Bilgi Gvenlii Risk Ynetim Metodolojileri ve Uygulamalar zerine nceleme

Ender ahinaslan1
1,2

Rembiye Kandemir2

Arzu Kantrk3

Bilgisayar Mhendislii Blm, Trakya niversitesi, Edirne 3 Bilgi Gvenlii Servisi, Bank Asya, stanbul

2 e-posta: ender@bankasya.com.tr e-posta: rembiyeg@trakya.edu.tr 3 e-posta: arzu.kanturk@bankasya.com.tr

zete
Gnmz dnyasnda teknolojik ilerlemelere paralel olarak, bilgi ve bilgi teknolojilerine ilikin gvenlik riskleri de gnden gne artmaktadr. Dier taraftan ISO 27001, ISO 27005, COBIT, PCI, SOX ve BASEL II gibi uluslararas kabul grm standartlar-kurallar kurumlarda risk ynetimini zorunlu klmaktadr. Bilgi gvenliin salanmas noktasnda, kurumlarn ilk olarak yapmas gereken; bilgi gvenlii risklerinin belirlenmesi ve mevcut risklerin kurumun kabul edecei bir seviyeye ekilmesi olmaldr. Kurumlar, bilgi gvenlii risk deerlendirmesi yapmadan nce kendi ihtiyalar dorultusunda bir risk metodolojisi belirlemelidir. Bu alma, gnmzde mevcut olan risk metodolojileri ve yazlmlar hakknda yaplm bir inceleme olup bu konuda bilgi vermeyi amalar. almann ilk blmnde risk ynetimi ve standartlarna ilikin temel kavramlarn tantm, ikinci blmnde risk deerlendirme yaklamlar ve yaygn kullanlan risk metodolojileri hakknda bilgi, nc blmde tannm belli bal risk ynetim yazlmlar hakknda bilgi, drdnc blmde ise bu uygulama yazlmlarnn karlatrmas yaplmtr. Risk ynetimi ise; var olan risklerin minimize edilmesi iin oluturulmu prosesler btndr. Risk ynetimi; risk analizi, risk deerlendirme, risk nleme, tehditlerin ve kontrollerin deerlendirilmesi olmak zere drt ana sreten olumaktadr. ISO 27001, ISO 27005, COBIT, BASEL II gibi standartlar ve BDDK lkeler Teblii risk ynetimi zerinde nemle durmaktadr; ISO 27001, kuruma ait tm bilgi varlklarnn deerlendirilmesi ve varlklar zerindeki tehditlerin ve aklklarn gz nnde tutulup risk analizi yaplmasn gerekli klar [1]. ISO 27005; bilgi gvenlii risk ynetim standarddr. Bu standart kurumlarn ihtiyalar dorultusunda bir risk ynetim metodolojisi gelitirmesi gerektiini ifade eder ve risk ynetim metodojilerine ilikin rnekler verir [2]. COBITe gre ncelikle kurumlar risk ynetim erevesini oluturmaldr. Risk ynetim erevesi oluturduktan sonra mevcut riskler tanmlanmal ve tanmlanan risklere ilikin aksiyon planlar oluturulmal planlarn uygulanabilirlii ve sonular izlenmeli, deerlendirmelidir. BASEL II riskleri, kredi riski, likitide riski ve operasyonel risk olmak zere e ayrmtr. Bilgi ve bilgi teknolojileri riskleri operasyonel risk bal altnda toplanmaktadr. Operasyon risklere; itibar riski, insan riski, teknolojik risk, organizasyon risk, yasal riskler rnek olarak verilebilir. Banka bilgi sistemleri ynetiminde esas alnacak ilikin tebli; Banka, bankaclk faaliyetlerinde bilgi teknolojilerini kullanyor olmasndan kaynaklanan riskleri lmek, izlemek, kontrol etmek ve raporlamak zere gerekli nlemleri alr eklinde bir ifade kullanlmaktadr [3]. Tm bu standartlar, yasal otoritelerin koymu olduu uyulmas gereken eitli kurallar ve kurumsalln gereklilikleri bize kurumlarda etkin bir risk ynetiminin gerekletirmesini nem ve gerekliliini gstermektedir. Kurumlarn kendi ihtiyalarna zg risk metodojisi gelitirmesi veya mevcut kabul grm bir metodolojiyi benimseyerek bunu risk ynetim aralar ile otomatize hale getirmesi gerekmektedir.

