ISO 27034, kuruluşların uygulama yönetimi gerçekleştirdikleri süreçlerin güvenliğini sağlamak amacıyla geliştirilmiş bir standartlar dizisidir. ISO’nun bilgi teknolojisi, güvenlik teknikleri ve uygulama güvenliğine ilişkin yayınladığı bu standartların konu başlıkları temelde şu başlıklardan ve içeriklerden oluşmaktadır:

Uygulama güvenliğine genel bakış ve kavramların açıklanması
Organizasyona ilişkin normatif kapsam
Uygulama güvenliği ile ilgili yönetim süreçlerinin belirlenmesi ve doğrulanması
Uygulama güvenliği kontrollerine ilişkin veri yapısı ve protokoller
Örnek vaka / durum analizleri
Güvence tahmin çerçevesi

Kuruluşların kullandıkları uygulamaların neredeyse tamamı sürekli olarak güvenlik tehditleriyle karşı karşıyadır. Şirketler insan kaynakları, finans ve maliye, müşteri ilişkileri yönetimi, anti-virüs uygulamaları, işletim programları vs ile ilgili tüm sistemlerin güvenliğini sağlamak zorundadır. Kuruluşların kendi geliştirdikleri ya da ticari bir ürün ya da hizmet olarak satın aldıkları bu uygulamaların tamamı içn uygulama güvenliği yönetim sistemi kurulması gerekmektedir. Bu tür sistemleri ISO 27034 standardına uygun şekilde kuran ve doğrulayan kuruluşlar ISO 27034 Uygulama Yönetim Sistemleri Belgesi alabilmektedir. Standartlar hakkında daha fazla bilgi almak, belgelendirme kapsamını öğrenmek ve sertifikasyon sürecini başlatmak için Aşan Danışmanlık’tan bilgi alabilirsiniz.

ISO 27034 veya ISO/IEC 27034, kuruluşların uygulamalarını yönetmek için kullanılan süreçlere güvenlik prosedürlerini entegre etmelerine yardımcı olur. Toplamda 7 bölümden oluşan ISO 27034, kuruluşlardaki uygulamaların yaşam döngüsü boyunca güvenli ve sorunsuz şekilde çalışmasını sağlamaktadır.Kuruluşlar faaliyetlerini sorunsuz şekilde yürütebilmek için bilgi ve teknolojik altyapılarını korumak zorundadır. Bu gereklilik, BT (Bilgi Teknolojileri) düzeyinde, genellikle yetersiz olan bilgisayarlar ve ağlar gibi çevre ve bu tür teknolojik altyapı bileşenleri korunarak ele alınmaktadır. Kuruluşlar ayrıca resmileştirilmiş, test edilmiş ve doğrulanmış bilgi güvenliği yönetim sistemlerini (BGYS) işleterek yönetişim düzeyinde kendilerini giderek daha fazla korumaya çalışmaktadır. Bu bağlamda sergilenecek sistematik bir yaklaşım, ISO/IEC 27001´de açıklandığı gibi etkili bir bilgi güvenliği yönetim sistemine katkıda bulunmaktadır. Fakat kuruluşlar, bilgilerini uygulama düzeyinde koruma ihtiyacıyla da karşı karşıyadır.

Uygulamalar, uygulamanın kendisinde bulunabilecek (yazılım hataları gibi) veya uygulamanın yaşam döngüsü sırasında ortaya çıkabilecek (uygulamada yapılan değişiklikler gibi) güvenlik açıklarına karşı korunmalıdır. Artırılmış uygulama güvenliğine yönelik sistematik yaklaşımlar, bir kuruluşun uygulamaları tarafından kullanılan veya saklanan bilgilerin yeterince korunduğuna dair kanıt da sağlamaktadır.
Uygulamalar, dahili geliştirme, dış kaynak kullanımı veya ticari bir ürün satın alma yoluyla edinilebilir. Ayrıca dikkate alınması ve yönetilmesi gereken yeni güvenlik uygulamaları getirebilecek bu yaklaşımların bir kombinasyonu yoluyla da edinilebilir. Uygulama örnekleri arasında insan kaynakları sistemleri, finans sistemleri, kelime işlem sistemleri, müşteri yönetim sistemleri, güvenlik duvarları, anti-virüs sistemleri ve izinsiz giriş tespit sistemlerini sayabiliriz.

Güvenli bir uygulama, yaşam döngüsü boyunca, öngörülebilir yürütme ve uygunluk gibi yazılım kalitesinin önkoşul özelliklerini sergilemenin yanı sıra geliştirme, yönetim, teknolojik altyapı ve denetim perspektifinden güvenlik gereksinimlerini karşılar. Güvenliği artırılmış süreçler ve uygulamalar riske maruz kalmayı kabul edilebilir veya tolere edilebilir risk seviyesine indirebilir. Bu süreç, güvenilir uygulamalar oluşturmak ve etkili bir BGYS´yi desteklemek için günümüzde her sektörden kuruluş için gereklidir. Güvenli bir uygulama, veri türünden, hedeflenen ortamdan (iş, düzenleyici ve teknolojik bağlamlar), süreç paydaşlarından ve uygulama özelliklerinden kaynaklanan güvenlik gereksinimlerini dikkate alır. Bu uygulamalar ile kabul edilebilir bir risk düzeyine ulaşıldığını ve sürdürüldüğünü gösteren kanıtların elde edilmesi mümkün olmalıdır.

ISO 27034 bu tüm bu gereksinimlerin sağlanması noktasında işletmelere sistematik bir yaklaşım süren bir standarttır.
 

ISO 27034 Belgesi Nedir?

ISO 27034, bir uygulamanın altında yatan yazılıma ve veri, teknoloji, uygulama geliştirme yaşam döngüsü süreçleri, destekleyici süreçler ve aktörler gibi güvenliğini etkileyen katkıda bulunan faktörlere uygulanmaktadır. Uygulamalarla ilişkili risklere maruz kalan her büyüklükteki ve her türdeki kuruluş (örneğin ticari işletmeler, devlet kurumları, kar amacı gütmeyen kuruluşlar) için geçerlidir. ISO 27034 piyasada yaygın olan birtakım görüşlerin aksine bir yazılım uygulama standardı, proje yönetim standardı veya yazılım geliştirme yaşam döngüsü standardı değildir. Aynı şekilde, fiziksel ve ağ güvenliği için yönergeler sağlamamakta, kontroller veya ölçüm prosedürleri sunmamakta ve herhangi bir programlama dili için güvenli kodlama özellikleri getirmemektedir.
ISO 27034 Belgesi kuruluşların şu konularda doğru aksiyonları almasına yardımcı olur:

– Güvenlik gereksinimlerinin oluşturulması, güvenlik risklerinin değerlendirilmesi, hedeflenen güven düzeyinin atanması ve ilgili güvenlik kontrollerinin ve doğrulama önlemlerinin seçilmesi için süreç odaklı mekanizmalar sağlamak
– Uygulamaların geliştirilmesi veya işletilmesi için dış kaynak kullanan kuruluşlara ve üçüncü taraf uygulamalardan satın alan kuruluşlara kabul kriterlerinin oluşturulması için kılavuzlar sağlamak
– Uygulamalarının tanımlanmış bir ortamda güvenli bir şekilde kullanılabileceğini göstermek için gereken kanıtların belirlenmesi, üretilmesi ve toplanması için gerekli prosedürleri sağlamak
– ISO/IEC 27001´de belirtilen genel kavramları desteklemek ve bir risk yönetimi yaklaşımına dayalı bilgi güvenliğinin doğru bir şekilde uygulanmasına yardımcı olmak
– ISO/IEC 27002 ve diğer standartlarda belirtilen güvenlik kontrollerinin uygulanmasına yardımcı olmak

ISO 27034 Belgesi Neden Önemli?

ISO 27034 Belgesi her sektörden kuruluş için geçerli olup kuruluşlarda farklı rollere sahip kişiler için özel gereksinimler sağlamaktadır. Bu bağlamda, yöneticiler, tedarikçiler, satın alma personelleri, denetçiler ve operasyon ekiplerinin her biri ISO 27034 Belgesi’nin getirdiği kurallara uymak zorundadır. ISO 27034 Belgesi ayrıca aşağıda listelenen standartları uygulayan veya bu standardın öngördüğü sistemleri belgeleyen kurumlar için de çok önemlidir:

– ISO/IEC 27001 – Bilgi güvenliği yönetim sistemleri – Gereklilikler
– ISO/IEC 27002 – Bilgi güvenliği yönetimi için uygulama kuralları
– ISO/IEC 27005 – Bilgi güvenliği risk yönetimi
– ISO/IEC 21827 – Sistem Güvenliği Mühendisliği — Yetenek Olgunluk Modeli
– ISO/IEC 15408-3 – BT güvenliği için değerlendirme kriterleri – Bölüm 3: Güvenlik güvence bileşenleri
– ISO/IEC TR 15443-1 – BT güvenlik güvencesi için bir çerçeve – Bölüm 1: Genel bakış ve çerçeve
– ISO/IEC TR 15443-3 – BT güvenlik güvencesi için bir çerçeve – Bölüm 3: Güvence yöntemlerinin analizi



ISO 27034 Uygulama Yönetim Sistemleri Kapsamı

Kuruluşlar uygulama güvenliği yönetim sistemini kurarak ve ISO 27034 Uygulama Yönetim Sistemleri Belgesi alarak aşağıdaki hedeflere ulaşabilmektedir:

* Şirket bünyesinde kullanılan sistemlerin tamamına uygulanabilecek ve uluslararası ilkelere göre geliştirilmiş bir güvenlik yönetim sistemi kurmak
* Uygulamalarla ilgili güvenlik gereksinimlerinin belirlenmesi ve bu gereksinimlerin karşılanması için gerekli altyapının oluşturulması
* Güvenlik risklerinin değerlendirilmesi ve güvenlik doğrulamalarına ilişkin protokollerin oluşturulması
* Dışarıdan satın alınan uygulamalara ilişkin üçüncü taraf gerekli güvenlik kriterlerinin belirlenmesi
* Uygulamaların güvenli olduklarını doğrulamak için sistematik çalışan objektif kriterlerin belirlenmesi ve kanıtların oluşturulması
* Risk yönetimi yaklaşımına dayalı bilgi güvenliği uygulamaları oluşturmak
* ISO ve diğer uluslararası güvenlik standartlarında belirtilen güvenlik kontrollerinin uygulanmasının desteklenmesi

ISO 27034 Uygulama Yönetim Sistemleri Sertifikasyonu doğrudan veya dolaylı olarak birçok kişi, birim ve kuruluşu yakından etkilemektedir. ISO 27034 Belgesi kapsamında değerlendirilebilecek paydaşları şöyle özetleyebiliriz:

* Uygulamanın yaşam döngüsü boyunca yönetim sürecinde yer alan yöneticiler. Bu kişiler arasında proje yöneticilerini, yazılım sahiplerini ve yazılım geliştirme yöneticilerini, çalışanları denetleyen hat yöneticilerini ve bilgi güvenliği yöneticilerini sayabiliriz.
* Uygulamaların yaşam döngüsü boyunca tasarım, geliştirme ve bakım süreçlerine dahil olan tedarik ve operasyon ekipleri. Sistem ve veritabana yöneticileri, teknik personeller, analist ve programcılar, yazılım mimarları, ağ yöneticileri vs bu grupta yer almaktadır.
* Bir ürün veya hizmet olarak uygulamaları satın alan kişi / kurumlar. Güvenlik kontrollerine ilişkin teklif taleplerini hazırlayanlar, tedarikçi seçimi yapan kişiler, dış kaynaklı hizmetlerin güvenliğini doğrulayan kişiler vs bu grupta yer almaktadır.
* Tedarikçi firmalar.
* Uygulama güvenliğini denetleyen ve güvenlik doğrulaması yapan kişi ve kurumlar.
* Uygulamayı kullanan kişiler.

ISO 27034 Uygulama Yönetim Sistemleri Belgesi, uygulamaların güvenliğiyle ilgili konuların bir zorunluluk olduğunu savunmaktadır. Ayrıca güvenlik konusunun uygulamanın ve işletmelerin bağlamına göre değişebildiğini ve her uygulamanın kendine özgü güvenlik gereksinimleri olduğunu belirtmektedir. Şirketler ISO 27034 Uygulama Yönetim Sistemini kurmak ve belgelendirmek için uygun yatırımlar yapabilmelidir. ISO 27034 Uygulama Yönetim Sistemleri Belgesi ancak uygulama güvenliği kanıtlandığı takdirde sağlanabilmektedir. ISO 27034 Belgesi almak isteyen kuruluşlar uygulama güvenliği kavramını daha iyi öğrenmek, süreçlerine uygulamak, uygulama ve şirket bağlamına uygun sertifikasyon süreci planlamak için Aşan Danışmanlık ile iletişime geçebilir.
 

ISO 27034 Uygulama Yönetim Sistemleri Belgesi Avantajları

ISO 27034 Belgesi almak isteyen kuruluşlar, uygulama güvenliği yönetim sistemini kurduktan sonra akredite belgelendirme kuruluşlarıyla iletişime geçerek sertifikasyon sürecini başlatabilir. Doküman incelemesi ve yerinde denetimler yapılıp sistemin uygunluğu doğrulandıktan sonra sertifikasyon işlemi gerçekleştirilebilmektedir. ISO 27034 Uygulama Yönetim Sistemleri Belgesi almanın şirketlere sağladığı faydalardan bazıları şunlardır:

* Kuruluş bünyesinde kullanılan tüm sistemlere uyarlanabilecek kapsamlı bir güvenlik yönetim sistemi kurmak
* Güvenlik düzeyinin tatmine edici olması sayesinde bilgi güvenliği risklerinin kontrol altına alınması ve olası siber saldırıların önlenmesi
* Güvenlik açıklarından kaynaklı maliyetlerin azaltılması
* Uygulama güvenliğinin doğrulanması sayesinde paydaşların kuruluşa duyduğu güvenin artması