MEHARI - MEHARI
MEHARI (BEN Mİthod için Htoplanmış Biranalizi risk) ücretsiz, açık kaynaklı bir bilgi risk analizi değerlendirmesidir ve risk bilgi güvenliği uzmanlarının kullanımı için yönetim yöntemi.
MEHARI, işletme yöneticilerinin, bilgi güvenliği / risk yönetimi uzmanlarının ve diğer paydaşların kuruluşun bilgi, bilgi sistemleri ve bilgi süreçleriyle (sadece BT değil) ilgili risklerini değerlendirmesini ve yönetmesini sağlar. Bilgi güvenliği risk yönetimiyle uyumlu olacak ve destekleyecek şekilde tasarlanmıştır. ISO / IEC 27005 özellikle bir bağlamda ISO / IEC 27001 uyumlu Bilgi Güvenliği Yönetim Sistemi (ISMS) veya benzer bir kapsayıcı güvenlik yönetimi veya yönetişim çerçevesi.
Tarih
MEHARI, 1990'ların ortalarından bu yana aşağıdaki standartları desteklemek için istikrarlı bir şekilde gelişti: ISO / IEC 27001, ISO / IEC 27002, ISO / IEC 27005 ve NIST SP 800-30. MEHARI Expert'in (2010) güncel sürümü, ISO 27001/27002: 2013 revizyon BGYS için bağlantılar ve destek içerir.
Açıklama
MEHARI Expert (2010), güçlü ve genişletilebilir bir bilgi tabanını aşağıdaki bilgi güvenliği risk analizi ve yönetim faaliyetlerini destekleyen esnek bir araç paketiyle birleştirir:
- Tehdit analizi: Üst düzey işletme yöneticileri, kuruluşun faaliyetlerini tanımlar, bu faaliyetleri olumsuz etkileyebilecek olası sorunları veya endişeleri listeler ve iş etkilerine değer atar.
- İlişkili organizasyonel, insani ve teknik varlıkları belirlemek ve haritalamak için iş süreçleri daha ayrıntılı analiz edilir.
- Varlıklar, üç klasik güvenlik kriterine (gizlilik, bütünlük, kullanılabilirlik) ve ayrıca geçerli yasa ve yönetmeliklere uyum ihtiyacına (örneğin kişisel bilgileri veya çevreyi korumak için) göre sınıflandırılır.
- Temsili tehdit olay türlerinin içsel olasılığı / olasılığı dikkate alınır.
- Bu unsurlar, risklerin içsel ciddiyetini analiz etmek ve değerlendirmek için otomatik olarak birleştirilir (bilgi tabanındaki 800 'senaryoya' dayanarak), öngörülen iş sonuçlarına göre en kritik ve ciddi olanları vurgular.
- Teşhis anketleri, kullanıcıların mevcut bilgi güvenliği önlemlerinin / kontrollerinin riskleri azaltma becerisini değerlendirmelerine yardımcı olur.
- Güvenlik önlemleri (organizasyonel ve teknik), ilgili yöneticiler ve profesyonellerle görüşülmek üzere hizmetler olarak gruplandırılır.
- Her bir risk senaryosunun mevcut ciddiyet seviyesi, mevcut güvenlik önlemlerinin etkinliği dikkate alınarak görüntülenir, mevcut bilgi güvenliği risk ortamının bir göstergesini verir ve iyileştirici çalışmaların önceliklendirilmesini önerir.
- Riskleri yönetmek için, ek güvenlik önlemlerinin beklenen etkinliğine ve bunların uygulanması için zaman çizelgelerine dayalı olarak eylem planları ve güvenlik projeleri seçilebilir. Önceki analiz, yönetimin bilgi güvenliğinin ticari faydalarını takdir etmesini ve dolayısıyla bilgi güvenliğine yapılan uygun yatırımı gerekçelendirmesini sağlar: tüm süreç iş odaklıdır.
MEHARI Expert (2010) 'in Excel kullanılarak oluşturulmuş kapsamlı bilgi bankası, hem İngilizce hem de Fransızca olarak interaktif bir araç olarak veya daha doğrusu, Yapabilmek ayrı ayrı kullanılabilir ancak uyumlu bir paket olarak tasarlanmıştır. Süreç ilerledikçe, bilgi tabanı elde edilen bilgilerle otomatik olarak genişler ve sonraki adımlar için girdi sağlar. Risklerin ve kontrollerin tutarlı analizi, büyük, çeşitli kuruluşların işletim birimlerini eşit bir temelde karşılaştırmasına ve karşılaştırmasına olanak tanır.
Aynı ilkelere dayalı ek uygulamalar ve araçlar Creative Commons lisansı altında geliştirilebilir.
Ayrıca bakınız
- Saldırı (bilgi işlem)
- Bilgisayar Güvenliği
- Bilgi Güvenliği
- Bilgi güvenliği yönetim sistemi
- BT riski
- Metodoloji
- Tehdit (bilgisayar)
- Güvenlik açığı (bilgi işlem)