ISO 27001:2005 ve ISO 27002:2005 Bilgi Güvenliği Yönetim Sistemi Standartlarının 2013 yılı başlarında yeni versiyonları draft olarak yayımlanmıştı. Bu yazıda ISO 27001 ve ISO 27002 standartlarında öngörülen değişikliklerin bir karşılaştırması yapılmıştır.
1. ISO 27001:2013 VS. ISO 27001:2005
Bilgi Güvenliği Yönetim Sistemi (BGYS-(in Eng. ISMS))’nin uluslararası standardı 2005 yılında ISO 27001:2005 olarak yayımlanmıştı. 2006 yılında ise Türk Standartları Enstitüsü tarafından Türkçe’ye çevrilmiş ve TS ISO/IEC 27001 olarak yayımlanmıştı.
1.1. ISO 27001:2013 ile ISO 27001:2005 Arasındaki temel farklar nelerdir?
Bu karşılaştırmaya geçmeden önce elimizdeki standardın taslak halde olduğu ve yapılacak katkılarla değişime açık olduğu unutulmamalıdır.
1.1.1. Yapıya Genel Bir Bakış
ISO 27001:2013, ISO22301:2012 ile gördüğümüz Annex SL ile uyumlu olacak. Annex SL tüm ISO standartlarına genel bir çerçeve yapısı oluşturuyor. Tüm yönetim sistemlerinde bulunması gereken temel bileşenlerin yanı sıra standarda özel başlıkların konulmasına olanak sağlayan bu çatı yapısı, birden fazla yönetim sistemine sahip kuruluşlar için hem yönetim anlamında hem de bu yönetim sistemlerinin denetimi anlamında kolaylık sağlayacaktır.
Bu yapı ile tüm standartlarda bulunacak temel başlıklar aşağıdaki gibi olacaktır:
Tablo 1
Ek olarak sadece ‘EK-A’ bulunduğu bununla birlikte eski standartta yer alan EK-B ve EK-C olmadığını görüyoruz. Tüm kontroller EK-A’ da yer almaktadır.
1.1.2. İlgili Taraflar
Yeni 27001 standardı BGYS ana girdileri tanımlamada önemli bir yer tutacak olan ilgili taraflarla alakalı olarak ‘4.2 ’ Maddesinde; “Tüm ilgili tarafların tanımlanması ve yasal/düzenleyici dâhil tüm gereksinimleri ile tanımlanmasını şart koşuluyor”.
1.1.3. Risk Değerlendirme ve İyileştirme
Uzun yıllar en iyi uygulama örneği olarak yerini koruyacak olan; varlık, açıklık, tehdit temelli risk değerlendirme yeni 27001 standardı ile yerini gizlilik, bütünlük ve erişilebilirlik temelli bir risk tanımlamaya bırakmış durumdadır.
Yeni standardın ilgili maddesi şu şekildedir;
Apply the information security risk assessment process to identify risks associated with the loss of confidentiality, integrity and availability for information within the scope of the ISMS (ISO 27001:2013, madde 6.1.2; d.1).Risk seviyesini belirlemek için olasılık ve etki bileşenleri ise yerini koruyor.
Not: Yeni standart risk işleme yönetiminin dokümante edilmesini şart koşmuyor. Bununla birlikte risk işleme sürecinin tanımlanması gerekiyor. Varlık sahibi kavramı ise yerine ‘risk sahibi’ tanımı ile değiştirilmiştir.
1.1.4. Düzeltici ve Önleyici Faaliyetler
İlk fazda önleyici faaliyetlerin olmadığını söylemek yanlış olmaz. Önleyici faaliyetler risk işleme ve iyileştirme adımlarına dağıtılmış durumdadır.
Düzeltici faaliyetler için ise, eski standarda kafa karışıklığına sebebiyet veren durum ortadan kaldırılmış olduğu görülüyor. Düzeltici faaliyetlerin bir uygunsuzluğa verilen ilk tepki ve bir uygunsuzluğun kök nedenlerini ortadan kaldırmak üzere ikiye ayrıldığını görüyoruz.
1.1.5. İletişim
Bilgi güvenliğinin sağlanması için gerekli olan iletişim konusu ile ilgili olarak yeni bir madde eklendiği görülüyor.
Bu madde uyarınca; kiminle, ne zaman, kim ve hakkında iletişime geçileceğinin tanımlanması sağlanıyor (Madde 7.4).
1.1.6. Dokümante Edilmiş Bilgi
Yeni standart ‘belgeler’ ve ‘kayıtlar’ kavramını birleştirerek ‘dokümante edilmiş bilgi’ kavramını getiriyor. Doküman kontrolü ile ilgili kuralların eski standarda göre değişmediği ve ‘belgeler’ ve ‘kayıtlar’ın her ikisi içinde geçerli olacağı görülüyor.
4.3.1 Maddesinin kaldırıldığı ve gerek duyulan merkezi bir doküman listesinin olmadığını görüyoruz.
Eski standartta yer alan doküman yönetimi, düzeltici faaliyet v.b zorunlu olarak olması gereken belgelerin olmadığı bununla birlikte bu süreçlerin yönetilmesi ve işletilmesi ile ilgili kayıtların tutulması zorunluluğu bulunuyor. Daha farklı ifade edilecek olunursa, düzeltici faaliyet dokümanı yazılı olarak olmasa bile bu sürecin işletilmesi ile ilgili kayıtların tutulması zorunludur.
1.1.7. Hedefler, İzleme ve Ölçme
Yeni standartta hedeflerin net olarak tanımlanması ve 9.1 maddesi uyarınca, ölçmenin kim tarafından, ne zaman yapılacağı, sonuçları kimin analiz edip değerlendirileceği belirtilmeli ve ek olarak kapsamlı planların hedeflere nasıl ulaşılacağını açıklayacak şekilde olması gerekiyor.
2. ISO 27001:2013 VS. ISO 27001:2005
ISO 27001 standardının EK-A’ sında yer alan kontroller ile ilgili yayımlanmış standart olan IS0 27002 standardı 2013 yılında yenilenerek taslak olarak yayımlandı. Şu an taslak halinde yayımlanan yeni ISO 27002 standardının ise 2013 yılının ikinci yarısında yayımlanması bekleniyor.
Yeni IS0 27002 standardıyla, ISO 27002:2005 standardını yapısal olarak karşılaştıracak olursak,
Kontrollerin Sayısı: Kontrollerin sayısının yeni standartta 133’ten 113’e düşürüldüğü görülüyor.
Bölümlerin Sayısı: Kontrollerin sayısında öngörülen azalmaya rağmen bölüm sayısının 11’den 14’e çıkarıldığı görülüyor.
2.1. ISO 27002:2013 Bölümlerin Yapısı
Yeni standarda göz atacak olursak, Kriptografi ayrı bir bölüm haline getirilmiştir (Bölüm 10). Kriptografi ile ilgili kısımların bilgi sistemleri edinimi, geliştirme ve bakımın bir parçası olmadığı biliniyor. Benzer bir değişiklik tedarikçi ilişkileri kısmında da mevcut. Haklı olarak tedarikçi ilişkileri de ayrı bir bölüm haline getirilmiştir (Bölüm 15). İletişim ve operasyon yönetimi ise iki bölüme ayrılmıştır: Operasyon güvenliği (Bölüm 12) ve iletişim güvenliği (Bölüm 13). Öngörülen yeni standart üzerinde yer alan temel başlıklar aşağıdaki gibidir:
Tablo 2
2.2. Güvenlik Kategorilerinin Yerleştirilmesi
14.2.1- Güvenlik gelişim politikası- Yazılım ve bilgi sistemleri geliştirme için kurallar
14.2.5- Sistem geliştirme prosedürleri- Sistem mühendisliği ilkeleri
14.2.6- Güvenli geliştirme ortamı- Geliştime ortamı oluşturulması ve korunması
14.2.8- Sistem güvenliği testi- Güvenlik fonksiyonları testleri
16.1.4- Bilgi güvenliği olayları değerlendirme ve karar verme- Olay yönetiminin bir parçası
17.2.1- Bilgi işleme olanaklarının erişilebilirliği- Yedekleme
2.4. Çıkartılan Kontroller
6.2.2- Müşterilerle ilgilenirken güvenliği ifade etme
10.4.2- Mobil koda karşı kontroller
10.7.3- Bilgi işleme prosedürleri
10.7.4- Sistem dokümantasyonu güvenliği
10.8.5- İş bilgi sistemleri
10.9.3- Herkese açık bilgi
11.4.2- Dış bağlantılar için kullanıcı kimlik doğrulama
11.4.3- Ağlarda teçhizat tanımlama
11.4.4- Uzak tanı ve yapılandırma portu koruma
11.4.6- Ağ bağlantı kontrolü
11.4.7- Ağ yönlendirme kontrolü
12.2.1- Giriş verisi geçerleme
12.2.2- İç işleme kontrolü
12.2.3- Mesaj bütünlüğü
12.2.4- Çıkış verisi geçerleme
11.5.5- Oturum zaman aşımı
11.5.6- Bağlantı süresinin sınırlandırılması
11.6.2- Hassas sistem yalıtımı
12.5.4- Bilgi sızması
14.1.2- İş sürekliliği ve risk değerlendirme
14.1.3- Bilgi güvenliğini içeren süreklilik planlarını geliştirme ve gerçekleştirme
14.1.4- İş sürekliliği planlama çerçevesi
15.1.5- Bilgi işleme olanaklarının kötüye kullanımını önleme
15.3.2- Bilgi sistemleri denetim araçlarının korunması
Sonuç
ISO 27001:2013'te öngörülen değişikliklerin temel olarak ilgili taraflar, risk değerlendirme ve iyileştirme, düzeltici ve önleyici faaliyetler, iletişim, dokümante edilmiş bilgi ve hedefler, izleme ve ölçme başlıkları ile ilgili olduğu görülmektedir.
ISO 27002 yapısı tamamen ISO 27001 kontrolleri ile uyumlu olduğundan tüm değişiklikler yeni ISO 27001 EK-A’sı içinde geçerlidir. İlk bakışta çok fazla bir değişiklik varmış gibi görülmektedir. Ama bunların çoğu temelden yapılan değişiklikler değildir. Değişikliklerin çoğu aslında mevcut ISO 27002’nin yanlış yapısının düzeltilmesi ve yeni kontrollerin eklenmesini içeriyor. Ağ güvenliği ve geliştirme sürecinde ise bazı değişiklikler mevcut. Bu alanlarda yeni standarda göre daha esnek bir tarif ve nasıl uygulama yapılacağı kısmında serbestlik öngörülüyor.
Sonuç olarak yeni standarda göre uygulama daha kolay olacak gibi görünmektedir.
1. ISO 27001:2013 VS. ISO 27001:2005
Bilgi Güvenliği Yönetim Sistemi (BGYS-(in Eng. ISMS))’nin uluslararası standardı 2005 yılında ISO 27001:2005 olarak yayımlanmıştı. 2006 yılında ise Türk Standartları Enstitüsü tarafından Türkçe’ye çevrilmiş ve TS ISO/IEC 27001 olarak yayımlanmıştı.
1.1. ISO 27001:2013 ile ISO 27001:2005 Arasındaki temel farklar nelerdir?
Bu karşılaştırmaya geçmeden önce elimizdeki standardın taslak halde olduğu ve yapılacak katkılarla değişime açık olduğu unutulmamalıdır.
