Atölyeler Bilgi Güvenliği Yönetimi Atölyesi Haberler Uncategorized

Bilgi Güvenliğinin Temelleri-1

BİLGİ GÜVENLİĞİ NEDİR?

Bilgi Güvenliği bilginin yetkisiz erişimden, değiştirilmekten, yok edilmekten ve/veya ifşa edilmekten korunmasıdır. Bilgi güvenliği gizlilik, erişilebilirlik ve bütünlük parametrelerine göre değerlendirilir.

Bütünlük : Kullanılan, işlenen, saklanan, transfer edilen bilginin kötü amaçlarla değiştirilmesinin veya yanlışlıkla değiştirilmesinin engellenmesidir.

Erişilebilirlik : Bilgiye ihtiyaç duyulduğunda erişilebilmesi ve kullanılır olmasıdır. 

Gizlilik : Bilgiye yetkisi olan kişilerin dışında kimsenin erişememesi ve ifşa edilmemesinin sağlanmasıdır.

BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ NEDİR?

Bilgi Güvenliği Yönetim Sistemi, kurumsal bilgi güvenliğinin sağlanmasında insanları, süreçleri ve bilgi sistemlerini içine alan ve üst yönetim tarafından desteklenen bir yönetim sistemidir. Bilgi Güvenliği Yönetim Sistemi, iş odaklı yönetim yaklaşımı olup diğer yönetim sistemleri ile etkileşimli olarak ele alınması gerekir. Bilgi Güvenliği Yönetim Sistemi bilgi varlıklarını korumak, yeterli ve orantılı güvenlik kontrollerini sağlamak için tasarlanmıştır. ISO 27001 Bilgi Güvenliği Yönetim Sistemi, kurumsal yapıyı, politikaları, planlama faaliyetlerini, sorumlulukları, uygulamaları, prosedürleri, prosesleri ve kaynakları içerir. Bilgi güvenliği yönetim sisteminde fiziksel ve elektronik bilgi varlıklarının gizlilik, bütünlük ve erişilebilirliği korunmaktadır.Bilgi Güvenliği Yönetim Sisteminin uygulanması, performans iyileşmesi sağlayacı, bilgi güvenliği risklerini azaltacağı ve iş sürekliliğinin sağlanması için stratejik bir karar olmalıdır. 

İYİ BİR YÖNETİM SİSTEMİ İÇİN BİLİNMESİ GEREKEN TEMEL GEREKSİNİMLER

Etkili ve verimli işleyen bir yönetim sistemi kurabilmek için şu dört konunun iyi bilmesi gerekmektedir. Bunlar;

  • PUKÖ döngüsü yaklaşımı
  • Süreç yönetimi yaklaşımı
  • Risk yönetimi yaklaşımı
  • Performans yönetimi yaklaşımı.

PUKÖ DÖNGÜSÜ YAKLAŞIMI

PUKÖ döngüsü, istenen bir sonuca ulaşmak için kullanılan sistematik bir yöntem/metot olup, temelinde bir işin daha iyi nasıl yapılabileceği anlayışı yer almaktadır. Bu yaklaşım, sistematik olarak; “Planlama”, “Uygulama”, “Kontrol Etme” ve “Önlem Alma” adımlarının uygulanmasını içermektedir.

Yönetim sisteminin genelinde PUKÖ döngüsü yer aldığı gibi her bir sürecin kendi içinde de PUKÖ döngüsü bulunmaktadır. Bilgi güvenliği yönetim sistemi standardının, 4-5-6-7. maddeleri planlama aşamasını, 8. madde uygulama aşamasını, 9. madde kontrol aşamasını, 10. madde ise önlem al aşamasını içermektedir. 

PUKÖ döngüsünün her bir aşaması genel hatlarıyla aşağıda belirtilen faaliyetleri içermektedir: 

 Planlama:

  • Amaç ve hedef belirlenir (neyi başarmak istiyoruz) 
  • Amaç ve hedefleri gerçekleştirmek için uygulama planı hazırlanır. Bunu yaparken; ne yapılacak, nasıl yapılacak, nerede yapılacak, ne zaman yapılacak, kim yapacak, ilgili kaynaklar neler olacak sorularının cevapları belirlenir.
  • Yapılan çalışmanın performansını ölçebilmek için performans göstergeleri belirlenir

Uygula:

  • İlgili taraflar bilgilendirilir
  • Planlan faaliyetler gerçekleştirilir
  • Uygulamaya ilişki kayıtlar tutulur ve kanıtlar oluşturulur 

Kontrol Et:

  • Ölçme, analiz ve değerlendirme çalışmaları yapılır
  • Uygulamalar izlenir
  • Amaç ve hedeflere ulaşma düzeyini ölçmek için performans göstergeleri ölçülür
  • Planlanan ve hedeflenen ile gerçekleşen ve uygulanan arasındaki sapma veya uygunluk ve uyumsuzluk kontrol edilir 

Önlem Al:

  • Planlama ile uygulama arasındaki tespit edilen sapmaların giderilmesi için düzeltici faaliyetler belirlenir ve uygulanır.

SÜREÇ YÖNETİMİ YAKLAŞIMI

En genel tanımı ile süreç, girdileri alıp birtakım işlemlerden geçirerek çıktı üreten faaliyetler topluluğudur. Bir süreç, aşağıda belirtilen temel unsurların bir arada etkileşimli bir şekilde çalışması ile oluşmaktadır. 

Süreci oluşturan unsurlar:

  • İşlemler/faaliyetler: Girdileri çıktıya dönüştürmek için otomasyon/sistem ve/veya insan tarafından gerçekleştirilen işlemleri (faaliyetleri, aktiviteleri) ifade eder. 
  • Girdiler: Sürecin işlemesi için gerekli olan ve süreç faaliyetleri içerisinde dönüşüme uğrayan fiziksel (hammadde, belge vb.) ve fiziksel olmayan (bilgi) varlıklardır. 
  • Tedarikçiler: Girdileri sağlayan kurum içi veya kurum dışı kişiler ve süreçlerdir. 
  • Çıktılar: Süreç faaliyetleri sonrası üretilen fiziksel veya fiziksel olmayan varlıklardır. 
  • Müşteriler: Süreç çıktılarını alan, kurum içi ve kurum dışı kişi ve süreçlerdir. 
  • Kaynaklar: Girdileri çıktıları, dönüştüren faaliyetlerin gerçekleştirilmesi için gerekli olan ve dönüşüme uğramayan varlıklardır. 

Bilginin gizliliği, bütünlüğü ve erişebilirliğini güvence altına alabilmek amacıyla, idari ve teknik tedbirlerin belirlenebilmesi için, süreç unsurlarının bilinmesi ve belirlenmesi son derece önemlidir. Bilginin nasıl, nerede, kim tarafında işlendiği, nerede saklandığı ve bilginin işlenmesi için kullanılan varlıkların neler olduğu ve etkileşimler iyi analiz edilmelidir.

RİSK YÖNETİMİ YAKLAŞIMI

Risk, belirsizliğin bir amaç ve/veya hedef üzerine olumlu veya olumsuz etkisi olarak tanımlanmaktadır. Bu tanımdan yola çıkıldığında, olumlu durumları fırsat, olumsuz durumları ise tehdit olarak görmek doğru bir yaklaşım olacaktır. Bununla birlikte konunun uygulamada rahat anlaşılması, pratikte ve günlük hayatta rahat kullanılabilmesi için aşağıda belirttiğimiz tanımlar çerçevesinde hareket edilmesinin daha etkili olacağını düşünmekteyiz. 

  • Risk: Gerçekleşmesi halinde, amaç veya hedefin başarılmasına olumsuz etki ederek, kayba (amaç ve hedeften sapma) sebebiyet verebilecek her türlü durum olarak tariflenebilir. Bu tanımdan hareketle, bilgi güvenliği için amaç olan bilginin gizlilik, bütünlük ve erişebilirliğinin korunmasına yönelik olumsuz etki edebilecek her türlü olay yada durum risk olarak tanımlanabilir. 
  • Fırsat: Gerçekleşmesi halinde, amaç veya hedefin başarılmasına olumlu etki ederek, kazanca sebebiyet verebilecek her türlü durum olarak tariflenebilir. Bu tanımdan hareketle, bilgi güvenliği için amaç olan bilginin gizlilik, bütünlük ve erişebilirliğinin korunmasına yönelik olumlu etki edebilecek her türlü olay yada durum fırsat olarak tanımlanabilir.

Bilgi Güvenliği Yönetimi Sistemi kapsamında, tüm sistem ve süreçler belirttiğimiz risk yönetimi bakış açısı ile kurulmalı, işletilmeli ve geliştirilmelidir. Sistemin ve süreçlerin amaçlarının ve hedeflerinin belirlenmesi, bu amaç ve hedeflerin başarılmasına yönelik olumu ve olumsuz etki edebilecek olayların öngörülerek gerekli tedbirlerin alınması aynı zamanda bizim proaktif bir yönetim yaklaşımı sergilememizi ve olası pozitif veya negatif etkiye sahip olaylara hazır olmamızı sağlayacaktır. 

Bu yaklaşım, zayıf olduğumuz ve bize tehdit oluşturabilecek durumlar ile güçlü olduğumuz ve bize fırsat olabilecek durumları görmemizi sağlayacaktır. Temelde aşağıda belirtilen dört adımda gerçekleşen bir sürecin işletilmesi gerekmektedir:

  • Birinci adım; tehdit ve fırsat oluşturabilecek durumların belirlenmesi, 
    • İkinci adım; belirlenen tehdit ve fırsatların etkilerinin ve olma ihtimallerinin değerlendirilerek önceliklendirilmesi,
    • Üçüncü adım; belirlenen önceliklere göre tehdit ve fırsatlara yönelik gerekli tedbirlerin alınması
    • Dördüncü adım; tüm sürecin ve sonuçların sürekli izlenmesi, gözden geçirilmesi ve değerlendirilmesi ile ilk üç adımda gerek görülen düzeltici faaliyetlerin yapılması.

PERFORMANS YÖNETİMİ YAKLAŞIMI

Performans, istenilen çıktılara ve sonuçlara ulaşmada ne derece başarılı olunduğunun göstergesi olarak belirtilebilir. Performans göstergeleri sayesinde bir sürecin, sistemin yada işin ne kadar başarıyla tamamlanıp tamamlanmadığı anlaşılabilmektedir. Aşağıda belirtildiği şekilde birçok gösterge ile performans ölçümlenebilmektedir: 

  • Maliyet, Zaman-Süre, Verimlilik, Kalite-Nitelik, Etkililik-Sonuç̧, Etkinlik-Kaynak Kullanımı, Girdi-İş, İşlem Sayısı-Miktarı, Çıktı İş/İşlem Sayısı-Miktarı,
  • Oran, İşlem Sayısı, İşlem Süresi/Zamanı, Parasal değer. 

Performans yönetimi, ISO standartlarının hemen hemen tamamında bir gereksinim olarak belirtilmektedir. 27001 standardının da “9.1 İzleme, ölçme, analiz ve değerlendirme” maddesinde istenmektedir. 

Kaynak: ISO 27001 Bilgi Güvenliği Yönetim Sistemi Kurulum, İşletim ve Denetim Rehberi, İsmail Durankaya ve Özgüven Saymaz, Cinius Yayınları, 2019

Yazar Hakkında

Özgüven Saymaz

Yorumla