28 Temmuz 2015

BTRWATCH ile ISO27001 Bilgi Güvenliği Risk Analizi Nasıl Yapılır? (Bölüm - 1)

ISO 27001 uyumlu risk analizi yazılımı


BTRWATCH ISO27001:2013 Bilgi Güvenliği Yönetim Sistemi uyumlu sofistike bir bilgi güvenliği yönetim sistemi yazılımıdır.

İçerdiği hazır veri setleri ve içinde barındırdığı defalarca başarı ile uygulanmış metodolojisi ile hızlı ve doğru bir biçimde risklerinizi yönetmeniz için adeta bir danışman gibi sizi destekler. İçerdiği risk analiz modülü sizi doğru yöne ilerlemek için desteklerken dağınık biçimde yürütülen düzeltici faaliyet ve olay yönetim süreçlerini de organize etmenize ve kurumsal hafızayı korumanıza yardımcı olur.

Bu makale dizisinde BTRWATCH'un kullanımına ilişkin bilgiler verilecektir. Bu makalede ise risk analizi döneminin nasıl oluşturulacağı ve kullanıcılara kontrollerin nasıl atanacağına ilişkin bilgiler yer alacaktır.

BTRWATCH platformunda bilgi güvenliği yönetim ekibi rolüne sahip kullanıcılar sisteme giriş yaparak kullanıcılara kontrol sorularını atarlar. Bu kullanıcılar sisteme giriş yapar ve bu kontrol sorularını cevaplayarak ve devam eden adımları uygulayarak risk analizini gerçekleştirir ardından bilgi güvenliği yönetim ekibinin onayına sunar.

Bilgi güvenliği yönetim ekibi de onayına sunulan risk analizlerini senaryo bazında inceler. Bir eksiklik gördüğünde de senaryo bazında iptal edebilir. İptal işlemini gerçekleştirirken iptal açıklaması alanına neden iptal edildiğini ve nelerin eksik olduğunu girmek zorundadır. Buna bağlı olarak risk analizi kullanıcısı eksiklikleri gidererek tekrar onaya sunar. Bu döngü eksiklikler giderilinceye kadar devam eder.

Kullanıcıların risk analizleri onaylandıktan sonra ortaya çıkan risk senaryoları için risk yanıt stratejisi belirlenir.

Risk Yanıt Stratejileri
  1. Uygun kontrollerin uygulanması ve riskin azaltılması
  2. Bilerek ve nesnel olarak riskin kabul edilmesi
  3. Riskten kaçınma
  4. Riskin diğer taraflara aktarılması
Risk yanıt stratejisi olarak Uygun kontrollerin uygulanması ve riskin azaltılması seçilmiş ise düzeltici faaliyet oluşturulur yada seçilir.

Artık-riskler de belirlendikten sonra risk analizi sonlandırılır ve dönem kapanmış olur. Artık tüm varlık tehdit ve risk senaryolarının yanı sıra Uygulanabilirlik Bildirgesi de hazırlanmış olur.

Oluşan tüm risk senaryoları detaylı bir şekilde filtrelenebilir ve excel’e aktarılabilir.

Uygulanabilirlik bildirgesi için de birden fazla taslak oluşturulabilir, üzerinde değişiklikler yapılabilir ve excel ortamına aktarılabilir.

BTRWATCH ile risk analizi modülünden kabaca bahsettikten sonra bu işlemlerin nasıl yapıldığını anlatalım.

Risk analizine başlamadan önce, kullanıcılara atanacak olan kontrollerin organizasyon için uygulanabilir olup olmadıkları belirlenir. Bu işlemin amacı, daha sonra kullanıcılara kontrol ataması yaparken sadece organizasyon için uygulanabilir olan kontrollerin listelenmesi ve risk analizinin bu doğrultuda gerçekleşmesini sağlamaktır.

Bir kontrolü uygulanabilir değil olarak belirliyorsak mutlaka neden uygulanabilir olamadığını da açıklama alanına belirtmeliyiz. Ayrıca girilen bu açıklama, doğrudan uygulanabilirlik bildirgesinde yer alacak olan açıklamadır.

Risk Analizi > Kontrol Uygulanabilirlik Durumu

Uygulanabilirlik durumu belirleme ekranı

Bu ekranda kontrollerin karşısında bulunan Soru Atanan Kullanıcı(lar) alanında ise bu kontrolün kimlere atandığının bilgisi yer alır. (Not: Bir kontrol birden fazla kullanıcıya atanmış olabilir.)

BTRWATCH platformunda risk analizi dönem bazında gerçekleştirilir. Yani bir risk analizi dönemi açılır ve bu döneme bağlı olarak risk analizi gerçekleştirilir.

Yeni dönem açmak için Risk Analizi > Dönem İşlemleri > Yeni Dönem Ekle butonuna tıklanır.

Risk Analizi Dönem Tanımlama Ekranı


Yeni bir dönem oluşturuken dönem tanımı, dönem açıklaması, kabul edilebilir risk seviyesi ve risk hesaplama formülü tanımlanır.
Risk hesaplama formülüne ilişkin detaylı açıklamaları BTRWATCHile risk hesaplama formülü nasıl oluşturulur? konulu makalemizde bulabilirsiniz.


Risk analizi dönem tanımlarının yapıldığı ekran
Dönem oluşturulduktan sonra risk analizini gerçekleştirmeleri için risk analizi kullanıcılarına kontrol soruları atanır. Bu atama işlemi yine bilgi güvenliği yönetim ekibi rolündedir.
Risk Analizi > Kontrol Sorusu Ata butonuna tıklanır.
Kontrol sorusunun atanacağı kullanıcı seçilir.


Risk analizi kullanıcılarına kontrol sorusu atama ekranı
Kullanıcıya Kontrol Sorusu Ata sekmesi tıklanır.

Risk Analizi Kullanıcıya Kontrol Sorusu Atama Ekranı


Kullanıcıya atanacak kontroller işaretlenir ve Seçili Olanları Ekle butonu tıklanır.
Böylece kullanıcıya kontrol soruları atanır ve otomatik olarak e-posta ile bildirilir.

Kullanıcıya Atanan Kontroller Ekranı


Kullanıcıya atanmış kontroller istenildiğinde tekrar iptal de edilebilir. Bunun için Kullanıcıya Atanan Kontroller sekmesinde kullanıcıya atanmış olan kontrollerden silinmek istenilen kontroller işaretlenir ve Seçili Olanları Sil butonuna basılır.

Buraya kadar risk analizi dönemini oluşturduk, kontrollerin uygulanabilirlik durumunu belirledik ve uygulanabilir olanları kullanıcılara atadık. Bir sonraki makalemizde kaldığımız yerden devam edeceğiz.


                                                                                                           Sonraki Bölüm>>