklanan güvenlik aç"klar"n"n minimize
129
edilmesi nedeniyle sald"rganlar, insan zafiyetlerinden faydalanarak sald"r"lar"n"

gerçekle1tirmektedirler. Bu tür sald"r"lar"n kurumsal bilgi güvenli0ini en az oranda
tehdit etmesi amac"yla sosyal mühendislik teknikleri ve önemi kurumda her kademede
çal"1an kullan"c"lar taraf"ndan bilinmelidir. Bu tez çal"1mas"nda elde edilen önemli
bulgulardan birisi ülkemizde sosyal mühendislik kavram"n"n henüz tam olarak
anla1"lamad"0" veya önemsenmedi0i, kurumlar"n ve çal"sanlar"n bu konuda yeterli
bilgiye sahip olmad"klar" tespit edilmi1tir. Bu tez çal"1mas"n"n sosyal mühendislik
konusunda da kurumlar ve çal"sanlar nezdinde fark"ndal"k yaratmas" beklenmektedir.
• Dünyada oldu0u gibi ülkemizde de en fazla güvenlik aç"klar"na web ve webi
destekleyen uygulama ve veritabanlar"nda oldu0u tespit edilmi1tir.. Bu tez kapsam"nda
yap"lan ara1t"rmalar ve çal"1malar sonucunda web uygulamalar" konusunda ülkemizde,
web uygulamalar"n" geli1tiren yerli yaz"l"m firmalar"n"n web uygulamalar" güvenli0i
ad" alt"nda bir e0itimden geçirilmesi gerektigi fikrine var"lm"st"r.
• Kurumsal bilgi güvenli0inin sa0lanmas"nda, bilgi güvenli0i sürecini etkileyen
temeldeki üç unsurun insan faktörü, e0itim ve teknoloji oldu0u bu tez kapsam"nda
elde edilen önemli bulgulardan bir di0eridir. Kurumsal bilgi güvenli0inin
sa0lanmas"yla ilgili olarak bu tez çal"1mas"nda güvenli0in bir ürün veya hizmet
olmad"0", insan faktörü, teknoloji ve e0itim üçgeninde süreklilik arz eden yönetilmesi
zorunlu bir süreç oldu0u esas al"nm"1, bu üç unsur aras"nda tamamlay"c"l"k olmad"0"
sürece yüksek seviyede bir güvenlikten bahsedebilmenin mümkün olamayaca0"
saptanm"1t"r. Yüksek seviyede kurumsal bilgi güvenli0in sa0lanmas" için yap"lmas"
gerekenler, al"nmas" gerekli önlemler ve tedbirler bu çerçeve dâhilinde aç"klanm"1t"r.
• Tez kapsam"nda yap"lan ara1t"rmalarda ço0u kurumda güvenlik e0itimleri ve
bilinçlendirme program"n"n olmad"0" ve olan kurumlarda ise genellikle kullan"c"lar"
bilgi güvenli0inin neden önemli oldu0u konusunda e0itmeyi ve bilinçlendirmeyi
ba1aramad"0" tespit edilen bir di0er önemli bulgudur. E0itimsizlik ve bilinçsizlik
sonucunda insan faktöründen kaynaklanan güvenlik riskleri tamamen yok edilemese
de iyi planlanm"1 güvenlik e0itimleri ve fark"ndal"k çal"1malar" ile insan faktöründen
kaynaklanan risklerin kabul edilebilir bir seviyeye çekilmesi mümkündür. Bilgi
güvenli0i e0itimleri ve fark"ndal"k çal"1malar"yla, kurum çal"1anlar"n"n kurumsal
bilgilerin ve bilgi kaynaklar"n"n bilgi güvenli0i ana unsurlar" olan gizlilik, bütünlük,
eri1ilebilirlik ve kimlik yönetimi konular"nda yapmas" gereken görev ve
130
sorumluluklar"n neler oldu0u konusunda bilinçlendirilmeli ve e0itilmelidir. Kurumlar

