ISO 27001:2013 VE ISO 27002:2013’te Neler Değişiyor?

ISO 27001:2013 VE ISO 27002:2013’te Neler Değişiyor?
ISO 27001:2005 ve ISO 27002:2005 Bilgi Güvenliği Yönetim Sistemi Standartlarının 2013 yılı başlarında yeni versiyonları draft olarak yayımlanmıştı. Bu yazıda ISO 27001 ve ISO 27002 standartlarında öngörülen değişikliklerin bir karşılaştırması yapılmıştır.

1.    ISO 27001:2013 VS. ISO 27001:2005

Bilgi Güvenliği Yönetim Sistemi (BGYS-(in Eng. ISMS))’nin uluslararası standardı 2005 yılında ISO 27001:2005 olarak yayımlanmıştı. 2006 yılında ise Türk Standartları Enstitüsü tarafından Türkçe’ye çevrilmiş ve TS ISO/IEC 27001 olarak yayımlanmıştı.

Şu an taslak halde yayımlanan ISO 27001:2013 standardının 2013 yılının ikinci yarısında yayımlanması bekleniyor.

1.1.     ISO 27001:2013 ile ISO 27001:2005 Arasındaki temel farklar nelerdir?

Bu karşılaştırmaya geçmeden önce elimizdeki standardın taslak halde olduğu ve yapılacak katkılarla değişime açık olduğu unutulmamalıdır.

1.1.1.    Yapıya Genel Bir Bakış

ISO 27001:2013, ISO22301:2012 ile gördüğümüz Annex SL ile uyumlu olacak. Annex SL tüm ISO standartlarına genel bir çerçeve yapısı oluşturuyor. Tüm yönetim sistemlerinde bulunması gereken temel bileşenlerin yanı sıra standarda özel başlıkların konulmasına olanak sağlayan bu çatı yapısı, birden fazla yönetim sistemine sahip kuruluşlar için hem yönetim anlamında hem de bu yönetim sistemlerinin denetimi anlamında kolaylık sağlayacaktır.

Bu yapı ile tüm standartlarda bulunacak temel başlıklar aşağıdaki gibi olacaktır:

tablo-1.png

Tablo 1

Ek olarak sadece ‘EK-A’ bulunduğu bununla birlikte eski standartta yer alan EK-B ve EK-C olmadığını görüyoruz. Tüm kontroller EK-A’ da yer almaktadır.

1.1.2.    İlgili Taraflar

Yeni 27001 standardı BGYS ana girdileri tanımlamada önemli bir yer tutacak olan ilgili taraflarla alakalı olarak ‘4.2 ’ Maddesinde; “Tüm ilgili tarafların tanımlanması ve yasal/düzenleyici dâhil tüm gereksinimleri ile tanımlanmasını şart koşuluyor”.

1.1.3.    Risk Değerlendirme ve İyileştirme

Uzun yıllar en iyi uygulama örneği olarak yerini koruyacak olan; varlık, açıklık, tehdit temelli risk değerlendirme yeni 27001 standardı ile yerini gizlilik, bütünlük ve erişilebilirlik temelli bir risk tanımlamaya bırakmış durumdadır.

Yeni standardın ilgili maddesi şu şekildedir;

Apply the information security risk assessment process to identify risks associated with the loss of confidentiality, integrity and availability for information within the scope of the ISMS (ISO 27001:2013, madde 6.1.2; d.1).

Risk seviyesini belirlemek için olasılık ve etki bileşenleri ise yerini koruyor.

Not: Yeni standart risk işleme yönetiminin dokümante edilmesini şart koşmuyor. Bununla birlikte risk işleme sürecinin tanımlanması gerekiyor. Varlık sahibi kavramı ise yerine ‘risk sahibi’ tanımı ile değiştirilmiştir.

1.1.4.    Düzeltici ve Önleyici Faaliyetler

İlk fazda önleyici faaliyetlerin olmadığını söylemek yanlış olmaz. Önleyici faaliyetler risk işleme ve iyileştirme adımlarına dağıtılmış durumdadır.

Düzeltici faaliyetler için ise, eski standarda kafa karışıklığına sebebiyet veren durum ortadan kaldırılmış olduğu görülüyor. Düzeltici faaliyetlerin bir uygunsuzluğa verilen ilk tepki  ve bir uygunsuzluğun kök nedenlerini ortadan kaldırmak üzere ikiye ayrıldığını görüyoruz.

1.1.5.    İletişim

Bilgi güvenliğinin sağlanması için gerekli olan iletişim konusu ile ilgili olarak yeni bir madde eklendiği görülüyor.

Bu madde uyarınca; kiminle, ne zaman, kim ve hakkında iletişime geçileceğinin tanımlanması sağlanıyor (Madde 7.4).

1.1.6.    Dokümante Edilmiş Bilgi

Yeni standart ‘belgeler’ ve ‘kayıtlar’ kavramını birleştirerek ‘dokümante edilmiş bilgi’ kavramını getiriyor. Doküman kontrolü ile ilgili kuralların eski standarda göre değişmediği ve ‘belgeler’ ve ‘kayıtlar’ın her ikisi içinde geçerli olacağı görülüyor.

4.3.1 Maddesinin kaldırıldığı ve gerek duyulan merkezi bir doküman listesinin olmadığını görüyoruz.

Eski standartta yer alan doküman yönetimi, düzeltici faaliyet v.b zorunlu olarak olması gereken belgelerin olmadığı bununla birlikte bu süreçlerin yönetilmesi ve işletilmesi ile ilgili kayıtların tutulması zorunluluğu bulunuyor. Daha farklı ifade edilecek olunursa, düzeltici faaliyet dokümanı yazılı olarak olmasa bile bu sürecin işletilmesi ile ilgili kayıtların tutulması zorunludur.

1.1.7.    Hedefler, İzleme ve Ölçme

Yeni standartta hedeflerin net olarak tanımlanması ve 9.1 maddesi uyarınca, ölçmenin kim tarafından, ne zaman yapılacağı, sonuçları kimin analiz edip değerlendirileceği belirtilmeli ve ek olarak kapsamlı planların hedeflere nasıl ulaşılacağını açıklayacak şekilde olması gerekiyor.

2.    ISO 27001:2013 VS. ISO 27001:2005

ISO 27001 standardının EK-A’ sında yer alan kontroller ile ilgili yayımlanmış standart olan IS0 27002 standardı 2013 yılında yenilenerek taslak olarak yayımlandı. Şu an taslak halinde yayımlanan yeni ISO 27002 standardının ise 2013 yılının ikinci yarısında yayımlanması bekleniyor.

Yeni IS0 27002 standardıyla, ISO 27002:2005 standardını yapısal olarak karşılaştıracak olursak,

Kontrollerin Sayısı: Kontrollerin sayısının yeni standartta 133’ten 113’e düşürüldüğü görülüyor.

Bölümlerin Sayısı: Kontrollerin sayısında öngörülen azalmaya rağmen bölüm sayısının 11’den 14’e çıkarıldığı görülüyor.

2.1.    ISO 27002:2013 Bölümlerin Yapısı

Yeni standarda göz atacak olursak, Kriptografi ayrı bir bölüm haline getirilmiştir (Bölüm 10). Kriptografi ile ilgili kısımların bilgi sistemleri edinimi, geliştirme ve bakımın bir parçası olmadığı biliniyor. Benzer bir değişiklik tedarikçi ilişkileri kısmında da mevcut. Haklı olarak tedarikçi ilişkileri de ayrı bir bölüm haline getirilmiştir (Bölüm 15). İletişim ve operasyon yönetimi ise iki bölüme ayrılmıştır: Operasyon güvenliği (Bölüm 12) ve iletişim güvenliği (Bölüm 13). Öngörülen yeni standart üzerinde yer alan temel başlıklar aşağıdaki gibidir:

tablo-2.png

Tablo 2

2.2.    Güvenlik Kategorilerinin Yerleştirilmesi

  • Mobil cihazlar ve uzaktan çalışma daha önce erişim kontrolü bölümündeydi; şimdi ise bilgi güvenliği organizasyonunun (Bölüm 6) altında 6.2 inci kısım olarak yer almaktadır.
  • Ortam işleme, daha önce iletişim ve operasyon yönetimi altındayken şimdi varlık yönetimi (Bölüm 8) altında 8.3 üncü kısım olarak yer almaktadır.
  • İşletim sistemi erişim kontrolü ile uygulama ve bilgi erişim kontrolü sistem ve uygulama erişim kontrolü olarak birleştirilmiş ve erişim kontrolü (Bölüm 9) altında 9.4 üncü kısım olarak kalmıştır.
  • Operasyonel yazılım kontrolü, daha önce bilgi sistemleri edinim, geliştirme ve bakımın altında tek bir kontrolken, şimdi 12.5 olarak operasyon güvenliği altında ayrı bir kısımdır.
  • Bilgi sistemleri denetim hususları, uyum bölümünden operasyon güvenliği altına 12.7 inci kısım olarak aktarılmıştır.
  • Bir güvenlik kategorisi olan yazılım erişim kontrolü kaldırılmış ve bazı kontrolleri iletişim güvenliğinin (Bölüm 13) altına taşınmıştır.
  • Bilgi değişimi, iletişim güvenliğinin (Bölüm 13) altında 13.2 inci kısım olarak yer almıştır.
  • Tartışmalı bir kategori olan uygulamalarda doğru işleme kaldırılmıştır. Önceki standartta ise bilgi sistemi edinim, geliştirme ve bakımın altında yer almaktadır.
  • Elektronik ticaret hizmetleri, ayrı bir kategori olmaktan çıkartılarak, kontrolleri bilgi sistemi güvenlik gereksinimleri ile birleştirilmiştir (14.1).
  • Bilgi güvenliği olay yönetimi altındaki 2 kategori birleştirilmiştir. İş sürekliliği bölümüne ise yeni bir kategori eklenerek (Yedekleme 17.2). Bu kategori temel olarak felaketten kurtarma ile ilgilidir.

2.3.    Yeni Kontroller

14.2.1– Güvenlik gelişim politikası- Yazılım ve bilgi sistemleri geliştirme için kurallar

14.2.5– Sistem geliştirme prosedürleri- Sistem mühendisliği ilkeleri

14.2.6– Güvenli geliştirme ortamı- Geliştime ortamı oluşturulması ve korunması

14.2.8– Sistem güvenliği testi- Güvenlik fonksiyonları testleri

16.1.4– Bilgi güvenliği olayları değerlendirme ve karar verme- Olay yönetiminin bir parçası

17.2.1– Bilgi işleme olanaklarının erişilebilirliği- Yedekleme

2.4.    Çıkartılan Kontroller

6.2.2– Müşterilerle ilgilenirken güvenliği ifade etme

10.4.2– Mobil koda karşı kontroller

10.7.3– Bilgi işleme prosedürleri

10.7.4– Sistem dokümantasyonu güvenliği

10.8.5– İş bilgi sistemleri

10.9.3– Herkese açık bilgi

11.4.2– Dış bağlantılar için kullanıcı kimlik doğrulama

11.4.3– Ağlarda teçhizat tanımlama

11.4.4– Uzak tanı ve yapılandırma portu koruma

11.4.6– Ağ bağlantı kontrolü

11.4.7– Ağ yönlendirme kontrolü

12.2.1– Giriş verisi geçerleme

12.2.2– İç işleme kontrolü

12.2.3– Mesaj bütünlüğü

12.2.4– Çıkış verisi geçerleme

11.5.5– Oturum zaman aşımı

11.5.6– Bağlantı süresinin sınırlandırılması

11.6.2– Hassas sistem yalıtımı

12.5.4– Bilgi sızması

14.1.2– İş sürekliliği ve risk değerlendirme

14.1.3– Bilgi güvenliğini içeren süreklilik planlarını geliştirme ve gerçekleştirme

14.1.4– İş sürekliliği planlama çerçevesi

15.1.5– Bilgi işleme olanaklarının kötüye kullanımını önleme

15.3.2– Bilgi sistemleri denetim araçlarının korunması

Sonuç

ISO 27001:2013’te öngörülen değişikliklerin temel olarak ilgili taraflar, risk değerlendirme ve iyileştirme, düzeltici ve önleyici faaliyetler, iletişim, dokümante edilmiş bilgi ve hedefler, izleme ve ölçme başlıkları ile ilgili olduğu görülmektedir.

ISO 27002 yapısı tamamen ISO 27001 kontrolleri ile uyumlu olduğundan tüm değişiklikler yeni ISO 27001 EK-A’sı içinde geçerlidir. İlk bakışta çok fazla bir değişiklik varmış gibi görülmektedir. Ama bunların çoğu temelden yapılan değişiklikler değildir. Değişikliklerin çoğu aslında mevcut ISO 27002’nin yanlış yapısının düzeltilmesi ve yeni kontrollerin eklenmesini içeriyor. Ağ güvenliği ve geliştirme sürecinde ise bazı değişiklikler mevcut. Bu alanlarda yeni standarda göre daha esnek bir tarif ve nasıl uygulama yapılacağı kısmında serbestlik öngörülüyor.

Sonuç olarak yeni standarda göre uygulama daha kolay olacak gibi görünmektedir.

Kaynaklar

1.    ISO/IEC 27002: 2005, Information technology — Security techniques — Code of practice for information security management,

2.    ISO/IEC 27001: 2005, Information technology — Security techniques — Information security management systems — Requirements

3.    Draft Version of ISO/IEC 27002: 2013

4.    Draft Version of ISO/IEC 27001: 2013

https://www.bilgiguvenligi.gov.tr

Reklamlar

EDUCORE ISO/IEC 27001 Foundation with Certification Exam

Eğitimin Hedefi
https://i0.wp.com/www.educore.com.tr/images/logo.png

ISO 27001 Bilgi Güvenliği Yönetim Sistemi Temel Eğitiminin hedefi; BGYS Standartı ve onun
gereklilikleri hakkında genel bilgilendirme sağlamak, sistemin tüm maddelerine hızlı bir
bakıs ile uygulamanın nasıl gerçeklestirildiğine ve sistemin nasıl kurulduğuna ve isletildiğine
dair örnekler ve açıklayıcı bilgiler sunabilmektir.

Detaylı bilgi için  TIKLAYINIZ

Bilgi Güvenliği Açısından Erişim Kontrolü

Bir kurumda bilgi güvenliğinin sağlanması adına, uygulanması ve uyulması gereken en önemli maddelerden biri olan erişim kontrolünün hangi açıdan bakarsanız mutlaklık içeren maddelerden oluştuğunu görebilirsiniz. Erişim kontrolünü etkin ve efektif olarak uygulamak, başta veri kaybı olmak üzere birçok konuda daha güvenli bir yapıda olmanızı sağlayacaktır.

Erişim kontrolü bilgiye erişimin denetlenmesi, bilgi sistemlerine yetkisiz erişimin engellenmesi, yetkisiz kullanıcı erişimine izin verilmemesi, hizmetlerin korunması, yetkisiz işlemlerin tespit edilmesi ve uzaktan çalışma ortamlarında bilgi güvenliğinin sağlanması gibi kritik konuları kapsamaktadır. Bu denli kritik bir konuda güvenliğin sağlanması için aşağıdaki maddeler göz önünde bulundurulmalıdır;

Erişim Kontrolü İçin İş Gereksinimleri

Erişim Kontrolü Politikası

  • Erişimle ilgili iş ve güvenlik ihtiyaçları göz önünde bulundurularak erişim denetimi politikası oluşturulmuş ve belgelenmiş olmalıdır.
  • Erişim denetimi hem fiziksel, hem işlevsel boyutları ile değerlendirilmiş olmalıdır.
  • Erişim denetimi politikası bütün kullanıcılar veya kullanıcı grupları için erişim kurallarını ve haklarını açıkça belirtiyor olmalıdır.
  • Kullanıcılara ve servis sağlayıcılarına erişim denetimiyle hangi iş gereksinimlerinin karşılanacağı iyice açıklanmış olmalıdır.
  • Politika belgesi şu konuları içermelidir; her bir iş sürecinin güvenlik ihtiyaçları, iş süreçleri ile ilgili tüm bilgiler ve bu bilgilerin yüz yüze olduğu riskler, bilginin yayılması ve yetkilendirme ile ilgili politikalar, bilginin sınıflandırılması, güvenlik seviyeleri ve “gerektiği kadar bilme” prensibi, farklı sistem ve ağlardaki bilginin sınıflandırılması ve erişim denetimine ilişkin politikaların tutarlı olması, bilgiye erişimle ilgili olarak kontratlardan ve yasal yükümlülüklerden kaynaklanan şartların yerine getirilmesi, kurumun yaygın kullanıcı profilleri ile ilgili erişim hakları ve Erişimin talep edilmesi, yetkilendirilmesi ve yönetilmesi görevlerinin birbirinden ayrılması.
  • Erişim haklarının “Yasaklanmadıkça her şey serbesttir” değil “İzin verilmedikçe her şey yasaktır” prensibine göre verilmesine dikkat edilmelidir.

Kullanıcı Erişiminin Yönetilmesi

Kullanıcı Kaydı

  • Bilgi sistemlerine ve servislerine erişim hakkı vermek için resmi bir kullanıcı kaydı girme ve kullanıcı kaydı silme prosedürü olmalıdır.
  • Sistem kayıtları ile ilişkilendirme ve sorumlu tutulabilme açısından kullanıcı kimliklerinin her kullanıcı için farklı olmasına dikkat ediliyor olmalıdır.
  • Bilgi sistemini ve servisini kullanabileceğine dair sistem sahibi kullanıcıya yetki vermiş olmalıdır.
  • Verilen erişim hakkı kurumsal güvenlik politikasına ve görevler ayrılığı ilkesine uygun olmalıdır.
  • Kullanıcılara erişim hakları ile ilgili yazılı belge veriliyor ve kullanıcılardan erişim şartlarını anladıklarına ilişkin imzalı belge alınıyor olmalıdır.
  • Görevi değişen veya kuruluştan ayrılan personelin erişim hakları derhal güncellenmelidir.

Ayrıcalık Yönetimi

  • Ayrıcalıkların kullanımı sınırlandırılmış ve denetleniyor olmalıdır.
  • Ayrıcalıklar “kullanması gereken” prensibine göre ve resmi bir yetkilendirme süreci sonunda verilmelidir.

Kullanıcı Parola Yönetimi

  • Kullanıcı parolalarının atanması ya da değiştirilmesi resmi bir prosedür uyarınca yapılmalıdır.
  • Kullanıcılara parolalarını saklı tutacaklarına dair bir anlaşma imzalatılmalıdır.

Kullanıcı Erisim Haklarının Gözden Geçirilmesi

  • Kullanıcı erişim haklarının düzenli aralıklarla kontrol edilmesini sağlayan resmi bir süreç olmalıdır.

Kullanıcı Sorumlulukları

Parola Kullanımı

  • Kullanıcı parolalarının seçilmesi ve kullanılması ile ilgili güvenlik tedbirleri uygulanmalıdır.
  • Sistem tarafından geçici olarak verilen parolaların kullanıcı tarafından sisteme ilk girişte değiştirilmesi sağlanmalıdır.
  • Kullanıcılar zor kırılacak parolalar seçmeleri konusunda bilinçlendirilmiş olmalıdır.
  • Kişisel parolaların hiç kimse ile paylaşılmamasına, yazılı veya elektronik ortamlarda kaydedilmemesine dikkat edilmelidir.
  • Kullanıcılar düzenli aralıklarla veya sistem güvenliği ile ilgili bir kuşku oluştuktan sonra parolalarını değiştirmeye zorlanmalıdır.
  • Kullanıcılar kişisel işlerinde kullandıkları parolaları kuruluşun iş süreçlerinde kullanmamaları gerektiği konusunda bilinçlendirilmiş olmalılardır.

Gözetimsiz Kullanıcı Ekipmanı

  • Atıl cihazlara ait güvenlik gereksinimlerinden, bu cihazları koruma prosedürlerinden ve bu cihazları korumak için üzerlerine düşen sorumluluklardan kullanıcıların ve iş ortaklarının haberleri olmalıdır. (İşi biten kullanıcıların bilgisayarını kapatması ve şifreli ekran koruyucuların kullanılması gibi)

Temiz Masa ve Temiz Ekran Politikası

  • Kuruluş kağıt ve taşınabilir elektronik depolama ortamlar ile ilgili olarak temiz masa politikası uygulamalıdır.
  • Kuruluş bilgi veya bilgi işlem araçları ile ilgili olarak temiz ekran politikası uyguluyor olmalıdır.
  • Hassas bilgileri içeren kağıt ve elektronik depolama ortamlarının kullanılmadığı zaman kilitlenmesi, bilgisayar başından kalkarken personelin oturumunu kapaması veya ancak parola ile açılabilen ekran koruyucu vb. önlemleri devreye sokması, gelen/giden postaya erişim noktalarının ve faks cihazlarının denetlenmesi, fotokopi makinesi, tarayıcı, sayısal fotoğraf makinesi gibi kopyalama teknolojilerinin yetkisiz olarak kullanılmaması ve hassas bilgi içeren dokümanların yazıcı üstünde bırakılmaması konularına özen gösterilmelidir.

Ağ Erişim Kontrolü

Ağ Hizmetlerinin Kullanılması İle İlgili Politikalar

  • Kullanıcıların sadece kullanma yetkisine sahip oldukları ağ servislerine erişebilmesi sağlanmış olmalıdır.
  • Ağlar ve ağ servisleri ile ilgili olarak şu konuları düzenleyen politikalar uygulanıyor olmalıdır; kimin hangi ağlara ve ağ servislerine erişebileceğini belirlemek için yetkilendirme prosedürü tanımlanmış olmalıdır, ağ bağlantılarını korumak ve ağ servislerine erişimi engellemek için yönetim denetimleri ve süreçleri belirlenmiş olmalıdır.

Harici Bağlantılar İçin Kullanıcı Kimliği Doğrulaması

  • Sisteme dışarıdan yapılacak kullanıcı bağlantıları için kullanıcı kimliği doğrulama mekanizmaları uygulanmalıdır. (Kripto tabanlı teknikler veya klasik “challange- response” mekanizmaları ile çözülebilir. VPN çözümleri de bu teknikleri kullanmaktadır.)

Ağlarda Cihaz Kimliği Belirleme

  • Bağlantının belli bir cihaz kullanılarak yapıldığından emin olmak için otomatik cihaz kimliği belirleme yöntemleri kullanılıyor olmalıdır.

Uzaktan Tanı ve Yapılandırma Portu Koruma

  • Yönetim ve yapılandırma portlarına fiziksel ve işlevsel erişimi denetleyen bir güvenlik mekanizması olmalıdır.

Ağlardaki Ayrım

  • Bilgi sistemi üstündeki kullanıcı ve  servisler gruplara ayrılmış olmalıdır.
  • Kurumun ağı dahili ve harici etki alanlarına bölünmüş olmalıdır.
  • Etki alanları kurumun erişim kontrol politikası ve erişim ihtiyaçları uyarınca oluşturulmuş olmalıdır.
  • Etki alanları sınır güvenliği sistemleri ile korunmalıdır.
  • Telsiz ağların diğer ağlardan ayrılması ile ilgili olarak çalışma yapılmış olmalıdır.

Ağ Bağlantı Kontrolü

  • Kurum sınırlarının dışına taşan ağlar ve ağ bağlantılarının kullanımı, kurumun erişim kontrol politikası uyarınca kısıtlanmış olmalıdır.
  • Elektronik mesaj, tek veya çift yönlü dosya aktarımı, interaktif erişim, bağlantı zamanı ve süresi ile ilgili kısıtlamalar getirilmiş olmalıdır.

Ağ Yönlendirme Kontrolü

  • Ağ yönlendirme kontrolleri, bilgisayar bağlantılarının ve bilgi akışının erişim politikasına uygun gerçekleşmesini sağlayacak şekilde tanımlanmış olmalıdır.
  • Ağ iletişimi kaynak adres ve hedef adreslere bağlı olarak güvenlik duvarı vb. cihazlar aracılığı ile kontrol ediliyor olmalıdır.

İşletim Sistemi Erişim Kontrolü

Güvenli Oturum Açma Prosedürleri

  • Oturum açma işlemleri yetkisiz erişim olasılığını asgari düzeye indirecek şekilde düzenlenmiş olmalıdır.
  • Sistem ve uygulamaya ilişkin olarak yetkisiz kullanıcıya yardımcı olabilecek bilgiler oturuma giriş başarıyla tamamlanana kadar gizlenmelidir.
  • Bilgisayarda sadece yetkili personel tarafından erişilebileceğini bildiren uyarı mesajı gösterilmelidir.
  • Oturuma giriş sadece tüm girdi verilerinin doğrulanmasından sonra sağlanmalıdır.
  • Bir hata durumu varsa sistem verinin hangi kısmının doğru veya yanlış olduğu bilgisini gizlemelidir.
  • Sistem tarafından izin verilen başarısız giriş denemelerine sınırlama getirilmiş olmalıdır.
  • Oturuma giriş işlemi için zaman sınırı olmalıdır.
  • Başarısız giriş denemeleri kaydedilmelidir.
  • Ağ üstünden şifrenin açık olarak gönderilmemesi sağlanmalıdır.

Kullanıcı Kimlik Tanımlama ve Doğrulama

  • Gerektiğinde sistem kayıtlarının incelenmesi ve bir işlemin sorumlusunun bulunabilmesi açısından her bir kullanıcıya kendine özgü bir kullanıcı kimliği verilmiş olmalıdır.
  • Sistem yöneticilerine ait kullanıcı kimlikleri birbirinden faklı olmalıdır.
  • Kurum bünyesinde kullanılan kullanıcı tanımlama ve yetkilendirme mekanizmaları iş gereklerine uygun olmalıdır.

Parola Yönetim Sistemi

  • Kurum bünyesinde kullanılan belirli bir parola yönetim sistemi olmalıdır.
  • Parola yönetim sistemi şu özelliklere sahip olmalıdır; kullanıcıları bireysel parolaların kullanımına zorluyor olmalıdır, kullanıcıların kendi parolalarını seçmelerine ve değiştirmelerine izin veriyor olmalıdır, kullanıcıyı kuvvetli parola seçmeye zorlamalıdır, kullanıcıyı belli zamanlarda parolasını değiştirmeye zorlamalıdır, sisteme ilk girişte geçici parolayı değiştirmeye zorlamalıdır, eski parolaları hatırlayarak tekrar kullanılmalarına engel olmalıdır, parolalar ağ üstünden gönderilirken ve saklanırken kriptolama gibi yöntemlerle korunuyor olmalıdır.

Yardımcı Sistem Programlarının Kullanımı

  • Sistem araçlarının sistem özelliklerini ve uygulama programlarının yetkilerini aşarak ekstra işlemler yapmadığı kontrol ediliyor olmalıdır.

Oturum Zaman Aşımı

  • Kullanılmayan oturumlar tanımlı bir süre sonunda kapatılmalıdır.

Bağlantı Süresinin Sınırlandırılması

  • Kurum dışından veya halka açık alanlardan yüksek riskli uygulamalara erişim durumunda bağlantı süresi kısıtlanmalıdır.
  • Kullanıcı belli aralıklarla kimliğini tekrar doğrulamaya zorlanıyor olmalıdır.

Uygulana ve Bilgi Erişim Kontrolü

Bilgi Erişimi Kısıtlaması

  • Erişim kontrolü politikası uyarınca kullanıcılar ve destek personeli için bilgi sistemleri fonksiyonları ve bilgilerine erişim kısıtlanmış olmalıdır.
  • Kullanıcıların bilgiyi yazma, okuma, silme veya çalıştırma hakları düzenlenmelidir.

Duyarlı Sistem Yalıtımı

  • Uygulamanın duyarlılığı uygulama sahibi tarafından açıklanmış ve belgelenmiş olmalıdır.
  • Duyarlı bilgilerin bulunduğu sistemler diğer sistemlerden izole edilmelidir. (Kendisine ait bilgisayarda çalıştırılması, ayrı ağ bölmesine yerleştirilmesi, ağ kaynaklarının ayrılması, sadece gerekli uygulamalar ile iletişim kurulması vb. İzolasyon fiziksel veya işlevsel olarak gerçekleştirilebilir.)

Mobil Bilgi İşleme ve Uzaktan Çalışma

Mobil Bilgi İşleme ve İletişim

  • Dizüstü bilgisayar, cep bilgisayarı, cep telefonu, akıllı kartlar vb. mobil bilgi işlem ve iletişim araçlarının kullanılmasından kaynaklanan risklerden korunmak için benimsenmiş bir politika ve uygulanmakta olan güvenlik önlemleri olmalıdır.
  • Mobil bilgi işlem politika belgesi fiziksel koruma, erişim denetimi, kriptografik denetimler, yedekleme ve virüs koruması konularını içermelidir.
  • Mobil bilgi işlem araçlarının halka açık yerler, toplantı odaları gibi korumasız ortamlarda kullanılması sırasında yetkisiz erişime ve bilginin açığa çıkmasına karşı kriptografik tekniklerin kullanılması gibi önlemler alınıyor olmalıdır.
  • Hırsızlığa karşı önlemler alınıyor olmalıdır.
  • Hassas bilgi içeren araçların başıboş bırakılmamasına özen gösterilmelidir.

Uzaktan Çalışma

  • Uzaktan çalışma faaliyetleri için organizasyonun güvenlik politikasına uygun plan ve prosedürler geliştirilmiş olmalıdır.
  • Uzaktan çalışmanın yapılacağı yerde ekipman ve bilginin çalınmasına, bilgiye yetkisiz erişim yapılmasına, kuruluşun dahili sistemlerine uzaktan yetkisiz erişime ve bilgi işlem araçlarının kötüye kullanılmasına engel olmak için uygun önlemler alınmış olmalıdır

Kaynak:bilgiguvenligi.gov.tr

BGYS’nin Kurulması

BGYS’nin Kurulması

“Planlama aşaması” için ISO/IEC 27001 Madde 4.2.1’de tanımlanan gereksinimler aşağıdaki gibidir:

a) İşin, kuruluşun, kuruluşun yerinin, varlıklarının ve teknolojisinin özellikleriyle BGYS’in kapsamının ve sınırlarının tanımlanması.

BGYS’nin kapsamı kuruluşun belli bir kısmı olabileceği gibi, bağımsız bir biçimde de tanımlanabilir; ya da kapsam tüm kuruluşu ifade edebilir. Uygun olan BGYS kapsamını belirlemek tamamen kuruluşa kalmıştır ancak, her halükârda BGYS kapsamı ve o kapsamın sınırlarının eksiksiz bir biçimde ve iyi tanımlanması gerekir. BGYS’nin, kuruluşun diğer bölümleriyle (BGYS kapsamında olmayan), diğer kuruluşlarla, üçüncü şahıs olan tedarikçilerle ya da BGYS dışındaki başka varlıklarla arasındaki arayüzlerin ve bağımlılıkların da kapsamda dikkate alınması gerekir.

BGYS dışında bırakılanların ayrıntıları belgelenmeli ve gerekçeleri iyi ortaya konulmalıdır. BGYS kapsamından iş bölümleri hariç tutulurken, kuruluşun hariç tutulan bölümleriyle herhangi bir bilgi değişiminin yukarıda bahsedilen arayüzler ve bağımlıklar kullanılarak tanımlanması ve adreslenmesi gerektiği hususuna özen gösterilmelidir.

b) İşin, kuruluşun, kuruluşun yerinin, varlıklarının ve teknolojisinin özellikleri göz önüne alınarak bir BGYS politikasının tanımlanması.

BGYS politikası, ilgili yasal ve düzenleyici gereksinimleri, sözleşmeden doğan veya üçüncü şahısların yükümlülüklerini ya da bağımlılıklarını da dikkate almalıdır. Yönetim BGYS politikasını onaylamalı ve tüm çalışanlar politikayı algılamalı, politikanın önemini ve amacını anlamalıdır.

Bu politika; hedefleri ortaya koyan, yönetime yön veren ve harekete geçiren, hangi riskin değerlendirmeye alınacağına dair risk yönetim kapsamı ve kriterini belirleyen bir çerçeve içermelidir.

BGYS politikası, bilgi güvenliği politikasının mutlaka göz önüne alınmasının gerekmeyebileceği konuları adreslediğinden, BGYS politikası bilgi güvenliği politikasının bir üst kümesi olarak görülebilir.

Kuruluş için uygun olması halinde bu politikalar tek belgede tanımlanabilir.Birden fazla sayıda da politika tanımı özel alt konulara yönelik olarak hazırlanabilir.

c) Risk değerlendirmeye sistematik bir yaklaşımın tanımlanması

Bu BGYS’ye, tanımlanan işe, bilgi güvenliği ile yasal ve düzenleme gereksinimlerine en çok uyan yaklaşım ve metodoloji olmalıdır.

Kuruluş,riskleri kabul etmek için kullanacağı kendi kriterlerine ve riskin kabul edilebilir seviyelerinin belirlenmesine ihtiyaç duyar. Bir kuruluşun kendisine uyarlayacağı risk değerlendirme metodu, tamamıyla kuruluşun kendi kararıdır.

Kullanılacak olan metot ne olursa olsun, metodun ISO/IEC 27001’in Ek A’sında ya da ISO/IEC
17799‘da geçen tüm kontrol alanlarını kapsayan yönetim sistemiyle ilgili olması gerekliliği önemlidir.

Bu metot, kuruluş bakımdan, personel kontrolleri, iş süreçleri, işletim ve bakım süreçleri ve işlemleriyle yasal, düzenleyici, sözleşmeden doğan konular ile bilgi işlem tesisleriyle ilgili riskleri kapsamalıdır.
BS 7799-3 standardı olan BGYS risk yönetimi bu maddeyle birlikte aşağıdaki d) ve e) maddelerine uygun risk değerlendirmesi konusunda da bilgi verir.

Risk değerlendirmesi, ISO/IEC 27001’te zorunlu bir gereksinimdir; ancak otomasyona dayalı yazılım araçlarının kullanılmasının faydası olduğu pek çok durumda bile risk değerlendirmesi otomasyona dayalı yazılım araçlarının kullanılmasını gerekli kılmaz. Bu durum özellikle, risklerin yeniden değerlendirileceği ve tehditler, hassasiyetler ile varlıklara yönelik riskle ilgili bilginin güncellenmesi gerektiği zamanlarda söz konusudur. Risk değerlendirme metodu ve yaklaşımının karmaşıklığı, gözden geçirilecek olan BGYS’nin karmaşıklığına bağlıdır. Kullanılacak olan teknikler, karmaşıklıkla ve kuruluş tarafından istenen güvence seviyeleriyle tutarlı olmalıdır.

d) Varlıklara yönelik risklerin tanımlanması; bu varlıklarla ilgili tehditlerin ve hassasiyetlerin dikkate alınması ve gizlilik, bütünlük ve kullanılabilirlik kayıplarının varlıklarda görülmesinin etkileri.

Tanımlanmış olan risklerin, tehditlerin ve hassasiyetlerin, yukarıdaki c) maddesinde belirtildiği şekilde farklı denetim alanlarıyla ilişkili olması gerekir.

BGYS içerisindeki tüm varlıkların tanımlanması risk değerlendirmesinin esasını oluşturduğundan BGYS içerisindeki tüm varlıkların tanımlanmasını, her bir varlığın sahibinin belirtilmesi ve bunun belgelenmesini temin etmek önemlidir. Varlıkların gizliliğinin, bütünlüğünün ve kullanışlılığının zarar görmesinin tesirlerinin tanımında, bu tür zararlarla tehlikeye düşen tanımı yapılmış yasal, düzenleyici ve sözleşmeye dayanan ve iş gereksinimleri dikkate alınmalıdır.

e) Yukarıdaki “d” maddesinde işleme tabi tutulan bilgiye dayanarak risklerin analiz edilmesi ve değerlendirilmesi; kuruluş, personel, iş süreçleri, işletme ve süreklilik konularıyla birlikte yasal, düzenleyici ve sözleşmeden doğan hususların ve kontrol alanlarının tümünü içerecek şekilde dikkate alınması

Bu kavram, varlıkların gizliliğinin, bütünlüğünün ve kullanışlılığının zarar görmesinin sonuçları göz önüne alınarak, güvenliğin kaybedilmesinden ortaya çıkan iş etkilerini değerlendiren kuruluşu da kapsar.

Bu kavram aynı zamanda tanımlanmış tehditleri ve duyarlılıkları dikkate alarak bir güvenlik kaybının yaşanması benzeri bir değerlendirmeyi ve bunların bir arada meydana gelmesini ve bir ihlal olayının oluşmasını da içerir. İhlal olaylarının oluşumu benzeri bir durum değerlendirilirken, geçmişte meydana gelmiş ihlal olaylarının raporlarına, internet üzerindeki raporlara, istatistiklere, haberlere ve eğilimlere bir göz atmakta yarar vardır. Kuruluş elde edilen bilgilere dayanarak, risk seviyesini tahmin etmeye ve yukarıdaki c) maddesinde belirtilen iş kapsamını dikkate alarak belirlenen risk kabul ölçütünü kullanarak risklerin kabul edilip edilmediğini ya da ortadan kaldırılmasına gerek bulunup bulunmadığını belirlemeye ihtiyaç duyar.

f) Risklerin ortadan kaldırılması için seçeneklerin tanımlanması ve değerlendirilmesi

Kuruluş kendi iş sahasında risklerin etkisini bir kez tanımladığında, değerlendirdiğinde ve durumu anladığında; söz konusu bu riskleri ortadan kaldırmak için uygun önlemler uygular. Kuruluşun kullanacağı önlemler; riskleri azaltmak için uygun kontrol tedbirlerinin tatbik edilmesi, riskle ilgili faaliyetlere bulaşmayarak riskten sakınılması, riskin sigorta kuruluşu gibi bir üçüncü tarafa (tamamen ya da kısmen) aktarılması ya da riski bilerek ve objektif bir şekilde kabul edilmesini içerir.

Bu seçeneklerden hangisinin ya da hangilerinin bir arada kullanılacağı tamamen kuruluşa kalmış bir konudur. Farklı kuruluşlar, işteki hedeflere ve mevcut şartlara bağlı olarak aynı risk için farklı sonuçlar ortaya koyabilir. Her halükârda, bu sonuçların düzgün bir biçimde yazıya dökülmesi ve kuruluşun risklerin her yönüyle farkında olarak, en küçük bir ihmalde dahi bulunmadan aldığı kararların arkasındaki gerekçeleri ortaya koyabilmesi önemlidir.

g) Riski ortadan kaldırma için kontrol hedeflerinin ve kontrol tedbirlerinin seçilmesi

Kuruluş, riski yönetmek ve ortadan kaldırmak için kontrol tedbirlerini tatbik etmeye karar verirse, bu durumda ilk olarak, bu amaca uygun bir kontrol sistemi seçmelidir. Kontrol seçiminde risk kabul ölçütü, kontrol mekanizmasının riski ne kadar azalttığı ve tanımlanmış olan yasal, düzenleyici ve sözleşmeye dayalı gereksinimler dikkate alınmalıdır.

Kontrol hedefleri ve kontrol tedbirleri ISO/IEC 27001 Ek A’dan seçilmelidir. Kuruluşun Ek A’da yer almayan kontrol tedbirlerine de ihtiyacı olabilir. Ek A bir başlangıç noktası olarak kabul edilebilir. Ek A’da yer alan kontrol hedefleri ya da kontrol tedbirleri arasından seçim yapılmaması da olasıdır. Ancak karar ne olursa olsun, mutlaka gerekçeleri ortaya iyi konulmalı ve yazıya dökülmelidir.

Kontrol tedbirlerinin seçimi, maliyet etkin olmalıdır; örneğin, kontrol tedbirlerinin gerçekleştirilme maliyeti, azaltılması düşünülen risklerin finansal etkisini aşmamalıdır. Ancak, bazı etkiler parayla da ölçülemez.

Muhasebe; emniyet, personel bilgisi, yasal ve düzenleyici zorunluluklar, imaj ve itibar gibi etkileri de göz önüne almalıdır. Buna ek olarak kontrol tedbirlerinin gerçekleştirilmesinden sonra da hâlâ bazı risklerin değerlendirilmesine ihtiyaç vardır. Bu riskleri değerlendirmek genellikle güçtür, ancak en azından daha fazla kontrol tedbirinin gerekli olup olmadığını anlamak için ne kadar çok kontrol tedbirinin tanımlanmış olan güvenlik gereksinimlerine yönelik olduğuna dair bir tahminde bulunulmalıdır.

h) Teklif edilen artık risklerin idare onayının alınması.

Yönetim, seçilen kontrol tedbirleri gerçekleştirildikten sonra teklif edilen artık risklerin bulunduğunu onaylamalıdır. Teklif edilen artık riskler bu noktada yalnızca bir tahmin olabilir, ancak “Kontrol et aşaması” bu tahminin doğru olup olmadığını onaylayacaktır. Her şeye rağmen, seçilen kontrol tedbirlerinin gerçekleştirilmesine ihtiyaç bulunduğuna ve bunun da para, zaman ve diğer kaynaklara gereksinim duyduğuna dair bu noktada yönetim onayı önemlidir.

i) BGYS’yi gerçekleştirmek ve işletmek için yönetimin yetki vermesi.
“Planlama aşaması”nın sonunda yönetim, BGYS’yi gerçekleştirmek ve işletmek için yetki vermelidir. Böylece onay verdiğinin ve planlanan eylemleri desteklediğinin işaretini vermelidir.

j) Uygulanabilirlik belgesinin hazırlanması.

Uygulanabilirlik Belgesi (UB), ISO/IEC 27001 sertifikası isteyen kuruluşlar için zorunlu bir gereksinimdir. UB; seçilen kontrol hedeflerini ve kontrol tedbirlerini belirten yazılı bir belgedir.
Yapılan seçimler, risk değerlendirme sonuçları ve risk giderme süreçleriyle ilişkilendirilmelidir.
Bu ilişkilendirme, kontrol hedeflerinin ve tedbirlerinin seçiminin gerekçelerini göstermelidir.

Kontrol hedeflerinin ve tedbirlerinin listelenmesi, tek başına geçerli bir UB’yi meydana getirmez. UB gerçekleştirilmiş olan kontrol hedeflerini ve tedbirlerini de tanımlamalı ve ISO/IEC 27001 Ek A’daki herhangi bir kontrol hedefinin veya tedbirinin kullanılmamasının gerekçesini de ortaya koymalıdır.

Risk değerlendirmesinin ve riskin ortadan kaldırılmasının belgelenmesinin riske, sonuç olarak da varlıklara, tanımlanmış gereksinimlere ve güvenlik politikasına dönük seçilmiş ya da seçilmemiş kontrol tedbirleriyle olan ilişkisini desteklemesi önemlidir.

kaynak:www.educore.com.tr

Bilgi Güvenliğinde Temel Tanımlar

Gizlilik
Saklanan, işleme tabi tutulan ya da aktarılan her türlü bilginin, yalnızca bilgiye erişmeye ve kullanmaya yetkili kuruluşa ve/veya sahibine ait olmasını sağlamak için korunması gerekir.

Erişim kontrolünün pek çok şekli, temelde gizliliğin korunması hakkındadır. Şifreleme, bilginin gizli kalmasını sağlayan bir kontrol örneğidir.

Kontroller, bilgi güvenlik yönetimi sisteminin her aşamasında uygulanabilir:
Fiziksel aşama (örneğin; kapıların, muhafaza kaplarının, kasaların kilitlenmesi); mantıksal aşama (örneğin; bir veri tabanında ayrı veri alanları, uygulamadaki veri, kâğıt halindeki belge). Her koşulda tehditler ve hassasiyetler tanımlanmalı, ilişkili riskler değerlendirilmeli ve bir kontrol sistemi seçilmeli,gerçekleştirilmeli ve söz konusu bu risklere karşı koruma amacıyla uygulanmalıdır.

Bütünlük
Saklanan, işleme tabi tutulan ya da aktarılan bilginin doğru ve eksiksiz olmasının; doğru bir biçimde işleme tabi tutulduğunun ve yetkisiz kişilerce herhangi bir şekilde değiştirilmediğinin teyit edilmesi.

Ayrıca kuruluş,olmasını tasarladığı ağ şebekelerinin ve bilgi sistemlerinin bütünlüğünü tesis etmeyi de isteyebilir. Bellek sürücüler ve diğer ortamlar ile iletişim sistemleri de dahil olmak üzere pek çok veri işlem aygıtının veriyi bozmadığından emin olmak için otomatik bütünlük kontrol etme araç gereçlerini içerir.

Bütünlük kontrolü; işletim sistemlerinde, yazılımda ve uygulama programlarında veya işleme alınmış olan veride programların bilerek ya da kazara bozulmasını önlemesi bakımından önemlidir. Bütünlük kontrollerinin; giriş/çıkış veri geçerleme kontrolleri, kullanıcı eğitimi ve diğer işletim türü kontrolleri gibi insandan kaynaklanan riskleri ya da hırsızlık veya dolandırıcılığı azaltmak için işlem seviyesinde uygulanmasına ihtiyaç vardır.

Kullanılabilirlik
Bilgiyi kullanma yetkisi bulunan kuruluş ya da kuruluş içerisindeki kullanıcıların, bilgiyi ne zaman ve nerede kullanmaya ya da işleme tabi tutmaya ihtiyaç duyarlarsa bilgiye erişmelerinin sağlanması.

Bilginin kullanılabilirliği, uygulamada bir kontrol sistemini gerektirir.
Örneğin; bilginin yedeklenmesi, kapasite planlaması, sistem kabul prosedürleri ve kriterleri, ihlal olayı yönetimi prosedürleri, çıkarılabilir bilgisayar ortamı yönetimi, bilgi işlem prosedürleri, donanım bakımı ve test edilmesi, sistem kullanımının izlenmesi prosedürleri ve iş süreklilik prosedürleri.

Güvenlik ihlali olaylarının izlenmesi, gözden geçirilmesi ve kontrol edilmesi, servis kademeleri, zamanında ve sürekli sistem performansı; kullanılabilirliliğin sağlanmasında koruyucu bir kontrol mekanizması olabilir.

Hassas veya kritik bilgi
ISO/IEC 17799, hem kritik, hem de hassas bilgiye uygulanabilen bir dizi kontrolü tanımlar. Hassas ya da kritik bilgi nedir ve hassas veya kritik bilgiyi nasıl fark ederiz? Tanım, her kuruluş için farklıdır. Bazı tanımlar,bireysel kuruluşlar kapsamında gerektiğinde bilginin hassas ya da kritik olarak, geriye kalan bilginin ise hassas ya da kritik olmayan şeklinde etiketlenebilmesi amacıyla bilginin değerini ya da kullanımını ortaya koymak için yapılabilir.

Bu kapsamda bir zaman unsuru da bulunmaktadır. Örneğin; kuruluşun mali durumu, sermaye piyasasına bilgi vermeden önce çok hassas olabilir, ancak bir kez rapor edildikten sonra hassasiyeti ortadan kalkar. Hassasiyet, veriye verilen sınıflandırma seviyesinde de görülmelidir.

Hassas ve kritik bilginin korunmasındaki en önemli öğe, risk değerlendirmesidir. Risk değerlendirme
sürecinin bölümü ISO 27001:2005 ve ISO/IEC 17799’in 4’üncü Maddesinde genel hatlarıyla; daha ayrıntılı olarak da BS 7799-3:2005’te verilmiştir ve söz konusu bölüm, uygun bir kontrol sistemi kullanılarak, varlıkları korumak için gerekli olan güvenlik seviyesi ve riskleri hesaplamak amacıyla bilgi varlıklarının değerlendirilmesini, tehditlerin ve hassasiyetlerin değerlendirilmesini içerir.

BGYS kavramı

BGYS standardı olan ISO 27001’in arkasında yatan temel düşünce etkili bir bilgi güvenliği elde etmek için yönetim sistem proseslerinin tesis edilmesi, gerçekleştirilmesi ve sürdürülmesidir.

BGYS; kuruluşun iş riski yaklaşımına dayanan, kuruluşun işleyiş ve iş kültürünün ayrılmaz bir parçası olarak görülmeli ve etkili bilgi güvenliğine ulaşmak için kuruluşu, teşkilatı, politikaları, planlama faaliyetlerini sorumlulukları, uygulamaları, prosedürleri, prosesleri ve kaynakları kapsar.

Etkili bilgi güvenliğine giden yol

Bugünün dünyasında bilgi güvenliği olmadan hiçbir kuruluş başarılı bir biçimde işletilemez. BGYS, yeterli ve uygun bir bilgi güvenliği yönetiminin kuruluşun bilgi varlıklarının korunması ve ilgili taraflara güven vermesi amacıyla tesis edilmesini temin etmek üzere tasarlanmalıdır.

Bilgi güvenliği kuruluşa faydalı olacaksa, olumlu katkıda bulunacaksa, BGYS başarılı bir bilgi güvenliğini sağlayabilmelidir. Bilgi güvenliği teknik ve BT konudan daha çok öncelikle, bir yönetim konusudur. Bununla birlikte hiç kimse, özellikle BT kullanımı konusundaki geniş çaptaki bağımlılığı ve teknik sorunları göz ardı etmemelidir.

Devam eden prosesler
Bilgi güvenliği yönetimi, bir kere yapılıp kenara bırakılacak bir uygulama değildir; devam eden bir sürekli gelişim faaliyeti olarak (ISO 9001 gereksinimleri gibi diğer yönetim sistem standardları kadar TS ISO/IEC 27001 tarafından uyarlanan Planla-Uygula-Kontrol et-Önlem al (PUKÖ) modeline dayanmaktadır.

İyi yönetilen bilgi güvenliği, işi yapılabilir kılar. BGYS faaliyetleri için yönetim desteği, başarılı ve etkili BGYS gerçekleştirmelerinin hayata geçirilmesindeki en önemli faktörlerdenbiridir.

BGYS standardı olan TS ISO/IEC 27001, uyulması istenirse, kuruluşun uymak için ihtiyaç duyduğu gereksinimler kümesi şeklini alır. Söz konusu gereksinimler ISO/IEC 27001’nin Madde 1 ila Madde 8 arasında belirtilmiştir ve bu gereksinimler PUKÖ modeline dayanan proses yaklaşımıyla ilişkili gereksinimleri de kapsar.

TS ISO/IEC 27001’deki gereksinimlerini yansıtan hükümler zorunludur. “-meli”,”-malı” terimi içeren ifadeler ise gereksinimlerin uygulanmasına kılavuzluk etmesine rağmen bünyeye uydurulması beklenen, ancak zorunlu olmayan hükümleri ifade etmek için kullanılır.

Bir uygulama rehberi olarak ISO/IEC 17799, bir belirtim olarak alıntı yapılmaması anlamına gelen kılavuz ve tavsiyeler şeklindedir ve uyum isteklerinin yanlış yönlendirilmemesini sağlaması için dikkate alınmasına özen gösterilmelidir.

PUKÖ modeli
“Planla-Uygula-Kontrol et-Önlem al modeli (PUKÖ Modeli)” olarak bilinen model, ISO/IEC 27001 standardında kullanılmıştır. Bu model, bir BGYS’in kurulmasında,
gerçekleştirilmesinde, işletilmesinde, izlenmesinde, gözden geçirilmesinde, sürdürülmesinde ve tekrar gözden geçirilmesinde temel olarak kullanılır.

Planla (BGYS’nin kurulması)
Sonuçları kuruluşun genel politikaları ve amaçlarına göre dağıtmak için, risklerin yönetimi ve bilgi güvenliğinin geliştirilmesiyle ilgili BGYS politikası, amaçlar, hedefler, prosesler ve prosedürlerin kurulması.

Uygula (BGYS’nin gerçekleştirilmesi ve işletilmesi)
BGYS politikası, kontroller, süreçler ve prosedürlerin gerçekleştirilip işletilmesi.

Kontrol Et (BGYS’nin izlenmesi ve gözden geçirilmesi)
BGYS politikası, amaçlar ve kullanım deneyimlerine göre proses performansının değerlendirilmesi ve uygulanabilen yerlerde ölçülmesi ve sonuçların gözden geçirilmek üzere yönetime rapor edilmesi.

Önlem al (BGYS’nin bakımı ve iyileştirilmesi)
BGYS’in sürekli gelişiminin sağlanması için içsel BGYS denetim ve sonuçlarına, yönetimin gözden geçirmesine ve konuyla ilgili diğer bilgilere göre düzeltici ve koruyucu önlemlerin alınması.

kaynak:www.educore.com.tr

Bilgi Güvenliği Yönetim Sistemi Kapsamında Risk Modeli

Makale III. İstanbul Bilişim Kongresinde sunulmuş ve kongre kitapçığında yer almaktadır…

ÖZET

Bilgi varlıklarının korunabilmesi, kurumların karşılaşabileceği risklerin en aza indirgenmesi
ve iş sürekliliğinin sağlanması, Bilgi Güvenliği Yönetim Sistemlerinin kurumlarda üst
yönetim desteğiyle hayata geçirilmesiyle mümkün olmaktadır.
Bu çalışmada, Bilgi Güvenliği’ nin sağlanmasında önemli olan unsurlar gözden
geçirilmiştir. Yüksek seviyede Bilgi Güvenliği’ nin sağlanabilmesi için bilgi güvenliği
standartlarının bilinmesi ve uygulanmasının yanında güncel tehditlerin bilinmesi önemlidir
Yüksek seviyede bir Bilgi Güvenliği sağlanabilmesi için teknoloji-insan-eğitim üçgeninde
yönetilen bir yaklaşımın dikkate alınması gerektiği tespit edilmiştir. Kurumsal bilgi
güvenliğinin yüksek seviyede sağlanması ve ülkemizde kurumsal bilgi güvenliği bilincinin
geliştirilmesi için kurumlar ve bireylerin bilgilendirilmesi amaçlanmıştır. Bu çalışmanın,
kurumsal bilgi güvenliğinin yüksek seviyede sağlanmasına yönelik farkındalık oluşturması,
mevcut ve yeni standartlar hakkında daha fazla bilgi içermesi, literatür özetini sunması ve
yüksek seviyede güvenliğin sağlanmasına katkılar sağlayacağı düşünülmektedir.

Makalenin tamamını indirmek için TIKLAYINIZ