Birlikte Çalışabilir AB Risk Yönetimi Çerçevesi
Bölüm-11

Risk Yönetimi Çerçeveleri ve Metodolojileri Arasında
Birlikte Çalışabilirliğin Değerlendirilmesi için Metodoloji

Aşağıdaki Enisa Raporu  Enisa  web sitesindeki orjinal İngilizce versiyonundan  alınarak  ETP Celal Ünalp  tarafından yapay zeka çeviri yazılımları kullanarak Türkçe'ye tercüme edilerek düzenlenmiştir.

Kaynak: 
https://www.enisa.europa.eu/publications/interoperable-eu-risk-management-framework/@@download/fullReport 
(Güncellenmiş Rapor, Aralık 2022)

Rapor bölümler halinde yayınlanacaktır. Enisa  ve yazının yazarlarının Türkçe çeviri ile ilgili sorumluluğu yoktur. ETP  Türkçe çeviri ve düzenleme sorumluluğunu üstlenir.

Türkçe çeviride  göreceğiniz olası hataları " iletisim@etp.com.tr "  adresine e-posta göndermenizi rica ederiz. 

Bu raporun ETP Portalımızda yayını ile ilgili bize destek ve kılavuz olan   ENISA Ekibi 'ne,   Avrupa Birliği Yayınlar Ofisi'nden Mr. Brian Killeen 'e  teşekkür ederiz. 




6. ÖNE ÇIKAN RISK YÖNETIMI ÇERÇEVELERI VE METODOLOJILERIN E ILIŞKIN GÜNCELLEMELER

Bu bölümde, Birlikte Çalışabilir AB Risk Yönetimi Çerçevesi raporunda tanımlandığı şekliyle, en önde gelen ve halihazırda kullanılmakta olan RM çerçeveleri ve yöntemlerinde yapılan güncellemeler açıklanmaktadır.

6.1    MONARC
(https://www.monarc.lu/, Siber Güvenlik Ajansı, Lüksemburg)
 

MONARC (Méthode Optimisée d'analyse des risques CASES - CASES tarafından Risklerin Optimize Edilmiş Analizi için Yöntem) (CASES, 2013) hassas ve tekrarlanabilir risk değerlendirmelerinin yapılmasına olanak tanıyan bir araç ve yöntemdir. Lüksemburg'daki Lüksemburg Ekonomisi ve Belediyeler için Siber Güvenlik Ajansı'nın Siber Dünya Farkındalığı Güvenlik Geliştirme Hizmetleri (CASES) departmanı tarafından 2013 yılında oluşturulmuştur.

Birlikte Çalışabilir AB Risk Yönetimi Çerçevesi raporunun yayınlanmasından bu yana MONARC, ISO/IEC 27002:2022 kontrolleri ile uyumlu güvenlik kontrolleri kataloğunun eklenmesi yoluyla risk işleme aşamasının bir güncellemesini dahil etmiştir. Bu, yeni özelliklerin belirli RM aşamalarına dahil edilebileceği göz önüne alındığında, MONARC'ın birlikte çalışabilirlik potansiyelini göstermektedir. Ayrıca, önceki sürümde, sağlanan kontrol kataloğu zorunlu değildir ve referans kataloglarını diğer kaynaklardan (örneğin standartlar) içe aktarmak mümkündür.

6.2    AB ITSRM2 , BT GÜVENLİK RİSK YÖNETİMİ METODOLOJİSİ V1.2
(https://ec.europa.eu/info/publications/security-standards-applying-all-european-commission- information-systems_en, AB, DG DIGIT)

ITSRM² BT Güvenlik Risk Yönetimi Metodolojisinin ikinci versiyonu (2020, versiyon 2.0) (Avrupa Komisyonu İletişim Genel Müdürlüğü, Tüm Avrupa Komisyonu bilgi sistemleri için geçerli güvenlik standartları), Kasım 2021'de güncellenen bilgi güvenliği standartları setinin bir parçası olarak DG DIGIT ve Avrupa Komisyonu tarafından sağlanan bir metodolojidir. Metodoloji, Bağlam Oluşturma, Risk değerlendirmesi ve Risk Tedavisi dahil olmak üzere ISO 27005 ile eşleştirilen aşamalar ve adımlardan oluşur. Metodolojideki ana değişiklikler şunlardır:

•    Birincil varlıkların envanterinde kişisel verilerin işaretlenmesi,
•   varlık değerlemesi, yalnızca iş üzerindeki etkiyi değil, kişisel veriler için veri sahibi üzerindeki etkiyi de dikkate alacak şekilde genişletilmiştir (yani, Etki Ölçekleri İş Etki Ölçeği ve Veri Koruma Etki Ölçeği olarak ikiye ayrılmıştır)
•  Tedbir katalogları NIST SP800-53r4'teki tüm tedbirleri içermekle birlikte 1) Hafifletici tedbirler, 2) Destekleyici Tedbirler ve 3) Kurumsal Tedbirler olarak kategorize edilmiştir. 

6.3    AML/CFT ULUSAL RİSK DEĞERLENDİRMESİ METODOLOJİSİ
(https://pubs.opengroup.org/security/o-ra/, The Open Group)
 

Risk Analizi için Açık Grup Standardı (The Open Group, 2021) tarafından sağlanan metodolojinin yeni bir versiyonu yayınlandı (versiyon 2.0.1). Belge, Risk Taksonomisi Standardının güncellenmiş versiyonu (Risk Taksonomisi (O-RT) Standardı, Versiyon 3.0.1, Açık Grup Standardı (C20B, Kasım 2021)) ile ilişkilidir.

Sürüm 2.0.1'deki ana güncellemeler şunlardır:

•    Tahminleri modellemek için bir parametre olarak "En Muhtemel Değerdeki Güven Seviyesi" sonlandırılmış ve yerine bunu belirleyecek dağılım seçimi getirilmiştir
•    Niteliksel bir ölçek kullanan niceliksel örnek kaldırılmıştır
•    Açık FAIR terimleri ve tanımları netleştirildi
•    Kayıp Senaryosu, kullanılacak dağılımın ve modellenecek Risk Faktörünün seçilmesine ilişkin rehberlik de dahil olmak üzere, eşlik eden şekiller kullanılarak ayrıştırılır ve açıklanır.
 

6.4    AML/CFT ULUSAL RİSK DEĞERLENDİRMESİ METODOLOJİSİ (https://www.rahandusministeerium.ee/et/system/files_force/document_files/l2._nra_methodolog y_report.pdf?download=1, Estonya Cumhuriyeti Maliye Bakanlığı)

AML/CFT metodolojisi Estonya Cumhuriyeti Maliye Bakanlığı tarafından geliştirilmiştir. Bu RM çerçevesinin amacı, kara para aklama ve terörün finansmanı risklerini, tehditlerini ve zayıflıklarını belirlemek, değerlendirmek ve anlamaktır. Belirli tehditler mutlaka siber güvenlik riskleri olmasa da, metodoloji güçlü bir şekilde tehditlerin siber uzay ve bilgisayar sistemleri altyapıları aracılığıyla gerçekleştirilmesine yöneliktir.

Risk yönetimi süreci risk tanımlama, risk analizi, risk değerlendirme ve yeniden değerlendirmeyi içerir. Risk tanımlama, diğerlerinin yanı sıra tehditlerin ve güvenlik açıklarının anlaşılmasını; risk analizi, diğerlerinin yanı sıra risk ve güvenlik açığı derecelendirmesini; risk değerlendirme ve yeniden değerlendirme ise eylem planlaması ve risklerin yeniden değerlendirilmesini içerir. Metodoloji, tehditlerin ve güvenlik açıklarının gösterge niteliğinde bir sınıflandırmasının yanı sıra tehdit olasılığı ve güvenlik açığı seviyesi için beş seviyeli bir ölçek ve risk derecelendirmesi için beş seviyeli bir ölçeklendirme ile ilgili derecelendirme yönergeleri sağlar. Örneğin 1. seviye risk "ulusal güvenlik sistemleri üzerinde önemsiz etki", 4. seviye risk "bilgisayar altyapısı ve veri tabanlarına yönelik, gizli bilgilerde kayıpları içeren yüksek siber suç saldırıları" ve 5. seviye risk "bilgisayar altyapısı ve veri tabanlarına yönelik, Ulusal Sırların (gizli bilgiler) ifşasını içeren, bilgi, bilgisayar ve telekomünikasyon sisteminde ulusal operasyon düzeyinde artan hasarı içeren önemli siber suç saldırıları" ile ilişkilidir. Risk değerlendirme ve yeniden değerlendirme aşamasında, eylem planlaması için üç strateji önerilmektedir: risk kabulü, riskten kaçınma ve risk azaltma.

