Page 45 - bilgem-teknoloji-dergisi-5
P. 45
Fikret OTTEKİN Kurumsal Bilgi Güvenliğine Işık Tutan Standartlar
27001 ve 27002 standartlarının tarihsel gelişimi göz önünde KAYNAKÇA
bulundurulduğunda, önlem havuzu durumundaki 27002’nin
ilk sürümünün 7799-1 adı ile 1995’de yayınlandığı [1] “COBIT Mapping. Overview of International IT Guidance,
görülmektedir. Bilgi güvenliği sürecini tanımlayan 27001 2nd Edition” http://www.isaca.org/
Yönetim standardı ise 2005 tarihinde yayınlanmıştır. Bu tarihlerin ve [2] International Standard ISO/IEC 27001, Information
Etkinlikleri deneyimlerin ışığında önlem havuzuna dalıp gitmenin yeterli technology – Security techniques – Information security
olmadığı, asıl güçlüğün bunları yaşatmak olduğunu, 27001’in management systems – Requirements.
Kurum
Uygulama Yönetim bu arayışın sonucu olarak ortaya çıktığı söylenebilir.
Kararı Politikası Etkinlikleri [3] International Standard ISO/IEC 27002, Information
Kapsam Politika Kabul Edil.
Risk
Tanımlama Dolayısıyla önemli olan, i) Risk analizi, ii) Önlemlerin technology – Security techniques – Code of practice for
Tanımlama Risk Analiz
Kapsam Yaklaşımı Kaynak belirlenmesi ve uygulanması, iii) İç tetkik, iv) Yönetim gözden
Belgesi Politika Tahsisi Belgeleme information security management.
Belgesi Risk Metod Risk
Belgesi Analizi ve Kayıt geçirmesi ve v) Düzeltici ve önleyici faaliyetlerin
Risk Değer
Raporu gerçekleştirilmesi adımlarından oluşan 27001 sürecinin kurum [4] Fikret Ottekin, “ISO 27001 Denetim Listesi”,
Uygulanabil. Uygulan. Kaynak tarafından işletilmesidir. Dar bir kapsamda veya kısıtlı bir http://www.bilgiguvenligi.gov.tr/index.php?option=com_con
Bildirgesi Hazırlama Tahsisi
önlem seti için bile olsa, bilgi güvenliği sürecinin çalıştırılması, tent&task=view&id=154
kurumda bilgi güvenliğinin temelinin sağlam bir biçimde
Tetkik Raporu atılmasını sağlar (Şekil 19). Bizim tüm kurumlara önerimiz, [5] Fatih Koç, “Varlık Envanteri Oluşturma Kılavuzu”
İç Tetkik Eğitim http://www.bilgiguvenligi.gov.tr/index.php?option=com_con
Kayıtları Eğitim ve öncelikle bu temelin atılmasıdır. Temel sağlam olarak atıldıktan
Yönetim Bilinçlenme tent&task=view&id=223
Güvencesi Yönetim sonra kapsam da güvenlik önlemleri de genişletilebilir.
Güvencesi
[6] Doğan Eskiyörük, “BGYS Risk Yönetim Süreci Kılavuzu”,
http://www.bilgiguvenligi.gov.tr/index.php?option=com_con
Şekil 17. Çok katmanlı BGYS döngüsünün ayrıntılı açıklaması. tent&task=view&id=148
27002 [7] Günce Öztürk, “Bilgi Güvenliği Politikası Oluşturma
5.1.a. 5.1.1.
Politika Kılavuzu”,
Girdi Kabul Edilebilir
Kaynak Risk Seviyesi Kaynak
4.2.1.a. http://www.bilgiguvenligi.gov.tr/index.php?option=com_con
Kapsam
Kaynak 4.2.4.d. Tanımlama 4.2.1.b. 4.2.1.c. Kaynak
Politika
Risk
Hedefe
Ulaşıldığını Tanımlama Değerlendirme 4.2.1.d. 4.2.1.e. tent&task=view&id=155
4.2.4.c. Yaklaşımı Risk Belirle Risklerin Analizi
Faaliyetleri Tüm Garanti Et ve Kaynak
İlgililere İlet Değerlendirilmesi
4.2.4.b. ve 8.3. 4.3.1.b. 4.3.1.a. ve 4.3.1.d. 4.2.1.f. [8] Dinçer Önel, “Bilgi Güvenliği Bilinçlendirme Süreci
Kaynak Önleyici Kapsam A.5.1.1. Risk Risk Ele Alış
Faaliyetler 4.3.3. Politika ve Metodoloji Seçenekleri Oluşturma Kılavuzu”
Faaliyet Hedef Belgesi 4.3.1.e. ISO 27001
Risk
4.2.4.b. ve 8.2. Kayıtları onay Değerlendirme 4.2.1.g. EK A http://www.bilgiguvenligi.gov.tr/index.php?option=com_con
Kaynak Düzeltici Raporu Kontrollerin Kontroller 27001
Faaliyetler Seçilmesi tent&task=view&id=150
4.2.4.a. 4.2.1.h.
İyileştirmeleri Artık Riskin Kaynak
Kaynak Uygula Onaylanması [9] Hayretdin Bahşi, “Teknik Açıklık Yönetimi”,
4.2.1.i. http://www.bilgiguvenligi.gov.tr/index.php?option=com_con
Uygulama için Yönetim Kaynak tent&task=view&id=90&Itemid=6
4.2.4 4.2.1. Yetkilendirmesi
Önlem al Planla 4.3.1.i. 4.2.1.j.
Uygulanabilirlik Uygulanabilirlik
Bildirgesi Bildirgesi Kaynak Şekil 19. Bilgi güvenliği sürecini (27001) ve önlem havuzunu [10] “Olay Müdahale Koordinasyonu”,
Hazırla
4.3.3. (27002) tanımlayan standartlar. http://www.bilgiguvenligi.gov.tr/index.php?option=com_con
4.2.3.h.
Faaliyet
Kaynak Olayları Kayıtları 4.3.1.f. 4.2.2.a.
Kaydet Risk Tedavi Risk Tedavi Kaynak tent&task=view&id=69&Itemid=6
Planı
4.2.3. 4.2.2. Planı
4.2.3.g. Kontrol et Uygula
Kaynak Güvenlik Planlarını 4.2.2.b. [11] Ziya Gökalp, “İşin sürekliliği adına ‘Bilgi Güvenliği’”,
Planın
Yenile Kaynak
7.3. Uygulanması
Gözden http://www.bilgiguvenligi.gov.tr/index.php?option=com_con
4.2.3.f. ve 7 Geçirme
5.1.c.
Kaynak Yönetim Gözden Çıktısı 4.2.2.c. Roller ve
Kontrollerin
Geçirmesi Uygulanması Sorumluluklar tent&task=view&id=256&Itemid=6
ISO 27001 Süreç Etkinlikleri 4.3.1.g.
Ölçüm
4.2.3.e. ve 6 Sonuç Uygulama Kapsam Metodoloji 4.2.2.d.
İç Tetkik Raporu Kapsam Belgesi Ölçüm Yöntemlerini Kaynak
Kararı Tanımlama Belgesi Tanımla
4.2.3.d. Eğitim
4.2.2.e.
Riskleri Gözden Kayıtları Eğitim ve
Kaynak Geçir Farkındalık 5.1.d. ve 5.2.2.
Yönetim
4.2.3.c. Güvencesi
Kontrollerin 4.2.2.f.
Etkinliğini Ölç 4.2.3.b. 4.2.3.a. 4.2.2.h. 4.2.2.g. BGYS Operasyonlarını
BGYS
Kaynak BGYS Etkinliğini İzleme ve Gözden Güvenlik Olaylarına Kaynaklarını Yönet Kaynak
Gözden Geçir Geçirme Prosedürleri Reaksiyon Prosedürleri Yönet
Kaynak
Kaynak 5.2.1.
Kaynak Kaynak Kaynak Kaynak
Tahsisi
Şekil 18. Ayrıntılarıyla açıklanmış üç katmanlı BGYS süreci.
42 Sayı 05 Ocak-Nisan 2011 http://www.bilgem.tubitak.gov.tr/ 43
·