ISO 27001 ve Zafiyet Yönetimi: Standart Uyumlu Güvenlik Süreçleri

Bilgi Güvenliği Yönetim Sistemi (BGYS) çerçevesinde zafiyet yönetimi süreçlerini Annex A kontrolleriyle entegre etmenin, risk değerlendirme ve sürekli iyileştirme döngüsü kurmanın kapsamlı yol haritası.

ISO 27001 ve zafiyet yönetimi entegrasyonu kapak görseli
ISO 27001 ve zafiyet yönetimi: BGYS uyumlu güvenlik süreçleri ve denetim hazırlığı rehberi.

Kısaca

ISO/IEC 27001, dünya genelinde en yaygın kabul gören bilgi güvenliği yönetim sistemi (BGYS) standardıdır. Kuruluşların bilgi varlıklarını sistematik bir biçimde korumasını, riskleri yönetmesini ve sürekli iyileştirme kültürünü benimsemesini hedefler. 2022 revizyonuyla güncellenen Annex A kontrolleri, zafiyet yönetimi süreçlerine doğrudan atıfta bulunarak teknik zafiyet yönetimini zorunlu bir kontrol olarak tanımlamıştır.

Bu rehberde; ISO 27001'in temel yapısını, Annex A kontrolleri ile zafiyet yönetimi ilişkisini, risk değerlendirme sürecini, PUKÖ döngüsü üzerinden sürekli iyileştirmeyi, denetim hazırlığında kanıt saklama gereksinimlerini ve sızma testi entegrasyonunu detaylı biçimde ele alıyoruz. SİTEY platformunun ISO 27001 uyum sürecinizi nasıl kolaylaştırdığını adım adım açıklıyoruz.

ISO 27001 Nedir?

ISO/IEC 27001, Uluslararası Standartlar Örgütü (ISO) ve Uluslararası Elektroteknik Komisyonu (IEC) tarafından yayımlanan, bilgi güvenliği yönetim sistemlerinin kurulması, uygulanması, sürdürülmesi ve sürekli iyileştirilmesine yönelik gereksinimleri belirleyen uluslararası bir standarttır.

2022 yılında yayımlanan güncel revizyon (ISO/IEC 27001:2022), önceki sürümdeki 114 kontrolü 93 kontrol olarak yeniden yapılandırmış ve dört ana kategoride sınıflandırmıştır:

  • Organizasyonel Kontroller (37 adet): Politikalar, roller, sorumluluklar, varlık yönetimi ve tedarikçi ilişkileri gibi yönetişim düzeyindeki kontroller.
  • İnsan Kontrolleri (8 adet): İşe alım, farkındalık eğitimi, disiplin süreçleri ve görev sonlandırma prosedürleri.
  • Fiziksel Kontroller (14 adet): Fiziksel erişim güvenliği, çevre güvenliği, ekipman koruması ve güvenli imha.
  • Teknolojik Kontroller (34 adet): Erişim kontrolü, kriptografi, ağ güvenliği, teknik zafiyet yönetimi ve güvenli geliştirme.

ISO 27001 sertifikası, kuruluşların bilgi güvenliği konusundaki olgunluğunu uluslararası düzeyde kanıtlaması için en etkili araçtır. Türkiye'de özellikle finans, sağlık, enerji ve kamu sektöründe ISO 27001 sertifikasyonu giderek yaygınlaşmaktadır.

ISO 27001'in Temel Faydaları

  • Risk Tabanlı Yaklaşım: Bilgi güvenliği risklerini sistematik olarak belirleme, değerlendirme ve işleme imkânı sunar.
  • Yasal Uyumluluk: KVKK, GDPR, PCI DSS gibi düzenlemelerle uyum sürecini destekler.
  • İş Sürekliliği: Güvenlik olaylarına hazırlıklı olma ve hızlı müdahale kapasitesi sağlar.
  • Rekabet Avantajı: Müşteriler ve iş ortakları nezdinde güvenilirliği artırır.
  • Sürekli İyileştirme: PUKÖ döngüsü ile güvenlik süreçlerinin olgunluk seviyesini artırır.

