Yaklaşık 5 yıl önce ISO 27001:2013 standardında bilgi sınıflandırma konusunda bir yazı yazmış ve standardın konuyla ilgili gerekliliklerini paylaşmıştık. Yazıya ISO27001'de Bilgi Sınıflandırma linkinden erişebilirsiniz. Aradan geçen zaman zarfında ISO27001 standardı revize edildi ve artık ISO 27001:2022 olarak hayatını sürdürüyor. Yeni standardın getirdikleri ile ilgili yazımıza göz atmak isterseniz ISO 27002:2022 Revizyonu adresini ziyaret edebilirsiniz.
Bu yazımızda ise yeni standardın konuyla ilgili gerekliliklerini paylaşmak istedik. Bakalım ISO27001 standardının 2013 ve 2022 versiyonları arasında ne gibi değişiklikler olmuş.
Ek A -Bilgi güvenliği kontrolleri referansı
Önceki versiyonda olduğu gibi bilgi sınıflandırılması ile ilgili kontrol şartları Ek A'da tanımlanmış. Ek A Madde 5.12'ye göz atalım.
Bu madde bilgilerin sınıflandırması konusunda genel çerçeveyi çiziyor, fakat bir yöntem önermiyor. Bu durumda kuruluşlar buradaki çerçeveyi dikkate alarak kendi yöntemleri doğrultusunda sınıflandırma yapabilirler. Yani sınıflandırmanın doğrusu yanlışı yok.
Çizilen genel çerçevenin ise iki boyutu var. Sınıflandırma yapılırken;
1.Bilgilerin gizlilik, bütünlük ve erişilebilirlik gereklilikleri,
2.Bağıntılı ilgili tarafların (paydaşlar) gereklilikleri (ISO27001:2022 #4.2)
dikkate alınmalı.
Peki, bu konuda biraz daha fazla ipucu elde edebilir miyiz? Haydi o zaman ISO27001 Ek A'da verilen bilgi güvenliği kontrollerini detaylı olarak açıklayan ve bize ışık tutacak olan ISO27002:standardına gidelim.
ISO/IEC 27002 Standardında Bilgi Sınıflandırma
ISO 27002 standardında da bilgi sınıflandırma 5.12 maddesinde açıklanmış.
Kontrol
Bilgiler; gizlilik, bütünlük, kullanılabilirlik ve ilgili ilişkili taraf gerekliliklerine dayalı olarak kuruluşun
bilgi güvenliği ihtiyaçlarına göre sınıflandırılmalıdır.
Amaç
Kuruluş için önemine uygun olarak bilgilerin korunma ihtiyaçlarının tanımlanmasını ve anlaşılmasını
sağlamak.
Rehberlik
Kuruluş, bilgi sınıflandırmasına ilişkin konuya özgü bir politika oluşturmalı ve bunu ilgili tüm taraflara
iletmelidir.
Kuruluş, sınıflandırma şemasındaki gizlilik, bütünlük ve kullanılabilirlik gerekliliklerini dikkate almalıdır.
Bilgiye yönelik sınıflandırmalar ve ilgili koruyucu kontroller, bilgilerin gizliliği, bütünlüğü veya
kullanılabilirliği ile ilgili yasal gerekliliklerin yanı sıra bilgilerin paylaşılması veya kısıtlanması, bilgilerin
bütünlüğünün korunması ve kullanılabilirliğin sağlanması için iş ihtiyaçlarını dikkate almalıdır.
Bilgi dışındaki varlıklar da, varlık tarafından depolanan, işlenen veya başka bir şekilde yönetilen veya korunan bilgilerin sınıflandırılmasına uygun olarak sınıflandırılabilir.
Bilgi sahipleri, sınıflandırmalarından sorumlu olmalıdır.
Sınıflandırma şeması, sınıflandırma için kuralları ve sınıflandırmanın zaman içinde gözden geçirilmesi
için kriterleri içermelidir.
Sınıflandırma sonuçları, yaşam döngüsü boyunca bilginin değeri, hassasiyeti ve kritikliğindeki değişikliklere uygun olarak güncellenmelidir.
Şema, erişim kontrolüne ilişkin konuya özgü politikayla (Madde 5.1’e bakınız) uyumlu hale getirilmeli ve kuruluşun belirli iş ihtiyaçlarını karşılayabilmelidir.
Sınıflandırma, bilgilerin riske atılması durumunda kuruluş için sahip olacağı etki düzeyine göre
belirlenebilir. Şemada tanımlanan her seviyeye, sınıflandırma şemasının uygulaması bağlamında anlamlı olan bir isim verilmelidir.
Şema, tüm kuruluşta tutarlı olmalı ve herkesin bilgileri ve uygulanabilir diğer ilişkili varlıkları aynı
şekilde sınıflandırması için prosedürlerine dahil edilmelidir. Bu şekilde, herkes koruma gereklilikleri
konusunda ortak bir anlayışa sahip olur ve uygun korumayı uygular.
Seviye adları benzer olsa bile, kuruluş içinde kullanılan sınıflandırma şeması, diğer kuruluşlar tarafından kullanılan şemalardan farklı olabilir.
İlave olarak, kuruluşlar arasında hareket eden bilgiler, sınıflandırma şemaları aynı olsa dahi, her kuruluştaki bağlamına bağlı olarak sınıflandırma açısından farklılık gösterebilir.
Bu nedenle, bilgi paylaşımını içeren diğer kuruluşlarla yapılan anlaşmalar, bu bilgilerin sınıflandırılmasını belirlemek ve diğer kuruluşların sınıflandırma düzeylerini yorumlamak için
prosedürler içermelidir.
Farklı şemalar arasındaki uygunluk, ilişkili yönetme ve koruma yöntemlerinde
eşdeğerlik aranarak belirlenebilir.
Diğer bilgiler
Sınıflandırma, bilgiyle uğraşan kişilere, onu nasıl ele alacaklarına ve koruyacaklarına dair özlü bir
gösterge sağlar.
Benzer koruma gerekliliklerine sahip bilgi grupları oluşturmak ve her gruptaki tüm
bilgiler için geçerli olan bilgi güvenliği prosedürlerini belirlemek bunu kolaylaştırır.
Bu yaklaşım, duruma göre risk değerlendirmesi ve kontrollerin özel tasarımına olan ihtiyacı azaltır.
Bilgiler, belirli bir süre sonra hassas veya kritik olmaktan çıkabilir. Örneğin, bilgi halka açık hale
getirildiğinde, artık gizlilik gereklilikleri yoktur, ancak yine de bütünlük ve kullanılabilirlik özellikleri için
koruma gerektirebilir.
Aşırı sınıflandırma, ek masrafla sonuçlanan gereksiz kontrollerin uygulanmasına yol açabileceğinden veya tam tersine, yetersiz sınıflandırma, bilgileri tehlikeye karşı korumak için yetersiz kontrollere yol açabileceğinden, bu yönler dikkate alınmalıdır.
Örnek olarak, bir bilgi gizliliği sınıflandırma şeması aşağıdaki gibi dört seviyeye dayanabilir:
a) İfşa (bilgilendirme) zarar vermez,
b) İfşa, küçük itibar zedelenmesine veya küçük işletim ile ilgili etkiye neden olur,
c) İfşanın işletimler veya iş hedefleri üzerinde kısa vadeli önemli bir etkisi olur,
d) İfşanın uzun vadeli iş hedefleri üzerinde ciddi bir etkisi vardır veya kuruluşun hayatta kalmasını riske atar.
Standardın rehberlik bilgileri konuyla ilgili bir yol çizmemize yardımcı oluyor. Yazımızın sonunda daha önce de paylaştığımız bir örneği tekrar paylaşalım.