1.1.1. Yapıya Genel Bir Bakış
ISO 27001:2013, ISO22301:2012 ile gördüğümüz Annex SL ile uyumlu olacak. Annex SL tüm ISO standartlarına genel bir çerçeve yapısı oluşturuyor. Tüm yönetim sistemlerinde bulunması gereken temel bileşenlerin yanı sıra standarda özel başlıkların konulmasına olanak sağlayan bu çatı yapısı, birden fazla yönetim sistemine sahip kuruluşlar için hem yönetim anlamında hem de bu yönetim sistemlerinin denetimi anlamında kolaylık sağlayacaktır.
Bu yapı ile tüm standartlarda bulunacak temel başlıklar aşağıdaki gibi olacaktır:
Tablo 1
Ek olarak sadece ‘EK-A’ bulunduğu bununla birlikte eski standartta yer alan EK-B ve EK-C olmadığını görüyoruz. Tüm kontroller EK-A’ da yer almaktadır.
1.1.2. İlgili Taraflar
Yeni 27001 standardı BGYS ana girdileri tanımlamada önemli bir yer tutacak olan ilgili taraflarla alakalı olarak ‘4.2 ’ Maddesinde; “Tüm ilgili tarafların tanımlanması ve yasal/düzenleyici dâhil tüm gereksinimleri ile tanımlanmasını şart koşuluyor”.
1.1.3. Risk Değerlendirme ve İyileştirme
Uzun yıllar en iyi uygulama örneği olarak yerini koruyacak olan; varlık, açıklık, tehdit temelli risk değerlendirme yeni 27001 standardı ile yerini gizlilik, bütünlük ve erişilebilirlik temelli bir risk tanımlamaya bırakmış durumdadır.
Yeni standardın ilgili maddesi şu şekildedir;
Apply the information security risk assessment process to identify risks associated with the loss of confidentiality, integrity and availability for information within the scope of the ISMS (ISO 27001:2013, madde 6.1.2; d.1).Risk seviyesini belirlemek için olasılık ve etki bileşenleri ise yerini koruyor.
Not: Yeni standart risk işleme yönetiminin dokümante edilmesini şart koşmuyor. Bununla birlikte risk işleme sürecinin tanımlanması gerekiyor. Varlık sahibi kavramı ise yerine ‘risk sahibi’ tanımı ile değiştirilmiştir.
1.1.4. Düzeltici ve Önleyici Faaliyetler
İlk fazda önleyici faaliyetlerin olmadığını söylemek yanlış olmaz. Önleyici faaliyetler risk işleme ve iyileştirme adımlarına dağıtılmış durumdadır.
Düzeltici faaliyetler için ise, eski standarda kafa karışıklığına sebebiyet veren durum ortadan kaldırılmış olduğu görülüyor. Düzeltici faaliyetlerin bir uygunsuzluğa verilen ilk tepki ve bir uygunsuzluğun kök nedenlerini ortadan kaldırmak üzere ikiye ayrıldığını görüyoruz.
1.1.5. İletişim
Bilgi güvenliğinin sağlanması için gerekli olan iletişim konusu ile ilgili olarak yeni bir madde eklendiği görülüyor.
Bu madde uyarınca; kiminle, ne zaman, kim ve hakkında iletişime geçileceğinin tanımlanması sağlanıyor (Madde 7.4).
1.1.6. Dokümante Edilmiş Bilgi
Yeni standart ‘belgeler’ ve ‘kayıtlar’ kavramını birleştirerek ‘dokümante edilmiş bilgi’ kavramını getiriyor. Doküman kontrolü ile ilgili kuralların eski standarda göre değişmediği ve ‘belgeler’ ve ‘kayıtlar’ın her ikisi içinde geçerli olacağı görülüyor.
4.3.1 Maddesinin kaldırıldığı ve gerek duyulan merkezi bir doküman listesinin olmadığını görüyoruz.
Eski standartta yer alan doküman yönetimi, düzeltici faaliyet v.b zorunlu olarak olması gereken belgelerin olmadığı bununla birlikte bu süreçlerin yönetilmesi ve işletilmesi ile ilgili kayıtların tutulması zorunluluğu bulunuyor. Daha farklı ifade edilecek olunursa, düzeltici faaliyet dokümanı yazılı olarak olmasa bile bu sürecin işletilmesi ile ilgili kayıtların tutulması zorunludur.
1.1.7. Hedefler, İzleme ve Ölçme
Yeni standartta hedeflerin net olarak tanımlanması ve 9.1 maddesi uyarınca, ölçmenin kim tarafından, ne zaman yapılacağı, sonuçları kimin analiz edip değerlendirileceği belirtilmeli ve ek olarak kapsamlı planların hedeflere nasıl ulaşılacağını açıklayacak şekilde olması gerekiyor.
2. ISO 27001:2013 VS. ISO 27001:2005
ISO 27001 standardının EK-A’ sında yer alan kontroller ile ilgili yayımlanmış standart olan IS0 27002 standardı 2013 yılında yenilenerek taslak olarak yayımlandı. Şu an taslak halinde yayımlanan yeni ISO 27002 standardının ise 2013 yılının ikinci yarısında yayımlanması bekleniyor.
Yeni IS0 27002 standardıyla, ISO 27002:2005 standardını yapısal olarak karşılaştıracak olursak,
Kontrollerin Sayısı: Kontrollerin sayısının yeni standartta 133’ten 113’e düşürüldüğü görülüyor.
Bölümlerin Sayısı: Kontrollerin sayısında öngörülen azalmaya rağmen bölüm sayısının 11’den 14’e çıkarıldığı görülüyor.
2.1. ISO 27002:2013 Bölümlerin Yapısı
Yeni standarda göz atacak olursak, Kriptografi ayrı bir bölüm haline getirilmiştir (Bölüm 10). Kriptografi ile ilgili kısımların bilgi sistemleri edinimi, geliştirme ve bakımın bir parçası olmadığı biliniyor. Benzer bir değişiklik tedarikçi ilişkileri kısmında da mevcut. Haklı olarak tedarikçi ilişkileri de ayrı bir bölüm haline getirilmiştir (Bölüm 15). İletişim ve operasyon yönetimi ise iki bölüme ayrılmıştır: Operasyon güvenliği (Bölüm 12) ve iletişim güvenliği (Bölüm 13). Öngörülen yeni standart üzerinde yer alan temel başlıklar aşağıdaki gibidir:
Tablo 2
2.2. Güvenlik Kategorilerinin Yerleştirilmesi
- Mobil cihazlar ve uzaktan çalışma daha önce erişim kontrolü bölümündeydi; şimdi ise bilgi güvenliği organizasyonunun (Bölüm 6) altında 6.2 inci kısım olarak yer almaktadır.
- Ortam işleme, daha önce iletişim ve operasyon yönetimi altındayken şimdi varlık yönetimi (Bölüm 8) altında 8.3 üncü kısım olarak yer almaktadır.
- İşletim sistemi erişim kontrolü ile uygulama ve bilgi erişim kontrolü sistem ve uygulama erişim kontrolü olarak birleştirilmiş ve erişim kontrolü (Bölüm 9) altında 9.4 üncü kısım olarak kalmıştır.
- Operasyonel yazılım kontrolü, daha önce bilgi sistemleri edinim, geliştirme ve bakımın altında tek bir kontrolken, şimdi 12.5 olarak operasyon güvenliği altında ayrı bir kısımdır.
- Bilgi sistemleri denetim hususları, uyum bölümünden operasyon güvenliği altına 12.7 inci kısım olarak aktarılmıştır.
- Bir güvenlik kategorisi olan yazılım erişim kontrolü kaldırılmış ve bazı kontrolleri iletişim güvenliğinin (Bölüm 13) altına taşınmıştır.
- Bilgi değişimi, iletişim güvenliğinin (Bölüm 13) altında 13.2 inci kısım olarak yer almıştır.
- Tartışmalı bir kategori olan uygulamalarda doğru işleme kaldırılmıştır. Önceki standartta ise bilgi sistemi edinim, geliştirme ve bakımın altında yer almaktadır.
- Elektronik ticaret hizmetleri, ayrı bir kategori olmaktan çıkartılarak, kontrolleri bilgi sistemi güvenlik gereksinimleri ile birleştirilmiştir (14.1).
- Bilgi güvenliği olay yönetimi altındaki 2 kategori birleştirilmiştir. İş sürekliliği bölümüne ise yeni bir kategori eklenerek (Yedekleme 17.2). Bu kategori temel olarak felaketten kurtarma ile ilgilidir.
14.2.1- Güvenlik gelişim politikası- Yazılım ve bilgi sistemleri geliştirme için kurallar
14.2.5- Sistem geliştirme prosedürleri- Sistem mühendisliği ilkeleri
14.2.6- Güvenli geliştirme ortamı- Geliştime ortamı oluşturulması ve korunması
14.2.8- Sistem güvenliği testi- Güvenlik fonksiyonları testleri
16.1.4- Bilgi güvenliği olayları değerlendirme ve karar verme- Olay yönetiminin bir parçası
17.2.1- Bilgi işleme olanaklarının erişilebilirliği- Yedekleme
2.4. Çıkartılan Kontroller
6.2.2- Müşterilerle ilgilenirken güvenliği ifade etme
10.4.2- Mobil koda karşı kontroller
10.7.3- Bilgi işleme prosedürleri
10.7.4- Sistem dokümantasyonu güvenliği
10.8.5- İş bilgi sistemleri
10.9.3- Herkese açık bilgi
11.4.2- Dış bağlantılar için kullanıcı kimlik doğrulama
11.4.3- Ağlarda teçhizat tanımlama
11.4.4- Uzak tanı ve yapılandırma portu koruma
11.4.6- Ağ bağlantı kontrolü
11.4.7- Ağ yönlendirme kontrolü
12.2.1- Giriş verisi geçerleme
12.2.2- İç işleme kontrolü
12.2.3- Mesaj bütünlüğü
12.2.4- Çıkış verisi geçerleme
11.5.5- Oturum zaman aşımı
11.5.6- Bağlantı süresinin sınırlandırılması
11.6.2- Hassas sistem yalıtımı
12.5.4- Bilgi sızması
14.1.2- İş sürekliliği ve risk değerlendirme
14.1.3- Bilgi güvenliğini içeren süreklilik planlarını geliştirme ve gerçekleştirme
14.1.4- İş sürekliliği planlama çerçevesi
15.1.5- Bilgi işleme olanaklarının kötüye kullanımını önleme
15.3.2- Bilgi sistemleri denetim araçlarının korunması
Sonuç
ISO 27001:2013'te öngörülen değişikliklerin temel olarak ilgili taraflar, risk değerlendirme ve iyileştirme, düzeltici ve önleyici faaliyetler, iletişim, dokümante edilmiş bilgi ve hedefler, izleme ve ölçme başlıkları ile ilgili olduğu görülmektedir.
ISO 27002 yapısı tamamen ISO 27001 kontrolleri ile uyumlu olduğundan tüm değişiklikler yeni ISO 27001 EK-A’sı içinde geçerlidir. İlk bakışta çok fazla bir değişiklik varmış gibi görülmektedir. Ama bunların çoğu temelden yapılan değişiklikler değildir. Değişikliklerin çoğu aslında mevcut ISO 27002’nin yanlış yapısının düzeltilmesi ve yeni kontrollerin eklenmesini içeriyor. Ağ güvenliği ve geliştirme sürecinde ise bazı değişiklikler mevcut. Bu alanlarda yeni standarda göre daha esnek bir tarif ve nasıl uygulama yapılacağı kısmında serbestlik öngörülüyor.
Sonuç olarak yeni standarda göre uygulama daha kolay olacak gibi görünmektedir.
