Page 38 - bilgem-teknoloji-dergisi-5
P. 38
Fikret OTTEKİN Kurumsal Bilgi Güvenliğine Işık Tutan Standartlar
8. İnsan kaynakları güvenliği f. Bilgi güvenliğinin yönetilmesi ile ilgili sorumlulukların
Uygulamaların
tanımları. Doğru Kullanımı
11.2. Kullanıcı sorumlulukları Yasal
6. Kurumda bilgi güvenliği Bilgi güvenliği sorumluluklarının atanması (ISO 27002, Yükümlülükler Tehditler
düzenlemesi 6.1.3) Bilgi Güvenliği
Politika Olaylarının
Rapor
11.4. Ağa erişim kontrolleri Bilgi güvenliği ile ilgili rol ve sorumlulukların tanımlanması, ve Prosedürler Edilmesi
politika, alt politika ve prosedürlerde belirtilen işlevlerin hayata
geçirilmesini sağlayan başlıca etkendir (Şekil 8). Rol ve Diğer
11.5. İşletim sistemine erişim kontrolleri sorumlulukların tanımlanmaması durumunda, hazırlanan süreçlerden
alınan bilgiler
11.5.1. Güvenli oturum açma politika ve prosedürlerin kağıt üstünde kalması sürpriz
11.5.3. Parola yönetim sistemi olmayacaktır. 8.2.2. Bilgi güvenliği Eğitim
eğitimi ve bilinçlendirme
11. Erişim kontrolü 11.5.5. Oturum zaman aşımı Gereçleri
Rol ve Süreç, politika ve
sorumluluklar prosedürler Kurum
Komple kullanıcı
eğitimi gereçleri
Tüm 27002 önlemleri: Kullanıcılar
11 grupta 133 önlem
Şekil 6. ISO 27002 önlemlerinin gruplara ayrılması.
başlıkları altında açıklanmaktadır. Bu 10. Bilgi güvenliği olaylarının yönetilmesi Bilgi güvenliği politikası, kurumsal Şekil 8. Kurumda rol ve sorumlulukların atanmasının önemi. Şekil 9. Bilgi güvenliği eğitimi ve bilinçlendirme çalışmaları.
önlemlerde, özetle, uzman hukukçular (ISO 27002 13.2). yaklaşımı tanımlayarak bilgi güvenliği
yardımı ile kurumla ilgili mevzuatın ve konusunda yükümlülüklerin nasıl Kapsam içindeki tüm bilgi sistemleri için; Eğitim çalışmaları periyodik olarak tekrarlanarak personele
kurumu bağlayan sözleşmelerin 7 ve 8 numaralı önlemler standardın gerçekleştirileceğine ilişkin çerçeveyi hem güncel bilgiler aktarılır, hem de personelin bilgi güvenliği
incelenmesi ve kurumun bilgi güvenliği 2005 sürümünde öncelikli uygulamalar oluşturur. 1. Varlıklar ve bilgi güvenliği süreçleri açıkça belirlenir, kültürünü benimsemesi sağlanır.
yükümlülüklerinin belirlenmesi gerektiği arasına eklenmiştir. Bu durum dünyada 2. Her bir varlık ve süreç için sorumlu belirlenir, sorumluluğun Uygulamaların doğru çalışması (ISO 27002, 12.2)
belirtilmektedir. Daha sonra da bu gerçekleşmekte olan bilgi güvenliği Politika üst yönetim tarafından onaylanır, içeriği ve ayrıntıları belgelenir.
yükümlülüklerin yerine getirilmesi için olaylarının gidişini ortaya koyma açısından yayınlanır ve tüm kurum çalışanları bilgi Yazılım teknolojisi dünyada en hızlı değişen ve gelişen
politika ve yöntemlerin geliştirilmesi ve da önemlidir. güvenliği politikası konusunda Güvenlik sorumluluğuna sahip personel, görevini bir başkasına teknolojilerin başında gelir. Programlama dilleri, iletişim ve
kurumda uygulanması gerekir. bilgilendirilir. Bilgi güvenliği politikası, verse de sorumluluğunu aktaramaz. işlemci teknolojilerinde yaşanan gelişim, sektörde hemen her
Şimdi 4-10 numaralı önlemleri biraz belgenin sahibi tarafından periyodik olarak
Diğer yedi önlem ise bilgi güvenliği daha yakından inceleyelim. gözden geçirilir. Bilgi güvenliği eğitimi ve bilinçlendirme (ISO 27002, 8.2.2) kurumda rastlanan personel yetersizliği ve zaman baskısı ile
birleşerek yazılımı hataya en açık alanlardan biri durumuna
konusunda yaygın olarak kullanılan ve Bilgi güvenliği politikası (ISO 27002, Kapsam içindeki tüm çalışanlar, üçüncü taraf kullanıcıları ve getirir. Bu duruma ek olarak, yazılım açıklarını kullanarak bilgi
standardın hemen her kurum için gerekli 5.1.1) Bilgi güvenliği politikası aşağıdaki personeli, bilgiye veya bilgi servislerine erişim hakkı verilmeden sistemlerine yetkisiz erişim gerçekleştirme, yeni bir uzmanlık
olduğunu belirttiği önlemlerdir: konuları içermelidir: önce kurumun bilgi güvenliği politika ve beklentileri konusunda alanı olarak ortaya çıkmış, bu konuda çalışma yapan nerede
Bilgi güvenliği politikası aracılığı ile a. Bilgi güvenliği politikasının genel eğitilir. Eğitim ve bilinçlendirme çalışmaları, bilgi güvenliğinin
4. Bilgi güvenliği politikası (ISO 27002 kurum yönetimi, yasal mevzuat ve diğer ise bir sektör oluşmuş durumdadır. Bu bilgiler ışığında 27002
5.1.1), bilgi güvenliği ihtiyaçları uyarınca tanımı, amacı ve kapsamı. en zayıf halkası olan kullanıcılardan kaynaklanan hataların en standardının 2005 sürümünde “12.2 Uygulamaların doğru
alt düzeye indirilmesi açısından son derece önemlidir [8].
çalışması” başlığının “olmazsa olmaz”lar arasına eklenmesi son
5. Bilgi güvenliği sorumluluklarının kurumda bilgi güvenliğini sağlamayı b. Üst yönetimin bilgi güvenliği ile ilgili derece doğaldır.
atanması (ISO 27002 6.1.3), üstlenir [7] (Şekil 7). niyeti, hedefi ve desteği. Bilgi güvenliği eğitimi ve bilinçlendirme süreci aracılığı ile
kullanıcıya Bu güvenlik önleminin hayata geçirilmesi için
c. Riskin yönetilmesi ve bilgi güvenliği
6. Bilgi güvenliği eğitimi ve Bilgi Güvenliği Yönetimi
bilinçlendirme (ISO 27002 8.2.2), önlemleri ile ilgili genel çerçeve. 1. Kurumun bilgi güvenliği ile ilgili politika ve prosedürleri, 1. ISO 27002 standardının 12.2.x başlıklarında açıklanan
önlemlerin gözden geçirilmesi,
2. Bilgi güvenliği ile ilgili yasal yükümlülükleri,
d. Kurum için önem arz eden mevzuat,
7. Uygulamaların doğru çalışması (ISO 5.1.1. Amaç, yönetimin bilgi
Bilgi
27002 12.2), Güvenliği güvenliğine yön standart ve ilkeler. 3. Bilgi servislerinin ve uygulamaların doğru kullanımı (oturum 2. Kullanılan programlama dilleri de göz önünde
Politikası vermesi ve sahip
çıkmasıdır. e. Çeşitli bilgi sistemleri ve süreçleri ile açma işlemleri ve benzeri), bulundurularak, bu dillerle geliştirilen uygulamalarda
8. Teknik açıklık yönetimi (ISO 27002 karşılaşılan açıklıkların ve bunlardan korunma yollarının
12.6), ilgili olarak hazırlanacak alt politika ve 4. Bilinen tehditler, değerlendirilmesi ve sektörel yayınların izlenmesiyle “Güncel
prosedürlere göndermeler. (Erişim
9. İş sürekliliği yönetimi (ISO 27002 14), Kurum kontrolü, Fiziksel güvenlik, Şifre politikası 5. Bilgi güvenliği olaylarının algılanması ve bildirilmesi tehdit ve açıklıklar”ın belirlenmesi,
gibi konularda alt politika ve prosedürler
Şekil 7. Bilgi güvenliği politikası. düzenlenecektir). ile ilgili bilgiler aktarılır (Şekil 9).
36 Sayı 05 Ocak-Nisan 2011 http://www.bilgem.tubitak.gov.tr/ 37
·