BGYS’nin kurulması ve yönetilmesini üstlenecek bir proje ekibi oluşturulmalıdır. Ekip yöneticisi ve üyeleri, bilgi güvenliği yönetimi konusunda eğitimli/deneyimli olmalıdır. Çünkü bu ekip, risk yönetimi, politika oluşturma, güvenlik prosedürlerinin hazırlanması ve uygun kontrollerin seçilerek uygulanması gibi çalışmaları yapacaktır. Gerektiğinde bu proje ekibinin konusunda uzman danışmanlardan görüş ve öneri alması sağlanmalıdır.
BGYS’nin kurulması ve yönetilmesi
Bilgi Güvenliği Yönetim Sistemini kurmayı ve yönetmeyi düşünen bir kuruluşta izlenmesi gerekenler aşağıda anlatılmıştır.
BGYS’nin Kurulması
BGYS'nin kapsamı ve sınırlarını tanımlanır. BGYS’nin, kuruluşun hangi bölümlerinde uygulanacağı, hangi varlıkları ve teknolojileri içereceği yani sınırları belirlenmeli, tanımlanmalı, içeriği ve sınırları
tanımlayan belgeler hazırlanmalıdır.Kuruluşun BGYS politikası tanımlanır. BGYS’yi kurmak için öncelikle
Bilgi Güvenliği Politikası oluşturulmalı, yazılı hale getirilmelidir. Oluşturulan politikalar yönetim tarafından onaylanıp, kurum çalışanlarına duyurulmalıdır. Kuruluş,yaptığı işin, yerleşim yerinin, varlıklarının ve teknolojisinin özelliklerine göre bir BGYS politikası tanımlamalıdır.
Kuruluşun risk değerlendirme yaklaşımı tanımlanır. Uygun bir risk değerlendirme metodolojisi seçilmelidir. Seçilen risk değerlendirme metodolojisi, risk değerlendirmelerinin karşılaştırılabilir ve yeniden üretilebilir sonuçlar üretmesini sağlamalıdır. Ayrıca kabul edilebilir risk seviyeleri tanımlanmalıdır.Kuruluşun güvenlik riskleri belirlenir. BGYS kapsamındaki varlıkları ve bu varlıkların sahipleri tanımlanır. Bu varlıklar için var olan tehditler tanımlanır. Gizlilik, bütünlük ve kullanılabilirlik kayıplarının varlıklar üzerinde olabilecek etkileri tanımlanır.
Kuruluşun güvenlik riskleri analiz edilir ve değerlendirilir.Risk işleme seçenekleri ve eylemleri belirlenir ve değerlendirilir.Riskleri önlemek için kontrol amaçları ve kontroller seçilir. Seçimlerde ISO/IEC 27002 standardının karşılık gelen bölümlerine başvurulmalıdır. Kontrol amaçları ve kontroller, risk değerlendirme ve risk işleme süreçlerince tanımlanan gereksinimleri karşılamak için seçilmeli ve gerçekleştirilmelidir.
Yönetimin tüm artık riskleri formal olarak onayladığından emin olunmalıdır. Yani sunulan artık risklere ilişkin yönetim onayı edinilmelidir. (Uygulanan risk giderme kararları sonrası arta kalan risklere, artık riskler denilir)
Kuruluşun BGYS’ni uygulamadan ve işletmeden önce yönetimden yetki alınır.Kuruluşa özel kontrol amaçları ve kontrolleri içeren Uygulanabilirlik Bildirgesi hazırlanmalıdır. Uygulanabilirlik Bildirgesi, seçilen kontrol amaçları ve kontrolleri içermeli ve bunların seçilme nedenlerini açıklamalıdır.Kontrol amaçları ve kontrollerden hangilerinin gerçekleştirilmiş olduğunu, hangilerinin dışarda bırakıldığını ve neden
dışarda bırakıldığını açıklamalıdır.
BGYS'nin Uygulanması ve İşletilmesi
- Kuruluşun bilgi güvenlik risklerini yönetmek için risk önleme planı geliştirilir. Risk önleme planı, bilgi güvenlik risklerini yönetmek için gereken yönetim etkinliklerini, kaynakları, sorumlulukları ve öncelikleri içermelidir.
- Hazırlanan risk önleme planı uygulanır.
- Güvenlik kontrolleri uygulanır.
- Kontrollerin etkinliğinin ölçülmesi, yöneticiler ve personele kontrollerin planlanan kontrol amaçlarını ne kadar iyi düzeyde başardığına karar verme olanağı verir.
- Kuruluşun bu konuyla ilgili eğitim programları gerçekleştirilir.
- Kuruluşun BGYS'i yönetilir ve işletilir.
- Kuruluşun BGYS kaynakları yönetilir.
- Kuruluşun güvenlik olaylarını anında saptayabilme ve güvenlik ihlal olaylarına hemen yanıt verebilme yeteneğine sahip güvenlik prosedürlerini uygulanır.
BGYS’nin İzlenmesi ve Gözden Geçirilmesi
- BGYS'ni izlemek için prosedürler ve kontroller kullanılmalıdır. Bu sayede izleme sonuçlarındaki hatalar saptanır, ihlal olayları (iş operasyonlarını tehlikeye atma ve bilgi güvenliğini tehdit etme olasılığı yüksek olan tek ya da bir dizi istenmeyen ya da beklenmeyen bilgi güvenliği olayı) anında tanımlanır. Yönetimin, güvenlik etkinliklerinin beklenen biçimde çalışıp çalışmadığını belirleyebilmesi sağlanır. Güvenlik olaylarını saptama ve kriterler kullanarak güvenlik ihlal olaylarını önlemeye yardım etme ve bir güvenlik kırılmasını çözmek için alınan önlemlerin etkili olup olmadığına karar verme olanakları ortaya çıkar.
- BGYS'ni gözden geçirmek için prosedürler ve kontroller kullanılmalıdır.
- BGYS düzenli olarak gözden geçirilir. Gözden geçirmelerde, güvenlik denetimlerinin sonuçları, ihlal olayları, etkinlik ölçümleri sonuçları, öneriler ve geri bildirimleri dikkate alınır.
- Güvenlik gereksinimlerinin sağlandığı doğrulanmalıdır. Bunun için kontrollerin etkinliği ölçülmelidir.
- Risk analizi ve risk değerlendirmeleri düzenli olarak gözden geçirilmelidir. Kuruluş, teknoloji, İş amaçları ve süreçleri, tanımlanmış tehditler, gerçekleştirilen kontrollerin etkinliği, yasal ve düzenleyici ortamdaki değişiklikler, değiştirilmiş anlaşma yükümlülükleri ve sosyal iklimdeki değişiklikler gibi dış olaylarda meydana gelen değişiklikler dikkate alınarak planlanan aralıklarda kabul edilebilir risk düzeyleri gözden geçirilmelidir.
- Artık riskler (risk işlemeden sonra kalan riskler) düzenli olarak gözden geçirilmelidir.
- BGYS iç denetimleri planlanan aralıklarda düzenli olarak yapılmalıdır.
- BGYS yönetim gözden geçirmeleri düzenli olarak yapılmalıdır. Bu sayede kapsamın uygun kalması ve BGYS sürecindeki iyileştirmelerin tanımlanmasını sağlanır.
- İzleme ve gözden geçirme etkinliklerindeki sonuçlar irdelenerek bilgi güvenlik planları günlenir.
- BGYS’i etkileyen olay ve eylemler ile ilgili kayıtlar tutulmalı ve saklanmalıdır.
BGYS'nin Sürdürülmesi ve İyileştirilmesi
- BGYS’de tanımlı olan iyileştirmeler uygulanır.
- Uygun düzeltici eylemler uygulanır.
- Uygun önleyici eylemler uygulanır.Öğrenilen güvenlik deneyimlerinden alınan dersler uygulanır.
- BGYS değişiklikleri yani eylem ve iyileştirmeler tüm ayrıntısıyla ilgili gruplarla paylaşılır.
- Kuruluşun, BGYS değişikliklerinin, tasarlanan amaçları gerçekleştirdiğinden emin olunmalıdır.
Bu çalışmalar belirli aralıklarla yerine getirilmelidir.
Belgeleme gereksinimleri
BGYS Belgeleri ve Kayıtları Geliştirilmelidir
- Kararları belgeleyen kayıtlar oluşturulur. Yönetim kararları belgelenmeli, eylemlerin yönetim kararları ve politikalarına izlenebilir olmasını sağlamalıdır.
- Kuruluşun BGYS belgelenir. BGYS belgesinde BGYS politikası ve kontrol amaçları, BGYS kapsamı, BGYS’yi destekleyen prosedürler, risk değerlendirme metodolojisi tanımı, risk değerlendirme raporu,risk işleme planı, prosedür ve kontrollerin etkinliğini ölçme tanımı, bu standart için tutulması gereken kayıtlar ve uygulanabilirlik bildirgesi yer almalıdır.
- Belgeler ve kayıtlar herhangi bir biçimde ve ortam türünde olabilir.
BGYS Belgelerinin Kontrolü
- BGYS belgeleri korunmalı ve kontrol edilmelidir.
- BGYS belgelerini kontrol etmede kullanılacak bir prosedür oluşturulmalıdır.
Bu prosedür, aşağıdakilere gereksinim duyan yönetim eylemlerini belirtmek için kurulmalıdır:
a) Yayınlanmadan önce belgeleri uygunluk açısından onaylama,
b) Gerektiğinde belgeleri gözden geçirme, günleme ve tekrar onaylama,
c) Belge değişikliklerinin ve mevcut revizyon durumunun tanınmasını sağlama,
d) Uygulanabilir belgelerin ilgili sürümlerinin kullanım noktalarında kullanılabilir olmasını sağlama,
e) Belgelerin okunaklı ve hazır olarak tanınabilir olmasını sağlama,
f) Belgelerin gereksinim duyanlar için kullanılabilir olmasını,aktarılmasını, saklanmasını ve sınıflandırılmasına uygun prosedürlerle tamamen yok edilmelerini sağlama,
g) Dış kaynaklı belgelerin tanınmasını sağlama,
h) Belge dağıtımının kontrol edilmesini sağlama,
i) Yürürlükte olmayan belgelerin istenmeden kullanımını engelleme ve
j) Herhangi bir amaç için tutuluyorsa, bu belgelere uygun kimlik uygulama.
BGYS Kayıtların Kontrolü
Kuruluşun BGYS için kayıtlar oluşturulmalıdır. Bu kayıtlar, BGYS’nin gereksinimlere uygun olduğuna ve etkin işlediğine ilişkin kanıtlar oluşturmalı ve sürekliliği sağlanmalıdır.
Bu kayıtlar muhafaza edilmeli ve kontrol edilmelidir. Kayıtlar okunabilir, hemen erişilebilir ve yedekli olarak tutulmalıdır. Kayıtların tutulması, korunması, düzenleme zamanları için gerekli denetimler belgelenmelidir. Kayıtlara örnek olarak giriş/çıkış kontrol sistemlerinde oluşan bilgiler, denetim kayıtları, erişim yetkilendirme formları verilebilir.
Hiç yorum yok:
Yorum Gönderme