Labradorr
11-02-2006, 06:54 PM
1. Konu ve Amaç
Bu belgelerde bilgi güvenliği yönetimi için Operasyonel Kritik Tehdit, Varlık ve Zafiyet Değerlendirmesi yaklaşımı anlatılmaktadır. OCTAVE Metodu üçe ayrılabilir:
Büyük Ölçekli İşletmeler için; OCTAVE
Küçük Ölçekli İşletmeler için: OCTAVE-S
Diğer: Bazı organizasyonların ihtiyaç özelliklerine göre hibrid bir metot oluşturulabilir.
Etkin bir bilgi güvenliği risk değerlendirmesi; çalışanların organizasyonlarının günlük tabandaki bilgi işlem altyapısını nasıl kullandıklarını inceleyerek, hem organizasyonel hem de teknolojik konuları kapsayacak şekilde değerlendirir. Değerlendirme herhangi bir güvenlik gelişimi başlangıcı için çok önemlidir; çünkü organizasyonun ilgi güvenlik riskleri için geniş bir görüş sağlar, gelişme için de iyi bir taban oluşturur.
1.1.OCTAVE’ın Tanımı
Bir organizasyona bilgi güvenliği konusunda duyduğu ihtiyaçlara bakıldığında;
- OCTAVE risk-tabanlı stratejik görüş sağlayan ve güvenlik için bir planlama tekniğidir.
- OCTAVE kişi-güdümlüdür; organizasyondaki kişiler organizasyonun güvenlik stratejisinin oluşturulmasından sorumludurlar.
Teknik kişilerin organizasyonun güvenlikle ilgili yapısı hakkındaki bilgisini kullanır, mevcut organizasyon içindeki güvenlik uygulamaları hakkında bilgi edinmek için kullanır.
En kritik varlıklarda oluşabilecek riskler, gelişme sağlanacak alanlar ve organizasyon için güvenlik stratejisi oluştururken kullanılır.
Tipik teknoloji odaklı değerlendirmenin aksine, taktik konularda teknolojik risklere odaklanır ve OCTAVE organizasyonel riskleri hedef alır ve stratejik, uygulamaya dayalı konulara odaklanır. Özel olarak değerlendirilmesi gereken bir çok organizasyon için bu esnek bir değerlendirmedir. OCTAVE uygulanırken, operasyonel (ya da iç) kişiler; şekil 1’de görülen operasyonel risk, güvenlik uygulamaları ve teknolojileri; üç anahtar yönü dengeleyerek organizasyonun güvenlik ihtiyaçlarını belirlerler.
[Üye Olmadan Linkleri Göremezsiniz.]
OCTAVE yaklaşımı iki taraftan yürütülür; operasyonel risk ve güvenlik uygulamaları. Teknoloji sadece güvenlik uygulamaları ile ilişki içinde incelenir, bu da organizasyonun mevcut güvenlik uygulamalarını tekrar gözden geçirmesini sağlar. OCTAVE yaklaşımını kullanarak, organizasyonlar kritik bilgi ile ilişkili varlıklarda güvenilirlik, bütünlük ve zamanında erişilebilirlik gibi bilgi-korumalı kararlar alırlar. Risklerin hepsi (varlıklar, tehditler, zayıflıklar ve organizasyonel etkiler) karar vermeye göre etmenlere ayrılır ve bu da organizasyonun güvenlik risklerinde uygulama tabanlı koruma stratejisi ile uyuşmasını (eşleşmesini) sağlar.
Tablo 1’de OCTAVE ve diğer değerlendirmeler arasındaki ana farklılıklar özetlenmektedir.
Tablo 1: OCTAVE ve Diğer Yaklaşımlar Arasındaki Anahtar Farklılıklar
OCTAVE Diğer Yaklaşımlar Organizasyonel Değerlendirme Sistem Değerlendirmesi Güvenlik Uygulamalarına Odaklanma Teknolojiye Odaklanma Stratejik Konular Taktik Konular Kişi güdümlü Uzman güdümlü
1.1.1. OCTAVE Yaklaşımının Ana Özellikleri
Organizasyonun değerlendirme sürecini yönetebilmesi ve bilgi güvenliğine dayalı kararlar verebilmesi için, OCTAVE kişi güdümlüdür. Analiz takımı denilen organizasyon içinden bir takım değerlendirmeyi yürütür. Takımdaki kişiler hem iş birimlerinden hem de IT bölümünden seçilirler, çünkü her iki bakış da bilgi güvenlik risklerine global ve organizasyonel bakış için önemlidir.
OCTAVE varlık-güdümlü bir değerlendirme yaklaşımıdır. Analiz takımları:
- Bilgi ile ilişkili, organizasyon için önemli varlıkları tanımlarlar (ör: bilgi ve sistemleri).
- Organizasyon için en kritik durumda değerlendirilen varlıkların risk analizi aktiviteleri üzerine odaklanırlar.
- Bu kritik varlıkların birbirleri ile olan ilişkilerini, bu varlıklar üzerindeki tehditleri ve bu tehditlere karşı varlıkları korumasız bırakacak zayıflıkları (hem organizasyonel hem teknolojik) değerlendirirler.
- Operasyonel bağlamdaki riskleri organizasyonun işlerine aktarımda nasıl kullanılacaklarını, güvenlik tehditlerine bağlı bu varlıkların nasıl bir risk altında olduklarını değerlendirirler.
- Organizasyonun kritik varlıklarındaki risklerini azaltmaya yönelik planların yanında organizasyonel gelişim için uygulama tabanlı koruma stratejileri oluştururlar.
Bilgi güvenliği risk değerlendirmesi organizasyonel, teknolojik ve analiz yönlerinden üç aşamalı bir yaklaşımla tamamlanır. OCTAVE bu üç temel aşamayı organizasyondaki çalışanların bu üçünü birleştirerek bilgi güvenlik ihtiyaçlarını bütün olarak görebilmesini sağlar (Şekil 2. de gösterilmektedir).
Bu aşamalar:
Aşama 1: Varlık Tabanlı Tehdit Profilleri Oluşturmak – Bu organizasyonel bir değerlendirmedir. Analiz takımı organizasyon içinde nelerin önemli olduğunu değerlendirir (bilgi-ilişkili varlıkları) ve bu varlıkların korunması ile ilgili mevcut sistemde ne yapıldığını belirlerler. Daha sonra takım organizasyon için en önemli olan varlıkları (en kritik varlıklar) seçerler ve her kritik varlık için güvenlik gereksinimlerini tanımlarlar. Sonunda, her kritik varlığın maruz kalabileceği tehdidi, her kritik varlık için bir tehdit profili oluşturarak belirlerler.
Aşama 2: İç Yapıdaki Zayıflıkların Belirlenmesi – Bu aşamada alt yapı sisteminin değerlendirmesi yapılır. Analiz takımı her kritik varlıkla bağlantılı olan bilgi teknolojisi bileşenlerinin sınıflarını tanımlayarak network kullanım yollarını inceler. Takım daha sonra her bileşen sınıfının dayanıklı olduğu network saldırılarının derecelerini belirler.
Aşama 3: Güvenlik Strateji ve Planları Geliştirmek – Değerlendirmenin bu aşamasında, analiz takımı organizasyonun kritik varlıkları üzerindeki riskleri tanımlar ve bunlarla ilgili neler yapacağına karar verir. Takım organizasyon için bir koruma stratejisi oluşturur ve bilgi analizi kısmında toplanmış bilgiler doğrultusunda kritik varlıklara olan riskleri en aza indirmek için planlar hazırlar.
[Üye Olmadan Linkleri Göremezsiniz.]
.2. OCTAVE Kriterleri
OCTAVE Yaklaşımı için gerekli elementler ve ihtiyaçlar bir kriterler setinde toplanmıştır(I). Bu kriterlere dayanan bir çok metot olabilir, fakat sadece bir takım OCTAVE Kriterleri Seti mevcuttur. Bu noktada, kriterlere dayanan iki metot geliştirilmiştir. OCTAVE Metodu, OCTAVE Metot Uygulama Rehberinde dokumante edilmiştir (II), büyük organizasyonlar için tasarlanmıştır, OCTAVE-S ise küçük organizasyonlar için tasarlanmıştır.
Buna ek olarak, bazıları bu kriterlere dayanan özel içerikli metotlar oluşturabilirler. Şekil 3’te bu noktalar vurgulanmaktadır.
[Üye Olmadan Linkleri Göremezsiniz.]
OCTAVE Kriterleri prensipler, eğilimler ve çıktılardan oluşur: Prensipler değerlendirmenin doğasını oluşturan ana konulardır, değerlendirme sürecinde arka plandaki felsefeyi tanımlar. Değerlendirme adımını şekillendirir ve değerlendirme işlemi için taban hazırlarlar. Örneğin kişi güdümlülük OCTAVE’ın prensiplerinden biridir. Kişi güdümlülük kavramı organizasyon içindeki kişilerin değerlendirme yapmak ve karar almak için en uygun oldukları düşünülür.
Değerlendirmenin gereklilikleri niteliklerle ve çıktılarla somutlaştırılır.
Nitelikler değerlendirmenin ayrık özellikleri ya da karakteristikleridir.
Bunlar OCTAVE Yaklaşımının ana elemanlarını belirlemek için gerekli ihtiyaçlardır ve hem süreç hem de organizasyonel perspektiften bakıldığında değerlendirmenin başarılı olabilmesi için gereklidirler.
Nitelikler OCTAVE Prensiplerinden çıkartılırlar. Örneğin, OCTAVE’ın özelliklerinden biri de iç disiplinden oluşturulan takımın organizasyonu yürüten kişiler tarafından oluşturulmasıdır. Bu analiz takımının oluşturulmasının prensibinin arkasında kişi güdümlülük yatar.
Sonunda, çıktılar değerlendirmenin her aşamasının sonucu olarak gereklidirler. Analiz takımının her aşama sonunda ulaşacağı çıktıları tanımlarlar. OCTAVE’ın çıktılarını üretebilecek bir set aktiviteden fazla vardır; bu sebepten dolayı özel bir takım aktiviteler belirtilmez. Çıktılar analiz takımının izlediği üç aşama sonunda ulaşması gereken sonuçları tanımlarlar. Tablo 2 ve 3’te prensipler, aktiviteler, ve OCTAVE Yaklaşımı çıktıları listelenmiştir.
Tablo 2. Octave Prensipleri ve Aktiviteleri
Prensip Nitelik Kişi Güdümlülük RA.1 Analiz Takımı
RA.2 Analiz Takımı Yeteneklerini Artırmak Uyumlandırılabilir Ölçüler RA.3 Uygulama Kataloğu
RA.4 Dosyalanmış Değerlendirme Sonuçları
RA.5 Değerlendirme Sahası Tanımlanmış Süreç RA.6 Tanımlanmış Değerlendirme Aktiviteleri
RA.7 Dosyalanmış Değerlendirme Sonuçları
RA.8 Değerlendirme Sahası Sürekli bir Sürecin Kurulması RA.9 Takip eden Adımlar
RA.3 Uygulama Kataloğu İleriye Bakış RA.10 Riske Odaklanma Kritik Noktalara Odaklanma RA.8 Değerlendirme Sahası
RA.11 Odaklanmış Aktiviteler Bütünleştirilmiş Yönetim RA.12 Organizasyonel ve Teknik Konular
RA.13 İş ve Bilgi Teknolojileri Katılımı
RA.14 Üst Yönetim Katılımı Açık İletişim RA.15 İşbirlikçi Yaklaşım Global Bakış Açısı RA.12 Organizasyonel ve Teknik Konular
RA.13 İş ve Bilgi Teknolojileri Katılımı Takım Çalışması RA.1 Analiz Takımı
RA.2 Analiz Takımı Yeteneklerinin Geliştirilmesi
RA.13 İş ve Bilgi Teknolojileri Katılımı
RA.15 İşbirlikçi Yaklaşım
Tablo3. OCTAVE Çıktıları
Aşama Çıktı Aşama 1 RO1.1. Kritik Varlıklar
RO1.2 Kritik Varlıklar için Güvenlik İhtiyaçları
RO1.3 Kritik Varlıklara Olan Tehditleri
RO1.4 Mevcut Güvelik Uygulamaları RO1.5 Mevcut Organizasyon Zayıflıkları Aşama 2 RO2.1 Anahtar Bileşenler
RO2.2. Mevcut Teknolojik Zayıflıklar Aşama 3 RO3.1 Kritik Varlık Riskleri
RO3.2 Risk Ölçütleri
RO3.3. Koruma Stratejisi
RO3.4 Risk Azaltma Planları
1.3. OCTAVE Sürekliliğin bir Parçasıdır
OCTAVE mevcut bilgi güvenliği risklerini zamana ya da altyapıya kısa bir bakış atarak aktivitelerin azaltılması ve geliştirilmesi için organizasyona geniş bir bakış sağlar. OCTAVE sırasında analiz takımı şu aktiviteleri yürütür:
· Organizasyonun bilgi güvenlik risklerinin tanımlanması
· Önceliklerine belirlenmesi için risk analizi
· Organizasyonun gelişimi ve risk azaltma planları ile organizasyonun kritik varlıklarına gelebilecek riskleri en aza indirmek için koruma stratejileri geliştirmek
Bir organizasyon planlarını uygulamadıkça gelişemeyecektir. Devamda görülen ilerleme aktiviteleri OCTAVE tamamlandıktan sonra uygulanmıştır.
Detaylı hareket planları geliştirerek güvenlik stratejileri ve risk azaltma planlarının nasıl uygulanacağını planlamak
Detaylı hareket planlarını uygulamak
Etkinlik ve plana uygunluk açısından hareket planlarının görüntülenmesi
(Bu aktivite herhangi bir değişikliğe karşı risklerin görüntülenmesini de içerir).
Uygun düzeltici hareketleri yaparak planlardaki değişimleri kontrol etmek
Bilgi güvenlik risklerinin yönetilebilmesi için bilgi güvenliği risk değerlendirmesi organizasyonu aktivitelerinin bir parçası olmalıdır. OCTAVE bir değerlendirme aktivitesidir, sürekli bir süreç değildir; başlangıç ve sonu tanımlanmıştır. Şekil 4’te bu aktiviteler arasındaki ilişkiler ve OCTAVE’a uyduğu yönler gösterilmiştir.
[Üye Olmadan Linkleri Göremezsiniz.]
Bir organizasyon belli aralıklarla başka bir OCTAVE’ı uygulayabilmek için tabanını sıfırlamalıdır (resetlemelidir). Değerlendirmeler arasındaki süreler önceden belirlenebilir (ör: yıllık) ya da büyük olaylarla tetiklenebilir (Ör: Kurumsal organizasyon yapısının yeniden düzenlenmesi ya da organizasyon işlem altyapısının tekrar tasarlanması). Değerlendirmeler arasında organizasyonlar periyodik olarak yeni riskler belirleyebilirler, bu riskleri mevcut risklerle ilişkilendirerek analiz edebilir ve risk zayıflatıcı planlar geliştirebilirler.
2. OCTAVE Metodu
OCTAVE Metodu başta 300 ve daha fazla çalışanı olan büyük organizasyonlar için tasarlanmıştır. OCTAVE metodunu kullanırken işletmenin ölçeği düşünülecek tek kriter değildir. Büyük işletmeler genellikle çok katlı hiyerarşik yapıya sahip olurlar ve genelde ayrık ya da coğrafik olarak dağılmış olurlar. Hangi bilgi ile bağlantılı varlıkların önemli olduğunu, nasıl kullanıldıklarını, nasıl tehdit edildiklerini belirlemek için yapılan resmi veri toplama aktiviteleri OCTAVE’ı aktarmada önemli bir rol oynarlar. Son olarak, büyük bir işletme kendi işlem altyapısını ve hassas değerlendirme araçlarını kullanabilecek, kritik varlıkları ile ilişkili sonuçları çıkarabilecek duruma gelir.
2.1.OCTAVE Metodu Süreci
OCTAVE metodu üç ana aşamadan oluşur:
· Aşama 1: Varlık Tabanlı Tehdit Profillerinin Oluşturulması – Bu aşamanın iki ana fonksiyonu organizasyondan bilgi toplamak ve kritik varlıklar için tehdit profillerinin oluşturulmasıdır.
- İşlem 1: Üst Düzey Yönetim Bilgilerinin Tanımlanması – Analiz takımı önemli varlıklar, güvenlik ihtiyaçları, tehditler ve mevcut organizasyonel güçlülükler ve zayıflıklar hakkında üst düzey yönetimden bilgi toplarlar.
- İşlem 2: Operasyonel Düzeyin Bilgilerinin Tanımlanması - Analiz takımı önemli varlıklar, güvenlik ihtiyaçları, tehditler ve mevcut organizasyonel güçlülükler ve zayıflıklar hakkında operasyonel düzey yönetimden bilgi toplarlar.
- İşlem 3: Personel Bilgilerinin Tanımlanması - Analiz takımı önemli varlıklar, güvenlik ihtiyaçları, tehditler ve mevcut organizasyonel güçlülükler ve zayıflıklar hakkında seçilmiş alanlardaki sıradan çalışanlardan ve IT çalışanlarından bilgi toplarlar.
- İşlem 4: Tehdit Profillerinin Oluşturulması – Analiz takımı üç ile beş arasında kritik bilgi ile ilişkili varlıkları seçer ve bu varlıklar için tehdit profillerini tanımlarlar.
· Aşama 2: Altyapı Zayıflıklarının Tanımlanması – Bu aşama sırasında, analiz takımı sistemin teknolojik zayıflıkları açısından kritik varlıkları destekleyen anahtar bileşenleri değerlendirirler.
- İşlem 5: Anahtar Bileşenlerin Tanımlanması – Kritik bilgi ile ilişkili varlıkları destekleyen sistemlerden alınan temsili bir anahtar bileşen kümesi tanımlanır ve bunları değerlendirmek için bir yaklaşım belirlenir.
- İşlem 6: Seçilen Bileşenlerin Değerlendirilmesi – Seçilen bileşenlerin değerlendirilmesi için araçlar çalıştırılır ve kritik varlıklar için tehdit profillerinin tekrar gözden geçirilmesi için sonuçlar analiz edilir (network yollarındaki tehditler).
· Aşama 3: Güvenlik Stratejileri ve Planlarının Geliştirilmesi – Bu aşamanın ana amacı kritik varlıklara olan risklerin belirlenmesi ve organizasyonel güvenlik stratejileri ile risk azaltma planlarının oluşturulmasıdır.
- İşlem 7: Risk Analizinin Aktarımı – Etki değerlendirme kriterlerinden oluşturulan organizasyonel bir küme kritik varlıklar üzerindeki tehditlerin etkisi değerini (yüksek, orta ya da düşük) belirlemek tanımlanır.Aktif tüm riskler etkiye göre değerlendirilirler. Bu metoda olasılık dahil değildir, fakat istenirse eklenebilir.3
- İşlem 8: Güvenlik Stratejisi Geliştirilmesi - Takım organizasyonun güvenlik uygulamaları ile kritik varlıklara olan riskler için hafifletme planları geliştirmek için organizasyon bütününde güvenlik stratejisi geliştirirler.
2.2 OCTAVE Metodunu Destekleyen Uygun Malzemeler
OCTAVE Metodu "OCTAVE Metot Uygulama Rehberi"nde dökümante edilmiştir (IV). Bu rehber hem Microsoft Word hem de Powerpoint’ten oluşan 18 sayıdan oluşmaktadır. Listede her bir sayının içerikleri özet olarak açıklanmıştır:
Sayı 1: Giriş: BU sayı OCTAVE’ın tanımını içerir, rehberin nasıl kullanılacağı, analiz takımına yol gösterecek açıklamalar ve geri adımla kontrol etmek için formu içerir.
Sayı 2: Ön hazırlık Aktiviteleri: BU sayıda OCTAVE’da yapılacak için yapılacaklar gösterilmektedir. Analiz takımı ve katılımcıların seçilmesi, programlama ve lojistik gibi aktiviteleri içerir. Bu sayıda aynı zamanda yüksek seviyede uzman rehberi ve üst düzey yöneticiler ile katılımcılar için özetler de bulunmaktadır.
Sayı 3-12: OCTAVE Süreci: Bu sayılarda OCTAVE Metodunun üç aşaması ve sekiz işlemi hakkında bilgi verilmektedir.
Sayı 13: Değerlendirmeden Sonra: Bu sayıda rehberin kısa bir bölümü olan değerlendirme aşamasından sonra yapılmasına dair bir örnek bulunmaktadır.
3. OCTAVE-S
OCTAVE –S yirmi ile seksen arasında çalışana sahip olan küçük ölçekli işletmeler için geliştirilmiş ve test edilmiştir. Üç ile beş arasında kişiden oluşan bir takımın tüm değerlendirme aktivitelerini formal veri toplama aktiviteleri haricinde yapabilecek organizasyonlar için tasarlanmıştır.
Örneğin, iki yüz kişilik tek bir alanda kurulu bir işletmede beş kişilik bir takım oluşturulabilir ve organizasyonun tümü yeterli şekilde değerlendirilebilir. Diğer bir yandan farklı bölgelerde çalışanları olan doksan kişilik bir organizasyon, OCTAVE Metodu ile veri toplamayı daha rahat yapabilir.
OCTAVE-S’in ayırıcı özelliklerinden biri de Aşama 2’de bilgi işletme altyapısının değerlendirilmesidir. Küçük ölçekli işletmeler bilgisayar sistemlerinin bakımını genellikler dışarıya yaptırırlar. Bu işletmeler için, değerlendirme araçlarını çalıştırmak ve kaynaklarını inceleyerek sonuçlara ulaşmak ağır bir iş olabilir. OCTAVE-S bu tip bir analizi tanımlamaktadır,
fakat Aşama 2’de OCTAVE-s kısaltılmış bir muayene ve güvenli bir organizasyonun bilgi işlem altyapısını güvenli hale getirmek için kullanılan süreçlerin tekrarını içerir.
OCTAVE-S aynı zamanda olasılığın seçimli versiyonunu da içerir. Yalnız bunun için önceki güvenlik olayları ve problemler hakkında bilgi sahibi olan aynı zamanda da yetkin bilgiye sahip olan bir kullanıcı gerekebilir.
3.1. OCTAVE-S Süreci
OCTAVE yaklaşımında olduğu gibi OCTAVE-S’te de üç aşama vardır. Sadece aşamalar bazı yönlerden farklılık göstermektedir.
· Aşama 1: Varlık Tabanlı Tehdit Profillerinin Oluşturulması – Bu aşamada, organizasyonel bilgi tanımlanır ve kritik bilgi ile ilişkili varlıklar için üç ile beş arası tehdit profili belirlenir.
- İşlem S1: Organizasyonel Bilginin Tanımlanması – Analiz takımı organizasyonun varlıklarla ilişkili önemli bilgilerini tanımlar, bunun için etkili değerlendirme kriterleri oluşturur ve organizasyonun mevcut güvenlik uygulamalarını tanımlar.
- İşlem S2: Tehdit Profillerinin Oluşturulması – Analiz takımı üç ile beş arasında varlıklarla alakalı kritik bilgileri seçer, bunlar için güvenlik ihtiyaçlarını ve tehdit profillerini belirlerler.
· Aşama 2: Altyapı Yetersizliklerinin Tanımlanması – Bu aşamada, analiz takımı altyapıyı yüksek seviyede inceler ve tehdit profillerini güncellemek için teknoloji ile ilişkili uygulamaları kullanırlar.
- İşlem S3: Kritik Varlıklarla İlişkili Bilgi İşlem Altyapısının İncelenmesi – Analiz takımı kritik varlıkları destekleyen sistem yollarını analiz eder, bunların teknoloji ile ilişkili işlemlerinin ne kadar iyi seviyede bu varlıkları koruduğunu kontrol eder.
· Aşama 3: Güvenlik Stratejisi ve Planlarının Geliştirilmesi – Bu aşamada, kritik varlıkların karşılaşabileceği riskler değerlendirilir ve organizasyonel güvenlik stratejileri ile risk hafifletme planları tanımlanır.
- İşlem S4: Riskleri Tanımla ve Analiz Et – Analiz takımı tüm aktif riskleri etki, opsiyonellik ve olasılık açısından değerlendirir.
- İşlem S5: Güvenlik Stratejisi ve Hafifletme Planlarının Geliştirilmesi – Takım güvenlik uygulamalarına dayanan organizasyonun bütününü gören bir güvenlik stratejisi ve risk azaltma planı oluşturur.
3.2. Uygun OCTAVE Malzemeleri
Bu metot OCTAVE-S Uygulama Rehberinde dökümante edilmiştir. Bu rehber on sayıdan oluşmaktadır:
Sayı 1: OCTAVE-S’e Giriş – Bu sayıda rehberin nasıl kullanılacağı ve OCTAVE-S hakkında ana tanımlamalar vardır.
Sayı 2: Ön Hazırlık Adımları – Bu sayıda OCTAVE-S değerlendirme için gerekli geçmiş bilgiler ve hazırlanma adımları vardır.
Sayı 3: Metot Rehberi – Bu sayı her bir OCTAVE-S aktivitesi için gerekli detaylı adımlar vardır.
Sayı 4: Organizasyonel Çalışma – Bu sayıda OCTAVE-S sırasında toplanmış ve analiz edilmiş tüm organizasyonel seviye çalışmalar mevcuttur.
Sayı 5: Bilgi için Kritik Varlık Çalışmaları – Bu sayı kritik kaynaklarla ilişkili verilerin bilgi için sınıflandırıldığı çalışmaları içerir.
Sayı 6: Sistem için Kritik Varlık Çalışmaları – Bu sayı kritik kaynaklarla ilişkili verilerin sistem için sınıflandırıldığı çalışmaları içerir.
Sayı 7: Uygulama için Kritik Varlık Çalışmaları – Bu sayı kritik kaynaklarla ilişkili verilerin uygulama için sınıflandırıldığı çalışmaları içerir.
Sayı 8: Kişiler için Kritik Varlık Çalışmaları – Bu sayı kritik kaynaklarla ilişkili verilerin kişiler için sınıflandırıldığı çalışmaları içerir.
Sayı 9: Strateji Planları Çalışmaları – Bu sayı mevcut ve istenilen strateji planlarının ve risk zayıflatma planlarını içeren çalışmalardan oluşmaktadır.
Sayı 10: Örnek Senaryo – Tüm çalışmaları temsil eden örnek bir çalışmayı içermektedir.
4. Metotlar Arasında Seçim Yapmak
OCTAVE Metodu Bilgi teknolojilerinde ve güvenlik konularından biraz anlaması gereken bir analiz takımı için yapılandırılmıştır. Analiz takımı bilgi toplamaya ve analiz etmeye açık, beyin fırtınası yapmaya uygun kişiler arasından seçilmelidir. Diğer yandan, OCTAVE-S daha çok yapısallaştırılmıştır. Güvenlik kavramları OCTAVE-S çalışmalarında oturtulmuş, daha az deneyimli kullanıcılar tarafından kullanılması sağlanmıştır. Deneyimli takımlar OCTAVE-S’i çok kısıtlayıcı bulabilirler; deneyimsiz takımlar ise OCTAVE’ı kullanırken kaybolabilirler.
SEI tarafından her ne kadar iki metot ortaya konmuş olsa da, bazı kullanıcılar iki metodun da ihtiyaçlarını tam olarak karşılamadıklarını düşünebilirler. İkisi arasında belli özelliklerin karma kullanıldığı bir çok metot ortaya çıkarılabilir. Uzmanlaşmış metotlar OCTAVE kriterlerine daha uygundur, OCTAVE’a bağlı değerlendirmeler olarak düşünülürler.
I - Alberts, Christopher and Dorofee, Audrey. OCTAVE Method Implementation Guide v2.0., Pittsburgh, PA:
Software Engineering Institute, Carnegie Mellon University, 2001.
<<A href="[Üye Olmadan Linkleri Göremezsiniz.] f[Üye Olmadan Linkleri Göremezsiniz.]" target=_blank>>.
II - Alberts, Christopher and Dorofee, Audrey. OCTAVE Criteria v2.0., (CMU/SEI2001TR020, ADA 396654).
Pittsburgh, PA: Software Engineering Institute, Carnegie Mellon University, 2001.
<<A href="[Üye Olmadan Linkleri Göremezsiniz.] #0000ff[Üye Olmadan Linkleri Göremezsiniz.]" target=_blank>>.
III - OCTAVE-S OCTAVE’da da uygulanabilecek olasılık versiyonuna sahiptir.
OCTAVE Metodunun ileriki versiyonları büyük ihtimalle bazı seçmeli, etkin olasılık tahmini özelliklerini de içerecektir.
IV - web sitesinden yüklenebilir
([Üye Olmadan Linkleri Göremezsiniz.] f[Üye Olmadan Linkleri Göremezsiniz.])
Bu belgelerde bilgi güvenliği yönetimi için Operasyonel Kritik Tehdit, Varlık ve Zafiyet Değerlendirmesi yaklaşımı anlatılmaktadır. OCTAVE Metodu üçe ayrılabilir:
Büyük Ölçekli İşletmeler için; OCTAVE
Küçük Ölçekli İşletmeler için: OCTAVE-S
Diğer: Bazı organizasyonların ihtiyaç özelliklerine göre hibrid bir metot oluşturulabilir.
Etkin bir bilgi güvenliği risk değerlendirmesi; çalışanların organizasyonlarının günlük tabandaki bilgi işlem altyapısını nasıl kullandıklarını inceleyerek, hem organizasyonel hem de teknolojik konuları kapsayacak şekilde değerlendirir. Değerlendirme herhangi bir güvenlik gelişimi başlangıcı için çok önemlidir; çünkü organizasyonun ilgi güvenlik riskleri için geniş bir görüş sağlar, gelişme için de iyi bir taban oluşturur.
1.1.OCTAVE’ın Tanımı
Bir organizasyona bilgi güvenliği konusunda duyduğu ihtiyaçlara bakıldığında;
- OCTAVE risk-tabanlı stratejik görüş sağlayan ve güvenlik için bir planlama tekniğidir.
- OCTAVE kişi-güdümlüdür; organizasyondaki kişiler organizasyonun güvenlik stratejisinin oluşturulmasından sorumludurlar.
Teknik kişilerin organizasyonun güvenlikle ilgili yapısı hakkındaki bilgisini kullanır, mevcut organizasyon içindeki güvenlik uygulamaları hakkında bilgi edinmek için kullanır.
En kritik varlıklarda oluşabilecek riskler, gelişme sağlanacak alanlar ve organizasyon için güvenlik stratejisi oluştururken kullanılır.
Tipik teknoloji odaklı değerlendirmenin aksine, taktik konularda teknolojik risklere odaklanır ve OCTAVE organizasyonel riskleri hedef alır ve stratejik, uygulamaya dayalı konulara odaklanır. Özel olarak değerlendirilmesi gereken bir çok organizasyon için bu esnek bir değerlendirmedir. OCTAVE uygulanırken, operasyonel (ya da iç) kişiler; şekil 1’de görülen operasyonel risk, güvenlik uygulamaları ve teknolojileri; üç anahtar yönü dengeleyerek organizasyonun güvenlik ihtiyaçlarını belirlerler.
[Üye Olmadan Linkleri Göremezsiniz.]
OCTAVE yaklaşımı iki taraftan yürütülür; operasyonel risk ve güvenlik uygulamaları. Teknoloji sadece güvenlik uygulamaları ile ilişki içinde incelenir, bu da organizasyonun mevcut güvenlik uygulamalarını tekrar gözden geçirmesini sağlar. OCTAVE yaklaşımını kullanarak, organizasyonlar kritik bilgi ile ilişkili varlıklarda güvenilirlik, bütünlük ve zamanında erişilebilirlik gibi bilgi-korumalı kararlar alırlar. Risklerin hepsi (varlıklar, tehditler, zayıflıklar ve organizasyonel etkiler) karar vermeye göre etmenlere ayrılır ve bu da organizasyonun güvenlik risklerinde uygulama tabanlı koruma stratejisi ile uyuşmasını (eşleşmesini) sağlar.
Tablo 1’de OCTAVE ve diğer değerlendirmeler arasındaki ana farklılıklar özetlenmektedir.
Tablo 1: OCTAVE ve Diğer Yaklaşımlar Arasındaki Anahtar Farklılıklar
OCTAVE Diğer Yaklaşımlar Organizasyonel Değerlendirme Sistem Değerlendirmesi Güvenlik Uygulamalarına Odaklanma Teknolojiye Odaklanma Stratejik Konular Taktik Konular Kişi güdümlü Uzman güdümlü
1.1.1. OCTAVE Yaklaşımının Ana Özellikleri
Organizasyonun değerlendirme sürecini yönetebilmesi ve bilgi güvenliğine dayalı kararlar verebilmesi için, OCTAVE kişi güdümlüdür. Analiz takımı denilen organizasyon içinden bir takım değerlendirmeyi yürütür. Takımdaki kişiler hem iş birimlerinden hem de IT bölümünden seçilirler, çünkü her iki bakış da bilgi güvenlik risklerine global ve organizasyonel bakış için önemlidir.
OCTAVE varlık-güdümlü bir değerlendirme yaklaşımıdır. Analiz takımları:
- Bilgi ile ilişkili, organizasyon için önemli varlıkları tanımlarlar (ör: bilgi ve sistemleri).
- Organizasyon için en kritik durumda değerlendirilen varlıkların risk analizi aktiviteleri üzerine odaklanırlar.
- Bu kritik varlıkların birbirleri ile olan ilişkilerini, bu varlıklar üzerindeki tehditleri ve bu tehditlere karşı varlıkları korumasız bırakacak zayıflıkları (hem organizasyonel hem teknolojik) değerlendirirler.
- Operasyonel bağlamdaki riskleri organizasyonun işlerine aktarımda nasıl kullanılacaklarını, güvenlik tehditlerine bağlı bu varlıkların nasıl bir risk altında olduklarını değerlendirirler.
- Organizasyonun kritik varlıklarındaki risklerini azaltmaya yönelik planların yanında organizasyonel gelişim için uygulama tabanlı koruma stratejileri oluştururlar.
Bilgi güvenliği risk değerlendirmesi organizasyonel, teknolojik ve analiz yönlerinden üç aşamalı bir yaklaşımla tamamlanır. OCTAVE bu üç temel aşamayı organizasyondaki çalışanların bu üçünü birleştirerek bilgi güvenlik ihtiyaçlarını bütün olarak görebilmesini sağlar (Şekil 2. de gösterilmektedir).
Bu aşamalar:
Aşama 1: Varlık Tabanlı Tehdit Profilleri Oluşturmak – Bu organizasyonel bir değerlendirmedir. Analiz takımı organizasyon içinde nelerin önemli olduğunu değerlendirir (bilgi-ilişkili varlıkları) ve bu varlıkların korunması ile ilgili mevcut sistemde ne yapıldığını belirlerler. Daha sonra takım organizasyon için en önemli olan varlıkları (en kritik varlıklar) seçerler ve her kritik varlık için güvenlik gereksinimlerini tanımlarlar. Sonunda, her kritik varlığın maruz kalabileceği tehdidi, her kritik varlık için bir tehdit profili oluşturarak belirlerler.
Aşama 2: İç Yapıdaki Zayıflıkların Belirlenmesi – Bu aşamada alt yapı sisteminin değerlendirmesi yapılır. Analiz takımı her kritik varlıkla bağlantılı olan bilgi teknolojisi bileşenlerinin sınıflarını tanımlayarak network kullanım yollarını inceler. Takım daha sonra her bileşen sınıfının dayanıklı olduğu network saldırılarının derecelerini belirler.
Aşama 3: Güvenlik Strateji ve Planları Geliştirmek – Değerlendirmenin bu aşamasında, analiz takımı organizasyonun kritik varlıkları üzerindeki riskleri tanımlar ve bunlarla ilgili neler yapacağına karar verir. Takım organizasyon için bir koruma stratejisi oluşturur ve bilgi analizi kısmında toplanmış bilgiler doğrultusunda kritik varlıklara olan riskleri en aza indirmek için planlar hazırlar.
[Üye Olmadan Linkleri Göremezsiniz.]
.2. OCTAVE Kriterleri
OCTAVE Yaklaşımı için gerekli elementler ve ihtiyaçlar bir kriterler setinde toplanmıştır(I). Bu kriterlere dayanan bir çok metot olabilir, fakat sadece bir takım OCTAVE Kriterleri Seti mevcuttur. Bu noktada, kriterlere dayanan iki metot geliştirilmiştir. OCTAVE Metodu, OCTAVE Metot Uygulama Rehberinde dokumante edilmiştir (II), büyük organizasyonlar için tasarlanmıştır, OCTAVE-S ise küçük organizasyonlar için tasarlanmıştır.
Buna ek olarak, bazıları bu kriterlere dayanan özel içerikli metotlar oluşturabilirler. Şekil 3’te bu noktalar vurgulanmaktadır.
[Üye Olmadan Linkleri Göremezsiniz.]
OCTAVE Kriterleri prensipler, eğilimler ve çıktılardan oluşur: Prensipler değerlendirmenin doğasını oluşturan ana konulardır, değerlendirme sürecinde arka plandaki felsefeyi tanımlar. Değerlendirme adımını şekillendirir ve değerlendirme işlemi için taban hazırlarlar. Örneğin kişi güdümlülük OCTAVE’ın prensiplerinden biridir. Kişi güdümlülük kavramı organizasyon içindeki kişilerin değerlendirme yapmak ve karar almak için en uygun oldukları düşünülür.
Değerlendirmenin gereklilikleri niteliklerle ve çıktılarla somutlaştırılır.
Nitelikler değerlendirmenin ayrık özellikleri ya da karakteristikleridir.
Bunlar OCTAVE Yaklaşımının ana elemanlarını belirlemek için gerekli ihtiyaçlardır ve hem süreç hem de organizasyonel perspektiften bakıldığında değerlendirmenin başarılı olabilmesi için gereklidirler.
Nitelikler OCTAVE Prensiplerinden çıkartılırlar. Örneğin, OCTAVE’ın özelliklerinden biri de iç disiplinden oluşturulan takımın organizasyonu yürüten kişiler tarafından oluşturulmasıdır. Bu analiz takımının oluşturulmasının prensibinin arkasında kişi güdümlülük yatar.
Sonunda, çıktılar değerlendirmenin her aşamasının sonucu olarak gereklidirler. Analiz takımının her aşama sonunda ulaşacağı çıktıları tanımlarlar. OCTAVE’ın çıktılarını üretebilecek bir set aktiviteden fazla vardır; bu sebepten dolayı özel bir takım aktiviteler belirtilmez. Çıktılar analiz takımının izlediği üç aşama sonunda ulaşması gereken sonuçları tanımlarlar. Tablo 2 ve 3’te prensipler, aktiviteler, ve OCTAVE Yaklaşımı çıktıları listelenmiştir.
Tablo 2. Octave Prensipleri ve Aktiviteleri
Prensip Nitelik Kişi Güdümlülük RA.1 Analiz Takımı
RA.2 Analiz Takımı Yeteneklerini Artırmak Uyumlandırılabilir Ölçüler RA.3 Uygulama Kataloğu
RA.4 Dosyalanmış Değerlendirme Sonuçları
RA.5 Değerlendirme Sahası Tanımlanmış Süreç RA.6 Tanımlanmış Değerlendirme Aktiviteleri
RA.7 Dosyalanmış Değerlendirme Sonuçları
RA.8 Değerlendirme Sahası Sürekli bir Sürecin Kurulması RA.9 Takip eden Adımlar
RA.3 Uygulama Kataloğu İleriye Bakış RA.10 Riske Odaklanma Kritik Noktalara Odaklanma RA.8 Değerlendirme Sahası
RA.11 Odaklanmış Aktiviteler Bütünleştirilmiş Yönetim RA.12 Organizasyonel ve Teknik Konular
RA.13 İş ve Bilgi Teknolojileri Katılımı
RA.14 Üst Yönetim Katılımı Açık İletişim RA.15 İşbirlikçi Yaklaşım Global Bakış Açısı RA.12 Organizasyonel ve Teknik Konular
RA.13 İş ve Bilgi Teknolojileri Katılımı Takım Çalışması RA.1 Analiz Takımı
RA.2 Analiz Takımı Yeteneklerinin Geliştirilmesi
RA.13 İş ve Bilgi Teknolojileri Katılımı
RA.15 İşbirlikçi Yaklaşım
Tablo3. OCTAVE Çıktıları
Aşama Çıktı Aşama 1 RO1.1. Kritik Varlıklar
RO1.2 Kritik Varlıklar için Güvenlik İhtiyaçları
RO1.3 Kritik Varlıklara Olan Tehditleri
RO1.4 Mevcut Güvelik Uygulamaları RO1.5 Mevcut Organizasyon Zayıflıkları Aşama 2 RO2.1 Anahtar Bileşenler
RO2.2. Mevcut Teknolojik Zayıflıklar Aşama 3 RO3.1 Kritik Varlık Riskleri
RO3.2 Risk Ölçütleri
RO3.3. Koruma Stratejisi
RO3.4 Risk Azaltma Planları
1.3. OCTAVE Sürekliliğin bir Parçasıdır
OCTAVE mevcut bilgi güvenliği risklerini zamana ya da altyapıya kısa bir bakış atarak aktivitelerin azaltılması ve geliştirilmesi için organizasyona geniş bir bakış sağlar. OCTAVE sırasında analiz takımı şu aktiviteleri yürütür:
· Organizasyonun bilgi güvenlik risklerinin tanımlanması
· Önceliklerine belirlenmesi için risk analizi
· Organizasyonun gelişimi ve risk azaltma planları ile organizasyonun kritik varlıklarına gelebilecek riskleri en aza indirmek için koruma stratejileri geliştirmek
Bir organizasyon planlarını uygulamadıkça gelişemeyecektir. Devamda görülen ilerleme aktiviteleri OCTAVE tamamlandıktan sonra uygulanmıştır.
Detaylı hareket planları geliştirerek güvenlik stratejileri ve risk azaltma planlarının nasıl uygulanacağını planlamak
Detaylı hareket planlarını uygulamak
Etkinlik ve plana uygunluk açısından hareket planlarının görüntülenmesi
(Bu aktivite herhangi bir değişikliğe karşı risklerin görüntülenmesini de içerir).
Uygun düzeltici hareketleri yaparak planlardaki değişimleri kontrol etmek
Bilgi güvenlik risklerinin yönetilebilmesi için bilgi güvenliği risk değerlendirmesi organizasyonu aktivitelerinin bir parçası olmalıdır. OCTAVE bir değerlendirme aktivitesidir, sürekli bir süreç değildir; başlangıç ve sonu tanımlanmıştır. Şekil 4’te bu aktiviteler arasındaki ilişkiler ve OCTAVE’a uyduğu yönler gösterilmiştir.
[Üye Olmadan Linkleri Göremezsiniz.]
Bir organizasyon belli aralıklarla başka bir OCTAVE’ı uygulayabilmek için tabanını sıfırlamalıdır (resetlemelidir). Değerlendirmeler arasındaki süreler önceden belirlenebilir (ör: yıllık) ya da büyük olaylarla tetiklenebilir (Ör: Kurumsal organizasyon yapısının yeniden düzenlenmesi ya da organizasyon işlem altyapısının tekrar tasarlanması). Değerlendirmeler arasında organizasyonlar periyodik olarak yeni riskler belirleyebilirler, bu riskleri mevcut risklerle ilişkilendirerek analiz edebilir ve risk zayıflatıcı planlar geliştirebilirler.
2. OCTAVE Metodu
OCTAVE Metodu başta 300 ve daha fazla çalışanı olan büyük organizasyonlar için tasarlanmıştır. OCTAVE metodunu kullanırken işletmenin ölçeği düşünülecek tek kriter değildir. Büyük işletmeler genellikle çok katlı hiyerarşik yapıya sahip olurlar ve genelde ayrık ya da coğrafik olarak dağılmış olurlar. Hangi bilgi ile bağlantılı varlıkların önemli olduğunu, nasıl kullanıldıklarını, nasıl tehdit edildiklerini belirlemek için yapılan resmi veri toplama aktiviteleri OCTAVE’ı aktarmada önemli bir rol oynarlar. Son olarak, büyük bir işletme kendi işlem altyapısını ve hassas değerlendirme araçlarını kullanabilecek, kritik varlıkları ile ilişkili sonuçları çıkarabilecek duruma gelir.
2.1.OCTAVE Metodu Süreci
OCTAVE metodu üç ana aşamadan oluşur:
· Aşama 1: Varlık Tabanlı Tehdit Profillerinin Oluşturulması – Bu aşamanın iki ana fonksiyonu organizasyondan bilgi toplamak ve kritik varlıklar için tehdit profillerinin oluşturulmasıdır.
- İşlem 1: Üst Düzey Yönetim Bilgilerinin Tanımlanması – Analiz takımı önemli varlıklar, güvenlik ihtiyaçları, tehditler ve mevcut organizasyonel güçlülükler ve zayıflıklar hakkında üst düzey yönetimden bilgi toplarlar.
- İşlem 2: Operasyonel Düzeyin Bilgilerinin Tanımlanması - Analiz takımı önemli varlıklar, güvenlik ihtiyaçları, tehditler ve mevcut organizasyonel güçlülükler ve zayıflıklar hakkında operasyonel düzey yönetimden bilgi toplarlar.
- İşlem 3: Personel Bilgilerinin Tanımlanması - Analiz takımı önemli varlıklar, güvenlik ihtiyaçları, tehditler ve mevcut organizasyonel güçlülükler ve zayıflıklar hakkında seçilmiş alanlardaki sıradan çalışanlardan ve IT çalışanlarından bilgi toplarlar.
- İşlem 4: Tehdit Profillerinin Oluşturulması – Analiz takımı üç ile beş arasında kritik bilgi ile ilişkili varlıkları seçer ve bu varlıklar için tehdit profillerini tanımlarlar.
· Aşama 2: Altyapı Zayıflıklarının Tanımlanması – Bu aşama sırasında, analiz takımı sistemin teknolojik zayıflıkları açısından kritik varlıkları destekleyen anahtar bileşenleri değerlendirirler.
- İşlem 5: Anahtar Bileşenlerin Tanımlanması – Kritik bilgi ile ilişkili varlıkları destekleyen sistemlerden alınan temsili bir anahtar bileşen kümesi tanımlanır ve bunları değerlendirmek için bir yaklaşım belirlenir.
- İşlem 6: Seçilen Bileşenlerin Değerlendirilmesi – Seçilen bileşenlerin değerlendirilmesi için araçlar çalıştırılır ve kritik varlıklar için tehdit profillerinin tekrar gözden geçirilmesi için sonuçlar analiz edilir (network yollarındaki tehditler).
· Aşama 3: Güvenlik Stratejileri ve Planlarının Geliştirilmesi – Bu aşamanın ana amacı kritik varlıklara olan risklerin belirlenmesi ve organizasyonel güvenlik stratejileri ile risk azaltma planlarının oluşturulmasıdır.
- İşlem 7: Risk Analizinin Aktarımı – Etki değerlendirme kriterlerinden oluşturulan organizasyonel bir küme kritik varlıklar üzerindeki tehditlerin etkisi değerini (yüksek, orta ya da düşük) belirlemek tanımlanır.Aktif tüm riskler etkiye göre değerlendirilirler. Bu metoda olasılık dahil değildir, fakat istenirse eklenebilir.3
- İşlem 8: Güvenlik Stratejisi Geliştirilmesi - Takım organizasyonun güvenlik uygulamaları ile kritik varlıklara olan riskler için hafifletme planları geliştirmek için organizasyon bütününde güvenlik stratejisi geliştirirler.
2.2 OCTAVE Metodunu Destekleyen Uygun Malzemeler
OCTAVE Metodu "OCTAVE Metot Uygulama Rehberi"nde dökümante edilmiştir (IV). Bu rehber hem Microsoft Word hem de Powerpoint’ten oluşan 18 sayıdan oluşmaktadır. Listede her bir sayının içerikleri özet olarak açıklanmıştır:
Sayı 1: Giriş: BU sayı OCTAVE’ın tanımını içerir, rehberin nasıl kullanılacağı, analiz takımına yol gösterecek açıklamalar ve geri adımla kontrol etmek için formu içerir.
Sayı 2: Ön hazırlık Aktiviteleri: BU sayıda OCTAVE’da yapılacak için yapılacaklar gösterilmektedir. Analiz takımı ve katılımcıların seçilmesi, programlama ve lojistik gibi aktiviteleri içerir. Bu sayıda aynı zamanda yüksek seviyede uzman rehberi ve üst düzey yöneticiler ile katılımcılar için özetler de bulunmaktadır.
Sayı 3-12: OCTAVE Süreci: Bu sayılarda OCTAVE Metodunun üç aşaması ve sekiz işlemi hakkında bilgi verilmektedir.
Sayı 13: Değerlendirmeden Sonra: Bu sayıda rehberin kısa bir bölümü olan değerlendirme aşamasından sonra yapılmasına dair bir örnek bulunmaktadır.
3. OCTAVE-S
OCTAVE –S yirmi ile seksen arasında çalışana sahip olan küçük ölçekli işletmeler için geliştirilmiş ve test edilmiştir. Üç ile beş arasında kişiden oluşan bir takımın tüm değerlendirme aktivitelerini formal veri toplama aktiviteleri haricinde yapabilecek organizasyonlar için tasarlanmıştır.
Örneğin, iki yüz kişilik tek bir alanda kurulu bir işletmede beş kişilik bir takım oluşturulabilir ve organizasyonun tümü yeterli şekilde değerlendirilebilir. Diğer bir yandan farklı bölgelerde çalışanları olan doksan kişilik bir organizasyon, OCTAVE Metodu ile veri toplamayı daha rahat yapabilir.
OCTAVE-S’in ayırıcı özelliklerinden biri de Aşama 2’de bilgi işletme altyapısının değerlendirilmesidir. Küçük ölçekli işletmeler bilgisayar sistemlerinin bakımını genellikler dışarıya yaptırırlar. Bu işletmeler için, değerlendirme araçlarını çalıştırmak ve kaynaklarını inceleyerek sonuçlara ulaşmak ağır bir iş olabilir. OCTAVE-S bu tip bir analizi tanımlamaktadır,
fakat Aşama 2’de OCTAVE-s kısaltılmış bir muayene ve güvenli bir organizasyonun bilgi işlem altyapısını güvenli hale getirmek için kullanılan süreçlerin tekrarını içerir.
OCTAVE-S aynı zamanda olasılığın seçimli versiyonunu da içerir. Yalnız bunun için önceki güvenlik olayları ve problemler hakkında bilgi sahibi olan aynı zamanda da yetkin bilgiye sahip olan bir kullanıcı gerekebilir.
3.1. OCTAVE-S Süreci
OCTAVE yaklaşımında olduğu gibi OCTAVE-S’te de üç aşama vardır. Sadece aşamalar bazı yönlerden farklılık göstermektedir.
· Aşama 1: Varlık Tabanlı Tehdit Profillerinin Oluşturulması – Bu aşamada, organizasyonel bilgi tanımlanır ve kritik bilgi ile ilişkili varlıklar için üç ile beş arası tehdit profili belirlenir.
- İşlem S1: Organizasyonel Bilginin Tanımlanması – Analiz takımı organizasyonun varlıklarla ilişkili önemli bilgilerini tanımlar, bunun için etkili değerlendirme kriterleri oluşturur ve organizasyonun mevcut güvenlik uygulamalarını tanımlar.
- İşlem S2: Tehdit Profillerinin Oluşturulması – Analiz takımı üç ile beş arasında varlıklarla alakalı kritik bilgileri seçer, bunlar için güvenlik ihtiyaçlarını ve tehdit profillerini belirlerler.
· Aşama 2: Altyapı Yetersizliklerinin Tanımlanması – Bu aşamada, analiz takımı altyapıyı yüksek seviyede inceler ve tehdit profillerini güncellemek için teknoloji ile ilişkili uygulamaları kullanırlar.
- İşlem S3: Kritik Varlıklarla İlişkili Bilgi İşlem Altyapısının İncelenmesi – Analiz takımı kritik varlıkları destekleyen sistem yollarını analiz eder, bunların teknoloji ile ilişkili işlemlerinin ne kadar iyi seviyede bu varlıkları koruduğunu kontrol eder.
· Aşama 3: Güvenlik Stratejisi ve Planlarının Geliştirilmesi – Bu aşamada, kritik varlıkların karşılaşabileceği riskler değerlendirilir ve organizasyonel güvenlik stratejileri ile risk hafifletme planları tanımlanır.
- İşlem S4: Riskleri Tanımla ve Analiz Et – Analiz takımı tüm aktif riskleri etki, opsiyonellik ve olasılık açısından değerlendirir.
- İşlem S5: Güvenlik Stratejisi ve Hafifletme Planlarının Geliştirilmesi – Takım güvenlik uygulamalarına dayanan organizasyonun bütününü gören bir güvenlik stratejisi ve risk azaltma planı oluşturur.
3.2. Uygun OCTAVE Malzemeleri
Bu metot OCTAVE-S Uygulama Rehberinde dökümante edilmiştir. Bu rehber on sayıdan oluşmaktadır:
Sayı 1: OCTAVE-S’e Giriş – Bu sayıda rehberin nasıl kullanılacağı ve OCTAVE-S hakkında ana tanımlamalar vardır.
Sayı 2: Ön Hazırlık Adımları – Bu sayıda OCTAVE-S değerlendirme için gerekli geçmiş bilgiler ve hazırlanma adımları vardır.
Sayı 3: Metot Rehberi – Bu sayı her bir OCTAVE-S aktivitesi için gerekli detaylı adımlar vardır.
Sayı 4: Organizasyonel Çalışma – Bu sayıda OCTAVE-S sırasında toplanmış ve analiz edilmiş tüm organizasyonel seviye çalışmalar mevcuttur.
Sayı 5: Bilgi için Kritik Varlık Çalışmaları – Bu sayı kritik kaynaklarla ilişkili verilerin bilgi için sınıflandırıldığı çalışmaları içerir.
Sayı 6: Sistem için Kritik Varlık Çalışmaları – Bu sayı kritik kaynaklarla ilişkili verilerin sistem için sınıflandırıldığı çalışmaları içerir.
Sayı 7: Uygulama için Kritik Varlık Çalışmaları – Bu sayı kritik kaynaklarla ilişkili verilerin uygulama için sınıflandırıldığı çalışmaları içerir.
Sayı 8: Kişiler için Kritik Varlık Çalışmaları – Bu sayı kritik kaynaklarla ilişkili verilerin kişiler için sınıflandırıldığı çalışmaları içerir.
Sayı 9: Strateji Planları Çalışmaları – Bu sayı mevcut ve istenilen strateji planlarının ve risk zayıflatma planlarını içeren çalışmalardan oluşmaktadır.
Sayı 10: Örnek Senaryo – Tüm çalışmaları temsil eden örnek bir çalışmayı içermektedir.
4. Metotlar Arasında Seçim Yapmak
OCTAVE Metodu Bilgi teknolojilerinde ve güvenlik konularından biraz anlaması gereken bir analiz takımı için yapılandırılmıştır. Analiz takımı bilgi toplamaya ve analiz etmeye açık, beyin fırtınası yapmaya uygun kişiler arasından seçilmelidir. Diğer yandan, OCTAVE-S daha çok yapısallaştırılmıştır. Güvenlik kavramları OCTAVE-S çalışmalarında oturtulmuş, daha az deneyimli kullanıcılar tarafından kullanılması sağlanmıştır. Deneyimli takımlar OCTAVE-S’i çok kısıtlayıcı bulabilirler; deneyimsiz takımlar ise OCTAVE’ı kullanırken kaybolabilirler.
SEI tarafından her ne kadar iki metot ortaya konmuş olsa da, bazı kullanıcılar iki metodun da ihtiyaçlarını tam olarak karşılamadıklarını düşünebilirler. İkisi arasında belli özelliklerin karma kullanıldığı bir çok metot ortaya çıkarılabilir. Uzmanlaşmış metotlar OCTAVE kriterlerine daha uygundur, OCTAVE’a bağlı değerlendirmeler olarak düşünülürler.
I - Alberts, Christopher and Dorofee, Audrey. OCTAVE Method Implementation Guide v2.0., Pittsburgh, PA:
Software Engineering Institute, Carnegie Mellon University, 2001.
<<A href="[Üye Olmadan Linkleri Göremezsiniz.] f[Üye Olmadan Linkleri Göremezsiniz.]" target=_blank>>.
II - Alberts, Christopher and Dorofee, Audrey. OCTAVE Criteria v2.0., (CMU/SEI2001TR020, ADA 396654).
Pittsburgh, PA: Software Engineering Institute, Carnegie Mellon University, 2001.
<<A href="[Üye Olmadan Linkleri Göremezsiniz.] #0000ff[Üye Olmadan Linkleri Göremezsiniz.]" target=_blank>>.
III - OCTAVE-S OCTAVE’da da uygulanabilecek olasılık versiyonuna sahiptir.
OCTAVE Metodunun ileriki versiyonları büyük ihtimalle bazı seçmeli, etkin olasılık tahmini özelliklerini de içerecektir.
IV - web sitesinden yüklenebilir
([Üye Olmadan Linkleri Göremezsiniz.] f[Üye Olmadan Linkleri Göremezsiniz.])