e0itim ve fark"ndal"k çal"1malar"yla çal"sanlar"na hatal" davran"1lar"n"n kurum bilgi
güvenli0i üzerinde yaratabilecegi etkiyi anlatarak bilgi güvenli0inin en zay"f halkas"
olan insan faktörünün güçlenmesini sa0lamal"d"r.
• Kurumsal bilgi güvenli0inin üst seviyede sa0lanmas" amac"yla, güvenlik mimarisi ve
ölçeklendirme aç"s"ndan do0ru teknolojilerin seçilmesi, seçilen teknolojilerin hatas"z
yap"land"r"lmas", bak"mlar"n"n periyodik olarak yap"lmas", aç"klar"n takip edilip
güncellemesi, verimli ve etkin kullan"m" ile karma yap"da ve katmanl" in1a edilmeleri
teknoloji seçiminde ve yat"r"m"nda dikkat edilmesi gereken önemli hususlard"r. Karma
yap"larla kurulan katmanl" güvenlik mimarileri bilgi güvenli0inin üst düzeyde
sa0lanmas"nda önemli bir katk" sa0lamaktad"r ancak burada dikkat edilmesi gereken
en önemli husus karma yap"daki katmanl" mimarilerin kurulum, bak"m ve
i1letilmesinde üst düzeyde teknik bilgiye gereksinim duyulmas"d"r. E0er bu teknik
isçilik kurumun kendi bünyesinde mevcut de0ilse d"1 kaynak kullan"m"na gidilmelidir.
Aksi takdirde teknoloji seçiminin do0ru yap"lmas"na ra0men insan faktörü ve
e0itimlere gerekli hassasiyetin gösterilmemesi, teknolojik yat"r"mlar"ndan tam olarak
yararlanamayaca0" hatta bo1a ç"kartaca0" gibi daha çok güvenlik ihlallerinin meydana
gelmesine neden olacak ve yat"r"mlar"n bo1a gitmesi ve kaynaklar"n israf edilmesi
sonucunu do0uracakt"r.
10.2 Ki<isel Kazan.mlar
Tez çal"1mas" s"ras"nda birçok zorlukla kar1"la1"lm"1 ve bu zorluklar"n a1"lmas"yla birçok

de0erli kazan"m elde edilmi1tir. lk olarak tez çal"1mas" boyunca kar1"la1"lan baz" zorluklar,
sonras"nda ise tez çal"1mas" sonucunda elde edilen kazan"mlar a1a0"da maddeler halinde
aç"klanm"1t"r.
• ncelenen tez konusunun güncel olmas" ve daha önce bu konuda yap"lan bir detayl"
çal"1malara rastlanmamas" nedeniyle, ço0unlukla internet üzerindeki kaynaklardan
yararlan"lmas" ve bu kaynaklarda sunulan bilgilerin do0rulu0undan emin olunmas"
için uzun ara1t"rmalar ve denemeler yap"lm"1t"r. nternet kaynaklar"ndan
faydalan"l"rken ilgili kayna0"n bilgi güvenli0inde dünyada ve ülkemizde söz sahibi
olan kurumlar"n, sivil toplum örgütlerinin ve e0itim kurumlar"n"n sitelerinden
olmas"na özen gösterilmesi nedeniyle uzun soluklu ara1t"rmalar"n yap"lmas",
131
• Tez konusunda yaralan"lan kaynaklar"n genelinin ingilizce olmas", Türkçeye

çevrilmesi s"ras"nda anlam kay"plar"n"n ya1anmamas" ve bilgilerin do0ru
aktar"labilmesi için özverili çal"1malara ihtiyaç duyulmas" gibi zorluklarla
kar1"la1"lm"1t"r.
Tez çal"1mas" s"ras"nda ilk günden son güne kadar birçok kazan"m elde edilmi1tir. Bu
kazan"mlardan önemlileri a1a0"da maddeler halinde aç"klanm"1t"r:
Bunlar:
• Tez çal"1mas" öncesinde bilgi güvenli0i standartlar"yla ilgili bilgi ve kavram karma1as"
çal"1ma sonucunda giderilerek bilgi güvenli0i yönetim standartlar"n"n kurumsal bilgi
güvenli0inin üst seviyede sa0lanabilmesi için gerekli oldu0u anla1"lm"1t"r.
• Tez çal"1mas" s"ras"nda bilgi güvenli0iyle ilgili akademik ve ticari alanda ülkemizde
söz sahibi olan uzmanlarla görü1meler yap"lm"1 ve bunun sonucunda kurumsal bilgi
güvenli0i yönetimi konusu gibi çok de0erli olan bir konu üzerinde ciddi bilgi
payla1"mlar" ya1anm"1t"r.
• Tez çal"1mas" tez yazar"n"n i1 yerindeki bak"1 aç"s"n" de0i1tirerek kuruma ve kariyerine
yarar sa0lam"1 ve kurumun bilgi güvenli0i yönetim sistemine yarar sa0lam"1t"r.
• Yüksek seviyede bir bilgi güvenli0inin sa0lanabilmesi için kurum ve kurulu1lar"n bilgi
güvenli0ine geni1 bir aç"dan bakmas" gerekti0i, güvenli0in bir tak"m çal"1mas" oldu0u
ve bu tak"mda en zay"f halka kadar güvenli0in sa0lanabilecegi dolay"s"yla güvenli0in
süreklilik arz etti0i daha iyi kavranm"1t"r.
10.3 Öneriler
Bu tez çal"1mas" sonucunda elde edilen bilgi ve deneyimlere göre ülkemiz bilgi güvenli0inin
yüksek seviyede sa0lanmas"na yard"mc" olacak baz" öneriler a1a0"da maddeler halinde
s"ralanm"1t"r.
• Ülkemizde güvenlik sistemlerine yönelik milli yaz"l"mlar ve yöntemler üretilmeli ve

