Hazırlayan : Mustafa DEMİRCİ Adli Bilişim Uzmanı AĞUSTOS 2015-ANKARA. Tüm yayın hakları, Türkiye Kamu Hastaneleri Kurumuna aittir.

Transkript

1 Hazırlayan : Mustafa DEMİRCİ Adli Bilişim Uzmanı Tüm yayın hakları, Türkiye Kamu Hastaneleri Kurumuna aittir. AĞUSTOS 2015-ANKARA

2 SUNUŞ Günümüzde gelişen bilişim teknolojileri sayesinde gerek bireysel gerekse kurumsal bir çok iş ve işlemlerimizi bilgi teknolojilere borçluyuz. Bilgiye ulaşmak bu kadar kolay hale geldiği bir dönemde kurumsal olarak üretilen bilgininin de belli standartlar dahilinde korunması zorunluluk arz etmektedir. Bu nedenle bilgi güvenliği aslında yeni bir kavram olmamakla beraber, teknolojinin gelişmesi ile birlikte günümüzde popülerliği ve bilinirliliği artmış durumdadır. Bu nedenle kuruluşların en büyük zorluklarından ve aynı zamanda zorunluluklarından en önemlisi sahip olduğu bilginin gizliliğini, bütünlüğünü ve erişilebilirliğini sağlamalarındaki sarf ettikleri çabalar olduğunu söylemek bu anlamda yanlış olmayacaktır. Zaman ilerledikçe bilginin kullanımı artmış, aynı zamanda bilginin bir yerden başka bir yere gönderilme ihtiyacı (transferi) ortaya çıkmıştır. Bu sebepten bilginin güvenli bir şekilde korunmasına önem verilmeye başlanmıştır. Bilgiyi en kısa şekilde tanımlarsak; kurumlarımız için anlamlı hale getirilmiş tüm veriler kümesidir. Bilgi güvenliği ise, kurumlarımızda işlenerek üretilen ve anlamlı hale gelmiş bu veri kümelerinin korunması şeklinde de tanımlayabiliriz. Her birey bilgi sistemleri üzerinden hizmet alırken veya hizmet sunarken anlamlandırılmış bu veri kümelerinden istifade ederler. Bu çerçeveden bakıldığında kişilerin bilgi güvenliği önem arz ederken, bundan daha önemlisi, kişilerin güvenliğini doğrudan etkileyen kurumsal bilgi güvenliğidir. Yapılan bu çalışmanın tüm sağlık teşkilatlarımızdaki personelimize ışık tutması dileğiyle Uzm. Dr. Merve AKIN Kurum Başkan Yardımcısı Sayfa 1

3 KISALTMALAR : ISO : (International Organization for Standardization), Uluslararası Standartlar Teşkilâtı BGYS :Bilgi (Information Security Management System) Güvenliği Yönetim Sistemi OECD : (Organisation de coopération et de développement économiques), Uluslararası ekonomi örgütü. TSE : Türk Standartları Enstitüsü Web : World Wide Web (kısaca WWW veya web), internet üzerinde yayınlanan birbirleriyle bağlantılı hiper-metin dokümanlarından oluşan bir bilgi sistemidir. Sayfa 2

4 GİRİŞ Bilgi güvenliğine ilişkin uluslararası standartlar bilgiyi bir kurumun önemli değerlerinden biri olarak tanımlamakta ve sürekli korunmasını istemektedir. Bilginin korunması gereken temel nitelikleri olarak gizli yanının açığa çıkarılmaması, bütünlüğünün bozulmaması ve kullanımına ihtiyaç duyulduğunda ulaşılabilir olması şeklinde tariflenmektedir. Bilgi ve iletişim teknolojilerinde yaşanan baş döndürücü gelişmeler, daha küçük boyutta daha fazla bilgi depolanabilmekte ve kolayca iletilebilmektedir. Bilginin kullanımı, değeri ve hareket alanının genişlemesi korumaya yönelik ihtiyaçlarını daha da artmakta ve kurumları çok daha fazla önlem almaya zorlamaktadır. Bilgi elektronik ortamların yanı sıra kağıt, film, sözlü iletişim, e-posta ve internet gibi birçok ortamda bulunabilmektedir. Kurumlar ve/veya bireyler tarafından bu farklı ortamlarda bulunabilen bilgi, yeterli önlemler alınmadığında haksız bir kazanç aracı olarak kullanılabilmekte ve bilginin sahipleri istenmeyen durumlarla yüzleşmek zorunda kalabilmektedir. Bilgi varlığı üzerinde yer alabilen bir açıklığı/zafiyeti kullanabilen tehditlerin gerçekleşmesi durumunda kurumlar ciddi itibar zedelenmesi, finansal kayıplar ve yasal yaptırımlar gibi telafisi güç sonuçlarla karşılaşabilmektedirler. Kayıpları en aza indirmek veya hiç yaşamamak için bilgi güvenliği risklerinin tespiti, kontrol konulması ve kısaca riskin yönetilmesinden geçmektedir. Risk gelecekte karşılaşılacak bir zararın önceden tahmin edilmesi anlamına gelmektedir. Aslı belirsiz olan bir şeyin yönetilmesi yani vereceği zararın kestirimi ve ona göre tedbirlerin, kontrollerin alınması başlı başına bir problemdir. Konu bilgi güvenliği risklerinin değerlendirilmesi ve yönetimi söz konusu olduğunda bir yandan bilginin tam ölçülemeyen değeri diğer yandan belirsizliğin ölçülüp yönetilmesi daha da karmaşık hale gelebilmektedir. Tüm bu problemleri çözebilmek için kişi ya da kurumlar tarafından zamanla farklı yöntemler geliştirilmiş ve tavsiyelerde bulunulmuştur. Bunlardan bazıları akademik çalışma seviyesinde kalmış, bazıları ilgili sektörlerde kullanılmış bazıları ise uluslararası kabul görmüş standartlar haline gelmiştir. Bu Sayfa 3

5 standartlardan bazıları; ISO/IEC Guide 73, ISO/IEC 27001, ISO/IEC 27005, ISO/IEC 31000, NIST SP , FISMA, AS/NZS 4360:2004, CMMI, SPICE, PCI, PMI, HIPAA vb sayılabilir. Bilgi Güvenliği Bilginin gizliliği, bütünlüğü ve kullanılabilirliğinin korunması, ek olarak doğruluk, açıklanabilirlik, inkâr edememe ve güvenilirlik gibi diğer özellikleri de kapsar. 1 Bilgiye olabilecek yetkisiz erişimlerin engellenmesine gizlilik, yetkili erişim sonucunda kendine özgü bilgi mahremiyetinin korunmasına bütünlük, ihtiyaç halinde kolay ulaşılabilir olması erişilebilirlik denir. Bu bileşenler korunacak bir bilginin üç temel özelliğini teşkil eder. 2 Şekil -1 Bilgi Güvenliği: Bilginin Korunacak Temel Nitelikleri Bilgi güvenliği bilgiyi, ticari sürekliliği sağlamak, ticari kayıpları en aza indirmek ve ticari fırsatların ve yatırımların dönüşünü en üst seviyeye çıkartmak için geniş tehlike ve tehdit alanlarından korur. 3 1 TS ISO/IEC 17799, (Şahinaslan, Kantürk, Şahinaslan, & Borandağ, 2009) 3 TS ISO/IEC 17799, 2002 Sayfa 4

6 Bilgi Güvenliği ve Bilgi Güvenliği Standartları Bilgi güvenliği; bilginin bir varlık olarak hasarlardan korunması, doğru teknolojinin, doğru amaçla ve doğru şekilde kullanılarak bilginin her türlü ortamda, istenmeyen kişiler tarafından elde edilmesini önlemektir. Başka bir tanımla bilgi güvenliği; elektronik ortamlarda verilerin veya bilgilerin saklanması ve taşınması esnasında bilgilerin bütünlüğü bozulmadan, izinsiz erişimlerden korunması için, güvenli bir bilgi işleme platformu oluşturma çabalarının tümüdür. Bütün bu çabaların sağlanabilmesi için uygun güvenlik politikasının belirlenmesi ve uygulanması gereklidir. Bu politikalar; faaliyetlerin sorgulanması, erişimlerin izlenmesi, kayıtlardaki değişikliklerin tutulup değerlendirilmesi ve silme işlemlerinin sınırlandırılması olarak belirlenebilir. Ayrıca, bilginin güvenli olmasını sağlamak için ulaşılması gereken amaçlar genel olarak, korunmakta olan bilginin gizliliği, bütünlüğü ve ulaşılabilirliği olarak ifade edilebilir. Bilgi Güvenliği uygulamasında, bilgisayarda şifre korumalı ekran koruyucu kullanılması, bilgisayar başından uzun süreliğine ayrı kalındığında sistemden çıkılması, kullanılan şifrelerin tahmininin zor olacak şekilde belirlenmesi, bu şifrelerin gizli tutulması ve belirli aralıklarla değiştirilmesi, virüs koruma programlarının kurulu olması, bu programların ve işletim sistemi hizmet paketlerinin ve hata düzeltme ve güncellemelerinin düzenli aralıklarla yapılması, disk paylaşımlarında dikkatli olunması, internet üzerinden indirilen veya e-posta ile gelen dosyalara dikkat edilmesi, önemli belgelerin şifreli olarak saklanması, gizli veya önemli bilgilerin e-posta, güvenlik sertifikasız siteler gibi güvenli olmayan yollarla gönderilmemesi, kullanılmadığı zaman internet erişiminin kapatılması, önemli bilgi ve belgelerin düzenli aralıklarla yedeklerinin alınması kişisel bilgisayar güvenliği için önemli olan ve yapılması gereken önlemlerden bazılarıdır. Bilgi Güvenliği standardı, bir Bilgi Güvenliği Yönetim Sistemi ni (BGYS) (Information Security Management System - ISMS) kurmak, gerçekleştirmek, işletmek, izlemek, gözden geçirmek, sürdürmek ve iyileştirmek için bir model sağlamak üzere hazırlanmıştır. Sayfa 5

7 Bir kuruluş için BGYS nin benimsenmesi stratejik bir karar olmalıdır. Bir kuruluşun BGYS tasarımı ve gerçekleştirmesi, ihtiyaçları ve amaçları, güvenlik gereksinimleri, kullanılan prosesler ve kuruluşun büyüklüğü ve yapısından etkilenir. Bunların ve destekleyici sistemlerinin zaman içinde değişmesi beklenir. Bir BGYS gerçekleştirmesinin kuruluşun ihtiyaçlarına göre ölçeklenmesi beklenir (Örneğin, basit durumlar basit BGYS çözümleri gerektirir.). Bu standart, uyumluluğu değerlendirmek için ilgili iç ve dış taraflarca kullanılabilir. 4 Risk Tanımı Risk, sözlük anlamı olarak zarara uğrama tehlikesidir; öngörülebilir tehlikeleri ifade eder. 5 İtalyancası risco Almancası risiko, İngilizcesi risk olan bu kavram dilimiz de önceleri riziko olarak kullanılmış daha sonra risk olarak yerleşmiştir. Zarar veya kayıp durumuna yol açabilecek bir olayın ortaya çıkma olasılığı anlamına gelmektedir. Tehlike ile eş anlamlı ve ileride ortaya çıkması beklenen ama meydana gelip gelmeyeceği kesin olarak bilinmeyen olaylar için kullanılmaktadır. Ayrıca gelecek ile ilgili bir kavram, çünkü gelecek belirsizlik ifade etmektedir. 6 Risk, bir olay ve onun sonuçlarına ilişkin olasılıklar kombinasyonu olarak tanımlanmaktadır. Genellikle risk terimi sadece en az bir olumsuz sonuç ihtimali bulunduğu bir durumda kullanılmaktadır. Bazı durumlarda risk beklenen sonuçtan veya olaylardan sapma olasılığından kaynaklanmaktadır. 7 Riskin temelde iki bileşenden oluştuğu kabul edilir; Olasılık : İstenmeyen bir olayın vuku bulma ihtimali, Etki : Olayın vuku bulması durumunda vereceği zarar, tesir, etki. Temel olarak risk hesaplama formülü; Risk Düzeyi = f(olasılık, Etki) olarak ifade edilebilir. Risk düzeyine karar verirken riskin vuku bulma olasılığı ve etkisine göre karar TBD Kamu BİB VIII, Filiz, Mart TS ISO/IEC Guide 73, 2005 Sayfa 6

8 verilir. Şekil 2.de risk düzeyini belirleyen karar fonksiyonu ile ilgili bir örnek yer almaktadır. Şekil -2 Temel Risk Hesabı Örneği; Olasılık-Etki Bilgi Güvenliği Riski Bilgi veya bilgi varlıkları üzerinde yer alan zafiyetlerin bir tehdit karşısında suiistimal edilmesi sonucunda kurumun zarar görme potansiyelidir. 8 Gizlilik, bütünlük ve erişilebilirlik olarak sıralanan bilginin korunması gereken temel niteliklerinin bir tehditle karşılaşması durumunda varlık üzerindeki bilinen zafiyet ya da zafiyetlerin kötü amaçlı kullanılmasıyla kuruma zarar verme/istenmeyen etki doğurabilme ihtimaline denir. Risk Yönetimi Bilgi sistemlerini etkileyebilecek olan güvenlik risklerinin, uygun bir maliyette tanımlanması, kontrol edilmesi ve en aza düşürülmesi veya ortadan kaldırılması sürecine denir. 9 Bir kuruluşu risk ile ilgili olarak kontrol etmek ve yönlendirmek amacıyla kullanılan koordineli faaliyetler bütününe denir (ISO/IEC 27005, TS ISO/IEC 17799, TS ISO/IEC Guide 73, 2005 Sayfa 7

9 Tespit edilmiş olan risklerin kuruma vermesi muhtemel zararlardan arındırma yada mümkün olan en asgari düzeyde olumsuz yansıması olacak şekilde riskin yönetilmesidir. Risk değerlendirmesi sonucunda riskler; tamamen ortadan kaldırılabilir, risk etkisi belirli bir seviye indirgendikten sonraki hali atık risk olarak takip edilir veya risk transfer edilebilir. Risk etkisinin minimum etkide tutulabilmesi için risk yönetimi yapmak gerekmektedir. Şekil-3 Risk Yönetim Süreçleri Aşamaları Risk Değerlendirme Risk analizi ve risk derecelendirmesini kapsayan tüm süreci kapsar. 11 Bilgiye ve bilgi işleme vasıtalarına karşı var olan tehditlerin değerlendirilmesi, bilgi üzerine etkileri, bilginin yararlanabilirliği ve bunların ortaya çıkma olasılıkları olarak ifade edilir. 12 Şekil-4 Risk Değerlendirme Alt Süreçleri Kaynakları belirlemek ve riski tahmin etmek amacıyla bilginin sistematik kullanımıdır. 13 Bilişim sistemlerinin risk analizinde; varlıkların değeri, tehditler ve zayıflıklar analiz 11 TS ISO/IEC Guide 73, TS ISO/IEC 17799, 2002 Sayfa 8

10 edilir. Burada riskler, bilişim sistemlerinin gizliliğinin, bütünlüğünün, güvenirliğinin, potansiyel etkilenme şiddetine bağlı olarak değerlendirilir. 14 Bilgi Varlığı Kuruluş için değeri olan herhangi bir şeye varlık denir. 15 İlgili standartlarda bilgi varlığı için bir kurum için değerli olan ve sürekli korunması gereken varlıklar olarak tanımlanmaktadır. Bu kurum banka olarak düşünüldüğünde bilgi varlıkları; müşteri bilgi varlıkları (genel müşteri bilgileri, mevduat, kredi, kredi kartı, istihbarat, sözleşme vb), kurum bilgi varlıkları (bilanço, aktif-pasif bilgileri, mizan, resmi defter, politika ve prosedürleri), çalışan ve ortaklarına ait bilgi varlıkları, bilgi sistemlerine ilişkin varlıklar (yazılımlar, lisanslar, uygulamaları, analiz ve teknik dokümanları, veri tabanları, sunucuları, ağ cihazları, internet vb.) olarak sınıflandırabilir ya da örneklendirebilir. Tehdit Bilgi varlığının korunması gereken niteliklerini bozmaya yönelik mevcut ya da olabilecek her türlü algıya tehdit denir. Kurumlarda bilgi varlıkları doğal, çevresel ve insan kaynaklı birçok tehdit altında olabilir. Bunlardan bazılarını aşağıdaki şekilde özetlenebilir. Doğal tehditler; deprem, yanardağ, volkanik patlamalar, yangın, yıldırım, sel, toprak kayması, don tehlikesi, çığ düşmesi, doğal afetler, toz, nem, ışık vb. tehditler, Çevresel tehditler; elektrik kesintisi, yangın, donanım ve yazılım hatası, iletişim alt yapı arızaları gibi çevresel tehditler, İnsan kaynaklı(kasıtlı veya kazara) tehditler; kasıtlı veya kazara veri/bilgi üzerinde yapılan her türlü silme, değiştirme, düzeltme, ekleme, dışarıya sızdırmaya yönelik tehditler, yazılım ve donanımların uygunsuz kullanımı, kasıtlı olarak bombalama, terör, 13 TS ISO/IEC Guide 73, ISO/IEC TR , ISO/IEC , 2004 Sayfa 9

11 siber saldırılar, çalışanın sabotajı, sahtekârlık, fraud, grev, hırsızlık şeklindeki tehditler olarak örneklendirilebilir. Tehdit Olasılığı Bilgi varlığı üzerinde bir tehdidin bulunma ihtimaline denir. Bunlar; ihtimal bulunmuyor ya da yok denecek kadar az, yüksek, çok yüksek şekilde sınıflandırılabilir. Açıklık-Zafiyet ve Kontrol-Karşı Önlem Açıklık-zafiyet; bilgi varlığının tehditler karşısında korunmasını sağlayan önlemlerin eksikliği ve kontrol zayıflıkları, sistemsel açıklıkların tümü olarak adlandırılabilir. Bilgi varlıkları üzerinde bulunan açıklık ya da zafiyeti kullanan tehdidin verebileceği zararların önüne geçmek ya da mümkün olan asgari düzeye çekebilmek için gerekli kontroller veya ek tedbirler-önlemler alınmalıdır. Bu ek kontrol ve/veya tedbirler varlık üzerindeki tehdidin olaya dönüşmesini önleyebileceği gibi olay vuku bulsa bile etkisini mümkün olan asgari düzeye çekmeye yardımcı olacaktır. Bilgi varlığı üzerinde yer alan zafiyetten kaynaklanan açıklığın bir bölümü alınacak bir takım önleyici kontrollerle giderilir. Önleyici ek kontrolden sonra geriye kalan açıklık miktarına net açıklık denir. Sayfa 10

12 Net Açıklık Bilgi varlıkları üzerinde yer alan bir zafiyet ya da açıklığın bir bölümü veya tamamı alınacak ek kontrol ya da önlemlerle giderilir. Alınan bu ek önlemlerden sonra kalan ve tehdidin kullanabileceği açıklık seviyesine denir. Buna göre; Net açıklık = Varlık Zafiyeti - Ek Önlem/Kontrol Şeklinde formüle edilebilir. Net açıklık seviyesi olarak aşağıdaki durumlardan biriyle karşılaşılabilir; Açıklık düşük seviyede ya da bulunmuyor, tam koruma var, Açıklık ve koruma kısmen var, Hiç tedbir/önlem alınmamış, bilgi varlığı savunmasız. Risk Olasılığı Bir tehdidin varlık üzerindeki açıklığı kullanabilme ihtimali ya da tehdidin olaya dönüşme/geçekleşme ihtimaline denir. Bilgi varlığı üzerindeki tehdidin vuku bulma ihtimali ile net açıklık seviye eşleşmesinden elde edilen değere denir. Risk Olasılığı = f(net Açıklık, Tehdit Olasılığı) şeklinde formüle edilebilir. Sonuç genelde karar matrisleri kullanılarak ya da fonksiyon parametre değerlerinin çarpımı sonucunda belirlenir. Elde edilen bu değer risk etki hesabında kullanılır. Örneğin bir varlık üzerinde yer alan tehdidin gerçekleşme ihtimali yüksek olmakla birlikte varlık tam olarak korunuyorsa bu riskin gerçekleşme olasılığı düşük olarak kabul edilebilir. BİLGİ GÜVENLİĞİ RİSK YÖNETİMİ Bilgi Güvenliği Risk Yönetim Çerçevesi ISO/IEC uluslararası bilgi güvenliği risk yönetimi standart yapısı aşağıda belirtilen temel aşamalardan oluşmaktadır. 16 Kapsam belirleme (ISO/IEC madde 7) Risk değerlendirme (ISO/IEC madde 8) 16 ISO/IEC 27005, 2008 Sayfa 11

13 Risk işleme/tedavi (ISO/IEC madde 9) Risk kabulü (ISO/IEC madde 10) Risk iletişimi (ISO/IEC madde 11) Risk takibi ve gözden geçirme (ISO/IEC madde 12) Şekil -4 Bilgi Güvenliği Risk Yönetimi Temel Aşamaları Proses Yaklaşımı Bu standart, bir kuruluşun Bilgi Güvenliği Yönetim Sistemi ni kurmak, gerçekleştirmek, işletmek, izlemek, gözden geçirmek, sürdürmek ve iyileştirmek için bir proses yaklaşımını benimser. Bir kuruluşun, etkin bir şekilde işlev görmek için, birçok faaliyetini tanımlaması ve yönetmesi gerekir. Kaynakları kullanan ve girdilerin çıktılara dönüştürülebilmesi için yönetilen her faaliyet, bir proses olarak düşünebilir. Çoğunlukla bir prosesin çıktısı doğrudan bunu izleyen diğer prosesin girdisini oluşturur. 17 Bir kuruluş içerisinde, tanımları ve bunların etkileşimi ve yönetimleriyle birlikte proseslerin oluşturduğu bir sistem uygulaması proses yaklaşımı olarak tanımlanabilir. Bu standartta sunulan bilgi güvenliği yönetimi proses yaklaşımı, kullanıcılarını aşağıdakilerin öneminin vurgulanmasına özendirir TS ISO/IEC 27001, 2006, s.2 18 OECD, 2002 Sayfa 12

14 a) İş bilgi güvenliği gereksinimlerini ve bilgi güvenliği için, politika ve amaçların belirlenmesi ihtiyacını anlamak, b) Kuruluşun tüm iş risklerini yönetmek bağlamında kuruluşun bilgi güvenliği risklerini yönetmek için kontrolleri gerçekleştirmek ve işletmek, c) BGYS nin performansı ve etkinliğini izlemek ve gözden geçirmek, d) Nesnel ölçmeye dayalı olarak sürekli iyileştirmek, Bu standart, tüm BGS proseslerini yapılandırmaya uygulanan Planla- Uygula-Kontrol Et- Önlem Al (PUKÖ) modelini benimser. Şekil 3.1., bir BGYS nin bilgi güvenliği gereksinimlerini ve ilgili tarafların beklentilerini girdi olarak nasıl aldığını ve gerekli eylem ve prosesler aracılığıyla, bu gereksinimleri ve beklentileri karşılayacak bilgi güvenliği sonuçlarını nasıl ürettiğini gösterir. PUKÖ modelinin benimsenmesi, bilgi sistemleri ve ağları güvenliğini yöneten OECD Kılavuzları nda (OECD, 2002) belirlenmiş olan prensipleri de yansıtır. Bu standart, risk değerlendirme, güvenlik tasarımı ve gerçekleştirme, güvenlik yönetimi ve yeniden değerlendirmeyi yöneten bu kılavuzlardaki prensipleri gerçekleştirmek için sağlam bir model sağlar (Şekil 3.1.) (TS ISO/IEC 27001, 2006, s.2.). Örnek1:Bir kuruluşta, bilgi güvenliği ihlallerinin ciddi finansal hasarlara neden olmaması veya kuruluşta rahatsızlığa yol açamaması bir gereksinim olabilir. Şekil-3 BGYS proseslerine uygulanan PUKÖ modeli Sayfa 13

