BGYSnin Kurulması
Planlama aşaması için ISO/IEC 27001 Madde 4.2.1de tanımlanan gereksinimler aşağıdaki gibidir:
a) İşin, kuruluşun, kuruluşun yerinin, varlıklarının ve teknolojisinin özellikleriyle BGYSin kapsamının ve sınırlarının tanımlanması.
BGYSnin kapsamı kuruluşun belli bir kısmı olabileceği gibi, bağımsız bir biçimde de tanımlanabilir; ya da kapsam tüm kuruluşu ifade edebilir. Uygun olan BGYS kapsamını belirlemek tamamen kuruluşa kalmıştır ancak, her halükârda BGYS kapsamı ve o kapsamın sınırlarının eksiksiz bir biçimde ve iyi tanımlanması gerekir. BGYSnin, kuruluşun diğer bölümleriyle (BGYS kapsamında olmayan), diğer kuruluşlarla, üçüncü şahıs olan tedarikçilerle ya da BGYS dışındaki başka varlıklarla arasındaki arayüzlerin ve bağımlılıkların da kapsamda dikkate alınması gerekir.
BGYS dışında bırakılanların ayrıntıları belgelenmeli ve gerekçeleri iyi ortaya konulmalıdır. BGYS kapsamından iş bölümleri hariç tutulurken, kuruluşun hariç tutulan bölümleriyle herhangi bir bilgi değişiminin yukarıda bahsedilen arayüzler ve bağımlıklar kullanılarak tanımlanması ve adreslenmesi gerektiği hususuna özen gösterilmelidir.
b) İşin, kuruluşun, kuruluşun yerinin, varlıklarının ve teknolojisinin özellikleri göz önüne alınarak bir BGYS politikasının tanımlanması.
BGYS politikası, ilgili yasal ve düzenleyici gereksinimleri, sözleşmeden doğan veya üçüncü şahısların yükümlülüklerini ya da bağımlılıklarını da dikkate almalıdır. Yönetim BGYS politikasını onaylamalı ve tüm çalışanlar politikayı algılamalı, politikanın önemini ve amacını anlamalıdır.
Bu politika; hedefleri ortaya koyan, yönetime yön veren ve harekete geçiren, hangi riskin değerlendirmeye alınacağına dair risk yönetim kapsamı ve kriterini belirleyen bir çerçeve içermelidir.
BGYS politikası, bilgi güvenliği politikasının mutlaka göz önüne alınmasının gerekmeyebileceği konuları adreslediğinden, BGYS politikası bilgi güvenliği politikasının bir üst kümesi olarak görülebilir.
Kuruluş için uygun olması halinde bu politikalar tek belgede tanımlanabilir.Birden fazla sayıda da politika tanımı özel alt konulara yönelik olarak hazırlanabilir.
c) Risk değerlendirmeye sistematik bir yaklaşımın tanımlanması
Bu BGYSye, tanımlanan işe, bilgi güvenliği ile yasal ve düzenleme gereksinimlerine en çok uyan yaklaşım ve metodoloji olmalıdır.
Kuruluş,riskleri kabul etmek için kullanacağı kendi kriterlerine ve riskin kabul edilebilir seviyelerinin belirlenmesine ihtiyaç duyar. Bir kuruluşun kendisine uyarlayacağı risk değerlendirme metodu, tamamıyla kuruluşun kendi kararıdır.
Kullanılacak olan metot ne olursa olsun, metodun ISO/IEC 27001in Ek Asında ya da ISO/IEC
17799da geçen tüm kontrol alanlarını kapsayan yönetim sistemiyle ilgili olması gerekliliği önemlidir.
Bu metot, kuruluş bakımdan, personel kontrolleri, iş süreçleri, işletim ve bakım süreçleri ve işlemleriyle yasal, düzenleyici, sözleşmeden doğan konular ile bilgi işlem tesisleriyle ilgili riskleri kapsamalıdır.
BS 7799-3 standardı olan BGYS risk yönetimi bu maddeyle birlikte aşağıdaki d) ve e) maddelerine uygun risk değerlendirmesi konusunda da bilgi verir.
Risk değerlendirmesi, ISO/IEC 27001te zorunlu bir gereksinimdir; ancak otomasyona dayalı yazılım araçlarının kullanılmasının faydası olduğu pek çok durumda bile risk değerlendirmesi otomasyona dayalı yazılım araçlarının kullanılmasını gerekli kılmaz. Bu durum özellikle, risklerin yeniden değerlendirileceği ve tehditler, hassasiyetler ile varlıklara yönelik riskle ilgili bilginin güncellenmesi gerektiği zamanlarda söz konusudur. Risk değerlendirme metodu ve yaklaşımının karmaşıklığı, gözden geçirilecek olan BGYSnin karmaşıklığına bağlıdır. Kullanılacak olan teknikler, karmaşıklıkla ve kuruluş tarafından istenen güvence seviyeleriyle tutarlı olmalıdır.
d) Varlıklara yönelik risklerin tanımlanması; bu varlıklarla ilgili tehditlerin ve hassasiyetlerin dikkate alınması ve gizlilik, bütünlük ve kullanılabilirlik kayıplarının varlıklarda görülmesinin etkileri.
