ISO 27001 BİLGİ GÜVENLİĞİ GEREKSİNİMİ NEDİR

ISO 27001 BİLGİ GÜVENLİĞİ GEREKSİNİMİ NEDİR

Günümüzde bilgi, iletişim ve teknoloji iç içe geçmekte ve kullanımı artmaktadır. Bu gelişmeler sonucunda, elektronik ortamlarda bulunan bilgiler, her geçen gün katlanarak çoğalmakta, dolayısıyla da bilgi güvenliğinin en üst düzeyde sağlanmasına yönelik gereksinimler, kişisel ve kurumsal olarak en üst seviyelere çıkmaktadır.
Tüm işler bilgi ile yönetiliyor. Bilginin bir kısmı herkes tarafından bilinen, geneldir. Diğer bir kısmı
ise bilinmeyen, özeldir. Öyle bir kısım da vardır ki, bazılarını ilgilendirir; o halde gizlidir. Bu bilgi, tasarım, satın alma, personel, pazar, üretim metodu v.b. ile ilgili olabilir. İstenmeyen ellere geçtiğinde, etkisini hemen (bir ihalenin kaybı gibi), ya da yavaşça gösterebilir. Bilgiyi kaybettiğinizin farkına varamayabilirsiniz. Ancak, işler nedense kötü gitmektedir.   Bilgi, kuruluşunuzun faaliyetleri ve devamı için büyük bir önem taşır. ISO/IEC 27001 Standardı ve bu standardın gereklilikleri, değerli bilgi varlıklarınızı yönetmenize, korumanıza ve özellikle de müşterilerinize güven vermenize yardımcı olur. Çünkü bazı sektörlerde (hizmet ve iletişim gibi) müşterileriniz ile ilgili daha özel bilgileri bünyenizde bulundurmanız gerekmektedir.
Güvenlik ihtiyacımızı ortaya çıkartan sebepler; iş veya günlük yaşamın bir parçası haline gelen elektronik uygulamaların artması, ihtiyaç duyulan bilgilerin ağ sistemleri üzerinde paylaşımı, bilgiye her noktadan erişilebilirlik, bu ortamlarda meydana gelen açıkların büyük tehdit oluşturması ve kişisel kurumsal kayıplarda meydana gelen artışlardır.
Bilgi güvenliği standardı olan BS 7799-2’nin revize edilip 2005’in sonlarında ISO 27001:2005 olarak revize edilmesiyle yürürlüğe giren bu standart, kurumların bilgi güvenliği yönetim sistemi kurmaları için gereklilikleri tanımlamaktadır.
Bunun yanı sıra ISO 17799:2002 numaralı standart, ISO 17799:2005 “bilgi teknolojileri güvenlik teknikleri  en iyi uygulamalar rehberi” olarak revize edilip yayımlanmıştır. Bu rehber, ISO 27001’e göre kurulacak bir BGYS’ nin nasıl gerçekleştirilebileceğine dair açıklamaları içerir.
Bilgi güvenliği yönetim sistemi, kurumunuzdaki tüm bilgi varlıklarının değerlendirilmesi, bu varlıkların sahip oldukları zayıflıkları ve karşı karşıya oldukları tehditleri göz önüne alan bir risk analizi yapılmasını gerektirir. Kurum, kendine bir risk yönetimi metodu seçmeli ve risk işleme için bir plan hazırlamalıdır.
Risk işleme için standartta öngörülen kontrol hedeflerinden seçimler yapılmalı ve uygulanmalıdır. Planla – uygula - kontrol et - önlem al (PUKÖ) çevrimi uyarınca, risk yönetimi faaliyetleri yürütülmeli ve varlığın risk seviyesi kabul edilebilir bir seviyeye geriletilene kadar çalışma sürdürülmelidir.
ISO 27001, kurumların risk yönetimi ve risk işleme planlarını, görev ve sorumluluklarını, iş devamlılığı planlarını, acil durum olay yönetimi prosedürlerinin hazırlanmasını ve bunların kayıtlarının tutulmasını gerektirir. Kurum, tüm bu faaliyetlerin de içinde yer aldığı bir bilgi güvenliği politikası yayımlamalı ve personelini bilgi güvenliği ve tehditleri hakkında bilinçlendirmelidir. Seçilen kontrol hedeflerinin ölçülmesi ve kontrollerin amacına uygunluğunun ve performansının sürekli takip edildiği yaşayan bir süreç olarak bilgi güvenliği yönetimi, ancak yönetimin aktif desteği ve personelin katılımıyla başarılabilir.
Kurum içerisinde bu çalışmaları yürütecek BGYS takımının ve BGYS yöneticisinin bilgi güvenliği konusunda iyi eğitimli olmaları gerekmektedir. Risk yönetimi, politika oluşturma, güvenlik prosedürlerinin hazırlanması ve uygun kontrollerin seçilerek uygulanması aşamalarında, firmaların uzman desteği ve danışmanlık almaları faydalı olmaktadır.
ISO 27001’den bahsederken, karıştırılan ve dikkatle ayrılması gereken husus; ISO 27001’in YÖNETİM SİSTEMİ öngörmesidir. ISO 27001 sizin sistemlerinize nasıl virüs bulaşmayacağını anlatmaz.
Bilgisayar ağınıza saldırganların nasıl sızabileceğini söylemez… Size, toplam bilgi güvenliği ve “yaşayan bir süreç olarak” bilgi güvenliğinin nasıl “yönetileceğini” tanımlar.
Kuruluşların uyguladığı bazı kontroller şunlardır;
•Şifre kullanarak kişisel bağlanma,
•Virüs kontrolleri, yedekleme ve saklama (şirket dışında saklama da dahil) uygulamaları,
•Yetki tabloları,
•İK ile işbirliği,
•İş planlama ( kaza sonucunda ve iş sürekliliği için yapılacakların listesi),
•BT hata raporlamaları,
•E-posta, faks, internet ve fotokopi için kullanma koşulları,
•Dosyalara erişimde yetkiler.
Bu uygulamalar iyi bir başlangıçtır. Ancak, şifrelerin paylaşıldığına, bir yere kaydedildiğine ve görünürde olduğuna sık rastlanır. Bir cep telefonu konuşmasına kulak misafiri olup da hattın diğer ucundaki kişinin ne söylediğini tahmin edebilmemiz bir güvenlik sorunu teşkil edebilir. Eski sistem yöneticimizin, tüm personelin e-posta, uzak masa üstü ve kullanıcı hesabı şifrelerinin bir kopyasını almış olması da tamamen bir güvenlik sorunudur ve şirketin tüm faaliyetleri tehlike altına girebilir.
Bilgi güvenliğinin casus savaşları ile ilgisi yoktur.
Aşağıdaki kriterler için bir yönetim sistemini oluşturur:
Gizlilik: Bilginin sadece erişim yetkisi verilmiş kişilerce erişilebilir olduğunun garanti edilmesi.
Bütünlük: Bilginin ve işleme yöntemlerinin doğruluğunun ve bütünlüğünün temin edilmesi.
Erişebilirlik: Yetkilendirilmiş kullanıcıların, gerek duyduklarında bilgiye ve ilişkili kaynaklara erişime sahip olabileceklerinin garanti edilmesi.
Bunların eksikliği ticari zarara, ciddi iş kaybına, prestij zedelenmesine yol açabilir.
Bilgi güvenliğinin paranoya ile sağlanması mümkün değildir. Başlama noktası, her türlü yönetim sistemi gibi risk analizidir.
Riskin üç boyutu vardır; varlığın değeri, tehdit, savunmasızlık. Riskin boyutu bu üçünün toplam etkisi ile oluşur.
2008’de yapılan bir çalışmaya göre BGYS’ indeki başarısızlık nedenleri şunlardır;
%57’si kaza eseri,
%24’ü kötü niyetli hareketler,
%11’i ekipman hatası,
% 3’ü yazılım hatası,
% 5’i diğer.
Yine aynı yılın çalışmasına göre, bilgi teknolojileri başarısızlıkları ise şunlardır;
%18’i enerji kesintisi,
%17’si kullanıcı hatası,
%17’si LAN hatası,
%14’ü dış kaynaklı virüsler,
% 9’u WAN hatası,
% 6’sı çalışanların bilerek verdiği zarar,
% 6’sı operatör hatası,
%13’ü diğer.
Risk değerlendirmesi çok ciddi bir iştir. Ancak, üst yönetimin taahhüdü, personelin katılımı ve iş hedeflerinin açıklığı da bir o kadar önemlidir.
Kuruluşun sahip olduğu varlıkların doğru değerlendirilmesi, hırsızlık, yangın, sel baskını, deprem ve verinin tahribini önlemek gibi konular için kuruluşun dışarıdan uzman desteği alması gerekebilir.
Bilgi güvenliği yönetim sistemi standardı, BS 7799
– Part 2 (2002 baskısı) belgelendirmesi yapılan bir standarttır. Aynı standardın birinci kısmı Part 1 veya uluslararası ISO 17799, bir rehber olup, iyi uygulamalar örnekleri içerir. TSE bu standardı, bir Türk standardı olarak kabul etmiş ve Kasım 2002’de yayımlamıştır.
Standarda göre sistem kurmak için kuruluş; bilgi güvenliği politikasını belirlemeli, sistemin sınırlarını (alan, varlıklar, kapsam, teknoloji) belirlemeli, risk değerlendirme sonuçlarını yorumlamalı,  kullanacağı kontrolleri seçmeli ve yönetim sorumluluklarını açıkça belirtmelidir.
Bilgi güvenliği sistem dokümantasyonu şunlardanoluşacaktır; risk değerlendirme işlem kayıtları, yönetim sorumluluğu, politika (Örn: temiz masa, internet erişimi, kriptografi, erişim kontrolü v.b.) Özel operasyonel dokümanlar ve prosedürler, periyodik gözden geçirmeler… ISO 9001 disiplini elde etmiş firmalar bunları anlamakta zorlanmayacaklardır.
Üçüncü tarafların erişimi de pek çok firmada vardır ve kritiktir. Servis verenler, taşeronlar ve iş ortaklarının da erişimi dikkate alınmalı ve sürekli gözlenmelidir.
Her ne olursa olsun ticari süreklilik esastır… Çokbasit bir örnek verelim; yangın geçirmiş bir binaya itfaiye haftalarca giriş izni vermezse, işi kaybetmeye kadar varan çok ciddi zararlar ile karşı karşıya kalınabilir. İşlerin devamı için pek çok kriz planının önceden oluşturulmuş olması gerekmektedir. Şirket, başka bir yerden ve başka kişilerle işlerine devam edebilmelidir. Sistem, iş sürekliliği için önlemleri şart koşmaktadır.
ABD savunma sistemleri 2005 yılında 250.000 kezsaldırıya uğramış ve bunların %65’i başarılı olmuştur. Bu da bize göstermektedir ki, olumsuzluklar her şartta vardır ve var olmaya da devam edecektir. Çok ciddiye alınması gereken bir sistem standardı olan bu standart; her boyutta, her türlü kuruluş tarafından uygulanabilir. Önemli olan geç kalmamaktır.

Etiket : ISO 27001 BİLGİ GÜVENLİĞİ GEREKSİNİMİ NEDİR