Azərbaycanca
Беларускі
Dansk
Deutsch
Española
Français
Indonesia
Italiana
日本語
Қазақ
Lietuvos
Nederlands
Português
Русский
සිංහල
แบบไทย
Türkçe
Українська
中國人
United State
Afrikaans
Tehdide açıklık, Açıklık,Savunmasızlık (vulnerability) Risk konusunda kaynaklarda vulnerability ifadesinin karşılığı olarak bu üç isimde kullanılmaktadır.
Fakat Açıklık ve Savunmasızlık çok genel ifadeler olduğundan Tehdide Açıklık ifadesi konuya çok daha açıklayıcı bir isim olmaktadır.
Tehdide Açıklık Konusunun Tanımı içinde özü aynı olmakla beraber farklı kaynaklarda farklı ifadeler bulunmaktadır.Bunlardan bazıları
- Bir kıymeti tehditlere karşı korumasız hale getiren unsurlar.
- Sistem prosedürlerinde, tasarımda, uygulamada veya iç kontrollerde bulunan ve güvenliği ihlal olayına sebep olabilecek zayıflık, hata veya kusurlardır.
- İç kaynaklı sistemik hassasiyetlerin dış kaynaklı tehlikelerin etkisini artırmasını ifade etmektedir.
Tehdide Açıklıklar tek başlarına tehlike oluşturmazlar ve gerçekleşmeleri için bir tehdidin mevcut olması gerekir.
Bu konuyla ilgili olarak The Geneva Association (Cenevre Derneği 22 Eylül 1973 tarihinde Paris’te bir komite girişimi altında ilk kez bir araya gelmiş olup "Sigorta ve ekonomi çalışması için uluslararası bir dernek" olarak kurulmuştur ve 40 yılı aşkın bir zamandır sigorta analizi ve risk yönetimi konusunda araştırma yapmaktadır.) organizasyonunda Working Paper Series of The Geneva Association adıyla yılda 10-12 kez yayınlanan dokümanlardan Mart 2006 da Brian Woodrow tarafından hazırlanan Risk ve tehlike için alternatif bir çerçeve olarak tehdide açıklık (Vulnerability as an alternative framework to risk and hazard) adlı dokümanda
Tehdide açıklığın kümeleri olarak
1)Teknolojik
2)Çevre/Sağlık
3)Kurumsal/Kuruluş
4)Ekonomik/Finansal
Verilmektedir.
Ayrıca Tehdide açıklık,Belirsizlik, Risk ve Tehlike arasındaki ilişki olarak (Vulnerability in Relation to Uncertainty, Risk and Hazard)
TEHDİDE AÇIKLIK (VULNERABILITY) :Nedenleriyle veya belirsiz sonuçlarıyla meydana gelen doğal veya ikinci derecedeki durum(Inherent Or Circumstantial Condition Which Could Result in an Event/Outcome Occurring, With Causes or Consequences Unspecified).
TEHLİKE (HAZARD): Manevi zarar da dahil olmak üzere oluşacak olay ve sonucun beklenen olasılık ve onun sonucunun kabulü (Including Moral Hazard –Expectation That Some Particular Event/Outcome Will Occur, Including Acceptance of its Probability and Its Known Consequences).
BELİRSİZLİK (UNCERTAINTY):Herhangi bir olay veya olası sonuçları dahil olmak üzere ne veya nasıl meydana geleceğin bilinmezliği (Not Knowing What Will Occur or Why, Including Any Particular Event or Possible Consequences).
RİSK (RISK):Belirtilen sonuçları ve maliyetiyle birlikte meydana gelebilecek belirli bir olay veya oluşların olasılığı (Probability That Some Particular Event or Outcome Will Occur, With Specified Consequences and Costs).
Açıklık değerlendirmesi, tehditler tarafından gerçekleştirilebilecek açıklıkları ve bu açıklıkların ne kadar kolay gerçekleştirilebileceğini ele alır. Açıklıkların belirlenmesinde de varlık belirlemesinde anlatılan anket, birebir görüşme, dokümantasyon ve otomatik tarama araçları gibi yöntemler kullanılabilir. Ayrıca aşağıdaki kaynakların kullanımı da önerilmektedir.
- Açıklık listeleri ve açıklık veritabanları
(Örneğin http://nvd.nist.gov/ 22 Aralık 2015 tarihinde Wayback Machine sitesinde ., , http://www.securityfocus.com/vulnerabilities11 Ocak 2016 tarihinde Wayback Machine sitesinde .)
