YZM5604 Bilgi Güveliği Yöetimi 2 Kasım 2015 Dr. Orha Gökçöl http://akademik.bahcesehir.edu.tr/~gokcol/yzm5604 Bahçeşehir Üiversitesi, Fe Bilimleri Estitüsü Geçtiğimiz hafta q q q q q q q q Varlık Yöetimi Varlık değeri Varlık sııfladırma Varlıkları kullaımı Varlık sahipliği Telif hakları ve marka Erişim Kotrolü Deetleme Doğrulama Yetkiledirme Fiziksel ve çevresel güvelik SORUMLULUK!! (Taım lam a) (Doğr ulam a) (Yetkiledir m e) (VARLIK) Fiziksel ve Çevresel Güvelik Bilgi ve bilgi işleme olaaklarıı içere alaları korumak içi güvelik ölemleri (duvarlar gibi egeller, kart kotrollü giriş kapıları, görevli bulua resepsiyo masaları) alımalıdır. Veri taşıya ya da bilgi hizmetlerii destekleye iletişim ortamları ve araçları, kesilme ya da hasarlarda korumalıdır. 1
Physical Security/Fiziksel Güvelik Bazı fiziksel güvelik tehditleri ve souçları: q Servisleri kesilmesi q Hırsızlık q Fiziksel Hasar q Bilgileri izisiz yayılması q Sistem bütülüğüü kaybolması 4 Fiziksel Güvelik Tehditler pek çok farklı kategorilerde olabilmektedir: q Doğal/Çevresel tehditler (floods, fire) q Tedarik sistemi tehditleri (power outages, commuicatio iterruptios) q İsa kayaklı tehditler (patlamalar, kırgı çalışalar, doladırıcılar) q Politik kayaklı tehditler (grev, lokavt, sivil itaatsizlikler) 5 Fiziksel Güvelik Plalaması Kademeli (katmalı) bir savuma modeli öerilmektedir. Kurumu e dışıda başlayarak, varlığı buluduğu yere kadar uzaa çok katmalı bir yapı taımlaır. Kademeler: q Deterrece (Caydırma), q Delayig (Geciktirme), q Detectio (Saptama), q Assessmet (Değerledirme), q Respose (Karşılık verme) 2
Fiziksel güvelik plalaması İyi bir fiziksel güvelik plalaması aşağıdaki kouları adreslemelidir: q Kargaşa ve suça yöelik koruma -> CAYDIRMA (çitler, güvelik elemaları, uyarı işaretleri, vb.). q Hasarı azaltmak içi GECİKTİRME mekaizmaları kullama (kilitler, güvelik persoeli vb). q Kargaşa veya suçu SAPTANMASI (duma dedektörleri, hareket dedektörleri, kameralar vb.). q İhlalleri DEĞERLENDİRİLMESİ ve hasar seviyelerii belirlemesi. q Çeşitli prosedürleri takip ederek ihlallere KARŞILIK VERME (yagı södürme mekaizmaları, acil durum süreçleri ile ilgili hususlar vb). 7 Dahili Destek Sistemleri Elektrik kayağı ile ilgili problemler: q A cotiuous supply of electricity assures the availability of compay resources. q Data ceters should be o a differet power supply from the rest of the buildig q Redudat power supplies: two or more feeds comig from two or more electrical substatios 8 Dahili Destek Sistemleri Mevcut elektrik gücüü koruması: q UPS Systems Olie UPS systems Stadby UPS System q Power lie coditioers q Backup Sources 9 3
Dahili Destek Sistemleri Çevre ile ilgili sorular q Positive Drais (Kaçaklar) Su, gaz, buhar q Static Electricity q Temperature 10 Dahili Destek Sistemleri Statik Elektrik q Ölemler: Veri işleme alalarıda atistatik zemi Uygu em oraları Topraklama Veri işlem merkezleride halı kullaılmamalı Atistatik batlar 11 Dahili Destek Sistemleri q Sıcaklık Computig compoets ca be affected by temperature: Magetic Storage devices: 38 Deg. C Computer systems ad peripherals: 80 Deg. C. 12 4
Dahili Destek Sistemleri Havaladırma q Airbore materials ad particle cocetratio must be moitored for iappropriate levels. q Closed Loop - the air withi the buildig is reused after it has bee properly filtered, istead of brigig outside air i q Positive Pressurizatio : whe a employee opes a door, the air goes out ad outside area does ot come i. Positive pressurizatio ad vetilatio should be implemeted to cotrol cotamiatio 13 Dahili Destek Sistemleri Fire prevetio, detectio, suppressio Fire Prevetio: Icludes traiig employees o how to react, supplyig the right equipmet, eablig fire suppressio supply, proper storage of combustible elemets Fire Detectio: Icludes alarms, maual detectio pull boxes, automatic detectio respose systems with sesors, etc. Fire Suppressio: Is the use of a suppressio aget to put out a fire. 14 Çevresel Kotrol Savuma hattıı ilk kademesi çevresel kotroldür. Böylece, şirket içie yetkisiz erişimleri egellemeye çalışırız. Çevresel kotrolü bazı usurları: q Yaya ve araç trafiğii kotrolü q Çeşitli seviyelerde güvelik bölgeleri q Zorla içeri girme eylemlerie karşı tampo bölgeler ve geciktirme mekaizmaları q Giriş oktalarıı sayısıı azaltmak ve sürekli deetlemek/izlemek 15 5
Çevresel güvelik Koruma servisleri yie kademeli bir yapıda olmalıdır: q Erişim kotrol mekaizmaları q Fiziksel bariyerler q Sızmaları tespiti q Değerledirme q Karşılık verme q Çeşitli egelleyiciler mutlaka plalamalı 16 Fiziksel Güvelik Daha fazla bilgi içi: q All i Oe Book (Sho Harris, 2005) q Official (ISC)² Guide to the CISSP CBK ((ISC)², 2006) 17 RİSK YÖNETİMİ 6
Risk Yöetimi Varlık Yöetimii tamamlayıcısı BGYS İşletilmesi sırasıda varlıkları üzeride e gibi tehditler olduğuu belirlemiz gerekiyor Bu tehditleri öemlerie göre göre sıralamalıyız E öemli tehditleri berteraf etmek içi bazı aksiyolar uygulamalıyız ISO27001 Güvelikle ilgili sorular... BT Sistemleri Saldırıya Açık mı? Tehditler eler? Potasiyel riskler ve varlıklarımıza ola etkileri? AÇIKLIK, TEHDİT VE RİSK e alama gelmektedir? 7
Risk Kavramı Açıklık/Zaafiyet RİSK altıdaki varlık Tehdit (saldırga) Risk aalizi, hagi varlıkları potasiyel olarak risk altıda olduğu, ve e tür tehditler buluduğuu belirlemesi ve bu tehditleri ortaya çıkartabilecek e tür zaafiyetleri buluduğuu belirlemesi ile başlar. Bu, riski azaltmak içi uygulaabilecek tüm gerekli güvelik çözümlerii ortaya çıkartılabilmesi içi esastır. Risk Aalizi ve Risk Yöetimi RISK NEDİR? q Risk, tehlikeli bir durumu ya da bir tehditi gerçekleşmesi ihtimalidir. q Tehdit ve savuma mekaizmasıı zayıflığı tek tek ele alıdığıda tehlikeli değildir. q Acak, tehdit ve savuma zaafiyeti bir araya geldiğide risk oluşmaktadır (diğer bir değişle, tehlikeli bir durumu gerçekleşme ihtimali belirmektedir). Risk Nedir? Nede Öemli? Kayak:www.iyazikuraz.et Riskler kurumu hedeflerii gerçekleştirilmesii egelleyebilme olasılıkları ola her türlü durumdur. Riskler oluşma sıklıklarıa ve yaratacakları hasara göre ölçülmeli ve yöetilebilmelidir Etki bir iç deetim sistemii e öemli görevleride biri tüm riskleri tespit edilmesi ve miimize edilmesi içi uygu öeriler geliştirilmesidir. Risk yöetimi, her türlü riskleri taımlaması, ölçülmesi ve giderilmesii/makul seviyelere idirilmesii kapsaya bir sistematiktir. 8
Vulerabilities / Threat (Zaafiyet/Tehdit) Vulerabilities (Açıklık/Zaafiyet) q Zaafiyetler, varlıkları yerleşimi, orgaizasyou, prosedürleri, yöetimi, kullaıcıları, doaımı, yazılımı ya da içeriği ile ilişkiledirilebilec ek bir takım zayıflıklar soucu ortaya çıkar q Zaafiyetler, iş hedeflerie ya da BT sistemie zarar verebilecek bir tehdit soucuda başımıza dert olmaya başlar! (Tehdit olmada) açıklık tek başıa bir zarara yol açmayacaktır! Threat (Tehdit) ISO/IEC TR 13335 page 8, 8.3 Ifor m atio techology -- Secur ity techiques q Tehdit, sistemlerimizde, orgaizasyo um uzd a ve varlıklarda (maddi olarak) bizi kayba uğratacak istemeye bir olaya sebep olma potasiyelid ed ir. ISO/IEC TR 13335 page 6, 8.2 Ifor m atio techology -- Secur ity techiques Risk Risk, verile bir tehdidi açıklıkları (zafiyetleri) kullaarak bir varlık ya da bir grup varlık üzeride, dolayısıyla tüm işletmede maddi olarak ölçülebile bir kayba ya da hasara yol açma potasiyelidir.. Ref: ISO/IEC TR 13335, page 8 Ifor m atio techology -- Secur ity techiques Nitel Risk Değerledirme Verile bir grup varlık içi, aşağıdakileri taımlarız: q Zaafiyetlerimiz (Açıklıklarımız) q Tehditler q Tehdit olasılıkları (Düşük/Orta/Yüksek) q Etki (Düşük/Orta/Yüksek) q Karşı tedbirler (Riski azaltma) 9
Örek Threat Tehdit Etki Impact Iitial İlk Coutermeasure Tedbir Probability Olasılık Karşı Residual Kala Probability Olasılık Flood Sel HY DL Water Su alarms LD damage Hasarı Alarmı Theft Hırsızlık HY LD Key Kartlı cards, giriş, DL surveillace, izleme, guards güvelik Logical Sistemlere HY OM Itrusio Sızma DL itrusio sızma prevetio öleme system sistemleri Y: Yüksek; O: Orta; D: Düşük Nicel Risk Değerledirme Nitel değerledirmei biz uzatısı gibi düşüülebilir. Her bir risk içi metrikler: q Varlık Değeri: replacemet cost ad/or icome derived through the use of a asset q Maruz kalma faktörü (Exposure Factor) (EF): tehdit yüzüde varlık değerii % e kadarı kaybolur? (etki) q Tek Kayıp Bekletisi -Sigle Loss Expectacy- (SLE)=Varlık($)xEF (%) q Yıllık oluşma oraı (Aualized Rate of Occurrece (ARO)) Yıllık kayıp olasılığı, % q Yıllık kayıp bekletisi(aual Loss Expectacy) (ALE) = SLE x ARO Örek Bir dizüstü bilgisayar hırsızlığı, içideki veri şifrelemiş Varlık Değeri: $4,000 Maruz Kalma Faktörü (EF): %100 SLE = $4,000 x %100 = $4,000 ARO = Bir yıl içide %10 hırsızlık ihtimali var ALE = %10 x $4,000 = $400 10
Nicel Karşı tedbirler Hedef: ALE yi düşürmek (ya da itel kayıpları) Karşı tedbirleri etkisi: q Karşı tedbirleri maliyeti q Marus kalma faktörüdeki q Tek kayıp bekletisideki değişimler(ef) değişiklikler (SLE) Nasıl ele alıır? Varlık Varlık RİSK = Küpü hacmi RISK Tehdit Tehdit Savumasızlık/zaafiyet Temel Risk Zaafiyet Koruma tedbirleri uyguladıkta sora kala risk RİSK Riskler azaltılabilir, ya da yöetilebilir. Eğer çevremizi asıl gördüğümüz kousuda biliçli isek ve eğer mevcut tehlikelere karşı zaafiyetlerimizi biliyorsak, o zama tehlikeli durumları felakete döüşmemesi içi çeşitli ölemler alma şasımız olacaktır. İKİ AŞAMALI : 1) RİSKLERİ DEĞERLENDİRME 2) RİSKLERİ TEDAVİ ETME Kabul edilebilir seviyelere idirme 11
Risk Aalysis ad Risk Maagemet RISK YÖNETİMİ q Risk maagemet is the process that allows busiess maagers to balace operatioal ad ecoomic costs of protective measures ad achieve gais i missio capability by protectig busiess processes that support the busiess objectives or missio of the eterprise. Yei terimler Risk Aalizi: Herhagi bir varlığı C, I ve A sıı etkileyebilecek potasiyel riskleri ve açıklıkları tutarlı ve dikkatli bir şekilde değerledirilmesi. Risk aalizi temel kavramlar: Riski oluşması içi gereke üç temel etme : q Tehdit/Thread- ihai zararı sebebi q Hasar/Damage istemeye bir olayı soucu q Zaafiyet/Vulerab ilit y bir tehditi zarara yol açmasıı sağlaya istemeye bir sistem özelliği 12
Risk aalizi temel kavramlar: Örek, Bir yakesicii cebiizde cüzdaıızı çalması ihtimali aşağıdaki durumlar söz kousu olduğuda bir risk olarak değerledirilebilir: Tehdit - there ca be pickpockets i places where you are Hasar - you do ot wat to loose your wallet with its cotets Açıklık - you carry your wallet where a skilled pickpocket ca pick it i a crowd Risk Süreçleri Varlık(Asset) Neyi korumaya çalışıyorsuuz? Tehdit Ne olmasıda korkuyorsuuz? Açıklık Tehdit asıl ortaya çıkabilir? Riski hafifletme Halihazırda riski e düşürüyor? Etki İş süreçlerie (geel olarak işiize) ola etkisi e? Olasılık Mevcut koşullarda tehditi gerçekleşmesi olasılığı edir? Risk ifadesi (Riski ifade ede/taımlaya bir cümle) Orgaizasyolarda Risk Yöetimi Olguluk Düzeylerii Belirlemesi İşletmeleri risk yöetimi olguluk düzeylerii saptamada yardımcı olabilecek bazı dokümalar: Natioal Istitute of Stadards ad Techology (NIST) IT Goverace Istitute Iteratioal Stadards Orgaizatio (ISO) Security Self-Assessmet Guide for Iformatio Techology Systems (SP-800-26) Cotrol Objectives for Iformatio ad Related Techology (CobiT) ISO Code of Practice for Iformatio Security Maagemet (ISO 27001) 13
Roller ve Sorumlulukları Belirlemesi Yöetici Ne Öemlidir? Kabul edilebilir riskleri belirlemesi BG Grubu Riskleri dereceledirilmesi Riskleri değerledirilmesi Güvelik ihtiyaçlarıı taımlaması Güvelik çözümlerii ölçülmesi BT Grubu E iyi kotrol çözümü Güvelik çözümlerii plalaması ve oluşturulması Güvelik çözümlerii devreye alıması ve kotrol edilmesi Risk Aalizi Risk aalizi ile üç souç ortaya çıkar : q (1) tehditleri belirlemesi; q (2) bir tehditi oluşma olasılığı ve oluştuğuda yaratacağı etkiyi göz öüe alarak bir risk seviyesii belirlemesi, q (3) riski kabul edilebilir bir seviyeye idirecek kotrolleri ve güvelik çözümlerii taımlaması Risk; a)tehditi oluşma olasılığı ve b) o varlık ile ilgili ilgili iş sürecie etkisii bir foksiyoudur Risk aalizii 6 aşaması 1. Varlıkları taımlaması 2. (Her bir varlığa ola) tehditleri belirlemesi 3. Her bir tehditi ortaya çıkma olasılığıı belirlemesi 4. (Ortaya çıktığı durumda) Tehditi varlığımıza ola etkisii belirlemesi 5. Riski azaltmak içi alıabilecek ölemleri (kotroller) belirlemesi 6. Herşeyi dokümate edilmesi 14
Risk Değerledirme NIST Style NIST 15
Varlıkları Belirlemesi (System Characterizatio) The first step i the risk aalysis process is to defie the process, applicatio, system, or asset that is goig to have the risk aalysis performed upo it. The key here is to establish the boudaries of what is to be reviewed. If we are goig to maage risk aalysis as a project, the the asset defiitio must be looked upo as a scope statemet To gather relevat iformatio about the asset or process uder review, the risk maagemet team ca use a umber of techiques. These iclude questioaires, o-site iterviews, documetatio review, ad scaig tools DİKKAT!! Eğer Varlık Sııfladırması yaptıysaız, Sizi içi «e öemli» varlıklarıız hakkıda bilgi sahibisiiz! Varlıkları Belirlemesi /Varlık Tipleri Bilgi: databases ad data files, compay or system documetatio, cotracts, user mauals, traiig material, operatioal or support procedures, guidelies, documets cotaiig importat busiess results, cotiuity plas, or fallback arragemets. Varlıkları Belirlemesi /Varlık Tipleri Süreçler ve servisler: icludig busiess processes, applicatio specific activities, computig ad commuicatios services ad other techical services supportig the processig of iformatio (heatig, lightig, power, air-coditioig services) Yazılım: icludig applicatio software, system software, developmet tools ad utilities 16
Varlıkları Belirlemesi /Varlık Tipleri Fiziksel varlıklar: icludig computer ad commuicatios equipmet, media (paper, tapes, CDs ad disks), ad other techical equipmet (power supplies, air-coditioig uits), furiture ad accommodatio that are used to support the processig of iformatio İsa: icludig persoel, customers, subscribers, ad ay other perso withi the ISMS that is ivolved with storig or processig of iformatio. Tehditleri Belirlemesi We defie a threat as a udesirable evet that could impact the busiess objectives or missio of the busiess uit or eterprise. Some threats come from existig cotrols that were either implemeted icorrectly or have passed their usefuless ad ow provide a weakess to the system or platform that ca be exploited to circumvet the iteded behavior of the cotrol. This process is kow as exploitig a vulerability We will wat to create as complete a list of threats as possible. Typically, there are three major categories of threats : Risk Aalizi Tehditleri Belirlemesi Kurumuuza olabilecek tehditler elerdir? İsa Çevresel Doğal ØBilgisayar korsaları ØEski çalışalar ØDavetsiz misafirler (hırsız gibi) ØYagı ØVirüsler ØElektrik kesitileri /problemleri ØSel ØDeprem ØHortum 17
Risk Aalizi Geel bir bakış İsa Çevresel Doğal Tehdit motivasyou Tehditi kapasitesi Mevcut kotroller Hata/kusur Zayıflık Kotrol eksikliği Tehditleri belirlemesi To create a complete list of threats, there are a umber of differet methods that ca be used. These iclude q q q q developig checklists : if used improperly, a checklist will impact the free flow of ideas ad iformatio. So use them to esure that everythig gets covered or idetified, but do ot make them available at the begiig of the process (like braistormig!) examiig historical data : Research what types of evets have occurred as well as how ofte they have occurred. Oce you have the threat, it may be ecessary to determie the aual rate of occurrece (ARO). This data ca be obtaied from a umber of sources O-site Iterviews. Iterviews with IT system support ad maagemet persoel ca eable risk assessmet persoel to collect useful iformatio about the IT system Documet Review. Policy documets (e.g., legislative documetatio, directives), system documetatio (e.g., system user guide, system admiistrative maual, system desig ad requiremet documet, acquisitio documet), ad security-related documetatio (e.g., previous audit report, risk assessmet report, system test results, system security pla5, security policies) ca provide good iformatio about the security cotrols used by ad plaed for the IT system Bazı örek tehditler(from NIIT documet) 18
Örek : Açıklık-tehdit çiftleri (ISO27001) de listelee bazı tehdit kayakları disclosure of iformatio disclosure of passwords disruptio to busiess processes dust earthquake eavesdroppig evirometal cotamiatio (ad other forms of atural or ma-made disasters) equipmet failure errors failure of commuicatios services failure of supportig utilities (such as electricity, water supply, sewage, heatig, vetilatio, ad air coditioig) (ISO27001) de listelee bazı tehdit kayakları falsificatio of records (sahte doküma/kayıt oluşturma) fire (yagı) floodig (sel) fraud (sahtekarlık) hardware failure (doaım hatası) hurricae (kasırga) itroductio of uauthorized or utested code illegal import/export of software illegal use of software idustrial actio (e.g. idustrial espioage) iformatio leakage (bilgi sızdırma) iformatio security icidets (BG ihlal olayları) 19
A List of Threats Derived from ISMS iterceptio (alıkoyma/durdurma) iterferece (karıştırma/egelleme) iterruptio to busiess activities ad processes lightig (şimşek/yıldırım) loss of itegrity loss of records loss of service maiteace error malfuctios of supportig utilities malicious code (kötü iyetli program) masqueradig of user idetity (kullaıcı adı gizleme) misuse of audit tools misuse of iformatio processig facilities A List of Threats Derived from ISMS misuse of resources or assets etwork access by uauthorized persos operatioal support staff error power fluctuatio security failure software failure system failure system misuse (accidetal or deliberate) theft uauthorized access uauthorized access to audit logs A List of Threats Derived from ISMS uauthorized modificatio of audit logs uauthorized or uitetioal modificatio uauthorized physical access uauthorized use of IPR material uauthorized use of software uavailability usuccessful chages 20
A List of Threats Derived from ISMS use of etwork facilities i a uauthorized way use of software by uauthorized users use of software i a uauthorized way user error vadalism violatio of itellectual property rights wilful damage Vulerabilities related to huma resources security - example Threat Vulerabilities related to physical ad evirometal security Threat 21
Vulerabilities related to commuicatios ad operatios maagemet Threat Vulerabilities related to Access Cotrol Threat Vulerabilities related to systems acquisitio, developmet ad maiteace Threat 22
Tehditi oluşma olasılığıı belirlemesi Oce a list of threats has bee fialized, it is ecessary to determie how likely that threat is to occur. The risk maagemet team will wat to derive a overall likelihood that idicates the probability that a potetial threat may be exercised agaist the risk aalysis asset uder review. It will be ecessary to establish defiitios o probability ad a umber of other key terms Risk Aalizi Olasılıkları belirlemesi Tehditi oluşma olasılığıı edir? Tehdit Motivasyou Tehditi Kapasitesi Mevcut Kotroller Risk Aalizi Etkileri Değerledirilmesi Eğer Tehdit Ortaya Çıkarsa, Buu İşletmeize Etkisi Ne Olacaktır? Will Your Orgaizatio Be Kocked Out? 23
Tehditi Etkisii Belirlemesi Bir tehditi ortaya çıkma olasılığıı belirledikte sora, ilgili tehditi orgaizasyoa ola etkisii belirlemek gerekmektedir. Etki değerii belirlemede öce, risk aalizi kapsamıı doğru taımlaması gerekir. Risk aalizii yapacak takım, varlığı erelerde kullaıldığı, hagi süreçleri parçası olduğu ve geel olarak o varlığı orgaizasyoda yer alma amaçlarıı alamalı ve orgaizasyou geel misyo, vizyo ve hedeflerie katkısıı bilmelidir. Risk değerii belirlerke (olasılık ve etki), ortak kullaılabilecek bir çerçeveye (framework) ihtiyaç vardır. Öreği, mevcut kotroller souçları asıl etkiler? Tehditi Etkisii Belirlemesi Tipik yaklaşımda, tehditler saki hiçbir kotrol (=ölem!) yokmuş gibi değerledirilir. Bu, risk aalizi yapa takıma, belli bir «temel risk seviyesi» elde etme şası verir. Olasılık ve etki bir arada düşüülerek, her bir tehdit içi bir risk seviyesi belirlemelidir. Bu yapıldıkta sora, riski azaltacak aksiyoları eler olması gerektiği tartışılabilir. Riski asıl ifade ederiz? Tehditi oluşma olasılığı Tehditi eğer oluşursaişletmeye etkisi RİSK DEĞERİ!!! 24
Tehditi Etkisii Belirlemesi (NIST Yaklaşımı) Tehditi Etkisii Belirlemesi 25
Risk hesaplama başka bir yaklaşım Bu yaklaşımda, risk değerleri 1..8 ile dereceledirilerek gösterilir Risk değerledirme raporu Bölü m Kat eg ori. Varlıklar # Teh d it ler Açıklıklar Risk d eğ eri S eçile ko troller R& D Dept Service File server (widows 2000 server) 1 Malicious software, Misuse, Huma errors, uauthorized assess,.. system vulerabilities 5 A.9.2.4 A.10.1.1~A.10.1.4 A.10.4.1~A.10.4.2 A.11.x.x Riskleri belirle: a. Assets / Threats / Vulerabilities b. Impact Riskleri değerled ir: a. Estimate the levels Riskleri tedavi et a. Reduce risks by applyig appropriate cotrols b. Trasfer risks c. Avoid risks d. Accept risks Risk Aalizi Yüksek (3) 7 8 9 Kabul Edilemez Riskler ETKİ Orta (2) Düşük (1) 1 4 5 Kabul 6 Edilebilir Risk Sıırı Kabul edilebilir Riskler Miimal Risk 2 3 Sıırı Miima l Risk Sıırı Düşük (1) Orta (2) OLASILIK Yüksek (3) www.iyazikuraz.et 26
Öerile Kotroller After assigig the risk level, the team will idetify cotrols or safeguards that could possibly elimiate the risk or at least reduce the risk to a acceptable level. Remember that oe of the goals of risk aalysis is to documet the orgaizatio s due diligece whe makig busiess decisios. Therefore, it is importat to idetify as may cotrols ad safeguards as possible. By doig this the team will be able to documet all the optios that were cosidered Öerile Kotroller The are a umber of factors that eed to be cosidered whe recommedig cotrols ad alterative solutios. For example, how effective is the recommeded cotrol? Oe way to determie the relative effectiveess is to perform the risk level process (probability ad impact) to the threat with the cotrol i place. If the risk level is ot reduced to a acceptable poit, the the team may wat to examie aother optio. There may also be legal ad regulatory requiremets to implemet specific cotrols. With so may ew ad expadig requiremets madated by govermet agecies, cotrollig boards, ad laws, it will be ecessary for the risk maagemet team to be curret o these requiremets. Öerile Kotroller Whe selectig ay type of cotrol, it will be ecessary to measure the operatioal impact o the orgaizatio. Every cotrol will have a impact. It could be the expediture for the cotrol itself.it could be the impact of productivity ad tur-aroud time.eve if the cotrol is a ew procedure, the effect o the employees must be reviewed & used i the determiatio o whether to implemet or ot. A fial cosideratio is the safety ad reliability of the cotrol or safeguard. Does the cotrol have a track record that demostrates that it will allow the orgaizatio to operate i a safe ad secure mode? The overall safety of the orgaizatio s itellectual property is at stake. The last thig that the risk maagemet team wats to do is implemet a cotrol that puts the eterprise at a greater risk To be effective, the risk aalysis process should be applied across the etire orgaizatio. That is, all of the elemets ad methodology that make up the risk aalysis process should be stadard ad all busiess uits traied i its use. The output from the risk aalysis will lead the orgaizatio to idetify cotrols that should reduce the level of threat occurrece 27
ÖRNEK Dokümatasyo Oce the risk aalysis is complete, the results should be documeted i a stadard format ad a report issued to the asset ower. This report will help seior maagemet, the busiess ower, make decisios o policy, procedures, budget, ad systems ad maagemet chages. The risk aalysis report should be preseted i a systematic ad aalytical maer that assesses risk so that seior maagemet will uderstad the risks ad allocate resources to reduce the risk to a acceptable level Risk Aalizi Süreci Kapsam Belirle/ Varlıklar Tehditleri Belirlemesi Açıklıkları Değerledirilmesi Risk değerii belirlemesi / Ortaya çıkma olasılığı Tehdit etkisii ve riski Saptaması Öerile Kotroller Herşeyi dokümate et! 28
Risk Mitigatio /Riski Azaltma Metodolojileri Risk mitigatio is a systematic methodology used by seior maagemet to reduce orgaizatioal risk. The process of risk mitigatio ca beachieved through a umber of differet methods. We will take a few miutes ad discuss the six most commo methods of risk mitigatio Risk Maagemet Risk Mitigatio Plala ØBir uygulama plaı hazırla Devreye Al Test et & Doğrula ØKotrolleri etkiliğide emi ol Artık riski belirle ØTrasfer, ØReddet/Reject, ØAzalt/Reduce, ØKabul et Risk Maagemet Risk Mitigatio 29
Risk Yöetimi Süreci Risk Azaltma Sorumlulukları Belirle Uygulama Plaı Geliştir Kotrolleri Devreye Al Test Et ve Doğrula Artık Riski Belirle Kotrol Kategorileri I the iformatio security architecture there are four layers of cotrols. These layers begi with Avoidace, the Assurace, the Detectio, ad fially Recovery. Or you ca create a set of cotrols that map to the eterprise, such as Operatios, Applicatios, Systems, Security, etc. Mappig to some stadard such as ISO 27001 is aother optio. Whe idetifyig possible cotrols, it could be beeficial to categorize cotrols ito logical groupigs. Risk Yöetimi Güvelik Kotrolleri Kotrol Tipleri Yöetimsel Kotroller ØPolitika ve Prosedürler ØYaptırımlar Fiziksel Kotroller ØSecurity Guards ØLocks ØProximity Card Readers Tekik Kotroller ØFirewalls ØIDS (Itrusio Detectio Systems) ØEcryptio Ad Decryptio 30
Risk Maagemet Security Cotrols Types of Cotrols Firewalls, Locks ad Security Cameras Are Prevetative Cotrols Itrusio Detectio Systems Ad System Auditig Are Detective Cotrols Fayda-Maliyet Aalizi To allocate resources ad implemet cost-effective cotrols, orgaizatios, after idetifyig all possible cotrols ad evaluatig their feasibility ad effectiveess, should coduct a cost/beefit aalysis. This process should be coducted for each ew or ehaced cotrol to determie if the cotrol recommeded is appropriate for the orgaizatio. A cost/beefit aalysis should determie the impact of implemetig the ew or ehaced cotrol ad the determie the impact of ot implemetig the cotrol Fayda-Maliyet Aalizi Whe performig a cost/beefit aalysis, it is ecessary to cosider the cost of implemetatio based o some of the followig: q Costs of implemetatio, icludig iitial outlay for hardware ad software q Reductio i operatioal effectiveess q Implemetatio of additioal policies ad procedures to support the ew cotrols 31
Risk Maagemet Security Cotrols Fayda-Maliyet Aalizi Impact Of Risk Outweighs Cost Of Cotrol $20,000 to protect $10,000 worth of data or assets???? Cosider All Costs Such As: Ø Ø Ø Ø Ø Ø Product Implemetatio Testig Maiteace Traiig Support Risk Maagemet Security Cotrols Öcelikledirme ve Kotrol Seçimi Determie Risks With Greatest Impact Ad/Or Highest Likelihood Of Occurrece Rak Ad Preset To Maagemet For Implemetatio Risk Maagemet Process Security Cotrol Idetify Security Cotrols Aalyze Cost/Beefit Prioritize Cotrols Select Cotrols 32
AMAÇ: Busiess Cotiuity Plaig / İş Sürekliliği Plalama (İSP) Herhagi bir olumsuz koşul içie girildiğide kritik iş foksiyolarıı asıl sürdürüleceğii plalamak İş Sürekliliği Plalama - 33
İş Sürekliliği Plalama Politikası İş Sürekliliği Plalama Politikası İSP Kapsamı: Herhagi bir olumsuzluk veri işleme kabiliyetii ortada kaldırdığıda ya da ciddi olarak sekteye uğrattığıda kritik iş süreçlerii devamıı sağlaması Spesifik bazı aksiyolar içi Hazırlık, test etme ve bakım yapılması ve böylece ormal veri işleme yeteeğii geri kazaılması 34
Felaketler : Doğal ve isa kayaklı Yagı, sel, kasırga, hortum, deprem, volkalar Uçak kazaları, saldırı, terörizm, ayaklama, sabotaj, persoel kaybı vb. Normal veri işleme kabiliyetii ciddi biçimde azalta ya da yok ede herhagi birşey Felaketler (Olağaüstü durum), iş çerçeveside taımlaır: Eğer kritik iş süreçlerie zarar veriyorsa bu bir felaket olarak değerledirilebilir. Zamaa bağlı taım işletme böyle bir derde e kadar uzu süre dayaabilir? Gözlem olasılığı Daha Geiş bir perspektifte İSP hedefleri - CIA Availability the mai focus Cofidetiality still importat Itegrity still importat 35
İSP hedefi Aşağıdaki işleri yapacak bir plaı oluşturulması, dökümate edilmesi, test edilmesi ve gücellemesi aa hedeftir: Kritik iş operasyolarıı uygu bir zama dilimide kurtarılmasıa izi vermek Kayıpları e aza idirmek Yasal ve mevzuatla ilgili gereksiimlere uymak İSP Kapsamı Eskide sadece veri işlemleri ile ilgiliydi (Bilgi İşlem Merkezi) Güümüzde ise : Dağıtık sistemler Persoel, ağ, elektrik gücü IT ortamıı bütü kouları İSP Oluşturulması sürekli bir işlem. Başlayıp bite bir proje olarak görülmemesi gerekir Creatig, testig, maitaiig, ad updatig Critical busiess fuctios may evolve The BCP team must iclude both busiess ad IT persoel Requires the support of seior maagemet 36
5 temel İSP fazı Proje Yöetimi & başlagıç İş Etki Aalizi - Busiess Impact Aalysis (BIA) Kurtarma stratejileri - Recovery strategies Pla, tasarım ve geliştirme - Pla desig & developmet Test, bakım, farkıdalık ve eğitim - Testig, maiteace, awareess, traiig I - Project maagemet & iitiatio İhtiyacı belirlemesi (risk aalysis) Get maagemet support Takım Oluşturma (fuctioal, techical, BCC Busiess Cotiuity Coordiator) Create work pla (scope, goals, methods, timelie) Iitial report to maagemet Obtai maagemet approval to proceed II - Busiess Impact Aalysis (BIA) İş Etki Aalizi Goal: obtai formal agreemet with seior maagemet o the MTD for each time-critical busiess resource MTD maximum tolerable dowtime, also kow as MAO (Maximum Allowable Outage) 37
II - Busiess Impact Aalysis (BIA) Quatifies loss due to busiess outage (fiacial, extra cost of recovery, embarrassmet) Does ot estimate the probability of kids of icidets, oly quatifies the cosequeces II - BIA phases Choose iformatio gatherig methods (surveys, iterviews, software tools) Select iterviewees Customize questioaire Aalyze iformatio Idetify time-critical busiess fuctios 38