Page 42 - bilgem-teknoloji-dergisi-5
P. 42
Fikret OTTEKİN Kurumsal Bilgi Güvenliğine Işık Tutan Standartlar
7. Bilgi Güvenliği Yönetim BGYS sürecinin girdisi “Bilgi güvenliği kurumun dışında yer alan bir öğe edilebilir risk Yönetim söylenebilir. Gene de Şekil-16’de resmedilen çok katmanlı
5.1.1 Kabul
Etkinliği
Sistemi ve Süreç Yaklaşımı gereksinimi ve beklentileri”, çıktısı ise olamayacağına göre “Yönetim” Yönetim düzeyi BGYS döngüsünün bilgi güvenliği sürecine ilişkin oldukça
“Yönetilen bilgi güvenliği”dir. ifadesinden “Yalnızca Yönetim”, “Kurum” 4.2.1.c Risk gerçekçi bir model oluşturduğu söylenebilir.
ISO 27002 standardında yer alan belli ifadesinden ise “Kurum içinde yönetim değerlendirme Kurum
Etkinliği
yaklaşımı
başlı güvenlik önlemlerini gördükten sonra Süreci oluşturan çalışmalar dört adım tarafından görevlendirilmiş birimler ve Kurum Çok katmanlı yapıların hemen hepsinde olduğu gibi burada
tekrar 27001’e dönelim ve standardın altında toplanabilir. Bu dört adım PUKÖ gerekiyorsa yönetim temsilcisi” değerlendirme Belgeleme da üst katmanın çıktısı bir alttaki katmanın girdisini
4.3.1.d Risk
çizdiği büyük resmi görmeye çalışalım. İlk (Planla-Uygula-Kontrol Et-Önlem Al) anlaşılmalıdır. (Şekil 14) yöntemi belgesi ve Kayıt oluşturmaktadır. Kurum etkinlikleri nin sonucunda oluşan
iş olarak şunu vurgulayalım: ISO 27001 döngüsünü oluşturur. Bu adımlar ve belgeler ise çoğunlukla sürecin bir sonraki etkinliği için girdi
standardı Bilgi Güvenliği Yönetim Sistemi standardın ilgili başlıkları Tablo – 1’de Standart, “5 Yönetim Sorumluluğu” ISO 27001 referansı olmaktadır.
(BGYS)’nin süreçlerden oluşan bir sistem verilmektedir. başlığı altında yönetimin sürecin Şekil 15. 4.2.1.c faaliyeti, eşlik eden yönetim etkinliği ve belgeleme. Örnek olarak yine Şekil 15’e dönecek olursak,
olarak algılanması gerektiğini vurgular. Bu dört adımın gerçekleştirilmesi ile tamamında devrede olduğunu çeşitli
Buna ek olarak, BGYS’nin kendisi de bir PUKÖ döngüsü tamamlanmış olur. Ancak, etkinlikler aracılığıyla kanıtlanması Bir yönetim etkinliği olan kabul edilebilir risk düzeyinin
süreçtir. “Planlama” adımı yalnızca 4.2.1 başlığı, gerektiğini ifade ederek “Kurum” ve 10. Yönetim ve belgelemenin oluşturduğu paralel belirlenmesi (5.1.f), kurum etkinliği olan risk değerlendirme
“Yönetim” kavramlarını yukarıdaki gibi
ISO 27001 standardına göre süreç, “Kontrol Et” adımı yalnızca 4.2.3 başlığı tanımlamamızı sağlamaktadır. döngüler yaklaşımının belirlenmesine (4.2.1.c) girdi oluşturur. Bu etkinlik
sonucunda belgeleme katmanında yer alan risk yöntemi belgesi
“Girdileri çıktıya çevirmek için kaynak ile sınırlı olamaz. Standardın “4.2 BGYS’nin kurulması ve yönetilmesi” başlığı, (4.3.1.d) üretilir. Bu doküman, sürecin bir sonraki etkinliği
kullanan ve yönetilen çalışmalardır.” 4.2 başlığı altında BGYS döngüsünün Özetle “Yönetim”, tüm süreç boyunca esasen “PUKÖ döngüsü”nün tamamını içerir, BGYS süreci olan risk analizi çalışmaları (4.2.1.d-f) için girdi oluşturur.
Dolayısıyla, sürecin çok yoğun bir özeti yapılmaktadır. Bu işin içindedir, çeşitli adımlarda çalışmalara çerçevesinde gerçekleştirilecek kurum etkinlikerine değinirken
katılarak veya kaynak sağlayarak BGYS
• Girdisi, başlık altından standardın “belgeleme sürecine katkıda bulunur. yönetim çalışmalarına ve belgelemeye de göndermeler yapar. 11. Katmanlar arası senkronizasyon ve BGYS
Kurum çalışmalarının bir kısmı ise - “6 İç tetkik” ve “8 BGYS’nin
gereksinimleri”, “yönetim sorumluluğu”, süreç özeti
• Çıktısı, “iç tetkik”, ayrıca ISO 27002 kontrollerinin “Kurum” ve “Yönetim” etkinliklerine ek iyileştirilmesi” - daha sonra ayrıntılarıyla açıklanmaktadır.
özetlendiği “Ek A. Kontrol Amaçları ve olarak standartta dikkat çeken bir etkinlik Ardından gelen 4.3 başlığı, süreç boyunca üretilecek belgelere, Standartta bulunan tüm göndermelerin incelenmesi
• Girdiyi çıktıya dönüştürmekte Kontroller” bölümlerine göndermeler türü de belgeleme ve kayıt çalışmalarıdır. sonucunda farklı katmanlardaki etkinliklerinin ilişkilendirilmesi
kullandığı bilgisi ve yöntemi 5 ve 7 numaralı başlıklar ise yönetim çalışmalarına ilişkin ve katmanlar arası senkronizasyonun sağlanması mümkündür.
yapılmaktadır. Bu bölümlerde de PUKÖ Bu konu “4.3 Belgeleme Gereksinimleri” bilgiler verir.
vardır. Bunlara ek olarak süreç çalışırken döngüsü altında sözü geçen çalışmalar başlığı altında işlenmektedir. Bu başlık Böylece standartta karışık olarak yer alan BGYS sürecinin tüm
katman ve etkinlikleri tek şekilde toplanabilir. (Bu özet Şekil
kaynak kullanır. Standarttaki “yönetilen ayrıntılı olarak açıklanmaktadır. altında üretilmesi zorunlu olan belgelerin Bu bölümlerin içerikleri PUKÖ döngüsüne eşlik eden yönetim 18’de gösterilmiştir.) Ancak önce bunun nasıl yapılacağını
çalışma” ifadesinden PUKÖ döngüsünün hangi etkinlikleri ile ve belgeleme döngülerini tanımlamaktadır. Bu üç paralel
8. Uygulayıcılar: Kurum ve ilişkili olarak geliştirileceği ve belgelerle döngünün bir araya gelmesiyle çok katmanlı BGYS süreci açıklayalım. Şekil 17 aslında Şekil 16’nın ayrıntılı biçimi olmakla
• Yönetim tarafından tanımlanmış veya Yönetim ilgili olarak yönetimin üstüne düşenler oluşmaktadır (Şekil 16). birlikte yer darlığı yüzünden Şekil 16’daki derinlik ve çok
onaylanmış etkinliklerin açıklanmaktadır. katmanlı yapı duygusunu verememektedir.
Bu çalışmaları yerine getirenler Yönetim Etkinlikleri (5 ve 7. alt başlıklar)
• Yönetim tarafından belirlenmiş roller konusunda standart, kimi zaman 9. Kurum, Yönetim ve Belgeleme Standartta yer alan tüm etkinliklerin BGYS döngüsüne ayrıntılı
ve atanmış sorumlular “Kurum..”, kimi zaman da “Yönetim..” çalışmaları Kurum Etkinlikleri bir biçimde yerleştirilmesiyle hem süreçte yer alan etkinliklerin
“..aşağıdaki çalışmaları gerçekleştirir” (4.2, 6 ve 8. tamamı, hem de bu etkinlikler arasındaki ilişkiler gözler önüne
tarafından gerçekleştirilmesi ifadesini kullanmaktadır. Yönetim PUKÖ döngüsünde bulunan herhangi alt başlıklar) serilmektedir. (Şekil 18)
anlaşılmaktadır.
bir kurum etkinliği için bu etkinliğe paralel 12. Tarihsel gelişim ve öneriler
Tablo1. PUKÖ Adımlarının Standart Alt Başlıkları İle ilişkisi olarak gerçekleştirilmesi gereken bir Belgeleme ve Kayıt Tutma (4.3 alt başlığı)
yönetim etkinliği ve etkinliklerin çoğu için Bilgi güvenliği, ISO 27001 standardında tanımlanan döngünün
oluşturulması gereken belge veya kayıtlar Şekil 16. Üç katmanlı BGYS döngüsü. ISO 27002 standardında açıklanan önlemler için çalıştırılması
belirtilmektedir. Örnek olarak “4.2.1.c ile sağlanmaktadır. Bu konuda temel olanın 27001 süreci
Risk değerlendirme yaklaşımının olduğunu, risk analizi gerçekleştirilmeden alınan önlemlerin
tanımlanması” etkinliğini inceleyelim. Bu Şekilde de görüldüğü gibi kuruma yararlı olmasının rastlantıya bağlı olacağını söylemek
etkinlik ile ilgili olarak yönetimin 5.1.f yanlış olmaz.
başlığında belirtilen “Riskleri kabul etme • Yönetim etkinlikleri üst katmanı,
ölçütlerini ve kabul edilebilir risk Bununla birlikte, ISO 27002 standardında açıklanan önlem
Yönetim Yönetim düzeylerini belirleme” etkinliğini • Kurum etkinlikleri orta katmanı, havuzunda yer alan 133 maddeden on tanesinin öncelikli
Yönetim Etkinliği Etkinliği olduğu ve başlangıç aşamasında bile gerçekleştirilmesinin
Yönetim gerçekleştirmesi beklenmektedir. Aynı • Belgeleme ve kayıt tutma ise alt katmanı oluşturmaktadır.
Etkinliği gerektiği ISO 27002 standardında vurgulanmaktadır. Bu
etkinlikle ilgili olarak 4.3.1.d başlığında
Kurum Kurum BGYS sürecinin tüm etkinlikleri için üç katmanda birden uyarının de gözden kaçırılmaması gerekir. ISO 27002
Kurum Kurum Etkinliği Etkinliği Kurum “Risk değerlendirme yöntemi tanımı”nın standardında açıklanan öncelikli önlemlerden kurumsal
Etkinliği Kurum Kurum Etkinliği belgelenmesi gerektiği belirtilmektedir çalışma olduğunu söylemek mümkün olmasa da çoğu için
Etkinliği Etkinliği (Şekil 15). mümkündür. Örneğin yönetim katmanının katkısının bazı gereksinimleri karşılayanların uygulanması ile bilgi güvenliğine
aşamalarda yalnızca kaynak sağlamak olduğu, diğer bazı katkı sağlanabilir.
Şekil 14. BGYS etkinlikleri, “Kurum” ve “Yönetim”. aşamalar için ise standardın belge üretilmesini istemediği
40 Sayı 05 Ocak-Nisan 2011 http://www.bilgem.tubitak.gov.tr/ 41
·