“Bilgi, bir kurumun en önemli değerlerinden birisidir ve sürekli korunması gerekir.” TS ISO/IEC 27001
Küreselleşen dünya ve gelişen teknoloji ile birlikte ticari ve devlet kurumlarının varlıklarına bakışında önemli değişiklikler olmuştur. Son 20 yılda kurumların çoğu en değerli varlıklarını “BİLGİ” olarak tanımlamaktadır.
Kurumsal bilgi, rekabet avantajının sağlanabilmesi, marka itibarının iyileştirilmesi ve korunması için kritik bir öneme sahiptir. Bu yüzden kurumlar, kurumsal bilgilerini rakiplerine ve illegal yolla bu bilgilere erişmek veya zarar vermek isteyen kişilere, kurumlara hatta devletlere karşı koruma ihtiyacı duymaktadırlar.
Zaman içerisinde kurumlar, bilgilerini korumanın yanında iş sürekliliğinin sağlanması için kurumsal bilginin sürekli erişilebilir olması gerektiğini de kavramışlardır. Kurumsal bilginin korunması ve erişilebilirliğinin sağlanması gibi spesifik konuların basit yöntemlerle gerçekleştirilemeyeceği acı tecrübelerle anlaşılmıştır. Yaşanan olaylar ve elde edilen tecrübelerle kurumsal bilginin korunması için güvenliğin bir sistem olarak ele alınması gerektiği görülmüş ve bu çerçevede çeşitli standartlar geliştirilmiştir. Günümüzde kurumların bilgi güvenliğini sağlamak için yaygın olarak kullandığı standartlar TS ISO/IEC 27002 Bilgi Güvenliği Yönetim Sistemi için Uygulama Prensipleri standardı ve TS ISO/IEC 27002’nin denetimi için kullanılan TS ISO/IEC 27001 Gereksinimler standardıdır.
‘Güvenlik bir ürün değil, bir süreçtir.’ Bruce SCHNEIR
TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS) [Information Security Management System (ISMS)], bilgi güvenliğini ve yaşayan bir süreç olarak bilgi güvenliğinin nasıl yönetileceğini tanımlar. Kesinlikle bir yönetim sürecidir, teknik bir süreç değildir.
Bu makale serimizde bir kuruma TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS) kurması, sürdürülmesi, gözden geçirilmesi ve iyileştirmesi için atılması gereken adımların üzerinden geçilecek ve TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS) sertifikası alım sürecindeki aşamalar aktarılacaktır.
BÖLÜM 1. GİRİŞ
TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sisteminin başarı ile kurulması, sürdürülmesi, gözden geçirmesi ve sürekli iyileştirilebilmesi için kurumdaki üst yönetimin bilgi güvenliği konusunu önemsediklerini ve bu süreci desteklediklerini kurum personeline göstermeleri adına, atılacak adımlarda maddi, manevi destek vermeleri hayati öneme sahiptir. Üst yönetim tarafından benimsenmemiş ve desteklenmemiş BGYS süreci, kurum personeli tarafından da ciddiye alınmayacak ve başarısızlıkla sonuçlanacaktır. Bu sebeple üst yönetimin desteği mutlak suretle sağlanmalıdır.
“Bilgi güvenliği, bilginin gizliliği, bütünlüğü ve kullanılabilirliğinin korunmasıdır. “ TS ISO/IEC 27001
Şekil 1‑1 Bilgi Güvenliği Bileşenleri
Bilgi güvenliği yönetim sistemi kurmak isteyen bir kurumda bilgi güvenliği denildiğinde bilginin gizliliğinin, bütünlüğünün ve kullanılabilirliğinin sağlanması gerektiğinin anlaşılması gerekir. Bilginin aynı anda hem kullanılabilirliğinin hem gizliliğinin hem de bütünlüğünün sağlanması çok hassas bir konudur ve çok dikkat edilmelidir.
Kullanılabilirlik
“Yetkili bir varlık tarafından talep edildiğinde erişilebilir ve kullanılabilir olma özelliğidir.” TS ISO/IEC 27001
Bilgiye yetkilisi tarafından kullanılabilir veya erişilebilir olmasıdır. Kurum içerisinden veya dışarısından kaynaklı hizmet kesintileri esnasında bile bilgiye erişimin sağlanması için gereken tedbirler alınmalıdır.
Gizlilik
“Bilginin yetkisiz kişiler, varlıklar ya da proseslere kullanılabilir yapılmama ya da açıklanmama özelliğidir.” TS ISO/IEC 27001
Bilginin gizliliği, bilginin yetkisi olmayan kişilerce veya uygulamalarca erişilebilir olmamasıdır. Gizlilik sadece kurum dışındaki kişiler için değil aynı zamanda yetkisiz kurum personeli içinde sağlanmalıdır.
Bütünlük
“Varlıkların doğruluğunu ve tamlığını koruma özelliğidir.” TS ISO/IEC 27001
Bilginin, depolandığı yerde veya bir yerden başka bir yere aktarılırken değiştirilmeden aktarıldığının veya işlendiğinin garantilenmesi ve kontrol edilmesi gerekir. Yetkisi olmayan bir kişi veya uygulamanın mevcut bilgiyi değiştirmesi veya zarar vermesi birçok soruna neden olabilir.
Zaman içerisinde bilgi güvenliğinin bir süreç olarak ele alınmasının sebebi bilgiyi korurken hem gizliliğinin hem kullanılabilirliğinin hem de bütünlüğünün sağlanmasının zorluğuyla farklı farklı önlemler alınması gerektiğinin anlaşılmasından kaynaklanmaktadır.
Bilgi güvenliği önlemleri BGYS’de yönetsel, teknolojik ve eğitim ve farkındalık yaratma önlemleri olarak üçe ayrılır.
Şekil 1‑2 Bilgi Güvenliği Önlemleri
Yönetsel Önlemler: Politikaların, prosedürlerin, standartların ve süreçlerin belirlenmesi, dokümante edilmesi ve üst yönetim tarafından onaylanmasını içerir.
Teknolojik Önlemler: Teknik olarak alınması gereken (virüs koruması, parola koruması, güvenlik duvarı vb.) önlemlerin gerçekleştirilmesini içerir.
Eğitim ve Farkındalık Yaratma: Kullanıcılara bilgi güvenliği özelinde gerekli eğitimlerin verilmesini ve süreç içerisinde farkındalık yaratma çalışmalarının yapılmasını içerir.
Bu önlemler tek tek ele alınmadıkça ve beraber yürütülmedikçe bilgi güvenliğinin sağlanması mümkün değildir. Ayrıca sanılanın aksine günümüzde Bilgi Güvenliği önlemlerinin yüksek bir yüzdesi Kullanıcı Eğitim ve Farkındalığı önlemlerini içerirken, düşük bir yüzdesi Teknik önlemleri içermektedir.
Kurumlar bünyelerinde TS ISO/EIC 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS) kurmak, sürdürmek, gözden geçirmek ve iyileştirmek için yukarıdaki önlemleri de alarak aşağıdaki adımları takip etmeli ve kendi kurumları için kaynak planlaması yaparak hedef süre sonunda TS ISO/EIC 27001 BGYS sertifikasını almayı amaç edinmelidirler.
Bilgi güvenliği yönetim sistemi kurulum aşamaları ve bu aşamalarda oluşturulması gereken dokümanların özet halini aşağıdaki şemada görüyoruz.
Şekil 1‑3 Bilgi Güvenliği Yönetim Sistemi Kuruluş Aşamaları
Bilgi Güvenliği Yönetim Sistemi yaşayan bir süreç olduğu için temelde bir proje değildir ancak yukarıdaki şemayı temel alarak hazırlanmış BGYS kurulum proje planı oluşturulabilir. Bu proje planı kurulum adımlarının ve hedef sürelerinin belirlenmesi ve kaynak yönetimi açısından kolaylık sağlayacaktır. Kurumların yapılarına, büyüklüklerine göre proje planındaki adımlar ve süreleri farklılık gösterebilir.
BÖLÜM 2. BGYS ÖNCESİ HAZIRLIK SÜRECİ
TS ISO/EIC 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS) kurulum sürecine başlamadan önce aşağıdaki adımların yapılması BGYS sürecinin sağlıklı olarak yönetilmesinde ve ilerlemesinde önem arz etmektedir.
2.1. BGYS Komitelerinin Oluşturulması
TS ISO/EIC 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS)’nin üst yönetim tarafından desteklendiğinin ve bu sürecin takipçisi olduğunun göstergesi olarak aşağıdaki iki komitenin kurulması ve ilgili sorumluların görev atamalarının yapılması tavsiye edilir. Komitelerin sayısı, yapısı ve görevleri kurumlara göre değişiklik gösterebilir.
