ISO 19791 Bilgi Teknolojileri Güvenliği Belgesi, ISO / IEC TR 19791: 2010

ISO/IEC TR 19791 Bilgi Teknolojileri Güvenliği Belgesi Nedir?

ISO/IEC TR 19791:2010, faaliyet halindeki bilgi sistemlerinin güvenlik değerlendirmesi için yöntem ve kriterler tanımlayan teknik bir rapordur. ISO/IEC 15408 (Common Criteria) ailesini tamamlayıcı nitelikte hazırlanmış olup donanım, yazılım, ağ bileşenleri, prosedürler ve insan unsurunun birlikte değerlendirildiği işletim ortamlarına odaklanır. Standart, yalnızca tek bir ürünün değil; sahadaki tüm sistemin güvenlik duruşunun ölçülmesini sağlar. Risk analizi, güvenlik gereksinimlerinin belirlenmesi ve uygunluk doğrulaması bu çerçevenin temel adımlarını oluşturur.

ISO/IEC TR 19791 Hangi İşletmelere Yönelik?

Kritik bilgi varlıklarını barındıran kurumlar bu çerçeveden öncelikli olarak yararlanır. Bankacılık ve finans, telekomünikasyon operatörleri, kamu kurumları, savunma sanayii, sağlık verisi işleyen hastaneler, e-ticaret platformları ve veri merkezi hizmeti sunan şirketler standardın kapsamına girer. Ayrıca SCADA tabanlı endüstriyel kontrol sistemleri, akıllı şehir altyapıları ve büyük ölçekli ERP kurulumları gibi karmaşık operasyonel ortamlar için de uygun bir referanstır. Tedarik zinciri içerisinde dış denetime tabi olan işletmeler de gereksinimleri sağlamak amacıyla bu rapora başvurur.

Belgelendirme Süreci ve Denetim Aşamaları

Süreç, kapsam tanımıyla başlar. Hangi sistem bileşenlerinin değerlendirileceği, sistemin sınırları ve operasyonel ortam parametreleri belirlenir. Ardından varlık envanteri çıkarılır, tehdit modellemesi yapılır ve riskler önceliklendirilir. İkinci aşamada güvenlik hedefleri (Security Target) hazırlanır; bu doküman, sistemin karşılaması gereken kontrolleri ve test kriterlerini içerir. Üçüncü aşamada teknik kontroller, prosedürel önlemler ve fiziksel güvenlik tedbirleri uyumluluk açısından gözden geçirilir. Saha denetimi sırasında konfigürasyon kayıtları, erişim yönetimi, olay müdahale prosedürleri ve sızma testi raporları incelenir. Tespit edilen uygunsuzluklar düzeltici faaliyetlerle kapatılır ve kalıcı izleme planı kurgulanır. Süreç düzenli aralıklarla tekrarlanan gözetim denetimleriyle sürdürülür.

ISO/IEC TR 19791 Belgesinin Faydaları

• Sistem Düzeyinde Görünürlük: Tek tek ürünler yerine tüm operasyonel ortamın güvenlik durumu ölçülebilir hale gelir.
• Risk Tabanlı Karar Alma: Yatırımlar, en yüksek tehdit yüzeyine sahip alanlara yönlendirilir.
• Tedarik Zinciri Güveni: İş ortakları ve müşteriler nezdinde teknik yetkinlik kanıtlanır.
• Uyum Hazırlığı: KVKK, ISO/IEC 27001 ve sektörel düzenleyici beklentilerle örtüşen bir çerçeve sunar.
• Olay Müdahale Olgunluğu: Tehdit senaryolarına karşı planlı ve test edilmiş tepki mekanizmaları kurulur.
• Sürekli İyileştirme: Periyodik denetimler güvenlik açıklarının erken kapatılmasına imkân tanır.

Sistem Kalite'nin ISO/IEC TR 19791 Danışmanlık Hizmetleri

Sistem Kalite, bilgi teknolojileri güvenliği değerlendirmesi yapacak işletmelere uygulanabilir bir yol haritası sunar. Saha bilgisini standardın gerektirdiği belgesel disiplinle birleştirir.

• Ön Değerlendirme: Mevcut güvenlik kontrolleri, varlık envanteri ve tehdit yüzeyi haritalanır; eksiklik raporu çıkarılır.
• Kapsam ve Hedef Tanımı: Sistem sınırları çizilir, güvenlik hedefleri (Security Target) yazılır ve değerlendirme kriterleri netleştirilir.
• Kontrol Tasarımı: Erişim yönetimi, kayıt tutma, kriptografi ve olay müdahale süreçleri standartla uyumlu biçimde düzenlenir.
• Test ve Doğrulama: Sızma testleri, konfigürasyon denetimleri ve prosedürel tatbikatlarla kontrollerin işlerliği sınanır.
• Belgelendirme Desteği: Akredite kuruluşla yürütülen denetim sürecinde teknik dokümantasyon ve düzeltici faaliyet planları hazırlanır.

Sistem Kalite, 1999'dan bu yana farklı sektörlerden işletmelere yönetim sistemleri ve bilgi güvenliği danışmanlığı veriyor. Bilgi teknolojileri güvenliği değerlendirmesi söz konusu olduğunda hem teknik altyapıyı hem de süreç tarafını birlikte ele alarak işletmelerin denetime hazır bir konuma ulaşmasını sağlar.