Bilginin Adresi Ana Sayfa
Forum Anasayfası Forum Anasayfası > Bilgisayar Güvenliği / Computer Security > Güvenlik / Security Makaleleri
  Aktif Konular Aktif Konular RSS - 799 Bilgi Güvenliği Yönetim Sistemi
  SSS SSS  Forumu Ara   Events   Kayıt Ol Kayıt Ol  GiriÅŸ GiriÅŸ

799 Bilgi Güvenliği Yönetim Sistemi

 Yanıt Yaz Yanıt Yaz
Yazar
Mesaj
megabros Açılır Kutu Gör
Security Professional
Security Professional
Simge

Kayıt Tarihi: 08-06-2009
Konum: Turkey
Status: Aktif DeÄŸil
Points: 752
Mesaj Seçenekleri Mesaj Seçenekleri   Thanks (0) Thanks(0)   Alıntı megabros Alıntı  Yanıt YazCevapla Mesajın Direkt Linki Konu: 799 Bilgi Güvenliği Yönetim Sistemi
    Gönderim Zamanı: 28-03-2011 Saat 09:59
BS7799 Bilgi Güvenliği Yönetim Sistemi

- İşletmeniz için büyük önem teşkil eden bilgilere üçüncü tarafların ya da rakiplerinizin ulaşımı ne kadar kolay?
- Sahip olduğunuz bu önemli varlığı, "bilgi” 'yi nasıl koruyorsunuz? Bunun için bir sisteminiz var mı?

Bu soruların cevabı yakın zamanda tek bir noktada birleşecek gibi görünmekte. Çünkü günümüzde bilginin korunmasını amaçlayan BS 7799 Bilgi Güvenliği Yönetim Sistemi standardının kullanımı hızla artıyor.


Bugün kullandığımız yönetim sistemi standartlarının yaratıcısı olan BSI, yeni ürünü ile ilgili çalışmalarına hız verdi. 1979 yılında BS 5750 adıyla yayınladığı bugünün ISO 9001 Kalite Yönetim Sistemi standardını, 1992 yılında BS 7750 adıyla yayınladığı bugünün ISO 14001 Çevre Yönetim Sistemi standardını, 1996 yılında BS 8800 adıyla yayınladığı bugünkü OHSAS 18001 İş Sağlığı ve Güvenliği Yönetim Sistemi spesifikasyonunu hazırlayan BSI, bugün BS 7799:2002 revizyonu uygulamada olan ve ilk olarak 1995 yılında yayınladığı BS 7799 Bilgi Güvenliği Yönetim Sistemi Uygulama Örnekleri ile geleceği şekillendirmeye devam ediyor.

BS7799 Bilgi Güvenliği Yönetim Sistemi

Bir işletmenin kurumsal varlıkları nelerdir?
Finansal varlıklar, binalar, otomobiller, üretim makineleri, çalışanlar, çalışma masaları, vs. Bu listede olmayan ancak kurumsal varlıklar arasında belki en önemlisi ve kaybedildiğinde tekrar kazanılması en zor olanı “kurumsal bilgi” dir.

Kurumsal bilgi pek çok farklı şekilde oluşabilir, depolanabilir, saklanabilir ve dağıtılabilir. Örneğin firmaların bilgisayarlarında, çalışanların hafızasında, çalışma masaları üzerindeki kağıtlarda ve evraklarda, faks makinelerinde hatta çöp kutularında ve öğle yemeklerinde yapılan sohbetlerin içeriğinde bile tahmin edemeyeceğiniz kadar önemli ve büyük boyutta bilgi bulunmaktadır.

- Peki işletmeniz için büyük önem teşkil eden bilgilere üçüncü tarafların ya da rakiplerinizin ulaşımı ne kadar kolay?
- Sahip olduğunuz bu önemli varlığı - “bilgi” yi - nasıl koruyorsunuz?
- Bunun için bir sisteminiz var mı?

Bu soruların cevabı yakın zamanda tek bir noktada birleşecek gibi görünmekte. Çünkü günümüzde bilginin korunmasını amaçlayan BS 7799 Bilgi Güvenliği Yönetim Sistemi standardının kullanımı hızla artıyor. Bilginin güvenliği son yıllara kadar işletmelerin Bilgi Teknolojileri Departmanlarına verilmiş bir görev olarak algılanmaktaydı. Ancak, bilginin korunması bir işletmenin tüm bölümlerinin, tüm çalışanlarının görevidir. Bunun gerçekleşmesi ise bilgi güvenliği yönetim sisteminin uygulanması ve sürdürülmesi ile mümkün olmaktadır.

BSI–British Standards Institution tarafından geliştirilmiş olan bu standardın gelişimini aşağıdaki gibi özetleyebiliriz.

1993 – Uygulanabilirlik Şartnamesi (Code of Practice)
1995 – İngiliz Standardı (British Standard )
1998 – BS 7799 Bölüm 2 (BGYS için gereklilikler)
1999 – BS 7799 Bölüm 1 ve güncellenmiş Bölüm 2 (Tutarlı çift)
2000 – BS ISO/IEC 17799: 2000 (BS 7799-1: 2000)
2002 – BS 7799-2: 2002

BS 7799 Bölüm 1; 2000 yılında Uluslararası Standardizasyon Kurumu tarafından tanındı ve BS ISO/IEC 17799:2000 olarak yayınlandı.
İkinci bölüm hâlâ BS 7799-Bölüm 2 olarak kullanılmaktadır.

BS ISO/IEC 17799:2000; bilgi güvenliği yönetim sistemini kurmak için işletmelere kılavuz görevi görecek nitelikte bir dokümandır.
BS 7799-2 Ek A’daki kontrollerin nasıl uygulanacağına yönelik detaylı açıklamalar içermektedir.

Toplam 12 bölümden oluşan standardın bölümleri aşağıdaki gibidir.

01. Kapsam
02. Terimler ve tarifler
03. Güvenlik politikası
04. Örgütsel güvenlik
05. Varlık sınıflandırması ve denetimi
06. Personel güvenliği
07. Fiziki ve çevresel güvenlik
08. İletişim ve işletim yönetimi
09. Erişim kontrolü
10. Sistem geliştirilmesi ve devam ettirilmesi
11. İş sürekliliği yönetimi
12. Uygunluk


ISO 17799 temelinde bilginin aşağıdaki niteliklerinin korunması yatmaktadır.

Gizlilik: Bilginin sadece erişim izni olanlar için erişilebilir olmasının sağlanması,

Bütünlük: Bilginin ve bilgi işleme yöntemlerinin yeterliliğinin ve doğruluğunun sağlanması,

Ulaşılabilirlik: Yetkisi olan kullanıcıların gerekli olduğunda bilgiye ve ilişkili varlıklara ulaşmasının sağlanması.


BS 7799-2 ise; Bilgi Güvenliği Yönetim Sisteminin kurulması, uygulanması ve dökümante edilmesi için gereklilikleri tanımlar, organizasyonlarca ihtiyaç duyulan güvenlik kontrollerini içerir. Belgelendirme BS 7799–2’ ye göre gerçekleştirilir.

BS 7799-2 standardı 2002’de gerçekleştirilen güncelleme ile diğer yönetim sistemi standartları ile daha uyumlu hale getirilmiştir. Diğer yönetim sistemi standartları ile benzerlik gösteren iki temel nokta süreç yönetimi yaklaşımı ve PUKİ (Planla-Uygula-Kontrol Et-İyileştir) döngüsü olarak bilinen modeldir.

Bilgi güvenliği yönetim sisteminin uygulanmasında süreç yönetimi yaklaşımının benimsenmesi ile özellikle aşağıdaki konularda fayda sağlanmaktadır;
- Süreçlerin tanımlanması
- Süreçlerin belirlenmesi yoluyla firma varlıklarının ve dolayısıyla korunması hedeflenen bilginin belirlenmesi
- Bilgi Güvenliği Yönetim Sistemi kapsamının belirlenmesi
- Bilgi Güvenliği Yönetim Sistemi politikasının ve hedeflerinin belirlenmesi
- Varlık sahiplerinin ve sorumluluklarının belirlenmesi
- Risklerin yönetimi için uygulanacak kontrollerin belirlenmesi
- Bilgi Güvenliği Yönetim Sistemi’nin etkinliğinin ölçülmesi
- İzleme ve ölçüm sonuçlarına bağlı olarak sürekli iyileştirmenin yapılması

"Planla-Uygula-Kontrol Et-İyileştir" (PUKİ) olarak bilinen model Bilgi Güvenliği Yönetim Sisteminin de temellerinden birisidir. BS 7799-2 açısından bu döngüyü incelediğimizde standart gerekliliklerini aşağıdaki gibi bu döngüye yerleştirebiliriz.

"Planla" aşamasının kapsamı :
- Bilgi Güvenliği Yönetim Sistemi kapsamının belirlenmesi.
- Bilgi Güvenliği Yönetim Sistemi politikasının belirlenmesi.
- Hedeflerin belirlenmesi.
- Risklerin belirlenmesi.
- Risklerin değerlendirilmesi.
- Kontrol hedeflerinin ve kontrollerin seçilmesi.
- Uygulanabilirlik Şartnamesinin hazırlanması.

"Uygula" aşamasının kapsamı :
- Risk Değerlendirme/Sağaltım (Treatment) Planının hazırlanması.
- Risk Değerlendirme/Sağaltım (Treatment) Planının uygulanması.
- Kontrol hedeflerine göre seçilmiş kontrollerin uygulanması.

"Kontrol Et" aşamasının kapsamı :
- Gözetim süreçlerini uygulamak.
- Planlanmış aralıklarla Bilgi Güvenliği Yönetim Sistemi iç denetimlerini gerçekleştirmek.
- Bilgi Güvenliği Yönetim Sisteminin etkinliğini belli aralıklarla ölçmek ve değerlendirmek.
- Kalan risk seviyesini ve kabul edilebilir risk seviyesini gözden geçirmek.

"İyileştir" aşamasının kapsamı :
- Belirlenmiş iyileştirmeleri uygulamak.
- Gerekli düzeltici ve önleyici faaliyetleri uygulamak.
- Sonuçların ve yapılan işlemlerin iletişimini sağlamak.
- İyileştirmelerin düşünülmüş hedeflere ulaşıp ulaşmadığını değerlendirmek.

İşletmelerin BS 7799 belgelendirmesine olan talebi her geçen gün artmaktadır. İlk BSI 7799 belgelendirmesi 1999 yılında BSI tarafından gerçekleştirilmiştir. Belge alan ilk kuruluş İngiltere’de bulunan "The Co-Operative Bank" isimli e-bankacılık yapan bir işletmedir. Şimdilerde dünyada BS 7799 belgesine sahip 1000’in üzerinde firma bulunmaktadır. Türkiye’de BS 7799–2 belgeli firma sayısı henüz bir elin parmakları kadar ancak önümüzdeki yıllarda çok sayıda BS 7799–2 belgelendirmesinin yapılması beklenmektedir.

Saygılar.
Yukarı Dön
 Yanıt Yaz Yanıt Yaz

Forum Atla Forum İzinleri Açılır Kutu Gör



Bu Sayfa 0.211 Saniyede Yüklendi.