e-devlet KAPISI ve RĠSK DEĞERLENDĠRME METODOLOJĠSĠ



Benzer belgeler
E-DEVLET KAPISI VE RİSK DEĞERLENDİRME METODOLOJİSİ

POL.01 Rev.Tar/No: /1.0 HĠZMETE ÖZEL

KURUMLARÜSTÜ BİLGİ GÜVENLİĞİ STRATEJİSİ

Risk Analizi. Hazırlayan: Gürsoy DURMUŞ

UE.18 Rev.Tar/No: /03 SAYFA 1 / 5

E-DEVLET ÇALIġMALARI VE TÜRKSAT TA Ġġ SÜREKLĠLĠĞĠ ÇALIġMALARI MUSTAFA CANLI

Deprem Tehlike Yönetimi ( )

MerSis. Bilgi Güvenliği Danışmanlık Hizmetleri

Kullanıcı Hesabı ve Şifre Yönetimi

İÇ DENETİM BİRİMİ BAŞKANLIĞI SOSYAL YARDIMLAR GENEL MÜDÜRLÜĞÜ İÇ KONTROL VE RİSK YÖNETİMİ ÇALIŞTAY RAPORU

Bilgi Güvenliği Risk Değerlendirme Yaklaşımları

Siber Güvenlik Risklerinin Tanımlanması / Siber Güvenlik Yönetişimi

ÇEVRE BOYUTLARININ DEĞERLENDİRİLMESİ PROSEDÜRÜ

İstanbul Bilişim Kongresi. Bilişim Yönetişimi Paneli CobiT ve Diğer BT Yönetim Metodolojileri Karşılaştırması. COBIT ve ISO 27001

Kurumlarüstü Bilgi Güvenliği Stratejisi

ULUSAL PNÖMOKONYOZ ÖNLEME EYLEM PLANI

Akıllı Şebekede Siber Güvenlik Standardizasyonu

ANET Bilgi Güvenliği Yönetimi ve ISO Ertuğrul AKBAS [ANET YAZILIM]

T. C. KAMU İHALE KURUMU

KİŞİSEL GELİŞİM ASİSTANI

E-Government Gateway Project, Information Security and Risk Management: Turkish Case

Türkiye Ulusal Coğrafi Bilgi Sistemi Altyapısı Kurulumu FĠZĠBĠLĠTE ETÜDÜ ÇALIġTAYI

T. C. TÜRK STANDARDLARI ENSTİTÜSÜ

T.C. BĠNGÖL ÜNĠVERSĠTESĠ REKTÖRLÜĞÜ Strateji GeliĢtirme Dairesi BaĢkanlığı. ÇALIġANLARIN MEMNUNĠYETĠNĠ ÖLÇÜM ANKET FORMU (KAPSAM ĠÇĠ ÇALIġANLAR ĠÇĠN)

DOĞAL GAZ SEKTÖRÜNDE PERSONEL BELGELENDĠRMESĠ

İŞ YATIRIM MENKUL DEĞERLER A.Ş. İŞ SÜREKLİLİĞİ PLANLAMASI A. AMAÇ

II. Bilgi Teknolojileri YönetiĢim ve Denetim Konferansı

ULUSAL BİLGİ SİSTEMLERİSTEMLERİ GÜVENLİK PROGRAMI

T. C. KAMU İHALE KURUMU

İŞ SÜREKLİLİĞİ PLANLAMASINDA ACİL DURUM UYARI VE HABERLEŞMESİ. Zeynep Çakır, BTYÖN Danışmanlık

ENDÜSTRİYEL KONTROL SİSTEMLERİNDE BİLİŞİM GÜVENLİĞİ YÖNETMELİĞİ NE İLİŞKİN HİZMETLER

RĠSK VE FIRSAT ANALĠZ PROSEDÜRÜ

RİSK DEĞERLENDİRMESİ EL KİTABI

BİLGİ GÜVENLİĞİ POLİTİKASI

Strateji Geliştirme Daire Başkanlığı RİSK YÖNETİMİ

PAYDAŞ ANALİZİ ve PAYDAŞ BEKLENTİLERİ ANALİZİ PROSEDÜRÜ REFERANS & FORMLAR & RİSKLER

MADDE 1 (1) Bu Yönetmeliğin amacı; çalıģanlara verilecek iģ sağlığı ve güvenliği eğitimlerinin usul ve esaslarını düzenlemektir.

