4. RİSK Öİİ
RİSK Öİİ NEDEN ÖNEMLİDİR?
•“%100 güvenlik” mümkün değildir!
•“Sıfır risk” ortamı yoktur ve her zaman yönetilmesi gereken riskler
vardır.
•Risk analiziyle ortama özgü riskler anlaşılır.
•Gerekli önlemler (kontroller) bu analiz ışığında belirlenir.
•Kontroller uygulanarak riskler kabul edilir seviyeye indirilir.
•ISO 27001 risk yönetimi tabanlı bir yaklaşımı benimsemiştir.
5. RİSK Öİİ
•Önemli bir karar verme aracıdır.
•Üst yönetime mevcut güvenlik seviyesi ve hedefe
yakınlığı ile ilgili bilgi sağlar, bilgi güvenliği kararlarının
verilmesine ışık tutar.
•Kontrolün maliyeti ve faydası arasındaki dengenin
kurulabilmesi için yol gösterir.
7. RİSK ANALİZİ TERMİNOLOJİSİ
14.4.2014www.ictsert.com.tr
VARLIK :
Kurum için değer taşıyan ve korunması gereken her şey varlık olarak
tanımlanır.Varlıklar süreç akışları incelenerek belirlenir.
•Çeşitli ortamlardaki bilgiler
•İnsanlar
•Kayıtlar
•Donanımlar
•Yazılımlar
•Tesisler
•İmaj
•Süreçler
•İşlemler
8. VARLIK SAHİBİ:
İŞ SAHİBİ
Varlığın değerini ve risklerini en iyi bilen ve risk analizi
sürecinde bu kararları veren, korunma gereksinimini
belirleyen birim veya kişidir.
TEKNİK SAHİBİ:
Varlığı belirlenen gereksinimine uygun olarak
korunmasından sorumlu olan birim veya kişidir.
RİSK ANALİZİ TERMİNOLOJİSİ
9. •TEHDİT :Bir varlığa zarar verme olasılığı olan olaylar tehdit olarak
tanımlanır.
•Sabotaj
•Hırsızlık
•Yangın
•Deprem
•Su baskını
•Donanım arızaları
•İnsan hataları
•Kötü niyetli girişimler vb.
RİSK ANALİZİ TERMİNOLOJİSİ
10. •ZAFİYET:Bir varlığın bir tehditten zarar görmesine yol
açacak zayıflıklar, varlığın korunmasız olma halidir.
•Eğitimsiz insanlar
•Zayıf şifreler
•Hatalı kurulan cihazlar
•Kilitsiz kapılar
•Yetkisiz erişilebilen sistemler, odalar vb.
RİSK ANALİZİ TERMİNOLOJİSİ
11. •Kontrol:Zafiyeti veya tehditlerin etkisini azaltma yeteneği
olan, sistemler ve süreçlerdir.
•Kartlı giriş sistemleri
•Anti virüs sistemleri
•Alarm sistemleri
•Güçlü şifreler
•İzleme sistemleri
•Politika ve prosedürler
RİSK ANALİZİ TERMİNOLOJİSİ
13. 14.4.2014www.ictsert.com.tr
•Risk analizi bu kavramlar arasındaki ilişkiyi inceleyerek,
mevcut risk durumunu ortaya çıkarır.
•Risk analizi sonuçları sadece yapıldığı anı gösteren bir
fotoğraf gibidir. Varlıklar, tehditler, zafiyetler ve
kontroller sürekli değişkenlik gösterir.
VARLIK –TEHDİT –ZAFİYET –KONTROL
14. BİLGİ GÜVENLİĞİNİ SAĞLAMAK İÇİN...
Risklerin farkında olmamız ve
•Varlıklar
•Tehditler
•Zafiyetler
•Kontroller
arasındaki ilişkiyi bilmemiz gerekir.
RİSKLERİN FARKINDA OLMAK BİLGİ GÜVENLİĞİNİ
SAĞLAMANIN İLK ADIMIDIR!
VARLIK –TEHDİT –ZAFİYET –KONTROL
16. 14.4.2014www.ictsert.com.tr
•Risk Yönetimi :Bir kurumu riskleri açısından kontrol
etmek ve yönlendirmek için yapılan koordinasyon
altındaki çalışmalardır.
Risk yönetimi, risk analizi, risk işleme, risk kabulü ve
riskin duyurulması faaliyetlerinin tümünü kapsar.
•Risk İşleme :Risk seviyelerini düşürmek için önlemlerin
seçimi, planlanması ve uygulanması gibi etkinlikleridir.
RİSK Öİİ TERMİNOLOJİSİ
17. •KALAN RİSK :Risk işleme sürecinden sonra artakalan
risktir. Alınan tüm önlemler, mevcut tehdit ve zafiyet
seviyeleri göz önüne alınarak düşünülür.
•RİSK KABULÜ :Yönetimin riski göze alma kararıdır. Bu
noktadan sonra yeni kontroller gerekli değildir.
•RİSK KABUL KRİTERİ :Yönetimin kabul edilebilir olarak
açıkladığı risk seviyesi ve bunu karşılayan kontrollerdir.
RİSK Öİİ TERMİNOLOJİSİ
19. 14.4.2014www.ictsert.com.tr
•Kontroller, tehdide yol açan zafiyetleri azaltacak veya
tehdidin gerçekleşme olasılığını düşürecek önlemlerdir.
•ISO 27002 standardında tavsiye niteliğinde yaklaşık 130
tane kontrol bulunmaktadır.
•Her varlık-tehdit çifti için uygun kontroller bu tavsiyeler
arasından seçilir.
•Yeterli olmadığı durumlarda, yeni önlemler de seçilebilir.
UYGUN ÖNLEMLERİN
(KONTROLLERİN) BELİRLENMESİ
20. Bu aşamada, atanan yeni kontrollerle risk değerleri kabul
edilebilir seviyeye çekilmiş olur.
•Bir kontrolün neden seçildiğini, daha önce belirlenen
varlık-tehdit atamaları ile ilişkilendirebilmek önemlidir.
Böylece risk analizinin sağlıklı bir şekilde yapıldığından
emin olabiliriz.
•Kontroller teknik veya yönetsel olabilir. Seçilen kontroller,
hazırlanacak olan politika dokümanları, standartlar ve
prosedürler içinde yer alır.
UYGUN ÖNLEMLERİN
(KONTROLLERİN) BELİRLENMESİ
22. 14.4.2014www.ictsert.com.tr
•Üst yönetimin risklerin kabul edilmesiyle ilgili yaklaşımını, hangi
seviyedeki ve/veya ne tür riskleri kabul edeceğini bir diğer
deyişle risk kabul kriterlerini kararlaştırması gerekir.
•Her risk için kabul kriterlerine uygunluk baz alınarak ele alma
yöntemi belirlenir. Riskin;
•Kabul edilmesi
•Transfer edilmesi
•Yönetilmesi
•Önlenmesi
kararları verilebilir
RİSK İYİLEŞTİRME շ鱷İİ
23. RİSK KARARLARI
Riskler yönetilirken aşağıdaki kararları verebiliriz:
•Riski göze almak (Kapı giriş kontrolü yapmamak, anti virüs sistemi
kullanmamak, eğitime önem vermemek ..)
•Risklerimizi başkasına aktarmak (yangın sigortası, mesleki sorumluluk
sigortası, hırsızlık sigortası yaptırmak, PCI),
•Risklerin olasılığını düşürecek önlemler almak (Çelik kapılar, alarm
sistemleri, temiz masa, temiz ekran, izleme sistemleri, yangın
detektörü)
•Risklerin etkisini azaltacak önlemler almak (Yangın söndürücü,
antivirüs sistemleri, güvenlik testleri).
•Riskten sakınmak (Belli bir uygulamayı devreye almamak..)