CSSLP Notları 1.2: Risk Yönetimi Kavramları

2 dakika tahmini okuma süresi

Terminoloji ve Tanımlar

Varlık (Asset)

Herhangi bir Kaynak veya Kabiliyet. Bir Hizmet Sağlayıcının Varlıkları, bir Hizmetin sunumuna katkıda bulunabilecek herhangi bir şeyi içerir. Varlıklar aşağıdakilerden biri olabilir: Yönetim, Organizasyon, Süreç, Bilgi, İnsan, Enformasyon, Uygulamalar, Altyapı ve Finansal Sermaye

Güvenlik Açığı (Vulnerability)

Bir Tehdit ile ortaya çıkabilecek Zayıflık. Örnek, açık bir firewall portu, hiç değiştirilmeyen şifre veya kolaylıkla alev alabilen bir örtü. Noksan bir Kontrol da Korunmasızlık olarak değerlendirilir.

Tehdit (Threat)

Bir Korumasızlığı ortaya çıkarabilecek herhangi bir şey. Bir Vakanın olası herhangi bir nedeni bir Tehdit olarak değerlendirilebilir. Örnek, ateş yanıcı döşeme malzemesinin Korumasızlığını ortaya çıkarabilir bir Tehdittir.

Tehdit Kaynağı (Threat Source)

Tehdit yaratma potansiyeli olan herkes veya herhangi bir şey, tehdit kaynağı olarak bilinir. Tehdit ajanları insan veya insan olmayan olabilir. İnsan dışı tehdit maddelerinin örnekleri, adware, spyware, virüs ve solucanlar gibi zararlı yazılımlardır (malware).

Saldırı (Attack)

Tehdit ajanı aktif ve bilerek bir tehdidin ortaya çıkmasına neden olduğunda, buna “saldırı”, tehdit ajanları ise genellikle “saldırganlar” olarak adlandırılır.

İstismar (Exploit)

Bir saldırı, bilinen bir güvenlik açığından yararlanan bir saldırganın sonucu olduğunda, “istismar” olarak bilinir.

Olasılık (Probability)

Belirli bir tehdidin ortaya çıkma olasılığıdır. Risk yönetiminin hedefi riski kabul edilebilir bir seviyeye düşürmek olduğundan, istenmeyen veya zararlı bir olayın tetiklenme ihtimalinin ölçülmesi önemlidir ya da en azından anlasılmalıdır.

Etki (Impact)

Bir Vakanın, Problemin veya Değişikliğin İş Süreçleri üzerine olan tesirinin miktarı. Etki sıklıkla Hizmet Seviyelerinin nasıl etkileceğine dayanır. Etki ve Aciliyet, Önceliğin atanması için kullanılır.

Maruz kalma faktörü (Exposure Factor)

Maruz kalma faktörü (EF), belirli bir tehdit meydana gelirse, belirli bir varlığa verilen zararın öznel, potansiyel yüzdesidir. Maruz kalma faktörü, riski değerlendiren kişinin tanımlaması gereken öznel bir değerdir. Maruz kalma faktörü, riskin aktif üzerindeki etkisi veya kaybedilen aktif yüzdesi olarak gösterilir.

Kontrol (Controls)

İş Amacının başarısını ve sürecin takip edilmesini sağlamak için bir Risk yönetme yolu. Örnek; Kontrollar, Politikaları, Prosedürleri, Rolleri, RAID sistemini, kapı kilitlerini vb. içerir. Kontrol, bazen Karşı Önlem veya koruma olarak da ifade edilir.

Toplam Risk (Total Risk)

Toplam risk, istenmeyen, istenmeyen veya zararlı bir olayın meydana gelme olasılığıdır. Bu, geleneksel olarak varlık değeri, tehdit ve güvenlik açığı gibi faktörler kullanılarak hesaplanır. Bu, güvenlik kontrolleri uygulanmadan önce sistemin genel riskidir.

Kalan Risk (Residual Risk)

Hafifletici güvenlik kontrollerinin uygulanmasından sonra kalan risktir.

Risk Hesabi (Calculation of Risk)

Olasılık ve etkinin tahmini genellikle özneldir ve bu yüzden riskin nicel ölçümü her zaman doğru değildir.

Klasik risk yönetimi terimleri:

Tek Zarar Beklentisi - Single Loss Expectancy (SLE)

SLE = Varlık değeri ($) x Maruz kalma faktörü (%)

Yıllık Oluşum Oranı - Annual Rate of Occurrence (ARO)

Tahmini olarak bir yıl içinde beklenebilecek belirli bir tehditten kaynaklanan olayların sayısının bir ifadesidir.

Yıllık Zarar Beklentisi - Annual Loss Expectancy (ALE)

ALE = Tek Zarar Beklentisi (SLE) x Yıllık Oluşum Oranı (ARO)

Yazılım için Risk Yönetimi

Yok saymak (Ignore the risk)

Kesinlikle önerilmese de, yazılımı olduğu gibi bırakılarak, risk yok sayılabilir.

Kaçınmak (Avoid the risk)

Yazılım kullanımdan kaldırılabilir ya da degiştirilebilir (bir parçası ya da tamamı), boylelikle riskten kaçınılmış ama yok sayılmamış olur.

Azaltmak (Mitigate the risk)

Karşı önlem veya korumalar ile azaltılabilir. Kullanılan kütüphanelerin aktif ve periodik olarak taranması ve gerekli yükseltmelerin yapılması olası riskleri azaltır.

Kabul etmek (Accept the risk)

Belirli bir tehdidin ortaya çıkma olasılığı çok düşük ise ya da güvenlik kontrollerini uygulama maliyeti, riskin kendisinin potansiyel etkisinden ağır basarsa, risk kabul edebilir. Bununla birlikte, risk kabul sürecinin resmi bir süreç olması gerektiğinin ve riske yönelik bir acil durum planı ile birlikte belgelendirilmelidir.

Aktarmak (Transfer the risk)

Bir başka yöntem de basitçe devretmektir. Ancak, aktarılanın sorumluluk olduğu ve riskin kendisinin olmadığı anlaşılmalıdır.

Paylaş

Twitter Facebook LinkedIn

Yorum yapın

Email adresiniz gösterilmeyecektir. Zorunlu alanlar işaretlenmiştir *

Yorumunuz *

Markdown desteklenmektedir.

Adınız *

Email adresiniz *

Websiteniz (opsiyonel)

Kadir Goktas