Siber Güvenlik Standartları
İçindekiler Tablosu
Giriş
Siber güvenlik standartları, belirli bir kuruluşun veya endüstrinin siber güvenlikle ilgili en temel önlemleri kontrol etmesini sağlayan belirli kriterleri belirleyen, genellikle uzmanlar tarafından oluşturulan yönergelerdir. Kurumların siber güvenliğini sağlamak ve verilerini korumak amacıyla oluşturulan standartlar, saldırılara karşı dirençli olmayı hedefler.
1. ISO/IEC (Standart ve Yasal Zorunluluk)
ISO(Uluslararası Standardizasyon Örgütü), çeşitli endüstrilerdeki standartları oluştururken, IEC(Uluslararası Elektroteknik Komisyonu) elektrik, elektronik ve ilgili teknolojilerde standartlar oluşturur. Birlikte ISO/IEC olarak bilinirler ve birçok farklı alanda standartlar geliştirirler. Örneğin, sağlık, otomotiv ve bilişim gibi sektörlerde önemli standartlar belirlerler. Bunların birkaçına yazımızda yer verelim.
- ISO/IEC 27001-27002: Bilgi Güvenliği Yönetimi
- ISO 27033: Ağ güvenliği
- ISO 27034: Uygulama güvenliği
- ISO 27040: Depolama güvenliği
- ISO/IEC 27701-27702: Kişisel Veri Yönetim Sistemi
Gibi birçok ISO/IEC standardı bulunmaktadır.
2.NIST (Standart ve Kılavuz)
National Institute of Standards and Technology, Amerika Birleşik Devletleri’nde bulunan bir federal ajanstır ve bilim ve teknoloji alanındaki ölçme standartlarını geliştirme ve teşvik etme amacını taşır. NIST, endüstri, akademi ve hükümet kurumlarına standartları belirleme, ölçme yöntemlerini geliştirme ve teknolojik yenilikleri teşvik etme konularında liderlik yaparak Amerika Birleşik Devletleri’nin bilim ve teknoloji alanındaki rekabet gücünü desteklemeyi hedefler. Ağ güvenliği için en önemli standartlardan bazıları ise aşağıdaki gibi sıralanmıştır.
- NIST SP 800-14
- NIST SP 800-35
- NIST SP 800-30 Rev. 1
- NIST SP 800- 53
Gibi birçok framework geliştirilip, şirketlerin bilgi güvenliği konusunda bilgi sahibi olmaları amaçlanmıştır.
3.PCI DSS (Standart ve Zorunluluk) ve FINRA
Ödeme Kartı Endüstrisi Veri Güvenliği Standardı, kısaca PCI-DSS olarak bilinir. Bu standartlar genellikle finans sektörlerinde kullanılan ve ödeme süreci içeren kuruluşları hedef alan güvenlik standartlarıdır. Bu tür bir standart için kuruluşlar, teknolojilerinin güvenlik yönlerini düzenli olarak güncellemelidirler. Ayrıca, kuruluşlar yılda en az bir kez güvenlik değerlendirmesi yapmalı veya Sızma Testi gibi yöntemleri uygulamalıdır, bu da sistemlerini ve teknolojilerini dış tehditlere karşı korumak adına önemlidir. Uyma zorunluluğu vardır.
FINRA yatırımcıları korumaya ve canlı sermaye piyasalarını kolaylaştıracak şekilde piyasa bütünlüğünü korumayı amaçlayan bir sistemdir. Standartlar, veri güvenliği ve bununla birlikte müşteri veri koruması gibi çeşitli önlemleri içermektedir.
4.HIPAA ve GDPR (Yasal Zorunluluk)
HIPAA, “Health Insurance Portability and Accountability Act” (Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası) kısaltmasıyla bilinen bir yasadır. Bu yasa, 1996 yılında ABD’de kabul edilmiş bir federal yasadır ve sağlık bilgilerinin gizliliği ve güvenliği konularında standartlar belirlemeyi amaçlar. Dolayısıyla, sağlık sektöründeki bilgi güvenliği ve gizlilik standartlarının oluşturulması için önemli bir çerçeve sunar.
HIPAA’nın ana hedefleri şunlardır:
- Sağlık sigortası taşınabilirliğini artırmak.
- Elektronik sağlık bilgilerinin kullanımını ve paylaşımını düzenlemek.
- Sağlık bilgilerinin gizliliğini ve güvenliğini korumak.
Yasada, hastaların sağlık bilgilerinin gizliliği ve güvenliği konusunda belirli standartlar ve kurallar belirlenmiştir. HIPAA, hastaların sağlık bilgilerinin izinsiz kullanımını ve ifşasını önleyerek, sağlık sektöründeki taraflar arasında güvenli bir bilgi alışverişi sağlamayı amaçlar. HIPAA, Amerika Birleşik Devletleri’nde sağlık hizmeti sağlayıcıları, sağlık sigorta şirketleri ve sağlıkla ilgili diğer organizasyonlar için yasal bir zorunluluktur.
Genel Veri Koruma Yönetmeliği (GDPR), Avrupa Birliği hukukunda, tüm Avrupa Birliği ve Avrupa Ekonomik Alanı içerisinde yer alan bireyler için veri koruma ve gizliliğine ilişkin bir yönetmeliktir. Standartlar ayrıca kuruluşun uyumluluk ekibine uyumunun nasıl yönetileceğini de içerir. Avrupa’daki şirketler ve diğer organizasyonlar, bu yasal zorunluluğa uymak zorundadır. Veri ihlali durumunda ciddi yaptırımlarla karşılaşabilirler.
OWASP, COBIT ve ITIL (Framework)
OWASP, web uygulama güvenliği konusunda bilgi paylaşımını ve kaynakları artırmayı amaçlayan bir topluluktur. Açık kaynaklı projeler ve rehberler sunarak güvenlik profesyonelleri ve yazılım geliştiricileri arasında en iyi güvenlik uygulamalarının yayılmasını hedefler. Ayrıca mobil, IoT gibi diğer alanlarla da ilgili standartlar yayımlamıştır.
COBIT yani Bilgi ve İlgili Teknolojiler için Kontrol Hedefleri, “Control Objectives for Information and Related Technologies” kısaltmasıdır. İş süreçlerinin ve bilgi teknolojilerinin etkin bir şekilde yönetilmesini sağlamak amacıyla oluşturulmuş bir kontrol çerçevesidir. IT yönetimi ve kurumsal yönetim arasında bir köprü görevi görerek organizasyonlara iş süreçleri üzerinde etkili kontrol sağlamayı amaçlar.
ITIL, “Information Technology Infrastructure Library” (Bilgi Teknolojileri Altyapı Kütüphanesi) kısaltmasıdır. IT hizmet yönetimi ve IT altyapı yönetimi için en iyi uygulamalar yönergeleri içeren bir dizi kitap ve çerçeve setidir. Ayrıca ITIL; IT hizmetlerini planlama, uygulama, destekleme ve iyileştirme süreçlerini tanımlayarak, organizasyonlara bu süreçlerde etkili bir şekilde hareket etme yönergeleri sunar.
SONUÇ
Siber güvenlik standartları, organizasyonların bilgi varlıklarını ve dijital sistemlerini korumak için belirlenmiş güvenlik ilkeleri ve en iyi uygulamaları sunar.
Kaynakça :
https://tr.wikipedia.org/wiki/ISO
https://tr.wikipedia.org/wiki/Bilgi_Teknolojisi_Altyap%C4%B1_K%C3%BCt%C3%BCphanesi
https://sipay.com.tr/blog/pci-dss-uyumlulugu-pci-dss-compliance-nedir
https://www.hhs.gov/hipaa/index.html
Bu konuyla ilgili Güvenlik Modelleri yazımıza buradan ulaşabilirsiniz.