BT risk yönetimi - IT risk management

"Bilgi risk yönetimi" burada yönlendirir. Yanlış bilgi riski için, bkz. Güvence hizmetleri .
Risk Yönetimi Unsurları

BT Risk Yönetimi , BT riskini yönetmek için risk yönetimi yöntemlerinin bilgi teknolojisine uygulanmasıdır , yani:

Bir kuruluş veya kuruluş içinde BT'nin kullanımı, mülkiyeti, işletimi, katılımı, etkisi ve benimsenmesiyle ilişkili iş riski

BT risk yönetimi, daha geniş bir kurumsal risk yönetimi sisteminin bir bileşeni olarak düşünülebilir .

Bir Bilgi Güvenliği Yönetim Sisteminin (BGYS) kurulması, sürdürülmesi ve sürekli güncellenmesi, bir şirketin bilgi güvenliği risklerinin tanımlanması, değerlendirilmesi ve yönetimi için sistematik bir yaklaşım kullandığının güçlü bir göstergesidir.

BT risklerini yönetmek için her biri süreçlere ve adımlara bölünmüş farklı metodolojiler önerilmiştir.

Göre risk BT çerçevesinde, bu kapsar yıkımı veya kuruluşun değerinin azalmasını getirebilir operasyonları ve hizmet sunumunun olumsuz etkisi değil, aynı zamanda kullanım teknolojisine eksik fırsatlarına ilişkili fayda sağlayan riskini sadece etkinleştirmek veya iş geliştirmek için veya aşırı harcama veya olumsuz iş etkisi ile geç teslimat gibi hususlar için BT proje yönetimi.

Çünkü riski kesinlikle belirsizlik bağlıdır, karar teorisi yani rasyonel belirsizlik altında seçimler yapma, bir bilim olarak riskini yönetmek için uygulanmalıdır.

Genel olarak konuşursak, risk , olasılık çarpı etkinin ürünüdür (Risk = Olabilirlik * Etki).

Bir BT riskinin ölçüsü, tehdit, güvenlik açığı ve varlık değerlerinin bir ürünü olarak belirlenebilir :

BT Riski için daha güncel bir Risk yönetimi çerçevesi, TIK çerçevesi olacaktır:


Süreç risk yönetimi devam eden bir tekrarlayan bir süreç . Süresiz olarak tekrarlanmalıdır. İş ortamı sürekli değişiyor ve her gün yeni tehditler ve güvenlik açıkları ortaya çıkıyor. Riskleri yönetmek için kullanılan karşı önlemlerin ( kontrollerin ) seçimi verimlilik, maliyet, karşı önlemin etkinliği ve korunan bilgi varlığının değeri arasında bir denge sağlamalıdır.

Tanımlar

Bilgi Sistemleri Denetçisi Sertifikası ISACA tarafından üretilen 2006 Manuel İnceleme, uluslararası bir meslek birliği, BT Yönetişim odaklanmış risk yönetimi aşağıdaki tanımı sağlamaktadır: "Risk yönetimi belirleme sürecidir açıklarını ve tehditleri ulaşmada bir kuruluş tarafından kullanılan bilgi kaynaklarına iş hedefleri ve bilgi kaynağının kuruluş için değerine dayalı olarak, riski kabul edilebilir bir düzeye indirmek için hangi karşı önlemlerin alınacağına karar vermek ."


Risk yönetimi , BT yöneticilerinin, kuruluşlarının misyonlarını destekleyen BT sistemlerini ve verilerini koruyarak, koruyucu önlemlerin operasyonel ve ekonomik maliyetlerini dengelemelerine ve görev kabiliyetinde kazanımlar elde etmelerine olanak tanıyan bir süreçtir. Bu süreç BT ortamına özgü değildir; gerçekten de günlük hayatımızın her alanında karar verme sürecini kapsıyor .

Bir organizasyonel birimin başkanı, organizasyonun misyonunu gerçekleştirmek için gereken yeteneklere sahip olduğundan emin olmalıdır. Bu görev sahipleri, gerçek dünya tehditleri karşısında istenen düzeyde görev desteği sağlamak için BT sistemlerinin sahip olması gereken güvenlik yeteneklerini belirlemelidir . Çoğu kuruluşun BT güvenliği için kısıtlı bütçeleri vardır; bu nedenle, BT güvenlik harcamaları, diğer yönetim kararları kadar kapsamlı bir şekilde gözden geçirilmelidir. İyi yapılandırılmış bir risk yönetimi metodolojisi, etkin bir şekilde kullanıldığında yönetimin , görev için temel güvenlik yeteneklerini sağlamak için uygun kontrolleri belirlemesine yardımcı olabilir .

BT güvenlik varlığı arasındaki ilişkiler

BT dünyasında risk yönetimi, diğer karmaşık faaliyetlerle çok sayıda ilişkisi olan oldukça karmaşık, çok yönlü bir faaliyettir. Sağdaki resim, farklı ilgili terimler arasındaki ilişkileri gösterir.

Amerikan Ulusal Bilgi Güvencesi Eğitim ve Öğretim Merkezi , BT alanındaki risk yönetimini şu şekilde tanımlar:

  1. Belirsiz olayların etkisini belirleme, kontrol etme ve en aza indirmeye yönelik toplam süreç. Risk yönetimi programının amacı, riski azaltmak ve DAA onayını almak ve sürdürmektir. Süreç, sistem yaşam döngüsü boyunca her yönetim seviyesi tarafından güvenlik risklerinin yönetimini kolaylaştırır. Onay süreci üç unsurdan oluşur: risk analizi , belgelendirme ve onay.
  2. Belirsiz olayların tanımlanması, ölçülmesi, kontrolü ve en aza indirilmesi ile ilgili bir yönetim bilimi unsuru. Etkili bir risk yönetimi programı aşağıdaki dört aşamadan oluşur:
    1. a Tehditlerin ve güvenlik açıklarının değerlendirilmesinden türetilen bir risk değerlendirmesi.
    2. Yönetim kararı.
    3. Kontrol uygulaması.
    4. Etkililik incelemesi.
  3. AIS kaynaklarını etkileyen belirsiz olayları belirleme, ölçme ve en aza indirmeye yönelik toplam süreç. Bu içerir risk analizi , maliyet fayda analizi, korunma seçimi, güvenlik test ve değerlendirme, korunma uygulama ve sistemleri gözden.
  4. Sistem kaynaklarını etkileyebilecek belirsiz olayları tanımlama, kontrol etme ve ortadan kaldırma veya en aza indirmeye yönelik toplam süreç. Risk analizi, maliyet fayda analizi, seçim, uygulama ve test, koruma önlemlerinin güvenlik değerlendirmesi ve genel güvenlik incelemesini içerir.

