Bilgi Güvenliğinde ISO 27000 Standartlarının Yeri ve Öncelikli ISO 27002 Kontrolleri

   Bilgi Güvenliği konusunda adını sıkça duyduğumuz iki standart ISO/IEC 27001:2005 ve ISO/ IEC 27002:2005 standartlarıdır. Makalemizde bu standartların bilgi güvenliğindeki yerini ve birbirleri ile ilişkilerini açıklamaya çalışacağız.
ISO 27001 Standardı
ISO 27001 standardı yaşayan, dolayısı ile tehdit ve saldırılara reaksiyon gösteren ve kendini yenileyen bir bilgi güvenliği sisteminde yer alması gereken öğeleri tanımlamaktadır.
ISO 27001’de tanımlanan yaklaşım uyarınca bilgi güvenliğinin bir süreç olarak ele alınması ve sürecin planlama, uygulama, kontrol etme ve önlem alma adımlarından oluşan bir döngü şeklinde çalıştırılması gerekmektedir [1, 2]. Yaşayan ve kendini yenileyen bir bilgi güvenliği sistemi ancak bu döngünün çalıştırılması ile mümkün olabilmektedir (Şekil 1).

Bu sürecin planlama adımı içerisinde, kurumda bilgi güvenliği şemsiyesi altında bulunacak varlıkların korunması için risk analizi çalışmasının yapılması gerektiği kaydedilmekte, bu çalışmanın sonuçları göz önünde bulundurularak ISO 27002 standardında tanımlanan önlemlerden kuruma en iyi hizmet edecek olanların seçilmesi ve uygulanması talep edilmektedir (Şekil 2).
Böylece ISO 27001 ve ISO 27002 standartları arasındaki ilişki kurulmuş olmaktadır. Şöyle ki, ISO 27001 standardında tarif edilen döngü, ISO 27002 standardından seçilen önlemler için çalıştırılarak bilgi güvenliği süreci gerçekleştirilmeye ve yaşatılmaya çalışılmaktadır.
Bilgi güvenliğinde esas olanın ISO 27001 süreci olduğu, bu süreçten kopuk, dolayısı ile ölçülmeyen, kayıtların oluşturulmadığı, tetkik ve gözden geçirmelerin yapılmadığı, düzeltici ve önleyici faaliyetlerin gerçekleştirilmediği bir sistemde önlemlerin kuruma hizmet etmeyeceği rahatlıkla söylenebilir.
ISO 27002 standardı
ISO 27002 standardı, bilgi güvenliği sürecinde işletilebilecek tedbirleri içeren bir önlem havuzudur [3, 4]. ISO 27002 standardının giriş bölümünde bilgi güvenliğinin seçilen önlemler aracılığı ile gerçekleştirileceği belirtilmekte, her önlem için uygulama, izleme ve iyileştirme çalışmalarının yapılması gerektiği belirtilerek ISO 27001 döngüsüne gönderme yapılmaktadır (Şekil 3).
Özetle önlemler ISO 27002 standardında, önlemlerin nasıl yaşatılacağı ise ISO 27001 standardında açıklanmaktadır.

ISO 27000 standartları ve bisiklet örneği
İki standart arasındaki ilişkiyi bir örnekle açıklamak gerekirse, aşağıdaki fotoğrafta bisikletin parmaklığa kablo ile bağlanması, bu süreçte kablonun seçilmesi, daha sonra bağlantının ve kablonun gözden geçirilmesini ISO 27001 döngüsüne, seçilen kabloyu da belirlenen ISO 27002 önlemlerine benzetmek yanlış olmayacaktır (Şekil 4).
Alınan önlemin gerekenden fazla olduğu fotoğraftan rahatça anlaşılabilmektedir. Kablolara harcanan para ve kabloların bisikletin park edileceği yere taşınması göz önünde bulundurulduğunda, alınan tedbir ile ihtiyaç arasındaki dengenin kurulamadığı dikkat çekmektedir. Bu durum hem harcanan kaynak hem de kullanım açısından olumsuz sonuçlar doğuracaktır.
Bu örnekte gerekenden kalın kablo kullanılması, risk analizi yapılmadan bütün ISO 27002 önlemlerinin gerçekleştirildiği bir bilgi güvenliği sistemini çağrıştırmaktadır. Tüm önlemlerin gerçekleştirilmesi bütçeye ciddi yük getirecek ve gereğinden fazla insan kaynağı kullanılmasına neden olacak, ayrıca bilginin erişilebilirliğini de azaltacaktır.
Öyleyse ISO 27002 önlemlerinden kuruma gerçekten hizmet edecek olanların seçilmesi büyük önem arz etmektedir. Bunun için yapılması gereken asıl işlem, risk analizidir. [5, 6]
Gereken önlemlerin belirlenmesi sırasında, risk analizine ilave olarak ISO 27002 standardının kendi önlemleri arasında gerçekleştirdiği önceliklendirme de göz önünde bulundurulabilir.
ISO 27002 önlemlerinin standart içindeki organizasyonu
Bağlama halatı veya kablosu nasıl hiyerarşik bir yapı içerisinde daha ince kablolardan oluşuyorsa ISO 27002 standardında yer alan önlemler için de aynı durum söz konusudur (Şekil 5).
ISO 27002 standardında onbir grup altında 133 güvenlik önlemi yer almakta, bu önlemler kurumun kanuni yükümlülüklerinin belirlenmesinden insan kaynakları güvenliğine kadar geniş bir yelpaze oluşturmaktadır.
Standardın hemen başında, “0.6 Bilgi güvenliği için başlangıç noktası” başlığı altında bu 133 güvenlik önleminden on tanesinin hemen her kurum için gerekli ve öncelikli olduğu belirtilmektedir.
ISO 27002’deki öncelikli güvenlik önlemleri
Bu güvenlik önlemlerinin ilk üçü kurumun yasalardan ve kontratlardan kaynaklanan yükümlülüklerini gözden kaçırmaması ile ilgilidir. Bunlar, standardın

1. Fikri mülkiyet hakları (ISO 27002 15.1.2),
2. Kurumsal kayıtların korunması (ISO 27002 15.1.3),
3. Verinin korunması ve kişisel bilgilerin gizliliği (ISO 27002 15.1.4),
başlıkları altında incelenmektedir. Standart, bu alanda uzmanlaşmış hukukçular yardımı ile ilgili mevzuat ve kurumu bağlayan sözleşmelerin incelenmesi ve kurumun yükümlülüklerinin belirlenmesi gerektiğini belirtmektedir. Belirlenen yükümlülüklerin sağlanması için politika ve prosedürlerin geliştirilmesi ve kurumda uygulanması gerekmektedir.
Diğer yedi önlem ise bilgi güvenliği konusunda yaygın olarak kullanılan ve standardın hemen her kurum için gerekli olduğunu belirttiği önlemlerdir. Bu önlemlerin

4. Bilgi güvenliği politikası dokümanı (ISO 27002 5.1.1),
5. Bilgi güvenliği sorumluluklarının atanması (ISO 27002 6.1.3),
6. Bilgi güvenliği eğitimi ve bilinçlendirme (ISO 27002 8.2.2),
7. Uygulamaların doğru çalışması (ISO 27002 12.2),
8. Teknik açıklık yönetimi (ISO 27002 12.6),
9. İş sürekliliği yönetimi (ISO 27002 14),
10. Bilgi güvenliği olaylarının yönetilmesi (ISO 27002 13.2).
olduğu belirtilmiştir. 7 ve 8 numaralı önlemler standardın 2005 versiyonunda öncelikli uygulamalar arasına eklenmiş olup, bu durum Dünya’da gerçekleşmekte olan bilgi güvenliği olaylarının seyrini ortaya koyma açısından da önem arz etmektedir.
Makalemizin geri kalan kısmında 4-10 numaralı önlemleri açıklamaya çalışacağız.
Bilgi güvenliği politikası dokümanı (ISO 27002, 5.1.1)
Politika dokümanının oluşturulmasının amacı yönetimin yasal mevzuat ve diğer bilgi güvenliği ihtiyaçlarını göz önünde bulundurarak kurumda bilgi güvenliğine yön vermesini ve sahip çıkmasını sağlamaktır [7] (Şekil 6).
Bilgi güvenliği politikası, bilgi güvenliği konusunda kurumsal yaklaşımı yansıtarak bilgi güvenliğinin temelini oluşturur.
Politika üst yönetim tarafından onaylanmalı, yayınlanmalı ve tüm kurum çalışanları bilgi güvenliği politikası konusunda bilgilendirilmelidir. Bilgi güvenliği politikası, dokümanın sahibi tarafından periyodik olarak gözden geçirilmelidir.
Bilgi güvenliği politikası dokümanı aşağıdaki hususları içermelidir:

a. Bilgi güvenliği politikasının genel tanımı, amacı ve kapsamı.
b. Üst yönetimin bilgi güvenliği ile ilgili niyeti, hedefi ve desteği.
c. Riskin yönetilmesi ve bilgi güvenliği önlemleri ile ilgili genel çerçeve.
d. Kurum için önem arz eden mevzuat, standart ve prensiplere atıflar.
e. Çeşitli bilgi sistemleri ve süreçleri ile ilgili olarak hazırlanacak alt politika ve prosedürlere atıflar. (Erişim kontrolü, Fiziksel güvenlik, Şifre politikası gibi konularda alt politika ve prosedürler düzenlenecektir).
f. Bilgi güvenliğinin yönetilmesi ile ilgili sorumlulukların tanımları.
Bilgi güvenliği sorumluluklarının atanması (ISO 27002, 6.1.3)
Bilgi güvenliği ile ilgili rol ve sorumlulukların tanımlanması, politika, alt politika ve prosedürlerde belirtilen işlevlerin hayata geçirilmesini sağlayan başlıca etkendir (Şekil 7). Rol ve sorumlulukların tanımlanmaması halinde hazırlanan politika ve prosedürler hem sahipsiz kalacak, hem de uygulanamayacaktır.
Kapsam dâhilindeki tüm bilgi sistemleri için;

1. Varlıklar ve bilgi güvenliği süreçleri açıkça belirlenmeli,
2. Her bir varlık ve süreç için sorumlu açıkça belirlenmeli, sorumluluğun içeriği ve detayları belgelenmelidir.
Güvenlik sorumluluğuna sahip personel, görevini bir başkasına verse de sorumluluğunu aktaramaz.
Bilgi güvenliği eğitimi ve bilinçlendirme (ISO 27002, 8.2.2)
Kapsam dâhilindeki tüm çalışanlar, üçüncü taraf kullanıcıları ve personeli, bilgiye veya bilgi servislerine erişim hakkı verilmeden önce kurumun bilgi güvenliği politika ve beklentileri konusunda eğitime tabii tutulmalıdır. Eğitim ve bilinçlendirme çalışmaları bilgi güvenliğinin en zayıf halkası olan kullanıcılardan kaynaklanan hataların asgari düzeye indirilmesi açısından büyük önem arz etmektedir [8].
Bilgi güvenliği eğitimi ve bilinçlendirme süreci aracılığı ile kullanıcıya

1. Kurumun bilgi güvenliği ile ilgili politika ve prosedürleri,
2. Bilgi güvenliği ile ilgili yasal yükümlülükleri,
3. Bilgi servislerinin ve uygulamaların doğru kullanımı (oturum açma işlemleri ve benzeri),
4. Bilinen tehditler,
5. Bilgi güvenliği olaylarının algılanması ve bildirilmesi
ile ilgili bilgiler aktarılmalıdır (Şekil 8).

Eğitim çalışmaları periyodik olarak tekrarlanarak personele hem güncel bilgiler aktarılmalı, hem de personelin bilgi güvenliği kültürünü kazanması sağlanmalıdır.
Uygulamaların doğru çalışması (ISO 27002, 12.2)
Yazılım teknolojisi Dünya’da en hızlı değişen ve gelişen teknolojilerin başında gelmekte, programlama dilleri, iletişim ve işlemci teknolojilerinde yaşanan devinim, sektörde hemen her kurumda rastlanan personel yetersizliği ve zaman baskısı ile birleşerek yazılımı hataya en açık alanlardan biri haline getirmektedir. Bu duruma ilave olarak, yazılım açıklarını kullanarak bilgi sistemlerine yetkisiz erişim gerçekleştirme yeni bir uzmanlık alanı olarak ortaya çıkmış, bu konuda çalışma yapan adeta bir sektör oluşmuştur. Bu bilgiler ışığında 27002 standardının 2005 sürümünde “12.2 Uygulamaların doğru çalışması” başlığının “olmazsa olmaz”lar arasına eklenmesi son derece yerinde bir değişiklik olarak değerlendirilmektedir.
Bu güvenlik önlemi ile ilgili olarak;

1. ISO 27002 standardı 12.2.x başlıklarında açıklanan önlemlerin gözden geçirilmesi,
2. Kullanılan programlama dilleri de göz önünde bulundurularak, bu dillerle geliştirilen uygulamalarda rastlanan açıklıkların ve bunlardan korunma yollarının değerlendirilmesi ve sektörel yayınların takip edilmesi ile “Güncel tehdit ve açıklıklar”ın belirlenmesi,
3. Geliştirilen yazılımlarda çapraz gözden geçirme ve test yapılarak sıkça yapılan hataların belirlenmesi,
4. İlk üç kalemde elde edilen veriler göz önünde bulundurularak güvenli yazılım geliştirme prensiplerinin belirlenmesi ve
5. Belirlenen prensiplerin kurumda yazılım geliştiren tüm personele bildirilmesi
faaliyetlerini bünyesinde barındıran bir “Yazılım Geliştirme Prensipleri Süreci”nin (Şekil 9) oluşturulması faydalı olacaktır.

Teknik açıklık yönetimi (ISO 27002, 12.6)
Teknik açıklık yönetimi kısaca “Teknik açıklıklardan kaynaklanan risklerin yönetilmesi” olarak tanımlanmaktadır [9]. Teknik açıklıklar sunucu bilgisayarlarından çeşitli ağ birimlerine kadar uzanan geniş bir yelpaze üstünde çalışan yazılımların yama yönetimi, yapılandırma ayarları ve diğer teknik özelliklerinden kaynaklanan açıklıkların takibi ve kapatılması anlamına gelmektedir. Bu madde de ISO 27002 “12.2 Uygulamaların doğru çalışması” maddesi gibi standardın 2005 sürümünde en önemli güvenlik uygulamaları arasına katılmıştır. Bu iki başlıkta ele alınan konular birbirini tamamlar niteliktedir.
Bu alanda zafiyet oluşmaması için “Teknik açıklık yönetimi”nin ilgili kurumda bir süreç olarak oluşturulması gerektiği standart tarafından belirtilmektedir. Sürecin başarı ile çalışabilmesi için varlık envanterinin güncel ve eksiksiz olarak (yazılım içeren varlıkların üstündeki yazılımlar, bu yazılımların versiyonları, envantere girme tarihi ve benzeri) tutulması şarttır [5]. Süreç dâhilinde aşağıdaki önlemlerin alınmasının faydalı olacağı değerlendirilmektedir:

1. Her süreçte olduğu gibi rol ve sorumlulukların belirlenmesi,
2. Kurum varlıklarının ve bilgi sistemlerinin kritikliği göz önünde bulundurularak belirlenecek bir sıklıkta “Teknik Güvenlik Testleri”nin yinelenmesi,
3. Envanterdeki varlıkların açıklıkları ile ilgili bilgi üreten kaynakların belirlenmesi, (uygulama yazılımı konusunda olduğu gibi bu konuda da Dünya’da son derece aktif bir saldırı ve savunma sektörü oluşmuştur), güncellenmesi ve takibi,
4. Belirlenen açıklıkları içeren varlıkların sahipleri ile koordinasyon ve
5. Yama vb. önlemlerin test edilmesi ve varlık sahipleri ile koordineli olarak uygulanması (Şekil 10).

9. ve 10. şekillerin incelenmesi ile standardın 12.2 ve 12.6 başlıklı güvenlik uygulamalarının gerçekleştirilmesi için benzer yapılanmalara ihtiyaç olduğu görülebilmektedir. Varlık envanterini ve test sonuçlarını izleyip literatür takibini gerçekleştirecek bir “Bilgi Güvenliği Teknoloji Sorumlusu”nun kurumlarda her iki görevi üstlenebileceği değerlendirilmektedir.
Bilgi güvenliği olaylarının yönetilmesi (ISO 27002, 13.2)
Standart uyarınca, rapor edilen bilgi güvenliği olaylarına hızlı ve etkili tepki verebilmek için prosedür ve sorumlulukların tanımlanması ve tutarlı bir yaklaşımın oluşturulması, bilgi güvenliği olayları ile ilgili izleme, değerlendirme, müdahale ve gerektiğinde delil toplama faaliyetlerinin bir süreç yaklaşımı içerisinde (gözden geçirme ve iyileştirmeye tabii tutularak) gerçekleştirilmesi gerekmektedir [10].
Bilgi güvenliği olaylarına müdahale ile ilgili olarak

1. Bilgi sistemi arızası,
2. Virüs saldırısı,
3. Servis dışı bırakma saldırısı,
4. Eksik veya hatalı veri girişi,
5. Gizlilik ve bütünlüğü bozan ihlaller,
6. Bilgi sisteminin kötüye kullanılması
ve gerekli görülen diğer durumlarda çalıştırılacak prosedürlerin oluşturulması, bunlara ilave olarak;

1. Olayın nedeninin belirlenmesi ve tekrarına engel olmak için düzeltici faaliyetlerin gerçekleştirilmesi,
2. Delil toplama ve ilgili mercilere iletme,
3. Canlı sisteme sadece yetkili personelin müdahale etmesi,
4. Yapılan müdahalenin dokümante edilmesi,
5. Müdahalelerin düzenli olarak yönetime bildirilmesi ve yönetim tarafından gözden geçirilmesi ve
6. Bilgi sistemlerinin bütünlüğünün asgari gecikme ile sağlanması
hususlarının da prosedürler çerçevesinde düzenlenmesi gerekmektedir. Bilgi güvenliği olaylarının algılanması konusunda

a) Olay ve zayıflıkların rapor edilmesine ilave olarak (ISO 27002, 13.1 alt başlığı)
b) Sistem kullanımının düzenli olarak gözlenmesi de (ISO 27002, 10.10.2 alt başlığı)
önem arz etmektedir (Şekil 11).
İş sürekliliği yönetimi (ISO 27002, 14)
İş sürekliliği yönetimi, kurum bilgi sistemlerinin büyük arıza, sabotaj veya doğal afetlerin etkilerini önleyici ve giderici eylemlerin belirlenmesi ve kurum bünyesinde bir süreç olarak yaşatılması anlamına gelmektedir [11].
Her kurumda bilgi sistemleri gözden geçirilerek kritik iş süreçleri ve bilgi varlıkları belirlenmeli ve kurumun iş sürekliliği konusundaki ihtiyacı gerçekçi bir şekilde tespit edilmelidir.
Bu kapsamda;

1. Kritik iş süreçlerinin ve bunlarla ilgili varlıkların belirlenmesi, bunları etkileyecek tehditlerin ve gerçekleşme olasılıklarının tespiti,
2. Bu risklerin azaltılmasını sağlayacak önlemlerin belirlenmesi, bunlar için finansal ve kurumsal kaynak ayrılması (Kurumda belirlenen önlemlerin mevcut önlemlerle karşılaştırılması),
3. İş sürekliliği planlarının geliştirilmesi ve dokümante edilmesi,
4. Planların düzenli olarak test edilmesi (“tatbikat” olarak da adlandırılabilir) ve güncellenmesi
gerçekleştirilmelidir.
Sonuç
Bilgi güvenliği, ISO 27001 standardında tarif edilen döngünün ISO 27002 standardında açıklanan önlemler için çalıştırılması ile sağlanmaktadır. Bu konuda esas olanın 27001 süreci olduğunu, risk analizi gerçekleştirilmeden devreye sokulan önlemlerin kuruma hizmet etmesinin tesadüflere bağlı olacağını söylemek yanlış olmaz.

Bununla beraber ISO 27002 standardında açıklanan önlem havuzunda yer alan 133 kalemden on tanesinin öncelikli olduğu ve başlangıç aşamasında bile gerçekleştirilmesinin gerektiği de ISO 27002 standardının söylemidir. Bu söylemin de gözden kaçırılmaması gerekir. ISO 27002 standardında açıklanan öncelikli önlemlerin her kurumun kendi süzgecinden geçirilmesi ve uygulanması ile bilgi güvenliğine büyük katkı sağlanacaktır.

Saygılar..

DÃ¼zenleyen megabros - 10-06-2009 Saat 13:06

Yazar	Mesaj Konu Arama Konu SeÃ§enekleri YanÄ±t Yaz Yeni Konu OluÅŸtur Konuyu YazdÄ±r Translate Konu
megabros Ãœye Profili Ã–zel Mesaj Yolla Ãœyenin MesajlarÄ±nÄ± Bul ArkadaÅŸ Listeme Ekle Security Professional KayÄ±t Tarihi: 08-06-2009 Konum: Turkey Status: Aktif DeÄŸil Points: 752	Mesaj SeÃ§enekleri YanÄ±t Yaz AlÄ±ntÄ± megabros Bu mesaj kurallara aykÄ±rÄ±ysa buradan yÃ¶neticileri bilgilendirebilirsiniz. Thanks(0) AlÄ±ntÄ± Cevapla Konu: Bilgi Güvenliğinde ISO 27000 Standartlarının Yeri ve Öncelikli ISO 27002 Kontrolleri GÃ¶nderim ZamanÄ±: 10-06-2009 Saat 13:06
	Bilgi Güvenliği konusunda adını sıkça duyduğumuz iki standart ISO/IEC 27001:2005 ve ISO/ IEC 27002:2005 standartlarıdır. Makalemizde bu standartların bilgi güvenliğindeki yerini ve birbirleri ile ilişkilerini açıklamaya çalışacağız. ISO 27001 Standardı ISO 27001 standardı yaşayan, dolayısı ile tehdit ve saldırılara reaksiyon gösteren ve kendini yenileyen bir bilgi güvenliği sisteminde yer alması gereken öğeleri tanımlamaktadır. ISO 27001’de tanımlanan yaklaşım uyarınca bilgi güvenliğinin bir süreç olarak ele alınması ve sürecin planlama, uygulama, kontrol etme ve önlem alma adımlarından oluşan bir döngü şeklinde çalıştırılması gerekmektedir [1, 2]. Yaşayan ve kendini yenileyen bir bilgi güvenliği sistemi ancak bu döngünün çalıştırılması ile mümkün olabilmektedir (Şekil 1). Bu sürecin planlama adımı içerisinde, kurumda bilgi güvenliği şemsiyesi altında bulunacak varlıkların korunması için risk analizi çalışmasının yapılması gerektiği kaydedilmekte, bu çalışmanın sonuçları göz önünde bulundurularak ISO 27002 standardında tanımlanan önlemlerden kuruma en iyi hizmet edecek olanların seçilmesi ve uygulanması talep edilmektedir (Şekil 2). Böylece ISO 27001 ve ISO 27002 standartları arasındaki ilişki kurulmuş olmaktadır. Şöyle ki, ISO 27001 standardında tarif edilen döngü, ISO 27002 standardından seçilen önlemler için çalıştırılarak bilgi güvenliği süreci gerçekleştirilmeye ve yaşatılmaya çalışılmaktadır. Bilgi güvenliğinde esas olanın ISO 27001 süreci olduğu, bu süreçten kopuk, dolayısı ile ölçülmeyen, kayıtların oluşturulmadığı, tetkik ve gözden geçirmelerin yapılmadığı, düzeltici ve önleyici faaliyetlerin gerçekleştirilmediği bir sistemde önlemlerin kuruma hizmet etmeyeceği rahatlıkla söylenebilir. ISO 27002 standardı ISO 27002 standardı, bilgi güvenliği sürecinde işletilebilecek tedbirleri içeren bir önlem havuzudur [3, 4]. ISO 27002 standardının giriş bölümünde bilgi güvenliğinin seçilen önlemler aracılığı ile gerçekleştirileceği belirtilmekte, her önlem için uygulama, izleme ve iyileştirme çalışmalarının yapılması gerektiği belirtilerek ISO 27001 döngüsüne gönderme yapılmaktadır (Şekil 3). Özetle önlemler ISO 27002 standardında, önlemlerin nasıl yaşatılacağı ise ISO 27001 standardında açıklanmaktadır. ISO 27000 standartları ve bisiklet örneği İki standart arasındaki ilişkiyi bir örnekle açıklamak gerekirse, aşağıdaki fotoğrafta bisikletin parmaklığa kablo ile bağlanması, bu süreçte kablonun seçilmesi, daha sonra bağlantının ve kablonun gözden geçirilmesini ISO 27001 döngüsüne, seçilen kabloyu da belirlenen ISO 27002 önlemlerine benzetmek yanlış olmayacaktır (Şekil 4). Alınan önlemin gerekenden fazla olduğu fotoğraftan rahatça anlaşılabilmektedir. Kablolara harcanan para ve kabloların bisikletin park edileceği yere taşınması göz önünde bulundurulduğunda, alınan tedbir ile ihtiyaç arasındaki dengenin kurulamadığı dikkat çekmektedir. Bu durum hem harcanan kaynak hem de kullanım açısından olumsuz sonuçlar doğuracaktır. Bu örnekte gerekenden kalın kablo kullanılması, risk analizi yapılmadan bütün ISO 27002 önlemlerinin gerçekleştirildiği bir bilgi güvenliği sistemini çağrıştırmaktadır. Tüm önlemlerin gerçekleştirilmesi bütçeye ciddi yük getirecek ve gereğinden fazla insan kaynağı kullanılmasına neden olacak, ayrıca bilginin erişilebilirliğini de azaltacaktır. Öyleyse ISO 27002 önlemlerinden kuruma gerçekten hizmet edecek olanların seçilmesi büyük önem arz etmektedir. Bunun için yapılması gereken asıl işlem, risk analizidir. [5, 6] Gereken önlemlerin belirlenmesi sırasında, risk analizine ilave olarak ISO 27002 standardının kendi önlemleri arasında gerçekleştirdiği önceliklendirme de göz önünde bulundurulabilir. ISO 27002 önlemlerinin standart içindeki organizasyonu Bağlama halatı veya kablosu nasıl hiyerarşik bir yapı içerisinde daha ince kablolardan oluşuyorsa ISO 27002 standardında yer alan önlemler için de aynı durum söz konusudur (Şekil 5). ISO 27002 standardında onbir grup altında 133 güvenlik önlemi yer almakta, bu önlemler kurumun kanuni yükümlülüklerinin belirlenmesinden insan kaynakları güvenliğine kadar geniş bir yelpaze oluşturmaktadır. Standardın hemen başında, “0.6 Bilgi güvenliği için başlangıç noktası” başlığı altında bu 133 güvenlik önleminden on tanesinin hemen her kurum için gerekli ve öncelikli olduğu belirtilmektedir. ISO 27002’deki öncelikli güvenlik önlemleri Bu güvenlik önlemlerinin ilk üçü kurumun yasalardan ve kontratlardan kaynaklanan yükümlülüklerini gözden kaçırmaması ile ilgilidir. Bunlar, standardın 1. Fikri mülkiyet hakları (ISO 27002 15.1.2), 2. Kurumsal kayıtların korunması (ISO 27002 15.1.3), 3. Verinin korunması ve kişisel bilgilerin gizliliği (ISO 27002 15.1.4), başlıkları altında incelenmektedir. Standart, bu alanda uzmanlaşmış hukukçular yardımı ile ilgili mevzuat ve kurumu bağlayan sözleşmelerin incelenmesi ve kurumun yükümlülüklerinin belirlenmesi gerektiğini belirtmektedir. Belirlenen yükümlülüklerin sağlanması için politika ve prosedürlerin geliştirilmesi ve kurumda uygulanması gerekmektedir. Diğer yedi önlem ise bilgi güvenliği konusunda yaygın olarak kullanılan ve standardın hemen her kurum için gerekli olduğunu belirttiği önlemlerdir. Bu önlemlerin 4. Bilgi güvenliği politikası dokümanı (ISO 27002 5.1.1), 5. Bilgi güvenliği sorumluluklarının atanması (ISO 27002 6.1.3), 6. Bilgi güvenliği eğitimi ve bilinçlendirme (ISO 27002 8.2.2), 7. Uygulamaların doğru çalışması (ISO 27002 12.2), 8. Teknik açıklık yönetimi (ISO 27002 12.6), 9. İş sürekliliği yönetimi (ISO 27002 14), 10. Bilgi güvenliği olaylarının yönetilmesi (ISO 27002 13.2). olduğu belirtilmiştir. 7 ve 8 numaralı önlemler standardın 2005 versiyonunda öncelikli uygulamalar arasına eklenmiş olup, bu durum Dünya’da gerçekleşmekte olan bilgi güvenliği olaylarının seyrini ortaya koyma açısından da önem arz etmektedir. Makalemizin geri kalan kısmında 4-10 numaralı önlemleri açıklamaya çalışacağız. Bilgi güvenliği politikası dokümanı (ISO 27002, 5.1.1) Politika dokümanının oluşturulmasının amacı yönetimin yasal mevzuat ve diğer bilgi güvenliği ihtiyaçlarını göz önünde bulundurarak kurumda bilgi güvenliğine yön vermesini ve sahip çıkmasını sağlamaktır [7] (Şekil 6). Bilgi güvenliği politikası, bilgi güvenliği konusunda kurumsal yaklaşımı yansıtarak bilgi güvenliğinin temelini oluşturur. Politika üst yönetim tarafından onaylanmalı, yayınlanmalı ve tüm kurum çalışanları bilgi güvenliği politikası konusunda bilgilendirilmelidir. Bilgi güvenliği politikası, dokümanın sahibi tarafından periyodik olarak gözden geçirilmelidir. Bilgi güvenliği politikası dokümanı aşağıdaki hususları içermelidir: a. Bilgi güvenliği politikasının genel tanımı, amacı ve kapsamı. b. Üst yönetimin bilgi güvenliği ile ilgili niyeti, hedefi ve desteği. c. Riskin yönetilmesi ve bilgi güvenliği önlemleri ile ilgili genel çerçeve. d. Kurum için önem arz eden mevzuat, standart ve prensiplere atıflar. e. Çeşitli bilgi sistemleri ve süreçleri ile ilgili olarak hazırlanacak alt politika ve prosedürlere atıflar. (Erişim kontrolü, Fiziksel güvenlik, Şifre politikası gibi konularda alt politika ve prosedürler düzenlenecektir). f. Bilgi güvenliğinin yönetilmesi ile ilgili sorumlulukların tanımları. Bilgi güvenliği sorumluluklarının atanması (ISO 27002, 6.1.3) Bilgi güvenliği ile ilgili rol ve sorumlulukların tanımlanması, politika, alt politika ve prosedürlerde belirtilen işlevlerin hayata geçirilmesini sağlayan başlıca etkendir (Şekil 7). Rol ve sorumlulukların tanımlanmaması halinde hazırlanan politika ve prosedürler hem sahipsiz kalacak, hem de uygulanamayacaktır. Kapsam dâhilindeki tüm bilgi sistemleri için; 1. Varlıklar ve bilgi güvenliği süreçleri açıkça belirlenmeli, 2. Her bir varlık ve süreç için sorumlu açıkça belirlenmeli, sorumluluğun içeriği ve detayları belgelenmelidir. Güvenlik sorumluluğuna sahip personel, görevini bir başkasına verse de sorumluluğunu aktaramaz. Bilgi güvenliği eğitimi ve bilinçlendirme (ISO 27002, 8.2.2) Kapsam dâhilindeki tüm çalışanlar, üçüncü taraf kullanıcıları ve personeli, bilgiye veya bilgi servislerine erişim hakkı verilmeden önce kurumun bilgi güvenliği politika ve beklentileri konusunda eğitime tabii tutulmalıdır. Eğitim ve bilinçlendirme çalışmaları bilgi güvenliğinin en zayıf halkası olan kullanıcılardan kaynaklanan hataların asgari düzeye indirilmesi açısından büyük önem arz etmektedir [8]. Bilgi güvenliği eğitimi ve bilinçlendirme süreci aracılığı ile kullanıcıya 1. Kurumun bilgi güvenliği ile ilgili politika ve prosedürleri, 2. Bilgi güvenliği ile ilgili yasal yükümlülükleri, 3. Bilgi servislerinin ve uygulamaların doğru kullanımı (oturum açma işlemleri ve benzeri), 4. Bilinen tehditler, 5. Bilgi güvenliği olaylarının algılanması ve bildirilmesi ile ilgili bilgiler aktarılmalıdır (Şekil 8). Eğitim çalışmaları periyodik olarak tekrarlanarak personele hem güncel bilgiler aktarılmalı, hem de personelin bilgi güvenliği kültürünü kazanması sağlanmalıdır. Uygulamaların doğru çalışması (ISO 27002, 12.2) Yazılım teknolojisi Dünya’da en hızlı değişen ve gelişen teknolojilerin başında gelmekte, programlama dilleri, iletişim ve işlemci teknolojilerinde yaşanan devinim, sektörde hemen her kurumda rastlanan personel yetersizliği ve zaman baskısı ile birleşerek yazılımı hataya en açık alanlardan biri haline getirmektedir. Bu duruma ilave olarak, yazılım açıklarını kullanarak bilgi sistemlerine yetkisiz erişim gerçekleştirme yeni bir uzmanlık alanı olarak ortaya çıkmış, bu konuda çalışma yapan adeta bir sektör oluşmuştur. Bu bilgiler ışığında 27002 standardının 2005 sürümünde “12.2 Uygulamaların doğru çalışması” başlığının “olmazsa olmaz”lar arasına eklenmesi son derece yerinde bir değişiklik olarak değerlendirilmektedir. Bu güvenlik önlemi ile ilgili olarak; 1. ISO 27002 standardı 12.2.x başlıklarında açıklanan önlemlerin gözden geçirilmesi, 2. Kullanılan programlama dilleri de göz önünde bulundurularak, bu dillerle geliştirilen uygulamalarda rastlanan açıklıkların ve bunlardan korunma yollarının değerlendirilmesi ve sektörel yayınların takip edilmesi ile “Güncel tehdit ve açıklıklar”ın belirlenmesi, 3. Geliştirilen yazılımlarda çapraz gözden geçirme ve test yapılarak sıkça yapılan hataların belirlenmesi, 4. İlk üç kalemde elde edilen veriler göz önünde bulundurularak güvenli yazılım geliştirme prensiplerinin belirlenmesi ve 5. Belirlenen prensiplerin kurumda yazılım geliştiren tüm personele bildirilmesi faaliyetlerini bünyesinde barındıran bir “Yazılım Geliştirme Prensipleri Süreci”nin (Şekil 9) oluşturulması faydalı olacaktır. Teknik açıklık yönetimi (ISO 27002, 12.6) Teknik açıklık yönetimi kısaca “Teknik açıklıklardan kaynaklanan risklerin yönetilmesi” olarak tanımlanmaktadır [9]. Teknik açıklıklar sunucu bilgisayarlarından çeşitli ağ birimlerine kadar uzanan geniş bir yelpaze üstünde çalışan yazılımların yama yönetimi, yapılandırma ayarları ve diğer teknik özelliklerinden kaynaklanan açıklıkların takibi ve kapatılması anlamına gelmektedir. Bu madde de ISO 27002 “12.2 Uygulamaların doğru çalışması” maddesi gibi standardın 2005 sürümünde en önemli güvenlik uygulamaları arasına katılmıştır. Bu iki başlıkta ele alınan konular birbirini tamamlar niteliktedir. Bu alanda zafiyet oluşmaması için “Teknik açıklık yönetimi”nin ilgili kurumda bir süreç olarak oluşturulması gerektiği standart tarafından belirtilmektedir. Sürecin başarı ile çalışabilmesi için varlık envanterinin güncel ve eksiksiz olarak (yazılım içeren varlıkların üstündeki yazılımlar, bu yazılımların versiyonları, envantere girme tarihi ve benzeri) tutulması şarttır [5]. Süreç dâhilinde aşağıdaki önlemlerin alınmasının faydalı olacağı değerlendirilmektedir: 1. Her süreçte olduğu gibi rol ve sorumlulukların belirlenmesi, 2. Kurum varlıklarının ve bilgi sistemlerinin kritikliği göz önünde bulundurularak belirlenecek bir sıklıkta “Teknik Güvenlik Testleri”nin yinelenmesi, 3. Envanterdeki varlıkların açıklıkları ile ilgili bilgi üreten kaynakların belirlenmesi, (uygulama yazılımı konusunda olduğu gibi bu konuda da Dünya’da son derece aktif bir saldırı ve savunma sektörü oluşmuştur), güncellenmesi ve takibi, 4. Belirlenen açıklıkları içeren varlıkların sahipleri ile koordinasyon ve 5. Yama vb. önlemlerin test edilmesi ve varlık sahipleri ile koordineli olarak uygulanması (Şekil 10). 9. ve 10. şekillerin incelenmesi ile standardın 12.2 ve 12.6 başlıklı güvenlik uygulamalarının gerçekleştirilmesi için benzer yapılanmalara ihtiyaç olduğu görülebilmektedir. Varlık envanterini ve test sonuçlarını izleyip literatür takibini gerçekleştirecek bir “Bilgi Güvenliği Teknoloji Sorumlusu”nun kurumlarda her iki görevi üstlenebileceği değerlendirilmektedir. Bilgi güvenliği olaylarının yönetilmesi (ISO 27002, 13.2) Standart uyarınca, rapor edilen bilgi güvenliği olaylarına hızlı ve etkili tepki verebilmek için prosedür ve sorumlulukların tanımlanması ve tutarlı bir yaklaşımın oluşturulması, bilgi güvenliği olayları ile ilgili izleme, değerlendirme, müdahale ve gerektiğinde delil toplama faaliyetlerinin bir süreç yaklaşımı içerisinde (gözden geçirme ve iyileştirmeye tabii tutularak) gerçekleştirilmesi gerekmektedir [10]. Bilgi güvenliği olaylarına müdahale ile ilgili olarak 1. Bilgi sistemi arızası, 2. Virüs saldırısı, 3. Servis dışı bırakma saldırısı, 4. Eksik veya hatalı veri girişi, 5. Gizlilik ve bütünlüğü bozan ihlaller, 6. Bilgi sisteminin kötüye kullanılması ve gerekli görülen diğer durumlarda çalıştırılacak prosedürlerin oluşturulması, bunlara ilave olarak; 1. Olayın nedeninin belirlenmesi ve tekrarına engel olmak için düzeltici faaliyetlerin gerçekleştirilmesi, 2. Delil toplama ve ilgili mercilere iletme, 3. Canlı sisteme sadece yetkili personelin müdahale etmesi, 4. Yapılan müdahalenin dokümante edilmesi, 5. Müdahalelerin düzenli olarak yönetime bildirilmesi ve yönetim tarafından gözden geçirilmesi ve 6. Bilgi sistemlerinin bütünlüğünün asgari gecikme ile sağlanması hususlarının da prosedürler çerçevesinde düzenlenmesi gerekmektedir. Bilgi güvenliği olaylarının algılanması konusunda a) Olay ve zayıflıkların rapor edilmesine ilave olarak (ISO 27002, 13.1 alt başlığı) b) Sistem kullanımının düzenli olarak gözlenmesi de (ISO 27002, 10.10.2 alt başlığı) önem arz etmektedir (Şekil 11). İş sürekliliği yönetimi (ISO 27002, 14) İş sürekliliği yönetimi, kurum bilgi sistemlerinin büyük arıza, sabotaj veya doğal afetlerin etkilerini önleyici ve giderici eylemlerin belirlenmesi ve kurum bünyesinde bir süreç olarak yaşatılması anlamına gelmektedir [11]. Her kurumda bilgi sistemleri gözden geçirilerek kritik iş süreçleri ve bilgi varlıkları belirlenmeli ve kurumun iş sürekliliği konusundaki ihtiyacı gerçekçi bir şekilde tespit edilmelidir. Bu kapsamda; 1. Kritik iş süreçlerinin ve bunlarla ilgili varlıkların belirlenmesi, bunları etkileyecek tehditlerin ve gerçekleşme olasılıklarının tespiti, 2. Bu risklerin azaltılmasını sağlayacak önlemlerin belirlenmesi, bunlar için finansal ve kurumsal kaynak ayrılması (Kurumda belirlenen önlemlerin mevcut önlemlerle karşılaştırılması), 3. İş sürekliliği planlarının geliştirilmesi ve dokümante edilmesi, 4. Planların düzenli olarak test edilmesi (“tatbikat” olarak da adlandırılabilir) ve güncellenmesi gerçekleştirilmelidir. Sonuç Bilgi güvenliği, ISO 27001 standardında tarif edilen döngünün ISO 27002 standardında açıklanan önlemler için çalıştırılması ile sağlanmaktadır. Bu konuda esas olanın 27001 süreci olduğunu, risk analizi gerçekleştirilmeden devreye sokulan önlemlerin kuruma hizmet etmesinin tesadüflere bağlı olacağını söylemek yanlış olmaz. Bununla beraber ISO 27002 standardında açıklanan önlem havuzunda yer alan 133 kalemden on tanesinin öncelikli olduğu ve başlangıç aşamasında bile gerçekleştirilmesinin gerektiği de ISO 27002 standardının söylemidir. Bu söylemin de gözden kaçırılmaması gerekir. ISO 27002 standardında açıklanan öncelikli önlemlerin her kurumun kendi süzgecinden geçirilmesi ve uygulanması ile bilgi güvenliğine büyük katkı sağlanacaktır. Saygılar.. DÃ¼zenleyen megabros - 10-06-2009 Saat 13:06