Kişiler

Bilgi güvenliği riskleri nasıl değerlendirilir. Bilgi güvenliğinin uygulanmasında risk analizi ve yönetimi

  • 08.08.2019

Bilgi güvenliği riskleri nasıl doğru bir şekilde değerlendirilir - bizim tarifimiz

Günümüzde bilgi güvenliği risklerini değerlendirme görevi, uzmanlar topluluğu tarafından belirsiz bir şekilde algılanmaktadır ve bunun birkaç nedeni vardır. İlk olarak, altın standart veya kabul edilmiş bir yaklaşım yoktur. Çok sayıda standart ve metodoloji, genel anlamda benzer olmakla birlikte, ayrıntılarda önemli ölçüde farklılık göstermektedir. Bir yöntemin veya diğerinin uygulanması, değerlendirmenin alanına ve nesnesine bağlıdır. Ancak, değerlendirme sürecindeki katılımcıların bu yöntem ve sonuçları hakkında farklı fikirleri varsa, doğru yöntemi seçmek bir sorun haline gelebilir.

İkinci olarak, bilgi güvenliği risk değerlendirmesi tamamen uzman bir görevdir. Farklı uzmanlar tarafından gerçekleştirilen risk faktörlerinin (hasar, tehdit, güvenlik açığı vb.) analizi çoğu zaman farklı sonuçlar verir. Değerlendirme sonuçlarının yetersiz tekrarlanabilirliği, elde edilen verilerin güvenilirliği ve kullanışlılığı sorusunu gündeme getirmektedir. İnsan doğası öyledir ki, soyut tahminler, özellikle olasılıksal ölçü birimleriyle ilgili olanlar, insanlar tarafından farklı şekillerde algılanır. Bir kişinin öznel algısının ölçüsünü (örneğin, beklenti teorisi) hesaba katmak için tasarlanmış mevcut uygulamalı teoriler, zaten karmaşık olan risk analizi metodolojisini karmaşıklaştırır ve popülerleşmesine katkıda bulunmaz.

Üçüncüsü, varlıkların ayrıştırılması ve envanteri ile klasik anlamda risk değerlendirme prosedürünün kendisi çok zahmetli bir iştir. Ortak ofis araçlarını (e-tablolar gibi) kullanarak manuel analiz yapmaya çalışmak, kaçınılmaz olarak bir bilgi denizinde boğulur. Bireysel risk analizi aşamalarını basitleştirmek için tasarlanmış özel yazılım araçları, modellemeyi bir dereceye kadar kolaylaştırır, ancak verilerin toplanmasını ve sistemleştirilmesini hiç basitleştirmez.

Son olarak, bilgi güvenliği sorunu bağlamında riskin tanımı henüz tam olarak oturmamıştır. 2002 sürümüne kıyasla ISO Guide 73:2009'daki terminolojideki değişikliklere bakın. Daha önce risk, bir güvenlik açığının bir tehdit tarafından kullanılmasından kaynaklanan potansiyel zarar olarak tanımlanırken, şimdi beklenen sonuçlardan sapmanın etkisidir. ISO/IEC 27001:2013'ün yeni baskısında da benzer kavramsal değişiklikler yapılmıştır.

Bunlar ve bir dizi başka nedenden dolayı, bilgi güvenliği risk değerlendirmelerine en iyi ihtimalle ihtiyatla, en kötü ihtimalle ise büyük bir güvensizlikle yaklaşılır. Bu, yönetim tarafından bu sürecin sabote edilmesine ve sonuç olarak, yıllık analitik raporlarla dolu çok sayıda olayın ortaya çıkmasına yol açan risk yönetimi fikrini itibarsızlaştırmaktadır.

Yukarıdakiler göz önüne alındığında, bilgi güvenliği risklerini değerlendirme görevine hangi taraftan yaklaşmak daha iyidir?

taze bir görünüm

Bilgi güvenliği günümüzde giderek daha fazla iş hedeflerine odaklanmakta ve iş süreçlerine entegre edilmektedir. Risk değerlendirmesi ile benzer metamorfozlar gerçekleşiyor - gerekli iş bağlamını elde ediyor. Modern bir IS risk değerlendirme metodolojisi hangi kriterleri karşılamalıdır? Açıktır ki, uygulamanın sonuçlarının süreçteki tüm katılımcılar için güvenilir ve faydalı olması için yeterince basit ve evrensel olmalıdır. Böyle bir tekniğin dayandırılması gereken birkaç ilkeyi seçelim:

  1. aşırı ayrıntıdan kaçının;
  2. işletmenin görüşüne güvenmek;
  3. örnekler kullanın;
  4. dış bilgi kaynaklarını göz önünde bulundurun.

Önerilen metodolojinin özü en iyi şekilde pratik bir örnekle gösterilir. Bir ticaret ve üretim şirketindeki bilgi güvenliği risklerini değerlendirme görevini düşünün. Genellikle nerede başlar? Değerlendirmenin sınırlarının tanımından. Risk değerlendirmesi ilk kez yapılıyorsa, sınırlar gelir getiren ana iş süreçleri ile bunlara hizmet eden süreçleri içermelidir.

İş süreçleri belgelenmemişse, amaç ve hedeflerin bir tanımını içeren departmanlardaki organizasyon yapısı ve düzenlemeler incelenerek genel bir fikir edinilebilir.

Değerlendirmenin sınırlarını belirledikten sonra, varlıkların belirlenmesine geçelim. Yukarıdakilere uygun olarak, bilgi kaynaklarının envanterini sonraki aşamalara erteleyerek ana iş süreçlerini toplu varlıklar olarak ele alacağız (kural 1). Bunun nedeni, metodolojinin genelden özele kademeli bir geçişi içermesidir ve bu ayrıntı düzeyinde, bu verilere basitçe ihtiyaç duyulmaz.

Risk faktörleri

Değerlemesi yapılan varlıkların bileşimine karar verdiğimizi varsayacağız. Ardından, bunlarla ilişkili tehditleri ve güvenlik açıklarını belirlemeniz gerekir. Ancak bu yaklaşım, yalnızca bilgi varlığı ortamının nesnelerinin değerlendirmenin amacı olduğu ayrıntılı bir risk analizi yapılırken uygulanabilir. ISO/IEC 27001:2013'ün yeni versiyonu, risk değerlendirmesinin odağını geleneksel BT varlıklarından bilgi ve işlemeye kaydırdı. Mevcut ayrıntı düzeyinde, şirketin toplu iş süreçlerini göz önünde bulundurduğumuz için, yalnızca bunlara özgü yüksek düzeyli risk faktörlerini belirlemek yeterlidir.

Risk faktörü, gelecekte bir sorun kaynağı olan bir nesnenin, teknolojinin veya sürecin belirli bir özelliğidir. Aynı zamanda, ancak sorunların şirketin performansı üzerinde olumsuz bir etkisi varsa, riskin varlığından bahsedebiliriz. Mantıksal bir zincir oluşturulur:

Böylece, risk faktörlerini belirleme görevi, işletme üzerinde olumsuz etkisi olan olası risk senaryolarını belirleyen süreçlerin başarısız özelliklerini ve özelliklerini belirlemeye indirgenir. Çözümünü basitleştirmek için ISACA birliği tarafından geliştirilen bilgi güvenliği iş modelini kullanacağız (bkz. Şekil 1):

Pirinç. 1. Bilgi güvenliği iş modeli

Modelin düğümleri, herhangi bir organizasyonun temel itici güçlerini gösterir: strateji, süreçler, insanlar ve teknoloji ve kenarları, bunlar arasındaki işlevsel bağlantıları temsil eder. Bu kaburgalarda temel olarak ana risk faktörleri yoğunlaşmıştır. Görülmesi kolay olduğu gibi, riskler sadece bilgi teknolojisi ile ilişkili değildir.

Yukarıdaki modele dayalı olarak risk faktörleri nasıl belirlenir? İşi buna dahil etmek gerekir (kural 2). İş birimleri genellikle işlerinde karşılaştıkları sorunların çok iyi farkındadır. Sektördeki meslektaşların deneyimleri sıklıkla hatırlanır. Doğru soruları sorarak bu bilgilere ulaşabilirsiniz. Personelle ilgili konular İnsan Kaynaklarına, teknoloji konuları Otomasyona (BT) ve iş süreci sorunları uygun iş birimlerine yönlendirilmelidir.

Risk faktörlerini belirleme görevinde problemlerden başlamak daha uygundur. Herhangi bir sorunu belirledikten sonra, nedenini belirlemek gerekir. Sonuç olarak, yeni bir risk faktörü tanımlanabilir. Buradaki ana zorluk, özellikle yuvarlanmamaktır. Örneğin, bir çalışanın hukuka aykırı eylemleri sonucunda bir olay meydana geldiyse, risk faktörü çalışanın bir düzenleme hükmünü ihlal etmesi değil, eylemin kendisinin mümkün hale gelmesi olacaktır. Bir risk faktörü, bir problemin ortaya çıkması için her zaman bir ön koşuldur.

Personelin kendilerine tam olarak ne sorulduğunu daha iyi anlamaları için sorulara örneklerle birlikte verilmesi tavsiye edilir (kural 3). Aşağıdakiler, birçok iş sürecinde ortak olabilecek birkaç yüksek seviyeli risk faktörünün örnekleridir:

Kadro:

  • Yetersiz nitelikler (Şekil 1'deki İnsan Faktörlerinin kenarı)
  • Çalışan kıtlığı (kaburga ortaya çıkması)
  • Düşük motivasyon (kaburga kültürü)

Süreçler:

  • Dış gereksinimlerin sık değişmesi (yönetici taraf)
  • Az gelişmiş süreç otomasyonu (Etkinleştirme ve Destek kenarı)
  • Oyuncular tarafından rollerin kombinasyonu (kaburga Ortaya Çıkışı)

teknoloji:

  • Eski yazılım (Etkinleştirme ve Destek kenarı)
  • Kötü kullanıcı sorumluluğu (İnsan Faktörleri avantajı)
  • Heterojen BT ortamı (mimari uç)

Önerilen değerlendirme yönteminin önemli bir avantajı, iki farklı departmanın aynı sorunu farklı açılardan ele aldığı çapraz analiz imkanıdır. Bu durum göz önüne alındığında, görüşmecilere “Meslektaşlarınızın tespit ettiği sorunlar hakkında ne düşünüyorsunuz?” gibi sorular sormak çok faydalıdır. Bu, ek notlar almanın ve mevcut notları ayarlamanın harika bir yoludur. Sonucu iyileştirmek için, böyle bir değerlendirmenin birkaç turu gerçekleştirilebilir.

İş üzerindeki etkisi

Risk tanımından aşağıdaki gibi, kuruluşun iş performansı üzerindeki etki derecesi ile karakterize edilir. Risk uygulama senaryolarının iş üzerindeki etkisinin niteliğini belirlemenizi sağlayan kullanışlı bir araç, Balanced Scorecards sistemidir. Ayrıntılara girmeden, Balanced Scorecards'ın herhangi bir şirket için hiyerarşik bir şekilde ilişkili 4 iş olasılığını belirlediğini not ediyoruz (bkz. Şekil 2).

Pirinç. 2. Balanced Scorecard'ın Dört İş Perspektifi

Söz konusu metodoloji ile ilgili olarak, aşağıdaki üç iş perspektifinden en az birini olumsuz etkiliyorsa bir risk önemli olarak kabul edilebilir: finans, müşteriler ve/veya süreçler (bkz. Şekil 3).

Pirinç. 3. Temel iş göstergeleri

Örneğin, "Düşük kullanıcı sorumluluğu" risk faktörü, "Müşteri Bilgi Sızıntısı" senaryosuna neden olabilir. Buna karşılık, bu, müşterilerin iş metriğinin sayısını etkileyecektir.

Bir şirket iş metrikleri geliştirdiyse, bu durumu büyük ölçüde basitleştirir. Belirli bir risk senaryosunun bir veya daha fazla iş göstergesi üzerindeki etkisini izlemek mümkün olduğunda, ilgili risk faktörü önemli kabul edilebilir ve değerlendirmesinin sonuçları anketlere kaydedilmelidir. Bir senaryonun etkisi iş metriklerinin hiyerarşisinde ne kadar yüksekse, iş üzerindeki potansiyel etkisi de o kadar büyük olur.

Bu sonuçları analiz etme görevi bir uzman işidir, bu nedenle uzmanlaşmış iş birimlerinin katılımıyla çözülmelidir (kural 2). Elde edilen tahminlerin ek kontrolü için, örneğin yıllık Veri İhlalinin Maliyeti Çalışması raporu gibi, olayların sonucu olarak kayıpların büyüklüğüne ilişkin istatistiksel verileri içeren harici bilgi kaynaklarının (kural 4) kullanılması yararlıdır.

olasılık puanı

Analizin son aşamasında, işletme üzerindeki etkisi belirlenebilen her bir tanımlanmış risk faktörü için, onunla ilişkili senaryoların olasılığının değerlendirilmesi gerekir. Bu değerlendirme neye bağlıdır? Büyük ölçüde şirkette uygulanan koruyucu tedbirlerin yeterliliğinden kaynaklanmaktadır.

Burada küçük bir uyarı var. Sorun tanımlandığından beri, bunun hala alakalı olduğu anlamına geldiğini varsaymak mantıklıdır. Aynı zamanda, uygulanan önlemler büyük olasılıkla, ortaya çıkması için ön koşulları dengelemek için yeterli değildir. Karşı önlemlerin yeterliliği, örneğin bir metrik sistemi kullanarak, uygulamalarının etkinliğini değerlendirmenin sonuçları ile belirlenir.

Değerlendirme için 3 seviyeli basit bir ölçek kullanabilirsiniz, burada:

3 - uygulanan karşı önlemler genellikle yeterlidir;

2 - karşı önlemler yetersiz uygulanıyor;

1 - karşı önlem yok.

Karşı önlemleri açıklayan referans kitapları olarak CobiT 5, ISO / IEC 27002, vb. gibi özel standartlar ve yönergeler kullanabilirsiniz. Her bir önlem belirli bir risk faktörü ile ilişkilendirilmelidir.

Yalnızca BT kullanımıyla değil, aynı zamanda şirketteki dahili bilgi süreçlerinin organizasyonuyla da ilişkili riskleri analiz ettiğimizi hatırlamak önemlidir. Bu nedenle, karşı önlemler daha geniş olarak düşünülmelidir. ISO/IEC 27001:2013'ün yeni versiyonunun, karşı önlemleri seçerken, yalnızca standartta mevcut olan Ek A'yı değil, herhangi bir harici kaynağı (kural 4) kullanmanın gerekli olduğuna dair bir madde içermesi boşuna değildir. referans amaçlı.

Riskin büyüklüğü

Nihai risk değerini belirlemek için basit bir tablo kullanılabilir (bkz. Tablo 1).

Sekme. 1. Risk değerlendirme matrisi

Bir risk faktörünün "Müşteriler" ve "Finans" gibi çeşitli iş perspektiflerini etkilemesi durumunda göstergeleri özetlenir. Ölçeğin boyutu ve kabul edilebilir IS risk seviyeleri herhangi bir uygun şekilde belirlenebilir. Yukarıdaki örnekte, 2. ve 3. düzeylerdeki riskler yüksek olarak kabul edilir.

Bu noktada risk değerlendirmesinin ilk aşaması tamamlanmış sayılabilir. Değerlendirilen iş süreciyle ilişkili riskin nihai değeri, tanımlanan tüm faktörler için bileşik değerlerin toplamı olarak belirlenir. Riskin sahibi, değerlendirilen nesneden şirkette sorumlu kişi olarak kabul edilebilir.

Ortaya çıkan rakam bize organizasyonun ne kadar para kaybetme riskiyle karşı karşıya olduğunu söylemez. Bunun yerine, risklerin yoğunlaştığı alanı ve bunların iş performansı üzerindeki etkisinin niteliğini gösterir. Bu bilgi, en önemli ayrıntılara daha fazla odaklanmak için gereklidir.

Ayrıntılı değerlendirme

Bu tekniğin temel avantajı, istenilen detay seviyesinde bilgi güvenliği risk analizi yapmanıza olanak sağlamasıdır. Gerekirse, bilgi güvenliği modelinin unsurlarına (Şekil 1) “düşebilir” ve bunları daha ayrıntılı olarak düşünebilirsiniz. Örneğin, BT ile ilgili uçlarda en yüksek risk yoğunluğunu belirleyerek, Teknoloji düğümünün ayrıntı düzeyini artırabilirsiniz. Daha önce ayrı bir iş süreci bir risk değerlendirmesi nesnesi olarak hareket ettiyse, şimdi odak belirli bir bilgi sistemine ve kullanım süreçlerine kayacaktır. Gerekli ayrıntı düzeyini sağlamak için bir bilgi kaynakları envanteri gerekebilir.

Bütün bunlar diğer değerlendirme alanları için de geçerlidir. Kişiler düğümünün ayrıntısını değiştirdiğinizde, değerlendirme nesneleri personel rolleri ve hatta bireysel çalışanlar olabilir. Süreç düğümü için bunlar belirli çalışma politikaları ve prosedürleri olabilir.

Ayrıntı düzeyinin değiştirilmesi, yalnızca risk faktörlerini değil, aynı zamanda geçerli karşı önlemleri de otomatik olarak değiştirecektir. Her ikisi de değerlendirme nesnesine daha spesifik hale gelecektir. Ancak, bir risk değerlendirmesi gerçekleştirmeye yönelik genel yaklaşım değişmeyecektir. Tanımlanan her faktör için aşağıdakilerin değerlendirilmesi gerekecektir:

  • iş beklentileri üzerindeki risk etkisinin derecesi;
  • karşı önlemlerin yeterliliği.

Rus Sendromu

ISO/IEC 27001:2013 standardının yayımlanması birçok Rus şirketini zor durumda bırakmıştır. Bir yandan, bilgi varlıklarının sınıflandırılmasına, tehditlerin ve güvenlik açıklarının değerlendirilmesine dayalı olarak bilgi güvenliği risklerinin değerlendirilmesine yönelik belirli bir yaklaşım geliştirmişlerdir. Ulusal düzenleyiciler, örneğin Rusya Merkez Bankası standardı, FSTEC emirleri gibi bu yaklaşımı destekleyen bir dizi düzenlemeyi yayınlamayı başardılar. Öte yandan, risk değerlendirmesinin görevi değişim için uzun zamandır gecikmiştir ve şimdi hem eski hem de yeni gereksinimleri karşılamak için yerleşik düzende değişiklik yapılması gerekmektedir. Evet, bugün hala ISO/IEC 27001'in önceki sürümüyle aynı olan GOST R ISO/IEC 27001:2006 standardına göre sertifika almak mümkündür, ancak bu çok uzun sürmez.

Yukarıda tartışılan risk analizi metodolojisi bu konuyu ele almaktadır. Değerlendirmedeki ayrıntı düzeyini kontrol ederek, iş süreçlerinden bireysel bilgi akışlarına kadar her ölçekteki varlıkları ve riskleri göz önünde bulundurabilirsiniz. Bu yaklaşım, hiçbir şeyi kaçırmadan tüm üst düzey riskleri karşılamanıza izin verdiği için de uygundur. Aynı zamanda, şirket daha fazla analiz için işçilik maliyetlerini önemli ölçüde azaltacak ve önemsiz risklerin ayrıntılı bir değerlendirmesi için zaman kaybetmeyecektir.

Değerlendirme alanının detayı ne kadar yüksek olursa, uzmanlara verilen sorumluluk ve gereken yetkinlik o kadar büyük olur, çünkü analizin derinliği değiştiğinde sadece risk faktörleri değil, aynı zamanda uygulanabilir karşı önlemlerin ortamı da değişir. .

Tüm basitleştirme girişimlerine rağmen, bilgi güvenliği risk analizi hala zaman alıcı ve karmaşıktır. Bu sürecin liderinin özel bir sorumluluğu vardır. Bilgi güvenliği için bütçe tahsisinden iş sürdürülebilirliğine kadar pek çok şey, bir yaklaşımı ne kadar yetkin bir şekilde oluşturduğuna ve görevle nasıl başa çıktığına bağlı olacaktır.

Ocak 2018'de, İnsanlığa Yönelik Küresel Riskler Raporu 2018, Davos'taki Dünya Ekonomik Forumu'nda sunuldu. Rapordan, bilgi güvenliği risklerinin hem uygulanan saldırı sayısındaki artış nedeniyle hem de yıkıcı potansiyelleri dikkate alındığında öneminin arttığı görülmektedir.

CRAMM, COBIT for Risk, FRAP, Octave ve Microsoft, dünyadaki en yaygın bilgi güvenliği risk yönetimi metodolojilerinden bazılarıdır. Belirli avantajların yanı sıra, sınırlamaları da vardır. Özellikle, listelenen yabancı yöntemler ticari şirketler tarafından etkin bir şekilde kullanılabilirken, devlet kurumları bilgi güvenliği risklerini değerlendirmede ve yönetmede Rusya FSTEC düzenlemelerinin hükümlerine göre yönlendirilmelidir. Örneğin, kritik tesislerdeki üretim ve teknolojik süreçler için otomatik kontrol sistemleri için, 14 Mart 2014 tarih ve 31 sayılı Rusya FSTEC'in emriyle yönlendirilmelidir. Aynı zamanda, bu belge ek olarak da kullanılabilir. federal yürütme makamları tarafından malzeme.

