BGYS’nin Kurulması

BGYS’nin Kurulması

“Planlama aşaması” için ISO/IEC 27001 Madde 4.2.1’de tanımlanan gereksinimler aşağıdaki gibidir:

a) İşin, kuruluşun, kuruluşun yerinin, varlıklarının ve teknolojisinin özellikleriyle BGYS’in kapsamının ve sınırlarının tanımlanması.

BGYS’nin kapsamı kuruluşun belli bir kısmı olabileceği gibi, bağımsız bir biçimde de tanımlanabilir; ya da kapsam tüm kuruluşu ifade edebilir. Uygun olan BGYS kapsamını belirlemek tamamen kuruluşa kalmıştır ancak, her halükârda BGYS kapsamı ve o kapsamın sınırlarının eksiksiz bir biçimde ve iyi tanımlanması gerekir. BGYS’nin, kuruluşun diğer bölümleriyle (BGYS kapsamında olmayan), diğer kuruluşlarla, üçüncü şahıs olan tedarikçilerle ya da BGYS dışındaki başka varlıklarla arasındaki arayüzlerin ve bağımlılıkların da kapsamda dikkate alınması gerekir.

BGYS dışında bırakılanların ayrıntıları belgelenmeli ve gerekçeleri iyi ortaya konulmalıdır. BGYS kapsamından iş bölümleri hariç tutulurken, kuruluşun hariç tutulan bölümleriyle herhangi bir bilgi değişiminin yukarıda bahsedilen arayüzler ve bağımlıklar kullanılarak tanımlanması ve adreslenmesi gerektiği hususuna özen gösterilmelidir.

b) İşin, kuruluşun, kuruluşun yerinin, varlıklarının ve teknolojisinin özellikleri göz önüne alınarak bir BGYS politikasının tanımlanması.

BGYS politikası, ilgili yasal ve düzenleyici gereksinimleri, sözleşmeden doğan veya üçüncü şahısların yükümlülüklerini ya da bağımlılıklarını da dikkate almalıdır. Yönetim BGYS politikasını onaylamalı ve tüm çalışanlar politikayı algılamalı, politikanın önemini ve amacını anlamalıdır.

Bu politika; hedefleri ortaya koyan, yönetime yön veren ve harekete geçiren, hangi riskin değerlendirmeye alınacağına dair risk yönetim kapsamı ve kriterini belirleyen bir çerçeve içermelidir.

BGYS politikası, bilgi güvenliği politikasının mutlaka göz önüne alınmasının gerekmeyebileceği konuları adreslediğinden, BGYS politikası bilgi güvenliği politikasının bir üst kümesi olarak görülebilir.

Kuruluş için uygun olması halinde bu politikalar tek belgede tanımlanabilir.Birden fazla sayıda da politika tanımı özel alt konulara yönelik olarak hazırlanabilir.

c) Risk değerlendirmeye sistematik bir yaklaşımın tanımlanması

Bu BGYS’ye, tanımlanan işe, bilgi güvenliği ile yasal ve düzenleme gereksinimlerine en çok uyan yaklaşım ve metodoloji olmalıdır.

Kuruluş,riskleri kabul etmek için kullanacağı kendi kriterlerine ve riskin kabul edilebilir seviyelerinin belirlenmesine ihtiyaç duyar. Bir kuruluşun kendisine uyarlayacağı risk değerlendirme metodu, tamamıyla kuruluşun kendi kararıdır.

Kullanılacak olan metot ne olursa olsun, metodun ISO/IEC 27001’in Ek A’sında ya da ISO/IEC
17799‘da geçen tüm kontrol alanlarını kapsayan yönetim sistemiyle ilgili olması gerekliliği önemlidir.

Bu metot, kuruluş bakımdan, personel kontrolleri, iş süreçleri, işletim ve bakım süreçleri ve işlemleriyle yasal, düzenleyici, sözleşmeden doğan konular ile bilgi işlem tesisleriyle ilgili riskleri kapsamalıdır.
BS 7799-3 standardı olan BGYS risk yönetimi bu maddeyle birlikte aşağıdaki d) ve e) maddelerine uygun risk değerlendirmesi konusunda da bilgi verir.

Risk değerlendirmesi, ISO/IEC 27001’te zorunlu bir gereksinimdir; ancak otomasyona dayalı yazılım araçlarının kullanılmasının faydası olduğu pek çok durumda bile risk değerlendirmesi otomasyona dayalı yazılım araçlarının kullanılmasını gerekli kılmaz. Bu durum özellikle, risklerin yeniden değerlendirileceği ve tehditler, hassasiyetler ile varlıklara yönelik riskle ilgili bilginin güncellenmesi gerektiği zamanlarda söz konusudur. Risk değerlendirme metodu ve yaklaşımının karmaşıklığı, gözden geçirilecek olan BGYS’nin karmaşıklığına bağlıdır. Kullanılacak olan teknikler, karmaşıklıkla ve kuruluş tarafından istenen güvence seviyeleriyle tutarlı olmalıdır.

d) Varlıklara yönelik risklerin tanımlanması; bu varlıklarla ilgili tehditlerin ve hassasiyetlerin dikkate alınması ve gizlilik, bütünlük ve kullanılabilirlik kayıplarının varlıklarda görülmesinin etkileri.

Tanımlanmış olan risklerin, tehditlerin ve hassasiyetlerin, yukarıdaki c) maddesinde belirtildiği şekilde farklı denetim alanlarıyla ilişkili olması gerekir.

BGYS içerisindeki tüm varlıkların tanımlanması risk değerlendirmesinin esasını oluşturduğundan BGYS içerisindeki tüm varlıkların tanımlanmasını, her bir varlığın sahibinin belirtilmesi ve bunun belgelenmesini temin etmek önemlidir. Varlıkların gizliliğinin, bütünlüğünün ve kullanışlılığının zarar görmesinin tesirlerinin tanımında, bu tür zararlarla tehlikeye düşen tanımı yapılmış yasal, düzenleyici ve sözleşmeye dayanan ve iş gereksinimleri dikkate alınmalıdır.

e) Yukarıdaki “d” maddesinde işleme tabi tutulan bilgiye dayanarak risklerin analiz edilmesi ve değerlendirilmesi; kuruluş, personel, iş süreçleri, işletme ve süreklilik konularıyla birlikte yasal, düzenleyici ve sözleşmeden doğan hususların ve kontrol alanlarının tümünü içerecek şekilde dikkate alınması

Bu kavram, varlıkların gizliliğinin, bütünlüğünün ve kullanışlılığının zarar görmesinin sonuçları göz önüne alınarak, güvenliğin kaybedilmesinden ortaya çıkan iş etkilerini değerlendiren kuruluşu da kapsar.

Bu kavram aynı zamanda tanımlanmış tehditleri ve duyarlılıkları dikkate alarak bir güvenlik kaybının yaşanması benzeri bir değerlendirmeyi ve bunların bir arada meydana gelmesini ve bir ihlal olayının oluşmasını da içerir. İhlal olaylarının oluşumu benzeri bir durum değerlendirilirken, geçmişte meydana gelmiş ihlal olaylarının raporlarına, internet üzerindeki raporlara, istatistiklere, haberlere ve eğilimlere bir göz atmakta yarar vardır. Kuruluş elde edilen bilgilere dayanarak, risk seviyesini tahmin etmeye ve yukarıdaki c) maddesinde belirtilen iş kapsamını dikkate alarak belirlenen risk kabul ölçütünü kullanarak risklerin kabul edilip edilmediğini ya da ortadan kaldırılmasına gerek bulunup bulunmadığını belirlemeye ihtiyaç duyar.

f) Risklerin ortadan kaldırılması için seçeneklerin tanımlanması ve değerlendirilmesi

Kuruluş kendi iş sahasında risklerin etkisini bir kez tanımladığında, değerlendirdiğinde ve durumu anladığında; söz konusu bu riskleri ortadan kaldırmak için uygun önlemler uygular. Kuruluşun kullanacağı önlemler; riskleri azaltmak için uygun kontrol tedbirlerinin tatbik edilmesi, riskle ilgili faaliyetlere bulaşmayarak riskten sakınılması, riskin sigorta kuruluşu gibi bir üçüncü tarafa (tamamen ya da kısmen) aktarılması ya da riski bilerek ve objektif bir şekilde kabul edilmesini içerir.

Bu seçeneklerden hangisinin ya da hangilerinin bir arada kullanılacağı tamamen kuruluşa kalmış bir konudur. Farklı kuruluşlar, işteki hedeflere ve mevcut şartlara bağlı olarak aynı risk için farklı sonuçlar ortaya koyabilir. Her halükârda, bu sonuçların düzgün bir biçimde yazıya dökülmesi ve kuruluşun risklerin her yönüyle farkında olarak, en küçük bir ihmalde dahi bulunmadan aldığı kararların arkasındaki gerekçeleri ortaya koyabilmesi önemlidir.

g) Riski ortadan kaldırma için kontrol hedeflerinin ve kontrol tedbirlerinin seçilmesi

Kuruluş, riski yönetmek ve ortadan kaldırmak için kontrol tedbirlerini tatbik etmeye karar verirse, bu durumda ilk olarak, bu amaca uygun bir kontrol sistemi seçmelidir. Kontrol seçiminde risk kabul ölçütü, kontrol mekanizmasının riski ne kadar azalttığı ve tanımlanmış olan yasal, düzenleyici ve sözleşmeye dayalı gereksinimler dikkate alınmalıdır.

Kontrol hedefleri ve kontrol tedbirleri ISO/IEC 27001 Ek A’dan seçilmelidir. Kuruluşun Ek A’da yer almayan kontrol tedbirlerine de ihtiyacı olabilir. Ek A bir başlangıç noktası olarak kabul edilebilir. Ek A’da yer alan kontrol hedefleri ya da kontrol tedbirleri arasından seçim yapılmaması da olasıdır. Ancak karar ne olursa olsun, mutlaka gerekçeleri ortaya iyi konulmalı ve yazıya dökülmelidir.

Kontrol tedbirlerinin seçimi, maliyet etkin olmalıdır; örneğin, kontrol tedbirlerinin gerçekleştirilme maliyeti, azaltılması düşünülen risklerin finansal etkisini aşmamalıdır. Ancak, bazı etkiler parayla da ölçülemez.

Muhasebe; emniyet, personel bilgisi, yasal ve düzenleyici zorunluluklar, imaj ve itibar gibi etkileri de göz önüne almalıdır. Buna ek olarak kontrol tedbirlerinin gerçekleştirilmesinden sonra da hâlâ bazı risklerin değerlendirilmesine ihtiyaç vardır. Bu riskleri değerlendirmek genellikle güçtür, ancak en azından daha fazla kontrol tedbirinin gerekli olup olmadığını anlamak için ne kadar çok kontrol tedbirinin tanımlanmış olan güvenlik gereksinimlerine yönelik olduğuna dair bir tahminde bulunulmalıdır.

h) Teklif edilen artık risklerin idare onayının alınması.

Yönetim, seçilen kontrol tedbirleri gerçekleştirildikten sonra teklif edilen artık risklerin bulunduğunu onaylamalıdır. Teklif edilen artık riskler bu noktada yalnızca bir tahmin olabilir, ancak “Kontrol et aşaması” bu tahminin doğru olup olmadığını onaylayacaktır. Her şeye rağmen, seçilen kontrol tedbirlerinin gerçekleştirilmesine ihtiyaç bulunduğuna ve bunun da para, zaman ve diğer kaynaklara gereksinim duyduğuna dair bu noktada yönetim onayı önemlidir.

i) BGYS’yi gerçekleştirmek ve işletmek için yönetimin yetki vermesi.
“Planlama aşaması”nın sonunda yönetim, BGYS’yi gerçekleştirmek ve işletmek için yetki vermelidir. Böylece onay verdiğinin ve planlanan eylemleri desteklediğinin işaretini vermelidir.

j) Uygulanabilirlik belgesinin hazırlanması.

