ISO 27001 Bilgi Güvenliği Sistemi

Bilgi ve Veri Ne Demektir?

Veri kısaca tariflersek en basit anlatımı ile işlenmemiş ham bilgiye veri denmektedir. Verinin işlenmiş şekli bilgidir. Veri veya data ifadesi, sayısal ve mantıksal bir değerdir.

Bilginin korunması gereken temel nitelikleri şunlardır:

• Bilginin gizliliği: Bilginin yetkisi olmayan kişiler, kuruluşlar, varlıklar ve süreçler tarafından erişilemez ve açığa çıkarılamaz niteliğine bilginin gizliliği denir.
• Bilginin bütünlüğü: Bilginin doğruluğunun, bütünlüğünün ve kendine özgü niteliklerinin korunmasını ifade eder.
• Bilginin erişilebilirliği: Bilginin, görevleri gereği sadece yetkisi olan kişiler tarafından ve istenildiği zaman ulaşılabilir ve kullanılabilir olması özelliğidir.

 Bilgi temel olarak şu şekilde bir sınıflandırma yapmak mümkündür:

• Gizli bilgiler işletme açısından çok kritik olan bilgilerdir. Bu bilgilere sadece yönetim kadrosunda bulunan kişiler erişebilir. Yetkisi olmayan kişilerin bu tür bilgilere ulaşması, kullanması ve paylaşması işletme açısından sakıncalıdır. Kısaca bu bilgilerin gizli tutulması esastır.
• İşletme içinde kullanılabilir bilgiler, sadece ilgili çalışanlar tarafından ulaşılabilen özel bilgilerdir. Ünite çalışanları dışında diğer çalışanların ve üçüncü kişilerin ulaşmaması ve görmemesi gereken bilgilerdir. Bu tür bilgilerin de gizli tutulması esastır.
• Kişisel bilgiler, işletmede çalışanların kişisel bilgileridir. Sadece işletme faaliyetleri ile ilgili kişisel çalışmalar bu kapsama girer. İş ile ilgisi olmayan kişisel bilgilerin tutulması ve saklanması doğru değildir. Kişisel bilgilerin erişilebilir olması esastır.
• İşletmeye açık bilgiler, sadece çalışanların kullanımı içindir. Bu tür bilgiler için bütünlük ve erişilebilirlik esastır. Üniteler arasında paylaşılan bilgiler bu sınıfa girer.

ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi Nedir?

Her türlü bilginin güvenliğinin sağlanması ile ilgili olarak 2005 yılında, Uluslararası Standartlar Organizasyonu (ISO) ve Uluslararası Elektroteknik Komisyonu (IEC) tarafından ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi standardı yayınlanmıştır.

Bu standardın geçmişi, İngiliz Standartlar Enstitüsü tarafından 1995 yılında yayınlanan BS 7799 standardının birinci kısmı ile 1998 yılında yayınlanan ikinci kısmı teşkil etmektedir. Bu standartlar 1999 yılında birlikte revize edilmiştir. 2000 yılına gelindiğinde bu defa ISO/IEC 17799 standardı yayınlanmıştır. 2002 yılında BS 7799-2 standardı güncellenmiş ve 2005 yılına gelindiğinde Uluslararası Standartlar Organizasyonu tarafından şu standartlar yayınlanmıştır:

• BS 7799-2 yerine ISO 27001:2005 standardı
• ISO 17799:2000 standardı yerine ISO 27002:2005 standardı

Bu iki standart en son 2013 yılında revize edilmiştir.

