ISO 27001:2017 Bilgi Güvenliği Yönetim Sistemi Standardı Yeni Versiyon Mu Çıktı ?

tseBilindiği üzere ISO 27001; Bilgi Güvenliği Yönetim Sistemi Standardı olarak bilinmektedir.  Yönetim Sistemi Standartları dünya üzerinde ISO  Uluslararası Standartlar Örgütü  (International Standards of Organisations) tarafından planlanmakta ve yayımlanmaktadır.

Ülkemizde de ISO standartları TSE (Türk Standartları Enstitüsü) tarafından TS (Türkturkak-logo (1) Standardı olarak kabul eder. Orjinal dilinde ingilizce olarak yayınlanan standardı Türkçe’ye çevirme işini gerçekleştirir ve satışa sunar. Ülkemizdeki ISO tarafından yayınlanmış ve TSE tarafından benimsenerek satışa sunulmuş standartların kurum ve kuruluşlarda kurulumu tamamlandıktan sonra Akredite olmuş (TÜRKAK – Türk Akreditasyon Kurumu) firmalar tarafından belgelendirme işlemleri tamamlanır.

ISO 27001 ülkemizde son olarak 2013 yılında  TS ISO/IEC 27001:2013 Bilgi Güvenliği Yönetim Sistemi Standardı olarak kabul edilmiş ve yürürlüktedir. ISO 27001:2013 versiyonu ile ilgili detaylı bilgiye erişmek için lütfen TIKLAYINIZ.

ISO zaman zaman ülkelerden gelen istekler ve talepler doğrultusunda standartlarda revizyonlar yada değişiklikler yapabilir.

27001Son olarak ISO / IEC 27001:2017 CEN/CENELEC ( Comite Europeen de Normalisation / Comite Europeen de Normalisation Electrotechnique – Avrupa Standartlaştırma Komitesi / Avrupa Elektroteknik Standartlaştırma Komitesi); 34 ülkenin (Ayrıntılı bilgi için tıklayınız lütfen) standartlaştırma örgütlerinin ve elektroteknik komitelerinin bir araya geldikleri bir birliktir.
CEN’in amacı uyumlu bir Avrupa pazarı yaratmak için telekomünikasyon (ETSI) ve elektroteknik (CENELEC) alanının dışında kalan bütün teknik sektörler için standartlar üretmektir.)  tarafından onaylanarak yeni bir Avrupa sürümü olarak 2016 yılından itibaren duyurulmuştur.

Yapılan bu düzenlemede Standart üzerinde iki maddede değişiklik yapılmıştır. Standart maddelerinden 6.1.3 ile Standardın EK A Kontrol Maddelerinden 8.1’de değişiklik yapılmıştır.

Ülkemiz CEN/CENELEC birliğinin üyesidir. Bu bağlamda TSE standardı benimsemiş ve ingilizce orjinal dilinde satışa sunmuştur. Henüz standardın Türkçe tercümesi yapılmamıştır.

Peki bundan sonra ne olacak ??

1- Türkak henüz yeni versiyondan akreditasyon değişlikliği yapmamıştır.

2- Daha önce 2013 versiyonundan alınmış sertifikalar hala geçerliliğini korumaktadır.

3- Yeni sertifika alacak olan kurum yada kuruluşlar 2013 versiyonundan yönetim sistemini kurmaya ve 2013 versiyonu üzerinden sertifika alabileceklerdir.

4- Yeni versiyondan sertifika almak isteyen kuruluşlar talep halinde 2017 versiyonu üzerinde sertifika alabileceklerdir.

Saygılarımla
Faruk Çalıkuşu
Kıdemli Danışman

Reklamlar

ISO 27001:2013 VE ISO 27002:2013’te Neler Değişiyor?

ISO 27001:2013 VE ISO 27002:2013’te Neler Değişiyor?
ISO 27001:2005 ve ISO 27002:2005 Bilgi Güvenliği Yönetim Sistemi Standartlarının 2013 yılı başlarında yeni versiyonları draft olarak yayımlanmıştı. Bu yazıda ISO 27001 ve ISO 27002 standartlarında öngörülen değişikliklerin bir karşılaştırması yapılmıştır.

1.    ISO 27001:2013 VS. ISO 27001:2005

Bilgi Güvenliği Yönetim Sistemi (BGYS-(in Eng. ISMS))’nin uluslararası standardı 2005 yılında ISO 27001:2005 olarak yayımlanmıştı. 2006 yılında ise Türk Standartları Enstitüsü tarafından Türkçe’ye çevrilmiş ve TS ISO/IEC 27001 olarak yayımlanmıştı.

Şu an taslak halde yayımlanan ISO 27001:2013 standardının 2013 yılının ikinci yarısında yayımlanması bekleniyor.

1.1.     ISO 27001:2013 ile ISO 27001:2005 Arasındaki temel farklar nelerdir?

Bu karşılaştırmaya geçmeden önce elimizdeki standardın taslak halde olduğu ve yapılacak katkılarla değişime açık olduğu unutulmamalıdır.

1.1.1.    Yapıya Genel Bir Bakış

ISO 27001:2013, ISO22301:2012 ile gördüğümüz Annex SL ile uyumlu olacak. Annex SL tüm ISO standartlarına genel bir çerçeve yapısı oluşturuyor. Tüm yönetim sistemlerinde bulunması gereken temel bileşenlerin yanı sıra standarda özel başlıkların konulmasına olanak sağlayan bu çatı yapısı, birden fazla yönetim sistemine sahip kuruluşlar için hem yönetim anlamında hem de bu yönetim sistemlerinin denetimi anlamında kolaylık sağlayacaktır.

Bu yapı ile tüm standartlarda bulunacak temel başlıklar aşağıdaki gibi olacaktır:

tablo-1.png

Tablo 1

Ek olarak sadece ‘EK-A’ bulunduğu bununla birlikte eski standartta yer alan EK-B ve EK-C olmadığını görüyoruz. Tüm kontroller EK-A’ da yer almaktadır.

1.1.2.    İlgili Taraflar

Yeni 27001 standardı BGYS ana girdileri tanımlamada önemli bir yer tutacak olan ilgili taraflarla alakalı olarak ‘4.2 ’ Maddesinde; “Tüm ilgili tarafların tanımlanması ve yasal/düzenleyici dâhil tüm gereksinimleri ile tanımlanmasını şart koşuluyor”.

1.1.3.    Risk Değerlendirme ve İyileştirme

Uzun yıllar en iyi uygulama örneği olarak yerini koruyacak olan; varlık, açıklık, tehdit temelli risk değerlendirme yeni 27001 standardı ile yerini gizlilik, bütünlük ve erişilebilirlik temelli bir risk tanımlamaya bırakmış durumdadır.

Yeni standardın ilgili maddesi şu şekildedir;

Apply the information security risk assessment process to identify risks associated with the loss of confidentiality, integrity and availability for information within the scope of the ISMS (ISO 27001:2013, madde 6.1.2; d.1).

Risk seviyesini belirlemek için olasılık ve etki bileşenleri ise yerini koruyor.

