ISO 27001:2005 Bilgi Güvenliği Yönetim Sistemi

ISO 27001 Bilgi güvenliği yönetim sistemi

Son yıllarda ticari şirketler ve devlet ve kamu kurumları işlerini sürdürebilmek için yoğun bir şekilde bilgi kullanımına yönelmişlerdir. Zaman hızla geçtikçe bilginin önemi artmış, sadece güvenli bir şekilde saklanması ve verilerin depolanması gelişen ihtiyaçlara cevap verememiş aynı zamanda bir yerden bir yere transfer edilmesi de kaçınılmaz bir ihtiyaç haline gelmiştir. Bilgiye olan bu bağımlılık bilgi güvenliği ihtiyacını gündeme getirmiştir. Bu anlamda bilgi, kurumun sahip olduğu varlıklar arasında çok önemli bir yere sahiptir. Bilgiye yönelik olası saldırılar, tahrip edilmesi, silinmesi, bütünlüğünün ve/veya gizliliğinin zarar görmesi, bilgi altyapısının bozulmasına ve bu da beraberinde işlerin aksamasına neden olmaktadır.

Bilgi, kurumdaki diğer varlıklar gibi, kurum için önem taşıyan ve bu nedenle de en iyi şekilde korunması gereken kimi zaman hayati önem taşıyan bir veridir. Bilgi güvenliği; kurumdaki işlerin sürekliliğinin sağlanması, işlerde meydana gelebilecek aksaklıkların azaltılması ve yatırımlardan gelecek faydanın artırılması için bilginin geniş çaplı tehditlerden korunmasını sağlar.

Bilgi birçok biçimde bulunabilir. Bilgi, kâğıt üzerinde yazılı olabilir, elektronik olarak bilgisayar ortamında elektronik bir dille saklanıyor olabilir, posta ya da elektronik posta yoluyla bir yerden bir yere iletilebilir ya da kişiler arasında sözlü olarak ifade edilebilir. Bilgi hangi formda olursa olsun, mutlaka uygun bir şekilde korunmalıdır. Bilgi güvenliğinin sağlanabilmesi bilginin gizliliğinin, bütünlüğünün ve kullanılabilirliğinin yeterli düzeylerde sağlanabilmesi ile mümkündür.

Bilgi güvenliği temelde aşağıdaki üç unsuru hedefler:

• Gizlilik (Confidentiality): Bilginin yetkisiz kişilerin erişimine kapalı olması şeklinde tanımlanabilir. Bir diğer tarif ile gizlilik bilginin yetkisiz kişilerce açığa çıkarılmasının engellenmesidir.
• Bütünlük (Integrity): Bilginin yetkisiz kişilerce değiştirilmesi, silinmesi ya da herhangi bir şekilde tahrip edilmesi tehditlerine karşı içeriğinin korunmasıdır. Bütünlük için kısaca kazara veya kasıtlı olarak bilginin bozulmaması diyebiliriz.
• Kullanılabilirlik (Availability): Bilginin her ihtiyaç duyulduğunda kullanıma hazır durumda olması demektir. Herhangi bir sorun ya da problem çıkması durumunda bile bilginin erişilebilir olması kullanılabilirlik özelliğinin bir gereğidir. Bu erişim kullanıcının hakları çerçevesinde olmalıdır.
• Kullanılabilirlik ilkesince her kullanıcı erişim hakkının bulunduğu bilgi kaynağına, yetkili olduğu zaman diliminde mutlaka erişebilmelidir.

BGYS - BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ NEDİR
Bilgi Güvenliği Yönetim Sistemi BGYS, kurumun hassas bilgilerini yönetebilmek amacıyla benimsenen sistematik bir yaklaşımdır. Bu sistemin temel amacı hassas bilginin korunmasıdır. Bu sistem çalışanları, iş süreçlerini ve bilgi teknolojileri (BT) sistemlerini kapsar.

Bilgi Güvenliği yönetim sistemi sayesinde kurumlar bilgi altyapılarını belirleyip, bu varlıklara yönelik olası tehlikeler analizi ederek, bu risklerin oluşması durumunda hangi kontrolleri uygulayacaklarına ve hangi kontrolleri uygulamayacaklarına karar verirler. Bilgi Güvenliği Yönetim Sistemi deyimi ilk kez 1998 yılında BSI (British Standards Institute) tarafından yayınlanan BS 7799-2 standardında kullanılmıştır. Daha sonra bu standart Uluslararası Standartlar Kurumu ISO tarafından kabul edilmiş ve ISO/IEC 27001:2005 olarak yayınlanmıştır. BSI tarafından yayınlanan bir diğer standart BS 7799-1 ise bilgi güvenliğinin sağlanmasında kullanılacak kontrollerden bahsetmektedir. Bu da yine ISO tarafından kabul edilmiş ve ISO/IEC 27002:2005 olarak yayınlanmıştır. ISO/IEC 27002:2005 bu standardın Temmuz 2007'den itibaren kullanılan ismidir, bu tarihe kadar standart ISO/IEC 17799:2005 olarak adlandırılıyordu.

