Microsoft Word dergi 2008 V23 no2 sayfa 507-522. doc
Yüklə 0,71 Mb. Pdf görüntüsü
|
|
ISO/IEC 27001, BGYS için gereklilikleri ortaya
koyan bir standarttır. Daha öncede anlatıldığı gibi bilgilerin düzenli olarak maruz kaldığı tehditlerin tanımlanmasına, yönetilmesine ve bunların minimize edilmesine yardımcı olur.
Şekil 4. ISO/IEC 27001 PUKÖ döngüsü [20]
Bu standart; yönetim standartlarıyla (ISO 9001, ISO 14001) uyumlu olarak geliştirildiğinden yönetim standartlarının gereklerini de yerine getirmektedir. ISO/IEC 27001 standardının PUKÖ döngüsü Şekil 4’de gösterilmiş ve kısaca aşağıda açıklanmıştır [20]. Bunlar;
• Kapsam, daha önceki bölümlerde açıklandığı gibi kurumun tamamı veya belirli bir kısmını veya belirli bir hizmetini (internet bankacılığı, web uygulamaları, vb.) içerebilir. • Politika, Bilgi güvenliği neden önemlidir? Tehditler nelerdir? Risk yönetimi nasıl yapılmalıdır? Uyulması gereken kısıtlar (kanunlar yönetmelikler, vb.) nelerdir? Bu gibi soruların cevabını içeren üst yönetici tarafından onaylanan bilgi güvenliği politikasının bir üst kümesi olarak kabul edilen kısa dokümanlardır. • Risk Değerlendirme, hangi bilgi varlıklarının korunacağı belirlendikten sonra kuruluşa uygun risk değerlendirme yönteminin seçilerek risklerin tanımlanması yapılır. Seçilen risk değerlendirme yöntemine göre bilgi varlıkları Şekil 5’de örneği gösterilen risk haritasında konumlandırılır. Değerlendirilme yapıldıktan sonra risk değerlendirme haritasında, etkisi ve olasılığı yüksek olan tehditler için risklerin iyileştirilerek kontrol altına alınması işlemlerini kapsar. Risk haritasında bilgi varlıklarının yeri değişebileceğinden risk değerlendirme haritası düzenli olarak güncellenmeli ve gerekli önlemler alınmalıdır. • Risk İyileştirme, risklerin değerlendirilmesi tamamlandıktan sonra ISO/IEC 27001 standardı risklerin nasıl iyileştirileceğinin açıklanmasını ister. İyileştirme çalışmaları kapsamında risk kabul
Kurumsal Bilgi Güvenliği ve Standartları Üzerine Bir İnceleme Y. Vural ve Ş. Sağıroğlu Gazi Üniv. Müh. Mim. Fak. Der. Cilt 23, No 2, 2008 515
edilebilir, transfer edilebilir (sigorta, vb.) azaltma çalışmaları yapılabilir. Riskler karşısında alınması gereken önlemlerin bulunduğu dokümanlar risk iyileştirme planlarını oluşturmaktadır. •
Şekil 5. Risk değerlendirme haritası
• Uygulanabilirlik Beyannamesi, (Statement of Applicability-SOA), ISO/IEC 27001:2005 standardındaki kontrollerden hangilerinin kullanılıp kullanılmadığını gerekçeleriyle açıklayan belgelerdir. Kullanılan kontrollerin seçilme gerekçeleri, kullanılmayan kontrollerin dışarıda bırakılmasının açıklamasını içerir. Kullanılmayan kontrollerin yanlışlıkla çıkarılmadığının çapraz denetimini sağlar. Uygulanabilirlik beyannamesi risk yönetimini ilgilendiren kararların özetini içerir. • Risk İşleme Planı, güvenlik risklerini yönetmek için uygun yönetim eylemini, kaynaklarını, sorumluluklarını ve önceliklerini tanımlar. Seçilen kontrollerin yapılabilmesi için gerekli olan alt kontroller gerçekleştirilir ve kontrollerin etkinliği ölçülür. • Eğitim ve Bilinçlendirme, programlarıyla kurumdaki tüm personelin bilgi güvenliği faaliyetlerinin yarar ve öneminin farkında olarak, BGYS’nin amaçlarına ulaşılmasına nasıl katkı sağlayacağının farkında olması sağlanmalıdır. Ayrıca BGYS’yi teknik olarak etkileyecek işlerde çalışmak üzere uzman personel istihdam edilmesi veya ilgili personelin eğitimleri bu kapsamda yapılır. • Güvenlik İhlal Yönetimi, güvenlik olaylarının anında tespit edilerek güvenlik ihlâllerine zamanında cevaplar verilmesini sağlar. Daha önce denenen ve başarılı olan güvenlik kırılmaları, güvenlik yöneticisinin güvenlik faaliyetlerinin beklenen biçimde çalışıp çalışmadığının belirlenebilmesi, güvenlik önlemlerinin alınarak güvenlik ihlallerinin önlenmesi, bir güvenlik kırılmasını önlemek için alınan önlemlerin etkili olup olmadığına karar verilir. • Kaynakların Yönetimi, BGYS’yi kurma, gerçekleştirme, işletme, izleme, gözden geçirme, sürekliliğini sağlama ve iyileştirme için gereken kaynaklar kurum tarafından sağlanarak yönetimi yapılmalıdır. • İzleme ve Gözden Geçirme, BGYS’nin etkinliğinin düzenli olarak gözden geçirilmesi ve oluşabilecek değişiklikleri (teknoloji, iş amaçları ve süreçleri, tehditler, vb.) dikkate alarak, bilgi varlıklarının risk değerlendirmesinin belirli aralıklarla yeniden yapılmasını sağlar. • Yerel BGYS Denetimleri, ilk taraf denetimleri olarak adlandırılan yönetim tarafından kapsamın uygun kalması ve süreçlerin iyileştirilmesini sağlamak için düzenli olarak kuruluş tarafından veya kuruluş adına danışman firmalar tarafından gerçekleştirilir.
