Anasayfa > Güvenlik, Kalite > TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi BGYS Kurulması ve Sertifikasyon Süreçleri-Bölüm 1

TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi BGYS Kurulması ve Sertifikasyon Süreçleri-Bölüm 1

iso-27001-Bilgi-940x299

Merhaba bu makalede Bilgi Güvenliği Yönetim Sistemi(BGYS) bazı bilgileri paylaşmak istedim.

“Bilgi, bir kurumun en önemli değerlerinden birisidir ve sürekli korunması gerekir.” TS ISO/IEC 27001

Küreselleşen dünya ve gelişen teknoloji ile birlikte ticari ve devlet kurumlarının varlıklarına bakışında önemli değişiklikler olmuştur. Son 20 yılda kurumların çoğu en değerli varlıklarını “BİLGİ” olarak tanımlamaktadır.

 

Kurumsal bilgi, rekabet avantajının sağlanabilmesi, marka itibarının iyileştirilmesi ve korunması için kritik bir öneme sahiptir. Bu yüzden kurumlar, kurumsal bilgilerini rakiplerine ve illegal yolla bu bilgilere erişmek veya zarar vermek isteyen kişilere, kurumlara hatta devletlere karşı koruma ihtiyacı duymaktadırlar.

clip_image001_thumb

 

Zaman içerisinde kurumlar, bilgilerini korumanın yanında iş sürekliliğinin sağlanması için kurumsal bilginin sürekli erişilebilir olması gerektiğini de kavramışlardır. Kurumsal bilginin korunması ve erişilebilirliğinin sağlanması gibi spesifik konuların basit yöntemlerle gerçekleştirilemeyeceği acı tecrübelerle anlaşılmıştır. Yaşanan olaylar ve elde edilen tecrübelerle kurumsal bilginin korunması için güvenliğin bir sistem olarak ele alınması gerektiği görülmüş ve bu çerçevede çeşitli standartlar geliştirilmiştir. Günümüzde kurumların bilgi güvenliğini sağlamak için yaygın olarak kullandığı standartlar TS ISO/IEC 27002 Bilgi Güvenliği Yönetim Sistemi için Uygulama Prensipleri standardı ve TS ISO/IEC 27002’nin denetimi için kullanılan TS ISO/IEC 27001 Gereksinimler standardıdır.

 

‘Güvenlik bir ürün değil, bir süreçtir.’  Bruce SCHNEIR

 

TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS) [Information Security Management System (ISMS)], bilgi güvenliğini ve yaşayan bir süreç olarak bilgi güvenliğinin nasıl yönetileceğini tanımlar. Kesinlikle bir yönetim sürecidir, teknik bir süreç değildir.

 

Bu makale serimizde bir kuruma TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS) kurması, sürdürülmesi, gözden geçirilmesi ve iyileştirmesi için atılması gereken adımların üzerinden geçilecek ve TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS) sertifikası alım sürecindeki aşamalar aktarılacaktır.

 

BÖLÜM 1.

GİRİŞ

 

TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sisteminin başarı ile kurulması, sürdürülmesi, gözden geçirmesi ve sürekli iyileştirilebilmesi için kurumdaki üst yönetimin bilgi güvenliği konusunu önemsediklerini ve bu süreci desteklediklerini kurum personeline göstermeleri adına, atılacak adımlarda maddi, manevi destek vermeleri hayati öneme sahiptir. Üst yönetim tarafından benimsenmemiş ve desteklenmemiş BGYS süreci, kurum personeli tarafından da ciddiye alınmayacak ve başarısızlıkla sonuçlanacaktır. Bu sebeple üst yönetimin desteği mutlak suretle sağlanmalıdır.

 

“Bilgi güvenliği, bilginin gizliliği, bütünlüğü ve kullanılabilirliğinin korunmasıdır. “ TS ISO/IEC 27001

clip_image002_thumb

Şekil 1 Bilgi Güvenliği Bileşenleri

 

Bilgi güvenliği yönetim sistemi kurmak isteyen bir kurumda bilgi güvenliği denildiğinde bilginin gizliliğinin, bütünlüğünün ve kullanılabilirliğinin sağlanması gerektiğinin anlaşılması gerekir. Bilginin aynı anda hem kullanılabilirliğinin hem gizliliğinin hem de bütünlüğünün sağlanması çok hassas bir konudur ve çok dikkat edilmelidir.

 

Kullanılabilirlik

“Yetkili bir varlık tarafından talep edildiğinde erişilebilir ve kullanılabilir olma özelliğidir.” TS ISO/IEC 27001

 

Bilgiye yetkilisi tarafından kullanılabilir veya erişilebilir olmasıdır. Kurum içerisinden veya dışarısından kaynaklı hizmet kesintileri esnasında bile bilgiye erişimin sağlanması için gereken tedbirler alınmalıdır.

 

Gizlilik

“Bilginin yetkisiz kişiler, varlıklar ya da proseslere kullanılabilir yapılmama ya da açıklanmama özelliğidir.”TS ISO/IEC 27001

 

Bilginin gizliliği, bilginin yetkisi olmayan kişilerce veya uygulamalarca erişilebilir olmamasıdır. Gizlilik sadece kurum dışındaki kişiler için değil aynı zamanda yetkisiz kurum personeli içinde sağlanmalıdır.

 

Bütünlük

“Varlıkların doğruluğunu ve tamlığını koruma özelliğidir.” TS ISO/IEC 27001

 

Bilginin, depolandığı yerde veya bir yerden başka bir yere aktarılırken değiştirilmeden aktarıldığının veya işlendiğinin garantilenmesi ve kontrol edilmesi gerekir. Yetkisi olmayan bir kişi veya uygulamanın mevcut bilgiyi değiştirmesi veya zarar vermesi birçok soruna neden olabilir.

 

Zaman içerisinde bilgi güvenliğinin bir süreç olarak ele alınmasının sebebi bilgiyi korurken hem gizliliğinin hem kullanılabilirliğinin hem de bütünlüğünün sağlanmasının zorluğuyla farklı farklı önlemler alınması gerektiğinin anlaşılmasından kaynaklanmaktadır.

Bilgi güvenliği önlemleri BGYS’de yönetsel, teknolojik ve eğitim ve farkındalık yaratma önlemleri olarak üçe ayrılır.

1-Onsoz-Skl-2

Şekil 2 Bilgi Güvenliği Önlemleri

 

Yönetsel Önlemler: Politikaların, prosedürlerin, standartların ve süreçlerin belirlenmesi, dokümante edilmesi ve üst yönetim tarafından onaylanmasını içerir.

 

Teknolojik Önlemler: Teknik olarak alınması gereken (virüs koruması, parola koruması, güvenlik duvarı vb.) önlemlerin gerçekleştirilmesini içerir.

 

Eğitim ve Farkındalık Yaratma: Kullanıcılara bilgi güvenliği özelinde gerekli eğitimlerin verilmesini ve süreç içerisinde farkındalık yaratma çalışmalarının yapılmasını içerir.

 

Bu önlemler tek tek ele alınmadıkça ve beraber yürütülmedikçe bilgi güvenliğinin sağlanması mümkün değildir. Ayrıca sanılanın aksine günümüzde Bilgi Güvenliği önlemlerinin yüksek bir yüzdesi Kullanıcı Eğitim ve Farkındalığı önlemlerini içerirken, düşük bir yüzdesi Teknik önlemleri içermektedir.

 

Kurumlar bünyelerinde TS ISO/EIC 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS) kurmak, sürdürmek, gözden geçirmek ve iyileştirmek için yukarıdaki önlemleri de alarak aşağıdaki adımları takip etmeli ve kendi kurumları için kaynak planlaması yaparak hedef süre sonunda TS ISO/EIC 27001 BGYS sertifikasını almayı amaç edinmelidirler.

 

Bilgi güvenliği yönetim sistemi kurulum aşamaları ve bu aşamalarda oluşturulması gereken dokümanların özet halini aşağıda görüyoruz.

