Bilgi teknolojisindeki gelişmelere bağlı olarak bilgi varlıklarına yönelik risklerin artması, kuruluşları güçlü bilgi güvenliği önlemleri almaya yöneltmektedir. Bazen devlet kurumları veya müşteriler gibi paydaşlar kuruluşları bu önlemleri almaya zorlar.
Bu önlemlerin ortak amacı kuruluşların sorumlu olduğu bilgi varlıklarının gizliliğini, bütünlüğünü ve kullanılabilirliğini sağlamaktır.
Ancak bu hedefe ulaşmak için gerçekleştirilen eylemler, kuruluşun uzmanlığı, yetenekleri ve yetkinlikleri gibi çeşitli parametrelere bağlı olarak büyük ölçüde değişiklik gösterebilir. Bazı kuruluşların kullandığı yöntemler nispeten daha doğru ve etkili olabilirken bazılarının kullandığı yöntemler etkisiz veya hatalı olabiliyor.
Bu noktada yukarıdaki eylemlerin etkin bir şekilde gerçekleştirilebilmesi için kılavuzlara ihtiyaç duyulmaktadır. Bu yönergelerin aşağıda listelendiği gibi farklı formatlarda olabileceğini unutmamak gerekir:
- Uluslararası ve ulusal standartlar
- Sektörel kılavuzlar
- Tavsiye belgeleri
- Yasal düzenlemeler
- vesaire.
Bu yönergeler, bilgi güvenliği çabalarının etkin işleyişine önemli ölçüde katkıda bulunmaktadır ve aşağıda kısaca özetlenmiştir:
- Rehberlik ve Referans Noktası: Kuruluşların bilgi güvenliği uygulamalarını yönetmelerine yardımcı olur ve ekiplere nasıl başlayacakları, hangi adımları atmaları ve hangi en iyi uygulamaları takip edecekleri konusunda rehberlik ederler.
- En İyi Uygulamalar: Bilgi güvenliği alanındaki en iyi uygulamaları içerir ve kuruluşların bu en iyi uygulamaları takip ederek bilgi güvenliklerini geliştirmelerine olanak tanır.
- Uyumluluk: Birçok sektör ve sektörün belirli bilgi güvenliği standartlarını uygulaması veya bunlara uyması gerektiğinden, bu kılavuzlar kuruluşların çeşitli yasal ve düzenleyici gereksinimleri karşılamalarına yardımcı olur.
- Risk Azaltma: Kuruluşların bilgi güvenliği risklerini tanımlamasına ve azaltmasına yardımcı olurlar. Ayrıca kuruluşların güvenlik politikalarını ve prosedürlerini uygulamalarına yardımcı olur.
- Tanınma ve Güven: Kılavuzlar, kuruluşların müşterileri ve diğer paydaşları arasında güven oluşturabilmesi için denetim ve sertifikasyon için bir altyapı sağlar.
- Adil Rekabet: Devlet kurumları ve müşteriler gibi paydaşlara gerekli niteliklerin sağlanmasında referans noktası görevi görerek subjektif bakış açısına dayalı haksız rekabetin önüne geçer.
- Son Kullanıcı Koruması: Özellikle yasal düzenlemeler söz konusu olduğunda kuruluşların bilgi güvenliği hassasiyetini ölçemeyen son kullanıcılar için bir güvenlik kalkanı oluştururlar.
ISO 27000 Standartlar Ailesi
ISO (Uluslararası Standardizasyon Örgütü), dünya çapında standartlar geliştirmek, uluslararası iletişim ve işbirliğini geliştirmek ve uluslararası ticaretin adil büyümesini teşvik etmek amacıyla 1947 yılında kurulmuş bir sivil toplum kuruluşudur.
ISO, çeşitli endüstri ve sektörlerde çok çeşitli konuları kapsayan standartlar geliştirmekte ve yayınlamaktadır. ISO’nun standart yayınladığı alanlardan biri de bilgi güvenliğidir.
Bilgi güvenliği standartları , ISO/IEC JTC 1 (Ortak Teknik Komite) adı verilen bir teknik komite tarafından geliştirilmektedir . Bu komite çeşitli alt komitelere ve çalışma gruplarına bölünmüştür. Standartlar bu yapı içerisinde belirli alt komiteler ve çalışma grupları tarafından geliştirilmektedir. Bu süreç birçok ülke ve sektörden uzmanları, paydaşları ve temsilcileri bir araya getiriyor.
ISO’nun doğrudan bilgi güvenliği ile ilgili yayınladığı standartlar, ISO/IEC 27000 ailesi altında toplanmaktadır. ISO 27000 standart ailesi çok sayıda standardı içerir ve bunların en son baskılarına www.iso.org adresinden ulaşılabilir.
Bu bölümde ISO/IEC 27000 standart ailesi hakkında bilgi verilmektedir.
ISO/IEC 27001
ISO/IEC 27001, Bilgi Güvenliği Yönetim Sistemi (ISMS) için uluslararası bir standarttır. ISO 27000 ailesinin en bilinen ve en önemli üyesidir.
ISO/IEC 27001, nitelik veya sektör gözetmeksizin bilgi güvenliğinin tüm alanlarına uygulanabilen bir standarttır. Bu anlamda bilgi güvenliği alanında en önemli ve kabul gören standart sayılabilir.
ISO/IEC 27001’in ilk versiyonu 2005 yılında yayınlanmıştır. Son versiyonu ise 2022 yılında yayınlanmıştır. Standart www.iso.org veya diğer yetkili platformlardan satın alınabilir.
Yapı ve İçerik
ISO/IEC 27001, bir kuruluş içinde bilgi güvenliğinin sağlanmasına yönelik gereklilikleri sağlar. Gereksinimler sadece teknik olmayıp, aynı zamanda kurum bünyesinde “Bilgi Güvenliği Yönetim Sistemi” kurulmasına yönelik esasları da ortaya koymaktadır.
Ancak standartta belirtilen teknik gerekliliklerin nasıl uygulanacağına ilişkin spesifik ayrıntılar verilmemiştir. Bu durum standarda esneklik kazandırırken aynı zamanda söz konusu teknik gerekliliklerin uygulanmasını da zorlaştırmaktadır. Bu sorunu çözmek için daha sonra tartışılacak olan ISO/IEC 27002 gibi ek yönergeler oluşturulmuştur.
ISO/IEC 27001 standardı 2 bölümden oluşur:
1. Ana bölüm: Bu, bir yönetim sisteminin uygulanmasına yönelik temel gereksinimleri içerir. Bu bölüm aşağıdaki alt bölümlerden oluşmaktadır:
- giriiş
- Organizasyonun kapsamı
- Liderlik
- Planlama
- Destek
- Operasyon
- Performans değerlendirmesi
- Gelişim
2. Ek A Güvenlik Kontrolleri: Bu bölüm ISO 27001’in ana odağı olan kontrolleri içerir. 4 ana başlık altında gruplandırılmış 93 kontrol bulunmaktadır.
- Organizasyonel kontroller
- İnsan kontrolleri
- Fiziksel kontroller
- Teknolojik kontroller
Uygulama ve Temel Özellikler
- ISO/IEC 27001, sektör veya uzmanlığa bakılmaksızın tüm kuruluşlara uygulanabilir.
- ISO/IEC 27001 dünyanın her yerinde akredite kuruluşlar (ANAB, UKAS vb.) tarafından denetlenebilir ve sertifikalandırılabilir.
- Genel olarak dünya çapındaki kuruluşların ISO/IEC 27001’e uyması ve buna dayalı bir sertifika alması zorunlu değildir.
- Ancak kamu ve özel sektör tarafından paydaşlarına dayatılan, bilgi güvenliği konusunda dünyanın en yaygın kullanılan standardıdır.
ISO/IEC 27002
ISO/IEC 27002, ISO/IEC 27001’de önerilen kontrollere yönelik uygulama uygulamalarını sağlayan standart bir belgedir.
Basit bir örnek vermek gerekirse ISO 27001’de kuruluşun “Mobil Cihaz Güvenliği” için önlem almasını gerektiren genel bir kontrol maddesi bulunmaktadır. Ancak bunun nasıl yapılması gerektiğine ilişkin tavsiyeler ve uygulama uygulamaları ISO/IEC 27002’de anlatılmıştır.
Yani ISO/IEC 27001’de kusur olarak görülen teknik ve pratik önerilerin eksikliği bu standardın kapsamına girmektedir.
Standardın son versiyonu “ISO/IEC 27002:2022”dir. Standarda erişim ücretli olarak “www.iso.org” adresinden sağlanmaktadır.
Yapı ve İçerik
ISO/IEC 27002, ISO/IEC 27001’deki maddeleri detaylandırmak ve uygulama uygulamalarını sağlamak amacıyla hazırlanmıştır. Dolayısıyla standardın içeriği ISO/IEC 27001 kontrol maddelerinin uygulama pratikleridir.
Uygulama ve Temel Özellikler
- ISO/IEC 27002 kendi başına iyi bir kılavuz olsa da esas olarak ISO/IEC 27001 ile birlikte kullanılır.
- ISO/IEC 27002 için tek başına bir denetim veya sertifikasyon bulunmamaktadır.
- ISO/IEC 27001’in sahada uygulanmasının temel temeli olduğundan, kuruluşlar bir sonraki bölümde listelenen diğer kılavuzlara göre buna daha fazla önem vermekte ve daha sık uygulamaktadır.
ISO/IEC 27001 Uygulama Kılavuzları
Yukarıda da bahsettiğimiz gibi ISO/IEC 27001 “Bilgi Güvenliği Yönetim Sistemleri”nin ana standardıdır. Ancak bu standardın uygulanabilmesi ve denetimlerin yapılabilmesi için ek rehberlere ihtiyaç duyulmaktadır.
ISO/IEC ISO 27002 bu standartların en kritik olanıdır ve ilgili bilgiler yukarıda verilmiştir. Aşağıda listelenen ISO standartları da vardır:
- ISO/IEC 27000:2018 Bilgi Güvenliği Yönetim Sistemleri – Genel Bakış ve Kelime Anlamı
- ISO/IEC 27003:2017 Bilgi Güvenliği Yönetim Sistemleri – Uygulama Rehberi
- ISO/IEC 27004:2018 Bilgi Güvenliği Yönetim Sistemleri – Ölçme, İzleme ve Değerlendirme
- ISO/IEC 27005:2018 Bilgi Güvenliği Risk Yönetimi
- ISO/IEC 27006:2019 Bilgi Güvenliği Yönetim Sistemleri – Bilgi Güvenliği Yönetim Sistemlerinin Denetimini ve Belgelendirmesini Sağlayan Kuruluşlar İçin Gereksinimler
Burada listelenen standartların başlıkları, konularına ilişkin genel bir fikir vermektedir. Ayrıca her standardın güncel versiyonları etiketlerinden de tanınabilmektedir.
Yapı ve İçerik
ISO/IEC 27001 Uygulama Kılavuzlarının belirli bir yapıya sahip olması gerekmez. Rehberlik verdikleri alana göre esnek bir yapıya sahiptirler ve genel olarak ISO/IEC 27001 standardını referans alırlar.
Uygulama ve Temel Özellikler
- ‘ISO 27001 Uygulama Kılavuzu’ başlı başına faydalı bir rehber olmasına rağmen esas olarak ISO/IEC 27001 standardı ile birlikte kullanılmaktadır.
- Yalnızca Uygulama Kılavuzlarına yönelik bir denetim veya sertifikasyon yoktur.
ISO/IEC 27000 Ailesinin Sektöre Özel Standartları
ISO/IEC 27001 ailesinin ana standardı olan ISO/IEC 27000, sektöre veya uygulamaya özel olmayan genel gereklilikleri tanımlar. ISO/IEC 27001’in daha geniş kapsamı bir avantaj olarak görülebilir. Ancak sektörün veya uygulama alanının belirli ihtiyaçlarını karşılamada yeterli olmayacaktır.
Bu eksikliği gidermek için ISO sektöre ve uygulamaya özel standartlar geliştirmiştir. Bu standartlar içerisinde ISO/IEC 27001 kontrol maddelerinin yanı sıra sektöre ve uygulamaya özel kontrol maddeleri de bulunmaktadır.
Bu standartların sayısı oldukça fazla olup, en yaygın sektör ve uygulamalara ait örnekler aşağıda verilmektedir:
- ISO/IEC 27011:2016 — ISO/IEC 27002’ye Dayalı Telekomünikasyon Kuruluşları için Bilgi Güvenliği Yönetimi Yönergeleri
- ISO/IEC TR 27015:2012 — Finansal Hizmetler için Bilgi Güvenliği Yönetimi Yönergeleri
- ISO/IEC TR 27016:2014 — Bilgi Güvenliği Ekonomisi
- ISO/IEC 27017 :2015 — Bulut Hizmetleri için ISO/IEC 27002’ye Dayalı Bilgi Güvenliği Kontrolleri Uygulama Kuralları
- ISO/IEC 27018 :2019 — PII İşleyicileri Olarak Görev Yapan Genel Buluttaki Kişisel Olarak Tanımlanabilir Bilgilerin (PII) Korunmasına İlişkin Uygulama Kuralları
- ISO/IEC 27019 :2017 — Enerji Endüstrisinde Proses Kontrolüne Yönelik Bilgi Güvenliği
- ISO/IEC 27031:2011 — İş Sürekliliği için Bilgi ve İletişim Teknolojisine Hazır Olma Yönergeleri
- ISO/IEC 27035:2023 — Bilgi Güvenliği Olay Yönetimi
- ISO/IEC 27701 :2019 — Bilgi Teknolojisi — Güvenlik Teknikleri — Bilgi Güvenliği Yönetim Sistemleri — Gizlilik Bilgi Yönetim Sistemi (PIMS).
Yapı ve İçerik
ISO/IEC 27000 standart ailesindeki sektöre özel standartlar sabit bir yapıya sahip değildir. Kapsadıkları sektör veya alana göre esnek bir yapıya sahiptirler ve genel olarak ISO/IEC 27001’e atıfta bulunurlar.
Uygulama ve Temel Özellikler
- “”ISO/IEC 27000 standartlar ailesi sektöre özel standartlara” göre denetim ve sertifikasyon yapılması yaygındır.
- Ancak bu sertifikaların ön koşul olarak ISO/IEC 27001 hükümlerine sahip olduğunun altını çizmek gerekir. Sonuç olarak kuruluşlar hem ISO/IEC 27001 hem de ilgili sektör standardının gerekliliklerini karşılamaya çalışmaktadır.
- Örneğin enerji sektöründeki kuruluşlar ISO/IEC 27019:2017 gerekliliklerini karşılamayı amaçlamaktadır. Veri gizliliği konusunda yeterlilik göstermek isteyen kuruluşlar, ISO/IEC 27701:2019 gerekliliklerini karşılamayı amaçlamaktadır.
- Gerçekte kuruluşlar genellikle bu standartlara göre denetlenmeye isteksizdir. Ancak özellikle devletin ve düzenleyici kurumların gereklilikleri, kuruluşları bu standartları uygulamaya ve sertifika almaya yöneltmektedir.
NIST Framework
NIST (Ulusal Standartlar ve Teknoloji Enstitüsü), federal teknoloji ve endüstri standartlarını geliştirmek, tanıtmak ve uygulamak için Amerika Birleşik Devletleri’nde kurulmuş bir federal kurumdur.
NIST, bilgi güvenliği, siber güvenlik, ölçüm standartları, teknoloji yeniliği ve daha birçok alanda çalışmalar yürüterek sektörlere ve kamu sektörüne standartlar ve rehberlik sağlıyor.
NIST’in özellikle bilgi güvenliği alanındaki yayınları ve kılavuzları dünya çapında geniş çapta tanınmaktadır.
Bu ders bilgi güvenliği alanında yayınlanan en önemli yönergeleri kapsayacaktır.
NIST SP800-53
NIST SP 800-53 (Bilgi Sistemleri ve Kuruluşları için Güvenlik ve Gizlilik Kontrolleri), Amerika Birleşik Devletleri’ndeki federal bilgi sistemlerine yönelik güvenlik kontrollerinin ana hatlarını çizen bir çerçevedir.
Kılavuz, federal bilgi sistemlerinin ve verilerinin siber tehditlere karşı korunmasını sağlar.
İlk versiyon olan NIST Özel Yayını 800-53 Revizyon 1, 2005 yılında yayımlandı ve zamanla güncellendi ve geliştirildi.
Çerçevenin güncel sürümü olan NIST Özel Yayını 800-53 Revizyon 5, 2020 yılında yayımlandı.
Güncel çerçeve belgesi ve ekleri kurumun resmi internet sitesinde (www.nist.gov) mevcuttur.
Yapı ve İçerik
NIST SP 800-53, federal bilgi sistemlerinin güvenliğini sağlamak ve siber saldırılara karşı dayanıklılığını artırmak için uygulanması gereken güvenlik önlemlerini ve kontrollerini belirtir. Bu kontroller erişim kontrolü, sistem izleme ve siber olaylara müdahale gibi çok çeşitli güvenlik alanlarını kapsar.
NIST SP 800-53 Revizyon 5, iki temel kategoriye ayrılmış 20 kontrol alanı (kontrol ailesi) içerir. Her kontrol alanı belirli bir güvenlik unsuruna veya gereksinimine odaklanır ve ilgili güvenlik kontrollerini içerir. Bu kontrol alanları, federal kurumların sistemlerini belirli güvenlik gereksinimlerine göre düzenlemelerine yardımcı olur.
Uygulama ve Temel Özellikler
- NIST Özel Yayını 800-53, Amerika Birleşik Devletleri’ndeki federal bilgi sistemlerinin güvenliğine odaklanmaktadır. Ancak tüm federal kurumların bu standarda uyması zorunlu değildir.
- ABD dışında birçok ülke ve kuruluşun kullandığı bir rehberdir.
- Örneğin dünyanın farklı yerlerindeki bazı kamu ve özel sektör düzenleyicileri bu çerçeveyi paydaşlarına dayatabiliyor ve denetimleri buna göre yürütebiliyor.
NIST Siber Güvenlik Çerçevesi
NIST ayrıca kuruluşların siber güvenliklerini değerlendirmek, geliştirmek ve yönetmek için kullanabileceği bir çerçeve sağlar.
NIST Siber Güvenlik Çerçevesi ilk olarak 2014 yılında yayınlandı. 2018 güncellemesi, çerçeveyi daha kapsamlı ve esnek hale getirdi.
NIST Siber Güvenlik Çerçevesi’nin mevcut sürümü 2018’de yayınlanan sürüm 1.1’dir. NIST Siber Güvenlik Çerçevesi 2.0, paydaşların kamuoyunun görüşüne açılmıştır ve son incelemeler halen devam etmektedir. (Not: Bu bilgiler 2023 yılının son çeyreği için geçerlidir).
Mevcut çerçeve ve ekleri kuruluşun resmi internet sitesinde (www.nist.gov) mevcuttur.
Yapı ve İçerik
NIST Siber Güvenlik Çerçevesi, kuruluşların aşağıdaki beş ana kategorideki siber güvenlik faaliyetlerini planlamasına, uygulamasına, izlemesine ve iyileştirmesine yardımcı olur.
Bu kategoriler siber güvenlik gereksinimlerini tanımlar:
- Tanımla: Bu kategori, kuruluşun siber güvenlik gereksinimlerini belirlemesine ve tanımlamasına olanak tanır. Temel olarak kuruluşun bilgilerini, varlıklarını, risklerini ve güvenlik gereksinimlerini tanımlamayı amaçlamaktadır.
- Koruyun: Bu kategori, kuruluşun belirlenen risklere karşı kendisini nasıl koruyacağını tanımlar. Veri şifreleme, erişim kontrolü, güvenlik politikaları ve güvenlik farkındalığı eğitimi gibi önlemleri içerir.
- Tespit Et: Bu kategori, güvenlik olaylarının nasıl tespit edilip izleneceğini tanımlar. Siber saldırıların erken tespitini, güvenlik olaylarının izlenmesini ve güvenlik duruşu değerlendirmelerini içerir.
- Yanıtla: Bu kategori, güvenlik olaylarına nasıl yanıt verileceğini ve yönetileceğini tanımlar. Olaylara hızlı müdahale, olay raporlama ve düzeltici eylemler gibi önlemleri içerir.
- Kurtarma: Bu kategori, güvenlik olaylarının etkilerini azaltmayı ve kuruluşun normal iş operasyonlarına dönmesini sağlamayı amaçlamaktadır. Buna veri yedekleme, sistem geri yükleme ve hizmet sürekliliği planlaması dahildir.
Uygulama ve Temel Özellikler
- NIST Siber Güvenlik Çerçevesi, Amerika Birleşik Devletleri’nde veya diğer ülkelerde doğrudan zorunlu bir kılavuz değildir.
- Ancak ABD hükümeti bunu federal kurumların siber güvenlik programlarını geliştirirken ve yönetirken kullanabilecekleri bir çerçeve olarak benimsemiştir.
- ABD dışındaki birçok ülke ve kuruluş da NIST Siber Güvenlik Çerçevesini kılavuz olarak kullanıyor.
- Dünyanın farklı yerlerindeki bazı kamu ve özel sektör düzenleyicilerinin bu çerçeveyi paydaşları için zorunlu hale getirmeleri ve buna dayalı denetimler yapmaları mümkün olabilir.
Diğer Önemli NIST Çerçeveleri
NIST SP 800-53 ve NIST Siber Güvenlik Çerçevesine ek olarak, NIST tarafından yayınlanan başka bilgi güvenliği çerçeveleri veya kılavuzları da vardır. En önemli bilgi güvenliği çerçevelerinin kısa ayrıntıları aşağıda listelenmiştir:
NIST SP 800-30: Risk Değerlendirmelerini Yürütme Kılavuzu
Kuruluşların bilgi teknolojisi sistemlerine yönelik riskleri belirlemesi, analiz etmesi ve yönetmesi için temel bir kılavuz.
NIST SP 800-171: Federal Olmayan Sistemlerde ve Kuruluşlarda Kontrollü Gizli Olmayan Bilgilerin Korunması
Federal hükümetle iş yapan veya hassas bilgileri federal hükümet tarafından işlenen kuruluşlar için özel bilgi güvenliği gereksinimlerini ve kontrollerini tanımlar.
NIST SP 800-137: Federal Bilgi Sistemleri ve Kuruluşları için Bilgi Güvenliği Sürekli İzleme (ISCM)
Sürekli bilgi güvenliği takibi için bir çerçeve sağlar. Kuruluşların tehdit ve risklere ilişkin farkındalık yaratmasına, güvenlik kontrollerinin etkinliğini izlemesine ve gerektiğinde değişiklik yapmasına yardımcı olmayı amaçlamaktadır.
NIST SP 800-61: Bilgisayar Güvenliği Olayını Ele Alma Kılavuzu
NIST SP 800-61, bilgi güvenliği olaylarına nasıl müdahale edileceğinin, tespit edileceğinin ve bunlara nasıl yanıt verileceğinin ayrıntılarını verir. Bilgisayar güvenliği olaylarını etkili bir şekilde yönetmek isteyen kuruluşlara yol gösteren kapsamlı bir kaynaktır.
Ürün Güvenliği Standartları
Ortak Kriterler
Ortak Kriterler (CC), BT ürünlerinin güvenlik değerlendirmesi ve sertifikasyonu için uluslararası bir standarttır. Tüm bilişim ürün gruplarında geçerli olması ve başta ABD ve Avrupa Birliği ülkeleri olmak üzere dünya genelinde 31 ülkede geçerli olması bu standardı oldukça önemli kılmaktadır.
Bu standart, ABD (TCSEC), Kanada (CTCPEC) ve Avrupa (ITSEC) güvenlik standartlarının ortak bir tahtada birleştirilmesinden dolayı yüksek derecede geçerliliğe sahiptir.
Ortak Kriterler standardı ilk olarak 1994 yılında yayınlanmıştır. 1999 yılında ISO/IEC 15408 koduyla ISO standardı haline gelmiştir. Standardın son versiyonu 2022 yılında yayımlanmıştır. Güncel belgelere resmi portaldan ( www. commoncriteriaportal.org ).
Yapı ve İçerik
Ortak Kriterler standardı, BT ürünlerine yönelik uluslararası bir güvenlik analizi ve sertifikasyon standardıdır. Ancak standart, ürünlerin sahip olması gereken niteliklerin teknik bir tanımını yapmamaktadır. Bunun yerine, güvenliği değerlendirilen ürün için geliştiriciden öncelikle ürünün varlıklarını, varsayımlarını, politikalarını ve potansiyel tehditlerini tanımlaması istenir. Daha sonra bu tehditlere karşı ürünün sağlamayı vaat ettiği hedefler ve güvenlik fonksiyonları tanımlanmalıdır.
Bu bağlamda geliştirici (ürün sahibi), ürünü ve belgelerini aşağıdaki yönergeleri kullanarak hazırlar.
- Bölüm 1-Giriş ve Genel Model: Ortak Kriterlerin girişini ve temel modelini anlatmaktadır.
- Bölüm 2-Güvenlik Fonksiyonel Gereksinimleri: Ürün güvenlik fonksiyonlarının standardın belirlediği yapıda nasıl ifade edileceğini gösterir.
- Bölüm 3-Güvenlik Güvencesi Gereksinimleri: Ürün için ideal güvenlik düzeyini tanımlar. Ayrıca yapılması gereken teknik ve dokümantasyon hazırlıklarını da tanımlar.
Ürün güvenliğinin değerlendirilmesinde Ortak Kriterler Değerlendirme Metodolojisi kullanılmaktadır.
Uygulama ve Önem
- Ortak Kriterler dünyada 31 ülke tarafından tanınmaktadır. Bunlardan 18 ülke sertifika düzenleyebilen Sertifika Yetkilendirme Üyesidir. (Listenin tamamını www.commoncriteriaportal.org adresinden görebilirsiniz )
- Akredite laboratuvarlar, ürünlerin Ortak Kriterlere göre güvenlik değerlendirmesini yapmaktadır. Nihai sertifika, her ülkede belirli bir Sertifikasyon Otoritesi tarafından verilir.
- Laboratuvarların belirlenmesi ve akreditasyonu da Sertifikasyon Otoritesi tarafından yürütülmektedir.
- Sertifika Yetkilisi olan bir ülke tarafından verilen sertifikalar diğer 31 ülkede geçerli kabul edilir.
- Sertifikalı ürünler “ www.commoncriteriaportal.org ” adresinde tüm dünyanın bilgisine sunulmaktadır .
FIPS140
FIPS 140 (Federal Bilgi İşleme Standardı), kriptografik modüller için güvenlik koşullarını ve kontrol gereksinimlerini tanımlamak üzere NIST tarafından geliştirilen bir standarttır. Şifreleme işlevlerini içeren tüm BT ürünleri kapsam dahilindedir.
Standardın FIPS 140-1 olarak da bilinen ilk versiyonu 11 Ocak 1994’te yayınlandı. 25 Mayıs 2001’de ise daha sıkı güvenlik gereklilikleri ve testleri içeren FIPS 140-2 yayınlandı. FIPS 140-2, birçok ülke ve kuruluş tarafından benimsenen ve kullanılan, en yaygın kullanılan FIPS 140 standardıdır.
2012 yılında ISO, FIPS 140 standardından ilham alan Şifreleme Modülleri için ISO/IEC 19790:2012 Güvenlik Gereksinimlerini yayınladı. Ayrıca bu standardın uygulanması için ISO/IEC 24759:2017 Kriptografik Modüller için Test Gereksinimleri geliştirilmiştir.
FIPS 140’ın güncel versiyonu FIPS 140-3’tür. FIPS 140-3, ISO/IEC 19790:2012 standardına atıfta bulunur ve ayrıntılı teknik içerik içermez.
FIPS 140-3, NIST platformunda ( www.nist.gov ) mevcuttur. Referans verilen ISO/IEC 19790 ve ISO/IEC 24759 standartları ISO platformunda ( www.iso.org ) mevcuttur.
Yapı ve İçerik
FIPS 140 standardı (ISO/IEC 19790’daki en son versiyona atıfta bulunarak), kriptografik modüllerin güvenliğine yönelik 12 başlık altında güvenlik gereksinimlerini belirtir.
Ayrıca 4 farklı güvenlik seviyesini de belirtir. Güvenlik seviyesine göre 12 başlık altındaki güvenlik gereksinimlerinden ne kadarının uygulanacağı belirlenir.
Aşağıda mevcut FIPS 140 standardı FIPS 140-3’ü temel alan 12 konu yer almaktadır:
Uygulama ve Önem
- FIPS 140, Amerika Birleşik Devletleri’ndeki federal kurumlar tarafından kullanılan veya satın alınan tüm şifreleme modüllerinin belirli güvenlik gereksinimlerini karşılaması ve sertifikalı olması gerektiğini belirtir.
- Ancak FIPS 140’ın uygulanması ve zorunlu olup olmadığı federal kurumlar ve federal yükleniciler arasında farklılık gösterebilir.
- Kapsamlı FIPS 140 güvenlik analizleri çeşitli ülkelerdeki NIST akreditasyonuna sahip laboratuvarlar tarafından yürütülmektedir.
BT Yönetişim Çerçeveleri
COBIT
COBIT (Bilgi ve İlgili Teknolojiler için Kontrol Hedefleri), bilgi teknolojisi ve iş süreçlerini yönetmeye yönelik bir çerçevedir. Kuruluşların bilgi teknolojisini etkili bir şekilde yönetmelerine yardımcı olmak için bir dizi en iyi uygulamaları ve kontrol hedeflerini sağlar.
İlk olarak Bilgi Sistemleri Denetim ve Kontrol Derneği (ISACA) tarafından 1996 yılında yayımlanmıştır. En son versiyonu ise 2019 yılında yayınlanan COBIT 2019’dur.
Güncel COBIT kılavuzlarına resmi ISACA web sitesinden ( www.isaca.org ) ulaşılabilir . Metodolojiyi temel düzeyde anlatan “COBIT 2019 Çerçevesi: Giriş ve Metodoloji” kaynağı ücretsiz olarak, diğer rehberler ise ücretli olarak sunulmaktadır.
Yapı ve İçerik
COBIT Çerçevesinin (COBIT 2019) temel bileşenleri aşağıdaki gibidir:
- Genel Çerçeve: COBIT 2019’un temel çerçevesi, kuruluşların BT hizmet yönetimi süreçlerini ve yönetişimini anlamalarına yardımcı olur. Bu çerçeve, kuruluşların BT hizmetlerini stratejik hedeflerle uyumlu hale getirmesine yardımcı olur.
- İlkeler : COBIT 2019, kuruluşlara BT hizmet yönetimi ve yönetişimine ilişkin temel ilkeleri sağlar. Bu ilkeler, kuruluşlara BT hizmetlerinin etkin yönetimi için rehberlik sağlar.
- Yönetişim Sistemi ve Bileşenleri: Bir kuruluşun BT hizmet yönetimi ve yönetişimi için gerekli olan yönetişim yapısını ve bileşenlerini açıklar.
- Performans Yönetimi: COBIT 2019, kuruluşların BT hizmetlerinin performansını izlemesine, ölçmesine ve iyileştirmesine yardımcı olur.
Bu bileşenler arasında “Yönetişim Sistemi ve Bileşenleri” kapsamındaki kontrol hedefleri, kuruluşların BT hizmetlerini güvende tutmasına ve etkin bir şekilde yönetmesine yardımcı olur. Bu kontrol hedefleri COBIT kapsamında BT yönetişiminin en kritik parçasıdır.
Uygulama ve Temel Özellikler
- Bazı kamu ve özel sektör düzenleyicileri bu çerçevenin ve ilgili denetimlerin uygulanmasını zorunlu kıldığından, özellikle Bilgi Teknolojileri Yönetimi ve BT Hizmet Yönetimi ile ilgilenen kuruluşlar için kuruluşların COBIT çerçevesine göre denetlenmesi ve sertifikalandırılması yaygın bir uygulamadır.
- COBIT çerçevesi aracılığıyla organizasyonel süreçlerin iyileştirilmesi ve denetimlerin yapılması özellikle finansal kurumlar için yaygındır.
- Profesyoneller COBIT ISACA’da sertifika alabilir ve akredite kuruluşları bireylere yönelik sertifika programları sunmaktadır. Bu programlar bireylerin COBIT’i uygulayabilecek bilgi ve beceriye sahip olmalarını sağlamak amacıyla tasarlanmıştır.
ITIL
ITIL, Bilgi Teknolojisi Altyapı Kütüphanesi anlamına gelir ve bilgi teknolojisi (BT) hizmetlerini yönetmek için bir çerçeve ve en iyi uygulamalar kümesi sağlar. BT hizmetlerinin tasarımı, teslimatı, bakımı ve iyileştirilmesi için bir yol haritası sağlar.
ITIL ve COBIT sıklıkla birlikte kullanılır ancak odak noktaları farklıdır.
ITIL büyük ölçüde BT hizmet yönetimine odaklanırken, COBIT stratejik olarak kuruluşların hem iş süreçlerine hem de bilgi teknolojilerine odaklanır. COBIT, kontrol hedefleri aracılığıyla bir iyileştirme yaklaşımını takip ederken, ITIL, hizmet/süreç tasarımı ve yönetimi yoluyla iyileştirme sağlamayı amaçlamaktadır.
ITIL’in ilk versiyonu 1989 yılında yayınlanmıştır. Güncel versiyonu ise 2022 yılında yayınlanacak olan ITIL 4’tür.
Şu anda (2023) AXELOS, ITIL belgelerinin ve sertifikasyonlarının geliştirilmesi için yetkili kuruluştur. ITIL yönergeleri dünya çapında AXELOS ve yetkili ortakları aracılığıyla mevcuttur.
Yapı ve İçerik
ITIL çerçevesi, BT süreçlerinin tasarımını iyileştirmek için bir dizi kılavuz sağlar. Aşağıda gösterildiği gibi, çerçevede ortaya konulan ‘Dört Boyut Modeli’ne dayalı olarak kuruluşların daha iyi hizmet değeri sunma yeteneklerini geliştirmelerine yardımcı olur.
Uygulama Temel Özellikleri
- Genellikle kuruluşlar ITIL çerçevesine göre denetlenmez ve sertifikalandırılmaz. Ancak bazı kamu ve özel sektör düzenleyicileri, bu çerçeveyi paydaşlarının bu çerçeveye göre uygulamasını ve denetlemesini zorunlu hale getirebilir.
- ISO, ITIL çerçevesini temel alarak “ISO/IEC 20000-1 Bilgi Teknolojisi – Hizmet Yönetimi” standardını yayınlamıştır. Kuruluşlara yönelik ITIL tabanlı denetimler ve sertifikalar çoğunlukla bu standarda göre yürütülmektedir.
- Öte yandan bireylerin sertifika alması çok daha yaygındır. Bireyler, AXELOS ve akredite olduğu kurumlar aracılığıyla “Temel”den “Yüksek Lisans” seviyesine kadar sertifikalar alarak yeterliliklerini kanıtlayabilirler.
COSO
COSO (Treadway Komisyonu Sponsor Kuruluşları Komitesi), 1985 yılında Amerika Birleşik Devletleri’nde kurulmuş, iç kontrol, risk yönetimi ve kurumsal yönetim alanlarında standartlar ve rehberlik sağlayan bir kuruluştur.
COSO’nun en yaygın olarak tanınan ve kullanılan çerçevesi, 1992 yılında yayınlanan “COSO İç Kontrol-Bütünleşik Çerçeve”dir. Bu çerçeve, bilgi güvenliği gereksinimlerine ilişkin özel bir rehberlik içermez.
Ancak söz konusu çerçevede geliştirilen COSO Kurumsal Risk Yönetimi Çerçevesi, bilgi güvenliği risk yönetimi açısından önemli bir referans olarak kabul edilmektedir.
COSO Kurumsal Risk Yönetimi Çerçevesi ve ilgili kılavuz belgelere resmi web sitesinden (www.coso.org) ulaşılabilir .
Yapı ve İçerik
COSO çerçevesinde bilgi güvenliğine yönelik ana kılavuz “Kurumsal Risk Yönetimi Çerçevesi”dir.
Kurumsal Risk Yönetimi Çerçevesi 5 ana bileşen ve bunların altında yer alan ilkelerden oluşmaktadır.
Uygulama ve Temel Özellikler
- COSO çerçevesinin uygulanması herhangi bir kuruluş veya sektör için zorunlu değildir. Kullanımı kuruluşun ihtiyaçlarına ve yerel düzenlemelere bağlı olarak değişebilir.
- Ancak bazı kamu ve özel sektör düzenleyicilerinin bu çerçeveyi paydaşları için zorunlu hale getirmesi ve buna yönelik denetim yapması mümkün olabilir.
Test ve Analiz Odaklı Kılavuzlar
ISSAF Metodolojisi
ISSAF, Bilgi Sistemleri Güvenlik Değerlendirme Çerçevesi’nin kısaltmasıdır. ISSAF Metodolojisi, bilgi sistemlerinin güvenlik değerlendirmelerini ve testlerini yürütmeye yönelik bir metodoloji ve çerçevedir. Bu metodoloji, güvenlik profesyonellerine bilgi sistemlerinin güvenliğini değerlendirmek, test etmek ve güçlendirmek için kullanabilecekleri bir kılavuz sağlar.
ISSAF Metodolojisi, Açık Bilgi Sistemleri Güvenlik Grubu (OISSG) tarafından 2006 yılında yayımlanmıştır. Taslak olarak yayınlanmış olmasına rağmen bu versiyon oldukça kapsamlıdır.
OISSG grubu ve ISSAF Metodolojisi sonraki yıllarda orijinal kapsamıyla ayrıntılı olarak çalışmaya devam edemedi. Ancak kılavuzdaki penetrasyon testi adımları günümüzde hala temel penetrasyon testi metodolojisi olarak kabul edilmektedir.
Açık Bilgi Sistemleri Güvenlik Grubu (OISSG) artık aktif olmadığından ISSAF Metodolojisi için resmi bir dağıtım noktası bulunmamaktadır. Ancak internette taslak versiyonları mevcut. (Kaynak: https://untrustednetwork.net/files/issaf0.2.1.pdf)
Yapı ve İçerik
ISSAF kılavuzu, 1000 sayfanın üzerinde çok kapsamlı teknik bir kılavuzdur. Ancak onu değerli kılan şey, penetrasyon testi ve güvenlik analizi yaygın olarak kullanılmadan önce ayrıntılı ve rasyonel bir süreci tanımlamış olmasıdır.
ISSAF, sızma testi ve güvenlik analizi çalışmalarını 3 aşamalı bir yapıya ayırmıştır:
- Aşama I: Planlama ve Hazırlık
- Aşama II: Değerlendirme
- Aşama III: Raporlama
Her aşamada gerçekleştirilecek adımlar aşağıda sıralanmıştır:
Uygulama ve Önemli Noktalar
- ISSAF, herhangi bir kuruluş veya otorite tarafından zorunlu kılınan veya denetlenen/sertifikalanan bir kılavuz değildir.
- Ancak sızma testi ve güvenlik analizi süreçlerinde uygulanacak adımların temel referansı olduğundan resmi olmayan bir gereklilik olarak da değerlendirilebilir.
OWASP Test Kılavuzu
OWASP (Açık Web Uygulama Güvenliği Projesi), siber güvenlik açıklarını önlemeye ve azaltmaya yönelik açık kaynaklı bir topluluk projesidir. En yaygın web uygulaması güvenlik risklerini vurgulayan periyodik “OWASP İlk On” listesiyle tanınır.
Ancak OWASP’ın çalışmaları OWASP Top Ten listesiyle sınırlı değil. Özellikle uygulamaların test edilmesi amacıyla yayınlanan OWASP Test Kılavuzu bilgi güvenliği alanında ciddi bir boşluğu doldurmaktadır.
OWASP Test Kılavuzu, güvenlik açıklarına yönelik kapsamlı çözümler de dahil olmak üzere, web uygulaması güvenlik açıklarını tespit etmek ve düzeltmek için kullanılan teknikler, araçlar ve en iyi uygulamalar hakkında ayrıntılı bilgi sağlar.
OWASP Test Kılavuzunun güncel sürümü 4.2’dir. Kılavuz ve eklerine projenin resmi web sitesinden (www.owasp.org) ve resmi Github sayfasından ( www.owasp.org ) ulaşılabilir.
Yapı ve İçerik
OWASP Test Kılavuzu, ilk 3 bölümünde uygulama testine giriş ve çerçeve sağlar. Kılavuzun ana kısmı testlerle ilgili konuları kapsayan Bölüm 4’tür.
4. Bölüm aşağıdaki alt başlıklardan oluşmaktadır:
- 4.0 Giriş ve Amaçlar
- 4.1 Bilgi Toplama
- 4.2 Yapılandırma ve Dağıtım Yönetimi Testi
- 4.3 Kimlik Yönetimi Testi
- 4.4 Kimlik Doğrulama Testi
- 4.5 Yetki Testi
- 4.6 Oturum Yönetimi Testi
- 4.7 Giriş Doğrulama Testi
- 4.8 Hata İşleme Testi
- 4.9 Zayıf Şifreleme Testi
- 4.10 İş Mantığı Testi
- 4.11 İstemci Tarafı Testi
- 4.12 API Testi
Uygulama ve Önemli Noktalar
- “OWASP Test Kılavuzu” herhangi bir kurum veya otorite tarafından zorunlu veya denetlenmemiş/sertifikalı değildir.
- Ancak “Uygulama Sızma Testi ve Güvenlik Analizi” için bir referanstır.
- Bu kapsamda “Uygulama Sızma Testleri ve Güvenlik Analizleri” hizmeti alanlar ve müşteriler, testlerde bu kılavuzun referans alınmasını beklemektedir. Bu durum, dokümantasyona dayanmasa bile kılavuzun uygulanması zorunluluğunu doğurmaktadır.
BDT Kontrolleri
CIS (İnternet Güvenliği Merkezi), İnternet güvenliği alanında çalışan ve çeşitli güvenlik standartları ve yönergeleri oluşturan bir kuruluştur. Amerika Birleşik Devletleri merkezli CIS, bilgi güvenliği ve siber güvenlik alanında gerekli kaynakları, yönergeleri ve en iyi uygulamaları sağlar. 2000 yılında kamu kurumlarının desteği ve birçok özel firmanın katılımıyla kurulmuştur.
“CIS Kontrolleri”, bilgi sistemlerini iyileştirmeye yönelik kontroller ve en iyi uygulamalara ilişkin bir kılavuzdur.
“CIS Controls, ilk olarak 2008 yılında bilgi güvenliği eğitim ve sertifikasyon hizmetleri veren SANS Institute tarafından geliştirilip yayınlandı. Bu nedenle uzun yıllar “SANS Top 20” olarak adlandırıldı.
Ancak kılavuz şu anda CIS tarafından muhafaza edilmekte ve geliştirilmektedir.
CIS kontrollerinin en son sürümü, v8 ve ilgili belgeler, kuruluşun web sitesinden ( www.cis.org ) ücretsiz olarak edinilebilir.
Yapı ve İçerik
BDT kontrolleri temel olarak 18 ana başlıktan oluşmakta olup, bunların altında 134 kontrol noktası dağıtılmaktadır. Kontrol noktaları teknik gereksinimleri içerir.
BDT kontrollerinden bazıları yüksek düzeyde altyapı ve maliyet gerektirir. Bu nedenle tüm BDT kontrollerinin tüm kuruluşlarda uygulanması mümkün değildir. CIS kontrollerinin uygulanmasını optimize etmek için bir CIS kontrolleri gruplaması yapılmış ve 3 farklı Uygulama Grubu (IG) belirlenmiştir. IG1 kuruluşlarının sınırlı sayıda kontrol uygulaması önerilirken, IG2 kuruluşlarının daha fazla kontrol uygulaması gerekmektedir. Bir IG3 organizasyonu durumunda tüm kontrollerin uygulanması beklenmektedir.
Uygulama ve Önemli Noktalar
- CIS kontrolleri, ISO 27001 gibi kapsamlı standardizasyon ve süreç çalışmalarını tercih etmeyen kuruluşlar için oldukça faydalı bir kontrol listesidir.
- Ayrıntılı süreç tanımları ve dokümantasyon gerektirmediğinden, CIS kontrolleri özellikle BT uzmanları tarafından oldukça değer verilmekte ve tercih edilmektedir.
- Ancak BDT kontrolleri ABD dahil hiçbir ülkede zorunlu değildir. Ancak çeşitli kurum ve şirketler paydaşlarından BDT kontrollerini uygulamalarını ve bu kontrollere dayalı denetimler yapmalarını talep edebilmektedir.
MITRE ATT&CK Çerçevesi
MITRE Corporation, 1958 yılında Amerika Birleşik Devletleri’nde kurulmuş özel bir araştırma kuruluşudur. Federal hükümete ve diğer kamu kurumlarına bilgi güvenliği, siber güvenlik, savunma teknolojileri, sağlık hizmetleri, hava trafik yönetimi alanlarında araştırma, danışmanlık ve mühendislik hizmetleri sağlar. , Ve bircok digerleri.
MITRE ATT&CK Çerçevesi ilk olarak MITRE Corporation tarafından 2013 yılında geliştirildi. “ATT&CK”, “Düşman Taktikleri, Teknikleri ve Ortak Bilgi” anlamına gelir. Çerçeve, siber güvenlik topluluğunun siber saldırganların kullanabileceği saldırı yöntemlerini anlamasına ve savunma stratejileri geliştirmesine yardımcı olmak için tasarlandı. Her taktik ve teknik, siber saldırganların nasıl çalıştığını anlamak ve savunmayı buna göre uyarlamak için kullanılır.
MITRE ATT&CK Çerçevesi, saldırı teknikleri geliştikçe sıklıkla güncellenmektedir. Çerçeveye ve en son sürüm bilgilerine resmi web sitesinden ( https://attack.mitre.org/ ) ulaşılabilir .
Yapı ve İçerik
MITRE ATT&CK Çerçevesi “Taktikler”, “Teknikler” ve bunlar arasındaki ilişkiyi tanımlayan bir matris çerçevesidir.
Taktikler: Taktikler, siber saldırganların genel amaç ve hedeflerini tanımlar. Örneğin, ilk erişim, yükseltme ve kalıcılık.
Teknikler: Teknikler, siber saldırı taktiklerinin nasıl uygulanabileceğini ayrıntılı olarak açıklar. Her taktiğin farklı teknikleri vardır. Örneğin Kimlik Bilgisi Erişimi için Brute Force ve Phishing gibi farklı teknikler kullanılabilir.
Uygulama ve Önemli Noktalar
- MITRE ATT&CK Çerçevesi zorunlu bir kılavuz değildir. Ancak siber güvenlik uzmanları için iyi bir referanstır.
- Siber güvenliğin saldırgan tarafındaki uzmanlar, çerçevenin taktiklerini ve tekniklerini kuruluşlara karşı gerçek dünya senaryoları geliştirmek için kullanabilir.
- Savunma tarafındaki uzmanlar, bir kuruluş içindeki saldırıları simüle etmek için çerçevenin taktiklerini ve tekniklerini kullanabilir. Bu simülasyonlar, organizasyonun savunmasının gerçek dünya senaryolarına karşı ne kadar etkili olduğunu test etmelerine yardımcı olacak.
Veri Gizliliği Düzenlemeleri
Gizlilik, bireyleri kişisel bilgi ve verilerinin izinsiz toplanmasından, kullanılmasından veya ifşa edilmesinden koruyan temel bir insan hakkıdır. Kişinin özel hayatının gizliliği ve kişisel veriler üzerindeki kontrolü mahremiyetin temelinde yer almaktadır.
Gizlilik sıklıkla gizlilik veya güvenlikle karıştırılır.
Gizlilik, kişisel bilgilerin yetkisiz toplanmasına, kullanılmasına veya ifşa edilmesine karşı korumaya odaklanır. Öte yandan güvenlik daha geniş bir kavramdır ve kişisel veya kişisel olmayan bilgilerin zararlı tehditlerden, siber saldırılardan veya yetkisiz erişimden korunmasını içerir. Güvenlik aynı zamanda yalnızca gizliliğe (açıklamaya) değil, bütünlüğe ve kullanılabilirliğe de odaklanır.
Gizlilik, bilgi güvenliğinden sonra gündeme gelen bir konudur. Kişisel verilere yönelik tehditlerin artması, bu verilerin BT altyapılarında kimlik doğrulama amacıyla kullanılması ve kişisel verilerin sosyal medya aracılığıyla çok aktif bir şekilde dolaşması nedeniyle son yıllarda gizlilik konusu hızla gündeme geldi.
Bu ders bilgi güvenliğinin bir parçası olarak gizlilik düzenlemelerini kapsamaktadır.
GDPR
GDPR veya Genel Veri Koruma Yönetmeliği, Avrupa Birliği’nde (AB) veri koruma ve gizliliği düzenleyen bir dizi yasa ve düzenlemedir. GDPR 25 Mayıs 2018’de yürürlüğe girdi. Yalnızca AB merkezli kuruluşları değil, AB ülkeleriyle iş yapan veya AB vatandaşlarının kişisel verilerini işleyen kuruluşları da etkiliyor.
GDPR, kişisel verilerin gizliliğine ilişkin konuları bir bütün olarak kapsadığı için çok önemli bir düzenlemedir. Tüm Avrupa Birliği ülkeleri tarafından kabul edilen ortak bir standart olması ve düzenlemeyi tanımlayan ve uygulayan ülkelerin dünyada ekonomik ve politik olarak etkili ülkeler olması, GDPR’yi en önemli gizlilik düzenlemesi haline getirmektedir.
Ana GDPR belgesi ve ek kaynak belgeler, düzenlemenin resmi web sitesinde ( https://gdpr.eu/ ) ücretsiz olarak mevcuttur.
Yapı ve İçerik
GDPR ana metinden ve ilgili yönergelerden ve talimatlardan oluşur. Bu belgelerde bilgi güvenliğinin sağlanmasına yönelik hukuki, idari, prosedürsel ve teknik gereklilikler yer almaktadır.
Ayrıca GDPR’ye göre alınan kararlar da düzenlemenin uygulanmasına kaynak teşkil ediyor.
ABD ve Gizlilik Düzenlemeleri
ABD’de gizlilik düzenlemeleri esas olarak Dördüncü Değişiklik’e dayanmaktadır.
Dördüncü Değişiklik, Amerika Birleşik Devletleri Anayasasının bireyleri keyfi arama ve el koymalardan koruyan bir parçasıdır.
Bunu , kişisel bilgilerin federal kurumlar tarafından toplanmasını, saklanmasını ve kullanılmasını düzenleyen 1974 Gizlilik Yasası izledi .
Ancak federal düzeyde gizlilikle ilgili GDPR benzeri bir düzenleme bulunmuyor; bunun yerine sorun eyalet düzeyindeki bazı yasalarla ele alınıyor.
Ayrıca mahremiyeti bir bütün olarak ele almasa da farklı alan ve kapsamlarda düzenlemeler bulunmaktadır.
Bu düzenlemeler çeşitli bilgi güvenliği ve gizlilik gereklilikleri içermesine rağmen “bilgi güvenliği çerçevesi” olarak değerlendirilebilecek bir rehberlik sağlamamaktadır. En alakalı olanları aşağıda kısaca listelenmiştir:
- Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası (HIPAA): HIPAA, sağlık sektöründe kişisel sağlık bilgilerinin (PHI) güvenliğini ve gizliliğini düzenler.
- Ekonomik ve Klinik Sağlık için Sağlık Bilgi Teknolojisi (HITECH): HITECH, Amerika Birleşik Devletleri’nde sağlık sektöründe bilgi teknolojisi ve elektronik sağlık kayıtlarının (EHR) geliştirilmesi, benimsenmesi ve korunması amacıyla oluşturulmuş bir yönetmeliktir.
- Gramm-Leach-Bliley Yasası (GLBA): GLBA, finansal kuruluşların müşterilerinin kişisel finansal bilgilerini koruma sorumluluğunu düzenler.
- Çocukların Çevrimiçi Gizliliğini Koruma Yasası (COPPA): COPPA, 13 yaşın altındaki çocukların çevrimiçi gizliliğini korur. Bu yasa, çocukların çevrimiçi olarak toplanan kişisel bilgilerinin gizliliğini ve güvenliğini sağlamaya yöneliktir.
- Adil Kredi Raporlama Yasası (FCRA): FCRA, tüketici kredi raporlarının doğru ve gizli kullanımını düzenler. Bu yasa tüketici kredi bilgilerinin gizliliğini korur.
- Aile Eğitim Hakları ve Mahremiyeti Yasası (FERPA): FERPA, eğitim kayıtlarının gizliliğini korur ve öğrenci bilgilerinin ifşa edilmesini düzenler.
- Kolluk Kuvvetlerine Yönelik İletişim Yardımı Yasası (CALEA): CALEA, iletişim hizmeti sağlayıcılarının iletişimleri izleme taleplerine nasıl yanıt vereceğini düzenler ve kullanıcı gizliliğini korur.
Finans Sektörüne Özel Standartlar
PCI DSS
PCI DSS (Ödeme Kartı Sektörü Veri Güvenliği Standardı), kredi kartı işlemlerini gerçekleştiren şirketlerin müşteri kartı verilerini korumak ve güvenliğini sağlamak için tasarlanmış bir bilgi güvenliği standardıdır.
PCI DSS, büyük kredi kartı şirketlerinin (Visa, MasterCard, American Express, Discover ve JCB) bir araya gelip ödeme kartı güvenliğini iyileştirmek için bir standart oluşturması gerektiğinde başlatıldı. İlk olarak 2004 yılında ortak bir girişim olarak başlatılmış ve PCI DSS sürüm 1.0 2006 yılında yayınlanmıştır. Standardın güncel sürümü ise 12 Mayıs 2022 tarihinde yayınlanan PCI DSS v4.0’dır.
PCI DSS standartlarına erişim, resmi web sitesi ( www.pcisecuritystandards.org ) aracılığıyla ücretsizdir .
İçerik ve Yapı
PCI DSS standardı, ödeme kuruluşlarının bilgi güvenliğini sürdürmek için karşılaması gereken bir dizi teknik gereksinimi belirler.
Ayrıca bilgi güvenliği için belirli aralıklarla ‘zafiyet taraması’ gibi ek test ve kontrol süreçlerine ilişkin gereksinimleri de belirler.
Uygulama ve Önemli Noktalar
PCI DSS, ödeme kartı verilerini işleyen veya saklayan tüm işletmeler ve hizmet sağlayıcıların uyması gereken bir standarttır. Buna perakendeciler, e-ticaret şirketleri, finans kurumları ve ödeme kartlarıyla (kredi kartları, banka kartları vb.) ilgilenen tüm benzer işletmeler dahildir.
PCI DSS denetimleri, Ödeme Kartı Sektörü Güvenlik Standartları Konseyi (PCI SSC) tarafından akredite edilen bağımsız denetim firmaları tarafından gerçekleştirilmektedir. Bu denetim firmaları, kuruluşun PCI DSS standartlarına uygunluğunu değerlendirir ve bulgularını bir raporda sunar.
Uygulamada her kuruluş bu denetimlere katılmak yerine, denetimleri başarıyla geçen tedarikçilerin uç nokta altyapılarını kullanıyor. Örneğin bir restoran, PCI denetimlerinden geçmiş ödeme altyapılarını ve satış noktası cihazlarını kullanarak işini yürütecektir.
SOC-2
SOC-2 (Hizmet Organizasyonu Kontrolü 2), Amerika Birleşik Devletleri’ndeki AICPA (Amerikan Yeminli Mali Müşavirler Enstitüsü) tarafından geliştirilen bir uyumluluk denetim standardıdır.
SOC-2, dış denetçiler tarafından hizmet sağlayıcıların (bulut hizmet sağlayıcıları, veri merkezleri, SaaS sağlayıcıları vb.) iş süreçlerini ve kontrollerini değerlendirmek için kullanılır. Bu değerlendirme, hizmet sağlayıcıların veri güvenliği, gizlilik ve iş sürekliliği sorunlarını ele alma ve bunlara uyma konusunda ne kadar etkili olduklarını göstermeye yardımcı olur.
SOC-2 standardına ilişkin kılavuzlar ilk olarak 2010 yılında yayınlanmış ve o tarihten bu yana denetimlerde kullanılmaktadır.
İlgili kılavuz dokümanların en son versiyonlarına Amerikan Yeminli Mali Müşavirler Enstitüsü’nün (AICPA) web sitesinde ( www.aicpa-cima.com ) ulaşılabilir.
Yapı ve İçerik
SOC 2 denetimleri, “Güven Hizmetleri Kriterleri” adı verilen temel kontrol hedeflerine göre gerçekleştirilir. Bu kontroller SOC 2 Kontrol Hedefleri ve Kontrol Soruları kılavuzunda yer almaktadır.
Güven Hizmetleri Kriterlerinin ana kategorileri ve her birinin kısa açıklaması aşağıda listelenmiştir:
- Güvenlik: Fiziksel güvenlik, mantıksal erişim kontrolü, iş sürekliliği ve felaket kurtarma önlemleri dahil olmak üzere bir hizmet sağlayıcının bilgi sistemleri ve verilerinin güvenliğini korumaya odaklanır.
- Gizlilik: Kişisel bilgilerin toplanması, kullanılması, saklanması ve iletilmesini ele alır ve izinleri, şeffaflığı ve kişisel bilgilere yetkisiz erişimin önlenmesini sağlamayı amaçlar.
- Gizlilik: Hassas veri ve bilgilerin korunmasını ve yetkisiz erişimin önlenmesine yönelik önlemleri içerir.
- Erişilebilirlik: Kesintisiz hizmet sunmayı ve hizmet kesintilerini en aza indirmeyi amaçlar; hizmet sürekliliği planlamasını ve yedekleme prosedürlerini içerir.
- İşleme Bütünlüğü: İş sürekliliği planlamasının, risk yönetiminin, olaylara müdahalenin ve iş sürekliliği süreçlerinin etkinliğini değerlendirir.
Uygulama ve Önemli Noktalar
- SOC-2 denetimleri kuruluşlar için zorunlu değildir ve bağımsız AICPA akreditasyonuna sahip muhasebe firmaları tarafından yürütülür.
- SOC-2 standartlarının bir finansal kuruluş tarafından yayınlanmış olması, SOC-2 denetimlerinin yalnızca finansal kuruluşları ilgilendirdiğini düşündürebilir. Durum böyle değil ve tüm sektörlerden kuruluşlar bilgi güvenliği yeterliliklerini SOC-2 denetimleri aracılığıyla ortaya koyabilirler.
- Benzer şekilde denetimlerin yalnızca finansal verilere odaklandığını düşünebilirsiniz. Tekrar ediyorum, durum böyle değil. SOC-2 denetimi, kuruluş tarafından tutulan tüm hassas bilgilerin güvenliğini değerlendirir.
- SOC-2 denetimi sonucunda yayınlanan iki ana rapor türü vardır:
- SOC-2 Tip I Raporu: SOC-2 Tip I raporu, bir hizmet sağlayıcının belirli bir tarihteki güvenlik kontrollerinin tasarımını ve etkinliğini değerlendirir.
- SOC-2 Tip II Raporu: SOC-2 Tip II raporu, bir hizmet sağlayıcının belirli bir süre boyunca (genellikle 6 ila 12 ay) güvenlik kontrollerinin tasarımını ve etkinliğini değerlendirir.