Fikret OTTEKİN  Kurumsal Bilgi Güvenliğine Işık Tutan Standartlar

 8. İnsan kaynakları güvenliği  f. Bilgi güvenliğinin yönetilmesi ile ilgili sorumlulukların
                                                                                            Uygulamaların
          tanımları.                                                                       Doğru Kullanımı
 11.2. Kullanıcı sorumlulukları                                                    Yasal
 6. Kurumda bilgi güvenliği  Bilgi güvenliği sorumluluklarının atanması (ISO 27002,  Yükümlülükler      Tehditler
 düzenlemesi  6.1.3)                                                                                              Bilgi Güvenliği
                                                                       Politika                                    Olaylarının
                                                                                                                    Rapor
 11.4. Ağa erişim kontrolleri  Bilgi güvenliği ile ilgili rol ve sorumlulukların tanımlanması,  ve Prosedürler      Edilmesi
          politika, alt politika ve prosedürlerde belirtilen işlevlerin hayata
          geçirilmesini sağlayan başlıca etkendir (Şekil 8). Rol ve                                               Diğer
 11.5. İşletim sistemine erişim kontrolleri  sorumlulukların tanımlanmaması durumunda, hazırlanan                 süreçlerden
                                                                                                                  alınan bilgiler
 11.5.1. Güvenli oturum açma  politika ve prosedürlerin kağıt üstünde kalması sürpriz
 11.5.3. Parola yönetim sistemi  olmayacaktır.                                  8.2.2. Bilgi güvenliği    Eğitim
                                                                                eğitimi ve bilinçlendirme
 11. Erişim kontrolü  11.5.5. Oturum zaman aşımı                                                          Gereçleri
              Rol ve        Süreç, politika ve
           sorumluluklar      prosedürler         Kurum


                                                                                            Komple kullanıcı
                                                                                            eğitimi gereçleri

 Tüm 27002 önlemleri:                                                                 Kullanıcılar
 11 grupta 133 önlem

 Şekil 6.  ISO 27002 önlemlerinin gruplara ayrılması.


 başlıkları altında açıklanmaktadır. Bu  10. Bilgi güvenliği olaylarının yönetilmesi  Bilgi güvenliği politikası, kurumsal  Şekil 8.  Kurumda rol ve sorumlulukların atanmasının önemi.  Şekil 9.  Bilgi güvenliği eğitimi ve bilinçlendirme çalışmaları.
 önlemlerde, özetle, uzman hukukçular  (ISO 27002 13.2).  yaklaşımı tanımlayarak bilgi güvenliği
 yardımı ile kurumla ilgili mevzuatın ve  konusunda yükümlülüklerin nasıl  Kapsam içindeki tüm bilgi sistemleri için;  Eğitim çalışmaları periyodik olarak tekrarlanarak personele
 kurumu bağlayan sözleşmelerin  7 ve 8 numaralı önlemler standardın  gerçekleştirileceğine ilişkin çerçeveyi  hem güncel bilgiler aktarılır, hem de personelin bilgi güvenliği
 incelenmesi ve kurumun bilgi güvenliği  2005 sürümünde öncelikli uygulamalar  oluşturur.  1. Varlıklar ve bilgi güvenliği süreçleri açıkça belirlenir,  kültürünü benimsemesi sağlanır.
 yükümlülüklerinin belirlenmesi gerektiği  arasına eklenmiştir. Bu durum dünyada  2. Her bir varlık ve süreç için sorumlu belirlenir, sorumluluğun  Uygulamaların doğru çalışması (ISO 27002, 12.2)
 belirtilmektedir. Daha sonra da bu  gerçekleşmekte olan bilgi güvenliği  Politika üst yönetim tarafından onaylanır,  içeriği ve ayrıntıları belgelenir.
 yükümlülüklerin yerine getirilmesi için  olaylarının gidişini ortaya koyma açısından  yayınlanır ve tüm kurum çalışanları bilgi  Yazılım teknolojisi dünyada en hızlı değişen ve gelişen
 politika ve yöntemlerin geliştirilmesi ve  da önemlidir.  güvenliği politikası konusunda  Güvenlik sorumluluğuna sahip personel, görevini bir başkasına  teknolojilerin başında gelir. Programlama dilleri, iletişim ve
 kurumda uygulanması gerekir.  bilgilendirilir. Bilgi güvenliği politikası,  verse de sorumluluğunu aktaramaz.  işlemci teknolojilerinde yaşanan gelişim, sektörde hemen her
 Şimdi 4-10 numaralı önlemleri biraz  belgenin sahibi tarafından periyodik olarak
 Diğer yedi önlem ise bilgi güvenliği  daha yakından inceleyelim.  gözden geçirilir.  Bilgi güvenliği eğitimi ve bilinçlendirme (ISO 27002, 8.2.2)  kurumda rastlanan personel yetersizliği ve zaman baskısı ile
                                                                     birleşerek yazılımı hataya en açık alanlardan biri durumuna
 konusunda yaygın olarak kullanılan ve  Bilgi güvenliği politikası (ISO 27002,  Kapsam içindeki tüm çalışanlar, üçüncü taraf kullanıcıları ve  getirir. Bu duruma ek olarak, yazılım açıklarını kullanarak bilgi
 standardın hemen her kurum için gerekli  5.1.1)  Bilgi güvenliği politikası aşağıdaki  personeli, bilgiye veya bilgi servislerine erişim hakkı verilmeden  sistemlerine yetkisiz erişim gerçekleştirme, yeni bir uzmanlık
 olduğunu belirttiği önlemlerdir:  konuları içermelidir:  önce kurumun bilgi güvenliği politika ve beklentileri konusunda  alanı olarak ortaya çıkmış, bu konuda çalışma yapan nerede
 Bilgi güvenliği politikası aracılığı ile  a. Bilgi güvenliği politikasının genel  eğitilir. Eğitim ve bilinçlendirme çalışmaları, bilgi güvenliğinin
 4. Bilgi güvenliği politikası (ISO 27002  kurum yönetimi, yasal mevzuat ve diğer  ise bir sektör oluşmuş durumdadır. Bu bilgiler ışığında 27002
 5.1.1),  bilgi güvenliği ihtiyaçları uyarınca  tanımı, amacı ve kapsamı.  en zayıf halkası olan kullanıcılardan kaynaklanan hataların en  standardının 2005 sürümünde “12.2 Uygulamaların doğru
          alt düzeye indirilmesi açısından son derece önemlidir [8].
                                                                     çalışması” başlığının “olmazsa olmaz”lar arasına eklenmesi son
 5. Bilgi güvenliği sorumluluklarının  kurumda bilgi güvenliğini sağlamayı  b. Üst yönetimin bilgi güvenliği ile ilgili  derece doğaldır.
 atanması (ISO 27002 6.1.3),  üstlenir [7] (Şekil 7).  niyeti, hedefi ve desteği.  Bilgi güvenliği eğitimi ve bilinçlendirme süreci aracılığı ile
          kullanıcıya                                                 Bu güvenlik önleminin hayata geçirilmesi için
 c. Riskin yönetilmesi ve bilgi güvenliği
 6. Bilgi güvenliği eğitimi ve  Bilgi Güvenliği Yönetimi
 bilinçlendirme (ISO 27002 8.2.2),  önlemleri ile ilgili genel çerçeve.  1. Kurumun bilgi güvenliği ile ilgili politika ve prosedürleri,  1. ISO 27002 standardının 12.2.x başlıklarında açıklanan
                                                                     önlemlerin gözden geçirilmesi,
           2. Bilgi güvenliği ile ilgili yasal yükümlülükleri,
 d. Kurum için önem arz eden mevzuat,
 7. Uygulamaların doğru çalışması (ISO  5.1.1.  Amaç, yönetimin bilgi
 Bilgi
 27002 12.2),  Güvenliği  güvenliğine yön  standart ve ilkeler.  3. Bilgi servislerinin ve uygulamaların doğru kullanımı (oturum  2. Kullanılan programlama dilleri de göz önünde
 Politikası  vermesi ve sahip
 çıkmasıdır.  e. Çeşitli bilgi sistemleri ve süreçleri ile  açma işlemleri ve benzeri),  bulundurularak, bu dillerle geliştirilen uygulamalarda
 8. Teknik açıklık yönetimi (ISO 27002                               karşılaşılan açıklıkların ve bunlardan korunma yollarının
 12.6),  ilgili olarak hazırlanacak alt politika ve  4. Bilinen tehditler,  değerlendirilmesi ve sektörel yayınların izlenmesiyle “Güncel
 prosedürlere göndermeler. (Erişim
 9. İş sürekliliği yönetimi (ISO 27002 14),  Kurum  kontrolü, Fiziksel güvenlik, Şifre politikası  5. Bilgi güvenliği olaylarının algılanması ve bildirilmesi  tehdit ve açıklıklar”ın belirlenmesi,
 gibi konularda alt politika ve prosedürler
 Şekil 7.  Bilgi güvenliği politikası.  düzenlenecektir).  ile ilgili bilgiler aktarılır (Şekil 9).

 36  Sayı 05   Ocak-Nisan 2011  http://www.bilgem.tubitak.gov.tr/  37
 ·