Bilgi güvenliği yönetimi konusunda en yaygın olarak kullanılan standart, "ISO/IEC 27002:2005 Bilgi Güvenliği Yönetimi İçin Uygulama Prensipleri" standardıdır. Bu standart, işletmeler içerisinde bilgi güvenliği yönetimini başlatmak, gerçekleştirmek, sürdürmek ve iyileştirmek için genel prensipleri ve yönlendirici bilgileri ortaya koyar. ISO/IEC 27002:2005 rehber edinilerek kurulan BGYS'nin belgelendirmesi için "ISO/IEC 27001:2005 Bilgi Güvenliği Yönetim Sistemleri – Gereksinimler" standardı kullanılmaktadır. Bu standart, dokümante edilmiş bir BGYS'ni kurumun tüm iş riskleri bağlamında kurmak, gerçekleştirmek, izlemek, gözden geçirmek, sürdürmek ve iyileştirmek için gereksinimleri kapsamaktadır. İş risklerini karşılamak amacıyla ISO/IEC 27002:2005'te ortaya konan kontrol hedeflerinin kurum içerisinde nasıl uygulanacağı ve denetleneceği ISO/IEC 27001:2005'te belirlenmektedir.

Her iki standardın Türkçe hali TSE tarafından sırasıyla TS ISO/IEC 17799:2005 ve TS ISO/IEC 27001:2005 isimleri ile yayınlanmıştır.
ISO/IEC 27001 ve ISO/IEC 27002 standartları BGYS konusunda en temel başvuru kaynaklarıdır. Bu iki standart da doğrudan bilgi güvenliği konusunu ele alırlar. Teknik ve teknoloji bağımlı standartlar değildirler. Belli bir ürün veya bilgi teknolojisi ile ilgilenmezler. Hatta bilgi teknolojileri güvenliği dahi bu standartların içerisinde yer almaz. Tek ilgi alanı vardır, o da bilgi güvenliğidir.
BGYS standartları kapsamında BGYS'in kurulumu, gerçeklenmesi, işletilmesi, izlenmesi, gözden geçirilmesi, sürdürülmesi ve tekrar gözden geçirilmesi için PUKÖ (Planla – Uygula – Kontrol et – Önlem al) modeli kullanılmaktadır.

Bilgi güvenliği yönetimi, başlangıç ve bitiş tarihleri olan bir proje gibi görülmemelidir. Sürekli devam eden bir gelişim süreci olarak düşünülmelidir. PUKÖ modelinde gösterildiği gibi (Planla – Uygula – Kontrol et – Önlem al) faaliyetleri bir döngü içinde durmaksızın sürekli devam etmelidir. PUKÖ modeli özet olarak ne yapılacağına karar verilmesi, kararların gerçekleştirilmesi, çalıştığının kontrol edilmesi hedefine uygun çalışmayan kontroll er için önlemlerin alınmasıdır.

BGYS kurulumu PUKÖ modelinin ilk Aşamaını (Planla) teşkil etmektedir. Yerleşik bir sistemden bahsedebilmek için diğer Aşamaların da uygulanması ve bunların bir döngü içinde yaşaması gerekir.

ISO 27001 NE ZAMAN YAYIMLANMIŞTIR
• ISO/IEC 27001 BGYS Standardının Tarihçesi ;
• 2005 yılının ortalarında son taslak duyurulmuş, Ekim 2005'de ise bu standart yayımlanmıştır.
• ISO/IEC 17799 revize edildi – Haziran 2005 (ISO/IEC 27002 olarak 2007'de numaralandırıldı)
• ISO/IEC 27001 yeni yayınlandı – Ekim 2005

ISO 27001 BGYS SİSTEM KURULUMU 10 AŞAMA
Aşama 1: Kapsam Belirleme
BGYS'nin kapsamı ve sınırları belirlenmelidir. BGYS'nin kapsamı kurumun belli bir kısmı olabileceği gibi, kurumun bütünü de olabilir. Ancak, her iki durumda da, kurumun BGYS kapsamını ve sınırlarını eksiksiz ve doğru bir biçimde tanımlaması gerekmektedir. Örneğin sadece kurum içindeki bir bölüm veya bir bölümün verdiği tek bir hizmet için de bir BGYS hayata geçirilebilir. BGYS kapsamı, üst yönetimin niyeti ve kurumun bilgi güvenliği hedefleri dikkate alınarak belirlenir. ISO/IEC 27001 ve ISO/IEC 27002 standartlarının bu konuda belli bir yönlendirmesi veya zorlaması söz konusu değildir. Kapsam belirlenirken BGYS dışında bırakılan varlıklarla ve diğer kurumlarla olan etkileşimleri de dikkate almak gereklidir. Kapsam dışında bırakılanların hangi sebeplerle dışarıda bırakıldıklarını kurumun sağlam gerekçelerle açıklayabilmesi gerekmektedir. Bu Aşamaın sonunda bir kapsam dokümanı yayınlanmalı ve üst yönetim tarafından onaylanmalıdır.

Aşama 2: BGYS Politikası
Ardından BGYS politikasının oluşturulması gerekmektedir. Bu politika, hedefleri ortaya koyan, yönetime yön veren ve harekete geçiren, hangi riskin değerlendirmeye alınacağına ilişkin risk yönetim kapsamı ve kriterini belirleyen bir çerçeve sunmalıdır. BGYS politikasının amacını bulması için yönetim politika içeriğindeki maddelerin uygulamaya geçirileceğine ilişkin kararlarlığını çalışanlara hissettirmelidir.

Aşama 3: Risk Değerlendirme Yaklaşımı
Bilgi güvenliği politikası temel alınarak sistematik bir risk değerlendirme yaklaşımı belirlenmelidir. Kurum kendine uygun bir metodoloji seçmekte serbesttir. Seçilen risk değerlendirme metodolojisi kıyaslanabilir ve tekrarlanabilir sonuçlar üretmeyi garanti etmelidir. Bu Aşamada kabul edilebilecek risk seviyeleri belirlenmeli ve bunlar için ölçütler geliştirilmelidir. Risk değerlendirme metodu seçiminde kurumlar risk değerlendirme konusunda daha fazla bilgi veren BS 7799-3 standardına başvurabilirler.

Aşama 4: Risk Belirleme
Korunması gereken varlıkları tehdit eden riskler, Aşama 3'te belirlenen yöntem kullanılarak tespit edilmelidir. BGYS içerisindeki tüm varlıkların tanımlanması, yani varlık envanterinin çıkarılması risk değerlendirme işinin esasını oluşturur. Kurum BGYS kapsamına dahil edeceği tüm varlıkların sahiplerini, türünü ve önem derecesini bir envanter listesi şeklinde belgelemelidir. Bir varlığın önem derecesini belirlemek için bu varlığın gizliliğine, bütünlüğüne ve kullanılabilirliğine gelecek zararın kuruma yapacağı etkinin derecesini baştan ortaya koymak gerekmektedir. Varlıkların bu üç temel güvenlik özelliğine gelecek zararlar farklı etki derecelerine sahip olabilirler. Örneğin çok gizli seviyede bir bilginin açığa çıkması kuruma büyük zararlar verebilecekken aynı gizli bilginin kullanılamaz hale gelmesi o kadar büyük zarar yaratmayabilir.

Aşama 5: Risk Analizi ve Derecelendirilmesi
Tespit edilen risklerin analizi ve derecelendirilmesi yapılmalıdır. Bu Aşama bir önceki Aşamada tespit edilen risklerin yorumlanması olarak görülebilir. Risk analizi yaparken riske neden olan tehdit ve açıklıklardan yola çıkılmalıdır. Risk, açıklığın bir tehdit tarafından kullanılmasıyla oluşur. Örneğin duvarı delik bir ev düşünelim. Duvardaki delik açıklığı temsil eder. Olası bir sel ise burada tehdidi oluşturur. Bu ikisinin bir araya gelmesiyle risk oluşur ki bu örnekte risk evi su basmasından dolayı evdeki insanların veya eşyaların zarar görmesidir. Riskin derecelendirilmesi veya değerinin belirlenebilmesi için öncelikle tehdidin gerçekleşme olasılığı ile etki derecesi hesaplanmalıdır. Bunlar sayısal değerler kullanılarak hesaplanabileceği gibi rakamlarla ifadenin zor olduğu durumlarda düşük, orta, yüksek gibi nitel değerlerle de belirlenebilir. Riskin kabul edilebilir olup olmadığı Aşama 3'te belirlenen ölçütler kullanılarak tespit edilmelidir. Tüm bu hesaplama ve değerlemeler uygulanmakta olan mevcut kontroller de dikkate alınarak yapılmalıdır. Kontroller risk değerini azaltabilir.
Bu Aşama sonunda bir risk değerlendirme sonuç raporu yayınlanmalıdır.

Aşama 6: Risk İşleme
Bu Aşamada risk değerlendirme sonuç raporundan yola çıkılarak uygun risk işleme (risk treatment) yöntemleri belirlenmelidir. Belli bir risk karşısında dört farklı tavır alınabilir:
1. Uygun kontroller uygulanarak riskin ortadan kaldırılması veya kabul edilebilir seviyeye düşürülmesi
2. Riskin oluşmasına neden olan faktörleri ortadan kaldırarak riskten kaçınılması
3. Riskin sigorta şirketleri veya tedarikçiler gibi kurum dışındaki taraflara aktarılması
4. Kurum politikalarına ve risk kabul ölçütlerine uyması şartıyla riskin objektif bir biçimde ve bilerek kabul edilmesi

Aşama 7: Kontrol Seçimi
Risk işleme süreci sonuçlarına uygun kontrol ve kontrol hedeflerinin seçilmesi gerekir. TS ISO/IEC 17799:2005'te bu kontrollerden detaylı bir biçimde bahsedilmektedir. Bu kontroller standartta yol gösterici olması amacıyla verilmiştir. Kurum kendisine ek olarak başka kontroller de seçmekte serbesttir. TS ISO/IEC 17799:2005'te bulunan kontroller, sektör tecrübelerinden faydalanmak suretiyle, standart etki alanlarında olabildiğince geniş kapsamlı olarak belirlenmiş olsa da dış kaynaklı kontrollere ihtiyaç olabilmektedir. Sadece TS ISO/IEC 17799:2005'ten değil herhangi bir bilgi güvenliği kaynağından uygun kontrol seçilebileceği gibi kurumun kendine özel geliştirebileceği kontroller de olabilmektedir. Fakat gözden kaçan önemli bir kontrol hedefi veya kontrol olmadığından emin olmak için bu listeyi bir başlangıç noktası olarak kullanmakta fayda görülmektedir.

Aşama 8: Artık Risk Onayı
Risk işleme süreci sonrasında geriye kalan riske artık risk (residual risk) denir. Bunlar kabul edilen riskler veya tamamen ortadan kaldırılamayan riskler olabilir. Kurum üst yönetimi artık riskler için onay vermelidir. Bu Aşama sonunda artık risk onay belgesi oluşturulmalıdır.

Aşama 9: Yönetim Onayı
Risk yönetimi Aşamalarını geçtikten sonra BGYS işletimi ve uygulamasını yapmak için yönetimden onay almak gerekmektedir.

Aşama 10: Uygulanabilirlik Bildirgesi
Son olarak risklere karşı seçilen kontrolleri içeren bir Uygulanabilirlik Bildirgesi hazırlanarak BGYS kurulum işi tamamlanır. Uygulanabilirlik Bildirgesi Aşama 7'de seçilen kontrollerin neler olduğu ve bunların hangi gerekçelerle seçildiğini anlatmalıdır. TS ISO/IEC 27001 EK A'dan seçilmeyen kontrollerin neler olduğu ile bunların seçilmeme gerekçeleri de Uygulanabilirlik Bildirgesinde verilmelidir. Ayrıca mevcut durumda uygulanmakta olan kontroller de yine bu belge içinde yer bulmalıdır.

ISO 27001 BİLGİ GÜVENLİĞİ SİSTEMİ KURMA AŞAMALARI
• Varlıkların sınıflandırılması, (Tasnif)
• Gizlilik, bütünlük ve erişebilirlik kriterlerine göre varlıkların değerlendirilmesi,
• Risk analizi, (Tahlil)
• Risk analizi çıktılarına göre uygulanacak kontrolleri belirleme,
• Dokümantasyon oluşturma,
• Kontrolleri uygulama,
• İç tetkik,
• Kayıtları tutma,
• Yönetimin gözden geçirmesi,
• Belgelendirme. (Rapor)

ISO 27001 BİLGİ GÜVENLİĞİ SİSTEMİNİN FAYDALARI
• Müşteri, tedarikçi ve çalışanlara güven verir,
• Bilgi varlıklarına yönelik risklere karşı önlem alınmış olur.
• Bilgi varlıklarına yönelik bir yönetim sistemi oluşturulmuş olur.
• Bilgi güvenliğine yönelik açıklar tespit edilir ve yönetilir.
• Firmanın tamamında bir bilgi güvenliği bilinci oluşur.
• Yasal yükümlülüklere uyum kolaylaşır.
• Hepsinden ve her şeyden önce firmaların bilgi varlıklarının farkına varmalarını sağlar.
ISO/IEC 27001, BT taşeron şirketleri gibi bilgiyi başkaları adına yöneten kuruluşlar için oldukça etkilidir; müşterilere bilgilerinin koruma altında olduğu güvencesini vermek için tescil niteliğinde kullanılabilir.

 

 

iso 9001 belgesi başvurusu

iso 14001 belgesi başvurusu

Hizmet Verdiğimiz Bölgeler