Bilgi güvenliği

Bilgi sistemlerinin ve bileşenlerinin hukuka aykırı veya 0.2 Bilgi Güvenliğini Sağlamada Faydala-
yetkisiz her türlü müdahale veya etkiden korunması; bil- nılan Süreçler
gi ile ilgili yapılan her türlü işlemde bilginin gizliliğinin,
bütünlüğünün ve erişilebilirliğinin temini ve bu işlemlerin
Bilgi güvenliği oldukça kapsamlı ve karmaşık bir süreç-
sadece yetkili kişiler tarafından yapılmasının sağlanması-
tir. Bilgi güvenliğinin sağlanması üç temel sürecin birlik-
na bilgi güvenliği denir.
te yürütülmesi ile yakından ilgilidir. Bu üç temel süreci
Bilgi güvenliği, kurumsal varlıklar arasında belki de en yönetsel süreç, teknolojik önlem süreci, eğitim ve farkın-
önemli yere sahip olan bilginin tahribat, silinme, bozulma dalık süreci olarak tanımlayabiliriz.
gibi zarar verici unsurlara ve olası saldırılara karşı korun-
Bunlardan biri doğru plan, strateji ve politikalarla doğru
masını sağlayan birtakım uygulamaları kapsamaktadır[1] .
bilgi güvenliği yönetimi uygulamalarını kapsayan yönet-
Bilgi güvenliği, bilginin yetkisiz kişilerce kullanımının
sel süreç, ikincisi şifreleme, güvenlik duvarları, anti virüs
önlenmesi, doğruluk ve bütünlüğünün korunması ve yet-
yazılımları, yedekleme, denetim gibi teknik içerikli çö-
kisi olan bireyler tarafından erişilmesini sağlamak şeklin-
zümleri kapsayan teknolojik önlem süreci ve son olarak
de tanımlanmaktadır.
kullanıcıların eğitim yoluyla bilgi güvenliği bilinci kazan-
Bilgi merkezlerinde ve kar amacı gütmeyen kurumlarda malarını sağlayan eğitim ve farkındalık sürecidir.
ise bilgi güvenliği, ağ kaynaklarını kontrol edebilmek, ku-
rumu siber tehditlere karşı koruyabilmek, gelebilecek sal-
dırılara karşı bilgi sistemlerini koruyucu tedbirler almak
ve saldırıları öngörebilmektir[2] .
0.2.1 Bilgi Güvenliğini Sağlama ile İlgili TCK
Maddeleri
0.1 Bilgi Güvenliği İlkeleri Nelerdir ?
Türkiye’de bilgi merkezlerinde bilgi güvenliğinin sağlan-
Bilginin sürekli korunmasını gerektiren üç temel ilke bu- ması konusu ile ilgili yasal düzenlemeler Türk Ceza Ka-
lunmaktadır. Bu üç temel ilke gizlilik, bütünlük ve erişi- nunu’nun 243 ve 244. maddelerinde yer almaktadır.
lebilirlik ya da süreklilik ilkesi olarak sıralanabilir. Türk Ceza Kanunu’nun 243. maddesi bilişim sistemine
Nitelik ya da ilkelerden biri olan gizlilik; bilginin yetkisi hukuka aykırı olarak girme suçunu; 244. maddesi ise
olmayan kişilerce erişilemez hale getirilmesini sağlamayı bilişim sisteminin işleyişini engelleme, bozma, verileri
kapsamaktadır. Ancak bilgi hırsızları ve/veya sosyal mü- yok etme veya değiştirme suçunu düzenlemektedir. Fa-
hendisler olarak bilinen saldırganlar bu bilgileri ve şifre- kat bu konuda kamu kuruluşlarına ve özel kuruluşlara
leri izinsiz ve gizli şekilde elde edebilmektedirler. Şifre- yol gösteren ya da birtakım önlemlerin alınması konusun-
lerin ele geçirme, çalma ya da tahmin yöntemleriyle kı- da zorunluluk getiren yasal düzenlemeler bulunmamak-
rılması gizlilik ilkesine aykırı davranışlardır. tadır. Bu konuda yol gösterici olarak nitelendirilebilecek
en önemli çalışma ve aynı zamanda ilk uluslararası söz-
Bütünlük ilkesi göndericiden alıcıya iletilen bilginin de-
leşme, 2001 yılında kabul edilen Avrupa Konseyi Siber
ğiştirilmeden ya da bozulmadan alıcıya ulaşmasını sağla- Suçlar Sözleşmesi’dir. Avrupa Konseyi Siber Suçlar Söz-
maya yönelik uygulamaları içerir[2] . leşmesi; siber suçları tanımlamakta, cezai soruşturma ve
Erişilebilirlik ya da süreklilik ilkesi ise sistemin kurum kovuşturma yöntemlerini belirlemekte ve üye ülkeler ara-
içi ve kurum dışı kimselerce zarar verilmeden kullanıl- sında işbirliği ve koordinasyonun geliştirilmesini sağla-
masını ve sürekliliğin korunmasını sağlayan uygulamaları mayı amaçlamaktadır[4] .
kapsar[3] . Bahsedilen bu yasal düzenlemelerin eksikliği, bilgi mer-
Bu ilkeler ve benzer diğer önlemler bilgi merkezleri kezleri ve diğer kurumların bünyesinde bulunan bilgile-
ve/veya diğer kurumlarda bulunan bilgileri ve kişisel ve- rin ve/veya kişisel verilerin korunması yönünde önemli
rileri korumaya yönelik faaliyetlerdendir. Bu tür faaliyet- bir sorun teşkil etmektedir. Bu sorunun çözümüne yöne-
ler içinde bulunduğumuz bilgi toplumu çağının bir getiri- lik çalışmaların az olması ise başta biz bilgi uzmanları ve
si olan siber saldırı, kişisel verilerin ele geçirilmesi, bilgi konu ile ilgili diğer tüm sorumluların bir eksikliğidir. Bu
hırsızlığı, kimlik hırsızlığı, veri madenciliği vd. suç tür- sorunun çözümüne yönelik çalışmaların sayısı artırılmalı
lerini önlemek amacıyla yapılmış ve yapılmakta olan ön- ve bilgi merkezleri başta olmak üzere diğer kurumların
lemler olarak ele alınabilir. bünyesinde bulunan veriler koruma altına alınmalıdır.

1
2

0.3 Bilgi Merkezlerinde Bilgi Güvenliği Yapılan sözleşmelerin kütüphane politikalarına, kullanı-
Nedir ve Neden Sağlanmalıdır ? cı gizliliğinin korunması ilgili etik değerlere ve hukuksal
düzenlemelere uygun olması,
Elektronik ortamda yer alan bilgi, günümüzde bir varlık Küçük yaştaki bilgi merkezi kullanıcılarının ailelerinin
olarak algılanmalıdır. Özellikle elektronik bilgilerin yo- de bilgi merkezinde geçerli olan gizlilik politikaları ile
ğun olarak toplandığı kütüphaneler, arşivler, doküman- ilgili olarak bilgilendirilmeleri ve belirlenen politikalar
tasyon ve enformasyon merkezlerinde; bilginin gizliliği- dahilinde belirli bir yaşın altında (örneğin; Amerika’daki
nin ve bütünlüğünün bir varlık olarak korunması bilgi ‘’Çocukların Çevrimiçi Gizliliğini Koruma Yasası’’ için-
profesyonelleri tarafından uyulması zorunlu yükümlülük- de 13 yaş sınırı olduğu gibi) bulunan küçüklerden ailesi-
ler haline gelmiştir. nin bilgisi dışında kişisel bilgi alınmaması, yerel bir bilgi
[4]
Elektronik depolama ortamlarındaki binlerce önemli ve merkezinin alabileceği uygulanabilir .
korunması zorunlu veri nedeniyle hemen her özel kuru- ALA’nın belirlemiş olduğu şablonu inceleyecek olduğu-
luş ya da kamu kuruluşu gibi; bilgi merkezlerinin de gü- muz da bilgi merkezlerinde bilginin korunmasına yönelik
nümüzde ve yakın gelecekte işlevsel doğası gereği siber birtakım çalışmaların bulunduğunu görmekteyiz. İçinde
saldırı denemelerinin öncelikli hedefleri arasında yer ala- bulunduğumuz bilgi toplumunun bir getirisi olan tekno-
cağı öngörülebilir[4] . lojik gelişmeler, beraberinde birçok problemi getirmiştir.
Bilgi merkezlerindeki dijitalleştirilme çalışmalarının hız Bu durumu bilgi merkezleri bünyesinde inceleyecek olur-
kazandığı ve elektronik ortamda oluşturulmuş bilgi ora- sak bilgiye kolay erişim, bilgiye izinsiz erişim gibi prob-
nının katlanarak arttığı düşünüldüğünde, bilgi merkezle- lemleri sıralayabiliriz. Tüm bu tehditleri ortadan kaldır-
rinin bilgi güvenliğinin sağlanması konusundaki sorum- mak için ise tıpkı ALA’nın yapmış olduğu gibi çözüme
luluklarının da her geçen gün artmakta olduğu söylene- yönelik şablonlar ya da daha farklı çözüm yolları belirle-
bilir. Bilgi hizmetlerinde bilgi sistemlerine bağlılığın art- meliyiz.
ması, tehditlere daha fazla açık olma anlamına gelmek-
tedir. Bilgi merkezlerinde görülen bu bağlılıkla beraber
oluşacak olası siber saldırı tehditleri, bilgi güvenliğinin 0.4.1 Bilgi Merkezlerinde Bilgi Güvenliği İçin Çö-
sağlanması konusunda alınması gereken önlemler de art- züm Önerileri
makta ve bilgi merkezlerine düşen görev ve sorumluluk-
lar daha da önem kazanmaktadır. Kütüphanelerde bilgi güvenliğini sağlamanın teknik içe-
rikli birtakım uygulamaları olmakla birlikte en önemli rol