Bu komitelere seçilecek personelin bilgi güvenliği konusunda tecrübeli veya bilgili olmasının yanında kendi bölümlerini temsil edebilme yetkisine de sahip olmaları önemlidir.
BGYS Yönetim Temsilcisi, üst yönetim tarafından atanır ve BGYS Bilgi Güvenliği Politikasındaki hedeflerin yerine getirilmesinden sorumludur. Bilgi Güvenliği Yürütme Komitesi’ne başkanlık eder.
BGYS Sorumlusu, BGYS Yönetim Temsilcisi tarafından atanır. BGYS yapısının kurulmasından, gerçekleştirilmesinden, işletilmesinden, izlenmesinden, sürdürülmesinden ve iyileştirilmesinden ve hassas varlıkların veya bilgilerin korunmasından ve yönetilmesinden sorumludur. BGYS Yönetim Temsilcisinin olmadığı zamanlarda Bilgi Güvenliği Yürütme Komitesi’ne vekâleten başkanlık eder.
BGYS Güvenlik Yöneticisi, BGYS Sorumlusu tarafından atanır. BGYS yapısının kurulması, gerçekleştirilmesi, işletilmesi, izlenmesi, sürdürülmesi ve iyileştirilmesiyle hassas varlıkların veya bilgilerin korunması ve yönetilmesi için gerekli tüm faaliyetlerin gerçekleştirilmesinden sorumludur.
Tüm Bölüm Yöneticileri, kendi iş sahalarına giren bölümlerde BGYS politikasının, prosedürlerinin ve standartlarının uygulanmasından sorumludurlar.
Kurum Personeli, BGYS Politikasına, el kitabına, prosedürlerine ve standartlarına sıkı sıkıya sadık kalmaktan sorumludur.
2.1.2. Bilgi Güvenliği Yönetim Komitesi (BGYÖK)
BGYS sürecinde karar ve onay aşamalarını gerçekleştirir. Gerekli işgücü ve bütçeyi sağlar.
Kurum Başkanı, Başkan Yardımcısı veya Yardımcıları ve BGYS Yönetim Temsilcisinden oluşmaktadır. Gerekli durumlarda BGYÖK tarafından BGYS Sorumlusu veya BGYÜK üyeleri de toplantıya davet edilebilir.
En az yılda bir kez BGYS iç denetim ve BGYS gözden geçirmesinin gerçekleştirilmesini sağlar ve sonuçlarını yönetim gözden geçirme toplantısında değerlendirir.
Yukarıda görevleri tanımlanan Bilgi Güvenliği Yönetim Komitesi (BGYÖK)’nin organizasyon yapısı aşağıdaki gibidir.
Şekil 2‑1 Bilgi Güvenliği Yönetim Komitesi Şeması
2.1.3. Bilgi Güvenliği Yürütme Komitesi (BGYÜK)
Kurumun itibarını ve olağan işleyişini olumsuz yönde etkileyebilecek olası riskleri belirler ve bunlara karşı alınması gereken önlemlerle ilgili olarak Bilgi Güvenliği Yönetim Komitesi (BGYÖK)’e seçenekler sunar. Politika ve prosedürleri oluşturur. BGYS’nin işlemesini sağlar.
BGYÜK, BGYS Yönetim Temsilcisi, BGYS Sorumlusu, BGYS Güvenlik Yöneticisi, Bilgi İşlem süreçlerine hakim iki teknik personel ve kurumsal iş süreçlerine hakim iki personelden oluşmaktadır. Gerekli görüldüğü takdirde üye sayısı artırılabilir. Gerekli hallerde uzman kurum personeli veya kurum dışındaki kişiler toplantıya davet edilebilir.
BGYS kurulum sürecinde en az iki haftada bir, BGYS kurulum sonrasında en az ayda bir kez toplanması tavsiye edilir.
Yukarıda görevleri tanımlanan Bilgi Güvenliği Yürütme Komitesi (BGYÜK)’nin organizasyon yapısı aşağıdaki gibidir.
Şekil 2‑2 Bilgi Güvenliği Yürütme Komitesi Şeması
2.2. BGYS Standartlarının Satın Alınması
Kurumda bulunmuyorsa komitelerin oluşturulmasından sonra komitelerin yol göstericisi, yönlendiricisi niteliğinde olan TS ISO/EIC 27001 ve TS ISO/EIC 27002 standartlarının temin edilmesi gerekir. Bu standartların İngilizcesi ve Türkçesi TSE’den temin edilebilir. Her iki standartta son olarak Aralık 2013 yılında yenilenmiştir.
Şekil 2‑3 Türk Standardı TS ISO/IEC 27001 Aralık 2013
Aşağıdaki adresten standartlar sorgulanabilir ve satın alınabilir.
https://intweb.tse.org.tr/Standard/Standard/StandardAra.aspx
2.3. BGYÖK ve BGYÜK Komitelerinin Eğitimleri ve Danışmanlık
BGYÖK ve BGYÜK komitelerinin üyeleri bilgi güvenliği konusunda yeterli bilgi seviyesine sahip değillerse veya bilgi tazeleme gerekliliği duyuluyorsa BGYS eğitimleri almaları sürecin hatasız olarak ilerlemesi açısından önemlidir. Bu eğitimler çeşitli kurumlardan alınabilir.
BGYS konusunda yeterli seviyede tecrübeye sahip olunmaması veya ek destek alınmasının yararlı olacağının düşünülmesi hallerinde ayrıca BGYS konusunda danışmanlık hizmeti veren kurumların bilgi ve tecrübelerinden de yararlanmak sürecin doğru bir yolda ilerlemesinde fayda sağlayacaktır.
BÖLÜM 3. BGYS KAPSAM VE POLİTİKA DOKÜMANLARININ OLUŞTURULMASI
BGYS’nin olmazsa olmaz dokümanlarının başında gelen ve tüm BGYS sürecini temelden etkileyen Kapsam dokümanının ve Bilgi Güvenliği Politikasının en başta dokümante edilerek üst yönetim tarafından onaylanması ve kurum personeline bildirilmesi gerekir.
3.1. BGYS Kapsam ve Sınırlarının Belirlenmesi
Üst yönetimin kurumda uygulanacak BGYS’ye bakışını yansıtacak şekilde BGYS’nin kapsamı ve sınırları detaylarıyla belirlenmeli, dokümante edilmeli ve yönetimin desteğinin alındığının göstergesi olarak üst yönetim tarafından onaylanarak kullanıcılara bildirilmelidir.
BGYS kapsamı, kurumun tümü veya bir bölümü için olabileceği gibi tek bir hizmet içinde belirlenebilir. Standartlarda kapsam için herhangi bir zorlayıcı ve yönlendirici madde bulunmamakla birlikte TS ISO/EIC 27001’de kapsamın dışında bırakılan bölümlerin veya hizmetlerin kapsam dışında bırakılma sebeplerinin açıklanabilir olması istenmektedir.
Daha detaylı bilgi için UEKAE tarafından hazırlanan UEKAE BGYS-0002 BGYS Kapsami Belirleme Kılavuzu’na bakabilirsiniz.
3.2. Bilgi Güvenliği Politikasının Yazılması
Bilgi Güvenliği Politikası, üst yönetimin kurum içerisinde kurmak istediği Bilgi Güvenliği Yönetim Sisteminin genel hatlarını çizen, personele ve diğer kişilere karşı yönetimin desteğini ortaya koyan bir dokümandır.
Şekil 3‑1 BGYS Dokümantasyon Yapısı
Diğer dokümanlar Bilgi Güvenliği Politikasının açıklayıcısı niteliğindedir.
Sade ve açıklayıcı bir dille yazılan Bilgi Güvenliği Politika dokümanında genel olarak;
Ø Bilgi güvenliğiyle ilgili tüm yasal mevzuata ve sözleşmelere uyum sağlama,
Ø Bilgi güvenliği yönetim sistemi kurma, uygulama ve sürekli iyileştirme,
Ø Bilgi varlıklarının gizliliğini, bütünlüğünü ve kullanılabilirliğini sağlama,
Ø Bilginin ve bilgi varlıklarının korunması amacıyla, belirli zaman aralıklarında riskleri belirleme ve gereken aksiyonları alarak riskleri ortadan kaldırma veya kabul edilebilir seviyede tutma,
Ø Bilgi güvenliği ihlal olaylarını yönetme,
Ø Bilgi güvenliği farkındalığını artırmak için gereken eğitimleri ve faaliyetleri gerçekleştirme gibi konulara değinilir.
Daha detaylı bilgi için UEKAE tarafından hazırlanan UEKAE BGYS-0005 Bilgi Güvenliği Politikası Oluşturma Kılavuzu’na bakabilirsiniz.
Makale serimizin bu bölümün sonuna gelmiş bulunuyoruz.
Bir sonraki makalemizde görüşmek üzere.