Anasayfa > Güvenlik, Kalite > TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi BGYS Kurulması ve Sertifikasyon Süreçleri- Bölüm 2

TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi BGYS Kurulması ve Sertifikasyon Süreçleri- Bölüm 2

Merhaba bir önceki yazıda bahsettiğim  Bilgi Güvenliği Yönetim Sistemi (BGYS) hakkındaki makalenin II. bölümü ile karşı karşıyayız.  Bilgi Güvenliği Yönetim Sistemi (BGYS) ile ilgili temel bazı bilgileri TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi BGYS Kurulması ve Sertifikasyon Süreçleri-Bölüm 1 isimli makalede değinmiştim. Şimdi sıra diğer bölümlerin açıklanmasında.

BGYS BİLGİ VARLIK ENVANTERİ ve BİLGİ VARLIK SINIFLANDIRMASI

 5.1.     Bilgi Varlıkları Envanterinin Oluşturulması

aqasq

Şekil 5‑1 Bilgi Varlıkları Envanteri

Kurumda Bilgi Güvenliği Yönetim Sistemi kurulmaya başladığında birçok soru kafa karışıklığına yol açmaya başlar. Bu kafa karışıklığını ortadan kaldırmak için ilk yapmamız gereken kurumun Bilgi Varlıkları Envanterini oluşturmaktır. Bilgi Varlıkları Envanterinin taslağı ilk aşamada zimmet listesi veya hali hazırda bulundurulan bir envanter listesi olabilir. Envanterde varlık sahipliği, bulunduğu yer, varlığın kategorisi (bilgi, yazılım, servis vb.), varlığın değeri gibi detayların olması ilerleyen çalışmalar için faydalıdır.

Bilgi varlıklarının belirlenmesinde çeşitli bilgi toplama teknikleri kullanılabilir. Bunlardan bazıları anket, birebir görüşmeler, dokümantasyonun incelenmesi, otomatik tarama araçlarıdır.

Bilgi Varlıkları Envanterini güncel tutmak, varlık envanteri oluşturmaktan daha zordur. O yüzden BGYS süreci içerisinde “Varlık Yönetim Kılavuzu” oluşturularak varlığın sahipliği, sınıflandırılması, etiketlenmesi, işlenmesi, aktarılması, depolanması, silinmesi ve imhası prosedüre bağlanmalıdır.

Daha detaylı bilgi için UEKAE tarafından hazırlanan UEKAE BGYS-0003 Varlik Envanteri Olusturma Kilavuzu’na bakabilirsiniz.

5.2.     Bilgi Varlıklarının Sınıflandırılması

Kullanıcıların hangi varlığa nasıl davranması gerektiğini, kimlerin ne ölçüde erişebileceğini ve nasıl korunması gerektiğini kolaylıkla anlayabilmeleri için varlıklar sınıflandırılır. Varlık sınıflandırma yapısı oluşturulurken kullanıcılar tarafından rahatça anlaşılabilecek kadar basit ve sade bir yapı oluşturulması gereklidir.

Varlık sınıflandırılması ayrı bir prosedürde veya “Varlık Yönetim Kılavuzu”nda detaylandırılmalı ve üst yönetim onayı alınmalıdır.

Örnek olarak 4 gizlilik kategorili (Herkese Açık, Kuruma Özel, Hizmete Özel ve Gizli) bir yapı oluşturulabilir. Kategori sayısı kurumun ihtiyaçlarına göre artırılabilir veya azaltılabilir. Kategori sayısının fazla artırılması, kullanıcı bilincini düşürerek, kullanıcılar tarafından uygulanmasının zorlaşacağı unutulmamalıdır.

Daha detaylı bilgi için UEKAE tarafından hazırlanan UEKAE BGYS-0003 Varlik Envanteri Olusturma Kilavuzu’na bakabilirsiniz.

5.3.     Bilgi Varlıklarının Etiketlemesi ve İşlenmesi

Bilgi varlık sınıflandırması kategorileri belirlendikten sonra varlıklar etiketlenmesiyle ilgili olarak bir prosedür oluşturulmalı veya “Varlık Yönetim Kılavuzu”nda detaylandırılmalıdır. Bilgiyi işlemekle sorumlu tüm kullanıcılar ilgili prosedürü nasıl uygulayacakları hususunda eğitilmelidirler.

Günümüz şartlarında elektronik ortamlarda saklanan varlıkların etiketlenmesi daha da önem kazanmıştır. Elektronik etiketleme için hazırlanmış birçok uygulama bulunmaktadır. Bu uygulamaların kullanılmasıyla kullanıcı kaynaklı hataların önüne geçilebilir ve doğabilecek bilgi güvenliği ihlal olayları azaltılabilinir.

Daha detaylı bilgi için UEKAE tarafından hazırlanan UEKAE BGYS-0003 Varlik Envanteri Olusturma Kilavuzu’na bakabilirsiniz.

 BÖLÜM 6.           RİSK DEĞERLEME YAKLAŞIMI, RİSK ANALİZİ, RİSK İŞLEME, KONTROLLER VE ARTIK RİSKLER

6.1.     Risk Değerlendirme Yaklaşımı

Risk Değerlendirme Yaklaşımı, tüm riskleri yönetmek için risklerin belirlenmesi, analizi, derecelendirmesi ve işlenmesi süreçlerini bir standart çerçevesinde ele almamıza olanak sağlar. Bu yaklaşım olmaksızın yapılacak risk işlemeleri tekrarlanabilir sonuçlar oluşturmayacak ve tüm sürecin hatalı sonuçlar üretmesine sebep olacaktır.

Risk değerlendirme yaklaşımı, risk değerlendirme metodolojisi olarak da isimlendirilir. Bu yaklaşım yazılı bir doküman olarak yönetime onaylatılmalı ve tüm risk süreçlerinde kullanılmalıdır.

Daha detaylı bilgi için UEKAE tarafından hazırlanan UEKAE BGYS-0004 BGYS Risk Yönetim Süreci Kılavuzu’na bakabilirsiniz.

6.2.     Risk Analizi ve Derecelendirilmesi

Bilgi Varlıklarının Envanteri oluşturulduktan sonra her varlık için riskler analiz edilerek belirlenmelidir. Risklerin analizi, risklere sebep olabilecek açıklıklarının tespitiyle mümkündür.

Açıklıklar direk tehlike oluşturmazlar ancak bir tehdidin bir açıklığı kullanmasıysa az veya çok bilgi güvenliğinde sıkıntılar yaşanmasına sebep olabilirler. Bu açıklıklarının belirlenmesinde de anket, birebir görüşmeler, dokümantasyonun incelenmesi, otomatik tarama araçları gibi bilgi toplama teknikleri kullanılabilir.

Her açıklık kendi başına çeşitli tehditlere maruz kalabilir ve bu tehditlerin hepsinin aynı sonuçları doğurması muhtemel değildir. O yüzden açıklıklar derecelendirilirken bu açıklığın gerçekleşme olasılığı ve gerçekleşmesi sonucunda yaratacağı bilgi güvenliği ihlalinin kurum üzerindeki etkisi tespit edilmelidir.

Daha detaylı bilgi için UEKAE tarafından hazırlanan UEKAE BGYS-0004 BGYS Risk Yönetim Süreci Kılavuzu’na bakabilirsiniz.

6.3.     Risk İşleme

Risk işleme, risk analizi ve derecelendirmesinde belirlenen risklerin nasıl işleneceğine karar verilmesi ve riski azaltacak veya ortadan kaldıracak kontrollerin seçilerek uygulanması sürecidir.

Mevcuttaki risklerin tamamının ortadan kaldırılması olası olmadığı ve bazı riskleri ortadan kaldırma maliyeti, riskin gerçekleşmesinden sonra oluşturacağı maliyetten yüksek olduğu için farklı risk işleme yöntemleri kullanılabilir. Dört adet risk işleme yöntemi bulunmaktadır. Bunlar Riskin Kabulü, Riskten Kaçınma, Riskin Azaltılması ve Riskin Transferidir.

aw

Şekil 6‑1 Risk İşlem Yöntemleri

Riskin Kabulü: Riski mevcut haliyle kabul ederek olduğu gibi bırakmaktır.

Riskten Kaçınma: Riski doğurabilecek açıklıkların oluşmaması için açıklığa sebep olacak faaliyetin yapılmamasıdır.

Riskin Transferi: Riskin gerçekleşme ihtimaline karşı sigorta edilmesi veya riskin başkasına aktarılması veya devredilmesidir.

Riskin Azaltılması: Riskin seviyesinin azaltılması için uygun kontrollerin yapılması ve önlemlerin alınarak risk seviyesinin düşürülmesidir.

Daha detaylı bilgi için UEKAE tarafından hazırlanan UEKAE BGYS-0004 BGYS Risk Yönetim Süreci Kılavuzu’na bakabilirsiniz.

iso27001_en1

Şekil 6‑2 TS ISO/IEC 27001 Ek-A Kontroller

TS ISO/IEC 27001 EK-A’da bulunan kontroller her riskin her açıklığı için farklı farklı uygulanabilir. Kontrollerin amacı riski ortadan kaldırmak veya olma olasılığını veya etkisini azaltmaktır. Her kontrolün her riske uygulanması mümkün olmadığı için riskler için uygun kontroller seçilir.

Risklere uygulanacak kontroller, risklerin kuruma vereceği zarara göre en yüksekten en aza kadar doğru sıralanmalı ve öncelikle dirilmelidir. Buradaki zarar etki sonrası maliyet olarak ele alınabilir. Bu noktada dikkat edilmesi gereken konu sadece maddi zararın değil kurumun itibarında da yaşanılabilecek zedelenmenin maliyet olarak hesaplanmasıdır.

Uygun kontroller belirlendikten sonra bu kontrollerin hedeflerine ulaşıp ulaşmadığının kontrol edilmesi ve sonuçların değerlendirilmesi gerekir. Bazen seçilen kontroller uygulandıktan sonra beklenen sonuçları vermeyebilir veya yeni açıklıklar türetebilir. O yüzden belirli periyotlarda risklerin tekrardan ele alınması gerekir.

 

Daha detaylı bilgi için UEKAE tarafından hazırlanan UEKAE BGYS-0004 BGYS Risk Yönetim Süreci Kılavuzu’na bakabilirsiniz.

 

6.5.          Artık Risklerin Belirlenmesi ve Yönetim Onayının Alınması

Tüm risklerin ortadan kaldırılabilmesi mümkün olmadığı için kurumumuz için kabul edilebilir bir risk seviyesi belirlememiz gerekir. Belirlenen bu risk seviyesinin altındaki risklere “Artık Risk” denir.

Bir riskin seviyesi artık riskin altındaysa bu risk için aksiyon alınmayabilir. Artık risk seviyesinin üstündeki riskler için uygun kontroller belirlendikten ve uygulandıktan sonra risk seviyesi artık riskten yüksekse risk analizi ve risk işleme tekrar yapılarak uygun kontroller belirlenir. Risk seviyesi kontroller uygulandıktan sonra artık risk seviyesinin altındaysa ve risk kaldıysa kalan risk, artık risk olarak kabul edilebilir.

Artık riskler belirlendikten sonra dokümante edilerek yönetim onayı alınmalıdır.

 

Bir makalenin daha sonuna geldim. Umarım faydalı olmuştur. Başka bir makalede görüşmek dileği ile..

  1. Henüz yorum yapılmamış.
  1. No trackbacks yet.

Bir Cevap Yazın

Aşağıya bilgilerinizi girin veya oturum açmak için bir simgeye tıklayın:

WordPress.com Logosu

WordPress.com hesabınızı kullanarak yorum yapıyorsunuz. Log Out / Değiştir )

Twitter resmi

Twitter hesabınızı kullanarak yorum yapıyorsunuz. Log Out / Değiştir )

Facebook fotoğrafı

Facebook hesabınızı kullanarak yorum yapıyorsunuz. Log Out / Değiştir )

Google+ fotoğrafı

Google+ hesabınızı kullanarak yorum yapıyorsunuz. Log Out / Değiştir )

Connecting to %s

%d blogcu bunu beğendi: