ISO/IEC 27005 Bilgi Güvenliği Risk Yönetimi Eğitimi

ISO/IEC 27005:2011
Bilgi Güvenliği Risk Yönetimi
Eğitimi

© Tüm hakları BTYÖN’e aittir. İzinsiz kopyalanamaz veya çoğaltılamaz.
Tanışma
 İsminiz
 Firmanız
 Firmanızdaki göreviniz
 ISO 27000 ailesine aşinalığınız
 Bilgi güvenliği veya risk yönetimi tecrübeniz
 Eğitimden beklentileriniz
2

Genel Kurallar
 Acil durum çıkışları
 Eğitim başlangıç ve bitişi
 Kahve araları
 Öğlen arası
 Cep telefonu kullanımı
 Sorular
3

© Tüm hakları BTYÖN’e aittir. İzinsiz kopyalanamaz veya çoğaltılamaz. 4
 Temel kavramlar ve bilgi güvenliğinde risk yönetimine giriş
 ISO IEC 27000 ailesi
 Bağlam Oluşturma
 Bilgi güvenliği risk değerlendirmesi
 Bilgi güvenliği risk işleme
 Bilgi güvenliği risk kabulü
 Bilgi güvenliği risk haberleşmesi
 Bilgi güvenliği risk izleme ve gözden geçirme
 Uygulama örnekleri
Gündem

 Bilgi
 Bilgi Güvenliği
 Bilgi Güvenliği Yönetim Sistemi
 Risk
 Varlık
 Açıklık
 Tehdit
 Kontrol
 Risk Yönetimi
5
Temel Kavramlar

 Bilgi:
İşlenmiş veri kümesi
Bilgi diğer bütün kurumsal varlıklar gibi organizasyon için değeri
olan ve aralıksız olarak uygun bir şekilde korunması gereken soyut
bir varlıktır.
 Bilgi Güvenliği:
İş devamlılığının sağlanması, iş zararlarının asgariye
indirilebilmesi, yatırımların ve iş imkanlarının getirisinin
arttırılması için geniş bir tehdit kümesine karşı bilginin
korunmasıdır. Bilginin gizlilik bütünlük ve erişilebilirliğinin
korunmasıdır.
Temel Kavramlar

 Bilgi Güvenliği Yönetim Sistemi (BGYS):
Belirli bir kapsam dahilinde yaratılan, işlenen, taşınan, imha
edilen çok değişik formlardaki bilginin güvenliği için geliştirilmiş
dokümante bir yönetim sistemidir.
Temel Kavramlar

Temel Kavramlar
Risk: Kayıp beklentisidir
Risk = f(Etki, Olasılık)
Risk = f(Varlık, Açıklık, Tehdit)
Açıklık: Varlıklarda bulunan kusurlardır.
Tehdit: Varlıklardaki açıklıkları
kullanarak zarar veren etkenlerdir.
Karşı Önlem: Riski azaltmak amacıyla
alınan tedbirler.
Varlığın değerini düşürücü
Açıklığın derecesini düşürücü
Tehdidin etkisini/olma ihtimalini
düşürücü
8

Varlık: İşletme bünyesinde geliştirilen iş uygulama yazılımı veri
tabanı
Açıklık:İş uygulama yazılımında girdi denetimi yapılmaması
Tehdit: Veri tabanından bilgi çalınması
Aktör: Kötü niyetli saldırgan (hacker)
Tehdit arayüzü: intranet
Risk: «İş uygulama yazılımında girdi denetimi yapılmaması»
sebebi ile «bir saldırganın» «işletme bünyesinde geliştirilen iş
uygulama yazılımı veri tabanı» ndan «bilgi çalması»
9
Temel Kavramlara Birer Örnek

Konsept
 Bilinmeyen Uzay: Hiçbir şey
tahmin edilemez, ne zaman ve ne
gerçekleşeceğine dair öngörü
yoktur.
 Belirsiz Uzay: Gerçekleşebilecek
olaylar bilinir veya tahmin
edilebilir ancak ne zaman
gerçekleşeceği tahmin edilemez.
 Risk Uzayı: Muhtemel olaylar ve
bunların gerçekleşme olasılıkları
bilinir.
 Güvenli Uzay: Kabul edilebilir
seviyenin ötesindeki tüm riskler
uygun karşı önlemler alınarak
elimine edilmiştir.
10
Bilinmeyen Uzay
Belirsiz Uzay
Risk Uzayı
Güvenli Uzay

Maksimum Risk
?
Sıfır risk
%100 güvenlik
Sıfır risk
%100 güvenlik
Maksimum Risk
?
 Maksimum RiskSıfır risk
%100 güvenlik
Risk ile yaşayabilmek = Risk Yönetimi


Neden Risk Yönetimi?

•Riskin sürekli monitor edilmesi ve
gözden geçirilmesi
•Bilgi Güvenliği Yönetim sürecinin
devamlılığının sağlanması ve
iyileştirilmesi
•Risk İşleme planının
implementasyonu
•Politikanın Belirlenmesi
•Risk Değerlendirmesi
•Risk İşleme planının geliştirilmesi
•Risk kabulü
PLANLA UYGULA
KONTROL
ET
ÖNLEM
AL
BGYS ve Bilgi Güvenliği Risk Yönetimi
Sürecinin Beraber Çalışması

 ISO 27000 (International Organization for Standardization)
serisi güvenlik standartları;
Kullanıcının bilinçlendirilmesi
Güvenlik risklerinin azaltılması
Güvenlik açıklıkları karşı alınacak önlemleri,
belirlemeye yarayan bir referans modelidir.
 ISO/IEC 27000:2009 - Genel Bilgiler ve Tanımlar
 ISO/IEC 27001:2013 - Gereksinimler
 ISO/IEC 27002:2013 - Uygulama Kuralları Rehberi
 ISO/IEC 27003:2010 - Uygulama Rehberi
13
ISO IEC 27000 Ailesi

 ISO/IEC 27004:2009 - Ölçütler
 ISO/IEC 27005:2011 - Risk Yönetimi
 ISO/IEC 27006:2007 - Sertifikasyon Gereksinimleri
 ISO/IEC 27007:2011 - Denetim Rehberi
 ISO/IEC 27011:2008 - Telekomünikasyon Kuruluşları
için Rehber
 ISO/IEC 27799:2008 - Sağlık Kuruluşları için Rehber
14
ISO IEC 27000 Ailesi

 ISO/IEC 27005 uluslararası standardı, dokümante
edilmiş bir bilgi güvenliği yönetim sisteminin bilgi
güvenliği risk yönetimi ile ilgili gerekli kurulum,
işletme, izleme, gözden geçirme ve geliştirip
iyileştirme faaliyetlerini kapsar.
 Bu uluslararası standart, ISO/IEC 27001 in genel
içeriğini desteklemek ve başarı ile gerçeklenmesine
katkı sağlamak için tasarlanmıştır.
15
ISO/IEC 27005 Nedir?

GİRDİ Aktiviteyi uygulamak için gerekli bilgileri tanımlar
Aktiviteyi tanımlar
Aktivitenin uygulanmasından sonra çıkan hertürlü bilgiyi verir
Aksiyonu uygulamak için rehber sağlar
AKSİYON
İMPLEMENTASYON
REHBERİ
ÇIKTI
ISO/IEC 27005 Standart Yapısı

BAĞLAM OLUŞTURMA
RİSK TESPİTİ
RİSK TAHMİNİ
RİSK DEĞERLEME
RİSK İŞLEME
RİSK KABULU
RİSKİLETİŞİMİ
RİSKİNİZLENMESİGÖZDENGEÇİRİLMESİ
EVET
EVET
HAYIR
HAYIRİyileştirme memun
edici mi
Değerlendirme memun
edici mi
Bilgi Güvenliği Risk Yönetim Süreci

BAĞLAM OLUŞTURMA
 MADDE 7

 Kriterlerin belirlenmesi
 Kapsam ve sınırların belirlenmesi
 Bilgi güvenliği risk yönetimi organizasyonel
yapısının belirlenmesi
CxO
B. C. D.
A.
Dış Org.
İç Müşteri
Kapsam
Dahili
Bağlam (Context) oluşturma

Risk Değerlendirme
Kriteri
• İş bilgi akışının stratejik
değeri
• Dahil olan bilgi
varlıklarının kritikliği
• Yasal ve düzenleyici
şartlar ve sözleşme
zorunlulukları
• Gizlilik, bütünlük ve
erişilebilirliğin
operasyonel ve iş
önemi
• Paydaşların kabul ve
anlayışı
Etki Kriteri
• Etkilenen bilgi
varlığının sınıf seviyesi
• Bilgi güvenliğinin ihlali
• Hasar görmüş
operasyonlar (iç veya
3.parti)
• İş ve finansal kayıp
• Planların kesintisi
• Repütasyonun
zedelenmesi
• Yasal, regülasyon veya
sözleşmelerin ihlali
Risk Kabul Kriteri
• İş kriteri
• Yasalar ve regülasyon
• Operasyonel
• Teknolojik
• Finans
• Sosyal ve İnsani
faktörler
Temel Kriterler

Bilgi Güvenliği Risk Yönetiminin kapsam ve sınırları,
ISO/IEC 27001 de tanımlanan BGYS’nin kapsam ve
sınırları ile ilişki içerisindedir
Bilgi Güvenliği Risk Yönetimi Sürecinin Kapsamı, ilgili TÜM
varlıkları gözetecek şekilde tanımlanmalıdır.
Organizasyon, kapsam dışı kalan varlıklar için gerekçe
göstermelidir.
Kapsam ve Sınırlar

 Organizasyonun stratejik iş hedefleri ve politikası
 İş süreçleri
 Organizasyonun fonksiyonu ve yapısı
 Organizasyona uygulanabilir yasal, regülasyon ve sözleşme zorunlulukları
 Organizasyonun bilgi güvenliği politikası
 Risk yönetimine organizasyonun genel bakış açısı
 Bilgi varlıkları
 Organizasyonun lokasyonu ve coğrafi karakteristiği
 Organizasyonu etkileyen kısıtlar
 Paydaşların beklentileri
 Sosyo kültürel çevre
Kapsam ve Sınırları Belirleyen
Faktörler

 Organizasyona uygun bilgi güvenliği risk yönetimi sürecinin
geliştirilmesi
 Paydaşların tespiti ve analizi
 İç ve dış tüm partilerin görev ve sorumlulukların
tanımlanması
 Organizasyonlar ve paydaşlar arasında gerekli ilişkilerin ve
diğer proje ve aktiviteler için gerekli arayüzlerin kurulması
 Karar verme ve eskalasyon yolunun tanımlanması
 Saklanacak kayıtların belirtilmesi
BGRY Organizasyonun Temel Görev
ve Sorumlulukları

RİSK DEĞERLENDİRMESİ
 MADDE 8

 Genel tanımlar, sürecin girdileri, aksiyonları ve
uygulama ipuçları
 Risk analizi
 Risk tanımlama metodolojisi
 Risk tahmini
 Risk değerlemesi (Risk evaluation)
25
Bilgi Güvenliği Risk Değerlendirmesi

RİSK
TEHDİT
AÇIKLIK
VARLIK
RİSK = f(VARLIK, AÇIKLIK, TEHDİT)
Risk?

RİSK DEĞERLENDİRMESİ RİSK İŞLEME
Risk Yönetimi Döngüsü

RİSK TESPİTİ
RİSK TAHMİNİ
RİSK DEĞERLEME
RİSK ANALİZİ
RİSK DEĞERLENDİRMESİ
Risk Değerlendirmesi

.
•Varlıkların Tespiti
.
•Tehditlerin Tespiti
.
•Açıklıkların Tespiti
Risk Tespiti

 Varlık, organizasyon için değer taşıyan ve bu nedenle
korunması gereken her şeydir.
Bilgi Sistemleri, sadece donanım ve yazılım değildir!
Varlık Tanımı

Risk değerlendirmenin üzerinde anlaşılmış kapsam ve sınırları
Bileşenler ve sahiplerinin listesi:lokasyon, fonksiyon vb içermelidir
Kapsam dahilindeki varlıkları tanımla
Risk yönetimine giren varlıkların listesi
Varlıklara ilişkin iş süreçlerinin listesi
Girdiler
Aksiyon
Çıktılar
Varlıkların Tespiti

*Varlık sahibi, sorumluluk ve/veya mesuliyet ile yükümlü kimse varlığın değerini en iyi tayin
edecek kişidir
Birincil Varlıklar
• İş Süreçleri & Aktiviteleri
• Bilgi
Destekleyici Varlıklar
• Donanım
• Yazılım
• Network
• Personel
• Saha
• Organizasyon yapısı

1. Seviye
taşıyıcılar
(ayniyat
listeleri)
2. Seviye
taşıyıcılar
(uygulamalar)
BİLGİ
1. Seviye
taşıyıcılar
(ayniyat
listeleri)
2. Seviye
taşıyıcılar
(uygulamalar)
BİLGİ

Olay gözden geçirme, varlık sahipleri ve kullanıcılar, diğer kaynaklar ve
dış tehdit kataloglarından elde edilen tehdit bilgileri
Tehdit ve kaynaklarını tanımla
Tipi ve kaynakları tanımlanmış tehdit listeleri
Girdiler
Aksiyon
Çıktılar

Tip Tehdit Kaynak
Fiziksel Hasar
Yangın Kasıtlı, Kazara , Çevresel
Su basması Kasıtlı, Kazara , Çevresel
Doğa Olayları
Volkan patlaması Çevresel
Meteorolojik olaylar Çevresel
Temel servis kesintileri
Enerji kesintisi Kasıtlı, Kazara , Çevresel
Havalandırma hataları Kasıtlı, Kazara , Çevresel
Yetkisiz Aksiyonlar
Hileli yazılım yüklenmesi Kasıtlı
Ekipmanın yetkisiz kullanımı Kasıtlı, Kazara

İPUCU
Tehditleri belirlerken sonuç odaklı yaklaşmak risklerin
belirlenmesinde faydalı bir yaklaşımdır.
Örneğin «su baskını/ sel» tek başına tehdit olarak değerlendirilebileceği gibi
Sel sonucu elektrik kesintisi,
Sel sonucu çalışanların iş yerine gelememesi,
Sel sonucu iş ortamının kullanılamaz hale gelmesi,
Sel sonucu basılı tüm dokümanların kullanılamaz hale gelmesi
şeklindeki tanımlamalar risk tanımlamasını kolaylaştıracak, mevcut
kontrollerin değerlendirilmesinde daha faydalı olacaktır.

Kontrollerin dökümantasyonu
Risk işleme planları
Varolan ve planlanan kontrolleri tanımla
Varolan ve planlanan kontrollerin listesi
Kontrollerin uygulama ve kullanım durumları
Girdiler
Aksiyon
Çıktılar
Var Olan Kontrollerin Belirlenmesi

Bilinen tehditlerin listesi ile varlıklar ve varolan kontroller
Organizasyon ve varlıklarına zarar verebilecek tehditlere karşısındaki
açıklıkları tanımla
Varlıklar, tehditler ve kontroller ile ilişkili açıklıkların listesi
Gözden geçirilmiş tehditler ile ilişkilendirilmemiş açıklıkların listesi
Girdiler
Aksiyon
Çıktılar
Açıklıkların Tespiti

 Organizasyon
 Süreçler ve prosedürler
 Personel
 Fiziksel ekipmanlar
 Bilgi sistemleri yapılandırmaları
 Açıklık test sonuçları
 Donanım, yazılım ve iletişim araçları
 Dış kaynaklara bağımlılık
Açıklıkların Tespit Alanları

Tip Açıklık Örneği Tehdit Örneği
Donanım
Periyodik değişim şemalarının olmayışı
Ekipman ya da medyanın
tahribi
Voltaj varyasyonuna hassasiyet Enerji kaynağı kesintisi
Korumasız depolama
Medya ya da döküman
hırsızlığı
Yazılım
Dökümantasyon eksikliği Hatalı kullanım
Çalışma alanı terkedilirken oturumun
kapatılmaması
Hakların kötüye
kullanılması
Network
Güvensiz mimari Uzaktan casusluk
Korumasız hassas trafik Gizlice dinlenme
Personel Bilgi güvenliği farkındalık eksikliği Hatalı kullanım
Saha Korunmasız kapı ve pencere Ekipman hırsızlığı
Organizasyon E-posta kullanım prosedürünün olmaması Hatalı kullanım
Açıklık/Tehdit Örnekleri

Varlıkların ve iş süreçlerinin listesi
Tehdit ve açıklıkların listesi
Varlıklar üzerindeki gizliliğin,bütünlüğün ve erişilebilirliğin kayıp olması
durumundakı sonuçları tanımla
Varlık ve iş süreçlerine etki edecek sonuçları oluşturacak vaka
senaryolarının listesi
Girdiler
Aksiyon
Çıktılar
Olası Sonuçlarının Tespit Edilmesi

NİTEL (Qualitative)
NİCEL (Quantitative)
Düşük, Orta, Yüksek skalasını kullanır
Herkes tarafından anlaşılır olması avantaj sağlar
Değerlendirmenin sübjektif olması açışından
dezavantaja sahiptir
Numerik değer skalası kullanır
Kalitesi numerik değerlerin ölçümüne bağlıdır
Geçmişe dayalı veriler ile daha kesin sonuç verir
Verinin doğrulu kesin olmadığı durumlarda
dezavantajdır
Risk Tahmini

Tehdit, açıklık, etkilenen varlık ve iş süreçlerini de içeren Tespit edilmiş
olay senaryoları
Olası veya gerçekleşen bilgi güvenliği olaylarının organizasyonun iş
süreçleri üzerine etkisi değerlendirilmelidir
Varlıklar ve etki kriterlerini ifade eden değerlendirilmiş olay senaryosu
sonuçları
Girdiler
Aksiyon
Çıktılar
Sonuçlarının Değerlendirilmesi

Olay senaryoları (varlık açıklık tehdit ve etkilenen iş süreçlerini içerir)
Mevcut kontroller ve uygulama etkinlikleri
Olay senaryolarının gerçekleşme ihtimalleri değerlendirilir
Nitel veya nicel olarak olay senaryolarının gerçekleşme ihtimalleri tespit
edilir.
Girdiler
Aksiyon
Çıktılar
Olay İhtimalinin Değerlendirilmesi

Gerçekleşme ihtimalleri de dahil olmak üzere değerlendirilmiş olay
senaryoları
Tüm olay senaryoları için risk seviyesi tahminleri yapılır
Değer seviyelerini de içeren bir risk listesi oluşturulur
Girdiler
Aksiyon
Çıktılar
Risk Seviyesi Tahmini

 Risk analizi sonuçlarında tespit edilen riskleri kullanarak
kararlar alınmasını sağlar
 Kararlar aşağıdakileri içermelidir:
 Aktivite girişiminde bulunup bulunmayacağı
 Tahmin edilen risk seviyeleri göz önüne alınarak risk
iyileştirmelerinin öncelikleri
Risk Değerleme

RİSK İŞLEME
 MADDE 9

RİSK İŞLEME SEÇENEKLERİ
RİSK
AZALTMA
RİSKİ
ELDE TUTMA
RİSK
TRANSFERİ
RİSKTEN
KAÇINMA
ARTIK
RİSK
RİSK
DEĞERLENDİRME
SONUÇLARI
Risk işleme
Risk İşleme Aktivitesi

Kontroller seçilirken ve uygulama esnasında aşağıdaki kısıtlamalar göz önüne alınmalıdır:
 Risk Azaltma, seçili kontroller uygulanarak
riskin tekrar artık risk kapsamında
değerlendirilip risk kabulünü sağlar.
ZAMAN FİNANSAL TEKNİK OPERASYONEL KÜLTÜREL
ETİK ÇEVRESEL YASAL
KULLANIM
KOLAYLIĞI
PERSONEL
Risk Azaltma

 Güvenlik ürünleri kullanımı (firewall, NAC, içerik
kontrolcüsü gibi)
 Çalışanlara bilinçlendirme eğitimi verilmesi
 İhtiyaç duyulan prosedür ve rehberlerin geliştirilmesi
 Felaketten Kurtarma Merkezi kurulumu
Risk Azaltma

 Kuruluşun politikalarını ve riskleri kabul etme
kriterlerini açıkça karşılaması şartıyla, bilerek ve nesnel
olarak risklerin kabul edilmesi
Riski Elde Tutma

Kabul edilebilir risk seviyesindeki veya bu seviyenin
altındaki riskler için bir aksiyon başlatmama anlamına
gelir.
Tüm riskler için aynı eylemin (aksiyon alamama)
gerçekleştirilmesi zorunlu değildir.
Kabul edilebilir seviyenin altında olsa dahi kontrol
geliştirilip uygulanabilir.
Riski Elde Tutma

Tanımlanan risk yüksek veya risk işleme maliyeti
getirisini karşılamıyorsa planlanan ya da uygulanan
aktiviteden tamamen kaçınma kararı alınabilir.
Riskten Kaçınma

Riskten kaçınma işlemi tamamen varlığın veya servisin
kullanımının sona erdirilmesi olabileceği gibi özellikle
doğa kaynaklı riskler için varlığın kullanıldığı yerin
değiştirilmesi gibi çözümlerde Riskten Kaçınma
yöntemleri arasında yer alır.
Riskten Kaçınma

Risk, daha etkin yönetebilecek başka partilere
transfer edilebilir.
Karar verme noktasında Risk in diğer partilerce
paylaşılmasının getireceği olası riskler
değerlendirilip, bunlar üzerinde Risk İşlemesi
yapılmalıdır.
Risk Transferi

Sıkça karşılaşılan transfer yöntemi sigortadır.
Üçüncü taraflardan alınacak hizmet veya servislerle
risk transferi gerçekleştirilebilir. Dikkat edilmesi
gereken husus ilgili tarafla yapılan sözleşmede
alınana hizmetin yanında risk yönetiminin de
sözleşmede ifade edilmesidir. Uygun yerlerde
KPI’lar tanımlanmalı denetim gereksinimi
vurgulanmalıdır.
Risk Transferi

RİSK KABULÜ
 MADDE 10

 Risk işleme planı ve kalan risklerin değerlendirilmesi
organizasyon yöneticilerinin onayına sunulmalıdır.
 Formal bir kabul işlemi uygulanmalıdır.
 Bu kabul organizasyonun kabul edilebilir risk kriterinin
aynını yansıtmak zorunda değildir.
 Kabul edilebilir seviyenin üzerindeki riskler de yönetim
tarafından farklı gerekçelerle kabul edilebilir ve
herhangi bir risk işleme planına tabi tutulmayabilir.
Risk Kabulü

RİSK İLETİŞİMİ
 MADDE 11

 Risk İletişimi, karar vericiler ve diğer paydaşlar arasında
risk bilgi paylaşımı ve değişimi ile risk yönetimin nasıl
yapılacağı konusunda anlaşmaya varılmasıdır.
Risk İletişimi

 Organizasyon risk yönetimi çıktılarını güvence altına
almalıdır
 Yetkisiz değişime karşı korunmalıdır.
 Karşılaştırılabilir olması açısından risk yönetimi çıktılarına
kayıt gözü ile bakılmalı belli zamanlarda çıktılar oluşturulup
saklanmalıdır.
 İçerik itibarı ile bazı risk değerlerinin ve içeriğinin gizliliği
sağlanmalıdır. Örneğin penetrasyon testi sonuçlarına
dayanan risk değerlendirme çıktıları bilmesi gereken
prensibine uygun olarak saklanmalıdır.
Risk İletişiminin Sağlanması

 Risk yönetiminde gerekli bilgilerin toplanması
sağlanmalıdır.
 Farklı disiplinden katılımcılar ile risk tespiti, risk tahmini
derecelendirmesi yapılmalıdır.
 Öznellikten uzaklaşabilmek için uygun metodolojiler
belirlenmeli ve bilgileri toplar iken gerekli durumlarda eğitim
sağlanmalıdır.
 İki farklı kişinin aynı varlık üzerindeki aynı açıklığı kullanacak
tehdit için benzer olasılık ve etki değeri atamasını sağlayacak
nesnel prosedürler oluşturulmalıdır.

 Risk değerlendirme sonuçları paylaşılmalı ve risk işleme
planı uygun seviye yönetime sunulmalıdır
 Risk değerlendirme sonuçları ve risk işlem planı öncelikle
onay için yetkin yönetim kademesine sunulmalıdır.
 Ardından işleme kararına uygun olarak organizasyon içindeki
ilgili birimlere (insan kaynakları, satın alma, bilgi sistemleri,
sivil savunma vb) iletilmelidir

 Karar vericiler ve paydaşlar arasındaki karşılıklı anlayış
eksikliğinden kaynaklanan bilgi güvenliği ihlallerinin
sonuçlarını önlemeli ya da azaltmalıdır
 Sunulan raporlar dil ve içerik olarak yanlış anlaşılmayı
engelleyecek seviyede olmalıdır.
 Uygun yerlerde yönetim kademesine hem yazılı hem de bir
sunum yardımı ile sözlü olarak sunmakta fayda vardır.
 Karar vermeyi desteklemelidir
 Risk değerlendirme sonuç raporu gerekli durumlarda karar
destek unsuru olarak kullanılabilmektedir.

 Yeni bilgi güvenliği birikimini elde edebilmek için gerekli
haberleşme kanalları oluşturulmalıdır
 Genel kullanıma açık bir portal olay takibi için kullanılabilecek
iyi bir opsiyon olabilir
 Benzer şekilde özel ilgi grupları ile iletişim için eposta
üyelikleri haber kanalları takibi risk yönetimine girdi
sağlayacak diğer bir kanaldır.

 Vakaların sonuçlarını azaltmak için diğer partileri
koordine edip, tepkileri planlamalıdır

 Karar vericilere ve paydaşlara risk hakkında sorumluluk
duygusu yaratmalıdır
 Farkındalığı arttırmalıdır

RİSKİN İZLENMESİ ve GÖZDEN
GEÇİRİLMESİ
 MADDE 12

 Risk yönetimini etkileyen değişiklikler
 Yeni varlıkların eklenmesi veya varlık değerlerindeki değişiklik
 Yeni tehdit kaynakları
 Yeni açıklıklar ve istismar yöntemleri
 Yeni teknolojik ve operasyonel çözümler
 Organizasyonel değişiklikler
Değişiklik Yönetimi

 Risk yönetim kapsamına giren yeni varlıklar
 İş gereksinimlerine göre değişen varlık değerleri
Risk İzleme Gözden Geçirme

 Organizasyon içi veya dışında oluşmuş ve daha önceden
değerlendirilmemiş yeni tehditler
 Kim derdi ki bir gün toz bulutu diye bir tehdit kaynağı olacak
veya bir kepçe insanlara milyonlar kaybettirecek

 Yeni açıklıklar ve istismar yöntemleri

RİSK
Tehditler Açıklıklar
Değer
Varlık
Güvenlik
ihtiyaçları
Karşı
önlemler
azaltır
Bütçe
belirler
Risk Etkileşimleri

Tehdidin gerçekleşme olasılığı Düşük Orta Yüksek
Açıklığın kötüye kullanım kolaylığı D O Y D O Y D O Y
Varlık
Değeri
0 0 1 2 1 2 3 2 3 4
1 1 2 3 2 3 4 3 4 5
2 2 3 4 3 4 5 4 5 6
3 3 4 5 4 5 6 5 6 7
4 4 5 6 5 6 7 6 7 8
Uygulama Örnekleri
• Açıklık var fakat açıklığı kullanacak tehdit yoksa?
• Tehdit var fakat tehdidin kullanacağı açıklık yoksa?

Olay senaryosunun
gerçekleşme ihtimali
Çok
Düşük
Düşük Orta Yüksek Çok
Yüksek
İşe
Etki
Çok düşük 0 1 2 3 4
Düşük 1 2 3 4 5
Orta 2 3 4 5 6
Yüksek 3 4 5 6 7
Çok Yüksek 4 5 6 7 8
Düşük Risk: 0-2
Orta Risk: 3-5
Yüksek Risk: 6-8
Uygulama Örnekleri

Çok Düşük (1) Beş senelik bir sürede iki ya da üç defa
Düşük (2) Senede ya da daha kısa bir sürede bir kere olabilir
Orta (3) Altı ayda ya da daha kısa bir sürede bir kez olabilir
Yüksek (4) Ayda ya da daha kısa bir sürede bir kez olabilir
Çok Yüksek (5) Ayda ya da daha kısa bir sürede bir çok kez olabilir
Tehdidin Gerçekleşme İhtimali
Uygulama Örnekleri

Çok Düşük (1)
Tehdidin gerçekleşmesi için motivasyon çok düşük seviyede
ve/veya kabiliyeti az, zafiyet çok ciddi bir sonuca yol açacak
nitelikte değil
Düşük (2)
Tehdidin gerçekleşmesi için motivasyon düşük seviyede ve/veya
kabiliyeti az, zafiyet çok ciddi bir sonuca yol açacak nitelikte değil
Orta (3)
Tehdit yeterli motivasyona sahip ve/veya olumsuz etkilere yol
açabilecek kapasitede, zafiyet bu etkiye açık
Yüksek (4)
Tehdidin varlığa saldırma motivasyonu yüksek seviyede ve
kabiliyeti yüksek, zafiyet bu etkiye açık.
Çok Yüksek (5)
Tehdidin varlığa saldırma motivasyonu çok yüksek seviyede ve
kabiliyeti yüksek, zafiyetler çok önemli güvenlik sorunlarına yol
açabilecek düzeyde
Tehdidin Gerçekleşme İhtimali
Uygulama Örnekleri

Çok Düşük (1)
Tehditin varlık üzerinde küçük etkisi olur. Varlığı tamir etmeye ya
da yeniden konfigüre etmeye gerek yoktur.
Düşük (2)
Tehditin etkisi küçük olmasına ve tehditin somut bir zararı olabilir.
Hasarın giderilmesi ve önlem alınması için bir takım harcamalar
olabilir.
Orta (3)
Varlığın ya da sistemin sahiplerine ve yöneticilerine kötü ün
kazandırabilir ve/veya kaynakta önemli zararlar olur. Hasarın
giderilmesi ve önlem alınması için önemli harcamalar gerekebilir.
Yüksek (4)
Varlığa büyük ölçüde zarar verir ve/veya birçok kişi ve kurumun
kendisi zarardan etkilenebilir. Zarar gören sistemde büyük ölçüde
yeniden yapılandırma gerekmektedir.
Çok Yüksek (5)
Varlığın süresiz olarak işlem yapamamasına ve tamamıyla zarar
görmesine yol açar. Sistem tamamen baştan dizayn edilmesini ve
yapılandırmasını gerektirir.
Tehdidin Etkisi
Uygulama Örnekleri

Etki Seviyeleri
 ÇY(Çok Yüksek)
 Kurum çok ciddi ve varlığı temelden sarsılacak şekilde
zarara uğrar. Aşağıda sıralanan durumlardan biri veya
birkaçı gerçekleşebilir:
 Kurum, misyonunu yerine getirmek için sürdürmesi gereken temel
hizmetlerinden bir veya daha fazlasını veremez hale gelir.
 Etkilenen kurum varlıkları ortadan kalkar
 Çok ciddi miktarda finansal kayıp yaşanır.
 Kişilerin ölümüne veya ölümcül yaralanmalara sebep olur.
 Yasal uyumluluk büyük zarara uğrar.
 Kurum itibarı büyük oranda zarara uğrar.
79

Etki Seviyeleri
 Y(Yüksek)
 Kurum ciddi şekilde zarara uğrar. Aşağıda sıralanan
durumlardan biri veya birkaçı gerçekleşebilir:
hizmetlerini vermeye devam edebilir fakat hizmetlerin etkinliğinde
ciddi ölçülerde düşüş yaşanır.
 Etkilenen kurum varlıkları büyük oranda zarar görür.
 Ciddi miktarda finansal kayıp yaşanır.
 Kişilerin ölümüne veya ölümcül yaralanmalarına sebep olmayan,
fakat ciddi sayılabilecek yaralanmalarına sebep olur
 Yasal uyumluluk zarara uğrar.
 Kurum itibarı zarara uğrar.
80

Etki Seviyeleri
 O (Orta)
 Kurum kısmen zarara uğrar. Aşağıda sıralanan durumlardan
biri veya birkaçı gerçekleşebilir.
hizmetlerini vermeye devam eder, fakat hizmetlerin etkinliğinde az
miktarda düşüş gözlenir.
 Etkilenen kurum varlıkları kısmen zarar görür
 Az miktarda miktarda finansal kayıp yaşanır.
 Kişilerin hafif yaralanmalarına sebep olur.
 Yasal uyumluluk kısmen zarara uğrar.
 Kurum itibarı kısmen zarara uğrar.
81

Etki Seviyeleri
 D (Düşük)
 Kurum zarara uğramaz veya kısıtlı miktarda zarar uğrar.
Aşağıda sıralanan durumlardan biri veya birkaçı
gerçekleşebilir.
 Kurum misyonunu yerine getirmek için sürdürmesi gereken temel
hizmetlerini vermeye devam eder, kurum için kritik öneme sahip
olmayan bazı hizmetler zarar görebilir.
 Etkilenen kurum varlıkları az miktarda zarar görür veya hiç
görmez..
 Fianansal kayıp yaşanmaz veya az miktarda yaşanır
 Kişilerin önemsiz yaralanmalarına sebep olur.
 Yasal yükümlülükler yerine getirilemeyebilir.
 Yasal uyumluluk zarara uğramaz veya az miktarda zarara uğrar
 Kurum itibarı zarara uğramaz veya az miktarda uğrar.
82

Tehdidin gerçekleşme
ihtimali * Tehdidin Etkisi
Çok
Düşük (1)
Düşük (2) Orta (3) Yüksek (4) Çok Yüksek
(5)
Çok Düşük (1) Düşük (1) Düşük (2) Düşük (3) Orta (4) Orta (5)
Düşük (2) Düşük (2) Orta (4) Orta (6) Yüksek (8) Yüksek (10)
Orta (3) Düşük (3) Orta (6) Yüksek (9) Yüksek (12) Kritik (15)
Yüksek (4) Orta (4) Yüksek (8) Yüksek (12) Kritik (16) Çok Yüksek
(20)
Çok Yüksek (5) Orta (5) Yüksek (10) Kritik (15) Çok Yüksek
(20)
Çok Yüksek
(25)
Risk Değerleri
Uygulama Örnekleri

Uygulama Örnekleri
 Varlık değeri
 VGD = {1..5}
 VBD = {1..5}
 VED = {1..5}
 VD = Max(VGD, VBD, VED)
 Olasılık = {1…5}
 Kontrol etkinliği = {1…5}
 Risk hesabı
 RG = VGD x Olasılık x Kontrol etkinliği
 RB = VBD x Olasılık x Kontrol etkinliği
 RE = VED x Olasılık x Kontrol etkinliği
 R = Max(RG, RB, RE)
84
Değer Açıklaması
5
Kontroller uygulanmamış, kontrol etkinlikleri ölçülmüyor, ilave kontrollere
ihtiyaç bulunuyor.
4
Kontroller yeterli seviyede uygulanmamış, kontrol etkinlikleri ölçülmüyor, ilave
kontrollere ihtiyaç bulunuyor.
3
Kontroller kısmen uygulanmış, kontrol etkinlikleri ölçülmüyor, ilave kontrollere
ihtiyaç bulunuyor.
2
Kontroller iyi bir seviyede uygulanmış, kontrol etkinlikleri yeterli seviyede
ölçülmüyor, ilave kontrollere ihtiyaç bulunabilir.
1
Kontroller etkin bir şekilde uygulanmış, kontrol etkinlikleri periyodik olarak
ölçülerek takip ediliyor, ilave kontrollere ihtiyaç bulunmuyor.
Kontrol Etkinliği

Sosyal Medyada BTYÖN’ü Takip Ederek;
85
Son gelişmelerden
haberdar olabilir; bilgi
birikiminizi arttırabilir ve
sürekli geliştirebilirsiniz.
Diğer takipçilerle
iletişime geçebilir;
Tartışmalara
katılabilirsiniz.
Tüm güncellemelerimizi ve
uzmanlık konularımızdaki
gelişmeleri yakından
izleyebilirsiniz.
Uzmanlarla yorumlarınızı
paylaşabilirsiniz.
http://blog.btyon.com.tr

ISO/IEC 27005 Bilgi Güvenliği Risk Yönetimi Eğitimi

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to ISO/IEC 27005 Bilgi Güvenliği Risk Yönetimi Eğitimi

Similar to ISO/IEC 27005 Bilgi Güvenliği Risk Yönetimi Eğitimi (20)

ISO/IEC 27005 Bilgi Güvenliği Risk Yönetimi Eğitimi