Transcription of Bilgi Güvenliği Yönetim Sistemi için Süreç Tabanlı Risk ...
1 Bilgi G venli i Y netim Sistemi i in S re Tabanl Risk analizi Bilge Karabacak1 Dr. Sevgi zkan2. 1. Enformatik Enstit s , Orta Do u Teknik niversitesi, Ankara 2. Enformatik Enstit s , Orta Do u Teknik niversitesi, Ankara 1 2. e-posta: e-posta: zet e G n m zde, bir ok kurulu Bilgi G venli i Y netim Sistemi (BGYS) kurmak ve bu y netim sistemini TS ISO/IEC 27001. sertifikas ile belgelendirmek istemektedir. BGYS'nin hedefledi i kapsam t m kurum ve i s re leri olsa da bu isteklerin genellikle kurumlar n Bilgi i lem birim temsilcilerinden veya Bilgi i lem biriminin ba l oldu u st y neticilerinden geldi i g r lmektedir. TS ISO/IEC 27001 standard , belirli bir kapsam d hilinde i s re lerini dikkate alan bir risk analizinin ger ekle tirilmesini zorunlu k lmaktad r. stekler Bilgi i lem birimlerinden geldi i i in bir ok BGYS kurulum al mas nda kapsam Bilgi i lem s re leri olarak belirlenmektedir.
2 Di er taraftan Bilgi i lem kapsam nda ger ekle tirilmesi planlanan risk analizi s recinde genellikle sadece donan mlara ve yaz l mlara odaklan lmaktad r. Bu durumda ise, y netimsel bir ok risk g z ard . edilebilmektedir. Bu al mada, bir BGYS kurulum al mas nda s re lerin, s re te yer alan varl klar n, varl klardaki a kl k ve tehditlerin nas l ifade edilebilece ine yer verilmi ve s re modeli kullan larak nas l risk analizi yap labilece i konusunda bir neri getirilmi tir. nerilen metodun, zellikle Bilgi i lem s re lerinin kapsam d hilinde oldu u Bilgi G venli i Y netim Sistemi kurulumu al malar nda etkin bir ekilde kullan labilece i de erlendirilmektedir. 1. Giri . Son y llarda, lkemizdeki kamu kurumlar ve zel irketler TS ISO/IEC 27001 standard na daha ok ilgi g stermeye ba lam lard r [1]. TS ISO/IEC 27001 standard n n sertifikasyonunun olmas bu ilgiyi art rmaktad r.
3 TS ISO/IEC 27001 sertifikasyonunun yak n bir gelecekte t m d nyada b y k oranda yayg nla aca ng r lmektedir [2]. G n m zde, bir ok kurulu TS ISO/IEC 27001. sertifikas alma niyetinden bahsetmektedir. Bunun yan s ra baz kurulu lar belgelendirme i in gerekli i lemlere devam etmekte ve baz lar da h lihaz rda alm bulunmaktad r. TS ISO/IEC 27001, etkili bir Bilgi G venli i Y netim Sistemi (BGYS) kurulmas ve y netilmesi i in gerekli ad mlara yer vermektedir. TS ISO/IEC 27001, kurulu un ticari riskleri ba lam nda belgelendirilmi bir BGYS'nin kurulmas , uygulamaya konulmas , i letilmesi, takip edilmesi, incelenmesi, bak m ve geli tirilmesi i in gereklilikleri tan mlar. S z konusu gereklilikleri yerine getirmek i in at lmas gereken en nemli ad m, riskleri belirlemek i in bir risk analizi yapmakt r. TS ISO/IEC 27001, belirli bir risk analiz y ntemini nermemektedir, bunun yerine bu s recin zorunlu oldu unu ve risk de erlendirmesine y nelik sistematik bir yakla m tan mlanmas n gerekti ini belirtmektedir [1].
4 Standard n maddesinde i hedefleri ve i s re lerindeki de i ikliklere g re risk de erlendirmesinin g zden ge irilmesi nin gereklili i vurgulanm t r. Ayr ca standartta, bir kurulu un BGYS'sini kurmak, ger ekle tirmek, i letmek, izlemek, s rd rmek ve iyile tirmek i in s re yakla m n n benimsendi i ifade edilmektedir. TS ISO/IEC 27001, b t n uygulama boyunca i s re lerini dikkate almay zorunlu k lar. Kaynaklar kullanan ve girdileri kt lara d n t ren her t rl etkinlik s re . olarak d n lebilir. Bir kurulu taki BGYS'nin tasar m ve uygulamaya konulmas , s z konusu kurulu un s re lerinden etkilenir [1]. TS ISO/IEC 27001'i uygularken s re yakla m takip edilmeli bu kapsamda s re lerin tan mlanmas , i leyi lerinin yaz l hale getirilmesi, modellenmesi ve s re lerin kar l kl etkile imlerinin ortaya konmas i lemleri ba ar l bir ekilde ger ekle tirilmelidir.
5 Risk analizi BGYS'yi kurman n hayati neme sahip bir par as d r, bundan dolay s re yakla m , risk analiz y ntemine de uygulanmal d r. S re yakla m bulunmayan bir risk analizi y nteminin, BGYS'ye uyumda ciddi zorluklar ekece i s ylenebilir. Bu al mada, TS ISO/IEC 27001'in gereklilikleri dikkate al narak, s re modellemesi tabanl bir risk analizi y ntemi nerilmi tir. nerilmi olan risk analizi y ntemi, zellikle lkemizdeki kamu kurumlar n n da talep ettikleri, Bilgi i lem s re lerini kapsam i ine alan Bilgi G venli i Y netim Sistemleri kurulumlar i in tasarlanm t r. 2. Bilgi G venli i i in Risk analizi Y ntemleri Risk nceden bilinen somut bir de er de il, bir olas l k de eridir. Bu nedenle risk analizi bir olas l k hesab d r ve karma k bir s re olabilmektedir. Bilgi teknolojileri s z konusu oldu unda, risk analizi s recinin karma kl daha da artmaktad r.
6 Bilgi teknolojileri a s ndan risk, basit bir olas l k de eri de ildir. Risk, bir varl ktaki bir a kl n bir tehdit taraf ndan kullan lma olas l d r. B ylece risk; varl k, a kl k ve tehdit olmak zere adet girdiye ba ml d r. Risk = f (Varl k, A kl k, Tehdit) (1). Form ldeki f fonksiyonu, risk modelini ifade etmektedir. Bu modelin adet temel girdisi vard r ve bu fonksiyonun (modelin). kt s da risk de eridir. Yap lan literat r taramas nda, Bilgi g venli i risk analizi konusunda bayes a lar , bulan k mant k, sim lasyon, hata a a lar gibi matematiksel y ntemlerin nerildi i g r lm t r [3, 4, 5]. Bu tip matematiksel modeller, yer ald klar yay nlarda da belirtildi i gibi zelle mi bir problemin z m nde etkin olabilir. Bu y ntemlerin BGYS kurulumu kapsam ndaki risk analizi al mas nda kullan lmas durumunda s recin karma kl y netilemez boyuta gelebilecektir.
7 Di er taraftan unutulmamal d r ki, Bilgi g venli inin az bir b l m teknik ve teknolojik daha kapsaml b l m ise s re ler ve sosyal ili kiler ile ilgilidir [6, 7]. BGYS. kurulumu al malar nda bulunmu olan ki iler bu ger e i do rulayacaklard r. G venlik duvar na anl k mesajla may engelleyen bir kural koymak ok kolay iken, bunu bir kurum politikas olarak uygulamak olduk a zordur. Bu i lemin kolay olan k sm Bilgi g venli inin teknik boyutunu, zor olan k sm ise sosyal boyutunu temsil etmektedir. Risk analizi gibi BGYS'nin nemli bir k sm n . olu turan nemli bir s recin de bu ger ek ile uyumlu olmas ba ar i in gerekli bir artt r. Bilgi g venli i risk analizi s recinde kullan lan ve bu s re teki bir ok aktiviteyi otomatikle tiren ok say da yaz l m mevcuttur. Bu yaz l m ara lar n n en tan nm lar , nicel risk modellerine dayal olan CRAMM [8] ve RiskWatch [9] yaz l mlar d r.
8 Bu yaz l mlar, BGYS kapsam ndaki risk analizlerinde de kullan labilmektedir. Risk analizi s recinde yaz l m kullan lmas n n baz dezavantajlar . olabilmektedir. ncelikle, b yle bir y ntemin maliyeti genellikle y ksek olmaktad r. Maliyet kalemi i erisinde sadece yaz l m n tedarik maliyetinin olmad , destek, g ncelleme ve e itim faaliyetlerinin de oldu u unutulmamal d r. kinci dezavantaj, risk analiz s recinin ana er evesinin yaz l m taraf ndan belirlenmesidir. B ylece, risk analizi s recinde kuruma zel yap lmas gereken baz . de i iklikler yap lamayabilmektedir [10]. Devlet Planlama Te kilat M ste arl Bilgi Toplumu Dairesi taraf ndan haz rlanm olan Bilgi Toplumu Stratejisi Eylem Plan 'nda yer alan 88 numaral madde Ulusal Bilgi Sistemleri G venlik Program 'n tan mlamaktad r [11]. S z konusu program n sorumlu kurulu u olarak T B TAK Ulusal Elektronik ve Kriptoloji Ara t rma Enstit s , d rt adet kamu kurumuna Bilgi G venli i Y netim Sistemi kurulumu dan manl vermi tir.
9 Bu al malarda, kurulmas planlanan Bilgi g venli i y netim sistemlerinin kapsam temel olarak Bilgi i lem s re leri olarak belirlenmi ve Bilgi i lem birimlerinin temsilcileri ile al lm t r. Bu al malar esnas nda BGYS kapsam n n belirlenmesinin ard ndan ncelikle risk analizi s reci i in temel bir girdi olan varl k envanteri olu turulmu tur. Bu a amada, Bilgi i lem personelinin varl k envanterini bir ayniyat veritaban olarak alg lad ve sonu olarak bu envantere sadece Bilgi i lemin sahip oldu u donan m/yaz l mlar yazd ve Bilgi varl klar n listelemekte zorland klar g r lm t r [12]. Risk analizi s recinde, varl klardaki a kl klar ve bu a kl klar kullanan tehditler ortaya konuldu u i in, varl k envanterinde sadece Bilgi i lemin i letti i teknolojik varl klar n yer almas risk analizinin eksik sonu lar vermesine yol a acakt r.
10 Bu tip eksik risk analizleri, Bilgi g venli inin daha ok teknik boyutlar na yo unla acak ama sosyal ve s re ler ile ilgili boyutlar n ihmal edecektir. lkemizde zellikle kamu kurumlar n n Bilgi i lem birimleri, BGYS konusuna ilgi g stermekte ve bu y netim sistemini kurmak istemektedirler. Ger ekte, BGYS bilginin i lendi i her yere uygulanabilecek olan bir sistemdir, sadece bir Bilgi i lem aktivitesi de ildir [12]. Ancak, lkemizde Bilgi g venli i y neti imi ile ilgili yasal altyap olmad i in bir kamu kurumunun t m birimlerini i ine alan bir BGYS kurmak olduk a g t r ve hen z b yle bir rnek bulunmamaktad r. te taraftan, bu sisteme ilgi g steren Bilgi i lem birimlerinin de BGYS'nin teknik bir altyap olmad n bilmeleri gereklidir. Bu makalede nerilen s re tabanl risk analizi metodunun, BGYS'ye ilgi g steren Bilgi i lem birimlerinin konuya sadece teknik a dan yakla malar n engelleyece i ve s re leri de dikkate alarak al ma yapmalar na imkan verece i d n lmektedir.