Kurumsal risk yönetiminin bir parçası olarak risk yönetimi

Bazı kuruluşlarda kapsamlı bir Kurumsal risk yönetimi (ERM) vardır ve diğerlerinin çoğunda yerinde olmalıdır. Treadway Komisyonunun Sponsor Kuruluşlar Komitesi'ne (COSO) göre ele alınan dört hedef kategorisi şunlardır:

  • Strateji - kuruluşun misyonuyla uyumlu ve onu destekleyen üst düzey hedefler
  • Operasyonlar - kaynakların etkin ve verimli kullanımı
  • Finansal Raporlama - operasyonel ve finansal raporlamanın güvenilirliği
  • Uyumluluk - geçerli yasa ve yönetmeliklere uygunluk

Göre risk BT ile çerçeve -ISACA'nın , BT risk dört kategorilerine enine olduğunu. BT riski Kurumsal risk yönetimi çerçevesinde yönetilmelidir: Risk iştahı ve tüm işletmenin risk duyarlılığı BT risk yönetimi sürecine rehberlik etmelidir. ERM, BT risk yönetimine bağlam ve iş hedeflerini sağlamalıdır.

Risk yönetimi metodolojisi

ENISA: ISO Standardı 13335'e göre Risk Yönetim Süreci

Bir metodoloji belirli yöntemleri tanımlamasa da; bununla birlikte, izlenmesi gereken (genel bir çerçeve oluşturan) çeşitli süreçleri belirtir. Bu süreçler alt süreçlere ayrılabilir, birleştirilebilir veya sıraları değişebilir. Bir risk yönetimi uygulaması, bu süreçleri şu veya bu şekilde gerçekleştirmelidir. Aşağıdaki tablo, önde gelen üç standart tarafından öngörülen süreçleri karşılaştırmaktadır. ISACA Risk BT çerçeve daha yenidir. Risk BT Uygulayıcı Kılavuzu, Risk BT ve ISO 27005'i karşılaştırır.

Terim metodoloji ilke ve kurallar organize bir dizi anlamına gelir bilginin belirli bir alanda sürücü eylem söyledi.

Genel karşılaştırma aşağıdaki tabloda gösterilmiştir.

Risk yönetimini oluşturan süreçler
ISO/IEC 27005:2008 BS 7799-3:2006 NIST SP 800-39 Risk BT
bağlam oluşturma Organizasyonel bağlam Çerçeve RG ve RE Etki Alanları daha kesin olarak
  • RG1.2 BT risk toleransı önerin,
  • RG2.1 BT risk yönetimi için hesap verebilirliğin oluşturulması ve sürdürülmesi
  • RG2.3 BT risk uygulamalarını kurumsal risk uygulamalarına uyarlamak,
  • RG2.4 BT risk yönetimi için yeterli kaynakları sağlayın,
  • RE2.1 BT risk analizi kapsamını tanımlayın.
Risk değerlendirmesi Risk değerlendirmesi Değerlendirmek

RE2 süreci şunları içerir:

  • RE2.1 BT risk analizi kapsamını tanımlayın.
  • RE2.2 BT riskini tahmin edin.
  • RE2.3 Risk yanıt seçeneklerini belirleyin.
  • RE2.4 BT risk analizi için bir meslektaş incelemesi gerçekleştirin.

Genel olarak, ISO 27005 sürecinde açıklanan unsurların tümü Risk BT'ye dahildir; ancak bazıları farklı şekilde yapılandırılmış ve adlandırılmıştır.

Risk tedavisi Risk işleme ve yönetim karar verme Cevap vermek
  • RE 2.3 Risk yanıt seçeneklerini belirleyin
  • RR2.3 Keşfedilen risk maruziyetine ve fırsata yanıt verin
Risk kabulü RG3.4 BT riskini kabul edin
Risk iletişimi Devam eden risk yönetimi faaliyetleri
  • RG1.5 BT risk bilincine sahip kültürü teşvik edin
  • RG1.6 BT riskinin etkin iletişimini teşvik edin
  • RE3.6 BT risk göstergeleri geliştirin.
Risk izleme ve inceleme monitör
  • RG2 ERM ile entegrasyon.
  • RE2.4 BT risk analizi için bir meslektaş incelemesi gerçekleştirin.
  • RG2.5 BT risk yönetimi üzerinde bağımsız güvence sağlayın

Olasılıklı doğası ve maliyet-fayda analizi ihtiyacı nedeniyle, BT riskleri, NIST SP 800-30'a göre aşağıdaki adımlara bölünebilen bir süreç izlenerek yönetilir :

  1. risk değerlendirmesi ,
  2. risk azaltma ve
  3. değerlendirme ve değerlendirme .

Etkili risk yönetimi, Sistem Geliştirme Yaşam Döngüsüne tamamen entegre edilmelidir .

Uygulamalar, bilgisayar kurulumları, ağlar ve geliştirilmekte olan sistemler üzerinde yürütülen bilgi risk analizi , yapılandırılmış metodolojiler kullanılarak gerçekleştirilmelidir.

bağlam oluşturma

Bu adım, ISO ISO/IEC 27005 çerçevesindeki ilk adımdır . Temel faaliyetlerin çoğu, NIST SP 800–30'a göre Risk değerlendirmesinin ilk alt süreci olarak öngörülmektedir . Bu adım, kuruluşla ilgili tüm bilgilerin edinilmesini ve risk yönetimi faaliyetlerinin ve risk yönetimi faaliyetlerinden sorumlu kuruluşun temel kriterlerinin, amacının, kapsamının ve sınırlarının belirlenmesini ifade eder. Amaç genellikle yasal gerekliliklere uygunluk ve sertifikalandırılabilen bir BGYS'yi destekleyen durum tespiti kanıtı sağlamaktır . Kapsam, bir olay raporlama planı, bir iş sürekliliği planı olabilir .

Bir başka uygulama alanı da bir ürünün sertifikasyonu olabilir.

Kriterler, risk değerlendirmesi, risk kabulü ve etki değerlendirme kriterlerini içerir. Bunlar aşağıdakiler tarafından koşullandırılır:

  • yasal ve düzenleyici gereklilikler
  • bilgi süreçleri işi için stratejik değer
  • paydaş beklentileri
  • örgütün itibarı için olumsuz sonuçlar

Kapsamı ve sınırları belirleyen kuruluş incelenmelidir: misyonu, değerleri, yapısı; stratejisi, yerleri ve kültürel ortamı. Kuruluşun kısıtlamaları (bütçe, kültürel, politik, teknik), sonraki adımlar için rehber olarak toplanacak ve belgelenecektir.

Güvenlik yönetimi organizasyonu

Risk yönetiminden sorumlu kuruluşun kurulumunun, bir BGYS'yi kurmak, uygulamak, işletmek, izlemek, gözden geçirmek, sürdürmek ve iyileştirmek için ihtiyaç duyulan kaynakları sağlama şartını kısmen yerine getirmesi öngörülmektedir. Bu kuruluş içindeki ana roller şunlardır:

Risk değerlendirmesi

ENISA: Risk yönetimi içinde risk değerlendirmesi

Risk Yönetimi, uygulanan ölçümlerin ve uygulanan güvenlik politikasının analizi, planlanması, uygulanması, kontrolü ve izlenmesi ile ilgilenen yinelenen bir faaliyettir. Aksine, Risk Değerlendirmesi ayrı zaman noktalarında (örneğin yılda bir, talep üzerine vb.) yürütülür ve - bir sonraki değerlendirmenin yapılmasına kadar - değerlendirilen risklerin geçici bir görünümünü sağlar ve tüm Risk Yönetimi sürecini parametreleştirirken. Risk Yönetiminin Risk Değerlendirmesi ile ilişkisine ilişkin bu görüş, OCTAVE'den alınan şekilde şekilde gösterilmektedir.

Risk değerlendirmesi genellikle birden fazla yinelemede gerçekleştirilir; ilki yüksek riskleri belirlemek için üst düzey bir değerlendirme olurken, diğer yinelemeler ana risklerin ve diğer risklerin analizini detaylandırır.

Göre Ulusal Bilgi Güvencesi Eğitim ve Eğitim Merkezi BT alandır risk değerlendirmesi:

  1. Güvenlik önlemlerinin güvenlik açıkları, tehditler, olasılık, kayıp veya etki ve teorik etkinliği üzerine bir çalışma. Yöneticiler, güvenlik gereksinimlerini ve özelliklerini geliştirmek için bir risk değerlendirmesinin sonuçlarını kullanır.
  2. Beklenen kaybı belirlemek ve sistem operasyonları için kabul edilebilirlik derecesini belirlemek için bilinen ve varsayılan tehditleri ve güvenlik açıklarını değerlendirme süreci.
  3. Belirli bir ADP tesisinin varlıklarının, bu varlıklara yönelik tehditlerin ve ADP tesisinin bu tehditlere karşı savunmasızlığının belirlenmesi.
  4. Bu olayların tahmini olasılıklarına dayalı olarak belirli olaylardan beklenen bir zararı belirlemek için sistem varlıklarının ve güvenlik açıklarının analizi. Risk değerlendirmesinin amacı, karşı önlemlerin kayıp olasılığını veya kaybın etkisini kabul edilebilir bir düzeye indirmek için yeterli olup olmadığını belirlemektir.
  5. Bilgisayar kurulum varlıklarının göreceli değerini ve hassasiyetini belirlemek, güvenlik açıklarını değerlendirmek, kayıp beklentisini veya algılanan riske maruz kalma seviyelerini değerlendirmek, mevcut koruma özelliklerini ve ek koruma alternatiflerini veya risklerin kabulünü ve yönetim kararlarını belgelemek için sistematik bir yaklaşım sağlayan bir yönetim aracı. Ek koruma özelliklerinin uygulanmasına ilişkin kararlar, normalde, koruma önleminin maliyet/faydası ile korunacak varlıkların duyarlılığı/değeri arasında makul bir oranın varlığına dayanır. Risk değerlendirmeleri, küçük ölçekli bir mikro bilgisayar kurulumunun resmi olmayan bir incelemesinden, büyük ölçekli bir bilgisayar kurulumunun daha resmi ve tam olarak belgelenmiş analizine (yani risk analizi) kadar değişebilir. Risk değerlendirme metodolojileri, nitel veya nicel yaklaşımlardan bu iki yaklaşımın herhangi bir kombinasyonuna kadar değişebilir.

ISO 27005 çerçevesi

Risk değerlendirmesi, önceki adımın çıktısını girdi olarak alır Bağlam oluşturma ; çıktı, risk değerlendirme kriterlerine göre önceliklendirilen değerlendirilmiş risklerin listesidir. İşlem aşağıdaki adımlara ayrılabilir:

Aşağıdaki tablo, bu ISO 27005 süreçlerini Risk BT çerçeve süreçleriyle karşılaştırmaktadır:

Risk değerlendirmesini oluşturan süreçler
ISO 27005 Risk BT
Risk analizi
  • RE2 Analiz riski, ISO 27005 süreç adımında açıklanandan daha fazlasını içerir. RE2'nin amacı, risk faktörlerinin işle ilgililiğini dikkate alan risk kararlarını desteklemek için faydalı bilgiler geliştirmektir.
  • RE1 Veri toplama, risk analizine girdi olarak hizmet eder (örneğin, risk faktörlerinin belirlenmesi, dış çevre hakkında veri toplanması).
Risk tanımlaması Bu süreç, RE2.2 Tahmini BT riskine dahil edilmiştir. Riskin tanımlanması aşağıdaki unsurları içerir:
  • Risk senaryoları
  • Risk faktörleri
Risk tahmini RE2.2 BT riskini tahmin edin
Risk değerlendirmesi RE2.2 BT riskini tahmin edin

ISO / IEC 27002: 2005 Bilgi güvenliği yönetimi için uygulama kodu aşağıdaki risk değerlendirmesi sırasında incelenecek önerir:

Risk tanımlaması

OWASP: tehdit aracısı ile iş etkisi arasındaki ilişki

Risk tanımlama, olası bir kayba neyin neden olabileceğini belirtir; aşağıdakiler tanımlanmalıdır:

  • varlıklar , birincil (yani İş süreçleri ve ilgili bilgiler) ve destekleyici (yani donanım, yazılım, personel, site, organizasyon yapısı)
  • tehditler
  • mevcut ve planlanan güvenlik önlemleri
  • güvenlik açıkları
  • sonuç
  • ilgili iş süreçleri

Alt sürecin çıktısı şunlardan oluşur:

  • Riski yönetilecek varlık ve ilgili iş süreçlerinin listesi, ilişkili tehditler listesi, mevcut ve planlanan güvenlik önlemleri
  • tanımlanmış herhangi bir tehditle ilgisi olmayan güvenlik açıklarının listesi
  • sonuçlarıyla birlikte olay senaryolarının listesi.

Risk tahmini

Bilgi güvenliği alanında nicel ve nitel olmak üzere iki risk değerlendirme yöntemi vardır .

Tamamen nicel risk değerlendirmesi, varlık (sistem veya uygulama) üzerindeki güvenlik ölçümlerine dayalı matematiksel bir hesaplamadır . Her bir risk senaryosu için , farklı risk faktörleri dikkate alınarak bir Tek kayıp beklentisi (SLE) belirlenir. Daha sonra, belirli bir dönem bazında meydana gelme olasılığı dikkate alınarak, örneğin yıllık meydana gelme oranı (ARO), Yıllık Zarar Beklentisi , ARO ve SLE'nin çarpımı olarak belirlenir. Dikkate alınacak varlıkların değerlerinin, yalnızca doğrudan etkilenen kaynağın değeri değil, ilgili tüm varlıkların değerleri olduğunu belirtmek önemlidir .
Örneğin, bir Dizüstü bilgisayar hırsızlığı tehdidinin risk senaryosunu göz önünde bulundurursanız, bilgisayarda bulunan verilerin (ilgili bir varlık) değerini ve kullanılabilirliğin kaybından kaynaklanan şirketin (diğer varlıkların) itibarını ve sorumluluğunu göz önünde bulundurmalısınız. ve dahil olabilecek verilerin gizliliği. Maddi olmayan varlıkların (veri, itibar, yükümlülük) risk altındaki fiziksel kaynaklardan (örnekteki dizüstü bilgisayar donanımı) çok daha değerli olabileceğini anlamak kolaydır . Maddi olmayan duran varlık değeri çok büyük olabilir, ancak değerlendirilmesi kolay değildir: bu, salt nicel bir yaklaşıma karşı bir değerlendirme olabilir.

Niteliksel risk değerlendirmesi (Çok Yüksek'ten Düşük'e üç ila beş adımlı değerlendirme), kuruluşun bir risk değerlendirmesinin nispeten kısa bir sürede veya küçük bir bütçeyi karşılaması gerektiğinde, önemli miktarda ilgili veri mevcut olmadığında veya değerlendirmeyi gerçekleştiren kişiler gerekli karmaşık matematiksel, finansal ve risk değerlendirme uzmanlığına sahip değillerdir. Niteliksel risk değerlendirmesi daha kısa sürede ve daha az veri ile yapılabilmektedir. Niteliksel risk değerlendirmeleri, tipik olarak, değerlendirilmekte olan varlığın güvenliğinden sorumlu bir kuruluş içindeki tüm ilgili gruplardan bir personel örneğiyle yapılan görüşmeler yoluyla gerçekleştirilir. Niteliksel risk değerlendirmeleri açıklayıcıya karşı ölçülebilirdir. Genellikle nitel bir sınıflandırma yapılır, ardından güvenlik önlemlerinin maliyetleriyle karşılaştırılacak en yüksek risklerin nicel bir değerlendirmesi yapılır.

Risk tahmini, girdi olarak risk analizinin çıktısına sahiptir ve aşağıdaki adımlara bölünebilir:

  • varlıkların değerlemesi yoluyla sonuçların değerlendirilmesi
  • olayın olasılığının değerlendirilmesi (tehdit ve güvenlik açığı değerlendirmesi yoluyla)
  • risklerin olasılığına ve sonuçlarına değerler atamak

Çıktı, değer seviyeleri atanmış risklerin listesidir. Bir risk kaydında belgelenebilir .

Güvenlik tehditlerinden ve saldırgan saldırılardan kaynaklanan risklerin tahmin edilmesi özellikle zor olabilir. Bu zorluk daha da kötüleşir, çünkü en azından İnternet'e bağlı herhangi bir BT sistemi için, fiziksel yakınlık veya erişim gerekli olmadığı için niyeti ve kabiliyeti olan herhangi bir düşman saldırabilir. Bu problem için bazı başlangıç ​​modelleri önerilmiştir.

Risk tahmini sırasında, belirli bir varlığın, biri CIA özelliklerinden birinin kaybı için olmak üzere, genellikle üç değeri vardır : Gizlilik , Bütünlük , Kullanılabilirlik .

Risk değerlendirmesi

Risk değerlendirme süreci, risk analizi sürecinin çıktısını girdi olarak alır. Her risk seviyesini risk kabul kriterleri ile karşılaştırır ve risk tedavi endikasyonları ile risk listesini önceliklendirir.

NIST SP 800 30 çerçevesi

NIST SP 800-30'a göre risk değerlendirmesi Şekil 3-1

Gelecekteki bir olumsuz olayın olasılığını belirlemek için, bir BT sistemine yönelik tehditler , BT sistemi için mevcut olan potansiyel güvenlik açıkları ve kontrollerle bağlantılı olmalıdır .
Etki, bir tehdidin savunmasızlık uygulamasının neden olabileceği zararın büyüklüğünü ifade eder. Etki düzeyi, olası görev etkileri tarafından yönetilir ve etkilenen BT varlıkları ve kaynakları için göreli bir değer üretir (örneğin, BT sistem bileşenlerinin ve verilerinin kritiklik duyarlılığı). Risk değerlendirme metodolojisi dokuz temel adımı kapsar:

  • Adım 1 Sistem Karakterizasyonu
  • 2. Adım Tehdit Tanımlama
  • 3. Adım Güvenlik Açığı Tanımlama
  • 4. Adım Kontrol Analizi
  • Adım 5 Olasılık Belirleme
  • 6. Adım Etki Analizi
  • 7. Adım Risk Belirleme
  • Adım 8 Kontrol Önerileri
  • 9. Adım Sonuç Belgeleri

Risk azaltma

SP 800–30'a göre ikinci süreç, risk yönetiminin ISO 27005'e göre üçüncüsü olan risk azaltma, risk değerlendirme sürecinden tavsiye edilen uygun risk azaltıcı kontrollerin önceliklendirilmesini, değerlendirilmesini ve uygulanmasını içerir. Tüm risklerin ortadan kaldırılması genellikle pratik olmadığı veya imkansıza yakın olduğu için, en düşük maliyetli yaklaşımı kullanmak ve görev riskini kabul edilebilir bir düzeye indirmek için en uygun kontrolleri uygulamak üst yönetimin ve fonksiyonel ve işletme yöneticilerinin sorumluluğundadır. kuruluşun kaynakları ve misyonu üzerinde olumsuz etki.

ISO 27005 çerçevesi

Risk işleme süreci, aşağıdakilere yönelik güvenlik önlemlerinin seçilmesini amaçlar:

  • azaltmak
  • sürdürmek
  • önlemek
  • Aktar

risk ve yönetimin kabulüne tabi kalan risklerle sürecin çıktısı olan bir risk tedavi planı üretir.

Uygun güvenlik önlemlerini seçmek için bazı listeler vardır, ancak iş stratejisine, ortamın kısıtlamalarına ve koşullara göre en uygun olanı seçmek tek kuruluşa bağlıdır. Seçim rasyonel ve belgelenmiş olmalıdır. Azaltılması çok maliyetli olan bir riskin kabul edilmesinin öneminin çok yüksek olması, risk kabulünün ayrı bir süreç olarak görülmesine neden olmuştur.

Risk transferi, riskin çok yüksek bir etkiye sahip olduğu, ancak güvenlik kontrolleri yoluyla olasılığı önemli ölçüde azaltmak kolay olmadığı durumlarda uygulanır: sigorta primi, hafifletme maliyetleriyle karşılaştırılmalı ve nihayetinde riski kısmen tedavi etmek için bazı karma stratejiler değerlendirilmelidir. Başka bir seçenek, riski yönetmek için daha verimli birine riski dış kaynak sağlamak.

Riskten kaçınma, herhangi bir risk oluşumunu önlemek için iş yapma yöntemlerinin değiştirildiği herhangi bir eylemi tanımlar. Örneğin, müşterilerle ilgili hassas bilgileri saklamama seçimi, müşteri verilerinin çalınma riskini ortadan kaldırabilir.

Bakiye riskler , risk tedavi kararının ardından kalan risk alınmış yani yeterli koruma sağlanır sağlamak için tahmin edilmelidir. Artık risk kabul edilemez ise, risk işleme süreci tekrarlanmalıdır.

NIST SP 800 30 çerçevesi

NIST SP 800-30'dan risk azaltma metodolojisi akış şeması Şekil 4-2
NIST SP 800-30'a göre risk azaltma eylem noktası Şekil 4-1

Risk azaltma, üst yönetim tarafından görev riskini azaltmak için kullanılan sistematik bir metodolojidir.
Risk azaltma, aşağıdaki risk azaltma seçeneklerinden herhangi biri yoluyla gerçekleştirilebilir:

  • Risk Varsayımı . Potansiyel riski kabul etmek ve BT sistemini çalıştırmaya devam etmek veya riski kabul edilebilir bir düzeye indirmek için kontroller uygulamak
  • Riskten Kaçınma . Risk nedenini ve/veya sonucunu ortadan kaldırarak riskten kaçınmak (örneğin, sistemin belirli işlevlerinden vazgeçmek veya riskler tanımlandığında sistemi kapatmak)
  • Risk Sınırlaması . Bir tehdidin bir güvenlik açığını kullanmasının olumsuz etkisini en aza indiren kontroller uygulayarak riski sınırlamak (örneğin, destekleyici, önleyici, tespit edici kontrollerin kullanımı)
  • Risk Planlama . Kontrolleri önceliklendiren, uygulayan ve sürdüren bir risk azaltma planı geliştirerek riski yönetmek
  • Araştırma ve Teşekkür . Güvenlik açığını veya kusuru kabul ederek ve güvenlik açığını düzeltmek için kontrolleri araştırarak kayıp riskini azaltmak
  • Risk Aktarımı . Sigorta satın almak gibi kaybı telafi etmek için diğer seçenekleri kullanarak riski devretmek.

Diğer görev yetenekleri üzerinde minimum etki ile en büyük riskleri ele alın ve en düşük maliyetle yeterli risk azaltma için çaba gösterin: bu, aşağıdaki önerilerde yer almaktadır.

Risk iletişimi

Ana madde: Risk yönetimi § Risk iletişimi

Risk iletişimi, diğer tüm risk yönetimi süreçleriyle çift yönlü olarak etkileşime giren yatay bir süreçtir. Amacı, kuruluşun tüm paydaşları arasında riskin tüm yönleriyle ilgili ortak bir anlayış oluşturmaktır. Ortak bir anlayış oluşturmak, alınacak kararları etkilediği için önemlidir. Risk Azaltma Genel Bakış yöntemi, bu süreç için özel olarak tasarlanmıştır. Bu ortak anlayışa ulaşmak için risklerin, önlemlerin ve kalan risklerin tutarlılığına dair anlaşılır bir genel bakış sunar.

Risk izleme ve inceleme

Risk yönetimi devam eden, asla bitmeyen bir süreçtir. Bu süreçte uygulanan güvenlik önlemleri, planlandığı gibi çalıştıklarından ve ortamdaki değişikliklerin onları etkisiz hale getirdiğinden emin olmak için düzenli olarak izlenir ve gözden geçirilir. İş gereksinimleri, güvenlik açıkları ve tehditler zaman içinde değişebilir.

Düzenli denetimler planlanmalı ve bağımsız bir tarafça, yani BGYS'nin uygulamalarından veya günlük yönetiminden sorumlu olan, kontrolü altında olmayan biri tarafından gerçekleştirilmelidir .

BT değerlendirmesi ve değerlendirmesi

Güvenlik kontrolleri doğrulanmalıdır. Teknik kontroller, test edilecek ve doğrulanacak olası karmaşık sistemlerdir. Doğrulanması en zor kısım, insanların prosedürel kontroller hakkındaki bilgisi ve güvenlik prosedürlerinin günlük işlerinde gerçek uygulamanın etkinliğidir.

Hem dahili hem de harici güvenlik açığı değerlendirmesi ve Penetrasyon testi , güvenlik kontrollerinin durumunu doğrulamak için kullanılan araçlardır.

Bilgi teknolojisi güvenlik denetimi , güvenliği değerlendirmeyi amaçlayan organizasyonel ve prosedürel bir kontroldür. Çoğu organizasyonun BT sistemleri oldukça hızlı bir şekilde gelişmektedir. Risk yönetimi, etkilenen sistemlerin ve süreçlerin risk yeniden değerlendirilmesinden sonra değişiklik yetkisi yoluyla bu değişikliklerle başa çıkmalı ve riskleri ve azaltma eylemlerini periyodik olarak gözden geçirmelidir.

Bir güvenlik izleme stratejisine göre sistem olaylarının izlenmesi, bir olay müdahale planı ve güvenlik doğrulaması ve ölçümleri, optimum düzeyde güvenlik elde edilmesini sağlamak için temel faaliyetlerdir.
Yeni güvenlik açıklarını izlemek, yazılımları düzenli olarak güncellemek gibi prosedürel ve teknik güvenlik kontrollerini uygulamak ve sıfır gün saldırılarıyla başa çıkmak için diğer kontrol türlerini değerlendirmek önemlidir .

İlgili kişilerin en iyi uygulamalara karşı kıyaslama yapma ve sektördeki profesyonel derneklerin seminerlerini takip etme tutumu, bir kuruluşun BT risk yönetimi uygulamasının en son durumunu garanti eden faktörlerdir.

Risk yönetimini sistem geliştirme yaşam döngüsüne entegre etme

Etkin risk yönetimi tamamen SDLC'ye entegre edilmelidir . Bir BT sisteminin SDLC'sinin beş aşaması vardır: başlatma, geliştirme veya edinme, uygulama, çalıştırma veya bakım ve elden çıkarma. Risk yönetimi metodolojisi, değerlendirmenin yürütülmekte olduğu SDLC aşamasından bağımsız olarak aynıdır. Risk yönetimi, SDLC'nin her bir ana aşaması sırasında gerçekleştirilebilen yinelemeli bir süreçtir.

Tablo 2-1 Risk Yönetiminin SDLC'ye Entegrasyonu
SDLC Aşamaları Faz Özellikleri Risk Yönetimi Faaliyetlerinden Destek
Aşama 1: Başlatma Bir BT sistemine duyulan ihtiyaç ifade edilir ve BT sisteminin amacı ve kapsamı belgelenir Belirlenen riskler, güvenlik gereksinimleri ve güvenlik operasyonları konsepti (strateji) dahil olmak üzere sistem gereksinimlerinin geliştirilmesini desteklemek için kullanılır.
2. Aşama: Geliştirme veya Satın Alma BT sistemi tasarlanır, satın alınır, programlanır, geliştirilir veya başka bir şekilde inşa edilir. Bu aşamada tanımlanan riskler, sistem geliştirme sırasında mimari ve tasarım ödünleşimlerine yol açabilecek BT ​​sisteminin güvenlik analizlerini desteklemek için kullanılabilir.
Aşama 3: Uygulama Sistem güvenlik özellikleri yapılandırılmalı, etkinleştirilmeli, test edilmeli ve doğrulanmalıdır. Risk yönetimi süreci, sistem uygulamasının gereksinimlerine göre ve modellenmiş operasyonel ortamı içinde değerlendirilmesini destekler. Belirlenen risklere ilişkin kararlar sistem işletiminden önce alınmalıdır.
4. Aşama: İşletme veya Bakım Sistem işlevlerini yerine getirir. Tipik olarak sistem, donanım ve yazılımın eklenmesi ve organizasyonel süreçler, politikalar ve prosedürlerdeki değişiklikler yoluyla sürekli olarak değiştirilir. Risk yönetimi faaliyetleri, periyodik sistem yeniden yetkilendirme (veya yeniden akreditasyon) için veya bir BT sisteminde operasyonel, üretim ortamında (örneğin, yeni sistem arayüzleri) büyük değişiklikler yapıldığında gerçekleştirilir.
Aşama 5: Bertaraf Bu aşama, bilgi, donanım ve yazılımın elden çıkarılmasını içerebilir. Faaliyetler, bilgilerin taşınmasını, arşivlenmesini, atılmasını veya imha edilmesini ve donanım ve yazılımın temizlenmesini içerebilir. İmha edilecek veya değiştirilecek sistem bileşenleri için donanım ve yazılımın uygun şekilde imha edilmesini, kalan verilerin uygun şekilde işlenmesini ve sistem geçişinin güvenli ve sistematik bir şekilde yapılmasını sağlamak için risk yönetimi faaliyetleri gerçekleştirilir.

