Risk Yönetimi, Varlık, Tehdit ve Açıkların Belirlenmesi Sunumu
Download
Report
Transcript Risk Yönetimi, Varlık, Tehdit ve Açıkların Belirlenmesi Sunumu
Bingöl KHB Güvenliği Politikaları Eğitimi
Risk Yönetimi
Sedat ADEMOĞLU
Bingöl Kamu Hastaneleri Birliği
Genel Sekreterliği
Risk Nedir ?
Risk, Fransızca risque olarak dilimize geçmiş olup
sözlük anlamı “Riziko, zarara uğrama tehlikesi”
şeklindedir
Risk (riziko), bir olayın gerçekleşme olasılığı ve
olaydan etkilenme olanağı olarak
tanımlanmaktadır.
Genellikle risk olumsuz bir durum yani tehlike
olarak değerlendirilir.
Bu nedenle risklerin olumsuz etkilerinden zarar
görmemek için olasılıklar göz önüne alınarak,
önlemler almaya yönelik, çalışma ve planlama
faaliyetlerini içeren ve risk yönetimi olarak anılan
bir disiplin ortaya çıkmıştır.
Risk Yönetimi
Risk Yönetimi ise bir kurumun ya da kuruluşun
çalışabilirliği, ticari kuruluşlar içinse öncelikle
kârlılığını olumsuz yönde etkileyebilecek risk
faktörlerinin belirlenmesi, ölçülmesi ve en alt
düzeye indirilmesi sürecidir.
Risk yönetiminde, riskin tamamıyla ortadan
kaldırılması mümkün değildir.
Risk Yönetimi Kavramları
Varlıklar
Tehditler
Bilgi Değeri
Taşıyan
Varlıklar
Kurum içi
yada kurum
dışı tehlike
Açıklık &
Zayıflıklar
Olasılık
İşe Etki
Tehlikeye
Sebep
Yönlerimiz
Riskin
Gerçekleşme
İhtimali
İşe ve
sisteme
olan
yansıması
Varlık nedir ?
Varlık, sistemin bir parçası olan ve kurum için değeri olan her şeydir. Varlık kurum
için değer taşıdığından korunması gerekir.
Bir BT sisteminde sadece yazılım ve donanımlar varlık olarak düşünülmemelidir.
•
•
•
•
•
•
•
•
•
Bilgi,
Donanım (kişisel bilgisayarlar, yazıcılar, sunucular),
Yazılım (işletim sistemleri, geliştirilen uygulamalar, ofis programları),
Haberleşme cihazları (telefonlar, hatlar, kablolar, modemler, anahtarlama cihazları),
Dokümanlar(stratejik toplantıların tutanakları, sözleşmeler vb.),
Üretilen hizmet,
Servisler,
Personel,
Kurumun prestiji / imajı
Risk Yönetimi Kavramları
Varlık Değeri Tablosu
Düşük (1-2)
Varlığın zarar görmesi bilgi sistemini çok az etkiler. Bilgi sistemi işlemeye devam eder.
Zarar görmesi, kurumun ismini etkilemez.
Orta (3)
Varlığın zarar görmesi bilgi sistemini etkiler. Bilgi sistemi işlemeye devam eder ancak
Varlığın yerine konması gereklidir.
Zarar görmesi kurumun ismini kötü yönde çok az etkileyebilir.
Yüksek (4)
Varlığın zarar görmesi bilgi sistemini oldukça etkiler. Bilgi sistemi yarı yarıya kullanılabilir.
Varlığın yerine konması gerekir.
Zarar görmesi, kurumun ismini kötü yönde etkiler.
Çok Yüksek (5)
Varlığın bilgi sisteminin işlemesinde önemli rolü vardır. Varlığın zarar görmesi bilgi
sisteminin işlerliğini büyük ölçüde etkiler ya da bilgi sistemi kullanılamaz hale gelir.
Zarar görmesi, kurumun ismini çok kötü yönde etkiler.
Tehdit Nedir ?
Tehdit, herhangi bir tehdit kaynağının kasıtlı olarak veya kazayla bir açıklığı
kullanarak varlıklara zarar verme potansiyelidir. Tehdit kaynağı ise varlıklara zarar
verme olasılığı olan olaylar ve durumlar olarak tanımlanabilir.
Doğal tehditler: Deprem, sel, toprak kayması, yıldırım düşmesi, fırtına gibi
tehditler.
Çevresel tehditler: Uzun süreli elektrik kesintileri, hava kirliliği, sızıntılar vs.
İnsan kaynaklı Tehditler: İnsanlar tarafından yapılan veya yol açılan bilinçli veya
Bilinçsiz olaylar. Örneğin yanlış veri girişi, ağ saldırıları, zararlı yazılımların
yüklenmesi, yetkisiz erişimler vs.
Tehdit kaynağı
Tehdit
Doğal Tehdit => D
Tehdidin Kaynağı
Personel hataları
K
Bakım hataları/eksiklikleri
K
Çevresel Tehdit =>Ç
Yazılım hataları
B,K
İnsan Kaynakları Kazara=> K
Lisanssız yazılım kullanımı
B,K
Yazılımların yetkisiz kullanılması
B,K
Kullanıcı kimlik bilgilerinin çalınması
B,K
Zararlı yazılımlar
B,K
İnsan Kaynakları Bilinçli=> B
Tehdit
Deprem
Sel
Fırtına
Yıldırım
Endüstriyel bilgi sızması
Bombalama ve silahlı saldırı
Yangın
Güç kesintisi
Su kesintisi
Havalandırma sisteminin arızalanması
Donanım arızaları
Güç dalgalanmaları
Tozlanma
Elektrostatik boşalma
Hırsızlık
Saklama ortamlarının izinsiz kullanılması
Saklama ortamlarının eskiyip kullanılmaz
duruma gelmesi
Tehdidin Kaynağı
D
D
D
D
B,K
B
B,K
B,K,Ç
B,K,Ç
B,K,Ç
K
K,Ç
Ç
Ç
B
B,K
K
Yetkisiz kişilerin ağa erişimi
B
Ağ cihazlarının arızalanması
K
Hat kapasitelerinin yetersiz kalması
Ağ trafiğinin dinlenmesi
İletim hatlarının hasar görmesi
B,K
B
B,K
İletişimin dinlenmesi
B
Mesajların yanlış yönlendirilmesi
K
Mesajların yetkisiz kişilere yönlendirilmesi
B
İnkar etme
B
Kaynakların yanlış kullanımı
K
Kullanıcı hataları
K
Personel yetersizliği
K
Risk Yönetimi Kavramları
Tehdit in İşe Etkisi Değer Tablosu
Düşük (1-2)
Tehdit in iş üzerinde küçük etkisi olur. Varlığı tamir
Tehdit Olasılık Değer Tablosu
Düşük (1-2)
5 senelik bir sürede iki ya da üç defa
Orta (3-4)
Senede ya da daha kısa bir sürede
etmeye ya da yeniden konfigüre etmeye gerek
yoktur.
Orta (3)
Tehditin etkisi küçük olmasına ve birkaç kişi ya da
kuruluş tarafından söylenmesine rağmen, tehditin
bir kere olabilir
somut bir zararı olabilir. Hasarın giderilmesi ve
önlem alınması için bir takım harcamalar olabilir.
Yüksek (4)
Yüksek (5)
Ayda ya da daha kısa bir sürede bir
kez olabilir
İşe ya da sistemin sahiplerine ve yöneticilerine kötü
ün kazandırabilir ve/veya kaynakta önemli zararlar
olur. Hasarın giderilmesi ve önlem alınması için
önemli harcamalar gerekebilir.
Çok Yüksek (5)
kurumun kendisi zarardan etkilenebilir. Zarar gören
büyük
gerekmektedir.
ölçüde
yeniden
Ayda ya da daha kısa bir sürede bir
çok kez olabilir
İşe büyük ölçüde zarar verir ve/veya birçok kişi ve
sistemde
Çok Yüksek (6)
yapılandırma
Açıklık / Zayıflık
Açıklık, sistem güvenlik
prosedürlerinde, tasarımda,
uygulamada veya iç
kontrollerde bulunan ve
bilgi güvenliği ihlal olayına
sebep olabilecek zayıflık,
hata veya kusurlardır.
Açıklıklar tek başlarına
tehlike oluşturmazlar ve
gerçekleşmeleri için bir
tehdidin mevcut olması
gerekir.
Zayıflık (Açıklık) Değer Tablosu
Düşük (1-2)
Tehdidin
kullanabileceği
zayıflığı yok denecek kadar
azdır.
Orta (3)
Tehdidin
kullanabileceği
zayıflığı vardır ancak azdır.
Yüksek (4)
Tehdidin
kullanabileceği
zayıflığı vardır.
Çok Yüksek (5)
Tehdidin
kullanabileceği
zayıflığı vardır ve yüksektir.
TS ISO/IEC 27001
Risk değerlendirme
metodolojisi
Risk değerlendirme
raporu
Risk işleme planı
Risk Yönetimi Metodolojisi
Hesaplama Metodu
• Risk Yönetimi çalışması;
• Varlık Kritik Değeri= ((Varlık Değeri (1-5)+ İşe Etkisi (1-6) )-1 )
• Mutlak Risk Değeri= ((Tehdit (1-6) + Zayıflık(1-5)-1)
• Gerçek Risk Değeri = Varlık Kritik Değeri * Mutlak Risk Değeri
Risk Değerlendirme
Risk Eylem Kararları
Riskten Kaçınma
• Risk teşkil eden konudan vazgeçmek
Risk Azaltma / Kontrol
• 27001 kontrol maddeleri
Risk Transferi
• Risk teşkil eden konuyu sözleşme ile başka tarafa devretme
Riskin Kabulü
• Sonuçları kabul etme
Risk İzleme
Zaman geçtikçe
mevcut tehditler ve
zayıflıklar değişebilir
27001 Kontrol
Maddeleri ile alınan
kontroller neticesinde
risk azalmış olabilir
Kurumun kendi
belirleyeceği zaman
aralıklarında 3 ay 6 ay
gibi dönemlerde kabul
edilen metodolojiyi
kullanarak tekrar risk
değerlendirmesi
yapılmalı
Ve dönemsel olarak
karşılaştırılmalıdır