Güvenlik açığı değerlendirmesi - Vulnerability assessment - Wikipedia

Bir güvenlik açığı değerlendirmesi belirleme, niceleme ve önceliklendirme (veya sıralama) sürecidir. güvenlik açıkları bir sistemde. Güvenlik açığı değerlendirmelerinin yapıldığı sistemlerin örnekleri arasında, bunlarla sınırlı olmamak üzere, Bilişim teknolojisi sistemler enerji kaynağı sistemler su tedarik etmek sistemler ulaşım sistemler ve iletişim sistemleri. Bu tür değerlendirmeler, küçük işletmelerden büyük bölgesel altyapılara kadar bir dizi farklı kuruluş adına yapılabilir. Bakış açısıyla güvenlik açığı Afet Yönetimi Potansiyel tehlikelerden nüfusa ve altyapıya yönelik tehditlerin değerlendirilmesi anlamına gelir. Politik, sosyal, ekonomik veya çevresel alanlarda gerçekleştirilebilir.

Güvenlik açığı değerlendirmesinin birçok ortak noktası vardır. risk değerlendirmesi. Değerlendirmeler tipik olarak aşağıdaki adımlara göre gerçekleştirilir:

  1. Bir sistemdeki varlıkları ve yetenekleri (kaynakları) kataloglama.
  2. Bu kaynaklara ölçülebilir değer (veya en azından sıra sıralaması) ve önem atama
  3. Her bir kaynağa yönelik güvenlik açıklarını veya potansiyel tehditleri belirleme
  4. En değerli kaynaklar için en ciddi güvenlik açıklarını azaltmak veya ortadan kaldırmak

"Klasik risk analizi temelde bir tesisi (veya başka bir nesneyi) çevreleyen riskleri, tasarımını ve operasyonlarını araştırmakla ilgilidir. Bu tür bir analiz, çalışılan nesnenin nedenlerine ve doğrudan sonuçlarına odaklanma eğilimindedir. Güvenlik açığı analizi Öte yandan, hem nesnenin kendisi için sonuçlara hem de çevredeki çevre için birincil ve ikincil sonuçlara odaklanır. Aynı zamanda, bu tür sonuçları azaltma ve gelecekteki olayları yönetme kapasitesini geliştirme olasılıklarıyla da ilgileniyor. "(Lövkvist-Andersen, et al., 2004) Genel olarak, bir güvenlik açığı analizi, "önemli varlıkları kategorilere ayırmaya ve risk yönetimi sürecini yürütmeye" hizmet eder. (Amerika Birleşik Devletleri Enerji Bakanlığı, 2002)1

Amerika Birleşik Devletleri'nde, bir güvenlik açığı değerlendirmesinin tamamlanması için değerli hususlar ve şablonlar sağlayan kılavuzlar, Enerji Bakanlığı, Çevre Koruma Ajansı ve Amerika Birleşik Devletleri Ulaştırma Bakanlığı dahil olmak üzere çok sayıda kurumdan sadece birkaç isim için temin edilebilir.

Turner ve diğerleri dahil olmak üzere birçok akademik araştırma makalesi. (2003),[1] Ford ve Smith (2004),[2] Adger (2006),[3] Fraser (2007)[4] ve Patt vd. (2010)[5] diğerlerinin yanı sıra, güvenlik açığı araştırmalarındaki çeşitli epistemolojiler ve metodolojilerin ayrıntılı bir incelemesini sağladı. Turner vd. (2003)[1] örneğin, güvenlik açığı analizinde yer alan karmaşıklığı ve etkileşimleri gösteren, birkaç insan-çevre sisteminin savunmasızlığını potansiyel olarak etkileyen faktör ve bağlantı dizisine dikkat çeken bir çerçeve önerdi. Çerçeve, ani değişikliklere karşı savunmasız durumlar yaratmak için sosyal ve çevresel güçlerin nasıl etkileşimde bulunduğunu göstermek için iç içe geçmiş akış şemalarından yararlanır. Ford ve Smith (2004), Kanada arktik toplulukları ile yapılan araştırmalara dayanan analitik bir çerçeve önermektedir. İlk aşamanın, riskleri ve mevcut uyarlanabilir stratejileri belgeleyerek mevcut güvenlik açığını değerlendirmek olduğunu öne sürüyorlar. Bunu, mevcut risk faktörlerindeki yön değişikliklerini tahmin eden ve topluluğun gelecekteki uyum kapasitesini karakterize eden ikinci bir aşama takip etmelidir. Ford ve Smith'in (2004) çerçevesi, toplulukların iklimsel tehlikeleri nasıl deneyimledikleri ve nasıl ele aldıkları, hangi koşulların değişme olasılığı olduğu ve gelecekte adaptasyon için ne gibi kısıtlamalar ve fırsatlar olduğu hakkında bilgi içeren tarihi bilgileri kullanır.

