ISO 27001 Bilgi Güvenliği Yönetim Sistemi

ISO 27000 belgesi her geçen gün büyüyen ISO/IEC ISMS standart ailesinin bir parçasıdır. ISO 27001 belgesi serisi, “Bilgi teknolojisi- Güvenlik teknikleri- Bilgi güvenliği yönetimi sistemleri-genel bakış ve tanımlar” başlıklarını kapsayan uluslararası standart için tanımlanmış numaralardır. Genel olarak “ISO 27000 belgesi veya ISO 27001 belgesi”olarak bilinmektedir.

Bilgi, bir kuruluşun başarısı ve büyümesi için gerekli anahtardır. Belgelendirilmiş bir Bilgi Güvenliği Yönetim Sistemi; müşterilerinize, bilgilerinizin – kağıt üzerinde, elektronik ortamda, veya çalışanlarınızın beyinlerinde – uygun olarak korunduğunu kanıtlar.

Bilgi Güvenliği Yönetim Sistemi; bilgi güvenliği çabalarınızı odaklamanıza ve bilgilerinizi korumanıza yardımcı olduğu gibi, kritik güvenlik risklerini belirleyip onları en aza indirmenizi de sağlar. Değer odaklı denetim yaklaşımımızla, CIcert denetçileri seçilmiş standartlara uygunluğunuzu ölçmenin yanısıra, Bilgi Güvenliği Yönetim Sisteminizin sizin için en büyük öneme sahip alanlarda ne kadar iyi olduğunu da değerlendirirler.

Bilgi Güvenliği Yönetim Sisteminizin Certification International belgeyle ödüllendirilmesi için Cıcet denetçileri tarafından ISO/IEC 27001:2005 standardına göre  gerçekleştirilen denetimden başarıyla geçmeniz gerekmektedir.

Bilgi Güvenliği Yönetim Sisteminizin belgelendirilmesi size değerli faydalar sunmaktadır:

ISO 27000 belgesi standardı, Uluslararası Standardizasyon Örgütü’nün ve Uluslararası Elektroteknik Komisyonu’nun ortaklığında kurulan Birleşik Teknik Komite’ye bağlı bir alt komite tarafından geliştirilmektedir.

ıso 27000 belgesi standardı, ISO/IEC 27000 Bilgi Güvenliği Yönetimi Sistemleri (Information Security Management Systems (ISMS)) standart ailesine genel bir bakış ve ISMS kapsamında kullanılan temel terimlere ve tanımlara benzerlik ve uygunluk sağlar.

Bilgi güvenliği, diğer pek çok teknik konuda olduğu gibi karmaşık bir terminoloji ağı geliştirmektedir. Nispeten az sayıda yazar bu terimlerin tam olarak ne anlama geldiğini belirleme zahmetine katlanmakta ve bu da standartlar konusunda kabul edilemez, karışıklığa yol açabilecek ve  değerlendirme ve belgelendirme sürecinin değerini azaltıcı bir yaklaşım olmaktadır. ISO 9000 ISO 14000 de olduğu gibi, ‘000’ temelli standartlar bu durumun önemini ortaya koymayı amaçlamaktadırlar.

ISO 27001 BELGESİ

ıso 27001 belgesi standardı, her geçen gün büyümekte olan ISO/IEC 27000 standart serilerinin bir parçası olup, Uluslararası Standardizasyon Örgütü ve Uluslararası Elektroteknik Komisyonu tarafından Ekim 2005’te yayınlanmış bir Bilgi Güvenliği Yönetim Sistemi standardıdır. Standardın tam adı; ‘ISO/IEC 27001:2005 – Bilgi Teknolojileri – Güvenlik Teknikleri – Bilgi Güvenliği Yönetimi Sistemleri – Şartlar’ olarak geçmektedir ama genel olarak ISO 27001 belgesi standardı olarak bilinmektedir.

ISO 27001 belgesi standardı, güvenlik kontrol amaçlarını listeleyen ve güvenlik kontrolünün sınırları konusunda öneri sunan ISO/IEC 27002 Bilgi Güvenliği Yönetimi için Uygulama Kuralları ile birlikte uygulanmalıdır. ISO/IEC/27002 uygulama çözümü önerilerine göre kurulmuş Bilgi Güvenliği Yönetim Sistemi uygulayan firmalar aynı zamanda ISO/IEC 27001 standardının şartlarını da yerine getirmiş olurlar. Ama sistemin belgelendirmesi firmanın tercihine kalmıştır (belgelendirmenin, firma hissedarları tarafından zorunlu tutulmaması halinde)

ISO 27000 27001 Belgelendirme

Organizasyonların ISO/IEC 27001 belgesi standardına göre belgelendirilmeleri, dünya çapında belli sayıda ki akredite olmuş kuruluş tarafından yapılmaktadır. ISO/IEC 27001 belgesi standardının farklı ülkelerde ki versiyonlarına göre (mesela JIS Q 27001 Japonya versiyonudur) belgelendirilmeleri, ISO /IEC 27001  belgesini vermede akredite olmuş kuruluşlar tarafından yapılabilir. Belgelendirme denetilemeleri, genellikle ISO 2701 baş denetçileri tarafından yürütülmektedir.

