Bilgi Varlığı nedir?
ISO 27001 Bilgi Güvenliği Yönetim Sistemi kapsamında varlıkların yönetimi önemli bir yer tutmaktadır. Hatta Bilgi Varlıklarınınbelirlenmesi ve sınıflandırılması BGYS kurulumunun ilk adımlarından biridir. Bilgi; süreçlerin çalışması ile üretilmektedir. Süreçlerin bir çıktısıdır. Üretilen bu bilgi çeşitli amaçlar için kullanılmaktadır. İşte Bilgi Güvenliği Varlıkları bu noktada devreye girmektedir. Bilgi Varlıkları; üretilen bilginin işlenmesi, saklanması, iletilmesi, korunması, sürekliliğinin sağlanması ve yok edilmesi için kullanılır.
Bilgi Varlıklarının belirlenmesinde hangi varlık türleri dikkate alınmalıdır?
BGYS kapsamında varlıkların belirlenmesi, varlık envanterinin oluşturulmasında genellikle yazılım ve donanım kategorisindeki varlıklar dikkate alınsa da, bunlarla sınırlı kalmamalıdır.
Bu amaçla;
- Yazılım
- Donanım
- Network
- Yapılar (Bina, tesis, saha)
- Personel
- Destek Servisler (Isıtma, havalandırma, enerji)
gibi daha geniş kapsamda düşünmek gerekir.
Bilgi varlıklarının eksik veya hatalı tespit edilmesi, risk analizi başta olmak üzere birçok adımda hatalara sebep olacaktır.
ISO27001:2013'te Varlık Yönetimi
ISO27001 standardında varlık yönetimine ilişkin şartlar/kontroller Ek A.8 maddesi altında toplanmış. Bu yazımızda A.8.1'de tanımlanan Varlıkların Sorumluluğuna yönelik şartları inceleyeceğiz.
Varlık yönetiminin ilk aşamasında, öncelikle elimizdeki varlıkların neler olduğunu ortaya koymamız ve listelememiz faydalı olacaktır. Elimizde ne var ne yok bir bilelim önce. Daha sonra bunların sahipliğini tanımlamamız lazım. Öyle ya, sahipsiz bırakırsak olmaz. Sonra da bu varlıkların kullanımına yönelik kurallarımızı belirleyelim. Böylece Varlık Yönetimine giriş yapmış oluyoruz. Konunun detayları için ISO27002 standardına başvuralım. Bakalım bizden beklentiler tam olarak ne? ISO27002'de Varlık yönetimine ilişkin beklentiler, standardın 8. maddesinde yer alıyor:
8 Varlık yönetimi
8.1 Varlıkların sorumluluğu
Amaç: Kuruluşun varlıklarını tespit etmek ve uygun koruma sorumluluklarını tanımlamak.
8.1.1 Varlık envanteri
Kontrol
Bilgi ve bilgi işleme tesisleri ile ilgili varlıklar belirlenmeli ve bu varlıkların bir envanteri çıkarılmalı ve idame ettirilmelidir.
Uygulama kılavuzu
Bir kuruluş, bilgi yaşam döngüsünde ilgili varlıkları belirlemeli ve önemini yazılı hale getirmelidir. Bilgi yaşam döngüsü oluşturma, işleme, depolama, iletme, silme ve imhayı içermelidir. Dokümantasyon mevcut envanterlere uygun olarak veya özel olarak muhafaza edilmelidir.
Varlık envanteri; güncel, tutarlı, doğru ve diğer envanterler ile uyumlu olmalıdır.
Belirlenen her bir varlık için varlık mülkiyeti tahsis edilmeli (bk. Madde 8.1.2) ve sınıfı belirlenmelidir (bk. Madde 8.2).
Diğer bilgiler
Varlık envanteri etkin korumayı sağlamak için yardımcı olur ve aynı zamanda sağlık ve emniyet, sigorta veya finansal (varlık yönetimi) sebepler gibi diğer amaçlar için gerekli olabilir.
ISO/IEC 27005[11] standardı varlıkları belirlerken kuruluş tarafından dikkate alınması gerebilecek varlıkların örneklerini sağlar. Varlık envanterini derleme süreci risk yönetimi için önemli önkoşuldur (bk. ISO/IEC 27000 ve ISO/IEC 27005[11]).
8.1.2 Varlıkların sahipliği
Kontrol
Envanterde tutulan tüm varlıklara sahip atamaları yapılmalıdır.
Uygulama kılavuzu
Varlık yaşam döngüsü için onaylanmış yönetim sorumluluğuna sahip bireyler ve diğer oluşumlar, varlık sahipleri olarak atanmaya hak kazanırlar.
Varlık sahipliğinin zamanında belirlenmesini sağlamak için bir proses genellikle kullanılmaktadır. Varlıklar oluşturulduğunda ya da varlıklar kuruluşa transfer edildiğinde sahipliği belirlenmelidir. Varlık sahibi, varlık yaşam döngüsü boyunca varlığın uygun yönetiminden sorumlu olmalıdır.
Varlık sahibi:
a) Varlık envanterinin kaydedildiğinden emin olmalıdır,
b) Varlıkların uygun sınıflandırıldığından ve korunduğundan emin olmalıdır,
c) Uygulanabilir erişim kontrol politikasını dikkate alarak önemli varlıklara erişim kısıtlamalarını ve sınıflandırmasını tanımlamalı ve periyodik olarak gözden geçirmelidir,
d) Varlıkların silinmesi ya da imha edilmesinde uygun işlemin uygulandığından emin olmalıdır.
Diğer bilgiler
Bir varlığın yaşam döngüsü boyunca kontrol edilmesi için yönetim sorumluluğu onayına sahip bir birey ya da oluşum olabilir. Tanımlanan sahibin varlık üzerinde herhangi bir mülkiyet hakkı yoktur.
Rutin görevler devredilebilir; (örneğin, bir varlığa günlük olarak bakan emanetçi gibi) fakat sorumluluk varlık sahibindedir.
Karmaşık bilgi sistemleri içinde varlık gruplarını belirlemek işlevlerin birlikte sağlanmasında faydalı olabilir. Bu durumda bu hizmet sahibi, varlıkların işleyişi de dâhil hizmetin sunumundan sorumludur.
8.1.3 Varlıkların kabul edilebilir kullanımı
Kontrol
Bilgi ve bilgi işleme tesisleri ile ilgili bilgi ve varlıkların kabul edilebilir kullanımına dair kurallar belirlenmeli, yazılı hale getirilmeli ve uygulanmalıdır.
Uygulama kılavuzu
Kuruluşun varlıklarını kullanan veya bunlara erişimi olan çalışanlar ve dış taraf kullanıcılar, bilgi ve bilgi işleme tesisleri ve kaynakları ile ilişkili kuruluşun varlıklarının bilgi güvenliği gereksinimleri hakkında farkındalıkları sağlanmalıdır. Bu kullanıcılar tüm bilgi işleme kaynaklarının kullanımından ve kendi sorumlulukları altında gerçekleşen tüm kullanımlardan sorumlu olmalıdır.
8.1.4 Varlıkların iadesi
Kontrol
Tüm çalışanlar ve dış tarafların kullanıcıları, istihdamlarının, sözleşme veya anlaşmalarının sonlandırılmasının ardından ellerinde olan tüm kurumsal varlıkları iade etmelidirler.
Uygulama kılavuzu
Sonlandırma süreci, önceden verilen tüm fiziksel ve elektronik varlıkların sahipliğinin ya da kuruluşa ait emanetlerin iadesini içerecek şekilde formüle edilmelidir.
Çalışan veya dış taraf kullanıcısı, kuruluşun ekipmanını satın aldığında veya kendi kişisel ekipmanını kullandığında tüm ilgili bilgilerin kuruluşa transfer edildiğinden ve güvenli bir şekilde ekipmandan silindiğinden emin olmak amacıyla prosedürler izlenir (bk. Madde 11.2.7).
Çalışan veya dış taraf kullanıcısının devam eden operasyonlar için önemli bilgilere sahip olduğu durumlarda, bu bilgilerin yazılı hale getirilmesi ve kuruluşa transfer edilmesi gereklidir.
Fesih bildirim süresi boyunca, kuruluş; işi fesih edilen çalışanların ve yüklenicilerin fikri mülkiyet gibi ilgili bilgilerin yetkisiz kopyalamasını kontrol etmelidir.
Varlık Yönetiminin diğer boyutlarını başka yazılarımızda ayrıca inceleyeceğiz.