ISO 27034 belgesi ISO standartları kapsamında uygulama sistemlerini belirleyen, programlayan, tasarlayan ya da tedarikçi, uygulayıcı ve kullanıcılara, bir başka deyişle işletme yöneticilerine ve bunların yanında geliştirici ve denetleyicilere ve son kullanıcılara bilgi güvenliği konusunda rehberlik etmektedir. Belge bilgisayar uygulamalarının kuruluşun Bilgi Güvenliği Yönetim Sistemini desteklemek amacıyla istenilen ya da gereken güvenlik düzeyinin sunulması için pek çok riskini ele almayı sağlamaktadır.
ISO 27034 Belgesinin Kapsam ve Amaçları
ISO 27034 kuruluşların güvenliği ve devam eden süreç boyunca sorunsuz bir şekilde çalışmasını ve entegre edilmesini sağlamaktadır. Belge kavramlar, bileşenler, ilkeler çerçeveler ve süreçler sağlamak için çalışmalara yapar. Güvenlikle ilgili gereksinimlerin oluşturulması, güvenlik risklerinin değerlendirilmesi, güven seviyesinin hedefe ulaşması ve gerekli olan ilgili güvenlik kontrolleriyle doğrulama önlemlerinin süreç odaklı olarak odaklanmasını da sağlar. Uygulamaların çalıştırabilirliği ve geliştirilmesi için dış kaynakları sağlayan kuruluşlara ve üçüncü taraf uygulamalarla ilgili satın alma işlemleri yapan kuruluşlara kabul kriterlerini oluşturmak için yönergeler sağlamaktadır. Ayrıca ISO 27001’de de belirtilmiş olan genel kavramları desteklemek ve risk yönetimi yaklaşımına bağlı olacaka şekilde bilgi güvenliğinin de düzgün şekilde uygulanmasına yardımcı olmak belgenin ISO 27034 belgesinin belirlediği durumlardandır. ISO 27002 ve diğer standartlarda belirtilmiş olan güvenlik kontrollerinin uygulanması hakkında bir yardımcı olacak bir çerçeve sağlamakta ISO 27034 belgesinin amaçları arasında yer almaktadır. ISO 27034 bir uygulama için temelde var olmuş olan veri ve yazılım, teknoloji geliştirme ve uygulama gibi süreçleri ve destekleyici süreçler, kullanıcılar gibi güvenliği etkileyen katkıda bulunabilen faktörler için gererken şartları içermektedir ve bu faktörler için geçerlidir. Uygulamalarla ilgili olan risklere maruz kalan herhangi bir büyüklükteki ve her kuruluş için de geçerlidir. Bu kuruluşlar ticari işletmeler, devlet kurumları ve kar amacı gütmeyen kuruluşlar olabilmektedir. ISO 27034 fiziksel olan durumlar ve ağ güvenliği için yönergeler sağlamamaktadır. Ayrıca herhangi bir programlama dili için de güvenliği sağlayacak spesifikasyonları sağlamaz. ISO 27034 bir yazılım uygulaması geliştirme standardı, uygulama proje yönetimi standardı ya da bir yazılım geliştirme yaşam döngüsü de değildir. ISO 27034 belirtilmiş olan gereksinimler ve süreçlerin tek başına uygulanacak bir biçimi amaçlanmamıştır. Bu biçimin yerine kuruluşun mevcut olan süreçlerine entegre edilmiş bir çalışma biçimi vardır.
ISO 27034 Belgesinin Hedeflediği Kitleler
ISO 27034 belgesi tarafından belirlenmiş olan organizasyonel rolleri yerine getirene getirecek olan izleyiciler şu şekilde belirlenmiştir:
- Yöneticiler,
- Satın alma personeli,
- Tedarik ve operasyon ekipleri,
- Denetçiler.
Yöneticiler uygulamanın tüm kullanım süresi boyunca yönetime dahil olmuş olan kişilerden oluşmaktadır. Uygulama kullanım süresinin geçerli aşamalarında tedarik aşamaları ve üretim aşamalarını içermektedir. Bu yöneticiler:
- Proje yöneticileri,
- Yazılım yöneticileri,
- Bilgi güvenliği yöneticileri,
- Uygulama sahipleri,
- Çalışanları denetleyen alan yöneticileri
- Yazılım geliştirme yöneticileri olarak sıralanmaktadır.
Yöneticiler uygulama güvenliğini, uygulama ve sürdürülebilmenin maliyetini kuruluş amacıyla temsil ettiği riskleri ve değerleri dengelemelidir. Ayrıca yöneticiler başvuranın Hedeflenen Güven Seviyesine ulaşıp ulaşmadığı konusuna bağlı olarak başvurunun kabul ya da reddini öneren denetçi raporlarını gözden geçirmelidir. Bir uygulamasının düzenleyici tarafından bağlamına göre standartlarının yasalara ve düzenlemelere uygunluğunun sağlanması da yöneticiler tarafından uygulanmakta ve kontrol edilmektedir. Tedarik ve operasyonlarıysa bir uygulamamanın tüm kullanım süresi boyunca tasarımında, bakımında ve geliştirilmesinde yer alan kişiler tedarik ve operasyon üyeleridir. Bu üyeler mimarlar, analistler, programcılar, test ediciler, sistem yöneticileri, teknik personel, ağ yöneticileri ve veritabanı yöneticileri olarak sıralanmaktadır.
ISO 27034 Belgesinin Bazı İlkeleri
Güvenlik gereksinimleri bir uygulamanın kullanım süresinin her aşaması için tanımlanmış olmalı ve iyi şekilde analiz edilmeli, yeterli şekilde gerekli biçimde ele alınmalı ve sürekli olarak yönetilmelidir. Uygulamanın güvenlik gereksinimleri işlevsellik, kaliteli ve kullanılabilirlik gereklilikleriyle aynı şekilde ve özende ele alınmalıdır diye gereksinimler tanımlanmaktadır. Uygulama güvenliği türü ve kapsamı uygulamanın maruz kaldığı riskler tarafında belirlenmekte ve bu gereklilikler çeşitli bağlamlarla belirlenir. Bu bağlamlar iş bağlamı, düzenleyici bağlam, teknolojik bağlam olarak belirlenmiştir. İş bağlamı kuruluşun iş alanından kaynaklanan belirli risklerdir. Düzenleyici bağlam ise kuruluşun iş yaptığı coğrafik konumdan kaynaklanan belirli risklerdir. Teknolojik bağlam ise iş sırasında kuruluş tarafından kullanılan teknolojik durumlardan kaynaklanan belirli risklerdir. ISO 27034 belgesi bu alanlarda ve çerçevede çalışmalar yürütmektedir.