NIST SP 800-64 bu konuya ayrılmıştır.

Güvenliğin SDLC'ye erken entegrasyonu, ajansların güvenlik programlarına yatırım getirisini en üst düzeye çıkarmasını sağlar:

  • Güvenlik açıklarının ve yanlış yapılandırmaların erken tespiti ve hafifletilmesi, böylece daha düşük güvenlik kontrolü uygulama maliyeti ve güvenlik açığı azaltma;
  • Zorunlu güvenlik kontrollerinin neden olduğu potansiyel mühendislik zorluklarının farkındalığı;
  • Kanıtlanmış yöntem ve teknikler aracılığıyla güvenlik duruşunu iyileştirirken geliştirme maliyetini ve zamanlamasını azaltmak için paylaşılan güvenlik hizmetlerinin belirlenmesi ve güvenlik stratejilerinin ve araçlarının yeniden kullanılması; ve
  • Kapsamlı risk yönetimi yoluyla zamanında bilgilendirilmiş yönetici karar alma sürecinin kolaylaştırılması.

Bu kılavuz, SDLC'nin bilgi güvenliği bileşenlerine odaklanmaktadır. İlk olarak, çoğu bilgi sistemi geliştirmesinde ihtiyaç duyulan temel güvenlik rollerinin ve sorumluluklarının açıklamaları sağlanır. İkinci olarak, SDLC sürecine aşina olmayan bir kişinin bilgi güvenliği ile SDLC arasındaki ilişkiyi anlamasına izin vermek için SDLC hakkında yeterli bilgi sağlanır. Belge, güvenlik adımlarını doğrusal, sıralı (aka şelale) SDLC'ye entegre eder. Belgede belirtilen beş aşamalı SDLC, bir geliştirme yönteminin örneğidir ve bu metodolojiyi zorunlu kılma amacı taşımaz. Son olarak, SP 800-64, hizmet odaklı mimariler, organizasyonlar arası projeler ve BT tesisi geliştirmeleri gibi SDLC tabanlı gelişmeler kadar net bir şekilde tanımlanmayan BT projeleri ve girişimleri hakkında fikir verir.

Güvenlik, aşağıdaki alanlarda etkin güvenlik uygulamaları uygulanarak bilgi sistemlerinin edinimi, geliştirilmesi ve bakımına dahil edilebilir.

  • Bilgi sistemleri için güvenlik gereksinimleri
  • Uygulamalarda doğru işleme
  • kriptografik kontroller
  • Sistem dosyalarının güvenliği
  • Geliştirme ve destek süreçlerinde güvenlik
  • Teknik güvenlik açığı yönetimi

Bilgi sistemleri güvenliği, güvenliğin herhangi bir yeni uygulama veya sistem geliştirmesi için gereksinimler sürecine dahil edilmesiyle başlar. Güvenlik baştan itibaren sistemde tasarlanmalıdır. Güvenlik gereksinimleri, bir ürün satın alımının gereksinimler aşamasında satıcıya sunulur. Ürünü satın almadan önce ürünün gerekli güvenlik özelliklerini karşılayıp karşılamadığını belirlemek için resmi testler yapılmalıdır.

Hataları önlemek ve kayıpları, yetkisiz değişiklikleri veya bilgilerin yanlış kullanımını azaltmak için uygulamalarda doğru işleme esastır. Etkili kodlama teknikleri, giriş ve çıkış verilerini doğrulamayı, şifreleme kullanarak mesaj bütünlüğünü korumayı, işleme hatalarını kontrol etmeyi ve etkinlik günlükleri oluşturmayı içerir.

Düzgün bir şekilde uygulandığında, kriptografik kontroller, bilgilerin gizliliğini, gerçekliğini ve bütünlüğünü korumak için etkili mekanizmalar sağlar. Bir kurum, uygun anahtar yönetimi de dahil olmak üzere şifreleme kullanımına ilişkin politikalar geliştirmelidir. Disk Şifreleme, bekleyen verileri korumanın bir yoludur. Aktarılan veriler, bir Ortak Anahtar Altyapısı uygulayan bir Sertifika Yetkilisi aracılığıyla verilen SSL sertifikaları kullanılarak değiştirilmeye ve yetkisiz görüntülemeye karşı korunabilir.

Uygulamanın bütünlüğünü ve kararlılığını sağlamak için uygulamalar tarafından kullanılan sistem dosyaları korunmalıdır. Sürüm kontrolü, kapsamlı testler, üretim geri çekilme planları ve program koduna uygun erişim ile kaynak kod havuzlarını kullanmak, bir uygulamanın dosyalarını korumak için kullanılabilecek bazı etkili önlemlerdir.

Geliştirme ve destek süreçlerinde güvenlik, kapsamlı bir kalite güvencesi ve üretim kontrol sürecinin önemli bir parçasıdır ve genellikle en deneyimli personel tarafından eğitim ve sürekli gözetimi içerir.

Uygulamaların teknik güvenlik açıkları için izlenmesi ve yamalanması gerekir. Yamaların uygulanmasına yönelik prosedürler, yamaların uygunluğunu belirlemek için değerlendirmeyi ve olumsuz bir etki durumunda başarılı bir şekilde kaldırılıp kaldırılamayacağını belirlemeyi içermelidir.

Bir metodoloji olarak risk yönetiminin eleştirisi

Bilimsel bir metodoloji olarak risk yönetimi sığ olmakla eleştirilmiştir. ABD Federal Bilgi Güvenliği Yönetimi Yasası tarafından zorunlu kılınan gibi büyük kuruluşlar için önemli BT risk yönetimi programları eleştirilmiştir.

Risklerin ve belirsizliğin resmi olasılık modeline eşlik eden karmaşıklıktan kaçınarak, risk yönetimi daha çok istatistiksel kanıtlar temelinde geleceği resmi olarak tahmin etmekten ziyade tahmin etmeye çalışan bir sürece benziyor. Varlıkların değerini, tehditlerin oluşma olasılığını ve etkinin önemini değerlendirmede oldukça özneldir.

Ancak, konuyu ele almanın daha iyi bir yolu ortaya çıkmamıştır.

Risk yönetimi yöntemleri

BT risk yönetimi sürecini en azından kısmen destekleyen yöntemlerin çoğunu listelemek oldukça zordur. Bu yöndeki çabalar aşağıdakiler tarafından yapılmıştır:

  • NIST /NCSC Risk Yönetimi Araştırma Laboratuvarının İncelediği Otomatikleştirilmiş Risk Yönetimi Paketlerinin NIST Açıklaması, 1991 güncellendi
  • 2006 yılında ENISA ; bir karşılaştırma motoruyla birlikte bir yöntem ve araç listesi mevcuttur. Bunlar arasında en yaygın olarak kullanılanlar:
    • İngiliz hükümeti tarafından geliştirilen
    CRAMM , ISO/IEC 17799 , Gramm–Leach–Bliley Yasası (GLBA) ve Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası (HIPAA) ile uyumludur.
  • Fransız hükümeti tarafından geliştirilen EBIOS , başlıca güvenlik standartlarıyla uyumludur: ISO/IEC 27001 , ISO/IEC 13335, ISO/IEC 15408 , ISO/IEC 17799 ve ISO/IEC 21287
  • Bilgi Güvenliği Forumu (ISF) tarafından geliştirilen İyi Uygulama Standardı
  • Clusif Club de la Sécurité de l'Information Français tarafından geliştirilen Mehari
  • BT Risk Enstitüsü tarafından geliştirilen TIK BT Risk Çerçevesi
  • Carnegie Mellon Üniversitesi, SEI ( Yazılım Mühendisliği Enstitüsü ) tarafından geliştirilen Octave, Operasyonel Olarak Kritik Tehdit, Varlık ve Güvenlik Açığı Değerlendirmesi (OCTAVE SM ) yaklaşımı, güvenlik için risk tabanlı bir stratejik değerlendirme ve planlama tekniği tanımlar.
  • Federal Bilgi Güvenliği Dairesi (BSI) (Almanya) tarafından geliştirilen IT-Grundschutz (IT Temel Koruma Kılavuzu); IT-Grundschutz, bir kuruluşun bir Bilgi Güvenliği Yönetim Sistemi (BGYS) kurması için bir yöntem sağlar. Hem uygulanabilir bir BT güvenlik süreci oluşturmaya yönelik genel BT güvenlik önerilerini hem de belirli bir etki alanı için gerekli BT güvenlik düzeyine ulaşmak için ayrıntılı teknik önerileri içerir.

Enisa raporu, eksiksizlik, ücretsiz kullanılabilirlik, araç desteği ile ilgili farklı yöntemleri sınıflandırdı; sonuç şu:

  • EBIOS, ISF yöntemleri, IT-Grundschutz tüm yönleri derinlemesine kapsar (Risk Tanımlama, Risk analizi, Risk değerlendirmesi, Risk değerlendirmesi, Risk işleme, Risk kabulü, Risk iletişimi),
  • EBIOS ve IT-Grundschutz, ücretsiz olarak erişilebilen ve
  • sadece EBIOS'un bunu desteklemek için açık kaynaklı bir aracı vardır.

Bilgi Risk Faktör Analizi (FAIR) ana belgede, "Bilgi Riski (FAIR) Faktör Analizine Bir Giriş", Risk Yönetimi Insight LLC Kasım 2006; Yukarıdaki yöntemlerin çoğunun, riskin ve faktörlerinin kesin tanımından yoksun olduğunu ana hatlarıyla belirtir. FAIR, risk yönetimiyle ilgili başka bir metodoloji değildir, ancak mevcut metodolojileri tamamlar.

FAIR, başta The Open Group ve ISACA olmak üzere iyi bir kabul gördü .

ISACA , başta güvenlikle ilgili riskler olmak üzere çeşitli BT ile ilgili riskleri ele almak için Risk BT adı verilen bir metodoloji geliştirdi . BT'yi yönetmek için genel bir çerçeve olan COBIT ile entegre edilmiştir . Risk BT, diğer metodolojilerden daha geniş bir BT riski kavramına sahiptir , yalnızca kuruluşun değerinde yıkıma veya azalmaya yol açabilecek operasyonların ve hizmet sunumunun olumsuz etkisini değil , aynı zamanda kayıpla ilişkili risk sağlayan fayda/değeri de kapsar. İşi etkinleştirmek veya geliştirmek için teknolojiyi kullanma fırsatları veya olumsuz iş etkisi ile aşırı harcama veya geç teslimat gibi yönler için BT proje yönetimi.

" Yapı Güvenlik In ait" girişimi İç Güvenlik Departmanı ABD'nin, ADİL değinir. Build Security In girişimi, yazılım geliştiricilerin, mimarların ve güvenlik pratisyenlerinin, geliştirmenin her aşamasında yazılımın güvenliğini sağlamak için kullanabilecekleri uygulamalar, araçlar, yönergeler, kurallar, ilkeler ve diğer kaynakları sağlayan ortak bir çabadır. Bu nedenle, esas olarak Güvenli kodlamayı ele alır .

2016 yılında Threat Sketch, özellikle küçük kuruluşlar için kısaltılmış bir siber güvenlik risk değerlendirmesi başlattı. Metodoloji , üst düzey tehditlerin sabit bir listesini tahmin etmek ve önceliklendirmek için gerçek seçenekler kullanır .

standartlar

Ana madde: BT riski § Standartlar organizasyonları ve standartları

BT riski ve BT risk yönetimi ile ilgili bir dizi standart vardır . Açıklama için ana makaleye bakın.

kanunlar

Ana madde: BT riski § BT Riski Yasaları ve Düzenlemeleri

Ayrıca bakınız

Referanslar

Dış bağlantılar