geli1tirilerek kullan"lmal"d"r.
• Ülkemizde kurumsal bilgi güvenli0i konusunda daha fazla çal"1ma yap"lmal"d"r.
Özellikle üniversiteler ve ara1t"rma kurumlar"nda “Kurumsal Bilgi Güvenli0i” dersleri
aç"lmal"d"r.
132
• Bu tez çal"1mad"nda bir kez daha ortaya konuldugu gibi “yüksek seviyede bir GBK
sa0lanmas" için teknoloji, e0itim ve insan faktörlerine gerekti0i kadar önem
verilmelidir.
• Penetrasyon testleri ve denetimler y"lda enaz bir kez yap"lmal"d"r.
• Kurumlar"n ekipman ve yaz"l"m güncellemelerine ba0l" olarak bu denetimler ve
testler s"kla1t"r"lmal"d"r.
• Denetimler risk tabanl" yani riski yüksek olan daha detayl" ve s"k denetlenmeli
biçiminde yap"lmal"d"r.
• Güvenlik bilinci ilk ö0retimden ba1lamal" ve i1yerinde de güncelli0i korumayacak
1ekilde geli1tirilmedir.
• Ülkemizde penetrasyon testleri ücretsiz yapan devlet destekli merkezler olu1turulmal"
veya bu hizmet üniversiteler üzerinden olu1turulmal"d"r.
• nternet kullan"m"n"n h"zla yayg"nla1t"0" ülkemizde bilgi güvenli0i konusunda devlet
deste0inde üniversitelerimizde, halk e0itim merkezlerinde ve di0er e0itim
kurulu1lar"m"zda halk"m"z ücretsiz olarak bilgi güvenli0i konusunda bilinçlendirilmeli
ve e0itilmelidir.
• Bili1im güvenli0iyle ilgili yasalar"n olu1turulmas" için toplumun her kesminden geni1
bir kat"l"m"n sa0land"0" çal"1ma gruplar" olu1turulmal" ve yasalar bu ortak ak"l ile
ç"kar"lmal"d"r.
Sonuç olarak bu çal"1man"n ülkemizdeki tüm kamu ve özel kurumlar için bilgi güvenli0i,
kurumsal bilgi güvenli0i, bilgi güvenli0i yönetim sistemleri, s"zma testleri web uygulama
güvenli0i gibi önemli kavramlar"n kapsaml" olarak anlat"ld"0" bir kaynak olmas" nedeniyle, bu
alanda yap"lacak di0er çal"1malar ve kurumsal bilgi güvenli0inin sa0lanmas"n" önemseyen
kurulu1lar için rehber bir kaynak olarak kullan"labilecegi ümit edilmektedir.
Kurum veya kurulu1lar"n üst düzeyde bilgi güvenli0ini ve i1 süreklili0ini sa0lamalar" için
standartlar çerçevesinde teknik önlemlerin uygulanmas"n"n yan"nda teknik olmayan (insan
faktörü, prosedürel faktörler, vb.) önlemlerin ve denetimlerin al"nmas", tüm bu süreçlerin
devaml"l"0"n"n sa0lan"lmas" ve bilgi güvenli0i standartlar"na uygun olarak yönetilebilmesi
amac"yla yönetim taraf"ndan desteklenen insanlar", i1 süreçlerini ve bili1im teknolojilerini
kapsayan bilgi güvenli0i standartlar"na uygun olarak BGYS kurmalar" gerekmektedir.
133
KAYNAKLAR
Abrams, D. M. ve Joyce, V. M., (1995) “Trusted System Concepts”, Computers & Security,
14(1):45-56.
Argyris, C., (1993), Knowledge For Action: A Guide To Overcoming Barriers To
Organizational Change, Jossey-Bass, San Francisco.
Arnason, S. ve Willett K., (2008), How To Achieve 27001 Certification: An Example Of
Applied Compliance Management, Auerbach Publications, New York.
Artz, D., (2001), Digital Steganography: Hiding Data Within Data, Internet Computing
Publications, San Francisco.
Atasever, M., (2007), “Cmm" Süreç yile1tirme Yakla1"m"”, Yaz"l"mda Toplam Kalite
Çal"1mas" Konferans", Ankara.
Barman, S., (2001), Writing Information Security Policies, New Riders
Publishing,Indianapolis.
Beaver, K. ve Herold, R., (2005), The Practical Guide To H"paa Privacy And Security
Compliance, Auerbach Publications, Washington Dc.
Bell, D. ve Padula, L., (1975), “Secure Computer System: Unified Exposition And Multics
Interpretation”, The Mitre Corporation Technical Report :75-81, Bedford.
Bhatt, G. D., (2001), “Knowledge Management n Organizations: Examining The Interaction
Between Technologies, Techniques And People”, Journal Of Knowledge Management, 5
(1):71-76.
Boran, S., (2000), It Security Cookbook, Boran Consulting Press, Blonay.
Borman, J., (2009), Pmp Project Management Knowledge Areas & Processes. Art Media,
Boston.
BS., British Standard, (2005), Business Continuity Management : Part 2- The Specification,
BS Media, London.
Cache, J. ve Liu,V., (2007), Hacking Exposed Wireless: Wireless Security Secrets &
Solutions, Mcgraw-Hill Osborne Media, Chicago.
Calder, A. ve Watkins S., (2007), Information Security Risk Management For
Iso27001/17799, It Governance Press, London.
Calder, A., (2005), Nine Steps To Success: An Iso 27001 Implementation Overview, It
Governance Publishing, Cambridgeshire.
Calder, A., (2006), Implementing Information Security Based On Iso 27001 And Iso 17799:
A Management Guide, It Governance Publishing, Cambridgeshire.
Canbek, G. ve Sa0"ro0lu S., (2006) “Bilgi, Bilgi Güvenli0i Ve Süreçleri Üzerine Bir
nceleme”, Politeknik Dergisi, 9(3):69-72.
134
Canbek, G. ve Sa0"ro0lu, S., (2006), Bilgi Ve Bilgisayar Güvenli0i: Casus Yaz"l"mlar Ve

