Bilgi güvenliği ile alakalı-alakasız (güzel ülkemde bilgi güvenliği uzmanı ilanı verip görüşmede "bize checkpoint'te yılda 2-3 bug bulabilecek biri lazım" diyen zihniyet de var) hemen her iş ilanında varsayılan (default) gereksinimlerden biridir; ISO 27001 hakkında bilgi sahibi olmak. Bildiniz! bir diğeri de COBIT.Bu konuyla ilgilenen genç okuyucuların şevkini yazının başında kırmak istemiyorum bu nedenle serzenişleri sona bırakayım.
Politika ve prosedürlerle ilgili yazıda yazdığım gibi, bakkal dükkanından farklı ve risklerinizin farkında olmak,riskleri ortadan kaldırmaya ya da azaltmaya çalışmak, kaynaklarınızı verimli kullanmak, faaliyet gösterdiğiniz sektörde rekabet gücü oluşturmak istiyorsanız yönetim sistemleri kullanacaksınız. Ek olarak, bilgi ve bilginin gizliliği, doğruluğu, erişilebilirliği sizin için önemliyse bilgi güvenliği yönetim sistemi kurmalı ve işletmelisiniz.İşte ISO 27001:2005 size elinize yüzünüze bulaştırmadan bu işin altından nasıl kalkabileceğiniz konusunda yol gösteriyor.
ISO/IEC 27001:2005 nam-ı diğer ISO 27001, ISO (International Organization for Standardization) ve IEC (International Electrotechnical Commission) isimli organizasyonların BS (British Standard) 7799 isimli ingiliz standardınının ikinci bölümünü baz alarak hazırladıkları ,ISO 27000 standart ailesinin en bilindik ( bilindik derken her ağzında sakız eden bilmiyor, yanlış anlamayın) standardı. Başlığından anlaşılabileceği gibi Bilgi Güvenliği Yönetim Sistemi oluşturulması,izlenmesi,işletilmesi ve gözden geçirilmesi için gereksinimleri, yani olmazsa olmaz kontrolleri belirliyor,süreç odaklı yaklaşımla bir model oluşturuyor.
Bilginin güvenliğini ciddiye alan,küçük-büyük, her sektörden firmanın,kuruluşun faydalanabileceği bir standart aslında ama tek başına BGYS kurulumu,işletimi için yeterli olmadığını düşünüyorum, yine ISO 27000 ailesinden diğer standartlarla desteklenmeli.Aynı zamanda denetlenebilir ve sertifikalandırılabilir olması da bu standardı çoğu standarttan ayıran özellik.
Standart numarasının sonundaki 2005 rakamı, standardın yayın tarihini gösteriyor. Standart JTC 1 (Joint Technical Committee) isimli Teknik komitenin SC 27 isimli alt komitesinin ürünü, Türkiye de TSE ile bu alt komiteye gözlemci ülke olarak üye olmuş. ISO, sağolsun 134 isviçre frangına (an itibariyla yaklaşık 111 EURO) bu standart dökümanını çatır çatır satıyor, açıkçası ben de bu dökümanı paylaşım sitelerinden birinde uzun aramalar sonucu bulabildim.
Standart PDCA (Plan-Do-Check-Act) denen bir modeli daha doğrusu bir döngüyü baz almış ve BGYS kurulumunu da bu döngüye göre aşamalandırıyor. Model PUKÖ (Planla-Uygula-Kontrol Et-Önlem Al) şeklinde türkçeleştirilmiş.
