Professional Documents
Culture Documents
R SK N İncelenmes Ve Değerlend R Lmes B L Ş M S Stemler Nde Değerlend Rme Yöntemler
R SK N İncelenmes Ve Değerlend R Lmes B L Ş M S Stemler Nde Değerlend Rme Yöntemler
Sayfa 1
Sayfa 2
https://translate.googleusercontent.com/translate_f 1/70
02.08.2021 Bilişim Sistemlerinde Risk Değerlendirme Yöntemlerinin İncelenmesi ve Değerlendirilmesi
2
Sayfa 3
İçindekiler
Risk Değerlendirme Yöntemlerinin İncelenmesi ve Değerlendirilmesi ................................................. 2
Sayfa 4
https://translate.googleusercontent.com/translate_f 3/70
02.08.2021 Bilişim Sistemlerinde Risk Değerlendirme Yöntemlerinin İncelenmesi ve Değerlendirilmesi
7. Karar ............................................... .................................................. ................................ 66
4
Sayfa 5
Şekiller ve Tablolar
Şekil 1. Arama stratejisi ................................................................ .................................................. ................................. 19
Şekil 2. Risk değerlendirmesi ve risk yönetim süreci ile ilişkisi [1] ................................. 21
Şekil 3. Bilgi sistemleri güvenliği risk değerlendirme modeli ......................................... ............... 22
Şekil 4. İç ilişkiler ISO 27K Standartları ailede ....................................... ................................ 27
Şekil 5. Coso - ERM Çerçeve [36] ........................................ .................................................. .........31
Şekil 6. Hazop prosedür çalışma akımı ........................................... .................................................. . 33
Şekil 8. ISO 27000'de tanımlanan ISMS PDCA modeli ................................................ ................................................... 53
Şekil 9. Risk değerlendirme faaliyetinde BT sistemlerinin farklı seviyeleri arasındaki veri akışı .......... 54
Risk farklı değerlendirme kriterlerine Şekil 10. İlişkileri ........................................ ...................... 58
risk değerlendirmesi Şekil 11. AHP yapısı .......................................... ................................................ 59
Şekil 12. Genel risk matrisi ................................................................ ................................................................ ................................62
Şekil 13. ALARP modeli ................................................................ ................................................................ ...................................... 64
Tablo 1. Farklı risk değerlendirme yaklaşımı türlerinin karşılaştırılması .................................................. ...... 37
Tablo 2. Niteliksel yöntemler ................................................................ ................................................................ ................................38
Tablo 3. Nicel yöntemler ................................................................ ................................................................ ...................... 39
Tablo 4. Yarı Nicel (kombine) yöntemleri ........................................ .......................................... 39
Tablo 5. Çevresel kriterlere dayalı RA araçları için karar tablosu ................................................ ..... 46
Tablo 6. Çevresel kriterlere dayalı RA yöntemleri için karar tablosu ................................................ 47
Tablo 7. Maliyet/etki kriterlerine dayalı RA araçları için karar tablosu ................................................ .................49
Tablo 8. Maliyet/etki kriterlerine dayalı RA yöntemleri için karar tablosu ................................................. ........ 49
Tablo 9. RA yönetim araçlarının özellikleri ................................................................ ................................51
Tablo 10. Kuruluşun farklı seviyelerinde risk değerlendirmesi ................................................. ................ 55
Tablo 11. AHP analizi için karar tablosu ................................................ ................................................................ .. 61
https://translate.googleusercontent.com/translate_f 4/70
02.08.2021 Bilişim Sistemlerinde Risk Değerlendirme Yöntemlerinin İncelenmesi ve Değerlendirilmesi
5
Sayfa 6
https://translate.googleusercontent.com/translate_f 5/70
02.08.2021 Bilişim Sistemlerinde Risk Değerlendirme Yöntemlerinin İncelenmesi ve Değerlendirilmesi
6
Sayfa 7
Kısaltmalar Listesi
AHP: Analitik Hiyerarşi Süreci
ALARP: Makul Bir Şekilde Uygulanabilir Olduğu Kadar Düşük
ALE: Yıllıklandırılmış Zarar Beklentisi
CCA: Neden-Sonuç Analizi
COBRA: Danışmanlık, Objektif ve İki Fonksiyonlu Risk Analizi
CORA: Maliyet-of-Risk Analizi
COSO-ERM: Treadway Komisyonu Sponsor Kuruluşlar Komitesi
Kurumsal Risk Yönetimi
ETA: Olay Ağaçları Analizi
FMECA: Arıza Modları ve Etkileri ve Kritiklik Analizi
FRAP: Kolaylaştırılmış Risk Analizi Süreci
FTA: Hata Ağaçları Analizi
IA: Bilgi Güvencesi
BGYS: Bilgi güvenliği yönetim sistemleri
ISO 27k: ISO 27000 (standartlar ailesi)
MCDM: Çok Amaçlı Karar Verme
MCS: Minimal Cut Setleri
OCTAVE: Operasyonel Olarak Kritik Tehdit, Varlık ve Güvenlik Açığı Değerlendirmesi
PHA: Ön Tehlike Analizi
PRA: Olasılıksal Risk Değerlendirmesi
RA: Risk Değerlendirmesi
RPN: Risk Öncelik Numarası
SC: Güvenlik Kategorisi
SOL: Tek Oluşum Kayıpları
7
Sayfa 8
https://translate.googleusercontent.com/translate_f 6/70
02.08.2021 Bilişim Sistemlerinde Risk Değerlendirme Yöntemlerinin İncelenmesi ve Değerlendirilmesi
8
Sayfa 9
Teşekkür
Bu tezin başlangıcında, bazı kişilere saygılarımı sunmak istiyorum.
tez çalışmam için
Öncelikle danışmanıma ve sınav görevlisine en içten teşekkürlerimi sunarım.
Profesör Erland Jonsson. İlk tez fikriyle beni aydınlattı. Ve o var
https://translate.googleusercontent.com/translate_f 7/70
02.08.2021 Bilişim Sistemlerinde Risk Değerlendirme Yöntemlerinin İncelenmesi ve Değerlendirilmesi
sırasında mükemmel rehberlik, parlak tavsiyeler, teşvik ve kullanılabilirlik sağladı.
tüm tez çalışma süresi. Onun yardımı olmadan bu kadar ileri gidemezdim.
Ayrıca, çalışma danışmanım Elisabeth'e özel teşekkürlerimi sunarım.
Andersson, tez çalışma koşullarımla ilgili cömert yardımları ve tavsiyeleri için.
Son olarak, her zaman olduğu gibi aileme ve arkadaşlarıma en derin şükranlarımı sunmak istiyorum.
özverili sevgileri ve koşulsuz destekleri için.
9
Sayfa 10
https://translate.googleusercontent.com/translate_f 8/70
02.08.2021 Bilişim Sistemlerinde Risk Değerlendirme Yöntemlerinin İncelenmesi ve Değerlendirilmesi
10
Sayfa 11
Soyut
Teknoloji geliştikçe ve bilgi toplumu giderek daha popüler hale geldikçe,
bilgi sistemleri, insan yaşamının hemen her alanında yer almaktadır. Yakın tarihli bir örnek
içindeki her şeyi çözmeye çalışan, yükselen “nesnelerin interneti” kavramıdır.
ağ ve teknoloji. Teknolojinin bize getirdiği kolaylık ve faydalar ile riskler
zevk aldığımız ortamı da takip eder ve tehdit ederiz. Wikileaks, NSA ve Snowden,
vb., bu büyük dramalar, bizi bu güvenlik sorunları ve risklere karşı daha uyanık hale getirmelidir.
bilgi sistemleri ile karşılaşabilir. Potansiyel riskleri öngörmek için,
sonuçları ve olası karşı önlemleri hazırlamak, riske ilişkin kapsamlı bir inceleme
bugün sahip olduğumuz değerlendirme mekanizmalarına ihtiyaç vardır. esas olarak mevcut üç riski vardır
değerlendirme yöntemleri: nicel yaklaşım, nitel yaklaşım ve birleşik yaklaşım.
Bu tez, mevcut risk değerlendirme yöntemlerinin (8 yönetim aracı, 2
teknik araçlar ve 9 temel yöntem). Kapsamlı bir analiz ve karşılaştırma yapar
farklı yaklaşımlar arasında, bu, ankete katılanların yeniden yapılandırılmasını ve gruplandırılmasını içerir.
Önemli faktörlerine, işleme yöntemlerine ve uygulamalarına göre yöntemler
Çevre. Araştırılan yöntemlerin zayıflıkları ve yararları tartışılır ve bir risk
risk değerlendirme kararı ile ilgilenen değerlendirme sınıflandırma çerçevesi önerilmiştir
yapma veya diğer ilgili senaryolar. Ayrıca, sistematik bir yöntem ayrıntılı olarak sunulmuştur.
risk değerlendirme alanında çözüm. Son olarak, çalışmanın sonucu geniş olarak ele alınmıştır.
risk değerlendirme süreci tasarımı ve uygulamasının resmi.
https://translate.googleusercontent.com/translate_f 9/70
02.08.2021 Bilişim Sistemlerinde Risk Değerlendirme Yöntemlerinin İncelenmesi ve Değerlendirilmesi
11
Sayfa 12
https://translate.googleusercontent.com/translate_f 10/70
02.08.2021 Bilişim Sistemlerinde Risk Değerlendirme Yöntemlerinin İncelenmesi ve Değerlendirilmesi
12
Sayfa 13
1. Giriş
Risk, bilgi sistemlerinin güvenlik faaliyetlerinin her sürecinde ve her aşamasında mevcuttur.
Bilgi sistemlerinin risklerini inceleme süreci, çeşitli yöntem ve prosedürleri kullanmaktır.
risk yönetimi alanından, tehditleri ve güvenlik açıklarını sistematik olarak analiz eder.
ağ ve bilgi sistemleri, hasar seviyesini değerlendirmek ve önleme yöntemleri önermek
ve sistemi beklenmedik güvenlik olaylarından korumak için karşı önlemler,
Riski kabul edilebilir bir seviyede kontrol edin. Bilgi sistemlerinde beş ana risk vardır.
değerlendirilmesi gereken: kurumsal risk, altyapı riski, tanımsal belirsizlik,
rekabetçi tepki, teknik belirsizlik [7]. Genellikle farklı seviyelerde analiz edilirler.
kuruluşun faaliyetlerine göre. Bir örnek 6. bölümde görülebilir.
13
Sayfa 14
https://translate.googleusercontent.com/translate_f 11/70
02.08.2021 Bilişim Sistemlerinde Risk Değerlendirme Yöntemlerinin İncelenmesi ve Değerlendirilmesi
Risk yönetimi üç süreci içerir: risk değerlendirmesi, risk azaltma, risk değerlendirmesi
ve değerlendirme [3]. Risk değerlendirmesi, risk yönetiminin en önemli parçasıdır,
riskin sonuçlarını ve olasılıklarını belirlemek için kapsamlı prosedürler ve
riskle uğraşırken gelecekteki kararlar için destek sağlamak [1].
ISO 31010 [1]'de risk değerlendirme süreci üç aşamaya ayrılmıştır, risk tanımlama,
risk analizi ve risk değerlendirmesi. Risk tanımlama, olası durumları belirlemektir.
nihai hedefin değişmesine neden olabilir. Sebep, sonuçlar, çevre ve ilgili konular
riskler belirlenmelidir. Beyin fırtınası ve Delphi gibi teknolojilerin desteklenmesi
metodoloji [12] tanımlama sürecini iyileştirmek için kullanılabilir. Risk analizi yardımcı olmaktır
Kullanıcı, risk değerlendirmesi için bir girdi kaynağı sağladığı için riski tam olarak anlar, geliştirir
risk önceliği ve kabul düzeyi ve sonuçları sonraki faaliyetler için kullanır. esas olarak vardır
risk analizinde kullanılan üç tür risk, niteliksel, yarı niceliksel veya niceliksel [1].
Sonraki paragraflarda kısaca tanıtılacaklar ve daha fazla tartışma aşağıdaki paragrafta izlenecek.
aşağıdaki bölümler. Bir risk değerlendirmesi nihayet risk sonuçlarına karar verecek ve
karşı önlemlerin alınması için temel oluşturur.
- Niteliksel analiz için risk seviyesi genellikle kelimeler veya ölçeklerle tanımlanır. Bu
normalde önceki anket kayıtlarına, çalışanların deneyimlerine ve uzmanlara dayalıdır.
görüşler. Veriler, ameliyattan veya kuruluştaki görüşmeden toplanır, daha sonra
tehditleri, zayıflıkları ve kontrol yönlerini analiz etmek için verileri kullanın.
