ISO 27001:2005 UYGULANABİLİRLİK BEYANI (Statement of Applicability)

Tanıtım Uygulanabilirlik Beyanı (Uygulanabilirlik bildirgesi, Statement of Applicability, SOA) ISO 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS) Standardının merkezi ve zorunlu bir parçasıdır. Niçin SOA' nın,  BGYS içerisinde zorunlu kısımlardan birini […]

Tanıtım
Uygulanabilirlik Beyanı (Uygulanabilirlik bildirgesi, Statement of Applicability, SOA) ISO 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS) Standardının merkezi ve zorunlu bir parçasıdır.

Niçin
SOA' nın,  BGYS içerisinde zorunlu kısımlardan birini teşkil etmesi gerçeğinden öte, doğru ve güncel bir Uygulanabilirlik Bildirgesi hazırlama konusunda zaman sarf etmek için birçok neden vardır.

Uygulanabilirlik Beyanı, Risk Değerlendirme ve uygulanılan Bilgi Güvenliği arasında ana bağlantı görevi görür. SOA nın amacı, ISO 27001 Ek-A (ve bu vesile ile ISO 27002) daki kontrollerin (güvenlik ölçümleri) hangilerini uygulayacağınızı, neden bu tedbirleri tercih ettiğinizi, hariç tutulan konular varsa bunları ve hariç tutma nedenlerini bildirmektir. ISO 27001 Standardı, doğrudan bunları belirtmezken, Uygulanabilirlik Beyanı nın aşağıdaki maddeleri içermesi ile Good Practise seviyesine gelmektedir.

  • Mevcut kontrollerin uygulanma durumu
  • Uygulanan kontroller ile bunlara ait kontrol dokümanları veya kısa açıklamalar arasında bağlantı sağlaması
  • Seçilen kontrollerin gerektirdiği diğer gereksinimlerin kaynağına inme

Böylece, kaliteli bir uygulanabilirlik beyanı hazırlanması sayesinde hangi kontrolleri uygulayacağınız ve bunların neden gerekli olduğu ve bunların nekadar iyi uygulanabildiği konularında
kapsamlı ve tam bir bakış açısında sahip bir Uygulanabilirlik Bildirgesi elde edilmiş olacak.

Nasıl
Uygulanabilirlik Beyanı (SoA), ISO 27001' in planlama fazında tanımlanan pek çok faaliyetin sonucudur.
SOA için iki temel kaynak vardır:
Iso 27001 Standardı' nın Ek-A kılavuzu
Risk Değerlendirme Raporu

Bunun haricindeki diğer kaynaklar ise organizasyonda varolan rutin kontroller ve organizasyonun uymak zorunda olduğu harici güvenlik gereksinimleridir.

Uygulanabilirlik Beyanı Yol Haritası şu şekilde gösterilebilir:

iso27001soa

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Riskleri Tanımla ve Analiz Et

Uygulanan kontrollerde firmanın karşı karşıya kalacağı riskleri
belirleyebilmek için Risk Analizi yapılmalıdır. Risk Analizi risklerin tanımlanması ile başlar. Tanımlama aşağıdaki faaliyetlerden oluşur:

1-) Risklerin ilişkili olduğu konuları tanımla

  • Gizlilik (e göre riskler)
  • Bütünlük (e göre riskler)
  • Erişilebilirlik (e göre riskler)

2-) Risk sahiplerini tanımla

(Analiz Safhası)
3-) 'Belirlenen riskler gerçekleşmiş olsaydı, olası sonuçlar ne olurdu?' noktasında değerlendirme yap.

4-) Belirlenen risklerin meydana gelme olasılığını değerlendir/derecelendir.

5-) Risk seviyelerini belirle

6-) Belirlenen riskler ile, Kurumun risk kabul kriterlerini kıyasla ve risk tedavi önceliklerini belirle.


Kontrolleri Belirle

Analiz edilen risklerin kabul edilemez olduğu belirlendiğinde risk tedavisi için uygun önlemler alınmalıdır.
Risk tedavi seçenekleri genel hatları ile:

a) Uygun kontrollerin uygulanması
b) Risklerin bilerek ve objektif olarak kabul edilmesi
c) Risklerden sakınma veya
d) Kurum ile ilişkili diğer bölümlerle (tedarikçiler, sigorta şirketi vs.) paylaşma

ISO 27002, risklerin tedavi edilmesi konusunun yanı sıra kontrol ve kontrol hedeflerinin nasıl uygulanacağı noktasında da rehberlik etmektedir.

Ek olarak kontrollerinizi belirlediğinizde risk analizi metodu olarak birçok başka kaynak bulunmaktadır.

  • Mevcut uygulanan kontroller
  • Payment Card Industry Data Security Standardları (PCI DSS)
  • Bilgi güvenliği kanunları veya diğer yasal zorunluluklar
  • Kurumun çalıştığı sektöre özgü bir takım gereksinimler/zorunluluklar
  • Şartname/sözleşme vb. taahhütlerden doğan kontrol gereksinimleri

ISO 27001 kurallarına uymak isteyen bir kurumun Uygulanabilirlik Beyanı nı ISO 27002 çerçevesi kapsamında düzenlemesi ve diğer güvenlik gereksinimlerini de bu kapsama adapte etmesi önerilmektedir. Uygulanabilirlik Beyanı seçilen her kontrol dokümanı için şunlara cevap vermelidir: 

  1. Kontrolün seçimine sebep olan kaynak gereksinimi.
  2. Tercih edilen kontrol metodunun olgunluk seviyesi
  3. Kontrol ile ilgili kısa bir açıklama veya kontrol adımlarının tanımlandığı başka bir doküman varsa oraya referans vermesi.

Açıkları Analiz Et

Tutarlı, Uyumlu, Kabul görmüş bir kontrol değerlendirmesi için aşağıdaki genel kabul görmüş olgunluk seviyesi modellerinden birinin seçilmiş olması önerilmektedir.

  • COBIT 4.1 Maturity Model (Olgunluk Modeli)
  • Carnegie Mellon Software Engineering Institute Capability Maturity Model (CMM)
  • The Danish Agency for Digitization (Digitaliseringsstyrelsen) ISO 27001-benchmark

Olgunluk Modelinde seviyeleri şu şekilde düşünebiliriz : 

0. Non-existent
1. Initial/Ad hoc (başlangıç seviyesi, emekleme dönemi)
2. Repeatable but intuitive (sezgilerle öğrenilen dönem)
3. Defined process (işlemlerin tanımlandığı)
4. Managed and measurable (yönetilebilen ve ölçülebilen)
5. Optimized (Optimize edilmiş)

Bir Uygulanabilirlik Bildirgesi Yazmak: 

Kontrollerimizi belirleyip seçilen kontroller üzerinde açıkları da analiz ettikten sonra artık bir Uygulanabilirlik Bildirgesi yazmak için gerekli bilgilere sahibiz. Bu işlemi elektronik ortamda hazırlamakta fayda vardır. Raporlanması, kimlerin okuduğunun belirlenmesi, değişiklik gerektiğinde bunun sağlanması vs… bu iş için SecureAware isimli program veya benzerleri tercih edilebilir.


Risk Tedavi Planı

Yukarıda da bahsedildiği gibi Uygulanabilirlik Beyanı kurum için merkezi bir doküman niteliğindedir. Bu doküman yayınlandıktan sonra kontrollerin nasıl yapılacağı veya risk tedavi planının nasıl geliştirileceği noktasında bu doküman başucu kaynak olacaktır.

Risk Tedavi Planı için, 'organizasyonun güvenlik gereksinimlerini uygulama planı' denebilir.
Bu planın en büyük amacı organizasyonun güvenlik hedeflerinin sağlanabilmesidir:

Tedavi planı için örnek olarak aşağıdaki sorular üzerinden yola çıkılabilir.
1. Ne/nasıl olacak?
2. Hangi kaynaklar gerekmekte?
3. Kim sorumlu olacak?
4. Ne zaman tamamlanacak?
5. Sonuçlar nasıl ölçülebilecek?

Gündemde olması gereken diğer bir faktör ise, kontrollerin uygulanıyor olmasının önemidir. Güvenlik faaliyetleri şunlara göre önceliklendirilebilir:

  • Risklerle ilişkili olan sonuçlar
  • Risklerin olma olasılığı
  • Yasal ve diğer düzenleyici faaliyetler

Kontrollerin Uygulanması

Fiili güvenlik çalışması ile birlikte Risk Tedavi Planlarının hazırlanılması süreci başlar. Mevcut yapıdaki açıklar ile güvenlik gereksinimleri arasındaki farkın büyüklüğüne bağlı olarak bu süreçte yoğun emek ve zaman harcanır. Organizasyonun güvenlik amaçları ve büyüklüğü de hesaba katılırsa risk tedavi planının hazırlanması ve uygulanması birkaç ay sürebilmektedir.

Kontrollerin uygulanması sırasında Bilgi Güvenliği Yönetim Sistemi olgunlaşıp gelişmektedir. Bu yüzden bu progreslere göre Uygulanabilirlik Beyanı güncelleniyor olmalıdır.

Uygulanabilirlik Beyanının Güncel Tutulması / Erişilebilir Olması

Yukarıda da belirtildiği gibi Uygulanabilirlik Bildirgesinin devamlı güncelleniyor olması gerekir. İlk versiyonun ve güncellenen bir önceki versiyonun da elde tutulması 'nelerin değiştiğinin görülebilmesi' noktasında önerilmektedir. Böylece kontrollerdeki geliştirme ve iyileştirmelerin de dokümantasyonu yapılabilir.

Ayrıca kurumun risk yönetim yaklaşımı olgunlaştıkça, risk değerlendirmede resmin tamamı görülebilecek ve daha efektif bir Uygulanabilirlik Beyanı sağlanmış olacaktır.

Güncellenmiş bir Uygulanabilirlik Beyanı uygulanmakta olan kontrollerin etkinliğinin ölçülmesi noktasında da önemlidir.

ISO 27001 şartlarını ve Ek-A kılavuzunu da içeren kapsamlı örnek bir template i buradan indirip inceleyebilirsiniz.

İstifade edilen kaynaklar : neupart.com, iso.org

Tags: ,

About Emre BAŞTUĞ

Emre BAŞTUĞ