Şirketlere TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi BGYS Kurulması ve Sertifikasyon Süreçleri – Bölüm2
Şirketlere TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi BGYS Kurulması ve Sertifikasyon Süreçleri makale serimizin birinci bölümüne link üzerinde ulaşabilirsiniz.
Birinci bölümde bilgi güvenliğine ve TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemine giriş yapmış ve BGYS öncesi hazırlık süreçlerine değinmiştik.
Serinin bu bölümünde kullanıcı eğitimleri ve farkındalık çalışmalarıyla, bilgi varlıklarına ve risk kavramlarına değineceğiz.
BÖLÜM 4. BGYS KULLANICI EĞİTİMLERİ VE FARKINDALIK ÇALIŞMALARI
Daha önce BGYS önlemlerinde bahsettiğimiz gibi günümüz şartlarında bilgi güvenliği önlemlerinin yüksek bir yüzdesi Kullanıcı Eğitim ve Farkındalığı önlemlerini içerirken, düşük bir yüzdesi teknik önlemleri içermektedir. Yapılan araştırmaların sonucunda da görülmüştür ki bilgi güvenliği risklerini gidermede insan faktörünü göz ardı ederek oluşturulacak sistemsel veya tekniksel güvenlik önlemleri çok etkili ve yararlı olmayacaktır. Bu yüzden kullanıcıların bilgi güvenliği bilincini yükseltmeden yapılacak tüm teknik önlemlerde zafiyetler bulunacaktır. Kullanıcı bilincini yükseltmek için eğitimler verilmeli ve farkındalık çalışmaları aksatılmadan yapılmalıdır.
4.1. Bilgi Güvenliği El Kitabının Hazırlanması
Kullanıcılar için bilgi güvenliği rehberi sayılabilecek Bilgi Güvenliği El Kitabı yazımı en zor olan dokümandır. Anlatımı herkes tarafından anlaşılabilecek kadar sade, teknik terimlerden uzak, kurum gerçekleriyle uyumlu, kurum içerisinde uygulanabilecek, bilgi güvenliğini maksimum seviyede tutmayı hedefleyerek, olabildiğince kısa olarak yazılmalıdır.
Bilgi Güvenliği El Kitabında, Bilgi Güvenliği Politikası, Bilgi Varlıklarının Yönetimi, Kabul Edilebilir Kullanım Kuralları, Bilgi Güvenliği İhlal Olayları Yönetimi vb. gibi bölümlerde kullanıcılara bilgi güvenliği konularında dikkat etmeleri gereken noktalar aktarılır.
Bilgi Güvenliği El Kitabı yazıldıktan ve üst yönetimin onayından sonra kurum personelinin ulaşabileceği bir yerde (ortak alan, intranet vb.) yayınlanarak duyurusu yapılır. Duyurusu yapıldıktan sonra kullanıcıların el kitabındakileri uygulayıp uygulamadıkları kontrol edilir.
4.2. Bilgi Güvenliği Sözleşmesi
Kurumda işe başlayacak olan kişilere hem yasal olarak bilgi güvenliği konularının bildirilmesi hem de kurumun bilgi güvenliği hassasiyetinin gösterilmesi adına Bilgi Güvenliği Sözleşmesi hazırlanarak ilk eğitim ve farkındalık çalışması olarak okutulmalı ve imzalatılarak belgelendirilmelidir.
Kurumda Bilgi Güvenliği Sözleşmesi hazırlanmadan önce işe başlamış olan personele ayrıca bu sözleşme okutularak imzalatılmalı ve BGYS sürecine dahil edilmeleri sağlanmalıdır.
Bilgi güvenliği kapsamı, politikası ve el kitabı belirlendikten sonra mevcut kullanıcılara ve yeni personelin oryantasyon eğitimlerinin içerisinde bilgi güvenliği eğitimleri verilir.
Bilgi güvenliği oryantasyon eğitiminde bilgi güvenliği kavramları, bilginin nitelikleri, bilgilerin tutulduğu ortamlar, yasal düzenlemeler, kurum bilgi güvenliği politikası ve prosedürleri, bilgi güvenliğine ilişkin güncel tehditler ve saldırılar, sosyal mühendislik, temiz ekran temiz masa kuralları, fiziksel güvenlik, parola güvenliği ve kullanıcının sorumlulukları gibi konular ele alınmalı, örneklerle zenginleştirilerek kullanıcılara sunulmalıdır.
Bazı durumlarda bilgi güvenliği oryantasyon eğitimleri verilirken kullanıcının teknik bir personel olması veya üst düzey yönetici olması eğitimin içeriğinde değişiklik yapılmasını gerektirebilir.
Bilgi güvenliği eğitimlerinin daha faydalı ve verimli geçmesi için BGYS güvenlik yöneticisinin veya uzmanının bu eğitimleri vermesi tavsiye edilir.
Oryantasyon eğitimleri verildikten sonra eğitimlerin sonuçlarının değerlendirilmesi ve sonuçlara göre eğitim içeriğinde güncellemeler yapılarak daha verimli hale getirilmesi önemlidir.
4.4. Kurum İçi Farkındalık Çalışmaları
Kullanıcıya kurumda çalıştığı süre içerisinde bilgi güvenliği farkındalığı çalışmaları yapılarak bilgi güvenliği konusunda edindiği bilgilerin taze tutulması kullanıcı zafiyeti oluşmasını önleyecektir. Bazen panolar aracılığıyla, bilgi güvenliği politikasındaki veya el kitabındaki önemli maddelerin hatırlatılması yoluyla, bazen de bilgisayar açılış ekranlarına getirilen uyarı yazılarıyla çeşitli farkındalık çalışmaları yapılabilmektedir.
Farkındalık çalışmalarında unutulmaması gereken önemli bir konu duyurular yoluyla güncel bilgi güvenliği tehlikeleri hakkında kullanıcıların bilgilendirilmesidir.
Daha detaylı bilgi için UEKAE tarafından hazırlanan UEKAE BGYS-0008 Bilgi Güvenliği Bilinçlendirme Süreci Oluşturma Kılavuzu’na bakabilirsiniz.
BÖLÜM 5. BGYS BİLGİ VARLIK ENVANTERİ ve BİLGİ VARLIK SINIFLANDIRMASI
5.1. Bilgi Varlıkları Envanterinin Oluşturulması
Şekil 5‑1 Bilgi Varlıkları Envanteri
Kurumda Bilgi Güvenliği Yönetim Sistemi kurulmaya başladığında birçok soru kafa karışıklığına yol açmaya başlar. Bu kafa karışıklığını ortadan kaldırmak için ilk yapmamız gereken kurumun Bilgi Varlıkları Envanterini oluşturmaktır. Bilgi Varlıkları Envanterinin taslağı ilk aşamada zimmet listesi veya hali hazırda bulundurulan bir envanter listesi olabilir. Envanterde varlık sahipliği, bulunduğu yer, varlığın kategorisi (bilgi, yazılım, servis vb.), varlığın değeri gibi detayların olması ilerleyen çalışmalar için faydalıdır.
Bilgi varlıklarının belirlenmesinde çeşitli bilgi toplama teknikleri kullanılabilir. Bunlardan bazıları anket, birebir görüşmeler, dokümantasyonun incelenmesi, otomatik tarama araçlarıdır.
Bilgi Varlıkları Envanterini güncel tutmak, varlık envanteri oluşturmaktan daha zordur. O yüzden BGYS süreci içerisinde “Varlık Yönetim Kılavuzu” oluşturularak varlığın sahipliği, sınıflandırılması, etiketlenmesi, işlenmesi, aktarılması, depolanması, silinmesi ve imhası prosedüre bağlanmalıdır.
Daha detaylı bilgi için UEKAE tarafından hazırlanan UEKAE BGYS-0003 Varlik Envanteri Olusturma Kilavuzu’na bakabilirsiniz.
5.2. Bilgi Varlıklarının Sınıflandırılması
Kullanıcıların hangi varlığa nasıl davranması gerektiğini, kimlerin ne ölçüde erişebileceğini ve nasıl korunması gerektiğini kolaylıkla anlayabilmeleri için varlıklar sınıflandırılır. Varlık sınıflandırma yapısı oluşturulurken kullanıcılar tarafından rahatça anlaşılabilecek kadar basit ve sade bir yapı oluşturulması gereklidir.
Varlık sınıflandırılması ayrı bir prosedürde veya “Varlık Yönetim Kılavuzu”nda detaylandırılmalı ve üst yönetim onayı alınmalıdır.
Örnek olarak 4 gizlilik kategorili (Herkese Açık, Kuruma Özel, Hizmete Özel ve Gizli) bir yapı oluşturulabilir. Kategori sayısı kurumun ihtiyaçlarına göre artırılabilir veya azaltılabilir. Kategori sayısının fazla artırılması, kullanıcı bilincini düşürerek, kullanıcılar tarafından uygulanmasının zorlaşacağı unutulmamalıdır.
Daha detaylı bilgi için UEKAE tarafından hazırlanan UEKAE BGYS-0003 Varlik Envanteri Olusturma Kilavuzu’na bakabilirsiniz.
5.3. Bilgi Varlıklarının Etiketlemesi ve İşlenmesi
Bilgi varlık sınıflandırması kategorileri belirlendikten sonra varlıklar etiketlenmesiyle ilgili olarak bir prosedür oluşturulmalı veya “Varlık Yönetim Kılavuzu”nda detaylandırılmalıdır. Bilgiyi işlemekle sorumlu tüm kullanıcılar ilgili prosedürü nasıl uygulayacakları hususunda eğitilmelidirler.
Günümüz şartlarında elektronik ortamlarda saklanan varlıkların etiketlenmesi daha da önem kazanmıştır. Elektronik etiketleme için hazırlanmış birçok uygulama bulunmaktadır. Bu uygulamaların kullanılmasıyla kullanıcı kaynaklı hataların önüne geçilebilir ve doğabilecek bilgi güvenliği ihlal olayları azaltılabilinir.
Daha detaylı bilgi için UEKAE tarafından hazırlanan UEKAE BGYS-0003 Varlik Envanteri Olusturma Kilavuzu’na bakabilirsiniz.
BÖLÜM 6. RİSK DEĞERLEME YAKLAŞIMI, RİSK ANALİZİ, RİSK İŞLEME, KONTROLLER VE ARTIK RİSKLER
6.1. Risk Değerlendirme Yaklaşımı
Risk Değerlendirme Yaklaşımı, tüm riskleri yönetmek için risklerin belirlenmesi, analizi, derecelendirmesi ve işlenmesi süreçlerini bir standart çerçevesinde ele almamıza olanak sağlar. Bu yaklaşım olmaksızın yapılacak risk işlemeleri tekrarlanabilir sonuçlar oluşturmayacak ve tüm sürecin hatalı sonuçlar üretmesine sebep olacaktır.
Risk değerlendirme yaklaşımı, risk değerlendirme metodolojisi olarak da isimlendirilir. Bu yaklaşım yazılı bir doküman olarak yönetime onaylatılmalı ve tüm risk süreçlerinde kullanılmalıdır.
Daha detaylı bilgi için UEKAE tarafından hazırlanan UEKAE BGYS-0004 BGYS Risk Yönetim Süreci Kılavuzu’na bakabilirsiniz.
6.2. Risk Analizi ve Derecelendirilmesi
Bilgi Varlıklarının Envanteri oluşturulduktan sonra her varlık için riskler analiz edilerek belirlenmelidir. Risklerin analizi, risklere sebep olabilecek açıklıklarının tespitiyle mümkündür.
Açıklıklar direk tehlike oluşturmazlar ancak bir tehdidin bir açıklığı kullanmasıysa az veya çok bilgi güvenliğinde sıkıntılar yaşanmasına sebep olabilirler. Bu açıklıklarının belirlenmesinde de anket, birebir görüşmeler, dokümantasyonun incelenmesi, otomatik tarama araçları gibi bilgi toplama teknikleri kullanılabilir.
Her açıklık kendi başına çeşitli tehditlere maruz kalabilir ve bu tehditlerin hepsinin aynı sonuçları doğurması muhtemel değildir. O yüzden açıklıklar derecelendirilirken bu açıklığın gerçekleşme olasılığı ve gerçekleşmesi sonucunda yaratacağı bilgi güvenliği ihlalinin kurum üzerindeki etkisi tespit edilmelidir.
Daha detaylı bilgi için UEKAE tarafından hazırlanan UEKAE BGYS-0004 BGYS Risk Yönetim Süreci Kılavuzu’na bakabilirsiniz.
Risk işleme, risk analizi ve derecelendirmesinde belirlenen risklerin nasıl işleneceğine karar verilmesi ve riski azaltacak veya ortadan kaldıracak kontrollerin seçilerek uygulanması sürecidir.
Mevcuttaki risklerin tamamının ortadan kaldırılması olası olmadığı ve bazı riskleri ortadan kaldırma maliyeti, riskin gerçekleşmesinden sonra oluşturacağı maliyetten yüksek olduğu için farklı risk işleme yöntemleri kullanılabilir. Dört adet risk işleme yöntemi bulunmaktadır. Bunlar Riskin Kabulü, Riskten Kaçınma, Riskin Azaltılması ve Riskin Transferidir.
Şekil 6‑1 Risk İşlem Yöntemleri
Riskin Kabulü: Riski mevcut haliyle kabul ederek olduğu gibi bırakmaktır.
Riskten Kaçınma: Riski doğurabilecek açıklıkların oluşmaması için açıklığa sebep olacak faaliyetin yapılmamasıdır.
Riskin Transferi: Riskin gerçekleşme ihtimaline karşı sigorta edilmesi veya riskin başkasına aktarılması veya devredilmesidir.
Riskin Azaltılması: Riskin seviyesinin azaltılması için uygun kontrollerin yapılması ve önlemlerin alınarak risk seviyesinin düşürülmesidir.
Daha detaylı bilgi için UEKAE tarafından hazırlanan UEKAE BGYS-0004 BGYS Risk Yönetim Süreci Kılavuzu’na bakabilirsiniz.
6.4. Uygun Kontrollerin Seçilmesi
Şekil 6‑2 TS ISO/IEC 27001 Ek-A Kontroller
TS ISO/IEC 27001 EK-A’da bulunan kontroller her riskin her açıklığı için farklı farklı uygulanabilir. Kontrollerin amacı riski ortadan kaldırmak veya olma olasılığını veya etkisini azaltmaktır. Her kontrolün her riske uygulanması mümkün olmadığı için riskler için uygun kontroller seçilir.
Risklere uygulanacak kontroller, risklerin kuruma vereceği zarara göre en yüksekten en aza kadar doğru sıralanmalı ve öncelikle dirilmelidir. Buradaki zarar etki sonrası maliyet olarak ele alınabilir. Bu noktada dikkat edilmesi gereken konu sadece maddi zararın değil kurumun itibarında da yaşanılabilecek zedelenmenin maliyet olarak hesaplanmasıdır.
Uygun kontroller belirlendikten sonra bu kontrollerin hedeflerine ulaşıp ulaşmadığının kontrol edilmesi ve sonuçların değerlendirilmesi gerekir. Bazen seçilen kontroller uygulandıktan sonra beklenen sonuçları vermeyebilir veya yeni açıklıklar türetebilir. O yüzden belirli periyotlarda risklerin tekrardan ele alınması gerekir.
Daha detaylı bilgi için UEKAE tarafından hazırlanan UEKAE BGYS-0004 BGYS Risk Yönetim Süreci Kılavuzu’na bakabilirsiniz.
6.5. Artık Risklerin Belirlenmesi ve Yönetim Onayının Alınması
Tüm risklerin ortadan kaldırılabilmesi mümkün olmadığı için kurumumuz için kabul edilebilir bir risk seviyesi belirlememiz gerekir. Belirlenen bu risk seviyesinin altındaki risklere “Artık Risk” denir.
Bir riskin seviyesi artık riskin altındaysa bu risk için aksiyon alınmayabilir. Artık risk seviyesinin üstündeki riskler için uygun kontroller belirlendikten ve uygulandıktan sonra risk seviyesi artık riskten yüksekse risk analizi ve risk işleme tekrar yapılarak uygun kontroller belirlenir. Risk seviyesi kontroller uygulandıktan sonra artık risk seviyesinin altındaysa ve risk kaldıysa kalan risk, artık risk olarak kabul edilebilir.
Artık riskler belirlendikten sonra dokümante edilerek yönetim onayı alınmalıdır.
Daha detaylı bilgi için UEKAE tarafından hazırlanan UEKAE BGYS-0004 BGYS Risk Yönetim Süreci Kılavuzu’na bakabilirsiniz.
Makale serimizin bu bölümünün de sonuna gelmiş bulunuyoruz. Serinin son makalesinde görüşmek üzere.