Tanımlanmış olan risklerin, tehditlerin ve hassasiyetlerin, yukarıdaki c) maddesinde belirtildiği şekilde farklı denetim alanlarıyla ilişkili olması gerekir.
BGYS içerisindeki tüm varlıkların tanımlanması risk değerlendirmesinin esasını oluşturduğundan BGYS içerisindeki tüm varlıkların tanımlanmasını, her bir varlığın sahibinin belirtilmesi ve bunun belgelenmesini temin etmek önemlidir. Varlıkların gizliliğinin, bütünlüğünün ve kullanışlılığının zarar görmesinin tesirlerinin tanımında, bu tür zararlarla tehlikeye düşen tanımı yapılmış yasal, düzenleyici ve sözleşmeye dayanan ve iş gereksinimleri dikkate alınmalıdır.
e) Yukarıdaki “d” maddesinde işleme tabi tutulan bilgiye dayanarak risklerin analiz edilmesi ve değerlendirilmesi; kuruluş, personel, iş süreçleri, işletme ve süreklilik konularıyla birlikte yasal, düzenleyici ve sözleşmeden doğan hususların ve kontrol alanlarının tümünü içerecek şekilde dikkate alınması
Bu kavram, varlıkların gizliliğinin, bütünlüğünün ve kullanışlılığının zarar görmesinin sonuçları göz önüne alınarak, güvenliğin kaybedilmesinden ortaya çıkan iş etkilerini değerlendiren kuruluşu da kapsar.
Bu kavram aynı zamanda tanımlanmış tehditleri ve duyarlılıkları dikkate alarak bir güvenlik kaybının yaşanması benzeri bir değerlendirmeyi ve bunların bir arada meydana gelmesini ve bir ihlal olayının oluşmasını da içerir. İhlal olaylarının oluşumu benzeri bir durum değerlendirilirken, geçmişte meydana gelmiş ihlal olaylarının raporlarına, internet üzerindeki raporlara, istatistiklere, haberlere ve eğilimlere bir göz atmakta yarar vardır. Kuruluş elde edilen bilgilere dayanarak, risk seviyesini tahmin etmeye ve yukarıdaki c) maddesinde belirtilen iş kapsamını dikkate alarak belirlenen risk kabul ölçütünü kullanarak risklerin kabul edilip edilmediğini ya da ortadan kaldırılmasına gerek bulunup bulunmadığını belirlemeye ihtiyaç duyar.
f) Risklerin ortadan kaldırılması için seçeneklerin tanımlanması ve değerlendirilmesi
Kuruluş kendi iş sahasında risklerin etkisini bir kez tanımladığında, değerlendirdiğinde ve durumu anladığında; söz konusu bu riskleri ortadan kaldırmak için uygun önlemler uygular. Kuruluşun kullanacağı önlemler; riskleri azaltmak için uygun kontrol tedbirlerinin tatbik edilmesi, riskle ilgili faaliyetlere bulaşmayarak riskten sakınılması, riskin sigorta kuruluşu gibi bir üçüncü tarafa (tamamen ya da kısmen) aktarılması ya da riski bilerek ve objektif bir şekilde kabul edilmesini içerir.
Bu seçeneklerden hangisinin ya da hangilerinin bir arada kullanılacağı tamamen kuruluşa kalmış bir konudur. Farklı kuruluşlar, işteki hedeflere ve mevcut şartlara bağlı olarak aynı risk için farklı sonuçlar ortaya koyabilir. Her halükârda, bu sonuçların düzgün bir biçimde yazıya dökülmesi ve kuruluşun risklerin her yönüyle farkında olarak, en küçük bir ihmalde dahi bulunmadan aldığı kararların arkasındaki gerekçeleri ortaya koyabilmesi önemlidir.
g) Riski ortadan kaldırma için kontrol hedeflerinin ve kontrol tedbirlerinin seçilmesi
Kuruluş, riski yönetmek ve ortadan kaldırmak için kontrol tedbirlerini tatbik etmeye karar verirse, bu durumda ilk olarak, bu amaca uygun bir kontrol sistemi seçmelidir. Kontrol seçiminde risk kabul ölçütü, kontrol mekanizmasının riski ne kadar azalttığı ve tanımlanmış olan yasal, düzenleyici ve sözleşmeye dayalı gereksinimler dikkate alınmalıdır.
Kontrol hedefleri ve kontrol tedbirleri ISO/IEC 27001 Ek Adan seçilmelidir. Kuruluşun Ek Ada yer almayan kontrol tedbirlerine de ihtiyacı olabilir. Ek A bir başlangıç noktası olarak kabul edilebilir. Ek Ada yer alan kontrol hedefleri ya da kontrol tedbirleri arasından seçim yapılmaması da olasıdır. Ancak karar ne olursa olsun, mutlaka gerekçeleri ortaya iyi konulmalı ve yazıya dökülmelidir.
