KAMU KURUMLARINDA BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİNİN ÖNEMİ

5 Eylül 2018, Çarşamba

Bilginin gizliliği, bütünlüğü ve erişilebilirliğinin sağlanmasıyla gerçekleşen bilgi güvenliği, teknolojinin gelişmesiyle hayatımızın her alanında karşımıza çıkmaktadır. Hayatımızı kolaylaştıran gelişmeler bazı riskleri de beraberinde getirmektedir. Kimi zaman kişi ya da kurumları kimi zaman da toplumları hedef alan saldırılar ulusal güvenliğin sağlanması hususunda gerekli güvenlik önlemlerinin alınması sonucunu doğurmaktadır. Bu konuda ülkemizde çeşitli faaliyetler yürütülmektedir.

2016-2019 Ulusal Siber Güvenlik Stratejisi, Stratejik Siber Güvenlik Amaçları ve Eylemleri bölümünde her kurumun kendi bilgi güvenliği yönetim sürecini çalıştıracak yetkinliğe ulaşması, siber güvenlik konusunda kurum yöneticilerinin farkındalığının arttırılması konuları vurgulanmıştır.

Ayrıca, Ulaştırma, Denizcilik ve Haberleşme Bakanlığı 21 Haziran 2017 tarihinde KamuNet Ağına Bağlanma Ve KamuNet Ağının Denetimine İlişkin Usul ve Esaslar Hakkında Tebliğ yayımlamıştır. Tebliğde KamuNet’e dahil edilecek ve dahil olan kamu kurumlarının KamuNet’e bağlı bilgi ve iletişim sistemlerine ilişkin olarak karşılaması gereken asgari gereklilikler ile bu kurumların denetlenmesine ilişkin usul ve esaslar belirlenmiştir. Kamu kurumlarının BGYS kapsamındaki yükümlülükleri ve asgari gereksinimleri aşağıdaki maddeleri içermektedir: MADDE 4 – (1) Kamu kurumu, KamuNet’e ilişkin aşağıda yer alan asgari gereksinimleri karşılar ve kayıt altına alır:

a) KamuNet’e bağlantı yapacak birimlerini ve sistemlerini kapsayacak BGYS’sini kurar ve işletir,

b) Kurmuş olduğu BGYS için, TS ISO/IEC 27001 veya ISO/IEC 27001 standardına göre belgesini alır ve güncelliğini sağlar. Bu belgeleri, TS ISO/IEC 27001 veya ISO/IEC 27001 standardı kapsamında Türk Akreditasyon Kurumu tarafından akredite edilen belgelendirme kuruluşları veya Uluslararası Akreditasyon Forumu Karşılıklı Tanınma Antlaşmasında yer alan ulusal akreditasyon kurumlarınca akredite edilmiş belgelendirme kuruluşlarından temin eder,

c) Kurum yönetimi tarafından onaylanmış bilgi güvenliği yönetim sistemi politikasına uygun olarak KamuNet ile ilgili politika tanımlar, dokümante eder, ilgili çalışanlarının ve tarafların söz konusu politikaya ilişkin farkındalığını sağlar,

d) KamuNet’e dâhil olan birimlerinde çalışan personeline yönelik BGYS ile birlikte siber güvenlik de dâhil olacak şekilde bilgilendirme ve eğitimler verir. KamuNete dahil olma ve Ulusal Siber Güvenlik Stratejisi kapsamında, bilgi güvenliğini sağlamayı ve süreçleri disipline etmeyi amaçlayan uluslararası bir standart olan TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS) Standardının kamu kurumlarında kurulması ve işletilmesi gerekliliği belirtilmiştir. Güvenliğin sağlanabilmesi, süreç, teknoloji ve insan faktörüne bağlıdır. Kamu kurumlarında bilgi teknolojilerine yapılan yatırım, süreç iyileştirmeleri ve çalışanlara verilen eğitim ve kazandırılan tecrübe ile anlam kazanacaktır. %100 güvenliğin sağlanması mümkün değildir ancak BGYS’nin kamu kurumlarında uygulanmasıyla aşağıda belirtilen hususlar büyük ölçüde gerçekleştirilecektir:

  • Bilgi güvenliği politikaları, kural ve kısıtlarının belirlenmesi
  • Rol ve sorumlulukların net bir şekilde tanımlanması
  • Süreçlerde bilgi güvenliğine yönelik iyileştirmelerin yapılması
  • Kurumda üst yönetim ve son kullanıcılar da dahil olmak üzere bilgi güvenliği farkındalığının oluşturulması
  • Bilgi varlığı envanter listesinin oluşturulması, varlık değerlerinin belirlenmesi
  • Bilgi güvenliği risk değerlendirmesinin yapılması ve riskler yönetilebilir hele getirilmesi
  • Gerekli güvenlik kontrollerinin uygulanması
  • Doğru hedefler belirlenip doğru yatırımların yapılması
  • İç denetim ve güvenlik testlerinin yapılmasıyla süreç ve sistem güvenliğinin sağlanması
  • İş sürekliliğinin sağlanması
  • İlgili yasa ve düzenlemelere uyumun sağlanması
  • Kurumsal itibarın korunması, doğruluk, sorumluluk, inkar edememe ve güvenilirliğin sağlanması
  • Güvenlik olaylarına müdahale sürecinin belirlenmesi ve yönetilebilmesi.

Toplum olarak işimizi yaparken kurallara uymak, kısıtlanmak, doküman/kayıt üretmek, işi standardize etmek, denetlenmek gibi konularda bazı sıkıntılarımız vardır. Amiyane tabirle “kağıt kürek işlerinden” de pek hoşlanılmaz ve bu noktada kurumlarda uygulanmaya çalışılan bir BGYS varsa direnç gösterilmesi kaçınılmaz olmaktadır. Bu gibi nedenlerden ötürü, üst yönetimin desteği ve liderliği, Bilgi Güvenliği Yönetim Sisteminin kurulması ve işletilmesinde en önemli başarı faktörü haline gelmektedir. Üst yönetimin çalışmaları benimsemesi ve desteklemesi, çalışanlar tarafından gerekli zamanın ayrılması ve özenin gösterilmesi konularında çok büyük katkı sağlamaktadır, aksi takdirde başarısızlıkla sonuçlanmaktadır.

Arama
Ara
Kategoriler
Havelsan
AÇIKLAB


Eğitimler hakkında detaylı bilgi almak için sitemizi ziyaret ediniz!

3lü logo
HAVELSAN