Blog

IRM360 B.V. Marcel Lavalette 31 Mart 2022

New ISO 27002:2022

Bu CyberManager ve ISO 27001 için ne anlama geliyor?

Şubat ayından bu yana yeni bir ISO/IEC 27002:2022 geliştirildi. Hollanda'daki müşterilerimiz bize yeni ISO ile ilgili çeşitli sorular soruyor. Bu blogda tartışıyoruz:

  1. Yeni ISO/IEC 27002:2022 standardı
  2. ISO 27001, ISO 27002 ile aynı değildir
  3. ISO 27001 denetimi ve sertifikası, Ek A ve SOA
  4. Yeni ISO 27002:2022'nin bir öncekinden farkı nedir?
  5. Yeni ISO 27002'nin benim ISO 27001 sertifikamla ne ilgisi var?
  6. CyberManager'da içerik ve işlevsellik açısından herhangi bir değişiklik olacak mı?

1) Yeni ISO/IEC 27002:2022 standardı

ISO/IEC 27002:2022, ISO/IEC 27002:2013'ün halefidir. Bu konuda bazı karışıklıklar var, çünkü Hollanda'da NEN-EN-ISO/IEC 27002:2017 olarak mevcut. Bu isim ve yıl farkının nedeni nedir?

Uluslararası Standardizasyon Örgütü (ISO) standartları hazırlar. Bu kuruluş, tıpkı Hollanda'daki NEN gibi 163 ülkedeki ulusal standardizasyon kuruluşlarının bir ortaklığıdır. Uluslararası düzeyde, ISO IEC ile birlikte çalışır; Uluslararası Elektroteknik Komisyonu, bu nedenle bazı standartlar ISO/IEC tanımına sahiptir. NEN, standartların tescilinden sorumlu olan Hollanda Standardizasyon Enstitüsü'nün kısaltmasıdır. EN tanımı Avrupa Standardizasyon Organizasyonu anlamına gelir ve tüm Avrupa için geçerlidir. NEN gibi ulusal standardizasyon enstitüleri daha sonra bunları kendi ülkelerinde yayınlar. Dolayısıyla bir NEN-EN ISO/IEC standardı, Avrupa'da ve Hollanda'da da NEN tarafından kabul edilmiş uluslararası bir standartla ilgili olduğu anlamına gelir. Genellikle Hollanda dilinde de mevcut olduğunu belirtmek için NL gibi bir ek vardır.

Uluslararası bir standardın çevirisi ve/veya yerel mevzuatla uyumlaştırılması arasında zaman olabileceğinden, içerik (asgari) ve yayın açısından farklılıklar olabilir. Ancak prensip olarak, "ulusal" NEN-EN-ISO/IEC 27002:2017 standardı ISO/IEC 27002:2013 ile aynıdır.

 

2) ISO 27001, ISO 27002 ile aynı değildir

ISO 27001, bilgi güvenliği alanında dünya çapında tanınan bir standarttır. Bilgi Güvenliği Yönetim Sistemi (ISMS) olarak adlandırılan bu sistem, bilgi güvenliği risklerini kontrol etme sürecinin uygulanmasını tanımlar. Şu anda sadece ISO 27001 standardına göre belgelendirme yapmak mümkündür.
Mevcut güncel versiyonlar şunlardır:

  • ISO/IEC 27001:2013 (uluslararası) ve aslında hala geçerli standart
  • NEN-EN-ISO/IEC 27001:2017

3) ISO 27001 denetimi ve sertifikası, Ek A ve SOA

Bir ISO 27001 denetimi esas olarak süreç güvencesine, BGYS'ye odaklanır, ancak denetim sırasında ISO 27001 standart belgesinin Ek A'sında açıklanan kontrol önlemleri de test edilir. Ek A kontrol önlemlerinin bir listesidir ve bunlar numaralandırma, bölümler ve kısımlar dahil olmak üzere ISO 27002'den alınmıştır, ancak aynı değildir.

ISO 27002 standardı bu kontrol önlemleri listesinden daha ileri gider ve her kontrol önlemi için "En İyi Uygulamalar" (muhtemelen uygulanacak teknikler, çalışma yöntemleri vb.) şeklinde daha derinlemesine bir analiz sağlayarak kontrol önlemine içerik kazandırır.

Ek A'daki kontrol tedbirlerine açıkça uyduğunuz sürece diğer kontrol tedbirlerini (kendinize ait veya CIS, NIST-CSF, vb. gibi diğer standartlardan) uygulamakta serbestsiniz.

Her kontrol önlemi için, uygulanabilir olup olmadığını ve uygulanıp uygulanmadığını belirtmelisiniz. Bunu Uygulanabilirlik Beyanı (SOA) olarak adlandırılan belgede beyan edersiniz. Bu SOA, ISO 27001 denetimi sırasında kullanılan versiyonun referansını içerir, örneğin EN-EN-ISO/IEC 27001:2017 +A11:2020.

Hey, başka bir "+A11:2020" göstergesi mi? Bu "+A11" NEN tarafından yapılan değişiklikleri ve ":2020" değişikliğin yapıldığı yılı ifade eder. NEN, Hollanda'da aynı standart için kendi numaralandırmasını kullanmaktadır, bu da kafa karıştırıcı olabilir. Diğer ülkeler de "kendi" farklı numaralandırmalarını kullanabilir.
Umarım hala anlıyorsunuzdur......?

4) Yeni ISO 27002:2022'nin bir öncekinden farkı nedir?

Bu blogda tüm değişikliklere girmeyeceğiz, çünkü onlar hakkında zaten çok şey biliyoruz, ancak esas olarak kullanıcılarımızın uğraşmak zorunda kalacağı sorunları açıklayacağız.

Eski ISO/IEC 27002:2013'te, her kontrol önlemi (En İyi Uygulama) bir taneden oluşuyordu:

  • Kontrol açıklaması
  • Uygulama Kılavuzu (En iyi uygulama)
  • Yeni ISO/IEC 27002:2022 artık "en iyi uygulamalardan" değil, sadece kontrollerden bahsetmektedir ve bunlar artık şunlardan oluşmaktadır:

Kontrol (kontrol önlemi)

  • Amaç
  • Rehberlik
  • Ayrıca, her bir kontrol için, çeşitli konulardaki kontrol önlemlerinin seçilmesine (filtrelenmesine) yardımcı olabilecek bir nitelik tablosu görüntülenir (aşağıdaki örneğe bakın).

Bir bilgi güvenliği olayı durumunda ne zaman ve nasıl hareket edileceğine ilişkin olarak seçilebilecek üç tür kontrol vardır.

Önleme; kontrol bir bilgi güvenliği olayının meydana gelmesini önlemelidir,

Tespit; kontrol, bir bilgi güvenliği olayı meydana geldiğinde gerçekleşir,

Düzeltme; kontrol, bir bilgi güvenliği olayı meydana geldikten sonra gerçekleşir.

 

Üç Bilgi Güvenliği özelliği: aşağıdaki gibi bilgi özellikleri açısından kontrol önlemlerini seçmek: Gizlilik, Bütünlük ve/veya Kullanılabilirlik.

Siber güvenlik kavramları: ISO/IEC TS 27110 siber güvenlik çerçevesinde ve NIST CSF modelinde tanımlanan siber güvenlik kavramları açısından kontrol tedbirlerini seçmek için bir özelliktir: Tanımla, Koru, Tespit Et, Müdahale Et ve Kurtar.

Operasyonel kabiliyetler, belirli bir alanın sahibi veya yöneticisi perspektifinden yönetim tedbirlerini seçmek için kullanılan bir niteliktir. Öznitelik değerleri şunlardan oluşur: Yönetişim, Varlık Yönetimi, Bilgi Güvenliği, İK, Fiziksel Güvenlik, Sistem ve Ağ Güvenliği, Uygulama Güvenliği, Güvenli Yapılandırma, Kimlik ve Erişim Yönetimi, Zafiyet ve Tehdit Yönetimi, Süreklilik, Satıcı Yönetimi, Uyumluluk, Bilgi Güvenliği Olay Yönetimi ve Güvence.

Güvenlik alanları, dört bilgi güvenliği alanı perspektifinden yönetim önlemlerini seçmek için kullanılan bir özelliktir: Yönetişim ve Ekosistem, Koruma, Savunma ve Dayanıklılık.

Yukarıda ISO 27002'den açıklanan tüm özellikler geneldir ve kuruluşlar özelliklerden bir veya daha fazlasını göz ardı etmeyi veya kendi özelliklerini oluşturmayı seçebilir.

5) Yeni ISO 27002'nin ISO 27001 sertifikamla ne ilgisi var?

Şu anda hiçbir şey yok; henüz yeni bir ISO 27001 standardı ve dolayısıyla yeni bir Ek A yok. Elbette bir tane olacak ve o zaman Ek A, kontrol önlemlerinin tanımının formatı ve numaralandırılması açısından birbiriyle uyumlu olacaktır. NEN organizasyonu Mayıs ayında mevcut ISO/IEC 27001:2013 için muhtemelen +A1:2022 gibi bir isimle güncellenmiş bir Ek A beklemektedir. Ne de olsa bu, 2022'deki yeni Ek için ilk "değişiklik" olacaktır. Pek çok kişi Hollanda tarafından değiştirilen NEN-EN ISO/IEC 27001:2017 +A1:2022'yi bekleyecektir. Bunun 2022'nin sonunda yapılması bekleniyor.

Zaten bir sertifikanız varsa, hemen bir şey yapmak zorunda değilsiniz. Yeni ISO27001 standardı güncellenmiş Ek A ile birlikte kullanıma sunulur sunulmaz 2 yıllık bir geçiş dönemi uygulanacaktır. Bir belgelendirme projesi üzerinde çalışıyorsanız, yeni ISO 27001 ve Ek A'ya en iyi şekilde odaklanıp odaklanamayacağınız denetimi ne zaman gerçekleştireceğinize bağlıdır. Örneğin bunu belgelendirme kuruluşunuz veya uygulama ortağınızla görüşün!

6) CyberManager'da içerik ve işlevsellik açısından herhangi bir değişiklik olacak mı?

Yeni Ek A'nın yapısı büyük olasılıkla mevcut Ek A'dan çok farklı olmayacaktır. Dolayısıyla yönetim tedbirlerinin bir listesi de olacaktır ancak:

  • Format, ISO 27002:2022'yi temel alan yeni Ek A'ya dayanacaktır.
         1. Eski: 14 fasıl ve 114 kontrol önlemi
         2. Yeni: 4 bölüm (İnsan, Teknik, Fiziksel ve Organizasyon)
  • 114 yerine 93 yönetim tedbiri, yani daha az iş? 11 yeni tedbir var, ancak bunlar toplam 93 tedbirin içinde yer alıyor. Ama nasıl? Yeni 27002'de, zaten birbirine çok ait olan 114 kontrol önlemi birleştirildi, bazıları aynı kaldı ve bir önlem 82 önleme ulaşmak için bölündü. ISO 27002:2013 ve ISO 27002:2022 arasındaki farkların tam listesi ISO 27002:2022 Ek B'de bulunabilir.

CyberManager tedbir setini kullanan CyberManager kullanıcılarına tanıdık gelecektir. 4 yeni bölüm ve 82 birleştirilmiş yönetim tedbiri yerine, CyberManager tedbir seti zaten 7 paragraf ve 71 birleştirilmiş tedbire dayanıyordu.

Yani bu yeni ISO 27002:2022'yi anlıyoruz, ancak sadece biraz daha ileri gittik. Bu arada, bu CyberManager önlem seti yeni kurulumda hala kullanılabilir.

Yeni Ek A yürürlüğe girer girmez, aşağıdakiler işlenecektir:

6.1) Lisansınız varsa ISO/IEC ISO27001:2017 +A1:2022'nin eklenmesi.

6.2) Farklı bir önlem sınıflandırması sağlıyoruz

Doğru bölümdeki önlemleri değiştirin, bazı birleştirmeleri yapın ve yeni 11 önlemi ekleyin/entegre edin.

ISAE 3402, SOC 2, vb. gibi diğer standartlarla kontroller arasındaki mevcut tüm bağlantılar var olmaya devam edecektir. Aslında, mevcut ve birleştirilmiş önlemlerle ilgili olarak hiçbir şey değişmemektedir.

Yeni önlemler için yeni şablonlar: Yeni ISO 27002'de yeni kontrol önlemleri eklenmiştir, bu nedenle bunların da önlem setine eklenmesi veya entegre edilmesi gerekir:

- Tehdit istihbaratı (cl. 5.7)

- Bulut hizmetlerinin kullanımı için bilgi güvenliği (cl. 5.23)

- İş sürekliliği için BİT hazırlığı (cl. 5.30)

- Fiziksel güvenlik izleme (cl. 7.4) Konfigürasyon yönetimi (cl. 8.9)

- Bilgi silme (cl. 8.10)

- Veri maskeleme (cl. 8.11)

- Veri sızıntısının önlenmesi (cl. 8.12)

- İzleme faaliyetleri (cl. 8.16)

- Web filtreleme (cl. 8.23)

- Güvenli kodlama (cl. 8.28)

Bu yeni kontrol önlemlerini, "eski" ISO 27002:2017, CyberManager önlem seti veya eski ISO 27002 gibi başka bir set kullanıyor olmanızdan bağımsız olarak uygulamanız gerekir.

Bir sorun mu var?
ISO 27002:2022, "eski" kontrol önlemlerini yenileriyle takip etmek için bir referans tablosu içerir. Bazı kontrol önlemlerinin metni, kısmen birleşme nedeniyle değiştirilmiştir (bu durumda içerik açısından fazla bir değişiklik yoktur), ancak metin de değiştirilebilir. En iyi uygulamaların artık uygulama rehberi olarak dahil edildiği bazı kontrol tedbirleri söz konusu olduğunda, kontrol tedbirinin içeriği ve dolayısıyla Ek A da değiştirilmiştir.

Elbette bunu size zamanı geldiğinde belirteceğiz, ancak mevcut önlemlerinizin hala uygun olup olmadığını kontrol etmeniz gerekecektir.

6.3) Peki ya işlevsellik açısından?
CyberManager'da tedbir tekliflerinin (temel) oluşturulmasına yönelik tedbir seçim süreci, bu niteliklerin kullanımıyla zaten büyük ölçüde uyumludur.

Sistem halihazırda Kontrol tipleri gibi seçimlerle (öznitelikler) çalışma olanakları sunmaktadır, ancak tespit edilebilir bir tip henüz uygulanmamıştır.

Bilgi Güvenliği özellikleri halihazırda uygulanmaktadır.

Siber güvenlik kavramları ve güvenlik etki alanları, CIS kontrolü ve NIST CSF için siber güvenlik kavramları için güvenlik seviyesi öznitelikleri olarak zaten uygulanmaktadır.

CyberManager'daki "Operasyonel yetenekler" özniteliği kısmen süreç/organizasyon ve/veya kaynak türleri tarafından kapsanmaktadır.

Yeni ISO 27002:2022 büyük değişiklikler getirmemektedir, ancak gerektiğinde, ISO27002:2020 ile uyumun onu kullanmak isteyen müşteriler için mümkün olan en iyi şekilde olması için onu tamamlayacağız.

 

Bu Blog'a kolaylık sağlamak amacıyla, bazı konular ISO/IEC 27002:2022'den tercüme edilmiştir
Ancak yeni standartların resmi Hollandaca çevirisini beklemenizi tavsiye ederiz.
Kaynaklar:
Şubat webinarı sırasında NEN tarafından sağlanan bilgiler,
ISO/IEC 27002:2022 standardı, NEN web sitesi, ISO.org web sitesi ve belgelendirme kuruluşumuz. 

Sorusu olan?

Bu ISO 27002:2022 ile ilgili bazı sorularınız olabileceğini veya konuları bizimle önceden koordine etmek isteyebileceğinizi tahmin edebiliyoruz, o zaman elbette yardımcı olmaktan memnuniyet duyarız.

ISO 27001 veya kuruluşunuzun ilgisini çekebilecek diğer sertifikalar ve CyberMager'ın nasıl yardımcı olabileceği hakkında daha fazla bilgi edinmek ister misiniz?

Fırsatlar ve bilgi için iletişime geçmeyi çok isteriz!

İrtibat kişinize veya sales@irm360.nl adresine mail atın veya buradaki iletişim formunu doldurun ya da ortağınızla iletişime geçin.