Bilgi Güvenliği Varlık Envanteri
Bilgi güvenliği varlık envanteri, ISO 27001 kapsamında yapılacak tüm çalışmaların temelinde yer almaktadır.
Bilgi güvenliği varlık envanterine geçmeden önce bazı tanımlamaları yapalım.
Varlık Envanteri Tanımlar:
- Varlık: Bir işletme için değeri olan ve bu nedenle uygun olarak korunması gereken tüm unsurlardır. İnsan, bilgi, yazılım, donanım, bina, iş araç ve gereçleri gibi işletme için bir değer ifade eden tüm unsurlar varlık olarak değerlendirilmelidir.
- Gizlilik: Bilginin yetkisiz kişilerin eline geçmeme ve yetkisiz erişime karşı korunmasıdır.
- Bütünlük: Bilginin yetkisiz kişiler tarafından değiştirilmemesidir.
- Erişilebilirlik: Bilginin yetkili kişilerce ihtiyaç duyulduğunda ulaşılabilir ve kullanılabilir durumda olmasıdır.
- Varlık Sahibi: Varlığın gizliliğinin, bütünlüğünün, erişilebilirliğinin sağlanmasından birinci derecede sorumlu kişi veya kişilerdir.
Bilgi Güvenliği Varlık Envanteri Uygulama:
Bilgi güvenliği varlık envanteri uygulama aşamasında aşağıdaki yöntemler uygulanabilir.
Bir organizasyonda varlıkların belirlenmesi ve varlıklara değer atanması, risk analizi süreci için temel bir adımdır. Varlıklara değer atanmasının yapılabilmesi için bir envantere ihtiyaç vardır.
Firmanızda varlık envanteri öncesinde tüm çalışanları kapsayan bir keşif çalışması yapılmalıdır.
Bu çalışma ile bölüme ait varlık envanteri, olası riskler ve gizlilik derecesi ile keşif yapılır.
Yapılan bu keşif çalışması kayıt altına alınır.
Varlık envanteri hazırlanırken öncelikle, tüm varlıkların kapsandığından emin olmak için gruplandırma yapılır.
Gruplandırma bilgi varlıkları, yazılımsal varlıklar, fiziksel varlıklar, servisler vb. şeklinde yapılır ve varlık envanterinde belirtilir.
Varlık envanterinde aşağıdaki bilgiler yer alır:
- Varlık Grubu: Varlık envanterinden veri analizi yapmak ve filtreleme yapabilmek amacıyla varlıklar kategorize edilir. Gruplandırma bilgi varlıkları, yazılımsal varlıklar, fiziksel varlıklar, servisler vb. şeklinde yapılır ve varlık envanterinde belirtilir.
- Varlık Adı: Tabloda bu bölüme varlığın adı yazılarak tanımı yapılır.
- Bölüm: Varlığın ait olduğu bölüm belirtilir.
- Varlık Sahibi: Varlık sahibi, tanımlanan rol ve sorumluluklara paralel olarak belirlenir. (Ör: Muhasebe Bölümü Müdürü)
- Gizlilik Değeri: Varlığın yetkisiz kişilerce erişilmesi sonucu doğacak zararı belirtir.
- Bütünlük Değeri: Varlığın bütünlüğünün bozulması sonucunda doğacak zararı belirtir.
- Erişilebilirlik Değeri: Varlığın erişilebilirlik açısından önemini belirtir.
- Toplam Varlık Değeri: Varlığa yapılan gizlilik, bütünlük ve erişilebilirlik değerlendirmesi sonucunda ortay çıkan toplan varlık değeridir.
- Açıklama: Değerlendirmelerle ilgili yardımcı açıklamalar ve gerekli olabileceği düşünülen diğer bilgileri içerir.
Bilgi güvenliği varlık envanteri çalışmasında yukarıda belirtilen bilgiler ışığında aşağıdaki girdiler dikkate alınarak varlık envanteri dokümante edilir.
- Varlık Envanteri Formu
- Bölüm çalışanlarından gelen bilgiler
- BGYS takımından gelen bilgiler
Varlık Değerinin Belirlenmesi
Bilgi güvenliği varlık envanteri çalışmasında varlıkların değerinin belirlenmesi varlık sahipleri başta olmak üzere, bölüm çalışanları ve BGYS takımı ile birlikte gerçekleştirilir.
Varlıklar, gizlilik, bütünlük, erişilebilirlik bakımından değerlendirilerek derecelendirilir.
Her varlığın gizlilik, bütünlük ve kullanılabilirlik değerleri 5’li skalalar baz alınarak ayrı ayrı değerlendirilir.
Toplam varlık değerini belirleyen, gizlilik, bütünlük, kullanılabilirlik değerlerinin çarpanıdır.
1: İhmal edilebilir
2: Düşük
3: Orta
4: Yüksek
5: Çok yüksek
Bilgi güvenliği varlık envanteri ile ilgili uzman kadromuzdan destek almak ve tüm sorularınız için bizimle iletişime geçin!