TÜRK STANDARDI TURKISH STANDARD TS ISO/IEC 17799 Kasım 2002 ICS 35.040 BİLGİ TEKNOLOJİSİ - BİLGİ GÜVENLİĞİ YÖNETİMİ İÇİN UYGULAMA PRENSİPLERİ Information technology - Code of practice for information security management TÜRK STANDARDLARI ENSTİTÜSÜ Necatibey Caddesi No.112 Bakanlıklar/ANKARA
Bugünkü teknik ve uygulamaya dayanılarak hazırlanmış olan bu standardın, zamanla ortaya çıkacak gelişme ve değişikliklere uydurulması mümkün olduğundan ilgililerin yayınları izlemelerini ve standardın uygulanmasında karşılaştıkları aksaklıkları Enstitümüze iletmelerini rica ederiz. Bu standardı oluşturan Hazırlık Grubu üyesi değerli uzmanların emeklerini; tasarılar üzerinde görüşlerini bildirmek suretiyle yardımcı olan bilim, kamu ve özel sektör kuruluşları ile kişilerin değerli katkılarını şükranla anarız. Kalite Sistem Belgesi İmalât ve hizmet sektörlerinde faaliyet gösteren kuruluşların sistemlerini TS EN ISO 9000 Kalite Standardlarına uygun olarak kurmaları durumunda TSE tarafından verilen belgedir. Türk Standardlarına Uygunluk Markası (TSE Markası) TSE Markası, üzerine veya ambalâjına konulduğu malların veya hizmetin ilgili Türk Standardına uygun olduğunu ve mamulle veya hizmetle ilgili bir problem ortaya çıktığında Türk Standardları Enstitüsü nün garantisi altında olduğunu ifade eder. TSEK Kalite Uygunluk Markası (TSEK Markası) TSEK Markası, üzerine veya ambalâjına konulduğu malların veya hizmetin henüz Türk Standardı olmadığından ilgili milletlerarası veya diğer ülkelerin standardlarına veya Enstitü tarafından kabul edilen teknik özelliklere uygun olduğunu ve mamulle veya hizmetle ilgili bir problem ortaya çıktığında Türk Standardları Enstitüsü nün garantisi altında olduğunu ifade eder. DİKKAT! TS işareti ve yanında yer alan sayı tek başına iken (TS 4600 gibi), mamulün Türk Standardına uygun üretildiğine dair üreticinin beyanını ifade eder. Türk Standardları Enstitüsü tarafından herhangi bir garanti söz konusu değildir. Standardlar ve standardizasyon konusunda daha geniş bilgi Enstitümüzden sağlanabilir. TÜRK STANDARDLARININ YAYIN HAKLARI SAKLIDIR.
Ön söz Bu standard, ISO tarafından kabul edilen, ISO/IEC 17799 (2000) standardı esas alınarak, TSE Bilgi Teknolojileri ve İletişim Hazırlık Grubu nca hazırlanmış ve TSE Teknik Kurulu nun 11 Kasım 2002 tarihli toplantısında Türk Standardı olarak kabul edilerek yayımına karar verilmiştir.
İçindekiler 0 Giriş... 1 0.1 Bilgi Güvenliği nedir?... 1 0.2 Bilgi güvenliğine neden gereksinim duyulur?... 1 0.3 Güvenlik gerekleri nasıl kurulur?... 1 0.4 Güvenlik risklerinin değerlendirilmesi... 2 0.5 Denetimlerin seçilmesi... 2 0.6 Bilgi güvenliği başlama noktası... 2 0.7 Önemli başarı unsurları... 3 0.8 Kendi kılavuzlarınızın geliştirilmesi... 3 1 Kapsam... 3 2 Terimler ve Tarifler... 3 2.1 Bilgi güvenliği... 3 2.2 Risk değerlendirmesi... 4 2.3 Risk yönetimi... 4 3 Güvenlik politikası... 4 3.1 Bilgi güvenliği politikası... 4 3.1.1 Bilgi güvenliği politikası belgesi... 4 3.1.2 Gözden geçirme ve değerlendirme... 4 4 Örgütsel güvenlik... 5 4.1 Bilgi güvenliği altyapısı... 5 4.1.1 Yönetim bilgi güvenliği forumu... 5 4.1.2 Bilgi güvenliği düzenlemesi... 5 4.1.3 Bilgi güvenliği sorumluluklarının atanması... 5 4.1.4 Bilgi işleme araçları için yetkilendirme süreci... 6 4.1.5 Uzman bilgi güvenliği tavsiyesi... 6 4.1.6 Organizasyonlar arasındaki işbirliği... 6 4.1.7 Bilgi güvenliğinin bağımsız gözden geçirilmesi... 7 4.2 Üçüncü taraf erişiminin güvenliği... 7 4.2.1 Üçüncü taraf erişiminde risklerin tanımlanması... 7 4.2.1.1 Erişim türleri... 7 4.2.1.2 Erişim sebepleri... 7 4.2.1.3 Çalışma alanı anlaşmalı taraflar... 8 4.2.2 Üçüncü taraf sözleşmelerinde güvenlik gerekleri... 8 4.3 Dışarıdan kaynak sağlama... 9 4.3.1 Dışarıdan kaynak sağlama sözleşmelerindeki güvenlik gerekleri... 9 5 Varlık sınıflandırması ve denetimi... 9 5.1 Varlıklar için sorumluluk... 9 5.1.1 Varlıkların Envanteri... 10 5.2 Bilgi Sınıflandırması... 10 5.2.1 Sınıflandırma kılavuzları... 10 5.2.2 Bilgi etiketleme ve işleme... 11 6 Personel güvenliği... 11 6.1 İş tanımlarındaki ve kaynaklardaki güvenlik... 11 6.1.1 İş sorumluluklarına güvenliğin dahil edilmesi... 11 6.1.2 Personel eleme ve personel politikası... 11 6.1.3 Gizlilik anlaşmaları... 12 6.1.4 İşe alma koşulları ve şartları... 12 6.2 Kullanıcı eğitimi... 12 6.2.1 Bilgi güvenliği eğitimi ve öğretimi... 12 6.3 Güvenlik arızalarına ve bozulmalarına cevap verilmesi... 13 6.3.1 Güvenlik arızalarının raporlanması... 13 6.3.2 Güvenlik zayıflıklarının raporlanması... 13 6.3.3 Yazılım bozulmalarının raporlanması... 13 6.3.4 Arızalardan öğrenmek... 13 6.3.5 Disiplin süreci... 14
7 Fiziki ve çevresel güvenlik... 14 7.1 Güvenli bölgeler... 14 7.1.1 Fiziki güvenlik çevresi... 14 7.1.2 Fiziki giriş denetimleri... 14 7.1.3 Bürolar, odalar ve araçların güvenlik altına alınması... 14 7.1.4 Güvenli alanlarda çalışmak... 15 7.1.5 Ayrılmış dağıtım ve yükleme alanları... 15 7.2 Teçhizat güvenliği... 16 7.2.1 Donanım yerleştirilmesi ve koruma... 16 7.2.2 Güç kaynakları... 16 7.2.3 Kablo güvenliği... 17 7.2.4 Donanım bakımı... 17 7.2.5 Çevre dışı teçhizatların güvenliği... 17 7.2.6 Teçhizatların güvenli düzenlenmesi ve tekrar kullanımı... 17 7.3 Genel denetimler... 18 7.3.1 Temiz masa ve temiz ekran politikası... 18 7.3.2 Teçhizatların kaldırılması... 18 8 İletişim ve İşletim Yönetimi... 18 8.1 İşletim Prosedürleri ve sorumlulukları... 18 8.1.1 Yazılı İşletim Prosedürleri... 18 8.1.2 İşletim Değişiklik Odası... 19 8.1.3 Olay Yönetim Prosedürleri... 19 8.1.4 Görevlerin Ayrılması... 20 8.1.5 Geliştirme ve İşletim Tesislerinin Ayrılması... 20 8.1.6 Dış Tesislerin Yönetimi... 21 8.2 Sistem Planlama ve Kabul Etme... 21 8.2.1 Kapasite Planlama... 21 8.2.2 Sistemin Kabulü... 21 8.3 Kötü Niyetli Yazılımlara Karşı Koruma... 22 8.3.1 Kötü Niyetli Yazılımlara Karşı Kontroller... 22 8.4 Ortamın Muhafazası... 23 8.4.1 Bilgi yedeklemesi... 23 8.4.2 İşletmen Kayıtları... 23 8.4.3 Hata Kaydı Tutulması... 23 8.5 Ağ Yönetimi... 23 8.5.1 Ağ Kontrolleri... 24 8.6 Bilgi ortamı yönetimi ve güvenlik... 24 8.6.1 Çıkarılabilir bilgisayar ortamının yönetimi... 24 8.6.2 Bilgi ortamının yok edilmesi... 24 8.6.3 Bilgi yönetim işlemleri... 25 8.6.4 Sistem belgelendirmesi güvenliği... 25 8.7 Bilgi ve yazılım değiş tokuşu... 25 8.7.1 Bilgi ve yazılım değişim anlaşmaları... 25 8.7.2 Nakil esnasındaki bilgi ortamının güvenliği... 26 8.7.3 Elektronik ticaret güvenliği... 26 8.7.4 Elektronik postaların güvenliği... 27 8.7.4.1 Güvenlik tehlikeleri... 27 8.7.4.2 Elektronik posta politikası... 27 8.7.5 Elektronik ofis sistemlerinin güvenliği... 27 8.7.6 Halka açık sistemler... 28 8.7.7 Bilgi değiş tokuşunun diğer şekilleri... 28 9 Erişim denetimi... 28 9.1 Erişim denetimi için iş gerekleri... 28 9.1.1 Erişim denetimi politikası... 29 9.1.1.1 Politika ve iş gerekleri... 29 9.1.1.2 Erişim denetimi kuralları... 29 9.2 Kullanıcı erişimi yönetimi... 29 9.2.1 Kullanıcı kaydı... 29 9.2.2 Ayrıcalık yönetimi... 30 9.2.3 Kullanıcı parola yönetimi... 30 9.2.4 Kullanıcı erişim haklarının gözden geçirilmesi... 30
9.3 Kullanıcı sorumlulukları... 31 9.3.1 Parola kullanımı... 31 9.3.2 Kullanıcısı belirlenmemiş teçhizat... 31 9.4 Ağ erişimi denetimi... 32 9.4.1 Ağ hizmetlerinin kullanılmasına ilişkin politikalar... 32 9.4.2 Zorunlu yol... 32 9.4.3 Harici bağlantılar için kullanıcı kimliği doğrulaması... 33 9.4.4 Düğüm kimlik doğrulaması... 33 9.4.5 Uzak tanılama bağlantı noktası koruması... 33 9.4.6 Ağlardaki ayrım... 33 9.4.7 Ağ bağlantısı denetimi... 34 9.4.8 Ağ yönlendirme denetimi... 34 9.4.9 Ağ hizmetlerinin güvenliği... 34 9.5 İşletim sistemi erişim denetimi... 34 9.5.1 Otomatik terminal tanımlaması... 34 9.5.2 Terminal oturuma giriş işlemleri... 35 9.5.3 Kullanıcı tanımlaması ve doğrulanması... 35 9.5.4 Parola yönetim sistemi... 35 9.5.5 Sistem yardımcı programlarının kullanılması... 36 9.5.6 Kullanıcıları korumaya alma uyarısı... 36 9.5.7 Terminal zaman aşımı... 36 9.5.8 Bağlantı süresinin sınırlanması... 36 9.6 Uygulama erişimi denetimi... 37 9.6.1 Bilgi erişimi kısıtlaması... 37 9.6.2 Duyarlı sistem yalıtımı... 37 9.7 Sistem erişiminin gözlenmesi ve kullanımı... 37 9.7.1 Olay kayıtlarının tutulması... 38 9.7.2 Sistem kullanımının gözlenmesi... 38 9.7.2.1 Yöntemler ve risk alanları... 38 9.7.2.2 Risk etkenleri... 38 9.7.2.3 Olayları günlükleme ve gözden geçirme... 38 9.7.3 Saat vurusu senkronizasyonu... 39 9.8 Mobil bilgi işlem ve uzaktan çalışma... 39 9.8.1 Mobil bilgi işlem... 39 9.8.2 Uzaktan çalışma... 40 10 Sistem Geliştirilmesi ve İdamesi... 40 10.1 Sistem güvenlik gerekleri... 40 10.1.1 Güvenlik gereklerinin analizi ve özelleştirilmesi... 41 10.2 Uygulama sistemlerinde güvenlik... 41 10.2.1 Girdi verilerin geçerli kılınması... 41 10.2.2 İç işleyişin kontrolü... 41 10.2.2.1 Risk alanları... 41 10.2.2.2 Denetimler ve kontroller... 42 10.2.3 Mesaj kimliğinin doğrulanması... 42 10.2.4 Çıktı verilerinin geçerli kılınması... 42 10.3 Kriptografik kontroller... 43 10.3.1 Kriptografik kontrollerin kullanımına ilişkin politika... 43 10.3.2 Şifreleme... 43 10.3.3 Sayısal imzalar... 43 10.3.4 İnkar edememe servisleri... 44 10.3.5 Anahtar Yönetimi... 44 10.3.5.1 Kriptografik anahtarların korunması... 44 10.3.5.2 Standardlar, prosedürler ve yöntemler... 44 10.4 Sistem dosyalarının güvenliği... 45 10.4.1 Operasyonel yazılımın kontrolü... 45 10.4.2 Sistem test verilerinin korunması... 45 10.4.3 Program kaynak kütüphanesine erişimin kontrolü... 46 10.5 Geliştirme ve destek süreçlerinde güvenlik... 46 10.5.1 Değişim kontrol işlemleri... 46 10.5.2 İşletim sistemi değişiklerinin teknik olarak gözden geçirilmesi... 47
10.5.3 Yazılım paketlerine yapılacak değişiklik kısıtlamaları... 47 10.5.4 Örtülü kanallar ve Truva kodu... 47 10.5.5 Dış kaynaklı yazılım geliştirme... 47 11 Ticari süreklilik yönetimi... 48 11.1 Ticari süreklilik yönetiminin ilkeleri... 48 11.1.1 Ticari süreklilik yönetim süreci... 48 11.1.2 Ticari süreklilik ve etki çözümlemesi... 48 11.1.3 Süreklilik planlarının yazılması ve uygulanması... 48 11.1.4 Ticari süreklilik planlama çerçevesi... 49 11.1.5 Ticari süreklilik planlarının test edilmesi, bakımı ve yeniden değerlendirilmesi... 49 11.1.5.1 Planların test edilmesi... 49 11.1.5.2 Planların bakımı ve yeniden değerlendirilmesi... 49 12 Uyum... 50 12.1 Yasal gereksinimlerle uyum... 50 12.1.1 Uygulanabilir kanunların tanımlanması... 50 12.1.2 Fikri mülkiyet hakları (IPR)... 50 12.1.2.1 Kopya hakkı... 50 12.1.2.2 Yazılım kopya hakkı... 50 12.1.3 Organizasyon kayıtlarının korunması... 51 12.1.4 Verinin korunması ve kişisel bilgilerin gizliliği... 51 12.1.5 Bilgi işlem birimlerinin yanlış kullanıma karşı korunması... 51 12.1.6 Kriptografik kontrollerin düzenlenmesi... 52 12.1.7 Kanıtların toplanması... 52 12.1.7.1 Kanıt için kurallar... 52 12.1.7.2 Kanıtın akla uygunluğu... 52 12.1.7.3 Kanıtın kalite ve bütünlüğü... 52 12.2 Güvenlik politikası ve teknik uyumun gözden geçirilmesi... 52 12.2.1 Güvenlik politikalarına uyum... 53 12.2.2 Teknik uyum kontrolü... 53 12.3 Sistem denetleme hususları... 53 12.3.1 Sistem denetleme kontrolleri... 53 12.3.2 Sistem denetleme araçlarının korunması... 53 Dizin İngilizce Dizin... 62
Bilgi teknolojisi - Bilgi güvenliği yönetimi için uygulama prensipleri 0 Giriş 0.1 Bilgi güvenliği nedir? Bilgi, diğer önemli ticari varlıklar gibi, bir işletme için değeri olan ve bu nedenle uygun olarak korunması gereken bir varlıktır. Bilgi güvenliği bilgiyi, ticari sürekliliği sağlamak, ticari kayıpları en aza indirmek ve ticari fırsatların ve yatırımların dönüşünü en üst seviyeye çıkartmak için geniş tehlike ve tehdit alanlarından korur. Bilgi birçok biçimde bulunabilir. Kağıt üzerine yazılmış ve basılmış olabilir, elektronik olarak saklanmış olabilir, posta yoluyla veya elektronik imkanlar kullanılarak gönderilebilir, filmlerde gösterilebilir veya karşılıklı konuşma sırasında sözlü olarak ifade edilebilir. Bilgi hangi biçimi alırsa alsın veya paylaşıldığı veya toplandığı hangi anlama gelirse gelsin her zaman uygun bir şekilde korunmalıdır. Bilgi güvenliği, bu standardda aşağıdakilerin korunması olarak tanımlanır: a) Gizlilik: Bilginin sadece erişim yetkisi verilmiş kişilerce erişilebilir olduğunu garanti etmek; b) Bütünlük: Bilginin ve işleme yöntemlerinin doğruluğunu ve bütünlüğünü temin etmek; c) Elverişlilik: Yetkili kullanıcıların, gerek duyulduğunda bilgiye ve ilişkili kaynaklara erişebileceklerini garanti etmek. Bilgi güvenliği, politikalar, uygulamalar, yöntemler, örgütsel yapılar ve yazılım fonksiyonları gibi bir dizi uygun denetimi gerçekleştirme aracılığıyla sağlanır. Bu denetimler, işletmenin belirli güvenlik hedeflerinin karşılandığını garanti altına almak için kurulmalıdır. 0.2 Bilgi güvenliğine neden gereksinim duyulur? Bilgi ve destek süreçleri, sistemler ve bilgisayar ağları önemli ticari varlıklardır. Bilginin gizliliği, güvenilirliği ve elverişliliği; rekabet gücünü, nakit akışını, karlılığı, yasal yükümlülükleri ve ticari imajı korumak ve sürdürmek için zorunlu ve gerekli olabilir. Giderek işletmeler ve sahip oldukları bilgi sistemleri ve ağları bilgisayar destekli sahtekarlık, casusluk, sabotaj, yıkıcılık, yangın ve sel gibi çok geniş kaynaklardan gelen tehdit ve tehlikelerle karşı karşıyadırlar. Bilgisayar virüsleri, bilgisayar korsanları ve hizmet saldırıları gibi yıkıcı kaynaklar daha yaygın, daha hırslı ve daha karmaşık hale gelmeye başlamıştır. Bilgi sistemlerine ve hizmetlerine bağımlılık, işletmelerin güvenlik tehditlerine karşı daha savunmasız olduğu anlamına gelmektedir. Genel ve özel ağların birbiriyle bağlantısı ve bilgi kaynaklarının paylaşımı, erişim denetimini oluşturmadaki zorlukları arttırmaktadır. Dağıtılmış bilgi işleme olan eğilim, merkezi, uzman denetimin etkinliğini zayıflatmıştır. Bilgi sistemleri henüz yeterli güvenlik seviyesinde tasarlanmamıştır. Teknik olanaklar aracılığıyla ulaşılabilen güvenlik sınırlıdır ve uygun yönetim ve yöntemlerle desteklenmelidir. Hangi denetimlerin yer alacağının tanımlanması, özenli planlamayı ve detaylara dikkati gerektirir. Bilgi güvenliği yönetimi en az, tüm işletme çalışanlarının katılımını gerektirir. Aynı zamanda tedarikçilerin, müşterilerin ve ortakların da katılımına gereksinim duyulur. İşletme dışından uzman tavsiyelere gerek duyulabilir. Bilgi güvenliği denetimleri, eğer şartların ve tasarım aşamasının gereklerinde birleştirilirse çok daha ucuz ve etkili olur. 0.3 Güvenlik gerekleri nasıl kurulur? Bir işletmenin güvenlik gereklerini tanımlaması bir zorunluluktur. Mevcut üç ana kaynak vardır. Birinci kaynak, işletme için varolan risklerin değerlendirilmesinden ortaya çıkar. Risk değerlendirmesi aracılığıyla, varlıkların karşı karşıya oldukları tehditler tanımlanır, olayların ortaya çıkma ihtimallerine karşı varolan savunma zayıflıkları ölçülür ve etkilenme ihtimalleri hesaplanır. İkinci kaynak, bir işletmenin, ticari alışverişte bulunduğu ortaklarının, anlaşmalı taraflarının ve hizmet sağlayıcıların tatmin olması gereken, yasal, kanuni, düzenleyici ve sözleşme ile ilgili gereklerdir. 1
Üçüncü kaynak, belirli ilkeler ve hedefler dizisi ve bir işletmenin faaliyetlerini desteklemek için geliştirdiği bilgi işleme gerekleridir. 0.4 Güvenlik risklerinin değerlendirilmesi Güvenlik gerekleri, güvenlik risklerinin sistemli bir değerlendirmesi aracılığıyla tanımlanır. Denetim harcamaları, güvenlik başarısızlıklarından ortaya çıkma ihtimali olan iş hasarlarına karşı dengelenmelidir. Risk değerlendirmesi teknikleri, tüm işletmeye veya işletmenin bir kısmına olduğu gibi bireysel bilgi sistemlerine, belirli sistem bileşenlerine veya kullanışlı, gerçekçi ve faydalı hizmetlere uygulanabilir. Risk değerlendirmesine ait sistemli unsurlar şunlardır: a) Bilgi ve diğer kaynakların gizlilik, bütünlük ve elverişlilik kayıplarının olası sonuçlarını dikkate alan bir güvenlik başarısızlığından ortaya çıkma ihtimali olan iş hasarları; b) Hüküm süren tehditlerin ve savunmasızlıkların ve güncel olarak gerçekleştirilen denetimlerin ışığı altında olan bir başarısızlığın gerçekçi ihtimali. Bu değerlendirmenin sonuçları, bilgi güvenliği risklerini yönetmek ve bu risklere karşı korunmak üzere seçilmiş denetimleri gerçekleştirmek için uygun yönetim eylemlerinin ve önceliklerinin belirlenmesine ve yol göstermeye yardımcı olacaktır. Risklerin değerlendirilmesi ve denetimlerin seçilmesi sürecinin, işletmenin veya bireysel bilgi sistemlerinin farklı bölümlerini kapsaması için, sayısız kez yapılması gerekebilir. Güvenlik risklerinin ve gerçekleştirilen denetimlerin belirli aralıklarla gözden geçirilmesi aşağıdakiler için önemlidir: a) İş gerekleri ve önceliklerindeki değişiklikleri dikkate almak; b) Yeni tehditler ve savunmasızlıklar üzerinde düşünmek; c) Denetimlerin etkili ve uygun olarak sürdüğünü teyit etmek; Gözden geçirmeler, önceki değerlendirmelerin sonuçlarına ve yönetimin kabul etmek üzere hazırlandığı değişen risk seviyelerine bağlı olarak, farklı seviyelerdeki yoğunluklarda yapılmalıdır. Risk değerlendirmeleri çoğu kez önce yüksek seviyede, yüksek risk alanlarındaki kaynaklara öncelik vererek ve sonra daha detaylandırılmış seviyede belirli risklere yönelmek üzere gerçekleştirilir 0.5 Denetimlerin seçilmesi Bir kere güvenlik gerekleri tanımlandığında, risklerin kabul edilebilir seviyeye düşürüldüğünü garanti etmek için denetimler seçilmeli ve gerçekleştirilmelidir. Denetimler, bu belgeden veya diğer denetim dizilerinden veya uygun olarak belirli gereksinimleri karşılamak üzere tasarlanmış yeni denetimlerden seçilebilir. Riskleri yönetmenin birçok değişik yolu vardır ve bu belge en yaygın yaklaşımlarla ilgili örnekler sunar. Bununla birlikte, bazı denetimlerin her bilgi sistemine veya ortamına uygun olmadığını ve tüm işletme için belki de kullanışlı olmayacağını kabul etmek gereklidir. Örnek olarak, Madde 8.1.4 görevlerin, sahtekarlıkları ve hataları engellemek için nasıl ayrılabileceğini açıklar. Daha küçük işletmeler için, tüm görevleri ayırmak mümkün olmayabilir ve aynı denetim amacına ulaşmak için belki başka yollar gereklidir. Başka bir örnek, Madde 9.7 ve Madde 12.1 sistem kullanımının nasıl gözlendiğini ve nasıl bulgu toplandığını açıklar. Açıklanan denetimler, örneğin olay kaydetmek, müşterilerin gizliliğini veya çalışma ortamındaki gizliliği korumak gibi yürürlükte olan yasalarla çelişki oluşturabilir. Denetimler, düşürülen risklerle ve bir güvenlik kırılması oluşursa meydana gelebilecek olası kayıplarla ilişkili gerçekleşmenin maliyetine dayalı olarak seçilmelidir. Şöhret, ün kaybı gibi parasal olmayan unsurlar da göz önüne alınmalıdır. Bu belgedeki bazı denetimler, bilgi güvenlik yönetimi için yol gösterici prensipler olarak ve birçok işletmede uygulanabilir olarak ele alınmalıdır. Bu denetimler, Bilgi güvenliği başlama noktası başlığı altında aşağıda daha detaylı olarak açıklanmıştır. 0.6 Bilgi güvenliği başlama noktası Bir dizi denetim, bilgi güvenliğini gerçekleştirmek için iyi bir başlangıç noktası sağlayan kılavuz prensipler olarak ele alınabilir. Bunlar ya zorunlu yasal yükümlülük gereklerine dayanır ya da bilgi güvenliği için olan en yaygın ve iyi uygulamalar olarak düşünülür. 2
Yasal yükümlülük bakış açısından, bir işletme için gerekli olan denetimler aşağıdakileri içerir: a) Kişisel bilgilere ait veri koruma ve gizlilik (Madde 12.1.4). b) İşletmeye ait kayıtları korumak (Madde 12.1.3); c) Fikri mülkiyet hakları (Madde 12.1.2); Bilgi güvenliği için olan en yaygın ve iyi uygulamalar olduğu düşünülen denetimler aşağıdakileri içerir: a) Bilgi güvenliği politikası belgesi (Madde 3.1); b) Bilgi güvenliği sorumluluklarının ayrılması (Madde 4.1.3); c) Bilgi güvenliği öğretimi ve eğitimi (Madde 6.2.1); d) Güvenliğe bağlı olayları raporlama (Madde 6.3.1); e) İş sürekliliği yönetimi (Madde 11.1). Bu denetimler birçok işletmeye ve bir çok ortamda uygulanabilir. Şuna dikkat edilmelidir ki, bu belgedeki birçok denetim önemli olmasına rağmen, her kontrolün uygunluğu işletmenin karşı karşıya olduğu belirli risklerin ışığında belirlenmelidir. Bundan dolayı, yukarıdaki yaklaşım iyi bir başlangıç noktası olarak düşünülse bile, risk değerlendirmesine dayalı denetim seçiminin yerini almaz. 0.7 Önemli başarı unsurları Deneyimler şunu göstermiştir ki, bir işletme içersindeki başarılı bilgi güvenliğinin gerçekleşmesinde çoğu kez aşağıdaki unsurlar önemlidir: a) İş hedeflerini yansıtan güvenlik politikası, hedefleri ve faaliyetleri; b) İşletmeye ait kültür içinde devam eden gerçekleşen güvenliğe bir yaklaşım; c) Yönetimden görünür destek ve bağlılık; d) İyi bir güvenlik gerekleri, risk değerlendirmesi ve risk yönetimi anlayışı; e) Güvenliğin, tüm yöneticilere ve çalışanlara etkili bir biçimde pazarlanması. ; f) Tüm çalışanlara ve anlaşmalı taraflara, bilgi güvenliği politika ve standardları üzerine kılavuzluk dağıtımı; g) Uygun öğretim ve eğitim sağlanması; h) Bilgi güvenliği yönetiminin performansını ve gelişimi için geribildirim önerilerini değerlendirmek üzere kullanılan derin ve dengeli bir ölçüm sistemi; 0.8 Kendi kılavuzlarınızın geliştirilmesi Bu uygulama prensibi, işletmeye özel kılavuz geliştirmek için bir başlangıç noktası olarak sayılabilir. Bu uygulama prensibi içindeki tüm kılavuz ve denetimler belki uygulanabilir olmayabilir. Bundan başka, bu belgede olmayan ilave denetimler belki de gerekebilir. Bu olduğunda, denetçiler ve iş ortakları tarafından kontrolü kolaylaştıracak dipnotları elde tutmak yararlı olabilir. 1 Kapsam Bu standard işletmeler içersinde bilgi güvenliğini başlatan, gerçekleştiren ve sürekliliğini sağlayan kişilerin kullanımı için, bilgi güvenlik yönetimi ile ilgili tavsiyeleri kapsar. İşletme içersinde, güvenlik standardları ve etkili güvenlik yönetimi uygulamaları geliştirmek için, yaygın bir temel ve iş ilişkilerinde güven sağlamak amaçlanır. Bu standardlar tavsiyelere, kanunlara ve yönetmeliklere uygun olarak seçilmelidir. 2 Terimler ve tarifler Bu belgenin amaçları için, aşağıdaki tarifler uygulanır. 2.1 Bilgi güvenliği Bilginin gizliliğinin, güvenilirliğinin, ve elverişliliğinin korunması. - Gizlilik Bilginin sadece erişim yetkisi verilmiş kişilerce erişilebilir olduğunun garanti edilmesi. - Bütünlük Bilginin ve işleme yöntemlerinin doğruluğunun ve bütünlüğünün temin edilmesi. - Elverişlilik Yetkilendirilmiş kullanıcıların, gerek duyulduğunda bilgiye ve ilişkili kaynaklara erişime sahip olabileceklerinin garanti edilmesi. 3
2.2 Risk değerlendirmesi Bilgiye ve bilgi işleme vasıtalarına karşı varolan tehditlerin değerlendirilmesi, bilgi üzerine etkileri, bilginin yaralanabilirliği ve bunların ortaya çıkma olasılıkları. 2.3 Risk yönetimi Bilgi sistemlerini etkileyebilecek olan güvenlik risklerinin, uygun bir maliyette tanımlanması, kontrol edilmesi ve en aza düşürülmesi veya ortadan kaldırılması süreci. 3 Güvenlik politikası 3.1 Bilgi güvenliği politikası Amaç: Bilgi güvenliği için idarenin yönlendirilmesi ve desteğinin sağlanması. Yönetim, tüm işletme içinde bilgi güvenliğine ilişkin açık bir politika ortaya koymalı ve bunun için destek vermeli ve bağlılık göstermeli, bilgi güvenliği politikasını herkese bildirmeli ve sürekliliğini sağlamalıdır. 3.1.1 Bilgi güvenliği politikası belgesi Bir politika belgesi, yönetim tarafından onaylanmalı, tüm çalışanlara uygun olarak yayınlanmalı ve bildirilmelidir. Yönetimin bağlılığını belirtmeli ve bilgi güvenliğini yönetmek için işletmenin yaklaşımını ortaya koymalıdır. En az aşağıdaki kılavuzu içermelidir: a) Bilgi güvenliğinin tarifi, geniş kapsamlı hedefi ve amacı ve bilgi paylaşımını etkinleştiren bir yöntem olarak güvenliğin önemi (Giriş); b) Hedefleri ve bilgi güvenliğinin prensiplerini destekleyen yönetim amacının bir beyanı; c) Güvenlik politikalarının, prensiplerinin, standardlarının ve işletme için belirli öneminin uygun gereklerinin kısa bir açıklaması, örneğin: 1) Yasal ve sözleşmeyle ilgili gereklere uygunluk; 2) Güvenlik eğitimi gerekleri; 3) Virüs ve diğer zararlı yazılımların engellenmesi ve tespit edilmesi; 4) İş sürekliliği yönetimi; 5) Güvenlik politikası ihlallerinin sonuçları; d) Güvenlik raporlaması konuları da dahil, bilgi güvenliği yönetimi için genel ve belirli sorumlulukların tarifi; e) Politikayı destekleme ihtimali olan belgelendirmeler için referanslar, örneğin belirli bilgi sistemleri için daha detaylı güvenlik politikaları ve süreçleri veya kullanıcıların uyması gereken güvenlik kuralları. Bu politika, tüm işletme içinde kullanıcılara, hedeflenen okuyucu için uygun, erişilebilir ve anlaşılır bir biçimde bildirilmelidir. 3.1.2 Gözden geçirme ve değerlendirme Politikanın, sürekliliğinin sağlanmasından ve tanımlanmış yöntemlere göre gözden geçirilmesinden sorumlu bir sahibi olmalıdır. Bu işlem, orijinal risk değerlendirmesinin temelini etkileyecek her değişikliğe karşı gözden geçirmenin yer aldığını garanti etmelidir, örneğin; önemli güvenlik arızaları, yeni savunmasızlıklar veya örgütsel veya teknik altyapıda değişiklikler gibi. Ayrıca, aşağıdakilerle ilgili zamanlanmış, belirli aralıklarda gözden geçirmeler olmalıdır: a) Kaydedilmiş güvenlik arızalarının yapısı, sayısı ve etkisi aracılığıyla görüntülenen, politikanın etkinliği; b) Denetimlerin, iş verimliliği üzerindeki maliyeti ve etkisi. c) Teknolojik değişikliklerinin etkisi. 4
4 Örgütsel güvenlik 4.1 Bilgi güvenliği altyapısı Amaç: İşletme içindeki bilgi güvenliğinin yönetilmesi. İşletme içersinde bilgi güvenliğinin gerçekleşmesini başlatmak ve kontrol etmek üzere bir yönetim sistemi kurulmalıdır. Bilgi güvenlik politikasını onaylamak, güvenlik rolleri tayin etmek ve tüm işletme içinde güvenlik yürütümlerini düzenlemek için yönetim önderliğiyle uygun yönetim sistemi kurulmalıdır. Eğer gerekirse, bir uzman bilgi güvenliği tavsiyesi kaynağı kurulmalı ve işletme içinde etkin kılınmalıdır. Endüstriyel eğilimleri yakalamak, standardları ve değerlendirme yöntemlerini gözlemek ve güvenlik olaylarıyla ilgilenirken uygun irtibat sağlamak için, harici güvenlik uzmanlarıyla iletişim geliştirilmelidir. Bilgi güvenliğine birden çok disiplinle ilgili bir yaklaşım özendirilmelidir, örneğin sigorta ve risk yönetimi alanlarında yöneticilerin, kullanıcıların, sistem yöneticilerinin, uygulama tasarımcılarının, denetçilerin ve güvenlik personelinin ve uzmanların yeteneklerinin beraber çalışması ve işbirliğinin katılımı. 4.1.1 Yönetim bilgi güvenliği forumu Bilgi güvenliği, yönetim takımının tüm bireylerince paylaşılan bir iş sorumluluğudur. Güvenlik öncelikleriyle ilgili açık bir yönlendirmenin ve görünür yönetim desteğinin olduğunu garanti eden bir yönetim forumu iyice düşünülmelidir. Bu forum, uygun bağlılık ve doğru kaynaklar aracılığıyla organizasyon içersindeki güvenliği desteklemelidir. Bu forum varolan yönetim yapısının bir parçası olabilir. Tipik olarak bir forum aşağıdakileri üstlenir: a) Bilgi güvenliği politikalarını ve tüm sorumlulukları gözden geçirmek ve onaylamak; b) Büyük tehditlere karşı bilgi varlıklarının çıkışındaki önemli değişiklikleri gözlemlemek; c) Bilgi güvenliği arızalarını gözden geçirmek ve gözlemek; d) Bilgi güvenliğini arttırmak için büyük öncelikleri gözden geçirmek. Güvenlikle ilgili tüm faaliyetlerden bir yönetici sorumlu olmalıdır. 4.1.2 Bilgi güvenliği düzenlemesi Büyük bir işletmede, işletmenin uygun bölümlerinden yönetim temsilcilerinin çapraz-fonksiyonel forumu, bilgi güvenlik denetimlerinin gerçekleşmesini düzenlemek için gerekli olabilir. Tipik olarak böyle bir forum: a) Tüm işletme içinde bilgi güvenliğiyle ilgili belirli rolleri ve sorumlulukları onaylar; b) Bilgi güvenliği için belirli yöntemleri ve süreçleri onaylar, örneğin risk değerlendirmesi, güvenlik sınıflandırma sistemi; c) İşletme genelinde bilgi güvenlik önceliklerini onaylar ve destekler, örneğin güvenlik bilinci programı; d) Güvenliğin, bilgi planlama sürecinin bir parçası olduğunu garanti eder; e) Yeni sistemler ve servisler için belirli bilgi güvenlik denetimlerinin yeterliliğini değerlendirir ve gerçekleştirilmesini düzenler; f) Bilgi güvenliği arızalarını gözden geçirir; g) Bilgi güvenliği için tüm organizasyon içindeki iş desteğinin görünürlüğünü yükseltir; 4.1.3 Bilgi güvenliği sorumluluklarının atanması Kişisel varlıkların korunması ve belirli güvenlik süreçlerinin yürütülmesi için sorumluluklar açıkça tanımlanmalıdır. Bilgi güvenliği politikası (Madde 3), organizasyon içindeki güvenlik rollerinin ve sorumluluklarının ayrılması üzerine genel kılavuz sağlamalıdır. Bu, nerede gerekliyse, belirli alanlar, sistemler veya hizmetler için daha detaylandırılmış kılavuzla birlikte tedarik edilmelidir. Bireysel, fiziksel ve bilgi varlıkları ve iş sürekliliği planlaması gibi güvenlik süreçleri için yerel sorumluluklar açıkça tanımlanmalıdır. Birçok organizasyonda, güvenliğin geliştirilmesine ve gerçekleştirilmesine ilişkin tüm sorumluluğu üstlenmek ve denetimlerin tanımlanmasını desteklemek için bir bilgi güvenlik yöneticisi atanır. 5
Bununla beraber, denetimlerin kaynaklarının bulunması ve gerçekleştirilmesi sıklıkla bireysel yöneticilerle kalır. Bir yaygın uygulama, her bir bilgi varlığı için, bunun günlük güvenliğinden sorumlu hale gelecek bir sahibin atanmasıdır. Bilgi varlıklarının sahipleri, güvenlik sorumluluklarıyla ilgili bireysel yöneticileri veya hizmet sunucularını görevlendirebilirler. Bununla birlikte, varlık sahibi, varlığın güvenliğinden tamamen sorumludur ve görevlendirilmiş her sorumluluğun doğru olarak yerine getirilmiş olduğunu belirleyebilmelidir. Her bir yöneticinin sorumluğu olduğu alanların açıkça belirtilmiş olması zorunludur; özel olarak aşağıdakiler yer almalıdır. a) Her bir ayrı sistemle ilişkili çeşitli varlıklar ve güvenlik süreçleri tanımlanmalı ve açıkça tarif edilmelidir. b) Her bir varlıktan veya güvenlik sürecinden sorumlu olan yönetici onaylanmalı ve bu sorumluluğun detayları belgelendirilmelidir. c) Yetkilendirme seviyeleri açıkça tanımlanmalı ve belgelendirilmelidir. 4.1.4 Bilgi işleme araçları için yetkilendirme süreci Yeni bilgi işleme araçları için, bir yönetim yetkilendirme süreci kurulmalıdır. Aşağıdaki denetimler düşünülmelidir. a) Yeni araçlar, amaçlarını ve kullanımını yetkilendiren, uygun kullanıcı yönetim onayına sahip olmalıdır. Onaylama ayrıca, ilgili tüm güvenlik politikalarının ve gereklerinin karşılandığını temin etmek için, yerel bilgi sistemi güvenlik ortamının sürekliliğini sağlamaktan sorumlu olan yöneticiden de alınmalıdır. b) Gerektiğinde, donanım ve yazılımın diğer sistem bileşenleriyle uyumlu olduğunun garanti edilmesi için kontrol edilmelidir. Not: Belirli bağlantılar için yazılı onaya gereksinim duyulabilir. c) Ticari bilgiyi işlemek için kişisel bilgi işleme araçlarının ve gereken denetimlerin kullanılması yetkilendirilmelidir. d) Çalışma ortamında kişisel bilgi işleme araçlarının kullanımı yeni savunmasızlıklara yol açabilir ve dolayısıyla değerlendirilmeli ve yetkilendirilmelidir. 4.1.5 Uzman bilgi güvenliği tavsiyesi Uzman güvenlik tavsiyesine birçok işletme tarafından gereksinim duyulması oldukça muhtemeldir. İdeal olarak, firma içinden deneyimli bir bilgi güvenlik danışmanı bunu sağlar. Organizasyonların tümü uzman danışman istihdam etmek istemeyebilir. Böyle durumlarda, sürekliliği temin etmek ve güvenlikle ilgili karar verme aşamalarında yardım sağlamak üzere, firma içi bilgi ve deneyimleri düzenlemesi için belirli bir kişinin tanımlanması tavsiye edilir. Ayrıca, kendi deneyimleri dışında kalan konularda uzman tavsiye sağlamak üzere uygun harici danışmanlara erişim sağlamalıdırlar. Bilgi güvenlik danışmanları veya benzer iletişim noktaları, bilgi güvenliğinin tüm alanlarında, kendilerinin veya harici tavsiyeleri kullanarak tavsiye sağlamak aracılığıyla görevlendirilmelidirler. Danışmanların güvenlik tehditlerini değerlendirme ve denetimler üzerindeki tavsiyelerinin kalitesi, organizasyonun bilgi güvenliğinin verimliliğini belirleyecektir. En üst seviyede verimlilik ve etki için, tüm organizasyon içinde yönetime doğrudan erişim izni verilmelidir. Bilgi güvenliği danışmanına veya benzer iletişim noktasına, şüpheli bir güvenlik olayının veya kırılmasının ardından, uzman bir kılavuzluk veya araştırma ile ilgili kaynak sağlamak için mümkün olan en erken aşamada danışılmalıdır. Birçok dahili güvenlik araştırması normal olarak yönetimin denetimi altında yürütülse bile, bilgi güvenliği danışmanına tavsiye almak, araştırmayı yönlendirmek ve idare etmek üzere gereksinim duyulabilir. 4.1.6 Organizasyonlar arasındaki işbirliği Kanun yürütme makamlarıyla, yasa düzenleyici kurullarla, bilgi hizmet sağlayıcılarıyla ve haberleşme teknisyenleriyle, bir güvenlik arızasının gerçekleşmesi durumunda uygun eylemlerin hızlıca harekete geçirilmesini ve tavsiyelerin alınabilmesini temin etmek üzere uygun ilişkiler kurulmalıdır. Benzer bir biçimde, güvenlik gruplarına üyelik ve endüstri forumları da düşünülmelidir. 6
Organizasyona ait gizli bilgilerin yetkisiz kişilerin eline geçmediğini garanti etmek üzere güvenlik bilgilerinin karşılıklı değişimi sınırlandırılmalıdır. 4.1.7 Bilgi güvenliğinin bağımsız gözden geçirilmesi Bilgi güvenliği politikası belgesi (Madde 3.1), bilgi güvenliği için politika ve sorumlulukları belirler. Gerçekleşmesi, örgütsel uygulamaların uygun bir biçimde politikayı yansıttığına ve uygulanabilir ve etkili olduğuna dair güvence sağlamak için bağımsız olarak gözden geçirilmelidir (Madde 12.2). Böyle bir tetkik, uygun yeteneklere ve deneyime sahip olan dahili teftiş fonksiyonunca, bağımsız bir yönetici aracılığıyla veya bu gibi tetkiklerde uzman üçüncü taraf bir işletme tarafından gerçekleştirilebilir. 4.2 Üçüncü taraf erişiminin güvenliği Amaç: Üçüncü taraflarca erişilen işletmeye ait bilgi işleme araçlarının ve bilgi varlıklarının güvenliğinin korunması. Organizasyonun bilgi işleme araçlarına üçüncü tarafların erişimi denetlenmelidir. Bu gibi, üçüncü tarafların erişimine gereksinim duyulan yerlerde, olası güvenlik etkilerini ve denetim gereklerini belirlemek için risk değerlendirmesi yürütülmelidir. Denetimler üçüncü tarafla yapılacak bir sözleşme içersinde karşılıklı olarak onaylanmalı ve tanımlanmalıdır. Üçüncü taraf erişimi, diğer katılımcıları da kapsayabilir. Üçüncü taraf erişimiyle ilgili görüşülen sözleşmeler, gerekli niteliğe sahip diğer katılımcıların atanmasına izni ve bu katılımcıların erişim koşullarını içermelidir. Bu standard, bu gibi sözleşmeler için ve bilgi işleme hizmetinin dışarıdan sağlanması düşünüldüğünde, temel olarak kullanılabilir. 4.2.1 Üçüncü taraf erişiminde risklerin tanımlanması 4.2.1.1 Erişim türleri Üçüncü tarafa verilen erişim türü özel bir önem taşır. Örneğin, bir ağ bağlantısı üzerinden erişimin riskleri, fiziki erişimle sonuçlanan risklerden farklıdır. Düşünülmesi gereken erişim türleri şunlardır: a) Fiziki erişim, örneğin ofislere, bilgi işlem odalarına, dosyalama bölümlerine; b) Mantıki erişim, örneğin organizasyonun veritabanına, bilgi sistemlerine. 4.2.1.2 Erişim sebepleri Üçüncü tarafların erişimine bir dizi sebepten dolayı izin verilmiş olabilir. Örneğin, bir organizasyona hizmet veren ve çalışma alanında yerleşik olmayan fakat fiziki ve mantıki erişim verilmiş üçüncü taraflar olabilir. Örneğin: a) Sistem seviyesine veya alçak seviye uygulama işlerliğine erişim gereksinimi olan donanım ve yazılım destek elemanları; b) Bilgi alışverişi yapan, bilgi sistemlerine erişen veya veritabanı paylaşan ticari ortaklar veya ortaklıkları (joint venture). Bilgi, eksik güvenlik yönetimiyle üçüncü tarafların erişimi aracılığıyla risk altına girebilir. Bir üçüncü tarafla ticari ilişki kurulması gerektiğinde, belirli denetimler için her gerekeni tanımlamak üzere bir risk değerlendirmesi yürütülmelidir. Bu risk değerlendirmesi, istenen erişim biçimini, bilginin değerini, üçüncü tarafça kullanılan denetimleri ve bu erişimin organizasyonun bilgi güvenliğine dahil edilmesini dikkate almalıdır. 7
4.2.1.3 Çalışma alanı anlaşmalı taraflar Sözleşmelerinde tanımlandığı gibi belirli bir süre çalışma alanında yerleşen anlaşmalı kişiler de güvenliği zayıflatmaya sebep olabilirler. Çalışma alanındaki üçüncü taraflara örnekler aşağıdakileri içerir: a) Yazılım ve donanım bakım ve destek görevlileri; b) Temizlik, yiyecek, güvenlik görevlileri ve diğer dışardan sağlanmış destek hizmet görevlileri; c) Öğrenci yerleştirmeleri ve diğer kısa dönemli personel alımları; d) Danışmanlar Bilgi işleme araçlarına, üçüncü tarafların erişimini yönetmek için hangi denetimlere gerek olduğunu anlamak çok önemlidir. Genel olarak, üçüncü taraf erişiminden doğan tüm güvenlik gerekleri veya dahili denetimler üçüncü taraf sözleşmesinde yansıtılmalıdır (Madde 4.2.2). Örneğin eğer bilginin gizliliğiyle ilgili özel bir gereksinim varsa, kapalı anlaşmalar kullanılabilir (Madde 6.1.3). Uygun denetimler gerçekleştirilene kadar veya erişim ve bağlantı için şartları tarif eden bir sözleşme imzalanana kadar, üçüncü taraflara, bilgi ve bilgi işleme araçlarına erişim izni verilmemelidir. 4.2.2 Üçüncü taraf sözleşmelerinde güvenlik gerekleri Üçüncü bir tarafın, işletme ile ilgili bilgi işleme araçlarına erişimini içeren düzenlemeler, organizasyonun politikalarına ve standardlarına uyumlu, tüm güvenlik gereklerini içeren ve bunlara başvuran resmi bir sözleşme olarak yapılmalıdır. Sözleşme, işletme ile üçüncü taraf arasında herhangi bir yanlış anlaşmanın olmadığını garanti etmelidir. İşletmeler tedarikçilerine kefil olmakla ilgili hoşnut olmalıdırlar. Aşağıdaki şartların sözleşmede yer alması göz önünde bulundurulmalıdır: a) Bilgi güvenliği üzerine genel politika; b) Aşağıdakileri içeren varlık koruması: 1) Bilgi ve yazılım dahil olmak üzere işletmeye ait varlıkları korumak için yöntemler; 2) Varlıklara ilişkin herhangi bir tehlikenin, örneğin veri kaybı veya veri değişikliğinin oluşup oluşmadığını belirlemek için yöntemler; 3) Sözleşme sonunda veya anlaşmanın sağlandığı noktada, sözleşme süresince bilginin ve kaynakların dönüşünün veya imha edilmesinin garanti edilmesi için denetimler; 4) Bütünlük ve elverişlilik; 5) Bilginin kopyalanması ve ifşa edilmesi üzerine kısıtlamalar. c) Geçerli kılınmak için her hizmetin bir tarifi; d) Hizmetin hedef seviyesi ve hizmetin kabul edilemez seviyesi; e) Uygun olan yerde personel aktarımı sağlama; f) Tarafların anlaşmadaki ayrı ayrı taahhütleri; g) Yasal konularla ilgili sorumluluklar, örneğin veri koruma hükümleri, özellikle eğer farklı ulusal yasa sistemlerince dikkat edilen sözleşme diğer ülkelerdeki organizasyonlarla işbirliğini içeriyorsa, farklı ulusal yasa sistemlerince dikkat edilen (Madde 12.1); h) Fikri mülkiyet hakları (IRP ler) ve telif hakları senedi (Madde 12.1.2) ve herhangi bir işbirliği çalışmasının korunması (Madde 6.1.3); i) Aşağıdakileri içeren erişim denetimi çalışmaları: 1) İzin verilmiş erişim yöntemlerinin ve kullanıcı kimlikleri ve parolaları gibi özel tanımlayıcıların denetimi ve kullanımı; 2) Kullanıcı denetimi ve ayrıcalıkları için yetki uygulaması; 3) Geçerli kılınmış hizmetleri kullanmak için yetki verilmiş kişilerin bir listesini sağlama gereği ve böyle bir kullanımla ilgili haklarının ve ayrıcalıklarının ne olduğu; j) Doğrulanabilir performans ölçütlerinin tanımı, gözlenmesi ve raporlanması; k) Kullanıcı faaliyetlerini gözleme ve feshetme hakkı; l) Sözleşmeden doğan sorumlulukları teftiş etme veya üçüncü tarafça yürütülen teftişlere sahip olma hakkı; m) Sorun çözümleri için bir yükselme süreci kurulması; uygun yerlerde olasılık anlaşmalarının yapılması; n) Donanım ve yazılım yükleme ve bakımıyla ilgili sorumluluklar; o) Açık bir raporlama yapısı ve üzerinde anlaşmaya varılan raporlama biçimi p) Yönetim değişikliğiyle ilgili açık ve tanımlanmış bir süreç; q) Denetimlerin izlendiğini garanti etmek üzere gereken her türlü fiziki koruma ve denetim yöntemleri r) Yöntemler, süreçler ve güvenlikle ilgili kullanıcıların ve sistem yöneticilerinin eğitimi 8
s) Zararlı yazılımlara karşı korumayı garanti etmek için denetimler (Madde 8.3) t) Güvenlik arızalarının ve güvenlik kırılmalarının raporlanması, bildirilmesi ve araştırılmasıyla ilgili düzenlemeler; u) Üçüncü tarafların taşeronlarla bağlantısı 4.3 Dışarıdan kaynak sağlama Amaç : Bilgi işleme sorumluluğu başka bir işletmenin kaynaklarından dışarıdan sağlandığında bilgi güvenliğinin sürdürülmesi. Dışarıdan kaynak sağlama düzenlemeleri, taraflar arasıdaki sözleşme içinde riskleri, bilgi sistemlerini, ağlar ve/veya masaüstü ortamları için güvenlik denetimlerini ve yöntemlerini göstermelidir. 4.3.1 Dışarıdan kaynak sağlama sözleşmelerindeki güvenlik gerekleri Yönetim ve bilgi sistemleri, ağlar ve/veya masaüstü ortamların tümü veya bir kısmı için dışarıdan kaynak sağlayan organizasyonların güvenlik gerekleri, taraflar arasında yapılması anlaşılmış bir sözleşme içinde belirtilmelidir. Örneğin sözleşme aşağıdakileri içermelidir: a) Yasal gereklerin nasıl karşılanacağı, örneğin veri koruma yöntemleri; b) Dışarıdan sağlanan kaynakla ilgisi olan tüm tarafların, taşeronlarda dahil, güvenlik sorumluluklarının farkında olduklarının garanti edilmesi için ne gibi düzenlemeler yer alacağı; c) İşletmenin ticari varlıklarıyla ilgili güvenilirliğinin ve gizliliğinin korunması ve kontrol edilmesinin nasıl sağlanacağı; d) İşletmenin hassas ticari bilgilerine yetkilendirilmiş kullanıcıların erişimini kısıtlamak ve yasaklamak için hangi fiziksel ve mantıksal denetimlerin kullanılacağı; e) Bir felaket karşısında hizmetlerin kullanılabilirliğinin nasıl sağlanacağı; f) Dışarıdan sağlanmış araçlar için hangi seviyede fiziksel güvenlik sağlanacağı; g) Teftiş etme hakkı. Madde 4.2.2 de verilmiş şartlar da bu sözleşmenin bir parçası olarak düşünülmelidir. Sözleşme, taraflar arasında anlaşma sağlanmış bir güvenlik yönetimi planı içersinde güvenlik gereklerinin ve yöntemlerinin genişletilmesine izin vermelidir. Dışarıdan kaynak sağlama sözleşmeleri bazı karmaşık güvenlik soruları doğursa da bu uygulama kurallarının içerdiği denetimler, güvenlik yönetim planının yapısı ve içeriğinin anlaşmaya varılması için başlangıç noktası olarak hizmet edebilir. 5 Varlık sınıflandırması ve denetimi 5.1 Varlıklar için sorumluluk Amaç: İşletmeye ait varlıklar için uygun korunmanın sağlanması. Tüm büyük bilgi varlıklarıyla ilgili açıklama yapılmalı ve hepsinin atanmış bir sahibi olmalıdır. Varlıkların sorumluluğu, uygun korumanın sağlandığının garanti edilmesine yardımcı olur. Tüm büyük varlıklar için sahipler tanımlanmalıdır ve uygun denetimlerin sürdürülmesi için sorumluluk tayin edilmelidir. Denetimlerin gerçekleştirilmesine yönelik sorumluluklar için görevlendirmeler yapılabilir. Sorumluluk varlığa atanmış sahibe aittir. 9
5.1.1 Varlıkların Envanteri Varlıkların envanteri, etkin varlık korumasının gerçekleştiğini temin etmeye yardım eder, ve sağlık ve güvenlik, sigorta ve mali (varlık yönetimi) nedenler gibi diğer ticari amaçlar için gereksinim duyulabilir. Varlıkların envanterinin toplanması süreci, risk yönetiminin önemli bir parçasıdır. Bir işletmenin varlıklarını ve bu varlıklarla ilgili değer ve önemleri tanımlayabiliyor olması gerekir. Bu bilgiye dayalı olarak, bir işletme daha sonra varlıkların değeri ve önemiyle orantılı koruma seviyeleri sağlayabilir. Bir envanter, her bilgi sistemiyle bağlantılı olan önemli bilgi varlıklarıyla ilgili düzenlenmeli ve korunmalıdır. Her bir varlık açıkça tanımlanmalı ve varlık sahipleri ve güvenlik sınıflandırılmaları (Madde 5.2) mevcut bulunduğu yerle beraber (bu kayıp ve hasarlar giderilmeye çalışıldığında önemlidir) onaylanmalı ve belgelendirilmelidir. Bilgi sistemleriyle ilgili varlıklara örnekler şunlardır: a) Bilgi varlıkları: veritabanları ve veri dosyaları, sistem belgeleri, kullanıcı el kitapları, eğitim malzemeleri, işlemsel ve desteksel yöntemler, süreklilik planları, yedek anlaşmaları, arşivlenmiş bilgi; b) Yazılım varlıkları: uygulama yazılımları, sistem yazılımları, geliştirme araçları ve faydaları; c) Fiziksel varlıklar: bilgisayar bileşenleri (işlemciler, ekranlar, diz üstü bilgisayarlar, modemler), manyetik ortamlar (kayıt cihazları ve diskler), diğer teknik araçlar (güç kaynakları, havalandırma üniteleri), mobilya, yerleşim düzeni; d) Hizmetler: bilgi işleme ve haberleşme hizmetleri, genel faydalar; örneğin ısınma, ışıklandırma, elektrik, havalandırma. 5.2 Bilgi Sınıflandırması Amaç: Bilgi kaynaklarının uygun koruma seviyesine sahip olduklarının garanti edilmesi. Bilgi, korunma gereksiniminin, önceliklerinin ve derecesinin belirlenmesi için sınıflandırılmalıdır. Bilgi birçok değişik önem ve hassasiyet derecesine sahiptir. Bazı öğeler, ilave korunma seviyesine veya özel olarak ele alınmaya gerek duyabilir. Bilgi sınıflandırma sistemi, uygun koruma seviyesi tanımlanması için kullanılmalı ve özel işlem ölçümlerine gereksinimle iletişim kurmalıdır. 5.2.1 Sınıflandırma kılavuzları Bilgi için sınıflandırmalar ve ilgili koruyucu denetimler, bilgi paylaşımı veya kısıtlanması için ticari gereksinimleri ve bu gibi gereksinimlerle ilişkili ticari etkileri, örneğin bilgiye yetkisiz erişim ve hasarı, dikkate almalıdır. Genel olarak, bilgiye verilmiş sınıflandırma bu bilginin nasıl ele alınacağını ve korunacağını belirlemenin kısa yoludur. Bilgi ve sınıflandırılmış veriyi ele alan sistemlerden oluşan çıktılar, işletme için değerine ve hassasiyetine göre etiketlendirilmelidir. Bilgiyi işletme için olan önemine göre de etiketlendirmek ayrıca uygun olabilir, örneğin güvenilirliğine ve elverişliliğine göre. Bilgi çoğu kez belirli bir süre geçtikten sonra hassas ve önemli olmaktan çıkar, örneğin bilginin umumi olarak duyurulmasıyla birlikte. Bu açılar dikkate alınmalıdır, çünkü gerektiğinden fazla sınıflandırma gereksiz ilave ticari harcamalara sebep olabilir. Sınıflandırma kılavuzu, bilgiyle ilgili verilmiş her öğenin sınıflandırılmasına, her zaman uygulanmasına gerek olmadığının ve önceden belirlenmiş politikalara göre değişebileceğinin gerçeğinin önceden tahmin edilmesine izin vermelidir (Madde 9. 1). Sınıflandırma gruplarının sayısı ve bunların kullanımından sağlanacak faydalar göz önünde bulundurulmalıdır. Oldukça karmaşık planlar, hantal ve kullanım açısından ekonomik ve pratik olmayan bir hal alabilirler. Diğer işletmelerden gelen belgeler üzerindeki sınıflandırma etiketleri dikkatlice yorumlanmalıdır çünkü diğer işletmeler aynı veya benzeri isimlendirilmiş etiketler için farklı tarifler yapmış olabilirler. Bilgiye ait bir öğenin, örneğin bir belgenin, veri kaydının, veri dosyası veya disketinin, sınıflandırılmasının ve bu sınıflandırmanın belirli zamanlarda gözden geçirilmesinin sorumluluğu yaratıcıda veya bilgiye atanmış sahibindedir. 10
5.2.2 Bilgi etiketleme ve işleme İşletme tarafından sahiplenilmiş sınıflandırma planına göre bilgi etiketleme ve işleme için bir dizi uygun sürecin tanımlanması önemlidir. Bu yöntemler bilgi varlıklarını, fiziki ve elektronik ortamda kapsaması gerekir. Her sınıflandırma için, işleme yöntemleri, aşağıdaki bilgi işleme faaliyetleri biçimlerini kapsayacak bir biçimde tanımlanmalıdır: a) Kopyalama; b) Depolama; c) Posta, faks ve elektronik mesaj aracılığıyla aktarma d) Cep telefonu, sesli mesaj, telefonlar gibi sözlü kelimelerle aktarımı; e) Yok etme; Hassas ve önemli olarak sınıflandırılan bilgileri içeren sistemlerden çıktılar, uygun sınıflandırma etiketi (çıktı içinde) taşımalıdır. Etiketleme, Madde 5.2.1 de belirlenen kurallara uygun olarak yapılmış sınıflandırmayı yansıtmalıdır. Göz önünde bulundurulması gereken öğeler, basılı raporları ekran görüntülerini, kayıtlı ortamı (kayıt cihazları, diskler, CD ler, kasetler), elektronik mesajları ve dosya aktarımlarını içerir. Fiziksel etiketler genelde, etiketlemenin en uygun biçimidir. Bununla beraber elektronik biçimdeki belgeler gibi bazı bilgi varlıkları, fiziksel olarak etiketlenemez ve elektronik anlamda etiketlemenin kullanılması gerekir. 6 Personel güvenliği 6.1 İş tanımlarındaki ve kaynaklardaki güvenlik Amaç: İnsan hatalarını, hırsızlığı, sahtekarlığı ve araçların yanlış kullanılması risklerinin azaltılması. Güvenlik sorumlulukları işe alma sırasında belirtilmeli, sözleşmeler içinde yer almalı ve bir kişinin işe alınması süresince gözlenmelidir. Olası işe alınmalar uygun bir şekilde elenmeli (Madde 6.1.2), özellikle hassas görevler için dikkat edilmelidir. Bilgi işleme araçlarının tüm çalışanları ve üçüncü taraf kullanıcılar bir gizlilik (kapalılık) anlaşması imzalamalılardır. 6.1.1 İş sorumluluklarına güvenliğin dahil edilmesi Güvenlik rolleri ve sorumlulukları, organizasyonun bilgi güvenliği politikasında (Madde 3.1) sunulduğu gibi, uygun olan yerde belgelenmelidir. Bunlar, güvenlik politikasını gerçekleştirmek ve sürdürmek için her türlü genel sorumluluğun yanında, belirli varlıkların korunması veya belirli güvenlik işlemlerinin veya faaliyetlerinin yürütülmesi için her özel sorumluluğu içermelidir. 6.1.2 Personel eleme ve personel politikası Sürekli personel üzerinde doğruluk kontrolü, işe başvurulduğu zaman yapılmalıdır. Bu aşağıdaki denetimleri içermelidir: a) Tatminkar kişisel referansların varlığı, örneğin bir işle ilgili, bir şahsi; b) Başvuranın özgeçmişinin kontrolü (bütünlük ve doğruluk); c) İddia edilen akademik ve uzman niteliklerin teyidi; d) Bağımsız kimlik kontrolü (pasaport ve benzeri belgeler). Bir işin ya ilk başvuruda ya da terfide, kişinin bilgi işleme araçlarına erişimini içerdiği yerde ve özellikle bunlar eğer hassas bilgileri işlemeyi içeriyorsa örneğin mali bilgi veya yüksek derecede gizli bilgiyi, işletme ayrıca saygınlık kontrolü yapmalıdır. Oldukça fazla yetki gerektiren pozisyonlardaki personel için bu kontrol belirli aralıklarla tekrarlanmalıdır. Benzer bir eleme süreci anlaşmalı taraflarla ve geçici personelle de gerçekleştirilmelidir. Bu elemanlar bir acente aracılığıyla sağlanıyorsa, personel için acente ile yapılan sözleşme, acentenin sorumluluklarını ve eğer eleme sonuçlandırılamazsa veya sonuçlar şüpheye veya düşünmeye sebep olursa izlemeleri gereken ihbar yöntemlerini içermelidir. 11
Yönetim, hassas sistemlere erişim için yetkilendirilmiş yeni ve deneyimsiz personel için gereken gözetimleri değerlendirmelidir. Tüm personelin çalışmaları, kıdemli personel tarafından belirli zaman dilimlerine gözden geçirilmeli ve onaylama yöntemlerinden geçirilmelidir. Yöneticiler personellerinin kişisel şartlarının da çalışmalarını etkileyebileceğinin farkında olmalıdırlar. Kişisel veya mali sorunlar, davranışlarındaki veya yaşam şekillerindeki değişiklikler, tekrarlama dalgınlığı ve stres veya depresyon belirtileri, sahtekarlığa, hırsızlığa, hataya veya diğer güvenlik arızalarına yöneltebilir. Bu bilgiyi, yasal yetki sınırları çerçevesi içinde yer alan uygun hükümlere göre ele alınmalıdır. 6.1.3 Gizlilik anlaşmaları Gizlilik veya kapalılık (ifşa etmeme) anlaşmaları, bilginin gizli veya sır olduğunun bildirimini vermek için kullanılır. Çalışanlar normalde böyle bir anlaşmayı işe alınmalarının öncelikli şartları ve koşullarının bir parçası olarak imzalamalılardır. Varolan bir sözleşmeyle (güvenlik anlaşması dahil) kapsanmamış olan geçici personel ve üçüncü taraf kullanıcılardan, bilgi işleme araçlarına erişim verilmeden önce bir güvenlik anlaşması imzalamaları istenmelidirler. İşe alma veya sözleşme koşullarında değişiklikler olduğunda, özellikle personel işletmeden ayrılmak üzere olduğunda veya sözleşmeler sona ermek üzere olduğunda, gizlilik anlaşmaları tekrar gözden geçirilmelidir. 6.1.4 İşe alma koşulları ve şartları İşe almanın koşul ve şartları, çalışanın bilgi güvenliği ile ilgili sorumluluklarını belirtmelidir. Uygun olan yerde, istihdam sona erdikten sonra bu sorumluluklar tanımlanmış bir zaman dilimi için devam etmelidir. Çalışanın güvenlik gereklerine uymaması karşısında ne gibi önlemler alınacağını da içermelidir. Çalışanın yasal sorumlulukları ve hakları, örneğin telif hakları yasaları veya veri koruma hükümleri gibi, açıklanmalı ve işe almanın koşulları ve şartları içersinde yer almalıdır. Sınıflandırma için sorumluluk ve işverenin verilerinin yönetimi de ayrıca yer almalıdır. Uygun olan her zaman, işe alma koşulları ve şartları, bu sorumlulukların işletmenin çevresi dışına genişletildiğini ve normal çalışma saatlerinin, örneğin ev çalışması şartlarında, dışına genişletildiğini belirtmelidir (Madde 7.2.5 ve Madde 9.8.1) 6.2 Kullanıcı eğitimi Amaç: Kullanıcıların bilgi güvenliği tehditlerinden ve sorunlarından haberdar olduklarının ve normal çalışma seyirleri içinde organizasyonla ilgili güvenlik politikasını desteklemek üzere donatıldıklarının garanti edilmesi. Kullanıcılar, güvenlik yöntemlerinde ve bilgi işleme araçlarının doğru kullanımında, olası güvenlik risklerini azaltmak için eğitilmelidirler. 6.2.1 Bilgi güvenliği eğitimi ve öğretimi İşletmenin tüm çalışanları ve ilgili yerlerde, üçüncü taraf kullanıcılar, organizasyona ait politikalar ve yöntemlerle ilgili uygun eğitim ve düzenli güncelleme almalıdırlar. Bu, bilgiye veya hizmetlere erişimi tayin etmeden önce, güvenlik gereklerini, yasal sorumlulukları ve iş denetimlerinin yanı sıra, oturuma giriş yöntemleri, yazılım paketlerinin kullanımı gibi bilgi işleme araçlarının doğru kullanımının eğitimini almayı içerir. 12
6.3 Güvenlik arızalarına ve bozulmalarına cevap verilmesi Amaç: Güvenlik arızalarından ve bozulmalarından meydana gelen hasarın en aza indirilmesi ve bu gibi olayların gözlenmesi ve bunlardan öğrenilmesi. Güvenliği etkileyen arızalar mümkün olan en kısa sürede uygun yönetim kanalları kullanılarak rapor edilmelidir. Tüm çalışanlar ve sözleşmeli kimseler, işletmeye ait varlıkların güvenliği üzerinde etkisi olabilecek farklı biçimdeki arızaları (güvenlik kırılması, tehdit, zayıflama veya bozulma) rapor etme yöntemlerinden haberdar olmalıdırlar. Bu kişilerden, gözlemlenmiş ve şüphelenilmiş beklenmedik her olayı, mümkün olan en kısa süre içince belirlenmiş iletişim noktalarına rapor etmeleri istenmelidir. İşletme, güvenlik kırılmaları suçu işleyen çalışanlarla ilgilenmek üzere resmi bir disiplin süreci kurmalıdır. Arızaları uygun bir şekilde belirleyebilmek için, olay gerçekleştikten sonra mümkün olan en kısa sürede bulguları toplamak gerekli olabilir (Madde 12.1.7). 6.3.1 Güvenlik arızalarının raporlanması Güvenlik arızaları mümkün olan en kısa sürede uygun yönetim kanalları aracılığıyla rapor edilmelidir. Arıza raporunun alınması üzerine eylem planı belirleyen bir arıza cevap verme yöntemiyle birlikte resmi bir raporlama prosedürü oluşturulmalıdır. Tüm çalışanlar ve sözleşmeli kişiler, güvenlik arızalarının raporlanması yönteminden haberdar olmalı ve bu gibi olayları mümkün olan en kısa sürede raporlamaları istenmelidir. Arızaların raporlanmasının sonuçlarının bildirildiği temin etmek için, arıza giderildikten ve kapandıktan sonra, uygun geribildirim işlemleri gerçekleştirilmelidir. Bu arızalar, ne olabilirin, nasıl cevap verilebilirin ve bunlardan gelecekte nasıl kaçınılabilirin (Madde 12.1.7) örnekleri olarak, kullanıcı haberdar olma eğitimlerinde (Madde 6. 2) kullanılabilir. 6.3.2 Güvenlik zayıflıklarının raporlanması Bilgi hizmetlerinin kullanıcıları, sistemlerde veya hizmetlerde meydana gelen şüphelenilmiş veya gözlemlenmiş her türlü güvenlik zayıflıklarını veya tehditleri not etmeleri ve rapor etmeleri istenmelidir. Bu kişiler, bu olayları mümkün olan en kısa sürede ya yönetime ya da doğrudan hizmet sağlayıcılarına rapor etmelidirler. Kullanıcılar, hiçbir şart altında, şüphelenilmiş zayıflığı kanıtlama girişiminde bulunmamaları hakkında bilgilendirilmelidirler. Bu kendi güvenlikleri içindir çünkü zayıflığın kontrolü sistemin olası yanlış kullanılması olarak yorumlanabilir. 6.3.3 Yazılım bozulmalarının raporlanması Yazılım bozulmalarının raporlanması için prosedürler belirlenmelidir. Aşağıdaki eylemler göz önüne alınmalıdır. a) Sorunun belirtileri ve ekranda görünen her mesaj not edilmelidir. b) Bilgisayar tecrit edilmelidir, eğer mümkünse kullanımı durdurulmalıdır. Temasa geçilecek uygun kişi hemen uyarılmalıdır. Eğer donatımın incelenmesi gerekiyorsa, tekrar güç verilmeden önce işletmeye ait tüm bağlantılar kesilmelidir. Disketler diğer bilgisayarlara aktarılmalıdır. c) Konu hemen bilgi güvenliği yöneticisine rapor edilmelidir. Kullanıcılar, eğer yetkili değillerse, şüphelenilmiş yazılımı kaldırma girişiminde bulunmamalıdırlar. Uygun bir şekilde eğitilmiş ve deneyimli elemanlar düzeltmeleri gerçekleştirmelidirler. 6.3.4 Arızalardan öğrenmek Arızaların ve bozulmaların çeşitlerini, hacimlerini ve maliyetlerini hesaplayabilmek ve gözleyebilmek için teknikler olmalıdır. Bu bilgiler, tekrarlamaları ve yüksek etkili arızaları ve bozulmaları tanımlamada kullanılmalıdır. Bu, sıklık, hasar ve gelecekteki oluşumların maliyeti için artırılmış veya ilave denetimlere ihtiyacı veya güvenlik politikası gözden geçirme sürecinde (Madde 3.1.2) ele alınması gereken gereksinimlerin göstergesi olabilir. 13