datenschutz-it-blog-dqs-mensch bewegt digitale anzeige

ISO 27001 Bağlamında güvenlik açığı yönetimi

André Saeckel

DQS Standart Uzmanı, Bilgi Güvenliği
May 23 , 2023
# Bilgi Güvenliği ve Risk Yönetimi

ISO 27001, bir kuruluşun hassas, değerli bilgilerine odaklanır: korunması, gizliliği, bütünlüğü ve kullanılabilirliği. ISO 27001, özel, kamu veya kar amacı gütmeyen kuruluşlarda bilgi güvenliği için uluslararası bir standarttır. Standart, belgelenmiş bir bilgi güvenliği yönetim sisteminin (BGYS) kurulması, uygulanması, işletilmesi ve optimizasyonu için gereksinimleri açıklar. Yönetim sisteminin ana odak noktası, risklerin tanımlanması, ele alınması ve tedavisidir.

İÇERİK

Bilgi güvenliğine yönelik tehditler ve riskler nelerdir?

ISO 27001 bağlamında güvenlik açığı yönetimi, teknik güvenlik açıklarını ifade eder. Bunlar, şirketlerin ve kuruluşların BT güvenliğine yönelik tehditlere yol açabilir. Bunlar şunları içerir:

Fidye yazılımı, veri ortamının şifrelenmesine ve tehlikeli bilgilerin elde edilmesine yol açabilen bir gasp yazılımı

  • Remote Access Trojan (RAT): Ağa uzaktan erişime izin verebilen Uzaktan Erişim Truva Atı (RAT)
  • Phishing ve SPAM: E-posta yoluyla kontrolün kaybolmasına neden olabilecek kimlik avı ve SPAM. Burada, özellikle popüler bir ağ geçidi, Genel Veri Koruma Yönetmeliği (GDPR) ve bir e-postadaki bir bağlantıya tıklayarak müşteri verilerini kontrol etme isteğidir. Çoğu zaman, gönderenler bankalar ve hatta PayPal gibi görünür.
  • Büyük veri paketleri nedeniyle sistemlerin kullanılabilirliğinin ve bütünlüğünün bozulmasına yol açabilen DDoS/botnet'ler
  • Devlet destekli siber teröristler, aktivistler, suçlular ve çok çeşitli tehditler getiren içeriden failler
  • Yetersiz veya eksik süreçler

Bu tehditlerden kaynaklanan güvenlik açıklarının belirlenmesi, ISO 27001 ile bir koruma ihtiyaçları değerlendirmesi gerektirir, çünkü bu, BT altyapısını sürekli güvenlik açığı değerlendirmesi ile güvence altına almak için sistematik bir yönetim sağlar.

ISO/IEC 27001:2022-10 – Bilgi güvenliği, siber güvenlik ve kişisel verilerin korunması – Bilgi güvenliği yönetim sistemleri – Gereklilikler

Revize standart 25 Ekim 2022'de yayınlanmıştır.

Hatalı süreçler - Bilgi güvenliğine yönelik bir tehdit mi?

Sistem günlüklerini ve günlük verilerini analiz etme süreci, teknik güvenlik açıkları bilgisi ve BT sistemlerinin daha derinlemesine incelenmesi olmadan gerçekçi bir risk değerlendirmesi mümkün değildir. Eksik veya kusurlu bir süreç, ISO 27001'in gerektirdiği şekilde, risk kabul kriterlerinin oluşturulmasına veya risk seviyelerinin belirlenmesine de izin vermez.

BT güvenliğine ve dolayısıyla bir işletmenin bilgi güvenliğine yönelik riskin belirlenemeyeceği ve o işletme için mümkün olan en yüksek risk olduğu varsayılması gerektiği sonucu çıkmaktadır.

ISO 27001 bağlamında güvenlik açığı yönetimi: Altyapının optimum şekilde güvence altına alınması

BT altyapısının güvenliğini sağlamak için olası bir uygun önlem, olası güvenlik açıklarının ve güvenlik açıklarının yönetimidir. Bu, teknik güvenlik açıkları için tüm sistemlerin düzenli, sistematik, ağ kontrollü tarama ve sızma testlerini içerir. Tespit edilen güvenlik açıkları, ISO 27001 uyarınca bilgi güvenliği yönetim sistemine (BGYS) kaydedilir.

Kapsamlı bilgi güvenliğinin yanı sıra BT güvenliğine yönelik tehditleri tanımlamak da aynı şekilde önemlidir. Bu bağlamda, teknik zafiyetler önem derecesine (CVSS) göre önceliklendirilmeli ve nihayetinde giderilmelidir. Kalan teknik güvenlik açıklarından kalan riskin değerlendirilmesi ve nihayetinde risk kabulü de ISO 27001'e göre güvenlik açığı yönetiminin bir parçasıdır.

Bir güvenlik açığının önem derecesini değerlendirmek için sektör standardı "CVSS - Ortak Güvenlik Açığı Puanlama Sistemi" kullanılabilir. Diğerlerinin yanı sıra şu soruları ele alan Temel Puan Metriklerinden toplam 0 ila 10 arasında bir puan belirlenir: Saldırganın savunmasız sisteme (Saldırı Vektörü) ulaşması için ne kadar "yaklaşma" gerekir? Saldırgan hedefe ne kadar kolay ulaşıyor (Saldırı Karmaşıklığı)? Güvenlik açığından yararlanmak için hangi erişim hakları gereklidir (Gerekli Ayrıcalıklar)? Yardımcılara ihtiyacınız var mı, ör. önce bir bağlantıyı takip etmesi gereken bir kullanıcı (Kullanıcı Etkileşimi)? Gizlilik tehlikeye atılıyor mu (Gizlilik Etkisi)?

ABD Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) sayfalarında bir CVSS hesaplayıcısı bulunabilir.

Bir şirket kendisini teknik güvenlik açıklarından nasıl koruyabilir?

Örneğin, bir şirket, uygun kullanıcı farkındalığı ile birlikte algılama, önleme ve veri güvenliği önlemleri alarak ve uygulayarak kendisini kötü amaçlı yazılımlara karşı önleyici olarak koruyabilir. Ayrıntılı olarak, bu şu anlama gelir: ISO 27001'in güvenlik açığı yönetimi bağlamındaki teknik bir güvenlik açığından yararlanılmasını önlemek için şunların yapılması gerekir:

  • Kullanılan bilgi sistemlerinin teknik zafiyetleri hakkında zamanında bilgi edinmek
  • Hassasiyetlerini değerlendirin ve
  • Uygun önlemleri alın

Bu, güvenlik yamaları yükleyerek (yama yönetimi), savunmasız BT sistemlerini izole ederek veya nihayetinde sistem kapatmaları yoluyla yapılabilir. Ayrıca, kullanıcılar tarafından yazılım kurulumuna ilişkin kurallar tanımlanmalı ve uygulanmalıdır.

Güvenlik açığı yönetimi ve ISO 20071 güvenlik konsepti hakkında önemli sorular

Bir denetim sırasında aşağıdaki sorular sorulabilir, bu nedenle bunları önceden ele almak mantıklıdır:

  • Teknik güvenlik açıklarıyla ilgilenmek ve bunları izlemek için görev ve sorumlulukları tanımladınız mı?
  • Teknik güvenlik açıklarını belirlemek için kullanılabilecek bilgi kaynakları hakkında bilgi aldınız mı?
  • Bir güvenlik açığı bildirildiğinde ve keşfedildiğinde harekete geçerek yanıt vermek için bir son tarih var mı?
  • Şirket varlıklarının güvenlik açıklarına ilişkin bir risk değerlendirmesi yaptınız mı?
  • Teknik zafiyetlerinizi biliyor musunuz?

Almanya'nın siber alandaki tehditlerine ilişkin kapsamlı ve sağlam temellere dayanan bir genel bakış elde etmek isterseniz, Alman Federal Bilgi Güvenliği Ofisi'nin (BSI) "Situation Report on IT Security 2019" dosyasını  https://www.bsi.bund.de. adresinde  bulabilirsiniz

ISO 27001 Bağlamında güvenlik açığı yönetimi: Sonuç

ISO 27001 bağlamında güvenlik açığı yönetimi, düzenli olarak gerçekleştirilmesi gereken sürekli bir süreçtir. ISO 27001'e göre sonuçlar "geçerli" olmalıdır. Bu, bir kerelik güvenlik açığı taramasının ve uygulama veya sertifikasyon risklerinin değerlendirilmesinin, yeniden sertifikalandırma sırasında veya daha sonraki bir zamanda artık geçerli olmadığı anlamına gelir.

Bir güvenlik açığı taraması yalnızca gerçekleştirildiği anda geçerlidir. Ancak daha sonra yazılım güncellemeleri yapılırsa veya topolojide değişiklikler yapılırsa bunlar yeni güvenlik açıklarına yol açabilir.

Bu nedenle, herhangi bir kuruluşun zafiyet yönetimi süreçlerini sürekli olarak takip etmesi, doğrulaması ve tekrarlaması ve ilgili bilgileri bilgi güvenliği yönetim sistemine taşıması önemlidir.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch

ISO 27001 Sertifikası

Bilgi Güvenliği Yönetim Sistemi Sertifikası için maliyetleri mi öğrenmek istiyorsunuz?

Sizinle görüşmek için sabırsızlanıyoruz.

Bizimle iletişime geçin!

DQS: Simply leveraging Quality.

Sürdürülebilir katma değer yaratmak için çalıştığımız müşterilerimizi en önemli ortaklarımız olarak görüyoruz. Amacımız, kuruluşlara en basit süreçlerle girişimci başarıları için önemli değer katan dürtüler vermek ve aynı zamanda son teslim tarihlerine ve güvenilirliğe en üst düzeyde bağlılık sağlamaktır.

Temel yetkinliklerimiz, belgelendirme denetimlerinin ve değerlendirmelerinin performansında yatmaktadır. Bu, bizi her zaman güvenilirlik, kalite ve müşteri odaklılık konusunda yeni ölçütler belirleme iddiasıyla dünya çapında lider belgelendirme kuruluşlarından biri yapar.

Yazar
André Saeckel

Bilgi güvenliği yönetimi alanında DQS Ürün Yöneticisi. Bilgi güvenliği ve BT güvenlik kataloğu (kritik altyapılar) alanında standart uzmanı olan André Säckel, ayrıca aşağıdaki standartlardan ve sektöre özgü standartlardan sorumludur: ISO 27001, ISIS12, ISO 20000-1, KRITIS ve TISAX (otomotiv endüstrisinde bilgi güvenliği). Ayrıca Alman Standardizasyon Enstitüsü DIN'in ulusal delegesi olarak ISO/IEC JTC 1/SC 27/WG 1 çalışma grubunun üyesidir.

Sorularınız mı var?

Sizin için buradayız.
Bize ulaşın