|
Bir kurumda Bilgi Güvenliği Yönetim Sistemi (BGYS) kurulum çalışmalarına başlarken bilgi varlıklarının envanterinin oluşturulması ve bu varlıkların güvenlik kriterleri olarak adlandırdığımız gizlilik, bütünlük, kullanılabilirlik değerlerinin tespit edilmesi gerekmektedir. Bilgi varlıklarının eksik tespit edilmesi veya gizlilik, bütünlük kullanılabilirlik değerlerinin eksik veya yanlış tespit edilmesi, risk analizi başta olmak üzere birçok adımda hatalara sebep olacaktır. Bu yazıda bir kurumda bilgi varlıklarının nasıl tespit edileceğine ve güvenlik kriterlerinin belirlenmesine ilişkin örnek bir metodoloji anlatılacaktır.
Örnek Varlık Envanteri Oluşturma Metodolojisi
Kurumda korunması gereken bilgi varlıklarını tespit ederken Şekil 1’deki varlık sınıflandırma piramidini kullanmak hem varlık envanterinin eksiksiz oluşturulmasını hem de bu işlemin daha kolay bir şekilde yapılmasını sağlayacaktır. Varlık envanteri oluşturulurken önce varlıkların isimleri tespit edilmelidir. Varlık isimleri tespit edilirken piramit yukarıdan aşağıya doğru kullanılacaktır. Donanım varlıkları en somut varlıklar oldukları için tespit etmesi en kolay olan varlıklardır. Öncelikle donanım varlıkları tespit edilecektir. Donanım varlıklarının tamamının listelendiğini kontrol edebilmek amacıyla her bir varlığın bulunduğu yer de ayrıca belirtilmelidir. Daha sonra donanım varlıklarının bulunduğu liste kullanılarak yazılım varlıkları tespit edilecektir. Yazılım varlıkları tespit edilirken her bir donanım varlığı ayrı ayrı değerlendirilmeli ve bu donanımların üzerinde bulunan yazılımlar listelenmelidir. Yazılım varlıkları listesinin tam olup olmadığını kontrol etmek için yazılım varlıklarının listelendiği tabloda bir sütun da varlığın üzerinde bulunduğu donanımın belirtilmesi için kullanılmalıdır. Yazılım varlıklarının tespitinden sonra bu yazılımların işlediği bilgi listelenerek bilgi varlıklarının listesi oluşturulmalıdır. Bilgi varlıklarının bulunduğu listenin tüm bilgi varlıklarını içerip içermediğini çapraz kontrol ile tespit etmek için bilgi varlıklarının bulunduğu tablonun bir sütununda da varlığı işleyen yazılım belirtilmelidir. Bilgi varlıkları sadece yazılımlar tarafından işlenen bilgiler olmayabilir. Yazılı haldeki dokümanlar da bilgi varlığı olarak değerlendirilmelidir. Bu türdeki bilgi varlıklarının saklandıkları yer de belirtilmelidir.
Şekil-1 Varlık Sınıflandırma Piramidi
Bu aşamaya kadar varlık listesinin oluşturulması anlatılmıştır. Varlık listesi oluşturulduktan sonra her bir varlığı daha somut olarak tanımlamamızı sağlayacak bazı özellikleri (seri no, sahibi, lisans bilgisi vs.) kullanarak varlık envanteri oluşturulacaktır. Varlık envanteri oluşturulurken yazılı hale getirilecek olan özellikler varlığın türüne göre değişiklik göstermektedir. Her bir varlık türü için oluşturulacak envanter tablo şablonları aşağıda gösterilmiştir.
Donanım Varlıkları
Donanım varlıklarının yazılacağı tablo şablonu Tablo 11’de gösterildiği şekilde olacaktır. Donanım varlıkları oluşturulurken bilgi işleyen her türlü donanım yazılacak, klavye, mouse gibi bilgi işlemeyen ve bulundurmayan donanımlar yazılmayacaktır.
Tablo-1 Donanım varlıkları envanter şablonu
Yazılım Varlıkları
Yazılım varlıklarının yazılacağı tablo şablonu Tablo2’da gösterildiği şekilde olacaktır. Yazılım varlıkları oluşturulurken kurum bünyesinde kullanılan ve bilgi işlem tarafından satın alımı ve destek faaliyetleri yürütülen her türlü işletim sistemi, uygulama yazılımı belirtilecektir. Lisanssız olan yazılımlar yaygın şekilde kullanılıyorsa lisanssız olduğu belirtilerek yazılacaktır.
Tablo-2 Yazılım varlıkları envanter şablonu
Bilgi Varlıkları
Bilgi varlıklarının yazılacağı tablo şablonu Tablo’de gösterildiği şekilde olacaktır.
Tablo-3 Bilgi varlıkları envanter şablonu
Varlık listesinden sonraki aşama olan varlık envanteri oluşturulma aşamasında her bir varlık için varlığın güvenlik kriterleri olan gizlilik, bütünlük, kullanılabilirlik değerleri belirlenecektir. Varlıkların güvenlik kriterlerine ait değerler belirlenirken Şekil 1: Varlık Sınıflandırma Piramidi yukarı yönde kullanılacaktır. Bilgi varlığının güvenlik kriterlerine ait değerleri hesaplamak diğer varlıklara göre daha kolay olduğu için öncelikle bilgi varlıklarının gizlilik, bütünlük, kullanılabilirlik kriterlerinin değerleri belirlenecek, daha sonra bu varlığı işleyen yazılım için güvenlik kriterlerine ait değerler belirlenecektir. Yazılım varlığı için güvenlik kriterleri belirlendikten sonra yazılım varlığının üzerinde bulunduğu donanım varlığı için de bu değerlerden faydalanılarak güvenlik kriterlerinin değerleri belirlenecektir. Bilgi varlığının güvenlik kriterlerine ait değerler bu varlığı işleyen yazılım varlığının değerlerini, yazılım varlığının güvenlik kriterlerine ait değerler de ilgili donanım varlığının değerlerini doğrudan etkileyecektir. Örneğin, bilgi varlığı olan personel veritabanının kullanılabilirlik değeri yüksek ise bu veritabanını kullanan yazılımın ve bu yazılımın üzerinde çalıştığı donanımın da kullanılabilirlik değeri en az yüksek olarak belirlenmelidir.
Sonuç
Bilgi güvenliği yönetim sistemi kurulumundaki en temel adımlardan olan varlık envanteri oluşturmak için uygulamayı yapacak olan kurum kendine uygun bir metodoloji belirlemelidir. Yukarıda anlatılan metodoloji istendiği takdirde tüm BGYS projelerinde kullanılabileceği gibi daha çok bilgi sistemleri üzerinde yoğunlaşan çalışmalarda faydalı olacaktır.
Referanslar
[1] Fatih Koç, “Varlık Envanteri Oluşturma Kılavuzu” http://www.bilgiguvenligi.gov.tr/index.php?option=com_content&task=view&id=223
[2] ISO/IEC Guide 73- 2002 Risk management -- Vocabulary -- Guidelines for use in standards
[3] International Standard ISO/IEC 27001, Information technology – Security techniques – Information security management systems – Requirements.
[4] International Standard ISO/IEC 27002, Information technology – Security techniques – Code of practice for information security management.
 Favori olarak ekle (1) | Görüntüleme sayısı: 3248
Sadece kayıtlı kullanıcılar yorum yazabilir.
Lütfen sisteme giriş yapın veya kayıt olun. |
