Hepimiz bir kuruluşun veri ve bilgilerinin günümüzde çok önemli ve değerli bir varlık olarak kabul edildiğini biliyoruz. Bilginin tamamen korunması ve kontrollü bir şekilde hedef kitlenin kullanımına sunulması gerektiğini de biliyoruz. Bu amaçla kuruluşunuzun bilgi güvenliğini yönetmek için kullanabileceğiniz Bilgi Güvenliği Yönetim Sistemi veya BGYS adı verilen bir yaklaşım önerildi. Bu yazımızda BGYS standardını detaylı bir şekilde tanıtıp inceleyeceğiz.
BGYS bilgi güvenliği yönetim sistemi nedir?
Öncelikle Isms’in ne anlama geldiğini bilmemiz gerekiyor. BGYS, Bilgi Güvenliği Yönetim Sistemi anlamına gelir ve Bilgi Güvenliği Yönetim Sistemi anlamına gelir. Bilgi güvenliği yönetim sistemi, kuruluşun büyüklüğüne ve çalışma bağlamına göre tasarlanan ve uygulanan bir dizi politika, hedef, strateji, risk tanıma ve değerlendirme dokümanı, sistem talimatı vb.’dir. BGYS sistemi kuruluştaki bilgi güvenliğinin sağlanmasından sorumludur.
BGYS, kuruluşlarda bilgi alışverişi alanını güvence altına almak için standartlar sağlar. Bu standartlar, belirli bir planın uygulanması yoluyla bir kuruluşun bilgi alışverişi alanını güvence altına almaya yönelik bir dizi yönergeyi içerir.
Bilgi alışverişi alanı güvenlik yönetimi standartları, kuruluşların bilgi alışverişi alanındaki başarılı saldırıların sayısını en aza indirecek teknikleri ve politikaları uygulamasını sağlayan bir dizi güvenlik standardıdır. Aslında bu standartlar genel bir güvenlik çerçevesi ve bilgi alışverişi alanında “güvenlik” uygulamak için bir dizi özel teknik sağlar.
Bilgi güvenliği yönetim sistemini hayata geçirme adımları nelerdir?
BGYS bilgi güvenliği yönetim sisteminin hayata geçirilmesi adımları 5 adıma ayrılmıştır. Aşağıda bu adımları alt kategorileriyle birlikte tanıtacağız.
Aşama sıfır: BGYS eğitimi
Bilgi güvenliğinin oluşturulmasında ve sürdürülmesinde etkin rol oynayan en önemli unsurlardan biri, personelin ve yüklenicilerin kurumun bilgi güvenliği programındaki hak, görev, sorumluluk vb. konularda bilgilendirilmesi ve cevaplanması için doğru ve verimli eğitim ve farkındalıktır. . Bu aşamanın amacı kuruluş çalışanlarının BGYS alanında ihtiyaç duyduğu bilgi ve beceri düzeyini eğitmek ve geliştirmektir. Bu eğitimler ile kurum personeli ve ağ ve bilgi güvenliği ekibi, ağ ve bilgi güvenliği sisteminin yönetimi ile ilgili tüm faaliyetleri iyi bir şekilde yerine getirebilmektedir.
İlk aşama: mevcut durumun belirlenmesi ve zayıf yönlerin azaltılması
Kuruluşun belgeleri incelenerek ve revize edilerek kuruluşa dair bir nevi ön anlayış sağlanır. Ayrıca kontrol listelerini kullanarak organizasyondaki bilgi kaynağının durumu ve ağın mevcut koşulları hakkında bir dizi genel bilgi edineceksiniz. Genel olarak ilk aşamada kuruluşun bilgi teknolojileri alanındaki mevcut durumunun ve bununla ilgili faaliyetlerin anlatıldığını söyleyebiliriz. Kuruluşun ağ ve bilgi güvenliği düzeyinin ilk incelemesi ve değerlendirmesi aşağıdaki alanlarda gerçekleştirilir:
ağ düzeyi
Sistem seviyesi
Uygulama düzeyi
İletişim platformu seviyesi
Bağlantı düzeyi
şifreleme düzeyi
İkinci aşama: BGYS’nin sistem alanında tasarımı ve uygulanması
Bu aşamada varlıklar standarda göre tanımlanır ve değerlenir. Daha sonra organizasyonun süreçleri mevcut durumdan istenilen duruma geçiş sağlayacak şekilde tasarlanacak ve uygulanacaktır. Bu sayede aradaki farkı azaltır ve istediğiniz duruma doğru ilerlersiniz.
Üçüncü aşama: BGYS’nin sözleşme bağlamında uygulanması ve uygulanması
Bu aşamada, bir önceki aşamada hazırlanan SOA’ya dayanarak OVA’ya dayalı talimatlar, prosedürler ve güvenlik projeleri iletilir ve uygulanır. Üçüncü aşamada yazılım, donanım, izleme sistemleri, ekipman konfigürasyonu vb. ekipmanların satın alınmasına ihtiyaç duyulursa kararlar kuruluşun gözetiminde alınır ve genellikle üçüncü bir tarafça uygulanır.
Aşama 4: Sözleşme bağlamında BGYS’nin denetlenmesi, izlenmesi ve iyileştirilmesi
Sistemi uyguladıktan sonra dördüncü aşamaya geçiyoruz. Bu aşamada standart denetime ilişkin kontrol listeleri ve belgeler ile kurumun güvenlik ekibinin yeteneklerine göre projede gerçekleştirilen tüm faaliyetler gözden geçirilir ve gözden geçirilir. Bu sayede eğer bir sorun ya da istenilen ve standart hedeflerden sapma varsa hızlı bir şekilde düzeltebilirsiniz. Sorunların incelenip çözülmesinin ardından kuruluş, ISO 27001 uluslararası sertifikasını almaya hazır hale gelecektir.
Beşinci aşama: sertifikasyon şirketleri tarafından denetim
Bir önceki adımda da belirttiğimiz gibi iç denetimin tamamlanması ve mevcut zayıflıkların ve sorunların giderilmesinin ardından kuruluş ISO 27001 uluslararası sertifikasını alabilir. Bu aşamada kuruluş yöneticilerinin istekli olması halinde geçerli belgelendirme firmaları karşılaştırıldıktan sonra belgelendirme için bir merkez davet edilecektir.
Bilgi güvenliği yönetim sistemi hangi belgeleri içerir?
Peki BGYS belgeleri nelerdir ve uygun bir güvenlik yapısında bu belgelerin kaç çeşidi bulunmalıdır?
Bilgi ve iletişim güvenliği yönetim sistemi standartlarına göre her kuruluş, aşağıdakileri içeren bu dokümanlardan oluşan bir seti kendisi için derlemek zorundadır.
- Kuruluşun bilgi alışveriş alanının hedeflerini, stratejilerini ve güvenlik politikalarını belgelemek (Güvenlik Politikası)
- kuruluşun bilgi alışveriş alanının güvenlik planının belgesi
- Cihazın bilgi alışveriş alanının güvenliğini sağlamak amacıyla kuruluş personeline yönelik güvenlik eğitim programının belgesi
- Cihaz bilgi alışverişi alanının güvenlik risklerini azaltmaya yönelik planın belgesi (Risk Değerlendirmesi)
- Kuruluşun personeline yönelik güvenlik eğitimi ve farkındalık programına ilişkin belge (Farkındalık)
- Güvenlik olaylarıyla başa çıkma ve cihazın bilgi alışveriş alanındaki sorunları ve arızaları onarmaya yönelik planın belgesi (Felaket Kurtarma)
BGYS bilgi güvenliği yönetim sistemini kurmanın faydaları nelerdir?
Şu ana kadar BGYS sisteminin bilgiyi güvence altına alarak güvenliğin ve güvenin devamını sağladığını, tehdit ve zararları azalttığını biliyoruz. Bu bölümde BGYS sisteminin faydalarını daha detaylı inceleyeceğiz.
- Bilgi güvenliği yönetim sistemi , dijital bilgiler, belgelerde yazılı bilgiler ve buluttaki bilgiler dahil her türlü bilgiyi korur .
- Kuruluşun kullanıcıları için bilgi risklerinin iyi kontrol edilmesini ve yönetilmesini sağlar.
- BGYS sistemi, risk değerlendirme çözümlerini kullanarak kuruluştaki bilgi güvenliği maliyetlerinin azaltılmasına yardımcı olur.
- Bilgi güvenliği yönetim sisteminin uygulanması, kurumun siber olmayan her türlü siber tehdide karşı direncini arttırır.
- BGYS sisteminin standartları Dünya Standart Örgütü tarafından hazırlanıp üretilse de, denetim kuruluşlarının denetlenmesi ve ISO 27001 sertifikasının sağlanması süreci uluslararası belgelendirme kuruluşları (CB) tarafından yayınlanmakta ve ISO kuruluşu tarafından onaylanmaktadır.
