İLETİŞİM
EN
Digital Maturity Assessment BİGR Danışmanlığı Göç'e Hazır mısınız? AÇIK KAYNAK KODLU SİSTEMLERE GÖÇ Penetrasyon Testi Bilgi Güvenliği Yönetimi Sistemi BGYS Kişisel Verilerin Korunması Kanunu-KVKK TaliaDomain Faronics Uçtan Uca Güvenlik
EN

ISO/IEC 27400:2022 Standartı Yayınlandı!


ISO/IEC 27400:2022 Cybersecurity -IoT security and privacy- Guidelines Nedir?

ISO (Uluslararası Standardizasyon Örgütü), ulusal standart kuruluşlarının (ISO üye kuruluşları) dünya çapında bir federasyonudur. Uluslararası Standartların hazırlanması işi ISO teknik komiteleri aracılığıyla yürütülür.

ISO/IEC 27400:2022 IoT Güvenliği” standartı Haziran 2022 tarihi itibarı ile yayınlandı. Bu belge, Nesnelerin İnterneti (IoT) çözümlerinin güvenliği ve gizliliğini sağlamak amacıyla riskler, ilkeler ve kontroller hakkında yönergeler sağlar. 

Genel Bilgi:

Bilgi güvenliği, herhangi bir bilgi ve iletişim teknolojisi (BİT) sistemi için büyük bir endişe kaynağıdır ve Nesnelerin İnterneti (IoT) sistemleri de bir istisna değildir. IoT sistemleri, yüksek düzeyde dağıtılmış olmaları ve çok sayıda farklı varlığı içermeleri nedeniyle bilgi güvenliği için belirli zorluklar sunar. 

Gizlilik veya kişisel olarak tanımlanabilir bilgilerin (PII) koruması, bazı IoT sistemleri türleri için önemli bir endişe kaynağıdır. Bir IoT sisteminin PII edindiği veya kullandığı durumlarda, genellikle PII'nin edinilmesi, depolanması ve işlenmesi için geçerli olan yasa ve yönetmeliklerin bulunması söz konusudur. Düzenlemelerin bir endişe kaynağı olmadığı durumlarda bile, bir IoT sistemi tarafından PII'nin ele alınması, ilgili kuruluşlar için bir itibar ve güven endişesi olmaya devam eder.

Bu belgedeki güvenlik ve gizlilik kontrolleri, IoT sistem yaşam döngüsü boyunca her bir IoT paydaşı tarafından kullanılmak üzere bir IoT sistem ortamındaki paydaşlar için geliştirilmiştir.

Belge içeriği aşağıda verildiği gibidir:

1 Kapsam

2 Normatif referanslar

3 Terimler ve tanımlar

4 Kısaltılmış terimler

5 IoT konsepti

5.1 Genel

5.2 IoT sistemlerinin özellikleri

5.3 IoT sistemlerinin paydaşları

5.4 IoT ekosistemi

5.5 IoT hizmet yaşam döngüleri

5.6 Etki alanı tabanlı referans modeli

IoT sistemleri için 6 risk kaynağı

6.1 Genel

6.2 Risk kaynakları

7 Güvenlik ve gizlilik kontrolleri

7.1 Güvenlik kontrolleri

7.2 Gizlilik kontrolleri


Nesnelerin İnterneti ile bilgi güvenliği konusunu amaçlayan bu standart IoT konseptini incelerken güvenli kontroller olarak şu adımları içermektedir:
1- IoT politikası
2- IoT güvenliği organizasyonu
3- IoT varlık yönetimi
4- Fiziksel olarak güvenli alanların dışında bulunan donanım ve varlıklar
5- Ekipmanın güvenli şekilde elden çıkarılması veya yeniden kullanılması
6- Bilgi güvenliği olaylarından ders çıkarma
7- Güvenli IoT sistem mühendisliği ilkeleri
8- Güvenli geliştirme ortamı ve prosedürleri
9- Güvenliği desteklemek için IoT sistemlerinin güvenliği
10 - Çeşitli IoT cihazlarının bağlanmasında güvenlik
11- IoT cihazlarının ve sistem tasarımının doğrulanması
12- İzleme ve loglama
13- Logların korunması
14- IoT sistemleri için uygun ağların kullanılması
15- IoT cihazlarının ve hizmetlerinin sunumunda güvenli ayarlar ve yapılandırmalar
16- Kullanıcı ve cihaz kimlik doğrulaması
17- Yazılım ve ürün yazılımı güncellemelerinin sağlanması
18- Güvenlik açığı bilgilerini paylaşma
19- IoT sistem ve hizmetlerinin yaşam döngüsüne uyarlanmış güvenlik önlemleri
20- IoT cihazlarının ve hizmetlerinin doğru kullanımı hakkında IoT kullanıcıları için rehberlik
21- Paydaşlar için güvenlik rollerinin belirlenmesi
22- Savunmasız cihazların yönetimi
23- IoT güvenliğinde tedarikçi ilişkilerinin yönetimi
24- IoT cihazlarının güvenliği ile ilgili Bilgilerin güvenli ifşası