2 Mayıs 2013 Perşembe

ISO 27002:2013 ve ISO 27002:2005 Arasındaki Temel Farklar Nelerdir?

Makaleyi indirmek için tıklayınız.

Hatırlatma: Şu an taslak halde yayımlanan ISO 27001:2013 standardının 2013 yılının ikinci yarısında yayımlanması bekleniyor

Yapısal İnceleme;

Kontrol Sayısı: Kontrol sayısının 133’ten 113’e düşürüldüğü görülüyor.

Bölüm Sayısı: Kontrol sayısının azalmasına rağmen bölüm sayısının 11’den 14’e çıktığı görülüyor.


Bölümlerin Yapısı: Yeni standart üzerinde yer alan temel başlıklar aşağıdaki gibidir;
Bölümlerin yapısı: Kriptografi ayrı bir bölüm haline getirilmiştir (10). Kriptografi ile ilgili kısımların bilgi sistemleri edinimi, geliştirme ve bakımın bir parçası olmadığı biliniyor. Benzer bir değişiklik tedarikçi ilişkileri kısmında da mevcut. Haklı olarak tedarikçi ilişkileri de ayrı bir bölüm haline getirilmiştir (15). İletişim ve operasyon yönetimi ise iki bölüme ayrılmıştır: Operasyon güvenliği (12) ve iletişim güvenliği (13).

Bölümlerin incelenmesi;
5- Güvenlik Politikaları
6- Bilgi Güvenliği Organizasyonu
7- İnsan Kaynakları Güvenliği
8- Varlık Yönetimi
9- Erişim Kontrolü
10- Kriptografi
11- Fiziksel ve Çevresel Güvenlik
12- Operasyon Güvenliği
13- İletişim Güvenliği
14- Sistem Edinim, Geliştirme ve Bakım
15- Tedarikçi İlişkileri
16- Bilgi Güvenliği Olay Yönetimi
17- İş Sürekliliği
18- Uyum

Güvenlik Kategorilerinin Yerleştirilmesi
  1. Mobil cihazlar ve uzaktan çalışma daha önce erişim kontrolü bölümündeydi; şimdi ise bilgi güvenliği organizasyonunun (6) altında 6.2 inci kısım olarak yer almaktadır.
  2.  Ortam işleme daha önce iletişim ve operasyon yönetimi altındayken,şimdi varlık yönetimi (8) altında 8.3 üncü kısım olarak yer almaktadır.
  3.   İşletim sistemi erişim kontrolü ile uygulama ve bilgi erişim kontrolü sistem ve uygulama erişim kontrolü olarak birleştirilmiş ve Erişim kontrolü (9) altında 9.4 üncü kısım olarak kalmıştır.
  4.  Operasyonel yazılım kontrolü daha önce bilgi sistemleri edinim, geliştirme ve bakımın altında tek bir kontrolken, şimdi 12.5 olarak operasyon güvenliği altında ayrı bir kısımdır.
  5. Bilgi sistemleri denetim hususları uyum bölümünden operasyon güvenliği altına 12.7 inci kısım olarak aktarılmıştır.
  6. Bir güvenlik kategorisi olan yazılım erişim kontrolü kaldırılmış ve bazı kontrolleri iletişim güvenliğinin (13) altına taşınmıştır.
  7. Bilgi değişimi iletişim güvenliğinin (13) altında 13.2 inci kısım olarak yer almıştır.
  8. Tartışmalı bir kategori olan uygulamalarda doğru işleme kaldırıldı. Önceki standartta ise bilgi sistemi edinim, geliştirme ve bakımın altında yer almaktadır.
  9.  Elektronik ticaret hizmetleri ayrı bir kategori olmaktan çıkartılarak, kontrolleri bilgi sistemi güvenlik gereksinimleri ile birleştirildi (14.1).
  10.  Bilgi güvenliği olay yönetimi altındaki 2 kategori birleştirildi. İş süreklilği bölümüne ise yeni bir kategori eklenerek (Yedekleme 17.2). Bu kategori temel olarak felakatten kurtarma ile ilgili.


Yeni Kontroller
14.2.1- Güvenlik gelişim politikası- Yazılım ve bilgi sistemleri geliştirme için kurallar
14.2.5- Sistem geliştirme prosedürleri- Sistem mühendisliği ilkeleri
14.2.6- Güvenli geliştirme ortamı- Geliştime ortamı oluşturulması ve korunması
14.2.8- Sistem güvenliği testi- Güvenlik fonksiyonları testleri
16.1.4- Bilgi güvenliği olayları değerlendirme ve karar verme- Olay yönetiminin bir parçası
17.2.1- Bilgi işleme olanaklarının erişilebilirliği- Yedekleme

Çıkartılan Kontroller

6.2.2- Müşterilerle ilgilenirken güvenliği ifade etme
10.4.2- Mobil koda karşı kontroller
10.7.3- Bilgi işleme prosedürleri
10.7.4- Sistem dokümantasyonu güvenliği
10.8.5- İş bilgi sistemleri
10.9.3- Herkese açık bilgi
11.4.2- Dış bağlantılar için kullanıcı kimlik doğrulama
11.4.3- Ağlarda teçhizat tanımlama
11.4.4- Uzak tanı ve yapılandırma portu koruma
11.4.6- Ağ bağlantı kontrolü
11.4.7- Ağ yönlendirme kontrolü
12.2.1- Giriş verisi geçerleme
12.2.2- İç işleme kontrolü
12.2.3- Mesaj bütünlüğü
12.2.4- Çıkış verisi geçerleme
11.5.5- Oturum zaman aşımı
11.5.6- Bağlantı süresinin sınırlandırılması
11.6.2- Hassas sistem yalıtımı
12.5.4- Bilgi sızması
14.1.2- İş sürekliliği ve risk değerlendirme
14.1.3- Bilgi güvenliğini içeren süreklilik planlarını geliştirme ve gerçekleştirme
14.1.4- İş sürekliliği planlama çerçevesi
15.1.5- Bilgi işleme olanaklarının kötüye kullanımını önleme
15.3.2- Bilgi sistemleri denetim araçlarının korunması

ISO 27002 yapısı tamamen ISO 27001 kontrolleri ile uyumlu olduğundan tüm değişiklikler yeni IS0 27001 EK-A sı içinde geçerlidir. İlk bakışta çok fazla bir değişiklik varmış gibi görülmektedir. Ama bunların çoğu temelden yapılan değişiklikler değil. Değişikliklerin çoğu aslında mevcut ISO 27002 nin yanlış yapısının düzeltilmesi ve yeni kontrollerin eklenmesini içeriyor. Ağ güvenliği ve geliştirme sürecinde ise bazı değişiklikler mevcut. Bu alanlarda yeni standarda göre daha esnek bir tarif ve nasıl uygulama yapılacağı kısmında serbestlik vardır.
Sonuç olarak yeni standarda göre uygulama daha kolay olacak gibi görünmektedir.



Hiç yorum yok:

Yorum Gönder