6.5    DAIRESEL CSSF 20/750
(https://www.cssf.lu/wp-content/uploads/cssf20_750eng.pdf, Commission de Surveillance du Secteur Financier (CSSF) of Luxemburg)

CSSF 20/750 sayılı Genelge, Commission de Surveillance du Secteur Financier (CSSF) of Luxemburg tarafından geliştirilmiştir ve özellikle finans sektörünü hedef alan bilgi ve bilgisayar teknolojisi (ICT) ve güvenlik riski yönetimine ilişkin kılavuz ilkeler sunmaktadır. Kılavuz ilkeler, finans kuruluşlarının maruz kaldıkları BİT ve güvenlik risklerini nasıl yönetmeleri gerektiğini üst düzeyde açıklamaktadır. RM çerçevesi aşağıdaki ana adımları içermektedir:

•    Organizasyon ve hedefler
•    İşlevlerin, süreçlerin ve varlıkların tanımlanması
•    Sınıflandırma ve risk değerlendirmesi
•    Risk azaltma
•    Raporlama
•    Denetim

Kılavuz İlkeler, BİT ve güvenlik risk yönetimi çerçevesinin aşağıdaki hususlara yönelik süreçleri içermesi gerektiğini belirtmektedir:

•    finansal kurumun risk iştahına uygun olarak BİT ve güvenlik riskleri için risk
iştahını belirlemek
•    bir finans kuruluşunun maruz kaldığı BİT ve güvenlik risklerinin belirlenmesi ve değerlendirilmesi
•    BİT ve güvenlik risklerini azaltmak için kontroller de dahil olmak üzere hafifletici önlemleri tanımlamak
•    bu önlemlerin etkinliğinin yanı sıra rapor edilen olayların sayısını da izleyecektir,
PSP'ler için PSD2 Madde 96 uyarınca bildirilen ve aşağıdakileri etkileyen olaylar dahil
•    BİT ile ilgili faaliyetler ve gerektiğinde önlemleri düzeltmek için harekete geçmek
BİT ve güvenlik riskleri ve kontrolleri hakkında yönetim organına rapor vermek
•    herhangi bir önemli durumdan kaynaklanan BİT ve güvenlik risklerinin olup
olmadığını belirlemek ve değerlendirmek
•    BİT sistemi veya BİT hizmetleri, süreçleri veya prosedürlerindeki değişiklik
ve/veya herhangi bir önemli operasyonel veya güvenlik olayından sonra.
Kılavuz İlkeler ayrıca, bilgi güvenliği politikası, mantıksal güvenlik, fiziksel güvenlik, BİT operasyonları güvenliği, güvenlik izleme vb. dahil olmak üzere finansal kuruluşların koruma önlemleriyle ele alması gereken belirli güvenlik alanlarını tanımlamaktadır.

6.6    SERIMA
Luxemburg Bilim ve Teknoloji Enstitüsü bir prototip geliştirerek SERIMA (SEcurity RIsk Management) adı verilen ve telekomünikasyon operatörlerinin özellikle telekomünikasyon sektöründe risk analizleri yapmalarına olanak tanıyan bir düzenleme platformu oluşturmuştur. Bu girişimin, operatörlerin risk analizleri yapmak ve yürürlükteki düzenlemelere göre olayları raporlamak için ortak bir metodolojiye sahip olmalarına yardımcı olması beklenmektedir.

Böylece format, metodoloji, veri mutabakatı veya veri karşılaştırması ve analizindeki
farklılıkların üstesinden gelinecektir.

SERIMA, kamuya açık bilgi eksikliği nedeniyle bu raporda daha fazla analiz edilmemiştir.

6.7 ISO/IEC 27005:2018
(https://www.iso.org/standard/75281.html, Uluslararası Standardizasyon Örgütü)
 
Güncelleme yok.

6.8    NIST SP 800-37 REV. 2
(https://www.nist.gov/cyberframework/risk-management-framework, ABD)
 
Güncelleme yok.

6.9    NIST SP 800-30 REV.1
(https://csrc.nist.gov/publications/detail/sp/800-30/rev-1/final, ABD)

Güncelleme yok.


6.10    NIST SP 800-39
(https://csrc.nist.gov/publications/detail/sp/800-30/rev-1/final, ABD)
 
Güncelleme yok.
 

6.11    BSI STANDART 200- 2 (https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/Grundschutz/International/bsi-standard 2002_en_pdf.html)

Güncelleme yok.

6.12    OCTAVE- S
(https://resources.sei.cmu.edu/library/asset-view.cfm?assetid=6795, Carnegie Mellon Üniversitesi / Yazılım Mühendisliği Enstitüsü - ABD)

Güncelleme yok.

6.13    OKTAV ALLEGRO
(https://resources.sei.cmu.edu/library/asset-view.cfm?assetid=8419, Carnegie Mellon Üniversitesi/ Yazılım Mühendisliği Enstitüsü - ABD)

Güncelleme yok.

6.14    OCTAVE FORTE ( KURULUŞU IÇIN OCTAVE)
(https://search.cmu.edu/?q=octave+fort&siteSearch=&site=&ie=UTF-8, Carnegie Mellon Üniversitesi / Yazılım Mühendisliği Enstitüsü - ABD)

Güncelleme yok.

6.15    ETSI TS 102 165-1, TEHDİT AÇIKLIĞI VE RİSK ANALİZİ (TVRA)
(https://www.etsi.org/deliver/etsi_ts/102100_102199/10216501/05.02.03_60/ts_10216501v0502 03p.pdf, ETSI Teknik Komitesi Siber Güvenlik)

Güncelleme yok.

6.16    EBIOS RISK YÖNETICISI (EXPRESSION DES BESOINS ET IDENTIFICATION DES OBJECTIFS DE SECURITE - IFADE IHTIYAÇLARIN VE GÜVENLIK HEDEFLERININ BELIRLENMESI) (https://www.ssi.gouv.fr/en/guide/ebios-risk-manager-the-method/, ANSSI, Fransa)

Güncelleme yok.

6.17    MAGERIT V.3: ANALIZ VE RISK YÖNETIM BILGI SISTEMLERI
(https://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae_ Magerit.html?idioma=en, İspanya Kamu İdareleri Bakanlığı, İspanya)

Güncelleme yok.

6.18    MEHARI
(https://clusif.fr/management-des-risques-cooperation-de-mehari-et-ebios-risk-manager/ https://clusif.fr/module-mehari-manager-bc/, CLUSIF, Fransa)

Güncelleme yok.
 

6.19    GEMİLERİNDE SİBER GÜVENLİĞE İLİŞKİN KILAVUZ (https://wwwcdn.imo.org/localresources/en/OurWork/Security/Documents/ANNEX%20Guideline s%20on%20Cyber%20Security%20Onboard%20Ships%20v.4.pdf, BIMCO, CLIA, ICS, INTERCARGO, INTERMANAGER, INTERTANKO, OCIMF, IUMI ve WORLD SHIPPING COUNCIL)

Güncelleme yok.

7. KAYNAKÇA/REFERANSLAR 
Higgins, J. ve Thomas, J., Cochrane Handbook for Systematic Reviews of Interventions, 2021, Version 6.2.


Weidt, F. ve Silva, R., Systematic Literature Review in Computer Science-A Practical Guide,
Relatórios Técnicos do DCC/UFJF, vol. 1, no. 0, pp. 1-7, 2016, doi: 10.1027/1016-
9040.11.3.244


ISO/IEC 2382-1:1993 Bilgi Teknolojisi - Sözcük dağarcığı - Bölüm 1: Temel terimler. Uluslararası Standardizasyon Örgütü (ISO). [Çevrimiçi]. Mevcut: http://www.iso.org/iso/catalogue_detail.htm?csnumber=7229


Standard Computer Dictionary IEEE, A Compilation of IEEE Standard Computer Glossaries. IEEE, New York, NY, 1990 https://www.standardsuniversity.org/article/standards-glossary/#I
ISO 23903:2021 Sağlık bilişimi - Birlikte çalışabilirlik ve entegrasyon referans mimarisi - Model ve çerçeve


ISO/IEC 27000:2018 Bilgi teknolojisi - Güvenlik teknikleri - Bilgi güvenliği yönetim sistemleri - Genel bakış ve kelime bilgisi


ISO/IEC 27005:2018 Bilgi teknolojisi - Güvenlik teknikleri - Bilgi güvenliği risk yönetimi Avrupa Komisyonu İletişim Genel Müdürlüğü Tüm Avrupa Komisyonu bilgi sistemleri için geçerli güvenlik standartları. AB ITSRM, BT GÜVENLİK RİSK YÖNETİMİ METODOLOJİSİ V1.2. [Çevrimiçi]

Şu adresten erişilebilir: https://ec.europa.eu/info/publications/security-standards- applying-all- europeancommission-information-systems_en

Lazarinis, F., Green, S., Pearson, E. (Eds.), (2011). E-Öğrenme Standartları ve Birlikte Çalışabilirlik Üzerine Araştırma El Kitabı: Çerçeveler ve Sorunlar. IGI Global. https://doi.org/10.4018/978- 1-61692-789-9


Gilsinn, J. ve Schierholz, R. (2010), Security Assurance Levels: A Vector Approach to Describing Security Requirements, Other, National Institute of Standards and Technology, Gaithersburg, MD, (erişim tarihi 29 Haziran 2022)

ENISA (2016) Gizlilik Artırıcı Teknolojilerin Benimsenmesi ve Gelişimi için Hazırlık Analizi, https://www.enisa.europa.eu/publications/pets (erişim tarihi 29 Haziran 2022)

ENISA (2021) Birlikte Çalışabilir AB Risk Yönetimi Çerçevesi, https://www.enisa.europa.eu/publications/interoperable-eu-risk-management-framework (erişim tarihi 29 Haziran 2022



Kaynak: 
https://www.enisa.europa.eu/publications/interoperable-eu-risk-management-framework/@@download/fullReport
(Güncellenmiş Rapor, Aralık 2022)

ENISA HAKKINDA 

Avrupa Birliği Siber Güvenlik Ajansı ENISA, Birliğin aşağıdaki konulara adanmış ajansıdır Avrupa çapında yüksek bir ortak siber güvenlik seviyesine ulaşmak. 2004 yılında kurulan ve AB Siber Güvenlik Yasası ile güçlendirilen Avrupa Birliği Siber Güvenlik Ajansı AB siber politikasına katkıda bulunur, BİT ürün, hizmet ve ürünlerinin güvenilirliğini artırır. siber güvenlik sertifikasyon programları ile süreçler, Üye Devletler ve AB ile işbirliği ve Avrupa'nın yarının siber zorluklarına hazırlanmasına yardımcı olur. Bilgi yoluyla paylaşımı, kapasite geliştirme ve farkındalık yaratma konularında kilit rol oynayan kurumlarla birlikte çalışmaktadır. paydaşların bağlantılı ekonomiye olan güvenini güçlendirmek, Birliğin dayanıklılığını artırmak altyapısını ve nihayetinde Avrupa toplumunu ve vatandaşlarını dijital olarak güvende tutmak. Daha fazla ENISA ve çalışmaları hakkındaki bilgilere buradan ulaşabilirsiniz: www.enisa.europa.eu

İLETİŞİM

Yazarlarla iletişime geçmek için lütfen CBU@ENISA.EUROPA.EU adresini kullanın.
Bu makaleyle ilgili medya soruları için lütfen PRESS@ENISA.EUROPA.EU adresini kullanın.

YAZARLAR

Costas Lambrinoudakis, Stefanos Gritzalis, Christos Xenakis, Sokratis Katsikas, Maria Karyda,
Pire Üniversitesi'nden Aggeliki Tsochou

Kostas Papadatos, Konstantinos Rantos, Yiannis Pavlosoglou, Stelios Gasparinatos,

CyberNoesis'ten Anastasios Pantazis

ENISA'dan Alexandros Zacharis

YASAL BİLDİRİM

Aksi belirtilmedikçe, bu yayının ENISA'nın görüş ve yorumlarını temsil ettiği dikkate alınmalıdır. Bu yayın ENISA'nın yasal bir işlemi olarak yorumlanmamalıdır. veya 2019/881 sayılı Tüzük (AB) uyarınca kabul edilmedikçe ENISA organları tarafından onaylanmamıştır.

Bu yayın en son gelişmeleri temsil  içermeyebilir  ve ENISA bu yayını zaman zaman  güncelleyebilir

Üçüncü taraf kaynaklardan uygun şekilde alıntı yapılmıştır. ENISA, bu yayında atıfta bulunulan harici web siteleri de dahil olmak üzere harici kaynakların içeriğinden sorumlu değildir.

Bu yayın sadece bilgilendirme amaçlıdır. Ücretsiz olarak erişilebilir olmalıdır.

Ne ENISA ne de onun adına hareket eden herhangi bir kişi bu yayının kullanımından sorumlu değildir.
bu yayında yer alan bilgilerin telif hakkı saklıdır.

TELİF HAKKI UYARISI

© Avrupa Birliği Siber Güvenlik Ajansı (ENISA), 2022

ISBN 978-92-9204-553-1 DOI:10.2824/07253 Katalog No: TP-01-22-004-EN-N