2.7.1. Federal Information Security Management Act (FISMA)
2002'de yürürlüğe giren FISMA, bilgi güvenlik programı uygulamak ve yönetmek için federal birimler, hükümet yetkilileri ve devlet hizmet sağlayıcıları gerektirir. FISMA uygulama projesi NIST tarafından yayınlanan yayınlar tarafından tanımlanmaktadır. FISMA projesinin temel belgesi bilgi sistemleri ve kuruluşları için güvenlik ve gizlilik kontrolleri olan özel yayındır. Bu belge güvenlik ve gizlilik denetimlerinin bir kataloğu olarak tasarlanmasına rağmen, bu gereksinimlerin temel yapısı ve organizasyonu, bilgi güvenliği politikalarının organizasyonu ve oluşturulması için yararlı bir çerçeve sunmaktadır.
NIST SP 800-53 belgesinde açıklanan bilgi güvenliği ve gizlilik denetimleri iyi tanımlanmış ve organize edilmiştir. Kontrollerin her biri 18 kontrol grubundan birine aittir. Her kontrol ailesi içinde, hiyerarşik bir kontrol seti, düşük, orta ve yüksek etkili bilgi sistemleri için tasarlanmıştır. Kısacası bir sistemin gizliliği, bütünlüğü ve kullanılabilirlik gereksinimleri ve verilerin hassasiyeti temel alınarak yüksek, orta veya düşük etki olduğu belirlenir. Bu etki derecelendirmeleri, bir kuruluşun sistemi için minimum kontrollerin
51
seçiminde temel olarak kullanılır. Sistemin etki derecesine bağlı olarak, kontrol alt kümesi seçilir (örneğin, düşük etkili bilgi sistemleri için düşük etkili denetimler, ılımlı bilgi sistemleri için tüm düşük ve orta etkili denetimler ve yüksek, orta ve düşük kontroller için yüksek etkili bilgi sistemleri) [40].
2.7.1.1. FISMA Faydaları
Information Security Policy Framework (ISPF) oluşturulması için bir FISMA tabanlı güvenlik kontrolleri çerçevesinin kullanılmasının faydaları arasında, endüstrinin kabulü, ek kılavuz kullanımı ve dolaşım yollarının ve eşlenen diğer bilgi güvenliği eşlemelerinin yaygınlığı bulunmaktadır [40].
Endüstride kabul gören standart: FISMA, BT ve güvenlik camiasında iyi kurulmuş kabule sahiptir. NIST tarafından üretilen çerçeveye işaret eden bir çerçeve seçimin konusunda uzun bir yol kat eder.
Ek rehberlik: NIST SP 800-53 belgesinde hemen hemen tüm kontrollerin oranını açıklamak ve sağlamak için tamamlayıcı bir rehber bulunmaktadır. Dahası NIST, birçok bilgi güvenliği ve gizlilik konularında destekleyici rehberlik sağlayan özel yayınların geniş bir kataloğunu hazırlamıştır.
Yaya geçitlerinin bulunması: FISMA çerçevesinden diğer bilgi güvenliği düzenlemelerine kadar mevcut birçok harita, NIST SP 800-53 belgesinin kendisinde, diğer bilgi güvenliği düzenlemelerinde veya ayrı dokümanlar halinde bulunur.
2.7.2. International Standards Organization (ISO) 27001
Uluslararası Standartlar Organizasyonu ve Uluslararası Elektroteknik Komisyonu (IEC) tarafından oluşturulan bir bilgi güvenlik standardıdır. "Bilgi Teknolojileri - Güvenlik Teknikleri - Bilgi Güvenliği Yönetim Sistemleri - Gereksinimler" başlıkları yaygın olarak ISO 27001 olarak bilinir. Standart, bir bilgi güvenlik yönetimi sistemi için bir şartnamedir. Bilgi güvenliği yönetimi sistemi, örgütsel bilgi varlıklarını korumak için bir dizi fiziksel, idari ve teknik kontrol uygulamak için gereksinimleri ve süreci ortaya koyan bir dizi politika, prosedür ve süreçtir. ISO 27001, ilk olarak 2005 yılında geliştirildi ve en yeni baskısı 2013'tür. Standart, 1995 yılında İngiliz Standardı BS17799-1 ve BS17799-2 ile başlayan bir
52
çaba üzerine kurulmuştur. ISO 27001/2 çerçevesi açıkça bir ISPF ile uyumludur. Bilgi güvenliği politikalarının geliştirilmesi için bir çerçeve olarak ISO 27001/2'i kullanmak oldukça basit olabilir, ancak önce ISO 27001'in yapısı yorumlanmalıdır. ISO 27001, yedi maddede ve 14 grupta 114 denetime atıfta bulunmaktadır. Maddeler zorunludur ancak oldukça üst düzeydedir. Bu maddelere uyan politikalar, prosedürler ve süreçler de oldukça yüksek düzeyde olacaktır. Bilgi güvenliği risk değerlendirme süreci, bir risk değerlendirmesi, risk değerlendirmesinin çıktısı ve iş akışının asgari gerekliliklerini belgelemektedir [40].
2.7.2.1. ISO 27001 Güvenlik Kontrol Çerçevesinin Faydaları
Bir ISPF'nin oluşturulması için bir ISO 27001 tabanlı güvenlik kontrollerinin kullanılmasının yararı, endüstrinin kabulü, ISO tarafından sağlanan esnek zihinsel rehberlik kullanımı, yaya yolları ve diğer ilgili BT'ye eşlemeler ve güvenlik düzenlemelerini içerir.
• Endüstride kabul gören standart: ISO / IEC 27001 standardı tamamen uluslararası bir standarttır. ABD Federal Hükümeti belirli bir endüstri için NIST 800-53 veya alenen lisanslı şirketlerin COBIT standardı gerekli bir standart olmamasına rağmen ISO / IEC 27001 standardı uluslararası alanda iyi bilinmekte ve kullanılmaktadır. • Ek rehberlik: ISO, bazı uygulama kılavuzları ve çok sayıda eğitim, rehberlik ve
ticari gruplara yardım sunmaktadır.
• Yaya geçitlerinin kullanılabilirliği: ISO / IEC 27001 çerçevesinden diğer ilgili çerçevelere ve düzenlemelere kadar mevcut birçok harita, ISO / IEC, NIST ve diğer gruplardan edinilebilir [40].
2.7.3. Control Objectives for Information and Related Technology (COBIT)
COBIT, Bilgi Sistemleri Denetim ve Kontrol Derneği tarafından oluşturulan bir BT yönetimi ve yönetişim kontrol çerçevesidir. Bu çerçeve 1996'dan beri var olmuş ve en son olarak 2012'de COBIT sürüm 5'e güncellenmiştir. COBIT çerçevesi öncelikli olarak bir BT ve kamu denetimi çerçevesinin oluşturulması ve yönetilmesi için kullanılırken, çerçevenin temel yapısı da bir ISPF'nin temelini oluşturmaktadır. COBIT çerçevesindeki BT yönetimi ve yönetişim kontrolleri, planlama, düzenleme, edinme, uygulama, teslim etme, destekleme,
53
izleme ve değerlendirme halinde organize edilir. COBIT çerçevesi, dört etki alanı boyunca ayrılmış 34 süreç içeriyor. Her etki alanında, kuruluşun işletme hedeflerini karşılamak için tasarlanmış bir dizi işlem gereksinimi vardır. Her işlem gereksinimi alan içinde ardışık olarak numaralandırılmıştır. Bu işlemlerin her biri kendileriyle ilişkili bir veya daha fazla kontrol nesnesine sahip olabilir. Bu kontrol nesneleri sırayla bir dizi kontrol tarafından karşılanmaktadır [40].
2.7.3.1. COBIT Güvenlik Kontrol Çerçevesinin Faydaları
Bir ISPF'nin oluşturulması için bir COBIT tabanlı güvenlik kontrolleri çerçevesinin kullanılmasının faydaları arasında endüstrinin kabulü, yönetişim enstitüsü tarafından sağlanan tamamlayıcı rehberlik kullanımı ve geniş bir erişilebilir yaya geçitleri ve diğer ilgili güvenlik düzenlemelerindeki eşlemeler içerir [40].
• Endüstride kabul gören standart: COBIT çerçevesi denetim topluluğu içinde iyi kabul görmüştür. Denetçiniz tarafından tercih edilen çerçeveyi seçmek konusunda uzun bir yol kat edersiniz. Finansal bilgi sistemleri için iç kontrollerini gözden geçirmesi gereken kamu şirketleri içinde bu özellikle doğrudur.
• Ek rehberlik: BT yönetim enstitüsü, COBIT kontrol uygulamalarının ve hedeflerinin yorumlanması ve uygulanmasına ilişkin çok çeşitli uygulama kılavuzları sunmaktadır.
• Yaya geçitlerinin kullanılabilirliği: COBIT çerçeve hedeflerini ve kontrollerini diğer ilgili çerçevelere haritalandıran birçok geçit bulunur. Bunlara COBIT'den ISO 27001'e, yazılım mühendisliği enstitüsünün yetenek olgunluk modeline ve bilgi teknolojisi altyapı kitaplığına dâhildir.
2.7.4. Her Majesty’s Government (HMG) / Security Policy Framework (SPF)
HMG ve SPF Nisan 2014'te yayınlanmış ve HMG organizasyonlarının ve başkalarının hassas verileri nasıl ele alacağı ve uygun güvenlik kontrollerini nasıl uygulayacağı konusundaki beklentileri ortaya koymuştur. Bu beklentiler, kuruluş tarafından uygulanan güvenlik kontrollerinden istenen sonuçların tanımlandığı güvenlik sonuçları açısından sıralanmaktadır. HMG/SPF, süreçleri veya kontrolleri belirtmez, bunun yerine güvenlik
54
sonuçları rehberlik eder. Her organizasyonun kendi misyonunu ve risk ortamlarını uygun kontrolleri seçerken dikkate alması beklenir [40].
2.7.4.1. HMG / SPF Faydaları
SPF bir bilginin oluşturulması için HMG/SPF kullanmanın faydaları hükümetin kabul ettiği ve tasarımın sadeliktir.
• Yönetimce kabul edilmiş standart: HMG SPF, HMG organizasyonları için zorunludur.
• Tasarımın basitliği: Daha az bir SPF'yi ve yaklaşılabilir tasarımı tercih eden kuruluşlar için yararlıdır.