Birlikte Çalışabilir AB Risk Yönetimi Çerçevesi Bölüm-8
Birlikte Çalışabilir AB Risk Yönetimi Çerçevesi
Bölüm-8
Risk Yönetimi Çerçeveleri ve Metodolojileri Arasında
Birlikte Çalışabilirliğin Değerlendirilmesi için Metodoloji
Aşağıdaki Enisa Raporu Enisa web sitesindeki orjinal İngilizce versiyonundan alınarak ETP Celal Ünalp tarafından yapay zeka çeviri yazılımları kullanarak Türkçe'ye tercüme edilerek düzenlenmiştir.
Kaynak:
https://www.enisa.europa.eu/publications/interoperable-eu-risk-management-framework/@@download/fullReport
(Güncellenmiş Rapor, Aralık 2022)
Rapor bölümler halinde yayınlanacaktır. Enisa ve yazının yazarlarının Türkçe çeviri ile ilgili sorumluluğu yoktur. ETP Türkçe çeviri ve düzenleme sorumluluğunu üstlenir.
Türkçe çeviride göreceğiniz olası hataları " iletisim@etp.com.tr " adresine e-posta göndermenizi rica ederiz.
Bu raporun ETP Portalımızda yayını ile ilgili bize destek ve kılavuz olan Avrupa Birliği Yayınlar Ofisi'nden Mr. Brian Killeen 'e teşekkür ederiz.
4. ITSRM2 TEMELİNDE BİRLİKTE ÇALIŞABİLİRLİĞİN RM SÜREÇLERİNE ENTEGRASYONU
4.1 SÜREÇ S1 SİSTEM GÜVENLİĞİ KARAKTERİZASYONU
4.1.1 Sürecin tanımı
Sistem Güvenliği Karakterizasyonu sürecinin amacı, RM süreçlerinin geri kalanı için kullanılacak olan sistem ve bağlamı ile ilgili ilk bilgileri toplamaktır. Bu sürecin çıktısı, sistemin ve kuruluşun üst düzey bir tanımını, güvenlik rolleri için temas noktalarını, güvenlik gereksinimleri için herhangi bir kısıtlamayı ve bu gereksinimlerden kaynaklanan herhangi bir zorunlu güvenlik önlemini içerir.
Bu süreç ISO 27005 Bağlam Oluşturma adımı ile eşleştirilmiştir. Birlikte çalışabilirlik fırsatlarının ve özelliklerinin belirlenmesi amacıyla bu süreç, ayrıca sunulan "Risk Yönetimi Çerçeveleri Özeti4 " ' nde açıklandığı üzere analizimizin kapsamı dışında değerlendirilmektedir.
4.2 S2 BİRİNCİL VARLIKLAR VE S3 DESTEKLEYİCİ VARLIKLAR SÜREÇLERİ
4.2.1 Süreçlerin tanımı
S2 Birincil Varlıklar sürecinin amacı, kuruluşun iş hedeflerine ulaşması için hayati önem taşıyan Veri ve İşlevleri (Birincil Varlıklar olarak kabul edilir) belirlemek, bunların değerini (iş perspektifinden) ve potansiyel düşmanlar için çekiciliğini (Birincil Varlığı tehdit ederek motive olabilecek potansiyel düşmanların gücü ve ilgisinin birleşimi) belirlemektir. Bu süreç için metodoloji bir iş etki ölçeği, bir potansiyel düşmanlar kataloğu ve potansiyel düşmanlar için bir ilgi düzeyleri ölçeği sunmaktadır.
Son olarak, S3 Destekleyici Varlıkların amacı, birincil varlıkların (hedef sistem tarafından sağlanan Veri ve İşlevler) yönetimi için kullanılan Destekleyici Varlıkların (donanım ve yazılım envanteri, üst düzey tasarım, mimari diyagram vb.) belirlenmesi ve kayıt altına alınmasıdır.
Bu süreç ISO 27005'in Risk Tanımlama adımının bir parçasıdır.
4.2.2 Birlikte çalışabilirlik özelliklerinin önerilmesi ve entegrasyonu
Farklı RM çerçeveleri arasında birlikte çalışabilirliği sağlamak için, birbirlerinin varlık taksonomisinin ve değerleme algoritmasının eşdeğer sonuçlarla ve sonraki adımları olumsuz etkilemeden kullanılmasını sağlamamız gerekir.
