ISO 27001 standardını yürüten bir çalışansanız, muhtemelen bu standardın 2022 sürümünde yapılan değişiklikler konusunda hangi uygulamaların gerekip gerekmeyeceğini merak ediyorsunuzdur. O halde bu makale tam size göre, soruların cevabı ve güvenliğin cevap anahtarı olacaktır.
ISO 27002’ye eklenen Yeni Kontrolleri Tanıyalım
- 5.07 — Tehdit İstihbaratı
- 5.23 — Bulut kullanımı için bilgi güvenliği
- 5.30 — İş sürekliliği için BİT hazırlığı
- 7.04 — Fiziksel güvenlik izleme
- 8.09 — Yapılandırma Yönetimi
- 8.10 — Veri Silme (İmha)
- 8.11 — Veri Maskeleme
- 8.12 — Veri Sızıntısını Önleme
- 8.16 — İzleme Faaliyetleri
- 8.23 — Web Filtreleme
- 8.28 — Güvenli Kodlama
Fark ettiğiniz üzere hedeflediğimiz yeni kontrollerin bir kısmı 2013 revizyonundaki eski kontrollere benzer içerikler barındırıyor, ancak bu kontrolleri ayrı birer madde olarak adlandırdığı ve yeni kontrol olarak eklendiği için her birini ayrı olarak ele almamız gerekiyor.
A.5.07 Tehdit İstihbaratı
Açıklama: Bu kontrol, tehditler hakkında bilgi toplamanızı ve bunları analiz ederek ilgili tehditleri en uygun şekilde azaltmayı / hafifletme eylemlerini gerçekleştirmenizi ister. Toplanan bu bilgiler belirli saldırılar, saldırganların kullandıkları amaçlar ve teknolojiler ve/veya saldırı yolları hakkında olabilir. İlgili bu bilgiler sosyal ağlardan, devlet kurum duyurularından, tehdit istihbaratı sağlayan firmalardan ve diğer harici ortamdan toplamalısınız.
Teknoloji: Küçük kısıtlamalar muhtemelen bu kontrolle ilgili herhangi bir yeni teknolojiye ihtiyaç duymayanlar, bunun yerine, mevcut olan tehdit bilgilerinin nasıl edineceklerini bulmaları gerekmektedir. Halihazırda bir sisteme sahip değillerse, daha büyük koruyucular bu konudaki kişilerin yeni tehditlere (ve güvenlik açıklarına / idama karşı uyaracak bir sistem içindekileri yükü.
Organizasyon / Süreçler: BT sistemlerinize koruma kontrollerini getirmek, risk değerlendirmenizi düzenlemek ve güvenlik uygulamasını sağlamak için yeni yönlendirmeyi teşvik etmek amacıyla tehdit bilgilerinin nasıl toplanacağına ve üzerine alınmasına ilişkin işlemleri belirlemelisiniz.
İnsanlar: Çalışanlarınızı tehdit bildirimleri göndermenin önemi konusunda bilinçlendirmeli ve bu tehditlerin nasıl ve kime iletileceği konusunda onları eğitmelisiniz.
Belgeler: ISO 27001 tarafından herhangi bir belge gerekmemektedir; ancak, eğer sizde mevcutsa aşağıdaki belgelerinize tehdit istihbaratı ile ilgili kurallar dahil edilebilir:
- Tedarikçi Güvenlik Politikası — Tehditlerle ilgili bilgiler kurum ile paylaşımları arasında nasıl iletildiğini tanımlayın.
- Olay Yönetimi gizliliği — Tehditlerle ilgili bilgiler şirket içinde nasıl iletildiğini tanımlayın.
- Güvenlik İşletim cezaları — Tehditlerle ilgili bilgiler nasıl toplanacağını ve işletileceğini tanımlayın.
