Professional Documents
Culture Documents
Bilgi Güvenliği Yönetim Sistemi Kurulumu
Bilgi Güvenliği Yönetim Sistemi Kurulumu
ARATIRMA ENSTTS
SRM 1.00
28.08.2007
NSZ
Ulusal Elektronik ve Kriptoloji Aratrma Enstits (UEKAE)'nn misyonu, "bilgi
gvenlii, haberleme ve ileri elektronik alanlarnda Trkiye'nin teknolojik
bamszln salamak ve srdrmek iin nitelikli insan gc ve uluslararas
dzeyde kabul grm altyaps ile, bilimsel ve teknolojik zmler retmek ve
uygulamaktr". Bu ana hedef gz nnde bulundurularak belirlenen "bilgi
gvenlii, haberleme ve ileri elektronik alanlarnda yeni teknolojilerin
gelitirilmesine nclk eden uluslararas bilim, teknoloji ve retim merkezi
olmak"
vizyonuna
ulalabilmesi
ve
lkenin
ihtiyac
olan teknolojilerin
TBTAK UEKAE
BLGLENDRME
TBTAK UEKAE
NDEKLER
1. GR .................................................................................................................................................... 5
TBTAK UEKAE
1. GR
Bilgi gvenlii ynetimi konusunda en yaygn olarak kullanlan standart, ISO/IEC 27002
Bilgi Gvenlii Ynetimi in Uygulama Prensipleri standarddr. Bu standart, iletmeler
ierisinde bilgi gvenliini balatan, gerekletiren ve srekliliini salayan kiilerin
kullanm iin, bilgi gvenlii ynetimi ile ilgili tavsiyeleri iermektedir. Bu rehber ISO/IEC
27002 ve bu standardn denetimi iin kullanlan ISO/IEC 27001 standardn referans alarak
hazrlanmtr.
1.1 Ama ve Kapsam
ISO/IEC 27001 standardna uygun Bilgi Gvenlii Ynetim Sistemi (BGYS) kurmak
isteyen kurumlarda kullanlacak klavuzdur.
BT
: Bilgi Teknolojileri
UEKAE
PUKO
TBTAK UEKAE
2. BLG GVENL
Gnmzde ticari irketler ve devlet kurumlar ilerini srdrebilmek iin youn bir ekilde
bilgi kullanmna ynelmilerdir. Zaman getike bilginin nemi artm, sadece gvenli bir
ekilde saklanmas ve depolanmas gelien ihtiyalara cevap verememi ayn zamanda bir
yerden bir yere nakil edilmesi de kanlmaz bir ihtiya haline gelmitir. Bilgiye olan bu
bamllk bilginin korunmas ihtiyacn gndeme getirmitir. Bu anlamda bilgi, kurumun
sahip olduu varlklar arasnda ok nemli bir yere sahiptir. Bilgiye ynelik olas saldrlar,
tahrip edilmesi, silinmesi, btnlnn ve/veya gizliliinin zarar grmesi, bilgi altyapsnn
bozulmasna ve bu da beraberinde ilerin aksamasna neden olmaktadr.
Bilgi, kurumdaki dier varlklar gibi, kurum iin nem tayan ve bu nedenle de en iyi ekilde
korunmas gereken bir varlktr. Bilgi gvenlii; kurumdaki ilerin srekliliinin salanmas,
ilerde meydana gelebilecek aksaklklarn azaltlmas ve yatrmlardan gelecek faydann
artrlmas iin bilginin geni apl tehditlerden korunmasn salar.
Bilgi birok biimde bulunabilir. Bilgi, kt zerinde yazl olabilir, elektronik olarak
saklanyor olabilir, posta ya da elektronik posta yoluyla bir yerden bir yere iletilebilir ya da
kiiler arasnda szl olarak ifade edilebilir. Bilgi hangi formda olursa olsun, mutlaka uygun
bir
ekilde
korunmaldr.
Bilgi
gvenliinin
salanabilmesi
bilginin
gizliliinin,
Gizlilik (Confidentiality)
Btnlk (Integrity)
Kullanlabilirlik (Availability)
Bu kavramlar biraz daha aacak olursak gizlilik, bilginin yetkisiz kiilerin eriimine kapal
olmas eklinde tanmlanabilir. Bir dier tarif ile gizlilik bilginin yetkisiz kiilerce aa
karlmasnn engellenmesidir. Btnlk, bilginin yetkisiz kiilerce deitirilmesi, silinmesi
ya da herhangi bir ekilde tahrip edilmesi tehditlerine kar ieriinin korunmasdr. Btnlk
iin ksaca kazara veya kastl olarak bilginin bozulmamas diyebiliriz. Kullanlabilirlik,
bilginin her ihtiya duyulduunda kullanma hazr durumda olmas demektir. Herhangi bir
sorun ya da problem kmas durumunda bile bilginin eriilebilir olmas kullanlabilirlik
zelliinin
bir
gereidir.
Bu
eriim
kullancnn
haklar
erevesinde
olmaldr.
TBTAK UEKAE
Kullanlabilirlik ilkesince her kullanc eriim hakknn bulunduu bilgi kaynana, yetkili
olduu zaman diliminde mutlaka eriebilmelidir.
3. BLG GVENL YNETM SSTEM (BGYS)
Bilgi Gvenlii Ynetim Sistemi BGYS, kurumun hassas bilgilerini ynetebilmek amacyla
benimsenen sistematik bir yaklamdr. Bu sistemin temel amac hassas bilginin
korunmasdr. Bu sistem alanlar, i srelerini ve bilgi teknolojileri (BT) sistemlerini
kapsar.
Bilgi Gvenlii Ynetim Sistemi deyimi ilk kez 1998 ylnda BSI (British Standards Institute)
tarafndan yaynlanan BS 7799-2 standardnda kullanlmtr. Daha sonra bu standart
Uluslararas Standartlar Kurumu ISO tarafndan kabul edilmi ve ISO/IEC 27001:2005*
olarak yaynlanmtr. BSI tarafndan yaynlanan bir dier standart BS 7799-1 ise bilgi
gvenliinin salanmasnda kullanlacak kontrollerden bahsetmektedir. Bu da yine ISO
tarafndan kabul edilmi ve ISO/IEC 27002:2005 olarak yaynlanmtr. ISO/IEC 27002:2005
bu standardn Temmuz 2007den itibaren kullanlan ismidir, bu tarihe kadar standart ISO/IEC
17799:2005 olarak adlandrlyordu.
Bilgi gvenlii ynetimi konusunda en yaygn olarak kullanlan standart, ISO/IEC
27002:2005 Bilgi Gvenlii Ynetimi in Uygulama Prensipleri standarddr. Bu standart,
iletmeler ierisinde bilgi gvenlii ynetimini balatmak, gerekletirmek, srdrmek ve
iyiletirmek iin genel prensipleri ve ynlendirici bilgileri ortaya koyar. ISO/IEC 27002:2005
rehber edinilerek kurulan BGYSnin belgelendirmesi iin ISO/IEC 27001:2005 Bilgi
Gvenlii Ynetim Sistemleri Gereksinimler standard kullanlmaktadr. Bu standart,
dokmante edilmi bir BGYSni kurumun tm i riskleri balamnda kurmak,
gerekletirmek, izlemek, gzden geirmek, srdrmek ve iyiletirmek iin gereksinimleri
kapsamaktadr. risklerini karlamak amacyla ISO/IEC 27002:2005te ortaya konan
kontrol hedeflerinin kurum ierisinde nasl uygulanaca ve denetlenecei ISO/IEC
27001:2005te belirlenmektedir.
Her iki standardn Trke hali TSE tarafndan srasyla TS ISO/IEC 17799:2005* ve TS
ISO/IEC 27001:2005 isimleri ile yaynlanmtr. Sz konusu standardn belgelendirmesi
Bu standardn orijinali Temmuz 2007 tarihinden itibaren ISO/IEC 27002:2005 adn almtr. Bu makalenin
yazld tarih itibariyle TSE ilgili standartta bir isim deiiklii yapmamtr.
TBTAK UEKAE
TBTAK UEKAE
Planla
(BGYSnin kurulmas)
Uygula
(BGYSnin gerekletirilmesi
ve iletilmesi)
Kontrol Et
(BGYSnin izlenmesi ve
gzden geirilmesi)
nlem al
(BGYSnin srekliliinin
salanmas ve iyiletirilmesi)
Bilgi gvenlii ynetimi, balang ve biti tarihleri olan bir proje gibi grlmemelidir.
Srekli devam eden bir geliim sreci olarak dnlmelidir. PUK modelinde gsterildii
gibi (Planla Uygula Kontrol et nlem al) faaliyetleri bir dng iinde durmakszn
srekli devam etmelidir. PUK modeli zet olarak ne yaplacana karar verilmesi, kararlarn
gerekletirilmesi, altnn kontrol edilmesi hedefine uygun almayan kontroller iin
nlemlerin alnmasdr.
BGYS kurulumu PUK modelinin ilk admn (Planla) tekil etmektedir. Yerleik bir
sistemden bahsedebilmek iin dier admlarn da uygulanmas ve bunlarn bir dng iinde
yaamas gerekir.
4. BGYS KURULUMU
Kurulum admlarna gemeden nce BGYS ile ilgili bilinmesi gereken gereklerden
bahsetmek gerekir. ncelikle salkl ileyi ve yarar salamas asndan BGYS kurulum
istei kurumun st ynetimi tarafndan benimsenmelidir. st ynetim destei BGYSnin
baarya ulamas asndan hayati neme sahiptir. ncelikle st ynetim BGYSnin
gerekliliine ve faydasna inanmaldr. Bu birincil arttr.
Dier nemli bir husus, BGYS kurulumu bir BT rn veya sistemi kurulumuyla
kartrlmamaldr. BGYS kurumun i yapma tarzn etkileyen kkl bir sistemdir ve kurumu
tmden etkiler. Tm kademelerdeki alanlarn iini yaparken bilgi gvenlii prensiplerine
uygun hareket etmesini gerekli klar. Bu bilincin olumas ve ileyie gemesi de bir geliim
srecinin sonucu olacaktr. Bir nceki blmde bahsedildii gibi BGYS srekli bir geliim
srecidir.
TBTAK UEKAE
BGYS ile ilgili en yaygn yanl kanlardan bir tanesi de bunun sadece kurumun BT
blmne ait bir i olduunun dnlmesidir. BGYS bir teknoloji meselesi veya teknik bir i
deildir. Tm kurumun aktif halde katlmyla hedefine ulaabilecek bir sistemdir. En st
kademe yneticiden en alt seviye alana kadar katlm ve destek arttr. Aksi halde
BGYSden beklenen faydann elde edilmesi mmkn deildir.
Etkin bir BGYS kurulumu konusunda ilk yaplmas gereken ilerden bir dieri de kurum
iinde bir Bilgi Gvenlii Komisyonu oluturulmasdr. Bilgi gvenlii komisyonu (Gvenlik
Forumu da denir) kurum iindeki her blmden temsilcilerden oluur. Bilgi ilem, i denetim,
muhasebe, insan kaynaklar, gvenlik ve dier tm blmlerden temsilciler bu komisyonda
yer almaldr. Komisyon temsilcileri bilgi gvenlii konusunda deneyimli ve bilgili, bunun
yannda kendi blmlerini temsil edebilme yetkisine sahip kiiler olmaldr. Komisyon
temsilcileri bilgi gvenlii konusunda yeterli bilgi seviyesine sahip deilse mutlaka BGYS
eitimleri almaldr. Tm blmlerden temsilcilerin komisyonda yer almas BGYSnin baar
ansn arttrr. BGYSin kurumun tamamna nfuz etmesini kolaylatrr. Kurum apndaki
gvenlik ihtiyalarnn daha etkin bir biimde farknda olunmasn salar. Bu durum
BGYSin doru planlanmas ve salkl ilemesi asndan hayati neme sahiptir. Her
blmden bir temsilcinin katlm ynetim ve teknik kadro arasndaki iletiim kopukluunu
gidermeye de yarar. Sorunlar ve ihtiyalar yerinde yaayan kiiler belli konularda ynetimin
daha rahat ikna edilmesini salar. Bilgi gvenlii komisyonu sayesinde BGYS ile ilgili grev
ve sorumluluklar da kurum iinde datlm olur. Daha nce de belirtildii gibi BGYS
sadece BT blmne ait bir i deildir.
10
TBTAK UEKAE
5. KURULUM ADIMLARI
BGYS konusunda temel bavuru kaynaklar ISO/IEC 27001 ve ISO/IEC 27002
standartlardr. BGYS kurulumu ncesinde bu standartlarn mutlaka dikkatlice okunup
anlalmas gerekmektedir. BGYS kurulumu TS ISO/IEC 27001:2005teki 4.2.1 BGYSnin
Kurulmas ve TS 13268-1 4.3 BGYSnin kurulmas balklar altnda detayl olarak
aklanmaktadr.
BGYS kurulumunda srasyla izlenmesi gereken admlar yledir:
Adm 1: Kapsam Belirleme
BGYSnin kapsam ve snrlar belirlenmelidir. BGYSnin kapsam kurumun belli bir ksm
olabilecei gibi, kurumun btn de olabilir. Ancak, her iki durumda da, kurumun BGYS
kapsamn ve snrlarn eksiksiz ve doru bir biimde tanmlamas gerekmektedir. rnein
sadece kurum iindeki bir blm veya bir blmn verdii tek bir hizmet iin de bir BGYS
hayata geirilebilir. BGYS kapsam, st ynetimin niyeti ve kurumun bilgi gvenlii
hedefleri dikkate alnarak belirlenir. ISO/IEC 27001 ve ISO/IEC 27002 standartlarnn bu
konuda belli bir ynlendirmesi veya zorlamas sz konusu deildir. Kapsam belirlenirken
BGYS dnda braklan varlklarla ve dier kurumlarla olan etkileimleri de dikkate almak
gereklidir. Kapsam dnda braklanlarn hangi sebeplerle darda brakldklarn kurumun
salam gerekelerle aklayabilmesi gerekmektedir. Bu admn sonunda bir kapsam
dokman yaynlanmal ve st ynetim tarafndan onaylanmaldr. BGYS kapsam
belirlenmesi
konusunda
daha
detayl
bilgiler
iin
BGYS0002
kodlu
dokmana
bavurulmaldr.
Adm 2: BGYS Politikas
Ardndan BGYS politikasnn oluturulmas gerekmektedir. Bu politika, hedefleri ortaya
koyan, ynetime yn veren ve harekete geiren, hangi riskin deerlendirmeye alnacana
ilikin risk ynetim kapsam ve kriterini belirleyen bir ereve sunmaldr. BGYS
politikasnn amacn bulmas iin ynetim politika ieriindeki maddelerin uygulamaya
geirileceine ilikin kararlarln alanlara hissettirmelidir.
Adm 3: Risk Deerlendirme Yaklam
Bilgi gvenlii politikas temel alnarak sistematik bir risk deerlendirme yaklam
belirlenmelidir. Kurum kendine uygun bir metodoloji semekte serbesttir. Seilen risk
deerlendirme metodolojisi kyaslanabilir ve tekrarlanabilir sonular retmeyi garanti
etmelidir. Bu admda kabul edilebilecek risk seviyeleri belirlenmeli ve bunlar iin ltler
TBTAK UEKAE
11
ile
etki
derecesi
hesaplanmaldr.
Bunlar
saysal
deerler
kullanlarak
hesaplanabilecei gibi rakamlarla ifadenin zor olduu durumlarda dk, orta, yksek gibi
nitel deerlerle de belirlenebilir. Riskin kabul edilebilir olup olmad Adm 3te belirlenen
ltler kullanlarak tespit edilmelidir. Tm bu hesaplama ve deerlemeler uygulanmakta
olan mevcut kontroller de dikkate alnarak yaplmaldr. Kontroller risk deerini azaltabilir.
Bu adm sonunda bir risk deerlendirme sonu raporu yaynlanmaldr.
Adm 6: Risk leme
Bu admda risk deerlendirme sonu raporundan yola klarak uygun risk ileme (risk
treatment) yntemleri belirlenmelidir. Belli bir risk karsnda drt farkl tavr alnabilir:
1. Uygun kontroller uygulanarak riskin ortadan kaldrlmas veya kabul edilebilir
seviyeye drlmesi
12
TBTAK UEKAE
TBTAK UEKAE
13
14
TBTAK UEKAE
6. SONU
BGYS, gnmz i dnyasnda vazgeilmez hale gelen bilgi gvenlii konusunda tm dnya
tarafndan kabul grm standartlara uygun bir yap sunmaktadr. BGYS kavramnn ve bal
olduu standartlarn doru anlalmas bu yapnn salayaca fayday nemli lde
arttracaktr. BGYS kurulumunu fazladan bir i yk ve gereksiz zaman kayb olarak
grmenin batan kaybetmek anlamna gelecei bilinmelidir. Bu sistemin vaat ettiklerine
ulamak iin ynetimlere byk grev ve sorumluluklar dmektedir.
TBTAK UEKAE
15
KAYNAKA
[1]. www.itgovernance.co.uk/files/Infosec_101v1.1.pdf
(Information Security and ISO27001 An Introduction)
[2]. www.niser.org.my/isms/docs/publications/information_security_management_committe
e.pdf
(The Importance of Setting up an Information Security Management Committee in
Organization)
[3]. http://www.isms.jipdec.jp/en/isms/frame.html
(How to Establish an ISMS Management Framework)
16
TBTAK UEKAE