Bulut hizmetlerinde ISO/IEC 27002’ye dayalı bilgi güvenliği kontrolleri için uygulama ilkesi olan ISO/IEC 27017:2021, bulut hizmeti müşterileri ve bulut hizmeti sağlayıcılarına hitap etmektedir. Yönergelerin bazıları, kontrolleri uygulayan bulut hizmeti müşterileri için, bazıları ise bu kontrollerin uygulanmasını destekleyen bulut hizmeti sağlayıcıları içindir. (ISO/IEC 27017)
Kontrollerin tamamına yazının sonundaki pdf dosyasından erişebilirsiniz.
Bulut hizmetlerinde ISO/IEC 27002’ye dayalı bilgi güvenliği kontrolleri
BHM: Bulut Hizmetleri Müşterisi
BHS: Bulut Hizmetleri Sağlayıcısı
- Varlık envanteri
BHM: Varlık envanterine, bulut bilişim ortamında depolanan bilgiler ve ilişkili varlıklar dahil edilmelidir.
BHM: Sağlayıcı ile anlaşmanın sonlanması ile müşteri varlıklarının iadesi veya kaldırılması sonucu tüm müşteri verilerinin sağlayıcı sistemlerinden silindiğine dair belgelenmiş bir kanıt istenmelidir.
BHS: Varlık envanterinde bulut hizmeti müşteri verileri ve bulut hizmetinden türeyen veriler tanımlanmalıdır.
BHS: Müşteri ile anlaşmanın sonlanmasını takiben müşteri varlıkları zamanında kaldırılmalı ve eğer gerekliyse iade edilmelidir.
- Ağlara ve ağ hizmetlerine erişim
BHM: Kullanılan her bir ayrı bulut hizmetine kullanıcı erişimi için gereksinimler belirtilmelidir.
- Kullanıcı erişim yönetimi
BHS: Kullanıcı kaydetme ve kayıt silme fonksiyonları müşteriye sağlanmalıdır.
BHS: Kullanıcılarının erişim haklarını yönetmek için müşteriye teknik özellikleri sağlamalıdır.
BHS: Müşterinin bulut hizmetlerini yönetmesi için yeterli kimlik doğrulama teknikleri sağlamalıdır.
BHS: Müşterinin gizli kimlik doğrulama bilgilerinin yönetimine dair prosedürler oluşturmalıdır.
BHM: Bulut hizmetinin yönetimi için yeterli kimlik doğrulama teknikleri kullanılmalıdır.
BHM: Tedarikçinin sağladığı gizli kimlik doğrulama bilgileri ile ilgili prosedür kendi prosedürlerini doğrulamalıdır.
- Sistem ve uygulama erişim kontrolü
BHM: Bulut hizmetindeki bilgilere erişimin, erişim kontrol politikasına uygun olarak kısıtlanabileceğinden emin olmalıdır.
BHM: Ayrıcalıklı destek programlarının kullanımı bulut hizmetinin kontrolleri ile çatışmamalıdır.
BHS: Müşterinin bulut hizmetindeki verilere erişimi kısıtlamasına olanak tanıyan erişim kontrollerini sağlamalıdır.
BHS: Bulut hizmeti içinde kullanılan her tür destek programı için gereklilikleri tanımlamalıdır.
- Kriptografik kontroller
BHM: Kriptografik kontrollerin kullanımına ilişkin politika bulut hizmetlerini kapsamalıdır.
BHM: Her bir bulut hizmeti için kriptografik anahtarları tanımlamalı ve anahtar yönetimi için prosedürler uygulamalıdır.
BHS: Kriptografi kullandığı durumlarla ilgili bulut hizmeti müşterisine bilgi vermelidir.
- Teçhizat
BHM: Teçhizatın güvenli olarak imhası veya tekrar kullanımına yönelik bulut hizmeti sağlayıcısının politikalara ve prosedürlere sahip olduğunu doğrulamalıdır.
BHS: Teçhizatın güvenli olarak imhası veya tekrar kullanımıyla ilgili gerekli düzenlemeler zamanında yapılmalıdır.
- İşletim prosedürleri ve sorumlulukları
BHM: Değişiklik yönetimi süreci, bulut hizmeti sağlayıcısı tarafından yapılan herhangi bir değişikliğin etkilerini hesaba katmalıdır.
BHM: Kapasitenin sağlayıcı tarafından karşılandığından emin olmalıdır.
BHM: Bulut hizmeti sağlayıcısından yedekleme hizmeti alınıyorsa işlevin teknik özellikleri talep edilmelidir.
BHS: Bulut servisini olumsuz olarak etkileyebilecek değişikliklerle ilgili bilgileri müşteriye sağlamalıdır.
BHS: Kaynak yetersizliğinden kaynaklanan bilgi güvenliği ihlali olaylarını önlemek üzere toplam kaynak kapasitesini izlemelidir.
BHS: Sunduğu yedekleme işlevlerinin teknik özelliklerini bulut hizmeti müşterisine sağlamalıdır.
- Kaydetme ve izleme
BHM: Bulut hizmetinin olay kaydetme gereksinimlerini karşıladığı doğrulanmalıdır.
Bulut hizmeti müşterisi ile bulut hizmeti sağlayıcısı arasındaki sorumlulukların tahsisi bulut hizmetine ilişkin ayrıcalıklı işlemleri kapsamalıdır.
BHM: Bulut hizmeti sağlayıcısının sistemleri için kullanılan saat senkronizasyonu hakkında bilgi talep etmelidir.
BHM: Bulut hizmeti sağlayıcısından teknik zafiyetlerin yönetilmesi hakkında bilgi talep edilmelidir.
BHS: Müşteriye sistemler tarafından kullanılan saat ve senkronizasyon hakkında bilgi verilmelidir.
BHS: Müşteriye teknik zafiyetlerin yönetilmesi hakkında bilgi sağlanmalıdır.
- Haberleşme Güvenliği
BHM: Ağların ayrılması ile ilgili gerekliliklerin sağlayıcı tarafından karşılandığı doğrulanmalıdır.
BHS: Ağlarda ayrımla ilgili olarak; çok kullanıcılı bir ortamda kullanıcılar arasında ayrım ve sağlayıcı ve müşteri ağı arasındaki ayrım sağlanmalıdır.
- Bilgi sistemlerinin güvenlik gereklilikleri
BHM: Sunulan hizmetlerin bulut hizmeti için bilgi güvenliği gereksinimlerini karşılayıp karşılamadığı değerlendirmelidir.
BHM: Sağlayıcıdan güvenli geliştirme prosedürlerinin ve uygulamalarını kullanımı hakkında bilgi talep edilmelidir.
BHS: Müşterilere, kullandıkları bilgi güvenliği yetileri hakkında bilgi sağlamalıdır.
BHS: Müşteriye güvenli geliştirme prosedürleri ve uygulamaların kullanımı hakkındaki bilgi sağlanmalıdır.
- Tedarikçi ilişkilerinde bilgi güvenliği
BHM: Tedarikçi ilişkileri için bilgi güvenliği politikasına bulut hizmeti sağlayıcısı dahil edilmelidir.
BHM: Tedarikçi anlaşmalarında bulut hizmetleri ile ilgili güvenliği ele almalıdır.
BHS: Müşteri ile yapılacak anlaşmalarda bilgi güvenliği önlemleri sözleşmeye dahil edilmelidir.
BHS: Eş bulut hizmeti sağlayıcıları kullanılıyorsa veya bulut hizmetlerini tedarik zincirine dayalı olarak tedarik ediyorsa bilgi güvenliği seviyelerine dikkat edilmelidir.
- Bilgi güvenliği ihlal olaylarının ve iyileştirmelerinin yönetimi
BHM: Bilgi güvenliği ihlali olayının yönetimi için sorumluluklar belirlenmelidir.
BHM: Sağlayıcıdan bilgi güvenliği olaylarının raporlanması ile ilgili bilgi talep edilmelidir.
BHS: Müşteri ile arasındaki bilgi güvenliği ihlali olayının yönetim sorumluluklarının tahsisine ve ilgili prosedürlere ilişkin hususları tanımlamalıdır.
BHS: Müşteriye bilgi güvenliği olaylarının raporlanması ile ilgili bilgi sağlanmalıdır.
Bulut hizmeti müşterisi ve bulut hizmeti sağlayıcısı, kanıt toplamaya yönelik prosedürler üzerinde anlaşmaya varmalıdır.
- Yasal ve sözleşmeye tabi gereksinimlere uyum
BHM: İş için gerekli olan düzenleme ve standartlarla ilgili sağlayıcıdan uyumluluk kanıtı istenmelidir.
BHM: Buluta özgü lisans hakkı gerekliliklerini tanımlamaya yönelik bir prosedür olmalıdır.
BHM: Sağlayıcı tarafından toplanan ve depolanan kayıtların korunması hakkında bilgi talep edilmelidir.
BHM: Kriptografik kontroller dizisi, ilgili anlaşmalar, yasalar ve düzenlemelere uygun olmalıdır.
BHM: Bilgi güvenliği kontrollerinin uygulandığına dair sağlayıcıdan kanıt talep edilmelidir.
BHS: Geçerli yasalar ve sözleşme gerekliliklerine mevcut uyumluluğunun kanıtını müşteriye sağlanmalıdır.
BHS: Fikri mülkiyet hakları şikayetlerine yanıt vermeye yönelik bir süreç kurulmalıdır.
BHS: Toplanan ve depolanan kayıtların korunması hakkında müşteri bilgilendirilmelidir.
BHS: Uygulanan kriptografik kontroller müşteriye açıklamalıdır.
BHS: Bilgi güvenliği kontrollerinin uygulandığına dair kanıtlar müşteriye sunulmalıdır.
- Bulut hizmeti müşterisi ile bulut hizmeti sağlayıcısı arasındaki ilişki
Bulut hizmetinin kullanımında paylaşılan bilgi güvenliği rollerine yönelik sorumluluklar, tanımlanmış taraflara tahsis edilmeli, belgelenmeli, tebliğ edilmeli ve uygulanmalıdır.
- Paylaşılan sanal ortamdaki bulut hizmeti müşteri verilerine erişim kontrolü
BHS: Müşterinin bulut hizmeti üzerinde çalışan sanal ortamı, diğer bulut hizmeti müşterilerinden ve yetkisiz kişilerden korunmalıdır.
BHS: Bulut ortamındaki sanal makineler iş ihtiyaçlarını karşılamak üzere sıkılaştırılmalıdır.
- Operasyonel prosedürler ve sorumluluklar
Bir bulut bilişim ortamındaki yönetimsel işlemlere yönelik prosedürler tanımlanmalı, belgelenmeli ve izlenmelidir.
- Kayıt tutma ve izleme
BHM: Kullanılan bulut hizmetlerinin belirtilen hususları izlenebilmelidir ve izleme işlevleri hakkında sağlayıcıdan bilgi almalıdır.
BHS: Hizmet izleme işlevlerinin izlenmesine olanak sağlayan işlevler ve dokümantasyonu müşteriye sağlamalıdır.
- Ağ güvenliği yönetimi
BHS: Sanal ve fiziksel ağlar için güvenlik yönetimi uyumlulaştırılarak belgelenmelidir.
Uygulandığı Takdirde Standardın İlgili Organizasyona Sağlayabileceği Kazanımlar
- Bulut hizmeti kullanıcıları için rolleri ve sorumlulukları özetler.
- Çevrimiçi operasyonlar ve mimari hakkında daha kapsamlı bir anlayış sağlar.
- Bulutta işlenen bilgilerin güvenli olduğuna dair güvence sağlar.
- Güvenlik ihlali riskinin ve diğer risklerin azaltılmasına yardımcı olur.
- Müşteriler için kapsamlı bir bilgi güvenliği yönetimi çerçevesi sağlar, sağlayıcıları da sorumlu tutar.
- ISO 27001 sertifikasını genişletir ve geliştirir.
- Sağlayıcılar için kapsamlı bir bilgi güvenliği yönetimi çerçevesi sağlar.
Bulut müşterilerine bulut hizmeti sağlayıcılarından ne beklenmesi gerektiği konusunda pratik bilgiler sağlar.