ISO 27001, bir kuruluşun hassas, değerli bilgilerine odaklanır: korunması, gizliliği, bütünlüğü ve kullanılabilirliği. ISO 27001, özel, kamu veya kar amacı gütmeyen kuruluşlarda bilgi güvenliği için uluslararası bir standarttır. Standart, belgelenmiş bir bilgi güvenliği yönetim sisteminin (BGYS) kurulması, uygulanması, işletilmesi ve optimizasyonu için gereksinimleri açıklar. Yönetim sisteminin ana odak noktası, risklerin tanımlanması, ele alınması ve tedavisidir.
İÇERİK
ISO 27001 bağlamında güvenlik açığı yönetimi, teknik güvenlik açıklarını ifade eder. Bunlar, şirketlerin ve kuruluşların BT güvenliğine yönelik tehditlere yol açabilir. Bunlar şunları içerir:
Fidye yazılımı, veri ortamının şifrelenmesine ve tehlikeli bilgilerin elde edilmesine yol açabilen bir gasp yazılımı
Bu tehditlerden kaynaklanan güvenlik açıklarının belirlenmesi, ISO 27001 ile bir koruma ihtiyaçları değerlendirmesi gerektirir, çünkü bu, BT altyapısını sürekli güvenlik açığı değerlendirmesi ile güvence altına almak için sistematik bir yönetim sağlar.
ISO/IEC 27001:2022-10 – Bilgi güvenliği, siber güvenlik ve kişisel verilerin korunması – Bilgi güvenliği yönetim sistemleri – Gereklilikler
Revize standart 25 Ekim 2022'de yayınlanmıştır.
Sistem günlüklerini ve günlük verilerini analiz etme süreci, teknik güvenlik açıkları bilgisi ve BT sistemlerinin daha derinlemesine incelenmesi olmadan gerçekçi bir risk değerlendirmesi mümkün değildir. Eksik veya kusurlu bir süreç, ISO 27001'in gerektirdiği şekilde, risk kabul kriterlerinin oluşturulmasına veya risk seviyelerinin belirlenmesine de izin vermez.
BT güvenliğine ve dolayısıyla bir işletmenin bilgi güvenliğine yönelik riskin belirlenemeyeceği ve o işletme için mümkün olan en yüksek risk olduğu varsayılması gerektiği sonucu çıkmaktadır.
BT altyapısının güvenliğini sağlamak için olası bir uygun önlem, olası güvenlik açıklarının ve güvenlik açıklarının yönetimidir. Bu, teknik güvenlik açıkları için tüm sistemlerin düzenli, sistematik, ağ kontrollü tarama ve sızma testlerini içerir. Tespit edilen güvenlik açıkları, ISO 27001 uyarınca bilgi güvenliği yönetim sistemine (BGYS) kaydedilir.
Kapsamlı bilgi güvenliğinin yanı sıra BT güvenliğine yönelik tehditleri tanımlamak da aynı şekilde önemlidir. Bu bağlamda, teknik zafiyetler önem derecesine (CVSS) göre önceliklendirilmeli ve nihayetinde giderilmelidir. Kalan teknik güvenlik açıklarından kalan riskin değerlendirilmesi ve nihayetinde risk kabulü de ISO 27001'e göre güvenlik açığı yönetiminin bir parçasıdır.
Bir güvenlik açığının önem derecesini değerlendirmek için sektör standardı "CVSS - Ortak Güvenlik Açığı Puanlama Sistemi" kullanılabilir. Diğerlerinin yanı sıra şu soruları ele alan Temel Puan Metriklerinden toplam 0 ila 10 arasında bir puan belirlenir: Saldırganın savunmasız sisteme (Saldırı Vektörü) ulaşması için ne kadar "yaklaşma" gerekir? Saldırgan hedefe ne kadar kolay ulaşıyor (Saldırı Karmaşıklığı)? Güvenlik açığından yararlanmak için hangi erişim hakları gereklidir (Gerekli Ayrıcalıklar)? Yardımcılara ihtiyacınız var mı, ör. önce bir bağlantıyı takip etmesi gereken bir kullanıcı (Kullanıcı Etkileşimi)? Gizlilik tehlikeye atılıyor mu (Gizlilik Etkisi)?
ABD Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) sayfalarında bir CVSS hesaplayıcısı bulunabilir.
Örneğin, bir şirket, uygun kullanıcı farkındalığı ile birlikte algılama, önleme ve veri güvenliği önlemleri alarak ve uygulayarak kendisini kötü amaçlı yazılımlara karşı önleyici olarak koruyabilir. Ayrıntılı olarak, bu şu anlama gelir: ISO 27001'in güvenlik açığı yönetimi bağlamındaki teknik bir güvenlik açığından yararlanılmasını önlemek için şunların yapılması gerekir:
Bu, güvenlik yamaları yükleyerek (yama yönetimi), savunmasız BT sistemlerini izole ederek veya nihayetinde sistem kapatmaları yoluyla yapılabilir. Ayrıca, kullanıcılar tarafından yazılım kurulumuna ilişkin kurallar tanımlanmalı ve uygulanmalıdır.
Bir denetim sırasında aşağıdaki sorular sorulabilir, bu nedenle bunları önceden ele almak mantıklıdır:
Almanya'nın siber alandaki tehditlerine ilişkin kapsamlı ve sağlam temellere dayanan bir genel bakış elde etmek isterseniz, Alman Federal Bilgi Güvenliği Ofisi'nin (BSI) "Situation Report on IT Security 2019" dosyasını https://www.bsi.bund.de. adresinde bulabilirsiniz
ISO 27001 bağlamında güvenlik açığı yönetimi, düzenli olarak gerçekleştirilmesi gereken sürekli bir süreçtir. ISO 27001'e göre sonuçlar "geçerli" olmalıdır. Bu, bir kerelik güvenlik açığı taramasının ve uygulama veya sertifikasyon risklerinin değerlendirilmesinin, yeniden sertifikalandırma sırasında veya daha sonraki bir zamanda artık geçerli olmadığı anlamına gelir.
Bir güvenlik açığı taraması yalnızca gerçekleştirildiği anda geçerlidir. Ancak daha sonra yazılım güncellemeleri yapılırsa veya topolojide değişiklikler yapılırsa bunlar yeni güvenlik açıklarına yol açabilir.
Bu nedenle, herhangi bir kuruluşun zafiyet yönetimi süreçlerini sürekli olarak takip etmesi, doğrulaması ve tekrarlaması ve ilgili bilgileri bilgi güvenliği yönetim sistemine taşıması önemlidir.
Bilgi Güvenliği Yönetim Sistemi Sertifikası için maliyetleri mi öğrenmek istiyorsunuz?
Sizinle görüşmek için sabırsızlanıyoruz.
Sürdürülebilir katma değer yaratmak için çalıştığımız müşterilerimizi en önemli ortaklarımız olarak görüyoruz. Amacımız, kuruluşlara en basit süreçlerle girişimci başarıları için önemli değer katan dürtüler vermek ve aynı zamanda son teslim tarihlerine ve güvenilirliğe en üst düzeyde bağlılık sağlamaktır.
Temel yetkinliklerimiz, belgelendirme denetimlerinin ve değerlendirmelerinin performansında yatmaktadır. Bu, bizi her zaman güvenilirlik, kalite ve müşteri odaklılık konusunda yeni ölçütler belirleme iddiasıyla dünya çapında lider belgelendirme kuruluşlarından biri yapar.
Bilgi güvenliği yönetimi alanında DQS Ürün Yöneticisi. Bilgi güvenliği ve BT güvenlik kataloğu (kritik altyapılar) alanında standart uzmanı olan André Säckel, ayrıca aşağıdaki standartlardan ve sektöre özgü standartlardan sorumludur: ISO 27001, ISIS12, ISO 20000-1, KRITIS ve TISAX (otomotiv endüstrisinde bilgi güvenliği). Ayrıca Alman Standardizasyon Enstitüsü DIN'in ulusal delegesi olarak ISO/IEC JTC 1/SC 27/WG 1 çalışma grubunun üyesidir.