Kontrol tedbirlerinin seçimi, maliyet etkin olmalıdır; örneğin, kontrol tedbirlerinin gerçekleştirilme maliyeti, azaltılması düşünülen risklerin finansal etkisini aşmamalıdır. Ancak, bazı etkiler parayla da ölçülemez.
Muhasebe; emniyet, personel bilgisi, yasal ve düzenleyici zorunluluklar, imaj ve itibar gibi etkileri de göz önüne almalıdır. Buna ek olarak kontrol tedbirlerinin gerçekleştirilmesinden sonra da hâlâ bazı risklerin değerlendirilmesine ihtiyaç vardır. Bu riskleri değerlendirmek genellikle güçtür, ancak en azından daha fazla kontrol tedbirinin gerekli olup olmadığını anlamak için ne kadar çok kontrol tedbirinin tanımlanmış olan güvenlik gereksinimlerine yönelik olduğuna dair bir tahminde bulunulmalıdır.
h) Teklif edilen artık risklerin idare onayının alınması.
Yönetim, seçilen kontrol tedbirleri gerçekleştirildikten sonra teklif edilen artık risklerin bulunduğunu onaylamalıdır. Teklif edilen artık riskler bu noktada yalnızca bir tahmin olabilir, ancak Kontrol et aşaması bu tahminin doğru olup olmadığını onaylayacaktır. Her şeye rağmen, seçilen kontrol tedbirlerinin gerçekleştirilmesine ihtiyaç bulunduğuna ve bunun da para, zaman ve diğer kaynaklara gereksinim duyduğuna dair bu noktada yönetim onayı önemlidir.
i) BGYSyi gerçekleştirmek ve işletmek için yönetimin yetki vermesi.
Planlama aşamasının sonunda yönetim, BGYSyi gerçekleştirmek ve işletmek için yetki vermelidir. Böylece onay verdiğinin ve planlanan eylemleri desteklediğinin işaretini vermelidir.
j) Uygulanabilirlik belgesinin hazırlanması.
Uygulanabilirlik Belgesi (UB), ISO/IEC 27001 sertifikası isteyen kuruluşlar için zorunlu bir gereksinimdir. UB; seçilen kontrol hedeflerini ve kontrol tedbirlerini belirten yazılı bir belgedir.
Yapılan seçimler, risk değerlendirme sonuçları ve risk giderme süreçleriyle ilişkilendirilmelidir.
Bu ilişkilendirme, kontrol hedeflerinin ve tedbirlerinin seçiminin gerekçelerini göstermelidir.
Kontrol hedeflerinin ve tedbirlerinin listelenmesi, tek başına geçerli bir UByi meydana getirmez. UB gerçekleştirilmiş olan kontrol hedeflerini ve tedbirlerini de tanımlamalı ve ISO/IEC 27001 Ek Adaki herhangi bir kontrol hedefinin veya tedbirinin kullanılmamasının gerekçesini de ortaya koymalıdır.
Risk değerlendirmesinin ve riskin ortadan kaldırılmasının belgelenmesinin riske, sonuç olarak da varlıklara, tanımlanmış gereksinimlere ve güvenlik politikasına dönük seçilmiş ya da seçilmemiş kontrol tedbirleriyle olan ilişkisini desteklemesi önemlidir.
kaynak:www.educore.com.tr
Bilindiği üzere ISO 27001; Bilgi Güvenliği Yönetim Sistemi Standardı olarak bilinmektedir. Yönetim Sistemi Standartları dünya üzerinde ISO Uluslararası Standartlar Örgütü (International Standards of Organisations) tarafından planlanmakta ve yayımlanmaktadır.
Standardı olarak kabul eder. Orjinal dilinde ingilizce olarak yayınlanan standardı Türkçe’ye çevirme işini gerçekleştirir ve satışa sunar. Ülkemizdeki ISO tarafından yayınlanmış ve TSE tarafından benimsenerek satışa sunulmuş standartların kurum ve kuruluşlarda kurulumu tamamlandıktan sonra Akredite olmuş (TÜRKAK – Türk Akreditasyon Kurumu) firmalar tarafından belgelendirme işlemleri tamamlanır.
Son olarak ISO / IEC 27001:2017 CEN/CENELEC ( Comite Europeen de Normalisation / Comite Europeen de Normalisation Electrotechnique – Avrupa Standartlaştırma Komitesi / Avrupa Elektroteknik Standartlaştırma Komitesi); 34 ülkenin (Ayrıntılı bilgi için tıklayınız lütfen) standartlaştırma örgütlerinin ve elektroteknik komitelerinin bir araya geldikleri bir birliktir.
ISO 27001:2005 ve ISO 27002:2005 Bilgi Güvenliği Yönetim Sistemi Standartlarının 2013 yılı başlarında yeni versiyonları draft olarak yayımlanmıştı. Bu yazıda ISO 27001 ve ISO 27002 standartlarında öngörülen değişikliklerin bir karşılaştırması yapılmıştır.
Faruk Çalıkuşu 