15 KURUMSAL BİLGİ GÜVENLİĞİ Kişilerin bilgi güvenliği önem arz ederken, bundan daha önemlisi, kişilerin güvenliğini doğrudan etkileyen kurumsal bilgi güvenliğidir. Her birey bilgi sistemleri üzerinden hizmet alırken veya hizmet sunarken kurumsal bilgi varlıklarını doğrudan veya dolaylı olarak kullanmaktadır. Bu hizmetler kurumsal anlamda bir hizmet alımı olabileceği gibi, bankacılık işlemleri veya bir kurum içerisinde yapılan bireysel işlemler de olabilir. Kurumsal bilgi varlıklarının güvenliği sağlanmadıkça, kişisel güvenlikte sağlanamaz. Bilgiye sürekli olarak erişilebilirliğin sağlandığı bir ortamda, bilginin göndericisinden alıcısına kadar gizlilik içerisinde, bozulmadan, değişikliğe uğramadan ve başkaları tarafından ele geçirilmeden bütünlüğünün sağlanması ve güvenli bir şekilde iletilmesi süreci bilgi güvenliği olarak tanımlanabilir. 19 Kurumsal bilgi güvenliği ise, kurumların bilgi varlıklarının tespit edilerek zafiyetlerinin belirlenmesi ve istenmeyen tehdit ve tehlikelerden korunması amacıyla gerekli güvenlik analizlerinin yapılarak önlemlerinin alınması olarak düşünülebilir. Kurumsal bilgi güvenliği insan faktörü, eğitim, teknoloji gibi birçok faktörün etki ettiği tek bir çatı altında yönetilmesi zorunlu olan karmaşık süreçlerden oluşmaktadır. Bu süreçlerin yönetilmesi, güvenlik sistemlerinin uluslararası standartlarda yapılandırılması ve yüksek bilgi güvenliğinin sağlanması amacıyla tüm dünyada kurumsal bilgi güvenliğinin yönetiminde standartlaşma çalışmaları hızla sürmektedir. Standartlaşma konusuna önderlik eden İngiltere tarafından geliştirilen BS 7799 standardı, ISO tarafından kabul görerek önce ISO sonrasında ise ISO 27001:2005 adıyla dünya genelinde bilgi güvenliği standardı olarak kabul edilmiştir. 20 Ülkemizde Avrupa Birliği Uyum Kriterlerinde de adı geçen bu standartların uygulanması konusunda yapılan çalışmalar yetersiz olup bu standardı uygulayan kurum ve kuruluşların sayısı yok denecek kadar azdır. ISO 27001:2005 standardı ülkemizde Türk Standartları Enstitüsü (TSE) tarafından TS ISO/IEC Bilgi Güvenliği Yönetim 19 Vural, Y., Kurumsal Bilgi Güvenliği ve Sızma Testleri Yüksek Lisans Tezi, Gazi Üniversitesi Fen Bilimleri Enstitüsü, 40, İnternet: Wikipedia, ISO/IEC 27001, Sayfa 14

16 Sistemi standardı adı altında yayınlanmış ve belgeleme çalışmaları başlatılmıştır. Bu standart kapsamında kurumsal bilgi varlıklarının güvenliğinin istenilen düzeyde sağlanabilmesi amacıyla; gizlilik, bütünlük ve erişilebilirlik gibi güvenlik unsurlarının kurumlar tarafından sağlanması gerekmektedir. Bilgi Güvenliği Yönetim Sistemleri (BGYS); insanları, süreçleri ve bilgi sistemlerini içine alan ve üst yönetim tarafından desteklenen bir yönetim sistemidir. Kurumlar açısından önemli bilgilerin ve bilgi sistemlerinin korunabilmesi, risklerin en aza indirilmesi ve sürekliliğinin sağlanması, BGYS nin kurumlarda hayata geçirilmesiyle mümkün olmaktadır. BGYS nin kurulmasıyla; olası risk ve tehditlerin tespit edilmesi, güvenlik politikalarının oluşturulması, denetimlerin ve uygulamaların kontrolü, uygun yöntemlerin geliştirilmesi, örgütsel yapılar kurulması ve yazılım/donanım fonksiyonlarının sağlanması gibi bir dizi denetimin birbirini tamamlayacak şekilde gerçekleştirilmesi anlamına gelmektedir. KURUMSAL BİLGİ GÜVENLİĞİ POLİTİKALARI Güvenlik politikaları kurum veya kuruluşlarda kabul edilebilir güvenlik seviyesinin tanımlanmasına yardım eden, tüm çalışanların ve ortak çalışma içerisinde bulunan diğer kurum ve kuruluşların uyması gereken kurallar bütünüdür. 21 Kurumsal bilgi güvenliği politikası, kurum ve kuruluşlarda bilgi güvenliğinin sağlanması için tüm bilgi güvenlik faaliyetlerini kapsayan ve yönlendiren talimatlar olup kurumsal bilgi kaynaklarına erişim yetkisi olan tüm çalışanların uyması gereken kuralları içeren belgelerdir. Bilgi güvenliği politikaları her kuruluş için farklılık gösterse de genellikle çalışanın sorumluluklarını, güvenlik denetim araçlarını, amaç ve hedeflerini kurumsal bilgi varlıklarının yönetimini, korunmasını, dağıtımını ve önemli işlevlerin korunmasını düzenleyen kurallar ve uygulamaların açıklandığı genel ifadeleri içermektedir. 21 Kalman, S., Web Security Field Guide, Cisco Press, Indianapolis, sf.36, 37, Sayfa 15

17 Politikalar içerisinde; gerekçelerin ve risklerin tanımlandığı, kapsadığı bilgi varlıkları ve politikadan sorumlu olan çalışanların ve gruplarının belirlendiği, uygulanması ve yapılması gereken kuralların, ihlal edildiğinde uygulanacak cezai yaptırımların, teknik terimlerin tanımlarının ve düzeltme tarihçesinin yer aldığı 7 bölümden oluşur. Kurumsal Güvenlik Politikası içerisinde bulunması gereken bölümler Tablo 1 de özetlenmiştir. Belirli konularda çalışanın daha fazla bilgilendirilmesi, dikkat etmesi gereken hususlar, ilgili konunun detaylı bir şekilde ifade edilmesi istendiğinde alt politikalar geliştirilmelidir. Örneğin kullanıcı hesaplarının oluşturulması ve yönetilmesi, şifre unutma, şifre değiştirme, yeni şifre tanımlama gibi durumlarda uyulacak kurallar alt politikalar aracılığıyla açıklanmalıdır. Tablo 1. Güvenlik politikası kısımları Bölüm Adı Genel Açıklama Amaç Kapsam Politika İçeriği Politikayla ilgili gerekçeler ve buna bağlı risklerin tanımlamasını kapsar. Politikanın yazılmasındaki amaç ve neden böyle bir politikaya ihtiyaç duyulduğunu açıklar. Politikaya uyması gereken çalışan grupları (ilgili bir grup veya kurumun tamamı) ve bilgi varlıklarını belirler. Uygulanması ve uyulması gereken kuralları veya politikaları içerir. Cezai Yaptırımlar Politika ihlallerinde uygulanacak cezai yaptırımları açıklar. Tanımlar Teknik terimler ile açık olmayan ifadeler listelenerek açıklanır. Düzeltme Tarihçesi Politika içerisinde yapılan değişiklikler, tarihler ve sebepleri yer alır. E-posta gönderme ve alma konusunda, üst yönetimin kararlarını, kullanıcının uyması gereken kuralları ve diğer haklarını alt politika içerisinde ifade etmek bir başka örnek olarak verilebilir. Alt politikayla üst yönetimin, gerekli gördüğünde çalışanlarının epostalarını okuyabileceği, e-postalar yoluyla gizlilik dereceli bilgilerin gönderilip alınamayacağı gibi hususlar, e-posta alt politikası içerisinde ifade edilebilir. Alt politikalar içerisinde, izin verilen yazılımlar, veri tabanlarının nasıl korunacağı, Sayfa 16

18 bilgisayarlarda uygulanacak erişim denetim ölçütleri, güvenlikle ilgili kullanılan yazılım ve donanımların nasıl kullanılacağı gibi konular da açıklanabilir. Kurumsal bilgi güvenliği politikaları kuruluşların ihtiyaçları doğrultusunda temel güvenlik unsurlarının (gizlilik, bütünlük, erişilebilirlik, vb.) bazıları üzerinde yoğunlaşabilir. Örneğin askeri kurumlarda, bilgi güvenliği politikalarında gizlilik ve bütünlük unsurları ön plana çıkmaktadır. Askeri bir savaş uçağının kalkış zaman bilgilerinin onaylanıp yürürlüğe girmesi için düşmanlar tarafından görülmemesi (gizlilik) ve değiştirilmemesi (bütünlük) gereklidir. Bir diğer örnek ise kâr amacı gütmeyen kurumlarda uygulanan bilgi güvenliği politikalarında genellikle erişilebilirlik ve bütünlük unsurları ön planda gelmektedir. Üniversite sınav sonuçlarının açıklandığı yükseköğretim kurumunda uygulanan güvenlik politikasında öğrenciler sınav açıklandıktan sonra istediği zaman diliminde (erişilebilirlik) doğru bir şekilde (bütünlük) sınav sonuçlarına bakabilmelidir. İyi bir güvenlik politikası, kullanıcıların işini zorlaştırmamalı, kullanıcılar arasında tepkiye yol açmamalı, kullanıcılar tarafından uygulanabilir olmalıdır. Politika, kullanıcıların ve sistem yöneticilerinin eldeki imkânlarla uyabilecekleri ve uygulayabilecekleri yeterli düzeyde yaptırım gücüne sahip kurallardan oluşmalıdır. Alınan güvenlik önlemleri ve politikaları uygulayan yetkililer veya birimler yaptırımları uygulayabilecek idari ve teknik yetkilerle donatılmalıdır. Politika kapsamında herkesin sorumluluk ve yetkileri tanımlanarak kullanıcılar, sistem yöneticileri ve diğer kişilerin sisteme ilişkin sorumlulukları, yetkileri kuşku ve çelişkilere yer bırakmayacak biçimde açıkça tanımlanmalıdır. Politikalar içerisinde uygulanacak olan yasal ve ahlaki mahremiyet koşulları ile elektronik mesajların ve dosyaların içeriğine ulaşım, kullanıcı hareketlerinim kayıt edilmesi gibi denetim ve izlemeye yönelik işlemlerin hangi koşullarda yapılacağı ve bu işlemler yapılırken kullanıcının kişisel haklarının nasıl korunacağı açıklanmalıdır. Saldırıların ve diğer sorunların tespitinde kullanıcıların, yöneticilerin ve teknik personelin sorumluluk ve görevleri ile tespit edilen sorun ve saldırıların hangi kanallarla kimlere ne kadar zamanda rapor edileceği güvenlik politikalarında açıkça belirtilmelidir. Sayfa 17

19 Sistemlerin gün içi çalışma takvimleri, veri kaybı durumunda verinin geri getirilmesi koşulları gibi kullanıcının sisteme erişmesini sınırlayan durumlara politikalar içerisinde yer verilmelidir. Bu durumlarda kullanıcıya, izlemesi gereken yolu anlatacak ve yardımcı olacak kılavuzlara da yer verilmelidir. BGYS KAPSAMI BGYS nin kapsamı kurumların sahip olduğu bilgi varlıkları ve ihtiyaçları doğrultusunda tespit edilir. Bu kapsam Kurumun sahip olduğu bilgi varlıklarının tamamı, Bilgi sistemlerinin bir kısmı (Bilişim sistemleri, kâğıt ortamdaki bilgiler, elektronik bilgi varlıkları, vb.), Belli bir yerleşim birimindeki bilgi sistemleri (Merkez binalar, Genel Müdürlükler, vb.), Odaklanılmış bir bilgi sistemi (bilgisayarlar, ağ sistemi, sunucu bilgisayarlar, web sunucusu, vb.) olabilir. 22 Bir kuruluşta elektronik ortamlarda üretilen, dağıtılan ve saklanan bilgiler BGYS kapsamına örnek olarak verilebilir. BİLGİ GÜVENLİĞİ STANDARTLARI Tehditlerin sürekli olarak yenilenmesi, kullanılan yazılım veya donanımlarda meydana gelen güvenlik açıklarının takibi, insan faktörünün kontrolü gibi süreçlerin takip edilebilmesi ve üst seviyede bilgi güvenliğinin sağlanması için bilgi güvenliği sürecinin yönetilmesi için yapılan çalışmalar sonucunda İngiliz Standartlar Enstitüsü (British Standards Institute-BSI) tarafından 1995 yılında BS 7799 standardının ilk kısmı olan BS7799 1, 1999 yılında ise aynı standardın ikinci kısmı olan BS İngiliz standardı olarak yayınlanmıştır. 22 Thow-Chang, L., Siew-Mun, K., and Foo, A., Information Security Management Systems and Standards Synthesis Journal, 2(2):5,8, Sayfa 18

20 BS yılında küçük düzeltme ve adaptasyonlardan geçerek ISO tarafından ISO/IEC adıyla kabul edilmiş ve dünya genelinde kabul edilen bir standart halini almıştır yılında ise BSI tarafından BS 7799 standardının ikinci kısmı olan BS standardı üzerinde eklemeler ve düzeltmeler yapılarak ikinci defa İngiliz standardı olarak yayınlanmıştır yılında ise ISO tarafından ISO/IEC standardı üzerinde eklemeler ve düzeltmeler yapılmış ISO/IEC 17799:2005 adıyla yeniden yayınlanmıştır. Son olarak 2005 yılında ISO İngiliz standardı olan BS üzerinde eklemeler ve düzeltmeler yaparak ISO/IEC:27001 standardını yayınlamıştır. 23 Bilgi güvenliği yönetim sistemlerinin temelini teşkil eden standartların yayınlanma süreleri Şekil 1 de tarihsel akışa göre verilmiştir. Şekil 2 de verilen ve kurumsal bilgi güvenliğinin üst düzeyde sağlanması için gerekli olan bilgi güvenliği yönetiminde kullanılan uluslararası standartlar takip eden alt bölümde sırasıyla açıklanmıştır. Şekil 1. Standartların yayınlanma süreleri İngiliz Standartları BS 7799, bilgi varlıklarının gizlilik, doğruluk ve erişilebilirliğini güvence altına almak için uygulanması gereken güvenlik denetimlerini düzenleyen ve belgelendiren iki aşamalı İngiliz standardıdır yılında yayınlanan ilk sürümün birinci bölümünde 23 İnternet: Wikipedia BS Sayfa 19