Önemli bir bilgi güvenliği standardı revize edildi

Sürekli Kontrol: Bilgi güvenliği yönetimi kontrollerine ilişkin yeni başlatılan kılavuz

Yeni revize edilmiş uluslararası bir siber güvenlik standardı, bilgi güvenliği uzmanlarının en son bilgi güvenliği risklerini ele almak için bilgi güvenliği kontrollerini düşünmesine ve uygulamasına yardımcı oluyor. Bu blog yazısı, revize edilmiş standardın neler sunduğunu ve işletmelerin onu kullanmaktan elde edecekleri faydaları açıklamaktadır.

Veri güvenliğinin her kuruluş için gerekli olduğu ve teknolojideki değişim hızı ve siber güvenlik riskleri göz önüne alındığında, değişen bilgi güvenliği ortamı ile sistemleri ve süreçleri güncel tutmak bir öncelik olmalıdır. 

ISO/IEC 27002:2022 Bilgi Güvenliği, Siber Güvenlik ve Gizlilik Koruması – Bilgi Güvenliği Kontrolleri, BS EN ISO/IEC 27001'deki gereksinimleri temel alan bir Bilgi Güvenliği Yönetim Sistemi (BGYS) içinde kullanım için güvenlik kontrollerinin seçimi ve uygulanması konusunda rehberlik sağlayan yeni revize edilmiş uluslararası standarttır.

Bu standardın revizyonu, özniteliklerle güvenlik kontrollerini yönetmeye modern bir yaklaşım getiriyor. Mevcut bilgi güvenliği endişelerini ve uygulamalarını yansıtmak için aday kontrollerinin güncellenmesinin yanı sıra temaların ve niteliklerin tanıtılmasını içerir. ISO/IEC 27002:2022, kuruluşlara güvenlik kontrollerini seçme ve kapsama özerkliği vermek için kılavuzu modernize etmek, basitleştirmek ve çok yönlü hale getirmek amacıyla her büyüklükten ve sektörden işletmelere yeni nesil bir güvenlik kontrolü kılavuzu sağlamayı amaçlamaktadır. uygun görüldü.

ISO/IEC 27002 ve BS EN ISO/IEC 27001 standartları birlikte nasıl çalışır?

BS EN ISO/IEC 27001, kuruluşunuzun etkin bilgi güvenliği yönetimi elde etmesi için gerekli bileşenleri ve yapıyı sağlar. Bu temel bileşenlerden biri, uygun bilgi güvenliği kontrollerinin devreye alınmasıdır. Yeni ISO/IEC 27002 dikkate alınması gereken en uygun kontrol setini sağlayarak, bu kontrollerin kuruluşunuzun risk profiline ve ihtiyaçlarına göre dikkatlice değerlendirilmesi ve dikkate alınması gerekir.

Bilgi güvenliği kontrollerine ilişkin ISO/IEC 27002, kuruluşların bilgi güvenliği yönetim sistemlerinde tanınan bilgi güvenliği kontrollerini belirlemelerine ve uygulamalarına yardımcı olmak için bir kılavuz belge olarak hizmet eder. Bu standarttaki kılavuz, en iyi uygulamaları neyin oluşturduğuna ilişkin uluslararası fikir birliğine dayalı olarak, uluslararası ve Birleşik Krallık endüstri uzmanlarından oluşan bir komite tarafından geliştirilmiştir.

Peki ne değişti?

ISO/IEC 27002:2022 artık “uygulama kuralları” olarak tanımlanmasa da, kullanım amacı değişmemiştir. Bilgi güvenliği kontrollerinin tanımlanabileceği yolların kapsamlı bir kapsamını elde ederek referans verilebilir bir bilgi güvenliği kontrolleri seti sağlayan bir “referans el kitabı” olmaya devam etmektedir.

Yeni revize edilen standart, gerekli hiçbir kontrolün gözden kaçırılmamasını ve rehberliğin dört temel alanda birleştirilmesini sağlayarak işletmelerin benimsemesini kolaylaştırmayı amaçlıyor. Bu dört kontrol sütunu şunlardır: Örgütsel, İnsanlar, Fiziksel, Teknolojik.

Sonuç olarak, revize edilmiş standart dahilinde kullanıcılar, mevcut kontrollerin yeniden yapılandırıldığını ve listelenen güvenlik kontrollerinin sayısının 114'ten 93'e düştüğünü ve artık en iyi uygulamaları yansıtmadıkları için bazı kontrollerin kaldırıldığını görecekler.

ISO/IEC 27002 standardının en son sürümünde 11 yeni kontrol tanıtıldı, 24 kontrol birleştirildi ve 58 kontrol güncellendi. Bunlar, tehdit istihbaratı, bulut hizmetlerinin kullanımı için bilgi güvenliği ve veri sızıntısının önlenmesi dahil olmak üzere teknolojilerdeki ve endüstriyel uygulamalardaki gelişimi yansıtır. Bu, siber saldırıların doğasının değişmesine rağmen, işletmelerin bilgi güvenliği üzerinde sürekli kontrol sağlayabilmelerini sağlayacaktır.

IST 33 Başkanı Steve Watkins, "ISO/IEC 27002'nin hoş geldiniz güncellemesi, kontrol seçeneklerini ve açıklamaları güncel hale getiriyor ve kuruluşların siber güvenlik risklerini yönetmeleri için seçim ve dağıtımlarına yardımcı olmak için tema ve nitelik kavramlarını tanıtıyor.”

BS EN ISO/IEC 27002:2013'ün önceki sürümünün kullanıcılarının güncellenmiş 2021 kılavuzunun nasıl uygulanacağını bilmelerine yardımcı olmak için yeni bir 27002 Ek A, kontrollerin farklı görünümlerini oluşturmanın bir yolu olarak niteliklerin kullanımını gösterir. Ek olarak, yeni bir Ek B, geriye dönük uyumluluk sağlamak için 2013 baskısı kontrol tanımlayıcılarına referanslar içerir.

Kuruluşlar neden bu değişiklikleri uygulamalı?

COVID-19 salgını nedeniyle, çalışanlarının çoğu hibrit bir çalışma modeline uyum sağlamaya ve ilerlemeye devam ederken, çoğu işletme dijital dönüşümlerini hızlandırmak ve bulut altyapılarına daha fazla güvenmek zorunda kaldı.

Kuruluşlar bu hızlı değişimler arasında kendilerine yer bulurken, siber suçlular her zamankinden daha gelişmiş teknolojiye sahip bu yeni sistemlerdeki güvenlik açıklarından yararlanmanın yollarını buluyordu.

Pandemi boyunca kaç işyerinin ve günlük iş operasyonunun dijitalleştiği göz önüne alındığında, ISO/IEC 27002:2022, kuruluşların günümüzün yüksek riskli ortamında etkili bilgi güvenliği yönetimi elde etmelerini nasıl destekliyor?

Daha da önemlisi, bu standart, kuruluşlara mevcut ortamda güncel bilgi güvenliği kontrollerinin tanımlanması, uygulanması ve yönetimi konusunda yardımcı olur. Bu kontroller, politikaları, kuralları, süreçleri, prosedürleri, organizasyonel yapıları ve yazılım ve donanım çözümlerini içerecektir.

Bu, kuruluşların sürdürülebilir olan ve bilgi güvenliği yönetim sistemlerinin genel uygunluğunu artırmaya çalışan uygun ve orantılı kontrolleri belirlemelerine yardımcı olur.

Bu revize edilmiş standardın tüm avantajlarından yararlanmak için her kuruluş, ISO/IEC 27002:2022'de belirtilen yeni aday kontrol setini işletmelerinin değişen ihtiyaçlarına uygun olarak gözden geçirmeli ve değerlendirmelidir.