Bilgi Güvenliği Yönetim Sistemleri Standartları

   Bilgi Güvenliği Yönetim Sistemleri Standartları

Bilgi ve iletişimin büyük bir önem kazandığı dünyada şirketlerin verimliliklerini artırabilmeleri, pazarda etkin rol oynamaları, müşteri ve pazar paylarını artırmaları ve rekabet üstünlüğü sağlayabilmeleri için bilgi edinme ve bilgileri işleme konusunda gerekli teknolojileri kullanmaları, süreçlerini bilgi yönetimine göre şekillendirmeleri ve insan kaynaklarını bu yönde yetiştirmeleri gerekmektedir.

Geleneksel iş dünyasında IT sistemlerine gittikçe artan bağımlılık, bilişim dünyasının sunduğu olanaklar ve tüm bunların getirdiği iş fırsatları ve riskler ister istemez “bilgi” kavramının da yönetimsel bir yaklaşımla stratejik seviyede ele alınmasına ve kurumları bu alanda sistem yaklaşımları kurmaya zorlamıştır.

İşte 1990’lı yılların ortalarına doğru İngiltere’de bazı endüstriyel kuruluşların talepleri ve BSI (İngiliz Standartlar Enstitüsü) girişimleri ile temelleri atılan Bilgi Güvenliği Standartları BS7799 altında ortaya çıkmıştır. 1995 yılında BS7799 olarak yayınlanan standart daha sonra iki kısma ayrılarak BS7799-2:1998 ve BS7799-1:1999 olarak yayınlanmıştır.

Uluslararası Standartlar Komitesi (ISO:International Organization for Standardization) ise Bilgi Güvenliği ile ilgili standardın birinci bölümünü 2000 yılında ISO 17799 olarak yayınlamıştır. Bununla birlikte ISO tarafından IT Güvenlik standartları ile ilgili çalışmalar 
JTC 1 (Joint Technical Committee) Bilişim Teknolojileri komitesine bağlı SC 27: IT Güvenlik Teknikleri alt komisyonunda ele alınmaktadır. Bu komisyon içinde üç ayrı çalışma grubu (Working Group) bulunmakta ve her biri farklı konularda standartlar hazırlamaktadır. Bu çalışma grupları ve konuları aşağıdaki gibidir;

• WG1:Güvenlik Yönetimi (Security Management) 
• WG2:Kriptografi Teknikleri (Cryptograhic Techniques)
• WG3:IT Ürünleri ve sistemleri için güvenlik değerlendirme (Security Evaluation of IT Products and Systems)

SC27’ye bağlı çalışma gruplarından WG1, ISO/IEC 17799 ile ilgili çalışmaları yürütmektedir. “Bilgi Güvenliği Yönetimi İçin Uygulama Prensipleri”ni içeren standardın son gözden geçirmeleri (FDIS) 2004 Ekim’de tamamlanmıştır, yeni versiyonun 2005 yılının ortalarına doğru yayınlanması planlanmaktadır. Türk Standartları Enstitüsü tarafından TS ISO/IEC 17799 Kasım 2002’de yayınlanmış olup, tetkiklerde kullanılan BS7799-2 standardının karşılığı olan TS 17799-2 “Bilgi Güvenliği Yönetim Sistemleri – Özellikler ve Kullanım Kılavuzu” Şubat 2005 ‘de yayınlanmıştır.

Temel olarak endüstri, devlet ve ticari kuruluşlar tarafından ortak bir güvenlik modeli oluşturulmasına yönelik talepler doğrultusunda geliştirilen BS7799 Bilgi Güvenliği standardı esasen ISO/IEC TR 13335 (IT Güvenliği Yönetimi için kılavuz) ve ISO/IEC 15408 (IT Güvenliği için Değerlendirme Kriterleri) baz alınarak hazırlanmıştır. Standartlar arası etkileşim aşağıdaki şekilde verilmiştir.

Sertifikasyona esas kurallar standardın ikinci kısmında bulunduğu için halen sadece BS 7799-2 sertifikası verilmektedir. ISO 17799 bir referans standardı olarak kullanılmaktadır. ISO 17799-2 standardı ile ilgili çalışmalar halen yürütülmektedir. Sertifikaya temel teşkil eden BS 7799-2:2002 standardının Ek-A bölümüde 10 ana başlık altında 36 konu ve toplam 127 güvenlik kriteri sorgulanmaktadır. Ek-B bölümünde Standard için kullanma kılavuzu, Ek-C bölümünde ise, ISO9001, ISO14001 ve BS 7799-2 başlıklarının karşılaştırması verilmiştir.

2002 yılında değişikliğe uğrayan BS7799-2’de en göze çarpan özellik diğer yönetim sistemi standartlarında (ISO 9001, ISO14001) olduğu gibi “Planla-Uygula-Kontrol et-Önlem al” PUKÖ döngüsünün (PDCA Model: Plan-Do-Check-Act) sisteme entegre edilmiş olmasıdır.

Şirketlerde ISMS Bilgi Güvenliği Yönetim Sistemi (Information Security Management System) kurulmasına yönelik olarak dört temel özelliği içeren bu tür bir yönetim sisteminin temel adımları aşağıda belirtilmiştir;

ISMS = Bilgi Güvenliği Yönetim Sistemi

PLANLA
- ISMS kapsamının belirlenmesi
- ISMS politikasının belirlenmesi
- Kontrol alanlarını ve risklerin azaltılması için gerekli kontrolleri belirle
- Uygunluk beyanını (Statement of applicability=SoA) hazırla

UYGULA
- Risk azaltma planı oluştur
- Riskleri azaltıcı çalışmaları başlat
- Hedeflere ulaşmak için belirlenmiş kontroller yap

KONTROL ET
- ISMS etkinliğini periyodik olarak gözden geçir
- Artık ve kabul edilebilir risk seviyelerini gözden geçir
- Planlanan periyodlarda dahili ISMS denetimlerini yürüt

ÖNLEM AL
- Belirlenen geliştirmeleri uygula
- Uygun düzeltici ve önleyici çalışmaları yap
- Kontrol sonuçlarını ve düzeltici faaliyetleri tüm ilgili taraflara bildir
- Sürekli gelişmeyi sağla

ISMS Standardında yapılacak yeni düzenlemeler; 
• ISO/IEC JTC 1/SC27 komitesinin BS 7799 standardını temel alarak taslağını hazırladığı ISMS final dokümanının 2005 içinde yayınlanması planlanmaktadır. 
• ISO/IEC 17799 kullanımında ISMS standardının Ek-A bölümündeki şartlar dikkate alınacaktır. 
• Yeni metrikler ve ölçüm standartları ISMS kapsamında belirlenmiştir. 
• Kontrol kriterleri sayısı 127’den 135’e çıkmaktadır.
• ISO/IEC TR 13335 serisi standartlar kompakt bir yapı kazanarak ISMS organizasyonu, risk yönetimi modelleme, risk değerlendirme teknikleri için kullanılacaktır. Buna göre ISO IEC TR dokümanları aşağıdaki şekilde gruplanmaktadır; 
1. IS 13335-1 Konseptler ve Modeller
2. IS 13335-2 Bilgi Güvenliğinde Risk Yönetimi Teknikleri

Buna göre, Bilgi Güvenliği Yönetim Sistemi (ISMS) kurulmasında; ISO/IEC 17799, ISMS metrikleri, IS 13335-1 ve IS 13335-2 ile birlikte bir bütünlük içinde dikkate alınacaktır. Bunun yanı sıra yine standardın servis ve teknoloji arayüzü ile ilgili IT servis ve sitem güveliği (SLA, sözleşme vb) çerçevesinde, iş ortakları ve tedarikçilerle ilgili olarak ISMS’yi destekleyen süreçlerin ve bununla ilgili kontrollerin amaca uygun bir (fit-for-purpose) yaklaşım -müşteri ve tedarikçi güvenliği boyutlarında- içinde dikkate alınması öngörülmektedir.

Saygılar.

Yazar	Mesaj Konu Arama Konu SeÃ§enekleri YanÄ±t Yaz Yeni Konu OluÅŸtur Konuyu YazdÄ±r Translate Konu
megabros Ãœye Profili Ã–zel Mesaj Yolla Ãœyenin MesajlarÄ±nÄ± Bul ArkadaÅŸ Listeme Ekle Security Professional KayÄ±t Tarihi: 08-06-2009 Konum: Turkey Status: Aktif DeÄŸil Points: 752	Mesaj SeÃ§enekleri YanÄ±t Yaz AlÄ±ntÄ± megabros Bu mesaj kurallara aykÄ±rÄ±ysa buradan yÃ¶neticileri bilgilendirebilirsiniz. Thanks(0) AlÄ±ntÄ± Cevapla Konu: Bilgi Güvenliği Yönetim Sistemleri Standartları GÃ¶nderim ZamanÄ±: 28-03-2011 Saat 10:06
	Bilgi Güvenliği Yönetim Sistemleri Standartları Bilgi ve iletişimin büyük bir önem kazandığı dünyada şirketlerin verimliliklerini artırabilmeleri, pazarda etkin rol oynamaları, müşteri ve pazar paylarını artırmaları ve rekabet üstünlüğü sağlayabilmeleri için bilgi edinme ve bilgileri işleme konusunda gerekli teknolojileri kullanmaları, süreçlerini bilgi yönetimine göre şekillendirmeleri ve insan kaynaklarını bu yönde yetiştirmeleri gerekmektedir. Geleneksel iş dünyasında IT sistemlerine gittikçe artan bağımlılık, bilişim dünyasının sunduğu olanaklar ve tüm bunların getirdiği iş fırsatları ve riskler ister istemez “bilgi” kavramının da yönetimsel bir yaklaşımla stratejik seviyede ele alınmasına ve kurumları bu alanda sistem yaklaşımları kurmaya zorlamıştır. İşte 1990’lı yılların ortalarına doğru İngiltere’de bazı endüstriyel kuruluşların talepleri ve BSI (İngiliz Standartlar Enstitüsü) girişimleri ile temelleri atılan Bilgi Güvenliği Standartları BS7799 altında ortaya çıkmıştır. 1995 yılında BS7799 olarak yayınlanan standart daha sonra iki kısma ayrılarak BS7799-2:1998 ve BS7799-1:1999 olarak yayınlanmıştır. Uluslararası Standartlar Komitesi (ISO:International Organization for Standardization) ise Bilgi Güvenliği ile ilgili standardın birinci bölümünü 2000 yılında ISO 17799 olarak yayınlamıştır. Bununla birlikte ISO tarafından IT Güvenlik standartları ile ilgili çalışmalar JTC 1 (Joint Technical Committee) Bilişim Teknolojileri komitesine bağlı SC 27: IT Güvenlik Teknikleri alt komisyonunda ele alınmaktadır. Bu komisyon içinde üç ayrı çalışma grubu (Working Group) bulunmakta ve her biri farklı konularda standartlar hazırlamaktadır. Bu çalışma grupları ve konuları aşağıdaki gibidir; • WG1:Güvenlik Yönetimi (Security Management) • WG2:Kriptografi Teknikleri (Cryptograhic Techniques) • WG3:IT Ürünleri ve sistemleri için güvenlik değerlendirme (Security Evaluation of IT Products and Systems) SC27’ye bağlı çalışma gruplarından WG1, ISO/IEC 17799 ile ilgili çalışmaları yürütmektedir. “Bilgi Güvenliği Yönetimi İçin Uygulama Prensipleri”ni içeren standardın son gözden geçirmeleri (FDIS) 2004 Ekim’de tamamlanmıştır, yeni versiyonun 2005 yılının ortalarına doğru yayınlanması planlanmaktadır. Türk Standartları Enstitüsü tarafından TS ISO/IEC 17799 Kasım 2002’de yayınlanmış olup, tetkiklerde kullanılan BS7799-2 standardının karşılığı olan TS 17799-2 “Bilgi Güvenliği Yönetim Sistemleri – Özellikler ve Kullanım Kılavuzu” Şubat 2005 ‘de yayınlanmıştır. Temel olarak endüstri, devlet ve ticari kuruluşlar tarafından ortak bir güvenlik modeli oluşturulmasına yönelik talepler doğrultusunda geliştirilen BS7799 Bilgi Güvenliği standardı esasen ISO/IEC TR 13335 (IT Güvenliği Yönetimi için kılavuz) ve ISO/IEC 15408 (IT Güvenliği için Değerlendirme Kriterleri) baz alınarak hazırlanmıştır. Standartlar arası etkileşim aşağıdaki şekilde verilmiştir. Sertifikasyona esas kurallar standardın ikinci kısmında bulunduğu için halen sadece BS 7799-2 sertifikası verilmektedir. ISO 17799 bir referans standardı olarak kullanılmaktadır. ISO 17799-2 standardı ile ilgili çalışmalar halen yürütülmektedir. Sertifikaya temel teşkil eden BS 7799-2:2002 standardının Ek-A bölümüde 10 ana başlık altında 36 konu ve toplam 127 güvenlik kriteri sorgulanmaktadır. Ek-B bölümünde Standard için kullanma kılavuzu, Ek-C bölümünde ise, ISO9001, ISO14001 ve BS 7799-2 başlıklarının karşılaştırması verilmiştir. 2002 yılında değişikliğe uğrayan BS7799-2’de en göze çarpan özellik diğer yönetim sistemi standartlarında (ISO 9001, ISO14001) olduğu gibi “Planla-Uygula-Kontrol et-Önlem al” PUKÖ döngüsünün (PDCA Model: Plan-Do-Check-Act) sisteme entegre edilmiş olmasıdır. Şirketlerde ISMS Bilgi Güvenliği Yönetim Sistemi (Information Security Management System) kurulmasına yönelik olarak dört temel özelliği içeren bu tür bir yönetim sisteminin temel adımları aşağıda belirtilmiştir; ISMS = Bilgi Güvenliği Yönetim Sistemi PLANLA - ISMS kapsamının belirlenmesi - ISMS politikasının belirlenmesi - Kontrol alanlarını ve risklerin azaltılması için gerekli kontrolleri belirle - Uygunluk beyanını (Statement of applicability=SoA) hazırla UYGULA - Risk azaltma planı oluştur - Riskleri azaltıcı çalışmaları başlat - Hedeflere ulaşmak için belirlenmiş kontroller yap KONTROL ET - ISMS etkinliğini periyodik olarak gözden geçir - Artık ve kabul edilebilir risk seviyelerini gözden geçir - Planlanan periyodlarda dahili ISMS denetimlerini yürüt ÖNLEM AL - Belirlenen geliştirmeleri uygula - Uygun düzeltici ve önleyici çalışmaları yap - Kontrol sonuçlarını ve düzeltici faaliyetleri tüm ilgili taraflara bildir - Sürekli gelişmeyi sağla ISMS Standardında yapılacak yeni düzenlemeler; • ISO/IEC JTC 1/SC27 komitesinin BS 7799 standardını temel alarak taslağını hazırladığı ISMS final dokümanının 2005 içinde yayınlanması planlanmaktadır. • ISO/IEC 17799 kullanımında ISMS standardının Ek-A bölümündeki şartlar dikkate alınacaktır. • Yeni metrikler ve ölçüm standartları ISMS kapsamında belirlenmiştir. • Kontrol kriterleri sayısı 127’den 135’e çıkmaktadır. • ISO/IEC TR 13335 serisi standartlar kompakt bir yapı kazanarak ISMS organizasyonu, risk yönetimi modelleme, risk değerlendirme teknikleri için kullanılacaktır. Buna göre ISO IEC TR dokümanları aşağıdaki şekilde gruplanmaktadır; 1. IS 13335-1 Konseptler ve Modeller 2. IS 13335-2 Bilgi Güvenliğinde Risk Yönetimi Teknikleri Buna göre, Bilgi Güvenliği Yönetim Sistemi (ISMS) kurulmasında; ISO/IEC 17799, ISMS metrikleri, IS 13335-1 ve IS 13335-2 ile birlikte bir bütünlük içinde dikkate alınacaktır. Bunun yanı sıra yine standardın servis ve teknoloji arayüzü ile ilgili IT servis ve sitem güveliği (SLA, sözleşme vb) çerçevesinde, iş ortakları ve tedarikçilerle ilgili olarak ISMS’yi destekleyen süreçlerin ve bununla ilgili kontrollerin amaca uygun bir (fit-for-purpose) yaklaşım -müşteri ve tedarikçi güvenliği boyutlarında- içinde dikkate alınması öngörülmektedir. Saygılar.