4 Ocak 2016 Pazartesi

ISO/IEC 27001:2013 sertifikası için Penetrasyon Testi (Pentest) Zorunlu mu?

Kurumların “ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi” felsefesi ile bir yönetim sistemi kurmak ve standarda uyumluluğunu belgelendirerek sertifikaya sahip olmak için yapması gereken çalışmalarda, en fazla merak edilen konuların başında Penetrasyon testinin(sızma testinin) ISO/IEC 27001 uyumluluk sürecinde zorunluluk olup olmadığı gelmektedir.

Bilgi Güvenliği Yönetim Sistemi kurulumu için referans alınan ve uluslararası kabul görmüş ISO/IEC 27001 standardı yapısında Madde 4 ile Madde 10 arasındaki yönetim sistemi temel maddelerine ek olarak; uygulanabilecek kontrol maddelerinin amaçları ve açıklamalarını içeren bir  Ek-A bölümü de yer almaktadır. Kuruluşta mevcut süreçlere uygun olarak “uygulanabilir veya uygulanamaz” olarak tanımlanacak bu kontrollerin; temel alınan risk kabulüne, risk işleme seçeneklerine ve kuruluşta uygulanan genel risk yönetimi yaklaşımına göre nasıl hayata geçirileceği kararı verilerek uygulamaya alınırlar.
Standartta geçen; “Bir kuruluşun bu standarda uyumluluk iddiasında bulunması durumunda, Madde 4 ile Madde 10 arasında belirtilen şartların herhangi birinin hariç tutulması kabul edilebilir değildir.” ifadesine göre anlaşılıyor ki standardın temel maddeleri içerisindeki yerine getirilmeyen herhangi bir gereksinim, belge alınamamasına direkt sebep oluşturmaktadır. Ancak, kapsamlı ve etkin bir risk analizi ve risk değerlendirme sonucunda ortaya çıkan riskler dolaylı olarak bizi Ek-A kontrol maddelerine götürmektedir ve dolaylı yoldan süreç, bu kontrollerin uygulanmasını da zorunlu hale getirmektedir.


En genel anlamıyla Penetrasyon Testi;  kurumların Bilişim Sistemlerinin saldırgan öngörüsü ile güvenlik açıklarının tespit edilip bulunan zafiyetlerin kullanılarak sistemlere sızılmaya çalışılması ve tespit edilenler açıklıkların raporlanmasıdır. Bazı açıklıklar ve bilgi güvenliğini tehdit eden riskler, sadece gözlemlenerek, herhangi bir test/analiz uygulamadan da tespit edilebilir. Ancak bilişim sistemleri arasındaki haberleşmenin barındırabileceği teknik açıklıkların gözlemlenerek tespit edilmesi mümkün olmayacaktır. Çünkü etkin bir risk değerlendirme sürecinde sadece insan veya süreç kaynaklı tehditler değil, sistemsel açıklıklardan kaynaklı bilgi güvenliği tehditlerinin de değerlendirilebilmesi için bu açıklıkların ne derece kritiklikte var olup olmadığının belirlenebilmesi gerekir. Kritik bilgi güvenliği açıklıkları ise organizasyon için gelebilecek birçok siber saldırıya davetiye çıkarmaktadır. Organizasyon içerisinde bizzat sistemler üzerinde çalışanlar, bu açıklıkları göremeyebilir ve uzman bir üçüncü göz kişi veya kişilere ihtiyaç duyulur. Bu anlamda bilgi güvenliği felsefesini organizasyonuna kazandırmak isteyen hiçbir ölçekte firma için  teknik açıklıkları göz ardı etmek kabul edilebilir olmayacaktır. Bu sebeple ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi kurmak isteyen bir firma için Penetrasyon Testi madde 4 ile madde 10 arasındaki gereksinimler içerisinde olmamasına rağmen, yukarıda bahsettiğimiz nedenlerle zorunlu hale gelmektedir.

Kaynaklar:
ISO/IEC 27001:2013 Bilgi Teknolojisi-Güvenlik Teknikleri- Bilgi Güvenliği Yönetim Sistemleri-Gereksinimler

Makale Gökhan ALKAN Tübitak/Siber Güvenlik Enstitüsü 

Hiç yorum yok:

Yorum Gönder