BGYS-Bilgi Guvenligi Yonetim Sistemi RISK YONETIMI

BGYS Risk Yönetim Sürecinin planlanması, kurulması ve uygulanması hizmetleri verilir. BGYS Risk Yönetim SüreciRisk Analizi, Risk İşleme, Risk Değerleme ve Takip Etme alt süreçlerinden oluşur. 

Risk Analizi: İlk adım olarak Kurum hedeflerine uygun olarak Yazılım ve Donanım gibi tüm BT Varlıkları, Personel, Tesisler ve Operasyonlar için Kapsam Belirleme çalışması yapılır. Bilgi, Yazılım, Donanım, İletişim Cihazları, Dökümanlar, Üretilen mallar/hizmetler, servisler, mali değerler, personel, kurumun prestiji/imajı gibi varlıklar Anketler, Birebir Görüşmeler, Dökümantasyon İncelemesi ve Otomatik Tarama Araçları yöntemleri kullanılarak Varlık Belirleme çalışması yapılır. Doğal , Çevresel veya İnsan Kaynaklı (bilinçli veya kaza) Tehdit Belirleme çalışması yapılır. D: Doğal, C: Çevresel, B: Bilinçli İnsan Kaynaklı ve K: Kaza ile İnsan Kaynaklı Tehdit kategorilerini içeren Tehdit Kataloğu oluşturulur. Sistem güvenlik prosedürlerinde, tasarımda, uygulamada ortaya çıkan veya iç tetkikler esnasında ortaya çıkan ve gerçekleşmesi durumunda bilgi güvenliği ihlallerine neden olabilecek ZAYIFLIK, HATA ve KUSURLARı içeren Bilgi Güvenliği Açıklarını Belirleme çalışması yapılır. Yazılım güvenlik analizlerinden, üreticiler tarafından yapılan uyarılardan, sistem güvenlik taramalarından ve sızma testlerinin sonuçlarından faydalanılır. Ayrıca önceki risk değerleme dökümanları ile BT sistemi denetim raporları, test raporları ve hata raporları incelenir. Alt Yapı, Donanım, Yazılım, İletişim, Döküman veya Personel parametrelerinden kaynaklanabilecek Bilgi Güvenliği Açıklarını Belirleme çalışması tamamlanır. Belirlenen Tehditlere karşı güvenlik zafiyeti oluşturabilecek tespit edilen Bilgi Güvenliği Açıklarının gerçekleşme olasılıklarını azaltacak veya tümüyle ortadan kaldıracak olan Mevcut ve Planlanan Kontrollerin Belirleme çalışması yapılır. Tehdit Kaynağının ve motivasyonunun yüksek, orta veya az olmasına ve sırası ile etili kontrollerin bulunmaması veya etkisiz olması, engel olacak kontrollerin mevcut olması veya Bilgi Güvenliği Açıklarının gerçekleşmesini engelleyecek yahut çok zorlaştıracak kontrollerin olmasına göre Yüksek, Orta veya Düşük seviyedeki Olasılık Değerlemesi yapılır. Bilgi Güvenliği Açığının gerçekleşmesi durumunda  varlığın görevi, mali değeri, etkilediği verinin hassasiyeti ve kritikliği göz önüne alınarak yüksek, orta veya düşük etki seviyelerine göre Etki Analizi çalışması yapılır. Düşük, Orta ve Yüksek Etki Seviyesine göre ve gerçekleşme Olasılık durumuna göre Risk Derecelendirme Matrisi oluşturulur. Risk Derecelerinin Tanımı yapılır. Bilgi Güvenliği Açıklarının gerçekleşmesini önlemek veya gerçekleşen ihlallerin TEKNİK, YÖNETİMSEL veya OPERASYONEL olarak tespit edici, düzeltici veya önleyici düzeyde kontrollerinin yapılmasına yönelik olarak Uygun Kontrolleri Belirleme çalışması yapılır. Mevcut Risk ve Kontrollerin ne olduğunu herkesin bilmesini sağlayan ve bir sonraki risk çalışmasına da girdi teşkil edecek olan Sonuçların Dökümantasyonu çalışması yapılır.

 Risk İşleme: Risk Analizinde belirlenen risklerden sisteme gelebilecek zararları en aza indirmek için Yönetimin EN UYGUN ve EN DÜŞÜK MALİYETLİ kombinasyonu seçeceği Riskin Kabulü, Riskten Kaçınma, Riskin Azaltılması ve Riskin Transferi Risk İşleme yöntemleri belirlenir. Risklerin Önceliklendirilmesi, Kontrollerin Değerlendirilmesi, Kontrollerin Seçilmesi, Sorumluların Atanması, Kontrol Uygulama Planının Hazırlanması ve Seçilen Kontrolün Uygulanması çalışmaları yapılıp uygun periyotlarda toplantılar yapılıp raporlandırılır. Risk İşleme sonrası kalan Artık Risk kabul edilebilir risk seviyesinin üstünde ise; Artık Risk  kabul edilebilir risk seviyesinin altına ininceye kadar Risk Analizi ve Risk İşleme çalışmalarına devam edilir.

 Değerlendirme ve Takip: BGYS Risk Yönetimi Döngüsü Risk Analizi ve Risk İşleme süreçlerinin periyodik olarak uygulandığı sürekli bir süreçtir. Zaman içinde yeni varlıklar sisteme dahil edilebilir yahut kurumun değişen iş hedefleri, iş yapma şekilleri ve önem verdiği konular değişebilir. Tüm bu yeni veya değişen durumların BGYS Risk Yönetim Döngüsü içinde işletilmesi yapılır. Değişiklikler sonucu varlıklarda, varlıkların değerlerinde, Bilgi Güvenlik Açıklarında ve Tehditlerinde meydana gelen farklılıkların izlenmesi ve Risk Yönetim Döngüsü içinde güncel önlemlerinin alınması çalışması yapılır.