BGYS’nin Sürekliliğinin Sağlanması ve Đyileştirilmesi

ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi’nin Kontrol Et aşamasının tamamlanmasıyla bu sonuçları dikkate alarak sistemin geliştirilmesi işleminin gerçekleştirileceği Önlem Al aşamasına gelinmiş ve bu aşamanın tamamlanmasına müteakip PUKÖ döngüsünün başına dönülerek sistemin sonsuz yaşam döngüsü sağlanılacaktır. Burada da diğer bölümlerde olduğu gibi sistematik bir anlayışın benimsenmesi ve standartta geçen adıyla sürekliliğin sağlanması ve iyileştirme adımlarının gerçekleştirilmesi sağlanacaktır.

BGYS’nin kontrol et aşamasında karşılaştığı olaylarla edindiği tecrübelere göre harekete geçip, bunların sonucu olarak sistemi daha ileriye götürecek ve güvenliğin derecesini arttıracak adımları atması gerekmektedir. Đşte bu adımlar sadece sürekliliğin sağlanması ve sistemin iyileştirilmesi prosedür ve talimatları ile olabilmektedir. Edinilen tecrübeleri açık bir şekilde sisteme entegre edecek prosedürler oluşturularak her geçen dönem içerisinde bilgi güvenliği, olması gereken seviyeye çıkarılacak ve durmadan daha ileriye doğru götürülecektir. Süreçlerin bilgi iletişim teknolojilerindeki gelişimi göz önüne alındığında durması imkansız ve her geçen gün daha içinden çıkılmaz bir hal alması ile BGYS’nin sürekli gelişme göstermesi zorunluluğu

kaçınılmazdır. Bilgi güvenliği konusunda kontrolü en başından itibaren ele almak doğru yaklaşım olacaktır. Aksi durumda tekrar yakalamak imkansız denebilecek kadar zordur.

2.5.1.Tanımlanan Đyileştirmelerin Gerçekleştirilmesi.

Kontrol aşamasında izlenilen prosedürler kapsamında sistemin eksikleri ya da güncelleştirilmesi gereken yerleri tespit edilmiş olup, bunların yine bir prosedür vasıtası ile iyileştirmelerinin yapılması ile döngünün tamamlanması sağlanacaktır. Bu iyileştirmeler, mevcut risklerin doğru şekilde yönetilmesinin temini olmakta ve yapılan hatalardan dersler çıkarılarak bilgi güvenliği amacına ulaşma çabasını ihtiva etmektedir. Örnek olarak kontrol et aşamasının bir bölümü olan Elektronik Posta Sunumcusu kontrol edilmiş ve “Spam” olarak adlandırılan ticari ya da reklam amaçlı istenmeyen elektronik postaların kabul edilmemesi konusunda istenilen duruma gelinemediği tespit edilmiştir. Bu konuda araştırmalar yapılıp ayrıca bir spam filtreleme sunumcusu kurulma ihtiyacının olduğu kanaatine varılmıştır. Tanımlanan bu iyileştirmenin gerçekleştirilmesi yani bu sunumcunun kurulması işlemi ise bu bölümde gerçekleştirilecektir. Oluşturulacak prosedür ile sistemin kurulumu ve kullanımı anlatılacaktır.

SEMBOLĐK BILISIM LTD.ŞTĐ. ELEKTRONĐK POSTA SUNUMCU ĐYĐLEŞTĐRME SÜRECĐ

YAYIN NO: 27001-EPSI-01

DOKUMAN ADI:SÜR-EPSI-V1 VER:0.1

Amaç

Ticari ya da reklam amaçlı istenmeyen elektronik posta olarak adlandırılan “Spam”lerin sistemde oluşturulacak bir filtreleme sunumcusu ile reddedilmesinin sağlanması.

Kapsam

Filtreleme sunumcusunu kuracak Sistem Yönetimi ve Güvenlik personelini kapsar.

Uygulama

Elektronik Posta Sistemi’nin kontrol edilmesi prosedürüne göre yapılan kontrollerde sistemin spam filtreleme özelliğinin yeterli sonuçları vermediği ve sistemden fazla sayıda istenmeyen spam’in geçtiği görülmüştür.

Yapılan istişareler ve alınan öneriler sonucunda Elektronik Posta Sunumcu önüne bir adet spam filtreleme sunumcusu kurularak gelen e-postaların öncelikle bu sunumcuda

kontrol edilmesine karar verilmiştir.

Yapılan fizibilite araştırmaları ve merkezin açık kaynak kodlu yazılım kullanma politikasına uygun olarak bu tipte bir yazılımın kullanılmasına karar verilmiştir. Seçenekler üzerinde çalışma yapılarak en uygun uygulamanın “Kontangle” yazılımının spam filtreleme modülü olduğu tespit edilmiştir.

Bir adet sunumcu donanımı sadece bu iş için ayrılacak ve üzerine Kontangle yazılımı kurularak gerekli ayarlamalar yapılacaktır. Sistemin bir bacağı ağın girişine bir bacağı da çıkışına bağlanarak köprü (bridge) modda çalışması sağlanacaktır.

Sistemin güncellemeleri haftalık olarak kontrol edilecek ve kara listeye girmiş e-posta sunumcuları ile kullanıcıları otomatik olarak sisteme entegre edilecektir.

Sistem, engellediği e-postaları günlük olarak kullanıcılara bildirecek ve kullanıcıların spam olmadığını bildikleri halde sistemin blokladığı e-postalarına erişme imkanı sağlayabilecektir.

Sistem engellediği e-postaları haftalık olarak Sistem Yönetim ve Güvenlik bölümlerindeki sorumlu sistem yöneticilerine bildirecektir.

Sistemin doğru çalıştığı hergün kontrol edilecek olup, gözden kaçan e-posta sunumcuları ve kullanıcılar veritabanına elle yüklenecektir.

HAZIRLAYAN KONTROL EDEN ONAYLAYAN

Bu ve bunun gibi işleyişle ilgili yapılan iyileştirmeler, prosedür ve talimat halinde dokümante edildikten sonra gerçekleştirilecektir.

2.5.2.Eylemler ve Đyileştirmeleri 3.Taraflara Aktarma ve Onlarla Mütabık Kalma

Đstenen bilgi güvenliğini sağlamak ve BGYS standardını uygulamak için sadece kendi bünyesinde BGYS’yi gerçekleştirmek günümüz global dünyasında yeterli olmamaktadır. Bu dönemde, içinde bulunulan sektör içinde bilgi varlıklarının yüksek etkileşim oranına sahip olduğu ve uygulanılan güvenlik tedbirlerinin de iletişimde bulunulan kurum kuruluşlara haberdar edilmesi, bu eylem ve iyileştirmeler hakkında işleyiş üzerinde mütabık kalınması ihtiyacını doğurmaktadır.

Bu işlem düzeltici ve engelleyici tüm eylemlerin kaydedilip, uygun iletişim kanallarıyla doğru kişilere aktarılması ile gerçekleşmektedir. Bu iletişim sonucunda gerçekleşen eylemlerin çalışma ortamı ve süreçlerini nasıl etkileyeceği konusunda mütabık kalınması sağlanmalıdır. 3. taraf olarak adlandırılan kurum dışı çalışan ortak ya da tedarikçilerle iletişim kanallarının doğru kurulması, oluşabilecek değişime karşı

direncin daha kolay kırılmasını sağlayacaktır. Bunun için prosedür ve talimatlarla dokümante edilmiş ve her değişiklikte uygun olarak güncellenen bir iletişim kanalı kurulması en uygun durum olacaktır. Örnek süreç;

SEMBOLĐK BILISIM LTD.ŞTĐ. 3. TARAF HABERLEŞMELERĐ SÜRECĐ

YAYIN NO: 27001-3TH-01

DOKUMAN ADI:SÜR-3TH-V1 VER:0.1

Amaç

Bilişim Teknolojileri güvenliği konusunda alınan karar ve uygulanan kontrollerin 3. taraflara aktarılması konusunda oluşturulacak iletişim kanallarının işleyişini belirlemek.

Kapsam

Kurum/merkez ve 3. taraf kurum/kişileri ve bunlar tarafından atanacak bilişim güvenliği konularında yetkili kişileri kapsar.

Uygulama

Her geçen gün artan bilişim teknolojileri kullanımı ve bu teknolojilerin hızla gelişmesi karşısında artan güvenlik ihtiyaçları ile ilgili olarak oluşturulacak kontrol ve alınacak önlemlerin de o denli hızlı olması gerektiği aşikardır. Bu hızlı ihtiyaçlar nedeniyle oluşturulacak kontrol ve önlemlerin uygulanması neticesinden işleyişi etkilenecek 3. taraflar etkileşimleri için hızlı çalışacak bir iletişim kanalı kurma ihtiyacı doğmuştur. Bu nedenle kurulacak tüm iletişim kanalları her an erişilebilir olmalı ve alınacak kararlarda yetkili kişilere bilgilendirilme yapılmalıdır.

Esas amaç olan güvenliğin etkili bir şekilde sağlanması ve işleyişin olabildiğince kısıtlanmamasıdır. Bu ancak hızlı ve karara olumlu katkılar sağlayabilecek iletişim ile gerçekleşebilecektir.

Bu esaslar çerçevesinde tüm 3. taraflarla yapılan anlaşma ve sözleşmelerde bilgi güvenliğinden bahsedilecek ve sorumlular açıkça belirlenecektir. Bilgi Đşlem Merkezi tarafından da yetkili bir kişi ek görev olarak iletişim sağlamakla yükümlü olacaktır. Şu anki sorumlu Sistem Yöneticisi Fatih Durusoy olacaktır. Tüm tedarikçilerin bilgi güvenliği yöneticileri listesi bu prosedüre ek yapılacaktır.

Her an erişilebilir olma ilkesi geçerli olacak ve yapılan işlemlerin habersiz ve mütabık kalınmadan gerçekleşmesi maksimum seviyede engellenecektir.

2.5.3.Đyileştirmelerin Amaçlara Uygunluğunu Sağlama

Kuruluş, gerçekleştirilen tüm iyileştirmelerin, en genel manadaki bilgi güvenliğini sağlama ve geliştirmekten, en özel manadaki oluşturulan sistemin gerekliliklerini yerine getirmesine kadar düşünülen tüm hedeflere ulaşmasını temin etmelidir. Bu uygunluk, alınan düzeltici ve engelleyici önlemlerin gözden geçirilmesi ile kontrol edilecektir. Sistemin ya da kontrolün yapısına göre oluşturulacak ölçü birimleri başarının belirlenmesinde ve gelişmenin kaydedilmesinde önemli rol oynamaktadır.

Bir önceki Spam filtreleme örneğinden yola çıkarsak; bu sunumcunun kurulması ile istenmeyen elektronik postaların engellenmesi amaçlanmış ve kullanıcılardan gelen bu tip isteklerin önüne geçilmesi istenmiştir. Bu yapılan iyileştirmenin tam olarak isteneni karşılaşıp karşılamadığı sonsuz iyileştirme döngüsü içerisinde bu bölümde kontrol edilecektir. Yapılan kontroller sonucu isterleri karşılamaması durumunda sistemin iyileştirmesi seçeneği düşünülerek ya ticari yazılım ve lisansı temin edilecek ya da ilgili yazılımın bilinmeyen yönleri araştırılarak/eğitim alınarak isterleri karşılaması sağlanacaktır. Görüldüğü gibi sistemin bir açığının kapatılması için sadece oluşturulan bir kontrol ve uygulamanın tatbiki ile yetinilmemekte, bunun da kontrolü yapılarak, amaca uygunluğu kontrol edilerek aksi durumlarda tekrar iyileştirme yapılmaktadır.