9 Haz 2014
3 dk okuma süresi
BGYS (Bilgi Güvenliği Yönetim Sistemi) konusunda her ne kadar ISO/IEC 27001, ISO 27002 ve ISO 27005 standartları bilinse ve kullanılsa da ISO 27000 serisi aslında çok geniş ve kapsamlı bir standart seti. Bu yazıda ISO 27000 serisi ve yeni yayınlanan 27000:2014 revizyonunda neler değiştiği hakkında genel bilgi edinebilirsiniz. ISO 27001 standardının geçmişi ve 2013 revizyonundaki değişiklikler için ise bu yazıyı okuyabilirsiniz.
ISO 27000 Serisi
ISO/IEC 27000 serisi (BGYS Standart Ailesi) International Organization for Standardization (ISO) ve International Electrotechnical Commission (IEC) tarafından ortak olarak çıkarılıyor.
Seri, BGYS kapsamında bilgi güvenliği yönetimi, risk ve kontrollere yönelik en iyi uygulama önerileri sunuyor. Tasarım olarak Kalite Güvence (ISO 9000) ve Çevre Güvenliği (ISO 14000) serilerine benzer.
Seriler kapsam olarak çok geniştir ve gizlilik, BT, bütünlük ve teknik güvenlik sorunlarından çok daha fazlasını kapsamaktadır. Her boyutta ve sektörde olan şirketlere uygulanabilir niteliktedir. Tüm organizasyonları bilgi güvenliği risklerini değerlendirmeye ve bu risklere yönelik ilgili güvenlik kontrollerini uygulamaya teşvik eder.
BGYS standartları birbiriyle ilişkili, hali hazırda yayınlanmış veya geliştirme aşamasında olan standartlardan ve yapısal bileşenlerden oluşur. Bu bileşenler BGYS gereksinimleri (ISO/IEC 27001) ve sertifikasyon gereksinimlerine (ISO/IEC 27006) odaklıdır. Diğer standartlar ise BGYS’nin uygulanması ve sürdürülmesi, genel veya sektör bazlı süreç uygulamalarını içerir.
ISO 27000 serisini 4 farklı kategoride inceleyebiliriz;
1. Terimler ve genel bakışı veren standartlar
2. Gereksinimleri içeren standartlar
3. Genel ilkeleri içeren standartlar
4. Sektör bazlı ilkeleri içeren standartlar
ISO 27000:2014 Revizyonu
Uluslararası standartlar düzenli olarak güncellenirler. Son olarak bu güncelleme süreci geçtiğimiz yıl 27001 ve 27002 standardının da güncellenmesiyle ISO 27000 standardını da ele aldı.
Değişikliklerin büyük kısmı dokümanın BGYS terimleri ve açıklamalarını içeren ilk bölümünde yapıldı. 20 yeni tanım eklendi ve 9 adet tanım çıkarıldı.
Yapılan değişiklikler, yeni HLS (High Level Structure) 2012 yılında çıktığından beri uygulanan gelişimi de gösteriyor. HLS, birçok ISO standardı arasında daha standartlaştırılmış ve verimli bir yönetim sistemi çerçevesi ile daha iyi bir koordinasyonun sağlanmasını hedefliyor. HLS (Annex SL) hakkında daha detaylı bilgiye önceki yazımdan ulaşabilirsiniz.
HLS “Planla, Uygula, Kontrol Et, Önlem Al” döngüsünü temel alır.
İlk faz (Plan) artık kapsamın değerlendirilmesi, liderlik ve BGYS’yi destekleyen elementlerini içerir.
İkinci faz (Uygula) artık güvenlik kriterinin detaylı açıklamasını içeriyor ve bu kriterin uyumluluğunu kontrol etmeye yardımcı olan metotları içeriyor.
İyileştirme ve geliştirme ile ilgili olan faz (“Önlem Al”) BGYS’nin sürekli iyileştirilmesinin garanti altına alınması için gereken aksiyon tanımlarını içeriyor. BGYS’ye yönelik basit bakım artık yeni yapıya göre yeterli değil, sistemin sürekli iyileştirilmesi gerekiyor.
ISO 22301 ile ayrımın yapılması ve standardı öne çıkarmak için iş sürekliliği sürecine ait tüm referanslar yeni ISO 27000 revizyonunda kaldırıldı. Fakat İş Sürekliliğinin BGYS’ye entegrasyonu kaldırılmayıp, iş sürekliliği prensipleri için 22301 standardına referans verildi. 27000 içinde ise “Bilgi Güvenliği Sürekliliği” başlığı altında tanımlandı.
Yeni “Sürekli İyileştirme Prensibi” (Madde 3.5.7) ISO’nun yönetim sistemlerinin gelişimi ve iyileştirmesi için nasıl bir döngü yarattığını gösteriyor. Bu, BGYS’yi oluşturmak ve idame ettirmek için anahtar nokta olarak gösteriliyor.
“İlgili Taraf” kavramı genişletildi. Tüm paydaşlar kurumun ticari fonksiyonlarına dahil olmasa dahi bu kavrama dahil edildi. Bu şekilde tanım, BGYS’nin değerlendirilmesini dışarıdan etkileyecek tüm elementleri içeriyor.
“Bilgiyi Paylaşan Toplum” tanımı eklendi. Bu kavram, bilgi paylaşma anlaşması yapan kurum veya kişiler olarak tanımlandı. Bu kurumlar tedarikçilerden, dış kaynaklı servis sağlayan firmalara kadar her türlü kurum veya birey olabilir.
Buna göre 27000 standardında yapılan başlıca değişiklikleri aşağıdaki şekilde özetleyebiliriz;
Kurumların; kapsamını belirleme aşamasında, hem iç hem de dış paydaşları ile olan bağlılıklarını göz önünde bulundurması gerekliliğine önem veriliyor. BGYS’nin planlanma ve yönetimi aşamasında ana parça oldu.
Sürekli iyileştirme eski versiyona göre daha fazla önem taşıyor ve merkez nokta konumunda. Bu yüzden de BGYS’nin idamesi için asgari bir yaklaşım yeterli olmayacaktır. Her yeni döngü eskisinden daha iyi olması için işaretleneceği için, bu yaklaşım, performans değerlendirme için hedefler belirleyerek gerçekleştirilebilir.
Son olarak ise, güvenlik sürecinin devamlılığının önemi üzerinde duruluyor. Uygulanan güvenlik sistemi ne kadar iyi olursa olsun, bakımı yapılmadığı sürece verimliliğini kaybederek, yapılan tüm yatırımları da boşa çıkaracaktır.
Kaynakça
[1] ISO/IEC 27000: 2014, Information technology — Security techniques — Information security management systems — Overview and vocabulary
[2] ISO/IEC 27000: 2012, Information technology — Security techniques — Information security management systems — Overview and vocabulary
[3] Paola Generali. (2014). The new ISO 27000:2014. 03.06.2014 tarihinde erişildi, http://getsolution.it/2014/04/23/iso-27000/?lang=en
İlgili Postlar
Güçlü Şifre Nasıl Oluşturulur?
17 Eki 2022
Güvenlik