2013 yılı başlarında başlanmış olan Bilgi Güvenliği
Yönetim Sistemi ‘ nin uluslararası standardı ISO 27001:2005 üzerindeki
çalışmalar sona ermiş ve standart ISO 27001:2013 adını almıştır. Yenilenmiş
standart www.iso.org/iso/home/standards/management-standards/iso27001.htm
web adresinden temin edilebilir.
ISO 27001:2013 standardı Annex
SL ile uyumlu olacak şekilde geliştirilmiştir. Annex SL tüm ISO standartlarına
uyumlu olacak şekilde bir çatı yapısı oluşturmaktadır. Buradaki amaç bütün
yönetim sistemlerine temel oluşturacak genel çerçeveyi belirlemektir. Kurum
ihtiyaçları gereği sahip olunan birden fazla yönetim sisteminin hem yönetimi
hem de denetimi açısından bu çatı yapısı önemli bir husus oluşturmaktadır. İş
sürekliliği kavramı standardın yeni versiyonunda önemli bir mertebede bulunmaktadır.
Bu çatı yapısı aşağıdaki
başlıkları içermektedir:
0.
Giriş -
Introduction
1.
Kapsam - Scope
2.
Atıf yapılan standartlar ve/veya dokümanlar
- Normative
references
3.
Terimler ve tanımlar - Terms and definitions
4.
Organizasyon Bağlamı - Context of the organization
5.
Liderlik - Leadership
6.
Planlama - Planning
7.
Destek - Support
8.
Operasyon - Operation
9.
Performans değerlendirme - Performance
evaluation
10.
İyileştirme - Improvement
ISO 27001:2013 Bilgi Güvenliği
Yönetim Sistemi’ nin yapısı aşağıdaki gibidir:
5
|
Güvenlik Politikaları
|
6
|
Bilgi Güvenliği Organizasyonu
|
7
|
İnsan Kaynakları Güvenliği
|
8
|
Varlık Yönetimi
|
9
|
Erişim Kontrolü
|
10
|
Kriptografi
|
11
|
Fiziksel ve Çevresel Güvenlik
|
12
|
Operasyon Güvenliği
|
13
|
İletişim Güvenliği
|
14
|
Sistem Edinim, Geliştirme ve
Bakım
|
15
|
Tedarikçi İlişkileri
|
16
|
Bilgi Güvenliği Olay Yönetimi
|
17
|
İş Sürekliliği
|
18
|
Uyum
|
Standartta yapılan
değişiklikleri aşağıdaki gibi sıralayabiliriz:
- Risk değerlendirme gereksinimleri risk sahibi, risk işleme planı kavramlarının eklenmesi ve kurumsal risk yönetimi ile yakınlaştırılması ile ISO 31000 ile örtüşecek şekilde yenilenmiştir.
- İş sürekliliği kavramı ön plana çıkartılmıştır.
- Tehdit, açıklık ve en önemlisi varlık temelli risk değerlendirmeden kaçınılmış bunun yerine gizlilik, bütünlük ve erişilebilirlik temelli risk değerlendirmesi tanımlanmıştır.
- Risk sahibi kavramı standarda dahil edilmiştir. Standardın önceki versiyonunda bulunan varlık sahibi kavramı standarttan çıkartılmıştır. Risklere atanan sahipler risk analizindeki risklerin takibinden ve artık risklerin kabulünden sorumlu olacaklardır.
- ISO 27001:2005 versiyonunda bulunan dokümantasyon gereksinimlerini ele alan 4.3.1 maddesi kaldırılmış olup yeni versiyonda “dokümanlar ve kayıtlar” kavramları “dokümante edilmiş bilgi” kavramı olarak anılmaktadır.
- Önleyici faaliyet kavramı “riskleri ve fırsatları ele alacak aksiyonlar” kavramı ile değiştirilmiştir.
- ISO 27001:2005 versiyonunda bulunan düzeltici faaliyetlerin dokümante edilmesi zorunluluğu yeni versiyon ile ortadan kaldırılmıştır. Ancak düzeltici faaliyetlerin ilgili olduğu prosedürlerin dokümante edilmesi, yönetilmesi ve uygulanması ile ilgili kayıtların tutulması gerekmektedir.
- ISO 27001:2013 versiyonunda risk işleme sürecinin tanımlanması, risk işleme yönteminin dokümante edilmesi yerine tercih edilmiştir. Risk işleme süreci, riskleri belirlemek, var olan risklere karşı kontroller uygulamak, risk işleme planını oluşturmak ve risk sahiplerinden risk işleme planının ve artık risklerin onayını almak olarak düşünülebilir.
- ISO 27001:2013 versiyonunda düzeltici faaliyetler kavramı “bir uygunsuzluğa verilen ilk tepki” ve “bir uygunsuzluğun kök nedenlerini ortadan kaldırmak” üzere ikiye ayrılmıştır.
- İletişim konusu ile ilgili olarak yeni bir madde eklenmiş olup bu madde, bilgi güvenliğinin sağlanması için kiminle, ne zaman, kim ve ne hakkında iletişime geçileceğinin tanımlanması istenilmektedir.
- ISO 27001:2013 versiyonunda hedeflerin net olarak tanımlanması ve 9.1 maddesi uyarınca, ölçmenin kim tarafından, ne zaman yapılacağı, sonuçları kimin analiz edip değerlendirileceğinin belirtilmesi ve kapsamlı planların hedeflere nasıl ulaşılacağının açıklanması istenmektedir.
- ISO 27001:2013 versiyonunda kontrol sayısının 133’ten 113’e düşürüldüğü ve bölüm sayısının 11’den 14’e yükseltildiği görülmektedir.
- ISO 27001:2013 versiyonunda kriptografik kontroller “Kriptografi” adı altında ayrı bir bölümde toplanmıştır.
- Tedarikçilerle ilgili kontroller de “Tedarikçi ilişkileri” bölümünde toplanmıştır.
- İletişim ve operasyon yönetimi ise “Operasyon güvenliği” ve “İletişim güvenliği” olmak üzere iki bölüme ayrılmıştır.
Standarda eklenen yeni kontroller aşağıdaki gibidir:
- 14.2.1- Güvenlik gelişim politikası
- 14.2.5- Sistem geliştirme prosedürleri
- 14.2.6- Güvenli geliştirme ortamı
- 14.2.8- Sistem güvenliği testi
- 16.1.4- Bilgi güvenliği olayları değerlendirme ve karar verme
- 17.2.1- Bilgi işleme olanaklarının erişilebilirliği
Standarttan çıkartılan kontroller aşağıdaki gibidir:
- 6.2.2- Müşterilerle ilgilenirken güvenliği ifade etme
- 10.4.2- Mobil koda karşı kontroller
- 10.7.3- Bilgi işleme prosedürleri
- 10.7.4- Sistem dokümantasyonu güvenliği
- 10.8.5- İş bilgi sistemleri
- 10.9.3- Herkese açık bilgi
- 11.4.2- Dış bağlantılar için kullanıcı kimlik doğrulama
- 11.4.3- Ağlarda teçhizat tanımlama
- 11.4.4- Uzak tanı ve yapılandırma portu koruma
- 11.4.6- Ağ bağlantı kontrolü
- 11.4.7- Ağ yönlendirme kontrolü
- 12.2.1- Giriş verisi geçerleme
- 12.2.2- İç işleme kontrolü
- 12.2.3- Mesaj bütünlüğü
- 12.2.4- Çıkış verisi geçerleme
- 11.5.5- Oturum zaman aşımı
- 11.5.6- Bağlantı süresinin sınırlandırılması
- 11.6.2- Hassas sistem yalıtımı
- 12.5.4- Bilgi sızması
- 14.1.2- İş sürekliliği ve risk değerlendirme
- 14.1.3- Bilgi güvenliğini içeren süreklilik planlarını geliştirme ve gerçekleştirme
- 14.1.4- İş sürekliliği planlama çerçevesi
- 15.1.5- Bilgi işleme olanaklarının kötüye kullanımını önleme
- 15.3.2- Bilgi sistemleri denetim araçlarının korunması
Sonuç olarak ISO 27001 ve ISO 27002’nin
değişikliğe uğramasının genel olarak risk değerlendirme ve iyileştirme,
düzeltici ve önleyici faaliyetler, iletişim, dokümante edilmiş bilgi ve
hedefler, izleme ve ölçme konuları ile ilgili olduğu gözlemlenmektedir.
Kontrollere ilk bakışta çok fazla değişiklik
olduğu gözlenmekte ancak bu durum gerçeği yansıtmamaktadır. Yapılan
değişiklikler köklü değişikler olmayıp mevcut standardın sahip olduğu yanlış
yapının düzeltilmesine ve yeni kontrollerin eklenmesini içermektedir.
Geliştirme süreci ve ağ güvenliği konularında değişikliklerin yapıldığı
gözlenmiştir.
BTRisk olarak konu hakkındaki uzman
kadromuzla sektör ve ölçek fark etmeksizin büyük kurumlardan KOBİ’lere kadar
tüm kurumlarda uygulanabilecek olan ISO 27001:2013 Bilgi Güvenliği Yönetim Sistemi
kurulum danışmanlık hizmetini sunmaktayız.
Konuyla ilgili iletişim için [email protected] e-posta adresine görüş ve
sorularınızı iletebilirsiniz.