Uygulanabilirlik Belgesi (UB), ISO/IEC 27001 sertifikası isteyen kuruluşlar için zorunlu bir gereksinimdir. UB; seçilen kontrol hedeflerini ve kontrol tedbirlerini belirten yazılı bir belgedir.
Yapılan seçimler, risk değerlendirme sonuçları ve risk giderme süreçleriyle ilişkilendirilmelidir.
Bu ilişkilendirme, kontrol hedeflerinin ve tedbirlerinin seçiminin gerekçelerini göstermelidir.

Kontrol hedeflerinin ve tedbirlerinin listelenmesi, tek başına geçerli bir UB’yi meydana getirmez. UB gerçekleştirilmiş olan kontrol hedeflerini ve tedbirlerini de tanımlamalı ve ISO/IEC 27001 Ek A’daki herhangi bir kontrol hedefinin veya tedbirinin kullanılmamasının gerekçesini de ortaya koymalıdır.

Risk değerlendirmesinin ve riskin ortadan kaldırılmasının belgelenmesinin riske, sonuç olarak da varlıklara, tanımlanmış gereksinimlere ve güvenlik politikasına dönük seçilmiş ya da seçilmemiş kontrol tedbirleriyle olan ilişkisini desteklemesi önemlidir.

kaynak:www.educore.com.tr

Reklamlar

Bilgi Güvenliğinde Temel Tanımlar

Gizlilik
Saklanan, işleme tabi tutulan ya da aktarılan her türlü bilginin, yalnızca bilgiye erişmeye ve kullanmaya yetkili kuruluşa ve/veya sahibine ait olmasını sağlamak için korunması gerekir.

Erişim kontrolünün pek çok şekli, temelde gizliliğin korunması hakkındadır. Şifreleme, bilginin gizli kalmasını sağlayan bir kontrol örneğidir.

Kontroller, bilgi güvenlik yönetimi sisteminin her aşamasında uygulanabilir:
Fiziksel aşama (örneğin; kapıların, muhafaza kaplarının, kasaların kilitlenmesi); mantıksal aşama (örneğin; bir veri tabanında ayrı veri alanları, uygulamadaki veri, kâğıt halindeki belge). Her koşulda tehditler ve hassasiyetler tanımlanmalı, ilişkili riskler değerlendirilmeli ve bir kontrol sistemi seçilmeli,gerçekleştirilmeli ve söz konusu bu risklere karşı koruma amacıyla uygulanmalıdır.

Bütünlük
Saklanan, işleme tabi tutulan ya da aktarılan bilginin doğru ve eksiksiz olmasının; doğru bir biçimde işleme tabi tutulduğunun ve yetkisiz kişilerce herhangi bir şekilde değiştirilmediğinin teyit edilmesi.

Ayrıca kuruluş,olmasını tasarladığı ağ şebekelerinin ve bilgi sistemlerinin bütünlüğünü tesis etmeyi de isteyebilir. Bellek sürücüler ve diğer ortamlar ile iletişim sistemleri de dahil olmak üzere pek çok veri işlem aygıtının veriyi bozmadığından emin olmak için otomatik bütünlük kontrol etme araç gereçlerini içerir.

Bütünlük kontrolü; işletim sistemlerinde, yazılımda ve uygulama programlarında veya işleme alınmış olan veride programların bilerek ya da kazara bozulmasını önlemesi bakımından önemlidir. Bütünlük kontrollerinin; giriş/çıkış veri geçerleme kontrolleri, kullanıcı eğitimi ve diğer işletim türü kontrolleri gibi insandan kaynaklanan riskleri ya da hırsızlık veya dolandırıcılığı azaltmak için işlem seviyesinde uygulanmasına ihtiyaç vardır.

