ETİK
KÜLTÜR & SANAT
Birlikte Çalışabilir AB Risk Yönetimi Çerçevesi Bölüm-9
Birlikte Çalışabilir AB Risk Yönetimi Çerçevesi
Bölüm-9
Risk Yönetimi Çerçeveleri ve Metodolojileri Arasında
Birlikte Çalışabilirliğin Değerlendirilmesi için Metodoloji
.png)
.png)
Aşağıdaki Enisa Raporu Enisa web sitesindeki orjinal İngilizce versiyonundan alınarak ETP Celal Ünalp tarafından yapay zeka çeviri yazılımları kullanarak Türkçe'ye tercüme edilerek düzenlenmiştir.
Kaynak:
https://www.enisa.europa.eu/publications/interoperable-eu-risk-management-framework/@@download/fullReport
(Güncellenmiş Rapor, Aralık 2022)
Rapor bölümler halinde yayınlanacaktır. Enisa ve yazının yazarlarının Türkçe çeviri ile ilgili sorumluluğu yoktur. ETP Türkçe çeviri ve düzenleme sorumluluğunu üstlenir.
Türkçe çeviride göreceğiniz olası hataları " iletisim@etp.com.tr " adresine e-posta göndermenizi rica ederiz.
Bu raporun ETP Portalımızda yayını ile ilgili bize destek ve kılavuz olan Avrupa Birliği Yayınlar Ofisi'nden Mr. Brian Killeen 'e teşekkür ederiz.
.png)
5. SÜREÇ S6 RİSK ANALİZİ VE DEĞERLENDİRMESİ
4 .5.1 Sürecin tanımı
S6 Risk Analizi ve Değerlendirme sürecinin amacı, S5 Risk Tanımlamasında belirlenen her bir risk için, bu riskleri azaltmak için belirlenen Güvenlik Önlemleri listesine dayalı olarak artık risk seviyesinin hesaplanmasıdır.
S6 Risk Analizi ve Değerlendirme süreci girdi olarak Birincil varlık envanterini (S2'den), risk senaryolarını (S5'ten), tehdit kataloğunu (metodoloji tarafından sağlanır), risk ölçeğini (metodoloji tarafından sağlanır), işleme kaydını (geçmiş RM'lerden mevcutsa S7'den) ve güvenlik önlemleri kaydını (geçmiş RM'lerden mevcutsa S7'den) kullanır.
S6 Risk Analizi ve Değerlendirme sürecinin çıktısı, riskin ele alınmasına ilişkin kararlara rehberlik eden risk kaydıdır. Risk analizi için analist tehditlerin olasılığını (metodoloji tarafından sağlanan tehdit türleri ve potansiyel düşmanlara dayalı olarak) ve olası bir olayın sonuçlarını dikkate alır. Metodoloji tarafından sağlanan bir risk matrisi, olasılığı sonuçların seviyeleri ile birleştirerek doğal risk seviyesini hesaplar. Riski azaltmak için mevcut veya planlanan güvenlik önlemleri dikkate alındıktan sonra kalan risk seviyesi hesaplanır. Son olarak, risk değerlendirme süreci en yüksek risk seviyesinden en düşük risk seviyesine doğru sıralanmış bir risk listesi sağlar. Bu aşama ISO 27005 Risk Analizi ve Risk Değerlendirme süreçleri ile eşleştirilmiştir.
4.5.2 Birlikte çalışabilirlik özelliklerinin önerilmesi ve entegrasyonu
Bölüm 2 ve 3'te gerçekleştirilen analize dayanarak, birlikte çalışabilirlik için iki tür potansiyel tanımlayabiliriz. İlk olarak, bir RM analisti aynı RM çerçevesini kullanarak RM gerçekleştirdiğinde ancak farklı sektörlerdeki kuruluşlar için işlev gören sistemlerde birlikte çalışabilirliği sağlama potansiyeli. İkinci olarak, bir RM analistinin aynı ya da farklı sektörlerdeki sistemlerde farklı RM çerçeveleri kullanarak RM gerçekleştirmesi durumunda birlikte çalışabilirliği sağlama potansiyeli. Her iki seçenek için de kilit paydaşlar ve uzmanlar, çeşitli RM çıktılarının birbirleriyle karşılaştırılabilmesi için (yani farklı RM metodolojilerinden veya farklı sektörlerdeki aynı RM metodolojisinden) RM sonuçlarının yorumlanması ve hizalanması için kılavuzlar oluşturma yönünde gelecekte çalışmanın önemli olduğunu belirtmişlerdir. S6 Risk Analizi ve Değerlendirme sürecinin yukarıdaki amaçlar doğrultusunda dikkat çeken bileşenleri şunlardır :
- Tehdit olasılığı ölçeği bileşeni
- Risk ölçeği bileşeni
- Risk matrisi bileşeni.
Bölüm 2 ve 3'te yapılan analize ve kilit paydaşlardan gelen yorumlara dayanarak, gelecekteki çalışmalar, risk seviyelerinin karşılaştırılabilir olması için farklı RM'lerden kaynaklanan risk analizinden elde edilen çıktıların yorumlanmasına izin vermeye odaklanmalıdır. Bu tür hükümler, işbirliği yapmayı veya bilgi ve hizmet alışverişinde bulunmayı amaçlayan Üye Devletlerdeki kuruluşlar için çok faydalı olabilir. Bu gibi durumlarda, denetçiler veya güvenlik uzmanları çeşitli RM sonuçlarını karşılaştırırken ve risk seviyelerinin eşdeğer olup olmadığını değerlendirmeye çalışırken (örneğin ITSRM2 kullanan bir risk seviyesi 18 ile TVRA kullanan bir risk seviyesi 4 karşılaştırıldığında) sorun yaşarlar. Bu nedenle, birlikte çalışabilirliği sağlamak için aşağıdakilere yönelik çalışmak gereklidir.
- Risk tanımlama süreci tarafından üretilen risk senaryolarını değerlendirmek için analistler tarafından kullanılacak Ortak veya Karşılaştırmalı Risk Ölçekleri.
4 .5.1 Sürecin tanımı
S6 Risk Analizi ve Değerlendirme sürecinin amacı, S5 Risk Tanımlamasında belirlenen her bir risk için, bu riskleri azaltmak için belirlenen Güvenlik Önlemleri listesine dayalı olarak artık risk seviyesinin hesaplanmasıdır.
S6 Risk Analizi ve Değerlendirme süreci girdi olarak Birincil varlık envanterini (S2'den), risk senaryolarını (S5'ten), tehdit kataloğunu (metodoloji tarafından sağlanır), risk ölçeğini (metodoloji tarafından sağlanır), işleme kaydını (geçmiş RM'lerden mevcutsa S7'den) ve güvenlik önlemleri kaydını (geçmiş RM'lerden mevcutsa S7'den) kullanır.
S6 Risk Analizi ve Değerlendirme sürecinin çıktısı, riskin ele alınmasına ilişkin kararlara rehberlik eden risk kaydıdır. Risk analizi için analist tehditlerin olasılığını (metodoloji tarafından sağlanan tehdit türleri ve potansiyel düşmanlara dayalı olarak) ve olası bir olayın sonuçlarını dikkate alır. Metodoloji tarafından sağlanan bir risk matrisi, olasılığı sonuçların seviyeleri ile birleştirerek doğal risk seviyesini hesaplar. Riski azaltmak için mevcut veya planlanan güvenlik önlemleri dikkate alındıktan sonra kalan risk seviyesi hesaplanır. Son olarak, risk değerlendirme süreci en yüksek risk seviyesinden en düşük risk seviyesine doğru sıralanmış bir risk listesi sağlar. Bu aşama ISO 27005 Risk Analizi ve Risk Değerlendirme süreçleri ile eşleştirilmiştir.
4.5.2 Birlikte çalışabilirlik özelliklerinin önerilmesi ve entegrasyonu
Bölüm 2 ve 3'te gerçekleştirilen analize dayanarak, birlikte çalışabilirlik için iki tür potansiyel tanımlayabiliriz. İlk olarak, bir RM analisti aynı RM çerçevesini kullanarak RM gerçekleştirdiğinde ancak farklı sektörlerdeki kuruluşlar için işlev gören sistemlerde birlikte çalışabilirliği sağlama potansiyeli. İkinci olarak, bir RM analistinin aynı ya da farklı sektörlerdeki sistemlerde farklı RM çerçeveleri kullanarak RM gerçekleştirmesi durumunda birlikte çalışabilirliği sağlama potansiyeli. Her iki seçenek için de kilit paydaşlar ve uzmanlar, çeşitli RM çıktılarının birbirleriyle karşılaştırılabilmesi için (yani farklı RM metodolojilerinden veya farklı sektörlerdeki aynı RM metodolojisinden) RM sonuçlarının yorumlanması ve hizalanması için kılavuzlar oluşturma yönünde gelecekte çalışmanın önemli olduğunu belirtmişlerdir. S6 Risk Analizi ve Değerlendirme sürecinin yukarıdaki amaçlar doğrultusunda dikkat çeken bileşenleri şunlardır :
- Tehdit olasılığı ölçeği bileşeni
- Risk ölçeği bileşeni
- Risk matrisi bileşeni.
Bölüm 2 ve 3'te yapılan analize ve kilit paydaşlardan gelen yorumlara dayanarak, gelecekteki çalışmalar, risk seviyelerinin karşılaştırılabilir olması için farklı RM'lerden kaynaklanan risk analizinden elde edilen çıktıların yorumlanmasına izin vermeye odaklanmalıdır. Bu tür hükümler, işbirliği yapmayı veya bilgi ve hizmet alışverişinde bulunmayı amaçlayan Üye Devletlerdeki kuruluşlar için çok faydalı olabilir. Bu gibi durumlarda, denetçiler veya güvenlik uzmanları çeşitli RM sonuçlarını karşılaştırırken ve risk seviyelerinin eşdeğer olup olmadığını değerlendirmeye çalışırken (örneğin ITSRM2 kullanan bir risk seviyesi 18 ile TVRA kullanan bir risk seviyesi 4 karşılaştırıldığında) sorun yaşarlar. Bu nedenle, birlikte çalışabilirliği sağlamak için aşağıdakilere yönelik çalışmak gereklidir.
- Risk tanımlama süreci tarafından üretilen risk senaryolarını değerlendirmek için analistler tarafından kullanılacak Ortak veya Karşılaştırmalı Risk Ölçekleri.
- Risk ölçekleri nitel veya nicel olabilir. Ancak, analistlerin her bir RM çerçevesinin sonuçlarını başka bir RM çerçevesiyle karşılaştırmalı olarak nasıl yorumlayabileceklerine ilişkin kılavuz ilkeler olmalıdır.
- Her bir kurumsal büyüklük, sektör, bölge veya ulus vb. için referans değerlerin belirlenmesi (mümkünse) faydalı olacaktır.
4.6 SÜREÇ S7 RİSK İŞLEMİ
4.6.1 Sürecin tanımı
S7 Risk İşleminin amacı, kurum üzerindeki kısıtlamalar dikkate alınarak belirlenen riskleri ele almak için en uygun risk işlemi seçeneklerinin seçilmesidir. Risk azaltma, kaçınma, paylaşma veya kabul etme potansiyel işlem seçenekleri olarak değerlendirilir. Süreç, önceki süreçlerden elde edilen sonuçları ve çerçeve tarafından sağlanan güvenlik önlemleri kataloğunu girdi olarak alır. Süreç, risk azaltmanın seçilmesi halinde risk azaltma seçenekleri ve uygulanabilir güvenlik önlemleriyle ilgili tüm bilgileri toplayan bir risk azaltma kaydıyla sonuçlanır.
Süreç, ISO 27005'in Risk İşleme adımı ile eşleştirilmiştir.
4.6.2 Birlikte çalışabilirlik özelliklerinin önerilmesi ve entegrasyonu
Risk işleme sürecinde farklı RM çerçeveleri arasında birlikte çalışabilirliğin sağlanması, özellikle RM'nin sürekli ve tekrar eden bir süreç olduğu düşünüldüğünde önemlidir. Bu nedenle, kuruluşların zaman içinde farklı metodolojiler kullanarak RM gerçekleştirmeleri yaygın bir durumdur. Ayrıca, işbirliği genellikle bilgi alışverişini ve sistemlerin birbirine bağlanmasını içerdiğinden, kuruluşlar işbirlikçilerini risk yönetimi ve muamelesi konusundaki iştahlarına ve statülerine göre seçebilecekleri için de önemlidir. Bu nedenle, kuruluşlar aynı sistem için iki farklı RM çerçevesi tarafından üretilen risk işleme sonuçlarını veya farklı sistemler için farklı RM çerçeveleri tarafından üretilen sonuçları karşılaştırabilmeyi arzu etmektedir. Bunun için aşağıdaki hedefler doğrultusunda çalışmak gerekmektedir.
• Risk gelişiminin seviyeleri ve riskin çeşitli kategorileri ile ilişkilendirilmiş risk gelişiminin seviyeleri ve temel güvenlik önlemleri.Kuruluşlar başlangıçta minimum temel güvenlik seviyesine ulaşmayı ve risk değerlendirmeleri yaparak ve daha fazla risk ve uygun kontroller belirleyerek risk olgunluğunu daha da geliştirmeyi hedefleyebilirler.
• Risk iştahını karşılaştırmak için kılavuz ilkeler. Üst yönetim mevcut risk işleme seçenekleri arasından seçim yaparak risk azaltma, risk kabul etme, riskten kaçınma veya risk paylaşımını seçer. Risk muamelesine ilişkin kararlar üst yönetimin risk iştahı ile ilgilidir ve kuruluşların işbirlikçilerini seçerken ve hizmet seviyesi anlaşmaları geliştirirken kullanabilecekleri değerli bir kriter olabilir. Risk için karşılaştırmalı ölçekler olduğunu varsayarsak, risk yönetimi iştahlarını değerlendirmek ve karşılaştırmak için kılavuzlar üzerinde çalışmak faydalı olacaktır.
Bundan sonraki bölüme "Sinopsis/Tümbakış ve Öne Çıkan Risk Yönetimi Çerçeveleri ve Metodolojilerine İlişkin Güncellemeler " ile devam edilecektir.
Kaynak:
https://www.enisa.europa.eu/publications/interoperable-eu-risk-management-framework/@@download/fullReport
(Güncellenmiş Rapor, Aralık 2022)
ENISA HAKKINDA
Avrupa Birliği Siber Güvenlik Ajansı ENISA, Birliğin aşağıdaki konulara adanmış ajansıdır Avrupa çapında yüksek bir ortak siber güvenlik seviyesine ulaşmak. 2004 yılında kurulan ve AB Siber Güvenlik Yasası ile güçlendirilen Avrupa Birliği Siber Güvenlik Ajansı AB siber politikasına katkıda bulunur, BİT ürün, hizmet ve ürünlerinin güvenilirliğini artırır. siber güvenlik sertifikasyon programları ile süreçler, Üye Devletler ve AB ile işbirliği ve Avrupa'nın yarının siber zorluklarına hazırlanmasına yardımcı olur. Bilgi yoluyla paylaşımı, kapasite geliştirme ve farkındalık yaratma konularında kilit rol oynayan kurumlarla birlikte çalışmaktadır. paydaşların bağlantılı ekonomiye olan güvenini güçlendirmek, Birliğin dayanıklılığını artırmak altyapısını ve nihayetinde Avrupa toplumunu ve vatandaşlarını dijital olarak güvende tutmak. Daha fazla ENISA ve çalışmaları hakkındaki bilgilere buradan ulaşabilirsiniz: www.enisa.europa.eu
İLETİŞİM
Yazarlarla iletişime geçmek için lütfen CBU@ENISA.EUROPA.EU adresini kullanın.
Bu makaleyle ilgili medya soruları için lütfen PRESS@ENISA.EUROPA.EU adresini kullanın.
YAZARLAR
Costas Lambrinoudakis, Stefanos Gritzalis, Christos Xenakis, Sokratis Katsikas, Maria Karyda,
Pire Üniversitesi'nden Aggeliki Tsochou
Kostas Papadatos, Konstantinos Rantos, Yiannis Pavlosoglou, Stelios Gasparinatos,
CyberNoesis'ten Anastasios Pantazis
ENISA'dan Alexandros Zacharis
YASAL BİLDİRİM
Aksi belirtilmedikçe, bu yayının ENISA'nın görüş ve yorumlarını temsil ettiği dikkate alınmalıdır. Bu yayın ENISA'nın yasal bir işlemi olarak yorumlanmamalıdır. veya 2019/881 sayılı Tüzük (AB) uyarınca kabul edilmedikçe ENISA organları tarafından onaylanmamıştır.
Bu yayın en son gelişmeleri temsil içermeyebilir ve ENISA bu yayını zaman zaman güncelleyebilir
Üçüncü taraf kaynaklardan uygun şekilde alıntı yapılmıştır. ENISA, bu yayında atıfta bulunulan harici web siteleri de dahil olmak üzere harici kaynakların içeriğinden sorumlu değildir.
Bu yayın sadece bilgilendirme amaçlıdır. Ücretsiz olarak erişilebilir olmalıdır.
Ne ENISA ne de onun adına hareket eden herhangi bir kişi bu yayının kullanımından sorumlu değildir.
bu yayında yer alan bilgilerin telif hakkı saklıdır.
TELİF HAKKI UYARISI
© Avrupa Birliği Siber Güvenlik Ajansı (ENISA), 2022
ISBN 978-92-9204-553-1 DOI:10.2824/07253 Katalog No: TP-01-22-004-EN-N
Paylaş:
E-BÜLTEN KAYIT
Güncel makalelerimizden haberdar olmak için e-bültene kayıt olun!
Güncel makalelerimizden haberdar olmak için e-bültene kayıt olun!