TS ISO/IEC 27001:2005-A.7
Bilgi Güvenliği Yönetim Sistemi (BGYS) bilginin güvenliğini sürekli kılmayı ve gelişmeyi hedefler. Bu amaçla BGYS çerçevesinde korunması öngörülen bilgilerin bir envanterde tutulmasını, sınıflanmasını ve sahiplerinin önemini belirlemesini ister, ama nasıl?
Tüm yeni yönetim sistemleri gibi, bilgi güvenliği yönetim sisteminin (BGYS) şartlarını ortaya koyan ISO/IEC 27001:2005 de risk tabanlı bir yaklaşım sergiliyor. Güvenliği sağlanması gereken bölüm, süreç ya da yerleşkede bulunan varlıklar için risk analizi yapılmalı büyük riskler için önlemler aranırken, önemsiz risklerle zaman kaybedilmemek için sonraya bırakılmalıdır. Sürekli yapılması ve değişikliklere bağlı olarak güncellenmesi gereken risk analizinin ilk iki adımı varlıkların ve sahiplerinin belirlenmesi, ikinci adım da bu varlıkların önemlerine göre sınıflandırılmasıdır.
Varlık, “kuruluş için değeri olan herhangi bir şey” , olarak tanımlanıyor. Türlerine göre varlıları incelediğimizde altı temel tür varlık karşımıza çıkıyor. En yaygın tür “bilgi varlığı”dır. Bilgi varlığı, bulunduğu biçim ve cinsinden bağımsız olarak, kurumsal bilgilerdir. Müşteri bilgileri, ürün formülleri, kredi kartı numaraları, ister bir veritabanında dursun, ister taşınabilir bilgisayarın içindeki bir dosyada ya da basılı bir kâğıtta basılı halde olsun, kurum için aynı öneme sahip varlıklardır. Kullanım kılavuzları, iş sürekliliği planları, denetim kayıtları, arşivlenmiş kayıtlar yine bilgi varlığı örneği olarak değerlendirilebilir. Yazılım varlıkları ikinci sırada yer alır. Uygulama yazılımları, işletim sistemleri ve uygulama geliştirme araçları bu grupta karşımıza çıkacak örnekler arasındadır.
Fiziksel varlıklar aslında hem anlaması, hem de sıralaması en kolay gruptur.
Bilgisayarlar, iletişim cihazları, taşınabilir veri saklama ortamları başta olmak üzere kurumsal bir envanterde yer alabilecek, elle tutulabilen tüm varlıklar fiziksel varlık sayılabilir. Servisler başlığı ile özetlenebilecek varlık türüne, teknik detayı ile ilgilenmeden sadece bir hizmet olarak aldığımız ve kullandığımız varlıklar girebilir. En temel servisler arasında ısıtma, havalandırma, aydınlatma, güç (elektrik) hizmetleri dışında veri ve ses iletişimini sayabiliriz. BGYS envanter listesinde mutlaka olması gereken, ancak genellikle unutulan son iki varlık türü insan ve prestijdir. Süreçlerin çalışmasını sağlayan insanlar ve sahip oldukları beceriler ve uzmanlıklar BGYS adına önemli bir varlık olduğundan uygun şekilde korunması için envantere işlenmelidir. Benzer şekilde ürettiği ve sattığı ürün ve hizmetlerden bağımsız olarak kurumlar, genellikle kendi prestijleri ile de varlıklarını ortaya koyarlar. Bu nedenle BGYS envanterine alınmaları uygun olur.
Kapsam içindeki tüm önemli varlıkların listelenmesi hem standardın bir gereksinimi, hem de bilgi güvenliğinin sağlıklı yönetimi için önemli bir şarttır. Varlıkların eksiksiz listelenmesi ancak kapsam içindeki süreçlerin detaylı analizi ile mümkün olur. Süreç sahipleri, kendilerine ait işlemlerin gerçekleşmesi için şart olan tüm varlıklarla, bu işlemleri tetikleyen yapıları ve çıktıları ortaya koyarlar. Ayrıca değişim yönetimi, risk yönetimi, düzeltici ve önleyici faaliyetler (DÖFİ) gibi temel BGYS süreçlerinde de eksik varlıklar ortaya çıkabilir. Bu varlıklar da envantere eklenir.
Standart, her varlık için sahibinin belirlenmesini talep eder. Burada “sahip”lik ilgili varlığın parasını ödeyen anlamında değil, güvenlik ihtiyaçlarını belirleyen kişi olarak tanımlanır. Varlığın sahibi gizlilik, bütünlük ve kullanılabilirlik açısından varlığı doğru şekilde sınıflamalı, varlığa kimlerin hangi haklarla erişmesi gerektiğini tanımlamalı ve tüm bunları düzenli olarak gözden geçirmelidir. Özel durumlar ve istisnalar olmakla birlikte bir varlığın sahibi genellikle ilgili iş sürecinin de sahibidir.
Varlığın sahibi, yetki ve sorumluluk kendisinde kalmak şartı ile varlıklara erişimi kontrol etmeyi bir başkasına delege edebilir. Bu kişilere varlık emanetçisi adı verilir. Bilgi işlem departmanları ve çalışanları genellikle varlık emanetçisidir ama varlık sahibi zannedilir. Müşteri bilgilerinin bulunduğu ana veritabanının yöneticisi, ya da ilgili sistem yöneticisi, bilginin sahibi değil, sahibinin ortaya koyacağı kuralları teknik olarak işletmesi gereken varlık emanetçisidir.
Varlık emanetçilerinin ve varlık kullanıcılarının (iş yapabilmek için varlığa erişen diğer tüm servis ve kullanıcılar) ilgili varlığa nasıl erişebilecekleri, neler yapabilecekleri varlık sahibi tarafından tanımlanmalıdır. Bu tanım herhangi bir biçimde ve yöntemle olabilirse de genel kuralların tanımlandığı politika cümlelerinin oluşturduğu dokümanlara “kabul edilebilir kullanım” adı verilir. Kabul edilebilir kullanım politikaları ilgili varlığın kullanımını sadece şirket çalışanları için değil, dış kaynak çalışanları, tedarikçiler, müşteriler ve diğer üçüncü parti kişiler için de tanımlar.
Kurum içindeki her bir varlık için tek tek güvenlik kurallarını tanımlamak, bu kuralları tüm çalışanlara aktarmak ve uymaları beklemek çok gerçekçi olmaz. Uygulanabilecek en iyi yöntem, tüm varlıkları kurumun ihtiyacına göre farklı sınıflara ayırmak ve bu güvenlik sınıfları için ortak kurallar belirlemektir.
Her kurum kendi kullanımı için kendi sınıflarını belirleyebilir. Sık kullanılan yöntemlerden biri dört seviyeli sınıflamadır. Bu sınıflamada sırasıyla genel kullanıma açık, dâhili kullanım, gizli ve sır sınıfları yer alır. Halka açık varlıklar şirketin adı, verdiği hizmetler, ürünleri, genel fiyat listeleri, pazarlama materyalleri gibi genel kullanıma açık bilgileri kapsar. Bu bilgiler zaten kurum tarafından tüm pazarla paylaşılmak istendiğinden herhangi bir gizlilik içermez.
Dâhili kullanım varlıklar, eksiksiz tüm şirket çalışanları tarafından kullanılan ancak dışarıya açık olmayan varlıklardır. Güvenlik politikaları ve prosedürleri, şirket dâhili telefon listesi, ortak fotokopi cihazları bu sınıfta değerlendirilebilir. Gizli varlıklar kurum içindeki bir ya da iki bölüm tarafından bilinen, tüm çalışanlarla bile paylaşılmayan gizlilik derecesi yüksek varlıklardır. Üretim planları, müşteri listeleri, maliyet hesapları bu sınıfta değerlendirilebilir.
En üst seviyedeki gizlilik ihtiyacı Sır niteliğindeki varlıklardadır. Bu varlıklar kurum içinde sadece birkaç kişi tarafından bilinirler. Paylaşılması, taşınması hatta üzerinde tartışılması özel kurallara bağlı olabilir. Gelecek stratejileri, yeni organizasyon ve çalışma biçimleri açıklama tarihinden önce sır olarak nitelendirilebilir varlık örnekleridir.
Bir varlık, tüm hayatı boyunca aynı sınıfta kalabileceği gibi, belirli şartlara ve zamana bağlı olarak sınıf değiştirebilir. Şirket telefon rehberi her zaman aynı sınıfta, dâhili kullanım olarak kalır. Yeni piyasaya sunulacak bir ürün ile ilgili teknik özellikler tasarım aşamasında sır, üretime geçme hazırlığında gizli, piyasaya sunulması ile birlikte halka açık sınıfında değerlendirilebilir. Tüm bu sınıflar arasındaki geçiş şartlarını yine varlığın sahibi düzenler ve kontrol eder.
Varlıkların tanımlandıkları sınıfa uygun olarak korunmaları ve kullanılmalarını sağlamak için, etiketlenmeleri gerekir. Hem fiziksel hem de sözlü ve elektronik ortamdaki varlıklar uygun şekilde etiketlenmelidir. Etiketleme konusunda standardın belirlediği ortak bir yöntem yoktur. Her kurum kendi yöntemine kendisi karar verir.
İyi bir etiketleme yöntemi kurumsal sınıflama yöntemi ile ortak yapıda olmalı, etiketleme ve etikete bağlı olarak sınıf algılama kolay olmalıdır. Yine önceki örnekten devam edilirse kâğıt dokümanlarda “her sayfanın sağ alt köşesinde ve ilk sayfanın ortasında” doküman sınıfı yazılabilir. Sır niteliğindeki dokümanlar kolay ayrıştırılmaları için beyaz yerine farklı renkli kâğıtlara basılabilir. Aynı bilgileri içeren CD ve benzeri elektronik ortamlar üzerinde de varlık sınıfı yazılarak etiketleme yapılabilir. Sunumların her sayfasının altında ilgili sınıfı yazılırken, sözlü iletişime başlarken “bu bilgi gizlidir” diyerek sınıfı karşı tarafa aktarılabilir.