Kontroller:
Her kontrol amacı, toplamda sayıları 114’ü bulan kontroller arasından en az biri araçlığı ile desteklenmelidir. Buna rağmen, destek amacı ile seçilmiş başı çeken kontrol, uygulama kılavuzu pek çok sayıda gerçek kontrol sunduğu için, işlemi amacından şaşırtabilir.
Görece daha basit bölümlere bağlı olan kontrol amaçları, gerekli işleve sahip tekniğin seçilmesi, tanımlanması ve uygulanması, bunu yaparken de hassas bilgilerin girilmemesi, bilgi geçerliliği onayı, dış saldırılara karşı güvenlik, şifre güvenliği gibi unsurlar göz önüne alınmalıdır.
Bu standart incelendiği zaman görülüyor ki, elimizdeki çok da kapsamlı bir set değildir. Her organizasyonun kontrol amaçları ile ilgili tamamen veya bir miktar farklı gereklilikleri olabilir ve her bu farklılıklar çerçevesinde uygulamalar farklı olabilir.
Bilgi Güvenliği Politikaları
Bilgi Güvenliği İçin Yönetim Yönlendirmesi:
Yönetim, bilgi güvenliği hedeflerine ulaşma amacıyla belirlenen hedeflere varmak için bir güdüş yolu belirlemelidir. Yönetimin en üst düzeyinde alt kademelere de dağıtılmak üzere bir ‘’bilgi güvenliği politikası’’ seti hazırlanmalıdır.
Bilgi Güvenliği Organizasyonu:
İç organizasyon: Organizasyon, bilgi güvenliği için gereken rol ve sorumlulukları saptar ve bireylere dağılımını sağlar. Gerekli olduğu durumlarda, roller ve bireyler arasında değişim saptanabilir ve bu yolla gereksiz hareketlerin ve görevler arası çelişkilerin engellenmesi amaçlanır. Dış otoritelerle sürekli bağlantı halinde bulunulmalıdır. Bilgi güvenliği her türden projenin ve her ölçekten kuruluşun vazgeçilmez bir unsuru olarak görülmelidir.
Taşınabilir araç ve gereçler: Taşınabilir araç ve gereçler için de belirlenmiş güvenlik politikaları bulunmalıdır. Bu tarz cihazlar akıllı telefonlar, diz üstü bilgisayarlar, USB cihazlar vb.
İnsan Kaynakları Güvenliği:
Personel işe alma önceliği: Kalıcı veya geçici olarak personel işe alımlarında güvenlik sorumlulukları mutlaka göz önünde bulundurulmalıdır ve yönetim ve çalışanlar arsında yapılan kontratlarda görev sorumluluklar açık ve net bir şekilde belirtilmelidir.
Personelin çalışma süresi sırasında: Yönetimin yapması gereken şey, çalışanların bilgi güvenliği sorumluluğunu iyice kavradığında ve bu kurallara bağlı kaldığından emin olmasıdır. Güvenlik kuralları ihlali durumunda resmi disiplin işlemleri uygulanmalıdır.
İşe alım kontratlarının iptali ve değişimi: Bir çalışanın işten ayrılması veya konumunun değişmesi durumunda gereken sorumluluk, işlemler ve süreçler yerine getirilmeli, firmaya ait gizli ve özel bilgiler ve kaynaklar firmaya geri verilmeli, kaynaklara giriş ve erişim izinleri güncellenmeli ve görev değişimine göre yeni sorumluklar konusunda çalışanların aydınlatılması sağlanmalıdır.
Varlık yönetimi:
Varlıklara karşı sorumluluk: Firma bünyesinde bulunan bütün varlıkların envanteri çıkarılmalı ve dokümanlar halinde kayıtlı tutulmalıdır. Aynı zamanda bütün bu varlıkların firmanın bilgi güvenliği açısından, korunmaları gerekmektedir.
Bilgilerin gizliliği: Bilgi güvenliği gerekliliği çerçevesinde tüm somut varlıklar etiketlenmeli ve belli başlı numaralar verilmelidir ve önemle bakımları sağlanmalıdır.
Medya bakımı: Bilginin medya kaynağı ve bu bilgiler kayıt altında tutulmalıdır. Aynı zamanda kontrol edilmeli, gözden geçirilmeli ve gerekli görüldüğü durumlarda imha edilmelidir.
Erişim/Giriş Kontrolü:
İş açısından erişim kontrolü: Firma dahilinde çalışanlar tarafından bilgilere her erişim ve girişi dikkatle gözlemlenmeli ve kayıt altına alınmalıdır. Çalışma ağlarına erişim ise sınırlı tutulmalıdır.
Kullanıcı erişim yönetimi: Özel bilgilere yapılan bütün erişimlar, bir kaynak tarafından gözlemlenmeli ve gerekli görüldüğü durumlarda giriş engellenmelidir.
Kullanıcı sorumlulukları: Firma çalışanları içerisinde özel bilgilere ulaşma yetkisi bulunanalar, bu bilgilerin gizliliğinin önemi konusunda bilgilendirilmeli, bilinçlendirilmeli ve protokol ihlali olması durumunda yükümlü oldukları sorumluluklardan haberdar edilmelidir. Bilgi güvenliği açısından bütün çalışanlar bilinçli duruma getirilmelidir.
Sistem ve uygulamalara erişim/ giriş kontrolü: Belirli güvenlik politikaları çerçevesinde özel bilgilere erişim sınırlandırılmalı, yalnızca görevli personelin belirli güvenlik sistemlerini aşarak ulaşmasına izin verilmeli, hatta bu görevli personelin yaptığı girişler ve işlemler de dikkatle kayıt altına alınmalıdır.
Krtiptografi:
Kriptografik kontroller: Kriptografi kullanımı, dijital imza gibi güvenlik kontrolleri için kullanım politikaları ve tarifleri belirlenmelidir.
Fiziksel ve Çevresel Güvenlik:
Güvenli bölgeler: Çalışma prosedürleri ve fiziksel giriş kontrolleri ile firmanın bilgi güvenliği açısından kritik olan bölgelerine konulması gereken koruma ve bariyerlerin tanımlanması gerekmektedir.
Ekipman güvenliği: Tüm ekipmanlar, ekipmanları destekleyici parçalar güvenlik altına alınmalı ve belirli aralıklarla bakımları yapılmalıdır. Gerekli izinler dışında, gerçekten gerekli bulunmadıkça bu ekipmanlar bulundukları alanların dışına çıkarılmamalı; çıkarıldığı durumlarda ise hem giriş hem de çıkışlarında gereken kontrol ve bakımları yapılmalıdır.
Operasyon Yönetimi:
Operasyon prosedür ve sorumlulukları: IT operasyonlarının sorumluluk ve prosedürleri kayıt altına alınmalıdır ve dokümanları çıkarılmalıdır. Kapasite ve performans yönetimi yapılmalıdır. Gelişim, test ve operasyon sistemleri birbirlerinden ayrı tutulmalıdır.
Kötü yazılımdan sakınma: Kullanıcı farkındalığı da dahil olmak üzere, kötü yazılımdan sakınmak için gereken işlemler yerine getirilmelidir.
Destek: Destek sağlama amacıyla saptanan politikalar ve gerekli destekler uygulanmalıdır.
Giriş ve görüntüleme: Sistem kullanıcıları ve yöneticiler, aktiviteler, ayrıcalıklar, hatalar, bilgi güvenliği ile bağlantılı olaylar kaydedilmeli ve görüntülenmelidir.
Operasyon yazılımı kontrolü: Sistemlerdeki yazılımların yüklenmesi sırasında kontroller gerçekleştirilmelidir.
Teknik hassasiyet yönetimi: Sistemde baş gösteren teknik hassasiyetler onarılmalıdır.
Bilgi sistemi denetimi gerekliliği: IT denetimleri planlanmalı ve gerçekleştirilmelidir.
İletişim Güvenliği:
Çalışma ağı güvenliği yönetimi: Çalışma ağları ve bunların sistemleri, örneğin dağılımları, güvenli olmalıdır.
Bilgi transferleri: bilgi transferlerinin güvenliği açısından politikalar, prosedürler ve anlaşmalar yapılmalıdır.
Sistem Geliştirilmesi ve Bakımı:
Bilgi güvenliğinin güvenlik gereklilikleri: Güvenlik kontrolleri gereklilikleri analize edilip durumlara göre özelleştirilmelidir.
Gelişim ve destek süreçlerinde güvenlik: Güvenli yazılım ve bilgi güvenliği meselelerini yöneten sistemler birer politika olarak belirtilmelidir. Yazılımların değiştirilmemesi tercih edilir ve güvenli sistem yöntemlerinin izlenmesi tercih edilir.
Test bilgisi: bilgiler dikkatle seçilmeli ve kontrol edilmelidir.
Tedarikçi İlişkileri:
Tedarikçi ilişkilerinde bilgi güvenliği: IT’nin dış kaynakları tarafından ulaşılabilir olan firma bilgilerinin güvenliği açısından politikalar ve prosedürler belirlenmeli ve yönetim ve tedarikçiler tarafından kontratlarla sabitlenmelidir.
Tedarikçi servisleri gelişimi Yönetimi: Dış kaynaklar tarafından sağlanan servisler kontrol edilmelidir. Servis değişimleri kontrol altında tutulmalıdır.
Bilgi Güvenliği Olay Yönetimi:
Bilgi güvenliği olayları ve gelişimi yönetimleri: Bilgi güvenliği olaylarından çıkarılacak dersler, olaylar ve zayıflıklarla ilgili bilgiler ve bu olayların nasıl engellenebileceğine dair dersler ve bilgiler elde edilmelidir.
Bilgi Güvenliğine İş Sürekliliği Yönetimi Açısından Bakış:
Bilgi güvenliği sürekliliği: İş güvenliği sürekliliği planlanması, uygulanması ve gözden geçirilmesi gereken bir konudur. Bir kurum ve kuruluş için yönetimin vazgeçilmez bir parçası olarak görülmelidir.
Fazlalıklar: IT işlemeleri, gereklilikleri karşılayacak fazlalıkta kapasiteye sahip olmalıdır.
Uyum:
Yasal ve kontratlara bağlı uygunluklar: Firmalar dış otoritelere karşı olan sorumluluklarını bilgi güvenliğinin sağlanması açısından tanımlamalı ve doküman haline getirmelidir.
Bilgi güvenliği incelemesi: Organizasyonun bilgi güvenliği düzenlemeleri dikkat ve önemle belirli aralıklarla gözden geçirilmeli ve ardından da yönetime gerekli ve eksiksiz bilgi aktarımı sağlanmalıdır. Yönetimin üst kademesinde yer alan yöneticiler, düzenli bir şekilde ve özenle çalışanlar ve sistem arasındaki uyumluluğu ölçmeli ve gerekli görülen noktalarda düzenlemeye yönelik kararlar almalı ve hareketlerde bulunmalıdır.