Annex A Kontrolleri ve Zafiyet Yönetimi

ISO 27001:2022 Annex A kontrolleri içinde zafiyet yönetimi ile doğrudan ilişkili birçok kontrol bulunmaktadır. Bu kontrollerin etkin uygulanması, BGYS'nin teknik güvenlik boyutunu güçlendirir.

Zafiyet Yönetimiyle İlişkili Temel Kontroller

  • A.8.8 - Teknik Zafiyetlerin Yönetimi: Kullanılan bilgi sistemlerinin teknik zafiyetleri hakkında bilgi edinilmesi, maruz kalma durumunun değerlendirilmesi ve uygun tedbirlerin alınması.
  • A.8.9 - Yapılandırma Yönetimi: Donanım, yazılım, hizmet ve ağlar dahil yapılandırmaların güvenli biçimde oluşturulması, belgelenmesi ve izlenmesi.
  • A.8.34 - Bilgi Sistemlerinin Denetim Testleri: Denetim testlerinin ve diğer güvence faaliyetlerinin planlanması ve taraflar arasında kararlaştırılması.
  • A.5.7 - Tehdit İstihbaratı: Bilgi güvenliği tehditlerine ilişkin istihbaratın toplanması ve analiz edilmesi.
  • A.8.16 - İzleme Faaliyetleri: Ağ, sistem ve uygulama düzeyinde olağandışı davranışların izlenmesi ve potansiyel güvenlik olaylarının değerlendirilmesi.
  • A.8.28 - Güvenli Kodlama: Yazılım geliştirme sürecinde güvenli kodlama ilkelerinin uygulanması.

Bu kontrollerin birlikte uygulanması, zafiyet keşfinden düzeltme doğrulamasına kadar uçtan uca bir güvenlik yaşam döngüsü oluşturur. Her bir kontrolün kanıtlanabilir biçimde işletilmesi, denetim başarısı için kritik önem taşır.

A.8.8 Teknik Zafiyet Yönetimi Derinlemesine

Annex A.8.8 kontrolü, ISO 27001'in zafiyet yönetimi açısından en kritik kontrolüdür. Bu kontrol, kuruluşların teknik zafiyetleri proaktif biçimde yönetmesini gerektirmektedir.

A.8.8 Kontrol Gereksinimleri

  1. Zafiyet Bilgisi Toplama: Kullanılan tüm bilgi sistemleri için zafiyet bilgilerinin düzenli olarak elde edilmesi. Bu amaçla CVE veritabanları, üretici güvenlik bültenleri ve zafiyet tarama araçları kullanılmalıdır.
  2. Risk Değerlendirmesi: Tespit edilen zafiyetlerin kuruma özgü risk seviyelerinin belirlenmesi. CVSS puanlaması tek başına yeterli değildir; varlık kritikliği, istismar olasılığı ve iş etkisi de değerlendirilmelidir.
  3. Zamanında Düzeltme: Risk seviyesine göre önceliklendirilen zafiyetlerin belirli SLA süreleri içinde giderilmesi. Kritik zafiyetler 24-72 saat, yüksek zafiyetler 7-14 gün, orta zafiyetler 30 gün içinde düzeltilmelidir.
  4. Doğrulama: Düzeltme işlemlerinin etkinliğinin yeniden tarama veya test yoluyla doğrulanması. Bu adım genellikle atlanan ama denetçilerin özellikle aradığı bir aşamadır.
  5. Kayıt Tutma: Tüm sürecin belgelenmesi - tespit tarihi, risk seviyesi, atanan sorumlu, düzeltme tarihi ve doğrulama sonucu kayıt altına alınmalıdır.

Uygulama Önerileri

  • Otomatik zafiyet tarama araçlarını haftalık veya aylık olarak çalıştırın.
  • Zafiyet yönetimi politikasında SLA sürelerini açıkça tanımlayın.
  • Düzeltilemeyen zafiyetler için resmi risk kabul süreci işletin.
  • Zafiyet tarama sonuçlarını varlık envanteri ile ilişkilendirin.
  • Üçüncü taraf bileşenlerdeki (third-party / open source) zafiyetleri de kapsama dahil edin.

Risk Değerlendirme Süreci

ISO 27001'in temel prensiplerinden biri risk tabanlı yaklaşımdır. Zafiyet yönetimi sürecinde tespit edilen her teknik zafiyet, kuruluşun risk değerlendirme çerçevesiyle uyumlu biçimde analiz edilmelidir.

Risk Değerlendirme Adımları

  1. Varlık Tanımlama: Zafiyetten etkilenen bilgi varlıklarının (sunucu, uygulama, veritabanı, ağ cihazı) belirlenmesi ve mevcut varlık envanterindeki kritiklik seviyesiyle eşleştirilmesi.
  2. Tehdit Tanımlama: Zafiyeti istismar edebilecek tehdit aktörlerinin ve saldırı senaryolarının belirlenmesi. Tehdit istihbaratı kaynakları bu aşamada kullanılır.
  3. Mevcut Kontrollerin Değerlendirilmesi: Zafiyetin istismarını engelleyen veya etkisini azaltan mevcut güvenlik kontrollerinin (WAF, IPS, segmentasyon vb.) değerlendirilmesi.
  4. Olasılık ve Etki Analizi: İstismar olasılığı (exploit mevcudiyeti, erişim kolaylığı, aktif saldırı kampanyaları) ve gerçekleşmesi durumundaki iş etkisinin (gizlilik, bütünlük, erişilebilirlik kaybı) ayrı ayrı puanlanması.
  5. Risk Seviyesi Belirleme: Olasılık × Etki matrisine göre risk seviyesinin hesaplanması. Kuruluşun risk iştah seviyesinin üzerindeki riskler öncelikli olarak işlenir.
  6. Risk İşleme: Her risk için dört seçenekten biri uygulanır - risk azaltma (düzeltme), risk transferi (sigorta), risk kaçınma (sistem devre dışı bırakma) veya risk kabulü (resmi onay ile).

Risk Matrisi Örneği

Tipik bir 5×5 risk matrisi kullanılabilir:

  • Kritik (20-25): Derhal müdahale gerektirir - 24 saat içinde düzeltme planı.
  • Yüksek (12-19): En kısa sürede ele alınmalıdır - 7 gün içinde düzeltme.
  • Orta (6-11): Planlı bakım dönemlerinde düzeltilmelidir - 30 gün içinde.
  • Düşük (2-5): Normal iş akışında değerlendirilir - 90 gün içinde.
  • Çok Düşük (1): İzleme listesine alınır, kabul edilebilir risk seviyesinde.

Sürekli İyileştirme (PUKÖ Döngüsü)

ISO 27001'in sürekli iyileştirme modeli olan PUKÖ (Planla-Uygula-Kontrol Et-Önlem Al) döngüsü, zafiyet yönetimi süreçlerinin olgunlaşmasını sağlayan temel mekanizmadır.

Planla (Plan)

  • Zafiyet yönetimi politikası ve prosedürlerinin oluşturulması.
  • Tarama kapsamı, sıklığı ve SLA sürelerinin belirlenmesi.
  • Rol ve sorumlulukların tanımlanması (zafiyet yönetimi takımı, varlık sahipleri, CISO).
  • Araç seçimi ve entegrasyon planının hazırlanması.
  • KPI hedeflerinin belirlenmesi (ortalama düzeltme süresi, tarama kapsamı, açık zafiyet sayısı vb.).

Uygula (Do)

  • Otomatik zafiyet taramalarının devreye alınması.
  • Tespit edilen zafiyetlerin risk tabanlı önceliklendirmesi.
  • Düzeltme görevlerinin ilgili ekiplere atanması ve takibi.
  • Düzeltme sonrası doğrulama taramalarının gerçekleştirilmesi.
  • İstisna ve risk kabul süreçlerinin işletilmesi.

Kontrol Et (Check)

  • KPI metriklerinin düzenli ölçülmesi ve raporlanması.
  • SLA uyumluluk oranlarının izlenmesi.
  • Trend analizleri yapılarak iyileşme veya kötüleşme tespiti.
  • İç denetim bulgularının değerlendirilmesi.
  • Yönetim gözden geçirme toplantılarında sonuçların raporlanması.

Önlem Al (Act)

  • Belirlenen aksaklıklar için düzeltici ve önleyici faaliyetlerin başlatılması.
  • Politika ve prosedürlerin güncellenmesi.
  • Tarama kapsamı ve sıklığının gözden geçirilmesi.
  • Araç ve süreç iyileştirmelerinin planlanması.
  • Başarılı uygulamaların diğer süreçlere yaygınlaştırılması.

Denetim Hazırlığı ve Kanıt Saklama

ISO 27001 sertifikasyon ve gözetim denetimleri sırasında denetçiler, zafiyet yönetimi süreçlerinin etkin biçimde işletildiğine dair somut kanıtlar arar. Kanıt eksikliği, uygunsuzluk (nonconformity) bulgusu anlamına gelir.

Denetçilerin Aradığı Temel Kanıtlar

  • Zafiyet Yönetimi Politikası: Onaylanmış, versiyonlanmış ve dağıtılmış güncel politika belgesi.
  • Tarama Raporları: Düzenli aralıklarla yapılan zafiyet taramalarının tarihli raporları.
  • Risk Değerlendirme Kayıtları: Tespit edilen zafiyetlerin risk analiz sonuçları.
  • Düzeltme Takip Kayıtları: Zafiyetin tespit tarihi, atanan kişi, düzeltme tarihi, doğrulama sonucu.
  • Risk Kabul Kayıtları: Düzeltilmeyen zafiyetler için yetkili makam tarafından imzalanmış risk kabul formları.
  • Yönetim Gözden Geçirme Tutanakları: Zafiyet yönetimi KPI'larının yönetime raporlandığını gösteren tutanaklar.
  • Eğitim Kayıtları: İlgili personelin zafiyet yönetimi eğitimi aldığına dair belgeler.

Kanıt Saklama En İyi Uygulamalar

  • Tüm kanıtları merkezi bir doküman yönetim sisteminde saklayın.
  • Kanıtların tarih damgalı ve değiştirilemez formatta olmasını sağlayın.
  • En az üç yıllık geçmişe ait kayıtları muhafaza edin.
  • Otomatik raporlama araçlarıyla kanıt üretimini kolaylaştırın.
  • Denetim öncesinde İç denetim yaparak eksik kanıtları belirleyin.

Sızma Testi ve ISO 27001

Sızma testi, ISO 27001 kapsamında doğrudan zorunlu bir kontrol olmamakla birlikte, A.8.8 (Teknik Zafiyet Yönetimi) ve A.8.34 (Bilgi Sistemlerinin Denetim Testleri) kontrollerinin etkin biçimde karşılanması için en güçlü kanıtlardan biridir. Denetçiler, özellikle kritik bilgi varlıklarına sahip kuruluşlarda sızma testi yapılmasını bekleme eğilimindedir.

ISO 27001 Uyumlu Sızma Testi Süreci

  1. Kapsam Belirleme: BGYS kapsamındaki tüm bilgi varlıklarının sızma testine dahil edilmesi. Risk değerlendirme sonuçlarına göre önceliklendirme yapılması.
  2. Test Planlaması: Test metodolojisi, kurallar, zaman çizelgesi ve iletişim planının belgelenmesi. Rules of Engagement dokümanının hazırlanması.
  3. Test Gerçekleştirme: Ağ, web uygulaması, mobil uygulama, API, kablosuz ağ ve sosyal mühendislik gibi vektörlerin test edilmesi.
  4. Raporlama: Bulguların CVSS puanlaması ile sınıflandırılması, detaylı düzeltme önerileri ve yönetici özeti sunulması.
  5. Düzeltme ve Doğrulama: Bulguların zafiyet yönetimi sürecine entegre edilmesi ve düzeltme sonrası retest yapılması.

Düzenli sızma testleri (en az yılda bir, kritik sistemlerde 6 ayda bir), hem BGYS'nin etkinliğini kanıtlar hem de zafiyet yönetimi sürecini besleyen değerli girdi sağlar.

