Birlikte Çalışabilir AB Risk Yönetimi Çerçevesi Bölüm-6
Birlikte Çalışabilir AB Risk Yönetimi Çerçevesi
Bölüm-6
Risk Yönetimi Çerçeveleri ve Metodolojileri Arasında
Birlikte Çalışabilirliğin Değerlendirilmesi için Metodoloji
Çeviri düzenleme:Celal Ünalp
Aşağıdaki Enisa Raporu Enisa web sitesindeki orjinal İngilizce versiyonundan alınarak ETP Celal Ünalp tarafından yapay zeka çeviri yazılımları kullanarak Türkçe'ye tercüme edilerek düzenlenmiştir.
Kaynak:
https://www.enisa.europa.eu/publications/interoperable-eu-risk-management-framework/@@download/fullReport
(Güncellenmiş Rapor, Aralık 2022)
Rapor bölümler halinde yayınlanacaktır. Enisa ve yazının yazarlarının Türkçe çeviri ile ilgili sorumluluğu yoktur. ETP Türkçe çeviri ve düzenleme sorumluluğunu üstlenir.
Türkçe çeviride göreceğiniz olası hataları " iletisim@etp.com.tr " adresine e-posta göndermenizi rica ederiz.
Bu raporun ETP Portalımızda yayını ile ilgili bize destek ve kılavuz olan Avrupa Birliği Yayınlar Ofisi'nden Mr. Brian Killeen 'e teşekkür ederiz.
Kaynak:
https://www.enisa.europa.eu/publications/interoperable-eu-risk-management-framework/@@download/fullReport
(Güncellenmiş Rapor, Aralık 2022)
Rapor bölümler halinde yayınlanacaktır. Enisa ve yazının yazarlarının Türkçe çeviri ile ilgili sorumluluğu yoktur. ETP Türkçe çeviri ve düzenleme sorumluluğunu üstlenir.
Türkçe çeviride göreceğiniz olası hataları " iletisim@etp.com.tr " adresine e-posta göndermenizi rica ederiz.
Bu raporun ETP Portalımızda yayını ile ilgili bize destek ve kılavuz olan Avrupa Birliği Yayınlar Ofisi'nden Mr. Brian Killeen 'e teşekkür ederiz.
Çerçeveler ve Metodolojiler |
Genel Unsurlar | FONKSİYONEL | FONKSİYONEL OLMAYAN | |||||||||
Risk Tanımlama | Risk Değerlendirme | Risk İşleme | ||||||||||
Varlık Bazlı (VB) / Senaryo Bazlı (SB) | Niceliksel / Niteliksel | Varlık Taksonomisi | Varlık Değerlemesi | Tehdit Kataloğu | Zafiyet Kataloğu | Risk Hesaplama Yöntemi | Katalog Ölçümleri ve Kalıntı Risk Hesaplama | Desteklenen Diller | Diğer Risk Çerçevelerine Destek | |||
ITSRM2 | VB | NİT, NİC | Birincil, İkincil varlıklar ve Destekleyici varlıklar kataloğu. Mevcut katalog değiştirilebilir ancak yeni türler eklenemez. Birlikte çalışabilirlik seviyesi: 2 |
İş Etki Analizine dayalı olarak değerin değerlendirilmesini önerir. Etki Ölçekleri İş ve Veri Koruma Etki Ölçeklerini içerir. 1-10 arası bir ölçek önerir. Farklı seçenekler sunulur. İşlenen bir şey (veri gibi) önceden bilinmiyorsa, hipoteze göre etkiye göre değerlendirin. Birlikte çalışabilirlik seviyesi: 2 |
Magerit/Pilar'dan katalog. Yeni tehditler ve tehdit katalogları içe aktarılabilir. Birlikte çalışabilirlik seviyesi: 3 |
Güvenlik açıkları yalnızca bağımsız bir işlevsel bileşen olarak değerlendirilir ve başka bir yerde kullanılmaz. Birlikte çalışabilirlik seviyesi: 0 |
Risk=Tehdit x Sonuç Tehdit, sıklık, düşmanın gücü ve kolaylığın değerlendirilmesini içerir. Risk matrisleri özelleştirilebilir, ancak formül aynı kalır. Birlikte çalışabilirlik seviyesi: 2 |
NIST SP800-53r4'ten katalog. Yeni koruma önlemleri ve koruma önlemleri katalogları içe aktarılabilir. RR hesaplaması için katı yöntem, bu nedenle esneklik yok. Birlikte çalışabilirlik seviyesi: 3 |
İNG | Magerit / PILAR / NIST SP800-53r4 |
Çerçeveler ve Metodolojiler |
Genel Unsurlar | FONKSİYONEL | FONKSİYONEL OLMAYAN | |||||||||
Risk Tanımlama | Risk Değerlendirme | Risk İşleme | ||||||||||
Varlık Bazlı (VB) / Senaryo Bazlı (SB) | Niceliksel / Niteliksel | Varlık Taksonomisi | Varlık Değerlemesi | Tehdit Kataloğu | Zafiyet Kataloğu | Risk Hesaplama Yöntemi | Katalog Ölçümleri ve Kalıntı Risk Hesaplama | Desteklenen Diller | Diğer Risk Çerçevelerine Destek | |||
MEHARI | VB/SB | NİT | Birincil (faaliyet için ihtiyaçlar), İkincil (medya, bağımlılıklar). Varlık kataloğu sağlar. Yeni varlıklar ve varlık kategorileri içe aktarılabilir. Birlikte çalışabilirlik seviyesi: 3 |
Her bir varlık için sonuç kriterlerinden en az biri tanımlanmalıdır (Gizlilik, Bütünlük, Kullanılabilirlik). Etki ve İçsel Etki Birlikte çalışabilirlik seviyesi: 1 |
Mehari tehdit kategorileri ve türlerinin (Ek C1) yanı sıra aktör sınıflandırmalarını da (Ek C2) kapsamaktadır. Olay türlerinin bir listesi açıklamalarıyla birlikte verilmiştir. Yeni tehditler ve tehdit kategorileri içe aktarılabilir. Birlikte çalışabilirlik seviyesi: 3 |
Güvenlik açıkları kataloğu Ek B'de verilmiştir. Yeni güvenlik açıkları ve güvenlik açıkları katalogları içe aktarılabilir. Birlikte çalışabilirlik seviyesi: 3 |
Risk, 1. seviyeden 4. seviyeye kadar bir ölçekte olasılık ve etki değerlendirilerek hesaplanır. Tehditlerin ölçüm etkinliklerinin ve etkilerinin hesaplanması zorunludur. Birlikte çalışabilirlik seviyesi: 1 |
Sunulan güvenlik hizmetlerinin bir listesi bulunmaktadır (Ek G2). Etki, olasılık, azaltma faktörleri için standart ölçekler vardır, bu nedenle RR hesaplaması esnek değildir. Birlikte çalışabilirlik seviyesi: 3 |
FRA, İNG (Tam set), İSP, İTA, ALM, POL, ROM, HOL, POR (Özet), FAR | ISO/IEC 27005:2011, ISO/IEC 27001:2013, ISO/IEC 27002:2013, ISO 31000 |
Çerçeveler ve Metodolojiler |
Genel Unsurlar | FONKSİYONEL | FONKSİYONEL OLMAYAN | |||||||||
Risk Tanımlama | Risk Değerlendirme | Risk İşleme | ||||||||||
Varlık Bazlı (VB) / Senaryo Bazlı (SB) | Niceliksel / Niteliksel | Varlık Taksonomisi | Varlık Değerlemesi | Tehdit Kataloğu | Zafiyet Kataloğu | Risk Hesaplama Yöntemi | Katalog Ölçümleri ve Kalıntı Risk Hesaplama | Desteklenen Diller | Diğer Risk Çerçevelerine Destek | |||
THE OPEN GROUP STANDARD, RISK ANALYSIS, V2.0.1 | SB | NİC | Varlık taksonomisi sağlanmamıştır. Birlikte çalışabilirlik seviyesi: 0 |
Varlık değerlemesi sağlanmamıştır. Yeni kriterler içe aktarılabilir. Birlikte çalışabilirlik seviyesi: 3 |
Tehdit katalogları sağlanmamıştır. Sadece genel kategoriler. Yeni tehdit katalogları içe aktarılabilir. Birlikte çalışabilirlik seviyesi: 3 |
Güvenlik açığı katalogları sağlanmamıştır. Sadece genel kategoriler. Yeni güvenlik açıkları katalogları içe aktarılabilir. Birlikte çalışabilirlik seviyesi: 3 |
Sonuçları hesaplamak için Monte Carlo veya diğer stokastik yöntemler. Yeni risk hesaplama yöntemleri içe aktarılabilir. Birlikte çalışabilirlik seviyesi: 3 |
Güvenlik önlemleri kataloğu sağlanmamıştır. Sadece genel kategoriler. RR hesaplaması esnektir. Birlikte çalışabilirlik seviyesi: 3 |
İNG | ISO 27005 |
Çerçeveler ve Metodolojiler |
Genel Unsurlar | FONKSİYONEL | FONKSİYONEL OLMAYAN | |||||||||
Risk Tanımlama | Risk Değerlendirme | Risk İşleme | ||||||||||
Varlık Bazlı (VB) / Senaryo Bazlı (SB) | Niceliksel / Niteliksel | Varlık Taksonomisi | Varlık Değerlemesi | Tehdit Kataloğu | Zafiyet Kataloğu | Risk Hesaplama Yöntemi | Katalog Ölçümleri ve Kalıntı Risk Hesaplama | Desteklenen Diller | Diğer Risk Çerçevelerine Destek | |||
GUIDELINES ON CYBER SECURITY ONBOARD SHIPS | VB/SB | NİT | Ek 1, potansiyel güvenlik açığı olan araç üstü sistem, ekipman ve teknolojilerin bir listesini sunmaktadır. Yeni varlık kategorileri içe aktarılabilir. Birlikte çalışabilirlik seviyesi: 3 |
Hem varlığın toplam maliyetini hem de bakım maliyetini içerir. Değiştirilebilir ve genişletilebilir kriterler sağlar. Birlikte çalışabilirlik seviyesi: 3 |
Tehdit, tehdit aktörünün zarar verme kabiliyeti, fırsatı ve niyetinin bir ürünüdür. Yeni tehdit katalogları içe aktarılabilir. Birlikte çalışabilirlik seviyesi: 3 |
Potansiyel olarak savunmasız yerleşik sistemlere örnekler verilmiştir. Yeni güvenlik açığı katalogları içe aktarılabilir. Birlikte çalışabilirlik seviyesi: 3 |
Risk, olasılık ve etki değerlendirilerek hesaplanır. Kriterler değiştirilebilir. Birlikte çalışabilirlik seviyesi: 2 |
Bölüm 7 ve 8'de koruma ve tespit tedbirleri yer almaktadır. Yeni koruma önlemleri içe aktarılabilir. RR hesaplaması esnektir. Birlikte çalışabilirlik seviyesi: 3 |
İNG |
Çerçeveler ve Metodolojiler |
Genel Unsurlar | FONKSİYONEL | FONKSİYONEL OLMAYAN | |||||||||
Risk Tanımlama | Risk Değerlendirme | Risk İşleme | ||||||||||
Varlık Bazlı (VB) / Senaryo Bazlı (SB) | Niceliksel / Niteliksel | Varlık Taksonomisi | Varlık Değerlemesi | Tehdit Kataloğu | Zafiyet Kataloğu | Risk Hesaplama Yöntemi | Katalog Ölçümleri ve Kalıntı Risk Hesaplama | Desteklenen Diller | Diğer Risk Çerçevelerine Destek | |||
The AML/CFT methodology | VB | NİT | Varlık taksonomisi sağlanmamıştır. Birlikte çalışabilirlik seviyesi: 0 |
Varlık değerlemesi sağlanmamıştır. Yeni kriterler içe aktarılabilir. Birlikte çalışabilirlik seviyesi: 3 |
Tehditlerin gösterge niteliğinde bir taksonomisini sağlar. Tehditler özellikle kara para aklama ve terörün finansmanını mümkün kılabilecek siber güvenlik olaylarına yöneliktir. Birlikte çalışabilirlik seviyesi: 1 |
Özellikle kara para aklama ve terörün finansmanı ile ilgili tehditleri mümkün kılabilecek güvenlik açıklarının gösterge niteliğinde bir taksonomisini sağlar. Birlikte çalışabilirlik seviyesi: 1 |
Risk, olasılık, etki ve risk için seviye 1'den seviye 5'e kadar bir ölçekte olasılık ve etki değerlendirilerek hesaplanır. Yeni risk hesaplama yöntemleri içe aktarılabilir. Birlikte çalışabilirlik seviyesi: 3 |
Güvenlik önlemleri kataloğu sağlanmamıştır. Birlikte çalışabilirlik seviyesi: 3 |
İNG |
Çerçeveler ve Metodolojiler |
Genel Unsurlar | FONKSİYONEL | FONKSİYONEL OLMAYAN | |||||||||
Risk Tanımlama | Risk Değerlendirme | Risk İşleme | ||||||||||
Varlık Bazlı (VB) / Senaryo Bazlı (SB) | Niceliksel / Niteliksel | Varlık Taksonomisi | Varlık Değerlemesi | Tehdit Kataloğu | Zafiyet Kataloğu | Risk Hesaplama Yöntemi | Katalog Ölçümleri ve Kalıntı Risk Hesaplama | Desteklenen Diller | Diğer Risk Çerçevelerine Destek | |||
Circular CSSF 20/750 | VB/SB | NİT,NİC Birlikte kullanım mümkün |
Varlık taksonomisi sağlanmamıştır. Birlikte çalışabilirlik seviyesi: 0 |
Varlık değerlemesi sağlanmamıştır. Yeni kriterler içe aktarılabilir. Birlikte çalışabilirlik seviyesi: 3 |
Sağlanan tehdit kataloğu yok. Yeni tehdit katalogları içe aktarılabilir. Birlikte çalışabilirlik seviyesi: 3 |
Sağlanan güvenlik açığı kataloğu yok. Yeni güvenlik açıkları katalogları içe aktarılabilir. Birlikte çalışabilirlik seviyesi: 3 |
Riski ölçmek için belirli bir ölçek yoktur. Birlikte çalışabilirlik seviyesi: 3 |
Koruma önlemleri katalogları sunulmamıştır, sadece genel koruma önlemi kategorileri verilmiştir. Birlikte çalışabilirlik seviyesi: 3 |
İNG, FRA |
Bundan sonraki bölümde " Çerçeveler ve Metodolojiler " anlatılmaya devam edilecektir.
Kaynak:
https://www.enisa.europa.eu/publications/interoperable-eu-risk-management-framework/@@download/fullReport
(Güncellenmiş Rapor, Aralık 2022)
(Güncellenmiş Rapor, Aralık 2022)
ENISA HAKKINDA
Avrupa Birliği Siber Güvenlik Ajansı ENISA, Birliğin aşağıdaki konulara adanmış ajansıdır Avrupa çapında yüksek bir ortak siber güvenlik seviyesine ulaşmak. 2004 yılında kurulan ve AB Siber Güvenlik Yasası ile güçlendirilen Avrupa Birliği Siber Güvenlik Ajansı AB siber politikasına katkıda bulunur, BİT ürün, hizmet ve ürünlerinin güvenilirliğini artırır. siber güvenlik sertifikasyon programları ile süreçler, Üye Devletler ve AB ile işbirliği ve Avrupa'nın yarının siber zorluklarına hazırlanmasına yardımcı olur. Bilgi yoluyla paylaşımı, kapasite geliştirme ve farkındalık yaratma konularında kilit rol oynayan kurumlarla birlikte çalışmaktadır. paydaşların bağlantılı ekonomiye olan güvenini güçlendirmek, Birliğin dayanıklılığını artırmak altyapısını ve nihayetinde Avrupa toplumunu ve vatandaşlarını dijital olarak güvende tutmak. Daha fazla ENISA ve çalışmaları hakkındaki bilgilere buradan ulaşabilirsiniz: www.enisa.europa.eu
İLETİŞİM
Yazarlarla iletişime geçmek için lütfen CBU@ENISA.EUROPA.EU adresini kullanın.
Bu makaleyle ilgili medya soruları için lütfen PRESS@ENISA.EUROPA.EU adresini kullanın.
YAZARLAR
Costas Lambrinoudakis, Stefanos Gritzalis, Christos Xenakis, Sokratis Katsikas, Maria Karyda,
Pire Üniversitesi'nden Aggeliki Tsochou
Kostas Papadatos, Konstantinos Rantos, Yiannis Pavlosoglou, Stelios Gasparinatos,
CyberNoesis'ten Anastasios Pantazis
ENISA'dan Alexandros Zacharis
YASAL BİLDİRİM
Aksi belirtilmedikçe, bu yayının ENISA'nın görüş ve yorumlarını temsil ettiği dikkate alınmalıdır. Bu yayın ENISA'nın yasal bir işlemi olarak yorumlanmamalıdır. veya 2019/881 sayılı Tüzük (AB) uyarınca kabul edilmedikçe ENISA organları tarafından onaylanmamıştır.
Bu yayın en son gelişmeleri temsil içermeyebilir ve ENISA bu yayını zaman zaman güncelleyebilir
Üçüncü taraf kaynaklardan uygun şekilde alıntı yapılmıştır. ENISA, bu yayında atıfta bulunulan harici web siteleri de dahil olmak üzere harici kaynakların içeriğinden sorumlu değildir.
Bu yayın sadece bilgilendirme amaçlıdır. Ücretsiz olarak erişilebilir olmalıdır.
Ne ENISA ne de onun adına hareket eden herhangi bir kişi bu yayının kullanımından sorumlu değildir.
bu yayında yer alan bilgilerin telif hakkı saklıdır.
TELİF HAKKI UYARISI
© Avrupa Birliği Siber Güvenlik Ajansı (ENISA), 2022
ISBN 978-92-9204-553-1 DOI:10.2824/07253 Katalog No: TP-01-22-004-EN-
Kaynak:
https://www.enisa.europa.eu/publications/interoperable-eu-risk-management-framework/@@download/fullReport
(Güncellenmiş Rapor, Aralık 2022)
(Güncellenmiş Rapor, Aralık 2022)
ENISA HAKKINDA
Avrupa Birliği Siber Güvenlik Ajansı ENISA, Birliğin aşağıdaki konulara adanmış ajansıdır Avrupa çapında yüksek bir ortak siber güvenlik seviyesine ulaşmak. 2004 yılında kurulan ve AB Siber Güvenlik Yasası ile güçlendirilen Avrupa Birliği Siber Güvenlik Ajansı AB siber politikasına katkıda bulunur, BİT ürün, hizmet ve ürünlerinin güvenilirliğini artırır. siber güvenlik sertifikasyon programları ile süreçler, Üye Devletler ve AB ile işbirliği ve Avrupa'nın yarının siber zorluklarına hazırlanmasına yardımcı olur. Bilgi yoluyla paylaşımı, kapasite geliştirme ve farkındalık yaratma konularında kilit rol oynayan kurumlarla birlikte çalışmaktadır. paydaşların bağlantılı ekonomiye olan güvenini güçlendirmek, Birliğin dayanıklılığını artırmak altyapısını ve nihayetinde Avrupa toplumunu ve vatandaşlarını dijital olarak güvende tutmak. Daha fazla ENISA ve çalışmaları hakkındaki bilgilere buradan ulaşabilirsiniz: www.enisa.europa.eu
İLETİŞİM
Yazarlarla iletişime geçmek için lütfen CBU@ENISA.EUROPA.EU adresini kullanın.
Bu makaleyle ilgili medya soruları için lütfen PRESS@ENISA.EUROPA.EU adresini kullanın.
YAZARLAR
Costas Lambrinoudakis, Stefanos Gritzalis, Christos Xenakis, Sokratis Katsikas, Maria Karyda,
Pire Üniversitesi'nden Aggeliki Tsochou
Kostas Papadatos, Konstantinos Rantos, Yiannis Pavlosoglou, Stelios Gasparinatos,
CyberNoesis'ten Anastasios Pantazis
ENISA'dan Alexandros Zacharis
YASAL BİLDİRİM
Aksi belirtilmedikçe, bu yayının ENISA'nın görüş ve yorumlarını temsil ettiği dikkate alınmalıdır. Bu yayın ENISA'nın yasal bir işlemi olarak yorumlanmamalıdır. veya 2019/881 sayılı Tüzük (AB) uyarınca kabul edilmedikçe ENISA organları tarafından onaylanmamıştır.
Bu yayın en son gelişmeleri temsil içermeyebilir ve ENISA bu yayını zaman zaman güncelleyebilir
Üçüncü taraf kaynaklardan uygun şekilde alıntı yapılmıştır. ENISA, bu yayında atıfta bulunulan harici web siteleri de dahil olmak üzere harici kaynakların içeriğinden sorumlu değildir.
Bu yayın sadece bilgilendirme amaçlıdır. Ücretsiz olarak erişilebilir olmalıdır.
Ne ENISA ne de onun adına hareket eden herhangi bir kişi bu yayının kullanımından sorumlu değildir.
bu yayında yer alan bilgilerin telif hakkı saklıdır.
TELİF HAKKI UYARISI
© Avrupa Birliği Siber Güvenlik Ajansı (ENISA), 2022
ISBN 978-92-9204-553-1 DOI:10.2824/07253 Katalog No: TP-01-22-004-EN-
Paylaş:
E-BÜLTEN KAYIT
Güncel makalelerimizden haberdar olmak için e-bültene kayıt olun!
Güncel makalelerimizden haberdar olmak için e-bültene kayıt olun!