Bilgi güvenliği; “Dijital verileri ve diğer türdeki tüm bilgileri korumaya yönelik bir dizi politika, prosedür ve prensip içerir. Kuruluşların tüzel sorumlulukları, bilgilerin nasıl biçimlendirildiğine veya aktarımı halinde, işlenmekte veya herhangi bir yerlerde beklemede olup olmadığına bakılmaksızın, bilgi varlıklarını koruyan “iş akış süreçleri oluşturmayı gerektirir” demektir.
Bilgi güvenliği anlamı şu demektir ki; Bilginin bir varlık olarak kabul edilerek, tehdit veya tehlikelerden korunması için doğru bilgilerin, doğru amaç ve doğru şekilde uygulanmasıyla, bilginin varlıklarının her türlü ortam üzerinde istenmeyen erişimleri ve bilgi kaybını önleme tedbirlerinin tümüdür.
Diğer tanımda ise; “ISO 27001 belgesi almak için öncelikle bilginin neden değerli olduğuna inanmanız gerekir. Aksi halde sadece a4 kağıda basılı sertifika sahibi olursunuz. Dikkate değer olan sertifika değil ISO 27001 standardının kendisidir” denilmektedir. (detaylı bilgi için bu kaynak web sitesine bakınız).
Her iki tanımlamaya da kısaca bakıp anlamlarını aralarındaki bağlantıyı açıklayacak şekilde paylaştığımıza göre artık asıl konumuz olan BGYS’ye geri dönebiliriz.
ISO 27001 ve “Bilgi Güvenliği” bağlantısı aslında ISO tarafında gelişen teknolojilere bağlı olarak BGYS’nin (bilgi güvenliği yönetim sistemi) standart haline çevrilmiş versiyonudur.
ISO 27001 Standardı 2022 Revizyonu
BGYS standardı en son; 2022 yılında revizyona uğrayıp son halini almıştır. Genel olarak bir kuruluş, genel bir siber güvenlik programının parçası olarak dijital bilgileri korumak için bilgi güvenliğini uygulamaktadır.
Çalışanların ihtiyaç duyduğu verilere erişmesini sağlarken, yetkisiz erişimleri de, yetki ve erişim matrisi türünden dokümanlar ile engeller. Risk yönetimi ve yasal düzenlemelerle de ilişkilendirilebilir. 2022 revizyonunda bu başlıklar çok daha hassas ele alınmaktadır.
Güncel revize standardı TSE’den temin edebilirsiniz.
ISO 27001 Bilgi Güvenliği İlkeleri
Bilgi güvenliğinin temelleri veya ilkeleri toplu olarak gizlilik-bütünlük-kullanılabilirlik (CIA) üçlüsü olarak bilinir.
Bunların bir kuruluş içindeki bilgi güvenliği politikaları ve süreçleri için bir rehber görevi görmesi amaçlanmaktadır. Kuruluşun genel amacı, bilgi güvenliği uygulamaları için kötü adamları dışarıda tutarken, olası fırsat ve potansiyel önleme süreçlerinin yani iyi adamların içeri girmesine izin vermektir. Bunu destekleyen üç ana BGYS ilkesi; gizlilik, bütünlük ve kullanılabilirliktir.
ISO 27001 ilkelerinden erişilebilirliği de unutmamak gerekir. Gizlilik, bilgilerin yalnızca bu verilere uygun yetkiye sahip olan kişiler tarafından erişilebilir olması gerektiği ilkesidir.
Bütünlük; bilginin tutarlı, doğru ve güvenilir olması ilkesidir. Kullanılabilirlik, bilgiye uygun yetkiye sahip kişiler tarafından kolayca erişilebilmesi ve kullanıcıların kesintilerinin en aza indirilmemesi durumunda da öyle kalması ilkesidir.
Bu üç prensip tek başına mevcut değildir; birbirini bilgilendirir ve etkiler. Bu nedenle herhangi bir bilgi güvenliği sistemi bu faktörlerin dengesini içerir.
Uç bir örnek olarak, yalnızca bir kasada saklanan yazılı bir kağıt sayfası olarak mevcut olan bilgiler gizlidir ancak kolayca elde edilemez. Lobide sergilenen taşa oyulmuş bilgiler büyük ölçüde bütünlüğe sahiptir ancak gizli veya erişilebilir değildir.
ISO 27001 Diğer Bilgi Güvenliği ilkeleri
Bilgi güvenliği politikası ve karar vermenin temelini oluştururken, aşağıdakiler de dahil olmak üzere diğer faktörlerin eksiksiz bir bilgi güvenliği planına eklenmesi gerekir;
Bilgi güvenliği rekabet eden faktörlerin dengesini içerdiğinden risk yönetimiyle ilişkilidir . Burada amaç olumlu sonuçları en üst düzeye çıkarırken olumsuz sonuçları en aza indirmektir. Risk yönetim yoksa asla bilgi güvenliğinden söz edilemez.
Kuruluşlar, bir sistemi yürütürken üstlenmeye istekli oldukları risk düzeyini belirlemek için risk yönetimi ilkelerini kullanır. Riski azaltmak için korumalar ve hafifletici önlemler de uygulayabilirler.
Veri sınıflandırması konusu son derece gizli kalması gereken bilgilere veya kolayca erişilebilir kalması gereken verilere daha fazla önem vermek için kuruluş ile birlikte dikkate alınmalıdır.
Medya ve gizlilik anlaşmaları, veriler ve bilgisayar sistemleriyle sınırlı değildir. Tam bir bilgi güvenliği politikası fiziksel bilgileri, basılı bilgileri ve diğer medya türlerini kapsar. Ayrıca gizlilik anlaşmalarını da içerebilir.
İşletmeler ayrıca kişisel verileri korumak için çalışanların eğitiminin yanı sıra risk azaltma faktörleri olarak hem bilgisayar kontrollerini hem de organizasyonel politikayı kullanmalıdır.
Örneğin, bir muhasebe analistinin finansal verileri değiştirme riskini sınırlamak için bir kuruluş, değişiklik haklarını sınırlayan ve değişiklikleri günlüğe kaydeden bir teknik kontrolü uygulamaya koyabilir.
Tamamlanmış kayıtları denetleyecek ikinci bir kişiye sahip olma yönündeki kurumsal politika da bu riski azaltabilir. Bu amaçla iç denetim ekibi kullanılabilir. Ancak mutlaka eğitim gerekli olacaktır.
Bir diğer önemli bilgi güvenliği faktörü , bilginin tahrif edilmediğini kanıtlama yeteneği olan inkar edilemezliktir. Hiç kimse, bekleyen veya aktarılan verilere müdahale etmemelidir; kaynağı güvenilir olmalı ve kazara veya kötü niyetli olarak kabul edilebilirlik değiştirilmemelidir.
İş sürekliliği ve risk önleme, bilgilerin acil durumlarda nasıl kurtarılacağının belirlenmesi, bilgi güvenliğinin en önemli (hayati önlemler) unsurudur.
Bir yazılım veya donanım arızası durumunda verilerin mevcut kalması ve değişmeden, bozulmadan kalmalıdır. Kuruluşlar bunu yedeklemeler veya yedekli sistemler aracılığıyla başarabilir. Aynı zamanda veriye eşiminde imkansız olmaması gerekir.
Yönetimi değiştirin. Bir bilgi güvenliği politikasıyla değişiklik yönetimini de düşünün. Kötü yönetilen değişiklikler, sistemin kullanılabilirliğini etkileyen kesintilere neden olabilir. Sistem değişiklikleri aynı zamanda depolanan verilerin genel güvenliğini de etkileyebilir.
Yerel yasalar ve resmi düzenlemeler. Düzenleyici kurumlar genellikle bölgeye bağlı olarak kişisel olarak tanımlanabilir bilgileri düzenler.
Avrupa Birliği’nin; “Genel Veri Koruma Yönetmeliği Mevzuatı” gibi düzenlemeler, bazı bilgilerin farklı şekilde ele alınmasını veya özel güvenlik kontrollerinin uygulanmasını gerektirebilir. Buna ek olarak birde Türkiye’de yer alan yönetmelik ve yasaların da takibi gerekmektedir.
Yasal şartların uygulanması ISO 27001 belgesinin “Bilgi Güvenliği” ile ilgili en önemli bağlantısıdır. Yasal şartlar yerine getirilmediğinde kısaca BGYS “Bilgi Güvenliği Yönetim Sistemi” belgelendirmesi yapılamayabilir.