İçeriğe geç

ISO/IEC 27002:2022 Versiyonuyla Gelen Değişiklikler

Tarih: 14 Mart 2022 | Yazar: Omer KILINC

ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi Standardının uygulanma oranı son yıllarda hızla artış göstermektedir. Ülke yönetimlerinin bilgi güvenliği/siber güvenlik kavramlarının önemini anlaması, Kişisel Veri Koruma Regülasyonlarının (GDPR, KVKK vb.) yayınlanması, kuruluşların karşılaştığı saldırılar gibi birçok faktör bunu tetikledi diyebiliriz.

ISO 27001 uygulayan kurum sayısı artsa da ISO 27001 standardının arkasındaki ISO 27002 standardı birçok kişi tarafından bilinmemektedir. ISO/IEC 27001 Yönetim sisteminin zorunlu şartlarını belirtirken, ISO/IEC 27002 ise tavsiye niteliğinde bir kılavuz standarttır. ISO 27001 Bilgi Güvenliği Yönetim Sistemi Standardının Ek-A içerisinde yer alan kontrollerin uygulanmasına ilişkin rehber niteliği taşıyan fakat denetime tabi olmayan bir standarttır.

  • ISO/IEC 27001: Bilgi güvenliği yönetimi için yönetim sistemi şartlarını belirler.
  • ISO/IEC 27002: Bilgi güvenliği yönetimi için gerekli güvenlik kontrollerini, iyi uygulama örneklerini belirler.

Kesin bir kural olmamakla birlikte, ISO standartlarının güncelleme periyodu 5 yıl olarak kabul edilir. Bu süre sonunda standart «under review» statüsüne çekilir ve standardın geri çekilip çekilmeyeceği, çekilmeyecekse güncelleme gereksinimleri değerlendirilir. En son 2013 yılında yayınlanan ISO/IEC 27002 standardı, revize edilerek 15 Şubat 2022 tarihinde ISO/IEC 27002:2022 versiyonu olarak güncellendi.

ISO/IEC 27002 standardının güncellenmesi, beraberinde ilişiği bulunan standartların da güncellenmesi gereksinimlerini doğuruyor. ISO/IEC 27001 başta olmak üzere, ISO/IEC 27017, 2018, 27701… ilgili standartların güncelleme gereksinimleri doğmakta. ISO/IEC 27001 standardının da 2022 Q4 içerisinde güncellenmesi beklenmektedir.

ISO 27002:2022 Versiyonunda hangi değişiklikler oldu?

Standarttaki değişiklikleri Yapısal değişiklik ve içerikteki değişiklik olmak üzere iki başlıkta ele alırsak;

Yapısal Değişiklikler

Standardın tanımındaki değişiklik:

İlk göze çarpan değişiklik, standardın ismindeki değişiklik diyebiliriz. ISO 27002:2013 versiyonunda “Bilgi teknolojisi – Güvenlik teknikleri – Bilgi Güvenliği kontrolleri için uygulama kuralları” olarak tanımlanan standart, 2022 versiyonunda “Bilgi güvenliği, siber güvenlik ve gizlilik koruması –Bilgi Güvenliği kontrolleri” olarak ifade ediliyor.

Standardın adındaki “Siber Güvenlik” değişikliği içerikte gelecek köklü değişikliğin habercisi diyebiliriz.

Kontrol sayısındaki değişiklik:

2013 Versiyonunda 14 domain altında 114 kontrol barındıran standart, 2022 versiyonunda ise 4 kategoride toplam 93 kontrol içermektedir. 2022 versiyonundaki kontroller Organizasyonel, İnsan, Teknolojik ve Fiziksel olmak üzere dört başlıkta toplanmış.

Siber Güvenlik Yaklaşımı:

ISO/IEC 27002:2013 versiyonunda Bilgi güvenliği perspektifinde yaklaşım sergilenirken 2022 versiyonunda ise Siber Güvenlik ele alınmaktadır. ISO/IEC 27002:2022 versiyonunda NIST Güvenlik çerçevesinin Tanımla, Koru, Tespit Et, Müdahale Et ve Kurtar kavramlarını görüyoruz. Bu değişiklik, uygulanan Bilgi Güvenliği Yönetim Sistemlerinde de köklü değişikliği beraberinde getireceğe benziyor. Standardın önceki versiyonundaki “Bilgi Güvenliği” yaklaşımı kontrollerde bazı esnekliklere sebebiyet veriyor iken “Siber Güvenlik” yaklaşımı ile daha belirgin çerçeveler çizilecek desek sanırım yanlış olmaz.

Nitelik Tablosu:

2022 versiyonu ile birlikte gelen bu değişiklik ile birlikte, her kontrol için 5 öznitelikle değerlendirilen bir Nitelik Tablosu geldi.

  • Kontrol Tipi : Bir bilgi güvenliği olayının meydana gelmesiyle ilgili olarak kontrolün riski ne zaman ve nasıl değiştirdiği perspektifinden kontrolleri görüntülemek için bir niteliktir.
  • Bilgi Güvenliği Özellikleri : Kontrollerin korunmasına katkıda bulunacağı bilgi karakteristiği perspektifinden kontrolleri görüntülemek için bir özniteliktir.
  • Siber Güvenlik Kavramları: Kontrollerin ISO/IEC TS 27110’da açıklanan siber güvenlik çerçevesinde tanımlanan siber güvenlik kavramlarıyla ilişkilendirilmesi perspektifinden kontrolleri görme özelliğidir.
  • Operasyonel Nitelikler      : Kontrolleri uygulayıcının bilgi güvenliği yetenekleri perspektifinden görmek için bir niteliktir.
  • Güvenlik Alanları    : Kontrolleri dört bilgi güvenliği alanı perspektifinden görmek için bir niteliktir. Öznitelik değerleri #Yönetişim_ve_Ekosistem, #Koruma, #Savunma ve #Dayanıklılık ‘dan oluşur.

Kontrol Düzeni:

Her kontrol için aşağıdaki başlıklar yer almaktadır.

  • Kontrolün Başlığı    : Kontrolün kısa adı
  • Nitelik tablosu         : Niteliklerin değerlerinin yer aldığı tablo
  • Kontrol                      : Kontrolün ne olduğu
  • Amaç                          : Kontrolün neden uygulanması gerektiği
  • Rehberlik                  : Kontrolün nasıl uygulanması gerektiği
  • Diğer Bilgiler           : Açıklayıcı metin veya diğer ilgili belgelere atıf

Kontrollerdeki Değişiklikler

Yeni Kontroller:

ISO/IEC 27002:2022 versiyonuyla birlikte gelen 11 yeni kontrol bulunmaktadır. Bunlar:

  • 5.7 Tehdit istihbaratı
  • 5.23 Bulut hizmetlerinin kullanımı için bilgi güvenliği
  • 5.30 İş sürekliliği için ICT hazırlığı
  • 7.4 Fiziksel güvenlik izleme
  • 8.9 Yapılandırma yönetimi
  • 8.10 Bilgi silme
  • 8.11 Veri maskeleme
  • 8.12 Veri sızıntısının önlenmesi
  • 8.16 İzleme faaliyetleri
  • 8.23 Web filtreleme
  • 8.28 Güvenli kodlama

Yeniden Adlandırılan Kontroller:

2022 versiyonunda 23 kontrolün adında değişikliğe gidilmiş. Örneğin;

  • Kontrol 12.7.1 Bilgi sistemleri denetim kontrolleri, denetim testleri sırasında 8.34 Bilgi sistemlerinin korunması olarak değiştirildi.
  • Kontrol 15.1.3 Bilgi ve iletişim teknolojisi tedarik zinciri 5.21 olarak değiştirildi BİT tedarik zincirinde bilgi güvenliğinin yönetilmesi.

İptal Edilen Kontroller:

Kontrol sayısının azaltılmış olması, kontrollerden iptal edilen olduğu fikrini düşündürtse de 2022 versiyonunda hiçbir kontrol iptal edilmedi. Yalnızca bazı kontroller birleştirildi. Yeni versiyonda 54 kontrol, 24 Kontrolde birleştirildi. Örneğin;

  • Kontroller 5.1.1 Bilgi güvenliğine ilişkin politikalar ve 5.1.2 Bilgi güvenliğine yönelik politikaların gözden geçirilmesi, 5.1 bilgi güvenliğine ilişkin Politikalar altında birleştirilmiştir.
  • Kontroller 11.1.2 Fiziksel giriş kontrolleri ve 11.1.6 Teslimat ve yükleme alanları 7.2 Fiziksel girişte birleştirildi.

Bölünmüş Kontroller:

Bölünmüş tek bir kontrol vardır: 18.2.3 Teknik uygunluk incelemesi, 5.36 Bilgi güvenliği için politikalar, kurallar ve standartlarla uyumluluk ve 8.8 Teknik güvenlik açıklarının yönetimi olarak bölünmüştür.

35 kontrol ise kontrol numarası değiştirilerek aynı kaldı.

Kategori:Bilgi GüvenliğiGenelISO 27001ISO 27001ISO 27002Yönetim Sistemleri

İlk Yorumu Siz Yapın

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir