ISO 27001:2013 VE ISO 27002:2013’te Neler Değişiyor?

ISO 27001:2013 VE ISO 27002:2013’te Neler Değişiyor?
ISO 27001:2005 ve ISO 27002:2005 Bilgi Güvenliği Yönetim Sistemi Standartlarının 2013 yılı başlarında yeni versiyonları draft olarak yayımlanmıştı. Bu yazıda ISO 27001 ve ISO 27002 standartlarında öngörülen değişikliklerin bir karşılaştırması yapılmıştır.

1.    ISO 27001:2013 VS. ISO 27001:2005

Bilgi Güvenliği Yönetim Sistemi (BGYS-(in Eng. ISMS))’nin uluslararası standardı 2005 yılında ISO 27001:2005 olarak yayımlanmıştı. 2006 yılında ise Türk Standartları Enstitüsü tarafından Türkçe’ye çevrilmiş ve TS ISO/IEC 27001 olarak yayımlanmıştı.

Şu an taslak halde yayımlanan ISO 27001:2013 standardının 2013 yılının ikinci yarısında yayımlanması bekleniyor.

1.1.     ISO 27001:2013 ile ISO 27001:2005 Arasındaki temel farklar nelerdir?

Bu karşılaştırmaya geçmeden önce elimizdeki standardın taslak halde olduğu ve yapılacak katkılarla değişime açık olduğu unutulmamalıdır.

1.1.1.    Yapıya Genel Bir Bakış

ISO 27001:2013, ISO22301:2012 ile gördüğümüz Annex SL ile uyumlu olacak. Annex SL tüm ISO standartlarına genel bir çerçeve yapısı oluşturuyor. Tüm yönetim sistemlerinde bulunması gereken temel bileşenlerin yanı sıra standarda özel başlıkların konulmasına olanak sağlayan bu çatı yapısı, birden fazla yönetim sistemine sahip kuruluşlar için hem yönetim anlamında hem de bu yönetim sistemlerinin denetimi anlamında kolaylık sağlayacaktır.

Bu yapı ile tüm standartlarda bulunacak temel başlıklar aşağıdaki gibi olacaktır:

tablo-1.png

Tablo 1

Ek olarak sadece ‘EK-A’ bulunduğu bununla birlikte eski standartta yer alan EK-B ve EK-C olmadığını görüyoruz. Tüm kontroller EK-A’ da yer almaktadır.

1.1.2.    İlgili Taraflar

Yeni 27001 standardı BGYS ana girdileri tanımlamada önemli bir yer tutacak olan ilgili taraflarla alakalı olarak ‘4.2 ’ Maddesinde; “Tüm ilgili tarafların tanımlanması ve yasal/düzenleyici dâhil tüm gereksinimleri ile tanımlanmasını şart koşuluyor”.

1.1.3.    Risk Değerlendirme ve İyileştirme

Uzun yıllar en iyi uygulama örneği olarak yerini koruyacak olan; varlık, açıklık, tehdit temelli risk değerlendirme yeni 27001 standardı ile yerini gizlilik, bütünlük ve erişilebilirlik temelli bir risk tanımlamaya bırakmış durumdadır.

Yeni standardın ilgili maddesi şu şekildedir;

Apply the information security risk assessment process to identify risks associated with the loss of confidentiality, integrity and availability for information within the scope of the ISMS (ISO 27001:2013, madde 6.1.2; d.1).

Risk seviyesini belirlemek için olasılık ve etki bileşenleri ise yerini koruyor.

Not: Yeni standart risk işleme yönetiminin dokümante edilmesini şart koşmuyor. Bununla birlikte risk işleme sürecinin tanımlanması gerekiyor. Varlık sahibi kavramı ise yerine ‘risk sahibi’ tanımı ile değiştirilmiştir.

1.1.4.    Düzeltici ve Önleyici Faaliyetler

İlk fazda önleyici faaliyetlerin olmadığını söylemek yanlış olmaz. Önleyici faaliyetler risk işleme ve iyileştirme adımlarına dağıtılmış durumdadır.

Düzeltici faaliyetler için ise, eski standarda kafa karışıklığına sebebiyet veren durum ortadan kaldırılmış olduğu görülüyor. Düzeltici faaliyetlerin bir uygunsuzluğa verilen ilk tepki  ve bir uygunsuzluğun kök nedenlerini ortadan kaldırmak üzere ikiye ayrıldığını görüyoruz.

1.1.5.    İletişim

Bilgi güvenliğinin sağlanması için gerekli olan iletişim konusu ile ilgili olarak yeni bir madde eklendiği görülüyor.

Bu madde uyarınca; kiminle, ne zaman, kim ve hakkında iletişime geçileceğinin tanımlanması sağlanıyor (Madde 7.4).

1.1.6.    Dokümante Edilmiş Bilgi

Yeni standart ‘belgeler’ ve ‘kayıtlar’ kavramını birleştirerek ‘dokümante edilmiş bilgi’ kavramını getiriyor. Doküman kontrolü ile ilgili kuralların eski standarda göre değişmediği ve ‘belgeler’ ve ‘kayıtlar’ın her ikisi içinde geçerli olacağı görülüyor.

4.3.1 Maddesinin kaldırıldığı ve gerek duyulan merkezi bir doküman listesinin olmadığını görüyoruz.

Eski standartta yer alan doküman yönetimi, düzeltici faaliyet v.b zorunlu olarak olması gereken belgelerin olmadığı bununla birlikte bu süreçlerin yönetilmesi ve işletilmesi ile ilgili kayıtların tutulması zorunluluğu bulunuyor. Daha farklı ifade edilecek olunursa, düzeltici faaliyet dokümanı yazılı olarak olmasa bile bu sürecin işletilmesi ile ilgili kayıtların tutulması zorunludur.

1.1.7.    Hedefler, İzleme ve Ölçme

Yeni standartta hedeflerin net olarak tanımlanması ve 9.1 maddesi uyarınca, ölçmenin kim tarafından, ne zaman yapılacağı, sonuçları kimin analiz edip değerlendirileceği belirtilmeli ve ek olarak kapsamlı planların hedeflere nasıl ulaşılacağını açıklayacak şekilde olması gerekiyor.

2.    ISO 27001:2013 VS. ISO 27001:2005

ISO 27001 standardının EK-A’ sında yer alan kontroller ile ilgili yayımlanmış standart olan IS0 27002 standardı 2013 yılında yenilenerek taslak olarak yayımlandı. Şu an taslak halinde yayımlanan yeni ISO 27002 standardının ise 2013 yılının ikinci yarısında yayımlanması bekleniyor.

Yeni IS0 27002 standardıyla, ISO 27002:2005 standardını yapısal olarak karşılaştıracak olursak,

Kontrollerin Sayısı: Kontrollerin sayısının yeni standartta 133’ten 113’e düşürüldüğü görülüyor.

Bölümlerin Sayısı: Kontrollerin sayısında öngörülen azalmaya rağmen bölüm sayısının 11’den 14’e çıkarıldığı görülüyor.

2.1.    ISO 27002:2013 Bölümlerin Yapısı

Yeni standarda göz atacak olursak, Kriptografi ayrı bir bölüm haline getirilmiştir (Bölüm 10). Kriptografi ile ilgili kısımların bilgi sistemleri edinimi, geliştirme ve bakımın bir parçası olmadığı biliniyor. Benzer bir değişiklik tedarikçi ilişkileri kısmında da mevcut. Haklı olarak tedarikçi ilişkileri de ayrı bir bölüm haline getirilmiştir (Bölüm 15). İletişim ve operasyon yönetimi ise iki bölüme ayrılmıştır: Operasyon güvenliği (Bölüm 12) ve iletişim güvenliği (Bölüm 13). Öngörülen yeni standart üzerinde yer alan temel başlıklar aşağıdaki gibidir:

tablo-2.png

Tablo 2

2.2.    Güvenlik Kategorilerinin Yerleştirilmesi

  • Mobil cihazlar ve uzaktan çalışma daha önce erişim kontrolü bölümündeydi; şimdi ise bilgi güvenliği organizasyonunun (Bölüm 6) altında 6.2 inci kısım olarak yer almaktadır.
  • Ortam işleme, daha önce iletişim ve operasyon yönetimi altındayken şimdi varlık yönetimi (Bölüm 8) altında 8.3 üncü kısım olarak yer almaktadır.
  • İşletim sistemi erişim kontrolü ile uygulama ve bilgi erişim kontrolü sistem ve uygulama erişim kontrolü olarak birleştirilmiş ve erişim kontrolü (Bölüm 9) altında 9.4 üncü kısım olarak kalmıştır.
  • Operasyonel yazılım kontrolü, daha önce bilgi sistemleri edinim, geliştirme ve bakımın altında tek bir kontrolken, şimdi 12.5 olarak operasyon güvenliği altında ayrı bir kısımdır.
  • Bilgi sistemleri denetim hususları, uyum bölümünden operasyon güvenliği altına 12.7 inci kısım olarak aktarılmıştır.
  • Bir güvenlik kategorisi olan yazılım erişim kontrolü kaldırılmış ve bazı kontrolleri iletişim güvenliğinin (Bölüm 13) altına taşınmıştır.
  • Bilgi değişimi, iletişim güvenliğinin (Bölüm 13) altında 13.2 inci kısım olarak yer almıştır.
  • Tartışmalı bir kategori olan uygulamalarda doğru işleme kaldırılmıştır. Önceki standartta ise bilgi sistemi edinim, geliştirme ve bakımın altında yer almaktadır.
  • Elektronik ticaret hizmetleri, ayrı bir kategori olmaktan çıkartılarak, kontrolleri bilgi sistemi güvenlik gereksinimleri ile birleştirilmiştir (14.1).
  • Bilgi güvenliği olay yönetimi altındaki 2 kategori birleştirilmiştir. İş sürekliliği bölümüne ise yeni bir kategori eklenerek (Yedekleme 17.2). Bu kategori temel olarak felaketten kurtarma ile ilgilidir.

2.3.    Yeni Kontroller

14.2.1– Güvenlik gelişim politikası- Yazılım ve bilgi sistemleri geliştirme için kurallar

14.2.5– Sistem geliştirme prosedürleri- Sistem mühendisliği ilkeleri

14.2.6– Güvenli geliştirme ortamı- Geliştime ortamı oluşturulması ve korunması

14.2.8– Sistem güvenliği testi- Güvenlik fonksiyonları testleri

16.1.4– Bilgi güvenliği olayları değerlendirme ve karar verme- Olay yönetiminin bir parçası

17.2.1– Bilgi işleme olanaklarının erişilebilirliği- Yedekleme

2.4.    Çıkartılan Kontroller

6.2.2– Müşterilerle ilgilenirken güvenliği ifade etme

10.4.2– Mobil koda karşı kontroller

10.7.3– Bilgi işleme prosedürleri

10.7.4– Sistem dokümantasyonu güvenliği

10.8.5– İş bilgi sistemleri

10.9.3– Herkese açık bilgi

11.4.2– Dış bağlantılar için kullanıcı kimlik doğrulama

11.4.3– Ağlarda teçhizat tanımlama

11.4.4– Uzak tanı ve yapılandırma portu koruma

11.4.6– Ağ bağlantı kontrolü

11.4.7– Ağ yönlendirme kontrolü

12.2.1– Giriş verisi geçerleme

12.2.2– İç işleme kontrolü

12.2.3– Mesaj bütünlüğü

12.2.4– Çıkış verisi geçerleme

11.5.5– Oturum zaman aşımı

11.5.6– Bağlantı süresinin sınırlandırılması

11.6.2– Hassas sistem yalıtımı

12.5.4– Bilgi sızması

14.1.2– İş sürekliliği ve risk değerlendirme

14.1.3– Bilgi güvenliğini içeren süreklilik planlarını geliştirme ve gerçekleştirme

14.1.4– İş sürekliliği planlama çerçevesi

15.1.5– Bilgi işleme olanaklarının kötüye kullanımını önleme

15.3.2– Bilgi sistemleri denetim araçlarının korunması

Sonuç

ISO 27001:2013’te öngörülen değişikliklerin temel olarak ilgili taraflar, risk değerlendirme ve iyileştirme, düzeltici ve önleyici faaliyetler, iletişim, dokümante edilmiş bilgi ve hedefler, izleme ve ölçme başlıkları ile ilgili olduğu görülmektedir.

ISO 27002 yapısı tamamen ISO 27001 kontrolleri ile uyumlu olduğundan tüm değişiklikler yeni ISO 27001 EK-A’sı içinde geçerlidir. İlk bakışta çok fazla bir değişiklik varmış gibi görülmektedir. Ama bunların çoğu temelden yapılan değişiklikler değildir. Değişikliklerin çoğu aslında mevcut ISO 27002’nin yanlış yapısının düzeltilmesi ve yeni kontrollerin eklenmesini içeriyor. Ağ güvenliği ve geliştirme sürecinde ise bazı değişiklikler mevcut. Bu alanlarda yeni standarda göre daha esnek bir tarif ve nasıl uygulama yapılacağı kısmında serbestlik öngörülüyor.

Sonuç olarak yeni standarda göre uygulama daha kolay olacak gibi görünmektedir.

Kaynaklar

1.    ISO/IEC 27002: 2005, Information technology — Security techniques — Code of practice for information security management,

2.    ISO/IEC 27001: 2005, Information technology — Security techniques — Information security management systems — Requirements

3.    Draft Version of ISO/IEC 27002: 2013

4.    Draft Version of ISO/IEC 27001: 2013

https://www.bilgiguvenligi.gov.tr

Reklamlar

ISO 27001 Bilgi Güvenliği Yönetim Sistemi Standardı Yeni Versiyon Ekim 2013

Kurumlarda BT standartlarını belirleyen ve onların uluslararası standartta bir Bilgi Güvenliği Yönetim Sistemi’ne (BGYS) sahip olduğunu kanıtlayan ISO/IEC 27001 ve ISO/IEC 27002 standartlarının yeni versiyon taslakları yayımlandı.

Bilgi teknolojileri alanındaki ihtiyaçları karşılamak için BT standartlarını ortaya koyan, güncelleyen ve destekleyen ‘Joint ISO/IEC Committee’, ISO/IEC 27001 ve ISO/IEC 27002 standartlarının yeni versiyonunu oluşturacak taslakları yayımladı. Taslağın yayımlanmasının amacı ise ilgili tarafların yapılan değişikliklere yönelik görüşlerini almak ve bu görüşlere göre standarda son halini verebilmek.

Son tarih 23 Mart

Komite, 23 Mart 2013’e kadar, standardın taslak hali için gelecek yorumları bekliyor. Joint ISO/IEC Committee tarafından değerlendirilecek geri bildirimler sonrasında taslak standardın bu değerlendirmeye göre güncellenmesi planlanıyor. ISO tarafından ‘Final Draft International Standard’ (FDIS) adı verilen son taslağın yayımlanması bekleniyor.

ISO 27001’de hangi değişiklikler var?

ISO 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS) standardının yeni versiyonunu incelendiğinde, standardın yapısında ve içeriğinde önemli değişiklikler olduğu göze çarpıyor.

  • Standardın 2005 versiyonunda da yer alan ‘üst yönetimin bilgi güvenliğine yönelik sorumluluklarını anlatan ‘5. Yönetim Sorumluluğu’ maddesi, yeni versiyonda yönetim sistemine yönelik; liderlik, etkinlik ölçümü, bilgi güvenliğine yönelik hedeflerin belirlenmesi konularını daha çok vurgulayan bir hale getiriliyor.
  • Sürekli iyileşmenin sağlanabilmesi için kurumun artık başka metodolojiler de izleyebileceği göz önünde bulundurularak PUKÖ döngüsünün izlenmesi bir gereklilik olmaktan çıkartılıyor.
  • Bilgi güvenliği risklerinin belirlenmesine ve risklerin indirgenmesine yönelik aksiyonların alınmasını temel alan standardın risk değerlendirme yaklaşımında büyük değişiklikler var. Artık eskiden olduğu gibi varlıklar üzerinden risk değerlendirme yapmak yerine kurumlar daha geniş, daha jenerik bir değerlendirme yaklaşımını benimseyebilecekler. Standart artık, kurumların sahip oldukları bilginin, bilgi varlıklarından daha önemli olduğunu vurguluyor. Bu yenilik, kurumların donanım ve yazılım gibi varlıklarının üzerindeki riskleri değerlendirmesi yerine, sahip oldukları bilgiler üzerindeki riskleri değerlendirmeleri gerektiği anlamına geliyor.
  • Risk yönetim standardı olan yeni versiyon ISO 31000 ile ISO 27001 ile, Bilgi Güvenliği Yönetim Sistemi’nin (BGYS) risk yönetim yaklaşımları birbirine uygun hale getiriliyor ve birçok kurumda karşımıza çıkan kurumsal risk yönetimi ile bilgi güvenliği risk yönetimi kavramlarının örtüşmesi sağlanıyor.
  • ISO 27001’in 2005 versiyonunda, standarda yönelik güvenlik önlem ve kontrollerinin etkinliğinin ölçümü daha belirsiz ve kuruma göre değişebilecek yapıda iken, yeni versiyonda izleme, ölçme ve iyileştirme süreçleri daha net, spesifik ve tanımlı uygulamaların yürütülmesini gerektiriyor. Bu durum, bilgi güvenliği gerekliliklerine yeni uyum sağlayacak ve belgelendirilmeyi hedefleyen kurumlar için yeni bir gereklilik getiriyor: Artık kurumların belgelendirilebilmesi için sadece sistemi kurması ve işletmesi değil, aynı zamanda aldığı güvenlik önlemlerinin etkinliğini izleyebilmesi, ölçebilmesi ve sonuçlarından iyileşme fırsatları çıkartabilmesi gerekecek.
  • Standardın temel güvenlik önlemlerinin yer aldığı ‘EK A’ kısmı, yeni versiyonda da mevcut. Kurumların EK A’da yer alan kontrollere nasıl uyum sağladıklarını gösterebilmeleri için halen bir ‘Uygulanabilirlik Bildirgesi’ dokümanı hazırlamaları gerekiyor.
  • Eski versiyonda kontrol hedefleri 11 ana başlık altında ele alınırken artık 14 farklı kategoride kontroller bulunuyor. 2005 versiyonda 133 adet kontrol hedefi varken yeni standartta 113 adet kontrol olması bekleniyor. Standardı incelediğimizde kontrol maddelerinde eski versiyona göre daha net bilgiler yer aldığını görüyoruz. Örneğin, eski standart iş sürekliliği konusunda her kurumun bir iş sürekliliği planı olması ve bu planlarında bilgi güvenliğinin dikkate alınması gerektiği üzerinde duruyordu. 2013 versiyonunda ise artık, iş süreklilik planı ihtiyacının tanımlanması ve bu ihtiyaca göre süreklilik planlarının oluşturulması söz konusu…

Yeni Standart Kurumları Nasıl Etkileyecek?

ISO 27001 belgesine sahip veya sertifika almayı hedefleyen kurumları nasıl bir süreç bekliyor? Yeni standart yayımlandığında, 2005 revizyonlu eski ISO 27001 standardı güncelliğini yitirmiş olacak ve geçersiz sayılacak. Belgeye sahip olan ve sistemi uygulamaya devam etmekte olan kurumlara yeni standart geçiş için belirli bir süre tanınacak. Her ülkede yeni versiyona geçişler genellikle ulusal akreditasyon kurumları tarafından yürütülüyor (Türkiye’deki örneği: TÜRKAK).

Geçiş süreci şöyle işliyor:

  • Belgelendirilmiş olan ve sistemi yürütmekte olan kurumların yeni versiyona geçiş yapabilmesi için genellikle yeni standardın yayımlanma tarihinden itibaren 18 – 24 ay süre tanınıyor.
  • Standardın 2013 revizyonunun yayımlanmasından önce BGYS projelerine başlamış olan ve standart gerekliliklerine uyum için çalışmakta olan kurumların eski versiyona göre belgelendirilmelerine devam edebilmeleri içinse genellikle 6 – 12 ay süre veriliyor. Ancak yeni revizyonlu standart yayımlandıktan sonra, 2005 versiyona göre belgelendirilen kurumların, geçiş sürecinin sonuna kadar 2013 versiyona geçmeleri talep edilecek.

Yeni versiyona geçiş rahat olacak

Genellikle yeni standartlar yayımlandıktan sonra kurumların, belgelendirme şirketlerinin ve denetçilerin yeni standart maddelerini yorumlamaları, kurumlarda nasıl uygulanabileceğini belirlemeleri ve özümsemeleri genellikle belirli bir zaman alıyor. Bu nedenle şu anda ISO 27001 kurulum projelerini yürütmekte olan kurumların 2005 versiyona göre hazırlık yapmaları ve etkin bir Bilgi Güvenliği Yönetim Sistemi (BGYS) kurulduktan sonra 2013 versiyonlu standarda uyum sürecini başlatmaları daha rahat bir geçiş süreci geçirmelerini sağlıyor.

Hedef: 19 Ekim 2013

ISO tarafından ISO 27001 standardının 2013 revizyonunun 19 Ekim 2013’te yayımlanması hedefleniyor. Ancak taslak standarda yönelik yorumlar ve geri bildirimlerin yoğunluğuna ve önemine bağlı olarak son revizyonun yayımlanma tarihinin Nisan 2014’e kadar uzayabileceği belirtiliyor.

(innova)

Bilgi Güvenliği Açısından Haberleşme ve İşletim Yönetimi

Bir kurumda bilgi güvenliğinin tam olarak sağlanmasının adımlarından biri olan haberleşme ve işletme yönetiminde uyulması ve uygulanması gereken kuralları/maddeleri sınıflandırılmış şekilde ve bölümler halinde bu yazıda görmekteyiz.

İşletim Prosedürleri ve Sorumluluklar

Belgelenmiş İşletim Prosedürleri

  • İşletim prosedürleri yazılmış olmalı ve süreli güncelleniyor olmalıdır.
  • Bilgi işlem ve iletişim ile ilgili sistem açma/kapama, yedekleme, cihazların bakımı, bilgisayar odasının kullanılması,gibi sistem faaliyetleri prosedürlere bağlanmış olmalıdır.
  • İşletim prosedürlerine, ihtiyacı olan tüm kullanıcılar erişebiliyor durumda olmalıdır.
  • Bu prosedürlere resmi belge muamelesi yapılıyor olmalıdır. (Yapılan tüm değişiklikler için yönetim yetkilendirmesi gerekip gerekmediği tespit edilmelidir.)

