Birlikte Çalışabilir AB Risk Yönetimi Çerçevesi Bölüm-5
Birlikte Çalışabilir AB Risk Yönetimi Çerçevesi
Bölüm-5
Risk Yönetimi Çerçeveleri ve Metodolojileri Arasında
Birlikte Çalışabilirliğin Değerlendirilmesi için Metodoloji
Çeviri düzenleme:Celal Ünalp
Aşağıdaki Enisa Raporu Enisa web sitesindeki orjinal İngilizce versiyonundan alınarak ETP Celal Ünalp tarafından yapay zeka çeviri yazılımları kullanarak Türkçe'ye tercüme edilerek düzenlenmiştir.
Kaynak:
https://www.enisa.europa.eu/publications/interoperable-eu-risk-management-framework/@@download/fullReport
(Güncellenmiş Rapor, Aralık 2022)
Rapor bölümler halinde yayınlanacaktır. Enisa ve yazının yazarlarının Türkçe çeviri ile ilgili sorumluluğu yoktur. ETP Türkçe çeviri ve düzenleme sorumluluğunu üstlenir.
Türkçe çeviride göreceğiniz olası hataları " iletisim@etp.com.tr " adresine e-posta göndermenizi rica ederiz.
Bu raporun ETP Portalımızda yayını ile ilgili bize destek ve kılavuz olan Avrupa Birliği Yayınlar Ofisi'nden Mr. Brian Killeen 'e teşekkür ederiz.
Çerçeveler ve Metodolojiler |
Genel Unsurlar | FONKSİYONEL | FONKSİYONEL OLMAYAN | |||||||||
Risk Tanımlama | Risk Değerlendirme | Risk İşleme | ||||||||||
Varlık Bazlı (VB) / Senaryo Bazlı (SB) | Niceliksel / Niteliksel | Varlık Taksonomisi | Varlık Değerlemesi | Tehdit Kataloğu | Zafiyet Kataloğu | Risk Hesaplama Yöntemi | Katalog Ölçümleri ve Kalıntı Risk Hesaplama | Desteklenen Diller | Diğer Risk Çerçevelerine Destek | |||
OCTAVE-S | VB / SB | NİT | Varlık kategorilerinin varsayılan bir listesi sağlanmıştır, ancak özel bir liste eklenebilir. Mevcut liste değiştirilebilir. Birlikte çalışabilirlik seviyesi: 3 |
Cilt 1'de çalışma sayfaları ve örnekler yer almaktadır. Kriterler kuruluşun ihtiyaçlarına göre değiştirilebilir ve yeni etki alanları içe aktarılabilir. Birlikte çalışabilirlik seviyesi: 3 |
Her tehdit profilinin altına, özel bir tehdit kategorileri listesi eklenebilir. Mevcut kataloglar değiştirilebilir. Birlikte çalışabilirlik seviyesi: 3 |
Koruma Stratejisi çalışma sayfası, potansiyel güvenlik açıklarının genişletilebilir kategorilerini sağlar. (12.Güvenlik açığı yönetimi). Birlikte çalışabilirlik seviyesi: 3 |
Üst düzey kriterlere dayalı olarak Düşük ila Yüksek risk. Kriterler değiştirilebilir. Yenilerinin eklenmesi desteklenir. Birlikte çalışabilirlik seviyesi: 3 |
Koruma Stratejisi çalışma sayfası, potansiyel koruma önlemlerinin genişletilebilir kategorilerini sağlar. Etki değerlendirme kriterleri çalışma sayfası ek etki türlerinin dikkate alınmasına olanak tanır. Belirli bir KR hesaplama formülü yoktur. Birlikte çalışabilirlik seviyesi: 3 |
İNG |
Çerçeveler ve Metodolojiler |
Genel Unsurlar | FONKSİYONEL | FONKSİYONEL OLMAYAN | |||||||||
Risk Tanımlama | Risk Değerlendirme | Risk İşleme | ||||||||||
Varlık Bazlı (VB) / Senaryo Bazlı (SB) | Niceliksel / Niteliksel | Varlık Taksonomisi | Varlık Değerlemesi | Tehdit Kataloğu | Zafiyet Kataloğu | Risk Hesaplama Yöntemi | Katalog Ölçümleri ve Kalıntı Risk Hesaplama | Desteklenen Diller | Diğer Risk Çerçevelerine Destek | |||
OCTAVE ALLEGRO | VB | NİT | Yöntem esas olarak bilgi varlıklarına odaklanmaktadır. Diğer varlıklar çalışma sayfaları aracılığıyla bilgi varlıklarına bağlanır ve bilgi varlıklarına yönelik önlemlerle dolaylı olarak korunur. Birlikte çalışabilirlik seviyesi: 3 |
Genişletilebilir çalışma sayfaları ve örnekler sunar, ancak etki seviyelerinde düşük-orta-yüksek dışında belirli ölçekler yoktur. Varlıkların seviyelerini veya önemini hesaplamanın belirli bir yolu yoktur. Bu, kuruluşa ve güvenlik ekibinin önyargılarına bağlıdır. Birlikte çalışabilirlik seviyesi: 3 |
Çalışma sayfaları ve örnekler sağlar ancak kapsamlı kataloglar yoktur. Yeni tehdit katalogları içe aktarılabilir. Birlikte çalışabilirlik seviyesi: 3 |
Çalışma sayfaları ve örnekler sağlar ancak kapsamlı kataloglar yoktur. Yeni güvenlik açıkları katalogları içe aktarılabilir. Birlikte çalışabilirlik seviyesi: 3 |
Kullanım durumuna göre değiştirilebilir, genişletilebilir çalışma sayfaları ve örnekler sağlar Birlikte çalışabilirlik seviyesi: 3 |
Çalışma sayfaları ve örnekler sunar ancak kapsamlı kataloglar yoktur. RMF tarafından önerilen risk puanları kullanılarak RR hesaplama örneği. Kuruluşlar risk matrisi ve risk puanlarına yönelik kendi yaklaşımlarını seçebildikleri için RR hesaplaması esnektir. Birlikte çalışabilirlik seviyesi: 3 |
İNG | HIPAA |
Çerçeveler ve Metodolojiler |
Genel Unsurlar | FONKSİYONEL | FONKSİYONEL OLMAYAN | |||||||||
Risk Tanımlama | Risk Değerlendirme | Risk İşleme | ||||||||||
Varlık Bazlı (VB) / Senaryo Bazlı (SB) | Niceliksel / Niteliksel | Varlık Taksonomisi | Varlık Değerlemesi | Tehdit Kataloğu | Zafiyet Kataloğu | Risk Hesaplama Yöntemi | Katalog Ölçümleri ve Kalıntı Risk Hesaplama | Desteklenen Diller | Diğer Risk Çerçevelerine Destek | |||
OCTAVE FORTE | VB | NİT | Varlıkların sınıflandırılabileceği en az dört ana kategori vardır (İnsanlar, Bilgi, Teknoloji, Tesisler). Bu kategorilerin her biri dahili veya harici varlık perspektifinden ele alınabilir. Birlikte çalışabilirlik seviyesi:2 |
Varlıkların esneklik gereksinimlerinin belirlenmesi için örnekler verilmiştir. Varlık değerlendirmesi için CIA kriterleri kullanılır. Yeni kriterler içe aktarılabilir. Birlikte çalışabilirlik seviyesi:3 |
Tehdit katalogları sağlanmamıştır. Belgeler, ilave katalogların kaynağı olarak STRIDE, PASTA ve hTMM'yi önermektedir. Birlikte çalışabilirlik seviyesi: 3 |
Sağlanan güvenlik açığı kataloğu yok. Yeni güvenlik açıkları katalogları içe aktarılabilir. Birlikte çalışabilirlik seviyesi: 3 |
Risk, etki ve olasılık açısından hesaplanır. Alternatif olarak FAIR yöntemi önerilmektedir. Birlikte çalışabilirlik seviyesi:3 |
Herhangi bir tedbir kataloğu sunulmamıştır. Risk iştahı beyanı örnekleri verilmiştir. Örneklerden biri kategorilere (Gelir, Güvenlik, vb.), diğeri ise olasılık aralığına odaklanmaktadır. Yani esneklik söz konusudur. Birlikte çalışabilirlik seviyesi:3 |
İNG | COSO, ISO 31000, NIST CSF, NIST SP 800-39, NIST SP 800-37, CERT-RMM, FAIR |
Çerçeveler ve Metodolojiler |
Genel Unsurlar | FONKSİYONEL | FONKSİYONEL OLMAYAN | |||||||||
Risk Tanımlama | Risk Değerlendirme | Risk İşleme | ||||||||||
Varlık Bazlı (VB) / Senaryo Bazlı (SB) | Niceliksel / Niteliksel | Varlık Taksonomisi | Varlık Değerlemesi | Tehdit Kataloğu | Zafiyet Kataloğu | Risk Hesaplama Yöntemi | Katalog Ölçümleri ve Kalıntı Risk Hesaplama | Desteklenen Diller | Diğer Risk Çerçevelerine Destek | |||
ETSI TS 102 165-1 (TVRA) | VB | NİT | Sadece üç üst düzey varlık türü ile kavramsal: fiziksel varlıklar, insan varlıkları, mantıksal varlıklar. Sağlanan taksonomi değiştirilebilir. Birlikte çalışabilirlik seviyesi:2 |
Üst düzey açıklama (düşük - değer 1, orta - değer 2, yüksek - değer 3). Yeni kriterler içe aktarılabilir. Birlikte çalışabilirlik seviyesi: 3 |
Tehditler CIAAA (CIA+ Authenticity + Accountability) ile bağlantılıdır Aşağıdaki tehdit grupları sağlanmıştır: Dinleme (gizli dinleme), Yetkisiz erişim, Maskeli balo, Sahtecilik, Bilgi kaybı veya bozulması, İnkar ve Hizmet reddi. Yeni tehdit katalogları CIIAA ile eşleştirildiği sürece içe aktarılabilir. Birlikte çalışabilirlik seviyesi:3 |
Güvenlik açığı katalogları sağlanmadı. Yenileri içe aktarılabilir. Birlikte çalışabilirlik seviyesi:3 |
Risk = Gerçekleşme olasılığı * Etki değeri. Olasılık seviyeleri, güvenlik açığı derecelendirmelerinden ve tehdit seviyelerinden kaynaklanır. Etki değerleri "varlık etkisi" ve "saldırı yoğunluğu "ndan kaynaklanır. Üç risk seviyesi: küçük, büyük, kritik risk. EK G riski hesaplamak için bir excel sayfası sağlar ve hesaplama süreci belgenin 6. adımında analiz edilir. Kuruluşun karar vermesi halinde 6. adımdaki bazı hesaplama parametreleri göz ardı edilebilir. Birlikte çalışabilirlik seviyesi:2 |
Ölçü katalogları sağlanmamaktadır. Yeni hesaplamalar içe aktarılabilir. RR hesaplama yöntemi esnektir. Birlikte çalışabilirlik seviyesi:3 |
İNG | ISO 25408 |
Çerçeveler ve Metodolojiler |
Genel Unsurlar | FONKSİYONEL | FONKSİYONEL OLMAYAN | |||||||||
Risk Tanımlama | Risk Değerlendirme | Risk İşleme | ||||||||||
Varlık Bazlı (VB) / Senaryo Bazlı (SB) | Niceliksel / Niteliksel | Varlık Taksonomisi | Varlık Değerlemesi | Tehdit Kataloğu | Zafiyet Kataloğu | Risk Hesaplama Yöntemi | Katalog Ölçümleri ve Kalıntı Risk Hesaplama | Desteklenen Diller | Diğer Risk Çerçevelerine Destek | |||
MONARC | VB | NİT | Monarch birincil ve ikincil varlıkları tanımlar. Varlıklar değiştirilebilir ve genişletilebilir. Birlikte çalışabilirlik seviyesi:2 |
CIA kriterlerinin değeri, ROLFP'nin sonuçlarına göre otomatik olarak çıkarılır. Etki seviyesi, her bir kategori için 0, mevcut olmayan etki ile 4, dayanılmaz bilgi sızıntıları arasında değişmektedir. Değerleme ölçeklerini özelleştirmek ve etki ve sonuçları yeniden tanımlamak mümkündür. Birlikte çalışabilirlik seviyesi:3 |
MONARC, değerlendirilebilecek ve değiştirilebilecek önceden belirlenmiş bir tehdit listesi sağlar. Mevcut liste değiştirilebilir ve yeni tehditlerle genişletilebilir. Birlikte çalışabilirlik seviyesi: 3 |
MONARC, değerlendirilebilecek ve değiştirilebilecek önceden belirlenmiş bir güvenlik açıkları listesi sağlar. Mevcut liste değiştirilebilir ve yeni güvenlik açıkları ile genişletilebilir. Birlikte çalışabilirlik seviyesi: 3 |
Risk seviyesini hesaplamak için her zaman aşağıdaki formül kullanılır: Tehdit x Güvenlik Açığı x Etki = Risk. Ölçekler değiştirilebilir Birlikte çalışabilirlik seviyesi:3 |
ISO/IEC 27002:2022 kontrollerini içerir. ISO 27005 gibi standartlardan referans alarak bunları koruma önlemi olarak kullanabilir. RR hesaplaması esnektir. Birlikte çalışabilirlik seviyesi:3 |
İNG, FRA, HOL, ALM | ISO 31000, ISO 27005:2013, ISO 27001, NIST SP 800 |
Çerçeveler ve Metodolojiler |
Genel Unsurlar | FONKSİYONEL | FONKSİYONEL OLMAYAN | |||||||||
Risk Tanımlama | Risk Değerlendirme | Risk İşleme | ||||||||||
Varlık Bazlı (VB) / Senaryo Bazlı (SB) | Niceliksel / Niteliksel | Varlık Taksonomisi | Varlık Değerlemesi | Tehdit Kataloğu | Zafiyet Kataloğu | Risk Hesaplama Yöntemi | Katalog Ölçümleri ve Kalıntı Risk Hesaplama | Desteklenen Diller | Diğer Risk Çerçevelerine Destek | |||
EBIOS Risk Manager (RM) | VB/ SB |
NİT/ NİC |
İki varlık türünü destekler: iş (bilgi ve süreçler) ve destekleyici varlıklar (iş varlıklarını destekleyen varlıklar). Etkinin değeri, korkulan olayları sıralamayı mümkün kılan bir şiddet ölçeğine göre değerlendirilir Birlikte çalışabilirlik seviyesi:3 |
Varlık örnekleri ve bunların korkulan olay etki seviyeleri. Kriterler/ölçekler değiştirilebilir ve yenileriyle genişletilebilir. Birlikte çalışabilirlik seviyesi:3 |
Genel örnekler, yenileri manuel olarak eklenebilir Birlikte çalışabilirlik seviyesi: 3 |
Sağlanan güvenlik açığı katalogları yoktur. Yenileri içe aktarılamaz. Güvenlik açıkları, en iyi güvenlik uygulamalarını ve sektörel düzenlemeleri dikkate alan güvenlik temeline uygunluk değerlendirilirken belirlenir Birlikte çalışabilirlik seviyesi: 2 |
Etki ve olasılık parametrelerinin seviyelerine ilişkin katı gereklilikler yoktur. Bir şiddet ölçeği (G1-G4) kullanılır. Bahsedilen diğer yöntemler 4 veya 5 seviyeli ölçekler kullanmaktadır. Birlikte çalışabilirlik seviyesi:2 |
Etki ve olasılık parametrelerinin seviyelerine ilişkin katı gereklilikler yoktur. Yeni önlem katalogları içe aktarılabilir. RR hesaplaması esnektir. Birlikte çalışabilirlik seviyesi:3 |
FRA, İNG, İSP, ALM | ISO 31000:2018, ISO 27000, ISO 13335, ISO 27002, 27005 |
Çerçeveler ve Metodolojiler |
Genel Unsurlar | FONKSİYONEL | FONKSİYONEL OLMAYAN | |||||||||
Risk Tanımlama | Risk Değerlendirme | Risk İşleme | ||||||||||
Varlık Bazlı (VB) / Senaryo Bazlı (SB) | Niceliksel / Niteliksel | Varlık Taksonomisi | Varlık Değerlemesi | Tehdit Kataloğu | Zafiyet Kataloğu | Risk Hesaplama Yöntemi | Katalog Ölçümleri ve Kalıntı Risk Hesaplama | Desteklenen Diller | Diğer Risk Çerçevelerine Destek | |||
MAGERIT v.3 | VB | NİT/ NİC |
Magerit 2. Kitap Bölüm 2'de varlık türlerinin bir listesi verilmektedir. Her varlık 1'den fazla türle ilişkilendirilebilir. Yeni varlıklar içe aktarılabilir. Yeni varlık türleri içe aktarılamaz. Birlikte çalışabilirlik seviyesi:2 |
Kitap 2'nin 4. Bölümü değerleme kriterlerini analiz etmektedir. Her bir boyut için değer 0, en az ile 10, çok yüksek arasındadır. Kriterler değiştirilebilir. Hem nicel hem de nitel yöntemler sağlanmaktadır. Yeni boyutlar eklenebilir. Birlikte çalışabilirlik seviyesi:3 |
Tehditler Kitap 2'nin 5. bölümünde yer almaktadır. Yeni tehdit ve tehdit katalogları içe aktarılabilir. Birlikte çalışabilirlik seviyesi: 3 |
Tehditler ve zafiyetler 2. Kitabın 5. Bölümünde yer almaktadır. Kataloglarda net bir ayrım yoktur. Güvenlik açıkları artık kullanılmamaktadır. (Magerit v1.0'da kullanılmışlardı) Birlikte çalışabilirlik seviyesi: 0 |
Magerit v3'ün 3. Cildi, varlık değerinin değerlendirilmesi, koruma verimliliği ve genel olarak risk yönetimini gerçekleştirmek için matematiksel formüller aracılığıyla hem niteliksel hem de niceliksel olarak kullanılabilecek teknikleri içerir. Cilt 3, riskleri hesaplamak için belirtilen tüm yöntemleri içerir, bu nedenle yenileri içe aktarılamaz. Birlikte çalışabilirlik seviyesi:2 |
Kitap 2'nin 6. Bölümü uygun koruma tedbirlerinin bir listesini içermektedir Yeni koruma önlemleri içe aktarılabilir. Etki ve koruma önlemi değerlemesi Cilt 3'te verilen yöntemlerle yapılır. Tablo veya algoritmik analiz kullanılabilir. Birlikte çalışabilirlik seviyesi:3 |
İSP, Kısmen İNG | ISO/IEC 27001:2005, ISO/IEC 15408:2005, ISO/IEC 17799:2005, ISO/IEC 13335:2004 |
Bundan sonraki bölümde " Çerçeveler ve Metodolojiler " anlatılmaya devam edilecektir.
Kaynak:
https://www.enisa.europa.eu/publications/interoperable-eu-risk-management-framework/@@download/fullReport
(Güncellenmiş Rapor, Aralık 2022)
(Güncellenmiş Rapor, Aralık 2022)
ENISA HAKKINDA
Avrupa Birliği Siber Güvenlik Ajansı ENISA, Birliğin aşağıdaki konulara adanmış ajansıdır Avrupa çapında yüksek bir ortak siber güvenlik seviyesine ulaşmak. 2004 yılında kurulan ve AB Siber Güvenlik Yasası ile güçlendirilen Avrupa Birliği Siber Güvenlik Ajansı AB siber politikasına katkıda bulunur, BİT ürün, hizmet ve ürünlerinin güvenilirliğini artırır. siber güvenlik sertifikasyon programları ile süreçler, Üye Devletler ve AB ile işbirliği ve Avrupa'nın yarının siber zorluklarına hazırlanmasına yardımcı olur. Bilgi yoluyla paylaşımı, kapasite geliştirme ve farkındalık yaratma konularında kilit rol oynayan kurumlarla birlikte çalışmaktadır. paydaşların bağlantılı ekonomiye olan güvenini güçlendirmek, Birliğin dayanıklılığını artırmak altyapısını ve nihayetinde Avrupa toplumunu ve vatandaşlarını dijital olarak güvende tutmak. Daha fazla ENISA ve çalışmaları hakkındaki bilgilere buradan ulaşabilirsiniz: www.enisa.europa.eu
İLETİŞİM
Yazarlarla iletişime geçmek için lütfen CBU@ENISA.EUROPA.EU adresini kullanın.
Bu makaleyle ilgili medya soruları için lütfen PRESS@ENISA.EUROPA.EU adresini kullanın.
YAZARLAR
Costas Lambrinoudakis, Stefanos Gritzalis, Christos Xenakis, Sokratis Katsikas, Maria Karyda,
Pire Üniversitesi'nden Aggeliki Tsochou
Kostas Papadatos, Konstantinos Rantos, Yiannis Pavlosoglou, Stelios Gasparinatos,
CyberNoesis'ten Anastasios Pantazis
ENISA'dan Alexandros Zacharis
YASAL BİLDİRİM
Aksi belirtilmedikçe, bu yayının ENISA'nın görüş ve yorumlarını temsil ettiği dikkate alınmalıdır. Bu yayın ENISA'nın yasal bir işlemi olarak yorumlanmamalıdır. veya 2019/881 sayılı Tüzük (AB) uyarınca kabul edilmedikçe ENISA organları tarafından onaylanmamıştır.
Bu yayın en son gelişmeleri temsil içermeyebilir ve ENISA bu yayını zaman zaman güncelleyebilir
Üçüncü taraf kaynaklardan uygun şekilde alıntı yapılmıştır. ENISA, bu yayında atıfta bulunulan harici web siteleri de dahil olmak üzere harici kaynakların içeriğinden sorumlu değildir.
Bu yayın sadece bilgilendirme amaçlıdır. Ücretsiz olarak erişilebilir olmalıdır.
Ne ENISA ne de onun adına hareket eden herhangi bir kişi bu yayının kullanımından sorumlu değildir.
bu yayında yer alan bilgilerin telif hakkı saklıdır.
TELİF HAKKI UYARISI
© Avrupa Birliği Siber Güvenlik Ajansı (ENISA), 2022
ISBN 978-92-9204-553-1 DOI:10.2824/07253 Katalog No: TP-01-22-004-EN-
Paylaş:
E-BÜLTEN KAYIT
Güncel makalelerimizden haberdar olmak için e-bültene kayıt olun!
Güncel makalelerimizden haberdar olmak için e-bültene kayıt olun!