tr+90 (212) 242 70 70
·
info@madhukuk.com
·
Abdi İpekçi Cad. Atiye Sok. No:10A/1 Nişantaşı / İstanbul / Turkey

ISO 27001 Bilgi Güvenliği Yönetim Sistemi

, , , , ,
no comments

ISO 27001 : BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ

1.    ISO 27001 Bilgi Güvenliği Yönetim Sistemi Nedir?

2.    ISO 27001 Neden Gereklidir?

3.    ISO 27001 Bilgi Güvenliği Yönetim Sistemi’nin Faydaları Nelerdir?

4.    ISO 27001 Kimleri İlgilendirir?

6.    ISO/IEC 27001 İle ilgili Terim ve Kavramlar

7.    ISO 27001 Bilgi Güvenliği Yönetim Sistemi Kurmanın Yararları

8.    ISO 27001 Bilgi Güvenliği Sistemi Kurulması

ISO 27001’DE VARLIK YÖNETİMİ

1.    Varlıkların Sınıflandırılması

2.    Varlık Envanterinin Hazırlanması

3.    Örnek Varlık Envanteri

GİRİŞ

İşbu ödevde genel olarak “Yönetişim” hakkında çeşitli değerlendirmeler yapılacak olup, aşağıda yer alan sorulara da cevaplar verilmeye çalışılacaktır; 

  • ISO 27001 BGYS sistemi nedir? 
  • Neden tercih ediliyor? 
  • Türkiye’de hangi kurumlarda uygulanması zorunludur? 
  • Başarıya ulaşması için ana kriterler nelerdir? 
  • Bilgi güvenliğinde varlık yönetimi nedir?
  • Bilgi güvenliği varlıklarının sınıflandırılması nasıl yapılır? 
  • Varlık envanteri nasıl hazırlanır?
  • Örnek bir varlık envanteri nasıl olur?

ISO 27001: BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ  

Bilgi, kuruluşların faaliyetleri ve devamlılığı için büyük bir önem taşır. 

ISO/IEC 27001; Bilgi Güvenliği Yönetimi Sistemi (ISMS) gereksinimlerini tanımlayan tek uluslararası denetlenebilir standarttır. Bu sistem, yeterli ve orantılı güvenlik denetimleri seçilmesini sağlamak amacıyla tasarlanmıştır.

ISO 27001; kurumların risk yönetimi ve risk işleme planlarını, bu kapsamda kurum içi görev ve sorumlulukları, iş devamlılığı planlarını, acil durum olay yönetimi prosedürlerini hazırlamasını ve uygulamada bunların kayıtlarını tutmasını gerektirir. Kurumlar tüm bu faaliyetlerin de içinde yer aldığı bir bilgi güvenliği politikası yayınlamalı ve personelleri bilgi güvenliği ve tehditler hakkında bilinçlendirmelidir. Seçilen kontrol hedeflerinin ölçülmesi ve kontrollerin amacına uygunluğunun ve performansının sürekli takip edildiği yaşayan bir süreç olarak bilgi güvenliği yönetimi ancak yönetimin aktif desteği ve personelin katılımcılığıyla başarılabilir.

Bilgi varlıklarının korunması, taraflara ve özellikle de müşterilere güven verilmesi hususunda yardımcı olmaktadır. Bu standart, Bilgi Güvenliği Yönetimi Sistemi’nin oluşturulması, uygulanması, işletilmesi, izlenmesi, incelenmesi, sürdürülebilmesi ve geliştirilmesi hedeflerini benimsemektedir.

