Siber Güvenlikte Uluslararası Standartlar
1. Giriş
Teknolojide yaşanan hızlı değişim ve gelişmeler sonucunda Bilişim Teknolojileri hayatın her alanında boy göstermeye başladı. Tüm işletme ve kurumlar bu gelişmeden ve değişimden nasibini aldı. Hızlı bir dijitalleşme yaşandı ve yaşanıyor. Yaşanan bu değişimler değer ölçümlerinde de yaşandı. Veri hızla değer kazanarak, günümüzün en değerli varlığına dönüştü. Veriye sahip olan, işleyen ve kullanan tüm işletme ve kurumlar sahip oldukları bu değerli varlıkları korumak ve bütünlüğünü sağlayabilme telaşına düştü. (siber güvenlik standartları)
En temelde kişilerin sahip oldukları veriler bulunmaktadır. Veri, her seviyede kıymetli ve önemlidir. Ancak kişisel veriden başlayarak, kurumsal ve milli verilere giden yolda verinin hem değeri hem de önemi artmaktadır. Bu nedenler her seviyede verinin güvenliğinin ve mahremiyetinin sağlanması önem arz etmektedir. Kurumsal seviyede bu çok daha fazla önem taşımaktadır. Kurumların büyüklükleri, işledikleri verilerin hacmi, kullanılan denetim yöntemleri vb. ihtiyaçları farklılık gösterdiği için genel bir çerçeve ihtiyacı ortaya çıkmaktadır.[1]
Veriler işlenmekte ve bilgiye dönüşmektedir. Bu bilgi ihtiyaç duyulduğunda kullanılmakta, saklanmakta, depolanmakta, taşınmakta, erişim sağlanmakta ve zamanı geldiğinde ise imha edilmektedir. Görüldüğü üzere veriyle ilgili burada belirtmediklerimizde dahil olmak üzere birçok işlem yapılmaktadır. Bu işlemler esnasında verinin güvenliği, bütünlüğü ve gizliliği büyük önem taşımaktadır. Veri ile ilgili yapılan tüm bu işlemler için belirli kuralların tanımlanması, belirli çerçevelerin oluşturulması bir zorunluluk haline gelmiştir. Meydana çıkan bu standartlaşma ihtiyacı bilginin güvenliğini her aşamada sağlamak için çeşitli standartların belirlenmesine yol açmıştır. Bu standartların oluşturulmasındaki ana amaç, kurumların/işletmelerin güvenlik zafiyetlerini gidermek ve güvenlik risklerini en aza indirmektir.
2. Standartlara Duyulan İhtiyaç
Bilginin güvenliğinin sağlanmasına yönelik yapılan çalışmalarda genelde aynı sonuçlara varılmaktadır. Teknoloji ne kadar gelişirse gelişsin mutlaka insan faktörüne ihtiyaç duyulmaktadır. Güvenlik sistemlerinin en zayıf noktası da insan olduğundan saldırıların öncelikli hedefi de insan olmaktadır. İnsana yatırım yapılması ve eğitilmesi bu alanda ilk ortaya çıkan ihtiyaçtır.
Bilgiye sahip olan herkes bu değeri koruma için çeşitli yöntemler kullanmaktadır. Bilginin korunması için çeşitli yönetim ve denetim mekanizmaları oluşturulmaktadır. Süratle artan tehditler ve bu nedenle ortaya çıkan risklerin çeşitliliği bu güvenlik sürecinin planlanması ihtiyacını ortaya çıkarmıştır. Edinilen tecrübelerin bu süreçte büyük önem taşıdığı da fark edilince, tüm bu adımların belirli bir yapı oluşturması ve standart haline getirilmesi ile uygulama kolaylığı sağlayacağı sonucuna varılmıştır.
Bilgi güvenliği, bilgi teknolojileri ve siber güvenlik alanında birçok standart oluşturulmuştur. Özellikle yaygın olarak kullanılan bu standartları kısaca açıklayarak kullanım alanlarından bahsedeceğiz.
3. Standartları Oluşturan Organizasyonlar
Çeşitli uluslararası organizasyonlar bilgi güvenliği ve siber güvenlik standartlarının oluşturulması ve zamanla duyulan ihtiyaçlara uygun olarak geliştirilmesinde çalışmaktadırlar. Meydana çıkan bu standartlarda kendilerini oluşturan organizasyonların isimleri ile anılmaktadır. Bu organizasyonların bazılarını kısaca açıklayalım.
3.1 TSE (Türk Standartları Enstitüsü)
Ülkemizde standartlardan sorumlu olan kuruluştur.[3] Görevleri arasında her türlü standardı hazırlamak ve hazırlatmak yer alır. Aynı zamanda başka kuruluşlar tarafından hazırlanan standartları inceler, uygun bulursa Türk Standartları olarak kabul eder, yayınlar ve bu standartların uygulanmasını teşvik eder.
ISO/IEC tarafından hazırlanan TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi standardının belgelendirilmesi çalışmalarına başlamıştır.
3.2 ISO (International Standards Organization) Uluslararası Standartlar Organizasyonu
Dünya çapında standartlar oluşturmak, standartları geliştirmek, uluslararası iletişim kurmak suretiyle iş birliğini artırmak için 1947 yılında kurulmuş olan uluslararası bir teşkilattır.[4] Uluslararası Elektroteknik Komisyonu’nun alanına giren elektrik ve elektronik mühendisliği konuları dışındaki bütün alanlarda standartların belirlenmesi çalışmalarını yürütmektedir. Merkezi Cenevre’dedir.
3.3 IEC (The International Electrotechnical Organization) Uluslararası Elektroteknik Komisyonu
Elektrik, elektronik alanındaki teknolojiler konusunda uluslararası standartları hazırlayan ve yayımlayan uluslararası bir kuruluştur.[5]3.4 NIST (National Institute of Standards and Technology) Ulusal Standartlar ve Teknoloji Enstitüsü
Amerika Birleşik Devletleri’nin Ulusal Standartlar Enstitüsüdür.[6]
3.5 IEEE (Institute of Electrical and Electronics Engineers) Elektrik ve Elektronik Mühendisleri Odası
Telekomünikasyon, bilgi teknolojisi ve enerji üretimi alanındaki ürün ve hizmetler ile ilgili uluslararası standartları geliştiren bir kuruluştur. IEEE başta bilgi teknolojisi, robotik ve öğrenme teknolojileri olmak üzere birçok alanda uluslararası standartları oluşturmuştur. [7]
3.6 ETSI (European Telecommunication Standards Institute) Avrupa Telekomünikasyon Standartları Enstitüsü
Kuruluşa üye ülkeler arasında telekomünikasyon altyapılarını birleştirmek, donanımlarının uyumluluğunu sağlamak ve Avrupa telekomünikasyon ağını oluşturmaktır.[8] ETSI, başlangıçta Avrupa için kurulmuş bir standardizasyon kuruluşuyken bu alandaki küreselleşmenin artmasıyla tüm dünyada etkili olan standartlara sahip olmuştur.
3.7 ISACA (Information Systems Audit and Control Association) Bilgi Sistemleri Denetim ve Kontrol Derneği
Siber Güvenlik ve Bilgi Güvenliği alanında çeşitli eğitimler veren ve bu eğitimleri sertifikalandırarak bir standart oluşturan kuruluştur.[9] Bilişim teknolojisi fonksiyonlarını kapsayan çerçeveler oluşturmuştur.
3.8 ENISA (European Union Agency for Cybersecurity) Avrupa Birliği Siber Güvenlik Ajansı
Avrupa siber güvenliğini sağlamak için kurulmuştur. Ağ ve bilgi güvenliği ile ilgili konularda politika ve kanunlarının geliştirilmesini ve uygulanmasını desteklemektedir.[10]
4. Siber Güvenlik Standartları
Kurumlar ve işletmeler faaliyet alanlarında yaptıkları çalışmalarında bilgi teknolojilerini kullanmaktadırlar. Bilgi teknolojilerinin güvenli ve faydalı bir şekilde kullanımının sağlanması için ise belirli standartların olması gerekmektedir. Yukarıda bahsedilen organizasyonlar tarafından çeşitli standartlar oluşturulmuştur.
4.1 ISO/IEC 27000 Serisi
Bilgi güvenliği ve siber güvenlik sadece teknik önlemler alınarak sağlanamamaktadır. Teknik önlemlerin yanında mutlaka teknik olmayan önlemlerin de alınması gerekmektedir. Tüm bu önlemlerin belirli bir düzen içerisinde alınması ve sürecin de bir sistem içerisinde yönetilmesi gerekmektedir. Böylesi düzenli bir güvenlik süreci için Bilgi Güvenliği Yönetim Sistemi (BGYS) kurulması ve yönetilmesi bir zorunluluktur. ISO/IEC 27000 ailesi olarak adlandırılan standartlar serisi, bilgi güvenliği ve siber güvenlik alanında uluslararası kabul görmüş bir standartlar çerçevesi oluşturmaktadır. Bu standartlar ailesi içerisindeki en öne çıkan standartlar aşağıdadır:
- ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi
- ISO/IEC 27001 Bilgi Güvenliği Uygulama Kodu
- ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi Uygulama Kılavuzu
- ISO/IEC 27003: 27001 standardının nasıl kullanılacağına dair açıklamalar ve örnekler içeren uygulama rehberi.
- ISO/IEC 27004: Bilgi Güvenliği Yönetimi Ölçümü
- ISO/IEC 27005: Bilgi ve Güvenliğinin Risk Yönetimi
- ISO/IEC 27006: Bilgi Teknolojileri Felaket Önleme Hizmetleri Kılavuzu
- ISO/IEC 27017: Bulut Bilişim İçin Bilgi Güvenliği Kontrolleri
- ISO/IEC 27021: Bilgi güvenliği yönetimi uzmanlarının gerektirdiği yetkinlikleri, becerileri ve bilgiyi açıklar.
- ISO/IEC 27030: Nesnelerin İnterneti İçin Güvenlik ve Gizlilik
- ISO/IEC 27032: Siber Güvenlik İhtiyaçları
- ISO/IEC 27033: BT Ağ Güvenliği
- ISO/IEC 27035: Güvenlik Olay Yönetimi
- ISO/IEC 27039: Saldırı Tespit ve Önleme Sistemleri (IDS / IPS)
- ISO/IEC 27045: Büyük Veri Sistemlerinde Güvenlik ve Gizlilik
- ISO/IEC 27100: Siber Güvenlik Kavramlarına Genel Bir Bakış
4.2 NIST Standartları
Siber güvenlikle ilgili riski yönetmek için Amerika Standart Enstitüsü (National Institute of Standards and Technology-NIST), en iyi uygulamaların, yönergelerin, planların ve standartların bulunduğu bir çerçeve oluşturmuştur.[6] Buradaki temel amaç ulusal güvenliktir. Ulusal güvenliği sağlamak için ülkedeki kritik altyapıların güvenliğini almak gerekmektedir. NIST siber güvenlik çerçevesi, güvenliğin sağlanması için aşağıdaki adımların uygulanması gerektiğini belirtmektedir:
- Önceliklendirme ve Kapsam
- Yönlendirme
- Mevcut Profil Oluşturma
- Risk Değerlendirmesi Yürütme
- Hedef Profil Oluşturma
- Fark Belirleme, Analiz Etme ve Önceliklendirme
- Eylem Planını Uygulama
Yukarıdaki adımların uygulandığı Siber Güvenlik Çerçevesi (Cyber Security Framework-CSF) tüm işletme ve kurumlar için uygulanabilecek esnekliğe sahiptir. Bu çerçeve ile siber riskler belirlenerek bu risklere karşı önlemler alınmakta ve iyileştirmelerin yapılması sağlanmaktadır.
İşletme ve kurumlar, NIST SP 800 serisi standartları uygulayarak; siber güvenlik alanındaki uygulama, yönetim, risk tespiti, risk değerlendirmesi vb. faaliyetler kapsamında uluslararası seviyeye ulaşabilmektedirler. Aşağıda NIST SP 800 serisi standartlardan en öne çıkanlar hakkında kısa açıklamalar sunulmaktadır:
- NIST SP 800-14:BT Sistemlerinin güvenliğini sağlamak için güvenlik politikaları hazırlanırken ele alınması gereken güvenlik ilkelerini ve uygulamaları açıklar.
- NIST SP 800-30: BT Sistemleri için Risk Değerlendirmesi Yapma Rehberidir.
- NIST SP 800-35: Bilgi Teknolojisi Güvenlik Hizmetleri Rehberi olarak adlandırılan bu standart bilgi güvenliğine genel bir bakış sağlamaktadır.
- NIST SP 800-35: Bilgi Sistemleri ve Organizasyonları İçin Güvenlik ve Gizlilik Kontrolleridir.
4.3 IEEE Standartları
Kuruluş yılları 1840’lara dayanan Institute of Electrical and Electronics Engineers (IEEE), Bilgi teknolojisi, robotik, telekomünikasyon, ulaşım, nanoteknoloji, biyomedikal, sağlık, bilgi güvenliği ve daha sayamadığımız birçok alanda standartlar üreten bir topluluktur.[7] IEEE standartlarının oluşturulması sürecinde dünyanın her yerinden mühendisler katılmaktadır.
Bu standartlar ailesi içerisindeki öne çıkan standartlar aşağıdadır:
- IEEE C37.240-2014 Trafo Merkezi Otomasyonu, Koruma ve Kontrol
Sistemleri için Siber Güvenlik Gereklilikleri - IEEE 1686-2013 Akıllı Elektronik Cihazlar İçin Siber Güvenlik Özellikleri
- IEEE 1711-2010 Trafo Merkezi Seri Bağlantılarının Siber Güvenliği İçin Şifreleme Protokolü İçin Deneme Kullanım Standardı
- IEEE 1686-2013 IEEE Akıllı Elektronik Cihazlar Siber Güvenlik Yetenekleri Standardı
4.4 ETSI Standartları
Avrupa Telekomünikasyon Standartları Enstitüsü (ETSI), tüm dünyada uygulanabilir standartlar geliştiren ve kâr amacı gütmeyen bir kuruluştur. Sabit, mobil, radyo yayınları ve internet teknolojileri de dahil olmak üzere birçok alanda standartlar oluşturmaktadırlar. Bu standartlardan Bilgi güvenliği ve siber güvenlik alanında öne çıkanlar aşağıda sunulmuştur:
- ETSI TR 103 306 V1.3.1 (2018-08) Küresel Siber Güvenlik Ekosistemi
- ETSI TS 103 645 V1.1.1 (2019-02) Nesnelerin İnterneti İçin Siber Güvenlik
- ETSI TR 103 456 V1.1.1 (2017-10) Ağ ve Bilgi Güvenliği (NIS) Direktifinin Uygulanması
- ETSI TR 103 421 V1.1.1 (2017-04) Ağ Geçidi Siber Savunma
- ETSI TR 103 305-5 V1.1.1 (2018-09) Etkili Siber Savunma İçin Kritik Güvenlik Kontrolleri
- ETSI GS ISI 001-2 V1.1.2 (2015-06) Bilgi Güvenliği Göstergeleri (ISI)
4.5 ISACA Standartları
Bilişim Teknolojileri Yönetim ve Denetim Enstitüsü (Information Systems Audit and Control Association – ISACA) 1969 yılında ABD’de kurulmuş ve Bilgisayar Sistemlerinin Denetimi ile Kontrolü alanında ihtiyaç duyulan standartları geliştirmektedir. ISACA, bir sivil toplum örgütüdür.
Bilgi ve İlgili Teknolojiler İçin Kontrol Hedefleri (Control Objectives for Information and related Technology – COBIT) ISACA tarafından geliştirilmiş bir rehberdir. COBIT olarak da bilinen bu rehber Bilişim Teknolojilerinin Yönetimi için en iyi uygulamaları içermektedir. COBIT çerçevesi aşağıdaki ilkelerden oluşur:
- Paydaş ihtiyaçlarının karşılanması
- İşletmenin uçtan uca kapsanması
- Entegre çerçeve uygulanması
- Bütüncül bir yaklaşımın benimsenmesi
- Yönetişimi yönetimden ayırma
Bu 5 temel ilke çerçevenin temelini teşkil etmektedir.
4.6 ENISA Standartları
2004 yılından bu yana Avrupa Siber Güvenliği için çalışan bir kuruluştur. Merkezi Yunanistan’ın Atina şehrindedir. Avrupa Birliği (AB) içinde ağ ve bilgi güvenliğinin sağlanması amacıyla kurulan bir uzmanlık kuruluşudur. AB içerisinde bilgi güvenliği ve siber güvenlik kapsamında çalışmalar yaparken bazı araçlar kullanmaktadır. Bu araçlardan öne çıkanlar aşağıda sunulmuştur:
- National Cybersecurity Assessment Framework (NCAF): Ulusal Siber Güvenlik Değerlendirme Çerçevesi
- Secure SME: Küçük ve Orta İşletmeler için Güvenlik
- Computer Security Incident Response Team: Siber Olaylara Müdahale Timi
- National Cybersecurity Strategies Evaluation Tool: Ulusal Siber Güvenlik Stratejileri Değerlendirme Aracı
- Minimum Security Measures for Operators of Essential Services: Temel Hizmetlerin Operatörleri için Asgari Güvenlik Önlemleri
ENISA, sadece bir kısmını açıkladığımız siber güvenlik araçlarını kullanarak bu alanda çalışmalar yürütmekledir. Her yıl yapmış olduğu çalışmalar ile ilgili olarak raporlar hazırlamaktadır.
5. Sonuç
Bilgi güvenliği ve geniş anlamda siber güvenlik her geçen gün kapsamı genişleyen bir alandır. Bu alandaki ihtiyaçlar hiçbir zaman bitmeyecektir. Bilgi ve iletişim araçlarının her geçen gün yaygınlaşması bu alanda güvenlik ihtiyacının artarak büyümesine neden olmaktadır. Teknolojik gelişmeler ve bu alanda kullanılan araçların çeşitliliği güvenlik tedbirleri alınırken belirli bir düzen içerisinde hareket edilmesini zorunlu kılmaktadır. Ülkelerin milli düzenlemelerinin ortaya çıkabilecek sınır aşan güvenlik problemlerine çözüm üretebilmesi için uluslararası ortamda geçerliliği olan genel düzenlemelere ihtiyaç duyulduğu bir gerçektir. Uluslararası ortamlarda yapılacak düzenlemeler için genel standartlar kullanılmaktadır. Bu standartlar ise yukarıda öne çıkan örneklerini paylaştığımız standartlardır.
Olabilecek en üst seviyede bir siber güvenlik sağlanabilmesi için;
- İşletme veya Kuruma uygun siber güvenlik politikası oluşturulmalıdır.
- Oluşturulan politikalar işletme/kurum üst yönetimi tarafından desteklenmelidir.
- Tüm işletme/kurum çalışanları tarafından eksiksiz uygulanmalıdır.
- Siber güvenlik risk değerlendirmeleri yapılmalıdır.
- Siber güvenlik standartlarından uygun ve ihtiyaç duyulanları işletme/kuruma uyarlanmalıdır.
- Çalışanların siber güvenlik farkındalık eğitimleri almaları sağlanmalıdır.
- Bilişim Sistemlerinden sorumlu personelin siber güvenlik alanında ihtiyaç duyulan eğitimleri almaları sağlanmalıdır.
- İşletme/kurumda kullanılan her türlü bilişim teknolojilerine ait cihazların siber güvenlik standartlarına uygunluğu sağlanmalıdır.
- Üretilen her türlü ürünün uluslararası siber güvenlik standartlarına uygunluğu sağlanmalıdır.
- İşletme/kurum olarak uluslararası ortamda kabul görmek için siber güvenlik standartlarına uygunluğun uluslararası ortamda geçerli olan sertifikalarla belgelenmesi sağlanmalıdır.
Tüm standartlar sağlansa dahi hiçbir zaman tam bir siber güvenliğin sağlanamayacağı unutulmayarak zincirin en zayıf halkası kadar kuvvetli olduğunun bu alandaki en önemli gerçek olduğu daima hatırlanmalıdır. Siber güvenlik hiç bitmeyen bir süreçtir. Sürekli eğitim bu sürecin en önemli birleşenidir.
Bu yazının devamını bu linkten okuyabilirsiniz.
Yazar: Av. Murat Osman KANDIR / Yüksek Mühendis