Bilindiği üzere Bilgi Güvenliği Yönetim Sistemi, bilgi ve bilgi varlıklarının

Ebat: px

Şu sayfadan göstermeyi başlat:

Download "Bilindiği üzere Bilgi Güvenliği Yönetim Sistemi, bilgi ve bilgi varlıklarının"

Emin Özbilgin
7 yıl önce
İzleme sayısı:

1 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ VE İŞ SÜREKLİLİĞİ - 1 Bilindiği üzere Bilgi Güvenliği Yönetim Sistemi, bilgi ve bilgi varlıklarının Gizliliği Tamlığı (Bütünlüğü) Erişebilirliği (Kullanılabilirliği) Üzerine inşa edilmiş ve risk yaklaşımına dayanan bir yönetim sistemidir. ISO/IEC kılavuzunda ayrıntıları verilen ve İş Sürekliliği olarak tasnif edilen Bilgi nin ve bilginin üzerinde durduğu Bilgi Varlıkları nın sürekliliği kontrol kriterleri A-14 başlığı altında işlenmiştir. A-14 Kontrol Kriterleri A.14,1 İş sürekliliği yönetiminin bilgi güvenliği hususları Amaç: İş faaliyetlerindeki kesilmeleri önlemek ve önemli iş proseslerini büyük bilgi sistemleri başarısızlı 1 / 10

2 A Bilgi güvenliğini iş sürekliliği yönetim prosesine dahil etme Kuruluş genelinde iş sürekliliği için, bu amaçla ihtiyaç duyulan bilgi güvenliği gereksinimlerini ifade eden A İş sürekliliği ve risk değerlendirme İş proseslerinde kesintilere yol açan olaylar, bu tür kesintilerin olasılığı ve etkisi ve bunların bilgi güvenl A Bilgi güvenliğini içeren süreklilik planlarını geliştirme ve gerçekleştirme Önemli iş proseslerinde yaşanan kesintileri ya da başarısızlıkları takiben iş operasyonlarını sürdürmek A İş sürekliliği planlama çerçevesi Tüm planların tutarlı olmasını sağlamak, tutarlı şekilde bilgi güvenliği gereksinimlerini ifade etmek ve te 2 / 10

3 A İş sürekliliği planlarını test etme, sürdürme ve yeniden değerlendirme İş sürekliliği planları, güncel ve etkili olmalarını sağlamak için, düzenli olarak test edilmeli ve güncelleşti İş sürekliliği Yönetimi yalnızca ISO/IEC yönetim sistemi serisi için değil aynı zamanda ISO BT Servis Yönetimi Sistemi serisi için de kritik önemi olan bir yönetim sistemidir. Son dönemde önemi ortaya çıkan BS İş Sürekliliği Standardı özellikle ticari kurumların iş sürekliliği yapılarının yönetimi, tasarlanması, planlanması, uygulanması ve geliştirilmesine yönelik bir çerçeve sunmaktadır. Ancak uygulamada veya sistemin kurulması sürecinde neler yapılacağı konusunda danışmanların, kuruluşların yardımcısı olabilecek kaynaklara erişim hem sınırlı hem kısıtlıdır. Denetimler esnasında kuruluşların en az üzerinde durduğu veya geliştirebildiği konu İş Sürekliliği konusudur. Amacımız bu yazıda BT esaslı İş Sürekliliği için bir çerçeve ortaya koyabilmektir. Geliştirmek, derinleştirmek ise hepimizin sorumluluğundadır. 3 / 10

4 BT esaslı İş Sürekliliği Yönetimi; Masaüstü ve taşınır sistemler Sunucular (donanım) Sunucular (yazılım) Web servisleri / siteleri LAN / WAN Dağıtık sistemler Mainframe yapılar üzerine inşa edilir. Her bir bileşenin enerji beklentileri, çalışan / müşteri odaklı personel gereksinimleri, fiziksel alanlar (elektrik kabloları, data kabloları, telefon kabloları, odalar, kapılar vs.), çevre faktörleri (çalışma ortamları, toz, nem, ısı vs) İş Sürekliliği Yönetimi sistemlerinde içkindir (Sistemlerin alt bileşenleri içinde spesifikasyonları ile vardırlar). BT İş Sürekliliği Süreci aşağıda belirtilen yedi adımda kurulabilir. Her bir adım için ayrı tasarım, geliştirme ve prosedürler yazılabilir. 1. İş Sürekliliği Planı için politika ifadeleri geliştirmek. Tüm bölümler için tanımlanmış, iş sürekliliği faaliyetlerinin etkinliğini, denetimlerini 4 / 10

5 geliştirecek politikalar, kılavuzlar. 2. İş Etki Analizi (Business Impact Analysis-BIA) yapmak. BIA BT sistemleri ve bileşenleri için öncelikleri tanımlar. İş sürekliliğinin gelişimi için kullanıcılara yardımcı olacak şablonlar hazırlamak. 3. Önleyici kontrolleri belirlemek, tanımlamak. İş sürekliliği maliyetlerini düşürmek, sistemlerin ulaşılabilirliğini artırmak ve kesintilerini azaltmak için kontroller seçmek ve bu kontroller için ölçekler belirlemek. 4. Kurtarma stratejileri Geliştirmek. Bozulan, kesilen sistemleri hızlı ve etkin bir şekilde geri almayı sağlayacak tam, eksiksiz kurtarma stratejileri belirlemek. 5. BT İş Sürekliliği Planı geliştirmek. İş Sürekliliği Planı sistemlerin hasara uğraması halinde yapılacak işlere dair kılavuzlar ve geri yükleme faaliyetlerini içerir. 6. Planların test edilmesi, eğitimler ve tatbikatlar. Planların açıklıkları, eksikliklerinin yönetilebilmesi için kurtarma personeline yönelik etkinlikler, hazırlıklı olmak için uygulamalar. 7. Planların gözden geçirilmesi. Planlama dokümanları sürekli güncellenmeli, geliştirilmelidir. Sistemlerin sürdürülebilirliğinin etkinliği artırılmalıdır. BT İş Sürekliliği planlaması, BT sistemlerinin maruz kalacağı kesintileri en aza indirgemek amacı ile kesintilere yönelik operasyonlara, çözüm planlarına, prosedürlere, teknik ölçümlere dayanır. Planlama, BT servislerinin durması halinde genellikle aşağıdaki yaklaşımlara dayanan işlemleri içerir: 5 / 10

6 BT işlemleri için geri yüklemeler ve alternatif yerler Kurtarma için BT operasyonları için alternatif ekipmanlar BT dışı tüm iş süreçlerinin performansları İş Sürekliliği Planlaması için görev, rol ve sorumluluklar ise kısaca aşağıdaki gibi tanımlanabilir: Yöneticiler. İş sürekliliği planında yer alan tüm birimlerin sorumluları ile birlikte iş sürekliliği planlarından sorumlu olan yöneticiler Sistem yöneticileri. BT operasyonlarına yönelik günlük işlemleri sürdüren yöneticiler. Bilgi Güvenliği Sistem uygulayıcıları ve geliştirme, uygulama, bakım ve organizasyon bilgi teknolojileri faaliyetlerini sürdüren personel. Bilgi sistemlerini tasarlayan, geliştiren, uygulayan ve düzenleyen sistem mühendisleri ve mimarları. Masaüstü ve taşınır bilgisayarların kullanıcıları. Bilgi sistemlerini tasarlayan, geliştiren, uygulayan, bakan ve kullanan diğer personel. 6 / 10

7 İş Sürekliliği ile İlişkili Diğer Planlar ise aşağıdadır: Plan Amaç Kapsam İş Sürekliliği Planı Temel iş operasyonlarının sürdürülmesi için prosedürler İş süreçleri BT esaslı iş süreçleri İşe Yeniden Başlama Planı Felaketten hemen sonra kurtarma prosedürleri İş süreçleri 7 / 10

8 BT odaklı değil BT esaslı süreçler Süreklilik Operasyonları Planı 30 güne kadar işlerin sürdürülebilirliği için iş gerekleri, stratejik fonksiyonlar için prosedürler. BT odaklı değil Kurumsal misyon için kritik Genellikle üst yönetimler için Destek Sürekliliği / BT Sürekliliği Planı Genel destek veya major uygulamaları kurtarmak için kapasiteler ve prosedürler BT odaklı BT Sürekliliği Planı 8 / 10

9 BT Sistem kesintileri Kriz İletişim Planı Personel ve halk için ilgili raporları yayınlama ve bilgilendirme prosedürleri BT odaklı değil Personel ve halk için iletişim araçları İnternet temelli İhlallere Yönelik Karşılık Planları Kötü niyetli internet esaslı saldırılara karşı taramalar, limit sınırlamaları. Bilgi güvenliği esaslı Sistemlere veya ağlara yönelik ihlallerin etkile Felaket Kurtarma Planı Alternatif yerler, imkanlar, varlıklar için ayrıntılı kapasite ve prosedürler 9 / 10

10 BT bazlı Büyük kesintiler Uzun süreli etkiler Acil Durum Planı Fiziksel tehditler için minimum kayıplar, hasarlar için koordinasyon prosedürleri Personel odaklı BT esaslı Özel durumlar 10 / 10

Benzer belgeler

Bilindiği üzere Bilgi Güvenliği Yönetim Sistemi, bilgi ve bilgi varlıklarının

BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ VE İŞ SÜREKLİLİĞİ - 1 Bilindiği üzere Bilgi Güvenliği Yönetim Sistemi, bilgi ve bilgi varlıklarının Gizliliği Tamlığı (Bütünlüğü) Erişebilirliği (Kullanılabilirliği) Üzerine