Microsoft Word dergi 2008 V23 no2 sayfa 507-522. doc
Yüklə 0,71 Mb. Pdf görüntüsü
|
|
Şekil 2. BS–7799 (Sürüm–1) bölümleri
Güvenlik politikası: Bilgi güvenliği için yönetimin yönlendirilmesi ve desteğinin sağlanmasının yer aldığı bölümdür.
Güvenlik organizasyonu: İşletme içindeki bilgi güvenliğinin yönetilmesi, üçüncü taraflarca erişilen işletmeye ait bilgi işleme araçlarının ve bilgi varlıklarının güvenliğinin korunması ve bilgi işleme sorumluluğu başka bir işletmenin kaynaklarından sağlandığında bilgi güvenliğinin sürdürülmesidir.
Varlık sınıflandırması ve denetimi: İşletmeye ait varlıklar için uygun korunmanın sağlanması ve bilgi kaynaklarının uygun koruma seviyesine sahip olduklarının garanti edilmesidir.
Erişim kontrol: Bilgiye erişimin denetlenmesi, bilgi sistemlerine yetkisiz erişimin engellenmesi, yetkisiz kullanıcı erişimine izin verilmemesi, hizmetlerin korunması, yetkisiz işlemlerin tespit edilmesi ve uzaktan çalışma ortamlarında bilgi güvenliğinin sağlanmasıdır.
Uyum: Herhangi bir suçtan kaçınılması, organizasyonun güvenlik politikalarının ve standartlarının sisteme uyumunun sağlanması, sistem izleme işlemlerinin etkisinin artırılması ve karşılaşılan engellerin azaltılmasıdır.
Personel güvenliği: İnsan hatalarını, hırsızlığı, sahtekârlığı ve araçların yanlış kullanılması risklerinin azaltılması, kullanıcıların bilgi güvenliği tehditlerinden ve sorunlarından haberdar olduklarının ve normal çalışma seyirleri içinde organizasyonla ilgili güvenlik politikasını desteklemek üzere donatıldıklarının garanti edilmesidir. Ayrıca güvenlik ihlallerinden meydana gelen hasarın en aza indirilmesi ve bu gibi olaylardan gerekli tecrübelerin edinilmesidir.
Fiziki ve çevresel güvenlik: İşyerine yetkisiz erişimlerin engellenmesi ve bilgi varlıklarının hırsızlığa veya tehlikeye karşı korunmasıdır. Sistem bakım ve idamesi: Bilişim sistemleri içerisinde güvenliğin temin edilmesi, uygulama sistemlerindeki kullanıcı verilerinin kaybedilmesini, değişmesini ya da hatalı kullanımının önlenmesi, bilginin gizliliği, aslına uygunluğu ya da bütünlüğünün korunması, IT projelerinin ve destek etkinliklerinin güvenli bir şekilde yürütülmesini temin etmek ve uygulama yazılımının ve bilgilerin güvenliğini sağlamaktır.
İletişim ve işletim yönetimi: Bilgi işlem tesislerinin doğru ve güvenle işletildiğinden emin olunması, sistem arızalarını en az seviyeye indirilmesi, bilgi ve yazılım bütünlüğünün korunması, bilgi işlem ve iletişim hizmetlerinin kullanılabilirliği ve bütünlüğünün sürdürülmesi, ağlarda yer alan bilgilerin emniyetinin ve destekleyen altyapı sisteminin korunması, iş faaliyetlerinin kesintiye uğratılması ve varlıklara zarar verilmesinin önlenmesi ve organizasyonlar arasında akan bilginin yanlış amaçlarla kullanılması, değiştirilmesi ve kaybedilmesinin önlenmesidir.
İş süreklilik yönetimi: Ticari süreçlerde karşılaşılan olumsuzlukların giderilmesi ve kritik ticari işlemlerin devamlılığının sağlanmasıdır.
Kurumlar bilgi varlıklarını tespit edip sınıflandırdıktan sonra, bilgi varlıklarına yönelik tehditleri ve zafiyetleri değerlendirerek yukarıda anlatılan kontrollerden hangilerinin uygulanıp, hangilerinin uygulanamayacağına karar vererek standardın kapsamını kendi kurumlarına özgü bir şekilde belirleyebilmektedirler.
BS–7799 ikinci kısmında kurumsal güvenlik ihtiyaçlarının belirlenmesi için gerekli olan bilgi güvenliği yönetiminin çatısı tanımlanarak BS–7799 birinci kısmında tanımlanan kontroller uygulanmaktadır. Bu standart, yöneticilere ve personele etkin bir BGYS kurmaları ve yönetmeleri açısından bir model sağlamak üzere hazırlanmıştır. Bu modelde “Planla– Uygula–Kontrol Et–Önlem Al (PUKÖ)” adımları bulunmaktadır. Bu modelin basamakları ISO standartları bölümünde açıklanmıştır.
Bilgi güvenliği yönetim sistemleriyle ilgili diğer bir İngiliz standardı Aralık 2005’te BS7799–3:2005 Bilgi Güvenliği Yönetim Sistemleri Risk Yönetiminin Kuralları ismiyle hazırlanmıştır. Standart 2006 yılında tekrar gözden geçirilmiş ve BS7799–3:2006 ismiyle yayınlanmıştır. BS7799–3 standardı BS7799–2 standardının uygulanması için destek sağlayarak ölçeklenebilir (küçük, orta veya büyük kurumlar) yapıda standardın yaygınlaşmasına yardımcı olması için geliştirilmiştir. Standard içerisinde risk değerlendirmesi, belirlenen risklere kontrollerin uygulanması, tanımlanmış risklerin izlenmesi, kontrol yönetim sistemlerinin bakımı gibi risk yönetimi ile ilgili konular üzerine odaklanılmıştır. Kapsamın belirlenmesi, kural oluşturan kaynaklar, terimlerin Kurumsal Bilgi Güvenliği ve Standartları Üzerine Bir İnceleme Y. Vural ve Ş. Sağıroğlu Gazi Üniv. Müh. Mim. Fak. Der. Cilt 23, No 2, 2008 513
tanımı, kurum bağlamında risk, risk değerlendirmesi, risk kararının verilmesi, risk yönetimi BS7799–3 standardının bölümlerini oluşturmaktadır [15]. Yüklə 0,71 Mb. Dostları ilə paylaş:
|