BS 7799 Part 2; ISO/IEC 27001:2005; TS 17799-2; TS ISO/IEC 27001

BS 7799 Part 2:2002 Bilgi Güvenlik Yönetim Sistemi – Doküman Kullanım Kılavuzu (Information Security Management Systems—Specification With Guidance for Use) dokümanın amacı bilgi güvenlik yönetim sisteminin, tesis etme uygulama alma, çalıştırma, izleme, gözden geçirme, sürekliliğini sağlama ve iyileştirme için temel

şartlarının dokümante edilerek belirlenmesi olup ISO /IEC 9001:2000 Kalite Yönetim

Đlkeleri (Quality Management Principles) ve ISO/IEC 14001:1996 Ortam Yönetimi (Environmental Management) standartları ile uyumlu olacak şekilde tasarlanmıştır.

Doküman iş ortaklarına ve müşterilere kurumun yönettiği kendi bilgi güvenlik risklerini teşhis ederek, güvenliğin sağlanmasına yönelik minimum standardı karşılamasında güvence verebilir. Kılavuz yöneticiler ve personel için bilgi güvenlik yönetim sistemi kapsamında bir model oluşturmak amacıyla hazırlanmış olup, sertifikasyon otoriteleri tarafından da kullanılabilmektedir.

BS7799-2 , Bilgi Güvenlik Yönetim Sisteminde “tesis etme, uygulamaya alma, çalıştırma, izleme, gözden geçirme, sürekliliğini sağlama ve iyileştirme” ile ilgili tüm aktivitelerinin temel şartlarının dokümante edildiği bir modeldir. Şekli, büyüklüğü, coğrafik konumuna bağlı olmaksızın tüm kurumlar tarafından kullanılabilecek şekilde tasarlanmıştır. Dokümanda tanımlanan aktivitelerin nasıl ve ne şekilde gerçekleştirileceği belirtilmemektedir. Ayrıca BS7799 kontrol amaçlı özel uygulamaları da kurumsal farklılıklar göstermesi nedeniylede tanımlamaktan kaçınmaktadır. Bununla birlikte kılavuz olması amacıyla kurumlara ilgili diğer dokümanları bu amaç için kullanılmasını tavsiye etmektedir.

BS7799-2’nin ek kısmında kurumların kendi kurumsal güvenlik kontrol çerçevesi esaslarını tanımlamaya ve belirlemeye yönelik temel teşkil edilebilecek kontrol listeleri bulunmaktadır. Bununla birlikte bu liste kuruma fazladan bir yükümlülük vermek amacıyla hazırlanmamıştır. Yani burada geçen tüm kontrollerin uygulanması zorunluluğu yoktur.

Doküman, ISO/IEC 9001 gibi diğer yönetim sistemi standartlarında kullanılan planla, uygula, kontrol et, önlem al (PDCA- plan-do-check-act) modelinin tanıtımını içermektedir ve uygulanmasını önermektedir. PDCA modeli ayrıca OECD ‘nin Bilgi Sistemleri ve Veri Ağları Güvenliği Đçin Kılavuz- Güvenlik Kültürüne Doğru (Guidelines for the Security of Information Systems and Networks—Towards a Culture of Security) ve COBIT dokümanlarında da geçen bazı ilkeleri de belirtmektedir.

PDCA, global olarak bilinen ve kabul gören standartlarda kullanılan bir yaklaşımdır ve aşağıda bu yaklaşımın bilgi güvenlik yönetim sisteminin kapsamlı olarak yönetilmesinde nasıl kullanılacağı açıklanmaktadır:

Planla: Bilgi güvenlik yönetim sisteminin kurulmasına yönelik aşağıdaki aktiviteleri içerir:

• Bilgi Güvenlik Yönetim Sisteminin kapsam tanımı (lokasyon, varlıklar, teknoloji).

• Kurumsal gereksinimleri yansıtan bilgi güvenlik politikasının tanımı.

• Risk değerlendirme metodolojisinin tanımı.

• Risklerin değerlendirilmesi ve tanımlanması.

• Risklerin uygulanması için seçeneklerin değerlendirilmesi ve tanımlanması .

• Kontrol hedeflerinin ve kontrollerin seçilmesi.

• Uygulanabilirlik bildiriminin hazırlanması (kontrollerin seçilmesi ve kapsam dışı tutulması için gerekli olan nedenlerin belirlenmesi).

Uygula: Bilgi Güvenlik Yönetim sisteminin uygulanması ve operasyonu ile ilgili aktiviteleri olup aşağıdaki konuları içerir:

• Risk tedavisi için planların yaratılması, sorumluluk ve önceliklerin atanması.

• Kontrollerin uygulanması.

• Eğitim ve farkındalık programları.

• Operasyon ve özkaynak yönetimi.

• Güvenlik olaylarının tespit edilmesi ve olaylara karşı aksiyon alınması için prosedürler.

Kontrol et: Bilgi Güvenlik Yönetim Sisteminin izlenmesi ve gözden geçirilmesi ile ilgili aktiviteler olup aşağıdaki konuları içerir:

• Đzleme ve diğer kontrol prosedürlerin uygulanması.

• Bilgi güvenlik yönetim sisteminin etkinliğinin gözden geçirilmesi.

Önlem al: Bilgi Güvenlik Yönetim Sisteminin sürekliliği ve geliştirilmesi ile ilgili aktiviteleri kapsar ve aşağıdaki konuları içerir:

• Đyileştirmelerin uygulanması (uygunsuzluğun nedenini elimine etmek ve gelecekteki uygunsuzluklara karşı bariyer oluşturmak amacıyla düzeltici ve önleyici aksiyonların alınması).

• Deneyimlerden bilgi sahibi olmak (kişinin ya da diğer kurumların sahip olduğu).

• Đlerlemelerin hedefleri karşıladığının temin edilmesi.

Doküman BGYS’nin tesis edilmesi ve yönetilmesi için gerekli olan dokümantasyon şekilleri ile birlikte ilgili Đngiliz standardına uyulmasını sağlayacak dokümantasyonu da tanımlamaktadır. Standart aynı zamanda dokümanları ve kayıtları kontrol etmek için bulunması gerekli olan prosedürleri ve yönetimin sorumluluklarını tanımlanmaktadır. Yönetimin sorumlulukları kapsamı içinde, yönetimin konuya bağlılığını göstermek için taahhüdü, özkaynak yönetimi ve BGYS’nin gözden geçirilmesi de aktarılmaktadır.

14 Ekim 2005 tarihinde BS7799-2 ISO tarafından adapte edilerek 27000 bilgi güvenlik standartlar serisi içerisinde ISO/IEC 27001:2005 Bilgi Teknolojisi- Güvenlik Teknikleri- Bilgi Güvenlik Yönetim Sistemi- Gereklilikler (Information Technology- Security Techniques– Information Security Management Systems– Requirements) olarak yayınlanmıştır. Standartta kurumun tüm iş riskleri bağlamında, dokümante edilmiş BGYS’nin oluşturulması, uygulanması, işletimi, izlenmesi, gözden geçirilmesi, yönetimi ve iyileştirilmesi için gerekliliklerden bahsedilmektedir. Standart bilgi varlıklarının korunması ve ilgili taraflara güven verilmesi için yeterli ve uygun güvenlik kontrollerinin seçilmesinden emin olunması için tasarlanmıştır. Bu standart aşağıdaki

şekillerde kullanıma uygundur. Standart;

• Kurum içinde güvenlik risklerinin maliyet etkin bir şekilde yönetilmesini sağlamak için;

• Kurum içinde kanun ve düzenlemelere uygunluğu sağlamak için;

• Kurum içinde organizasyonun belli güvenlik hedeflerinin karşılanmasını sağlamaya yönelik kontrollerin uygulanması ve yönetilmesinde süreç modeli olarak kullanımı için;

• Yeni bilgi güvenlik yönetim süreçleri tanımı için;

• Mevcut bilgi güvenlik yönetim süreçlerinin tanımlanması ve netleştirilmesi için;

• Kurum yönetimi tarafından bilgi güvenlik yönetim aktivitelerinin durumlarını belirlemek için;

• Kurumun iç ya da dış denetçileri tarafından, kurumca adapte edilmiş politika, yönerge ve standartlara uyum derecesinin belirlenmesi için;

• Operasyonel ya da ticari nedenlerle etkileşim içerisinde bulunulan ticari ortaklar veya diğer kurumlara bilgi güvenlik politika, yönerge, standart veya prosedürler konusunda ilgili bilgileri sağlamak için;

• Đş yaparken bilgi güvenliğinin uygulanması için;

• Müşterilere bilgi güvenliği konusunda ilgili bilgileri sağlamak için kullanılabilir.

Ülkemizde Türk Standartları Enstitüsü (TSE) tarafından BS 7799-2 (2002) referans alınarak Şubat 2005’de TS 17799-2 Bilgi Güvenliği Yönetim Sistemleri– Özellikler ve Kullanım Kılavuzu adı altında yayınlanan standart yine TSE tarafından ISO/IEC 27001:2005 referans alınarak yenilenmiş ve TS ISO/IEC 27001 Bilgi Teknolojisi– Güvenlik Teknikleri- Bilgi Güvenliği Yönetim Sistemleri– Gereksinimler adı altında 02.03.2006 tarihinde revize edilerek yayınlamıştır. Bu standart, tüm kuruluş türlerini (örneğin, ticari kuruluşlar, kamu kurumları, kar amaçlı olmayan kuruluşlar) kapsamaktadır. Bu standart, dokümante edilmiş bir BGYS’yi kuruluşun tüm ticari

riskleri bağlamında kurmak, gerçekleştirmek, izlemek, gözden geçirmek, sürdürmek ve iyileştirmek için gereksinimleri hakkında bilgi vermektedir. Bağımsız kuruluşların ya da tarafların ihtiyaçlarına göre özelleştirilmiş güvenlik kontrollerinin gerçekleştirilmesi için gereksinimleri belirtmektedir.

Aşağıda Şekil 6’da BS7799 ile başlayan bilgi güvenlik standartları serisinin tarihçesi görülmektedir.

(Vural ve Sağıroğlu, 2008 )

Şekil 6. Standartların Yayınlanma Süreleri

2.4.3. TCSEC Güvenilen Bilgisayar Güvenlik Değerlendirme Kriterleri