Bilgi güvenliği yönetimi, yalnızca teknik kontrollerin uygulanmasıyla sağlanamaz. Etkili bir Bilgi Güvenliği Yönetim Sistemi, risklerin sistematik olarak tanımlanması ve yönetilmesiyle mümkün olur. ISO/IEC 27001 standardı, bu yaklaşımı risk temelli bir çerçeve üzerine kurar. Bu ISO 27001 risk assessment guide, risk değerlendirme sürecinin nasıl yapılandırılması gerektiğini teknik ve kurumsal bir bakış açısıyla açıklar. Böylece kuruluşlar, güvenlik kararlarını ölçülebilir ve denetlenebilir temellere oturtabilir.
ISO 27001’de Risk Değerlendirmenin Amacı
ISO 27001 kapsamında risk değerlendirme, bilgi varlıklarını tehdit eden belirsizlikleri kontrol altına almayı hedefler. Amaç, hangi risklerin kabul edilebilir olduğunu ve hangilerinin azaltılması gerektiğini belirlemektir.
Risk değerlendirme şu sorulara yanıt verir:
Hangi bilgi varlıkları korunmalıdır
Bu varlıkları etkileyebilecek tehditler nelerdir
Zayıflıklar hangi noktalarda ortaya çıkar
Olası etkiler ne kadar büyüktür
Bu yaklaşım sayesinde güvenlik yatırımları rastgele yapılmaz. Dolayısıyla kaynaklar, gerçek risklere odaklanır.
Bölüm özeti:
ISO 27001 risk değerlendirme süreci, belirsizlikleri yönetilebilir hale getirir ve güvenlik kararlarının temelini oluşturur.
ISO 27001 Risk Assessment Guide Kapsamı
Bu ISO 27001 risk assessment guide, standardın belirlediği asgari gereksinimlere dayanır. ISO 27001, belirli bir metodoloji zorunlu kılmaz. Ancak sürecin tutarlı, tekrarlanabilir ve belgelenmiş olmasını şart koşar.
Risk değerlendirme kapsamı şunları içermelidir:
Organizasyonel bağlam
İlgili tarafların beklentileri
Bilgi varlıklarının sınırları
Yasal ve düzenleyici yükümlülükler
Bu kapsam netleşmeden yapılan analizler eksik kalır. Bu nedenle ilk adım, değerlendirme sınırlarının doğru tanımlanmasıdır.
Bölüm özeti:
Risk değerlendirme, açıkça tanımlanmış bir kapsam üzerinde yürütülmelidir. Aksi halde sonuçlar güvenilir olmaz.
Bilgi Varlıklarının Tanımlanması
Risk değerlendirme sürecinin temel girdisi bilgi varlıklarıdır. Bilgi yalnızca dijital verilerle sınırlı değildir.
Bilgi varlıklarına örnekler:
Elektronik veri setleri
Fiziksel dokümanlar
Yazılım uygulamaları
Donanım sistemleri
İnsan bilgisi ve uzmanlık
Her varlık için sahiplik belirlenmelidir. Ayrıca varlığın iş süreçlerine olan katkısı net şekilde tanımlanmalıdır.
Varlık değeri genellikle şu kriterlerle değerlendirilir:
Gizlilik
Bütünlük
Erişilebilirlik
Bölüm özeti:
Bilgi varlıklarının doğru tanımlanması, risk analizinin doğruluğunu doğrudan etkiler.
Tehdit ve Zafiyet Analizi
Risk, tek başına tehditten oluşmaz. Tehdit, bir zafiyetle birleştiğinde risk haline gelir. Bu nedenle her iki unsur birlikte değerlendirilmelidir.
Yaygın tehdit örnekleri:
Yetkisiz erişim
Kötü amaçlı yazılım
İnsan hatası
Fiziksel hasar
Hizmet kesintileri
Zafiyetler ise şu alanlarda ortaya çıkar:
Eksik süreçler
Yetersiz eğitim
Yanlış yapılandırmalar
Güncel olmayan sistemler
Bu aşamada amaç, tüm olasılıkları teknik gerçekçilikle ele almaktır.
Bölüm özeti:
Tehditler ve zafiyetler birlikte ele alınmadan risk doğru tanımlanamaz.
Riskin Olasılık ve Etki Açısından Değerlendirilmesi
ISO 27001 risk assessment guide kapsamında riskler, olasılık ve etki kriterleriyle analiz edilir. Bu değerlendirme nitel veya nicel olabilir.
Olasılık değerlendirmesi şunlara dayanır:
Geçmiş olaylar
Mevcut kontrollerin gücü
Tehdit aktörlerinin kapasitesi
Etki değerlendirmesi ise:
İş sürekliliği
Yasal sonuçlar
Finansal kayıplar
İtibar etkisi
Bu iki kriterin birleşimi, risk seviyesini ortaya çıkarır. Böylece önceliklendirme yapılabilir.
Bölüm özeti:
Risk seviyeleri, olasılık ve etkinin sistematik değerlendirilmesiyle belirlenir.
Risk Kabul Kriterlerinin Tanımlanması
Her risk mutlaka azaltılmak zorunda değildir. ISO 27001, risk kabul kavramını açıkça tanımlar. Bu nedenle kuruluşlar kabul edilebilir risk seviyelerini önceden belirlemelidir.
Risk kabul kriterleri:
Yönetim onayı ile tanımlanır
Ölçülebilir olmalıdır
Tutarlı şekilde uygulanmalıdır
Bu kriterler olmadan yapılan değerlendirmeler subjektif hale gelir. Dolayısıyla kararların savunulabilirliği azalır.
Bölüm özeti:
Risk kabul kriterleri, objektif ve tutarlı kararlar alınmasını sağlar.
Risk İşleme Seçenekleri
Değerlendirilen her risk için bir işleme kararı verilmelidir. ISO 27001 dört temel risk işleme seçeneği tanımlar.
Bu seçenekler:
Riski azaltmak
Riski kabul etmek
Riski transfer etmek
Riski ortadan kaldırmak
Risk azaltma genellikle Annex A kontrolleriyle sağlanır. Bu noktada ISO/IEC 27002 referans alınabilir.
Bölüm özeti:
Risk işleme kararları, risk seviyesine ve iş hedeflerine göre belirlenir.
Statement of Applicability ve Dokümantasyon
Risk değerlendirme sürecinin çıktıları belgelenmelidir. En kritik dokümanlardan biri Statement of Applicability’dir.
Bu doküman:
Seçilen kontrolleri listeler
Hariç tutulan kontrolleri gerekçelendirir
Risk işleme kararlarıyla ilişkilidir
Ayrıca risk kayıtları, metodoloji açıklamaları ve değerlendirme sonuçları da saklanmalıdır. Denetimler bu belgeler üzerinden yürütülür.
Bölüm özeti:
Dokümantasyon, risk değerlendirme sürecinin izlenebilirliğini ve denetlenebilirliğini sağlar.
Sürekli Gözden Geçirme ve İyileştirme
Riskler statik değildir. İş süreçleri, tehditler ve teknolojiler değiştikçe risk profili de değişir. Bu nedenle risk değerlendirme periyodik olarak güncellenmelidir.
Gözden geçirme tetikleyicileri:
Organizasyonel değişiklikler
Güvenlik olayları
Yeni yasal gereksinimler
Sistem mimarisi değişiklikleri
Bu yaklaşım, ISO 27001’in sürekli iyileştirme prensibiyle uyumludur.
Bölüm özeti:
Risk değerlendirme yaşayan bir süreçtir ve düzenli olarak güncellenmelidir.
Sonuç
Bu ISO 27001 risk assessment guide, bilgi güvenliği risklerinin nasıl yapılandırılmış ve denetlenebilir şekilde yönetileceğini açıklamaktadır. Risk temelli yaklaşım, kontrol seçimlerinin temelini oluşturur. Doğru tanımlanmış varlıklar, tutarlı değerlendirme kriterleri ve güçlü dokümantasyon, etkin bir Bilgi Güvenliği Yönetim Sistemi’nin vazgeç
TARAFINDAN YAZILDIMeryem ÇelikerBu yazar henüz bir biyografi eklememiş.
Tarafından Paylaşılan Diğer Yazılar
