Biznet BilişimBiznet Bilişim

By Seda Özden

Enerji Altyapıları İçin ISO 27019:2013 Standardı

Enerji Altyapıları İçin ISO 27019:2013 Standardı

Bilgi Güvenliği sektörü içerisinde olanlar ISO 27001  Bilgi Güvenliği Yönetim Sistemi standardına aşinalardır. ISO 27001 standardı ISO 27000 ailesinin kurumlar için belgenebilir nitelikte olan standardıdır. ISO 27001 standardı 2013 yılında bir önceki sürümü olan 2005 sürümünden revize edilerek güncellenmişti.  ISO 27019:2013 standardının ISO 27000 Bilgi Güvenliği Standard ailesinin bir parçası olarak ISO 27002- Code of practice for information security management- standardını referans alınarak oluşturulmuş bir standard olarak yayımlandığını görüyoruz. ISO 27002 standardı en iyi uygulama örneklerini içeren referans niteliğinde bir standarttır. ISO 27019:2013 standardının ISO 27001:2005 EK-A’sından oluşturulan ISO 27002:2005 standardı temel alınarak oluşturulduğunu söylemek yanlış olmayacaktır.

ISO 27019:2013 standardı bilgi güvenliği gereksinimlerinin enerji altyapıları başta olmak üzere kontrol sistemleri/otomasyon altyapıları uygulanabilir hale getirilmesini amaçlamaktadır. Bu alt yapılara örnek olarak elektrik üretimi, dağımı ve iletimi, doğalgaz iletimi işlemlerini gerçekleştirilen endüstriyel kontrol sistemleri verilebilir. Bu altyapılara ilişkin bilgi güvenliği ihtiyaçları geleneksel Bilgi Teknolojileri altyapılarından farklılık gösterebilmektedir.

ISO 27002:2005 standardı 11 ana başlık ve 133 kontrolden oluşuyordu. ISO 27019:2013 standardı ile aşağıdaki 31 alt madde için enerji altyapılarına özel yeni açıklamalar eklenmiştir.

ISO 27002:2005/
ISO 27019:2013
Açıklama ISO 27002:2013
Madde 6.1.6  Otoritelerle iletişim A.6.1.3
Madde 6.1.7  Özel ilgi grupları ile iletişim A.6.1.4
Madde 6.2.1  Dış taraflarla ilgili riskleri tanımlama N/A
Madde 6.2.2  Müşterilerle ilgilenirken güvenliği ifade etme N/A
Madde 6.2.3  Üçüncü taraf anlaşmalarında güvenliği ifade etme A.15.1.2
Madde 7.1.1  Varlıkların envanteri A.8.1.1
Madde 7.1.2  Varlıkların sahipliği A.8.1.2
Madde 7.2.1  Sınıflandırma kılavuzu A.8.2.1
Madde 8.1.1  Roller ve sorumluluklar A.6.1.1
Madde 8.1.2  Tarama A.7.1.1
Madde 8.1.3  İstihdam koşulları A.7.1.2
Madde 9.1.1  Fiziksel güvenlik çevresi A.11.1.1
Madde 9.1.2  Fiziksel giriş kontrolleri A.11.1.2
Madde 9.2.1  Teçhizat yerleştirme ve koruma A.11.4.1
Madde 9.2.2  Destek hizmetleri A.11.2.1 & A.11.5.2
Madde 9.2.3  Kablolama güvenliği A.11.2.2
Madde 10.1.1  Dokümante edilmiş işletim prosedürleri A.12.3.1
Madde 10.1.4  Geliştirme,  test ve işletim olanaklarının ayrımı A.12.1.4
Madde 10.4.1  Kötü niyetli koda karşı kontroller A.12.2.1
Madde 10.4.2  Mobil koda karşı kontroller A.12.2.1
Madde 10.10.1  Denetim kaydetme A.12.4.1
Madde 10.10.6  Saat senkronizasyonu A.12.4.4
Madde 11.1.1  Erişim kontrolü politikası A.9.1.1
Madde 11.3.1  Parola kullanımı A.9.3.1
Madde 11.4.5  Ağlarda ayrım A.13.1.3
Madde 11.5.2  Kullanıcı kimlik tanımlama ve doğrulama A.9.2.1
Madde 11.5.5  Oturum zaman aşımı A.9.4.2
Madde 12.1.1  Güvenlik gereksinimleri analizi ve belirtimi A.14.1.1
Madde 12.4.1  Operasyonel yazılımın kontrolü A.12.5.1
Madde 14.1.1  Bilgi güvenliğini iş sürekliliği yönetim prosesine dahil etme A.17.1.2
Madde 15.1.1  Uygulanabilir yasaları tanımlanma A.18.1.1

 

ISO 27019:2013 standardına ISO 27002:2005’e ek yeni maddeler eklendiğini görüyoruz. 4 ana ve 11 alt başlıklarla birlikte 15 yeni maddeye ilişkin liste aşağıdaki gibidir.

ISO 27019:2013 Açıklama
Madde 9.1.7  Kontrol odaları güvenliği (Securing control centers)
Madde 9.1.8  Teçhizat odalarının güvenliği (Securing equipment rooms)
Madde 9.1.9  Uç işletmelerin güvenliği (Securing peripheral sites)
Madde 9.3  Üçüncü taraf lokasyonlarda güvenlik (Security in premises of 3rd parties)
Madde 9.3.1  Tesis bünyesinde bulunmayan teçhizat (Equipment sited on the premises of other energy utility organizations)
Madde 9.3.2  Müşteri lokasyonundaki teçhizat (Equipment sited on customer’s premises)
Madde 9.3.3  Bağlantılı kontrol ve iletişim sistemleri (Interconnected control and communication systems)
Madde 10.6.3  Kontrol sistemi verilerinin güvenliği (Securing process control data communication)
Madde 10.11  Güncel olmayan sistemler (Legacy systems)
Madde 10.11.1  Güncel olmayan sistemlerin iyileştirilmesi (Treatment of legacy systems)
Madde 10.12  Emniyet fonksiyonları (Safety functions)
Madde 10.12.1  Emniyet fonksiyonlarının erişebilirliği ve bütünlüğü (Integrity and availability of safety functions)
Madde 11.4.8  Kontrol sistemlerinin mantıksal harici bağlantıları (Logical coupling of external process control systems)
Madde 14.2  Gerekli acil iletişim servisleri (Essential emergency services)
Madde 14.2.1  Acil iletişim (Emergency communication)

 

By Seda Özden

ISO 27001:2005’ten ISO 27001:2013’e Geçişi

Daha önce de duyurduğumuz üzere ISO 27001 standardının yeni revizyonu geçtiğimiz yıl Ekim ayında ISO tarafından yayınlanmıştı. Sistemi en baştan kuracak olan kuruluşlar için yeni rehber artık 2013 versiyonu. Ancak 2005 versiyonunda belgelendirilmiş olan kuruluşların, birçok yeniliği beraberinde getiren bu yeni revizyona geçiş yapmaları gerekecektir. Bu süreçte izlemeleri gereken stratejiler aşağıdaki 2 seçenekten biri olmalıdır.   Read more

By Seda Özden

ISO 27001:2013 ve ISO 27002:2013 Standartları Yayınlandı

2013 son çeyreğinde yayınlanacağı konuşulan ISO 27001’in 2013 versiyonu 25 Eylül 2013 tarihi itibari ile yayınlandı. ISO’nun kendi sitesinde resmi olarak satışına başlanılan standartlar aşağıdaki linkten temin edilebilir:

http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=54534

http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=54533

Peki neler değişti?!   Read more