Kullanılabilirlik
Bilgiyi kullanma yetkisi bulunan kuruluş ya da kuruluş içerisindeki kullanıcıların, bilgiyi ne zaman ve nerede kullanmaya ya da işleme tabi tutmaya ihtiyaç duyarlarsa bilgiye erişmelerinin sağlanması.

Bilginin kullanılabilirliği, uygulamada bir kontrol sistemini gerektirir.
Örneğin; bilginin yedeklenmesi, kapasite planlaması, sistem kabul prosedürleri ve kriterleri, ihlal olayı yönetimi prosedürleri, çıkarılabilir bilgisayar ortamı yönetimi, bilgi işlem prosedürleri, donanım bakımı ve test edilmesi, sistem kullanımının izlenmesi prosedürleri ve iş süreklilik prosedürleri.

Güvenlik ihlali olaylarının izlenmesi, gözden geçirilmesi ve kontrol edilmesi, servis kademeleri, zamanında ve sürekli sistem performansı; kullanılabilirliliğin sağlanmasında koruyucu bir kontrol mekanizması olabilir.

Hassas veya kritik bilgi
ISO/IEC 17799, hem kritik, hem de hassas bilgiye uygulanabilen bir dizi kontrolü tanımlar. Hassas ya da kritik bilgi nedir ve hassas veya kritik bilgiyi nasıl fark ederiz? Tanım, her kuruluş için farklıdır. Bazı tanımlar,bireysel kuruluşlar kapsamında gerektiğinde bilginin hassas ya da kritik olarak, geriye kalan bilginin ise hassas ya da kritik olmayan şeklinde etiketlenebilmesi amacıyla bilginin değerini ya da kullanımını ortaya koymak için yapılabilir.

Bu kapsamda bir zaman unsuru da bulunmaktadır. Örneğin; kuruluşun mali durumu, sermaye piyasasına bilgi vermeden önce çok hassas olabilir, ancak bir kez rapor edildikten sonra hassasiyeti ortadan kalkar. Hassasiyet, veriye verilen sınıflandırma seviyesinde de görülmelidir.

Hassas ve kritik bilginin korunmasındaki en önemli öğe, risk değerlendirmesidir. Risk değerlendirme
sürecinin bölümü ISO 27001:2005 ve ISO/IEC 17799’in 4’üncü Maddesinde genel hatlarıyla; daha ayrıntılı olarak da BS 7799-3:2005’te verilmiştir ve söz konusu bölüm, uygun bir kontrol sistemi kullanılarak, varlıkları korumak için gerekli olan güvenlik seviyesi ve riskleri hesaplamak amacıyla bilgi varlıklarının değerlendirilmesini, tehditlerin ve hassasiyetlerin değerlendirilmesini içerir.

BGYS kavramı

BGYS standardı olan ISO 27001’in arkasında yatan temel düşünce etkili bir bilgi güvenliği elde etmek için yönetim sistem proseslerinin tesis edilmesi, gerçekleştirilmesi ve sürdürülmesidir.

BGYS; kuruluşun iş riski yaklaşımına dayanan, kuruluşun işleyiş ve iş kültürünün ayrılmaz bir parçası olarak görülmeli ve etkili bilgi güvenliğine ulaşmak için kuruluşu, teşkilatı, politikaları, planlama faaliyetlerini sorumlulukları, uygulamaları, prosedürleri, prosesleri ve kaynakları kapsar.

Etkili bilgi güvenliğine giden yol

Bugünün dünyasında bilgi güvenliği olmadan hiçbir kuruluş başarılı bir biçimde işletilemez. BGYS, yeterli ve uygun bir bilgi güvenliği yönetiminin kuruluşun bilgi varlıklarının korunması ve ilgili taraflara güven vermesi amacıyla tesis edilmesini temin etmek üzere tasarlanmalıdır.

Bilgi güvenliği kuruluşa faydalı olacaksa, olumlu katkıda bulunacaksa, BGYS başarılı bir bilgi güvenliğini sağlayabilmelidir. Bilgi güvenliği teknik ve BT konudan daha çok öncelikle, bir yönetim konusudur. Bununla birlikte hiç kimse, özellikle BT kullanımı konusundaki geniş çaptaki bağımlılığı ve teknik sorunları göz ardı etmemelidir.

Devam eden prosesler
Bilgi güvenliği yönetimi, bir kere yapılıp kenara bırakılacak bir uygulama değildir; devam eden bir sürekli gelişim faaliyeti olarak (ISO 9001 gereksinimleri gibi diğer yönetim sistem standardları kadar TS ISO/IEC 27001 tarafından uyarlanan Planla-Uygula-Kontrol et-Önlem al (PUKÖ) modeline dayanmaktadır.

İyi yönetilen bilgi güvenliği, işi yapılabilir kılar. BGYS faaliyetleri için yönetim desteği, başarılı ve etkili BGYS gerçekleştirmelerinin hayata geçirilmesindeki en önemli faktörlerdenbiridir.

BGYS standardı olan TS ISO/IEC 27001, uyulması istenirse, kuruluşun uymak için ihtiyaç duyduğu gereksinimler kümesi şeklini alır. Söz konusu gereksinimler ISO/IEC 27001’nin Madde 1 ila Madde 8 arasında belirtilmiştir ve bu gereksinimler PUKÖ modeline dayanan proses yaklaşımıyla ilişkili gereksinimleri de kapsar.

TS ISO/IEC 27001’deki gereksinimlerini yansıtan hükümler zorunludur. “-meli”,”-malı” terimi içeren ifadeler ise gereksinimlerin uygulanmasına kılavuzluk etmesine rağmen bünyeye uydurulması beklenen, ancak zorunlu olmayan hükümleri ifade etmek için kullanılır.

Bir uygulama rehberi olarak ISO/IEC 17799, bir belirtim olarak alıntı yapılmaması anlamına gelen kılavuz ve tavsiyeler şeklindedir ve uyum isteklerinin yanlış yönlendirilmemesini sağlaması için dikkate alınmasına özen gösterilmelidir.

PUKÖ modeli
“Planla-Uygula-Kontrol et-Önlem al modeli (PUKÖ Modeli)” olarak bilinen model, ISO/IEC 27001 standardında kullanılmıştır. Bu model, bir BGYS’in kurulmasında,
gerçekleştirilmesinde, işletilmesinde, izlenmesinde, gözden geçirilmesinde, sürdürülmesinde ve tekrar gözden geçirilmesinde temel olarak kullanılır.

Planla (BGYS’nin kurulması)
Sonuçları kuruluşun genel politikaları ve amaçlarına göre dağıtmak için, risklerin yönetimi ve bilgi güvenliğinin geliştirilmesiyle ilgili BGYS politikası, amaçlar, hedefler, prosesler ve prosedürlerin kurulması.

Uygula (BGYS’nin gerçekleştirilmesi ve işletilmesi)
BGYS politikası, kontroller, süreçler ve prosedürlerin gerçekleştirilip işletilmesi.

Kontrol Et (BGYS’nin izlenmesi ve gözden geçirilmesi)
BGYS politikası, amaçlar ve kullanım deneyimlerine göre proses performansının değerlendirilmesi ve uygulanabilen yerlerde ölçülmesi ve sonuçların gözden geçirilmek üzere yönetime rapor edilmesi.

Önlem al (BGYS’nin bakımı ve iyileştirilmesi)
BGYS’in sürekli gelişiminin sağlanması için içsel BGYS denetim ve sonuçlarına, yönetimin gözden geçirmesine ve konuyla ilgili diğer bilgilere göre düzeltici ve koruyucu önlemlerin alınması.

kaynak:www.educore.com.tr