Not: Yeni standart risk işleme yönetiminin dokümante edilmesini şart koşmuyor. Bununla birlikte risk işleme sürecinin tanımlanması gerekiyor. Varlık sahibi kavramı ise yerine ‘risk sahibi’ tanımı ile değiştirilmiştir.

1.1.4.    Düzeltici ve Önleyici Faaliyetler

İlk fazda önleyici faaliyetlerin olmadığını söylemek yanlış olmaz. Önleyici faaliyetler risk işleme ve iyileştirme adımlarına dağıtılmış durumdadır.

Düzeltici faaliyetler için ise, eski standarda kafa karışıklığına sebebiyet veren durum ortadan kaldırılmış olduğu görülüyor. Düzeltici faaliyetlerin bir uygunsuzluğa verilen ilk tepki  ve bir uygunsuzluğun kök nedenlerini ortadan kaldırmak üzere ikiye ayrıldığını görüyoruz.

1.1.5.    İletişim

Bilgi güvenliğinin sağlanması için gerekli olan iletişim konusu ile ilgili olarak yeni bir madde eklendiği görülüyor.

Bu madde uyarınca; kiminle, ne zaman, kim ve hakkında iletişime geçileceğinin tanımlanması sağlanıyor (Madde 7.4).

1.1.6.    Dokümante Edilmiş Bilgi

Yeni standart ‘belgeler’ ve ‘kayıtlar’ kavramını birleştirerek ‘dokümante edilmiş bilgi’ kavramını getiriyor. Doküman kontrolü ile ilgili kuralların eski standarda göre değişmediği ve ‘belgeler’ ve ‘kayıtlar’ın her ikisi içinde geçerli olacağı görülüyor.

4.3.1 Maddesinin kaldırıldığı ve gerek duyulan merkezi bir doküman listesinin olmadığını görüyoruz.

Eski standartta yer alan doküman yönetimi, düzeltici faaliyet v.b zorunlu olarak olması gereken belgelerin olmadığı bununla birlikte bu süreçlerin yönetilmesi ve işletilmesi ile ilgili kayıtların tutulması zorunluluğu bulunuyor. Daha farklı ifade edilecek olunursa, düzeltici faaliyet dokümanı yazılı olarak olmasa bile bu sürecin işletilmesi ile ilgili kayıtların tutulması zorunludur.

1.1.7.    Hedefler, İzleme ve Ölçme

Yeni standartta hedeflerin net olarak tanımlanması ve 9.1 maddesi uyarınca, ölçmenin kim tarafından, ne zaman yapılacağı, sonuçları kimin analiz edip değerlendirileceği belirtilmeli ve ek olarak kapsamlı planların hedeflere nasıl ulaşılacağını açıklayacak şekilde olması gerekiyor.

2.    ISO 27001:2013 VS. ISO 27001:2005

ISO 27001 standardının EK-A’ sında yer alan kontroller ile ilgili yayımlanmış standart olan IS0 27002 standardı 2013 yılında yenilenerek taslak olarak yayımlandı. Şu an taslak halinde yayımlanan yeni ISO 27002 standardının ise 2013 yılının ikinci yarısında yayımlanması bekleniyor.

Yeni IS0 27002 standardıyla, ISO 27002:2005 standardını yapısal olarak karşılaştıracak olursak,

Kontrollerin Sayısı: Kontrollerin sayısının yeni standartta 133’ten 113’e düşürüldüğü görülüyor.

Bölümlerin Sayısı: Kontrollerin sayısında öngörülen azalmaya rağmen bölüm sayısının 11’den 14’e çıkarıldığı görülüyor.

2.1.    ISO 27002:2013 Bölümlerin Yapısı

Yeni standarda göz atacak olursak, Kriptografi ayrı bir bölüm haline getirilmiştir (Bölüm 10). Kriptografi ile ilgili kısımların bilgi sistemleri edinimi, geliştirme ve bakımın bir parçası olmadığı biliniyor. Benzer bir değişiklik tedarikçi ilişkileri kısmında da mevcut. Haklı olarak tedarikçi ilişkileri de ayrı bir bölüm haline getirilmiştir (Bölüm 15). İletişim ve operasyon yönetimi ise iki bölüme ayrılmıştır: Operasyon güvenliği (Bölüm 12) ve iletişim güvenliği (Bölüm 13). Öngörülen yeni standart üzerinde yer alan temel başlıklar aşağıdaki gibidir:

tablo-2.png

Tablo 2

2.2.    Güvenlik Kategorilerinin Yerleştirilmesi

  • Mobil cihazlar ve uzaktan çalışma daha önce erişim kontrolü bölümündeydi; şimdi ise bilgi güvenliği organizasyonunun (Bölüm 6) altında 6.2 inci kısım olarak yer almaktadır.
  • Ortam işleme, daha önce iletişim ve operasyon yönetimi altındayken şimdi varlık yönetimi (Bölüm 8) altında 8.3 üncü kısım olarak yer almaktadır.
  • İşletim sistemi erişim kontrolü ile uygulama ve bilgi erişim kontrolü sistem ve uygulama erişim kontrolü olarak birleştirilmiş ve erişim kontrolü (Bölüm 9) altında 9.4 üncü kısım olarak kalmıştır.
  • Operasyonel yazılım kontrolü, daha önce bilgi sistemleri edinim, geliştirme ve bakımın altında tek bir kontrolken, şimdi 12.5 olarak operasyon güvenliği altında ayrı bir kısımdır.
  • Bilgi sistemleri denetim hususları, uyum bölümünden operasyon güvenliği altına 12.7 inci kısım olarak aktarılmıştır.
  • Bir güvenlik kategorisi olan yazılım erişim kontrolü kaldırılmış ve bazı kontrolleri iletişim güvenliğinin (Bölüm 13) altına taşınmıştır.
  • Bilgi değişimi, iletişim güvenliğinin (Bölüm 13) altında 13.2 inci kısım olarak yer almıştır.
  • Tartışmalı bir kategori olan uygulamalarda doğru işleme kaldırılmıştır. Önceki standartta ise bilgi sistemi edinim, geliştirme ve bakımın altında yer almaktadır.
  • Elektronik ticaret hizmetleri, ayrı bir kategori olmaktan çıkartılarak, kontrolleri bilgi sistemi güvenlik gereksinimleri ile birleştirilmiştir (14.1).
  • Bilgi güvenliği olay yönetimi altındaki 2 kategori birleştirilmiştir. İş sürekliliği bölümüne ise yeni bir kategori eklenerek (Yedekleme 17.2). Bu kategori temel olarak felaketten kurtarma ile ilgilidir.

