Bilgi Güvenliği Yönetim Sistemi (BGYS) Dokümanları

0
962
views
Kurumsal ortamda işlerin yürüyebilmesi için yönetim sisteminin kurulması gereklidir. Bilgi güvenliği tarafında da BGYS‘nin (Bilgi Güvenliği Yönetim Sistemi) işletilmesi için bir takım dokümanlara ihtiyaç vardır. Bu yazıda BGYS için zorunlu (mandatory) ve isteğe bağlı (discretionary) dokümanlar incelenecektir.

BGYS kurulumunda farklı çerçeve standartlardan yararlanılabilir. ISO/IEC 27001, NIST 800-53, CIS 20 gibi farklı Bilgi Güvenliği Yönetim Standartları mevcuttur. Kuruma uygun, ihtiyaçlar doğrultusunda herhangi bir çerçeve standardı seçerek uygulanabilir.

  • NIST(National Institute of Standards and Technology) Special Publication 800-53, Revision 5: ABD Federal Kurumların ve kuruluşlarında uygulanmak üzere tasarlanmıştır.
  • The 20 CIS (Center for Internet Security) Controls: SANS tarafından geliştirilmiştir. Güvenli donanım ve yazılım yapılandırmaları, kötü amaçlı yazılım savunmaları, veri kurtarma, hesap izleme ve kontrol, olay yanıtı ve yönetimi, sızma (penetrasyon) testleri ve kırmızı takım çalışmaları (Red Teaming) gibi toplam 20 kontrol alanı vardır.
  • ISO/IEC 27001: Daha az teknik, daha çok risk yönetimine dayalı bir yaklaşımdır. Kurum ya da kuruluşun büyüklüğünden bağımsız olarak her ölçekte Kurum/kuruluş a uygulanabilir.

ISO 27001 BGYS için uygulama süreç tablosu aşağıdaki dokümanda yer almaktadır.

 

Bilgi güvenliği tarafında da BGYS’nin (Bilgi Güvenliği Yönetim Sistemi) işletilmesi için bir takım dokümanlara ihtiyaç vardır. Örnek vermek gerekirse ISO/IEC 27001 aşağıdaki dokümantasyonların yazılı olarak tutulmasını beklemektedir.

Madde Gereklilik
4.3 Bilgi güvenliği yönetim sisteminin kapsamının belirlenmesi Kuruluş, kapsamı oluşturabilmek için, bilgi güvenliği yönetim sisteminin sınırlarını ve uygulanabilirliğini belirlemelidir. Kapsam, dokümante edilmiş bilgi olarak mevcut olmalıdır.
5.2 Politika Bilgi güvenliği politikası;
e) Yazılı doküman olarak mevcut olmalı,
f)Kuruluş içinde duyurulmalı,
g)Uygun olan ilgili taraflarca erişilebilir olmalıdır.
6.1.2. Bilgi güvenliği risk değerlendirmesi Kuruluş, bilgi güvenliği risk değerlendirme süreci ile ilgili olarak dokümante edilmiş bilgileri muhafaza etmelidir.
6.1.3. Bilgi güvenliği risk işleme Kuruluş, bilgi güvenliği risk işleme süreci ile ilgili olarak dokümante edilmiş bilgileri muhafaza etmelidir.
6.2 Bilgi güvenliği amaçları ve bu amaçları başarmak için planlama Kuruluş, bilgi güvenliği amaçları ile ilgili dokümante edilmiş bilgileri muhafaza etmelidir.
7.2 Yeterlilik d) Kuruluş, yeterliliğin delili olarak uygun dokümante edilmiş bilgileri muhafaza etmelidir.
7.5 Yazılı Bilgiler Kuruluşun bilgi güvenliği yönetim sistemi aşağıdakileri içermelidir;
a) Bu standardın gerektirdiği yazılı bilgiler ve
b) Kuruluş tarafından bilgi güvenliği yönetim sisteminin etkinliği için gerekli olduğu belirlenen yazılı bilgiler.
7.5.3 Yazılı bilgilerin kontrolü Kuruluş tarafından BGYS’nin planlanması ve işletimi için gerekli olduğu belirlenen dış kaynaklı yazılı bilgiler, uygun şekilde tespit edilmeli ve kontrol edilmelidir.
8.1 İşletimsel planlama ve kontrol Kuruluş, süreçlerin planlandığı gibi yürütüldüğünden emin olduğu noktaya kadar dokümante edilmiş bilgileri saklamalıdır.
8.2 Bilgi güvenliği risk değerlendirme Kuruluş, bilgi güvenliği risk değerlendirmesinin sonuçlarına dair yazılı bilgileri muhafaza etmelidir.
8.3 Bilgi güvenliği risk işleme Kuruluş, bilgi güvenliği risk işleme sonuçlarına ait yazılı bilgileri muhafaza etmelidir.
9.1 İzleme, ölçme, analiz ve değerlendirme Kuruluş, izleme ve ölçme sonuçlarına dair delil olarak uygun yazılı bilgileri muhafaza etmelidir.
9.2 İç tetkik g) Tetkik programı/programları ve tetkik sonuçlarının delil teşkil eden yazılı bilgileri muhafaza edilmelidir.
9.3 Yönetimin gözden geçirmesi Kuruluş, yönetimin gözden geçirmesinin sonuçlarının delili olarak yazılı bilgileri muhafaza etmelidir.
10.1 Uygunsuzluk ve düzeltici faaliyet Kuruluş aşağıdakilerin delili olarak yazılı bilgileri muhafaza etmelidir:
f) Uygunsuzlukların doğası ve gerçekleştirilen müteakip eylemler ve
g)Herhangi bir düzeltici faaliyetin sonuçları.

 

Bu yazının devamında ise BGYS için zorunlu (mandatory) ve isteğe bağlı (discretionary) dokümanlar incelenecektir.

 

1) Güvenlik Politikaları

Genel bilgileri içeren uzun süreli kurallar listesidir. Üst yönetim tarafından onaylanır. Bu dokümanlar teknoloji ve ürün bağımsız olmalıdır.

Bu dokümanlar en üst seviye dokümanlardır ve bulunması BGYS için zorunludur.

Güvenlik Politikaları’nın temel özellikleri aşağıdaki gibidir:

  • Güvenlik programlarında Top-Down yaklaşımı benimsenirse ve üst yönetim desteği olursa, güvenlik politikası çalışanlar tarafından daha kabul görür ve uygulanırlığı artar.
  • Güvenlik politikaları açık olmalıdır.
  • Roller ve sorumluluklar tanımlanmış olmalıdır. Örneğin Olay Yönetim Politikası’nda bir ihlal durumunda hangi ekibin hangi görevi yapacağı belirtilmiş olmalıdır.
  • En az aşağıdaki başlıkları içermelidir.
    • Amaç
    • Kapsam
    • Sorumluluklar
    • Uyum (Politikaların etkinliğini ölçme, ihlal durumundaki yaptırımlar gibi)

 

Güvenlik politikaları sıkılığına/kısıtına göre 4’e ayrılır:

  • Seçici Olmayan (Promiscuous): Kısıt yoktur.
  • İsteğe Bağlı (Permissive): Sadece zafiyetli/tehlikeli durumlar kısıtlıdır.
  • Tedbirli (Prudent): Her şey loglanır, gerektiği kadar erişim verilir.
  • Paranoyak(Paranoid): İnternet erişimi, uygulama çalıştırabilme dahil olmak üzere, neredeyse her şey kısıtlıdır.

 

Temel güvenlik politikaları aşağıdaki gibidir:

  • Bilgi Güvenliği Politikası (Information Security Policy – ISP): Kurum kullanıcılarının kısıtlarını; kaynaklarının/sistemlerinin kullanımını belirtir. Kabul Edilebilir Kullanım Politikası (Acceptable Use Policy) olarak da adlandırılır. Çalışanlar bunu imzalayarak yaptıkları işlemlerin izlendiğini ve kötü niyetli işlemlerden sorumlu tutulacağını kabul eder.
  • Bilgi Koruma Politikası (Information Protection Policy): Bilgilerin kritiklik seviyelerini, bu bilgilere erişimleri, verilerin depolanması/iletimi/imhası gibi konuları belirtir.
  • Bilgi Denetimi Politikası (Information Audit Policy): Kurumdaki güvenlik denetimi kurallarını belirtir. Denetimlerin zamanını, yerini, nasıl olacağını, sıklığını, gerçekleştirecek tarafları,… belirtilir.
  • Örnek Politikalar: Kabul edilebilir kullanım politikası, Hesap / Parola politikası, Uzaktan erişim politikası (Kurum ağında izinsiz modem kullanımının yasaklanması), güvenlik duvarı yönetimi politikası, mail sunucusu yönetim politikası… politikaları.

Örneğin TS ISO/IEC 27002’ye göre Bilgi Güvenliği politikasının aşağıda yer alan diğer dokümanlarla desteklenmesi gerekmektedir;

  • Erişim kontrolü
  • Bilgi sınıflandırma (ve işleme)
  • Fiziksel ve çevresel güvenlik
  • Son kullanıcı odaklı konular
    • Varlıkların kabul edilebilir kullanımı
    • Temiz masa ve temiz ekran
    • Bilgi transferi
    • Mobil cihazlar ve uzaktan çalışma
    • Yazılım kurulumu ve kullanımı ile ilgili kısıtlamalar
  • Yedekleme
  • Bilgi transferi
  • Kötücül yazılımlardan koruma
  • Teknik açıklıkların yönetimi
  • Kriptografik kontroller
  • Haberleşme güvenliği
  • Kişi tespit bilgisinin mahremiyeti ve korunması
  • Tedarikçi ilişkileri

 

2) Standartlar (Standards)

Güvenlik politikalarının uygulanmasını destekleyecek zorunlu kuralların ve işlemlerin tanımlandığı kurallar bütünüdür. Üst yönetim tarafından onaylanır.

Bu dokümanın bulunması BGYS için zorunludur.

Bu dokümanlarda, kurum içinde kullanılan yazılımların veya donanımların nasıl kullanılacağına yönelik temel kurallar belirtilebilir. Böylece kurumdaki sistemler arasında tutarlılık sağlanır.

Güvenlik standartları, ülkedeki mevzuatlara ve uluslararası standartlara uyum için de fayda sağlar.

Örneğin; “Parolalar en az 8 karakter olmalı, alfa-numerik karaterlerden oluşmalı, 42 günde bir değişmelidir” gibi bir standart kuralı ile Parola Politikasının uygulanması için gereklilikler belirtilmiş olur. Benzer olarak “Kurumsal Windows istemcilerin disk şifrelemesi için Bitlocker kullanılır”, “Kurumsal bilgisayarlarda antivirüs kurulu ve güncel olmalıdır”,… ifadeleri de standartlar içerisinde yer alır.

 

3) Baseline

Güvenlik standartlarının uygulanması için hazırlanan en az (minimum) güvenlik gereksinimleri (eşik değeri – threshold) listesidir.

Bu dokümanın bulunması BGYS için zorunlu değildir.

Sıkılaştırma dokümanları (CIS Security Benchmark, Windows Benchmark) bu kategoride yer alır.

 

4) Kılavuz (Guideline)

Güvenlik standartlarının nasıl uygulanacağına dair önerileri ve alınması tavsiye edilen aksiyonları belirten dokümanlardır. Kullanıcılara, IT çalışanlarına, ve ilgili muhattaplara öneriler sunulur. Bu dokümanlar işlemleri kolaylaştırmak için hazırlanmıştır ve anlaşılması kolaydır.

Bu dokümanın bulunması BGYS için zorunlu değildir.

“Yama yönetimi için manuel değil otomatik yöntemler kullanılabilir”, “Tanımadığınız kişiden gelen emaillerdeki ekleri açmayınız”,… gibi bir öneri sunulabilir.

 

5) Prosedürler (Security Procedures)

Amaca/hedefe yönelik gerçekleştirilmesi gereken detaylandırılmış (ekran görüntülü, ürün/uygulama markası belirtilebilen), adım adım tanımlanmış kurallardır.

Bu dokümanın bulunması BGYS için zorunludur.

Personellerin uymak zorunda olduğu bütün detaylı aksiyonlar bu dokümanda tanımlanır. Bu dokümanlarda 6 soruya (5N + 1K) cevap aranır:

  • Ne gerçekleştirilecek?
  • Neden gerçekleştirilecek?
  • Nerede gerçekleştirilecek?
  • Nasıl gerçekleştirilecek?
  • Ne zaman gerçekleştirilecek?
  • Kim gerçekleştirecek?

Bir çalışanın iş yerine kişisel bilgisayarını getirememesi, parolanın nasıl sıfırlanacağı, ekip değişikliğinde yapılması gerekenler, antivirüs kurulumu ve yapılandırması… gibi konular bu dokümanlarda belirtilir.
Sorumluluklar belirtilir.

 

6) Genel Notlar

  • Bu dokümanları veya yapılandırma ayarları periyodik olarak gözden geçirilmeli, güncellenmelidir. (Minimum her yıl ve gerekli olduğu durumlarda)
  • (Özellikle) Politika ve standartlar tüm personelin erişebileceği bir alana (portal, dosya paylaşım alanı gibi) konulur ve (özellikle) yeni başlayan personelin kurum kurallarını daha hızlı öğrenmesi için yardımcı olur.
  • Hazırlanan dokümanların bir kısmı üst yönetim tarafından onaylanır. Üst yönetim ifadesi, kurumun üst yönetimi olabileceği gibi bu işle görevlendirilmiş bir komite de olabilir.

 

Kaynaklar:

TS ISO/IEC 27002 Standardı

Learn Different Types of Policies and Procedures in CISSP


http://umut-simsek.blogspot.com/2012/07/politikaproseduryonergetalimat-nass.html
https://www.complianceforge.com/word-crimes/policy-vs-standard-vs-control-vs-procedure
http://examples.complianceforge.com/ComplianceForge%20Hierarchical%20Cybersecurity%20Governance%20Framework.pdf

Build From the Ground Up: Differentiating Between Policies, Standards, Procedures, and Guidelines


https://www.tylercybersecurity.com/blog/elements-of-an-information-security-policy-hierarchy
https://flylib.com/books/en/2.930.1.63/1/

https://www.pearsonitcertification.com/articles/article.aspx?p=418007&seqNum=5
https://books.google.com.tr/books?id=mFhVDwAAQBAJ&pg=PA28&lpg=PA28&dq=%22policy%22+%22standard%22+%22procedure%22+%22guideline%22+%22baseline%22+%22CISSP%22&source=bl&ots=mDWOjFxohv&sig=ACfU3U0dq8Ohh21tktldCpW5wuhXzwO-gA&hl=tr&sa=X&ved=2ahUKEwjf2NvvhtnpAhVVhlwKHVI9CjoQ6AEwGHoECAgQAQ#v=onepage&q=%22policy%22%20%22standard%22%20%22procedure%22%20%22guideline%22%20%22baseline%22%20%22CISSP%22&f=false
https://books.google.com.tr/books?id=2UzODAAAQBAJ&pg=PT154&lpg=PT154&dq=%22policy%22+%22standard%22+%22procedure%22+%22guideline%22+%22baseline%22+%22CISSP%22&source=bl&ots=Sf6121so1p&sig=ACfU3U1OxXbfl0bRAqy8BzRrQLZ6Es8mXQ&hl=tr&sa=X&ved=2ahUKEwjf2NvvhtnpAhVVhlwKHVI9CjoQ6AEwF3oECAcQAQ#v=onepage&q=%22policy%22%20%22standard%22%20%22procedure%22%20%22guideline%22%20%22baseline%22%20%22CISSP%22&f=false
https://books.google.com.tr/books?id=xSvdCQAAQBAJ&pg=PA27&lpg=PA27&dq=%22policy%22+%22standard%22+%22procedure%22+%22guideline%22+%22baseline%22+%22CISSP%22&source=bl&ots=ZAPAQkdaLd&sig=ACfU3U1Rg_qGzF4osjCZmeZ0U6MbJpQQhQ&hl=tr&sa=X&ved=2ahUKEwjf2NvvhtnpAhVVhlwKHVI9CjoQ6AEwGnoECAwQAQ#v=onepage&q=%22policy%22%20%22standard%22%20%22procedure%22%20%22guideline%22%20%22baseline%22%20%22CISSP%22&f=false
https://www.hitachi-systems-security.com/blog/nist-cissans-20-iso-27001-simplifying-security-control-assessments/

CEVAP VER

Yorumunuzu giriniz
İsminizi giriniz

This site uses Akismet to reduce spam. Learn how your comment data is processed.