Attack tree based information technology security metric integrating enterprise objectives with vulnerabilities
- Global styles
- Apa
- Bibtex
- Chicago Fullnote
- Help
Abstract
Güvenlik, Bilgi Teknolojileri (BT) sistemleri için en önemli unsurlardan biri haline gelmektedir. Bu sistemlerin ve üzerlerindeki bilginin, gizlilik, bütünlük ve de erişilebilirliğinin sağlanması, öncelikli olarak sistemlerin maruz kaldığı güvenlik risklerinin analizini gerektirmektedir. Riskleri analiz etmek, önlem almak ve gerçekleşmesi durumunda sistemleri ayağa kaldırmak için ölçüt tabanlı bir yaklaşım gerekli olmaktadır. Yine bu risklere karşı alınacak karşı koymastratejilerinin önceliklendirmesinde ve de bu amaç için ayrılacak kaynakların belirlenmesinde, baz alınacak bilgi güvenliği risk ölçütleri gerekli olmaktadır. İlave olarak bu ölçütlerin tanımlanmasında, etki değerlendirmesinde ve önceliklendirme esnasında Kurumsal Amaç ve Hedeflerin sürecin odağında yeralması önşart olmalıdır. Bu sayede ölçütlerin kurum içerisindeki hem teknik hem de yönetici kademelerine faydalı olacak sonuçlar üretmesi mümkün olacaktır. Aynı zamanda uygulamada bu tür tehdit modellemelerinin ortaya koyduğu ölçeklenme sorunu da kurumsal hedeflerin sürece dahil olması ve ilk aşamadan itibaren ortaya konacak çabayı önceliklendirmesi ve sınırlandırması ile çözülebilmektedir. Bu çalışma çerçevesinde Kurumsal Hedefleri ve de Bilgi Varlıklarının güvenlik riski konumunu ölçümleyen Ağaç temelli Kurumsal Hedefler ve Risk Değerleme Ölçütü adlı bir yöntem geliştirilmektedir. Yöntem, kurumsal bir ortamda kullanılmış ve sonuçları da analiz edilerek bu çalışma kapsamında paylaşılmaktadır. Security is one of the key concerns in the domain of Information Technology systems. Maintaining the confidentiality, integrity and availability of such systems, mandates a rigorous prior analysis of the security risks that confront these systems. In order to analyze, mitigate and recover from these risks a metrics basedmethodology is essential in prioritizing the response strategies to these risks and also this approach is required for resource allocation schedules to mitigate such risks. In addition to that the Enterprise Objectives must be focally integrated in the definition, impact calculation and prioritization stages of this analysis to come up with metrics that are useful both for the technical and managerial communities within an organization. Also this inclusion will act as a preliminary filter to overcome the real life scalability issues inherent with such threat modeling efforts. Within this study an attack tree based approach will be utilized to offer an IT Security Risk Evaluation Method and Metric called TEOREM (Tree based Enterprise Objectives Risk Evaluation Method and Metric) that integrates the Enterprise Objectives with the Information Asset vulnerability analysis within an organization. Applicability of the method has been analyzed within a real life setting and the findings are discussed as well within this study.
Collections