Sunuyu indir
Sunum yükleniyor. Lütfen bekleyiniz
YayınlayanGiz Tozlu Değiştirilmiş 10 yıl önce
1
Risk Yönetimi Bingöl KHB Güvenliği Politikaları Eğitimi Sedat ADEMOĞLU
Bingöl Kamu Hastaneleri Birliği Genel Sekreterliği
2
Genellikle risk olumsuz bir durum yani tehlike olarak değerlendirilir.
Risk Nedir ? Risk, Fransızca risque olarak dilimize geçmiş olup sözlük anlamı “Riziko, zarara uğrama tehlikesi” şeklindedir Risk (riziko), bir olayın gerçekleşme olasılığı ve olaydan etkilenme olanağı olarak tanımlanmaktadır. Genellikle risk olumsuz bir durum yani tehlike olarak değerlendirilir. Bu nedenle risklerin olumsuz etkilerinden zarar görmemek için olasılıklar göz önüne alınarak, önlemler almaya yönelik, çalışma ve planlama faaliyetlerini içeren ve risk yönetimi olarak anılan bir disiplin ortaya çıkmıştır.
3
Risk Yönetimi Risk Yönetimi ise bir kurumun ya da kuruluşun çalışabilirliği, ticari kuruluşlar içinse öncelikle kârlılığını olumsuz yönde etkileyebilecek risk faktörlerinin belirlenmesi, ölçülmesi ve en alt düzeye indirilmesi sürecidir. Risk yönetiminde, riskin tamamıyla ortadan kaldırılması mümkün değildir.
4
Risk Yönetimi Kavramları
Varlıklar Bilgi Değeri Taşıyan Varlıklar Tehditler Kurum içi yada kurum dışı tehlike Açıklık & Zayıflıklar Tehlikeye Sebep Yönlerimiz Olasılık Riskin Gerçekleşme İhtimali İşe Etki İşe ve sisteme olan yansıması
5
Varlık nedir ? Varlık, sistemin bir parçası olan ve kurum için değeri olan her şeydir. Varlık kurum için değer taşıdığından korunması gerekir. Bir BT sisteminde sadece yazılım ve donanımlar varlık olarak düşünülmemelidir. Bilgi, Donanım (kişisel bilgisayarlar, yazıcılar, sunucular), Yazılım (işletim sistemleri, geliştirilen uygulamalar, ofis programları), Haberleşme cihazları (telefonlar, hatlar, kablolar, modemler, anahtarlama cihazları), Dokümanlar(stratejik toplantıların tutanakları, sözleşmeler vb.), Üretilen hizmet, Servisler, Personel, Kurumun prestiji / imajı
6
Risk Yönetimi Kavramları
Varlık Değeri Tablosu Düşük (1-2) Varlığın zarar görmesi bilgi sistemini çok az etkiler. Bilgi sistemi işlemeye devam eder. Zarar görmesi, kurumun ismini etkilemez. Orta (3) Varlığın zarar görmesi bilgi sistemini etkiler. Bilgi sistemi işlemeye devam eder ancak Varlığın yerine konması gereklidir. Zarar görmesi kurumun ismini kötü yönde çok az etkileyebilir. Yüksek (4) Varlığın zarar görmesi bilgi sistemini oldukça etkiler. Bilgi sistemi yarı yarıya kullanılabilir. Varlığın yerine konması gerekir. Zarar görmesi, kurumun ismini kötü yönde etkiler. Çok Yüksek (5) Varlığın bilgi sisteminin işlemesinde önemli rolü vardır. Varlığın zarar görmesi bilgi sisteminin işlerliğini büyük ölçüde etkiler ya da bilgi sistemi kullanılamaz hale gelir. Zarar görmesi, kurumun ismini çok kötü yönde etkiler.
7
Tehdit Nedir ? Tehdit, herhangi bir tehdit kaynağının kasıtlı olarak veya kazayla bir açıklığı kullanarak varlıklara zarar verme potansiyelidir. Tehdit kaynağı ise varlıklara zarar verme olasılığı olan olaylar ve durumlar olarak tanımlanabilir. Doğal tehditler: Deprem, sel, toprak kayması, yıldırım düşmesi, fırtına gibi tehditler. Çevresel tehditler: Uzun süreli elektrik kesintileri, hava kirliliği, sızıntılar vs. İnsan kaynaklı Tehditler: İnsanlar tarafından yapılan veya yol açılan bilinçli veya Bilinçsiz olaylar. Örneğin yanlış veri girişi, ağ saldırıları, zararlı yazılımların yüklenmesi, yetkisiz erişimler vs.
