Risk Yönetimi - Bahçeşehir Üniversitesi

YZM5604 Bilgi Güvenliği Yönetimi
18 Kasım 2014
Dr. Orhan Gökçöl
http://akademik.bahcesehir.edu.tr/~gokcol/yzm5604
Bahçeşehir Üniversitesi, Fen Bilimleri Enstitüsü
MT1 –Eposta listesi!!!
Dönem projesi….

Proje gruplarını bildirmek için süreniz
azalıyor…. Son gün,
«GELECEK HAFTA»
1
RİSK YÖNETİMİ
Risk Yönetimi…




Varlık Yönetiminin tamamlayıcısı
BGYS İşletilmesi sırasında varlıkların
üzerinde ne gibi tehditler olduğunu belirlemiz
gerekiyor
Bu tehditleri önemlerine göre göre
sıralamalıyız
En önemli tehditleri berteraf etmek için bazı
aksiyonlar uygulamalıyız
ISO27001
2
Güvenlikle ilgili sorunlar ....



BT Sistemleri Saldırıya Açık mı?
Tehditler neler?
Potansiyel riskler ve varlıklarımıza olan
etkileri?
AÇIKLIK, TEHDİT VE RİSK ne
anlama gelmektedir?
Risk Kavramı
Açıklık/Zaafiyet
RİSK altındaki varlık
Tehdit (saldırgan)
Risk analizi, hangi varlıkların potansiyel olarak risk altında olduğu,
ve ne tür tehditler bulunduğunun belirlenmesi ve bu tehditleri
ortaya çıkartabilecek ne tür zaafiyetlerin bulunduğunun
belirlenmesi ile başlar. Bu, riski azaltmak için uygulanabilecek tüm
gerekli güvenlik çözümlerinin ortaya çıkartılabilmesi için esastır.
Risk Analysis and Risk Management

RISK NEDİR?



Risk, tehlikeli bir durumun ya da bir tehditin
“gerçekleşmesi” ihtimalidir.
Tehdit ve savunma mekanizmasının zayıflığı tek
tek ele alındığında tehlikeli değildir.
Ancak, tehdit ve savunma zaafiyeti bir araya
geldiğinde risk oluşmaktadır (diğer bir değişle,
tehlikeli bir durumun gerçekleşme ihtimali
belirmektedir).
3
Risk Nedir? Neden Önemli?
Kaynak:www.niyazikurnaz.net
Riskler kurumun hedeflerinin gerçekleştirilmesini
engelleyebilme olasılıkları olan her türlü durumdur.
Riskler oluşma sıklıklarına ve yaratacakları hasara
göre ölçülmeli ve yönetilebilmelidir
Etkin bir iç denetim sisteminin en önemli görevlerinden
biri tüm risklerin tespit edilmesi ve minimize edilmesi
için uygun öneriler geliştirilmesidir.
Risk yönetimi, her türlü risklerin tanımlanması,
ölçülmesi ve giderilmesini/makul seviyelere
indirilmesini kapsayan bir sistematiktir.




Vulnerabilities / Threat (Zaafiyet/Tehdit)

Vulnerabilities (Açıklık/Zaafiyet)


Zaafiyetler, varlıkların yerleşimi, organizasyonu, prosedürleri,
yönetimi, kullanıcıları, donanımı, yazılımı ya da içeriği ile
ilişkilendirilebilecek bir takım zayıflıklar sonucu ortaya çıkar
Zaafiyetler, iş hedeflerine ya da BT sistemine zarar verebilecek
bir tehdit sonucunda başımıza dert olmaya başlar! (Tehdit
olmadan) açıklık tek başına bir zarara yol açmayacaktır!
ISO/IEC TR 13335 page 8, 8.3
Information technology -- Security techniques

Threat (Tehdit)

Tehdit, sistemlerimizde, organizasyonumuzda ve varlıklarda
(maddi olarak) bizi kayba uğratacak istenmeyen bir olaya sebep
olma potansiyelindedir.
ISO/IEC TR 13335 page 6, 8.2
Information technology -- Security techniques
Risk

Risk, verilen bir tehdidin açıklıkları
(zafiyetleri) kullanarak bir varlık ya da bir
grup varlık üzerinde, dolayısıyla tüm
işletmede maddi olarak ölçülebilen bir kayba
ya da hasara yol açma potansiyelidir..
Ref: ISO/IEC TR 13335, page 8
Information technology -- Security techniques
4
Nasıl ele alınır?
Varlık
Varlık
RİSK =
Küpün hacmi
RISK
Tehdit
Tehdit
Savunmasızlık/zaafiyet
Temel Risk
Zaafiyet
Koruma tedbirleri
uygulandıktan sonra kalan risk
RİSK


Riskler azaltılabilir, ya da yönetilebilir.
If we are careful about how we treat
the environment, and if we are aware
of our weaknesses and vulnerabilities
to existing hazards, then we can take
measures to make sure that hazards
do not turn into disasters.
Risk Analysis and Risk Management

RISK YÖNETİMİ

Risk management is the process that allows
business managers to balance operational
and economic costs of protective measures
and achieve gains in mission capability by
protecting business processes that support the
business objectives or mission of the
enterprise.
5
Yeni terimler
Risk Analizi:
Herhangi bir varlığın C, I ve
A’sını etkileyebilecek
potansiyel risklerin ve
açıklıkların tutarlı ve dikkatli
bir şekilde değerlendirilmesi.
Risk analizi temel kavramlar:

Riskin oluşması için gereken üç temel etmen :



Tehdit/Thread- nihai zararın sebebi
Hasar/Damage – istenmeyen bir olayın sonucu
Zaafiyet/Vulnerability – bir tehditin zarara yol
açmasını sağlayan istenmeyen bir sistem özelliği
Risk analizi – temel kavramlar:




Örnek, Bir yankesicinin cebinizden cüzdanınızı çalması ihtimali
aşağıdaki durumlar söz konusu olduğunda bir risk olarak
değerlendirilebilir:
– Tehdit - there can be pickpockets in places where you are
– Hasar - you do not want to loose your wallet with its
contents
– Açıklık - you carry your wallet where a skilled pickpocket can
pick it in a crowd
6
Risk Süreçleri
Varlık(Asset)
Tehdit
Açıklık
Neyi korumaya
çalışıyorsunuz?
Ne olmasından
korkuyorsunuz
?
Tehdit nasıl
ortaya çıkabilir?
Etki
İş süreçlerine (genel olarak
işinize) olan etkisi ne?
Riski
hafifletme
Halihazırda riski
ne düşürüyor?
Olasılık
Mevcut koşullarda tehditin
gerçekleşmesi olasılığı nedir?
Risk ifadesi (Riski ifade eden/tanımlayan bir cümle)
Organizasyonlarda Risk Yönetimi
Olgunluk Düzeylerinin Belirlenmesi
İşletmelerin risk yönetimi olgunluk düzeylerini
saptamada yardımcı olabilecek bazı dokümanlar:
National Institute of
Standards and
Technology (NIST)
Security Self-Assessment Guide
for Information Technology
Systems (SP-800-26)
IT Governance Institute
Control Objectives for
Information and Related
Technology (CobiT)
International Standards
Organization (ISO)
ISO Code of Practice for
Information Security
Management (ISO 27001)
Roller ve Sorumlulukların Belirlenmesi
Yönetici
“Ne
Önemlidir?”
Kabul edilebilir
risklerin
belirlenmesi
BG Grubu
“Risklerin
derecelendirilmesi”
Risklerin
değerlendirilmesi
Güvenlik
ihtiyaçlarının
tanımlanması
Güvenlik
çözümlerinin
ölçülmesi
BT Grubu
“En iyi kontrol çözümü”
Güvenlik
çözümlerinin
planlanması ve
oluşturulması
Güvenlik
çözümlerinin
devreye alınması
ve kontrol
edilmesi
7
Risk Analizi

Risk analizi ile üç sonuç ortaya çıkar :




(1) tehditlerin belirlenmesi;
(2) bir tehditin oluşma olasılığı ve oluştuğunda
yaratacağı etkiyi göz önüne alarak bir risk seviyesinin
belirlenmesi,
(3) riski kabul edilebilir bir seviyeye indirecek kontrollerin
ve güvenlik çözümlerinin tanımlanması
Risk; a) tehditin oluşma olasılığı ve b) o varlık ile
ilgili ilgili iş sürecine etkisinin bir fonksiyonudur
Risk analizinin 6 aşaması
1.
2.
3.
4.
5.
6.
Varlıkların tanımlanması
(Her bir varlığa olan) tehditlerin belirlenmesi
Her bir tehditin ortaya çıkma olasılığının
belirlenmesi
(Ortaya çıktığı durumda) Tehditin varlığımıza
olan etkisinin belirlenmesi
Riski azaltmak için alınabilecek önlemlerin
(kontroller) belirlenmesi
Herşeyin dokümante edilmesi
Risk Değerlendirme – NIST Style
8
NIST
Varlıkların Belirlenmesi (System Characterization)




The first step in the risk analysis process is to define the
process, application, system, or asset that is going to have the
risk analysis performed upon it.
The key here is to establish the boundaries of what is to be
reviewed.
If we are going to manage risk analysis as a project, then the
asset definition must be looked upon as a scope statement
To gather relevant information about the asset or process under
review, the risk management team can use a number of
techniques. These include questionnaires, on-site interviews,
documentation review, and scanning tools
DİKKAT!! Eğer Varlık Sınıflandırması yaptıysanız,
Sizin için «en önemli» varlıklarınız hakkında bilgi
sahibisiniz!
9
Varlıkların Belirlenmesi /Varlık Tipleri

Bilgi: databases and data files, company or
system documentation, contracts, user
manuals, training material, operational or
support procedures, guidelines, documents
containing important business results,
continuity plans, or fallback arrangements.
Varlıkların Belirlenmesi /Varlık Tipleri

Süreçler ve servisler: including business
processes, application specific activities,
computing and communications services and
other technical services supporting the
processing of information (heating, lighting,
power, air-conditioning services)

Yazılım: including application software, system
software, development tools and utilities
Varlıkların Belirlenmesi /Varlık Tipleri

Fiziksel varlıklar: including computer and
communications equipment, media (paper, tapes,
CDs and disks), and other technical equipment
(power supplies, air-conditioning units), furniture
and accommodation that are used to support the
processing of information

İnsan: including personnel, customers,
subscribers, and any other person within the ISMS
that is involved with storing or processing of
information.
10
Tehditlerin Belirlenmesi



We define a threat as an undesirable event that could
impact the business objectives or mission of the
business unit or enterprise.
Some threats come from existing controls that were
either implemented incorrectly or have passed their
usefulness and now provide a weakness to the system
or platform that can be exploited to circumvent the
intended behavior of the control. This process is
known as exploiting a vulnerability
We will want to create as complete a list of threats as
possible. Typically, there are three major categories of
threats :
Risk Analizi – Tehditlerin Belirlenmesi
Kurumunuza olabilecek tehditler nelerdir?
İnsan
Çevresel
Doğal
Bilgisayar
Yangın
Sel
Eski
Virüsler
Deprem
Davetsiz
Elektrik
Hortum
korsanları
çalışanlar
misafirler
(hırsız gibi)
kesintileri
/problemleri
Risk Analizi –Genel bir bakış
İnsan
Çevresel
Doğal
Tehdit motivasyonu
Tehditin kapasitesi
Mevcut kontroller
Hata/kusur
Zayıflık
Kontrol eksikliği
11
Tehditlerin belirlenmesi

To create a complete list of threats, there are a number of
different methods that can be used. These include




developing checklists : if used improperly, a checklist will impact the
free flow of ideas and information. So use them to ensure that everything
gets covered or identified, but do not make them available at the
beginning of the process (like brainstorming!)
examining historical data : Research what types of events have
occurred as well as how often they have occurred. Once you have the
threat, it may be necessary to determine the annual rate of occurrence
(ARO). This data can be obtained from a number of sources
On-site Interviews. Interviews with IT system support and management
personnel can enable risk assessment personnel to collect useful information
about the IT system
Document Review. Policy documents (e.g., legislative documentation,
directives), system documentation (e.g., system user guide, system
administrative manual, system design and requirement document, acquisition
document), and security-related documentation (e.g., previous audit report, risk
assessment report, system test results, system security plan5, security policies)
can provide good information about the security controls used by and planned for
the IT system
Bazı örnek tehditler(from NIIT document)
Örnek : Açıklık-tehdit çiftleri
12
(ISO27001)’de listelenen bazı tehdit kaynakları
disclosure of information
disclosure of passwords
disruption to business processes
dust
earthquake
eavesdropping
environmental contamination (and other forms of natural or
man-made disasters)
equipment failure
errors
failure of communications services
failure of supporting utilities (such as electricity, water
supply, sewage, heating, ventilation, and air conditioning)











(ISO27001)’de listelenen bazı tehdit kaynakları












falsification of records (sahte doküman/kayıt oluşturma)
fire (yangın)
flooding (sel)
fraud (sahtekarlık)
hardware failure (donanım hatası)
hurricane (kasırga)
introduction of unauthorized or untested code
illegal import/export of software
illegal use of software
industrial action (e.g. industrial espionage)
information leakage (bilgi sızdırma)
information security incidents (BG ihlal olayları)
A List of Threats Derived from ISMS













interception (alıkoyma/durdurma)
interference (karıştırma/engelleme)
interruption to business activities and processes
lightning (şimşek/yıldırım)
loss of integrity
loss of records
loss of service
maintenance error
malfunctions of supporting utilities
malicious code (kötü niyetli program)
masquerading of user identity (kullanıcı adı gizleme)
misuse of audit tools
misuse of information processing facilities
13
A List of Threats Derived from ISMS











misuse of resources or assets
network access by unauthorized persons
operational support staff error
power fluctuation
security failure
software failure
system failure
system misuse (accidental or deliberate)
theft
unauthorized access
unauthorized access to audit logs
A List of Threats Derived from ISMS







unauthorized modification of audit logs
unauthorized or unintentional modification
unauthorized physical access
unauthorized use of IPR material
unauthorized use of software
unavailability
unsuccessful changes
A List of Threats Derived from ISMS







use of network facilities in an unauthorized way
use of software by unauthorized users
use of software in an unauthorized way
user error
vandalism
violation of intellectual property rights
wilful damage
14
Vulnerabilities related to human resources security
- example
Threat
Vulnerabilities related to physical and
environmental security
Threat
Vulnerabilities related to communications and
operations management
Threat
15
Vulnerabilities related to Access Control
Threat
Vulnerabilities related to systems acquisition,
development and maintenance
Threat
Tehditin oluşma olasılığının belirlenmesi

Once a list of threats has been finalized, it is
necessary to determine how likely that threat
is to occur. The risk management team will
want to derive an overall likelihood that
indicates the probability that a potential threat
may be exercised against the risk analysis
asset under review. It will be necessary to
establish definitions on probability and a
number of other key terms
16
Risk Analizi – Olasılıkların belirlenmesi
Tehditin oluşma olasılığını nedir?
Tehditin
Kapasitesi
Tehdit
Motivasyonu
Mevcut Kontroller
Risk Analizi – Etkilerin Değerlendirilmesi
Eğer Tehdit Ortaya Çıkarsa, Bunun
İşletmenize Etkisi Ne Olacaktır?
Will Your Organization Be “Knocked Out”?
Tehditin Etkisinin Belirlenmesi



Having determined the probability that a threat might occur, it
will then be necessary to determine the impact that the threat
will have on the organization.
Before determining the impact value, it is necessary to ensure
that the scope of the risk analysis has been properly defined. It
will be necessary to ensure that the risk management team
understands the objectives or mission of the asset under review
and how it impacts the organization’s overall mission or
objectives
When determining the risk level (probability and impact), it will
be necessary to establish the framework from which the
evaluation is to occur. That is, how will existing controls impact
the results?
17
Tehditin Etkisinin Belirlenmesi



Typically, during the initial review, the threats are examined as
if there are no controls in place. This will provide the risk
management team with a baseline risk level from which you
can identify the controls and safeguards and measure their
effectiveness.
The results of the review of probability and impact is the
determination of a risk level that can be assigned to each
threat. Once the risk level is established, then the team can
identify appropriate actions
The risk level process will require the use of definitions for
probability and impact, as well as definitions of levels. The
following are sample definitions and how they might be used by
the risk management team
Tehditin Etkisinin Belirlenmesi (NIST Yaklaşımı)
Tehditin Etkisinin Belirlenmesi
18
Risk hesaplama – başka bir yaklaşım

Bu yaklaşımda, risk değerleri 1..8 ile derecelendirilerek gösterilir
Risk değerlendirme raporu
Kateg
ori.
Varlıklar
R&D
Dept
Service
File server
(windows
2000 server)
#
Açıklıklar
Tehditler
1
Malicious software,
Misuse, Human
errors,
unauthorized
assess, ..
Risk
değeri
Bölüm
system
vulnerabilities
5
Seçilen kontroller
A.9.2.4
A.10.1.1~A.10.1.4
A.10.4.1~A.10.4.2
A.11.x.x
Riskleri belirle:
a.
b.
Assets / Threats / Vulnerabilities
Impact
Riskleri değerlendir:
a.
Estimate the levels
Riskleri tedavi et
a.
b.
c.
d.
Reduce risks by applying
appropriate controls
Transfer risks
Avoid risks
Accept risks
19
Risk Analizi
Yüksek 7
(3)
ETKİ
Orta
(2)
Düşük
(1)
Minimal
Risk
Sınırı
8
9
Kabul Edilemez
Riskler
4
5
6
Kabul
Edilebilir
Risk Sınırı
Kabul edilebilir
Riskler
2
Minimal Risk
1
3
Sınırı
Düşük
(1)
Orta
(2)
Yüksek
(3)
OLASILIK
© www.niyazikurnaz.net
Önerilen Kontroller



After assigning the risk level, the team will identify
controls or safeguards that could possibly eliminate the
risk or at least reduce the risk to an acceptable level.
Remember that one of the goals of risk analysis is to
document the organization’s due diligence when
making business decisions.
Therefore, it is important to identify as many controls
and safeguards as possible. By doing this the team will
be able to document all the options that were
considered
Önerilen Kontroller


The are a number of factors that need to be considered when
recommending controls and alternative solutions. For
example, how effective is the recommended control? One
way to determine the relative effectiveness is to perform the
risk level process (probability and impact) to the threat with
the control in place. If the risk level is not reduced to an
acceptable point, then the team may want to examine
another option.
There may also be legal and regulatory requirements to
implement specific controls. With so many new and
expanding requirements mandated by government agencies,
controlling boards, and laws, it will be necessary for the risk
management team to be current on these requirements.
20
Önerilen Kontroller



When selecting any type of control, it will be necessary to measure
the operational impact on the organization. Every control will have
an impact. It could be the expenditure for the control itself. It could
be the impact of productivity and turn-around time.Even if the control
is a new procedure, the effect on the employees must be reviewed &
used in the determination on whether to implement or not.
A final consideration is the safety and reliability of the control or
safeguard. Does the control have a track record that demonstrates
that it will allow the organization to operate in a safe and secure
mode? The overall safety of the organization’s intellectual property is
at stake. The last thing that the risk management team wants to do
is implement a control that puts the enterprise at a greater risk
To be effective, the risk analysis process should be applied across
the entire organization. That is, all of the elements and methodology
that make up the risk analysis process should be standard and all
business units trained in its use. The output from the risk analysis
will lead the organization to identify controls that should reduce the
level of threat occurrence
ÖRNEK
Dokümantasyon


Once the risk analysis is complete, the results
should be documented in a standard format and a
report issued to the asset owner.
This report will help senior management, the
business owner, make decisions on policy,
procedures, budget, and systems and
management changes. The risk analysis report
should be presented in a systematic and analytical
manner that assesses risk so that senior
management will understand the risks and allocate
resources to reduce the risk to an acceptable level
21
Risk Analizi Süreci
Kapsam Belirle/
Varlıklar
Risk değerinin
belirlenmesi /
Ortaya çıkma
olasılığı
Tehdit etkisinin ve
riskin Saptanması
Tehditlerin
Belirlenmesi
Açıklıkların
Değerlendirilmesi
Önerilen
Kontroller
Herşeyi
dokümante et!
Risk Mitigation /Riski Azaltma
Metodolojileri

Risk mitigation is a systematic methodology
used by senior management to reduce
organizational risk. The process of risk
mitigation can be achieved through a number
of different methods. We will take a few
minutes and discuss the six most common
methods of risk mitigation
Risk Management – Risk Mitigation

Planla


Devreye Al
Test et & Doğrula

Artık riski belirle
Bir
uygulama planı hazırla
Kontrollerin
etkinliğinden emin ol
Transfer,
Reddet/Reject,
Azalt/Reduce,
Kabul
et
22
Risk Management – Risk Mitigation
Risk Yönetimi Süreci– Risk Azaltma
Sorumlulukları
Belirle
Uygulama
Planı Geliştir
Kontrolleri
Devreye Al
Test Et ve
Doğrula
Artık Riski Belirle
Kontrol Kategorileri



In the information security architecture there are four layers of
controls.
These layers begin with Avoidance, then Assurance, then
Detection, and finally Recovery. Or you can create a set of
controls that map to the enterprise, such as Operations,
Applications, Systems, Security, etc.
Mapping to some standard such as ISO 27001 is another
option. When identifying possible controls, it could be
beneficial to categorize controls into logical groupings.
23
Risk Yönetimi – Güvenlik Kontrolleri
Kontrol Tipleri
Yönetimsel
Kontroller
ve Prosedürler
Yaptırımlar
 Fiziksel Kontroller
Security Guards
Locks
Proximity Card Readers
 Teknik Kontroller
Firewalls
IDS (Intrusion Detection Systems)
Encryption And Decryption
Politika
Risk Management – Security Controls
Types of Controls
Firewalls, Locks and Security Cameras Are
Preventative Controls
Intrusion Detection Systems And
System Auditing Are Detective Controls
Fayda-Maliyet Analizi


To allocate resources and implement cost-effective
controls, organizations, after identifying all possible
controls and evaluating their feasibility and
effectiveness, should conduct a cost/benefit
analysis. This process should be conducted for
each new or enhanced control to determine if the
control recommended is appropriate for the
organization.
A cost/benefit analysis should determine the impact
of implementing the new or enhanced control and
then determine the impact of not implementing the
control
24
Fayda-Maliyet Analizi

When performing a cost/benefit analysis, it is
necessary to consider the cost of
implementation based on some of the
following:



Costs of implementation, including initial outlay for
hardware and software
Reduction in operational effectiveness
Implementation of additional policies and
procedures to support the new controls
Risk Management – Security Controls
Fayda-Maliyet Analizi
Impact Of Risk Outweighs Cost Of Control
$20,000 to protect $10,000 worth of data or assets????

Consider All Costs Such As:






Product
Implementation
Testing
Maintenance
Training
Support
Risk Management –Security Controls
Önceliklendirme ve Kontrol Seçimi
Determine Risks With Greatest Impact
And/Or Highest Likelihood Of Occurrence
Rank And Present To Management
For Implementation
25
Risk Management Process – Security Control
Identify
Security Controls
Analyze
Cost/Benefit
Prioritize
Controls
Select
Controls
Business Continuity Planning /
İş Sürekliliği Planlama (İSP)

AMAÇ:
Herhangi bir olumsuz koşul içine girildiğinde
kritik iş fonksiyonlarının nasıl sürdürüleceğini
planlamak
26
İş Sürekliliği Planlama -
İş Sürekliliği Planlama Politikası
İş Sürekliliği Planlama Politikası
27
İSP Kapsamı:
 Herhangi bir olumsuzluk veri işleme kabiliyetini
ortadan kaldırdığında ya da ciddi olarak sekteye
uğrattığında kritik iş süreçlerinin devamının
sağlanması
 Spesifik bazı aksiyonlar için Hazırlık, test etme
ve bakım yapılması ve böylece normal veri
işleme yeteneğinin geri kazanılması
Felaketler : Doğal ve insan kaynaklı
Yangın, sel, kasırga, hortum, deprem, volkanlar
Uçak kazaları, saldırı, terörizm, ayaklanma, sabotaj,
personel kaybı vb.
 Normal veri işleme kabiliyetini ciddi biçimde azaltan ya
da yok eden herhangi birşey


Felaketler (Olağanüstü durum), iş
çerçevesinde tanımlanır:



Eğer kritik iş süreçlerine zarar veriyorsa bu
bir “felaket” olarak değerlendirilebilir.
Zamana bağlı tanım – işletme böyle bir
derde ne kadar uzun süre dayanabilir?
Gözlem olasılığı
28
Daha Geniş bir perspektifte
İSP hedefleri - CIA
Availability – the main focus
 Confidentiality – still important
 Integrity – still important

İSP hedefi

Aşağıdaki işleri yapacak bir planın oluşturulması,
dökümante edilmesi, test edilmesi ve güncellenmesi
ana hedeftir:
•
•
•
Kritik iş operasyonlarının uygun bir zaman diliminde
kurtarılmasına izin vermek
Kayıpları en aza indirmek
Yasal ve mevzuatla ilgili gereksinimlere uymak
İSP Kapsamı
 Eskiden sadece veri işlemleri ile ilgiliydi
(Bilgi İşlem Merkezi)
 Günümüzde ise :
•
•
•
Dağıtık sistemler
Personel, ağ, elektrik gücü
IT ortamının bütün konuları
29
İSP Oluşturulması
 sürekli bir işlem. Başlayıp biten bir proje olarak
görülmemesi gerekir
•
•
Creating, testing, maintaining, and updating
“Critical” business functions may evolve
 The BCP team must include both business and IT
personnel
Requires the support of senior management
5 temel İSP fazı
Proje Yönetimi & başlangıç
 İş Etki Analizi - Business Impact Analysis (BIA)
 Kurtarma stratejileri - Recovery strategies
 Plan, tasarım ve geliştirme - Plan design &
development
 Test, bakım, farkındalık ve eğitim - Testing,
maintenance, awareness, training

I - Project management & initiation

İhtiyacın belirlenmesi (risk analysis)

Get management support
Takım Oluşturma (functional, technical, BCC –
Business Continuity Coordinator)
 Create work plan (scope, goals, methods, timeline)
 Initial report to management
 Obtain management approval to proceed

30
II - Business Impact Analysis (BIA)
İş Etki Analizi
 Goal: obtain formal agreement with senior
management on the MTD for each time-critical
business resource
 MTD – maximum tolerable downtime, also known
as MAO (Maximum Allowable Outage)
II - Business Impact Analysis (BIA)
Quantifies loss due to business outage
(financial, extra cost of recovery,
embarrassment)
Does not estimate the probability of kinds of
incidents, only quantifies the consequences
II - BIA phases
Choose
information gathering methods
(surveys, interviews, software tools)
Select interviewees
Customize questionnaire
Analyze information
Identify time-critical business functions
31
GELECEK HAFTA…..

ISO27001 Standardı İncelemesi
32