1. Giri
Bilgi ve bilgi teknolojileri gvenliine ilikin riskleri ynetmek amacyla her kurum kendi yaplar, kurumsal ve yasal ballklar dikkate alan, bu alanda yer alan standartlar destekleyen, ayn zamanda ynetimin onaylad bir metodolojiyi benimsemeli ve buna uygun uygulamalar ya semeli ya da kendisi gelitirmelidir. Risk metodolojisinin seimi ya da gelitirilmesinde karar veren ya da bu alanda alan proje ekiplerince risk ynetimine ilikin kavramlarnn tam olarak anlalmas ve ayn dilin kullanlmasnda byk yarar vardr. Temel risk kavram ve uluslararas kabul grm standart yada en iyi uygulamalar, baz yasal dzenleyiciler tarafndan belirlenen kurallarn risk ynetiminden beklentilerine ynelik zet bilgiler bu blmde aklanmaya allmtr. Risk kavram; zarara ve kayba neden olacak bir olayn bilgi varl zerinde gerekleme olasl olarak tarif edilebilir.

2. Risk Ynetim Metodolojileri

Risk ynetim metodolojilerinin temelini tekil eden risk deerlendirme yaklamlarndan yaygn olarak nicel ya da nitel analiz yntemlerinden biri veya her ikisi esas alnabilmektedir. Nitel (qualitative) risk metodolojileri; ok yksek, yksek, orta, dk, ok dk gibi szel ifadelere dayanr. Nicel (quantitative) risk metodojileri ise; 0, 1, 2, 3, 4 gibi saysal ifadelere dayanr. Balca risk ynetim metodojileri unlardr: 2.1. COBRA (Consultative, Objective and Bi-functional Risk Analysis) Nitel analiz yntemine dayanan, anket tabanl olup ngiliz danmanlk firmas tarafndan gelitirilmitir. Metodu destekleyen uygulama da gelitirilmi olup uygulama iki ana modlden olumaktadr; [4] Risk Danman: Standart sorulardan oluur. Bu sorular kurum ile bilgi toplamak iin kullanlr. Toplanan bilgiler risk analizinde kullanlr Standartlara Uyum: Kurumun standartlara uyumunu len sorular sorulur ve deerlendirilir. 2.2. CRAMM (CCTA Risk Analysis and Management Method) 1987 ylnda ngiliz hkmetine bal telekomnikasyon kurumu tarafndan gelitirilen ve nitel ynteme dayanan risk analiz ve risk ynetim metodolojisidir [5]. CRAMM metoduna ait genel ema ekil 1de verilmektedir

CRAMM yaam dngs ele alnda 3 aamada gerekletirildii grlmekte. Buna ait bilgiler ekil-2de yer almaktadr.

ekil 2: CRAMM Yaam Dngs [7] 2.3. OCTAVE Risk tabanl stratejik gr salayan Octave, Cert, DoD, USAF tarafndan deerlendirme metodu olarak kurumlar Octave, varlk tabanl bilgi gvenlii yapamaktadr. Octave metodunun gsterilmektedir [8]. planlama tekniidir. bilgi gvenlii risk iin oluturulmutur. risk deerlendirmesi evreleri ekil-3de

ekil 3: OCTAVE Evreleri

ekil 1: CRAMM Metodu [6]. CRAMM metodu analiz ve ynetim olarak iki ana blmde ele alnabilir. Risk analizi blmnde bilgi varl, varlk zerindeki aklklar(korumaszlklar) ve tehditlerin bu aklklar kullanmas sonucunda oluabilecek risklerin analizini, ynetim blmnde ise lmleme, uygulama ve denetim blmlerinden olumaktadr. 2.4. EBIOS (In French-Expression des Besoins et Identification des Objectifs de Security) Bu risk metodolojisi; DCSSI (Direction Centrale de la Scurit des Systmes d'Information) tarafndan Fransada oluturulmutur.

EBIOS Method; Bilgi Gvenlii Sistemi ile ilgili riskleri ele alr ve deerlendirir. EBIOS metodunun genel emas ekil 4te verilmektedir [9].

kontrol amalarn, belirlenmi kontrollerin ve uygulanabilirlik durumunun takip edildii modldr. Kontrollerin Uygulanmas: Seilmi kontrollerin uygulanmas planlanr.