- Planla (Plan)
- BGYS'nin kapsamının belirlenmesi
- BGYS politikasının hazırlanması
- Kurumun Risk Değerlendirme yaklaşımını belirlemesi (yani kullanılacak metodolojinin,kabul edilebilir risk seviyelerinin ve risklerin belirlenmesi)
- Risklerin belirlenmesi ( kapsam dahilindeki varlıkların ve bu varlıklara yönelik tehditlerin,zaafiyetlerin ve bu tehditlerin sebep olabileceği zararın belirlenmesi)
- Risklerin azaltılmasında kullanılacak kontrol hedeflerinin ve kontrollerin belirlenmesi
- Risk yönetimi için yönetim onayının alınması
- Uygulanabilirlik Beyanı'nın (Statement of Applicability) hazırlanması ( hangi kontrol hedefleri ve kontrollerin ne amaçla seçildiği, uygulanacağı veya uygulanmayacağını belirten doküman )
- Uygula (Do)
- Risk İyileştirme Planı uygulamak
- Uygun kontrollerin seçilmesi
- Kontrollerin etkinliğinin nasıl ölçüleceğinin belirlenmesi
- Eğitim ve farkındalık programlarının uygulanması
- BGYS işletiminin yönetimi
- BGYS işletiminde kullanılacak kaynakların yönetimi
- Güvenlik olayları tespit ve müdahele talimatlarının uygulanması
- Kontrol Et (Check)
- Talimatların izlenmesi ve gözden geçirilmesi
- Kontrollerin etkinliğinin ölçülmesi
- Risk değerlendirmelerinin gözden geçirilmesi
- İç Denetimler
- İzleme ve gözden geçirme faaliyetleri sonucu edinilen bulgular ışığında güvenlik planlarının güncellenmesi
- Yönetim gözden geçirmesi
- Önlem Al (Act)
- Tespit edilen/belirlenen iyileştirmelerin BGYS'ye uygulanması
- Uygun önleyici ve düzeltici faaliyetlerin uygulanması
- İyileştirmeler ve faaliyetler konusunda ilgililerin bilgilendirilmesi
- İyileştirmelerin kontrolü
Standart dokümanı 8 bölümden oluşuyor ,ilk 3 bölümde kapsam,referanslar ve terimler,4-5-6-7 ve 8. bölümlerde ise zorunlu gereksinimler anlatılıyor. Yani çalıştığınız kurumun bu standarda uygunluğunu iddia edeceksiniz bu gereksinimleri karşılamalısınız.Ek-A bölümü ise 11 ana başlıkta toplanan ve zorunlu gereksinimleri yerine getirmede kullanılacak 133 kontrolü içeriyor.
Örnek olması açısından Ek-A'ya bakacak olursak ilk ana başlık (domain) "Güvenlik Politikası" ve bu ana başlıkta ulaşılması hedeflenen ilk amaç (objective); iş gereksinimleri, kanunlar ve mevzuat doğrultusunda bilgi güvenliği için gereken yönetim desteğini sağlamak. Standarda göre bu amaca ulaşabilmek için uygulanması gereken kontroller ise (A.5.1.1 ve A.5.1.2) yönetimce onaylanmış Bilgi Güvenliği Politikası dokümanı yayınlamak,çalışanlarla paylaşmak ve bu dokümanı belirlenen aralıklarla gözden geçirmek.Bakınız aşağıdaki tablo
ISO 27001:2005'e uygun Bilgi Güvenliği Yönetim Sistemi kurma çabalarınızı, diğer bir deyişle çilelerinizi, kurumunuzu sertifikalandırarak taçlandırabilirsiniz. Uluslararası platformda, çalıştığınız kurumun bilgi güvenliğine verdiği önemi gösterebilecek daha prestijli bir sertifika yok. Sertifikasyon süreci, kurumunuzda hali hazırda kullanılmakta olan bir yönetim sistemi varsa (ISO 9001 gibi) kısa sürebiliyor. Ama bu tip işlere yeni yeni baş koymuş bir kurumsanız birkaç sene kadar de uzayabiliyor ve şurası kesin; bu sertifikayı almak her babayiğidin harcı değil,zaten çoğu kurum bu konuda danışmanlık hizmeti alıyor ve yanlış hatırlamıyorsam danışmanlık hizmet veren bazı firmalar aynı zamanda sertifikasyon için akredite firmalardan. http://www.iso27001certificates.com/ sitesinin verilerine göre Türkiye'de şuan ISO 27001 sertifikasına sahip 29 kurum var.
Türk Standartları Enstitüsü de ISO 27001:2005 standart dokümanını baz alıp "TS ISO IEC 27001" isimli standart oluşturmuş (ISO standardını türkçeleştirmiş desem yalan olmaz) ve bu standart doğrultusunda belgelendirme hizmeti veriyor, bakınız. Bu standartla ilgili ( ISO standardına da uygun) UEKA'nin hazırladığı Denetim Listesine ise buradan ulaşabilir, belgelendirme denetiminden önce eksiklerinizi tamamlayabilirsiniz.
İlgili Yazılarım
BGYS - Nass oluyor da oluyor? Politika,prosedür,klavuz,talimat
PCI DSS - Nass oluyor da oluyor? A'dan Z'ye PCI-DSS
Hiç yorum yok:
Yorum Gönder