Araştırma Makalesi
BibTex RIS Kaynak Göster

Kritik Altyapılarda Siber Risk Analizi ve Yönetimi

Yıl 2021, Cilt: 14 Sayı: 1, 15 - 33, 28.06.2021

Emre Kıran , İbrahim Soğukpınar

https://doi.org/10.54525/tbbmd.649913
Cited By: 1

Öz

İşlevini kısmen veya tamamen yerine getiremediğinde çevrenin, toplumsal düzenin ve kamu hizmetlerinin yürütülmesinin olumsuz etkilenmesi neticesinde, vatandaşların sağlık, güvenlik ve ekonomisi üzerinde ciddi etkiler oluşturacak ağ, varlık, sistem ve yapıların bütünü kritik altyapı olarak değerlendirmektedir. Bahse konu yapıların hayati önemi nedeniyle korunması ve korunabilmesi için de öncelikle değerinin bilinmesi ve hangi risklere maruz olduğunun tespiti gereklidir. Bu kapsamda yapılacak çalışmalar risk analizi olarak değerlendirilmekte olup, risk analizi kritik altyapının bozulmasının ya da yıkımının olası etkileri ile zayıf noktalarını değerlendirebilmek için ilgili tehdit senaryolarının göz önünde bulundurulmasıdır. Konunun öneminin gün geçtikçe artması nedeniyle hem ülkeler hem de uluslararası kuruluşlar tarafından standartların belirlenmesi, koruma çerçeveleri oluşturulması çalışmaları hız kazanmıştır. Bu çalışmada uluslararası standart ve çerçevelerden faydalanarak kritik altyapıların korunması, risk analizi ve yönetiminin yapılmasına yönelik bir çatı önerilmiştir.

Anahtar Kelimeler

Risk Analizi Kritik Altyapılar Katmanlı Mimari Senaryo Tabanlı Yaklaşım Risk Yönetim Standartları Perspektif Risk Yaklaşımı

Kaynakça

  • Gandhi R., Sharma A., Mahoney W., Sousan W., Zhu Q, Laplante P., Dimensions of Cyber-Attacks, IEEE Technology and Society Magazine, vol.30, issue.1, pp.28-38, Spring 2011.
  • CEC, 2004, Critical Infrastructure Protection in the Fight Against Terrorism, Commission of the European Communities.
  • BTK, 2011, Kritik Altyapıların Korunması Belgesi, Bilgi Teknolojileri ve İletişim Kurumu.
  • UDHB, 2015, 2016-2019 Ulusal Siber Güvenlik Strateji Belgesi, Ulaştırma Denizcilik ve Haberleşme Bakanlığı.
  • AFAD, 2014, 2014-2023 Kritik Altyapıların Korunması Yol Haritası Belgesi, Afet ve Acil Durum Yönetimi Başkanlığı.
  • Beggs P., Securing the Nation’s Critical Cyber Infrastructure, US Department of Homeland Security, February 2010.
  • Jung-Ho E., Nam-Uk K., Sung-Hwan K., Tai-Myoung C., Cyber Military Strategy for Cyberspace Superiority in Cyber Warfare, International Conference on Cyber Security, Cyber Warfare and Digital Forensic, 2012.
  • OECD, 2008, Working Party on Information Security and Privacy, Recommendations of the Council on the Protection of Critical Information Infrastructures, Organisation for Economic Co-operation and Development.
  • TSE, 2002, Bilgi Teknoloji-Bilgi Güvenliği Yönetimi İçin Uygulama Prensipleri, TS ISO/IEC 17799, Türk Standartları Enstitüsü.
  • ISO, 2005, 27001 Information Security Management System, International Organization for Standardization.
  • ISO, 2009, 31010 Risk Assessment Techniques, International Organization for Standardization.
  • ANSI, 2011, Z690.3 Risk Assessment Techniques, American National Standards Institute.
  • Security Service on behalf of the UK Government, CRAMM Management Guide, first published April 1996.
  • C&A System Security Limited. COBRA consultant products for Windows. Evaluation & User Guide, 2000.
  • Soğukpınar İ., Karabacak B., ISRAM: information security risk analysis method, Elsevier Computer & Security, vol. 24, issue.2, pp. 147-159, March 2005.
  • Christopher Alberts, Audree Dorofee, CarolWoody_Carnegie Mellon University, Introduction to the OCTAVE Approach, is sponsored by the Department of Defense, August 2003.
  • [Kailey MP, Jarratt P. RAMEX: a prototype expert system for computer security risk analysis and management. Computers& Security, 14(5):449-63, 1995.
  • Bilbao A. TUAR. A model of risk analysis in the security field, CH3119-5/92.IEEE, 1992.
  • Paulina J., Marek P., “Designing a Security Policy According to BS 7799 Using the OCTAVE Methodology”, Second International Conference on Availability, Reliability and Security (ARES’07), 2007.
  • Yong Q, Long X. Qianmu L., Information security risk assessment method based on CORAS frame, International Conference on Computer Science and Software Engineering, 12-14 December 2008.
  • Sarkheyli A., Ithnin N.B., Improving the current risk analysis techniques by study of their process and using the human body’s Immune System”, 5th International Symposium on Telecommunications, 4-6 December 2010.
  • ISO, 2009, 31000 Risk Management – Principles and Guidelines, International Organization for Standardization.
  • ISO, 2011, 27005 Information Security Risk Management, International Organization for Standardization.
  • NIST, 2011, 800-39 Managing Information Security Risk, National Institute of Standards and Technology.
  • Bagheri E., Ghorbani A.A., Risk Analysis in Critical Infrastructure Systems based on the Astrolabe Methodology, Fifth Annual Conference on Communication Networks and Services Research, 2007.
  • Romanowski C., Schneider J., Critical Infrastructure protection and risk analysis in the mid-size city, IEEE Conference on Technologies for Homeland Security, 13-15 November 2012.
  • Chen K.Y., Heckel-Jones C.A.C., Maupin N.G., Rubin S.M., Bogdanor J.M., Guo Z., Haimes Y.Y., Risk Analysis of GPS-Dependent Critical Infrastructure System of Systems, Systems and Information Engineering Design Symposium, 25 April 2014.
  • Giannopoulos G., Filippini R, Schimmer M., Theocharidou M., Risk Assessment Methodologies for Critical Infrastructure Protection, European Commission Joint Research Centre Institute for Protection and Security of the Citizen, Part – I EUR 25286 EN – 2012, Part – II EUR 27332 EN – 2015.
  • Kumaş E., Birgören B., E-Devlet Kapısı Projesi Bilgi Güvenliği ve Risk Yönetimi: Türkiye Uygulaması, Bilişim Teknolojileri Dergisi, Cilt.3, Sayı.2, Sayfa.29-36, Mayıs 2010.
  • Feglar T., Levy J.K., Protecting Cyber Critical Infrastructure (CCI): Integrating Information Security Risk Analysis and Environmental Vulnerability Analysis, IEEE International Engineering Management Conference, 18-21 October 2004.
  • Heo J., Shin J.W., Lee W., Won Y., Risk Analysis Methodology for New Critical Information Infrastructure, Third International Conference on Systems and Networks Communications, 26-31 October 2008.
  • Sierla S., Hurkala M., Charitoudi K., Security Risk Analysis for Smart Grid Automation, IEEE 23rd International Symposium on Industrial Electronics, 1-4 June 2014.
  • Yasakethu S.L.P., Jiang J., Graziano A., Intelligent Risk Detection and Analysis Tools for Critical Infrastructure Protection, IEEE Eurocon, 1-4 July 2013.
  • Guzman A., Ishida S., Choi E., Aoyama A., Artificial Intelligence Improving Safety and Risk Analysis: A Comparative Analysis for Critical Infrastructure, IEEE International Conference on Industrial Engineering and Engineering Management, 4-7 December 2016.
  • NIST, 2014, Framework for Improving Critical Infrastructure Cyber Security, National Institute of Standards and Technology.
  • Arno R.G., Stoyas E., Schuerger R., Risk Analysis for NEC Article 708 Critical Operations Power Systems, IEEE Industry Applications Society Annual Meeting, 4-8 October 2009.
  • Hua J., Bapna S., The Economic Impact of Cyber Terrorism, Elsevier The Journal of Strategic Information Systems, vol.22, issue.2, pp.175-186, June 2013.
  • Park W.H., Risk Analysis and Damage Assessment of Financial Institutions in Cyber Attacks between Nations, Elsevier Mathematical and Computer Modelling, vol.58, issue.11-12, pp.1845, December 2013.

Cyber Risk Analysis and Management for Critical Infrastructures

Yıl 2021, Cilt: 14 Sayı: 1, 15 - 33, 28.06.2021

Emre Kıran , İbrahim Soğukpınar

https://doi.org/10.54525/tbbmd.649913
Cited By: 1

Öz

As a result of the negative impact of the environment, the social order and the public services when it fails to fulfill its function partially or completely, it considers the network, assets, systems and structures that will have a serious impact on the health, safety and economy of the citizens as a critical infrastructure. In order to protect these buildings due to their vital importance, it is necessary to know the value and to determine which risks they are exposed to. The studies to be carried out in this scope are considered as risk analysis that is to take into account the related threat scenarios in order to evaluate the possible effects and weaknesses of the degradation or destruction of the critical infrastructure. As the importance of the issue has increased day by day, efforts have been accelerated by both countries and international organizations to set standards and to establish protection frameworks. In this work, a framework is proposed to form for the protection of critical infrastructures, risk analysis and management by making use of international standards and frameworks.

Anahtar Kelimeler

Risk Analysis Critical Infrastructures Layered Architecture Scenario-Based Approach Risk Management Standards Perspective Risk Approach

Kaynakça

  • Gandhi R., Sharma A., Mahoney W., Sousan W., Zhu Q, Laplante P., Dimensions of Cyber-Attacks, IEEE Technology and Society Magazine, vol.30, issue.1, pp.28-38, Spring 2011.
  • CEC, 2004, Critical Infrastructure Protection in the Fight Against Terrorism, Commission of the European Communities.
  • BTK, 2011, Kritik Altyapıların Korunması Belgesi, Bilgi Teknolojileri ve İletişim Kurumu.
  • UDHB, 2015, 2016-2019 Ulusal Siber Güvenlik Strateji Belgesi, Ulaştırma Denizcilik ve Haberleşme Bakanlığı.
  • AFAD, 2014, 2014-2023 Kritik Altyapıların Korunması Yol Haritası Belgesi, Afet ve Acil Durum Yönetimi Başkanlığı.
  • Beggs P., Securing the Nation’s Critical Cyber Infrastructure, US Department of Homeland Security, February 2010.
  • Jung-Ho E., Nam-Uk K., Sung-Hwan K., Tai-Myoung C., Cyber Military Strategy for Cyberspace Superiority in Cyber Warfare, International Conference on Cyber Security, Cyber Warfare and Digital Forensic, 2012.
  • OECD, 2008, Working Party on Information Security and Privacy, Recommendations of the Council on the Protection of Critical Information Infrastructures, Organisation for Economic Co-operation and Development.
  • TSE, 2002, Bilgi Teknoloji-Bilgi Güvenliği Yönetimi İçin Uygulama Prensipleri, TS ISO/IEC 17799, Türk Standartları Enstitüsü.
  • ISO, 2005, 27001 Information Security Management System, International Organization for Standardization.
  • ISO, 2009, 31010 Risk Assessment Techniques, International Organization for Standardization.
  • ANSI, 2011, Z690.3 Risk Assessment Techniques, American National Standards Institute.
  • Security Service on behalf of the UK Government, CRAMM Management Guide, first published April 1996.
  • C&A System Security Limited. COBRA consultant products for Windows. Evaluation & User Guide, 2000.
  • Soğukpınar İ., Karabacak B., ISRAM: information security risk analysis method, Elsevier Computer & Security, vol. 24, issue.2, pp. 147-159, March 2005.
  • Christopher Alberts, Audree Dorofee, CarolWoody_Carnegie Mellon University, Introduction to the OCTAVE Approach, is sponsored by the Department of Defense, August 2003.
  • [Kailey MP, Jarratt P. RAMEX: a prototype expert system for computer security risk analysis and management. Computers& Security, 14(5):449-63, 1995.
