Bilgi güvenliği*

Bilgi ve iletişimin büyük bir önem kazandığı dünyada şirketlerin verimliliklerini artırabilmeleri, pazarda etkin rol oynamaları, müşteri ve pazar paylarını artırmaları ve rekabet üstünlüğü sağlayabilmeleri için bilgi edinme ve bilgileri işleme konusunda gerekli teknolojileri kullanmaları, süreçlerini bilgi yönetimine göre şekillendirmeleri ve insan kaynaklarını bu yönde yetiştirmeleri gerekmektedir.

Geleneksel iş dünyasında IT sistemlerine gittikçe artan bağımlılık, bilişim dünyasının sunduğu olanaklar ve tüm bunların getirdiği iş fırsatları ve riskler ister istemez “bilgi” kavramının da yönetimsel bir yaklaşımla stratejik seviyede ele alınmasına ve kurumları bu alanda sistem yaklaşımları kurmaya zorlamıştır.

İşte 1990’lı yılların ortalarına doğru İngiltere’de bazı endüstriyel kuruluşların talepleri ve BSI (İngiliz Standartlar Enstitüsü) girişimleri ile temelleri atılan Bilgi Güvenliği Standartları BS7799 altında ortaya çıkmıştır. 1995 yılında BS7799 olarak yayınlanan standart daha sonra iki kısma ayrılarak BS7799-2:1998 ve BS7799-1:1999 olarak yayınlanmıştır.

Uluslararası Standartlar Komitesi (ISO:International Organization for Standardization) ise Bilgi Güvenliği ile ilgili standardın birinci bölümünü 2000 yılında ISO 17799 olarak yayınlamıştır. Bununla birlikte ISO tarafından IT Güvenlik standartları ile ilgili çalışmalar

ISO 15408:1999(e) temel alınarak ülkemiz de de bu standardın yürürlüğe girmesi 2002 yılının Aralık ayını buldu.


JTC 1 (Joint Technical Committee) Bilişim Teknolojileri komitesine bağlı SC 27: IT Güvenlik Teknikleri alt komisyonunda ele alınmaktadır. Bu komisyon içinde üç ayrı çalışma grubu (Working Group) bulunmakta ve her biri farklı konularda standartlar hazırlamaktadır. Bu çalışma grupları ve konuları aşağıdaki gibidir;

· WG1:Güvenlik Yönetimi (Security Management)
· WG2:Kriptografi Teknikleri (Cryptograhic Techniques)
· WG3:IT Ürünleri ve sistemleri için güvenlik değerlendirme (Security Evaluation of IT Products and Systems)

SC27’ye bağlı çalışma gruplarından WG1, ISO/IEC 17799 ile ilgili çalışmaları yürütmektedir. “Bilgi Güvenliği Yönetimi İçin Uygulama Prensipleri”ni içeren standardın son gözden geçirmeleri (FDIS) 2004 Ekim’de tamamlanmıştır, yeni versiyonun 2005 yılının ortalarına doğru yayınlanması planlanmaktadır. Türk Standartları Enstitüsü tarafından TS ISO/IEC 17799 Kasım 2002’de yayınlanmış olup, tetkiklerde kullanılan BS7799-2 standardının karşılığı olan TS 17799-2 “Bilgi Güvenliği Yönetim Sistemleri – Özellikler ve Kullanım Kılavuzu” Şubat 2005 ‘de yayınlanmıştır.

Temel olarak endüstri, devlet ve ticari kuruluşlar tarafından ortak bir güvenlik modeli oluşturulmasına yönelik talepler doğrultusunda geliştirilen BS7799 Bilgi Güvenliği standardı esasen ISO/IEC TR 13335 (IT Güvenliği Yönetimi için kılavuz) ve ISO/IEC 15408 (IT Güvenliği için Değerlendirme Kriterleri) baz alınarak hazırlanmıştır. Standartlar arası etkileşim aşağıdaki şekilde verilmiştir.

Sertifikasyona esas kurallar standardın ikinci kısmında bulunduğu için halen sadece BS 7799-2 sertifikası verilmektedir. ISO 17799 bir referans standardı olarak kullanılmaktadır. ISO 17799-2 standardı ile ilgili çalışmalar halen yürütülmektedir. Sertifikaya temel teşkil eden BS 7799-2:2002 standardının Ek-A bölümüde 10 ana başlık altında 36 konu ve toplam 127 güvenlik kriteri sorgulanmaktadır. Ek-B bölümünde Standard için kullanma kılavuzu, Ek-C bölümünde ise, ISO9001, ISO14001 ve BS 7799-2 başlıklarının karşılaştırması verilmiştir.

2002 yılında değişikliğe uğrayan BS7799-2’de en göze çarpan özellik diğer yönetim sistemi standartlarında (ISO 9001, ISO14001) olduğu gibi “Planla - Uygula - Kontrol et - Önlem al” PUKÖ döngüsünün (PDCA Model: Plan-Do-Check-Act) sisteme entegre edilmiş olmasıdır. Şirketlerde ISMS Bilgi Güvenliği Yönetim Sistemi (Information Security Management System) kurulmasına yönelik olarak dört temel özelliği içeren bu tür bir yönetim sisteminin temel adımları aşağıda belirtilmiştir;

PLANLA
· ISMS kapsamının belirlenmesi
· ISMS politikasının belirlenmesi
· Kontrol alanlarını ve risklerin azaltılması için gerekli kontrolleri belirle
· Uygunluk beyanını (Statement of applicability=SoA) hazırla

UYGULA
· Risk azaltma planı oluştur
· Riskleri azaltıcı çalışmaları başlat
· Hedeflere ulaşmak için belirlenmiş kontroller yap

KONTROL ET
· ISMS etkinliğini periyodik olarak gözden geçir
· Artık ve kabul edilebilir risk seviyelerini gözden geçir
· Planlanan periyodlarda dahili ISMS denetimlerini yürüt

ÖNLEM AL
· Belirlenen geliştirmeleri uygula
· Uygun düzeltici ve önleyici çalışmaları yap
· Kontrol sonuçlarını ve düzeltici faaliyetleri tüm ilgili taraflara bildir
· Sürekli gelişmeyi sağla

ISMS Standardında yapılacak yeni düzenlemeler

· ISO/IEC JTC 1/SC27 komitesinin BS 7799 standardını temel alarak taslağını hazırladığı ISMS final dokümanının yayınlanması planlanmaktadır.
· ISO/IEC 17799 kullanımında ISMS standardının Ek-A bölümündeki şartlar dikkate alınacaktır.
· Yeni metrikler ve ölçüm standartları ISMS kapsamında belirlenmiştir.
· Kontrol kriterleri sayısı 127’den 135’e çıkmaktadır.
· ISO/IEC TR 13335 serisi standartlar kompakt bir yapı kazanarak ISMS organizasyonu, risk yönetimi modelleme, risk değerlendirme teknikleri için kullanılacaktır. Buna göre ISO IEC TR dokümanları aşağıdaki şekilde gruplanmaktadır;

1. IS 13335-1 Konseptler ve Modeller
2. IS 13335-2 Bilgi Güvenliğinde Risk Yönetimi Teknikleri

Buna göre, Bilgi Güvenliği Yönetim Sistemi (ISMS) kurulmasında; ISO/IEC 17799, ISMS metrikleri, IS 13335-1 ve IS 13335-2 ile birlikte bir bütünlük içinde dikkate alınacaktır. Bunun yanı sıra yine standardın servis ve teknoloji arayüzü ile ilgili IT servis ve sitem güveliği (SLA, sözleşme vb) çerçevesinde, iş ortakları ve tedarikçilerle ilgili olarak ISMS’yi destekleyen süreçlerin ve bununla ilgili kontrollerin amaca uygun bir (fit-for-purpose) yaklaşım -müşteri ve tedarikçi güvenliği boyutlarında- içinde dikkate alınması öngörülmektedir.

Murat Sevgi


______________
* M.Sevgi, "Bilgi Güvenliği", Çorlu Ticaret Sitesi, (Yeniden düzenlenmiş-kısaltılmış) 04 Aralık 2006,
http://www.corluticaret.net/articles.asp?AC=17

Resim: Alex Ruller, 3D Studio Max ile yapılmış Mental RAY uygulaması, 2001