Ana Sayfa / Bilgi Deposu / Siber Güvenlik ve Bilgi Güvenliğinde Risk Analizi Nedir ?

Siber Güvenlik ve Bilgi Güvenliğinde Risk Analizi Nedir ?

Siber Güvenlik ve Bilgi Güvenliğinde Risk Analizi Nedir ?

Hangi bilgi güvenliği risk analizi metodolojisine bakılmaksızın olursa olsun, her zaman, potansiyel tehditlerin, kırılganlıkların ve riski kabul edilebilir bir düzeye indirgeyebilecek önlemlerin kritik önem taşıyan varlıklarının değerlendirilmesini içerir. Söz konusu örgütün derinlemesine bilgisi ve bir bütün olarak bilgi güvenliği alanı, sunulan yaklaşımların temelini oluştursa da  ilgili alanların resmi bilgi temsili konusunda çok az araştırma yapılmıştır. Son çalışmalar, yönetim düzeyinde bilgi güvenliği bilgisinin eksikliğinin, yetersiz ya da varolmayan bilgi güvenliği risk analizi stratejilerinin bir nedeni olduğunu ve yönetimin bilgi güvenliği bilincini ve bilgi düzeyini arttığını göstermiştir. daha etkili stratejilere. Çoğu şirket sahibi insanlar bilgi güvenliği risk analizini bilgi teknolojisi güvenliğindeki en büyük on zorluktan biri olarak tanımlamış ve mevcut bilgi güvenliği risk analizi yaklaşımlarını desteklemek ve iyileştirmek için sağlam teoriler ve yöntemler çağrısında bulunmuştur. 6 yılında Avrupa Ağ ve bilgi güvenliği Ajansı bu konulara değinmiştir  ve bilgi güvenliği risk analizi için birleşik bilgi tabanlarının oluşturulmasını ve yüksek öncelikli konular olarak risk ölçüm yöntemlerinin geliştirilmesini derecelendirmiştir. Sadece kısa bir süre sonra bilgi güvenliği risk analizi sürecini desteklemek için iyi tanımlanmış resmi modellerden oluşan bir kümenin eksik olduğunu doğruladı.

Görüşülen İngiltere örgütlerinin sadece yüzde 48’i bilgi güvenliği risklerini resmi olarak değerlendirmektedir . Bugüne kadar bu tür kuruluşlar risk değerlendirme ve azaltma aşamalarını yürütmek için çoğunlukla en iyi uygulama kılavuzlarına, bilgi güvenliği standartlarına ve / veya alan uzmanlarına güvenmiştir. Araştırma Amaçları ve Yaklaşım Bu araştırma mevcut bilgi güvenliği risk analizi yaklaşımlarını detaylandırmakta ve bu yaklaşımların uygulanmasında ortaya çıkan sorunları tanımlamaktadır. Amaç, belirlenen sorunları ele almak ve yönetim karar vericilerinin aşağıdaki sorunlarla etkin bir şekilde başa çıkabilmelerini sağlayan yöntemler sağlamaktır:

bilgi güvenliği standardı uyumlu IT güvenlik çözümü portföylerini nasıl kapsamlı bir şekilde hesaplayabiliriz?  Portföyün riskine karşı maliyet karĢılı Ģekilde verilen verileri yönetim karar vericilerine nasıl etkin bir Ģekilde iletebiliriz? Araştırma sorusu sorularına cevap vermek ve bir sonraki bölümde anlatılan katkıları sağlamak için araştırma projesi kavramsal analitik, artefakt oluşturma ve artefakt değerlendirme araştırma yaklaşımlarının bir kombinasyonunu kullanır . Bu nedenle, bu makale mevcut bilgi güvenliği risk analizi metodolojilerinin ayrıntılı bir araştırmasıyla başlamaktadır. Bunu, ilgili çalışmayı karşılaştırarak ve analiz ederek yaparız (kavramsal analitik yaklaşım). Bu makalede tanımlanan gereksinimler, literatür araştırmasının sonuçlarına ve belirlenen eksikliklere dayanmaktadır. Bir başka bölüm, yeni tekniklerin geliştirilmesi, mevcut tekniklerin genişletilmesi ve geliştirilmesi ve bu tekniklerin bilgi güvenliği risk analizi alanına uygulanmasıdır (artefakt yapımı ve artefakt değerlendirmesi).

Bilgi Güvenliğinde Risk Analizi Nedir ?

