2 Mayıs 2013 Perşembe

ISO 27002:2013 ve ISO 27002:2005 Arasındaki Temel Farklar Nelerdir?

Makaleyi indirmek için tıklayınız.

Hatırlatma: Şu an taslak halde yayımlanan ISO 27001:2013 standardının 2013 yılının ikinci yarısında yayımlanması bekleniyor

Yapısal İnceleme;

Kontrol Sayısı: Kontrol sayısının 133’ten 113’e düşürüldüğü görülüyor.

Bölüm Sayısı: Kontrol sayısının azalmasına rağmen bölüm sayısının 11’den 14’e çıktığı görülüyor.


Bölümlerin Yapısı: Yeni standart üzerinde yer alan temel başlıklar aşağıdaki gibidir;
Bölümlerin yapısı: Kriptografi ayrı bir bölüm haline getirilmiştir (10). Kriptografi ile ilgili kısımların bilgi sistemleri edinimi, geliştirme ve bakımın bir parçası olmadığı biliniyor. Benzer bir değişiklik tedarikçi ilişkileri kısmında da mevcut. Haklı olarak tedarikçi ilişkileri de ayrı bir bölüm haline getirilmiştir (15). İletişim ve operasyon yönetimi ise iki bölüme ayrılmıştır: Operasyon güvenliği (12) ve iletişim güvenliği (13).

Bölümlerin incelenmesi;
5- Güvenlik Politikaları
6- Bilgi Güvenliği Organizasyonu
7- İnsan Kaynakları Güvenliği
8- Varlık Yönetimi
9- Erişim Kontrolü
10- Kriptografi
11- Fiziksel ve Çevresel Güvenlik
12- Operasyon Güvenliği
13- İletişim Güvenliği
14- Sistem Edinim, Geliştirme ve Bakım
15- Tedarikçi İlişkileri
16- Bilgi Güvenliği Olay Yönetimi
17- İş Sürekliliği
18- Uyum

Güvenlik Kategorilerinin Yerleştirilmesi
  1. Mobil cihazlar ve uzaktan çalışma daha önce erişim kontrolü bölümündeydi; şimdi ise bilgi güvenliği organizasyonunun (6) altında 6.2 inci kısım olarak yer almaktadır.
  2.  Ortam işleme daha önce iletişim ve operasyon yönetimi altındayken,şimdi varlık yönetimi (8) altında 8.3 üncü kısım olarak yer almaktadır.
  3.   İşletim sistemi erişim kontrolü ile uygulama ve bilgi erişim kontrolü sistem ve uygulama erişim kontrolü olarak birleştirilmiş ve Erişim kontrolü (9) altında 9.4 üncü kısım olarak kalmıştır.
  4.  Operasyonel yazılım kontrolü daha önce bilgi sistemleri edinim, geliştirme ve bakımın altında tek bir kontrolken, şimdi 12.5 olarak operasyon güvenliği altında ayrı bir kısımdır.
  5. Bilgi sistemleri denetim hususları uyum bölümünden operasyon güvenliği altına 12.7 inci kısım olarak aktarılmıştır.
  6. Bir güvenlik kategorisi olan yazılım erişim kontrolü kaldırılmış ve bazı kontrolleri iletişim güvenliğinin (13) altına taşınmıştır.
  7. Bilgi değişimi iletişim güvenliğinin (13) altında 13.2 inci kısım olarak yer almıştır.
  8. Tartışmalı bir kategori olan uygulamalarda doğru işleme kaldırıldı. Önceki standartta ise bilgi sistemi edinim, geliştirme ve bakımın altında yer almaktadır.
  9.  Elektronik ticaret hizmetleri ayrı bir kategori olmaktan çıkartılarak, kontrolleri bilgi sistemi güvenlik gereksinimleri ile birleştirildi (14.1).
  10.  Bilgi güvenliği olay yönetimi altındaki 2 kategori birleştirildi. İş süreklilği bölümüne ise yeni bir kategori eklenerek (Yedekleme 17.2). Bu kategori temel olarak felakatten kurtarma ile ilgili.


Yeni Kontroller
14.2.1- Güvenlik gelişim politikası- Yazılım ve bilgi sistemleri geliştirme için kurallar
14.2.5- Sistem geliştirme prosedürleri- Sistem mühendisliği ilkeleri
14.2.6- Güvenli geliştirme ortamı- Geliştime ortamı oluşturulması ve korunması
14.2.8- Sistem güvenliği testi- Güvenlik fonksiyonları testleri
16.1.4- Bilgi güvenliği olayları değerlendirme ve karar verme- Olay yönetiminin bir parçası
17.2.1- Bilgi işleme olanaklarının erişilebilirliği- Yedekleme

Çıkartılan Kontroller

6.2.2- Müşterilerle ilgilenirken güvenliği ifade etme
10.4.2- Mobil koda karşı kontroller
10.7.3- Bilgi işleme prosedürleri
10.7.4- Sistem dokümantasyonu güvenliği
10.8.5- İş bilgi sistemleri
10.9.3- Herkese açık bilgi
11.4.2- Dış bağlantılar için kullanıcı kimlik doğrulama
11.4.3- Ağlarda teçhizat tanımlama
11.4.4- Uzak tanı ve yapılandırma portu koruma
11.4.6- Ağ bağlantı kontrolü
11.4.7- Ağ yönlendirme kontrolü
12.2.1- Giriş verisi geçerleme
12.2.2- İç işleme kontrolü
12.2.3- Mesaj bütünlüğü
12.2.4- Çıkış verisi geçerleme
11.5.5- Oturum zaman aşımı
11.5.6- Bağlantı süresinin sınırlandırılması
11.6.2- Hassas sistem yalıtımı
12.5.4- Bilgi sızması
14.1.2- İş sürekliliği ve risk değerlendirme
14.1.3- Bilgi güvenliğini içeren süreklilik planlarını geliştirme ve gerçekleştirme
14.1.4- İş sürekliliği planlama çerçevesi
15.1.5- Bilgi işleme olanaklarının kötüye kullanımını önleme
15.3.2- Bilgi sistemleri denetim araçlarının korunması

ISO 27002 yapısı tamamen ISO 27001 kontrolleri ile uyumlu olduğundan tüm değişiklikler yeni IS0 27001 EK-A sı içinde geçerlidir. İlk bakışta çok fazla bir değişiklik varmış gibi görülmektedir. Ama bunların çoğu temelden yapılan değişiklikler değil. Değişikliklerin çoğu aslında mevcut ISO 27002 nin yanlış yapısının düzeltilmesi ve yeni kontrollerin eklenmesini içeriyor. Ağ güvenliği ve geliştirme sürecinde ise bazı değişiklikler mevcut. Bu alanlarda yeni standarda göre daha esnek bir tarif ve nasıl uygulama yapılacağı kısmında serbestlik vardır.
Sonuç olarak yeni standarda göre uygulama daha kolay olacak gibi görünmektedir.



ISO 27001:2013 ve ISO 27001:2005 Arasındaki Temel Farklar Nelerdir?

Makaleyi indirmek için tıklayınız.


Bilgi Güvenliği Yönetim Sistemi (BGYS-(in Eng. ISMS)’nin uluslararası standardı 2005 yılında ISO 27001:2005 olarak yayımlanmıştı. 2006 yılında ise Türk Standartları Enstitüsü tarafından Türkçe’ye çevrilmiş ve TS ISO/IEC 27001 olarak yayımlanmıştı.
Şu an taslak halde yayımlanan ISO 27001:2013 standardının 2013 yılının ikinci yarısında yayımlanması bekleniyor.



ISO 27001:2013 ile ISO 27001:2005 Arasındaki temel farklar nelerdir?
Bu karşılaştırmaya geçmeden önce elimizdeki standardın taslak halde olduğu ve yapılacak katkılarla değişime açık olduğu unutulmamalıdır.


Yapıya Genel Bir Bakış
ISO 27001:2013, ISO22301:2012 ile gördüğümüz Annex SL ile uyumlu olacak. Annex SL tüm ISO standartlarına genel bir çerçeve yapısı oluşturuyor. Tüm yönetim sistemlerinde bulunması gereken temel bileşenlerin yanı sıra standarda özel başlıkların konulmasına olanak sağlayan bu çatı yapısı, birden fazla yönetim sistemine sahip kuruluşlar için hem yönetim anlamında hem de bu yönetim sistemlerinin denetimi anlamında kolaylık sağlayacaktır. Bu yapı ile tüm standartlarda bulunacak temel başlıklar aşağıdaki gibi olacaktır;

0 Introduction /Giriş
1 Scope /Kapsam
2 Normative references / Atıf yapılan standartlar ve/veya dokümanlar
3 Terms and definitions /Terimler ve tarifleri
4 Context of the organization / Kurum Bağlamı
5 Leadership /Liderlik
6 Planning /Planlama
7 Support /Destek
8 Operation /Operasyon
9 Performance evaluation /Performans değerlendirme
10 Improvement /İyileştirme


Ek olarak sadece ‘EK-A’ bulunduğu bununla birlikte eski standartta yer alan EK-B ve EK-C olmadığını görüyoruz. Tüm kontroller EK-A’ da yer almaktadır.

İlgili Taraflar
Yeni 27001 standardı BGYS ana girdileri tanımlamada önemli bir yer tutacak olan ilgili taraflarla alakalı olarak ‘4.2 ’ Maddesinde;
Tüm ilgili tarafların tanımlanması ve yasal/düzenleyici dâhil tüm gereksinimleri ile tanımlanmasını şart koşuluyor.

Risk Değerlendirme ve İyileştirme
Uzun yıllar en iyi uygulama örneği olarak yerini koruyacak olan; varlık, açıklık, tehdit temelli risk değerlendirme yeni 27001 standardı ile yerini gizlilik, bütünlük ve erişilebilirlik temelli bir risk tanımlamaya bırakmış durumda.
6.1.2
d.1 Maddesi uyarınca;
Apply the information security risk assessment process to identify risks associated with the loss of confidentiality, integrity and availability for information within the scope of the ISMS.
Risk seviyesini belirlemek için olasılık ve etki bileşenleri ise yerini koruyor.
Not: Yeni standart risk işleme yönetiminin dokümante edilmesini şart koşmuyor. Bununla birlikte risk işleme sürecinin tanımlanması gerekiyor. Varlık sahibi kavramı ise yerine ‘risk sahibi’ tanımı ile değiştirilmiştir.

Düzeltici ve Önleyici Faaliyetler
İlk fazda önleyici faaliyetlerin olmadığını söylemek yanlış olmaz. Önleyici faaliyetler risk işleme ve iyileştirme adımlarına dağıtılmış durumda.
Düzeltici faaliyetler için ise, eski standarda kafa karışıklığına sebebiyet veren durum ortadan kaldırılmış olduğu görülüyor. Düzeltici faaliyetlerin bir uygunsuzluğa verilen ilk tepki  ve bir uygunsuzluğun kök nedenlerini ortadan kaldırmak üzere ikiye ayrıldığını görüyoruz.



İletişim
Bilgi güvenliğinin sağlanması için gereken iletişim ile ilgili olarak yeni bir madde eklendiği görülüyor.
(Madde 7.4)
Bu madde uyarınca;
Kiminle, ne zaman, kim ve hakkında iletişime geçileceğinin tanımlanması sağlanıyor.

Dokümante Edilmiş Bilgi
Yeni standart ‘belgeler’ ve ‘kayıtlar’ kavramını birleştirerek ‘dokümante edilmiş bilgi’ kavramını getiriyor. Doküman kontrolü ile ilgili kuralların eski standarda göre değişmediği ve ‘belgeler’ ve ‘kayıtlar’ ın her ikisi içinde geçerli olacağı görülüyor.
4.3.1 Maddesinin kaldırıldığı ve gerek duyulan merkezi bir doküman listesinin olmadığını görüyoruz.
Eski standartta yer alan doküman yönetimi, düzeltici faaliyet v.b zorunlu olarak olması gereken belgelerin olmadığı bununla birlikte bu süreçlerin yönetilmesi ve işletilmesi ile ilgili kayıtların tutulması zorunluluğu bulunuyor. Daha farklı ifadelerle düzeltici faaliyet dokümanı yazılı olarak olmasa bile bu sürecin işletilmesi ile ilgili kayıtların tutulması zorunlu.

Hedefler, İzleme ve Ölçme
Yeni standartta hedeflerin net olarak tanımlanması ve 9.1 maddesi uyarınca, ölçmenin kim tarafından ne zaman yapılacağı, sonuçları kimin analiz edip değerlendirileceği belirtilmeli ve ek olarak kapsamlı planların hedeflere nasıl ulaşılacağı açıklayacak şekilde olması gerekiyor.