BS7799 Bilgi Güvenliði Yönetim Sistemi
- Ýþletmeniz için büyük önem teþkil eden bilgilere üçüncü taraflarýn ya da rakiplerinizin ulaþýmý ne kadar kolay?
- Sahip olduðunuz bu önemli varlýðý, "bilgi” 'yi nasýl koruyorsunuz? Bunun için bir sisteminiz var mý?
Bu sorularýn cevabý yakýn zamanda tek bir noktada birleþecek gibi görünmekte. Çünkü günümüzde bilginin korunmasýný amaçlayan BS 7799 Bilgi Güvenliði Yönetim Sistemi standardýnýn kullanýmý hýzla artýyor.
Bugün kullandýðýmýz yönetim sistemi standartlarýnýn yaratýcýsý olan BSI, yeni ürünü ile ilgili çalýþmalarýna hýz verdi. 1979 yýlýnda BS 5750 adýyla yayýnladýðý bugünün ISO 9001 Kalite Yönetim Sistemi standardýný, 1992 yýlýnda BS 7750 adýyla yayýnladýðý bugünün ISO 14001 Çevre Yönetim Sistemi standardýný, 1996 yýlýnda BS 8800 adýyla yayýnladýðý bugünkü OHSAS 18001 Ýþ Saðlýðý ve Güvenliði Yönetim Sistemi spesifikasyonunu hazýrlayan BSI, bugün BS 7799:2002 revizyonu uygulamada olan ve ilk olarak 1995 yýlýnda yayýnladýðý BS 7799 Bilgi Güvenliði Yönetim Sistemi Uygulama Örnekleri ile geleceði þekillendirmeye devam ediyor.
BS7799 Bilgi Güvenliði Yönetim Sistemi
Bir iþletmenin kurumsal varlýklarý nelerdir?
Finansal varlýklar, binalar, otomobiller, üretim makineleri, çalýþanlar, çalýþma masalarý, vs. Bu listede olmayan ancak kurumsal varlýklar arasýnda belki en önemlisi ve kaybedildiðinde tekrar kazanýlmasý en zor olaný “kurumsal bilgi” dir.
Kurumsal bilgi pek çok farklý þekilde oluþabilir, depolanabilir, saklanabilir ve daðýtýlabilir. Örneðin firmalarýn bilgisayarlarýnda, çalýþanlarýn hafýzasýnda, çalýþma masalarý üzerindeki kaðýtlarda ve evraklarda, faks makinelerinde hatta çöp kutularýnda ve öðle yemeklerinde yapýlan sohbetlerin içeriðinde bile tahmin edemeyeceðiniz kadar önemli ve büyük boyutta bilgi bulunmaktadýr.
- Peki iþletmeniz için büyük önem teþkil eden bilgilere üçüncü taraflarýn ya da rakiplerinizin ulaþýmý ne kadar kolay?
- Sahip olduðunuz bu önemli varlýðý - “bilgi” yi - nasýl koruyorsunuz?
- Bunun için bir sisteminiz var mý?
Bu sorularýn cevabý yakýn zamanda tek bir noktada birleþecek gibi görünmekte. Çünkü günümüzde bilginin korunmasýný amaçlayan BS 7799 Bilgi Güvenliði Yönetim Sistemi standardýnýn kullanýmý hýzla artýyor. Bilginin güvenliði son yýllara kadar iþletmelerin Bilgi Teknolojileri Departmanlarýna verilmiþ bir görev olarak algýlanmaktaydý. Ancak, bilginin korunmasý bir iþletmenin tüm bölümlerinin, tüm çalýþanlarýnýn görevidir. Bunun gerçekleþmesi ise bilgi güvenliði yönetim sisteminin uygulanmasý ve sürdürülmesi ile mümkün olmaktadýr.
BSI–British Standards Institution tarafýndan geliþtirilmiþ olan bu standardýn geliþimini aþaðýdaki gibi özetleyebiliriz.
1993 – Uygulanabilirlik Þartnamesi (Code of Practice)
1995 – Ýngiliz Standardý (British Standard )
1998 – BS 7799 Bölüm 2 (BGYS için gereklilikler)
1999 – BS 7799 Bölüm 1 ve güncellenmiþ Bölüm 2 (Tutarlý çift)
2000 – BS ISO/IEC 17799: 2000 (BS 7799-1: 2000)
2002 – BS 7799-2: 2002
BS 7799 Bölüm 1; 2000 yýlýnda Uluslararasý Standardizasyon Kurumu tarafýndan tanýndý ve BS ISO/IEC 17799:2000 olarak yayýnlandý.
Ýkinci bölüm hâlâ BS 7799-Bölüm 2 olarak kullanýlmaktadýr.
BS ISO/IEC 17799:2000; bilgi güvenliði yönetim sistemini kurmak için iþletmelere kýlavuz görevi görecek nitelikte bir dokümandýr.
BS 7799-2 Ek A’daki kontrollerin nasýl uygulanacaðýna yönelik detaylý açýklamalar içermektedir.
Toplam 12 bölümden oluþan standardýn bölümleri aþaðýdaki gibidir.
01. Kapsam
02. Terimler ve tarifler
03. Güvenlik politikasý
04. Örgütsel güvenlik
05. Varlýk sýnýflandýrmasý ve denetimi
06. Personel güvenliði
07. Fiziki ve çevresel güvenlik
08. Ýletiþim ve iþletim yönetimi
09. Eriþim kontrolü
10. Sistem geliþtirilmesi ve devam ettirilmesi
11. Ýþ sürekliliði yönetimi
12. Uygunluk
ISO 17799 temelinde bilginin aþaðýdaki niteliklerinin korunmasý yatmaktadýr.
Gizlilik: Bilginin sadece eriþim izni olanlar için eriþilebilir olmasýnýn saðlanmasý,
Bütünlük: Bilginin ve bilgi iþleme yöntemlerinin yeterliliðinin ve doðruluðunun saðlanmasý,
Ulaþýlabilirlik: Yetkisi olan kullanýcýlarýn gerekli olduðunda bilgiye ve iliþkili varlýklara ulaþmasýnýn saðlanmasý.
BS 7799-2 ise; Bilgi Güvenliði Yönetim Sisteminin kurulmasý, uygulanmasý ve dökümante edilmesi için gereklilikleri tanýmlar, organizasyonlarca ihtiyaç duyulan güvenlik kontrollerini içerir. Belgelendirme BS 7799–2’ ye göre gerçekleþtirilir.
BS 7799-2 standardý 2002’de gerçekleþtirilen güncelleme ile diðer yönetim sistemi standartlarý ile daha uyumlu hale getirilmiþtir. Diðer yönetim sistemi standartlarý ile benzerlik gösteren iki temel nokta süreç yönetimi yaklaþýmý ve PUKÝ (Planla-Uygula-Kontrol Et-Ýyileþtir) döngüsü olarak bilinen modeldir.
Bilgi güvenliði yönetim sisteminin uygulanmasýnda süreç yönetimi yaklaþýmýnýn benimsenmesi ile özellikle aþaðýdaki konularda fayda saðlanmaktadýr;
- Süreçlerin tanýmlanmasý
- Süreçlerin belirlenmesi yoluyla firma varlýklarýnýn ve dolayýsýyla korunmasý hedeflenen bilginin belirlenmesi
- Bilgi Güvenliði Yönetim Sistemi kapsamýnýn belirlenmesi
- Bilgi Güvenliði Yönetim Sistemi politikasýnýn ve hedeflerinin belirlenmesi
- Varlýk sahiplerinin ve sorumluluklarýnýn belirlenmesi
- Risklerin yönetimi için uygulanacak kontrollerin belirlenmesi
- Bilgi Güvenliði Yönetim Sistemi’nin etkinliðinin ölçülmesi
- Ýzleme ve ölçüm sonuçlarýna baðlý olarak sürekli iyileþtirmenin yapýlmasý
"Planla-Uygula-Kontrol Et-Ýyileþtir" (PUKÝ) olarak bilinen model Bilgi Güvenliði Yönetim Sisteminin de temellerinden birisidir. BS 7799-2 açýsýndan bu döngüyü incelediðimizde standart gerekliliklerini aþaðýdaki gibi bu döngüye yerleþtirebiliriz.
"Planla" aþamasýnýn kapsamý :
- Bilgi Güvenliði Yönetim Sistemi kapsamýnýn belirlenmesi.
- Bilgi Güvenliði Yönetim Sistemi politikasýnýn belirlenmesi.
- Hedeflerin belirlenmesi.
- Risklerin belirlenmesi.
- Risklerin deðerlendirilmesi.
- Kontrol hedeflerinin ve kontrollerin seçilmesi.
- Uygulanabilirlik Þartnamesinin hazýrlanmasý.
"Uygula" aþamasýnýn kapsamý :
- Risk Deðerlendirme/Saðaltým (Treatment) Planýnýn hazýrlanmasý.
- Risk Deðerlendirme/Saðaltým (Treatment) Planýnýn uygulanmasý.
- Kontrol hedeflerine göre seçilmiþ kontrollerin uygulanmasý.
"Kontrol Et" aþamasýnýn kapsamý :
- Gözetim süreçlerini uygulamak.
- Planlanmýþ aralýklarla Bilgi Güvenliði Yönetim Sistemi iç denetimlerini gerçekleþtirmek.
- Bilgi Güvenliði Yönetim Sisteminin etkinliðini belli aralýklarla ölçmek ve deðerlendirmek.
- Kalan risk seviyesini ve kabul edilebilir risk seviyesini gözden geçirmek.
"Ýyileþtir" aþamasýnýn kapsamý :
- Belirlenmiþ iyileþtirmeleri uygulamak.
- Gerekli düzeltici ve önleyici faaliyetleri uygulamak.
- Sonuçlarýn ve yapýlan iþlemlerin iletiþimini saðlamak.
- Ýyileþtirmelerin düþünülmüþ hedeflere ulaþýp ulaþmadýðýný deðerlendirmek.
Ýþletmelerin BS 7799 belgelendirmesine olan talebi her geçen gün artmaktadýr. Ýlk BSI 7799 belgelendirmesi 1999 yýlýnda BSI tarafýndan gerçekleþtirilmiþtir. Belge alan ilk kuruluþ Ýngiltere’de bulunan "The Co-Operative Bank" isimli e-bankacýlýk yapan bir iþletmedir. Þimdilerde dünyada BS 7799 belgesine sahip 1000’in üzerinde firma bulunmaktadýr. Türkiye’de BS 7799–2 belgeli firma sayýsý henüz bir elin parmaklarý kadar ancak önümüzdeki yýllarda çok sayýda BS 7799–2 belgelendirmesinin yapýlmasý beklenmektedir.
Saygýlar.
|