Bilgi Güvenliği Politikası ve Diğer BGYS Politikaları

ISO/IEC 27001 - BGYS uygulama sürecinde bilgi güvenliği politikaları yazılır. Bu konuda kaç tane politika yazılacak diye hep sorulur?

Bir tane kısa politika yazılıp asılır.
Bir tane ana bilgi güvenliği politikası olur.
Çok sayıda bilgi güvenliği politikası yazılır. Ağ güvenliği, e-posta güvenliği, taşınabilir cihaz güvenliği, bu tür yan politikalar kurumun büyüklüğüne göre daha fazla olabilir. Yine detayı da şirkete göre değişir.

Bir politikanın genel yapısı:

Tanım

Hedefler

İçerik

Yaşam Döngüsü

ISO 27001 Danışmanlık projelerinde dikkat edilmesi gereken konular?

Şirket'in tam kapsamlı bir ISO 9001'i varmı? Yoksa şirketin kalite bilinci olmayacaktır ve dokümantasyon ve iç denetim gibi şeyleri yapmak zor olacak.
Yeterli derecede uzman personel varmı? ISO 27001 çalışmasında rol alabilecek yeterli deneyimli ve bilgili personel varmı? Yoksa yine çok sorun olacaktır.
Şirket yönetimi bu projeyi destekliyor mu? Yoksa sorun olacaktır.

Bunlar ve benzer konuları bu tür işlere gireceklere değerlendirme yapması için önerilerdir.

ISO 27001:2013 Doküman Referans Çizelgesi

Standardın tüm maddelerine karşılık gerekli dokümanlar bir çizelgede hazırlanır. 

Bilgi güvenliği ana konuları grafik ve posterlerle anlatılmış. Çok yararlı bir site.

Bilgi güvenliği ana konuları grafik ve posterlerle anlatılmış. Çok yararlı bir site. 
http://www.cyberstreetwise.com/passwords

ISO 27001:2013 Ek-A (Annex A) için size yardımcı olacak standart 27002

ISO 27002 standardı, bilgi güvenliği sürecinde alınacak (ek-a) kontrol önlemlerini içeren bir kılavuzdur. Bu anlamda ISO 27001 uzmanlarının, denetçinin ya da IT uzmanının ISO 27002'yi de iyi bilmesi gerekir. 

ISO 27001 Temel Dokümanlar

Kalite El Kitabı

Prosedür

Talimat

Süreçler

Destek dokümanlar

Ekler

El kitabında şirket tanıtımı ve sistemin genel yapısı (kapsam, uygulanabilirlik bildirgesi ve doküman referans çizelgesi) gibi dokümanlar yer alır. 

Prosedür: Yapılacak işlemleri tanımlar.

Talimatları: Prosedürlerin nasıl uygulanacağını detaylı anlatır. Örneğin yedekleme prosedürüne ait yedekleme talimatı.

ISO 27001 - Bilgilerin Etkilenlenmesi

Bilgi varlıklarının tanımlanmasının ardından etiketlenmesi (labeling) gerekir.

Etiketler:

´ÇOK GİZLİ

´GİZLİ

´İÇ KULLANIM

´GENEL KULLANIM

ISO 27001 Varlıkların Değeri

´Varlık listesinden sonraki aşama olan varlık envanteri oluşturulma aşamasında her bir varlık için varlığın güvenlik kriterleri olan gizlilik, bütünlük, kullanılabilirlik değerleri belirlenecektir.

´Bu anlamda bilginin değerini belirleyen üç özelliği vardır.

´Confidentiality (gizlilik)

´Integrity (bütünlük)

´Availability (kullanılabilirlik/erişilebilirlik)

Bilişim suçları

ISO 27001, BGYS sistemi oluşturma ve yaşatma sürecinde kurum kullanıcılarına farkındalık eğitimi vermemiz gerekiyor. Kullanıcıların "bilgi"nin ne olduğunu iyi kavramaları ve belli önlemleri almaları ve belli işlemleri kısıtlı olarak yapmaları gerekir. Bilinçli kullanıcı olmaları, temiz masaüstü ve ekran kurallarını bilmeleri gerekir. Ayrıca bilişim suçlarını da bilirse iyi olur.

´Bilgisayar Sistemlerine ve Servislerine Yetkisiz Erişim ve Dinleme “Bilişim Alanında Suçlar TCK 525a, b, c ve d”. Maddeleridir.

YENİ TCK’DA BİLİŞİM SUÇLARI

´1 Nisan 2005 tarihinde yürürlüğe giren yeni TCK’nın kapsamında, bilişim sistemlerine karşı işlenen suçları da gerekçeleriyle birlikte yer alıyor.

´Bilişim sistemine girme, sistemi engelleme, bozma, verileri yok etme veya değiştirme, tüzel kişiler hakkında güvenlik tedbiri uygulanması, banka ve kredi kartlarının kötüye kullanılması kapsamındaki suçları tanımlayan kanun maddeleri TCK’nın 243 -246.maddelerinde yer alıyor.

Yönetim Temsilcisi

Yönetim Temsilcisi - ISO 27001 Bilgi Güvenliği Yönetim Sisteminin yönetim tarafından atanmış yetkilisidir.

• ISO 27001 BGYS Bilgi Güvenliği Yönetim Sistemi – YÖNETİM TEMSİLCİSİ
• Yönetim temsilcisi, ISO 27001 BGYS Bilgi Güvenliği Yönetim Sisteminin iyileştirilmesi ve güncelleştirilmesi ve bu çerçevede yürütülen tüm faaliyetlerin koordinasyonundan üst yönetim adına sorumlu olmak.
• Yönetim Temsilcisi, şirket yönetimi tarafından bir yazı ile atanır.
• Yönetim Temsilcisinin departmanlar üzeri bir yetkili kişi olması iyi olur. 

ISO 27001 Ne sağlar?

ISO 27001 (ISO 27001:2013) Bilgi Güvenliği Yönetimi Sistemi (ISMS) ne sağlar?

·         Riskleri tanımlamayı, izlemeyi sağlar.

·         Personeli izlemeyi sağlar.

·         Her şeyin loglanmasını sağlar.

·         Tedarikçilerin izlenmesini sağlar.

·         Sistem geliştirme işlemlerinin güvenli yapılmasını sağlar. 

ISO 27001:2013 Checklist - 3

A.9	Erişim kontrolü
A.9.1	Erişim kontrolünün iş gereklilikleri
A.9.1.1	Erişim kontrol politikası	Erişim için iş ve güvenlik gereksinimlerini temel alan bir erişim kontrol politikası kurulmalı, dokümante edilmeli ve gözden geçirilmelidir.	1. Erişimle ilgili olarak şirket (yapılan işler) ve güvenlik ihtiyaçları göz önünde bulundurularak erişim denetimi politikası oluşturulmuş ve belgelenmiş mi? 2. Erişim denetimi hem fiziksel, hem işlevsel boyutlarıyla değerlendirilmiş mi? 3. Erişim denetimi politikası bütün kullanıcılar ya da kullanıcı grupları için erişim kurallarını ve haklarını açıkça belirtiyor mu? 4. Kullanıcılara ve servis sağlayıcılarına erişim denetimiyle hangi gereksinimleri karşılayacakları yeterince açıklanmış mı? Erişim Politikasında şunlar var mı? .......

ISO 27001:2013 Checklist - 2

A.5	Bilgi Güvenliği Politikaları
A.5.1	Bilgi güvenliği için yönetimin yönlendirilmesi
A.5.1.1	Bilgi güvenliği için politikalar	Bir dizi bilgi güvenliği politikaları, yönetim tarafından tanınmalı, onaylanmalı ve yayınlanarak çalışanlara ve ilgili dış taraflara bildirilmelidir.	1. Bilgi güvenliği politikası var mı? 2. Üst Yönetim tarafından onaylanmış mı? 3. Çalışanlara iletilmiş mi?
A.5.1.2	Bilgi güvenliği için politikaların gözden geçirilmesi	Bilgi güvenliği politikaları, belirli aralıklarla veya önemli değişiklikler ortaya çıktığında sürekli uygunluk ve etkinliği sağlamak amacıyla gözden geçirilmelidir.	1. Güvenlik politikası gözden geçiriliyor mu? 2. Düzenli aralıklarla gözden geçirmeler yapılıyor mu? 3. Önemli değişlikler ortaya çıktığında değiştiriliyor mu?

ISO 27001:2013 Checklist - 1

4	Kuruluşun Bağlamı
4.1	Kuruluşun ve bağlamının anlaşılması	Kuruluş, BGYS kurulumu ve amaçları konusunda gereken önemi gösteriyor mu?
4.2	İlgili tarafların ihtiyaç ve beklentilerinin anlaşılması	İlgili tarafların (üçüncü taraf şirketlerin) gereksinimleri belirleniyor mu?
4.3	Bilgi güvenliği yönetim sistemi	Kapsam dokümanı hazırlanmış mı?

Bilgi Sınıflandırma

ISO 27001:2013 A.8.2 Bilgi Sınıflandırma

Bilgi sınıflandırması        

Bilgi, yasal şartlar, değeri, kritikliği ve yetkisiz ifşa veya değiştirilmeye karşı hassasiyetine göre sınıflandırılmalıdır.

Yönetim tarafından onaylanmış bir bilgi sınıflandırma dokümanı var mı?

Bilgi etiketlemesi

Bilgi etiketleme için uygun bir prosedür kümesi kuruluş tarafından benimsenen sınıflandırma düzenine göre geliştirilmeli ve uygulanmalıdır.

Varlıkların kullanımı

Varlıkların kullanımı için prosedürler, kuruluş tarafından benimsenen sınıflandırma düzenine göre geliştirilmeli ve uygulanmalıdır.

NOT: Hani bizi telefonla aradıklarında; “annenizin kızlık soyadı” gibi sorulara “bu bilgi gizlidir” deyip vermiyoruz ya aynı şekilde basılı belgeler, elektronik dokümanlar, e-postalar ve diğer medyalarında gizli olanlarını korumamız gerekir.

Gizlilik derecesini GİZLİ, KISITLI; İÇ KULLANIM şeklinde belirlemek ve ona göre paylaşımını yapmak gerekir.

ISO 27001 Nedir?

Kurumsal bilgi teknolojileri departmanları kurumları için bilgi güvenliğini sağlamak zorunda. Bu konuda yapılabilecek en düzeyli çalışma ISO 27001 bilgi güvenliği yönetim sistemi standardına geçmektir.
Bu çalışma sistemli bir şekilde bilgi güvenlik alt yapısını donanım, yazılım, insan gücü ve bu sistemi destekleyen dokümantasyon yapısıyla sağlanır.

Bu konuda dokümantasyon yapan arkadaşlara fikir vermesi için hazırladığım bir dokümantasyonun ön versiyonu yazımda yer alıyor. (ISO 27001:2013)