insana düşmektedir. Bu nedenle kütüphanelerde bilgi gü-
0.4 Bilgi Merkezlerinde Bilgi Güvenliği venliğine ilişkin bilinç ya da farkındalığın arttırılması kü-
tüphane faaliyetlerinin amaca uygun ve sorunsuz bir şe-
Nasıl Sağlanmalıdır ? kilde yürütülmesinde büyük önem taşıyacaktır. Bu çerçe-
vede verilecek bir farkındalık eğitiminin, bilgi güvenliği
Bilgi teknolojilerinin kullanımının her geçen gün arttı-
bilincinin arttırılmasında önemli bir rol üstleneceği düşü-
ğı bilgi merkezlerinde özellikle elektronik ortamda bilgi nülmektedir.
erişimlerinin artmasıyla birlikte, bilgi merkezlerinde bu-
lunan kişisel bilgilerin gizliliğine yönelik tehditler artacak Bilgi güvenliği ile ilgili sorumlulukların bir görev anla-
ve güvenlik açıklarına yol açacaktır. yışıyla yerine getirilmesinin güvenlik ihlallerinin azalma-
sında önemli bir rol oynayacağı düşünülmektedir.
Gizliliğin korunması ile ilgili yerel olarak bir bilgi mer-
kezinde alınması gereken önlemler konusunda, American Kütüphane personeli kullandıkları yazılımların güven-
Library Assocation’ın belirlediği şablon üzerinden aşağı- lik eklentilerinin güncellenmesi, anti virüs yazılımlarının
da yer alan temel hususlar örnek alınabilir. Buna göre; kullanılması, saklanan verilerin yedeklenmesi gibi tedbir
uygulamalarını gerçekleştirecek sosyal mühendislik sal-
Elektronik ortamda bulunan verilerin erişimi konusunu
dırıları da dahil olmak üzere olası her türlü tehdide karşı
da içine alacak şekilde yazılı bilgi güvenliği ve gizlilik kütüphane materyallerinin korunmasına katkı sağlayabi-
politikasının geliştirilmesi,
lirler.
Bilgi merkezlerinde çalışan tüm bilgi profesyonellerinin Kütüphane koleksiyonunda yer alan materyallerin ve in-
hukuksal ve etik sorumluluklar konusunda eğitilmesi, ternet araçlarının kullanımı kurumsal bir politika ile net
Bilgi profesyonellerinin yetkisiz erişimlerin tespiti ve giz- bir şekilde ifade edilmelidir. Kural dışı kullanım için
liliğin ihlal edildiği bu tür durumlarda hangi birimlerle cezai yaptırımların uygulanmasının caydırıcı olabileceği
(bilgi işlem ve savcılık gibi) koordineli olarak çalışacağı düşünülmektedir.
konusunda bilgilendirilmesi, Kütüphane kaynaklarının güvenli bir şekilde kullanılma-
Yapılan düzenlemelerle ilgili üyelik sürecinde ve sonra- sı hususunda kullanıcılara verilecek eğitimin karşılaşı-
sında kullanıcıların bilgilendirilmesi. Bilgi güvenliği ve lan güvenlik sorunlarını azaltacağı düşünülmektedir. Bu
gizliliğin sağlanması konusunda kullanıcıların alacakları amaçla özellikle kullanıcı eğitimi ya da rehberlik hizme-
önlemlerin bildirilmesi, ti veren kütüphanecilerin gerçekçi hedeflerle tasarlanmış
0.6 Bilgi Merkezlerinde Bilgi Profesyonellerinin Üzerine Düşen Görevler Nelerdir ? 3

bir eğitim programı ile kullanıcılara gerekli eğitimi sun- lendirmelerin aktif bir şekilde yapılması, personele belirli
ması çözümleyici olabilir. düzeylerde teknoloji bilgisinin verilmesi ve/veya seçilen
personellerde bu özelliklerin aramasıyla ve bilgi güvenli-
ğini kurumsal misyon olarak belirleme ile sağlanabilir.
0.5 Bilgi Merkezlerinde Bilgi Güvenliği
Farkındalığı
0.6 Bilgi Merkezlerinde Bilgi Profesyonel-
Bilgi merkezlerinin yaşanabilecek olan her türlü siber lerinin Üzerine Düşen Görevler Neler-
tehdide karşı önlem alabilmesi, personelin ve/veya çalışa- dir ?
nın bu tehdide karşı bilinçlendirilmesi için bilgi uzmanla-
rının kurumsal politikalar çerçevesinde farkındalık yarat- Bilgi teknolojilerinin gelişimi ve bilişim dünyasının geli-
ması ve bunu personele kabul ettirmesi gerekmektedir. şimi ile doğru orantılı olarak sürekli kendini yenileyen ve
geliştiren siber saldırı yöntemleri ve bu konu ile yine doğ-
ru orantılı olarak gelişim ve ilerleme göstermesi gereken
0.5.1 Bilgi Merkezlerinde Bilgi Güvenliği Farkın-
bilgi güvenliği konusu, bilgi uzmanları açısından zorunlu
dalığı Yaratmanın Önemi
bir konu ve sorunsal haline gelmiştir. Bilgi merkezlerinde
sunulan erişim hizmetlerinin güvenliğinden yine bilgi uz-
Bilgi merkezlerinde çevrimiçi kaynakların, kurumsal
manları sorumlu olmuştur ve bu konudaki sorumlulukları
amaçların dışında kullanımı ve bunun sonucunda ortaya
siber saldırı tehditleri geliştikçe artacaktır.
çıkacak riskler, verimlilik kayıpları ve zararlı yazılımlara
maruz kalması ile birlikte bilgi merkezinin itibar kaybet- Bilgi uzmanları, siber tehditleri engellemek için yerine
mesi ve yasal yükümlülükler ile karşılaşması gibi sonuç- getirmesi gereken sorumluluklarını hukuk kuralları çer-
lar ortaya çıkmaktadır. Bilgi merkezlerinde bilgi farkın- çevesinde yerine getirmek ve bu kurallara uygun önlem-
dalığı yaratmanın temel amacı, ağ kaynaklarının yanlış ler almak mecburiyetindedir. Bilgi uzmanlarının sorum-
kullanımı sonucunda ortaya çıkacak sorunları kurumun lulukları sadece bilgilerin düzenlenmesi ve hizmete su-
güvenlik politikasına uygun olarak daha önceden öngö- nulması değildir.
rüp çözümler ortaya koymaktır. Bilgi merkezleri ayrıca üyelerinin kişisel bilgilerinin gü-
Bilgi güvenliği farkındalığı, bilgi güvenliğini riske atan venli olarak muhafaza edilmesine, üyelerin faydalandığı
faktörlerden ve söz konusu faktörlere karşı ne tür önlem- kaynaklardan elde edilebilecek özel hayatla ilgili bilgile-
ler alınabileceğini kapsayan güvenlik politikalarından ha- rin gizliliğine özen gösterilmesi, meydana gelen bir suçun
berdar olunması şeklinde tanımlanabilir[3] . yetkili makamlara iletilmesi konularında genel cezai so-
rumluluklara sahiptir. Bilgi güvenliğinin sağlanması ko-
Bilgi merkezlerinin adından da anlaşılacağı üzere en
nusu, hukuk ve bilişim alanlarının her ikisinin de ortak
önemli varlığı olan bilgiyi, en etkin biçimde korumak,
konusudur ve bu disiplinlerden bir tarafın eksik kalması
saklamak ve sağlamak zaruridir. Etkin bir bilgi güvenliği
halinde kalıcı ve sürekli başarıya ulaşmak mümkün ol-
kurumsal işleyişin aktif ve sürekli olmasını ve kurumsal
mamaktadır. Bu nedenle teknik önlemlerinin hukuk ku-
hedeflere ulaşmayı sağlamaktadır.
rallarına uygun olarak alınması önemlidir[4] .
Teknolojinin gelişmesi ile birlikte bilginin uzaktan eri-
Bilgi profesyonelinin, bilgi güvenliğinin sağlanmasına
şilebilir hale gelmesinin birçok yararının olmasının yanı
yardımcı olmak için bu konudaki TCK maddelerini öğ-
sıra, bilgi sistemlerinin saldırılara açık hale gelmesine or-
renmeli, bilgi ve bilişim teknolojileri konusunda yeter-
tam hazırlamıştır. Sosyal mühendis olarak bilinen saldır-
li düzeye gelmeli, kurumsal faaliyetler için kullanılan ağ
gan grubunun kütüphane veri tabanlarına kolaylıkla eri-
kaynaklarının güvenliğini sağlanması konusunda bilgiye
şip, kullanıcıların kimlik, adres, e-posta ve telefon bilgi-
sahip olmalı ve kurum içinde bu bilincin yaratılması için
lerine ulaşabildiklerini öne sürmektedir[3] . Bilgi merkez-
çaba göstermesi gerekmektedir.
lerinde bulunan donanımsal araçlar ağ saldırılarına karşı
son derece zayıf olmasının yanında bilgi profesyonelle-
rinin bazı ihmalleri sebebiyle saldırganların tehditleriyle 0.7 Kaynakça
karşı karşıya kalabilmektedir. Bu durum bilgi güvenliği
için bilgi merkezi personelinin bu konuda bilinçlendiril- [1] Önel, D. ve Dinçkan, A. (2007). Bilgi güvenliği yönetim
mesi gerektiğini ortaya koymaktadır. sistemi kurulumu. TUBİTAK UEKAE.

[2] Canbek, G. ve Sağıroğlu, Ş. (2006). Bilgi, bilgi güveniliği

0.5.2 Bilgi Merkezlerinde Bilgi Güvenliği Farkın- ve süreçleri üzerine bir inceleme. Journal of Polytechnic,
dalığı Nasıl Sağlanır ? 3(9), 165-174.

[3] Öztemiz, S. ve Yılmaz, B. (2013). Bilgi Merkezlerinde

Bilgi merkezlerinde bilgi güvenliği farkındalığı, bilgi pro- Bilgi Güvenliği Farkındalığı : Ankara'daki Üniversite
fesyonellerinin hem bireysel hem de kurumsal olarak bil- Kütüphaneleri Örneği. Bilgi Dünyası, 1(14), 87-
gi güvenliği bilincini yaratmaları, kurumsal bilgi güvenli- 100.http://www.bby.hacettepe.edu.tr/yayinlar/dosyalar/
ği politikası oluşturmaları, bu konuda eğitimler ve bilgi- 105-829-1-PB.pdf adresinden erişilmiştir.
4

[4] Henkoğlu, T. ve Uçak, N. Ö. (2012). Elektronik Bilgi Gü-

venliğinin Sağlanması ile İlgili Hukuki ve Etik Sorumlu-
luklar. Bilgi Dünyası, 2(13), 377-396.
 5

1 Metin ve görüntü kaynakları, yazarlar ve lisans

1.1 Metin
• Bilgi güvenliği Kaynak: https://tr.wikipedia.org/wiki/Bilgi_g%C3%BCvenli%C4%9Fi?oldid=17197645 Katkıda bulunanlar: Tansu, Ri-
ker2000, Memty Bot, Cat, JAnDbot, Eldarion, Maderibeyza, Gerakibot, Gökçe Yörük, PSamathideS, Luckas-bot, Khutuck Bot, Dr. Coal,
GhostLiving, Akil13, MastiBot, EmausBot, Lostar, Wall-e Bot, WikitanvirBot, FoxBot, MerlIwBot, KediÇobanı, Magawla61, E4024,
Peykbot, Addbot, Kumkum, Yozer1, Zaitsév, Nbeksi, Rebuk, VolkanSert, Bbytayfa1 ve Anonim: 14

1.2 Resimler

1.3 İçerik lisans

• Creative Commons Attribution-Share Alike 3.0