8
Tehdit kaynağı Tehdit Tehdidin Kaynağı Doğal Tehdit => D
Personel hataları K Bakım hataları/eksiklikleri Yazılım hataları B,K Lisanssız yazılım kullanımı Yazılımların yetkisiz kullanılması Kullanıcı kimlik bilgilerinin çalınması Zararlı yazılımlar Yetkisiz kişilerin ağa erişimi B Ağ cihazlarının arızalanması Hat kapasitelerinin yetersiz kalması Ağ trafiğinin dinlenmesi İletim hatlarının hasar görmesi İletişimin dinlenmesi Mesajların yanlış yönlendirilmesi Mesajların yetkisiz kişilere yönlendirilmesi İnkar etme Kaynakların yanlış kullanımı Kullanıcı hataları Personel yetersizliği Doğal Tehdit => D Çevresel Tehdit =>Ç İnsan Kaynakları Kazara=> K İnsan Kaynakları Bilinçli=> B Tehdit Tehdidin Kaynağı Deprem D Sel Fırtına Yıldırım Endüstriyel bilgi sızması B,K Bombalama ve silahlı saldırı B Yangın Güç kesintisi B,K,Ç Su kesintisi Havalandırma sisteminin arızalanması Donanım arızaları K Güç dalgalanmaları K,Ç Tozlanma Ç Elektrostatik boşalma Hırsızlık Saklama ortamlarının izinsiz kullanılması Saklama ortamlarının eskiyip kullanılmaz duruma gelmesi
9
Risk Yönetimi Kavramları
Tehdit in İşe Etkisi Değer Tablosu Düşük (1-2) Tehdit in iş üzerinde küçük etkisi olur. Varlığı tamir etmeye ya da yeniden konfigüre etmeye gerek yoktur. Orta (3) Tehditin etkisi küçük olmasına ve birkaç kişi ya da kuruluş tarafından söylenmesine rağmen, tehditin somut bir zararı olabilir. Hasarın giderilmesi ve önlem alınması için bir takım harcamalar olabilir. Yüksek (4) İşe ya da sistemin sahiplerine ve yöneticilerine kötü ün kazandırabilir ve/veya kaynakta önemli zararlar olur. Hasarın giderilmesi ve önlem alınması için önemli harcamalar gerekebilir. Çok Yüksek (5) İşe büyük ölçüde zarar verir ve/veya birçok kişi ve kurumun kendisi zarardan etkilenebilir. Zarar gören sistemde büyük ölçüde yeniden yapılandırma gerekmektedir. Tehdit Olasılık Değer Tablosu Düşük (1-2) 5 senelik bir sürede iki ya da üç defa Orta (3-4) Senede ya da daha kısa bir sürede bir kere olabilir Yüksek (5) Ayda ya da daha kısa bir sürede bir kez olabilir Çok Yüksek (6) Ayda ya da daha kısa bir sürede bir çok kez olabilir
10
Zayıflık (Açıklık) Değer Tablosu
Açıklık / Zayıflık Açıklık, sistem güvenlik prosedürlerinde, tasarımda, uygulamada veya iç kontrollerde bulunan ve bilgi güvenliği ihlal olayına sebep olabilecek zayıflık, hata veya kusurlardır. Açıklıklar tek başlarına tehlike oluşturmazlar ve gerçekleşmeleri için bir tehdidin mevcut olması gerekir. Zayıflık (Açıklık) Değer Tablosu Düşük (1-2) Tehdidin kullanabileceği zayıflığı yok denecek kadar azdır. Orta (3) Tehdidin kullanabileceği zayıflığı vardır ancak azdır. Yüksek (4) Tehdidin kullanabileceği zayıflığı vardır. Çok Yüksek (5) Tehdidin kullanabileceği zayıflığı vardır ve yüksektir.
11
TS ISO/IEC 27001 Risk değerlendirme metodolojisi
Risk değerlendirme raporu Risk işleme planı
12
Risk Yönetimi Metodolojisi
Hesaplama Metodu Risk Yönetimi çalışması; Varlık Kritik Değeri= ((Varlık Değeri (1-5)+ İşe Etkisi (1-6) )-1 ) Mutlak Risk Değeri= ((Tehdit (1-6) + Zayıflık(1-5)-1) Gerçek Risk Değeri = Varlık Kritik Değeri * Mutlak Risk Değeri
13
Risk Değerlendirme
14
Risk Eylem Kararları Riskten Kaçınma Risk Azaltma / Kontrol
Risk teşkil eden konudan vazgeçmek Risk Azaltma / Kontrol 27001 kontrol maddeleri Risk Transferi Risk teşkil eden konuyu sözleşme ile başka tarafa devretme Riskin Kabulü Sonuçları kabul etme
15
Risk İzleme Zaman geçtikçe mevcut tehditler ve zayıflıklar değişebilir
27001 Kontrol Maddeleri ile alınan kontroller neticesinde risk azalmış olabilir Kurumun kendi belirleyeceği zaman aralıklarında 3 ay 6 ay gibi dönemlerde kabul edilen metodolojiyi kullanarak tekrar risk değerlendirmesi yapılmalı Ve dönemsel olarak karşılaştırılmalıdır
Benzer bir sunumlar
© 2024 SlidePlayer.biz.tr Inc.
All rights reserved.