YZM5604 Bilgi Güvenliği Yönetimi 25 Kasım 2014 Dr. Orhan Gökçöl http://akademik.bahcesehir.edu.tr/~gokcol/yzme5604 Bahçeşehir Üniversitesi, Fen Bilimleri Enstitüsü Duyuru Proje Grupları Oluşturma => YARIN SON GÜN!!!! 1
ISO27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMLERİ GEREKSİNİMLERİ ISO27001 Kurumlardaki bilgi güvenliği yönetimi gereksinimlerini veren, uluslararası kabul gören bir standarttır. ISO standardıdır ve ISO9001 Kalite yönetim sistemi ile pek çok ortak noktası vardır. SON SÜRÜMÜ ISO/IEC 27001:2013 2
ISO 9001 Kalite Yönetimindeki en iyi Uygulamalar Nedir? ISO 9001, işletmelerde kalite yönetimini tesis etmek için kullanılan ve uluslararası kabul gören bir standarttır. Ürünleri ortaya çıkartan ve kontrol eden tüm iş süreçlerine ve işletmenin sunduğu bütün servislere uygulanabilir. Müşteri beklentileri ve müşteri ihtiyaçlarını karşılamak amacıyla yapılması gereken faaliyetlerin sistematik kontrolünün sağlanmasını gerekli kılar. Dünya üzerinde, sektör bağımsız olarak bilinen tüm ürün ve servislere uygulanabilir. ISO9001 uygulayan çok fazla miktarda işletme vardır. ISO 9001 Faydaları nelerdir? Kalite yönetim sisteminin uygulanıyor olması çalışanları motive eder. Anahtar roller ve sorumlulukları belirli kılar. Verimlilik ve üretkenlik artışları neticesinde maliyetler düşer. Ürün ya da servislerde olabilecek sorunlar daha kolay belirlenebilir. Bundan ötürü, çeşitli iyileştirme olanakları kullanılarak; daha az atık, uygun olmayan/reddedilen iş ve daha az şikayet gibi güzel sonuşlar ortaya çıkar. Müşteriler siparişlerinin zamanında ve sürekli olarak, doğüru olarak karşılandığını farkedeceklerdir. Bu da, pazarda sürekli artan iş fırsatlarına dönüşebilmektedir. 3
ISO27001 : Bilgi Güvenliği Yönetim Sistemi İşletmede Bilgi Güvenliğini Sağlamak İçin yapılması gerekenleri ortaya çıkartan bir ISO modelidir. Model aşağıdaki unsurları içerir : -Kurmak -Gerçekleştirmek -İşletmek -İzlemek -Gözden Geçirmek -Sürdürmek -İyileştirmek Diğer ISO standartlarında olduğu gibi SÜREÇ (process) yaklaşımı benimsenmiştir. Süreç yaklaşımında kuruluşun bir çok faaliyetini tanımlaması ve yönetmesi gerekmektedir. 27000 Serisi standartların yapısı 27000 Temeller ve anahtar kelimeler 27001:BGYS 27005 Risk Yönetimi 27002 BGY Uygulama Yönergesi 27003 BGY Uygulama Esasları 27004 Metrikler ve Ölçme 27006 BGYS akreditasyonu kılavuzu 27007 BGYS denetim kılavuzu (iç, dış, yönetim gözden geçirme) 27008 Denetçiler için BGYS kontrolleri kılavuzu 4
PUKÖ PUKÖ, bir BGYS nin bilgi güvenliği gereksinimlerini ve ilgili tarafların beklentilerini girdi olarak nasıl aldığını ve gerekli eylem ve prosesler aracılığıyla, bu gereksinimleri ve beklentileri karşılayacak bilgi güvenliği sonuçlarını nasıl ürettiğini gösterir. Yukarıdaki şekil ayrıca, standarttaki Madde 4, Madde 5, Madde 6, Madde 7 ve Madde 8 de sunulan proseslerdeki bağlantıları da gösterir. PUKÖ 5
Plan Do Check Act Cycle (PDCA) Plan Establish the ISMS Interested parties Implement and operate the ISMS Maintain and improve the ISMS Interested parties Do Act Information security requirements and expectations Monitor and review the ISMS Check Managed information security PUKÖ BGYS Kurulması BGYS kapsamını belirlemek Üst yönetimin liderliği ve taahhüt; organizasyonel roller ve sorumluluklar BG politikasını tanımlamak Risk yönetimi için sistematik bir yaklaşım tanımlamak Riskleri belirlemek Riskleri değerlendirmek Riskleri azaltmak için kullanılabilecek seçenekleri belirlemek ve değerlendirmek Riskleri azaltmak için kontrol amaçlarını ve kontrolleri belirlemek Uygulanabilirlik Bildirgesi (Prepare a Statement of Applicability (SOA)) hazırlamak Kalan riskleri belirlemek ve bunlara yönetimin onayını almak BGYS çalıştırmak/uygulamak için yönetimin onayını almak 6