Mevcut riskleri ölçmek için kuruluş. Günümüzün karmaşık risk koşullarında
nicel yöntemler tüm olasılıkları simüle etmek için çok etkili olmayabilir, bu nedenle
nitel yöntemlerin tanıtılması amaca yardımcı olabilir [6]. Nitel yöntemler
analizörün yeterli bilgiye sahip olmadığı veya yeterli bilgiye sahip olmadığı durumlarda kullanışlıdır.
matematiksel ve istatistiksel yöntemleri risk modeline uygulamak için nitelikli koşullar [6]. o
14
Sayfa 15
https://translate.googleusercontent.com/translate_f 12/70
02.08.2021 Bilişim Sistemlerinde Risk Değerlendirme Yöntemlerinin İncelenmesi ve Değerlendirilmesi
nicel değer ve standart ile analiz sonucu, böylece objektif sonuç
(nitel yönteme kıyasla) daha güvenilir ve kabul edilmesi daha kolaydır ve
anlıyorum. Ancak süreç genellikle çok karmaşık ve zaman alıcıdır. Orası
veri toplamak ve nicel verileri hesaplamak için çeşitli yöntem ve standartlardır.
risklerin değeri ve genellikle doğruluk ve doğruluk konusunda çok yüksek gereksinimleri vardır.
Analiz için toplanan verilerin bütünlüğü. Yani genellikle oldukça
risk değerlendirmesinin tüm sürecini ölçmek imkansızdır.
- Yarı niceliksel risk analizi, kişinin durumu optimize etmeye çalıştığı durumlarda kullanılır.
risklerin bir kişiye yönelik etkisini en aza indirmek için mevcut kaynakların tahsisi
organizasyon. Daha fazla sayıda riski değerlendirebilme avantajı sunar.
tam bir matematiksel model olmadığı için nicel risk değerlendirmesinden daha fazla sorun
gereklidir [27]. Yarı niceliksel risk analizi, sayısal derecelendirme ölçeklerini kullanır.
risklerin sonucunu ve olasılığını temsil eder ve genel risk değerlendirmesini yapar
[1] formüllerini kullanarak. Bu sayılar gösterge niteliğinde olduğundan ve genellikle
nicel analiz, riskin doğru bir temsili değildir. Kullanıcılar
yarı niceliksel analiz kullanma konusunda dikkatli olun çünkü yarı niceliksel analiz
çeşitli tutarsızlıklara yol açar: seçilen sayılar doğru şekilde ayırt edilemeyebilir
farklı riskler, özellikle sonuçlar veya olasılık aşırı olduğunda [10].
Bu makalenin geri kalanı aşağıdaki gibi organize edilmiştir. 2. bölümde, araştırma yöntemi ve araştırma
amaç sunulur; Bu çalışmanın bilimsel bir şekilde yapılmasını sağlamak için anket süreci açıklanmaktadır.
ve sistematik bir şekilde. 3. bölümde, risk değerlendirmesi anahtar kavramları incelenmekte olup, bunun kapsamı
çalışma tanımlanır ve sonraki bölümler için teori desteği sağlar. 4. bölümde,
çeşitli mevcut RA metodolojilerinin araştırma sonuçları gösterilmektedir; toplanan veriler,
sonraki bölümdeki karşılaştırmaya ve çerçeveye girdi. 5. bölümde, bir karşılaştırma
nicel ve nitel yaklaşım arasında yapılır, farklı RA metodolojileri
önceki çalışmalara dayalı olarak değerlendirilir ve kullanıcının seçimi yapmasına yardımcı olacak bir karar çerçevesi
doğru yöntem geliştirilir. 6. bölümde, temel olarak aşağıdakilere dayalı olarak kendi geliştirdiği bir RA süreci,
15
Sayfa 16
mevcut RA'nın ne kadar esnek ve verimli kullanıldığını göstermek için önceki metodoloji tanıtılmıştır.
yöntemlerle gerçekleştirilebilir. Son olarak, yaptığım çalışmaya dayanarak bir sonuca varıyorum.
tamamlamak.
https://translate.googleusercontent.com/translate_f 13/70
02.08.2021 Bilişim Sistemlerinde Risk Değerlendirme Yöntemlerinin İncelenmesi ve Değerlendirilmesi
16
Sayfa 17
2. Araştırma Metodolojisi
Bu bölüm, çalışmanın araştırma amacını tartışır, kullanılan inceleme metodolojisini gösterir.
Çalışmada ve çalışılacak sorunu formüle eder. İncelenen kağıtlar
bölümün sonunda özetlenmiştir.
https://translate.googleusercontent.com/translate_f 14/70
02.08.2021 Bilişim Sistemlerinde Risk Değerlendirme Yöntemlerinin İncelenmesi ve Değerlendirilmesi
çalışır ve devam eden çalışmanın önemini ve potansiyelini ortaya çıkarır. Bu tezde,
literatür taraması, risk değerlendirmesinde kullanılan ana yöntemlerin belirlenmesine yardımcı olacaktır.
bilgi sistemi. Gözden geçirenin değerlendirmesine dayanarak, makalenin diğer içeriği
çalışmalar karar verilecektir.
17
Sayfa 18
Daha fazla çalışma devam ettikçe, araştırmaya yardımcı olmak için daha ayrıntılı sorular sorulacak:
• Nitel ve nicel yöntemler nasıl sınıflandırılmalı ve bunların neler olduğu
fayda ve zayıflık?
• Değerlendirilen her yöntemin süreci ve veri akışı nedir?
• Bu yöntemler, resmin bütününde güvenlik ölçütlerine nasıl katkıda bulunur?
Hedef ve sorulan sorulara dayalı olarak, arama kriterleri şu şekilde açıklığa kavuşturulacaktır:
makaleleri filtrelemeye yardımcı olun. Kapsamlı ölçütler, makalelerin daha fazla incelemeye dahil edilmesine yardımcı olur ve
özel kriterler, daha önce seçilen makalelerin hariç tutulmasına yardımcı olur:
• Kapsayıcı kriterler
o İçgörü analizi ve bilgilerin risk değerlendirmesinin pratik metodolojisi
nitel ve nicel yöntemler dahil olmak üzere sistemler
o Bilgi sistemlerinin risk değerlendirmesiyle sınırlı olmayan, ancak
daha genel ve temel risk değerlendirme yöntemlerine odaklanmak
o Araştırma materyalinin ve standart belgelerin en yeni versiyonu,
alan, birkaç sürüm varsa
o Çok atıf alan, iyi hazırlanmış, net bir şekilde düzenlenmiş ve kesinlik içeren makaleler
ve güvenilir sonuçlar
• Özel kriterler
o Bilgi sisteminin risk değerlendirmesiyle ilgisi olmayan veya özellikle
güçlü arka plan gerektiren diğer özel alanlar
o Aynı veya aynı alandan tekrarlanan veya örtüşen çalışmalar veya veriler
metodoloji
o Araştırma ve çalışmaların belirsiz ve yetersiz argümanları
o Çalışmaların belirsiz veya şüpheli sonuçları
o Aynı konunun eski versiyonları veya geliştirilmekte olan versiyonları
https://translate.googleusercontent.com/translate_f 15/70
02.08.2021 Bilişim Sistemlerinde Risk Değerlendirme Yöntemlerinin İncelenmesi ve Değerlendirilmesi
18
Sayfa 19
Şekil 1'de gösterildiği gibi, anahtar kelimeleri arama motoruna yazarak ve akademik
veritabanında, önceden tanımlanmış gereksinimlere uyan çok sayıda kağıt gösterilir.
Arama kriterlerini bu sonuçlara uygulamak, daha az sayıda makaleye yol açar. İçin
güncel bir anket sonucu elde edin, yayın yılı ve atıf sayısı da iki
dikkate alınması gereken ithalat faktörleri. Eşit atıf sayısına sahip benzer bir çalışma için bu çalışma referans alınacaktır.
daha yeni araştırmaya. Ayrıca, yüksek itibara sahip bazı klasik makaleler de var.
referans listesinde. Seçilen makaleler, karşılaştırma için farklı alanlara kategorize edilir
ve araştırma amacı, Siber riskler trendi, Bağımsız Geliştirilmiş yöntem, Bulut
hesaplama riskleri, Risk değerlendirme kılavuzu, PCI-DSS risk değerlendirmesi, E-'de risk değerlendirmesi
başlama, Risk değerlendirme standartları, Risk yöntemleri karşılaştırması, Nicel yöntemler,
19
Sayfa 20
https://translate.googleusercontent.com/translate_f 16/70
02.08.2021 Bilişim Sistemlerinde Risk Değerlendirme Yöntemlerinin İncelenmesi ve Değerlendirilmesi
Nitel yöntemler, Yarı nicel yöntemler, Teknik yöntemler, Bulanık teori, Bayes
sırasıyla teori, Saldırı grafiği ve İlgili kitaplar.
20
Sayfa 21
https://translate.googleusercontent.com/translate_f 17/70
02.08.2021 Bilişim Sistemlerinde Risk Değerlendirme Yöntemlerinin İncelenmesi ve Değerlendirilmesi
analiz, karşı önlemler ve koordinasyon, izleme, sürekli geri bildirim. Risk
değerlendirme yapısı ve risk yönetimi ile ilişkisi şekil 2'de gösterilmektedir [3].
21
Sayfa 22
değer ve ortamlar. Dolayısıyla bu üç nitelik, bir fonksiyon için temel girdi olarak kullanılacaktır.
riskleri değerlendiren:
R= f (a, t, v)
Formülde 'a' varlık değerini temsil eder, 't' tehdidin gerçekleşme olasılığını temsil eder.
oluşur ve 'v' bir sistemin içerdiği güvenlik açıklarının sayısını temsil eder. başka var
risk kavramını yorumlama yolları. Örneğin [14]'te yazarlar, riskin
varlık, tehdit türü, tehdit kaynağı, güvenlik açığı ve karşı önlemin birleşik etkisidir.
Çoğu yorum, risklerin temel üç unsurunun genişletilmiş versiyonu olduğundan, bu
tez, riski değerlendirmek için temel üçlüyü kullanacaktır. Bir bilgi sistemleri güvenlik riski
değerlendirme modeli Şekil 3'te gösterilmiştir.
Risk değerlendirmesi
https://translate.googleusercontent.com/translate_f 18/70
02.08.2021 Bilişim Sistemlerinde Risk Değerlendirme Yöntemlerinin İncelenmesi ve Değerlendirilmesi
3.1.1. Varlıklar
Bilgi sistemlerinde varlık değeri, organizasyon için sahip olunan mülkün değeridir.
tehlikede. Yalnızca bilgi sistemleriyle bağlantısı olan varlıkları dikkate alacağız.
Bu tez. Varlıklar, maddi veya maddi olmayan, donanımsal veya
yazılım, hizmet veya altyapı vb. Bilgi varlıklarının üç bölümü vardır.
Bilginin kendisini, bilgi ile ilgilenen tesisleri ve
insanlar bilgiyle uğraşır. Tesisin risk değerlendirmesi halihazırda yönetmelikte düzenlenmiştir.
Tesisin risk tesisin performansına bağlı olacaktır tesis satın alma aşaması,
kullanıcının gereksinimi altında. Ve insan kaynağı genel olarak örgütsel
yönetim alanı. Bu nedenle bilginin kendisi, değerlendirmede dikkate alınması gereken temel kısım olacaktır.
bilgi sistemlerinin varlıklar. Daha yürütmek amacıyla varlıkların Kategorizasyonu
etkin risk değerlendirmesi de önemlidir. [15]'e göre, varlıklar kategorize edilebilir
kullanıma dayalı, örneğin bilgi varlıkları, fiziksel varlıklar, yazılım varlıkları, insan varlıkları,
maddi olmayan duran varlıklar, vb. FIPS PUB 199 [17] bir güvenlik sınıflandırması kavramı verir,
22
Sayfa 23
Her bir unsurun etkisi düşük, orta, yüksek veya uygulanamaz olarak verilmiştir. Bu method
bilgi varlıklarının güvenlik düzeyini tanımlamanın sezgisel bir yolunu sunar.
Bir sonuca ulaşmak için varlıkların belirlenmesinden sonra varlıkların değerlendirilmesi yapılmalıdır.
varlıkların sınıflandırılması. değerlendirme nitel veya nicel bir şekilde yapılabilir. NS
niteliksel yol, varlıkların önem derecesini, varlıkların güvenlik düzeyine göre şu şekilde sıralamaktır:
daha önce olduğu gibi gizlilik, bütünlük ve kullanılabilirlik olmak üzere üç unsur tarafından belirlenir.
tartışıldı. Daha sonra varlıkların öneminin bir ölçüsü elde edilebilir [17]. nicel yol
varlıklarını değerlendirmek için gerçek çevre ve varlıkların değeri dayanmaktadır. A
Daha detaylı bir örnek Bölüm 6'da tartışılacaktır.
