ETİK
KÜLTÜR & SANAT
ISO/IEC Bilgi Güvenliği, Siber Güvenlik ve Gizliliğin Korunması Standartları Özet Bilgilendirme Bölüm-2
.png)
ISO/IEC Bilgi Güvenliği, Siber Güvenlik ve Gizliliğin Korunması Standartları
Özet Bilgilendirme
Bölüm-2
ISO/IEC 27005:2022
Bilgi Güvenliği Risklerinin Yönetilmesine İlişkin Rehberlik
Celal Ünalp
Özet Bilgilendirme
Bölüm-2
ISO/IEC 27005:2022
Bilgi Güvenliği Risklerinin Yönetilmesine İlişkin Rehberlik
Celal Ünalp
İçinde bulunduğumuz sayısallaşma çağında, her kuruluş, bilgilerinin gizliliğini, bütünlüğünü ve erişilebilirliğini sağlama konusunda büyük endişe duymaktadır. Artan siber saldırılar, kuruluşların güvenlik açıklarından faydalanmaları halinde kesinti sürelerine, veri ihlallerine, uyum ihlallerine, itibar ve güven kaybına, mali kayıplara ve bağlamına göre çok daha fazlasına neden olabilecek bir dizi tehdit sunmaktadır.
Bu nedenle, kuruluşların bilgi güvenliği risklerini yönetmek ve fırsatları ele almak için iyi yapılandırılmış ve sistematik bir yaklaşım benimsemeleri zorunlu hale gelmiştir.
Belgelendirmeyle sonuçlanan Bilgi Güvenliği Yönetim Sistemleri (BGYS), risk tanımlama, risk çözümleme, risk izolasyonu ve risklerin kaynağının izlenmesini hızlandırmak veya olası fırsatları belirlemek için risk yönetimi yaklaşımını kullanır. Risk ve fırsat tanımlama olmadan, sistem kurulumları, sorun tespit ve çözümündeki zaman ve maliyet faktörleri, hem BT personelinin ve kaynaklarının maliyeti hem de olası kesinti/kayıp süresinin maliyeti açısından çok büyük olacaktır.
İyi belgelenmiş bir kurulumun ekonomik faydaları çok yönlüdür ve sonuçta toplam sahip olma ve bakım maliyetini düşürür. Bir şeyi yapmanın fikir birliği ile oluşturulmuş, tekrarlanabilir bir yolu olan uluslararası BG standartlarına dayalı Bilgi Güvenliği Risk Yönetim Sistemlerinin (BGRYS) kritik rol oynadığı yer burasıdır.
ISO/IEC/TR 27005:2022, 2008'den beri onaylanan ve BGYS risk yönetimi süreçlerini uçtan uca tanımlayarak rehberlik sağlayan BGRYS standardıdır.
ISO/IEC 27005, bilgi güvenliği risk yönetimi için rehberlik etmeyi amaçlayan uluslararası bir standarttır. Kuruluşlar için bilgi güvenliği risk yönetimi süreçlerinin oluşturulması ve iyileştirilmesi ile bilgi güvenliği risk değerlendirmesi ve tedavisine ilişkin ISO/IEC 27001:2022 gerekliliklerinin uygulanması konusunda kılavuz ilkeler sağlar.
Belirli bir alandaki değişikliklere ve eğilimlere ayak uydurmak için ISO, standartlarını normalde yayınlandıktan sonra her beş yılda bir gözden geçirir. ISO/IEC 27005 birkaç gözden geçirme sürecinden geçmiş ve en son yayınlanmasından dört yıl sonra Ekim 2022'de yeniden yayınlanmıştır. ISO/IEC 27005'in dördüncü ve en son sürümü, standardın önceki sürümünü iptal eder ve onun yerini alır.
ISO/IEC/TR 27005:2022 aşağıdaki konularda rehberlik sağlar:
• ISO/IEC 27001:2022'de belirtilen BG risk gereksinimlerinin uygulanması
o BGYS kurmayı ve uygulamayı amaçlayan türü, büyüklüğü veya sektörü ne olursa olsun tüm kuruluşlar için
o BG risk yönetimini gerçekleştiren veya buna dahil olan kişiler için (örneğin BGYS uzmanları, risk sahipleri ve diğer ilgili taraflar)
o BG risk yönetimi sürecini iyileştirmeyi amaçlayan kuruluşlar için
• BGRYS faaliyetlerini desteklemek için ISO/IEC JTC 1/SC 27 tarafından geliştirilen standartlar içindeki temel referanslar
• BGYS ilgili riskleri ele alan eylemler (bkz. ISO/IEC 27001:2022, 6.1 ve Madde 8)
• BGYS bağlamında ISO 31000'deki risk yönetimi kılavuzunun uygulanması
• Risk yönetimine ilişkin ayrıntılı rehberlik için ve ISO/IEC 27003'teki BGYS uygulama kılavuzunu tamamlar.
ISO/IEC/TR 27005:2022 ile sunulan tüm risk yönetimi faaliyetleri aşağıdaki şekilde yapılandırılmıştır:
Girdi: Faaliyeti gerçekleştirmek için gerekli bilgileri tanımlar.
Eylem: Etkinliği açıklar.
**(YENİ)** Tetikleyici: Örneğin kuruluş içindeki bir değişiklik nedeniyle veya bir plana göre veya kuruluşun dış bağlamındaki bir değişiklik nedeniyle faaliyete ne zaman başlanacağı konusunda rehberlik sağlar.
Çıktı: Faaliyetin gerçekleştirilmesinden sonra elde edilen bilgilerin yanı sıra bu çıktının karşılaması gereken kriterleri tanımlar.
Rehberlik: Etkinliğin, anahtar kelimenin ve anahtar kavramın gerçekleştirilmesine yönelik rehberlik sağlar.
ISO 27005:2022'deki Değişiklik ve Güncellemeler
2008 yılında ilk sürümü çıkan bu standarda, büyük bir güncellemenin 2018'de yapılması beklenmiş ancak uyum eksikliği, sadece ISO 27001:2013 versiyonuna atıfta bulunulacak bir değişiklikle küçük bir güncellemeyle sonuçlanmış, 2018'de beklenen büyük güncelleme şimdi 2022 versiyonunun bir parçası olarak yayınlanmıştır.
İlk değişiklik standardın adı ve başlığında yapılmıştır :
ESKİ 2018 :
ISO/IEC 27005:2018 Bilgi teknolojisi – Güvenlik teknikleri – Bilgi güvenliği risk yönetimi
YENİ 2022 :
ISO/IEC 27005:2022 Bilgi güvenliği, siber güvenlik ve gizliliğin korunması – Bilgi güvenliği risklerinin yönetilmesine ilişkin kılavuz
Bu değişiklik, ISO 27001 ve ISO 27005 arasındaki ilişkiyi standart ailesinde resmi hale getirmiştir. ISO 27001'in bir parçası olarak ihtiyaç duyulan bilgi güvenliği risklerinin nasıl yönetileceği konusunda 27005 rehberlik sağladığı için iki standart birbirine oldukça bağımlıdır.
Standardın bağlamındaki ana değişiklikler aşağıdaki gibidir:
o Tüm kılavuz metin ISO/IEC 27001:2022 ve ISO 31000:2018 ile uyumlu hale getirilmiştir
o Tüm kılavuz metin ISO 31000:2018'deki terminoloji ile uyumlu hale getirilmiştir
o Maddelerin yapısı ISO/IEC 27001:2022 düzenine göre ayarlanmıştır (etki kavramı, sonuç ile değiştirilmiştir)
o Olay senaryosu yerine risk senaryosu tanımı ve ilgili kavramlar getirilmiştir.
- ESKİ ISO27005:2018 risk senaryosu terimini kullanmıyordu. Bunun yerine olay senaryosuna atıfta bulunuyordu.
Bölüm 8.2.6 (2018): "Bir olay senaryosu, bir bilgi güvenliği olayında belirli bir güvenlik açığından veya bir dizi güvenlik açığından yararlanan bir tehdidin tanımıdır (bkz. ISO/IEC 27002:2005, Madde 13).
Olay senaryolarının etkisi, bağlam oluşturma faaliyeti sırasında tanımlanan etki kriterleri dikkate alınaraK belirlenmelidir. Bir veya daha fazla varlığı veya bir varlığın bir kısmını etkileyebilir. Bu nedenle varlıklara hem finansal maliyetleri hem de hasar görmeleri veya tehlikeye girmeleri halinde ortaya çıkacak iş sonuçları nedeniyle değerler atanabilir. Sonuçlar geçici nitelikte olabilir veya bir varlığın yok olması durumunda olduğu gibi kalıcı olabilir."
- YENİ ISO27005:2022'de artık bunun yerine risk senaryosu kullanılmaktadır. Tanımı, ISO 17666:2016, 3.1.13 ile uyumlu olacak şekilde (bölüm 3.1.4) "ilk nedenden istenmeyen sonuca (3.1.14) giden olaylar dizisi veya kombinasyonu (3.1.11)" olarak tanımlanmıştır.
o Yeni getirilen olay bazlı yaklaşım, risk tanımlamasına yönelik varlık bazlı yaklaşımla karşılaştırılmaktadır. Bu muhtemelen standarttaki en önemli değişikliktir.
o Güncel ve dinamik bir değerlendirmeyi sürdürmek için bir tetikleme kriteri getirilmiştir
o Standarda yeni eklenen bu unsur, çerçevenin bir adımı olan faaliyetin ne zaman başlatılacağı veya ne zaman güncelleneceği konusunda rehberlik sağlar. Örneğin, kuruluş içindeki bir değişiklik veya bir plana göre ya da kuruluşun dış bağlamındaki bir değişiklik nedeniyle, bağlam oluşturma ve bununla birlikte birincil varlıkların listesi güncellenmelidir. Bu, dinamik bir bilgi güvenliği risk değerlendirmesi yapılmasına yardımcı olur.