  • Bilbao A. TUAR. A model of risk analysis in the security field, CH3119-5/92.IEEE, 1992.
  • Paulina J., Marek P., “Designing a Security Policy According to BS 7799 Using the OCTAVE Methodology”, Second International Conference on Availability, Reliability and Security (ARES’07), 2007.
  • Yong Q, Long X. Qianmu L., Information security risk assessment method based on CORAS frame, International Conference on Computer Science and Software Engineering, 12-14 December 2008.
  • Sarkheyli A., Ithnin N.B., Improving the current risk analysis techniques by study of their process and using the human body’s Immune System”, 5th International Symposium on Telecommunications, 4-6 December 2010.
  • ISO, 2009, 31000 Risk Management – Principles and Guidelines, International Organization for Standardization.
  • ISO, 2011, 27005 Information Security Risk Management, International Organization for Standardization.
  • NIST, 2011, 800-39 Managing Information Security Risk, National Institute of Standards and Technology.
  • Bagheri E., Ghorbani A.A., Risk Analysis in Critical Infrastructure Systems based on the Astrolabe Methodology, Fifth Annual Conference on Communication Networks and Services Research, 2007.
  • Romanowski C., Schneider J., Critical Infrastructure protection and risk analysis in the mid-size city, IEEE Conference on Technologies for Homeland Security, 13-15 November 2012.
  • Chen K.Y., Heckel-Jones C.A.C., Maupin N.G., Rubin S.M., Bogdanor J.M., Guo Z., Haimes Y.Y., Risk Analysis of GPS-Dependent Critical Infrastructure System of Systems, Systems and Information Engineering Design Symposium, 25 April 2014.
  • Giannopoulos G., Filippini R, Schimmer M., Theocharidou M., Risk Assessment Methodologies for Critical Infrastructure Protection, European Commission Joint Research Centre Institute for Protection and Security of the Citizen, Part – I EUR 25286 EN – 2012, Part – II EUR 27332 EN – 2015.
  • Kumaş E., Birgören B., E-Devlet Kapısı Projesi Bilgi Güvenliği ve Risk Yönetimi: Türkiye Uygulaması, Bilişim Teknolojileri Dergisi, Cilt.3, Sayı.2, Sayfa.29-36, Mayıs 2010.
  • Feglar T., Levy J.K., Protecting Cyber Critical Infrastructure (CCI): Integrating Information Security Risk Analysis and Environmental Vulnerability Analysis, IEEE International Engineering Management Conference, 18-21 October 2004.
  • Heo J., Shin J.W., Lee W., Won Y., Risk Analysis Methodology for New Critical Information Infrastructure, Third International Conference on Systems and Networks Communications, 26-31 October 2008.
  • Sierla S., Hurkala M., Charitoudi K., Security Risk Analysis for Smart Grid Automation, IEEE 23rd International Symposium on Industrial Electronics, 1-4 June 2014.
  • Yasakethu S.L.P., Jiang J., Graziano A., Intelligent Risk Detection and Analysis Tools for Critical Infrastructure Protection, IEEE Eurocon, 1-4 July 2013.
  • Guzman A., Ishida S., Choi E., Aoyama A., Artificial Intelligence Improving Safety and Risk Analysis: A Comparative Analysis for Critical Infrastructure, IEEE International Conference on Industrial Engineering and Engineering Management, 4-7 December 2016.
  • NIST, 2014, Framework for Improving Critical Infrastructure Cyber Security, National Institute of Standards and Technology.
  • Arno R.G., Stoyas E., Schuerger R., Risk Analysis for NEC Article 708 Critical Operations Power Systems, IEEE Industry Applications Society Annual Meeting, 4-8 October 2009.
  • Hua J., Bapna S., The Economic Impact of Cyber Terrorism, Elsevier The Journal of Strategic Information Systems, vol.22, issue.2, pp.175-186, June 2013.
  • Park W.H., Risk Analysis and Damage Assessment of Financial Institutions in Cyber Attacks between Nations, Elsevier Mathematical and Computer Modelling, vol.58, issue.11-12, pp.1845, December 2013.
Toplam 38 adet kaynakça vardır.

