Fikret OTTEKİN  Kurumsal Bilgi Güvenliğine Işık Tutan Standartlar


 7. Bilgi Güvenliği Yönetim  BGYS sürecinin girdisi “Bilgi güvenliği  kurumun dışında yer alan bir öğe  edilebilir risk  Yönetim  söylenebilir. Gene de Şekil-16’de resmedilen çok katmanlı
                                         5.1.1 Kabul
                                                   Etkinliği
 Sistemi ve Süreç Yaklaşımı  gereksinimi ve beklentileri”, çıktısı ise  olamayacağına göre “Yönetim”  Yönetim  düzeyi  BGYS döngüsünün bilgi güvenliği sürecine ilişkin oldukça
 “Yönetilen bilgi güvenliği”dir.  ifadesinden “Yalnızca Yönetim”, “Kurum”  4.2.1.c Risk  gerçekçi bir model oluşturduğu söylenebilir.
 ISO 27002 standardında yer alan belli  ifadesinden ise “Kurum içinde yönetim  değerlendirme  Kurum
                                                    Etkinliği
                                           yaklaşımı
 başlı güvenlik önlemlerini gördükten sonra  Süreci oluşturan çalışmalar dört adım  tarafından görevlendirilmiş birimler ve  Kurum  Çok katmanlı yapıların hemen hepsinde olduğu gibi burada
 tekrar 27001’e dönelim ve standardın  altında toplanabilir. Bu dört adım PUKÖ  gerekiyorsa yönetim temsilcisi”  değerlendirme  Belgeleme  da üst katmanın çıktısı bir alttaki katmanın girdisini
                                             4.3.1.d Risk
 çizdiği büyük resmi görmeye çalışalım. İlk  (Planla-Uygula-Kontrol Et-Önlem Al)  anlaşılmalıdır. (Şekil 14)  yöntemi belgesi  ve Kayıt  oluşturmaktadır. Kurum etkinlikleri nin sonucunda oluşan
 iş olarak şunu vurgulayalım: ISO 27001  döngüsünü oluşturur. Bu adımlar ve  belgeler ise çoğunlukla sürecin bir sonraki etkinliği için girdi
 standardı Bilgi Güvenliği Yönetim Sistemi  standardın ilgili başlıkları Tablo – 1’de  Standart, “5 Yönetim Sorumluluğu”  ISO 27001 referansı  olmaktadır.
 (BGYS)’nin süreçlerden oluşan bir sistem  verilmektedir.  başlığı altında yönetimin sürecin  Şekil 15. 4.2.1.c faaliyeti, eşlik eden yönetim etkinliği ve belgeleme.  Örnek olarak yine Şekil 15’e dönecek olursak,
 olarak algılanması gerektiğini vurgular.  Bu dört adımın gerçekleştirilmesi ile  tamamında devrede olduğunu çeşitli
 Buna ek olarak, BGYS’nin kendisi de bir  PUKÖ döngüsü tamamlanmış olur. Ancak,  etkinlikler aracılığıyla kanıtlanması  Bir yönetim etkinliği olan kabul edilebilir risk düzeyinin
 süreçtir.  “Planlama” adımı yalnızca 4.2.1 başlığı,  gerektiğini ifade ederek “Kurum” ve  10. Yönetim ve belgelemenin oluşturduğu paralel  belirlenmesi (5.1.f), kurum etkinliği olan risk değerlendirme
 “Yönetim” kavramlarını yukarıdaki gibi
 ISO 27001 standardına göre süreç,  “Kontrol Et” adımı yalnızca 4.2.3 başlığı  tanımlamamızı sağlamaktadır.  döngüler  yaklaşımının belirlenmesine (4.2.1.c) girdi oluşturur. Bu etkinlik
                                                                     sonucunda belgeleme katmanında yer alan risk yöntemi belgesi
 “Girdileri çıktıya çevirmek için kaynak  ile sınırlı olamaz.  Standardın “4.2 BGYS’nin kurulması ve yönetilmesi” başlığı,  (4.3.1.d) üretilir. Bu doküman, sürecin bir sonraki etkinliği
 kullanan ve yönetilen çalışmalardır.”  4.2 başlığı altında BGYS döngüsünün  Özetle “Yönetim”, tüm süreç boyunca  esasen “PUKÖ döngüsü”nün tamamını içerir, BGYS süreci  olan risk analizi çalışmaları (4.2.1.d-f) için girdi oluşturur.
 Dolayısıyla, sürecin  çok yoğun bir özeti yapılmaktadır. Bu  işin içindedir, çeşitli adımlarda çalışmalara  çerçevesinde gerçekleştirilecek kurum etkinlikerine değinirken
 katılarak veya kaynak sağlayarak BGYS
 •  Girdisi,  başlık altından standardın “belgeleme  sürecine katkıda bulunur.  yönetim çalışmalarına ve belgelemeye de göndermeler yapar.  11. Katmanlar arası senkronizasyon ve BGYS
          Kurum çalışmalarının bir kısmı ise - “6 İç tetkik” ve “8 BGYS’nin
 gereksinimleri”, “yönetim sorumluluğu”,                             süreç özeti
 •  Çıktısı,  “iç tetkik”, ayrıca ISO 27002 kontrollerinin  “Kurum” ve “Yönetim” etkinliklerine ek  iyileştirilmesi” - daha sonra ayrıntılarıyla açıklanmaktadır.
 özetlendiği “Ek A. Kontrol Amaçları ve  olarak standartta dikkat çeken bir etkinlik  Ardından gelen 4.3 başlığı, süreç boyunca üretilecek belgelere,  Standartta bulunan tüm göndermelerin incelenmesi
 •  Girdiyi çıktıya dönüştürmekte  Kontroller” bölümlerine göndermeler  türü de belgeleme ve kayıt çalışmalarıdır.  sonucunda farklı katmanlardaki etkinliklerinin ilişkilendirilmesi
 kullandığı bilgisi ve yöntemi  5 ve 7 numaralı başlıklar ise yönetim çalışmalarına ilişkin  ve katmanlar arası senkronizasyonun sağlanması mümkündür.
 yapılmaktadır. Bu bölümlerde de PUKÖ  Bu konu “4.3 Belgeleme Gereksinimleri”  bilgiler verir.
 vardır. Bunlara ek olarak süreç çalışırken  döngüsü altında sözü geçen çalışmalar  başlığı altında işlenmektedir. Bu başlık  Böylece standartta karışık olarak yer alan BGYS sürecinin tüm
                                                                     katman ve etkinlikleri tek şekilde toplanabilir. (Bu özet Şekil
 kaynak kullanır. Standarttaki “yönetilen  ayrıntılı olarak açıklanmaktadır.  altında üretilmesi zorunlu olan belgelerin  Bu bölümlerin içerikleri PUKÖ döngüsüne eşlik eden yönetim  18’de gösterilmiştir.) Ancak önce bunun nasıl yapılacağını
 çalışma” ifadesinden  PUKÖ döngüsünün hangi etkinlikleri ile  ve belgeleme döngülerini tanımlamaktadır. Bu üç paralel
 8. Uygulayıcılar: Kurum ve  ilişkili olarak geliştirileceği ve belgelerle  döngünün bir araya gelmesiyle çok katmanlı BGYS süreci  açıklayalım. Şekil 17 aslında Şekil 16’nın ayrıntılı biçimi olmakla
 •  Yönetim tarafından tanımlanmış veya  Yönetim  ilgili olarak yönetimin üstüne düşenler  oluşmaktadır (Şekil 16).  birlikte yer darlığı yüzünden Şekil 16’daki derinlik ve çok
 onaylanmış etkinliklerin  açıklanmaktadır.                          katmanlı yapı duygusunu verememektedir.
 Bu çalışmaları yerine getirenler  Yönetim Etkinlikleri (5 ve 7. alt başlıklar)
 •  Yönetim tarafından belirlenmiş roller  konusunda standart, kimi zaman  9. Kurum, Yönetim ve Belgeleme  Standartta yer alan tüm etkinliklerin BGYS döngüsüne ayrıntılı
 ve atanmış sorumlular  “Kurum..”, kimi zaman da “Yönetim..”  çalışmaları  Kurum Etkinlikleri  bir biçimde yerleştirilmesiyle hem süreçte yer alan etkinliklerin
 “..aşağıdaki çalışmaları gerçekleştirir”            (4.2, 6 ve 8.   tamamı, hem de bu etkinlikler arasındaki ilişkiler gözler önüne
 tarafından gerçekleştirilmesi  ifadesini kullanmaktadır. Yönetim  PUKÖ döngüsünde bulunan herhangi  alt başlıklar)  serilmektedir. (Şekil 18)
 anlaşılmaktadır.
 bir kurum etkinliği için bu etkinliğe paralel                        12. Tarihsel gelişim ve öneriler
 Tablo1.  PUKÖ Adımlarının Standart Alt Başlıkları İle ilişkisi  olarak gerçekleştirilmesi gereken bir  Belgeleme ve Kayıt Tutma (4.3 alt başlığı)
 yönetim etkinliği ve etkinliklerin çoğu için                         Bilgi güvenliği, ISO 27001 standardında tanımlanan döngünün
 oluşturulması gereken belge veya kayıtlar  Şekil 16. Üç katmanlı BGYS döngüsü.  ISO 27002 standardında açıklanan önlemler için çalıştırılması
 belirtilmektedir. Örnek olarak “4.2.1.c                             ile sağlanmaktadır. Bu konuda temel olanın 27001 süreci
 Risk değerlendirme yaklaşımının                                     olduğunu, risk analizi gerçekleştirilmeden alınan önlemlerin
 tanımlanması” etkinliğini inceleyelim. Bu  Şekilde de görüldüğü gibi  kuruma yararlı olmasının rastlantıya bağlı olacağını söylemek
 etkinlik ile ilgili olarak yönetimin 5.1.f                          yanlış olmaz.
 başlığında belirtilen “Riskleri kabul etme  •  Yönetim etkinlikleri üst katmanı,
 ölçütlerini ve kabul edilebilir risk                                 Bununla birlikte, ISO 27002 standardında açıklanan önlem
 Yönetim  Yönetim  düzeylerini belirleme” etkinliğini  •  Kurum etkinlikleri orta katmanı,  havuzunda yer alan 133 maddeden on tanesinin öncelikli
 Yönetim  Etkinliği  Etkinliği                                       olduğu ve başlangıç aşamasında bile gerçekleştirilmesinin
 Yönetim  gerçekleştirmesi beklenmektedir. Aynı  •  Belgeleme ve kayıt tutma ise alt katmanı oluşturmaktadır.
 Etkinliği                                                           gerektiği ISO 27002 standardında vurgulanmaktadır. Bu
 etkinlikle ilgili olarak 4.3.1.d başlığında
 Kurum  Kurum  BGYS sürecinin tüm etkinlikleri için üç katmanda birden  uyarının de gözden kaçırılmaması gerekir. ISO 27002
 Kurum  Kurum  Etkinliği  Etkinliği  Kurum  “Risk değerlendirme yöntemi tanımı”nın  standardında açıklanan öncelikli önlemlerden kurumsal
 Etkinliği  Kurum  Kurum  Etkinliği  belgelenmesi gerektiği belirtilmektedir  çalışma olduğunu söylemek mümkün olmasa da çoğu için
 Etkinliği  Etkinliği  (Şekil 15).  mümkündür. Örneğin yönetim katmanının katkısının bazı  gereksinimleri karşılayanların uygulanması ile bilgi güvenliğine
          aşamalarda yalnızca kaynak sağlamak olduğu, diğer bazı     katkı sağlanabilir.
 Şekil 14.  BGYS etkinlikleri, “Kurum” ve “Yönetim”.  aşamalar için ise standardın belge üretilmesini istemediği

 40  Sayı 05   Ocak-Nisan 2011  http://www.bilgem.tubitak.gov.tr/  41
 ·