Korunma Yöntemleri, Grafiker Yay"nc"l"k, Ankara.
Carver, C.R. ve C., Ferguson, J. A., (2007), “Phishing For User Security Awareness”,
Computers & Security, 26(1): 73-75.
Chen, M. T., Elder, M. ve Thompson, J., (2005), Electronic Attacks: The Handbook Of
Information Security, John Wiley & Sons, New York.
Clarke, J., (2009), Sql Injection Attacks And Defense, Syngress Publishing, Burlington.
Ça0layan, U., (2003), “Bilgi Güvenli0i: Dünyadaki E0ilimler”, Ulaknet Sistem Yönetimi
Konferans", 5-6.05.2003, Ankara.
Davis, Z. (2005), Network Intrusion Prevention Systems Product Comparison Guide,Tips-It
Publishing, New York.
Edney, J. ve Arbaugh, W. A., (2003), Real 802.11 Security: Wi-Fi Protected Access And
802.11i, Addison Wesley, Boston.
Egan, M. ve Mather, T., (2004), The Executive Guide To Information Security: Threats-
Challenges-And Solutions, Addison-Wesley Professional, Massachusetts.
Floridi, L., (2010), Information: A Very Short Introduction, Oxford University Press, New
York.
Fry, S., (2001), ”Information Security Guidelines For The Deployment Of Deployable
Switched Systems”, Chairman Of The Jo"nt Chiefs Of Staff Instruction, Part-2:3-6.
Garfinkel, S. L., (1995), “Aohell”, The Risk Digest, 17(42):3-5.
Gaudin, S., (2007), "Anycast And Communication Foiled February's Root Server Attack",
Infomationweek, 23(1):23-26.
Gelbstein, E. ve Kamal, A., (2002), “Information Insecurity:A Survival Guide To The
Uncharted Territories Of Cyber-Threats And Cyber-Security”, United Nations Ict Task Force
And The United Nations Institute For Training And Research, 47-59, New York.
Gürkas, G. Z., Durukan, S., Zaim, A. H., Demir, A. ve Ayd"n, M. A., (2005), “802.11b
Kablosuz A0larda Güvenli0in A0 Trafigi Üzerindeki Etkilerinin Analizi”, II. Mühendislik
Bilimleri Genç Ara1t"rmac"lar Kongresi, 8-10-11.2005, stanbul.
Hoath, P., (1998), “Telecoms Fraud, The Gory Details”, Computer Fraud And Security,
20(1):10–14.
Humphreys, E., (2007), Implementing The Iso/Iec 27001 Information Security Management
System Standard, Artech Print On Demand, Norwood.
Isaca, (2009), Cisa Review Manual 2009, Isaca Press, Rolling Meadows.
ISO., Organizastion, (2005), Iso 27002:2005 Information Technology — Security Techniques
— Code Of Practice For nformation Security Management, ISO Publication, Switzerland.
135
Johnson, B. ve Higgins, J., (2007), It"l And The Software Lifecycle: Practical Strategy And
Design Principles, Van Haren Publishing, Amersfoort.
Kabay, E.,(2007) “Social Engineering n Penetration Testing :Penetration Tests With A
Social-Engineering Angle”, Network World, 201:13-17.
Landoll, J.D., (2006), The Security Risk Assessment Handbook: A Complete Guide For
Performing Security Risk Assessments, Auerbach Publications, New York.
Lockhart A. , (2006), Network Security Hacks, O'reilly Media, Ca Sebastopol.
Malone,T., Menken, I. ve Blokdijk, G., (2009), It"l V3 Foundation Complete Certification Kit
- 2009 Edition: Study Guide Book And Online Course, Emereo Pty Ltd Publishing, Brisbane.
Mcgraw, G., (2010), “Software Security”, Security & Privacy Magazine Ieee, 2(2):80 – 81.
Mitnick, K. D., Simon, L. W. ve Wozniak, S., (2003) , The Art Of Deception: Controlling
The Human Element Of Security, Wiley Publishing, New York.
Munro, K., (2005). “Social Engineering”, Infosecurity Today, 2(3):44.
Nonaka, I. ve Takeuchi, H.,(1995), The Knowledge-Creating Company”, Oxford University
Press, New York.
Numano0lu, E., (2005), “Bs7799 Bilgi Güvenligi Yönetim Sistemi”, Önce Kalite Dergisi,
13(93):43-46.
Önal, H.,(2009),“10 Soruda Pentest(Penetrasyon Testleri)", Netsec Güvenlik Bülteni,VI:7-11.
Özinal, S., (2009), ”Ödeme Kartlar" Endüstrisi Veri Güvenli0i Standard"”, Bthaber Dergisi,
(702):12-15.
Pfleeger, P. C., (2006), Security n Computing, Fourth Edition, Prentice Hall, Westford.
Ramses, A., (2009), "New treat : DDoS", Rsa Information Security Conference 2009, 21-26
Nisan 2009, San Francisco.
Rattray, J. G., (2001), “The Cyber Threat”, The Terrorism Threat And U.S. Government
Response: Operational And Organizational Factors, Usaf Institute For National Security
Studies Us Air Force Academy Report, 85-92, Colorado.
Ruiu, D., (2006),“Learning From Information Security History”, Ieee Security & Privacy,
4(1):78-79.
Sa0"ro0lu, S. ve Tunçkanat, M., (2002), "Gizli Bilgilerin nternet Ortam"nda Güvenli Olarak
Aktar"m" çin Yeni Bir Yakla1"m” , Popüler Bilim Dergisi, 9(105), 12-17.
Sa0"ro0lu, S., Tunçkanat, M. ve Altuner, M., (2002),“Kriptolojide Yeni Bir Yakla1"m Resimli
Mesaj”, Telekomünikasyon Ekseni Dergisi, Telekomünikasyon Kurumu, 2(2):22-24.
Shahim, A., (2009), It Governance Attestation, Sdu Uitgevers Press, Den Haag.
Shinder, L. D. ve Tittel, E., (2002), Scene Of The Cybercrime: Computer Forensics
Handbook, Syngress Publishing Inc., Rockland.
136
Solms, B., (2006) “Information Security – The Fourth Wave”, Computers & Security,
25(3):166-167.
Sunay, S., (2003), “Bili1im Güvenli0i”, Pro-G Oracle Security White Paper, V.1, 31-33.
Tbd, (2005), E-Devlet Uygulamalar"nda Güvenlik Ve Güvenilirlik Yakla1"mlar" 4. Çal"sma
Grubu Sonuç Raporu, Türkiye Bili1im Derne0i.
Tbd., (2006), Bili1im Sistemleri Güvenli0i El Kitab" Sürüm 1.0, Türkiye Bili1im Derne0i
Yay"nlar", Ankara.
Tioia, The Institute Of Internal Auditors, (2006), Information Technology Controls, Iaa Gtag,
Florida.
Tipton, F. H. ve Krause, M, (2004), Information Security Management Handbook, Auerbach
Publications, New York.
Tse, (2006), Bilgi Teknolojisi – Güvenlik Teknikleri – Bilgi Güvenli0i Yönetim Sistemleri –
Gereksinimler, TSE, Ankara.
Vacca, J., (2006), Guide To Wireless Network Security, Springer, New York.
Wozniak S. ve Smith G. , (2006), Computer Geek To Cult Icon,Ww Norton And Company
Press, New York.
Yerlikaya, T., Bulu1, E. ve Bulu1, N., (2006), Kripto Algoritmalar"n"n Geli1imi Ve Önemi”,
Akademik Bili1im 2006, Pamukkale Üniversitesi Yay"nlar", Denizli.
Y"ld"r"m, B, (2010), "Bilgi Güvenli0i Stratejisi", ODTÜ IV. Uluslararas" Bilgi Güvenli0i ve
Kriptoloji Konferans", 6-8 May"s 2010, Ankara.
Zwicky, E. ve Cooper, S. ve Chapman B, (2000), Building Internet Firewalls, O'reilly Media,
Ca Sebastopol.
137
NTERNET KAYNAKLARI
[1.] “2010 Tmt Global Security Study”,

Http://Www.Deloitte.Com/View/Tr_Tr/Tr/Sektorler/Tmt/5ab7df0a273f8210vgnvc
m100000ba42f00arcrd.Htm, (16.06.2010).
[2.] Computerworld Dergisi ,
Http://Www.Computerworld.Com/S/Article/77360/How_To_Toughen_The_Weak
est_Link_ n_The_Security_Chain , (Eri1im Tarihi :30.10.2009).
[3.] ”Information Security Standards”, Http://En.Wikipedia.Org/Wiki/Iso/Iec_27001,
(08.07.2010).
[4.] “ so27001certificates and Turkey” ,
Http://Www. so27001certificates.Com/Taxonomy/Certificatesresults.Asp,
(02.26.2010.
[5.] “Bilgi Ça0"”, Http://Tr.Wikipedia.Org/Wiki/Bilgi_%C3%A7a%C4%9f%C4%B1,
(12.01.2010).
[6.] “Google Corporate Information”,
http://Www.Google.Com/ ntl/En/Corporate/Facts.Html, (16.03.2010).
[7.] “Google Market Value”, Http://Www.Nasdaq.Com/Reference/Barchartsectors.Stm,
(7.6.2010).
[8.] “Bili1im”, Http://Tdkterim.Gov.Tr/?Kelime=Bili%Feim&Kategori=Terim&Hng=Md,
(03.04.2010).
[9.] “Operation Sundevil”, Http://En.Wikipedia.Org/Wiki/Operation_Sundevil,
(13.11.2009).
[10.] “Kevin Mitnick”, Http://en.Wikipedia.Org/Wiki/Kevin_Mitnick , (05.12.2009).
[11.] “Prince2”, Http://Www.Prince-Officialsite.Com/Home/Home.Asp, (10.11.2009).
[12.] “Communications_Security”,
Http://En.Wikipedia.Org/Wiki/Communications_Security, (05.01.2010).
[13.] “Dos Appliance” , Http://Www.Cisco.Com/En/Us/Products/Ps5888/ , (02.04.2010).
[14.] “Nac”,
Http://Www.Cisco.Com/En/Us/Solutions/Collateral/Ns340/Ns394/Ns171/Ns466/A
t_A_Glance_C45-542749.Pdf, (15.12.2009).
[15.] “Once Thought Safe, Wpa Wi-Fi Encryption s Cracked”,
Http://Www.Pcworld.Com/Businesscenter/Article/153396/Once_Thought_Safe_
Wpa_Wifi_Encryption_is_Cracked.Html , (19.03.2010).
[16.] “A0 Güvenli0i çin 10 Kural”, Http://Www.Cyber-
Security.Org.Tr/Madde/135/A%C4%9f-G%C3%Bcvenli%C4%9fi-
%C4%B0%C3%A7in-10-Kural, (03.03.2010).
138
[17.] “Information Security”, Http://En.Wikipedia.Org/Wiki/Information_Security,

