Önemli bir bilgi güvenliği standardı revize edildi
Sürekli Kontrol: Bilgi güvenliÄŸi yönetimi kontrollerine iliÅŸkin yeni baÅŸlatılan kılavuz
Yeni revize edilmiÅŸ uluslararası bir siber güvenlik standardı, bilgi güvenliÄŸi uzmanlarının en son bilgi güvenliÄŸi risklerini ele almak için bilgi güvenliÄŸi kontrollerini düÅŸünmesine ve uygulamasına yardımcı oluyor. Bu blog yazısı, revize edilmiÅŸ standardın neler sunduÄŸunu ve iÅŸletmelerin onu kullanmaktan elde edecekleri faydaları açıklamaktadır.
Veri güvenliÄŸinin her kuruluÅŸ için gerekli olduÄŸu ve teknolojideki deÄŸiÅŸim hızı ve siber güvenlik riskleri göz önüne alındığında, deÄŸiÅŸen bilgi güvenliÄŸi ortamı ile sistemleri ve süreçleri güncel tutmak bir öncelik olmalıdır.
Bilgi GüvenliÄŸi, Siber Güvenlik ve Gizlilik Koruması – Bilgi GüvenliÄŸi Kontrolleri, BS EN ISO/IEC 27001'deki gereksinimleri temel alan bir Bilgi GüvenliÄŸi Yönetim Sistemi (BGYS) içinde kullanım için güvenlik kontrollerinin seçimi ve uygulanması konusunda rehberlik saÄŸlayan yeni revize edilmiÅŸ uluslararası standarttır.
Bu standardın revizyonu, özniteliklerle güvenlik kontrollerini yönetmeye modern bir yaklaşım getiriyor. Mevcut bilgi güvenliÄŸi endiÅŸelerini ve uygulamalarını yansıtmak için aday kontrollerinin güncellenmesinin yanı sıra temaların ve niteliklerin tanıtılmasını içerir. ISO/IEC 27002:2022, kuruluÅŸlara güvenlik kontrollerini seçme ve kapsama özerkliÄŸi vermek için kılavuzu modernize etmek, basitleÅŸtirmek ve çok yönlü hale getirmek amacıyla her büyüklükten ve sektörden iÅŸletmelere yeni nesil bir güvenlik kontrolü kılavuzu saÄŸlamayı amaçlamaktadır. uygun görüldü.
ISO/IEC 27002 ve BS EN ISO/IEC 27001 standartları birlikte nasıl çalışır?
BS EN ISO/IEC 27001, kuruluÅŸunuzun etkin bilgi güvenliÄŸi yönetimi elde etmesi için gerekli bileÅŸenleri ve yapıyı saÄŸlar. Bu temel bileÅŸenlerden biri, uygun bilgi güvenliÄŸi kontrollerinin devreye alınmasıdır. Yeni ISO/IEC 27002 dikkate alınması gereken en uygun kontrol setini saÄŸlayarak, bu kontrollerin kuruluÅŸunuzun risk profiline ve ihtiyaçlarına göre dikkatlice deÄŸerlendirilmesi ve dikkate alınması gerekir.
Bilgi güvenliÄŸi kontrollerine iliÅŸkin ISO/IEC 27002, kuruluÅŸların bilgi güvenliÄŸi yönetim sistemlerinde tanınan bilgi güvenliÄŸi kontrollerini belirlemelerine ve uygulamalarına yardımcı olmak için bir kılavuz belge olarak hizmet eder. Bu standarttaki kılavuz, en iyi uygulamaları neyin oluÅŸturduÄŸuna iliÅŸkin uluslararası fikir birliÄŸine dayalı olarak, uluslararası ve BirleÅŸik Krallık endüstri uzmanlarından oluÅŸan bir komite tarafından geliÅŸtirilmiÅŸtir.
Peki ne deÄŸiÅŸti?
ISO/IEC 27002:2022 artık “uygulama kuralları” olarak tanımlanmasa da, kullanım amacı deÄŸiÅŸmemiÅŸtir. Bilgi güvenliÄŸi kontrollerinin tanımlanabileceÄŸi yolların kapsamlı bir kapsamını elde ederek referans verilebilir bir bilgi güvenliÄŸi kontrolleri seti saÄŸlayan bir “referans el kitabı” olmaya devam etmektedir.
