BibTex RIS Kaynak Göster

A New Approach for Choosing Proper Risk Analysis and Management Method in Information Security

Yıl 2010, Cilt: 3 Sayı: 1 - Cilt: 3 Sayı: 1, 39 - 46, 24.06.2016

F. Özden Aktaş İbrahim Soğukpınar

Öz

Due to spread in usage of information systems and
network technologies, the importance of information
security has also increased in recent years. Risk
analysis is the key concept in information security
activities. To determine and improve the security level in the systems, one has to determine the current
risks, to analyze them, to generate solution; that is to
manage them. Using specialized methods for
managing risk would be useful for organizations
since it will bring a more planned perspective to
their future work. There are several risk analysis
methods developed till now, varying in their
characteristics and their applications. It is not
possible just to mention the superiority of one over
another. A method may be more advantageous than
others depending on the organization in which it is
applied. For this purpose, there is need to find
guiding tools for choosing a method that can satisfy
organizations’ needs in the most useful way. This
study recommends the approach for selecting the
proper method. Test results of application are given
in this article for the proposed approach.

Kaynakça

  • ISO/IEC. ISO/IEC 17799 International Standard, Information technology, 2000. Code of pactice for information security management, Switzerland.
  • Aime, M. D., Atzeni A., Pomi, P. C., 2007. AMBRA: Automated Model-based Risk Analysis, QoP ’07: ACM workshop on Quality of protection.
  • Swanson, M., Guttman, B., 1996. Generally Accepted Principles and Practices for Securing Information Technology Systems, NIST Special Publication 800-14.
  • NIST. NIST, An Introduction to Computer Security: The NIST Handbook, NIST Special Publication 800-12.
  • Dhillon, G. (Repasky, N.), 2007. Principles of Information System Security, Wiley, USA.
  • Blakley, B., McDermott, E., Geer, D., 2001. Information security is information risk management, NSPW '01: Proceedings of the 2001 workshop on New security paradigms.
  • Karabacak, B., Sogukpinar, I., 2004. ISRAM: Information Security Risk Analysis Method, Computers & Security, 24(2), 147-129.
  • Bella, G., Bistarelli, S., Peretti, P., Riccobene, S., 2007. Augmented Risk Analysis, Electronic Notes in Theoretical Computer Science, Volume 168, Pages 207-220.
  • Vorster, A., Labuschagne, L., 2005. A framework for comparing different information security risk analysis methodologies, Proceedings of the 2005 annual research conference of the SAICSIT '05.
  • UK Central Computer and Telecommunication Agency (CCTA), 2001. Risk Analysis and Management Method, CRAMM User Guide, Issue 2.0.
  • Braber, F., Hogganvik, I., Lund, M.S., Stolen, K., Vraalsen, F., 2007. Model-based security analysis in seven steps - A guided tour to the CORAS method, BT Technology Journal, v 25, n 1, p 101-117.

Bilgi Güvenliğinde Uygun Risk Analizi ve Yönetimi Yönteminin Seçimi İçin Bir Yaklaşım

Yıl 2010, Cilt: 3 Sayı: 1 - Cilt: 3 Sayı: 1, 39 - 46, 24.06.2016

F. Özden Aktaş İbrahim Soğukpınar

Öz

Son yıllarda bilgi sistemleri ve ağ teknolojilerinin
kullanım alanlarının yaygınlaşmasıyla beraber, bilgi
güvenliğinin de önemi artmıştır. Bilgi güvenliği
faaliyetlerinde anahtar kavram risk analizidir.
Sistemlerdeki güvenlik seviyesini tespit etmek ve
daha iyi hale getirebilmek için, mevcut riskleri
belirleyebilmek, bunları analiz etmek, karşı tedbirler
geliştirebilmek, kısacası yönetmek gerekmektedir.
Risk yönetiminde uzmanlaşmış yöntemler kullanmak,
organizasyonlar için ilerideki çalışmalarına daha
planlı bir anlayış getireceğinden faydalı olacaktır.
Bugüne kadar geliştirilmiş, karakteristikleri ve
uygulanışları farklı pek çok yöntem bulunmaktadır.
Bu yöntemlerin salt olarak birbirlerinden
üstünlüklerinden bahsedebilmek mümkün değildir.
Bir yöntem uygulandığı organizasyona bağlı olarak
diğerlerine göre daha avantajlı hale gelebilir. Bu
amaçla, organizasyonların kendi ihtiyaçlarına en
uygun şekilde cevap verebilecek olan yöntemi
seçebilmelerine yol gösterecek araçlara ihtiyaç
duyulmaktadır. Bu çalışmada uygun yöntem seçimi
için bir yaklaşım önerilmektedir. Önerilen yaklaşım
dört adet risk analizi yöntemi üzerinde test edilerek
sonuçları verilmiştir.

Kaynakça

  • ISO/IEC. ISO/IEC 17799 International Standard, Information technology, 2000. Code of pactice for information security management, Switzerland.
  • Aime, M. D., Atzeni A., Pomi, P. C., 2007. AMBRA: Automated Model-based Risk Analysis, QoP ’07: ACM workshop on Quality of protection.
  • Swanson, M., Guttman, B., 1996. Generally Accepted Principles and Practices for Securing Information Technology Systems, NIST Special Publication 800-14.
  • NIST. NIST, An Introduction to Computer Security: The NIST Handbook, NIST Special Publication 800-12.
  • Dhillon, G. (Repasky, N.), 2007. Principles of Information System Security, Wiley, USA.
  • Blakley, B., McDermott, E., Geer, D., 2001. Information security is information risk management, NSPW '01: Proceedings of the 2001 workshop on New security paradigms.
  • Karabacak, B., Sogukpinar, I., 2004. ISRAM: Information Security Risk Analysis Method, Computers & Security, 24(2), 147-129.
  • Bella, G., Bistarelli, S., Peretti, P., Riccobene, S., 2007. Augmented Risk Analysis, Electronic Notes in Theoretical Computer Science, Volume 168, Pages 207-220.
  • Vorster, A., Labuschagne, L., 2005. A framework for comparing different information security risk analysis methodologies, Proceedings of the 2005 annual research conference of the SAICSIT '05.
  • UK Central Computer and Telecommunication Agency (CCTA), 2001. Risk Analysis and Management Method, CRAMM User Guide, Issue 2.0.
  • Braber, F., Hogganvik, I., Lund, M.S., Stolen, K., Vraalsen, F., 2007. Model-based security analysis in seven steps - A guided tour to the CORAS method, BT Technology Journal, v 25, n 1, p 101-117.
Toplam 11 adet kaynakça vardır.

Ayrıntılar

Diğer ID JA37HC58AU
Bölüm Makaleler(Araştırma)
Yazarlar

F. Özden Aktaş Bu kişi benim

İbrahim Soğukpınar

Yayımlanma Tarihi 24 Haziran 2016
Yayımlandığı Sayı Yıl 2010 Cilt: 3 Sayı: 1 - Cilt: 3 Sayı: 1

Kaynak Göster

APA Aktaş, F. Ö., & Soğukpınar, İ. (2016). Bilgi Güvenliğinde Uygun Risk Analizi ve Yönetimi Yönteminin Seçimi İçin Bir Yaklaşım. Türkiye Bilişim Vakfı Bilgisayar Bilimleri Ve Mühendisliği Dergisi, 3(1), 39-46.
AMA Aktaş FÖ, Soğukpınar İ. Bilgi Güvenliğinde Uygun Risk Analizi ve Yönetimi Yönteminin Seçimi İçin Bir Yaklaşım. TBV-BBMD. Haziran 2016;3(1):39-46.
Chicago Aktaş, F. Özden, ve İbrahim Soğukpınar. “Bilgi Güvenliğinde Uygun Risk Analizi Ve Yönetimi Yönteminin Seçimi İçin Bir Yaklaşım”. Türkiye Bilişim Vakfı Bilgisayar Bilimleri Ve Mühendisliği Dergisi 3, sy. 1 (Haziran 2016): 39-46.
EndNote Aktaş FÖ, Soğukpınar İ (01 Haziran 2016) Bilgi Güvenliğinde Uygun Risk Analizi ve Yönetimi Yönteminin Seçimi İçin Bir Yaklaşım. Türkiye Bilişim Vakfı Bilgisayar Bilimleri ve Mühendisliği Dergisi 3 1 39–46.
IEEE F. Ö. Aktaş ve İ. Soğukpınar, “Bilgi Güvenliğinde Uygun Risk Analizi ve Yönetimi Yönteminin Seçimi İçin Bir Yaklaşım”, TBV-BBMD, c. 3, sy. 1, ss. 39–46, 2016.
ISNAD Aktaş, F. Özden - Soğukpınar, İbrahim. “Bilgi Güvenliğinde Uygun Risk Analizi Ve Yönetimi Yönteminin Seçimi İçin Bir Yaklaşım”. Türkiye Bilişim Vakfı Bilgisayar Bilimleri ve Mühendisliği Dergisi 3/1 (Haziran 2016), 39-46.
JAMA Aktaş FÖ, Soğukpınar İ. Bilgi Güvenliğinde Uygun Risk Analizi ve Yönetimi Yönteminin Seçimi İçin Bir Yaklaşım. TBV-BBMD. 2016;3:39–46.
MLA Aktaş, F. Özden ve İbrahim Soğukpınar. “Bilgi Güvenliğinde Uygun Risk Analizi Ve Yönetimi Yönteminin Seçimi İçin Bir Yaklaşım”. Türkiye Bilişim Vakfı Bilgisayar Bilimleri Ve Mühendisliği Dergisi, c. 3, sy. 1, 2016, ss. 39-46.
Vancouver Aktaş FÖ, Soğukpınar İ. Bilgi Güvenliğinde Uygun Risk Analizi ve Yönetimi Yönteminin Seçimi İçin Bir Yaklaşım. TBV-BBMD. 2016;3(1):39-46.

https://i.creativecommons.org/l/by-nc/4.0Makale Kabulü

 

Çevrimiçi makale yüklemesi yapmak için kullanıcı kayıt/girişini kullanınız.

Dergiye gönderilen makalelerin kabul süreci şu aşamalardan oluşmaktadır:

1.       Gönderilen her makale ilk aşamada en az iki hakeme gönderilmektedir.

2.       Hakem ataması, dergi editörleri tarafından yapılmaktadır. Derginin hakem havuzunda yaklaşık 200 hakem bulunmaktadır ve bu hakemler ilgi alanlarına göre sınıflandırılmıştır. Her hakeme ilgilendiği konuda makale gönderilmektedir. Hakem seçimi menfaat çatışmasına neden olmayacak biçimde yapılmaktadır.

3.       Hakemlere gönderilen makalelerde yazar adları kapatılmaktadır.

4.       Hakemlere bir makalenin nasıl değerlendirileceği açıklanmaktadır ve aşağıda görülen değerlendirme formunu doldurmaları istenmektedir.

5.       İki hakemin olumlu görüş bildirdiği makaleler editörler tarafından benzerlik incelemesinden geçirilir. Makalelerdeki benzerliğin %25’ten küçük olması beklenir.

6.       Tüm aşamaları geçmiş olan bir bildiri dil ve sunuş açısından editör tarafından incelenir ve gerekli düzeltme ve iyileştirmeler yapılır. Gerekirse yazarlara durum bildirilir.

 88x31.png   Bu eser Creative Commons Atıf-GayriTicari 4.0 Uluslararası Lisansı ile lisanslanmıştır.