Iso 27001 Bilgi Güvenliği İlkeleri Nelerdir?
Iso 27001 Bilgi Güvenliği Yönetim Sistemi ilke olarak bulunan dokuz prensip birbirini tamamlamakta olup bir bütün olarak okunmalıdır. Bu ilkeler, politik ve uygulama seviyeleri de dahil olmak üzere tüm kullanan bireyleri ilgilendirmektedir. Bizlere rehber olan ilkeler çerçevesinde kullanıcıların üstlenmiş oldukları sorumlulukların rollerine göre değişiklik gösterebilmektedir. Daha kaliteli bir güvenlik anlayışının derlenmesi ve uygulamaların benimsenmesi için üretimi, eğitimi, bilgi paylaşımı sayesinde tüm kullanıcılara yardımda bulunmaktadır. Bilgi sistemleri ve ağlarının güvenilirliğini artırma çalışmaları, demokratik toplumsal değerleriyle, özellikle de kişisel mahremiyet ile ilgili esas olan konular ve bilginin serbest ve açık bir şekilde gereksinimi ile uyum gösterebilmektedir.
Iso 27001 Bilgi Güvenliği Yönetim Sistemi ilkelerini şu şekilde sıralayabiliriz;
Bilinç
Kullanıcı bireyler, bilgi sistemleri ve sahalarının güvenliğinin ihtiyaçlarını ve güvenliğini artırmak için neler yapabilecekleri konusunda bilinçli olmalıdır. Bilgi ağlarının ile sistemlerinin güvenliği bakımından, riskler ve mevcut korunma şekilleri konularda bilinç ilk savunma temelini oluşturmaktadır. Bilgi ağları ile sistem hem dış hem de iç risklerden etkilenebilecek vaziyettedir. Kullanıcı bireyler güvenlik anlamında oluşan noksanlıkların kontrolleri altındaki ağlara ve sisteme yüksek miktarda zarar geleceğini bilmelidirler ve birbiriyle bağımlı olan sistemler nedeniyle diğer kullanıcı bireylere da zararları dokunabileceklerini hiç bir zaman unutmamalıdırlar.
Kullanıcı bireyler, ağ içindeki yeri ve sistemlerin güncelleştirilmesi ile güvenliği yükseltmek maksadıyla yapacakları iyi örnekler ve başka kullanıcı bireylerinde ihtiyaçların hakkında bilgi sahibi olmalıdır.
Duyulan Tepki
Kullanmakta olan bireyler, güvenlik tehditlerini engellemek, belirlemek ve karşı tepki gösterebilmek maksadıyla bir ortaklık içinde olmalı ve zamanında faaliyete geçmelidirler. Kullanan bireyler, bilgi ağlarının ve sistemlerinin birbirlerine olan bağlantılı yapısını ve potansiyel aksaklıklarını hızlı bir şekilde ve geniş alanlara yayılabileceğini unutmayarak güvenlikle ilgili tehditler karşısında ortaklık içerisinde olmalı aynı anda müdahalede bulunmalıdırlar. Tehlike ve zafiyet konusundaki bilgileri mümkün oldukça birbirleriyle paylaşmalı, güvenlik tehlikelerine karşı koymak, müdahale etmek, saptamak amacıyla atik ve etkili bir ortaklık çerçevesinde ihtiyaç olan prosedürler faaliyete geçirmelidirler. Gerekli izinlerin verildiği aşamalarda sınırları aşan bilgi paylaşımı da buna dahil edilebilir.
Sorumluluk Alma Görevi
Tüm kullanıcı bireyler bilgi ağları ve sistemlerin ehemmiyetinden sorumlu tutulmaktadır. Yerel bilgi ağlarına ve sistemlerine ve bağlı olan kullanıcı bireyler, sistemlerin ehemmiyeti konusunda kendilerine ayrılan sorumlulukların farkında olmaları gerekmektedir. Kendilerine ayrılan rollere uygun bir yöntemler davranmalıdırlar. Kullanıcı bireyler kendi ait olan politika, yöntem, uygulama, tedbir alma prosedürlerini düzenli bir şekilde irdelemeleri ve uygun bulunup bulunmadıklarını değerlendirmelidir. Mamul ve hizmet sağlayan, yenileyen ve tasarlayan kullanıcı kişiler, kullan bireylerin mamul ve hizmetlerin ehemmiyetini fonksiyonlarını daha ayrıntılı anlamaları ve bu konuda kendi yükümlülüklerinin bilincinde olabilmeleri için ağ ve sistem güvenliği konusuna dikkat etmeli ve güncellemeleri de olmak üzere gerekli bilgileri sunmalıdır.
Risklerin Değerlendirilmesi
Kullanmakla olan bireyler risk analizlerini yapmalıdır. Tehlike ve hassasiyetleri anlatan risk analizleri, fiziksel, teknoloji ve insani etmenleri, siyasal ve üçüncü taraf hizmetleri gibi önem arz eden iç ve dış sebepleri kapsayacak biçimde geniş bir kesime temsil edilmelidir. Risk değerlendirmeleri kabul gören risk seviyesinin saptanmasını belirler ve korunması lazım bilginin önemi ve yapısı doğrultusunda bilgi ağ ve sistemlerin karşılıklı olduğu potansiyel tehlike risklerini yönetmek maksadıyla gereken kontrollerin seçimine yardımcı olur. Bilgi sistemlerinin giderek daha bağımlı bir duruma gelmeleri nedeniyle risk analizleri, diğer kullanmakta olan bireylerden yaşanan yahut onları etkileyebilecek potansiyel kazaları da göz önünde bulundurmalıdırlar.
Etik Kurallar
Kullanılan bireyler birbirlerine karşı yasal çıkarlarına saygı duymalıdırlar. Bilgi ağ ve sistemlerin toplumumuz içinde ne kadar süratli bir şekilde yaygınlaştığı düşünülürse, kullanan bireylerin faaliyetlerinin veya tepkisizliklerinin diğerlerine zarar getirebileceğini anlamaları gerekmektedir. Bu maksatla ahlaki davranışlar çok önem arz edip kullanan şahısların en güzel şekilde uygulamaları benimsemeye ve geliştirmeye itina göstermeli, güvenlik gereksinimlerini göz önünde bulunduran faaliyetlere teşvik ederek, diğer kullanan tarafların çıkarlarına saygı etmemelidirler
Güvenlik Tasarımı Ve Faaliyetleri
Kullanan şahıslar, güvenliği, bilgi ağları ve sistemini ve önemli bir faktör olarak ele almalıdır. Güvenliği sağlam kılmak için sistemler, politikalar, ağlar ve uygun şekilde uygulanmalı, tasarlanmalı ve koordinasyon edilmelidir. Bu çalışmaların önemli bir organı da, tanımlanmış tehlike ve hassasiyetlerden kaynaklanabilecek hasarları engellemek ya da minimuma indirmek için uygun engelleme yöntemleri ve çözümlerinin benimsenmeli ve tasarlanmalıdır. Hem tekniksel hem de teknik olmayan korunma şekilleri ve çözümleri gerekli olup bunlar, faaliyetlerin sistem ve ağlarında bulunan bilginin önemi ile orantılı olmalıdır. Güvenlik, hizmet, ürün, sistem ve aların temel bir elemanı olmalı ve sistem tasarımı ve mimarisinin ayrılmaz bir nesnesi boyutuna gelmelidir. Uç kullananlar için güvenlik tasarımı genelde kendi ağları için ürün ve hizmetleri seçmek ve yapılandırmak manasına gelmektedir.
Yeniden Analiz Etme
Kullanan bilgi ağların ve sistemin ehemmiyetini incelemeli ve yeniden analiz etmeli; güvenlik ile alakalı politika ve uygulama prosedürlerde düzenlemeleri yapmalıdır. Sürekli bir şekilde yeni ve değişen tehlike ve hassasiyetler ortaya çıkmaktadır. Kullanan bireyler değişen bu tehlike ile mücadele etmek amacıyla güvenliğin bütün elemanların devamlı olarak irdelemeli ve yeniden değerlendirmeli ve düzenlemelidir.
Demokrasi
Bilgi ağları ve sistem güvenliği, demokratik toplumun en önemli değerleriyle uyumlu olmalıdır. Güvenlik faaliyetleri, ifade ve düşünce özgürlüğü, bilgi ve iletişimin güvenilirliği, bilginin serbestliği, kişisel bilginin muhafaza edilmesi, açıklık ve şeffaflık gibi değerler toplum ile uyumlu bir şekilde yürütülmelidir.
Güvenlik Yönetimi
Kullanan bireyler güvenlik yönetimiyle alakalı kapsamlı bir yaklaşım benimsemelidir. Güvenlik yönetimi, risk analizlerine dayalı ve kullanan bireylerin tüm faal düzeylerini ve işlemlerinin her anlamda kapsayacak biçimde dinamik olmalıdır. Yeni tehlikelere karşı ileri görüşlü analizler içermeli, bakım, sistem onarımı, arızalara karı önlem, inceleme, saptama ve müdahale gibi konulara önem vermelidir.
Bilgi sistem ve ağ güvenliği uygulamaları, prosedürleri ve önlemleri tutarlı bir güvenlik sistemi oluşturabilmek adına koordine edilmeli ve bütünleştirilmelidir. Güvenlik yönetimi gereksinimleri, kullanıcının rolüne, katılım seviyesine, riske ve sistem gereksinimlerine bağlıdır.
