7 Kasım 2022 Pazartesi

 ISO/IEC 27001:2022 ve ISO/IEC 27002:2022 İncelemesi

Sinem Varol, ISO 27001 LA

Geçtiğimiz günlere kadar ISO/IEC 27001 standardının ulusal çapta geçerli olan 2013 versiyonu kullanılmaktaydı. Şubat ayında ISO/IEC 27002 standardının 2022 versiyonunun yayınlanmasından sonra, ISO/IEC 27001 standardının yeni versiyonu 25 Ekim 2022 tarihinde yayınlandı. Bu yazımızda standardın yeni versiyonunda yapılan değişiklikleri ve yenilikleri inceleyeceğiz.

1.       Değişiklikler incelendiğinde ilk göze çarpanın standardın ismi olduğu görülüyor. 2013 versiyonunda “Bilgi teknolojisi - Güvenlik teknikleri – Bilgi güvenliği yönetim sistemleri – Gereksinimler” olan standart ismi yeni versiyonuyla birlikte “Bilgi güvenliği, siber güvenlik ve mahremiyetin korunması– Bilgi güvenliği yönetim sistemleri – Gereksinimler” olarak güncellendi.

2.       Standardın içeriğinde yapılan değişikliklerle birlikte 2013 versiyonu 23 sayfa uzunluğundayken 2022 versiyonunda bunun 19 sayfaya düştüğü fark ediliyor.

3.       2022 versiyonunda standardın Madde 3 Terimler ve tarifler başlığında kullanılabilecek terminoloji veri tabanları bilgileri paylaşılmış. Yapılan ekleme “ISO ve IEC, standardizasyonda kullanılmak üzere aşağıdaki adreslerdeki terminoloji veri tabanlarını sürdürür:

                — ISO Çevrimiçi tarama platformu: https://www.iso.org/obp adresinde mevcut

                — IEC Elektropedia: https://www.electropedia.org/ adresinde mevcut

4.       Madde 4.2 İlgili tarafların ihtiyaç ve beklentilerinin anlaşılması” maddesine “c) Bilgi güvenliği yönetim sistemi vasıtasıyla bu gereksinimlerden hangilerinin ele alınacağı” ifadesi eklendi. Güncel madde aşağıdaki gibi:

                “Kuruluş aşağıdakileri belirleyecektir:

                a) Bilgi güvenliği yönetim sistemi ile ilgili taraflar;

                b) Bu ilgili tarafların bilgi güvenliği ile ilgili gereksinimleri;

                (yeni) c) Bilgi güvenliği yönetim sistemi aracılığıyla bu gereksinimlerden hangilerinin ele alınacağı.”

                Not - İlgili tarafların gereksinimleri yasal ve düzenleyici gereksinimleri ve sözleşmeden doğan                 yükümlülükleri içeriyor olabilir.”

5.       Madde 4.4’e yapılan eklemeyle birlikte yeni versiyonda süreçlere daha fazla odaklanıldığı fark ediliyor. Güncel madde: “Kuruluş, ihtiyaç duyulan süreçleri ve bu süreçlerin etkileşimlerini içeren, bu standardın şartları çerçevesinde bir bilgi güvenliği yönetim sistemini kurmalı, uygulamalı, sürdürmeli ve sürekli iyileştirmelidir.”

6.       Yeni versiyonda bilgi güvenliği hedefleri için 6.2 maddesine yeni gereksinimler eklendi (yenilikler kalın harfle belirtilmiştir).

        Kuruluş, uygun işlevler ve seviyelerde bilgi güvenliği amaçlarını tesis etmelidir.

        Bilgi güvenliği amaçları aşağıdakileri sağlamalıdır:

        a) Bilgi güvenliği politikası ile tutarlı olmalı,

        b) Ölçülebilir olmalı (uygulanabilirse),

        c) Uygulanabilir bilgi güvenliği şartlarını ve risk değerlendirme ve risk işlemenin sonuçlarını            dikkate almalı,

        d) İzlenmeli,

        e) Duyurulmalı,

        f) Uygun şekilde güncellenmeli ve

        g) Yazılı bilgi olarak mevcut olmalıdır.

7.       Yeni versiyonda “6.3 Değişikliklerin planlanması” adlı yeni bir madde eklendi.

        6.3 Değişikliklerin planlanması

        Kuruluş bilgi güvenliği yönetim sistemindeki değişiklik ihtiyacını belirlediğinde, değişiklikler           planlı bir şekilde gerçekleştirilmelidir.

8.       7.4 İletişim maddesindeki gereksinimlerde değişiklik yapıldı, yeni bir gereksinim eklendi.

        Eski versiyon: 7.4 İletişim

        Kuruluş aşağıdakileri içeren bilgi güvenliği yönetim sistemi ile ilgili dâhili ve harici iletişim ihtiyaçlarını belirlemelidir:

        a) İletişimin konusu,

        b) Ne zaman iletişim kurulacağı,

        c) Kiminle iletişim kurulacağı,

        d) Kimin iletişim kuracağı ve

        e) İletişimin hangi süreçten etkileneceği.

        Yeni versiyon: 7.4 İletişim

        Kuruluş aşağıdakileri içeren bilgi güvenliği yönetim sistemi ile ilgili dâhili ve harici iletişim ihtiyaçlarını belirlemelidir:

        a) İletişimin konusu,

        b) Ne zaman iletişim kurulacağı,

        c) Kiminle iletişim kurulacağı ve

        d) Nasıl iletişime geçileceği.

9.       8.1 İşletimsel planlama ve kontrol maddesine yeni gereksinimler eklendi:

        Eski versiyon: Kuruluş bilgi güvenliği şartlarını karşılamak ve Madde 6.1’de belirlenen      faaliyetleri gerçekleştirmek için gerekli olan süreçleri planlamalı, uygulamalı ve kontrol etmelidir. Kuruluş, Madde 6.2’de belirlenen bilgi güvenliği amaçlarını başarmak için aynı            zamanda planları uygulamalıdır.

        Kuruluş, süreçlerin planlandığı gibi yürütüldüğünden emin olduğu noktaya kadar yazılı bilgileri     saklamalıdır.

        Kuruluş, planlanan değişiklikleri kontrol etmeli ve istenmeyen değişikliklerin sonuçlarını                 gözden geçirerek, gerekiyor ise kötü etkileri azaltmak için eyleme geçmelidir.

        Kuruluş, dış kaynaklı süreçlerin belirlenmesini ve kontrol edilmesini temin etmelidir.

        Yeni versiyon: Kuruluş;

-        süreçler için kriterler oluşturarak ve

-        kriterlere göre süreçlerin kontrolünü uygulayarak

        şartları karşılamak ve Madde 6’da belirlenen faaliyetleri gerçekleştirmek için gerekli olan               süreçleri planlamalı, uygulamalı ve kontrol etmelidir.

        Yazılı bilgiler, süreçlerin planlandığı gibi yürütüldüğünden emin olunduğu noktaya kadar                 mevcut olmalıdır.

        Kuruluş, planlanan değişiklikleri kontrol etmeli ve istenmeyen değişikliklerin sonuçlarını                 gözden geçirerek, gerekiyor ise kötü etkileri azaltmak için eyleme geçmelidir.

        Kuruluş, bilgi güvenliği yönetim sistemiyle ilgili dış kaynaklı süreçler, ürünler ya da       hizmetlerin kontrol edilmesini temin etmelidir.

10.   9.2 İç tetkik ve 9.3 Yönetimin gözden geçirmesi maddelerinin yapısı değişti ve 9.3.2 Yönetimin gözden geçirmesi girdileri maddesine yeni bir gereksinim eklendi.

        Eski versiyon: 9.2 İç tetkik

                                   9.3 Yönetimin gözden geçirmesi

        Yeni versiyon: 9.2 İç tetkik

                                    9.2.1 Genel

                                    9.2.2 İç tetkik programı

                                    9.3 Yönetimin gözden geçirmesi

                                    9.3.1 Genel

                                    9.3.2 Yönetimin gözden geçirmesi girdileri

                                    9.3.3 Yönetimin gözden geçirmesi sonuçları

        c) Bilgi güvenliği yönetim sistemiyle ilişkili ilgili tarafların ihtiyaç ve beklentilerindeki                 değişiklikler

11.   10 İyileştirme maddesinin yapısında değişiklik yapıldı.

        Eski versiyon: 10.1 Uygunsuzluk ve düzeltici faaliyet

                                   10.2 Sürekli iyileştirme

        Yeni versiyon: 10.1 Sürekli iyileştirme

                                    10.2 Uygunsuzluk ve düzeltici faaliyet

12.   Ek-A bilgi güvenliği kontrollerinde değişiklikler yapıldı. A.5’ten A.18’e kadar giden domain yapısı değiştirildi, kontroller 4 kategoriye ayrıldı. Kontroller aşağıdaki gibi kategorize edildi:

a.       Eğer bireysel kişileri ilgilendiriyorsa İnsan

b.      Fiziksel nesnelerle ilgiliyse Fiziksel

c.       Teknoloji ile ilgili ise Teknolojik

d.      Aksi takdirde Organizasyonel

          Kontroller için sadece 2022 versiyonunda olan beş yeni nitelik tanımlandı.

1.       Kontrol türü (Önleyici, Tespit Edici, Düzeltici)

2.       Bilgi güvenliği özellikleri (G-B-E)

3.       Siber güvenlik kavramları (Tanımlama, Koruma, Tespit Etme, Yanıt Verme ve Kurtarma)

4.       Operasyonel kabiliyetler

5.       Güvenlik alanları

        Toplam kontrol sayısının 114’ten 93’e düştüğü görülüyor. 11 yeni kontrol eklendi. Eklenen            kontroller aşağıdaki gibi:

-        A.5.7 Tehdit istihbaratı

-        A.5.23 Bulut hizmetlerinin kullanımı için bilgi güvenliği

-        A.5.30 İş sürekliliği için bilgi ve iletişim teknolojilerinin hazırlığı

-        A.7.4 Fiziksel güvenlik izleme

-        A.8.9 Konfigürasyon yönetimi

-        A.8.10 Bilgi silme

-        A.8.11 Veri maskeleme

-        A.8.12 Veri sızıntısını önleme

-        A.8.16 İzleme faaliyetleri

-        A.8.23 Web filtreleme

-        A.8.28 Güvenli kodlama

 

                Yeni eklenen niteliklerle birlikte kontrol örneği aşağıda verilmiştir.

                5.1 Bilgi güvenliği için politikalar

Kontrol türü

Bilgi güvenliği özellikleri

Siber güvenlik kavramları

Operasyonel kabiliyetler

Güvenlik alanları

#Önleyici

#Gizlilik #Bütünlük #Erişilebilirlik

#Tanımlama

#Yönetişim

#Yönetişim_ve_Ekosistem #Dayanıklılık

 

                Kontrol

                Bilgi güvenliği politikası ve konuya özel politikalar tanımlanmalı, yönetim tarafından          onaylanmalı, yayınlanmalı, ilgili personel ve ilişkili ilgili taraflara bildirilmeli ve tanınmalı,              planlı aralıklarla ve önemli değişiklikler meydana gelirse gözden geçirilmelidir.

                Amaç

                Bilgi güvenliği için yönetimin yönlendirmesi ve desteğinin, ticari, yasal, düzenleyici ve      sözleşmeye dayalı gereksinimlere göre sürekli uygunluğunu, yeterliliğini, etkinliğini sağlamak.

Bilgi Güvenliği Yönetim Sistemi işletiyorsanız, versiyon geçişi için aşağıdakileri yapmanız tavsiye edilir:

1.       Risk işleme planı yeni yapıya ve kontrollere göre gözden geçirilmelidir.

2.       Uygulanabilirlik Bildirgesi (SoA) gözden geçirilmeli ve güncellenmelidir.

3.       Bilgi Güvenliği Yönetim Sistemi yönetimin gözden geçirme prosedürü (girdiler için) gözden geçirilmeli ve güncellenmelidir.

4.       Bilgi güvenliği hedefleri ve izleme, ölçme, analiz ve değerlendirme prosedürü gözden geçirilmeli ve güncellenmelidir.

5.       Bilgi Güvenliği Yönetim Sistemi iletişim planı gözden geçirilmeli ve güncellenmelidir.

6.       Gerekliyse, diğer politikalar, standartlar ve prosedürler gözden geçirilmeli ve güncellenmelidir.

7.       Dahili ve harici olmak üzere, denetimler için kullanılan kontrol listeleri ve anketler gözden geçirilmeli ve güncellenmelidir.

8.       Kullandığınız kayıtların yeni gereksinimlere uyumluluğunu göstermek için, üçüncü taraf güvenlik araçları (örneğin GRC, SIEM, VM) değerlendirilmelidir ve imkan dahilinde uyarlanmalıdır.

16 Şubat 2022 Çarşamba

ISO 27001 ve ISO 27002 Standartlarının 2022 Sürümü Değişiklikleri

(Özet Bilgiler)

ISO 27001 ve ISO 27002 standartları BGYS (Bilgi Güvenliği Yönetim Sistemi) konusunda en temel başvuru kaynaklarıdır. Bu iki standart da doğrudan bilgi güvenliği konusunu ele alırlar. Teknik ve teknoloji bağımlı standartlar değildirler. Kurumlar uygulayacağı yöntem ve teknolojileri seçmekte serbesttirler.

ISO 27001 standardı BGYS’nin kurulumu, gerçeklenmesi, işletilmesi, izlenmesi, gözden geçirilmesi, sürdürülmesi ve iyileştirilmesi için gereksinimleri ortaya koyar. Belgelenebilir bir standart olması nedeni bilgi güvenliği alanında en yaygın bilinen standarttır. ISO 27001 standardının EK-A kısmında bilgi güvenliği kontrolleri yer almaktadır. ISO 27002’de ise ISO 27001 EK-A kısmında yer alan bilgi güvenliği kontrollerinin iyi uygulama pratikleri yer almaktadır.

Uzun bir süredir güncellenmeyen bu iki standart 2022 yılı içinde güncellenecektir. İlk güncelleme 15 Şubat 2022 tarihinde ISO 27002 standardında gerçekleşmiştir.

Temelde neler değişmiştir? Değişecektir?

-          ISO 27001 standardı Annex SL uyumlu olarak yayınlanacağı bildirilmiştir. Madde 4 ila 10 arası zorunlu maddeler varlığını koruyacaktır.

-          ISO 27002 de bulunan kontrol grubu sayısı ve kontrol sayısı değişmiştir. Kontrol grubu sayısı 14’ten 4’e düşmüştür. Kontrol sayısı ise 114’ten 93’e inmiştir.

-          Toplamda 11 yeni kontrol getirilmiştir. Kaldırılan herhangi bir kontrol yoktur. Birçok kontrol birleştirilerek kontrol sayısı düşürülmüştür.

ISO 27002 2022 sürümünde bilgi güvenliği kontrolleri aşağıdaki şekilde gruplandırılmıştır.

-          Organizasyonel kontroller (Organizational controls)

-          Personel/insan ile ilgili  kontroller (People controls)

-          Fiziksel kontroller (Physical controls)

-          Teknolojik kontroller (Technological controls)

Bulut servislerinin kullanımı için bilgi güvenliği, Bilgi güvenliği olaylarının (Event) değerlendirilmesi ve karar verilmesi, kesinti sırasında bilgi güvenliği, veri sızıntısı önleme, veri maskeleme, web filtreleme gibi ek kontroller getirilmiştir.

ISO 27001:2022 sürümünün yıl içinde ne zaman yayınlanacağı henüz açıklanmamıştır. Ancak ana süreçlerde değişiklik beklenmediği için temelde aşağıdaki çalışmalar ile uyumluluğun sağlanacağı değerlendirilmektedir. 

-          Değişen kontrol isimleri, sayısı ve grupları nedeni ile ilgili kontrol dokümantasyonunda güncellemeler.

-          Yeni kontroller nedeni ile teknik bazı işleyişlerin yeni yapıya adaptasyonu.

-          Uygulanabilirlik bildirgesinin yeni yapıya göre yenilenmesi

-          Risk değerlendirmelerinin yenilenmesi ve bu sayede yeni kontrol yapısına göre risk eşleştirmeleri.