Modern toplumda bilgi güvenliği riskleri

Son zamanlarda, kuruluşlara yönelik saldırıların sayısı ikiye katlandı. Olağanüstü hasara neden olan saldırılar olağan hale geliyor. Saldırıların finansal maliyeti artıyor ve en büyük kayıplardan bazıları fidye yazılımı saldırılarıyla ilişkili. Bunun çarpıcı bir örneği, dünya çapında 150 ülkede 300.000'den fazla bilgisayarı etkileyen ve 300 milyon doları aşan mali kayıplara yol açan WannaCry ve NotPetya fidye yazılımı saldırılarıdır.

Diğer bir eğilim, insanlığın yaşam desteğini destekleyen sistemlerin arızalanmasına ve küresel insan kaynaklı felaketlerin ortaya çıkmasına neden olabilecek kritik altyapı ve stratejik endüstriyel tesislere yönelik saldırıların sayısındaki artıştır.

Böylece bilgi güvenliği riskleri, en olası ilk üç risk (doğal afet ve aşırı hava koşulları riskleri ile birlikte) ve olası hasar açısından en kritik altı risk (silah kullanma riskleri ile birlikte) arasında yer almaktadır. kitle imha, doğal afetler, hava anormallikleri ve içme suyu eksikliği). Bu nedenle, bilgi güvenliği risk yönetimi, dünya çapındaki kuruluşların gelişimi için öncelikli alanlardan biridir ve daha fazla çalışması için kesinlikle gereklidir.

Bilgi güvenliği risk yönetimine yönelik hedefler ve yaklaşımlar

Herhangi bir kuruluşun amacı, faaliyetlerinin sonuçlarını karakterize eden belirli göstergelere ulaşmaktır. Örneğin, ticari şirketler için kar elde etme, kapitalizasyonun büyümesi, pazar payı veya cirodur ve devlet kuruluşları için nüfusa kamu hizmetlerinin sağlanması ve yönetim sorunlarının çözülmesidir. Her durumda, kuruluşun faaliyetlerinin amacı ne olursa olsun, bilgi güvenliği risklerinin gerçekleşmesi bu amaca ulaşılmasına engel olabilir. Aynı zamanda, her kuruluş kendi yöntemiyle riskleri ve bunların azaltılmasına yatırım yapma olasılığını değerlendirir.

Bu nedenle, bilgi güvenliği risk yönetiminin amacı, bunları kuruluş için kabul edilebilir bir seviyede tutmaktır. Bu sorunu çözmek için kuruluşlar entegre bilgi güvenliği sistemleri (ISS) oluşturur.

Bu tür sistemler oluşturulurken, bu araçların uygulanması ve desteklenmesi için aşırı maliyetler olmadan analiz sürecinde tanımlanan bilgi güvenliği risklerinin azaltılmasını sağlayan koruma araçlarının seçilmesi sorunu ortaya çıkmaktadır. Bilgi güvenliği risklerinin analizi, gerekli ve yeterli bilgi güvenliği araçları setinin yanı sıra bilgi güvenliği risklerini azaltmaya yönelik kurumsal önlemleri belirlemenize ve bir organizasyonun belirli faaliyetleri için en etkili olan ve onu azaltmayı amaçlayan ISS mimarisini geliştirmenize olanak tanır. bilgi güvenliği riskleri.

Bilgi güvenliği riskleri de dahil olmak üzere tüm riskler iki parametre ile karakterize edilir: kuruluşa yönelik potansiyel hasar ve uygulama olasılığı. Risk analizi için bu iki özelliğin kombinasyonunu kullanmak, farklı hasar ve olasılık seviyelerine sahip riskleri karşılaştırmanıza izin vererek, onları kuruluştaki risk minimizasyonuna ilişkin karar vericiler için anlaşılabilir ortak bir ifadeye yönlendirir. Aynı zamanda, risk yönetimi süreci, bileşimi ve içeriği kullanılan risk değerlendirmesi ve yönetim metodolojisine bağlı olan aşağıdaki mantıksal aşamalardan oluşur:

  1. Kuruluş tarafından kabul edilebilir risk seviyesinin belirlenmesi (risk iştahı) - riski veya tedavisini kabul etme kararında kullanılan kriter. Bu kritere göre gelecekte tespit edilen risklerden hangilerinin koşulsuz olarak kabul edileceği ve daha fazla değerlendirme dışı bırakılacağı, hangilerinin daha fazla analize tabi tutulacağı ve risk yanıt planına dahil edileceği belirlenir.
  2. Risklerin tanımlanması, analizi ve değerlendirilmesi. Risklere ilişkin bir karar verilebilmesi için, riskin gerçekleşmesinden kaynaklanan zarar ve gerçekleşme olasılığı açısından açık bir şekilde tanımlanmaları ve değerlendirilmeleri gerekir. Hasar değerlendirmesi, riskin kuruluşun BT varlıkları ve destekledikleri iş süreçleri üzerindeki etkisini ölçer. Olasılığı değerlendirirken, riskin gerçekleşme olasılığının bir analizi yapılır. Bu parametrelerin değerlendirilmesi, BT varlıklarında bulunan ve riskten etkilenebilecek güvenlik açıklarının ve bu güvenlik açıklarından yararlanılması yoluyla uygulanması mümkün olan tehditlerin belirlenmesine ve analizine dayanabilir. Ayrıca, kullanılan risk değerlendirme metodolojisine, saldırganın modeline, kuruluşun iş süreçleri hakkındaki bilgilere ve kuruluşun faaliyetlerinin yürütüldüğü çevredeki siyasi, ekonomik, piyasa veya sosyal durum gibi riskin uygulanmasına ilişkin diğer faktörlere bağlı olarak, değerlendirmeleri için başlangıç ​​verileri olarak kullanılabilir. Riskleri değerlendirirken, değerlendirmelerine nitel, nicel veya karma bir yaklaşım kullanılabilir. Nitel bir yaklaşımın avantajı, basitliği, risk değerlendirmesi için zaman ve işgücü maliyetlerinin en aza indirilmesi, sınırlamalar - görünürlük eksikliği ve risk analizi sonuçlarını ekonomik gerekçelendirme için kullanmanın karmaşıklığı ve risk yanıt önlemlerinde yatırımların fizibilitesinin değerlendirilmesidir. Kantitatif yaklaşımın avantajı risk değerlendirmesinin doğruluğu, sonuçların görünürlüğü ve riskin para ile ifade edilen değerini bu riske cevap vermek için gereken yatırım miktarı ile karşılaştırabilme yeteneğidir, dezavantajlar karmaşıklıktır, yüksek emek yoğunluğu ve yürütme süresi.
  3. Risk sıralaması. Risklere müdahaleye öncelik vermek ve ardından bir müdahale planı geliştirmek için tüm riskler sıralanmalıdır. Riskleri sıralarken, kullanılan metodolojiye bağlı olarak, risklerin gerçekleşmesinden kaynaklanan hasar, gerçekleşme olasılığı, riskten etkilenen BT varlıkları ve iş süreçleri, kamuoyunun tepkisi ve riskten kaynaklanan itibar hasarı gibi kritikliği belirlemek için bu tür kriterler uygulanabilir. riskin gerçekleşmesi vb.
  4. Bir risk kararı vermek ve bir risk yanıt planı geliştirmek. Risk yanıt önlemlerinin toplamını belirlemek için, her biri ile ilgili aşağıdaki kararlardan birini almak için tanımlanan ve değerlendirilen riskleri analiz etmek gerekir:
    • Riskten kaçınma;
    • Riskin kabulü;
    • Risk transferi;
    • Risk azaltma.
    Her bir risk için verilen karar, risk yanıt planına kaydedilmelidir. Ayrıca, bu plan, kullanılan metodolojiye bağlı olarak, risklere yanıt vermek için gerekli olan aşağıdaki bilgileri içerebilir:
    • Yanıttan sorumlu;
    • Müdahale önlemlerinin açıklaması;
    • Müdahale tedbirlerinde gerekli yatırımların değerlendirilmesi;
    • Bu önlemlerin uygulanmasının zamanlaması.
  5. Risklere yanıt vermek için önlemlerin uygulanması. Risk yanıt önlemlerini uygulamak için sorumlu kişiler, risk yanıt planında açıklanan eylemin gerekli zaman çerçevesi içinde uygulanmasını organize eder.
  6. Uygulanan önlemlerin etkinliğinin değerlendirilmesi. Müdahale planına uygun olarak uygulanan önlemlerin etkili olmasını ve risk seviyesinin kuruluş tarafından kabul edilebilir olmasını sağlamak için, uygulanan her bir risk yanıtının etkinliği değerlendirilir ve ayrıca kuruluşun riskleri düzenli olarak belirlenir, analiz edilir ve değerlendirilir.
En iyi bilinen bilgi güvenliği risk yönetimi tekniklerini göz önünde bulundurun: CRAMM, COBIT for Risk, FRAP, Octave, Microsoft.

CRMM metodolojisine genel bakış

1985 yılında Birleşik Krallık Güvenlik Servisi tarafından geliştirilen CRAMM (CCTA Risk Analizi ve Yönetim Metodu), BS7799 serisinin (şu anda ISO 27000'de revize edilmiş) bilgi güvenliği yönetim standartlarına dayanmaktadır ve niteliksel risk değerlendirmesine yönelik bir yaklaşımı tanımlar. Aynı zamanda, nitel göstergelerin değer ölçeğine geçiş, nitel ve nicel göstergeler arasındaki yazışmayı belirleyen özel tablolar yardımıyla gerçekleşir. Risk değerlendirmesi, bir BT varlığının iş için değerinin, güvenlik açıklarının, tehditlerin ve bunların uygulanma olasılığının analizine dayanır.

CRAMM metodolojisine göre risk yönetimi süreci aşağıdaki adımlardan oluşur:

  1. Başlatma. Bu aşamada, risk analizi yapılan BT varlıklarının işletimi, yönetimi, güvenliği ve kullanımından sorumlu olanlar da dahil olmak üzere bilgi güvenliği risk analizi sürecindeki paydaşlarla bir dizi görüşme yapılır. Sonuç olarak, daha fazla araştırma için alanın resmileştirilmiş bir tanımı, sınırları verilir ve risk analizine dahil olan kişilerin bileşimi belirlenir.
  2. BT varlıklarının belirlenmesi ve değerlendirilmesi (Varlıkların Tanımlanması ve Değerlendirilmesi). Kuruluş tarafından daha önce tanımlanmış çalışma alanında kullanılan BT varlıklarının bir listesi belirlenir. CRAMM metodolojisine göre, BT varlıkları aşağıdaki türlerden biri olabilir:
    • Veri;
    • Yazılım;
    • fiziksel varlıklar.
    Her varlık için, kuruluşun faaliyetleri için kritikliği belirlenir ve uygulanan sorunları çözmek için BT varlığını kullanan departmanların temsilcileriyle birlikte, kuruluşun faaliyetleri için gizliliğin, bütünlüğünün ve kullanılabilirliğinin ihlal edilmesinin sonuçları değerlendirilir.
  3. Tehdit ve Güvenlik Açığı Değerlendirmesi. BT varlıklarının kritikliğini değerlendirmeye ek olarak, CRAMM metodolojisinin önemli bir parçası, BT varlıklarının tehdit olasılığını ve güvenlik açıklarını değerlendirmektir. CRAMM metodolojisi, BT varlık güvenlik açıkları ile bu güvenlik açıkları aracılığıyla BT varlıklarını etkileyebilecek tehditler arasındaki ilişkiyi açıklayan tablolar içerir. Bu tehditlerin gerçekleşmesi durumunda BT varlıklarına verilen zararı açıklayan tablolar da vardır. Bu aşama, yalnızca temel bir dizi bilgi güvenliği önleminin uygulanmasının yeterli olmadığı en kritik BT varlıkları için gerçekleştirilir. Gerçek güvenlik açıklarının ve tehditlerin belirlenmesi, BT varlıklarının yönetiminden ve işletilmesinden sorumlu kişilerle görüşülerek yapılır. Diğer BT varlıkları için, CRAMM metodolojisi bir dizi gerekli temel bilgi güvenliği önlemini içerir.
  4. Risk Hesaplama Risk, aşağıdaki formüle göre hesaplanır: Risk = P (uygulama) * Hasar. Bu durumda, riskin gerçekleşme olasılığı şu formülle hesaplanır: P (uygulamalar) = P (tehditler) * P (zafiyetler). Risk hesaplama aşamasında, her bir BT varlığı için, bilgi güvenliğini sağlamak için bir dizi önlemin gereksinimleri, "1" ile "7" arasında bir ölçekte belirlenir; burada "1", gerekli minimum gereklilik kümesine karşılık gelir. bilgi güvenliğini sağlamak için önlemler ve "7" değeri - maksimum.
  5. Risk yönetimi. Risk hesaplamasının sonuçlarına dayanarak, CRAMM metodolojisi bilgi güvenliğini sağlamak için gerekli önlemleri belirler. Bunun için yaklaşık 4 bin ölçü içeren özel bir katalog kullanılmaktadır. CRAMM metodolojisi tarafından önerilen önlemler seti, kuruluş tarafından halihazırda alınmış olan önlemlerle karşılaştırılır. Sonuç olarak, koruma önlemlerinin uygulanması açısından ek dikkat gerektiren alanlar ve aşırı koruma önlemlerinin olduğu alanlar belirlenir. Bu bilgi, kuruluşta kullanılan koruma önlemlerinin bileşimini değiştirmek için bir eylem planı oluşturmak için kullanılır - risk seviyesini gerekli seviyeye getirmek için.
Pratik uygulama açısından, CRAMM metodolojisinin aşağıdaki avantajları ayırt edilebilir:
  • Önemli deneyim ve mesleki yeterlilik biriktiren, tekrar tekrar kanıtlanmış bir yöntem; CRMM başvurusunun sonuçları uluslararası kuruluşlar tarafından tanınır;
  • Metodolojinin net ve resmi bir tanımının bulunması, risk analizi ve yönetim süreçlerinin uygulanmasında hata olasılığını en aza indirir;
  • Risk analizi otomasyon araçlarının mevcudiyeti, risk analizi ve yönetim faaliyetlerini gerçekleştirmek için işgücü maliyetlerini ve zamanı en aza indirmeye olanak tanır;
  • Tehditlerin, güvenlik açıklarının, sonuçların, bilgi güvenliği önlemlerinin katalogları, risk analizi ve yönetim faaliyetlerinin doğrudan yürütücülerinin özel bilgi ve yeterlilik gereksinimlerini basitleştirir.
Ancak, CRMM yöntemi aşağıdaki dezavantajlara sahiptir:
  • Kuruluş içinde veya dışından önemli kaynakların katılımını gerektiren, ilk verileri toplamanın yüksek karmaşıklığı ve zahmeti;
  • Bilgi güvenliği risk analizi ve yönetim süreçlerinin uygulanması için büyük kaynak ve zaman harcamaları;
  • Çok sayıda paydaşın katılımı, ortak çalışmanın organizasyonu, proje ekibi içindeki iletişim ve sonuçların koordinasyonu için önemli maliyetler gerektirir;
  • Risklerin parasal olarak değerlendirilmesinin imkansızlığı, bilgi güvenliği risk değerlendirmesi sonuçlarının bilgi güvenliği araç ve yöntemlerini uygulamak için gerekli yatırımların fizibilite çalışmasında kullanılmasını zorlaştırmaktadır.
CRAMM, Birleşik Krallık'ta bilgi güvenliği risk yönetimi için fiili standart olarak, dünya çapında hem hükümet hem de ticari kuruluşlarda yaygın olarak kullanılmaktadır. Metodoloji, tüm organizasyonu bir kerede kapsayacak şekilde bilgi güvenliği risk yönetimi süreçlerinin ilk uygulamasını gerçekleştiren, uluslararası işbirliğine ve uluslararası yönetim standartlarına uyumluluğa odaklanan büyük kuruluşlarda başarıyla uygulanabilir. Aynı zamanda, kuruluşlar CRAMM uygulamasına önemli kaynaklar ve zaman ayırabilmelidir.

COBIT for Risk metodolojisine genel bakış

COBIT for Risk metodolojisi, ISACA (Bilgi Sistemleri Denetim ve Kontrol Derneği) tarafından 2013 yılında geliştirilmiştir ve en iyi risk yönetimi uygulamalarına (COSO ERM, ISO 31000, ISO\IEC 27xxx, vb.) dayanmaktadır. Metodoloji, bilgi güvenliği risklerini kuruluşun temel faaliyetlerinin riskleriyle bağlantılı olarak ele alır, kuruluşta bilgi güvenliği risk yönetimi işlevinin uygulanmasına ve bilgi güvenliği risklerinin niteliksel analizi süreçlerine ve bunların yönetimine yönelik yaklaşımları tanımlar.

    Bir kuruluşta risk yönetimi işlevini ve sürecini uygularken, metodoloji, hem bilgi güvenliği risklerini hem de bunları yönetme sürecini etkileyen aşağıdaki bileşenleri tanımlar:
    • Kuruluşun ilkeleri, politikaları, prosedürleri;
    • süreçler;
    • Örgütsel yapı;
    • Kurum kültürü, etik ve davranış kuralları;
    • Bilgi;
    • BT hizmetleri, BT altyapısı ve uygulamaları;
    • İnsanlar, deneyimleri ve yetkinlikleri.

    Bilgi güvenliği risk yönetimi işlevinin düzenlenmesi açısından, metodoloji aşağıdaki bileşenler için gereksinimleri tanımlar ve açıklar:
    • Gerekli süreç;
    • Bilgi akışları;
    • Örgütsel yapı;
    • insanlar ve yetkinlikler.
    Bilgi güvenliği risk analizinin ve metodolojiye uygun yönetiminin ana unsuru risk senaryolarıdır. Her senaryo, “gerçekleşmesi halinde kuruluşun hedeflerine ulaşması üzerinde belirsiz (olumlu veya olumsuz) bir etkiye yol açabilecek bir olayın açıklamasıdır”. Metodoloji, aşağıdaki etki kategorilerini kapsayan 100'den fazla risk senaryosu içerir:
    • BT proje portföylerinin oluşturulması ve bakımı;
    • Program / proje yaşam döngüsü yönetimi;
    • BT yatırımları;
    • BT personelinin uzmanlık ve becerileri;
    • Personel ile yapılan işlemler;
    • Bilgi;
    • Mimari;
    • IT altyapısı;
    • Yazılım;
    • BT'nin verimsiz kullanımı;
    • BT sağlayıcılarının seçimi ve yönetimi;
    • Yasal gerekliliklere uygunluk;
    • Jeopolitik;
    • Altyapı elemanlarının çalınması;
    • Kötü amaçlı yazılım;
    • Mantık saldırıları;
    • Teknojenik etki;
    • Çevre;
    • doğal olaylar;
    • yenilik.
    Her risk senaryosu için metodoloji, her bir risk türüne ait olma derecesini tanımlar:
    • Stratejik riskler - kuruluşun temel faaliyetlerinin verimliliğini geliştirmek ve iyileştirmek için BT'yi kullanmak için kaçırılan fırsatlarla ilişkili riskler;
    • Proje riskleri - BT'nin kuruluşun mevcut süreçlerinin oluşturulması veya geliştirilmesi üzerindeki etkisiyle ilişkili riskler;
    • BT yönetimi ve BT hizmeti sağlama riskleri, kullanıcılara gerekli kalitede BT hizmetlerinin mevcudiyetinin, istikrarının ve sağlanmasının sağlanmasıyla ilişkili risklerdir ve bu sorunlar, kuruluşun ana faaliyetine zarar verebilecek sorunlardır.
    Her bir risk senaryosu aşağıdaki bilgileri içerir:
    • Tehdit kaynağı türü - dahili/harici.
    • Tehdit türü - kötü niyetli eylem, doğal fenomen, hata vb.
    • Olayın tanımı - bilgiye erişim, imha, değişiklik, bilgilerin ifşası, hırsızlık vb.
    • Olaydan etkilenen kuruluşun varlık türleri (bileşenleri) - insanlar, süreçler, BT altyapısı vb.
    • Etkinlik zamanı.
    Kuruluşun faaliyetlerine ilişkin risk senaryosunun uygulanması durumunda hasar meydana gelir. Böylece bilgi güvenliği riskleri COBIT for Risk metodolojisine uygun olarak analiz edilirken, organizasyonla ilgili risk senaryoları ve bu senaryoların olasılığını azaltmaya yönelik risk azaltım önlemleri belirlenir. Belirlenen risklerin her biri için, kuruluşun risk iştahına uygunluğunun bir analizi yapılır ve ardından aşağıdaki kararlardan birinin kabulü yapılır:
    • Riskten kaçınma;
    • Riskin kabulü;
    • Risk transferi;
    • Risk azaltma.
    Kalan risk seviyesi analiz edilerek ve ek risk azaltma önlemlerinin uygulanması ihtiyacına karar verilerek daha fazla risk yönetimi gerçekleştirilir. Metodoloji, her bir kurumsal bileşen türü için risk azaltma önlemlerinin uygulanmasına yönelik tavsiyeler içerir.

    Pratik uygulama açısından COBIT for Risk metodolojisinin aşağıdaki avantajları ayırt edilebilir:
    • Ortak COBIT kitaplığı ile bağlantı ve ilgili alanlardaki yaklaşımları ve "BT kontrollerini" (risk azaltma önlemleri) kullanma yeteneği, risklerin kuruluşun iş süreçleri üzerindeki etkisiyle ilgili olarak bilgi güvenliği risklerini ve azaltma önlemlerini dikkate almanıza olanak tanır;
    • Önemli deneyim ve mesleki yeterliliklerin biriktirildiği ve sonuçları uluslararası kuruluşlar tarafından tanınan, defalarca kanıtlanmış bir yöntem;
    • Metodolojinin net ve resmi bir tanımının bulunması, risk analizi ve yönetim süreçlerinin uygulanmasındaki hataların en aza indirilmesine olanak tanır;
    • Risk senaryoları ve "BT kontrolleri" katalogları, risk analizi ve yönetim faaliyetlerinin doğrudan yürütücülerinin özel bilgi ve yeterlilik gereksinimlerinin basitleştirilmesini mümkün kılar;
    • Denetimleri gerçekleştirirken metodolojiyi kullanma yeteneği, işçilik maliyetlerini ve dış ve iç denetimlerin sonuçlarını yorumlamak için gereken süreyi azaltmanıza olanak tanır.
    Aynı zamanda, COBIT for Risk metodolojisi aşağıdaki dezavantajlara ve sınırlamalara sahiptir:
    • İlk verileri toplamanın yüksek karmaşıklığı ve zahmeti, kuruluş içinden veya dışından önemli kaynakların katılımını gerektirir;
    • Çok sayıda paydaşın katılımı, ortak çalışmayı organize etmek, ilgili kişilerin proje ekibi içinde iletişim kurması ve sonuçlar üzerinde tüm paydaşlarla anlaşmaya varması için zaman ayırmak için önemli maliyetler gerektirir;
    • Paradaki riskleri değerlendirme imkanının olmaması, bilgi güvenliği araç ve yöntemlerinin uygulanması için gerekli yatırımların gerekçelendirilmesinde bilgi güvenliği risk değerlendirmesi sonuçlarının kullanılmasını zorlaştırmaktadır.
    Bu yöntem, dünya çapında hem hükümet hem de ticari kuruluşlarda kullanılmaktadır. Yöntem, bilgi teknolojisi yönetimi için halihazırda COBIT standartlarını ve metodolojilerini kullanan (veya kullanmayı planlayan) ve gerekli kaynaklara sahip olanlar için, büyük teknoloji kuruluşları veya temel işleri için bilgi teknolojisine yüksek derecede bağımlı olan kuruluşlar için en uygundur. yapma yetkinlikleri. Bu durumda, bilgi güvenliği risk yönetimi süreçleri ile genel BT yönetimi süreçlerini etkin bir şekilde entegre etmek ve bilgi güvenliği risk analizi ve yönetim süreçlerini uygulama maliyetlerini optimize edecek sinerjik bir etki elde etmek mümkündür.

Uluslararası bilgi güvenliği yönetimi standartlarının öncüsü İngiliz standardı BS 7799'dur. İlk bölümü - BS 7799-1 "Bilgi güvenliği yönetimi için pratik kurallar" - İngiliz Standartları Enstitüsü (BSI) tarafından 1995 yılında İngiliz hükümetinin emriyle geliştirilmiştir. . Adından da anlaşılacağı gibi, bu belge bir kuruluşta bilgi güvenliğini yönetmek için pratik bir kılavuzdur. Dünyanın dört bir yanından en iyi uygulamalara dayalı olarak bir BGYS oluşturmak için gereken 10 alanı ve 127 kontrolü açıklar. 1998'de bu İngiliz standardının ikinci kısmı ortaya çıktı - BS 7799-2 “Bilgi güvenliği yönetim sistemleri. Bir BGYS oluşturmak için genel modeli ve sertifikasyon için bir dizi zorunlu gerekliliği belirleyen Şartname ve Uygulama Kılavuzu”. Bir BGYS'nin ne olması gerektiğini tanımlayan BS 7799'un ikinci bölümünün ortaya çıkmasıyla birlikte, güvenlik yönetimi alanında bir sertifikasyon sisteminin aktif gelişimi başladı. 1999 yılında, BS 7799'un her iki bölümü de revize edildi ve uluslararası yönetim sistemi standartları ISO 9001 ve ISO 14001 ile uyumlu hale getirildi ve bir yıl sonra, ISO teknik komitesi BS 7799-1'i uluslararası standart ISO 17799 olarak değiştirmeden kabul etti ve daha sonra yeniden adlandırıldı. ISO 27002.

BS 7799'un ikinci bölümü 2002 yılında revize edilmiş ve 2005 yılı sonunda uluslararası standart ISO/IEC 27001:2005 "Bilgi teknolojisi - Güvenlik uygulamaları - Bilgi güvenliği yönetim sistemleri - Gereksinimler" olarak kabul edilmiştir. Aynı zamanda standardın ilk kısmı da güncellendi. ISO 27001'in yayınlanmasıyla birlikte, BGYS spesifikasyonları uluslararası statü kazandı ve şimdi ISO 27001 sertifikalı BGYS'lerin rolü ve prestiji önemli ölçüde arttı.

BS 7799 ve uluslararası sürümleri, giderek bilgi güvenliği endüstrisi için en önemli standartlardan biri haline geldi. Ancak, uluslararası standart ISO 17799'un ilk baskısı, Ağustos 2000'de ISO'da tartışıldığında, fikir birliğine varılamadı. Belge, uluslararası standartlar için temel kriterleri karşılamadığını iddia eden önde gelen BT güçlerinin temsilcilerinden çok sayıda eleştiriye neden oldu. ISO teknik komitesindeki ABD temsilcisi Genet Troy, “Bu belgeyi ISO tarafından şimdiye kadar düşünülen tüm diğer güvenlik çalışmalarıyla karşılaştırmak bile mümkün değildi” diyor.

ABD, Kanada, Fransa ve Almanya da dahil olmak üzere birçok eyalet aynı anda ISO 17799'un benimsenmesine karşı çıktı. Onlara göre, bu belge bir dizi tavsiye olarak iyidir, ancak bir standart olarak değildir. Amerika Birleşik Devletleri ve Avrupa ülkelerinde, 2000'den önce bilgi güvenliğini standart hale getirmek için birçok çalışma yapılmıştı. “BT güvenliğine yönelik birkaç farklı yaklaşım var. Genet Troy, gerçekten kabul edilebilir bir uluslararası standart elde etmek için, belgelerden birini alıp hemen üzerinde anlaşmak yerine, hepsinin dikkate alınması gerektiğini düşündük, diyor Genet Troy. "Ana güvenlik standardı bir oldu bitti olarak sunuldu ve bu alanda yapılan diğer çalışmaların sonuçlarını kullanmak kesinlikle mümkün değildi."

BSI temsilcileri, söz konusu çalışmaların esas olarak teknik yönleri ele aldığına ve BS 7799'un hiçbir zaman teknik bir standart olarak görülmediğine itiraz ettiler. Genel Kabul Görmüş Güvenlik Uygulamaları ve Düzenlemeleri (CASPR) veya ISO 15408/Ortak Kriterler gibi diğer güvenlik standartlarından farklı olarak, herhangi bir biçimde sunulan bilgilerin korunmasının teknik olmayan temel yönlerini tanımlar. BSI sözcüsü Steve Tyler, "Böyle olmalı, çünkü her tür kuruluş ve dış ortam için tasarlanmıştır" diyor. "Bu, bir BT ürün kataloğu değil, bir bilgi güvenliği yönetim belgesidir."

Tüm itirazlara rağmen (ISO'nun kurucusu, uluslararası standartların ana geliştiricisi ve dünyadaki ana belgelendirme kuruluşu olan) BSI'ın yetkisi galip geldi. Hızlandırılmış bir onay süreci başlatıldı ve standart kısa sürede kabul edildi.ISO 17799 ve kardeş standartlarının temel gücü, esneklikleri ve çok yönlülükleridir. İçinde açıklanan en iyi uygulamalar grubu, sahiplik, faaliyet türü, büyüklük ve dış koşullar ne olursa olsun hemen hemen her kuruluş için geçerlidir. Teknoloji açısından tarafsızdır ve her zaman teknolojilerin tercihini bırakır. Sorular ortaya çıktığında: “Nereden başlamalı?”, “Bilgi güvenliği nasıl yönetilir?”, “Hangi kriterlere göre denetlenmeli?” - bu standart, doğru yönü belirlemeye ve önemli noktaları gözden kaçırmamaya yardımcı olacaktır. Aynı zamanda yetkili bir kaynak olarak ve güvenliğin kuruluş yönetimine "satılması", kriterlerin tanımlanması ve bilgi güvenliğinin maliyetinin gerekçelendirilmesi için araçlardan biri olarak kullanılabilir.

ISO 27000 serisi standartlar, bilgi risk yönetimi için gerekli olan her şeyi yansıtır. Her şeyden önce, 2008'de yayınlanan uluslararası ISO/IEC 27005:2008 standardından ve onun öncülü olan ve 2006'da piyasaya sürülen İngiliz standardı BS 7799-3:2006'dan bahsediyoruz. Bu standartlar birçok yönden örtüşmekte ve bazı açılardan birbirini tamamlamaktadır. Bu kitapta sunulan risk yönetimi metodolojisinin temeli olarak hizmet ederler ve materyalin sonraki sunumunda geniş çapta alıntılanırlar.

Amerikan risk yönetimi standardı NIST 800-30 da, sırasıyla ISO Guide 73, ISO 16085, AS / NZS 4360'a dayanan anılmayı hak ediyor. ISO 27005 geliştirilirken bu standardın ana hükümleri dikkate alındı.

ISO 27005, beklentilerin aksine, İngiliz standartları BS 7799-2 ve BS 7799-1'in uluslararası versiyonları olarak bilinen öncülleri ISO 27001 ve ISO 27002'nin aksine, BS 7799-3'ün uluslararası versiyonu değildir, sırasıyla. ISO 27005, artık kullanımdan kaldırılan uluslararası ISO 13335-3 ve ISO 13335-4 standartlarının yerini almıştır. Bu, zaten biraz eski olan ISO 13335 BT güvenlik standartları serisini, bilgi güvenliği yönetimi alanında nispeten yeni bir dizi standartla - ISO 27000 ile değiştirmenin olumlu bir sürecini gösterir. Bu sürecin bir sonucu olarak, standartlar küçülüyor ve kalitesi artıyor. gözle görülür şekilde iyileşiyor.

BS 7799-3 ve ISO 27005'i karşılaştırdığımızda, risklerle ilgili en önemli noktaların hepsini benzer şekilde tanımladıklarını görüyoruz. Bu, süreç modeli, risk yönetimi unsurları, risk analizi yaklaşımları ve bunların nasıl ele alındığı ve ayrıca risk iletişimi konuları ile ilgilidir. Her iki standart da ek olarak ortak tehditler, güvenlik açıkları ve güvenlik gereksinimleri örnekleri sağlar.

BS 7799-3 ve ISO 27005 şunları tanımlar:

    risk yönetimi sürecinin ana unsurları;

    işlem modeli;

    risk yönetimine genel yaklaşım;

    risk analizi ve değerlendirme süreçleri;

    risklerin büyüklüğünü niteliksel olarak belirlemenin yolları;

    risk tedavi yöntemleri;

    risk iletişim süreci;

    riskler, tehditler, güvenlik açıkları, varlıklar, zararlar, yasal ve düzenleyici gereklilikler örnekleri.

___________________________________

Bununla birlikte, farklı gelişme kaynakları, İngiliz ve uluslararası risk yönetimi standartları arasında bir takım farklılıklara yol açmıştır. ISO 27005, risk değerlendirmesine ilişkin kriterleri ve yaklaşımları, risk yönetimi bağlamını, değerlendirmenin kapsamını ve sınırlarını ve risk azaltmayı etkileyen kısıtlamaları daha ayrıntılı olarak açıklar. Aynı zamanda, BS 7799-3, ISO 27001 ile daha yakından ilişkilidir ve risk yönetimi süreçlerini doğrudan BGYS yaşam döngüsü süreçlerine eşler. Ayrıca, risk değerlendiricisi ve risk yöneticisi için gereksinimleri tanımlar ve risk değerlendirme araçlarının seçilmesi için tavsiyeler içerir. BS 7799-3 ayrıca ABD ve Avrupa için yasal ve düzenleyici gereklilik örnekleri içerir.

_________________________________

Bilgi güvenliği risk yönetimi standartlarındaki farklılıklar:

ISO 27005

    ISO 13335-3 ve ISO 13335-4'ün yerini alır;

    risk değerlendirmesi için ana kriterleri tanımlar:

    kapsam ve sınırlar;

    risk değerlendirme yaklaşımları;

    Risk azaltmayı etkileyen kısıtlamalar.

BS 7799-3

    ISO 27001'e uygun olarak risk yönetimi süreçlerini BGYS yaşam döngüsü modeline eşler;

    bir risk değerlendiricisi ve bir risk yöneticisi için gereksinimleri belirler;

    mevzuat ve düzenleyici çerçevenin gerekliliklerine uyum örnekleri içerir;

__________________________________

ISO 27001, ISO 27005 ve BS 7799-3'ün ayrıntılı karşılaştırma tablosu Ek No. 1'de verilmiştir. Bu standartların lisanslı Rusça çevirileri hakkında bilgi Ek 12'de verilmiştir.

  • Yorum göndermek için lütfen giriş yapın veya kayıt olun

Bu bölüm aşağıdaki soruları ele almaktadır:

  • Güvenlik Yönetimi
  • Güvenlik Yönetimi için Sorumlulukların Tahsisi
  • Yukarıdan aşağıya yaklaşım
  • Güvenlik Yönetimi ve Koruyucu Tedbirler
  • Temel Güvenlik İlkeleri (AIC Triad)
  • kullanılabilirlik
  • Bütünlük
  • Gizlilik
  • Güvenlik tanımları (güvenlik açığı, tehdit, risk, etki, karşı önlemler)
  • Belirsizlik yoluyla güvenlik

Güncellenmiş: 21.02.2010


Güvenlik yönetimi, risk yönetimini, bilgi güvenliği politikalarını, prosedürleri, standartları, yönergeleri, temel çizgileri, bilgi sınıflandırmasını, güvenlik organizasyonunu ve güvenlik eğitimini içerir. Bu kilit unsurlar, bir kurumsal güvenlik programının temelini oluşturur. Bir güvenlik ve güvenlik programının amacı, şirketi ve varlıklarını korumaktır. Risk analizi, bu varlıkları tanımlamanıza, onlar için risk oluşturan tehditleri belirlemenize, bu tehditlerden herhangi birinin gerçekleşmesi durumunda şirketin maruz kalabileceği olası kayıpları ve olası kayıpları değerlendirmenize olanak tanır. Risk analizinin sonuçları, yönetimin, tanımlanmış varlıkları tanımlanmış tehditlerden korumak için gerekli tüm maliyetleri hesaba katan bir bütçe hazırlamasına ve güvenlik faaliyetlerine rehberlik eden pratik güvenlik politikaları geliştirmesine yardımcı olur. Güvenlik eğitimi ve farkındalığı, şirketteki her bir çalışanın ihtiyaç duyduğu bilgi düzeyini yükselterek işlerini kolaylaştırır ve güvenlik hedeflerine ulaşır.

Güvenlik yönetimi süreci süreklidir. Risk değerlendirmesi ve ihtiyaçların belirlenmesi ile başlar, ardından sistem ve uygulamaların izlenmesi ve değerlendirilmesi yapılır. Bunu, dikkate alınması gereken konuların anlaşılmasını sağlayan şirket çalışanlarının bilinçlendirilmesi izler. Son adım, riskleri azaltmak ve ilk adımda belirlenen ihtiyaçları karşılamak için politikalar ve önlemler uygulamaktır. Sonra döngü baştan başlar. Böylece bu süreç, şirketin güvenliğini sürekli olarak analiz eder ve kontrol eder, güvenlik ihtiyaçlarını ve şirketin var olduğu ve faaliyet gösterdiği koşulları dikkate alarak uyum sağlamasına ve gelişmesine olanak tanır.

Bilgiyi işleyen ağ ortamı, bilgisayarlar ve uygulamalar değiştikçe güvenlik yönetimi zaman içinde değişir. İnternet, extranetler (iş ortağı ağları) ve intranetler, güvenliği yalnızca daha zor değil, aynı zamanda daha kritik hale getirir. Ağ mimarisinin özü, yerelleştirilmiş otonom bilgi işlemden karmaşıklığını büyük ölçüde artıran dağıtılmış bir bilgi işlem ortamına dönüşmüştür. Dahili ağdan İnternet'e erişim, kullanıcılara bir dizi önemli özellik ve kolaylık sağlasa da, şirketin İnternet'e karşı savunmasızlığını artırmakta ve bu da ek güvenlik risklerinin kaynağı haline gelebilmektedir.

Günümüzde çoğu kuruluş, bilgisayarlar ve onların bilgi işlem yetenekleri olmadan çalışamaz. Birçok büyük şirket, verilerinin binalar, ekipman ve diğer fiziksel varlıklarla birlikte korunması gereken kritik bir varlık olduğunu çoktan fark etti. Ağlar ve ortamlar değiştikçe güvenlik de değişmelidir. Güvenlik, yalnızca bir güvenlik duvarı ve bir erişim kontrol listesi yönlendiricisinden daha fazlasıdır. Bu sistemler kesinlikle önemlidir, ancak güvenlik açısından çok daha önemli olan, kullanıcı eylemlerinin ve izledikleri prosedürlerin yönetimidir. Bu bizi şirketin varlıklarının sürekli korunmasına odaklanan güvenlik yönetimi uygulamasına getiriyor.

Güvenlik dünyasında, bir liderin işlevi hedefler, sınırlar, politikalar, öncelikler ve stratejiler belirlemektir. Yönetimin, emniyet programının uygulanması sonucunda ulaşılması beklenen net sınırları ve ilgili hedefleri tanımlaması gerekir. Yönetim ayrıca iş hedeflerini, güvenlik risklerini, kullanıcı üretkenliğini, işlevsel gereksinimleri ve hedefleri de değerlendirmelidir. Son olarak, yönetim, bu görevlerin uygun şekilde dağıtılmasını ve ele alınmasını sağlayacak adımları belirlemelidir.

Birçok şirket, işe denklemin bir parçası olarak bakar ve bilgi ve bilgisayar güvenliğinin BT yöneticisinin sorumluluğunda olduğunu varsayar. Bu tür şirketlerin yönetimi bilgi ve bilgisayar güvenliğini ciddiye almaz, bunun sonucunda bu tür şirketlerdeki güvenlik az gelişmiş, bakımsız, yetersiz finanse edilmiş ve başarısız görünmektedir. Güvenlik, üst yönetim düzeyinde düşünülmelidir. Bir BT yöneticisi (veya güvenlik yöneticisi), güvenlik sorunları hakkında yönetime tavsiyede bulunabilir, ancak şirket güvenliği tamamen bir BT yöneticisine (güvenlik yöneticisi) devredilmemelidir.

Güvenlik yönetimi, açıkça tanımlanmış ve değer verilen şirket varlıklarına dayanmaktadır. Varlıklar belirlendikten ve değerlendirildikten sonra, bu varlıkların bütünlüğünü, gizliliğini ve kullanılabilirliğini sağlamak için güvenlik politikaları, prosedürleri, standartları ve yönergeleri uygulanır. Verileri sınıflandırmak, analiz yapmak ve riskleri değerlendirmek için çeşitli araçlar kullanılır. Bu araçlar, güvenlik açıklarının belirlenmesine ve önem düzeylerinin gösterilmesine yardımcı olarak, riskleri en uygun şekilde azaltmak için etkili karşı önlemler uygulamanıza olanak tanır. Şirketin kaynaklarının bir bütün olarak korunmasını sağlamak yönetimin sorumluluğundadır. Bu kaynaklar insan, sermaye, ekipman ve bilgidir. Güvenlik programının yürürlükte olduğundan, şirket kaynaklarını etkileyen tehditlerin ele alındığından ve gerekli korumaların etkili olduğundan emin olmak için yönetim dahil olmalıdır.

Gerekli kaynaklar ve finansman sağlanmalı ve güvenlik programına katılmak için sorumlu kişiler hazırlanmalıdır. Yönetim, bir güvenlik programını başlatmak ve ortam değiştikçe programın başarılı bir şekilde gelişmesini ve evrimini sağlamak için gerekli sorumlulukları atamalı ve rolleri tanımlamalıdır. Yönetim ayrıca güvenlik programını mevcut iş ortamına entegre etmeli ve performanslarını izlemelidir. Yönetim desteği, bir güvenlik programının en önemli parçalarından biridir.

Bir güvenlik programının planlanması ve uygulanması sürecinde, güvenlik uzmanı gerçekleştirilecek işlevleri ve beklenen sonucu belirlemelidir. Genellikle şirketler, tüm ortamdaki güvenlikten elde etmek istedikleri genel güvenlik gereksinimlerini, hedeflerini ve güven düzeylerini anlamadan bilgisayarları kilitlemeye ve güvenlik duvarları kurmaya başlar. Bu sürece dahil olan ekip, çok geniş fikirler ve terimlerle en baştan başlamalı ve ayrıntılı konfigürasyonlara ve sistem parametrelerine kadar inmelidir. Her aşamada, ekip üyeleri ana güvenlik hedeflerini akıllarında tutmalıdır, böylece her yeni bileşen ilgili hedefe daha fazla ayrıntı ekler.

Güvenlik politikası, şirketin güvenlik programı için bir tür temeldir. Bu politika baştan ciddiye alınmalı ve tüm güvenlik bileşenlerinin çalışmaya devam etmesini ve iş hedefleriyle tutarlı hedeflere ulaşmak için çalışmasını sağlamak için sürekli güncelleme fikirlerini içermelidir.

Bir sonraki adım, güvenlik politikasını destekleyen ve güvenliği sağlamak için uygulanması gereken karşı önlemleri ve yöntemleri tanımlayan prosedürlerin, standartların ve kılavuzların geliştirilmesi ve uygulanmasıdır. Bu unsurlar geliştirildikten sonra, seçilen güvenlik araçları ve yöntemleri için temel hatlar ve konfigürasyonlar geliştirilerek güvenlik programı detaylandırılmalıdır.

Güvenlik sağlam bir temel üzerine kurulursa ve amaç ve hedefler göz önünde bulundurularak tasarlanırsa, bir şirketin güvenlikte önemli değişiklikler yapması gerekmeyecektir. Bu durumda, süreç daha metodik olabilir, daha az zaman, para ve kaynak gerektirir ve yine de işlevsellik ve güvenlik arasında doğru dengeyi sağlar. Bu bir gereklilik değildir, ancak bunu anlamak şirketinizin güvenlik yaklaşımını daha yönetilebilir hale getirebilir. Şirketlere, dağınık ve kusurlarla dolu dev bir güvenlik aracı yığınından kaçınarak güvenliği organize bir şekilde nasıl planlayacaklarını, uygulayacaklarını ve sürdüreceklerini açıklayabilirsiniz.

Bir güvenlik programı için şunu kullanın: yukarıdan aşağıya yaklaşım , yani inisiyatif, destek ve yönlendirme üst yönetimden gelir ve orta düzey yöneticilerden çalışanlara geçer. Zıt aşağıdan yukarıya yaklaşım BT departmanının, yönetimden uygun rehberlik ve destek almadan kendi başına bir güvenlik programı geliştirmeye çalıştığı bir durumu ifade eder. Aşağıdan yukarıya yaklaşım genellikle daha az verimlidir, daha dardır ve başarısızlığa mahkumdur. Yukarıdan aşağıya yaklaşım, programın arkasındaki itici gücün, şirketin varlıklarını korumaktan gerçekten sorumlu olan kişiler (üst yönetim) olmasını sağlar.



Güvenlik yöneticisi rolü yoksa, yönetim bunu oluşturmalıdır. Güvenlik yöneticisi rolü, güvenlik programının önemli yönlerinin denetlenmesinden doğrudan sorumludur. Kuruluşa, boyutuna ve güvenlik gereksinimlerine bağlı olarak, güvenlik yönetimi bir kişi veya merkezi veya merkezi olmayan bir grup insan tarafından gerçekleştirilebilir. Güvenlik yönetimi, boyutu ne olursa olsun, iletişim veya anlayış eksikliğinden kaynaklanan güvenlik ihlallerinin olmamasını sağlamak için net bir raporlama yapısı, sorumlulukların anlaşılması ve denetim ve izleme yetenekleri gerektirir.

Bilgi sahipleri, hangi kullanıcıların kaynaklarına erişebileceğini ve bu kaynaklarla neler yapabileceklerini belirtmelidir. Güvenlik yöneticisinin görevi bu işlemin uygulanmasını sağlamaktır. Güvenlik kılavuzundaki talimatlara uymak için aşağıdaki koruyucu önlemler kullanılmalıdır:

  • İdari tedbirler politikaların, standartların, prosedürlerin ve kılavuzların geliştirilmesi ve yayınlanması, risk yönetimi, işe alım, güvenlik eğitimi, değişiklik yönetimi prosedürlerinin uygulanmasını içerir.
  • TTeknik (mantıksal) önlemler erişim kontrol mekanizmalarının uygulanmasını ve bakımını, şifre ve kaynak yönetimini, tanımlama ve doğrulama yöntemlerini, güvenlik cihazlarını ve altyapı ayarlarını içerir.
  • Ffiziksel önlemler insanların binaya ve çeşitli tesislere erişiminin kontrolünü, kilitlerin kullanımını ve kullanılmayan disk sürücülerinin ve CD-ROM sürücülerinin çıkarılmasını, bina çevresinin korunmasını, izinsiz giriş tespiti, çevre kontrolünü içerir.
Şekil 1-1, gerekli koruma düzeyini sağlamak için idari, teknik ve fiziksel güvenlik önlemlerinin birlikte nasıl çalıştığını göstermektedir.


Şekil 1-1İdari, teknik ve fiziksel koruma katmanları, şirket varlıklarını korumak için birlikte çalışmalıdır.


bilgi sahibi genellikle şirket yönetiminin bir parçası olan veya ilgili departman başkanı olan sorumlu bir çalışandır. Bilgi sahibi, yeterli veri korumasını sağlamakla yükümlüdür, şirketin bilgi varlıklarının korunmasına ilişkin her türlü ihmalden münhasıran kendisi sorumludur. Bu rolü gerçekleştiren kişi, bilgilerin sınıflandırılmasından sorumludur, bu bilgilerin nasıl korunması gerektiğini belirler. Veri koruması, bilgi sahibinin gereksinimlerine dayanmıyorsa, gereksinimlerinin yerine getirilmesini kontrol etmiyorsa, nedeniyle bakım(nedeniyle bakım).

Güvenlik programının yeterli desteği almasını ve yönetimin uygulamanın uygulanması için gerekli kararları almasını sağlamak için güvenlik yönetimi ekibi ile üst yönetim arasında sürekli bir iletişim olmalıdır. Çoğu zaman üst yönetim, ciddi güvenlik olayları olması durumunda bunları iş ortaklarına, hissedarlara ve halka açıklayacak olanın üst yönetim olduğunu hesaba katmadan, güvenlik konularına katılımlarını tamamen dışlar. Böyle bir olaydan sonra tutum kökten değişir, liderlik mümkün olduğunca güvenlik konularına girer. Güvenlik yönetimi ekibi ile üst yönetim arasında iki yönlü bir ilişki sağlayan sürekli bir iletişim süreci olmalıdır.

Yetersiz liderlik, bir şirketin güvenlik çabalarını baltalayabilir. Yetersiz yönetimin olası nedenleri, yönetimin şirketin güvenlik ihtiyaçlarını anlamaması, güvenliğin diğer yönetim hedefleriyle rekabet etmesi, yönetimin güvenliği pahalı ve gereksiz bir girişim olarak görmesi, şirket yönetiminin güvenliği yalnızca kelimelerle desteklemesi olabilir. Güçlü ve kullanışlı teknolojiler, cihazlar, yazılımlar, prosedürler ve metodoloji bir miktar güvenlik sağlar, ancak tam güvenlik yönetimi ve yönetim desteği olmadan bunların hiçbir değeri yoktur.

Bir güvenlik programının birkaç küçük ve büyük hedefi vardır, ancak tüm programlarda 3 ana ilke vardır: kullanılabilirlik, bütünlük ve gizlilik. denir AIC üçlüsü (Kullanılabilirlik, Bütünlük, Gizlilik). Bu ilkeleri uygulamak için gereken güvenlik düzeyi, her şirketin kendine özgü iş ve güvenlik hedefleri ve ihtiyaçları kombinasyonu olduğundan, şirketten şirkete değişir. Bu ilkelerden birini (veya daha fazlasını) uygulamak için tüm koruma ve güvenlik mekanizmaları uygulanır ve tüm riskler, tehditler ve güvenlik açıkları, AIC ilkelerinden birini veya tümünü ihlal etme potansiyelleriyle ölçülür. AIC triadı Şekil 1-2'de gösterilmektedir.


Şekil 1-2 AIC üçlüsü


kullanılabilirlik

Sistemler ve ağlar, kabul edilebilir bir performans düzeyiyle birlikte yeterli düzeyde öngörülebilirlik sağlamalıdır. Şirket üretkenliğini olumsuz etkilemeden arızalardan hızlı ve güvenli bir şekilde kurtulabilmeleri gerekir. "Tek hata noktalarından" kaçınılmalı, gerekirse yedekleme yapılmalı, belirli bir düzeyde yedeklilik sağlanmalı ve dış ortamdan olumsuz etkilenmenin önüne geçilmelidir. Ağın, sistemlerin ve bilgilerin kullanılabilirliğini ve performansını etkileyebilecek iç ve dış tehditlere karşı koruma mekanizmalarının uygulanması gerekmektedir. kullanılabilirlik yetkili kişilere veri ve kaynaklara güvenilir ve zamanında erişim sağlar.


Sistem kullanılabilirliği bir donanım veya yazılım hatasından etkilenebilir. Kritik sistemlerin hızlı bir şekilde değiştirilmesini sağlamak için yedek ekipman kullanılmalıdır. Bakım personeli, gerekli tüm bilgilere sahip olmalı ve yedekleme sistemlerine zamanında transfer etmek ve uygun ayarlamaları yapmak için hazır olmalıdır. Sıcaklık, nem, statik elektrik, toz gibi dış etkenler de sistem kullanılabilirliğini etkileyebilir. Bu sorunlar, Etki Alanı 04'te ayrıntılı olarak tartışılmaktadır.

DoS saldırıları, bilgisayar korsanları tarafından bir şirketi bozmak için kullanılan popüler bir tekniktir. Bu tür saldırılar, kullanıcıların sistem kaynaklarına ve bilgilerine erişme yeteneğini azaltır. Bunlara karşı korunmak için mevcut bağlantı noktalarının sayısını sınırlamalı, IDS sistemlerini kullanmalı, ağ trafiğini ve bilgisayar çalışmasını kontrol etmelisiniz. Güvenlik duvarlarını ve yönlendiricileri doğru şekilde yapılandırmak, DoS saldırıları tehdidini de azaltabilir.

Bütünlük

Bütünlük bilgi ve bunu sağlayan bilgi sistemlerinin doğruluğunu ve güvenilirliğini garanti eder, yetkisiz değişiklik olasılığını engeller. Donanım, yazılım ve iletişim ekipmanı, verileri düzgün bir şekilde depolamak ve işlemek için birlikte çalışmalı ve bozulmadan hedefine düzgün bir şekilde taşınmalıdır. Sistemler ve ağlar dış müdahalelerden korunmalıdır.


Sistemlere yapılan saldırılar veya kullanıcı hataları, sistemlerin ve verilerin bütünlüğünü etkilememelidir. Saldırgan bir virüs, bir mantık bombası veya gizli bir giriş (arka kapı) yüklerse, sistemin bütünlüğü tehlikeye girer. Bu, sistemde depolanan bilgilerin bütünlüğünü olumsuz etkileyebilir ve sahtekarlığa, yazılım ve verilerde yetkisiz değişikliklere yol açabilir. Bu tehditlerle mücadele etmek için sıkı erişim kontrolü, izinsiz giriş tespit sistemlerine ihtiyaç vardır.

Kullanıcılar genellikle sistemlerin veya verilerin bütünlüğünü hatalar yoluyla etkiler (ancak dahili kullanıcılar da dolandırıcılık veya kötü niyetli eylemlerde bulunabilir). Örneğin, yapılandırma dosyalarının yanlışlıkla silinmesi, hatalı işlem tutarının girilmesi vb.

Güvenlik önlemleri, kullanıcıların yeteneklerini yalnızca, hatalarının olasılığını ve sonuçlarını azaltacak olan gerekli minimum işlev kümesiyle sınırlandırmalıdır. Kritik sistem dosyalarına erişim, kullanıcılarla sınırlı olmalıdır. Uygulamalar, gelen bilgiler için doğruluğunu ve yeterliliğini kontrol eden kontrol mekanizmaları sağlamalıdır. Veritabanlarındaki verileri değiştirme hakkı yalnızca yetkili kişilere tanınmalı, iletişim kanalları üzerinden iletilen veriler şifreleme veya diğer mekanizmalarla korunmalıdır.



Gizlilik

Gizlilik veri işlemenin her noktasında gerekli gizlilik seviyesini sağlar ve bunların yetkisiz ifşasını önler. Hem bilginin saklanmasında hem de iletilmesi sürecinde gizlilik sağlanmalıdır.


Saldırganlar, ağ trafiğine müdahale ederek, işyerindeki çalışanları gözetleyerek, parola dosyalarını çalarak ve sosyal mühendislik tekniklerini kullanarak gizliliği ihlal edebilir. Kullanıcılar, hassas bilgileri başka bir kişiye göndermeden önce şifrelemeyi unutarak, bir sosyal mühendislik saldırısının kurbanı olarak, hassas bilgileri işlerken gerekli korumayı sağlamadan şirketin hassas bilgilerini ifşa ederek kasıtlı veya yanlışlıkla ifşa edebilir.

Gizlilik, depolama ve iletim sırasında verilerin şifrelenmesi, katı bir erişim kontrol sisteminin uygulanması, verilerin sınıflandırılması ve personelin gizli bilgilerin uygun şekilde ele alınması konusunda eğitilmesiyle sağlanabilir.




"Kırılganlık", "tehdit", "risk", "etki" kelimelerinin anlamlarını ve aralarındaki ilişkiyi anlamak önemlidir.

güvenlik açığı bir saldırganın bir bilgisayara veya ağa erişmesine ve şirket bilgi kaynaklarına yetkisiz erişim elde etmesine izin verebilecek yazılım, donanım veya prosedürdeki bir kusurdur. Güvenlik açığı, güvenlik önlemlerinin yokluğu veya zayıflığıdır. Güvenlik açığı, sunucuda çalışan bir hizmet, "yama uygulanmamış" bir uygulama veya işletim sistemi, sınırsız modem havuzuna giriş, güvenlik duvarında açık bir bağlantı noktası, herkesin sunucu odasına girmesine izin veren zayıf fiziksel güvenlik, sunucularda parola yönetiminin olmaması ve iş istasyonları.

Tehdit bilgi veya sistem için potansiyel bir tehlikedir. Tehdit, birisinin veya bir şeyin belirli bir güvenlik açığının varlığını keşfetmesi ve bunu bir şirkete veya kişiye karşı kullanmasıdır. Bir güvenlik açığından yararlanılmasına izin veren bir şeye denir. tehdit kaynağı (tehdit ajanı). Tehdidin kaynağı, güvenlik duvarında açık bir bağlantı noktası aracılığıyla ağa erişim sağlayan bir bilgisayar korsanı olabilir; verilere güvenlik politikasını ihlal edecek şekilde erişen bir süreç; bir binayı yok eden bir kasırga; gizli bilgilerin sızmasına veya dosyaların bütünlüğünün ihlaline yol açabilecek bir hata yapan bir çalışan.

Risk bir tehdit kaynağının bir güvenlik açığından yararlanarak olumsuz bir iş etkisine yol açma olasılığıdır. Güvenlik duvarında birden fazla açık bağlantı noktası varsa, bir saldırganın ağa yetkisiz erişim elde etmek için bunlardan birini kullanma olasılığı yüksektir. Kullanıcılar doğru süreç ve prosedürler konusunda eğitilmezlerse, kasıtlı ve kasıtsız olarak veri tahribatına yol açabilecek hatalar yapma olasılıkları yüksektir. Ağ bir IDS sistemi uygulamadıysa, gerçekleştirilen saldırının çok geç olana kadar tespit edilmeme olasılığı yüksektir.

Darbe (poz) - bu, tehdit kaynağının eylemleri nedeniyle kayıplara yol açan bir şeydir. Güvenlik açıkları şirketi etkiler ve ona zarar verme olasılığına yol açar. Parola yönetimi zayıfsa ve parola gereksinimleri uygulanmazsa, şirket, kullanıcı parolalarının ele geçirilme ve yetkisiz erişim için kullanılma potansiyeline maruz kalır. Bir şirket elektrik tesisatını kontrol etmez ve yangını önlemek için önlem almazsa, yangının olası etkilerine maruz kalır.

karşı önlemler (veya koruyucu önlemler ) uygulanması potansiyel risk seviyesini azaltan önlemlerdir. Karşı önlemler, güvenlik açıklarını gideren veya bir tehdit kaynağının bir güvenlik açığından yararlanma olasılığını azaltan yazılım, donanım veya prosedürlerde ince ayarlar olabilir. Karşı önlem örnekleri, güçlü parola yönetimi, güvenlik, işletim sistemi erişim kontrol mekanizmaları, BIOS parolalarının ayarlanması ve kullanıcı güvenliği eğitimi verilmesidir.

Bir şirket antivirüs yazılımı kullanıyor ancak virüs imza veritabanlarını güncellemiyorsa, bu bir güvenlik açığıdır. Şirket virüs saldırılarına karşı savunmasızdır. Tehdit, virüsün şirketin ağına nüfuz etmesi ve çalışmalarını felç etmesidir. Bu durumda risk, bir virüsün şirketin ağına girip zarar verme olasılığıdır. Virüs şirketin ağına girerse, güvenlik açığından yararlanılacak ve şirket bunun neden olduğu zarardan etkilenecektir. Bu durumda alınacak önlemler, tüm şirket bilgisayarlarına virüsten koruma yazılımı yüklemek ve virüs imza veritabanlarını güncel tutmak olacaktır. Riskler, güvenlik açıkları, tehditler ve karşı önlemler arasındaki ilişki Şekil 1-3'te gösterilmektedir.

Şekil 1-3 Farklı güvenlik bileşenleri arasındaki ilişki


Bağlantılar

"Hiçbir şey insanları sağduyu ve bir planı takip etmekten daha fazla şaşırtamaz."

Ralph Emerson, Amerikalı yazar

Risk işleme kararları verildikten sonra, bu kararları uygulamaya yönelik eylemler belirlenmeli ve planlanmalıdır. Her bir faaliyet açıkça tanımlanmalı ve sorumlulukları icra edenler arasında net bir şekilde dağıtmak, kaynak gereksinimlerini değerlendirmek, kilometre taşlarını ve kilometre taşlarını belirlemek, hedeflere ulaşmak için kriterleri tanımlamak ve ilerlemeyi izlemek için gerektiği kadar faaliyete bölünmelidir.

Risk işleme yönetimi kararları, bir Risk Tedavi Planı şeklinde belgelenir. Bu belge, her bir tehdit ve güvenlik açığı grubu için, bu tehdit grubu için maksimum risk düzeyini kuruluş için kabul edilebilir bir artık risk düzeyine indiren bir risk işleme önlemleri listesini tanımlayan Bilgi Risk Kaydı'ndan türetilmiştir. Risk işleme planı ayrıca uygulama zaman çizelgesini, tahsis edilen kaynakları ve sorumlu uygulayıcıları tanımlar.

Planlama süreci, varlıkların ve iş süreçlerinin kilit sahiplerinin belirlenmesini, risk işleme planını uygulamak için zaman, mali ve diğer kaynakların tahsisi konusunda onlara danışmayı ve kaynakların kullanımı için uygun yönetim seviyesinden onay almayı içermelidir.

___________________________________

Bir risk tedavi planının geliştirilmesi ve uygulanması aşağıdaki önlemleri içerir:

  • risklerin tedavisine ilişkin alınan kararların uygulanmasına yönelik tedbirlerin sırasının belirlenmesi;
  • risk işleme faaliyetlerinin detaylandırılması ve önceliklendirilmesi;
  • sanatçılar arasında sorumluluk dağılımı;
  • gerekli kaynakların tahsisi;
  • kilometre taşlarının ve kontrol noktalarının tanımı;
  • hedeflere ulaşmak için kriterlerin tanımı;
  • ilerleme izleme.

______________________________________

Risk tedavi önlemlerinin uygulanmasına uygun şekilde öncelik verilmelidir. Her bir eylemin gerçekleştirilebileceği zamanlama, diğer eylemler üzerindeki mutlak önceliğine, kaynakların mevcudiyetine (finansal ve insan kaynakları dahil) ve süreç başlatılmadan önce tamamlanması gereken faaliyetlere bağlıdır. Risk işleme planı diğer iş planlarıyla koordine edilmelidir. Bu planlar arasındaki herhangi bir bağımlılık tanımlanmalıdır.

Risk tedavi önlemleri aşağıdaki şekillerde önceliklendirilebilir:

1. Tüm karşı önlemler, azaltmayı amaçladıkları risk düzeyine göre gruplara ayrılır. En yüksek öncelik, en büyük riskleri azaltmaya hizmet eden karşı önlemlere verilir.

2. Her grupta, daha hızlı ve daha kolay uygulanabilen ve en hızlı etkiyi veren önlemler ilk sırada yer alır.

3. En yüksek yatırım getirisini sağlayan karşı önlemlerin önceliği artırılır.

4. Diğer karşı tedbirlerin başarısının bağlı olduğu birincil karşı tedbirlere daha yüksek bir öncelik verilir.

5. Diğer planlarla bağlantı, belirli kaynakların mevcudiyeti, siyasi, ekonomik ve diğer hususlar dahil olmak üzere, karşı önlemlerin uygulanmasını etkileyebilecek diğer tüm hususlar dikkate alınır.

Bu sürecin çıktısı, daha detaylı planlama, kaynak tahsisi ve risk yönetimi kararlarının uygulanmasının gerçekleştirildiği bir risk tedavi önlemlerinin öncelikli listesidir.

Risk işleme planının uygulanmasına yönelik tüm adımların koordinasyonu (güvenlik mekanizmalarının satın alınması, uygulanması, test edilmesi, sigorta ve dış kaynak kullanımı sözleşmelerinin akdedilmesi vb. dahil) kontrol etmesi gereken bilgi güvenliği yöneticisi veya risk yöneticisi tarafından yürütülür. faaliyetlerin uygulanmasının plana uygun, uygun kalitede ve ayrılan mali, zaman ve insan kaynakları dahilinde gerçekleştirilmesidir. Bir bilgi sistemine karşı önlemler uygularken, uygulanan güvenlik mekanizmalarının güvenilirliğini ve işlerliğini doğrulamak ve ayrıca işlevlerinin etkinliğini ölçmek için testler yapılmalıdır.

  • Yorum göndermek için lütfen giriş yapın veya kayıt olun


İlgili Makaleler

En son makaleler
Popüler Makaleler
Editörün Seçimi
rzdoro.ru