ISO 27001 YAMA YÖNETİMİ
BEKLENTİLERİ
TS
ISO/IEC 27001 kapsamında Teknik Açıklık Yönetimi’ne ait kontrol şu şekilde
belirtilmiştir.
Teknik açıklık yönetimi
Amaç: Yayınlanmış teknik açıklıkların istismarından kaynaklanan
riskleri azaltmak.
Teknik açıklıkların kontrolü
Kullanılan bilgi sisteminin teknik açıklıkları hakkında
zamanında bilgi elde edilmeli, kuruluşun bu tür açıklıklara maruz kalması
değerlendirilmeli ve ilişkili riskleri hedef alan uygun önlemler alınmalıdır
TEKNİK AÇIKLIK TAKİBİ YAPILACAK
SİSTEMLERİN/UYGULAMALARIN BELİRLENMESİ
ISO/IEC
27001 BGYS kurulumu esnasında çıkarılmış olan varlık envanterinde yer alan ve
kapsamda bulunan ya da kurum tarafından takibi uygun görülen
sistemler/uygulamalar için açıklık takibi yapılmalıdır. En iyi uygulama örneği,
kurum sistemi içerisinde bulunan ve BGYS ile bağlantılı tüm sistemler için bu
takibin yapılmasıdır. Ancak çoğunlukla iş gücü vb. etkenler nedeniyle
gerçeklenememektedir.
BGYS kapsamı içerisindeki sistemlerin teknik açıklık yönetiminin
gerçekleştirilmesi, sistem güvenliği adına büyük önem taşımaktadır. Bu nedenle
kapsam içerinde yer alan tüm sistemlere ait işletim sistemi, uygulama vb.
teknik açıklık yönetimi gerçekleştirilmeli ve kayıt altına alınmalıdır.
AÇIKLIKLARIN TAKİBİ
Üretici/geliştiriciler
bulunan ve açıklanan açıklıklar için yama geliştirmekte ve bunları
yayınlamaktadırlar. Ancak, açıklığın bulunması ve ilgili yamanın geliştirilip
yayınlanması arasında ciddi bir zaman geçebilmektedir. Bu nedenle yama
yayınlanma tarihleri özenle takip edilmeli ve gerekli kontroller sonrası
sisteme mümkün olan en kısa sürede yüklenmelidir.
Belirlenen sistemlerde yer alan işletim sistemleri, veri tabanları, ofis
uygulamaları vb. kapsamda yer alan tüm sistemlerle ilgili teknik açıklık takibi
yapılmalıdır. Bu takip için, kurum içi görev ve sorumluluk tanımlamaları
yapılmalıdır.
Teknik açıklık takibi yapılan kaynaklar (üretici duyuru grupları/siteleri,
forumlar vs.) periyodik olarak gözden geçirilmelidir ve gerekiyorsa yenilenmeli
ya da değiştirilmelidir. Bu sayede sistem açıklıkları ile ilgili en güncel
bilgiye erişilebilecek kaynaklar takip edilmiş olacaktır.
TESPİT EDİLEN AÇIKLIKLAR İÇİN
YAMA YÖNETİMİ
Kapsam
içi sistemlerde bulunan ya da sistemleri etkileyecek açıklıklar tespit
edildiğinde uygun önlemler ve/veya kontroller mümkün olan en kısa sürede sistem
üzerinde gerçeklenmelidir.
Kapsam
içi sistemlerde potansiyel bir teknik açıklık saptandığında ilişkili olduğu
riskler tanımlanmalı ve alınacak önlemler/kontroller belirlenmelidir. Bu
riskler ile ilgili yapılacaklar ve planlamalar ivedi olarak sistemde
gerçeklenmelidir. İlgili açıklık ile ilgili yama/güncellemelerin yüklenmesi ile
oluşabilecek riskler de değerlendirilmelidir. Risk değerlendirmesi sonuçları
’Risk Değerlendirme Planı’na da eklenmelidir.
Takip
edilen kaynaklar tarafından gelecek duyurulardan; alınacak önlemler, açıklığı
kapatmak için yapılması gerekenleri içeren yol haritaları vb. öğrenilmeli ve
uygun görülenler için bir zaman planlaması yapılmalıdır. Bu planlamalar
esnasında; sistem kritikliği vb. faktörler göz önünde bulundurularak
önceliklendirme yapılmalıdır. Bu sayede kritik sistemler ile ilgili
güncellemeler kısa sürede yapılabilecektir.
Canlı
sisteme ilgili yamalar yüklenmeden önce, özdeş ya da gerçeğe en yakın örnek
sistem üzerinde test edilmelidir. Ortaya çıkabilecek yan etkiler
değerlendirilmelidir. Bu sayede sistem üzerinde karşılaşabilecek, üretici
tarafından öngörülemeyen hatalar ve/veya kayıplardan korunmak mümkün olabilir.
Ayrıca, üretici tarafından gerçeklenecek testler, var olan kurum içi sistem ile
birebir özelliklere sahip olmayabilir; bu nedenle sistemde mevcut diğer
uygulama/sistemler ile ilgili problemler doğurabilmesi de olasıdır.
Yama
Yönetimi kapsamında sistemde yapılacak değişiklikler Değişiklik Yönetimi’ne (
Change Management) uygun olarak gerçeklenmelidir. Bu sayede sistemde yapılacak
değişiklikler için gerekli onayların alınması, gerekli kayıtların oluşturulması
vb.mümkünolacaktır.
Teknik Açıklık Yönetimi, ilgili yönetici tarafından etkili ve verimli çalışıp çalışmadığının tespiti amacıyla periyodik olarak gözden geçirilmeli ve değerlendirilmelidir.
Teknik Açıklık Yönetimi, ilgili yönetici tarafından etkili ve verimli çalışıp çalışmadığının tespiti amacıyla periyodik olarak gözden geçirilmeli ve değerlendirilmelidir.
TESPİT EDİLEN VE YAMASI MEVCUT
OLMAYAN AÇIKLIKLAR İÇİN ALINACAK TEDBİRLER
İlgili
açıklık için herhangi bir yama yayınlanmamış ise aşağıdaki kontrollerden uygun
olan seçilip uygulanabilir:
- Açıklıkla
ilgili servis ya da yeteneklerin kapatılması
- İlave erişim
kontrollerinin sisteme adaptasyonu ya da tanımlanması. Örneğin güvenlik
duvarı, ağ sınırları vb. (Bknz: ISO IEC 27002 11.4.5)
- Monitörleme
sistemlerinde ek önlemler ve tanımlamalar ile ilgili açıklığı kullanan
saldırıların tespiti ve/veya önlenmesi.
- İlgili
açıklık ile ilgili farkındalığı arttırmak. Örneğin eğitim vermek, duyuru
iletileri vb.
Yukarıda
belirtilen kontrollere ek olarak sistem için uygun görülen ek kontroller
gerçeklenmesi mümkündür. Gerçeklenmesi planlanan kontrolün ilgili açıklığı
uygun şekilde giderdiği/gerçekleşme olasılığını kabul edilebilir seviyeye
düşürdüğü vb. test edilmelidir.
TEKNİK AÇIKLIK TAKİBİNDE
KARŞILAŞILAN ZORLUKLAR
Teknik
açıklık takibinde karşılaşılan başlıca zorluklar şu şekilde sıralanabilir:
Farkındalık yaratılması
Kurum
personelinin, teknik açıklıklar ve bu açıklıkların doğurabileceği sonuçlar
konusunda bilgilendirilmesi gerekmektedir. Ayrıca sistem sorumluları ve/veya
atanmış teknik açıklık takibi sorumlusu; güncel açıklık takibinin önemini
bilmeli ve gerekli önlemleri almalıdır. Ancak çoğu kurumda; personel bu
eğitim/bilgilendirmeleri alamamakta ve teknik açıklıkların yaratabileceği
sonuçları bilmemektedir.
Yama testi için gerekli özdeş
sistem eksikliği
Üretici/geliştiriciler,
bulunan açıklıklar ile ilgili yamayı en kısa sürede yayınlamak istemektedirler.
Bu nedenle tüm sistemleri kapsayacak tutarlı yamalar, genellikle ilk yayınlanan
yamalar olmamaktadır. Bu yamaların test edilmeden sisteme yüklenmesi çeşitli
riskleri de beraberinde getirecektir. Bu riskleri azaltmak için yamalar gerçek
sisteme en yakın test sistemi üzerinde test edilmeli ve ardından sisteme
yüklenmelidir. Ancak bu özdeş sistemler maliyet açısından aşırı yük
getirebildiğinden çoğu kurumda bulundurulmamaktadırlar.
Güvenilir teknik açıklık takibi
yapılacak kaynağın az olması
Üretici/geliştirici
duyurularına ek olarak çeşitli internet kaynağından bu açıklıkların takibinin
yapılabilmesi mümkündür. Ancak takip edilen güvenilir kaynak sayısının göreceli
olarak az olduğu söylenebilir. Bu nedenle takip edilmesi öngörülen kaynağın güvenilirliği
öğrenilmeli, güncelliği periyodik olarak sorgulanmalıdır.
Üretici/geliştirici tarafından
yamaların geç yayınlanması nedeniyle ihmal edilen ve gerekli kontrol önlemleri
alınmayan açıklıklar
Üretici/geliştirici
ilgili açıklık için yama çıkarma sürecini her zaman kısa tutamamaktadır.
Dolayısı ile geçecek süre dahilinde sistem üzerinde gerekli kontroller
tanımlanmalıdır. Bu sayede yama çıkana kadar geçecek sürede sistemde ilgili
açıklığın doğuracağı risk kontrol altına alınabilecektir.
Yetkin personel
Kapsam
içi her sistem için yama takibi yapmak için işgücü ayıracak bir yetkin personel
mevcut olmayabilir.
SONUÇ
ISO/IEC
27001 BGYS gerçeklenmesi ve yaşatılması sürecinde en sık karşılaşılan
sorunlardan biri olan farkındalık, teknik açıklık takibi konusunda da karşımıza
çıkmaktadır. İş gücü yetersizliği, test platformu bulunmaması, açıklıkların
kapatılması için gerekli yamaların üretici tarafından geç yayınlanması takip
eden diğer problemler olarak sıklıkla karşımıza çıkmaktadır. Ancak problemlerin
farkında olunması ve uygun kontrollerin sistemde gerçeklenmesi ile sistem
risklerinin kontrol altında tutulması mümkündür.
Uygun
değişiklik yönetimi ve risk yönetimi süreçlerine sahip kurumlarda
güncellemeleri vakit kaybetmeden yapılan sistemlerin daha az risk altında
olduğu tartışılmaz bir gerçektir. Bu nedenle teknik açıklık takibinin uygun
şekilde yapılması ve sonrasında gerekli kontrollerin sistemde gerçeklenmesi,
BGYS etkinliği için gereklidir.
Hiç yorum yok:
Yorum Gönder