BGYS’nin iyileştirilmesi için kurum tarafından önleyici ve düzeltici tedbirler alınması gereklidir. Olumsuzlukların yaşanmaması için, risk değerlendirme sonuçlarına bağlı olarak değişen riskler bazında önleyici tedbirler alınmalıdır. Gerçekleştirilen önleyici faaliyetler, olası sorunların yapacağı etkiye uygun olmalıdır. BGYS gereksinimleriyle olumsuzlukları gidermek üzere düzeltici önlemler alınmalıdır. Önleyici tedbirler için gerçekleştirilen faaliyetler çoğunlukla düzenleyici tedbirler için gerçekleştirilen faaliyetlerden daha az maliyetlidir. ISO/IEC 27002, halen hazırlanma aşamasındadır. Bu standardın daha önceki bölümde açıklanan ISO/IEC 17799:2005 standardına eşdeğer olması beklenmektedir. Bilgi güvenliği ile ilgili standartların 27000 serisi altında yer almasından dolayı ISO/IEC tarafından böyle bir düzenlemeye gidilmiştir [21]. ISO/IEC 27003, 27001 standardının nasıl kullanılacağına dair açıklamalar ve örnekler içeren uygulama rehberi olarak geliştirilmekte olup tahmini olarak 2008 yılının Ekim ayında standart olarak yayınlanması beklenmektedir. Geliştirilen standart içerisinde temel olarak; kritik başarı faktörleri, süreç yaklaşımı üzerine rehber, PUKÖ modeli rehberi, planlama süreç rehberi, uygulama süreç rehberi, kontrol süreç rehberi, önlem alma süreç rehberi ve diğer kurumlarla birlikte çalışma gibi konu başlıklarının yer alması beklenmektedir [22].
standart bilgi güvenliği yönetim metrikleri ve ölçümüne tahsis edilmiştir. Bilgi güvenliği yönetim sistemlerinin etkinliğinin ölçülmesi ve raporlanmasında kurumlara yardımcı olması beklenen bu standardın tahmini olarak 2008 yılı içerisinde yayınlanması beklenmektedir [23].
standart BS 7799 Kısım–3 “BS 7799–3:2006 – Bilgi Güvenliği Yönetim Sistemleri – Bilgi Güvenliği Risk Yönetimi Kılavuzları” isimli İngiliz standardının ISO tarafından uyarlanması çalışmasını içermektedir. 2008 veya 2009 yılı içerisinde yayınlanması tahmin edilmektedir. BS 7799–3:2006 standardı 16 Mart
Y. Vural ve Ş. Sağıroğlu Kurumsal Bilgi Güvenliği ve Standartları Üzerine Bir İnceleme 516 Gazi Üniv. Müh. Mim. Fak. Der. Cilt 23, No 2, 2008 2006 tarihinde İngiliz standardı olarak kabul edilmiş, risklerin değerlendirilmesi, kontrollerin uygulanması, risklerin düzenli olarak izlenmesi ve gözden geçirilmesi gibi konu başlıklarını içermektedir [24].
standart “Bilgi Teknolojileri Felaket Önleme Hizmetleri Kılavuzu” ismiyle duyurulmuş ve tahmini olarak Kasım 2007 yılında yayınlanması planlanmaktadır [25].
denetlemesinde kullanılacak kılavuz niteliğinde geliştirilmesi düşünülen bu standart 2009 yılında tamamlanması beklenmektedir [26]. ISO/IEC 27031, standardı ISO 17799/27002 standardı esas alınarak telekom sektörü için özel olarak geliştirilmektedir. Kısa süre içerisinde ITU-T X.1051 ve ISO/IEC 27031 ismiyle yayınlanması beklenmektedir [27].
Yüklə 0,71 Mb. Dostları ilə paylaş:
|