TS 17799 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ

Günümüzde, sadece .alışanlarıyla değil, müşterileri, iş ortakları ve hissedarlarıyla birlikte tanımlanan kurumlarda, bilginin gizliliği, bütünlüğü ve ulaşılabilirliğine ilişkin güven ortamının yaratılması, stratejik bir önem taşımaktadır.

Bilgi güvenliğini sağlamak, teknolojik çözümlerle birlikte sağlam bir güvenlik yönetim sisteminin kurulması ile mümkün olabilmektedir. Etkin bir bilgi güvenlik yönetim sisteminin oluşturulması amacıyla, BS 7799 Bilgi Güvenlik Sistemi, BSI tarafından hazırlanmış ve ISO 17799 adıyla uluslar arası bir standart olarak geçerlilik kazanmıştır. ISO 17799 standardı Türk Standartları Enstitüsü tarafından Türkçe’ye tercüme edilerek TS 17799 bşlığı altında Türk standardı olarak yayınlanmıştır.

NEDEN TS 17799 ?

Merkezi güvenlik sisteminde gerçek anlamda güvenliğin oturtulabilmesi için şirketler, TS 17799 standardında belirtilen bilgi güvenliği yönetim sistemini kurarak gerçek risklerini saptayabilir ve bu risklerin giderilmesi için gereken teknoloji, politika ve prosedürleri devreye alabilirler. Bu sayede güvenlik yönetim sistemi olarak oluşturulan ve yalnızca teknoloji ile değil aynı zamanda tüm şirket çalışanlarının da uyguladığı iş süreçleri ile de devamlılık sağlıklı bir şekilde sağlanabilir.

TS 17799 Der Ki :

“Bilgi birçok formlarda bulunabilir. Kağıda basılabilir, elektronik olarak depolanabilir, posta veya elektronik yollar ile gönderilebilir, filmler üzerinde gösterilebilir, sohbetlerde konuşulabilir. Bilgi hangi şekilde olursa olsun, her zaman uygun olarak korunmalıdır.”

Bir bilgi güvenliği yönetim sistemi uygulanması için TS 17799 tarafından

kapsanan ana alanlar şunlardır :

• Bir bilgi güvenliği politikası,

• Bilgi güvenliği sorumluluklarının kuruluş içinde belirlenmesi ve atanması

• Bilgi varlıklarının tespiti, sınıflandırılması ve kontrolü

• Personel güvenliği, sorumlulukları ve eğitimi

• Fiziksel ve çevresel güvenlik

• İletişim ve operasyonel sistemler güvenliği

• Erişim kontrolleri

• Sistem geliştirme ve bakım süreci güvenliği

• İş devamlılığı&felaket planlaması

• Periyodik uyumluluk kontrolleri

TS 17799 olası risklerin tanımlanması, değerlendirilmesi ve ortadan kaldırılması için gerekli tedbirlerin alınmasını ön plana çıkaran bir risk yönetim prosesini ön görmektedir. Bunların yanı sıra risklerin tekrar değerlendirilmesi, etkin bir iç denetimin uygulanması da etkin bir Bilgi Güvenliği Yönetim Sisteminin önemli parçalarıdır.

Planla, Uygula, Kontrol Et, Önlem Al Modeli (PUKO)

TS ISO/IEC 17799 modelini temel alarak Bilgi Güvenliği Yönetim Sisteminin (BGYS) kurulması, uygulanması, gözden geçirilmesi ve iyileştirilmesi için proses gerekliliklerini tanımlamaktadır.

BGYS’nin tasarım ve kurulması

      Planla

         BGYS’nin uygulanması ve devreye alınması

                     Uygula

                           BGYS’nin izlenmesi ve gözden geçirilmesi

                                   Kontrol Et

                                        BGYS’nin iyileştirilmesi

Risk Analizi

Risk analizi, sonucu itibariyle güvenlik ihlallerine neden olan risklerin ortaya konması ve yorumlanması işlemidir. Risk analizi kendi içerisinde uzun ve ayrıntılı bir prosesdir. Risk analizinde ilk olarak bilgi sisteminde var olabilecek tüm kıymetlerin, bu kıymetlerdeki açıklıkların ve kıymetleri etkileyebilecek tüm tehditlerin ortaya konması yapılır. Ayrıca, halihazırda mevcut olan karşı önlemler incelenir. Daha sonraki aşamada ortaya konulmuş olan kıymet, açıklık, tehdit ve karşı önlemlerinin değerlendirilmesi işlemi yapılır. Değerlendirilmiş kıymet, açıklık, tehdit ve  karşı önlem değerleri girdi olarak alınıp, matematiksel ve mantıksal metodlar kullanılarak risk değeri bulunur. Son olarak risk-kıymet eşleştirmesi yapılır.

Risk Yönetimi

Risk yönetimi, risk analizi sonucunda ortaya konan ve yorumlanan risklerin önüne geçmek ve/veya azaltmak amacıyla uygun, maliyet etkin karşı önlemlerin alınması işlemidir. Karşı önlem maliyetleri ve risk analizi sonucunda çıkan kıymet-risk eşlemesi risk yönetimi prosesi için en önemli girdileridir.

Risk Analizinin ve Yönetimini Yararları

                                                                                    |

    =============================================================================|

Kurumun yazılı prosedür ve politikalarının olgunlaşmasını sağlar.

Kurumun çalışanlarının ve bilgi işlem personelinin bilgi güvenliği konusunda bilgi sahibi olmasını sağlar.

Bir kurum yönetiminin de bilgi teknolojileri güvenliği konusunda bilgi sahibi olmasını ve bu konularda karar vermesini sağlar.

Risk analizi prosesinin ilk kısmında yapılan kıymet analizi sonuçlarının kurumun yazılım ve donanım envanterlerinin yenilenmesinde yardımcı olur.

TS ISO/IEC 17799 KONTROLLERİ

TS ISO/IEC 17799 Bilgi Güvenliği Yönetim Sistemi organizasyonların gereksinimleri doğrultusunda uygulanacak güvenlik kontrollerini on temel prensip ile ortaya koyar. Her bir prensip 127 kontrol kriteri ile sorgulanır. Bu prensipler ;

1. Güvenlik politikası

2. Güvenlik organizasyonu

3. Varlık sınıflandırma ve kontrol

4. Personel güvenliği

5. Fiziksel ve çevresel güvenlik

6. İletişim ve operasyonel sistemler güvenliği

7. Erişim kontrolü

8. Sistem geliştirme

9. İş devamlılığı yönetimi

10. Uyumluluk