Ayrıntılar

Birincil Dil Türkçe
Konular Mühendislik
Bölüm Makaleler(Araştırma)
Yazarlar

Emre Kıran 0000-0003-2511-5579

İbrahim Soğukpınar Bu kişi benim 0000-0002-0408-0277

Yayımlanma Tarihi 28 Haziran 2021
Yayımlandığı Sayı Yıl 2021 Cilt: 14 Sayı: 1

Kaynak Göster

APA Kıran, E., & Soğukpınar, İ. (2021). Kritik Altyapılarda Siber Risk Analizi ve Yönetimi. Türkiye Bilişim Vakfı Bilgisayar Bilimleri Ve Mühendisliği Dergisi, 14(1), 15-33. https://doi.org/10.54525/tbbmd.649913
AMA Kıran E, Soğukpınar İ. Kritik Altyapılarda Siber Risk Analizi ve Yönetimi. TBV-BBMD. Haziran 2021;14(1):15-33. doi:10.54525/tbbmd.649913
Chicago Kıran, Emre, ve İbrahim Soğukpınar. “Kritik Altyapılarda Siber Risk Analizi Ve Yönetimi”. Türkiye Bilişim Vakfı Bilgisayar Bilimleri Ve Mühendisliği Dergisi 14, sy. 1 (Haziran 2021): 15-33. https://doi.org/10.54525/tbbmd.649913.
EndNote Kıran E, Soğukpınar İ (01 Haziran 2021) Kritik Altyapılarda Siber Risk Analizi ve Yönetimi. Türkiye Bilişim Vakfı Bilgisayar Bilimleri ve Mühendisliği Dergisi 14 1 15–33.
IEEE E. Kıran ve İ. Soğukpınar, “Kritik Altyapılarda Siber Risk Analizi ve Yönetimi”, TBV-BBMD, c. 14, sy. 1, ss. 15–33, 2021, doi: 10.54525/tbbmd.649913.
ISNAD Kıran, Emre - Soğukpınar, İbrahim. “Kritik Altyapılarda Siber Risk Analizi Ve Yönetimi”. Türkiye Bilişim Vakfı Bilgisayar Bilimleri ve Mühendisliği Dergisi 14/1 (Haziran 2021), 15-33. https://doi.org/10.54525/tbbmd.649913.
JAMA Kıran E, Soğukpınar İ. Kritik Altyapılarda Siber Risk Analizi ve Yönetimi. TBV-BBMD. 2021;14:15–33.
MLA Kıran, Emre ve İbrahim Soğukpınar. “Kritik Altyapılarda Siber Risk Analizi Ve Yönetimi”. Türkiye Bilişim Vakfı Bilgisayar Bilimleri Ve Mühendisliği Dergisi, c. 14, sy. 1, 2021, ss. 15-33, doi:10.54525/tbbmd.649913.
Vancouver Kıran E, Soğukpınar İ. Kritik Altyapılarda Siber Risk Analizi ve Yönetimi. TBV-BBMD. 2021;14(1):15-33.

Cited By

https://doi.org/
 Kapak Resmi İndir

https://i.creativecommons.org/l/by-nc/4.0Makale Kabulü

 

Çevrimiçi makale yüklemesi yapmak için kullanıcı kayıt/girişini kullanınız.

Dergiye gönderilen makalelerin kabul süreci şu aşamalardan oluşmaktadır:

1.       Gönderilen her makale ilk aşamada en az iki hakeme gönderilmektedir.

2.       Hakem ataması, dergi editörleri tarafından yapılmaktadır. Derginin hakem havuzunda yaklaşık 200 hakem bulunmaktadır ve bu hakemler ilgi alanlarına göre sınıflandırılmıştır. Her hakeme ilgilendiği konuda makale gönderilmektedir. Hakem seçimi menfaat çatışmasına neden olmayacak biçimde yapılmaktadır.

3.       Hakemlere gönderilen makalelerde yazar adları kapatılmaktadır.

4.       Hakemlere bir makalenin nasıl değerlendirileceği açıklanmaktadır ve aşağıda görülen değerlendirme formunu doldurmaları istenmektedir.

5.       İki hakemin olumlu görüş bildirdiği makaleler editörler tarafından benzerlik incelemesinden geçirilir. Makalelerdeki benzerliğin %25’ten küçük olması beklenir.

6.       Tüm aşamaları geçmiş olan bir bildiri dil ve sunuş açısından editör tarafından incelenir ve gerekli düzeltme ve iyileştirmeler yapılır. Gerekirse yazarlara durum bildirilir.

 88x31.png   Bu eser Creative Commons Atıf-GayriTicari 4.0 Uluslararası Lisansı ile lisanslanmıştır.