Birlikte Çalışabilir AB Risk Yönetimi Çerçevesi
Bölüm-1 

Risk Yönetimi Çerçeveleri ve Metodolojileri Arasında
Birlikte Çalışabilirliğin Değerlendirilmesi için Metodoloji




Çeviri düzenleme:Celal Ünalp 

Aşağıdaki Enisa Raporu  Enisa  web sitesindeki orjinal İngilizce versiyonundan  alınarak  ETP Celal Ünalp  tarafından yapay zeka çeviri yazılımları kullanarak Türkçe'ye tercüme edilerek düzenlenmiştir.

Kaynak: 
https://www.enisa.europa.eu/publications/interoperable-eu-risk-management-framework/@@download/fullReport
(Güncellenmiş Rapor, Aralık 2022)

Rapor bölümler halinde yayınlanacaktır. Enisa  ve yazının yazarlarının Türkçe çeviri ile ilgili sorumluluğu yoktur. ETP  Türkçe çeviri ve düzenleme sorumluluğunu üstlenir.

Türkçe çeviride  göreceğiniz olası hataları " iletisim@etp.com.tr "  adresine e-posta göndermenizi rica ederiz. 

Bu raporun ETP Portalımızda yayını ile ilgili bize destek ve kılavuz olan Avrupa Birliği Yayınlar Ofisi'nden Mr. Brian Killeen 'e  teşekkür ederiz. 


 

YÖNETİCİ ÖZETİ 

Bu rapor, ENISA tarafından Ocak 2022'de yayınlanan "Birlikte Çalışabilir AB Risk Yönetimi Çerçevesi" raporunun bir güncellemesidir. "Birlikte Çalışabilir AB Risk Yönetimi Çerçevesi", risk yönetimi (RM) çerçevelerinin ve yöntemlerinin potansiyel birlikte çalışabilirliğini değerlendirmek için bir metodoloji önermekte ve ilgili sonuçları sunmaktadır. Bu raporda yer alan yöntemler, Birlikte Çalışabilir AB Risk Yönetimine Ek olarak yayınlanan genişletilmiş bir risk yönetimi çerçeveleri ve yöntemleri listesi (Birlikte Çalışabilirlik Potansiyeli Olan Risk Yönetimi Çerçeveleri Özeti, ENISA, Ocak 2002) değerlendirildikten sonra birlikte çalışabilirlik özelliklerine göre öne çıkan yöntemler olarak seçilmiştir.

"Birlikte Çalışabilir AB Risk Yönetimi Çerçevesi", birlikte çalışabilirlik düzeylerini değerlendirmek için dört seviyeli bir ölçek kullanarak, önde gelen RM çerçeveleri ve yöntemleri için birlikte çalışabilirlik özelliklerini tanımlar ve değerlendirir. Birlikte çalışabilirlik düzeyini değerlendirmek için sınanan özellikler arasında RM yöntemi tarafından kullanılan yaklaşım (yani varlık temelli mi yoksa senaryo temelli mi olduğu), risk değerlendirmesinin nicel mi yoksa nitel mi olduğu ve varlık taksonomilerinin kullanımı, değerleme yöntemleri, tehditlerin ve kırılganlıkların kataloglaması, risk hesaplama yöntemi vb. gibi diğer özellikler yer almaktadır. Ayrıca bunlar arasındaki olası işbirlikçi kombinasyonlara genel bir bakış sağlar.

“Birlikte Çalışabilir AB Risk Yönetimi Çerçevesi”nin güncellenmesi masaüstü araştırma ve analizlere dayanılarak aşağıdaki sonuçlar elde edilmiştir:

                     ♦ SERIMA

                     ♦ CSSF 20/750 sayılı GENELGE 

                  ♦ MONARC

                  ♦ ITSRM²

                  ♦ The OPEN Group Standardı, RİSK ANALİZİ

Son olarak, aşağıdakiler için herhangi bir güncelleme tespit edilmemiştir:

                •    ISO/IEC 27005:2022
                •    NIST SP 800-37
                •    NIST SP 800-30
                •    NIST SP 800-39
                •    BSI STANDARD 200-2
                •    OCTAVE-S
                •    OCTAVE ALLEGRO
                •    OCTAVE FORTE
                •    ETSI TS 102 165-1 (TVRA)
                •    EBIOS Risk Yöneticisi
                •    MAGERIT v.3
                •    MEHARI
                •    GEMİLERDE SİBER GÜVENLİĞE İLİŞKİN KILAVUZLAR


1.GİRİŞ

1.1 AMAÇ VE KAPSAM

Bu rapor, ilk olarak ΕNISA tarafından Ocak 2022'de yayınlanan Birlikte Çalışabilir AB Risk Yönetimi Çerçevesinde sunulduğu üzere, önde gelen RM çerçeveleri ve metodolojilerinin birlikte çalışabilirlik özelliklerinin güncellenmiş bir analizini ve birlikte çalışabilirlik potansiyellerini belirlemek için izlenen yöntemi sunmaktadır. RM yöntemlerinin bir sunumu ve kısa bir açıklaması "Risk Yönetimi Çerçeveleri Özeti" 'nde¹ yer almaktadır.

¹ https://www.enisa.europa.eu/publications/compendium-of-risk-management-frameworks

Bu raporda sunulan Birlikte Çalışabilir AB Risk Yönetimi Çerçevesi'nin güncellenmiş versiyonu

a) Yeni RM yöntemlerini ve
b) Hali hazırda tanımlanmış RM çerçeveleri ve yöntemlerinin daha yeni versiyonlarını içermektedir.

RM çerçevelerinin özelliklerine ve bir değerlendirme modeline dayalı olarak birlikte çalışabilirlik potansiyeline ilişkin ayrıntılı bir değerlendirme de yer almaktadır. İlgili sonuçlar, yukarıda bahsedilen çerçevelerin özelliklerinin çeşitli olası kombinasyonları yoluyla tutarlı bir RM çerçevesi oluşturma potansiyelini göstermektedir.

RM çerçevelerinin ve metodolojilerinin detaylı analizi, bunları değerlendirmek için kullanılan metodoloji ve bu sürecin sonuçları, AB genelinde farklı kuruluşlarda ve sektörlerde bilgi riski yönetimini destekleyebilecek potansiyel olarak tutarlı bir RM çerçevesi oluşturma konusunda net bir sonuç sağlamayı amaçlamaktadır.

Birlikte Çalışabilir Çerçeve'nin dayandığı farklı RM yöntemlerinin birlikte çalışabilirlik potansiyelini değerlendirme metodolojisi, hem akademik sektörde hem de RM ile ilgili faaliyetler ve araştırmalar yürüten kuruluşlarda yer alan profesyoneller tarafından yürütülen titiz araştırma ve analizlerin sonucudur ve kilit paydaşlar tarafından sağlanan yorumlar, öneriler ve içgörülerle bilgilendirilmiştir. Bu çalışmanın çıktısı, önde gelen RM yöntemlerinin bir listesi için bu değerlendirmenin sonuçlarıyla birlikte farklı RM çerçeveleri ve araçlarının birlikte çalışabilirlik potansiyelini değerlendirmeye yönelik bir yöntemdir.

1.2  KISALTMALARIN TANIMI 

Bu belgede kullanılan kısaltmalar ve yinelenen tanımlar aşağıda listelenmiştir.

RM    : Risk Yönetimi
MS    : Üye Devletler
ITSRM    : BT Güvenlik Risk Yönetimi Metodolojisi
AB    : Varlık bazlı
SB    : Senaryo tabanlı
QT    : Nicel
QL    : Niteliksel
 
2. ÇALIŞMA YÖNTEMİ

RM çerçevelerinin ve metodolojilerinin birlikte çalışabilirliğini değerlendirmek için kullanılan metodoloji, temel olarak değerlendirme modellerinden yararlanmaktadır. Gilsinn ve Schierholz (2010) belirli bir bilgi teknolojisi için bilgi güvencesi ile ilgili yedi özellikten (örneğin erişim kontrolü, kaynak kullanılabilirliği) oluşan bir değerlendirme modeli geliştirmiştir. Değerlendirme modeli, bu özellikleri kullanarak belirli bir teknolojiyi artan güvenliğin dört seviyesine (yani tesadüfi veya rastlantısal ihlale karşı koruma, basit araçlar kullanılarak kasıtlı ihlale karşı koruma, sofistike araçlar kullanılarak kasıtlı ihlale karşı koruma, genişletilmiş kaynaklarla sofistike araçlar kullanılarak kasıtlı ihlale karşı koruma) sınıflandırmaktadır.

Bir başka örnekte, ENISA (2016) bilgi teknolojisinin (ve özellikle gizliliği artıran teknolojilerin) hazır olup olmadığını değerlendirmek için bir değerlendirme modeli geliştirmiştir. Model, bir bilgi teknolojisinin kalitesi ve hazır olma durumuyla ilgili dokuz özellik tanımlamaktadır (yani, Koruma, Güven varsayımları, Yan etkiler, Güvenilirlik, Performans verimliliği, İşletilebilirlik, Sürdürülebilirlik, Aktarılabilirlik ve Kapsam). Her teknoloji, beş seviyeli bir ölçek (çok zayıf, zayıf, tatmin edici, iyi, çok iyi) kullanılarak her özellik için bir not alır. Model, her bir özelliğin değerlendirilmesine bağlı olarak, belirli bir gizlilik artırıcı teknolojiyi altı seviyeden birine (Fikir, Araştırma, Kavram Kanıtı, Pilot, Ürün, Eski) sınıflandırır.

Bu bölümde, RM çerçeveleri ve metodolojilerinin birlikte çalışabilirlik özelliklerinin değerlendirilmesiyle ilgili olarak belirlediğimiz özellikleri açıklıyoruz. Ayrıca, işlevsel özellikler için her bir RM çerçevesinin birlikte çalışabilirlik seviyesini değerlendirmek üzere dört seviyeli bir ölçek tanımlıyoruz. Son olarak, her bir çerçeve ve birleşik özellikler için potansiyel birlikte çalışabilirlik için üç seviyeli bir ölçek öneriyoruz.

2.1 BİRLİKTE ÇALIŞABİLİRLİĞİN ÖZELLİKLERİ

RM alanı, her biri kendi özelliklerine sahip olan ve riskleri yönetmede kendi yaklaşımlarını izleyen çok sayıda çerçeve, metodoloji ve yöntemle karakterize edilir. RM yaşam döngüsü sırasında, uygulayıcılar diğer metodolojiler tarafından sağlanan bilgileri yeniden kullanmak isteyebilir veya çerçeveler arasında sonuçları karşılaştırmayı düşünebilirler. Bu, tipik olarak metodolojilerin bilgi paylaşabilmesini ve dolayısıyla birlikte çalışabilirlik için yetenekler sağlamasını gerektirir.

Birlikte çalışabilirliğin literatürde tek bir tanımı yoktur, çünkü bu birçok sektöre ve disipline uygulanabilen genel bir terimdir. Bu nedenle, uygulandığı bağlama büyük ölçüde bağlıdır, kendine has özelliklerini ve özel taleplerini karşılar. ICT sektöründe birlikte çalışabilirlik, iki veya daha fazla sistem veya bileşenin bilgi alışverişinde bulunabilme  ve alışverişi yapılan bilgileri kullanabilmesi olarak değerlendirmektedir. 

ISO/IEC 2382 birlikte çalışabilirliği, kullanıcının bu birimlerin benzersiz özellikleri hakkında çok az bilgi sahibi olmasını veya hiç bilgi sahibi olmamasını gerektirecek şekilde çeşitli işlevsel birimler arasında iletişim kurma, programları yürütme veya veri aktarma yeteneği olarak tanımlamaktadır.

IEEE Standart Bilgisayar Sözlüğü de gerekli çabaya vurgu yaparak birlikte çalışabilirliği bir sistem ya da ürünün müşterinin özel bir çabası olmadan diğer sistem ya da ürünlerle çalışabilmesi olarak tanımlamaktadır. Bu tanım, sağlık sektöründe birlikte çalışabilirlikle ilgili olarak ISO 23903 tarafından da benimsenmiştir.

Avrupa Birlikte Çalışabilirlik Çerçevesi, birlikte çalışabilirliği "kurumların, BİT sistemleri arasında veri alışverişi yoluyla destekledikleri iş süreçleri aracılığıyla bu kurumlar arasında bilgi ve bilgi paylaşımını içeren karşılıklı fayda sağlayan hedefler doğrultusunda etkileşim kurma yeteneği" olarak tanımlamaktadır.

Yukarıdaki tanımların yanı sıra siber riskler için yönetim çerçevelerinin yapısı ve bireysel işlevsel özelliklerinin hedefleri göz önüne alındığında, RM çerçevelerinin ve metodolojilerinin birlikte çalışabilirliği, bir RM bileşeninin veya yöntemlerinin, diğer çerçevelerin RM bileşenleri veya yöntemleri tarafından sağlanan bilgileri aynı hedeflere yönelik olarak eşit kolaylıkla ve aynı arayüzlerle yeniden kullanabilme yeteneği olarak tanımlanabilir.

Bir RM çerçevesi veya metodolojisi, en azından ana işlevsel bileşenleri olarak kabul edilebilecek aşağıdaki aşamaları (ISO 27005, EU ITSRM) ele almalıdır:

•    Risk Tanımlama (Varlıklar, Tehditler ve Zafiyetler)
•    Risk Değerlendirmesi (Risk Hesaplama ve Değerlendirme),
•    Risk İşleme (Güvenlik Kontrollerinin Seçimi ve Uygulanması ve Kalan Riskin Hesaplanması),
•    Risk İzleme (Önlemlerin etkinliğinin değerlendirilmesi ve risklerin izlenmesi).

Yukarıdaki işlevsel bileşenlerden Risk İzleme, etkin RM için gerekli olmasına rağmen, diğer aşamalardan bağımsız olan ve tipik olarak herhangi bir değerlendirme metodolojisi, süreci veya aracı kullanılarak yürütülebilen bir süreçtir. Bu nedenle, diğer üç aşamaya, yani Risk Tanımlama, Risk Değerlendirme ve Risk İşleme'sine odaklanan bu raporun kapsamı dışında değerlendirilmektedir.

Genel olarak, risk çerçevelerinin ayrılmaz parçalarını oluşturan birçok özellik (yönetişim, uyum, gizlilik) vardır, ancak bunların hepsi birlikte çalışabilirliği etkilemez. Yukarıda belirtilen tanım ve yukarıdaki işlevsel bileşenler göz önünde bulundurulduğunda, risk yönetiminde birlikte çalışabilirliğin, bu bileşenlerin diğer çerçevelerin bileşenleri tarafından benzer etkinlik ve kolaylıkla ele alınabilmesi halinde sağlanabileceğini iddia edebiliriz. Bu esasen birlikte çalışabilirliğin çeşitli düzeylerde sağlanabileceği anlamına gelmektedir ve değerlendirilen çerçevelerin işlevsel ve işlevsel olmayan özelliklerini dikkate alacağız.

Bu nedenle, işlevsel özelliklerle ilgili olarak, RM çerçeveleri arasındaki birlikte çalışabilirlik aşağıdaki düzeylere göre değerlendirilebilir ve bunlar da tipik olarak yukarıdaki işlevsel bileşenlerden kaynaklanan bir dizi özelliğe göre analiz edilir :
 

► Genel yönler: Bu bölümde çerçevelerin bazı genel özellikleri ele alınmaktadır: 
 

♦Varlık temelli veya Senaryo temelli: Bu, bir RM çerçevesi veya metodolojisinin varlık temelli bir yaklaşım mı benimsediğini yoksa bir risk senaryosu tarafından mı yönlendirildiğini gösterir. Bu yaklaşımlar birleştirilebilir. Bu nedenle, analizimiz belirgin bir şekilde varlık temelli veya senaryo temelli bir yaklaşım izleyen çerçeve veya metodolojilerin yanı sıra her ikisini veya bu yaklaşımların bir kombinasyonunu benimseyen metodolojileri de içermektedir.

♦Nicel veya Nitel:  Bu, RM çerçevesi veya metodolojisinin nicel veya nitel kriterlere dayalı bir risk değerlendirme yöntemi benimseyip benimsemediğini gösterir. Bu, risk değerlendirmesi için kullanılan üçüncü bir kategori olan yarı-nicel yöntemi hariç tutmaz; bu durumda incelenen yöntem, hangisi daha yakınsa, nicel veya nitel olarak kategorize edilir.

 

► Risk Tanımlama RM çerçeveleri, birbirlerinin varlık taksonomisini ve değerlemesini, tehdit ve zafiyet kataloglarını eşdeğer sonuçlarla ve sonraki adımları olumsuz etkilemeden kullanabiliyorlarsa birlikte çalışabilir olarak kabul edilir. Bu seviyede aşağıdaki özellikleri dikkate alıyoruz:

♦Varlık Taksonomisi: Çerçeve veya metodolojinin belirli bir varlık taksonomisinin kullanılmasını gerektirip gerektirmediğini gösterir.

♦Varlık Değerlemesi: Çerçeve veya metodolojinin belirli bir varlık değerleme yönteminin kullanılmasını gerektirip gerektirmediğini gösterir.

♦Tehdit Katalogları: Bunlar çerçevenin veya metodolojinin belirli bir tehdit kümesinin kullanılmasını gerektirip gerektirmediğini gösterir.

♦Güvenlik Açığı  Katalogları: Bunlar çerçevenin veya metodolojinin belirli bir güvenlik açığı kataloğunun kullanılmasını gerektirip gerektirmediğini gösterir.


►Risk Değerlendirmesi: RM çerçeveleri, risk değerlendirmesi için aynı metodolojiyi kullanıyorlarsa veya yöntemleri diğer çerçevelerin sonuçlarıyla kolayca eşleştirilebilecek sonuçlar sağlayabiliyorsa birlikte çalışabilir olarak kabul edilir. Bu seviyede aşağıdaki özellikleri dikkate alıyoruz:

♦Risk Hesaplama yöntemi: Risk hesaplaması için kullanılan yöntem hakkında bilgi sağlar. örneğin Risk = Etki x Olasılık; Risk = Etki x Tehdit Olasılığı x Güvenlik Açığı Seviyesi.


►Risk İşlemi: RM çerçeveleri, aynı önlemler setiyle veya risk seviyelerinin azaltılmasına eşit katkı sağlayan bir önlemler setiyle sonuçlanırsa birlikte çalışabilir olarak kabul edilir. Bu seviyede aşağıdaki özellikleri dikkate alırız:

♦Önlemler Kataloğu: çerçeve veya metodolojinin belirli bir tedbirler kataloğunun kullanılmasını gerektirip gerektirmediğini gösterir. Eğer öyleyse, iki kataloğun birbiriyle eşleştirilip eşleştirilemeyeceği de göz önünde bulundurulur.

♦Kalıntı Risk Hesaplaması: Kalıntı risk seviyelerini değerlendirmek için seçilen önlemleri dikkate alır. Bu süreç tipik olarak hem risk hesaplama yönteminden hem de seçilen güvenlik önlem(ler)inin bir risk senaryosu üzerindeki etkisinden etkilenir.



RM çerçevelerinin birlikte çalışabilirliğini değerlendirmek için de kullanılabilecek işlevsel olmayan özellikler şunlardır:

•    Desteklenen Diller: Metodolojinin İngilizce versiyonu bir avantajdır.

•   Riskle ilgili Diğer Çerçevelerle Uyumluluk (örn. ISO 27005). Bu tür bir uyumun çerçeveler arasında birlikte çalışabilirliği teşvik etmesi muhtemeldir.

•    Risk Yönetimi Yaşam Döngüsü Kapsamı: Bir RM çerçevesinin yukarıdaki işlevsel bileşenlerinin kapsama düzeyi.

•    Lisanslama : Birlikte çalışabilirliği engelleyebilecek lisanslama maliyetleri.


RM çerçevelerinin ve metodolojilerinin genel birlikte çalışabilirlik potansiyeli, birlikte çalışabilirliğin yukarıdaki yönlerinden bazılarına ilişkin ağırlıklı bir yaklaşım kullanılarak değerlendirilecektir, çünkü bunlardan bazıları çerçevelerin birlikte çalışabilirliğini yasaklayabilirken diğerleri sadece engelleyebilir. Örneğin, dil sorunları aşılabilecek bir engel olarak kabul edilirken, risk hesaplamasındaki farklı yaklaşımlar iki çerçevenin diğerinin yönteminin bileşenlerini kullanmasına izin vermeyecektir.

Benzer şekilde, yukarıdaki özelliklerden bazılarının münhasır olduğu düşünülmektedir, yani özellik karşılanmazsa, yukarıda belirtilen seviyelerin hiçbirinde birlikte çalışabilirlik sağlanamaz. Bu tür ayrıcalıklı özellikler 'Varlık tabanlı veya Senaryo tabanlı' ve 'Nicel veya Nitel' tabanlı özelliklerdir.

Yukarıdaki işlevsel bileşenler için belirli yöntemler gerektirmeyen, tanımlamayan veya dikte etmeyen bir çerçeve veya metodoloji açıkça birlikte çalışabilir olarak kabul edilir. Bu tür çerçeveler çeşitli yöntemlerden RM bileşenlerini barındırabilir. Örneğin, NIST 800-37 risk yönetimi çerçevesi tipik olarak herhangi bir tehdit, zafiyet ve önlem kataloğunu kullanabilir ve riski hesaplamak için herhangi bir yöntemi barındırabilir. Bu açıdan, birlikte çalışabilirliği yüksek bir çerçeve olarak kabul edilir. Benzer şekilde, BSI Standart 200-2 (IT-Grunschutz Metodolojisi) IT-Grundschutz Compendium'daki bileşenleri entegre eder ve özellikle varlık tipolojisini, tehdit listesini ve kontrol kataloğunu barındırır.

Bir metodolojinin yukarıdaki işlevsel bileşenlerle ilgili katı gereksinimleri varsa, birlikte çalışabilirliği kısıtlanacaktır. Örneğin, risk değerlendirmesi belirli bir tehdit veya güvenlik açığı kataloğuna sıkı sıkıya bağlıysa, başka bir yöntem tarafından sağlanan alternatif bir kataloğu benimseme yeteneği kısıtlanır.

Öte yandan, belirli, önceden tanımlanmış özellikleri (örneğin bir varlık taksonomisi veya bir hesaplama yöntemi) takip etmeyi gerektiren RM metodolojileri, bu özelliklerin diğer metodolojilerin veya çerçevelerin bunlara uyum sağlayabilmesi için ayrıntılı olarak tanımlanması halinde birlikte çalışabilirlik için yüksek bir potansiyel sağlayabilir.