Herkesin bir yerlerden duyduğu ISO 27001 Bilgi Güvenliği Yönetim Sistemi hakkında bilgi aktaracağım bu serinin başında, ISO, standartları, ISO 27001’ye göre bilgi ve bilgi güvenliği hakkında kısa kısa bilgiler vermek istiyorum.
International Organization for Standardization (IOS, Uluslararası Standartlar Örgütü) bütün teknik ve teknik dışı konularda uluslararası standartlar geliştiren ve yayınlayan dünyanın en büyük kuruluşudur. Teşkilatın merkezi Cenevre, İsviçre’de olup 1947 yılında kurulmuştur.
Şu anda 163 üye ülkeye sahip olan kuruluşa; Türkiye, Türk Standartları Enstitüsü (TSE) ile üye ülkeler arasındadır.
Dikkat ettiyseniz International Organization for Standardization kısaltılmışı aslında IOS’dur. Peki ISO nereden geliyor? Teşkilatın İngilizcedeki adı International Organization for Standardization (IOS), Fransızcadaki adı Organisation Internationale de Normalisation (OIN)’dir. Farklı dillerde farklı kısaltmalar kullanılmasının önüne geçmek ve buna da bir standart getirmek için teşkilat, Yunanca “eşit” anlamına gelen “isos” kelimesinden “ISO” kısaltmasını türetmiştir. Hangi ülke hangi dili kullanırsa kullansın bu kısaltmayı kullanmaktadır.
Peki standart nedir ve faydaları nelerdir?
Basit anlamda standart, birşeyler yapmak için üzerinde anlaşılmış ve tekrarlanabilir yoldur. Standart, teknik spesifikasyonlar içeren ya da kesin kriterler ile tasarlanmış tutarlı kurallar, kılavuzluk bilgileri veya tanımlamalar içeren basılı bir dokümandır. Standartlar kullandığımız birçok eşyanın ya da hizmetin etkinliğini ve güvenilirliğini artırmak ve hayatı kolaylaştırmak için hazırlanırlar. Genel uygulamaları değil, üzerinde anlaşılmış en iyi uygulamaları tarifler.
Standartlar gönüllü kullanım için tasarlanırlar, herhangi bir yasal düzenleme tarafından dayatılmazlar. Ancak bazı durumlarda yasalar, uygunluğun sağlanabilmesi için standartları referans olarak gösterebilir ve zorunlu tutabilir. Örneğin kredi kartlarının fiziksel özellikleri ve boyutları ile ilgili standart olan BS EN ISO/IEC 7810:1996. Kredi kartlarının bütün dünyadaki bütün ilgili makinelerde kullanılabilmesi için bu standart zorunlu kılınmıştır.
Her standart kollektif bir çalışmanın ürünüdür. Üretici komiteleri, kullanıcılar, araştırma kurumları, hükümet departmanları, tüketiciler bir araya gelerek teknolojinin ve sosyal hayatın ihtiyaçlarına en iyi cevabı verebilecek uygulamaları bir araya getirirler ve bir taslak oluştururlar.
Standartlar her büyüklükteki kuruluş için yenilikçiliği destekleyen ve verimliliği artıran en güçlü araçlardır. Standartlara uyumlu çalışma rekabet gücünü, karlılığı artırır, yeni pazarlara girmenizi sağlar. Standartlar bir kuruluşun:
ü Müşteri güvenini sağlamasına
ü Pazardaki liderliğini göstermesine
ü Rekabetçi avantajlar sağlamasına
ü En iyi uygulamaları geliştirmesine ve sürdürmesine yardım eder.
ISO’nun Yayınladığı ve Sıklıkla Görebileceğiniz Standartlardan Bazıları
ISO 27001 Bilgi Güvenliği Yönetim Sistemi
ISO 20000 Bt Hizmet Yönetimi
ISO 9001 Kalite Yönetim Sistemi
ISO 14001 Çevre Yönetimi
ISO 22000 Gıda Güvenliği Yönetimi
ISO 50001 Enerji Yönetimi
Standart İsimlerinin Açıklaması
Standartlara ait bazı logolar ve isimler göreceksiniz. Bunları kısaca açıklamak gerekirse:
K-Q TS ISO EN 9001:2008
K-Q: ISO 9001 Kalite Yönetimi olduğu için K, türkçe Kalitenin baş harfi, Q ise ingilizce Quality’nin baş harfidir. Bu kısaltma genelde ülke ülke değişebileceği gibi her standart içinde farklıdır. Mesela ISO 22000 Gıda Güvenliği Yönetimindeyse G-F yani Gıda (G) – Food (F)’dur.
TS: Türk Standardı
ISO: Uluslar arası Standart Enstitüsü.
EN: Avrupa Normu
9001: Standart Numarası
2008: Revizyon Yılı
ISO, standartları belirli aralıklar ile gözden geçirmekte ve uygulayıcıların görüşleri ve ihtiyaçları doğrultusunda gerekli revizyonları yaparak yeniden yayınlamaktadır.
TS ISO/IEC 27001:2005’de gördüğünüz gibi ISO gibi bir kurum olan International Electrotechnical Commission (IEC), Uluslararası Elektroteknik Komisyonu’da bu standart’a katkı sağlıyor ve kabul ediyor.
TS ISO/IEC 27001:2005’ye göre Bilgi;
“Bilgi, bir kurumun en önemli değerlerinden birisidir ve sürekli korunması gerekir.” ISO 27001
Günümüz koşullarına baktığımızda bilginin önemi ve korunma gereksinimi her geçen gün daha da artmaktadır. Gelişen ve değişen çalışma ortamları, bilginin biçimini değiştirdiği gibi bilginin çeşitli zayıflıklardan ve tehditlerden etkilenmesi olasılığını da artırmıştır.
Bilgi saklanma biçimlerine göre aşağıdaki gibi sınıflandırılabilir.
Ø Yazılı (sözleşmeler, faturalar vb) tüm belgelerde
Ø Elektronik ortamlarda (sunucularda, ortak alanlarda, bilgisayarlarda, usb belleklerde vb)
Ø Sözle (telefon konuşmalarında vb.), e-posta ve ya posta olarak taşınabilir ortamlarda
Ø Çalışanların hafızalarında (şifreler, ticari bilgiler vb)
Hızla değişen teknolojiyle bu biçimlerden bazıları sonlanabileceği gibi yenileri de eklenebilir. İşte bu değişim ve gelişimden dolayı sürekli olarak bilginin güvenliğinin tekrar ve tekrar sorgulanması ve kontrol edilmesi gerekmektedir.
TS ISO/IEC 27001:2005’ye göre Bilgi Güvenliği;
“Bilginin gizliliği, bütünlüğü ve kullanılabilirliğinin korunması. Ek olarak, doğruluk, açıklanabilirlik, inkâr edememe ve güvenilirlik gibi diğer özeklileri de kapsar.” olarak tanımlanmaktadır.
Yukarıdaki cümleye ekleme yapabileceğimiz aşikârdır ama bilginin güvenliğinden bahsederken temelde üç unsurdan bahsetmemiz gereklidir. Bunlar;
Kullanılabilirlik, yetkili bir kişi, varlık veya prosesin bilgiyi talep ettiğinde bilginin erişilebilir ve kullanılabilir olma özelliğidir. Sorun veya problem olması durumu da dâhil olmak üzere bilgi her durumda yetkilisi tarafından erişilebilir ve kullanılabilir olmalıdır.
Gizlilik, bilginin yetkisiz kişiler, varlıklar ya da proseslere kullanılabilir olmaması ya da açıklanmamasını gerektirir. Bilginin aynı anda hem kullanılabilirliğinin olması hem de gizliliğinin sağlanması çok hassas bir konudur ve çok dikkat edilmelidir.
Bütünlük, kullanılabilirliği ve gizliliği sağlanmış bilginin kasıtlı veya kasıtsız olarak içeriğinin değiştirilmemiş olmasını ifade eder. Depolandığı yerde ve aktarılırken doğru ve tam olduğunun yani doğru şekilde işlendiğinin ve yetkisiz bir şekilde değiştirilmediğinden garantilenmesi gerekir.
Kaynaklar: