Organizasyonların bilgi varlıklarının bütünlük, gizlilik ve kullanılabilirlik amaçlarının sürekli olarak açıklıklardan kaynaklanan tehditlere karşı korunabilmesi için organizasyonda bir bilgi güvenliği yönetim sistemi kurulması ve bu sistemin işletilmesi için uluslararası kriterler ISO 17799’da tanımlanmıştır. ISO 17799 standardının uygulama adımları aşağıda açıklanmıştır.
1. Bilgi güvenliği politikasının tanımlanması;
Oluşturulan güvenlik politikası ile bilgi güvenliği için yönetimin yönlendirilmesinin ve desteğinin amaçlanmaktadır. Yönetim organizasyon için geçerli olacak, ve bilgi güvenliğine ilişkin açık bir politikanın ortaya koyulduğu ve bu politikaya desteğini ve bağlılığını göstereceği bir güvenlik politikası hazırlamalı ve bütün çalışanları politika konusunda bilgilendirmeli ve gerekli eğitimleri
vermelidir.
2. Bilgi güvenliği yönetim sisteminin kapsamının belirlenmesi ve bu sistemin kurulması;
Bu sistem ile organizasyonda bilgi güvenliğinin yönetilmesi amaçlanmaktadır. Bilgi güvenliği gereksinimlerini uygulamak ve kontrollerini gerçekleştirmek bu yönetim sisteminin sorumluluğundadır. Ayrıca bu sistem oluşturulan güvenlik politikasının onaylanmasını, güvenlik rollerinin ve sorumluluklarının tanımlanmasını ve varlıkların
sınıflandırılmasının detaylarını bu yönetim sistemi mekanizması tanımlamalıdır.
3. Risk değerlendirmesinin gerçekleştirilmesi;
Bilgi güvenliği yönetim sisteminin belirlediği bilgi varlıklarına gerçekleştirilebilecek olan tehditlere karşı organizasyon içerisinde bir risk değerlendirmesi gerçekleştirilmelidir. Risk değerlendirmesi sonuçları raporlanmalı ve incelenmelidir.
4. Risk yönetiminin gerçekleştirilmesi;
Risk değerlendirmesi sonuçları dikkate alınarak
hedeflenen garanti düzeyine ve organizasyonun risk yönetimi yaklaşımlarına uygun olarak risk yönetimi gerçekleştirilmelidir.
5. Kontrol objelerinin seçilmesi ve uygulanması;
Gerçekleştirilen risk yönetiminin ardından
riskin kabul edilebilir seviyeye indirilebilmesi için ISO 17799’da tanımlanan kontrol objelerinden gerekli olanlar tespit edilmeli ve standardın önerdiği şekilde organizasyona uygun olarak uygulanmalıdır.
6. Uygunluk iddiası;
ISO 17799’a uygunluk için bilgi güvenliği yönetimi gereksinimleri organizasyon için uygulanmalıdır. Dikkat edilmesi gereken nokta bu işlemin bir kerelik yapılmadığı ve bir süreç olduğudur. Yani belirlenen aralıklarda risk değerlendirmesi tekrarlanmalı ve risk yönetimi tekrar gerçekleştirilmelidir. Sonuçlara uygun olarak organizasyonda uygulanan kontrol objeleri güncellenmelidir.
ISO 17799 Denetim Nesneleri
ISO 17799 standardının tanımladığı denetim nesneleri ve bu nesneleri amaçları aşağıdaki gibidir.
Organizasyonlar gerçekleştirdikleri risk yönetimi sonuçlarına uygun olarak bu nesnelerden
olabildiğince çok miktarda seçmeli ve uygulamalıdır;
1. Güvenlik politikası;
Bilgi güvenliğinin sağlanması için yönetimin yönlendirmesini ve
desteğini sağlamak.
2. Güvenlik organizasyonu;
Bilgi Güvenliğini organizasyon çapında yönetmek, kurumda
bilginin işlendiği ve üçüncü şahısların erişebildikleri ortamların güvenliğini sağlamak ve
kurumun bilgi sistemi dış kaynaklarla idare ediliyorsa gerekli güvenlik önlemlerini
sağlamak.
3. Varlıkların sınıflandırılması;
Kurumun bilgilerini uygun seviyede korumak, ve kurum
bilgilerinin yeterli ve uygun bir seviyede korunduğunu garanti etmek.
4. Personel güvenliği; İnsan hataları, hırsızlık ve kötüye kullanımlardan kaynaklanacak
riskleri en aza indirmek, kullanıcıları tehditler konusunda bilgilendirmek, ve bu tür
kazalardan oluşacak etkileri en aza indirmek.
5. Fiziksel güvenlik;
Kurum için değerli olan varlıklara yetkisiz erişimi engellemek, bu
varlıkları olası hasarlardan korumak, ve bilgiyi çalınmalara ve değişikliklere karşı
korumak.
6. İletişim ve işlem güvenliği;
Bilgi işlem ve kayıt sistemlerinin doğru ve güvenli
çalışmalarını sağlamak, sistem hata risklerini azaltmak, yazılımların ve bilginin
bütünlüğünü korumak, iletişimin ve bilginin bütünlüğünü ve kullanılabilirliğini sağlamak,
varlıkları hasarlara karşı korumak, iş eylemlerini kesintilere karşı korumak, kurumlar arası
bilgi değişimlerini kayba, değiştirilmelere ve kötüye kullanıma karşı korumak.
7. Erişim kontrolleri;
Bilgiye erişimi kontrol etmek, bilgi sistemlerine yetkisiz erişimleri
engellemek, ağ servislerinin güvenliğini sağlamak, yetkisiz bilgisayar erişimlerini
engellemek, ve yetkisiz aktiviteleri tespit etmek.
8. Sistem geliştirilmesi ve bakımı;
İşlevsel sistemleri gerekli güvenlikle tasarlamak,
uygulama sistemlerinde kullanıcı bilgilerini kayba, değiştirilmeye ve kötüye kullanıma
karşı korumak, bilginin gizliliğini ve bütünlüğünü korumak ve doğrulamak, uygulama
yazılımlarının ve donanımların güvenliğini sağlanmak.
9. İş devamlılık planı
; İş aktivitelerini kritik ve büyük hasarlı kazalardan sonrada devam
ettirmek.
10. Uygunluk;
Güvenlikle ilgili yasalara aykırı davranmamayı, ve sistemlerin güvenlik
politikasına ve standartlara uyguluğunu sağlamak.