Bilgi Güvenliği Yönetim Sistemi (BGYS) temelini oluşturan standartlar ISO 27001 ve ISO 27002 güncelleniyor. Yapılan ve yapılacak olan bu değişikliklerin neleri değiştirdiği ve neler eklediği konusunda önemli bilgileri bu yazıda bulabilirsiniz. 15 Şubat 2022 tarihinde resmi olarak ISO 27002’nin 2022 revizyonu yayınlandı. Bilgi Güvenliği Yönetim Sistemi’nin EK-A maddeleri dediğimiz tedbirlerin açıklamalı olarak yer aldığı bu standartta ciddi değişiklikler olduğunu görüyoruz. Temel olarak bu değişiklikleri aşağıdaki maddelerde birlikte inceleyebiliriz.
- ISO 27001:2022’deki ana değişiklikler:
- ISO 27001:2022 ve ISO 27002:2022’de tam olarak ne değişti?
- Yeni ISO 27002, aşağıdaki 4 ana başlıkta 93 kontrole sahiptir:
- ISO 27002’ye Eklenen Yeni Maddeler Neler?
- ISO 27002 Birleştirilen Maddeler Neler?
- Kontrollere Eklenen Nitelikler
- Silinen kontroller var mı?
- Bu değişiklikler ne zaman gerçekleşecek?
- ISO 27001 ve ISO 27002 arasındaki fark nedir?
- Öncesinde uygulanan BGYS için etkileri nelerdir?
- Sonuç
- Kaynakça;
ISO 27001:2022’deki ana değişiklikler:
- ISO 27001’in ana kısmı olan, yani 4 ile 10 arasındaki zorunlu maddeler değişmedi
- Yalnızca ISO 27001 (Annex-A) Ek-A’da yer alan güvenlik kontrolleri güncellendi
- ISO 27002’deki Kontrol sayısı 114’ten 93’e düşürüldü
- ISO 27002’deki Kontrol başlıkları 14 yerine artık 4 ana gruptan oluştu
- Eklenen yeni 11 tane kontrol var
- Kontrollerin hiçbiri silinmiyor fakat birçok kontrol birleştirildi
- Kontrollere sınıflandırmayı, filtrelemeyi kolaylaştıran bazı (öz)nitelikler eklendi
ISO 27001:2022 ve ISO 27002:2022’de tam olarak ne değişti?
ISO 27001’in ana kısmı, yani 4 ila 10 arasındaki maddeler değişmiyor. Zorunlu maddeler dediğimiz bu kontrollerin içeriğinde genel anlamda şunlar yer alıyor; Kapsam, ilgili taraflar, bağlam, bilgi güvenliği politikası, risk yönetimi, kaynaklar, eğitim ve farkındalık, iletişim, belge kontrolü, izleme ve ölçüm, iç denetim, yönetimin gözden geçirmesi ve düzeltici eylemler. Bu durumda ISO 27001’de yer alan Ek-A listesi ve ISO 27002’deki güvenlik kontrolleri güncelleniyor diyebiliriz.
Genel anlamda, değişiklikler sadece orta düzeyde ve öncelikle uygulamayı basitleştirmek için yapılmış olduğunu görüyoruz. Kontrol sayısı 114’ten 93’e düşürülmüş ve önceki 14 ana başlık yerine 4 ana başlıkta bu kontroller bize verilmiştir. Buna ek olarak 11 yeni kontrol vardır, kontrollerin hiçbiri silinmemiştir ancak birçok kontrol maddesi birleştirilmiş durumda. Bununla birlikte kontrollere sınıflandırmayı, filtrelemeyi kolaylaştıran bazı (öz)nitelikler eklenmiş.
Yeni ISO 27002, aşağıdaki 4 ana başlıkta 93 kontrole sahiptir:
- 5 — Organizasyonel kontroller
- 6 — Kişi kontrolleri
- 7 — Fiziksel kontroller
- 8 — Teknolojik kontroller
ISO 27002’ye Eklenen Yeni Maddeler Neler?
- 5.07 — Tehdit İstihbaratı
- 5.23 — Bulut hizmetlerinin kullanımı için bilgi güvenliği
- 5.30 — İş sürekliliği için BİT hazırlığı
- 7.04 — Fiziksel güvenlik izleme
- 8.09 — Yapılandırma Yönetimi
- 8.10 — Bilgi Silme
- 8.11 — Veri Maskeleme
- 8.12 — Veri Sızıntısını Önleme
- 8.16 — İzleme Faaliyetleri
- 8.23 — Web Filtreleme
- 8.28 — Güvenli Kodlama
Bu maddelerin ayrıntılı açıklandığı ve neler istendiği konusuna farklı bir yazıda değineceğim.
ISO 27002 Birleştirilen Maddeler Neler?
Parantez içerisinde yer alan 2017 sürümündeki maddelerin 2022 sürümünde birleştirildiği kontrol maddelerini aşağıdaki şekilde görüyoruz.
- 5.01 — Bilgi güvenliği politikaları — (05.1.1, 05.1.2)
- 5.08 — Proje yönetiminde bilgi güvenliği — (06.1.5, 14.1.1)
- 5.09 — Bilgi envanteri ve diğer ilgili varlıklar — (08.1.1, 08.1.2)
- 5.10 — Bilgilerin ve diğer ilgili varlıkların kabul edilebilir kullanımı — (08.1.3, 08.2.3)
- 5.14 — Bilgi transferi — (13.2.1, 13.2.2, 13.2.3)
- 5.15 — Erişim kontrolü — (09.1.1, 09.1.2)
- 5.17 — Kimlik doğrulama bilgileri — (09.2.4, 09.3.1, 09.4.3)
- 5.18 — Erişim hakları — (09.2.2, 09.2.5, 09.2.6)
- 5.22 — Tedarikçi Hizmetlerinin İzlenmesi, Gözden Geçirilmesi ve Değiştirilmesi — (15.2.1, 15.2.2)
- 5.29 Kesinti sırasında bilgi güvenliği — (17.1.1, 17.1.2, 17.1.3)
- 5.31 Yasal, kanuni, düzenleyici ve sözleşmeye dayalı gereksinimler — (18.1.1, 18.1.5)
- 5.36 Bilgi güvenliğine yönelik politikalara, kurallara ve standartlara uygunluk — (18.2.2, 18.2.3)
- 6.08 Bilgi güvenliği olay raporlaması — (16.1.2, 16.1.3)
- 7.02 Fiziksel giriş — (11.1.2, 11.1.6)
- 7.10 Depolama ortamı — (08.3.1, 08.3.2, 08.3.3, 11.2.5)
- 8.01 Kullanıcı uç nokta cihazları — (06.2.1, 11.2.8)
- 8.08 Teknik güvenlik açıklarının yönetimi — (12.6.1, 18.2.3)
- 8.15 Günlük kaydı — (12.4.1, 12.4.2, 12.4.3)
- 8.19 İşletim sistemlerine yazılım kurulumu — (12.5.1, 12.6.2)
- 8.24 Kriptografi kullanımı — (10.1.1, 10.1.2)
- 8.26 Uygulama güvenlik gereksinimleri — (14.1.2, 14.1.3)
- 8.29 Geliştirme ve kabulde güvenlik testi — (14.2.8, 14.2.9)
- 8.31 Geliştirme, test ve üretim ortamlarının ayrılması — (12.1.4, 14.2.6)
- 8.32 Değişiklik yönetimi — (12.1.2, 14.2.2, 14.2.3, 14.2.4)
Kontrollere Eklenen Nitelikler
Bence, yeni sürümde yer alan en önemli değişiklik bu diyebiliriz. Çünkü farklı grupların ihtiyaçlarını karşılamak için kontrolleri de farklı görünümlere göre sıralamak ve filtrelemek için standart bir yol sağlıyor. Bir nevi etiketleme yöntemi getirilmiş diyebiliriz.
Her bir kontrol için aşağıdaki şekilde öznitelik seçenekleri mevcut.
- Kontrol türleri: Önleyici, Belirleyici, Düzeltici
- Bilgi Güvenliği Özellikleri: Gizlilik, Bütünlük, Erişilebilirlik
- Siber Güvenlik Kavramları: Tanımla, Koru, Yanıtla, Belirle, Kurtar
- Operasyonel yetenekler: Yönetim, Süreklilik, Varlık Yönetimi, Fiziki Güvenlik, Sistem ve Ağ Güvenliği, Uygulama Güvenliği, Güvenli Yapılandırma, Kimlik ve Erişim Yönetimi, Tehdit ve Açıklık Yönetimi, Bilginin Koruması, Bilgi Güvenliği Olay Yönetimi, Yasal ve Uyumluluk, Bilgi Güvenliği Güvencesi, Tedarikçi İlişkileri Güvenliği, İnsan Kaynakları Güvenliği, Tedarikçi İlişkileri
- Güvenlik alanları: Koruma, Savunma, Dayanıklılık, Yönetişim ve Ekosistem
Bu nitelikler, ISO 27002:2022 kontrollerinin NIST Risk Yönetimi Çerçevesi gibi diğer benzer güvenlik (framework) çerçeveleriyle entegrasyonunu kolaylaştıracaktır. Bununla beraber BGYS kapsamında gerçekleştirdiğiniz uygulamalarınızı da bu nitelikleri kullanarak gruplayabilirsiniz.
Silinen kontroller var mı?
Kontrol sayısı azaltılmış olsa da, bu yeni sürümde hiçbir kontrol hariç tutulmadı, sadece daha iyi anlaşılması ve uygulamasının kolaylaştırılması adına birleştirildi.
Bu değişiklikler ne zaman gerçekleşecek?
ISO 27002, 15 Şubat 2022’de güncellenmiştir ve ISO 27001’in Ek A’sı bu değişikliklerle uyumlu hale getirilecektir. ISO 27001 Ek A’daki güncellemeler, Ekim ve Aralık 2022 arasında bir yerde gerçekleşecek, tarih henüz açıklanmadı.
ISO 27001 ve ISO 27002 arasındaki fark nedir?
ISO 27001 ana standarttır ve firmalar sertifika aldığı zaman 27001’e göre alırlar. Bu durumda 27002, 27001’i destekleyici bir standart olduğu için şirketler ISO 27002:2022’ye göre sertifika alamazlar.
ISO 27001’deki Ek-A (Annex — A) maddeleri size sadece güvenlik kontrollerinin bir listesini sağlar, ancak bunların nasıl uygulanabileceğini açıklamaz. ISO 27002 ise size Ek-A’daki kontrolleri listeler ve bunların nasıl uygulanabileceği konusunda size rehberlik sağlar. Ancak, ISO 27002’deki bu kılavuz zorunlu değildir, yani şirketler bu kılavuzları kullanıp kullanmayacaklarına veya kısmen hangi maddeleri uygulayacaklarına karar verebilirler.
Öncesinde uygulanan BGYS için etkileri nelerdir?
Standartlardaki değişiklikler çoğunlukla kontrollerin yeniden düzenlenmesi ile ilgilidir, bu nedenle teknolojide (yeni eklenen maddeler haricinde) herhangi bir değişikliğe ihtiyaç duyulmayacak, sadece dokümantasyon değişikliğine ihtiyaç duyulacaktır.
Değişiklikler orta düzeyde olduğundan, önerimiz yeni belge eklememeniz veya mevcut belgelerden hiçbirini silmemenizdir. Öncelikle doküman setinizde yukarıda verilen birleştirilen maddelerin dokümanlarını düzenleyebilirsiniz. Sonrasında yeni eklenen maddeleri ise dokümantasyona kontrolleri nasıl karşıladığınızı belirterek dilediğiniz şekilde ekleyebilirsiniz.
Uygulanabilirlik bildirgenizi, risk yönetiminizi ve mevcut politikalarınızı yeni kontrollere göre güncellemeyi de unutmamalısınız. Kontrol içerikleri özellikle birleştirilen kontrollerde değişiklik gösterebilir. Bu kapsamda her bir kontrol okunarak uygulama yöntemlerinizi buna göre güncellemelisiniz.
Sonuç
Sonuç olarak Bilgi Güvenliği Yönetim Sistemi (BGYS) için rehber olarak kullanılan ISO 27001 ve 27002 standartlarının güncellenmesi bize daha basit bir yönetim, daha kullanılabilir bir sınıflandırma ve daha anlaşılabilir bir doküman seti oluşturmamıza olanak sağlayacağını düşünüyorum.
Kontrol maddesi ve nitelik kavramların ISO standart çevirisi olmadığı için Türkçe çevirisi tarafımca yapılmıştır.
Kaynakça;
- 11 most important facts about changes in ISO 27001/ISO 27002: https://advisera.com/27001academy/blog/2022/02/09/iso-27001-iso-27002
- Main changes in the new ISO 27002 2022 revision: https://advisera.com/27001academy/blog/2022/01/30/main-changes-in-the-upcoming-new-version-of-iso-27002/
- ISO/IEC 27002:2022 Preview: https://www.iso.org/obp/ui/#iso:std:iso-iec:27002:ed-3:v2:en
emeğinize sağlık, çeviri yapmak bazen çıldırtır insanı