Professional Documents
Culture Documents
Ender ahinaslan1
1,2
Rembiye Kandemir2
Arzu Kantrk3
Bilgisayar Mhendislii Blm, Trakya niversitesi, Edirne 3 Bilgi Gvenlii Servisi, Bank Asya, stanbul
zete
Gnmz dnyasnda teknolojik ilerlemelere paralel olarak, bilgi ve bilgi teknolojilerine ilikin gvenlik riskleri de gnden gne artmaktadr. Dier taraftan ISO 27001, ISO 27005, COBIT, PCI, SOX ve BASEL II gibi uluslararas kabul grm standartlar-kurallar kurumlarda risk ynetimini zorunlu klmaktadr. Bilgi gvenliin salanmas noktasnda, kurumlarn ilk olarak yapmas gereken; bilgi gvenlii risklerinin belirlenmesi ve mevcut risklerin kurumun kabul edecei bir seviyeye ekilmesi olmaldr. Kurumlar, bilgi gvenlii risk deerlendirmesi yapmadan nce kendi ihtiyalar dorultusunda bir risk metodolojisi belirlemelidir. Bu alma, gnmzde mevcut olan risk metodolojileri ve yazlmlar hakknda yaplm bir inceleme olup bu konuda bilgi vermeyi amalar. almann ilk blmnde risk ynetimi ve standartlarna ilikin temel kavramlarn tantm, ikinci blmnde risk deerlendirme yaklamlar ve yaygn kullanlan risk metodolojileri hakknda bilgi, nc blmde tannm belli bal risk ynetim yazlmlar hakknda bilgi, drdnc blmde ise bu uygulama yazlmlarnn karlatrmas yaplmtr. Risk ynetimi ise; var olan risklerin minimize edilmesi iin oluturulmu prosesler btndr. Risk ynetimi; risk analizi, risk deerlendirme, risk nleme, tehditlerin ve kontrollerin deerlendirilmesi olmak zere drt ana sreten olumaktadr. ISO 27001, ISO 27005, COBIT, BASEL II gibi standartlar ve BDDK lkeler Teblii risk ynetimi zerinde nemle durmaktadr; ISO 27001, kuruma ait tm bilgi varlklarnn deerlendirilmesi ve varlklar zerindeki tehditlerin ve aklklarn gz nnde tutulup risk analizi yaplmasn gerekli klar [1]. ISO 27005; bilgi gvenlii risk ynetim standarddr. Bu standart kurumlarn ihtiyalar dorultusunda bir risk ynetim metodolojisi gelitirmesi gerektiini ifade eder ve risk ynetim metodojilerine ilikin rnekler verir [2]. COBITe gre ncelikle kurumlar risk ynetim erevesini oluturmaldr. Risk ynetim erevesi oluturduktan sonra mevcut riskler tanmlanmal ve tanmlanan risklere ilikin aksiyon planlar oluturulmal planlarn uygulanabilirlii ve sonular izlenmeli, deerlendirmelidir. BASEL II riskleri, kredi riski, likitide riski ve operasyonel risk olmak zere e ayrmtr. Bilgi ve bilgi teknolojileri riskleri operasyonel risk bal altnda toplanmaktadr. Operasyon risklere; itibar riski, insan riski, teknolojik risk, organizasyon risk, yasal riskler rnek olarak verilebilir. Banka bilgi sistemleri ynetiminde esas alnacak ilikin tebli; Banka, bankaclk faaliyetlerinde bilgi teknolojilerini kullanyor olmasndan kaynaklanan riskleri lmek, izlemek, kontrol etmek ve raporlamak zere gerekli nlemleri alr eklinde bir ifade kullanlmaktadr [3]. Tm bu standartlar, yasal otoritelerin koymu olduu uyulmas gereken eitli kurallar ve kurumsalln gereklilikleri bize kurumlarda etkin bir risk ynetiminin gerekletirmesini nem ve gerekliliini gstermektedir. Kurumlarn kendi ihtiyalarna zg risk metodojisi gelitirmesi veya mevcut kabul grm bir metodolojiyi benimseyerek bunu risk ynetim aralar ile otomatize hale getirmesi gerekmektedir.
1. Giri
Bilgi ve bilgi teknolojileri gvenliine ilikin riskleri ynetmek amacyla her kurum kendi yaplar, kurumsal ve yasal ballklar dikkate alan, bu alanda yer alan standartlar destekleyen, ayn zamanda ynetimin onaylad bir metodolojiyi benimsemeli ve buna uygun uygulamalar ya semeli ya da kendisi gelitirmelidir. Risk metodolojisinin seimi ya da gelitirilmesinde karar veren ya da bu alanda alan proje ekiplerince risk ynetimine ilikin kavramlarnn tam olarak anlalmas ve ayn dilin kullanlmasnda byk yarar vardr. Temel risk kavram ve uluslararas kabul grm standart yada en iyi uygulamalar, baz yasal dzenleyiciler tarafndan belirlenen kurallarn risk ynetiminden beklentilerine ynelik zet bilgiler bu blmde aklanmaya allmtr. Risk kavram; zarara ve kayba neden olacak bir olayn bilgi varl zerinde gerekleme olasl olarak tarif edilebilir.
CRAMM yaam dngs ele alnda 3 aamada gerekletirildii grlmekte. Buna ait bilgiler ekil-2de yer almaktadr.
ekil 2: CRAMM Yaam Dngs [7] 2.3. OCTAVE Risk tabanl stratejik gr salayan Octave, Cert, DoD, USAF tarafndan deerlendirme metodu olarak kurumlar Octave, varlk tabanl bilgi gvenlii yapamaktadr. Octave metodunun gsterilmektedir [8]. planlama tekniidir. bilgi gvenlii risk iin oluturulmutur. risk deerlendirmesi evreleri ekil-3de
ekil 1: CRAMM Metodu [6]. CRAMM metodu analiz ve ynetim olarak iki ana blmde ele alnabilir. Risk analizi blmnde bilgi varl, varlk zerindeki aklklar(korumaszlklar) ve tehditlerin bu aklklar kullanmas sonucunda oluabilecek risklerin analizini, ynetim blmnde ise lmleme, uygulama ve denetim blmlerinden olumaktadr. 2.4. EBIOS (In French-Expression des Besoins et Identification des Objectifs de Security) Bu risk metodolojisi; DCSSI (Direction Centrale de la Scurit des Systmes d'Information) tarafndan Fransada oluturulmutur.
EBIOS Method; Bilgi Gvenlii Sistemi ile ilgili riskleri ele alr ve deerlendirir. EBIOS metodunun genel emas ekil 4te verilmektedir [9].
kontrol amalarn, belirlenmi kontrollerin ve uygulanabilirlik durumunun takip edildii modldr. Kontrollerin Uygulanmas: Seilmi kontrollerin uygulanmas planlanr.
ekil 4: EBIOS Method 2.5. ISAMM (Information Security Assessment & Monitoring Method) ISAMM nitel ynteme dayanan risk analiz metodolojisidir. ISAMMda risk deerlendirme evresi ksmdan meydana gelmektedir; [10,11] Kapsamlatrma Tehdit ve aklklarn deerlendirilmesi Riskin hesaplanmas ve raporlanmas
3.3 ISMart
Biz Net, TSE ve ISO17799 / 27001 standardna uygun olarak bilgi gvenlii ynetimi sistemi kurmak ve uygulamak isteyen kurumlar iin gelitirilmi, Linux, Unix, veya Windows zerinde alabilen Java ile yazlm web tabanl bir programdr. Programda ncelikler varlk, tehdit, risk kategorileri oluturulur. Kategoriler birbiri ile ilikilendirilir. Varlk kategorilerine varlklar eklenir ve varla ilikin tehditler girilir. Bu kapsamda risk deerlendirilmesi yaplr [14].
3.4 Callio
Secura 17799; irketlere BS 7799/ISO 17799 bilgi gvenlii ynetimi standardn salayan web tabanl bir yazlmdr. Nitel bir deerlendirmesi yaplr Risk Tanmlama: Varlklar asndan riskleri tanmlanr. Risk Deerlendirmesi: Risk hesaplama ve deerlendirmesi yaplr. Varlk envanteri oluturulur ve deerlendirilir.
Risk tedavi: ISO 17799 Kontrolleri: Farkl senaryolar deerlendirmek (Risk Tedavi plan tasla) Risk letiimi: Dokman Ynetimi, Bilinlendirme Merkezi Bilinlendirme Merkezi Portal: Farkl personel gruplar iin bilgi gvenlii belgeleri yaynlanr. ISO 17799 n Tehis: Anket, gvenlik durumu ile ilgili ilk karar, uyum raporlar alnr. [15,16]
ilgili
varsa
gvenlik
Risk hesaplama: Standart yaklamlar esas alan, bilgi varlk deeri, tehdit ve aklk deerlerinin toplamndan elde edilmektedir.
3.5 Proteus
Infogov (Information governance limited) Limited irketi tarafndan gelitirilmi web tabanl bir risk ynetim yazlmdr. Proteus ile kurumlar COBIT, SOX, ISO 17799, PCI DSS gibi standartlarn kontrolleri uygulanabilir. Nitel ve nicel risk analizini destekler. Her iki yntemde de varlk ynetimi, tehditlerinin belirlenmesi, risk aksiyon planlarnn oluturulmas ve olay ynetimi mevcuttur. Riskler ile ilgili pdf, doc formatnda raporlama yaplr ve dashboarddan grafiksel bilgiler alnabilir. ISO 27001, BS 25999, PCI DSS, Cobit, SOX gibi standartlar destekler. [17]
3.7 ISMS-Rat
ISMS- Rat client tabanl basit bir risk analiz programdr [19]. Uygulama veri taban olarak MS Access kullanmakta, standart yaklam ISO 17799 ve ISO 27001 standard bilgi gvenlii ynetim sistemini ve dolays ile risk ynetimini desteklemekte olup risk deerlendirme metodu olarak nitel analiz yaklam kullanlmtr. Uygulama yazlm gelitirme platform bilgisine ise ulalamamtr. Varlk deerlendirme: Bilgi varlklarnn gizlilik, btnlk, eriilebilirlik nitelikleri bakmndan ayr ayr ele alnr. Deerlendirme nceden tanmlanm deer skalalar zerinden gerekletirir. Tehdit deerlendirme: Varlkla ilikili tehditler ve bunlarn gerekleme olaslk deerlerinin tanmlamas yaplarak tehditlerin deerlendirilmesi salanr. Uygulamalarn bir ksm sadece risk ynetimi yaparken dierleri risk ynetimini de ierisinden barndran bir Bilgi Gvenlii Ynetim Sistemi (BGYS)ni iletmek amal gelitirildii grlmektedir. Standart yaklamlar bakmndan incelendiinde GSTOOL(IT Baseline Protection Manuel) ve kendi metodolojisini kullanan OCTAVE hari hepsi bir ekilde bilgi gvenlii standard olan (BS7799, ISO 17799, 27001, 27005) standartlarn referans ald, kartlara ilikin standart olan PCI DSS, srekliliine ynelik BSI 25999, BT ynetiimine ilikin COBIT ve dier NIST 80026, SOX, Basel II, HIPPA, Risk IT ve ITIL gibi bilinen pek ok standard destekleyen uygulamalardan olutuu grlmektedir.
Risk deerlendirme yaklam bakmndan incelendiinde yazlmlarn ou nitel analiz yntemini esas ald, nicel analiz yaklamn ise ok nadir kullanld, CRAMM, PROTEUS ve Real ISMS uygulamalnn ise hem nitel hem de nicel yaklam kullanld gzlemlenmitir. Aratrma esnasnda yazlm platformu ve veri taban bilgisi gibi teknik bilgiler ksmen elde edilebilmitir. ncelemeler sonrasnda, uygulama platformlarnn genellikle web tabanl (Real ISMS, ISMART, GRC, Callio vb) olarak gelitirildii, Art of Risk, ISMS Rat gibi uygulamalar ise istemci tabanl (C/S) olarak gelitirildii grlmektedir. Gnmz kullanc talepleri ve internet teknolojilerinin geliimi, tanabilirlik, kolay eriilebilirlik ve kurulum ve bakmda salad avantajlar bakmndan internet tabanl uygulamalar ne karmakta. Buna karn farkl blgelerde datk yapda olmayan, kk iletmeler iin gvenlik riski/maliyeti daha dk olan C/S olarak gelitirilen rnler tercih edilebilir. Uygulamann kulland yada destekledii veri tabanlar incelendiinde uygulamalarn yarya yaknnda bilgiye ulalamad. Elde edilebilende ise MS Access, My SQL, SQL Server ve ORACLE veri tabanlarnn kullanlabildii grld.
uygulamalara; Art Of Risk, Real ISMS ve ISMart tercih edilebilecek rnek uygulamalar olarak verebilir. Bununla birlikte her kurum kendi ihtiyac dorultusunda ihtiyalarna cevap verecek uygulama yazlmn kullanmal ya da kendi ihtiyac dorultusunda uygun yazlmn gelitirmelidir. Aratrma sonular anlamlandrlrken aratrmann zaman dilimi, uygulamalara snrl eriim hakk olan kullanc ya da demo programlarnn kullanlmas veya dier internet kaynaklar araclyla elde edilen bilgilerin deerlendirilmesi sonucunda elde edildii gz nnde tutulmaldr.
6.
Kaynaka
[1] ISO 27001 Information Security Management System [2] ISO 27005 Information Technology Risk Management [3] BDDK lkeler Teblii, Eyll 2007 [4] Cobra, http://www.riskworld.net/benefits.htm, Ekim 2009 [5] http://en.wikipedia.org/wiki/CRAMM , Ekim 2009
5. Sonu
Bilgi ve bilgi teknolojisinden kaynaklanan risklerin ynetiminde; gnmz i dnyas gereksinimleri, yasal dzenlemeler, teknolojik gelimeler ve artan rekabet koullar, kurumsal risk ynetimini zorunlu klmaktadr. Dier taraftan kurumsallamay hedefleyen irketler artk kurumsalln bir gereksinimi olarak yapt ilerde ilgili standartlar da dikkate almak zorundadr. Gerekleecek bir bilgi gvenlik riskinin kuruma maliyetini nceden tam olarak kestirebilmek zor olsa da bu riskleri kabul edilmi bir risk metodolojisini kullanarak nceden kestirebilmek ve ynetebilmek mmkndr. Kurumlar madden ve manen varlklarn etkin bir ekilde devam ettirebilmek iin, kendi ihtiyalar dorultusunda bir risk ynetim metodolojisi belirlemeli ya da var olan risk metodolojilerinden birini semelidir. Seilen metot kurumda etkin bir ekilde uygulanmal, periyodik olarak izlenmeli ve alnan risk iyiletirme kararlar dorultusunda giderilmeli ya da kurumun kabul edebilecei bir seviyeye indirgenerek revize edilmelidir. Bu alma, risk ynetim metodolojileri yapmak isteyen kurum ya da kurululara mevcut belli bal risk metodolojileri hakknda bilgilendirilmesine ynelik inceleme sonularnn paylamndan olumaktadr. Bu almada incelenen uygulama yazlmlarn pek ou ayn zamanda bilinen bir standard da referans almaktadr. nceleme sonularna gre en yaygn, bilinen ve ayn zamanda bilgi gvenlii ynetim sistemi(ISO 27001)ni de destekleyen
[6]Cramm,http://www.cramm.com/files/datasheets/CRAMM% 20(Datasheet).pdf, Ekim 2009 [6] Cramm, http://www.cramm.com/overview/ Mays 2009 [7] Cramm Management Guide, Page:10, April 1996 [8] Octave Criteria V.2.pdf, Syf.7, December 2001 [9] Ebios, http://en.wikipedia.org/wiki/EBIOS, Ekim 2009 [10]Isamm, http://rminv.enisa.europa.eu/methods_tools/m_isamm.html, Ekim 2009 [11]Isamm,http://www.bankingfinance.nl/42828/DossierTelin dusBelgacom.pdf, Kasm 2009 [12]Art Of Risk, http://www.aexis.de/index.php?site=static&staticID=4 , Ekim 2009 [13] RealISMS, Haziran 2009 http://www.realismssoftware.com/ [14] ISMart, http://www.biznet.com.tr/ismart_faq.htm, Ekim 2009 [15]Callio,http://www.callio.com/PDF/Calio_Secura17799.pd f, Ekim 2009 [16] Callio, http://www.callio.com/bs7799/id,301, Mart 2009 [17]Proteus,http://rminv.enisa.europa.eu/methods_tools/t_proteus.html, Ekim 2009 [18]RiskWatch,http://rminv.enisa.europa.eu/methods_tools/t_r iskwatch.html, Ekim 2009 [19] ISMS-RAT, Ekim 2009 http://www.brothersoft.com/isms-rat-74927.html [20]ENISA,http://rminv.enisa.europa.eu/rm_ra_methods.html, Ekim 2009