E-DEVLET KAPISI VE RİSK DEĞERLENDİRME METODOLOJİSİ



Benzer belgeler
e-devlet KAPISI ve RĠSK DEĞERLENDĠRME METODOLOJĠSĠ

KURUMLARÜSTÜ BİLGİ GÜVENLİĞİ STRATEJİSİ

Risk Analizi. Hazırlayan: Gürsoy DURMUŞ

Kurumlarüstü Bilgi Güvenliği Stratejisi

Bilgi Güvenliği Risk Değerlendirme Yaklaşımları

ULUSAL BİLGİ SİSTEMLERİSTEMLERİ GÜVENLİK PROGRAMI

T.C. ÇEVRE VE ŞEHİRCİLİK BAKANLIĞI Coğrafi Bilgi Sistemleri Genel Müdürlüğü. Hüseyin BAYRAKTAR

E-Government Gateway Project, Information Security and Risk Management: Turkish Case

İstanbul Bilişim Kongresi. Bilişim Yönetişimi Paneli CobiT ve Diğer BT Yönetim Metodolojileri Karşılaştırması. COBIT ve ISO 27001

YÖNETİM SİSTEMLERİ. TS EN ISO Kalite Yönetim Sistemi TS EN ISO Çevre Yönetim Sistemi TS (OHSAS) İSG Yönetim Sistemi

PARDUS GÖÇ UZMANI VE FİRMA BELGELENDİRMELERİ. BİLİŞİM TEKNOLOJİLERİ TEST VE BELGELENDİRME DAİRESİ BAŞKANI Mariye Umay AKKAYA

UE.18 Rev.Tar/No: /03 SAYFA 1 / 5

BS25999 İŞ SÜREKLİLİĞİ İĞİ YÖNETİM M SİSTEMİSTEMİ STANDARDI

İSG Yönetim Sistemi Prensipleri

KALİTE YÖNETİM SİSTEMLERİ YAZILIMI

İŞ YATIRIM MENKUL DEĞERLER A.Ş. İŞ SÜREKLİLİĞİ PLANLAMASI A. AMAÇ

Akıllı Şebekede Siber Güvenlik Standardizasyonu

Siber Güvenlik Risklerinin Tanımlanması / Siber Güvenlik Yönetişimi

1-PROJE YÖNETİMİNE GİRİŞ

Yeni Nesil Siber Güvenlik Operasyon Merkezleri. Halil ÖZTÜRKCİ ADEO BİLİŞİM DANIŞMANLIK HİZMETLERİ A.Ş.

MerSis. Bilgi Güvenliği Danışmanlık Hizmetleri

ÇELİKEL A.Ş. Bilgi Güvenliği Politikası

T. C. TÜRK STANDARDLARI ENSTİTÜSÜ

2013/101 (Y) BTYK nın 25. Toplantısı. Üstün Yetenekli Bireyler Stratejisi nin İzlenmesi [2013/101] KARAR

ENTEGRE YÖNETİM SİSTEMİ YAZILIMI

KURUMSAL RİSK YÖNETİMİ RİSK YÖNETİM MODELLERİ

T. C. TÜRK STANDARDLARI ENSTİTÜSÜ

ÇEVRE BOYUTLARININ DEĞERLENDİRİLMESİ PROSEDÜRÜ

TÜRKİYE BİLİMSEL VE TEKNOLOJİK ARAŞTIRMA KURUMU ULUSAL AKADEMİK AĞ VE BİLGİ MERKEZİ YÖNETMELİĞİ. BİRİNCİ BÖLÜM Genel Hükümler

ENDÜSTRİYEL KONTROL SİSTEMLERİNDE BİLİŞİM GÜVENLİĞİ YÖNETMELİĞİ NE İLİŞKİN HİZMETLER

BGYS ve BGYS Kurma Deneyimleri

SÜREKLİ İYİLEŞTİRME PROSEDÜRÜ

Risk Değerlendirmesi ve Yönetimi

FEF LİSANS PROGRAMLARI DEĞERLENDİRME ÖLÇÜTLERİ

ULUSAL PNÖMOKONYOZ ÖNLEME EYLEM PLANI

POL.01 Rev.Tar/No: /1.0 HĠZMETE ÖZEL

Bilgi Güvenliği Farkındalık Eğitimi

Bilgi Sistemleri Risk Yönetim Politikası

TÜRK AKREDİTASYON KURUMU. Personel Akreditasyon Başkanlığı

Bilgi Güvenliği Yönetim Sistemi

Bilindiği üzere Bilgi Güvenliği Yönetim Sistemi, bilgi ve bilgi varlıklarının

LocRef. Yerel Yönetim Reformları Uluslararası Karşılaştırma. Yerel Yönetim Reformları Uluslararası Karşılaştırma. LocRef

AĞ TEKNOLOJİLERİ DURUM TESPİT KOMİSYONU (AT-DTK) IV. ULAKNET Çalıştay ve Eğitimi. Yusuf ÖZTÜRK ULAKBİM 24 Mayıs 2010

EĞİTİM İHTİYAÇ ANALİZİ ve SONUÇ RAPORU

RİSK DEĞERLENDİRMESİ EL KİTABI

VERİ KAYNAKLARI. Bilgi sisteminin öğelerinden biride veri

TOBB - EKONOMİ ve TEKNOLOJİ ÜNİVERSİTESİ BİL YAZILIM MÜHENDİSLİĞİNDE İLERİ KONULAR FİNAL SINAVI 1 Nisan 2013

YÖK TEZLERİ PROJE KELİME TARAMASI

KALİTE SİSTEM YÖNETİCİSİ EĞİTİMİ

BDDK-Bilgi Sistemlerine İlişkin Düzenlemeler. Etkin ve verimli bir Banka dan beklenenler Bilgi Teknolojilerinden Beklenenler

Genel Katılıma Açık Eğitimlerimiz Başlıyor!

e-dönüşüm Türkiye Projesi 2005 Eylem Planı İlerleme Raporu Sunuşu

Dr. Özkan DALBAY. Đcra Kurulu 4 Mart 2008

Akademi. Denetim Kalite Kontrol. Danışmanlık

Tecrübeye Dayanan Risklerde Aksiyon Planına Dahil Edilir

Madde 5- Yeni ya da Değişen Hizmetlerin Tasarlanması ve Dönüşümü

KURUMSAL RİSK YÖNETİMİ (KRY) EĞİTİMİ KURUMSAL RİSK YÖNETİMİ: KAVRAMSAL VE TEORİK ÇERÇEVE

ISO-BGYS-PL-02 Bilgi Güvenliği Politikası

Mekânsal Vatandaşlık (Spatial Citizenship-SPACIT) Yeterlilik Modeli

Proje önerilen faaliyetler ön çalışma raporuna uygun mu, uygulanabilir mi, hedeflerle ve öngörülen sonuçlarla uyumlu mu?

Girişimcinin İş Kurma Sürecindeki Temel Adımları. Yrd.Doç.Dr. Levent VURGUN Turgut Özal Üniversitesi

Kurumsal bilgiye hızlı ve kolay erişim Bütünleşik Belge Yönetimi ve İş Akış Sistemi içinde belgeler, Türkçe ve İngilizce metin arama desteği ile içeri

TÜRK STANDARDLARI ENSTİTÜSÜ BİLİŞİM TEST VE BELGELENDİRME ÜCRET TARİFESİ

E-DEVLET ÜSTYAPISI ÇALIŞTAY

ANET Bilgi Güvenliği Yönetimi ve ISO Ertuğrul AKBAS [ANET YAZILIM]

Proceedings/Bildiriler Kitabı II. YAZILIM G M I. G September /Eylül 2013 Ankara / TURKEY ULUSLARARASI

Bilindiği üzere Bilgi Güvenliği Yönetim Sistemi, bilgi ve bilgi varlıklarının

Sibergüvenlik Faaliyetleri

Uygulamaları ulut bilişime geçirmeden önce, firmanızın/şirketinizin ya da. işinizin gereksinimlerini göz önüne almanız gerekir. Aşağıda bulut bilişime

BİLİŞİM EĞİTİM KÜLTÜR ve ARAŞTIRMA DERNEĞİ

İSG RİSK DEĞERLENDİRME PROSEDÜRÜ

Tetkik Gün Sayısı Tespiti

Strateji Geliştirme Daire Başkanlığı RİSK YÖNETİMİ

AĞ ve SİSTEM GÜVENLİĞİ

İŞ SÜREKLİLİĞİ PLANI OLUŞTURMA REHBERİ. Ferihan Melikoğlu, BTYÖN Danışmanlık

BİLİŞİM SİSTEMLERİ GÜVENLİĞİNDE YENİ EĞİLİMLER

AKTÜERYAL DENETİM ÇALIŞTAYI

ESİS Projesi. Kaynaklar Bakanlığı

İŞLETME RİSK YÖNETİMİ. Yrd. Doç. Dr. Tülay Korkusuz Polat 1/21

ISO 27001:2013 BGYS BAŞTETKİKÇİ EĞİTİMİ

Venatron Enterprise Security Services W: P: M:

ISO 9001:2015 KALİTE YÖNETİM SİSTEMİ GEÇİŞ KILAVUZU

T.C. SOSYAL GÜVENLİK KURUMU BAŞKANLIĞI Hizmet Sunumu Genel Müdürlüğü

Gelecek Nesillere Söz Verdik...

HASTANE HİZMET KALİTE STANDARTLARI METODOLOJİSİ

Risk Yönetimi ve Kontrol Faaliyetleri

2017 de Siber Güvenlik, Milli Çözümler ve Türkiye «NE LER, NASIL LAR"

MESLEKİ EĞİTİM MALİ DESTEK PROGRAMI. Proje ve Projelere İlişkin Genel Kavramlar

ITMS DAYS Information Technologies Management Systems Days

İŞ SÜREKLİLİĞİ PLANLAMASINDA ACİL DURUM UYARI VE HABERLEŞMESİ. Zeynep Çakır, BTYÖN Danışmanlık

ÜLKEMİZDE SİBER GÜVENLİK

YÜKSEK DENETİM DÜNYASINDAN HABERLER SAHTECİLİK VE YOLSUZLUKLA MÜCADELEDE SAYIŞTAYLARIN ROLÜ: ASOSAI 2012 FİLİPİNLER ÇALIŞTAYI

KAMU BORÇ İDARESİNDE OPERASYONEL RİSK VE İŞ SÜREKLİLİĞİ YÖNETİMİ

BİLGİ GÜVENLİĞİ YÖNETİMİNDE VARLIKLARIN RİSK DEĞERLENDİRMESİ İÇİN BİR MODEL

Türk Telekom e-devlet Kapısı

ISO 27001:2013 BGYS BAŞTETKİKÇİ EĞİTİMİ

Kuruluşunuzu Siber Risklere Karşı Daha İyi Koruyun

ESRI Türkiye Konferansı BULUT BİLİŞİM İLE TURİZM HARİTALARININ YAYIMLANMASI: TRABZON İLİ ÖRNEĞİ

Bilgi Sistemleri Uygulama ve Araştırma Merkezi Faaliyet Raporu

Daha Güçlü Türkiye için Etkin SOME ler Nasıl Olmalı?

Transkript:

