ISO 27001, BGYS (Bilgi Güvenliği Yönetim Sistemi) için uluslararası kabul görmüş dünyanın en iyi bilinen standardıdır. ISO tarafından 14 Ekim 2005 tarihinde yayınlanmıştır. Kuruluşların veri güvenliği risklerini tanımlaması, yönetmesi ve azaltması için sistematik bir yaklaşım sunar. Kuruluşun sahip olduğu bilginin gizliliğini, bütünlüğünü ve erişilebilirliğini garanti altına almayı amaçlar. Risk yönetimi esaslı ve süreç tabanlıdır. BGSY planlanmasının, gerçekleştirilmesini, iyileştirilmesini ve sürdürülmesi için uygulama işlemlerini ve kontrollerini ISO 27002 içerirken; BGYS belgelendirilmesi için gereken standartlarsa ISO 27001’de yer almaktadır. Siber suçların artması ve sürekli yeni tehditlerin ortaya çıkmasıyla siber riskleri yönetmek zor hatta imkansız görünebilir. ISO 27001, kuruluşların risk konusunda bilinçli olmalarına ve zayıflıkları proaktif bir şekilde belirleyip ele almalarına yardımcı olur.
Bilgi güvenliği temelleri ile ilgili daha önceden yazmış olduğum yazıya aşağıdaki adres üzerinden detaylı bilgiye erişebilirsiniz. https://emrecicek.net/bilgi-guvenligi-temelleri/
Bilgi Güvenliği Yönetim Sistemi, kurumun sahip olduğu bilgilerin gizliliği, bütünlüğü ve erişilebilirliğini sağlamak için planlanan, uygulanan, izlenen ve sürekli geliştirilen bir yönetim sistemidir. Sadece kurulması yeterli değildir; etkin bir şekilde işletilmeli, periyodik olarak gözden geçirilmeli ve geliştirilmelidir. Bilgi güvenliği, bir varlık türü olarak bilginin izinsiz veya yetkisiz bir biçimde erişim, kullanım, değiştirilme, ifşa edilme, ortadan kaldırılma, el değiştirme ve hasar verilmesini önlemek olarak tanımlanır ve “gizlilik”, “bütünlük” ve “erişilebilirlik” olarak isimlendirilen üç temel unsurdan meydana gelir. Bu üç temel güvenlik öğesinden herhangi biri zarar görürse güvenlik zafiyeti oluşur. Korunması gereken bilgi türleri arasında kurum çalışanlarına sunulan servisler, ticari ve askeri açıdan gizli bilgiler, fikri mülkiyeti olan bilgiler, kurumsal bilgi içeren belgeler ve müşteri veya tedarikçilere ait bilgiler ve türevleri bulunur. Bu sürecin işletilmesi kurumsal yapıda bazı yenilikler gerektirir:
- Bilgi güvenliği koordinasyon ekibinin kurulması
- Rol ve sorumlulukların belirlenmesi
- Farkındalık ve bilinçlendirme faaliyetlerinin yürütülmesi
- Politika, prosedür, kılavuz ve kayıt dokümanlarının oluşturulması
BGYS sürecinin oluşturulması için kurum için ayrılmış bütçe ve finansal kaynaklara ihtiyaç duyulur. Bunun yanı sıra, BGYS ekiplerinin yetkinliğini sağlayacak eğitimlerin alınması gereklidir. Kurum genelinde farkındalığı arttıracak etkinlikler oluşturulmalıdır. Bilgi güvenliği konularını içeren iç iletişim mekanizmalarının bulunması da bu sürece katkıda bulunacaktır.
Bilgi güvenliğini tehdit eden unsurlar dış ve iç kaynaklı olabilir:
Dış Tehditler: Saldırganlar, virüsler, botnet, spam e-postalar, vs…
İç Tehditler: Kullanıcı hataları, yetkisiz erişimler, kasten zarar verme, vs…
Bilinen veya ön görülemeyen tehditler için temel koruma önlemleri alınmalıdır. Önlem olarak veri merkezleri ve personel erişimlerinin fiziksel güvenliği, gizlilik ve bütünlük için sınırlı erişim kontrolleri, erişilebilirlik ve bütünlük için sistem yedeklemeleri tedbir amacıyla önerilir. Ancak önlemler yeterli olmayabilir veya bazı özel durumlarda önlem alınması gereken alanlarda esneklik sağlanması gerekebilir, bu durum riskleri ortaya çıkarır.
Riskler ise belirlenen hedeflere ulaşılmasını tehdit eden belirsizlik durumlarını kapsar. Bu sebeple risklerin tanımlanması, analiz edilmesi ve derecelendirilmesi gerekir. Eğer kabul edilecek olan riskler var ise bu risklerin kabul edilebilirlik seviyesinin belirlenmesi şarttır. Riskin azaltılması, aktarılması, reddedilmesi veya kabul edilmesi süreçlerinin tamamı risk işleme planını oluşturulur.
BGYS’nin etkinliğinin sağlanabilmesi için sistematik iç denetimler düzenli aralıklarla gerçekleştirilmelidir. Bu denetimler, politika ve prosedürlerin uygulanabilirliğini, yasal ve düzenleyici gereksinimlere uyumu, belirlenen kontrollerin etkinliğini ve sistemin genel performansını değerlendirir. İç denetim, tarafsızlık esasına göre planlanmalı ve denetleyen kişiler kendi sorumluluk alanlarını denetlememelidir. Denetim sonuçları açıkça raporlanmalı, bulunan uygunsuzluklar için düzeltici ve önleyici faaliyetler tanımlanmalıdır. Düzenleyici faaliyetler ise sistemde ortaya çıkan benzer problemlerin tekrar yaşanmaması amacıyla yürütülür. Bu faaliyetler belirli bir prosedüre bağlanmalı, başlangıç ve kapanış kriterleri netleştirilmiş olmalıdır. Kurumun yazılım, süreç veya altyapı kaynaklı hatalarında yalnızca son kullanıcıyı değil, bütün sistemi etkileyen eksiklikleri ortadan kaldırmaya odaklanmalıdır.
Bilgi güvenliği yönetim sistemi kapsamında kurumun, bilgi güvenliğiyle ilgili politikalarını, standartlarını, prosedürlerini ve kılavuzlarını tanımlayan kapsamlı bir dokümantasyon yapısına sahip olması gereklidir. Politikalar; bilgi güvenliği amaçlarını, yasal ve düzenleyici gereksinimleri, kurumsal prensipleri ve üst yönetimin taahhütlerini açık bir biçimde ortaya koymalıdır. Bu politikaların yazılı, erişilebilir ve tüm ilgili taraflarla paylaşılmış olması önemlidir. Hazırlanan prosedürler ve kılavuzlar, bilgi güvenliği faaliyetlerinin nasıl yürütüleceğini belirlerken; standartlar, faaliyetlerin ölçülebilir ve tutarlı şekilde uygulanmasını garanti altına alır.
Dokümantasyon, yalnızca teorik belgelerden ibaret olmamalıdır. Bu yapının bir parçası olan kayıtlar; kontrollerin işlediğini, politikaların uygulandığını ve prosedürlerin izlendiğini gösteren delil niteliğindedir. Özellikle güvenlik olayları, iç denetimler, eğitim faaliyetleri ve yönetim gözden geçirmeleri gibi süreçlere ait kayıtlar, denetim sırasında kanıt olarak sunulur ve değiştirilemez biçimde arşivlenmelidir. Bu nedenle dokümantasyon yapısı hem dinamik olmalı hem de süreklilik gösterecek şekilde güncel tutulmalıdır.
Bilgi güvenliği yönetiminin başarısı, açıkça tanımlanmış roller ve sorumluluklara dayalıdır. Bu aşamada şirket yönetimi, bilgi güvenliği hedeflerinin gerçekleştirilmesini desteklemeli, gerekli kaynakları sağlamalıdır. Bilgi güvenliği sorumlusu, sistemin performansını izlemek, iyileştirme fırsatlarını belirlemek ve düzenli olarak yönetime rapor sunmakla yükümlüdür. Sorumluluk tanımları yazılı hale getirilmeli, unvan bazlı hazırlanmalı ve organizasyon yapısıyla bütünleşik olmalıdır.
Yönetim gözden geçirme süreci, BGYS sürecinin uygunluk, yeterlilik ve etkinliğini değerlendirmek amacıyla planlı aralıklarla gerçekleştirilmelidir. Bu süreçte, bilgi güvenliği hedeflerinin gerçekleşme düzeyi, iç denetim bulguları, risk değerlendirme sonuçları, düzeltici faaliyetlerin durumu ve kullanıcı geri bildirimleri gibi kriterler dikkate alınır. Yönetim, sistemdeki eksiklikleri giderme, gerekli kaynakları sağlama ve iyileştirme fırsatlarını değerlendirme sorumluluğunu üstlenir.
ISO 27001 standardının en temel prensiplerinden biri, sürekli iyileştirme döngüsüdür. Bilgi güvenliği yönetim sisteminde tespit edilen herhangi bir uygunsuzluk karşısında, yalnızca semptomlarla değil, kök nedenle ilgilenilmelidir. Kök neden analizi yapılarak problemi doğuran süreçler gözden geçirilmeli, yalnızca teknik hatalara değil aynı zamanda süreci zayıflatan uygulamalara da müdahale edilmelidir. Her düzeltici faaliyetin sorumlusu, izleme süreci ve tamamlanma tarihleri net bir şekilde tanımlanmalı ve kayıt altına alınmalıdır.
ISO-27001 uygulanabilirliği için aşağıdaki standart maddelere ihtiyaç duyulmaktadır. Bu standart da belirli bir döngü ile ifade edilmelidir.
- Planla: Kuruluşun ISO-27001 bilgi güvenliği politikasına uygun olarak sonuçların elde edilmesi için gerekli amaçları, hedefleri, prosesleri ve prosedürlerin belirlenmesidir.
- Uygula: Prosesler uygulanır.
- Kontrol et: Süreçler izlenir ve BGYS politikasına, hedeflerine, yasal ve diğer şartlara göre ölçülür. Süreç performansının değerlendirilmesi, uygulanabilen yerlerde ölçülmesi ve sonuçların gözden geçirilmek üzere yönetime rapor edilmesini ve sonuçların bildirildiği aşamadır.
- İyileştir: BGYS performansını sürekli olarak iyileştirmek için uygulanan düzenleyici ve önleyici faaliyetlerdir.
1. BGYS Kapsamı Belirleme (Madde 4)
- Kurumun faaliyet alanı, lokasyonları, süreçleri ve bilgi varlıkları belirlenir.
- “BGYS Kapsam Dokümanı” oluşturulmalıdır.
2. Liderlik (Madde 5)
- Üst yönetim, bilgi güvenliği politikasını onaylamalı ve destek vermelidir.
- Görev ve sorumluluklar tanımlanmalıdır.
3. Risk Yönetimi (Madde 6)
- Tehditler, açıklıklar, etki ve olasılıkları değerlendirerek risk analizi yapılır.
- Risk işleme planı hazırlanır: Kabul, azaltma, aktarma veya reddetme stratejisi seçilir.
4. Destek (Madde 7)
- Dokümantasyon, eğitim, iletişim ve kaynak sağlanmalıdır.
- Yetkinlik matrisi oluşturulmalı.
5. Operasyon (Madde 8)
- BGYS süreçleri işletilmeli (Erişim yönetimi, değişiklik yönetimi, olay yönetimi vs.).
- Operasyonel kontroller uygulanmalı.
6. Performans Değerlendirmesi (Madde 9)
- İç denetimler, BGYS gözden geçirme toplantıları yapılmalı.
- Güvenlik KPI’ları belirlenmeli ve ölçülmeli.
7. İyileştirme (Madde 10)
- Olay ve uygunsuzluklar için düzeltici faaliyetler yürütülmeli.
ISO-27002 ise ISO 27001’deki EK A kontrollerinin ayrıntılı açıklamalarını ve iyi uygulama örneklerini sunan bir rehberdir. ISO 27001 ile neyin yapılması gerektiği belirtilirken, ISO-27002 ile nasıl yapılacağı anlatılır. ISO-27001’in uygulama aşamasında, ISO-27002 altında 11 temel başlık bulunur. ISO-27001 bu başlıkları referans alır ama detayları ISO 27002 içerisinde açıklanmıştır. Bu başlıklar şunlardır:
- Güvenlik Politikası: Üst yönetimin onayladığı, kurumun bilgi güvenliğine bakışını yansıtan temel belgedir.
- Organizasyonel Yapı: BGYS yapısını destekleyecek rollerin ve görevlerin belirlenmesini içerir.
- Varlık Yönetimi: Kurumdaki tüm bilgi varlıklarının sınıflandırılması ve envantere alınmasını kapsar.
- İnsan Kaynakları Güvenliği: Personelin işe girişten çıkışa kadar tüm süreçlerde güvenlik kurallarına uyumu sağlanmalıdır.
- Fiziksel ve Çevresel Güvenlik: Kritik altyapılar fiziksel tehditlere karşı korunmalı, erişim yetkileri kontrol altına alınmalıdır.
- İletişim ve İşletim Yönetimi: Sistem açma-kapama, yedekleme ve bakım işlemleri gibi işletim faaliyetleri yazılı prosedürlere bağlanmalıdır.
- Erişim Kontrolü: Fiziksel ve mantıksal erişim hakları roller bazında sınırlandırılmalıdır.
- Sistem Geliştirme ve Bakım: Yazılım tedarik ve geliştirme süreçlerinde güvenlik kontrolleri göz önünde bulundurulmalıdır.
- Olay Yönetimi: Güvenlik olayları tespit edilmeli, raporlanmalı ve etkili şekilde yönetilmelidir.
- İş Sürekliliği: Bilgi güvenliğini de kapsayan iş sürekliliği planları hazırlanmalı ve test edilmelidir.
- Uyum: Kurum, tabi olduğu tüm yasal, sözleşmesel ve düzenleyici gereksinimlere uyum sağlamak zorundadır.
NIST (National Institute of Standards and Technology), ABD merkezli bir kurumdur. NIST, özellikle SP 800-30 (Risk Assessment), SP 800-53 (Security and Privacy Controls), SP 800-171 (CUI) ve Cybersecurity Framework (CSF) gibi yayınlarıyla kurumlara geniş kapsamlı uygulama rehberleri sunar. Böylelikle bilgi güvenliği için referans olarak kabul edilir. Sistemlerin siber güvenlik tehditlerine karşı korunmasını sağlamak. Sertifika vermez, ancak ISO 27001 gibi standartlara temel oluşturmayı amaçlar.
ISO 9001 ile ISO 27001’in entegrasyonu; kalite ve bilgi güvenliği süreçlerinin birbirini destekleyecek şekilde uyarlanması ile mümkündür. Her iki sistemin PDCA (Planla, Uygula, Kontrol Et, İyileştir) döngüsü temellidir. ISO 9001 ise Kalite Yönetim Sistemi olarak standardize edilmiştir ve müşteri memnuniyetini arttırmayı hedefler. Müşteri memnuniyeti artarken, var olan risklerin göz ardı edilmemesi gerekmektedir. Her iki sertifikasyonda da ortam prosedürlerin birbirini olumsuz etkilemeyecek şekilde kurgulanmalıdır.