Bilgi Güvenliği Yönetim Sistemi yaşayan bir süreç olduğu için temelde bir proje değildir ancak yukarıdaki şemayı temel alarak hazırlanmış BGYS kurulum proje planı oluşturulabilir. Bu proje planı kurulum adımlarının ve hedef sürelerinin belirlenmesi ve kaynak yönetimi açısından kolaylık sağlayacaktır. Kurumların yapılarına, büyüklüklerine göre proje planındaki adımlar ve süreleri farklılık gösterebilir.

 

BÖLÜM 2.            BGYS ÖNCESİ HAZIRLIK SÜRECİ

 

TS ISO/EIC 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS) kurulum sürecine başlamadan önce aşağıdaki adımların yapılması BGYS sürecinin sağlıklı olarak yönetilmesinde ve ilerlemesinde önem arz etmektedir.

 

2.1.     BGYS Komitelerinin Oluşturulması

 

TS ISO/EIC 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS)’nin üst yönetim tarafından desteklendiğinin ve bu sürecin takipçisi olduğunun göstergesi olarak aşağıdaki iki komitenin kurulması ve ilgili sorumluların görev atamalarının yapılması tavsiye edilir. Komitelerin sayısı, yapısı ve görevleri kurumlara göre değişiklik gösterebilir.

 

Bu komitelere seçilecek personelin bilgi güvenliği konusunda tecrübeli veya bilgili olmasının yanında kendi bölümlerini temsil edebilme yetkisine de sahip olmaları önemlidir.

 

2.1.1. BGYS Görev Dağılımı

 

BGYS Yönetim Temsilcisi, üst yönetim tarafından atanır ve BGYS Bilgi Güvenliği Politikasındaki hedeflerin yerine getirilmesinden sorumludur. Bilgi Güvenliği Yürütme Komitesi’ne başkanlık eder.

 

BGYS Sorumlusu, BGYS Yönetim Temsilcisi tarafından atanır. BGYS yapısının kurulmasından, gerçekleştirilmesinden, işletilmesinden, izlenmesinden, sürdürülmesinden ve iyileştirilmesinden ve hassas varlıkların veya bilgilerin korunmasından ve yönetilmesinden sorumludur. BGYS Yönetim Temsilcisinin olmadığı zamanlarda Bilgi Güvenliği Yürütme Komitesi’ne vekâleten başkanlık eder.

 

BGYS Güvenlik Yöneticisi, BGYS Sorumlusu tarafından atanır. BGYS yapısının kurulması, gerçekleştirilmesi, işletilmesi, izlenmesi, sürdürülmesi ve iyileştirilmesiyle hassas varlıkların veya bilgilerin korunması ve yönetilmesi için gerekli tüm faaliyetlerin gerçekleştirilmesinden sorumludur.

 

Tüm Bölüm Yöneticileri, kendi iş sahalarına giren bölümlerde BGYS politikasının, prosedürlerinin ve standartlarının uygulanmasından sorumludurlar.

 

Kurum Personeli, BGYS Politikasına, el kitabına, prosedürlerine ve standartlarına sıkı sıkıya sadık kalmaktan sorumludur.

 

2.1.2. Bilgi Güvenliği Yönetim Komitesi (BGYÖK)

 

BGYS sürecinde karar ve onay aşamalarını gerçekleştirir. Gerekli işgücü ve bütçeyi sağlar.

 

Kurum Başkanı, Başkan Yardımcısı veya Yardımcıları ve BGYS Yönetim Temsilcisinden oluşmaktadır. Gerekli durumlarda BGYÖK tarafından BGYS Sorumlusu veya BGYÜK üyeleri de toplantıya davet edilebilir.

En az yılda bir kez BGYS iç denetim ve BGYS gözden geçirmesinin gerçekleştirilmesini sağlar ve sonuçlarını yönetim gözden geçirme toplantısında değerlendirir.

 

Yukarıda görevleri tanımlanan Bilgi Güvenliği Yönetim Komitesi (BGYÖK)’nin organizasyon yapısı aşağıdaki gibidir.

q

Şekil 2‑1 Bilgi Güvenliği Yönetim Komitesi Şeması

 

2.1.3. Bilgi Güvenliği Yürütme Komitesi (BGYÜK)

 

Kurumun itibarını ve olağan işleyişini olumsuz yönde etkileyebilecek olası riskleri belirler ve bunlara karşı alınması gereken önlemlerle ilgili olarak Bilgi Güvenliği Yönetim Komitesi (BGYÖK)’e seçenekler sunar. Politika ve prosedürleri oluşturur. BGYS’nin işlemesini sağlar.

 

BGYÜK, BGYS Yönetim Temsilcisi, BGYS Sorumlusu, BGYS Güvenlik Yöneticisi, Bilgi İşlem süreçlerine hakim iki teknik personel ve kurumsal iş süreçlerine hakim iki personelden oluşmaktadır. Gerekli görüldüğü takdirde üye sayısı artırılabilir. Gerekli hallerde uzman kurum personeli veya kurum dışındaki kişiler toplantıya davet edilebilir.

 

BGYS kurulum sürecinde en az iki haftada bir, BGYS kurulum sonrasında en az ayda bir kez toplanması tavsiye edilir.

 

Yukarıda görevleri tanımlanan Bilgi Güvenliği Yürütme Komitesi (BGYÜK)’nin organizasyon yapısı aşağıdaki gibidir.

q1

Şekil 2‑2 Bilgi Güvenliği Yürütme Komitesi Şeması

 

2.2.     BGYS Standartlarının Satın Alınması

Kurumda bulunmuyorsa komitelerin oluşturulmasından sonra komitelerin yol göstericisi, yönlendiricisi niteliğinde olan TS ISO/EIC 27001 ve TS ISO/EIC 27002 standartlarının temin edilmesi gerekir. Bu standartların İngilizcesi ve Türkçesi TSE’den temin edilebilir. Her iki standartta son olarak Aralık 2013 yılında yenilenmiştir.

th

BGYÖK ve BGYÜK Komitelerinin Eğitimleri ve Danışmanlık

 

BGYÖK ve BGYÜK komitelerinin üyeleri bilgi güvenliği konusunda yeterli bilgi seviyesine sahip değillerse veya bilgi tazeleme gerekliliği duyuluyorsa BGYS eğitimleri almaları sürecin hatasız olarak ilerlemesi açısından önemlidir. Bu eğitimler çeşitli kurumlardan alınabilir.

 

BGYS konusunda yeterli seviyede tecrübeye sahip olunmaması veya ek destek alınmasının yararlı olacağının düşünülmesi hallerinde ayrıca BGYS konusunda danışmanlık hizmeti veren kurumların bilgi ve tecrübelerinden de yararlanmak sürecin doğru bir yolda ilerlemesinde fayda sağlayacaktır.

qq

 

 

BÖLÜM 3.            BGYS KAPSAM VE POLİTİKA DOKÜMANLARININ OLUŞTURULMASI

 

BGYS’nin olmazsa olmaz dokümanlarının başında gelen ve tüm BGYS sürecini temelden etkileyen Kapsam dokümanının ve Bilgi Güvenliği Politikasının en başta dokümante edilerek üst yönetim tarafından onaylanması ve kurum personeline bildirilmesi gerekir.

 

3.1.     BGYS Kapsam ve Sınırlarının Belirlenmesi

 

Üst yönetimin kurumda uygulanacak BGYS’ye bakışını yansıtacak şekilde BGYS’nin kapsamı ve sınırları detaylarıyla belirlenmeli, dokümante edilmeli ve yönetimin desteğinin alındığının göstergesi olarak üst yönetim tarafından onaylanarak kullanıcılara bildirilmelidir.

 

BGYS kapsamı, kurumun tümü veya bir bölümü için olabileceği gibi tek bir hizmet içinde belirlenebilir. Standartlarda kapsam için herhangi bir zorlayıcı ve yönlendirici madde bulunmamakla birlikte TS ISO/EIC 27001’de kapsamın dışında bırakılan bölümlerin veya hizmetlerin kapsam dışında bırakılma sebeplerinin açıklanabilir olması istenmektedir.

 

Daha detaylı bilgi için UEKAE tarafından hazırlanan UEKAE BGYS-0002 BGYS Kapsami Belirleme Kılavuzu’na bakabilirsiniz.

 

3.2.     Bilgi Güvenliği Politikasının Yazılması

 

Bilgi Güvenliği Politikası, üst yönetimin kurum içerisinde kurmak istediği Bilgi Güvenliği Yönetim Sisteminin genel hatlarını çizen, personele ve diğer kişilere karşı yönetimin desteğini ortaya koyan bir dokümandır.

Diğer dokümanlar Bilgi Güvenliği Politikasının açıklayıcısı niteliğindedir.

Sade ve açıklayıcı bir dille yazılan Bilgi Güvenliği Politika dokümanında genel olarak;

 

Ø  Bilgi güvenliğiyle ilgili tüm yasal mevzuata ve sözleşmelere uyum sağlama,

Ø  Bilgi güvenliği yönetim sistemi kurma, uygulama ve sürekli iyileştirme,

Ø  Bilgi varlıklarının gizliliğini, bütünlüğünü ve kullanılabilirliğini sağlama,

Ø  Bilginin ve bilgi varlıklarının korunması amacıyla, belirli zaman aralıklarında riskleri belirleme ve gereken aksiyonları alarak riskleri ortadan kaldırma veya kabul edilebilir seviyede tutma,

Ø  Bilgi güvenliği ihlal olaylarını yönetme,

Ø  Bilgi güvenliği farkındalığını artırmak için gereken eğitimleri ve faaliyetleri gerçekleştirme gibi konulara değinilir.

BÖLÜM 4.           BGYS KULLANICI EĞİTİMLERİ VE FARKINDALIK ÇALIŞMALARI

 

Daha önce BGYS önlemlerinde bahsettiğimiz gibi günümüz şartlarında bilgi güvenliği önlemlerinin yüksek bir yüzdesi Kullanıcı Eğitim ve Farkındalığı önlemlerini içerirken, düşük bir yüzdesi teknik önlemleri içermektedir. Yapılan araştırmaların sonucunda da görülmüştür ki bilgi güvenliği risklerini gidermede insan faktörünü göz ardı ederek oluşturulacak sistemsel veya tekniksel güvenlik önlemleri çok etkili ve yararlı olmayacaktır. Bu yüzden kullanıcıların bilgi güvenliği bilincini yükseltmeden yapılacak tüm teknik önlemlerde zafiyetler bulunacaktır. Kullanıcı bilincini yükseltmek için eğitimler verilmeli ve farkındalık çalışmaları aksatılmadan yapılmalıdır.

4.1.     Bilgi Güvenliği El Kitabının Hazırlanması

 

Kullanıcılar için bilgi güvenliği rehberi sayılabilecek Bilgi Güvenliği El Kitabı yazımı en zor olan dokümandır. Anlatımı herkes tarafından anlaşılabilecek kadar sade, teknik terimlerden uzak, kurum gerçekleriyle uyumlu, kurum içerisinde uygulanabilecek, bilgi güvenliğini maksimum seviyede tutmayı hedefleyerek, olabildiğince kısa olarak yazılmalıdır.

Bilgi Güvenliği El Kitabında, Bilgi Güvenliği Politikası, Bilgi Varlıklarının Yönetimi, Kabul Edilebilir Kullanım Kuralları, Bilgi Güvenliği İhlal Olayları Yönetimi vb. gibi bölümlerde kullanıcılara bilgi güvenliği konularında dikkat etmeleri gereken noktalar aktarılır.

Bilgi Güvenliği El Kitabı yazıldıktan ve üst yönetimin onayından sonra kurum personelinin ulaşabileceği bir yerde (ortak alan, intranet vb.) yayınlanarak duyurusu yapılır. Duyurusu yapıldıktan sonra kullanıcıların el kitabındakileri uygulayıp uygulamadıkları kontrol edilir.

 

4.2.     Bilgi Güvenliği Sözleşmesi

 

Kurumda işe başlayacak olan kişilere hem yasal olarak bilgi güvenliği konularının bildirilmesi hem de kurumun bilgi güvenliği hassasiyetinin gösterilmesi adına Bilgi Güvenliği Sözleşmesi hazırlanarak ilk eğitim ve farkındalık çalışması olarak okutulmalı ve imzalatılarak belgelendirilmelidir.

Kurumda Bilgi Güvenliği Sözleşmesi hazırlanmadan önce işe başlamış olan personele ayrıca bu sözleşme okutularak imzalatılmalı ve BGYS sürecine dahil edilmeleri sağlanmalıdır.

4.3.     Oryantasyon Eğitimleri

 

Bilgi güvenliği kapsamı, politikası ve el kitabı belirlendikten sonra mevcut kullanıcılara ve yeni personelin oryantasyon eğitimlerinin içerisinde bilgi güvenliği eğitimleri verilir.

Bilgi güvenliği oryantasyon eğitiminde bilgi güvenliği kavramları, bilginin nitelikleri, bilgilerin tutulduğu ortamlar, yasal düzenlemeler, kurum bilgi güvenliği politikası ve prosedürleri, bilgi güvenliğine ilişkin güncel tehditler ve saldırılar, sosyal mühendislik, temiz ekran temiz masa kuralları, fiziksel güvenlik, parola güvenliği ve kullanıcının sorumlulukları gibi konular ele alınmalı, örneklerle zenginleştirilerek kullanıcılara sunulmalıdır.

Bazı durumlarda bilgi güvenliği oryantasyon eğitimleri verilirken kullanıcının teknik bir personel olması veya üst düzey yönetici olması eğitimin içeriğinde değişiklik yapılmasını gerektirebilir.

Bilgi güvenliği eğitimlerinin daha faydalı ve verimli geçmesi için BGYS güvenlik yöneticisinin veya uzmanının bu eğitimleri vermesi tavsiye edilir.

Oryantasyon eğitimleri verildikten sonra eğitimlerin sonuçlarının değerlendirilmesi ve sonuçlara göre eğitim içeriğinde güncellemeler yapılarak daha verimli hale getirilmesi önemlidir.

4.4.     Kurum İçi Farkındalık Çalışmaları

Kullanıcıya kurumda çalıştığı süre içerisinde bilgi güvenliği farkındalığı çalışmaları yapılarak bilgi güvenliği konusunda edindiği bilgilerin taze tutulması kullanıcı zafiyeti oluşmasını önleyecektir. Bazen panolar aracılığıyla, bilgi güvenliği politikasındaki veya el kitabındaki önemli maddelerin hatırlatılması yoluyla, bazen de bilgisayar açılış ekranlarına getirilen uyarı yazılarıyla çeşitli farkındalık çalışmaları yapılabilmektedir.

Farkındalık çalışmalarında unutulmaması gereken önemli bir konu duyurular yoluyla güncel bilgi güvenliği tehlikeleri hakkında kullanıcıların bilgilendirilmesidir.

Daha detaylı bilgi için UEKAE tarafından hazırlanan UEKAE BGYS-0008 Bilgi Güvenliği Bilinçlendirme Süreci Oluşturma Kılavuzu’na bakabilirsiniz.

 

  1. Henüz yorum yapılmamış.
  1. No trackbacks yet.

Bir Cevap Yazın

Aşağıya bilgilerinizi girin veya oturum açmak için bir simgeye tıklayın:

WordPress.com Logosu

WordPress.com hesabınızı kullanarak yorum yapıyorsunuz. Log Out / Değiştir )

Twitter resmi

Twitter hesabınızı kullanarak yorum yapıyorsunuz. Log Out / Değiştir )

Facebook fotoğrafı

Facebook hesabınızı kullanarak yorum yapıyorsunuz. Log Out / Değiştir )

Google+ fotoğrafı

Google+ hesabınızı kullanarak yorum yapıyorsunuz. Log Out / Değiştir )

Connecting to %s

%d blogcu bunu beğendi: