Mobil Cihazlar ve Bilgi Güvenliği

EK-A 6.2.1 Mobil Cihaz Politikası
Kontrol: Mobil cihazların kullanımından kaynaklanan risklerin yönetimi için bir politika ve destekleyici güvenlik önlemleri uygulanmalıdır.


Uygulama Kılavuzu:
Kurumsal verilere zarar gelmemesi adına, mobil cihazlar kullanılırken özen gösterilmesi faydalı olacaktır. Mobil cihaz politikası, mobil cihazların korunmasız ortamlarda kullanıldığı riskini her zaman göz önünde bulundurmalıdır.
Mobil cihaz politikası aşağıdaki konu başlıklarına ilişkin çözümler sunmalıdır;
-Mobil cihazların kayıt altına alınması, ek olarak zimmet formu doldurulması
-Mobil cihaz kullanımında fiziksel şartların uygunluğu (Delici, kesici aletler, sıcaklık, nem su v.b)
-Yazılım yüklemeye ilişkin kısıtlamalar
-Mobil cihaz yazılımlarının sürüm takibi ve yama yönetimi
-Bilgi servislerine erişim kısıtlamaları
-Erişim kontrolleri
-Kriptografik kontoller
-Zararlı yazılımlardan korunma
-Uzaktan devre dışı bırakma, silme
-Yedekleme
-Kablosuz ağ kullanımı
-Web uygulamaları ve web servislerinin kullanımı
Mobil cihazlar halka açık alanlarda kullanılırken ekstra özen gösterilmelidir.  Yetkisiz erişim ve bilgi ifşasını engelleyecek kontroller uygulanmalıdır. Bu kontroller kriptografik önemler(VPN v.b), parola kullanımı ve diğer kimlik doğrulama mekanizmaları olarak sınıflandırılabilir.
Çalınma ve kaybolmaya ilişkin riskler göz ardı edilmemelidir. Sigortalama ve kuruma özgü diğer ek kontroller uygulanmalıdır. Kritik bilgi taşıyan kurumsal mobil cihazlar, gözetimsiz bırakılmamalı,  mümkün olan yerlerde fiziksel olarak kilitli alanlarda saklanmalı(Ör: Dizüstü bilgisayarları mesai saati dışında ofiste kilitli alanlarda saklamak), bu cihazlar güçlü parola ve yetkilendirme mekanizmaları ile kontrol altına alınmalıdır.
Kuruluş, BYOD(bring your own device) gibi bir politika benimsedi ise aşağıdakiler göz önünde bulundurulmalıdır;
-Şahsi ve kurumsal kullanımın ayrımına gidilebilir. Böylelikle kişiye ait olan bir cihazda kurumsal verinin kullanımı daha güvenli olacaktır. (Bu işlemi gerçekleştirme için özelleşmiş yazılımlar kullanılabilir.)
-Kurumsal verilere erişimin sağlanabilmesi için yalnızca sözleşmeyle gerekli yetkiye sahip kullanıcı atanmasıyla, veri kaybı ve çalınmasının önüne geçilebilir.

Proje Yönetiminde Bilgi Güvenliği

   ISO 27001:2013 EK-A 6.1.5  Proje Yönetiminde Bilgi Güvenliği

Kontrol: Bilgi güvenliği, projenin türü ne olursa olsun proje yönetimi içerisinde adreslenmelidir.

Uygulama Kılavuzu:

Bilgi güvenliği risklerinin tanımlanması ve adreslenmesi için bilgi güvenliği; kuruluşun proje yönetim süreçlerine dahil edilmelidir. Kuruluş projelerin türünden bağımsız olarak örneğin IT projeleri, iş geliştirme projeleri, fiziksel ve çevresel proje süreçlerinde bilgi güvenliği risklerini adreslemelidir.

Hali hazırda kullanılan proje yönetim metotları aşağıdakilere gereksinim duyacaktır;

-Proje hedeflerinin bilgi güvenliği hedeflerini içermesi

-Proje’nin ilk aşamalarında gerekli kontrollerin tespiti için bilgi güvenliği risk değerlendirme çalışmasının yapılması

-Uygulanan proje metodolojisinde bilgi güvenliğinin tüm proje evrelerine dahil edilmesi

Bilgi Güvenliği ve Özel İlgi Grupları ile İletişim

ISO 27001:2013 EK-A 6.1.4  Özel İlgi Grupları ile İletişim

Kontrol: Özel ilgi grupları veya diğer uzman güvenlik forumları ve profesyonel dernekler ile uygun iletişim kurulmalıdır.

 

Uygulama Kılavuzu;

Kuruluşların bilgi güvenliği yönetim sisteminin sürekli iyileştirilmesi adına özel ilgili grupları ile iletişim halinde olması fayda sağlar. Bu özel ilgi gruplarına örnek olarak, e-posta listeleri, e-posta grupları, sosyal paylaşım platformlarındaki gruplar, üretici bilgilendirme forumları, açıklık bildirim platformları verilebilir.

Özel ilgi grupları ve prosfesyonel gruplarla aşağıdaki konular için iletişim kurma gereksinimi vardır.

-  Bilgi Güvenliği ile ilgili konularda güncel bilgilerden haberdar olmak ve en iyi çözüm önerilerini takip etmek

-  Üreticilerin yayımladığı güvenlik bildirimlerini takip etmek,

-  Bilgi güvenliği ihlal olayları ile ilgili çözüm önerileri paylaşmak ve takip etmek,

-  Bilgi güvenliği ile ilgili fikir paylaşımında bulunmak.

Bilgi Güvenliği ve Otoritelerle İletişim

 ISO 27001:2013 EK-A 6.1.3  Otoritelerle İletişim

Kontrol: İlgili otoritelerle uygun iletişim kurulmalıdır.

 Uygulama Kılavuzu;

Kuruluşlar, otorotilerle ne zaman ve kim tarafından iletişime geçileceğine dair prosedürleri geliştirmelidir. Bu prosedürler yaşanan bilgi güvenliği ihlal olaylarının nasıl raporlanacağını içermelidir. Bu konuda acil durum iletişim prosedürü hazırlanabileceği gibi, bilgi güvenliği ihlal olayları ile entegre bir süreç de oluşturulabilir.

Daha detaylı bakmak gerekirse, otoritelerle iletişim, bilgi güvenliği ihlal olaylarında veya iş sürekliliğini tehlikeye atan durumlarda ihtiyaç olacaktır. Örneğin, internet üzerinden karşılaşılan bir servis sonlandırma saldırısında servis sağlayacılarla çözüm üretmek için görüşme gereksinimi doğabilir. Öte yandan, otoritelerle iletişim halinde olmak yasal ve düzenleyici gereksinimlerde doğacak olası değişikliklerde sürekli iletişim halinde kalınarak, kuruluşun değişiklikleri uygun şekilde yönetmesini sağlayacaktır. (Ör: BDDK, BTK bünyesinde veya 5651 gibi yasal değişimler).

Bir diğer dikkat edilmesi gereken konu ise, yangın, sel, büyük çaplı elektrik kesintileri, büyük çaplı su kesintileri, acil durumları(ambulans, polis, jandarma) yönetmek için otoritelerle iletişim kurmak gereksinimdir.

Bilgi Güvenliği İç Organizasyonu ve Görevler Ayrılığı

ISO 27001:2013 EK-A 6.1.2  Görevler Ayrılığı

Kontrol:

Kuruluşun varlıklarının yetkisiz veya farkında olmadan değiştirilme ya da kötüye kullanılma fırsatlarını azaltmak için, görevler ve sorumluluk alanları ayrılmalıdır.

Uygulama Kılavuzu;

Kurum içinde  yetkilendirme ve farkında olmadan değiştirilme ya da kötüye kullanılma fırsatlarını azaltmak için; bir varlığa erişim, değiştirme ve varlığın kullanımına ilişkin önlemler alınması faydalıdır.

Görevler ayrılığını uygulamak özellikle çalışan sayısı görece az olan organizasyonlarda çeşitli güçlükler yaratabilmektedir. Bununla birlikte görevler ayrılığını mümkün olduğunca gerçekleştirmenin kuruma fayda sağlayacağı da göz ardı edilmemelidir. Görevler ayrılığı, varlıkların kazara ya da istemli olarak kötüye kullanımını önlemek için kullanılan bir yöntem olarak düşünülmelidir.

Bilgi Güvenliği İç Organizasyonu Nasıl Olmalı?

ISO 27001:2013 A-6 Bilgi Güvenliği Organizasyonu

ISO 27001:2013 A 6.1 İç Organizasyon

Hedef: Kuruluş içerisinde bilgi güvenliği uygulaması ve işletimini başlatmak ve kontrol etmek için bir yönetim çerçevesi oluşturmak.

     ISO 27001:2013 A 6.1.1 Bilgi Güvenliği Rol ve Sorumlulukları

Kontrol: Tüm bilgi güvenliği sorumlulukları tanımlanmalı ve atanmalıdır.

Uygulama Kılavuzu;

Bilgi güvenliği sorumlulukları Bilgi Güvenliği Politikaları ile paralel olacak şekilde tahsis edilmesi gerekmektedir.

Genel olarak;

-  Her bir varlığın korunmasına ve özel bilgi güvenliği süreçlerinin uygulanmasına ilişkin sorumluluklar belirlenmelidir.

-  Bilgi güvenliği risk yönetim aktiviteleri ve artık riskin kabülüne ilişkin sorumluluklar tanımlanmalıdır.

-  Gerekli görülen noktalarda, özel konular ve bilgi işleme olanakları için tüm sorumluluklar, kılavuzluk edecek şekilde detaylandırılmalıdır.

-  Varlıkların korunması ve bilgi güvenliği aksiyonlarına alınmasına ilişkin sorumluluklar tanımlanmalıdır.

Bilgi güvenliğinin etkin olarak sürdürülebilmesi için sorumluluk sahibi kişiler sorumluklarını kurum içi diğer çalışanlara aktarabilirler. Burada en önemli nokta sorumluluklarını paylaşan kişilerin halen ‘accountable’ kişi olduğu unutulmamalıdır. Sorumluklarını delege eden kişi, görevlerin doğru olarak yerine getirip getirilmediğini takip etmekle sorumludur. Yetki delegasyonu sorumluluğu tümden ortadan kaldırmamalıdır.

Kişilerin hangi alanlardan sorumlu oldukları  belirlenmelidir. Bu süreçte;

-  Varlıklar ve bilgi güvenliği süreçleri belirlenmeli ve tanımlanmalıdır.

-  Her bir varlık veya bilgi güvenliği süreci ile atamalar yapılmalı ve sorumluluklara ilişkin detaylar dokümante edilmelidir. (ISO 27002:2013 8.1.2 gözden geçirilebilir)

-  Yetkilendirme mekanizmaları ve seviyeleri tanımlanmalı ve dokümante edilmelidir.

- Sorumlukları atanmış kişilerin yeterli yetkinlikte olması veya yeterli yetkinliğe gelmesi sağlanmalıdır.

-  Tedarikçi veya üçüncü tarafların koordinasyonu ve gözetimine ilişkin roller tanımlanmalı ve dokümante edilmelidir.