o ISO 27035 ve SOC/SIEM faaliyetleriyle bağlantılı risk senaryolarının izlenmesine odaklanma getirilmiştir
o Eklerin içeriği artık uygulama teknikleri sağlamaktadır
o CVE'nin (Ortak Güvenlik Açıkları ve Zafiyetler Referans Kataloğu) operasyonel senaryolarla eşleştirilmesine yardımcı olmak için varlık temelli yaklaşımda güvenlik açıklarının istismarı vurgulanmıştır
Standardın belge yapısındaki ana değişiklikler aşağıdaki gibidir:
ESKİ 2018 :
Madde 7 : Bağlam oluşturma
Madde 8 : Risk değerlendirmesi
Madde 9 : Risk tedavisi
Madde 10 : Risk kabulü (KALDIRILDI)
Madde 11 : Risk iletişimi (KALDIRILDI)
Madde 12 : Risk izleme ve gözden geçirme
YENİ 2022 :
Madde 5 : Bilgi güvenliği risk yönetimi
Madde 6 : Bağlam oluşturma
Madde 7 : Bilgi güvenliği risk değerlendirme süreci (2018 versiyonundaki risk kabulü ve iletişimi buraya taşındı)
Madde 8 : Bilgi güvenliği risk işleme süreci
Madde 9 : Operasyon
Madde 10 : İlgili BGYS süreçlerinden yararlanma
Bu nedenle, kuruluşların bilgi güvenliği risklerini yönetmek ve fırsatları ele almak için iyi yapılandırılmış ve sistematik bir yaklaşım benimsemeleri zorunlu hale gelmiştir.
Belgelendirmeyle sonuçlanan Bilgi Güvenliği Yönetim Sistemleri (BGYS), risk tanımlama, risk çözümleme, risk izolasyonu ve risklerin kaynağının izlenmesini hızlandırmak veya olası fırsatları belirlemek için risk yönetimi yaklaşımını kullanır. Risk ve fırsat tanımlama olmadan, sistem kurulumları, sorun tespit ve çözümündeki zaman ve maliyet faktörleri, hem BT personelinin ve kaynaklarının maliyeti hem de olası kesinti/kayıp süresinin maliyeti açısından çok büyük olacaktır.
İyi belgelenmiş bir kurulumun ekonomik faydaları çok yönlüdür ve sonuçta toplam sahip olma ve bakım maliyetini düşürür. Bir şeyi yapmanın fikir birliği ile oluşturulmuş, tekrarlanabilir bir yolu olan uluslararası BG standartlarına dayalı Bilgi Güvenliği Risk Yönetim Sistemlerinin (BGRYS) kritik rol oynadığı yer burasıdır.
ISO/IEC/TR 27005:2022, 2008'den beri onaylanan ve BGYS risk yönetimi süreçlerini uçtan uca tanımlayarak rehberlik sağlayan BGRYS standardıdır.
ISO/IEC 27005, bilgi güvenliği risk yönetimi için rehberlik etmeyi amaçlayan uluslararası bir standarttır. Kuruluşlar için bilgi güvenliği risk yönetimi süreçlerinin oluşturulması ve iyileştirilmesi ile bilgi güvenliği risk değerlendirmesi ve tedavisine ilişkin ISO/IEC 27001:2022 gerekliliklerinin uygulanması konusunda kılavuz ilkeler sağlar.
Belirli bir alandaki değişikliklere ve eğilimlere ayak uydurmak için ISO, standartlarını normalde yayınlandıktan sonra her beş yılda bir gözden geçirir. ISO/IEC 27005 birkaç gözden geçirme sürecinden geçmiş ve en son yayınlanmasından dört yıl sonra Ekim 2022'de yeniden yayınlanmıştır. ISO/IEC 27005'in dördüncü ve en son sürümü, standardın önceki sürümünü iptal eder ve onun yerini alır.
ISO/IEC/TR 27005:2022 aşağıdaki konularda rehberlik sağlar:
• ISO/IEC 27001:2022'de belirtilen BG risk gereksinimlerinin uygulanması
o BGYS kurmayı ve uygulamayı amaçlayan türü, büyüklüğü veya sektörü ne olursa olsun tüm kuruluşlar için
o BG risk yönetimini gerçekleştiren veya buna dahil olan kişiler için (örneğin BGYS uzmanları, risk sahipleri ve diğer ilgili taraflar)
o BG risk yönetimi sürecini iyileştirmeyi amaçlayan kuruluşlar için
• BGRYS faaliyetlerini desteklemek için ISO/IEC JTC 1/SC 27 tarafından geliştirilen standartlar içindeki temel referanslar
• BGYS ilgili riskleri ele alan eylemler (bkz. ISO/IEC 27001:2022, 6.1 ve Madde 8)
• BGYS bağlamında ISO 31000'deki risk yönetimi kılavuzunun uygulanması
• Risk yönetimine ilişkin ayrıntılı rehberlik için ve ISO/IEC 27003'teki BGYS uygulama kılavuzunu tamamlar.
ISO/IEC/TR 27005:2022 ile sunulan tüm risk yönetimi faaliyetleri aşağıdaki şekilde yapılandırılmıştır:
Girdi: Faaliyeti gerçekleştirmek için gerekli bilgileri tanımlar.
Eylem: Etkinliği açıklar.
**(YENİ)** Tetikleyici: Örneğin kuruluş içindeki bir değişiklik nedeniyle veya bir plana göre veya kuruluşun dış bağlamındaki bir değişiklik nedeniyle faaliyete ne zaman başlanacağı konusunda rehberlik sağlar.
