×

Birlikte Çalışabilir AB Risk Yönetimi Çerçevesi Bölüm-2Birlikte Çalışabilir AB Risk Yönetimi Çerçevesi
Bölüm-2


Risk Yönetimi Çerçeveleri ve Metodolojileri Arasında
Birlikte Çalışabilirliğin Değerlendirilmesi için Metodoloji
Çeviri düzenleme:Celal Ünalp 

 
Aşağıdaki Enisa Raporu  Enisa  web sitesindeki orjinal İngilizce versiyonundan  alınarak  ETP Celal Ünalp  tarafından yapay zeka çeviri yazılımları kullanarak Türkçe'ye tercüme edilerek düzenlenmiştir.

Kaynak: 
https://www.enisa.europa.eu/publications/interoperable-eu-risk-management-framework/@@download/fullReport
(Güncellenmiş Rapor, Aralık 2022)

Rapor bölümler halinde yayınlanacaktır. Enisa  ve yazının yazarlarının Türkçe çeviri ile ilgili sorumluluğu yoktur. ETP  Türkçe çeviri ve düzenleme sorumluluğunu üstlenir.

Türkçe çeviride  göreceğiniz olası hataları " iletisim@etp.com.tr "  adresine e-posta göndermenizi rica ederiz. 

Bu raporun ETP Portalımızda yayını ile ilgili bize destek ve kılavuz olan Avrupa Birliği Yayınlar Ofisi'nden Mr. Brian Killeen 'e  teşekkür ederiz. 

2.2 BİRLİKTE ÇALIŞABİLİRLİK DEĞERLENDİRME MODELİ

2.2.1 Metodoloji ve birlikte çalışabilirlik seviyeleri

RM çerçeveleri ve metodolojileri arasındaki potansiyel birlikte çalışabilirliğin değerlendirilmesi için, öncelikle işlevsel özelliklere ilişkin olarak çerçevenin veya metodolojinin doğal birlikte çalışabilirlik düzeyini dikkate alıyoruz. Bu, belirli bir çerçevenin bu belirli özelliklerle ilgili olarak diğer çerçevelerle birlikte çalışabilirliğe izin verip vermediğini gösterir. 

Riskin tanımlanması, tahmini ve ele alınmasının birlikte çalışabilirliğine katkıda bulunan özelliklerle ilgili olarak dört seviyeli bir ölçek kullanılmıştır:

•    Uygulanamaz: Çerçeve veya metodoloji bu özelliği kullanmamakta veya desteklememektedir.

•    Düşük Birlikte Çalışabilirlik: Çerçeve veya metodoloji bu özellik için çerçevenin kendisi tarafından sağlanan özel bir çözüm gerektirir.

•   Orta Düzey Birlikte Çalışabilirlik: Çerçeve veya metodoloji ayrıntıları sağlar ancak zorunlu değildir ve bu nedenle önerilen çözüm değiştirilebilir.

•   Yüksek Düzeyde Birlikte Çalışabilirlik: Çerçeve veya metodoloji bu özelliği kullanır, ancak ya herhangi bir öneri sunmaz ya da standartlaştırılmış veya tescilli bir çözüm gibi üçüncü bir çerçevenin özelliklerini benimseyebilir.

Bu değerlendirme metodolojisini işlevsel gereklilikler ve özellikle aşağıdaki özellikler için uyguladık:

►Risk Tanımlama 
     ♦Varlık Taksonomisi
     ♦Varlık Değerlendirme
     ♦Tehdit Katalogları
     ♦ Zafiyet Katalogları

►Risk Hesaplama
►Risk İşleme
      ♦Ölçü Katalogları
      ♦Artık Riskin Hesaplanması


Her bir RM çerçevesi veya metodolojisinin potansiyel birlikte çalışabilirliğini değerlendirmek için öncelikle Risk Tanımlama, Risk Hesaplama ve Risk İşleme işlevsel bileşenlerinin birlikte çalışabilirlik düzeyini belirleriz. Daha spesifik olarak, aşağıdaki Tablo risk yönetimi çerçevesi veya metodolojisinin her bir işlevsel özelliği için değerlendirilen ana parametreleri sunmaktadır.

 
Tablo 1:Her bir işlevsel özellik için değerlendirlen parametreler 
Karakteristik Kontrol Edilecek Parametreler
Varlık Taksonomisi Çerçeve veya metodoloji belirli varlık kategorilerini kullanıyor veya tanımlıyor mu?
Kullanılan taksonomi değiştirilebilir mi?
Analist yeni varlık kategorileri ekleyebilir veya diğer kaynaklardan taksonomileri içe aktarabilir mi?
Varlık Değerlemesi Çerçeve veya metodoloji, varlıkların değerlemesi için özel kılavuzlar kullanıyor mu veya tanımlıyor mu (örneğin, varlık değeri ve etkisinin değerlendirilmesi için ölçek ve kriterler)?
Önerilen ölçekler veya kriterler değiştirilebilir mi?
Analist yeni ölçekler veya kriterler getirebilir mi?
Tehdit Kataloğu Çerçeve veya metodoloji belirli tehdit kataloglarını ve/veya tehdit kategorilerini kullanıyor veya tanımlıyor mu?
Önerilen tehdit katalogları ve/veya tehdit kategorileri değiştirilebilir mi?
Analist yeni tehditler ve/veya tehdit kategorileri ekleyebilir ve bunları başka kaynaklardan alabilir mi?
Zafiyet Kataloğu Çerçeve veya metodoloji belirli zafiyet kataloglarını ve/veya zafiyet kategorilerini tanımlıyor mu?
Önerilen zafiyet katalogları ve/veya zafiyet kategorileri değiştirilebilir mi?
Analist yeni zafiyetler ve/veya zafiyet kategorileri ekleyebilir ve bunları başka kaynaklardan alabilir mi?
Risk Hesaplama Çerçeve veya metodoloji, riskin hesaplanması için özel yönergeler tanımlıyor mu (örn. formüller, ölçek, matris)?
Önerilen hesaplama yöntemi değiştirilebilir mi?
Analist yeni hesaplama yöntemleri getirebilir veya (diğer kaynaklardan) alabilir mi?
Ölçü Katalogları
Artık Riskin Hesaplanması
Çerçeve veya metodoloji belirli kontrol kataloglarını ve/veya kontrol kategorilerini tanımlıyor mu?
Önerilen kontrol katalogları ve/veya kontrol kategorileri değiştirilebilir mi?
Analist yeni kontroller ve/veya kontrol kategorileri ekleyebilir ve bunları başka kaynaklardan alabilir mi?
Artık Risk Hesaplaması (ya bir Artık Risk Hesaplama formülüne ya da bir Tedbirlerin Etkisi formülüne göre) değiştirilebilir mi?
 
Toplanan bilgilere ve yukarıda belirtilen parametrelerin nasıl karşılanıp karşılanmadığına dayanarak, her bir risk yönetimi çerçevesi veya metodolojisi için her bir işlevsel bileşen (Risk Tanımlama, Risk Değerlendirme, Risk İşleme) için birlikte çalışabilirlik düzeyini (Birlikte çalışabilirlik yok, Düşük, Orta veya Yüksek birlikte çalışabilirlik düzeyi) tahmin ediyoruz.

Bir işlevsel bileşenin sahip olduğu birlikte çalışabilirlik düzeyi ne kadar yüksekse, çerçevenin belirli bir özellik veya işlevsellik (yani birleşik özellikler) ile ilgili olarak diğer çerçevelerle birlikte çalışabilir olma olasılığı o kadar yüksektir.

Örnek olarak, 'Zafiyet Katalogları' özelliğine ilişkin bir risk değerlendirme çerçevesi, aşağıda gösterildiği gibi değerlendirilecektir.

• Uygulanamaz, eğer çerçeve risk hesaplamasında güvenlik açıklarını kullanmıyorsa, bu nedenle başka bir çerçevenin kataloglarını sağlanan şekilde kullanmak gibi başka bir çerçeve ile çalışabilirlik uygulanamaz.

• Düşük Birlikte Çalışabilirlik Düzeyi: Çerçeve veya metodoloji, değiştirilemeyen veya başka bir tanesiyle değiştirilemeyen tescilli bir güvenlik açığı kataloğu kullanıyorsa.

• Orta Düzey Birlikte Çalışabilirlik: Çerçeve veya metodoloji değiştirilebilen tescilli bir güvenlik açığı kataloğu kullanıyorsa.

• Yüksek Birlikte Çalışabilirlik: Çerçeve, değiştirilebilen ve diğer katalogları da barındırabilen tescilli bir güvenlik açığı kataloğu kullanıyorsa ve ayrıca çerçeve veya metodoloji tescilli bir güvenlik açığı kataloğu kullanmayabilir, ancak başka herhangi bir kataloğu barındırabilir.

2.2.2 Potansiyel birlikte çalışabilirlik için puanlama modeli

Her bir çerçevenin her bir işlevsel özellik için sahip olduğu birlikte çalışabilirlik düzeyini değerlendirdikten sonra, bir araya geldiklerinde belirli işlevsel bileşenlerle (örneğin risk tanımlama) sonuçlanan özellikler için birlikte çalışabilirlik potansiyelini de değerlendirdik. Özellikle, risk tanımlama için, Varlık Taksonomisi, Varlık Değerleme, Tehdit Katalogları ve Zafiyet Katalogları özelliklerine ilişkin birlikte çalışabilirlik seviyelerinin değerlendirmesini birleştirdik. Ardından, belirli bir risk yönetimi çerçevesi veya metodolojisinin Risk Tanımlama işlevsel bileşeninin potansiyel birlikte çalışabilirliğini hesaplamak için aşağıdaki ağırlık faktörlerini uyguladık:

•    Varlık Taksonomisi, Ağırlık faktörü: 30%
•    Varlık Değerlemesi, Ağırlık faktörü: 50%
•    Tehdit Katalogları, Ağırlık faktörü: %10
•    Zafiyet Katalogları, Ağırlık faktörü: %10

Dolayısıyla, Risk Tanımlama fonksiyonel bileşeni için birlikte çalışabilirlik potansiyeli şu şekilde olacaktır:

•    %30 * Varlık Taksonomisi için Birlikte Çalışabilirlik Seviyesi +
•    %50 * Varlık Değerlemesi için Birlikte Çalışabilirlik Seviyesi +
•    %10 * Tehdit Katalogları için Birlikte Çalışabilirlik Seviyesi +
•    %10 * Zafiyet Katalogları için Birlikte Çalışabilirlik Seviyesi.

Yukarıdaki ağırlıklar, proje ekibini oluşturan güvenlik uzmanları (yani uygulama ve araştırma bilgisi) tarafından değerlendirildiği şekliyle, çerçeve veya metodolojinin potansiyel birlikte çalışabilirliği için her bir işlevsel özelliğin diğer işlevsel özelliklere göre önemini yansıtmaktadır.

Belirli bir çerçevenin Risk Değerlendirmesi ve Risk İşleme süreci açısından potansiyel birlikte çalışabilirliği, değerlendirilen birlikte çalışabilirlik düzeylerine eşittir.

Risk Tanımlama, Risk Değerlendirme ve Risk İşleme süreci için potansiyel birlikte çalışabilirliğin ayrı ayrı sunulması, bir kişinin bir çerçeve ile yalnızca üç farklı işlevsel bileşenden birinde etkileşime girme ihtiyacına hizmet eder. Örneğin, bir çerçevenin risk tanımlama için yüksek bir birlikte çalışabilirlik potansiyeline sahip olması ancak risk işleme süreci için olmaması mümkündür. Son olarak, bir Risk Yönetimi çerçevesinin genel birlikte çalışabilirlik potansiyeli, çerçevenin Risk Tanımlama, Risk Hesaplama ve Risk İşleme işlevsel bileşenleri için hesaplanan birlikte çalışabilirlik potansiyellerinin ortalaması olarak hesaplanır.


Bundan sonraki bölümde "SONUÇLAR"  anlatılmaya devam edilecektir. 

Kaynak: 
https://www.enisa.europa.eu/publications/interoperable-eu-risk-management-framework/@@download/fullReport
(Güncellenmiş Rapor, Aralık 2022)

ENISA HAKKINDA 

Avrupa Birliği Siber Güvenlik Ajansı ENISA, Birliğin aşağıdaki konulara adanmış ajansıdır Avrupa çapında yüksek bir ortak siber güvenlik seviyesine ulaşmak. 2004 yılında kurulan ve AB Siber Güvenlik Yasası ile güçlendirilen Avrupa Birliği Siber Güvenlik Ajansı AB siber politikasına katkıda bulunur, BİT ürün, hizmet ve ürünlerinin güvenilirliğini artırır. siber güvenlik sertifikasyon programları ile süreçler, Üye Devletler ve AB ile işbirliği ve Avrupa'nın yarının siber zorluklarına hazırlanmasına yardımcı olur. Bilgi yoluyla paylaşımı, kapasite geliştirme ve farkındalık yaratma konularında kilit rol oynayan kurumlarla birlikte çalışmaktadır. paydaşların bağlantılı ekonomiye olan güvenini güçlendirmek, Birliğin dayanıklılığını artırmak altyapısını ve nihayetinde Avrupa toplumunu ve vatandaşlarını dijital olarak güvende tutmak. Daha fazla ENISA ve çalışmaları hakkındaki bilgilere buradan ulaşabilirsiniz: www.enisa.europa.eu

İLETİŞİM

Yazarlarla iletişime geçmek için lütfen CBU@ENISA.EUROPA.EU adresini kullanın.
Bu makaleyle ilgili medya soruları için lütfen PRESS@ENISA.EUROPA.EU adresini kullanın.

YAZARLAR
Costas Lambrinoudakis, Stefanos Gritzalis, Christos Xenakis, Sokratis Katsikas, Maria Karyda,
Pire Üniversitesi'nden Aggeliki Tsochou

Kostas Papadatos, Konstantinos Rantos, Yiannis Pavlosoglou, Stelios Gasparinatos,

CyberNoesis'ten Anastasios Pantazis

ENISA'dan Alexandros Zacharis

YASAL BİLDİRİM

Aksi belirtilmedikçe, bu yayının ENISA'nın görüş ve yorumlarını temsil ettiği dikkate alınmalıdır. Bu yayın ENISA'nın yasal bir işlemi olarak yorumlanmamalıdır. veya 2019/881 sayılı Tüzük (AB) uyarınca kabul edilmedikçe ENISA organları tarafından onaylanmamıştır.

Bu yayın en son gelişmeleri temsil  içermeyebilir  ve ENISA bu yayını zaman zaman  güncelleyebilir

Üçüncü taraf kaynaklardan uygun şekilde alıntı yapılmıştır. ENISA, bu yayında atıfta bulunulan harici web siteleri de dahil olmak üzere harici kaynakların içeriğinden sorumlu değildir.

Bu yayın sadece bilgilendirme amaçlıdır. Ücretsiz olarak erişilebilir olmalıdır.

Ne ENISA ne de onun adına hareket eden herhangi bir kişi bu yayının kullanımından sorumlu değildir.
bu yayında yer alan bilgilerin telif hakkı saklıdır.

TELİF HAKKI UYARISI

© Avrupa Birliği Siber Güvenlik Ajansı (ENISA), 2022

ISBN 978-92-9204-553-1 DOI:10.2824/07253 Katalog No: TP-01-22-004-EN-N
Paylaş:
E-BÜLTEN KAYIT
Güncel makalelerimizden haberdar olmak için e-bültene kayıt olun!
Sosyal Medyada Bizi Takip Edin!
E-Bülten Kayıt