GİRİŞ
Günümüz dijital dünyasında, veri güvenliği işletmelerin en önemli önceliklerinden biri haline gelmiştir. Siber tehditlerin sürekli arttığı bir ortamda, organizasyonlar verilerini koruma altına almak için çeşitli güvenlik önlemleri almak zorundadır. Bu noktada ISO 27001, bilgi güvenliği yönetim sistemi (BGYS) için uluslararası bir standart olarak öne çıkar. Peki, ISO 27001 nedir, neden önemlidir ve işletmelere nasıl katkı sağlar? Bu yazıda bu konuları ele alacağız.
ISO 27001 Nedir?
ISO/IEC 27001, bilgi güvenliği yönetimi konusunda en yaygın kabul gören uluslararası standarttır. 2005 yılında yayınlanan ve 2013 ve 2022 yıllarında güncellenen bu standart, kuruluşların bilgilerini güvence altına almak ve riskleri yönetmek için bir dizi prosedür ve kontrol içerir. ISO 27001, bilgi güvenliği yönetim sistemi (BGYS) oluşturmayı ve bu sistemin sürekli iyileştirilmesini teşvik eder.
ISO 27001 Standardının Amacı
ISO 27001’in ana amacı, bir organizasyonun sahip olduğu bilgi varlıklarını korumaktır. Bu koruma üç temel ilkeye dayanır:
Gizlilik (Confidentiality): Bilgilerin yalnızca yetkili kişiler tarafından erişilebilir olmasını sağlamak.
Bütünlük (Integrity): Bilgilerin doğruluğunu ve tamlığını garanti altına almak.
Erişilebilirlik (Availability): Bilgilerin gerektiğinde yetkili kullanıcılar tarafından erişilebilir olmasını sağlamak.
ISO 27001 Sertifikası Neden Önemlidir?
Müşteri Güveni: Sertifika, müşterilerinize ve iş ortaklarınıza, bilgilerinin güvende olduğuna dair güven verir.
Yasal Uyumluluk: ISO 27001, birçok düzenleyici gerekliliği karşılamaya yardımcı olabilir.
Rekabet Avantajı: ISO 27001 sertifikasına sahip olmak, rekabette öne geçmenizi sağlar. Özellikle büyük müşteriler veya hükümetle çalışmak isteyen şirketler için bu sertifika genellikle bir gerekliliktir.
Risk Yönetimi: Bilgi güvenliği risklerini etkin bir şekilde yöneterek olası saldırı ve veri kayıplarının önüne geçmenize yardımcı olur.
ISO 27001 Nasıl Uygulanır?
ISO 27001, bilgi güvenliği yönetim sistemini oluşturmak ve sürdürmek için sistematik bir yaklaşım sunar. İşte bu standardın uygulanmasındaki ana adımlar:
Kapsam Belirleme: Hangi bilgi varlıklarının korunacağını belirlemek.
Risk Değerlendirmesi: Bilgi varlıklarını tehdit eden risklerin analiz edilmesi.
Kontrol Seçimi: ISO 27001’in sunduğu kontrol setlerinden organizasyonun risklerine uygun olanları seçmek.
Dokümantasyon: Politika ve prosedürlerin yazılı olarak dokümante edilmesi.
Sürekli İyileştirme: Bilgi güvenliği yönetim sistemini düzenli olarak gözden geçirmek ve iyileştirmek.
ISO 27001 İçin Gereken Kontroller Nelerdir?
ISO 27001, bilgi güvenliğini sağlamak için 114 adet kontrol önerir. Her organizasyon, bu kontrollerden kendi risklerine ve iş ihtiyaçlarına uygun olanları seçer.
Bu kontroller, 14 ana kategori altında toplanmıştır:
- Güvenlik Politikası,
- Organizasyonel Güvenlik,
- İnsan Kaynakları Güvenliği,
- Fiziksel ve Çevresel Güvenlik,
- İletişim ve Operasyon Yönetimi,
- Erişim Kontrolü,
- Bilgi Sistemi Edinimi, Geliştirme ve Bakımı,
- Bilgi Güvenliği Olay Yönetimi,
- İş Sürekliliği Yönetimi,
- Uyumluluk.
ISO 27001 Sertifikasyon Süreci
- Ön Değerlendirme: Bir kuruluşun mevcut bilgi güvenliği uygulamaları gözden geçirilir.
- Belgelendirme Denetimi: ISO 27001 gereksinimlerine uyumlu olup olmadığını belirlemek için detaylı bir denetim yapılır.
- Sertifikasyon: Denetimden başarıyla geçtikten sonra organizasyon sertifikalandırılır.
- Yıllık Denetimler: Sertifikanın devam edebilmesi için düzenli denetimlerden geçilmesi gerekir.
ISO 27001 Sertifikasını Hangi Kurum ve Şirketler Almalıdır?
ISO 27001, küçük, orta veya büyük fark etmeksizin her türdeki işletme için uygulanabilir. Özellikle şu sektörler için önemlidir:
- Finansal Kuruluşlar,
- Sağlık Hizmetleri,
- Teknoloji ve Yazılım Şirketleri,
- E-Ticaret Platformları,
- Hükümetler ve Kamu Kuruluşları.
ISO 27001 Çerçevesinde Değerlendirilmesi Gereken Konular
ISO 27001, bilgi güvenliği yönetim sistemi (BGYS) oluşturmak için kullanılan bir standart olup, bilgi güvenliğini sağlamak ve riskleri minimize etmek amacıyla geniş bir yelpazede alanlara ve konulara değinir.
1.Bilgi Güvenliği Politikası (BGP)
Amaç, Bilgi Güvenliğinin yönetim tarafından nasıl ele alınacağına dair stratejik bir çerçeve oluşturmak. BGP, bilgi güvenliği yönetim sistemi (BGYS) için stratejik bir kılavuz niteliğindedir ve bilgi güvenliğinin nasıl sağlanacağına dair kuruluşun üst yönetiminin taahhütlerini ve beklentilerini içerir. Etkili bir bilgi güvenliği politikası, organizasyonun tüm üyelerinin bilgi güvenliği süreçlerine katılımını ve uyumunu teşvik eder.
Bilgi Güvenliği Politikası Neleri Kapsar?
Yönetim Taahhüdü: Üst yönetim, bilgi güvenliğini stratejik bir öncelik haline getirir ve politikayı destekleyici gerekli kaynakları sağlar.
Politikanın Kapsamı: Hangi bilgi varlıklarının bu politika kapsamında yer alacağı belirtilir. Bu kapsam, tüm organizasyon genelinde veya belirli departmanlar için sınırlı olabilir.
Sorumluluklar ve Roller: Bilgi güvenliğinden sorumlu kişilerin görevleri ve organizasyon içerisindeki roller belirlenir. Bu, bilgi güvenliği yöneticileri, sistem yöneticileri ve tüm çalışanları kapsar.
Bilgi Güvenliği Hedefleri: Politikada, organizasyonun bilgi güvenliği ile ilgili ulaşmayı hedeflediği spesifik amaçlar ve bu amaçlara nasıl ulaşılacağı belirtilir.
Risk Yönetimi: Bilgi güvenliği politikası, organizasyonun karşı karşıya olduğu risklerin nasıl yönetileceğine dair genel prensipleri içermelidir.
Uyumluluk: Bilgi güvenliği ile ilgili yasal ve düzenleyici gereksinimlerin yerine getirilmesini garanti altına alır.
Bilgi Güvenliği Politikasının Unsurları
Risk Yönetimi Süreçleri: Bilgi güvenliği politikası, bilgi güvenliği risklerinin değerlendirilmesi ve yönetilmesi için bir çerçeve sunar. Risk yönetimi, varlıkların korunmasına yönelik proaktif adımlar atılmasını sağlar.
Çalışan Farkındalığı ve Eğitim: Politika, tüm çalışanların bilgi güvenliği konusundaki rollerini ve sorumluluklarını anlamalarını sağlamak için farkındalık programlarını içerir. Eğitim, bilgi güvenliği farkındalığının arttırılması ve ihlallerin önlenmesi açısından kritik bir bileşendir.
Bilgi Güvenliği Kontrolleri: Bilgi güvenliği politikası, ISO 27001 standartlarına uygun bilgi güvenliği kontrollerini içerir. Bu kontroller, erişim denetimleri, şifreleme, ağ güvenliği gibi teknik ve operasyonel önlemleri kapsar.
Olay Müdahale ve Raporlama: Bilgi güvenliği ihlalleri durumunda, organizasyonun nasıl tepki vereceği ve olayların nasıl raporlanacağına dair politikalar oluşturulmalıdır. Bu, bilgi güvenliği olaylarının en hızlı şekilde yönetilmesini ve gelecekte benzer ihlallerin önlenmesini sağlar.
Sürekli İyileştirme: Bilgi güvenliği politikası, organizasyonun bilgi güvenliği yönetimini düzenli olarak gözden geçirmesini ve sürekli iyileştirme kültürünü teşvik etmesini sağlar. Bu, güvenlik politikalarının yeni tehditlere karşı güncellenmesi ve adaptasyonunu içerir.
2.Bilgi Güvenliği Organizasyonu: Güvenliğin Yapı Taşları
Amaç, Bilgi Güvenliği Organizasyonu, bilgi güvenliğini yöneten ve bu süreçlerden sorumlu bir yapı oluşturmayı hedefler. Bu yapının temel amacı, bilgi güvenliği süreçlerinin verimli bir şekilde yürütülmesini sağlamak ve bilgi güvenliği politikalarının uygulanmasını desteklemektir. Aynı zamanda, bilgi güvenliği risklerini yönetme, güvenlik olaylarına müdahale etme ve yasal düzenlemelere uyumu garanti altına alma gibi görevleri de yerine getirir.
Bilgi Güvenliği Organizasyonunun Yapı Taşları
Yönetim Desteği ve Liderlik: Bilgi güvenliği organizasyonunun en kritik unsuru, üst yönetimin bilgi güvenliği süreçlerine olan desteğidir. Üst yönetimin aktif olarak bilgi güvenliği yönetimine katılımı ve liderliği, organizasyonun tüm kademelerinde bilgi güvenliğinin ciddiye alınmasını sağlar.
Bilgi Güvenliği Yöneticisi (CISO): Chief Information Security Officer (CISO) veya Bilgi Güvenliği Yöneticisi, bilgi güvenliği yönetim sisteminden sorumlu ana kişidir. CISO, bilgi güvenliği politikalarının ve stratejilerinin uygulanmasını sağlar, risk yönetimi süreçlerini denetler ve bilgi güvenliği olaylarına müdahale eder.
Bilgi Güvenliği Komitesi: Bilgi güvenliği komitesi, bilgi güvenliği süreçlerinin gözden geçirilmesi, politika oluşturulması ve önemli bilgi güvenliği kararlarının alınması için düzenli olarak toplanan bir gruptur. Komite, farklı departmanlardan temsilciler içerebilir ve organizasyon genelinde bilgi güvenliği farkındalığını artırmayı amaçlar.
Teknik Güvenlik Ekipleri: Bilgi güvenliği organizasyonunun teknik ekipleri, siber güvenlik çözümlerini uygulayan ve bilgi sistemlerinin güvenliğini sağlayan profesyonellerden oluşur. Bu ekipler, güvenlik duvarları, saldırı tespit ve önleme sistemleri (IDS/IPS), şifreleme çözümleri gibi teknik güvenlik önlemlerinin uygulanmasını sağlar.
Departmanlar ve Bilgi Güvenliği Sorumluları: Organizasyonun her departmanı, bilgi güvenliği süreçlerinde önemli bir rol oynar. Her departmanın kendi bilgi güvenliği sorumlusu veya temsilcisi olabilir. Bu kişiler, departmanlarındaki bilgi güvenliği politikalarının uygulanmasını sağlamakla görevlidir.
Bilgi Güvenliği Organizasyonunun Önemi
Sorumlulukların Net Tanımlanması: İyi yapılandırılmış bir bilgi güvenliği organizasyonu, sorumlulukların açık bir şekilde belirlenmesini sağlar. Bu da bilgi güvenliği olaylarına daha hızlı ve etkili bir şekilde müdahale edilmesine yardımcı olur.
Kaynak Yönetimi: Bilgi güvenliği organizasyonu, bilgi güvenliği için gereken kaynakların etkin bir şekilde kullanılmasını sağlar. Bu, hem insan kaynağını hem de teknik çözümleri içerir.
Uyumluluk ve Denetimler: Bilgi güvenliği organizasyonu, yasal ve düzenleyici gereksinimlere uyum sağlamak için gerekli prosedürleri ve kontrolleri uygular. Düzenli iç denetimlerle bu süreçlerin etkinliği değerlendirilir.
3.İnsan Kaynakları Güvenliği
Bir organizasyonun en önemli varlıklarından biri, çalışanlarıdır. Çalışanlar, bilgi güvenliğini sağlamak veya tehdit edebilmek açısından büyük bir role sahiptir. Bu nedenle, bilgi güvenliği yönetim sisteminde İnsan Kaynakları Güvenliği önemli bir yer tutar. İnsan kaynakları güvenliği, personel işe alımından, eğitim süreçlerine, işten çıkışlara kadar birçok aşamayı kapsar ve çalışanların bilgi güvenliği süreçlerine nasıl dahil edileceğini tanımlar. İnsan kaynakları güvenliğinin ana amacı, çalışanların bilgi güvenliği süreçlerinde sorumluluklarını netleştirmek, farkındalıklarını artırmak ve olası güvenlik açıklarını minimize etmektir. Bu süreç, çalışanların doğru bilgilere erişimini sağlarken, yetkisiz erişimleri ve kötü niyetli faaliyetleri engellemeye yönelik politikaları içerir.
İnsan Kaynakları Güvenliği Süreçleri
İşe Alım Süreci: Çalışanların bilgi güvenliği risklerini en aza indirmek için işe alım sürecinde güvenlik önlemlerinin alınması gereklidir. Bu, özellikle hassas bilgilere erişecek kişilerin seçilmesi aşamasında kritik hale gelir.
Kontroller: Adayların iş geçmişi, referansları ve varsa sabıka kayıtları kontrol edilmelidir. Bu kontroller, çalışanın güvenilirliğini ve iş etiğini değerlendirmede önemlidir. İşe alınan her çalışanın, organizasyonun bilgi güvenliği politikalarına ve gizlilik ilkelerine uymasını sağlamak amacıyla gizlilik sözleşmeleri imzalaması zorunlu hale getirilmelidir.
Bilgi Güvenliği Eğitimleri ve Farkındalık Programları: Çalışanlar, bilgi güvenliği politikaları ve uygulamaları hakkında düzenli olarak bilgilendirilmelidir. Bilgi güvenliği farkındalığı, çalışanların görevleri sırasında güvenli uygulamaları takip etmelerini sağlar. Örneğin; Güvenlik Politikaları, Güvenlik İhlali Senaryoları, Olay Raporlama Prosedürleri.
Çalışan Görev Değişiklikleri ve İşten Ayrılma Süreci: Çalışanların bilgi güvenliği açısından doğru şekilde yönetilmesi, işe alım kadar işten ayrılma süreçlerinde de kritik öneme sahiptir. Bu aşamada, çalışanların erişim yetkilerinin iptal edilmesi ve bilgi güvenliği risklerinin yönetilmesi önemlidir.
Kontroller: İşten ayrılan veya departman değiştiren çalışanların, sistemlere ve hassas bilgilere olan erişimleri derhal iptal edilmelidir. Çalışanların işten ayrılırken ellerindeki tüm kurumsal cihazları, anahtarları, kimlik kartlarını ve diğer fiziksel/dijital varlıkları iade etmesi sağlanmalıdır. İşten ayrılan çalışanlar için gizlilik ve bilgi güvenliği yükümlülüklerinin devam etmesi sağlanmalıdır. Bu süreç, çalışanların gelecekteki faaliyetlerinde şirket verilerini kullanmalarını engelleyen yasal düzenlemeleri içermelidir.
Çalışanların Sürekli Gözetimi ve Denetimi: Çalışanların işlerini sürdürürken bilgi güvenliği politikalarına uygun hareket edip etmedikleri düzenli olarak izlenmelidir. Bu, hem çalışanların bilgi güvenliği farkındalığını korumasına hem de olası güvenlik risklerinin erken tespitine yardımcı olur.
İnsan Kaynakları Güvenliğinde İç Tehditler ve Önlemler
İç Tehditler
Kasıtlı Tehditler: Bilinçli olarak kurum içinden gerçekleştirilen veri sızdırma, sabotaj veya bilgi güvenliği ihlalleri.
İhmaller: Çalışanların ihmali veya bilgisizliği sonucu oluşan güvenlik açıkları, yanlış yapılandırılmış sistemler veya şifrelerin paylaşılması gibi hatalar.
Önlemler
Sıfır Güven Politikası (Zero Trust): Çalışanlara minimum erişim yetkisi vermek, yani her çalışanın sadece işini yapması için gereken verilere erişim sağlaması önemlidir.
Eğitim ve Farkındalık: Düzenli eğitim programları, sosyal mühendislik ve kimlik avı gibi tehditlerin nasıl fark edileceğine dair çalışanların bilgi sahibi olmasını sağlar.
Davranışsal Güvenlik İzleme: Özellikle kritik bilgilere erişimi olan çalışanların davranışlarının izlenmesi ve olağandışı hareketlerin raporlanması.
İnsan Kaynakları Güvenliği ve Uyumluluk
ISO 27001 gibi bilgi güvenliği yönetim sistemlerine uyum sağlamak isteyen organizasyonlar, insan kaynakları güvenliğini temel bir gereklilik olarak ele almalıdır. Aynı zamanda GDPR gibi veri gizliliği yasaları da, çalışanların kişisel veri güvenliği ile ilgili sorumluluklarını net bir şekilde ortaya koyar. İnsan kaynakları süreçleri, hem bilgi güvenliği yönetim sistemi hem de yasal düzenlemelere uyumun sağlanmasında kritik bir rol oynar.
4.Varlık Yönetimi: Bilgi Güvenliğinin Temeli Olarak Varlıkların Korunması
Bir organizasyonun sahip olduğu bilgi varlıkları, iş süreçlerinin sağlıklı bir şekilde ilerlemesi için kritik öneme sahiptir. Varlık Yönetimi, bilgi güvenliği yönetim sisteminin (BGYS) temel taşlarından biri olarak, bu varlıkların tespit edilmesi, sınıflandırılması, korunması ve yönetilmesini kapsar. ISO 27001 gibi standartlara göre varlık yönetimi, varlıkların etkili bir şekilde korunmasını sağlamak için gerekli prosedürlerin ve kontrollerin uygulanmasını içerir.