1.     ISO 27001 Bilgi Güvenliği Yönetim Sistemi Nedir?

Bilgi; bir kurumun iş sürekliliğini sağlamasında en önemli değerlerinden birisidir. Birçok varlığın kaybedilmesi durumunda telafisi mümkün iken kaybedilen bilginin parasal bir karşılığı yoktur. Bu sebeple değişen ve gelişen günümüz koşullarında bilginin önemi ve korunması gerekliliği de giderek artmaktadır. Bilgi; yazı ile elektronik ortamlarda, sözle, çalışanların hafızalarında ve daha birçok biçimde kullanılabilir ve saklanabilir. Teknolojik gelişmeler sebebi ile de bu kullanım biçimlerinin birçoğu zamanla kullanılmayabilir ya da değişebilir. İşte bu değişim ve gelişimden dolayı sürekli olarak bilginin güvenliğinin sorgulanması ve kontrol edilmesi gerekmektedir. Bilgi güvenliği, bilginin gizliliğinin, bütünlüğünün, kullanılabilirliğinin korunmasıdır.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi, kurumsal bilgi güvenliğinin sağlanmasında insanları, süreçleri ve bilgi sistemlerini içine alan ve üst yönetim tarafından desteklenen bir yönetim sistemidir. Bilgi varlıklarını korumak ve ilgili taraflara güven veren, yeterli ve orantılı güvenlik kontrollerini sağlamak için tasarlanmıştır. ISO 27001 Bilgi Güvenliği Yönetim Sistemi, kurumsal yapıyı, politikaları, planlama faaliyetlerini, sorumlulukları, uygulamaları, prosedürleri, prosesleri (süreçleri) ve kaynakları içerir.

2.    ISO 27001 Neden Gereklidir?

Bir kuruluşun sadece teknik önlemlerle bilgi güvenliğini ve iş sürekliliğini korumasının mümkün olmadığı, bunun yanı sıra BGYS gibi bir takım önlem ve denetimlerin sağlanması gerektiği konusu tüm dünyada kabul edilmiş bir yaklaşımdır. BGYS çerçevesinde oluşturulacak güvenlik politikalarına üst yönetim ve tüm çalışanların destek vermesi ve öngörüldüğü şekilde uygulaması gerekmektedir ki hedeflenen sonuçlara ulaşılabilsin. Ayrıca işbirliğinde bulunulan tüm kişi ve kuruluşların da bu politikalara uygun davranması, bilgi güvenliğini artırıcı bir faktördür. 

3.    ISO 27001 Bilgi Güvenliği Yönetim Sistemi’nin Faydaları Nelerdir?
  • Doğru, güvenilir ve geçerli bilgiler sağlar.
  • Fazladan iş yükü ve gereksiz zaman kaybının önüne geçer.
  • Riskleri minimize eder.
  • İş sürekliliği sağlar.
  • Bilgi varlıklarının gizliliğinin korunmasını sağlar.
  • Kuruluş genelinde, bilgi sistemleri ve zayıflıkların nasıl korunacağı konusundaki farkındalığı artırır.
  • Bilginin ve metotlarının doğruluğunun ve bütünlüğünün korunması, içeriğinin değişmemesi sağlanır.
  • Yasal tarafların zorunlu kıldığı kriterler sağlanmış olur.
  • Bilgi varlıklarına erişim korunur.
  • Kurumsal saygınlık korunur.
  • Rekabet avantajı sağlar.

4.     ISO 27001 Kimleri İlgilendirir?

ISO 27001, dünyanın hangi ülkesinden veya hangi sektörden olursa olsun büyük veya küçük ölçekli tüm kuruluşlara uygundur. Bu standart; finans, sağlık, kamu ve bilgi teknolojileri sektörleri gibi bilginin büyük öneme sahip olduğu alanlarda özellikle gereklidir. ISO 27001, bilgi teknolojileri taşeron şirketleri gibi bilgiyi başkaları adına yöneten kuruluşlar için de oldukça önemlidir. Müşterilere bilgilerinin koruma altında olduğu güvencesini vermek amacıyla kullanılabilir.

  • ISO 27001 Belgesi Nerelerde Zorunludur?

26.12.2014 tarihli ve 29217 sayılı Resmî Gazete‘de yayımlanan değişikliklerle, Enerji Piyasası Düzenleme Kurumu (EPDK); Petrol, Elektrik, Doğalgaz Piyasası’ndaki firmalar için ISO 27001 Bilgi Güvenliği Yönetim Sistemi belgesine sahip olmayı zorunlu hale getirmiştir. 

