Sunum yükleniyor. Lütfen bekleyiniz

Sunum yükleniyor. Lütfen bekleyiniz

Risk Yönetimi Bingöl KHB Güvenliği Politikaları Eğitimi Sedat ADEMOĞLU

YayınlayanGiz Tozlu Değiştirilmiş 9 yıl önce

Benzer bir sunumlar

... konulu sunumlar: "Risk Yönetimi Bingöl KHB Güvenliği Politikaları Eğitimi Sedat ADEMOĞLU"— Sunum transkripti:

1 Risk Yönetimi Bingöl KHB Güvenliği Politikaları Eğitimi Sedat ADEMOĞLU
Bingöl Kamu Hastaneleri Birliği Genel Sekreterliği

2 Genellikle risk olumsuz bir durum yani tehlike olarak değerlendirilir.
Risk Nedir ? Risk, Fransızca risque olarak dilimize geçmiş olup sözlük anlamı “Riziko, zarara uğrama tehlikesi” şeklindedir Risk (riziko), bir olayın gerçekleşme olasılığı ve olaydan etkilenme olanağı olarak tanımlanmaktadır. Genellikle risk olumsuz bir durum yani tehlike olarak değerlendirilir. Bu nedenle risklerin olumsuz etkilerinden zarar görmemek için olasılıklar göz önüne alınarak, önlemler almaya yönelik, çalışma ve planlama faaliyetlerini içeren ve risk yönetimi olarak anılan bir disiplin ortaya çıkmıştır.

3 Risk Yönetimi Risk Yönetimi ise bir kurumun ya da kuruluşun çalışabilirliği, ticari kuruluşlar içinse öncelikle kârlılığını olumsuz yönde etkileyebilecek risk faktörlerinin belirlenmesi, ölçülmesi ve en alt düzeye indirilmesi sürecidir. Risk yönetiminde, riskin tamamıyla ortadan kaldırılması mümkün değildir.

4 Risk Yönetimi Kavramları
Varlıklar Bilgi Değeri Taşıyan Varlıklar Tehditler Kurum içi yada kurum dışı tehlike Açıklık & Zayıflıklar Tehlikeye Sebep Yönlerimiz Olasılık Riskin Gerçekleşme İhtimali İşe Etki İşe ve sisteme olan yansıması

5 Varlık nedir ? Varlık, sistemin bir parçası olan ve kurum için değeri olan her şeydir. Varlık kurum için değer taşıdığından korunması gerekir. Bir BT sisteminde sadece yazılım ve donanımlar varlık olarak düşünülmemelidir. Bilgi, Donanım (kişisel bilgisayarlar, yazıcılar, sunucular), Yazılım (işletim sistemleri, geliştirilen uygulamalar, ofis programları), Haberleşme cihazları (telefonlar, hatlar, kablolar, modemler, anahtarlama cihazları), Dokümanlar(stratejik toplantıların tutanakları, sözleşmeler vb.), Üretilen hizmet, Servisler, Personel, Kurumun prestiji / imajı

6 Risk Yönetimi Kavramları
Varlık Değeri Tablosu Düşük (1-2) Varlığın zarar görmesi bilgi sistemini çok az etkiler. Bilgi sistemi işlemeye devam eder. Zarar görmesi, kurumun ismini etkilemez. Orta (3) Varlığın zarar görmesi bilgi sistemini etkiler. Bilgi sistemi işlemeye devam eder ancak Varlığın yerine konması gereklidir. Zarar görmesi kurumun ismini kötü yönde çok az etkileyebilir. Yüksek (4) Varlığın zarar görmesi bilgi sistemini oldukça etkiler. Bilgi sistemi yarı yarıya kullanılabilir. Varlığın yerine konması gerekir. Zarar görmesi, kurumun ismini kötü yönde etkiler. Çok Yüksek (5) Varlığın bilgi sisteminin işlemesinde önemli rolü vardır. Varlığın zarar görmesi bilgi sisteminin işlerliğini büyük ölçüde etkiler ya da bilgi sistemi kullanılamaz hale gelir. Zarar görmesi, kurumun ismini çok kötü yönde etkiler.

7 Tehdit Nedir ? Tehdit, herhangi bir tehdit kaynağının kasıtlı olarak veya kazayla bir açıklığı kullanarak varlıklara zarar verme potansiyelidir. Tehdit kaynağı ise varlıklara zarar verme olasılığı olan olaylar ve durumlar olarak tanımlanabilir. Doğal tehditler: Deprem, sel, toprak kayması, yıldırım düşmesi, fırtına gibi tehditler. Çevresel tehditler: Uzun süreli elektrik kesintileri, hava kirliliği, sızıntılar vs. İnsan kaynaklı Tehditler: İnsanlar tarafından yapılan veya yol açılan bilinçli veya Bilinçsiz olaylar. Örneğin yanlış veri girişi, ağ saldırıları, zararlı yazılımların yüklenmesi, yetkisiz erişimler vs.

8 Tehdit kaynağı Tehdit Tehdidin Kaynağı Doğal Tehdit => D
Personel hataları K Bakım hataları/eksiklikleri Yazılım hataları B,K Lisanssız yazılım kullanımı Yazılımların yetkisiz kullanılması Kullanıcı kimlik bilgilerinin çalınması Zararlı yazılımlar Yetkisiz kişilerin ağa erişimi B Ağ cihazlarının arızalanması Hat kapasitelerinin yetersiz kalması Ağ trafiğinin dinlenmesi İletim hatlarının hasar görmesi İletişimin dinlenmesi Mesajların yanlış yönlendirilmesi Mesajların yetkisiz kişilere yönlendirilmesi İnkar etme Kaynakların yanlış kullanımı Kullanıcı hataları Personel yetersizliği Doğal Tehdit => D Çevresel Tehdit =>Ç İnsan Kaynakları Kazara=> K İnsan Kaynakları Bilinçli=> B Tehdit Tehdidin Kaynağı Deprem D Sel Fırtına Yıldırım Endüstriyel bilgi sızması B,K Bombalama ve silahlı saldırı B Yangın Güç kesintisi B,K,Ç Su kesintisi Havalandırma sisteminin arızalanması Donanım arızaları K Güç dalgalanmaları K,Ç Tozlanma Ç Elektrostatik boşalma Hırsızlık Saklama ortamlarının izinsiz kullanılması Saklama ortamlarının eskiyip kullanılmaz duruma gelmesi

9 Risk Yönetimi Kavramları
Tehdit in İşe Etkisi Değer Tablosu Düşük (1-2) Tehdit in iş üzerinde küçük etkisi olur. Varlığı tamir etmeye ya da yeniden konfigüre etmeye gerek yoktur. Orta (3) Tehditin etkisi küçük olmasına ve birkaç kişi ya da kuruluş tarafından söylenmesine rağmen, tehditin somut bir zararı olabilir. Hasarın giderilmesi ve önlem alınması için bir takım harcamalar olabilir. Yüksek (4) İşe ya da sistemin sahiplerine ve yöneticilerine kötü ün kazandırabilir ve/veya kaynakta önemli zararlar olur. Hasarın giderilmesi ve önlem alınması için önemli harcamalar gerekebilir. Çok Yüksek (5) İşe büyük ölçüde zarar verir ve/veya birçok kişi ve kurumun kendisi zarardan etkilenebilir. Zarar gören sistemde büyük ölçüde yeniden yapılandırma gerekmektedir. Tehdit Olasılık Değer Tablosu Düşük (1-2) 5 senelik bir sürede iki ya da üç defa Orta (3-4) Senede ya da daha kısa bir sürede bir kere olabilir Yüksek (5) Ayda ya da daha kısa bir sürede bir kez olabilir Çok Yüksek (6) Ayda ya da daha kısa bir sürede bir çok kez olabilir

10 Zayıflık (Açıklık) Değer Tablosu
Açıklık / Zayıflık Açıklık, sistem güvenlik prosedürlerinde, tasarımda, uygulamada veya iç kontrollerde bulunan ve bilgi güvenliği ihlal olayına sebep olabilecek zayıflık, hata veya kusurlardır. Açıklıklar tek başlarına tehlike oluşturmazlar ve gerçekleşmeleri için bir tehdidin mevcut olması gerekir. Zayıflık (Açıklık) Değer Tablosu Düşük (1-2) Tehdidin kullanabileceği zayıflığı yok denecek kadar azdır. Orta (3) Tehdidin kullanabileceği zayıflığı vardır ancak azdır. Yüksek (4) Tehdidin kullanabileceği zayıflığı vardır. Çok Yüksek (5) Tehdidin kullanabileceği zayıflığı vardır ve yüksektir.

11 TS ISO/IEC 27001 Risk değerlendirme metodolojisi
Risk değerlendirme raporu Risk işleme planı

12 Risk Yönetimi Metodolojisi
Hesaplama Metodu Risk Yönetimi çalışması; Varlık Kritik Değeri= ((Varlık Değeri (1-5)+ İşe Etkisi (1-6) )-1 ) Mutlak Risk Değeri= ((Tehdit (1-6) + Zayıflık(1-5)-1) Gerçek Risk Değeri = Varlık Kritik Değeri * Mutlak Risk Değeri

13 Risk Değerlendirme

14 Risk Eylem Kararları Riskten Kaçınma Risk Azaltma / Kontrol
Risk teşkil eden konudan vazgeçmek Risk Azaltma / Kontrol 27001 kontrol maddeleri Risk Transferi Risk teşkil eden konuyu sözleşme ile başka tarafa devretme Riskin Kabulü Sonuçları kabul etme

15 Risk İzleme Zaman geçtikçe mevcut tehditler ve zayıflıklar değişebilir
27001 Kontrol Maddeleri ile alınan kontroller neticesinde risk azalmış olabilir Kurumun kendi belirleyeceği zaman aralıklarında 3 ay 6 ay gibi dönemlerde kabul edilen metodolojiyi kullanarak tekrar risk değerlendirmesi yapılmalı Ve dönemsel olarak karşılaştırılmalıdır

"Risk Yönetimi Bingöl KHB Güvenliği Politikaları Eğitimi Sedat ADEMOĞLU" indir ppt

Benzer bir sunumlar

HASSAS GÖREV Hakan YÜKSEL 26-27 Mart.

HASSAS GÖREV Hakan YÜKSEL Mart.
Günümüz şartları altında insanların en büyük kaygısı artık can ve mal güvenliği haline geldi. Pek çok güvenlik sistemi artık karşılanamayacak kadar pahalı.

Günümüz şartları altında insanların en büyük kaygısı artık can ve mal güvenliği haline geldi. Pek çok güvenlik sistemi artık karşılanamayacak kadar pahalı.
RİSK DEĞERLENDİRME PROSEDÜRÜ-1

RİSK DEĞERLENDİRME PROSEDÜRÜ-1
RİSK KAVRAMI RİSKLERİN BELİRLENMESİ

RİSK KAVRAMI RİSKLERİN BELİRLENMESİ
Amaçlar  Verinin üretildiği yerden ve üretildiği anda elektronik ortamdan alınması  İnsan emeği ve hataların en aza indirilmesi  Birbirine bağlı süreçlerde.

Amaçlar  Verinin üretildiği yerden ve üretildiği anda elektronik ortamdan alınması  İnsan emeği ve hataların en aza indirilmesi  Birbirine bağlı süreçlerde.
BİLGİ GÜVENLİĞİ.

BİLGİ GÜVENLİĞİ.
Sağlıklı ve Güvenli Tesisler

Sağlıklı ve Güvenli Tesisler
KAMU İÇ KONTROL SİSTEMİ STRATEJİ GELİŞTİRME DAİRE BAŞKANLIĞI

KAMU İÇ KONTROL SİSTEMİ STRATEJİ GELİŞTİRME DAİRE BAŞKANLIĞI
Defterdarlıklar İç Kontrol Eğitimi 10 Mart-27 Nisan 2013

Defterdarlıklar İç Kontrol Eğitimi 10 Mart-27 Nisan 2013
ACİL DURUM VE EYLEM PLANI

ACİL DURUM VE EYLEM PLANI
İZMİR HALK SAĞLIĞI MÜDÜRLÜĞÜ Çalışan Sağlığı Şube Müdürlüğü

İZMİR HALK SAĞLIĞI MÜDÜRLÜĞÜ Çalışan Sağlığı Şube Müdürlüğü
Öğretim İhtiyacını Belirleme

Öğretim İhtiyacını Belirleme
Günümüzde ticari şirketler ve devlet kurumları işlerini sürdürebilmek için yoğun bir şekilde bilgi kullanımına yönelmişlerdir. Zaman geçtikçe bilginin.

Günümüzde ticari şirketler ve devlet kurumları işlerini sürdürebilmek için yoğun bir şekilde bilgi kullanımına yönelmişlerdir. Zaman geçtikçe bilginin.
Copyright © 2007 - The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the Creative Commons Attribution-ShareAlike.

Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the Creative Commons Attribution-ShareAlike.
BİLGİ GÜVENLİĞİ MEHTAP KILIÇ

BİLGİ GÜVENLİĞİ MEHTAP KILIÇ
ISO Çevre Yönetim Sistemi ve Çevresel Risk Analizi

ISO Çevre Yönetim Sistemi ve Çevresel Risk Analizi
6331 Sayılı İş Sağlığı ve Güvenliği Kanunu

6331 Sayılı İş Sağlığı ve Güvenliği Kanunu
Bingöl Kamu Hastaneleri Birliği

Bingöl Kamu Hastaneleri Birliği
Hassas Görevler hassas…çok….

Hassas Görevler hassas…çok….
ACİL EYLEM PLANI HAZIRLIĞI

ACİL EYLEM PLANI HAZIRLIĞI

Benzer bir sunumlar

Google Reklamları