Rota Mühendislik ve Danışmanlık

TS ISO/IEC 27001 (BGYS)Bilgi Güvenliği Yönetim Sistemi Nedir?
 
     Bugün iş bilgi ile yönetiliyor. Bilginin bir kısmı herkes tarafından bilinen kısmıdır, başka bir kısmı ise özeldir, hiç kimse ilgilenmez. Öyle bir kısım vardır ki, bazılarını ilgilendirir, o halde gizlidir. Bu bilgi, tasarım, satın alma, personel, pazar, üretim metodu v.b. ile ilgili olabilir. Bu bilgi istenmeyen ellere geçtiğinde etkisi hemen (bir ihalenin kaybı gibi), veya yavaşça olabilir. Bilgiyi kaybettiğinizin farkına varmayabilirsiniz, ancak işler nedense kötüdür.

     Bazı kuruluşların uyguladığı kontroller vardır. Savunmasızlıkları tanımlama ve iyi uygulama örnekleri:
 
·         Şifre kullanarak kişisel bağlanma
·         Virüs kontrolleri, yedekleme ve saklama (farklı lokasyonda saklama dahil) uygulamaları
·         Yetki tabloları
·         İK ile işbirliği
·         İş Planlama / Kaza sonucunda iş sürekliliği için yapılacaklar
·         BT hata raporlamaları
·         E-posta, fax, fotokopi ve internet için kullanım koşulları
·         Dosyalara erişimde yetkiler
     Bu gibi uygulamalar iyi bir başlangıçtır, ancak şifrelerin paylaşıldığına, bir yere kaydedildiğine, ve görünürde olduğuna sık rastlarız. Bir cep telefonu konuşmasına kulak misafiri olup, hattın öbür ucundakinin ne dediğini tahmin edebilmişizdir.

Bilgi güvenliğinin casus savaşları ile ilgisi yoktur. Aşağıdakiler için bir yönetim sistemidir:
Gizlilik:Bilginin sadece erişim yetkisi verilmiş kişilerce erişilebilir olduğunun garanti edilmesi
Bütünlük: Bilginin ve işleme yöntemlerinin doğruluğunun ve bütünlüğünün temin edilmesi
Elverişlilik:Yetkilendirilmiş kullanıcıların, gerek duyduğunda bilgiye ve ilişkili kaynaklara erişime sahip olabileceklerinin garanti edilmesi
     Bunların kaybı ticari zarara, iş kaybına, prestij zedelenmesine yol açabilir.

    Bilgi güvenliğini paranoya ile sağlamak mümkün değildir. Başlama noktası her türlü yönetim sistemi gibi risk analizidir.
 
Riskin üç boyutu vardır:
Varlığın değeri
Tehdit
Savunmasızlık
     Riskin boyutu bu üçünün toplam etkisi ile oluşur.

     1998'de yapılan bir çalışmaya göre başarısızlık
 
%57'si kaza eseri,
%24'ü kötü niyetli hareketler,
%11'i ekipman hatası,
% 3'ü software hatası,
% 5'i diğer nedenlerden kaynaklanmıştır.

     Yine aynı yılın çalışmasına göre bilgi teknolojileri başarısızlıkları

%18'i enerji kesintisi,
%17'si kullanıcı hatası,
%17'si LAN hatası,
%14'ü dış kaynaklı virüsler,
% 9'u WAN hatası,
% 6'sı çalışanların bilerek verdiği zarar,
% 6'sı operatör hatasından oluşmuştur.

     Risk değerlendirme çok ciddi bir iştir, ancak üst yönetimin taahhüdü, insanların katılımı, ve iş hedeflerinin açıklığı da bir o kadar önemlidir.
    
     Kuruluşun sahip olduğu varlıkları değerlendirmek, hırsızlık, yangın, sel baskını, deprem, verinin tahribi, ve çok hızlı gelişen bilgi teknolojileri gibi konular için kuruluşun dışarıdan uzman desteği alması gerekebilir.

     Bilgi güvenliği yönetim sistemi standardı 2002 baskısı BS 7799-Part 2 belgelendirmesi yapılan bir standarttır. Aynı standardın birinci kısmı Part 1 veya uluslar arası ISO 17799 bir rehber olup iyi uygulama örnekleri verir. TSE bu standardı bir Türk standardı olarak kabul etmiş, ve Kasım 2002'de yayınlamıştır.

Standarda göre sistem kurma için kuruluş:
Bilgi güvenliği politikasını belirlemeli
Sistemin sınırlarını (alan, varlıklar, kapsam, teknoloji) belirlemeli
Risk değerlendirme sonuçlarını yorumlamalı
Kullanacağı kontrolleri seçmeli ve yönetim sorumluluklarını
belirlemelidir.
 
Bilgi güvenliği sistem dokümantasyonu:
Risk değerlendirme prosesi kayıtları
Yönetim sorumluluğu
Politika (Örn: temiz masa, internet erişimi, kriptografi, erişim kontrolü vb.)
Özel operasyonel dokümanlar ve prosedürler
Gözden geçirmeler
oluşur.
     
     EN ISO 9001 disiplini elde etmiş firmalar bunu anlamakta zorlanmayacaktır.

     Üçüncü tarafları erişimi de kritiktir. Servis verenler, taşeronlar, iş ortaklarının da erişimi dikkate alınmalıdır. Kuruluşun zarar görmesinden zarar göreceklerin hassasiyeti yüreğe ne kadar su serpebilir?

     Her ne olursa, ticari süreklilik esastır. Çok basit bir örnek verelim; yangın geçirmiş bir binaya itfaiye haftalarca giriş izni vermez ise, kuruluş buna hazır değilse, işi kaybetmeye kadar varan çok ciddi zararlar ile karşı karşıya kalabilir. Sistem iş sürekliliği için önlemleri şart koşmaktadır.

    ABD savunma sistemleri 1995'te 250.000 kez saldırıya uğramış, bunların %65'i başarılı olmuştur. Çok ciddiye alınması gereken bu sistem standardı jeneriktir; yani her boyutta, her tür kuruluş bunu uygulayabilir. Önemli olan geç kalmamaktır.