tanımlanması yapılır. Seçilen risk değerlendirme
işlemlerini kapsar. Risk haritasında bilgi varlıklarının
Kurumsal Bilgi Güvenliği ve Standartları Üzerine Bir İnceleme
Y. Vural ve Ş. Sağıroğlu
Gazi Üniv. Müh. Mim. Fak. Der. Cilt 23, No 2, 2008
515
edilebilir, transfer edilebilir (sigorta, vb.) azaltma
çalışmaları yapılabilir. Riskler karşısında alınması
gereken önlemlerin bulunduğu dokümanlar risk
iyileştirme planlarını oluşturmaktadır.
•
Şekil 5. Risk değerlendirme haritası
• Uygulanabilirlik Beyannamesi, (Statement of
Applicability-SOA), ISO/IEC 27001:2005
standardındaki kontrollerden hangilerinin kullanılıp
kullanılmadığını gerekçeleriyle açıklayan belgelerdir.
Kullanılan kontrollerin seçilme gerekçeleri,
kullanılmayan kontrollerin dışarıda bırakılmasının
açıklamasını içerir. Kullanılmayan kontrollerin
yanlışlıkla çıkarılmadığının çapraz denetimini sağlar.
Uygulanabilirlik beyannamesi risk yönetimini
ilgilendiren kararların özetini içerir.
• Risk İşleme Planı, güvenlik risklerini yönetmek
için uygun yönetim eylemini, kaynaklarını,
sorumluluklarını ve önceliklerini tanımlar. Seçilen
kontrollerin yapılabilmesi için gerekli olan alt
kontroller gerçekleştirilir ve kontrollerin etkinliği
ölçülür.
• Eğitim ve Bilinçlendirme, programlarıyla
kurumdaki tüm personelin bilgi güvenliği
faaliyetlerinin yarar ve öneminin farkında olarak,
BGYS’nin amaçlarına ulaşılmasına nasıl katkı
sağlayacağının farkında olması sağlanmalıdır. Ayrıca
BGYS’yi teknik olarak etkileyecek işlerde çalışmak
üzere uzman personel istihdam edilmesi veya ilgili
personelin eğitimleri bu kapsamda yapılır.
• Güvenlik İhlal Yönetimi, güvenlik olaylarının
anında tespit edilerek güvenlik ihlâllerine zamanında
cevaplar verilmesini sağlar. Daha önce denenen ve
başarılı olan güvenlik kırılmaları, güvenlik
yöneticisinin güvenlik faaliyetlerinin beklenen
biçimde çalışıp çalışmadığının belirlenebilmesi,
güvenlik önlemlerinin alınarak güvenlik ihlallerinin
önlenmesi, bir güvenlik kırılmasını önlemek için
alınan önlemlerin etkili olup olmadığına karar verilir.
• Kaynakların Yönetimi, BGYS’yi kurma,
gerçekleştirme, işletme, izleme, gözden geçirme,
sürekliliğini sağlama ve iyileştirme için gereken
kaynaklar kurum tarafından sağlanarak yönetimi
yapılmalıdır.
• İzleme ve Gözden Geçirme, BGYS’nin
etkinliğinin düzenli olarak gözden geçirilmesi ve
oluşabilecek değişiklikleri (teknoloji, iş amaçları ve
süreçleri, tehditler, vb.) dikkate alarak, bilgi
varlıklarının risk değerlendirmesinin belirli aralıklarla
yeniden yapılmasını sağlar.
• Yerel BGYS Denetimleri, ilk taraf denetimleri
olarak adlandırılan yönetim tarafından kapsamın
uygun kalması ve süreçlerin iyileştirilmesini sağlamak
için düzenli olarak kuruluş tarafından veya kuruluş
adına danışman firmalar tarafından gerçekleştirilir.
BGYS’nin iyileştirilmesi için kurum tarafından
önleyici ve düzeltici tedbirler alınması gereklidir.
Olumsuzlukların yaşanmaması için, risk
değerlendirme sonuçlarına bağlı olarak değişen riskler
bazında önleyici tedbirler alınmalıdır. Gerçekleştirilen
önleyici faaliyetler, olası sorunların yapacağı etkiye
uygun olmalıdır. BGYS gereksinimleriyle
olumsuzlukları gidermek üzere düzeltici önlemler
alınmalıdır. Önleyici tedbirler için gerçekleştirilen
faaliyetler çoğunlukla düzenleyici tedbirler için
gerçekleştirilen faaliyetlerden daha az maliyetlidir.
ISO/IEC 27002, halen hazırlanma aşamasındadır. Bu
standardın daha önceki bölümde açıklanan ISO/IEC
17799:2005 standardına eşdeğer olması
beklenmektedir. Bilgi güvenliği ile ilgili standartların
27000 serisi altında yer almasından dolayı ISO/IEC
tarafından böyle bir düzenlemeye gidilmiştir [21].
ISO/IEC 27003, 27001 standardının nasıl
kullanılacağına dair açıklamalar ve örnekler içeren
uygulama rehberi olarak geliştirilmekte olup tahmini
olarak 2008 yılının Ekim ayında standart olarak
yayınlanması beklenmektedir. Geliştirilen standart
içerisinde temel olarak; kritik başarı faktörleri, süreç
yaklaşımı üzerine rehber, PUKÖ modeli rehberi,
planlama süreç rehberi, uygulama süreç rehberi,
kontrol süreç rehberi, önlem alma süreç rehberi ve
diğer kurumlarla birlikte çalışma gibi konu
başlıklarının yer alması beklenmektedir [22].
ISO/IEC 27004, halen geliştirilme aşamasında olan bu
standart bilgi güvenliği yönetim metrikleri ve
ölçümüne tahsis edilmiştir. Bilgi güvenliği yönetim
sistemlerinin etkinliğinin ölçülmesi ve
raporlanmasında kurumlara yardımcı olması beklenen
bu standardın tahmini olarak 2008 yılı içerisinde
yayınlanması beklenmektedir [23].
ISO/IEC 27005, halen geliştirilme aşamasında olan bu
standart BS 7799 Kısım–3 “BS 7799–3:2006 – Bilgi
Güvenliği Yönetim Sistemleri – Bilgi Güvenliği Risk
Yönetimi Kılavuzları” isimli İngiliz standardının ISO
tarafından uyarlanması çalışmasını içermektedir. 2008
veya 2009 yılı içerisinde yayınlanması tahmin
edilmektedir. BS 7799–3:2006 standardı 16 Mart
Y. Vural ve Ş. Sağıroğlu
Kurumsal Bilgi Güvenliği ve Standartları Üzerine Bir İnceleme
516
Gazi Üniv. Müh. Mim. Fak. Der. Cilt 23, No 2, 2008
2006 tarihinde İngiliz standardı olarak kabul edilmiş,
risklerin değerlendirilmesi, kontrollerin uygulanması,
risklerin düzenli olarak izlenmesi ve gözden
geçirilmesi gibi konu başlıklarını içermektedir [24].
ISO/IEC 27006, halen geliştirilme aşamasında olan bu
standart “Bilgi Teknolojileri Felaket Önleme
Hizmetleri Kılavuzu” ismiyle duyurulmuş ve tahmini
olarak Kasım 2007 yılında yayınlanması
planlanmaktadır [25].
ISO/IEC 27007, ISO 27001 standardına göre BGYS
denetlemesinde kullanılacak kılavuz niteliğinde
geliştirilmesi düşünülen bu standart 2009 yılında
tamamlanması beklenmektedir [26].
ISO/IEC 27031, standardı ISO 17799/27002 standardı
esas alınarak telekom sektörü için özel olarak
geliştirilmektedir. Kısa süre içerisinde ITU-T X.1051
ve ISO/IEC 27031 ismiyle yayınlanması
beklenmektedir [27].
Dostları ilə paylaş: