ISO/IEC 13335 Bilgi Teknolojisi BT Güvenlik Yönetimi için Kılavuz (Information

Security)

Standardizasyon Đçin Uluslararası Komite ve Uluslararası Elektroteknik Komisyon (ISO/IEC- The International Organisation for Standardisation and International Electrotechnical Commission) tarafından oluşturulan birleşik komitede, kendi içindeki alt komite olan ISO/IEC JTC1, Subcommittee SC27 (BT güvenlik teknikleri) adında uluslararası standartları belirleyen bir komite bulunmaktadır. ISO/IEC tarafından bilgi güvenlik yönetimi ile ilgili temel başlıkları içeren 5 teknik dokümandan oluşan bir kılavuz olarak hazırlanmıştır.

5 bölümden (ISO/IEC TR 13335-1:1996 Bilgi Teknolojisi- BT Güvenlik Yönetimi için Kılavuz- 1. Bölüm: BT Güvenliği için Kavramlar ve Modeller

(Information Technology- Guidelines for the Management of IT Security- Part 1: Concepts and Models for IT Security); ISO/IEC TR 13335-2:1997 Bilgi Teknolojisi- BT Güvenlik Yönetimi için Kılavuz- 2. Bölüm: BT Güvenliğinin Yönetimi ve Planlaması (Information Technology- Guidelines for the Management of IT Security- Part 2: Managing and Planning IT Security); ISO/IEC TR 13335-3:1998 Bilgi Teknolojisi- BT Güvenlik Yönetimi için Kılavuz- 3. Bölüm: BT Güvenliğinin Yönetimi için Teknikler (Information Technology- Guidelines for the Management of IT Security- Part 3: Techniques for the Management of IT Security); ISO/IEC TR 13335-4:2000 Bilgi Teknolojisi- BT Güvenlik Yönetimi için Kılavuz- 4. Bölüm: Koruyucu Önlemlerin Seçilmesi (Information Technology- Guidelines for the Management of IT Security- Part 4: Selection of Safeguards); ISO/IEC TR 13335-5:2001 Bilgi Teknolojisi- BT Güvenlik Yönetimi için Kılavuz- 5. Bölüm: Ağ Güvenliği Yönetim Kılavuzu (Information Technology- Guidelines for the Management of IT Security- Part 5: Management Guidance on Network Security) oluşan bu standart risk yönetimi için kullanılacak güvenlik kontrollerini içermektedir.

ISO/IEC’in bu dokümanları hazırlarken temel hedefi bilgi güvenlik yönetimi ile ilgili temel başlıkların 5 ana bölüm altında incelendiği bir doküman yaratılmasıdır. Birinci bölümde güvenlik kavramları ve modelleri tanıtımı yapılarak BT güvenliğinin yönetim iş adımları belirlenmiştir. Đkinci ve üçüncü bölümlerde planlama, tasarım ve test gibi konularla birlikte BT güvenlik yönetiminin uygulanması, yönetim için kritik hususlar ve teknikler tartışılmıştır. Dördüncü bölüm güvenlik ve tehditlerin yanı sıra BT sistemlerinin güvenliğini sağlamak amacıyla güvenlik korumasının sağlanmasına yönelik yol gösterici konuları kapsamaktadır. Dokümanın dördüncü bölümünde koruyucu önlemler ile ilgili faydalı bir liste bulunmakla birlikte, 2004 yılında yayınlandığından güncel teknik risklerin tamamını içermemektedir. Beşinci bölüm ağ güvenliğinin sağlanması için, ağ bağlantılı faktörlerin tanımlanmasını ve analiz edilmesi ile ilgili bilgileri içermektedir. Doküman bilgi güvenlik yönetimi için bir kılavuz niteliğinde olup yapısal yaklaşımı; uluslararası kabul görmüş güvenlik uygulamaları; kurumsal ölçekte denetim, düzenleyici ve yasal beklentilerin karşılanması hakkında bilgileri sunmaktır.

Kılavuz bütün tipte, ölçekte ve coğrafik konumdaki organizasyonlara uygulanabilir. Birinci bölüm BT yönetimini ile ilgili hususlardan bahsettiği için,

özellikle üst yönetim ve bilgi güvenlik yöneticilerine hitap etmektedir. Diğer bölümler güvenlik kontrollerinin uygulanmasından sorumlu bireylerin örneğin BT yöneticileri, BT güvenlik personeli gibi kişilerin kullanımına uygundur. ISO/IEC 13335 BT güvenliğinin yönetimi ile ilgili olarak kapsamlı bir kılavuz olma özelliğini taşımakla birlikte BT yönetimi için de uygulanabilir bir dokümandır. Kılavuz her boyutta ve sektördeki kurum için kullanılabilmektedir.

Yukarıda bahsedilen dokümanı oluşturan beş bölüm/alan inceleme bilgileri aşağıda sunulmuştur:

1. Bölüm: BT Güvenliği için Kavramlar ve Modeller (Part 1: Concepts and

Models for IT Security) : Đlk bölüm (23 sayfa) 1996 yılında yayınlanmış olup, BT

güvenlik yönetimi kavramının tanıtımını yapmayı ve bu alanda bilgi vermeyi hedeflemektedir. Dokümanda belli bir BT güvenlik yönetimi yaklaşımı sunulmamakla birlikte, genel olarak kavramlar, modeller, araçlar ve teknikler ile ilgili bilgiler yer almaktadır. Söz konusu kısımda politikanın tanımı, rollerin ve sorumlulukların tanımlanması, sistematik risk yönetimi, konfigürasyon ve değişim yönetimi, acil durum ve iş sürekliliği planlanması, koruyucu önlemlerin seçilmesi ve uygulanması, izleme aktivitelerinin hepsi üst seviyede tanımlanmıştır. Doküman BT güvenliğine doğrudan katılımı olmayan veya BT güvenliği konusunda yeni çalışmaya başlayan üst yöneticiler için hazırlanmıştır.

Dokümanda belirtilen güvenlik yönetiminin temel bileşenleri: • Varlıklar, • Tehditler, • Zayıflıklar, • Etki, • Risk, • Kontroller, • Kalan riskler,

• Sınırlılıklar/kısıtlamalardır.

BT güvenlik yönetimi sürecinin alt süreçleri ise aşağıdaki gibidir:

• Konfigürasyon yönetimi.

• Değişim yönetimi.

• Risk yönetimi.

• Risk analizi.

• Sorumlulukların belirlenmesi.

• Güvenlik farkındalığının oluşturulması.

• Đzleme.

• Devamlılık planları ve felaketlerden kurtulma.

2. Bölüm: BT Güvenliğinin Yönetimi ve Planlaması (Part2: Managing and

Planning IT Security ): 2. bölüm (19 sayfa) 1997 yılında basılmış olup, BT

güvenliğinin yönetimi için kılavuz niteliğindeki başlıkları içermektedir. BT güvenliği programının tesis edilmesi ve sürekliliğinin sağlanması BT güvenliğinin ana görevidir ve kurum içinde planlama, yönetim süreci, risk yönetimi, uygulamaya alma, bakım ve izleme ile uyumluluk/bütünleşme süreçlerini kapsamaktadır.

3. Bölüm: BT Güvenliğinin Yönetimi için Teknikler (Part 3: Techniques for

the Management of IT Security ): 1998 yılında basımı yapılan ve 54 sayfa olan bu

bölümde yönetim teknikleri tanımlanmaktadır. Genel bilgilere ilave olarak, BT güvenlik yönetim süreci de incelenmektedir. BT güvenlik yönetim süreci hakkında kritik aktiviteler aşağıda belirtilmiştir:

• Güvenlik Gerekliliklerinin Analizi: Güvenlik hedeflerinin ve stratejisinin tanımlanması, kurumsal BT güvenlik politikasının geliştirilmesi.

• Kurumsal Risk Analizi Stratejisinin Seçilmesi: Risklerin tanımlanması, değerlendirilmesi ve farklı sistemlerdeki güvenlik gereklilikleri dikkate alınarak bu risklerin kabul edilebilir seviyeye indirgenmesi.

• BT Güvenlik Planının Uygulanması: Güvenlik farkındalığı ve eğitimi de dâhil olmak üzere kontrollerin ve koruyucu önlemlerin uygulanması.

• Bakım ve Đzleme: Güvenlik olay yönetiminin sağlanması, değişim yönetiminin sağlanması, izleme ve uyumluluk kontrolü gerçekleştirilmesi.

Dokümanda güvenlik kontrollerinin uygulanması ve güvenlik farkındalık programlarının gerçekleştirilmesinde güvenlik ihtiyaçlarının tanımlanması tabanlı bir yaklaşım uygulanması önerilmektedir. Güvenlik farkındalık programları ile kurum içinde farkındalık seviyesinin artırılması hedeflenmektedir. Farkındalık programları aşağıdaki adımlardan oluşmaktadır:

• Đhtiyaç Analizi: Farklı kullanıcı grupları için mevcut olan ve hedeflenen farkındalık seviyelerinin belirlenmesi.

• Programın Uygulanması: Etkileşimli ve teşvik edici teknikler kullanılması.

• Đzleme: Periyodik olarak farkındalık seviyesinin ölçülmesi, yeni sistemler veya mevcut sistemlerde değişiklik olduğunda kullanıcıların yeterli seviyede bilgi sahibi olmasının sağlanması.

4. Bölüm: Koruyucu Önlemlerin Seçilmesi (Part 4: Selection of Safeguards): 4. bölüm (70 sayfa), 2000 yılında basılmış olup üst seviyedeki risk tabanlı yaklaşım ile koruyucu önlemlerin seçilmesi hakkında bilgiler içerir. Sistemler için temel koruma seviyesinin belirlenmesi; koruyucu önlemlerin BT sistem tipine göre seçilmesi veya güvenlik ve tehditlere göre seçilmesi olarak iki şekilde sağlanabileceği belirtilmektedir. Koruyucu önlemlerin seçilmesinde aşağıdaki süreç adımlarının uygulanması önerilmektedir:

• Fiziksel ve çevresel koşulların belirlenmesi.

• Mevcut ve hedeflenen güvenlik kontrollerinin belirlenmesi.

Güvenlik kontrolleri dokümanda organizasyonel/fiziksel ve sisteme has güvenlik kontrolleri olarak iki kısımda incelenmiştir.

5. Bölüm: Ağ Güvenliği Yönetim Kılavuzu (Part5: Management Guidance

on Network Security): 5. bölüm (38 sayfa) 2001 yılında basılmıştır ve ağ güvenliği ile

ilgili olup ağ bağlantıları ve komünikasyon analizi ve tanımlanması ile ilgilidir. Koruyucu alanlar ile ilgili bir tanıtım kısmı da bulunmaktadır.

ISO/IEC tarafından hazırlanan ve yukarıda her bir bölümü özetlenen bu kılavuz dokümanlar serisi ISO/IEC tarafından tekrar gözden geçirilerek, ISO/IEC 13335-1 ve 13335-2 birleştirilmiş ve 2004 yılında ISO/IEC 13335-1:2004 adı ile yayınlanmıştır; ISO/IEC TR 13335-3 ve 13335-4 kısımları yayından kaldırılarak yerine ISO/IEC 27005 geçmiştir, ISO/IEC TR 13335-5 de yayından kaldırılarak yerine ISO/IEC 18028- 1 geçmiştir.