21 Eylül 2015

Tedarikçi Bilgi Güvenliği Denetim Rehberi

BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri

Tedarikçi Bilgi Güvenliği Denetim İhtiyacı


Günümüzde kurumlar, ihtiyaçlarının artmasıyla birlikte bünyelerinde oluşan iş ihtiyaçlarına karşılık verememekte ve dış kaynak kullanımına ihtiyaç duymaktadır. Dış kaynak kullanımı yazılım geliştirme, bilgi sistem varlıklarını satın alma, internet altyapısı v.b. konularda öne çıkmaktadır. Tedarikçi bilgi güvenliği denetim ihtiyacı gün geçtikçe daha da belirginleşmektedir.

Kurumlar kendi içlerinde bilgi güvenliği kontrollerini uygulamaya çalışırken tedarikçiler ile yapılan çalışmalarda bilgi güvenliği kontrollerini çoğu zaman göz ardı etmektedir. Tedarikçiler kod geliştirme ve çalıştırma, kurum bünyesinde kurum çalışanı ile aynı fiziksel giriş kontrollerine sahip olma, kuruma uzaktan bağlantı kurma gibi ayrıcalıklı haklara sahip olabilmektedir.

Bu yazımızda kurumların tedarikçileri ile çalışırken bilgi güvenliği anlamında dikkat etmesi gereken hususlar ISO27002:2013 kontrolleri göz önünde bulundurularak anlatılmıştır.

Tedarik süreci ve tedarikçiler ile ilgili kontroller aşağıdaki kontrol madde başlıklarında geçmektedir.

5.1.1 Policies for information security
6.1.1 Information security roles and responsibilities
12.5.1 Installation of software on operational systems
13.1.2 Security of network services
13.1.3 Segregation in networks
14.1.1 Information security requirements analysis and specification
14.2.1 Secure development policy
14.2.4 Restrictions on changes to software packages
14.2.5 Secure system engineering principles
14.2.7 Outsourced development
14.2.8 System security testing
14.2.9 System acceptance testing
15.1.1 Information security policy for supplier relationships
15.1.2 Addressing security within supplier agreements
15.1.3 Information and communication technology supply chain
15.2.1 Monitoring and review of supplier services
15.2.2 Managing changes to supplier services
18.1.2 Intellectual property rights
18.1.4 Privacy and protection of personally identifiable information

Yukarıdaki sıralamada görüldüğü üzere tedarikçi kontrolleri ISO27002:2013 kontrol listesinde önemli yer kaplamaktadır.

Tedarikçi ilişkileri ile ilgili yapılması gereken kontrolleri aşağıda bulabilirsiniz.
İlk olarak göz önünde bulundurulması gereken kontrol kuruma ait bilgi güvenliği politikasının tedarikçi yönetim politikasını içermesi konusudur. Tedarikçiler ile ilgili kontroller bu kısımda yazıya dökülmüş halde olsalar bile alt politika ve prosedürler ile detaylı olarak ele alınmalıdır.

Tedarikçi ilişkileri bilgi güvenliği politikası:

  • organizasyon varlıklarına erişimi olan tedarikçi tiplerinin belirlenmesini ve dokümante edilmesini,
  • tedarikçi ilişkileri yönetimi için standart bir süreç ve yaşam döngüsü tanımlanmasını,
  • farklı tedarikçi tiplerinin erişebileceği organizasyonel veri tiplerinin tanımlanmasını, bu erişimlerin izlenmesini ve kontrolünü gerektirmesini,
  • veri tipi ve veri erişim yöntemi için sağlanması gereken minimum bilgi güvenliği gereksinimlerinin tanımlamasını,
  • her iki taraf için de işlenen ve saklanan verilerin doğruluğu ve tamlığı için veri bütünlüğü kontrollerini,
  • tedarikçilere organizasyonun bilgi varlıklarını korumaları için gerekli kontrolleri,
  • tedarikçi erişimleri ile ilgili oluşabilecek güvenlik olaylarını ele alma sorumluluklarını,
  • yedeklilik ve felaket kurtarma kontrollerini uygulamasını,
  • tedarikçi seçimi ve tedarik sürecini yönetecek personelin farkındalık eğitimi almalarını,
  • tedarikçi hizmetlerinin kullanımına başlayabilmek için gerekli veri, sistem ve diğer tüm taşımaların yönetilmesini, geçiş periyodunda bilgi güvenliğinin sağlanmasını gerektirmesini içermelidir.

Tedarik edilmiş uygulama veya sistem yazılımı güncellemelerinden önce gerekli testlerin gerçekleştirildiğinden emin olunmalıdır. Bu kontrole ek olarak sistem güncellemelerinden sonra da gerekli güvenlik testleri de uygulanmalıdır.

Tedarik edilmiş ve hali hazırda kullanılan yazılımların üreticileri tarafından desteklenen versiyon seviyesinde tutulduğundan emin olunmalıdır.

Yazılım tedarikçilerine verilen fiziksel ve mantıksal erişimlerin yönetim tarafından onaylanmış olması sağlanmalı ve periyodik olarak verilen erişim hakları kontrol edilmelidir. Kurumlar genel olarak özellikle yazılım tedarikçilerine verilen yetkileri periyodik olarak kontrol etmemekte ve bu durum olası güvenlik zafiyetlerine sebep olmaktadır.

Yazılım tedarikçilerinin destek faaliyetleri (ör: tedarikçi personelinin sistem üzerinde çalıştırdığı komutların iz kayıtlarının tutulması ve incelenmesi gibi) izlenmelidir.

Tedarikçiler ile yapılan anlaşmalarda alınan hizmetle ilgili olarak güvenlik kontrol gereksinimleri, hizmet seviyeleri ve yönetim gereksinimleri belirtilmelidir.

Ağ hizmet sağlayıcısı seçiminde, tedarikçinin sağlayacağı hizmetleri güvenli biçimde sağlama yetkinliğine sahip olup olmadığı değerlendirilmeli ve hizmet sözleşmesinde denetim hakkı belirtilmelidir.

Tedarik edilen sistemler için bilgi güvenliği gereksinimlerine uygunluğu güvence altına alacak resmi test ve kabul süreçleri uygulanmalıdır.

Tedarik edilen sistemlerin barındırdığı ihtiyaç duyulmayan fonksiyonlar değerlendirilmeli ve güvenlik riski oluşturacaklarına karar verildiğinde geçersiz hale getirilmelidir.

Yazılım geliştirme sırasında dış kaynak kullanımının gerekli olduğu durumlarda tedarikçi firmanın güvenli yazılım geliştirme kurallarını uyguladığından emin olunmalıdır.

Tedarik edilen hazır yazılım paketlerinde yapılacak olan değişikliklerden önce kurum içinde yapılacak olan güvenlik ve olası akmalara karşı kontrollerde tedarikçilerin görüşleri de alınmalıdır.

Ürün ve hizmet tedarikçilerinin güvenli sistem mühendislik prensiplerini en az organizasyonun seviyesinde uygulayıp uygulamadıkları denetlenmelidir.

Dış kaynak kullanılarak geliştirilen yazılımlar için geliştirilen tehdit modeli ve bu modele karşılık geliştirilmesi gereken kontroller tedarikçi firmaya iletilmedir.

Dış kaynak kullanılarak geliştirilen yazılımların kaynak kodları kurumun erişiminde olmayacaksa kaynak kodlarının güncel versiyonları tedarikçi firmanın destek faaliyetine herhangi bir nedenle devam edememesi riskine karşı belirlenen bir yeddieminde muhafaza edilmesi garanti altına alınmalıdır.

Tedarik edilen yazılımlar için yazılım geliştirme ve derleme ortamına ilişkin bilgilerin tedarikçi firma tarafından dokümante edilmesi ve tedarikçi firmadan teslim alınması sağlanmalıdır.

Tedarik edilen yazılımlar için kullanıcı kabul testleri gerçekleştirilmedir.

Tedarikçi sözleşmelerinde sağlanacak veya erişilecek bilgilerin tanımları ile bu bilgilerin sağlanma veya erişim metodları belirtilmelidir.

Tedarikçi sözleşmelerinde paylaşılacak olan bilgilerin kabul edilebilir kullanım kuralları ve gerekiyorsa kabul edilemez kullanım durumları belirtilmelidir.

Tedarikçi sözleşmelerinde bilgilere erişecek tedarikçi personelinin listesi veya erişim yetkilendirme ve yetki kaldırma prosedürleri belirtilmelidir.

Tedarikçi sözleşmelerinde bilgi güvenliği olay müdahale prosedürleri (özellikle olay bildirimi ve olay müdahalesinde işbirliği kuralları) belirtilmelidir.

Tedarikçi sözleşmelerinde tedarikçilerin periyodik olarak bağımsız iç kontrol denetim geçirmeleri ve raporlarını teslim etmeleri istenmelidir.

Tedarikçi sözleşmelerinde tedarikçi hizmet ve üretim süreçlerinde yaşanabilecek kesintilere karşı uygulanacak süreklilik prosedürleri belirtilmelidir.

Tedarikçi sözleşmelerinde, tedarikçilerin bilgi ve iletişim teknolojileri hizmet ve ürün tedarik zincirleriyle ilgili bilgi güvenliği risklerine ilişkin gereksinimler yer almalıdır. Tedarikçilerin alt yüklenici kullanması söz konusu olacağından kendi tedarikçi ilişkileri ile ilgili kontroller önem kazanmaktadır.

Tedarikçi sözleşmelerinde teslim edilecek olan ürünlerin beklendiği gibi çalışacakları ve beklenmeyen / istenmeyen işlevlere sahip olmayacakları güvence altına alınmalıdır.

Tedarikçi hizmetleri yönetim süreci tedarikçilerin hizmet içerik ve kapasitesinin yeterliliğinden ve herhangi bir hizmet kesintisi veya felaket durumunda uygulanabilir iş sürekliliği planlarına sahip olduklarından emin olunmasını gerektirmelidir.

Tedarikçi hizmetlerindeki değişiklikler, hizmet kapsamına giren sistem ve süreçlerin kritikliğine bağlı olarak, yeniden risk analizi yapılması suretiyle değişen bilgi güvenliği ihtiyaçları açısından yönetilmelidir.

Tedarik edilen yazılımlar lisans haklarının ihlal edilmediğinden emin olmak için sadece itibarlı/güvenilen kaynaklardan tedarik edilmelidir.

Tedarikçiler ile ilgili kontroller tabi ki anlatılanlar ile sınırlı kalmayacaktır. Bahsi geçen kontrol maddeleri daha da genişletilebilir. Yukarıda bahsi geçen kontroller ISO27001:2013 standardına göre hazırlanmıştır. Kuruma ait iş ihtiyaçlarına uygun olarak diğer standartlarda geçen kontroller de eklenebilir.

BTRisk firması olarak bilgi güvenliği anlamında tedarikçi denetimi yapmakta, uygulama risklerinin geliştirme sırasında bertaraf edilebilmesi için güvenli yazılım geliştirme danışmanlığı sağlamaktayız.