Bilgi Güvenliği Yönetim Sistemi (BS 7799) nedir?
Bilgi, diğer ticari değerler gibi bir organizasyon için önemlidir ve uygun şekilde korunması gerekir. Elektronik sistemlerin birbirlerine bağlanmasıyla birlikte bilgilerin güvenliğiyle ilgili tehditler de artmaktadır. Bu sebeple kuruluşlar, organizasyonları ve prosesleri çerçevesinde bilgilerin bütünlüğünü, gizliliğini ve ulaşılabilirliğini sağlama gereği ile gittikçe daha fazla karşı karşıya kalmaktadır.
Günümüzde bilgi başta basılı, sözlü, elektronik ortamlar olmak üzere birçok yerde bulunmakta, saklanmakta, posta ve e-mail gibi birçok yolla transfer edilebilmektedir. Bilgilerin korunması, işletme içerisindeki bilgi ve iletişim tekniklerinin yanı sıra, geleceğe yönelik e-ticaret faaliyetlerinin temeli olarak dünya çapında Web’in kullanılmasını da kapsamaktadır.
Kuruluşların içerisinde bilgi teknolojisi güvenliğine ulaşmak ve sürdürmek için bir Bilgi Güvenliği Yönetim Sistemi (ISMS) seçeneği bulunmaktadır. Bu şekilde riskler tesbit ve analiz edilip kontrol edilebilmektedir. ISMS “en iyi uygulamalar”ın biraraya getirilmesi olan İngiliz normu BS-7799 standardına dayanmaktadır.
ISO/IEC 17799:2000 Uygulamalar için tavsiyeler ve örnek yönetmeler içeren referans bir doküman olarak tasarlanmıştır. Kullanılmakta olan en iyi bilgi güvenliği uygulamalarını temel almıştır. Belgelendirme için kullanılmaz.
BS 7799-2:2002 ise Bilgi Güvenliği Yönetim Sistemi ( BGYS ‘nin tasarlanması, uygulanması ve belgelendirilmesi için temel gereklilikleri ortaya koyarak organizasyonların gereksinimleri doğrultusunda uygulanacak güvenlik kontrollerini belirtir. Bilgi güvenliği yönetim sistemi standardı 2002 baskısı BS 7799-Part 2 belgelendirmesi yapılan bir standarttır. Aynı standardın birinci kısmı Part 1 veya uluslar arası ISO 17799 bir rehber olup iyi uygulama örnekleri verir. TSE bu standardı bir Türk standardı olarak kabul etmiş, ve Kasım 2002’de yayınlamıştır.
Bilgi Güvenliği Standardı iki kısım şeklinde yayımlanmaktadır;
ISO/IEC 17799:2005 Bilgi Güvenliği Yönetimi için uygulama kodu
ISO/IEC 27001:2005 (önceki BS 7799-2:2002 Bilgi Güvenliği Yönetimi için gereklilikler
Bilgi Güvenliği Yönetim Sistemi Standardı BS 7799-2 (ISO/IEC 27001:2005 standardının önceki hali), dünyanın en fazla satan standardlarindan birisi haline gelmiştir.
Bilgi Güvenliği Yönetim Sistemi (BS 7799)Tarihçesi
1990’lı yılların ortalarına doğru İngiltere’de bazı sanayi kuruluşların talepleri ve BSI (İngiliz Standartlar Enstitüsü) girişimleri ile temelleri atılan Bilgi Güvenliği Standartları BS7799 altında ortaya çıkmıştır. 1995 yılında BS7799 olarak yayınlanan standart daha sonra iki kısma ayrılarak BS7799-2:1998 ve BS7799-1:1999 olarak yayınlanmıştır.
