Page 36 - bilgem-teknoloji-dergisi-5
P. 36
Fikret OTTEKİN Kurumsal Bilgi Güvenliğine Işık Tutan Standartlar
1. Giriş uygulama, kontrol etme ve önlem alma adımlarından oluşan Böylece, ISO 27001 ve ISO 27002 standartları arasındaki Fotoğraftan, önlemleri alan kişinin bisikletin çalınmasından
bir döngü şeklinde çalıştırılması gerekir [2]. Yaşayan bir bilgi ilişki kurulmuş olmaktadır. Şöyle ki, ISO 27001 standardında çok korktuğu açıkça görülmektedir. Kablolara harcanan para
Günümüzde bilginin hem kişiler için, hem kurumlar için en güvenliği sistemi ancak PUKÖ döngünün çalıştırılması ile tanımlanan döngü, ISO 27002 standardından seçilen önlemler ve kabloların bisikletin park edileceği yere taşınması için
büyük sermaye durumuna geldiği bir gerçektir. Bilginin doğru mümkün olabilir (Şekil 2). Türkçe kaynaklarda Planla – Uygula için çalıştırılarak bilgi güvenliği süreci gerçekleştirilmiş ve harcanan çaba göz önünde bulundurulduğunda, alınan önlem
şekilde kullanılması, doğru zamanda doğru ellerde bulunması – Kontrol Et – Önlem Al sözcüklerinin kısaltması olarak yerleşmiş yaşatılmış olmaktadır. ile gereksinim arasındaki dengenin kurulamadığı düşünülebilir.
için çok sayıda yaklaşım geliştirilmiş [1], yurdumuz da içinde PUKÖ’nün aslı İngilizce Plan – Do – Check - Act deyimidir. Bu durum, hem harcanan kaynak hem de kullanım açısından
olmak üzere dünyanın pek çok yerinde kurumsal iş süreçlerinin Planla – Uygula – Denetle – Düzelt çevirisinin daha uygun Bilgi güvenliğinde asıl olanın ISO 27001 süreci olduğu, bu olumsuz sonuçlar doğuracaktır.
bu yaklaşımlar uyarınca tanımlanması için yüksek düzeyde olduğu kanısında olsak da makale boyunca klasik çeviriye sadık süreçten kopuk, dolayısıyla ölçüm, tetkik ve gözden geçirmelerin
işgücü harcanmıştır. Bu çabanın kökeninde kurumsal verimliliği kalacağız. yapılmadığı, kayıtların oluşturulmadığı, düzeltici ve önleyici Bu örnekte gerekenden kalın kablo kullanılması, risk analizi
arttırma düşüncesi olduğu gibi, müşteri beklentisi, yasal faaliyetlerin gerçekleştirilmediği bir sistemde alınan önlemlerin yapılmadan bütün ISO 27002 önlemlerinin gerçekleştirildiği
yükümlülükler ve benzeri etmenlerin de bulunabildiğini PUKÖ döngüsünün bilgi güvenliği sürecine özgü olmadığını, kuruma hizmet etmeyeceği söylenebilir. bir bilgi güvenliği sistemine benzetilebilir. Tüm önlemlerin
görüyoruz. akvaryum temizliğinden pizza pişirmeye kadar her türlü sürecin 3. ISO 27002 standardı gerçekleştirilmesi bütçeye önemli bir yük getirecek, gereğinden
aynı ilkelerle yönetilmesi gerektiğini belirttikten sonra PUKÖ fazla insan kaynağı kullanılmasına neden olacak, ayrıca bilginin
Sözü edilen yaklaşımlar bilginin etkinlik, verimlilik, gizlilik, adımlarına biraz daha yakından bakalım: erişilebilirliğini de azaltacaktır.
ISO 27002 standardı, bilgi güvenliği sürecinde işletilebilecek
bütünlük, erişilebilirlik, uygunluk ve güvenilirlik yönlerinin önlemleri içeren bir havuzdur [3, 4]. Giriş bölümünde, bilgi
bir veya birkaçı ile ilgili olarak yapılabilecek düzenlemeleri güvenliğinin ISO 27002 standardından seçilen önlemler Böylece ISO 27002 önlemlerinden kuruma gerçekten hizmet
tanımlamaktadır. COBIT, COSO, ITIL, CMMI bilginin Önlem al Planla aracılığıyla gerçekleştirileceği, her önlem için uygulama, izleme edecek olanların seçilmesinin ne kadar önemli olduğunu
yönetilmesi ile ilgili olarak akla gelen ilk yaklaşımlardır. 4.2.4. 4.2.1. ve iyileştirme çalışmalarının yapılması gerektiği belirtilerek görmüş olduk. Bu seçimin doğru yapılabilmesi için risk analizi
İyileştirme BGYS’nin gerekir. [5, 6]
ISO 27001 standardı ise bilgi güvenliğine, yani bilginin gizlilik, ve Bakım Kurulması ISO 27001 döngüsüne gönderme yapılmaktadır (Şekil 4).
bütünlük ve erişilebilirliğine odaklanmıştır. Makalemizde bu Kurumda uygulanacak önlemler belirlenirken, risk analizine
standardın (ISO 27001:2005) ve eki durumundaki ISO ISO 27001 döngüsü ek olarak ISO 27002 standardının kendi önlemleri arasında
gerçekleştirdiği önceliklendirme de göz önünde
27002:2005 standardının kurumsal bilgi güvenliğindeki yerini bulundurulabilir.
ve birbirleri ile ilişkilerini açıklamaya çalışacağız. Standartların
4.2.3.
4.2.2.
geçmişine baktığımızda, “British Standards Institute (BSI)” İzleme ve Gözden Gerçekleştirme ISO 27002 ISO 27001 standardını ve bilgi güvenliği sürecini daha sonra
tarafından hazırlandıklarını, daha sonra “International Geçirme ve İşletme kontrolleri incelemek üzere kapatalım ve ISO 27002 standardında yer
Standards Organization (ISO)” tarafından uluslararası standart Kontrol et Uygula alan belli başlı önlemlere bir göz atalım.
olarak benimsendiklerini görüyoruz (Şekil 1).
5. ISO 27002 önlemlerinin standart içindeki
Şekil 4. ISO 27001 döngüsü ve ISO 27002 kontrolleri.
organizasyonu
Özetle, önlemler ISO 27002 standardında, önlemlerin nasıl
Şekil 2. ISO 27001 standardında bilgi güvenliği
BS 7799-2 ISO Bağlama halatı veya kablosu nasıl hiyerarşik bir yapı içerisinde
sürümü (PUKÖ 27001’e döngüsünün alt başlıkları. yaşatılacağı ise ISO 27001 standardında yer almaktadır.
döngüsünün dönüşüm gittikçe incelen kablolardan oluşuyorsa, ISO 27002 standardında
eklenmesi)
BS yer alan önlemler için de aynı durum söz konusudur. (Şekil 6)
7799-2’nin 4. ISO 27000 standartları ve bisiklet örneği
yayınlanması Planlama adımında, kurumda bilgi güvenliği şemsiyesi altında
ISO ISO 27002
17799 olarak bulunan varlıklara yönelik risklerin analiz edilmesi, bu
sürümü adlandırma ISO 27002 standardında, onbir gruba ayrılmış 133 güvenlik
BS ISO İki standart arasındaki ilişki Şekil 5’teki fotoğrafa göre
7799-1 17799’a çalışmanın sonuçlarına göre ISO 27002 standardında yer alan önlemi yer alır. Bu önlemler kurumun yasal yükümlülüklerinin
sürümü dönüşüm açıklandığında, bisikletin parmaklığa kablo ile bağlanmasına
BS önlemlerden kurum için gerekli olanların seçilmesi ve belirlenmesinden insan kaynakları güvenliğine kadar geniş bir
7799-1’in karar verilmesi, kablonun seçilmesi, bisikletin bağlanması,
yayınlanması uygulanması önerilmektedir (Şekil 3). yelpaze oluşturmaktadır.
daha sonra bağlantının ve kablonun gözden geçirilmesi ISO
27001 döngüsüne, seçilen kablonun kendisi ise belirlenen ISO
Başla Standardın hemen başında, “0.6 Bilgi güvenliğine giriş”
1995 98 99 2000 2002 2005 2007 27002 önlemlerine benzetilebilir. başlığı altında bu 133 güvenlik önleminden on tanesinin hemen
her kurum için gerekli ve öncelikli olduğu belirtilmektedir.
Şekil 1. ISO 27001 ve 27002 standartlarının tarihsel gelişimi. Kapsamın
Belirlenmesi 6. ISO 27002’deki öncelikli güvenlik önlemleri
Risk Analizi
2. ISO 27001 Standardı
ISO 27002 ISO 27002’deki öncelikli güvenlik önlemlerinin ilk üçü,
Önlemlerin Standardı
5.-15.
ISO 27001 standardı, yaşayan bir bilgi güvenliği sistemi Belirlenmesi Bölümleri kurumun yasalardan ve sözleşmelerden kaynaklanan
kapsamında gerçekleştirilmesi gereken işlevleri tanımlar. ISO 27001 yükümlülüklerini gözden kaçırmaması ile ilgilidir. Bunlar,
“Yaşayan sistem” ile demek istenen, kurumdaki bilgi güvenliği döngüsü standardın
sürecinin değişen dünyaya ve gereksinimlere, tehdit ve saldırılara
karşılık verme, kendini yenileme ve hatalarını düzeltme 1. Verinin korunması ve kişisel bilgilerin gizliliği (ISO 27002
yeteneklerine sahip olmasıdır. 15.1.4),
2. Kurumsal kayıtların korunması (ISO 27002 15.1.3),
ISO 27001’de tanımlanan yaklaşıma göre, bilgi güvenliğinin Şekil 3. ISO 27001 döngüsünün planlama aşamasında
bir süreç olarak gerçekleştirilmesi ve sürecin planlama, ISO 27002 kontrollerinin seçilmesi. Şekil 5. Güvenlik önlemleri alınmış bisiklet ve bilgi güvenliği standartları. 3. Fikri mülkiyet hakları (ISO 27002 15.1.2),
34 Sayı 05 Ocak-Nisan 2011 http://www.bilgem.tubitak.gov.tr/ 35
·