Makaleyi indirmek için tıklayınız.
Hatırlatma: Şu an taslak halde yayımlanan ISO 27001:2013
standardının 2013 yılının ikinci yarısında yayımlanması bekleniyor
Yapısal İnceleme;
Kontrol Sayısı: Kontrol sayısının 133’ten 113’e düşürüldüğü
görülüyor.
Bölüm Sayısı: Kontrol sayısının azalmasına rağmen bölüm sayısının
11’den 14’e çıktığı görülüyor.
Bölümlerin Yapısı: Yeni standart üzerinde yer alan temel başlıklar
aşağıdaki gibidir;
Bölümlerin yapısı: Kriptografi ayrı bir bölüm haline getirilmiştir
(10). Kriptografi ile ilgili kısımların bilgi sistemleri edinimi, geliştirme ve
bakımın bir parçası olmadığı biliniyor. Benzer bir değişiklik tedarikçi
ilişkileri kısmında da mevcut. Haklı olarak tedarikçi
ilişkileri de ayrı bir bölüm haline getirilmiştir (15). İletişim ve
operasyon yönetimi ise iki bölüme ayrılmıştır: Operasyon güvenliği (12) ve iletişim
güvenliği (13).
Bölümlerin incelenmesi;
5- Güvenlik Politikaları
6- Bilgi Güvenliği Organizasyonu
7- İnsan Kaynakları Güvenliği
8- Varlık Yönetimi
9- Erişim Kontrolü
10- Kriptografi
11- Fiziksel ve Çevresel Güvenlik
12- Operasyon Güvenliği
13- İletişim Güvenliği
14- Sistem Edinim, Geliştirme ve
Bakım
15- Tedarikçi İlişkileri
16- Bilgi Güvenliği Olay Yönetimi
17- İş Sürekliliği
18- Uyum
Güvenlik Kategorilerinin
Yerleştirilmesi
- Mobil cihazlar ve uzaktan çalışma daha önce erişim kontrolü bölümündeydi; şimdi ise bilgi güvenliği organizasyonunun (6) altında 6.2 inci kısım olarak yer almaktadır.
- Ortam işleme daha önce iletişim ve operasyon yönetimi altındayken,şimdi varlık yönetimi (8) altında 8.3 üncü kısım olarak yer almaktadır.
- İşletim sistemi erişim kontrolü ile uygulama ve bilgi erişim kontrolü sistem ve uygulama erişim kontrolü olarak birleştirilmiş ve Erişim kontrolü (9) altında 9.4 üncü kısım olarak kalmıştır.
- Operasyonel yazılım kontrolü daha önce bilgi sistemleri edinim, geliştirme ve bakımın altında tek bir kontrolken, şimdi 12.5 olarak operasyon güvenliği altında ayrı bir kısımdır.
- Bilgi sistemleri denetim hususları uyum bölümünden operasyon güvenliği altına 12.7 inci kısım olarak aktarılmıştır.
- Bir güvenlik kategorisi olan yazılım erişim kontrolü kaldırılmış ve bazı kontrolleri iletişim güvenliğinin (13) altına taşınmıştır.
- Bilgi değişimi iletişim güvenliğinin (13) altında 13.2 inci kısım olarak yer almıştır.
- Tartışmalı bir kategori olan uygulamalarda doğru işleme kaldırıldı. Önceki standartta ise bilgi sistemi edinim, geliştirme ve bakımın altında yer almaktadır.
- Elektronik ticaret hizmetleri ayrı bir kategori olmaktan çıkartılarak, kontrolleri bilgi sistemi güvenlik gereksinimleri ile birleştirildi (14.1).
- Bilgi güvenliği olay yönetimi altındaki 2 kategori birleştirildi. İş süreklilği bölümüne ise yeni bir kategori eklenerek (Yedekleme 17.2). Bu kategori temel olarak felakatten kurtarma ile ilgili.
Yeni
Kontroller
14.2.1-
Güvenlik gelişim politikası- Yazılım ve bilgi sistemleri geliştirme için
kurallar
14.2.5- Sistem
geliştirme prosedürleri- Sistem mühendisliği ilkeleri
14.2.6-
Güvenli geliştirme ortamı- Geliştime ortamı oluşturulması ve korunması
14.2.8- Sistem
güvenliği testi- Güvenlik fonksiyonları testleri
16.1.4- Bilgi
güvenliği olayları değerlendirme ve karar verme- Olay yönetiminin bir parçası
17.2.1- Bilgi
işleme olanaklarının erişilebilirliği- Yedekleme
Çıkartılan Kontroller
6.2.2-
Müşterilerle ilgilenirken güvenliği ifade etme
10.4.2- Mobil
koda karşı kontroller
10.7.3- Bilgi
işleme prosedürleri
10.7.4- Sistem
dokümantasyonu güvenliği
10.8.5- İş
bilgi sistemleri
10.9.3-
Herkese açık bilgi
11.4.2- Dış
bağlantılar için kullanıcı kimlik doğrulama
11.4.3-
Ağlarda teçhizat tanımlama
11.4.4- Uzak
tanı ve yapılandırma portu koruma
11.4.6- Ağ
bağlantı kontrolü
11.4.7- Ağ
yönlendirme kontrolü
12.2.1- Giriş
verisi geçerleme
12.2.2- İç
işleme kontrolü
12.2.3- Mesaj
bütünlüğü
12.2.4- Çıkış
verisi geçerleme
11.5.5- Oturum
zaman aşımı
11.5.6-
Bağlantı süresinin sınırlandırılması
11.6.2- Hassas
sistem yalıtımı
12.5.4- Bilgi
sızması
14.1.2- İş
sürekliliği ve risk değerlendirme
14.1.3- Bilgi
güvenliğini içeren süreklilik planlarını geliştirme ve gerçekleştirme
14.1.4- İş
sürekliliği planlama çerçevesi
15.1.5- Bilgi
işleme olanaklarının kötüye kullanımını önleme
15.3.2- Bilgi
sistemleri denetim araçlarının korunması
ISO 27002
yapısı tamamen ISO 27001 kontrolleri ile uyumlu olduğundan tüm değişiklikler
yeni IS0 27001 EK-A sı içinde geçerlidir. İlk bakışta
çok fazla bir değişiklik varmış gibi görülmektedir. Ama bunların çoğu temelden yapılan
değişiklikler değil. Değişikliklerin çoğu aslında mevcut ISO 27002 nin yanlış
yapısının düzeltilmesi ve yeni kontrollerin eklenmesini içeriyor. Ağ güvenliği
ve geliştirme sürecinde ise bazı değişiklikler mevcut. Bu alanlarda yeni
standarda göre daha esnek bir tarif ve nasıl uygulama yapılacağı kısmında
serbestlik vardır.
Sonuç olarak
yeni standarda göre uygulama daha kolay olacak gibi görünmektedir.