BGYS: Varlık Envanteri Hazırlama Oluşturma ve Sınıflandırma Kılavuzu
Firma veya kurum bilgilerinin etkili bir şekilde korunması risk analiz çalışmalarının sağlıklı yürütülebilmesi için BGYS varlık envanterinin çıkarılması ve bilgi varlıklarının taşıdıkları risklere göre gruplandırılması gerekmektedir.
BGYS varlık envanteri hazırlandığında firmaya sahip olduğu bilgi varlıklarının önem ve değerine göre anlaşılırlık kazandırması erişilmek istenen çıktıdır.
Firmanız için "ISO 27001 Bilgi Güvenliği Yönetim Sistemi" dokümanlarını hazırlıyorsanız varlık envanterinden sorumlu görevli personel ataması ve envanterde varlıkların bulundukları yerlerin belirtilmiş olması gereklidir.
ISO 27001 Varlık Envanteri Neden Önemlidir?
Eğer bilgi güvenliği yönetim sistemini firmanızda kuracaksanız en önemli birinci adım mutlaka varlık envanterinin oluşturulmasıdır. Hatta ilk olarak hazırlanması gereken iso 27001 dokümanı bu olmalıdır.
Bilgi Varlığı Nedir?
Kurum veya kuruluşlar için değeri olan bu değerinden ötürü firmanın herhangi bir sürecini veya süreçlerini olumsuz etkileme yok etme gücüne sahip tüm bilgiler "Bilgi Varlığı" kabul edilir. ISO 27001 uygulamalarında bilgi varlıkları bilginin kendisi ve saklandığı (bulunduğu) cihaz veya ekipman ile bu cihaz ve ekipmanların bulunduğu alanlar ile bu alan ve ekipmanlara erişimler önemli bir yer tutmaktadırlar.
ISO 27001 Kapsamındaki Bilgilerin 4 Ana Unsuru
1. Bilginin kendisi /yazılı, sözlü, veri tabanı, excel gibi kayıtlar);
2. Bilginin bulunduğu personel, cihaz, ekipman, nesne (insan: çalışanlar, örnek kağıt, dosya, bilgisayar, server, sunucu);
3. Bilgiye erişim ve değiştirme izinleri (uzaktan erişim, yetkiler, parola ve şifreler);
4. Bilginin bulunduğu nesnelerin firma içinde veya dışındaki konumları;
Yukarıdaki 4 açıklamanın BGYS'deki teknik karşılıkları
- Bilgi varlıkları: Firmanın arşivlerinde, dosyalarında, çalışanların akıllarında, süreçler saklanan ve işlenen tüm verilerdir;
- Yazılımsal bilgi varlıkları: Firma içerisinde kullanılan tüm programlar yazılımları kapsar;
- Fiziksel bilgi varlıkları: Bilgisayarlar, bilgisayar donanımları, kayıt cihazlar ve taşınabilir veya sabir diskler, kesintisiz güç kaynakları, firma yerleşim planları;
- Hizmetler: Bilgilerin işlendiği web siteleri, iletişim kaynakları;
- İnsan: Firmanın çalışanları bilgileri kendi hafızalarında taşırlar. Mevcut yazılı "Kurumsal Bilginin Kaynağı" insan hafızasıdır. Tecrübeler, formüller, teknikler metodlar gibi. Bu yönü ile düşünüldüğünde çalışan personel firma için kurumsal bilgi varlıklarıdırlar.
Bilgi Güvenliğinin 5 Temel Öğesi
Bilgi güvenliği uygulamasının 3 ana temel öğesi ve 2 de gereklilik öğesi bulunmaktadır. Uygulamalarda (özellikle envanter değerlerinin belirlenmesi ve risk analizlerinin yapılmasında) önemle dikkat edilmesi gereken 3 öğe; a) gizlilik, b) bütünlük ve c) erişilebilirliktir.
BİRİNCİ ÖĞE: GİZLİLİK
Bilginin sadece yetkili kişilerce erişilebilir olmasının sağlanmasıdır. Bilgi içeriğini görüntülemek amacıyla gerçekleştirilen tüm işlemler GİZLİLİK kategorisi altında değerlendirilmelidir.
Gizli bilgi o bilgiye erişmemesi gereken kişilerden gizlidir. İstenemeyen bir kişinin o bilgilere bilerek veya bilmeyerek erişmesi, kulak misafiri olması, okuması, göz ucuyla bakması, resimlemesi, görüntülemesi (açık ekranda bilgiler göründüğü halde çekilen selfiler gibi) GİZLİLİK kuralının ihlali demektir (ihlaller-olaylar).
İKİNCİ ÖĞE: BÜTÜNLÜK
Bilginin eksiksizlik özelliğinin karşılanmasıdır. Bilginin yetkisiz veya istenmeden değiştirilmesi, silinmesi, ekleme ve çıkarmalar yapılması (güncellenmesi) olaylarının tümüyle kontrolaltına alınmasıdır.
Bu nedenle bilgisayar ve veri tabanları "Log Kayıtları" tutarlar. Daha sonra bilgide beklenen veya beklenmedik değişimler olduğunda son erişimlerin kim ya da kimler tarafından yapıldığı izlenebilir olmalıdır.
Elbette bunun öncesinde bu türden ihlallere karşı (tedbir/güvence altına alma) politika ve prosedürler hazırlanmış ve uygulanıyor olmalıdırlar.
ÜÇÜNCÜ ÖĞE: ERİŞİLEBİLİRLİK
Bilginin veya bilgi varlığının ihtiyaç duyulduğunda kullanıma hazır olması durumudur. Yani programlarda, bilgisayarlarda, veritabanlarında saklanan bilgilere her daim ulaşılabilmesinin güvence altına alınmasıdır. Bunun net bir örneği güç kaynaklarıdır. Güç kaynaklarının amacı örneğin elektrik kesintisi olduğunda; a) bilginin bütünlüğünün korunmasıdır (bilgi kayıt edilmeden kapanan bir bilgisayarda bilgiler kaydedilmemiş olabilirler) b) bilginin erişilebilirliğinin kesilmeden aralıksız sağlanmasıdır. Aynı durum e-mail içinde geçerlidir. E-mail gönderimine engel teşkil eden kullanılabilirlik (erişim) problemleri de bu kapsamda ele alınabilir. Ya da o an için ihtiyaç duyulan personel bilgisi, personel olmadığında nasıl erişilebilir olacaktır.
"Evet.. Sen izne çıktığında senin bilgine ihtiyacımız olduğunda ne yapacağız?" sorusunun yanıtlanması gerekir. Bu kavramda erişilebilirlik kapsamındadır.
DÖRDÜNCÜ ÖĞE: VARLIK SAHİBİ
Sözkonusu bilgi varlığının gizliliği, bütünlüğü ve erişebilirliğinin sağlanmasından birinci derecede sorumlu (yetkili) olan kişi veya kişilerdir.
Varlık değerinin hesaplanması, varlıkla ilgili risklerin tanımlanması varlık sahibinin görev tanımında mutlaka tanımlanmış olmalıdır. Burada istenen varlık sahibinin görev tanımı değildir. O varlığın sahibi olan personel pozisyonuyla ilgili görev tanımında (örneğin bilgi işlem müdür) bu bilgilerin sorumluluk olarak bulunuyor olması gerekmektedir.
Örneğin bilgi işlem departmanının varlık sahibi o firmanın bilgi işlem (müdür) sorumlusudur.
BEŞİNCİ ÖĞE: VARLIK YÖNETİCİSİ
Varlık emanetçisi veya varlık işletmeni de denilebilir. Bu kişiler varlığın sahibi değildirler. Ancak varlığın sağlıklı şekilde sürdürülebilmesini mümkün kılan kişi veya kişilerdir.
Örneğin firmanın personel özlük dosyaları ve personel maaş, ödeme izin (tüm personel bilgileri) gibi varlıklarınsa sahibi (sorumlusu) İnsan Kaynakları Sorumlusu iken varlık işlaticisi (emanetçisi) bu varlıkların saklandığı yer olan veritabanının sorumlusudur.
ISO 27001 BGYS Varlık Envanteri Nasıl Hazırlanır?
Değerli bilgi varlığıkları ile ilgili risk ve tehditlerin belirlenebilmesi için öncelikle bu varlıkların hangi varlıklar olduğu ve önemleri belirlenmelidir.
Bu aşamada a) varlıkların belirlenmesi, b) varlıkların değerlerinin belirlenmesi (değer atanması) zorunludur. Bu aşama yapılmadığında varlıkların risk analizlerini gerçekleştirmek mümkün olmayacaktır.
Varlıkların belirlenmesi ve değerlerinin atanması için bir varlık envanterine ihtiyaç vardır.
BGYS Varlık Envanteri Nedir?
Firmanın bilgi varlıklarının tamamının izleme numaraları verilerek listelendiği ve bu listede;
- Varlığın izlenebilirlik kimlik numarası ve sürümü;
- Varlığın açık adı;
- Varlığın firmada bulunduğu (konum) fiziksel alan;
- Varlığın değeri (objektif bir metodla tarafsız hesaplanan);
- Varlığın sorumlusu,
- Erişim, Gizlilik ve Bütünlüklerin bozulduğunda ne ölçüde olumsuz etkilere neden olabileceğini gösteren risk sıralama puanları yer almak zorundadır.
Varlık envanteri, kuruluşta bulunan her bir varlığın boşta kalmayacak şekilde varlık sorumlusuna zimmetlenmesiyle benzer etkileşime sahiptir. Bununla birlikte zimmet yaklaşımı ISO 27001 için çok eksik kalabilecek bir ifadedir. Burada zimmet kavramı sadece bir metafor olarak (konunun anlaşılması amacıyla) verilmiştir.
Her varlığın bir sorumlusu olmalı ve bu kayıt altına alınmalıdır. Bu varlıklar ile ilgili varlık sorumlularının görev yetki ve sorumluluklarının neler olduğu tanımlanmalıdır. Bu tanımlama için a) görev tanımları, b) varlık envanteri ve c) bilgi güvenliği politikaları uygulanabilir.
Örneğin "Finans sorumlusu BGYS finansal bilgiler politikası ve BGYS Erişim, BGYS Bütünlük, BGYS Erişilebilirlik politikalarının uygulanmasından sorumludur." gibi. Ya da bu bilgiler görev tanımlarında tek tek yazılabilir. Genel bir BGYS prosedürü ve görev politikaları hazırlanarak (EK-A ile bu politikalar zaten zorunlu olarak hazırlanmaktadır) görev tanımlarından bu politika ve talimatlara atıfta bulunabilir.
Firmanın ISO 27001 dokümanları (bakınız) arasında "varlık envanteri uygulama prosedürü" bulunmalıdır. Bu prosedür envantere yeni bir varlığın nasıl ekleneceği, çıkarılacağı ve işlemlerin kimin tarafından nasıl yapılacağı detaylıca açıklanmalıdır.
Varlık envanteri hazırlanırken içeriğinde kuruluşun tüm varlıklarının yazılı olduğundan (örneğin: fotokopi makinesi dahil) emin olunmalıdır. Bu adıma geçmeden önce bir taslak hazırlayıp bu taslakta envantere kayıt edilecek varlıklar listelenmeli ve gerekiyorsa gruplanmalıdırlar. Gruplandırma yapılırken a) bilgi varlıkları, b) yazılım varlıkları (programlar), c) fiziksel varlıklar d) hizmetler gibi bir gruplandırma yapılabileceği gibi tamamen size özel gruplandırmalarda yapabilirsiniz.
Burada önemli olan envanterin işlevselliğini sağlayıp karmaşadan kaçınmanızdır.
ISO 27001 BGYS kapsamında yönetilmesi gereken noktalar bilgi ve bilginin kullanıldığı işlendiği süreçleri belirlemek ve bu noktaları kontrol altına almaktır.
Varlık envanterinin şablonu hazırlandıktan sonra ilk olarak varlıkların gruplarına göre envanter tablosuna (genelde excel tablosu kullanılmaktadır) kayıt edilmelidir. Bunlar bilgiyi taşıyan ve saklayan ortamlardır. Örneğin yazılım ve donanımlar.
ISO 27001 süreçleri soyut olmakla birlikte varlık envanterinde yer almalıdır.
Varlık Envanter Tablosunda Hangi Bilgiler Olmalıdır?
- Varlık adı
- Gruplandırma yapıldıysa varlığın ait olduğu grup adı
- Kategori (kolay izlenebilir olması açısından alt grup veya kategoriler kullanılabilir): Örneğin süreçler, yazılımlar, bilgisayarlar, diskler veya sunucular gibi. Ortak özelliklere sahip varlıkları kategorilere ayırmak işletmeniz açısından iyi bir fikir olabilir.
- Varlığın sahibi (görev tanımları ve politikalar ile eşleştirilen personel pozisyonu örneğin: insan kaynakları sorumlusu gibi)
- Varlığın emanetçisi (varsa varlığın emanetçisi belirtilir. Örneğin: ağ yöneticisi, test sorumlusu veya bilgi işlem veri tabanı uzmanı gibi)
- Varlığın konumu (varlığın fiziksel olarak bulunduğu konumu belirtir) Örneğin: sunucu odasıgibi.
- Gizlilik değeri (varlığın yetkisiz erişimlerden doğabilecek zararın sonucunu gösteren puandır)
- Bütünlük değeri (varlığın bütünlüğünün bozulmasından kaynaklanabilecek olası zararı gösteren puan değeridir)
- Erişilebilirlik değeri (varlığın erişilebilirlik açısında değerine belirten puandır)
- Toplam varlık değeri (gizlilik, bütünlük ve erişilebilirlik puanlarının toplamıdır veya çarpımı sonucunda elde edilen topal varlık değeri puanıdır)
- Varlığın envantere eklenme tarihi
- Notlar (envanterle ilgili değişiklik, not, açıklama ve sürüm bilgilerinin belirtileceği alandır)
Öneri 1: Envanter hazırlanırken tabloda aksiyon alanı oluşturulup bilginin korunması için alınan tedbir dokümanlarına atıf yapılması sonraki BGYS adımlarında kolaylık sağlayabilir.
Öneri 2: Açıklama not alanına veya farklı bir başlık altında (aynı envanterde) varlığın marka, model, seri numarası, lisans ve sürüm bilgileri not edilirse daha verimli ve etkin bir envanter tablosu hazırlanmış olacaktır.