R SK N İncelenmes Ve Değerlend R Lmes B L Ş M S Stemler Nde Değerlend Rme Yöntemler

02.08.
2021 Bilişim Sistemlerinde Risk Değerlendirme Yöntemlerinin İncelenmesi ve Değerlendirilmesi
Sayfa 1
Riskin İncelenmesi ve Değerlendirilmesi

Bilişim Sistemlerinde Değerlendirme Yöntemleri
Orijinal metin
An Investigation and Evaluation of Risk

Yüksek Lisans Tezi Daha iyi bir çeviri ile katkıda bulunun
Bilgisayar Bilimi ve Mühendisliği Bölümü

Feiquan Chen tarafından

Chalmers Teknoloji Üniversitesi
Göteborg, İsveç, 2015

Sayfa 2
https://translate.googleusercontent.com/translate_f 1/70
02.08.2021 Bilişim Sistemlerinde Risk Değerlendirme Yöntemlerinin İncelenmesi ve Değerlendirilmesi
Yazar, Chalmers Teknoloji Üniversitesi'ne münhasır olmayan

Çalışmayı elektronik olarak ve ticari olmayan bir amaçla yayınlamak, erişilebilir kılmak
İnternette.
Yazar, Çalışmanın yazarı olduğunu garanti eder ve
Çalışma, telif hakkı yasasını ihlal eden metin, resim veya diğer materyalleri içermez.

Yazar, Eserin haklarını üçüncü bir şahsa devrederken (bunun için
örneğin bir yayıncı veya bir şirket), bu konuda üçüncü tarafı onaylayın
anlaşma. Yazar, üçüncü bir tarafla bir telif hakkı sözleşmesi imzalamışsa
Eser ile ilgili olarak, Yazar işbu belgeyle herhangi bir şekilde elde ettiğini garanti eder.
Chalmers Teknoloji Üniversitesi'ne izin vermek için bu üçüncü taraftan gerekli izin
ve Göteborg Üniversitesi, Çalışmayı elektronik olarak saklar ve erişilebilir kılar
İnternette.

Risk Değerlendirme Yöntemlerinin İncelenmesi ve Değerlendirilmesi (Güvenlik İçin
ölçüm)

Feiquan Chen

© Feiquan Chen, Nisan 2015.

Kontrol Eden ve Süpervizör: Erland Jonsson

Chalmers Teknoloji Üniversitesi
Göteborg Üniversitesi
SE-‐412 96 Göteborg
İsveç
Telefon + 46 (0)31-‐772 1000

[Örtmek:
(olası) kapak resmi için açıklayıcı bir başlık
Bu makaledeki ayrıntılı bilgilere sayfa referansı ile.]

Göteborg, İsveç Nisan 2015
2
Sayfa 3
İçindekiler
Risk Değerlendirme Yöntemlerinin İncelenmesi ve Değerlendirilmesi ................................................. 2
Şekiller ve Tablolar ................................................................. ................................................................ ................................ 5
Kısaltmalar Listesi ................................................ ................................................................ ................................ 7

Teşekkür ................................................................ ................................................................ ................................ 9
Soyut ................................................. ................................................................ ................................................11
1. Giriş ............................................... ................................................................ ................................ 13

1.1. Bilgi Güvenliği ................................................ ................................................................ ................................ 13
1.2. Risk nedir ................................................................ ................................................................ ................................................ 13
1.3. Neden risk değerlendirmesi ................................................................ ................................................................ ...................................... 14
2. Araştırma Metodolojisi ................................................................ ................................................................ ........................ 17

2.1. Araştırma Hedefleri ................................................................ ................................................................ ................................................ 17
2.2. Literatür incelemesi ................................................ ................................................................ ................................ 17
2.2.1. Problem formülasyonu ve arama kriterleri .................................................. ................................................................ 18
2.2.2. Arama stratejisi ................................................ ................................................................ ................................................................ 18
3. Risk değerlendirmesi temel kavramları ve kapsamı ................................................................ ................................21

3.1. Risk tanımlaması ................................................ ................................................................ ................................21
3.1.1. Varlıklar ................................................. ................................................................ ................................................................ ......... 22
3.1.2. Tehditler ................................................................ ................................................................ ................................................................ ...... 23
3.1.3. Güvenlik açıkları ................................................................. ................................................................ ................................................ 24
3.2. Risk analizi ................................................ ................................................................ ................................................ 24
3.3. Risk değerlendirmesi ve azaltma ................................................................. ................................................................ ..... 25
4. Risk değerlendirme standartlarının, araçlarının ve metodolojilerinin gözden geçirilmesi ................................ 26

4.1. Standartlar ................................................................ ................................................................ ................................................26
4.2. Araçlar ................................................. ................................................................ ................................................................ 28
4.2.1. Yönetim araçları ................................................ ................................................................ ................................................28
4.2.2. Teknik araçlar ................................................................ ................................................................ ................................................................32
4.3. Metodolojiler ................................................................ ................................................................ ................................32
5. Metodolojilerin Analizi ................................................................ ................................................................ ..... 37

5.1. Yöntemlerin karşılaştırılması ..................................................... ................................................................ ................... 37
5.2. Karar Çerçevesi tasarımında Ortak Kriterler ................................................................ ................................40
5.2.1. Maliyet/etki kriterleri ................................................................. ................................................................ ................................................40
Sayfa 4
5.2.2. Çevresel kriterler ................................................................ ................................................................ ................................ 43

5.3. Risk değerlendirme yöntemlerinin seçilmesine ilişkin karar çerçevesi ................................................................ .. 44
5.3.1. Çevresel kriterler ................................................................ ................................................................ ................................ 44
5.3.2. maliyet / etki kriterleri ............................................. ................................................................ ................................................ 48
5.3.3. En iyi metodolojiyi seçmek için nihai karar ................................................................. ................................................ 50
6. Öz - gelişmiş metodoloji ........................................... .................................................. .. 52

6.1. Yöntem vakıf ................................................ .................................................. ......................... 52
6.1.1. RAF kavramı .............................................. .................................................. .................................. 52
6.1.2. 27k standartları ailesi ile entegrasyon ............................................. .................................................. .. 52
6.1.3. Anahtar Sorunları çözmek için .............................................. .................................................. .............................. 53
6.2. kendi geliştirdiği metodoloji yapısı .......................................... ........................... 54
6.3. Yöntem uygulama ................................................ .................................................. ................ 55
6.3.1. Hazırlama / bağlam oluşturmak ............................................. .................................................. .. 56
6.3.2. Risk tanımlaması ................................................ ................................................................ ................................................56
6.3.3. Risk analizi ve değerlendirmesi .............................................. .................................................. ................... 58
6.3.4. Tedavi ve kabul Risk .............................................. .................................................. ............. 63
6.4. Kalan Sorunlar ..................................................... ................................................................ ................................ 64
7. Karar ............................................... .................................................. ................................ 66
Ek A. Karar çerçevesi için risk değerlendirme metodolojisi analizi

.................................................. .................................................. .................................................. ..... 67
Referanslar ................................................. .................................................. ................................................ 81

4
Sayfa 5
Şekiller ve Tablolar
Şekil 1. Arama stratejisi ................................................................ .................................................. ................................. 19
Şekil 2. Risk değerlendirmesi ve risk yönetim süreci ile ilişkisi [1] ................................. 21
Şekil 3. Bilgi sistemleri güvenliği risk değerlendirme modeli ......................................... ............... 22
Şekil 4. İç ilişkiler ISO 27K Standartları ailede ....................................... ................................ 27
Şekil 5. Coso - ERM Çerçeve [36] ........................................ .................................................. .........31
Şekil 6. Hazop prosedür çalışma akımı ........................................... .................................................. . 33
Şekil 8. ISO 27000'de tanımlanan ISMS PDCA modeli ................................................ ................................................... 53
Şekil 9. Risk değerlendirme faaliyetinde BT sistemlerinin farklı seviyeleri arasındaki veri akışı .......... 54
Risk farklı değerlendirme kriterlerine Şekil 10. İlişkileri ........................................ ...................... 58
risk değerlendirmesi Şekil 11. AHP yapısı .......................................... ................................................ 59
Şekil 12. Genel risk matrisi ................................................................ ................................................................ ................................62
Şekil 13. ALARP modeli ................................................................ ................................................................ ...................................... 64

Tablo 1. Farklı risk değerlendirme yaklaşımı türlerinin karşılaştırılması .................................................. ...... 37
Tablo 2. Niteliksel yöntemler ................................................................ ................................................................ ................................38
Tablo 3. Nicel yöntemler ................................................................ ................................................................ ...................... 39
Tablo 4. Yarı Nicel (kombine) yöntemleri ........................................ .......................................... 39
Tablo 5. Çevresel kriterlere dayalı RA araçları için karar tablosu ................................................ ..... 46
Tablo 6. Çevresel kriterlere dayalı RA yöntemleri için karar tablosu ................................................ 47
Tablo 7. Maliyet/etki kriterlerine dayalı RA araçları için karar tablosu ................................................ .................49
Tablo 8. Maliyet/etki kriterlerine dayalı RA yöntemleri için karar tablosu ................................................. ........ 49
Tablo 9. RA yönetim araçlarının özellikleri ................................................................ ................................51
Tablo 10. Kuruluşun farklı seviyelerinde risk değerlendirmesi ................................................. ................ 55
Tablo 11. AHP analizi için karar tablosu ................................................ ................................................................ .. 61

5
Sayfa 6
6
Sayfa 7
Kısaltmalar Listesi

AHP: Analitik Hiyerarşi Süreci
ALARP: Makul Bir Şekilde Uygulanabilir Olduğu Kadar Düşük
ALE: Yıllıklandırılmış Zarar Beklentisi
CCA: Neden-Sonuç Analizi
COBRA: Danışmanlık, Objektif ve İki Fonksiyonlu Risk Analizi
CORA: Maliyet-of-Risk Analizi
COSO-ERM: Treadway Komisyonu Sponsor Kuruluşlar Komitesi
Kurumsal Risk Yönetimi
ETA: Olay Ağaçları Analizi
FMECA: Arıza Modları ve Etkileri ve Kritiklik Analizi
FRAP: Kolaylaştırılmış Risk Analizi Süreci
FTA: Hata Ağaçları Analizi
IA: Bilgi Güvencesi
BGYS: Bilgi güvenliği yönetim sistemleri
ISO 27k: ISO 27000 (standartlar ailesi)
MCDM: Çok Amaçlı Karar Verme
MCS: Minimal Cut Setleri
OCTAVE: Operasyonel Olarak Kritik Tehdit, Varlık ve Güvenlik Açığı Değerlendirmesi
PHA: Ön Tehlike Analizi
PRA: Olasılıksal Risk Değerlendirmesi
RA: Risk Değerlendirmesi
RPN: Risk Öncelik Numarası
SC: Güvenlik Kategorisi
SOL: Tek Oluşum Kayıpları

7
Sayfa 8
8
Sayfa 9
Teşekkür
Bu tezin başlangıcında, bazı kişilere saygılarımı sunmak istiyorum.
tez çalışmam için

Öncelikle danışmanıma ve sınav görevlisine en içten teşekkürlerimi sunarım.
Profesör Erland Jonsson. İlk tez fikriyle beni aydınlattı. Ve o var
sırasında mükemmel rehberlik, parlak tavsiyeler, teşvik ve kullanılabilirlik sağladı.
tüm tez çalışma süresi. Onun yardımı olmadan bu kadar ileri gidemezdim.

Ayrıca, çalışma danışmanım Elisabeth'e özel teşekkürlerimi sunarım.
Andersson, tez çalışma koşullarımla ilgili cömert yardımları ve tavsiyeleri için.

Son olarak, her zaman olduğu gibi aileme ve arkadaşlarıma en derin şükranlarımı sunmak istiyorum.
özverili sevgileri ve koşulsuz destekleri için.

9
Sayfa 10
10
Sayfa 11
Soyut
Teknoloji geliştikçe ve bilgi toplumu giderek daha popüler hale geldikçe,
bilgi sistemleri, insan yaşamının hemen her alanında yer almaktadır. Yakın tarihli bir örnek
içindeki her şeyi çözmeye çalışan, yükselen “nesnelerin interneti” kavramıdır.
ağ ve teknoloji. Teknolojinin bize getirdiği kolaylık ve faydalar ile riskler
zevk aldığımız ortamı da takip eder ve tehdit ederiz. Wikileaks, NSA ve Snowden,
vb., bu büyük dramalar, bizi bu güvenlik sorunları ve risklere karşı daha uyanık hale getirmelidir.
bilgi sistemleri ile karşılaşabilir. Potansiyel riskleri öngörmek için,
sonuçları ve olası karşı önlemleri hazırlamak, riske ilişkin kapsamlı bir inceleme
bugün sahip olduğumuz değerlendirme mekanizmalarına ihtiyaç vardır. esas olarak mevcut üç riski vardır
değerlendirme yöntemleri: nicel yaklaşım, nitel yaklaşım ve birleşik yaklaşım.
Bu tez, mevcut risk değerlendirme yöntemlerinin (8 yönetim aracı, 2
teknik araçlar ve 9 temel yöntem). Kapsamlı bir analiz ve karşılaştırma yapar
farklı yaklaşımlar arasında, bu, ankete katılanların yeniden yapılandırılmasını ve gruplandırılmasını içerir.
Önemli faktörlerine, işleme yöntemlerine ve uygulamalarına göre yöntemler
Çevre. Araştırılan yöntemlerin zayıflıkları ve yararları tartışılır ve bir risk
risk değerlendirme kararı ile ilgilenen değerlendirme sınıflandırma çerçevesi önerilmiştir
yapma veya diğer ilgili senaryolar. Ayrıca, sistematik bir yöntem ayrıntılı olarak sunulmuştur.
risk değerlendirme alanında çözüm. Son olarak, çalışmanın sonucu geniş olarak ele alınmıştır.
risk değerlendirme süreci tasarımı ve uygulamasının resmi.
11
Sayfa 12
12
Sayfa 13
1. Giriş
1.1. Bilgi Güvenliği

Bilgi güvenliği, bilginin gizliliğini, bütünlüğünü ve
kullanılabilirlik. İletişim güvenliğinin önceki aşamalarından geliştirilen konsept,
Bilgisayar güvenliği ve Bilgi güvenliği günümüzde Bilgi Güvencesi (IA) [9].
IA'ya göre güvenlik yalnızca bir durum değil, aynı zamanda algılama,
müdahale, koruma ve kurtarmanın yanı sıra güvenlik yönetimi, eğitim/öğretim, hukuk
destek vb. Bilgi sistemi terimi, aşağıdakilerden oluşan (bilgisayar) sistemini ifade eder.
veri toplama, depolama, aktarma ve uygulama vb. gerçekleştirmek için ekipman ve tesisler.
Bilgi sistemlerinde güvenliğin amacı, güvenlik ve emniyetin sağlanmasıdır.
veri işleme ve diğer ilgili sistem faaliyetleri sırasındaki bilgiler.
Risk, bilgi sistemlerinin güvenlik faaliyetlerinin her sürecinde ve her aşamasında mevcuttur.
Bilgi sistemlerinin risklerini inceleme süreci, çeşitli yöntem ve prosedürleri kullanmaktır.
risk yönetimi alanından, tehditleri ve güvenlik açıklarını sistematik olarak analiz eder.
ağ ve bilgi sistemleri, hasar seviyesini değerlendirmek ve önleme yöntemleri önermek
ve sistemi beklenmedik güvenlik olaylarından korumak için karşı önlemler,
Riski kabul edilebilir bir seviyede kontrol edin. Bilgi sistemlerinde beş ana risk vardır.
değerlendirilmesi gereken: kurumsal risk, altyapı riski, tanımsal belirsizlik,
rekabetçi tepki, teknik belirsizlik [7]. Genellikle farklı seviyelerde analiz edilirler.
kuruluşun faaliyetlerine göre. Bir örnek 6. bölümde görülebilir.
1.2. Risk nedir

Riskin birçok tanımı vardır. Loudon ve Loudon'a (1991) göre risk,
dayalı olarak bilinen veya tahmin edilen bir meydana gelme olasılığı olan olumsuz bir sonuç olmalıdır.
deneyim veya bazı teoriler [11]. Resmi bir anlatım, risk potansiyel sonucunu gösterir
güvenlik konularının olasılığı ve sonuçları. Sembolik olarak koyabiliriz
Risk = f (olasılık, sonuçlar). Kafa karıştırabilecek bazı benzer kavramlar var
risklerle. [4]'te yazar risk ve belirsizlik arasındaki farkı açıklar, risk =
belirsizlik + hasar. Risk ve tehlike arasındaki ayrım için risk = tehlike/korumalar.
İlerleyen bölümlerde bazı genişletilmiş risk tanımlarından özel olarak bahsedilecektir.
risk değerlendirme yaklaşımları.
13
Sayfa 14
1.3. Neden risk değerlendirmesi

Bilgi sistemi güvenliği için risk yönetimini sisteme şu şekilde tanıtmalıyız:
BT'yi korumak için operasyonel ve ekonomik ölçüm maliyetlerini dengelemenin kilit noktası
sistemler ve veriler. Sistemin risk değerlendirmesi sayesinde, sistem hakkında daha net olabiliriz.
sistemin güvenlik gereksinimini karşılamak ve kontrol edilebilir, güvenilir ve verimli bir güvenlik elde etmek
Çevre. Risk değerlendirmesinden sonra (a) ana güvenlik risklerini belirleyebilmeliyiz.
Riskleri önlemek veya azaltmak için doğru stratejiyi seçmeye yardımcı olacak bilgi sistemleri (b) anlamak
güvenlik gereksinimini sağlamak için sistemin güvenlik durumu (c) bilgi güvenliği oluşturmak
Güvenlik duvarı dağıtımı gibi teknik konulara rehberlik etmek gibi daha net bir amacı olan sistemler,
IDS ve IPS vb. güvenlik yönetimi, eğitim ve
Eğitim.
Risk yönetimi üç süreci içerir: risk değerlendirmesi, risk azaltma, risk değerlendirmesi
ve değerlendirme [3]. Risk değerlendirmesi, risk yönetiminin en önemli parçasıdır,
riskin sonuçlarını ve olasılıklarını belirlemek için kapsamlı prosedürler ve
riskle uğraşırken gelecekteki kararlar için destek sağlamak [1].
ISO 31010 [1]'de risk değerlendirme süreci üç aşamaya ayrılmıştır, risk tanımlama,
risk analizi ve risk değerlendirmesi. Risk tanımlama, olası durumları belirlemektir.
nihai hedefin değişmesine neden olabilir. Sebep, sonuçlar, çevre ve ilgili konular
riskler belirlenmelidir. Beyin fırtınası ve Delphi gibi teknolojilerin desteklenmesi
metodoloji [12] tanımlama sürecini iyileştirmek için kullanılabilir. Risk analizi yardımcı olmaktır
Kullanıcı, risk değerlendirmesi için bir girdi kaynağı sağladığı için riski tam olarak anlar, geliştirir
risk önceliği ve kabul düzeyi ve sonuçları sonraki faaliyetler için kullanır. esas olarak vardır
risk analizinde kullanılan üç tür risk, niteliksel, yarı niceliksel veya niceliksel [1].
Sonraki paragraflarda kısaca tanıtılacaklar ve daha fazla tartışma aşağıdaki paragrafta izlenecek.
aşağıdaki bölümler. Bir risk değerlendirmesi nihayet risk sonuçlarına karar verecek ve
karşı önlemlerin alınması için temel oluşturur.
- Niteliksel analiz için risk seviyesi genellikle kelimeler veya ölçeklerle tanımlanır. Bu
normalde önceki anket kayıtlarına, çalışanların deneyimlerine ve uzmanlara dayalıdır.
görüşler. Veriler, ameliyattan veya kuruluştaki görüşmeden toplanır, daha sonra
tehditleri, zayıflıkları ve kontrol yönlerini analiz etmek için verileri kullanın.
Mevcut riskleri ölçmek için kuruluş. Günümüzün karmaşık risk koşullarında
nicel yöntemler tüm olasılıkları simüle etmek için çok etkili olmayabilir, bu nedenle
nitel yöntemlerin tanıtılması amaca yardımcı olabilir [6]. Nitel yöntemler
analizörün yeterli bilgiye sahip olmadığı veya yeterli bilgiye sahip olmadığı durumlarda kullanışlıdır.
matematiksel ve istatistiksel yöntemleri risk modeline uygulamak için nitelikli koşullar [6]. o
14
Sayfa 15
analizine girmeden yüksek, orta, düşük seviyedeki riski tanımlayabilir.

kuruluşun operasyonel verilerinin farklı rakamları. Ayrıca, için kolaylaştırır
katılmak için fazla risk bilgisi geçmişine sahip olmayan profesyonel işverenler
analiz süreci. Olumsuz tarafı, nitel analiz genellikle destekten yoksundur.
rakamlar. Temelde analiz cihazının deneyimi gibi üzerine yani sübjektif yargı, güvenir
ve çok objektif kararlar veremez.
- Nicel analiz, riski dönüştürmek için matematiksel ve istatistiksel yöntemler kullanır

önceki aşamalarda toplanan bilgiler ölçülebilir bir değere dönüştürülür. Riski destekler
nicel değer ve standart ile analiz sonucu, böylece objektif sonuç
(nitel yönteme kıyasla) daha güvenilir ve kabul edilmesi daha kolaydır ve
anlıyorum. Ancak süreç genellikle çok karmaşık ve zaman alıcıdır. Orası
veri toplamak ve nicel verileri hesaplamak için çeşitli yöntem ve standartlardır.
risklerin değeri ve genellikle doğruluk ve doğruluk konusunda çok yüksek gereksinimleri vardır.
Analiz için toplanan verilerin bütünlüğü. Yani genellikle oldukça
risk değerlendirmesinin tüm sürecini ölçmek imkansızdır.
- Yarı niceliksel risk analizi, kişinin durumu optimize etmeye çalıştığı durumlarda kullanılır.
risklerin bir kişiye yönelik etkisini en aza indirmek için mevcut kaynakların tahsisi
organizasyon. Daha fazla sayıda riski değerlendirebilme avantajı sunar.
tam bir matematiksel model olmadığı için nicel risk değerlendirmesinden daha fazla sorun
gereklidir [27]. Yarı niceliksel risk analizi, sayısal derecelendirme ölçeklerini kullanır.
risklerin sonucunu ve olasılığını temsil eder ve genel risk değerlendirmesini yapar
[1] formüllerini kullanarak. Bu sayılar gösterge niteliğinde olduğundan ve genellikle
nicel analiz, riskin doğru bir temsili değildir. Kullanıcılar
yarı niceliksel analiz kullanma konusunda dikkatli olun çünkü yarı niceliksel analiz
çeşitli tutarsızlıklara yol açar: seçilen sayılar doğru şekilde ayırt edilemeyebilir
farklı riskler, özellikle sonuçlar veya olasılık aşırı olduğunda [10].
Bu makalenin geri kalanı aşağıdaki gibi organize edilmiştir. 2. bölümde, araştırma yöntemi ve araştırma
amaç sunulur; Bu çalışmanın bilimsel bir şekilde yapılmasını sağlamak için anket süreci açıklanmaktadır.
ve sistematik bir şekilde. 3. bölümde, risk değerlendirmesi anahtar kavramları incelenmekte olup, bunun kapsamı
çalışma tanımlanır ve sonraki bölümler için teori desteği sağlar. 4. bölümde,
çeşitli mevcut RA metodolojilerinin araştırma sonuçları gösterilmektedir; toplanan veriler,
sonraki bölümdeki karşılaştırmaya ve çerçeveye girdi. 5. bölümde, bir karşılaştırma
nicel ve nitel yaklaşım arasında yapılır, farklı RA metodolojileri
önceki çalışmalara dayalı olarak değerlendirilir ve kullanıcının seçimi yapmasına yardımcı olacak bir karar çerçevesi
doğru yöntem geliştirilir. 6. bölümde, temel olarak aşağıdakilere dayalı olarak kendi geliştirdiği bir RA süreci,
15
Sayfa 16
mevcut RA'nın ne kadar esnek ve verimli kullanıldığını göstermek için önceki metodoloji tanıtılmıştır.
yöntemlerle gerçekleştirilebilir. Son olarak, yaptığım çalışmaya dayanarak bir sonuca varıyorum.
tamamlamak.
16
Sayfa 17
2. Araştırma Metodolojisi
Bu bölüm, çalışmanın araştırma amacını tartışır, kullanılan inceleme metodolojisini gösterir.
Çalışmada ve çalışılacak sorunu formüle eder. İncelenen kağıtlar
bölümün sonunda özetlenmiştir.
2.1. Araştırma Hedefleri

Araştırmanın temel amacı, riskleri değerlendirmek için verimli ve uygulanabilir bir yol bulmaktır.
bilgi sistemleri, zaten işi yapan birçok yöntemin var olduğu göz önüne alındığında. o
adımlar (alt hedefler) takip edilerek gerçekleştirilecektir:
• Raporda kullanılan risk değerlendirme yöntemlerinin kapsamlı bir analizini yapmak.

seçilen kağıtlar
• Birlikte kullanılan yöntemler için bir risk değerlendirme sınıflandırma çerçevesi önermek.
seçilen bir parametre kümesine göre Hem nicel hem de nitel yöntemler
araştırılacak.
• Bu yöntemler arasında bir değerlendirme ve karşılaştırma yapmak
• Farklı yöntemlerin artıları ve eksileri hakkında somut sonuçlar çıkarmak
• Biraz daha ileriye götürecek olası iyileştirmeler ve/veya yeni yöntemler önermek
bölgeye faydaları
2.2. Literatür incelemesi

Literatür taraması, ilgili literatürün nesnel, kapsamlı bir özeti ve eleştirel analizidir.
Çalışılan konuyla ilgili mevcut literatür [1]. Başarılı bir literatür taraması,
alanındaki en son gelişmeleri yakalayın, yazarın kimlik bilgilerini destekleyin ve
daha fazla çalışma veya fikir geliştirme için iyi bir teori temeli oluşturun. Ayrıca tekrar etmekten kaçınmaya yardımcı olabilir
çalışır ve devam eden çalışmanın önemini ve potansiyelini ortaya çıkarır. Bu tezde,
literatür taraması, risk değerlendirmesinde kullanılan ana yöntemlerin belirlenmesine yardımcı olacaktır.
bilgi sistemi. Gözden geçirenin değerlendirmesine dayanarak, makalenin diğer içeriği
çalışmalar karar verilecektir.
Bu tezin izleyeceği literatür tarama süreci Rot [2]'ye göredir. Bu

beş adımda gerçekleştirilir: problem oluşturma, veri toplama, veri değerlendirme, analiz ve
yorumlama, halka sunum.
17
Sayfa 18
2.2.1. Problem formülasyonu ve arama kriterleri

Problemlerle başlamak için, bu tezin amacına göre araştırma soruları sorulacaktır.
ulaşmak istiyor. Başlangıç olarak asıl soru, mevcut risk değerlendirmelerinin hangileri olduğudur.
yöntemler ve pratik değerlendirmede nasıl uygulandıkları?
Daha fazla çalışma devam ettikçe, araştırmaya yardımcı olmak için daha ayrıntılı sorular sorulacak:
• Nitel ve nicel yöntemler nasıl sınıflandırılmalı ve bunların neler olduğu
fayda ve zayıflık?
• Değerlendirilen her yöntemin süreci ve veri akışı nedir?
• Bu yöntemler, resmin bütününde güvenlik ölçütlerine nasıl katkıda bulunur?
Hedef ve sorulan sorulara dayalı olarak, arama kriterleri şu şekilde açıklığa kavuşturulacaktır:
makaleleri filtrelemeye yardımcı olun. Kapsamlı ölçütler, makalelerin daha fazla incelemeye dahil edilmesine yardımcı olur ve
özel kriterler, daha önce seçilen makalelerin hariç tutulmasına yardımcı olur:
• Kapsayıcı kriterler
o İçgörü analizi ve bilgilerin risk değerlendirmesinin pratik metodolojisi
nitel ve nicel yöntemler dahil olmak üzere sistemler
o Bilgi sistemlerinin risk değerlendirmesiyle sınırlı olmayan, ancak
daha genel ve temel risk değerlendirme yöntemlerine odaklanmak
o Araştırma materyalinin ve standart belgelerin en yeni versiyonu,
alan, birkaç sürüm varsa
o Çok atıf alan, iyi hazırlanmış, net bir şekilde düzenlenmiş ve kesinlik içeren makaleler
ve güvenilir sonuçlar
• Özel kriterler
o Bilgi sisteminin risk değerlendirmesiyle ilgisi olmayan veya özellikle
güçlü arka plan gerektiren diğer özel alanlar
o Aynı veya aynı alandan tekrarlanan veya örtüşen çalışmalar veya veriler
metodoloji
o Araştırma ve çalışmaların belirsiz ve yetersiz argümanları
o Çalışmaların belirsiz veya şüpheli sonuçları
o Aynı konunun eski versiyonları veya geliştirilmekte olan versiyonları
2.2.2. Arama stratejisi

Yeterli ve güvenilir veri toplamak için arama stratejimizi netleştirmemiz ve
Daha önce de belirtildiği arama kriterlerine göre seçim işlemi. Bu online ile başlar
akademik veri tabanlarından ilgili kağıtların arama.
18
Sayfa 19
Çoğu çevrimiçi arama Google Akademik, Microsoft Akademik Arama ve

Bu araştırmada kullanılan en yaygın akademik veri tabanı olan Chalmers Kütüphanesi aşağıdaki gibidir:
ACM dijital kütüphanesi, Scopus, IEEE Xplore, Web of Science, vb. için kullanılan anahtar kelimeler
araştırma: risk değerlendirmesi, bilgi sistemleri, niteliksel, niceliksel, bilgisayar
mühendislik, güvenlik, risk analizi, risk yönetimi. Arama sırasında farklı
Bu kelimelerin kombinasyonları, araştırma kriterlerine uyan makaleleri getirmek için kullanılır ve
hedefler.
Şekil 1. Arama stratejisi
Şekil 1'de gösterildiği gibi, anahtar kelimeleri arama motoruna yazarak ve akademik
veritabanında, önceden tanımlanmış gereksinimlere uyan çok sayıda kağıt gösterilir.
Arama kriterlerini bu sonuçlara uygulamak, daha az sayıda makaleye yol açar. İçin
güncel bir anket sonucu elde edin, yayın yılı ve atıf sayısı da iki
dikkate alınması gereken ithalat faktörleri. Eşit atıf sayısına sahip benzer bir çalışma için bu çalışma referans alınacaktır.
daha yeni araştırmaya. Ayrıca, yüksek itibara sahip bazı klasik makaleler de var.
referans listesinde. Seçilen makaleler, karşılaştırma için farklı alanlara kategorize edilir
ve araştırma amacı, Siber riskler trendi, Bağımsız Geliştirilmiş yöntem, Bulut
hesaplama riskleri, Risk değerlendirme kılavuzu, PCI-DSS risk değerlendirmesi, E-'de risk değerlendirmesi
başlama, Risk değerlendirme standartları, Risk yöntemleri karşılaştırması, Nicel yöntemler,
19
Sayfa 20
Nitel yöntemler, Yarı nicel yöntemler, Teknik yöntemler, Bulanık teori, Bayes
sırasıyla teori, Saldırı grafiği ve İlgili kitaplar.
20
Sayfa 21
3. Risk değerlendirmesi temel kavramları ve kapsamı

Tüm materyalleri seçip inceledikten sonra literatür taraması yöntemi uygulanacaktır.
gerçekleştirmek için seçilen makalelerden temel tanımları ve ortak kriterleri çıkarmak
işin daha sonraki parçalar. ISO 27005 ve birçok risk yönetim standartlarını, ardından
ISO 31010, risk değerlendirmesi ile ilgili bu tez çalışması temel olarak üç bölüme odaklanmaktadır: risk
tanımlama, risk analizi, risk değerlendirmesi. RA süreci izole bir prosedür değildir, ancak
risk yönetimi sürecinin bağlamına bağlı olarak, önceden
analiz, karşı önlemler ve koordinasyon, izleme, sürekli geri bildirim. Risk
değerlendirme yapısı ve risk yönetimi ile ilişkisi şekil 2'de gösterilmektedir [3].
Şekil 2. Risk değerlendirmesi ve risk yönetim süreci ile ilişkisi [1]
Çok sayıda makaleden çıkarılan temel kavramlar ve veriler aşağıda gösterilecektir.

bölümler.
3.1. Risk tanımlaması

Risk tanımlama, riskleri bulma, tanıma ve kaydetme sürecidir [3]. Buna göre
[13], risk, tehditler, güvenlik açıkları ve üç değişkenin bir fonksiyonu olarak tanımlanabilir.
varlık değeri. Dış etki tehdittir ve iç etki güvenlik açıklarıdır, hareket ederler.
güvenlik olaylarının girdisi ve kaynağı olarak. Nihai sonuç aynı zamanda varlığa da bağlıdır
21
Sayfa 22
değer ve ortamlar. Dolayısıyla bu üç nitelik, bir fonksiyon için temel girdi olarak kullanılacaktır.
riskleri değerlendiren:
R= f (a, t, v)
Formülde 'a' varlık değerini temsil eder, 't' tehdidin gerçekleşme olasılığını temsil eder.
oluşur ve 'v' bir sistemin içerdiği güvenlik açıklarının sayısını temsil eder. başka var
risk kavramını yorumlama yolları. Örneğin [14]'te yazarlar, riskin
varlık, tehdit türü, tehdit kaynağı, güvenlik açığı ve karşı önlemin birleşik etkisidir.
Çoğu yorum, risklerin temel üç unsurunun genişletilmiş versiyonu olduğundan, bu
tez, riski değerlendirmek için temel üçlüyü kullanacaktır. Bir bilgi sistemleri güvenlik riski
değerlendirme modeli Şekil 3'te gösterilmiştir.
Risk değerlendirmesi
Varlıklar Tehdit güvenlik açığı
-‐gizli kimlik -‐Doğa felaketi -‐Örgütsel

--Bütünlük --İnsan hatası zayıflık
-‐Kullanılabilirlik -‐Teknik hata -‐Teknik zayıflık
Şekil 3. Bilgi sistemleri güvenlik risk değerlendirme modeli
3.1.1. Varlıklar
Bilgi sistemlerinde varlık değeri, organizasyon için sahip olunan mülkün değeridir.
tehlikede. Yalnızca bilgi sistemleriyle bağlantısı olan varlıkları dikkate alacağız.
Bu tez. Varlıklar, maddi veya maddi olmayan, donanımsal veya
yazılım, hizmet veya altyapı vb. Bilgi varlıklarının üç bölümü vardır.
Bilginin kendisini, bilgi ile ilgilenen tesisleri ve
insanlar bilgiyle uğraşır. Tesisin risk değerlendirmesi halihazırda yönetmelikte düzenlenmiştir.
Tesisin risk tesisin performansına bağlı olacaktır tesis satın alma aşaması,
kullanıcının gereksinimi altında. Ve insan kaynağı genel olarak örgütsel
yönetim alanı. Bu nedenle bilginin kendisi, değerlendirmede dikkate alınması gereken temel kısım olacaktır.
bilgi sistemlerinin varlıklar. Daha yürütmek amacıyla varlıkların Kategorizasyonu
etkin risk değerlendirmesi de önemlidir. [15]'e göre, varlıklar kategorize edilebilir
kullanıma dayalı, örneğin bilgi varlıkları, fiziksel varlıklar, yazılım varlıkları, insan varlıkları,
maddi olmayan duran varlıklar, vb. FIPS PUB 199 [17] bir güvenlik sınıflandırması kavramı verir,
22
Sayfa 23
Bilgi varlıkları üç boyuta göre değerlendirilebilir: gizlilik, bütünlük ve

kullanılabilirlik. Bilgi sistemleri için güvenlik kategorisini (SC) ifade etmek şu şekilde yapılabilir:
şöyle:
SC (bilgi sistemi) = {(gizlilik, etki ), (bütünlük, etki ), (kullanılabilirlik,

etki )}
Her bir unsurun etkisi düşük, orta, yüksek veya uygulanamaz olarak verilmiştir. Bu method
bilgi varlıklarının güvenlik düzeyini tanımlamanın sezgisel bir yolunu sunar.
Risk değerlendirmesinde varlıkların belirlenmesi, değerin değerlendirilmesinin bir önceki adımıdır. NS

önemli olan konu, çok sayıda varlığın ve varlıklar arasındaki korelasyonun belirlenmesidir.
Değerlendirmenin ilk turu sırasında, mümkün olduğunca kapsamlı bir şekilde yürütülmelidir.
tüm varlıkları tanımlamak için. Daha sonra sistemin önemli varlıkları ve bölümleri de olabilir.
bir varlık tablosunda tanımlanmıştır [16].
Bir sonuca ulaşmak için varlıkların belirlenmesinden sonra varlıkların değerlendirilmesi yapılmalıdır.
varlıkların sınıflandırılması. değerlendirme nitel veya nicel bir şekilde yapılabilir. NS
niteliksel yol, varlıkların önem derecesini, varlıkların güvenlik düzeyine göre şu şekilde sıralamaktır:
daha önce olduğu gibi gizlilik, bütünlük ve kullanılabilirlik olmak üzere üç unsur tarafından belirlenir.
tartışıldı. Daha sonra varlıkların öneminin bir ölçüsü elde edilebilir [17]. nicel yol
varlıklarını değerlendirmek için gerçek çevre ve varlıkların değeri dayanmaktadır. A
Daha detaylı bir örnek Bölüm 6'da tartışılacaktır.
3.1.2. tehditler
Tehditler, genel olarak bilgi sistemlerine zarar veren olayları ifade eder. Daha
açık olarak, NISP SP900-30 göre [3], bir tehdit belirli threat- için potansiyel
Belirli bir güvenlik açığını başarıyla uygulamak için kaynak. dikkate alınması gereken üç yönü vardır
Tehdit olasılıkla: tehdit kaynakları, potansiyel güvenlik açıkları ve mevcut kontrolleri. Tespit etmek
tehdit kaynakları, önemli varlıkları doğru tüm potansiyel tehditler kabul edilmelidir. Tehdit-
kaynaklar çevre faktörleri veya insan faktörleri olarak kategorize edilebilir. Çevre faktörleri
deprem veya sel gibi genellikle dayanılmaz ve belirli arka planda tutarlı, böyle bulunmaktadır.
Kullanıcı her zaman onların çalışma ortamına göre çevre tehditleri dikkate almalıdır
olsa da bunları önlemek zordur. Bu arada insan faktörü daha bizim endişe vardır
Onlar farklı insanlar ve farklı durumlara ilişkin serseri, ve bu daha fazla olduğu için
Zor normal doğa afetler daha insan davranışlarını tahmin etmek. Bir tehdidin mevcut formu
Bu tür yetkisiz değişiklik gibi sistemlerde, karşı doğrudan ya da dolaylı olarak saldırı olabilir,
gizliliğinin, bütünlüğünün veya kullanılabilirliğinin ihlaline yol açan sızıntı vb.
23
Sayfa 24
sistem veya kasıtsız bir olay. NISP olarak SP800-30 [3], insan faktörleri tehditler
kaynak, motivasyon ve tehdit eylemleri olarak listelenir. Üç tehditlerin olasılığını belirlemek için
yönleri dikkate alınmalıdır:
1. Önceki güvenlik raporlarındaki tehdit istatistikleri;
Pratik bir ortamda verilerle, saldırı tespit araçlarını kullanarak 2. Koleksiyonu
Günlük dosyalarını veya diğer yöntemlerle kontrol etmek;
popüler tehditlerin tatmin sahip yetkili kaynakları 3. Referans.
3.1.3. Güvenlik açıkları

Güvenlik açığı, bir bilgi sisteminin tehditlere açıklığını ifade eder. sistem
açıkları genellikle potansiyel tehditleri tespit tarafından kötüye kullanılmaktadır. [16], açığı
kuruluşların varlıklarıyla ilgili, bazen de neden olabilecek zayıflığı ifade eder.
beklenmedik bir olay. [3] savunma sisteminin güvenlik kusur ya da zayıf demektir
Bir güvenlik ihlali veya ihlal yol açabilecek akış, tasarım ve uygulama
güvenlik Politikası. Güvenlik açıkları iki kategoriye ayrılabilir. İlk güvenlik açığıdır
böyle İkinci vb teknik konularda, sistem ihlalleri gibi varlığın kendisi için etkiler
daha yüksek bir seviyeye [16] yetersiz yönetim tarafından neden olduğu savunma.
Güvenlik açıkları ve tehditler, belge seçmeleri, kişilerle görüşme yoluyla belirlenebilir
ve anketler, yerinde vb denetimler, güvenlik açığı tarayıcı, [19].
3.2. Risk analizi

ISO 27000 tanımına göre risk analiz kavrama sürecidir
ve riskin niteliği riski [39] düzeyini belirlemek için. tanımından o bulabildiğim
riskin doğası sebebi ve biz kaynağından sonra, neden ve kaynağıdır
riskleri tanımlayın ve konumlandırın. RA süreci gerektirir Farklı riskler tespit ediliyor
önceliklerini karşılaştırmak ve karar vermek için nicel veya nitel yöntemler. çünkü hepsi değil
riskler dikkate alınacaktır. acil olanlar veya yüksek tehlike olanları vardır, o kadar kıyaslanamaz
acil olanları. Bu analizden sonra farklı risklerin öncelikli tabloya yol açacak ve bu olurdu
bir sonraki adım risk değerlendirmesi ve azaltma için veri tabanları sağlar. Bu kısım olarak doğrudan
risk değerlerine veya seviyelerine karar verin, bu nedenle risk değerlendirmesinin önemli bir parçasıdır. Daha detaylı
nicel ve nitel risk yöntemleri hakkında tartışma 5. bölümde sunulacak ve
6.
24
Sayfa 25
3.3. Risk değerlendirme ve hafifletme

Genellikle nitelikli ya, risk ile listeleri şeklinde riskleri analizinden sonra,
sonuçlar riski için bir referans verilen risk kriterleri ile karşılaştırılmalıdır
ciddiyet. Risk kriterleri maliyet faydaları, yasa ve yönetmeliklere içerebilir ekonomik ve
sosyal çevre, insan faktörleri vb. Standart bir referansla karşılaştırıldığında,
Kullanıcıların farklı koşullarda risk ve almak karşı önlemleri değerlendirmek için daha kolay. İçin
çeşitli ortamlarda risk farklı düzeylerde karşı tedbirler almaya, dört temel vardır
yaklaşımlar [45]:
Böyle yama sistemi olarak riskleri, hafifletin •;
• Bilinmeyen operasyonları profesyonellere devretmek gibi riskleri transfer edin;
• İç ağı dış ağdan izole etmek gibi risklerden kaçının;
• Belirli bir durumda potansiyel risk sonuçları kabul edilebilirse, riskleri kabul edin.
25
Sayfa 26
4. Risk değerlendirme standartlarının, araçlarının ve metodolojilerinin gözden geçirilmesi

Bu bölümde yaygın olarak kullanılan risk değerlendirme standartları, araçları ve metodolojileri açıklanmıştır.
hayatta kaldı. RA standartları, risk değerlendirme faaliyetleri için genel bir kılavuz sağlarken, RA
araçlar yardımı bazıları, risk değerlendirmesi yapmalarının sistematik çözümler ve prosedürler vardır
iş kuruluşlar tarafından geliştirilen ve telif gerektirir. RA metodolojileri temelde
özgür ve temel yaklaşımlar bazıları RA belirli bir kısmını ele, riskleri değerlendirmek için
süreç ve diğerleri tüm süreci kapsar. RA araçları genellikle birkaç RA dayanarak geliştirilen
metodolojiler.
varlıklar değer veri girişi sonrasında sistemin tehdit ve güvenlik açığının olasılığı
Endüstriyel ve akademik standartlara, risk değerlendirme araçları ve gözetiminde
verileri işlemek, riskleri değerlendirmek ve karar vermeye yardımcı olmak için metodolojiler uygulanacaktır.
Bu araçlar ve metodolojiler nicel ve nitel iki temel yaklaşım, bazı var
bunların bir kısmı kullanım ortamına ve sürece bağlı olarak karma bir yaklaşım kullanacak
yapı.
Bu araştırma bölümünde her bir yöntemin en önemli özellikleri analizi yoluyla çekildi ve
paralel karşılaştırma ve daha sonra karar çerçevesi oluşturmak için veriler toplanır.
4.1. standartlar
Risk yönetimi ve değerlendirmesi için önerilen farklı standartlar ve yapılar bulunmaktadır.
Farklı vurgulamak ve bazı eski standartlar artık yeni standartlar birleştirilir var.
Kuruluşlar kendilerine uygun standardı seçmeliydi. Tipik olanlar ISO'dur
Bazı tanımlamalar başlangıcı bölüm 3 anılır 31000; ISO 27001:2013
(önceden BS 7799 olarak biliniyordu), ISO 27002:2013 (önceden 17799 olarak biliniyordu), birlikte
diğer destek belgelerle onlar BGYS (bilgileri kapsar ISO 27000 ailesini kurdu
güvenlik yönetim sistemleri) tanımlar, gereksinimler, ölçümler, rehberlik
uygulama ve yönetimi; Ve NIST 800 standartları aile, aynı zamanda yaygın olarak kullanılmaktadır
risk değerlendirmesi alanında, bir yönetim standardı sağlamak için sürekli güncellenmektedir.
ve rehberlik güvenli ve hassas bilgileri korumak için.
ISO 27k standartları ailesi, İngiliz standardı BS 7799'dan (daha sonra birkaç
güncellenmiş versiyonları ve ISO 17799). geliştirme süreci görüşlerini yer verdi
26
Sayfa 27
hükümet, araştırma kuruluşları, sanayi dernekleri ve

uluslararası işletmeler. Ve bu güncel ve yeni ile anlaşma genişletilecek devam
Hızlı gelişen teknoloji alanlarında eğilimler. ISO 27k standartları tarafından uyarlanmıştır
Böyle standartların uygulanması ve belgelendirme gibi birçok ülke ve ilgili iş
tüm dünyada çalıştırılır. Bu en yaygın olarak bilinen ve kabul edilen biridir
bilgi güvenliği risk yönetimi ile ilgili küresel standartlar. Bunun nedeni onlar
etkili, tam ölçekli güvenlik risk yönetimi önlemleri sağlar ve daha da önemlisi,
insanların büyüyen ihtiyaçlarına uygun BGYS yapısını kurmak için motivasyon ve hedefler sunmak
bilgi güvenliği yönetimine dikkat. diğer geleneksel yaklaşımlardan farklı olarak ve
teknik anlayışa dayanmaktadır standartları ISO 27k serisi, sistematik verir
BGYS için prosedürel ve dokümantasyon çerçeve. Bu organizasyon gelen risk konuları kapsamaktadır
detaylı operasyonel ve teknik düzeyde yüksek seviyesi. teknik vurgu sadece bir parçası olduğu
yapının genel güvenlik durumunu geliştirir prosedürün. sayılar vardır
ISO'nun 27k standartları altında alt standartların. Aşağıda başvurulan standartları
NS:
ISO 27000:2014 - BGYS genel bakışları ve uzman kelime açıklaması
ISO 27001:2013 - BGYS gereklilikleri, performansı ve spesifikasyonları
ISO 27002:2013 - BGYS kontrol önlemleri
ISO 27003: 2010 - vakalarda yoluyla uygulama rehberlik BGYS
ISO 27004:2009 - BGYS için bilgi güvenliği ölçümü ve ölçümleri
uygulama ve güvenlik değerlendirmesi
ISO 27005: 2011 - Bilgi güvenliği risk yönetimi süreci / metodoloji
ISO 27006: 2011 - BGYS sertifikasını temin etmek birim için BGYS belgelendirme gereksinimi
hizmet
ISO 27K Standartları ailede Şekil 4. İç ilişkiler
geri kalan genel kurallar ise Şekil 4'de, R, gereken anlamına gelir. başka var
ilişkilerinin tanıtıldığı ISO 27K standartlar ailesinde desteklenen standartlar
ISO 27000 belgesine [39] bulunabilir.
27
Sayfa 28
ISO 31000, risk yönetimi ve değerlendirme alanında bir başka popüler standarttır.
tezde daha önce değinilmiştir. Yönetmek için ilkeler, bir çerçeve ve bir süreç sağlar.
risktir ve ISO 27001 ile işbirliği yapılabilir ve entegre edilebilir. ISO 31000 herhangi bir teklif sunmaz.
bilgi güvenliği risk değerlendirmesi ve risk tedavisi hakkında özel tavsiyeler. Öyleyse
bilgi güvenliği sorunlarını çözerken, diğer belirli standartları da incelememiz gerekir.
ISO 27005 gibi. Bununla birlikte, ISO31000, stratejik bir bilgi sağlamak için iyi bir ek olabilir.
genel risk yönetimi konuları için çerçeve [40].
NIST SP 800, bilgi güvenliği teknik ve

yönetim sorunları, örneğin: SP 800-12 Bilgisayar güvenliğine giriş - NIST
El Kitabı; SP 800-26: Bilgi Teknolojisi Sistemleri için Güvenlik Öz Değerlendirme Kılavuzu;
SP 800-30: Bilgi Teknolojisi sistemleri için risk yönetimi Kılavuzu; SP 800-34:
Bilgi Teknolojisi Sistemleri için Acil Durum Planlama Rehberi vb.
risk değerlendirmesi için referans ve kılavuz kitap ve ek ayrıntılar sağlar.
ISO 27001 standardı.
Bu tezde kullanılabilecek ancak özel olarak tasarlanmamış başka standartlar da vardır.

bilgi sistemleri olduğundan burada özellikle bahsedilmeyecektir. detaylı uygulama
ISO 27K standartları Bölüm 6'da tartışılacaktır.
4.2. Araçlar
4.2.1. Yönetim araçları

a. Operasyonel Olarak Kritik Tehdit, Varlık ve Güvenlik Açığı Değerlendirmesi (OCTAVE)
OCTAVE, MIT ve MIT tarafından geliştirilen bilgi güvenliği risklerini yönetmek için bir yaklaşımdır.
dünya çapında yaygın olarak kullanılmaktadır. Diğer teknoloji odaklı yaklaşımlardan farklı olarak OCTAVE,
stratejik değerlendirme/planlama ve organizasyonel riske daha fazla odaklanmış ve
operasyonel risk, güvenlik uygulaması ve teknoloji dengesi. OCTAVE'ın üç aşaması
1) varlığa dayalı tehdit profilleri oluşturmak, 2) altyapı güvenlik açıklarını belirlemek, 3) geliştirmek
güvenlik stratejisi ve planları. OCTAVE kriterleri bir dizi ilke, nitelik ve
çıktılar, böylece gerçek kullanım ortamına uygulamak için çeşitli yöntemler oluşturabilir.
kuruluşlar. OCTAVE Metodu esas olarak büyük kuruluşlar içindir (80'den fazla
kişi) ve OCTAVE-S, azaltılmış kümeye sahip daha küçük kuruluşlar (20 - 80 kişi) için kullanılır.
prosedürler [18].
28
Sayfa 29
B. Danışma, Objektif ve İki Fonksiyonlu Risk Analizi (COBRA) [33]

COBRA, bir dizi risk analizi, danışmanlık ve güvenlik değerlendirme aracı içerir. O bir
uzman sistem tabanlı risk değerlendirme aracı. Veri toplamak, analiz etmek ve
Kuruluşun riskini niteliksel olarak değerlendirin. Üç bölümden oluşur: soru oluşturma,
risk araştırması, rapor oluşturma. Yeni sürüm yeniden geliştirme ve geliştirme aşamasındadır
şimdi, bittiğinde satın almak mümkün olacak.
C. @RISK (Monte-Carlo ile) [19]

@RISK, Monte-Carlo simülasyonuna dayalı risk değerlendirmesi için nicel bir araçtır. İzin veriyor
Kullanıcılar, bina modelleri için her türlü olasılık dağılım fonksiyonunu uygular. Ve için
@RISK, her olayın olası oluşma olasılığını ve sonucunu değerlendirebilir.
ve sonuçları grafik veya tablolar şeklinde sunun, böylece kullanıcı
Risk ortamında daha sezgisel olarak karar verin. @RISK genellikle Microsoft ile çalışır
Excel ortamı.
NS. CORAS [20] [22]

CORAS, aşağıdakilerin etkin risk değerlendirmesinin yürütülmesi için araç destekli bir çerçeve sağlar:
güvenlik kritik sistemler. CORAS, model tabanlı bir yöntemdir ve özelleştirilmiş bir
risk modelleme için dil (genellikle UML). CORAS risk değerlendirme metodolojisi,
HAZOP, FTA, FMECA üzerinde çalışır ve bütünlük, kullanılabilirlik, hesap verebilirlik,
BT sistemlerinin özgünlüğü ve güvenilirliği. CORAS risk analizinin 7 adımı vardır:
giriş, üst düzey analiz, onay, risk tanımlama çalıştayı, risk tahmini
çalıştay, risk değerlendirme ve risk tedavi çalıştayı.
e. Risk Maliyeti Analizi (CORA) [29]
CORA risk modeli, tehditler, işlevler ve varlıklar hakkında toplanan verileri ve
Sonuçları hesaplamak için işlevlerin ve varlıkların güvenlik açıkları, yani
tehditlerin ortaya çıkması için. Risk parametrelerinin ifade edildiği bir metodolojidir.
nicel olarak ve kayıpların nicel parasal olarak ifade edildiği durumlarda. CORA oluşur
iki aşamalı sürecin: İlk olarak, kullanıcının ilgili riskleri toplaması ve doğrulaması için belgeler sağlar.
parametreler; İkinci olarak CORA, SOL (tek oluşumlu kayıplar) ve ALE'yi (yıllık
kayıp beklentisi) tanımlanan tehditlerin her biri için. Bir tehdit için tek bir kayıp değeri tahmin eder
bir kuruluşa gönderir ve ardından bu değeri tehdidin oluşma sıklığıyla çarpar.
29
Sayfa 30
F. Kolaylaştırılmış Risk Analizi Süreci (FRAP) [34]

Bu nitel yöntem, temel olarak sınırlı zaman ve bütçe ile RA sürecine odaklanmaktadır.
Bu nedenle, diğer yöntemlere kıyasla genellikle daha hızlı ve daha basittir. Dört temel adım
yürütülen: Tehditleri belirlemek için beyin fırtınası yapın, her birine olasılık puanının etkisini atayın
tehdit, kontrolleri/korumaları tanımlayın ve atayın ve yönetim özeti. Yalnızca yöntem
en gerekli olan faaliyetlerin riskini filtreler ve değerlendirir. Riski hesaplamadı
olasılık ve ALE (yıllık zarar beklentisi). Risk değerlendirmesinin her bir üyesi
ekibin deneyimlerine dayanarak her bir riskin önemine karar vermesi gerekir. Böylece bu yöntem
nispeten küçük bir süreç kullanarak değerlendirme sürecini kontrol edebilir ve
verimliliği ve maliyeti düşürür.
G. Treadway Komisyonu Sponsor Kuruluşlar Komitesi Kurumsal risk

yönetim (COSO-ERM)
COSO-ERM, kurumsal risk yönetimini "...
Yönetim kurulu, yönetim ve diğer personel, strateji belirlemede ve genel olarak uygulanan
işletmeyi etkileyebilecek olası olayları belirlemek ve yönetmek için tasarlanmış işletme,
risk iştahı dahilinde olmak, başarı ile ilgili makul güvence sağlamak
varlık hedeflerinin [35]." Bir ekseninde gösterildiği gibi, 8 ilgili bileşen içerir.
model şekil 5 ve 4 hedefler. Hedefler, faaliyetlerin amacını belirtir ve
bileşenler ne yapılması gerektiğini gösterir. Üçüncü boyut, farklı birimleri gösterir.
girişim. Riski değerlendirmek için kullanıcı, farklı açılardan veya farklı açılardan yorumlayabilir.
üç boyutun birleşimi. Dezavantajı, yöntemin insana dayanmasıdır.
Bu nedenle sonuç, karar grubunun yeteneği ve bütünlüğü ile sınırlı olabilir.
Sonuç olarak, sonucun doğruluğunun mutlak bir garantisi yoktur.
30
Sayfa 31
Şekil 5. Coso - ERM Çerçevesi [36]
H. Risk İzleme [37]
Risk İzleme, hem nicel hem de nitel verileri birleştiren bir risk değerlendirme aracıdır.
değerlendirme yaklaşımları. ISO 27k ve diğer risk değerlendirme standartlarını destekler ve
küçük veya büyük ölçekli organizasyonları, tesisleri, sistemleri, uygulamaları veya ağları analiz etmek için kullanılır.
ölçek. Araç, farklı alanlara odaklanan ve bu tezin içinden çıkacağı 5 ürün içermektedir.
sadece bilgi sistemi güvenlik kısmına yöneliktir. Risk İzleme, aşağıdaki gibi avantajlara sahiptir:
kullanıcı dostu arayüz, önceden tanımlanmış risk değerlendirme modelleri ve uzman bilgisi kullanır
Kullanıcının riskleri ve güvenlik açıklarını verimli bir şekilde değerlendirebilmesi için veritabanı. Ayrıca, o
kullanılabilirliği ve kurumsallığı geliştirmek için çeşitli platformlara kolay erişim sağlar. o
ayrıca kullanıcının değerlendirme şablonlarını ve süreçlerini kendi amaçlarına göre özelleştirmesine izin verebilir.
pratik ihtiyaçlar. Risk değerlendirme araçlarının bu işlevi sağlaması çok nadirdir. tanım
Risk İzlemede riskin amacı, varlıkların, kayıpların, tehditlerin, güvenlik açıklarının ve
koruma. Risk İzlemenin sonucu, iki hedefe ulaşmak, mevcut koşullar altında riskleri belirlemektir.
durum ve risk azaltma veya azaltma önlemleri bulmak veya önermek ve bunların geçerli olduğunu kanıtlamak.
etkilidirler.
31
Sayfa 32
4.2.2. Teknik araçlar
a. Güvenlik açığı tarayıcıları
Güvenlik açığı tarayıcıları, ağların veya sistemlerin güvenliğini değerlendiren araçlardır ve
güvenlik açıklarını belirleyebilir ve raporlayabilir. Ağları, sunucuları, güvenlik duvarlarını tarayacaklar,
Sistemlerdeki güvenlik ihlallerini ve ciddiyetini bulmak için yönlendiriciler, uygulamalar vb.
orada. Bu, sistemin farklı düzeylerinden yapılır: ağ düzeyi değerlendirmesi, çalıştırma
sistem düzeyinde değerlendirme, veritabanı düzeyinde değerlendirme ve uygulama düzeyinde değerlendirme. o
kullanıcıların potansiyel riskler konusunda güncellenebilmesi için düzenli olarak yapılmalıdır. Tipik
güvenlik açığı tarayıcıları, bağlantı noktası tarayıcıları (Nmap, Nessus), Web uygulaması tarayıcıları, Ana Bilgisayar
tabanlı tarayıcılar (Secpod Tarayıcı), veritabanı tarayıcıları vb.
B. Penetrasyon testi
Penetrasyon testi, bir maddenin zararlı etkilerini doğrulamak için ihtiyati bir ölçümdür.
sistemin güvenlik açığı, böylece yönetici, gerçek saldırılar meydana gelmeden önce bunları düzeltebilir.
Genellikle gerçeğe benzer bir saldırı simülasyonu gerçekleştirilerek gerçekleştirilir.
ancak kontrol edilebilir ve kurtarılabilir. İnsanlar beyaz kutu veya kara kutu yaklaşımını kullanabilir.
Pek çok durumda sızma testi, güvenlik açığı tarayıcılarıyla birlikte çalışabilir.
Güvenlik açığı tarayıcıları daha verimlidir ancak yanlış alarmlara neden olabilir ve
karmaşık güvenlik sorunlarını keşfedin. Öte yandan sızma testi daha fazlasını gerektirir
zaman ve kaynak yatırımı, ancak daha derinlemesine ve mantıklı ihlallerle başa çıkabilir.
4.3. metodolojiler
a. Hazop [21]
Tehlikeler ve İşlerlik, bir sistemin potansiyel risklerini tespit etmek için sistematik bir yöntemdir.
genellikle bir grup uzman tarafından gerçekleştirilir. Uzmanlar sorunların bir değerlendirmesini yapar ve
beyin fırtınası ve tartışma yoluyla riskler, Nedeni, olasılığı, olası
sonuçları ve ciddiyeti. Analiz etmek için anahtar kelimeler ve anahtar parametreler kullanılacaktır.
sistemleri tehdit eden anormal davranışlardır. Böylece, kullanıcı karşı önlemler alabilir.
riskleri kontrol edin. Hazop, kalitatif bir yaklaşımdır ve problemlerin
Onları çözmeye çok fazla vurgu. Hazop'un sonucu bir tehdit listesi olabilir. Her tehdit
nedenleri ve sonuçları hakkında daha fazla değerlendirmeye ihtiyaç duyacaktır. Şekil 6,
Hazop prosedürünün çalışma akışı.
32
Sayfa 33
Şekil 6. Hazop prosedürü işlem akışı
B. Olasılıksal Risk Değerlendirmesi (PRA) [23]

PRA, güvenli, istikrarlı bir sonuca ulaşamamanın sıklığını ve sonuçlarını analiz eden bir modeldir.
son durum. [38] Riskleri değerlendirmek için hem nicel hem de nitel yöntemleri birleştirir.
PRA, bir dizi analiz adımını takip eder:
-Potansiyel tehlikeleri gerçek kazaya dönüştürebilecek olayları tespit etmek,
bunları risk profilleri olarak
-Risk profillerini sistemdeki rolleri ve iç mantığı ile değerlendirir
ilişkiler.
-Sistemin risk ağacını oluşturun ve risklerin sonuçlarını ve sıklıklarını değerlendirin.
-Riskin nihai ölçüsünü elde etmek için mantıksal veya matematiksel yaklaşımları kullanın.
PRA'nın ilk aşamasında, tanımlama genel mühendislik tarafından yapılır.
değerlendirme, önceki deneyimlere ve belgeleme geçmişine [25] veya daha resmi bir
Ön Tehlike analizi ve Arıza modları ve etkileri analizi gibi yaklaşımlar ve
kritiklik analizi. Olay ağaçları ve Hata ağaçları da kullanılan önemli tekniklerdir.
bu aşama ve PRA yönteminin temeli olarak çalışır.
33
Sayfa 34
C. Ön Tehlike analizi (PHA) [26]

PHA, bir projenin başlangıç aşamalarında, veri ve bilgi sağlandığında uygulanır.
yetersiz. Tehlikeleri dönüştüren olay dizilerini dikkate alan bir kontrol listesi çalışması
Olayları veya tehlikeleri tanımlamak için bir kazaya karışır. Olayların etkileri veya
tehlikeler, önem derecesine göre sıralanacak ve duruma göre iyileştirme yapılacaktır.
sıralama listesi.
NS. Arıza Modları ve Etkileri ve Kritiklik Analizi (FMECA) [23]

FMECA iki bölümden oluşur: FMEA (Arıza modları ve etkileri analizi) ve CA
(Kritiklik Analizi). FMECA, başarısızlıkları hedefleyen analitik ve seçmeli bir tekniktir.
sistem ve ekipman. İlk kısım olan FMEA, arıza modlarını keşfetme yöntemidir.
bir sistemin bireysel bileşenlerinden oluşur. FMEA işlemini gerçekleştirmek için yapmanız gerekenler:
önce sistemi, ürünü ve süreci anlayın. Daha sonra tanımlamak için bir çalışma sayfası oluşturulacaktır.
Her bir bileşenin beş yönüne dayalı arıza modları: 1) bileşenin nasıl başarısız olduğu, 2)
başarısızlığın nedeni nedir, 3) başarısızlığın sonucu nedir, 4) ne kadar ciddi
ve 5) arızanın nasıl tespit edildiği. Riskleri azaltmak için bir karşı önlem hazırlanacak
çalışma sayfası analizine göre. Bu yöntem nedeniyle zaman alıcı ve maliyetli olabilir
büyük miktarda veri ve bilgi süreci. Ancak güvenilirliği artırabilir ve
kalite, arıza modlarının daha erken tanımlanmasını ve ortadan kaldırılmasını mümkün kılar ve
değişim maliyetlerini en aza indirir. Bir kez yapıldıktan sonra gelecek için değerli bir risk referansı olarak kullanılabilir.
operasyon. CA, iki ek adımla FMEA'nın genişletilmiş bir parçasıdır. İlk adım
başarısızlığın etkisinin ciddiyetini belirler ve sıralar, başarısızlığın olasılığını tahmin eder.
Arızanın oluşumu ve sistemin akımı ile bir arızanın ne sıklıkla tespit edilebileceği
güvenlik mekanizması. İkinci olarak, bir Risk Öncelik Numarası (RPN), aşağıdakilere dayalı olarak hesaplanacaktır.
önceki analiz. RPN=(Önemlilik)*(Olasılık)*(Algılama) elde ederiz. Değer ne kadar yüksekse
RPN, başarısızlık modlarını ayarlamak için motivasyon daha yüksek olmalıdır.
e. Hata ağaçları analizi (FTA)

Hata ağacı analizi, 1960'lardan kalma bir grafik analiz tekniğidir.
karmaşık sistemlerin güvenilirliğinin ve güvenliğinin analizi. Yukarıdan aşağıya bir yaklaşımdır.
Sistemin donanım, yazılım gibi olası arıza parçalarının analizi sayesinde,
çevre veya insan sorunları, farklı içeren bir analiz ağacı grafiği çizebiliriz.
başarısızlık olaylarının ve olasılıklarının kombinasyonları. FTA gerçekleştirme süreçleri
NS:
34
Sayfa 35
1) Bir üst olay seçin ve ilgili temel olayları, ara olayları ve

harici olay, sistemin sınırını tanımlayın ve bir hata ağacı oluşturun,
2) Hata ağacını basitleştirin, Minimum Kesim Setlerini (MCS) tanımlayın. Minimal Kesim Setleri (MCS)
grafikteki temel olayların en küçük kümelerini (artık indirgenemez) ifade eder
bu olaylara yol açar.
3) Hata ağacının niteliksel analizi,
4) (Veya) Hata ağacının nicel analizi (gerekirse),
5) Raporlar ve karşı önlemler hazırlayın.
F. Olay ağacı analizi (ETA)

ETA, neden olduğu kaza sıralarını tanımlamak için kullanılan başka bir grafik analiz tekniğidir.
belirli bir başlatıcı olay tarafından. yardımcı olmak için olası sonucu ölçebilir ve niteleyebilir.
sistemi değerlendirin ve kullanıcıların karar vermesine yardımcı olun. ETA'nın analiz mantığı,
Analiz, verilen olayın sonucundan başladığı için, FTA'nınki. her düğümünde
olay ağacı, sonuç başarılı veya başarısız olabilir. Uzman deneyimine ve geniş bir
istatistik çalışmalarının sayısı, olası her sonucun olasılığını elde ederiz. İle birlikte
ETA ağaç grafiğinde gösterilen olay ilişkileri, olası her yolun olasılığı
hesaplanabilen gelişen bir olayı temsil eder. Böylece olayın sayısallaştırılmış riski,
Elde edilen.
G. Neden-Sonuç Analizi (CCA)

CCA, FTA ve ETA'yı birleştiren bir yöntemdir. Böylece hem nedenlerin analizini hem de
sonuçlar ve tümevarım ve tümdengelim birliği. Olay zincirini tanımlayabilir:
beklenmedik sonuçlara yol açabilir. Farklı olayların olasılığını analiz etmekten
CCA grafiği, her olası sonucun olasılığına ulaşılabilir. Ve
Genel risk seviyesi, farklı sonuçlar ve bunların etkileri dikkate alınarak belirlenebilir.
olasılıklar.
H. Delfi
Delphi, uzmanların deneyimlerinden yararlanmak için icat edilmiş tipik bir nitel yöntemdir.
dış müdahaleyi ve yanıltıcı bilgileri olabildiğince azaltmaya çalışırken
mümkün. Bu nedenle, geniş bir alana sahip karmaşık bir ortamımız olduğunda kullanılmalıdır.
çok fazla yeterli bilgi içermeyen, ancak büyük bir belirsizlik içeren bilgi miktarı. o
anonimlik, bağımsızlık ve geri bildirim ile karakterizedir. Bir grup karar yöntemidir.
Bu, herkesin düşüncelerini olabildiğince özgürce ifade edebilmesini sağlar. süreci
yöntem aşağıdaki gibi gösterecektir:
35
Sayfa 36
değerlendirme
Amaç
Yapmak Yönetmek,
1. tur
NS analiz,
Anket
plan Geri bildirim
seçin
panel
Yönetmek, Yönetmek,
3. tur 2. devre
Sonuç analiz, analiz,
Anket Anket
Geri bildirim Geri bildirim
Şekil 7. Delphi Yöntemleri Süreci [28]
ben. Analitik Hiyerarşi Süreci (AHP)

AHP, risk değerlendirmesi için bir Çok Kriterli Karar Verme (MCDM) yöntemidir.
hem niteliksel hem de niceliksel yaklaşımları birleştirir. Karar sürecini bölümlere ayırır.
İnsanların deneyimlerini ve nesnel düşüncesini organize ederek ve analiz ederek katmanları, bu nedenle
doğrudan ölçülmesi zor olan problemlerdir. Temel fikir, ana fikri bulmaktır.
problem analizinden elde edilen faktörler, bu faktörleri kendi özelliklerine göre hiyerarşi seviyelerinde yapılandırın.
ilişkiler. Daha sonra bunların göreceli önemini belirlemek için ikili karşılaştırma yoluyla
unsurlar ve bunların önceliklerine ilişkin sentetik yargılarda bulunurlar. AHP süreci
3 adım içerir:
• Problemi bir hiyerarşi olarak modelleyin: Bu, üç katmandan oluşan bir yapı olacaktır, Hedef
katmanı, hedefi bölmek ve daha fazla ayrıntı vermek için Ölçüt katmanı ve Alternatifler
hedefi etkileyen belirli alternatifleri göstermek için katman.
• Aşağıdakileri karşılaştıran bir karşılaştırma matrisi oluşturarak hiyerarşi ağacını değerlendirin.
farklı alternatiflerin göreceli önemi.
• Sıralama ve Tutarlılık Kontrolü: Önce alternatifleri sıralayın
göreli önemi belirlemek için her katmanda yatay karşılaştırma, ardından dikey
Her öğe için tüm süreçteki nispi ağırlığı elde etmek için karşılaştırma.
Olası sapmayı belirlemek için tutarlılık kontrolü uygulanacaktır.
karşılaştırma matrisinden kaynaklanmaktadır.
36
Sayfa 37
5. Metodolojilerin Analizi
Bu bölüm, 4. bölümden toplanan sonucu analiz eder ve farklı RA'ları karşılaştırır.
metodolojiler. Son olarak, kullanıcıların uygun RA'yı seçmelerine yardımcı olacak bir karar çerçevesi sunar.
ihtiyaçlarına göre yöntem.
5.1. yöntemlerin karşılaştırılması

Bölüm 4'teki giriş sayesinde, mevcut risk değerlendirme yöntemleri hakkında bir vizyona sahibiz.
bilgi değerlendirme sürecinde Açıklığa kavuşturmak için yöntemleri kategorize etmemiz gerekecek.
durumu ve farklı yöntemlerle ilgili artıları ve eksileri gösterin.
Daha önce belirtildiği gibi, yöntemler üç türe ayrılabilir: nitel, yarı-

kalitatif ve kantitatif yöntem. Her türün artıları ve eksileri şu şekilde analiz edilmiştir:
Bölüm 1, Tablo 1'de özetlendiği gibi.
Tablo 1. Farklı risk değerlendirme yaklaşımı türlerinin karşılaştırılması
37
Sayfa 38
İncelenen yöntemlerin her biri için aşağıdaki tabloda bir özet yapılmıştır. gösterir
yöntemlerin özellikleri, avantajları ve dezavantajları:
Tablo 2. Kalitatif yöntemler
Yöntem özellikleri Avantajlar Dezavantajları

hazop Sorunları tanımlar, Güvenliği kapsar, Tek odaklı
ve çözmeyi bırak operasyonel yönler, olaylar hepsi değil
sonraki adımın parçası insan hataları, olasılıklar, zaman
öğrenmesi kolay süreç tüketen ve
ve gerçekleştirmek pahalı [30]
Delfi Uzmanlara dayalı Anonimlik sağlar. Süreç karmaşık.
değerlendirme sistemleri Bağımsızlık. Ve zaman
Objektiften kaçınır tüketen
yargı
OKTAV öz-yönelim, Sadece dahili personel Sadece bir sıralama
Değerlendirmeye dayalı içinde gerekli hayır olduğunu belirten riskler
tek varlıklar, değerlendirme, düşük maliyet,
arasındaki ilişki
kullanımı basit, [29] değil, farklı riskler
olmadan çok doğru
matematiksel onay
CORAS UML'ye dayanarak, OKTAVE'e benzer OKTAVE'e benzer
farklı alanlar
uzmanlar beyin fırtınası
tahmini varış süresi Başlangıçtan başla öğrenmek mümkün analiz edemiyorum
olayları öğrenmek için farklı paralel nedenleri
farklı nedenleri sonuçları sonuçlar, değil
etkinlik rotaları başarısızlıklar ve bunların detaylı için uygun
olasılıklar analiz
CCA Ortadan başla, Çok esnek, mümkün grafik olabilir
ETA kullanarak ileri, çoğunu kapla karmaşık, benzer
FTA kullanarak geriye doğru
olasılıklar, kolay FTA'ya
dokümantasyon ve
göstermek için açık
sebep-sonuç
ilişkiler
38
Sayfa 39
Tablo 3. Nicel yöntemler

CORA Tek Oluşum Küçük hazırlık ve Dış uzmanlar,
Kayıplar (SOL) veya az bilgi ihtiyaç duyulmak
Yıllık Zarar gerekli
Beklenti (ALE)
temelli
STA orijinalinden Hepsini öğrenebilecek Zor
olay (yukarıdan aşağıya) olası nedenleri Büyük bir anlamak
öğrenmek için olaylar ve dahil olmak üzere hatalı ağaç
bileşimi farklı sıralama karmaşık mantık
farklı riskler ilişkiler ve ihtiyaç
işlevsiz ve dip olayları bilin'
riskler olasılık
Tablo 4. Yarı Kantitatif (kombine) yöntemler

PRA PRA içgörü sağlar Riskleri tanımlayabilir Bütünlük gerektirir
güçlü yönlere ve olaylar ve nedenleri, ve doğru
tasarımın zayıf yönleri ve sonuçları toplanan veri
ve BT'nin işletilmesi ve olasılıkları
bilgi sistemi. risk olayları
AHP Hiyerarşiyi Oluşturur Açık yapı, iyi Karmaşık
sistem ve nicel karar vermek için, matematiksel
doğru sunmak için analiz değerlendirebilecek hesaplama, zaman
kararlar için destek önemi tüketen
farklı bileşenler
bütünün altında
sistem
FMECA Arıza modunu dikkate alır Güvenilirliği artırır Zaman alıcı ve
için her bileşenin ve kalite, yapmak pahalı, yargılaması zor
akrabalarını tanımla erken alarm, sonuçlar kapsamlı bir görünüm
önem içinde yeniden kullanılabilirfarklı birleştirmek

gelecek değerlendirmesi bakış açıları
39
Sayfa 40
5.2. Karar Çerçevesi tasarımında Ortak Kriterler

Farklı metodolojilerin ve önceki çalışmaların [29] [31] [32] analizine dayanarak, bu
tez, riskte en uygun yöntemi seçmek için bir strateji çerçevesi önerecektir.
Karar verme için değerlendirme. Amaç, son kullanıcıyı daha uygun hale getirmektir.
pratik gereksinimlerine ve özelliklerine göre doğru RA yöntemini seçin. Hepsi değil
tanıtılan yöntemler bu seçim çerçevesine dahil edilmiştir. Sadece
pratik kullanım nedeniyle kapsamlı, iyi belgelenmiş yöntemler göz önünde bulundurulur
ortamında ve temel ve daha gelişmiş yöntemlerle örtüşmektedir.
Bu tez, farklı yöntemlerde yaygın olarak paylaşılan birkaç kriteri seçmiştir. Bunlar
kullanıcının amacına ve amacına göre tercih gösteren karşılaştırılabilir unsurlar,
kullanıcının nihai seçimi belirlemesine yardımcı olabilir. Kriterler ikiye ayrılır
bölümler, maliyet/etki kriterleri ve çevre kriterleri.
5.2.1. Maliyet/etki kriterleri

Maliyet/etki kriterleri, kullanıcının bütçe ve etki arasında iyi bir denge kurmasına yardımcı olur. İçinde
karar verme süreci, maliyeti ve etkisi karar vericiler için her zaman bir ikilemdir. İçinde
kullanıcının, risk sonucunda en iyi doğruluğa sahip olması için çözümü tercih edeceği ideal durum
en düşük maliyet, ancak gerçekte bu genellikle en zorlu kısımdır. Bazı kullanıcılar değer verebilir
riskleri göze alamazlarsa paradan daha fazla doğruluk ve diğerleri tasarruf etmeyi tercih eder
bazı riskler tolere edilebilirse biraz para. Kriterler, kullanıcıların doğru olanı seçmesine yardımcı olmaktır.
risk sırasında maliyet ve etkinin denge noktasını bulmak için kendi durumlarında yöntem
Maksimum ekonomik faydaya ulaşmak için değerlendirme süreci. Risk değerlendirmesi sırasında
süreç, maliyet birçok faktörden etkilenir. Bu bölümde dört ana alt kriter ele alınmaktadır.
Bunlar Niceliksel veya Niteliksel, Zaman, İnsan faktörleri, Kullanılabilirliktir.
1. Nicel veya Nitel

Nicel yöntemin mi yoksa nitel yöntemin mi daha iyi olduğuna karar vermek zor, farklı yöntemlere ihtiyacımız var.
farklı durumlarda yaklaşımlar. Aynı bütçe ve zaman değerlendirmesi altında, kullanıcı
değerlendirilen sonucun mümkün olduğunca doğru ve inandırıcı olmasını ister. veriye sahip olabilirsek
daha fazla zamana mal olsa ve bazı durumlarda verilerin kendisinin zor olduğunu kanıtlayın.
toplanması veya standardize edilmesi zor olsa da, nicel sonuçların yine de
niteliksel sonuçtan daha güvenilir ve güvenilir. Kantitatif olması durumunda
sonuç öncelik değildir, etkisini en aza indirmek için bu faktörün ağırlığını azaltabiliriz.
karar sürecinde.
40
Sayfa 41
Aynı bütçe kapsamında kriterlerin puanı aşağıdaki gibidir: nicel bir

sonuç, nitel bir sonuca tercih edilir ve daha yüksek bir değere atanır.
• Metot nicel veya yarı nicel yaklaşıma dayanıyorsa 2 değerini alır,
Nicel ve nitel yaklaşımları birleştiren yöntemler dikkate alınacaktır.
2 puan çünkü nihai sonuç nicel verilerle destekleniyor.
• Metot nitel yaklaşıma dayalı ise 1 değerini alır.
nicel sonuçtan daha az tercih edilir, bu nedenle nitel yöntemin değeri daha düşüktür
nicel yönteme göre daha fazladır.
2 kez
Karar verme sürecinde zaman çok değerli bir faktördür. Zaman alıcı bir yöntem şu anlama gelebilir:
risk değerlendirme sonucunda daha karmaşık ve daha doğru, ancak önemli ölçüde daha pahalıya mal olacak
proje daha uzun sürer. Maliyet, finansal açıdan veya fırsat olarak olabilir.
terimler. Farklı metodolojiler, süreçleri nedeniyle farklı değerlendirme sürelerine ihtiyaç duyar.
değişir. Bunun nedeni, bazı metodolojilerin diğerlerinden daha karmaşık olmasıdır. onlar
sistem tasarımının/geliştirilmesinin farklı aşamalarını kapsar veya gerekli olan farklı değerlere ihtiyaç duyar.
almak için daha fazla zaman.
Zaman kriterinin puanı şu şekildedir, yani aynı ortamda: daha az zaman

tüketen yöntem, daha fazla zaman alan bir yönteme tercih edilir ve daha yüksek bir değerle atanır.
değer.
• Yöntem daha az zaman alıyorsa, daha az hazırlık yapılıyorsa veya çok fazla veriye gerek yok ise
hazırlanmış, değeri 3
• Yöntem çok zaman alıcı değilse, bazı verilere çok fazla ihtiyaç duyulmuyorsa
hazırlamak ve toplamak için işleme, 2 değerinde
• Yöntem çok zaman alıyorsa, oldukça karmaşık bir süreç ve çok sayıda
veri/hazırlık dahil, değeri 1
3. İnsan faktörleri
Risk değerlendirme sürecinde insan önemli bir etki faktörüdür. NS
RA ekip üyelerinin kalifikasyonu ve deneyimi, farklı kalitelere yol açacaktır.
sonuç. Daha iyi sonuç için değerlendirmenin profesyoneller tarafından yapılmasını isteriz. Ancak değil
her şirketin böyle bir departmanı vardır veya iş için yeterli yeteneğe sahiptir. Dışarıdan işe alma
sadece hizmet bedeli değil, satış sonrası destek maliyeti de bütçeye eklenecek uzmanlık,
ve bilgi aktarımı ve bakımı için maliyet. Bazı metodolojiler daha az ihtiyaç duyar
dahil edilecek profesyoneller veya yalnızca OCTAVE gibi dahili kişiler. Digerine ragmen
metodolojiler için harici risk uzmanları veya sertifikalı profesyoneller için gereksinim vardır.
örnek CORA. Ne kadar az dış insana ihtiyaç duyulursa, yöntemin daha iyi olduğunu düşünüyoruz.
41
Sayfa 42
Maliyetten tasarruf edin ve risk bilgilerinin dışarıya sızma riskinden kaçının. Ama bu hala bir
takas, kullanıcı daha profesyonel ve güvenilir, belki standart (sertifikalı) tercih ederse
Sonuç olarak, bu kriterin ağırlığını azaltmak ve nitelikli kişiler kullanmak iyi olabilir.
süreç için profesyonel bir RA danışmanı.
Kriterlerin puanı aşağıdaki gibidir, yani aynı ortam altında anlamına gelir: daha az dışsal
dahil edilmesi gereken daha karmaşık bir yönteme tercih edilir.
harici profesyoneller ve daha yüksek bir değerle atanırlar.
• Yöntemin riske dahil olan personel üzerinde esnek gereksinimi varsa
değerlendirme süreci veya mesleki bilgisi olmadan öğrenmesi ve uygulaması kolay,
3 değerinde
• Yöntem, RA sürecine yardımcı olmak için yalnızca birkaç uzman gerektiriyorsa, 2 değerini verir.
• Yöntem deneyimli risk uzmanları veya sertifikalı gerektiriyorsa veya tavsiye ediyorsa
risk değerlendirmesini yapmak için profesyoneller, 1'e değer veriyor
4. Kullanılabilirlik
Kullanılabilirlik, risk değerlendirme yönteminin uygulanmasını doğrudan etkiler ve
Projenin gelecekteki gelişimi veya değişikliği. Kötü kullanılabilirlik, bir yöntemin
bilimsel olarak ne kadar titiz olursa olsun, uygulanması zor ve çok maliyetlidir.
yöntemidir. Bu nedenle, aynı ağırlıkta olan yöntemler içinde daha basit bir yöntemi tercih ediyoruz.
kullanılabilirlik kriteri. Hesaplamanın nasıl yapıldığı gibi kullanılabilirliği değerlendirmenin birkaç yönü vardır.
matematiksel formülün karmaşık olup olmadığı yöntem için yapılır. yöntem ise
çok fazla ek eğitim gerektirecek kadar karmaşık veya değerlendirme yapıldıktan sonra sürdürülmesi zor
yapılır, o zaman zayıf kullanılabilirliğe sahiptir. Ayrıca, bazı yöntemler henüz geliştirilmiştir, bazıları ise
artık kullanılmamaktadır, bu nedenle bu durumda kullanılabilirlik belirsizdir. İyi kullanılabilirliğe sahip yöntemler için,
şirket projede çok fazla kaynak tasarrufu sağlayabilir. Ancak kullanıcı planlamıyorsa
süreç ve sonuç kısmından ödün verilmesi veya kullanılabilirlikten daha fazla diğer faktörlere değer verilmesi,
bu kriterin ağırlığını azaltabilirler.
Kriterlerin puanı şu şekildedir, yani aynı ortamda: iyi bir yöntem

Kullanılabilirlik, kullanımı zor yönteme göre tercih edilir ve daha yüksek değer verilir.
• Yöntem, değerlendirme sürecinde basitse, kesin kanıta ihtiyaç duymadan
adımlar ve bakımı kolay ve değerlendirmeyi yürütmek için ekstra eğitime gerek yok,
o zaman bunu yüksek kullanılabilirlik olarak görüyoruz, bu nedenle 3'e değer veriyor
• Yöntemin, değerlendirme süreci üzerinde belirli bir kanıta ihtiyacı varsa,
basit matematiksel hesaplama ve gerekli bazı ekstra profesyonel bilgiler,
orta kullanılabilirlik olarak düşünün, bu nedenle 2'ye değer verir
42
Sayfa 43
• Yöntemin karmaşık matematiksel formüllere veya karmaşık kanıtlanmış bir sürece ihtiyacı varsa,
bunu düşük kullanılabilirlik olarak görüyoruz, bu nedenle 1 değerine sahip
5.2.2. Çevresel kriterler

Dikkate alınması gereken bazı çevresel faktörler de vardır. Bu kriterler yok
maliyet verimliliğine doğrudan bağlantı, ancak daha çok risk değerlendirmesinin gerekliliğine bağlıdır
ve hedefler. Çevresel kriterleri tanıtarak, kullanıcı ideal olanı seçebilir.
yöntemi sadece ekonomik konulara dayanmakla kalmayıp, pratik ortamı da
düşünce. Sonuçta, şirketler ve kuruluşlar, yalnızca
Risk değerlendirmesinde ekonomik yönleri göz önünde bulundurun.
Çerçeve için seçilen ortam kriterleri şunlardır:
1. Kapsam
Risk değerlendirme faaliyetlerinin kapsamı, risk değerlendirme faaliyetlerinin amacına ve kabiliyetine bağlıdır.
organizasyon. Bir risk değerlendirme yöntemi yalnızca bilgi güvenliği risklerine odaklanabilir,
veya daha geniş bir alanı kapsar. Uygun olan risk değerlendirme yönteminin seçilmesi
kapsam daha doğru sonuçlara yol açabilir, fazlalık sağlayabilir ve israfı önleyebilir. Kriter
iki farklı türe ayrılabilir: dar kapsam veya geniş kapsam.
2. Esneklik
Risk değerlendirme faaliyetlerinin esnekliğini iki türde tanımlayabiliriz: süreç esnekliği
ve zaman esnekliği. Süreç esnekliği için, bazı yöntemler, bir riskin değerlendirilmesi için tasarlanmıştır.
Risk değerlendirme projesinde tek süreç, diğerleri ise daha fazla analiz etme yeteneğine sahiptir.
organizasyonel bir perspektifte karmaşık sistem riskleri. Yöntemin mümkün olup olmadığını düşünüyoruz.
Karmaşık bir ortamda değerlendirmek ve farklı ihtiyaçlarla ilgilenmek, esnek bir yöntemdir. İçin
Yöntemin risk değerlendirmesini yalnızca bir kez gerçekleştirip ardından başlayabiliyorsa zaman esnekliği
veya yöntem sürekli çalışabilir ve sonucu yinelemeli olarak yeniden kullanabilir. İçin
zaman esnekliği bir örnek, veritabanı analizini destekleyen yöntemleri tercih edebilmemizdir.
sürekli RA işlemlerinde verilerin kullanılabilmesi için basit elektronik tablo yerine
etkili bir şekilde. Bu nedenle kriterlerde yöntemleri esnek ve esnek olmayan olarak kategorize ediyoruz.
yöntemler.
3. Standartlara Uygunluk: Bazı kullanıcılar, belirli risklerden destek talep edebilir.

değerlendirme standartları belge(ler)i. Bunun nedeni, risk değerlendirme projesinin amacı ve
arasındaki mevcut farka ilişkin gereksinim, kullanım ortamı veya yasal sorunlar
farklı ulusun hukuk sistemleri ve çıkarları. Bölümde tanıtılan standartların yanı sıra
4.1, AS/NZS ISO 31000 gibi farklı ülkelerde kullanılan başka standartlar da vardır.
43
Sayfa 44
(Avustralya ve Yeni Zelanda'dan AS/NZS 4360'tan geliştirilmiştir), BT Temel Koruması

kataloglar (Alman Federal Bilgi Teknolojisi Güvenliği Dairesi), AN/CSAQ 850-97
(Kanada Standartları Birliği Standardı) ve daha birçok farklı belge
standart kuruluşları. Bu çerçeve yalnızca en yaygın olarak kullanılan bazılarını dikkate alacaktır.
standartlar.
4. Satın alma fiyatı: Bazı metodolojiler belirli bir miktar kullanım ücreti gerektirebilir,
her yöntemin geliştiricisine veya dağıtıcısına bağlı olarak. Burada listelenen yön şunlara bağlıdır:
risk değerlendirme projesinin bütçesi ve kullanıcının ne düzeyde destek almak istediği. Eğer
projenin sınırlı bir bütçesi varsa, kullanıcı maliyetli yöntemi atlayabilir çünkü
piyasadaki birçok ücretsiz yöntem ve bunların da yetenekli oldukları kanıtlanmıştır. Fiyat
kriter, metodolojileri, kullanıcının yapması gereken ücretsiz yöntemler ve maliyet yöntemleri olarak sınıflandıracaktır.
ödemek.
5.3. Risk değerlendirme yöntemlerini seçmek için karar çerçevesi

Karar çerçevesi için kriterler artık kararlaştırıldığı için, metodolojiler
Bölüm 4.2'de tanıtılan ve bölüm 4.3'e göre kategorize edilecektir. bir çerçeve
kullanıcının gereksinimlerine göre uygun yöntemi seçmesine yardımcı olmak için geliştirilmelidir ve
durum.
Karar çerçevesi için dikkate almamız gereken iki ana bölüm var: maliyet/etki
yönü ve çevre yönü. Kullanıcı önce ne kadar ağırlığa istekli olduğuna karar vermelidir.
her bir parçasını tartın. Bazen bir risk değerlendirmesi projesi böylece sıkı bir bütçe altında
ekonomik yönü daha kritik olacaktır; diğer durumda çevre olabilir
Bu, projeye yüksek gereksinimler getirir. Kullanıcının karar vermesine yardımcı olmak için çerçeve,
karar süreci, maliyet/etki yönü ve çevresel boyut olmak üzere iki kısma ayrılır ve
sırasıyla Wc ve We olmak üzere her parçaya bir toplam ağırlık atar.
5.3.1. çevresel kriterler

Tez, bölüm 5.2'de verilen kriterlere dayalı olarak her yöntemi analiz etmiştir ve
Her bir kriter için ayrı ayrı bir değer atanır. Ayrıntılı formlar ayrıca
Ek A. Bu, kullanıcının seçimlerini nicelleştirmesine yardımcı olacak ve kararın
görünürlük. Karar verme için, karar çerçevesi değerlendirmenin başlamasını önerir.
çevresel açıdan. Bunun nedeni, pratik kullanımda çevre durumunun
maliyet/etki yönü oldukça esnek olabilir ve
seçim sürecinde ayarlanır. Analizin her bir bölümü için,
metodolojileri, daha karmaşık bir işleve sahip oldukları ve daha karmaşık oldukları için yönetim araçlarına
44
Sayfa 45
daha sistematik olarak geliştirilmiş ve genellikle hizmet veren temel risk değerlendirme metodolojileri
yönetim metodolojilerinin girdisi veya kaynağı. HAZOP gibi bazı metodolojiler
bilgi sistemleri risk değerlendirmesinde çok yaygın olarak kullanılmazlar, bu nedenle ihmal edilecektir.
analizin bu bölümünde.
Çevre kriterleri için aşağıdaki Tablo 5, ilişkileri ve karşılaştırmayı sunar

farklı RA yönetim araçları arasındaki ilişkiler ve Tablo 6'da ilişkiler ve
farklı RA yöntemleri arasında karşılaştırma. Açıklama Ek A'da bulunabilir.
45
Sayfa 46
Tablo 5. Çevresel kriterlere dayalı RA araçları için karar tablosu
Dürbün Esneklik Standartları Satın almak toplam

uyma fiyat
OKTAVE Dar Esnek Yok Özgür
CORAS Dar Esnek ISO31K, Özgür

ISO 27K,
AS/NZA
4360
CORA Geniş Değil Yok Maliyet 7000 $

esnek 85000 dolara
COBRA Geniş Esnek ISO 17799 Maliyet

→ ISO 27K $895/$1995
RİSK Geniş Esnek ISO 27K, Maliyet

İzlemek ISO32K, 15000$
ve diğeri
standartlar
SIKI BAĞLAMAK
Dar Değil ISO Özgür
esnek 17799/ISO
27K
COSO Geniş Değil 2010.A1, Maliyet

ERM esnek 2020.A1,
2210.A1
@Risk Geniş Esnek Yok Özgür

(gereklilikler
maliyet
destek
yazılım)
Ağırlık
46
Sayfa 47
Tablo 6. Çevresel kriterlere dayalı RA yöntemleri için karar tablosu
Kapsam Esneklik Standartları Satın almak toplam

uyma fiyat
STA Geniş Esnek BS7799/ISO27K Ücretsiz
tahmini varışGeniş
süresiEsnek IEC 61025 Özgür
Delphi Geniş Değil Yok Özgür

esnek
AHP Geniş Esnek BS7799/ISO27K Ücretsiz
FMECA Geniş Değil Yok Özgür

esnek
Ağırlık
Bu iki tablonun amacı, kullanıcının uygun yöntem hakkında karar vermesine yardımcı olmaktır.
özel RA çevresel durumları. Sonucu ölçmek için kullanıcının önce bir
Yukarıda listelenen çevresel kriterlere dayalı açık gereksinim listesi. risk değerlendirmesi
sadece BT güvenliği yönü ile mi yapıldı, yoksa diğer alanların da dikkate alınması gerekiyor mu? biz mi
basit bir hedefi veya karmaşık bir sistemi değerlendirmek için bir yönteme ihtiyaç duyuyor mu yoksa kuruluş mu?
her iki şartı da var mı? Uymamız gereken herhangi bir standart veya yerel düzenleme var mı? Nasıl
ne kadar ödeyebiliriz? Kullanıcının dikkate alması gereken daha çok şey var.
yukarıda tartışılan kriterler özellikleri. Kullanıcı ne tür bir çevresel
ihtiyaç duyduğu kriterleri, ardından listeyi yukarıdaki tabloyla karşılaştıracaktır. İlk karşılaştırın
yönetim araçları tablosu, ardından temel metodolojiler tablosu. Bunun nedeni ise
Yönetim araçları, kullandığımız yöntemin ilk seviyesini temsil ettikleri için önceliklendirilir.
risk değerlendirmesine başvuracak. Girdi veya girdi işlevi gören temel metodolojiler
destek, projede kullanacağımız yöntemin ikinci seviyesidir.
Metodolojileri değerlendirmek için öncelikle her satıra bir ağırlık atamamız gerekir (W kapsamı , W esnekliği, ,
W standartlar , W fiyat ). Bu, analizden çıkarılan çevresel kriterdir.
Farklı risk değerlendirme projelerinin gereksinimlerine bağlı olarak, kullanıcının
bu ortam kriterlerine öncelik verin ve her bir kritere bir yüzde ağırlığı atayın. Sonrasında
her ortam kriterinin göreceli önemi belirlenir, kullanıcı doğru olanı seçebilecektir
yöntemi, çevre kriterleri listesine göre. Her bir ortam kriteri için, eğer
yöntem, kullanıcının gereksinimini karşılarsa, ölçütlere iki puan atanacaktır.
yöntemi, aksi takdirde o kısım sıfır noktası ile bırakılacaktır. Dört çevre için puan
47
Sayfa 48
kriterler sırasıyla S kapsamı , S esnekliği , S standartları , S fiyatı olacaktır. Örneğin, eğer bir risk değerlendirmesi
projenin yalnızca bir BT projesinde yapılması gerekir, yalnızca yöntem için dar bir kapsam gerektirir,
OCTAVE, CORAS ve FRAP uygun olur ve 2 puan verilir.
“kapsam” kriterleri. Kullanıcının, listesini her yöntemin her kriteriyle karşılaştırması gerekir ve
Her yöntemin toplamını hesaplayabilmesini sağlayan bir tablo elde edin.
Her yöntem için elimizdeki
Toplam E = W kapsamı * S kapsamı + W esnekliği * S esnekliği + W standartları * S standartları + W fiyatı * S fiyatı
Burada W, her bir kriterin ağırlığı ve S, her bir kriterin puanıdır.

son paragraf. Pratik bir ortamda kullanıcı tarafından diğerinden daha bazı kriterleri tercih edebilirsiniz
ağırlığına ekleyerek. Bu şekilde, ilgili her bir yöntem için toplam puanı alabiliriz.
Onların çevre kriterleri, böylece kullanıcı belirli en iyisi hangi yöntemin hakim olabilir
pratik ortam.
5.3.2. Maliyet/etki kriterleri

Çevresel kriterleri özetledikten sonra, kullanıcının ürünün kullanılabilirliğini değerlendirmesi gerekir.
her metodolojinin maliyet/etki kriterleri. Ek A'da ayrıntılı sıralama verilmiştir.
metodolojiler ve sıralama için bir gerekçe. Analiz aynı olacak
önceki bölüm, yönetim metodolojileri ve temel metodolojilere ayrılmıştır.
48
Sayfa 49
Tablo 7. Maliyet/etki kriterlerine dayalı RA araçları için karar tablosu
Nicel/Nitel Zaman İnsan Kullanılabilirlik Toplamı

Faktörler
OKTAV 1 1 3 3
1 2 3 3
CORA 1 3 1 3
KOBRA 2 3 3 1
RİSK 2 3 3 3
İzlemek
SIKI BAĞLAMAK
1 3 2 3
COSO 2 1 2 3
ERM
@Risk 2 2 3 3
Ağırlık
Tablo 8. Maliyet/etki kriterlerine dayalı RA yöntemleri için karar tablosu
Nicel/Nitel Zaman İnsan Kullanılabilirlik Toplamı

faktörler
STA 2 2 2 1
tahmini varış2süresi 2 3 2
Delfi 1 1 2 3
AHP 2 2 1 2
FMECA 2 2 2 2
Ağırlık
Maliyet/etki kriteri için kullanıcı, kendi imkanlarıyla en iyi ekonomik sonucu elde etmek ister.
yatırım. Bu şekilde tez, maliyet/etki kriterlerini 3'e ayırmanın bir yolunu önermiştir.
seviyeler. İdeal bir durumda en doğru, en kolay olması gereken en iyi sonucu bulmak
49
Sayfa 50
kullanmak ve en ucuza kullanmak için, kullanıcının dört maliyet/etkinin göreli önemini değerlendirmesi gerekir.
ölçütler ve bunlara bir yüzde ağırlık atayın. Her maliyete/etkiye atanan ağırlık
kriter sırasıyla W qua , W zaman , W insan , W kullanılabilirliktir . Bu, projenin özeline bağlıdır
ihtiyacı ve kullanıcının stratejisi. Daha sonra, her yöntem için toplam ağırlık olarak hesaplanabilir:
Toplam C/E = W qua * S qua + W zaman * S zaman + W insan * S insan + W kullanılabilirlik * S kullanılabilirlik
Bu denklemde, analiz edilen her biri için S qua , S time , S human , S kullanılabilirlik Şekil 10 ve Şekil 11'de gösterilmektedir.
RA aracı ve yöntemi. W qua , W time , W human , W kullanılabilirlik son paragrafta tanıtılmıştır. İle birlikte
Bu denklem, kullanıcı kendi bireysel için en verimli yöntemi ölçebilir ve tanımlayabilir.
risk değerlendirme projesi.
5.3.3. En iyi metodolojiyi seçmek için nihai karar
çevre ve maliyet / etki kriterleri için bilinen her yöntem nispi öncelikleri ile
haysiyetli, kullanıcı daha önemli olduğu karar vermelidir, çevre sorunu veya
ekonomik mesele ve her bir parçaya ne kadar ağırlık vermeye istekli olduğu. Göre
duruma göre, kullanıcı maliyet/etki kriterlerinin ve çevre kriterlerinin önemini şu şekilde tartabilir:
yüzde, yani sırasıyla Wc ve We'dir ve her yöntem için nihai puan
hesaplanan:
Toplam= W e * Toplam E + W c * Toplam C/E
Bu denklemde, kullanıcı her yöntem ne kadar yakın ya da ne kadar net bir görünüm alacak
kullanıcının ideal çözümünden. Toplamı en yüksek olan yöntem en iyisi olacaktır.
belirli risk değerlendirme projesi için metodoloji.
Normal durumlarda, kullanıcı risk değerlendirme projesini net bir şekilde görebilir ve şunları yapabilir:
ayrıntılı gereksinimleri her bir kriterin farklı ağırlıklarıyla eşleştirin. En iyisini seçebilir
Yukarıda tanıtılan karar çerçevesi yardımıyla RA yöntemi. bazı özel
kararda benzer puanlarla sonuçlanan iki veya daha fazla RA aracının olduğu durumlar
kullanıcının kendisi için en iyi olanı seçmesini zorlaştıracak çerçeve.
Tablo 9, her bir RA yönetim aracının özelliklerini göstermektedir. Kullanıcı tabloyu şu şekilde kullanabilir:
RA araç ve yöntemlerinin seçimi için karar çerçevesine ek bir araç veya
kendi özel altında seçim sürecinin başında uygun araçlar için filtre
gereklilik.
50
Sayfa 51
Tablo 9. RA yönetim araçlarının özellikleri
OCTAVE Bilgileri belirlemek, önceliklendirmek ve yönetmek için süreç odaklı bir metodoloji
güvenlik riskleri
CORAS Model tabanlı güvenlik riski değerlendirmesi için pratik bir çerçeve
CORA Kuruluşlar için bir risk yönetimi uzman sistemi, ALE'yi hesaplayın, Getiri
Yatırım ve risklerin finansal etkisini tahmin eder
KOBRA Şimdi yeniden geliştirme aşamasında
RISKWatch Özelleştirme şablonları, kolay erişim ve tam zamanlı izleme, kullanıcı dostu arayüz
SIKI BAĞLAMAK
Yazılım ve bilgisayar şirketinin risk değerlendirmesi için daha hızlı ve basit
COSO İlkelere dayalı, kurumsal çapta risk yönetimi yaklaşımları

ERM
@Risk Monte-Carlo simülasyonu, kullanıcının seçmesi için birden fazla olası sonucu ölçün
Farklı risk değerlendirme metodolojilerini BT'de bir araya getirmek gibi başka eğilimler de var.
Sistem risk analizi, örneğin AKA (fiyonk analizi) HAZOP - FTA - ETA [49], AHP -
Bulanık teori [50]. Kombine yöntemler, artıları ve eksileri dengesine dayanmaktadır.
ilgili her yöntem. İşe yarayacak yöntemler için en iyi eşleşmeyi seçmek için
birlikte, kullanıcı bu bölümde sunulan karar çerçevesini de kullanabilir. açıkça
her yöntemin yararlarını ve zayıflıklarını gösterir. Tezin bundan sonraki bölümünde
Bu bölümdeki analize ve endüstrideki trende dayalı yeni bir yöntem tanıtın.
51
Sayfa 52
6. Kendi geliştirdiği metodoloji

Bir proje için doğru RA yöntemini seçtikten sonra proje ekibi,
bir risk değerlendirme süreci. Gerçekte, daha önce gözlemlediğimiz gibi, hiçbir tek yöntem mükemmel değildir,
ve risk değerlendirmesi için mükemmel bir yöntem bulmak zor olabilir. Bu nedenle, terziye ihtiyaç
o ya da en iyi çözümü bulmak için farklı yöntemler birleştirir. Günümüzde, AI teorisi / makine
öğrenme / sinir ağları ve bulanık yöntem daha RA sürecinde yer alan, ve
Uygulamada daha çok hibrit yöntemler kullanılmaktadır. bir dizi hibrit var
çeşitli amaç ve farklı vurgu ile yöntemler. Tipik olanlardan bazıları şunlardı:
5. bölümde tanıtılmıştır. Bu hibrit mod çerçevesi standart bir prosedür sağlayabilir.
kuruluşun genel kabul görmüş güvenlik standartlarıyla uyumlu riskini değerlendirmek.
Burada örnek olarak ISO 27k standartları ailesini kullanacağız. 27K'yı seçmemizin nedeni
standartlar ailesi bir sonraki paragrafta yer alacaktır. Böylece bu tez, yeni bir
Hibrit prensibine dayalı RA süreci, bilgi için iyi bir çözüm sunmaya çalışıyor
sistem ortamı ve kendine özel bir yöntem geliştirmek için bir düşünme süreci sunmak.
6.1. Yöntem temeli
6.1.1. RAF kavramı

Risk Değerlendirme Çerçevesi (RAF), bilgi akışını paylaşmak ve gözden geçirmek için bir stratejidir.
Organizasyonel risklerle ilgili. İyi bir RAF hem profesyonel hem de
profesyonelce personel anlamak için. Yalnızca tek bir varlığa veya sisteme odaklanmakla kalmayacak, aynı zamanda
tüm organizasyonu hedef alır. ile ilgili çevre unsurları
organizasyonun işleyişi dikkate alınmalıdır, örneğin organizasyonun amacı, yapısı,
dokümantasyon, vb İyi bir RAF, potansiyel riskleri keşfetmek için organizasyon etkinleştirebilirsiniz
göreceli risk seviyesi ve organizasyonun potansiyel tehditlerle başa çıkmasına yardımcı olmak,
stratejik kalkınma ve finansal planların yanı sıra sürdürülebilir bir iş kültürü geliştirmek.
Endüstride yaygın olarak kullanılan mevcut RAF'lar ISO 27K, NIST, OCTAVE vb.
ve bir kuruluş bunları doğrudan uygulayabilir veya yeni bir çerçeve oluşturmak üzere değiştirebilir.
onların özel gereksinimleri.
6.1.2. 27k standartlar ailesi ile entegrasyon
Aşağıda sunulan kendi geliştirdiği RA yöntemi, esas olarak ISO ile entegre edilecektir.
27K standartları ailesi, ancak aynı zamanda ISO 31000 ve NIST 800-30'dan bazı fikirler ödünç alacaktır.
52
Sayfa 53
Bu üç standart ailesi bölüm 4.1'de tanıtılmaktadır. ISO 27K standartları ailesi

sürekli iyileştirme yeteneğine sahip ISMS PDCA modelini takip eder [39] [40].
Plan: Oluştur
BGYS
Eylem: Korumak Yapın: uygulamak

ve geliştirmek ve işletmek
BGYS BGYS
Kontrol edin: Monitör

ve gözden geçirin
BGYS
Şekil 8. ISO 27000'de tanımlanan ISMS PDCA modeli
Şekil 8'de gösterildiği gibi, ISMS, RA performansını sürekli olarak geliştirir ve

sistemin güvenliği. Planlama aşamasında, kuruluşlar varlıkları ve güvenliği tanımlar
gereksinimleri, bilgi güvenliği risklerini değerlendirin ve risk kontrollerini seçin. Yap aşamasında,
kuruluş, son aşamada tanımlanan güvenlik politikasını uygular ve işletir.
Kabul edilemez riskleri kontrol edin. Kontrol aşamasında, kuruluş aşağıdakilerin etkinliğini değerlendirir:
uygulanması ve performansın gözden geçirilmesi. Yasa aşamasında, kuruluş şunları alır:
performansı iyileştirmek için düzeltici faaliyetler ve önleyici tedbirler.
6.1.3. Çözülmesi Gereken Temel Sorunlar

Risk değerlendirmesinin temel görevleri, bir kuruluşun karşılaşabileceği her türlü riski değerlendirmektir.
karşılaşmak, riskin olasılığını ve etkisini değerlendirmek, riskin direncini belirlemek
kuruluş, risk azaltma önlemlerine ve ilgili tepkilere karar verir. Var
dikkate alınması gereken birkaç anahtar soru:
1. Korunması gereken temel varlıklar nelerdir? Doğrudan kullanım değeri nedir ve
dolaylı kullanım değeri?
2. Bu varlıkların karşı karşıya kaldığı potansiyel tehditler nelerdir? kaynağı nedir?
tehditler? Bu tehditlerin fiilen gerçekleşme olasılıkları nelerdir?
3. Tehditlerin kullanabileceği varlıklardaki güvenlik açıkları nelerdir? Ve

bu ne kadar kolay olabilir?
4. Tehdit gerçekleştiğinde, kuruluş hangi kayıp veya olumsuz etkilerle karşılaşabilir?
5. Kuruluş, güvenlik sorunlarını kontrol etmek ve azaltmak için hangi güvenlik önlemlerini almalıdır?
Kabul edilebilir bir seviyede risk?
53
Sayfa 54
6.2. Kendi geliştirdiği metodolojinin yapısı

Yöntem, ISO 27k standartlar ailesinin talimatları izlenerek geliştirilecek,
ve anahtar tanımlar da standart belgelerinden türetilecektir. Aşağıdakilerde
kısmı ayrıntılı bir süreç ve bir model önerecektir.
Bu modelin amacı, sektördeki her türlü bilgi ile ilgili riskleri hedeflemektir.
ERM Çerçevesi bir organizasyon geliştirdikçe, ERM kavramı tanıtılacaktır.
üç farklı seviyeden portföy görünümü: Varlık seviyesi, İşletme seviyesi, Operasyonel seviye,
Şekil 4'te gösterilmiştir. COSO ERM modeline göre, her seviye için sekiz risk dikkate alıyoruz.
ISO standartlarının PDCA modelini de takip eden bileşenler,
Şekil 2'deki süreç açıklaması ISO 27005'in talimatında ayrıca, “Risk değerlendirmesi,
genellikle iki (veya daha fazla) yinelemede gerçekleştirilir. İlk olarak, üst düzey bir değerlendirme yapılır.
Daha fazla değerlendirme gerektiren potansiyel olarak yüksek riskleri belirleyin. Bir sonraki yineleme içerebilir
İlk yinelemede ortaya çıkan potansiyel olarak yüksek risklerin daha derinlemesine değerlendirilmesi. Neresi
bu, riski değerlendirmek için yetersiz bilgi sağlar, ardından daha ayrıntılı analizler yapılır
muhtemelen toplam kapsamın bazı kısımlarında ve muhtemelen farklı bir yöntem kullanılarak yürütülmüştür [41].”
Yapıyı daha düz ve belirgin hale getirmek için süreç Şekil 9'daki gibi gösterilebilir.
Varlık Seviyesi
İş seviyesi
Çalışma Seviyesi
Şekil 9. Risk değerlendirme faaliyetinde farklı BT sistemleri seviyeleri arasındaki veri akışı
Aradaki veri akışı, üst seviyeden alt seviyeye bilgi ve rehberliği tanımlar.
seviye ve alt seviyeden üst seviyeye sürekli iyileştirme için geri bildirim bilgileri
seviye. Tablo 10, organizasyonun risk değerlendirmesinde her seviyenin farklı rollerini göstermektedir.
[41].
54
Sayfa 55
Tablo 10. Kuruluşun farklı seviyelerinde risk değerlendirmesi
6.3. Yöntem uygulaması

Risk değerlendirme yönteminin yapısına karar verildikten sonra şu noktaya geliyoruz:
uygulama kısmı. Bu yöntem, ISO 27005 talimatlarını her üç seviyede de izleyecektir.
risk değerlendirmesi yürütme organizasyonu. Tez, operasyonel seviyeyi bir
risk değerlendirme sürecinin uygulanmasını göstermek için bir örnek.
ISO 27005'e göre risk değerlendirmesi için ana süreç 1) risk tanımlama, 2)
risk analizi, 3) risk değerlendirmesi ve 4) risk tedavisi. Risk tanımlamasında yapmamız gereken
varlıkları, tehditleri, mevcut kontrolleri, güvenlik açıklarını ve sonuçlarını tanımlayın. Risk analizinde,
kalitatif veya kantitatif riskleri ölçmek için metodolojiye karar vereceğiz. Sonra değerlendiririz
olayın sonucu ve olasılığı ve risklerin düzeyine karar verir. Riskte
değerlendirme, farklı uzmanların görüşlerini birleştirmek için bulanık teori uygulanacak, karşılaştırma
Tahmini risk kriterleri arasında yapılacak ve ilgili faktörler dikkate alınacaktır.
değerlendirme için. Risk tedavisi, risk modifikasyonu, saklama,
kaçınma ve paylaşma [41]. Aşağıda bağlamı oluşturacağız ve ardından tartışacağız.
her adım sırayla.
55
Sayfa 56
6.3.1. Hazırlık / Bağlamın Kurulması

Bu aşamada kuruluş, risk değerlendirmesinin amacını tanımlamalıdır. karşılamalı
nesnenin gizlilik, bütünlük ve kullanılabilirliği gereksinimleri ve
iş stratejisi daha yüksek düzeyde. O zaman kuruluşun şunları yapması gerekir:
- Risk değerlendirmesinin kapsamını tanımlayın,

- Bilgi sisteminin risk değerlendirmesi için kriterler geliştirmek,
- Risk değerlendirmesi için uygun bir çerçeve ve standart seçin. Biz bu kısım için
COSO ERM, AHP, Fuzzy teorisini kullanacak ve esas olarak ISO 27K standartlarına dayalı olacak,
- Kurumun üst seviyesi arasında yeterli iletişim kanallarını sürdürün veya kurun.
alt düzeydeki teknik ekiplerden oluşan yönetim kurulu. Böylece takım sahip olabilir
risk değerlendirmesini gerçekleştirmek için tam destek ve yeterli bilgi.
İnsan faktörü de önemli bir konu. Yetkin bir ekip oluşturmak başarı için hayati önem taşır
RA işleminin. Takım genellikle yeterli sahiptir projenin başkanı tarafından yönetiliyor
Risk değerlendirme alanında bilgi sahibi ve mükemmel koordinasyon becerilerine sahip. Takım ayrıca
Risk değerlendirmesi için ilgili teknik altyapıya sahip kişiler. iyi olabilir
riske göre belirli RA standartları veya araçları için resmi bir sertifikalı kişiye sahip olmak
değerlendirme gereksinimi. Dış danışmanlar gerektiğinde yardımcı olabilir. karar vermek için
dış danışmanlara ihtiyaç duyulup duyulmadığı ve kaç tanesine ihtiyaç duyulduğu, bir değerlendirme formu
[42]'den itibaren, risk değerlendirme projesinin hangi tür yaklaşıma ait olduğuna karar vermek için kullanılabilir,
içinde tedarik, kısmi dış veya tam dış ,. In-kaynak RA yaklaşımı olmaz
herhangi bir dış danışmanı dahil edin, tam dış kaynak kullanımı RA yaklaşımı yeterli dış
tüm projeyi devralmak için danışmanlar, kısmi dış kaynak kullanımı RA yaklaşımına ihtiyaç duyacaktır.
Bazı dış danışmanları proje ihtiyacına bağlıdır. Bazen birden fazla
ekibe dahil olur ve risk değerlendirmesi için farklı görüşler verirler.
Bu durumda, tartışılacak olan dengeli bir sonuca ulaşmak için bulanık teori uygulanabilir.
6.3.3 bölümünde.
6.3.2. Risk tanımlaması

Risk tanımlama, bilgi sisteminin varlıklarını, tehditlerini ve güvenlik açıklarını belirlemektir.
Bu elemanların kavramları bölüm 4.1'de tanıtılmıştır. Risk tanımlaması
esas olarak daha sonraki risk analizi için veri toplamaktan sorumludur. ISO 27005 belgesinde
Ek B [41]'de varlıkların ve etkilerin tanımlanması ve değerlendirilmesine ilişkin bir örnek verilmiştir.
değerlendirme. Okuyucu, daha ayrıntılı bir açıklama için standarda başvurabilir. Bu bölüm
bilgi sistemlerindeki tüm varlık türlerini değil, yalnızca operasyonel düzeyi kapsayacaktır.
tanımlamanın nasıl yapıldığını göstermek için bir örnek verildiğinde, benzer tanımlama süreci
organizasyonel ve iş düzeyinde varlıklara uygulanmaz de. varlıklar tanımlanması için
56
Sayfa 57
veri toplama, uzman görüşüne çok değer verilir. Daha doğru sonuçlar elde etmek için
4.3 sokulur kullanılabilir Delphi yöntem. Diğer durumlarda bazı genel anket olarak
anketler, personel ve kullanıcılarla yapılan görüşmeler gibi metodolojiler uygulanabilir,
fiziksel muayene veya doküman analizi [41]. Aşağıdaki kısım risk arz edecek
tanımlama süreci.
a. Sistem bileşenlerini analiz edin: Bu adım, bilgi sistemlerini analiz etmektir.

burada operasyonel seviye) ve daha önce tanımlandığı gibi KO kapsamında farklı alt sistemler,
ve organizasyon yapısı ve iş prosese göre. olması bu daha net olurdu
Bir sistem topoloji haritası. Bir ağ topolojisi sistemi iyi bir örnektir. tümünü kapsayacak amacıyla
tam bir bilgi sistemi için riskler, sadece ağı dikkate almamalıyız
bileşenleri değil, aynı zamanda yazılım, çevre vb. Net bir sistem yapısı ve
Farklı bölümler için tanımlanmış koruma gereksinimi seviyesi, varlıkları ve kontrolü yapacak
tanımlama işlemi daha kolay.
B. Varlıkları tanımlayın: Varlıkları 3.1.1'de sunulan tanıma göre tanımlayacağız.

Sistemin bir analize dayanarak, bir varlık katalog toplanabilir. Sonra atar
üç özniteliğe dayalı varlıklara değerler: gizlilik, bütünlük, kullanılabilirlik. Var
Bunu yapmanın niteliksel veya niceliksel yolları, ISO 27005 Ek B2'de bir örnek gösterir
bu nasıl yapılabilir.
C. Tehditleri tanımlayın: Tehdit tanımlaması, tanıtılan tanıma göre yapılacaktır.

3.1.2'de. ISO 27005 Ek B3'te bilgi sistemlerine yönelik bazı tipik tehditler vardır.
kaynakları ve sonuçlarıyla birlikte listelenir. Buna veya diğerlerine atıfta bulunmak faydalı olacaktır.
Profesyonel kitaplıkları / veri tabanları ve tanımlanan varlıklar ile karşılaştırın. Bazı genel anket
6.3.2 bölümünün başında belirtilen yöntemler de kullanılabilir. Bir varlık-tehdit tablosu şunları yapabilir:
bu adımda çizilir. Ardından, uzmanların sonuçlarına göre her bir tehdide olasılık düzeyi atarız.
deneyim (genellikle düzeylerde) veya önceki faaliyetlerden bazı istatistiksel veriler.
NS. Güvenlik açıklarını tanımlayın: Güvenlik açığı tanımlaması,

3.1.3'te tanıtılan tanım. Tehdit olmazsa, güvenlik açığı etkilenmeyeceğinden
gerçekleşmesi, biz tehditlerin tespit edilmesinden sonra bu adımı olabilir. Normal anket yanında
Bu bölümün başında bahsedilen yöntemler, aşağıdakiler gibi bazı teknik yöntemler
otomatik güvenlik açığı tarama araçları, güvenlik testi ve değerlendirmesi, sızma testi,
kod gözden kullanılabilir [41]. Bir darbe değeri savunmasız kısmına atanacak
sonucun ne kadar ciddi olduğuna bağlı. Bu adımdan sonra, bir tabloya sahip olabiliriz.
varlıklar, tehditler ve güvenlik açıkları arasındaki ilişki.
57
Sayfa 58
e. Mevcut kontrolleri tanımlayın: ISO 27005'e göre mevcut risk kontrolleri,

kontrollerin ve risk işleme uygulama planlarının belgelenmesinden belirlenir. Var
iki tür risk kontrolü, 1) henüz gerçekleşmemiş potansiyel tehditlerin önlenmesi ve 2)
zaten var olan güvenlik açıkları için koruma. Bu kısma bir değer atamak kolay değildir, ancak bir
Varolan kontrolleri ve kullanımları statü listesi başarmak olacak ve daha iyi yardımcı değerlendirecek
Bir tehdidin bir güvenlik açığından gerçekten faydalanması olasılığı ve etkisi.
Şekil 10, risk için tanımlanması gereken tüm unsurların yapısını göstermektedir.
bilgi sisteminde değerlendirilmesi.
Şekil 10. Farklı risk değerlendirme kriterlerinin ilişkileri
Tanımlamadan sonra bir sonraki adım olan analiz ve değerlendirme kısmına hazır olmalıyız.
ISO 27005'e göre risk analizinde her bir unsur için veri toplama kısmı yapılır,
adım. Ancak burada tez yapısı değerlendirmesi için ilgileniyoruz. bu konuyu tartışacağım
bir sonraki bölümde risk analizi ve değerlendirmeyi bir araya getirdiğimizde,
Gerçek kullanım ortamında pratik olduğunu düşünüyorum.
6.3.3. Risk analizi ve değerlendirmesi

Önceki adımdan, bilgilerin risk etki faktörlerinin net bir haritasına sahip olabiliriz.
sistem. Şimdi etki faktörlerinin her birini ayrı ayrı değerlendireceğiz ve
kapsamlı bir şekilde. Bu, farklı değerli etki faktörleri için standartlaştırmamız gerektiği anlamına gelir.
dengeli bir sonuca varmak için karşılaştırma ve değerlendirme için rakamlar.
Önceki etki faktörlerini değerlendirmek için nicel ve nitel yöntemler vardır. Bunda
bölümünde bulanık teoriyi kullanacağız. İlk olarak, her bir etki faktörü için tek bir değere değiniyoruz.
58
Sayfa 59
RA süreci ve ardından tüm riskin kapsamlı bir değerlendirmesini yapın. Bu tipik bir
Belirli bir aralıkta değişen nitel verilerle uğraşırken yaklaşım. Genel olarak
Toplanan verileri analiz ederek, nihai kararın nicel bir tanımını alabiliriz.
Ayrıntılı süreç aşağıdaki paragraflarda gösterilecektir. ile risk değerlendirmesi için
birçok insanın katılımı, bulanık teori, önemli ölçüde birleştirebilen matematiksel bir yoldur.
Hedefteki temel gereksinime ağırlık veren çeşitli görüşler ve en iyi sonucu elde etmek
küçük nesnel müdahale ile teori. Nicel ile başa çıkmak için başka yaklaşımlar var
Bu tezin kapsamadığı değerler. Okuyucu, konuyla ilgili makalelere başvurmalıdır.
RA sürecinde karar teorisi. Yapıda, aynı gruba ait olan her bir etki faktörü
katmanın üst katmana göre farklı bir etkisi vardır, bu nedenle ağırlıklarını aşağıdaki gibi belirlemek önemlidir.
kuyu. Her bir etki faktörünün ağırlığını belirlemek için AHP yöntemi uygulanır. Sahibiz
bölüm 4.3'te tanıttı. Alt faktörlerin toplamdaki göreli önemini gösterebilir.
amaç, bir değerlendirme matrisi oluşturarak ve faktörleri birbirleriyle karşılaştırarak. Böylece,
etki faktörlerinin karmaşık ilişkilerini ve çok seviyeli yapılandırılmış sorunları çözmemize yardımcı olur.
AHP, büyük ölçüde karar vericinin özelliklerine bağlı olan tipik bir öznel ağırlıklandırma yöntemidir.
deneyim ve yargı. Benzer bir yöntem, uzmanları bir araya getiren Delphi yöntemidir.
ağırlığının değerlendirilmesinde görüşler. gibi objektif ağırlıklandırma yöntemleri de vardır.
genellikle daha doğru ve esnek olan ancak aynı zamanda daha maliyetli olan entropi yöntemi [43].
Bilgi sistemlerine ilişkin AHP yapısı aşağıdaki gibidir:
Şekil 11. Risk değerlendirmesinin AHP yapısı
İlk üç AHP katmanı tanımlanmıştır: üst katman, hedef katmanı, kriter katmanı ve
alternatifler katmanı. İkinci olarak, hesaplamak için ikili bir karşılaştırma yapılacaktır.
her bir etki faktörünün üst düzey kriterlerine göre ağırlığı [44]. Sahip olunan kriterler için
tespit edildiğinde, örnek olarak kriter katmanını alıyoruz, bir yargı matrisi türetilebilir
59
Sayfa 60
uzman tahmininden. oranı ölçütleri teori sonra, dokuz seviyeli

karşılaştırma tablosu türetilecektir:
Puan (M) Anlam

1 İki faktör eşit derecede önemlidir
3 Biri diğerinden orta derecede önemli
5 Bir diğerinden daha kuvvetli önemlidir
7 Biri diğerinden çok güçlü önemli
9 Biri son derece güçlü önemli
bir diğer
2, 4, 6, 8 Bir öncekine medyan değer eki
yargı
1, 1/2, 1/3, … 1/9 Ters önem olarak karşılıklı değer
önceki yargı ile karşılaştırmak
O zaman bir yargı matrisine sahip olabiliriz:
Kontrol Varlıklar Tehdit güvenlik açığı

Kontrol 1 M1 M2 M3
Varlıklar 1/M1 1 E4 M5
Tehdit 1/M2 1/M4 1 E6
güvenlik açığı 1/M3 1/M5 1/M6 1
Yargı matrisinde M 1 , analojide Kontrol faktörünün önem düzeyini temsil eder.

RA süreci değerlendirmesinde Varlık faktörü ile. Ve 1/M 1 tersini temsil eder
ilişkiler, şekil 'de gösterildiği gibi. Geri kalan parametreler aynı şekilde listelenir. Sonra biz var
hesaplama matrisi:
1 M1 M2 M3
1/M1 1 M4 M5
W = 1/M2 1/M4 1 M6
1/M3 1/M5 1/M6 1
Matrisi normalleştirmek için bu dört faktör (W 1 , W 2 , W 3 , W 4 ) için ağırlık seti elde edebiliriz .
Her faktörün ağırlığına karar verildiğinde, birleştirmek için bir değerlendirme matrisi yapılacaktır.
farklı uzmanların değerlendirmeleri bir arada. Aşağıdaki gibi bir değerlendirme matrisi gösterilmektedir:
60
Sayfa 61
R11 R21 R31 R41

R12 R22 R32 R42
Rg= … … … …
R1 R2 R3 R4
Matriste, burada R ij , her bir uzman tarafından değerlendirilen her bir risk faktörünün değerlendirmesidir,
burada i bizim durumumuzda dört risk faktörünü temsil eder: Kontrol, Varlıklar, Tehditler, Güvenlik Açığı, bu
nihai bilgi sisteminin risklerini etkiler. Ve j, uzmanın seri numarasını temsil eder.
Risk faktörlerini ölçmek için uzman, her bir R ij'ye 1 - 5 arasında ölçekler atayabilir ; burada 1,
en az önemli ve 5, üst düzey kriterler için son derece önemli olduğunu gösterir. daha fazla ise
detaylı değerlendirmeye ihtiyaç var 1 – 9 ölçekli sistemlerimiz de olabilir. son risk
olarak sunar:
R11 R21 R31 R41

R12 R22 R32 R42
R nihai = W g * R g = (W 1 , W 2 , W 3 , W 4 ) * … … … … ,
R1 R2 R3 R4
Burada W g , yargı matrisinde elde edildiği gibi dört risk faktörünün ağırlığını temsil eder,
ve R g , uzmanlar tarafından değerlendirilen görüş matrisini temsil eder. Alt katmanlar için aynı
yöntem uygulanır, böylece her bir etki faktörünün hedefe olan etkisi ve olasılığı
Tablo 11'de gösterildiği gibi çok net bir şekilde tanımlanmış,
Tablo 11. AHP analizi için karar tablosu
Birinci tabaka Değerlendirme İkinci Katman Değerlendirme

Kriterler Kriterler
Kontrol R1 Önleme S1
Koruma S2
Varlıklar R2 Gizlilik S3
Bütünlük S4
kullanılabilirlik S5
tehditler R3 Doğa S6
İnsan S7
Güvenlik Açığı R4 operasyonel S8
Teknik S9
Sonuç, her bir etkiyle ilgili olarak çeşitli uzmanların kapsamlı değerlendirmesidir.
faktör. Nihai risk, bu yöntemle aşağıdan yukarıya, katman katman değerlendirilebilir.
61
Sayfa 62
Belirlenen risk faktörleri değerleri ile bunları önceki kriterlerle karşılaştırabilir ve

nihayet genel riske karar verin. ISO 27005 Ek E2'de yapılması gereken üç yöntem önerilmektedir.
Bugün nasılsın. 1) önceden tanımlanmış değerlere sahip bir matris, 2) risk ölçülerine göre tehditlerin sıralaması,
ve 3) risklerin olasılık ve olası sonuçları için bir değerin değerlendirilmesi [41]. O zamandan beri
risk faktörlerinin mutlak değerlerine zaten sahibiz, ancak bu değerler pratikten yoksundur.
belirli bir ortamda analiz etmeden anlamlar. Burada risk matrisi bir itici güç olacaktır.
Bu faktörlerle başa çıkmanın yolu.
1 2 3 4 5 Olasılık
tehditlerin
1 2 3 1 2 3 1 2 3 1 2 3 1 2 3 Kolaylık
keşif
1 1
2
3
2 1
2
3
3 1
2
3
4 1
2
3
5 1
2
3
Varlıklar Mevcut
Değer Kontrol
Seviye
Şekil 12. Genel risk matrisi
Şekil 12'de, elde edilen nihai bir risk değerlendirme sonucu, risk matrisi ile eşleştirilecektir,
bizim olgumuzda dört risk faktörü ile Risk matrisi yardımıyla kullanıcı kolayca karar verebilir.
sonucun matriste nerede bulunduğunu kontrol ederek risk seviyesi.
62
Sayfa 63
Bu bölümde, genel risk değerini analiz etmek için bir AHP-Fuzzy yöntemi basitçe sunulmaktadır.
Riskleri ölçmek için başka birçok yöntem vardır. Okuyucu duruma göre yargılayabilir. İçin
Bu AHP örnek yapısı, pratik durumlar daha karmaşık olabilir veya bir
farklı bir şekilde, okuyucu yöntemi esnek bir şekilde kullanabilir. Risk matrisi şu durumlarda da mevcut olabilir:
diğer formlar, bazı insanlar onu 3 eksende veya farklı niteliklerle geliştirdiler, ancak aynı
ilkesi geçerlidir.
6.3.4. Risk Tedavisi ve Kabulü

Risk analizi ve değerlendirmesinden sonraki adım, elde edilen risk sonuçlarıyla ilgilenmektir.
Bu tez, risk değerlendirme metodolojisi ve sürecine odaklandığından, bu bölüm
risk tedavisini pratikte sadece kısaca tanıtın. Risk tedavisinin dört bölümü vardır,
Risklerin Azaltılması, Aktarılması, Önlenmesi ve Korunması [45], bölüm 3.3'te açıklandığı gibi. İçin
elde edilen risk bilgileri, kullanıcı risk matrisine göre riskleri önceliklendirebilir,
maliyet etki analizine dayalı olarak risklerle başa çıkmak için planlar ve ekstra kontrol önlemleri alır.
Belgeler genellikle bu adımda gereklidir. Ama önünde yatan zor bir problem
risk tedavisi, risklerin nasıl ve ne düzeyde kabul edileceğidir. Sunulan risk matrisine göre
ISO27005'te, risk değerlendirmesi niteliksel bir şekilde gerçekleştirilirse, o zaman üç tür
riskler kategorize edilebilir: kabul edilemez riskler, kabul edilebilir riskler ve tarafsız alan. İlk için
iki kategoride karar verme açıktır. yer alan risklerin kabulüne karar vermek,
nötr alan, sözde ALARP analizi uygulanabilir. “As Low As
Makul Bir Şekilde Uygulanabilir” ve aynı zamanda maliyet-fayda ilkesine dayanmaktadır. Basit bir örnek
Şekil 13'teki gibi gösterilecektir.
63
Sayfa 64
dayanılmaz
ALARP
Genel Olarak Kabul Edilebilir
Şekil 13. ALARP modeli
Dayanılmaz alanda, riskler çok yüksektir, bu nedenle kullanıcının bunlarla başa çıkmak için konsantre olması gerekir.
riskler. Genel olarak kabul edilebilir alanda, riskler ihmal edilebilir çünkü ilgilenmeye değmez
onlardan. ALARP alanında, nitel analiz için, ek bir maliyet fayda analizi,
daha fazla yatırım gerekip gerekmediğine karar vermek için yapılmalıdır [46].
Sonunda, önceki çalışmalara dayalı olarak bir risk değerlendirme raporu oluşturulacaktır. Olacak
zamanında yapılır, böylece risk kontrol altına alınabilir. Üç seviyeli yapıyı takip edecek,
Organizasyon seviyesi, İş seviyesi ve Operasyonel seviye. Rapor tüm yöntemleri kapsar
kullanılan, elde edilen sonuçlar, değerlendirilen kapsam ve alan, sorumlu
insanlar ve referanslar. Raporda ayrıca, her bir bulgu için sadece analiz vermelidir
Sonuçlar ve sonuçlar, ancak duruma bağlı olarak bazı öneriler de verilebilir.
RA sürecinin gereksinimleri.
6.4. Kalan Sorunlar

Tezde önerilen metodoloji temel olarak ISO 27K rehberliğini takip etmektedir. Buna rağmen
bu standart uluslararası olarak tanınmakta ve şu anda yaygın olarak kullanılmaktadır.
kalması kaçınılmaz problemleri. Bu, yeterli çevre gibi çeşitli nedenlerle, içindir
tüm süreçleri, organizasyon yapısı ve kaynakların sınırlılığını yürütmek için. belirsiz
yöntem/standarttaki sürecin açıklaması da soruna neden olabilir, ancak bu
64
Sayfa 65
duruma bağlı olarak. Örneğin, üzerinde ne düzeyde organizasyonu belirlemelidir

varlıklar? Çok büyük olması daha az doğruluğa yol açacaktır, çok küçük olması zaman alıcı olacaktır.
Tehditlerin ve güvenlik açıklarının belirlenmesi de benzer sorunlara yol açacaktır. Aynısı
tehditler farklı varlıkları etkileyebilir, ancak mevcut güvenlik açıklarına ve hangi
yerinde olan kontroller, etki değişebilir. Bu yüzden bunları dikkate almak çok önemlidir
genel olarak konular. Bunu kurallara sokmak zor. Bu nedenle sonucu veya nedeni etkileyebilir.
deneyimsiz bir değerlendirici için ekstra sorun. Deneyim kesinlikle böyle bir değer olacaktır
durum.
Diğer bir problem ise, tezin üç seviyeyi kapsayan bir RA yapısı sunmasıdır.
organizasyonel faaliyetlerde bilgi risk değerlendirmesi, dikey bir çözüm oluşturulur. Fakat
bilgi sistemleri geliştirme yaşam döngüsüne göre beş aşama vardır: başlatma,
edinme/geliştirme, uygulama/değerlendirme, operasyonlar/bakım ve elden çıkarma
[51]. Bu nedenle, RA sürecinin yatay ve zamanında bir görünümü burada gösterilmemiştir.
çözüm. Yaşam döngüsünün her aşamasında, farklı RA gereksinimleri ve hedefleri vardır ve
RA prosedürü ve faaliyetleri her aşamaya göre tanımlanmalıdır. Ancak
Her aşamaya ilişkin ayrıntılı çözüm, gelecekteki çalışmalarda incelenmelidir.
65
Sayfa 66
7. Karar
Tezin amacı, risk değerlendirme (RA) yöntemlerini araştırmak ve kullanıcıya yardımcı olmaktı.
RA sorunlarını en iyi uygulamayı kullanarak çözün. Tez, çeşitli özellikleri sunmuştur.
yaygın olarak kullanılan RA yöntemlerini farklı boyutlarda karşılaştırmıştır. Bir karar
çerçeve, kullanıcının RA süreci için en iyi yönteme karar vermesine yardımcı olmak için önerilmiştir. Eğer
kullanıcı, mevcut herhangi bir yöntemin ortamına uygun olup olmadığından emin değil, belirli bir
yöntem geliştirilebilir. Sonuç olarak, kendi geliştirdiğim bir örnek sundum.
RA süreci. Daha önce de belirtildiği gibi, kendi geliştirdiği yöntem daha sistematik bir yöntemdir.
ve tek bir noktaya odaklanmak yerine tüm risk değerlendirmesi seviyesini kapsar.
sorun. Endüstride kullanılabilmesi için pratik tasarıma dayanmaktadır. Fikir şuydu:
Mevcut RA'nın bir kombinasyonuna dayanan ayrıntılı bir risk değerlendirmesi süreci sunmak
yöntemler. Endüstriyel ortamda yaygın olarak kullanılan risk değerlendirme yöntemleri,
ISO standardını veya diğer standartları az çok takip etti ve pazar tarafından test edildi.
Okuyucular, Bölümde tanıtılan karar çerçevesine göre kendi yöntemlerini seçebilirler.
Bölüm 5.3 veya belirli bir standardı izleyen kendi yöntemlerini geliştirin.
6. bölümde tanıtılan süreç Bilgi sistemleri günümüzde daha karmaşıktır ve
organizasyon ve iş güvenliğini sağlamak için daha karmaşık yöntemler gerektirir. Orası
sistem geliştirme yaşam döngüsünde her zaman daha fazla zorluk ortaya çıkacaktır, bu nedenle
risk değerlendirmesi yaparak güvenlik ortamı ve kültürü önemlidir. Bu gerekecek
operatörün bilgisi, deneyimi, titizliği ve esnek yargısı, kesintisiz işbirliği,
ve büyük sabır. Tez, bilgi sistemleri ve rehberlik için RA sürecine yardımcı olacaktır.
kullanıcıyı daha verimli bir çalışmaya yönlendirir.
66
Sayfa 67
Ek A.
Karar çerçevesi için risk değerlendirme metodolojisi analizi

Bu ekte, Risk değerlendirme araçları ve metodolojileri aşağıdakilere göre analiz edilmektedir:
Bölüm 5.2'de karar çerçevesinde tanıtılan kriterler. Bir RA aracı veya yöntemi
Her tabloda analiz edilmiştir. Her tabloda, iki parçaya ayrılmıştır. Birinci bölüm değerlendirir
nicel veya nitel, zaman, insan faktörleri ve
kullanılabilirlik. İkinci bölüm, kapsamı içeren çevresel kriterleri değerlendirir,
esneklik, standartlara uygunluk ve satın alma fiyatı. RA aracının her bir kriteri için veya
Bu kritere ilişkin araç veya yöntemin analizini vereceğiz, ardından bir
değer, kritere atanacaktır (sadece maliyet/etki kriterlerine). Tüm kriterler ile
Analiz edilen her yöntem, kullanıcı Ek A'ya hızlıca bakabilir ve bir
risk değerlendirme projesi için en iyi yaklaşıma karar vermek için nicelleştirilmiş sonuç
Gereksinimler.
67
Sayfa 68
STA Atanan değerler ve açıklamalar
nicel veya Her ikisi de.

nitel 2
Zaman Olaya yol açan olasılıklar için kesin sayıların alınması genellikle
çok maliyetli ve zaman alıcı olabileceği için imkansız
böyle yaparak. Ancak yazılım şimdi durumu kolaylaştırabilir [52].
2
İnsan faktörü Sistemin tasarımı hakkında geniş bilgiye sahip bir mühendis veya
mühendislik geçmişine sahip sistem analisti en iyi kişidir.
istenmeyen olayları tanımlamaya ve numaralandırmaya yardımcı olabilir. Ama dahil olur
sistem tasarımcısı, sistem analistleri gibi farklı konumdaki insanlar,
testçiler, vb
2
kullanılabilirlik Yöntem Boole mantığı, olasılık hesaplaması, karmaşık mantık kullanır

ilişkiler, her olay için olasılık oranını elde etmek zor olabilir.
1
Dürbün Tasarım aşaması, tesis dahil olmak üzere tüm RA sürecini kapsar
modifikasyonlar ve operasyon.
Geniş kapsamlı
Esneklik FTA, bir sistemin tek veya

birden fazla başlatma hatası. Ve hem iç hem de dış olaylar.
Çok iyi esneklik, nicel olmak varken her alt olay biliyorum
olasılık, aksi takdirde niteliksel olabilir, karmaşıklığa bağlıdır
standartlar BS7799/ISO27k
uyma
Satın alma fiyatı Ücretsiz
68
Sayfa 69
tahmini varış süresi
nicel veya Her ikisi de.

nitel 2
Zaman Zaman alıcı olabilir, Bir seferde yalnızca bir başlatıcı olayı ele alır.
2
İnsan faktörü Uygulamalı eğitim ve deneyime sahip en az bir uzman gerektirir.

3
kullanılabilirlik Seçilen yol ile olasılık hesaplamasını içerir.

2
Dürbün RA sürecini tasarım aşamasından, tesis modifikasyonlarından ve

operasyon.
Geniş kapsamlı
Esneklik Birden fazla, bir arada bulunan hata ve arızaların değerlendirilmesini sağlar,
organizasyon.
esnek
standartlar IEC 61025 [47]

uyma
69
Sayfa 70
Delfi
nicel veya Nitel

nitel 1
Zaman Birkaç işlem turu, grup tartışması, zaman alıcı içerir

1
İnsan faktörü Dahil edilen birçok personel, bazı uzmanlar gerekli ancak gerekli olmayan
dışarıda
2
kullanılabilirlik Oldukça net ve kolay işlem

3
Dürbün Birçok durumda kullanılabilir

Kalın
Esneklik Karmaşık ortam için

Esneklik yok
standartlar Yok
uyma
70
Sayfa 71
AHP
nicel veya Her ikisi de

nitel 2
Zaman Modelleme ve hesaplama ile 3 adımlı süreç

2
İnsan faktörü Özel bir gereklilik yok

1
kullanılabilirlik Karmaşık olmayan Metrik hesaplama

2
Dürbün Birçok ortamda kullanılabilir

Kalın
Esneklik AHP genellikle Bulanık mantık ile birleşebilir ve oldukça esnek olabilir.
kullanım alanlarında, tüm sistemlerin risk değerlendirmesini kapsayabilir.
Esnek
standartlar bs7799 / ISO27k

uyma
71
Sayfa 72
FMECA

nitel 2
Zaman Genellikle diğer veri setlerine girdi olarak hizmet etse de, büyük veri seti ile ilgilidir.
sistematik yöntem, bu nedenle sistemin farklı aşamalarını kapsaması gerekmez
risk değerlendirmesi
2
İnsan faktörü Sistem tasarımcısı ile farklı kısımlarda, asistan ile birlikte çalışmalıdır.
kalite kontrolör, grup çalışması ve işbirliğine ihtiyaç duyacak
2
kullanılabilirlik Kritiklik Analizinin matematiksel hesaplaması:

Cm=β*α *λ p * t
-MTain Arıza Modları Etkileri ve Kritiklik Analizi Notları
2
Dürbün Tasarım aşamasından, tesis modifikasyonlarından ve işletmeden kapaklar

Tasarım aşamasında erken uygulanır ve tasarımı etkili bir şekilde etkileyecektir.
son sistem konfigürasyonu
Kalın
Esneklik FMECA, başlatan arızaları kapsamlı bir şekilde kataloglamada iyidir ve

yerel etkilerinin belirlenmesi. Birden arızaları inceleyerek iyi değildir
veya sistem düzeyinde etkileri. [53]
o kadar esnek değil
standartlar Bu alternatif, birleşik arızaları dikkate almaz veya tipik olarak şunları içerir:
uyma yazılım ve insan etkileşimi konuları. Ayrıca genellikle bir
Güvenilirliğin iyimser tahmini. Bu nedenle, FMECA kullanılmalıdır.
güvenilirliği geliştirirken diğer analitik araçlarla birlikte
tahminler.
[54]
72
Sayfa 73
OKTAV
nicel veya Nitel

nitel
1
Zaman Etki ve olasılık değerleri

1
İnsan faktörü OCTAVE, esnek ve kendi kendini yöneten bir risk değerlendirme metodolojisidir. A
operasyonel (veya iş) birimlerinden ve BT'den oluşan küçük bir ekip
departman, kuruluşun güvenlik ihtiyaçlarını karşılamak için birlikte çalışır.
Ekip, aşağıdakileri tanımlamak için birçok çalışanın bilgisinden yararlanır.
mevcut güvenlik durumu, kritik varlıklara yönelik riskleri belirleme ve bir güvenlik
strateji. Çoğu kuruluş için uyarlanabilir.
3
kullanılabilirlik 3
Dürbün Esas olarak bilgi sistemleri için

Dar
Esneklik Her yöntem, kuruluşun benzersiz risk ortamına göre uyarlanabilir,

güvenlik ve dayanıklılık hedefleri ve beceri düzeyi.
Esnek
standartlar Yok
uyma
73
Sayfa 74
CORAS
nicel veya Nitel

nitel 1
Zaman 7 adımları içerir, ancak her biri çok karmaşık değil
2
İnsan faktörü İnsanlar için özel bir gereklilik yoktur

3
kullanılabilirlik Karmaşık hesaplama yok, UML tabanlı model

3
Dürbün Ağırlıklı olarak bilgi sistemleri güvenliği için

Dar
Esneklik Sistem tasarımına ve risk analizine entegre yaklaşım

Esnek
standartlar ISO 31k, ISO 27k, AS/NZS 4360

uyma
74
Sayfa 75
CORA
nicel veya Nitel

nitel 1
Zaman İki adımlı süreç

3
İnsan faktörü CORA, risk analizini gerçekleştirmek için dış risk uzmanlarını kullanır,
1
kullanılabilirlik Kullanıcı dostu program arayüzleri, talimatları ve veri girişini içerir

rehberlik. Yöntem kullanılmaya başlandığından beri çok kararlı bir kullanım ortamı
1978 yılında kullanılacaktır.
3
Dürbün Her türlü risk için geçerlidir

Kalın
Esneklik Tek kayıp değeri, ardından toplayın

Esnek değil
standartlar Yok
uyma
Satın alma fiyatı 7.000 ila 85.000 ABD Doları
75
Sayfa 76
KOBRA Şu anda yeniden geliştirme aşamasında, Şu anda satın alınamıyor

nitel 2
Zaman Olgun bir ankete dayalı bir sistem olduğu için çok zaman maliyetli değildir.
Yazılım desteği
3
İnsan faktörü Kuruluşun kendisi tarafından alınabilir, dışarıdan bir şart aranmaz
3
kullanılabilirlik PC araçlarına ve uzman sistem ilkelerine dayalıdır, ancak yeni sürüm değil
şu an müsait
1
Dürbün Kalın
Esneklik Esnek
standartlar ISO 17799 → ISO 27k

uyma
Satın alma fiyatı 895 $ (yalnızca ISO 17799) / 1995 $ (Tam takım)
76
Sayfa 77
Risk İzleme

nitel 2
Zaman Önceden tanımlanmış modeller ve uzman veritabanı

3
İnsan faktörü Harici uzman gerekmez

3
kullanılabilirlik Olgun iş çözümleriyle kullanımı kolay

3
Dürbün Sadece bilgi sistemlerini değil 5 alanı kapsayabilir

Kalın
Esneklik Organizasyonu, tesisleri, sistemleri, uygulamaları, ağları vb. analiz edebilir

Esnek
standartlar ISO 27k, ISO 32k ve diğer stantlar

uyma
Satın alma fiyatı 15000$
77
Sayfa 78
SIKI BAĞLAMAK
nicel veya Nitel

nitel 1
Zaman Basit ve hızlı

3
İnsan faktörü Sahip, proje lideri, kolaylaştırıcı, yazar, ekip üyelerini içerir
Harici insanlara ihtiyaç yoktur, ancak insanlar süreci anlamalı ve
beyin fırtınası
2
kullanılabilirlik Kullanımı kolay, en az maliyetli

3
Dürbün Ağırlıklı olarak bilgisayar ve yazılım şirketi için

Dar
Esneklik Ağırlıklı olarak zaman ve maliyet azaltma gerektiren sistemlerde

bir seferde bir sistem
Esnek değil
standartlar ISO 17799 → ISO 27k

uyma
78
Sayfa 79
COSO ERM
nicel veya Risk değerlendirme teknikleri. Risk değerlendirme metodolojileri aşağıdakileri içerir:
nitel kalitatif ve kantitatif tekniklerin kombinasyonu. Bir örnek
nitel risk değerlendirmesinin kullanımı, görüşmelerin veya grup
gelecekteki olayların olasılığının veya etkisinin değerlendirilmesi. Nicel
teknikler olasılıklı ve olasılıksal olmayan modelleri içerir. olasılıksal
modeller, geleceğin olasılığı hakkında belirli varsayımlara dayanmaktadır.
Etkinlikler. Senaryo planlama, duyarlılık gibi olasılık dışı modeller
önlemler ve stres testleri, olayların etkisini tahmin etmeye çalışır.
ilişkili bir olasılığın nicelleştirilmesi [48].
Her ikisi de
Zaman Bir işletmedeki tüm yönleri ve tüm seviyeleri göz önünde bulundurmanız gerekir, bkz.
model
1
İnsan faktörü İhtiyacı uzman

2
kullanılabilirlik Pratik, sürdürülebilir ve anlaşılır

3
Dürbün Bir organizasyonun faaliyetlerindeki tüm seviyeleri ve tüm aşamaları kapsar

Kalın
Esneklik Kuruluşlar ve kapsamlı değerlendirme için

Esnek değil
standartlar 2010.A1, 2120.A1, 2210.A1

uyma
Satın alma fiyatı Maliyet
79
Sayfa 80
@Risk
nicel veya Nicel

nitel 2
Zaman Microsoft excel desteği ile Monte Carlo Simülasyonuna dayalı
2
İnsan faktörü Özel bir gereklilik yok

3
kullanılabilirlik Olgun ürün

3
Dürbün Sadece BT güvenliği değil

Kalın
Esneklik Modelleri çeşitli senaryolarla simüle etmeyi sağlar

Esnek
standartlar Yok
uyma
80
Sayfa 81
Referanslar
[1] IEC/ISO 31010, “Risk yönetimi – Risk değerlendirme teknikleri,” ULUSLARARASI
ELEKTROTEKNİK KOMİSYON, 2009
[2] A. Rot, “BT Risk Değerlendirmesi: Niceliksel ve Niteliksel Yaklaşım”,
Dünya Mühendislik ve Bilgisayar Bilimleri Kongresi, 2008
[3] G. Stonebumer, A. Goguen ve A.Feringa, “Risk Management Guide for Information
Teknoloji Sistemleri - Ulusal Standartlar Enstitüsü'nün Tavsiyeleri ve
Teknoloji”, Ulusal Standartlar ve Teknoloji Enstitüsü, Özel Yayın 800-30,
2002
[4] S. Kaplan ve BJ Garrick, “On The Quantitative Definition Of Risk,” Risk Analysis,
Cilt 1, Sayı 1, 1981
[5] TJ Altenbach, “Kalitatiften Risk Değerlendirme Tekniklerinin Karşılaştırılması
Kantitatif,” ASME Basınç ve Borulama Konferansı, 1995
[6] B. Karabacak ve I. Soğukpınar, “ISRAM: bilgi güvenliği risk analiz yöntemi”
Bilgisayar ve Güvenlik 24, s. 147-159, 2005
[7] L. Willcocks ve H. Margetts, “Risk değerlendirmesi ve bilgi sistemleri”
[8] J. Bisson ve RS Germain, “Daha iyi bir yaklaşım için BS 7799 / ISO 17799 Standardı
bilgi güvenliğine," Beyaz Kitap
[9] C. Schou, “Kurum için Bilgi Güvencesi: Bilgiye Giden Yol Haritası
Güvenlik,”McGraw-Hill / Irwin, 1 st edition 2006, Bölüm 15
[10] http://www.enisa.europa.eu/activities/risk-management/current-risk/risk-management-
envanter/rm-süreç/risk değerlendirmesi, Avrupa Birliği Ağ ve Bilgi Ajansı
Güvenlik, Alınan 2014
[11] Loudon K, Loudon J. Yönetim Bilişim Sistemleri: Çağdaş Bir Perspektif.
Macmillan, New York, 1991.
[12] HA Linstone, M. Turoff ve Olaf Helmer, “The Delphi Method Techniques and
Uygulamalar,” ISBN 0-201-04294-0, 2002
[13] J. Rees ve J. Jaisingh, “Risk Altındaki Değer: Bilgi Güvenliği Riski için bir metodoloji
Değerlendirme”, CERIAS Tech Report 2001-127
[14] MP Kailay ve Peter Jarratt, “RAMeX: bilgisayar için prototip uzman sistem
güvenlik riski analizi ve yönetimi,” Computers & Security 14, 1995
[15] ISO/IEC 27002:2013, “Bilgi teknolojisi – Güvenlik teknikleri – Uygulama kuralları
bilgi güvenliği kontrolleri için,” ISO & IEC, 2013 (Önceki ISO17799:2005)
[16] ISO/IEC 27001:2013, “Bilgi teknolojisi – Güvenlik teknikleri – Bilgi
güvenlik yönetim sistemleri – Gereksinimler,” ISO & IEC, 2013 (Önceki
ISO/IEC27001:2005, BS7799)
81
Sayfa 82
[17] FIPS PUB 199, “Federal Bilgilerin Güvenlik Kategorizasyonu için Standartlar ve
Bilgi sistemleri,” NIST Bilgi Teknolojileri Laboratuvarı, 2004
[18] C. Alberts, A. Dorofee, J. Stevens ve C. Woody, “OCTAVE'a Giriş
Yaklaşım,” Carnegie Mellon Yazılım Mühendisliği Enstitüsü, 2003
[19] Palisade Corporation, “@RISK: Uygulamalı Bir Eğitim” 2011
[20] T. Dimitrakos, B. Ritchie, D. Raptis ve K. Stolen, “Model tabanlı Güvenlik Riski
Web Uygulamaları için Analiz: CORAS yaklaşımı,” Euroweb 2002
[21] BS IEC 61882:2001, “Tehlike ve işletilebilirlik çalışmaları (HAZOP çalışmaları) – Uygulama
Kılavuz,” IEC, 2001
[22] FD Braber, G. Brendeland, HEI Dahl, I. Engan, I. Hogganvik, MS Lund, B.
Solhaug, K. Stolen ve F. Vraalsen, “The CORAS Model-based Method for Security Risk
Analiz,” SINTEF, 2006
[23] K. Lin ve KE Holbert, “Güç Sisteminin Güvenlik Açığı Değerlendirmesi için PRA
Altyapı Güvenliği,” Güç Sempozyumu, 2005
[24] EJ Henley ve H. Kumamoto, “Olasılıksal Risk Değerlendirmesi,” IEEE Press, s.8-
43, New York, 1991
[25] H. Kumamoto ve EJ Henley, “Mühendisler için Olasılıksal Risk Değerlendirmesi ve
Bilim adamları,” IEEE Press, s.95-115, New York, 1996
[26] CCPs 1992, “Tehlike değerlendirme prosedürleri için kılavuzlar, ikinci baskı,” Center for
kimyasal süreç güvenliği, Amerikan kimya mühendisleri enstitüsü, 1992 (kitap P276)
[27] Dünya Sağlık Örgütü, “Gıdalarda mikrobiyolojik tehlikelerin risk karakterizasyonu,
Kılavuzlar”, FAO/WHO, 2009
[28] C. Bazzani ve M. Canavari, “İtalya'daki taze domates pazarının bir senaryosunu tahmin etmek
ve Almanya'da Delphi yöntemini kullanarak,” British Food Journal, 2013
[29] A. Vorster ve L. Labuschagne, “Farklı Bilgileri Karşılaştırmak İçin Bir Çerçeve

Güvenlik Riski Analiz Metodolojileri”, SAICSIT, 2005
[30] David Gossman, “Hazop – Artıları ve Eksileri”, http://gcisolutions.com/gcitn0309.html,
2014 alındı
[31] A. Behnia, RA Rashid ve JA Chaudhry, “A Survey of Information Security Risk
Analiz Yöntemleri”, Smart Computing Review, 2012
[32] “SSS: BGYS risk yönetimi”,
http://www.iso27001security.com/html/risk_mgmt.html, Alındı 2014
[33] “COBRA Modül Yöneticisi”, http://www.security-risk-analysis.com/modman.htm,
2014 alındı
[34] TR Peltier, “KOLAYLAŞTIRILMIŞ RİSK ANALİZ SÜRECİ (FRAP)”, Auerbach
Yayınlar, 2000
[35] “Kurumsal Risk Yönetimi — Entegre Çerçeve: Yönetici Özeti”,
Treadway Komisyonu Sponsor Kuruluşlar Komitesi, 2004.
82
Sayfa 83
[36] COSO ERM, http://www.grc-resource.com/?page_id=32, Alındı 2014

[37] Riskwatch, http://riskwatch.com, Alındı 2014
[38] USNRC, “Olasılıksal Risk Değerlendirmesi (PRA) Eğitimi”, Alındı 2014
[39] ISO/IEC 27000:2014, “Bilgi teknolojisi-güvenlik teknikleri – bilgi
güvenlik yönetim sistemlerine genel bakış ve kelime bilgisi”, ISO & IEC, 2014
[40] “iso 31000 ve iso 27001 nasıl ilişkilidir”,
http://www.iso27001standard.com/blog/2014/03/31/iso-31000-and-iso-27001-how-are-they- Related/ ,
2014 alındı
[41] ISO/IEC 27005:2011, “Bilgi teknolojisi-güvenlik teknikleri-bilgi güvenliği
risk yönetimi”, ISO & IEC, 2011
[42] IAAITC, ENISA, MEA-I, “Mikro ve küçük işletmeler için risk yönetimi ve BT güvenliği
iş”, 2007
[43] T. Chen ve J. Freeman, “AHP-Entropi ağırlığı ve TOPSIS metodolojisini kullanarak
yeşil tedarikçi seçimi”, EuroMA 2014 Konferansı, 2014
[44] MC Lee, “Bilgi Güvenliği Risk Analiz Yöntemleri ve Araştırma Trendleri/ AHP
ve Bulanık Kapsamlı Yöntem”, IJCSIT, 2014
[45] ENISA, “Risk değerlendirmesi ve risk yönetimi yöntemleri: Bilgi Paketleri
Küçük ve Orta Ölçekli İşletmeler (KOBİ'ler)”, 2006
[46] ALARP, http://www.hse.gov.uk/risk/theory/alarpglance.htm , Alındı 2015
[47] “Risk Analizi, Risk Değerlendirmesi, Risk yönetimi”,
http://www.nr.no/~abie/RiskAnalysis.htm, Alındı 2014
[48] Kurumsal Risk Yönetimi—COSO Çerçevesi: Denetim İçin Bir Başlangıç ve Araç
Komite, 2010 AICPA
[49] Silvianita, MF Khamidi ve KV John, “Risk Değerlendirmesinin Eleştirel İncelemesi
Yöntem ve Uygulamaları”, IACSIT, 2011
[50] MC Lee, “Bilgi Güvenliği Risk Analiz Yöntemleri ve Araştırma Trendleri: AHP
ve Bulanık Kapsamlı Yöntem”, IJCSIT, 2014
[51] S. Radack, “Sistem geliştirme yaşam döngüsü”, NIST
[52] FTA, http://en.wikipedia.org/wiki/Fault_tree_analysis, Alındı 2014
[53] FMECA, http://en.wikipedia.org/wiki/Failure_mode,_effects,_and_criticality_analysis,
2014 alındı
[54] “FY 2004 Araştırma ve Geliştirme Başarıları”, Federal Havacılık
Yönetim, 2004, Alınan 2014

83

R SK N İncelenmes Ve Değerlend R Lmes B L Ş M S Stemler Nde Değerlend Rme Yöntemler

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

R SK N İncelenmes Ve Değerlend R Lmes B L Ş M S Stemler Nde Değerlend Rme Yöntemler

Uploaded by

Copyright:

Available Formats

02.08.

2021 Bilişim Sistemlerinde Risk Değerlendirme Yöntemlerinin İncelenmesi ve Değerlendirilmesi

Riskin İncelenmesi ve Değerlendirilmesi

An Investigation and Evaluation of Risk

Bilgisayar Bilimi ve Mühendisliği Bölümü

Yazar, Chalmers Teknoloji Üniversitesi'ne münhasır olmayan

Şekiller ve Tablolar ................................................................. ................................................................ ................................ 5

Kısaltmalar Listesi ................................................ ................................................................ ................................ 7

Teşekkür ................................................................ ................................................................ ................................ 9

Soyut ................................................. ................................................................ ................................................11

1. Giriş ............................................... ................................................................ ................................ 13

2. Araştırma Metodolojisi ................................................................ ................................................................ ........................ 17

3. Risk değerlendirmesi temel kavramları ve kapsamı ................................................................ ................................21

4. Risk değerlendirme standartlarının, araçlarının ve metodolojilerinin gözden geçirilmesi ................................ 26

5. Metodolojilerin Analizi ................................................................ ................................................................ ..... 37

5.2.2. Çevresel kriterler ................................................................ ................................................................ ................................ 43

6. Öz - gelişmiş metodoloji ........................................... .................................................. .. 52

Ek A. Karar çerçevesi için risk değerlendirme metodolojisi analizi

Referanslar ................................................. .................................................. ................................................ 81

1.1. Bilgi Güvenliği

1.2. Risk nedir

1.3. Neden risk değerlendirmesi

analizine girmeden yüksek, orta, düşük seviyedeki riski tanımlayabilir.

- Nicel analiz, riski dönüştürmek için matematiksel ve istatistiksel yöntemler kullanır

2.1. Araştırma Hedefleri

• Raporda kullanılan risk değerlendirme yöntemlerinin kapsamlı bir analizini yapmak.

2.2. Literatür incelemesi

Bu tezin izleyeceği literatür tarama süreci Rot [2]'ye göredir. Bu

2.2.1. Problem formülasyonu ve arama kriterleri

2.2.2. Arama stratejisi

Çoğu çevrimiçi arama Google Akademik, Microsoft Akademik Arama ve

Şekil 1. Arama stratejisi

3. Risk değerlendirmesi temel kavramları ve kapsamı

Şekil 2. Risk değerlendirmesi ve risk yönetim süreci ile ilişkisi [1]

Çok sayıda makaleden çıkarılan temel kavramlar ve veriler aşağıda gösterilecektir.

3.1. Risk tanımlaması

Varlıklar Tehdit güvenlik açığı

-‐gizli kimlik -‐Doğa felaketi -‐Örgütsel

-‐Kullanılabilirlik -‐Teknik hata -‐Teknik zayıflık

Şekil 3. Bilgi sistemleri güvenlik risk değerlendirme modeli

Bilgi varlıkları üç boyuta göre değerlendirilebilir: gizlilik, bütünlük ve

SC (bilgi sistemi) = {(gizlilik, etki ), (bütünlük, etki ), (kullanılabilirlik,

Risk değerlendirmesinde varlıkların belirlenmesi, değerin değerlendirilmesinin bir önceki adımıdır. NS

3.1.3. Güvenlik açıkları

3.2. Risk analizi

3.3. Risk değerlendirme ve hafifletme

4. Risk değerlendirme standartlarının, araçlarının ve metodolojilerinin gözden geçirilmesi

hükümet, araştırma kuruluşları, sanayi dernekleri ve

ISO 27K Standartları ailede Şekil 4. İç ilişkiler

NIST SP 800, bilgi güvenliği teknik ve

Bu tezde kullanılabilecek ancak özel olarak tasarlanmamış başka standartlar da vardır.

4.2.1. Yönetim araçları

B. Danışma, Objektif ve İki Fonksiyonlu Risk Analizi (COBRA) [33]

C. @RISK (Monte-Carlo ile) [19]

NS. CORAS [20] [22]

e. Risk Maliyeti Analizi (CORA) [29]

F. Kolaylaştırılmış Risk Analizi Süreci (FRAP) [34]

G. Treadway Komisyonu Sponsor Kuruluşlar Komitesi Kurumsal risk

Şekil 5. Coso - ERM Çerçevesi [36]

H. Risk İzleme [37]

4.2.2. Teknik araçlar

Şekil 6. Hazop prosedürü işlem akışı

B. Olasılıksal Risk Değerlendirmesi (PRA) [23]