ISO 27001:2022’deki 11 yeni güvenlik kontrolünün ayrıntılı açıklaması

ISO 27001 2022 revizyonunda tanıtılan 11 yeni kontrol:

  • A.5.7 Tehdit istihbaratı
  • A.5.23 Bulut hizmetlerinin kullanımı için bilgi güvenliği
  • A.5.30 İş sürekliliği için BİT (Bilgi İletişim Teknolojileri) hazırlığı
  • A.7.4 Fiziksel güvenlik izleme
  • A.8.9 Yapılandırma yönetimi
  • A.8.10 Bilgi silme
  • A.8.11 Veri maskeleme
  • A.8.12 Veri sızıntısının önlenmesi
  • A.8.16 İzleme faaliyetleri
  • A.8.23 Web filtreleme
  • A.8.28 Güvenli kodlama

Fark edeceğiniz şey, bu yeni kontrollerden bazılarının 2013 revizyonundaki eski kontrollere çok benzediğidir; ancak bu kontroller ISO 27002:2022’de yeni olarak kategorize edilmiştir.

 

A.5.7 Tehdit istihbaratı

Tanım. Bu kontrol, uygun azaltma eylemlerini gerçekleştirmek için tehditler hakkında bilgi toplamanızı ve bunları analiz etmenizi gerektirir. Bu bilgiler belirli saldırılar, saldırganların kullandığı yöntemler ve teknolojiler ve/veya saldırı eğilimleri hakkında olabilir. Bu bilgileri hem dahili olarak hem de satıcı raporları, devlet kurumu duyuruları vb. gibi harici kaynaklardan toplamalısınız.

Teknoloji. Daha küçük şirketler muhtemelen bu kontrolle ilgili herhangi bir yeni teknolojiye ihtiyaç duymazlar; bunun yerine, tehdit bilgilerini mevcut sistemlerinden nasıl çıkaracaklarını bulmaları gerekecek. Halihazırda bir sisteme sahip değillerse, daha büyük şirketlerin kendilerini yeni tehditlere (ve güvenlik açıklarına ve olaylara) karşı uyaracak bir sistem edinmeleri gerekecektir. Her büyüklükteki şirket, sistemlerini güçlendirmek için tehdit bilgilerini kullanmak zorunda kalacak.

Organizasyon/süreçler. BT sistemlerinize önleyici kontroller getirmek, risk değerlendirmenizi iyileştirmek ve güvenlik testi için yeni yöntemler tanıtmak için tehdit bilgilerinin nasıl toplanacağına ve kullanılacağına ilişkin süreçleri belirlemelisiniz.

İnsanlar. Çalışanları tehdit bildirimleri göndermenin önemi konusunda bilinçlendirin ve bu tehditlerin nasıl ve kime iletileceği konusunda onları eğitin.

Belgeler. ISO 27001 tarafından herhangi bir belge gerekmemektedir; ancak, aşağıdaki belgelere tehdit istihbaratı ile ilgili kuralları dahil edebilirsiniz:

  • Tedarikçi Güvenlik Politikası – Tehditlerle ilgili bilgilerin şirket ile tedarikçileri ve ortakları arasında nasıl iletildiğini tanımlayın.
  • Olay Yönetimi Prosedürü – Tehditlerle ilgili bilgilerin şirket içinde nasıl iletildiğini tanımlayın.
  • Güvenlik İşletim Prosedürleri – Tehditlerle ilgili bilgilerin nasıl toplanacağını ve işleneceğini tanımlayın.

 

A.5.23 Bulut hizmetlerinin kullanımı için bilgi güvenliği

Tanım. Bu denetim, buluttaki bilgilerinizin daha iyi korunması için bulut hizmetleri için güvenlik gereksinimleri belirlemenizi gerektirir. Buna bulut hizmetlerinin satın alınması, kullanılması, yönetilmesi ve kullanımının sonlandırılması dahildir.

Teknoloji. Çoğu durumda, bulut hizmetlerinin çoğunluğu zaten güvenlik özelliklerine sahip olduğundan, yeni teknolojiye ihtiyaç duyulmaz. Bazı durumlarda hizmetinizi daha güvenli bir sürüme yükseltmeniz gerekebilirken, bazı nadir durumlarda güvenlik özellikleri yoksa bulut sağlayıcısını değiştirmeniz gerekebilir. Çoğunlukla, gereken tek değişiklik, mevcut bulut güvenlik özelliklerini daha kapsamlı bir şekilde kullanmak olacaktır.

Organizasyon/süreçler. Bulut hizmetleri için güvenlik gereksinimlerini belirlemek ve bir bulut sağlayıcı seçme kriterlerini belirlemek için bir süreç oluşturmalısınız; ayrıca, bulutun kabul edilebilir kullanımını belirlemek için bir süreç ve ayrıca bir bulut hizmetinin kullanımını iptal ederken güvenlik gereksinimlerini tanımlamanız gerekir.

İnsanlar. Çalışanları bulut hizmetlerini kullanmanın güvenlik risklerinden haberdar edin ve onları bulut hizmetlerinin güvenlik özelliklerini nasıl kullanacakları konusunda eğitin.

Belgeler. ISO 27001 tarafından herhangi bir belge gerekmemektedir; ancak daha küçük bir şirketseniz, bulut hizmetleriyle ilgili kuralları Tedarikçi Güvenlik Politikasına dahil edebilirsiniz. Daha büyük şirketler, özellikle bulut hizmetleri için güvenliğe odaklanacak ayrı bir politika geliştirebilir.

 

A5.30 İş sürekliliği için BİT (Bilgi İletişim Teknolojileri) hazırlığı

Tanım. Bu kontrol, bilgi ve iletişim teknolojinizin, gerekli bilgi ve varlıkların gerektiğinde kullanılabilir olması için olası kesintilere hazır olmasını gerektirir. Buna hazırlık planlama, uygulama, bakım ve test dahildir.

Teknoloji. Sistemlerinizin esnekliğini ve yedekliliğini sağlayan çözümlere yatırım yapmadıysanız, bu tür bir teknolojiyi tanıtmanız gerekebilir – bu, veri yedeklemeden yedekli iletişim bağlantılarına kadar değişebilir. Bu çözümlerin, risk değerlendirmenize ve verilerinizin ve sistemlerinizin kurtarılması için ne kadar hızlı ihtiyaç duyduğunuza göre planlanması gerekir.

Organizasyon/süreçler. Kurtarma için riskleri ve iş ihtiyaçlarını dikkate alması gereken planlama sürecinin yanı sıra, teknolojiniz için bakım sürecini ve felaket kurtarma ve/veya iş sürekliliği planlarınız için test sürecini de kurmalısınız.

İnsanlar. Çalışanları meydana gelebilecek olası aksaklıklardan haberdar edin ve bir kesintiye hazır olması için BT ve iletişim teknolojisinin nasıl sürdürüleceği konusunda onları eğitin.

Belgeler. ISO 27001 tarafından herhangi bir belge gerekmemektedir; ancak, daha küçük bir şirketseniz, aşağıdaki belgelere ICT hazır olma durumunu dahil edebilirsiniz:

  • Olağanüstü Durum Planı – hazırlık planlaması, uygulaması ve bakımı
  • İç Denetim Raporu – hazırlık testi

Daha büyük bir kuruluşsanız veya ISO 22301’i uyguladıysanız, İş Etki Analizi, İş Sürekliliği Stratejisi, İş Sürekliliği Planı ve İş Sürekliliği Test Planı ve Raporu aracılığıyla hazırlığı belgelemelisiniz.

 

A.7.4 Fiziksel güvenlik izleme

Tanım. Bu kontrol, yalnızca yetkili kişilerin bunlara erişmesini sağlamak için hassas alanları izlemenizi gerektirir. Bu, ofislerinizi, üretim tesislerinizi, depolarınızı ve diğer binalarınızı içerebilir.

Teknoloji. Risklerinize bağlı olarak alarm sistemleri veya video izleme uygulamanız gerekebilir; alanı gözlemleyen bir kişi (örneğin, bir koruma) gibi teknik olmayan bir çözüm uygulamaya da karar verebilirsiniz.

Organizasyon/süreçler. Hassas alanların izlenmesinden kimin sorumlu olduğunu ve bir olayı bildirmek için hangi iletişim kanallarının kullanılacağını tanımlamanız gerekir.

İnsanlar. Çalışanları hassas alanlara yetkisiz fiziksel girişin risklerinden haberdar edin ve izleme teknolojisini nasıl kullanacaklarını eğitin.

Belgeler. ISO 27001 tarafından herhangi bir belge gerekmemektedir; ancak, aşağıdaki belgelere fiziksel güvenlik izlemeyi dahil edebilirsiniz:

  • Fiziksel Güvenliği Düzenleyen Prosedürler – neyin izlendiği ve izlemeden kimin sorumlu olduğu
  • Olay Yönetim Prosedürü – fiziksel bir güvenlik olayının nasıl raporlanacağı ve ele alınacağı

 

A.8.9 Konfigürasyon yönetimi

Tanım. Bu kontrol, uygun bir güvenlik düzeyi sağlamak ve herhangi bir yetkisiz değişiklikten kaçınmak için teknolojiniz için tüm güvenlik yapılandırması döngüsünü yönetmenizi gerektirir. Buna yapılandırma tanımı, uygulama, izleme ve inceleme dahildir.

Teknoloji. Yapılandırmasının yönetilmesi gereken teknoloji, yazılım, donanım, hizmetler veya ağları içerebilir. Daha küçük şirketler muhtemelen herhangi bir ek araç olmadan konfigürasyon yönetimini gerçekleştirebilecekken, daha büyük şirketler muhtemelen tanımlanmış konfigürasyonları zorlayan bazı yazılımlara ihtiyaç duyacaktır.

Organizasyon/süreçler. Güvenlik yapılandırmalarını önermek, gözden geçirmek ve onaylamak için bir süreç ve ayrıca yapılandırmaları yönetme ve izleme süreçleri oluşturmalısınız.

İnsanlar. Çalışanları, güvenlik yapılandırmasının neden sıkı denetiminin gerekli olduğu konusunda bilgilendirin ve onları güvenlik yapılandırmalarının nasıl tanımlanıp uygulanacağı konusunda eğitin.

Belgeler. ISO 27001, bu kontrolün belgelenmesini gerektirir. Küçük bir şirketseniz, yapılandırma kurallarını Güvenlik İşletim Prosedürlerinizde belgeleyebilirsiniz. Daha büyük şirketler genellikle yapılandırma sürecini tanımlayan ayrı bir prosedüre sahip olacaktır.

Önceki paragrafta bahsedilen belgelerin sık sık güncellenmesini önlemek için, genellikle sistemlerinizin her biri için güvenlik yapılandırmalarını tanımlayan ayrı özelliklere sahip olursunuz. Ayrıca, bir denetim izini etkinleştirmek için yapılandırmalardaki tüm değişikliklerin günlüğe kaydedilmesi gerekir.

 

A.8.10 Bilgi silme

Tanım. Bu kontrol, hassas bilgilerin sızmasını önlemek ve gizlilik ve diğer gereksinimlerle uyumluluğu sağlamak için artık gerekmediğinde verileri silmenizi gerektirir. Bu, BT sistemlerinizdeki, çıkarılabilir medyadaki veya bulut hizmetlerindeki silmeyi içerebilir.

Teknoloji. Yasal veya sözleşme gereksinimlerine göre veya risk değerlendirmenize uygun olarak güvenli silme için araçlar kullanıyor olmalısınız.

Organizasyon/süreçler. Hangi verilerin ne zaman silinmesi gerektiğini, silme sorumluluklarını ve yöntemlerini tanımlayacak bir süreç oluşturmalısınız.

İnsanlar. Çalışanları hassas bilgileri silmenin neden önemli olduğu konusunda bilgilendirin ve onları bunu nasıl düzgün yapacakları konusunda eğitin.

Belgeler. ISO 27001 tarafından herhangi bir belge gerekmemektedir; ancak, aşağıdaki belgelere bilgi silmeyle ilgili kuralları dahil edebilirsiniz:

  • İmha ve İmha Politikası – çıkarılabilir medyadaki bilgilerin nasıl silindiği
  • Kabul Edilebilir Kullanım Politikası – normal kullanıcıların bilgisayarlarındaki ve mobil cihazlarındaki hassas bilgileri nasıl silmeleri gerektiği
  • Güvenlik İşletim Prosedürleri – sistem yöneticilerinin sunucular ve ağlardaki hassas bilgileri nasıl silmeleri gerektiği

Daha büyük kuruluşlar, her tür bilginin ne kadar süreyle ve ne zaman silinmesi gerektiğini tanımlayan bir Veri Saklama Politikasına da sahip olabilir.

 

A.8.11 Veri maskeleme

Tanım. Bu kontrol, hassas bilgilerin açığa çıkmasını sınırlamak için erişim kontrolü ile birlikte veri maskelemeyi kullanmanızı gerektirir. Bu, öncelikle kişisel veriler anlamına gelir, çünkü bunlar gizlilik düzenlemeleri tarafından yoğun bir şekilde düzenlenir, ancak diğer hassas veri kategorilerini de içerebilir.

Teknoloji. Şirketler, gizlilik veya diğer düzenlemelerin gerektirdiği durumlarda verileri maskelemek için takma ad veya anonimleştirme araçları kullanabilir. Şifreleme veya gizleme gibi diğer yöntemler de kullanılabilir.

Organizasyon/süreçler. Hangi verilerin maskelenmesi gerektiğini, hangi tür verilere kimlerin erişebileceğini ve verileri maskelemek için hangi yöntemlerin kullanılacağını belirleyecek süreçler kurmalısınız.

İnsanlar. Çalışanları verilerin maskelenmesinin neden önemli olduğu konusunda bilinçlendirin ve onları hangi verilerin nasıl ve nasıl maskelenmesi gerektiği konusunda eğitin.

Belgeler. ISO 27001 tarafından herhangi bir belge gerekmemektedir; ancak, aşağıdaki belgelere veri maskeleme kurallarını dahil edebilirsiniz:

  • Bilgi Sınıflandırma Politikası – hangi verilerin hassas olduğunu ve hangi veri kategorilerinin maskelenmesi gerektiğini belirleyin
  • Erişim Kontrol Politikası – ne tür maskeli veya maskesiz verilere kimin erişebileceğini tanımlar
  • Güvenli Geliştirme Politikası – verileri maskeleme teknolojisini tanımlar

Daha büyük şirketler veya Avrupa Birliği Genel Veri Koruma Yönetmeliği (AB GDPR) ve benzer gizlilik düzenlemeleriyle uyumlu olması gereken şirketler de aşağıdaki belgelere sahip olmalıdır:

  • Gizlilik Politikası / Kişisel Verilerin Korunması Politikası – veri maskeleme için genel sorumluluklar
  • Anonimleştirme ve Takma Adlandırma Politikası – bir gizlilik yönetmeliği bağlamında veri maskelemenin nasıl uygulandığına ilişkin ayrıntılar

 

A.8.12 Veri sızıntısının önlenmesi

Tanım. Bu kontrol, hassas bilgilerin yetkisiz ifşasını önlemek için çeşitli veri sızıntısı önlemleri uygulamanızı ve bu tür olaylar olursa bunları zamanında tespit etmenizi gerektirir. Bu, BT sistemlerindeki, ağlardaki veya herhangi bir cihazdaki bilgileri içerir.

Teknoloji. Bu amaçla, e-postalar, çıkarılabilir depolama cihazları, mobil cihazlar vb. dahil olmak üzere olası sızıntı kanallarını ve bilgilerin sızmasını önleyen sistemleri (ör. çıkarılabilir depolamaya indirmeyi devre dışı bırakma, e-posta karantinası, kopyalama ve yapıştırmayı kısıtlama) izlemek için sistemleri kullanabilirsiniz. verilerin harici sistemlere yüklenmesini kısıtlama, şifreleme vb.

Organizasyon/süreçler. Verilerin hassasiyetini belirleyen, çeşitli teknolojilerin risklerini değerlendiren (ör. bir akıllı telefonla hassas bilgilerin fotoğrafını çekme riskleri), veri sızıntısı potansiyeli olan kanalları izleyen ve engellemek için hangi teknolojinin kullanılacağını tanımlayan süreçler oluşturmalısınız. hassas verilerin açığa çıkması.

İnsanlar. Çalışanları şirkette ne tür hassas verilerin işlendiği ve sızıntıları önlemenin neden önemli olduğu konusunda bilinçlendirin ve hassas verileri işlerken nelere izin verildiği ve nelere izin verilmediği konusunda onları eğitin.

Belgeler. ISO 27001 tarafından herhangi bir belge gerekmemektedir; ancak, aşağıdaki belgelere veri sızıntısını önlemeye ilişkin kuralları dahil edebilirsiniz:

  • Bilgi Sınıflandırma Politikası – veriler ne kadar hassas olursa, o kadar fazla önleme uygulanması gerekir
  • Güvenlik İşletim Prosedürleri – yöneticiler tarafından izleme ve önleme için hangi sistemlerin kullanılması gerektiği
  • Kabul Edilebilir Kullanım Politikası – normal kullanıcılar için nelere izin verilir ve nelere izin verilmez

 

A.8.16 İzleme faaliyetleri

Tanım. Bu kontrol, olağandışı faaliyetleri tanımak ve gerekirse uygun olay yanıtını etkinleştirmek için sistemlerinizi izlemenizi gerektirir. Bu, BT sistemlerinizin, ağlarınızın ve uygulamalarınızın izlenmesini içerir.

Teknoloji. Ağlarınız, sistemleriniz ve uygulamalarınız için aşağıdakileri izleyebilirsiniz: güvenlik aracı günlükleri, olay günlükleri, kimin neye eriştiği, ana yöneticilerinizin faaliyetleri, gelen ve giden trafik, kodun düzgün yürütülmesi ve sistem kaynaklarının nasıl olduğu. performans sergiliyor.

Organizasyon/süreçler. Hangi sistemlerin izleneceğini tanımlayan bir süreç oluşturmalısınız; izleme sorumluluklarının nasıl belirlendiği; ve izleme yöntemleri, olağandışı faaliyetler için bir temel oluşturma ve olay ve olayları raporlama.

İnsanlar. Çalışanları faaliyetlerinin izleneceği konusunda bilinçlendirin ve neyin normal davranış olarak kabul edilip neyin kabul edilmediğini açıklayın. BT yöneticilerini izleme araçlarını kullanma konusunda eğitin.

Belgeler. ISO 27001 tarafından herhangi bir belge gerekmemektedir; ancak, daha küçük bir şirketseniz, Güvenlik İşletim Prosedürlerine izleme ile ilgili kuralları dahil edebilirsiniz. Daha büyük şirketler, sistemlerini nasıl izleyeceklerini açıklayan ayrı bir prosedür geliştirebilir.

Bunun da ötesinde, izleme faaliyetlerinin kayıtlarının tutulması faydalı olacaktır.

 

A.8.23 Web filtreleme

Tanım. Bu kontrol, BT sistemlerinizi korumak için kullanıcılarınızın hangi web sitelerine eriştiğini yönetmenizi gerektirir. Bu şekilde, sistemlerinizin kötü niyetli kodlar tarafından ele geçirilmesini önleyebilir ve ayrıca kullanıcıların internetten yasa dışı materyalleri kullanmasını önleyebilirsiniz.

Teknoloji. Kötü amaçlı yazılımdan koruma yazılımının kullanımını içerebilecek belirli IP adreslerine erişimi engelleyen araçlar kullanabilirsiniz. Yasak web sitelerinin bir listesini oluşturmak ve kullanıcılardan bu siteleri ziyaret etmemelerini istemek gibi teknoloji dışı yöntemler de kullanabilirsiniz.

Organizasyon/süreçler. Hangi tür web sitelerine izin verilmediğini ve web filtreleme araçlarının nasıl korunacağını belirleyen süreçler oluşturmalısınız.

İnsanlar. Çalışanlarınızı İnternet’i kullanmanın tehlikeleri ve güvenli kullanım kılavuzlarını nerede bulabilecekleri konusunda bilgilendirin ve sistem yöneticilerinizi web filtrelemenin nasıl gerçekleştirileceği konusunda eğitin.

Belgeler. ISO 27001 tarafından herhangi bir belge gerekmemektedir; ancak daha küçük bir şirketseniz, aşağıdaki belgelere web filtrelemeyle ilgili kuralları dahil edebilirsiniz:

  • Güvenlik İşletim Prosedürleri – Web filtrelemenin nasıl uygulanacağı konusunda sistem yöneticileri için kurallar tanımlayın.
  • Kabul Edilebilir Kullanım Politikası – İnternetin kabul edilebilir kullanımının ne olduğu konusunda tüm kullanıcılar için kurallar tanımlayın.

Daha büyük şirketler, web filtrelemenin nasıl yapıldığını açıklayan ayrı bir prosedür geliştirebilir.

 

A.8.28 Güvenli kodlama

Tanım. Bu kontrol, yazılımdaki güvenlik açıklarını azaltmak için güvenli kodlama ilkeleri oluşturmanızı ve bunları yazılım geliştirmenize uygulamanızı gerektirir. Bu, kodlama öncesi, sırası ve sonrasındaki etkinlikleri içerebilir.

Teknoloji. Kitaplıkların envanterini tutmak, kaynak kodu kurcalamaya karşı korumak, hataları ve saldırıları günlüğe kaydetmek ve test etmek için araçlar kullanıyor olabilirsiniz; kimlik doğrulama, şifreleme vb. gibi güvenlik bileşenlerini de kullanabilirsiniz.

Organizasyon/süreçler. Hem dahili yazılım geliştirme hem de üçüncü tarafların yazılım bileşenleri için minimum güvenli kodlama temel çizgisini tanımlamak için bir süreç, ortaya çıkan tehditleri izlemek için bir süreç ve güvenli kodlama konusunda tavsiyeler, hangi harici araçların ve kitaplıkların yapabileceğine karar vermek için bir süreç oluşturmalısınız. kodlamadan önce, kodlama sırasında, kodlamadan sonra (inceleme ve bakım) ve yazılım değişikliği için yapılan faaliyetleri tanımlayan bir süreçtir.

İnsanlar. Yazılım geliştiricilerinizi güvenli kodlama ilkelerini kullanmanın önemi konusunda bilinçlendirin ve onları güvenli kodlama yöntemleri ve araçları konusunda eğitin.

Belgeler. ISO 27001 tarafından herhangi bir belge gerekmemektedir; ancak daha küçük bir şirketseniz, Güvenli Geliştirme Politikası’na güvenli kodlamayla ilgili kuralları dahil edebilirsiniz. Daha büyük şirketler, yazılım geliştirme projelerinin her biri için güvenli kodlama için ayrı prosedürler geliştirebilir.