Yazan: Bilge Karabacak (Computer Security Analyst)
             mailto:bilge@bilkent.org

1         Giriş

Günümüzde, ağ teknolojileri hayatın her noktasına girmiş durumdadır. Hemen hemen tüm ticari, resmi ve akademik kuruluşlar, ağ teknolojilerini kullanmakta ve İnternet olarak adlandırılan en büyük geniş alan ağına bağlı bulunmaktadırlar. Neredeyse hergün, insanların yaşamını kolaylaştıran yeni ürünler çıkmakta, her iş kolu için yeni çözümler üretilmektedir.

Üretilen bu çözümlerin arasında güvenlik ürünleri de önemli bir yer tutmaktadır.  Çünkü, sadece birbirine bağlı iki bilgisayar için bile birçok güvenlik açığı bulunmaktadır. En büyük ağ olan İnternet ise çok güvensiz bir ortamdır. Kodlanan bir virüs İnternet yoluyla çok kısa bir sürede tüm dünyaya yayılmakta ve milyonlarca dolar zarar verebilmektedir.

Amerika Birleşik Devletleri’nin en önemli güvenlik konferanslarını düzenleyen SANS enstitüsünün web sayfasının ağustos ayında kullanılamaz duruma getirilmesi sistemlerde yeterli güvenliği sağlamanın ve devam ettirmenin çok kolay bir iş olmadığını ortaya koymaktadır.

Çünkü kullanılan ağ protokolleri, işletim sistemleri ve yazılımlarda kodlama ve konfigürasyon hataları bulunmaktadır ve daima da olacaktır. Bu hatalar hackerlar tarafından ortaya çıkarılacak, kar ve ün elde etmek isteyen ya da sadece zevk amacıyla yapan bir çok cracker tarafından da kullanılacaktır. Tamamıyla güvenilir kodlamalar ve konfigürasyon yapılsa ve sonucunda sistemlerin gerçekten de teknik olarak açıklıkları olmasa bile,  kasıtlı yapılan saldırılar, doğal afetler ve yangınlar her zaman olacaktır. Böyle bir senaryoda, mutlak (yüzde yüz) güvenliği sağlamanın imkansız olduğu söylenebilir.

Mutlak güvenlik olmadığından dolayı, her zaman için bir bilgi sisteminde mevcut bir risk vardır. Amaç, varolan bu riski önlemek olmamalıdır. Çünkü, riski önlemek çok pahalıdır hatta imkansızdır. Bir bilgi sistemi için, sırf riski sıfırlamak için o kıymetin değerinden fazla güvenlik önlemi almak akılcı bir yaklaşım olmayacaktır. Bu nedenle riski önlemek yerine risk ile birlikte yaşamayı öğrenmek daha uygun bir yoldur. Bunun için, bilgi sistemini korumak adına çıkan güvenlik önlemini kullanmanın getirdiği masraf ile o güvenlik önleminin kullanılmadığı zaman olacak saldırılar sonucunda oluşacak masrafları karşılaştıracak bir araç olması gerekmektedir. Risk analizi ve yönetimi bu işi yapan araçlardır. 

Mutlak güvenliğin imkansızlığı ve riskin daima varoluşu güvenliğe bir ürün gözüyle bakmamızı engeller. Artık günümüzde, bilgi teknolojileri güvenliği, gerçek zamanlı risk analizi ve yönetimi prosesi olmuştur. Kısacası, güvenlik artık bir teknoloji konsepti olmaktan çıkmış bir iş (business) konsepti haline gelmiştir. Risk analizi ve yönetimi ise, bu işin çekirdek kısmıdır ve bilgi teknolojileri güvenliği ürünlerinin seçilmesi ve geliştirilmesinde ana karar verme mekanizmasıdır.

2         Tanımlar

Risk analizi ve yönetimi çerçevesinde sıkça kullanılan konseptlerin ve daha sonra risk analizi ve yönetimi kavramlarının tanımları yapılacaktır.

2.1        Kıymet (Asset)

Kıymetin, risk analizi konseptindeki tanımı, korunması gereken herşeydir. Kıymetler, bilgi sistemlerinde değere sahip olan elemanlardır. Kıymetler beş ana başlık altında toplanabilir. Bunlar, donanım, yazılım, veri, politikalar-prosedürler ve insandır.

Bilgi teknolojilerinde, tüm kıymetlerin bir sahibi vardır. Kurumun kendisi, kurumdaki departmanlar ya da insanlar bir kıymetin sahibi olabilirler. Bir kıymete gelebilecek herhangi bir zarar, aynı zamanda o kıymetin sahibini de etkiler.

Risk analizinde, kıymetler, somut (tangible) ya da soyut (intangible) olabilir. Donanım ve insan somut, yazılım, veri ve politikalar ise soyut kıymetlerdir.

2.2        Açıklık (Vulnerability)

Bir kıymeti tehditlere karşı korumasız hale getiren kusurlardır. Bir bilgi sistemi kıymeti için açıklık, kıymetin programlamasındaki hatalar olabileceği gibi, doğal etkenlere (toz, nem, güneş ışığı, yangın, vb) karşı korumasız durumda olması da olabilir.

Tehditler, açıklıları kullanarak kıymete zarar verirler. Bu nedenle, açıklıklar, riskin en önemli nedenidir.

2.3        Tehdit (Threat)

Bir kıymetteki açıklıkları kullanarak (exploit) kıymete kısmen ya da tamamen zarar veren etkenlere tehdit denilmektedir. Bilgi sistemlerine zarar verebilecek üç tip tehdit vardır. Bunlar, doğal tehditler, kasıtsız tehditler ve kasıtlı tehditlerdir. Doğal tehditler, genel olarak insan faktöründen kaynaklanmayan, sel, yıldırım, yangınlar gibi tabiat olaylarıdır. Kasıtsız tehditler, insan faktöründen kaynaklanan ancak bilerek yapılmayan tehditlerdir. Bir kurum ağındaki zararlı kullanıcı aktiviteleri kasıtsız bir tehdit sayılabilir. Kasıtlı tehditler ise, kasıtsız tehditler gibi insan faktöründen kaynaklanır, ancak belli bir amaca yönelik olarak bilerek yapılırlar. Crackerlar kasıtlı bir tehdit örneğidir.

Bilgi teknolojilerinde, güvenliği mekanizmalarının koruması gereken üç ana servis, süreklilik (availability), bütünlük (integrity) ve gizlilik (confidentiality)’dir. Tehdit, bu üç elementten en az birine zarar veren ya da verme ihtimali bulunan etken(ler)dir. Tehditin sonucunda, para, üretim, güven, verimlilik kayıpları olur.

2.4        Karşı Önlem (Safeguard, Security Measure)

Bir kıymette bulunan açıklıkları kullanan tehditlerin verdiği zararı sıfırlamak ya da azaltmak amacıyla alınan tedbirlere karşı önlem denir. Karşı önlemler arasında, güvenlik yamaları, güvenilir ürünler (trusted products), güvenlik politikaları, konfigürasyon düzenlemeleri, tasarım, güvenlik yazılımları, donanımlar, eğitimler, kişilere sorumluluk yükleme, gözetleme ve monitorleme sayılabilir. Bütün bunlar riski azaltan faktörlerdir.

Karşı önlem sadece açıklığın kapatılmasını (ör. sistem yamaları) önermez. Açıklığın kapatılması yanında,  kıymetin değerinin düşürülmesi (ör. şifreleme) ya da tehditin azaltılması (ör. insanların eğitilmesi) da karşı önlemlerdir. Sonuç olarak, bu üç tip karşı önlemin amacı riski düşürmektir.

2.5        Risk

Risk, sözlüklerde, “zarara yol açan ya da zarar verme kapasitesi olan kişi ya da nesne” olarak tanımlanmaktadır.

Riskin önceki başlıklar altında değinilen kıymet, açıklık ve tehdit kavramları bağlamındaki bir diğer tanımı “bir kıymetteki bir açıklığın bir tehdit tarafından kullanılma (exploit) ihtimalidir” şeklindedir.

Şekil 1: Kıymet, tehdit ve açıklık fonksiyonu olarak risk

Risk, kıymet, tehdit ve açıklığın bir fonksiyonudur. Şekil 1’de bu fonksiyon soyut olarak ifade edilmiştir. Şekildeki sarı oklar, karşı önlem başlığı altındaki 3 tip karşı önlemi temsil etmektedir. Karşı önlemleri almadan önce, riskin büyük olduğu görülmektedir. (Siyah kübün hacmi) Karşı önlemleri aldıktan sonra ise risk azalmıştır. (Turuncu kübün hacmi)

Karşı önlemler almadan önce sistemde mevcut olan riske taban (baseline) riski denmektedir. Karşı önlemler alındıktan sonra sistemde mevcut olan riske ise geri kalan (residual, projected) risk denmektedir. Buna göre siyah küp taban riski, turuncu küp ise kalan riski ifade etmektedir. 

İstenen (taşınabilir) risk seviyesi (required risk) ise, kurumun kabul ettiği ve taşıyabileceği risk miktarıdır. Karşı önlemler alındıktan sonra, geri kalan riskin, gerekli riskten daha aşağı seviyede olması gerekir.

Geri Kalan (Residual) Risk Seviyesi £ İstenen (Required) Risk Seviyesi

Herhangi bir karşı önlem alınmamışken, eğer bulunan taban risk, istenen riskin aşağısında çıkarsa, karşı önlem alınmaya gerek olmayacaktır.

Riskin önüne geçebilecek büyüklükte bir bütçe bulunmamaktadır. Bu nedenle, giriş başlığı altında da söylendiği gibi, bilgi sistemlerinde risk daima olacaktır. Çünkü risk iş yapmanın maliyetidir. Risk analizi ve yönetiminin ana çıkış noktası budur.

2.6        Risk Analizi (Risk Analysis)

Risk analizi, sonucu itibariyle güvenlik ihlallerine neden olan risklerin ortaya konması ve yorumlanması işlemidir.

Risk analizi kendi içerisinde uzun ve ayrıntılı bir prosesdir. Risk analizinde ilk olarak bilgi sisteminde varolabilecek tüm kıymetlerin, bu kıymetlerdeki açıklıkların ve bu kıymetleri etkileyebilecek tüm tehditlerin ortaya konması yapılır. Ayrıca, halihazırda mevcut olan karşı önlemler incelenir.j

Daha sonraki aşamada§, ortaya konulmuş olan kıymet, açıklık, tehdit ve karşı önlemlerinin değerlendirilmesi işlemi yapılır. Değerlendirilmiş kıymet, açıklık, tehdit ve karşı önlem değerleri girdi olarak alınıp, matematiksel ve mantıksal metodlar kullanılarak risk değeri bulunur. Son olarak risk-kıymet eşleştirmesi yapılır.

Risk analizi karşı önlemlerin nasıl ve ne şekilde alınacağı üstünde durmaz. Bu işi, risk risk yönetimi prosesi yapmaktadır.

2.7        Risk Yönetimi (Risk Management)

Risk yönetimi, risk analizi sonucunda ortaya konan ve yorumlanan risklerin önüne geçmek ve/veya azaltmak amacıyla uygun, maliyet etkin karşı önlemlerin alınması işlemidir. Karşı önlem maliyetleri ve risk analizi sonucunda çıkan kıymet-risk eşleşmesi risk yönetimi prosesi için en önemli girdilerdir.

Şekil 1’de sarı oklarla gösterilen uygun karşı önlemlerin alınması işini risk yönetimi yapar. Yerinde bir risk yönetimi ile az bir maliyet ile risk kübünün hacmi büyük bir ölçüde düşürülebilir. Risk yönetimi, genel olarak karşı önlemlerin alınması ile oluşacak maliyeti, geri kalan (residual) riskden dolayı oluşacak bir zararın yol açacağı maddi kayıpla karşılaştırır ve daha düşük ise karşı önlemleri alır.

Risk yönetimi prosesinin dayandığı asıl nokta kurumun güvenlik ihtiyaçlarıdır. (security requirements) Kurumun güvenlik ihtiyaçlarına göre, taşınabilir risk oranı belirlenebilir ve bunun sonucunda uygun karşı önlemlerin seçilmesi işlemi yapılabilir. Güvenlik ihtiyacı, bir kıymeti etkileyen bir tehdit için kurumun ne kadar güvenlik önlemi istediğidir. Askeri bir kurum, belli bir kıymet için tehditin çok aza indirgenmesi isteyebilecekken, normal bir şirket ise aynı kıymeti etkileyen aynı tehdit için hiç bir güvenlik önlemi almak istemeyebilir.

 

 

 

Risk Analizi
 

Risk Yönetimi
 
 

 

 

 

 

 


             

 

 

 

Şekil 2: Risk analizi ve yönetimi prosesi

 

Risk analizi, yorumlaması ve yönetimi bir defa yapılmaz. Risk analizi ve yönetimi birer sonuç değildir, şekil 2’de de görüldüğü gibi risk analizi ve risk yönetimi sürekli birbirini takip eden iki ana prosesdir. Maliyet etkin bir risk yönetiminin temellerini risk analizi prosesi oluşturur. Risk analizi ve yönetimi bir kurumda, yönetimin de kararıyla belli aralıklarla yapılmalıdır. Çünkü kıymetler, açıklıklar, tehditler daima değişecektir. Bütün bunlar değişmese bile daha maliyet etkin çözümler ortaya çıkabilecektir.

Risk analizi sonuçlarına göre, risk yönetimi dört farklı işten birini yapabilir.

1.      Risk yüksektir, karşı önlemler yoktur ya da çok pahalıdır. Kıymet kullanılmaz. (Eliminate Asset)

2.      Uygun karşı önlemler alınarak risk düşürülebilir. (Reduce Risk)

3.      Karşı önlemlerin alınmasının maliyeti, riskin açacağı zarardan çok daha fazla olduğu için risk önemsenmeyebilir. (İgnore/Accept Risk)

4.      Kıymetler sigortalanarak risk transfer edilebilir. (Transfer Risk)

Bu dört iş haricinde, risk analizi ve yönetimi sonucunda, karşı önlemlerin azaltılması ya da kaldırılması da yapılabilir. Hali hazırdaki karşı önlemin çok pahalı olması, tehditin varolmaması gibi faktörlerden böyle bir sonuca gidilebilir.

Risk analizi ve yönetimi tanımları kapsamında son olarak, bu iki prosesin yerini tam olarak çizmek gerekirse, şekil 2’de görüldüğü gibi risk analizi riskleri çıkartır ve yorumlar. Bunun için, kıymetleri, kıymetlerdeki açıklıkları, tehditleri çıkarır. Risk yönetimi ise, risk analizi sonucunda çıkarılan risklere göre karşı önlemleri alır.

 

Şekil 3: Risk analizi ve yönetiminin yeri

 

3         Yorumlar

Şimdiye dek yapılan tanımların ardından, risk analizi yöntemleri ve metodolojileri, risk analizi ve yönetimi prosesinin yararları ve bu prosesin problemleri üzerinde bir takım yorumlar yapılacaktır.

3.1        Risk Analizi Yöntemleri ve Metodolojileri

İki temel risk analizi yöntemi mevcuttur. Bunlar, nicel (quantitative) ve nitel (qualitative) yöntemlerdir.

Nicel risk analizi, riski hesaplarken sayısal yöntemlere başvurur. Nicel risk analizinde, kıymet, açıklık, tehditin olma ihtimali, tehditin etkisi gibi değerlere sayısal değerler verilir ve bu değerler matematiksel ve  mantıksal metotlar ile proses edilip risk değeri bulunur. Dördüncü bölümde örnek bir nicel risk analizi yapılmıştır. Bu örnekte, kıymetin değeri, tehditin olma ihtimali ve tehditin etkisi değerlerine basit sembolik sayılar verilmiştir. Bunun yerine senelik dolar kaybı gibi gerçek hayata yakın değerler de verilebilir.

Risk = Tehditin Olma İhtimali (likelihood) * Tehditin Etkisi (impact) formülü nicel risk analizinin temel formülüdür.

Bu formüle göre, bir kıymete zarar verme ihtimali olan tehditin olma olasılığı ile bu zararın kıymete etkisininin çarpımı riski ifade eder. Çarpım sonucu ne kadar fazla çıkarsa, risk o kadar yüksektir. Bir tehditin olma olasılığı çok az ancak, ortaya çıktığı zaman vereceği zarar çok fazla ise, orta derecede bir risk söz konusudur denebilir. Nicel risk analizi yöntemleri ayrıntılı olarak dördüncü bölümde incelenecektir.

Diğer temel risk analizi yöntemi ise nitel risk analizidir. Nitel risk analizi riski hesaplarken ve ifade ederken numerik değerler yerine yüksek, çok yüksek gibi tanımlayıcı değerler kullanır. Ayrıca, nitel risk analizi tehditin olma ihtimalini kullanmaz, riskin sadece etki değerini dikkate alır.

Nitel bir risk analizi metodu olan CRAMM§, risk, kıymet değerinin, tehditin etkisinin ve açıklık seviyesinin bir fonksiyonudur.

Risk = Áunction (Kıymetin değeri (asset value), Tehditin Etkisi (impact), Açıklığın seviyesi (level of vulnerability) )

Bu noktada risk analizi metodolojileri konsepti karşımıza çıkar. Risk analizi metodolojisi (metodu), risk analizi sürecinin matematiksel işlemler ve yorumların yapıldığı çekirdek kısmıdır. Yukarıda bahsedildiği gibi, risk analizinin nicel ve nitel olmak üzere iki temel yöntemi vardır. Bu iki temel yöntemin birisine bağlı kalarak ya da hibrid bir yöntem kullanarak, kıymetler, tehditler, açıklıklıklar ve karşı önlemler arasındaki ilişkiler değişik metodlar ve formulasyon ile analiz edilip, yine değişik matematiksel metotlar ile risk faktörü bulunabilir. Ekte, değişik risk analizi metodlarından bahsedilmiştir. Bu metodları birbirinden ayıran en önemli farklar, risk değerini  bulmak için kullandıkları kendilerine has metodlardır.

3.2        Risk Analizinin ve Yönetiminin Yararları

Risk analizi ve yönetiminin hedefi, kurum içerisinde olabilecek tehlikelere uygun cevap verebilecek, kasıtlı ya da kasıtsız tehditlerin etkisini ve olma ihtimalini azaltacak hazırlıkları, prosedürleri ve kontrolleri teşhis etmektir.

Risk analizi ve yönetimi prosesinin bir çok yararları vardır. Bu yararların başta gelenleri şu şekilde sıralanabilir.

  1. Kurumun yazılı prosedür ve politikalarının olmasını ya da olgunlaşmasını sağlar.
  2. Kurum çalışanlarının ve bilgi işlem personelinin bilgi güvenliği konusunda bilgi sahibi olmasını sağlar.
  3. Bir kurum yönetiminin de bilgi teknolojileri güvenliği konusunda bilgi sahibi olmasını ve bu konularda karar vermesini sağlar.
  4. Risk analizi prosesinin ilk kısmında yapılan kıymet analizi sonuçlarının kurumun yazılım ve donanım envanterlerinin yenilenmesinde yardımcı olur.

Risk analizi ve yönetiminin yapılmadığı bir bilgi sisteminde aşağıdaki gibi durumlar olabilir.

  1. Bu bilgi sisteminde hiç güvenlik olmayabilir ya da çok az güvenlik olabilir
  2. Kullanılabilirliliği oldukça azaltan çok fazla güvenlik olabilir
  3. Yanlış güvenlik önlemleri alınmış olabilir
  4. İnsanlarda yanlış güvenlik bilinci olabilir.

Bütün bunları maddi olarak ve zaman olarak kayıplara yol açan durumlardır.

3.3        Risk Analizinin ve Yönetiminin Problemleri

Risk analizi ve yönetimi ile birlikte gelen bir takım problemler ve ideal olmayan durumlar vardır. Bunlar,

  1. Risk analizinin kendisinin maliyetinin yüksek olmasıdır. Risk analizini kurumun kendisi bile yapsa zaman ve para kaybına yol açabilmektedir.
  2. Risk analizi sonuçlanana kadar geçen süre diğer bir problemdir. Güvenlik önlemlerinin biran evvel uygulanması gerekirken, risk analizi sonucu beklenmek zorundadır. Bunun zararlı etkileri olabilmektedir. Bu nedenle bir çok yerde, risk analizi yapılmadan güvenlik önlemleri alınmaktadır.
  3. Risk analizi sonuçlarının nesnel olması beklenirken daha çok öznel olabilmektedir. Özellikle nitel risk analizinde bu problem daha çok görülebilir. Çünkü, nitel risk analizinde risk, sayısal değerlerden çok tanımlar ile ifade edilmektedir.
  4. Risk analizi ve yönetimi prosesi, önceden belirlenmiş kesin adımları olan prosesler değildir. Nıtel ve nicel risk analizi yöntemlerinin çatısı altında, bir çok risk analizi metodolojisi mevcuttur.§ Bu methodlar, riski yorumlama aşamasında birbirinden ayrılırlar.
  5. Tüm kurumlara uyan bir risk analizi metodolojisi mevcut değildir. Çünkü, her organizasyonun kendine özel bir kıymet listesi, bu kıymetlere göre farklı farklı tehditleri vardır. Bütün bunları dışında, kurumdan kuruma güvenlik anlayışı ve güvenlik gereksinimleri de değişim göstermektedir. Risk analizi ve yönetimi yapılacak olan bir kurumda, öncelikle ne tip bir risk analizi ve yönetimi metodunun uygulanması gerektiği belirlenmelidir.
  6. Günümüzde, kıymetlerin, buna bağlı olarak açıklıkların ve tehditlerin artması ile beraber, risk analizi ve yönetiminin sahasına giren, kıymet tanımla, açıklık belirleme, tehdit tanımla ve karşı önlem belirleme safhaları çok geniş nesneleri kapsadığından dolayı, bir çok risk analizi ve yönetimi metodu her nesneyi örtemeyebilmekte ve bazı nesneler gözardı edilebilmektedirler.

4         Ek

Ek’te sırası ile, dokümanda farklı yerlede geçen değişik tipte risk kavramlarına, risk formüllerine, dünyada kullanılan risk analizi araçlarına, dokümanda geçen kısaltmalara ve açıklamalarına, risk analizi ve yönetimi ile Windows NT ile ilgili bazı websitelerine yer verilmiştir.

4.1        Dokümanda Geçen Risk Kavramları

Taban (baseline) risk: Herhangi bir risk analizi ve yönetimi yapılmadan bir kurumda mevcut olan risktir.

Geri kalan (residual) risk: Bir risk analizi ve yönetimi sonucunda önerilen karşı önlemlerin alınması sonucunda kurumda kalan riske geri kalan risk denir.

İstenen(taşınabilir, required) risk: Bir kurumun güvenlik ihtiyaçları kapsamında belirlediği ve bünyesinde taşıyabileceği risk miktarıdır.

4.2        Bazı Risk Analizi Araçları

CEC/INFOSEC Programı (CEC, 1993b) çerçevesinde geliştirilen veritabanında, 70’ten fazla risk analizi metodu bulunmaktadır. Bunlardan bazıları şu şekildedir.

  1. CRAMM: United Kingdom Central Computer and Telecommunication Agency’s (CCTA) Risk Analysis and Management Method. CRAMM, 1987 senesinde geliştirilmiştir. Nıtel (qualitative) yöntemlere dayanmaktadır. İngiltere hükümetinin desteklediği resmi risk analizi ve yönetimidir. CRAMM metodu bir yazılım desteklenmektedir. Karşı önlem seçme bölümü tamamıyla yazılım tarafından yapılmaktadır. Büyük bir açıklık ve karşı önlem kütüphanesi mevcuttur.
  2. @RISK: Palidase şirketi tarafından geliştirilmiş nicel bir risk analizi aracıdır. Monte Carlo simulasyonu metodunu kullanmaktadır.
  3. ALRAM: Automated Livermore Risk Analysis Methodology. Lawrence Livermore ulusal laboratuvarı tarafından, Amerikan Hükümeti için geliştirilmiştir. Nicel yöntemleri kullanmaktadır.
  4. ARES: Automated Risk Evaluation System. ARES, Air Force kriptoloji destek merkezi tarafından geliştirilmiştir. Nicel (quantitative) bir risk analizi aracıdır.
  5. BDSS: Bayesian Decision Support System. OPA şirketi tarafından geliştirilmiştir. Hem nitel hem de nicel yöntemleri kullanan bir araçtır.
  6. BUDDY SYSTEM: Nicel yöntemleri kullanır. Countermeasures şirketi tarafından geliştirilmiştir.
  7. Marion: İngiliz Coopers & Lybrand şirketi tarafından geliştirilmiştir. Hem nicel hem nitel yöntemleri kullanır.
  8. Cobra: Nitel yöntemleri kullanan bir risk analizi metotudur. Modüler bir yapıya sahiptir. ISO 17799 modülü yardımıyla bir sistemin bu standarta uygunluğunu ölçebilmektedir.

5         Referanslar

[1] Gamma Secure Systems, http://www.gammassl.co.uk

[2] Australia National Authority for Signals Intelligence and Information Security, http://www.dsd.gov.au

[3] SANS Institute, http://www.sans.org

[4] The State of Texas Department of Information Resources, http://www.dir.state.tx.us

[5] C & A Security Risk Analysis Group, http://www.security-risk-analysis.com

[6] Securityfocus, http://www.securityfocus.com

[7] Grey Hat Risk Assessment, http://www.greyhat.com/risk/


j Risk analizi prosesinin bu bölümüne varlık analizi denmektedir.

§ Risk analizi prosesinde bu noktadan sonraki bölüme risk yorumlaması denmektedir. (Risk assessment)

§ Ekte ayrıntılı bilgi mevcuttur.

§ Ek’te bazı metodlardan bahsedilmiştir.