ISO/IEC 27001 Bilgi Güvenliği Standardı Araştırmasını Yayınladı.
Bilgi güvenliği, bilginin gizliliğinin, bütünlüğünün ve erişebilirliğinin sağlanması olarak tanımlanmaktadır. Buna göre Gizlilik, Bütünlük ve Erişebilirlik olarak üç ana başlıkta değerlendirilmektedir.
Bilginin değeri bu üç temel unsurun birlikte sağlanmasıyla mümkündür. Dolayısıyla bilginin gizliliğinin sağlanması erişebilirliğini engellememelidir. Ya da bilgiye erişim sağlanıyor ancak bütünlüğünü sağlanamıyor ise, yanlış ve eksik bilgi olacaktır. Bilgi güvenliği; bilginin bir varlık olarak ele alınması, yetkisiz erişim ve kullanım, yok etme, değiştirme, bozma gibi saldırı tehditlerinden verilerin korunması sürecidir
Bilgi güvenliğinin sağlanması ihtiyacı, bilgisayar ve iletişim teknolojilerinde yaşanan hızlı gelişmeler nedeniyle artmıştır. Ayrıca elektronik uygulamaların artması, bilgilerin ağ üzerinden paylaşılması, bilgiye her noktadan erişilmesi ve bu ortamlarda oluşan açıkların çok büyük tehdit oluşturması gibi sebepler nedeniyle bilgi güvenliğinin sağlanması gerekir.
İlk olarak 1993 yılında BSI (British Standards Institution) rehberliğinde ortaya çıkan bilgi güvenliği standardı, bilgi güvenliği yapılanmasında ciddi bir görev almıştır. Bilgi Güvenliği Yönetim Sistemi (BGYS) biçimlendirmek için BS 7799 standardı 1993 yılında ilk bölüm olarak BS 7799-1, devamında ise 1999 yılında aynı standardın ikinci bölümü olarak da tanımlanan BS 7799-2, İngiliz Standardı olarak yayımlanmıştır. 2000 yılında belli başlı küçük düzenlemelerden ve uygunluk çalışmalarından sonra ISO tarafından ISO/IEC-17799 adıyla kabul edilmiş ve uluslararası bir standart haline gelmiştir. 2002 yılında BSI’ın yapmış olduğu çalışma sonunda BS 7799-2 yeniden düzenlenerek İngiliz Standardı olarak bir kez daha yayımlanmıştır. ISO tarafından 2005 Yılında ISO/IEC-17799 kabul edilen standart üstünde değişiklikler yapılarak ISO/IEC–17799:2005 olarak yeniden yayımlanmıştır. 2005 Yılının sonunda yapılan son bir çalışma neticesinde BSI tarafından yeniden hazırlanan BS 7799-2 incelenip üzerine eklentiler yapılıp düzenlendikten sonra ISO/IEC:27001 adıyla uluslararası standart olarak yayımlanmıştır. Bilgi Güvenliği Yönetim Sistemi Standardı ISO / IEC 27001, ilk yayınından 8 yıl sonra ISO/IEC 27001:2013 son versiyon olarak 1 Ekim 2013 tarihinde yayınlanmıştır.
Dünyada ve ülkemizde bilgi güvenliği standardı ISO / IEC 27001’in tarihsel gelişimi şöyledir:
- 1993 yılında Bir endüstri çalışma grubunun kurulması
- 1993 yılında BS 7799-1 standardının kurallarını içeren rehberin yayınlanması
- 1995 yılında ise genel olarak İngiliz standardı olarak kabul görmesi
- 1998 yılında BS 7799-2 standardının oluşturulması
- 1999 yılı Mayıs ayında BS 7799-1 ve BS 7799-2 standart bölümlerinin uygunluğu yeniden gözden geçirilmiştir.
- 2000 yılı Ocak- Ağustos aylarında BS ISO/IEC 17999 (BS7799 – 1:2000) geçici versiyon olarak yayınlanmıştır.
- 2000 yılında Aralık ayında ISO tarafından standart olarak yayınlanmıştır.
- İngiltere’de 2000 yılında British Standards Institute tarafından BS ISO/IEC 17799:2000 / BS 7799-1:2000 olarak adlandırılması
- 5 Eylül 2002 tarihinde BS 7799 – 2:2002 yayınlanmıştır.
- 11 Kasım 2002 tarihinde TS ISO/ IEC 17799’ un TSE tarafından kabul edilmiştir.
- 17 Şubat 2005’de TSE tarafından Bilgi güvenliği yönetim sistemleri kullanım kılavuzu olarak kabul edilmiştir.
- 2006 yılında TS 17799 – 2 iptal edilerek yerini TS ISO/IEC 27001 almıştır.
- 2 Mart 2006 tarihinde TSE tarafından TS ISO/IEC 27001:2005 kabul edilmiştir.
- 01 Ekim 2013 tarihinde ISO/IEC 27001:2013 olarak son versiyonu yayınlanmıştır.
ISO/IEC 27001 BİLGİ GÜVENLİĞİ STANDARDININ TÜRKİYE’DEKİ YERİ
Uluslararası Standardizasyon Örgütü (ISO) tarafından 2013 yılında yayınlanan ISO 27001:2013 Bilgi Güvenliği Yönetim Sistemi Standardı Türkiye’de de yaygın olarak kullanılan bir Bilgi Güvenliği Yönetim Sistemi standardıdır. ISO tarafından yayınlanan araştırma raporundan yararlanılarak 2006 – 2018 yılları arasında Türkiye’de verilen sertifika sayıları ve yıllara göre % değişim oranları aşağıdaki grafiklerde verilmiştir. Ülkemizde 12 yıl öncesi 10 adet olan sertifika sayısının ilerleyen yıllarda artış gösterdiği 2018 yılında sertifika sayısının 627 adet (Şekil 1) olduğu görülmektedir.
Bu sertifika sayısı artışının nedeni ise; işletmelerde kalite algısının ve bilgi güvenliğinin öneminin giderek artması, ISO 27001’in özel sektörde bazı bilişim ve savunma sanayine yönelik ihalelerde kamu ihale kanununa göre ihale açan kurum ve kuruluşlar ihale şartnamelerinde ISO 27001 Bilgi Güvenliği Yönetim sistemi belgesi istenmesidir. EPDK’nın 26.12.2014 tarihli çıkarmış olduğu elektrik piyasası lisans yönetmeliğinde değişiklik yapılmasına dair yönetmeliğe göre; 01.03.2016 tarihine kadar bu şartı sağlayan bütün lisans sahibi firmaların ISO 27001:2013 belgesi alması zorunlu hale getirilmiştir. Grafikte de görüldüğü gibi 2016 yılında sertifika sayısında iki kat artış meydana gelmesinde; ISO 27001 standardına ilginin artmasına; gümrük işlerini kolaylaştırma yönetmeliği kapsamında Yetkili Yükümlü Sertifikası (YYS) alacak ithalat ve ihracatçıların ISO 27001 belgesi alması zorunluğunun yanı sıra, BTK’nın çıkarmış olduğu ve Elektronik Haberleşme Güvenliği Sağlayan Firmaların ISO 27001 belgesini alma ve ISO 27001 Standartlarına göre işletme zorunluluğu getirilmesi etkili olmuştur.
Türkiye’deki sertifika değişim yüzlerine bakıldığında ise (Şekil 2) 2006 yılında Türk Standartları Enstitüsü’nün TS ISO/IEC 27001 standardın yayınlanmasından sonraki ilk yılda %170 oranında artış yaşanmıştır. 2008’de Resmi Gazete’de yayımlanan Elektronik Haberleşme Güvenliği Yönetmeliği ilerleyen yıllarda e-devlet kapısı projesi, Maliye Bakanlığı Gelir İdaresi Başkanlığı E-fatura Özel Entegratörlük için Başvuru yapan Firmalara ISO 27001 Belgesi alınması zorunluluğu getirilmesi, TUBİTAK, üniversiteler tarafından düzenlenen bilgi güvenliği konferansları ve etkinliklerinin neticesinde belediye, kamu kuruluşların ve özel şirketlerin bilgi güvenliği sertifikasına yönelmeleri sonucunda özellikle 2011 yılından itibaren sertifika sayısının düzenli olarak artığı görülmektedir. Özellikle 6698 sayılı Kişisel Verilerin Korunması Kanununun yürürlüğe girmesinden itibaren ISO/IEC 27001 standardına olan ilgisinin her geçen gün giderek artacağı görülmekte ve tahmin edilmektedir.
ISO’nun 2018 yılına ait verilerde Türkiye’de hangi sektörlerin ISO/IEC 27001 sertifika sayılarına sahip oldukları yayınlanmıştır. BGYS nerdeyse her sektörde yaygın olarak kullanılmakta, ancak bazı sektörlerde daha ön plana çıktığı görülmektedir. (Tablo 1) Bu sektörler incelendiğinde ise bilgi teknolojileri, toptan perakende, ulaştırma – depolama, kauçuk-plastik, metal ürünleri, elektrik, mühendislik hizmetler ve yiyecek-gıda sektörlerinde hizmet sağlayanların daha fazla tercih ettikleri görülmektedir.
Tablo 1. Türkiye’deki Sektörlerin ISO/IEC 27001 Sertifika Sayıları
|
Sıra |
Sektörler |
Adet |
|
1 |
Bilişim Teknolojileri |
215 |
|
2 |
Toptan ve Perakende Ticaret |
48 |
|
3 |
Ulaştırma ve Depolama |
40 |
|
4 |
Kauçuk ve Plastik |
20 |
|
5 |
Metal Ürünleri |
20 |
|
6 |
Elektrik ve Elektronik |
36 |
|
7 |
Mühendislik Hizmetleri |
16 |
|
8 |
Yiyecek ve Gıda |
15 |
|
9 |
Tekstil |
15 |
|
10 |
Kimyasal Ürünler |
14 |
Kaynak: International Organization for Standardization, 2019
ISO/IEC 27001 BİLGİ GÜVENLİĞİ STANDARDINDA TÜRKİYE’NİN DÜNYA’DAKİ YERİ
ISO’nun araştırma raporundan elde edilen verilerle oluşturulan 15 ülkenin ISO 27001 BGYS sertifika sayıları Tablo 2’de verilmektedir. Uluslararası düzeyde bakıldığı zaman Türkiye’nin 627 adet sertifika sayısı ile 2018 yılında Dünya genelinde ilk 15 ülke içerisinde 10. sırada yer almaktadır. Türkiye’nin sıralamadaki yerine bakıldığı zaman gelişmekte olan ülkelere nispeten daha üst sıralarda yer aldığı görülmektedir.
Tablo 2. ISO/IEC 27001 Standardı 2018 Yılı Ülke Sıralaması ve Sayıları
|
Sıra Ülke Adı S. Sayısı 1 Çin 7777 2 Japonya 5078 3 İngiltere 1635 4 Hindistan 1536 5 İspanya 1148 6 İtalya 1042 7 Almanya 996 8 Tayvan 947 9 Poland 728 10 Türkiye 627 11 Amerika Birleşik Devletleri 620 12 Çek Cumhuriyeti 486 13 Romanya 457 14 İsrail 437 15 Hollanda 388 |
Kaynak: International Organization for Standardization, 2019
Dünya genelinde yıllara göre ülkelerin ISO/IEC 27001 sertifika sıralamasında değişiklikler gösterdiği gözlemlenmektedir. Türkiye (Şekil 3) 2006 yılında sertifika sayısına göre Dünyadaki sıralamada 28. sırada yer alırken, 2008 yılında bir önceki yıla göre 24. sıraya gerilemiş, son on iki yılın istatistiğine bakıldığında ise 18 basamak atlayarak 2018 yılında ülkeler arasında 10. sıraya yükselmiştir. Dünyadaki teknolojik gelişmelere ayak uydurmak, Avrupa Birliği aday ülke olması nedeniyle meydana gelebilecek siber saldırılara ve bilgi kayıplarını önlemek için ülkemizde gerekli Bilgi Güvenliği Yönetim Sistemleri çalışmaları devam etmektedir.
Günümüzde teknolojisinin baş döndürücü şekilde büyümesi ile birlikte internetin yaygınlaşmasıyla bilgiye erişimin kolay olması ve kolay elde edilmesi, bilgiye olan bağımlılığı arttırmıştır. Bu bağımlığın giderek artması, bilginin ekonomik bir varlık olarak değer kazanmasına, sistemin bir parçası haline gelmesine yol açmıştır. Bilginin önemimin her geçen gün giderek artması sonucunda, işletmeler, kurumlar, devletler bilginin korunması, yönetilebilmesi tehdit ve risklerin en az seviyeye indirilmesi için en uygun bilgi güvenliği, gizliliği konusunda çalışmalara, çözüm arayışlarına yönelmişlerdir. Kuruluş ve işletmelerin ilerleyen zamanlarda bilgi güvenliği konusunda daha çok ilgi göstereceği ve bu konuda çalışmaların giderek artacağı tahmin edilmektedir.
Kaynaklar:
International Organization for Standardization, 2018
Mustafa YILMAZ (2018). “İşletmelerde Bilgi Güvenliği Uygulama Sorunları ve Çözüm Önerileri; Konya Örneği” – KTO Karatay Üniversitesi Sosyal Bilimler Enstitüsü Yüksek Lisans Tezi.
Mustafa YILMAZ – Bilgi İşlem Uzmanı – ISO 27001 BGYS Baş Denetçi
