Transcription of RİSK YÖNETİM SÜRECİ KILAVUZU - ktu.edu.tr
1 TIP FAK LTES DEKANLI I ve FARAB HASTANES BA HEK ML R SK Y NET M S REC KILAVUZU R SK Y NET M S REC KILAVUZU 1. G R TS ISO/IEC 27001:2005 Bilgi Teknolojisi G venlik Teknikleri - Bilgi G venli i Y netim Sistemleri Gereksinimler standard na g re risk y netimi bir kurulu u risk ile ilgili olarak kontrol etmek ve y nlendirmek amac yla kullan lan koordineli faaliyetler olarak tan mlanm t r. Risk y netimi, bir kurulu u risk ile ilgili olarak kontrol etmek ve y nlendirmek amac yla koruyucu nlemlerin maliyetlerinin dengelenmesi ve organizasyonun hedeflerine ula mas i in gerekli kritik sistemlerin korunmas gibi konularda BT y neticilerinin yararland s re tir. Bu s re risk analizi, risk i leme ve de erlendirme ve takip alt s re lerinden olu ur. Ama ve Kapsam Bu dok man n amac risk y netim s reci olu turacak kurumlara risk y netimi s recinin planlanmas , kurulmas ve i letilmesi konular nda yol g stermektir.
2 Ba ar l bir risk y netimi s reci olu turmak i in gerekli safhalar n nas l ele al naca , risk y netimi s recinin nas l s rekli bir s re haline getirilece i anlat lmaktad r. K saltmalar BGYS : Bilgi G venli i Y netim Sistemi BT : Bili im Teknolojileri ISO : International Standards Organization 2. R SK ANAL Z Risk analizi TS ISO/IEC 27001:2005 standard nda kaynaklar belirlemek ve riski tahmin etmek amac yla bilginin sistematik kullan m olarak tan mlanm t r. Risk analizi s reci kapsam belirlenmesi ile ba lar. Belirlenen kapsamda bulunan varl klar belirlendikten sonra, tehditler, a kl klar ve mevcut kontroller belirlenir. Daha sonra olas l k de erlendirmesi ve etki analizi ger ekle tirilir. Son olarak bulunan riskler derecelendirilerek dok mante edilir. Kapsam Belirlenmesi Risk analizinin ilk ad m kapsam belirlenmesidir.
3 Kapsam n ilk a amada do ru ve kurum hedeflerine uygun olarak belirlenmesi ileride gereksiz aba harcanmas n nler ve risk analizinin kalitesini artt r r. Kapsamda risk analizine tabi her ey a k olarak belirlenmelidir. rne in risk analizinde dikkate al nacak t m BT varl klar (yaz l m donan m gibi), personel, tesisler, operasyonlar a k a belirtilmelidir. rnek bir kapsam u ekilde olabilir. Bu risk analizi kurumun muhasebe i lemlerinde kullan lan t m donan m, yaz l m ve personeli kapsar. Bu durumda muhasebe i lemleri i in kullan lan t m sunucular, kullan c bilgisayarlar , i letim sistemleri, veri taban yaz l mlar , uygulamalar ve t m bunlar kullanan ve y neten kurum personeli risk analizi i erisinde yer al r. Varl klar n Belirlenmesi Varl k, sistemin bir par as olan ve kurum i in de eri olan her eydir. Varl k kurum i in de er ta d ndan korunmas gerekir.
4 Bir BT sisteminde sadece yaz l m ve donan mlar varl k olarak d n lmemelidir. A a daki rnekler varl k olarak nitelendirilebilecek de erlerdir. Bilgi (sat bilgilerini i eren dosyalar, r n bilgileri) Donan m (ki isel bilgisayarlar, yaz c lar, sunucular) Yaz l m (i letim sistemleri, geli tirilen uygulamalar, ofis programlar ) Haberle me cihazlar (telefonlar, hatlar, kablolar, modemler, anahtarlama cihazlar ) Dok manlar(stratejik toplant lar n tutanaklar , s zle meler) retilen mallar Servisler Mali de erler ( ekler, para, fonlar) Personel Kurumun prestiji / imaj Varl klar n belirlenmesinde kullan labilecek baz bilgi toplama teknikleri mevcuttur. A a daki tekniklerden biri veya birka varl klar n belirlenmesinde kullan labilir. Anketler Varl klar n belirlenmesinde ve risk analizi i in gerekli bilgilerin toplanmas nda anketler kullan labilir.
5 Anketler BT sistemini kullanan, tasarlayan ve destekleyen t m personele uygulanabilir. Birebir g r meler BT sistemini y neten ve bu sisteme destek sa layan personel ile yap lacak g r meler sistemin nas l i ledi i ve nas l y netildi i konular nda yararl bilgiler edinilmesini sa lar. Bu g r meler s ras nda operasyonun i leyi i ile ilgili edinilen bilgiler sayesinde g zden ka abilecek baz varl klar daha rahat belirlenir. Dok mantasyonun incelenmesi Politikalar n, sistem dok mantasyonun (i letme talimatlar ve a diyagram gibi), nceki risk de erlendirme raporlar n n incelenmesi varl klar n o unun h zl ve do ru bir ekilde belirlenmesini sa lar. Otomatik tarama ara lar A tarama ara lar gibi otomatik tarama ara lar b y k bir sistemde bulunan varl klar n belirlenmesini kolayla t r r ve baz varl klar n g zden ka r lmas n engeller.
6 Tehditlerin Belirlenmesi Tehdit, herhangi bir tehdit kayna n n kas tl olarak veya kazayla bir a kl kullanarak varl klara zarar verme potansiyelidir. Tehdit kayna ise varl klara zarar verme olas l olan olaylar ve durumlar olarak tan mlanabilir. En bilinen tehdit kaynaklar unlard r: Do al tehditler: Deprem, sel, toprak kaymas , y ld r m d mesi, f rt na gibi tehditler. evresel tehditler: Uzun s reli elektrik kesintileri, hava kirlili i, s z nt lar vs. nsan kaynakl tehditler: nsanlar taraf ndan yap lan veya yol a lan bilin li veya bilin siz olaylar. rne in yanl veri giri i, a sald r lar , zararl yaz l mlar n y klenmesi, yetkisiz eri imler vs. Tehdit de erlendirmesi s ras nda hi bir tehdidin k msenerek g z ard edilmesi do ru de ildir. G z ard edilen tehdit kurum g venli inde zay fl k yaratabilir. Tehdit de erlendirmesi i in gerekli girdi varl k sahiplerinden, kullan c lardan, BT uzmanlar ndan, kurumun korunmas ndan sorumlu ki ilerden elde edilebilir.
7 Ayr ca tehditlerin belirlenmesinde tehdit kataloglar da kullan labilir. A a daki tablo BT sistemlerinde s kl kla kar la lan tehditleri ve bunlar n kaynaklar n i ermektedir (tehdidin kayna b l m nde kullan lan k saltmalar B: nsan kaynakl ve bilerek, K: nsan kaynakl ve kazayla, D: Do al, : evresel). Tehdit Tehdidin Kayna Deprem D Sel D F rt na D Y ld r m D End striyel bilgi s zmas B, K Bombalama veya silahl sald r B Yang n B, K G kesintisi B, K, Su kesintisi B, K, Havaland rma sisteminin ar zalanmas B, K, Donan m ar zalar K G dalgalanmalar K, Tozlanma Elektrostatik bo alma H rs zl k B Saklama ortamlar n n izinsiz kullan lmas B, K Saklama ortamlar n n eskiyip kullan lmaz duruma gelmesi K Personel hatalar K Bak m hatalar /eksiklikleri K Yaz l m hatalar B, K Lisans z yaz l m kullan m B, K Yaz l mlar n yetkisiz kullan lmas B, K Kullan c kimlik bilgilerinin al nmas B, K Zararl yaz l mlar B.
8 K Yetkisiz ki ilerin a a eri imi B A cihazlar n n ar zalanmas K Hat kapasitelerinin yetersiz kalmas B, K A trafi inin dinlenmesi B letim hatlar n n hasar g rmesi B, K leti imin dinlenmesi B Mesajlar n yanl y nlendirilmesi K Mesajlar n yetkisiz ki ilere y nlendirilmesi B nkar etme B Kaynaklar n yanl kullan m K Kullan c hatalar K Personel yetersizli i K Tablo BT sistemlerinde kar la lan tehditler ve kaynaklar A kl klar n Belirlenmesi A kl k, sistem g venlik prosed rlerinde, tasar mda, uygulamada veya i kontrollerde bulunan ve bilgi g venli i ihlal olay na sebep olabilecek zay fl k, hata veya kusurlard r. A kl klar tek ba lar na tehlike olu turmazlar ve ger ekle meleri i in bir tehdidin mevcut olmas gerekir. A kl k de erlendirmesi, tehditler taraf ndan ger ekle tirilebilecek a kl klar ve bu a kl klar n ne kadar kolay ger ekle tirilebilece ini ele al r.
9 A kl klar n belirlenmesinde de varl k belirlemesinde anlat lan anket, birebir g r me, dok mantasyon ve otomatik tarama ara lar gibi y ntemler kullan labilir. Ayr ca a a daki kaynaklar n kullan m da nerilmektedir. A kl k listeleri ve a kl k veritabanlar nceki BT sistemi denetim raporlar , test raporlar , hata raporlar nceki risk de erlendirme dok manlar reticiler taraf ndan yay nlanan uyar lar G venlikle ilgili web sayfalar ve e-posta listeleri Yaz l m g venlik analizleri Sistem g venlik taramalar n n ve s zma testlerinin sonu lar A a daki listede baz rnek a kl klar ve bu a kl klar ger ekleyebilecek tehditler verilmi tir. Altyap ve evreyle ilgili a kl klar o Binada yeterli fiziksel g venli in bulunmamas (h rs zl k) o Binalara ve odalara giri lerde yetersiz fiziksel kontrol (kasten zarar verme) o Eski g kaynaklar (g dalgalanmalar ) o Deprem b lgesinde bulunan yap lar (deprem) o Herkesin eri ebildi i kablosuz a lar (hassas bilginin a a kmas , yetkisiz eri im) o D kaynak kullan m nda i letilen prosed r ve y netmeliklerin veya artnamelerin eksikli i/yetersizli i (yetkisiz eri im) Donan mlarla ilgili a kl klar o Periyodik yenilemenin yap lmamas (saklama ortamlar n n eskimesi, donan mlar n bozulmas nedeniyle eri imin durmas ) o Voltaj de i ikliklerine, s ya, neme, toza duyarl l k (g dalgalanmalar , eri im g l kleri vs.)
10 O Periyodik bak m eksikli i (bak m hatalar ) o De i im y netimi eksikli i (kullan c hatalar ) Yaz l mlarla ilgili a l klar o Yama y netimi eksikli i/yetersizli i (yetkisiz eri im, hassas bilginin a a kmas ) o Kay t y netimi eksikli i/ yetersizli i (yetkisiz eri im) o Kimlik tan mlama ve do rulama eksiklikleri (yetkisiz eri im, ba kalar n n kimli ine b r nme) o ifre y netimi yetersizli i (yetkisiz eri im, ba kalar n n kimli ine b r nme) o ifre veritabanlar n n korunmamas (yetkisiz eri im, ba kalar n n kimli ine b r nme) o Eri im izinlerinin yanl verilmesi (yetkisiz eri im) o zinsiz yaz l m y klenmesi ve kullan lmas (zararl yaz l mlar, yasal gerekliliklere uyum) o Saklama ortamlar n n do ru silinmemesi ve imha edilmemesi (hassas verinin ortaya kmas , yetkisiz eri im) o Dok mantasyon eksikli i/yetersizli i (kullan c hatalar ) o Yaz l m gereksinimlerinin yanl veya eksik belirlenmesi (yaz l m hatalar ) o Yaz l mlar n yeterli test edilmemesi (yetkisiz eri im, yaz l mlar n yetkisiz kullan m ) Haberle meyle ilgili a kl klar o Korunmayan haberle me hatlar (haberle menin dinlenmesi) o Hat zerinden ifrelerin a k olarak iletilmesi (yetkisiz eri im) o Telefon hatlar yla kurum a na eri im (yetkisiz eri im) o A y netimi yetersizli i/eksikli i (trafi in a r y klenmesi) Dok manlarla ilgili a kl klar o Dok manlar n g vensiz saklanmas (h rs zl k) o Dok manlar n kontrols z o alt lmas (h rs zl k) o Dok manlar n imha edilmemesi (h rs zl k, hassas bilginin a a kmas ) Personel ile ilgili a kl klar o E itimi eksikli i (personel hatalar ) o G venlik fark ndal eksikli i (kullan c hatalar )
