Bilgi Varlıkları Envanterinin Oluşturulması ve Gizlilik Derecelerine Göre Sınıflandırılması
Bilgi varlıkları, bir kurum tarafından saklanan, üretilen ve/veya işlenen her türlü veriyi ifade eder.
Bilgi varlıkları, müşterilerin kişisel ve ticari bilgileri, kuruma ilişkin özel finansal bilgiler, ürün ve hizmetlerle ilgili bilgiler, çalışanlara ilişkin özel nitelikli kişisel bilgiler ve diğer önemli veriler olabilir.
Bilgi varlıklarının gizlilik derecesi, verilerin güvenliği ve gizliliğinin korunması gerektiği ölçüde belirlenir ve bu verilerin içeriğine, kullanım amaçlarına ve diğer faktörlere göre değişebilir.
Bilgi varlıkları, gizlilik derecelerine göre sınıflandırılır. Bu sınıflandırma, verilerin güvenliğinin sağlanması ve gizliliğinin korunması için gereken önlemleri belirlemek amacıyla yapılır. Örneğin, müşterilerin kişisel bilgileri veya kurumun finansal bilgileri daha yüksek bir gizlilik düzeyine sahip olabilir, çünkü bu verilerin yetkisiz kişilerin eline geçmesi halinde ciddi sonuçları olabilir. Ayrıca, bu sınıflandırma, verilerin doğru ve güncel şekilde saklanması, işlenmesi ve yedeklenmesi için gerekli önlemlerin alınmasını da sağlar.
Gizlilik sınıflandırmaları, TSE’nin Bilgi Varlıklarının Gizlilik Derecelerine Göre Sınıflandırılması Kriteri (TES K 523’e göre gerçekleştirilir.
Kurumlardaki en önemli siber güvenlik açıklarından/risklerinden birisi de veri sızıntısıdır. Veri sızıntısının önlenmesi için, sınıflandırılmış bilgi varlıkları temel alınarak, aşağıdaki temel adımlar izlenebilir:
1-Erişim Kontrolleri: Sınıflandırılmış verilerin güvenliğini koruyabilmek için, erişim kontrolleri oluşturulabilir. Bu kontroller, verilere erişimi sadece yetkilendirilmiş personel için mümkün kılar ve yetkisiz erişimi engellemeyi amaçlar.
2-Şifreleme: Verilerin güvenliğini artırmak amacıyla veriler şifrelenebilir. Şifreleme, verilerin sızması halinde yetkisiz kişilerin eline geçmesini önleyebilir ve verilerin güvenliğini koruyabilir.
3-Veri İzleme ve Algılama: Sızıntıların öncelikle fark edilmesi ve hızlı bir şekilde çözümlenmesi gerekir. Bu nedenle, veri izleme ve algılama sistemleri kurulmalıdır. Bu sistemler, veri sızıntılarını ve diğer potansiyel güvenlik tehditlerini anında tespit edebilir ve müdahale etmeyi mümkün hale getirir.
4-Politikalar ve Prosedürler: Veri sızıntısını önlemek için kurumlar politikalar ve prosedürler oluşturmalıdır. Bu politikalar ve prosedürler, veri güvenliği ve gizliliği ile ilgili olarak nasıl hareket edilmesi gerektiğini belirler ve tüm personel tarafından uygulanması gerekir.
5-Eğitim: Tüm personel veri güvenliği ve gizliliği konularında eğitilerek bu alandaki farkındalık artırılmalıdır. Eğitimler, verilerin güvenliği ve gizliliği ile ilgili olarak gerekli dikkatin ve özenin gösterilmesini sağlayarak, potansiyel güvenlik tehditlerinin önlenmesinde önemli bir role sahiptir.
