TOPIC:

Bilgi Güvenliği Yönetim Sistemlerinde risk yönetimi, risk analizi ve risk tedavisi olarak ikiye ayrılmaktadır. Risk analizi, Şekil-1’de görüldüğü gibi dört alt adımdan oluşmakta olup bu alt adımların ilki varlık envanterinin oluşturulmasıdır. Varlık envanteri oluşturmanın alt adımlarından ikisi ise varlıkların ve varlıkların değerlerinin belirlenmesi adımlarıdır. (Gizlilik, bütünlük ve erişilebilirlik boyutları ise risk değerlendirmesi aşamasında her risk için ayrı ayrı belirlenir). Yazılım, donanım vb. varlıkların değerlerini etkileyen başlıca etken bu varlıkların kritik bilgi varlıkları ile nasıl bir ilişki içinde olduklarıdır. Bu ilişkiler doğru olarak belirlenirse risklerin hesaplanması ve alınması gereken önlemlerin belirlenmesi adımları da en doğru şekilde gerçekleştirilebilir.

Bu yazımızda hem bilginin diğer varlıklarla ilişkisini incelemeye, hem de bu ilişkileri en güzel şekilde yansıtan varlık envanteri formatını geliştirmeye çalışacağız.

Risk Analizi ve Varlık Envanteri
Risk analizi, Bilgi Güvenliği Yönetim Sistemi (BGYS) sürecinin hemen başında, planlama aşamasında gerçekleştirilen bir işlemdir. Risk analizi çalışmasının gerçekçi ve detaylı bir biçimde yapılmaması halinde ardından gelen adımların da kuruma hizmet etme şansı kalmayacaktır. Dolayısı ile risk analizini inşa edilmekte olan bir binanın temeline benzetmek ve BGYS’nin en kritik aşamalarından biri olduğunu söylemek yanlış olmaz.

Risk analizi, ardından gerçekleştirilen risk tedavisi ile birlikte Risk Yönetimi olarak adlandırılmaktadır. Risk yönetimini oluşturan tüm aşama ve adımlar Şekil-1’de verilmiştir.

resim-1.jpg
Şekil-1: Risk yönetimi aşamaları

Risk analizi kendi içinde varlık envanterinin oluşturulması, varlıkların açıklıklarının belirlenmesi, bu açıklıkları kullanabilecek tehditlerin belirlenmesi ve risklerin belirlenmesi alt adımlarından oluşmaktadır [1].

Şekil-2’de varlık, tehdit, karşı önlem ve risk kavramlarının birbirini nasıl etkilediği gösterilmiştir.

resim-2.jpg
Şekil-2: Varlık, tehdit, karşı önlem ve risk kavramlarının etkileşimi

Varlık envanteri oluşturulması adımı ise varlık türlerinin belirlenmesi, varlıkların belirlenmesi, varlıkların sahiplerinin, değerlerinin ve diğer çeşitli özelliklerinin belirlenmesi ve kaydedilmesi ile gerçekleştirilir [2].

Bilgi Varlıkları Arasındaki Bağımlılıklar
Bilgi varlıklarının değerlerini belirleme aşamasında kimi bilgi varlığının değerinin diğer bir varlığının değerine bağımlı olduğu rahatlıkla gözlenebilmektedir [3, 4, 5]. Bu bağımlılıkların doğru olarak anlaşılması ve göz önünde bulundurulması bilgi varlıkları envanterinin en iyi şekilde hazırlanmasına yardımcı olacaktır.

Şimdi varlıklar arasındaki bağımlılıkların neler olduğuna ilişkin görüşler geliştirmeye ve bu görüşleri açıklamaya çalışacağız.

Bilgi güvenliği iyi pratiklerine dayanarak bağımlılık konisini inşa ettik. Şekil-3’te koninin yandan görünümü, Şekil-4’te ise koninin üstten görünümü verilmiştir.

resim-3.jpg
Şekil-3: Bağımlılık konisi (yandan bakış)

resim-4.jpg
Şekil-4: Bağımlılık konisi (üstten bakış)

Koniye üstten bakıldığında en iç katmanda bilginin, bu katmanın dışında sırasıyla yazılım, donanım ve teçhizat katmanlarının yer aldığı görülmektedir. En dıştaki üç katmanda ise sistem odası, bina ve yerleşke katmanları bulunmaktadır.

Genel olarak iç katmandaki varlık grubunun değerlerinin dış katmandaki varlık grubunun değerlerini etkilediği söylenebilir. Bir başka deyişle, dış katmandaki varlık gruplarının değerleri, iç katmandaki varlık grubunun değerlerine bağlıdır. Böylece merkezde yer alan bilginin tüm bilgi varlıklarının kalbi olduğu ve diğer varlıkların değeri üstünde belirleyici etki yarattığını da görmüş oluyoruz.

Varlık Envanterinin Grafik ve Ağaç Formlarında İfade Edilmesi
Varlık envanteri oluşturma ile ilgili yöntemler çeşitli çalışmalarda ele alınmıştır [6, 7]. Biz ise bilgi varlıklarının konumlarını ve bağımlılıklarını göz önünde bulundurarak varlık envanterini sırasıyla “grafik”, “ağaç” ve “tablo” formlarında ifade edeceğiz.

Şekil 4’deki bağımlılık konisinden ve varlıkların fiziksel konumlarından hareketle, iki ayrı yerleşkede binaları olan bir kurumun varlık envanterini içeren bir grafik üretebiliriz (Şekil-5).

resim-5.jpg
Şekil-5: Bir kuruma ait varlık envanterinin grafik formunda ifadesi

ISO 27002 standardı bilgi varlıkları varlık envanterine girilirken her varlık için konum bilgisinin de belirtilmesini önermektedir. Bir varlığın konum bilgisi, dış katmanlardan iç katmanlara doğru ilerledikçe detaylanacak ve içinde yer aldığı bilgi varlıklarının hangileri olduğuna ilişkin bilgiyi de içerecek şekilde düzenlenebilir. Şekil 6’da kuruma ait varlıklar ağaç formunda ifade edilirken varlık ismi olarak konum bilgileri kullanılmıştır.

Şekil 6’da hem bilgi, yazılım, donanım vb. tüm katmanlarda yer alan varlıklar gösterilmiş, hem de varlıklar arasındaki bağımlılıklar belirtilmiştir. Bağımlılık konisinde en altta yer alan yerleşke katmanının en üste, en üst katmanda yer alan bilginin ise en alta yerleştirilmesi ile varlıkların genelden özele doğru sıralanması ve aralarındaki bağımlılıkların belirtilmesi kolayca gerçekleştirilebilir.

Varlık envanterinin ağaç formunda ifade edilmesi için öncelikle yerleşke katmanı varlıkları (yerleşkeler) ve her bir yerleşkede bulunan binalar belirlenir. Bunun ardından, her yerleşke için bu yerleşke ile içindeki binalar arasında bağ kurulur.

Bu şekilde sistem odası, donanım, yazılım, vb. katmanlar da taranır. Tarama işlemi sonrasında kurumun tüm bilgi varlıkları ve her bir varlığın hangi varlıklarla ilintili olduğu bilgisi elde edilecektir.

resim-6.jpg
Şekil-6: Aynı kuruma ait varlık envanterinin ağaç formunda ifade edilmesi ve bağımlılıklar

Bilgi Varlıklarının Değerlendirilmesi
Şimdi bilgi varlıklarının değerlerini, birbirleri ile ilişkilerini de göz önünde bulundurarak nasıl belirleyeceğimizi düşünelim. Varlıkların değerlerinin iki farklı bileşenden oluştuğu söylenebilir:

Öz değerleri

Birikmiş değerleri

Öz değeri, varlığın diğer varlıklarla olan bağımlılıklarını değerlendirmeden belirlenmiş değerini ifade eder.

Birikmiş değeri ise varlığın öz değeriyle, bağımlı olduğu varlıkların birikmiş değerlerinin birleşimi ile elde edilir.

Bilginin üstünde başka katman olmadığı için bilginin sadece öz değeri mevcuttur. Bilgi katmanının altındaki katmanlarda yer alan varlıkların ise sadece birikmiş değerleri mevcuttur. En üstteki bilgi olmasa hiçbirinin ne gizlilik değeri, ne erişilebilirlik değeri olur. Taşıyabilecekleri tek değer maddi değer olup bu da bilgi güvenliği kapsamında fazla anlamlı değildir.

Yazdıklarımızı bir de matematiksel olarak ifade edecek olursak aşağıdaki ifadeler yazılabilir:

Vi i konumunda bulunan varlığı temsil etsin. Konum bilgisi, varlığın bulunduğu katmanın sıra numarası kadar parametre içeren bir indis olacaktır. Örneğin Şekil-6’ya bakıldığında yazılım katmanındaki (altıncı katman) ikinci varlık için indis 1.1.1.2.2.1 olacaktır.

Bu varlık için 1.1.1.2.2 indisi ilgili varlığa direkt bağımlı olan komşu varlığın konumunu, 1.1.1.2.2.1.* indisleri de ilgili varlığın direkt bağımlı olduğu varlıkların konumlarını belirtir.

D[x] parametresi x varlığının değerini ifade etsin. Örneğin varlık envanterinde bulunan ikinci bilgi varlığının değeri 6 olsun. Bu durumda bu varlığın birikmiş değeri Dbirikmiş[x]=6 şeklinde ifade edilebilir. A -> B bağıntısı ise B’nin A’ya bağlı olduğunu ifade etsin. Buna göre aşağıdaki ifade yazılabilir:

formul-1.jpg
Şekil-3 Bağımlılık Konisinde de görüldüğü gibi, alt katmanda yer alan varlık gruplarının birikmiş değerleri, üst katmanda yer alan varlık gruplarının birikmiş değerlerine bağlı olmaktadır. Bir varlığa ait birikmiş değeri hesaplamak için üst katmanlardaki tüm varlıkların bu varlıkla olan ilişkisini tanımladıktan sonra ilişkili olan varlıkların birikmiş değerlerini hesaba katmak gerekir. Vi varlığı için birikmiş değeri aşağıdaki formül uyarınca hesaplayabiliriz:

formul-2.jpg
Bu formülde Dbirikmiş[Vi.*] değeri, (i.*) indislerine sahip varlıkların birikmiş değerlerinin birleşimi olarak tanımlanmıştır. U yani birleşim işlevi için max( ) işlevi ya da aritmetik ortalama gibi çeşitli işlevler kullanılabilmektedir.

Üst katmanlardaki varlık gruplarının değerleri, alt katmanlardaki varlık gruplarının değerlerini etkilediğinden, değerler belirlenirken üst katmanlarda yapılacak bir yanlışlık tüm envanter listesindeki varlıkların değerlerinin yanlış hesaplanmasına yol açacaktır. Buna karşın, en üst katmanda yer alan bilgi varlık grubunun değerlerinin doğru belirlenmesi, aşağıda yer alan katmanlardaki varlıkların değerlerinin de doğru olarak belirlenmesini sağlayacaktır.

Özetle, bilgi varlıklarının değerlerinin varlık envanterinin kalbi olduğunu söylemek mümkündür.

Hiyerarşik Varlık Envanteri ve Birikmiş Varlık Değerleri
Şimdi de basit bir örnek üzerinde anlattıklarımızı pekiştirelim. Şekil-6’da ağaç formunda ifade edilen varlık envanterini öncelikle klasik liste formunda ifade edelim, sonra da bu varlık envanterinin üstünde çalışalım.

“Hiyerarşik varlık envanteri” olarak adlandırdığımız bu listede varlıklar Şekil-3 Bağımlılık konisinin en alt (veya en dış) katmanı en üstte olacak şekilde yerleştirilmiştir. Sırasıyla yerleşke, bina, sistem odası vb. türlerindeki varlıklara yer verilmiş, ayrıca bağımlılık sütunu oluşturulmuş ve her varlığın bağımlı olduğu varlıkların listedeki sıra numarası belirtilmiştir.

Tablo-1’de bu varlıkların, bağımlılık sütunu ele alınmaksızın belirlenen öz değerleri yer almaktadır.

tablo-1.jpg
Tablo-1: Varlık envanteri (varlıkların öz değerleri)

Tablo-2’de ise bağımlılık sütunu göz önüne alınarak belirlenen birikmiş değerler yer almaktadır. Burada, birikmiş değerleri hesaplarken U işlemi yerine max( ) işlevi kullanılmıştır. Yani bir varlığın birikmiş değeri hesaplanırken, o varlığın bağımlı olduğu varlıkların değerleriyle mevcut varlığın değerinin maksimumu alınmıştır. (Eğer varlığın değeri N/A (belirtilmemiş) ise o varlığa bağımlı varlıklar için birikmiş değer hesaplanmaz). Aşağıdaki örnekte, bağımlı oldukları bilgi varlıklarının değerlerini alan varlıklar ve bu varlıklar üstünde belirleyici rol oynayan kritik bilgi varlıkları aynı renk kodu ile işaretlenmiştir.

tablo-2.jpg
Tablo-2: Varlık envanteri (varlıkların birikmiş değerleri)

Bu şekilde varlıkların birbirleriyle ilişkilerinden ve birikmiş değerlerinden yola çıkarak varlıkların değerlerini hesaplamada daha gerçekçi sonuçlar elde edilebilir. Dolayısıyla risklerin hesaplanması ve alınması gereken karşı önlemlerin belirlenmesi gibi kritik BGYS aşamaları da daha somut verilere dayanılarak gerçekleştirilebilir.