ISO/IEC 27032 Bilgi Teknolojisi — Güvenlik teknikleri — Kuralları

ISO / IEC 27032: 2012, bir projenin veya kuruluşun siber güvenlik durumunu iyileştirmek için rehberlik sağlar ve özellikle diğer güvenlik alanlarında araştırma bağımlılıklarını ortaya çıkarır. ISO 27001 serisinde birçok güvenlik standardı vardır. Ancak, ISO / IEC 27032 standardı, iş süreçlerinin korunması ve uzun vadeli sürdürülebilirliği için yönergeler sağlar.

SİBER GÜVENLİK

Güvenlik terimi, çeşitli disiplinleri kapsayan ve uygulama güvenliği, ağ güvenliği ve ağ güvenliği gibi birçok alanı içeren karmaşık bir terimdir. Bu nedenle, ağ güvenliği bilgi güvenliği, uygulama güvenliği, ağ güvenliği vb. İle eşanlamlı değildir. Siber güvenliğin temel amacı, paydaşların siber uzayın korunmasında aktif bir rol oynamasını sağlamaktır (yani paydaşların siber uzayın güvenliğini sağlamak ve sürdürmek için harekete geçmesini gerektirir) ve güvenilirliğini ve pratikliğini geliştirmektir.

FAYDALARI

Kuruluşun verilerini ve gizliliğini siber tehditlere karşı korumak, Siber güvenlik planları oluşturma ve sürdürme becerilerini geliştirmek, Siber güvenlik stratejilerini yönetmek için en iyi uygulamaların geliştirilmesine yardımcı olmak, Kuruluşun güvenlik sistemlerini ve iş sürekliliğini iyileştirmek ve paydaşlarla güven inşa etmek, Olay meydana geldiğinde daha hızlı yanıt vermek gibi faydaları bulunmaktadır.

SİBER UZAY KAVRAMI

İnternet ve benzeri ağları kullanan kişiler ile bilgisayar arasındaki iletişimin oluşturduğu sanal gerçeklik ortamını tanımlayan metaforik bir soyutlamadır. Siber uzay aynı zamanda İnternet’in karşılığı olarak da kullanılır. İlk olarak, bilgisayar korsanlarının nasıl sızdığını anlatan “Neuromagic” romanında Kanadalı ünlü bilim kurgu yazarı William Gibson tarafından kullanılmıştır.Bill Gates bir röportajında: “21. yüzyılda, iki tür iş olacak: Çevrimiçi işler ve artık var olmayan işler.” Bugün, çoğu işlem siber uzayda yürütülüyor. Peki Ağ güvenliği ne olacak? Öncelikle, siber uzay güvenliği ile ilgili tüm konular, onu korumak için güvenlik önlemleriyle ilgilidir. Bu nedenle, ISO 27032 temel olarak siber uzay ile daha güvenli bir etkileşim sağlamamıza yardımcı olmak için rehberlik sağlar.

ISO 27001 İLE TEMEL FARKLAR

ISO 27032, sertifikalandırabileceğiniz bir standart değildir; belki de bu, bilgi güvenliği yönetim sistemlerinin sertifikalandırılmasına izin veren ISO 27001’den en önemli farklarından biridir. 
Bu nedenle, bu iki standardın farklı hedefleri vardır, ancak bunlar yakından ilişkilidir. ISO 27032’nin temel amacı ağ güvenliği konusunda rehberlik ve özel öneriler sağlamak olsa da, ISO 27001 bir bilgi güvenliği yönetim sistemi kurmak için gereksinimleri belirtir. Bu nedenle, ISO 27001 kuruluşunuza ve bilgi güvenliği yönetim sistemine odaklanırken, ISO 27032 siber uzaya odaklanır ve farklı güvenlik alanlarına odaklanarak siber uzaydaki işbirliklerini ve sorunları çözmek için bir çerçevedir.

RİSK YÖNETİMİ

Risk, belirli parametrelere (varlıklar, tehditler ve güvenlik açıkları gibi) göre hesaplanabilir, ancak riski hesaplamanın başka yolları da vardır.ISO 27001’in mevcut sürümü, risk düzeyini belirlemek için varlıkları, tehditleri ve güvenlik açıklarını göz önünde bulundurmanız gerektiğine işaret etmez.Daha esnektir. Öte yandan, ISO 27032, farklı varlık türlerini belirtir ve ISO 27005 gibi herhangi bir tehdit ve güvenlik açığı kataloğu yoktur. Risk yönetimi için en iyi uygulamalar olan ISO 27005 veya ISO 31000’e atıfta bulunurlar.

KONTROLLER

ISO 27001, 114 kontrole sahiptir, ancak bunların tümü teknolojiyle ilgili değildir.Birçoğu tedarikçi yönetimi, insan kaynakları yönetimi vb. İle ilgilidir. Ancak, ISO 27032’deki kontroller, ağ güvenliği için daha spesifik kontrolleri içerir. (Seviye kontrollerinin uygulanması, sunucuların korunması, son kullanıcılar, sosyal mühendislik saldırı kontrolleri vb.) ISO 27001, hiçbirinin ağ güvenliğiyle doğrudan bir ilişkisi olmayan her kontrolün yalnızca kısa bir açıklamasını içerir.Her bir kontrol ve uygulama kılavuzunun ayrıntılı bilgileri ISO 27002’de bulunabilir.ISO 27032’de bulabileceğiniz bir diğer önemli bileşen, olası siber güvenlikle ilgili olayları yönetirken özellikle koordinasyon ve bilgi alışverişinin çerçevesidir. ISO 27001 ayrıca olayları yönetmek için Ek A’da bulunan kontrollere sahiptir, ancak bu kontroller yalnızca bilgi güvenliğiyle ilgili olaylar için kullanılır.

ENTEGRASYON

ISO 27001, işletme bilgilerinizi korumaya yardımcı olmak için Ek A güvenlik kontrolleri sağladığından, bu iki standart ayrı olarak değil, bir bütün olarak anlaşılmalı ve uygulanmalıdır.Ancak, ISO 27032 kontrol listesi siber uzaydaki operasyonlarınızı korumak için önemlidir. Hazırlanan eylem planında tam olarak nelerin uygulanması gerektiğini, son teslim tarihi, sorumlu kişi, bütçe ve uygulama hakkında kime bilgi verilmesi gerektiği belirtilmelidir.

Kaynaklar:

Cybersecurity Guidelines – Introduction to ISO 27032
https://pecb.com/past-webinars/cybersecurity-guidelines—introduction-to-iso-27032

ISO 27001 vs. ISO 27032 cybersecurity standard
https://advisera.com/27001academy/blog/2015/08/25/iso-27001-vs-iso-27032-cybersecurity-standard/

ISO/IEC 27032:2012
https://www.iso.org/standard/44375.html

9 Steps to Cybersecurity
ISBN: 978-953-57452-0-4
Dejan Kosutic

Ceyhan Molla tarafından

Management Information Systems (MIS) MSc

1 yorum

  1. Ülkemizde bununla ilgili bir döküman bulamamıştım. Teşekkür ederim.

Yorum Gönderin

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir