ISO 27001 süreçlerini yürüten bir çalışansanız, muhtemelen bu standardın 2022 sürümünde yapılan değişiklikler konusunda hangi uygulamaları yapmanız gerekeceğini merak ediyorsunuzdur. Bir önceki ISO 27001 ve ISO 27002’deki 2022 Sürüm Değişiklikleri Hakkında Faydalı Bilgiler yazısında sizlere bahsettiğim, ISO 27001’e eklenen 11 yeni güvenlik kontrollerini tek tek bu yazıda ele alacağım.
ISO 27001’e Eklenen Yeni Kontrolleri Tekrar Tanıyalım
- A.5.07 – Tehdit İstihbaratı
- A.5.23 – Bulut hizmetlerinin kullanımı için bilgi güvenliği
- A.5.30 – İş sürekliliği için BİT hazırlığı
- A.7.04 – Fiziksel güvenlik izleme
- A.8.09 – Yapılandırma Yönetimi
- A.8.10 – Bilgi Silme
- A.8.11 – Veri Maskeleme
- A.8.12 – Veri Sızıntısını Önleme
- A.8.16 – İzleme Faaliyetleri
- A.8.23 – Web Filtreleme
- A.8.28 – Güvenli Kodlama
Fark ettiğimiz üzere eklenen yeni kontrollerin bazıları 2013 revizyonundaki eski kontrollere benzer konuları barındırıyor, ancak bu kontrolleri ayrı birer madde olarak adlandırıldığı ve yeni kontrol olarak eklendiği için her birini ayrı ayrı ele almamız gerekmekte.
Bu yazıda ISO 27002:2022 yönergeleri kaynak olarak ele alınmıştır. Yazıda ayrıca gereksinimler, teknoloji, insanlar ve belgeler hakkında genel bilgileri sizlere verdim. Daha detaylı bilgilendirme elde etmek adına ISO web sitesinden ISO 27002 standardını satın almalısınız. Ancak henüz Türkçe çevirisi yapılmadığı için şuan sadece ingilizce sürümü satılmaktadır. Hatırlatmakta fayda var, ilgili kontrolleri uygulama durumlarınızı kurumunuzun veya firmanızın “Kapsam”ına göre uygulamama hakkına sahipsiniz.
A.5.07 Tehdit İstihbaratı
Açıklama: Bu kontrol, tehditler hakkında bilgiler toplamanızı ve bunları analiz ederek ilgili tehditleri en uygun azaltma / hafifletme eylemlerini gerçekleştirmenizi ister. Toplanan bu bilgiler belirli saldırılar, saldırganların kullandığı yöntemler ve teknolojiler ve/veya saldırı eğilimleri hakkında olabilir. İlgili bu bilgileri sosyal ağlardan, devlet kurumu duyurularından, tehdit istihbaratı sağlayan firmalardan ve diğer harici kaynaklardan toplamalısınız.
Teknoloji: Küçük şirketler muhtemelen bu kontrolle ilgili herhangi bir yeni teknolojiye ihtiyaç duymazlar, bunun yerine, tehdit bilgileri mevcut olan sistemlerinden nasıl edineceklerini bulmaları gerekmektedir. Halihazırda bir sisteme sahip değillerse, daha büyük şirketler bu konuda kendilerini yeni tehditlere (ve güvenlik açıklarına / olaylarına karşı uyaracak bir sistem edinmeleri gerekecektir. Bütün şirketler, sistemlerini güçlendirmek için tehdit bilgilerini muhakkak kullanmak zorunda kalacaktır.
Organizasyon / Süreçler: BT sistemlerinize önleyici kontroller getirmek, risk değerlendirmenizi iyileştirmek ve güvenlik testleri için yeni yöntemler tanıtmak amacıyla tehdit bilgilerinin nasıl toplanacağına ve kullanılacağına ilişkin süreçleri belirlemelisiniz.
İnsanlar: Çalışanlarınızı tehdit bildirimleri göndermenin önemi konusunda bilinçlendirmeli ve bu tehditlerin nasıl ve kime iletileceği konusunda onları eğitmelisiniz.
Belgeler: ISO 27001 tarafından herhangi bir belge gerekmemektedir; ancak, eğer sizde mevcutsa aşağıdaki belgelerinize tehdit istihbaratı ile ilgili kuralları dahil edebilirsiniz:
- Tedarikçi Güvenlik Politikası – Tehditlerle ilgili bilgilerin kurum ile paylaşları arasında nasıl iletildiğini tanımlayın.
- Olay Yönetimi Prosedürü – Tehditlerle ilgili bilgilerin şirket içinde nasıl iletildiğini tanımlayın.
- Güvenlik İşletim Prosedürleri – Tehditlerle ilgili bilgilerin nasıl toplanacağını ve işleneceğini tanımlayın.
A.5.23 Bulut Hizmetlerinin Kullanımı için Bilgi Güvenliği
Açıklama: Bu kontrol, buluttaki bilgilerinizin daha iyi korunması için bulut hizmetlerinde güvenlik gereksinimleri belirlemenizi gerektirir. Buna bulut hizmetlerinin satın alınması, kullanılması, yönetilmesi ve kullanımının sonlandırılması dahildir.
Teknoloji: Çoğu durumda, bulut hizmetlerinin çoğunluğu zaten güvenlik özelliklerine sahip olduğundan, yeni bir teknolojiye ihtiyaç duyulmaz. Bazı durumlarda hizmetinizi daha güvenli bir sürüme yükseltmeniz gerekebilirken, bazı nadir durumlarda ise güvenlik özellikleri yoksa bulut sağlayıcısını değiştirmeniz gerekebilir. Çoğunlukla, gereken tek değişiklik, mevcut bulut güvenlik özelliklerini daha kapsamlı bir şekilde kullanmak / yaymak olacaktır.
Organizasyon / Süreçler: Bulut hizmetleri için güvenlik gereksinimlerini belirlemek ve bir bulut sağlayıcı seçme kriterlerini belirlemek için bir süreç oluşturmalısınız. Ayrıca, bulutun kabul edilebilir kullanımını belirlemek için bir süreç ve buna ek olarak bir bulut hizmetinin kullanımını iptal ederken güvenlik gereksinimlerini tanımlamanız gerekir.
İnsanlar: Çalışanları bulut hizmetlerini kullanmanın güvenlik risklerinden haberdar edin ve onları bulut hizmetlerinin güvenlik özelliklerini nasıl kullanacakları konusunda eğitin. Bu konuyu bilgi güvenliği açısından değerlendirin.
Belgeler: ISO 27001 tarafından herhangi bir belge gerekmemektedir. Ancak daha küçük bir şirketseniz, bulut hizmetleriyle ilgili kuralları Tedarikçi Güvenlik Politikasına dahil edebilirsiniz. Daha büyük şirketler / kurumlar, özellikle bulut hizmetleri için güvenliğe odaklanacak ayrı bir bulut güvenliği politikası geliştirebilir.
A.5.30 İş Sürekliliği için BİT Hazırlığı
Açıklama: Bu kontrol, Bilgi ve İletişim Teknolojinizin (BİT), gerekli bilgi ve varlıkların gerektiğinde kullanılabilir olması için olası kesintilere hazır olmasını gerektirir. Buna hazırlık planlama, uygulama, bakım ve test dahildir.
Teknoloji: Sistemlerinizin esnekliğini ve yedekliliğini sağlayan çözümlere yatırım yapmadıysanız, bu tür bir teknolojiyi siteminize dahil etmeniz gerekebilir. Bu çözümlerin, risk değerlendirmenize ve verilerinizin ve sistemlerinizin kurtarılması için ne kadar hızlı ihtiyaç duyduğunuza göre planlanması gerekir.
Organizasyon / Süreçler: Kurtarma için riskleri ve iş ihtiyaçlarını dikkate alması gereken planlama sürecinin yanı sıra, teknolojiniz için bakım sürecini ve felaket kurtarma ve/veya iş sürekliliği planlarınız için test sürecini de kurmalısınız.
İnsanlar: Çalışanları meydana gelebilecek olası aksaklıklardan haberdar edin ve bir kesintiye hazır olması için BT ve İletişim teknolojisinin nasıl sürdürüleceği konusunda onları eğitin.
Belgeler: ISO 27001 tarafından herhangi bir belge gerekmemektedir; ancak, daha küçük bir şirketseniz, aşağıdaki belgelere BİT hazır olma durumunu dahil edebilirsiniz:
- Felaket Kurtarma Planı – Hazırlık planlaması, uygulaması ve bakımı
- İç Denetim Raporu – Hazırlık testi
Daha büyük bir kuruluşsanız veya ISO 22301’i uyguladıysanız , İş Etki Analizi, İş Sürekliliği Stratejisi, İş Sürekliliği Planı ve İş Sürekliliği Test (Tatbikat) Planı ve Raporu aracılığıyla bu hazırlığı belgelemelisiniz.
A.7.4 Fiziksel Güvenlik İzleme
Açıklama: Bu kontrol, yalnızca yetkili kişilerin bunlara erişmesini sağlamak için hassas alanları / bölgeleri izlemenizi gerektirir. Bu, ofislerinizi, üretim tesislerinizi, depolarınızı ve diğer binalarınızı içerebilir.
Teknoloji: Risklerinize bağlı olarak alarm sistemleri veya video izleme uygulamanız gerekebilir; ilgili alanı / bölgeyi gözlemleyen bir nöbetçi çalışan gibi teknoloji dışı bir çözüm uygulamaya da karar verebilirsiniz.
Organizasyon / Süreçler: Hassas alanların izlenmesinden kimin / kimlerin sorumlu olduğunu ve bir olayı bildirmek için hangi iletişim kanallarının kullanılacağını tanımlamanız gerekir.
İnsanlar: Çalışanları hassas alanlara yetkisiz fiziksel girişin risklerinden haberdar edin ve izleme teknolojisini nasıl kullanacaklarını eğitin.
Belgeler: ISO 27001 tarafından herhangi bir belge gerekmemektedir; ancak, aşağıdaki belgelere fiziksel güvenlik izlemeyi dahil edebilirsiniz:
- Fiziksel Güvenliği Düzenleyen Prosedürler – Neyin izlendiği ve izlemeden kimin sorumlu olduğu
- Olay Yönetim Prosedürü – Fiziksel bir güvenlik olayının nasıl raporlanacağı ve ele alınacağı
A.8.9 Konfigürasyon Yönetimi
Açıklama: Bu kontrol, uygun bir güvenlik düzeyi sağlamak ve herhangi bir yetkisiz değişikliklerden kaçınmak adına teknolojiniz için tüm güvenlik yapılandırması döngüsünü yönetmenizi gerektirir. Buna yapılandırma tanımı, uygulama, izleme ve inceleme dahildir.
Teknoloji: Konfigürasyonun yönetilmesi gereken teknoloji, yazılım, donanım, hizmetler veya ağları içerebilir. Daha küçük şirketler muhtemelen herhangi bir ek araç olmadan konfigürasyon yönetimini gerçekleştirebilecekken, daha büyük şirketler muhtemelen tanımlanmış konfigürasyonları zorlayan bazı yazılımlara / yönetim araçlarına ihtiyaç duyacaktır.
Organizasyon / Süreçler: Güvenlik yapılandırmalarını önermek, gözden geçirmek ve onaylamak için bir süreç ve ayrıca konfigürasyonları yönetme ve izleme süreçleri oluşturmalısınız.
İnsanlar: Çalışanları, güvenlik yapılandırmasının neden sıkı denetiminin gerekli olduğu konusunda bilgilendirin ve onları güvenlik yapılandırmalarının nasıl tanımlanıp uygulanacağı konusunda eğitin.
Belgeler: ISO 27001, bu kontrolün belgelenmesini gerektirir. Küçük bir şirketseniz, yapılandırma kurallarını Güvenlik İşletim Prosedürlerinizde belgeleyebilirsiniz. Daha büyük şirketler genellikle yapılandırma sürecini tanımlayan ayrı bir prosedüre sahip olacaktır.
Önceki paragrafta bahsedilen belgelerin sık sık güncellenmesini önlemek için, genellikle sistemlerinizin her biri için güvenlik yapılandırmalarını tanımlayan ayrı özelliklere sahip olursunuz. Ayrıca, bir denetim izini etkinleştirmek için yapılandırmalardaki tüm değişikliklerin günlüğe kaydedilmesi gerekir.
A.8.10 Bilgi Silme
Açıklama: Bu kontrol, hassas bilgilerin sızmasını önlemek, gizlilik ve diğer gereksinimlerle uyumluluğu sağlamak için artık gerekmediğinde verileri silmenizi gerektirir. Bu, BT sistemlerinizdeki, çıkarılabilir medyadaki veya bulut hizmetlerindeki silmeyi içerebilir.
Teknoloji: Yasal veya sözleşme gereksinimlerine göre veya risk değerlendirmenize uygun olarak güvenli silme için araçlar kullanıyor olmalısınız.
Organizasyon / Süreçler: Hangi verilerin ne zaman silinmesi gerektiğini, silme sorumluluklarını ve yöntemlerini tanımlayacak bir süreç oluşturmalısınız.
İnsanlar: Çalışanları hassas bilgileri silmenin neden önemli olduğu konusunda bilgilendirin ve onları bunu nasıl düzgün yapacakları konusunda eğitin.
Belgeler: ISO 27001 tarafından herhangi bir belge gerekmemektedir; ancak, aşağıdaki belgelere bilgi silmeyle ilgili kuralları dahil edebilirsiniz:
- İmha ve İmha Politikası – BT sistemlerizdeki, çıkarılabilir medyadaki ve bulut hizmetlerindeki bilgilerin nasıl silindiği
- Kabul Edilebilir Kullanım Politikası – Normal kullanıcıların bilgisayarlarındaki ve mobil cihazlarındaki hassas bilgileri nasıl silmeleri gerektiği
- Güvenlik İşletim Prosedürleri – Sistem yöneticilerinin sunucular ve ağlardaki hassas bilgileri nasıl silmeleri gerektiği
Daha büyük kuruluşlar, her tür bilginin ne kadar süreyle ve ne zaman silinmesi gerektiğini tanımlayan bir Veri Saklama Politikasına da sahip olabilir.
A.8.11 Veri Maskeleme
Açıklama: Bu kontrol, hassas bilgilerin açığa çıkmasını sınırlamak için erişim kontrolü ile birlikte veri maskelemeyi kullanmanızı gerektirir. Bu, öncelikle kişisel veriler anlamına gelir, çünkü bunlar gizlilik düzenlemeleri tarafından yoğun bir şekilde düzenlenir, ancak diğer hassas, gizlilik dereceli veri kategorilerini de içerebilir.
Teknoloji: Kurum ve kuruluşlar, gizlilik veya diğer düzenlemelerin gerektirdiği durumlarda verileri maskelemek için takma ad veya anonimleştirme araçları kullanabilir. Şifreleme veya gizleme gibi diğer yöntemler de kullanılabilir.
Organizasyon / Süreçler: Hangi verilerin maskelenmesi gerektiğini, hangi tür verilere kimlerin erişebileceğini ve verileri maskelemek için hangi yöntemlerin kullanılacağını belirleyecek süreçler kurmalısınız.
İnsanlar: Çalışanları verilerin maskelenmesinin neden önemli olduğu konusunda bilinçlendirin ve onları hangi verilerin nasıl maskelenmesi gerektiği konusunda eğitin.
Belgeler: ISO 27001 tarafından herhangi bir belge gerekmemektedir; ancak, aşağıdaki belgelere veri maskeleme kurallarını dahil edebilirsiniz:
- Bilgi Sınıflandırma Politikası – Hangi verilerin hassas olduğunu ve hangi veri kategorilerinin maskelenmesi gerektiğini belirleyin
- Erişim Kontrol Politikası – Ne tür maskeli veya maskesiz verilere kimin erişebileceğini tanımlar
- Güvenli Geliştirme Politikası – Verileri maskeleme teknolojisini tanımlar
Daha büyük şirketler veya Avrupa Birliği Genel Veri Koruma Yönetmeliği (AB GDPR) ve benzer gizlilik düzenlemeleriyle uyumlu olması gereken şirketler de aşağıdaki belgelere sahip olmalıdır:
- Gizlilik Politikası / Kişisel Verilerin Korunması Politikası – Veri maskeleme için genel sorumluluklar
- Anonimleştirme ve Takma Adlandırma Politikası – Bir gizlilik yönetmeliği bağlamında veri maskelemenin nasıl uygulandığına ilişkin ayrıntılar
A.8.12 Veri Sızıntısının Önlenmesi
Açıklama: Bu kontrol, hassas bilgilerin yetkisiz ifşasını önlemek için çeşitli veri sızıntısı önlemleri uygulamanızı ve bu tür olaylar olursa bunları zamanında tespit etmenizi gerektirir. Bu, BT sistemlerindeki, ağlardaki veya herhangi bir cihazdaki bilgileri içerir.
Teknoloji: Bu amaçla, e-postalar, çıkarılabilir depolama aygıtları, ağlar, mobil aygıtlar vb. dahil olmak üzere olası sızıntı kanallarını ve bilgi sızıntısını izlemek ve/veya önlemek için amacıyla hazırlanmış (örneğin, çıkarılabilir depolama birimine yüklemeyi devre dışı bırakma, e-posta karantinası, kopyalama ve yapıştırmayı kısıtlama, verilerin harici sistemlere yüklenmesini kısıtlama, şifreleme vb.) sistemleri ve yapılandırmaları kullanabilirsiniz.
Organizasyon / Süreçler: Verilerin hassasiyetini belirleyen, çeşitli teknolojilerin risklerini değerlendiren (ör. bir akıllı telefonla hassas bilgilerin fotoğrafını çekme riskleri), veri sızıntısı potansiyeli olan kanalları izleyen ve hassas verilerin açığa çıkmasını engellemek için hangi teknolojinin kullanılacağını tanımlayan süreçler kurmalısınız.
Belgeler: ISO 27001 tarafından herhangi bir belge gerekmemektedir; ancak, aşağıdaki belgelere veri sızıntısını önlemeye ilişkin kuralları dahil edebilirsiniz:
- Bilgi Sınıflandırma Politikası – Veriler ne kadar hassas olursa, o kadar fazla önleme uygulanması gerekir
- Güvenlik İşletim Prosedürleri – Yöneticiler tarafından izleme ve önleme için hangi sistemlerin kullanılması gerektiği
- Kabul Edilebilir Kullanım Politikası – Normal kullanıcılar için nelere izin verilir ve nelere izin verilmez
A.8.16 İzleme Faaliyetleri
Açıklama: Bu kontrol, olağandışı faaliyetleri tanımak ve gerekirse uygun olay yanıtını etkinleştirmek için sistemlerinizi izlemenizi gerektirir. Bu, BT sistemlerinizin, ağlarınızın ve uygulamalarınızın izlenmesini içerir.
Teknoloji: Ağlarınız, sistemleriniz ve uygulamalarınız için bunları izleyebilirsiniz: güvenlik aracı günlükleri, olay günlükleri, kimin neye eriştiği, ana yöneticilerinizin faaliyetleri, gelen ve giden trafik, kodun düzgün yürütülmesi ve sistem kaynaklarının performansının nasıl olduğu.
Organizasyon / Süreçler: Hangi sistemlerin izleneceğini tanımlayan bir süreç oluşturmalısınız; izleme sorumluluklarının nasıl belirlendiği; ve izleme yöntemleri, olağandışı faaliyetler için bir temel oluşturma, etkinlik (events) ve olayları (incidents) raporlama.
İnsanlar: Çalışanları faaliyetlerinin izleneceği konusunda bilinçlendirin ve neyin normal davranış olarak kabul edilip neyin kabul edilmediğini açıklayın. BT yöneticilerini izleme araçlarını kullanma konusunda eğitin.
Belgeler: ISO 27001 tarafından herhangi bir belge gerekmemektedir; ancak, daha küçük bir şirketseniz, Güvenlik İşletim Prosedürlerine izleme ile ilgili kuralları dahil edebilirsiniz. Daha büyük şirketler, sistemlerini nasıl izleyeceklerini açıklayan ayrı bir prosedür geliştirebilir.
Bunun da ötesinde, izleme faaliyetlerinin kayıtlarının tutulması faydalı olacaktır.
A.8.23 Web Filtreleme
Açıklama: Bu kontrol, BT sistemlerinizi korumak için kullanıcılarınızın hangi web sitelerine eriştiğini yönetmenizi gerektirir. Bu şekilde, sistemlerinizin kötü niyetli kodlar tarafından ele geçirilmesini önleyebilir ve ayrıca kullanıcıların internetten yasa dışı materyalleri kullanmasını önleyebilirsiniz.
Teknoloji: Kötü amaçlı yazılımdan koruma yazılımının kullanımını içerebilecek belirli IP adreslerine erişimi engelleyen araçlar kullanabilirsiniz. Yasak web sitelerinin bir listesini oluşturmak ve kullanıcılardan bu siteleri ziyaret etmemelerini istemek gibi teknoloji dışı yöntemler de kullanabilirsiniz.
Organizasyon / Süreçler: Hangi tür web sitelerine izin verilmediğini ve web filtreleme araçlarının nasıl korunacağını belirleyen süreçler oluşturmalısınız.
İnsanlar: Çalışanlarınızı İnternet’i kullanmanın tehlikeleri ve güvenli kullanım kılavuzlarını nerede bulabilecekleri konusunda bilgilendirin ve sistem yöneticilerinizi web filtrelemenin nasıl gerçekleştirileceği konusunda eğitin.
Belgeler: ISO 27001 tarafından herhangi bir belge gerekmemektedir; ancak daha küçük bir şirketseniz, aşağıdaki belgelere web filtrelemeyle ilgili kuralları dahil edebilirsiniz:
- Güvenlik İşletim Prosedürleri – Web filtrelemenin nasıl uygulanacağı konusunda sistem yöneticileri için kurallar tanımlayın.
- Kabul Edilebilir Kullanım Politikası – İnternetin kabul edilebilir kullanımının ne olduğu konusunda tüm kullanıcılar için kurallar tanımlayın.
Daha büyük şirketler, web filtrelemenin nasıl yapıldığını açıklayan ayrı bir prosedür geliştirebilir.
A.8.28 Güvenli Kodlama
Açıklama: Bu kontrol, yazılımdaki güvenlik açıklarını azaltmak için güvenli kodlama ilkeleri oluşturmanızı ve bunları yazılım geliştirmenize uygulamanızı gerektirir. Bu, kodlama öncesi, kodlama esnası ve kodlama sonrasındaki etkinlikleri içerebilir.
Teknoloji: Kütüphanelerin envanterini tutmak, kaynak kodu kurcalamaya karşı korumak, hataları ve saldırıları günlüğe kaydetmek ve test etmek için araçlar kullanıyor olabilirsiniz; kimlik doğrulama, şifreleme vb. gibi güvenlik bileşenlerini de kullanabilirsiniz.
Organizasyon / Süreçler: Hem dahili yazılım geliştirme hem de üçüncü tarafların yazılım bileşenleri için minimum güvenli kodlama temel çizgisini tanımlamak için bir süreç, ortaya çıkan tehditleri izlemek için bir süreç ve güvenli kodlama konusunda tavsiyeler, hangi harici araçların ve kütüphanelerin kullanılabileceğine karar vermek için bir süreç oluşturmalısınız. kodlamadan önce, kodlama sırasında, kodlamadan sonra (inceleme ve bakım) ve yazılım değişikliği için yapılan faaliyetleri tanımlayan bir süreçtir.
İnsanlar: Yazılım geliştiricilerinizi güvenli kodlama ilkelerini kullanmanın önemi konusunda bilinçlendirin ve onları güvenli kodlama yöntemleri ve araçları konusunda eğitin.
Belgeler: ISO 27001 tarafından herhangi bir belge gerekmemektedir; ancak daha küçük bir şirketseniz, Güvenli Geliştirme Politikası’na güvenli kodlamayla ilgili kuralları dahil edebilirsiniz. Daha büyük şirketler, yazılım geliştirme projelerinin her biri için güvenli kodlama için ayrı prosedürler geliştirebilir.
Bu makalenin konu başlıkları ve içeriği Dejan Kosutic tarafından yazılan “Detailed explanation of 11 new security controls in ISO 27001:2022” adlı makaleden alıntıdır veya esinlenilmiştir. İçerik yazısı ve/veya çevirisi tamamen Safa Paksu‘ya aittir.