04 Eylül 2015

BTRWATCH ile ISO27001 Bilgi Güvenliği Risk Analizi Nasıl Yapılır? (Bölüm - 2)

ISO-27001 Risk Analizi Modülü


Bir önceki makalemizde BTRWATCH platformunda ISO27001:2013 risk analizi dönemi oluşturma, ISO27001:2013 kontrollerinin uygulanabilirlik durumlarını belirleme ve uygulanabilir kontrolleri kullanıcılara atama işlemlerinin nasıl yapılacağını anlattık. Bu makalemizde ise ISO27001:2013 kontrol soruları atadığımız kullanıcıların soruları nasıl yanıtlayacağı ve risk senaryolarını nasıl oluşturacaklarını anlatacağız.

Kullanıcılara Kontrol sorularını atadığımızda kullanıcılara e-posta ile bildirim yapılır. Ayrıca kullanıcı sisteme giriş yaptığında da kendisine kontrol sorusu atandığı bildirimini alır.


BTRWATCH ile ISO27001:2013 Uyumlu Risk Analizi


Kullancı Risk Analizi > Kontrol Sorusu Cevapla menüsünden kendisine atanmış kontolleri görebilir ve risk analizine başlayabilir. Burada atanmış olan bir kontrolü seçtiğimizde kontrole ait anasoru cevaplanmak üzere ekrana gelir. BTRWATCH platformunda, önceden tüm kontroller için detaylı sorular hazırlanmıştır ve her kontrol için bir ana soru belirlenmiştir. Bu ana sorulara verilebilecek yanıtlar Uygulanabilir, Uygulanabilir Değil ve Bilmiyorum olabilir. Eğer ana soruya verilen yanıt uygulanabilir ise o kontrol uygulanabilir kabul edilir ve risk senaryosu oluşmaya başlar. Varsayılan olarak Uygulanabilir cevabı seçili olarak gelir.

BTRWATCH ile ISO27001:2013 Uyumlu Risk Analizi

BTRWATCH ile ISO27001:2013 Uyumlu Risk Analizi


Bilmiyorum ve Uygulanabilir değil seçeneklerinden birini seçersek de açıklama girmek zorundayız.

BTRWATCH ile ISO27001:2013 Uyumlu Risk Analizi


Uygulanabilir seçerek risk senaryosunu oluşturmaya devam ediyoruz. Varlıklar butonunu tıklayarak açılan panelde varlık oluşturma ve varlık ekleme işlemlerini yapa biliyoruz.

BTRWATCH ile ISO27001:2013 Uyumlu Risk Analizi


Varlık Ekle botonuna bastığımızda karşımıza varlık kategorileri ve varlık listesi gelir. BTRWATCH sisteminde parametreler bölümünde kontrol ile ilgili olabilecek varlıkların ilişkisi önceden kurulduğundan, kullanıcıya kolaylık sunması için kırmızı renk ile gösterilmektedirler.

BTRWATCH ile ISO27001:2013 Uyumlu Risk Analizi


Bu ekranda istersek Yeni Varlık Ekle butonuna tıklayarak yeni oluşturabiliriz.

BTRWATCH ile ISO27001:2013 Uyumlu Risk Analizi


Varlık eklendikten sonra soruyla ilişkili olarak cevaplanır (Evet,Hayır). Daha sonra zafiyet düzeyi belirtilir(Düşük,Orta, Yüksek). Eğer cevap evet ise kontrolün nasıl uygulandığı açıklama alanına girilmeli.

BTRWATCH ile ISO27001:2013 Uyumlu Risk Analizi


Bu ekranda dosya ve kanıt da yükleyebiliriz. Bunun için Dosya’yı tıklarız.

BTRWATCH ile ISO27001:2013 Uyumlu Risk Analizi


Bu işlemlerden sonra kayır butonuna basarak varlık ekleme panelini kapatırız. Eğer ana soru ile ilişkilendirdiğimiz varlık veya varlıklardan birine evet yanıtını verirsek detay sorular da görüntülenir ve daha detaylı bir risk alizi gerçekleştirebiliriz. Detay soruları cevaplama zorunluluğu yoktur.

BTRWATCH ile ISO27001:2013 Uyumlu Risk Analizi


Bu makalemizde ISO27001:2013 kontrol sorularını cevaplama, varlıklarla ilişkilendirme, dosya ve kanıt ekleme vb. İşlemleri anlattık. Bir sonraki makalemizde kaldığımız yerden devam edeceğiz.


<<Önceki Bölüm                                                                                                    

BTRiskBLOG, BTRİSK Bilgi Güvenliği ve BT Yönetişim Hizmetleri şirketi personeli tarafından geliştirilen Pentest (Sızma Testi), ISO27001, BT Denetimi ve bilgi güvenliği hakkında herşeyi bulabileceğiniz blog'dur.