Yangında İlk Kurtarılacak Risk Analizi Üzerine Çeşitlemeler
description
Transcript of Yangında İlk Kurtarılacak Risk Analizi Üzerine Çeşitlemeler
Yangında İlk Kurtarılacak
Risk Analizi Üzerine Çeşitlemeler
Erhan Görmen
Bilgi Güvenlik Danışmanı
http://www.sonofnights.com
2
Sunum Akışı
Risk Nedir? Risk Analizi Yöntemleri Risk Analizi Araçları Risk Analizi Örnekleri Uygulama ve Sonuçlar
http://www.sonofnights.com
3
Risk Nedir?
Ekşi Sözlük Kavramları:Hayatın kendisiMuhteşem bir oyunBir işlemci tipiKredinin harcanan kısmıDeğişkenliğin yüksek olduğu ortamlarda
yüksek olan kavram İstenmeyen sonuçlarla karşılaşma olasılığı
Türk Dil Kurumu Güncel Sözlük:Zarara uğrama tehlikesi
http://www.sonofnights.com
4
Bilgi Güvenliği, Risk Analizi ve Standartlar
BS7799 ISO 27001 (ISO 17799) COBIT NIST
http://www.sonofnights.com
5
Risk Analizi Yöntemleri
PHA (Preliminary Risk Analysis) FMECA (Failure Modes, Effect and Criticality Analysis) FTA (Fault Tree Analysis) HAZOP (Hazard and Operability Analysis) MORT (Management Oversight Risk Tree) SMORT (Safety Management Organization Review
Technique) S/SSA (Security/Survivability Systems Analysis) CEA (Cost Effectiveness Analysis) CBAM (Cost Benefit Analysis Method) MC (Monte Carlo Modeling) CRAMM (UK Government Risk Analysis and
Management Method)
http://www.sonofnights.com
6
Risk Analizi Araçları - I
@RISK Analytica ASSET OCTAVE Quadrant Crystall Ball CRAMM Palisade TopRank Callio Cobra RISKView RAMAS
LAVA DDIS LRAM MINIRISK Control-IT RISAN Risiko BDS RiskWatch RiskPAC RiskCALC Xacta XRM
http://www.sonofnights.com
7
Risk Analizi
Risk Yönetimi
Risk Analizi ve Yönetimi
Varlıklar Zafiyetler Tehditler
RİSKLER
KarşıÖnlemler
http://www.sonofnights.com
8
Risk Analizi Puanlaması
Risk = Değer x Tehdit x Etki x Olasılık
RİSK Değeri = 65
???
http://www.sonofnights.com
9
Risk Analizi Değerlendirmesi
Düşük Gizli olmayan, bütünlüğü önemsiz ve uzun süre
erişilememesi sorun olmayacaksa Orta
Şirket çalışanlarının bilmesinin sakınca yaratmayacağı, bütünlüğünün bozulmasının ve bir süre erişimin olmaması sorun yaratmayacaksa
Yüksek Şirket içerisinde belirli bir grubun bilmesi gereken,
bütünlüğünün bozulması durumunda diğer araçlar aracılığıyla doğru belirlenebiliyor ve erişimin önemli olduğu durumlar varsa
Çok Yüksek Sadece ilgili kişilerin bildiği, bütünlüğünün son derece önemli
olduğu, her an erişilmesi gereken bir durum varsa
http://www.sonofnights.com
10
Risk Analizi Araçları - II
Kapsamın belirlenmesi Sistem ya da varlıkların girdi-çıktılarının
belirlenmesi
Varlık Fonksiyonu Sahibi Değer Zayıflıklar Tehditler Olasılıklar EtkilerRisk
Derecesi
Güvenlik Kontrol Tanımı
Fiyat/Risk Karşılaştırması
Risk Önceliği
Seçilen Kontroller
Kategori 1. Adım 3. Adım 4. Adım 5. Adım 6. Adım 7. Adım 8. Adım 9. Adım 10. Adım 11. AdımTip A
BCD
2. Adım
http://www.sonofnights.com
11
Risk Analizi Örnekleri
Yangında İlk Kurtarılacak
http://www.sonofnights.com
12
Uygulama
http://www.sonofnights.com
13
Risk Analizinin Yanısıra…
Bilgi Güvenliği Politika belgeleri Bilgi güvenliği sorumlulukları Bilgi güvenliği eğitim ve öğretimleri Güvenlik olay yönetimi (en azından
raporlanmasının sağlanması) İş Süreklilik Planları
http://www.sonofnights.com
14
Risk Analizi Sonuçları
Veri Toplama Analiz Sonuçların Çıktısı Kabul Edilebilir Risklerin Belirlenmesi Risk Azaltma Plan ve Projeleri
http://www.sonofnights.com
15
Sorular
http://www.sonofnights.com
16
Teşekkürler
http://www.sonofnights.com