T.C. Gümrük ve Ticaret Bakanlığı tarafından, 10 Ocak 2013 tarihli Resmî Gazete‘de yayımlanan “Gümrük İşlemlerinin Kolaylaştırılması Yönetmeliği” kapsamında hayata geçirilen, “Yetkilendirilmiş Yükümlü” statüsü; gümrük yükümlülüklerini yerine getiren, mali yeterliliğe ve güvenlik standartlarına (ISO 27001 ve ISO 9001) sahip firmalara verilmektedir.

Gelir İdaresi Başkanlığı – Denetim ve Uyum Yönetimi Daire Başkanlığı’nın Nisan 2015 tarihli e-Fatura Uygulaması Özel Entegrasyon Kılavuzu’nda, e-Fatura hizmeti verecek özel entegratör firmalara ISO 27001, ISO 22301 ve ISO 20000 belgelerinin alınması zorunluluğu getirildiği bildirilmektedir. 

ISO 27001 alma zorunluluğu olan sektörler şunlardır: 

  • Görev sözleşmesi imzalayan firmalar,
  • İmtiyaz sözleşmesi imzalayan firmalar,
  • Uydu haberleşme hizmeti veren firmalar,
  • Altyapı işletmeciliği hizmeti veren firmalar,
  • Sabit telefon hizmeti veren firmalar,
  • GMPCS mobil telefon hizmeti veren firmalar,
  • Sanal mobil şebeke hizmeti veren firmalar,
  • İnternet servis sağlayıcıları,
  • Hava taşıtlarında GSM 1800 mobil telefon hizmeti veren firmalar,
  • E-fatura özel entegratör yetkisi almak isteyen firmalar,
  • Gümrük işleri kolaylaştırma yetkisi almak isteyen ihracatçı firmalar,
  • Elektronik haberleşme şebekesi sağlayan ve alt yapısını işleten firmalar,
  • Bilişim sektöründe faaliyet gösteren ve kamu ihalelerine giren yazılım, donanım ve entegratör firmalar.

ISO 27001 alma zorunluluğu olmayan sektörler ise şunlardır:

  • Uydu platform hizmeti veren işletmeciler,
  • Kablolu yayın hizmeti işletmecileri,
  • Ortak kullanımlı telsiz hizmeti veren işletmeciler,
  • Rehberlik hizmeti işletmecileri.

6.    ISO/IEC 27001 İle ilgili Terim ve Kavramlar

  • Bilgi Güvenliği Yönetim Sistemi (BGYS): Bilgi güvenliğini kurmak, gerçekleştirmek, işletmek, izlemek, gözden geçirmek, sürdürmek ve geliştirmek için, iş riski yaklaşımına dayalı tüm yönetim sisteminin bir parçası.
  • Risk analizi: Kaynakları belirlemek ve riski tahmin etmek amacıyla bilginin sistematik kullanımı.
  • Risk değerlendirme: Risk analizi ve risk derecelendirmesini kapsayan tüm proses.
  • Risk derecelendirme: Riskin önemini tayin etmek amacıyla tahmin edilen riskin verilen risk kriterleri ile karşılaştırılması prosesi.
  • Risk yönetimi: Bir kuruluşu risk ile ilgili olarak kontrol etmek ve yönlendirmek amacıyla kullanılan koordineli faaliyetler.
  • Risk işleme: Riski değiştirmek için alınması gerekli önlemlerin seçilmesi ve uygulanması prosesi.
  • Uygulanabilirlik bildirgesi: Kuruluşun BGYS’si ile ilgili ve uygulanabilir kontrol amaçlarını ve kontrolleri açıklayan yazılı bildiri.

7.    ISO 27001 Bilgi Güvenliği Yönetim Sistemi Kurmanın Yararları

  • Bilgi varlıklarının farkına varma: Kuruluş; bu sayede hangi bilgi varlıklarına sahip olduğunun ve sahip olduğu değerin farkına varır.
  • Sahip olduğu varlıkları koruyabilme: Kuracağı kontroller ile koruma metotlarını belirler ve bunları uygulayarak koruma altına alır.
  • İş sürekliliği: Uzun yıllar boyunca işini garanti eder. Ayrıca bir felaket halinde, işe devam etme yeterliliğine sahip olur.
  • İlgili taraflar ile barış halinde olma: Başta tedarikçileri olmak üzere, tüm ilgililerin bilgilerinin korunacağının güvencesini verir ve bu tarafların güvenini kazanır.
  • Bilgiyi bir sistem sayesinde korur, tesadüfe bırakmaz. 
  • Müşterileri değerlendirme aşamasında rakiplerine göre üstünlük sağlar.
  • Çalışanların motivasyonunu arttırır.
  • Yasal takipleri ve olası tazmin sorumluluklarını önler.
  • Yüksek itibar sağlar.

8.    ISO 27001 Bilgi Güvenliği Sistemi Kurulması

15.10.2010 tarihinde Elektronik Haberleşme Güvenliği Kapsamında Ts Iso/Iec 27001 Standardı Uygulamasına İlişkin Tebliğ yayınlanmıştır. Bu tebliğ ile hedeflenen amaç; “Elektronik Haberleşme Güvenliğini Sağlama Yükümlülüğü”nün uygulanmasına ilişkin usul ve esasları düzenlemektir.

Söz konusu sitemin kurulmasının aşamaları:

  • Varlıkların sınıflandırılması,
  • Gizlilik, bütünlük ve erişebilirlik kriterlerine göre varlıkların değerlendirilmesi,
  • Risk analizi,
  • Risk analizi çıktılarına göre uygulanacak kontrolleri belirleme, 
  • Dokümantasyon oluşturma,
  • Kontrolleri uygulama,
  • İç tetkik,
  • Kayıtları tutma,
  • Yönetimin gözden geçirmesi,
  • Belgelendirme.

ISO 27001’DE VARLIK YÖNETİMİ

ISO27001 standardında varlık yönetimine ilişkin şartlar ve kontroller Ek A.8 maddesi altında toplanmıştır. Söz konusu maddede şunlardan bahsedilmektedir: varlık envanteri, varlıkların sahipliği, varlıkların kabul edilebilir kullanımı ve varlıkların iadesi.

1.     Varlıkların Sınıflandırılması

Kurum ve kuruluşlarda; ilgili süreçlerin işletilmesi ve faaliyetlerin devamı sonucu üretilen yüzlerce, binlerce bilgi mevcuttur. Şüphesiz bu bilgilerin tamamı bu kurum ve kuruluşlar için önemli ve korunması gerekli verilerdir fakat bu bilgiler kendi içlerinde farklı önem derecelerine sahiptir. Örneğin; bazı bilgilerin kuruluş dışına sızması kuruluşa bir zarar vermez iken; bazı bilgilerin sızması kuruluşa çok büyük zararlar verebilir. Bu nedenle güvenlik önlemlerinin, bilginin önem derecesi gözetilerek buna uygun bir seviyede alınması gerekmektedir.

ISO27001 standardı da bu doğrultuda hareket ederek bilginin sınıflandırılmasını, etiketlenmesini ve bu bilgileri içeren varlıkların kullanımı ile ilgili düzenlemelerin yapılması için yol gösterici niteliktedir.

Asıl amaç; bilginin yasal gereksinimleri, değeri, kritikliği ve yetkisiz ifşa veya değiştirilmeye karşı hassasiyetine göre sınıflandırılma yapılmasıdır. Bilgi için sınıflandırma ve ilgili koruma kontrollerinin de, bilgi paylaşımı ya da kısıtlaması için yasal gereklerin yanı sıra iş ihtiyaçları da dikkate alınmalıdır. Bilginin saklandığı, işlendiği ya da başka türlü ele alındığı ya da korunduğu bilgi dışındaki varlıklar da bilgi sınıflandırması ile uyumlu olarak sınıflandırılabilir.

