spacer.png, 0 kB
Bilgi için: bilgi at bilgiguvenligi gov tr   

 

spacer.png, 0 kB
spacer.png, 0 kB
Bilgi Güvenliğinde "Risk"in Beş Hali - Kargaşayı Önleme Çabası Yazdır E-posta
Bilge Karabacak, TÜBİTAK BİLGEM   
22.08.2009

Risk yönetimi içerisinde yer alan alt aktiviteler değişik kaynaklarda değişik manalara gelecek şekilde kullanılmaktadır. Alt aktivitelere örnek olarak risk analizi, risk derecelendirme, risk değerlendirme, risk belirleme, risk azaltma ve risk işleme verilebilir. Bu durum özellikle Türkçe kaynakları kullanan kişilerde kavram kargaşasına yol açmaktadır. Bu makalede, ISO/IEC 27001:2005 standardı ve Türk Standartları Enstitüsü (TSE) tarafından hazırlanmış olan TS ISO/IEC 27001:2006 (Türkçe çeviri) standardı temel alınarak alt aktiviteler tanımlanmış ve birbirleriyle olan ilişkileri ortaya konmuştur.

Kavram Kargaşasına Bir Örnek: ISO/IEC 27001:2005 Standardı ve NIST SP800-30 Kılavuzu

ISO/IEC 27001:2005 standardında geçen İngilizce kavramlar ve TS ISO/IEC 27001:2006 standardındaki Türkçe karşılıkları aşağıdaki şekildedir  [1, 2].

  • Risk Management: Risk Yönetimi

  • Risk Assessment: Risk Değerlendirme

  • Risk Analysis: Risk Analizi

  • Risk Evaluation: Risk Derecelendirme

  • Risk Treatment: Risk İşleme

Son dört kavram, risk yönetiminde belli bir mantık içerisinde gerçekleştirilen aktivitelerdir. Bu kavramlar arasındaki ilişkiye geçmeden önce kavram kargaşasına bir örnek vermek amacıyla SP800-30 kodlu kılavuzda kullanılan kavramlara değinelim. SP800-30, Amerikan Standartlar Enstitüsü tarafından hazırlanmış olan BT sistemleri için risk yönetimi isimli bir kılavuzdur [3]. Bu kılavuzda, risk işlemesi (treatment) kavramının karşılığı olarak risk azaltma (mitigation) kavramı kullanılmıştır. Risk değerlendirme (assessment) ve risk analizi (analysis) kavramlarının aynı süreçler olduğu ifade edilmiştir. Risk derecelendirme (evaluation) kavramının  karşılığı olarak risk belirleme (determination) kavramı kullanılmıştır.

SP800-30, ISO 27001’in aksine bir kılavuz dokümandır. ISO 27001 ise uluslararası bir standarttır. Ayrıca TSE tarafından aynı kod numarası verilerek Türk standardı  olarak yayınlanmıştır. Bu nedenle, ISO 27001’deki kavramların ve Türkçe karşılıklarının kullanılmasının daha uygun olacağı değerlendirilmektedir.

Kavramların Gösterimleri ve Hiyerarşisi

ISO 27001 standardına göre kavramlar arasında iyi tanımlanmış bir hiyerarşi bulunmaktadır. Bu hiyerarşiyi göstermeden önce makale içerisinde gösterim kolaylığı olması için her bir aktivite için bir sembol belirlenmiş ve tablo-1’de gösterilmiştir.

tablo1.jpg

Tablo-1: Kavramlar ve Gösterimleri

Kavramların hiyerarşisi şekil-1’de gösterilmiştir. Görüldüğü gibi  risk yönetimi kavramı diğer dört kavramı kapsamaktadır. Bu nedenle, şekil-1’deki ağaç yapısı risk yönetimi hiyerarşisi olarak adlandırılabilir.

sekil1.jpg

Şekil-1: Risk Yönetimi Hiyerarşisi

Risk yönetimi, risk değerlendirme ve risk işleme olmak üzere iki alt aktiviteden oluşmaktadır. Risk değerlendirme de, risk analizi ve risk derecelendirme olmak üzere iki alt aktiviteden oluşmaktadır. Şekil-1’deki hiyerarşi ISO 27001 standardındaki tanımlamalar sonucunda ortaya çıkan bir yapıdır.

Kavramların Tanımları

Kavramların tanımlamaları tablo-2’de yapılmıştır.

tablo2.jpg

Tablo-2: Kavramlar ve tanımları

Tanımsal Yapı ve Süreçsel Yapı

Şekil-1’deki hiyerarşi tanımsal çerçeveyi göstermektedir. Şekil-2’deki çizim ise fiili durumu gösteren süreçsel çerçeveyi göstermektedir. Kurumlar, öncelikle risk analizi yaparlar, risk analizi sürecinin sonucunda risk derecelendirme yaparak riskleri yorumlarlar, ardından risk işleme sürecinde gerekli görülen karşı önlemleri uygularlar. Kurumlar bir süre sonra tekrar risk analizi aktivitesini gerçekleştirme ihtiyacı hissederler. Çünkü şartlar, teknoloji ve ihtiyaçlar sürekli değişir. Kısacası, aktivitelerin sırası risk analizi, risk derecelendirme, risk işleme ve tekrar risk analizi şeklindedir. Bu döngü, tüm yönetim sistemleri gibi Bilgi Güvenliği Yönetim Sistemi’nin sağlıklı bir şekilde işletilmesi için gerekli olan Planla, Uygula, Kontrol Et ve Uygula döngüsü ile içinde yer alır.

sekil2.jpg

Şekil-2: Süreçsel Yapı

Bu aktiviteler sırası ile gerçekleştirilirken:

  1. Sırası ile risk analizi ve risk derecelendirmesi yapılarak risk değerlendirmesi de gerçekleştirilmiş olur.

  2. Bu iki aktivitenin ardından risk işlemesi de yapılarak risk yönetimi gerçekleştirilmiş olur. Risk yönetimi süreci her süreç gibi kurum bünyesinde sürekli çalışır. Bu durum döngü ile sağlanır.

Sonuç olarak, risk analizi, risk derecelendirme ve risk işleme somut aktivitelerdir. Risk değerlendirme ve risk yönetimi ise bu aktivitelere göre daha soyut olarak nitelendirilebilir, çünkü diğer üç aktivitenin sonucunda ortaya çıkarlar.

Özet: Akış Diyagramı

Şekil-3’de üç adet somut aktivitenin birbirleri ile olan ilişkileri bir akış diyagramı şeklinde gösterilmiştir. Akış diyagramı üzerinden kavramları ifade etmek gerekirse, risk analizi bir süreçtir (process). Risk derecelendirmesi bir karar vermedir (decision). Risk işlemesi ise bir sonuçtur (output).  İlk iki sürecin ikisine birden risk değerlendirmesi denir. Tüm sürece risk yönetimi denir.

sekil3.jpg

Şekil-3: Risk Yönetimi Akış Diyagramı

Anahtar Kelimeler

Her bir kavram ile ilişkilendirilebilecek anahtar kelimeler tablo-3’de verilmiştir.

tablo3.jpg

Tablo-3: Kavramlar ve Anahtar Kelimeler

Daha Fazla Tanım İçin ...

Risk optimizasyonu, risk transferi, risk hesaplaması gibi daha fazla tanım hakkında bilgi edinmek ve bu tanımların şekil-1’deki hiyerarşinin neresinde olduğunu öğrenmek için ISO/IEC Guide 73:2002 kılavuzunun incelenmesi tavsiye edilir [4].

Referanslar

[1] International Organization for Standardization/International Electrotechnical Commission (ISO/IEC), Information technology – Security techniques -- Information security management systems – Requirements, ISO/IEC 27001, 2005

[2] Türk Standardları Enstitüsü (TSE), Bilgi teknolojisi – Güvenlik teknikleri – Bilgi güvenliği yönetim sistemleri – Gereksinimler, TS ISO/IEC 27001, 2006

[3] National Institute of Standards and Technology (NIST), Risk management guide for information technology systems, Special publication 800-30, 2002

[4] International Organization for Standardization/International Electrotechnical Commission (ISO/IEC), Risk management -- Vocabulary -- Guidelines for use in standards, ISO/IEC Guide 73, 2002


Favori olarak ekle (1) | Görüntüleme sayısı: 9129

Bu yazıya ilk yorumu yazın

Sadece kayıtlı kullanıcılar yorum yazabilir.
Lütfen sisteme giriş yapın veya kayıt olun.

 
spacer.png, 0 kB
spacer.png, 0 kB
Copyright 2017 TÜBİTAK-BİLGEM. Sitenin teknik altyapısında Joomla kullanılmıştır. Yazar ve site referans gösterilmeden alıntı yapılamaz. Görüşleriniz
spacer.png, 0 kB