Uluslararası Standartlar Komitesi (ISO) ise Bilgi Güvenliği ile ilgili standardın birinci bölümünü 2000 yılında ISO 17799 olarak yayınlamıştır. Bununla birlikte ISO tarafından Bilgi teknolojileri Güvenlik standartları ile ilgili çalışmalar JTC 1 (Joint Technical Committee) Bilişim Teknolojileri komitesine bağlı SC 27: IT Güvenlik Teknikleri alt komisyonunda ele alınmaktadır. Bu komisyon içinde üç ayrı çalışma grubu (Working Group) bulunmakta ve her biri farklı konularda standartlar hazırlamaktadır.
SC27’ye bağlı çalışma gruplarından WG1, ISO/IEC 17799 ile ilgili çalışmaları yürütmektedir. “Bilgi Güvenliği Yönetimi İçin Uygulama Prensipleri”ni içeren standardın son gözden geçirmeleri (FDIS) 2004 Ekim’de tamamlanmıştır, yeni versiyonu 2005 yılda yayınlanmıştır. Türk Standartları Enstitüsü tarafından TS ISO/IEC 17799 Kasım 2002’de yayınlanmış olup, tetkiklerde kullanılan BS7799-2 standardının karşılığı olan TS 17799-2 “Bilgi Güvenliği Yönetim Sistemleri – Özellikler ve Kullanım Kılavuzu” Şubat 2005 ‘de yayınlanmıştır.
Bilgi Güvenliği Yönetim Sistemi (BS 7799) Yararları
BS 7799’un sağladığı yararlar şunlardır:
- Müşterileriniz, onların bilgilerini güvende tutacağınız konusundaki taahhüdünüzden dolayı güven hissederler.
- İş devamlılığını sağlamak, meydana gelebilecek zararı en aza indirebilmek, kazancın ve iş fırsatlarının artırılması amacıyla bilginin birçok tehlikeye karşı korunmasını sağlar.
- Kuruluşun kurumsal değerlerini, yatırımlarını ve hedeflerini sürdürebilip, koruyabilmesi için ortaya konması gereken kontrollerin firma içinde yerleştirilmesi ve uygulanması yolunda temel teşkil eder.
- Rakiplerinizin bir adım önüne geçmenizi sağlar.
- Uluslararası ihalelere katılılımda şart olan ISO/IEC 27001:2005 gereklerinin sağlanmış olur.
- Tek bir bilgi güvenlik ihlalinin çıkaracağı masraf çok büyük olabilir. Belgelendirme işlemi maruz kalacağınız bu tür masrafları azaltır ve bu da iş dalınızdaki yatırımcılar ve müşteriler için önemlidir.
- Bilgi güvenliğiniz ile ilgili sigorta primlerinizde düşüş sağlar.
- İlgili geçerli tüm kanun ve tüzüklere uygunluğunuzu yetkili makamlara kanıtlamanıza yardımcı olur.
- Standardın bu maddesi diğer standard ve yasalarla uyumludur. (örneğin, US HIPAA, the Privacy Act of 1974, the Computer Security Act of 1987, the National Infrastructure Act of 1996, the Gramm-Leach-Bliley Act of 1999, the Government Information Security Reform Act of 2001).
- Organizasyonun tüm aşamalarında taahhüt/bağlılığın sağlanması ve kanıtlanmasında yardımcı olur.
- Kuruluş genelinde, bilgi sistemleri ve zayıflıklarının nasıl korunacağı konusundaki farkındalık artar.
- Donanım ve veriye daha güvenilir erişim sağlanır.
- Çalışanların kuruluş içerisindeki sorumlulukları ve bilgi güvenliği konularındaki bilinçlerinin artmasını sağlar.
- Düzenli olarak gerçekleştirilen denetimler sisteminizin etkinliğini izlemenize ve iyileştirmenize yardımcı olur.
- Gizlilik sağlanır.
- Bilginin sadece yetkili kişiler tarafından erişilebilir olması sağlanır.
- Bütünlük sağlanır.
- Bilginin ve işlem metotlarının doğruluğunun ve bütünlüğünün korunması, içeriğinin değişmemesi sağlanır.
- Bilgiye ulaşılabilirlik, elde edilebilirliği sağlanır.
- Başarılı bir e-ticaretin gerekli olan işlevsellik, güvenlik, güvenilirlik ve veri koruması konusunda gereklilikleri sağlar.
Bilgi Güvenliği Yönetim Sistemi (BS 7799) Uygulama Aşamaları
a) Projeye Başlangıç Hazırlıklarının Yapılması:
Projeyi yürütecek çalışma ekibinin oluşturulması, Sistemin sınırlarını (alan, varlıklar, kapsam, teknoloji) belirlenmesi, bilginin korunması için hangi kontrollerin gerekli olduğunun tanımlanması, uygun çalışma ortamı ve şartlarının belirlenmesi, gerekli standard ve kaynakların temini ve çalışma planının oluşturulması bu aşamada gerçekleştirilmektedir.
b) Mevcut Durum Analizinin Yapılması:
Firmanın mevcut durum analizi için BS 7799 Bilgi Güvenliği Yönetim Sistemi kapsamında değerlendirme yapılarak, yönetime raporlanmaktadır.
c) Gerekli Eğitimlerin Verilmesi:
Bilgi Güvenliği Yönetim Sistemi ve proje aşamalarının tanıtılması ve ilgili personelin bilgilendirilmesi maksadıyla INFORM DANIŞMANLIK VE EĞİTİM tarafından eğitim verilmektedir. Bu kapsamda verilen eğitimler aşağıda tanımlanmıştır:
- BS 7799 Bilgi Güvenliği Yönetim Sistemi Eğitimi
- İç Tetkikçi Eğitimi
- BS 7799 Belgelendirme ve Sistem denetimleri eğitimi
d) Sistem Dokümantasyonunun Hazırlanması:
Gerekli dokümantasyon (Risk değerlendirme prosesi kayıtları, Yönetim sorumluluğu, Politika-Örn: temiz masa, internet erişimi, kriptografi, erişim kontrolü vb.- Özel operasyonel dokümanlar ve prosedürler, Talimatlar, Formlar, vb.) INFORM DANIŞMANLIK VE EĞİTİM’in yönlendirme ve gözetiminde hazırlanır.
e) Sistemin Uygulanması:
BS 7799 standard gereklerine uygunluğu doğrulanan dokümantasyona göre uygulamalar hayata geçirilir. BS 7799 olası risklerin tanımlanması, değerlendirilmesi ve ortadan kaldırılması için gerekli tedbirlerin alınmasını ön plana çıkaran bir risk yönetim prosesini öngörmektedir. Bunların yanı sıra risklerin tekrar değerlendirilmesi, etkin bir iç denetimin uygulanması da etkin bir Bilgi Güvenliği Yönetim Sisteminin önemli parçalarıdır. Uygulamalar Şirket Güvenlik Politikası, Organizasyonel Güvenlik, Varlıkların Sınıflandırılması ve Kontrolü, Personel Güvenliği, Fiziki ve Çevresel Güvenlik, İletişim ve Operasyon Yönetimi, Erişim Kontrolü, Sistem Geliştirme ve Bakım, İş Devamlılığı Yönetimi, Uyumluluk açısından incelenerek aksaklıklar belirlenir ve gerekli düzeltme önerileri INFORM DANIŞMANLIK VE EĞİTİM tarafından Müşteri Firma’ya sunulur.
f) INFORM DANIŞMANLIK VE EĞİTİM Gözetiminde İç Tetkiklerin Yapılması:
Sistemin kurulmasını takiben INFORM DANIŞMANLIK VE EĞİTİM danışmanının gözetiminde oluşturulan iç tetkik ekibi tarafından tetkikler yapılır ve sonrasında sonuçlar üst yönetime rapor halinde sunulur.
g) Belgelendirme Başvurusunun Yapılması:
INFORM DANIŞMANLIK VE EĞİTİM sistemin hazır olduğunu değerlendirdiği takdirde, belgelendirme başvurusu müşteri tarafından ilgili belgelendirme kuruluşuna yapılır.