- SİBERSAN, risk değerlendirmesi için ISO 31000 standardını referans olarak kullanmaktadır. Risk değerlendirmesi, kurum seviyesinde karşılanabilecek riskleri bütüncül bir şekilde tespit edebilmekte, risk kaynaklarını tanımlamayabilmekte, etki ve olasılıklarını belirleyebilecek ve gizlilik, bütünlük ve erişilebilirlik unsurlarını ele alabilecek şekilde tasarlanmaktadır.
- SİBERSAN, riskleri karşılayan güvenlik kontrollerinin seçiminde ISO 27002 standardını da kullanmaktadır.
- SİBERSAN, Firma proje ekibi ile birlikte risk yönetim prosedürünü geliştirmektedir, Risk yönetim prosedürü risk tespiti, değerlendirme ve yönetim seçeneklerini açıklamakta ve analiz için bir metodoloji sunmaktadır.
- Belirlenen varlıklara yönelik tehditler ve bu tehditlerin kullanacağı zafiyetler; olasılık ve etkiler belirlenmekte ve bu veriler kullanarak risk derecelendirmesini gerçekleştirilmektedir. Bu kapsamda En az aşağıdaki etki alanlarını da içeren Tehdit analizi yapılmaktadır;
- Dış kurum ve kişilerden, partilerden gelecek tehditler
- BT stratejisi ve hedefleri ile doğrudan ilgili tehditler
- Dış ve iç konulardan kaynaklı tehditler
- Bilişim Sistem operasyonları ve işletmesinden kaynaklanacak tehditler
- Bilişim eleman ve kullanıcılarından gelecek tehditler
- Organizasyon ve iş sorumluluklarından gelecek tehditler
- Personel hataları kaynaklı tehditler
- Yazılım Geliştirme ortamlardan gelebilecek tehditler
- Bilişim Ağ ve Sunucu Sistem Yönetim işlevlerinden gelebilecek tehditler
- Fiziksel ve mantıksal Erişim tehditler
- Doğal koşul ve felaketlerden gelecek tehditler
- Risk analizi çalışmasının tamamlanmasının ardından en az aşağıdaki konuları ve çözüm önerilerini kapsayan bir risk analiz raporu ŞİRKET’e sunulmaktadır. Bu rapor yönetici özeti, risk analiz çalışmasında uygulanan metod, detaylı analiz sonuçları ve öneriler kısımlarını içermektedir,
- Risk Analizi kapsamında en az aşağıdaki alanlardaki güvenlik ve ilgili riskler değerlendirilmektedir;
- Güvenlik Organizasyonu,
- Bilgi Varlıklarının Sınıflandırması ve Kontrolü,
- Personel Güvenliği,
- Fiziksel ve Çevresel Güvenlik,
- İletişim ve Operasyon Güvenliği,
- Erişim Kontrolü,
- Sistem Geliştirme ve Yönetimi,
- İş Devamlılık Yönetimi,
- Uyumluluk,
- Güvenlik Organizasyonu kapsamında, mevcut organizasyon yapısı incelenerek güvenlik konusunun kişi ve kademeler arasında paylaşılıp paylaşılmadığı, yetki ve sorumlulukların dağılımı incelenecek buralarda oluşabilecek riskler tespit edilmektedir. Firma içinde bilgi güvenliğini yönetmek üzere mevcut organizasyonel yapı değerlendirilmektedir.
- Personel Güvenliği kapsamında, insan hatası, çalınma ve kötüye kullanma risklerini azaltmaya yönelik olarak personel faktörü ve bu alandaki kanuni ve yönetsel hazırlıklar ile oluşabilecek riskler incelenmektedir. Çalışanların bilgi güvenliği kavramları ve açıklarının ne derecede farkında oldukları ve mesaileri boyunca Firma güvenlik politikalarını desteklemek için ne şekilde donatıldıkları incelenmektedir. Çalışanların sebep olabileceği güvenlik olayları sonucunda oluşabilecek zararlar ve bunların giderilme yöntemleri belirlenerek risk analizi raporunda yer almaktadır.
- Fiziksel ve Çevresel Güvenlik kapsamında bilgi varlıklarının erişilebilir oldukları yerlerdeki fiziksel ortamın güvenliği, fiziksel güvenlik ihtiyaçlarının ne derece karşılandığı ve oluşabilecek riskler incelenmektedir. Bu incelemelerin ışığında Firmanın işleyişine ait fonksiyonlara ve bilgilere müdahale, yetkisiz erişim ve zararların önlenmesine yönelik fiziksel güvenlik anlamında neler yapılması gerektiği belirlenerek risk analizi raporunda yer almaktadır.
- İletişim ve Operasyon Güvenliği kapsamında iletişim kaynaklarının ve operasyon içeriğinin güvenliğinin sağlanmasına yönelik olarak, servislerin doğru ve güvenli işletiminden emin olmak amacıyla oluşabilecek riskler incelenmektedir. Sistemlerin çökmesi / devre dışı kalması risklerini en aza indirmek, yazılım ve bilgi tutarlılığını korumak, bilgi işlem servisleri ve iletişimin tutarlılık ve erişilebilirliğini sağlamak, iletişim ağında seyreden bilgilerin ve destekleyen altyapının konumundan emin olmak, iş aktivitelerinde kesintilere ve varlıklara gelebilecek zararlara karşı önlem almak, organizasyonlar arası seyreden bilgilerin kaybını, yetkisiz değiştirilmesini ya da kötüye kullanımını önlemek hedeflerine yönelik olarak yapılması gereken çalışmalar tespit edilerek risk analizi raporunda sunulmaktadır.
- Erişim Kontrolü kapsamında kullanıcıların, yalnızca sahip oldukları erişim hakları çerçevesinde bilgiye erişmesini güvenceye almak amacıyla; bilgiye erişimin kontrolünü sağlamak, bilgi sistemlerine yetkisiz erişimi önlemek, ağ servislerinin korunmasını sağlamak, yetkisiz eylemleri algılayabilmek, mobil iletişim ve kablosuz ağ uygulamaları sırasında bilginin korunabilmesini sağlayabilmek amacıyla yapılması gerekenler ve oluşabilecek riskler tespit edilerek risk analizi raporunda sunulmaktadır.
- Sistem Geliştirme ve Yönetimi kapsamında telekomünikasyon ve bilişim projelerinin güvenli biçimde gerçekleştirilmesinin sağlanması amacına yönelik olarak, uygulama sistemi içindeki kullanıcı verilerinin kayıp, değiştirilme ve kötüye kullanmaya karşı korunması, bilginin gizlilik, bütünlük ve erişilebilirliğinin sağlanması, IT projelerinin ve destek operasyonunun güvenli bir şekilde yürütüldüğünden emin olunması ve uygulama sistemi yazılım ve verilerinin güvenliğinin sağlanması hedefine yönelik olarak yapılması gerekenler ve oluşabilecek riskler incelenerek risk analizi raporunda sunulmaktadır.
- İş Süreklilik Yönetimi kapsamında kritik iş süreçlerinin büyük felaketlere ve hatalara rağmen işin sürekliliğinin sağlanması amacıyla, doğal felaket ya da olağanüstü durumların iş aktivitelerine ya da kritik iş süreçlerine etkilerinin boyutları belirlenerek oluşabilecek riskler incelenecek ve yapılması gerekenler (yedekleme politikaları ve yedeklerden geri dönüş planlarına ilişkin yapılması gereken işlemlere ait prosedürler…vb) ele alınarak risk analizi raporunda sunulmaktadır. Bu bulgular aynı zamanda, İş Etki Analizlerine girdi sağlayacaktır.
- Uyumluluk kapsamında yasal, tüzel, düzenleyici veya sözleşmeye dayalı yaptırımların ve güvenlik kurallarının ihlalinin önlenmesi ile sistemlerin, organizasyon güvenlik politika ve standartlarıyla uyumluluğundan emin olunmasına yönelik olarak yapılması gerekenler ve oluşabilecek riskler belirlenerek risk analiz raporunda sunulmaktadır.
- Hazırlanacak Risk Analiz raporu en az aşağıdaki konuları içermek ile birlikte ISO 27001:2013’de belirtilen tüm konuları içermektedir;
o Konu
o Kapsam
o Kullanılan Metot ve Yöntemler
o Yapılan çalışmalar
o Tehlike ve Açık listesinin nasıl oluşturulduğu
o Risklerin Atanması
o Risk Önceliklendirilmesi
o Mevcut Güvenlik listesi
o Kabul Edilebilir Risklerin Açıklaması
o Ekler
- Varlık Listesi,
- Risk –Tehdit matrisi,
- Tehdit listesi,
- Mevcut Güvenlik Önlemleri
- Olması gereken ISO27001 Güvenlik Önlemleri
- Risk analizi sonunda hazırlanması gereken ISO 27001 Güvenlik Politika, Prosedür, Standart, Form veya Talimat Listesi
- Gözden Geçirme süresi
- Tehlike, açık, risk ve önerilen önlemlerin tespitinde ISO27001 Standardı maddelerinin tümü göz önüne alınacaktır. Uygulanması söz konusu olmayan standart maddeleri belirlenecektir.