SİTEY ile ISO 27001 Uyumu

SİTEY zafiyet yönetimi platformu, ISO 27001 uyum sürecinizi uçtan uca destekleyecek şekilde tasarlanmıştır. Platformun ISO 27001'e özgü sunduğu yetenekler:

  • Otomatik Zafiyet Tarama: Altyapı, web uygulaması ve bulut ortamlarınız için zamanlı otomatik taramalar. A.8.8 kontrolü için düzenli tarama kanıtı üretimi.
  • Risk Tabanlı Önceliklendirme: CVSS puanına ek olarak varlık kritikliği, istismar olasılığı ve iş etkisini dikkate alan çok boyutlu risk puanlaması.
  • Varlık Envanteri Entegrasyonu: Tüm IT varlıklarının merkezi envanterini tutarak A.5.9 (Bilgi ve İlgili Varlıkların Envanteri) kontrolüyle zafiyetleri ilişkilendirme.
  • SLA Yönetimi: Risk seviyesine göre özelleştirilebilir SLA süreleri, otomatik hatırlatmalar ve eskalasyon kuralları.
  • Denetim Hazır Raporlama: ISO 27001 denetçilerinin beklediği formatta otomatik rapor üretimi - trend grafikleri, KPI panoları ve risk kabul kayıtları.
  • İş Akışı Otomasyonu: Tespitten düzeltmeye, düzeltmeden doğrulamaya kadar tüm zafiyet yaşam döngüsünün otomatik yönetimi.
  • Entegrasyon: Jira, ServiceNow, Slack, Teams gibi mevcut araçlarla entegrasyon sayesinde düzeltme süreçlerinin mevcut iş akışlarına sorunsuz dahil edilmesi.

Adım Adım Uygulama Rehberi

ISO 27001 sertifikasyonu sürecinde zafiyet yönetimi programınızı sıfırdan kurmak veya mevcut programınızı standartla uyumlu hale getirmek için aşağıdaki adımları izleyebilirsiniz:

Aşama 1: Temel Hazırlık (1-2 Ay)

  1. Kapsamlı bir varlık envanteri oluşturun - tüm sunucular, ağ cihazları, uygulamalar ve veritabanları.
  2. Zafiyet yönetimi politikasını yazın ve yönetim onayına sunun.
  3. Rol ve sorumlulukları tanımlayın - CISO, zafiyet yönetimi ekibi, varlık sahipleri, IT operasyon.
  4. Zafiyet tarama araçlarını seçin ve yapılandırın.
  5. Risk değerlendirme metodolojinizi belirleyin ve risk kabul kriterlerini tanımlayın.

Aşama 2: Süreç Kurulumu (2-3 Ay)

  1. İlk kapsamlı zafiyet taramasını gerçekleştirin ve mevcut durumu belirleyin (baseline).
  2. SLA sürelerini risk seviyelerine göre tanımlayın ve onaylayın.
  3. Düzeltme iş akışlarını oluşturun - tespit, atama, düzeltme, doğrulama aşamaları.
  4. Risk kabul ve istisna yönetimi sürecini kurun.
  5. KPI'lar ve raporlama formatlarını belirleyin.

Aşama 3: Operasyonel Olgunluk (3-6 Ay)

  1. Düzenli tarama döngüsünü başlatın (minimum aylık, kritik sistemler haftalık).
  2. Aylık KPI raporlarını üretin ve yönetime sunun.
  3. İlk iç denetimi gerçekleştirin ve bulguları düzeltin.
  4. Yönetim gözden geçirme toplantısında zafiyet yönetimi sonuçlarını raporlayın.
  5. Süreçleri PUKÖ döngüsüne göre sürekli iyileştirin.

Sık Yapılan Hatalar

ISO 27001 zafiyet yönetimi uyum sürecinde kuruluşların en sık düştüğü tuzaklar:

  • Kapsam Eksikliği: Sadece internet'e açık sistemleri taramak, iç ağ ve bulut varlıklarını ihmal etmek. Denetçiler kapsamın BGYS ile tutarlı olmasını bekler.
  • Doğrulama Atlama: Düzeltme yapıldı olarak işaretlenen zafiyetlerin yeniden taranmaması. Bu, denetimde en sık karşılaşılan uygunsuzluk bulgularından biridir.
  • Risk Kabul Suistimali: Düzeltilmesi zor zafiyetlerin resmi süreç işletilmeden "kabul edilmiş" sayılması. Her risk kabulü yetkili makam imzası ve gerekçe gerektirmektedir.
  • Dokümantasyon Yetersizliği: Tarama yapılıp raporların saklanmaması. Kanıt olmadan kontrol uygulansa dahi denetçiler göremez.
  • SLA Tanımsızlığı: Düzeltme sürelerine ilişkin net SLA'lar olmaması veya SLA sürelerine uyulmamasına rağmen eskalasyon yapılmaması.
  • Tek Boyutlu Önceliklendirme: Yalnızca CVSS puanına bakarak önceliklendirme yapmak. Kuruma özgü bağlam (varlık kritikliği, erişilebilirlik, exploit durumu) dikkate alınmalıdır.
  • Yönetim Desteği Eksikliği: Zafiyet yönetiminin sadece IT güvenlik ekibinin sorumluluğu olarak görülmesi. Üst yönetim desteği ve bütçe olmadan program sürdürülebilir değildir.
  • Üçüncü Taraf Gözardı: Tedarikçi ve iş ortaklarının sistemlerindeki zafiyetlerin kapsam dışı bırakılması. A.5.19 (Tedarikçi İlişkilerinde Bilgi Güvenliği) kontrolü bunu gerekli kılmaktadır.

Sıkça Sorulan Sorular (SSS)

ISO 27001 sertifikasyonu almak ne kadar sürer?

Kuruluşun büyüklüğüne ve mevcut olgunluk seviyesine bağlı olarak ISO 27001 sertifikasyon süreci genellikle 6 ila 18 ay arasında sürmektedir. Küçük ölçekli kuruluşlar, halihazırda temel güvenlik kontrolleri uygulanıyorsa 6-9 ayda tamamlayabilir. Büyük ölçekli ve karmaşık yapılarda ise 12-18 ay öngörülmelidir. Zafiyet yönetimi programınızın olgunluk seviyesi, toplam süreyi doğrudan etkiler.

ISO 27001 denetiminde zafiyet yönetimi ile ilgili en sık karşılaşılan uygunsuzluk nedir?

En sık karşılaşılan uygunsuzluk, düzeltme sonrası doğrulama eksikliğidir. Kuruluşlar zafiyetleri tespit edip düzeltme sürecini başlatır ancak düzeltmenin gerçekten uygulandığını doğrulayan yeniden tarama veya test kanıtı sunamaz. İkinci sırada SLA sürelerine uyumsuzluk, üçüncü sırada ise risk kabul sürecinin resmi olarak işletilmemesi gelmektedir.

ISO 27001:2022 ile 2013 versiyonu arasındaki zafiyet yönetimi farkları nelerdir?

ISO 27001:2022 revizyonunda Annex A kontrolleri yeniden yapılandırılmıştır. Önceki A.12.6.1 (Teknik Zafiyet Yönetimi) kontrolü A.8.8 olarak yeniden numaralandırılmış ve içerik güçlendirilmiştir. Yeni revizyon tehdit istihbaratı (A.5.7) ve yapılandırma yönetimi (A.8.9) gibi yeni kontroller ekleyerek zafiyet yönetiminin daha geniş bir perspektifle ele alınmasını sağlamaktadır.

Zafiyet taraması yapılmadan ISO 27001 sertifikası alınabilir mi?

Teorik olarak standart doğrudan "zafiyet taraması" ifadesi kullanmamaktadır. Ancak A.8.8 kontrolü teknik zafiyetlerin belirlenmesini ve yönetilmesini gerektirmektedir. Otomatik zafiyet taraması olmadan bu kontrolün etkin biçimde uygulanması pratik olarak mümkün değildir. Denetçiler, zafiyet tespiti için kullanılan araç ve yöntemlerin kanıtını mutlaka arar.

ISO 27001 ve KVKK uyumu arasında nasıl bir ilişki vardır?

ISO 27001, KVKK uyumu için güçlü bir temel oluşturur. KVKK'nın 12. maddesinde gerektirilen "gerekli teknik ve idari tedbirler" büyük ölçüde ISO 27001 kontrolleriyle örtüşmektedir. ISO 27001 sertifikası, KVKK denetimlerinde kuruluşun teknik tedbirleri sistematik biçimde uyguladığının güçlü bir kanıtı olarak kabul görmektedir. Ancak ISO 27001 tek başına KVKK uyumunu garanti etmez; veri envanteri, açık rıza yönetimi gibi KVKK'ya özgü gereksinimler ayrıca karşılanmalıdır.

İlgili Yazılar

SİTEY ile bu süreçleri tek platformda otomatikleştirin.

Sınırsız Demo İndir Platformu İnceleyin