Büyük Veride Bilgi Güvenliği Standartlarının Önemi
Yeni teknolojilerin kullanımı fırsatlar sunduğu gibi potansiyel güvenlik risklerini de beraberinde getirmektedir. Bilgi ve iletişim teknolojilerindeki hızlı gelişmelerden nasıl tüm kurum ve kuruluşlar faydalanıyorlarsa, aynı şekilde bu gelişmelerden kaynaklanan siber tehdit ortamı da yine tüm kurum ve kuruluşları tehdit etmektedir. İstenmeyen olaylar veya kasıtlı müdahaleler gibi bilgi güvenliğine yönelik tehditler günümüzde tüm kurum ve kuruluşlar için ciddi riskler barındırmaktadır. Güvenlik önlemlerinin alınmaması geri dönülmesi imkânsız ticari ve itibari kayıplara yol açabilmektedir. Bilgi güvenliğine ilişkin standartların uygulanması bu risklerin oluşmadan tedbir alınması ve risk etkilerinin hafifletilmesi için önem arz etmektedir.
Birçok uluslararası ve ulusal düzenlemeler kurum ve kuruluşların içinde bulunduğu sektöre özgü bilgi güvenliğine ilişkin tedbirleri almaya zorlamaktadır. Gerekli yasal zorunluluklara uyulmaması sonucu yaptırımlara maruz kalınabilmekte ve bu yaptırımlara maruz kalmamak için de en etkin yollarından biri tüm dünyada tarafından kabul görülmüş uluslararası güvenlik standartlarını uygulamaktan geçmektedir. Bunun yanı sıra, bazı durumlarda işletmelerin, bir faaliyette bulunmak istediklerinde bilgi güvenliği tedbirlerini aldıklarını ve bunu uyguladıklarını ispat etmeleri istenmektedir. Örneğin; Maliye Bakanlığı Gelir İdaresi Başkanlığı E-fatura konusunda Özel Entegretör olacak firmalara veya Gümrük ve Ticaret Bakanlığı Gümrük İşlerini Kolaylaştırma Yönetmeliği kapsamında Yetkili Yükümlü Sertifikası alacak İthalat ve İhracatçı firmalara ISO 27001 BGYS belgelerinin olması zorunluluğu getirilmiştir.
Bilgi güvenliği standartlarına uyum gösteren kurum ve kuruluşlar için farklı avantajlarda söz konusudur. Örneğin, kurumun müşterileri tarafından önem verildiğinin hissettirilmesi nedeniyle rekabet avantajı sağlaması, faaliyet gösterdiği sektörde güvenilir bir imaj yaratması gibi sıralanabilir. Ayrıca bilgi güvenliği standartlarına uyum tedarikçiler, müşteriler, iş ortakları için de bir güvence nedeni olmaktadır. Bilgi güvenliğine ilişkin bazı uluslararası standartlar aşağıdaki listede belirtilmiştir:
BİLGİ GÜVENLİĞİ
ISO / IEC 27001: 2022 Bilgi güvenliği, siber güvenlik ve gizliliğin koruması - Bilgi güvenliği yönetim sistemleri – Gereksinimler
ISO / IEC 27002: 2022 Bilgi güvenliği, siber güvenlik ve gizliliğin koruması – Bilgi güvenliği kontrolleri
ISO / IEC 27003: 2010 Bilgi güvenliği yönetim sistemi uygulama rehberi
ISO / IEC 27004: 2009 Bilgi güvenliği yönetimi – Ölçme
ISO / IEC 27013: 2012 Entegre uygulamasına dair rehber bilgiler
ISO / IEC 20000-1 Bilgi Teknolojileri Hizmet Yönetim Sistemi
ISO / IEC 27014: 2013 Bilgi güvenliği yönetimi
ISO / IEC TR 27016: 2014 Bilgi güvenliği yönetimi – Organizasyonel ekonomi
ISO / IEC 27032: 2012 Bilgi güvenliği için yönergeler
ISO / IEC 27033-1: 2009 Ağ güvenliği – Bölüm 1: Genel bakış ve kavramlar
ISO / IEC 27033-2: 2012 Ağ güvenliği – Bölüm 2: Ağ güvenliğinin tasarlanması ve uygulanması için yönergeler
ISO / IEC 27033-3: 2010 Ağ güvenliği – Bölüm 3: Referans ağ oluşturma senaryoları – Tehditler, tasarım teknikleri ve kontrol sorunları
ISO / IEC 27033-4: 2014 Ağ güvenliği – Bölüm 4: Güvenlik ağ geçitleri kullanan ağlar arasında iletişimi sağlama
ISO / IEC 27033-5: 2013 Ağ güvenliği – Bölüm 5: Sanal Özel Ağlar (VPN) kullanarak ağlar arasında iletişimi sağlama
ISO / IEC 27034-1: 2011 Uygulama güvenliği – Bölüm 1: Genel bakış ve kavramlar
ISO / IEC 27039: 2015 İzinsiz giriş algılama sistemlerinin (IDPS) seçimi, dağıtımı ve işlemleri
ISO / IEC 27040: 2015 Depolama güvenliği
Cloud Security Alliance (CSA) Cloud Controls Matrisi
BSI PAS 555: 2013 Siber güvenlik riski. Yönetişim ve yönetim Teknik Özellikler
PCI Veri Güvenliği Standardı
ISF Bilgi Güvenliği için İyi Uygulama Standardı
UK Hükümet Güvenlik Politikası Çerçevesi
UK Gov. Cyber Essentials Şeması
ETSI GS ISI 001 Bölüm 1: Tam Kuruluşların güvenlik duruşlarını ölçmek için kullanacakları operasyonel göstergeler kümesi
ETSI TR 103 305 Etkin Siber Savunma için Kritik Güvenlik Kontrolleri
BSI 100-1 Bilgi Güvenliği Yönetim Sistemleri (ISMS)
BSI 100-2: IT –Grundschutz Metodolojisi
RİSK YÖNETİMİ
ISO / TR 31004: 2013 Risk yönetimi – ISO 31000 uygulaması için rehberlik
ISO / IEC 27005: 2011 Bilgi güvenliği risk yönetimi
ISO / IEC 31000 Risk yönetimi – Risk değerlendirme teknikleri
IEC 31010: 2009 Risk yönetimi – Risk değerlendirme teknikleri
BSI BIP 0076 Bilgi güvenliği risk yönetimi. ISO / IEC 27001 için El Kitabı
BSI 100-3: IT-Grundschutz’a dayalı Risk Analizi
İŞ SÜREKLİLİĞİ YÖNETİMİ
ISO 22301: 2012 İş sürekliliği yönetim sistemleri – Gereksinimler
ISO 22313: 2012 İş sürekliliği yönetim sistemleri – Rehberlik
ISO / IEC 27031: 2011 İş sürekliliği için bilgi ve iletişim teknolojisine hazırlık ilkeleri
BSI 100-4: İş Sürekliliği Yönetimi
VERİ KORUMA VE GİZLİLİK
ISO / IEC 27018: 2014 Kişisel olarak tanımlanabilir bilgi işlemcileri olarak hareket eden kamu bulutlarında kişisel olarak tanımlanabilir bilgilerin korunması için uygulama kuralları
ISO / IEC 29100: 2011 Gizlilik çerçevesi
ISO / IEC 29101: 2013 Gizlilik mimarisi çerçevesi
BSI BS 10012: 2009 Veri koruma. Kişisel bilgi yönetim sistemi için şartname
CEN CWA 16113: 2010 Kişisel Verilerin Korunması İçin İyi Uygulamalar
ISO/IEC 27701:2019 Kişisel Veri Yönetim Sistemi
OLAY YÖNETİMİ
ISO / PAS 22399: 2007 Toplumsal güvenlik – olaya hazırlık ve operasyonel süreklilik yönetimi için kılavuz
ISO / IEC 27035: 2011 Bilgi güvenliği olay yönetimi
ISO / IEC 27037: 2012 Sayısal kanıtların belirlenmesi, toplanması, edinimi ve korunması için yönergeler
ÜÇÜNCÜ TARAF YÖNETİMİ
ISO / IEC 27036-1: 2014 Tedarikçi ilişkileri için bilgi güvenliği – Bölüm 1: Genel bakış ve kavramlar
ISO / IEC 27036-2: 2014 Tedarikçi ilişkileri için bilgi güvenliği – Bölüm 2: Gereksinimler
ISO / IEC 27036-3: 2013 Tedarikçi ilişkileri için bilgi güvenliği – Bölüm 3: Bilgi ve iletişim teknolojisi tedarik zinciri güvenliği için kılavuzlar
Comments