(15.03.2010).
[18.] “Information Security Standards”, Http://En.Wikipedia.Org/Wiki/Iso/Iec_27001,
(08.07.2010.
[19.] “Cobit”, Http://Tr.Wikipedia.Org/Wiki/Cobit, (18.03.2010).
[20.] “Cobit Framework”, Http://Www.isaca.Org/Knowledge-
Center/Cob"t/Pages/Overview.Aspx, (19.12.2009).
[21.] ”Payment Card Industry Data Security Standard”,
Https://Www.Pcisecuritystandards.Org/index.Shtml, (05.11.2009).
[22.] “Bs 25999 Business Continuity”, Http://Www.Bsigroup.Com/En/Assessment-And-
Certification-Services/Management-Systems/Standards-And-Schemes/Bs-25999/,
(19.01.2010).
[23.] ”Iso/Iec 27001 Sertifikas" Almas"n"n Avantajlar"”, Http://Www.Bsi-
Turkey.Com/Tr/Tetkik-Ve-Belgelendirme-Hizmetleri/Yonetim-
Sistemleri/Standartlar-Ve-Urunlerimiz/Iso-Iec-27001/, (27.11.2009)
[24.] “Iso 27001 Bgys’ye Haz"rl"k Çal"1malar"”, Http://Blog.Lostar.Com/2009/03/Kurumlara-
iso-27001-Uygulanmasi.Html, (14.02.2010).
[25.] “Çok Katmanl" Iso 27001 Süreci”, Http://Www.Bilgiguvenligi.Gov.Tr/Teknik-Yazilar-
Kategorisi/Cok-Katmanli-iso-27001-Sureci.Html, (12.04.2010).
[26.] “Iso/Iec 27001 Belgelendirme Yöntemi”, Http://Www.Bsi-Turkey.Com/Tr/Tetkik-Ve-
Belgelendirme-Hizmetleri/Yonetim-Sistemleri/Standartlar-Ve-Urunlerimiz/Iso-
Iec-27001/, (19.12.2009).
[27.] “Current List Of Certification Bodies in International Register Of Isms Certificates”,
Http://Www.iso27001certificates.Com/Certification_Directory.Htm, (11.01.2010).
[28.] “Tse Akreditasyon”, Http://Www.Tse.Org.Tr/Turkish/Kaliteyonetimi/27001.Pdf,
(11.01.2010).
[29.] “Number Of Certificates Per Country in International Register Of Isms Certificates”,
Http://Www.iso27001certificates.Com/Register%20search.Htm, (15.01.2010).
[30.] “Turkey Certified Company in International Register Of Isms”,
Http://Www.iso27001certificates.Com/, (19.01.2010).
[31.] “Kurumsal Bilgi Güvenli0i Ve Güncel Tehditler”, Http://Www.Cyber-
Security.Org.Tr/Madde/183/Kurumsal-Bilgi-G%C3%Bcvenli%C4%9fi-Ve-
G%C3%Bcncel-Tehditler, (11.04.2010).
[32.] “The Goal Of Attacks s Going To Where”,
Http://Www.Gartner.Com/Technology/Analysts.Jsp, (12.10.2009).
[33.] “Veri Tabanlar"n" Bekleyen Tehlikeler: "r"nga Edilen Sql fadeleri”,
Http://Www.Enderunix.Org/Docs/Sql_ njection.Pdf, (12.11.2009).
139
[34.] “Gartner Magic Quadrant On Static Application Security Testing- Feb. 2009”,
Http://Www.Dragoslungu.Com/2009/02/15/Gartner-Magic-Quadrant-On-Static-
Application-Security-Testing-Feb-2009/, (05.11.2009).
[35.] “Cenzic Web Application Security Trends Report – Q3-Q4, 2009”,
Http://Www.Cenzic.Com/Downloads/Cenzic_Appsectrends_Q3-Q4-2008.Pdf,
(07.05.2010).
[36.] “2010 Tmt Global Security Study: Bounce Back”,
Http://Www.Deloitte.Com/View/Tr_Tr/Tr/Sektorler/Tmt/5ab7df0a273f8210vgnvc
m100000ba42f00arcrd.Htm, (16.06.2010).
[37.] “Internet: Ernst & Young´In “Küresel Bilgi Güvenli0i Anketi “,
Http://Www.Ey.Com/Publication/Vwluassets/Bilgi_Guvenligi_Anketi_Bb/$File/E
rnst%20&%20young%20bilgi%20g%C3%Bcvenli%C4%9fi%20anketi%202008%
20-%20b%C3%9clten.Pdf, (03.03.2010)
[38.] “10 Soruda Pentest”, Http://Blog.Lifeoverip.Net/2009/10/06/10-Soruda-
Pentestpenetrasyon-Testleri/, (10.07.2010).
[39.] “Bili1im Suçlar" ve Sistemleri ube Müdürlü0ü”, Http://Bilisimsuclari. em.Gov.Tr/,
(15.03.2010).
[40.] “Kaçakç"l"k Ve Organize Suçlarla Mücadele- Bili1im Suçlar" Ve Yükselen Trentler”,
Http://Www.Kom.Gov.Tr/Tr/Konudetay.Asp?Bkey=64&Kkey=172 ,
(25.05.2010).
[41.] “Ego Genel Müdürlü0ü- Ülkemizdeki Bili1im Suç Tipleri”,
Http://Web.Ego.Gov.Tr/ nc/Newsread.Asp?Id=247, (12.04.2010).
140
ÖZGEÇM
Do0um tarihi 01.11.1973
Do0um yeri anl"urfa
Lise 1988-1991 Gaziantep Atatürk Lisesi
Lisans 1992-1996 Y"ld"z Teknik Üniversitesi. Elektrik Mühendisli0i
Yüksek Lisans 2009-2010 Y"ld"z Teknik Üniversitesi Fen Bilimleri Enstitüsü

Elekt Mak. ve.Güç Elektoni0i Anabilim Dal"
Çal.<t.?. kurum(lar)
1994-1997 IBM (Part time)

1997-2001 TURKCELL- ENTER
2001-2002 New York NESTECH
2002–2006 SUPERONLINE, Istanbul
2006-Devam ediyor MKK

Kurumsal B LG Güvenl Yönet M S Stemler Ve Güvenl: Yildiz Tekn K Ün Vers Tes Fen B L Mler Enst Tüsü

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Kurumsal B LG Güvenl Yönet M S Stemler Ve Güvenl: Yildiz Tekn K Ün Vers Tes Fen B L Mler Enst Tüsü

Uploaded by

Copyright:

Available Formats

YILDIZ TEKN K ÜN VERS TES

FEN B L MLER ENST TÜSÜ

KURUMSAL B LG GÜVENL YÖNET M S STEMLER

Elektrik Mühendisi Mustafa GÜLMÜ"

YÜKSEK L SANS TEZ

Tez Dan#,man# : Prof. Dr. brahim "ENOL

S MGE L STES ........................................................................................................................ v

KISALTMA L STES ............................................................................................................... vi

Ç ZELGE L STES ..................................................................................................................xii

ÖNSÖZ .................................................................................................................................... xiii

ÖZET ....................................................................................................................................... xiv

2.1 Bilgi ....................................................................................................................... 12

3.1 Bilgi Güvenli0ine Genel Bak"1 .............................................................................. 16

4.1 ITIL ........................................................................................................................ 51

5.1 ISO/IEC 27001:2005 Standard"............................................................................. 59

6.1.1 Bili1im Teknolojilerinde Risk Yönetimi ............................................................... 79

7.1 Tehdit ..................................................................................................................... 89

8.1 Penetrasyon Testi ................................................................................................. 114

9.1 Bilgi Güvenli0iyle lgili Uluslararas" Mevzuatlar ............................................... 116

10.1 Sonuçlar ve De0erlendirmeler ............................................................................. 123

NTERNET KAYNAKLARI ................................................................................................. 137

ÖZGEÇM ............................................................................................................................ 140

FW Firewall- Güvenlik Duvar"

ABD Amerika Birle1ik Devletleri

ekil 1.1 Bilgi güvenli0inde insan-teknoloji-süreç ili1kisi......................................................... 7

Çizelge 5.4.1.1. ISO27001 için akredite edilmi1 sertifikasyon kurumlar" ............................... 72

Bu çal"1mada bilgi güvenli0i ve unsurlar" incelenerek, kurumsal bilgi güvenli0i ve standartlar"

Bili1im ve bili1im a0lar"n yayg"nla1mas", internet ortam" ve internet ortam"nda kullan"lan

Günümüzde bilgi ve bilgisayar güvenli0ine önem vermemenin, bize, çocuklar"m"za,

Günümüzde bilgi, ileti1im ve teknoloji ile iç içe geçmekte ve kullan"m" artmaktad"r. Bu

Elektronik platformlarda sunulan hizmetlerin (internet bankac"l"k, e-fatura, e-bilet, e-ticaret,

Bilgi teknolojileriyle birlikte geli1tirilen elektronik uygulamalar bir yandan hayat"m"z"n

Günümüzde elektronik platformlar üzerinde yap"lan güvenlik ihlal ve suistimalerinden

Kullan"c"lar bilgi güvenli0i hakk"nda edinecekleri bilinçlendirme ve bilgilendirme e0itimleri

Ülkemiz verilerini de içeren güvenlik raporlar"nda kurumsal bilgi güvenli0i konusunda

Penetrasyon testi yapan kurumlar"n listesi tezin 8. Bölümünde verilmi1tir.

Bilgi güvenli0inin sa0lanmas"na yönelik kurumlar taraf"ndan maddi yat"r"mlar

ekil 1.1 Bilgi güvenli0inde insan-teknoloji-süreç ili1kisi

Kurumlar"n standartla1ma sa0lamas" için kabul gören standart ve çerçevelere (Framework)

Bu çal"1mada bu konunun önemi gözetilerek kurumsal bilgi güvenli0inin sa0lanmas"nda

Standartlasma konusuna önderlik eden Ingiltere taraf"ndan geli1tirilen BS–7799 standard",

Ülkemizde Avrupa Birligi Uyum Kriterlerinde de ad" geçen bu standartlar"n uygulanmas"

ISO–27001:2005 standard" ülkemizde Türk Standartlar" Enstitüsü (TSE) taraf"ndan TS

planlanmas" aç"s"ndan önem ta1"maktad"r.

Yukar"da da bahsedildi0i üzere internet h"z kapasiterlerinin artmas" ve ileti1imin geçmi1e

Kurumsal bilgi sistemlerinin güvenli0inin sa0lanmas"nda zaafiyetlerin ve eksikliklerin erken

Dünyada ve ülkemizde bili1im güvenli0inin ilerleme yönlerini görerek önleyici tedbirleri

Bili1im ve ileti1im ortam ve teknolojilierinin h"zla geli1emesi, a0 kapasitelerinin artmas" ve

güvenli0iyle ilgili mevzuata hâkim olunmal"d"r. Yukar"da s"ralanan ihtiyaçlar"n aç"klanmas"

2.1.1 Bilgi Varl.klar.

2.1.1.1 Kurumsal Bilgi Varl.klar.n.n S.n.fland.r.lmas. ve Korunmas.

• Yaz.l.mlar: 1letim sistemleri, uygulama yaz"l"mlar", veritabanlar"nda duran bilgileri,

• Fiziksel varl.k ve donan.mlar: Sunucular, PC’ler, fax-fotokopi, telefonlar vb.

• nsan Kaynaklar.: Çal"1an personel.

• Hizmetler: Bilgi sistemlerinin ba0"ml" oldu0u ileti1im ve bilgisayar hizmetleri, enerji,

• Maddi olmayan varl.klar: Entellektüel varl"klar, imaj ve itibar örnek verilebilir..

Bu tez çal"1mas"nda bunun gerekçelerini ortaya koymak ve al"nmas" gereken önlemleri

3. BL M S STEMLER GÜVENL >

3.1 Bilgi Güvenli?ine Genel Bak.<

Bilgi güvenli0i, bilgiyi yetkisiz eri1imlerden koruyarak gizlili0ini(confidentiality) sa0lamak,

Bilgi güvenli0inin denince için gizlilik, bütüntük ve eri1ilebilirlik kavramlar" ön plana

Bilginin bütünlü?ü(integrity), o bilginin tahrif edilmeden, de0i1tirilmeden oldu0u gibi

Bilginin eri<ilebilirli?i veya kullan.labilirli?i(availability) bilgiye istenilen ve makul olan