COBIT ITIL ve ISO27001

TS ISO/IEC 27001:2005 Bilgi Güvenliği Yönetim Sistemi ve PUKÖ Modeli – Bölüm 2

 

İlk makalemde ISO, standartlar, standartların isimlendirmesi, TS ISO/IEC 27001:2005’e göre bilgi ve bilgi güvenliği konularına değişmiştik. İlk makaleme aşağıdaki linkten ulaşabilirsiniz.

 

 

ISO ve Standartlara Genel Bakış, ISO 27001’ye göre Bilgi ve Bilgi Güvenliği – Bölüm 1

 

 

TS ISO/IEC 27001:2005 Bilgi Güvenliği Yönetim Sistemi’ne girmeden önce bilgi güvenliğinin önemine kısaca değinelim.

 

 

Bilgi Güvenliğinin Önemi

 

 

Bir anketin sonuçlarını sizinle paylaşarak bu konunun ne kadar önemli olduğuna ve ciddiye alındığına dikkat çekmek istiyorum.

 

 

Uluslararası denetim ve danışmanlık firması Ernst & Young’ın 2008 yılında yaptığı Küresel Bilgi Güvenliği anketine, Türkiye’ninde içinde bulunduğu 50 ülke ve 1.400 kuruluş katıldı ve aşağıdaki anket sonuçları ortaya çıktı.

 

 

Bilgi güvenliğinin doğru uygulanmasının kurum itibarını doğrudan etkilediği sonucu ortaya çıkmıştır. Katılımcıların yüzde 85’i bir bilgi güvenliği ihlali durumunda ortaya çıkan durumun, marka kimliği ve itibarına zarar verdiğini savunurken, yüzde 72’si gelir kaybına neden olduğuna değinmiştir.

 

 

 

image001

 

 

 

Bilgi güvenliği konusundaki en yakın örneğimiz ise Sony. PlayStation ağına sızan hackerların uç güvenlik duvarlarını da aşıp 77 milyon kullanıcının, kullanıcı adını ve şifrelerini çalmasıyla yaşadığı olayın zararının 170 milyon dolar olduğu bildirilmiştir. Tatbikî yaşadığı itibar kaybı düşünüldüğünde bu devede kulak kalır.

 

 

 

image002

 

 

 

Bilgi Güvenliği İhlal Olayı nedir?

 

 

İş operasyonlarını tehlikeye atma ve bilgi güvenliğini tehdit etme olasılığı olan tek ya da bir dizi istenmeyen ya da beklenmeyen bilgi güvenliği olayı olarak tanımlanabilir.

 

 

Bilgi güvenliği ihlal olaylarının sonuçları maruz kalan kurumları, az seviyede etkilenmeden, şirketlerin kapanmasına kadar gidebilecek yüksek etki seviyelerinde etkileyebilir.

 

 

 

Bilgi Güvenliği İhlal Olayları

 

 

·         Ortak alanlara veya servislere yetkisiz erişim

·         BT tarafından verilen servislerde kesintilerin yaşanması

·         İnternetin veya e-postaların uygunsuz kullanımı

·         Şirket evraklarının korunaksız yerlerde bulundurulması veya kaybolması

·         Önemli evrakların uygun bir yöntemle imha edilmemesi

·         Güvenlik kayıtlarının güvensiz ortamlarda saklanması

·         Masaüstü veya dizüstü bilgisayarlardan veri kaybı yaşanması, kaybolması

·         Şirket iletişim altyapısında yaşanabilecek kesintiler, sızmalar veya arızalar

·         Masada önemli evrak bırakarak veya oturumu kilitlemeden terk etmek

·         Telefonda şirket bilgilerinin, şifrelerin paylaşılması

·         İşten çıkan bir kişinin yetkilerinin sonlandırılmaması

·         Yetkisi olduğu veya olmadığın şirket bilgilerinin, yetkisizce taşınabilir ortamlara aktarılması

·         Güvenli alanlara yetkisiz kişilerin girişinin kontrol edilmemesi

·         Şirket bilgi güvenliği politikasına aykırı davranmak

·        

 

 

Yukarıdaki örneklerden bilgi güvenliği ihlali dediğimizde çoğunluğu bilgi teknolojileri alanında olsada sadece bilgi teknolojileri alanındaki ihlalleri kastetmediğimiz net bir şekilde görülmektedir.