Sınıflandırma; sınıflandırma ve sınıflandırmanın zaman içerisinde gözden geçirilmesi kriterleri için teamülleri içermelidir. Sınıflandırmadaki koruma düzeyi gizlilik, bütünlük ve erişilebilirlik ve ele alınan tüm gereksinimler analiz edilerek değerlendirilmelidir. Sınıflandırma, erişim kontrol politikası (bk. Madde 9.1.1) ile uyumlaştırılmalıdır.

Sınıflandırma, herkesin bilgi ve ilgili varlıkları aynı şekilde sınıflandırmaları, koruma gereksinimleri hususunda ortak bir anlayışa sahip olmaları ve uygun koruma uygulamaları için tüm kuruluş genelinde tutarlı olmalıdır.

Sınıflandırma, kuruluşun proseslerine dâhil edilmeli ve kuruluş çapında tutarlı ve uyumlu olmalıdır. Sınıflandırma sonuçları; kuruluşun kendi hassasiyetine ve kritikliğine bağlı olarak, örneğin gizlilik, bütünlük ve erişilebilirlik gibi açılardan varlıkların değerini belirtmelidir. Sınıflandırma sonuçları, yaşam döngüsü yoluyla hassasiyete ve kritikliğe göre varlıkların değerindeki değişiklik ile uyumlu olarak güncellenmelidir.

Sınıflandırma, bilgi ile uğraşan kişilere onu nasıl ele alacağı ve koruyacaklarına ilişkin net bir belirtim sağlar. Benzer koruma ihtiyaçları olan bilgi grupları oluşturularak ve her gruptaki tüm bilgiler için geçerli bilgi güvenliği prosedürleri uygulanarak bu kolaylaştırılır. Bu yaklaşım, her bir durum için risk değerlendirmesi ve kontrollerin özellikle tasarlanması ihtiyacını azaltır.

Örneğin; bilgi gizliliği sınıflandırması aşağıdaki dört seviyeyi temel alabilir: 

a) İfşa edilmesi durumunda hiç bir zarar olmaz, 

b) İfşa edilmesi durumunda küçük bir mahcubiyete ya da küçük bir sıkıntıya neden olur, 

c) İfşa edilmesi durumunda işlemler ya da taktik amaçlar üzerinde kısa vadeli etkiye neden olur, 

d) İfşa edilmesi stratejik hedefler üzerinde uzun vadeli etkiye neden olur ya da kuruluşun varlığını risk altına sokar.

2.     Varlık Envanterinin Hazırlanması

Kuruluşlarda varlıkların belirlenmesi ve varlıklara değer atanması, risk analizi süreci için temel bir adımdır. Varlıklara değer atanmasının yapılabilmesi için bir envantere ihtiyaç duyulmaktadır. 

Kuruluşlar içinde bir “varlık yönetim kılavuzu” veya “varlık envanteri yönetim kılavuzu” hazırlanmasında fayda vardır. Bu kılavuzda özellikle envantere yeni bir varlığın eklenmesi ve envanterden varlık çıkarılması süreçleri ile envanter sorumlusu net olarak belirtilmelidir.

BGYS için varlık envanteri hazırlanırken öncelikle, tüm varlıkların kapsandığından emin olmak için gruplandırma yapmak varlıkların tanımlanması işini kolaylaştıracaktır. Bu anlamda; bilgi varlıkları, yazılımsal varlıklar, fiziksel varlıklar, servisler vb. gibi bir gruplandırma yapılabilir.

Oluşturulacak varlık envanteri için öncelikle bilgi varlıkları belirlenmelidir. İlgili bilgi varlığını taşıyan, saklayan ortamların (yazılım, donanım gibi) ilgili bilgi varlığının hemen ardından envantere işlenmesinde envanterin okunabilirliği ve düzenli olması açısından faydası büyüktür. Varlık envanteri birden fazla tabloda tutulabileceği gibi tek bir tabloda da tutulabilir. Şayet organizasyon içindeki varlık sayısı çok yüksek mertebelerde ise varlıklar yazılım, donanım, bilgi, süreç gibi ayrı ayrı envanterlerde tutulmasında fayda vardır.

Varlık envanterinin aşağıda tanımlanan bilgileri içermesi tavsiye edilir: 

  • Varlık: Tabloda bu bölüme varlığın adı yazılır varlıkların birbirinden ayrılması için gereklidir. 
  • Varlık Grubu: Varlık envanterinin okunabilirliğini arttırmak ve düzenli bir yapıda olmasını sağlamak maksadı ile varlıklar gruplandırılabilir. Mantıksal olarak benzer iş için kullanılan varlıklar bir grupta bulunabileceği gibi (ör: dokümanlar, kılavuzlar, altyapı sistemi, e-posta servisi vb.) iş süreçleri çerçevesinde bir gruplandırma (ör: iş sürekliliği süreci) yapılabilir. Ayrıca varlıklar, mantıksal olarak varlık grupları altında listelenebilirler. Varlık grubu veya varlığın adı yazılır. Ör: Kablosuz ağ sistemi, uygulama ve veri tabanı sistemi.
  • Kategori: Varlık envanterinde anlaşılabilirliğin arttırılması maksadıyla varlıklar ortak kategoriler altında derlenebilirler. Sunucu, yazılım, donanım, medya, doküman, kılavuz, tablo, bilgi, kurum çalışanı vb ortak özelliklere sahip varlıklar bu kategori altında listelenebilir.
  •  Varlık Sahibi: Varlık sahibi, tanımlanan rol ve sorumluluklara paralel olarak belirlenir. (Ör: Muhasebe Bölümü Müdürü) 
  • Emanetçi: Varlığın –varsa– emanetçisini belirtir. (Ör: Ağ Yöneticisi) 
  • Bulunduğu yer: Varlığın bulunduğu fiziksel yeri belirtir.(Ör: Sistem odası) 
  • Gizlilik Değeri: Varlığın yetkisiz kişilerce erişilmesi sonucu doğacak zararı belirtir.
  • Bütünlük Değeri: Varlığın bütünlüğünün bozulması sonucunda doğacak zararı belirtir.
  • Değer: Gizlilik, bütünlük ve erişilebilirlik değerleri kullanılarak belirlenebilecek bir değerdir.  
  • Varlığın Eklenme Tarihi: Varlığın, varlık listesine eklenme tarihidir. Envanter takibi ve uygun risk analizinin yapılıp yapılmadığını takip etmek için kullanılabilir bir veridir. 
  • Açıklama: Nitel değerlendirmelerle ilgili yardımcı açıklamalar, varlığın kısa tanımını ve gerekli olabileceği düşünülen diğer bilgileri içerir.

3.     Örnek Varlık Envanteri

NoVarlıkGrubuVarlıkKategoriVarlık SahibiVarlık
Emanetçisi		Gizlilik
Değeri		Bütünlük
Değeri		Erişilebilirlik
Değeri		DeğerVarlığın
Eklenme Tarihi		Açıklama
1FinansDekontlarMaliMuhasebeMüdürYüksekYüksekDüşükYüksek20.10.1916:32 
2EşyaMallarDepoDepoMüdürDüşükYüksekYük-sekDüşük29.11.1911:27 
3MüşteriMüşteriMüşteriİnsan
Kaynakları		MüdürYüksekYüksekDüşükYüksek02.01.2014:27 
4           
5           
6           

 

Previous Post

Yorum Yapın

Son Makaleler

Ayıplı Mal
04/09/2019
Kiraya Verenin Hapis Hakkı
28/02/2019
Yabancı Uyruklu Kişilerin Türkiye’ye Giriş ve Oturma İzinlerine İlişkin İşlemler
28/02/2019