2.3.    Yeni Kontroller

14.2.1– Güvenlik gelişim politikası- Yazılım ve bilgi sistemleri geliştirme için kurallar

14.2.5– Sistem geliştirme prosedürleri- Sistem mühendisliği ilkeleri

14.2.6– Güvenli geliştirme ortamı- Geliştime ortamı oluşturulması ve korunması

14.2.8– Sistem güvenliği testi- Güvenlik fonksiyonları testleri

16.1.4– Bilgi güvenliği olayları değerlendirme ve karar verme- Olay yönetiminin bir parçası

17.2.1– Bilgi işleme olanaklarının erişilebilirliği- Yedekleme

2.4.    Çıkartılan Kontroller

6.2.2– Müşterilerle ilgilenirken güvenliği ifade etme

10.4.2– Mobil koda karşı kontroller

10.7.3– Bilgi işleme prosedürleri

10.7.4– Sistem dokümantasyonu güvenliği

10.8.5– İş bilgi sistemleri

10.9.3– Herkese açık bilgi

11.4.2– Dış bağlantılar için kullanıcı kimlik doğrulama

11.4.3– Ağlarda teçhizat tanımlama

11.4.4– Uzak tanı ve yapılandırma portu koruma

11.4.6– Ağ bağlantı kontrolü

11.4.7– Ağ yönlendirme kontrolü

12.2.1– Giriş verisi geçerleme

12.2.2– İç işleme kontrolü

12.2.3– Mesaj bütünlüğü

12.2.4– Çıkış verisi geçerleme

11.5.5– Oturum zaman aşımı

11.5.6– Bağlantı süresinin sınırlandırılması

11.6.2– Hassas sistem yalıtımı

12.5.4– Bilgi sızması

14.1.2– İş sürekliliği ve risk değerlendirme

14.1.3– Bilgi güvenliğini içeren süreklilik planlarını geliştirme ve gerçekleştirme

14.1.4– İş sürekliliği planlama çerçevesi

15.1.5– Bilgi işleme olanaklarının kötüye kullanımını önleme

15.3.2– Bilgi sistemleri denetim araçlarının korunması

Sonuç

ISO 27001:2013’te öngörülen değişikliklerin temel olarak ilgili taraflar, risk değerlendirme ve iyileştirme, düzeltici ve önleyici faaliyetler, iletişim, dokümante edilmiş bilgi ve hedefler, izleme ve ölçme başlıkları ile ilgili olduğu görülmektedir.

ISO 27002 yapısı tamamen ISO 27001 kontrolleri ile uyumlu olduğundan tüm değişiklikler yeni ISO 27001 EK-A’sı içinde geçerlidir. İlk bakışta çok fazla bir değişiklik varmış gibi görülmektedir. Ama bunların çoğu temelden yapılan değişiklikler değildir. Değişikliklerin çoğu aslında mevcut ISO 27002’nin yanlış yapısının düzeltilmesi ve yeni kontrollerin eklenmesini içeriyor. Ağ güvenliği ve geliştirme sürecinde ise bazı değişiklikler mevcut. Bu alanlarda yeni standarda göre daha esnek bir tarif ve nasıl uygulama yapılacağı kısmında serbestlik öngörülüyor.

Sonuç olarak yeni standarda göre uygulama daha kolay olacak gibi görünmektedir.

Kaynaklar

1.    ISO/IEC 27002: 2005, Information technology — Security techniques — Code of practice for information security management,

2.    ISO/IEC 27001: 2005, Information technology — Security techniques — Information security management systems — Requirements

3.    Draft Version of ISO/IEC 27002: 2013

4.    Draft Version of ISO/IEC 27001: 2013

https://www.bilgiguvenligi.gov.tr

ISO 27001 Bilgi Güvenliği Yönetim Sistemi Standardı Yeni Versiyon Ekim 2013

Kurumlarda BT standartlarını belirleyen ve onların uluslararası standartta bir Bilgi Güvenliği Yönetim Sistemi’ne (BGYS) sahip olduğunu kanıtlayan ISO/IEC 27001 ve ISO/IEC 27002 standartlarının yeni versiyon taslakları yayımlandı.

Bilgi teknolojileri alanındaki ihtiyaçları karşılamak için BT standartlarını ortaya koyan, güncelleyen ve destekleyen ‘Joint ISO/IEC Committee’, ISO/IEC 27001 ve ISO/IEC 27002 standartlarının yeni versiyonunu oluşturacak taslakları yayımladı. Taslağın yayımlanmasının amacı ise ilgili tarafların yapılan değişikliklere yönelik görüşlerini almak ve bu görüşlere göre standarda son halini verebilmek.

Son tarih 23 Mart

Komite, 23 Mart 2013’e kadar, standardın taslak hali için gelecek yorumları bekliyor. Joint ISO/IEC Committee tarafından değerlendirilecek geri bildirimler sonrasında taslak standardın bu değerlendirmeye göre güncellenmesi planlanıyor. ISO tarafından ‘Final Draft International Standard’ (FDIS) adı verilen son taslağın yayımlanması bekleniyor.

ISO 27001’de hangi değişiklikler var?

ISO 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS) standardının yeni versiyonunu incelendiğinde, standardın yapısında ve içeriğinde önemli değişiklikler olduğu göze çarpıyor.

  • Standardın 2005 versiyonunda da yer alan ‘üst yönetimin bilgi güvenliğine yönelik sorumluluklarını anlatan ‘5. Yönetim Sorumluluğu’ maddesi, yeni versiyonda yönetim sistemine yönelik; liderlik, etkinlik ölçümü, bilgi güvenliğine yönelik hedeflerin belirlenmesi konularını daha çok vurgulayan bir hale getiriliyor.
  • Sürekli iyileşmenin sağlanabilmesi için kurumun artık başka metodolojiler de izleyebileceği göz önünde bulundurularak PUKÖ döngüsünün izlenmesi bir gereklilik olmaktan çıkartılıyor.
  • Bilgi güvenliği risklerinin belirlenmesine ve risklerin indirgenmesine yönelik aksiyonların alınmasını temel alan standardın risk değerlendirme yaklaşımında büyük değişiklikler var. Artık eskiden olduğu gibi varlıklar üzerinden risk değerlendirme yapmak yerine kurumlar daha geniş, daha jenerik bir değerlendirme yaklaşımını benimseyebilecekler. Standart artık, kurumların sahip oldukları bilginin, bilgi varlıklarından daha önemli olduğunu vurguluyor. Bu yenilik, kurumların donanım ve yazılım gibi varlıklarının üzerindeki riskleri değerlendirmesi yerine, sahip oldukları bilgiler üzerindeki riskleri değerlendirmeleri gerektiği anlamına geliyor.
  • Risk yönetim standardı olan yeni versiyon ISO 31000 ile ISO 27001 ile, Bilgi Güvenliği Yönetim Sistemi’nin (BGYS) risk yönetim yaklaşımları birbirine uygun hale getiriliyor ve birçok kurumda karşımıza çıkan kurumsal risk yönetimi ile bilgi güvenliği risk yönetimi kavramlarının örtüşmesi sağlanıyor.
  • ISO 27001’in 2005 versiyonunda, standarda yönelik güvenlik önlem ve kontrollerinin etkinliğinin ölçümü daha belirsiz ve kuruma göre değişebilecek yapıda iken, yeni versiyonda izleme, ölçme ve iyileştirme süreçleri daha net, spesifik ve tanımlı uygulamaların yürütülmesini gerektiriyor. Bu durum, bilgi güvenliği gerekliliklerine yeni uyum sağlayacak ve belgelendirilmeyi hedefleyen kurumlar için yeni bir gereklilik getiriyor: Artık kurumların belgelendirilebilmesi için sadece sistemi kurması ve işletmesi değil, aynı zamanda aldığı güvenlik önlemlerinin etkinliğini izleyebilmesi, ölçebilmesi ve sonuçlarından iyileşme fırsatları çıkartabilmesi gerekecek.
  • Standardın temel güvenlik önlemlerinin yer aldığı ‘EK A’ kısmı, yeni versiyonda da mevcut. Kurumların EK A’da yer alan kontrollere nasıl uyum sağladıklarını gösterebilmeleri için halen bir ‘Uygulanabilirlik Bildirgesi’ dokümanı hazırlamaları gerekiyor.
  • Eski versiyonda kontrol hedefleri 11 ana başlık altında ele alınırken artık 14 farklı kategoride kontroller bulunuyor. 2005 versiyonda 133 adet kontrol hedefi varken yeni standartta 113 adet kontrol olması bekleniyor. Standardı incelediğimizde kontrol maddelerinde eski versiyona göre daha net bilgiler yer aldığını görüyoruz. Örneğin, eski standart iş sürekliliği konusunda her kurumun bir iş sürekliliği planı olması ve bu planlarında bilgi güvenliğinin dikkate alınması gerektiği üzerinde duruyordu. 2013 versiyonunda ise artık, iş süreklilik planı ihtiyacının tanımlanması ve bu ihtiyaca göre süreklilik planlarının oluşturulması söz konusu…

