spacer.png, 0 kB
Bilgi için: bilgi at bilgiguvenligi gov tr   

 

spacer.png, 0 kB
spacer.png, 0 kB
ISO/IEC 27001:2005 ve Bilgi Güvenliği Yönetişimi - Türkiye Analizi Yazdır E-posta
Bilge Karabacak, TÜBİTAK BİLGEM   
25.03.2008

Bu makalede bilgi teknolojilerinin yaygın şekilde kullanımının yarattığı büyük değişimler ve bu değişimlerin sonuçlarına yer verilmiştir. Bu bağlamda, bilgi güvenliği yönetişimi kavramı tanımlanmış ve ülke çapında bilgi güvenliği yönetişimine olan ihtiyaç ortaya konmaya çalışılmıştır. Makalede kamu kurumu ve özel sektör ayrımı yapılmamış, Türkiye’deki tüm kurumlara bilgi güvenliği yönetişimi çerçevesinden bir bütün olarak bakılmıştır.

Ayrıca, bilgi güvenliği yönetişimi olmaksızın ISO/IEC 27001:2005 standardı kapsamında oluşturulan bir Bilgi Güvenliği Yönetim Sistemi’nin (BGYS) beklenen etkiyi göstermeyeceği hususu üzerinde değerlendirmeler yapılmıştır. Makalenin son bölümünde üst düzey yöneticilerin cevaplaması için bir bilgi güvenliği yönetişimi anketi verilmiştir.

1.  Giriş

Bilgi güvenliği yönetişimi (Information Security Governance), akademik dünya, kamu kurumları ve özel sektör tarafından ilgiyle takip edilen bir kavramdır. Kurumlardaki bilgi güvenliği sorumluluğunun, kurumun en üst düzey yöneticisinde olması ve üst düzey yöneticinin bilgi güvenliği ile ilgili kararları alması ve bu kararların uygulandığını takip etmesi şeklinde özetlenebilecek bir kavramdır. Bilgi güvenliği yönetişimi gelişmiş ülkelerde yasalar tarafından desteklenmektedir. 2002’de Amerika Birleşik Devletleri’nin yürürlüğe koyduğu Federal Information Security Management (FISMA) yasası buna örnek olarak verilebilir. (1) Ayrıca, uluslararası organizasyonlar tarafından bilgi güvenliği yönetişimi konusunda raporlar ve kılavuzlar üretilmektedir. OECD’nin bilgi sistemleri ve ağlarda güvenliğin sağlanması ile ilgili kılavuzu buna örnek olarak verilebilir. (2) Bilgi güvenliği yönetişimi konusunda yapılmış akademik çalışmalar da mevcuttur. (3, 4, 5, 6, 7, 8) Ayrıca, enstitüler, kar amacı gütmeyen kurumlar ve kamu kurumlarının hazırlamış olduğu yurtdışı kaynaklı bilgi güvenliği yönetişimi çalışmaları bulunmaktadır. (9, 10, 11, 12, 13)

Bilgi güvenliği yönetişimi, kurumsal yönetişimin (Corporate Governance) önemli bir parçası olarak değerlendirilmekte ve bunu konu alan akademik çalışmalar yapılmaktadır. (5, 7, 8) Bu makalenin konusu kurumsal yönetişim olmamakla beraber, konu hakkındaki yasalardan ve çalışmalardan kısaca bahsetmek yerinde olacaktır. Gelişmiş ülkelerde kurumsal yönetişim ile ilgili düzenleyici yasalar bulunmaktadır. Amerika Birleşik Devletleri’nden yürürlükte olan Sarbanes-Oxley (SOX), Gramm-Leach-Bliley ve Health Insurance Portability and Accountability (HIPAA) yasaları buna örnek olarak verilebilir. (14, 15, 16) Kurumsal yönetişim konusunda uluslararası organizasyonlar ve gelişmiş ülkelerdeki kamu kurumları tarafından yapılmış çalışmalar ve raporlar bulunmaktadır. 1992 senesinde yayınlanan Cadbury Raporu (17) ve ilki 1994 senesinde yayınlanan ardından 2002 senesinde güncellenen King Raporu (18) bu raporlara birer örnek olarak verilebilir.

Bilgi güvenliği yönetimi (Information Security Management), bilgi güvenliği yönetişimi ile karıştırılabilmektedir. ISO/IEC 27001:2005 (20) standardı bilgi güvenliği yönetimini gerçeklemek için kullanılan en önemli ve yaygın standarttır. ISO/IEC 27001:2005 kılavuzluğunda oluşturulan bilgi güvenliği yönetimi altyapısı Bilgi Güvenliği Yönetim Sistemi (BGYS) olarak adlandırılmaktadır. Bilgi güvenliği yönetişiminin kavrandığı ve uygulandığı kurumlarda, kurumsal çapta BGYS kurmak ve işletmek oldukça kolay olmaktayken, bilgi güvenliği yönetişimin uygulanmadığı kurumlarda ise BGYS bir bilgi işlem faaliyeti olarak algılanmakta ve kurumsal başarı, verim ve güvenlik sağlanamamaktadır. Makale içerisinde bu konuya ayrıntılı olarak değinilmiştir.

2.  Bilgi Güvenliği Yönetişimi

Bu bölümde ilk olarak bilgi teknolojilerinin geçmişteki ve günümüzdeki yaygınlığı konusuna değinilmiş ve aradaki büyük farka dikkat çekilmiştir. Ardından bilgi teknolojileri yönetişimi ve bilgi güvenliği yönetişimi kavramları tanımlanmıştır. Ardından, bilgi güvenliği yönetişiminin modellendiği bir akademik yayındaki modele ve pratik bir örneğe yer verilmiştir. Bilgi güvenliği yönetişimi için yasal altyapının önemi vurgulanmıştır. ISO/IEC 27001:2005 standardı ile bilgi güvenliği yönetişimi kavramı karşılaştırılmış ve sonuçları özetlenmiştir. Son olarak bilgi güvenliği yönetişimi ile ilgili bir anket oluşturulmuş ve kurum yöneticilerinin dikkatine sunulmuştur.

2.1 Dünümüz ve Bugünümüz

Bilgi teknolojilerinin yaygın şekilde kullanımı bilgi güvenliği yönetişimi kavramını ortaya çıkarmıştır. Bilgi teknolojilerinin yaygınlaşmadığı yıllarda kurumlar birçok iş sürecini kağıt ortamında gerçeklemekteydi. Günümüzde ise bir kurumun hemen hemen tüm iş süreçlerinde bilgi teknolojileri kullanılmaktadır. Bilginin çok büyük bir bölümü elektronik ortamda tutulmakta ve işlenmektedir. Şekil-1 ve Şekil-2’de bu durum basit şekiller ile resmedilmiştir.

Şekil-1’de bilgi teknolojilerinin yaygınlaşması öncesindeki durum resmedilmiştir. Buna göre, bilgi teknolojileri ile kesişmeyen veya çok az oranda kesişen kurumsal süreçler bulunmaktaydı. Bu yıllarda havale işleminin uzun süre almasının ve bu işlemden çok fazla masraf alınmasının nedeni Şekil-1’de resmedilen durumdur.

Şekil - 1

Şekil 1: Bilgi sistemlerinin yaygın kullanımı öncesi

Şekil-2’de bugünkü durum kavramsal olarak gösterilmiştir. Günümüzde, tüm kurumsal süreçler büyük oranlarda bilgi teknolojileri ile kesişmekte, hatta tamamı bilgi teknolojiler ile gerçeklenen kurumsal süreçler bulunmaktadır. Böylece, sanal şubelerle saniyeler içerisinde ve masrafsız para havalesi yapmak olanaklı duruma gelmiştir. 

Şekil - 2

Şekil 2: Bilgi sistemlerinin yaygın kullanımı sonrası

2.2 Bilgi Teknolojileri Yönetişimi (Information Technology Governance)

Yeri gelmişken bilgi teknolojileri yönetişimi kavramından söz edilebilir. İş süreçlerinin çok büyük oranlarda bilgi teknolojileri ile gerçeklenmesi kurumların varlığının ve başarısının bilgi teknolojilerine doğrudan bağlı olması manasına gelmektedir. Geçmiş senelerdekinin aksine bilgi teknolojileri kurumlar için bir masraf kapısı değil, bir fırsat kapısı olarak değerlendirilmektedir. Kurumlar bilgi teknolojilerine ne kadar çok yatırım yaparlarsa, o kadar çok bilgi teknolojilerinin sunduğu imkânlardan faydalanmakta ve bu fayda kuruma kâr olarak geri dönmektedir. Gerekli yerlerde bilgi teknolojilerini kullanmayan kurumlar market avantajlarını kaybetmekte ve düzgün hizmet verememektedir. O halde kurumların üst düzey yöneticileri bilgi teknolojilerinin kullanımı konusunda kararlar vermekle ve iş ihtiyaçları ile bilgi teknolojilerini hizalamakla sorumludurlar. Bu sorumluluk, bilgi teknolojileri yönetişimi kavramını tanımlamaktadır. BT yönetişimi konusunda en kapsamlı ve yaygın olarak kullanılan kaynak COBIT’tir. (21)

2.3 Bilgi Güvenliği Yönetişimi

Bilgi teknolojileri söz konusu olduğu zaman kaçınılmaz olarak bilgi teknolojilerinden kaynaklanan riskler akla gelmektedir. Kâğıt ortamında gerçekleştirilen iş süreçleri için söz konusu olabilecek en önemli risk fiziksel kaynaklı (örn: hırsızlık) risklerdir. Sonuç olarak bilgi teknolojilerinin yaygınlaşması öncesinde kurumların fiziksel bazı güvenlik önlemlerini uygulaması risklerin büyük kısmını kapatmaktaydı. Bilgi teknolojileri ise risk çeşidini artırmakta, riskin gerçekleşmesini kolaylaştırmakta ve riskin gerçekleşmesi durumundaki etki seviyesini artırmaktadır. Çünkü bilgi teknolojileri, bilgiye uzaktan erişime imkan verir, bilginin birçok kopyasının kolaylıkla oluşmasını sağlar, merkezi olarak çok fazla sayıda bilginin tek noktada depolanmasına imkan verir, bilinçli ve bilinçsiz bir şekilde bilgiyi değiştirmek, silmek, kopyalamak gibi işlemlerin kolaylıkla yapılmasını sağlar. Bilgi teknolojileri bilgiye sadece kurum içinden değil, kurum dışından da erişimlere imkân verir. Sonuç olarak, bilgi teknolojileri yaygınlaşmasından önce bankalardan yasadışı para almanın tek yolu fiziksel araçlardan geçerken, günümüzde ise beyaz yakalılar internet ortamını kullanarak bunu yapabilmektedir.

Bilgi teknolojileri kurumların iş süreçlerinin hemen hemen hepsinin gerçekleşmesinde büyük pay sahibi olduğu için bu teknolojilerden kaynaklanan riskler de iş süreçlerini kötü yönde etkileyen etkenler olarak karşımıza çıkmaktadır. O halde bilgi teknolojileri ile ilgili riskleri düşürmek kurumun üst düzey yöneticisinin sorumluluğunda olması gerekmektedir. Bilgi güvenliği yönetişiminin en önemli unsuru üst düzey yönetimin bizzat bilgi güvenliğinden sorumlu olmasıdır. Bilgi teknolojilerinden kaynaklanan riskler dendiği zaman sadece gizlilik ihlali, web sitelerinin kırılması gibi olaylar akla gelmemelidir. Bilgi teknolojilerinde meydana gelen arızalar sonucu kurumun gerekli hizmetlerini verememesi de önemli bir risktir.

Bilgi güvenliği yönetişiminin gerekliliğini anlamak için bilgi güvenliği risklerinin kapsamını çizmek faydalı olacaktır. Bilgi güvenliğinin küçük bir kısmı teknoloji ile ilgilidir, çok daha büyük kısmı ise personel ve süreçler ile ilgilidir. Teknoloji ile ilgili riskler genellikle bilgi güvenliği yönetişimi çerçevesine ihtiyaç duymadan seviyesi düşürebilecek risklerden oluşurken, personel ve süreçler ile ilgili riskler ise genellikle bilgi güvenliği yönetişimi çerçevesinde seviyeleri düşürülebilecek risklerden oluşmaktadır. Bu nedenle, birçok kurumda standart güvenlik önlemleri (güvenlik duvarı, antivirüs vb.) tedarik edilip kullanılırken, bu karşı önlemlerin etkinliği (kuralların düzgün girilmesi, sistem günlüklerine bakılması, sistemlerin prosedürlere göre işletilmesi, sistemler üzerinde iç denetim yapılması vb.) konusunda sıkıntılar yaşanmaktadır. Örneği daha ayrıntılı açıklamak gerekirse: kurum bilgi sistemlerini dış saldırılardan korumak için tedarik edilip kurulan bir güvenlik duvarı bilgi güvenliğinin teknolojik yönünü yansıtmaktadır. Ancak, işletmenler tarafından güvenlik duvarına gerekli olan kuralların girilmemesi veya bilgisayar kullanıcıların modem gibi cihazlar yoluyla internete çıkmaları bu teknolojik önlemden beklenen faydayı sıfıra indirir. Bu nedenle, işletim prosedürlerinin oluşturulması ve takip edilmesi, iç denetimler yapılması, kurum bilgisayar kullanıcılarının uyması gereken prensiplerin yer aldığı politika dokümanlarının oluşturulması, disiplin sürecinin işlemesi gibi teknolojik olmayan birçok karşı önlem gerekmektedir.

Sonuç olarak, iş süreçlerinin büyük bir kısmının bilgi teknolojileri yardımıyla gerçeklenmesi bilgi güvenliğini çok yönlü bir hale getirmiştir. Geçmişte yapılan kağıt tabanlı işlemlerin bilgisayarlar vasıtası ile yapılması birçok risk kaynağı oluşturmaktadır. Bu riskler,

  1. Teknolojik,
  2. Personel ile ilgili,
  3. Fiziksel
  4. Dokümantasyonla ilgi
  5. Süreçler ile ilgili karşı önlemler ile düşürülmelidir.

Bilgi güvenliğini sağlamak için sadece teknolojik karşı önlemler değil, insanları ve iş süreçlerini ilgilendiren karşı önlemler de uygulanmalıdır. Bilgi güvenliği sadece teknolojik karşı önlemler ile sağlansaydı, bilgi işlem yöneticisinin sorumlu olması yeterli olacaktı. Ancak, kurumdaki personeli ve süreçleri de içine alınan karşı önlemler gerekli olduğu için kurumun yöneticisinin bilgi güvenliğinden sorumlu olması gerekmektedir.  Teknolojik bir karşı önlem (yazılım/donanım) için de, maliyeti yüksek olması gibi nedenlerden dolayı kurum yöneticisinin onayının gerekebileceği unutulmamalıdır.

2.4 Örnek Bir Bilgi Güvenliği Yönetişim Modeli

Bu başlık altında, bilgi güvenliği yönetişimini konu alan akademik yayınlardan bir tanesinde (3) tanımlanıp yer verilen bilgi güvenliği yönetişim modeli özet olarak anlatılmıştır. Akademik yayında tanımlanan modelin temelini King Raporu’ndaki (18) “yönlendir” ve “kontrol et” aktiviteleri oluşturmaktadır. (18) Çalışmada tanımlanan bilgi güvenliği yönetişim modeli Şekil-3’de gösterilmiştir. Solms’un bu çalışmasında, kurum içerisindeki yönetim seviyeleri stratejik, taktik ve operasyonel seviyeler olmak üzere üç seviyede ele alınmıştır. Stratejik seviyede kurumun üst düzey yöneticisi, taktik seviyede orta seviye yöneticileri ve operasyonel seviye de alt seviye yöneticileri yer almaktadır. Bu yönetim kademelerinde “yönlendir” ve “kontrol et” aktiviteleri aşağıdaki şekilde işler:

En üst seviyede yönlendir aşamasında, bilgi güvenliği ile ilgili direktifler (stratejiler) belirlenir, söz konusu stratejiler bir alt seviyedeki yönetim tabakasına girdi olarak verilir. Taktik seviyede söz konusu direktifler politika ve kurumsal standart haline getirilir. Alt seviyedeki yöneticiler ise bu politika ve standartlara göre prosedürleri hazırlarlar. Bilgi güvenliği faaliyetleri hazırlanmış olan prosedürlere göre gerçekleştirilir.

Kontrol etme aşamasında ise operasyonel seviyede işlemlerin prosedürlere göre yapılıp yapılmadığı alt seviye yöneticiler tarafından kontrol edilir. Taktik seviyede, bir alt seviyedeki prosedürlerin politika ve standartlara uyumluluğu orta seviye yönetim tarafından kontrol edilir. Stratejik seviyede ise ilgili direktiflerin ne derece yerine getirildiği ve politikaların stratejilerle uyumu üst düzey yönetici tarafından kontrol edilir.

 

Şekil - 3

Şekil 3: Yönlendirme ve kontrol etme döngüsünün kullanıldığı bir bilgi güvenliği yönetişim modeli


2.5 Bilgi Güvenliği Yönetişimi-Pratik Bir Yaklaşım

Bu bölümde, kurumların başına gelebilecek örnek bir güvenlik ihlal olayına ve sonrasında kurum yöneticisi tarafından yapılabilecek eylemlere yer verilmiştir. Güvenlik olayı: kurumun yöneticisi olarak bir gece yarısı kurumunuzun web sitesine girdiniz ve web sitenizin içeriğinin değiştirilmiş olduğunu gördünüz. Bu noktadan sonra ne yapardınız?

Şekil - 4
Şekil 4: İçeriği değiştirilmiş bir kurum internet sayfası

Eğer herhangi bir girişimde bulunmazsanız, bilgi güvenliği yönetişimi kapsamında alınması gereken çok yolunuzun olduğu söylenebilir.

Eğer konunun üzerine biraz düşerseniz, kurum yöneticisi olarak bilgi işlem birimi yetkilisini sözlü olarak uyarabilirsiniz. Mevzuatta veya kurum politikasında ilişkili bir madde bulabilirseniz personele ceza verebilirsiniz. Bazı kişileri görevden alabilirsiniz veya görev değişikliği yapabilirsiniz. Ancak, kısa vade çözümler internet sayfasının tekrar kırılmayacağı manasına gelmemektedir. Bu çözümler kurumda bilgi güvenliği yönetişiminin tam olarak algılandığını göstermez. Bunlar reaktif tepkilerdir. Bilgi güvenliği yönetişimi için proaktif tepkiler gerekmektedir.

Orta/uzun vade çözümler ise bilgi güvenliği yönetişiminin gerçekten uygulanmaya başladığının somut bir göstergesidir. Bu çözümler kısa vadeli çözümlere göre çok daha fazla etkili olan proaktif çözümlerdir. Orta/uzun vade çözümler içerisinde:

  1. Program yazan personelin güvenli program yazımı ile ilgili kurslara ve sertifikasyon programlarına gönderilmesi,
  2. İnternet sayfasının barındırıldığı web sunucunun yazılı ve onaylı prosedürlere güvenlik sıkılaştırmalarının yapılması,
  3. Güvenlik duvarı ve web sunucu günlüklerine düzenli olarak bakılmasının sağlanması  ve bu işlem için de yazılı prosedürlerin kullanılması,
  4. Bilgi işlem biriminin düzenli olarak iç denetimden geçirilmesi

örnek olarak verilebilir.

2.6 Yasal Altyapının Önemi

Kurumlar için bilgi güvenliği yönetişim altyapısını oluşturmanın en önemli ve kaçınılmaz yolu gerekli bilgi güvenliği yasalarını çıkarmaktan geçmektedir. Ülkedeki tüm kamu kurumlarının ve özel sektörün uyması gereken bilgi güvenliği kurallarının yer aldığı, teknoloji bağımsız, “Nasıl?” sorusuna değil, “Ne?” sorusuna yanıt veren bir bilgi güvenliği kanunu olmaksızın kurumlardan yönetişim konusunda başarı beklememek gerekir. Türkiye’de de gerek kamu kurumlarında gerekse özel sektörde bilgi güvenliği yönetişimi bu nedenle tam manasıyla algılanıp uygulanamamaktadır. Kurumsal yönetişim için de aynı şeyler söylenebilir. Örneğin ABD’de kurumsal yönetişim ile ilgili ilkeleri ortaya koyan SOX (14) ve bilgi güvenliği yönetişimi ile ilgili FISMA (1) kanunları çıkartılmış ve uygulamaya konulmuştur. Türkiye’de ise bu konuda yasal bir düzenleme bulunmamaktadır.

Bu durumda, kurumlar için ISO/IEC 27001:2005 standardı çerçevesinde kurumsal çapta bir Bilgi Güvenliği Yönetim Sistemi oluşturmak ve işletmek oldukça zor olmaktadır. Bu nedenle, yönetişim konusunda yasal altyapının oluşturulmasına müteakip BGYS uygulamalarının hız ve verimlilik kazanacağı değerlendirilmektedir. ISO/IEC 27001:2005 ile ilgili daha ayrıntılı değerlendirmelere bir sonraki bölümde yer verilmiştir.

2.7 ISO/IEC 27001:2005 Analizi

ISO/IEC 27001:2005 standardı ile bilgi güvenliği yönetişimi arasında yapılan fark analizi sonucunda ilk göze çarpan sonuçlara bu bölümde yer verilmiştir.

Yapılmış olan bu fark analizinin amacı ISO/IEC 27001:2005’in bilgi güvenliği yönetişimi dalında eksik kaldığını belirtmek değil, bilgi güvenliği yönetişimi algılanmaksızın standart kapsamında bir BGYS kurmanın zorluğunu ortaya koymaktır. Bilgi güvenliği yönetişimi konusunda belli bir algılamanın olduğu kurumlarda ISO/IEC 27001:2005 standardı çerçevesinde bir BGYS’nin çok kısa zamanda kurulması ve başarı ile işletilmesi beklenen ve doğal bir sonuçtur. Yasal altyapı olmaksızın, ISO/IEC 27001:2005 standardı çerçevesinde BGYS kurulması esnasında yaşanabilecek sorunlar 2.7.3 başlığı altında irdelenmiştir.

Standarda bilgi güvenliği yönetişimi penceresinden bakıldığı zaman, iki temel fark göze çarpmaktadır. Bunlardan birincisi standarttaki görevlerin tamamının “yönetim” kademesine verilmesi ve yönetim kademeleri arasında bir ayrım yapılmamasıdır. İkinci fark ise, bilgi güvenliği ile kurumsal strateji arasındaki uyumluluk konusunda standartta çok az miktarda bilgi bulunmasıdır.

2.7.1 Yönetim Sorumlulukları

Bir kurumda, değişik kademelerde yönetim birimleri bulunmaktadır. Kamu kurumlarında, müsteşar, genel müdür veya başkan üst düzey yönetici olabilmektedir. Bunların altında, daire başkanları, daha alt seviyede şube müdürleri yer almaktadır. Özel sektörde ise yönetim kurulu, yürütme kurulu, orta seviye yönetim, CEO (Chief Executive Officer), CISO (Chief Information Security Officer), CFO (Chief Financial Officer), CSO (Chief Security Officer) , CRO (Chief Risk Officer), CIO (Chief Information Officer) gibi yönetim kademeleri yer almaktadır.
ISO/IEC 27001:2005 standardında yönetim ile ilgili tüm sorumlulukların tanımlanmasında “yönetim” kelimesi kullanılmıştır. Ancak, hangi yönetim kademesinin söz konusu sorumluluğa sahip olduğu konusunda herhangi bir rehberlik yer almamaktadır. ISO/IEC 27001:2005 standardından bu konuda bir rehberlik de beklenmemesi gerekmektedir. Bilgi güvenliği yönetişimin algılanıp uygulandığı kurumlarda bu konuda ekstra bir rehberliğe ve yönlendirmeye ihtiyaç olmaksızın gerekli rol ve sorumluluk paylaşımlarının yapılması beklenir.

ISO/IEC 27001:2005 standardında yönetim kelimesinin kullanıldığı yerler ve kısa açıklamaları Tablo-1’de verilmiştir. Daha ayrıntılı bilgi için standardın okunması tavsiye edilir.

 
Bölüm Yönetim Sorumluluğu
0.2 Kontrol et BGYS’nin performans değerlendirme sonuçlarının yönetime raporlanması
0.2 Önlem al Yönetim gözden geçirmelerinin sonuçlarının uygulanması
4.2.1 BGYS’nin kurulması BGYS politikasının yönetim tarafından onaylanması. Geri kalan risk seviyesi için yönetim onayı. BGYS uygulaması için yönetim ruhsatı alınması
4.2.2 BGYS’nin gerçekleştirilmesi ve işletilmesi Risk işleme planında yönetim fiillerinin geçmesi
4.2.3 BGYS’nin izlenmesi ve gözden geçirilmesi Yönetimin güvenlik aktivitelerinin etkinliğini kontrol etmesi. Yönetim gözden geçirmesi yapılması
4.3 Dokümantasyon Yönetim kararlarının dokümante edilmesi
4.3.2 Dokümanların kontrolü Yönetim kararları ile ilgili dokümante prosedürler
5 Yönetim sorumluluğu Yönetimin bağlılığı ile ilgili kanıtlar
6 BGYS iç denetimleri  Denetlenen alandan sorumlu yönetimin sorumlulukları
7 BGYS’yi yönetimin gözden geçirmesi BGYS’nin belli aralıklarla yönetim tarafından gözden geçirilmesi
7.2 Gözden geçirme girdisi Yönetim gözden geçirmesinin girdileri
7.3 Gözden geçirme çıktısı Yönetim gözden geçirmesinin çıktıları
8.1 Sürekli iyileştirme Yönetim gözden geçirmeleri ile BGYS’nin geliştirilmesi

Tablo 1: ISO/IEC 27001:2005’de geçen yönetim sorumlulukları

2.7.2 Bilgi Güvenliği ile Kurum Stratejisinin Uyumu

Bilgi güvenliği ve kurumsal stratejinin uyumu bilgi güvenliği yönetişiminin en önemli bileşenlerinden biridir. ISO/IEC 27001:2005’in giriş kısmında “bir kuruluş için BGYS’nin benimsenmesi stratejik bir karar olmalıdır” ifadesi yer almaktadır. Bilgi güvenliği yönetişimin uygulandığı kurumlarda bu ifadenin zaten uygulanması beklenir. Bilgi güvenliği yönetişimin uygulandığı bir kurumda BGYS olmasa bile, “bilgi güvenliği stratejik bir karar neticesinde” benimsenecektir. Bunun ardından BGYS çok kolay bir şekilde kurulup işletilebilecektir. Bilgi güvenliği yönetişiminin uygulanmadığı kurumlarda ise BGYS’nin stratejik bir karar neticesinde benimsenmesi çok nadir görülecek bir durumdur.

2.7.3 Bilgi Güvenliği Yönetişimi ve ISO/IEC 27001:2005

Bilgi güvenliği yönetişimi konusunda yasal bir düzenleme ve zorunluluk olmaması ülkemizde faaliyet gösteren kamu kurumları ve özel sektörde bilgi güvenliği yönetişiminin çok az sayıdaki kurumda uygulanmasına yol açmaktadır. Yasal eksiklik, bilgi güvenliği yönetiminin uygun bir şekilde yapılandırılmasına da engel olmaktadır. Bu durumda, Bilgi Güvenliği Yönetim Sistemi kurmak isteyen kurumlarda görev yapan yönetici ve personelde genellikle aşağıdaki yanlış algılamalar olmaktadır:

  1. BGYS’nin kapsamı bilgi işlem birimidir.
  2. BGYS’yi kurmaktan ve yürütmekten sorumlu üst düzey yönetici bilgi işlem birimi başkanıdır.
  3. BGYS bir bilgi teknolojileri projesidir.
  4. BGYS’nin sadece ve doğrudan bilgi işlem birimi ile bağlantısı vardır.
  5. BGYS’nin sadece ve doğrudan güvenlik teknolojileri ile bağlantısı vardır.
  6. BGYS bir yazılım/donanım/servis tedarik projesidir.
  7. BGYS, tamamen başka bir kuruma yaptırılabilen bir projedir.

Bu cümlelerin doğrusu ise şu şekilde olmalıdır:

  1. BGYS’nin kapsamı nihai olarak kurumun tamamıdır.
  2. BGYS’yi kurmaktan ve yürütmekten sorumlu yönetici kurumun en üst düzey yöneticisidir.
  3. BGYS bir bilgi teknolojileri projesi değildir. Bir bilgi güvenliği projesidir.
  4. BGYS’nin kurumun tüm birimleri ve süreçleri ile ilişkisi vardır.
  5. BGYS kapsamında güvenlik teknolojilerinden faydalanılır.
  6. BGYS kapsamında yazılım/donanım/servis tedariki yapılabilir.
  7. BGYS kurulması için başka bir kurumdan danışmanlık hizmeti alınabilir. Ancak BGYS’yi asıl kurması gereken kurumun kendisidir.

ISO/IEC 27001:2005 standardı, bilgi güvenliği yönetişiminin kurumda olduğunu varsayarak bilgi güvenliği yönetiminin oluşturulmasına dair yapılması gerekenleri içermektedir. Bu durumda, bilgi güvenliği yönetişimi kavramının algılanmadığı bir kurum her ne kadar BGYS işletmek ve sertifika almak istese de, bu istek genellikle bilgi işlem birimi içerisinden gelecek, yapılacak olan çalışmalar genellikle bilgi işlem sınırlarını aşamayacak, bu nedenle de BGYS projeleri sürdürülemeyecek veya düzgün bir şekilde sonlandırılamayacaktır.

2.8 Bilgi Güvenliği Yönetişim Anketi

Bilgi güvenliği yönetişiminin gereğinin yapıldığı bir kurumun yöneticinin aşağıdaki listelenmiş olan soruların tamamına olumlu yanıt vermesi beklenir. (6) Sorulara verilen olumsuz yanıtlar kurumda bilgi güvenliği konusunda çok temel eksikliklerin olduğu gösterir. Ülkemizde kamu kurumlarının ve özel sektörün büyük çoğunluğunun bu soruların tamamına olumlu ve doyurucu yanıt vermesi için bilgi güvenliği yönetişimi ile ilgili yasaların hazırlanıp yürürlüğe girmesi gerekmektedir. 

Soru-1: Bilginin kritik derecede önemli bir varlık olduğunu kabul ediyor musunuz? 

Soru-2: Bilgi varlıklarınızı etkileyebilecek riskleri ortaya koymak için kurumsal çapta bir risk analizi yapıldı mı?

Soru-3: Ortaya konan riskleri kabul edilebilir bir seviyeye düşürmek için kararlılığınız var mı?

Soru-4: Kurumsal çapta etkin bir bilgi güvenliği politikası oluşturulmasını ve bu politikanın kuruma yayılmasını sağladınız mı?

Soru-5: Bilgi güvenliği için bütçe, personel gibi kaynakları sağladınız mı?

Soru-6: Politikaların bir alt seviyesinde yer alan ve işleyin nasıl yapılacağını tanımlayan prosedür ve kılavuzların varlığını kontrol ettiniz mi?

Soru-7: Politika ve prosedürlerin düzgün aralıklarda ve gerektiğinde güncellenmesini sağlıyor musunuz? 

Soru-8: Bilgiyi işleyen tüm kurum personelinin bilgi güvenliği konusunda çalışma alanına uygun eğitimleri almasını sağladınız mı? 

Soru-9: Her türlü güvenlik önleminin etkinliği ve güncelliğinin iç denetimler yardımıyla kontrol edilmesini sağlıyor musunuz?

3.  Sonuç

Eğer önümüzdeki yıllarda ülkemizde bilgi güvenliği yönetişim altyapısını zorunlu hale getiren bir yasal düzenleme yapılırsa, uygulamada bunun ilk yansıması alt seviyeden kurum yönetimine doğru bir bilgilendirme koridorunun oluşturulması olacaktır. Kurum yöneticisinin sorumluluğundaki riskler için gerekli direktifleri verebilmesi için alt seviyedeki bir birimin bilgilendirme yapması gerekecektir. Akademik kaynaklarda bu birimin denetleme komitesi olabileceği belirtilmektedir. (7)

Yapılan bilgilendirme kapsamında aşağıdaki hususlara yer verilebilir:

  1. Riskin miktarı, yaygınlığı, senelik beklenen zarar
  2. Kurumun güvenlik gereksinimleri
  3. Alınacak karşı önlemin maliyeti
  4. Karşı önlemin kurum içerisinde uygulanabilirliği
  5. Yasal zorunluluklar

Bilgilendirmenin ardından, üst düzey yöneticiden bilgi güvenliği ile ilgili konuda karar vermesi ve önlem alınmasına karar verirse önlem hakkındaki direktiflerini yazılı olarak ilgili birim yöneticine bildirmesi beklenecektir. Ülkemizde kısa süre içerisinde bilgi güvenliği yönetişimi ile ilgili bir yasal altyapının oluşturulması ve bu bölümde belirtilen çalışma mekanizmasının gerçekleşmesi ümidiyle...  

 

Referanslar

1. http://csrc.nist.gov/drivers/documents/FISMA-final.pdf

2. OECD Guidelines for the Security of Information Systems and Networks, Towards a Culture of Security, 2002, Organisation for Economic Co-operation and Development URL: http://www.oecd.org/dataoecd/16/22/15582260.pdf

3. Solm v. S., Solms B., 2006, Information Security Governance: A Model Based on the Direct-Control Cycle, pp.408-413

4. Williams P., 2001, Information Security Governance, Information Security Technical Report, Vol. 6., No. 3, pp. 60-70

5. Solms v. B., 2001, Corporate Governance and Information Security, Computers & Security, 20, pp.215-128

6. Solm v. S., Solms B., 2006, Information Security Governance: Due care, pp.494-497

7. Posthumusa S., Solms R., 2005, IT Oversight: An Important Function of Corporate Governance, Computer Fraud & Security, pp. 11-17

8. Mears L., Solms v. R., 2004, Corporate Information Security Governance: A Holistic Approach, ISSA (Information Security South Africa)

9. Information Security Governance, Guidance for Boards of Directors and Executive Management, 2nd Edition, 2006, IT Governance Institute, URL: http://www.isaca.org/ContentManagement/ContentDisplay.cfm?ContentID=34997

10. Best Practices in Security, Governance, 2005, Aberdeen Group

11. Information Security Governance: Toward a Framework for Action, Business Software Alliance, http://www.bsa.org/country/Research%20and%20Statistics/~/media/BD05BC8FF0F04CBD9D76460B4BED0E67.ashx

12. Information Security Governance, An Essential Element of Corporate Governance, 2004, Entrust, http://publications.ksu.edu.sa/IT%20Papers/CISM/wp_entrust_isg_april04.pdf

13. Information Security Governance, A Call to Actions, 2004, Corporate Governance Task Force, URL: http://www.cyberpartnership.org/InfoSecGov4_04.pdf

14. http://en.wikipedia.org/wiki/Sarbanes-Oxley_Act

15. http://en.wikipedia.org/wiki/Gramm-Leach-Bliley_Act

16. http://en.wikipedia.org/wiki/Health_Insurance_Portability_and_Accountability_Act

17. http://en.wikipedia.org/wiki/Cadbury_Report

18. http://en.wikipedia.org/wiki/King_II

19. OECD Principles of Corporate Governance, 2004, Organisation for Economic Co-operation and Development, URL: http://www.oecd.org/dataoecd/32/18/31557724.pdf

20. ISO/IEC 27001:2005, Information technology -- Security techniques -- Information security management systems – Requirements, International Organization for Standardization, International Electrotechnical Commission, URL: http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnumber=42103

21. COBIT 4.1, Control Objectives for Information and Related Technology, 2007, Information Systems Audit and Control Association (ISACA), URL: http://www.isaca.org/cobit.htm


Favori olarak ekle (3) | Görüntüleme sayısı: 13168

Yorumlar (2)
1. 11-11-2008 22:34
 
BGYS'nin uygulanacağı kurumda, mutlaka Üst Yönetim'in desteği alınarak işe başlanmalıdır. Maalesef, bu destek kurumdan kuruma değişiklik göstermekle birlikte, alınması da bir o kadar zordur. Genellikle, firmaların geçmişleri araştırıldığında, Üst Yönetim Desteğinin tam olduğu firmalar, geçmişlerinde mutlaka çok ciddi güvenlik tehdidi / sorunuyla karşılaşmış firmalar olduğu ortaya çıkmaktadır.
 
turgut baykal
2. 24-04-2008 13:01
 
Bilgi Güvenliği Yönetim Sistemi'nin oluşturulması sırasında temelde mutlaka değinilmesi gereken çıkış noktası, BGYS'nin konumlandırılacağı kurum ya da firmanın iş süreçleri ve orta/uzun vadeli stratejik planlarıdır. Nihayetinde herhangi bir kurum ya da firma için bilgi, gerek iş süreçleri gerekse stratejik planları doğrultusunda üreteceği verilerdir. Bu verilerin hem rekabetçilik hem de saygınlık adına mümkün olan en üst seviyede korunması gerekmektedir. İşte bu korumanın ilk çıkış noktasını da bu güzel yazıda açıklanmış olan Bilgi Güvenliği Yönetim Sistemi oluşturmaktadır. Oturmuş BGYS sahibi tüm kuruluşlar, rakiplerine göre avantajlıdırlar. Ancak BGYS'nin herhangi bir kuruluşta tesis edilebilmesinin en önemli faktörlerinden biri üst yönetimin sınırsız desteğidir. Üst düzey yöneticilerin mutlaka bilgi sistemleri güvenliğinden direkt sorumlu olduklarını bilmeleri gerekir. Dolayısıyla BGYS'nin tesis edilmesinde üst düzey yöneticilerin de bilinçlendirilmesi sürecin kolaylaşmasını ve daha kısa sürede işler hale gelmesini sağlayacaktır. Ancak unutulmamalıdır ki; bu süreç hiçbir zaman sona ermez. Kuruluşların hayatları boyunca devam eder; etmelidir. Yazarımızın ellerine sağlık...
 
Cem SOFUOGLU

Sadece kayıtlı kullanıcılar yorum yazabilir.
Lütfen sisteme giriş yapın veya kayıt olun.

 
spacer.png, 0 kB
spacer.png, 0 kB
Copyright 2017 TÜBİTAK-BİLGEM. Sitenin teknik altyapısında Joomla kullanılmıştır. Yazar ve site referans gösterilmeden alıntı yapılamaz. Görüşleriniz
spacer.png, 0 kB