Risk Değerlendirmesi, hangi bilgi varlıklarının korunacağını belirledikten sonra, risk, kuruluş için uygun risk değerlendirme yöntemini seçerek tanımlanır. Seçilen risk değerlendirme yöntemine göre, bilgi varlıkları örnekte gösterilen risk haritasına yerleştirilir. Değerlendirmeden sonra risk değerlendirme haritası, yüksek olasılıkla tehdit ve tehdit risklerinin iyileştirilmesi ve kontrol edilmesi süreçlerini kapsar. Bilgi değerlendirme risk haritasında değişebileceğinden, risk değerlendirme haritası düzenli olarak güncellenmeli ve gerekli önlemler alınmalıdır.
Risk, bir olayın birleşimi ve bu olayın sonucunun olasılıkları olarak tanımlanır. Risk yönetiminin bir aşaması olan risk değerlendirmesi, risklerin tanımlandığı ve tespit edilen bu risklerin etki ve önceliklerinin belirlendiği bir süreçtir. Risk yönetimi, kabul edilebilir bir risk seviyesinin belirlenmesi, mevcut riskin değerlendirilmesi, bu riski kabul edilebilir bir seviyeye indirmek için gerekli adımların atılması ve bu risk seviyesinin sürdürülmesidir. Bilgi ve diğer varlıklar, bu varlıklara yönelik tehditler, mevcut sistemdeki güvenlik açıkları ve güvenlik sistemi denetimleri mevcut riski belirleyen bileşenlerdir. Korunacak bilgilerin veya varlıkların tanımlanması; bu varlıkların kuruluşlar için ne kadar değerli olduğunu belirlemek; bu varlıklara yönelik bilinen ve potansiyel tehditlerden hangisinin önlenebileceğini belirlemek; olası kayıpların nasıl olabileceğini araştırmak; Her bir varlığa yönelik potansiyel tehditlerin derecesini belirlemek; Risk değerlendirmesinin ana adımları, bu varlıklarda doğabilecek zararların büyüklüğünü ve olasılığını azaltmak için ilk etapta neler yapılabileceğinin incelenmesi ve gelecekteki tehditlerin en aza indirilmesi için atılması gereken adımların planlanmasıdır.
Risk yönetiminin bir sonucu olarak kurulacak ve uygulanacak güvenlik sisteminin maliyeti de önemli bir husustur. Güvenlik sisteminin maliyeti, korunan bilgilerin değeri ve olası tehditlerin incelenmesiyle belirlenen risk ile sınırlı olmalıdır. % 100 güvenliğin varolmayacağı ilkesiyle, bilgi güvenliğinin ideal yapılanması üç süreçle gerçekleştirilmektedir. Bu süreçler önleme, tespit ve cevaptır.
önleme; güvenlik sistemlerinin en çok odaklandığı ve çalıştığı süreçtir. Sistemi bir evde eskrim için çelik kapı kullanımı, çelik kapılar vb. Gibi bilgisayar sistemlerine karşı tehdit ve saldırılara karşı yalıtmak için çeşitli önlemler geliştirilmektedir. Kişisel bilgisayar güvenliği, kurulacak virüs tarama programları, bu programlar ve işletim sistem servis paketleri ve hata düzeltmeleri ve güncellemeleri düzenli aralıklarla yapılacak, bilgisayar sistemden ayrılmak için uzun süre sistemden ayrıldığında kullanılan parola korumalı ekran koruyucunun kullanılması, kullanılan şifreler tanımlanması, bu şifrelerin gizli tutulması ve periyodik olarak değiştirilmesi, disk paylaşımının yapılması, İnternet üzerinden indirilen veya e-postayla gönderilen dosyalara dikkat edilmesi, önemli belgelerin şifresinin korunması veya şifrelenmesi, gizli veya önemli bilgilerin e-posta, güvenlik, Sertifikalı siteler, yetkisiz erişime izin vermeme, kullanımda değilken İnternet erişimini kapatma, önemli bilgilerin düzenli olarak yedeklenmesi gibi önlemler alır. ation ve belgeler, vb. Hayat kurtarıcı ancak hayat kurtarıcı önlemler.
Bilgisayar güvenliğinde atılacak önleyici adımlar daha kapsamlı ve karmaşıktır. Güvenlik uzmanlarının çalıştığı sistemlerde, önleyici tedbirlerin bazıları;
Hizmet paketlerini ve işletim sistemleri ve yazılım güncellemelerini periyodik olarak incelemek,
Kullanılmayan protokolleri, hizmetleri, bileşenleri ve işlemleri kullanmamak, kullanıcı haklarını asgari düzeyde tutmak,
Şifreleme tekniklerinin kullanımı, güvenlik açığı tarayıcıları, veri iletişiminde Sanal Özel Ağ,
Açık Anahtar Altyapısı ve e-imza kullanımı ile
Biyometrik sistemlerin kullanımı.
Aslında, önleme sürecinde belirlenen süreç mükemmel olabilirse, daha sonraki süreçlere gerek kalmayacaktı. Tüm saldırılar baştan engellenecek. Ancak hiçbir güvenlik ürünü kusursuz veya eksiksiz değildir. Ayrıca, neredeyse her gün işletim sistemlerinde, İnternet hizmetlerinde, web teknolojilerinde ve güvenlik uygulamalarında çeşitli güvenlik açıkları tanımlanmaktadır. Bu bakımdan, algılama ve yanıt işlemlerinin kullanılması çok önemlidir.
Belirleme; Güvenlik sadece bir önleme meselesi değildir. Örneğin, müzenin etrafını çevreleyen iyi bir korumaya sahip olması, kapıları kapalı ve kilitli tutması, müzenin gece bekçi kullanımını gerektirmez. Aynı şekilde, bilgisayar sistemlerinde saldırı denemelerini tespit etmek için yöntemler kullanmak gerekir. Önleme, saldırıları daha zor (ama imkansız değil) yapan veya saldırganları cesaretlendiren (ancak yok etme) engelleyen bir engel inşa etmeyi mümkün kılar. Tespitten kaçınılması ve hiçbir müdahalenin yapılmaması yalnızca sınırlı bir fayda sağlayabilir. Sadece önleme ile tatmin olmuşlarsa, saldırıların çoğu bunun farkında olamazdı. Tespiti ile önceden bilinen veya yeni ortaya çıkan saldırılar rapor edilebilir ve uygun cevaplar verilebilir. Tespitte ilk ve en temel adım, tüm durumun ve sistemin hareketinin izlenmesi ve bu bilgilerin kaydedilmesidir. Bu şekilde, saldırı sonrası analiz için veriler ve kanıtlar toplanacaktır. Güvenlik duvarları, izinsiz giriş tespit sistemleri, erp muhasebe programı ağ trafiği izleyicileri, kapı (port) tarayıcıları, bal küpü kullanımı, virüs ve casus yazılım araçlarına karşı gerçek zamanlı koruma, dosya sağlama toplamı (sağlama toplamı) kontrol programları ve ağ Sniffer sensörleri, en sık kullanılan yöntemlerden bazılarıdır. algılama işlemi
Tepki; Gardiyanlar, köpekler, güvenlik kameraları, algılayıcılarla donatılmış bir yer gibi gerçek zamanlı algılama sistemli bilgisayar sistemleri hırsızların dikkatini çeker, bilgisayar korsanları ve bilgisayar korsanları için de çekicidir. Hızlı tepki, bu saldırıları engellemek için güvenlik sistemini tamamlayan temel bir unsurdur. Müdahale, önleme süreciyle üstesinden gelinemeyecek olan eylemlerin yürütülmesi olarak tanımlanabilir ve varsa, derhal veya derhal tespit işlemleri tarafından belirlenir. İzinsiz giriş tespit sistemleri, bu bulguya cevap verecek biri veya sistemi varsa anlamlı olabilir. Aksi halde, bu durum kimsenin duyamayacağı ya da umursamadığı bir araba alarmının faydasının ötesine geçmez. Bu bakımdan cevap, güvenlik sürecini tamamlayan önemli bir halkadır. Saldırı tamamen önlenmemiş olsa bile; sistemin normal durumuna dönmesini, saldırının nedenlerini tanımlamasını, saldırganı gerektiğinde ele geçirmesini, güvenlik sistemi açıklarını tespit etmesini ve önleme, tespit ve müdahale süreçlerini yeniden düzenlemesini sağlar. Saldırı tespit edildiğinde yapılacak işlerin iyi planlanması, bu sürecin etkili çalışmasını ve zaman ve para kaybetmemesini sağlayacaktır. Felaket kurtarma (felaket kurtarma), bu aşama ve en kötü durum için en önemli planlardan biridir.
E-Ticaret 