- Önceki BT sistemi denetim raporları, test raporları, hata raporları
- Önceki Risk değerlendirme dokümanları
- Üreticiler tarafından yayınlanan uyarılar
- Güvenlikle ilgili web sayfaları ve e-posta listeleri
- Yazılım güvenlik analizleri
- Sistem güvenlik taramalarının ve sızma testlerinin sonuçları
Aşağıdaki listede bazı örnek açıklıklar ve bu açıklıkları gerçekleyebilecek tehditler verilmiştir.
Altyapı ve çevreyle ilgili açıklıklar
- Binada yeterli fiziksel güvenliğin bulunmaması (hırsızlık)
- Binalara ve odalara girişlerde yetersiz fiziksel kontrol (kasten zarar verme)
- Eski güç kaynakları (güç dalgalanmaları)
- Deprem bölgesinde bulunan yapılar (deprem)
- Herkesin erişebildiği kablosuz ağlar (hassas bilginin açığa çıkması, yetkisiz erişim)
- Dış kaynak kullanımında işletilen prosedür ve yönetmeliklerin veya şartnamelerin eksikliği/yetersizliği (yetkisiz erişim)
Donanımlarla ilgili açıklıklar
- Periyodik yenilemenin yapılmaması (saklama ortamlarının eskimesi, donanımların bozulması nedeniyle erişimin durması)
- Voltaj değişikliklerine, ısıya, neme, toza duyarlılık (güç dalgalanmaları, erişim güçlükleri vs.)
- Periyodik bakım eksikliği (bakım hataları)
- Değişim yönetimi eksikliği (kullanıcı hataları)
Yazılımlarla ilgili açılıklar
- Yama yönetimi eksikliği/yetersizliği (yetkisiz erişim, hassas bilginin açığa çıkması)
- Kayıt yönetimi eksikliği/ yetersizliği (yetkisiz erişim)
- Kimlik tanımlama ve doğrulama eksiklikleri (yetkisiz erişim, başkalarının kimliğine bürünme)
- Şifre yönetimi yetersizliği (yetkisiz erişim, başkalarının kimliğine bürünme)
- Şifre veritabanlarının korunmaması (yetkisiz erişim, başkalarının kimliğine bürünme)
- Erişim izinlerinin yanlış verilmesi (yetkisiz erişim)
- İzinsiz yazılım yüklenmesi ve kullanılması (zararlı yazılımlar, yasal gerekliliklere uyum)
- Saklama ortamlarının doğru silinmemesi ve imha edilmemesi (hassas verinin ortaya çıkması, yetkisiz erişim)
Dokümantasyon eksikliği/yetersizliği (kullanıcı hataları)
- Yazılım gereksinimlerinin yanlış veya eksik belirlenmesi (yazılım hataları)
- Yazılımların yeterli test edilmemesi (yetkisiz erişim, yazılımların yetkisiz kullanımı)
Haberleşmeyle ilgili açıklıklar
- Korunmayan haberleşme hatları (haberleşmenin dinlenmesi)
- Hat üzerinden şifrelerin açık olarak iletilmesi (yetkisiz erişim)
- Telefon hatlarıyla kurum ağına erişim (yetkisiz erişim)
- Ağ yönetimi yetersizliği/eksikliği (trafiğin aşırı yüklenmesi)
Dokümanlarla ilgili açıklıklar
- Dokümanların güvensiz saklanması (hırsızlık)
- Dokümanların kontrolsüz çoğaltılması (hırsızlık)
- Dokümanların imha edilmemesi (hırsızlık, hassas bilginin açığa çıkması)
Personel ile ilgili açıklıklar
- Eğitimi eksikliği (personel hataları)
- Güvenlik farkındalığı eksikliği (kullanıcı hataları)
- Donanımların veya yazılımların yanlış kullanılması (personel hataları)
- İletişim ve mesajlaşma ortamların kullanımını düzenleyen politikanın eksikliği/yetersizliği (yetkisiz erişim)
- İşe alımda yetersiz özgeçmiş incelemesi ve doğrulaması (kasten zarar verme)
Bu madde, uygun değildir. (Haziran 2017) |
Kaynakça
wikipedia, wiki, viki, vikipedia, oku, kitap, kütüphane, kütübhane, ara, ara bul, bul, herşey, ne arasanız burada,hikayeler, makale, kitaplar, öğren, wiki, bilgi, tarih, yukle, izle, telefon için, turk, türk, türkçe, turkce, nasıl yapılır, ne demek, nasıl, yapmak, yapılır, indir, ücretsiz, ücretsiz indir, bedava, bedava indir, mp3, video, mp4, 3gp, jpg, jpeg, gif, png, resim, müzik, şarkı, film, film, oyun, oyunlar, mobil, cep telefonu, telefon, android, ios, apple, samsung, iphone, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, pc, web, computer, bilgisayar
Tehdide aciklik Aciklik Savunmasizlik vulnerability Risk konusunda kaynaklarda vulnerability ifadesinin karsiligi olarak bu uc isimde kullanilmaktadir Fakat Aciklik ve Savunmasizlik cok genel ifadeler oldugundan Tehdide Aciklik ifadesi konuya cok daha aciklayici bir isim olmaktadir Tehdide Aciklik Konusunun Tanimi icinde ozu ayni olmakla beraber farkli kaynaklarda farkli ifadeler bulunmaktadir Bunlardan bazilari Bir kiymeti tehditlere karsi korumasiz hale getiren unsurlar Sistem prosedurlerinde tasarimda uygulamada veya ic kontrollerde bulunan ve guvenligi ihlal olayina sebep olabilecek zayiflik hata veya kusurlardir Ic kaynakli sistemik hassasiyetlerin dis kaynakli tehlikelerin etkisini artirmasini ifade etmektedir Tehdide Acikliklar tek baslarina tehlike olusturmazlar ve gerceklesmeleri icin bir tehdidin mevcut olmasi gerekir Bu konuyla ilgili olarak The Geneva Association Cenevre Dernegi 22 Eylul 1973 tarihinde Paris te bir komite girisimi altinda ilk kez bir araya gelmis olup Sigorta ve ekonomi calismasi icin uluslararasi bir dernek olarak kurulmustur ve 40 yili askin bir zamandir sigorta analizi ve risk yonetimi konusunda arastirma yapmaktadir organizasyonunda Working Paper Series of The Geneva Association adiyla yilda 10 12 kez yayinlanan dokumanlardan Mart 2006 da Brian Woodrow tarafindan hazirlanan Risk ve tehlike icin alternatif bir cerceve olarak tehdide aciklik Vulnerability as an alternative framework to risk and hazard adli dokumanda Tehdide acikligin kumeleri olarak 1 Teknolojik 2 Cevre Saglik 3 Kurumsal Kurulus 4 Ekonomik Finansal Verilmektedir Ayrica Tehdide aciklik Belirsizlik Risk ve Tehlike arasindaki iliski olarak Vulnerability in Relation to Uncertainty Risk and Hazard TEHDIDE ACIKLIK VULNERABILITY Nedenleriyle veya belirsiz sonuclariyla meydana gelen dogal veya ikinci derecedeki durum Inherent Or Circumstantial Condition Which Could Result in an Event Outcome Occurring With Causes or Consequences Unspecified TEHLIKE HAZARD Manevi zarar da dahil olmak uzere olusacak olay ve sonucun beklenen olasilik ve onun sonucunun kabulu Including Moral Hazard Expectation That Some Particular Event Outcome Will Occur Including Acceptance of its Probability and Its Known Consequences BELIRSIZLIK UNCERTAINTY Herhangi bir olay veya olasi sonuclari dahil olmak uzere ne veya nasil meydana gelecegin bilinmezligi Not Knowing What Will Occur or Why Including Any Particular Event or Possible Consequences RISK RISK Belirtilen sonuclari ve maliyetiyle birlikte meydana gelebilecek belirli bir olay veya oluslarin olasiligi Probability That Some Particular Event or Outcome Will Occur With Specified Consequences and Costs Aciklik degerlendirmesi tehditler tarafindan gerceklestirilebilecek acikliklari ve bu acikliklarin ne kadar kolay gerceklestirilebilecegini ele alir Acikliklarin belirlenmesinde de varlik belirlemesinde anlatilan anket birebir gorusme dokumantasyon ve otomatik tarama araclari gibi yontemler kullanilabilir Ayrica asagidaki kaynaklarin kullanimi da onerilmektedir Aciklik listeleri ve aciklik veritabanlari Ornegin http nvd nist gov 22 Aralik 2015 tarihinde Wayback Machine sitesinde http www securityfocus com vulnerabilities11 Ocak 2016 tarihinde Wayback Machine sitesinde Onceki BT sistemi denetim raporlari test raporlari hata raporlari Onceki Risk degerlendirme dokumanlari Ureticiler tarafindan yayinlanan uyarilar Guvenlikle ilgili web sayfalari ve e posta listeleri Yazilim guvenlik analizleri Sistem guvenlik taramalarinin ve sizma testlerinin sonuclari Asagidaki listede bazi ornek acikliklar ve bu acikliklari gercekleyebilecek tehditler verilmistir Altyapi ve cevreyle ilgili acikliklar Binada yeterli fiziksel guvenligin bulunmamasi hirsizlik Binalara ve odalara girislerde yetersiz fiziksel kontrol kasten zarar verme Eski guc kaynaklari guc dalgalanmalari Deprem bolgesinde bulunan yapilar deprem Herkesin erisebildigi kablosuz aglar hassas bilginin aciga cikmasi yetkisiz erisim Dis kaynak kullaniminda isletilen prosedur ve yonetmeliklerin veya sartnamelerin eksikligi yetersizligi yetkisiz erisim Donanimlarla ilgili acikliklar Periyodik yenilemenin yapilmamasi saklama ortamlarinin eskimesi donanimlarin bozulmasi nedeniyle erisimin durmasi Voltaj degisikliklerine isiya neme toza duyarlilik guc dalgalanmalari erisim guclukleri vs Periyodik bakim eksikligi bakim hatalari Degisim yonetimi eksikligi kullanici hatalari Yazilimlarla ilgili aciliklar Yama yonetimi eksikligi yetersizligi yetkisiz erisim hassas bilginin aciga cikmasi Kayit yonetimi eksikligi yetersizligi yetkisiz erisim Kimlik tanimlama ve dogrulama eksiklikleri yetkisiz erisim baskalarinin kimligine burunme Sifre yonetimi yetersizligi yetkisiz erisim baskalarinin kimligine burunme Sifre veritabanlarinin korunmamasi yetkisiz erisim baskalarinin kimligine burunme Erisim izinlerinin yanlis verilmesi yetkisiz erisim Izinsiz yazilim yuklenmesi ve kullanilmasi zararli yazilimlar yasal gerekliliklere uyum Saklama ortamlarinin dogru silinmemesi ve imha edilmemesi hassas verinin ortaya cikmasi yetkisiz erisim Dokumantasyon eksikligi yetersizligi kullanici hatalari Yazilim gereksinimlerinin yanlis veya eksik belirlenmesi yazilim hatalari Yazilimlarin yeterli test edilmemesi yetkisiz erisim yazilimlarin yetkisiz kullanimi Haberlesmeyle ilgili acikliklar Korunmayan haberlesme hatlari haberlesmenin dinlenmesi Hat uzerinden sifrelerin acik olarak iletilmesi yetkisiz erisim Telefon hatlariyla kurum agina erisim yetkisiz erisim Ag yonetimi yetersizligi eksikligi trafigin asiri yuklenmesi Dokumanlarla ilgili acikliklar Dokumanlarin guvensiz saklanmasi hirsizlik Dokumanlarin kontrolsuz cogaltilmasi hirsizlik Dokumanlarin imha edilmemesi hirsizlik hassas bilginin aciga cikmasi Personel ile ilgili acikliklar Egitimi eksikligi personel hatalari Guvenlik farkindaligi eksikligi kullanici hatalari Donanimlarin veya yazilimlarin yanlis kullanilmasi personel hatalari Iletisim ve mesajlasma ortamlarin kullanimini duzenleyen politikanin eksikligi yetersizligi yetkisiz erisim Ise alimda yetersiz ozgecmis incelemesi ve dogrulamasi kasten zarar verme Bu madde Vikipedi bicem el kitabina uygun degildir Maddeyi Vikipedi standartlarina uygun bicimde duzenleyerek Vikipedi ye katkida bulunabilirsiniz Gerekli duzenleme yapilmadan bu sablon kaldirilmamalidir Haziran 2017 Kaynakca Arsivlenmis kopya 24 Eylul 2020 tarihinde kaynagindan Erisim tarihi 3 Ekim 2020 TUBITAK UEKAE BGYS RISK YONETIM SURECI KILAVUZU