Yönetim sistemlerinin belirli standartlara uygunluğunu onaylayan kuruluşlar “belgelendirme kuruluşu”, “tescil kuruluşu, ”, “değerlendirme ve tescillendirme firmaları”, “belgelendirme tescil firmaları  şirketleri” gibi isimlerle bilinmektedir.

ISO 27001 belgelendirme ve danışmanlık süreci, diğer ISO yönetim sistemi belgelendirmelerinde olduğu gibi üç aşamalı bir denetleme sürecini içermektedir:

· Aşama 1, firmanın güvenlik politikasının, Uygulanabilirlik Beyanının (SoA) ve risk değerlendirme planı zorunlu dokümanlarının olup olmadığının ve içeriklerinin kontol edildiği, bir “masa üstü” gözden geçirmesidir.

· Aşama 2, Uygulanabilirlik Beyanı’nda ve Risk Değerlendirme Planı’nda yer alan bilgi güvenliği kontrollerinin varlığının ve etkinliğinin detaylı ve derinlemesine denetlendiği aşamadır.

· Aşama 3, daha önceden belgelendirilmiş olan organizasyonunun, standardın şartlarını hala yerine getirip getirmediğini görmek için yapılan takip denetimidir. Belgelendirme, sistemin kuruluş amacına uygunluğunun sürdürülmesi amacını taşıyan periyodik gözden geçirmeleri de kapsamaktadır.

ISO/IEC 27002

ISO/IEC 27002, büyümekte olan ISO/IEC ISMS standart serisinin bir parçasıdır. ISO/IEC 27000 serisi, ISO ve IEC tarafından yayınlanmış Bilgi Güvenliği Standartlarıdır. 2007 temmuzunda, diğer  ISO/IEC 27000 serisi standartlarla aynı çatı altında toplamak için ISO/IEC 17799:2005  standardı ISO/IEC 27002:2005 olarak yeniden numaralandırılmıştır ve Bilgi Teknolojisi – Güvenlik Teknikleri – Bilgi Güvenliği Yönetimi İçin Uygulama Kuralları olarak isimlendirilmiştir. Şu anda uygulanmakta olan standart, 2000 yılında BS (İngiliz Standardı) 77991:1999’dan kelime kelime kopyalanarak oluşturulan ISO/IEC’nin ilk basımının revize edilmiş halidir.

ISO 27002, Bilgi Güvenliği Yönetim Sistemini uygulamak, yerleştirmek ve sürekliliğini sağlamak ile sorumlu olan kişilere bilgi güvenliği yönetimi için en iyi uygulama çözümleri ile ilgili   öneriler getirir. Bilgi Güvenliği kavramının temel ilkelerini kısaca G-B-U (C-I-A) kısaltması ile gösterebiliriz:

Gizliliğin korunması (Bilgiye ulaşımın, sadece yetki sahibi kişilerce olabildiğinin garanti altına alınması),

Bütünlük (Bilginin ve bilgi işleme yöntemlerinin, doğruluğunun ve eksiksizliğinin korunması)

Ulaşılabilirlik (Gereken durumlarda yetkili personelin, bilgiye ve ilgili varlıklara ulaşımının garanti edilmesi)

Standardın Başlıkları

Giriş bölümlerinin ardından, standart aşağıda belirtilen on iki bölümü kapsar:

1. Risk değerlendirmesi

2. Güvenlik Politikası – Yönetimin taahhüdü

3. Bilgi güvenliği organizasyonu – Bilgi güvenliği yönetimi

4. Varlık yönetimi – Bilgi ile ilgili varlıkların sınıflandırılıması ve envantere işlenmesi

5. İnsan kaynakları güvenliği – Çalışanların organizasyona katılması, organizasyon içinde yer değiştirmesi ya da organizasyondan ayrılmaları sonucunda ortaya çıkabilecek güvenlik durumları.

6. Fiziki ve çevresel güvenlik – Bilgisayar tesislerinin güvenliği

7. İletişim ve operasyon yönetimi – Sistem ve ağ üzerinde kullanlan teknik güvenlik kontrollerinin yönetimi.

8. Erişim Kontrolü – Sistemlere, ağa, uygulamalara, fonksiyonlara ve verilere erişim haklarının sınırlandırılması.

9. Bilgi sistemlerinin oluşturulması, geliştirilmesi ve bakımlarının gerçekleştirilmesi – Uygulamalarının içine güvenlik sisteminin inşa edilmesi.

10. Bilgi güvenliği olay yönetimi – Bilgi güvenliği ihlallerinin öngörülmesi ve en uygun şekilde karşılık verilmesi.

11. İş Sürekliliği Yönetimi – Hassas iş süreçlerinin ve sistemlerinin korunması, bakımlarının gerçekleştirilmesi ve kurtarılması.

12. Uygunluk – Bilgi güvenliği politikalarına, standartlarına, kanunlara ve düzenlemelere uygunluğun sağlanması.

Her bölümde bilgi güvenliği kontrolleri ve hedefleri belirlenmiş ve başlıklar halinde yazılmıştır. Bu hedeflere ulaşmada kullanılan en iyi uygulama çözümleri genellikle bilgi güvenliği kontrolleri olarak da kabul edilmektedir. Her kontrol için uygulama rehberliği sağlanır. Aşağıda belirtilen durumlarda bazı kontroller zorunlu tutulmayabilir:

1. Her organizasyondan, kendi yapısına özel durumlara uygun kontrolleri seçmeden önce kendine özgü şartları tanımlaması için yapılandırılımış bir bilgi güvenliği risk değerlendirme prosesi kurmayı tahhüt etmesi beklenir. Bu konuyu kapsayan ISO 27005 gibi standartlar olduğu gibi, standardın giriş bölümü de risk değerlendirme prosesinin ana hatlarını vermektedir.

2. Genel amaçlı bir standartta muhtemel kontrollerin tümünü sıralamak pratik olarak mümkün değildir. ISO 27001 27002 standartları için hazırlanmış olan sektör bazlı uygulama kılavuzlarının telekom, finans, sağlık ve diğer sektörlerdeki uyarlamalar için de tavsiye verebilir olması beklenir.

Bilgi güvenliği yönetim sistemi, kurumunuzdaki tüm bilgi varlıklarının değerlendirilmesi ve bu varlıkların sahip oldukları zayıflıkları ve karşı karşıya oldukları tehditleri göz önüne alan bir risk analizi yapılmasını gerektirir. Kurum kendine bir risk yönetimi metodu seçmeli ve risk işleme için bir plan hazırlamalıdır.

ISO 27001 ‘den bahsederken karıştırılan ve dikkatle ayrılması gereken şey ISO 27001′in yönetim sistemi öngörmesidir. ISO 27001 size nasıl virüs bulaşmayacağını anlatmaz.

Bilgisayar ağınıza saldırganların nasıl sızabileceğini söylemez. Size toplam bilgi güvenliği ve “yaşayan bir süreç olarak” bilgi güvenliğinin nasıl “yönetileceğini” tanımlar.

FAYDALARI

§ Bilgi varlıklarının farkına varma: Kuruluş hangi bilgi varlıklarının olduğunu, değerinin farkına varır.

§ Sahip olduğu varlıkları koruyabilme: Kuracağı kontroller ile koruma metotlarını belirler ve uygulayarak korur.

§ İş sürekliliği: Uzun yıllar boyunca işini garanti eder. Ayrıca bir felaket halinde, işe devam etme yeterliliğine sahip olur.

§ İlgili taraflar ile barış halinde olma: Başta tedarikçileri olmak üzere, bilgilen korunacağından ilgili tarafların güvenini kazanır.

§ Bilgiyi  bir  sistem  sayesinde  korur,  tesadüfe  bırakmaz.

§ Müşterileri değerlendirirse, rakiplerine göre daha iyi değerlendirilir.

§ Çalışanların motivasyonunu arttırır.

§ Yasal takipleri önler.

§ Yüksek prestij sağlar.

Belgelendirme

ISO 27001 Bilgi Teknolojisi Güvenlik Teknikleri Bilgi Güvenliği Yönetimi Sistemleri Şartlar, ISO 27002’de gösterilen en iyi uygulama çözümleri ile uyumlu bir bilgi güvenliği yönetimi sisteminin kurulması, uygulanması, sürekliliğinin sağlanması ve geliştirilmesi ile ilgili şartları belirlemiştir.