TS ISO/IEC 27001 UYUMLU BİLGİ GÜVENLİĞİ YÖNETİM SİSTEM DANIŞMANLIĞI

ISO/IEC 27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ Nedir ?

Ocak 2018

ISO 27001 BGYS, Organizasyonun hassas bilgilerini yönetebilmek amacıyla benimsenen hassas bir yaklaşımdır. Bu sistemde temel amaç hassas bilgilerin güvenliğini sağlamak olup, bu sistem çalışanları, bilgi ve bilgi işleme varlıklarını ve iş süreçlerini kapsar.

Bir organizasyonda bilgi güvenliği sistemi kurmak ve bunun devamlılığını sağlamak için yol gösterici ve en yaygın kullanılan uluslararası standart “ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemleri İçin Gereksinimler” standardıdır. Bu standart, organizasyon içerisinde bilgi güvenliği yönetimini başlatmak, gerçekleştirmek, sürdürmek ve iyileştirmek için genel prensipleri ve yönlendirici bilgileri ortaya koyar.

ISO 27001 ve uygulanacak kontrol önlemleri için rehber standart ISO 27002 teknik standartlar olmayıp, süreç ve sistem kurma ile ilgili yol göstericidirler. Organizasyonların kendi sektörüne özel güvenlik önlemleri için yöntem belirleme ve uygulama konusunda uluslararası, harmonize sektör standartlarına (ISO IEC TR 27019, NIST SP 800, IEC/TS 62443 vs. seri standartları gibi) başvurulur.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi standardı kapsamında; BGYS’nin kurulumu, işletilmesi, izlenmesi, gözden geçirilmesi, sürdürülmesi ve tekrar gözden geçirilmesi için PUKÖ (Planla – Uygula – Kontrol et – Önlem al) modeli uygulanır.

BGYS Süreçlerine Uygulanan PUKÖ Modeli

AMAÇ VE FAYDA:

Sahip olunan bilgi, veri, bilgi sistemleri (donanımsal ve yazılımsal) güvenliğinin etkinliğini sağlamak için bir takım politika, prosedür, talimat, raporlama sistemi, analiz etme sistemleri gibi araç ve tekniklere ihtiyaç vardır. İşte bu sebeple global bilgi güvenliği standardı olan ISO/IEC 27001 çerçevesinde, belgelendirme öncesi standardın öngördüğü birtakım çalışmaların kuruluşunuzda gerçekleştirilmesi gerekmektedir. Bu ihtiyaçtan yola çıkarak; Siber Güvenlik ekibimizin yaptığı testlerden tespit ettiği; önemli bilgilerinizin ve bilgi sistemlerinizin güvenliğini tehlikeye atabilecek tehdit ve açıklıkların sonrası, Süreç uzmanlarımız tarafından ISO/IEC 27001 standardı direktiflerinize uygun politika, prosedür vs. dokümantasyon ile varlık envanteri ve risk analizi gibi çalışmaları gerçekleştirip, PUKÖ döngüsünü kullanarak uygulayacağı metodoloji ile kurumunuz belgelendirme denetimine hazır hale getirilir.

ISO 27001 BGYS Kurulum Sürecinde Kuruluşta Şu Adımlar Gerçekleştirilir:

•Ön hazırlık, saha incelemesi, organizasyonel yapı ve varsa mevcut dokümantasyon yapısı incelenir, çalışma süreçleri belirlenir.
•Organizasyonun ISO 27001 BGYS kurulumu için hangi aşamada olduğunun durum tespiti yapılır.
•Çalışma Ekibi oluşturulur, rol ve sorumluluklar belirlenir.
•ISO 27001 Sistem kurulumu ve devamlılığı için gerekli eğitimler verilir (ISO 27001 Temel, Dokümantasyon, İç Denetçilik, Risk Analizi, bilgi Güvenliği Farkındalık Eğitimleri).
•Çalışma Metodolojileri belirlenir, Politika, Prosedür, Talimat vs. dokümanlar hazırlanır.
•Organizasyonun yetkili personeli nezaretinde Varlık Envanteri çalışması gerçekleştirilir. Bu varlıklar: Bilgi Varlıkları, Fiziksel Varlıklar, Yazılım Varlıkları, Hizmete Dönük Varlıklar (Bilgisayar ve iletişim hizmetleri, ısıtma, aydınlatma, güç vb.), Personel Varlıkları, soyut Varlıklar (itibar ve imaj gibi) şeklinde kategorize edilebilir.
•Güvenlik Ekibimizin, yaptığı testlerle saptadığı açıklık ve tehditler için hazırladığı rapor da referans alınarak, Risk Analizi çalışması gerçekleştirilir.
•ISO 27001 EkA, ISO 27002 ve varsa ilgili mevzuat gereği uygulanması gerekli diğer harmonize standartlar ışığında uygulanacak güvenlik önlemleri (kontroller) belirlenerek, Risk İşleme Planı hazırlanır.
•Uygulamalar sonrası varsa artık riskler ve ikincil riskler yeniden değerlendirilir.
•Sistem Etkinlik Ölçümlerinin yapılır ve İş Sürekliliği Planı gibi diğer ek dokümanlar hazırlanır.
•İyileştirme çalışmaları için gözden geçirme toplantıları ve iç tetkikler yapılır.
•Uygun görülen Düzeltici ve Önleyici Faaliyetler planlanır ve uygulanması sağlanır.
•Uygulanabilirlik Bildirgesi ve Bilgi Güvenliği Yol Haritası belirlenir.
•Son olarak organizasyon ISO 27001 Belgelendirme denetimine hazır hale getirilerek, kuruluşun sertifikasyonu sağlanır.

BGYS Dokümantasyon Yapısı

TS ISO/IEC 27001 Bilgi Güvenliği Standardı Mevcut Yasal Şartlar

Yasal şartlar aşağıda belirtilen yönetmeliklerde açıklanmıştır:

1.Kamu kurum ve kuruşlarının KamuNet ağına dahil olmaları ile ilgili Başbakanlık Genelgesi (2016/28), 3 Aralık 2016 tarihinde Resmi Gazete'de yayımlanarak yürürlüğe girmiştir. KamuNet Ağı'na Dahil Olmak İçin Asgari Güvenlik Gereksinimlerinden biri olan “Bilgi Güvenliği Yönetim Sistemi (BGYS) kurularak tüm süreçler ile ilgili siber güvenlik politikaları ve prosedürleri oluşturulmalı (ISO 27001 standardına uyumlu hale getirilmeli)” maddesi kamu kurum ve kuruluşlarında bir Bilgi Güvenliği Yönetim Sistemi kurulması gerekliliğini ortaya koymuştur.

2.Elektronik haberleşme şebekesi sağlayan ve altyapısını işleten sermaye şirketlerin/ kurumların, BTK tarafından elektronik haberleşme hizmeti sunan ve/veya 20.07.2010 tarihinden itibaren TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi alması zorunlu hale getirilmiştir.

3.Gümrük İşlerini Kolaylaştırma Yönetmeliği Kapsamında Yetkili Yükümlü Sertifikası (YYS) alacak ithalat ve ihracatçıların ISO/IEC 27001:2013 Belgesi alması zorunluğu; Gümrük ve Ticaret Bakanlığı'na bağlı Risk Yönetimi ve Kontrol Genel Müdürlüğünün Yetkili Yükümlü Sertifikası alacak firmalarda başvurularda arayacağı belgeler arasında ISO/IEC 27001 Belgesi alma zorunluluğu getirilmiştir.

4.Maliye Bakanlığı Gelir İdaresi Başkanlığı E-fatura Özel Entegratörlük için başvuru yapan firmalara TS ISO/IEC 27001 Belgesi alınması zorunluluğu getirilmiştir.

5.Elektrik Piyasası Düzenleme Kurulu (EPDK) Elektrik Piyasası Lisans Yönetmeliği'ne göre TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi alınması zorunluluğu; Enerji Piyasası Düzenleme Kurumu (EPDK) Lisans Yönetmeliklerinde değişiklik yaparak, TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi Belgesiʼni zorunlu hale getirmiş, 01.03.2016'dan itibaren Türk Akreditasyon Kurumu'ndan (TÜRKAK) akredite bir belgelendirme kuruluşundan ISO/IEC 27001 Belgeli olma zorunluluğu getirilmiştir. Ayrıca Şubat 2017 tarihli ve 29989 sayılı Resmi Gazetede yayımlanan yönetmelik değişikliği ile elektrik dağıtım şirketlerinin TS ISO/IEC 27001’e göre kuracakları Bilgi Güvenliği Yönetim Sisteminde TS ISO/IEC 27002 Uygulama Rehberine ek olarak ISO/IEC TR 27019 rehber dokümanını da referans almaları zorunluluğu getirilmiştir.

TS EN ISO/IEC 27001: 2013 Standardı Hariç Tutulamayacak Maddeleri Şu Şekildedir:

4 Kuruluşun içeriği
4.1 Kuruluşun ve kuruluş içeriğinin anlaşılması
4.2 İlgili tarafların ihtiyaç ve beklentilerinin anlaşılması
4.3 BGYS‘nin kapsamının belirlenmesi
4.4 BGYS
5 Liderlik
5.1 Liderlik ve taahhüt
5.2 Politika
5.3 Organizasyonel rol, sorumluluk ve yetkiler
6 Planlama
6.1 Risk ve fırsatları ele alan faaliyetler
6.2 Bilgi güvenliği hedefleri ve onlara erişmek için planlama
7 Destek
7.1 Kaynaklar
7.2 Yetkinlik
7.3 Farkındalık
7.4 İletişim
7.5 Yazılı bilgi
8 İşletim (Operasyon)
8.1 İşletimsel planlama ve kontrol
8.2 Bilgi güvenliği risk değerlendirmesi
8.3 Bilgi güvenliği risk işleme
9 Performans Değerlendirme
9.1 İzleme, ölçme, analiz ve değerlendirme
9.2 İç tetkik
9.3 Yönetimin gözden geçirmesi
10 İyileştirme
10.1 Uygunsuzluk ve düzeltici faaliyet
10.2 Sürekli iyileştirme

ISO 27001 EK-A Referans Kontrol Amaçları;

A.5 Bilgi Güvenliği politikaları
A.6 Bilgi güvenliği organizasyonu
A.7 İnsan kaynakları güvenliği
A.8 Varlık yönetimi
A.9 Erişim kontrolü
A.10 Kriptografi
A.11 Fiziksel ve çevresel güvenlik
A.12 İşletim güvenliği
A.13 Haberleşme güvenliği
A.14 Sistem edinimi, geliştirme ve bakımı
A.15 Tedarikçi İlişkileri
A.16 Bilgi Güvenliği ihlal Olayı yönetimi
A.17 İş sürekliliği yönetiminin bilgi güvenliği hususları
A.18 Uyum

ISO 27001 EK-A Kontrollerinin içeriği;

•14 adet güvenlik kontrol maddesi
•35 ana güvenlik kategorisi
•114 kontrol şeklindedir.