Duyuru. YZM5604 Bilgi Güvenliği Yönetimi ISO27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMLERİ GEREKSİNİMLERİ

Transkript

1 YZM5604 Bilgi Güvenliği Yönetimi 02 Aralık 2013 Dr. Orhan Gökçöl Bahçeşehir Üniversitesi, Fen Bilimleri Enstitüsü Duyuru 9 Aralık Pazartesi DERS YAPILMAYACAKTIR. Gelecek hafta, 2. arasınavınızı göndereceğim (yine ev sınavı olacak). ISO27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMLERİ GEREKSİNİMLERİ 1

2 Ülkemizde ISO27001 Uygulamaları Özel sektörde bazı ihalelerde kamu ihale kanununa göre ihale açan kurum ve kuruluşlar ihale şartnamelerinde ISO bilgi güvenliği yönetim sistemi belgesi istenmektedir. Bu zorunluluk yapılan projenin gizliliği güvenliği üst düzeyde ise ihaleyi açan kuruluş ıso belgesini özellikle istemektedir. Örneğin savunma sanayi projelerine yönelik açılan ihalelerde gerek yazılım hizmeti veren gerekse ürün üreten satışını yapan firmalardan bu belge istenmektedir. Ülkemizde ISO27001 Uygulamaları Ayrıca Telekomünikasyon Kurumu tarafından yapılan bir yetkilendirme çerçevesinde elektronik haberleşme hizmeti sunan ve/veya elektronik haberleşme şebekesi sağlayan ve alt yapısını işleten sermaye şirketlerin (Data Center) kurumların tarihine kadar ISO Bilgi Güvenliği Yönetim Sistemi Belgesi alması zorunlu hale getirilmiştir. Ülkemizde ISO27001 Uygulamaları Elektronik Haberleşme Yönetmeliğinin ilgili maddesi; 11. maddesi ÜÇÜNCÜ BÖLÜM İşletmecilerin Yükümlülükleri MADDE 11 (1) İşletmeci, TS ISO/IEC veya ISO/IEC standardına uygunluğu sağlamakla yükümlüdür. Yetkilendirilen işletmeciler yetkilendirme tarihinden itibaren bir yıl içerisinde söz konusu standarda uygunluğu sağlar. Belirtilen süre içerisinde söz konusu standarda uygunluğu sağlayamayan işletmecilere Kurul tarafından gerekli görülmesi halinde ilave süre verilebilir. Özel sektörde gerek kamu ihalelerinde gerekse kamu ile stratejik alanlarda iş birliği yapan kurum kuruluşların ISO Bilgi Güvenliği Yönetim Sistemini kurmalarını ve belgelendirme denetimine girerek ISO belgesini almaları gerekmektedir. 2

3 Kamu Kurumlarında ISO Bilgi Güvenliği Yönetim Sistemi Belgesi alınması zorunluluğu? Kamu kurumlarında genellikle özel sektörden farklı olarak ISO belgesinin alınması zorunlu değildir fakat aşağıda anlatılan bazı kanun ve yasalara göre her ne kadar belgelendirme zorunluluğu yok ise de ISO Bilgi Güvenliği Yönetim Sistemini kurmaları zorunludur. Bilgi Güvenliği Yönetim sistemi Kurmak için kamu kurumlarına dair çerçeve yasalar tarihli ve 5018 sayılı Kamu Mali Yönetimi ve Kontrol Kanunuyla kamu malî yönetim sistemi tüm kamu kurumlarında uluslararası standartlar ve Avrupa Birliği uygulamalarına uygun bir şekilde yeniden düzenlenmesi ve bu kapsamda etkin bir iç kontrol sisteminin oluşturulması için Maliye Bakanlığı tarafından hazırlanan ve tarihli ve sayılı Resmi Gazetede yayımlanan Kamu İç Kontrol Standartları Tebliği ile kamu idarelerinde iç kontrol sisteminin oluşturulması, uygulanması, izlenmesi ve Geliştirilmesi amacıyla (18) standart ve bu standartlar için gerekli (79) genel şart belirlendi. Bu 79 genel şarttan en az 10 şart bilgi güvenliği sisteminin kurumlarda oluşturulmasını hedeflemektedir / 48 sayılı Başbakanlık Genelgesi ile yürürlüğe giren e- Dönüşüm Türkiye Projesinin inci maddesinde Bilgi Güvenliği Yönetim Sisteminin (BGYS) tüm kurumlarda kurulmasının hedeflendiği belirtilmektedir. 05/08/2005 tarihli ve sayılı Resmi Gazete de yayımlanan, 2005/20 sayılı Başbakanlık Genelgesi ile çıkarılan Birlikte Çalışabilirlik Esasları Rehberinde elektronik ortamda sunulan hizmetlerde başarı, güven ortamının sağlanmasına bağlı olduğu vurgulanmıştır. Bu da, güvenlikle ilgili politika ve düzenlemelerin geliştirilmesini gerektirir / 38 sayılı Yüksek Planlama Kurulu Kararı yla onaylanan ve 28/07/2006 tarihli ve sayılı Resmi Gazete de yayımlanan Bilgi Toplumu Stratejisi Belgesinde stratejik öncelikler arasında yer alan bilgi güvenliğinin ülke genelinde ve kamu kurumlarında bilgi sistemleri ile elektronik iletişim ve ağ bağlantılarında güvenliğin sağlanması ve sürdürülmesi için gerekli organizasyonel düzenlemelerin gerçekleştirileceğinden bahsedilmektedir. Ayrıca, bilgi güvenliğinin sağlanması için yasal düzenlemelerin yapılacağı da vurgulanmaktadır. 3

4 ISO27001 Nedir?? Kontrol-tabanlı Gruplanmış olarak sunulan kontroller, BG deki en iyi uygulamaları içermektedir. «Bilgi» Standardı Her türlü BİLGİ yi kapsar. Bilgi, her ne şekilde olursa olsun; her nerede saklanırsa saklansın, uygun bir şekilde korunmalıdır! 8 Cümle, 11 Kontrol grubu, 134 kontrol Sertifikalandırılabilir - Uluslararası geçerliliği olan - Risk yönetimi esaslı ISO Tarihçe 1992 The Department of Trade and Industry (DTI), which is part of the UK Government, publish a 'Code of Practice for Information Security Management' This document is amended and re-published by the British Standards Institute (BSI) in 1995 as BS The first major revision of BS7799 was published. This included many major enhancements. Accreditation and certification schemes are launched. LRQA and BSI are the first certification bodies. Tarihçe 2000 In December, BS7799 is again re-published, this time as a fast tracked ISO standard. It becomes ISO (or more formally, ISO/IEC 17799) The 'ISO Toolkit' is launched A second part to the standard is published: BS This is an Information Security Management Specification, rather than a code of practice. It begins the process of alignment with other management standards such as ISO A new version of ISO is published. This includes two new sections, and closer alignment with BS processes ISO is published, replacing BS7799-2, which is withdrawn. This is a specification for an ISMS (information security management system), which aligns with ISO and is compatible with ISO 9001 and ISO

5 17799 nereden geliyor? BS7799 was conceived, as a technology-neutral, vendorneutral management system that, properly implemented, would enable an organization's management to assure itself that its information security measures and arrangements were effective. From the outset, BS7799 focused on protecting the availability, confidentiality and integrity of organizational information and these remain, today, the driving objectives of the standard. BS7799 was originally just a single standard, and had the status of a Code of Practice. In other words, it provided guidance for organizations, but hadn't been written as a specification that could form the basis of an external third party verification and certification scheme. ISO27001 Kurumlardaki bilgi güvenliği yönetimi gereksinimlerini veren, uluslararası kabul gören bir standarttır. ISO standardıdır ve ISO9001 Kalite yönetim sistemi ile pek çok ortak noktası vardır. ISO 9001 Kalite Yönetimindeki en iyi Uygulamalar Nedir? İşletmelerde kalite yönetimi konusunda, uluslararası geçerliliği olan bir standarttır. Bir kuruluşun ürettiği ve kontrol ettiği her türlü ürün ve servise uygulanabilir. Müşteri gereksinimleri ve beklentilerini karşılamak amacıyla yapılması gereken her türlü sistematik aktiviteyi barındırır It is designed and intended to apply to virtually any product or service, made by any process anywhere in the world. Dünya çapında pek çok işletmede uygulanmaktadır 5

6 ISO 9001 Faydaları nelerdir? Implementing a Quality Management System will motivate staff by defining their key roles and responsibilities. Cost savings can be made through improved efficiency and productivity, as product or service deficiencies will be highlighted. From this, improvements can be developed, resulting in less waste, inappropriate or rejected work and fewer complaints. Customers will notice that orders are met consistently, on time and to the correct specification. This can open up the market place to increased opportunities. ISO27001 : Bilgi Güvenliği Yönetim Sistemi İşletmede Bilgi Güvenliğini Sağlamak İçin yapılması gerekenleri ortaya çıkartan bir ISO modelidir. Model aşağıdaki unsurları içerir : -Kurmak -Gerçekleştirmek -İşletmek -İzlemek -Gözden Geçirmek -Sürdürmek -İyileştirmek Diğer ISO standartlarında olduğu gibi SÜREÇ (process) yaklaşımı benimsenmiştir. Süreç yaklaşımında kuruluşun bir çok faaliyetini tanımlaması ve yönetmesi gerekmektedir serisi standartların genel yapısı Fundamentals & Vocabulary 27001:ISMS Risk Management Code of Practice for ISM Implementation Guidance Metrics & Measurement Guidelines on ISMS accreditation 6

7 ISO temel standartları 10 standard have been/about to be published so far : ISO/IEC the certification standard against which organizations' ISMS may be certified (published in 2005) ISO/IEC the re-naming of existing standard ISO (last revised in 2005, and renumbered ISO/IEC 27002:2005 in July 2007) ISO/IEC a guide to the certification/registration process (published in 2007) ISO/IEC a standard vocabulary for the ISMS standards ISO/IEC a new ISMS implementation guide ISO/IEC a new standard for information security management measurements ISO/IEC a proposed standard for risk management ISO/IEC a guideline for auditing information security management systems ISO/IEC a guideline for telecommunications in information security management system ISO/IEC guidance on implementing ISO/IEC in the healthcare industry ISO/IEC a new standard for maintaining business continuity ISO/IEC network security ISO/IEC ISO/IEC sertifikasyonu genellikle 3 aşamalı bir denetleme sürecinden oluşmaktadır: Stage 1 is a "table top" review of the existence and completeness of key documentation such as the organization's security policy, Statement of Applicability (SoA) and Risk Treatment Plan (RTP). Stage 2 is a detailed, in-depth audit involving testing the existence and effectiveness of the information security controls stated in the SoA and RTP, as well as their supporting documentation. Stage 3 is a follow-up reassessment audit to confirm that a previously-certified organization remains in compliance with the standard. Certification maintenance involves periodic reviews and re-assessments to confirm that the ISMS continues to operate as specified and intended. ISO/IEC ISO/IEC provides best practice recommendations on IS security management systems (ISMS). The standard contains the following twelve main sections: 1. Risk Assessment determining asset vulnerability 2. Security Policy - management direction 3. Organization of Information Security - governance of information security 4. Asset Management - inventory and classification of information assets 5. Human Resources Security - security aspects for employees joining, moving and leaving an organization 6. Physical and Environmental Security - protection of the computer facilities 7

8 ISO/IEC Communications and Operations Management - management of technical security controls 8. Access Control - restriction of access rights to networks, systems, applications, functions and data 9. Information Systems Acquisition, development and maintenance - building security into applications 10. Information Security Incident Management - anticipating and responding appropriately to security breaches 11. Business Continuity Management - protecting, maintaining and recovering business-critical processes and systems 12. Compliance - ensuring conformance with information security policies, standards, laws and regulations ISO/IEC Within each section, information security controls and their objectives are specified and outlined. Specific controls are not mandated since: Each organization is expected to undertake a structured information security risk assessment process to determine its specific requirements before selecting controls that are appropriate to its particular circumstances. It is practically impossible to list all conceivable controls in a general purpose standard. Industry-specific implementation guidance for ISO/IEC and are anticipated to give advice tailored to organizations in the telecomms, financial services, healthcare, lotteries and other industries. PUKÖ PUKÖ, bir BGYS nin bilgi güvenliği gereksinimlerini ve ilgili tarafların beklentilerini girdi olarak nasıl aldığını ve gerekli eylem ve prosesler aracılığıyla, bu gereksinimleri ve beklentileri karşılayacak bilgi güvenliği sonuçlarını nasıl ürettiğini gösterir. Yukarıdaki şekil ayrıca, standarttaki Madde 4, Madde 5, Madde 6, Madde 7 ve Madde 8 de sunulan proseslerdeki bağlantıları da gösterir. 8

9 PUKÖ Plan Do Check Act Cycle (PDCA) Plan Establish the ISMS Interested parties Implement and operate the ISMS Maintain and improve the ISMS Interested parties Do Act Information security requirements and expectations Monitor and review the ISMS Check Managed information security PUKÖ BGYS Kurulması BGYS kapsamını belirlemek BGYS politikasını tanımlamak Risk yönetimi için sistematik bir yaklaşım tanımlamak Riskleri belirlemek Riskleri değerlendirmek Riskleri azaltmak için kullanılabilecek seçenekleri belirlemek ve değerlendirmek Riskleri azaltmak için kontrol amaçlarını ve kontrolleri belirlemek Uygulanabilirlik Bildirgesi (Prepare a Statement of Applicability (SOA)) hazırlamak Kalan riskleri belirlemek ve bunlar için yönetimin onayını almak BGYS çalıştırmak/uygulamak için yönetimin onayını almak 9

10 PUKÖ BGYS nin Uygulanması Riski azaltma planını formüle etmek Prosedürler Riski azaltma planını uygulamak Seçilen kontrolleri uygulamak Eğitimler ve farkındalıklık programları düzenlemek Operasyonları yönetmek Kaynakları yönetmek Güvenlik ihlallerini saptamak ve karşılamak için prosedür ve kontrolleri uygulamak BGYS nin Kontrol Edilmesi PUKÖ İzleme prosedürlerini çalıştırmak Düzenli gözden geçirmeler yapmak Artık risklerin seviyesini gözden geçirmek İç denetimler yapmak Yönetim değerlendirmeleri (yönetimin gözden geçirmesi) yapmak Güvenlik ihlal olaylarını ve bunlara verilen cevapları kayıt altına almak PUKÖ BGYS nin Bakımı, İyileştirilmesi ve Sürdürülebilir Halde Olması Tanımlanan iyileştirmeleri uygulanması Önleyici ve düzeltici faaliyetlerin yapılması Sonuçların değerlendirilmesi, tartışılması Verimlilik 10

11 BGYS KURULUMU BGYS kurulum isteği kurumun üst yönetimi tarafından benimsenmelidir. Üst yönetim desteği BGYS nin başarıya ulaşması açısından hayati öneme sahiptir. Üst yönetim BGYS nin gerekliliğine ve faydasına inanmalıdır. BGYS kurulumu bir BT ürünü veya sistemi kurulumuyla karıştırılmamalıdır. BGYS kurumun iş yapma tarzını etkileyen köklü bir sistemdir ve kurumu tümden etkiler. Tüm kademelerdeki çalışanların işini yaparken bilgi güvenliği prensiplerine uygun hareket etmesini gerekli kılar. Bu bilincin oluşması ve işleyişe geçmesi de bir gelişim sürecinin sonucu olacaktır. BGYS KURULUMU BGYS sadece kurumun BT bölümüne ait bir iş değildir. BGYS tamamen bir teknoloji meselesi veya teknik bir iş de değildir. Tüm kurumun aktif halde katılımıyla hedefine ulaşabilecek bir sistemdir. En üst kademe yöneticiden en alt seviye çalışana kadar katılım ve destek şarttır. Aksi halde BGYS den beklenen faydanın elde edilmesi mümkün değildir BGYS Kurulumu Etkin bir BGYS kurulumu konusunda ilk yapılması gereken işlerden bir diğeri de kurum içinde bir Bilgi Güvenliği Komisyonu oluşturulmasıdır. Bilgi güvenliği komisyonu (Güvenlik Forumu da denir) kurum içindeki her bölümden temsilcilerden oluşur. Bilgi işlem, iç denetim, muhasebe, insan kaynakları, güvenlik ve diğer tüm bölümlerden temsilciler bu komisyonda yer almalıdır. Komisyon temsilcileri bilgi güvenliği konusunda deneyimli ve bilgili, bunun yanında kendi bölümlerini temsil edebilme yetkisine sahip kişiler olmalıdır. Komisyon temsilcileri bilgi güvenliği konusunda yeterli bilgi seviyesine sahip değilse mutlaka BGYS eğitimleri almalıdır. 11

12 BGYS Kurulumu Tüm bölümlerden temsilcilerin komisyonda yer alması BGYS nin başarı şansını arttırır. BGYS in kurumun tamamına nüfuz etmesini kolaylaştırır. Kurum çapındaki güvenlik ihtiyaçlarının daha etkin bir biçimde farkında olunmasını sağlar. Bu durum BGYS in doğru planlanması ve sağlıklı işlemesi açısından hayati öneme sahiptir. Her bölümden bir temsilcinin katılımı yönetim ve teknik kadro arasındaki iletişim kopukluğunu gidermeye de yarar. Sorunları ve ihtiyaçları yerinde yaşayan kişiler belli konularda yönetimin daha rahat ikna edilmesini sağlar. Bilgi güvenliği komisyonu sayesinde BGYS ile ilgili görev ve sorumluluklar da kurum içinde dağıtılmış olur. ISO27001 Uygulama Süreci BGYS Politikası Bu politika, hedefleri ortaya koyan, yönetime yön veren ve harekete geçiren, hangi riskin değerlendirmeye alınacağına ilişkin risk yönetim kapsamı ve kriterini belirleyen bir çerçeve sunmalıdır. BGYS politikasının amacını bulması için yönetim politika içeriğindeki maddelerin uygulamaya geçirileceğine ilişkin kararlarlığını çalışanlara hissettirmelidir. 12

13 Risk Değerlendirme Yaklaşımı Bilgi güvenliği politikası temel alınarak sistematik bir risk değerlendirme yaklaşımı belirlenmelidir. Kurum kendine uygun bir metodoloji seçmekte serbesttir. Seçilen risk değerlendirme metodolojisi kıyaslanabilir ve tekrarlanabilir sonuçlar üretmeyi garanti etmelidir. Bu adımda kabul edilebilecek risk seviyeleri belirlenmeli ve bunlar için ölçütler geliştirilmelidir. Risk Belirleme Korunması gereken varlıkları tehdit eden riskler, önceki adımda belirlenen yöntem kullanılarak tespit edilmelidir. BGYS içerisindeki tüm varlıkların tanımlanması, yani varlık envanterinin çıkarılması risk değerlendirme işinin esasını oluşturur. Kurum BGYS kapsamına dahil edeceği tüm varlıkların sahiplerini, türünü ve önem derecesini bir envanter listesi şeklinde belgelemelidir. Bir varlığın önem derecesini belirlemek için bu varlığın gizliliğine,bütünlüğüne ve kullanılabilirliğine gelecek zararın kuruma yapacağı etkinin derecesini baştan ortaya koymak gerekmektedir. Risk Analizi ve Değerlendirilmesi Tespit edilen risklerin analizi ve derecelendirilmesi yapılmalıdır. Bu adım bir önceki adımda tespit edilen risklerin yorumlanması olarak görülebilir. Risk analizi yaparken riske neden olan tehdit ve açıklıklardan yola çıkılmalıdır. Riskin derecelendirilmesi veya değerinin belirlenebilmesi için öncelikle tehdidin gerçekleşme olasılığı ile etki derecesi hesaplanmalıdır. Bunlar sayısal değerler kullanılarak hesaplanabileceği gibi rakamlarla ifadenin zor olduğu durumlarda düşük, orta, yüksek gibi nitel değerlerle de belirlenebilir. 13

14 Risk Analizi ve Değerlendirilmesi Riskin kabul edilebilir olup olmadığı Risk Değerlendirme Yaklaşımında belirlenen ölçütler kullanılarak tespit edilmelidir. Tüm bu hesaplama ve değerlemeler uygulanmakta olan mevcut kontroller de dikkate alınarak yapılmalıdır. Kontroller risk değerini azaltabilir. Bu adım sonunda bir risk değerlendirme sonuç raporu yayınlanmalıdır. Riski Azaltma Bu adımda risk değerlendirme sonuç raporundan yola çıkılarak uygun risk azaltma/tedavi (risk treatment) yöntemleri belirlenmelidir. Belli bir risk karşısında dört farklı tavır alınabilir: Uygun kontroller uygulanarak riskin ortadan kaldırılması veya kabul edilebilir seviyeye düşürülmesi Riskin oluşmasına neden olan faktörleri ortadan kaldırarak riskten kaçınılması Riskin sigorta şirketleri veya tedarikçiler gibi kurum dışındaki taraflara aktarılması Kurum politikalarına ve risk kabul ölçütlerine uyması şartıyla riskin objektif bir biçimde ve bilerek kabul edilmesi Kontrollerin Seçimi Risk işleme süreci sonuçlarına uygun kontrol ve kontrol hedeflerinin seçilmesi gerekir. TS ISO/IEC 27001:2008 de bu kontrollerden detaylı bir biçimde bahsedilmektedir. Bu kontroller standartta yol gösterici olması amacıyla verilmiştir. Kurum kendisine ek olarak başka kontroller de seçmekte serbesttir. ISO27001 kontrolleri, sektör tecrübelerinden faydalanmak suretiyle, standart etki alanlarında olabildiğince geniş kapsamlı olarak belirlenmiş olsa da dış kaynaklı kontrollere ihtiyaç olabilmektedir. 14

15 Yönetimin Onayı Artık Risk Onayı Risk işleme süreci sonrasında geriye kalan riske artık risk (residual risk) denir. Bunlar kabul edilen riskler veya tamamen ortadan kaldırılamayan riskler olabilir. Kurum üst yönetimi artık riskler için onay vermelidir. Bu adım sonunda artık risk onay belgesi oluşturulmalıdır. Yönetim Onayı Risk yönetimi adımlarını geçtikten sonra BGYS işletimi ve uygulamasını yapmak için yönetimden onay almak gerekmektedir. Uygulanabilirlik Bildirgesi (SOA) Son olarak risklere karşı seçilen kontrolleri içeren bir Uygulanabilirlik Bildirgesi hazırlanarak BGYS kurulum işi tamamlanır. Uygulanabilirlik Bildirgesi daha önce seçilen kontrollerin neler olduğu ve bunların hangi gerekçelerle seçildiğini anlatmalıdır. TS ISO/IEC EKA dan seçilmeyen kontrollerin neler olduğu ile bunların seçilmeme gerekçeleri de Uygulanabilirlik Bildirgesinde verilmelidir. Ayrıca mevcut durumda uygulanmakta olan kontroller de yine bu belge içinde yer bulmalıdır. Normalde, kontroller ISO27001 den seçilir. Ancak, firmaya özel kontroller ya da başka gereksinimleri/standartları karşılamak üzere uygulanması gereken kontroller de olabilir SOA SOA dokümanında seçilecek kontrolün uygulanması ile ilgili olarak, gerekli politikalar ve prosedürlere referans verilmelidir. Ayrıca, seçilmeyen kontrollerin neden seçilmediği ile ilgili olarak da bir gerekçe dokümanı hazırlanması yararlı olacaktır. SOA oluşturulduktan sonraki adım programın uygulanması olacaktır. 15

16 BGYS KURULUMU - ADIMLAR ISO ALAN (Kategori) altında 39 adet kontrol amacı Bu amaçları gerçekleştirmek için yapılması gereken TOPLAM 133 tane kontrol ALANLAR A.5: Güvenlik Politikası A.6: Bilgi Güvenliği Organizasyonu A.7: Varlık Yönetimi A.8: İnsan Kaynakları Güvenliği A.9: Fiziksel ve Çevresel Güvenlik A.10: Haberleşme ve İşletim Yönetimi A.11: Erişim Kontrolü A.12: Bilgi Sistemleri Edinim, geliştirme ve bakımı A.13: Bilgi Güvenliği İhlal Olayı Yönetimi A.14: İş Sürekliliği Yönetimi A.15: Uyum 16

17 ISO27001 Kontrolleri Her bir alanla ilgili bir ya da birden çok bilgi güvenliği amacı bulunmaktadır. (Toplam 39 tane control objectives) İlgili alandaki BG amaçlarını gerçekleştirebilmek için uygulanması gereken kontroller var (Toplam 133 tane) Örnek : Kontrol Amaçları GÜVENLİK POLİTİKASI 17

18 18

19 ISO27001 STANDART İNCELEMESİ 19