PUKÖ BGYS nin Uygulanması Riski azaltma planını formüle etmek Riski azaltma planını uygulamak Seçilen kontrolleri uygulamak Eğitimler ve farkındalıklık programları düzenlemek Çalışanların ne gibi yetkinlikleri olması gerekir? Operasyonları yönetmek Kaynakları yönetmek Güvenlik ihlallerini saptamak ve karşılamak için prosedür ve kontrolleri uygulamak BGYS nin Kontrol Edilmesi PUKÖ İzleme prosedürlerini çalıştırmak Düzenli gözden geçirmeler yapmak Artık risklerin seviyesini gözden geçirmek İç denetimler yapmak Yönetim değerlendirmeleri (yönetimin gözden geçirmesi) yapmak Güvenlik ihlal olaylarını ve bunlara verilen cevapları kayıt altına almak 7
PUKÖ BGYS nin Bakımı, İyileştirilmesi ve Sürdürülebilir Halde Olması Tanımlanan iyileştirmeleri uygulanması Önleyici ve düzeltici faaliyetlerin yapılması Sonuçların değerlendirilmesi, tartışılması Verimlilik SÜREKLİ İYİLEŞTİRME! BGYS KURULUMU BGYS kurulum isteği kurumun üst yönetimi tarafından benimsenmelidir. Üst yönetim desteği BGYS nin başarıya ulaşması açısından hayati öneme sahiptir. Üst yönetim BGYS nin gerekliliğine ve faydasına inanmalıdır. BGYS kurulumu bir BT ürünü veya sistemi kurulumuyla karıştırılmamalıdır. BGYS kurumun iş yapma tarzını etkileyen köklü bir sistemdir ve kurumu tümden etkiler. Tüm kademelerdeki çalışanların işini yaparken bilgi güvenliği prensiplerine uygun hareket etmesini gerekli kılar. Bu bilincin oluşması ve işleyişe geçmesi de bir gelişim sürecinin sonucu olacaktır. 8
BGYS KURULUMU BGYS sadece kurumun BT bölümüne ait bir iş değildir. BGYS tamamen bir teknoloji meselesi veya teknik bir iş de değildir. Tüm kurumun aktif halde katılımıyla hedefine ulaşabilecek bir sistemdir. En üst kademe yöneticiden en alt seviye çalışana kadar katılım ve destek şarttır. Aksi halde BGYS den beklenen faydanın elde edilmesi mümkün değildir BGYS Kurulumu Etkin bir BGYS kurulumu konusunda ilk yapılması gereken işlerden bir diğeri de kurum içinde bir Bilgi Güvenliği Komisyonu oluşturulmasıdır. Bilgi güvenliği komisyonu (Güvenlik Forumu da denir) kurum içindeki her bölümden temsilcilerden oluşur. Bilgi işlem, iç denetim, muhasebe, insan kaynakları, güvenlik ve diğer tüm bölümlerden temsilciler bu komisyonda yer almalıdır. Komisyon temsilcileri bilgi güvenliği konusunda deneyimli ve bilgili, bunun yanında kendi bölümlerini temsil edebilme yetkisine sahip kişiler olmalıdır. Komisyon temsilcileri bilgi güvenliği konusunda yeterli bilgi seviyesine sahip değilse mutlaka BGYS eğitimleri almalıdır. 9
BGYS Kurulumu Tüm bölümlerden temsilcilerin komisyonda yer alması BGYS nin başarı şansını arttırır. BGYS in kurumun tamamına nüfuz etmesini kolaylaştırır. Kurum çapındaki güvenlik ihtiyaçlarının daha etkin bir biçimde farkında olunmasını sağlar. Bu durum BGYS in doğru planlanması ve sağlıklı işlemesi açısından hayati öneme sahiptir. Her bölümden bir temsilcinin katılımı yönetim ve teknik kadro arasındaki iletişim kopukluğunu gidermeye de yarar. Sorunları ve ihtiyaçları yerinde yaşayan kişiler belli konularda yönetimin daha rahat ikna edilmesini sağlar. Bilgi güvenliği komisyonu sayesinde BGYS ile ilgili görev ve sorumluluklar da kurum içinde dağıtılmış olur. BGYS Politikası Bu politika, hedefleri ortaya koyan, yönetime yön veren ve harekete geçiren, hangi riskin değerlendirmeye alınacağına ilişkin risk yönetim kapsamı ve kriterini belirleyen bir çerçeve sunmalıdır. BGYS politikasının amacını bulması için yönetim politika içeriğindeki maddelerin uygulamaya geçirileceğine ilişkin kararlarlığını çalışanlara hissettirmelidir. 10
Risk Değerlendirme Yaklaşımı Bilgi güvenliği politikası temel alınarak sistematik bir risk değerlendirme yaklaşımı belirlenmelidir. Kurum kendine uygun bir metodoloji seçmekte serbesttir. Seçilen risk değerlendirme metodolojisi kıyaslanabilir ve tekrarlanabilir sonuçlar üretmeyi garanti etmelidir. Bu adımda kabul edilebilecek risk seviyeleri belirlenmeli ve bunlar için ölçütler geliştirilmelidir. Risk Belirleme Korunması gereken varlıkları tehdit eden riskler, önceki adımda belirlenen yöntem kullanılarak tespit edilmelidir. BGYS içerisindeki tüm varlıkların tanımlanması, yani varlık envanterinin çıkarılması risk değerlendirme işinin esasını oluşturur. Kurum BGYS kapsamına dahil edeceği tüm varlıkların sahiplerini, türünü ve önem derecesini bir envanter listesi şeklinde belgelemelidir. Bir varlığın önem derecesini belirlemek için bu varlığın gizliliğine,bütünlüğüne ve kullanılabilirliğine gelecek zararın kuruma yapacağı etkinin derecesini baştan ortaya koymak gerekmektedir. 11
Risk Analizi ve Değerlendirilmesi Tespit edilen risklerin analizi ve derecelendirilmesi yapılmalıdır. Bu adım bir önceki adımda tespit edilen risklerin yorumlanması olarak görülebilir. Risk analizi yaparken riske neden olan tehdit ve açıklıklardan yola çıkılmalıdır. Riskin derecelendirilmesi veya değerinin belirlenebilmesi için öncelikle tehdidin gerçekleşme olasılığı ile etki derecesi hesaplanmalıdır. Bunlar sayısal değerler kullanılarak hesaplanabileceği gibi rakamlarla ifadenin zor olduğu durumlarda düşük, orta, yüksek gibi nitel değerlerle de belirlenebilir. Risk Analizi ve Değerlendirilmesi Riskin kabul edilebilir olup olmadığı Risk Değerlendirme Yaklaşımında belirlenen ölçütler kullanılarak tespit edilmelidir. Tüm bu hesaplama ve değerlemeler uygulanmakta olan mevcut kontroller de dikkate alınarak yapılmalıdır. Kontroller risk değerini azaltabilir. Bu adım sonunda bir risk değerlendirme sonuç raporu yayınlanmalıdır. 12
Riski Azaltma Bu adımda risk değerlendirme sonuç raporundan yola çıkılarak uygun risk azaltma/tedavi (risk treatment) yöntemleri belirlenmelidir. Belli bir risk karşısında dört farklı tavır alınabilir: Uygun kontroller uygulanarak riskin ortadan kaldırılması veya kabul edilebilir seviyeye düşürülmesi Riskin oluşmasına neden olan faktörleri ortadan kaldırarak riskten kaçınılması Riskin sigorta şirketleri veya tedarikçiler gibi kurum dışındaki taraflara aktarılması Kurum politikalarına ve risk kabul ölçütlerine uyması şartıyla riskin objektif bir biçimde ve bilerek kabul edilmesi Kontrollerin Seçimi Risk işleme süreci sonuçlarına uygun kontrol ve kontrol hedeflerinin seçilmesi gerekir. TS ISO/IEC 27001:2013 de bu kontrollerden detaylı bir biçimde bahsedilmektedir. Bu kontroller standartta yol gösterici olması amacıyla verilmiştir. Kurum kendisine ek olarak başka kontroller de seçmekte serbesttir. ISO27001 kontrolleri, sektör tecrübelerinden faydalanmak suretiyle, standart etki alanlarında olabildiğince geniş kapsamlı olarak belirlenmiş olsa da dış kaynaklı kontrollere ihtiyaç olabilmektedir. 13
Yönetimin Onayı Artık Risk Onayı Risk işleme süreci sonrasında geriye kalan riske artık risk (residual risk) denir. Bunlar kabul edilen riskler veya tamamen ortadan kaldırılamayan riskler olabilir. Kurum üst yönetimi artık riskler için onay vermelidir. Bu adım sonunda artık risk onay belgesi oluşturulmalıdır. Yönetim Onayı Risk yönetimi adımlarını geçtikten sonra BGYS işletimi ve uygulamasını yapmak için yönetimden onay almak gerekmektedir. Uygulanabilirlik Bildirgesi (SOA) Son olarak risklere karşı seçilen kontrolleri içeren bir Uygulanabilirlik Bildirgesi hazırlanarak BGYS kurulum işi tamamlanır. Uygulanabilirlik Bildirgesi daha önce seçilen kontrollerin neler olduğu ve bunların hangi gerekçelerle seçildiğini anlatmalıdır. TS ISO/IEC 27001 EK A dan seçilmeyen kontrollerin neler olduğu ile bunların seçilmeme gerekçeleri de Uygulanabilirlik Bildirgesinde verilmelidir. Ayrıca mevcut durumda uygulanmakta olan kontroller de yine bu belge içinde yer bulmalıdır. Normalde, kontroller ISO27001 den seçilir. Ancak, firmaya özel kontroller ya da başka gereksinimleri/standartları karşılamak üzere uygulanması gereken kontroller de olabilir 14
SOA SOA dokümanında seçilecek kontrolün uygulanması ile ilgili olarak, gerekli politikalar ve prosedürlere referans verilmelidir. Ayrıca, seçilmeyen kontrollerin neden seçilmediği ile ilgili olarak da bir gerekçe dokümanı hazırlanması yararlı olacaktır. SOA oluşturulduktan sonraki adım programın uygulanması olacaktır. BGYS KURULUMU - ADIMLAR 15
ISO27001 13 ALAN (Kategori) altında 35 adet kontrol amacı Bu amaçları gerçekleştirmek için yapılması gereken TOPLAM 114 tane kontrol ALANLAR A.5: Bilgi Güvenliği Politikaları A.6: Bilgi Güvenliği Organizasyonu A.7: İnsan Kaynakları Güvenliği A.8: Varlık Yönetimi A.9: Erişim Kontrolü A.10: Kriptografi (Şifreleme) A.11: Fiziksel ve Çevresel Güvenlik A.12: İşlemler Güvenliği A.13: Haberleşme Güvenliği A.14: Bilgi Sistemleri Edinim, geliştirme ve bakımı A.15: Tedarikçi İlişkileri A.16: Bilgi Güvenliği İhlal Olayı Yönetimi A.17: İş Sürekliliği Yönetiminin Bilgi Güvenliği Unsurları A.18: Uyum 16
ISO27001 Kontrolleri Her bir alanla ilgili bir ya da birden çok bilgi güvenliği amacı bulunmaktadır. (Toplam 35 tane control objectives) İlgili alandaki BG amaçlarını gerçekleştirebilmek için uygulanması gereken kontroller var (Toplam 114 tane) Örnek : Kontrol Amaçları BİLGİ GÜVENLİĞİ POLİTİKALARI 17
18
19
ISO31000 : Risk Yönetimi Standartı ISO27001 ve ISO31000 20
21
ISO27005 : ISO31000 i TEMEL ALAN BİR RİSK YÖNETİMİ YAKLAŞIMIDIR. BİLGİ GÜVENLİĞİ RİSK YÖNETİMİ İÇİN KULLANILABİLİR. İTERATİF BİR YAKLAŞIM. PUKÖ yü takip eder! ISO27005 - Adımlar Context Establishment (İçerik Oluşturma) kapsam Risk Değerini Belirleme : 1) Tanımlama, 2) Analiz, 3) Değerlendirme Risk Tedavisi 22
(GÜVENLİK yöneticilerin umurlarında değildir!!! Onların umurunda olan RİSKdir! ) ISO27005 Risk Değeri Hesaplama Örnek Yaklaşım 1 23
ISO27005 Risk Değeri Hesaplama Örnek Yaklaşım 2 24
ISO27005 Risk Değeri Hesaplama Örnek Yaklaşım 3 ISO27001:2013 STANDART İNCELEMESİ 25