Bilgi güvenliği yönetim sistemi alt yapısının değerlendirilmesi için bir test aracı geliştirilmesi

Abstract

Bu çalısmada, kurumların bilgi güvenliğini hangi basarılılıkta uyguladıklarınısaptamak için, ISO/IEC 27001:2007 Bilgi Güvenliği Yönetim Sistemi prensiplerininkullanıldığı web tabanlı bir test aracı gelistirilmistir. Bu test aracı, kurumlardaki bilgigüvenliği altyapısının zaman içindeki durumlarının izlenmesi amacıylada kullanılabilir.Test aracı, popüler bir açık kaynak programlama dili olan PHP ile gelistirilmis; veritabanı yönetim sistemi olarak ise yine açık kaynak mimarisine sahip MySQLkullanılmıstır.Web tabanlı olarak hazırlanan çevrim içi (online) anket seklindeki bir envantersistemi yardımıyla toplanan bilgiler ISO/IEC 27001 ölçütleri çerçevesindedeğerlendirilerek, envanteri dolduran kurumun/sirketin (hem kurumsal, hem de her birçalısanı bazında bireysel) bilgi güvenliği altyapısı ile ilgili çıkarımlarda bulunulmustur.Ayrıca, sektörel bazda istatistiksel çıkarımlar da yapılarak, ülkemizdeki durumun kendiiçinde ve dünyadaki diğer örnekleriyle karsılastırılması hedeflenmistir.Çalısma, ?Bilgi Güvenliği Yönetim Sistemi?nin kurum içindeki süreçlerekatkısını da ortaya çıkartmaktadır. Çalısmanın son ürünü, Bilgi Güvenliği YönetimSistemi altyapısını değerlendirip, raporlayan bir test aracıdır (yazılım sistemi). Busistem, aynı zamanda, kendi içinde temel bir yönetim modülüne de sahiptir. Böylece,envanter soruları, yorumlar, bilgi güvenliği temel alanları gibi unsurlar kolaycadeğistirilebilir ve yenileri eklenebilir. Envanteri dolduran firmalarla ilgili tüm bilgiler veenvanter yanıtları tüm detayları ile raporlanAbilir.Bu araç, bilgi güvenliği yönetim sistemini olusturmus firmalarla test edilmis vegüvenilirliği kanıtlanmıstır. Daha sonra, farklı sektörlerden 22 firmaya uygulanmıs veelde edilen sonuçlar listelenmistir.Anahtar Kelimeler ? Bilgi Güvenliği, Bilgi Güvenliği Yönetim Sistemi, ISO 27001

In this work a web tool has been developed to detect how a companysuccessfully implement the information security principles. The tool uses the securitymanagement principles defined in the ISO/IEC 27001:2007. The development languagefor the tool is PHP and data collected is stored in a database which is developed inMySQL. Open source instruments have been choosen because of their extensive supportand usage.The web tool collects data about the company and its IT infrastructure, thenthroughout an inventory, it explores the strong and weak sides of the company in termsof ISO27001 based information security principles. The tool then generates a reportshowing the status of the company with some advices and numerical indicators showinghow that company successfully implements the information security principles. ISO/IEC27001 divides all of the areas of the information security management into eleven subtopicswhich are called as `security areas`. The current test tool produces ISO/IEC27001 compatible evaluation reports and gives a measure on how successful thecompany's implementation is.Since the tool collects company information as well as the information securityinventory results it is, as a priori, an invaluable instrument to findout the nation-wideinformation security practices all over the Turkey. It has a basic management interfacewith which a backoffice user (i.e. admin) can manage the system. The inventoryquestions and answers and security main categories can be modified throughout a webinterface. Additionally, the stored inventories and company information can be listedand searched a great detail.The tool is tested through the companies which already have a securitymanagement system. The test results show that it successfully handles the security andgives correct results. The web tool then applied to 22 companies from different sectorsand data were collected and presented.Keywords ? Information Security, Information Security Management System, ISO 27001