Developing a search tool for information security management systems standards

Abstract

Bilgi güvenliği denetçilerinin ve uzmanlarının bilgi güvenliği standartlarına erişirken ve bunların üzerinde çalışırken bir takım problemle karşılaştıkları gözlenmiştir. Bu problemlerden bazıları; standartlara tek bir noktadan kolay bir şekilde erişilememesi, standartların bir birleriyle ve önceki sürümleriyle hızlı bir şekilde karşılaştırıp analiz edilememesi ve hangi standardın kuruma uygulanması gerektiğine karar vermede yaşanan zorluklardır. Bu tez çalışmasında, Bilgi Güvenliği Yönetim Sistemleri (BGYS) standartları için açık kaynak yazılım geliştirme platformları kullanarak bir arama aracı geliştirilip uygulanması amaçlanmıştır. Bu arama aracı sayesinde BGYS standartları bir veri tabanına yüklenebilmektedir. Böylece BGYS denetçileri ve uzmanları standartlara istediği zaman ve istediği yerde kolayca erişebilmektedir. Ayrıca, kullanıcılar standartlar içinde anahtar kelime aratabilmekte; arama işlemi ile çıkan sonuçlar, ilgili standardın başlık numarası ile beraber tek bir sayfada listelenmektedir. Kullanıcı anahtar kelimenin hangi başlıklar altında ve hangi yoğunlukta kullanıldığını kolayca görebilmektedir. Ayrıca anahtar kelimenin standart bazında kullanım sıklığını gösterir bir grafik sunularak standartları kıyaslamaya imkânı da tanınmıştır.Bilgi Güvenliği Yönetim Sistemi standartları temel alınarak geliştirilen bu araç ile amaçlanan bilgi güvenliği standartlarına erişimi ve standartlar üzerinde çalışmayı kolaylaştırmaktır. ISO/IEC 27000 standart ailesi kullanılarak yapılan örnek bir çalışma ile aracın uygulaması başarı bir şekilde gerçekleştirilmiştir.

It is observed that information security auditors and experts experience a number of problems while accessing and working on information security standards. Some of these problems emanated from inaccessibility of security standards from a single point in an easy way; not being able to quickly compare and analyze standards with one another and from previous versions, and difficulties in deciding which standard should be used. This thesis focuses on the development and implementation of a search tool for information security management systems (ISMS) standards by using open source software development platforms.ISMS standards can be loaded to a database by using the search tool. This results in ISMS experts and auditors being able to reach the desired security standards easily at anytime and anywhere with just an internet connection. Users can search keywords within the standards and at the end of the search process, results are listed on a single page with the number of the title of the relevant standards. Users can also effortlessly see how often the searched keywords are included in each title. On the result page a chart is generated that displays the frequency of the keyword based on standards. This provides users with the ability to compare standards with one another.The development of this tool has been based on ISMS standards, which is aimed at easing the use of, accessing and working with these standards. In this thesis, a case study of the tool was implemented successfully by using the ISO 27000 family of standards.