11 Ağustos 2014

ISO 27001 Bilgi Güvenliği Yönetim Sistemi için 2013 Yılında Gelen Yenilikler

2013 yılı başlarında başlanmış olan Bilgi Güvenliği Yönetim Sistemi ‘ nin uluslararası standardı ISO 27001:2005 üzerindeki çalışmalar sona ermiş ve standart ISO 27001:2013 adını almıştır. Yenilenmiş standart www.iso.org/iso/home/standards/management-standards/iso27001.htm web adresinden temin edilebilir.

ISO 27001:2013 standardı Annex SL ile uyumlu olacak şekilde geliştirilmiştir. Annex SL tüm ISO standartlarına uyumlu olacak şekilde bir çatı yapısı oluşturmaktadır. Buradaki amaç bütün yönetim sistemlerine temel oluşturacak genel çerçeveyi belirlemektir. Kurum ihtiyaçları gereği sahip olunan birden fazla yönetim sisteminin hem yönetimi hem de denetimi açısından bu çatı yapısı önemli bir husus oluşturmaktadır. İş sürekliliği kavramı standardın yeni versiyonunda önemli bir mertebede bulunmaktadır.



Bu çatı yapısı aşağıdaki başlıkları içermektedir:

0.     Giriş - Introduction
1.     Kapsam - Scope
2.     Atıf yapılan standartlar ve/veya dokümanlar - Normative references
3.     Terimler ve tanımlar - Terms and definitions
4.     Organizasyon Bağlamı - Context of the organization
5.     Liderlik - Leadership
6.     Planlama - Planning
7.     Destek - Support
8.     Operasyon - Operation
9.     Performans değerlendirme - Performance evaluation
10.  İyileştirme -  Improvement

ISO 27001:2013 Bilgi Güvenliği Yönetim Sistemi’ nin yapısı aşağıdaki gibidir:


5
Güvenlik Politikaları
6
Bilgi Güvenliği Organizasyonu
7
İnsan Kaynakları Güvenliği
8
Varlık Yönetimi
9
Erişim Kontrolü
10
Kriptografi
11
Fiziksel ve Çevresel Güvenlik
12
Operasyon Güvenliği
13
İletişim Güvenliği
14
Sistem Edinim, Geliştirme ve Bakım
15
Tedarikçi İlişkileri
16
Bilgi Güvenliği Olay Yönetimi
17
İş Sürekliliği
18
Uyum


Standartta yapılan değişiklikleri aşağıdaki gibi sıralayabiliriz:

  • Risk değerlendirme gereksinimleri risk sahibi, risk işleme planı kavramlarının eklenmesi ve kurumsal risk yönetimi ile yakınlaştırılması ile ISO 31000 ile örtüşecek şekilde yenilenmiştir.
  • İş sürekliliği kavramı ön plana çıkartılmıştır.
  • Tehdit, açıklık ve en önemlisi  varlık temelli risk değerlendirmeden kaçınılmış bunun yerine gizlilik, bütünlük ve erişilebilirlik temelli risk değerlendirmesi tanımlanmıştır.
  • Risk sahibi kavramı standarda dahil edilmiştir. Standardın önceki versiyonunda bulunan varlık sahibi kavramı standarttan çıkartılmıştır. Risklere atanan sahipler  risk analizindeki risklerin takibinden ve artık risklerin kabulünden sorumlu olacaklardır.
  • ISO 27001:2005 versiyonunda bulunan dokümantasyon gereksinimlerini ele alan 4.3.1 maddesi kaldırılmış olup yeni versiyonda “dokümanlar ve kayıtlar” kavramları “dokümante edilmiş bilgi” kavramı olarak anılmaktadır.
  • Önleyici faaliyet kavramı “riskleri ve fırsatları ele alacak aksiyonlar” kavramı ile değiştirilmiştir.
  • ISO 27001:2005 versiyonunda bulunan düzeltici faaliyetlerin dokümante edilmesi zorunluluğu yeni versiyon ile ortadan kaldırılmıştır. Ancak düzeltici faaliyetlerin ilgili olduğu prosedürlerin dokümante edilmesi, yönetilmesi ve uygulanması ile ilgili kayıtların tutulması gerekmektedir.
  • ISO 27001:2013 versiyonunda risk işleme sürecinin tanımlanması, risk işleme yönteminin dokümante edilmesi yerine tercih edilmiştir. Risk işleme süreci, riskleri belirlemek, var olan risklere karşı kontroller uygulamak, risk işleme planını oluşturmak ve risk sahiplerinden risk işleme planının ve artık risklerin onayını almak olarak düşünülebilir.
  • ISO 27001:2013 versiyonunda düzeltici faaliyetler kavramı  “bir uygunsuzluğa verilen ilk tepki”  ve “bir uygunsuzluğun kök nedenlerini ortadan kaldırmak” üzere ikiye ayrılmıştır.
  • İletişim konusu ile ilgili olarak yeni bir madde eklenmiş olup bu madde, bilgi güvenliğinin sağlanması için kiminle, ne zaman, kim ve ne hakkında iletişime geçileceğinin tanımlanması istenilmektedir.
  • ISO 27001:2013 versiyonunda hedeflerin net olarak tanımlanması ve 9.1 maddesi uyarınca, ölçmenin kim tarafından, ne zaman yapılacağı, sonuçları kimin analiz edip değerlendirileceğinin belirtilmesi ve kapsamlı planların hedeflere nasıl ulaşılacağının açıklanması istenmektedir.
  • ISO 27001:2013 versiyonunda kontrol sayısının 133’ten 113’e düşürüldüğü ve bölüm sayısının 11’den 14’e yükseltildiği görülmektedir.
  • ISO 27001:2013 versiyonunda kriptografik kontroller  “Kriptografi” adı  altında ayrı bir bölümde toplanmıştır.
  • Tedarikçilerle ilgili kontroller de “Tedarikçi ilişkileri” bölümünde toplanmıştır.
  • İletişim ve operasyon yönetimi ise  “Operasyon güvenliği” ve “İletişim güvenliği” olmak üzere iki bölüme ayrılmıştır.

Standarda eklenen yeni kontroller aşağıdaki gibidir:

  • 14.2.1- Güvenlik gelişim politikası
  • 14.2.5- Sistem geliştirme prosedürleri
  • 14.2.6- Güvenli geliştirme ortamı
  • 14.2.8- Sistem güvenliği testi
  • 16.1.4- Bilgi güvenliği olayları değerlendirme ve karar verme
  • 17.2.1- Bilgi işleme olanaklarının erişilebilirliği

Standarttan çıkartılan kontroller aşağıdaki gibidir:

  • 6.2.2- Müşterilerle ilgilenirken güvenliği ifade etme
  • 10.4.2- Mobil koda karşı kontroller
  • 10.7.3- Bilgi işleme prosedürleri
  • 10.7.4- Sistem dokümantasyonu güvenliği
  • 10.8.5- İş bilgi sistemleri
  • 10.9.3- Herkese açık bilgi
  • 11.4.2- Dış bağlantılar için kullanıcı kimlik doğrulama
  • 11.4.3- Ağlarda teçhizat tanımlama
  • 11.4.4- Uzak tanı ve yapılandırma portu koruma
  • 11.4.6- Ağ bağlantı kontrolü
  • 11.4.7- Ağ yönlendirme kontrolü
  • 12.2.1- Giriş verisi geçerleme
  • 12.2.2- İç işleme kontrolü
  • 12.2.3- Mesaj bütünlüğü
  • 12.2.4- Çıkış verisi geçerleme
  • 11.5.5- Oturum zaman aşımı
  • 11.5.6- Bağlantı süresinin sınırlandırılması
  • 11.6.2- Hassas sistem yalıtımı
  • 12.5.4- Bilgi sızması
  • 14.1.2- İş sürekliliği ve risk değerlendirme
  • 14.1.3- Bilgi güvenliğini içeren süreklilik planlarını geliştirme ve gerçekleştirme
  • 14.1.4- İş sürekliliği planlama çerçevesi
  • 15.1.5- Bilgi işleme olanaklarının kötüye kullanımını önleme
  • 15.3.2- Bilgi sistemleri denetim araçlarının korunması

Sonuç olarak ISO 27001 ve ISO 27002’nin değişikliğe uğramasının genel olarak risk değerlendirme ve iyileştirme, düzeltici ve önleyici faaliyetler, iletişim, dokümante edilmiş bilgi ve hedefler, izleme ve ölçme konuları ile ilgili olduğu gözlemlenmektedir.

Kontrollere ilk bakışta çok fazla değişiklik olduğu gözlenmekte ancak bu durum gerçeği yansıtmamaktadır. Yapılan değişiklikler köklü değişikler olmayıp mevcut standardın sahip olduğu yanlış yapının düzeltilmesine ve yeni kontrollerin eklenmesini içermektedir. Geliştirme süreci ve ağ güvenliği konularında değişikliklerin yapıldığı gözlenmiştir.

BTRisk olarak konu hakkındaki uzman kadromuzla sektör ve ölçek fark etmeksizin büyük kurumlardan KOBİ’lere kadar tüm kurumlarda uygulanabilecek olan ISO 27001:2013 Bilgi Güvenliği Yönetim Sistemi kurulum danışmanlık hizmetini sunmaktayız.

Konuyla ilgili iletişim için [email protected] e-posta adresine görüş ve sorularınızı iletebilirsiniz.