Bilgi Güvenliği Standartları

Organizasyonlar bilgilerinin uygun ve yeterli korunabilmesi için birçok yol izlerler. Öncelikle organizasyonun belli bir güvelik politikası oluşturması ve bu politikayı eksiksiz olarak ve sürekli gündeminde tutup taviz vermemesi gerekir. Bilgi güvenliği için organizasyonlar belirli bir politika oluştururken genellikle kontrol ve güvenlik araçları edinebilir, belli başlı güvenlik uygulama ilkelerini izleyebilir, yürürlükte olan güvenlik standartlarından herhangi biri için sertifika alabilmek için

standartları sağlayabilir veya bu seçeneklerden belli bir kısmını beraber kullanmayı tercih edebilirler (Upfold ve Sewry, 2005).

Güvenlik sistemlerinin sürekli ve doğru kullanımı için birçok standart ve yasal düzenleme oluşturulmuştur. Bu standartlar sayesinde güvenlik standartlarının önemine dikkat çekmek ve geliştirilmesine aracı olunmak hedeflenmiştir. (Poşul A,

“Bilgi güvenliği Standartları” 19 Mart 2015).

1.11.2.1. Bilgi Güvenliği Standartlarının Kullanım Nedenleri

Bilgi güvenliği standartlarının kullanım nedenlerini yorumlarken organizasyonların bilgi güvenliği sağlaması aşamasında karşılaştıkları temel problemleri yorumlamanın faydası olacaktır. Bu nedenle bilgi güvenliği sağlanırken karşılaşılan temel problemler şu şekildedir:

● Fiziksel sistemlere nazaran teknolojik sistemlerin daha çok saldırıya uğraması,

● Organizasyonların yüksek verimli sistemlere ihtiyaçları olmasına rağmen bunlara ayırdıkları bütçelerin düşük olması,

● Çoğunlukla bütçe ve eleman eksikliğine bağlı olarak yetenek, uzmanlık ve kaynak eksikliği nedeni ile bilgi güvenliğini sağlamadaki eksiklikler,

● Yasal düzenlemeler ve getirilen standartlar nedeni ile gelen bilgi güvenliğini sağlamak için gerekli sorumluluklar,

● Teknolojik olarak hızlı değişimler nedeni ile ağ sistemleri, yazılımlar ve donanımsal sistemlerin güvenlik açıklarının oluşma ihtimalinin yüksek olması,

Bilgi güvenlik sistem ve alt sistemlerinin birçok organizasyon için ortak kullanımdan dolayı oluşan bilgi güvenliği açıkları (Poşul A, “Bilgi güvenliği Standartları”, 19 Mart 2015).

Belirtilen tüm bu problemlerden dolayı organizasyonlar, organizasyonun büyüklüğü, şekli, kapsamı ve çalışma alanı gibi kriterler göz önüne alınarak, güvenliklerini uygun ve eksiksiz karşılayabilmek için belli başlı kurallar geliştirmeyi

hedefleyerek standartlar oluşturulması, kullanılması ve yaygınlaştırılması yoluna gitmişlerdir.

1.11.2.2. Bilgi Güvenliği İçin Yürürlükteki Standartlar

1.11.2.2.1. HIPPA (Health Insurance Portability and Accountability)

HIPPA bireylerin sağlık ile ilgili bilgilerinin genellikle internet veya ağ bağlantısı ve teknolojik ortamlarla aktarılması aşamalarında uyulması gerekli olan standarttır. Bu tip aktarımları sağlayan hastaneler, eczaneler, sağlık sigortası sağlayan organizasyonlar, tıbbi cihaz temin eden firmalar, online veya uzaktan sağlık danışmanlık veya sağlık hizmet planı veren organizasyonlar, klinik uygulama veren kurumlar gibi organizasyonlar HIPPA bilgi güvenlik sistemine uymak zorundadır.

HIPPA bireyin sağlık ile ilgili tüm bilgilerinin teknik, fiziksel ve idari olarak sağlanmış önlemler ile güvenliğini sağlayan, bir dizi protokol ile oluşturulmuş bilgi güvenliği standartlarıdır (Poşul A, “Bilgi güvenliği Standartları”, 19 Mart 2015).

HIPPA kapsamında idari önlemler; gizliliğin sağlanması, gereken basamaklar için denetleme mekanizması oluşturulması ve bunun için gerekli prosedürlerin yazılması, korunan bilgilerin kimler tarafından kullanılıp kullanılamayacağı ile ilgili bir sınıflandırma sisteminin oluşturulması, çalışanlar için farkındalık sağlamaya yönelik eğitimler ve bilgilendirmeler yapılması, birlikte çalışılan organizasyonların da uygulanan tüm standartlara uyum sağlaması yönünde sözleşme ve anlaşmalar yapılarak bu organizasyonlara durum ile ilgili eğitim ve bilgilendirmelerin yapılması, acil durumlarda bilgilere erişimin durdurulması, kullanıma kapatılması, değiştirilmesinin engellenmesi ve gerekli olduğu zaman organizasyon için uygun şartların sağlanması doğrultusunda değiştirilebilmesi, dış etmenlere bağlı olarak yaşanan saldırı ve müdahale durumlarında zarar tespitinin kolaylıkla yapılabilmesi gerekmektedir.

HIPPA için fiziksel önlemler; sağlık bilgilerini depolayan teknolojik donanımlara ulaşımlar yetki ile kısıtlanmalı ve sınıflandırılmalıdır. İlgili cihazlara

ulaşım takip ve kontrol edilebilir olmalıdır. Bu cihazlardan bilgi paylaşımı, iç veya dış ağlara bağlantılar kurulurken yeterli güvenlik önlemlerinin alınması gerekmektedir (Poşul A, “Bilgi güvenliği Standartları”, 19 Mart 2015).

HIPPA için teknik önlemler; sağlık bilgilerini depolayan teknolojik cihazların oluşabilecek saldırılar için gerekli önlemlerin alınması, yapılacak iletim işlemlerinde şifreleme (kriptolama) işlemlerinin yapılması, sağlık ile ilgili veri ve bilgilerin değişmeyeceği ve silinmeyeceği ile ilgili güvencenin sağlanması, oluşabilecek sorunlar için ilgili organizasyonlarda risk raporlarının ve risk analizlerinin oluşturulması ve standart haline getirilmesi gereklidir (Poşul A, “Bilgi güvenliği Standartları”, 19 Mart 2015).

1.11. 2.2.2. Gram-Leach-Bliley Act

Sigorta şirketleri, bankalar ve güvenlik şirketleri gibi organizasyonlar için müşteri mahremiyeti ve müşteri bilgilerinin güvenliği için geliştirilmiş bilgi güvenliği standartlarıdır. Müşteri bilgilerinin korunması ilkesi ile çalışmaktadır. Üç temel prensibi vardır (Poşul A, “Bilgi güvenliği Standartları”, 19 Mart 2015).

Mali mahremiyet kuralı; Müşteriler ile ilgili ne gibi işlemler yapıldığı, müşterilerin bilgilerinin ne gibi durumlarda hangi işlemler için kullanıldığını takip edip kayıt altında tutmalı, gerekli şartlar ve durumlarda müşterilere bu veriler ile gerekli savunma ve açıklamaları yapabilmeli, müşteriler için hakları ile ilgili eğitim ve bilgilendirilmeler yapılmalı, oluşabilecek sorunlar karşısında müşterilerin yasal hakları ile ilgili bilgi verilmeli, organizasyonun güvenlik politikalarının değişimi ile ilgili müşteriler bilgilendirilmeli ve gerekli onaylar alınmalıdır.

İhtiyat kuralı; Organizasyon tarafından müşteri bilgilerinin ne gibi önlemler alınarak korunacağı, hangi yöntem ve metotların uygulanacağı, protokol ve yazılı planlar ile belirlenir. Bu işlem için ilgili alanda uzman veya uzmanlar görevlendirilmelidir. Her alan ve basamak için ayrı ayrı risk yönetim birimleri oluşturulmalıdır. Bilgi güvenliğinin sağlanması ile ilgili yazılım, donanım ve

sistemler geliştirilerek bilgi akışı açısından bu tip teknolojilerin işlenmesi, test edilmesi ve uygun prosedürler ile hizmete sunulmasıdır.

Veri çalınmasının engellenmesi kuralı; İstenilmeyen şahıs veya kuruluşlar tarafından, bilgiye ulaşılması, bilginin yok edilmesi, bilginin paylaşılması gibi ihlallerin giderilmesi için izinsiz ve yetkisiz erişimlerin engellenmesidir.

1.11.2.2.3. Payment Card Industry Data Security System

Organizasyonlar içerisinde kredi kartı ile ilgili yapılacak her türlü işlem için her aşamada kişisel bilgilerin güvenliğinin sağlanabilmesi için oluşturulmuş protokol ve kurallar topluluğudur (Poşul A, “Bilgi güvenliği Standartları”, 19 Mart 2015).

Güvenli bir internet ağının oluşturulması ve bakımı; şahısların kart ve kişisel bilgilerinin güvenliğini sağlamak için güvenlik prosedürlerine uyulması ve ağ güvenlik duvarlarının oluşturulmasıdır.

Kart sahibinin bilgilerinin korunması; kart sahibinin kart üzerinden temin edilebilecek bilgilerinin güvenliğinin sağlanması için yapılan tüm aktarımların şifrelenmesi (kriptolanması) işlemidir.

Saldırılara karşı yönetim biriminin oluşturulması; sistemlerin güvenlik yazılımları ve anti-virüs sistemlerinin oluşabilecek sistem saldırıları için güncel ve çalışır tutulması, bu tip sistemlerin organizasyona uygun geliştirilmesi ve modifiye edilmesidir.

Erişim kontrol ölçütlerinin zorlaştırılması; sanal kart gibi sistemler ile kart sahibinin bilgilerine doğrudan erişimin kısıtlanması ve hatta engellenmesi, ağ ve internet üzerinden yapılacak tüm işlemler için müşteriye ayrı bir kimlik ve kart sistemi verilmesi hatta şifrelenmesidir.

Düzenli olarak ağın izlenmesi ve test edilmesi; müşterinin her tür işleminin uygun koşullar ile takip edilip dış müdahalelerin belirlenmesi ve düzenli olarak güvenlik sistemlerinin test edilmesi işlemidir.

Bilgi güvenliği politikası geliştirilmesi; bilgi güvenliğini öncelikli tutan politikaların belirlenmesi ve geliştirilmesidir.