ISO 27001:2013 VE ISO 27002:2013’te Neler Değişiyor? |
ISO 27001:2005 ve ISO 27002:2005 Bilgi Güvenliği Yönetim Sistemi Standartlarının 2013 yılı başlarında yeni versiyonları draft olarak yayımlanmıştı. Bu yazıda ISO 27001 ve ISO 27002 standartlarında öngörülen değişikliklerin bir karşılaştırması yapılmıştır.
1. ISO 27001:2013 VS. ISO 27001:2005Bilgi Güvenliği Yönetim Sistemi (BGYS-(in Eng. ISMS))’nin uluslararası standardı 2005 yılında ISO 27001:2005 olarak yayımlanmıştı. 2006 yılında ise Türk Standartları Enstitüsü tarafından Türkçe’ye çevrilmiş ve TS ISO/IEC 27001 olarak yayımlanmıştı. Şu an taslak halde yayımlanan ISO 27001:2013 standardının 2013 yılının ikinci yarısında yayımlanması bekleniyor. 1.1. ISO 27001:2013 ile ISO 27001:2005 Arasındaki temel farklar nelerdir?Bu karşılaştırmaya geçmeden önce elimizdeki standardın taslak halde olduğu ve yapılacak katkılarla değişime açık olduğu unutulmamalıdır. 1.1.1. Yapıya Genel Bir BakışISO 27001:2013, ISO22301:2012 ile gördüğümüz Annex SL ile uyumlu olacak. Annex SL tüm ISO standartlarına genel bir çerçeve yapısı oluşturuyor. Tüm yönetim sistemlerinde bulunması gereken temel bileşenlerin yanı sıra standarda özel başlıkların konulmasına olanak sağlayan bu çatı yapısı, birden fazla yönetim sistemine sahip kuruluşlar için hem yönetim anlamında hem de bu yönetim sistemlerinin denetimi anlamında kolaylık sağlayacaktır. Bu yapı ile tüm standartlarda bulunacak temel başlıklar aşağıdaki gibi olacaktır: Tablo 1 Ek olarak sadece ‘EK-A’ bulunduğu bununla birlikte eski standartta yer alan EK-B ve EK-C olmadığını görüyoruz. Tüm kontroller EK-A’ da yer almaktadır. 1.1.2. İlgili Taraflar Yeni 27001 standardı BGYS ana girdileri tanımlamada önemli bir yer tutacak olan ilgili taraflarla alakalı olarak ‘4.2 ’ Maddesinde; “Tüm ilgili tarafların tanımlanması ve yasal/düzenleyici dâhil tüm gereksinimleri ile tanımlanmasını şart koşuluyor”. 1.1.3. Risk Değerlendirme ve İyileştirme Uzun yıllar en iyi uygulama örneği olarak yerini koruyacak olan; varlık, açıklık, tehdit temelli risk değerlendirme yeni 27001 standardı ile yerini gizlilik, bütünlük ve erişilebilirlik temelli bir risk tanımlamaya bırakmış durumdadır. Yeni standardın ilgili maddesi şu şekildedir; Apply the information security risk assessment process to identify risks associated with the loss of confidentiality, integrity and availability for information within the scope of the ISMS (ISO 27001:2013, madde 6.1.2; d.1). Risk seviyesini belirlemek için olasılık ve etki bileşenleri ise yerini koruyor. Not: Yeni standart risk işleme yönetiminin dokümante edilmesini şart koşmuyor. Bununla birlikte risk işleme sürecinin tanımlanması gerekiyor. Varlık sahibi kavramı ise yerine ‘risk sahibi’ tanımı ile değiştirilmiştir. 1.1.4. Düzeltici ve Önleyici Faaliyetlerİlk fazda önleyici faaliyetlerin olmadığını söylemek yanlış olmaz. Önleyici faaliyetler risk işleme ve iyileştirme adımlarına dağıtılmış durumdadır. Düzeltici faaliyetler için ise, eski standarda kafa karışıklığına sebebiyet veren durum ortadan kaldırılmış olduğu görülüyor. Düzeltici faaliyetlerin bir uygunsuzluğa verilen ilk tepki ve bir uygunsuzluğun kök nedenlerini ortadan kaldırmak üzere ikiye ayrıldığını görüyoruz. 1.1.5. İletişimBilgi güvenliğinin sağlanması için gerekli olan iletişim konusu ile ilgili olarak yeni bir madde eklendiği görülüyor. Bu madde uyarınca; kiminle, ne zaman, kim ve hakkında iletişime geçileceğinin tanımlanması sağlanıyor (Madde 7.4). 1.1.6. Dokümante Edilmiş BilgiYeni standart ‘belgeler’ ve ‘kayıtlar’ kavramını birleştirerek ‘dokümante edilmiş bilgi’ kavramını getiriyor. Doküman kontrolü ile ilgili kuralların eski standarda göre değişmediği ve ‘belgeler’ ve ‘kayıtlar’ın her ikisi içinde geçerli olacağı görülüyor. 4.3.1 Maddesinin kaldırıldığı ve gerek duyulan merkezi bir doküman listesinin olmadığını görüyoruz. Eski standartta yer alan doküman yönetimi, düzeltici faaliyet v.b zorunlu olarak olması gereken belgelerin olmadığı bununla birlikte bu süreçlerin yönetilmesi ve işletilmesi ile ilgili kayıtların tutulması zorunluluğu bulunuyor. Daha farklı ifade edilecek olunursa, düzeltici faaliyet dokümanı yazılı olarak olmasa bile bu sürecin işletilmesi ile ilgili kayıtların tutulması zorunludur. 1.1.7. Hedefler, İzleme ve ÖlçmeYeni standartta hedeflerin net olarak tanımlanması ve 9.1 maddesi uyarınca, ölçmenin kim tarafından, ne zaman yapılacağı, sonuçları kimin analiz edip değerlendirileceği belirtilmeli ve ek olarak kapsamlı planların hedeflere nasıl ulaşılacağını açıklayacak şekilde olması gerekiyor. 2. ISO 27001:2013 VS. ISO 27001:2005ISO 27001 standardının EK-A’ sında yer alan kontroller ile ilgili yayımlanmış standart olan IS0 27002 standardı 2013 yılında yenilenerek taslak olarak yayımlandı. Şu an taslak halinde yayımlanan yeni ISO 27002 standardının ise 2013 yılının ikinci yarısında yayımlanması bekleniyor. Yeni IS0 27002 standardıyla, ISO 27002:2005 standardını yapısal olarak karşılaştıracak olursak, Kontrollerin Sayısı: Kontrollerin sayısının yeni standartta 133’ten 113’e düşürüldüğü görülüyor. Bölümlerin Sayısı: Kontrollerin sayısında öngörülen azalmaya rağmen bölüm sayısının 11’den 14’e çıkarıldığı görülüyor. 2.1. ISO 27002:2013 Bölümlerin YapısıYeni standarda göz atacak olursak, Kriptografi ayrı bir bölüm haline getirilmiştir (Bölüm 10). Kriptografi ile ilgili kısımların bilgi sistemleri edinimi, geliştirme ve bakımın bir parçası olmadığı biliniyor. Benzer bir değişiklik tedarikçi ilişkileri kısmında da mevcut. Haklı olarak tedarikçi ilişkileri de ayrı bir bölüm haline getirilmiştir (Bölüm 15). İletişim ve operasyon yönetimi ise iki bölüme ayrılmıştır: Operasyon güvenliği (Bölüm 12) ve iletişim güvenliği (Bölüm 13). Öngörülen yeni standart üzerinde yer alan temel başlıklar aşağıdaki gibidir: Tablo 2 2.2. Güvenlik Kategorilerinin Yerleştirilmesi
2.3. Yeni Kontroller14.2.1– Güvenlik gelişim politikası- Yazılım ve bilgi sistemleri geliştirme için kurallar 14.2.5– Sistem geliştirme prosedürleri- Sistem mühendisliği ilkeleri 14.2.6– Güvenli geliştirme ortamı- Geliştime ortamı oluşturulması ve korunması 14.2.8– Sistem güvenliği testi- Güvenlik fonksiyonları testleri 16.1.4– Bilgi güvenliği olayları değerlendirme ve karar verme- Olay yönetiminin bir parçası 17.2.1– Bilgi işleme olanaklarının erişilebilirliği- Yedekleme 2.4. Çıkartılan Kontroller6.2.2– Müşterilerle ilgilenirken güvenliği ifade etme 10.4.2– Mobil koda karşı kontroller 10.7.3– Bilgi işleme prosedürleri 10.7.4– Sistem dokümantasyonu güvenliği 10.8.5– İş bilgi sistemleri 10.9.3– Herkese açık bilgi 11.4.2– Dış bağlantılar için kullanıcı kimlik doğrulama 11.4.3– Ağlarda teçhizat tanımlama 11.4.4– Uzak tanı ve yapılandırma portu koruma 11.4.6– Ağ bağlantı kontrolü 11.4.7– Ağ yönlendirme kontrolü 12.2.1– Giriş verisi geçerleme 12.2.2– İç işleme kontrolü 12.2.3– Mesaj bütünlüğü 12.2.4– Çıkış verisi geçerleme 11.5.5– Oturum zaman aşımı 11.5.6– Bağlantı süresinin sınırlandırılması 11.6.2– Hassas sistem yalıtımı 12.5.4– Bilgi sızması 14.1.2– İş sürekliliği ve risk değerlendirme 14.1.3– Bilgi güvenliğini içeren süreklilik planlarını geliştirme ve gerçekleştirme 14.1.4– İş sürekliliği planlama çerçevesi 15.1.5– Bilgi işleme olanaklarının kötüye kullanımını önleme 15.3.2– Bilgi sistemleri denetim araçlarının korunması SonuçISO 27001:2013’te öngörülen değişikliklerin temel olarak ilgili taraflar, risk değerlendirme ve iyileştirme, düzeltici ve önleyici faaliyetler, iletişim, dokümante edilmiş bilgi ve hedefler, izleme ve ölçme başlıkları ile ilgili olduğu görülmektedir. ISO 27002 yapısı tamamen ISO 27001 kontrolleri ile uyumlu olduğundan tüm değişiklikler yeni ISO 27001 EK-A’sı içinde geçerlidir. İlk bakışta çok fazla bir değişiklik varmış gibi görülmektedir. Ama bunların çoğu temelden yapılan değişiklikler değildir. Değişikliklerin çoğu aslında mevcut ISO 27002’nin yanlış yapısının düzeltilmesi ve yeni kontrollerin eklenmesini içeriyor. Ağ güvenliği ve geliştirme sürecinde ise bazı değişiklikler mevcut. Bu alanlarda yeni standarda göre daha esnek bir tarif ve nasıl uygulama yapılacağı kısmında serbestlik öngörülüyor. Sonuç olarak yeni standarda göre uygulama daha kolay olacak gibi görünmektedir. Kaynaklar1. ISO/IEC 27002: 2005, Information technology — Security techniques — Code of practice for information security management, 2. ISO/IEC 27001: 2005, Information technology — Security techniques — Information security management systems — Requirements 3. Draft Version of ISO/IEC 27002: 2013 4. Draft Version of ISO/IEC 27001: 2013 |