COBIT Politika ve Prosedurler Hakkında

Merhaba

BT varlıkları için değerleme, sınıflandırma, önceliklendirme konusu kafamı karıştırdı. Bu tür bir çalışmayı bilgi güvenliği politikalarının oluşturulmasında özellikle veriler için sıklıkla yapıyoruz. Bunun dışında bilgi güvenliği yönetimi veya iş etki analizi kapsamında tüm varlıkları (bilgi, insan, donanım, yazılım vb) içerecek şekilde de yapılabiliyor. Bu konuda daha net bilgi verebilirseniz yardımcı olmaya çalışayım.

Bilgi/veri sınıflandırması konusunda şöyle ilerleyebilirsiniz:

1) Önce kullanacağınız sınıflandırma çeşitlerini belirleyin. örneğin i) Gizlilik  ii) Süreklilik gibi.

2) Daha sonra bu çeşitlerin her biri için hangi sınıfların bulunacağını belirleyin

 

Örneğin gizlilik için:

i) Çok gizli

ii) Gizli

iii) Hizmete Özel

iv) Kişisel

v) Herkese açık

..vb

 

Süreklilik için:

i) Çok kritik

ii) Kritik

iii) Kanunen saklanmalı

iv) kritik olmayan

..vb

 

3) Bu sınıfların her birini kendi şirketinize göre tanımlayın:

(Örneğin) Gizlilik - Çok gizli: Yetkisiz bir kişinin eline geçmesi durumunda 10.000 TL üstünde maddi kayıplara neden olabilen, ulusan basında yer alıp şirketin itibarını sarsabilecek, yetkili makamların ceza vermesine neden olabilecek.. vb --Ben şimdi uydurdum

(Örneğin) Süreklilik - Çok kritik: Ulaşılamaması durumunda şirketin operasyonlarını tümüyle durdurabilecek, 30.000 TL üzerinde maddi kayba neden olabilecek... --Bunu da ben şimdi uydurdum,sınıfların şirketinize uygun olarak tek tek tanımlanması gerekli.

 4) Bu sınıfların her birisi için alınacak önlemleri tanımlayın

Örneğin -  gizlilik sınıfları için:

• Eposta ile gönderilebilir mi?
• Saklanırken şifrelenmesi (crypto) gerekli mi?
• Networkte transfer edilirken crypto gerekli mi?
• Yabancılarla paylaşılabilir mi, paylaşılırsa kimin onayı gerekli?
• Nasıl yedeklenecek?
• Nerelerde ve nasıl yayınlanabilir?
• Tedarikçilerle, müşterilerle vs paylaşılabilir mi?
• Telefonla iletilebilir mi?
• Faksla gönderilebilir mi?
• Bu bilginin bulunduğu laptopların diskleri şifrelenecek mi?
• Nasıl imha edilecek?
• ..vb

 

Özellikle gizli bilgiler ve paylaşım yöntemleri için bu önlemleri tanımladığınızda "hassas bilgilerin paylaşılması konusundaki politika" da kendiliğinden oluşmuş olacak.

Bu sınıfları ve önlemleri iş birimleri ile birlikte hazırlamanız veya en azından onların onaylarını almanız gerekli. Bunlar BT'nin tek başına almaması gereken kararlar.

 

5) Elinizdeki mevcut tüm verinin bir envanterini oluşturun ve şunları içeren bir tablo oluşturun

• Bilginin adı
• Bilginin bulunduğu/saklandığı yerler (DB, uygulama, sunucu, yedek, matbu doküman, PC..vb--sınıflandırma şekli size kalmış)
• Bilginin sahibi (Mutlaka iş birimlerinden olmalı)
• Bilginin gizlilik sınıfı
• Bilginin süreklilik sınıfı
• Bilgiyle ilgili yasal şartlar (kişisel bilgi, yasal saklanma süresi vb)
• ..vb

 

Daha sonra bu tabloyu, tüm bilgi sahiplerine onaylatın.

Tanımladığınız veri sınıflarını, her bir sınıf için belirlediğiniz önlemleri ve bu sınıfların/önlemlerin uzun vadede nasıl takip edilip güncelleneceğini bir politika haline getirin. Politikada mutlaka bu şartlara nasıl uyum sağlanacağı, uyumun takip edilmesi sorumluluğunun kimde olduğu, uyulmazsa neler olacağını da belirtin.

Oluşturduğunuz veri sınıflandırma tablosunu poltiikaya ekleyin ve yılda iki kez gözden geçirip güncelleyin. Ayrıca organizasyonda veya süreçlerde önemli bir değişiklik yaptığınızda da "ek tabloyu" güncellemeniz gerekli. Politikanın güncellenmesi çok sık gerekmemeli. Bu güncellemelerde yeni oluşturulan veya önceliği değişen bilgiler için tabloda ekleme/değişiklik yapmanız gerekebilir.

Ayrıca sürekli olarak (ya da sıklıkla diyelim) veri sınıflarınıza uyumlu olup olmadığınızı kontrol etmelisiniz. örneğin "çok gizli" bilgi şifrelenmeden network'te taşınmaz dediyseniz, mevcut tüm çok gizli bilginin network'te taşınırken şifrelenip şifrelenmediğini bilmeniz gerekli. şifrelenmiyorsa da bunu ilgili "bilgi sahibi"ne iletip birlikte ne önlem alınacağına karar vermelisiniz.

Hassas verilerin paylaşımı için özel olarak:

- Üçüncü kişilerle paylaştığınız ya da erişim hakkı verdiğiniz tüm bilgilerin listesini çıkarın

- Bu bilgilerin paylaşılma şeklinin (ftp, edi, vpn vb) gizlilik şartlarınızı sağladığından emin olun. (bkz: veri sınıflandırması)

- Paylaşım için sözleşme ve gizlilik anlaşması olup olmadığından emin olun.

- Bu bilgileri paylaştığınızdan veri sahiplerinin haberi olmasını sağlayın.

- Özellikle eposta/webmail/IM vb yöntemlerle kullanıcılar tarafından serbestçe gönderilebilecek veriler için risk alıyorsanız (DLP olmaması gibi) bu durumu veri sahiplerine açıklayın ve riski kabul etmek istemiyorlarsa gereken yatırımı belirtip risk veya önlem arasında bir karar almalarını sağlayın.

- Bu gözden geçirmeyi düzenli olarak tekrar edin.

 

Elimden geldiğince ana hatlarıyla konuyu özetlemeye çalıştım. Bu arada gözden kaçırdığım şeyler olabilir. Tüm yazdıklarım özellikle küçük boyutlu işletmelerde kolayca uygulanabilecek şeyler. Fakat aslında veri sınıflandırması tümüyle şirkete özel olarak işletilmesi gereken bir konu. Öyle ki bazen aylarca sürecek projeler yapılması gerekebiliyor. Bundan daha karmaşık bir çözüme ihtiyacınız varsa bana özel mesajla ulaşabilirsiniz.

Saygılarımla

çok teşekkürler kapsamlı bir şekilde açıkladıgınız için. ama aklım karıştı gerçekten baya kapsamlı birşeymiş bunların örnek bir dökümanı varmı elinizde kendi şirketimize göre uyarlayabileceğimiz?