Tüm kuruluşlar kurumsal ihtiyaçları, müşteri istekleri, yasal şartlar ve stratejik planları doğrultusunda ihtiyaç duydukları yönetim sistemlerini iç yapılarında uygulamak isterler. Bilgi günümüzün ise en büyük sermayesi olduğundan bünyesinde özellikle yüksek teknoloji bilgisi barındıran firmalar tarafından çok benimsenen bir yönetim sistemidir.
Bilgi güvenliği yönetim sistemleri kuruluşların finansal bilgilerini, fikri mülkiyet haklarını, personel özlük ve hizmet (örneğin maaş) bilgilerini veya üçüncü taraflarca edinilen (paylaşılan) bilgiler gibi bilgi varlıklarının belirlenmesi ve güvenliğinin yönetilmesini sağlar.
Bilgi soyut bir kavramdır. Bilgilerin saklandığı sunucular, server’lar, veri tabanları ve bunların bağlı olduğu sunucu odaları gibi noktalar ise daha çok elle tutulur somut kavramlardır. Her ne kadar soyut olması ve hacking saldırılarına karşı nispeten daha kolay kaybedilebilir soyut bilginin korunabilmesi daha zordur.
Genellikle bilgi güvenliği yönetim sistemi öncelikler fiziksel sunucular gibi varlıklar üzerinden hazırlanacak bir envanter ile önce tespit edilip risk değerlerinin hesaplanması daha sonra bu bilgi güvenliği risklerine göre sınıflandırılan öğeler için tedbirler alınması gerekir. İşte bu temel BGYS yani “Bilgi Güvenliği Yönetim Sistemi” risk varlıklarının belirlenmesi ve korunması için alınacak tüm tedbirleri belirleyen yol ve yöntemleri gösteren kılavuz standart “ISO 27001 Bilgi Güvenliği Yönetim Sistemi’dir”.
Uluslararası Standartlar Organizasyonu veya Örgütü olarak adlandırılan ISO tarafından en son 2013 yılında İKİ maddesiyle değiştirilen ve son olarak 2017 zaman damgasını taşıyan (bir nevi standartın model yılı da denebilir) ISO 27001:2017’nin tüm amacı teknolojik envanter cihazlarında saklanan soyut ve bu envanterdeki somut verileri kontrol eden bir yönetim sistemidir.
Teknolojinin giderek çılgınca gelişmesi ve gelişen teknolojiyle birlikte yazılımların daha kolay öğrenilebilir olması hacker adı verilen bilgi hırsızlığını da peşinden getirmektedir. Sistem kurulur ve uygulanırken zorunlu penetrasyon testinin amacıda sonradan oluşabilecek siber saldırılardan korunma yöntemlerini önceden belirlemek, simülasyon yapmaktır. Penetrasyon testlerinin sonuçlarına göre mutlaka seçilecek antivirüs programları ve ddos saldırılarından korunma yöntemleri belirlenecektir. Ayırca ISO 27001 EK-A kontrol formu gereklerinden biri web sunucusu üzerindeki dosyaya erişimin hangi yetkilerle yapılacağını (CHMOD) belirlemektir.
Hiçbir kuruluş bu gerçeği yadsıyamaz ve kayıtsız kalamaz. Bu nedenle ISO tarafından bilginin güvenliğinin sağlanması amacıyla hangi noktaların kontrol edileceği bu standard altında detaylı şekilde (EK-A) izah edilmiştir.
ISO 27001 Standartında Hangi Bilgiler Bulunuyor?
Bilgi güvenliği yönetim sistemi standardı öncelikle genel olarak firmanın stratejik yönüyle, hedeflerinin ve kapsamının (faaliyet sahasının) belirlenmesi için açıklamalar bulunuyor. Zira hedefleri ve stratejik yönü henüz belirsiz bir kuruluşun tehditler karşısında duyarlılık göstermesi olasılıklar dahilinde bulunmuyor.
Adapte olmak zaman alan sanki gündüz girilen bir tünelde gözünün zamanla alışmasına benzeyen bir süreçtir. Bu gereklidir çünkü kuruluş ve çalışanlarının anlama öğrenme bu amaçla BGYS eğitimleriyle farkındalığının artmasına zaman kazandırmaktadır. Eğer bilgi sadece soyut bir kavram olarak kalsaydı onu korumanın mümkün olması beklenemezdi. Bu nedenle önce somutlaştırılan bilgi (bgys envanter listesiyle) daha korumaya hazır olmaktadır.
Bu amaçla riskleri tespit ederken temel referans olarak nelerin alınacağı çok önemlidir. Sağlıklı ve geniş biçimde risklerin belirlenmesi bunlar için alınacak aksiyonların belirlenmesi bizim bir metodoloji oluşturmamızı zorunlu kılmaktadır. Bu türden sistemlerin adım adım ve her adımının detaylı anlatılacağı dokümanlara prosedür adı verilmektedir.
Doğal olarak ISO 9001:2015 kalite yönetim sistemi üzerine inşa edilen bu bilgi güvenliği yönetim sisteminin temel yapı taşlarının prosedür, politika (talimat) olduğunu bununla birlikte en temel başlangıç noktasının ise “BGYS – VARLIK ENVANTERİ OLUŞTURMA VE SINIFLANDIRMA” olduğunu söyleyebiliriz.
Neden sürekli bu varlık envanterinden söz ediyoruz? Eğer kuruluş ISO 27001 sistemini kurmak ve uygulamak istiyorsa yapacağı ilk çalışma bu bgys varlık envanterinin hazırlanması olmalıdır.
Bugün KVKK gereği bu envanter hazırlanmak zorundadır. Tüm verisel ilişkilerin bu tabloda gösterilmesi sistemin hazırlık sürecinin kolaylaştıracaktır. Burada bilinmesi gereken önemli bir bilgi ise bilgi güvenliği yönetim sisteminin uygulamalarının daha fazla emek ve çabaya ihtiyaç duyuyor olmasıdır.
Önce piramidin en tepesinden başlanarak dokümantasyon hazırlanmaz ise sonrasından süreçler çok daha zor uygulanabilir ve giderek karmaşıklaşabilir. Pratik ve kısa bir yol olarak ISO 27001 standartının bu piramit şablona oturtmak ve bu yönde bilgi güvenliği EK-A formuna gelindiğinde envanter ve bilgi varlıklarının tanımlanmaları tamamlanmış olmalıdır.