Yeni revize edilen standart, gerekli hiçbir kontrolün gözden kaçırılmamasını ve rehberliÄŸin dört temel alanda birleÅŸtirilmesini saÄŸlayarak iÅŸletmelerin benimsemesini kolaylaÅŸtırmayı amaçlıyor. Bu dört kontrol sütunu ÅŸunlardır: Örgütsel, Ä°nsanlar, Fiziksel, Teknolojik.
Sonuç olarak, revize edilmiÅŸ standart dahilinde kullanıcılar, mevcut kontrollerin yeniden yapılandırıldığını ve listelenen güvenlik kontrollerinin sayısının 114'ten 93'e düÅŸtüÄŸünü ve artık en iyi uygulamaları yansıtmadıkları için bazı kontrollerin kaldırıldığını görecekler.
ISO/IEC 27002 standardının en son sürümünde 11 yeni kontrol tanıtıldı, 24 kontrol birleÅŸtirildi ve 58 kontrol güncellendi. Bunlar, tehdit istihbaratı, bulut hizmetlerinin kullanımı için bilgi güvenliÄŸi ve veri sızıntısının önlenmesi dahil olmak üzere teknolojilerdeki ve endüstriyel uygulamalardaki geliÅŸimi yansıtır. Bu, siber saldırıların doÄŸasının deÄŸiÅŸmesine raÄŸmen, iÅŸletmelerin bilgi güvenliÄŸi üzerinde sürekli kontrol saÄŸlayabilmelerini saÄŸlayacaktır.
IST 33 BaÅŸkanı Steve Watkins, "ISO/IEC 27002'nin hoÅŸ geldiniz güncellemesi, kontrol seçeneklerini ve açıklamaları güncel hale getiriyor ve kuruluÅŸların siber güvenlik risklerini yönetmeleri için seçim ve dağıtımlarına yardımcı olmak için tema ve nitelik kavramlarını tanıtıyor.”
BS EN ISO/IEC 27002:2013'ün önceki sürümünün kullanıcılarının güncellenmiÅŸ 2021 kılavuzunun nasıl uygulanacağını bilmelerine yardımcı olmak için yeni bir 27002 Ek A, kontrollerin farklı görünümlerini oluÅŸturmanın bir yolu olarak niteliklerin kullanımını gösterir. Ek olarak, yeni bir Ek B, geriye dönük uyumluluk saÄŸlamak için 2013 baskısı kontrol tanımlayıcılarına referanslar içerir.
Kuruluşlar neden bu değişiklikleri uygulamalı?
COVID-19 salgını nedeniyle, çalışanlarının çoÄŸu hibrit bir çalışma modeline uyum saÄŸlamaya ve ilerlemeye devam ederken, çoÄŸu iÅŸletme dijital dönüÅŸümlerini hızlandırmak ve bulut altyapılarına daha fazla güvenmek zorunda kaldı.
KuruluÅŸlar bu hızlı deÄŸiÅŸimler arasında kendilerine yer bulurken, siber suçlular her zamankinden daha geliÅŸmiÅŸ teknolojiye sahip bu yeni sistemlerdeki güvenlik açıklarından yararlanmanın yollarını buluyordu.
Pandemi boyunca kaç iÅŸyerinin ve günlük iÅŸ operasyonunun dijitalleÅŸtiÄŸi göz önüne alındığında, ISO/IEC 27002:2022, kuruluÅŸların günümüzün yüksek riskli ortamında etkili bilgi güvenliÄŸi yönetimi elde etmelerini nasıl destekliyor?
Daha da önemlisi, bu standart, kuruluÅŸlara mevcut ortamda güncel bilgi güvenliÄŸi kontrollerinin tanımlanması, uygulanması ve yönetimi konusunda yardımcı olur. Bu kontroller, politikaları, kuralları, süreçleri, prosedürleri, organizasyonel yapıları ve yazılım ve donanım çözümlerini içerecektir.
Bu, kuruluÅŸların sürdürülebilir olan ve bilgi güvenliÄŸi yönetim sistemlerinin genel uygunluÄŸunu artırmaya çalışan uygun ve orantılı kontrolleri belirlemelerine yardımcı olur.
Bu revize edilmiÅŸ standardın tüm avantajlarından yararlanmak için her kuruluÅŸ, ISO/IEC 27002:2022'de belirtilen yeni aday kontrol setini iÅŸletmelerinin deÄŸiÅŸen ihtiyaçlarına uygun olarak gözden geçirmeli ve deÄŸerlendirmelidir.
