TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi

ISO 27001 Bilgi Güvenliği Yönetim Sistemi Günümüzde kurumlar ve bireylerin sahip olduğu en değerli varlıkları olan bilginin; gizlilik, bütünlük ve erişilebilirlik nitelikleri bakımından sürekli korunması gerekmektedir. Koruma bir takım fiziksel ve sistemsel önlemlerin yanında bireylerin bilgi güvenliğine ilişkin tehdit ve risklerden, kurum bilgi güvenlik politika ya da kurallarından haberdar olması, bu tehditlere nasıl karşı koyabileceği, olası riskleri mümkün olabilecek en düşük risk düzeyinde nasıl tutabileceği konusunda bilgilenmesiyle mümkün olabilir.

Bilgi güvenliği; iş sürekliliği, kaçınılmaz felaket durumlarında kaybın en aza indirilmesi, firmaların yapı taşları sayılan kaynakların her koşulda gizliliğinin, ulaşılabilirliğinin ve bütünlüğünün korunması amaçlarını taşır.

BGYS, günümüz iş dünyasında vazgeçilmez hale gelen bilgi güvenliği konusunda tüm dünya tarafından kabul görmüş standartlara uygun bir yapı sunmaktadır. BGYS kavramının ve bağlı olduğu standartların doğru anlaşılması bu yapının sağlayacağı faydayı önemli ölçüde arttıracaktır. BGYS kurulumunu fazladan bir iş yükü ve gereksiz zaman kaybı olarak görmenin baştan kaybetmek anlamına geleceği bilinmelidir.

Bilgi Güvenliği Nedir?

Bilgi, insanın etrafında olup bitenleri tam ve doğru olarak kavramasını sağlayan kişiselleştirilmiş enformasyondur. Bilgi, kendini düşünceler, öngörüler, sezgiler, fikirler, alınan dersler, uygulamalar ve yaşanan deneyimler şeklinde gösterir.
Bilgi, kurumdaki diğer varlıklar gibi, kurum için önem taşıyan ve bu nedenle de en iyi şekilde korunması gereken bir varlıktır.

Bilgi güvenliği; kurumdaki işlerin sürekliliğinin sağlanması, işlerde meydana gelebilecek aksaklıkların azaltılması ve yatırımlardan gelecek faydanın artırılması için bilginin geniş çaplı tehditlerden korunmasını sağlar. Bilgi birçok biçimde bulunabilir. Bilgi, kağıt üzerinde yazılı olabilir, elektronik olarak saklanıyor olabilir, posta yada elektronik posta yoluyla bir yerden bir yere iletilebilir ya da kişiler arası sözlü olarak ifade edilebilir. Bilgi hangi formda olursa olsun, mutlaka uygun bir şekilde korunmalıdır.

İş (aktiviteler), organizasyon (yönetimsel birimler), işin mekânı, varlıklar ve teknoloji karakteristikleri belirtilerek ve kapsam dışında kalacak olan her ayrıntının sebepleri açıklanarak BGYS'nin sınırları ve kapsamı tanımlanır. Hangi yönetimsel birimlerin ve aktivitelerin bilgi güvenliği yönetim kapsamı içerisinde yer alacağı belirtilmelidir.

Bilgi Güvenliği Yönetim Sistemi kapsam dokümanının çok sık değişime uğraması gerekmese de "yaşayan" bir dokümandır. Gerektiğinde kapsamın içeriği değiştirilebilir. Fakat kapsamın ilk aşamada belirlenirken yönetilebilir boyutta tutulması önemlidir. Bu yüzden organizasyonun fiziksel yapısı ve süreçleri göz önüne alınmalıdır. Örneğin; az görülmesine rağmen yönetilebilirlik adına çok büyük bazı organizasyonlarda Finans bölümü ve Yazılım geliştirme bölümü için iki ayrı BGYS oluşturulduğu gibi örnekler mevcuttur.

