F. Özden Aktaş, İbrahim Soğukpınar

7114

Bilgi Güvenliğinde Uygun Risk Analizi ve Yönetimi Yönteminin Seçimi İçin Bir Yaklaşım

Son yıllarda bilgi sistemleri ve ağ teknolojilerinin kullanım alanlarının yaygınlaşmasıyla beraber, bilgi güvenliğinin de önemi artmıştır. Bilgi güvenliği faaliyetlerinde anahtar kavram risk analizidir. Sistemlerdeki güvenlik seviyesini tespit etmek ve daha iyi hale getirebilmek için, mevcut riskleri belirleyebilmek, bunları analiz etmek, karşı tedbirler geliştirebilmek, kısacası yönetmek gerekmektedir. Risk yönetiminde uzmanlaşmış yöntemler kullanmak, organizasyonlar için ilerideki çalışmalarına daha planlı bir anlayış getireceğinden faydalı olacaktır. Bugüne kadar geliştirilmiş, karakteristikleri ve uygulanışları farklı pek çok yöntem bulunmaktadır. Bu yöntemlerin salt olarak birbirlerinden üstünlüklerinden bahsedebilmek mümkün değildir. Bir yöntem uygulandığı organizasyona bağlı olarak diğerlerine göre daha avantajlı hale gelebilir. Bu amaçla, organizasyonların kendi ihtiyaçlarına en uygun şekilde cevap verebilecek olan yöntemi seçebilmelerine yol gösterecek araçlara ihtiyaç duyulmaktadır. Bu çalışmada uygun yöntem seçimi için bir yaklaşım önerilmektedir. Önerilen yaklaşım dört adet risk analizi yöntemi üzerinde test edilerek sonuçları verilmiştir.

A New Approach for Choosing Proper Risk Analysis and Management Method in Information Security

Due to spread in usage of information systems and network technologies, the importance of information security has also increased in recent years. Risk analysis is the key concept in information security activities. To determine and improve the security level in the systems, one has to determine the current risks, to analyze them, to generate solution; that is to manage them. Using specialized methods for managing risk would be useful for organizations since it will bring a more planned perspective to their future work. There are several risk analysis methods developed till now, varying in their characteristics and their applications. It is not possible just to mention the superiority of one over another. A method may be more advantageous than others depending on the organization in which it is applied. For this purpose, there is need to find guiding tools for choosing a method that can satisfy organizations’ needs in the most useful way. This study recommends the approach for selecting the proper method. Test results of application are given in this article for the proposed approach.
PDF

___

  • ISO/IEC. ISO/IEC 17799 International Standard, Information technology, 2000. Code of pactice for information security management, Switzerland.
  • Aime, M. D., Atzeni A., Pomi, P. C., 2007. AMBRA: Automated Model-based Risk Analysis, QoP ’07: ACM workshop on Quality of protection.
  • Swanson, M., Guttman, B., 1996. Generally Accepted Principles and Practices for Securing Information Technology Systems, NIST Special Publication 800-14.
  • NIST. NIST, An Introduction to Computer Security: The NIST Handbook, NIST Special Publication 800-12.
  • Dhillon, G. (Repasky, N.), 2007. Principles of Information System Security, Wiley, USA.
  • Blakley, B., McDermott, E., Geer, D., 2001. Information security is information risk management, NSPW '01: Proceedings of the 2001 workshop on New security paradigms.
  • Karabacak, B., Sogukpinar, I., 2004. ISRAM: Information Security Risk Analysis Method, Computers & Security, 24(2), 147-129.
  • Bella, G., Bistarelli, S., Peretti, P., Riccobene, S., 2007. Augmented Risk Analysis, Electronic Notes in Theoretical Computer Science, Volume 168, Pages 207-220.
  • Vorster, A., Labuschagne, L., 2005. A framework for comparing different information security risk analysis methodologies, Proceedings of the 2005 annual research conference of the SAICSIT '05.
  • UK Central Computer and Telecommunication Agency (CCTA), 2001. Risk Analysis and Management Method, CRAMM User Guide, Issue 2.0.
  • Braber, F., Hogganvik, I., Lund, M.S., Stolen, K., Vraalsen, F., 2007. Model-based security analysis in seven steps - A guided tour to the CORAS method, BT Technology Journal, v 25, n 1, p 101-117.
Türkiye Bilişim Vakfı Bilgisayar Bilimleri ve Mühendisliği Dergisi-Cover
  • ISSN: 1305-8991
  • Başlangıç: 2005
  • Yayıncı: Türkiye Bilişim Vakfı
Arşiv
Sayıdaki Diğer Makaleler

Şirketlerde Elektronik İmza Kullanımı Üzerine Bir Uygulama

E. Yeniman Yıldırım, G. Akalp

Aort Anevrizması Tedavisi için Görüntüsel Modelleme ve Ölçümleme Aracı

Semih Utku, Hulusi Baysal, Mustafa Tosun, R. Alp Kut

Örüntü Tanıma ve Öznitelik Seçme Yöntemleri Kullanarak Kısa Zaman Sonraki Yol Trafik Hız Öngörüsü

Ülkem Yıldırım, Zehra Çataltepe

Serpiştirim Yaklaşımının MBMS Yükleme Hızına Etkisi

Zeki Yetgin, Turgay Çelik

Yazılım Mühendisliği Eğitim Öğretimi İçinde Yazılım Kulubeleri ve Yazılım Kalite Kontrol Elemanı Kullanımı

Ümit M. Karakaş, U. Ayan

Yetkin Bul ve Değiştir

Figen ŞENTÜRK, Eşref ADALI

Bilgi Güvenliği Yönetiminde Risk Değerlendirmesi İçin Bir Model

Hidayet Takçı, Türker AKYÜZ, Alper UĞUR, Rahim Karabağ, F. Özden AKTAŞ, İbrahim SOĞUKPINAR

Bilgi Güvenliğinde Uygun Risk Analizi ve Yönetimi Yönteminin Seçimi İçin Bir Yaklaşım

F. Özden Aktaş, İbrahim Soğukpınar

Türkçe Dokümanlar İçin N-gram Tabanlı Yeni Bir Sınıflandırma(Ng-ind): Yazar, Tür ve Cinsiyet

Sibel DOĞAN, Banu DİRİ