Siber Güvenlik

Bilişim Güvenliği Standartları Nelerdir ?

Bilişim güvenliği,bilginin ve bilgi sistemlerinin çeşitli tehditlerden korunma sürecidir.Bu tehditler yetkisiz erişim,veri manipülasyonu,veri sızıntısı,kimlik hırsızlığı,bilgisayar korsanları,zararlı yazılımlar gibi güvenlik ihlallerini içerebilir.

Bilişim güvenliği standartları ise güvenlik uygulamalarını yapılandırmak,kontrol etmek ve iyileştirmek için

hazırlanmış rehberlerdir.

Bilişim güvenliği temelde 3 ilkeye dayanmaktadır.

  1. Gizlilik(Confidentiality):Bilgilerin yetkisiz erişime karşı korunmasıdır.
  2. Bütünlük(Integrity):Bilgilerin yetkisiz değiştirilmesi veya bozulmasının engellenmesidir.
  3. Erişilebilirlik(Availability):Bilgiye,veriye veya bilgi sistemlerine yetkili kişilerin ihtiyaç duyulduğunda erişilebilirolmasıdır.
1675088921826 Bilişim Güvenliği Standartları Nelerdir ?

Bilişim güvenliği standartlarına neden ihtiyaç duyulmuştur ?

Bilgi güvenliği standartları, organizasyonların bilgi varlıklarını korumak ve yönetmek için gereklidir.Standartların kullanımı oybirliğiyle kabul edilmiştir ve ürün ve hizmetlerin kalite, güvenlik, güvenilirlik, verimlilik gibi arzu edilen özelliklerini sağlar.

Uluslararası Bilişim Güvenliği Standartları

En bilinen uluslararası standartlar.

ISO/IEC 27001

ISO/IEC 27001 bilişim güvenliği standartlarının gereksinimlerini tanımlayan uluslararası bir standarttır.Kuruluşların bilgi varlıklarını korumasına ve güvenlik tehditlerini yönetmesine,yasal gereksinimlere uyum sağlamasına yardımcı olur.

Bu standart kuruluşların politika ve prosedürlerini oluşturmasını,risk yönetimini,ve sürekli iyileştirme süreçlerini kapsar.

ISO/IEC 27002

Bilişim güvenliği kontrolleri için hazırlanmış bir rehberdir.ISO/IEC 27001’in gerekliliklerini karşılamak için uygulanabilecek güvenlik kontrollerini sağlar.

Bu standart fiziksel güvenlik,ağ güvenliği,veri güvenliği,erişim kontrolü,iş süreklili yönetimi ve uyumluluk süreçlerini kapsar.

ISO/IEC 27005

Bilişim güvenliğine yönelik riskleri yönetme konusunda hazırlanmış bir rehberdir.

Bu standart bilgi güvenliği kontrollerini tasarlama,uygulama,yönetme,izleme ve sürdürme süreçlerini kapsar.

ISO/IEC 27006

Belgelendirme kuruşlarının uyması gereken belgelendirme ve tescil süreçlerini kapsayan bir rehberdir.

Amacı akredite belgelendirme kuruluşlarına,diğer kuruluşların bilgi güvenliği yönetim sistemlerini belgelendirmek veya tescil ettirmek için resmi süreçlerde rehberlik etmektir.

Diğer Bilişim Güvenliği Standartları

ABD ve Avrupa Birliği’nde bilişim güvenliği adına standartlar bulunmaktadır.

NIST SP800–12

ABD Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) tarafından yayınlanan bir rehberdir.

Bilgi güvenliği temelleri,güvenlik politikaları ve yönetimi,risk yönetimi,güvenlik kontrolleri,farkındalık eğitimleri,hukuki ve etik konular gibi konuları kapsar.

NIST SP 800–53

ABD Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) tarafından yayınlanan bir rehberdir. Bu rehber, federal bilgi sistemleri ve organizasyonlar için güvenlik ve gizlilik kontrollerini tanımlar.

Bilgi güvenliği yönetimi ve risk yönetimi süreçlerini desteklemek amacıyla kapsamlı ve detaylı kontroller sunar.

NIST CSF(Cyber Security Framework)

ABD Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) tarafından geliştirilmiş, organizasyonların siber güvenlik risklerini yönetmelerine yardımcı olmak için tasarlanmış bir rehberdir.

Kuruluşların siber güvenlik durumlarını değerlendirme,geliştirme ve yönetmelerine yardımcı olur.

COBIT(Control Objectives for Information and Related Technologies)

Bilgi teknolojileri yönetimi için bir çerçevedir.ISACA (Information Systems Audit and Control Association) tarafından geliştirilmiştir.

Kuruluşların bilgi teknolojileri kaynaklarını etkin ve verimli şekilde yönetmelerine ve iş hedeflerine uyumunu sağlamalarına yardımcı olur.

PCI DSS (Payment Card Industry Data Security Standard)

Ödeme kartı endüstrisi tarafından oluşturulan ve ödeme kartı bilgilerinin güvenliğini sağlamak için belirlenen bir dizi güvenlik standartıdır.

Bu standart,ödeme kartı verilerini işleyen,saklayan,ileten kuruluşlar için geçerlidir ve kart sahibini korumayı amaçlar.

HIPAA (Health Insurance Portability and Accountability Act)

1996 yılında Amerika Birleşik Devletleri’nde kabul edilen ve sağlık bilgilerinin gizliliğini ve güvenliğini korumayı amaçlayan bir yasadır.

Sağlık bilgilerini işleyen kuruluşların bu bilgileri koruması için belirlenmiş bir dizi güvenlik gereksinimlerini kapsar.

GDPR (General Data Protection Regulation)

Avrupa Birliği (AB) tarafından 25 Mayıs 2018’de yürürlüğe konulan Genel Veri Koruma Yönetmeliği’dir.

AB’deki bireylerin verilerinin gizliliğini ve korunmasını sağlamayı amaçlar.

Bilişim Güvenliği Standartlarını karşılamazsanız ne gibi sorunlarla karşılaşırsınız ?

Güvenlik ihlali riski

Bilişim güvenliği standartları,siber güvenlik risklerini azaltmaya ve bilgileri güvende tutmaya yönelik uygulamaları barındırır.Bunlara uymamak sizi maliyetli bir ihlalle karşı karşıya bırakabilir.

Yasal sorunlar

Bu standartlara uymamak,sektör veya hükümet düzenlemeleriyle ilgili sorunlarla karşılaşmanıza yol açabilir.Yukarıdada değinildiği gibi bir veri ihlalinde şirketinize karşı dava açılmasına yol açabilir.

Para cezaları

Yasal sorunlar dışında,kurallara uyma konusunda başarısızlığınız sizi ağır mali yaptırımlarla başbaşa bırakabilir.

İtibar kaybı

Belkide yukarıda sayılanlardan telafisi en güç olanı şirketinizin uğrayacağı itibar kaybıdır.Müşteriler verilerinin güvende olduğunu düşünmüyorsa sizinle çalışmak istemeyeceklerdir.

Referanslar:

Bilişim Güvenliği Standartları — Cemal Taner

Information Security Standards — Dan Constantin Tofan

Share this content:
Barış Sevinç

Merhabalar,ben Barış.Ağ ve sistem alanlarında kendimi geliştirmekteyim.Öğrenme sürecimde edindiğim tecrübeleri sizlerle paylaşarak fayda sağlamayı amaçlıyorum.

view all posts

Related Posts

Yorum gönder

You May Have Missed