ISO27001'de Bilgi Sınıflandırma

ISO27001'de Bilgi Sınıflandırma

|

Bilgi Sınıflandırma

ISO 27001:2013 BGYS Standardında Varlık Yönetimi konusuna bir önceki yazımızda giriş yapmış ve varlık yönetimi ile ilgili standartların beklentilerini paylaşmıştık. ( ISO27001 Bilgi Güvenliği standardında Varlık Yönetimi ) Bu yazımızda ise Varlık Yönetimi'nin bir başka boyutu olan "Bilgi Sınıflandırma" konusu ile ilgili standart şartlarını inceleyeceğiz.

Standart beklentileri aslında çok net ve basit omasına rağmen, ISO 27001 Bilgi Güvenliği Yönetim Sistemi uygulayıcısı kuruluşların uygulamada zorlandığı konulardan birisi Bilgi Sınıflandırma. 

ISO27001:2013 Standardı Ek A.8.2 maddesi, Bilgi Sınıflandırma ile ilgili temel kontrolleri ve bunların amaçlarını şöyle tanımlıyor:


Kuruluşlarda süreçlerin çalışması sonucu üretilen yüzlerce, binlerce bilgi var. Şüphesiz bu bilgilerin tamamı kuruluş için önemli ve korunması gerekli. Fakat bu bilgiler kendi içlerinde farklı önem derecelerine sahip. Örneğin, bazı bilgilerin kuruluş dışında sızması kuruluşa bir zarar vermez iken, bazı bilgilerin sızması kuruluşa çok büyük zararlar verebilir. Bu nedenle güvenlik önlemlerimizi, bilginin önem derecesini gözeterek uygun seviyede almamız mantıklı bir hareket olur.

ISO27001 standardı da bu mantıkla hareket ederek bilginin sınıflandırılmasını, etiketlenmesini ve bu bilgileri içeren varlıkların kullanımı ile ilgili düzenlemelerin yapılmasını istiyor. Bu konudaki beklentilerin detayı ISO27002 standardında tanımlanıyor:

8.2 Bilgi sınıflandırma

Amaç: Bilginin kurum için önemi derecesinde uygun seviyede korunmasını temin etmek.

8.2.1 Bilgilerin sınıflandırması

Kontrol 
Bilgi yasal gereksinimler, değeri, kritikliği ve yetkisiz ifşa veya değiştirilmeye karşı hassasiyetine göre sınıflandırılmalıdır.

Uygulama kılavuzu 
Bilgi için sınıflandırma ve ilgili koruma kontrollerinin de, bilgi paylaşımı ya da kısıtlaması için yasal gereklerin yanı sıra iş ihtiyaçları dikkate alınmalıdır. Bilginin saklandığı, işlendiği ya da başka türlü ele alındığı ya da korunduğu bilgi dışındaki varlıklar da bilgi sınıflandırması ile uyumlu olarak sınıflandırılabilir.

Bilgi varlıklarının sahipleri, yaptıkları sınıflandırmadan sorumlu olmalıdır.

Sınıflandırma, sınıflandırma ve sınıflandırmanın zaman içerisinde gözden geçirilmesi kriterleri için teamülleri içermelidir. Sınıflandırmadaki koruma düzeyi gizlilik, bütünlük ve erişilebilirlik ve ele alınan tüm gereksinimler analiz edilerek değerlendirilmelidir. Sınıflandırma, erişim kontrol politikası (bk. Madde 9.1.1) ile 
uyumlaştırılmalıdır.

Her sınıflandırma seviyesi, sınıflandırma uygulaması bağlamında mantıklı bir isme sahip olmalıdır.

Sınıflandırma, herkesin bilgi ve ilgili varlıkları aynı şekilde sınıflandırmaları, koruma gereksinimleri hususunda ortak bir anlayışa sahip olmaları ve uygun koruma uygulamaları için tüm kuruluş genelinde tutarlı olmalıdır.

Sınıflandırma, kuruluşun proseslerine dâhil edilmelidir ve kuruluş çapında tutarlı ve uyumlu olmalıdır. Sınıflandırma sonuçları, kuruluşun kendi hassasiyetine ve kritikliğine bağlı olarak varlıkların değerini belirtmelidir. Örneğin; gizlilik, bütünlük ve erişilebilirlik açısından. Sınıflandırma sonuçları, yaşam döngüsü yoluyla hassasiyete ve kritikliğe göre varlıkların değerindeki değişiklik ile uyumlu olarak güncellenmelidir.

Diğer bilgiler 
Sınıflandırma, bilgi ile uğraşan kişilere onu nasıl ele alacağı ve koruyacaklarına ilişkin net bir belirtim sağlar. Benzer koruma ihtiyaçları olan bilgi grupları oluşturularak ve her gruptaki tüm bilgiler için geçerli bilgi güvenliği prosedürleri uygulanarak bu kolaylaştırılır. Bu yaklaşım, her bir durum için risk değerlendirmesi ve kontrollerin özellikle tasarlanması ihtiyacını azaltır.

Bilgi, belli bir süre sonra hassas ya da kritik olmaktan çıkabilir. Örneğin; bilgi kamuya açıklandığında. Bu hususlar dikkate alınmalıdır. Şöyle ki; yüksek sınıflandırma ek masraflarla sonuçlanan gereksiz kontrollerin uygulanmasına yol açabilir ya da tam tersine düşük sınıflandırma, iş amaçlarının başarılmasını tehlikeye 
atabilir.

Örneğin; bilgi gizliliği sınıflandırması aşağıdaki dört seviyeyi temel alabilir: 
a) İfşa edilmesi durumunda hiç bir zarar olmaz, 
b) İfşa edilmesi durumunda küçük bir mahcubiyete ya da küçük bir sıkıntıya neden olur, 
c) İfşa edilmesi durumunda işlemler ya da taktik amaçlar üzerinde kısa vadeli etkiye neden olur, 
d) İfşa edilmesi stratejik hedefler üzerinde uzun vadeli etkiye neden olur ya da kuruluşun hayatiyetini risk 
altına sokar.

8.2.2 Bilgi etiketleme

Kontrol 
Bilgi etiketleme için uygun bir prosedür kümesi kuruluş tarafından benimsenen sınıflandırma düzenine göre geliştirilmeli ve uygulanmalıdır.

“Uygulama kılavuzu” 
Bilgi etiketleme için prosedürlerin, fiziksel ve elektronik formattaki bilgiyi ve ilgili varlıkları kapsaması gerekir. Etiketleme Madde 8.2.1’e göre kurulan sınıflandırmayı yansıtmalıdır. Etiketler kolayca fark edilebilmelidir. Prosedürler, ortam türlerine bağlı olarak varlıkların ele alınışı ya da bilgiye nasıl erişileceği, etiketlerin nerede ve nasıl ekleneceği hususlarında kılavuzluk sağlamalıdır. Prosedürlerde etiketlemenin yapılmadığı durumları tanımlayabilirsiniz. Örneğin; iş yükünü azaltmak için gizli olmayan bilgilerin etiketlenmesi. Çalışanlar ve yükleniciler etiketleme prosedürünü bilmelidir.

Hassas veya kritik bilgiler olarak sınıflandırılmış bilgileri içeren sistemlerin çıktıları uygun sınıflandırma etiketi bulunmalıdır.

Diğer bilgiler 
Sınıflandırılmış bilgilerin etiketlenmesi bilgi paylaşımı anlaşmaları için önemli bir gerekliliktir. Bilgi ve bilgi ile ilgili varlıkların etiketlenmesi bazen olumsuz etkiye neden olabilir. Dış veya iç saldırganların sınıflandırılmış varlıkları tespit etmesi ve buna göre çalması daha kolaydır.

8.2.3 Varlıkların kullanımı

Kontrol 
Varlıkların kullanımı ile ilgili prosedürler, kuruluş tarafından benimsenen sınıflandırma düzenine göre geliştirilmeli ve uygulanmalıdır.

Uygulama kılavuzu 
Prosedürler, sınıflandırma ile tutarlı kullanım, işleme, depolama ve iletişim bilgisi için güncellenmelidir (bk. Madde 8.2.1).

Aşağıdaki adımlara dikkat edilmelidir:

a) Her bilgi sınıflandırma düzeyi için koruma gereklerini destekleyen erişim kısıtlaması, 
b) Varlıkların yetkilendirilmiş alıcılarına ait resmi kaydın devam ettirilmesi, 
c) Asıl bilgilerin korunması ile tutarlı bir düzeyde geçici ya da kalıcı bilgi kopyaların korunması, 
d) Üreticinin belirttiği özellikler doğrultusunda BT varlıklarının depolanması, 
e) Yetkili alıcının dikkatini çekmek için ortamın tüm kopyalarının net bir şekilde işaretlenmesi.

Kuruluşta kullanılan sınıflandırma düzeni, düzey isimleri benzer olsa bile diğer kuruluşlar tarafından kullanılan düzenlerle eşdeğer olmayabilir. Ek olarak, kuruluşlar arasında taşınan bilgilerin sınıflandırma düzenleri aynı olsa bile her kuruluşun kendi içerisinde sınıflandırması farklı olabilir.

Bilgi paylaşımı dâhil diğer kuruluşlar ile yapılan anlaşmalar bilgilerin sınıflandırma tanımlanması prosedürlerini ve diğer kuruluşlardan gelen sınıflandırma etiketlerinin yorumlanmasını içermelidir.

Aşağıda bilgi sınıflandırma ile ilgili örnek bir tablo görebilirsiniz.



 

PAYLAŞ