Mina Danışmanlık
Tasarım

BS 7799 / ISO 17799 Nedir?

Bugün iş bilgi ile yönetiliyor. Bilginin bir kısmı herkes tarafından bilinen kısmıdır, başka bir kısmı ise özeldir, hiç kimse ilgilenmez. Öyle bir kısım vardır ki, bazılarını ilgilendirir, o halde gizlidir. Bu bilgi, tasarım, satın alma, personel, pazar, üretim metodu v.b. ile ilgili olabilir. Bu bilgi istenmeyen ellere geçtiğinde etkisi hemen (bir ihalenin kaybı gibi), veya yavaşça olabilir. Bilgiyi kaybettiğinizin farkına varmayabilirsiniz, ancak işler nedense kötüdür.

Bazı kuruluşların uyguladığı kontroller vardır. Savunmasızlıkları tanımlama ve iyi uygulama örnekleri:

  • Şifre kullanarak kişisel bağlanma
  • Virüs kontrolleri, yedekleme ve saklama (farklı lokasyonda saklama dahil) uygulamaları
  • Yetki tabloları
  • İK ile işbirliği
  • İş Planlama / Kaza sonucunda iş sürekliliği için yapılacaklar
  • BT hata raporlamaları
  • E-posta, fax, fotokopi ve internet için kullanım koşulları
  • Dosyalara erişimde yetkiler
  • Bu gibi uygulamalar iyi bir başlangıçtır, ancak şifrelerin paylaşıldığına, bir yere kaydedildiğine, ve görünürde olduğuna sık rastlarız. Bir cep telefonu konuşmasına kulak misafiri olup, hattın öbür ucundakinin ne dediğini tahmin edebilmişizdir.

Bilgi güvenliğinin casus savaşları ile ilgisi yoktur. Aşağıdakiler için bir yönetim sistemidir:

Gizlilik: Bilginin sadece erişim yetkisi verilmiş kişilerce erişilebilir olduğunun garanti edilmesi
Bütünlük: Bilginin ve işleme yöntemlerinin doğruluğunun ve bütünlüğünün temin edilmesi
Elverişlilik: Yetkilendirilmiş kullanıcıların, gerek duyduğunda bilgiye ve ilişkili kaynaklara erişime sahip olabileceklerinin garanti edilmesi
Bunların kaybı ticari zarara, iş kaybına, prestij zedelenmesine yol açabilir.

Bilgi güvenliğini paranoya ile sağlamak mümkün değildir. Başlama noktası her türlü yönetim sistemi gibi risk analizidir.

Riskin üç boyutu vardır:

Varlığın değeri
Tehdit
Savunmasızlık
Riskin boyutu bu üçünün toplam etkisi ile oluşur.

Risk değerlendirme çok ciddi bir iştir, ancak üst yönetimin taahhüdü, insanların katılımı, ve iş hedeflerinin açıklığı da bir o kadar önemlidir.

Kuruluşun sahip olduğu varlıkları değerlendirmek, hırsızlık, yangın, sel baskını, deprem, verinin tahribi, ve çok hızlı gelişen bilgi teknolojileri gibi konular için kuruluşun dışarıdan uzman desteği alması gerekebilir.

 

Standarda göre sistem kurma için kuruluş:

Bilgi güvenliği politikasını belirlemeli
Sistemin sınırlarını (alan, varlıklar, kapsam, teknoloji) belirlemeli
Risk değerlendirme sonuçlarını yorumlamalı
Kullanacağı kontrolleri seçmeli ve yönetim sorumluluklarını