Bilgi Güvenliği İlkesi

Giriş

Crowdin Bilgi Güvenliği İlkesi (bundan böyle İlke) bilgi güvenliğinin amaçlarını ve temel ilkelerini tanımlar. Bilgi güvenliği, özelliklerinin uygun düzeyinin uygulanması ve sürdürülmesi anlamına gelir.

İlkeler gereksinimleri tüm Crowdin kuruluşu ve bütün iş süreçleri için geçerlidir ve bu iş süreçlerine dahil olanların yanı sıra tüm çalışanlar için zorunludur. İlkenin gerekliliklerine uygunluk Crowdin’in stratejik amaç ve hedeflerine ulaşmak için önemli bir husustur.

Crowdin bilgi güvenliği ilkesi ISO / IEC 27001: 2022 ve DSTU ISO / IEC 27001: 2015 gereksinimlerini karşılar.

Bu ilke şunları ayarlar:

  • Kuruluşun bağlamı
  • Crowdin’in amacı ile ilgili iç ve dış konular
  • Bilgi güvenliği yönetim sistemleriyle ilgili, ilgili taraflar (bundan böyle BGYS)
  • Bu ilgili tarafların BGYS ile ilgili gereksinimleri
  • Bilgi güvenliği hedefleri
  • Bilgi güvenliği ilkesi taahhütleri
  • Bilgi Güvenliği sorumlulukları
  • Ölçüm

Bilgi güvenliği süreçleri, Crowdin’in rehberliğini standartlar, ilkeler, düzenlemeler ve diğer iç düzenleyici belgeler şeklinde açıklar, resmi olarak tanımlar ve onaylar.

Kuruluşun bağlamı

ISO’ya göre, bir Kuruluşun bağlamını tanımlamak bir “iş ortamı”, “kuruluşun yaklaşımının onun ürününü, hizmetini ve yatırımlarını ve ilgili taraflarını etkileyebilecek iç ve dış etkenlerin ve koşulların birleşimidir”.

Crowdin, 2 milyondan fazla kullanıcı hesabına sahip bir ürün şirketidir.

Crowdin’in yazılım çözümü, farklı dilleri konuşan insanlara ulaşarak büyümelerini hızlandırmak için herhangi bir şekil ve boyuttaki şirkete güç verir.

Crowdin ekibi, paylaşılan bir hedefe doğru tutkuyla çalışır: çevik yerelleştirme potansiyelini genişletmek için. İlk günden bugüne kadar Crowdin’in görevi bunu her zaman basit tutmak ve Crowdin’in müşterilerini olağanüstü bir kullanıcı deneyimi ve en son teknoloji çözümleriyle şaşırtmak olmuştur.

Crowdin’in ana sanayi sektörü hizmet olarak Yazılım’dır.

BGYS’nin amacı, Crowdin’in potansiyel ve gerçek güvenlik olayları karşısında hala tanımlanmış iş hedeflerini yerine getirebilmesini ve ilkelerine uymasını sağlamaktır.

İlkeler kuruluş tarafından çeşitli alanlarda belirlenmiştir ve bunların karşılandığından emin olmak için bilgi güvenliği planlama sürecinde bunlar dikkate alınmak zorundadır.

Başlıca ilgili ilkeler şunlardır:

  • İş Sürekliliği Planı
  • Bilgi Güvenliği Yönetimi Ana Yapısı
  • Risk Değerlendirme Metodolojisi
  • Risk Bakım Rehberi
  • Olay Müdahale Planı
  • Kabul Edilebilir Kullanım İlkesi
  • Erişim Denetimi İlkesi
  • Temiz Masa ve Temiz Ekran İlkesi
  • Kötü Amaçlı Yazılımlara Karşı Denetim İlkesi
  • Kriptografi İlkesi
  • İnsan Kaynakları Güvenlik İlkesi
  • Bilgi Yedekleme İlkesi
  • Bilgi Sınıflandırma ve Etiketleme İlkesi
  • BG Risk Yönetimi İlkesi
  • Günlükleme ve İzleme İlkesi
  • BGYS İlkesinin etkinliğinin izlenmesi ve değerlendirilmesi
  • Ağ Güvenliği İlkesi
  • Parola İlkesi
  • Fiziksel Güvenlik İlkesi
  • Geliştirme ve Bakım Süreçlerinde Güvenlik İlkesi
  • Görev Ayrılığı İlkesi
  • Tedarikçi İlişkileri Güvenliği İlkesi
  • İş İstasyonu Güvenliği İlkesi
  • Değişim Yönetimi İlkesi
  • İletişim Prosedürü
  • Düzeltici ve Önleyici Eylemler Prosedürü
  • Disiplin prosedürü
  • Belge denetim prosedürü
  • İç Denetleme Prosedürü
  • Bilgi varlıkları envanteri ve değerlendirmesi prosedürleri
  • Risk Yönetimi Prosedürü
  • Çalışmada gizliliğin korunması
  • Yönetim Gözden Geçirme Prosedürü
  • Kullanıcı Erişim Yönetimi Prosedürü
  • Güvenlik Açığı Yönetimi İlkesi
  • Müşteri Desteği İlkesinde Güvenlik

İç ve dış konular

Crowdin’in amacı ile ilgili ve BGYS’nin amaçlanan sonuçlarını elde etme yeteneğini etkileyen bir dizi iç ve dış konular vardır.

İç konular:

  • Benimsenen standartlar, yönergeler ve modeller
  • Önemli kurumsal değişiklikler
  • Yönetim ve kurumsal yapısı
  • Sözleşme ilişkileri
  • Kaynaklar ve bilgi (örn. sermaye, insanlar, süreçler ve teknolojiler)
  • Ortaklar ve tedarikçiler de dahil olmak üzere personeliniz ve paydaşlarınızla ilişki
  • vb.

Dış konular:

  • Teknolojideki değişiklikler
  • Hükümet düzenlemeleri ve yasadaki değişiklikler
  • Rekabet
  • Piyasadaki ekonomik değişimler
  • Tedarik zinciri
  • Toplum ve kültür
  • Faiz ve enflasyon oranı
  • Veri koruma
  • Desteklenen teknolojiler ve altyapı
  • Otomasyon ve yapay zeka
  • Askeri çatışmalar ve siyasi değişiklikler
  • vb.

Bu genel iç ve dış konular, risk değerlendirme sürecinin bir parçası olarak daha ayrıntılı olarak değerlendirilecek ve düzenli olarak gözden geçirilecek ve izlenecektir.

Crowdin BGYS ile ilgili olan ilgili taraflar, bireysel beklentileri ile aşağıda belirlenmiştir.

İlgili bir taraf, bir karar veya faaliyetten etkileneceklerini algılayabilecek ya da etkileyebilecek, etkilenebilecek bir kişi veya kuruluş olarak tanımlanmaktadır.

Aşağıdakiler, BGYS ile ilgili olan ilgili taraflar olarak tanımlanır:

  • İşletme Sahipleri
  • Yönetim
  • Müşteriler
  • Tedarikçiler ve ortaklar
  • Düzenleyici kuruluşlar
  • Müşteri kullanıcı grupları
  • Acil Hizmetleri
  • Kuruluşun çalışanları
  • Kuruluşa hizmet veren yükleniciler
  • Rakipler
  • Yatırımcılar
  • Medya
  • Acil Hizmetleri
  • Denetçi
İlgilenen taraf    Beklentiler Gereksinim
İşletme sahipleri Etkili bilgi güvenliği, kuruluşun finansal başarısını etkiler Sermaye getirisi
Yönetim Kurumsal itibar korunmak zorundadır BGYS’nin uygulanmasının belgesel ve pratik onayı
Müşteriler, Müşteri kullanıcı grupları Gizlilik, bütünlük ve verilerin kullanılabilirliği her zaman güvence altına alınmıştır BGYS ISO 27001 Sertifikası
Tedarikçiler ve ortaklar Sözleşmelere ve ödeme koşullarına bağlı kalmak Sözleşmelere ve ödeme koşullarına bağlı kalma kanıtı
Düzenleyici kuruluşlar Kuruluşun faaliyetlerinin şu anki mevzuata uyması Yasal gerekliliklerin resmi olarak onaylanması (raporlar, sertifikalar, vb.)
Kuruluşun çalışanları Kişisel veri güvenliği, sosyal yardımlar, uygun ücretlendirme, eğitim ve destek, güvenli çalışma ortamı vb. Yasal belgeler ve düzenlemeler, NDA şartları ve koşulları, hassas verilerin nasıl ele alınacağına dair net talimatlar vb.
Kuruluşa hizmet veren yükleniciler Sözleşmelere ve ödeme koşullarına bağlı kalmak; Kişisel veri güvenliği, sosyal yardımlar, uygun ücretlendirme Sözleşmelere ve ödeme koşullarına bağlı kalmanın kanıtı; Yasal belgeler ve düzenlemeler, NDA, hassas verilerin nasıl ele alınacağına dair net talimatlar vb.
Rakipler Rakip pazarlama kampanyalarına kendi girişimleriyle yanıt veren ve fiyatları rekabetçi bir şekilde belirleyen Kuruluş Piyasa izleme sonuçları
Yatırımcılar Karlılık, beklenen yatırım getirisi Yatırım getirisi, Finansal Tablolar
Medya Güvenlik olayları ile ilgili şeffaflık Veri ihlallerinin kapsamı ve kuruluşların kişisel bilgileri koruma yolunda daha geniş bir kamu yararı
Denetçiler Varlıkları korumak için her zaman orantılı düzeyde güvenlik denetimlerinin yerinde olmasını bekleyin BGYS’nin uygulanmasının belgesel ve pratik onayı
Acil Hizmetleri Güvenli çalışma ortamı vb. Yangın Güvenliği, İlk yardım sağlama vb.

Bilgi güvenliği hedefleri:

  • Crowdin’in müşterileri için sertifikalı bir şirket ve güvenilir bir tedarikçi olmasını sağlayacak ISO / IEC 27001: 2022 gerekliliklerine uygunluğu sağlayın. (Sertifikayı Görüntüle). Bilgi güvenliğiyle ilgili olan ilgili yasalara, düzenlemelere (Estonya ve Ukrayna mevzuatı), sözleşmeye dayalı anlaşmalara ve kurumsal ilkelerle uygunluğu sağlayın.
  • Hem müşteri hem de çalışan verilerinin kullanılabilirliğini, bütünlüğünü ve gizliliğini, dahili iş süreçlerinin gizliliğini sağlamak.
  • Kuruluşun BGYS’sindeki riskleri sürekli olarak azaltın.
  • Potansiyel IS olayı hasarını önleyin veya en aza indirin.

Bu stratejik hedefler, ISMS-PL-BGYS İlkesinin etkinliğinin izlenmesi ve değerlendirilmesi ilkesinde daha ayrıntılı olarak açıklanan yıllık KPI’lar tarafından desteklenmektedir:

  • Hizmetin kullanılabilirlik süresi (>%99,95 yıllık)
  • Veri gizliliği olaylarının sayısı (hedef: 0)
  • Veri bütünlüğü olaylarının sayısı (hedef: 0)
  • Fiziksel güvenlik olaylarının sayısı (hedef: 0)
  • Derhal düzeltilmesi gereken öncelikli sorunlar (hedef: <100)
  • Sızma denemesi sırasında bulunan güvenlik açıklarının sayısı (güvenlik seviyesi: güçlü veya çok güçlü)
  • Raporlama programı aracılığıyla bulunan güvenlik açıklarının sayısı (hedef: önemli raporlar yok)
  • Önceki dönemde yapılan planlı BGYS görevleri (hedef: %100)
  • Başarısız veya kusurlu sistem güncellemelerinin miktarı (hedef <25)
  • Etkin risk dağılımı (tanımlanan risk sayısının azalması veya artması) (hedef <10 risk çok yüksek olarak sınıflandırılmış)
  • Kimlik avı denemesi: güvenliği ihlal edilen kullanıcıların yüzdesi (hedef: %0)

Ne yapılacak

Şu anki ilkeler, süreçler ve güvenlik önlemleri sürekli olarak gözden geçirilecektir. ISO/IEC 27001:2022 standartlarına uyumdaki tüm boşluklar belirlenecek ve giderilecektir.

Proaktif bir risk yönetimi stratejisi sürdürülecektir. Bu strateji, düzenli risk değerlendirmeleri, güvenlik açığı taramaları ve güvenlik denetimlerinin yapılmasını içerir. Tespit edilen riskler analiz edilecek ve sürekli azaltıcı önlemler uygulanacaktır.

Hangi kaynaklara ihtiyaç duyulacak

  • Bilgi güvenliği, veri koruma ve risk yönetimi konularında uzmanlığa sahip profesyoneller.
  • Güvenli veri depolama çözümleri, cihaz yönetimi çözümleri, şifreleme teknolojileri, güvenlik açığı değerlendirme araçları dahil olmak üzere güvenlik teknolojileri.
  • Uygulanan güvenlik önlemlerinin etkinliğini değerlendirecek ve iyileştirilecek alanları belirleyecek yetenekli denetçiler ve analistler.
  • Güncel tehdit istihbaratı kaynaklarına erişim
  • Güvenlik teknolojilerine, personele, eğitim programlarına ve süreç iyileştirmelerine yapılan yatırımları desteklemek için yeterli bütçe tahsisi.

Kim sorumlu olacak

BGYS Komitesi, Crowdin genelinde Bilgi Güvenliği Risklerine ilişkin nihai sorumluluğa sahiptir.

BGYS Komitesinin işlevlerine, yönetmeliğine, görev ve sorumluluklarına ilişkin detaylı bilgi BGYS Komitesi Yönetmeliğinde yer almaktadır.

Yöneticiler/Bölüm Başkanları kendi bölümlerinde/ekiplerinde bilgi güvenliğinden sorumludur. Bölümün/ekibin kendi bilgi güvenliği ihtiyaçlarını CISO’ya ilettiğinden emin olmak zorundadırlar.

CISO, etkili bir bilgi risk yönetimi çerçevesinin iş stratejisi, iş ve yasal gerekliliklerle uyumlu olarak uygulanmasını, işletilmesini ve sürdürülmesini sağlamak için yönetime uygun ve zamanında tavsiyelerin sağlanmasından açıkça sorumludur.

Görevi, seviyesi ve rolü ne olursa olsun tüm personelin Bilgi Güvenliği Yönetimi konusunda açık kişisel sorumlulukları olacaktır.

Sorumluluklar, ISMS-FR-Bilgi Güvenliği Yönetim Çerçevesi’nde ve ilgili diğer ilkelerde ayrıntılı olarak açıklanmaktadır.

Ne zaman tamamlanacak

BGYS’nin sürekli izlenmesi ve iyileştirilmesi, uyumluluğu sürdürmek için devam eden bir görev olacaktır.

Düzenli risk değerlendirmeleri ve azaltma etkinlikleri periyodik olarak planlanacaktır. Güvenlik açığı değerlendirmeleri, kuruluşun devam eden güvenlik uygulamalarının bir parçası olarak düzenli olarak gerçekleştirilecektir. Sürekli korumayı sağlamak için güvenlik açıkları tespit edildikten hemen sonra proaktif önlemler uygulanacaktır.

Olay Müdahale Planı, bir güvenlik olayı durumunda potansiyel hasarın en aza indirilmesinde etkinliğini sağlamak amacıyla yıllık olarak gözden geçirilir, güncellenir ve denenir.

Sonuçlar nasıl değerlendirilecek

BGYS’de izlenebilecek sistem, süreç ve etkinlikler aşağıdakileri içerir ancak bunlarla sınırlı değildir:

  • Denetim;
  • Risk değerlendirme süreci;
  • Üçüncü tarafların risk yönetimi;
  • İş sürekliliği yönetimi;
  • BGYS süreçlerinin uygulanmasının olgunluğu;
  • Olay yönetimi;
  • Güvenlik açığı yönetimi;
  • Yapılandırma yönetimi;
  • Eğitim ve bilinçlendirme etkinliklerinin seviyesi;
  • Erişim denetimi, güvenlik duvarı ve diğer olay günlükleri;
  • Fiziksel ve çevresel güvenliğin yönetimi; ve
  • Sistem izleme.

Kuruluşun ISO/IEC 27001:2022 ile uyumluluğu iç denetim, yönetimin gözden geçirilmesi, BGYS komite toplantıları yoluyla değerlendirilir. Sertifikasyon kuruluşları tarafından gerçekleştirilen yıllık dış denetimler uyumluluk durumumuzun daha da doğrulanmasını sağlayacaktır.

Tanımlanan temel performans göstergeleri yakından takip edilecektir. Herhangi bir güvenlik ihlali veya olayı, dahili iş süreçlerimizin yanı sıra müşteri ve çalışan verilerinin güvenliğini sağlamak için derhal soruşturmayı ve düzeltici eylemi tetikleyecektir.

BGYS süreçlerinin verimliliğinin izlenmesi ve değerlendirilmesi, ISMS-PL-BGYS İlkesinin etkinliğinin izlenmesi ve değerlendirilmesi’nde açıklanmaktadır