Varlık yönetiminin ana amacı, organizasyonun sahip olduğu bilgi varlıklarının tanımlanması, bu varlıkların güvenlik risklerine karşı korunması ve sorumlu kişilerin belirlenmesidir. Varlık yönetimi, bilgi güvenliği stratejileri geliştirilirken hangi varlıkların öncelikli olarak korunması gerektiğini netleştirir ve bu varlıkların güvenliğini sağlamak için gerekli kontrolleri tanımlar.
Varlık Nedir?
Bilgi güvenliği açısından varlıklar, bir organizasyonun sahip olduğu ve koruması gereken her türlü bilgi, donanım, yazılım, sistem ve süreçtir. Varlıklar üç ana kategoriye ayrılabilir:
Bilgi Varlıkları: Veritabanları, belgeler, elektronik postalar, fikri mülkiyetler, yazılım kodları gibi her türlü bilgi.
Fiziksel Varlıklar: Sunucular, bilgisayarlar, mobil cihazlar, ağ donanımları, veri merkezleri gibi fiziksel altyapı ve donanımlar.
İnsan Varlıkları: Bilgi varlıklarını yöneten, işleten ve güvenliğini sağlayan çalışanlar ve dış hizmet sağlayıcılar.
Varlık Yönetimi Süreçleri
Varlık yönetimi, aşağıdaki aşamaları kapsayan sistematik bir süreçtir:
Varlıkların Tanımlanması
Organizasyonun sahip olduğu tüm bilgi varlıkları belirlenmeli ve dokümante edilmelidir. Her bir varlık, türüne göre sınıflandırılır ve varlık envanteri oluşturulur.
Süreç
- Bilgi sistemleri, yazılımlar, veritabanları ve fiziksel donanımlar tespit edilip kayıt altına alınır.
- Varlık envanteri, her varlığın kimlik numarası, konumu, sahibi ve kullanım amacını içerir.
- Bilgi varlıkları için hassasiyet dereceleri (örneğin, gizli, genel, dahili) belirlenir.
Varlık Sahiplerinin Belirlenmesi
Her bilgi varlığı için bir “sahip” atanmalıdır. Varlık sahipleri, bu varlıkların güvenliğinden ve kullanımından sorumlu olan kişilerdir.
Süreç
- Varlık sahipleri, bilgi varlıklarının korunması, kullanımı, güncellenmesi ve güvenlik politikalarına uyumu konularında sorumluluk taşır.
- Varlık sahiplerinin düzenli olarak varlıkların güvenliğini denetlemesi ve ilgili güvenlik kontrollerini uygulaması gereklidir.
Varlık Sınıflandırması
Varlıklar, gizlilik, bütünlük ve erişilebilirlik seviyelerine göre sınıflandırılmalıdır. Bu sınıflandırma, hangi varlıkların öncelikli olarak korunması gerektiğini belirler.
Süreç
- Bilgi varlıkları, hassasiyet derecelerine göre (gizli, dahili, genel) sınıflandırılır.
- Hassas varlıklar için daha sıkı güvenlik kontrolleri uygulanırken, düşük hassasiyetli varlıklar için daha temel güvenlik önlemleri yeterli olabilir.
Varlıkların Güvenliğinin Sağlanması
Varlıklar için uygun güvenlik kontrolleri tanımlanmalı ve uygulanmalıdır. Bu, hem fiziksel hem de dijital güvenlik önlemlerini içerir.
Süreç
- Hassas bilgi varlıkları için şifreleme, erişim kontrolü, yedekleme ve kurtarma planları gibi güvenlik önlemleri uygulanır.
- Fiziksel varlıklar için izinsiz erişimi önleyici fiziksel güvenlik önlemleri alınır (örneğin, kapalı devre kamera sistemleri, güvenlik kartları).
Varlıkların İzlenmesi ve Denetimi
Varlıkların güvenliği düzenli olarak izlenmeli ve denetlenmelidir. Bu, güvenlik açıklarının ve olası tehditlerin tespit edilmesini sağlar.
Süreç
- Varlık sahipleri, varlıkların düzenli olarak gözden geçirilmesini ve güncellenmesini sağlar.
- İç denetimler, varlıkların belirlenen güvenlik politikalarına uygunluğunu değerlendirir.
- Güvenlik açıkları ve ihlaller tespit edilirse, düzeltici ve önleyici önlemler alınır.
Varlıkların Ömrünün Sonlandırılması
Varlıklar, kullanım süreleri sona erdiğinde güvenli bir şekilde imha edilmelidir. Bu süreç, özellikle hassas bilgi varlıklarının güvenli bir şekilde yok edilmesini içerir.
Süreç
- Bilgi varlıklarının güvenli imhası için belirlenmiş yöntemler kullanılır (örneğin, fiziksel donanımların parçalanması, dijital verilerin geri dönülemez şekilde silinmesi).
- İmha süreci, yasal ve düzenleyici gereksinimlere uygun olmalıdır.
Varlık Yönetiminin Önemi
Risk Azaltma: Varlık yönetimi, organizasyonun hangi varlıklara sahip olduğunu ve bu varlıkların ne kadar kritik olduğunu netleştirerek, güvenlik risklerini minimize eder. Özellikle hassas varlıklar için ek güvenlik önlemlerinin alınması, bilgi güvenliği tehditlerine karşı önemli bir savunma sağlar.
Uyumluluk: ISO 27001 gibi standartlar ve GDPR gibi düzenlemeler, organizasyonların varlıklarını etkin bir şekilde yönetmelerini zorunlu kılar. Varlık yönetimi, bu tür düzenlemelere uyum sağlamanın temel yollarından biridir.
İş Sürekliliği: Kritik bilgi varlıklarının korunması ve yedekleme/kurtarma planlarının uygulanması, iş sürekliliğini sağlamak açısından büyük bir öneme sahiptir. Varlık yönetimi, beklenmedik olaylarda işletmenin kesintisiz çalışmasını sağlar.
5.Erişim Kontrolü: Bilgiye Doğru Erişim İçin Güvenli Yönetim
Bilgi güvenliğinde en kritik unsurlardan biri, bilgilere ve sistemlere yalnızca yetkili kişilerin erişimini sağlamaktır. Erişim Kontrolü, bir organizasyonun bilgi varlıklarına kimlerin, nasıl ve ne zaman erişebileceğini belirleyen politikalar ve süreçler bütünüdür. ISO 27001 ve diğer bilgi güvenliği standartları kapsamında, erişim kontrolleri etkili bir bilgi güvenliği yönetim sistemi (BGYS) için olmazsa olmazdır.
Erişim kontrolünün ana amacı, yetkisiz kişilerin bilgi varlıklarına erişimini engellerken, yetkili kişilerin ise işlerini yapabilmeleri için gerekli bilgilere erişimlerini sağlamaktır. Erişim kontrolleri, bilgi varlıklarının gizliliğini, bütünlüğünü ve erişilebilirliğini korumak için hayati öneme sahiptir.
Erişim Kontrolünün Temel İlkeleri
Kimlik Doğrulama (Authentication)
Kimlik doğrulama, bir kullanıcının sistemlere erişebilmesi için kimliğini doğrulama sürecidir. Bu aşama, kullanıcıların gerçek kimliklerinin belirlenmesini sağlar.
Yöntemler
- Kullanıcı adı ve şifre: En yaygın kimlik doğrulama yöntemi olup, kullanıcıların belirli bir parola ile kimliklerini doğrulaması istenir.
- Çok faktörlü kimlik doğrulama (MFA): Kullanıcıların birden fazla doğrulama yöntemi (örneğin, şifre ve telefonla doğrulama) kullanarak kimliklerini ispat etmelerini gerektirir.
- Biyometrik doğrulama: Parmak izi, retina taraması veya yüz tanıma gibi biyometrik özellikler ile kimlik doğrulaması yapılır.
Yetkilendirme (Authorization)
Yetkilendirme, kimlik doğrulandıktan sonra kullanıcının hangi kaynaklara erişebileceğini ve bu kaynaklar üzerinde hangi işlemleri gerçekleştirebileceğini belirleyen süreçtir.
Yöntemler
- Rol tabanlı erişim kontrolü (RBAC): Kullanıcılar, iş rollerine göre belirlenen yetkilerle sisteme erişir. Örneğin, bir muhasebe çalışanı sadece finansal verilere erişebilirken, bir IT yöneticisi tüm sistemlere erişebilir.
- İlke tabanlı erişim kontrolü (PBAC): Erişim kontrolleri, organizasyonun politikalarına dayalı olarak belirlenir. Bu yöntemde erişim izni, kullanıcının kim olduğuna değil, hangi politikaların geçerli olduğuna bağlıdır.
Gizlilik (Confidentiality)
Bilgilere sadece yetkili kişilerin erişebilmesi gizliliği sağlar. Bu, erişim kontrolünün en temel amaçlarından biridir.
Yöntemler
- Şifreleme: Yetkisiz kişilerin verilere erişimini önlemek için veriler şifrelenir. Yalnızca doğru anahtara sahip yetkili kullanıcılar bu verilere erişebilir.
- Erişim listeleri (Access Control Lists – ACL): Hangi kullanıcıların hangi kaynaklara erişebileceği net bir şekilde tanımlanır.
İzlenebilirlik (Auditability)
Erişim kontrolü sistemleri, hangi kullanıcının hangi kaynaklara eriştiğini ve ne zaman eriştiğini kaydeder. Bu, olası güvenlik ihlallerini incelemek ve yetkisiz erişimleri tespit etmek için kritik bir bileşendir.
Yöntemler
- Erişim günlükleri (Access Logs): Kullanıcı erişimlerinin kaydedilmesi ve düzenli olarak gözden geçirilmesi. Güvenlik denetimleri sırasında bu loglar incelenerek olası güvenlik açıkları tespit edilebilir.
- Anomali tespiti: Anormal veya yetkisiz erişim davranışlarını algılamak için erişim kayıtlarının sürekli olarak izlenmesi.
Erişim Kontrolü Türleri
Fiziksel Erişim Kontrolleri
Bilgi sistemlerinin yer aldığı fiziksel ortamlara kimlerin erişim sağlayabileceğini kontrol eden güvenlik önlemleridir.
Yöntemler
- Kartlı geçiş sistemleri: Yalnızca yetkili kişilerin fiziksel alanlara erişimini sağlamak için güvenlik kartları kullanılır.
- Biyometrik sistemler: Fiziksel erişimi kontrol etmek için biyometrik veriler (parmak izi, yüz tanıma) kullanılır.
- Kapalı devre kamera sistemleri (CCTV): Fiziksel erişim bölgelerinin izlenmesi ve kaydedilmesi, yetkisiz girişleri tespit etmeye yardımcı olur.
Mantıksal (Dijital) Erişim Kontrolleri
Bilgi sistemlerine ve dijital varlıklara kimlerin erişebileceğini kontrol eden güvenlik mekanizmalarıdır.
Yöntemler
- Rol tabanlı erişim kontrolü (RBAC): Kullanıcılar, iş rollerine bağlı olarak belirli sistemlere erişim sağlar.
- İlke tabanlı erişim kontrolü (PBAC): Organizasyon politikalarına göre kullanıcıların erişim yetkileri belirlenir.
- Zaman tabanlı erişim kontrolleri: Erişim izni yalnızca belirli zaman dilimlerinde verilir, böylece mesai saatleri dışında yetkisiz erişim riski azaltılır.
Dinamik ve Bağlam Tabanlı Erişim Kontrolü
Kullanıcının o anki durumu veya konumuna dayalı olarak erişim izni veren sistemlerdir. Örneğin, kullanıcı yalnızca belirli bir coğrafi konumda veya ağda bulunduğunda erişim sağlayabilir.
Yöntemler
- Coğrafi konum kontrolleri: Kullanıcının belirlenen bir konumda olması durumunda erişim izni verilir.
- Cihaz tabanlı kontroller: Sadece belirlenen cihazlardan sisteme erişime izin verilir.
- Bağlam tabanlı kontroller: Erişim izni, kullanıcının ağ durumu, cihaz türü veya güvenlik durumu gibi değişkenlere göre belirlenir.
6.Kriptografi: Bilgiyi Şifreleme ve Güvenli İletim
Kriptografi, bilgi güvenliğinin temel taşlarından biridir ve verilerin gizliliğini, bütünlüğünü ve doğruluğunu sağlamak amacıyla kullanılan bir şifreleme yöntemidir. Bilgilerin iletim veya depolama sırasında yetkisiz kişiler tarafından okunmasını veya değiştirilmesini engellemek için matematiksel algoritmalara dayanan kriptografi, dijital dünyada güvenliği sağlamak için vazgeçilmezdir. ISO 27001 kapsamında kriptografi, bilgi güvenliği yönetim sisteminin kritik bir parçası olarak tanımlanır.
Kriptografinin temel amacı, bilgi varlıklarını koruma altına almak ve bu bilgilerin yalnızca yetkili kişiler tarafından erişilebilir olmasını sağlamaktır.
Bu amaç doğrultusunda kriptografi, şu üç temel ilkeyi güvence altına alır:
- Gizlilik (Confidentiality): Bilgilerin yalnızca yetkili kişiler tarafından okunabilmesini sağlamak.
- Bütünlük (Integrity): Bilgilerin iletilirken veya depolanırken değiştirilmediğinden emin olmak.
- Kimlik Doğrulama (Authentication): Bilginin kaynağını doğrulamak ve bilginin kimin tarafından gönderildiğini garanti altına almak.
Kriptografi Türleri
Kriptografi, çeşitli şifreleme yöntemlerine dayanır ve bu yöntemler, bilginin nasıl şifrelendiğini ve kimlerin bu bilgilere erişebileceğini belirler. Kriptografi iki ana kategoriye ayrılır: simetrik kriptografi ve asimetrik kriptografi.
Simetrik Kriptografi (Symmetric Encryption)
Simetrik kriptografi, aynı anahtarın hem veriyi şifrelemek hem de şifreyi çözmek için kullanıldığı bir yöntemdir. Şifreleme ve şifre çözme işlemi için ortak bir gizli anahtar kullanılır.
Örnek: AES (Advanced Encryption Standard) ve DES (Data Encryption Standard) yaygın simetrik şifreleme algoritmalarıdır.
Asimetrik Kriptografi (Asymmetric Encryption)
Asimetrik kriptografi, iki farklı anahtarın kullanıldığı bir şifreleme yöntemidir. Bir anahtar (genellikle herkese açık olan “public key”) veriyi şifrelerken, diğer anahtar (sadece sahibinde bulunan “private key”) şifreyi çözer.
Örnek: RSA (Rivest-Shamir-Adleman) ve ECC (Elliptic Curve Cryptography) yaygın asimetrik şifreleme algoritmalarıdır.
Hibrit Kriptografi
Hibrit kriptografi, simetrik ve asimetrik şifreleme yöntemlerinin bir kombinasyonunu kullanır. Genellikle simetrik anahtarlar asimetrik yöntemlerle güvenli bir şekilde paylaşılır ve ardından veri simetrik anahtarlarla şifrelenir.
Örnek: TLS (Transport Layer Security), hibrit kriptografinin yaygın bir uygulamasıdır ve web üzerindeki güvenli iletişimde kullanılır.
Kriptografiyle İlgili Kontroller
Anahtar Yönetimi Politikaları
Anahtarların nasıl oluşturulacağı, saklanacağı ve dağıtılacağına dair yazılı prosedürler oluşturulmalıdır.
- Anahtarların ömrü boyunca güvenli bir şekilde saklanması.
- Anahtarların yenilenmesi ve son kullanma tarihinin belirlenmesi.
Şifreleme Gücü
Kullanılan şifreleme algoritmalarının ve anahtar uzunluklarının yeterince güçlü olması gerekmektedir.
- Güncel ve güçlü şifreleme algoritmalarının kullanılması (örneğin, AES-256).
- Zayıf algoritmaların (örneğin, eski DES) kullanımının engellenmesi.
Veri İletiminde Şifreleme
Ağ üzerinden iletilen tüm hassas verilerin şifrelenmesi gereklidir.
- Hassas bilgilerin iletilmesi sırasında SSL/TLS gibi güvenli protokollerin kullanılması.
- E-posta ile gönderilen hassas verilerin PGP (Pretty Good Privacy) veya S/MIME ile şifrelenmesi.
Veri Depolamada Şifreleme
Depolama cihazlarında bulunan hassas verilerin şifrelenmesi gereklidir.
- Yerel disklerde, yedekleme cihazlarında veya bulut depolama hizmetlerinde saklanan hassas verilerin şifrelenmiş olması.
- Şifrelenmiş verilerin erişim yetkilerinin düzenli olarak gözden geçirilmesi.
7.Bilgi Sistemleri Edinimi, Geliştirme ve Bakımı: Güvenli Yazılım ve Sistem Yaşam Döngüsü
Bilgi güvenliği yönetim sisteminin (BGYS) temel unsurlarından biri, bilgi sistemlerinin güvenli bir şekilde edinilmesi, geliştirilmesi ve bakımının sağlanmasıdır. Bu süreçler, yeni sistemlerin güvenlik risklerine karşı korunması ve mevcut sistemlerin düzenli olarak güncellenmesi için kritik bir rol oynar. Bilgi sistemlerinin güvenliği, sadece yazılım geliştirme aşamasında değil, aynı zamanda yaşam döngüsünün tüm aşamalarında ele alınmalıdır. ISO 27001 gibi standartlar kapsamında, sistem edinimi ve geliştirme süreçlerinde güvenlik önlemlerinin uygulanması zorunludur.
Edinim Süreci
Bilgi sistemleri edinimi, yazılım ve donanımların tedarik edilmesi ve kuruma entegre edilmesi sürecini kapsar. Güvenlik, bu sürecin her aşamasında kritik bir rol oynamalıdır.
Süreç
İhtiyaçların belirlenmesi: Organizasyonun ihtiyaç duyduğu yazılım veya donanım özellikleri belirlenir.
Güvenlik gereksinimlerinin belirlenmesi: Sistem veya yazılımın güvenlik gereksinimleri tanımlanır. Örneğin, verilerin şifrelenmesi, erişim kontrolleri ve güvenlik güncellemelerinin yapılması gibi.
Üçüncü taraf tedarikçilerin güvenlik değerlendirmesi: Yazılım ve donanım tedarikçilerinin güvenlik uygulamaları gözden geçirilir ve güvenli olduklarından emin olunur.
Tedarikçi Risk Yönetimi
Bilgi sistemlerini sağlayan üçüncü tarafların güvenlik riskleri yönetilmelidir. Bu, sistemlerin güvenli bir şekilde sağlanması ve entegre edilmesi için kritik bir adımdır.
Yöntemler
- Tedarikçilerle gizlilik anlaşmalarının yapılması.
- Tedarikçilerin güvenlik politikalarının denetlenmesi.
- Üçüncü taraf sistemlerinin güvenlik taramaları ve testlerinin yapılması.
Bilgi Sistemlerinin Geliştirilmesi ve Güvenliği
Bilgi sistemlerinin geliştirilmesi sürecinde güvenlik, sistem tasarımından uygulamaya kadar olan tüm aşamalarda ön planda tutulmalıdır. Güvenli yazılım geliştirme uygulamaları, güvenlik açıklarının ve zafiyetlerin azaltılmasına yardımcı olur.
Güvenli Yazılım Geliştirme Yaşam Döngüsü (SDLC)
Güvenli yazılım geliştirme yaşam döngüsü, yazılım geliştirme sürecinde güvenlik önlemlerinin entegre edilmesini sağlar. Her aşamada güvenlik değerlendirmeleri ve testleri yapılmalıdır.
Aşamalar
- Planlama ve Gereksinimlerin Belirlenmesi: Projeye başlamadan önce, güvenlik gereksinimleri net bir şekilde tanımlanmalıdır. Güvenlik gereksinimlerinin belirlenmesi, yazılımın hangi tehditlere karşı korunacağını belirler.
- Tasarım: Güvenli tasarım, yazılımın mimarisinin güvenlik açısından değerlendirilmesini içerir. Örneğin, veri akışları güvenli olmalı, sistemler arasındaki iletişim şifrelenmelidir.
- Kodlama: Yazılım kodlaması sırasında güvenli kodlama teknikleri kullanılmalıdır. Güvenlik açıklarına neden olabilecek hataların (örneğin, SQL enjeksiyonu, çapraz site betiği) önlenmesi sağlanmalıdır.
- Test ve Doğrulama: Yazılım tamamlandığında, güvenlik testleri yapılmalı ve potansiyel zafiyetler tespit edilmelidir. Penetrasyon testleri, statik/dinamik kod analizi ve zafiyet taramaları bu aşamada uygulanır.
- Dağıtım ve Bakım: Yazılım dağıtılmadan önce tüm güvenlik kontrolleri tamamlanmış olmalıdır. Yaygınlaştırıldıktan sonra düzenli güvenlik güncellemeleri ve yamalar yapılmalıdır.
Güvenli Kodlama İlkeleri
Güvenli yazılım geliştirme, güvenli kodlama tekniklerine dayanır. Bu teknikler, yazılımın güvenlik açıklarından korunmasını sağlar.
İlkeler
Girdilerin doğrulanması: Kullanıcı girdileri kontrol edilmeli ve doğrulanmalıdır. Özellikle, SQL enjeksiyonu ve XSS gibi saldırılar bu doğrulamalarla önlenebilir.
Şifreleme: Hassas veriler her zaman şifrelenmelidir. Hem veri aktarımında hem de veri depolamada güçlü şifreleme yöntemleri kullanılmalıdır.
Güvenlik testleri: Yazılım geliştirme süreci boyunca düzenli olarak güvenlik testleri yapılmalıdır. Bu, koddaki güvenlik zafiyetlerini erken aşamalarda tespit etmek için önemlidir.
Bilgi Sistemlerinin Bakımı ve Güncellenmesi
Bilgi sistemlerinin bakımı, mevcut sistemlerin güvenliğinin sağlanması ve yeni tehditlere karşı korunması için düzenli olarak güncellenmesi anlamına gelir. Sistem bakımının aksatılması, bilgi güvenliği risklerini artırabilir ve zafiyetlere yol açabilir
Güvenlik Güncellemeleri ve Yamalar
Bilgi sistemlerinin güvenliğinin devam ettirilmesi için düzenli olarak güvenlik yamalarının uygulanması ve yazılım güncellemelerinin yapılması gereklidir.
Yöntemler
- Otomatik güncelleme sistemlerinin kullanılması.
- Kritik güvenlik yamalarının hemen uygulanması.
- Yama uygulama sürecinin düzenli olarak izlenmesi ve test edilmesi.
Sistem Bakımı ve İzleme
Bilgi sistemlerinin güvenliğinin sürekliliğini sağlamak için sistemlerin düzenli olarak izlenmesi ve bakımlarının yapılması gereklidir.
Yöntemler
- Sistemlerin izlenmesi: Bilgi sistemleri üzerindeki anormal davranışların ve tehditlerin tespit edilmesi için sürekli izleme yapılmalıdır.
- Yedekleme ve kurtarma planları: Sistemlerin yedeklenmesi ve olası veri kaybı durumunda kurtarma planlarının devreye alınması sağlanmalıdır.
- Log incelemeleri: Sistem günlüklerinin düzenli olarak gözden geçirilmesi ve güvenlik açıklarının tespit edilmesi için log analizi yapılmalıdır.
Güvenli Yazılım Geliştirme ve Ediniminde Risk Yönetimi
Bilgi sistemlerinin edinimi, geliştirilmesi ve bakımında güvenlik riskleri mutlaka değerlendirilmelidir. Her aşamada ortaya çıkabilecek güvenlik açıkları ve tehditler için uygun risk yönetimi süreçleri uygulanmalıdır.
Risk Değerlendirmesi
Yeni bir sistem edinimi veya geliştirme sürecine girildiğinde, olası güvenlik risklerinin belirlenmesi ve bu risklerin etkilerinin değerlendirilmesi gereklidir.
Yöntemler
- Sistem açıklarını belirlemek için zafiyet değerlendirmeleri yapılmalı.
- Sistem test edilmeden önce tehdit modellemeleri oluşturulmalı.
Sürekli İyileştirme
Bilgi sistemlerinin güvenliği sürekli bir süreçtir ve tehdit ortamı değiştikçe güvenlik önlemleri düzenli olarak güncellenmelidir.
Yöntemler
- Güvenlik açıklarını kapatmak için düzenli güvenlik incelemeleri ve güncellemeler yapılmalıdır.
- Yeni güvenlik tehditlerine karşı proaktif güvenlik önlemleri alınmalıdır.
8.Bilgi Güvenliği Olay Yönetimi: İhlaller Karşısında Etkin Müdahale Süreçleri
Bilgi güvenliği olayları, bir organizasyonun bilgi varlıklarına yönelik tehditlerin gerçekleşmesiyle ortaya çıkan durumlardır. Bu olaylar, siber saldırılar, veri ihlalleri, sistem kesintileri gibi çeşitli biçimlerde olabilir ve organizasyonların işleyişini, itibarını ve finansal yapısını ciddi şekilde etkileyebilir. Bilgi Güvenliği Olay Yönetimi, bu tür olayları etkin bir şekilde yönetmek, zararı minimize etmek ve gelecekte benzer olayları önlemek için geliştirilen stratejik ve operasyonel süreçleri kapsar. ISO 27001, bilgi güvenliği olay yönetimi süreçlerinin iyi tanımlanmış ve yapılandırılmış olmasını zorunlu kılar.
Bilgi Güvenliği Olay Yönetiminin Amacı
Bilgi güvenliği olay yönetiminin temel amacı, bilgi güvenliği olaylarını hızlı bir şekilde tespit etmek, bu olaylara müdahale etmek ve organizasyonu bu olaylardan korumaktır. Aynı zamanda, olay sonrası gerekli iyileştirme ve raporlama süreçlerini de içerir. Olay yönetimi, bilgi güvenliği risklerini kontrol altında tutmak ve işletme sürekliliğini sağlamak açısından kritik öneme sahiptir.
Bilgi Güvenliği Olay Yönetiminin Temel İlkeleri
Olayların Tespiti (Detection)
Bilgi güvenliği olaylarının mümkün olan en kısa sürede tespit edilmesi, müdahale sürecinin başarısı açısından hayati öneme sahiptir. Erken tespit, hasarı minimize eder ve daha hızlı müdahaleyi mümkün kılar.
Yöntemler
- Güvenlik izleme sistemleri: SIEM (Security Information and Event Management) gibi sistemler kullanılarak, ağ trafiği ve sistem aktiviteleri sürekli olarak izlenir.
- Anomali tespiti: Sistem üzerindeki olağandışı faaliyetler tespit edilerek, potansiyel güvenlik olayları belirlenir.
Olaylara Müdahale (Incident Response)
Bir güvenlik olayı tespit edildiğinde, bu olaya hızlı ve etkili bir şekilde müdahale etmek önemlidir. Bu aşama, olayın yayılmasını engellemeyi ve zararı kontrol altına almayı hedefler.
Yöntemler
- Olay müdahale ekipleri: Bilgi güvenliği olaylarına müdahale etmek için özel eğitimli ekiplerin oluşturulması.
- Acil müdahale planları: Önceden belirlenmiş müdahale planlarının devreye alınması. Bu planlar, olaya uygun müdahale adımlarını ve sorumlulukları içerir.
Olayların Çözümü ve İyileştirme (Recovery)
Olay sonrası sistemlerin normal çalışma düzenine dönmesi ve zararın telafi edilmesi için iyileştirme çalışmaları yapılmalıdır. Bu süreç, olayın neden olduğu hasarın giderilmesini ve sistemlerin güvenli bir şekilde tekrar devreye alınmasını kapsar.
Yöntemler
- Yedekleme ve kurtarma: Sistemlerin yedeklerinden geri yüklenmesi ve veri kayıplarının telafisi.
- Güvenlik açıklarının kapatılması: Olayın tekrar yaşanmaması için gerekli güvenlik güncellemelerinin ve yamalarının uygulanması.