Değişim Yönetimi

  • Bilgi işlem sistemlerinde yapılan değişiklikler yönetiliyor olmalıdır.
  • Asıl sistemler ve uygulama programları sıkı bir değişim kontrolüne tabi tutuluyor olmalıdır.
  • Değişikliklerle ilgili planlama ve test yapılıyor olmalıdır.
  • Programlarda yapılan değişiklikler için kayıtlar tutuluyor olmalıdır.
  • Değişikliklerin, güvenlik dahil olmak üzere potansiyel etkileri değerlendiriliyor olmalıdır.
  • Değişiklikler için resmi onay prosedürleri olmalıdır.
  • İlgili personele değişiklik detayları bildiriliyor olmalıdır.
  • Başarısız değişikliklerin onarılması ve geri alınması ile ilgili sorumlulukları belirleyen prosedürler olmalıdır. (Bilgi işlem sistemlerinde yapılan değişikliklerin yönetilmemesi sonucunda sık sık sistem hatalarının ve güvenlik açıklarının ortaya çıktığı unutulmamalıdır.)

Görevler Ayrılığı

  • Bilginin veya bilgi servislerinin kazara ya da kasten yanlış kullanımını veya yetkisiz değiştirilme riskini azaltmak için görevler ve sorumluluklar ayrılmış olmalıdır.
  • Bir işin yetkilendirilmesi ile o işin gerçekleştirilmesi farklı kişiler tarafından yapılıyor olmalıdır.

Geliştirme Sistemi, Test Sistemi ve Aktif Sistemlerin Ayrılması

  • Geliştirme ve test ortamları esas çalışma ortamından ayrılmış durumda olmalıdır.(Örneğin, geliştirilmekte olan yazılım ile kullanılmakta olan yazılım farklı bilgisayarlarda çalıştırılmalıdır. Gerekli görüldüğü yerde geliştirme ve test ortamları da birbirinden ayrılmalıdır.)

Üçüncü Taraflardan Alınan Hizmetin Yönetilmesi

Hizmet Alma

  • Üçüncü taraftan hizmet alma anlaşmasında belirtilen hizmetlerin tanımının, güvenlik seviyesinin ve denetiminin gerçekleştirilmesini ve sürdürülmesini güvence altına almak için üçüncü taraf gerekli tedbirleri almış olmalıdır.

Üçüncü Taraf Hizmetlerinin Gözden Geçirilmesi

  • Üçüncü taraflardan alınan hizmetler, raporlar ve kayıtlar düzenli olarak izleniyor ve gözden geçiriliyor olmalıdır.
  • Üçüncü taraflardan alınan yukarıdaki hizmetler, raporlar ve kayıtlar düzenli aralıklarla denetime tabii tutulmalıdır.

Üçüncü Taraf Hizmetlerindeki Değişikliklerin Yönetilmesi

  • Bilgi güvenliği politikaları, prosedürleri ve denetimlerinde yapılan bakım ve iyileştirmeleri de içeren hizmet alımı değişiklikleri yönetiliyor olmalıdır.
  • Değişiklik yönetimi çerçevesinde işin içindeki süreçlerin kritikliği hesaba katılıyor ve riskler gözden geçiriliyor olmalıdır.

Sistem Planlama ve Kabul Etme

Kapasite Yönetimi

  • Gereken sistem performansını sağlamak için sistem kaynaklarının ne oranda kullanıldığı izleniyor ve ileriye dönük kapasite ihtiyacının projeksiyonu yapılıyor olmalıdır. (Önemli sunumcuların üstündeki sabit disk alanının, RAM ve CPU kullanımlarının izlenmesi gerekir)
  • Mevcut aktiviteler ve yeni başlayacak aktiviteler için kapasite ihtiyaçları belirleniyor olmalıdır.
  • Tedarik süresi uzun veya fiyatı yüksek ekipmanın alınması ile ilgili planlamalar dikkatle gerçekleştiriliyor olmalıdır.

Sistem Kabulü

  • Yeni bilgi sistemleri, yükseltmeler ve yeni versiyonlar için sistem kabul etme kriterleri tespit edilmiş ve belgelenmiş olmalıdır.
  • Resmi kabulden önce gerekli testler yapılmalıdır.
  • Resmi kabul gerçekleşmeden yeni sistemin kullanılmamasına dikkat edilmelidir.
  • Resmi kabulden önce şu hususlara dikkat edilmelidir; mevcut sistemlerle birlikte çalışabilirlik, toplam sistem güvenliği üstündeki etkiler, eğitim ihtiyacı, kullanım kolaylığı (kullanıcı hatalarına meydan vermeme açısından).

Kötü Niyetli ve Mobil Yazılımlara Karşı Korunma

Kötü Niyetli Yazılımlara Karşı Kontroller

  • Kötü niyetli yazılımlara karşı bulma, önleme ve düzeltme tedbirleri alınmış olmalıdır.
  • Kullanıcı bilinci oluşturulmuş olmalıdır.
  • Güvenlik politikası yetkisiz yazılım kullanmayı yasaklıyor olmalıdır.
  • Yabancı ağlardan ve diğer medyadan dosya veya yazılım alınmasına ilişkin risklerden nasıl korunulacağına ilişkin politika hazırlanmış olmalıdır.
  • Kritik iş süreçlerini çalıştıran sistemler düzenli olarak taranarak yetkilendirilmemiş yazılım ilaveleri veya dosyaların mevcut olup olmadığı araştırılıyor olmalıdır.
  • Kötü niyetli yazılımlara karşı bulma ve önleme fonksiyonlarını yerine getiren programlar kurulmuş ve düzenli olarak güncellemeleri yapılıyor olmalıdır.
  • Tarama motorları ve imza dosyaları güncelleniyor olmalıdır.
  • Ağ üstünden veya diğer ara yüzlerden masaüstü bilgisayarlara veya sunuculara giren dosyalar, e-posta ekleri ve bağlanılan internet sayfalarının içerikleri kontrol edilmelidir.
  • Kötü niyetli yazılımlardan korunma sistemleri, bunlarla ilgili eğitimler, saldırıların rapor edilmesi ve saldırı sonrası tedavi ile ilgili yönetim prosedürleri ve sorumluluklar belirlenmiş olmalıdır.
  • Saldırı sonrası iş sürekliliği için plan yapılmış olmalıdır.
  • Kötü niyetli yazılımlarla ilgili güncel bilgiler izlenmelidir.

Mobil Yazılımlarla İlgili Kontroller

  • Sadece yetkilendirilmiş mobil yazılımlar kullanılıyor olmalıdır.
  • Yetkilendirilmemiş mobil yazılımın çalışmasına engel olunmalıdır.
  • Yetkilendirilmiş mobil yazılımın güvenlik politikası uyarınca çalışması konfigürasyon aracılığı ile güvence altına alınmalıdır. (Mobil yazılım, bir bilgisayardan diğerine taşınan ve otomatik olarak çalışan yazılımlara denir. Kullanıcının herhangi bir müdahalesi olmadan belli bir görevi yerine getirirler.)

Yedekleme

Bilgi Yedekleme

  • Yedekleme politikası uyarınca bilgi ve yazılımların yedeklenmesi ve yedeklerin test edilmesi düzenli olarak yapılmalıdır.
  • Bir felaket veya sistem hatasından sonra gerekli tüm bilgilerin ve yazılımların kurtarılmasını sağlayacak yedekleme kabiliyeti mevcut olmalıdır.
  • Yedeklemenin hangi düzeyde yapılacağı tanımlanmış olmalıdır.
  • Yedeklemenin hangi sıklıkla yapılacağı kurumun ihtiyaçları uyarınca ayarlanmış olmalıdır. Onarım (geri dönüş) prosedürleri belgelenmiş olmalıdır.
  • Yedek kopyalar kayıt altına alınmış olmalıdır.
  • Alınan yedeklerin bir kopyası ana sitede meydana gelebilecek bir felaketten etkilenmeyecek mesafede fiziksel ve çevresel etkenlerden korunarak saklanmalıdır.
  • Yedekleme ortamı düzenli olarak test edilmelidir.
  • Onarım prosedürleri düzenli olarak kontrol ve test edilmelidir.
  • İşletim prosedürlerinde belirtilen zaman dilimlerinde geri dönüş yapıldığı kontrol edilmelidir.
  • Ömrünü tamamlayan yedekleme ünitelerinin takibi yapılmalıdır.
  • Gizliliğin önem arz ettiği durumlarda yedekler kriptolanarak alınmalıdır.
  • Yedekleme ortamının güvenli biçimde imhası için izlenen bir yöntem olmalıdır.

Ağ Güvenliği Yönetimi

Ağ Kontrolleri

  • Ağ yöneticileri, ağlardaki verinin güvenliği ve bağlı bulunan servislere yetkisiz erişimi engellemek için gerekli tedbirleri almış olmalıdır.
  • Ağların işletme sorumluluğu mümkün olan yerlerde bilgisayar işletmenlerinden ayrılmış olmalıdır.
  • Uzaktan erişim donanımının/ donanımlarının yönetimi için sorumluluklar ve prosedürler belirlenmiş olmalıdır.
  • Halka açık ağlardan ve telsiz ağlardan geçen verinin bütünlüğünü ve gizliliği korumak, ağa bağlı sistemleri ve uygulamaları korumak için özel tedbirler alınmış olmalıdır. (VPN, erişim kontrolü ve kriptografik önlemler gibi)
  • Ağ servislerini optimize etmek ve bilgi işlem altyapısı ile ilgili kontrollerin koordinasyonunu ve kuruluşun tamamında uygulanmasını sağlamak üzere yönetim faaliyetleri gerçekleştirilmelidir.

Ağ Hizmetleri Güvenliği

  • Kurumun içinden sağlanacak veya dışarıdan alınacak ağ hizmetlerinin her birinin yönetilmesi ve güvenliği ile ilgili ihtiyaçlar belirlenmelidir.
  • Bu ihtiyaçlar hizmet sağlayıcıları ile yapılan anlaşmalarda yer almalıdır.
  • Ağ hizmetleri sağlayıcısının, üstünde anlaşma sağlanan servislerin güvenli olarak verilmesi ve yönetilmesi ile ilgili imkân ve kabiliyetlere sahip olduğu tespit edilmiş olmalıdır.
  • Alınan hizmetin kuruluş tarafından izlenmesi ve denetlenmesi konusunda anlaşmaya varılmış olmalıdır.

Bilgi Ortamı Yönetimi

Taşınabilir Depolama Ortamlarının Yönetimi

  • Teyp, disk, disket, kaset, hafıza kartları ve yazılı raporlar gibi sökülebilir bilgisayar ortamlarının yönetilmesi ile ilgili prosedürler olmalıdır.
  • Tüm prosedürler ve yetki seviyeleri açıkça tanımlanmış ve belgelenmiş olmalıdır.
  • Daha fazla gerekmediği için kurum dışına çıkarılacak yeniden kullanılabilir ortamlar (disket vs.) okunamaz hale getirilmelidir.
  • Organizasyondan çıkarılan tüm ortam malzemeleri için yetkilendirme gereklidir ve bu işlemlerin hepsi için resmi kayıtların tutulması gerekir.
  • Ortam malzemelerinin güvenliği sağlanmalıdır.
  • Taşınabilir hafıza ortamlarını destekleyen ara yüzler gerçekten gerekmedikçe kapalı tutulmalıdır.

Depolama Ortamının İmhası

  • Daha fazla kullanılmayacak bilgi ortamı resmi prosedürler uyarınca emniyetli bir biçimde imha ediliyor olmalıdır.
  • Emniyetli imhaya tabii tutulacak varlığı belirlemek için prosedür olmalıdır.
  • Emniyetli imha işi dışarıdan bir firmaya yaptırılıyorsa gereken güvenlik önlemlerini uygulayan bir firmanın seçilmesine dikkat edilmelidir.
  • İmha edilen ortamların kaydı tutulmalıdır.
  • Bilginin yetkisiz olarak açıklanmasına veya yanlış kullanımına engel olmak için bilginin yönetilmesi ve saklanması ile ilgili prosedürler oluşturulmuş olmalıdır.

Bilgi Depolama ve İşleme Prosedürleri

  • Tüm ortamlar gizlilik dereceleri uyarınca etiketleniyor ve yönetiliyor olmalıdır.
  • Yetkisiz kişilerin bilgiye erişimine engel olmak için erişim kısıtlaması uygulanmalıdır.
  • Bilgiye erişim yetkisi olan kişiler resmi ve güncellenmekte olan bir belgede belirtilmiş olmalıdır.
  • Veri girdisinin eksiksiz olduğu, işlemin hatasız tamamlandığı ve çıktı onayından geçtiği kontrol edilmelidir.
  • Veri dağıtımının en alt düzeyde tutulması sağlanmalıdır.

Sistem Dokümantasyonu Güvenliği

  • İşlemler, prosedürler, veri yapıları, yetkilendirme işlemlerinin uygulama tanımları gibi bir dizi duyarlı bilgiyi içeren sistem dokümantasyonu yetkisiz erişimden korunmalıdır.
  • Sistem dokümantasyonu güvenli bir ortamda bulundurulmalıdır.
  • Sistem dokümantasyonuna erişim listesi asgari düzeyde tutulmuş olmalıdır.
  • Yetkilendirme sistemin sahibi tarafından yapılmış olmalıdır.

Bilgi Değiş Tokuşu

Bilgi Değiş Tokuşu İle İlgili Politika ve Prosedürler

  • Her türlü iletişim ortamında bilginin güvenliğini sağlamak için resmi bir değiş tokuş politikası veya prosedürü uygulanıyor olmalıdır.
  • Elektronik iletişim araçları ile ilgili prosedür ve kontroller şu durumları düzenlemelidir; bilginin kopyalanması, tahribi, içeriğinin veya yolunun değiştirilmesinden korunma. Elektronik iletişim aracılığı ile alınabilecek kötü niyetli yazılımların tespiti ve bertaraf edilmesi. Mesajlara eklenmiş hassas bilgilerin korunması. Elektronik iletişim yöntemlerinin kullanımı ile ilgili rehber ve politikalar. Telsiz veri iletişiminin içerdiği riskler de göz önüne alınarak kullanılması. Bilginin bütünlüğünü ve gizliliğini korumak için kriptografik tekniklerin kullanılması. İş ile ilgili yazışmaların saklanması ve imhası. Fotokopi makinesi, yazıcı ve faks cihazlarında hassas bilgi içeren belgelerin bırakılmaması. Elektronik mesajların harici posta kutularına iletilmemesi için yapılacak düzenlemeler. Personelin telefon konuşmaları sırasında hassas bilgilerin açığa çıkmaması için tedbirli davranması. Cevap verme makinelerine hassas bilgi içeren mesajlar bırakılmaması. Faks cihazlarının kullanılması ile ilgili risklerin personele anlatılması.

Bilgi ve Yazılım Değişim Anlaşmaları

  • Kurum ile diğer taraf arasında bilgi ve yazılım değişiminin şartlarını düzenleyen anlaşma yapılmış olmalıdır.
  • Bu anlaşmada iş bilgilerinin duyarlılığı ile ilgili güvenlik konularına değinilmiş olmalıdır.
  • Nakil halindeki bilgi,  yetkisiz erişime, bilinçsiz kötü kullanıma veya değiştirilmelere karşı korunmalıdır.

Nakil Esnasında Bilgi Ortamının Güvenliği

  • Güvenilir araç veya kuryeler kullanılmalıdır.  Kuryelerin kimliğini kontrol etmek için prosedür geliştirilmiş olmalıdır.
  • Nakil esnasında varlığı fiziksel hasardan koruyacak paketleme yapılmalıdır.
  • Elektronik olarak taşınan bilgi gerektiği gibi korunuyor olmalıdır.

Elektronik Mesajlaşma

  • Mesajlar yetkisiz erişimden korunmalıdır.
  • Mesajın doğru adrese gitmesi sağlanmalıdır.
  • Elektronik posta hizmetinin sürekliliği ve güvenilirliği yüksek olmalıdır.
  • Elektronik imza gibi yasal yükümlülükler olmalıdır.
  • Eğer varsa gereği yerine getirilmiş olmalıdır.
  • Halka açık sistemler (“Instant Messaging” gibi) kullanılmadan önce yönetimden onay alınmalıdır.

Ofis Bilgi Sistemleri

  • Elektronik ofis sistemlerinin birbirine bağlanması ile ilgili olarak burada bulunan bilginin korunması için politika ve prosedürler geliştirilmiş olmalı ve kullanılmalıdır.
  • İdari sistemdeki ve muhasebe sistemindeki açıklar dikkate alınmış olmalıdır.
  • Bilgi paylaşımının yönetilmesi için politika ve tedbirler mevcut olmalıdır.
  • Sistemde gerekli koruma yoksa gizli belgeler ve hassas iş bilgileri sistem dışında tutulmalıdır.

Elektronik Ticaret Hizmetleri

Elektronik Ticaret

  • Halka açık ağlar vasıtası ile taşınan elektronik ticaret bilgileri, hileli kazanç faaliyetleri, anlaşma itilafları ya da bilginin değişikliğe maruz kalması gibi bir dizi ağ şebekesi tehdidine karşı korunuyor olmalıdır.
  • Kriptografik önlemler alınmış olmalıdır.(Elektronik ticaret ile ilgili risklerin çoğu kriptografik tedbirlerin uygulanması ile bertaraf edilebilmektedir).
  • Ticaret ortakları arasındaki elektronik ticaret düzenlemeleri, iki tarafı bilgilendiren, yetkilendirme detaylarının dâhil olduğu, üzerinde anlaşma sağlanan ticari şartların yazılı olduğu bir belge ile tespit edilmiş olmalıdır.

Çevrimiçi Hizmetler

  • Çevrimiçi işlemlerle ilgili bilgi hatalı gönderme, hatalı yönlendirme, mesajın yetkisiz kişiler tarafından ifşa edilmesi, değiştirilmesi, kopyalanması veya tekrar gönderilmesine karşı korunmalıdır.

Halka Açık Bilgi

  • Halka açık bilginin bütünlüğü yetkisiz kişilerin değişiklik yapmaması için korunmalıdır.
  • Sistem üstünde teknik açıklık testleri yapılıyor olmalıdır.
  • Halka açık sisteme konmadan önce bilginin onaylanmasını sağlayan belgelenmiş bir süreç olmalıdır.

İzleme

Olay Kayıtlarının Tutulması

  • Erişimi izlemek ve gerektiği takdirde soruşturmalarda kullanmak üzere gerekli sistemlerde kullanıcı faaliyetleri ve güvenlik ile ilgili olay kayıtları tutuluyor ve bu kayıtlar belirli bir süre boyunca saklanıyor olmalıdır.
  • Kullanıcı kimlikleri, Oturuma giriş ve çıkış tarihleri ve zamanları, eğer mümkünse terminal kimliği, başarılı ve reddedilmiş sistem erişim denemeleri, sistem konfigürasyonunda yapılan değişiklikler, ayrıcalıkların kullanılması, hangi dosyalara erişimin gerçekleştiği ile ilgili kayıtlar tutuluyor olmalıdır.
  • Sistem yöneticilerinin kendi faaliyetlerini silme yetkisine sahip olmaması gerekir.

Sistem Kullanımını İzleme

  • Bilgi işlem araçlarının kullanımının izlenmesi ile ilgili prosedürler geliştirilmiş olmalıdır.
  • Bu prosedürler uygulanmalıdır.
  • Sistem kullanım kayıtları düzenli olarak gözden geçirilmelidir.
  • Bilgi işlem araçlarında yapılan işlemlerin hangi düzeyde kaydedileceği risk değerlendirme çalışması sonucunda belirlenmiş olmalıdır.

Kayıt Bilgilerinin Korunması

  • Kayıt alma araçları ve kayıt bilgileri yetkisiz erişim ve değiştirmeye karşı korunuyor olmalıdır.

Yönetici ve İşletmen Kayıtlar

  • Yönetici ve işletmen faaliyetlerinin kaydı tutulmalıdır.
  • Başarılı veya başarısız faaliyetin tarihi ve zamanı, faaliyetle ilgili bilgi (örneğin sistemde oluşan hata ve alınan tedbir), işlemin hangi kullanıcı hesabı üstünde ve hangi yönetici tarafından yapıldığı, hangi süreçlerin etkilendiği kaydediliyor olmalıdır.
  • İşletmen kayıtları, düzenli olarak incelenmelidir.

Hata Kayıtlar

  • Hatalar rapor edilip düzeltici tedbirler alınıyor olmalıdır.
  • Bilgi işlem ya da iletişim sistemleri ile ilgili olarak kullanıcılar tarafından rapor edilen hataların kaydı tutuluyor olmalıdır.
  • Hataların tatmin edici bir şekilde giderildiğinden emin olmak için hata kayıtları gözden geçirilmelidir.

Saat Senkronizasyonu

  • Sistem bilgisayarları veya diğer bilgi sistemi cihazlarının saatleri standart bir zaman bilgisine göre ayarlanmış olmalıdır.
  • Bilgisayar saatlerinin doğru ayarlanmış olması farklı bilgisayarlardan alınmış olay kayıtlarının birlikte incelenebilmesi açısından büyük önem arz etmektedir. Bu iş için NTP protokolü kullanılabilir.

kaynak:bilgigüvenligi.org.tr

Bilgi Güvenliği Açısından Erişim Kontrolü

Bir kurumda bilgi güvenliğinin sağlanması adına, uygulanması ve uyulması gereken en önemli maddelerden biri olan erişim kontrolünün hangi açıdan bakarsanız mutlaklık içeren maddelerden oluştuğunu görebilirsiniz. Erişim kontrolünü etkin ve efektif olarak uygulamak, başta veri kaybı olmak üzere birçok konuda daha güvenli bir yapıda olmanızı sağlayacaktır.

Erişim kontrolü bilgiye erişimin denetlenmesi, bilgi sistemlerine yetkisiz erişimin engellenmesi, yetkisiz kullanıcı erişimine izin verilmemesi, hizmetlerin korunması, yetkisiz işlemlerin tespit edilmesi ve uzaktan çalışma ortamlarında bilgi güvenliğinin sağlanması gibi kritik konuları kapsamaktadır. Bu denli kritik bir konuda güvenliğin sağlanması için aşağıdaki maddeler göz önünde bulundurulmalıdır;

Erişim Kontrolü İçin İş Gereksinimleri

Erişim Kontrolü Politikası

  • Erişimle ilgili iş ve güvenlik ihtiyaçları göz önünde bulundurularak erişim denetimi politikası oluşturulmuş ve belgelenmiş olmalıdır.
  • Erişim denetimi hem fiziksel, hem işlevsel boyutları ile değerlendirilmiş olmalıdır.
  • Erişim denetimi politikası bütün kullanıcılar veya kullanıcı grupları için erişim kurallarını ve haklarını açıkça belirtiyor olmalıdır.
  • Kullanıcılara ve servis sağlayıcılarına erişim denetimiyle hangi iş gereksinimlerinin karşılanacağı iyice açıklanmış olmalıdır.
  • Politika belgesi şu konuları içermelidir; her bir iş sürecinin güvenlik ihtiyaçları, iş süreçleri ile ilgili tüm bilgiler ve bu bilgilerin yüz yüze olduğu riskler, bilginin yayılması ve yetkilendirme ile ilgili politikalar, bilginin sınıflandırılması, güvenlik seviyeleri ve “gerektiği kadar bilme” prensibi, farklı sistem ve ağlardaki bilginin sınıflandırılması ve erişim denetimine ilişkin politikaların tutarlı olması, bilgiye erişimle ilgili olarak kontratlardan ve yasal yükümlülüklerden kaynaklanan şartların yerine getirilmesi, kurumun yaygın kullanıcı profilleri ile ilgili erişim hakları ve Erişimin talep edilmesi, yetkilendirilmesi ve yönetilmesi görevlerinin birbirinden ayrılması.
  • Erişim haklarının “Yasaklanmadıkça her şey serbesttir” değil “İzin verilmedikçe her şey yasaktır” prensibine göre verilmesine dikkat edilmelidir.

Kullanıcı Erişiminin Yönetilmesi

Kullanıcı Kaydı

  • Bilgi sistemlerine ve servislerine erişim hakkı vermek için resmi bir kullanıcı kaydı girme ve kullanıcı kaydı silme prosedürü olmalıdır.
  • Sistem kayıtları ile ilişkilendirme ve sorumlu tutulabilme açısından kullanıcı kimliklerinin her kullanıcı için farklı olmasına dikkat ediliyor olmalıdır.
  • Bilgi sistemini ve servisini kullanabileceğine dair sistem sahibi kullanıcıya yetki vermiş olmalıdır.
  • Verilen erişim hakkı kurumsal güvenlik politikasına ve görevler ayrılığı ilkesine uygun olmalıdır.
  • Kullanıcılara erişim hakları ile ilgili yazılı belge veriliyor ve kullanıcılardan erişim şartlarını anladıklarına ilişkin imzalı belge alınıyor olmalıdır.
  • Görevi değişen veya kuruluştan ayrılan personelin erişim hakları derhal güncellenmelidir.

Ayrıcalık Yönetimi

  • Ayrıcalıkların kullanımı sınırlandırılmış ve denetleniyor olmalıdır.
  • Ayrıcalıklar “kullanması gereken” prensibine göre ve resmi bir yetkilendirme süreci sonunda verilmelidir.

Kullanıcı Parola Yönetimi

  • Kullanıcı parolalarının atanması ya da değiştirilmesi resmi bir prosedür uyarınca yapılmalıdır.
  • Kullanıcılara parolalarını saklı tutacaklarına dair bir anlaşma imzalatılmalıdır.

Kullanıcı Erisim Haklarının Gözden Geçirilmesi

  • Kullanıcı erişim haklarının düzenli aralıklarla kontrol edilmesini sağlayan resmi bir süreç olmalıdır.

Kullanıcı Sorumlulukları

Parola Kullanımı

  • Kullanıcı parolalarının seçilmesi ve kullanılması ile ilgili güvenlik tedbirleri uygulanmalıdır.
  • Sistem tarafından geçici olarak verilen parolaların kullanıcı tarafından sisteme ilk girişte değiştirilmesi sağlanmalıdır.
  • Kullanıcılar zor kırılacak parolalar seçmeleri konusunda bilinçlendirilmiş olmalıdır.
  • Kişisel parolaların hiç kimse ile paylaşılmamasına, yazılı veya elektronik ortamlarda kaydedilmemesine dikkat edilmelidir.
  • Kullanıcılar düzenli aralıklarla veya sistem güvenliği ile ilgili bir kuşku oluştuktan sonra parolalarını değiştirmeye zorlanmalıdır.
  • Kullanıcılar kişisel işlerinde kullandıkları parolaları kuruluşun iş süreçlerinde kullanmamaları gerektiği konusunda bilinçlendirilmiş olmalılardır.

Gözetimsiz Kullanıcı Ekipmanı

  • Atıl cihazlara ait güvenlik gereksinimlerinden, bu cihazları koruma prosedürlerinden ve bu cihazları korumak için üzerlerine düşen sorumluluklardan kullanıcıların ve iş ortaklarının haberleri olmalıdır. (İşi biten kullanıcıların bilgisayarını kapatması ve şifreli ekran koruyucuların kullanılması gibi)

Temiz Masa ve Temiz Ekran Politikası

  • Kuruluş kağıt ve taşınabilir elektronik depolama ortamlar ile ilgili olarak temiz masa politikası uygulamalıdır.
  • Kuruluş bilgi veya bilgi işlem araçları ile ilgili olarak temiz ekran politikası uyguluyor olmalıdır.
  • Hassas bilgileri içeren kağıt ve elektronik depolama ortamlarının kullanılmadığı zaman kilitlenmesi, bilgisayar başından kalkarken personelin oturumunu kapaması veya ancak parola ile açılabilen ekran koruyucu vb. önlemleri devreye sokması, gelen/giden postaya erişim noktalarının ve faks cihazlarının denetlenmesi, fotokopi makinesi, tarayıcı, sayısal fotoğraf makinesi gibi kopyalama teknolojilerinin yetkisiz olarak kullanılmaması ve hassas bilgi içeren dokümanların yazıcı üstünde bırakılmaması konularına özen gösterilmelidir.

Ağ Erişim Kontrolü

Ağ Hizmetlerinin Kullanılması İle İlgili Politikalar

  • Kullanıcıların sadece kullanma yetkisine sahip oldukları ağ servislerine erişebilmesi sağlanmış olmalıdır.
  • Ağlar ve ağ servisleri ile ilgili olarak şu konuları düzenleyen politikalar uygulanıyor olmalıdır; kimin hangi ağlara ve ağ servislerine erişebileceğini belirlemek için yetkilendirme prosedürü tanımlanmış olmalıdır, ağ bağlantılarını korumak ve ağ servislerine erişimi engellemek için yönetim denetimleri ve süreçleri belirlenmiş olmalıdır.

Harici Bağlantılar İçin Kullanıcı Kimliği Doğrulaması

  • Sisteme dışarıdan yapılacak kullanıcı bağlantıları için kullanıcı kimliği doğrulama mekanizmaları uygulanmalıdır. (Kripto tabanlı teknikler veya klasik “challange- response” mekanizmaları ile çözülebilir. VPN çözümleri de bu teknikleri kullanmaktadır.)

Ağlarda Cihaz Kimliği Belirleme

  • Bağlantının belli bir cihaz kullanılarak yapıldığından emin olmak için otomatik cihaz kimliği belirleme yöntemleri kullanılıyor olmalıdır.

Uzaktan Tanı ve Yapılandırma Portu Koruma

  • Yönetim ve yapılandırma portlarına fiziksel ve işlevsel erişimi denetleyen bir güvenlik mekanizması olmalıdır.

Ağlardaki Ayrım

  • Bilgi sistemi üstündeki kullanıcı ve  servisler gruplara ayrılmış olmalıdır.
  • Kurumun ağı dahili ve harici etki alanlarına bölünmüş olmalıdır.
  • Etki alanları kurumun erişim kontrol politikası ve erişim ihtiyaçları uyarınca oluşturulmuş olmalıdır.
  • Etki alanları sınır güvenliği sistemleri ile korunmalıdır.
  • Telsiz ağların diğer ağlardan ayrılması ile ilgili olarak çalışma yapılmış olmalıdır.

Ağ Bağlantı Kontrolü

  • Kurum sınırlarının dışına taşan ağlar ve ağ bağlantılarının kullanımı, kurumun erişim kontrol politikası uyarınca kısıtlanmış olmalıdır.
  • Elektronik mesaj, tek veya çift yönlü dosya aktarımı, interaktif erişim, bağlantı zamanı ve süresi ile ilgili kısıtlamalar getirilmiş olmalıdır.

Ağ Yönlendirme Kontrolü

  • Ağ yönlendirme kontrolleri, bilgisayar bağlantılarının ve bilgi akışının erişim politikasına uygun gerçekleşmesini sağlayacak şekilde tanımlanmış olmalıdır.
  • Ağ iletişimi kaynak adres ve hedef adreslere bağlı olarak güvenlik duvarı vb. cihazlar aracılığı ile kontrol ediliyor olmalıdır.

İşletim Sistemi Erişim Kontrolü

Güvenli Oturum Açma Prosedürleri

  • Oturum açma işlemleri yetkisiz erişim olasılığını asgari düzeye indirecek şekilde düzenlenmiş olmalıdır.
  • Sistem ve uygulamaya ilişkin olarak yetkisiz kullanıcıya yardımcı olabilecek bilgiler oturuma giriş başarıyla tamamlanana kadar gizlenmelidir.
  • Bilgisayarda sadece yetkili personel tarafından erişilebileceğini bildiren uyarı mesajı gösterilmelidir.
  • Oturuma giriş sadece tüm girdi verilerinin doğrulanmasından sonra sağlanmalıdır.
  • Bir hata durumu varsa sistem verinin hangi kısmının doğru veya yanlış olduğu bilgisini gizlemelidir.
  • Sistem tarafından izin verilen başarısız giriş denemelerine sınırlama getirilmiş olmalıdır.
  • Oturuma giriş işlemi için zaman sınırı olmalıdır.
  • Başarısız giriş denemeleri kaydedilmelidir.
  • Ağ üstünden şifrenin açık olarak gönderilmemesi sağlanmalıdır.

Kullanıcı Kimlik Tanımlama ve Doğrulama

  • Gerektiğinde sistem kayıtlarının incelenmesi ve bir işlemin sorumlusunun bulunabilmesi açısından her bir kullanıcıya kendine özgü bir kullanıcı kimliği verilmiş olmalıdır.
  • Sistem yöneticilerine ait kullanıcı kimlikleri birbirinden faklı olmalıdır.
  • Kurum bünyesinde kullanılan kullanıcı tanımlama ve yetkilendirme mekanizmaları iş gereklerine uygun olmalıdır.

Parola Yönetim Sistemi

  • Kurum bünyesinde kullanılan belirli bir parola yönetim sistemi olmalıdır.
  • Parola yönetim sistemi şu özelliklere sahip olmalıdır; kullanıcıları bireysel parolaların kullanımına zorluyor olmalıdır, kullanıcıların kendi parolalarını seçmelerine ve değiştirmelerine izin veriyor olmalıdır, kullanıcıyı kuvvetli parola seçmeye zorlamalıdır, kullanıcıyı belli zamanlarda parolasını değiştirmeye zorlamalıdır, sisteme ilk girişte geçici parolayı değiştirmeye zorlamalıdır, eski parolaları hatırlayarak tekrar kullanılmalarına engel olmalıdır, parolalar ağ üstünden gönderilirken ve saklanırken kriptolama gibi yöntemlerle korunuyor olmalıdır.

Yardımcı Sistem Programlarının Kullanımı

  • Sistem araçlarının sistem özelliklerini ve uygulama programlarının yetkilerini aşarak ekstra işlemler yapmadığı kontrol ediliyor olmalıdır.

Oturum Zaman Aşımı

  • Kullanılmayan oturumlar tanımlı bir süre sonunda kapatılmalıdır.

Bağlantı Süresinin Sınırlandırılması

  • Kurum dışından veya halka açık alanlardan yüksek riskli uygulamalara erişim durumunda bağlantı süresi kısıtlanmalıdır.
  • Kullanıcı belli aralıklarla kimliğini tekrar doğrulamaya zorlanıyor olmalıdır.

Uygulana ve Bilgi Erişim Kontrolü

Bilgi Erişimi Kısıtlaması

  • Erişim kontrolü politikası uyarınca kullanıcılar ve destek personeli için bilgi sistemleri fonksiyonları ve bilgilerine erişim kısıtlanmış olmalıdır.
  • Kullanıcıların bilgiyi yazma, okuma, silme veya çalıştırma hakları düzenlenmelidir.

Duyarlı Sistem Yalıtımı

  • Uygulamanın duyarlılığı uygulama sahibi tarafından açıklanmış ve belgelenmiş olmalıdır.
  • Duyarlı bilgilerin bulunduğu sistemler diğer sistemlerden izole edilmelidir. (Kendisine ait bilgisayarda çalıştırılması, ayrı ağ bölmesine yerleştirilmesi, ağ kaynaklarının ayrılması, sadece gerekli uygulamalar ile iletişim kurulması vb. İzolasyon fiziksel veya işlevsel olarak gerçekleştirilebilir.)

Mobil Bilgi İşleme ve Uzaktan Çalışma

Mobil Bilgi İşleme ve İletişim

  • Dizüstü bilgisayar, cep bilgisayarı, cep telefonu, akıllı kartlar vb. mobil bilgi işlem ve iletişim araçlarının kullanılmasından kaynaklanan risklerden korunmak için benimsenmiş bir politika ve uygulanmakta olan güvenlik önlemleri olmalıdır.
  • Mobil bilgi işlem politika belgesi fiziksel koruma, erişim denetimi, kriptografik denetimler, yedekleme ve virüs koruması konularını içermelidir.
  • Mobil bilgi işlem araçlarının halka açık yerler, toplantı odaları gibi korumasız ortamlarda kullanılması sırasında yetkisiz erişime ve bilginin açığa çıkmasına karşı kriptografik tekniklerin kullanılması gibi önlemler alınıyor olmalıdır.
  • Hırsızlığa karşı önlemler alınıyor olmalıdır.
  • Hassas bilgi içeren araçların başıboş bırakılmamasına özen gösterilmelidir.

Uzaktan Çalışma

  • Uzaktan çalışma faaliyetleri için organizasyonun güvenlik politikasına uygun plan ve prosedürler geliştirilmiş olmalıdır.
  • Uzaktan çalışmanın yapılacağı yerde ekipman ve bilginin çalınmasına, bilgiye yetkisiz erişim yapılmasına, kuruluşun dahili sistemlerine uzaktan yetkisiz erişime ve bilgi işlem araçlarının kötüye kullanılmasına engel olmak için uygun önlemler alınmış olmalıdır

Kaynak:bilgiguvenligi.gov.tr

Bilgi Güvenliği Yönetim Sistemi Kapsamında Risk Modeli

Makale III. İstanbul Bilişim Kongresinde sunulmuş ve kongre kitapçığında yer almaktadır…

ÖZET

Bilgi varlıklarının korunabilmesi, kurumların karşılaşabileceği risklerin en aza indirgenmesi
ve iş sürekliliğinin sağlanması, Bilgi Güvenliği Yönetim Sistemlerinin kurumlarda üst
yönetim desteğiyle hayata geçirilmesiyle mümkün olmaktadır.
Bu çalışmada, Bilgi Güvenliği’ nin sağlanmasında önemli olan unsurlar gözden
geçirilmiştir. Yüksek seviyede Bilgi Güvenliği’ nin sağlanabilmesi için bilgi güvenliği
standartlarının bilinmesi ve uygulanmasının yanında güncel tehditlerin bilinmesi önemlidir
Yüksek seviyede bir Bilgi Güvenliği sağlanabilmesi için teknoloji-insan-eğitim üçgeninde
yönetilen bir yaklaşımın dikkate alınması gerektiği tespit edilmiştir. Kurumsal bilgi
güvenliğinin yüksek seviyede sağlanması ve ülkemizde kurumsal bilgi güvenliği bilincinin
geliştirilmesi için kurumlar ve bireylerin bilgilendirilmesi amaçlanmıştır. Bu çalışmanın,
kurumsal bilgi güvenliğinin yüksek seviyede sağlanmasına yönelik farkındalık oluşturması,
mevcut ve yeni standartlar hakkında daha fazla bilgi içermesi, literatür özetini sunması ve
yüksek seviyede güvenliğin sağlanmasına katkılar sağlayacağı düşünülmektedir.

Makalenin tamamını indirmek için TIKLAYINIZ