Erişim Kontrolü

TS ISO/IEC 27001:2005-A.11

Bilgiye erişim kontrol altına alınmalı! Kim, ne (yapabilir) ve kalan 5N1K…

 

İster akademik, ister pratik kullanım için olsun, tüm bilişim güvenliği kitapları erişim kontrolü konusuna büyük yer verirler. Bilgi güvenliğinin her üç bileşeni de (gizlilik, bütünlük ve kullanılabilirlik) erişim kontrolü kullanılarak gerçekleştirilir. Bilgi güvenliği yönetim sistemi standardı ISO/IEC 27001 de (standart) erişim kontrolünü ana başlıklarından biri olarak ele alıyor. Erişim kontrolü, sadece bilgi sistemlerine değil, bilgiye ve iş süreçlerine yapılan erişimi düzenlemeyi hedefliyor.

Hemen her konuda olduğu gibi erişim kontrolü de önce iş ve güvenlik gereksinimlerini temel alan bir politika ihtiyacına sahip ve bu ihtiyaç standartta ilk sırada yerini almış durumda. Maddenin esas amacı kullanıcı erişim haklarının ve kurallarının belirlenmesi ve tahsis edilmesi için yapılması gerekenlerin iş gereksinimlerinden çıkartılması ile bir politika dokümanında açık bir biçimde ifade edilmesidir. İşin yapılması sırasında gerekli olmayan hiçbir erişime izin verilmemesi gerekliliği hem teorik hem de pratik olarak politika dokümanlarında yer almalıdır.
Politika dokümanı hazırlanır ve gözden geçirilirken bilginin, hizmetlerin, ağların ve/veya erişim sağlanılan uygulamaların güvenlik gereksinimleri ile yasal mevzuat dikkate alınmalı, iş ihtiyaçlarına göre kullanıcı erişimini tanımlayan bir yapı ortaya konmalıdır. Tüm politika dokümanlarında olduğu gibi, erişim kontrolü politikası da düzenli aralıklarla gözden geçirilmelidir.

Erişimi kontrol altına almak için önce temel bir sorunun yanıtlanması gerekiyor. Bu kim? Başka bir değişle yapılan tanımlara bağlı olarak yetkilendirme yapabilmek için önce karşımızdakinin kim ya da ne olduğundan emin olmak gerekiyor. Erişim kontrolünü insanlar genellikle kimlik karşılaştırması ile yapıyorlar. Oysa doğrulamayı yapacak olan bir insan değil, bilgisayarsa karşımıza birçok seçenek çıkıyor. Bildiğiniz gibi en çok kullanılan seçenekler basit kimlik doğrulamada kullanıcı adı ve parola kullanımı, güçlü kimlik doğrulamada da akıllı kart ve pin kullanımıdır. Kimlik doğrulama sadece insanlar için yapılmıyor. Ağ sistemlerinde bir donanımın (kullanıcı bilgisayarı) ya da bir uygulamanın (vertiabanı yönetim sistemi) kaynaklara erişmeden önce kimlik doğrulaması yapması gerekir. Böylece yetkilendirme yapılabilir.

Kimlik doğrulamanın zayıf iki önemli halkası vardır, tanımlama süreci ve kullanıcı farkındalığı… Yıllar önce yaptığımız bir denetimde, çok bütçe harcanarak kurulmuş, farklı biyometrik özellikleri kullanan bir güvenlik yapısını çok basit bir yöntemle aşabilmiştik. Yeni kullanıcıların sisteme girişlerini tanımlamak üzere satışı firmanın görevlilerine “yeni işe başlayan personel” olarak kendimizi tanıttığımızda bize yardımcı olup sistemlere girişimizi yaptılar. Burada teknolojik bir güvenlik açığı yerine kullanıcı tanımlama süreçlerinin yeterince güvenli olmaması, kullanıcı tanımlamanın önceden onaylamasının gerekmemesini kullanmıştık. Bu ve benzeri problemleri çözebilmek için her kullanıcının, erişim sağlayacağı iş gereksinimi için bilgi sistemine, ağa veya hizmete ulaşması, önceden resmen yetkilendirilme ve kaydedilme şartları ile sağlanmalıdır.

Erişim koşulları kadar, istenen bilgi sisteminin, ağının, hizmetinin ya da uygulamasının tanımlanması üzerine kullanıcı kayıt formu hazırlanmalıdır. Bu form, koşulların kabul edildiği anlamında başvuru sahibince; kayıt olacak başvuru sahibi için de sistemin sahibi olan yetkili tarafından imzalanmalıdır. Bu forma kullanıcı kimlik bilgileri de eklenmeli ve daha sonra kayıt için dosyalanmalıdır.

İş amacıyla erişim nedeni ortadan kalktığında – örneğin; işe son verilmesi, kuruluş içerisinde iş değişikliği yapılması gibi – kullanıcıların sistemden anında çıkarılması aynı derecede önemlidir. Yetkisiz kişilerin kaynaklara yanlışlıkla erişmesi tehlikesi bulunduğundan işten çıkarılan kullanıcıların kimlik bilgilerinin başka kullanıcılara verilmemesi gerekir. Bu durumda süreçler içinde tanımlanmalı, otokontrol yöntemleri ile kullanıcıların sistemdeki haklarının kaldırıldığının garanti altına alınması da önemlidir.

Kullanıcıların da kendi görev ve sorumluluklarının bilincinde olmamaları da kimlik doğrulama ve buna bağlı olarak erişim kontrolü açısından ciddi güvenlik açıkları yaratıyor. Bu açıkların en basiti kullanıcıların parolalarını başkalarıyla paylaşmalarıdır. Bu durum sadece kullanıcıların bilgisizliğinden ve özensizliğinden kaynaklanmıyor. Erişim haklarının, bir kullanıcı izin ya da farklı bir nedenle çalışma alanı dışındayken işlerin aksamamasını sağlayacak şekilde düzenlenmemesi de önemli bir parola paylaşım nedeni. Ayrıca tüm önemli iş bilgilerinin bireysel cihazlar yerine ortak erişime uygun sunucularda saklanması da parola paylaşım problemini çözmek için önemli bir etken.

Erişim kontrolü içinde yer alan ayrıcalıkların yönetilmesi, yetkilendirme süreci içindeki en önemli prensip ihtiyaca bağlı hak tanımlamadır. Tanımlanan her erişim hakkı için iş ihtiyacı açıkça belirlenmeli, gerekiyorsa onay sürecinden geçirilmeli ve kayıt altına alınmalıdır.

Sistemlere ayrıcalıklı erişim yönetim için kontrol edilmesi çok kolay değildir. Sistem mühendisleri gerçekten gerekli olmayan bir ayrıcalığı sunma konusunda yöneticileri ikna etmeye çalışabilir. Ayrıcalıklar, iyi planlanmış, dönemsel denetimlerle kontrol edilmelidir. Gerçekte, çoğu altyapı, etkili bir şekilde kullanımda bile, çok az ayrıcalığa gereksinim duyar.

Bu süreç içinde yapılacak risk belirleme de, sadece ayrıcalıkların sunulması riskine değil, aynı zamanda bu ayrıcalıklara sahip olunmasının sonuçlarına da yöneliktir. Yetkilendirme, üst bazı durumlarda bağımsız uzmanlarla desteklenmesine ihtiyaç duyulabilen doğru gerekçelerle, üst seviyede yapılmalıdır.

Acil durumlarda müdahalenin hızla gerçekleştirilebilmesi için özel ayrıcalık verilmesi için önemli bir ihtiyaç ortaya çıkabilir. Hızlı bir biçimde kurtarma, sistemin içine erişmeye ve sadece ayrıcalık gerektirmeyen, aynı zamanda sistemi korumak amacıyla yerleştirilmiş olan denetimleri de devre dışı bırakmak için değişikliklerin yapılmasına ihtiyaç duyan bir sistem mühendisinin itinalı çalışmasını gerektirebilir.

Ayrıcalık sahibi olan kişiye ulaşılamazsa ne olur? Ayrıcalık sahibi kişinin bulunmadığı zamanlarda, ayrıcalık tanınacak başka bir sistem mühendisinin devreye girmesi gibi yöntemlere benzer acil durum düzenlemelerinin yapılması gereklidir. Bu durumda çözüm, tüm haklara sahip bir kullanıcı tanımlarken bu kullanıcının parolasının bir kasa içinde zarfta saklanmasını sağlamaktır. Acil durumda kasa açılacak ve parola ile müdahale gerçekleşecektir.