1. Tehdit Kataloğu
Tehdit kataloğu, genel bir bilgi güvenliği tehdit listesidir. Tehditler, potansiyel
olarak kurumun veya sistemin bilgi güvenliği varlıklarına zarar verebilecek; olaylar,
kaynaklar, eylemler veya eylemsizliklerdir. Eğer tehdit kataloğu optimum bir
şekilde yapılandırılırsa, kuruma veya sisteme; risk analizi çalışmasının
yapılması ve mimari tasarımının oluşturulması kolaylaşacaktır. Aşağıda, herhangi
bir kurum veya sistem için tehdit kataloğu oluşturabilmesinde referans olarak
kullanılabilecek, içeriklerinde tehdit kataloğu bulunan bazı dokümanlar
verilmiştir:
- International Organization for Standardization (ISO – Uluslararası Standardizasyon Teşkilatı )/International Electrotechnical Commission (IEC – Uluslararası Elektroteknik Komisyonu) 27005 Information Security Risk Management (Bilgi Güvenliği Risk Yönetimi)
- National Institute of Standards and Technology (NIST – Ulusal Standartlar ve Teknoloji Enstitüsü) Special Publication (SP – Özel Yayını) 800-30 Guide for Conducting Risk Assessments (Risk Değerlendirmelerini Yürütme Rehberi)
- Microsoft Tehdit Modeli
- Business Innovation Technology and Security (BITS – İş İnovasyon Teknolojisi ve Güvenliği)
2.Tehdit Kataloğu Oluşturmak için
Referans Olarak Kullanılacak Tehdit Kataloglarının Seçimi
Bir kuruma veya sisteme, tehdit kataloğu oluşturmak için referans olarak kullanılacak tehdit kataloglarının seçim kararı, tehditlerin kuruma veya sisteme uygulanabilirliğine bağlı olmaktadır. Örneğin, bir tehdit kataloğu; dış kaynaklı uygulama geliştirmeyle ilgili tehditler içeriyorsa ve kurum herhangi bir dış kaynak geliştirici kullanmıyorsa, dış kaynaklı uygulama geliştirmeyle ilgili tehditleri, tehdit kataloğuna dahil etmenin bir anlamı yoktur.
3. Tehdit Kataloğunda Gelecekteki Tehdit
Senaryolarını Planlamak / Hazırlık Yapmak
Değerlendiricilerin bazı durumlarda, gelecekteki tehdit senaryolarını planlamak ve gelecekteki tehdit senaryolarına hazırlık yapmak için oluşturacakları tehdit kataloğu; uygulanamaz tehditleri ve/veya varsayımsal tehditleri içerir. Bu yöntem, kurumun veya sistemin; tehdit ortamını etkileyen ve stratejisindeki değişikliklerin (örneğin, yeni teknoloji kullanımı veya üçüncü taraf satıcıların stratejik kullanımı) dikkate alınmasını sağlamaya yardımcı olan genellikle iyi bir yaklaşımdır.
4. Tehdit Kataloğunun Uzunluğunun
Belirlenmesi
Tehdit kataloğunun uzunluğu nihayetinde risk analizi çalışması sırasında karşılaşılan belirli proje sınırlamalarına bağlı olabilmektedir. Risk analizinde çıktıyı sağlaması gereken sürenin uzunluğunu dikkate almak önemlidir. Örneğin, BITS dokümanındaki tehdit kataloğuna bir göz atıldığında risk analizi çalışmasına ayrılan sürede 600 farklı tehdidin değerlendirmesinin gerçekçi bir şekilde bitirilebileceği tartışılabilir bir durumdur. Nihayetinde, hangi tehditlerin dahil edileceğine dair karar, büyük ölçüde değerlendiricinin muhakemesine bağlı olacaktır. Ancak referans olarak “standart” tehdit kataloglarının kullanılması, değerlendirmede kullanılacak tehdit listesinin niteliğini iyileştirmektedir.
5. Tehdit Kataloğu Örneği
Tablo 1’de, ISO/IEC
27005 Bilgi Güvenliği Risk Yönetimi dokümanında ve NIST SP 800-30 Risk
Değerlendirmelerini Yürütme Rehberi dokümanında bulunan tehdit kataloglarının
bir kombinasyonunu temel alan tehdit kataloğu örneği gösterilmektedir. Tablo
1’deki, Suçlu ifadesi, dışarıdan izinsiz girenleri ve/veya içerideki
kötü amaçlı kişileri ve/veya zararlı kodu; Belirsiz ifadesi, insan hatası veya
suçluyu belirtmektedir.
Kaynaklar
- Mark Talabis, Jason Martin, in Information Security Risk Assessment Toolkit, 2012
- ISO/IEC 27005:2018 Information Security Risk Management
- NIST SP 800-30 Guide for Conducting Risk Assessments
- https://www.opensecurityarchitecture.org/cms/library/threat_catalogue
0 Yorumlar