Bilgi Güvenliği, Bilgi Güvenliği Yönetim Sistemleri ve Standartları Özet Burada, bilişim teknolojilerinin bilgi üzerindeki etkileri ve sonuçları ortaya konulmuş, bilginin korunmasında bilgi güvenliği kavramı incelenmiş, bilgi güvenliğini oluşturan ana unsurlar üzerinde durulmuş, bilgi güvenliğine yönelik saldırılara karşı etkin bir savunma oluşturmak için gerekli olan güvenlik süreçleri ve standartları üzerinde durularak bilgi yönetim sisteminin nasıl kurulduğu özetlenmiştir.
Anahtar Kelimeler: Bilgi, Bilgi Güvenliği, Bilgi Yönetim Sistemi, Veri, Güvenlik Süreçleri, Özbilgi, Bilgi Güvenliğinde Süreçler ve Standartlar.
Abstract Here, information on the effects and the results information technologies being introduced, analyzed the concept of information security, information protection, focused on the main elements that make up the security of information, create an effective defense against attacks to the security of information which is necessary for security information management system with emphasis on processes and standardsare summarized how it was established.
Keywords: Information, Information security, Information Management System, Data,Security Processes, Self-knowledge, Information Security Processes and Standards. 1/20
1.GİRİŞ Günümüzde bilgi, iletişim teknolojilerindeki gelişmelerin izlenmesi ve bilgi güvenliği açısından bir politika oluşturulması son derece önemlidir. İnternetin yaygınlaşması ve bir ticaret aracı halini almaya başlamasıyla, bilgi güvenliğinin sivil uygulamalarını görmekteyiz. Bu uygulamalar kısaca “açık anahtarlı altyapılar ( Public Key Infrastructure – PKI )” olarak isimlendirilir. Açık anahtarlı altyapılar, bir gizli, açık anahtar çifti ve bu çiftle sağlanan “elektronik kimlik, sayısal imzalama ve şifreleme” işlevleriyle, gerekli kurumsal ve yasal yapılanma üzerine kurulmuştur. (Canberk ve Sağıroğlu,2006:3) Kripto işlemleri donanım üzerinden yazılıma kaymıştır.
Bu yazılımlarda
kullanılan algoritmalar tümüyle kamuya açıktır. Bunun anlamı, bu algoritmaların çok sayıda kullanıcı tarafından testinin yapılabilir olması ve bu yolla güvenilirliğin artmasıdır. Anahtarların üretiminin, korunmasının ve işleyişinin belirli standartlarda olması bir zorunluluktur. Standartların düzen içinde olması ve kullanılması hukuki düzenlemeler gerektirir. Demokratik ülkelerde, kriptografik yazılım ve donanım kullanımı söz konusu olduğunda, kişisel ya da ticari özgürlükler ve devlet ya da kamu güvenliği arasında denge kurulmaya çalışılmaktadır. Bilgi Güvenliği, uzun yıllar boyunca, özellikle soğuk savaş döneminde, askeri ve diplomatik haberleşmenin önemli bir parçası olarak ele alınmıştır. Bilişim teknolojileri ticari alanlarda da birçok sorunları gidermede etkili bir araç olarak devreye girmiştir. Bu geniş etkileşim konunun her alandaki önemini göstermektedir. Bu sebeple bazı temel kavramların irdelenmesi önem taşımaktadır.
2/20
2.BİLGİ, VERİ, ÖZBİLGİ Bilgi: Verinin belli bir anlam ifade edecek şekilde düzenlenmiş halidir. Veri ve ilişkili olduğu konu, bilgi üretecek şekilde bir araya getirilir. İşlenmiş veri olarak da ifade edilebilecek bilgi, Shannon tarafından “bir konu hakkında var olan belirsizliği azaltan bir kaynak” olarak tanımlanmıştır. “Shannon, 1940’larda, New Jersey’deki Bell Laboratuvarları’nda, klasik haberleşme teknolojisinin temelini atmıştı. Shannon, her iletişim kanalının kapasitesini, yani her kanalın ne kadar bilgi yükünü kaldırabileceğini saptayarak ve bilgi sıkıştırma tekniklerinin ana hatlarını belirleyerek, mühendislere iletileri daha verimli göndermenin yolunu göstermişti.” (New Scientis,2000:15) Sonuçta veri üzerinde yapılan uygun işlemlerin çıktısı, bilgi olarak ifade edilir. Veri: İngilizce karşılığı olarak kullanılan “data”, Latince “datum” kelimesinden gelmektedir. Latince “data” kavramının M.Ö. 300 yıllarında Öklid’in bir çalışmasında geçtiği bildirilmektedir. Özbilgi: Bir güç oluşturabilecek, katma değer sağlayabilecek veya bir araç haline dönüşmek üzere, daha fazla ve özenli olarak işlenmiş bilgi, asıl değerli olan öz bilgidir. Öz bilgi ne olduğunu, niçin olduğunu, nasıl olduğunu ve kim olduğunu bilmek şeklinde dört sınıftan oluşur. “Günümüzde bilginin üretilme, depolama, korunma, paylaşma, yayılma, etkileşme ve artma hızı, teknolojinin getirdiği hızlı bilgi işleme ve iletişim ile baş döndürücü bir hal almıştır. Bilgisayar ve haberleşme teknolojilerinde yaşanan baş döndürücü gelişmeler ve özellikle internet’in katalizör etkisi ile insanların çalışma, iletişim kurma ve her türlü günlük ihtiyaçlarını karşılama biçimi sürekli bir dönüşüm halindedir.”