Olayların Raporlanması ve Analizi (Reporting and Analysis)
Olayın kapsamı, nedeni, etkisi ve çözümüne dair detayların raporlanması gereklidir. Bu süreç, olaydan ders çıkarılmasını sağlar ve gelecekteki güvenlik stratejilerinin geliştirilmesine katkıda bulunur.
Yöntemler
- Olay raporları: Olayın nasıl gerçekleştiği, hangi sistemlerin etkilendiği ve alınan aksiyonlar hakkında detaylı raporlar oluşturulması.
- Kök neden analizi: Olayın temel nedeninin anlaşılması ve bu nedenin ortadan kaldırılması için analiz yapılması.
Bilgi Güvenliği Olay Yönetimi Süreçleri
Olay Öncesi Hazırlık
Olası bilgi güvenliği olaylarına karşı hazırlıklı olmak, müdahale sürecinin hızını ve etkinliğini artırır. Bu aşamada, olay müdahale ekiplerinin eğitimi, araçların ve teknolojilerin hazır bulundurulması ve olay yönetimi planlarının oluşturulması yer alır.
Yöntemler
- Olay müdahale planları: Güvenlik olaylarına nasıl müdahale edileceğini açıklayan detaylı planların oluşturulması.
- Ekip eğitimi: Olay müdahale ekiplerinin düzenli olarak eğitilmesi ve simülasyonlar yapılması.
Olay Tespiti ve Bildirimi
Bir güvenlik olayı meydana geldiğinde, bu olayın tespit edilmesi ve ilgili birimlere rapor edilmesi gereklidir. Tespit ve bildirim süreci, olayın hızlı bir şekilde ele alınmasına olanak tanır.
Yöntemler
- SIEM sistemleri: Anomali tespit eden ve güvenlik olaylarını analiz eden sistemlerin kullanılması.
- Olay bildirim prosedürleri: Olay tespit edildiğinde, hangi kanallar aracılığıyla ve kimlere bildirim yapılacağını belirleyen prosedürler.
Olay Müdahalesi ve İzolasyonu
Olayın yayılmasını önlemek ve zararı minimize etmek için olayın kaynağının izole edilmesi gereklidir. Bu, saldırıya uğrayan sistemlerin çevrimdışı duruma getirilmesi veya kötü amaçlı yazılımın izole edilmesi gibi adımları içerir.
Yöntemler
- Sistemlerin çevrimdışı alınması: Olayın yayılmasını önlemek için etkilenen sistemlerin ağa erişimlerinin kesilmesi.
- Ağ trafiğinin izlenmesi: Saldırganların hangi sistemlere eriştiğinin ve ne tür işlemler gerçekleştirdiğinin belirlenmesi.
Olayın Kapsamının Belirlenmesi ve Değerlendirme
Olayın kapsamı, etkilenen sistemler ve veri varlıkları belirlenmeli ve zararın büyüklüğü değerlendirilmelidir. Bu aşama, olayın etkilerini anlamak için kritik öneme sahiptir.
Yöntemler
- Etkilenen varlıkların tespiti: Olaydan etkilenen bilgi varlıklarının belirlenmesi.
- Zarar değerlendirmesi: Olayın organizasyon üzerindeki finansal, operasyonel ve itibar etkisinin analiz edilmesi.
Olayın Çözümü ve Kurtarma
Olayın çözümü, sistemlerin normale döndürülmesi ve hasarın giderilmesini içerir. Ayrıca, olayın tekrar yaşanmaması için gerekli güvenlik yamaları ve güncellemeleri uygulanmalıdır.
Yöntemler
- Yedeklerden geri yükleme: Olay sonucu zarar gören verilerin ve sistemlerin yedeklerden geri yüklenmesi.
- Güvenlik açıklarının kapatılması: Olayın tekrar yaşanmaması için yazılım ve donanım güncellemelerinin yapılması.
Olay Sonrası Değerlendirme ve Raporlama
Olay sonrasında, olayın neden olduğu zararın kapsamı, alınan aksiyonlar ve olayın tekrarını önlemek için yapılan iyileştirmeler raporlanmalıdır. Ayrıca, olayın kök nedenine yönelik detaylı bir analiz yapılmalıdır.
Yöntemler
- Kök neden analizi: Olayın neden kaynaklandığının tespit edilmesi.
- Raporlama: Olayın etkileri, alınan önlemler ve sonuçları hakkında detaylı raporlar hazırlanarak üst yönetime sunulması.
Olay Yönetiminde Kullanılan Araçlar ve Teknolojiler
SIEM (Security Information and Event Management)
SIEM araçları, güvenlik olaylarını tespit etmek, analiz etmek ve raporlamak için kullanılır. Ağ trafiği ve sistem aktivitelerini izleyerek, şüpheli olayları anında tespit eder.
SIEM (Security Information and Event Management) araçları gibi, Probely de güvenlik açıklarını tespit etmek, analiz etmek ve raporlamak için kullanılabilecek bir platformdur. Web uygulamaları ve API’ler üzerinde düzenli taramalar yaparak, siber güvenlik olaylarını erken aşamada tespit edebilir ve çözüm önerileri sunar. Probely, geliştirici dostu arayüzü sayesinde güvenlik ekiplerinin yanı sıra yazılım geliştiricilerinin de doğrudan kullanabileceği bir çözüm sunar. (https://probely.com/)
Probely’nin aşağıdaki özellikleri, güvenlik yönetiminde SIEM araçlarıyla tamamlayıcı bir rol üstlenmesini sağlar:
- Otomatik Güvenlik Tarayıcı: Web uygulamalarını ve API’leri düzenli olarak tarayarak potansiyel güvenlik açıklarını tespit eder.
- Detaylı Raporlama: Bulunan açıklar hakkında detaylı çözüm önerileri sunarak, güvenlik açıklarının hızlı bir şekilde giderilmesine yardımcı olur.
- CI/CD Entegrasyonu: Sürekli entegrasyon ve sürekli dağıtım (CI/CD) araçlarıyla entegre çalışarak, uygulama geliştirme sürecinin güvenli olmasını sağlar.
- API Desteği: REST ve GraphQL gibi API’lerdeki açıkları tespit ederek güvenliği artırır.
- Güvenlik Açığı Takibi: Bulunan açıkları izleyerek güvenlik olaylarının yönetimini kolaylaştırır.
Bu özellikler sayesinde Probely, güvenlik açıklarını hızlı bir şekilde tespit ederek olay yönetim süreçlerini optimize edebilir. Özellikle sürekli izleme ve düzenli raporlama sayesinde, şüpheli güvenlik olaylarının önceden tespiti ve müdahalesi sağlanabilir.
Daha fazla bilgi için Probely hakkında detaylı bilgiye buradan ulaşabilirsiniz.
Bilgi Güvenliği Olay Yönetiminin Önemi
İş Sürekliliğinin Sağlanması: Bilgi güvenliği olayları, iş süreçlerini aksatabilir ve ciddi maddi kayıplara yol açabilir. Etkin olay yönetimi, bu tür kesintilerin minimize edilmesini sağlar.
Veri İhlallerinin Önlenmesi: Erken tespit edilen olaylar, veri ihlallerinin önlenmesinde kritik rol oynar. Hızlı müdahale, bilgilerin yetkisiz kişiler tarafından ele geçirilmesini engeller.
Yasal Uyumluluk: GDPR, KVKK gibi veri gizliliği düzenlemeleri, bilgi güvenliği olaylarının belirli bir sürede raporlanmasını zorunlu kılar. Etkili bir olay yönetimi süreci, yasal düzenlemelere uyumu sağlar.
Reputasyonun Korunması: Bilgi güvenliği olayları, organizasyonun itibarına zarar verebilir. Olay yönetimi süreçleri, bu zararın minimize edilmesini sağlar ve organizasyonun müşterilerine karşı güvenilirliğini korur.
ISO 27001 dışında, bilgi yönetimi ve bilgi güvenliği alanında diğer önemli ISO standartları ve sertifikalar da mevcuttur.
ISO/IEC 27002: Bilgi Güvenliği Kontrolleri Uygulama Prensipleri
ISO 27002, ISO 27001’in bir tamamlayıcısıdır. Bilgi güvenliği için en iyi uygulama rehberi sunar ve organizasyonların uygulayabileceği güvenlik kontrolleri hakkında detaylı bilgiler sağlar. Bu kontroller, bilgi güvenliği yönetim sistemini desteklemek amacıyla riskleri yönetmeye yönelik pratik çözümler sunar. Amacı, bilgi güvenliği kontrolleri ve süreçlerinin nasıl uygulanacağı konusunda organizasyonlara rehberlik eder.
ISO/IEC 27005: Bilgi Güvenliği Risk Yönetimi
ISO 27005, özellikle bilgi güvenliği risk yönetimine odaklanır. Risk yönetimi sürecinin nasıl yapılandırılacağını, bilgi güvenliği risklerinin nasıl analiz edileceğini ve yönetileceğini ele alır. Amacı, organizasyonların bilgi güvenliği risklerini etkin bir şekilde yönetmelerine yardımcı olmak.
ISO/IEC 27701: Gizlilik Bilgi Yönetim Sistemi (PIMS)
ISO 27701, ISO 27001 ve ISO 27002 ile uyumlu bir şekilde gizlilik yönetimi için özel bir sertifikadır. GDPR (Genel Veri Koruma Tüzüğü) gibi düzenlemelere uyum sağlamak isteyen kuruluşlar için tasarlanmıştır. Amacı, organizasyonların kişisel verileri yönetme ve koruma süreçlerini standardize etmelerine yardımcı olmak.
ISO/IEC 27017: Bulut Güvenliği İçin Bilgi Güvenliği Yönetim Sistemi
ISO 27017, bulut hizmetleri için bilgi güvenliği kontrollerini belirleyen bir standarttır. Hem bulut hizmet sağlayıcıları hem de kullanıcıları için en iyi uygulama rehberliği sağlar. Amacı, bulut ortamında bilgi güvenliğini sağlamak için ek kontroller ve rehberlik sunmak.
ISO/IEC 27018: Bulut Tabanlı Kişisel Veri Koruma (PII)
ISO 27018, bulut ortamında kişisel verilerin korunmasına odaklanan bir standarttır. Bulut hizmet sağlayıcılarının kişisel veri yönetimi ve korunmasına yönelik en iyi uygulama rehberlerini içerir. Amacı, bulut tabanlı kişisel veri işleyen kuruluşlara yasal ve düzenleyici uyumluluk için rehberlik etmek.
ISO/IEC 22301: İş Sürekliliği Yönetim Sistemi
ISO 22301, bilgi güvenliği yönetimi ile ilgili olarak iş sürekliliği yönetimi için uluslararası bir standarttır. Kesintilere karşı iş sürekliliğini korumaya yönelik planlama ve uygulama süreçlerini kapsar. Amacı, işletmelerin beklenmedik olaylar karşısında operasyonel sürekliliği sağlamalarına yardımcı olmak.
ISO/IEC 27019: Enerji Sektöründe Bilgi Güvenliği Kontrolleri
ISO 27019, enerji sektörü için geliştirilmiş bir bilgi güvenliği standardıdır. Enerji üretimi, iletimi ve dağıtımı alanındaki bilgi güvenliği yönetimi için en iyi uygulamaları sağlar. Amacı, enerji sektöründeki kuruluşların bilgi güvenliği yönetim sistemlerini geliştirmelerine yardımcı olmak.
ISO/IEC 20000-1: IT Hizmet Yönetim Sistemi (ITSM)
ISO 20000-1, IT hizmet yönetimi için bir standarttır. IT hizmetlerinin planlanması, sunulması ve sürekli iyileştirilmesi için en iyi uygulamaları içerir. Amacı, IT hizmetlerinin verimli ve etkili bir şekilde yönetilmesini sağlamak ve bu süreçlerde bilgi güvenliği kontrollerini entegre etmek.
ISO/IEC 31000: Risk Yönetimi
ISO 31000, organizasyonlar için genel bir risk yönetimi çerçevesi sunar. Bilgi güvenliği riskleri de dahil olmak üzere çeşitli risk türlerinin nasıl yönetileceğini ele alır. Amacı, organizasyonların risk yönetim süreçlerini standardize ederek bilgi güvenliğini artırmalarına yardımcı olmak.
ISO 9001: Kalite Yönetim Sistemi
ISO 9001, kalite yönetimi için uluslararası kabul görmüş bir standarttır. Bilgi güvenliği yönetim sistemi ile entegre edildiğinde, hem bilgi güvenliği hem de kalite yönetimi süreçlerinin iyileştirilmesine katkıda bulunur. Amacı, kalite ve bilgi güvenliği süreçlerini bir arada yönetmek.
GDPR Nedir?
GDPR (General Data Protection Regulation – Genel Veri Koruma Tüzüğü), Avrupa Birliği (AB) tarafından 25 Mayıs 2018’de yürürlüğe konmuş bir veri koruma ve gizlilik yasasıdır. Bu düzenleme, Avrupa Birliği’nde yaşayan bireylerin kişisel verilerinin nasıl toplandığı, saklandığı, işlendiği ve kullanıldığına dair katı kurallar koymaktadır. GDPR, sadece AB üyesi ülkeler için geçerli olmakla kalmayıp, AB vatandaşlarının verilerini işleyen tüm şirketleri kapsar, yani dünya genelindeki şirketler de bu düzenlemeye uymak zorundadır.
GDPR’nin Temel Amaçları
GDPR’nin amacı, bireylerin kişisel verileri üzerindeki kontrolünü artırmak ve bu verilerin güvenliğini sağlamak için şirketlere, kuruluşlara ve devlet kurumlarına belirli sorumluluklar yüklemektir.
İşte GDPR’nin bazı temel amaçları:
- Bireylerin Veri Haklarını Koruma: Kişisel verilerin toplanması ve işlenmesi süreçlerinde bireylerin haklarını güvence altına almak.
- Veri Gizliliğini Sağlama: Bireylerin verilerinin, yalnızca açık bir rıza verildiğinde ya da belirli yasal dayanaklarla işlenmesi gerekliliği.
- Şeffaflık Sağlama: Verileri işleyen kuruluşların, bireylerin verilerinin nasıl ve neden toplandığını, işlendiğini ve saklandığını açıkça belirtme zorunluluğu.
GDPR Kapsamında Kişisel Veri Nedir?
Kişisel veri, doğrudan veya dolaylı olarak bir kişiyi tanımlayan her türlü bilgi olarak kabul edilir. Bu veriler şunları içerebilir:
- İsim,
- E-posta adresi
- Kimlik Numarası,
- IP adresi,
- Coğrafi Konum Bilgisi,
- Tıbbi Kayıtlar,
- Finansal bilgiler.
GDPR’nin Ana Unsurları
Açık Rıza (Consent)
Kişisel verilerin işlenebilmesi için bireylerden açık bir şekilde onay alınmalıdır. Bu rıza, karmaşık bir dil yerine basit, anlaşılır bir şekilde talep edilmelidir. Ayrıca, bireylerin bu onayı geri alma hakkı da vardır.
Veri Sahibi Hakları
GDPR, bireylere çeşitli haklar tanır, bunlar arasında:
- Erişim Hakkı (Right of Access): Bireyler, hangi kişisel verilerinin işlendiğini öğrenme hakkına sahiptir.
- Veri Silme Hakkı (Right to be Forgotten): Bireyler, verilerinin silinmesini talep edebilirler.
- Düzeltme Hakkı (Right to Rectification): Bireyler, yanlış veya eksik bilgilerin düzeltilmesini talep edebilirler.
- Veri Taşınabilirliği Hakkı (Data Portability): Bireyler, verilerini başka bir hizmet sağlayıcıya aktarma hakkına sahiptir.
Veri Koruma Görevlisi (DPO – Data Protection Officer)
GDPR, belirli organizasyonların (örneğin, geniş ölçekte veri işleyen kamu kuruluşları veya büyük ölçekli veri toplama yapan şirketler) bir veri koruma görevlisi atamasını gerektirir. DPO, şirketin GDPR uyumluluğunu sağlamakla yükümlüdür.
Veri İhlallerinin Raporlanması
Kişisel verilerin ihlali durumunda (örneğin, veri hırsızlığı, veri sızdırılması), şirketlerin 72 saat içinde ilgili düzenleyici kuruma rapor vermesi gerekmektedir. Bu ihlal, bireylerin haklarını ve özgürlüklerini tehdit ediyorsa, bireyler de bilgilendirilmelidir.
Veri Koruma Etki Değerlendirmesi (Data Protection Impact Assessment – DPIA)
GDPR, yüksek risk taşıyan veri işleme faaliyetleri için veri koruma etki değerlendirmesi yapılmasını zorunlu kılar. Bu, veri işleme faaliyetlerinin potansiyel etkilerini değerlendirir ve olası riskleri azaltma yollarını belirler.
Cezalar
GDPR’ye uyum sağlamayan kuruluşlara ağır cezalar verilir. Bu cezalar, yıllık cironun %4’üne veya 20 milyon Euro’ya kadar çıkabilir (hangisi daha yüksekse).
GDPR’nin Şirketler Üzerindeki Etkisi
GDPR, dünya genelinde veri toplama ve işleme süreçlerini köklü bir şekilde etkilemiştir. Şirketlerin GDPR’ye uymak için yapması gereken başlıca adımlar şunlardır:
- Veri Haritası Çıkartmak: Şirketler, hangi verileri topladıklarını, bu verilerin nerede saklandığını ve kimlerle paylaşıldığını tespit etmelidir.
- Veri İşleme Süreçlerini İncelemek: Verilerin hangi amaçla toplandığı ve bu süreçlerin GDPR ile uyumlu olup olmadığını değerlendirmek.
- Veri Güvenliği Yatırımları: Verilerin güvenliğini sağlamak için teknik ve organizasyonel önlemler alınmalıdır (örn., şifreleme, erişim kontrolleri, güvenlik testleri).
- Çalışan Eğitimi: Şirket çalışanlarına GDPR hakkında eğitim verilerek, veri toplama ve işleme süreçlerinde şeffaflık ve güvenliğin sağlanması teşvik edilmelidir.
GDPR’nin Küresel Etkisi
GDPR, yalnızca Avrupa Birliği içinde değil, küresel ölçekte veri güvenliği ve gizliliği konusunda bir mihenk taşı haline gelmiştir. AB vatandaşı olmayan birçok bireyin de bu düzenlemelerden faydalandığı, özellikle büyük uluslararası şirketlerin veri işleme süreçlerini değiştirdiği gözlemlenmektedir. ABD, Kanada, Brezilya, Hindistan gibi ülkeler de kendi veri koruma düzenlemelerini GDPR’ye benzer şekilde güncellemektedir. Bu çerçevede Türkiye’yi değerlendirmek gerekirse;
Türkiye, GDPR’ye (Genel Veri Koruma Tüzüğü) doğrudan dahil değildir çünkü GDPR, Avrupa Birliği (AB) üyesi ülkelerde geçerli olan bir veri koruma düzenlemesidir. Ancak Türkiye, kişisel verilerin korunması konusunda benzer bir düzenlemeye sahiptir: 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK). KVKK, GDPR’ye oldukça benzer hükümler içeren Türkiye’deki kişisel veri koruma yasasıdır ve Türkiye sınırları içerisinde veri işleyen kişi ve kuruluşların uyması gereken kuralları belirler.
Her ne kadar Türkiye GDPR’ye dahil olmasa da, Türkiye’de faaliyet gösteren şirketler, AB vatandaşlarına ait verileri işlediklerinde veya AB ile ticari ilişkilerinde GDPR hükümlerine uymak zorundadır. Bu durum özellikle uluslararası ticaret yapan şirketler için önemlidir. Eğer bir Türk şirketi AB vatandaşı birinin kişisel verilerini topluyor ya da işliyorsa, bu şirket GDPR ile uyumlu olmak zorundadır.
Sonuç olarak, Türkiye GDPR’ye dahil değildir, ancak GDPR’ye benzer düzenlemeler içeren KVKK yürürlüktedir ve AB vatandaşlarının verilerini işleyen Türk şirketleri GDPR’ye uyum sağlamak zorundadır.
BGYS
BGYS (Bilgi Güvenliği Yönetim Sistemi), bir organizasyonun bilgi varlıklarını güvence altına almak için geliştirdiği, uluslararası standartlara dayalı bir yönetim sistemidir. BGYS’nin amacı, bilgi güvenliğine yönelik tehditleri ve riskleri yönetmek, bilgi varlıklarını korumak ve iş sürekliliğini sağlamaktır. Bu sistem, bilgi güvenliğinin yönetilmesi, izlenmesi, gözden geçirilmesi ve sürekli iyileştirilmesi için gerekli politikalar, süreçler ve kontroller bütünüdür.
BGYS’nin İşleyişi
Bilgi Güvenliği Yönetim Sistemi, ISO 27001 standardına dayalı olarak yapılandırılır ve aşağıdaki süreçleri içerir:
- Risk Yönetimi: BGYS’nin temeli, organizasyonun bilgi varlıklarına yönelik tehditleri ve riskleri değerlendirmek ve bu risklere uygun güvenlik kontrolleri uygulamaktır.
- Politikalar ve Prosedürler: BGYS, organizasyon genelinde bilgi güvenliğini sağlamak için belirli politikalar ve prosedürler oluşturur. Bu politikalar, bilgi güvenliği hedeflerine ulaşmada yol gösterici olur.
- Eğitim ve Farkındalık: Çalışanların bilgi güvenliği konularında farkındalığını artırmak, BGYS’nin başarısı için kritiktir. Çalışanlar, bilgi güvenliği politikaları ve en iyi uygulamalar konusunda düzenli olarak eğitilmelidir.
- Sürekli İzleme ve Gözden Geçirme: BGYS, bilgi güvenliği süreçlerini sürekli izler ve denetler. Bu denetimler sonucunda eksiklikler belirlenir ve gerekli iyileştirme faaliyetleri yapılır.
- Uyumluluk: BGYS, yasal ve düzenleyici gereksinimlere uyumu sağlamak için gerekli süreçleri içerir. ISO 27001 gibi uluslararası standartlara uygunluk, BGYS’nin yapılandırılmasında önemlidir.
BGYS ve ISO 27001
BGYS genellikle ISO/IEC 27001 standardına dayanarak uygulanır. ISO 27001, bilgi güvenliği yönetim sisteminin kurulması, işletilmesi, izlenmesi ve sürekli iyileştirilmesi için bir çerçeve sağlar. ISO 27001’e göre, BGYS şu süreçleri kapsar:
- Bilgi güvenliği risk değerlendirmesi
- Risklere karşı güvenlik önlemlerinin uygulanması
- Bilgi güvenliği hedeflerinin belirlenmesi ve takip edilmesi
- Düzenli iç denetimlerle uyumun kontrol edilmesi
PDCA (Plan-Do-Check-Act)
PDCA (Plan-Do-Check-Act), sürekli iyileştirme döngüsü olarak bilinen bir yönetim metodolojisidir ve hem iş süreçlerinde hem de kalite yönetim sistemlerinde yaygın olarak kullanılır. PDCA döngüsü, süreçlerin planlanması, uygulanması, gözden geçirilmesi ve iyileştirilmesi için bir çerçeve sunar. Bu metodoloji, ISO 27001 gibi bilgi güvenliği yönetim sistemlerinde de uygulanır ve organizasyonların bilgi güvenliği yönetim süreçlerini sürekli geliştirmesine yardımcı olur.
PDCA Döngüsünün Aşamaları
Plan (Planla)
Bu aşamada, bir iyileştirme veya çözüm planı oluşturulur. Hedefler belirlenir, mevcut süreçler analiz edilir ve iyileştirme fırsatları tespit edilir. Ayrıca, risk değerlendirmesi yapılır ve gerekli güvenlik kontrolleri planlanır.
Do (Uygula)
Planlanan adımlar bu aşamada uygulanır. Güvenlik politikaları hayata geçirilir, risk yönetimi uygulamaları ve güvenlik kontrolleri devreye alınır.
Check (Kontrol Et)
Bu aşamada, uygulamaların etkinliği değerlendirilir ve gözden geçirilir. Uygulanan adımların sonuçları izlenir, toplanan veriler analiz edilir ve performans değerlendirilir. Amaç, belirlenen hedeflere ne kadar ulaşıldığını kontrol etmektir.
Act (Önlem Al)
Değerlendirme sonuçlarına göre iyileştirme adımları atılır. Eğer hedeflenen sonuçlara ulaşılamadıysa, süreçlerde değişiklikler yapılır. Başarılı süreçler genişletilerek kurumsal hale getirilir, başarısız olanlar iyileştirilir veya yeniden düzenlenir.
PDCA’nın Bilgi Güvenliği Yönetim Sistemine (BGYS) Katkısı
PDCA döngüsü, ISO 27001 gibi bilgi güvenliği yönetim sistemlerinde uygulanarak bilgi güvenliği süreçlerinin sürekli iyileştirilmesini sağlar. İşte PDCA’nın BGYS’ye sağladığı katkılar:
- Sürekli İyileştirme: PDCA döngüsü, bilgi güvenliği süreçlerinin düzenli olarak gözden geçirilmesi ve iyileştirilmesine olanak tanır. Bu, bilgi güvenliği tehditlerine karşı proaktif önlemler alınmasına yardımcı olur.
- Risk Yönetimi: Risk değerlendirme ve yönetim süreçlerinin sürekli iyileştirilmesi, organizasyonun bilgi varlıklarını tehditlere karşı koruma kapasitesini artırır.
- Yasal Uyumluluk: PDCA, organizasyonun GDPR, KVKK gibi veri güvenliği düzenlemelerine sürekli uyumlu kalmasına yardımcı olur.
- Verimlilik Artışı: Bilgi güvenliği süreçlerinin düzenli olarak kontrol edilmesi ve iyileştirilmesi, kaynak kullanımını optimize eder ve güvenlik açıklarının azaltılmasını sağlar.
KAYNAKLAR
International Organization for Standardization. (n.d.). ISO/IEC 27001 – Information security management. ISO. https://www.iso.org/isoiec-27001-information-security.html
Calder, A. (2013). ISO27001/ISO27002: A pocket guide (2nd ed.). IT Governance Publishing.
BSI Group. (n.d.). ISO/IEC 27001 Information security. BSI Group. https://www.bsigroup.com/en-GB/iso-27001-information-security/
Humphreys, E. (2013). ISO/IEC 27001:2013 explained. IT Governance Publishing.
European Union Law. (2016). Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation). Official Journal of the European Union. https://eur-lex.europa.eu/eli/reg/2016/679/oj
European Data Protection Board. (n.d.). European Data Protection Board. https://edpb.europa.eu/
Wright, D., & De Hert, P. (2018). The GDPR handbook: How to prepare for and implement the General Data Protection Regulation. Routledge.
International Organization for Standardization. (n.d.). ISO 9001 – Quality management. ISO. https://www.iso.org/iso-9001-quality-management.html
Deming, W. E. (1986). Out of the crisis. MIT Press.
Lean Enterprise Institute. (n.d.). Lean management journal. Lean Enterprise Institute. https://www.lean.org/
Kişisel Verileri Koruma Kurumu. (n.d.). Kişisel Verileri Koruma Kurumu. https://kvkk.gov.tr/
Adalet Bakanlığı. (n.d.). Adalet Bakanlığı KVKK rehberi. https://www.adalet.gov.tr/
Dülger, M. V. (2020). GDPR ve KVKK: Uyum süreçleri ve karşılaştırmalı inceleme. Adalet Yayınevi.
International Organization for Standardization. (n.d.). Standards. ISO. https://www.iso.org/standards.html
BSI Group. (n.d.). Certification services. BSI Group. https://www.bsigroup.com/en-GB/our-services/certification/
Dentch, M. P. (2016). The ISO 9001:2015 handbook: A practical guide to implementation. Quality Press.
Comments are closed