2 Mayıs 2013 Perşembe

ISO 27002:2013 ve ISO 27002:2005 Arasındaki Temel Farklar Nelerdir?

Makaleyi indirmek için tıklayınız.

Hatırlatma: Şu an taslak halde yayımlanan ISO 27001:2013 standardının 2013 yılının ikinci yarısında yayımlanması bekleniyor

Yapısal İnceleme;

Kontrol Sayısı: Kontrol sayısının 133’ten 113’e düşürüldüğü görülüyor.

Bölüm Sayısı: Kontrol sayısının azalmasına rağmen bölüm sayısının 11’den 14’e çıktığı görülüyor.


Bölümlerin Yapısı: Yeni standart üzerinde yer alan temel başlıklar aşağıdaki gibidir;
Bölümlerin yapısı: Kriptografi ayrı bir bölüm haline getirilmiştir (10). Kriptografi ile ilgili kısımların bilgi sistemleri edinimi, geliştirme ve bakımın bir parçası olmadığı biliniyor. Benzer bir değişiklik tedarikçi ilişkileri kısmında da mevcut. Haklı olarak tedarikçi ilişkileri de ayrı bir bölüm haline getirilmiştir (15). İletişim ve operasyon yönetimi ise iki bölüme ayrılmıştır: Operasyon güvenliği (12) ve iletişim güvenliği (13).

Bölümlerin incelenmesi;
5- Güvenlik Politikaları
6- Bilgi Güvenliği Organizasyonu
7- İnsan Kaynakları Güvenliği
8- Varlık Yönetimi
9- Erişim Kontrolü
10- Kriptografi
11- Fiziksel ve Çevresel Güvenlik
12- Operasyon Güvenliği
13- İletişim Güvenliği
14- Sistem Edinim, Geliştirme ve Bakım
15- Tedarikçi İlişkileri
16- Bilgi Güvenliği Olay Yönetimi
17- İş Sürekliliği
18- Uyum

Güvenlik Kategorilerinin Yerleştirilmesi
  1. Mobil cihazlar ve uzaktan çalışma daha önce erişim kontrolü bölümündeydi; şimdi ise bilgi güvenliği organizasyonunun (6) altında 6.2 inci kısım olarak yer almaktadır.
  2.  Ortam işleme daha önce iletişim ve operasyon yönetimi altındayken,şimdi varlık yönetimi (8) altında 8.3 üncü kısım olarak yer almaktadır.
  3.   İşletim sistemi erişim kontrolü ile uygulama ve bilgi erişim kontrolü sistem ve uygulama erişim kontrolü olarak birleştirilmiş ve Erişim kontrolü (9) altında 9.4 üncü kısım olarak kalmıştır.
  4.  Operasyonel yazılım kontrolü daha önce bilgi sistemleri edinim, geliştirme ve bakımın altında tek bir kontrolken, şimdi 12.5 olarak operasyon güvenliği altında ayrı bir kısımdır.
  5. Bilgi sistemleri denetim hususları uyum bölümünden operasyon güvenliği altına 12.7 inci kısım olarak aktarılmıştır.
  6. Bir güvenlik kategorisi olan yazılım erişim kontrolü kaldırılmış ve bazı kontrolleri iletişim güvenliğinin (13) altına taşınmıştır.
  7. Bilgi değişimi iletişim güvenliğinin (13) altında 13.2 inci kısım olarak yer almıştır.
  8. Tartışmalı bir kategori olan uygulamalarda doğru işleme kaldırıldı. Önceki standartta ise bilgi sistemi edinim, geliştirme ve bakımın altında yer almaktadır.
  9.  Elektronik ticaret hizmetleri ayrı bir kategori olmaktan çıkartılarak, kontrolleri bilgi sistemi güvenlik gereksinimleri ile birleştirildi (14.1).
  10.  Bilgi güvenliği olay yönetimi altındaki 2 kategori birleştirildi. İş süreklilği bölümüne ise yeni bir kategori eklenerek (Yedekleme 17.2). Bu kategori temel olarak felakatten kurtarma ile ilgili.


Yeni Kontroller
14.2.1- Güvenlik gelişim politikası- Yazılım ve bilgi sistemleri geliştirme için kurallar
14.2.5- Sistem geliştirme prosedürleri- Sistem mühendisliği ilkeleri
14.2.6- Güvenli geliştirme ortamı- Geliştime ortamı oluşturulması ve korunması
14.2.8- Sistem güvenliği testi- Güvenlik fonksiyonları testleri
16.1.4- Bilgi güvenliği olayları değerlendirme ve karar verme- Olay yönetiminin bir parçası
17.2.1- Bilgi işleme olanaklarının erişilebilirliği- Yedekleme

Çıkartılan Kontroller

6.2.2- Müşterilerle ilgilenirken güvenliği ifade etme
10.4.2- Mobil koda karşı kontroller
10.7.3- Bilgi işleme prosedürleri
10.7.4- Sistem dokümantasyonu güvenliği
10.8.5- İş bilgi sistemleri
10.9.3- Herkese açık bilgi
11.4.2- Dış bağlantılar için kullanıcı kimlik doğrulama
11.4.3- Ağlarda teçhizat tanımlama
11.4.4- Uzak tanı ve yapılandırma portu koruma
11.4.6- Ağ bağlantı kontrolü
11.4.7- Ağ yönlendirme kontrolü
12.2.1- Giriş verisi geçerleme
12.2.2- İç işleme kontrolü
12.2.3- Mesaj bütünlüğü
12.2.4- Çıkış verisi geçerleme
11.5.5- Oturum zaman aşımı
11.5.6- Bağlantı süresinin sınırlandırılması
11.6.2- Hassas sistem yalıtımı
12.5.4- Bilgi sızması
14.1.2- İş sürekliliği ve risk değerlendirme
14.1.3- Bilgi güvenliğini içeren süreklilik planlarını geliştirme ve gerçekleştirme
14.1.4- İş sürekliliği planlama çerçevesi
15.1.5- Bilgi işleme olanaklarının kötüye kullanımını önleme
15.3.2- Bilgi sistemleri denetim araçlarının korunması

ISO 27002 yapısı tamamen ISO 27001 kontrolleri ile uyumlu olduğundan tüm değişiklikler yeni IS0 27001 EK-A sı içinde geçerlidir. İlk bakışta çok fazla bir değişiklik varmış gibi görülmektedir. Ama bunların çoğu temelden yapılan değişiklikler değil. Değişikliklerin çoğu aslında mevcut ISO 27002 nin yanlış yapısının düzeltilmesi ve yeni kontrollerin eklenmesini içeriyor. Ağ güvenliği ve geliştirme sürecinde ise bazı değişiklikler mevcut. Bu alanlarda yeni standarda göre daha esnek bir tarif ve nasıl uygulama yapılacağı kısmında serbestlik vardır.
Sonuç olarak yeni standarda göre uygulama daha kolay olacak gibi görünmektedir.



ISO 27001:2013 ve ISO 27001:2005 Arasındaki Temel Farklar Nelerdir?

Makaleyi indirmek için tıklayınız.


Bilgi Güvenliği Yönetim Sistemi (BGYS-(in Eng. ISMS)’nin uluslararası standardı 2005 yılında ISO 27001:2005 olarak yayımlanmıştı. 2006 yılında ise Türk Standartları Enstitüsü tarafından Türkçe’ye çevrilmiş ve TS ISO/IEC 27001 olarak yayımlanmıştı.
Şu an taslak halde yayımlanan ISO 27001:2013 standardının 2013 yılının ikinci yarısında yayımlanması bekleniyor.



ISO 27001:2013 ile ISO 27001:2005 Arasındaki temel farklar nelerdir?
Bu karşılaştırmaya geçmeden önce elimizdeki standardın taslak halde olduğu ve yapılacak katkılarla değişime açık olduğu unutulmamalıdır.


Yapıya Genel Bir Bakış
ISO 27001:2013, ISO22301:2012 ile gördüğümüz Annex SL ile uyumlu olacak. Annex SL tüm ISO standartlarına genel bir çerçeve yapısı oluşturuyor. Tüm yönetim sistemlerinde bulunması gereken temel bileşenlerin yanı sıra standarda özel başlıkların konulmasına olanak sağlayan bu çatı yapısı, birden fazla yönetim sistemine sahip kuruluşlar için hem yönetim anlamında hem de bu yönetim sistemlerinin denetimi anlamında kolaylık sağlayacaktır. Bu yapı ile tüm standartlarda bulunacak temel başlıklar aşağıdaki gibi olacaktır;

0 Introduction /Giriş
1 Scope /Kapsam
2 Normative references / Atıf yapılan standartlar ve/veya dokümanlar
3 Terms and definitions /Terimler ve tarifleri
4 Context of the organization / Kurum Bağlamı
5 Leadership /Liderlik
6 Planning /Planlama
7 Support /Destek
8 Operation /Operasyon
9 Performance evaluation /Performans değerlendirme
10 Improvement /İyileştirme


Ek olarak sadece ‘EK-A’ bulunduğu bununla birlikte eski standartta yer alan EK-B ve EK-C olmadığını görüyoruz. Tüm kontroller EK-A’ da yer almaktadır.

İlgili Taraflar
Yeni 27001 standardı BGYS ana girdileri tanımlamada önemli bir yer tutacak olan ilgili taraflarla alakalı olarak ‘4.2 ’ Maddesinde;
Tüm ilgili tarafların tanımlanması ve yasal/düzenleyici dâhil tüm gereksinimleri ile tanımlanmasını şart koşuluyor.

Risk Değerlendirme ve İyileştirme
Uzun yıllar en iyi uygulama örneği olarak yerini koruyacak olan; varlık, açıklık, tehdit temelli risk değerlendirme yeni 27001 standardı ile yerini gizlilik, bütünlük ve erişilebilirlik temelli bir risk tanımlamaya bırakmış durumda.
6.1.2
d.1 Maddesi uyarınca;
Apply the information security risk assessment process to identify risks associated with the loss of confidentiality, integrity and availability for information within the scope of the ISMS.
Risk seviyesini belirlemek için olasılık ve etki bileşenleri ise yerini koruyor.
Not: Yeni standart risk işleme yönetiminin dokümante edilmesini şart koşmuyor. Bununla birlikte risk işleme sürecinin tanımlanması gerekiyor. Varlık sahibi kavramı ise yerine ‘risk sahibi’ tanımı ile değiştirilmiştir.

Düzeltici ve Önleyici Faaliyetler
İlk fazda önleyici faaliyetlerin olmadığını söylemek yanlış olmaz. Önleyici faaliyetler risk işleme ve iyileştirme adımlarına dağıtılmış durumda.
Düzeltici faaliyetler için ise, eski standarda kafa karışıklığına sebebiyet veren durum ortadan kaldırılmış olduğu görülüyor. Düzeltici faaliyetlerin bir uygunsuzluğa verilen ilk tepki  ve bir uygunsuzluğun kök nedenlerini ortadan kaldırmak üzere ikiye ayrıldığını görüyoruz.



İletişim
Bilgi güvenliğinin sağlanması için gereken iletişim ile ilgili olarak yeni bir madde eklendiği görülüyor.
(Madde 7.4)
Bu madde uyarınca;
Kiminle, ne zaman, kim ve hakkında iletişime geçileceğinin tanımlanması sağlanıyor.

Dokümante Edilmiş Bilgi
Yeni standart ‘belgeler’ ve ‘kayıtlar’ kavramını birleştirerek ‘dokümante edilmiş bilgi’ kavramını getiriyor. Doküman kontrolü ile ilgili kuralların eski standarda göre değişmediği ve ‘belgeler’ ve ‘kayıtlar’ ın her ikisi içinde geçerli olacağı görülüyor.
4.3.1 Maddesinin kaldırıldığı ve gerek duyulan merkezi bir doküman listesinin olmadığını görüyoruz.
Eski standartta yer alan doküman yönetimi, düzeltici faaliyet v.b zorunlu olarak olması gereken belgelerin olmadığı bununla birlikte bu süreçlerin yönetilmesi ve işletilmesi ile ilgili kayıtların tutulması zorunluluğu bulunuyor. Daha farklı ifadelerle düzeltici faaliyet dokümanı yazılı olarak olmasa bile bu sürecin işletilmesi ile ilgili kayıtların tutulması zorunlu.

Hedefler, İzleme ve Ölçme
Yeni standartta hedeflerin net olarak tanımlanması ve 9.1 maddesi uyarınca, ölçmenin kim tarafından ne zaman yapılacağı, sonuçları kimin analiz edip değerlendirileceği belirtilmeli ve ek olarak kapsamlı planların hedeflere nasıl ulaşılacağı açıklayacak şekilde olması gerekiyor.

3 Nisan 2013 Çarşamba

Gümrük İşlerinin Kolaylaştırılmasına İlişkin Gümrük Genel Tebliği[Mart 2013]

Gümrük ve Ticaret Bakanlığı tarafından "Gümrük İşlerinin Kolaylaştırılması"na ilişkin yönetmelik 2013 yılının Ocak ayında resmi gazete yayımlanmıştı. Bu yönetmelik ISO 9001 ve ISO 27001 sertifakalarının alınmasını şart koşuyordu(Madde 10) ancak bu sertifikaların kapsamına ilişkin bir madde bulunmuyordu.

Geçtiğimiz günlerde yayımlanan tebliğ ile ISO 9001 ve ISO 27001 sertifikalarının hangi kapsamda olması gerektiği netleştirilmiş oldu.

İlgili maddeye(Madde 5) ilişkin bilgiler aşağıdaki gibidir;

"(1) Gümrük İşlemlerinin Kolaylaştırılması Yönetmeliğinin 10 uncu maddesinin birinci fıkrasının (e) bendi uyarınca ibraz edilecek ISO 9001 sertifikası; başvuru sahibinin dış ticaret, gümrükleme, yönetim ve idari organizasyon faaliyetleri ile bu faaliyetlerle ilişkili işlemlerini ve bunlara bağlı üretim ve hizmet sunumlarını kapsamalıdır.
(2) Gümrük İşlemlerinin Kolaylaştırılması Yönetmeliğinin 10 uncu maddesinin birinci fıkrasının (e) bendi uyarınca ibraz edilecek ISO 27001 sertifikası; ithalat, ihracat, transit, gümrükleme gibi gümrük ve dış ticaret işlemlerini ve bu işlemlere ilişkin lojistik, depolama, muhasebe, finans ve bilgi işlem gibi faaliyetlerinin elektronik bilgi varlıkları ile bu varlıkları korumak amacıyla kullandığı bilişim güvenliğini kapsamalıdır"


4 Mart 2013 Pazartesi

Yetkilendirilmiş Yükümlü Statüsü için Başvuru Yapacak Kuruluşların Dikkatine

10 Ocak günü itibari ile resmi gazetede yayınlanan GÜMRÜK İŞLEMLERİNİN KOLAYLAŞTIRILMASI YÖNETMELİĞİ' ne göre Yetkilendirilmiş Yükümlü Statüsünü alabilmek için işletmelerin ISO 27001 Bilgi Güvenliği Yönetim Sistemi ve ISO 9001 Kalite Yönetim Sistemi belgelerine sahip olma şartı aranıyor.

Yönetmeliğin 10. maddesinde "Avrupa Akreditasyon Birliğinin karşılıklı tanıma anlaşmalarına imza atmış akreditasyon kurumları tarafından akredite edilmiş uygunluk değerlendirme kuruluşlarınca düzenlenecek ve akreditasyon kurumunun markasını taşıyan güncel ISO 9001ve ISO 27001 sertifikalarının aslı veya düzenleyen kuruluş tarafından onaylı örneği." şartı bulunmaktadır.

Bu şartı sağlayan Akredite kuruluşların tam listesine bu sayfadan ulaşılabilir.

Örneğin Türkiye' de TURKAK bu şartı sağlamaktadır. TURKAK'tan onaylı kuruluşlar için ise bu sayfa üzerinde "Bilgi Güvenliği YS Belgelendirme Kuruluşları " kelime öbeği ile yapılan arama sonucunda ilgili belgelendirme kuruluşları görülecektir.


18 Şubat 2013 Pazartesi

İş Sürekliliği Enstitüsü’nden beklenen güncelleme geldi

İş sürekliliği enstitüsü (The Business Continuity Institute) tarafından ilk sürümü 2008 yılında yayınlanan ve 2010 yılında güncellenen iş sürekliliğinde iyi uygulamalar kılavuzunun 2013 sürümünün 18-22 Mart 2013 tarihlerinde yayınlanacağı duyuruldu.

ISO 22301 İş Sürekliliği Yönetim Sistemi standardının Mayıs 2012 tarihinde yayınlanmasının ardından The BCI tarafından başlatılan güncelleme çalışmaları tamamlandı. İyi uygulamalar kılavuzu, iş sürekliliğini ISO 22301 standardına uygun olarak gerçekleştirmek isteyen işletmeler için hazırlandı.

İş sürekliliğinde iyi uygulamalar kılavuzu ilk aşamada İngilizce, Fransızca, İspanyolca, Çince, Japonca ve Arapça dillerinde yayınlanacak.

6 Şubat 2013 Çarşamba

Turkcell Globalbilgi ISO 22301 sertifikasını alan, dünyadaki ilk ve tek çağrı merkezi oldu

BTYÖN'ün ISO 22301 İş Sürekliliği Yönetim Sistemi danışmanlık desteği verdiği Turkcell Global Bilgi "ISO 22301 İş Sürekliliği Yönetim Sistemi" sertifikasını alan, dünyadaki ilk ve tek çağrı merkezi oldu.  Global Bilgi proje ekibini ve bu süreçte danışmanlık desteği veren ekibimizi kutluyoruz. 

Turkcell Global Bilgi, uluslararası standartlar kuruluşu BSI (British Standarts Institute) tarafından verilen "ISO 22301 İş Sürekliliği Yönetim Sistemi" sertifikası alan dünyadaki ilk ve tek çağrı merkezi oldu. Şimdiye kadar dünyada sadece 20 firmaya verilen bu özel sertifikayı Turkcell Global Bilgi; potansiyel riskler karşısında müşterilerinin çıkarlarını, itibarını, marka ve değer yaratma faaliyetlerini korumaya yönelik yüksek bir yönetim süreci standardına sahip olması dolayısıyla aldı.

Türkiye'nin lider müşteri ilişkileri yönetim merkezi Turkcell Global Bilgi, müşterilerine sunduğu hizmet kalitesini aldığı "ISO 22301 İş Sürekliliği Yönetim Sistemi" sertifikası ile bir kez daha kanıtladı.


BTYÖN Yurtdışına Bilgi İhraç Etmeye Devam Ediyor

BTYÖN 2012 Yılı içerisinde başarı ile tamamladığı İş Sürekliliği Yönetim Sistemi kurulum projelerinin ardından, 2013 yılı içerisinde Avrupa'da bir Banka’da gerçekleştirilecek olan İş Sürekliliği Yönetim Sistemi Kurulumu için danışmanlık hizmeti sağlayacak.  Akademik bilgi birikimini 10 yılı aşkın sektör tecrübesi ile harmanlayan BTYÖN Danışmanlık ürettiği hizmet ve ürünlerle ülke ekonomisine katkı sağlamayı ilke edinmiştir.  Bu bağlamda Avrupa’da gerçekleştirilecek her türlü projeyi başta ülke bilgi birikimine ve ekonomisine katkı olarak değerlendirmektir.

5 Şubat 2013 Salı

Gümrük İşlemlerinin Kolaylaştırılması Yönetmeliğine İlişkin Televizyon Programı

BTYÖN Danışmanlık kurucu ortak ve kıdemli danışmanlarından Fatih Koç, 6 Şubat 2013 tarihinde Line TV'de gerçekleştirilecek olan televizyon programında “Gümrük İşlemlerinin Kolaylaştırılması Yönetmeliği” ve ISO 27001 şartı ile ilgili açıklamalarda bulunacak ve soruları cevaplandıracak.

İlgili yayını 20:15' ten itibaren Canlı izlemek için lütfen tıklayınız.

Gümrük İşlemlerinin Kolaylaştırılması Yönetmeliğinde ISO 27001 Şartı


Gümrük mevzuatına göre serbest bölgeler dahil Türkiye gümrük bölgesinde yerleşik ve en az 3 yıldır faaliyette bulunan gerçek veya tüzel kişilere, gümrük mevzuatının öngördüğü basitleştirilmiş uygulamalardan ve Türkiye gümrük bölgesine eşya giriş ve çıkışı sırasında yapılan emniyet ve güvenlik kontrollerine ilişkin kolaylaştırmalardan yararlanmak üzere yetkilendirilmiş yükümlü statüsü tanınacak.

Yetkilendirilmiş yükümlü statüsünü alabilmek için işletmelerin ISO 27001 Bilgi Güvenliği Yönetim Sistemi ve ISO 9001 Kalite Yönetim Sistemi belgelerine sahip olma şartı vardır.

Yönetmeliğin 10. maddesinde "Avrupa Akreditasyon Birliğinin karşılıklı tanıma anlaşmalarına imza atmış akreditasyon kurumları tarafından akredite edilmiş uygunluk değerlendirme kuruluşlarınca düzenlenecek ve akreditasyon kurumunun markasını taşıyan güncel ISO 9001ve ISO 27001sertifikalarının aslı veya düzenleyen kuruluş tarafından onaylı örneği." şartı bulunmaktadır.

1 Şubat 2013 Cuma

İş Sürekliliği Tatbikatları İçin Örnek Yöntem

Tatbikatlar öngörülen bir çok riske karşı hazırlık seviyesinin ölçüldüğü aktivitelerdir. Bu sebeple iş sürekliliği tatbikatları doğası gereği gerçekleştirilmesi zor olan tatbikatlardır. Gerçekçi senaryolar üzerinden tatbikat yapmak olası acil durumlara hazırlık için son derece önemlidir. Tatbikat öncesinde hangi kapsamda, hangi iş süreçlerinin ve teknolojik sistemlerin test edileceği dikkatli bir çalışma gerektirmektedir. Gerekli hazırlık ve planlama faaliyetleri gerçekleştirilmediğinde tatbikat sırasında yaşanması öngörülmeyen ciddi kesintilerin oluşması söz konusudur. Bu sebeplerle iş sürekliliği tatbikatları için bir model belirlemek gereklidir. Bu makalede iş sürekliliği tatbikatları için örnek bir model sunulmuştur. Sunulan modelde iş sürekliliği tatbikatları için senelik tatbikat programının hazırlanması gerektiği vurgulanmıştır. İş sürekliliği tatbikat programında yer alan her bir tatbikat için tatbikat planı hazırlanması gerektiği ve bu planın hangi adımlardan geçerek hazırlanacağı detaylı olarak açıklanmıştır. Son olarak tatbikatın nasıl gerçekleştirileceği ve her bir tatbikatın değerlendirilmesi gerektiği vurgulanmış, ayrıca örnek değerlendirme kriterleri sunulmuştur.