ISO 27001 Bilgi Güvenliği Yönetim Sistemi Risk Kavramı ve Yönetimi

ISO 27001 Standardını başka standartlardan ayıran en temek özelliklerden birisi risk değerlendirmeye yer vermesi ve değerlendirilen risklerin işlenmesi için mecburî tutmasıydı.


Yeni standart da tespit edilen Annex SL yapısı ile bundan sonra bu rehberi kullanacak bütün standartlarda risk değerlendirmesi mecburî duruma gelmiştir.

Bu makalemde de elimden geldiğince kendisi firmanızda uyguladığınız veyahut tatbik etmek dilediğiniz risk değerlendirmeler konusunda ufakta olsa bir düşünce vermeye çalışacağım.
ISO 27001:2013 sürümü konusunda riskin sebep değerlendirileceği ile ilgili standart bizi ISO 31000 risk yönetimi seviyesine yönlendirmektedir.

ISO 27001:2013 versiyonunun Bibliyografi bölümünde da bu standart ve ISO/IEC 27005 – Malumat teknolojisi – Güvenlik teknikleri – Malumat güvenliği risk yönetimi [3] seviyesine atıfta bulunulmaktadır.
Peki risk NEDİR?
Standart kendimize bu meselenin yanıtını “Belirsizlik Etkisi” diye 2 kelimeyle cevap vermektedir.
ISO 27001 Malumat Güvenliği Standardı içinde risk değerlendirme konusunda 6.1.1 maddesinde ” Madde 4.1 de atıf uygulanan konuları ve Madde 4.3. de atıf uygulanan şartları göz önünde bulundurmalı” [1] ve standart içindeki 6.1.1 maddesindeki şartlar için riskleri belirlemeli ve ele almalıdır olarak söylemektedir.
Burada belirttiği 4.1 ve 4.3 deki maddeler iç ve dış bağlam tarafındaki belirlenmiş olan taraflar ve bu taraflar konusunda süreçlerdeki risklerin değerlendirilmesi ve kapsam ışığında ki bütün süreçlerin risklerinin değerlendirilmesini arzu etmektedir.

Bu aralar şu tarz sualler ile karşı karşıya kalıyorum genelde… “Eski standartta varlıklar üstünden risk değerlendirmesi yapıyorduk yeni standartta proses bazlı olarak mı yapmalıyız? Yeniden varlıklar üstünden yapsak olmaz mı?” Tipinde suallerle karşı karşıya kalıyoruz.

Standart bu noktada kendimize varlık bazlı yada proses bazlı yapmamız ile ilgili bir baskı yapmıyor ama “Kapsam dahilindeki bilginin; gizlilik, bütünlük ve erişebilirlik kayıpları konusunda risklerin belirleme edilmesi” ifadesini kullanıyor.

Yani proses ya da varlık için seçtiğiniz riskin bu üç değere olan tesirinin değişiklik gösterebileceğini ve risk değerlendirme yapar iken bu üç değere göre tehdidin değerlendirmesini arzu etmektedir.
Ufak bir örnekle açıklarsak; herhangi bir verinin çalınması konusunda bir tehdit olduğunda gizlilik etkin değeri yüksek olurken bütünlük ve erişebilirlik etkin değerleri kuruluş alt yapısına bağlı olarak değişecektir.
Fakat aynı verinin silinmesi halinde gizlilik etkin değeri düşük olarak çıkacaktır.
Bu halde da yeniden kuruluş yapısına göre erişebilirlik ve bütünlük değerleri değişiklik gösterecektir.
Kurum yada kuruluşlar kendileri belirlemiş oldukları risk değerlendirme metodolojilerine göre bu risk değerlendirmeleri yapmalıdırlar.

Günümüzde çoğunluklu olarak 3×3, 5×5, 10×10 vb..
matrisler kullanılmaktadır.
Risk değerlendirme gerçekleştirecek kuruluşlar için ise ISO 31010 – risk Assessment Techniques [2] başka bir deyişle risk Değerlendirme Teknikleri standardı içindeki 31 adet teknikten kuruluşları için makul olanı seçerek risk değerlendirme işleminizi gerçekleştirebilirler.

Daha ardından yeni standardımızla karşımıza çıkan risk SAHİBİ kavramı döneme girmektedir.
Eskiden varlık sahibi diye tanımladığımız bölüm yeni risk değerlendirmede risk SAHİBİ olarak karşımıza geliyor.
Standart tespit edilen bütün tehlikeler konusunda risk sahiplerinin tespit edilmesini istiyor.
Risk sahibi içerisinde ISO 27000 standardı içinde risk sahibi bir şahıs ya da bir departman olabilir olarak vurguluyor.

Risk sahipleri de belirlendikten ardından elde ettikleri risk değerlendirme sonuçlarının risk işleme planına geçilmeden, önceliklendirilmesi gerekmektedir.
Bu önceliklendirme prosedürü olur gerçekleşmez risk işleme planına geçilir.
ISO 27001 Standardı risk işleme işleminde ise riskin işlenmesi için uygulanacak bütün kontrollerin tespit edilmesini arzu etmektedir.

Bu kontroller ile de EK-A içindeki 114 maddenin karşılaştırılmasını ve hiçbir kontrolün gözden kaçırılmadığının doğrulanmasını ister.
Bu kontroller de alındıktan ardından tespit edilen risk işleme metodolojisine göre yeni risk puanı hesaplamaları yapılır ve risk işleme planına ilişkin risk sahiplerinin onayı içerler.
Risk işleme planı bittikten ardından da geriye kalan risk değeri olan bundan sonra risklerin kabulü için işlemler gerçekleştirilir.
Nedir bu Bundan sonra Risk? Diye soracak olursanız da ISO 31000 risk Idaresi Standardı [4] içinde.
2.27 maddesinde
Artık Risk: risk iyileştirmesinden ardından geriye kalan risk
Not 1 – Bundan sonra risk belirlenemeyen riski içermektedir.
Not 2 – Bundan sonra risk “muhafaza edilen risk” şeklinde de bilinir.
Yani riski asla SIFIR (0)’a indiremeyeceğimiz için her vakit bir risk barındırıyor oluyoruz.
Buna da bundan sonra risk diyoruz.
(NOT 2).
Artık risk, bizim kontrolümüzde olmayan ya da müdahale edemediğimiz tehlikeler de olabilir.Bir cevap yazın