3.1.2. tehditler
Tehditler, genel olarak bilgi sistemlerine zarar veren olayları ifade eder. Daha
açık olarak, NISP SP900-30 göre [3], bir tehdit belirli threat- için potansiyel
Belirli bir güvenlik açığını başarıyla uygulamak için kaynak. dikkate alınması gereken üç yönü vardır
https://translate.googleusercontent.com/translate_f 19/70
02.08.2021 Bilişim Sistemlerinde Risk Değerlendirme Yöntemlerinin İncelenmesi ve Değerlendirilmesi
Tehdit olasılıkla: tehdit kaynakları, potansiyel güvenlik açıkları ve mevcut kontrolleri. Tespit etmek
tehdit kaynakları, önemli varlıkları doğru tüm potansiyel tehditler kabul edilmelidir. Tehdit-
kaynaklar çevre faktörleri veya insan faktörleri olarak kategorize edilebilir. Çevre faktörleri
deprem veya sel gibi genellikle dayanılmaz ve belirli arka planda tutarlı, böyle bulunmaktadır.
Kullanıcı her zaman onların çalışma ortamına göre çevre tehditleri dikkate almalıdır
olsa da bunları önlemek zordur. Bu arada insan faktörü daha bizim endişe vardır
Onlar farklı insanlar ve farklı durumlara ilişkin serseri, ve bu daha fazla olduğu için
Zor normal doğa afetler daha insan davranışlarını tahmin etmek. Bir tehdidin mevcut formu
Bu tür yetkisiz değişiklik gibi sistemlerde, karşı doğrudan ya da dolaylı olarak saldırı olabilir,
gizliliğinin, bütünlüğünün veya kullanılabilirliğinin ihlaline yol açan sızıntı vb.
23
Sayfa 24
sistem veya kasıtsız bir olay. NISP olarak SP800-30 [3], insan faktörleri tehditler
kaynak, motivasyon ve tehdit eylemleri olarak listelenir. Üç tehditlerin olasılığını belirlemek için
yönleri dikkate alınmalıdır:
1. Önceki güvenlik raporlarındaki tehdit istatistikleri;
Pratik bir ortamda verilerle, saldırı tespit araçlarını kullanarak 2. Koleksiyonu
Günlük dosyalarını veya diğer yöntemlerle kontrol etmek;
popüler tehditlerin tatmin sahip yetkili kaynakları 3. Referans.
https://translate.googleusercontent.com/translate_f 20/70
02.08.2021 Bilişim Sistemlerinde Risk Değerlendirme Yöntemlerinin İncelenmesi ve Değerlendirilmesi
24
Sayfa 25
25
Sayfa 26
https://translate.googleusercontent.com/translate_f 21/70
02.08.2021 Bilişim Sistemlerinde Risk Değerlendirme Yöntemlerinin İncelenmesi ve Değerlendirilmesi
varlıklar değer veri girişi sonrasında sistemin tehdit ve güvenlik açığının olasılığı
Endüstriyel ve akademik standartlara, risk değerlendirme araçları ve gözetiminde
verileri işlemek, riskleri değerlendirmek ve karar vermeye yardımcı olmak için metodolojiler uygulanacaktır.
Bu araçlar ve metodolojiler nicel ve nitel iki temel yaklaşım, bazı var
bunların bir kısmı kullanım ortamına ve sürece bağlı olarak karma bir yaklaşım kullanacak
yapı.
Bu araştırma bölümünde her bir yöntemin en önemli özellikleri analizi yoluyla çekildi ve
paralel karşılaştırma ve daha sonra karar çerçevesi oluşturmak için veriler toplanır.
4.1. standartlar
Risk yönetimi ve değerlendirmesi için önerilen farklı standartlar ve yapılar bulunmaktadır.
Farklı vurgulamak ve bazı eski standartlar artık yeni standartlar birleştirilir var.
Kuruluşlar kendilerine uygun standardı seçmeliydi. Tipik olanlar ISO'dur
Bazı tanımlamalar başlangıcı bölüm 3 anılır 31000; ISO 27001:2013
(önceden BS 7799 olarak biliniyordu), ISO 27002:2013 (önceden 17799 olarak biliniyordu), birlikte
diğer destek belgelerle onlar BGYS (bilgileri kapsar ISO 27000 ailesini kurdu
güvenlik yönetim sistemleri) tanımlar, gereksinimler, ölçümler, rehberlik
uygulama ve yönetimi; Ve NIST 800 standartları aile, aynı zamanda yaygın olarak kullanılmaktadır
risk değerlendirmesi alanında, bir yönetim standardı sağlamak için sürekli güncellenmektedir.
ve rehberlik güvenli ve hassas bilgileri korumak için.
ISO 27k standartları ailesi, İngiliz standardı BS 7799'dan (daha sonra birkaç
güncellenmiş versiyonları ve ISO 17799). geliştirme süreci görüşlerini yer verdi
26
Sayfa 27
https://translate.googleusercontent.com/translate_f 22/70
02.08.2021 Bilişim Sistemlerinde Risk Değerlendirme Yöntemlerinin İncelenmesi ve Değerlendirilmesi
BGYS için prosedürel ve dokümantasyon çerçeve. Bu organizasyon gelen risk konuları kapsamaktadır
detaylı operasyonel ve teknik düzeyde yüksek seviyesi. teknik vurgu sadece bir parçası olduğu
yapının genel güvenlik durumunu geliştirir prosedürün. sayılar vardır
ISO'nun 27k standartları altında alt standartların. Aşağıda başvurulan standartları
NS:
ISO 27000:2014 - BGYS genel bakışları ve uzman kelime açıklaması
ISO 27001:2013 - BGYS gereklilikleri, performansı ve spesifikasyonları
ISO 27002:2013 - BGYS kontrol önlemleri
ISO 27003: 2010 - vakalarda yoluyla uygulama rehberlik BGYS
ISO 27004:2009 - BGYS için bilgi güvenliği ölçümü ve ölçümleri
uygulama ve güvenlik değerlendirmesi
ISO 27005: 2011 - Bilgi güvenliği risk yönetimi süreci / metodoloji
ISO 27006: 2011 - BGYS sertifikasını temin etmek birim için BGYS belgelendirme gereksinimi
hizmet
geri kalan genel kurallar ise Şekil 4'de, R, gereken anlamına gelir. başka var
ilişkilerinin tanıtıldığı ISO 27K standartlar ailesinde desteklenen standartlar
ISO 27000 belgesine [39] bulunabilir.
27
Sayfa 28
ISO 31000, risk yönetimi ve değerlendirme alanında bir başka popüler standarttır.
tezde daha önce değinilmiştir. Yönetmek için ilkeler, bir çerçeve ve bir süreç sağlar.
risktir ve ISO 27001 ile işbirliği yapılabilir ve entegre edilebilir. ISO 31000 herhangi bir teklif sunmaz.
bilgi güvenliği risk değerlendirmesi ve risk tedavisi hakkında özel tavsiyeler. Öyleyse
bilgi güvenliği sorunlarını çözerken, diğer belirli standartları da incelememiz gerekir.
ISO 27005 gibi. Bununla birlikte, ISO31000, stratejik bir bilgi sağlamak için iyi bir ek olabilir.
genel risk yönetimi konuları için çerçeve [40].
https://translate.googleusercontent.com/translate_f 23/70
02.08.2021 Bilişim Sistemlerinde Risk Değerlendirme Yöntemlerinin İncelenmesi ve Değerlendirilmesi
4.2. Araçlar
28
Sayfa 29
https://translate.googleusercontent.com/translate_f 24/70
02.08.2021 Bilişim Sistemlerinde Risk Değerlendirme Yöntemlerinin İncelenmesi ve Değerlendirilmesi
CORA risk modeli, tehditler, işlevler ve varlıklar hakkında toplanan verileri ve
Sonuçları hesaplamak için işlevlerin ve varlıkların güvenlik açıkları, yani
tehditlerin ortaya çıkması için. Risk parametrelerinin ifade edildiği bir metodolojidir.
nicel olarak ve kayıpların nicel parasal olarak ifade edildiği durumlarda. CORA oluşur
iki aşamalı sürecin: İlk olarak, kullanıcının ilgili riskleri toplaması ve doğrulaması için belgeler sağlar.
parametreler; İkinci olarak CORA, SOL (tek oluşumlu kayıplar) ve ALE'yi (yıllık
kayıp beklentisi) tanımlanan tehditlerin her biri için. Bir tehdit için tek bir kayıp değeri tahmin eder
bir kuruluşa gönderir ve ardından bu değeri tehdidin oluşma sıklığıyla çarpar.
29
Sayfa 30
https://translate.googleusercontent.com/translate_f 25/70
02.08.2021 Bilişim Sistemlerinde Risk Değerlendirme Yöntemlerinin İncelenmesi ve Değerlendirilmesi
30
Sayfa 31
Risk İzleme, hem nicel hem de nitel verileri birleştiren bir risk değerlendirme aracıdır.
değerlendirme yaklaşımları. ISO 27k ve diğer risk değerlendirme standartlarını destekler ve
küçük veya büyük ölçekli organizasyonları, tesisleri, sistemleri, uygulamaları veya ağları analiz etmek için kullanılır.
ölçek. Araç, farklı alanlara odaklanan ve bu tezin içinden çıkacağı 5 ürün içermektedir.
sadece bilgi sistemi güvenlik kısmına yöneliktir. Risk İzleme, aşağıdaki gibi avantajlara sahiptir:
kullanıcı dostu arayüz, önceden tanımlanmış risk değerlendirme modelleri ve uzman bilgisi kullanır
Kullanıcının riskleri ve güvenlik açıklarını verimli bir şekilde değerlendirebilmesi için veritabanı. Ayrıca, o
kullanılabilirliği ve kurumsallığı geliştirmek için çeşitli platformlara kolay erişim sağlar. o
ayrıca kullanıcının değerlendirme şablonlarını ve süreçlerini kendi amaçlarına göre özelleştirmesine izin verebilir.
pratik ihtiyaçlar. Risk değerlendirme araçlarının bu işlevi sağlaması çok nadirdir. tanım
Risk İzlemede riskin amacı, varlıkların, kayıpların, tehditlerin, güvenlik açıklarının ve
koruma. Risk İzlemenin sonucu, iki hedefe ulaşmak, mevcut koşullar altında riskleri belirlemektir.
durum ve risk azaltma veya azaltma önlemleri bulmak veya önermek ve bunların geçerli olduğunu kanıtlamak.
etkilidirler.
31
Sayfa 32
https://translate.googleusercontent.com/translate_f 26/70
02.08.2021 Bilişim Sistemlerinde Risk Değerlendirme Yöntemlerinin İncelenmesi ve Değerlendirilmesi
a. Güvenlik açığı tarayıcıları
Güvenlik açığı tarayıcıları, ağların veya sistemlerin güvenliğini değerlendiren araçlardır ve
güvenlik açıklarını belirleyebilir ve raporlayabilir. Ağları, sunucuları, güvenlik duvarlarını tarayacaklar,
Sistemlerdeki güvenlik ihlallerini ve ciddiyetini bulmak için yönlendiriciler, uygulamalar vb.
orada. Bu, sistemin farklı düzeylerinden yapılır: ağ düzeyi değerlendirmesi, çalıştırma
sistem düzeyinde değerlendirme, veritabanı düzeyinde değerlendirme ve uygulama düzeyinde değerlendirme. o
kullanıcıların potansiyel riskler konusunda güncellenebilmesi için düzenli olarak yapılmalıdır. Tipik
güvenlik açığı tarayıcıları, bağlantı noktası tarayıcıları (Nmap, Nessus), Web uygulaması tarayıcıları, Ana Bilgisayar
tabanlı tarayıcılar (Secpod Tarayıcı), veritabanı tarayıcıları vb.
B. Penetrasyon testi
Penetrasyon testi, bir maddenin zararlı etkilerini doğrulamak için ihtiyati bir ölçümdür.
sistemin güvenlik açığı, böylece yönetici, gerçek saldırılar meydana gelmeden önce bunları düzeltebilir.
Genellikle gerçeğe benzer bir saldırı simülasyonu gerçekleştirilerek gerçekleştirilir.
ancak kontrol edilebilir ve kurtarılabilir. İnsanlar beyaz kutu veya kara kutu yaklaşımını kullanabilir.
Pek çok durumda sızma testi, güvenlik açığı tarayıcılarıyla birlikte çalışabilir.
Güvenlik açığı tarayıcıları daha verimlidir ancak yanlış alarmlara neden olabilir ve
karmaşık güvenlik sorunlarını keşfedin. Öte yandan sızma testi daha fazlasını gerektirir
zaman ve kaynak yatırımı, ancak daha derinlemesine ve mantıklı ihlallerle başa çıkabilir.
4.3. metodolojiler
a. Hazop [21]
Tehlikeler ve İşlerlik, bir sistemin potansiyel risklerini tespit etmek için sistematik bir yöntemdir.
genellikle bir grup uzman tarafından gerçekleştirilir. Uzmanlar sorunların bir değerlendirmesini yapar ve
beyin fırtınası ve tartışma yoluyla riskler, Nedeni, olasılığı, olası
sonuçları ve ciddiyeti. Analiz etmek için anahtar kelimeler ve anahtar parametreler kullanılacaktır.
sistemleri tehdit eden anormal davranışlardır. Böylece, kullanıcı karşı önlemler alabilir.
riskleri kontrol edin. Hazop, kalitatif bir yaklaşımdır ve problemlerin
Onları çözmeye çok fazla vurgu. Hazop'un sonucu bir tehdit listesi olabilir. Her tehdit
nedenleri ve sonuçları hakkında daha fazla değerlendirmeye ihtiyaç duyacaktır. Şekil 6,
Hazop prosedürünün çalışma akışı.
32
Sayfa 33
https://translate.googleusercontent.com/translate_f 27/70
02.08.2021 Bilişim Sistemlerinde Risk Değerlendirme Yöntemlerinin İncelenmesi ve Değerlendirilmesi
33
Sayfa 34
https://translate.googleusercontent.com/translate_f 28/70
02.08.2021 Bilişim Sistemlerinde Risk Değerlendirme Yöntemlerinin İncelenmesi ve Değerlendirilmesi
büyük miktarda veri ve bilgi süreci. Ancak güvenilirliği artırabilir ve
kalite, arıza modlarının daha erken tanımlanmasını ve ortadan kaldırılmasını mümkün kılar ve
değişim maliyetlerini en aza indirir. Bir kez yapıldıktan sonra gelecek için değerli bir risk referansı olarak kullanılabilir.
operasyon. CA, iki ek adımla FMEA'nın genişletilmiş bir parçasıdır. İlk adım
başarısızlığın etkisinin ciddiyetini belirler ve sıralar, başarısızlığın olasılığını tahmin eder.
Arızanın oluşumu ve sistemin akımı ile bir arızanın ne sıklıkla tespit edilebileceği
güvenlik mekanizması. İkinci olarak, bir Risk Öncelik Numarası (RPN), aşağıdakilere dayalı olarak hesaplanacaktır.
önceki analiz. RPN=(Önemlilik)*(Olasılık)*(Algılama) elde ederiz. Değer ne kadar yüksekse
RPN, başarısızlık modlarını ayarlamak için motivasyon daha yüksek olmalıdır.
34
Sayfa 35
https://translate.googleusercontent.com/translate_f 29/70
02.08.2021 Bilişim Sistemlerinde Risk Değerlendirme Yöntemlerinin İncelenmesi ve Değerlendirilmesi
H. Delfi
Delphi, uzmanların deneyimlerinden yararlanmak için icat edilmiş tipik bir nitel yöntemdir.
dış müdahaleyi ve yanıltıcı bilgileri olabildiğince azaltmaya çalışırken
mümkün. Bu nedenle, geniş bir alana sahip karmaşık bir ortamımız olduğunda kullanılmalıdır.
çok fazla yeterli bilgi içermeyen, ancak büyük bir belirsizlik içeren bilgi miktarı. o
anonimlik, bağımsızlık ve geri bildirim ile karakterizedir. Bir grup karar yöntemidir.
Bu, herkesin düşüncelerini olabildiğince özgürce ifade edebilmesini sağlar. süreci
yöntem aşağıdaki gibi gösterecektir:
35
Sayfa 36
değerlendirme
Amaç
Yapmak Yönetmek,
1. tur
NS analiz,
Anket
plan Geri bildirim
seçin
panel
Yönetmek, Yönetmek,
3. tur 2. devre
Sonuç analiz, analiz,
Anket Anket
Geri bildirim Geri bildirim
https://translate.googleusercontent.com/translate_f 30/70
02.08.2021 Bilişim Sistemlerinde Risk Değerlendirme Yöntemlerinin İncelenmesi ve Değerlendirilmesi
36
Sayfa 37
5. Metodolojilerin Analizi
Bu bölüm, 4. bölümden toplanan sonucu analiz eder ve farklı RA'ları karşılaştırır.
metodolojiler. Son olarak, kullanıcıların uygun RA'yı seçmelerine yardımcı olacak bir karar çerçevesi sunar.
ihtiyaçlarına göre yöntem.
37
Sayfa 38
İncelenen yöntemlerin her biri için aşağıdaki tabloda bir özet yapılmıştır. gösterir
https://translate.googleusercontent.com/translate_f 31/70
02.08.2021 Bilişim Sistemlerinde Risk Değerlendirme Yöntemlerinin İncelenmesi ve Değerlendirilmesi
yöntemlerin özellikleri, avantajları ve dezavantajları:
38
Sayfa 39
https://translate.googleusercontent.com/translate_f 32/70
02.08.2021 Bilişim Sistemlerinde Risk Değerlendirme Yöntemlerinin İncelenmesi ve Değerlendirilmesi
STA orijinalinden Hepsini öğrenebilecek Zor
olay (yukarıdan aşağıya) olası nedenleri Büyük bir anlamak
öğrenmek için olaylar ve dahil olmak üzere hatalı ağaç
bileşimi farklı sıralama karmaşık mantık
farklı riskler ilişkiler ve ihtiyaç
işlevsiz ve dip olayları bilin'
riskler olasılık
39
Sayfa 40
Bu tez, farklı yöntemlerde yaygın olarak paylaşılan birkaç kriteri seçmiştir. Bunlar
kullanıcının amacına ve amacına göre tercih gösteren karşılaştırılabilir unsurlar,
kullanıcının nihai seçimi belirlemesine yardımcı olabilir. Kriterler ikiye ayrılır
bölümler, maliyet/etki kriterleri ve çevre kriterleri.
https://translate.googleusercontent.com/translate_f 33/70
02.08.2021 Bilişim Sistemlerinde Risk Değerlendirme Yöntemlerinin İncelenmesi ve Değerlendirilmesi
riskleri göze alamazlarsa paradan daha fazla doğruluk ve diğerleri tasarruf etmeyi tercih eder
bazı riskler tolere edilebilirse biraz para. Kriterler, kullanıcıların doğru olanı seçmesine yardımcı olmaktır.
risk sırasında maliyet ve etkinin denge noktasını bulmak için kendi durumlarında yöntem
Maksimum ekonomik faydaya ulaşmak için değerlendirme süreci. Risk değerlendirmesi sırasında
süreç, maliyet birçok faktörden etkilenir. Bu bölümde dört ana alt kriter ele alınmaktadır.
Bunlar Niceliksel veya Niteliksel, Zaman, İnsan faktörleri, Kullanılabilirliktir.
40
Sayfa 41
2 kez
Karar verme sürecinde zaman çok değerli bir faktördür. Zaman alıcı bir yöntem şu anlama gelebilir:
risk değerlendirme sonucunda daha karmaşık ve daha doğru, ancak önemli ölçüde daha pahalıya mal olacak
proje daha uzun sürer. Maliyet, finansal açıdan veya fırsat olarak olabilir.
terimler. Farklı metodolojiler, süreçleri nedeniyle farklı değerlendirme sürelerine ihtiyaç duyar.
değişir. Bunun nedeni, bazı metodolojilerin diğerlerinden daha karmaşık olmasıdır. onlar
sistem tasarımının/geliştirilmesinin farklı aşamalarını kapsar veya gerekli olan farklı değerlere ihtiyaç duyar.
almak için daha fazla zaman.
3. İnsan faktörleri
Risk değerlendirme sürecinde insan önemli bir etki faktörüdür. NS
https://translate.googleusercontent.com/translate_f 34/70
02.08.2021 Bilişim Sistemlerinde Risk Değerlendirme Yöntemlerinin İncelenmesi ve Değerlendirilmesi
RA ekip üyelerinin kalifikasyonu ve deneyimi, farklı kalitelere yol açacaktır.
sonuç. Daha iyi sonuç için değerlendirmenin profesyoneller tarafından yapılmasını isteriz. Ancak değil
her şirketin böyle bir departmanı vardır veya iş için yeterli yeteneğe sahiptir. Dışarıdan işe alma
sadece hizmet bedeli değil, satış sonrası destek maliyeti de bütçeye eklenecek uzmanlık,
ve bilgi aktarımı ve bakımı için maliyet. Bazı metodolojiler daha az ihtiyaç duyar
dahil edilecek profesyoneller veya yalnızca OCTAVE gibi dahili kişiler. Digerine ragmen
metodolojiler için harici risk uzmanları veya sertifikalı profesyoneller için gereksinim vardır.
örnek CORA. Ne kadar az dış insana ihtiyaç duyulursa, yöntemin daha iyi olduğunu düşünüyoruz.
41
Sayfa 42
Maliyetten tasarruf edin ve risk bilgilerinin dışarıya sızma riskinden kaçının. Ama bu hala bir
takas, kullanıcı daha profesyonel ve güvenilir, belki standart (sertifikalı) tercih ederse
Sonuç olarak, bu kriterin ağırlığını azaltmak ve nitelikli kişiler kullanmak iyi olabilir.
süreç için profesyonel bir RA danışmanı.
Kriterlerin puanı aşağıdaki gibidir, yani aynı ortam altında anlamına gelir: daha az dışsal
dahil edilmesi gereken daha karmaşık bir yönteme tercih edilir.
harici profesyoneller ve daha yüksek bir değerle atanırlar.
• Yöntemin riske dahil olan personel üzerinde esnek gereksinimi varsa
değerlendirme süreci veya mesleki bilgisi olmadan öğrenmesi ve uygulaması kolay,
3 değerinde
• Yöntem, RA sürecine yardımcı olmak için yalnızca birkaç uzman gerektiriyorsa, 2 değerini verir.
• Yöntem deneyimli risk uzmanları veya sertifikalı gerektiriyorsa veya tavsiye ediyorsa
risk değerlendirmesini yapmak için profesyoneller, 1'e değer veriyor
4. Kullanılabilirlik
Kullanılabilirlik, risk değerlendirme yönteminin uygulanmasını doğrudan etkiler ve
Projenin gelecekteki gelişimi veya değişikliği. Kötü kullanılabilirlik, bir yöntemin
bilimsel olarak ne kadar titiz olursa olsun, uygulanması zor ve çok maliyetlidir.
yöntemidir. Bu nedenle, aynı ağırlıkta olan yöntemler içinde daha basit bir yöntemi tercih ediyoruz.
kullanılabilirlik kriteri. Hesaplamanın nasıl yapıldığı gibi kullanılabilirliği değerlendirmenin birkaç yönü vardır.
matematiksel formülün karmaşık olup olmadığı yöntem için yapılır. yöntem ise
çok fazla ek eğitim gerektirecek kadar karmaşık veya değerlendirme yapıldıktan sonra sürdürülmesi zor
yapılır, o zaman zayıf kullanılabilirliğe sahiptir. Ayrıca, bazı yöntemler henüz geliştirilmiştir, bazıları ise
artık kullanılmamaktadır, bu nedenle bu durumda kullanılabilirlik belirsizdir. İyi kullanılabilirliğe sahip yöntemler için,
şirket projede çok fazla kaynak tasarrufu sağlayabilir. Ancak kullanıcı planlamıyorsa
süreç ve sonuç kısmından ödün verilmesi veya kullanılabilirlikten daha fazla diğer faktörlere değer verilmesi,
bu kriterin ağırlığını azaltabilirler.
https://translate.googleusercontent.com/translate_f 35/70
02.08.2021 Bilişim Sistemlerinde Risk Değerlendirme Yöntemlerinin İncelenmesi ve Değerlendirilmesi
42
Sayfa 43
• Yöntemin karmaşık matematiksel formüllere veya karmaşık kanıtlanmış bir sürece ihtiyacı varsa,
bunu düşük kullanılabilirlik olarak görüyoruz, bu nedenle 1 değerine sahip
1. Kapsam
Risk değerlendirme faaliyetlerinin kapsamı, risk değerlendirme faaliyetlerinin amacına ve kabiliyetine bağlıdır.
organizasyon. Bir risk değerlendirme yöntemi yalnızca bilgi güvenliği risklerine odaklanabilir,
veya daha geniş bir alanı kapsar. Uygun olan risk değerlendirme yönteminin seçilmesi
kapsam daha doğru sonuçlara yol açabilir, fazlalık sağlayabilir ve israfı önleyebilir. Kriter
iki farklı türe ayrılabilir: dar kapsam veya geniş kapsam.
2. Esneklik
Risk değerlendirme faaliyetlerinin esnekliğini iki türde tanımlayabiliriz: süreç esnekliği
ve zaman esnekliği. Süreç esnekliği için, bazı yöntemler, bir riskin değerlendirilmesi için tasarlanmıştır.
Risk değerlendirme projesinde tek süreç, diğerleri ise daha fazla analiz etme yeteneğine sahiptir.
organizasyonel bir perspektifte karmaşık sistem riskleri. Yöntemin mümkün olup olmadığını düşünüyoruz.
Karmaşık bir ortamda değerlendirmek ve farklı ihtiyaçlarla ilgilenmek, esnek bir yöntemdir. İçin
Yöntemin risk değerlendirmesini yalnızca bir kez gerçekleştirip ardından başlayabiliyorsa zaman esnekliği
veya yöntem sürekli çalışabilir ve sonucu yinelemeli olarak yeniden kullanabilir. İçin
zaman esnekliği bir örnek, veritabanı analizini destekleyen yöntemleri tercih edebilmemizdir.
sürekli RA işlemlerinde verilerin kullanılabilmesi için basit elektronik tablo yerine
etkili bir şekilde. Bu nedenle kriterlerde yöntemleri esnek ve esnek olmayan olarak kategorize ediyoruz.
yöntemler.
43
Sayfa 44
https://translate.googleusercontent.com/translate_f 36/70
02.08.2021 Bilişim Sistemlerinde Risk Değerlendirme Yöntemlerinin İncelenmesi ve Değerlendirilmesi
(Kanada Standartları Birliği Standardı) ve daha birçok farklı belge
standart kuruluşları. Bu çerçeve yalnızca en yaygın olarak kullanılan bazılarını dikkate alacaktır.
standartlar.
4. Satın alma fiyatı: Bazı metodolojiler belirli bir miktar kullanım ücreti gerektirebilir,
her yöntemin geliştiricisine veya dağıtıcısına bağlı olarak. Burada listelenen yön şunlara bağlıdır:
risk değerlendirme projesinin bütçesi ve kullanıcının ne düzeyde destek almak istediği. Eğer
projenin sınırlı bir bütçesi varsa, kullanıcı maliyetli yöntemi atlayabilir çünkü
piyasadaki birçok ücretsiz yöntem ve bunların da yetenekli oldukları kanıtlanmıştır. Fiyat
kriter, metodolojileri, kullanıcının yapması gereken ücretsiz yöntemler ve maliyet yöntemleri olarak sınıflandıracaktır.
ödemek.
Karar çerçevesi için dikkate almamız gereken iki ana bölüm var: maliyet/etki
yönü ve çevre yönü. Kullanıcı önce ne kadar ağırlığa istekli olduğuna karar vermelidir.
her bir parçasını tartın. Bazen bir risk değerlendirmesi projesi böylece sıkı bir bütçe altında
ekonomik yönü daha kritik olacaktır; diğer durumda çevre olabilir
Bu, projeye yüksek gereksinimler getirir. Kullanıcının karar vermesine yardımcı olmak için çerçeve,
karar süreci, maliyet/etki yönü ve çevresel boyut olmak üzere iki kısma ayrılır ve
sırasıyla Wc ve We olmak üzere her parçaya bir toplam ağırlık atar.
44
Sayfa 45
daha sistematik olarak geliştirilmiş ve genellikle hizmet veren temel risk değerlendirme metodolojileri
yönetim metodolojilerinin girdisi veya kaynağı. HAZOP gibi bazı metodolojiler
bilgi sistemleri risk değerlendirmesinde çok yaygın olarak kullanılmazlar, bu nedenle ihmal edilecektir.
analizin bu bölümünde.
https://translate.googleusercontent.com/translate_f 37/70
02.08.2021 Bilişim Sistemlerinde Risk Değerlendirme Yöntemlerinin İncelenmesi ve Değerlendirilmesi
45
Sayfa 46
SIKI BAĞLAMAK
Dar Değil ISO Özgür
https://translate.googleusercontent.com/translate_f 38/70
02.08.2021 Bilişim Sistemlerinde Risk Değerlendirme Yöntemlerinin İncelenmesi ve Değerlendirilmesi
esnek 17799/ISO
27K
Ağırlık
46
Sayfa 47
tahmini varışGeniş
süresiEsnek IEC 61025 Özgür
Ağırlık
Bu iki tablonun amacı, kullanıcının uygun yöntem hakkında karar vermesine yardımcı olmaktır.
özel RA çevresel durumları. Sonucu ölçmek için kullanıcının önce bir
Yukarıda listelenen çevresel kriterlere dayalı açık gereksinim listesi. risk değerlendirmesi
sadece BT güvenliği yönü ile mi yapıldı, yoksa diğer alanların da dikkate alınması gerekiyor mu? biz mi
basit bir hedefi veya karmaşık bir sistemi değerlendirmek için bir yönteme ihtiyaç duyuyor mu yoksa kuruluş mu?
her iki şartı da var mı? Uymamız gereken herhangi bir standart veya yerel düzenleme var mı? Nasıl
ne kadar ödeyebiliriz? Kullanıcının dikkate alması gereken daha çok şey var.
yukarıda tartışılan kriterler özellikleri. Kullanıcı ne tür bir çevresel
ihtiyaç duyduğu kriterleri, ardından listeyi yukarıdaki tabloyla karşılaştıracaktır. İlk karşılaştırın
yönetim araçları tablosu, ardından temel metodolojiler tablosu. Bunun nedeni ise
Yönetim araçları, kullandığımız yöntemin ilk seviyesini temsil ettikleri için önceliklendirilir.
risk değerlendirmesine başvuracak. Girdi veya girdi işlevi gören temel metodolojiler
destek, projede kullanacağımız yöntemin ikinci seviyesidir.
https://translate.googleusercontent.com/translate_f 39/70
02.08.2021 Bilişim Sistemlerinde Risk Değerlendirme Yöntemlerinin İncelenmesi ve Değerlendirilmesi
Metodolojileri değerlendirmek için öncelikle her satıra bir ağırlık atamamız gerekir (W kapsamı , W esnekliği, ,
W standartlar , W fiyat ). Bu, analizden çıkarılan çevresel kriterdir.
Farklı risk değerlendirme projelerinin gereksinimlerine bağlı olarak, kullanıcının
bu ortam kriterlerine öncelik verin ve her bir kritere bir yüzde ağırlığı atayın. Sonrasında
her ortam kriterinin göreceli önemi belirlenir, kullanıcı doğru olanı seçebilecektir
yöntemi, çevre kriterleri listesine göre. Her bir ortam kriteri için, eğer
yöntem, kullanıcının gereksinimini karşılarsa, ölçütlere iki puan atanacaktır.
yöntemi, aksi takdirde o kısım sıfır noktası ile bırakılacaktır. Dört çevre için puan
47
Sayfa 48
kriterler sırasıyla S kapsamı , S esnekliği , S standartları , S fiyatı olacaktır. Örneğin, eğer bir risk değerlendirmesi
projenin yalnızca bir BT projesinde yapılması gerekir, yalnızca yöntem için dar bir kapsam gerektirir,
OCTAVE, CORAS ve FRAP uygun olur ve 2 puan verilir.
“kapsam” kriterleri. Kullanıcının, listesini her yöntemin her kriteriyle karşılaştırması gerekir ve
Her yöntemin toplamını hesaplayabilmesini sağlayan bir tablo elde edin.
Her yöntem için elimizdeki
https://translate.googleusercontent.com/translate_f 40/70
02.08.2021 Bilişim Sistemlerinde Risk Değerlendirme Yöntemlerinin İncelenmesi ve Değerlendirilmesi
48
Sayfa 49
OKTAV 1 1 3 3
1 2 3 3
CORA 1 3 1 3
KOBRA 2 3 3 1
RİSK 2 3 3 3
İzlemek
SIKI BAĞLAMAK
1 3 2 3
COSO 2 1 2 3
ERM
@Risk 2 2 3 3
Ağırlık
STA 2 2 2 1
tahmini varış2süresi 2 3 2
Delfi 1 1 2 3
AHP 2 2 1 2
FMECA 2 2 2 2
Ağırlık
Maliyet/etki kriteri için kullanıcı, kendi imkanlarıyla en iyi ekonomik sonucu elde etmek ister.
yatırım. Bu şekilde tez, maliyet/etki kriterlerini 3'e ayırmanın bir yolunu önermiştir.
seviyeler. İdeal bir durumda en doğru, en kolay olması gereken en iyi sonucu bulmak
49
Sayfa 50
kullanmak ve en ucuza kullanmak için, kullanıcının dört maliyet/etkinin göreli önemini değerlendirmesi gerekir.
ölçütler ve bunlara bir yüzde ağırlık atayın. Her maliyete/etkiye atanan ağırlık
https://translate.googleusercontent.com/translate_f 41/70
02.08.2021 Bilişim Sistemlerinde Risk Değerlendirme Yöntemlerinin İncelenmesi ve Değerlendirilmesi
kriter sırasıyla W qua , W zaman , W insan , W kullanılabilirliktir . Bu, projenin özeline bağlıdır
ihtiyacı ve kullanıcının stratejisi. Daha sonra, her yöntem için toplam ağırlık olarak hesaplanabilir:
Toplam C/E = W qua * S qua + W zaman * S zaman + W insan * S insan + W kullanılabilirlik * S kullanılabilirlik
Bu denklemde, analiz edilen her biri için S qua , S time , S human , S kullanılabilirlik Şekil 10 ve Şekil 11'de gösterilmektedir.
RA aracı ve yöntemi. W qua , W time , W human , W kullanılabilirlik son paragrafta tanıtılmıştır. İle birlikte
Bu denklem, kullanıcı kendi bireysel için en verimli yöntemi ölçebilir ve tanımlayabilir.
risk değerlendirme projesi.
çevre ve maliyet / etki kriterleri için bilinen her yöntem nispi öncelikleri ile
haysiyetli, kullanıcı daha önemli olduğu karar vermelidir, çevre sorunu veya
ekonomik mesele ve her bir parçaya ne kadar ağırlık vermeye istekli olduğu. Göre
duruma göre, kullanıcı maliyet/etki kriterlerinin ve çevre kriterlerinin önemini şu şekilde tartabilir:
yüzde, yani sırasıyla Wc ve We'dir ve her yöntem için nihai puan
hesaplanan:
Toplam= W e * Toplam E + W c * Toplam C/E
Bu denklemde, kullanıcı her yöntem ne kadar yakın ya da ne kadar net bir görünüm alacak
kullanıcının ideal çözümünden. Toplamı en yüksek olan yöntem en iyisi olacaktır.
belirli risk değerlendirme projesi için metodoloji.
Normal durumlarda, kullanıcı risk değerlendirme projesini net bir şekilde görebilir ve şunları yapabilir:
ayrıntılı gereksinimleri her bir kriterin farklı ağırlıklarıyla eşleştirin. En iyisini seçebilir
Yukarıda tanıtılan karar çerçevesi yardımıyla RA yöntemi. bazı özel
kararda benzer puanlarla sonuçlanan iki veya daha fazla RA aracının olduğu durumlar
kullanıcının kendisi için en iyi olanı seçmesini zorlaştıracak çerçeve.
Tablo 9, her bir RA yönetim aracının özelliklerini göstermektedir. Kullanıcı tabloyu şu şekilde kullanabilir:
RA araç ve yöntemlerinin seçimi için karar çerçevesine ek bir araç veya
kendi özel altında seçim sürecinin başında uygun araçlar için filtre
gereklilik.
50
Sayfa 51
OCTAVE Bilgileri belirlemek, önceliklendirmek ve yönetmek için süreç odaklı bir metodoloji
güvenlik riskleri
CORAS Model tabanlı güvenlik riski değerlendirmesi için pratik bir çerçeve
CORA Kuruluşlar için bir risk yönetimi uzman sistemi, ALE'yi hesaplayın, Getiri
Yatırım ve risklerin finansal etkisini tahmin eder
https://translate.googleusercontent.com/translate_f 42/70
02.08.2021 Bilişim Sistemlerinde Risk Değerlendirme Yöntemlerinin İncelenmesi ve Değerlendirilmesi
RISKWatch Özelleştirme şablonları, kolay erişim ve tam zamanlı izleme, kullanıcı dostu arayüz
SIKI BAĞLAMAK
Yazılım ve bilgisayar şirketinin risk değerlendirmesi için daha hızlı ve basit
@Risk Monte-Carlo simülasyonu, kullanıcının seçmesi için birden fazla olası sonucu ölçün
Farklı risk değerlendirme metodolojilerini BT'de bir araya getirmek gibi başka eğilimler de var.
Sistem risk analizi, örneğin AKA (fiyonk analizi) HAZOP - FTA - ETA [49], AHP -
Bulanık teori [50]. Kombine yöntemler, artıları ve eksileri dengesine dayanmaktadır.
ilgili her yöntem. İşe yarayacak yöntemler için en iyi eşleşmeyi seçmek için
birlikte, kullanıcı bu bölümde sunulan karar çerçevesini de kullanabilir. açıkça
her yöntemin yararlarını ve zayıflıklarını gösterir. Tezin bundan sonraki bölümünde
Bu bölümdeki analize ve endüstrideki trende dayalı yeni bir yöntem tanıtın.
51
Sayfa 52
https://translate.googleusercontent.com/translate_f 43/70
02.08.2021 Bilişim Sistemlerinde Risk Değerlendirme Yöntemlerinin İncelenmesi ve Değerlendirilmesi
Organizasyonel risklerle ilgili. İyi bir RAF hem profesyonel hem de
profesyonelce personel anlamak için. Yalnızca tek bir varlığa veya sisteme odaklanmakla kalmayacak, aynı zamanda
tüm organizasyonu hedef alır. ile ilgili çevre unsurları
organizasyonun işleyişi dikkate alınmalıdır, örneğin organizasyonun amacı, yapısı,
dokümantasyon, vb İyi bir RAF, potansiyel riskleri keşfetmek için organizasyon etkinleştirebilirsiniz
göreceli risk seviyesi ve organizasyonun potansiyel tehditlerle başa çıkmasına yardımcı olmak,
stratejik kalkınma ve finansal planların yanı sıra sürdürülebilir bir iş kültürü geliştirmek.
Endüstride yaygın olarak kullanılan mevcut RAF'lar ISO 27K, NIST, OCTAVE vb.
ve bir kuruluş bunları doğrudan uygulayabilir veya yeni bir çerçeve oluşturmak üzere değiştirebilir.
onların özel gereksinimleri.
Aşağıda sunulan kendi geliştirdiği RA yöntemi, esas olarak ISO ile entegre edilecektir.
27K standartları ailesi, ancak aynı zamanda ISO 31000 ve NIST 800-30'dan bazı fikirler ödünç alacaktır.
52
Sayfa 53
Plan: Oluştur
BGYS
53
Sayfa 54
Bu modelin amacı, sektördeki her türlü bilgi ile ilgili riskleri hedeflemektir.
ERM Çerçevesi bir organizasyon geliştirdikçe, ERM kavramı tanıtılacaktır.
üç farklı seviyeden portföy görünümü: Varlık seviyesi, İşletme seviyesi, Operasyonel seviye,
Şekil 4'te gösterilmiştir. COSO ERM modeline göre, her seviye için sekiz risk dikkate alıyoruz.
ISO standartlarının PDCA modelini de takip eden bileşenler,
Şekil 2'deki süreç açıklaması ISO 27005'in talimatında ayrıca, “Risk değerlendirmesi,
genellikle iki (veya daha fazla) yinelemede gerçekleştirilir. İlk olarak, üst düzey bir değerlendirme yapılır.
Daha fazla değerlendirme gerektiren potansiyel olarak yüksek riskleri belirleyin. Bir sonraki yineleme içerebilir
İlk yinelemede ortaya çıkan potansiyel olarak yüksek risklerin daha derinlemesine değerlendirilmesi. Neresi
bu, riski değerlendirmek için yetersiz bilgi sağlar, ardından daha ayrıntılı analizler yapılır
muhtemelen toplam kapsamın bazı kısımlarında ve muhtemelen farklı bir yöntem kullanılarak yürütülmüştür [41].”
Yapıyı daha düz ve belirgin hale getirmek için süreç Şekil 9'daki gibi gösterilebilir.
Varlık Seviyesi
İş seviyesi
Çalışma Seviyesi
Şekil 9. Risk değerlendirme faaliyetinde farklı BT sistemleri seviyeleri arasındaki veri akışı
Aradaki veri akışı, üst seviyeden alt seviyeye bilgi ve rehberliği tanımlar.
seviye ve alt seviyeden üst seviyeye sürekli iyileştirme için geri bildirim bilgileri
seviye. Tablo 10, organizasyonun risk değerlendirmesinde her seviyenin farklı rollerini göstermektedir.
[41].
https://translate.googleusercontent.com/translate_f 45/70
02.08.2021 Bilişim Sistemlerinde Risk Değerlendirme Yöntemlerinin İncelenmesi ve Değerlendirilmesi
54
Sayfa 55
ISO 27005'e göre risk değerlendirmesi için ana süreç 1) risk tanımlama, 2)
risk analizi, 3) risk değerlendirmesi ve 4) risk tedavisi. Risk tanımlamasında yapmamız gereken
varlıkları, tehditleri, mevcut kontrolleri, güvenlik açıklarını ve sonuçlarını tanımlayın. Risk analizinde,
kalitatif veya kantitatif riskleri ölçmek için metodolojiye karar vereceğiz. Sonra değerlendiririz
olayın sonucu ve olasılığı ve risklerin düzeyine karar verir. Riskte
değerlendirme, farklı uzmanların görüşlerini birleştirmek için bulanık teori uygulanacak, karşılaştırma
Tahmini risk kriterleri arasında yapılacak ve ilgili faktörler dikkate alınacaktır.
değerlendirme için. Risk tedavisi, risk modifikasyonu, saklama,
kaçınma ve paylaşma [41]. Aşağıda bağlamı oluşturacağız ve ardından tartışacağız.
her adım sırayla.
55
Sayfa 56
https://translate.googleusercontent.com/translate_f 46/70
02.08.2021 Bilişim Sistemlerinde Risk Değerlendirme Yöntemlerinin İncelenmesi ve Değerlendirilmesi
iş stratejisi daha yüksek düzeyde. O zaman kuruluşun şunları yapması gerekir:
İnsan faktörü de önemli bir konu. Yetkin bir ekip oluşturmak başarı için hayati önem taşır
RA işleminin. Takım genellikle yeterli sahiptir projenin başkanı tarafından yönetiliyor
Risk değerlendirme alanında bilgi sahibi ve mükemmel koordinasyon becerilerine sahip. Takım ayrıca
Risk değerlendirmesi için ilgili teknik altyapıya sahip kişiler. iyi olabilir
riske göre belirli RA standartları veya araçları için resmi bir sertifikalı kişiye sahip olmak
değerlendirme gereksinimi. Dış danışmanlar gerektiğinde yardımcı olabilir. karar vermek için
dış danışmanlara ihtiyaç duyulup duyulmadığı ve kaç tanesine ihtiyaç duyulduğu, bir değerlendirme formu
[42]'den itibaren, risk değerlendirme projesinin hangi tür yaklaşıma ait olduğuna karar vermek için kullanılabilir,
içinde tedarik, kısmi dış veya tam dış ,. In-kaynak RA yaklaşımı olmaz
herhangi bir dış danışmanı dahil edin, tam dış kaynak kullanımı RA yaklaşımı yeterli dış
tüm projeyi devralmak için danışmanlar, kısmi dış kaynak kullanımı RA yaklaşımına ihtiyaç duyacaktır.
Bazı dış danışmanları proje ihtiyacına bağlıdır. Bazen birden fazla
ekibe dahil olur ve risk değerlendirmesi için farklı görüşler verirler.
Bu durumda, tartışılacak olan dengeli bir sonuca ulaşmak için bulanık teori uygulanabilir.
6.3.3 bölümünde.
56
Sayfa 57
veri toplama, uzman görüşüne çok değer verilir. Daha doğru sonuçlar elde etmek için
4.3 sokulur kullanılabilir Delphi yöntem. Diğer durumlarda bazı genel anket olarak
anketler, personel ve kullanıcılarla yapılan görüşmeler gibi metodolojiler uygulanabilir,
fiziksel muayene veya doküman analizi [41]. Aşağıdaki kısım risk arz edecek
tanımlama süreci.
https://translate.googleusercontent.com/translate_f 47/70
02.08.2021 Bilişim Sistemlerinde Risk Değerlendirme Yöntemlerinin İncelenmesi ve Değerlendirilmesi
Farklı bölümler için tanımlanmış koruma gereksinimi seviyesi, varlıkları ve kontrolü yapacak
tanımlama işlemi daha kolay.
57
Sayfa 58
Şekil 10, risk için tanımlanması gereken tüm unsurların yapısını göstermektedir.
bilgi sisteminde değerlendirilmesi.
https://translate.googleusercontent.com/translate_f 48/70
02.08.2021 Bilişim Sistemlerinde Risk Değerlendirme Yöntemlerinin İncelenmesi ve Değerlendirilmesi
Tanımlamadan sonra bir sonraki adım olan analiz ve değerlendirme kısmına hazır olmalıyız.
ISO 27005'e göre risk analizinde her bir unsur için veri toplama kısmı yapılır,
adım. Ancak burada tez yapısı değerlendirmesi için ilgileniyoruz. bu konuyu tartışacağım
bir sonraki bölümde risk analizi ve değerlendirmeyi bir araya getirdiğimizde,
Gerçek kullanım ortamında pratik olduğunu düşünüyorum.
58
Sayfa 59
RA süreci ve ardından tüm riskin kapsamlı bir değerlendirmesini yapın. Bu tipik bir
Belirli bir aralıkta değişen nitel verilerle uğraşırken yaklaşım. Genel olarak
Toplanan verileri analiz ederek, nihai kararın nicel bir tanımını alabiliriz.
Ayrıntılı süreç aşağıdaki paragraflarda gösterilecektir. ile risk değerlendirmesi için
birçok insanın katılımı, bulanık teori, önemli ölçüde birleştirebilen matematiksel bir yoldur.
Hedefteki temel gereksinime ağırlık veren çeşitli görüşler ve en iyi sonucu elde etmek
küçük nesnel müdahale ile teori. Nicel ile başa çıkmak için başka yaklaşımlar var
Bu tezin kapsamadığı değerler. Okuyucu, konuyla ilgili makalelere başvurmalıdır.
RA sürecinde karar teorisi. Yapıda, aynı gruba ait olan her bir etki faktörü
katmanın üst katmana göre farklı bir etkisi vardır, bu nedenle ağırlıklarını aşağıdaki gibi belirlemek önemlidir.
kuyu. Her bir etki faktörünün ağırlığını belirlemek için AHP yöntemi uygulanır. Sahibiz
bölüm 4.3'te tanıttı. Alt faktörlerin toplamdaki göreli önemini gösterebilir.
amaç, bir değerlendirme matrisi oluşturarak ve faktörleri birbirleriyle karşılaştırarak. Böylece,
etki faktörlerinin karmaşık ilişkilerini ve çok seviyeli yapılandırılmış sorunları çözmemize yardımcı olur.
AHP, büyük ölçüde karar vericinin özelliklerine bağlı olan tipik bir öznel ağırlıklandırma yöntemidir.
deneyim ve yargı. Benzer bir yöntem, uzmanları bir araya getiren Delphi yöntemidir.
ağırlığının değerlendirilmesinde görüşler. gibi objektif ağırlıklandırma yöntemleri de vardır.
genellikle daha doğru ve esnek olan ancak aynı zamanda daha maliyetli olan entropi yöntemi [43].
https://translate.googleusercontent.com/translate_f 49/70
02.08.2021 Bilişim Sistemlerinde Risk Değerlendirme Yöntemlerinin İncelenmesi ve Değerlendirilmesi
İlk üç AHP katmanı tanımlanmıştır: üst katman, hedef katmanı, kriter katmanı ve
alternatifler katmanı. İkinci olarak, hesaplamak için ikili bir karşılaştırma yapılacaktır.
her bir etki faktörünün üst düzey kriterlerine göre ağırlığı [44]. Sahip olunan kriterler için
tespit edildiğinde, örnek olarak kriter katmanını alıyoruz, bir yargı matrisi türetilebilir
59
Sayfa 60
Matrisi normalleştirmek için bu dört faktör (W 1 , W 2 , W 3 , W 4 ) için ağırlık seti elde edebiliriz .
Her faktörün ağırlığına karar verildiğinde, birleştirmek için bir değerlendirme matrisi yapılacaktır.
farklı uzmanların değerlendirmeleri bir arada. Aşağıdaki gibi bir değerlendirme matrisi gösterilmektedir:
60
https://translate.googleusercontent.com/translate_f 50/70
02.08.2021 Bilişim Sistemlerinde Risk Değerlendirme Yöntemlerinin İncelenmesi ve Değerlendirilmesi
Sayfa 61
Matriste, burada R ij , her bir uzman tarafından değerlendirilen her bir risk faktörünün değerlendirmesidir,
burada i bizim durumumuzda dört risk faktörünü temsil eder: Kontrol, Varlıklar, Tehditler, Güvenlik Açığı, bu
nihai bilgi sisteminin risklerini etkiler. Ve j, uzmanın seri numarasını temsil eder.
