Bilgi Varlıkları ve Veri Sınıflandırma

Bilgi Güvenliği Temelleri

👤 Güvenlik Uzmanı★ 2/3⏱ 12 dk

İnteraktif sahne yükleniyor…

🎯 Neden önemli?

Verizon 2023 DBIR'a göre ihlallerin yaklaşık %74'ü insan unsuru içerir; ve sızdırılan verilerin çoğu "herkes erişebilsin" diye yanlış sınıflandırılmış dosyalardan gelir. Peki masanızdaki o Excel dosyası gerçekten "Açık" mı, yoksa "Gizli" mi?

Giriş

Merhaba, ben Güvenlik Uzmanı. Bu derste bir kurumun en değerli varlığını — bilgiyi — tanımayı, doğru sınıflandırmayı (Gizli / Dahili / Açık) ve etiketlemeyi öğreneceğiz. Soldaki interaktif erişim kontrolü sahnesinde (secAccessControl3D) farklı sınıftaki verilere kimin erişebildiğini deneyerek görün: sınıflandırma değiştikçe erişim kapıları nasıl açılıp kapanıyor, gözlemleyin.

Anlatım

BİLGİ VARLIĞI NEDİR? Bilgi varlığı (information asset), kurum için değer taşıyan ve korunması gereken her türlü bilgidir. Sadece dosyalar değil; müşteri listeleri, sözleşmeler, kaynak kodu, çalışan özlük verileri, e-postalar, hatta bir uzmanın kafasındaki bilgi (know-how) de varlıktır. ISO/IEC 27001:2022 Annex A 5.9 (Bilgi ve diğer ilişkili varlıkların envanteri), bu varlıkların envanterinin tutulmasını ve her birine bir SAHİP atanmasını şart koşar. Sahibi olmayan varlık, korunamayan varlıktır. NEDEN SINIFLANDIRIYORUZ? Her veriye aynı seviyede koruma uygulamak hem pahalı hem imkânsızdır. Sınıflandırma, koruma çabasını verinin GERÇEK DEĞERİ ve HASSASİYETİ ile orantılar: en kritik veriye en güçlü kontrol. ISO 27001:2022 Annex A 5.12 (Bilginin sınıflandırılması) bunu zorunlu kılar; A 5.13 ise sınıfa uygun ETİKETLEME ister. ÜÇ TEMEL VERİ SINIFI • GİZLİ (Confidential / Restricted): İfşası kuruma, müşteriye veya kişilere ciddi zarar verir. Örnek: müşteri TC kimlik/IBAN bilgileri, sağlık verileri, ücret bordroları, ticari sırlar, parolalar, sözleşme şartları. KVKK'daki "özel nitelikli kişisel veri" (sağlık, din, biyometrik, ceza mahkûmiyeti vb.) en üst koruma sınıfına girer. • DAHİLİ (Internal): Yalnızca kurum içinde paylaşılır; dışarı sızması istenmez ama felaket değildir. Örnek: iç prosedürler, organizasyon şeması, proje planları, iç e-postalar. • AÇIK (Public): Herkesle paylaşılabilir, ifşası zarar vermez. Örnek: pazarlama broşürleri, basın bültenleri, yayımlanmış web içeriği, iş ilanları. (Bazı kurumlar 4 seviye kullanır: Açık / Dahili / Gizli / Çok Gizli. Seviye sayısı kurum politikasına göre değişir; ilke aynıdır.) SINIFI KİM BELİRLER? — VERİ SAHİBİ Sınıfı, verinin İŞ SAHİBİ (data owner) belirler; BT veya güvenlik ekibi değil. Şüphede kalırsanız bir üst sınıfı seçin (en yüksek hassasiyet ilkesi). Bir kayıt birden çok veri içeriyorsa, sınıf EN HASSAS parçaya göre belirlenir (bir Excel'de tek bir TC numarası varsa o dosya "Gizli"dir). ETİKETLEME (Labeling) Sınıf belirlenince görünür hale getirilmelidir: dosya adı/üstbilgisinde "[GİZLİ]", e-posta konusunda etiket, paylaşım ortamında erişim grubu, basılı belgede damga. Etiketsiz veri, herkesin "Açık" sanıp yanlış paylaşacağı veridir. İŞ YERİNDE DOĞRU DAVRANIŞLAR (DO) ✓ Şüphede kalınca bir üst sınıfı seç. ✓ Gizli belgeyi paylaşmadan önce alıcının "bilmesi gereken" (need-to-know) ilkesine uyduğunu doğrula. ✓ Gizli veriyi onaylı, şifreli kanaldan (kurumsal paylaşım, şifreli e-posta) gönder. ✓ Masada/ekranda gizli belge bırakma — temiz masa / temiz ekran ilkesi (Annex A 7.7). ✓ Artık gerekmeyen gizli veriyi politikaya uygun, güvenli biçimde imha et (kırpma/silme). YAPILMAMASI GEREKENLER (DON'T) ✗ Müşteri verisini kişisel e-posta veya WhatsApp/kişisel bulut ile gönderme. ✗ "Hızlı olsun" diye gizli dosyayı "herkese açık" link ile paylaşma. ✗ Etiketi olmayan dosyayı otomatik "Açık" varsayma. ✗ USB/yazıcı çıktısı ile gizli veriyi denetimsiz dışarı taşıma. ✗ Sınıflandırmayı keyfine göre düşürme (declassify) — bu yetki sahibindedir. KVKK BAĞLANTISI Kişisel veri (KVKK m.3) bir bilgi varlığıdır ve genellikle EN AZINDAN "Gizli" sınıfındadır. KVKK m.12 "veri güvenliğine ilişkin yükümlülükler" gereği veri sorumlusu uygun teknik ve idari tedbirleri almak zorundadır; doğru sınıflandırma bu tedbirin temelidir. Özel nitelikli kişisel veriler ek koruma (kural olarak şifreleme, erişim kısıtı, log) gerektirir. Yanlış sınıflandırma → yanlış paylaşım → veri ihlali → KVKK m.12'ye göre Kurul'a 72 saat içinde bildirim ve idari para cezası riski.

📌 Senaryolar

📌 Senaryo 1 (Karışık içerikli dosya): Pazarlama ekibinden bir arkadaşınız, içinde kampanya metinleri yanı sıra 200 müşterinin ad-soyad ve telefon numarası bulunan bir Excel'i ortak klasöre "herkese açık" koymak istiyor.
  Doğru davranış: Dosyayı "Gizli" sınıflandır; çünkü sınıf EN HASSAS içeriğe (kişisel veri) göre belirlenir. Müşteri verisini ayır, yalnızca yetkili gruba erişim ver, dosyayı [GİZLİ] etiketle.
  Sonuç/Neden: Tek bir kişisel veri bile dosyayı KVKK kapsamına ve en az "Gizli" sınıfına sokar; "herkese açık" koymak veri ihlali olur.

📌 Senaryo 2 (Etiketsiz belge): Masaüstünüzde "rapor_son_v3.docx" adlı, hiçbir sınıf etiketi olmayan bir dosya buldunuz ve bir tedarikçiye göndermeniz istendi.
  Doğru davranış: Göndermeden önce içeriği ve veri sahibini kontrol et; sınıfını belirleyip etiketle. Belirsizse bir üst sınıfı (Gizli) varsay ve sahibinden teyit al.
  Sonuç/Neden: Etiketsiz veriyi otomatik "Açık" saymak en sık yapılan sızıntı hatasıdır; etiketleme (Annex A 5.13) tam da bunu önler.

📌 Senaryo 3 (Yanlış kanal): Acil bir teklif için müşterinin sözleşme şartlarını ve fiyatını içeren PDF'i, hızlı olsun diye kişisel Gmail hesabınızdan göndermeyi düşünüyorsunuz.
  Doğru davranış: Gizli veriyi yalnızca kurumsal, onaylı ve mümkünse şifreli kanaldan gönder; kişisel e-posta/bulut kullanma.
  Sonuç/Neden: Kişisel kanallar kurum denetimi dışındadır; ihlal halinde iz sürülemez ve gizli ticari/kişisel veri kontrolsüz dağılır.

📌 Senaryo 4 (Temiz masa / ekran): Öğle yemeğine çıkarken ekranınızda bordro tablosu açık, masanızda imzalı bir gizli sözleşme duruyor.
  Doğru davranış: Bilgisayarı kilitle (Win+L), gizli belgeleri kilitli çekmeceye kaldır — temiz masa / temiz ekran ilkesi (Annex A 7.7).
  Sonuç/Neden: Gözetimsiz gizli veri, içeriden veya ziyaretçi kaynaklı ifşaya açıktır; basit bir kilitleme alışkanlığı bunu engeller.

📌 Senaryo 5 (Sınıf düşürme yetkisi): Bir çalışan, artık projenin bittiğini düşünüp "Gizli" etiketli teknik tasarımı kurum dışı bir blogda paylaşmak için sınıfı kendi başına "Açık"a çekti.
  Doğru davranış: Sınıf düşürme (declassify) yetkisi yalnız VERİ SAHİBİNDEDİR; çalışan önce sahibinden yazılı onay almalıydı.
  Sonuç/Neden: Keyfi sınıf düşürme, ticari sır kaybına ve sözleşmesel gizlilik ihlaline yol açar; sınıf değişikliği daima sahibin onayıyla ve kayıt altında yapılır.

Özet

• Bilgi varlığı = kurum için değerli her bilgi; her varlığın bir SAHİBİ olmalı (ISO 27001 A 5.9). • Üç temel sınıf: GİZLİ (ifşası ciddi zarar) / DAHİLİ (kurum içi) / AÇIK (herkesle paylaşılabilir). • Sınıfı veri SAHİBİ belirler; karışık içerikte sınıf EN HASSAS parçaya göre yükselir. • Şüphede kal → bir üst sınıfı seç; her veriyi sınıfına göre ETİKETLE (A 5.12 / A 5.13). • Kişisel veri en az "Gizli"dir; KVKK m.12 uygun teknik/idari tedbir ister, özel nitelikli veri ek koruma gerektirir. • Temiz masa/ekran (A 7.7) uygula; gizli veriyi onaylı, şifreli kanaldan gönder; sınıf düşürme yalnız sahibin onayıyla.

✅ Mini-Test (5)

1.İçinde tek bir müşteri TC kimlik numarası bulunan bir Excel dosyası hangi sınıfa girer?

2.Bir verinin sınıfını (Gizli/Dahili/Açık) belirlemekten asıl kim sorumludur?

3.Üzerinde hiçbir sınıf etiketi olmayan bir dosyayı otomatik olarak 'Açık' kabul edip herkesle paylaşmak güvenlidir.

4.Sınıflandırma sırasında bir verinin Gizli mi Dahili mi olduğundan emin değilseniz ne yapmalısınız?

5.KVKK'daki 'özel nitelikli kişisel veri' (örn. sağlık, biyometrik) için aşağıdakilerden hangisi doğrudur?

🧩 Uygulama Soruları (5)

1.Bir tedarikçiye gizli sözleşme PDF'ini acil göndermeniz istendi. Aşağıdakilerden hangisi doğru davranıştır?

2.Öğle molasına çıkarken ekranınızda gizli bordro açık, masanızda imzalı gizli sözleşme var. Hangi ilke gereği ne yapmalısınız?

3.Bir çalışan, kendi başına bir belgenin sınıfını 'Gizli'den 'Açık'a düşürüp (declassify) dışarıda paylaşabilir.

4.Yanlış sınıflandırma sonucu kişisel verilerin sızması durumunda KVKK açısından aşağıdakilerden hangisi doğrudur?

5.Aşağıdaki belgelerden hangisi tipik olarak 'Açık' (Public) sınıfa örnektir?

← Tehdit, Açıklık ve Risk Güvenlik Kültürü ve İnsan Fakt →

← Tüm modüllere dön · Güvenlik Sözlüğü