A.5.23 Bulut Hizmetlerinin Kullanımı için Bilgi Güvenliği
Açıklama: Bu kontrol, buluttaki bilgilerin daha iyi korunması için bulut hizmetlerinde güvenlik gereksinimleri belirlemenizi gerektirir. Buna bulut kullanımının satın alınması, kullanılması, kullanılması ve kullanılmasının dahil edilmesi.
Teknoloji : Çoğu durumda, bulut hizmetlerini zaten güvenlik özelliklerine sahip olduğundan, yeni bir teknolojiye ihtiyaç duyulmaz. Bazı bölümlerinizin hizmetini daha güvenli bir sürüme yükseltmeniz gerekirken, bazı nadir bölümlerin güvenlik özellikleri yoksa bulut sağlayıcısını kullanması muhtemeldir. Oluşturulması gereken tek değişiklik, mevcut bulut güvenlik özelliklerini daha kapsamlı bir şekilde kullanmak / yaymak olacaktır.
Organizasyon / Süreçler: Bulut hizmetleri için güvenlik sınırlarını belirleyen ve bir bulut sağlayıcı seçme ölçütlerini belirlemek için bir süreç oluşturmalısınız. Ayrıca, bulutun kabul edilebilir sınırlandırılması için bir süreç ve buna ek olarak bir bulut hizmetinin görevlendirmesini iptal ederken güvenlik önlemlerini tanımlamanız gerekir.
İnsanlar: Çalışanları bulut hizmetlerini kullanmanın güvenlik risklerinden haberdar olun ve onları bulut işletimi güvenlik özelliklerini nasıl kullanmaları konusunda eğitin. Bu güvenlik açısından değerlendirin.
Belgeler: ISO 27001 tarafından herhangi bir belge gerekmemektedir. Ancak daha küçük bir şirketiniz varsa, bulut hizmetleriyle ilgili kurallar tedarikçisi Güvenlik Politikasına dahil edilebilir. Daha büyük yük / kuruluşlar, özellikle bulut hizmetleri için güvenliğe odaklanacak ayrı bir bulut güvenliği politikası geliştirebilir.
A.5.30 İş Sürekliliği için BİT hazırlığı
Açıklama: Bu kontrol, Bilgi ve İletişim Teknolojinizin (BİT), gerekli bilgi ve bakımın kullanılabilir olması için olası kesintilere hazırlanmasını gerektirir. Buna hazırlık planlama, uygulama, bakım testi dahildir.
Teknoloji: Sistemlerinizin muhafazasını ve yedekliliğini sağlayan çözümlere yatırım yapmazsanız, bu tür bir detay sitenize dahil edilebilir. Bu çözümlerin, risk değerlendirmenize ve büyümenin ve sistemlerinizin kurtarılması için ne kadar hızlı ihtiyaç noktasına göre planlanması gerekir.
Organizasyon / Süreçler: Kurtarma için riskleri ve iş beklentilerini alması gereken planlamayı gerçekleştirme yanı sıra, teknolojiniz için bakım işlemlerini ve felaketi kurtarma ve/veya iş sürekliliği planlarınız için testlerinizi de kurmalısınız.
İnsanlar: Çalışanları meydana geldiğinde olası uyarılardan haberdar edin ve bir kesintiye hazır olması için BT ve İletişim teknolojisinin nasıl sürdürüleceği konusunda onları eğitin.
Belgeler: ISO 27001 tarafından herhangi bir belge gerekmemektedir; Ancak, daha küçük bir şirketseniz, aşağıdaki belgelere BİT hazır olması dahil edilebilir:
- Felaket Kurtarma Planı — Hazırlıkları, uygulama ve bakımı
- İç Denetim Raporu — Hazırlık testi
Daha büyük bir kuruluşunuz veya ISO 22301 İş Sürekliliği Yönetim Sistemini uyguladıysanız, İş Etki Analizi, İş Sürekliliği Stratejisi, İş Sürekliliği Planı ve İş Sürekliliği Test (Tatbikat) Planı ve Raporu aracılığıyla bu hazırlığı belgelemelisiniz.
A.7.4 Fiziksel Güvenlik İzleme
Açıklama: Bu kontrol, yalnızca yetkili kişilerin dosyalarını korumalarını sağlamak için hassas alanları / koridorlarını izlemenizi gerektirir. Bu, ofislerinizi, üretim tesislerinizi, depolarınızı ve diğer binalarınızı gider.
Teknoloji : Risklerinize bağlı olarak alarm sistemleri veya video izleme uygulamanız olabilir; ilgili alanı / bölgeleri gözlemleyen bir nöbetçi çalışan gibi teknoloji dışı bir çözüm kullanımına da karar verebilirsiniz.
Organizasyon / Süreçler: Hassas yönetim sistemlerinden kimin / kimlerin sorumlu olduğunu ve bir olayı anlatmak için hangi iletişim kanallarının yönlendirmesini tanımlamanız gerekir.
İnsanlar: Çalışanları hassas alanlar yöneticileriz fiziksel girişin risklerinden haberdar edin ve izleme bilgisayarını nasıl kullanacaklarını eğitin.
Belgeler: ISO 27001 tarafından herhangi bir belge gerekmemektedir; ancak, aşağıdaki belgelere fiziksel güvenlik izlemeyi dahil edebilirsiniz:
- Bilgisayar Güvenliği Düzenleyen Gizlilikler — Neyin izlendiği ve izlenmesinden kimin sorumlu olduğu
- Olay yönetim mahalli — Fiziksel bir güvenlik olayının nasıl raporlanacağı ve ele alınacağı
A.8.9 Yapılandırma Yönetimi
Açıklama: Bu kontrol, uygun bir güvenlik düzeyini sağlamak ve herhangi bir yetkisiz değişiklikten kullanmak adına teknolojiniz için tüm güvenlik korumalarını korumanızı yönetmenizi gerektirir. Buna ilişkin tanım, uygulama, izleme ve inceleme dahildir.
Teknoloji: Konfigürasyon bilgisayarları için gerekli olan teknoloji, yazılım, donanım, hizmetler veya ağları barındırır. Daha küçük bagajlar muhtemelen herhangi bir ek araç olmadan konfigürasyon yönetimini gerçekleştirebilecekken, daha büyük kısıtlamalar muhtemelen tanımlanmış konfigürasyonları zorlayan bazı yazılımlara / yönetim araçlarına ihtiyaç duyacaktır.
Organizasyon / Süreçler: Güvenlik korumalarını düşünmek, gözden geçirmek ve onaylamak için bir süreci ve ayrıca yapılandırmaları yönetmeyi ve izlemeyi oluşturmalısınız.
İnsanlar: Çalışanları, güvenlik korumalarının neden sıkı denetiminin gerekli olduğu konusunda Bilgilendirin ve onları güvenlik ortamlarının nasıl tanımlanıp uygulanacağı konusunda eğitin.
Belgeler: ISO 27001, bu kontrolün belgelenmesini gerektirir. Küçük bir şirketiniz varsa, sınırları çizme Güvenlik İşletim suçlarınızda belgeleyebilirsiniz. Daha büyük verilerin genellikle götürülmesi işlemleri ayrı bir işletime sahip olacaktır.
Önceki paragrafları çerçevelemek için sık sık güncelleme yapılmasını önlemek için, genellikle sistemlerinizin her biri için güvenlik düzenlemelerini ayrı ayrı düzenlemeye sahip olursunuz. Ayrıca, bir denetim iznini kullanmak için ortamlardaki tüm kurallara günlere kaydedilmesi gerekir.
A.8.10 Bilgi Silme
Açıklama: Bu kontrol, hassas bilgilerin sızmasını önleme, gizlilik ve diğer amaçlarla uyumluluğu sağlamak için artık gerekmediğinde verilerin silinmesini gerektirir. Bu, BT sistemlerinizdeki, tüketen medyadaki veya bulut hizmetlerindeki silmeyi istiyor.
Teknoloji: Yasal veya sözleşme şartlarına göre veya risk değerlendirmenize uygun olarak güvenli silme için araçlar mutlaka kullanılır.
Organizasyon / Süreçler: Hangi verilerin ne zaman silinmesi gerektiğini, silme yükümlülüklerini ve tanımlayacak bir süreç oluşturmalısınız.
İnsanlar: Çalışanları hassas bilgileri silmenin neden önemli olduğu konusunda Bilgilendirin ve onları nasıl düzgün yapacakları konusunda eğitin.
Belgeler: ISO 27001 tarafından herhangi bir belge gerekmemektedir; ancak aşağıdaki belgelere bilgi silmeyle ilgili kurallar dahil edilebilir:
- İmha ve İmha Politikası — BT sistemlerimdeki, denetleyici medyadaki ve bulut hizmetlerindeki veriler nasıl silindiği
- Kabul Edilebilir Kullanım Politikası — Normal kullanıcıların bilgisayarlarındaki ve mobil cihazlarındaki hassas bilgileri nasıl silmeleri gerekir
- Güvenlik İşletim korumaları — Sistem denetimlerinin sunucular ve ağlardaki hassas bilgilerin nasıl silinmesi gerekir
Daha büyük kuruluşlar, her tür muhafaza ne kadar muhafaza ve ne zaman silinmesi gerektiğini bir Veri Saklama Politikasına da sahip olabilir.
A.8.11 Veri Maskeleme
Açıklama: Bu kontrol, hassas dosyaları açıklama kısıtlamaları için erişim kontrolü ile birlikte veri maskelemeyi kullanmayı gerektirir. Bu, öncelikle kişisel değerlendirme anlamı gelir, çünkü bu gizlilik düzenlemeleri tarafından yoğun bir şekilde oluşturulmuş, ancak diğer hassas, gizlilik dereceli veri kategorilerini de barındırmaktadır.
Teknoloji: Kurum ve kuruluşlar, gizlilik veya diğer düzenlemelerin verilerini gizlemek için takma ad veya anonimleştirme araçlarını kullanır. Şifreleme veya gizleme gibi diğer kullanım de Kullanılabilir.
Organizasyon / Süreçler: Hangi verilerin maskelenmesi gerektiğini, hangi türlerin erişebileceği kimlerin erişebileceğini ve verileri maskelemek için hangi yöntemlerin yönlendirileceğini belirleyecek olanları kurmalısınız.
İnsanlar: Çalışanların verilerinin maskelenmesinin neden önemli olduğu konusunda bilinçlendirin ve onları hangi verilerin nasıl maskelenmesi gerektiği konusunda eğitin.
Belgeler: ISO 27001 tarafından herhangi bir belge gerekmemektedir; Ancak, aşağıdaki belgelere veri maskeleme dahil edilebilir:
- Bilgi Sınıflandırma Politikası — Hangi verilerin hassas olduğunu ve hangi veri kategorilerinin maskelenmesi gerektiğini belirler
- Erişim Kontrol Politikası — Ne tür maskeli veya maskesiz denetleyici kimin erişebileceğini ayrıntıları
- Güvenli Geliştirme Politikası — Verileri maskeleme bilgisayar bileşenleri
Daha büyük veriler veya Avrupa Birliği Genel Veri Koruma Yönetmeliği (AB GDPR) ve benzer gizlilik düzenlemeleriyle uyumlu olması gerekenler de aşağıdaki belgelere sahip olmalıdır:
- Gizlilik Politikası / Kişisel Verilerin Korunması Politikası — Veri maskeleme için genel sorumluluklar
- Anonimleştirme ve Takma Adlandırma Politikası — Bir gizlilik yönetmeliği koruma verisi maskelemenin nasıl davranmana ilişkin ayrıntılar
A.8.12 Veri Sızıntısının Önlenmesi
Açıklama: Bu kontrol, hassas bilgilerin denetimiz ifşasını önlemek için çeşitli veri sızıntısı önlemleri uygulamanızı ve bu tür oluşumlar durumunda bunların sürekli olarak tespit edilmesini gerektirir. Bu, BT kullanımları, ağlardaki veya herhangi bir cihazdaki bilgileri içerir.
Teknoloji: Bu amaç, e-postalar, denetleyici depolama aygıtları, ağlar, mobil aygıtlar vb. dahil olmak üzere olası yayılma kanallarını ve bilgi taramalarını izlemek ve/veya gizlemek için amaçlı olarak hazırlanmış ( örneğin, depolama birimine yüklemeyi devre dışı bırakma, e-posta karantinası, kopyalama ve yapıştırmayı muhafazası, şifreleme vb.) sistemleri ve korumaları kullanabilirsiniz.
Organizasyon / Süreçler: Verilerin hassaslığını yürütme, teknoloji çeşitlin risklerini değerlendiren (ör.
İnsanlar: Çalışanları şirkette ne tür hassas verilerin işlendiği ve örnekleri önlemenin neden önemli olduğu konusunda bilinçlendirin ve hassas veriler işlerken nelere izin verildiği ve nelere izin verilmediği konusunda onları eğitin.
Belgeler: ISO 27001 tarafından herhangi bir belge gerekmemektedir; ancak, aşağıdaki belgelere veri korumasını kapsayan kurallar dahil edilebilir:
- Bilgi Sınıflandırma Politikası — Veriler ne kadar hassas olursa, o kadar fazla koruma altına alınması gerekir
- Güvenlik İşletim Yasaları — Yöneticiler tarafından izleme ve önleme için hangi sistemlerin kullanılması gerektiği
- Kabul Edilebilir Kullanım Politikası — Normal kullanıcılar için nelere izin verilir ve ne izin verilmez
A.8.16 İzleme Faaliyetleri
Açıklama: Bu kontrol, olağandışı işlemleri kaydetme ve gerekirse uygun olay yanıtını kullanmak için sistemlerinizi izlemenizi gerektirir. Bu, BT sistemlerinizin, ağlarınızın ve uygulamalarınızın parçalarını içerir.
Teknoloji: Ağlarınız, sistemleriniz ve uygulamalarınız için bunları izleyin: güvenlik aracı günlükleri, olay günlükleri, kimin ne eriştiği, ana verilerinizin verileri, gelen ve giden trafik, kodun düzgün görünümü ve sistem performansının nasıl olduğu.
Organizasyon / Süreçler: Hangi sistemlerin izleneceğini bir süreç oluşturmalısınız; izleme yükümlülüklerinin nasıl belirlendiği; ve izleme yöntemleri, olağandışı amaçlar için bir temel oluşturma, etkinlik (events) ve olayları anlatıyor.
İnsanlar: Çalışanların yükünün izleneceği konusunda bilinçlendirin ve bunların normal davranışlar olarak kabul edilmelerini kabul edilmediğini açıklayın. BT yöneticilerini izleme araçlarını kullanma konusunda eğitin.
Belgeler: ISO 27001 tarafından herhangi bir belge gerekmemektedir; Ancak, daha küçük bir şirketseniz, Güvenlik İşletim ihlallerine izleme ile ilgili kurallar dahil olabilir. Daha büyük yükleri, sistemlerini nasıl izleyeceklerini ayrı bir işletim geliştirebilir.
Bunun da devam etmesi, izleme kayıtlarının tutulması faydalı olacaktır.
A.8.23 Web Filtreleme
Açıklama: Bu kontrol, BT sistemlerinizi korumak için kullanıcılarınızın hangi web sitelerine eriştiğini yönetmenizi gerektirir. Bu şekilde, sistemlerinizin kötü amaçlı kodlar tarafından ele geçirilmesini önleyebilir ve ayrıca kullanıcıların internetten yasa dışı malzemelerini kullanmasını önleyebilirsiniz.
Teknoloji: Kötü amaçlı yazılımdan koruma yazılımının görüntüleyebileceği belirli IP adreslerine erişme araçlarını kullanabilirsiniz. Yasak web sitelerinin bir listesini oluşturmak ve kullanıcılardan bu siteleri ziyaret etmemelerini istemek gibi teknoloji dışı amaçla de kullanabilirsiniz.
Organizasyon / Süreçler: Hangi tür web sitelerine izin verilmediğini ve web işletim araçlarının nasıl korunacağını gözden geçirmelisiniz.
İnsanlar: Çalışanlarınızı İnternet’i kullanmanın tehlikeleri ve güvenli kullanım kılavuzlarını nerede bulabilecekleri konusunda Bilgilendirme ve sistem denetimlerinizi web yürütmenin nasıl gerçekleştirileceği konusunda eğitin.
Belgeler: ISO 27001 tarafından herhangi bir belge gerekmemektedir; Ancak daha küçük bir şirketiniz varsa, aşağıdaki belgelere web iletimiyle ilgili kuralları dahil edebilirsiniz:
- Güvenlik İşletim hükümleri — Web yayılmasının nasıl uygulanacağı konusunda sistem yönetimi için kuralları tanımlayın.
- Kabul Edilebilir Kullanım Politikası — İnternetin kabul edilebilir olması ne olduğu konusunda tüm kullanıcılar için kuralları tanımlayın.
Daha büyük yüklerin, web dağıtımının nasıl yükleme yüklemesi ayrı bir yürütme geliştirebilir.
A.8.28 Güvenli Kodlama
Açıklama: Bu kontrol, yazılımdaki güvenlik açıklarını önleme için güvenli yerleşim noktaları oluşturmanızı ve bunların yazılım geliştirmenize uygulamanızı gerektirir. Bu, tırmanma öncesi, tırmanma esnası ve kaçış sonrasındaki topluluklardan uzaklaşıyor.
Teknoloji: Kütüphanelerin envanterini Tutma, kaynak kodu kurcalamaya karşı koruma, hatalar ve saldırıları günlere gitmeye ve test etmek için araçları kullanıyor olabilirsiniz; kimlik doğrulama, şifreleme vb. gibi güvenlik önlemlerini de kullanabilirsiniz.
Organizasyon / Süreçler: Hem dahili yazılım geliştirme hem de üçüncü sınır yazılım muhafazaları için minimum güvenli temel çizgisini sürdürmek için bir süreç, ortaya çıkan tehditleri izlemek için bir süreç ve güvenli sınırlama konusunda tavsiyeler, hangi harici cihazların ve kütüphanelerin kullanılabileceğine karar vermek için bir süreç oluşturmanız gerekir. Kurulumdan önce, kiralama sırasında, kurulumdan sonra (inceleme ve bakım) ve yazılım geliştirme için yapılan yapılandırma maliyetlerinin tüketilmesi bir yerlerden.
İnsanlar: Yazılım geliştiricilerinizi güvenli yerleşim merkezlerini kullanmanın önemi konusunda bilinçlendirin ve onları güvenli yerleşim yöntemleri ve araçları konusunda eğitin.
Belgeler: ISO 27001 tarafından herhangi bir belge gerekmemektedir; ancak daha küçük bir şirketiniz varsa, Güvenli Geliştirme Politikası’na güvenli yerleşimle ilgili kurallar dahil. Daha büyük depolama, yazılım geliştirme projelerinin her biri için güvenli yerleşim için ayrı işlemler geliştirebilir.
Sonuç olarak ISO 27001, evet 2022 yılında yenilendi ve yeni bir standart. Ancak yalnız değilsiniz. CertBy firması bilgi güvenliği alanında en doğru adımları atmanıza yardımcı olacak top 5 firmadan birisidir.
Unutmayın…Doğru araçla seçmek sizin elinizde. Certby ile siber güvenliğe devam…