( Nagurney
A.
2002:1629 – 1650)
Üretilen bilgi; kağıt, film, manyetik, ve optik saklama ortamlarında depolanmakta; telefon, radyo, televizyon ve internet gibi elektronik kanallar aracılığıyla
3/20
aktarılmaktadır. Yıllar itibariyle teknolojik yenilikler çerçevesinde bilginin saklama ortamları, saklama kapasitesi ve aktarım kanallarında nitelik ve nicelik bakımından ilerlemeler sağlanmaktadır. Ancak bilgiye erişimde doğrudan erişimin sağlanması için yeni yöntemlerin geliştirilmesi zorunludur.
Çünkü ayrıntılara girmeden doğrudan
ulaşım daha net sonuçlara ulaşımı sağlayacaktır. Bu sebeple bilgiye ulaşım ve bilgi güvenliği yöntemleri önemlidir. Bilgiye hızlı, doğrudan ve güvenli bir şekilde ulaşımı sağlayacak seçici yöntemler geliştirilmelidir.
3.BİLGİ GÜVENLİĞİ Bilgi birçok biçimde bulunabilir. Bilgi, kâgıt üzerinde yazılı olabilir, elektronik olarak saklanıyor olabilir, posta ya da elektronik posta yoluyla bir yerden bir yere iletilebilir ya da kişiler arasında sözlü olarak ifade edilebilir. Bilgi hangi formda olursa olsun, mutlaka uygun bir sekilde korunmalıdır. Bilgi güvenliğinin sağlanabilmesi bilginin gizliliğinin, bütünlüğünün ve kullanılabilirliğinin yeterli düzeylerde sağlanabilmesi ile mümkündür. (Önel ve Dinçkan,2007:6) Bilgi güvenliği, “bilginin bir varlık olarak hasarlardan korunması, doğru teknolojinin, doğru amaçla ve doğru şekilde kullanılarak bilginin her türlü ortamda, istenmeyen kişiler tarafından elde edilmesini önleme olarak” tanımlanır. Bilgisayar teknolojilerinde güvenliğin amacı ise “kişi ve kurumların bu teknolojilerini kullanırken karşılaşabilecekleri tehdit ve tehlikelerin analizlerinin yapılarak gerekli önlemlerin önceden alınmasıdır.” (Canberk ve Sağıroğlu,2006:169) Bilginin aktarımında bütünlüğün sağlanması ve izinsiz kullanımın engellenmesi bilgi güvenliğini oluşturmaktadır.
4/20
Bilgiye saldırılar zaman içinde ve gelişen teknoloji paralelinde farklılıklar göstermektedir.
Saldırılar, saldırıda kullanılan yöntemler ve saldırganların nicelik ve
nitelik özellikleri de zaman içinde ilerlemiştir. Bu ilerleme saldırıya karşı önlemleri de zorlaştırmaktadır.
4.GÜVENLİK ÖGELERİ Bilgilerin, istenmeyen hasarlardan korunması için, en temel açıdan atılması gereken adımlar, güvenlik ögelerinin yerine getirilmesi ile sağlanmaktadır.
(Canberk ve
Sarıoğlu,2006:3)
Gizlilik (confidentiality), bütünlük (integrity), kullanılabilirlik (availability), kimlik kanıtlama (authentication) ve inkâr edememe (non-repudiation) bilgi güvenliğinin en temel ögeleridir. Bunun dışında sorumluluk (accountability), erişim denetimi (access control), güvenilirlik (reliability) ve emniyet (safety) etkenleri de bilgi güvenliğini destekleyen ögelerdir. Bu ögelerin tamamının gerçekleştirilmesiyle ancak bilgi güvenliği tam olarak sağlanabilmektedir. TSE-17799 “Bilgi Güvenliği Yönetim Standardı” belgesinde ki bu standart, BSI tarafından kabul edilen, aşağıda sıralandığı gibi BS 7799-2 (2002) esas alınarak, TSE Bilgi Teknolojileri ve iletişim Hazırlık Grubunca hazırlanmış ve TSE Teknik Kurulu’nun 17 Şubat 2005 tarihli toplantısında kabul edilerek yayınlanmıştır.