E-DEVLET KAPISI VE RİSK DEĞERLENDİRME METODOLOJİSİ Erhan Kumaş Türksat Uydu ve Kablo TV Operatörü İşletme A.Ş., Bilgi Teknolojileri Direktörlüğü Konya Yolu 40. Km. Gölbaşı/ANKARA ekumas@turksat.com.tr ÖZET e-devlet Kapısı Projesi, Türkiye nin devlet hizmetlerinin modernizasyonunu ve vatandaşların bu hizmetlere kolay ve rahat ulaşabilecekleri bir platformun kurulmasının hedeflendiği ön yüzünde vatandaşın tek noktadan devlet hizmetlerine ulaşabileceği, arka yüzünde ise kurumların birbirleri iletişim kurabilecekleri güvenli bir portal altyapısıdır. Bu noktada yönetilen bilginin güvenliği sağlanması, altyapı ile ilgili risklerin değerlendirilmesi ve yönetilmesi ile ilgili ulusal bir metodoloji ve yaklaşımın bulunmaması bu yazının önemine vurgu yapmaktadır. Yazılım projelerinin problemlerinin yanısıra ortaya konulan teorik yaklaşıma uygulama eklenerek geliştirilmesi öngörülmektedir. ANAHTAR KELİMELER: Bilgi Güvenliği, e-devlet Kapısı, Risk Yönetimi SUBJECT OF PAPER E-Government And Evaluatıng Rısk Methodology ABSTRACT e-government Project is a secure infrastructure with which modernization of Turkey is aimed. It is a platform where the citizens can easily reach the governmental services. At the same time public institutions can communicate with one another on the same platform. At this point, lacking a national methodology and an approach about maintaining the security of the information which is being conducted, evaluating and managing the risks of the substructure emphasizes the importance of this essay. It is foreseen that in addition to problematics of the software projects, the theoretical approach which is introduced should be developed with practice. KEYWORDS : Information Security, egovernment Gateway, Risk Management 1. GİRİŞ Geçtiğimiz yarım asırda yaşanan sektörel değişime belirli periyotlarda hızlı bir göz atacak olursak; 1960_1970 yılları arasında Üretim ve Maliyet Üstünlüğü, 1960-1980 yılları arasında Kalite Üstünlüğü, 1980-1990 yılları arasında Hız Üstünlüğü, 1990-2000 yılları arasında Hizmet Üstünlüğü ön plana çıkmaktadır.1 Bu noktada bizim düşüncemizde 2000 li yıllarla beraber yaşanan hızlı teknolojik gelişmeler ve internetin yaygınlaşmasının bir sonucu olarak bilgi güvenliği, bilgi teknolojileri giderek önem kazanan bir konu haline gelmiştir. ġekil 1 Bilgi teknolojileri ve bilgi güvenliği gerek kamu kurumlarının, gerekse özel sektörün önümüzdeki dönemde öncelik listesinde giderek artan bir öneme sahip olacağı bilgi güvenliği alanına gereken önemi vermeye başlayacakları, ilgili önlemleri alma çabası içine girecekleri kuşkusuz görülmektedir. Ancak, bilgi teknolojileri ve bilgi güvenliğinin sadece teknolojik önlemlerle sağlanabileceği gibi genel bir yanılsamanın olduğu da gözlenmektedir. 203

Şekil 1: Yarım Asırlık Sektörel Değişim Bu çalışmada bilişim güvenliği çerçevesinde ele alınan risk analizi ve risk değerlendirme çalışmalarının temel kavramları, en önemli bileşenleri ve e-devlet kapısı özelinde kısmi uygulamaları ele alınmaktadır. Konunun esas olarak çok boyutlu ve karmaşık bir süreç olmasından hareketle ve niş bir alan olması sebebiyle gerek kamu kurumları, gerekse özel sektör temsilcileri bu konuda ortak paydada buluşmada zorlanmaktadırlar. 2. E-DEVLET KAPISI, BİLGİ GÜVENLİĞİ VE RİSK YÖNETİMİ e-devlet, kamu hizmetlerinin vatandaşlara, işletmelere, kamu kurumlarına ve diğer ülkelere bilgi ve iletişim teknolojileri yardımı ile etkin ve verimli bir şekilde sunmaktır. e-devlet Kapısı Projesi, Türkiye nin devlet hizmetlerinin modernizasyonunu ve vatandaşların bu hizmetlere kolay ve rahat ulaşabilecekleri bir platformun kurulmasını amaçlamaktadır. Gerek vatandaşların ve işletmelerin, gerekse kamu kurum ve kuruluşlarının aktif olarak kullanacağı bu platformun güvenli olması yadsınamaz bir gerçektir. Bu noktada e-devlet kapısı projesi teknik şartnamesi2 çerçevesinde teknik ve teknolojik açıdan gerekli tedbirler alındığı gibi bir de idari açıdan bu konuda uluslararası arenada kabul görmüş ve geçerliliği olan ISO/IEC 27001:2005 Bilgi Güvenliği Yönetim Sistemi3 kurulumu çalışmaları başlatılmıştır. Bahsi geçen standart incelendiğinde risk analizi çalışmalarının standardın önemli bir kısmını tuttuğu görülmektedir. E-Devlet Kapısı nın güvenlik altyapısının kurulması ve işletilmesi çalışmaları çerçevesinde ortaya koyduğumuz ve kullandığımız metodoloji Tablo 1 deki gibidir.7 Bu metodoloji içerisinde geçen iş paketleri adım adım açıklanarak çalışmamıza yön verilecektir. 3. E-DEVLET KAPISI RİSK DEĞERLENDİRME METODOLOJİSİ Bilgi ve iletişim sistemlerine olan bireysel ve toplumsal bağımlılığımız ve sistemlerde meydana gelebilecek arıza ve saldırılara karşı duyarlılığımız arttıkça bu sistemlerde oluşabilecek arıza ve saldırılara karşı hassasiyetimiz de artmaktadır. Bilgi teknolojilerine ve bilgi ağlarına yönelik saldırılar ciddi miktarda para, zaman, prestij ve değerli bilgi kaybına neden olabilmektedir. Risk değerlendirme çalışmaları içerisinde geniş bir alanı tutan risk analizi; sistem kaynaklarını etkileyebilecek belirsiz olayların belirlenmesi, denetlenmesi, yok edilmesi ya da en aza indirgenmesini kapsayan süreç olarak tanımlandığı gibi, fayda-maliyet analizi, seçim, önceliklendirme, gerçekleştirim, sınama, önlemlerin güvenlik değerlendirmesi gibi komple güvenlik gözden geçirmesini de içerebilmektedir. Şu ana kadar belirtilen süreçlerin bilgi güvenliği açısından değerlendirilmesinde fayda-maliyet analizi nin ġekil 2 de her çalışmanın başlangıcında olduğu gibi işletmelerin veya kurumların bilgi güvenliği yatırımı na ayıracakları bütçe ile yapılacak çalışmanın getirisinin önemi arasındaki ince çizgi vurgulanmaktadır. 4 204

Tehdit Kaynağı Motivasyonu nedir? Tehdidin y Çıkardığı Eylemler Hacker, Kaçık, Psikopat Meydan Okuma Kendini Ispat Etme İsyan Etme Sistemin Hack lenmesi, Sisteme izinsiz girme, Şekil 2: Güvenliğe/Korumasızlık Bütçe Dengesi Teröristler Yakıcı Bölücü Eylem İstismar Etme İntikam Alma Bonbalanma, Bilgi Çalma, Siteme Saldırma Sistem Ayarlarının Bozluması Varlık Envanteri nin Çıkarılması: Sistemin bilgi varlıklarının tanımlanması adımına geçmeden önce yapılması gereken organizasyonun belirlenmesi, rol ve sorumluluk paylaşımı gibi kurumsal kimliğinizin yapıtaşlarının tanımlanmasıdır. Daha sonra ISO 27001:2005 ve ISO 17799:2005 standartları5 çerçevesinde kurulacak bilgi güvenliği yönetim sistemi kapsamı belirlenmeli ve bu kapsama giren tüm bilgi varlıkları tanımlanmalı ve dokümante edilmelidir. Tehditlerin Tanımlanması: Burada yapılması gereken en önemli iş; potansiyel tehdit kaynaklarının tespit edilerek ġekil 3 de bir tehdit listesi oluşturulmalıdır. Sisteme zarar vermesi muhtemel bu tehditler; Doğal Tehditler (Sel baskınları, Depremler v.s), Çevresel Tehditler (Binaya ait borulardan birinin patlaması ve sistem odasındaki bilgisayarlara zarar vermesi), İnsan Tehditleri (Çalışan personel kasıtlı olarak sisteme zarar verebilir, kötü niyetli kişiler sisteme zarar verebilir veya personel istemeden / bilmeden sisteme zarar verebilir) şeklinde sınıflandırılabilir. Şekil 3: Tehdit Tanımlama Örnek Tablosu Zayıflıkların Tanımlanması: Sistemde olası zayıflıkların tespit edilmesi ve bunun istismar edilerek potansiyel bir tehdit kaynağı olup olmama durumunun tanımlanması ile ilgili ġekil 4 deki gibi bir liste çıkarılmalıdır. Sistem zayıflıklarının tanımlanması esnasında asıl kaynağın bulunması için sistem güvenlik test performansları ve sistemin güvenlik gereksinimlerine ait bir kontrol listesinin bulunması gerekmektedir. Zayıflıklar İşten ayrılan personelin sistem ile ilgili ilişiğinin kesilmemesi Sistemin kurulumundan sorumlu tedarikçilerin sisteme yeni yamalar yaparken güvenlik açıklarını bilmeleri Tehdit Kaynağı İşten ayrılan personel Yetkisizi kişilerin eline geçmesi Tehdidin ortaya çıkardığı eylemler İşten ayrılan personelin sisteme ait önemli / patentli bilgileri çalması Yetkisiz giriş yaparak hassas sistem dosyalarının çalınması Şekil 4: Zayıflık Tanımlama Örnek Tablosu Kontrol Analizleri: Sistemin genel durumuna ait güvenlik kontrollerinin analizlerinin yapılıp yapılmadığını veya planlanıp planlanmadığını ve organizasyon ile ilgili tehditlerin olma olasılığının belirlendiği kısımdır. 205

Olasılıkların Belirlenmesi: Olasılıklar belirlenirken; Tehdit kaynaklarının motivasyonlarının ve yeteneklerinin, sistemin doğal zayıflıklarının, mevcut kontrollerin etkinliğinin değerlendirilmesinin düşünülmesi gerekmektedir. Bununla ilgili ġekil 5 deki örnek çalışma değerlendirilmektedir. Olasılık Düzeyi Yüksek Düşük Olasılık Tanımlama Olasılığın Tanımı Tehdit kaynağının motivasyonu ve yetenekleri oldukça kuvvetli ve kontrol altına alınması oldukça düşük bir tehdit. Tehdit kaynağının motivasyonu ve yetenekleri kuvvetli ancak kontrol altına alınması mümkün bir tehdit. Tehdit kaynağının motivasyonu ve yetenekleri yeterli olmayan veya önemsiz etkiye sahip ve kontrol altına alınması oldukça kolay olan bir tehdit. Şekil 5: Olasılık Tanımlama Örnek Tablosu Sonuç itibarıyla olasılıkların belirlenmesi veya tanımlanması ile hedeflenen; olasılık dereceleri ve etki analizi tablolarının oluşturulmasıdır. Önem/Etki Tablosu Etki Büyüklüğü/Önemi Etkinin Büyüklüğünün Tanımı Yüksek Sisteme ait maliyeti çok yüksek bir varlığın kaybedilmesi, Organizasyonun hayati öneme haiz bir görevini yapamaması, insanların ağır yaralanmasına veya ölümüne sebep olabilecek. Sisteme ait maliyeti yüksek bir varlığın kaybedilmesi, Organizasyonda öneme haiz bir görevin yapılamaması, insanların ağır yaralanmasına sebep olabilecek. Düşük Sisteme ait maliyeti ihmal edilebilir bir varlığın kaybedilmesi, Organizasyonun herhangi bir görevini yapamaması. Etki Analizi: Burada nitel veya nicel değerlendirmelerden hangisine karar verileceği önemli bir kıstastır. Her ikisinin de kendine göre avantaj ve dezavatajları bulunmaktadır. ġekil 6 da bu konuda örnek bir tablo oluşturulmuştur. Nitel Etki Analizinin Avantajları; Risklerin önceliklendirilebilmesi, Tanımlanmış bölgelerdeki zayıflıklardaki gelişmelerin görülebilmesi. Nitel Etki Analizinin Dezavantajları; Spesifik ölçümler ve etkilerin büyüklükleri hakkında sayısal veriler sunamaz, Fayda-maliyet analizi yapılamaz. Nicel Etki Analizinin Avantajları; Etkilerin ölçülebilir büyüklükler vererek gösterir, Fayda-maliyet analizi bu verilere göre yapılabilir, tavsiye plan oluşturulabilir. Nicel Etki Analizinin Dezavantajları; Ölçümlemeler sayısal oranlara göre yapılmaktadır, dolayısıyla sayılarla çıkan sonuç insanları yanıltabilir. Risk Tanımlama: Kurulacak olan sistemin risk düzeyleri belirlenmekte, ölçülebilir risk düzeyleri matrisi ve risk skalası oluşturulur. Tablo xxx de gösterildiği gibi risk düzey matrisi içerisinde tehditlerin olasılığı ve bahsi geçen tehditin etkisinin ortaya konulması gerekmektedir. a) Risk Düzey Matrisi Oluşturma: ġekil 7 de detaylı bir tablo oluşturulmuştur. Şekil 6: Önem/Etki Analizi Örnek Tablosu 206

Tehdit Olasılığı Yüksek (1.0) (0.5) Düşük (0.1) Tehdit Etkisi Düşük (10) (50) Yüksek(100) Düşük Yüksek (0.1 x 10 = 1) Düşük Düşük Düşük Düşük Şekil 7: Risk Düzey Matrisi Örnek Tablosu b) Risk skalası : o 50 < Yüksek < 100 o 10 < < 50 o 1 < Düşük < 10 olarak tanımlanabilir. c) Risk Düzeylerinin Tanımlaması: Risk Düzeyi Yüksek Düşük Risk Skalası Tanımlama Tablosu Risk Tanımı Tespit edilen risk yüksek ise; ölçümleme yapılabiliyorsa yapılır veya hemen yeni bir eylem planı hazırlanarak uygulamaya alınır. Tespit edilen risk orta ise; Uygun bir periyod belirlenerek yeni bir plan oluşturulması beklenir. Tespit edilen risk düşük ise; sistemde onay makamı bu durum için riskin kabul edilebilirliğine karar verir. Şekil 8: Risk Skalası Tanımlama Örnek Tablosu Bu bölümde beklenen; Risk Skalası Tanımlama Tablosunun oluşturulmasıdır. 4. SONUÇ Günümüz dünyasında kişiler, kurumlar ve hatta ülkeler için özellikle parasal değeri olan veya menfaat sağlanabilecek her türlü kıymetli bilginin dost olmayan kişi, kurum veya ülkelerin eline geçmesi son derece tehlikeli olabilmektedir. E-Devlet kapısı gibi sadece vatandaşların değil aynı zamanda tüm kamu kurum ve kuruluşlarının, işletmelerin kullanacağı bir sitemin gerek altyapı, gerekse idari açıdan uluslararası geçerliliği olan model, metodoloji veya standartlara uygun olarak işletilmesi gerekliliği görülmektedir. Sırf bu yasal olmayan müdahaleler için eğitilmiş ve ayrılmış kaynakların bulunması ve kişi veya kurumların planlarını ellerine geçirdikleri bu bilgileri üstünlük sağlayacak şekilde kullanabilmeleri ağ güvenliğinin ve sonuçta ortaya çıkan bilgi ve kişisel hakların korunmasının, ne kadar önemli olduğunu ortaya koymak için yeterlidir. Bilgi ve iletişim teknolojileri dünyasının yeni trendi olarak görülen; insan, teknoloji ve süreç üçlemesi sektörün göremediği noktalardan birisidir. Güvenli bilgisayar ortamlarının oluşturulması için eksiksiz bir teknoloji birikimi gerekir. Ancak teknoloji tek başına bu ortamlardaki tehditlerin çözümü için yeterli olamaz. İyi tasarlanmış ürünler, oturmuş ve etkili süreçler ve bilgili, iyi eğitimli operasyon ekipleri olmaksızın üst düzey güvenlik sistemleri ortaya koymak olası değildir. 5. TEŞEKKÜR Bu çalışmayı hazırlamama yardımcı olan Dr. Ahmet KAPLAN, Mustafa CANLI, Ömer KI- LIÇ ve tüm e-devlet kapısı projesi çalışanlarına teşekkürlerimi sunarım. 6. KAYNAKLAR 1. Kavrakoğlu, İ., Toplam Kalite Yönetimi, Kalder Yayınları, İstanbul, 1996. 2. e-devlet Kapısı Projesi Teknik ġartnamesi. 3. Türk Standartları Enstitüsü, Bilgi Teknolojisi- Güvenlik Teknikleri-Bilgi Güvenliği Yönetim Sistemleri-Gereksinimler, TS ISO / IEC 27001, Mart 2006. 4. DURMUŞ, G., Risk Analizi, gdurmus@yahoo.com, Gursoy.Durmus@tikle.com 207

5. Türk Standartları Enstitüsü, Bilgi Teknolojisi- Bilgi Güvenliği Yönetimi için Uygulama Prensibi, TS ISO / IEC 17799, 2000. 6. Türkiye Bilişim Derneği, TBD Kamu-BİB, Bilişim Sistemleri Güvenliği El Kitabı Sürüm 1.0, Türkiye Bilişim Derneği Yayınları, Mayıs 2006. 7. Stoneburner, G., Goguen, A., Feringa, A., Risk Management Guide For Information Technology Systems, NIST Special Publication 800-30, Computer Security Division Information Technology Laboratory Gaithersburg, MD 20899-8930, July 2002. 208

2024 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim