Bilgi Güvenliği etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster
Bilgi Güvenliği etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster

12 Mayıs 2017 Cuma

ISO 27001 SİSTEM KURULUMU AŞAMASINDA KARŞILAŞILAN ZORLUKLAR VE DİKKAT EDİLMESİ GEREKEN HUSUSLAR

ISO 27001 Bilgi Güvenliği Yönetim Sistemi son yıllarda kurumlar tarafından oldukça talep gören bir standart haline geldi. Bu talebin altında yasal gereklilikler, müşteri talepleri ve kurumun stratejik hedefleri gibi çeşitli nedenler yatabilmekte. Ancak standarda uygunluğun başarısında motivasyon ne olursa olsun bu sistemin uygulanması ve işletiminde üst yönetim desteği en büyük payı almaktadır. Standart son revizyonunda dahi yönetim desteğini ifade edebilmek için “Liderlik” maddesi ortaya çıkmıştır. “Yönetime rağmen” yönetim sistemi kurmak ve işletmek sistemin ömrünün kısa olmasına neden olacaktır.

Yönetim desteği ifadesi her zaman maddi destek olarak algılanmamalıdır. Kurum bütçesine göre maddi destek ve kaynağın önemi yadsınamaz ve olmazsa olmazdır ancak yönetimin kurum çalışanları için motivasyon sağlayıcı davranışlar sergilemesi de başarı için oldukça önemlidir. Proje başında yönetimin kurum çalışanlarından projeye destek göstermelerini isteyen bilgilendirme mesajı paylaşması, sorumluluk ataması, bazı toplantı ve eğitimlere katılım gösterip projenin önemini ifade etmesi gibi hususlar çalışanlarda bu sistemin uygulanması konusunda motivasyon sağlamaktadır. Belgelendirme amacı taşıyan kurumlar da bu ve benzeri durumları kayıt altına alarak liderlik maddesi için kanıt oluşturmalıdırlar. Aynı zamanda yönetime düzenli olarak raporlama yapılması, yönetimin sistemin içinde tutularak güncel bilgilere sahip olmasını sağlayacaktır.

Kurumlar yatırım kararlarını belirlerken bütçe planlamasına bilgi güvenliği ile ilgili konuları da dâhil etmesi önemli olacaktır.

Yönetimden beklenen destek sağlanmazsa çalışanlar üzerlerine düşen görevleri sahiplenmeyip sorumluluklarını gerçekleştiremeyebilirler. Bu da yönetim sisteminin etkin şekilde işletilmesine engel olabilecek sonuçlar doğurabilmektedir.

Yönetim sisteminin içerisinde yapılması veya dikkat edilmesi gereken bir diğer husus; rol ve sorumlulukların doğru ve tam olarak belirlenmesidir. Bu rol ve sorumluluklar gerek proje yöneticileri gerekse de son kullanıcılar açısından doğru belirlenmelidir. Tanımlanmış olan rol ve sorumlulukların yerine getirilmemesi başarıyı büyük ölçüde etkileyecektir. Bu noktada tanımlanmış olan sorumlulukların yerine getirilmemesi ve yerine getirmemenin doğuracağı sonuçlar için tanımlı bir süreç oluşturulması ile eskalasyon yapısının işletilerek takip edilmesi, gereken işlerin zamanında yapılması konusunda fayda sağlayacaktır.


  
ISO 27001 Bilgi Güvenliği Yönetim Sistemi risk temelli bir yönetim sistemidir. Kurum için uygulanabilir bir risk metodolojisinin oluşturulması kurumdaki herkes tarafından anlaşılıp sürdürülebilirliğinin sağlanması adına büyük önem taşımaktadır.

Risk değerlendirmeleri sonucu risk işleme kararlarına bağlı olarak aksiyon planlarında belirlenmiş olan aksiyonların zamanında yapılması ve takip edilmesi, aynı zamanda bu aksiyonlar için kaynak ayrılması risk yönetiminin başarısını sağlayacaktır. Risk değerlendirme sonrasında alınacak risk işleme kararları için yönetim risk kabul kriterleri doğrultusunda kabul edilebilir risk seviyesine karar vermelidir. Bu seviyenin gelecek dönemlerde giderek düşürülmesi de sistemin daha iyi seviyelere gelmesi açısından önemli olacaktır.

Risk değerlendirme ve işleme karalarının sonucunda oluşturulması gereken sistemin daha iyi bir noktaya gelmesini sağlayacak bilgi güvenliği amaçlarının sadece bilgi teknolojilerini ilgilendiren amaçlar olmaması, her departman ile ilgili olabilecek amaçların da belirlenmesi bilgi güvenliğinin sadece bilgi teknolojileri departmanına özel bir uygulama olduğu düşüncesinin ortadan kaldırılmasını sağlayacaktır. Bilgi güvenliği amaçlarının ölçülebilir ve gerçekleştirilebilir amaçlar olarak seçilmesi sisteme faydalı olacaktır.

Bilgi güvenliği yönetim sisteminin uygulanması ve işletilmesi konusunda proje yöneticileri ile birlikte her çalışan için görev ve sorumlulukların belirlenmesi standart tarafından istenmektedir. Bunun sağlanabilmesi için ihtiyaç olan yetkinliklerin doğru belirlenerek iyi analiz edilmesi gerekmektedir. Eğitim takvimlerinin oluşturularak yetkinliklerin arttırılması sağlanmalıdır. Ancak alınan eğitimlerin veya diğer yetkinlik tanımlarının istenilen seviyeye gelip gelmediğinin kontrolü birçok firmada göz ardı edilmektedir. Gerçekleştirilmiş olan işlemlerin ihtiyacı ve beklentiyi karşılayıp karşılamadığının ilgili ve yetkili kişilerce değerlendirmesinin yapılması gerekir.

Son kullanıcıların dikkat etmesi gereken konular ile sorumluluklarının anlatıldığı farkındalık eğitimlerinin ilgili taraf analizi sırasında ortaya çıkmış olan kapsam dâhilindeki her çalışan ile birlikte kapsam dışında kalan çalışanlara da verilmesi oldukça önemlidir. Farkındalık eğitimlerinin hedef kitlesi belirlenirken kurumların genellikle gözden kaçırdığı stajyerler ve kurum içindeki ve dışındaki taşeronların da eğitimlere dâhil edilmesi gerekmektedir.

Farkındalık eğitimleri sadece sınıf eğitimi olarak değerlendirilmemelidir. Kişilere atanacak online eğitimler, verilecek broşürler, düzenlenecek etkinlikler, ödül sistemleri gibi çözümler ile farklı şekillerde farkındalık sağlanabilir. Farkındalık çalışmaları sonrasında bu çalışmaların etkinliğinin değerlendirilmesi unutulmamalıdır. Bu değerlendirme sınav olarak yapılabileceği gibi karşılıklı mülakatlar ile de yapılabilir. Önemli olan çalışanların bir konu ile ilgili aynı ve doğru fikre sahip olmasının sağlanmasıdır.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi standardı diğer ISO standartlarından farklı olarak 2 bölümden oluşmaktadır. Standart ana maddelerine ek olarak hazırlanmış olan EK-A kontrol maddeleri belirlenmiş kapsam ile ilgili olan kontrollerin seçilerek ilgisiz olanların hariç bırakılmasını mümkün kılmaktadır. Örneğin kurum içinde BGYS kapsamı dahilinde yazılım geliştirme yapılmıyorsa yazılım geliştirme ile ilgili kontrol maddeleri hariç bırakılabilir.

Yönetim sisteminin başında kurum ile ilgili olabilecek tüm tarafların doğru analiz edilmesi gerekmektedir. Bu analize hem kurum içi hem de kurum dışındaki tüm tarafların dâhil edilmesi önemlidir. Müşteriler, tedarikçiler, devlet ve düzenleyici kuruluşlar, çalışanlar, paydaşlar, iş ortakları vb. ilgili tüm tarafların BGYS açısından ihtiyaç ve beklentilerinin doğru analizi yönetim sisteminin kapsamının doğru belirlenmesine ve işletilmesine fayda sağlayacaktır.

Yönetim sisteminin kapsamına karar verilirken ilgili taraf analizinde ortaya çıkan tedarikçiler iş ihtiyacına bağlı olarak hizmet sürekliliği açısından kritik olanlar için Hizmet Seviye Anlaşmaları (SLA), bilgi paylaşımı konusunda kritik tedarikçiler için Gizlilik Sözleşmeleri yada gizlilik maddeleri içeren Hizmet Sözleşmeleri yapılması gerekmektedir. Sözleşme yapılma ihtiyacı doğru belirlenmelidir. Örneğin kurum ofis sarf malzemeleri alımı yaptığı bir firma ile sözleşme imzalama ihtiyacı duymayabilir. Gizli bilgi paylaşımı yapılmamakta ve alternatif tedarikçiler bulunabildiği için kritik tedarikçi sınıfında olmayabilir. Ancak kurum içinde tedarikçiler tarafından sağlanan yemek, servis, temizlik gibi hizmetler için mutlaka gizlilik sözleşmeleri yada gizlilik maddeleri içeren hizmet sözleşmeleri yapılmalıdır.

Tedarikçi sözleşmelerinin yapılması her zaman kurumun inisiyatifinde olamayabilir. Tedarikçiler sözleşme koşullarından ötürü sözleşmenin düzenlenmesi taraftarı olmayabilirler.  Kurum bu noktada sözleşme şartlarını değiştirerek sözleşme yapılmasını teşvik edebilir. Ancak yine de sözleşmenin düzenlenmesi mümkün olamayabilir. Sözleşmelerde dikkat edilmesi gereken tedarikçi ile gizli bilgi paylaşımının yapılıp yapılmadığı, hizmet sürekliliği açısından kritikliği, alternatif tedarikçi mevcudiyeti gibi konulardır.

Tedarikçilerden alınan hizmetlere göre ihtiyaçlar doğrultusunda kriterler belirlenmeli ve periyodik olarak hizmet değerlendirmelerinin yapılması gerekmektedir.


Bilgi güvenliğinin sağlanabilmesi için uygulanacak olan teknik kontrollerin yürütülmesi için büyük yatırımların gerçekleştirilmesi standart tarafından şart koşulmamaktadır. Teknik kontrol uygulamaları hususunda birçok kurum için akla gelen ilk soru ciddi maddi kaynak yatırımının gerekli olup olmadığıdır. Bu konu tamamen üst yönetimin risk iştahına ve süreçlerin işletilebilmesi ve iyileştirilebilmesi için ihtiyaç duyulan hizmet ve kaynaklara bağlıdır. Standart hiçbir zaman bir ürün ya da hizmetin kullanımını zorunlu tutmamaktadır. Piyasa içerisinde ihtiyaç duyulan hizmetler için hem ücretli hem de ücretsiz uygulamalar ile farklı çözüm yolları bulunabilmektedir. Dikkat edilmesi gereken şey iş süreçlerinin yönetiminin etkin ve verimli olmasını sağlayacak çözümün bulunmasıdır. İhtiyaçların doğru belirlenerek karar verilmesi bu süreçte büyük önem taşımaktadır.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi, standart gereklilikleri doğrultusunda “yaptığını yaz, yazdığını yap mantığı” ile işletilebilir. Yönetim sisteminin ilk kurulduğu dönemlerde dirençle karşılaşılabilmektedir. Gerçekleştirilecek olan aksiyonlar ve alınan kararlar çalışanların motivasyonunu etkileyebilmektedir. Bu noktada ihtiyaç doğru belirlenerek çalışanlara doğru aktarılmalıdır. Çok sıkı kontroller ile tasarlanan süreçler yönetim sisteminin başarısına engel olabilir. Bu şekilde yönetilen sistemler bir süre sonra işletilemez hale gelebilmektedir. 

27 Nisan 2017 Perşembe

Elektrik Piyasası Lisans Yönetmeliği-ISO 27019 Değişikliği


Bildiğiniz üzere Elektrik Piyasası Lisans Yönetmeliğinde 26 Aralık 2014 tarihinde yayınlanan 29217 sayılı yönetmelik ile 100MW ve üzeri üretim yapan üretim lisansı sahipleri (OSB üretim lisansı sahipleri hariç), iletim lisansı sahipleri, piyasa işletim lisansı sahipleri ve dağıtım lisansı sahipleri (OSB dağıtım lisansı sahipleri hariç) için “Kurumsal bilişim sistemi ile endüstriyel kontrol sistemlerini TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi standardına uygun bir şekilde işletmek, TS ISO/IEC 27001 standardına uygun faaliyet gösterdiğini Türk Akreditasyon Kurumuna akredite olmuş bir belgelendirme kurumuna ispat ederek sistemlerini belgelendirmek ve söz konusu belgelerin geçerliliğini sağlamak” zorunluluğu getirilmişti.
Geçtiğimiz yıl 22 Ekim 2016 tarihli 29865 sayılı yayınlanan bir yönetmelik ile Üretim Lisansı sahiplerinde ISO 27001 Bilgi Güvenliği Yönetim Sistemi sertifikasyonu zorunluluğunun kaldırıldığı yayınlanmıştı.


Elektrik Piyasası Lisans Yönetmeliğine ilişkin 24 Şubat 2017 tarihinde yayınlanan son değişiklik yönetmeliği ile Üretim Lisansı sahiplerinde ISO 27001 zorunluluğu yeniden gündeme getirilmiştir. Aynı zamanda bu yönetmelik değişikliği ile elektrik üretim, iletim ve dağıtım lisansı sahipleri ISO 27001 çalışmalarında ISO 27019 standardını dikkate almaları gerektiği belirtilmektedir.



Üretim Lisansı sahipleri için ilgili madde:

f) Geçici kabul tarihinden itibaren yirmi dört ay içerisinde OSB üretim lisansı sahipleri hariç olmak üzere, işletmeye geçmiş kurulu gücü 100 MWe ve üzerinde olan bütün üretim tesisleri için kurumsal bilişim sistemi ile endüstriyel kontrol sistemlerini TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi standardına uygun bir şekilde işletmek, TS ISO/IEC 27001 standardına uygun faaliyet gösterdiğini Türk Akreditasyon Kurumuna akredite olmuş bir belgelendirme kurumuna ispat ederek sistemlerini belgelendirmek ve söz konusu belgelerin geçerliliğini sağlamak, TS ISO/IEC 27001’e göre kuracakları Bilgi Güvenliği Yönetim Sisteminde TS ISO/IEC 27002 Uygulama Rehberine ek olarak ISO/IEC TR 27019 rehber dokümanını da referans almak,

Peki ISO 27019 standardı nedir?

27000 standart ailesinde Olay Yönetimi, Siber Güvenlik, Denetim gibi konu özelinde rehber standartlar olduğu gibi, sağlık, telekom, bulut bilişim gibi sektörel uygulama rehberleri de yer almaktadır. ISO 27019 standardı da, 27000 ailesinin sektör spesifik standartlarından biri olup, enerji sektöründe kontrol sistemlerine yönelik bilgi güvenliği konularını ele almaktadır.

Enerji sektöründe hali hazırda ISO 27001 düzenlemelerinin bulunması, ISO 27019 standardına uyumluluğu da kolaylaştırmaktadır. ISO 27019 standardı ISO 27001 EK-A kontrollerinde enerji sektörüne özel rehber açıklamalara ek olarak, enerji altyapılarına ilişkin kontrol süreçlerinde ek güvenlik kontrolü hedefleri sunmaktadır.



8 Ağustos 2014 Cuma

Android - Formların otomatik Doldurma Özelliğini Kapatmak



Otomatik form doldurma özelliği; tarayıcıda gezinmenizi kolaylaştırmak için metin kutularına girdiğiniz bilgileri hatırlar. Fakat bu kolaylık yanında güvenlik açıklarını da getirir; kullanıcı adlarınız, parolalarınız gibi bilgilerinize ulaşma olasılığı doğurur. Bu nedenle Otomatik form doldurma özelliğini kapatmanız tavsiye edilir. Bu bağlamda;

İlk önce “Browser(Tarayıcı)” açarak menü butonuna tıklıyor ve “Settings (Ayarlar)” seçeneğine tıklıyoruz.





Açılan bölümden “Privacy & security (Gizlilik ve güvenlik)” bölümüne tıkladıktan sonra açılan pencereden “Remember form data (Form verilerini hatırla)” kutucuğundaki seçimi kaldırıyoruz.



1 Ağustos 2014 Cuma

Android - Güvenlik Uyarılarını Etkinleştirmek



Güvenlik uyarıları; tarayıcıda gezindiğiniz sitede bilinen herhangi bir güvenlik probleminin olup olmadığını bildirmek işlevini yürütür.  Uyarıların açık olması tavsiye edilir. Bu bağlamda;

İlk önce “Browser (Tarayıcı)” açarak menü butonuna tıklıyor ve “Settings (Ayarlar)” seçeneğine tıklıyoruz.





Açılan bölümden “Privacy & security (Gizlilik ve güvenlik)” bölümüne tıkladıktan sonra açılan pencereden “Show security warnings (Güvenlik uyarılarını etkinleştir)” kutucuğundaki seçimi kaldırıyoruz.