Yeni Standart Kurumları Nasıl Etkileyecek?

ISO 27001 belgesine sahip veya sertifika almayı hedefleyen kurumları nasıl bir süreç bekliyor? Yeni standart yayımlandığında, 2005 revizyonlu eski ISO 27001 standardı güncelliğini yitirmiş olacak ve geçersiz sayılacak. Belgeye sahip olan ve sistemi uygulamaya devam etmekte olan kurumlara yeni standart geçiş için belirli bir süre tanınacak. Her ülkede yeni versiyona geçişler genellikle ulusal akreditasyon kurumları tarafından yürütülüyor (Türkiye’deki örneği: TÜRKAK).

Geçiş süreci şöyle işliyor:

  • Belgelendirilmiş olan ve sistemi yürütmekte olan kurumların yeni versiyona geçiş yapabilmesi için genellikle yeni standardın yayımlanma tarihinden itibaren 18 – 24 ay süre tanınıyor.
  • Standardın 2013 revizyonunun yayımlanmasından önce BGYS projelerine başlamış olan ve standart gerekliliklerine uyum için çalışmakta olan kurumların eski versiyona göre belgelendirilmelerine devam edebilmeleri içinse genellikle 6 – 12 ay süre veriliyor. Ancak yeni revizyonlu standart yayımlandıktan sonra, 2005 versiyona göre belgelendirilen kurumların, geçiş sürecinin sonuna kadar 2013 versiyona geçmeleri talep edilecek.

Yeni versiyona geçiş rahat olacak

Genellikle yeni standartlar yayımlandıktan sonra kurumların, belgelendirme şirketlerinin ve denetçilerin yeni standart maddelerini yorumlamaları, kurumlarda nasıl uygulanabileceğini belirlemeleri ve özümsemeleri genellikle belirli bir zaman alıyor. Bu nedenle şu anda ISO 27001 kurulum projelerini yürütmekte olan kurumların 2005 versiyona göre hazırlık yapmaları ve etkin bir Bilgi Güvenliği Yönetim Sistemi (BGYS) kurulduktan sonra 2013 versiyonlu standarda uyum sürecini başlatmaları daha rahat bir geçiş süreci geçirmelerini sağlıyor.

Hedef: 19 Ekim 2013

ISO tarafından ISO 27001 standardının 2013 revizyonunun 19 Ekim 2013’te yayımlanması hedefleniyor. Ancak taslak standarda yönelik yorumlar ve geri bildirimlerin yoğunluğuna ve önemine bağlı olarak son revizyonun yayımlanma tarihinin Nisan 2014’e kadar uzayabileceği belirtiliyor.

(innova)

BGYS’’nin Gerçekleştirilmesi ve İşletimi

BGYS’nin Gerçekleştirilmesi ve İşletimi

Uygula aşaması için ISO/IEC 27001 Madde 4.2.2’de tanımlanan “-ecek”,”-acak” ifadeleri; kuruluşun Planla aşaması’nda kurulan BGYS’in gerçekleştirilmesi ve işletilmesi için uygun proses kümesine sahip olunmasını temin etmesi amacıyla tasarlanmıştır.

“Uygula aşaması”ndaki farklı adımlar aşağıdaki gibidir:

a) Bir risk giderme planının formül edilmesi.

Bu plan, tanımlanmış riskleri yönetmek için hangi yönetim eylemlerine başvurulması gerektiği, bu eylemlerin öncelikleri, sınırlayıcı faktörler, son bildirim tarihleri ve gerekli kaynakların neler olduğunun ana hatlarını ortaya koymalıdır. Bilgi güvenliği risklerini yönetme sürecinde başvurulan eylemlerin sorumluluğunun, BGYS’deki yöneticilerin ve kullanıcıların konuyla ilgili güvenlik sorumluluklarında olduğu kadar açıkça ortaya konulmasına ihtiyaç vardır. Başka iş prosesleri ve planlarının da risk giderme planıyla koordine edilmesine ihtiyaç duyulabilir.

b) Risk giderme planının gerçekleştirilmesi.

Kuruluş, BGYS için gerekli olan fon kaynağını, rollerin ve sorumlulukların paylaşımını göz önüne alan bir risk giderme planı ile seçilen kontrol hedefleri ve önlemleri sisteminin gerçekleştirilmesi amacıyla bir dizi süreç belirlemelidir. Bu proseste tanımlanan eylemler, roller ve sorumluluklar yazıya dökülmelidir.

c) Kontrol hedeflerini karşılaması için seçilen kontrollerin gerçekleştirilmesi.

Kuruluş, risk giderme planında yer alan eylemler, öncelikler, kaynaklar, roller ve sorumluluklarla birlikte seçilen kontrollerin gerçekleştirilmesi için prosedürleri ortaya koymalıdır. Kaynak israfını önlemek için gerçekleştirme derecesi (örneğin; ne kadar eğitim, kayıt veya raporlama),çok dikkatlice karar vermeyi gerektirir. Lüzumsuz gerçekleştirme; tüm kontrol etkinliğinde bir azalmayla sonuçlanan, kontrolden etkilenen personelin rahatsızlık duymasına neden olabilir.

Güvenlik ve kontrol, daima insanların yaşamları ve çalışma pratikleri üzerinde etkilidir; ancak hiçbir zaman sıkıntıya sebep olmamalıdır.

d) Kontrol etkinliğinin ölçülmesi ve değerlendirilmesi.

