Yanginda Ilk Kurtarilacak Risk Analizi

1
Yanginda Ilk KurtarilacakRisk Analizi Üzerine
Çesitlemeler

• Erhan Görmen
• Bilgi Güvenlik Danismani

http//www.sonofnights.com
2
Sunum Akisi

• Risk Nedir?
• Risk Analizi Yöntemleri
• Risk Analizi Araçlari
• Risk Analizi Örnekleri
• Uygulama ve Sonuçlar

http//www.sonofnights.com
3
Risk Nedir?

• Eksi Sözlük Kavramlari
• Hayatin kendisi
• Muhtesem bir oyun
• Bir islemci tipi
• Kredinin harcanan kismi
• Degiskenligin yüksek oldugu ortamlarda yüksek
  olan kavram
• Istenmeyen sonuçlarla karsilasma olasiligi
• Türk Dil Kurumu Güncel Sözlük
• Zarara ugrama tehlikesi

http//www.sonofnights.com
4
Bilgi Güvenligi, Risk Analizi ve Standartlar

• BS7799
• ISO 27001 (ISO 17799)
• COBIT
• NIST

http//www.sonofnights.com
5
Risk Analizi Yöntemleri

• PHA (Preliminary Risk Analysis)
• FMECA (Failure Modes, Effect and Criticality
  Analysis)
• FTA (Fault Tree Analysis)
• HAZOP (Hazard and Operability Analysis)
• MORT (Management Oversight Risk Tree)
• SMORT (Safety Management Organization Review
  Technique)
• S/SSA (Security/Survivability Systems Analysis)
• CEA (Cost Effectiveness Analysis)
• CBAM (Cost Benefit Analysis Method)
• MC (Monte Carlo Modeling)
• CRAMM (UK Government Risk Analysis and Management
  Method)

http//www.sonofnights.com
6
Risk Analizi Araçlari - I

• _at_RISK
• Analytica
• ASSET
• OCTAVE
• Quadrant
• Crystall Ball
• CRAMM
• Palisade
• TopRank
• Callio
• Cobra
• RISKView
• RAMAS

• LAVA
• DDIS
• LRAM
• MINIRISK
• Control-IT
• RISAN
• Risiko
• BDS
• RiskWatch
• RiskPAC
• RiskCALC
• Xacta
• XRM

http//www.sonofnights.com
7
Risk Analizi ve Yönetimi
Varliklar
Zafiyetler
Tehditler
RISKLER
Karsi Önlemler
http//www.sonofnights.com
8
Risk Analizi Puanlamasi

• Risk Deger x Tehdit x Etki x Olasilik
• RISK Degeri 65
• ???

http//www.sonofnights.com
9
Risk Analizi Degerlendirmesi

• Düsük
• Gizli olmayan, bütünlügü önemsiz ve uzun süre
  erisilememesi sorun olmayacaksa
• Orta
• Sirket çalisanlarinin bilmesinin sakinca
  yaratmayacagi, bütünlügünün bozulmasinin ve bir
  süre erisimin olmamasi sorun yaratmayacaksa
• Yüksek
• Sirket içerisinde belirli bir grubun bilmesi
  gereken, bütünlügünün bozulmasi durumunda diger
  araçlar araciligiyla dogru belirlenebiliyor ve
  erisimin önemli oldugu durumlar varsa
• Çok Yüksek
• Sadece ilgili kisilerin bildigi, bütünlügünün son
  derece önemli oldugu, her an erisilmesi gereken
  bir durum varsa

http//www.sonofnights.com
10
Risk Analizi Araçlari - II

• Kapsamin belirlenmesi
• Sistem ya da varliklarin girdi-çiktilarinin
  belirlenmesi

http//www.sonofnights.com
11
Risk Analizi Örnekleri
Yanginda Ilk Kurtarilacak
http//www.sonofnights.com
12
Uygulama
http//www.sonofnights.com
13
Risk Analizinin Yanisira

• Bilgi Güvenligi Politika belgeleri
• Bilgi güvenligi sorumluluklari
• Bilgi güvenligi egitim ve ögretimleri
• Güvenlik olay yönetimi (en azindan
  raporlanmasinin saglanmasi)
• Is Süreklilik Planlari

http//www.sonofnights.com
14
Risk Analizi Sonuçlari

• Veri Toplama
• Analiz
• Sonuçlarin Çiktisi
• Kabul Edilebilir Risklerin Belirlenmesi
• Risk Azaltma Plan ve Projeleri

http//www.sonofnights.com
15
Sorular
http//www.sonofnights.com
16
Tesekkürler
http//www.sonofnights.com