Bilgi güvenliği politikaları, bir kurumun değerli bilgilerinin yönetimini, korunmasını, dağıtımını ve önemli işlevlerinin korunmasını düzenleyen kurallar ve uygulamalar bütünüdür.

Her seviyedeki politikanın tek bir dokümanda bulunması yerine, en üst seviyede temel ilkeleri barındıran bir Bilgi Güvenliği Politikası'nın oluşturulması ve bu dokümanla diğer ayrıntılı politikaların ilişkilendirilmesi tavsiye edilmektedir.

Bilgi güvenliği konularını incelerken üç kavram bakış açısından ele alınır. Bu üç kavrama başka kurumlar iki kavram bakış açısı daha eklemektedirler. Bu beş kavram, BGYS temelinde kullanılan üçü olan gizlilik, bütünlük ve erişilebilirlik ile bu üçü kadar sık dile getirilmeyen diğer iki öğe olan hesap verebilirlik ve yetkilendirmedir.

• Gizlilik
• Bütünlük
• Kullanılabilirlilik
• Hesap verebilirlilik
• Yetkilendirme

GİZLİLİK: Gizlilik, Uluslararası Standartlar Örgütü (ISO) tarafından "Bilgiye sadece yetkilendirilmiş kişilerce ulaşılabilmesi" olarak nitelenir. Bugün Şifreleme altyapılarının olmasının sebebi temel olarak gizlilik, ve bütünlüktür. Bilgi güvenliğinin her kavramı her kurum için eşit önemde olmayabilir. Gizlilik özellikle kamu kurumları ve bankalar gibi kuruluşlar için önemlidir.

Gizlilik, özellikle bir yasa ya da sözleşme dolayısıyla bir zorunluluk ise önemlidir. Örneğin avukat - müvekkil ilişkisi ya da doktor hasta ilişkisi gibi mesleki bilgiler kanun ile koruma altına alınmıştır. Bazı durumlarda ise taraflar birtakım bilgileri sözleşme ile birbirlerine verirlerken gizlilik anlaşmaları yaparlar. Her iki durumda da gizlilik büyük önem taşımaktadır.

BÜTÜNLÜK: Bütünlük (veri bütünlüğü) dar güvenlik anlamında verinin yahut bilginin yetkisiz kişilerce değiştirilmesine veya yok edilmesine karşı korunmasıdır. Verinin bozulması kasten yahut kaza ile olabilir ve bu bütünlüğün bozulmuş olduğu gerçeğini değiştirmez. Güvenlik önlemi alanların iki tür riske karşı da tedbir almaları gerekmektedir. Bilginin bütünlüğü aşağıdaki üç kıstası sağlamalıdır.

• Kesinlik
• Doğruluk
• Geçerlilik

ERİŞİLEBİLİRLİK: Erişilebilirlik, matematiksel olarak ifade edildiğinde, herhangi bir sistemin yapılış amaçlarına göre işlev gördüğü zamanın, işlev gördüğü ve görmediği toplam zamana oranıdır. Daha yalın bir anlatımla, doğru yetkilendirilmiş bir kişinin ihtiyacı olduğu anda ihtiyacı olan hizmetin orada olma oranına erişilebilirlik denir. Verilen hizmetin ne kadar güvenilir olduğunun bir ölçütüdür. Kurumlar hizmetin ne kadar önemli olduğunun ölçümünü yapıp, sistemleri ve verileri bu ihtiyaca göre yedekli hale getirirler.

HESAP VEREBİLİRLİK: Hesap verebilirlik kişisel sorumluluğun bir ölçütüdür. Hesap verebilirliğin en kısa tanımı, kişilerin yaptıkları hareketlerden ve görevi olduğu halde yapmadıklarından sorumlu olmalarıdır. Hesap verebilirliğin alt kavramları olan sorumluluk, suçlanabilirlik, cevap verebilirlik gibi konular büyük tartışmaların merkez noktaları olduğundan hesap verebilirlik diğer üç kavramın yanında değil, biraz uzağında değerlendirmeye tabi tutulur. Kamu kurumlarında hesap verebilirliğin en önemli yansıması şeffaflıktır. Kamu kaynaklarını kullanmakla görevli yetkililerden eylemlerini ve planlarını anlaşılabilir bir halde kamuoyu denetimine açmaları beklenmektedir.

Bilgi güvenliği bakış açısından yetkilendirme kimlik doğrulama sistemidir. Bilgiye erişim sürecinde yetkilendirme, bilgiye doğru kişinin ulaşıp ulaşmadığını kontrol eden alt sistemdir. Gündelik işlerimizde hemen her bilgisayar ağ kaynağına eriştiğimizde yetkilendirme çözümlerini kullanmaktayız.

Microsoft Windows işletim sistemine her şifre girildiğinde, şifre alan kontrolcüsünün Kerberos sisteminde kontrol edilip, cevap geriye yollanır. Bu aşamadan sonra kişi her ağ kaynağı kullanmak istediğinde, bağlanılan sistem kişinin kimliğini gene "alan sunucusundan" teyit eder.

YETKİLENDİRME: Yetkilendirme konusunda dikkat edilmesi gereken, bilgi sistemlerinde geçerli olan "en az bilgi" kuralıdır. Başlangıçta askeri olan bu kural, kişilerin işlerini yapmaları için gereken en az bilgiyi bilmeleri gerektiği prensibini kurumlara benimsetmektedir.

Bilgi Güvenliği Yönetim Sistemi BGYS, kurumun hassas bilgilerini yönetebilmek amacıyla benimsenen sistematik bir yaklaşımdır. Bu sistemin temel amacı hassas bilginin korunmasıdır. Bu sistem çalışanları, iş süreçlerini ve bilgi teknolojileri (BT) sistemlerini kapsar.

Sadece teknik önlemlerle (güvenlik duvarları, atak tespit sistemleri, antivirüs yazılımları, anticasus yazılımlar, şifreleme, vb.) bilgi güvenliğinin sağlanması mümkün değildir. BGYS; insanları, süreçleri ve bilgi sistemlerini içine alan ve üst yönetim tarafından desteklenen bir yönetim sistemidir. Kurumlar açısından önemli bilgilerin ve bilgi sistemlerinin korunabilmesi, risklerin en aza indirilmesi ve sürekliliğinin sağlanması, BGYS'nin kurumlarda hayata geçirilmesiyle mümkün olmaktadır. BGYS'nin kurulmasıyla; olası risk ve tehditlerin tespit edilmesi, güvenlik politikalarının oluşturulması, denetimlerin ve uygulamaların kontrolü, uygun yöntemlerin geliştirilmesi, örgütsel yapılar kurulması ve yazılım/donanım fonksiyonlarının sağlanması gibi bir dizi denetimin birbirini tamamlayacak şekilde gerçekleştirilmesi anlamına gelmektedir.

Bilgi Güvenliği Yönetim Sistemi Neden Gereklidir?

Bir kuruluşun sadece teknik önlemlerle bilgi güvenliğini ve is sürekliliğini korumasının mümkün olmadığı, bunun yanı sıra BGYS gibi bir takım önlem ve denetimlerin sağlanması gerektiği konusu tüm dünyada kabul edilmiş bir yaklaşımdır. BGYS çerçevesinde oluşturulacak güvenlik politikalarına üst yönetim ve tüm çalışanların destek vermesi ve tavizsiz bir şekilde uygulaması gerekmektedir. Ayrıca işbirliğinde bulunulan tüm kişi ve kuruluşların da bu politikalara uygun davranması güvenliği artırıcı bir faktördür.

Aşağıda bir kuruluşa BGYS'nin sağlayacağı faydalar ana hatlarıyla belirtilmektedir:

• Tehdit ve risklerin belirlenerek etkin bir risk yönetiminin sağlanması.
• Kurumsal prestijin korunması ve artısı
• İş sürekliliğinin sağlanması.
• Bilgi kaynaklarına erişimin denetlenmesi
• Personelin, yüklenicilerin ve alt yüklenicilerin güvenlik konusunda farkındalık düzeyinin yükseltilmesi ve önemli güvenlik konularında bilgilendirilmesi.
• Otomatik ve elle yönetilen sistemlerde, duyarlı bilgilerin uygun bir şekilde kullanıldığının garanti altına alınması amacıyla gerçekçi bir kontrol sistemi kurulması.
• Bilgi varlıklarının bütünlüğünün ve doğruluğunun sağlanması.
• Personelin, müşterilerin ve yüklenicilerin görevlerini yerine getirirken, bilgi sistemleri kaynaklarını kotu amaçlı olarak kullanma ve/veya kaynakları suiistimal etmelerinin engellenmesi.
• Bilgi varlıklarının gizliliğinin korunması
• Personelin, başkaları tarafından yapılabilecek olan suiistimal ve tacizlere karşı zan altında kalmasının engellenmesi.
• Duyarlı bilgilerin uygun bir şekilde üçüncü taraflara ve denetmenlere açık olmasının sağlanması.

Bilgi Güvenliği Yönetim Sisteminin Yararları Nelerdir?

Bilgi güvenliği yönetim sisteminin kurumlara sağlayacağı yararları şöyle sıralamak gerekirse;

• Müşterileriniz, onların bilgilerini güvende tutacağınız konusundaki taahhüdünüzden dolayı güven hissederler.
• İş devamlılığını sağlamak, meydana gelebilecek zararı en aza indirebilmek, kazancın ve iş fırsatlarının artırılması amacıyla bilginin birçok tehlikeye karşı korunmasını sağlar.
• Kuruluşun kurumsal değerlerini, yatırımlarını ve hedeflerini sürdürebilip, koruyabilmesi için ortaya konması gereken kontrollerin firma içinde yerleştirilmesi ve uygulanması yolunda temel teşkil eder.
• Rakiplerinizin bir adım önüne geçmenizi sağlar.
• Uluslararası ihalelere katılımda şart olan ISO/IEC 27001:2006 gerekleri sağlanmış olur.
• Tek bir bilgi güvenlik ihlalinin çıkaracağı masraf çok büyük olabilir. Belgelendirme işlemi maruz kalacağınız bu tür masrafları azaltır ve bu da iş dalınızdaki yatırımcılar ve müşteriler için önemlidir.
• Bilgi güvenliğiniz ile ilgili sigorta primlerinizde düşüş sağlar.
• İlgili geçerli tüm kanun ve tüzüklere uygunluğunuzu yetkili makamlara kanıtlamanıza yardımcı olur.
• Organizasyonun tüm aşamalarında taahhüt/bağlılığın sağlanması ve kanıtlanmasında yardımcı olur.
• Kuruluş genelinde, bilgi sistemleri ve zayıflıklarının nasıl korunacağı konusundaki farkındalık artar.
• Donanım ve veriye daha güvenilir erişim sağlanır.
• Çalışanların kuruluş içerisindeki sorumlulukları ve bilgi güvenliği konularındaki bilinçlerinin artmasını sağlar.
• Düzenli olarak gerçekleştirilen denetimler sisteminizin etkinliğini izlemenize ve iyileştirmenize yardımcı olur.
• Gizlilik sağlanır.
• Bilginin sadece yetkili kişiler tarafından erişilebilir olması sağlanır.
• Bütünlük sağlanır.
• Bilginin ve işlem metotlarının doğruluğunun ve bütünlüğünün korunması, içeriğinin değişmemesi sağlanır.
• Bilgiye ulaşılabilirlik, elde edilebilirliği sağlanır.
• Başarılı bir e-ticaretin gerekli olan işlevsellik, güvenlik, güvenilirlik ve veri koruması konusunda gereklilikleri sağlar.