Çıktı: Faaliyetin gerçekleştirilmesinden sonra elde edilen bilgilerin yanı sıra bu çıktının karşılaması gereken kriterleri tanımlar.
Rehberlik: Etkinliğin, anahtar kelimenin ve anahtar kavramın gerçekleştirilmesine yönelik rehberlik sağlar.
ISO 27005:2022'deki Değişiklik ve Güncellemeler
2008 yılında ilk sürümü çıkan bu standarda, büyük bir güncellemenin 2018'de yapılması beklenmiş ancak uyum eksikliği, sadece ISO 27001:2013 versiyonuna atıfta bulunulacak bir değişiklikle küçük bir güncellemeyle sonuçlanmış, 2018'de beklenen büyük güncelleme şimdi 2022 versiyonunun bir parçası olarak yayınlanmıştır.
İlk değişiklik standardın adı ve başlığında yapılmıştır :
ESKİ 2018 :
ISO/IEC 27005:2018 Bilgi teknolojisi – Güvenlik teknikleri – Bilgi güvenliği risk yönetimi
YENİ 2022 :
ISO/IEC 27005:2022 Bilgi güvenliği, siber güvenlik ve gizliliğin korunması – Bilgi güvenliği risklerinin yönetilmesine ilişkin kılavuz
Bu değişiklik, ISO 27001 ve ISO 27005 arasındaki ilişkiyi standart ailesinde resmi hale getirmiştir. ISO 27001'in bir parçası olarak ihtiyaç duyulan bilgi güvenliği risklerinin nasıl yönetileceği konusunda 27005 rehberlik sağladığı için iki standart birbirine oldukça bağımlıdır.
Standardın bağlamındaki ana değişiklikler aşağıdaki gibidir:
o Tüm kılavuz metin ISO/IEC 27001:2022 ve ISO 31000:2018 ile uyumlu hale getirilmiştir
o Tüm kılavuz metin ISO 31000:2018'deki terminoloji ile uyumlu hale getirilmiştir
o Maddelerin yapısı ISO/IEC 27001:2022 düzenine göre ayarlanmıştır (etki kavramı, sonuç ile değiştirilmiştir)
o Olay senaryosu yerine risk senaryosu tanımı ve ilgili kavramlar getirilmiştir.
- ESKİ ISO27005:2018 risk senaryosu terimini kullanmıyordu. Bunun yerine olay senaryosuna atıfta bulunuyordu.
Bölüm 8.2.6 (2018): "Bir olay senaryosu, bir bilgi güvenliği olayında belirli bir güvenlik açığından veya bir dizi güvenlik açığından yararlanan bir tehdidin tanımıdır (bkz. ISO/IEC 27002:2005, Madde 13).
Olay senaryolarının etkisi, bağlam oluşturma faaliyeti sırasında tanımlanan etki kriterleri dikkate alınaraK belirlenmelidir. Bir veya daha fazla varlığı veya bir varlığın bir kısmını etkileyebilir. Bu nedenle varlıklara hem finansal maliyetleri hem de hasar görmeleri veya tehlikeye girmeleri halinde ortaya çıkacak iş sonuçları nedeniyle değerler atanabilir. Sonuçlar geçici nitelikte olabilir veya bir varlığın yok olması durumunda olduğu gibi kalıcı olabilir."
- YENİ ISO27005:2022'de artık bunun yerine risk senaryosu kullanılmaktadır. Tanımı, ISO 17666:2016, 3.1.13 ile uyumlu olacak şekilde (bölüm 3.1.4) "ilk nedenden istenmeyen sonuca (3.1.14) giden olaylar dizisi veya kombinasyonu (3.1.11)" olarak tanımlanmıştır.
o Yeni getirilen olay bazlı yaklaşım, risk tanımlamasına yönelik varlık bazlı yaklaşımla karşılaştırılmaktadır. Bu muhtemelen standarttaki en önemli değişikliktir.
o Güncel ve dinamik bir değerlendirmeyi sürdürmek için bir tetikleme kriteri getirilmiştir
o Standarda yeni eklenen bu unsur, çerçevenin bir adımı olan faaliyetin ne zaman başlatılacağı veya ne zaman güncelleneceği konusunda rehberlik sağlar. Örneğin, kuruluş içindeki bir değişiklik veya bir plana göre ya da kuruluşun dış bağlamındaki bir değişiklik nedeniyle, bağlam oluşturma ve bununla birlikte birincil varlıkların listesi güncellenmelidir. Bu, dinamik bir bilgi güvenliği risk değerlendirmesi yapılmasına yardımcı olur.
o ISO 27035 ve SOC/SIEM faaliyetleriyle bağlantılı risk senaryolarının izlenmesine odaklanma getirilmiştir
o Eklerin içeriği artık uygulama teknikleri sağlamaktadır
o CVE'nin (Ortak Güvenlik Açıkları ve Zafiyetler Referans Kataloğu) operasyonel senaryolarla eşleştirilmesine yardımcı olmak için varlık temelli yaklaşımda güvenlik açıklarının istismarı vurgulanmıştır
Standardın belge yapısındaki ana değişiklikler aşağıdaki gibidir:
ESKİ 2018 :
Madde 7 : Bağlam oluşturma
Madde 8 : Risk değerlendirmesi
Madde 9 : Risk tedavisi
Madde 10 : Risk kabulü (KALDIRILDI)
Madde 11 : Risk iletişimi (KALDIRILDI)
Madde 12 : Risk izleme ve gözden geçirme
YENİ 2022 :
Madde 5 : Bilgi güvenliği risk yönetimi
Madde 6 : Bağlam oluşturma
Madde 7 : Bilgi güvenliği risk değerlendirme süreci (2018 versiyonundaki risk kabulü ve iletişimi buraya taşındı)
Madde 8 : Bilgi güvenliği risk işleme süreci
Madde 9 : Operasyon
Madde 10 : İlgili BGYS süreçlerinden yararlanma
.png)
Yeni ISO27005:2022'deki üst düzey süreç, risk kabul bloğunu bir karar noktasına indirgemekte ve belgelenmiş bilgi için özel bir blok eklemektedir.
ISO/IEC 27005:2022, bilgi güvenliği risk yönetimi sürecine önceki versiyonda bulunmayan yeni bir bileşen eklemiştir. Bu bileşen, 10.4.2 Süreçler hakkında dokümante edilmiş bilgi ve 10.4.3 Sonuçlar hakkında dokümante edilmiş bilgi maddelerinde detaylandırılan dokümantasyon kılavuzlarını belirtir.
Risk Tedavisi Üst Düzey Süreci
Yeni ISO27005:2022, önceki sürümdeki döngüsel süreç yerine sürecin yinelemeli karakterine daha fazla odaklanmaktadır.
"Bu tedavinin etkinliğini değerlendirmek" ifadesi "kabul edilebilir değilse daha ileri bir tedavi uygulamak" olarak yeniden ifade edilmiştir, bu da bir değerlendirmenin bu noktaya dahil edildiğini ima etmektedir. Ayrıca her iki versiyonda da etkinliğin değerlendirilmesini içeren izleme ve gözden geçirme ile ilgili özel bir blok bulunmaktadır.
ESKİ 2018 :
Risk tedavisi aşağıdaki şekilde döngüsel bir süreç içermekteydi :
o Risk tedavisinin değerlendirilmesi
o Kalıntı risk seviyelerinin kabul edilebilir olup olmadığına karar verilmesi
o Risk seviyeleri kabul edilebilir değilse yeni bir risk tedavisi oluşturmak
o Bu tedavinin etkinliğinin değerlendirilmesi
YENİ 2022 :
Risk tedavisi aşağıdaki şekilde yinelemeli bir süreci içerir:
o Risk tedavi seçeneklerinin formüle edilmesi ve seçilmesi
o Risk tedavisinin planlanması ve uygulanması
o Bu tedavinin etkinliğinin değerlendirilmesi
o Kalıntı riskin kabul edilebilir olup olmadığına karar vermek
o Kabul edilemezse daha ileri tedavi uygulamak
Bilgi Güvenliği Risk Yönetimi Döngüleri (Bölüm 5.2)
Yeni ISO/IEC 27005:2022, aşağıdaki risk yönetimi döngülerine olan ihtiyacı ortaya koymaktadır:
Bu durum, mevcut durumu ve tehdit ortamını yansıttığından emin olmak için bir güvenlik riski değerlendirmesinin düzenli olarak güncellenmesi ihtiyacına ışık tutmaktadır.
ESKİ 2018 :
o MEVCUT DEĞİL
YENİ 2022 :
Risk tedavisi aşağıdaki şekilde yinelemeli bir süreci içerir:
o Stratejik döngü
o Operasyonel döngü
Bağlam Oluşturma (Bölüm 6)
Bağlam kuruluşu değişmiş ve yeni ISO27005:2022 paydaşları ve onların gereksinimlerini tanımlamaktadır.
Kriterler için ayrıntı düzeyi ve bilgi derinliği yeni ISO27005:2022'de daha ayrıntılıdır.
Etki => Sonuçlar (3.1.14)
ISO 31000 ve 27001'deki terminolojiye uyum sağlamak amacıyla "etki" kelimesi "sonuç" ile değiştirilmiştir. Hedefleri etkileyen bir olayın (3.1.11) sonucudur.
Şiddet (7.3.2)
Şiddet, belirli bir sonucun büyüklük seviyesidir.
Güvenlik Asgari Çizgisi (6.2)
Bir Güvenlik risk değerlendirmesine başlamadan önce, mevcut kuralları tanımlamaktan/gerekçelendirmekten kaçınmak için geçerli gereklilikleri (sözleşme, yönetmelik, iç kurallar, vb.) ve gerçek uyum beyanını tanımlamak önemlidir.
ESKİ 2018 :
Temel kriterler
o Risk yönetimi yaklaşımı
o Ri̇sk değerlendi̇rme kri̇terleri̇
o Etki̇ kri̇terleri̇
o Ri̇sk kabul kri̇terleri̇
YENİ 2022 :
İlgili tarafların temel gereksinimlerini belirleyen kurumsal hususlar, risk değerlendirmesinin uygulanması, bilgi güvenliği risk kriterlerinin oluşturulması ve sürdürülmesi :
o Genel
o Ri̇sk kabul kri̇terleri̇
o Bilgi güvenliği risk değerlendirmesi yapmak için kriterler: genel, sonuç, olabilirlik, risk seviyesi
Güvenlik Riski Yönetiminin Kapsamı, Sınırları ve Organizasyonu
Yeni ISO 27005:2022, bağlam oluşturma maddesindeki Kapsam ve sınırlar bölümünü çıkarmaktadır.
Yeni ISO 27005:2022, risk yönetimi yaklaşımını ve yöntemlerini kuruluşta kullanılan diğer risk yönetimi yaklaşımları ve yöntemleriyle uyumlu hale getirme ihtiyacını tanımlar.
Seçilen yöntem, sonuçların şu özelliklerini sağlamalıdır: tutarlılık, karşılaştırılabilirlik, geçerlilik.
Ayrıca organizasyonel konuyu bölüm 6.1 Organizasyonel hususlar'daki genel bilgilere indirgemektedir.
ESKİ 2018 :
Madde 7.2 : Kapsam ve sınırlar
Madde 7.4 : Bilgi güvenliği risk yönetimi için organizasyon
YENİ 2022 :
Madde 6.5 : Uygun bir yöntemin seçilmesi
Risk Tanımlama
Standardın önceki versiyonunda risk tanımlama süreci varlıkların tanımlanması, tehditlerin tanımlanması, mevcut kontrollerin tanımlanması, zafiyetlerin tanımlanması ve sonuçların tanımlanmasını içeren bir dizi faaliyet olarak açıklanmaktaydı. Standardın yeni versiyonunda bu faaliyetlerden artık özellikle bahsedilmemektedir.
Muhtemelen bu revizyondaki en büyük değişikliklerden biridir. Yeni ISO 27005:2022 risk tanımlamasını iki yaklaşıma genişletmektedir. Aralarındaki farklar önemlidir ve bir ekin tamamı pratik detaylara ayrılmıştır (bölüm A.2).
Bahsedilen her iki yaklaşım da bağımsız olarak yürütülebilir ancak aynı zamanda birbirlerini tamamlayıcı niteliktedirler. Varlık temelli yaklaşım teknik detay getirirken, olay temelli yaklaşım değerlendirmeye bağlam getirmektedir.
İki yaklaşım arasında bir eşleme önerisi aşağıdaki şekilde tanımlanmıştır.
.png)
Yukarıdaki şekil (Bilgilendirici ek) yaklaşımlar (bölüm 7.2.1) ve kriterler arasında bir eşleme sağlamaktadır.
ESKİ 2018 :
Madde 8.2 : Risk tanımlama
o Varlık temelli
YENİ 2022 :
Madde 7.2 : Bilgi̇ güvenli̇ği̇ ri̇skleri̇ni̇n beli̇rlenmesi̇
Olay tabanlı yaklaşım (7.2.1)
Risk kaynaklarını ve bu risklerin istenen hedefe ulaşmak için ilgili tarafları nasıl kullandıklarını veya etkilediklerini dikkate alarak stratejik senaryoları belirler. Farklı tehdit ortamlarına odaklanan üst düzey bir değerlendirmedir ve çoğunlukla değerlendirmenin mimari detaylara girdiği makroskopik analizler için uygundur.
Bu yaklaşım, belirli bir senaryonun sonucunu ve şiddetini tanımlamak için kullanılır.
Varlık temelli yaklaşım (7.2.1)
Varlıklar, tehditler ve zafiyetler açısından detaylandırılmış operasyonel senaryoların tanımlanması. Bu değerlendirme, ekipman düzeyinde destekleyici varlıklara odaklanan derinlemesine bir değerlendirmedir ve kesin bir mimariye dayanır.
Bu yaklaşım, belirli bir senaryonun olasılığını ve ciddiyetini tanımlamak için kullanılır.
Risk Analizi
Yeni ISO27005:2022, atanmış değerlerle nitel ölçekler kullanarak yarı nicel risk analizini tanıtmaktadır.
ESKİ 2018 :
Madde 8.3.1 : risk analizi metodolojileri
o Niteliksel risk analizi
o Nicel risk analizi
YENİ 2022 :
Madde 7.3 : Bilgi güvenliği risklerinin analiz edilmesi
o Niteliksel risk analizi
o Nicel risk analizi
o Yarı kantitatif risk analizi
Sonuçların Değerlendirilmesi / Olabilirlik / Risk Seviyesi
Sonuç: Önceki ISO 27005:2018, varlık değerleme bilgilerini içerir ve bunları sonuçlarla ilişkilendirir.
Yeni ISO 27005:2022 daha genel bir açıklama kullanmaktadır.
Olabilirlik: Yeni ISO 27005:2022, uygulama kılavuzunu genişletir ve üç temel değerlendirme belirsizliği kaynağı ekler: kişisel, metodolojik, sistematik. Ayrıca olasılığı tahmin etmenin güvenilirliğini artıracak hususlar da ekler.
Risk seviyesi: Yeni ISO 27002:2022 risk seviyesinin belirlenmesinde daha fazla özgürlük tanımakta ve varlık değerlemesini bir seçenek olarak sunmakta ya da hesaplamanın doğrusal olmayabileceğini öngörmektedir.
ESKİ 2018 :
Madde 8.3.2 : Sonuçların değerlendirilmesi
Madde 8.3.3 : Olay olabilirliğinin değerlendirilmesi
Madde 8.3.4 : Risk seviyesinin belirlenmesi
YENİ 2022 :
Madde 7.3.2 : Olası sonuçların değerlendirilmesi
Madde 7.3.3 : Olabilirliğin değerlendirilmesi
Madde 7.3.4 : Risk seviyesinin belirlenmesi
Risk Değerlemesi
Yeni ISO 27005:2022, açıklamayı önemli ölçüde genişletmektedir.
Risk sahiplerinin sorumlu oldukları riskleri iyi anlamaları gerektiğine dair önemli bir yeni ifade bulunmaktadır.
ESKİ 2018 :
Madde 8.4 : Risk değerlendirmesi
YENİ 2022 :
Madde 7.4 : Bilgi güvenliği risklerinin değerlemesi
Madde 7.4.1 : Risk analizi sonuçlarının risk kriterleri ile karşılaştırılması
Madde 7.4.2 : Risk tedavisi için analiz edilen riskin önceliklendirilmesi
Güvenlik Riski Tedavisi ve Uygulanabilirlik Beyanı (SoA)
Güvenlik Riski tedavisi: Bölümün ifade biçimi ve bölümlenmesi önemli ölçüde farklılık göstermektedir.
Temel mesaj her iki ISO versiyonunda da tutarlıdır ve risk uygulamasına yönlendirir. Genel bilgi, farklı risk işleme seçenekleridir: riskten kabul, kaçınma, azaltma ve transfer. Önceki ISO 27005:2018 bu dört seçeneği detaylandırırken, yeni ISO 27005:2022 risk işleme planının formülasyonuna, risk sahiplerinin onayına ve kalan risklerin kabulüne odaklanmaktadır.
Önceki ISO 27005:2018, dört risk işleme seçeneğini detaylandırmaktadır. Bu, yeni ISO 27005:2022'de bu kadar ayrıntılı bir odak noktası değildir ve sadece üst düzey bir açıklama sağlanmıştır.
Yeni ISO 27005:2022, bilgi güvenliği risk işleme seçeneklerini uygulamak için gerekli olan tüm kontrollerin belirlenmesine ilişkin bir bölüm eklemektedir. Bu bölüm ISO 27001 ve BGYS uygunluğu ile ilgilidir.
Uygulanabilirlik beyanı (SoA): Yeni ISO 27005:2022, gerekli kontrolleri, gerekçeleri, uygulama durumunu ve istisnalar için gerekçeleri içeren kontrollerin uygulanabilirlik beyanını getirmektedir (Bölüm 8.4 ve 8.5).
Risk işleminin bir parçası olarak, risk değişikliği durumunda gerekli tüm kontroller ISO/IEC 27001 Ek A'da listelenenlerle karşılaştırılacaktır.
ESKİ 2018 :
Madde 9 : Bilgi güvenliği risk tedavisi
Madde 9.2 : Risk modifikasyonu
Madde 9.3 : Riskten korunma
Madde 9.4 : Riskten kaçınma
Madde 9.5 : Risk paylaşımı
YENİ 2022 :
Madde 8 : Bilgi güvenliği risk işleme süreci
Madde 8.3 : Bilgi güvenliği risk tedavi seçeneklerini uygulamak için gerekli olan tüm kontrollerin belirlenmesi
Madde 8.4 : Belirlenen kontrollerin ISO/IEC 27001'dekilerle karşılaştırılması
Madde 8.5 : Uygulanabilirlik beyanının üretilmesi
Risk Kabulü
Önceki ISO 27005:2018, riskleri kabul etmek için genel ifadeler kullanmaktadır.
Yeni ISO 27005:2022 ise tüm riskleri (belki de basitçe kabul ederek) ele almakta ve kalan riskleri vurgulamaktadır. Sonuç aynıdır ancak yeni ISO 27005:2022 risk kabulünü daha yapılandırılmış bir şekilde açıklamaktadır.
ESKİ 2018 :
Madde 10 : Bilgi güvenliği risk kabulü
YENİ 2022 :
Madde 8.6.3 : Kalan bilgi güvenliği risklerinin kabulü
İletişim ve Danışma / İzleme ve Gözden Geçirme
İletişim ve danışma: Önceki ISO 27005:2018'de İletişim ve istişareye ayrılmış bir bölüm vardır ancak içerik çok kısadır.
Yeni ISO 27005:2022, İletişim ve danışma konusunu ilgili BGYS süreçlerinden yararlanma bölümünün altına ekler. Ayrıca risk iletişiminin gönüllü olarak üçüncü taraflara iletilebileceğini belirtmektedir.
İzleme ve Gözden Geçirme: Her iki ISO versiyonu da izleme ve gözden geçirmeye önem verir, sadece farklı şekilde yapılandırılmıştır. Yeni ISO 27005:2022 daha iyi yapılandırılmış bir açıklama sağlamaktadır. Riskle ilgili olayların izlenmesi ile bu izlemenin bir parçası olarak yeni bir kavram tanıtılmaktadır.
Riskle ilgili olayların izlenmesi (bölüm 10.5.1 ve A.2.7)
İzleme senaryoları olarak da adlandırılan bu senaryolar, Tespit aşaması ile bilgi güvenliği olay yönetimine (ISO 27035) bir bağlantıdır. Bir bilgi güvenliği risk senaryosunun izleme perspektifleri (SIEM, vb.) için korelasyon kurallarına dönüştürülmesidir. Bu kavram ayrıca bir Fransız güvenlik riski teknik komitesinde (Club EBIOS) de açıklanmıştır.
ESKİ 2018 :
Madde 11 : Bilgi güvenliği risk iletişimi ve danışma
Madde 12 : Bilgi güvenliği risk izleme ve gözden geçirme
YENİ 2022 :
Madde 10.3 : İletişim ve danışma
Madde 10.5 : İzleme ve gözden geçirme
EKLER
Standardın önceki tüm ekleri güncellenmiş ve tek bir EK A olarak yeniden yapılandırılmıştır:
Ek A'nın nasıl oluşturulduğu konusunda önemli farklılıklar vardır.
Önceki ISO 27005:2018, Ek A'yı kapsamın tanımı olarak vermektedir. Yeni ISO 27005:2022 ise tekniklere örnekler sunmaktadır.
Normatif Mi? Bilgilendirici Mi?
Ana belge ile ekler arasındaki fark, ilkinin normatif (zorunlu), ikincisinin ise bilgilendirici (ihtiyari) olmasıdır.
Eklerde sunulan tüm unsurlar okuyucuya bir öneridir ve metodolojisinde kullanıp kullanmamak ona bağlıdır.
Birincil Varlık / Destek Varlık Tanımı
Birincil veya işletme varlığı ile destekleyici varlık arasındaki fark hala bilgilendiricidir. Bu durum, bazı metodolojilerde varlıkların destekleyici ve birincil varlıkların bir karışımı olduğu ve değerlendirmenin taşıdıkları veya destekledikleri süreçler ve bilgilerden ziyade fiziksel/mantıksal varlıklara odaklandığı çeşitli yorumlara yol açabilir.
• Birincil/işletme varlıkları – bir kuruluş için değer taşıyan bilgi veya süreçler
• Destekleyici varlıklar – bir veya birkaç iş varlığının dayandığı bilgi sistemi bileşenleri
Arzulanan Son Durum (ASD) ve Amaçlanan Hedefler (A.2.3 b).)
Arzulanan son durum (ASD), risk kaynağının karşılaşma sonrasında ulaşmak istediği genel durum veya nihai hedeftir. Amaçlana hedef ise ara adımlar olarak görülebilir.
Örneğin bir risk kaynağı GİRİŞ için (pazar payları vb.) işleyişin önündeki bir ENGELİ (Kullanılabilirlik üzerindeki sonuç) hedefleyebilir.
Ekosistem ve İlgili Taraflar
Olay temelli bir yaklaşımda, stratejik senaryolar, kurum ve ilgili taraflar arasındaki etkileşimlerle ilgili olan ve risk kaynaklarının iş varlıklarına ve ASD'lerine ulaşmak için kullanabileceği bir ekosistem oluşturan farklı yolları analiz ederek oluşturulmalıdır. İlgili tarafların belirlenmesindeki amaç, en savunmasız olanları belirlemek için ekosistemin net bir görünümünü elde etmektir. Ekosistem farkındalığı bir ön risk çalışması olarak ele alınmalıdır. Aşağıdaki şekil ekosistemin ilgili taraflarının belirlenmesini göstermektedir.
.png)
ESKİ 2018 :
Ek A (bilgilendirici) Bilgi güvenliği risk yönetimi sürecinin kapsam ve sınırlarının tanımlanması
Ek B (bilgilendirici) Varlıkların tanımlanması ve değerlemesi ve etki değerlendirmesi
Ek C (bilgilendirici) Tipik tehdit örnekleri
Ek D (bilgilendirici) Güvenlik açıkları ve güvenlik açığı değerlendirme yöntemleri
Ek E (bilgilendirici) Bilgi güvenliği risk değerlendirme yaklaşımları
Ek F (bilgilendirici) Risk modifikasyonu için kısıtlamalar
YENİ 2022 :
Ek A (bilgilendirici) Risk değerlendirme sürecini destekleyen tekniklere örnekler
o A.1 Bilgi güvenliği risk kriterleri
o A.2 Pratik teknikler
SONUÇ
ISO/IEC 27005 standardının yeni revizyonu ISO/IEC 27001:2022 BGYS ile olan bağlantıyı güçlendirmektedir. Çerçeve, OLAY TABANLI ek bir yaklaşım önererek, kuruluşun ekosistemini ve süreçler ile bilgi arasındaki ilişkiyi dikkate alan daha üst düzey bir analizle risk senaryolarının yakalanmasına izin vermektedir. Hâlihazırda bir mimari mevcut bulunmadığında ön bilgi güvenliği risk değerlendirmeleri artık mümkündür.
Tetikleyici kriterlerin eklenmesi, güncel ve dinamik bir değerlendirme yapılmasını sağlamaktadır.
Paylaş:
E-BÜLTEN KAYIT
Güncel makalelerimizden haberdar olmak için e-bültene kayıt olun!
Güncel makalelerimizden haberdar olmak için e-bültene kayıt olun!