Politikalar, Roller ve Sorumluluklar

ISO 27001 ve BGYS

👤 Güvenlik Uzmanı★ 2/3⏱ 12 dk

İnteraktif sahne yükleniyor…

🎯 Neden önemli?

Verizon'un 2023 DBIR raporuna göre ihlallerin yaklaşık %74'ünde insan faktörü (hata, kötüye kullanım, sosyal mühendislik) rol oynuyor. Peki şirketinizde bir bilgi sızıntısı yaşansa, "bundan kim sorumlu?" sorusunun yazılı, net bir cevabı var mı?

Giriş

Merhaba, ben Güvenlik Uzmanı. Bu derste bilgi güvenliğinin teknik değil yönetimsel temelini öğreniyoruz: politikalar, roller ve sorumluluklar. ISO 27001 bir Bilgi Güvenliği Yönetim Sistemi (BGYS) standardıdır ve en kritik şartlarından biri herkesin "ne yapması gerektiğini" yazılı olarak bilmesidir. Soldaki interaktif erişim kontrolü sahnesinde (secAccessControl3D) farklı rollerin (yönetici, çalışan, ziyaretçi) hangi kaynaklara erişebildiğini ve "görevler ayrılığı" ile "bilmesi gereken" ilkesinin nasıl işlediğini inceleyip dene.

Anlatım

BİLGİ GÜVENLİĞİ POLİTİKASI NEDİR? Bilgi güvenliği politikası, üst yönetim tarafından onaylanmış, kurumun bilgi varlıklarını nasıl koruyacağını belirleyen en üst düzey yazılı belgedir. ISO 27001:2022 Madde 5.2 (Politika) bu belgeyi zorunlu kılar; Annex A 5.1 (Bilgi güvenliği için politikalar) ise alt politikaları kapsar. • NEDEN ÖNEMLİ? Politika olmadan güvenlik kişiye bağlı, tutarsız ve denetlenemez olur. Politika; beklentiyi tanımlar, sorumluluğu paylaştırır ve bir ihlal olduğunda referans noktası sağlar. • İYİ POLİTİKANIN ÖZELLİKLERİ: Üst yönetimce onaylı, yayımlanmış ve tüm çalışanlara duyurulmuş, düzenli (en az yılda bir) gözden geçirilen, kuruma özgü ve uygulanabilir. POLİTİKA HİYERARŞİSİ 1) Ana Politika: Genel ilkeler, yönetim taahhüdü. 2) Konuya Özel Politikalar: Kabul edilebilir kullanım, parola, temiz masa/ekran, uzaktan çalışma, e-posta, mobil cihaz. 3) Prosedürler ve Talimatlar: Adım adım "nasıl" yapılacağı. Çalışan olarak en çok "Kabul Edilebilir Kullanım Politikası" (KEKP / AUP) ile karşılaşırsınız. ROLLER VE SORUMLULUKLAR (ISO 27001 Annex A 5.2) • ÜST YÖNETİM: BGYS'nin sahibidir; kaynak ayırır, politikayı onaylar, güvenlik kültürünü yukarıdan başlatır ("tone at the top"). Sorumluluk devredilebilir ama HESAP VEREBİLİRLİK devredilemez. • CISO / Bilgi Güvenliği Yöneticisi: Programı yönetir, riskleri raporlar, politikaları günceller. • VARLIK SAHİBİ (Asset Owner, Annex A 5.9): Her bilgi varlığının (müşteri veritabanı, kaynak kod, İK dosyaları) tanımlı bir sahibi olmalıdır; sınıflandırma ve erişim kararlarından sorumludur. • BT / SİSTEM YÖNETİCİSİ: Teknik kontrolleri uygular (yedek, yama, erişim hakları). • TÜM ÇALIŞANLAR: Politikalara uymak, olayları bildirmek, kendi hesaplarını korumak. Güvenlik herkesin işidir. • İK ve HUKUK: İşe alım/ayrılış güvenliği, gizlilik sözleşmeleri, disiplin süreci. • KVKK kapsamında ayrıca: Veri Sorumlusu (kurum), gerekli hallerde Veri Sorumlusu İrtibat Kişisi (VERBİS), büyük ölçekli işlemede uygun görülürse Veri Koruma Görevlisi. İKİ ALTIN İLKE (sahnede görselleştirilir) • BİLMESİ GEREKEN (Need-to-Know) + EN AZ AYRICALIK (Least Privilege): Kişi yalnızca işini yapmak için gereken bilgiye ve yetkiye erişir. Annex A 8.2/8.3 ile uyumludur. • GÖREVLER AYRILIĞI (Segregation of Duties, Annex A 5.3): Tek bir kişi kritik bir işlemin tüm aşamalarını (örn. hem ödemeyi oluşturup hem onaylayan) tek başına tamamlayamaz; bu, hata ve kötüye kullanımı azaltır. YAPILMASI GEREKENLER (DO) • İşe başladığında ilgili politikaları oku ve gizlilik/onay formunu imzala. • Kendi rolünün güvenlik sorumluluğunu bil; emin değilsen yöneticine/CISO'ya sor. • Şüpheli bir durumu (yetkisiz erişim, kayıp cihaz, oltalama) GECİKMEDEN olay bildirim kanalına raporla. • Erişim haklarının yalnızca işin için gerekenle sınırlı olmasını talep et. YAPILMAMASI GEREKENLER (DON'T) • "Bu benim işim değil, BT halleder" deme — sorumluluk paylaşılmıştır. • Sahibi olmadığın veriye "merak ettiğim için" erişme (bilmesi gereken ihlali). • Politikaları okumadan kabul etme; bir kuralı "işi hızlandırmak için" atlama (örn. yetkiyi başkasıyla paylaşma). • Bir görevi tek başına baştan sona, kontrolsüz tamamlamaya çalışma (görevler ayrılığını delme).

📌 Senaryolar

📌 Senaryo 1 (Bilmesi gereken ihlali): Muhasebe departmanındasın ve İK sisteminde bir meslektaşının maaş bilgisine teknik olarak erişebildiğini fark ettin. Merakla bakmak istiyorsun.
  Doğru davranış: Erişme. Sadece işin için gerekli veriye bakılır; durumu (gereksiz geniş yetki) BT/varlık sahibine bildir ki yetki daraltılsın.
  Sonuç/Neden: "Bilmesi gereken" (need-to-know) ve en az ayrıcalık ilkesi; yetkisiz erişim ISO 27001 Annex A 8.2 ile çelişir ve KVKK kapsamında kişisel veriye hukuka aykırı erişimdir.

📌 Senaryo 2 (Görevler ayrılığı): Bir tedarikçi ödemesini sistemde hem sen oluşturuyor hem de tek başına onaylayabiliyorsun.
  Doğru davranış: Bu durumu yöneticine/iç kontrole bildir; oluşturan ile onaylayanın FARKLI kişiler olması sağlanmalı.
  Sonuç/Neden: Görevler ayrılığı (Annex A 5.3) sahtekârlık ve hatayı azaltır; tek kişide toplanan kritik yetki bir iç tehdit riskidir.

📌 Senaryo 3 (Politikayı okumadan kabul): Yeni başladın, İK 'şu politikaları okudum' kutusunu işaretlemeni istedi; acelen var, okumadan onaylamak üzeresin.
  Doğru davranış: Önce Kabul Edilebilir Kullanım ve Gizlilik politikalarını oku, anlamadığın yeri sor, sonra bilinçli onayla.
  Sonuç/Neden: Politika onayı yasal ve disiplin açısından bağlayıcıdır; ISO 27001 farkındalık şartı (Annex A 6.3) bilinçli kabul gerektirir, körü körüne tık değil.

📌 Senaryo 4 (Sahiplenmeme tuzağı): Ortak bir klasörde sınıflandırılmamış, sahibi belirsiz hassas bir müşteri listesi buldun; 'benim sorumluluğum değil' diye geçmek istiyorsun.
  Doğru davranış: Durumu CISO/veri sahibine veya yöneticine bildir; varlığın bir sahibi ve sınıflandırması atanmalı.
  Sonuç/Neden: Annex A 5.9 her bilgi varlığına bir sahip atanmasını ister; sahipsiz hassas veri sızıntı riskidir ve 'güvenlik herkesin işidir' ilkesi raporlamayı senin de sorumluluğun yapar.

📌 Senaryo 5 (Yetki ödünç verme): Bir meslektaşın izinde; acil bir rapor için senden sistem şifreni 'sadece bugünlük' istiyor.
  Doğru davranış: Şifreni paylaşma; bunun yerine yetkili erişim için BT'den geçici/uygun yetki talep etmesini söyle.
  Sonuç/Neden: Hesaplar kişiseldir ve hesap verebilirliği sağlar; şifre paylaşımı parola politikasını ve iz kaydı (kim ne yaptı) bütünlüğünü bozar, bir ihlalde sorumluluğu sana yıkar.

Özet

• Bilgi güvenliği politikası üst yönetimce onaylanan en üst belgedir (ISO 27001 Md. 5.2 / Annex A 5.1). • Roller tanımlıdır: üst yönetim hesap verir, varlık sahibi sahiplenir, BT uygular, HER çalışan uyar ve raporlar. • Bilmesi gereken + en az ayrıcalık: yalnız işin için gereken erişim. • Görevler ayrılığı: kritik işin tüm adımları tek kişide toplanmaz (Annex A 5.3). • Sorumluluk devredilir, hesap verebilirlik devredilmez; güvenlik herkesin işidir. • Politikaları oku, bilinçli onayla, şüpheli durumu gecikmeden bildir.

✅ Mini-Test (5)

1.Bir kurumun bilgi güvenliği ana politikasını onaylamak ve yürürlüğe koymak öncelikli olarak kimin sorumluluğundadır?

2."Bilmesi gereken (need-to-know)" ilkesi neyi ifade eder?

3.Üst yönetim güvenlik görevlerini ekiplere devredebilir, ancak bilgi güvenliğine ilişkin nihai hesap verebilirlik üst yönetimde kalır.

4.Bir ödeme işleminin oluşturulması ile onaylanmasının farklı kişiler tarafından yapılmasını gerektiren kontrol ilkesi hangisidir?

5.Her bilgi varlığının (örn. müşteri veritabanı) tanımlı bir sahibinin olması ISO 27001'de hangi gerekçeyle istenir?

🧩 Uygulama Soruları (5)

1.İşe yeni başladın ve İK 'Kabul Edilebilir Kullanım Politikası'nı okuyup onaylamanı istedi. Çok işin var. En doğru davranış hangisidir?

2.İzinde olan bir meslektaşın, acil bir rapor için sistem parolanı 'sadece bugünlük' kullanmak istiyor. Ne yaparsın?

3.Bir e-postada 'IT departmanı' adına gelen, hesabının kilitleneceğini söyleyip linke tıklayıp parola girmeni isteyen şüpheli bir mesaj aldın. İlk ve en doğru adım hangisidir?

4.Ortak bir ağ klasöründe sınıflandırılmamış, sahibi belirsiz, hassas görünen bir müşteri listesi buldun. Ne yapmalısın?

5.Yöneticin sana yeni bir projeye yardım için sistemde çok geniş bir erişim yetkisi verdi; oysa sana sadece bir modül lazım. Bilgi güvenliği açısından en uygun tutum nedir?

← Annex A Kontrol Alanları Risk Değerlendirme ve İşleme →

← Tüm modüllere dön · Güvenlik Sözlüğü