Risk faktörlerini ölçmek için uzman, her bir R ij'ye 1 - 5 arasında ölçekler atayabilir ; burada 1,
en az önemli ve 5, üst düzey kriterler için son derece önemli olduğunu gösterir. daha fazla ise
detaylı değerlendirmeye ihtiyaç var 1 – 9 ölçekli sistemlerimiz de olabilir. son risk
olarak sunar:
Burada W g , yargı matrisinde elde edildiği gibi dört risk faktörünün ağırlığını temsil eder,
ve R g , uzmanlar tarafından değerlendirilen görüş matrisini temsil eder. Alt katmanlar için aynı
yöntem uygulanır, böylece her bir etki faktörünün hedefe olan etkisi ve olasılığı
Tablo 11'de gösterildiği gibi çok net bir şekilde tanımlanmış,
Sonuç, her bir etkiyle ilgili olarak çeşitli uzmanların kapsamlı değerlendirmesidir.
faktör. Nihai risk, bu yöntemle aşağıdan yukarıya, katman katman değerlendirilebilir.
61
Sayfa 62
https://translate.googleusercontent.com/translate_f 51/70
02.08.2021 Bilişim Sistemlerinde Risk Değerlendirme Yöntemlerinin İncelenmesi ve Değerlendirilmesi
Bugün nasılsın. 1) önceden tanımlanmış değerlere sahip bir matris, 2) risk ölçülerine göre tehditlerin sıralaması,
ve 3) risklerin olasılık ve olası sonuçları için bir değerin değerlendirilmesi [41]. O zamandan beri
risk faktörlerinin mutlak değerlerine zaten sahibiz, ancak bu değerler pratikten yoksundur.
belirli bir ortamda analiz etmeden anlamlar. Burada risk matrisi bir itici güç olacaktır.
Bu faktörlerle başa çıkmanın yolu.
1 2 3 4 5 Olasılık
tehditlerin
1 2 3 1 2 3 1 2 3 1 2 3 1 2 3 Kolaylık
keşif
1 1
2
3
2 1
2
3
3 1
2
3
4 1
2
3
5 1
2
3
Varlıklar Mevcut
Değer Kontrol
Seviye
Şekil 12. Genel risk matrisi
Şekil 12'de, elde edilen nihai bir risk değerlendirme sonucu, risk matrisi ile eşleştirilecektir,
bizim olgumuzda dört risk faktörü ile Risk matrisi yardımıyla kullanıcı kolayca karar verebilir.
sonucun matriste nerede bulunduğunu kontrol ederek risk seviyesi.
62
Sayfa 63
Bu bölümde, genel risk değerini analiz etmek için bir AHP-Fuzzy yöntemi basitçe sunulmaktadır.
Riskleri ölçmek için başka birçok yöntem vardır. Okuyucu duruma göre yargılayabilir. İçin
Bu AHP örnek yapısı, pratik durumlar daha karmaşık olabilir veya bir
farklı bir şekilde, okuyucu yöntemi esnek bir şekilde kullanabilir. Risk matrisi şu durumlarda da mevcut olabilir:
diğer formlar, bazı insanlar onu 3 eksende veya farklı niteliklerle geliştirdiler, ancak aynı
ilkesi geçerlidir.
https://translate.googleusercontent.com/translate_f 52/70
02.08.2021 Bilişim Sistemlerinde Risk Değerlendirme Yöntemlerinin İncelenmesi ve Değerlendirilmesi
elde edilen risk bilgileri, kullanıcı risk matrisine göre riskleri önceliklendirebilir,
maliyet etki analizine dayalı olarak risklerle başa çıkmak için planlar ve ekstra kontrol önlemleri alır.
Belgeler genellikle bu adımda gereklidir. Ama önünde yatan zor bir problem
risk tedavisi, risklerin nasıl ve ne düzeyde kabul edileceğidir. Sunulan risk matrisine göre
ISO27005'te, risk değerlendirmesi niteliksel bir şekilde gerçekleştirilirse, o zaman üç tür
riskler kategorize edilebilir: kabul edilemez riskler, kabul edilebilir riskler ve tarafsız alan. İlk için
iki kategoride karar verme açıktır. yer alan risklerin kabulüne karar vermek,
nötr alan, sözde ALARP analizi uygulanabilir. “As Low As
Makul Bir Şekilde Uygulanabilir” ve aynı zamanda maliyet-fayda ilkesine dayanmaktadır. Basit bir örnek
Şekil 13'teki gibi gösterilecektir.
63
Sayfa 64
dayanılmaz
ALARP
Dayanılmaz alanda, riskler çok yüksektir, bu nedenle kullanıcının bunlarla başa çıkmak için konsantre olması gerekir.
riskler. Genel olarak kabul edilebilir alanda, riskler ihmal edilebilir çünkü ilgilenmeye değmez
onlardan. ALARP alanında, nitel analiz için, ek bir maliyet fayda analizi,
https://translate.googleusercontent.com/translate_f 53/70
02.08.2021 Bilişim Sistemlerinde Risk Değerlendirme Yöntemlerinin İncelenmesi ve Değerlendirilmesi
daha fazla yatırım gerekip gerekmediğine karar vermek için yapılmalıdır [46].
Sonunda, önceki çalışmalara dayalı olarak bir risk değerlendirme raporu oluşturulacaktır. Olacak
zamanında yapılır, böylece risk kontrol altına alınabilir. Üç seviyeli yapıyı takip edecek,
Organizasyon seviyesi, İş seviyesi ve Operasyonel seviye. Rapor tüm yöntemleri kapsar
kullanılan, elde edilen sonuçlar, değerlendirilen kapsam ve alan, sorumlu
insanlar ve referanslar. Raporda ayrıca, her bir bulgu için sadece analiz vermelidir
Sonuçlar ve sonuçlar, ancak duruma bağlı olarak bazı öneriler de verilebilir.
RA sürecinin gereksinimleri.
64
Sayfa 65
Diğer bir problem ise, tezin üç seviyeyi kapsayan bir RA yapısı sunmasıdır.
organizasyonel faaliyetlerde bilgi risk değerlendirmesi, dikey bir çözüm oluşturulur. Fakat
bilgi sistemleri geliştirme yaşam döngüsüne göre beş aşama vardır: başlatma,
edinme/geliştirme, uygulama/değerlendirme, operasyonlar/bakım ve elden çıkarma
[51]. Bu nedenle, RA sürecinin yatay ve zamanında bir görünümü burada gösterilmemiştir.
çözüm. Yaşam döngüsünün her aşamasında, farklı RA gereksinimleri ve hedefleri vardır ve
RA prosedürü ve faaliyetleri her aşamaya göre tanımlanmalıdır. Ancak
Her aşamaya ilişkin ayrıntılı çözüm, gelecekteki çalışmalarda incelenmelidir.
https://translate.googleusercontent.com/translate_f 54/70
02.08.2021 Bilişim Sistemlerinde Risk Değerlendirme Yöntemlerinin İncelenmesi ve Değerlendirilmesi
65
Sayfa 66
7. Karar
Tezin amacı, risk değerlendirme (RA) yöntemlerini araştırmak ve kullanıcıya yardımcı olmaktı.
RA sorunlarını en iyi uygulamayı kullanarak çözün. Tez, çeşitli özellikleri sunmuştur.
yaygın olarak kullanılan RA yöntemlerini farklı boyutlarda karşılaştırmıştır. Bir karar
çerçeve, kullanıcının RA süreci için en iyi yönteme karar vermesine yardımcı olmak için önerilmiştir. Eğer
kullanıcı, mevcut herhangi bir yöntemin ortamına uygun olup olmadığından emin değil, belirli bir
yöntem geliştirilebilir. Sonuç olarak, kendi geliştirdiğim bir örnek sundum.
RA süreci. Daha önce de belirtildiği gibi, kendi geliştirdiği yöntem daha sistematik bir yöntemdir.
ve tek bir noktaya odaklanmak yerine tüm risk değerlendirmesi seviyesini kapsar.
sorun. Endüstride kullanılabilmesi için pratik tasarıma dayanmaktadır. Fikir şuydu:
Mevcut RA'nın bir kombinasyonuna dayanan ayrıntılı bir risk değerlendirmesi süreci sunmak
yöntemler. Endüstriyel ortamda yaygın olarak kullanılan risk değerlendirme yöntemleri,
ISO standardını veya diğer standartları az çok takip etti ve pazar tarafından test edildi.
Okuyucular, Bölümde tanıtılan karar çerçevesine göre kendi yöntemlerini seçebilirler.
Bölüm 5.3 veya belirli bir standardı izleyen kendi yöntemlerini geliştirin.
6. bölümde tanıtılan süreç Bilgi sistemleri günümüzde daha karmaşıktır ve
organizasyon ve iş güvenliğini sağlamak için daha karmaşık yöntemler gerektirir. Orası
sistem geliştirme yaşam döngüsünde her zaman daha fazla zorluk ortaya çıkacaktır, bu nedenle
risk değerlendirmesi yaparak güvenlik ortamı ve kültürü önemlidir. Bu gerekecek
operatörün bilgisi, deneyimi, titizliği ve esnek yargısı, kesintisiz işbirliği,
ve büyük sabır. Tez, bilgi sistemleri ve rehberlik için RA sürecine yardımcı olacaktır.
kullanıcıyı daha verimli bir çalışmaya yönlendirir.
66
https://translate.googleusercontent.com/translate_f 55/70
02.08.2021 Bilişim Sistemlerinde Risk Değerlendirme Yöntemlerinin İncelenmesi ve Değerlendirilmesi
Sayfa 67
Ek A.
67
Sayfa 68
https://translate.googleusercontent.com/translate_f 56/70
02.08.2021 Bilişim Sistemlerinde Risk Değerlendirme Yöntemlerinin İncelenmesi ve Değerlendirilmesi
Zaman Olaya yol açan olasılıklar için kesin sayıların alınması genellikle
çok maliyetli ve zaman alıcı olabileceği için imkansız
böyle yaparak. Ancak yazılım şimdi durumu kolaylaştırabilir [52].
2
İnsan faktörü Sistemin tasarımı hakkında geniş bilgiye sahip bir mühendis veya
mühendislik geçmişine sahip sistem analisti en iyi kişidir.
istenmeyen olayları tanımlamaya ve numaralandırmaya yardımcı olabilir. Ama dahil olur
sistem tasarımcısı, sistem analistleri gibi farklı konumdaki insanlar,
testçiler, vb
2
Dürbün Tasarım aşaması, tesis dahil olmak üzere tüm RA sürecini kapsar
modifikasyonlar ve operasyon.
Geniş kapsamlı
standartlar BS7799/ISO27k
uyma
68
Sayfa 69
Zaman Zaman alıcı olabilir, Bir seferde yalnızca bir başlatıcı olayı ele alır.
2
https://translate.googleusercontent.com/translate_f 57/70
02.08.2021 Bilişim Sistemlerinde Risk Değerlendirme Yöntemlerinin İncelenmesi ve Değerlendirilmesi
Esneklik Birden fazla, bir arada bulunan hata ve arızaların değerlendirilmesini sağlar,
organizasyon.
esnek
69
Sayfa 70
Delfi
İnsan faktörü Dahil edilen birçok personel, bazı uzmanlar gerekli ancak gerekli olmayan
dışarıda
2
standartlar Yok
uyma
https://translate.googleusercontent.com/translate_f 58/70
02.08.2021 Bilişim Sistemlerinde Risk Değerlendirme Yöntemlerinin İncelenmesi ve Değerlendirilmesi
Satın alma fiyatı Ücretsiz
70
Sayfa 71
AHP
Esneklik AHP genellikle Bulanık mantık ile birleşebilir ve oldukça esnek olabilir.
kullanım alanlarında, tüm sistemlerin risk değerlendirmesini kapsayabilir.
Esnek
https://translate.googleusercontent.com/translate_f 59/70
02.08.2021 Bilişim Sistemlerinde Risk Değerlendirme Yöntemlerinin İncelenmesi ve Değerlendirilmesi
71
Sayfa 72
FMECA
Zaman Genellikle diğer veri setlerine girdi olarak hizmet etse de, büyük veri seti ile ilgilidir.
sistematik yöntem, bu nedenle sistemin farklı aşamalarını kapsaması gerekmez
risk değerlendirmesi
2
İnsan faktörü Sistem tasarımcısı ile farklı kısımlarda, asistan ile birlikte çalışmalıdır.
kalite kontrolör, grup çalışması ve işbirliğine ihtiyaç duyacak
2
standartlar Bu alternatif, birleşik arızaları dikkate almaz veya tipik olarak şunları içerir:
uyma yazılım ve insan etkileşimi konuları. Ayrıca genellikle bir
Güvenilirliğin iyimser tahmini. Bu nedenle, FMECA kullanılmalıdır.
güvenilirliği geliştirirken diğer analitik araçlarla birlikte
tahminler.
