BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ VE İŞ SÜREKLİLİĞİ - 1 Bilindiği üzere Bilgi Güvenliği Yönetim Sistemi, bilgi ve bilgi varlıklarının Gizliliği Tamlığı (Bütünlüğü) Erişebilirliği (Kullanılabilirliği) Üzerine inşa edilmiş ve risk yaklaşımına dayanan bir yönetim sistemidir. ISO/IEC 27002 kılavuzunda ayrıntıları verilen ve İş Sürekliliği olarak tasnif edilen Bilgi nin ve bilginin üzerinde durduğu Bilgi Varlıkları nın sürekliliği kontrol kriterleri A-14 başlığı altında işlenmiştir. A-14 Kontrol Kriterleri A.14,1 İş sürekliliği yönetiminin bilgi güvenliği hususları 1 / 10
Amaç: İş faaliyetlerindeki kesilmeleri önlemek ve önemli iş proseslerini büyük bilgi sistemleri başarısızlık A.14.1.1 Bilgi güvenliğini iş sürekliliği yönetim prosesine dahil etme Kuruluş genelinde iş sürekliliği için, bu amaçla ihtiyaç duyulan bilgi güvenliği gereksinimlerini ifade eden A.14.1.2 İş sürekliliği ve risk değerlendirme İş proseslerinde kesintilere yol açan olaylar, bu tür kesintilerin olasılığı ve etkisi ve bunların bilgi güvenliğ A.14.1.3 Bilgi güvenliğini içeren süreklilik planlarını geliştirme ve gerçekleştirme Önemli iş proseslerinde yaşanan kesintileri ya da başarısızlıkları takiben iş operasyonlarını sürdürmek y A.14.1.4 İş sürekliliği planlama çerçevesi 2 / 10
Tüm planların tutarlı olmasını sağlamak, tutarlı şekilde bilgi güvenliği gereksinimlerini ifade etmek ve tes A.14.1.5 İş sürekliliği planlarını test etme, sürdürme ve yeniden değerlendirme İş sürekliliği planları, güncel ve etkili olmalarını sağlamak için, düzenli olarak test edilmeli ve güncelleştiri İş sürekliliği Yönetimi yalnızca ISO/IEC 27000 yönetim sistemi serisi için değil aynı zamanda ISO 20000 BT Servis Yönetimi Sistemi serisi için de kritik önemi olan bir yönetim sistemidir. Son dönemde önemi ortaya çıkan BS 25999 İş Sürekliliği Standardı özellikle ticari kurumların iş sürekliliği yapılarının yönetimi, tasarlanması, planlanması, uygulanması ve geliştirilmesine yönelik bir çerçeve sunmaktadır. Ancak uygulamada veya sistemin kurulması sürecinde neler yapılacağı konusunda danışmanların, kuruluşların yardımcısı olabilecek kaynaklara erişim hem sınırlı hem kısıtlıdır. Denetimler esnasında kuruluşların en az üzerinde durduğu veya geliştirebildiği konu İş Sürekliliği konusudur. 3 / 10
Amacımız bu yazıda BT esaslı İş Sürekliliği için bir çerçeve ortaya koyabilmektir. Geliştirmek, derinleştirmek ise hepimizin sorumluluğundadır. BT esaslı İş Sürekliliği Yönetimi; <!--[endif]-->masaüstü ve taşınır sistemler <!--[endif]-->sunucular (donanım) <!--[endif]-->sunucular (yazılım) <!--[endif]-->web servisleri / siteleri <!--[endif]-->lan / WAN <!--[endif]-->dağıtık sistemler <!--[endif]-->mainframe yapılar üzerine inşa edilir. Her bir bileşenin enerji beklentileri, çalışan / müşteri odaklı personel gereksinimleri, fiziksel alanlar (elektrik kabloları, data kabloları, telefon kabloları, odalar, kapılar vs.), çevre faktörleri (çalışma ortamları, toz, nem, ısı vs) İş Sürekliliği Yönetimi sistemlerinde içkindir (Sistemlerin alt bileşenleri içinde spesifikasyonları ile vardırlar). BT İş Sürekliliği Süreci aşağıda belirtilen yedi adımda kurulabilir. Her bir adım için ayrı tasarım, geliştirme ve prosedürler yazılabilir. 4 / 10
<!--[if!supportlists]-->1. <!--[endif]-->iş Sürekliliği Planı için politika ifadeleri geliştirmek. Tüm bölümler için tanımlanmış, iş sürekliliği faaliyetlerinin etkinliğini, denetimlerini geliştirecek politikalar, kılavuzlar. <!--[if!supportlists]-->2. <!--[endif]-->iş Etki Analizi (Business Impact Analysis-BIA) yapmak. BIA BT sistemleri ve bileşenleri için öncelikleri tanımlar. İş sürekliliğinin gelişimi için kullanıcılara yardımcı olacak şablonlar hazırlamak. <!--[if!supportlists]-->3. <!--[endif]-->önleyici kontrolleri belirlemek, tanımlamak. İş sürekliliği maliyetlerini düşürmek, sistemlerin ulaşılabilirliğini artırmak ve kesintilerini azaltmak için kontroller seçmek ve bu kontroller için ölçekler belirlemek. <!--[if!supportlists]-->4. <!--[endif]-->kurtarma stratejileri Geliştirmek. Bozulan, kesilen sistemleri hızlı ve etkin bir şekilde geri almayı sağlayacak tam, eksiksiz kurtarma stratejileri belirlemek. <!--[if!supportlists]-->5. <!--[endif]-->bt İş Sürekliliği Planı geliştirmek. İş Sürekliliği Planı sistemlerin hasara uğraması halinde yapılacak işlere dair kılavuzlar ve geri yükleme faaliyetlerini içerir. <!--[if!supportlists]-->6. <!--[endif]-->planların test edilmesi, eğitimler ve tatbikatlar. Pla nların açıklıkları, eksikliklerinin yönetilebilmesi için kurtarma personeline yönelik etkinlikler, hazırlıklı olmak için uygulamalar. <!--[if!supportlists]-->7. <!--[endif]-->planların gözden geçirilmesi. Planlama dokümanları sürekli güncellenmeli, geliştirilmelidir. Sistemlerin sürdürülebilirliğinin etkinliği artırılmalıdır. BT İş Sürekliliği planlaması, BT sistemlerinin maruz kalacağı kesintileri en aza indirgemek amacı ile kesintilere yönelik operasyonlara, çözüm planlarına, prosedürlere, teknik ölçümlere dayanır. 5 / 10
Planlama, BT servislerinin durması halinde genellikle aşağıdaki yaklaşımlara dayanan işlemleri içerir: <!--[endif]-->bt işlemleri için geri yüklemeler ve alternatif yerler ekipmanlar <!--[endif]-->kurtarma için BT operasyonları için alternatif <!--[endif]-->bt dışı tüm iş süreçlerinin performansları İş Sürekliliği Planlaması için görev, rol ve sorumluluklar ise kısaca aşağıdaki gibi tanımlanabilir: <!--[endif]-->yöneticiler. İş sürekliliği planında yer alan tüm birimlerin sorumluları ile birlikte iş sürekliliği planlarından sorumlu olan yöneticiler <!--[endif]-->sistem yöneticileri. BT operasyonlarına yönelik günlük işlemleri sürdüren yöneticiler. <!--[endif]-->bilgi Güvenliği Sistem uygulayıcıları ve geliştirme, uygulama, bakım ve organizasyon bilgi teknolojileri faaliyetlerini sürdüren personel. <!--[endif]-->bilgi sistemlerini tasarlayan, geliştiren, uygulayan ve düzenleyen sistem mühendisleri ve mimarları. <!--[endif]--> Masaüstü ve taşınır bilgisayarların kullanıcıları. 6 / 10
<!--[endif]-->bilgi sistemlerini tasarlayan, geliştiren, uygulayan, bakan ve kullanan diğer personel. İş Sürekliliği ile İlişkili Diğer Planlar ise aşağıdadır: Plan Amaç Kapsam İş Sürekliliği Planı Temel iş operasyonlarının sürdürülmesi için prosedürler <!--[if!supportlists]--> <!--[endif]-->iş sür <!--[if!supportlists]--> <!--[endif]-->bt es İşe Yeniden Başlama Planı Felaketten hemen sonra kurtarma prosedürleri 7 / 10
<!--[if!supportlists]--> <!--[endif]-->iş sür <!--[if!supportlists]--> <!--[endif]-->bt od <!--[if!supportlists]--> <!--[endif]-->bt es Süreklilik Operasyonları Planı 30 güne kadar işlerin sürdürülebilirliği için iş gerekleri, stratejik fonksiyonlar için prosedürler. <!--[if!supportlists]--> <!--[endif]-->bt od <!--[if!supportlists]--> <!--[endif]-->kurum <!--[if!supportlists]--> <!--[endif]-->gene Destek Sürekliliği / BT Sürekliliği Planı Genel destek veya major uygulamaları kurtarmak için kapasiteler ve prosedürler <!--[if!supportlists]--> <!--[endif]-->bt od 8 / 10
<!--[if!supportlists]--> <!--[endif]-->bt Sü <!--[if!supportlists]--> <!--[endif]-->bt Si Kriz İletişim Planı Personel ve halk için ilgili raporları yayınlama ve bilgilendirme prosedürleri <!--[if!supportlists]--> <!--[endif]-->bt od <!--[if!supportlists]--> <!--[endif]-->perso İnternet temelli İhlallere Yönelik Karşılık Planları Kötü niyetli internet esaslı saldırılara karşı taramalar, limit sınırlamaları. <!--[if!supportlists]--> <!--[endif]-->bilgi g <!--[if!supportlists]--> <!--[endif]-->sistem Felaket Kurtarma Planı 9 / 10
Alternatif yerler, imkanlar, varlıklar için ayrıntılı kapasite ve prosedürler <!--[if!supportlists]--> <!--[endif]-->bt ba <!--[if!supportlists]--> <!--[endif]-->büyük <!--[if!supportlists]--> <!--[endif]-->uzun Acil Durum Planı Fiziksel tehditler için minimum kayıplar, hasarlar için koordinasyon prosedürleri <!--[if!supportlists]--> <!--[endif]-->perso <!--[if!supportlists]--> <!--[endif]-->bt es <!--[if!supportlists]--> <!--[endif]-->özel d 10 / 10