ISO/IEC 27002 - ISO/IEC 27002

ISO / IEC 27002 , bir olan bilgi güvenliği standardı tarafından yayınlanan Uluslararası Standardizasyon Örgütü (ISO) tarafından Uluslararası Elektroteknik Komisyonu (IEC) başlıklı Güvenlik teknikleri - - bilgi güvenliği kontrolleri için uygulama kodu Bilişim teknolojisi .

ISO / IEC 27000 serisi standartları tarafından bağışlanan bir kurumsal güvenlik standardı türemiştir Shell 1990'ların başında bir İngiliz hükümetinin girişimine. Shell standardı 1990'ların ortalarında İngiliz Standardı BS 7799 olarak geliştirildi ve 2000 yılında ISO/IEC 17799 olarak kabul edildi. ISO/IEC standardı 2005'te revize edildi ve 2007'de ISO/IEC 27002 olarak yeniden numaralandırılarak diğer standartlarla uyumlu hale getirildi. ISO/IEC 27000 serisi standartları. 2013'te tekrar revize edildi. Daha sonra 2015'te , bulut için ISO/IEC 27002'de tam olarak tanımlanmayan ek güvenlik kontrolleri önermek amacıyla bu standarttan ISO/IEC 27017 oluşturuldu.

ISO/IEC 27002, bilgi güvenliği yönetim sistemlerinin (BGYS) başlatılmasından, uygulanmasından veya sürdürülmesinden sorumlu olanlar tarafından kullanılmak üzere bilgi güvenliği kontrollerine ilişkin en iyi uygulama önerilerini sağlar . Bilgi güvenliği, standart içinde CIA üçlüsü bağlamında tanımlanmıştır :

gizliliğin korunması (bilgiye yalnızca erişim yetkisi verilenlerin erişebilmesinin sağlanması), bütünlüğün (bilginin ve işleme yöntemlerinin doğruluğunun ve eksiksizliğinin korunması) ve kullanılabilirliğin (yetkili kullanıcıların gerektiğinde bilgilere ve ilgili varlıklara erişiminin sağlanması) .

anahat

ISO/IEC 27002:2013 için Anahat

Standart 5 giriş bölümü ile başlar:

  1. Tanıtım
  2. Kapsam
  3. Normatif referanslar
  4. Terimler ve tanımlar
  5. Bu standardın yapısı

Bunları 14 ana bölüm takip eder:

  1. Bilgi Güvenliği Politikaları
  2. Bilgi Güvenliği Organizasyonu
  3. İnsan Kaynakları Güvenliği
  4. Varlık Yönetimi
  5. Giriş kontrolu
  6. kriptografi
  7. Fiziksel ve çevresel güvenlik
  8. Operasyon Güvenliği- prosedürler ve sorumluluklar, Kötü amaçlı yazılımlardan koruma, Yedekleme, Günlüğe kaydetme ve izleme, Operasyonel yazılımın kontrolü, Teknik güvenlik açığı yönetimi ve Bilgi sistemleri denetim koordinasyonu
  9. İletişim güvenliği - Ağ güvenliği yönetimi ve Bilgi aktarımı
  10. Sistem edinme, geliştirme ve bakım - Bilgi sistemlerinin güvenlik gereksinimleri, Geliştirme ve destek süreçlerinde güvenlik ve Test verileri
  11. Tedarikçi ilişkileri - Tedarikçi ilişkilerinde ve Tedarikçi hizmet sunum yönetiminde bilgi güvenliği
  12. Bilgi güvenliği olay yönetimi - Bilgi güvenliği olaylarının yönetimi ve iyileştirmeler
  13. İş sürekliliği yönetiminin bilgi güvenliği yönleri - Bilgi güvenliği sürekliliği ve Fazlalıklar
  14. Uyumluluk - Yasal ve sözleşmesel gerekliliklere uygunluk ve Bilgi güvenliği incelemeleri

Her bölümde, bilgi güvenliği kontrolleri ve amaçları belirlenmiş ve ana hatlarıyla belirtilmiştir. Bilgi güvenliği kontrolleri genellikle bu hedeflere ulaşmanın en iyi uygulama araçları olarak kabul edilir. Kontrollerin her biri için uygulama kılavuzu sağlanır.

Belirli kontroller zorunlu değildir çünkü:

  1. Her kuruluşun, kendi özel koşullarına uygun kontrolleri seçmeden önce, kendi özel gereksinimlerini belirlemek için yapılandırılmış bir bilgi güvenliği risk değerlendirme sürecini üstlenmesi beklenir. Giriş bölümü, ISO/IEC 27005 gibi bu alanı kapsayan daha spesifik standartlar olmasına rağmen, bir risk değerlendirme sürecini özetlemektedir . Bilgi güvenliği kontrollerinin seçimini ve uygulanmasını yönlendirmek için bilgi güvenliği risk analizinin kullanılması, ISO/IEC 27000 serisi standartların önemli bir özelliğidir : bu, bu standarttaki genel iyi uygulama tavsiyesinin her birinin özel bağlamına göre uyarlanması anlamına gelir. ezbere uygulanmak yerine kullanıcı organizasyonu. Örneğin, 39 kontrol hedefinin tümü, örneğin her kuruluşla ilgili olmayabilir, bu nedenle, tüm kontrol kategorileri gerekli görülmeyebilir. Standartlar, bilgi güvenliği kontrollerinin 'önerildiği' anlamında da açık uçludur ve bilgi güvenliği risklerinin azaltılmasına ilişkin temel kontrol hedefleri olduğu sürece, kullanıcılara isterlerse alternatif kontrolleri benimsemeleri için kapıyı açık bırakır. tatmin edici. Bu, bilgi güvenliği tehditlerinin, güvenlik açıklarının ve etkilerinin gelişen doğasına ve belirli bilgi güvenliği kontrollerinin kullanımındaki eğilimlere rağmen standardın ilgili kalmasına yardımcı olur.
  2. Genel amaçlı bir standartta akla gelebilecek tüm kontrolleri listelemek pratik olarak imkansızdır. ISO/IEC 27001:2013 ve ISO/IEC 27002 için sektöre özel uygulama yönergeleri , telekomünikasyon endüstrisindeki (bkz. ISO/IEC 27011 ) ve sağlık hizmetlerindeki (bkz. ISO 27799 ) kuruluşlara özel öneriler sunar .

Çoğu kuruluş, çoğu genel anlamda ISO/IEC 27002 tarafından önerilen çok çeşitli bilgi güvenliği ile ilgili kontroller uygular. Bilgi güvenliği kontrolleri altyapısının ISO/IEC 27002'ye göre yapılandırılması, şu açılardan avantajlı olabilir:

  • Saygın bir uluslararası standartla ilişkilidir
  • Kapsama boşluklarını ve örtüşmeleri önlemeye yardımcı olur
  • ISO/IEC standardına aşina olanlar tarafından tanınması muhtemeldir

ISO/IEC 27002'nin uygulama örneği

Aşağıda, ISO/IEC 27002'nin üç bölümü ile ilgili tipik bilgi güvenliği politikalarına ve diğer kontrollere birkaç örnek verilmiştir. (Not: bu yalnızca bir örnektir. Örnek kontrollerin listesi eksiktir ve evrensel olarak geçerli değildir.)

Fiziksel ve Çevresel güvenlik

  • İzinsiz ve uygunsuz erişim, kurcalama, vandalizm, cezai zarar, hırsızlık vb. etkileri önlemek, tespit etmek ve en aza indirmek için tesislere ve destek altyapısına (iletişim, güç, klima vb.) fiziksel erişim izlenmeli ve kısıtlanmalıdır.
  • Güvenli alanlara erişim yetkisi olan kişilerin listesi, Yönetim veya Fiziki Güvenlik Departmanı tarafından periyodik olarak (en az yılda bir kez) gözden geçirilmeli ve onaylanmalı ve departman yöneticileri tarafından çapraz kontrol edilmelidir.
  • Yasak Alanlarda, yetkili makamdan önceden izin alınmadan fotoğraf veya video kaydı yapılması yasaktır.
  • Tesislerin tüm giriş ve çıkışlarında ve Yasak Alanlar gibi diğer stratejik noktalarda uygun video gözetim kameraları bulunmalı, kayıt altına alınmalı ve en az bir ay süreyle saklanmalı ve eğitimli personel tarafından günün her saati izlenmelidir.
  • Genel ve/veya belirli alanlara sınırlı süreli erişime izin veren erişim kartları, kursiyerlere, satıcılara, danışmanlara, üçüncü şahıslara ve bu alanlara erişim yetkisi verilmiş, kimliği doğrulanmış ve yetkilendirilmiş diğer personele verilebilir.
  • Resepsiyon fuayesi gibi ortak alanlar ve tuvaletler gibi özel alanlar dışında, ziyaretçilere tesisteyken her zaman bir çalışan eşlik etmelidir.
  • Ziyaretçilerin giriş ve çıkış tarihi ve saati ile ziyaret amaçları, Site Güvenliği veya Resepsiyon tarafından tutulan ve kontrol edilen bir kayıt defterine kaydedilmelidir.
  • Sitedeki herkes (çalışanlar ve ziyaretçiler) her zaman geçerli, düzenlenmiş geçiş kartlarını takmalı ve sergilemeli ve bir yönetici, güvenlik görevlisi veya ilgili çalışan tarafından talep edilmesi halinde geçiş belgesini incelemeye ibraz etmelidir.
  • Erişim kontrol sistemleri, yetkisiz/uygun olmayan erişime ve diğer tehlikelere karşı yeterince güvenli olmalıdır.
  • Yangın/tahliye tatbikatları periyodik olarak (en az yılda bir kez) yapılmalıdır.
  • Belirlenen Sigara İçme Alanları dışında tesis içinde sigara içmek yasaktır.

İnsan Kaynakları güvenliği

  • Pasaport veya benzeri bir fotoğraflı kimlik belgesi ve en az iki tatmin edici profesyonel referans kullanılarak kimlik doğrulama dahil olmak üzere, tüm çalışanlar işe alınmadan önce taranmalıdır. Güvenilir pozisyonlar alan çalışanlar için ek kontroller gereklidir.
  • Tüm çalışanlar, istihdam sırasında kendilerine sağlanan veya onlar tarafından oluşturulan kişisel ve özel bilgilerle ilgili bağlayıcı bir gizlilik veya ifşa etmeme sözleşmesini resmi olarak kabul etmelidir.
  • İnsan Kaynakları departmanı, bir çalışan işe alındığında, transfer edildiğinde, istifa ettiğinde, askıya alındığında veya uzun süreli izne ayrıldığında veya işine son verildiğinde Yönetim, Finans ve Operasyonları bilgilendirmelidir.
  • İK'dan bir çalışanın durumunun değiştiğine dair bir bildirim aldıktan sonra, Yönetim fiziksel erişim haklarını güncellemeli ve BT Güvenlik İdaresi mantıksal erişim haklarını buna göre güncellemelidir.
  • Bir çalışanın yöneticisi, tüm erişim kartlarının, anahtarların, BT ekipmanlarının, depolama ortamlarının ve diğer değerli şirket varlıklarının çalışan tarafından son istihdam gününde veya öncesinde iade edilmesini sağlamalıdır.

Giriş kontrolu

  • Kurumsal BT sistemlerine, ağlara, uygulamalara ve bilgilere kullanıcı erişimi, normalde kullanıcının rolüne göre ilgili Bilgi Varlığı Sahipleri tarafından belirtilen erişim gereksinimlerine göre kontrol edilmelidir.
  • İlgili Bilgi Varlığı Sahipleri tarafından özel olarak yetkilendirilmedikçe, üretim sistemlerinde genel veya test kimlikleri oluşturulmamalı veya etkinleştirilmemelidir.
  • Önceden tanımlanmış sayıda başarısız oturum açma girişiminden sonra, güvenlik günlüğü girişleri ve (uygun olduğunda) güvenlik uyarıları oluşturulmalı ve ilgili Bilgi Varlığı Sahiplerinin gerektirdiği şekilde kullanıcı hesapları kilitlenmelidir.
  • Parolalar veya parola cümleleri, tahmin edilmesi zor olan harfler, rakamlar ve özel karakterlerden oluşan uzun ve karmaşık olmalıdır.
  • Parolalar veya parola ifadeleri yazılmamalı veya okunabilir biçimde saklanmamalıdır.
  • Parolalar, güvenlik günlükleri, güvenlik yapılandırmaları vb. gibi kimlik doğrulama bilgileri, yetkisiz veya uygunsuz erişime, değişikliğe, bozulmaya veya kaybolmaya karşı yeterince güvenceye alınmalıdır.
  • BT sistemlerini yönetmek, yapılandırmak, yönetmek, güvenceye almak ve izlemek için tipik olarak gerekli olan ayrıcalıklı erişim hakları, Bilgi Güvenliği tarafından periyodik olarak (yılda en az iki kez) gözden geçirilmeli ve uygun departman yöneticileri tarafından çapraz kontrol edilmelidir.
  • Kullanıcılar, gözetimsiz bırakmadan önce oturumlarını kapatmalı veya oturumlarını parola ile kilitlemelidir.
  • Tüm iş istasyonlarında/PC'lerde 10 dakikadan fazla hareketsizlik zaman aşımı süresine sahip parola korumalı ekran koruyucular etkinleştirilmelidir.
  • Çıkarılabilir ortamlara (USB sürücüler, CD/DVD yazıcılar vb.) yazma erişimi, meşru iş nedenleriyle özel olarak yetkilendirilmediği sürece tüm masaüstlerinde devre dışı bırakılmalıdır.

Ulusal eşdeğer standartlar

ISO/IEC 27002, birçok ülkede doğrudan eşdeğer ulusal standartlara sahiptir. Çeviri ve yerel yayın, genellikle ana ISO/IEC standardı revize edildikten ve yayınlandıktan sonra birkaç aylık gecikmeyle sonuçlanır, ancak ulusal standart kuruluşları, çevrilen içeriğin doğru ve tam olarak ISO/IEC 27002'yi yansıtmasını sağlamak için büyük çaba harcar.

Ülkeler Eşdeğer Standart
 Arjantin IRAM-ISO-IEC 27002:2008
 Avustralya

 Yeni Zelanda

AS/NZS ISO/IEC 27002:2006
 Brezilya ISO/IEC NBR 17799/2007 – 27002
 Endonezya SNI ISO/IEC 27002:2014
 Şili NCH2777 ISO/IEC 17799/2000
 Çin GB/T 22081-2008
 Çek Cumhuriyeti ČSN ISO/IEC 27002:2006
 Hırvatistan HRN ISO/IEC 27002:2013
 Danimarka DS/ISO27002:2014 (DK)
 Estonya EVS-ISO/IEC 17799:2003, 2005 versiyonu çeviride
 Fransa NF ISO/CEI 27002:2014
 Almanya DIN ISO/IEC 27002:2008
 Japonya JIS Q 27002
 Litvanya LST ISO/IEC 27002:2009 (ISO/IEC 27002:2005, ISO/IEC 17799:2005 benimsenmiştir)
 Meksika NMX-I-27002-NYCE-2015
 Hollanda NEN-ISO/IEC 27002:2013
 Peru NTP-ISO/IEC 17799:2007
 Polonya PN-ISO/IEC 17799:2007, ISO/IEC 17799:2005'e göre
 Rusya ГОСТ Р ИСО/МЭК 27002-2012 , ISO/IEC 27002:2005'e göre
 Slovakya STN ISO/IEC 27002:2006
 Güney Afrika SANS 27002:2014/ISO/IEC 27002:2013
 ispanya UNE 71501
 İsveç SS-ISO/IEC 27002:2014
 Türkiye TS ISO/IEC 27002
 Tayland BİRİM/ISO
 Ukrayna ДСТУ ISO/IEC 27002:2015
 Birleşik Krallık BS ISO/IEC 27002:2005
 Uruguay BİRİM/ISO 17799:2005

sertifika

ISO/IEC 27002, karşılaştıkları belirli bilgi güvenliği risklerine göre her tür ve büyüklükteki kuruluşa yorumlanması ve uygulanması amaçlanan bir tavsiye standardıdır. Uygulamada, bu esneklik kullanıcılara kendileri için anlamlı olan bilgi güvenliği kontrollerini benimseme konusunda çok fazla serbestlik sağlar, ancak çoğu resmi sertifika planında örtük olarak bulunan nispeten basit uyumluluk testi için onu uygunsuz kılar.

ISO/IEC 27001:2013 ( Bilgi teknolojisi – Güvenlik teknikleri – Bilgi güvenliği yönetim sistemleri – Gereksinimler ) yaygın olarak tanınan, sertifikalandırılabilir bir standarttır. ISO/IEC 27001, bir BGYS'nin kurulması, uygulanması, sürdürülmesi ve iyileştirilmesi için bir takım kesin gereklilikleri belirtir ve Ek A'da, kuruluşların BGYS'lerinde uygun olduğunda benimsemeleri için teşvik edilen bir dizi bilgi güvenliği kontrolleri vardır. Ek A'daki kontroller, ISO/IEC 27002'den türetilmiştir ve bununla uyumludur.

Devam etmekte olan gelişme

Hem ISO/IEC 27001:2013 hem de ISO/IEC 27002, güncel ve ilgili olmaları için birkaç yılda bir ISO/IEC JTC1/SC27 tarafından revize edilir . Revizyon, örneğin, yayınlanmış diğer güvenlik standartlarına ( ISO/IEC 27000 , ISO/IEC 27004 ve ISO/IEC 27005 gibi ) ve bu alanda son yayınlandıklarından bu yana ortaya çıkan çeşitli iyi güvenlik uygulamalarına yapılan referansların dahil edilmesini içerir . Özellikle ISO/IEC 27001 ile uyumlu bir BGYS'yi destekleyen bilgi güvenliği kontrolleriyle ilgili olarak, halihazırda ISO/IEC 27002 kullanan kuruluşların önemli 'kurulu tabanı' nedeniyle , herhangi bir değişiklik gerekçelendirilmeli ve mümkün olan her yerde, değil evrimsel olmalıdır. doğada devrimci.

Ayrıca bakınız

Referanslar

Dış bağlantılar