Bu nedenle, aşağıdakileri sağlamamız gerekir:
- Bir RM çerçevesi tarafından kullanılan varlık taksonomisinin değiştirilebilir olması;
- Analist yeni varlık kategorileri ekleyebilir veya diğer kaynaklardan taksonomileri içe aktarabilir;
RM çerçevesi, varlıkların değerlendirilmesi için değiştirilebilir olan veya analistin yeni ölçekler veya kriterler getirebileceği belirli kılavuz ilkeler (yani varlık değeri ve etkisinin değerlendirilmesi için ölçek ve kriterler) kullanır veya açıklar.
4.3 S4 SİSTEM MODELLEME SÜRECİ
4.3.1 Sürecin tanımı
S4 Sistem Modellemesinin amacı, birincil ve destekleyici varlıklar, veri akışları ve sistem mimarisi arasındaki ilişkiler açısından bir sistem modeli geliştirmektir. Bu süreç ISO 27005'in Risk Tanımlama adımının bir parçasıdır.
4.3.2 Öneriler ve birlikte çalışabilirlik özelliklerinin entegrasyonu
Bu süreçte birlikte çalışabilirlik potansiyelini bulmak için, S5 sürecinin uygulanan RM çerçevesinden bağımsız olarak kullanmasına izin vermek üzere sistem modelinin standart temsil tekniklerini (örneğin, birincil varlıkların işlenmesi için gerekli tüm destekleyici varlıklar, yazılım mimarisi, mantıksal model) teşvik etmek için çalışılması tavsiye edilir.
4.4 SÜREÇ S5 RİSK BELİRLEME
4.4.1 Sürecin tanımı
S5 Risk Tanımlama görevinin amacı analiz edilecek risk senaryolarını oluşturmaktır. Risk senaryoları, Destekleyici Varlıkların gizliliği, bütünlüğü ve kullanılabilirliği ile ilgili potansiyel tehditlerin sonuçlarına ilişkin olarak kurum ve Birincil varlıklar için riskleri temsil etmek için kullanılır. Belirli bir bilgi sisteminin Birincil ve Destekleyici varlıklarının karşı karşıya olduğu tehditleri belirlemek için bu görev sistem modelini kullanacaktır (S4'ün çıktısı).
Daha spesifik olarak, sistem modeli her bir 'Birincil Varlık / Güvenlik Boyutu (CIA) / Destekleyici Varlık' üçlüsü için hangi tehditlerin gerçekleşme olasılığının en yüksek olduğunu belirlemek için faydalı bilgiler sağlayacaktır. Risk tanımlama sürecindeki bir diğer önemli parametre de bir Birincil varlığın gizliliğine, bütünlüğüne veya kullanılabilirliğine zarar vermek için ilgili tehditler tarafından keşfedilebilecek Destekleyici varlıklar tarafından sergilenen güvenlik açıklarının tanımlanmasıdır.
S5 Risk Tanımlama sürecinin çıktısı, S6 Risk Analizi ve Değerlendirmesinde değerlendirilecek olan risk senaryolarının bir listesi olacaktır.
Bu süreç ISO 27005'in Risk Tanımlama adımının bir parçasıdır.
4.4.2 Birlikte çalışabilirlik özelliklerinin önerilmesi ve entegrasyonu
Birlikte çalışabilirlik, aynı sistem için iki farklı RM çerçevesinin karşılaştırılabilir risk senaryoları üretmesini veya farklı sistemler için farklı RM çerçeveleri tarafından üretilen risk senaryolarının karşılaştırılabilir olmasını gerektirir. Risk tanımlama süreci sırasında farklı RM çerçeveleri arasında birlikte çalışabilirliği sağlamak için aşağıdakilere yönelik çalışmak gerekir.
- Farklı RM çerçevelerinin risk tanımlama sürecine uygulanabilir (ortak) tehditleri besleyecek ortak tehdit havuzları.
Bu havuzlar şunları yapmalıdır:
- Yaygın olarak kabul edilen tehdit türlerine (örneğin fiziksel tehditler, kötü amaçlı yazılımlar, hizmet reddi, arızalar vb;)
- Tehditleri uygulanabilir oldukları sektöre göre sınıflandırmalıdır (örneğin sağlık kuruluşları için tehditler, finans kuruluşları için tehditler vb;)
- Her bir tehdit kategorisi için üst düzey bir tehdit tanımından başlayıp her bir tehdidin alt düzey teknik detaylarıyla (örnekleriyle) devam eden hiyerarşik bir yapıyı desteklemek; bu hiyerarşik yapı, üst düzey tehditlerle (düşük tehdit tanecikliliği) çalışan çerçevelerin çok daha düşük teknik düzeydeki tehditleri (yüksek tehdit tanecikliliği) dikkate alan çerçevelerle birlikte çalışabilirliğini kolaylaştıracaktır.
- Risk senaryoları hem iş perspektifini hem de sistem perspektifini dikkate almalıdır. Ayrıca tehditlerin Destekleyici varlıklarla ilişkilendirilmesini de desteklemelidirler (yani hangi tehdidin hangi Destekleyici varlık için geçerli olduğu).
- Farklı RM çerçevelerinin risk tanımlama sürecine uygulanabilir (ortak) güvenlik açıklarını besleyecek ortak güvenlik açığı havuzları. Bu havuzlar aynı zamanda zafiyetlerin ve Destekleyici varlıkların ilişkilendirilmesini de desteklemelidir (yani hangi zafiyetin hangi Destekleyici varlık için geçerli olduğu).
Tehditler ve zafiyetler için ortak havuzların varlığı, yeni tehditler ve zafiyetler hakkında küresel farkındalığı da destekleyecek ve tüm RM çerçevelerinin bunları otomatik olarak dikkate almasını sağlayacaktır.
Bundan sonraki bölümde " Süreçler " ile devam edilecektir.
Kaynak:
https://www.enisa.europa.eu/publications/interoperable-eu-risk-management-framework/@@download/fullReport
(Güncellenmiş Rapor, Aralık 2022)
ENISA HAKKINDA
Avrupa Birliği Siber Güvenlik Ajansı ENISA, Birliğin aşağıdaki konulara adanmış ajansıdır Avrupa çapında yüksek bir ortak siber güvenlik seviyesine ulaşmak. 2004 yılında kurulan ve AB Siber Güvenlik Yasası ile güçlendirilen Avrupa Birliği Siber Güvenlik Ajansı AB siber politikasına katkıda bulunur, BİT ürün, hizmet ve ürünlerinin güvenilirliğini artırır. siber güvenlik sertifikasyon programları ile süreçler, Üye Devletler ve AB ile işbirliği ve Avrupa'nın yarının siber zorluklarına hazırlanmasına yardımcı olur. Bilgi yoluyla paylaşımı, kapasite geliştirme ve farkındalık yaratma konularında kilit rol oynayan kurumlarla birlikte çalışmaktadır. paydaşların bağlantılı ekonomiye olan güvenini güçlendirmek, Birliğin dayanıklılığını artırmak altyapısını ve nihayetinde Avrupa toplumunu ve vatandaşlarını dijital olarak güvende tutmak. Daha fazla ENISA ve çalışmaları hakkındaki bilgilere buradan ulaşabilirsiniz: www.enisa.europa.eu
İLETİŞİM
Yazarlarla iletişime geçmek için lütfen CBU@ENISA.EUROPA.EU adresini kullanın.
Bu makaleyle ilgili medya soruları için lütfen PRESS@ENISA.EUROPA.EU adresini kullanın.
YAZARLAR
Costas Lambrinoudakis, Stefanos Gritzalis, Christos Xenakis, Sokratis Katsikas, Maria Karyda,
Pire Üniversitesi'nden Aggeliki Tsochou
Kostas Papadatos, Konstantinos Rantos, Yiannis Pavlosoglou, Stelios Gasparinatos,
CyberNoesis'ten Anastasios Pantazis
ENISA'dan Alexandros Zacharis
YASAL BİLDİRİM
Aksi belirtilmedikçe, bu yayının ENISA'nın görüş ve yorumlarını temsil ettiği dikkate alınmalıdır. Bu yayın ENISA'nın yasal bir işlemi olarak yorumlanmamalıdır. veya 2019/881 sayılı Tüzük (AB) uyarınca kabul edilmedikçe ENISA organları tarafından onaylanmamıştır.
Bu yayın en son gelişmeleri temsil içermeyebilir ve ENISA bu yayını zaman zaman güncelleyebilir
Üçüncü taraf kaynaklardan uygun şekilde alıntı yapılmıştır. ENISA, bu yayında atıfta bulunulan harici web siteleri de dahil olmak üzere harici kaynakların içeriğinden sorumlu değildir.
Bu yayın sadece bilgilendirme amaçlıdır. Ücretsiz olarak erişilebilir olmalıdır.
Ne ENISA ne de onun adına hareket eden herhangi bir kişi bu yayının kullanımından sorumlu değildir.
bu yayında yer alan bilgilerin telif hakkı saklıdır.
TELİF HAKKI UYARISI
© Avrupa Birliği Siber Güvenlik Ajansı (ENISA), 2022
ISBN 978-92-9204-553-1 DOI:10.2824/07253 Katalog No: TP-01-22-004-EN-N
Paylaş: