Risk Değerlendirme NIST Örneği

Risk analiz işlemleri Şekil 2.12’de gösterildiği gibi dört basamaktan meydana gelmektedir. İlk basamakta varlıklar, tehditler ve açıklar üzerinde bir tanıma ve değerlendirme aşamasından geçirilmektedir. İkinci basamakta varlıklar, tehditler ve açıklar güvenlik riskini analiz etmek için kullanılır. Üçüncü basamakta uygun risk azaltma modelleri varlıklar için potansiyel tehditleri azaltmak için uygulanır. Dördüncü basamakta başlangıç riskleri, risk azaltma yöntemlerinin tipi ve maliyeti, kalan güvenlik riskleri özetlenir. Kuruluşlar tarafından meydana gelebilecek riskler tespit edilip bunları en az seviyeye indirmek için bir yöntem seçilmelidir. Bazı risk azaltma yöntemlerinin genel sınıflandırılması hangi bilişim altyapılarında uygulanabileceği anlatılmıştır [41].

 Erişim Kontrolü: Bir oluşumu tanıma, Fiziksel medya ( Akıllı kart), şifreye dayalı yetkilendirilmiş sistemler.

 Şifre Kontrolü: Açık anahtar altyapısı.

 İnternet Güvenlik kontrolü: Saldırı tespit sistemi, güvenlik duvarı.

 Uygulama Güvenlik Kontrolü: Veri tabanı güvenliği, sistem dosya güvenliği.  Fiziksel/Çevresel Güvenlik Kontrolü: Tesis güvenliği, kurum güvenliği.

43

Şekil 12.12. Güvenlik risk analiz modeli [41]

Basamak 4 Etki Analizi

Sonuç Belgelendirme Risk Azaltma

Olasılık ve Etki Belirleme

Risk Belirleme Varlıklar

Varlıklar Tehditler Açıklar

Tanıma ve Değerlendirme

Basamak 1

Kontrol ve Risk Analizi Tehditler

Basamak 2

Fayda Maliyet

44

Risk yönetiminin National Institute of Standards and Technology (NIST) standartlarına göre değerlendirme süreci en önemli ve çok ayrıntılı araştırılması gereken bir süreçtir. Bu aşamada riskler belirlenir, analiz yapılır ve sonuç değerlendirilir. Bu aşamada yapılanlar bir sonraki aşama için hayati önem taşımaktadır. Risk değerlendirme yönetim bilimi aşağıda anlatılan adımları kapsar [42].

a) Sistemin tanımlanması

Sistem tanımlanırken önceden yapılmış bir analiz sonucu varsa bundan faydalanarak varlıklar ve varlıkların değerleri belirlenir. Bu varlıklar yazılım, donanım, sistem girdileri, veri ve bilgi, bilgi teknolojisini destekleyen ve kullanan kişiler, sistem ve veri hassaslığı şeklindedir. Bir varlığın değerini herhangi bir saldırı sonucunda meydana gelen zararın uzun vadedeki sonuçları belirler.

b) Tehdit Belirleme

Tehdit bir sistemi kötü yönde etkileme potansiyeli olan olaylardır. Tehditlerin doğal olanları sel, deprem, kasırga, heyelan, çığ, fırtına ve elektrik benzeri olaylar olabileceği gibi insanlar tarafından da gerçekleştirilebilir. İnsanlar tarafından gerçekleştirilen tehditlere ise şebeke tabanlı saldırılar, kötü niyetli yazılım yükleme, yetkisiz erişim gibi tehditler örnek verilebilir. Bu gibi tehditlerin ne şekilde olabileceği, ne zaman olabileceği gibi sorular sorularak tehditlerin değerlendirmesi yapılır.

c) Güvenlik Açığı Tespiti

Saldırının bir sistemi zafiyete uğratacak olan, güvenlik gereksinimleri, yazılım ve donanım altyapılarındaki güvenlik açığı ya da eksikliğidir. Zafiyetler, sistemde olumsuz etkilere sebebiyet verebilecek risklerdir. Bu aşamada öncelikle savunmasızlığın neden kaynaklandığı tespit edilir ve gelebilecek tehditlerle ilişkilendirilir. Gelebilecek tehditlere karşı anketler yapılarak, hizmet paketleri düzenlenerek, yamalar çıkarılarak ve zaaflara karşı diğer iyileştirici tedbirler alınarak bu tehditler önlenebilir. Örneğin sızma testleri yapılarak sistemdeki güvenlik açıkları ağ tarama yöntemleri ile bulunabilir. Bu testin amacı tehditleri belirlemek ve altyapıyı korumak için muhtemel kusurları tespit etmektir. Bu zayıflıktan kaynaklı olumsuz etkilenecek varlıklar ise bilgi bütünlüğü ve sistemin zarara uğraması olabilecektir. Varlık, tehdit ve açıklar risk değerlendirmeyi daha kapsamlı olarak değerlendirmeyi sağlayacaktır.

45

ç) Kontrollerin Analizi

Bu adımda güvenlik açıkları nedeniyle gerçekleşebilecek bir saldırının oluşma olasılığını azaltacaktır. Yani olumsuzluk yok olabilecek veya zarar derecesi azaltılabilecek ve tehdit kontrol altına alınabilecektir. Kontrol analizinde kontrolü gerçekleştirecek olan bir eylem, aygıt, prosedür veya bir teknik önlemler olabilir. Teknik kontroller bilgisayar donanımı ve yazılımı yoluyla erişim kontrol mekanizmaları, kimlik doğrulama, şifreleme yöntemi veya saldırı tespit yazılımı olabilir. Teknik olmayan kontroller ise güvenlik politikaları, personel ve çevresel güvenlik olabilir. Özellikle önem derecesi yüksek sistemler için ayrıntılı analizler daha güvenli olacaktır.

d) Olasılık Belirleme

Meydana gelebilecek bir tehdidin olasılığı, tehdit kaynağı motivasyon ve yeteneği, savunmasızlığın doğallığı mevcut kontrolün varlığı ve etkinliği faktörleri dikkate alınmalıdır. Olasılık tespit edildikten sonra savunmasızlığın varlıklara sebep olabileceği olumsuzlukların seviyesi belirlenmelidir. Olasılık belirleme üç seviyede ele alınabilir. Birincisi yüksek seviye olan; tehdit kaynağı yüksek motivasyonlu ve yeterince yetenekli ayrıca savunmasızlığı önleme kontrolü etkisizdir. İkincisi orta seviye olan; tehdit kaynağı motive olmuş ve yeteneklidir ayrıca kontroller savunmasızlığı engellenebilir. Üçüncüsü düşük seviye olan; tehdit kaynağı motivasyon ve yeteneği eksiktir ayrıca kontroller savunmasızlığı önemli derecede engeller ve önler.

e) Etki Analizi

Etki analizi yapılırken sistem misyonu, sistem veri kritikliği hassasiyeti belirlemelidir. Varlıkların duyarlılık ve kritikliği niteliksel ve niceliksel olarak belirlenebilir.

f) Risk Belirleme

Bu aşamada analiz edilen riskin seviyesi belirlenmelidir. Riski azaltmak veya yok etmek için planlanan ya da var olan güvenlik kontrollerinin yeterliğini ifade eder. Matematiksel olarak risk, herhangi bir varlığın bir savunmasızlığa maruz kalması sonucunda değerindeki azalmayla güvenlik zafiyetine karşı tehdit oluşma ihtimalinin çarpımıdır.

46

Risk seviyeleri sayısal bir büyüklük olarak bulunabileceği gibi; yüksek, orta ve düşük seklinde nitel bir ifadeyle de belirlenebilir. Her tehdit olasılığı seviyesi için atanan olasılık yüksek için 1, orta için 0,5, düşük için 0,1’dir. Her etki seviyesi için atanan değer yüksek 100, orta 50 ve düşük için 10 olduğunu Tablo 2.4’de görebiliriz.

Tablo 12.4. Nitel risk seviyeleri [42]

Tehdit Olasılığı Etki Derecesi Düşük (10) Orta (50) Yüksek (100)

Yüksek (1,0) _{10*1,0 = 10} Düşük _{50*1,0 = 50} Orta _{100*1,0 =100} Yüksek

Orta (0,5) Düşük 10*0,5 = 5 Orta 50*0,5 = 25 Orta 100*0,5 =50 Düşük (0,1) _{10*0,1 = 1} Düşük _{50*0,1 = 5} Düşük _{100*0,1 =10} Düşük

Risk Ölçeği: Yüksek ( >50 - 100); Orta ( >10 - 50); Düşük (1 - 10)

Toplam Maliyet = Maliyet + Operasyon Maliyeti + İş Fırsatı Maliyeti

Maliyet, bir varlığı satın alma veya yüklenme gücüdür. Operasyonlu maliyet, zarara uğramış bir varlığı kurtarmak için harcanan maliyettir. İş fırsatı maliyeti ise parasal kazanç sağlamak için iş kaybıdır. Risk yönetimi bu maliyet faktörleri değerlendirilerek karar verilebilir [41].

f) Kontrol Önerileri

Bu adımda riskleri kabul edilebilir bir seviyeye indirecek veya yok edecek kontrollerin

tavsiye edilmesi ve bunların karar verenlere raporlanması yapılmaktadır. Bu önerilerden bazıları önerilen seçeneklerin etkinliği, mevzuat ve düzenleme, örgütsel politika, işletme etkisi ve güvenlik olabilir. Kontrol önerileri risk değerlendirme sürecinin risk azaltma sürecine girdi sağlayan güvenlik kontrollerini değerlendirir.

f) Sonuç Dokümantasyonu

Risk değerlendirmesinin son aşaması olan bu aşamada, tehdit kaynakları, belirlenen güvenlik açıkları ve kontroller tamamlandıktan sonra sonuçları bir rapor halinde sunulmalıdır. Bu raporlar sert kurallar şeklinde değil, güvenliği geliştirici nitelikte görülmelidir. Güzel bir şekilde hazırlanmış sonuç dokümantasyonu daha sonraki risk

47

değerlendirmelerinde daha kolay ve hızlı bir şekilde karar vermemizi sağlayacaktır. Bu aşamada sistem sınırları ve mevcut varlıklar belirlenir, riski oluşturanlar tespit edilir, kontroller yapılır, riski azaltma veya ortadan kaldırma yapılır ve riskin büyüklüğü belirlenir. Tüm bu yapılanlar risk analizi olarak raporlanır.