Bir önceki makalemizde BTRWATCH platformunda ISO27001:2013 risk analizi dönemi oluşturma, ISO27001:2013 kontrollerinin uygulanabilirlik durumlarını belirleme ve uygulanabilir kontrolleri kullanıcılara atama işlemlerinin nasıl yapılacağını anlattık. Bu makalemizde ise ISO27001:2013 kontrol soruları atadığımız kullanıcıların soruları nasıl yanıtlayacağı ve risk senaryolarını nasıl oluşturacaklarını anlatacağız.
Kullanıcılara Kontrol sorularını atadığımızda kullanıcılara e-posta ile bildirim yapılır. Ayrıca kullanıcı sisteme giriş yaptığında da kendisine kontrol sorusu atandığı bildirimini alır.
Kullancı Risk Analizi > Kontrol Sorusu Cevapla menüsünden kendisine atanmış kontolleri görebilir ve risk analizine başlayabilir. Burada atanmış olan bir kontrolü seçtiğimizde kontrole ait anasoru cevaplanmak üzere ekrana gelir. BTRWATCH platformunda, önceden tüm kontroller için detaylı sorular hazırlanmıştır ve her kontrol için bir ana soru belirlenmiştir. Bu ana sorulara verilebilecek yanıtlar Uygulanabilir, Uygulanabilir Değil ve Bilmiyorum olabilir. Eğer ana soruya verilen yanıt uygulanabilir ise o kontrol uygulanabilir kabul edilir ve risk senaryosu oluşmaya başlar. Varsayılan olarak Uygulanabilir cevabı seçili olarak gelir.
Bilmiyorum ve Uygulanabilir değil seçeneklerinden birini seçersek de açıklama girmek zorundayız.
Uygulanabilir seçerek risk senaryosunu oluşturmaya devam ediyoruz. Varlıklar butonunu tıklayarak açılan panelde varlık oluşturma ve varlık ekleme işlemlerini yapa biliyoruz.
Varlık Ekle botonuna bastığımızda karşımıza varlık kategorileri ve varlık listesi gelir. BTRWATCH sisteminde parametreler bölümünde kontrol ile ilgili olabilecek varlıkların ilişkisi önceden kurulduğundan, kullanıcıya kolaylık sunması için kırmızı renk ile gösterilmektedirler.
Bu ekranda istersek Yeni Varlık Ekle butonuna tıklayarak yeni oluşturabiliriz.
Varlık eklendikten sonra soruyla ilişkili olarak cevaplanır (Evet,Hayır). Daha sonra zafiyet düzeyi belirtilir(Düşük,Orta, Yüksek). Eğer cevap evet ise kontrolün nasıl uygulandığı açıklama alanına girilmeli.
Bu ekranda dosya ve kanıt da yükleyebiliriz. Bunun için Dosya’yı tıklarız.
Bu işlemlerden sonra kayır butonuna basarak varlık ekleme panelini kapatırız. Eğer ana soru ile ilişkilendirdiğimiz varlık veya varlıklardan birine evet yanıtını verirsek detay sorular da görüntülenir ve daha detaylı bir risk alizi gerçekleştirebiliriz. Detay soruları cevaplama zorunluluğu yoktur.
Bu makalemizde ISO27001:2013 kontrol sorularını cevaplama, varlıklarla ilişkilendirme, dosya ve kanıt ekleme vb. İşlemleri anlattık. Bir sonraki makalemizde kaldığımız yerden devam edeceğiz.
<<Önceki Bölüm
BTRiskBLOG, BTRİSK Bilgi Güvenliği ve BT Yönetişim Hizmetleri şirketi personeli tarafından geliştirilen Pentest (Sızma Testi), ISO27001, BT Denetimi ve bilgi güvenliği hakkında herşeyi bulabileceğiniz blog'dur.
