Kurumların “ISO/IEC
27001 Bilgi Güvenliği Yönetim Sistemi” felsefesi ile bir yönetim sistemi kurmak
ve standarda uyumluluğunu belgelendirerek sertifikaya sahip olmak için yapması
gereken çalışmalarda, en fazla merak edilen konuların başında Penetrasyon testinin(sızma
testinin) ISO/IEC 27001 uyumluluk sürecinde zorunluluk olup olmadığı gelmektedir.
Bilgi Güvenliği
Yönetim Sistemi kurulumu için referans alınan ve uluslararası kabul görmüş
ISO/IEC 27001 standardı yapısında Madde 4 ile Madde 10 arasındaki yönetim sistemi
temel maddelerine ek olarak; uygulanabilecek kontrol maddelerinin amaçları ve açıklamalarını
içeren bir Ek-A bölümü de yer
almaktadır. Kuruluşta mevcut süreçlere uygun olarak “uygulanabilir veya
uygulanamaz” olarak tanımlanacak bu kontrollerin; temel alınan risk kabulüne,
risk işleme seçeneklerine ve kuruluşta uygulanan genel risk yönetimi
yaklaşımına göre nasıl hayata geçirileceği kararı verilerek uygulamaya
alınırlar.
Standartta
geçen; “Bir kuruluşun bu standarda uyumluluk iddiasında bulunması durumunda, Madde
4 ile Madde 10 arasında belirtilen şartların herhangi birinin hariç tutulması kabul
edilebilir değildir.” ifadesine göre anlaşılıyor ki standardın temel maddeleri
içerisindeki yerine getirilmeyen herhangi bir gereksinim, belge alınamamasına
direkt sebep oluşturmaktadır. Ancak, kapsamlı ve etkin bir risk analizi ve risk
değerlendirme sonucunda ortaya çıkan riskler dolaylı olarak bizi Ek-A kontrol
maddelerine götürmektedir ve dolaylı yoldan süreç, bu kontrollerin uygulanmasını
da zorunlu hale getirmektedir.
En genel
anlamıyla Penetrasyon Testi; kurumların
Bilişim Sistemlerinin saldırgan öngörüsü ile güvenlik açıklarının tespit edilip
bulunan zafiyetlerin kullanılarak sistemlere sızılmaya çalışılması ve tespit
edilenler açıklıkların raporlanmasıdır. Bazı açıklıklar ve bilgi
güvenliğini tehdit eden riskler, sadece gözlemlenerek, herhangi bir test/analiz
uygulamadan da tespit edilebilir. Ancak bilişim sistemleri arasındaki haberleşmenin
barındırabileceği teknik açıklıkların gözlemlenerek tespit edilmesi mümkün olmayacaktır.
Çünkü etkin bir risk değerlendirme sürecinde sadece insan veya süreç kaynaklı tehditler
değil, sistemsel açıklıklardan kaynaklı bilgi güvenliği tehditlerinin de
değerlendirilebilmesi için bu açıklıkların ne derece kritiklikte var olup
olmadığının belirlenebilmesi gerekir. Kritik bilgi güvenliği açıklıkları ise
organizasyon için gelebilecek birçok siber saldırıya davetiye çıkarmaktadır.
Organizasyon içerisinde bizzat sistemler üzerinde çalışanlar, bu açıklıkları
göremeyebilir ve uzman bir üçüncü göz kişi veya kişilere ihtiyaç duyulur. Bu anlamda
bilgi güvenliği felsefesini organizasyonuna kazandırmak isteyen hiçbir ölçekte
firma için teknik açıklıkları göz ardı
etmek kabul edilebilir olmayacaktır. Bu sebeple ISO/IEC 27001 Bilgi Güvenliği
Yönetim Sistemi kurmak isteyen bir firma için Penetrasyon Testi madde 4 ile
madde 10 arasındaki gereksinimler içerisinde olmamasına rağmen, yukarıda
bahsettiğimiz nedenlerle zorunlu hale gelmektedir.
BTYÖN tarafından sunulan sızma testi (Penetrasyon testi) hizmeti hakkında bilgi almak için tıklayınız.
Kaynaklar:
ISO/IEC 27001:2013 Bilgi
Teknolojisi-Güvenlik Teknikleri- Bilgi Güvenliği Yönetim Sistemleri-Gereksinimler
Hiç yorum yok:
Yorum Gönder