Bu standart ailesi Türk Standartları Enstitüsü tarafından ülkemizde yayınlanması:

• TS EN ISO/IEC 27000 Bilgi teknolojisi - Güvenlik teknikleri - Bilgi güvenliği yönetim sistemleri - Genel bakış ve sözlük
• TS EN ISO/IEC 27001 Bilgi teknolojisi - Güvenlik teknikleri - Bilgi güvenliği yönetim sistemleri - Gereksinimler
• TS EN ISO/IEC 27002 Bilgi teknolojisi - Güvenlik teknikleri - Bilgi güvenliği kontrolleri için uygulama prensipleri
• TS ISO/IEC 27003 Bilgi teknolojisi - Güvenlik teknikleri – Bilgi güvenliği yönetim sistemi uygulama kılavuzu
• ISO/IEC 27004 Bilgi teknolojisi - Güvenlik teknikleri - Bilgi güvenliği yönetimi - Ölçüm
• TS ISO/IEC 27005 Bilgi teknolojisi - Güvenlik teknikleri - Bilgi güvenliği risk yönetimi
• TS ISO/IEC 27006 Bilgi teknolojisi - Güvenlik teknikleri - Bilgi güvenliği yönetim sistemlerinin tetkik ve belgelendirmesini yapan kuruluşlar için şartlar
• TS ISO/IEC 27007 Bilgi teknolojisi - Güvenlik teknikleri - Bilgi güvenliği yönetim sistemleri denetimi için kılavuz
• TSE ISO/IEC TR 27008 Bilgi teknolojisi - Güvenlik teknikleri - Denetçiler için bilgi güvenliği kontrolleri kılavuzu

Diğer önemi konu Risk, Risk Yönetimi ve Tehdit Nedir?

Risk, zarara uğrama tehlikesi olarak tanımlanmaktadır. Risk, beklenmedik bir olayın gerçekleşmesi ve bu olaydan zarar görerek etkilenmek demektir. Bu nedenle risk olumsuz bir durum, bir tehlike olarak değerlendirilmektedir. Böyle olunca risklerin olumsuz etkilerinden korunmak ve zarar görmemek için, çeşitli olasılıklar dikkate alınarak önlemler alınmaya çalışılmaktadır. Bu çalışmaları ve planlama faaliyetlerini içeren yöntem risk yönetimi olarak adlandırılmaktadır.

Risk yönetimi, bir işletmenin çalışabilirliğini kesintiye uğratmamak ve faaliyetlerin olumsuz yönde etkilenmemesini sağlamak amacı ile bir takım risk faktörlerinin tespit edilmesi, ölçümlenmesi, analiz edilmesi ve değerlendirilmesi ve bu şekilde olası zararların en düşük seviyeye çekilmesi sürecidir. Ancak risk yönetimi çalışmalarında riskin tamamen ortadan kaldırılması %2 bilinmeyen sebepler olduğundan mümkün değildir.

Bir risk yönetimi çalışmasının ana unsurları şunlardır:

• İşletmenin bilgi değeri taşıyan varlıklarının tespit edilmesi
• İşletmeyi tehdit eden iç ve dış kaynaklı tehlikelerin tespit edilmesi
• İşletmeyi tehlikeye sokan zayıfl ve açık noktaların tespit edilmesi
• Riskin gerçekleşme olasılığının tespit edilmesi
• Risklerin işletmenin faaliyetlerine ve sisteme olan etkilerinin tespit edilmesi

Burada varlık derken, sistemin bir parçası olan ve işletme açısından bir değer taşıyan herşey ifade edilmektedir. Bu yüzden varlıklar işletme için değer taşımaktadır ve korunması gerekir.

Bilgi açısından varlıklar, sadece yazılım ve donanımlar demek değildir. Şu sayılanlar da varlık kavramı içine girmektedir: her türlü bilgi, kişisel bilgisayarlar, yazıcılar, sunucular ve benzeri bütün donanımlar, işletim sistemleri, geliştirilen uygulamalar, ofis programları ve benzeri bütün yazılımlar, telefonlar, kablolar, hatlar modemler, anahtarlama cihazları ve benzeri bütün haberleşme cihazları, bütün dokümanlar, üretilen hizmetler ve elbette işletmenin piyasadaki saygınlığı ve imajı.

Risk yönetimi çalışmalarında riskler belli bir sınıflandırmaya tabi tutulmaktadır. Örneğin, düşük risk gurubunda varlığın zarar görmesi halinde bilgi sistemi çok fazla zarar görmez ve sistem işlemeye devam eder. Bu durum işletmenin itibarına da zarar vermez. Orta risk grubunda varlığın zarar görmesi halinde bilgi sistemi etkilenir. Gerçi sistem işlemeye devam eder ancak yine de varlığın yerine konulması gerekir. Bu durum işletmenin itibarına bir miktar zarar verir. Yüksek risk grubunda varlığın zarar görmesi halinde bilgi sistemi oldukça etkilenir. Neredeyse sistem yarı yarıya kullanılmaz hale gelir. Sistemin çalışması için varlığın mutlaka yerine konulması gerekir. Bu durum işletmenin itibarını önemli ölçüde etkiler. Çok yüksek risk grubunda ise bilgi varlığı büyük oranda zarar görmüş demektir ve bu durumda sistemin işlerliği büyük ölçüde etkilenmiştir. Bilgi sistemi kullanılamaz durumda demektir. Bu durum işletmenin piyasadaki saygınlığını çok kötü şekilde etkiler.

Tehdit, bilerek veya bir kaza sonucunda herhangi bir tehdit kaynağının sistemin bir açığını kullanması ve varlıklara zarar verme potansiyelidir. Bu kapsamda olmak üzere doğal tehditler, deprem, toprak kayması, sel, yıldırım düşmesi veya fırtına gibi olaylardır. Çevresel tehditler, hava kirliliği, uzun süreli elektrik kesintileri ve sızıntılar gibi olaylardır. İnsan kaynaklı tehditler ise, insanların bilinçli olarak veya bilmeden neden olduğu olaylardır. Örneğin sisteme yanlış datanın girilmesi, dışarıdan yapılan ağ saldırıları, sisteme zararlı yazılımların yüklenmesi, kullanıcı kimlik bilgilerinin çalınması ya da sisteme yetkisi olayan kişilerin erişimesi gibi.

Bilgi sistemlerine açıklık, sistem güvenlik prosedürlerinde, uygulamada ya da iç denetimlerde karşılaşılan ve bilgi güvenliğinin ihlal edilmesine neden olan zayıflık, hata veya kusurlardır. Bu açıklıklar tek başlarına bir tehlike unsuru değildir. Gerçekleşmeleri için ortada bir tehdidin bulunması gerekir.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi’nin Kapsamı Nedir?

İşletmeler, faaliyet gösterdikleri sektöre veya büyüklüklerine bakılmaksızın mutlaka faaliyetleri çerçevesinde bir takım bilgiler üretmektedir ve bu bilgiler her işletme için değerlidir. Bilginin korunmasına yönelik yapılacak çalışmalar işletmeden işletmeye mutlaka farklı olacaktır ancak genelde sistem şu ana unsurları kapsayacaktır:

• İşletmenin üst yönetimi, bilgi güvenliği konusunda takip edilecek bir politika tespit etmiş ve açıklamış olmalıdır.
• İşletmede bilgi varlıklarının listesi çıkarılmış ve önem sırasına konulmuş olmalıdır.
• İşletmede çalışanların hata yapma ihtimalleri önlenmiş olmalıdır.
• İşletmede bilgi varlıklarının amacı dışında kullanılması riski düşürülmüş olmalıdır.
• Bilgi kaynaklarına yapılacak saldırılar ve bilginin bozulma veya değiştirilme riskleri düşürülmüş olmalıdır.
• Operasyonel olarak bilgisayar sistemlerinin yeterli ve güvenilir olması sağlanmış olmalıdır.
• Bilgiye sadece yetkisi olan kişilerin erişimi sağlanmış olmalıdır.
• Herhangi bir güvenlik ihlali yaşanması durumunda, olayın şeklinde göre zamanında ve hızlı müdahale edilebilmelidir.
• Bilgiye yapılacak saldırılar, işletmenin ana faaliyetlerini kesmemeli ve normal ortama çok çabuk dönülebilmelidir. Yani faaliyetlerin sürekliliği sağlanmalıdır.
• Bilgi Güvenliği Yönetim Sistemi işletmenin, yasal düzenlemelerin gerektirdiği yükümlülükleri karşılayacak seviyede olmalıdır.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi, işletmelerde sadece bilgi teknolojileri projesi olarak algılansa da aslında bu sistem işletmenin bütününü ilgilendiren bir bilgi güvenliği projesidir. Bu nedenle ISO 27001 standardının kurulması ve işletilmesinden doğrudan üst yönetim sorumludur. Günümüzde ISO 27001 Bilgi Güvenliği Yönetim Sistemi, işletmede bütün insan kaynaklarını, üst yönetimi, bilgi sistemlerini ve iş süreçlerini içine alan bir bütün olarak yönetilmektedir.

ISO 27001 standardının temel hedefleri şunlardır:

• İşletmenin varsa bilgi güvenlik açıklarını tespit etmek
• Bilgi varlıklarını tehdit eden riskleri ortaya koymak
• Risk altında olan bilgi varlıklarının güvenliğini sağlamak amacı ile yapılacak denetim yöntemlerini tespit etmek
• Gerekli kontrollerin yapılmasını sağlamak ve olası riskleri kabul edilebilir düzeyde tutmak
• İşletmede bilgi güvenliği kontrollerinde sürekliliği sağlamak

ISO 27001 Bilgi Güvenliği Yönetim Sistemi Ne Getiriyor?

ISO 27001 standardı, işletmelerde risk değerlendirme metodolojisinin yerleşmesine, risk değerlendirme raporlarının hazırlanmasına ve risk işleme planlarının hazırlanmasına olanak tanımaktadır.

Zaman içinde sistemdeki mevcut tehditlerin ve zayıflıkların nitelikleri değişebilir. Veya uygulanan ISO 27001 standardı ile birlikte yapılan kontroller neticesinde riskler azalmış veya önem dereceleri düşmüş olabilir. Bu nedenle işletmelerin yapacakları risk izleme çalışmaları önem taşımaktadır. İşletmeler, belirledikleri periyodlarda ve kabul edilen metodolojiye uygun şekilde risk değerlendirmesi çalışmaları yapmak zorundadırlar.

ISO 27001 standardı çerçevesinde hazırlanacak bilgi güvenliği politikası, başlıca şu konuları içermelidir: fiziksel ve çevresel güvenlik, ekipman güvenliği, işletim sistemleri ve son kullanıcı güvenliği, şifre güvenliği ve sunucu ve sistem güvenliği.

Fiziksel ve çevresel güvenlik konusu, işletmede sisteme yetkisi olmayan kişilerin erişimlerinin engellenmesi ve bilgi varlıklarının çeşitli risklere karşı korunmasını ifade etmektedir. Bugün fiziksel ve çevresel güvenlik gittikçe önemli bir hal almıştır. İşletme binası girişinde özel güvenlik ekiplerinin bulundurulması, önemli bilgilerin tutulduğu ortamların kilitli olması ve bu ortamlara şifreli güvenlik sistemleri ile girilmesi bu tür önlemlere örnektir. Bilgi sistemlerini korumak amacı ile kart kontrollü giriş ve benzeri fiziksel güvenlik sistemlerinin kurulması yaygındır. Bu tür fiziksel sınır güvenliği, bilgi varlıklarının güvenlik ihtiyaçları ve risk değerlendirme sonuçlarına göre kurulmaktadır. Çok riskli bilgilerin bulunduğu ortamlar, kimlik doğrulama kartı veya PIN koruması gibi yöntemlerle, yetkisiz kişilerin erişimine kapatılmaktadır. Ayrıca fiziksel koruma önlemleri yangın, sel, deprem, patlama gibi afetler veya toplumsal kargaşalar sonucu ortaya çıkacak hasara karşı da alınmalı ve uygulanmalıdır.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi’nin Önemi

Bilgi güvenliği, işletmelerde işin devamlılığını, kaçınılmaz tehlike durumlarında kaybın en aza indirilmesini ve kaynakların her durumda gizliliğinin, ulaşılabilirliğinin ve bütünlüğünün korunmasını amaçlamaktadır. Bugün sadece çalışanları ile değil, iş ortakları, hissedarları ve müşterileri ile birlikte hareket eden işletmelerde, bilginin korunması ve gizli tutulmasına yönelik güven ortamının kurulması, işletme yönetimi açısından stratejik bir önem taşımaktadır.

Çeşitli şekillerde yaşanan güvenlik problemleri, faaliyetlerin devamlılığını kesmesinin yanında işletmelerin pazar kaybına neden olmakta, rekabet güçlükleri yaratmakta ve iş ortakları, hissedarlar ve müşteriler karşısında güven kaybetmesinde neden olmaktadır. Bu sayılanları geri kazanmak için yapılacak harcamaların maliyeti, bunların kaybedilmemesi için alınacak önlemlerin maliyetinden daha pahalıdır.

İşletmeler açısından bilgi, diğer ticari varlıklar gibi, değer taşıyan ve bu yüzden korunması gereken bir varlıktır. İşletmenin faaliyetlerini sürdürmesi açısından bilgi büyük önem taşımaktadır. Bu nedenle bilgi varlıklarının gizli tutulması, bütünlüğünün bozulmaması ve her zaman kullanılabilir durumda olması, kısaca bilgi güvenliğinin sağlanması önemlidir. İşte ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi, işletmelerin bu yöndeki gereksinimlerini tanımlayan tek uluslararası ve denetlenebilir bir sistemdir.

ISO 27001 standardı, kamu, finans, sağlık ve bilgi teknolojileri sektörleri gibi bilginin işlenmesinin ve korunmasının büyük önem taşıdığı sektörlerde özellikle gerekli olmaktadır. Keza bilgiyi başka kişi ve kuruluşlar için yöneten işletmeler için de bu standart oldukça önemlidir. Bu sayede işletmeler müşterilerine, bilgilerinin koruma altında olduğu güvencesini vermiş olmaktadır.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi, bilgi güvenliğini sağlamak, bu standardı uygulamak, izlemek, uygulamayı gözden geçirmek, sürdürmek ve sürekli geliştirmek amacı ile işletmelerin kurdukları bir yönetim sistemidir. Bu çerçevede risk analizi çalışmaları, işletmenin kaynaklarını belirlemek ve olası risklerini tespit etmek için yapılmaktadır. Risk değerlendirme çalışmaları ise riskin önem derecesini belirlemek için riskin verilen risk kriterleri ile karşılaştırılması çalışmalarıdır.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi’nin Planlaması

ISO 27001 standardının işletmede kurulması bir takım adımların atılmasına bağlıdır. Şöyle ki,

• Önce işletmenin altyapısına yönelik bilgilerin toplanması gerekmektedir. Bu bilgiler işletmenin faaliyet alanları, yapılan işin niteliği, işletmenin misyonu ve yerleşim şekline yöneliktir.
• Arkasından sistemin kurulmasında görev yapacak kilit isimler belirlenmelidir. Bu aşamada risk yönetimi çalışması yapacak sorumlular ve sistemin kurulma amacı tespit edilmelidir.
• Sonra bugünkü durumda işletmenin güvenlik durumu tespit edilmelidir.
• Sonra sistemin kapsamını belirleyecek olan, lokasyonlar, işlemler, iş fonksiyonları ve bilgi teknolojileri gibi bilgiler toplanmalıdır.
• Bu aşamada ISO 27001 Bilgi Güvenliği Yönetim Sistemi’nin hedefi ve kapsamı belirlenmeli ve bir çalışma programı oluşturulmalıdır.
• Nihayet son aşamada sistemin kurulması ve sürekliliğin sağlanması için gerekli olan süreçler belirlenmelidir.

Klasik olarak bütün kalite yönetim sistemlerinde geçerli olan döngü burada da söz konusudur:

• Planla (Bilgi Güvenliği Yönetim Sistemi’nin kurulması)
• Uygula (Bilgi Güvenliği Yönetim Sistemi’nin uygulanması ve işletilmesi)
• Kontrol et (Bilgi Güvenliği Yönetim Sistemi’nin izlenmesi ve gözden geçirilmesi)
• Önlem al (Bilgi Güvenliği Yönetim Sistemi’nin bakımı ve iyileştirilmesi)

Doğal olarak böyle bir sistemin kurulması ile işletmeler çok büyük faydalar elde etmektedir. Örneğin,

• İşletme bütün bilgi varlıklarının varlığını ve önem derecesini fark eder.
• Bu bilgi varlıklarını, belirlenen kontrol ve koruma yöntemleri ile uygulayarak korur.
• Bu sayede işin sürekliliği sağlanmış olur. Herhangi bir risk ile karşılaşıldığı zaman faaliyetlerin sekteye uğraması önlenmiş olur.
• İşletme bu sistem ile tedarikçi firmalarının ve müşterilerinin bilgilerini de koruyacağı için ilgili taraflar nezdinde güven kazanır.
• Bilginin korunması tesadüflere bırakılmamış olur.
• İşletme müşterilerini değerlendirirken, rakiplerine nazaran daha sistematik davranır.
• İşletmede çalışanların motivasyonu yükselir.
• Yasal düzenlemelere uyum sağlanacağı için olası yasal takiplerin önüne geçilmiş olur.
• Piyasada işletmenin itibarı yükselir ve işletme rakipleri ile mücadelede bir adım önde olur.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi, işletmedeki bütün bilgi varlıklarının ele alınmasını ve değerlendirilmesini ve bu varlıkların zayıf noktalarının ve karşı karşıya oldukları tehditlerin göz önüne alınarak bir risk analizi yapılmasını gerektirir. Bunu sağlamak için işletmenin kendi yapısına uygun bir risk yönetimi metodu seçmesi ve risk planlaması yapması gerekmektedir. Söz konusu standartta risk işleme için öngörülen kontrol hedefleri ve kontrol yöntemleri yer almaktadır.

ISO 27001 standardı uyarınca işletmeler, risk yönetimi ve risk işleme planlarını yapmak, görev ve sorumlulukları belirlemek, iş devamlılığı planları hazırlamak, acil durum yönetimi süreçlerini hazırlamak ve uygulama sırasında bunların kayıtlarını tutmak zorundadır.

İşletmeler ayrıca, bütün bu faaliyetleri kapsayan bir bilgi güvenliği politikası yayınlamak zorundadır. Keza bütün üst yönetim ve çalışanlar, bilgi güvenliği ve tehditler konusunda bilinçlenmiş olmalıdır. ISO 27001 Bilgi Güvenliği Yönetim Sistemi uygulamasında, seçilen kontrol hedefleri ölçülmeli ve kontrollerin amaca uygunluğu ve performansı devamlı olarak takip edilmelidir. Bu süreç yaşayan bir süreç olmalı, bilgi güvenliği yönetimi, üst yönetimin aktif desteğini almalı ve bütün çalışanların katılımı sağlanmalıdır. Talep eden işletmeler risk yönetimi, politika oluşturma, güvenlik süreçlerinin dokümante edilmesi, uygun kontrol yöntemlerinin belirlenmesi ve uygulanması aşamalarında danışmanlık hizmeti ve uzman desteği alabilirler.

Kısaca ISO 27001 standardı, toplam bilgi güvenliği ve yaşayan bir süreç olarak, bilgi güvenliğinin nasıl sağlanacağını tanımlayan bir sistemdir. Bu sistemin kurulma aşamaları maddeler halinde şu şekilde açıklanabilir:

• Bilgi varlıklarının sınıflandırılması
• Bilgi varlıklarının, gizlilik, bütünlük ve erişebilirlik kriterlerine göre değerlendirilmesi
• Risk analizi yapılması
• Risk analizi sonuçlarında göre uygulanacak kontrol yöntemlerinin belirlenmesi
• Dokümantasyon çalışmalarının tamamlanması
• Belirlenen kontrol yöntemlerinin uygulanması
• İç tetkik çalışmalarının yapılması
• Standardın gerektirdiği kayıtların tutulması
• Yönetimin gözden geçirmesi toplantılarının yapılması
• Belgelendirme çalışmalarının yapılması

Elektronik Haberleşme İle İlgili Tehditler ve Zayıf Noktalar

İlgili yasal düzenlemeler çerçevesinde bilgi güvenliğini sağlamak adına işletmelerin yapması gereken bazı hususlar bulunmaktadır:

• Bilgisayarların kullandığı IP loglarının kayıtlarını tutmak
• Geçmişe yönelik hangi çalışanların hangi IP adresine sahip olduğunun kayıtlarını tutmak
• Çalışanların internet üzerinde yaptığı gezintilerin log kayıtlarını tutmak
• Çalışanların gönderdiği e-posta log kayıtlarını tutmak
• Geçmişe yönelik olarak çalışanların internet üzerinde hangi sayfalara ulaştığının ve ne kadar zaman geçirdiğinin kayıtlarını tutmak
• İnternet erişimlerine içerik bazında filtre uygulayarak kısıtlı erişimler sağlamak
• Elde edilen bütün kayıtların bütünlüğünü sağlamak ve değiştirilmediğini kanıtlamak

• Çalışanların yetkisi olmadan veya mevcut yetki sınırlarını aşarak güvenlik hassasiyeti olan bir alana girmesi
• Çalışanların yetkisi olmadan veya mevcut yetki sınırlarını aşarak silme, ilave etme, değiştirme, geciktirme, başka bir ortama kaydetme veya bilgiyi açığa çıkarma suretiyle veri gizliliğini, bütünlüğünü ve devamlılığını bozmaya çalışması
• Donanım ve yazılım bileşenlerinin yasal düzenlemeler ve yerli ve yabancı standartlar uyarınca belirlenen gereklilikleri yerine getirmesinin kısmen veya tamamen engellenmeye çalışılması
• Kullanıcıyı yanıltmak suretiyle doğru taraf ile elektronik haberleşme yapılıyor izleniminin verilmesi
• Elektronik haberleşmenin yasal olmayan yöntemler kullanılarak izlenmesi
• Yanlış bilgiler üretilerek bu bilginin başka bir taraftan alındığının iddia edilmesi ya da bu yanlış bilginin başka bir tarafa gönderilmesi
• Elektronik haberleşme altyapısının kısmen veya tamamen hizmet veremez bir duruma getirilmesi veya bu altyapıya yönelik kaynakların, hizmet verilmesini engelleyecek şekilde tüketilmesi

Bu arada elektronik haberleşmeye yönelik birkaç zayıf nokta da şu şekilde sıralanabilir:

• İleride ortaya çıkma ihtimali bulunan tehditlerin bugünden öngörülememesi
• Bir sistem veya protokol tasarlanırken yapılan hatalar
• Bir sistem veya protokol kurulumu yapılırken ortaya çıkan problemler
• Yazılım geliştiricilerin neden olduğu hatalar
• Kullanıcı hataları
• Sistemin kullanılması sırasında ortaya çıkan yetersizlikler veya uygunsuzluklar

ISO 27001 Bilgi Güvenliği Yönetim Sistemi’nin Standart Yapısı

ISO 27001 standardı son olarak 2013 yılında revize eidlmiştir. Bu versiyonda standardın maddeleri şu şekilde yer almaktadır:

1. Kapsam
2. Atıf yapılan standard ve dokümanlar
3. Terimler ve tarifler
4. Kuruluşun bağlamı

• Kuruluşun ve bağlamının anlaşılması
• İlgili tarafların ihtiyaç ve beklentilerinin anlaşılması
• Bilgi güvenliği yönetim sisteminin kapsamının belirlenmesi
• Bilgi güvenliği yönetim sistemi

1. Liderlik

• Liderlik ve bağlılık
• Politika
• Kurumsal roller, sorumluluklar ve yetkiler

1. Planlama

• Risk ve fırsatları ele alan faaliyetler
• Bilgi güvenliği amaçları ve bu amaçları başarmak için planlama

1. Destek

• Kaynaklar
• Yeterlilik
• Farkındalık
• İletişim
• Yazılı bilgiler

1. İşletim

• İşletimsel planlama ve kontrol
• Bilgi güvenliği risk değerlendirme
• Bilgi güvenliği risk işleme

1. Performans değerlendirme

• İzleme, ölçme, analiz ve değerlendirme
• İç tetkik
• Yönetimin gözden geçirmesi

1. İyileştirme

• Uygunsuzluk ve düzeltici faaliyet
• Sürekli iyileştirme

ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgelendirme Çalışmaları

İşletmeler ISO 27001 Bilgi Güvenliği Yönetim Sistemi’ni kurduktan ve işletmeye başladıktan sonra bu durumlarını müşterilerine, rakiplerine ve ilgili resmi ve özel kuruluşlara kanıtlamak amacı ile ISO 27001 belgesi almak isteyecektir. Ancak bu sistemin kurulma amacı sadece bu belgeye sahip olmak olmamalıdır. Aksi halde sistemin yukarıda açıklanan faydaları sağlaması beklenemez.

Uygulama sürecinde tespit edilen kontrol yöntemlerine göre bilgi varlıklarının korunması, bilgi varlıklarını tehdit eden risklerin kontrol altında tutulması, riskleri ortadan kaldıracak veya etkilerini hafifletecek önlemlerin alınması, zaman içinde ortaya çıkan yeni riskler varsa bu risklerin değerlendirilmesi ve bu riskler içinde önlenemeyen ancak kabul edilebilir düzeyde riskler varsa bunlar için üst yönetim onaylarının alınması gerekmektedir. Bu süreç işletme var olduğu sürece devam edecektir.

ISO 27001 standardının gereklerini yerine getiren ve Bilgi Güvenliği Yönetim Sistemi’ni uygulayan işletmeler artık bir belgelendirme kuruluşuna başvurarak ISO 27001 belgesi talep edebilir. Bu noktada belgelendirme kuruluşunun yerli veya yabancı bir akreditasyon kuruluşundan akredite olmuş olmaları son derece önemlidir. Aksi halde düzenlenecek raporların ve belgelerin bir geçerliliği olamaz.

Belgelendirme çalışmalarının birinci aşaması mevcut dokümatasyon çalışması üzerinden yapılır. Bu aşamada işletme tarafından hazırlanmış olan bilgi güvenlik politikası, risk değerlendirme raporları, risk eylem planları, uygunluk beyanları, güvenlik prosedürleri ve uygulama talimatları tek tek ele alınır. Bu dokümanlarda herhangi bir uygunsuzluk tespit edilirse ikinci aşamaya geçilmeden önce bunların tamamlanması beklenir.

İlk aşama tamamladıktan sonra, belgelendirme kuruluşu bir veya birkaç denetçi görevlendirerek işletmenin çalışma ortamında, yani iş üzerinde denetim çalışmalarını başlatır. Bu yerinde denetim çalışmalarında, işletmenin faaliyet alanına bağlı olarak tespit ettiği bilgi güvenlik kontrollerinin, ISO 27001 standardının gerekliliklerine uyup uymadığı gözlemlenir. İkinci aşama denetimler de tamamlandıktan sonra denetçiler bir rapor düzenleyerek belgelendirme kuruluşuna teslim eder.

Belgelendirme kuruluşu bu raporu esas alarak değerlendirme çalışması yapar ve uygun bulduğu takdirde ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi’ni hazırlayarak işletmeye teslim eder. Belgenin geçerlik süresi üç yıldır. Ancak bu belge düzenlendikten sonra işletmenin talebine uyularak yılda bir veya iki kez ara denetimleri yapılır. Üç yıl dolduğunda belgelendirme çalışmalarının yeniden yapılması gerekmektedir.