[54]
72
https://translate.googleusercontent.com/translate_f 60/70
02.08.2021 Bilişim Sistemlerinde Risk Değerlendirme Yöntemlerinin İncelenmesi ve Değerlendirilmesi
Sayfa 73
OKTAV
İnsan faktörü OCTAVE, esnek ve kendi kendini yöneten bir risk değerlendirme metodolojisidir. A
operasyonel (veya iş) birimlerinden ve BT'den oluşan küçük bir ekip
departman, kuruluşun güvenlik ihtiyaçlarını karşılamak için birlikte çalışır.
Ekip, aşağıdakileri tanımlamak için birçok çalışanın bilgisinden yararlanır.
mevcut güvenlik durumu, kritik varlıklara yönelik riskleri belirleme ve bir güvenlik
strateji. Çoğu kuruluş için uyarlanabilir.
3
kullanılabilirlik 3
standartlar Yok
uyma
73
Sayfa 74
CORAS
https://translate.googleusercontent.com/translate_f 61/70
02.08.2021 Bilişim Sistemlerinde Risk Değerlendirme Yöntemlerinin İncelenmesi ve Değerlendirilmesi
Zaman 7 adımları içerir, ancak her biri çok karmaşık değil
2
74
Sayfa 75
CORA
İnsan faktörü CORA, risk analizini gerçekleştirmek için dış risk uzmanlarını kullanır,
1
https://translate.googleusercontent.com/translate_f 62/70
02.08.2021 Bilişim Sistemlerinde Risk Değerlendirme Yöntemlerinin İncelenmesi ve Değerlendirilmesi
standartlar Yok
uyma
75
Sayfa 76
Zaman Olgun bir ankete dayalı bir sistem olduğu için çok zaman maliyetli değildir.
Yazılım desteği
3
İnsan faktörü Kuruluşun kendisi tarafından alınabilir, dışarıdan bir şart aranmaz
3
kullanılabilirlik PC araçlarına ve uzman sistem ilkelerine dayalıdır, ancak yeni sürüm değil
şu an müsait
1
Dürbün Kalın
Esneklik Esnek
Satın alma fiyatı 895 $ (yalnızca ISO 17799) / 1995 $ (Tam takım)
https://translate.googleusercontent.com/translate_f 63/70
02.08.2021 Bilişim Sistemlerinde Risk Değerlendirme Yöntemlerinin İncelenmesi ve Değerlendirilmesi
76
Sayfa 77
Risk İzleme
https://translate.googleusercontent.com/translate_f 64/70
02.08.2021 Bilişim Sistemlerinde Risk Değerlendirme Yöntemlerinin İncelenmesi ve Değerlendirilmesi
77
Sayfa 78
SIKI BAĞLAMAK
İnsan faktörü Sahip, proje lideri, kolaylaştırıcı, yazar, ekip üyelerini içerir
Harici insanlara ihtiyaç yoktur, ancak insanlar süreci anlamalı ve
beyin fırtınası
2
78
https://translate.googleusercontent.com/translate_f 65/70
02.08.2021 Bilişim Sistemlerinde Risk Değerlendirme Yöntemlerinin İncelenmesi ve Değerlendirilmesi
Sayfa 79
COSO ERM
nicel veya Risk değerlendirme teknikleri. Risk değerlendirme metodolojileri aşağıdakileri içerir:
nitel kalitatif ve kantitatif tekniklerin kombinasyonu. Bir örnek
nitel risk değerlendirmesinin kullanımı, görüşmelerin veya grup
gelecekteki olayların olasılığının veya etkisinin değerlendirilmesi. Nicel
teknikler olasılıklı ve olasılıksal olmayan modelleri içerir. olasılıksal
modeller, geleceğin olasılığı hakkında belirli varsayımlara dayanmaktadır.
Etkinlikler. Senaryo planlama, duyarlılık gibi olasılık dışı modeller
önlemler ve stres testleri, olayların etkisini tahmin etmeye çalışır.
ilişkili bir olasılığın nicelleştirilmesi [48].
Her ikisi de
Zaman Bir işletmedeki tüm yönleri ve tüm seviyeleri göz önünde bulundurmanız gerekir, bkz.
model
1
79
Sayfa 80
@Risk
https://translate.googleusercontent.com/translate_f 66/70
02.08.2021 Bilişim Sistemlerinde Risk Değerlendirme Yöntemlerinin İncelenmesi ve Değerlendirilmesi
Zaman Microsoft excel desteği ile Monte Carlo Simülasyonuna dayalı
2
standartlar Yok
uyma
80
Sayfa 81
Referanslar
[1] IEC/ISO 31010, “Risk yönetimi – Risk değerlendirme teknikleri,” ULUSLARARASI
ELEKTROTEKNİK KOMİSYON, 2009
[2] A. Rot, “BT Risk Değerlendirmesi: Niceliksel ve Niteliksel Yaklaşım”,
Dünya Mühendislik ve Bilgisayar Bilimleri Kongresi, 2008
[3] G. Stonebumer, A. Goguen ve A.Feringa, “Risk Management Guide for Information
Teknoloji Sistemleri - Ulusal Standartlar Enstitüsü'nün Tavsiyeleri ve
Teknoloji”, Ulusal Standartlar ve Teknoloji Enstitüsü, Özel Yayın 800-30,
2002
[4] S. Kaplan ve BJ Garrick, “On The Quantitative Definition Of Risk,” Risk Analysis,
Cilt 1, Sayı 1, 1981
[5] TJ Altenbach, “Kalitatiften Risk Değerlendirme Tekniklerinin Karşılaştırılması
https://translate.googleusercontent.com/translate_f 67/70
02.08.2021 Bilişim Sistemlerinde Risk Değerlendirme Yöntemlerinin İncelenmesi ve Değerlendirilmesi
Kantitatif,” ASME Basınç ve Borulama Konferansı, 1995
[6] B. Karabacak ve I. Soğukpınar, “ISRAM: bilgi güvenliği risk analiz yöntemi”
Bilgisayar ve Güvenlik 24, s. 147-159, 2005
[7] L. Willcocks ve H. Margetts, “Risk değerlendirmesi ve bilgi sistemleri”
[8] J. Bisson ve RS Germain, “Daha iyi bir yaklaşım için BS 7799 / ISO 17799 Standardı
bilgi güvenliğine," Beyaz Kitap
[9] C. Schou, “Kurum için Bilgi Güvencesi: Bilgiye Giden Yol Haritası
Güvenlik,”McGraw-Hill / Irwin, 1 st edition 2006, Bölüm 15
[10] http://www.enisa.europa.eu/activities/risk-management/current-risk/risk-management-
envanter/rm-süreç/risk değerlendirmesi, Avrupa Birliği Ağ ve Bilgi Ajansı
Güvenlik, Alınan 2014
[11] Loudon K, Loudon J. Yönetim Bilişim Sistemleri: Çağdaş Bir Perspektif.
Macmillan, New York, 1991.
[12] HA Linstone, M. Turoff ve Olaf Helmer, “The Delphi Method Techniques and
Uygulamalar,” ISBN 0-201-04294-0, 2002
[13] J. Rees ve J. Jaisingh, “Risk Altındaki Değer: Bilgi Güvenliği Riski için bir metodoloji
Değerlendirme”, CERIAS Tech Report 2001-127
[14] MP Kailay ve Peter Jarratt, “RAMeX: bilgisayar için prototip uzman sistem
güvenlik riski analizi ve yönetimi,” Computers & Security 14, 1995
[15] ISO/IEC 27002:2013, “Bilgi teknolojisi – Güvenlik teknikleri – Uygulama kuralları
bilgi güvenliği kontrolleri için,” ISO & IEC, 2013 (Önceki ISO17799:2005)
[16] ISO/IEC 27001:2013, “Bilgi teknolojisi – Güvenlik teknikleri – Bilgi
güvenlik yönetim sistemleri – Gereksinimler,” ISO & IEC, 2013 (Önceki
ISO/IEC27001:2005, BS7799)
81
Sayfa 82
[17] FIPS PUB 199, “Federal Bilgilerin Güvenlik Kategorizasyonu için Standartlar ve
Bilgi sistemleri,” NIST Bilgi Teknolojileri Laboratuvarı, 2004
[18] C. Alberts, A. Dorofee, J. Stevens ve C. Woody, “OCTAVE'a Giriş
Yaklaşım,” Carnegie Mellon Yazılım Mühendisliği Enstitüsü, 2003
[19] Palisade Corporation, “@RISK: Uygulamalı Bir Eğitim” 2011
[20] T. Dimitrakos, B. Ritchie, D. Raptis ve K. Stolen, “Model tabanlı Güvenlik Riski
Web Uygulamaları için Analiz: CORAS yaklaşımı,” Euroweb 2002
[21] BS IEC 61882:2001, “Tehlike ve işletilebilirlik çalışmaları (HAZOP çalışmaları) – Uygulama
Kılavuz,” IEC, 2001
[22] FD Braber, G. Brendeland, HEI Dahl, I. Engan, I. Hogganvik, MS Lund, B.
Solhaug, K. Stolen ve F. Vraalsen, “The CORAS Model-based Method for Security Risk
Analiz,” SINTEF, 2006
[23] K. Lin ve KE Holbert, “Güç Sisteminin Güvenlik Açığı Değerlendirmesi için PRA
Altyapı Güvenliği,” Güç Sempozyumu, 2005
[24] EJ Henley ve H. Kumamoto, “Olasılıksal Risk Değerlendirmesi,” IEEE Press, s.8-
43, New York, 1991
[25] H. Kumamoto ve EJ Henley, “Mühendisler için Olasılıksal Risk Değerlendirmesi ve
Bilim adamları,” IEEE Press, s.95-115, New York, 1996
[26] CCPs 1992, “Tehlike değerlendirme prosedürleri için kılavuzlar, ikinci baskı,” Center for
kimyasal süreç güvenliği, Amerikan kimya mühendisleri enstitüsü, 1992 (kitap P276)
[27] Dünya Sağlık Örgütü, “Gıdalarda mikrobiyolojik tehlikelerin risk karakterizasyonu,
Kılavuzlar”, FAO/WHO, 2009
[28] C. Bazzani ve M. Canavari, “İtalya'daki taze domates pazarının bir senaryosunu tahmin etmek
ve Almanya'da Delphi yöntemini kullanarak,” British Food Journal, 2013
https://translate.googleusercontent.com/translate_f 68/70
02.08.2021 Bilişim Sistemlerinde Risk Değerlendirme Yöntemlerinin İncelenmesi ve Değerlendirilmesi
82
Sayfa 83
2014 alındı
[41] ISO/IEC 27005:2011, “Bilgi teknolojisi-güvenlik teknikleri-bilgi güvenliği
risk yönetimi”, ISO & IEC, 2011
[42] IAAITC, ENISA, MEA-I, “Mikro ve küçük işletmeler için risk yönetimi ve BT güvenliği
iş”, 2007
[43] T. Chen ve J. Freeman, “AHP-Entropi ağırlığı ve TOPSIS metodolojisini kullanarak
yeşil tedarikçi seçimi”, EuroMA 2014 Konferansı, 2014
[44] MC Lee, “Bilgi Güvenliği Risk Analiz Yöntemleri ve Araştırma Trendleri/ AHP
ve Bulanık Kapsamlı Yöntem”, IJCSIT, 2014
[45] ENISA, “Risk değerlendirmesi ve risk yönetimi yöntemleri: Bilgi Paketleri
Küçük ve Orta Ölçekli İşletmeler (KOBİ'ler)”, 2006
[46] ALARP, http://www.hse.gov.uk/risk/theory/alarpglance.htm , Alındı 2015
[47] “Risk Analizi, Risk Değerlendirmesi, Risk yönetimi”,
http://www.nr.no/~abie/RiskAnalysis.htm, Alındı 2014
[48] Kurumsal Risk Yönetimi—COSO Çerçevesi: Denetim İçin Bir Başlangıç ve Araç
Komite, 2010 AICPA
[49] Silvianita, MF Khamidi ve KV John, “Risk Değerlendirmesinin Eleştirel İncelemesi
Yöntem ve Uygulamaları”, IACSIT, 2011
[50] MC Lee, “Bilgi Güvenliği Risk Analiz Yöntemleri ve Araştırma Trendleri: AHP
ve Bulanık Kapsamlı Yöntem”, IJCSIT, 2014
[51] S. Radack, “Sistem geliştirme yaşam döngüsü”, NIST
[52] FTA, http://en.wikipedia.org/wiki/Fault_tree_analysis, Alındı 2014
[53] FMECA, http://en.wikipedia.org/wiki/Failure_mode,_effects,_and_criticality_analysis,
2014 alındı
[54] “FY 2004 Araştırma ve Geliştirme Başarıları”, Federal Havacılık
Yönetim, 2004, Alınan 2014
https://translate.googleusercontent.com/translate_f 69/70
02.08.2021 Bilişim Sistemlerinde Risk Değerlendirme Yöntemlerinin İncelenmesi ve Değerlendirilmesi
83
https://translate.googleusercontent.com/translate_f 70/70