Bilgi Güvenliği Standartları

Organizasyonun genel varlıklarını korumak için tasarlanmış bir genel güvenlik politikasını ifade eden güvenlik süreci için bir işletme; bilgi varlıklarının yeterli şekilde korunmasını güvence altına almak amacıyla, bilgi güvenliğinin yönetilmesinde öncesinde kendi sahip olduğu uygulama ilkelerini benimseyebilir, kontrol araçlarını bir araya getirebilir, güvenlik standartlarından birini tercih edip sertifika temin edebilir ya da karma bir taktik izleyebilir (Upfold 2005).

Bilgi güvenliği konusunun önemli ve sürekli geliştirilmesi gerek bir durum olması standartların üzerine düşünülmesini zorunlu kılmıştır. Bu bağlamda kaynakların doğru yapılandırılması güvenliğinin sağlanmasına dikkat edilmelidir.

Ayrıca yasal düzenlemelerin de yapılandırılması önem kazanmaktadır. Bilgi güvenliğinin sağlanmasında karşılaşılan temel zorluklar ortaya çıkabilmektedir. Bunlardan bahsetmek gerekirse ilk olarak, çok büyük oranda uyumsal çalışma gerektiren bilgi teknolojileri sistemlerinin çok geniş bir alanda kullanılmak istenmesidir. Hızlı ve sürekli değişen teknoloji sebebiyle bilgisayara bağlı teknolojinin sürekli olarak sanal tehditler altında kalmıştır. Bu hızlı ve sürekli değişen teknolojik sistemlerin aynı hız ve süreklilikte sanal saldırılara maruz kalmalarına neden olmuştur. Organizasyonların düşük maliyet ama yüksek verimli sistemlere ihtiyaç duyma oranı yükselirken, bilgi güvenliği amacıyla kullanılan yasal ve düzenleyici zorunlulukların getirdiği yükümlülükler de artmıştır. Son olarak kurumların kaynak, kabiliyet ve uzmanlık açısından bilgi güvenliğini temin etmede yetersizlikleri söylenebilir (bilgiguvenligi.gov.tr).

Bu konudaki zorluklardan kaynaklı olarak, işletmeler, herkesin uzmanlık alanına göre güvenliğin sağlanmasına dair tedbirleri ele alan kuralları ifade eden sınırlı standartların oluşturulması ve uygulanması yoluna gitmişlerdir.

Yürürlükteki standartlar;

● 1996 Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası (HIPAA): Bir takım idari, fiziksel ve teknik önlemleri kapsayan, bireylerin sağlık bilgilerini korumak için, mahremiyete ve güvenliğe uygun olarak geliştirilen standartlardır. Bireylerin sağlık bilgilerini aktarmak için internet ya da elektronik sistemler kullanan hastane, eczane, kaza-sağlık sigortası ve tıbbi hizmet planı veren şirketler, tıbbi cihaz satan ve kiralayan şirketler, bireysel hekim klinikleri vb. işletme ve organizasyonlar, HIPAA standartlarının uygulamak zorundadırlar. İdari önlemler olarak gizliliği olması gereken birimlerin denetlenmesi ve bunlar için gerekli prosedürlerin yazılması için bir yönetici belirlenmesi, korunması gereken sağlık bilgilerine kimlerin ulaşıp ulaşamayacağının tespit edilmesi, çalışanların kategorize edilmesi, farkındalık yaratılması için çalışan eğitimleri ile gerekli bilgilendirmelerin yapılması, organizasyon ile beraber iş yapacak diğer kişi ya da kurumların da bu standartlara uyacağına dair anlaşmaların yapılması, acil durumlarda sağlık bilgisi verilerinin geri çekebilmesi ve veri düzeltme işlemlerinin yapılabilmesi, mahremiyete aykırı durumlarını tespit edebilme ve veri üzerinde zarar tespiti yapabilmeleridir. Fiziksel önlemlerde organizasyonda kullanılan cihazların ağ çalışma gruplarına dahil edilir ya

da çıkarılırken gerekli teknik işlemlerin yapılabilmesi, içinde bu tarz mahrem sağlık bilgileri mevcut olan cihazlara ulaşımın kontrol edilmesi ve takibi, bu cihazlara müdahalenin sadece ilgili kişiler tarafından yapılmasının sağlanmasıdır. Teknik önlemler ise bu tarz mahrem sağlık bilgileri mevcut olan cihazların, siber saldırılara karşı muhafazası, mahrem sağlık bilgilerinin ağ üzerinde dolaşımda bulunması halinde, kriptolama yöntemlerinin kullanılması, gizliliğinden sorumlu olunan sağlık verilerinin değişmeyeceği ya da ilgisiz kişilere iletilmeyeceğine dair her birimin risk analizlerinin ve risk yönetimlerinin belgelendirilerek güvence vermesidir (Guthrie 2003).

● 1999 yılının Finansal Hizmetler Modernizasyonu Yasası (GLBA):

Müşterilere ait gizli bilgilerin korunmasını esas alınan bu sistem, daha çok bankalar, güvenlik şirketleri ve sigorta şirketlerinin güvenliği ve müşteri mahremiyeti için geliştirilmiş bir standartlar bütünüdür. Gizlilik ve bilgi güvenliği ile ilgili üç temel prensibi vardır. Mali mahremiyet kuralı, müşteri ile ilgili bilgilerin nerede ve nasıl kullanıldığını, bu bilgilerin nasıl korunduğunu belirten müşteri arşivlerini tutulması, müşteri bilgilerinin korunmaması durumunda müşterinin ne gibi haklarının bulunduğunun belirtilmesi, organizasyonun güvenlik ile ilgili yaptığı politika değişikliklerini müşterinin onayına sunulması gibi müşteri mahremiyetini korumak için alınması gereken tedbirleri ifade eder. İhtiyat kuralı her birim için risk yönetim merkezinin kurulup, bilgiyi korumak adına, program geliştirilmesi, izlenmesi ve test edilmesi, bilginin toplanması, sunulması ve kullanılmasına göre politikaların değiştirilmesidir. Ayrıca müşterilerin gizli bilgilerini korumak için ne gibi önlemler alacağına ve hangi yöntemlerin uygulayacağına dair yazılı planların oluşturulup, en azından bir çalışanın bu iş için görevlendirilmesidir. Veri çalınmasının engellenmesi kuralı yetkili ve görevli kişiler haricinde erişim izni olmadan, diğer müşterilerin bilgilerine ulaşımın engellenmesidir (Hayes 2006).

● Bankacılık Düzenleme ve Denetleme Komitesi (BASEL): Bilişim sistemlerinde riskin tamamen ortadan kaldırılamayacağı ancak bu riskin gerçekleşme olasılığının minimize edilebileceği düşüncesi temel alır. Özetle bankaların sermaye yeterliliklerinin ölçülmesi ve değerlendirilmesine dair düşünülmüş standartlar bütünüdür. Amacı bankaların risk yönetimlerini etkin bir hale dönüştürmek, piyasa disiplinini sağlamak, sermaye yeterliliği ölçümlerinin yeterliliğini artırıp etkili bir bankacılık sistemi oluşturmaktır. Bu sistem bilgi güvenliği sağlanması için dört

maddeye önem atfeder. Erişim kontrolü, bilişim teknolojilerine kimin nasıl erişeceği ilişkin sınırların belirlenmesi, çalışanların kullanıcı hesaplarının oluşturulması, kaynak erişim hakları ve ayrıcalıklı yönetici hesaplarının belirlenmesi, şifre ve kullanıcı hesapları ile ilgili standartların belirlenmesidir. İş sürekliliğinin sağlanması, donanım ya da yazılımsal hatalar, elektrik kesintisi ya da doğal afetler gibi her ölçüde acil durumlar için gerekli risk tedbirlerin öncesinde belirlenmesi, organizasyona ait her türlü bilginin korunarak bunların saklandığı sunucuların önceden farklı yerlerde kopyasının tutulması, bu gibi durumlar için acil risk yönetim masalarının oluşturulup müşteri hizmetlerinin devamlılığının sağlanması, tüm bu süreçte yasal sorumlulukların yerine getirilmesidir. Değişiklik yöntemi, talep edilen ve gerekli bulunan değişikliklerin tanımlanıp olası bir değişikliğin muhtemel etkilerinin belirlenmesi, hangi sistemlerin hangi tarihlerde hangi sıra ile güncelleneceğinin tespit edilip bunlardan sorumlu kişileri tespit edilmesi, olumsuz senaryolar için geri dönüşüm prosedürlerinin detaylıca hazırlanmasıdır. Güvenlik yönteminde ise yetkisiz erişimlerin engellenmesi, bilginin değiştirilmesinin ve bilgiye saldırılmasının engellenmesi, koruma için gereken kontrol ve ölçümlerin tespiti, bu ölçümlerin belgelendirilip kontrollerin uygulanmasıdır (Tarullo 2008).

● Ödeme Kartları Endüstrisi Veri Güvenliği Standartları (PCI DSS): Kredi kartı işlemleri ve ödemeleri sırasında, bilgilerin açığa çıkmaması için güvenliğin sağlanması amacıyla oluşturulmuş kurallardır. Bu kurallardan ilki güvenli bir internet ağının oluşturulması ve bakımı; kart sahibinin bilgilerini korumak için güvenlik duvarının oluşturulması, dış kaynak organizasyonlar tarafından sağlanan güvenlik parametrelerine itibar edilmesidir. Kart sahibi bilgilerinin korunması; kart sahibine ait depolanmış bilgilerin, dış müdahaleye açık ağ üzerinden transferi sağlanırken şifrelenerek korunmuş olmasıdır. Saldırılara karşı yönetim biriminin oluşturulması; dış tehdide açık sistemlerin anti-virüs yazılımlarının güncellenmesi, güvenli sistemlerin ve uygulamaların geliştirilip kullanılmasıdır. Erişim kontrol ölçütlerinin zorlaştırılması; kart sahibinin gizli bilgilerine erişiminin kısıtlanması, bilgisayar erişiminde kullanılmak üzere müşterilere ayrı bir kimlik numarası verilmesi ve kart sahibi bilgilerine fiziksel olarak erişimin engellenmesidir. Düzenli olarak ağın izlenmesi ve test edilmesi, düzenli olarak güvenlik sistemlerinin ve işlemlerinin test edilmesi amacıyla ağ kaynaklarına ve kart sahibi bilgilerine erişimlerin takip edilmesidir. Son olarak bilgi güvenliği politikası geliştirilmesi, Bilgi güvenliğini esas alan politikaların belirlenmesidir (Morse 2008).