Bilgi Güvenliği Yönetim Sistemleri ISO 27001

ISO 27001, Bilgi Güvenliği Yönetim Sistemi BT süreçlerinizde gereksinimlerin belirlendiği tek denetlenebilir uluslararası standart dır. Bilgi Güvenliği Yönetim Sistemleri ile siber saldırılar, hackler, veri sızıntıları veya hırsızlık gibi bilgi risklerini yönetebildiğimiz bir dizi politika, prosedür, süreçleri içeren uluslararası standartlara dayalı olan bir sistemin bütünlüğü içermektedir.

Bilgi güvenliği, literatür kaynaklarda ifade edildiği gibi bir varlık türü olarak bilginin izinsiz veya yetkisiz b ir biçimde erişimi, kullanımı, değiştirilmesi, ifşa edilmesi, ortadan kaldırılması, el değiştirmesi gibi risklere karşı önlem almak, olarak tanımlanmaktadır. Ve üç temel unsurdan meydana gelir.

Bu üç temel unsur şunlardır;

Gizlilik (Confidentiality): Bilginin yetkisiz kişilerin eline geçmesini engeller, yetkisiz kişilerin erişmemesi ve bilginin ifşa edilmemesini sağlar.

Bütünlük (Integrity): Bilgiyi olması gerektiği şekilde tutmak ve korumaktır. Kullanılan, işlenen, saklanan, transfer edilen bilginin kötü amaçlarla veya yanlışlıkla değiştirilmesini engellemektir. 

Erişilebilirlik (Availability): Bilgiye ihtiyaç duyulduğunda erişilebilir ve kullanılabilir olmasıdır.

Bu üç temel unsurdan herhangi biri zarar görürse güvenlik zafiyeti oluşur.

ISO/IEC 27001 sertifikası ile bir kurum ve kuruluşun en iyi şekilde bilgi güvenliği süreçlerinin tanımlandığı ve uygulandığını gösteren bir belge dir.

Kurumunuzda uyguladığınız ISO 27001 standardının temel gereksinimlerini ne şekilde karşıladığınızı ve zaman için meydana gelen değişiklikleri nasıl yönetiğinizi gösteren dijital veya kağıt döküman tabanlı bir çözüm ile minimumda yılda bir kez denetlenebilirsiniz.

BGYS kapsamında kurumsal firmalardan beklenen bazı kurallar vardır. Bu kurallar aşağıdaki maddelerde açıklanmaktadır.

• BGYS kapsamında paydaşlar ve şirketten beklenen beklentileri belirlemek
• Kurumsal bilgi güvenliğiniz için hangi risklerin mevcut olduğunu belirlemek
• Kurumunuz için belirlenen beklentileri karşılamak ve risklerin göz önünde bulundurarak, kontrollerini sağlamak ve oluşabilecek riskleri en aza indirgeme yöntemlerini tanımlayarak riski minimuma indirgemek.
• Kurumunuz için BGYS kapsamında nelerin başarılması gerektiğine dair net hedefler belirleyin
• BGYS kapsamında kurumunuza yönelik kontrolleri ve diğer risk tedavi yöntemlerini ve düzeltici faaliyetlerini belirleyip uygulamak.
• BGYS kapsamında uygulanan kontrollerin beklendiği gibi çalışıp çalışmadığının kontrolünü ve sürekliliğini sağlamak.
• BGYS’nin uygulandığı kurum yada işletmelerde BGYS’nin tamamının daha iyi çalışmasını sağlamak için sürekli iyileştirme ve geliştirme çalışmaları yapmak.

Bu kurallar dizisi, politikalar, prosedürler ve diğer belge türleri şeklinde yazılabilir veya belgelenmemiş yerleşik süreçler ve teknolojiler şeklinde olabilir. ISO 27001, hangi belgelerin gerekli olduğunu, yani hangilerinin minimumda bulunması gerektiğini tanımlamaktadır.

Kurumsal Firmalar ve İşletmeler Açısından BGYS Neden Gereklidir?

Kurumsal firmalar ve işletmeler açısından BGYS standardının uygulanması ile dört temel avantajı sağlamaktadır. Bu avantajlar kurumunuzun güvenliğini sağladığı gibi kurumunuza veya işletmenize prestij ve farkındalık kazandırmaktadır.

BGYS’nin Avantajları

Yasal Gereklilik: BGYS ile ilgili yasalar kapsamında ön görülen çok sayıda kanun, yönetmelik ve sözleşme bulunmaktadır. Bu yasal gerekliliklerin bir çoğu ISO 27001 uygulanarak çözümlene bilmektedir.

Rekabet Avantajı: Kurumunuzun veya şirketinizin BGYS sertifikası alması, sizi rakiplerinize karşı bir adım daha önde olmanızı sağlamaktadır. BGYS sertifikası almış bir kurum veya işletme veri güvenliğinin üç temel unsurunu sağlamış bulunmaktadır.

Düşük Maliyet: Her kurumsal ve ticari organizasyonda maliyetler önemlidir. ISO 27001’in amacı, güvenlik ihlallerini önlemektir. Olası bir veri güvenliği ihlalinde etkilerinin boyutu ne olur ise olsun çeşitli miktarlarda maddi kayıplara mal olabilmektedir. Bu neden ile ISO 27001’in uygulanması kurum ve işletmeler açısından güven sağlamak ile birlikte çeşitli boyutlarda maddi tasarruf da sağlayacaktır. 

Organizasyon Yapısı: Kurumlar veya ticari işletmeler, hızlı büyüyen bir organizasyon yapısına sahip ise süreçlerini ve prosedürlerini tanımlamaya fırsatları ve zamanları maalesef bulunmamaktadır. Çalışanlar açısından gözlemlendiğinde bu durum süreçlerin, ne zaman ve kim tarafından yapılması gerektiğini bilinmemesine kadar uzayan karmaşık bir hal almaktadır. ISO 27001’in uygulanması ile bu tarz karışıklıklar ortadan kalkar, kurum ve şirketlerin ana süreçlerini kayıt altına almaya teşvik eder ve çalışanlar tarafından kaybedilen zaman dilimini mümkün olduğu kadar minimuma inmesini sağlamaktadır.

ISO 27001 İçin Gereksinimler Nelerdir ?

ISO 27001 ‘in gereksinimleri 4. Maddeden itibaren 10. Madde ‘ye kadar olan bölümleri kapsar. Bu maddeler ve içeriklerini kısaca açıklayalım.

4.Madde Kuruluşun Bağlamı: Bir Bilgi Güvenliği Yönetim Sistemini başarılı bir şekilde uygulamanın ön koşullarından biri, kuruluşun bağlamını anlamaktır. Dış ve iç meselelerin yanı sıra ilgili tarafların da tanımlanması ve dikkate alınması gerekir. Gereksinimler düzenleyici sorunlar içerebilir, ancak çok ötesine de geçebilir.

5.Madde Liderlik: Yeterli bir liderlik için ISO 27001’in gereksinimleri çok çeşitlidir. Bir yönetim sistemi için üst yönetimin taahhüdü zorunludur. Hedefler, bir organizasyonun stratejik hedeflerine göre oluşturulmalıdır. BGYS için ihtiyaç duyulan kaynakların sağlanması ve BGYS’ye katkıda bulunacak kişilerin desteklenmesi, yerine getirilmesi gereken yükümlülüklerin diğer örnekleridir. Ayrıca üst yönetimin bilgi güvenliğine göre bir politika oluşturması gerekmektedir. Bu politika belgelenmeli ve kuruluş içinde ve ilgili taraflara iletilmelidir. ISO 27001 standardının gerekliliklerini karşılamak ve BGYS’nin performansı hakkında rapor hazırlamak için roller ve sorumluluklar da belirlenmelidir.

6.Madde Planlama: Bir BGYS ortamında planlama yaparken her zaman riskleri ve fırsatları hesaba katmalıdır. Bir bilgi güvenliği risk değerlendirmesi, güvenilecek sağlam bir temel sağlar. Buna göre, bilgi güvenliği hedefleri risk değerlendirme sürecine dayanmalıdır. Bu hedefler şirketin genel hedefleri ile uyumlu olması gerekir. Ayrıca, hedeflerin şirket içinde desteklenmesi gerekir. Şirket içindeki ve şirketle uyumlu desteklenen hedefler herkes ile çalışabilmek amacı doğrultusunda güvenlik hedeflerini sağlarlar. Risk değerlendirmesinden ve güvenlik hedeflerinden, Ek A’da listelenen kontrollere dayalı olarak bir risk işleme planı üretilir.

7. Madde Destek: Kaynaklar, çalışanların yetkinliği, farkındalık ve iletişim, amacı ile desteklenmesini sağlayan temel konular dır. Diğer bir gereklilik ise bilgilerin ISO 27001’e göre belgelenmesi dir. Bilginin kontrol edilmesinin yanı sıra belgelenmesi, oluşturulması ve güncellenmesi gerekir. BGYS’nin başarısını desteklemek için uygun bir dökümantasyon setinin muhafaza edilmesi gerekmektedir.

8.Madde İşlem: Bilgi güvenliğini uygulamak için süreçler zorunludur. Bu süreçlerin planlanması, uygulanması ve kontrol edilmesi gerekir. Daha önce öğrendiğimiz gibi, üst yönetimin aklında olması gereken risk değerlendirmesi ve tedavi aşamaları uygulamaya konulmalıdır. 

9. Madde Performans Değerlendirmesi: ISO 27001 standardının gereklilikleri, Bilgi Güvenliği Yönetim Sistemlerinin izlenmesini, ölçülmesini, analiz edilmesini ve değerlendirilmesini bekler. Sadece departmanın kendi işini kontrol etmesi değil, ayrıca iç denetimlerin yapılması gerekir. Belirli aralıklarla üst yönetimin kurulunun uyguladığı BGYS’yi gözden geçirmesi gerekir.

10.Madde İyileştirme: İyileştirme, değerlendirmeyi takip eder. Uygunsuzluklar, önlem alınarak ve uygulanabilir olduğunda nedenler ortadan kaldırılarak ele alınmalıdır. Ayrıca, Planla-Uygula-Kontrol Et-Uygula döngüsü artık zorunlu olmasa da sürekli bir iyileştirme süreci uygulanmalıdır.

EK A. Referans Kontrol Hedefleri ve Kontrolleri

Ek A, referans kontrol hedefleri ve kontrollerinin faydalı bir listesidir. A.5 Bilgi güvenliği politikaları ile A.18 Uyumluluğu ile başlayan liste, ISO 27001 gereksinimlerinin karşılanabileceği ve bir BGYS’nin yapısının üretilebileceği kontrolleri sunar. Yukarıda açıklandığı gibi bir risk değerlendirmesi yoluyla belirlenen kontrollerin dikkate alınması ve uygulanması gerekir.

ISO 27001’in 14 Alanı Nelerdir?

ISO 27001 Ek A’da listelenen ve A.5’ten başlayan ve A.18’e kadar olan bölümlerde düzenlenen 14 “alan” vardır. Bölümler aşağıda belirtilen süreçleri kapsamaktadır.

A.5. Bilgi güvenliği ilkeleri: Bu bölümdeki denetimler, bilgi güvenliği ilkelerinin nasıl işleneceğini açıklar.

A.6. Bilgi güvenliğinin organizasyonu: Bu bölümdeki kontroller, iç organizasyonunu (örn. roller, sorumluluklar, vb.) tanımlayarak ve proje yönetimi gibi bilgi güvenliğinin organizasyonel yönleri aracılığıyla bilgi güvenliğinin uygulanması ve işleyişi için temel çerçeveyi sağlar. Mobil cihazların kullanımı ve uzaktan çalışma.

A.7. İnsan kaynakları güvenliği: Bu bölümdeki kontroller, kuruluşun kontrolü altındaki kişilerin güvenli bir şekilde işe alınmasını, eğitilmesini ve yönetilmesini sağlar; ayrıca disiplin cezası ve sözleşmenin feshi ilkelerine de değinilmektedir.

A.8. Varlık yönetimi: Bu bölümdeki kontroller, bilgi güvenliği varlıklarının (örn. bilgi, işleme cihazları, depolama cihazları vb.) tanımlanmasını, güvenliklerine ilişkin sorumlulukların belirlenmesini ve önceden tanımlanmış sınıflandırmaya göre kişilerin bunları nasıl ele alacağını bilmesini sağlar.

A.9. Erişim kontrolü: Bilgi ve bilgi işleme olanaklarına erişimi kısıtlamak, iş süreçleriniz doğrultusunda oluşan, ihtiyaçlarınıza istinaden bilgi ve bilgi varlıklarına erişimi sınırlar. Kullanıcılara sadece özellikle yetkilendirildikleri ağ ve ağ hizmetlerine erişim hakkı verilmektedir.

A.10. Kriptografi: Bu bölümdeki kontroller, bilgilerin gizliliğini, gerçekliğini ve/veya bütünlüğünü korumak için şifreleme çözümlerinin doğru kullanımı için temel sağlar.

A.11. Fiziksel ve çevresel güvenlik: Bu bölümdeki kontroller, fiziksel alanlara yetkisiz erişimi engeller ve ekipman ve tesislerin insan veya doğal müdahalelerden etkilenmesini önler.

A.12. İşlem güvenliği: Bu bölümdeki kontroller, işletim sistemleri ve yazılım dahil olmak üzere BT sistemlerinin güvenli olmasını ve veri kaybına karşı korunmasını sağlar. Ek olarak, bu bölümdeki kontroller, olayları kaydetme ve kanıt oluşturma, güvenlik açıklarının periyodik olarak doğrulanması ve denetim faaliyetlerinin operasyonları etkilemesini önlemek için önlem alma araçlarını gerektirir.

A.13. İletişim güvenliği: Bu bölümdeki kontroller, ağ altyapısını ve hizmetlerini ve bunlar arasında dolaşan bilgileri korur.

A.14. Sistem edinme, geliştirme ve bakım: Bu bölümdeki kontroller, yeni bilgi sistemleri satın alınırken veya mevcut sistemler yükseltilirken bilgi güvenliğinin dikkate alınmasını sağlar.

A.15. Tedarikçi ilişkileri: Bu bölümdeki kontroller, tedarikçiler ve ortaklar tarafından gerçekleştirilen dış kaynaklı faaliyetlerin de uygun bilgi güvenliği kontrollerini kullanmasını sağlar ve üçüncü taraf güvenlik performansının nasıl izleneceğini açıklar.

A.16. Bilgi güvenliği olay yönetimi: Bu bölümdeki kontroller, zamanında çözülebilmeleri için güvenlik olaylarının ve olaylarının uygun şekilde iletilmesini ve ele alınmasını sağlamak için bir çerçeve sağlar; ayrıca kaynakların nasıl korunacağını ve olayların tekrarını önlemek için olaylardan nasıl öğrenileceğini de tanımlar.

A.17. İş sürekliliği yönetiminin bilgi güvenliği yönleri: Bu bölümdeki kontroller, kesintiler sırasında bilgi güvenliği yönetiminin sürekliliğini ve bilgi sistemlerinin kullanılabilirliğini sağlar.

A.18. Uygunluk: Bu bölümdeki kontroller, yasal, yasal, düzenleyici ve sözleşme ihlallerini önlemek ve bilgi güvenliğinin ISO 27001 standardının tanımlanan politika, prosedür ve gereksinimlerine göre uygulanıp uygulanmadığını ve etkili olup olmadığını denetlemek için bir çerçeve sağlar. Bu alanlara daha yakından bakıldığında, bilgi güvenliğini yönetmenin yalnızca BT güvenliği (yani güvenlik duvarları, antivirüs vb.) ile ilgili olmadığını, aynı zamanda süreçleri yönetme, yasal koruma, insan kaynaklarını yönetme, fiziksel koruma vb.

ISO 27001 KONTROLLERİ NELERDİR?

ISO 27001 kontrolleri (güvenlik önlemleri olarak da bilinir), riskleri kabul edilebilir seviyelere indirmek için uygulanacak uygulamalardır. Kontroller teknik, organizasyonel, yasal, fiziksel, insani vb. olabilir.

ISO 27001’de toplamda ISO 27001’in Ek A da listelenen, A.5’ten A.18’e kadar numaralandırılmış 14 bölümde düzenlenen 114 kontrolü listelenmektedir.

ISO 27001 Nasıl Çalışır?

ISO 27001’in amacı kurum ve ticari şirketlerin veri güvenliği açısından üç temel unsurun yerine getirilmesiyle birlikte verinin gizliliğini, bütünlüğünü ve kullanılabilirliğini korumaktır. Bu kapsamda ön görülen problemler olabileceğini varsayarak, risk değerlendirmesi ve ardından oluşabilecek problemlerin oluşmasını önlemek amacı ile politikalar, prosedürler ile riski tanımlayarak risk azaltma veya risk tedavisi işlemleri yapılır. Bu nedenle, ISO 27001’in mantığı ve ilkesi, riskleri yönetmek için bir süreç belirleyip, risklerin nerede olduğunu ön görmek ve ardından güvenlik kontrollerinin uygulanması ile tüm süreçlerin sistematik bir metot ile güvenli bir şekilde sürekliğini sağlamaktır.

Kurum ve ticari işletmeler yaşayan bir organizasyondur. BGYS açısından bakıldığında yaşayan organizasyonlarda bir süreç olmak zorundadır. Süreçlerin analizi için BGYS de, planla -uygula – kontrol et – önlem al (PUKÖ) döngüsünü benimsemiştir.

Planlama: Kurum ve ticari işletmeler açısından BGYS politikası amaçları, hedefler, prosesler ve prosedürler oluşturmaktadır.

Uygulama: BGYS’nin hayata geçirilmesi ve uygulanması yani, BGYS politikası, kontroller, prosesler ve prosedürler faaliyet gösterdiğiniz işletmenizde hayata geçirilmesi ve uygulanmasını ifade etmektedir.

Kontrol et: Kurum ve ticari işletmeler de BGYS’nin izlenmesi ve gözden geçirilmesi, BGYS politikası, amaçlar ve kullanım deneyimlerine göre süreç performansının değerlendirilmesi ve uygulanabilen yerlerde ölçülmesi ve sonuçların gözden geçirilmek üzere yönetime rapor edilmesini ifade etmektedir. 

Önlem al: Kurum ve ticari işletmeler de BGYS’nin sürekliliğinin sağlanması ve iyileştirilmesi, yönetimin gözden geçirme sonuçlarına dayalı olarak, düzeltici ve önleyici faaliyetlerin gerçekleştirilerek BGYS’nin sürekliliğinin ve iyileştirilmesinin sağlanmasını ifade etmektedir.

PUKÖ döngüsü ile sürekli bir biçimde birbirini izleyen canlı bir sistem oluşturmaktadır.

ISO 27001 Kontrollerini Nasıl Uygularsınız?

Teknik Kontroller: Öncelikle sisteme eklenen yazılım, donanım ve bileşenleri kullanılarak bilgi sistemlerin de uygulanır. Örneğin. yedekleme, antivirüs yazılımı vb.

Kurumsal Kontroller: İzlenecek kurallar ve kullanıcılardan, ekipmandan, yazılımlardan ve sistemlerden beklenen davranışlar tanımlanarak uygulanır. Örneğin. Erişim Kontrol Politikası, BYOD Politikası, vb.

Yasal Kontroller: Kuralların ve beklenen davranışların, kurumun uyması gereken yasa, yönetmelik, sözleşme ve benzeri yasal araçlara uyulması ve uygulanması sağlanarak uygulanır. Örneğin. Gizlilik Sözleşmesi (gizlilik sözleşmesi), SLA (hizmet düzeyi sözleşmesi), vb.

Fiziksel Kontroller: Öncelikle insanlarla ve nesnelerle fiziksel etkileşimi olan ekipman veya cihazlar kullanılarak gerçekleştirilir. Örneğin. CCTV kameralar, alarm sistemleri, kilitler vb.

İnsan Kaynakları Kontrolleri: Kişilere faaliyetlerini güvenli bir şekilde gerçekleştirmelerini sağlamak için bilgi, eğitim, beceri veya deneyim sağlayarak uygulanır. Örneğin. güvenlik bilinci eğitimi, ISO 27001 iç denetçi eğitimi vb.

 ISO 27001’ de Yazılması Gereken Belgeler

• BGYS’nin Kapsamı 
• Bilgi Güvenliği Politikası ve Hedefleri 
• Risk Değerlendirmesi ve Risk Tedavisi Metodolojisi 
• Uygulanabilirlik Beyanı 
• Risk Tedavi Planı 
• Risk Değerlendirme Raporu 
• Güvenlik Rollerinin Ve Sorumluluklarının Tanımı 
• Varlık Envanteri 
• Varlıkların Kabul Edilebilir Kullanımı 
• Erişim Kontrol Politikası 
• BT Yönetimi için İşletim Prosedürleri 
• Güvenli Sistem Mühendisliği Prensipleri 
• Tedarikçi Güvenlik Politikası 
• Olay Yönetim Prosedürü 
• İş Sürekliliği Prosedürleri 
• Yasal, Düzenleyici ve Sözleşme Gereksinimleri 
• Eğitim, beceri, deneyim ve niteliklerin kayıtları 
• İzleme ve ölçüm sonuçları 
• İç Denetim Programı 
• İç denetimlerin sonuçları 
• Yönetim incelemesinin sonuçları 
• Düzeltici faaliyetlerin sonuçları 
• Kullanıcı etkinliklerinin, istisnaların ve güvenlik olaylarının günlükleri 

Tüm bu isterler ile beraber kurumlar ve ticari şirketler iş süreçleri doğrultusunda gelişebilen gereksinimler için ek güvenlik belgeleri yapabilmektedir.

ISO 27000 Standartları

ISO/IEC 27000: ISO 27k standart serisinde kullanılan terimleri ve tanımları sağlar.

ISO/IEC 27002: ISO 27001 Ek A’da listelenen kontrollerin uygulanması için kılavuzlar sağlar. Bu kontrollerin nasıl uygulanacağına dair ayrıntılar sağladığı için oldukça faydalı olabilir.

ISO/IEC 27004: Bilgi güvenliğinin ölçümü için yönergeler sağlar – BGYS’nin hedeflerine ulaşıp ulaşmadığının nasıl belirleneceğini açıkladığı için ISO 27001 ile uyumludur.

ISO/IEC 27005: Bilgi güvenliği risk yönetimi için yönergeler sağlar. ISO 27001’e çok iyi bir ektir, çünkü uygulamadaki muhtemelen en zor aşama olan risk değerlendirmesi ve risk tedavisinin nasıl gerçekleştirileceği hakkında ayrıntılı bilgi verir.

ISO/IEC 27017: Bulut ortamlarında bilgi güvenliği için yönergeler sağlar.

ISO/IEC 27018: Bulut ortamlarında gizliliğin korunması için yönergeler sağlar.

ISO/IEC 27031: Bilgi ve İletişim Teknolojileri (BİT) için iş sürekliliği geliştirirken nelerin dikkate alınması gerektiğine ilişkin yönergeler sağlar. Bu standart, bilgi güvenliği ve iş sürekliliği uygulamaları arasında harika bir bağlantıdır.

ISO 27001 ve 27002 Arasındaki Fark Nedir?

ISO 27001, bir Bilgi Güvenliği Yönetim Sistemi (BGYS) için gereksinimleri tanımlarken, ISO 27002, ISO 27001 Ek A’daki kontrollerin uygulanmasına ilişkin rehberlik sağlayan yol gösteren bir standarttır.

ISO 27001 Zorunlu Mu?

Kurum ve ticari şirketiniz için ISO 27001’in zorunlu olup olmadığını belirlemek amacı ile iş süreçlerinin faaliyet gösterdiği ülkede uzman hukuk danışmanlarından destek alabilirsiniz. Ancak bir çok ülkede, ISO 27001’in uygulanması zorunlu olmamak ile beraber beli başlı endüstrilerde ISO 27001’in uygulamasını gerektiren düzenlemeler yayınlamıştır.

ISO 27001 Yasal Bir Gereklilik Midir?

Kamu ve özel kuruluşlar, tedarikçileri ile yaptıkları sözleşmelerde ve hizmet sözleşmelerinde ISO 27001’e uyumu yasal bir gereklilik olarak tanımlayabilirler. Ayrıca, yukarıda belirtildiğim gibi, ülkeler, ISO 27001’in benimsenmesi, kendi topraklarında faaliyet gösteren kuruluşlar tarafından yerine getirilmesi gereken yasal bir gereklilik haline getiren yasa veya yönetmelikler tanımlayabilir.