BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ (BGYS)
Bilgi Güvenliği Yönetim Sistemi BGYS, kurumun hassas bilgilerini yönetebilmek amacıyla benimsenen sistematik bir yaklaşımdır. Bu sistemin temel amacı hassas bilginin Bilgi Güvenliği Politikaları Kılavuzu 11 korunmasıdır. Bu sistem çalışanları, iş süreçlerini ve bilgi teknolojileri (BT) sistemlerini kapsar.
Bilgi Güvenliği Yönetim Sistemi deyimi ilk kez 1998 yılında BSI (British Standards Institute) tarafından yayınlanan BS 7799-2 standardında kullanılmıştır. Daha sonra bu standart Uluslararası Standartlar Kurumu ISO tarafından kabul edilmiş ve ISO/IEC 27001:2005 olarak yayınlanmıştır. BSI tarafından yayınlanan bir diğer standart BS 7799-1 ise bilgi güvenliğinin sağlanmasında kullanılacak kontrollerden bahsetmektedir. Bu da yine ISO tarafından kabul edilmiş ve ISO/IEC 27002:2005 olarak yayınlanmıştır. ISO/IEC 27002:2005 bu standardın Temmuz 2007’den itibaren kullanılan ismidir, bu tarihe kadar standart ISO/IEC 17799:2005 olarak adlandırılıyordu.
Bilgi güvenliği yönetimi konusunda en yaygın olarak kullanılan standart, “ISO/IEC 27002:2005 Bilgi Güvenliği Yönetimi İçin Uygulama Prensipleri” standardıdır. Bu standart, işletmeler içerisinde bilgi güvenliği yönetimini başlatmak, gerçekleştirmek, sürdürmek ve iyileştirmek için genel prensipleri ve yönlendirici bilgileri ortaya koyar. ISO/IEC 27002:2005 rehber edinilerek kurulan BGYS’nin belgelendirmesi için “ISO/IEC 27001:2005 Bilgi Güvenliği Yönetim Sistemleri – Gereksinimler” standardı kullanılmaktadır. Bu standart, dokümante edilmiş bir BGYS’ni kurumun tüm iş riskleri bağlamında kurmak, gerçekleştirmek, izlemek, gözden geçirmek, sürdürmek ve iyileştirmek için gereksinimleri kapsamaktadır. İş risklerini karşılamak amacıyla ISO/IEC 27002:2005’te ortaya konan kontrol hedeflerinin kurum içerisinde nasıl uygulanacağı ve denetleneceği ISO/IEC 27001:2005’te belirlenmektedir.
Her iki standardın Türkçe hali TSE tarafından sırasıyla TS ISO/IEC 17799:2005 ve TS ISO/IEC 27001:2005 isimleri ile yayınlanmıştır. Söz konusu standardın belgelendirmesi konusunda TSE tarafından TS 13268-1 BGYS Belgelendirmesi İçin Gereksinimler ve Hazırlık Kılavuzu standardı yayınlanmıştır. ISO/IEC 27001 ve ISO/IEC 27002 standartları BGYS konusunda en temel başvuru kaynaklarıdır. Bu iki standart da doğrudan bilgi güvenliği konusunu ele alırlar. Teknik ve teknoloji bağımlı standartlar değildirler. Belli bir ürün veya bilgi teknolojisi ile ilgilenmezler. Hatta bilgi teknolojileri güvenliği dahi bu standartların içerisinde yer almaz. Tek ilgi alanı vardır, o da bilgi güvenliğidir. BGYS standartları kapsamında BGYS’in kurulumu, gerçeklenmesi, işletilmesi, izlenmesi, gözden geçirilmesi, sürdürülmesi ve tekrar gözden geçirilmesi için PUKÖ (Planla – Uygula – Kontrol et – Önlem al) modeli kullanılmaktadır. PUKÖ modelini görsel olarak anlatan Şekil 5, bir BGYS’nin bilgi güvenliği gereksinimlerini ve ilgili tarafların beklentilerini girdi olarak nasıl aldığını ve gerekli eylem ve prosesler aracılığıyla, bu gereksinimleri ve beklentileri karşılayacak bilgi güvenliği sonuçlarını nasıl ürettiğini gösterir. Bilgi güvenliği yönetimi, başlangıç ve bitiş tarihleri olan bir proje gibi görülmemelidir. Sürekli devam eden bir gelişim süreci olarak düşünülmelidir. PUKÖ modelinde gösterildiği gibi (Planla – Uygula – Kontrol et – Önlem al) faaliyetleri bir döngü içinde durmaksızın sürekli devam etmelidir. PUKÖ modeli özet olarak ne yapılacağına karar verilmesi, kararların gerçekleştirilmesi, çalıştığının kontrol edilmesi hedefine uygun çalışmayan kontroller için önlemlerin alınmasıdır. BGYS kurulumu PUKÖ modelinin ilk adımını (Planla) teşkil etmektedir. Yerleşik bir sistemden bahsedebilmek için diğer adımların da uygulanması ve bunların bir döngü içinde yaşaması gerekir.
2.1 Risk Yönetimi
Risk, Fransızca risque olarak dilimize geçmiş olup sözlük anlamı “Riziko, zarara uğrama tehlikesi” şeklindedir. Risk (riziko), bir olayın gerçekleşme olasılığı ve olaydan etkilenme olanağı olarak tanımlanmaktadır. Genellikle risk olumsuz bir durum yani tehlike olarak değerlendirilir. Bu nedenle risklerin olumsuz etkilerinden zarar görmemek için olasılıklar göz önüne alınarak, önlemler almaya yönelik, çalışma ve planlama faaliyetlerini içeren ve risk yönetimi olarak anılan bir disiplin ortaya çıkmıştır. Risk, gelecekte oluşabilecek potansiyel problemlere, tehdit ve tehlikelere işaret eden, belirli bir zaman aralığında, hedeflenen bir sonuca ulaşamama, kayba ya da zarara uğrama olasılığı olarak da tanımlanabilir.
Risk Yönetimi ise bir kurumun ya da kuruluşun çalışabilirliği, ticari kuruluşlar içinse öncelikle kârlılığını olumsuz yönde etkileyebilecek risk faktörlerinin belirlenmesi, ölçülmesi ve en alt düzeye indirilmesi sürecidir. Risk yönetiminde, riskin tamamıyla ortadan kaldırılması mümkün değildir. Sorunlara sistematik ve dikkatli bir şekilde yaklaşılması ve almaya karar verilen risklerin dikkatli yönetimi yoluyla gereksiz kayıpların engellenmesi amaçlanmaktadır. Başarılı bir risk yönetimi için, kuruluşların bilgi varlıklarına ve hedeflerine yönelik risklerin belirlenerek, analiz edilmesi, tanımlanan risklerin denetim altında tutularak izlenmesi gereklidir. Riski yönetmenin en doğru yolu, gerçekleşme olasılığı ve gerçekleştiğinde vereceği zarar en yüksek olan riskleri azaltacak bilgi teknolojisi risk yönetim sürecinin oluşturulmasıdır.
2.1.1 Varlıkların Belirlenmesi
Varlık, sistemin bir parçası olan ve kurum için değeri olan her şeydir. Varlık kurum için değer taşıdığından korunması gerekir. Bir BT sisteminde sadece yazılım ve donanımlar varlık olarak düşünülmemelidir. Aşağıdaki örnekler varlık olarak nitelendirilebilecek değerlerdir.
- Bilgi,
- Donanım (kişisel bilgisayarlar, yazıcılar, sunucular),
- yazılım (işletim sistemleri, geliştirilen uygulamalar, ofis programları),
- haberleşme cihazları (telefonlar, hatlar, kablolar, modemler, anahtarlama cihazları),
- dokümanlar(stratejik toplantıların tutanakları, sözleşmeler vb.),
- üretilen mallar,
- servisler,
- personel,
- kurumun prestiji / imajı.
Varlıkların belirlenmesinde kullanılabilecek bazı bilgi toplama teknikleri mevcuttur.
2.1.2 Tehditlerin Belirlenmesi
Tehdit, herhangi bir tehdit kaynağının kasıtlı olarak veya kazayla bir açıklığı kullanarak varlıklara zarar verme potansiyelidir. Tehdit kaynağı ise varlıklara zarar verme olasılığı olan olaylar ve durumlar olarak tanımlanabilir. En bilinen tehdit kaynakları şunlardır:
Doğal tehditler: Deprem, sel, toprak kayması, yıldırım düşmesi, fırtına gibi tehditler.
Çevresel tehditler: Uzun süreli elektrik kesintileri, hava kirliliği, sızıntılar vs. Bilgi Güvenliği Politikaları Kılavuzu 15
İnsan kaynaklı Tehditler: İnsanlar tarafından yapılan veya yol açılan bilinçli veya bilinçsiz olaylar. Örneğin yanlış veri girişi, ağ saldırıları, zararlı yazılımların yüklenmesi, yetkisiz erişimler vs. Tehdit değerlendirmesi sırasında hiçbir tehdidin küçümsenerek göz ardı edilmesi doğru değildir. Göz ardı edilen tehdit kurum güvenliğinde zayıflık yaratabilir. Tehdit değerlendirmesi için gerekli girdi varlık sahiplerinden, kullanıcılardan, BT uzmanlarından, kurumun korunmasından sorumlu kişilerden elde edilebilir. Ayrıca tehditlerin belirlenmesinde tehdit katalogları da kullanılabilir. Aşağıdaki tablo BT sistemlerinde sıklıkla karşılaşılan tehditleri ve bunların kaynaklarını içermektedir (tehdidin kaynağı bölümünde kullanılan kısaltmalar B: İnsan kaynaklı ve bilerek, K: İnsan kaynaklı ve kazayla, D: Doğal, Ç:Çevresel).
Tehdit | Tehdidin Kaynağı |
Deprem | D |
Sel | D |
Fırtına | D |
Yıldırım | D |
Endüstriyel bilgi sızması | B,K |
Bombalama ve silahlı saldırı | B |
Yangın | B,K |
Güç kesintisi | B,K,Ç |
Su kesintisi | B, K, Ç |
Havalandırma sisteminin arızalanması | B, K, Ç |
Donanım arızaları | K |
Güç dalgalanmaları | K, Ç |
Tozlanma | Ç |
Elektrostatik boşalma | Ç |
Hırsızlık | B |
Saklama ortamlarının izinsiz kullanılması | B, K |
Saklama ortamlarının eskiyip kullanılmaz duruma gelmesi | K |
Personel hataları | K |
Bakım hataları/eksikleri | K |
Yazılım hataları | B, K |
Lisanssız yazılım kullanımı | B, K |
Yazılımların yetkisiz kullanımı | B, K |
Kullanıcı kimlik bilgilerinin çalınması | B, K |
Zararlı yazılımlar | B, K |
Yetkisiz kişilerin ağa erişimi | B |
Ağ cihazlarının arızalanması | K |
Hat kapasitelerinin yetersiz kalması | B, K |
Ağ trafiğinin dinlenmesi | B |
İletim hatlarının hasar görmesi | B, K |
İletişimin dinlenmesi | B |
Mesajların yanlış yönlendirilmesi | K |
Mesajların yetkisiz kişilere yönlendirilmesi | B |
İnkar etme | B |
Kaynakların yanlış kullanımı | K |
Kullanıcı hataları | K |
Personel yetersizliği | K |
Tablo 1: BT sistemlerinde karşılaşılan tehditler ve kaynakları
2.1.3 Açıklıkların Belirlenmesi
Açıklık, sistem güvenlik prosedürlerinde, tasarımda, uygulamada veya iç kontrollerde bulunan ve bilgi güvenliği ihlal olayına sebep olabilecek zayıflık, hata veya kusurlardır. Açıklıklar tek başlarına tehlike oluşturmazlar ve gerçekleşmeleri için bir tehdidin mevcut olması gerekir. Açıklık değerlendirmesi, tehditler tarafından gerçekleştirilebilecek açıklıkları ve bu açıklıkların ne kadar kolay gerçekleştirilebileceğini ele alır. Açıklıkların belirlenmesinde anket, birebir görüşme, dokümantasyon ve otomatik tarama araçları gibi yöntemler kullanılabilir.
2.1.4 Olasılık Değerlendirmesi
Risk analizinde bir açıklığın gerçekleşme olasılığının belirlenmesi büyük önem taşır ve tespit edilen tüm açıklıklar için olasılık değerlendirmesi yapılmalıdır. Olasılığın belirlenmesi için tehdit kaynağının motivasyonu ve becerisi, açıklığın cinsi, mevcut kontrollerin varlığı ve etkinliği göz önünde bulundurulmalıdır. Kurumumuz için aşağıda yer alan 3 seviyeli bir olasılık tanımları belirlenmiştir.
OLASILIK SEVİYESİ | OLASILIK SEVİYESİ |
Yüksek | Tehdit kaynağı çok kabiliyetli ve motivasyonu yüksektir, açıklığın gerçekleşmesini engelleyecek kontroller bulunmamaktadır veya etkisizdir. |
Orta | Tehdit kaynağı kabiliyetli ve motivasyonu yüksektir, açıklığın gerçekleşmesine engel olacak kontroller mevcuttur. |
Düşük | Tehdit kaynağı daha az kabiliyetli ve motivasyonu daha düşüktür, açıklığın gerçekleşmesini engelleyecek veya çok zorlaştıracak kontroller mevcuttur. |
Tablo 2: Üç seviyeli olasılık değerlendirmesi için olasılık tanımları
2.1.5 Etki Analizi
Risk derecelendirmesi yapabilmek için olasılık değerlendirmesinden sonra gelen adım etki analizidir. Etki analizinde herhangi bir açıklığın gerçekleşmesi halinde yaşanacak olası olumsuz etki seviyesi belirlenir. Bunun için varlığın görevi, kritikliği, varlığın etkilediği verinin hassasiyeti ve varlığın mali değeri göz önüne alınmalıdır. TL0024 doküman numaralı Risk Talimatı belgesinde etki analizi ayrıntılı olarak ele alınmaktadır.
2.1.6 Risk Derecelendirmesi
Bu adımın amacı, varlıkları tehdit eden risklere değerler atayıp onları derecelendirmektir. Uygun kontrollerin seçilmesi burada belirlenen risklere ve seviyelere göre yapılır. Risk bir tehdidin bir açıklığı gerçekleme olasılığının, açıklığın ne kadar kolay gerçekleştirilebildiğinin ve mevcut veya planlanan kontrollerin yeterliliğinin bir fonksiyonudur. Yani kısaca olasılık değerlendirmesinde ve etki analizinde belirlenen değerlere bağlıdır. Risk derecelendirmesi TL0024 doküman numaralı Risk Talimatı belgesinde etki analizi ayrıntılı olarak ele alınmaktadır.