Son olarak, araştırma sonuçları bir prototipin tasarlanması ve uygulanmasıyla ve iki küçük ve orta ölçekli Avrupa işletmesinde vaka çalışmaları yürütülerek doğrulanmıştır. Araştırmamız, bilgi güvenliği risk analizi (ISRM) topluluğunun bu taleplerini karşılamak için risk yöneticilerini etkili güvenlik kararları almalarını desteklemek ve böylece kurumun misyonunu korumak amacıyla konseptler geliştirmeye odaklanmaktadır. Geliştirilmiş kavramların detaylı özellikleri, yeni otomatik risk analizi yaklaşımları getirmektedir. Şekil 1, katkılarımızın ana ISRM aşamalarını nasıl desteklediğini göstermektedir. Tüm çerçevenin amacı, yatırım karar vericilerini etkili güvenlik çözümlerini interaktif olarak seçerek desteklemektir. Aşağıdaki öge, temeldeki yaklaşımları kısaca özetlemektedir: 1) İş Süreci Önemi Belirleme: ISRM süreci, iş süreci önem aşaması ile başlar. AURUM, sürecin faaliyetlerinin gerektirdiği varlıklar için önem değerlerini otomatik olarak hesaplar. Mevcut iş süreci modelleri üzerinde hesaplamaları ve her bir süreç için genel bir önem değerini temeller. Bu hesaplamanın sonuçları, varlığın mevcut olmaması durumunda organizasyon üzerindeki genel etkisini gösterir. 2) Stok Aşaması: Envanter aşamasında, AURUM varlıklarını tanımlamak için kurumları destekler, tanımlı varlıklar için kabul edilebilir risk seviyesi, bu varlıkların organizasyon çapında önemi ve saldırgan motivasyon ve yetenek açısından profiller. Varlıklar (örneğin, sunucular ve veriler) mevcut iş süreci modellerine dayalı olarak iş süreci önem belirleme aşamasında otomatik olarak ve / veya kuruluşun altyapısını ontolojik bilgiye göre haritalandırarak envanter aşamasında el ile elde edilir.

Bu bilgiyi genel bilgi güvenliği alan bilgisi ile saklamak ve birleştirmek için bir güvenlik ontolojisi geliştirdik. 3) Tehdit Olasılığı Belirleme: Tehdit olasılığı aşamasında, tarafımızdan geliştirilen Bayes tehdidi olasılığı belirlemesi, tehditlerle ilgili bilgileri ve öncelikleri, güvenlik açıklarını, varolan ve potansiyel denetim uygulamalarını, saldırgan profillerini ve varlıkları hakkında bilgi toplamak için güvenlik ontolojisini kullanır. organizasyon. Bu bilgi ile, yukarıda bahsedilen girdi bilgilerine dayanarak tehdit olasılıklarını hesaplayabilen bir Bayes ağı kurar. 4) Risk Tespiti: Risk belirleme aşamasında ilgili tehdit olasılıkları her bir varlık için önem verilen bilgiler ile birleştirilir. 5) Kontrol Tanımlama ve Değerlendirme: Bu aşamada, mevcut ve potansiyel kontrol uygulamaları ve bunların nitelikleri, gelişmiş etkileşimli çok kriterli karar destek metodolojisini desteklemek için güvenlik ontolojisinden çıkarılır. Bununla birlikte, iki temel ISRM sorusu için bir çözüm konsepti sunuyoruz: Riskin kabul edilebilir düzeyde azaltılması için hangi BT güvenlik çözümleri genellikle kullanılabilir ?, ve Riskin azaltılması için hangi IT güvenlik çözümlerinin kullanılması gerektiği Uygun maliyetli bir şekilde kabul edilebilir bir seviyeye mi? Bizim yöntemimiz, işlem seviyesinde bağlı gerekli varlıklar da dahil olmak üzere, daha fazla işlem için Petri ağlarına içsel olarak dönüştürülmüş girdi olarak iş süreci modellerini gerektirir.

Şu anda, ADONIS için ayrıştırıcılar var, ancak analiz bazında Petri ağlarının kullanımı nedeniyle, diğer BPM formatları kolayca entegre edilebilir. İş süreci dokümantasyonu bir kuruluşta mevcut değilse, iş süreci analizi önceden yapılmalıdır. Ayrıca, her bir iş sürecine, parasal (örneğin, saat başına Avro) veya niteliksel (örn. Yüksek, Orta ve Düşük) bir önem değeri atanmalıdır. Bu girdi verileriyle, yöntemimiz her bir kaynak için iki değeri hesaplar: bir iş süreci çapında, yerel önem değeri ve bir organizasyon çapında, küresel önem değeri. İlk olarak, potansiyel süreç yürütme akışları ile ilgili tekdüze bir dağılım varsayarak, her bir işlem etkinliği için yerel önem değerleri hesaplanır. Bir kaynağın yerel önem değerini hesaplamak için, söz konusu kaynağı kullanan en yüksek öneme sahip faaliyet seçilir ve iş sürecinin genel önemi ile çarpılır. Son olarak, tüm yerel önem değerlerinin toplanmasıyla küresel kaynak önemi hesaplanmaktadır. Bu varlığın önemini belirleme yaklaşımının avantajları şunlardır: gerekli girdi verileri, gerekli kaynaklar ve iş sürecinin önemi de dahil olmak üzere, makine-yorumlanabilir iş süreci temsilcilikleri ile sınırlıdır ve gerekli girdi verilerinin zaten mevcut olduğu varsayılarak Bizim yaklaşımımız, ISRM’ye iş süreçlerinin yapısına ve kaynak katılımına dayanan kaynak önemi için hızlı sonuçlar sağlıyor. Bu yaklaşıma dair detaylar Fenz, Ekelhart ve Neubauer’de bulunabilir. Şu anda, otomatik önem belirleme yalnızca güvenlik özelliklerinin kullanılabilirliğini ele almaktadır. Dürüstlük ve gizlilik için etki değerleri her varlık için manuel olarak atanabilir. ISRM, analiz edilen sistem tarafından kullanılan ve / veya sistem tarafından istenen sistem sınırlarının, varlıkların ve bilgilerin ayrıntılı tanımını gerektirir. Bu, donanım, yazılım, mevcut fiziksel ve organizasyonel kontroller, sistem arayüzleri, veriler, bilgiler ve BT sistemini destekleyen veya kullanan kişilerin sistematik envanterini içerir. Modern bilgi güvenliği risk analizindeki temel ancak çözülmemiş gereksinimlerden biri, ilgili tüm taraflar için ortak bir anlayış ve iletişim temeli sağlayan ortak bir dildir. Böyle bir dil sadece ayrıntılı terim tanımları içermemeli, aynı zamanda terimlerin bağlanabileceği bağlamı da ele almalıdır. Bir tehdit, bir tehdit kaynağı ve mevcut bir güvenlik açığının etkili olmasını gerektirir. Bir insan tehdidi menşei, kazayla veya kasıtlı olarak bir güvenlik açığından yararlanabilir.

Siber Güvenlikte Risk Analizi Nedir ?

Bu adımda, Stoneburner ve ark. Tarafından önerilen potansiyel tehditlerin kapsamlı bir listesini derlemek önemlidir çünkü sonraki risk belirleme adımı, bu adımın sonuçlarını risk azaltma stratejisi için girdi olarak kullanır. Standartlar ve en iyi uygulamalar genellikle bir örnek tehdit listesi sunarken, risk yöneticisi her tehdidin doğasına her zaman aşina değildir. Hangi tehditler kritik varlıkları tehlikeye sokar? Hangi tehdit bir çarpandır (yani diğer tehditlere yol açar)? Hangi güvenlik açıklarının bir tehdit oluşturması etkili olmak için istismar etmek zorundadır? En güncel bilgi güvenliği risk analizi standartları veya en iyi uygulama kılavuzları bu soruları pek ele almamaktadır. Bu nedenle, stok sistemine karşı potansiyel tehditleri tanımlamak için, tehditlerle ilgili bilgi ve varlık kavramlarıyla ilişkilerini içeren güvenlik ontolojisini kullanırız. Her tehdit tanımını inceleyerek ve resmi sekizi takip ederek: ilişkiyi tehdit eder, tehdit altındaki tüm varlık kavramlarını tanımlamak mümkündür. Bir sonraki adımda, envanter aşamasında modellenen tüm kuruluşa özgü varlıklar, tehdit altındaki sınıfların örneklerini sorgulayarak geri alınabilir. Sonuç olarak, olası tehditlerin ve ilgili kuruluşun risk altındaki varlıklarının bir listesini alırız. Bu noktada yönetim, hangi risklerin organizasyon için kabul edilemeyeceğini bilir ve bu nedenle uygun güvenlik önlemleri ile azaltılmalı veya ortadan kaldırılmalıdır. Bu öneri adımını desteklemek için güvenlik modeline danışıyoruz. Her bir güvenlik açığı için, Alman IT Grundschutz Kılavuzu gibi en iyi uygulama standartlarından uygun kontroller modellenmiştir. Geleneksel sürecin tersine, bu çözüm karşı önlemler hakkında kapsamlı bir bilgi tabanı sağlar ve böylece zaman tasarrufu sağlar, etkin çözümlerin gözden kaçırılması veya unutulmasını önler ve en iyi uygulamaya uygun olarak etkili kontroller sağlar. standartları. Bununla birlikte, potansiyel kontrol örnekleri listesinde bile karar vericinin bütçeye uyan ve beklenen faydaları sağlayan en uygun güvenlik çözümlerini belirlemesi gerekir.

Her kontrol, sadece kurumsal varlıkları korumak için farklı değerlere sahip olmayan, aynı zamanda uygulama için farklı varlıklar talep eden çeşitli kontrol örnekleri tarafından gerçekleştirilebilir. Bu kararı desteklemek için yapılan maliyet / fayda analizi, NIST SP 800-30 gibi mevcut bilgi güvenliği risk analizi yaklaşımları tarafından nadiren değerlendirilmektedir. Karar vericiler çoğu zaman yüksek sayıda alternatif çözümle boğulurlar ve çoğu zaman güvenlik yatırımlarının uygun olup olmadığını bilmezler. Bu nedenle, karar vericilere, belirli bir seçim problemi hakkında bilgi sunan kontrol değerlendirmesi için sezgisel bir arayüz sağlamaktayız. Sistem, seçilen çözümün verimli olmasını sağlayacaktır. Karar vericiler kararlarının sonuçlarını öğrenir ve mevcut çözüm ile her bir kategorideki potansiyel çözümler arasındaki boşluğu hakkında bilgi alırlar. Karar vericilere fikir ve hedeflerine en iyi uyan, önceki adımda tespit edilen binlerce bin Pareto-verimli alternatif arasından en uygun güvenlik çözümlerini belirlemede destek olmak için arama tabanlı bir prosedür kullanıyoruz.

Etkin bir güvenlik çözümleri portföyü (kontrol uygulamaları) ile başlar ve karar vericinin, ―better‖ portföyü bulunana kadar, çözüm alanı içinde daha cazip alternatiflere doğru iteratif olarak gezinmesini sağlar. Kullanıcı arayüzünün karar vericiye bilinçli bir karar vermesi için gereken minimum bilgiyi sınırladığımızı lütfen unutmayın:  Bizim yaklaşımımız  bir veya daha fazla hedef için alt ve üst sınırların etkileşimli modifikasyonlarına dayanmaktadır. Karar destek sistemi, atanan birimlerin (maliyetler veya ―points‖ durumunda ―euro‖ gibi) atanan kaynak ve fayda kategorilerini (maliyetler veya kullanılabilirlik gibi) temsil eden K yüzen çubuklarını . Bir tarafta küçük oklar bulunan iki hareketli yatay çizgi, alt ve üst sınırları temsil eder ve kalan çözümlerin setini adım adım bir şekilde (ör., Hedeflerden birinde minimum sınırı kaldırarak) veya genişletmek için kısıtlamak üzere tasarlanmıştır. karar vericilerin tercihlerine bağlı olarak (örneğin, bir veya daha fazla sınırı tekrar gevşeterek). Uyum tabanlı bir bilgi güvenliği programında, bilgi sistemleri önceden belirlenmiş kapsamlı bir güvenlik kontrol seti ile uyumlu olacak şekilde tasarlanır ve gereklidir. Son zamanlarda, bu tür bir güvenlik programının, bazılarının günümüzün değişen bilgi sistemi mimarileri ve tehdit popülasyonları ile ilgisi olmayan pahalı koruma önlemlerinin alınmasına yol açtığı gösterilmiştir. Basitçe, bir kuruluş uygunluk temelli bir bilgi güvenliği programı kullanması nedeniyle uygunsuz güvenlik kontrollerinin uygulanması konusunda önemli miktarda para harcayacaktır. Hükümet bu potansiyel atık alanını tanımış ve hükümet bilgi sistemlerinin risk bazlı bilgi güvenliği programları oluşturduğunu zorunlu kılmıştır. Uyum temelli bir risk temelli bilgi güvenliği programına geçiş, sorumluluğu yerel güvenlik uygulayıcısına önemli bir ek yük getirmekte ve değiştirmektedir. Risk temelli bir bilgi güvenliği programının benimsenmesi, işletmenin bilgi sistemleri tehditlerini fark etmesini ve kendi tehditlerine uygun koruma ve koruma mekanizmalarına cevap vermesini gerektirir. Buna ek olarak, işletme değişen teknolojiler ve dinamik tehdit nüfusu nedeniyle güvenlik duruşunu sürekli olarak gözden geçirmelidir. Bu nedenle, işletmenin ilgili tehditleri belirlemek, kalan zayıflıkları yeniden değerlendirmek ve yeni tehditleri tanımlamak için yapılandırılmış bir metodoloji benimsemesi kritik önem taşımaktadır.

Hakkında: Admin

Kontrol Ediliyor

LoL Sihirdarların Bilmesi Gerekenler

LoL Sihirdarların Bilmesi Gerekenler Eğer LoL ( League of Legens ) oyununa yeni başladıysanız mutlaka …

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir