ISO 27002 Revizyon Değişiklikleri

İÇERİK:

• ISO 27002 ve ISO 27001
• Yeni yapı ve yeni konular
• Yeni güvenlik önlemleri
• Öznitelikler ve öznitelik değerleri
• 27002'deki değişiklikler: Sonuç
• Revizyon, mevcut sertifikanız için ne anlama geliyor?
• DQS: Simply leveraging Quality.

ISO 27002 ve ISO 27001

ISO 27002, ISO 27001 Ek A'daki gerekliliklerin uygulanmasında, şirketleri desteklemesi gereken geniş bir genel güvenlik önlemleri kataloğu tanımlar ve birçok BT ve güvenlik departmanında tanınmış bir araç olarak pratik bir standart kılavuz olarak kendini kanıtlamıştır. ISO 27002, 2022 yılının başında kapsamlı bir şekilde gözden geçirilmiş ve güncellenmiştir, son yıllarda BT'deki dinamik gelişmeler ve standartların her 5 yılda bir güncelliği açısından gözden geçirildiği düşünüldüğünde, birçok uzmanın görüşüne göre gecikmiş bir adımdır.

ISO 27001 sertifikasına sahip ya da yakın gelecekte sertifika almak isteyen şirketler için şu anda getirilen yenilikler iki açıdan önemlidir: Birincisi, kendi güvenlik önlemlerinde gerekli güncellemeler açısından; ikincisi ise, bu değişikliklerin ISO 27001 sertifikasının güncellenmesi üzerinde bir etkisi olacağı için. ISO 27001 revizyonu bu nedenle gelecekteki tüm sertifikasyonlar ve yeniden belgelendirmeler için geçerli olacaktır. Bu, yeni ISO 27002'ye daha yakından bakmak için oldukça yeterli bir nedendir.

Yeni yapı ve yeni konular

ISO 27002:2022'deki ilk belirgin değişiklik, standardın güncellenmiş ve önemli ölçüde kolaylaştırılmış yapısıdır: 14 bölümdeki, önceki 114 güvenlik önlemi (kontrol) yerine, güncellenmiş ISO 27002 versiyonunun referans seti artık açıkça alt bölümlere ayrılmış ve 4 konu alanında özetlenmiş 93 kontrolden oluşmaktadır:

• "Organizasyonel kontroller" bölümünde 37 güvenlik önlemi
• "İnsan kontrolleri" alanında 8 güvenlik önlemi
• "Fiziksel kontroller" alanındaki 14 güvenlik önlemi
• "Teknolojik kontroller" alanındaki 34 güvenlik önlemi

Güvenlik önlemlerinin sayısının azaltılmasına rağmen, sadece "Varlıkların Kaldırılması" kontrolü fiilen silinmiştir. Düzenlemenin nedeni, mevcut kontrollerden 24 güvenlik önleminin birleştirilmesi ve koruma hedeflerini daha odaklı bir şekilde karşılamak üzere yeniden yapılandırılmasıdır. Ayrıca 58 güvenlik önlemi de gözden geçirilmiş ve çağdaş gereksinimleri karşılayacak şekilde uyarlanmıştır.

Yeni güvenlik önlemleri

Ayrıca - ve muhtemelen güncellemenin en heyecan verici kısmı da bu - ISO 27002 yeni versiyonda 11 ek güvenlik önlemi ile genişletilmiştir. Bu önlemlerin hiçbiri bilgi güvenliği uzmanları için sürpriz olmayacaktır, ancak birlikte ele alındıklarında güçlü bir sinyal göndermekte ve şirketlerin organizasyon yapılarını ve güvenlik mimarilerini mevcut ve gelecekteki tehdit senaryolarına karşı zamanında silahlandırmalarına yardımcı olmaktadır.

Yeni önlemler şunlardır:

Tehdit istihbaratı

Mevcut tehdit istihbaratının yakalanması, birleştirilmesi ve analiz edilmesi, kuruluşların giderek daha dinamik ve gelişen bir tehdit ortamında güncel kalmalarını sağlar. Gelecekte, saldırı bilgilerinin kanıta dayalı analizi, mümkün olan en iyi savunma stratejilerini geliştirmek için bilgi güvenliğinde kilit bir rol oynayacaktır.

Bulut hizmetlerinin kullanımı için bilgi güvenliği

Günümüzde birçok kuruluş bulut tabanlı hizmetlere güvenmektedir. Bununla birlikte yeni saldırı vektörleri ve bunlara eşlik eden değişiklikler ve önemli ölçüde daha büyük saldırı yüzeyleri ortaya çıkmaktadır. Gelecekte şirketler, bunların tanıtımı, kullanımı, yönetimi için uygun koruma önlemlerini dikkate almak ve bunları bulut hizmeti sağlayıcılarıyla sözleşme kurallarında bağlayıcı hale getirmek zorunda kalacaktır.

İş sürekliliği için BİT hazırlığı

Bilgi ve iletişim teknolojisi (ICT) ve altyapılarının kullanılabilirliği, şirketlerde devam eden iş operasyonları için esastır. Dirençli kuruluşların temeli, planlanmış iş sürekliliği hedefleri ve bunlardan türetilen, uygulanan ve doğrulanan BİT sürekliliği gereksinimleridir. Bir arızadan sonra BİT'in zamanında ve teknik olarak kurtarılmasına yönelik gereksinimler, uygulanabilir iş sürekliliği kavramlarını oluşturur.

Fiziksel güvenlik izleme

Hassas verilerin veya veri taşıyıcılarının şirketten çalındığı veya tehlikeye atıldığı izinsiz girişler şirketler için önemli bir risk teşkil etmektedir. Teknik kontroller ve izleme sistemlerinin potansiyel davetsiz misafirleri caydırmada veya izinsiz girişlerini anında tespit etmede etkili olduğu kanıtlanmıştır. Gelecekte bunlar, yetkisiz fiziksel erişimi tespit etmeye ve caydırmaya yönelik bütünsel güvenlik konseptlerinin standart bileşenleri olacaktır.

Konfigürasyon yönetimi

Yanlış yapılandırılmış sistemler, saldırganlar tarafından kritik kaynaklara erişim elde etmek için kötüye kullanılabilir. Daha önce değişim yönetiminin bir alt kümesi olarak yeterince temsil edilmeyen sistematik yapılandırma yönetimi, artık başlı başına bir güvenlik önlemi olarak ele alınmaktadır. Kuruluşların donanım, yazılım, hizmet ve ağların uygun yapılandırmasını izlemelerini ve sistemlerini uygun şekilde güçlendirmelerini gerektirir.

Bilgi silme

Genel Veri Koruma Yönetmeliği (GDPR) yürürlüğe girdiğinden beri, kuruluşlar talep üzerine kişisel verileri silmek ve gereğinden uzun süre saklanmamasını sağlamak için uygun mekanizmalara sahip olmalıdır. Bu gereklilik ISO 27002'de tüm bilgileri kapsayacak şekilde genişletilmiştir. İstenmeyen ifşa riskinden kaçınmak için hassas bilgiler gerekenden daha uzun süre tutulmamalıdır.

Veri maskeleme

Bu güvenlik önleminin amacı hassas verileri veya veri unsurlarını (örn. kişisel veriler) maskeleme, takma ad verme veya anonimleştirme yoluyla korumaktır. Bu teknik önlemlerin uygun şekilde uygulanmasına yönelik çerçeve yasal, kanuni, düzenleyici ve sözleşmeye dayalı gereklilikler tarafından sağlanmaktadır.

Veri sızıntısının önlenmesi

Hassas verilerin yetkisiz ifşa edilmesi ve sistemlerden, ağlardan ve diğer cihazlardan çıkarılması riskini azaltmak için önleyici güvenlik tedbirleri gereklidir. Bu tanımlanmış ve sınıflandırılmış bilgilerin kontrolsüz sızıntısı için potansiyel kanallar (örneğin e-posta, dosya transferleri, mobil cihazlar ve taşınabilir depolama cihazları) izlenmeli ve gerekirse aktif önleme tedbirleriyle (örneğin e-posta karantinası) teknik olarak desteklenmelidir.

İzleme faaliyetleri

Ağlar, sistemler ve uygulamalardaki anormallikleri izlemeye yönelik sistemler artık BT departmanlarının standart repertuarının bir parçasıdır. Benzer şekilde, saldırı tespiti için sistem kullanma gerekliliği de mevcut yasal ve düzenleyici gereklilikler arasında yerini almıştır. Sürekli izleme, otomatik toplama ve devam eden BT operasyonlarından uygun parametrelerin ve özelliklerin değerlendirilmesi, proaktif siber savunmanın olmazsa olmazıdır ve bu alandaki teknolojileri yönlendirmeye devam edecektir.

Web filtreleme

Birçok güvenilmeyen web sitesi ziyaretçilere kötü amaçlı yazılım bulaştırır veya kişisel verilerini okur. Gelişmiş URL filtreleme, son kullanıcıları korumak amacıyla potansiyel olarak tehlikeli web sitelerini otomatik olarak filtrelemek için kullanılabilir. Harici web sitelerindeki kötü amaçlı içeriğe karşı koruma sağlayan güvenlik önlemleri ve çözümleri, küresel olarak bağlantılı bir iş dünyasında çok önemlidir.

Güvenli kodlama

Şirket içinde geliştirilen kodlardaki veya açık kaynak kodlu bileşenlerdeki güvenlik açıkları, siber suçluların kritik veri ve sistemlere kolayca erişim sağlamasına olanak tanıyan tehlikeli bir saldırı noktasıdır. Güncel yazılım geliştirme yönergeleri, otomatik test prosedürleri, kod değişiklikleri için sürüm prosedürleri, geliştiriciler için bilgi yönetimi ve aynı zamanda iyi düşünülmüş yama ve güncelleme stratejileri koruma düzeyini önemli ölçüde artırır.

Öznitelikler ve öznitelik değerleri

Güvenlik yöneticilerinin geniş önlemler yelpazesinde yollarını bulmalarına yardımcı olmak için ISO 27002:2022'de ilk kez bir başka yenilik daha getirilmiştir: Standardın Ek A'sında, her kontrol için ilişkili öznitelik değerleriyle birlikte beş öznitelik saklanmaktadır.

Öznitelikler ve öznitelik değerleri şunlardır:

Kontrol türleri

• Kontrol türü, bir kontrolün bir bilgi güvenliği olayının meydana gelmesiyle ilgili riski ne zaman ve nasıl değiştirdiği açısından kontrollerin görünümü için bir niteliktir.
• #Önleyici #Tespit edici #Düzeltici

Bilgi güvenliği özellikleri

• Bilgi güvenliği özellikleri, kontrolleri, kontrolün desteklemeyi amaçladığı koruma hedefi perspektifinden görüntülemek için kullanılabilecek bir niteliktir.
• #Gizlilik #Bütünlük #Kullanılabilirlik

Siber güvenlik kavramları

• Siber güvenlik kavramları, kontrolleri ISO/IEC TS 27110'da açıklanan siber güvenlik çerçevesiyle eşleştirme perspektifinden bakar.
• #Tanımlama #Koruma #Tespit Etme #Yanıt Verme #Kurtarma

Operasyonel kabiliyetler

• Operasyonel kabiliyet, kontrollere operasyonel bilgi güvenliği kabiliyetleri perspektifinden bakar ve kontrollerin pratik bir kullanıcı görünümünü destekler.
• #Uygulama güvenliği #Varlık yönetimi #Süreklilik #Veri koruma #Yönetişim #İnsan kaynakları güvenliği #Kimlik ve erişim yönetimi #Bilgi güvenliği olay yönetimi #Yasal ve uyumluluk #Fiziksel güvenlik #Güvenli yapılandırma #Güvenlik güvencesi #Tedarikçi ilişkileri güvenliği #Sistem ve ağ güvenliği #Tehdit ve güvenlik açığı yönetimi

Güvenlik alanları

• Güvenlik etki alanları, kontrolleri dört bilgi güvenliği etki alanı perspektifinde görüntülemek için kullanılabilecek bir niteliktir.
• #Yönetişim_ve_Ekosistem #Koruma #Savunma #Dayanıklılık

Hashtag'lerle işaretlenen öznitelik değerleri, güvenlik yöneticilerinin standart kılavuzdaki geniş önlem kataloğunda yollarını bulmalarını ve bunları amaca yönelik şekilde araştırıp değerlendirmelerini kolaylaştırmayı amaçlamaktadır.

ISO 27002'deki Değişiklikler: Sonuç

ISO 27002'nin yeni versiyonu, bilgi güvenliği yöneticilerine ISO 27001'in yeni versiyonuyla birlikte yeni sertifikasyon standardı haline gelecek olan değişiklikler hakkında kesin bir bakış açısı sunmaktadır. Aynı zamanda, yenilikler yönetilebilir bir çerçeve içinde kalmaktadır: Önlemler kataloğunun yeniden yapılandırılması standardı daha şeffaf hale getirmektedir ve güvenlik mimarilerinin artan karmaşıklığı ve azalan şeffaflığı göz önüne alındığında şüphesiz doğru yönde atılmış bir adımdır. Yeni eklenen önlemler deneyimli güvenlik uzmanları için de sürpriz olmayacak ve modası geçmiş ISO standardını oldukça modernize edecektir.

Revizyon, mevcut sertifikanız için ne anlama geliyor?

ISO 27001'in yeni ve geliştirilmiş versiyonu 25 Ekim 2022 tarihinde yayınlanmıştır. Ve aşağıda geçiş süreci için önemli tarihler listelenmiştir:

Eski ISO 27001:2013'e göre ilk/yeniden belgelendirme denetimleri için son tarih

• 30 Nisan 2024'ten itibaren DQS ilk belgelendirme ve yeniden belgelendirme denetimlerini yalnızca yeni ISO 27001:2022'ye istinaden gerçekleştirecek

Mevcut tüm sertifikaların yeni ISO 27001:2022'ye geçişi

• 31 Ekim 2022'den başlayarak 3 yıl geçiş periyodu kabul edilir
• ISO/IEC 27001:2013 veya DIN EN ISO/IEC 27001:2017 sertifikaları 31 Ekim 2025'e kadar geçerli olacak ve bu tarihte geri çekilecektir.

DQS: Simply leveraging Quality.

Belgelendirme denetimlerimiz size netlik sağlar. İnsanlara, süreçlere, sistemlere ve sonuçlara dışarıdan bütünsel ve tarafsız bir bakış, yönetim sisteminizin ne kadar etkili olduğunu, nasıl uygulandığını ve nerelerde uzmanlaştığını gösterir. Denetimimizi bir test olarak değil, yönetim sisteminiz için bir zenginlik olarak algılamanız bizim için önemlidir.

Bizim iddiamız her zaman denetim kontrol listelerinin bittiği yerde başlar. Özellikle "neden" diye sorarız, çünkü sizi belirli bir uygulama yolunu seçmeye iten nedenleri anlamak isteriz. İyileştirme potansiyeline odaklanır ve bakış açınızı genişletmeye teşvik ederiz. Bu şekilde, yönetim sisteminizi sürekli olarak iyileştirebileceğiniz aksiyon seçeneklerini belirleyebilirsiniz.