Example: marketing

Bilgi Güvenliği Yönetim Sistemi için Süreç Tabanlı …

Bilgi G venli i Y netim Sistemi i in S re Tabanl Risk Analizi Bilge Karabacak1 Dr. Sevgi zkan2. 1. Enformatik Enstit s , Orta Do u Teknik niversitesi, Ankara 2. Enformatik Enstit s , Orta Do u Teknik niversitesi, Ankara 1 2. e-posta: e-posta: zet e G n m zde, bir ok kurulu Bilgi G venli i Y netim Sistemi (BGYS) kurmak ve bu y netim sistemini TS ISO/IEC 27001. sertifikas ile belgelendirmek istemektedir. BGYS'nin hedefledi i kapsam t m kurum ve i s re leri olsa da bu isteklerin genellikle kurumlar n Bilgi i lem birim temsilcilerinden veya Bilgi i lem biriminin ba l oldu u st y neticilerinden geldi i g r lmektedir. TS ISO/IEC 27001 standard , belirli bir kapsam d hilinde i s re lerini dikkate alan bir risk analizinin ger ekle tirilmesini zorunlu k lmaktad r. stekler Bilgi i lem birimlerinden geldi i i in bir ok BGYS kurulum al mas nda kapsam Bilgi i lem s re leri olarak belirlenmektedir. Di er taraftan Bilgi i lem kapsam nda ger ekle tirilmesi planlanan risk analizi s recinde genellikle sadece donan mlara ve yaz l mlara odaklan lmaktad r.

Bilgi Güvenliği Yönetim Sistemi için Süreç Tabanlı Risk Analizi Bilge Karabacak1 2Dr. Sevgi Özkan 1Enformatik Enstitüsü, Orta Doğu Teknik Üniversitesi, Ankara 2Enformatik Enstitüsü, Orta Doğu Teknik Üniversitesi, Ankara 1 e-posta: bilge @uekae.tubitak.gov.tr 2 sozkan ii.metu.edu.tr Özetçe Günümüzde, birçok kuruluş Bilgi Güvenliği Yönetim Sistemi (BGYS) …

Tags:

  Sistemi, Bilgi

Information

Domain:

Source:

Link to this page:

Please notify us if you found a problem with this document:

Other abuse

Transcription of Bilgi Güvenliği Yönetim Sistemi için Süreç Tabanlı …

1 Bilgi G venli i Y netim Sistemi i in S re Tabanl Risk Analizi Bilge Karabacak1 Dr. Sevgi zkan2. 1. Enformatik Enstit s , Orta Do u Teknik niversitesi, Ankara 2. Enformatik Enstit s , Orta Do u Teknik niversitesi, Ankara 1 2. e-posta: e-posta: zet e G n m zde, bir ok kurulu Bilgi G venli i Y netim Sistemi (BGYS) kurmak ve bu y netim sistemini TS ISO/IEC 27001. sertifikas ile belgelendirmek istemektedir. BGYS'nin hedefledi i kapsam t m kurum ve i s re leri olsa da bu isteklerin genellikle kurumlar n Bilgi i lem birim temsilcilerinden veya Bilgi i lem biriminin ba l oldu u st y neticilerinden geldi i g r lmektedir. TS ISO/IEC 27001 standard , belirli bir kapsam d hilinde i s re lerini dikkate alan bir risk analizinin ger ekle tirilmesini zorunlu k lmaktad r. stekler Bilgi i lem birimlerinden geldi i i in bir ok BGYS kurulum al mas nda kapsam Bilgi i lem s re leri olarak belirlenmektedir. Di er taraftan Bilgi i lem kapsam nda ger ekle tirilmesi planlanan risk analizi s recinde genellikle sadece donan mlara ve yaz l mlara odaklan lmaktad r.

2 Bu durumda ise, y netimsel bir ok risk g z ard . edilebilmektedir. Bu al mada, bir BGYS kurulum al mas nda s re lerin, s re te yer alan varl klar n, varl klardaki a kl k ve tehditlerin nas l ifade edilebilece ine yer verilmi ve s re modeli kullan larak nas l risk analizi yap labilece i konusunda bir neri getirilmi tir. nerilen metodun, zellikle Bilgi i lem s re lerinin kapsam d hilinde oldu u Bilgi G venli i Y netim Sistemi kurulumu al malar nda etkin bir ekilde kullan labilece i de erlendirilmektedir. 1. Giri . Son y llarda, lkemizdeki kamu kurumlar ve zel irketler TS ISO/IEC 27001 standard na daha ok ilgi g stermeye ba lam lard r [1]. TS ISO/IEC 27001 standard n n sertifikasyonunun olmas bu ilgiyi art rmaktad r. TS ISO/IEC 27001 sertifikasyonunun yak n bir gelecekte t m d nyada b y k oranda yayg nla aca ng r lmektedir [2]. G n m zde, bir ok kurulu TS ISO/IEC 27001. sertifikas alma niyetinden bahsetmektedir. Bunun yan s ra baz kurulu lar belgelendirme i in gerekli i lemlere devam etmekte ve baz lar da h lihaz rda alm bulunmaktad r.

3 TS ISO/IEC 27001, etkili bir Bilgi G venli i Y netim Sistemi (BGYS) kurulmas ve y netilmesi i in gerekli ad mlara yer vermektedir. TS ISO/IEC 27001, kurulu un ticari riskleri ba lam nda belgelendirilmi bir BGYS'nin kurulmas , uygulamaya konulmas , i letilmesi, takip edilmesi, incelenmesi, bak m ve geli tirilmesi i in gereklilikleri tan mlar. S z konusu gereklilikleri yerine getirmek i in at lmas gereken en nemli ad m, riskleri belirlemek i in bir risk analizi yapmakt r. TS ISO/IEC 27001, belirli bir risk analiz y ntemini nermemektedir, bunun yerine bu s recin zorunlu oldu unu ve risk de erlendirmesine y nelik sistematik bir yakla m tan mlanmas n gerekti ini belirtmektedir [1]. Standard n maddesinde i hedefleri ve i s re lerindeki de i ikliklere g re risk de erlendirmesinin g zden ge irilmesi nin gereklili i vurgulanm t r. Ayr ca standartta, bir kurulu un BGYS'sini kurmak, ger ekle tirmek, i letmek, izlemek, s rd rmek ve iyile tirmek i in s re yakla m n n benimsendi i ifade edilmektedir.

4 TS ISO/IEC 27001, b t n uygulama boyunca i s re lerini dikkate almay zorunlu k lar. Kaynaklar kullanan ve girdileri kt lara d n t ren her t rl etkinlik s re . olarak d n lebilir. Bir kurulu taki BGYS'nin tasar m ve uygulamaya konulmas , s z konusu kurulu un s re lerinden etkilenir [1]. TS ISO/IEC 27001'i uygularken s re yakla m takip edilmeli bu kapsamda s re lerin tan mlanmas , i leyi lerinin yaz l hale getirilmesi, modellenmesi ve s re lerin kar l kl etkile imlerinin ortaya konmas i lemleri ba ar l bir ekilde ger ekle tirilmelidir. Risk analizi BGYS'yi kurman n hayati neme sahip bir par as d r, bundan dolay s re yakla m , risk analiz y ntemine de uygulanmal d r. S re yakla m bulunmayan bir risk analizi y nteminin, BGYS'ye uyumda ciddi zorluklar ekece i s ylenebilir. Bu al mada, TS ISO/IEC 27001'in gereklilikleri dikkate al narak, s re modellemesi tabanl bir risk analizi y ntemi nerilmi tir. nerilmi olan risk analizi y ntemi, zellikle lkemizdeki kamu kurumlar n n da talep ettikleri, Bilgi i lem s re lerini kapsam i ine alan Bilgi G venli i Y netim Sistemleri kurulumlar i in tasarlanm t r.

5 2. Bilgi G venli i i in Risk Analizi Y ntemleri Risk nceden bilinen somut bir de er de il, bir olas l k de eridir. Bu nedenle risk analizi bir olas l k hesab d r ve karma k bir s re olabilmektedir. Bilgi teknolojileri s z konusu oldu unda, risk analizi s recinin karma kl daha da artmaktad r. Bilgi teknolojileri a s ndan risk, basit bir olas l k de eri de ildir. Risk, bir varl ktaki bir a kl n bir tehdit taraf ndan kullan lma olas l d r. B ylece risk; varl k, a kl k ve tehdit olmak zere adet girdiye ba ml d r. Risk = f (Varl k, A kl k, Tehdit) (1). Form ldeki f fonksiyonu, risk modelini ifade etmektedir. Bu modelin adet temel girdisi vard r ve bu fonksiyonun (modelin). kt s da risk de eridir. Yap lan literat r taramas nda, Bilgi g venli i risk analizi konusunda bayes a lar , bulan k mant k, sim lasyon, hata a a lar gibi matematiksel y ntemlerin nerildi i g r lm t r [3, 4, 5]. Bu tip matematiksel modeller, yer ald klar yay nlarda da belirtildi i gibi zelle mi bir problemin z m nde etkin olabilir.

6 Bu y ntemlerin BGYS kurulumu kapsam ndaki risk analizi al mas nda kullan lmas durumunda s recin karma kl y netilemez boyuta gelebilecektir. Di er taraftan unutulmamal d r ki, Bilgi g venli inin az bir b l m teknik ve teknolojik daha kapsaml b l m ise s re ler ve sosyal ili kiler ile ilgilidir [6, 7]. BGYS. kurulumu al malar nda bulunmu olan ki iler bu ger e i do rulayacaklard r. G venlik duvar na anl k mesajla may engelleyen bir kural koymak ok kolay iken, bunu bir kurum politikas olarak uygulamak olduk a zordur. Bu i lemin kolay olan k sm Bilgi g venli inin teknik boyutunu, zor olan k sm ise sosyal boyutunu temsil etmektedir. Risk analizi gibi BGYS'nin nemli bir k sm n . olu turan nemli bir s recin de bu ger ek ile uyumlu olmas ba ar i in gerekli bir artt r. Bilgi g venli i risk analizi s recinde kullan lan ve bu s re teki bir ok aktiviteyi otomatikle tiren ok say da yaz l m mevcuttur. Bu yaz l m ara lar n n en tan nm lar , nicel risk modellerine dayal olan CRAMM [8] ve RiskWatch [9] yaz l mlar d r.

7 Bu yaz l mlar, BGYS kapsam ndaki risk analizlerinde de kullan labilmektedir. Risk analizi s recinde yaz l m kullan lmas n n baz dezavantajlar . olabilmektedir. ncelikle, b yle bir y ntemin maliyeti genellikle y ksek olmaktad r. Maliyet kalemi i erisinde sadece yaz l m n tedarik maliyetinin olmad , destek, g ncelleme ve e itim faaliyetlerinin de oldu u unutulmamal d r. kinci dezavantaj, risk analiz s recinin ana er evesinin yaz l m taraf ndan belirlenmesidir. B ylece, risk analizi s recinde kuruma zel yap lmas gereken baz . de i iklikler yap lamayabilmektedir [10]. Devlet Planlama Te kilat M ste arl Bilgi Toplumu Dairesi taraf ndan haz rlanm olan Bilgi Toplumu Stratejisi Eylem Plan 'nda yer alan 88 numaral madde Ulusal Bilgi Sistemleri G venlik Program 'n tan mlamaktad r [11]. S z konusu program n sorumlu kurulu u olarak T B TAK Ulusal Elektronik ve Kriptoloji Ara t rma Enstit s , d rt adet kamu kurumuna Bilgi G venli i Y netim Sistemi kurulumu dan manl vermi tir.

8 Bu al malarda, kurulmas planlanan Bilgi g venli i y netim sistemlerinin kapsam temel olarak Bilgi i lem s re leri olarak belirlenmi ve Bilgi i lem birimlerinin temsilcileri ile al lm t r. Bu al malar esnas nda BGYS kapsam n n belirlenmesinin ard ndan ncelikle risk analizi s reci i in temel bir girdi olan varl k envanteri olu turulmu tur. Bu a amada, Bilgi i lem personelinin varl k envanterini bir ayniyat veritaban olarak alg lad ve sonu olarak bu envantere sadece Bilgi i lemin sahip oldu u donan m/yaz l mlar yazd ve Bilgi varl klar n listelemekte zorland klar g r lm t r [12]. Risk analizi s recinde, varl klardaki a kl klar ve bu a kl klar kullanan tehditler ortaya konuldu u i in, varl k envanterinde sadece Bilgi i lemin i letti i teknolojik varl klar n yer almas risk analizinin eksik sonu lar vermesine yol a acakt r. Bu tip eksik risk analizleri, Bilgi g venli inin daha ok teknik boyutlar na yo unla acak ama sosyal ve s re ler ile ilgili boyutlar n ihmal edecektir.

9 Lkemizde zellikle kamu kurumlar n n Bilgi i lem birimleri, BGYS konusuna ilgi g stermekte ve bu y netim sistemini kurmak istemektedirler. Ger ekte, BGYS bilginin i lendi i her yere uygulanabilecek olan bir sistemdir, sadece bir Bilgi i lem aktivitesi de ildir [12]. Ancak, lkemizde Bilgi g venli i y neti imi ile ilgili yasal altyap olmad i in bir kamu kurumunun t m birimlerini i ine alan bir BGYS kurmak olduk a g t r ve hen z b yle bir rnek bulunmamaktad r. te taraftan, bu sisteme ilgi g steren Bilgi i lem birimlerinin de BGYS'nin teknik bir altyap olmad n bilmeleri gereklidir. Bu makalede nerilen s re tabanl risk analizi metodunun, BGYS'ye ilgi g steren Bilgi i lem birimlerinin konuya sadece teknik a dan yakla malar n engelleyece i ve s re leri de dikkate alarak al ma yapmalar na imkan verece i d n lmektedir. nerilen metot n m zdeki senelerde yasal altyap n n da olu turulmas ile beraber hem bir ok kuruma hem de kurumlardaki Bilgi i lem birimleri d ndaki di er birimlere yayg nla mas.

10 Ng r len BGYS al malar na haz rl kl olmalar na katk yapacakt r. 3. S re Tabanl Risk Analizi Y ntemi Risk analizi al malar belirlenmi olan BGYS kapsam d hilinde ger ekle tirilir. BGYS'nin kapsam ayn zamanda risk analizinin de kapsam d r. Ayn kapsam n, varl k envanterinin olu turulmas esnas nda da dikkate al nmas gerekir. Bir ok BGYS. al mas nda kapsam n belirlenmesinin ard ndan, varl k envanteri olu turulmas na ge ilmektedir. nerilen metotta, BGYS. kapsam n n belirlenmesinin ard ndan, varl k envanterine ge ilmeden nce bu kapsam i erisinde yer alan s re lerin ortaya konulmas ve modellenmesi nerilmektedir. S re leri olu turan yap ta lar varl klard r. Bu nedenle, s re lerin belirlenmesi ve yaz l hale getirilmesi varl klar n daha sa l kl ve eksiksiz bir ekilde belirlenmesini de sa layacakt r. BGYS kapsam n n belirlenmesinin ard ndan do rudan varl k envanterinin olu turulmas a amas na ge ilmesi, Bilgi i lem personelinin sadece donan m ve yaz l mlara odaklanmas na yol a maktad r.


Related search queries