Şub 23
Bilgi Güvenliği Yönetim süreci farkındalığına sahip olan kurumlar, bilgi teknolojilerinde kullanılan varlıklarını belirlemek (Envanter çalışması v.b.), kategorize etmek (finansal açıdan, iş süreçlerindeki önemi açısından v.b. ) durumundadır. Bu aşamadan sonra, bu varlıkları tehditler ile ilişkilendirmek gerekir. Ayrıca tehditlerin olasılık oranı ölçülmelidir. Bu yönetim sistemi, risk değerlendirmesi çalışmasının en önemli bölümünü oluşturur. Çalışma sonucunda hangi bilgi teknoloji varlığı, hangi risklere karşı korunmalıdır sonucu ortaya çıkacaktır.
Bilgi Güvenliği kapısındaki bu paylaşım ortamında, Bilgi Güvenliği Yönetim Sistemi proje grupları aşağıdaki tehdit listesini geliştirebilir veya bu hali ile kullanabilirler.
| TEHDİT LİSTESİ |
| İş ile ilgili tehditler: Finansal Zayıflıklar, İflas, Market Problemleri |
| Log Dosyalarının yanlışlıkla yada kasten değiştirilmesi |
| Yedekleme Medyalarında bozulma |
| Gizli Kanallardan Bilgi Sızdırılması |
| Kaza veya arızalardan oluşabilecek hasar |
| Kablo hasarları |
| Disipline edilmemiş aksiyonlar veya tehditin farkedilemesi |
| Hizmet kesintisi tehdidi |
| Ekipmanın tahrip edilmesi tehdidi |
| Gizli Bilginin Ortaya Çıkması |
| Şifreleme anahtarının ele geçirilmesi |
| Bilginin ele geçirilmesi |
| Tozlanma, kirlenme |
| Çevresel kirlilikten (gürültü, haberleşme dahil) etkilenme |
| Çevresel felaketler |
| Güvenlik politikası içerisinde hatalar ve unutmalar |
| Destek servislerinin kesintisi |
| Yangın |
| Su taşması, su basması |
| Kötü niyetle istifade (Fraud) |
| Hardware arızası |
| Rutubet ve aşırı sıcaklık |
| Kanıt toplanmasının sağlanamaması |
| Hatalı bilgi girişi |
| Hatalı bilgi çıkışı |
| Şifreleme anahtarının/algoritmasının yetersiz duzeyde olması |
| Kriptografi (Şifreleme ) politikası eksikliği |
| Bilgi alışverişindeki yetersiz anlaşmalar |
| Bilginin sınıfılandırılması hatası |
| Kaza/Arıza bilgilendirme eksikliği |
| Kaza/Arıza yönetiminin ele alınışında zayıflıklar |
| Veri medyalarının elden çıkarılması sırasında güvenlik eksikliği |
| Yetersiz ve test edilmemiş veri yedekleri |
| Yetersiz Güvenlik Yönetimi Önlemleri |
| İş aktivitelerinin Kesintisi |
| İş Sürekliliği Plan Zayıflıklıkları, Prosedürel ve Yönetimsel Eksiklikler |
| Çalışanın bil güv. farkındalığında zayıflık |
| Arıza/Kaza bildirimlerinde çalışanlarda farkındalık eksikliği |
| Bilgi Kaybı |
| Hizmet Kaybı |
| Kötü Niyetli Yazılımlar (Virus, Trojan, worm v.b.) |
| Yanlış ve yeniden yönlendirilen mesajlar (re-route, mis) |
| Yanlış yere dial edilme, yanlış yere faks gönderme |
| Audit veya sistem tool'larının yanlış kullanılması |
| Bilgi işlem olanaklarının yetkisiz veya yanlış kullanımı |
| Sistem geliştirmede karışık ve anlaşılmayan testler |
| Yasal düzenlemelerle uyumsuzluk |
| Güvenlik kontrolleri ile uyumsuzluk |
| Operasyonel zorluklar, tedarik zincirinde eksiklik, yoğun işgücü |
| Unutulmuş erişim hakları |
| Gizli dinleme |
| Fiziksel müdahele |
| Güç sağlayıcı, klima arızaları, elektiriksel anaomaliler |
| Kuruma ait bilgilerin özel amaçlarla kullanımı |
| Bilgi işlem süreç hataları |
| Onaylanmamış doğru olmayan bilginin yayınlanması |
| İnkar |
| Internet, email, elektronik ticaret riskleri |
| Teleworking (tele satış) riskleri |
| Çalışanın güvenlik ihlaleri |
| Dış kaynakla ilgili güvenlik ihlaleri (destek firmaları) |
| Güvenlik politikası ile ilgili ihlaller |
| İştirakler, 3.parti kuruluşların yönetimi ile ilgili güvenlik ihlalleri |
| Sistem hataları |
| Bilgi hırsızlığı |
| Ekipman ve medya hırsızlığı |
| Onaylanmamış ve test edillmemil bilgi sistem değişiklikleri |
| Bilgisayara yetkisiz erişim |
| Ekipmana yetkisiz erişim |
| Bilgiye yetkisiz erişim |
| Mobil Ekipmana yetkisiz erişim |
| Network ve network servislerine yetkisiz erişim |
| Taşıma sırasında yedekleme medyasına gizli ulaşım veya kopyalama |
| Yazılım kaynak kitaplığına yetkisiz erişim |
| Sistem dökümanlarına yetkisiz erişim |
| Mesajların değiştirilmesi veya mesajlara yetkisiz erişim |
| Bilgi Sistem süreçlerine yetkisiz erişim |
| Yazılım lisans bilgilerini yetkisiz kopyalama |
| Yetkisiz yazılım kurma veya yazılımda değişiklik |
| Yetkisiz olduğu halde bilgiyi değiştirme |
| Yetkisiz fiziksel erişim |
| Yetkisiz olduğu halde medyanın veya yazılımın silinmesi |
| Bilgiye ulaşılamama durumu |
| Bilgi işlem süreçlerine ulaşılamama durumu |
| Personele ulaşılamama durumu |
| Kaynaklara ulaşılamama |
| Servizlere ulaşılamama |
| Sorumlulukların yanlış kişiye aktarılması veya kaldırılamaması |
| İşletim ortamında kontol dışı değişiklikler |
| Zayıf gözlem nedeniyle tespit edilemeyen güvenlik zaafları |
| Uygun olmayan kimlik tanıma mekanizması (authenticate) |
|
Kullanıcı hataları Ersun Bayraktaroğlu |
Son Yorumlar