 

 

ISO 27000 Ailesine Genel Bakış

 

 

Iso 27001’e gelmeden önce kendisinin de içinde bulunduğu ISO 27000 ailesine genel olarak bakalım.

 

 

 

image003

 

 

 

ISO/IEC 27000 – BGYS Genel Bilgiler ve Tanımlar (2009’da yayınlandı)

ISO/IEC 27001 – BGYS Gereksinimleri (2005’da yayınlandı)

ISO/IEC 27002 – BGYS Uygulama Pratikleri ve Kontrolleri (2007’da yayınlandı)

ISO/IEC 27003 – BGYS Risk Yönetimi Uygulama Rehberi (2010’da yayınlandı)

ISO/IEC 27004 – BGYS Etkinlik Ölçüm Rehberi (2009’da yayınlandı)

ISO/IEC 27005 – BGYS Risk Yönetimi Rehberi (2008’da yayınlandı)

ISO/IEC 27006 – BGSY Belgelendirme Kurumları İçin Rehber (2008’da yayınlandı)

ISO/IEC 27007 – BGYS Denetim Rehberi (2011’da yayınlandı)

ISO/IEC 27011 – Telekominikasyon Kuruluşları için BGYS Rehberi (2008’da yayınlandı)

ISO/IEC 27799 – Sağlık Kuruluşları için BGYS Rehberi (2008’da yayınlandı)

 

 

BGYS: Bilgi Güvenliği Yönetim Sistemi

 

 

Bilgi Güvenliği Yönetim Sistemi Gereksinimlerine Giriş

 

 

BGYS, bilgi güvenliğini ve yaşayan bir süreç olarak bilgi güvenliğinin nasıl yönetileceğini tanımlar. Kesinlikle bir yönetim sürecidir, teknik bir süreç değildir. Teknik ve teknoloji bağımlı standartlar değillerdir.

 

 

image004

 

 

 

ISO 27001 ve ISO 27002, BGYS’nin en temel standartlarıdır. BGSY’nin planlanmasının, gerçekleştirilmesini, iyileştirilmesini ve sürdürülmesi için uygulama pratiklerini ve kontrollerini ISO 27002 içeriyken; BGYS’nin belgelendirilmesi için gereken standartlarsa ISO 27001’de yer almaktadır.

 

 

ISO 27001 ve ISO 27002 standartları, bütün kuruluşların (ticari, kamu, kar amaçlı olmayan kuruluşlar vb.) bütün süreçlerinin güvenliği sağlamak için kaleme alınmışken; ISO 27000 ailesinin diğer standartları ya bu iki standarttın belli kısımlarının nasıl uygulanacağını açıklamak veya desteklemek içindir ya da belli bir sektör için özel olarak hazırlanmışlardır.

 

 

Bilgi Güvenliği Yönetim Sistemi (BGYS) kurmak, işletmek, izlemek, gözden geçirmek, iyileştirmek ve sürdürmek için PUKO (Planla – Uygula – Kontrol Et – Önlem Al) modeli kullanılmaktadır.

 

 

 

image005

 

 

 

ISO 27001 Puko Modeli

 

 

Puko modelini, kelebeğin yaşam döngüsüne benzetiyorum. Yumurta evresini, bir fikrin projenin ortaya çıkmasına; tırtıl halini, projenin gerçekleştirilmesine ve işletilmesine; koza evresini, projenin değerlendirilmesine ve sonuçlarının belirlenmesine; kelebek evresini de projenin tekrar gözden geçirilmesine ve gereken aksiyonların alınmasına benzetebiliriz.

 

 

 

image006

 

 

 

BGYS bir süreçtir yani başlangıcı ve bitiş tarihi belli olan bir proje veya olay değildir. Puko döngüsü de kelebek yaşam döngüsü gibi adım adım ilerlemekte ve yenilenerek, süreklilik arz etmektedir. Kurum, bu döngüyü tüm süreçlerinde, sürekli ve sağlıklı olarak işlettiği takdirde tam olarak BGYS’yi uygulamış olur.

 

 

Bir sonraki makalemizde görüşmek üzere.

 

 

Kaynaklar:

Ernst & Young Bilgi Güvenliği Anketi

Iso 27001 Bilgi Güvenliği Yönetim Sistemi – Koray Atsan

UEKAE BGYS-0001

İlgili Makaleler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu