ISO 27001 Bilgi Güvenliği Yönetim Sistemi

Günümüz dünyasında, teknolojik gelişmelerle birlikte bilgiye ulaşım her anlamda kolaylaşmış ve hızlanmıştır. Belirli süreçlerden geçerek elde edilen bilginin önemi, sahip olduğu maddi ve/veya manevi değer ile eşittir. Bu sebeple bilginin korunması hem özel yaşam hem de iş hayatında büyük önem arzetmektedir.

Bilginin elde edilmesi için belli süreçlerin gerçekleşmesi gerekmektedir. Bunların ilki ise veri toplamadır. Toplanan veriler sınıflandırılıp özetlendiklerinde enformasyon elde edilir. Sahip olunan enformasyon özümsenip yorumlandıktan sonra ise BİLGİ kavramına sahip olunur.

Yukarıda anlatılan bu süreçler bazen saniyeler, bazen ise yıllar alabilir. Bu sebeple elde edilen bilginin değerinin iyi saptanması çok önemli bir konudur.


 
 
 

Bilgiyi Neyden Nasıl Koruyacağız?


Bilgi yoğun çalışan kurumlarda bilgi’nin değeri daha net ve ortadadır. Ürünü, malzeme ve bilginin toplamı olarak değerlendirirsek;
Bir tekstil ürününün kg fiyatı 1 $ civarı iken savaş uçağının kg fiyatı 10000 $, mikroçipin ise 100000 $ civarındadır. Mikroçipi bu kadar değerli kılan ise bilgidir.
Bilgi Güvenliğinin üç temel amacı vardır:

- Gizlilik: Bilginin yetkisiz kişilerin erişimine kapalı olması  ya da yetkisiz kişilerce açığa çıkarılmasının önlenmesi

- Bütünlük: Bilginin bozulmasının ya da çarpıtılmasının, sahte veriler eklenmesinin önüne geçilmesi

- Kullanılabilirlik: İhtiyaç duyulduğu her an bilginin erişilebilir durumda olması



 

Bilgi güvenliğinin sağlanması için bilgi varlıklarının korunması gerekmektedir. Bir kurum veya kuruluşun kâr etmek, katma değer sağlamak, rekabet oluşturmak ve kurumsal sürdürülebilirliğini sağlamak amacıyla sahip olduğu veya sahip olması gereken ürün, pazar, teknoloji ve organizasyona ait bilgilerin tümü bilgi varlıkları olarak tanımlanabilir. Bu bilgi varlıklarının fiziksel olarak korunması için, fiziksel güvenliğin, transfer edilmesi gereken bilgilerin sağlanması için iletişim güvenliğinin, bilgisayar sistemlerine erişimlerin kontrol edilmesi için bilgisayar ve ağ güvenliğinin sağlanması gerekmektedir.
 

Bilgi Güvenliği İçin Tehditler


Bilgi kayıplarının %98’i dış kaynaklı saldırılardan oluşuyor. Şirket çalışanlarının sebep olduğu bilgi kayıplarının oranı ise % 4 ‘dür. Mevcut sisteme karşı tehditler çok çeşitli olabilir. Bu tehdit bir virüs olabileceği gibi, bilgi kaynaklarının bir yangın esnasında hasar görmesi de olabilir ya da kötü niyetli bir ziyaretçinin varlığı.

Tehditleri başlıklar olarak özetlemeye çalışırsak;

- Program manipilasyonu
- Sahtekarlık ve taklit
- Erişim araçlarının çalınması
- Hackleme
- Virüsler,solucanlar,truva atları
- Ajan yazılımlar
- Hizmeti dururan saldırılar
şeklinde yazılabilir.

Oluşabilecek tüm tehditler tespit edilmeli ve güvenlik sisteminin zaafiyetleri saptanmalı ve risk değerlendirilmesi yapılarak aksiyon planı yapılmalıdır ve bu sürece 
Planla-Önlem al-Kontrol et-Uygula yöntemiyle süreklilik kazandırlmalıdır. 

Bu sebeple, kurulıştaki tüm bilgi varlıklarının değerlendirilmesi ve bu varlıkların sahip oldukları zayıflıkların ve karşı karşıya oldukları tehditlerin  göz önüne alınarak risk analizi yapılması ve gerekli önlemlerin alınması gerekmektedir. Buradaki en önemli nokta ise gerektiği kadar koruma prensibidir. Bilgi, değerli olduğu sürece ve değeriyle orantılı şekilde korunmalıdır. Yani harcanan süre, çaba ve para bilginin değeri ile orantılı olmalıdır.


Sistem Nasıl Kurulur?


Sistemin kurulum aşamaları aşağıdaki gibi özetleyebiliriz:

Öncelikle sistemin uygulanacağı kapsam ve sınırları belirlenmeli. Belirlenen kapsamı açıklayan dökümanlar hazırlanmalı. Daha sonra Bilgi Güvenliği Yönetim Sistemi politikası tanımlanmalı ve dökümanları oluşturulmalı.
Sonraki adımda ise tehditler, açıklıklar ve etkiler belirlenir ve bunların değerlendirilmesi için kullanılacak risk değerlendirme metodu seçilir.

Belirlenen riskler seçilen metoda göre değerlendirildikten sonra derecelendirme yapılır ve risk işleme aşamasına geçilir.

Daha sonrada uygun kontrollerin ve kontrol hedeflerinin belirlenmesi gerekmektedir. Yukarıda anlatılan bu işlemlerin hepsi kayıt altına alınmalı ve dökümanları oluşturulmalıdır.

Son aşama ise uygulamaya geçilmesi için yönetimden yetki alınması ve uygulanabilirlik bildirgesinin hazırlamasından oluşmaktadır.

Yukarıda kısaca özetlenen aşamalar kuruluşun yapısına ve büyüklüğüne göre farklılık gösterebilir.



Bilgi Güvenliği Yönetim Sistemine yine yukarıda verilen aşamaların gerçekleştirilmesi için bir ekibe ve organizasyona ihtiyaç vardır.
Bu organizasyonda bir Yönetim komitesi bir de yürütme komitesi olmalıdır.
Yönetim komitesi, bir başkan, başkan yardımcıları ,yönetim temsilcisi ve sorumludan oluşmaktadır.
Yürütme komitesi ise yönetim temsilcisi başkanlığında, sorumluya bağlı beş üye ve bir güvenlik yöneticisinden oluşmaktadır.

ISO 27001:2005 Bilgi Güvenliği Yönetim Sistemi Standardı planlanması ve kurulum aşamaları zaman ve emek kaybı gibi gözükse de uzun vadede fayda sağlar. Sistemin yaygınlaşmasında özel ve kamu sektöründe sistemi kurmak isteyen idarecilere ve sistemin sağlıklı işleyebilmesi için çalışanların da özverili davranması gerektiği anlaşılmaktadır. Ülkemizde ISO 27001:2005 Bilgi Güvenliği Yönetim Sistemi Standardına sahip kamu kuruluşu bulunmadığı ama Sağlık Bakanlığının sertifika alma çabalarının devam ettiği görülmektedir. Bu standardın kurumsal bazda faydalarının anlaşılması ve kurum yöneticilerinin konu hakkında bilinçlendirilmesiyle birlikte sertifika almaya çalışan ve bu sertifikayı almaya hak kazanan kurumların sayısının artacağı düşünülmektedir.
 
ISO 27001 Bilgi Güvenliği Yönetim Sistemi kurmanın yararları;

• Bilgi varlıklarının farkına varma: Kuruluş hangi bilgi varlıklarının olduğunu, değerinin farkına varır.

• Sahip olduğu varlıkları koruyabilme: Kuracağı kontroller ile koruma metotlarını belirler ve uygulayarak korur.

• İş sürekliliği: Uzun yıllar boyunca işini garanti eder. Ayrıca bir felaket halinde, işe devam etme yeterliliğine sahip olur.

• İlgili taraflar ile barış halinde olma: Başta tedarikçileri olmak üzere, bilgileri korunacağından ilgili tarafların güvenini kazanır.

• Bilgiyi bir sistem sayesinde korur, tesadüfe bırakmaz. 

• Müşterileri değerlendirirse, rakiplerine göre daha iyi değerlendirilir.

• Çalışanların motivasyonunu arttırır.

• Yasal takipleri önler

• Yüksek prestij sağlar.


Kaynaklar:

-Mühendislik Bilimleri ve Tasarım Dergisi Cilt:1 Sayı:1 s.49-56, 2010
-Eğittim.com
-Tübitak
- BAYKARA Muhammet, DAŞ Resul, KARADOĞAN İsmail, Bilgi Güvenliği Sistemlerinde Kullanılan Araçların İncelenmesi, 1st International Symposium on Digital Forensicsand Security (ISDFS’13), Elazığ, 20-21 May 2013, s.238

Tümü