TÜRKİYE DE KOBİ UYGULAMALARI YMM. NAİL SANLI TÜRMOB GENEL BAŞKANI IFAC SMP (KOBİ UYGULAMARI) FORUMU İSTANBUL

Tetkik Gün Sayısı Tespiti

ÖĞR.GÖR.DR. FATĠH YILMAZ YILDIZ TEKNĠK ÜNĠVERSĠTESĠ MESLEK YÜKSEKOKULU Ġġ SAĞLIĞI VE GÜVENLĠĞĠ PROGRAMI

DOK-004 BGYS Politikası

ISO 27001:2013 BGYS BAŞTETKİKÇİ EĞİTİMİ

KALİTE SİSTEM YÖNETİCİSİ EĞİTİMİ

ÇELİKEL A.Ş. Bilgi Güvenliği Politikası

DÜZCE ÜNİVERSİTESİ STRATEJİ GELİŞTİRME DAİRE BAŞKANLIĞI

SÜREKLİ İYİLEŞTİRME PROSEDÜRÜ

1-PROJE YÖNETİMİNE GİRİŞ

İSYS Süreçleri ve Yönetim Sistemleri İçindeki Yeri. Burak Bayoğlu (CISM, CISA, CISSP) TÜBİTAK UEKAE.

Örgütler bu karmaģada artık daha esnek bir hiyerarģiye sahiptir.

T. C. TÜRK STANDARDLARI ENSTİTÜSÜ

ULUSAL İSTİHDAM STRATEJİSİ EYLEM PLANI ( ) İSTİHDAM-SOSYAL KORUMA İLİŞKİSİNİN GÜÇLENDİRİLMESİ

Siber Güvenlik Hizmetleri Kataloğu

PROJE RISK YÖNETIMI D R. Ö Ğ R. Ü Y E S İ K E N A N G E N Ç O L

SİSTEM MÜHENDİSLİĞİ RİSK YÖNETİMİ

2013/101 (Y) BTYK nın 25. Toplantısı. Üstün Yetenekli Bireyler Stratejisi nin İzlenmesi [2013/101] KARAR

YÖNETİM SİSTEMLERİ. TS EN ISO Kalite Yönetim Sistemi TS EN ISO Çevre Yönetim Sistemi TS (OHSAS) İSG Yönetim Sistemi

İnsan Kaynakları Yönetiminin Değişen Yüzü

YÖNETİM SİSTEMLERİ. Yönetim Sistemi Modelleri: Deming tarafından geliştirilen, Planla Uygula Kontrol Et Önlem Al

BDDK-Bilgi Sistemlerine İlişkin Düzenlemeler. Etkin ve verimli bir Banka dan beklenenler Bilgi Teknolojilerinden Beklenenler

Bilindiği üzere Bilgi Güvenliği Yönetim Sistemi, bilgi ve bilgi varlıklarının

ENTEGRE YÖNETİM SİSTEMİ YAZILIMI

İŞ SÜREKLİLİĞİ YÖNETİM SİSTEMİ İÇİN KRİTİK BAŞARI FAKTÖRLERİ

çalışmalara proje denilmektedir.

KALİTE YÖNETİM SİSTEMLERİ YAZILIMI

2018 YILI İŞ/EYLEM PLANI STRATEJİK AMAÇ 1. KURUMSAL KAPASİTENİN GELİŞTİRİLMESİ AĞUSTOS EYLÜL EKİM HAZİRAN TEMMUZ. Performans Göstergeleri

PARDUS GÖÇ UZMANI VE FİRMA BELGELENDİRMELERİ. BİLİŞİM TEKNOLOJİLERİ TEST VE BELGELENDİRME DAİRESİ BAŞKANI Mariye Umay AKKAYA

Elektrik Altyapılarında Bilgi Güvenliği Riskleri ve Çözümler

ULUSAL Ġġ SAĞLIĞI VE GÜVENLĠĞĠ KONSEYĠ YÖNETMELĠĞĠ BĠRĠNCĠ BÖLÜM. Amaç, Kapsam, Dayanak ve Tanımlar. Amaç ve kapsam

Laboratuvar Akreditasyonu

ÜLKEMİZDE SİBER GÜVENLİK

Entegre Acil Durum Yönetimi Sistemine Giriş

HASTANE KALĠTE YÖNETĠM SĠSTEMLERĠNDE ISO 9001:2000 JCI AKREDĠTASYONU KARġILAġTIRMASI. Dr. Aylin Yaman Ankara Güven Hastanesi Kalite Yönetim Bölümü

Venatron Enterprise Security Services W: P: M:

ĠġYERĠ HEKĠMLERĠ ĠÇĠN YENĠ Ġġ SAĞLIĞI VE Ġġ GÜVENLĠĞĠ KANUNU EĞĠTĠM SEMĠNERLERĠ SEMĠNER 3

BS25999 İŞ SÜREKLİLİĞİ İĞİ YÖNETİM M SİSTEMİSTEMİ STANDARDI

FMEA. Hata Türleri ve Etkileri Analizi

İSG Yönetim Sistemi Prensipleri

T.C. Çalışma ve Sosyal Güvenlik Bakanlığı

7. İGY Zirve Ankara Ali Şahin Eğitim Satış Koordinatörü Yüksekte Çalışma ve Kurtarma Eğitmeni IOSH Tek./Irata L3/KKD Kontrolörü

Bilindiği üzere Bilgi Güvenliği Yönetim Sistemi, bilgi ve bilgi varlıklarının

KKTC MERKEZ BANKASI. BİLGİ GÜVENLİĞİ POLİTİKASI GENELGESİ (Genelge No: 2015/02) Mart-2015 BANKACILIK DÜZENLEME VE GÖZETİM MÜDÜRLÜĞÜ

FASIL 6: ŞİRKETLER HUKUKU

Sibergüvenlik Faaliyetleri

GÜVEN MENKUL DEĞERLER A. ġ.

Analiz ve Kıyaslama Sistemi

ANASÜREÇ BAZINDA RĠSK RAPORU

T.C. GAZİ ÜNİVERSİTESİ

T.C. ÇEVRE VE ORMAN BAKANLIĞI Ağaçlandırma ve Erozyon Kontrolu Genel Müdürlüğü Planlama Dairesi BaĢkanlığı SAYI : B.18.0.AGM.0.01.

Kurumsal Risk Yönetimi

Risk Değerlendirmesi ve Yönetimi

KURUMSAL RİSK YÖNETİMİ RİSK YÖNETİM MODELLERİ

BGYS ve BGYS Kurma Deneyimleri

ĠSYS KURULUMU ve KRĠTĠK BAġARI FAKTÖRLERĠ. Ali DĠNÇKAN,CISA, Tübitak UEKAE Tel:

GÜNEġĠN EN GÜZEL DOĞDUĞU ġehġrden, ADIYAMAN DAN MERHABALAR

Bilgi Güvenliği Farkındalık Eğitimi

KURUMSAL RİSK YÖNETİMİ (KRY) EĞİTİMİ KURUMSAL RİSK YÖNETİMİ: KAVRAMSAL VE TEORİK ÇERÇEVE

Sağlık Bilgi Teknolojileri ve Yazılım Süreç Yönetimi

RİSK YÖNETİMİ VE TEHDİT MODELLEME

e-dönüşüm Türkiye Projesi 2005 Eylem Planı İlerleme Raporu Sunuşu

PROSEDÜR MAKİNE GÜVENLİK MUAYENESİ. REVİZYON İZLEME TABLOSU Revizyon Revizyon Açıklaması Tarih

Transkript:

e-devlet KAPISI ve RĠSK DEĞERLENDĠRME METODOLOJĠSĠ Erhan KUMAŞ Türksat Uydu ve Kablo TV Operatörü İşletme A.Ş., Bilgi Teknolojileri Direktörlüğü Konya Yolu 40. Km. Gölbaşı/ANKARA ekumas@turksat.com.tr ÖZET : e-devlet Kapısı Projesi, Türkiye nin devlet hizmetlerinin modernizasyonunu ve vatandaģların bu hizmetlere kolay ve rahat ulaģabilecekleri bir platformun kurulmasının hedeflendiği ön yüzünde vatandaģın tek noktadan devlet hizmetlerine ulaģabileceği, arka yüzünde ise kurumların birbirleri iletiģim kurabilecekleri güvenli bir portal altyapısıdır. Bu noktada yönetilen bilginin güvenliği sağlanması, altyapı ile ilgili risklerin değerlendirilmesi ve yönetilmesi ile ilgili ulusal bir metodoloji ve yaklaģımın bulunmaması bu yazının önemine vurgu yapmaktadır. Yazılım projelerinin problemlerinin yanısıra ortaya konulan teorik yaklaģıma uygulama eklenerek geliģtirilmesi öngörülmektedir. ANAHTAR KELĠMELER: Bilgi Güvenliği, e- Devlet Kapısı, Risk Yönetimi SUBJECT OF PAPER E-Government And Evaluatıng Rısk Methodology ABSTRACT : e-government Project is a secure infrastructure with which modernization of Turkey is aimed. It is a platform where the citizens can easily reach the governmental services. At the same time public institutions can communicate with one another on the same platform. At this point, lacking a national methodology and an approach about maintaining the security of the information which is being conducted, evaluating and managing the risks of the substructure emphasizes the importance of this essay. It is foreseen that in addition to problematics of the software projects, the theoretical approach which is introduced should be developed with practice. KEYWORDS : Information Security, egovernment Gateway, Risk Management 1. GĠRĠġ Geçtiğimiz yarım asırda yaģanan sektörel değiģime belirli periyotlarda hızlı bir göz atacak olursak; 1960_1970 yılları arasında Üretim ve Maliyet Üstünlüğü, 1960-1980 yılları arasında Kalite Üstünlüğü, 1980-1990 yılları arasında Hız Üstünlüğü, 1990-2000 yılları arasında Hizmet Üstünlüğü ön plana çıkmaktadır. 1 Bu noktada bizim düģüncemizde 2000 li yıllarla beraber yaģanan hızlı teknolojik geliģmeler ve internetin yaygınlaģmasının bir sonucu olarak bilgi güvenliği, bilgi teknolojileri giderek önem kazanan bir konu haline gelmiģtir. ġekil 1 Bilgi teknolojileri ve bilgi güvenliği gerek kamu kurumlarının, gerekse özel sektörün önümüzdeki dönemde öncelik listesinde giderek artan bir öneme sahip olacağı bilgi güvenliği alanına gereken önemi vermeye baģlayacakları, ilgili önlemleri alma çabası içine girecekleri kuģkusuz görülmektedir. Ancak, bilgi teknolojileri ve bilgi güvenliğinin sadece teknolojik önlemlerle sağlanabileceği gibi genel bir yanılsamanın olduğu da gözlenmektedir.

ġekil 1: Yarım Asırlık Sektörel DeğiĢim Bu çalıģmada biliģim güvenliği çerçevesinde ele alınan risk analizi ve risk değerlendirme çalıģmalarının temel kavramları, en önemli bileģenleri ve e-devlet kapısı özelinde kısmi uygulamaları ele alınmaktadır. Konunun esas olarak çok boyutlu ve karmaģık bir süreç olmasından hareketle ve niģ bir alan olması sebebiyle gerek kamu kurumları, gerekse özel sektör temsilcileri bu konuda ortak paydada buluģmada zorlanmaktadırlar. 2. E-DEVLET KAPISI, BĠLGĠ GÜVENLĠĞĠ VE RĠSK YÖNETĠMĠ e-devlet, kamu hizmetlerinin vatandaģlara, iģletmelere, kamu kurumlarına ve diğer ülkelere bilgi ve iletiģim teknolojileri yardımı ile etkin ve verimli bir Ģekilde sunmaktır. e-devlet Kapısı Projesi, Türkiye nin devlet hizmetlerinin modernizasyonunu ve vatandaģların bu hizmetlere kolay ve rahat ulaģabilecekleri bir platformun kurulmasını amaçlamaktadır. Gerek vatandaģların ve iģletmelerin, gerekse kamu kurum ve kuruluģlarının aktif olarak kullanacağı bu platformun güvenli olması yadsınamaz bir gerçektir. Bu noktada e-devlet kapısı projesi teknik Ģartnamesi 2 çerçevesinde teknik ve teknolojik açıdan gerekli tedbirler alındığı gibi bir de idari açıdan bu konuda uluslararası arenada kabul görmüģ ve geçerliliği olan ISO/IEC 27001:2005 Bilgi Güvenliği Yönetim Sistemi 3 kurulumu çalıģmaları baģlatılmıģtır. Bahsi geçen standart incelendiğinde risk analizi çalıģmalarının standardın önemli bir kısmını tuttuğu görülmektedir. E-Devlet Kapısı nın güvenlik altyapısının kurulması ve iģletilmesi çalıģmaları çerçevesinde ortaya koyduğumuz ve kullandığımız metodoloji Tablo 1 deki gibidir. 7 Bu metodoloji içerisinde geçen iģ paketleri adım adım açıklanarak çalıģmamıza yön verilecektir. 3. E-DEVLET KAPISI RİSK DEĞERLENDİRME METODOLOJİSİ Bilgi ve iletiģim sistemlerine olan bireysel ve toplumsal bağımlılığımız ve sistemlerde meydana gelebilecek arıza ve saldırılara karģı duyarlılığımız arttıkça bu sistemlerde oluģabilecek arıza ve saldırılara karģı hassasiyetimiz de artmaktadır. Bilgi teknolojilerine ve bilgi ağlarına yönelik saldırılar ciddi miktarda para, zaman, prestij ve değerli bilgi kaybına neden olabilmektedir. Risk değerlendirme çalıģmaları içerisinde geniģ bir alanı tutan risk analizi; sistem kaynaklarını etkileyebilecek belirsiz olayların belirlenmesi, denetlenmesi, yok edilmesi ya da en aza indirgenmesini kapsayan süreç olarak tanımlandığı gibi, fayda-maliyet analizi, seçim, önceliklendirme, gerçekleģtirim, sınama, önlemlerin güvenlik değerlendirmesi gibi komple güvenlik gözden geçirmesini de içerebilmektedir. ġu ana kadar belirtilen süreçlerin bilgi güvenliği açısından değerlendirilmesinde fayda-maliyet analizi nin ġekil 2 de her çalıģmanın baģlangıcında olduğu gibi iģletmelerin veya kurumların bilgi güvenliği yatırımı na ayıracakları bütçe ile yapılacak çalıģmanın getirisinin önemi arasındaki ince çizgi vurgulanmaktadır. 4

ġekil 2: Güvenliğe/Korumasızlık Bütçe Dengesi Varlık Envanteri nin Çıkarılması: Sistemin bilgi varlıklarının tanımlanması adımına geçmeden önce yapılması gereken organizasyonun belirlenmesi, rol ve sorumluluk paylaģımı gibi kurumsal kimliğinizin yapıtaģlarının tanımlanmasıdır. Daha sonra ISO 27001:2005 ve ISO 17799:2005 standartları 5 çerçevesinde kurulacak bilgi güvenliği yönetim sistemi kapsamı belirlenmeli ve bu kapsama giren tüm bilgi varlıkları tanımlanmalı ve dokümante edilmelidir. Tehditlerin Tanımlanması: Burada yapılması gereken en önemli iģ; potansiyel tehdit kaynaklarının tespit edilerek ġekil 3 de bir tehdit listesi oluģturulmalıdır. Sisteme zarar vermesi muhtemel bu tehditler; Doğal Tehditler (Sel baskınları, Depremler v.s), Çevresel Tehditler (Binaya ait borulardan birinin patlaması ve sistem odasındaki bilgisayarlara zarar vermesi), Ġnsan Tehditleri (ÇalıĢan personel kasıtlı olarak sisteme zarar verebilir, kötü niyetli kiģiler sisteme zarar verebilir veya personel istemeden / bilmeden sisteme zarar verebilir) Ģeklinde sınıflandırılabilir. Tehdit Kaynağı Motivasyonu Nedir? Tehdit in Ortaya Çıkardığı Eylemler Hacker, Kaçık, Psikopat Teröristler Meydan Okuma, Kendini Ġspat Etme, Ġsyan Etme Yıkıcı ve bölücü eylem, Ġstismar etme, Ġntikam Alma bozulması ġekil 3: Tehdit Tanımlama Örnek Tablosu Sistemin hack lenmesi, Sisteme izinsiz girme, Bombalama, Bilgi Çalma, Sisteme Saldırma, Sistem ayarlarının Zayıflıkların Tanımlanması: Sistemde olası zayıflıkların tespit edilmesi ve bunun istismar edilerek potansiyel bir tehdit kaynağı olup olmama durumunun tanımlanması ile ilgili ġekil 4 deki gibi bir liste çıkarılmalıdır. Sistem zayıflıklarının tanımlanması esnasında asıl kaynağın bulunması için sistem güvenlik test performansları ve sistemin güvenlik gereksinimlerine ait bir kontrol listesinin bulunması gerekmektedir.

Zayıflıklar Tehdit Kaynağı Tehdit in Ortaya Çıkardığı Eylemler ĠĢten ayrılan personelin sistem ile ilgili iliģiğinin kesilmemesi ĠĢten Ayrılan personel ĠĢten ayrılan personelin sisteme ait önemli / patentli bilgileri çalması Sistemin kurulumundan sorumlu tedarikçilerin sisteme yeni yamalar yaparken güvenlik açıklarını bilmeleri Kontrol Analizleri: Yetkisizi kiģilerin eline geçmesi ġekil 4: Zayıflık Tanımlama Örnek Tablosu Yetkisiz giriģ yaparak hassas sistem dosyalarının çalınması Olasılıkların Belirlenmesi: Sistemin genel durumuna ait güvenlik kontrollerinin analizlerinin yapılıp yapılmadığını veya planlanıp planlanmadığını ve organizasyon ile ilgili tehditlerin olma olasılığının belirlendiği kısımdır. Olasılıklar belirlenirken; Tehdit kaynaklarının motivasyonlarının ve yeteneklerinin, sistemin doğal zayıflıklarının, mevcut kontrollerin etkinliğinin değerlendirilmesinin düģünülmesi gerekmektedir. Bununla ilgili ġekil 5 deki örnek çalıģma değerlendirilmektedir. Olasılık Tanımlama Olasılık Düzeyi Yüksek Orta DüĢük Olasılığın Tanımı Tehdit kaynağının motivasyonu ve yetenekleri oldukça kuvvetli ve kontrol altına alınması oldukça düģük bir tehdit. Tehdit kaynağının motivasyonu ve yetenekleri kuvvetli ancak kontrol altına alınması mümkün bir tehdit. Tehdit kaynağının motivasyonu ve yetenekleri yeterli olmayan veya önemsiz etkiye sahip ve kontrol altına alınması oldukça kolay olan bir tehdit. ġekil 5: Olasılık Tanımlama Örnek Tablosu Sonuç itibarıyla olasılıkların belirlenmesi veya tanımlanması ile hedeflenen; olasılık dereceleri ve etki analizi tablolarının oluģturulmasıdır. Etki Analizi: Önem / Etki Tablosu Etki Büyüklüğü/Önemi Etkinin Büyüklüğünün Tanımı Yüksek Sisteme ait maliyeti çok yüksek bir varlığın kaybedilmesi, Organizasyonun hayati öneme haiz bir görevini yapamaması, Ġnsanların ağır yaralanmasına veya ölümüne sebep olabilecek. Orta Sisteme ait maliyeti yüksek bir varlığın kaybedilmesi, Organizasyonda öneme haiz bir görevin yapılamaması, Ġnsanların ağır yaralanmasına sebep olabilecek. DüĢük Sisteme ait maliyeti ihmal edilebilir bir varlığın kaybedilmesi, Organizasyonun herhangi bir görevini yapamaması. ġekil 6: Önem / Etki Analizi Örnek Tablosu

Burada nitel veya nicel değerlendirmelerden hangisine karar verileceği önemli bir kıstastır. Her ikisinin de kendine göre avantaj ve dezavatajları bulunmaktadır. ġekil 6 da bu konuda örnek bir tablo oluģturulmuģtur. Nitel Etki Analizinin Avantajları; Risklerin önceliklendirilebilmesi, TanımlanmıĢ bölgelerdeki zayıflıklardaki geliģmelerin görülebilmesi. Nitel Etki Analizinin Dezavantajları; Spesifik ölçümler ve etkilerin büyüklükleri hakkında sayısal veriler sunamaz, Fayda-maliyet analizi yapılamaz. Nicel Etki Analizinin Avantajları; Etkilerin ölçülebilir büyüklükler vererek gösterir, Fayda-maliyet analizi bu verilere göre yapılabilir, tavsiye plan oluģturulabilir. Nicel Etki Analizinin Dezavantajları; Ölçümlemeler sayısal oranlara göre yapılmaktadır, dolayısıyla sayılarla çıkan sonuç insanları yanıltabilir. Risk Tanımlama: Kurulacak olan sistemin risk düzeyleri belirlenmekte, ölçülebilir risk düzeyleri matrisi ve risk skalası oluģturulur. Tablo xxx de gösterildiği gibi risk düzey matrisi içerisinde tehditlerin olasılığı ve bahsi geçen tehditin etkisinin ortaya konulması gerekmektedir. a) Risk Düzey Matrisi OluĢturma: ġekil 7 de detaylı bir tablo oluģturulmuģtur. Tehdit Olasılığı Tehdit Etkisi DüĢük (10) Orta (50) Yüksek (100) Yüksek (1.0) DüĢük (0.1 x 10 = 1) Orta Yüksek Orta (0.5) DüĢük Orta Orta DüĢük (0.1) DüĢük DüĢük DüĢük ġekil 7: Risk Düzey Matrisi Örnek Tablosu b) Risk skalası : o 50 < Yüksek < 100 o 10 < Orta < 50 o 1 < DüĢük < 10 olarak tanımlanabilir. c) Risk Düzeylerinin Tanımlaması: Risk Skalası Tanımlama Tablosu Risk Düzeyi Risk Tanımı Yüksek Tespit edilen risk yüksek ise; ölçümleme yapılabiliyorsa yapılır veya hemen yeni bir eylem planı hazırlanarak uygulamaya alınır. Orta Tespit edilen risk orta ise; Uygun bir periyod belirlenerek yeni bir plan oluģturulması beklenir. DüĢük Tespit edilen risk düģük ise; sistemde onay makamı bu durum için riskin kabul edilebilirliğine karar verir. ġekil 8: Risk Skalası Tanımlama Örnek Tablosu Bu bölümde beklenen; Risk Skalası Tanımlama Tablosunun oluģturulmasıdır.

4. SONUÇ Günümüz dünyasında kiģiler, kurumlar ve hatta ülkeler için özellikle parasal değeri olan veya menfaat sağlanabilecek her türlü kıymetli bilginin dost olmayan kiģi, kurum veya ülkelerin eline geçmesi son derece tehlikeli olabilmektedir. E-Devlet kapısı gibi sadece vatandaģların değil aynı zamanda tüm kamu kurum ve kuruluģlarının, iģletmelerin kullanacağı bir sitemin gerek altyapı, gerekse idari açıdan uluslararası geçerliliği olan model, metodoloji veya standartlara uygun olarak iģletilmesi gerekliliği görülmektedir. Sırf bu yasal olmayan müdahaleler için eğitilmiģ ve ayrılmıģ kaynakların bulunması ve kiģi veya kurumların planlarını ellerine geçirdikleri bu bilgileri üstünlük sağlayacak Ģekilde kullanabilmeleri ağ güvenliğinin ve sonuçta ortaya çıkan bilgi ve kiģisel hakların korunmasının, ne kadar önemli olduğunu ortaya koymak için yeterlidir. Bilgi ve iletiģim teknolojileri dünyasının yeni trendi olarak görülen; insan, teknoloji ve süreç üçlemesi sektörün göremediği noktalardan birisidir. Güvenli bilgisayar ortamlarının oluģturulması için eksiksiz bir teknoloji birikimi gerekir. Ancak teknoloji tek baģına bu ortamlardaki tehditlerin çözümü için yeterli olamaz. Ġyi tasarlanmıģ ürünler, oturmuģ ve etkili süreçler ve bilgili, iyi eğitimli operasyon ekipleri olmaksızın üst düzey güvenlik sistemleri ortaya koymak olası değildir. 5. TEġEKKÜR Bu çalıģmayı hazırlamama yardımcı olan Dr. Ahmet KAPLAN, Mustafa CANLI, Ömer KILIÇ ve tüm e- devlet kapısı projesi çalıģanlarına teģekkürlerimi sunarım. 6. KAYNAKLAR 1. Kavrakoğlu, Ġ., Toplam Kalite Yönetimi, Kalder Yayınları, Ġstanbul, 1996. 2. e-devlet Kapısı Projesi Teknik ġartnamesi. 3. Türk Standartları Enstitüsü, Bilgi Teknolojisi-Güvenlik Teknikleri-Bilgi Güvenliği Yönetim Sistemleri- Gereksinimler, TS ISO / IEC 27001, Mart 2006. 4. DURMUġ, G., Risk Analizi, gdurmus@yahoo.com, Gursoy.Durmus@tikle.com 5. Türk Standartları Enstitüsü, Bilgi Teknolojisi- Bilgi Güvenliği Yönetimi için Uygulama Prensibi, TS ISO / IEC 17799, 2000. 6. Türkiye BiliĢim Derneği, TBD Kamu-BĠB, BiliĢim Sistemleri Güvenliği El Kitabı Sürüm 1.0, Türkiye BiliĢim Derneği Yayınları, Mayıs 2006. 7. Stoneburner, G., Goguen, A., Feringa, A., Risk Management Guide For Information Technology Systems, NIST Special Publication 800-30, Computer Security Division Information Technology Laboratory Gaithersburg, MD 20899-8930, July 2002.

Girdiler RĠSK DEĞERLENDĠRME METODOLOJĠSĠ Risk Değerlendirme Aktiviteleri Çıktılar Donanım, Yazılım, Sistem Arayüzü, Veriler ve Bilgiler, Ġnsanlar, Sistemin Görevleri 1. Adım: Varlık Envanteri Sistem Sınırları, Sistemin Fonksiyonları, Kritik Datalar, Hassas Datalar 1. Adımda tanımlanan bilgi varlıklarına yönelik tehditlerin yazılması 2. Adım: Tehdit Tanımlama Tehditlerin ifade edilmesi Öncelikli risk değerlendirme raporu, Önceki tetkiklerin sonuç rapoları, Güvenlik gereksinimleri Güvenlik test sonuçları 3. Adım: Zayıflıkların Tanımlanması Potansiyel zayıflıkların listelenmesi Mevcut kontrol sonuçları, Planlanan kontrol sonuçları 4. Adım: Kontrol Analizleri Mevcut ve planlanan kontrollerin listelenmesi Tehditlerin Motivasyon kaynakları, Tehditlerin kapasitesi, Doğal zayıflıklar, Mevcut kontroller 5. Adım: Olasılıkların Belirlenmesi Olasılık düzeyleri tablosu Görevlerin etki analizi, Kritik varlıkların listesi, Kritik dataların listesi, Hassas dataların listesi 6. Adım: Etki Analizi Etki Düzeyleri Tablosu Tehditlerin olma olasılıkları tablosu, Etkilerin büyüklükleri, Mevcut ve planlanan kontrol tablosu 7. Adım: Risk Tanımlama Risk Düzeyleri Tablosu 8. Adım: Tavsiyelerin Kontrolü Kontrol edilen tavsiyerlere ait rapolamalar Tablo 1: e-devlet Kapısı Projesi Risk Değerlendirme Metodolojisi 9. Adım: Sonuç Dokümanı Risk Değerlendirme Raporu

2024 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim