ISO 27001 Bilgi Güvenliği Yönetim Sistemi bilgi varlıklarına ilişkin süreç tabanlı risklerin düşünüldüğü yönetim standardıdır. Bilgi güvenliği; kurumsal bilgi varlıklarına ait gerçekleşebilecek risklerden doğabilecek zararı minimize etmek ve herhangi bir sebepten doğabilecek kesinti durumlarında kurum/kuruluş ana faaliyetlerinin devamlılığını sağlamayı hedefler. Bu hedefler için de kurumsal bilgi varlığının gizlilik, bütünlük ve erişilebilirliğini göz önünde bulundurur. Kurum/kuruluş bilgi varlıklarında karşılaşılabilecek riskler değerlendirilerek bertaraf edilmesini amaçlamaktadır.

ISO 27001, Bilgi Güvenliği Yönetimi Sistemi standart şartlarını sağlamak için yapılması gereken adımların tanımlandığı denetlenebilir uluslararası tek standarttır.

Bu kapsamda Bilgi Güvenliği ISO 27001 standardında “Doğruluk, açıklanabilirlik, inkâr edememe ve güvenilirlik gibi özellikleri kapsayan, bilginin gizliliği, bütünlüğü ve kullanılabilirliğinin korunması” olarak tanımlanmıştır.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi Tarihi Gelişimi Nasıl Olmuştur?

Bilgi varlığının korunması için minimumda yapılması gerekli olan güvenlik önlemlerini belli bir çerçevede sunar. ISO 27001, Uluslararası Standardizasyon Örgütü (ISO) ile Uluslararası Elektroteknik Komisyonu (IEC) tarafından kurulan Birleşik Teknik Komite’ye bağlı bir alt organizasyon tarafından oluşturulmuş olan 27000 bilgi güvenliği standartları ailesinin Bilgi Teknolojisi – Güvenlik Teknikleri – Bilgi Güvenliği Yönetim Sistemleri – Gereksinimler başlığına sahip denetlenebilir/belgelenebilir standardıdır. Bilgi güvenliğinin yönetimsel olarak kurulumu ve belgelendirilmesi bu standart üzerinden yapılmaktadır.

Bilgi güvenliği standardı dünyada ilk olarak 1995 yılında BSI (İngiliz Standartlar Enstitüsü) girişimleri ile temelleri atılarak bir İngiliz Standardı BS7799 olarak yayınlanmıştır. 2000 yılında, ISO tarafından ISO 17799 olarak yayınlanmıştır. Ülkemizde ise TSE tarafından 2002 yılında kabul edilmiş ve yayınlanmıştır. 2005 yılında revizyona gidilerek standart ISO 27001 halini almıştır. Standart son halini ise 2013 yılı Kasım ayında alarak ISO 27001:2013 olmuştur. Şuan son güncel versiyonu ISO 27001:2013 Bilgi güvenliği Yönetim Sistemi Standardı geçerlidir.

ISO 27001 Standardının Faydaları Nelerdir?

• Sektör bağımsız olup, her türlü büyüklükteki kurum için uygulanabilir.
• İç denetimlerin bağımsızlığının ve etkinliğinin sağlanması ile kurumsal yönetişim ve iş sürekliliği ihtiyaçlarını karşılar.
• Yasa ve Mevzuatlara uyumun sağlandığını gösterir.
• Müşteri bilgilerinin güvenliğine gösterilen önem ile rekabet avantajı ve kurumsal itibarı güçlendirir.
• Kurumsal risklerin ön görüldüğünü ve bu riskleri en aza indirgemek için çalışma yapıldığını gösterir.
• Teknik ve teknoloji bağımlı bir standart değildir. Belli bir ürün ve ya bilgi teknolojisi ile ilgilenmez.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi Maddeleri Nelerdir?

1 Kapsam

2 Atıf yapılan standard ve/veya dokümanlar

3 Terimler ve tarifler

4 Kuruluşun bağlamı

4.1 Kuruluşun ve bağlamının anlaşılması

4.2 İlgili tarafların ihtiyaç ve beklentilerinin anlaşılması

4.3 Bilgi güvenliği yönetim sisteminin kapsamının belirlenmesi

4.4 Bilgi güvenliği yönetim sistemi

5 Liderlik

5.1 Liderlik ve bağlılık

5.2 Politika

5.3 Kurumsal roller, sorumluluklar ve yetkiler

6 Planlama

6.1 Risk ve fırsatları ele alan faaliyetler

6.2 Bilgi güvenliği amaçları ve bu amaçları başarmak için planlama

7 Destek

7.1 Kaynaklar

7.2 Yeterlilik

7.3 Farkındalık

7.4 İletişim

7.5 Yazılı bilgiler

8 İşletim

8.1 İşletimsel planlama ve kontrol

8.2 Bilgi güvenliği risk değerlendirme

8.3 Bilgi güvenliği risk işleme

9 Performans değerlendirme

9.1 İzleme, ölçme, analiz ve değerlendirme

9.2 İç tetkik

9.3 Yönetimin gözden geçirmesi

10 İyileştirme

10.1 Uygunsuzluk ve düzeltici faaliyet

10.2 Sürekli iyileştirme

ISO 27001 Bilgi Güvenliği Yönetim Sistemi EK-A Kontrol Maddeleri

ISO 27001 Bilgi Güvenliği Yönetim Sistemi Standardının EK-1 Kontrol maddelerinde 113 Madde tanımlanmıştır. Bu maddeler şunlardır;

5 Güvenlik Politikası

          5.1 Bilgi güvenliği politikası

5.1.1 Bilgi güvenliği politika dokümanı

5.1.2 Bilgi güvenliği politikasını gözden geçirme

6 Bilgi Güvenliği Organizasyonu

       6.1 İç organizasyon

6.1.1 Yönetimin bilgi güvenliğine bağlılığı

6.1.2 Bilgi güvenliği koordinasyonu

6.1.3 Bilgi güvenliği sorumluluklarının tahsisi

6.1.4 Bilgi işleme tesisleri için yetki prosesi

6.1.5 Gizlilik anlaşmaları

6.1.6 Otoritelerle iletişim

6.1.7 Özel ilgi grupları ile iletişim

6.1.8 Bilgi güvenliğinin bağımsız gözden geçirmesi

6.2 Dış taraflar

6.2.1 Dış taraflarla ilgili riskleri tanımlama

6.2.2 Müşterilerle ilgilenirken güvenliği ifade etme

6.2.3 Üçüncü taraf anlaşmalarında güvenliği ifade etme

7 Varlık Yönetimi

7.1 Varlıkların sorumluluğu

7.1.1 Varlıkların envanteri

7.1.2 Varlıkların sahipliği

7.1.3 Varlıkların kabul edilebilir kullanımı

7.2 Bilgi sınıflandırması

7.2.1 Sınıflandırma kılavuzu

7.2.2 Bilgi etiketleme ve işleme

8 İnsan Kaynakları Güvenliği

8.1 İstihdam öncesi

8.1.1 Roller ve sorumluluklar

8.1.2 Tarama

8.1.3 İstihdam koşulları

8.2 Çalışma esnasında

8.2.1 Yönetim sorumlulukları

8.2.2 Bilgi güvenliği farkındalığı, eğitim ve öğretimi

8.2.3 Disiplin prosesi

8.3 İstihdamın sonlandırılması veya değiştirilmesi

8.3.1 Sonlandırma sorumlulukları

8.3.2 Varlıkların iadesi

8.3.3 Erişim haklarının kaldırılması

9 Fiziksel ve Çevresel Güvenlik

9.1 Güvenli alanlar

9.1.1 Fiziksel güvenlik çevresi

9.1.2 Fiziksel giriş kontrolleri

9.1.3 Ofisler, odalar ve olanakları korumaya alma

9.1.4 Dış ve çevresel tehditlere karşı koruma

9.1.5 Güvenli alanlarda çalışma

9.1.6 Açık erişim, dağıtım ve yükleme alanları

9.2 Teçhizat güvenliği

9.2.1 Teçhizat yerleştirme ve koruma

9.2.2 Destek hizmetleri

9.2.3 Kablolama güvenliği

9.2.4 Teçhizat bakımı

9.2.5 Kuruluş dışındaki teçhizatın güvenliği

9.2.6 Teçhizatın güvenli olarak elden çıkarılması ya da tekrar kullanımı

9.2.7 Mülkiyet çıkarımı

10 Haberleşme ve İşletim Yönetimi

10.1 Operasyonel prosedürler ve sorumluluklar

10.1.1 Dokümante edilmiş işletim prosedürleri

10.1.2 Değişim yönetimi

10.1.3 Görev ayrımları

10.1.4 Geliştirme, test ve işletim olanaklarının ayrımı

10.2 Üçüncü taraf hizmet sağlama yönetimi

10.2.1 Hizmet sağlama

10.2.2 Üçüncü taraf hizmetleri izleme ve gözden geçirme

10.2.3 Üçüncü taraf hizmetlerdeki değişiklikleri yönetme

10.3 Sistem planlama ve kabul

10.3.1 Kapasite planlama

10.3.2 Sistem kabulü

10.4 Kötü niyetli ve mobil koda karşı koruma

10.4.1 Kötü niyetli koda karşı kontroller

10.4.2 Mobil koda karşı kontroller

10.5 Yedekleme

10.5.1 Bilgi yedekleme

10.6 Ağ güvenliği yönetimi

10.6.1 Ağ kontrolleri

10.6.2 Ağ hizmetleri güvenliği

10.7 Ortam işleme

10.7.1 Taşınabilir ortam yönetimi

10.7.2 Ortamın yok edilmesi

10.7.3 Bilgi işleme prosedürleri

10.7.4 Sistem dokümantasyonu güvenliği

10.8 Bilgi değişimi

10.8.1 Bilgi değişim politikaları ve prosedürleri

10.8.2 Değişim anlaşmaları

10.8.3 Aktarılan fiziksel ortam

10.8.4 Elektronik mesajlaşma

10.8.5 İş bilgi sistemleri

10.9 Elektronik ticaret hizmetleri

10.9.1 Elektronik ticaret

10.9.2 Çevrimiçi işlemler

10.9.3 Herkese açık bilgi

10.10 İzleme

10.10.1 Denetim kaydetme

10.10.2 Sistem kullanımını izleme

10.10.3 Kayıt bilgisinin korunması

10.10.4 Yönetici ve operatör kayıtları

10.10.5 Hata kaydı

10.10.6 Saat senkronizasyonu

11 Erişim Kontrolü

11.1 Erişim kontrolü için iş gereksinimi

11.1.1 Erişim kontrolü politikası

11.2 Kullanıcı erişim yönetimi

11.2.1 Kullanıcı kaydı

11.2.2 Ayrıcalık yönetimi

11.2.3 Kullanıcı parola yönetimi

11.2.4 Kullanıcı erişim haklarının gözden geçirilmesi

11.3 Kullanıcı sorumlulukları

11.3.1 Parola kullanımı

11.3.2 Gözetimsiz kullanıcı teçhizatı

11.3.3 Temiz masa ve temiz ekran politikası

11.4 Ağ erişim kontrolü

11.4.1 Ağ hizmetlerinin kullanımına ilişkin politika

11.4.2 Dış bağlantılar için kullanıcı kimlik doğrulama

11.4.3 Ağlarda teçhizat tanımlama

11.4.4 Uzak tanı ve yapılandırma portu koruma

11.4.5 Ağlarda ayrım

11.4.6 Ağ bağlantı kontrolü

11.4.7 Ağ yönlendirme kontrolü

11.5 İşletim sistemi erişim kontrolü

11.5.1 Güvenli oturum açma prosedürleri

11.5.2 Kullanıcı kimlik tanımlama ve doğrulama

11.5.3 Parola yönetim sistemi

11.5.4 Yardımcı sistem programlarının kullanımı

11.5.5 Oturum zaman aşımı

11.5.6 Bağlantı süresinin sınırlandırılması

11.6 Uygulama ve bilgi erişim kontrolü

11.6.1 Bilgi erişim kısıtlaması

11.6.2 Hassas sistem yalıtımı

11.7 Mobil bilgi işleme ve uzaktan çalışma

11.7.1 Mobil bilgi işleme ve iletişim

11.7.2 Uzaktan çalışma

12 Bilgi Sistemleri Edinim, Geliştirme ve Bakımı

12.1 Bilgi sistemlerinin güvenlik gereksinimleri

12.1.1 Güvenlik gereksinimleri analizi ve belirtimi

12.2 Uygulamalarda doğru işleme

12.2.1 Giriş verisi geçerleme

12.2.2 İç işleme kontrolü

12.2.3 Mesaj bütünlüğü

12.2.4 Çıkış verisi geçerleme

12.3 Kriptografik kontroller

12.3.1 Kriptografik kontrollerin kullanımına ilişkin politika

12.3.2 Anahtar yönetimi

12.4 Sistem dosyalarının güvenliği

12.4.1 Operasyonel yazılımın kontrolü

12.4.2 Sistem test verisinin korunması

12.4.3 Program kaynak koduna erişim kontrolü

12.5 Geliştirme ve destekleme proseslerinde güvenlik

12.5.1 Değişim kontrol prosedürleri 

12.5.2 İşletim sistemindeki değişikliklerden sonra teknik gözden geçirme 

12.5.3 Yazılım paketlerindeki değişikliklerdeki kısıtlamalar

12.5.4 Bilgi sızması

12.5.5 Dışarıdan sağlanan yazılım geliştirme

12.6 Teknik açıklık yönetimi 

12.6.1 Teknik açıklıkların kontrolü

13 Bilgi Güvenliği İhlal Olayı Yönetimi

13.1 Bilgi güvenliği olayları ve zayıflıklarının rapor edilmesi

13.1.1 Bilgi güvenliği olaylarının rapor edilmesi

13.1.2 Güvenlik zayıflıklarının rapor edilmesi 

13.2 Bilgi güvenliği ihlal olayları ve iyileştirmelerin yönetilmesi

13.2.1 Sorumluluklar ve prosedürler

13.2.2 Bilgi güvenliği ihlal olaylarından öğrenme

13.2.3 Kanıt toplama

14 İş Sürekliliği Yönetimi

14.1 İş sürekliliği yönetiminin bilgi güvenliği hususları

14.1.1 Bilgi güvenliğini iş sürekliliği yönetim prosesine dahil etme

14.1.2 İş sürekliliği ve risk değerlendirme

14.1.3 Bilgi güvenliğini içeren süreklilik planlarını geliştirme ve gerçekleştirme

14.1.4 İş sürekliliği planlama çerçevesi

14.1.5 İş sürekliliği planlarını test etme, sürdürme ve yeniden değerlendirme

15 Uyum

15.1 Yasal gereksinimlerle uyum

15.1.1 Uygulanabilir yasaları tanımlanma

15.1.2 Fikri mülkiyet hakları (IPR)

15.1.3 Kurumsal kayıtların korunması

15.1.4 Veri koruma ve kişisel bilgilerin gizliliği

15.1.5 Bilgi işleme olanaklarının kötüye kullanımını önleme

15.1.6 Kriptografik kontrolleri düzenleme

15.2 Güvenlik politikaları ve standartlarla uyum ve teknik uyum

15.2.1 Güvenlik politikaları ve standartlarla uyum

15.2.2 Teknik uyum kontrolü

15.3 Bilgi sistemleri denetim hususları

15.3.1 Bilgi sistemleri denetim kontrolleri

15.3.2 Bilgi sistemleri denetim araçlarının korunması

ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi Alınırken KOSGEB Desteklerinden Yararlanılabilir mi? Şartları Nedir? Nasıl Başvurulur.

ISO 27001 Bilgi Güvenliği belgesini kuruluşunuza ilk defa alıyorsanız ve KOBİ tanımına giriyor iseniz ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi için KOSGEB’ten destek alabilirsiniz. KOSGEB Genel Destek Programı İçerisinde Belgelendirme Desteğine başvuru yapabilirsiniz.

Kosgeb Tarafından Belgelendirme Desteği Şartları şu şekildedir;

8.11. BELGELENDİRME DESTEĞİ

8.11.1. Destek Unsurları

(1) İşletmelerin; Türk Standartları Enstitüsü (TSE), Türk Akreditasyon Kurumu (TÜRKAK) ve TÜRKAK tarafından akredite edilmiş kurum/kuruluşlardan akredite oldukları konularda alacakları ürün, sistem, personel, laboratuvar akreditasyon belgeleri ve TÜRKAK tarafından her hangi bir konuda akredite edilen belgelendirme kuruluşlarından alacakları İş Sağlığı ve Güvenliği Yönetim Sistemi (OHSAS) belgesine ilişkin giderlere destek verilir. Bu destek belge için ödenen ücreti (müracaat ve dosya inceleme, tetkik, denetim, belge ücreti) kapsar.

(2) Daha önce herhangi bir konuda sistem belgesi almış olan işletmelere aynı sistem belgesi konusunda destek sağlanmaz. Ayrıca belge yenilemeye destek verilmez.433 (3) Her bir belge için destek üst limiti 2.500 (ikibinbeşyüz) TL’yi, ISO/IEC 15408, ISO/IEC 19790, ISO/IEC 24759, ISO/IEC 15504, TS 13298, ISO 9241-151, ISO/IEC 25051, ISO/IEC 40500:2012, ISO/IEC 12207 ve ISO/IEC 15288 kapsamlarındaki belgeler için ise destek üst limiti 10.000 (onbin) TL’yi geçemez.

Olarak tanımlanmıştır. Bu kapsamda ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi TÜRKAK onaylı olarak alınması durumunda belge ücretinin %60 oranında kosgeb tarafından (%60 ücretin 2500TL yi geçemez) ödenecektir. ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi için ödenecek danışmanlık, Eğitim veya yazılım için KOSGEB desteği bulunmamaktadır.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi Standardı Belgesi Nedir? Nasıl Alınır? Neler Yapılmalıdır? Standart Maddeleri Nelerdir? yazısı ilk önce YBS-Yonetim Bilişim Sistemleri üzerinde ortaya çıktı.

ISO 27001:2013 madde A.12.6 Teknik Açıklık Yönetimi maddesi gereği ISO 27001 belgesi alacak kuruluşlar Server sistemlerinin açıklıklarını tarama yapmalı ve bu açıklıkların neler olduğunu raporlaması gerekmektedir. Bunun için şuanda kullanılan açık kaynak kodlu ve ücretsiz Nessus yazılımı kullanılabilir. Yapacağınız teknik açıklık kontrolünde DDos atakları SQL injection, Parola kontrolü, eski pluginler, port açıklıkları vb.. konuları içermelidir. Ayrıca sosyal mühendislik uygulanarak bilgi sistemleri kullanıcılarının parola ve şifre paylaşımları konusundaki bilinçliliği de ölçülmelidir. Yapılan teknik taramadan sonra çıkan açıklıklar risk değerlendirmede ela alınmalı ve yüksek çıkan riskleri için planlamalar oluşturulmalıdır.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi ve Sistem Odasının Fiziksel Güvenlik alt yapısı nasıl olmalıdır.

Giriş Kontrolü

• Sistem odasına girişler kontrollümü?(Kart Okuyucu, Avuç içi damar okuyucu veya Şifreli Giriş Var mı?
• Sistem odası girişleri Loglanmakta mıdır?

Çıkış Kontrolü

• Sistem odası çıkışları loglanıyor mu?
• Sistem odası kapısı açil bir durum karşısında dışarı doğru açılıyor mu?
• Sistem odası kapısında Push sistemi mevcut mu?

Su Baskını Kontrolü

• Sistem odası yapının orta katında mı?
• Su basmasına karşı su tahliye yolları planlanmış mı?
• Sistem odası zemini yerden yükseltilmiş mi?(15-20 cm)

Isı Toz ve Nem Kontrolü

• Sistem odası Kliması mevcut mu?
• Klima sistemi Devre dışı kalmasına yönelik tedbir mevcut mu?
• Homojen olarak oda sıcaklığı ayarlanmış mı?
• İlgili yerlerde Isı ölçerler mevcut mu?(odanın büyüklüğüne göre zeminde tavanda, kabinde ölçüm)
• Oda sıcaklığı 10-40 C arasında mı?
• Sıcaklığın aşılması durumunda uyarı sistemi mevcut mu?
• Nem Ölçerler mevcut mu?
• Sunucular Toza karşı korunuyor mu?

Yangın Kontrolü

• Yangın Algılama sistemi mevcut mu?
• Gazlı Yangın Söndürücü Kullanılıyor mu?(FM200 Vb..)
• Yangın Söndürme siteminin basınç kontrolü mevcut mu?

Enerji Kontrolü

• Enerji kabloları Kablo kanalı ile korunmakta mı?
• Elektrik Kesintisine karşı UPS sistemi mevcut mu? Kapasitesi Yeterlimi?
• Enerji Yedekleme sistemi mevcut mu?(Jeneratör Alt Yapısı var mı?)
• UPS çalışması sırasında oluşan manyetik alandan Serverler korunabilmekte mi?
• Topraklama Yapılmış mı? Ölçüm Sonuçlarına göre önlemler yeterlimi?
• Zemin antistatik özelliklere sahip mi?

Deprem Kontrolü

• Kabinler Yere veya Duvara sabitlenmiş mi?
• Kabinler arası yerleşim uygun mu? Havalandırma Şartlarına uygun tasarlanmış mı?
• Depreme Yönetmeliği şartları sağlanıyor mu?

Kablolama Kontrolü

• Kablolarda etiketlemeler yapılmış mı?
• Kablolar kablo kanalı ile korunmakta mı?
• Haşerelere karşı kablolar korumaya alınmış mı?
• Kablolar düzenli bir şekilde duruyor mu?

ISO 27001 Bilgi Güvenliği Yönetim Sisteminde Sistem odası istenen şartları sağlamıyor yine de belge alınabilir mi?

ISO 27001 Bilgi Güvenliği Yönetim Sistemi için  Sistem odası için birçok şart istenmektedir fakat ISO 27001 standardı bir yönetim standardı olması sebebiyle olabilecek eksiklikleri kuruluşların fark edip bu eksiklikler için plan yapmaları istenmektedir. Yani istenen şart sistem odası ile ilgili risk değerlendirme yapılmalı ve çok riskli bir durum söz konusu olmadığı durumda (majör bir eksiklik yok ise)  belge almaya engel değildir. Zaten belgenin amacı eksikliklerinizi fark edip bunları gidermek için plan yapmaktır. Dolayısıyla sistem odası için yapacağınız risk değerlendirmede yüksek çıkan riskler için plan, program, sorumlu ve bütçeleme yapıp bu plan çerçevesinde ilerlemeniz belge almanıza engel değildir.

ISO 27001 Bilgi Güvenliği Yönetim Sisteminde Active Directory Kullanılmıyor yine de belge alınabilir mi?

ISO 27001 Kuruluşun büyüklüğü göz önüne alınarak yapılan risk değerlendirme sonucu eğer bir domain yapısı kullanmamanız çok ciddi bir risk oluşturmuyor ise belge alabilirsiniz. Örneğin 5 kişinin çalıştığı bir şirkette çok fala gizli bilginin olmadığı bu kuruluşta bir domain yapısı olmaması çok riskli değildir. Fakat 500 kişinin çalıştığı ve çok gizli verilerin olduğu, Ar-ge çalışmalarının yapıldığı bir kuruluşta domain yapısı olmadan 500 kullanıcıyı yönetmek imkânsız olacağından Active Directory yapısının kurulması gerekmektedir.

ISO 27001 Bilgi Güvenliği Yönetim Sisteminde Felaket Kurtarma Merkezi Kurmak Zorunluluğu var mı?

Yine tüm bu soruların cevabı risk değerlendirme sonucu verilebilir. Yukarıdaki örnekte de bahsettiğimiz gibi 5-10 kişinin çalıştığı bir kuruluşun verilerini yedeklenmemesi çok riskli olmayabilir ve FKM kurmak zorunda olmayabilir. Fakat bir banka iseniz sisteminizden saniyeler içinde binlerce veri işleniyorsa. Anlık bir veri kaybı dahi sizin için çok riskli ise FKM kurma zorunluluğunuz olacaktır.

ISO 27001:2013 Belgesi Alabilmek İçin Neler Yapılır? Nasıl Yapılır? yazısı ilk önce YBS-Yonetim Bilişim Sistemleri üzerinde ortaya çıktı.