Bilgi Güvenliği Yönetim Sistemlerinde risk yönetimi, risk analizi ve risk tedavisi olarak ikiye ayrılmaktadır. Risk analizi, Şekil-1’de görüldüğü gibi dört alt adımdan oluşmakta olup bu alt adımların ilki varlık envanterinin oluşturulmasıdır. Varlık envanteri oluşturmanın alt adımlarından ikisi ise varlıkların ve varlıkların değerlerinin belirlenmesi adımlarıdır. (Gizlilik, bütünlük ve erişilebilirlik boyutları ise risk değerlendirmesi aşamasında her risk için ayrı ayrı belirlenir). Yazılım, donanım vb. varlıkların değerlerini etkileyen başlıca etken bu varlıkların kritik bilgi varlıkları ile nasıl bir ilişki içinde olduklarıdır. Bu ilişkiler doğru olarak belirlenirse risklerin hesaplanması ve alınması gereken önlemlerin belirlenmesi adımları da en doğru şekilde gerçekleştirilebilir.

Bu yazımızda hem bilginin diğer varlıklarla ilişkisini incelemeye, hem de bu ilişkileri en güzel şekilde yansıtan varlık envanteri formatını geliştirmeye çalışacağız.

Risk Analizi ve Varlık Envanteri

Risk analizi, Bilgi Güvenliği Yönetim Sistemi (BGYS) sürecinin hemen başında, planlama aşamasında gerçekleştirilen bir işlemdir. Risk analizi çalışmasının gerçekçi ve detaylı bir biçimde yapılmaması halinde ardından gelen adımların da kuruma hizmet etme şansı kalmayacaktır. Dolayısı ile risk analizini inşa edilmekte olan bir binanın temeline benzetmek ve BGYS’nin en kritik aşamalarından biri olduğunu söylemek yanlış olmaz.

Risk analizi, ardından gerçekleştirilen risk tedavisi ile birlikte Risk Yönetimi olarak adlandırılmaktadır. Risk yönetimini oluşturan tüm aşama ve adımlar Şekil-1’de verilmiştir.

Şekil-1: Risk yönetimi aşamaları

Risk analizi kendi içinde varlık envanterinin oluşturulması, varlıkların açıklıklarının belirlenmesi, bu açıklıkları kullanabilecek tehditlerin belirlenmesi ve risklerin belirlenmesi alt adımlarından oluşmaktadır [1].

Şekil-2’de varlık, tehdit, karşı önlem ve risk kavramlarının birbirini nasıl etkilediği gösterilmiştir.

Şekil-2: Varlık, tehdit, karşı önlem ve risk kavramlarının etkileşimi

Varlık envanteri oluşturulması adımı ise varlık türlerinin belirlenmesi, varlıkların belirlenmesi, varlıkların sahiplerinin, değerlerinin ve diğer çeşitli özelliklerinin belirlenmesi ve kaydedilmesi ile gerçekleştirilir [2].

Bilgi Varlıkları Arasındaki Bağımlılıklar

Bilgi varlıklarının değerlerini belirleme aşamasında kimi bilgi varlığının değerinin diğer bir varlığının değerine bağımlı olduğu rahatlıkla gözlenebilmektedir [3, 4, 5]. Bu bağımlılıkların doğru olarak anlaşılması ve göz önünde bulundurulması bilgi varlıkları envanterinin en iyi şekilde hazırlanmasına yardımcı olacaktır.

Şimdi varlıklar arasındaki bağımlılıkların neler olduğuna ilişkin görüşler geliştirmeye ve bu görüşleri açıklamaya çalışacağız.

Bilgi güvenliği iyi pratiklerine dayanarak bağımlılık konisini inşa ettik. Şekil-3’te koninin yandan görünümü, Şekil-4’te ise koninin üstten görünümü verilmiştir.

Şekil-3: Bağımlılık konisi (yandan bakış)

Şekil-4: Bağımlılık konisi (üstten bakış)

Koniye üstten bakıldığında en iç katmanda bilginin, bu katmanın dışında sırasıyla yazılım, donanım ve teçhizat katmanlarının yer aldığı görülmektedir. En dıştaki üç katmanda ise sistem odası, bina ve yerleşke katmanları bulunmaktadır.

Genel olarak iç katmandaki varlık grubunun değerlerinin dış katmandaki varlık grubunun değerlerini etkilediği söylenebilir. Bir başka deyişle, dış katmandaki varlık gruplarının değerleri, iç katmandaki varlık grubunun değerlerine bağlıdır. Böylece merkezde yer alan bilginin tüm bilgi varlıklarının kalbi olduğu ve diğer varlıkların değeri üstünde belirleyici etki yarattığını da görmüş oluyoruz.

Varlık Envanterinin Grafik ve Ağaç Formlarında İfade Edilmesi

Varlık envanteri oluşturma ile ilgili yöntemler çeşitli çalışmalarda ele alınmıştır [6, 7]. Biz ise bilgi varlıklarının konumlarını ve bağımlılıklarını göz önünde bulundurarak varlık envanterini sırasıyla “grafik”, “ağaç” ve “tablo” formlarında ifade edeceğiz.

Şekil 4’deki bağımlılık konisinden ve varlıkların fiziksel konumlarından hareketle, iki ayrı yerleşkede binaları olan bir kurumun varlık envanterini içeren bir grafik üretebiliriz (Şekil-5).

Şekil-5: Bir kuruma ait varlık envanterinin grafik formunda ifadesi

ISO 27002 standardı bilgi varlıkları varlık envanterine girilirken her varlık için konum bilgisinin de belirtilmesini önermektedir. Bir varlığın konum bilgisi, dış katmanlardan iç katmanlara doğru ilerledikçe detaylanacak ve içinde yer aldığı bilgi varlıklarının hangileri olduğuna ilişkin bilgiyi de içerecek şekilde düzenlenebilir. Şekil 6’da kuruma ait varlıklar ağaç formunda ifade edilirken varlık ismi olarak konum bilgileri kullanılmıştır.

Şekil 6’da hem bilgi, yazılım, donanım vb. tüm katmanlarda yer alan varlıklar gösterilmiş, hem de varlıklar arasındaki bağımlılıklar belirtilmiştir. Bağımlılık konisinde en altta yer alan yerleşke katmanının en üste, en üst katmanda yer alan bilginin ise en alta yerleştirilmesi ile varlıkların genelden özele doğru sıralanması ve aralarındaki bağımlılıkların belirtilmesi kolayca gerçekleştirilebilir.

Varlık envanterinin ağaç formunda ifade edilmesi için öncelikle yerleşke katmanı varlıkları (yerleşkeler) ve her bir yerleşkede bulunan binalar belirlenir. Bunun ardından, her yerleşke için bu yerleşke ile içindeki binalar arasında bağ kurulur.

Bu şekilde sistem odası, donanım, yazılım, vb. katmanlar da taranır. Tarama işlemi sonrasında kurumun tüm bilgi varlıkları ve her bir varlığın hangi varlıklarla ilintili olduğu bilgisi elde edilecektir.

Şekil-6: Aynı kuruma ait varlık envanterinin ağaç formunda ifade edilmesi ve bağımlılıklar

Bilgi Varlıklarının Değerlendirilmesi

Şimdi bilgi varlıklarının değerlerini, birbirleri ile ilişkilerini de göz önünde bulundurarak nasıl belirleyeceğimizi düşünelim. Varlıkların değerlerinin iki farklı bileşenden oluştuğu söylenebilir:

1. Öz değerleri

2. Birikmiş değerleri

Öz değeri, varlığın diğer varlıklarla olan bağımlılıklarını değerlendirmeden belirlenmiş değerini ifade eder.

Birikmiş değeri ise varlığın öz değeriyle, bağımlı olduğu varlıkların birikmiş değerlerinin birleşimi ile elde edilir.

Bilginin üstünde başka katman olmadığı için bilginin sadece öz değeri mevcuttur. Bilgi katmanının altındaki katmanlarda yer alan varlıkların ise sadece birikmiş değerleri mevcuttur. En üstteki bilgi olmasa hiçbirinin ne gizlilik değeri, ne erişilebilirlik değeri olur. Taşıyabilecekleri tek değer maddi değer olup bu da bilgi güvenliği kapsamında fazla anlamlı değildir.

Yazdıklarımızı bir de matematiksel olarak ifade edecek olursak aşağıdaki ifadeler yazılabilir:

Vi i konumunda bulunan varlığı temsil etsin. Konum bilgisi, varlığın bulunduğu katmanın sıra numarası kadar parametre içeren bir indis olacaktır. Örneğin Şekil-6’ya bakıldığında yazılım katmanındaki (altıncı katman) ikinci varlık için indis 1.1.1.2.2.1 olacaktır.

Bu varlık için 1.1.1.2.2 indisi ilgili varlığa direkt bağımlı olan komşu varlığın konumunu, 1.1.1.2.2.1.* indisleri de ilgili varlığın direkt bağımlı olduğu varlıkların konumlarını belirtir.

D[x] parametresi x varlığının değerini ifade etsin. Örneğin varlık envanterinde bulunan ikinci bilgi varlığının değeri 6 olsun. Bu durumda bu varlığın birikmiş değeri D_birikmiş[x]=6  şeklinde ifade edilebilir. A -> B bağıntısı ise B’nin A’ya bağlı olduğunu ifade etsin. Buna göre aşağıdaki ifade yazılabilir:

Şekil-3 Bağımlılık Konisinde de görüldüğü gibi, alt katmanda yer alan varlık gruplarının birikmiş değerleri, üst katmanda yer alan varlık gruplarının birikmiş değerlerine bağlı olmaktadır. Bir varlığa ait birikmiş değeri hesaplamak için üst katmanlardaki tüm varlıkların bu varlıkla olan ilişkisini tanımladıktan sonra ilişkili olan varlıkların birikmiş değerlerini hesaba katmak gerekir. V_i varlığı için birikmiş değeri aşağıdaki formül uyarınca hesaplayabiliriz:

Bu formülde D_birikmiş[V_i.*] değeri, (i.*) indislerine sahip varlıkların birikmiş değerlerinin birleşimi olarak tanımlanmıştır. U yani birleşim işlevi için max( ) işlevi ya da aritmetik ortalama gibi çeşitli işlevler kullanılabilmektedir.

Üst katmanlardaki varlık gruplarının değerleri, alt katmanlardaki varlık gruplarının değerlerini etkilediğinden, değerler belirlenirken üst katmanlarda yapılacak bir yanlışlık tüm envanter listesindeki varlıkların değerlerinin yanlış hesaplanmasına yol açacaktır. Buna karşın, en üst katmanda yer alan bilgi varlık grubunun değerlerinin doğru belirlenmesi, aşağıda yer alan katmanlardaki varlıkların değerlerinin de doğru olarak belirlenmesini sağlayacaktır.

Özetle, bilgi varlıklarının değerlerinin varlık envanterinin kalbi olduğunu söylemek mümkündür.

Hiyerarşik Varlık Envanteri ve Birikmiş Varlık Değerleri

Şimdi de basit bir örnek üzerinde anlattıklarımızı pekiştirelim. Şekil-6’da ağaç formunda ifade edilen varlık envanterini öncelikle klasik liste formunda ifade edelim, sonra da bu varlık envanterinin üstünde çalışalım.

“Hiyerarşik varlık envanteri” olarak adlandırdığımız bu listede varlıklar Şekil-3 Bağımlılık konisinin en alt (veya en dış) katmanı en üstte olacak şekilde yerleştirilmiştir. Sırasıyla yerleşke, bina, sistem odası vb. türlerindeki varlıklara yer verilmiş, ayrıca bağımlılık sütunu oluşturulmuş ve her varlığın bağımlı olduğu varlıkların listedeki sıra numarası belirtilmiştir.

Tablo-1’de bu varlıkların, bağımlılık sütunu ele alınmaksızın belirlenen öz değerleri yer almaktadır.

Tablo-1: Varlık envanteri (varlıkların öz değerleri)

Tablo-2’de ise bağımlılık sütunu göz önüne alınarak belirlenen birikmiş değerler yer almaktadır. Burada, birikmiş değerleri hesaplarken U işlemi yerine max( ) işlevi kullanılmıştır. Yani bir varlığın birikmiş değeri hesaplanırken, o varlığın bağımlı olduğu varlıkların değerleriyle mevcut varlığın değerinin maksimumu alınmıştır. (Eğer varlığın değeri N/A (belirtilmemiş) ise o varlığa bağımlı varlıklar için birikmiş değer hesaplanmaz). Aşağıdaki örnekte, bağımlı oldukları bilgi varlıklarının değerlerini alan varlıklar ve bu varlıklar üstünde belirleyici rol oynayan kritik bilgi varlıkları aynı renk kodu ile işaretlenmiştir.

Tablo-2: Varlık envanteri (varlıkların birikmiş değerleri)

Bu şekilde varlıkların birbirleriyle ilişkilerinden ve birikmiş değerlerinden yola çıkarak varlıkların değerlerini hesaplamada daha gerçekçi sonuçlar elde edilebilir. Dolayısıyla risklerin hesaplanması ve alınması gereken karşı önlemlerin belirlenmesi gibi kritik BGYS aşamaları da daha somut verilere dayanılarak gerçekleştirilebilir.

Referanslar

[1] “ISO/IEC 27001 Information technology – Security techniques – Information security management systems - Requirements”, 2005

[2] “ISO/IEC 27002 Information technology – Security techniques – Code of practice for information security management”, 2005

[3] “MAGERIT – version 2 Methodology for Information System Risk Analysis and Management, Book I – The Method”; Ministerio De Administraciones Publicas, Madrid, 20 June 2006 (v 1.1); NIPO: 326-06-044-8

[4] “MAGERIT – version 2 Methodology for Information System Risk Analysis and Management, Book II – Catalogue of Elements”; Ministerio De Administraciones Publicas, Madrid, 20 June 2006 (v 1.1); NIPO: 326-06-044-8

[5] “PILAR Risk Analysis and Management, Help Files”, version 5.1, June 2011

[6] T. Mataracıoğlu, Ü. Tatar “Örnek Varlık Envanteri Oluşturma Metodolojisi”, Ulusal Bilgi Güvenliği Kapısı, http://www.bilgiguvenligi.gov.tr/teknik-yazilar-kategorisi/ornek-varlik-envanteri-olusturma-metodolojisi.html , Eylül 2009

[7] F. Koç, “Varlık Envanteri Oluşturma Kılavuzu”, Ulusal Bilgi Güvenliği Kapısı, http://www.bilgiguvenligi.gov.tr/index.php?option=com_content&task=view&id=223

	1. 28-04-2012 01:57
	Tolga'cığım eline sağlık. Model için bazı önerilerimi paylaşmak isterim. Varlık bağımlılıkları, varlık değerlerini doğru belirleyebilmek için çok önemli ve genelde de gözden kaçar. Önerdiğin modelde bazı iyileştirme alanları olabilir diye düşündüm. Hiyerarşik yapıda sadece alt-üst ilişkisinin kurulması tam olarak gerçekçi değil çünkü yatay bağımlılıklar da olacaktır. Bir teçhizatın çalışabilmesi için diğer bir teçhizata bağımlılık ya da bir bilgiye ulaşmak için başka bir bilginin ulaşılabilir olması gibi... Diğer taraftan bağımlılığın bağlamının da değişken olması daha faydalı olabilir. Hiyerarşik yapıda varlıklar birbirine hangi bağlamda bağımlılar bunu modele dahil etmekte fayda var. Örneğin bir yazılım çalışmıyorsa o yazılımla erişilen bilgilere ulaşamayız. Diğer taraftan bir sistem odası işlevsiz haldeyse bile onun yedeği olan sistem odası çalışır haldeyse aynı bilgiye ulaşmaya devam edebiliriz, bu durumda ilgili sistem odasının birikmiş değerini kesin olarak varlık değerine bağlamak sakıncalı olabilir. Ayrıca hiyerarşi yapısı ve notasyonda tek parent-child ilişkisi var. Dikeyde tek ana düğüm seçildiği için örneğin aynı veriye ulaşmak için iki farklı yazılımı ifade etmek mümkün değil. Bağımlılığın bağlamını tanımlarken varlığın değerini de çok boyutlu tasarlamak anlamlı olur. Örneğin bir bilgi varlığının donanım bağımlılığı erişilebilirlik için anlamlıyken şifreli taşındığından gizlilik için anlamlı olmayabilir. Diyelim ki ağ dinlemesiyle ilgili bir risk tanımlarken bu bilginin gizlilik değeri yüksek olduğu için ağ cihazının ilgili değerini yüksek kullanmak yanlış risk hesabına götürür. Olaylar olaylar işte ;-)) Faydalı bir çalışma. Teşekkürler. Bildir

Burak Bayoğlu

Sadece kayıtlı kullanıcılar yorum yazabilir.
Lütfen sisteme giriş yapın veya kayıt olun.