( Information
technology :2005)
Gizlilik, “bilginin sadece erişim hakkı olan yetkili kişilerce erişilebilir olmasının temini” olarak, bütünlük, “bilgi ve bilgi işleme yöntemleri ile veri içeriğinin değişmediğinin doğrulanması” olarak, kullanılabilirlik, “yetkili kullanıcıların ihtiyaç duyulduğunda bilgi ve ilişkili varlıklara erişme hakkının olmasının temini”, sorumluluk, “belirli bir eylemin yapılmasından, kimin veya neyin sorumlu olduğunu belirleme
5/20
yeteneğidir. Tipik olarak etkinliklerin kayıtlarını tutmak için bir kayıt tutma (logging) sistemine ve bu kayıtları araştıracak bir hesap inceleme (auditing) sistemini”, erişim denetimi, “bir kaynağa erişmek için belirli izinlerin verilmesi veya alınmasını”, güvenilirlik, “bir bilgisayarın, bir bilginin veya iletişim sisteminin şartnamesine, tasarım gereksinimlerine sürekli ve kesin bir şekilde uyarak çalışması ve bunu çok güvenli bir şekilde yapabilme yeteneğini”, emniyet, “bir bilgisayar sisteminin veya yazılımın işlevsel ortamına gömülü olduğunda, kendisi veya gömülü olduğu ortam için istenmeyen potansiyel veya bilfiil tehlike oluşturacak etkinlik veya olayları önleme tedbirlerini içermektedir.” (ISO-17799 :2000)
5.GÜVENLİK SÜREÇLERİ Güvenlik yönetimi, bilgi ve bilgisayar güvenliğini olumsuz yönde etkileyecek faktörlerin belirlenmesi, ölçülmesi ve en alt düzeye indirilmesi sürecidir. Risk yönetimi sonucunda kurulacak ve yürütülecek güvenlik sisteminin maliyeti, korunan bilginin değeri ve olası tehditlerin incelenmesiyle belirlenen risk ile sınırlı olmalıdır. Bilgi güvenliğinin ideal yapılandırılması üç süreç ile gerçekleştirilir. Bu süreçler, önleme (prevention), saptama (detection) ve karşılık verme şeklindedir. (response ya da reaction): (Canberk,2006:170) Önleme: Bilgi Sistemlerine yapılacak yıkıcı kod saldırılarına karşı yine kod kullanılarak bir kalkan oluşturulmaktadır. Saptama: Sistemin durumu ve hareketleri izlenerek bir kayıt altında tutulur. Böylece sisteme yapılan saldırılar incelenebilmektedir.
Güvenlik duvarları, saldırı tespit
sistemleri (intrusion detection system), ağ trafiği izleyiciler, kapı (port) tarayıcılar, bal çanağı (honeypot) kullanımı, gerçek zamanlı koruma sağlayan karşı virüs ve casus
6/20
yazılım araçları, dosya sağlama toplamı (checksum) kontrol programları ve ağ yoklayıcı (sniffer) algılayıcıları, saptama sürecinde kullanılan en başta gelen yöntemlerden bazılarıdır. Karşılık Verme: Güvenlik sürecini tamamlayan son halkadır. Saldırının gerçekleştiği durumda; sistemin normale dönmesine, saldırı nedenlerinin belirlenmesine, saldırganın tespitine, sistem açıklarının belirlenmesine, saptama ve karşılık verme süreçlerinin yeniden düzenlenmesine olanak verir.
6.BİLGİ GÜVENLİĞİNDE STANDART Bilgi Güvenliği ile ilgili standartlar aşağıda verildiği gibi sıralanabilmektedir. “1.TS ISO/IEC 17799 (2002) Bilgi teknolojisi — Bilgi güvenliği yönetimi için uygulama prensipleri, 2.BS 7799-2 (2002) Bilgi Güvenliği Yönetim Sistemleri — Kullanım İçin Özellikler Rehberi, 3.TS ISO/IEC 15408-1 (2002) Bilgi teknolojisi — Güvenlik teknikleriBilgi teknolojisi (IT) güvenliği için değerlendirme kriterleri, 4.TS ISO/IEC 15408-2 (2002) Bilgi teknolojisi — Güvenlik teknikleriBilgi teknolojisi (IT) güvenliği için değerlendirme kriterleri, TS ISO/IEC 15408-3 (2003) Bilgi teknolojisi — Güvenlik teknikleri — Bilgi teknolojisi
(IT) güvenliği için değerlendirme kriterleridir.”
Koordinasyon Kurulu :2004,140)
Ayrıca aşağıda belirtilen web sitelerinden de yaralanılabilir. “TS : http://www.tse.org.tr ISO : http://www.iso.org IEC : http://www.iec.org
7/20
(Ulusal
BS : http://www.bsi-global.com RFC : http://www.ietf.org/rfc.html FIPS : http://csrc.nist.gov/publications/fips W3C : http://www.w3.org OASIS: http://www.oasis-open.org” (e-Dönüşüm projesi : 2005)
Bilgi Güvenliği Standardı, BSI tarafından kabul edilen, BS 7799-2 (2002) esas alınarak, TSE Bilgi Teknolojileri ve iletişim Hazırlık Grubunca hazırlanmış ve TSE Teknik Kurulu’nun 17 Şubat 2005 tarihli toplantısında kabul edilerek yayınlanmıştır. “Bu standard, yöneticilere ve personele etkin bir Bilgi Güvenliği Yönetim Sistemi (BGYS) (Information Security Management System - ISMS) kurmaları ve yönetmeleri açısından bir model sağlamak üzere hazırlanmıştır. Bir kuruluş için Bilgi Güvenliği Yönetim Sistemi’nin benimsenmesi stratejik bir karar olmalıdır. Bir kuruluşun Bilgi Güvenliği Yönetim Sistemi tasarımı ve bu tasarımı gerçekleştirmesi, ticari ihtiyaçlar ve amaçlardan doğan güvenlik gereksinimlerinden, kullanılan proseslerden ve kuruluşun büyüklüğünden ve yapısından etkilenir. Bunların ve destekleyici sistemlerinin zaman içinde değişmesi beklenir. Basit durumların basit Bilgi Güvenliği Yönetim Sistemi çözümlerini gerektireceği beklenir. Bu standart, bir kuruluşun herhangi bir müşteri talebi veya düzenleyici talepler yanı sıra, kendi gereksinimlerini de karşılayabilme kapasitesini tayin etmek için, belgelendirme kuruluşları dahil iç ve dış taraflarca kullanılabilir.” ( TS 17799-2: 2005) Proses Yaklaşımı: Bilgi Güvenliğinde kullanılan Standard, bir kuruluşun Bilgi Güvenliği Yönetim Sistemi’ni kurmak, gerçekleştirmek, işletmek, izlemek, bakımını yapmak ve etkinliğini arttırmak için bir proses yaklaşımının benimsenmesini özendirir “Bir proses yaklaşımı kullanıcılarını aşağıdakilerin öneminin vurgulanmasına özendirir: 8/20
a) İş bilgi güvenliği gereksinimlerini ve bilgi güvenliği için politika ve amaçların belirlenmesi ihtiyacını anlamak, b) Kuruluşun tüm iş risklerini yönetmek bağlamında kontrolleri gerçekleştirmek ve işletmek, c) Bilgi Güvenliği Yönetim Sistemi’nin performansı ve etkinliğini izlemek ve gözden geçirmek, d) Nesnel ölçmeye dayalı olarak sürekli iyileştirmek.” (TS 17799-2: 2005:1) Planla-Uygula-Kontrol Et-Önlem al (PUKÖ) modeli olarak bilinen model, bu standart’ta benimsenen tüm Bilgi Güvenliği Yönetim Sistemi (BGYS) proseslerine uygulanabilir. Planlama (BGYS’nin kurulması) : Sonuçları kuruluşun genel politikaları ve amaçlarına göre dağıtmak için, risklerin yönetimi ve bilgi güvenliğinin geliştirilmesiyle ilgili güvenlik politikası, amaçlar, hedefler, prosesler ve prosedürlerin kurulması.
(TS
17799-2: 2005:1)
Uygulama (BGYS’nin gerçekleştirilmesi ve işletilmesi): Güvenlik politikası, kontroller, prosesler ve prosedürlerin gerçekleştirilip işletilmesi. (TS 17799-2: 2005:1) Kontrol Edilmesi (BGYS’nin izlenmesi ve gözden geçirilmesi): Güvenlik politikası, amaçlar ve kullanım deneyimlerine göre proses performansının değerlendirilmesi ve uygulanabilen yerlerde ölçüm ve sonuçların gözden geçirilmek üzere yönetime rapor edilmesi. (TS 17799-2: 2005:1) Önlem alınması (BGYS’nin bakımı ve iyileştirilmesi):
BGYS’nin sürekli
iyileştirilmesini sağlamak için, yönetimin gözden geçirme sonuçlarına dayalı olarak, düzeltici ve önleyici eylemlerin gerçekleştirilmesi. ( TS 17799-2: 2005:1)
9/20
Kontrollerin özeti: Kuruluş, BGYS’si ile ilgili ve uygulanabilir bir Kontrol Özeti’ni (SoC) hazır hale getirmeyi faydalı bulabilir. Bu, yer alan kontrollerin bir özetini sunarak elektronik dış kaynak sağlama gibi, iş ilişkilerini kolaylaştırabilir. SoC duyarlı bilgiler içerebilir. Bu nedenle, SoC hem iç hem de dış olarak elverişli hale getirildiğinde alıcıya uygun bir dikkat gösterilir. SoC, SoA’nın [Madde 4.2.1h)] yerine konamaz. SoA, dokümantasyon için zorunlu bir gerekliliktir. (TS 17799:1) Pukö modeli: Bir BGYS kurmak ve yönetmek, diğer yönetim sistemlerinde olduğu gibi aynı yaklaşım(lar)ı gerektirir. Burada açıklanan proses modeli, sürekli bir faaliyet döngüsünü izler: Planla, Uygula, Kontrol Et ve Önlem al. Bu doğru döngü olarak tanımlanabilir çünkü amacı, kuruluşun en iyi uygulamalarının dokümante edilmesini, güçlendirilmesini ve zamanla geliştirilmesini sağlamaktır. (TS 17799) Bilgi Teknolojileri Ürünleri Güvenliği: Bilgi teknolojileri ürünlerinin güvenliğinde web servisleri güvenliği, e-posta güvenliği, ağ katmanı güvenliği, güvenli doküman alışverişi ve e-imza sağlanmaktadır. Bu
güvenlik
ürünleri
için
oluşturulan
teknolojiler
belli
standartlar
içinde
oluşturulmaktadır. Web Servisleri (WS) Güvenliği: Bir istemcinin, bir web sunucusu ile haberleşirken, haberleşmenin doğru web sunucusu ile gerçekleştiğinden emin olmasını sağlayan tedbirler alınmalıdır (web sunucusunun kimliğinin doğrulanması). Gizlilik ve/veya bütünlüğün gerekli olduğu durumlarda web içerikleri İnternet üzerinden güvenli bir şekilde taşınmalıdır.
10/20
7. BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ ( BGYS ) Bilgi Güvenliği Yönetim Sistemi deyimi ilk kez 1998 yılında BSI (British Standards Institute) tarafından yayınlanan BS 7799-2 standardında kullanılmıştır. Daha sonra bu standart Uluslararası Standartlar Kurumu ISO tarafından kabul edilmiş ve ISO/IEC 27001:2005 olarak yayınlanmıştır. BSI tarafından yayınlanan bir diğer standart BS
7799-1
ise
bilgi
güvenliğinin
sağlanmasında
kullanılacak
kontrollerden
bahsetmektedir. Bu da yine ISO tarafından kabul edilmiş ve ISO/IEC 27002:2005 olarak yayınlanmıştır. ISO/IEC 27002:2005 bu standardın Temmuz 2007’den itibaren kullanılan
ismidir,
bu
tarihe
kadar
standart
ISO/IEC
17799:2005
olarak
adlandırılıyordu. (Önel ve Dinçkan,2007:7) Bilgi ilerlemenin görünen sınırlarının aşılmasında en temel varlıktır. Kurumların değerleri, sahip oldukları bilgi ile örtüşmektedir. Her elde edilen bilgi, daha modern dünyanın en önemli özelliği icat ve bilgiden daha yoğun yararlanmak olmuştur. Bu sebeple bilgilerin özellikle yaratıldığı kurum açısından dikkatle değerlendirilmesi gerekmektedir. Bu sebeple kurum bünyesine dahil bilginin güvenliği sistemin temel görevidir. Bu hedefe ulaşmak amacıyla tüm kurumlarda Bilgi Güvenliği Yönetim Sistemi kurulmalıdır. İhtiyaç sahibi kurumların kendi bünyelerinde BGYS’ye sahip olmaları ve bu BGYS’lerin kurumlar arası süreçleri de kapsamaları durumunda bilginin her katmanda güvenli bir şekilde işlenmesi için gerekli altyapı sağlanmış olacaktır. (Çölkesen,2003:123)
BGYS - Bilgi güvenliğini kurmak, gerçekleştirmek, işletmek, izlemek, gözden geçirmek, sürdürmek ve geliştirmek için, iş riski yaklaşımına dayalı tüm yönetim sisteminin bir parçasıdır. Yönetim sistemi, kurumsal yapıyı, politikaları, planlama
11/20
faaliyetlerini, sorumlulukları, uygulamaları, prosedürleri, prosesleri ve kaynakları içerir. (Çölkesen,2003:123)
Kuruluş, dokümante edilmiş bir BGYS’yi, kuruluşun tüm ticari faaliyetleri ve riskleri bağlamında, geliştirir, gerçekleştirir, sürdürür ve sürekli ilerletir. Bu standardın bir gereği olarak, kullanılan proses, PUKÖ modeline dayanır. Planlama evresi: Planla, Uygula, Kontrol Et ve Önlem Al döngüsünün Planlama aktivitesi, BGYS bağlamının ve kapsamının doğru olarak kurulmasını, tüm bilgi güvenlik risklerinin tanımlanıp değerlendirilmesini ve bu risklerin uygun bir biçimde iyileştirilmesi için bir planın geliştirilmesini sağlamak üzere tasarlanır. Planlama aktivitesinin tüm safhalarının dokümantasyonu, izlenebilirlik ve değişiklik yönetimi açısından önemlidir. ( TS 17799) BGYS’nin kurulması: Bilgi Güvenlik Yönetim Sisteminin kurulması aşamasında kuruluş; işin, kuruluşun, yerleşim yerinin, varlıklarının ve teknolojisinin özelliklerine göre BGYS kapsamını tanımlar.
Kuruluş yerleşim yerinin, varlıklarının ve
teknolojisinin özelliklerine göre: ( TS 17799) “1) Amaçlarını ortaya koymak için bir çerçeve içeren ve bilgi güvenliğine ilişkin bir eylem için kapsamlı bir yön kavramı ve prensipleri kuran, 2) İş ve yasal ya da düzenleyici gereksinimleri ve sözleşmeye ilişkin güvenlik yükümlülüklerini dikkate alan, 3) BGYS kurulumu ve bakımının yer alacağı stratejik kurumsal ve risk yönetimi bağlamını kuran, 4) Riskin ölçüleceği ve risk değerleme yapısının tanımlanacağı kriterleri kuran [Madde 4.2.1c)], ( TS 17799 Madde 4.2.1) 5) Yönetim tarafından kabul edilmiş.” ( TS 17799-2: 2005:4)
12/20
Kuruluş risk değerlemesine ilişkin sistematik bir yaklaşımda bulunur. BGYS’ye ve tanımlanmış iş bilgisi güvenliğine, yasal ve düzenleyici gereksinimlere uygun bir risk değerlendirme yöntemini oluşturur. Kuruluş risk yapısını oluştururken tanımlaması gereken noktalar, “BGYS kapsamındaki varlıkları ve bu varlıkların sahiplerini, bu varlıklar için var olan tehditleri, tehditlerin fayda sağlayabileceği korunmasızlıkları, gizlilik, bütünlük ve kullanılabilirlik kayıplarının varlıklar üzerinde olabilecek etkilerini tanımlar.” ( TS 17799-2: 2005:5) Bilgi Güvenliği Yönetim Sistemin kurulmasında kuruluş, risk iyileştirmesi için seçenekleri tanımlar ve ölçer. Kuruluşun olası eylemleri,
“1) Uygun kontrollerin uygulanması, 2) Kuruluşun, politikasını ve risk kabul kriterlerini açıkça karşılaması şartıyla, bilerek ve nesnel olarak risklerin kabul edilmesi [Madde 4.2.1c)], (TS 17799 Madde 4.2.1) 3) Risklerden kaçınma, 4) Bağlı iş risklerini diğer taraflara, örneğin, sigorta şirketlerine, tedarikçilere aktarma.”
(TS 17799-2: 2005:5)
Kuruluş, risk iyileştirmesi için kontrol amaçlarını ve kontrolleri seçer. Kuruluş, uygun kontrol amaçlarını ve kontrolleri, TS 17799-2 standardının Ek A bölümünden seçer ve seçim risk değerlendirme ve risk iyileştirme proseslerinin sonuçlarını temel alınarak doğrular. Kuruluş, uygulanabilirlik beyannamesini hazırlar. Bu standardın Madde 4.2.1g’de seçilen kontrol amaçlarını ve kontrollerini ve bunların seçilme nedenlerini Uygulanabilirlik beyannamesinde dokümante eder. Ek A’da dış olarak listelenmiş herhangi bir kontrol amacı ve kontrol de kaydedilir. Bunun sonrasında Sunulan artık 13/20
risklere ilişkin yönetimin kabulünü ve BGYS’yi gerçekleştirme ve işletme yetkisini edinir. Bilgi Yönetim Sisteminin kurulması sonrasında başarılı ve güvenli olarak işletimi son derece önemlidir. BGYS’nin gerçekleştirilmesi ve işletilmesi: Bu aşamada kuruluş, aşağıdaki maddeleri uygular: (TS 17799-2) “a) Bilgi güvenlik risklerini yönetmek için uygun yönetim eylemini, sorumlulukları ve öncelikleri tanımlayan bir risk iyileştirme planı hazırlar (Madde 5). (TS 17799 Madde 5) b) Finansman değerlendirmesini ve rollerin ve sorumlulukların tahsisini içeren, tanımlanan kontrol amaçlarına ulaşmak için risk iyileştirme planını gerçekleştir. c) Kontrol amaçlarını karşılamak için Madde 4.2.1g’de seçilen kontrolleri gerçekleştir. d) Eğitim ve bilinirlik programlarını gerçekleştir (Madde 5.2.2). (TS 17799 Madde 5.2.2) e) İşlemleri yönet. f) Kaynakları yönet. (Madde 5.2). (TS 17799
Madde 5.2)
g) Güvenlik olaylarını acil olarak saptayabilme ve yanıt verebilme kabiliyetine sahip prosedürleri ve diğer kontrolleri gerçekleştir.” (TS 17799-2: 2005:5) BGYS’nin izlenmesi ve gözden geçirilmesi: Sistemin izlenmesi ve gözden geçirilmesi öncelikle güvenlik açısından ele alınmalıdır. Kuruluş, güvenlik denetimlerinin, olaylarının, önerilerinin sonuçlarını ve tüm ilgili taraflardan geri bildirimleri dikkate alarak BGYS’nin (güvenlik politikaları ve amaçlarını karşılama, ve güvenlik kontrollerini gözden geçirme dahil) etkinliğinin düzenli olarak gözden geçirilmesini üstlenir. (TS 17799
14/20
Madde 5.2)
Kuruluş, teknoloji, iş amaçları ve prosesleri, tanımlanmış tehditler, yasal ve düzenleyici ortamdaki ve sosyal iklimdeki değişiklikler gibi dış olaylarda oluşacak değişiklikleri dikkate alarak, artık risklerin ve kabul edilebilir risklerin seviyesini gözden geçirir. (TS 17799-2) Kuruluş, planlanan aralıklarda iç Bilgi Güvenliği Yönetim Sistemi denetimlerini gerçekleştirir. Kapsam uygunluğunun sürdürülmesini ve Bilgi Güvenliği Yönetim Sisteminin işleyişindeki gelişmelerin tanımlanmasını (Madde 6) sağlamak için, Bilgi Güvenliği Yönetim Sistemi’nin yönetim tarafından düzenli olarak (en az yılda bir) gözden geçirilmesini üstlenir. Bilgi Güvenliği Yönetim Sistemi etkinliğinde ya da performansında bir etkisi olabilecek eylemleri ve olayları kaydeder (Madde 4.3.3).
(TS
17799-2 Madde 4.3.3)
BGYS’nin bakımı ve iyileştirilmesi:
Belirli aralıklarla kuruluş Bilgi Güvenliği
Yönetim Sistemi’ndeki tanımlanan gelişmeleri gerçekleştirir. Madde 7.2 ve Madde 7.3’e göre, uygun düzeltici ve engelleyici önlemler alır. Diğer kuruluşların ve kuruluşun kendisinin güvenlik deneyimlerinden alınan dersleri uygular. Sonuçları ve eylemleri bildirir ve ilgili tüm taraflarla mutabık kalır. Gelişmelerin tasarlanan amaçlara ulaşmasını sağlar. (TS 17799-2 Madde 7.2)
8. YÖNETİM SORUMLULUĞU BGYS’de tanımlanan sorumlulukları yerine getirecek personelinde bu sorumlulukları üstlenecek özelliklere sahip olması sistemin işlerliği, gelecek başarısı, ilerlemesi ve güvenliği açısından önemlidir. Bu konuda yeterli eğitime sahip olma ve bu yeterlilikte personel temin etme yönetimin sorumluluğundadır. BGYS amaçlarına
15/20
ulaşmada ve başarısında personel arası ilişkiler yönetimin yetkisinde yürütülen faaliyetlerdir. Yönetim, kuruluşun Bilgi Güvenliği Yönetim Sistemi’nin belirli aralıklarla, sürekli uygunluğunu, doğruluğunu ve etkinliğini sağlamak için denetlemektedir. Bu denetlemeler belirli prosedürlerle gerçekleştirilmektedir. Uyumlaştırma için ise bu bir zorunluluktur.
9. BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ İYİLEŞTİRME Bilgi Güvenliği Yönetim Sistemi’nde yönetim tarafından gerçekleştirilen denetim, sistemin iyileşmesini sağlamaktadır. sürekli iyileştirici faaliyetlerde bulunmaktadır.
Yönetim sorumlulukları kapsamında Aynı zamanda kurum tekrarları
engellemek, güvenliği sağlamak ve uyumsuzlukların giderilmesi için düzeltici faaliyetlerde bulunmaktadır. Bu faaliyetler içinde uyumlaştırma kapsamında önleyici faaliyetlerde prosedüre bağlı olarak yürütülür.
10.KONTROL ETME EVRESİ Kontrol Etme evresi, kontrollerin etkin olarak ve amaçlandığı biçimde çalışmasını ve Bilgi Güvenliği Yönetim Sistemi’nin etkin kalmasını sağlamak için tasarlanır. Ek olarak, varsayımlarda ya da risk değerlendirmesi kapsamında gerçekleşecek her değişiklik dikkat alınmalıdır. Eğer kontroller eksik bulunursa, gerekli düzeltici önlemlerin belirlenmesi gerekir. Bu tür önlemlerin yürütülmesi, PUKÖ döngüsündeki Önlem Al evresinin konusudur. (BS EN ISO 14001:1996) Düzeltici önlemlerin sadece aşağıdakiler karşısında gerekli olduğunun anlaşılması önemlidir: a) BGYS dokümantasyonunun iç tutarlığının korunması ve 16/20
b) Değişiklik yapılmamasının etkisi, kuruluşun kabul edilemez bir riskle karşı karşıya kalmasıyla sonuçlandığında. Kontrol Etme aktivitesi ayrıca, yönetim için prosedürlere ve Bilgi Güvenliği Yönetim Sistemi’ndeki kontrollerin işletimine ve risklerin süregelen gözden geçirmeleri için işlemlere ve değişen teknoloji, tehditler, ya da işlevler ışığında bunların iyileştirilmesine ilişkin bir açıklama içerir. Güvenliğin mevcut durumunun yeterli olduğu belirlenirken, Bilgi Güvenliği Yönetim Sistemi’nde gelecekte oluşacak değişiklikleri tahmin etmek ve gelecekte de etkinliğinin sürdürülmesini sağlamak için, değişen teknoloji ve işletme gereksinimlerine ve yeni tehditlerin ve korunmasızlıkların saldırılarına dikkat edilmelidir. (Çölkesen,2003:27) Kontrol etme evresinde toplanan bilgiler, dokümante edilen güvenlik politikasının ve kuruluş amaçlarının karşılanmasında Bilgi Güvenliği Yönetim Sistemi’nin etkinliğini belirlemek ve ölçmek için kullanılabilecek değerli bir veri kaynağı sağlar. Kontrol etme aktivitesinin doğası, aşağıda verilen örneklerde görüldüğü gibi, ele alınan PUKÖ döngüsünün karakterine bağlıdır. Rutin kontroller: Bu prosedürler, düzenli olarak normal iş prosesinin bir parçası gibi gerçekleştirilir ve işleme sonucunda ortaya çıkan hataları saptamak üzere tasarlanır. Bunlar; banka mutabakatını, envanter hesaplarını ve müşteri şikayetlerini çözmeyi içerebilir. Bu tür kontrollerin, oluşan hatalardan kaynaklanan hasarları (ve takip eden yükümlülüğü) kısıtlamak için yeterli sıklıkta gerçekleştirilmesini sağlamak üzere sistemler içerisine tasarlanmaları gerekir. (TS 17799-2 :26) Bugünün sistemlerinde bu tür kontroller aşağıdakileri içerebilir: (TS 17799-2 :26) a) Yazılım eylemlerini yöneten parametrelere amaçlanmayan
ve yetki dışı
değişikliklerin olmadığına, ağ sitelerinde görüntülenen verilere amaçlanmayan ve yetki dışı değişikliklerin olmadığına ilişkin kontroller, 17/20
b) Siber uzaydaki “sanal” şirketlerde yer alan taraflar arasında gerçekleşen veri aktarımlarının tam ve doğru olduğunun teyidi. Öz denetim prosedürleri: Bir öz denetim prosedürü, işleyiş sırasında işleyen herhangi bir hatanın, ya da başarısızlığın hemen saptanabilmesi için yapılan bir kontroldür.
(TS
17799-2 :26)
Diğerlerinden öğrenme: Kuruluşun prosedürlerinin idealin altında kaldığı yerleri tanımlamanın bir yolu da, diğer kuruluşların sorunlarla daha etkin başa çıkabildiği yerleri tanımlamaktır. Bu öğrenme, hem teknik yazılıma hem de yönetim faaliyetlerine uygulanabilir. Teknolojide ve yazılımda korunmasızlıkları tanımlayan birçok kaynak vardır. Kuruluşlar bunlara sıklıkla başvurmalı ve yazılımları için gerekli güncellemeleri yapmalıdırlar. (TS 17799-2 :26) İç Bilgi Güvenliği Yönetim Sistemi denetimi: Bu sistemde amaç, BGYS denetiminde tüm noktalardan beklendiği gibi çalıştığını belirli denetim aralıklarında düzenli olarak kontrol etmektir. Denetimler, var olan dokümanların ve kayıtların örneklerine ihtiyaç duyarak her düzeyde çalışanlarla görüşmeleri kapsar. Yönetim incelemesi: Yönetim incelemesinde amaç, en az yılda bir defa, Sistemi’nin etkin olduğunu kontrol etmek, iyileştirmelerin nerede yapılabileceğini tanımlamak ve buna göre önlem almaktır.
Gelecekte de etkinliğin sürdürülmesi için yönetim
incelemesi bir zorunluluktur. Oluşabilecek ihtiyaç ve tehlikelere karşı dikkatli olunması bu incelemeyi gerektirmektedir.
18/20
12.SONUÇ VE DEĞERLENDİRMELER Kurumların,
kişilerin
stratejik
öneme
sahip
bilgilerini
yönetebilmek,
saklayabilmek ve saldırılara karşı savunabilmek için Bilgi Güvenliğine, bunun içinde Bilgi Güvenliği Yönetim Sistemine ihtiyaçları bulunmaktadır. Teknolojik gelişmeler bilgiye karşı yapılan saldırıların frekansını yükseltmiştir. Saldırılar tanımadığımız kişilerden olduğu kadar, çoğunlukla arkadaşlarımızdan ve tanıdığımız kişilerden gelmektedir. Sanal dünyada bilginin korunması yüzde yüz mümkün değildir. Buna karşın alınması gereken önlemler bulunmaktadır. Bu önlemler, çalışmada açıklanan süreçlerin ve güvenlik politikalarının etkin bir şekilde kullanılması, sistemin sürekli izlenmesi, gerekli güncellemelerin yapılması ve Bilgi Güvenliği Yönetim Sistemi Standartlarının uygulanması olarak sıralayabiliriz.
19/20
KAYNAKÇA BS EN ISO 14001:2004 Environmental management systems Elektronik İmza Ulusal Koordinasyon Kurulu Hukuk Çalışma Grubu İlerleme ve Sonuç Raporu, 2004 Entangled Web, New Scientist,20 Mayıs 200 Information Security and ISO27001 – An Introduction ISO-17799 :2000 Information technology -- Code of practice for information security management Journal of Economic Dynamics and Control 26(9-10) Politeknik Dergisi Cilt: 9 Say.: 3 s. 165-174, 2006 TS 17799 Bilgi Güvenliği Yönetim Sistemi Standardı TS 17799 Madde 4.2.1 Bilgi Güvenliği Yönetim Sistemi Standardı TS 17799 Madde 5 Bilgi Güvenliği Yönetim Sistemi Standardı TS 17799 Madde 5.2.2 Bilgi Güvenliği Yönetim Sistemi Standardı TS 17799:1 Bilgi Güvenliği Yönetim Sistemi Standardı TS 17799-2 :26 Bilgi Güvenliği Yönetim Sistemi Standardı TS 17799-2 Bilgi Güvenliği Yönetim Sistemi Standardı TS 17799-2 Madde 4.3.3 Bilgi Güvenliği Yönetim Sistemi Standardı TS 17799-2: 2005 Bilgi Güvenliği Yönetim Sistemi Standardı TS 17799-2: 2005:1 Bilgi Güvenliği Yönetim Sistemi Standardı TS 17799-2: 2005:4 Bilgi Güvenliği Yönetim Sistemi Standardı TS 17799-2: 2005:5 Bilgi Güvenliği Yönetim Sistemi Standardı
http://csrc.nist.gov/publications/fips http://www.bsi-global.com http://www.iec.org http://www.ietf.org/rfc.html http://www.iso.org http://www.oasis-open.org http://www.tse.org.tr http://www.w3.org
20/20