Bilginin Adresi Ana Sayfa
Forum Anasayfası Forum Anasayfası > Bilgisayar Güvenliği / Computer Security > Güvenlik / Security Makaleleri
  Aktif Konular Aktif Konular RSS - Çok Katmanlı ISO 27001 Süreci !
  SSS SSS  Forumu Ara   Events   Kayıt Ol Kayıt Ol  GiriÅŸ GiriÅŸ

Çok Katmanlı ISO 27001 Süreci !
 Yanıt Yaz Yanıt Yaz
Yazar
Mesaj
  Konu Arama Konu Arama  Konu Seçenekleri Konu Seçenekleri
megabros Açılır Kutu Gör
Security Professional
Security Professional
Simge

Kayıt Tarihi: 08-06-2009
Konum: Turkey
Status: Aktif DeÄŸil
Points: 752 		Mesaj Seçenekleri Mesaj Seçenekleri   Thanks (0) Thanks(0)   Alıntı megabros Alıntı  Yanıt YazCevapla Mesajın Direkt Linki Konu: Çok Katmanlı ISO 27001 Süreci !
    Gönderim Zamanı: 10-06-2009 Saat 13:01

ISO/IEC 27001:2005 (bundan sonra ISO 27001 olarak anılacaktır) standardını daha iyi anlamasını sağlamaktır. Standartta bulunan çeşitli bilgilerin bir araya gelerek oluşturduğu büyük resmi görmeye ve anlamaya çalışacağız. Böylece tarif edilen Bilgi Güvenliği Yönetim Sistemi’ni (BGYS) çözmeye ve bu sistemi kurmak için çalışma yapan kurumlara yardımcı olmaya çalışacağız.

2. BGYS’de Süreç Yaklaşımı

İlk iş olarak şunu vurgulayalım: ISO 27001 standardı BGYS’nin süreçlerden oluşan bir sistem olarak algılanması gerektiğini vurgulamaktadır. Buna ilave olarak, BGYS’nin kendisi de bir süreçtir.

Peki “Süreç” nedir?
ISO 27001 standardına göre “Girdileri çıktıya çevirmek için kaynak kullanan ve yönetilen faaliyetler süreç sayılır”. Dolayısıyla sürecin
- Girdisi,
- Çıktısı,
- Girdiyi çıktıya dönüştürmekte kullandığı bilgisi ve yöntemi
olacaktır. Bunlara ilave olarak süreç çalışırken kaynak kullanacaktır. Peki standart “yönetilen faaliyet” ifadesi ile ne demek istemektedir? Biz bu ifade ile
- Yönetim tarafından tanımlanmış faaliyetin
- Yönetim tarafından atanmış sorumlular ve belirlenmiş roller uyarınca
gerçekleştirilmesini anlıyoruz. Her iki konu ISO 27001 ve ISO/IEC 27002:2005 standardında açıkça vurgulanmaktadır.

BGYS sürecinin girdisi “Bilgi güvenliği ihtiyaç ve beklentileri”, çıktısı “Yönetilen bilgi güvenliği”dir. Girdiyi çıktıya dönüştürmekte kullandığı bilgisi ve yöntemi de makalenin bundan sonraki başlıklarında anlatılmıştır.

3. Planla – Uygula – Kontrol Et – Önlem Al

Süreci meydana getiren faaliyetler dört adım altında toplanabilir. Bu dört adım PUKÖ (Planla-Uygula-Kontrol Et-Önlem Al) döngüsünü oluşturmaktadır. Bu adımlar ve standardın ilgili başlıkları aşağıdaki şekil ve tabloda görülmektedir.

 

Adım Standardın ilgili başlığı
Planla 4.2.1 BGYS’nin kurulması
Uygula 4.2.2 BGYS’nin gerçekleştirilmesi ve işletilmesi
Kontrol Et 4.2.3 BGYS’nin izlenmesi ve gözden geçirilmesi
Önlem Al 4.2.4 BGYS’nin sürekliliğinin sağlanması ve iyileştirilmesi

Tablo – 1: PUKÖ adımlarının standart alt başlıkları ile ilişkisi

Bu dört adımın gerçekleştirilmesi ile PUKÖ döngüsü tamamlanmış olmaktadır. Peki “Planlama” adımı sadece 4.2.1 başlığı altında mı anlatılmaktadır? Veya, “Kontrol Et” adımı 4.2.3 başlığından mı ibarettir? Her iki sorunun cevabının da “Hayır” olduğunu rahatlıkla söyleyebiliriz.
4.2 başlığı altında BGYS döngüsünün çok yoğun bir özeti yapılmaktadır. Bu başlık altından standardın “dokümantasyon gereksinimleri”, “yönetim sorumluluğu”, “iç tetkik”, hatta ISO 27002 kontrollerinin özetlendiği “Ek A. Kontrol Amaçları ve Kontroller” bölümlerine göndermeler yapılmaktadır. Bu bölümlerde de PUKÖ döngüsü altında bahsi geçen faaliyetler daha detaylı olarak açıklanmaktadır.

4. İcracılar: Kurum ve Yönetim

Peki bu faaliyetleri kim icra edecektir? Standart zaman zaman “Kurum..”, zaman zaman da “Yönetim..” “..aşağıdaki faaliyetleri gerçekleştirir” ifadesini kullanmaktadır. Yönetim kurumun dışında yer alan bir unsur olamayacağına göre “Yönetim” ifadesinden “Sadece Yönetim”, “Kurum” ifadesinden ise “Kurum içinde yönetim tarafından görevlendirilmiş birimler ve gerekiyorsa yönetim temsilcisi” anlaşılmalıdır. (2. Şekil)

 

Standart, “5 Yönetim Sorumluluğu” başlığı altında yönetimin sürecin tamamında devrede olduğunu çeşitli faaliyetler aracılığı ile ispat etmesi gerektiğini ifade ederek “Kurum” ve “Yönetim” kavramlarını yukarıdaki gibi tanımlamamızı sağlamaktadır.
Özetle “Yönetim”, tüm süreç boyunca devrede kalmakta, çeşitli adımlarda faaliyetler icra ederek veya kaynak sağlayarak BGYS sürecine katkıda bulunmaktadır.

“Kurum” ve “Yönetim” faaliyetlerine ilave olarak standartta dikkat çeken bir faaliyet türü de dokümantasyon ve kayıt çalışmalarıdır. Bu konu “4.3 Dokümantasyon ihtiyaçları” başlığı altında işlenmektedir. Bu başlık altında üretilmesi zorunlu olan dokümanların PUKÖ döngüsünün hangi faaliyetleri ile ilişkili olarak geliştirileceği ve dokümanlarla ilgili olarak yönetimin üstüne düşenler açıklanmaktadır.

5. Kurum, Yönetim ve Dokümantasyon faaliyetleri

PUKÖ döngüsünde mevcut herhangi bir kurum faaliyeti için bu faaliyete paralel olarak gerçekleştirilmesi gereken bir yönetim faaliyeti ve faaliyetlerin çoğu için oluşturulması gereken doküman veya kayıtlar mevcuttur. Örnek olarak “4.2.1.c Risk değerlendirme yaklaşımının tanımlanması” faaliyetini inceleyelim. Bu faaliyet ile ilgili olarak yönetimin 5.1.f başlığında belirtilen “Riskleri kabul etme ölçütlerini ve kabul edilebilir risk seviyelerini belirleme” faaliyetini gerçekleştirmesi beklenmektedir. Aynı faaliyetle ilgili olarak 4.3.1.d başlığında “Risk değerlendirme metodolojisi tanımı”nın doküman olarak oluşturulması gerektiği belirtilmektedir. (3. Şekil)

 

6. Yönetim ve dokümantasyonun oluşturduğu paralel döngüler

Standardın “4.2 BGYS’nin kurulması ve yönetilmesi” başlığı, esasen “PUKÖ döngüsü”nün tamamını içermekte, BGYS süreci çerçevesinde gerçekleştirilecek kurum faaliyetlerine değinirken yönetim faaliyetlerine ve dokümantasyona da göndermeler yapmaktadır. (Kurum faaliyetlerinin bir kısmı ise – “6 İç tetkik” ve “8 BGYS’nin iyileştirilmesi” – daha sonra detaylandırılmıştır.)
Ardından gelen 4.3 başlığı süreç boyunca üretilecek dokümanlara değinmekte, 5 ve 7 numaralı başlıklar ise yönetim faaliyetlerini açıklamaktadır.
Bu bölümlerin içerikleri PUKÖ döngüsüne eşlik eden yönetim ve dokümantasyon döngülerini tanımlamaktadır. Bu üç paralel döngünün bir araya gelmesiyle çok katmanlı BGYS süreci oluşmaktadır (4. Şekil).

 

Şekilde de görüldüğü gibi
- Yönetim faaliyetleri üst katmanı,
- Kurum faaliyetleri orta katmanı,
- Dokümantasyon ve kayıtlar ise alt katmanı oluşturmaktadır.
Bu aşamada ekleri hariç 13 sayfadan ibaret olan ISO 27001 standardının hangi katmana ne kadar yer ayırdığına ve bunların sırasına da bir göz atalım. (5. Şekil ve 2. Tablo) Daha detaylı bilgi için bu makalenin ekinde bulunan ISO 27001 standardının “İçindekiler” bölümünü inceleyebilirsiniz.

Şekil – 5: Sıra ve sayfa sayısına göre ISO 27001 başlıkları

ISO 27001 Referansı İçerik Sayfa Adedi Ağırlık
4.2, 6 ve 8 Kurum faaliyetleri 5 %38
5 ve 7 Yönetim faaliyetleri 2 %14
4.3 Dokümantasyon ve kayıt 1.5 %11

Tablo – 2: Kurum faaliyetleri, yönetim faaliyetleri ve dokümantasyonun standart alt başlıkları ile ilişkisi

Yukarıdaki şekilde kırmızı ve turuncu tonlarla belirtilen bölümler yönetim, mavinin tonlarıyla belirtilen bölümler kurum, yeşil bölümler ise dokümantasyon katmanına ait faaliyetlere değinmektedir.

BGYS sürecinin her aşamasında üç katmanda birden faaliyet yürütüldüğünü söylemek mümkün olmasa da çoğunlukla mümkündür. Örneğin yönetim katmanının katkısının bazı aşamalarda kaynak tedarik etmekten ibaret olduğunu, diğer bazı aşamalar için ise standardın doküman talep etmediğini söylemek mümkündür. Buna rağmen sürecin tamamınında her üç katmanda da yerine getirilmesi gereken sorumlulukların bulunduğu, dolayısıyla 4. Şekil’de resmedilen çok katmanlı BGYS döngüsünün bilgi güvenliği sürecine ilişkin hayli gerçekçi bir model oluşturduğu kanısındayız.

Çok katmanlı yapıların hemen hepsinde olduğu gibi burada da üst katmanın çıktısı bir alttaki katmanın girdisini oluşturmakta, kurum faaliyetlerinin sonucunda oluşan dokümantasyon ise çoğunlukla sürecin bir sonraki faaliyeti için girdi olmaktadır.

Örnek olarak tekrar 3. Şekle dönecek olursak,
Bir yönetim faaliyeti olan kabul edilebilir risk seviyesinin belirlenmesi (5.1.f), kurum faaliyeti olan risk değerlendirme yaklaşımının belirlenmesine (4.2.1.c) girdi oluşturmakta, bu faaliyet sonucunda dokümantasyon katmanında yer alan risk metodoloji belgesi (4.3.1.d) üretilmektedir. Bu doküman, sürecin bir sonraki faaliyeti olan risk analizi çalışmaları (4.2.1.d-f) için girdi oluşturmaktadır.

7. Katmanlar arası senkronizasyon ve BGYS süreç özeti

Standartta bulunan tüm göndermelerin incelenmesi ile farklı katmanlardaki faaliyetlerin ilişkilendirilmesi ve katmanlar arası senkronizasyonun sağlanması mümkün olabilir. Böylece 5. şekilde ve 2. tabloda görüldüğü üzere standartta karışık olarak yer alan BGYS sürecinin tüm katman ve faaliyetlerini tek şekilde özetlemek mümkün olacaktır. (Bu özet şekil-7’de gösterilmiştir.) Ancak önce bunu nasıl yapacağımızı açıklayalım. 6. Şekil esasen 4. Şeklin detaylandırılmaya başlanmış versiyonu olmakla birlikte yer darlığı yüzünden 4. şekildeki derinlik ve çok katmanlı yapı duygusunu verememektedir.

 

Standartta yer alan tüm faaliyetlerin detaylı BGYS döngüsüne yerleştirilmesi ile hem süreçte yer alan faaliyetlerin tamamı, hem de bu faaliyetler arasındaki ilişkiler gözler önüne serilmektedir. (7. Şekil)

 

8. Sonuç

Yönetim desteği ve dokümantasyon ISO 27001 standardında tarif edilen BGYS sürecinin olmazsa olmazlarındandır. Süreci oluşturan faaliyetlerin yönetim ve dokümantasyon boyutlarının da sürece paralel ve vazgeçilmez katmanlar olarak algılanması BGYS’nin başarı ile uygulanma şansını arttıracaktır.

Saygılar..

Düzenleyen megabros - 10-06-2009 Saat 13:01
Yukarı Dön
 Yanıt Yaz Yanıt Yaz

Forum Atla Forum İzinleri Açılır Kutu Gör



Bu Sayfa 0.188 Saniyede Yüklendi.