Gelişen teknolojiler sonucunda bilgiye erişimin giderek kolaylaşmasıyla birlikte, bilginin güvenliğinin sağlanması daha zorlaşmıştır. Artan risklere yönelik, daha ciddi ve daha çeşitli önlemlerin alınması gereklilik haline gelmiştir. Teknik imkânlarla gerçekleştirilen bilgi güvenliği sınırlıdır. Bu sebeple personeli, politikaları, süreçleri, prosedürleri de kapsayan sistematik bir süreç yaklaşımı benimsenmelidir.
Kurumlar, birlikte iş yaptıkları taraflara karşı kendi üstlerine düşen sorumlulukları yerine getirerek, ortak asgari düzeyde bir bilgi güvenliğini sağladıklarını ispat etmek ihtiyacı duymaktadırlar. Bu ihtiyaç doğrultusunda ve yasal zorunluluklar çerçevesinde sistematik yaklaşımlar ve çeşitli standartlar oluşturulmuştur.
Bilgi Güvenliği Yönetim Sistemi (BGYS); bilgi güvenliği kurmak, gerçekleştirmek, işletmek, izlemek, gözden geçirmek, sürdürmek ve geliştirmek için, iş riski yaklaşımına dayalı tüm yönetim sisteminin bir parçasıdır.
Bilgi güvenliğinin 3 temel bileşeni bulunmaktadır:
Gizlilik: Bilginin sadece yetkili kişiler ve sistemler tarafından erişilebiliyor olmasıdır.
Bütünlük: Bilginin sadece yetkili kişiler ve sistemler tarafından değiştirilebiliyor olmasıdır.
Erişilebilirlik: Kullanıcıların bilgiye istedikleri ve yetkili oldukları herhangi bir zamanda erişebiliyor olmalarının garanti edilmesidir.
Bilgi Güvenliği Yönetim Sistemi ise bilgi güvenliğini sağlamak adına yapılan çalışmaları, tüm süreçleri ve alınan önlemleri kapsayan bir çerçeve olarak kabul edilebilinir.
BGYS bir süreç yaklaşımıdır ve PUKÖ modelini kullanmaktadır. Bu model, Planla, Uygula, Kontrol Et ve Önlem Al adımlarından oluşan bir döngüdür. (Resim 1)
Resim 1. PUKÖ Modeli
ISO/IEC 27001 ve ISO/IEC 27002 standartları, Bilgi Güvenliği Yönetim Sistemi konusunda en temel başvuru kaynaklarıdır. Bu iki standart da doğrudan bilgi güvenliği konusunu ele alırlar.
ISO/IEC 27001 Bilgi Güvenliği Yönetimi Sistemi (BGYS) gereksinimlerini tanımlayan tek uluslararası denetlenebilir standarttır. Bu standart, bir Bilgi Güvenliği Yönetim Sistemi’ni (BGYS); kurmak, gerçekleştirmek, işletmek, izlemek, gözden geçirmek, sürdürmek ve iyileştirmek için bir model oluşturmak ve gereksinimleri belirtmek amacıyla hazırlanmıştır.
Akredite bir kurum tarafından ISO 27001 sertifikası ile belgelendirilen kurumlar, bilgi güvenliğini dikkate aldığını, sahip olduğu bilgi varlıklarının farkındalığını, etkili bir risk yönetimi uyguladığını göstermiş olur. Bu belge sayesinde rakiplerine göre güven avantajı sağlar.
ISO/IEC 27002 ise; bir BGYS’yi kurmak için gerekli önlemler havuzudur. Bu standart, Bilgi Güvenliği Yönetimi Sistemi (BGYS) oluşturmak için gereken 11 ana başlık altında yapılandırılmış, 133 adet güvenlik kontrolünü tanımlayan bir uygulama kılavuzudur.
ISO/IEC 27001, ISO/IEC 27002’de ayrıntılı olarak verilen tüm bu kontrollerin bir özetini ek olarak sunar.
Resim 2: Ana Kontrol Alanları
Ana Kontrol Alanları:
Güvenlik politikası:
Bilgi güvenliği konusunda yönetimin bakış açısını, onayını ve desteğini iletmek amacıyla, bir bilgi güvenliği politika dokümanı oluşturulmalı ve bu doküman yöneticiler tarafından onaylandıktan sonra yayınlanmalıdır.
Daha önce bahsettiğimiz gibi, bilgi güvenliği süreklilik gerektiren bir süreçtir. Aynı şekilde bilgi güvenliği politikalarının da sürekli uygunluğunu ve etkinliğini sağlamak için, dokümanlar düzenli aralıklarla veya önemli değişiklikler olduğu durumlarda tekrar gözden geçirilmelidir.
Bilgi güvenliği organizasyonu:
Bilgi güvenliği organizasyonel altyapısının oluşturulması ve gerekli rollerin, sorumlulukların tanımlanması, iş süreçlerinin belirlenmesi gereklidir.
Varlık yönetimi
Kurum için kritik önem taşıyan her türlü bilgi varlıkları belirlenmeli ve değerleri, kiritiklik seviyeleri ve yasal gereksinimlerine göre sınıflandırılmalıdır. Varlıkların sahiplikleri ve sorumlulukları kurum içindeki belirli kişilere veya bölümlere verilmelidir.
Bir varlık envanter dokümanı oluşturulmalıdır ve güncel tutulmalıdır.
Personel güvenliği
Kurumun bilgi güvenliği politikasına uygun olacak şekilde, çalışanların güvenlik rolleri ve sorumlulukları tanımlanmalıdır.
Personel işe alımlarında gerekli kontroller yapılmalı ve ihtiyaç duyulduğu durumlarda gizlilik anlaşmaları imzalanmalıdır.
Kullanıcıların güvenlik bilincini ve farkındalığını arttırmak amacıyla düzenli aralıklarla kurumiçi eğitimler düzenlenmelidir.
Fiziksel ve çevresel güvenlik
Kart kontrollü giriş kapıları, görevli bulunan resepsiyon masaları gibi çok çeşitli fiziksel ve çevresel güvenlik önlemleri ile bilgiye erişimin sağlanabileceği ortamlara, kontrolsüz fiziksel erişim engellenmelidir.
Bina içlerindeki güvenlik seviyeleri farklı olan alanlar, fiziksel olarak birbirinden izole hale getirilmelidir. Hassas alanlara erişimler kayıt altına altına alınmalı ve bu kayıtlar düzenli olarak kontrol edilmelidir.
İletişim ve işletme yönetimi
Bu kapsamda, işletim prosedürleri dokümante edilmeli, güncel tutulmalı ve ihtiyacı olan çalışanların kullanımına sunulmalıdır.
Geliştirme, test ve operasyon ortamları birbirinden ayrılmış olmalı ve etkili bir değişim yönetim sistemi uygulanıyor olmalıdır.
Sistemlerin, yazılımların, verilerin yedeklerinin düzenli olarak alınıyor ve test ediliyor olması gereklidir.
Ayrıca çalışanlar için görev ayrılığı prensibi uygulanmalıdır. Hiçbir kullanıcı bir süreci başından sonuna kadar tek başına yürütebiliyor olmamalıdır. Örneğin, bir erişim yetkisine ihtiyaç duyulduğunda, aynı kişinin hem o erişim talebine onay verip, hem de erişim tanımını yapması uygun değildir.
Erişim denetimi
Her kurum, kendi yapısında bir erişim yönetim ve denetim sistemi işletiyor olmalıdır. Her türlü bilgiye veya sisteme erişim kontrol altında tutulmalıdır. Sadece gerekli olan personele, gerektiği kadar erişim yetkisi verilmesi prensip olarak kabul edilerek, uygulanmalıdır.
Kurumun güvenlik politikalarına uygun olacak şekilde bir erişim kontrol politikası oluşturulmalı ve dokümante edilmelidir.
Kullanıcılar kendi erişim hakları ve yükümlülükleri konusunda bilgilendirilmelidir.
Bilgi sistemi tedariği, geliştirilmesi ve bakımı
Kurum içinde geliştirilen veya dışarıdan alınan uygulamalar ve sistemler, kurumun güvenlik politikalarını destekleyecek şekilde planlanmalı ve tasarlanmalıdır. Kullanılan sistemlerin teknik açıklıkları bilinmeli ve varsa bu riskler değerlendirilerek uygun önlemler alınmış olmalıdır.
İçeride geliştirilen uygulamaların kaynak kodları güvenli şekilde saklanmalıdır.
Bilgi güvenliği olayları yönetimi
Güvenlik olay ekipleri ve yöntemleri belirlenmelidir. Güvenlik ihlal durumunda, hızla gerekli yönetim birimlerine haber verilmesi için yöntem ve akışlar tanımlanmalıdır.
İş sürekliliği yönetimi
İş sürekliliğinin sağlanması bir süreç olarak tanımlanmalı ve felaket senaryoları planlanmalıdır.
Bu senaryolara bağlı olarak iş devamlılık ve etki anazleri yapılarak kritik ve öncelikli iş süreçleri belirlenmelidir.
Büyük çaplı sistem arıza ve çökme durumlarında, doğal afetlerde, kritik işlerin devamlılığını sağlayabilmek için gerekli önlemler alınmalıdır.
İş sürekliliği planları oluşturulmalı ve güncel tutularak, düzenli olarak test edilmelidir.
Uyum
Kurumun uymakla yükümlü olduğu yasal düzenlemeler ve sözleşmelerden doğan gereksinimler belirlenmeli, dokümante edilmeli ve gerekli koşullar sağlanmalıdır.