3.2 Real ISMS

ISO 27001 ve Cobit temelli internet tabanl bir risk analiz yazlmdr. Web sunucusu olarak ISS ve Apacheyi desteklemekte, veri taban olarak ise MS SQL, ORACLE ve POSTGRESS veri tabanlarn desteklemektedir.[13] Real ISMSnin balca modlleri unlardr; Ynetim: Bu modlden kullanclarn tanmlanmas, deer skalalarnn belirlendii blmdr. Raporlama: Grafiksel ve istatistiksel bilgilerin alnabildii, kullanclarn hareketlerinin izlendii ve raporlamann yapld modldr. Risk Ynetimi: Bilgi varlklarn belirlendii, varlklara ait risklerin eklendii ve risk hesabnn yapld modl olup yine kontroller de bu blmde eklenebilmektedir. Politika Ynetimi: BG politikalarna ilikin bilgilerin yer ald modldr. (Yaynlanan, revize edilen politikalar vs.) yiletirme: Aksiyon planlarnn oluturulduu, olaylarn dzenlendii ve raporlamann yapld modldr. Ktphaneler: Organizasyona ait BG olaylarnn yer ald, yeni olaylarn eklendii, dokman ablonlarnn bulunduu, Arama: Veri ya da eleman filtrelemesine gre aramalarn yapld modldr.

ekil 4: EBIOS Method 2.5. ISAMM (Information Security Assessment & Monitoring Method) ISAMM nitel ynteme dayanan risk analiz metodolojisidir. ISAMMda risk deerlendirme evresi ksmdan meydana gelmektedir; [10,11] Kapsamlatrma Tehdit ve aklklarn deerlendirilmesi Riskin hesaplanmas ve raporlanmas

3. Risk Ynetim Yazlmlar

Bu blmde, risk metodolojileri hakknda ayrntl bir analiz yapabilmek amacyla Art of Risk, Real ISMS, Callio, ISMart, Proteus, Risk Watch, ISMS-Rat uygulama yazlmlarnn kullanm olduu risk ynetim metodolojileri incelenmitir.

3.3 ISMart
Biz Net, TSE ve ISO17799 / 27001 standardna uygun olarak bilgi gvenlii ynetimi sistemi kurmak ve uygulamak isteyen kurumlar iin gelitirilmi, Linux, Unix, veya Windows zerinde alabilen Java ile yazlm web tabanl bir programdr. Programda ncelikler varlk, tehdit, risk kategorileri oluturulur. Kategoriler birbiri ile ilikilendirilir. Varlk kategorilerine varlklar eklenir ve varla ilikin tehditler girilir. Bu kapsamda risk deerlendirilmesi yaplr [14].

3.1 Art Of Risk

ISO 27001 tabanl nicel metodu kullanan bir risk analizi yazlmdr [12]. Balca modlden oluur; Bilgi Toplama Modl: ISMS alan, dokmanlar ve dokmanlarn kayt numaralar, risk politikalar ve kapsamlar, risk deerlendirmeleri, varlklar ve varlklarn gizlilik, btnlk, eriilebilirlik ve dier gvenlik zelliklerini tanmlar. Risk Tanmlama ve Deerlendirme Modl: Tanmlanan varlklar iin tehditler, aklklar ve risk deerleri ve hesaplamalarn yapld modldr. Risk Ynetimi Karar Modl: Risk tedavi seeneinde tanmlanm riskler iin kontroller ve kontrol hedefleri oluturur. Riskleri minimum seviyeye ekebilmek iin seilmi

3.4 Callio
Secura 17799; irketlere BS 7799/ISO 17799 bilgi gvenlii ynetimi standardn salayan web tabanl bir yazlmdr. Nitel bir deerlendirmesi yaplr Risk Tanmlama: Varlklar asndan riskleri tanmlanr. Risk Deerlendirmesi: Risk hesaplama ve deerlendirmesi yaplr. Varlk envanteri oluturulur ve deerlendirilir.

Risk tedavi: ISO 17799 Kontrolleri: Farkl senaryolar deerlendirmek (Risk Tedavi plan tasla) Risk letiimi: Dokman Ynetimi, Bilinlendirme Merkezi Bilinlendirme Merkezi Portal: Farkl personel gruplar iin bilgi gvenlii belgeleri yaynlanr. ISO 17799 n Tehis: Anket, gvenlik durumu ile ilgili ilk karar, uyum raporlar alnr. [15,16]

Aklk deerlendirme: Varlkla zafiyetleri-aklklar tanmlanr.

ilgili

varsa

gvenlik

Risk hesaplama: Standart yaklamlar esas alan, bilgi varlk deeri, tehdit ve aklk deerlerinin toplamndan elde edilmektedir.

4. Uygulama Yazlmlarnn Karlatrlmas

Bilgi gvenlii risk ynetimine ait bilinen belli bal uygulama yazlmlar Mays-Ekim 2009 tarihleri arasnda kapsaml bir ekilde aratrlmtr. nceleme, ilgili uygulamalarn demo yazlmlarnn elde edilmesi ve/veya internet ortamnda yer alan bilgilerin taranmas yoluyla elde edilmitir. ncelenen risk ynetim yazlmlarnn uygulama tr, standart yaklamlar, risk metodolojisi, yazlm gelitirme platformu ve alt veri taban bakmndan karlatrma zeti Tablo 1de gsterilmektedir.

3.5 Proteus
Infogov (Information governance limited) Limited irketi tarafndan gelitirilmi web tabanl bir risk ynetim yazlmdr. Proteus ile kurumlar COBIT, SOX, ISO 17799, PCI DSS gibi standartlarn kontrolleri uygulanabilir. Nitel ve nicel risk analizini destekler. Her iki yntemde de varlk ynetimi, tehditlerinin belirlenmesi, risk aksiyon planlarnn oluturulmas ve olay ynetimi mevcuttur. Riskler ile ilgili pdf, doc formatnda raporlama yaplr ve dashboarddan grafiksel bilgiler alnabilir. ISO 27001, BS 25999, PCI DSS, Cobit, SOX gibi standartlar destekler. [17]

Tablo 1: Risk Ynetim Yazlmlar

3.6 Risk Watch

RiskWatch firmas tarafndan bilgi gvenlii risklerini analiz etmek iin oluturulmu bir uygulamadr. Risk metodolojisi olarak nicel yaklam benimsemitir. Bu uygulama bilgi sistemleri aklklarnn deerlendirilmesi ve risk analizini ierir. Kurumlarn ihtiyacna gre ekillendirilebilir, yeni varlk, tehdit, aklk kategorileri, soru kategorileri ve setleri oluturulabilir. ISO 17999 ve US-NIST 80026 standartlarna ilikin kontrolleri ierir. [18]

3.7 ISMS-Rat
ISMS- Rat client tabanl basit bir risk analiz programdr [19]. Uygulama veri taban olarak MS Access kullanmakta, standart yaklam ISO 17799 ve ISO 27001 standard bilgi gvenlii ynetim sistemini ve dolays ile risk ynetimini desteklemekte olup risk deerlendirme metodu olarak nitel analiz yaklam kullanlmtr. Uygulama yazlm gelitirme platform bilgisine ise ulalamamtr. Varlk deerlendirme: Bilgi varlklarnn gizlilik, btnlk, eriilebilirlik nitelikleri bakmndan ayr ayr ele alnr. Deerlendirme nceden tanmlanm deer skalalar zerinden gerekletirir. Tehdit deerlendirme: Varlkla ilikili tehditler ve bunlarn gerekleme olaslk deerlerinin tanmlamas yaplarak tehditlerin deerlendirilmesi salanr. Uygulamalarn bir ksm sadece risk ynetimi yaparken dierleri risk ynetimini de ierisinden barndran bir Bilgi Gvenlii Ynetim Sistemi (BGYS)ni iletmek amal gelitirildii grlmektedir. Standart yaklamlar bakmndan incelendiinde GSTOOL(IT Baseline Protection Manuel) ve kendi metodolojisini kullanan OCTAVE hari hepsi bir ekilde bilgi gvenlii standard olan (BS7799, ISO 17799, 27001, 27005) standartlarn referans ald, kartlara ilikin standart olan PCI DSS, srekliliine ynelik BSI 25999, BT ynetiimine ilikin COBIT ve dier NIST 80026, SOX, Basel II, HIPPA, Risk IT ve ITIL gibi bilinen pek ok standard destekleyen uygulamalardan olutuu grlmektedir.

Risk deerlendirme yaklam bakmndan incelendiinde yazlmlarn ou nitel analiz yntemini esas ald, nicel analiz yaklamn ise ok nadir kullanld, CRAMM, PROTEUS ve Real ISMS uygulamalnn ise hem nitel hem de nicel yaklam kullanld gzlemlenmitir. Aratrma esnasnda yazlm platformu ve veri taban bilgisi gibi teknik bilgiler ksmen elde edilebilmitir. ncelemeler sonrasnda, uygulama platformlarnn genellikle web tabanl (Real ISMS, ISMART, GRC, Callio vb) olarak gelitirildii, Art of Risk, ISMS Rat gibi uygulamalar ise istemci tabanl (C/S) olarak gelitirildii grlmektedir. Gnmz kullanc talepleri ve internet teknolojilerinin geliimi, tanabilirlik, kolay eriilebilirlik ve kurulum ve bakmda salad avantajlar bakmndan internet tabanl uygulamalar ne karmakta. Buna karn farkl blgelerde datk yapda olmayan, kk iletmeler iin gvenlik riski/maliyeti daha dk olan C/S olarak gelitirilen rnler tercih edilebilir. Uygulamann kulland yada destekledii veri tabanlar incelendiinde uygulamalarn yarya yaknnda bilgiye ulalamad. Elde edilebilende ise MS Access, My SQL, SQL Server ve ORACLE veri tabanlarnn kullanlabildii grld.

uygulamalara; Art Of Risk, Real ISMS ve ISMart tercih edilebilecek rnek uygulamalar olarak verebilir. Bununla birlikte her kurum kendi ihtiyac dorultusunda ihtiyalarna cevap verecek uygulama yazlmn kullanmal ya da kendi ihtiyac dorultusunda uygun yazlmn gelitirmelidir. Aratrma sonular anlamlandrlrken aratrmann zaman dilimi, uygulamalara snrl eriim hakk olan kullanc ya da demo programlarnn kullanlmas veya dier internet kaynaklar araclyla elde edilen bilgilerin deerlendirilmesi sonucunda elde edildii gz nnde tutulmaldr.

6.

Kaynaka

[1] ISO 27001 Information Security Management System [2] ISO 27005 Information Technology Risk Management [3] BDDK lkeler Teblii, Eyll 2007 [4] Cobra, http://www.riskworld.net/benefits.htm, Ekim 2009 [5] http://en.wikipedia.org/wiki/CRAMM , Ekim 2009

5. Sonu
Bilgi ve bilgi teknolojisinden kaynaklanan risklerin ynetiminde; gnmz i dnyas gereksinimleri, yasal dzenlemeler, teknolojik gelimeler ve artan rekabet koullar, kurumsal risk ynetimini zorunlu klmaktadr. Dier taraftan kurumsallamay hedefleyen irketler artk kurumsalln bir gereksinimi olarak yapt ilerde ilgili standartlar da dikkate almak zorundadr. Gerekleecek bir bilgi gvenlik riskinin kuruma maliyetini nceden tam olarak kestirebilmek zor olsa da bu riskleri kabul edilmi bir risk metodolojisini kullanarak nceden kestirebilmek ve ynetebilmek mmkndr. Kurumlar madden ve manen varlklarn etkin bir ekilde devam ettirebilmek iin, kendi ihtiyalar dorultusunda bir risk ynetim metodolojisi belirlemeli ya da var olan risk metodolojilerinden birini semelidir. Seilen metot kurumda etkin bir ekilde uygulanmal, periyodik olarak izlenmeli ve alnan risk iyiletirme kararlar dorultusunda giderilmeli ya da kurumun kabul edebilecei bir seviyeye indirgenerek revize edilmelidir. Bu alma, risk ynetim metodolojileri yapmak isteyen kurum ya da kurululara mevcut belli bal risk metodolojileri hakknda bilgilendirilmesine ynelik inceleme sonularnn paylamndan olumaktadr. Bu almada incelenen uygulama yazlmlarn pek ou ayn zamanda bilinen bir standard da referans almaktadr. nceleme sonularna gre en yaygn, bilinen ve ayn zamanda bilgi gvenlii ynetim sistemi(ISO 27001)ni de destekleyen

[6]Cramm,http://www.cramm.com/files/datasheets/CRAMM% 20(Datasheet).pdf, Ekim 2009 [6] Cramm, http://www.cramm.com/overview/ Mays 2009 [7] Cramm Management Guide, Page:10, April 1996 [8] Octave Criteria V.2.pdf, Syf.7, December 2001 [9] Ebios, http://en.wikipedia.org/wiki/EBIOS, Ekim 2009 [10]Isamm, http://rminv.enisa.europa.eu/methods_tools/m_isamm.html, Ekim 2009 [11]Isamm,http://www.bankingfinance.nl/42828/DossierTelin dusBelgacom.pdf, Kasm 2009 [12]Art Of Risk, http://www.aexis.de/index.php?site=static&staticID=4 , Ekim 2009 [13] RealISMS, Haziran 2009 http://www.realismssoftware.com/ [14] ISMart, http://www.biznet.com.tr/ismart_faq.htm, Ekim 2009 [15]Callio,http://www.callio.com/PDF/Calio_Secura17799.pd f, Ekim 2009 [16] Callio, http://www.callio.com/bs7799/id,301, Mart 2009 [17]Proteus,http://rminv.enisa.europa.eu/methods_tools/t_proteus.html, Ekim 2009 [18]RiskWatch,http://rminv.enisa.europa.eu/methods_tools/t_r iskwatch.html, Ekim 2009 [19] ISMS-RAT, Ekim 2009 http://www.brothersoft.com/isms-rat-74927.html [20]ENISA,http://rminv.enisa.europa.eu/rm_ra_methods.html, Ekim 2009