Bu makalenin amacı, bilgi, bilgi güvenliği ve Bilgi Güvenliği Yönetim Sistemi (BGYS) hakkında ön bilgi vermek ve okuyucuda farkındalık yaratmaktır. Makalede sırasıyla bilgi, bilgi güvenliği ve BGYS konularına değinilecek olup karşılaşılan problemlerden, BGYS’nin amacından ve neden kurulması gerektiğinden bahsedilecektir. Makalede BGYS projesi terimi kullanılmaktadır. Proje normal şartlarda başlangıç ve bitiş tarihleri belli olan bir çalışmadır. Fakat BGYS sürekli yaşaması gereken bir sistemdir. BGYS projesi kapsamında danışman firma, kuruma özgü bir BGYS tasarımı gerçekleştirmekte, kurumun BGYS’yi yaşatmasına yardımcı olmaktadır.

1. Temel Kavramlar

Bu başlık altında bilgi, bilgi güvenliği, gizlilik, bütünlük ve kullanılabilirlik terimleri açıklanacaktır.

1.1 Bilgi

Veri olgulara dayanır, özellikle analiz ve bir sonuç çıkarmak için kullanılır. Kendi başına verinin bir manası yoktur. Ancak yorumlandığı zaman bilgiye dönüşür. Bilgi ise işlenmiş, analiz edilmiş ve belli bir sonuca varılmış veridir.

Bilgi kurumun kimliğidir, diğer bütün kurum varlıkları gibi organizasyon için değeri olan ve aralıksız olarak uygun bir şekilde korunması gereken bir varlıktır. Ayrıca bilgi somut bir varlık değildir. Bilgiyi somutlaştıran öğeler bilginin sahibi, tutulduğu ortam ve ortamın fiziksel yeri olmaktadır. Bilgi elektronik ortamda, havada, basılı doküman olarak, konuşmalarda ya da kurum personelinin zihninde yer alabilir.

Bilgi tüm kurum personeli tarafından oluşturulur, değiştirilir, iletilir, depolanır ve silinir.

1.2 Bilgi Güvenliği

İş devamlılığının sağlanması, iş zararlarının asgariye indirilebilmesi, yatırımların ve iş imkanlarının getirisinin arttırılması için geniş bir tehdit kümesine karşı bilginin korunması işlemine bilgi güvenliği adı verilmektedir.

Korunması gereken bilgi çeşitleri rakiplerinizin elde etmesini istemediğiniz iç bilgiler, müşteri/tedarikçiye ait kurumun açığa çıkarmaması gereken bilgiler, sadece ticari ortaklarla paylaşılması gereken bilgiler ve İnternet üzerinden yayınlanan herkese açık bilgilerdir.

Bilgi sistemlerinin hayata geçmesiyle ortaya çıkan merkezi depolama, işleme, bilgiye erişebilme imkanlarının artması, bilinçli veya bilinçsiz hataların çok önemli sonuçlar doğurması, izinsiz erişimler, bilginin yetkisiz imhası, yetkisiz değiştirilmesi ve yetkisiz görülmesi ihtimallerinin artması gibi problemler nedeniyle bilgi güvenliği kavramı gündeme gelmektedir.

Bilgi işlem süreçleri hayata geçirilmeden evvel kurum süreçlerinin büyük bir kısmı ya da tamamı bu süreci kullanmamaktaydı. Bilgi sistemlerinin yaygınlaştığı günümüzde ise kurumsal süreçlerin tamamı ya da büyük bir kısmı bilgi işlem süreçleriyle iç içe girmektedir.

Günümüzde ise bilgi teknolojilerinin daha çok günlük hayata girmesi, bilgi teknolojilerini daha çok kişinin kullanması, bilgi teknolojisi ürünlerinin hızlı bir şekilde üretilmesi ve sistemlerin hızlı geliştirilmesinden kaynaklanabilecek güvenlik açıklıkları ortaya çıkmaktadır.

Bilgi güvenliğinin baş sorumlusu kurumun üst düzey yöneticileridir. Bunun haricinde bilginin sahibi, bilgi sistemini kullananlar ve bilgi sistemini yönetenler de bilgi güvenliğinden sorumlu kişilerdir.

Bilgi güvenliğinin en temel mekanizmaları kullanılabilirlik ve bilgi güvenliği dengesi, bilgiyi iş sürecinde kullanan ve bilgiyi işleyen sistemleri yöneten kişilerin sorumluluğunda olan risk seviyesi belirleme, kurumun her biriminin katkısı ve üst yönetimin bilgi güvenliğini takip etmesi, yönlendirmesi ve faaliyetleri onaylaması olarak gösterilebilir.

Bilgi güvenliğinin temel bileşenleri gizlilik, bütünlük ve kullanılabilirliktir.

1.2.1 Gizlilik

Gizlilik bilginin sadece yetkili kişilerce erişilebilir olduğunun garanti edilmesi durumudur. Kriptografik önlemler, erişim kontrolü ve güvenlik duvarları gizliliğin korunmasını sağlayan önlemlerin başında gelmektedir.

1.2.2 Bütünlük

Bütünlük bilginin ve iletişim sistemlerinin sadece yetkili kişiler ve işlemlerce değiştirilebilir olmasını sağlamaktadır. Özetleme, antivirüs sistemleri ve yama yönetimi bütünlüğün korunmasını sağlayan önlemlerin başında gelmektedir.

1.2.3 Kullanılabilirlik

Kullanılabilirlik yetkili kullanıcıların bilgiye istedikleri anda ve yetkili oldukları zaman içerisinde ulaşmalarının garanti edilmesi olarak tanımlanmaktadır. Yedekleme kullanılabilirliğin korunmasını sağlayan önlemlerin başında gelmektedir.

2. Bilgi Güvenliği Yönetim Sistemi (BGYS)

Bilgi ve bilişim sistemlerini iş gerekleri ve yasal yükümlülükler çerçevesinde koruyabilmek için aşağıdaki durumların sağlanması gerekmektedir:

• Kurum dışına bilgi sızmasını engellemek
• Bilginin içeriğinin yetkisiz kişilerce değiştirilmesi
• Bilgiye erişimin kesintiye uğraması (İş sürekliliği)
• Yeni teknoloji ve araçların kullanımı
• Yasal uyumluluk
• Risk - maliyet dengelemesi

Bilgi Güvenliği Yönetim Sistemi (BGYS), bir kurumdaki bilgi güvenliğini tasarlayan, gerçekleyen, işleten, gözleyen, değerlendiren, bakımını yapan ve geliştiren bir çerçeve sağlamaktadır. BGYS aşağıdaki maddelerin oluşturulmasında yardımcı olur:

• İş aktivitelerinde meydana gelen riskleri yönetebilmek
• Güvenlik olaylarına müdahale aktivitelerini yönetebilmek
• Kurumda güvenlik kültürünün oluşmasını sağlamak

Bir kurum neden BGYS kurmalıdır sorusuna aşağıdaki cümleler cevap olarak verilebilir:

• Teknik imkanlarla gerçekleştirilen bilgi güvenliği sınırlı kalmaktadır.
• Güvenlik ayrıca personele, politikalara, süreçlere ve prosedürlere de bağlıdır.
• Kaynaklar sınırlıdır.
• Bir seferde ulaşılabilecek bir hedef değil, süreklilik gerektiren bir aktivitedir.

Bu maddeler yalnızca düzgün bir BGYS kurulmasıyla sağlanabilir. Bilgi güvenliğinin en temel mekanizmaları arasında bilgi güvenliği politikasını oluşturma, risk tespiti, önlemlerin belirlenmesi ve önlemlerin uygulanmasının devamlı yapılması, daima daha iyiye gidecek bir döngü kurma, bilgi güvenliği denetim mekanizmalarını kurma ve bilgi güvenliği bilinçlendirme faaliyetleri gelmektedir.

Bir kurumda BGYS kuruluysa aşağıdaki maddeler yapılıyor/sağlanıyor demektir:

• Risk analizi
• Risklere karşı önlem:

1. Politika ve prosedürler
2. Yazılım/donanım tedarikleri
3. Bilgi güvenliği farkındalık faaliyetleri

• Güvenlik problemleri yaşanırsa yapılması gerekenler:

1. İşlemler yazılı dokümanlara göre yapılır.
2. Kayıtlar oluşturulur.

• İç denetimler:

1. Üst düzey kurum yöneticisi bilgi güvenliği çalışmalarına katılır.

BGYS bir kurumda %100 güvenlik sağlamamaktadır. %100 güvenliğin sağlanmaya çalışıldığı yerlerde aşırı harcama ve normal operasyonda yavaşlama meydana gelmektedir. Ayrıca BGYS yalnızca teknik ya da teknolojik bir sistem olarak görülmemelidir. Bunlara ilave olarak getirilen düzen, gözden geçirme ve bilinç de hesaba katılmalıdır. Pek çok kurumda karşılaşılan bir başka yanlış kanı da BGYS’nin sadece bir bilgi işlem faaliyeti olarak görülmesidir. Halbuki BGYS tüm kurumu ve özellikle üst düzey yöneticileri ilgilendiren bir faaliyet olarak görülmelidir. Kurumlarda karşılaşılan bir başka yanlış kanı da BGYS projesinin dışarıdan bir kurumun danışmanlığıyla gerçekleştirebileceği bir proje olarak görülmesidir. Kurumun hedef ve önceliklerinin dışarıdan doğru olarak belirlenmesi hemen hemen mümkün olmamakta, kurum içinden de projeye önemli derecede destek gelmesi beklenmektedir. BGYS projesi bir elbise, danışmanlık veren kurum da terzi olarak düşünüldüğünde, terzinin kuruma uygun olarak elbiseyi dikmesi için mutlaka kurumdan yardım alması gerekmektedir.

2.1 PUKÖ Modeli

PUKÖ, planla, uygula, kontrol et ve önlem al terimlerinin baş harflerinden oluşan bir döngüdür. PUKÖ modeli ne yapılacağına karar verilmesi, kararın gerçeklenmesi, çalıştığının kontrol edilmesi ve çalışmayanlar için önlemlerin alınması olarak özetlenebilir.

PUKÖ modelinin girdisi, bilgi güvenliği gereksinimleri ve beklentileridir. Bu modelin çıktısı, bilgi güvenliği yönetimidir. PUKÖ temel olarak bir uygulama, bakım ve geliştirme döngüsüdür. Şekil 3-1’de PUKÖ modeli verilmiştir.

   Şekil 2.1  PUKÖ Döngüsü

2.1.1 Planla (BGYS’nin kurulması)

PUKÖ modelinin bu aşamasında bir BGYS tasarımı yapılmaktadır. Sonuçları kuruluşun genel politikaları ve amaçlarına göre dağıtmak için, risklerin yönetimi ve bilgi güvenliğinin geliştirilmesiyle ilgili BGYS politikası, amaçlar, hedefler, prosesler ve prosedürlerin kurulması işlemleri de bu aşamada gerçekleşmektedir.

2.1.2 Uygula (BGYS’nin gerçekleştirilmesi ve işletilmesi)

PUKÖ modelinin bu aşamasında BGYS politikası, kontroller, süreçler ve prosedürlerin gerçekleştirilip işletilmesi konuları ele alınmaktadır.

2.1.3 Kontrol Et (BGYS’nin izlenmesi ve gözden geçirilmesi)

PUKÖ modelinin bu aşamasında BGYS politikası, amaçlar ve kullanım deneyimlerine göre süreç performansının değerlendirilmesi ve uygulanabilen yerlerde ölçülmesi ve sonuçların gözden geçirilmek üzere yönetime rapor edilmesi konuları ele alınmaktadır.

2.1.4 Önlem al (BGYS’nin sürekliliğinin sağlanması ve iyileştirilmesi)

PUKÖ modelinin bu aşamasında BGYS’nin sürekli iyileştirilmesini sağlamak için, yönetimin gözden geçirme sonuçlarına dayalı olarak, düzeltici ve önleyici faaliyetlerin gerçekleştirilmesi konuları ele alınmaktadır.

3. Sonuç

Bu makalede sırasıyla bilgi, bilgi güvenliği ve BGYS konularına değinilmiş, karşılaşılan problemlerden, BGYS’nin amacından ve neden kurulması gerektiğinden bahsedilmiştir. Ayrıca BGYS kurulumunda izlenen PUKÖ modelinde yer alan dört adet aşama hakkında da özet bilgi verilmiş olup bir bilgi güvenliği farkındalığı yaratılmaya çalışılmıştır.

Özetle bilgi güvenliği bir seferde ulaşılabilecek bir hedef değildir, sürekli gelişerek yaşayacak bir döngüye sahiptir.

Referans

[1] ISO/IEC 17799 Information technology - Security techniques - Code of practice for information security management

Sadece kayıtlı kullanıcılar yorum yazabilir.
Lütfen sisteme giriş yapın veya kayıt olun.