- ISO 27001 standardı, ISO 9000 ve ISO/IEC20000 dahil olmak üzere diğer yönetim standartlarıyla tutarlı olacak şekilde tasarlanmıştır.
- Bilgi güvenliği yönetim sisteminde kuruluşların denetim süreci uluslararası kurallara dayalı olarak yürütülür. Bu sayede sertifikayı vermekle yükümlü olan firmanın baş denetçisi, birçok durumda mekânda hazır bulunarak gerekli kontrol ve incelemeleri çok sıkı bir şekilde gerçekleştirir.
- Bir kuruluş veya şirket ISO/IEC 27001 belgesine sahip olduğunda, ona yatırım yapmayı düşünen kişiler kuruluşun daha az tehdit altında olduğundan emin olur. Bu konu kurumun müşterilerinin ve iş ortaklarının güvenlik duygusunu, memnuniyetini artıracak ve sonuçta kurumun kârını artıracaktır.
BGYS bilgi güvenliği yönetim sisteminin uygulanmasında karşılaşılan sorunlar nelerdir?
Her teknoloji sayısız avantajının yanı sıra kurulum ve uygulama aşamalarında sorunları da beraberinde getiriyor. Bu bölümde bilgi güvenliği yönetim sisteminin uygulanmasındaki sorunları inceleyeceğiz.
- BGYS sistem standartlarının uygulanmasının önündeki temel engellerden biri güvenlik konusudur. Güvenliğin teknolojiye dönüşmeden önce bir kültür olmasına ve yerleşmesi için çok zamana ihtiyacı olmasına dikkat etmelisiniz. Bir kuruluşun yerelleştirilmiş kültürünü hemen diğerine aktarmanın hiçbir yolu yoktur.
- Neredeyse imkansız olsa da, eğer tek adımda bilgi güvenliği yönetim sistemini kurumda hayata geçirip ilgili standart sertifikayı almayı başarırsak, bunlar asla “güvenliğin sürekliliğini” garanti etmeyecektir. Bu nedenle uluslararası standartlarda her zaman Deming döngüsü veya PDCA kullanılır. tasarım operasyonlarının tasarlanması, test edilmesi ve yeniden uygulanmasından oluşan döngüsel ve kalıcı bir döngüdür. Bu döngü, bir süreci tasarlama (Planla), uygulama (Yap), gözden geçirme (Kontrol et) ve eyleme geçme (Önlem al) olmak üzere 4 aşamada ilerletmenin adımlarını açıklar. Yani bu döngünün sürekli hareket ettiğini söyleyebiliriz. Bu adımların her seferinde tekrarlanması sistemin sürekli iyileştirilmesine önemli katkı sağlayacaktır.
- Kuruluşun bilgilerine yönelik devam eden güvensizlik ve sürekli tehditler nedeniyle, kuruluşun her alanında güvenlik düşüncesi ve güvenlik operasyonları yürütülmeli ve sürdürülmelidir. Bazı yöneticiler örgütün bilgi alışverişi alanında bilgi bankalarını tehdit ve tehlike altında görmemekte ve herhangi bir güvensizlik hissetmemektedir. Bu düşünce şekliyle bilgi güvenliği yönetimi standartlarının uygulanması ve devamı konusunda ciddi ve kapsamlı bir destek sağlayamayacakları doğaldır.
- Güvenliğin çok somut olmadığını unutmayın. Çünkü bir güvenlik projesi yapıldığında kurumun bazı yöneticileri ve uzmanları özel bir şey yaşanmadığını düşünüyor, hatta bu projelere para harcanmasından şikayetçi bile olabiliyorlar. B iken
- Kurumun bilgi güvenliği yönetimine dikkat edilmesi telafisi mümkün olmayan riskleri barındırmaktadır.
Bilgi güvenliği yönetim sisteminin, kuruluşların yapılarını temel alarak uyguladıkları bir metin belgesi olduğunu fark ettiniz. BGYS’nin tanıtılması ve kuruluşta uygulanması, bilgi varlıkları, yazılım, donanım, insan kaynakları, iş sürekliliği, fiziksel güvenlik vb. gibi kuruluşun çeşitli alanlarında bilgi güvenliğini artıracaktır.
Bu yazımızda BGYS bilgi güvenliği yönetim sisteminin hedefleri, standartları, uygulama adımları, dokümantasyonu ile bu sistemin güçlü ve zayıf yönleri hakkında bilgi sahibi olduk.