Tehdit Kataloğunun Hazırlanması



1. Tehdit Kataloğu

Tehdit kataloğu, genel bir bilgi güvenliği tehdit listesidir. Tehditler, potansiyel olarak kurumun veya sistemin bilgi güvenliği varlıklarına zarar verebilecek; olaylar, kaynaklar, eylemler veya eylemsizliklerdir. Eğer tehdit kataloğu optimum bir şekilde yapılandırılırsa, kuruma veya sisteme; risk analizi çalışmasının yapılması ve mimari tasarımının oluşturulması kolaylaşacaktır. Aşağıda, herhangi bir kurum veya sistem için tehdit kataloğu oluşturabilmesinde referans olarak kullanılabilecek, içeriklerinde tehdit kataloğu bulunan bazı dokümanlar verilmiştir:

  • International Organization for Standardization (ISO – Uluslararası Standardizasyon Teşkilatı )/International Electrotechnical Commission (IEC – Uluslararası Elektroteknik Komisyonu) 27005 Information Security Risk Management (Bilgi Güvenliği Risk Yönetimi)
  • National Institute of Standards and Technology (NIST – Ulusal Standartlar ve Teknoloji Enstitüsü) Special Publication (SP – Özel Yayını) 800-30 Guide for Conducting Risk Assessments (Risk Değerlendirmelerini Yürütme Rehberi)
  • Microsoft Tehdit Modeli 
  • Business Innovation Technology and Security  (BITS – İş İnovasyon Teknolojisi ve Güvenliği)

2.Tehdit Kataloğu Oluşturmak için Referans Olarak Kullanılacak Tehdit Kataloglarının Seçimi

Bir kuruma veya sisteme, tehdit kataloğu oluşturmak için referans olarak kullanılacak tehdit kataloglarının seçim kararı, tehditlerin kuruma veya sisteme uygulanabilirliğine bağlı olmaktadır. Örneğin, bir tehdit kataloğu; dış kaynaklı uygulama geliştirmeyle ilgili tehditler içeriyorsa ve kurum herhangi bir dış kaynak geliştirici kullanmıyorsa, dış kaynaklı uygulama geliştirmeyle ilgili tehditleri, tehdit kataloğuna dahil etmenin bir anlamı yoktur.  


3. Tehdit Kataloğunda Gelecekteki Tehdit Senaryolarını Planlamak / Hazırlık Yapmak

Değerlendiricilerin bazı durumlarda, gelecekteki tehdit senaryolarını planlamak ve gelecekteki tehdit senaryolarına hazırlık yapmak için oluşturacakları tehdit kataloğu; uygulanamaz tehditleri ve/veya varsayımsal tehditleri içerir. Bu yöntem, kurumun veya sistemin; tehdit ortamını etkileyen ve stratejisindeki değişikliklerin (örneğin, yeni teknoloji kullanımı veya üçüncü taraf satıcıların stratejik kullanımı) dikkate alınmasını sağlamaya yardımcı olan genellikle iyi bir yaklaşımdır.


4. Tehdit Kataloğunun Uzunluğunun Belirlenmesi

Tehdit kataloğunun uzunluğu nihayetinde risk analizi çalışması sırasında karşılaşılan belirli proje sınırlamalarına bağlı olabilmektedir. Risk analizinde çıktıyı sağlaması gereken sürenin uzunluğunu dikkate almak önemlidir. Örneğin, BITS dokümanındaki tehdit kataloğuna bir göz atıldığında risk analizi çalışmasına ayrılan sürede 600 farklı tehdidin değerlendirmesinin gerçekçi bir şekilde bitirilebileceği tartışılabilir bir durumdur. Nihayetinde, hangi tehditlerin dahil edileceğine dair karar, büyük ölçüde değerlendiricinin muhakemesine bağlı olacaktır. Ancak referans olarak “standart” tehdit kataloglarının kullanılması, değerlendirmede kullanılacak tehdit listesinin niteliğini iyileştirmektedir.


5. Tehdit Kataloğu Örneği

Tablo 1’de, ISO/IEC 27005 Bilgi Güvenliği Risk Yönetimi dokümanında ve NIST SP 800-30 Risk Değerlendirmelerini Yürütme Rehberi dokümanında bulunan tehdit kataloglarının bir kombinasyonunu temel alan tehdit kataloğu örneği gösterilmektedir. Tablo 1’deki, Suçlu ifadesi, dışarıdan izinsiz girenleri ve/veya içerideki kötü amaçlı kişileri ve/veya zararlı kodu; Belirsiz ifadesi, insan hatası veya suçluyu belirtmektedir. 

 Tablo 1: ISO/IEC 27005 Bilgi Güvenliği Risk Yönetimi Dokümanında ve NIST SP 800-30 Risk Değerlendirmelerini Yürütme Rehberi Dokümanında Bulunan Tehdit Kataloglarının Bir Kombinasyonunu Temel Alan Tehdit Kataloğu Örneği

Kaynaklar


Yorum Gönder

0 Yorumlar