Seçilen kontrollerin gerçekleştirilmesiyle birlikte kontrol etkinliğinin ölçülmesini ve değerlendirilmesini mümkün kılan anlamların da ortaya konulması gereklidir. Kontroller, seçildiği bilgi güvenliği risk(ler)inin yönetiminde işe yaramalıdır. Bu nedenle kuruluş, kontrollerin öngörülen hedefleri elde etmesini temin için kontrollerin etkinliğini nasıl ölçmek istediğini belirlemelidir. Tüm kontrollerin grup hâlinde etkinliğinin ölçülmesi usulü uygun ve anlamlı olduğu sürece kontrolleri gruplar halinde ayırmak mümkün olduğu gibi, bu kontrol gruplarına uygulanacak olan ölçütleri tanımlamak da mümkündür.

Kontrol etkinliğinin belirlenmesinde kullanılan ölçütler, karşılaştırılabilir ve yeniden elde edilebilir sonuçlar vermelidir. Bu ölçütler, kontrollerin maliyet etkinliğini de ortaya koymalıdır. Genellikle bir kontrol için gerçekleştirmenin birden fazla derecesi vardır ve elde edilen faydalar, ilave edilen güvenliğin elde ettiği gerçek kullanım ile karşılaştırılmalıdır. Kontrollerin etkinliğinin ölçülmesi için tanımlanan anlamlar,kuruluşun kontrol etkinliğinin belirlenmesinde nasıl kullanıldığını göstermek için belgelendirme amacıyla yazıya dökülmelidir.

e) Eğitim ve farkındalık programının gerçekleştirilmesi.

Kuruluş, BGYS sorumlulukları olan personelin verilen görevleri yerine getirme konusunda yeterli olmalarını sağlamak için uygun bir farkındalık ve eğitim programı uygulamalıdır. Program gerekli yeterlikleri belirlemeli, bu gereksinimleri karşılamak için gerekli olan eğitimi sunmalı, eğitimin etkinliğini değerlendirmeli ve kazanılan yetilerin ve niteliklerin kaydını tutmalıdır.

Güvenliğin, insanların yaptıkları işi engellemek için var olmadığı unutulmamalıdır. Güvenlik, insanların yaptıkları işi daha kontrollü yapmalarını sağlamalıdır. Güvenlik, insanların verilen sorumlulukları yerine getirdiğini göstermeli ve kıymetlerini hiçbir şüpheye meydan vermeksizin ortaya koymalı ve niteliklerini geliştirmelidir. Çalışanlar, iyi seviyede gerçekleştirilmiş güvenliğin rahatsızlık kaynağından daha çok faydası olduğunu kısa sürede anlayacaklardır.

f) BGYS’nin işletilmesinin idaresi.

Kuruluş, BGYS’yi tanımlanan kontroller, politikalar ve prosedürlere uygun olarak işletmelidir. BGYS’nin gün gün işletilmesi, kurulan güvenlik düzenlemelerinin tasarlandığı gibi işlevini yerine getirip getirmediğinin değerlendirilmesi amacıyla “Kontrol et aşaması” için gerek duyulan bilgiyi sağlamalıdır. Bu değerlendirmenin yapılabilmesi için BGYS’nin işletimi sırasında gerekli olan tüm belgelerin ve kayıtların toplanması önemlidir.

g) BGYS için kaynakların idaresi.

Kuruluş, BGYS’yi işletmek, izlemek, gözden geçirmek, sürekli kılmak ve geliştirmek için gerekli olan kaynakları tanımlamalı ve sağlamalıdır. Yeterli kaynakların sağlanması,ayrıntıları Madde 3.9’da tanımlanan genel yönetim sorumluluğunun bir parçasıdır.

h) İhlal olaylarını idare etmek için prosedürlerin ve kontrollerin gerçekleştirilmesi.

Kuruluş, bilgi güvenliği olaylarını tanımlamak ve rapor etmek, bu olayları değerlendirmek, olaylara etkili bir biçimde karşılık vermek, bilgi güvenliği ihlal olaylarının vereceği zararı sınırlamak için gerekli olan prosedürleri ve kontrolleri belirlemelidir. Bilgi güvenliği ihlal olaylarının tümünün kaydı çoğaltılabilir olmalı ve kuruluş, ihlal olaylarını değerlendirmek ve bu olaylardan dersler almak için usuller belirlemelidir. İhlal olayı yönetimi tarafından yapılan kayıtlar, uygulama sırasında riski belirlerken ya da riski ortadan kaldırma kararları alınırken anlam ifade edip etmediği ve gerçekleştirilen kontrollerin tasarlandığı şekilde işleyip işlemediği konusunda değerlendirme yapabilmek için çok değerli bir kaynaktır.

kaynak:www.educore.com.tr

BGYS’nin Kurulması

BGYS’nin Kurulması

“Planlama aşaması” için ISO/IEC 27001 Madde 4.2.1’de tanımlanan gereksinimler aşağıdaki gibidir:

a) İşin, kuruluşun, kuruluşun yerinin, varlıklarının ve teknolojisinin özellikleriyle BGYS’in kapsamının ve sınırlarının tanımlanması.

BGYS’nin kapsamı kuruluşun belli bir kısmı olabileceği gibi, bağımsız bir biçimde de tanımlanabilir; ya da kapsam tüm kuruluşu ifade edebilir. Uygun olan BGYS kapsamını belirlemek tamamen kuruluşa kalmıştır ancak, her halükârda BGYS kapsamı ve o kapsamın sınırlarının eksiksiz bir biçimde ve iyi tanımlanması gerekir. BGYS’nin, kuruluşun diğer bölümleriyle (BGYS kapsamında olmayan), diğer kuruluşlarla, üçüncü şahıs olan tedarikçilerle ya da BGYS dışındaki başka varlıklarla arasındaki arayüzlerin ve bağımlılıkların da kapsamda dikkate alınması gerekir.

BGYS dışında bırakılanların ayrıntıları belgelenmeli ve gerekçeleri iyi ortaya konulmalıdır. BGYS kapsamından iş bölümleri hariç tutulurken, kuruluşun hariç tutulan bölümleriyle herhangi bir bilgi değişiminin yukarıda bahsedilen arayüzler ve bağımlıklar kullanılarak tanımlanması ve adreslenmesi gerektiği hususuna özen gösterilmelidir.

b) İşin, kuruluşun, kuruluşun yerinin, varlıklarının ve teknolojisinin özellikleri göz önüne alınarak bir BGYS politikasının tanımlanması.

BGYS politikası, ilgili yasal ve düzenleyici gereksinimleri, sözleşmeden doğan veya üçüncü şahısların yükümlülüklerini ya da bağımlılıklarını da dikkate almalıdır. Yönetim BGYS politikasını onaylamalı ve tüm çalışanlar politikayı algılamalı, politikanın önemini ve amacını anlamalıdır.

Bu politika; hedefleri ortaya koyan, yönetime yön veren ve harekete geçiren, hangi riskin değerlendirmeye alınacağına dair risk yönetim kapsamı ve kriterini belirleyen bir çerçeve içermelidir.

BGYS politikası, bilgi güvenliği politikasının mutlaka göz önüne alınmasının gerekmeyebileceği konuları adreslediğinden, BGYS politikası bilgi güvenliği politikasının bir üst kümesi olarak görülebilir.

Kuruluş için uygun olması halinde bu politikalar tek belgede tanımlanabilir.Birden fazla sayıda da politika tanımı özel alt konulara yönelik olarak hazırlanabilir.

c) Risk değerlendirmeye sistematik bir yaklaşımın tanımlanması

Bu BGYS’ye, tanımlanan işe, bilgi güvenliği ile yasal ve düzenleme gereksinimlerine en çok uyan yaklaşım ve metodoloji olmalıdır.

Kuruluş,riskleri kabul etmek için kullanacağı kendi kriterlerine ve riskin kabul edilebilir seviyelerinin belirlenmesine ihtiyaç duyar. Bir kuruluşun kendisine uyarlayacağı risk değerlendirme metodu, tamamıyla kuruluşun kendi kararıdır.

Kullanılacak olan metot ne olursa olsun, metodun ISO/IEC 27001’in Ek A’sında ya da ISO/IEC
17799‘da geçen tüm kontrol alanlarını kapsayan yönetim sistemiyle ilgili olması gerekliliği önemlidir.

Bu metot, kuruluş bakımdan, personel kontrolleri, iş süreçleri, işletim ve bakım süreçleri ve işlemleriyle yasal, düzenleyici, sözleşmeden doğan konular ile bilgi işlem tesisleriyle ilgili riskleri kapsamalıdır.
BS 7799-3 standardı olan BGYS risk yönetimi bu maddeyle birlikte aşağıdaki d) ve e) maddelerine uygun risk değerlendirmesi konusunda da bilgi verir.

Risk değerlendirmesi, ISO/IEC 27001’te zorunlu bir gereksinimdir; ancak otomasyona dayalı yazılım araçlarının kullanılmasının faydası olduğu pek çok durumda bile risk değerlendirmesi otomasyona dayalı yazılım araçlarının kullanılmasını gerekli kılmaz. Bu durum özellikle, risklerin yeniden değerlendirileceği ve tehditler, hassasiyetler ile varlıklara yönelik riskle ilgili bilginin güncellenmesi gerektiği zamanlarda söz konusudur. Risk değerlendirme metodu ve yaklaşımının karmaşıklığı, gözden geçirilecek olan BGYS’nin karmaşıklığına bağlıdır. Kullanılacak olan teknikler, karmaşıklıkla ve kuruluş tarafından istenen güvence seviyeleriyle tutarlı olmalıdır.

d) Varlıklara yönelik risklerin tanımlanması; bu varlıklarla ilgili tehditlerin ve hassasiyetlerin dikkate alınması ve gizlilik, bütünlük ve kullanılabilirlik kayıplarının varlıklarda görülmesinin etkileri.

Tanımlanmış olan risklerin, tehditlerin ve hassasiyetlerin, yukarıdaki c) maddesinde belirtildiği şekilde farklı denetim alanlarıyla ilişkili olması gerekir.

BGYS içerisindeki tüm varlıkların tanımlanması risk değerlendirmesinin esasını oluşturduğundan BGYS içerisindeki tüm varlıkların tanımlanmasını, her bir varlığın sahibinin belirtilmesi ve bunun belgelenmesini temin etmek önemlidir. Varlıkların gizliliğinin, bütünlüğünün ve kullanışlılığının zarar görmesinin tesirlerinin tanımında, bu tür zararlarla tehlikeye düşen tanımı yapılmış yasal, düzenleyici ve sözleşmeye dayanan ve iş gereksinimleri dikkate alınmalıdır.

e) Yukarıdaki “d” maddesinde işleme tabi tutulan bilgiye dayanarak risklerin analiz edilmesi ve değerlendirilmesi; kuruluş, personel, iş süreçleri, işletme ve süreklilik konularıyla birlikte yasal, düzenleyici ve sözleşmeden doğan hususların ve kontrol alanlarının tümünü içerecek şekilde dikkate alınması

Bu kavram, varlıkların gizliliğinin, bütünlüğünün ve kullanışlılığının zarar görmesinin sonuçları göz önüne alınarak, güvenliğin kaybedilmesinden ortaya çıkan iş etkilerini değerlendiren kuruluşu da kapsar.

Bu kavram aynı zamanda tanımlanmış tehditleri ve duyarlılıkları dikkate alarak bir güvenlik kaybının yaşanması benzeri bir değerlendirmeyi ve bunların bir arada meydana gelmesini ve bir ihlal olayının oluşmasını da içerir. İhlal olaylarının oluşumu benzeri bir durum değerlendirilirken, geçmişte meydana gelmiş ihlal olaylarının raporlarına, internet üzerindeki raporlara, istatistiklere, haberlere ve eğilimlere bir göz atmakta yarar vardır. Kuruluş elde edilen bilgilere dayanarak, risk seviyesini tahmin etmeye ve yukarıdaki c) maddesinde belirtilen iş kapsamını dikkate alarak belirlenen risk kabul ölçütünü kullanarak risklerin kabul edilip edilmediğini ya da ortadan kaldırılmasına gerek bulunup bulunmadığını belirlemeye ihtiyaç duyar.

f) Risklerin ortadan kaldırılması için seçeneklerin tanımlanması ve değerlendirilmesi

Kuruluş kendi iş sahasında risklerin etkisini bir kez tanımladığında, değerlendirdiğinde ve durumu anladığında; söz konusu bu riskleri ortadan kaldırmak için uygun önlemler uygular. Kuruluşun kullanacağı önlemler; riskleri azaltmak için uygun kontrol tedbirlerinin tatbik edilmesi, riskle ilgili faaliyetlere bulaşmayarak riskten sakınılması, riskin sigorta kuruluşu gibi bir üçüncü tarafa (tamamen ya da kısmen) aktarılması ya da riski bilerek ve objektif bir şekilde kabul edilmesini içerir.

Bu seçeneklerden hangisinin ya da hangilerinin bir arada kullanılacağı tamamen kuruluşa kalmış bir konudur. Farklı kuruluşlar, işteki hedeflere ve mevcut şartlara bağlı olarak aynı risk için farklı sonuçlar ortaya koyabilir. Her halükârda, bu sonuçların düzgün bir biçimde yazıya dökülmesi ve kuruluşun risklerin her yönüyle farkında olarak, en küçük bir ihmalde dahi bulunmadan aldığı kararların arkasındaki gerekçeleri ortaya koyabilmesi önemlidir.

g) Riski ortadan kaldırma için kontrol hedeflerinin ve kontrol tedbirlerinin seçilmesi

Kuruluş, riski yönetmek ve ortadan kaldırmak için kontrol tedbirlerini tatbik etmeye karar verirse, bu durumda ilk olarak, bu amaca uygun bir kontrol sistemi seçmelidir. Kontrol seçiminde risk kabul ölçütü, kontrol mekanizmasının riski ne kadar azalttığı ve tanımlanmış olan yasal, düzenleyici ve sözleşmeye dayalı gereksinimler dikkate alınmalıdır.

Kontrol hedefleri ve kontrol tedbirleri ISO/IEC 27001 Ek A’dan seçilmelidir. Kuruluşun Ek A’da yer almayan kontrol tedbirlerine de ihtiyacı olabilir. Ek A bir başlangıç noktası olarak kabul edilebilir. Ek A’da yer alan kontrol hedefleri ya da kontrol tedbirleri arasından seçim yapılmaması da olasıdır. Ancak karar ne olursa olsun, mutlaka gerekçeleri ortaya iyi konulmalı ve yazıya dökülmelidir.

Kontrol tedbirlerinin seçimi, maliyet etkin olmalıdır; örneğin, kontrol tedbirlerinin gerçekleştirilme maliyeti, azaltılması düşünülen risklerin finansal etkisini aşmamalıdır. Ancak, bazı etkiler parayla da ölçülemez.

Muhasebe; emniyet, personel bilgisi, yasal ve düzenleyici zorunluluklar, imaj ve itibar gibi etkileri de göz önüne almalıdır. Buna ek olarak kontrol tedbirlerinin gerçekleştirilmesinden sonra da hâlâ bazı risklerin değerlendirilmesine ihtiyaç vardır. Bu riskleri değerlendirmek genellikle güçtür, ancak en azından daha fazla kontrol tedbirinin gerekli olup olmadığını anlamak için ne kadar çok kontrol tedbirinin tanımlanmış olan güvenlik gereksinimlerine yönelik olduğuna dair bir tahminde bulunulmalıdır.

h) Teklif edilen artık risklerin idare onayının alınması.

Yönetim, seçilen kontrol tedbirleri gerçekleştirildikten sonra teklif edilen artık risklerin bulunduğunu onaylamalıdır. Teklif edilen artık riskler bu noktada yalnızca bir tahmin olabilir, ancak “Kontrol et aşaması” bu tahminin doğru olup olmadığını onaylayacaktır. Her şeye rağmen, seçilen kontrol tedbirlerinin gerçekleştirilmesine ihtiyaç bulunduğuna ve bunun da para, zaman ve diğer kaynaklara gereksinim duyduğuna dair bu noktada yönetim onayı önemlidir.

i) BGYS’yi gerçekleştirmek ve işletmek için yönetimin yetki vermesi.
“Planlama aşaması”nın sonunda yönetim, BGYS’yi gerçekleştirmek ve işletmek için yetki vermelidir. Böylece onay verdiğinin ve planlanan eylemleri desteklediğinin işaretini vermelidir.

j) Uygulanabilirlik belgesinin hazırlanması.

Uygulanabilirlik Belgesi (UB), ISO/IEC 27001 sertifikası isteyen kuruluşlar için zorunlu bir gereksinimdir. UB; seçilen kontrol hedeflerini ve kontrol tedbirlerini belirten yazılı bir belgedir.
Yapılan seçimler, risk değerlendirme sonuçları ve risk giderme süreçleriyle ilişkilendirilmelidir.
Bu ilişkilendirme, kontrol hedeflerinin ve tedbirlerinin seçiminin gerekçelerini göstermelidir.

Kontrol hedeflerinin ve tedbirlerinin listelenmesi, tek başına geçerli bir UB’yi meydana getirmez. UB gerçekleştirilmiş olan kontrol hedeflerini ve tedbirlerini de tanımlamalı ve ISO/IEC 27001 Ek A’daki herhangi bir kontrol hedefinin veya tedbirinin kullanılmamasının gerekçesini de ortaya koymalıdır.

Risk değerlendirmesinin ve riskin ortadan kaldırılmasının belgelenmesinin riske, sonuç olarak da varlıklara, tanımlanmış gereksinimlere ve güvenlik politikasına dönük seçilmiş ya da seçilmemiş kontrol tedbirleriyle olan ilişkisini desteklemesi önemlidir.

kaynak:www.educore.com.tr

Bilgi Güvenliğinde Temel Tanımlar

Gizlilik
Saklanan, işleme tabi tutulan ya da aktarılan her türlü bilginin, yalnızca bilgiye erişmeye ve kullanmaya yetkili kuruluşa ve/veya sahibine ait olmasını sağlamak için korunması gerekir.

Erişim kontrolünün pek çok şekli, temelde gizliliğin korunması hakkındadır. Şifreleme, bilginin gizli kalmasını sağlayan bir kontrol örneğidir.

Kontroller, bilgi güvenlik yönetimi sisteminin her aşamasında uygulanabilir:
Fiziksel aşama (örneğin; kapıların, muhafaza kaplarının, kasaların kilitlenmesi); mantıksal aşama (örneğin; bir veri tabanında ayrı veri alanları, uygulamadaki veri, kâğıt halindeki belge). Her koşulda tehditler ve hassasiyetler tanımlanmalı, ilişkili riskler değerlendirilmeli ve bir kontrol sistemi seçilmeli,gerçekleştirilmeli ve söz konusu bu risklere karşı koruma amacıyla uygulanmalıdır.

Bütünlük
Saklanan, işleme tabi tutulan ya da aktarılan bilginin doğru ve eksiksiz olmasının; doğru bir biçimde işleme tabi tutulduğunun ve yetkisiz kişilerce herhangi bir şekilde değiştirilmediğinin teyit edilmesi.

Ayrıca kuruluş,olmasını tasarladığı ağ şebekelerinin ve bilgi sistemlerinin bütünlüğünü tesis etmeyi de isteyebilir. Bellek sürücüler ve diğer ortamlar ile iletişim sistemleri de dahil olmak üzere pek çok veri işlem aygıtının veriyi bozmadığından emin olmak için otomatik bütünlük kontrol etme araç gereçlerini içerir.

Bütünlük kontrolü; işletim sistemlerinde, yazılımda ve uygulama programlarında veya işleme alınmış olan veride programların bilerek ya da kazara bozulmasını önlemesi bakımından önemlidir. Bütünlük kontrollerinin; giriş/çıkış veri geçerleme kontrolleri, kullanıcı eğitimi ve diğer işletim türü kontrolleri gibi insandan kaynaklanan riskleri ya da hırsızlık veya dolandırıcılığı azaltmak için işlem seviyesinde uygulanmasına ihtiyaç vardır.

Kullanılabilirlik
Bilgiyi kullanma yetkisi bulunan kuruluş ya da kuruluş içerisindeki kullanıcıların, bilgiyi ne zaman ve nerede kullanmaya ya da işleme tabi tutmaya ihtiyaç duyarlarsa bilgiye erişmelerinin sağlanması.

Bilginin kullanılabilirliği, uygulamada bir kontrol sistemini gerektirir.
Örneğin; bilginin yedeklenmesi, kapasite planlaması, sistem kabul prosedürleri ve kriterleri, ihlal olayı yönetimi prosedürleri, çıkarılabilir bilgisayar ortamı yönetimi, bilgi işlem prosedürleri, donanım bakımı ve test edilmesi, sistem kullanımının izlenmesi prosedürleri ve iş süreklilik prosedürleri.

Güvenlik ihlali olaylarının izlenmesi, gözden geçirilmesi ve kontrol edilmesi, servis kademeleri, zamanında ve sürekli sistem performansı; kullanılabilirliliğin sağlanmasında koruyucu bir kontrol mekanizması olabilir.

Hassas veya kritik bilgi
ISO/IEC 17799, hem kritik, hem de hassas bilgiye uygulanabilen bir dizi kontrolü tanımlar. Hassas ya da kritik bilgi nedir ve hassas veya kritik bilgiyi nasıl fark ederiz? Tanım, her kuruluş için farklıdır. Bazı tanımlar,bireysel kuruluşlar kapsamında gerektiğinde bilginin hassas ya da kritik olarak, geriye kalan bilginin ise hassas ya da kritik olmayan şeklinde etiketlenebilmesi amacıyla bilginin değerini ya da kullanımını ortaya koymak için yapılabilir.

Bu kapsamda bir zaman unsuru da bulunmaktadır. Örneğin; kuruluşun mali durumu, sermaye piyasasına bilgi vermeden önce çok hassas olabilir, ancak bir kez rapor edildikten sonra hassasiyeti ortadan kalkar. Hassasiyet, veriye verilen sınıflandırma seviyesinde de görülmelidir.

Hassas ve kritik bilginin korunmasındaki en önemli öğe, risk değerlendirmesidir. Risk değerlendirme
sürecinin bölümü ISO 27001:2005 ve ISO/IEC 17799’in 4’üncü Maddesinde genel hatlarıyla; daha ayrıntılı olarak da BS 7799-3:2005’te verilmiştir ve söz konusu bölüm, uygun bir kontrol sistemi kullanılarak, varlıkları korumak için gerekli olan güvenlik seviyesi ve riskleri hesaplamak amacıyla bilgi varlıklarının değerlendirilmesini, tehditlerin ve hassasiyetlerin değerlendirilmesini içerir.

BGYS kavramı

BGYS standardı olan ISO 27001’in arkasında yatan temel düşünce etkili bir bilgi güvenliği elde etmek için yönetim sistem proseslerinin tesis edilmesi, gerçekleştirilmesi ve sürdürülmesidir.

BGYS; kuruluşun iş riski yaklaşımına dayanan, kuruluşun işleyiş ve iş kültürünün ayrılmaz bir parçası olarak görülmeli ve etkili bilgi güvenliğine ulaşmak için kuruluşu, teşkilatı, politikaları, planlama faaliyetlerini sorumlulukları, uygulamaları, prosedürleri, prosesleri ve kaynakları kapsar.

Etkili bilgi güvenliğine giden yol

Bugünün dünyasında bilgi güvenliği olmadan hiçbir kuruluş başarılı bir biçimde işletilemez. BGYS, yeterli ve uygun bir bilgi güvenliği yönetiminin kuruluşun bilgi varlıklarının korunması ve ilgili taraflara güven vermesi amacıyla tesis edilmesini temin etmek üzere tasarlanmalıdır.

Bilgi güvenliği kuruluşa faydalı olacaksa, olumlu katkıda bulunacaksa, BGYS başarılı bir bilgi güvenliğini sağlayabilmelidir. Bilgi güvenliği teknik ve BT konudan daha çok öncelikle, bir yönetim konusudur. Bununla birlikte hiç kimse, özellikle BT kullanımı konusundaki geniş çaptaki bağımlılığı ve teknik sorunları göz ardı etmemelidir.

Devam eden prosesler
Bilgi güvenliği yönetimi, bir kere yapılıp kenara bırakılacak bir uygulama değildir; devam eden bir sürekli gelişim faaliyeti olarak (ISO 9001 gereksinimleri gibi diğer yönetim sistem standardları kadar TS ISO/IEC 27001 tarafından uyarlanan Planla-Uygula-Kontrol et-Önlem al (PUKÖ) modeline dayanmaktadır.

İyi yönetilen bilgi güvenliği, işi yapılabilir kılar. BGYS faaliyetleri için yönetim desteği, başarılı ve etkili BGYS gerçekleştirmelerinin hayata geçirilmesindeki en önemli faktörlerdenbiridir.

BGYS standardı olan TS ISO/IEC 27001, uyulması istenirse, kuruluşun uymak için ihtiyaç duyduğu gereksinimler kümesi şeklini alır. Söz konusu gereksinimler ISO/IEC 27001’nin Madde 1 ila Madde 8 arasında belirtilmiştir ve bu gereksinimler PUKÖ modeline dayanan proses yaklaşımıyla ilişkili gereksinimleri de kapsar.

TS ISO/IEC 27001’deki gereksinimlerini yansıtan hükümler zorunludur. “-meli”,”-malı” terimi içeren ifadeler ise gereksinimlerin uygulanmasına kılavuzluk etmesine rağmen bünyeye uydurulması beklenen, ancak zorunlu olmayan hükümleri ifade etmek için kullanılır.

Bir uygulama rehberi olarak ISO/IEC 17799, bir belirtim olarak alıntı yapılmaması anlamına gelen kılavuz ve tavsiyeler şeklindedir ve uyum isteklerinin yanlış yönlendirilmemesini sağlaması için dikkate alınmasına özen gösterilmelidir.

PUKÖ modeli
“Planla-Uygula-Kontrol et-Önlem al modeli (PUKÖ Modeli)” olarak bilinen model, ISO/IEC 27001 standardında kullanılmıştır. Bu model, bir BGYS’in kurulmasında,
gerçekleştirilmesinde, işletilmesinde, izlenmesinde, gözden geçirilmesinde, sürdürülmesinde ve tekrar gözden geçirilmesinde temel olarak kullanılır.

Planla (BGYS’nin kurulması)
Sonuçları kuruluşun genel politikaları ve amaçlarına göre dağıtmak için, risklerin yönetimi ve bilgi güvenliğinin geliştirilmesiyle ilgili BGYS politikası, amaçlar, hedefler, prosesler ve prosedürlerin kurulması.

Uygula (BGYS’nin gerçekleştirilmesi ve işletilmesi)
BGYS politikası, kontroller, süreçler ve prosedürlerin gerçekleştirilip işletilmesi.

Kontrol Et (BGYS’nin izlenmesi ve gözden geçirilmesi)
BGYS politikası, amaçlar ve kullanım deneyimlerine göre proses performansının değerlendirilmesi ve uygulanabilen yerlerde ölçülmesi ve sonuçların gözden geçirilmek üzere yönetime rapor edilmesi.

Önlem al (BGYS’nin bakımı ve iyileştirilmesi)
BGYS’in sürekli gelişiminin sağlanması için içsel BGYS denetim ve sonuçlarına, yönetimin gözden geçirmesine ve konuyla ilgili diğer bilgilere göre düzeltici ve koruyucu önlemlerin alınması.

kaynak:www.educore.com.tr