Standartlaştırılmış Devlet Güvenlik Açığı Değerlendirme Hizmetleri

GSA (aynı zamanda Genel Hizmetler Yönetimi ) "Risk ve Güvenlik Açığı Değerlendirmeleri (RVA)" hizmetini önceden incelenmiş bir destek hizmeti olarak standartlaştırmıştır, tehdit ve güvenlik açıklarının değerlendirmelerini hızlı bir şekilde yürütmek, kabul edilebilir yapılandırmalardan, kurumsal veya yerel politikadan sapmaları belirlemek, risk düzeyini değerlendirmek ve geliştirmek ve / veya operasyonel ve operasyonel olmayan durumlarda uygun azaltma önlemlerini tavsiye eder. Bu standartlaştırılmış hizmet, aşağıdaki önceden incelenmiş destek hizmetlerini sunar:

  • Ağ Haritalama
  • Güvenlik Açığı Taraması
  • Kimlik Avı Değerlendirmesi
  • Kablosuz Değerlendirme
  • Web Uygulama Değerlendirmesi
  • İşletim Sistemi Güvenlik Değerlendirmesi (OSSA)
  • Veritabanı Değerlendirmesi
  • Penetrasyon testi

Bu hizmetler genellikle Yüksek Uyarlanabilir Siber Güvenlik Hizmetleri (HACS) olarak adlandırılır ve ABD GSA Avantajı web sitesinde listelenir.[6]

Bu çaba, bu gelişmiş hizmetleri sağlamak için teknik olarak incelenmiş ve incelenmiş kilit hizmet sağlayıcıları belirlemiştir. Bu GSA hizmetinin amacı, bu hizmetlerin hızlı sipariş ve dağıtımını iyileştirmek, ABD hükümeti sözleşme kopyalarını azaltmak ve ABD altyapısını daha zamanında ve verimli bir şekilde korumak ve desteklemek.

132-45D Risk ve Güvenlik Açığı Değerlendirmesi [7] Bir sistemdeki riskleri ve güvenlik açıklarını belirler, ölçür ve önceliklendirir. Bir risk değerlendirmesi, tanınan tehditleri ve tehdit aktörlerini ve bu faktörlerin maruziyet veya kayıpla sonuçlanma olasılığını tanımlar.

Küresel Güney'de İklim Değişikliğine Karşı Hassasiyeti Değerlendirme

Küresel Güney'de, savunmasızlık değerlendirmesi genellikle iklim değişikliği için yerel uyum planları veya sürdürülebilir eylem planları hazırlama sürecinde geliştirilir.[8] Kırılganlık, kentsel bölge veya mahalle ölçeğinde tespit edilir. Güvenlik açığı aynı zamanda riskin bir belirleyicisidir ve sonuç olarak her risk değerlendirmesi gerektiğinde tespit edilir. Bu durumlarda güvenlik açığı, göstergelerden oluşan bir indeks ile ifade edilir. Göstergelerin tek tek ölçülmesine izin veren bilgiler halihazırda istatistikler ve tematik haritalarda mevcuttur veya mülakatlar yoluyla toplanmaktadır. İkinci durum, çok sınırlı bölgesel alanlarda (bir şehir, bir belediye, bir ilçenin toplulukları) kullanılmaktadır. Bu nedenle, belirli bir olayı hedefleyen ara sıra yapılan bir değerlendirmedir: bir proje, bir plan. Konu birçok belediyede, bir veya daha fazla bölgede veya bir ülkenin tamamında bir güvenlik açığı değerlendirmesi geliştirmeye gelince, mülakatlar, istatistiksel olarak önemli bir örneklemle sınırlı olsa bile, çok fazla zaman ve çok fazla para gerektirecek ve tekrarlanmayacaktır. zaman. Bu durumda, devlet organlarının, değerlendirme için ilgi ölçeğine göre kesin zaman aralıklarında sistematik olarak toplaması gereken bilgiler kullanılır. Güvenlik açığı zaman içinde düzenli aralıklarla tespit edilirse, bu etkinliğe değerlendirme yerine izleme adı verilir. Güvenlik açığı izleme, ilgilenilen ölçekte devlet veya uluslararası kuruluşlar tarafından üretilen ilgili bilgileri, tercihen açık erişimi tanımlamaya başlar. Daha sonra, güvenlik açığı bilgilerinin tüm kalkınma aktörleri için serbestçe erişilebilir hale getirilmesi için daha fazla çaba gösterilmesi gerekmektedir.[9] Güvenlik açığı takibinin birçok uygulaması vardır. İklim değişikliğine dayanıklılık ve uyum için program ve projelerin izlenmesi ve değerlendirilmesi için bir gösterge oluşturur. Güvenlik açığı izleme aynı zamanda bölgesel ve ulusal uyum politikalarında bir karar verme aracıdır.

Ayrıca bakınız


Referanslar

  1. Uluslararası Elektrik Güvenliği Uygulamaları El Kitabı
  2. ABD Enerji Bakanlığı. (2002). Güvenlik Açığı Değerlendirme Metodolojisi, Elektrik Güç Altyapısı. [1]
  1. ^ a b Turner, B. L.; Kasperson, R. E.; Matson, P. A .; McCarthy, J. J .; Corell, R. W .; Christensen, L .; Eckley, N .; Kasperson, J. X .; Luers, A .; Martello, M. L .; Polsky, C .; Pulsipher, A .; Schiller, A. (5 Haziran 2003). "Sürdürülebilir Kalkınma için Bilim ve Teknoloji Özel Özellik: Sürdürülebilirlik biliminde güvenlik açığı analizi için bir çerçeve". Ulusal Bilimler Akademisi Bildiriler Kitabı. 100 (14): 8074–8079. Bibcode:2003PNAS..100.8074T. doi:10.1073 / pnas.1231335100. PMC  166184. PMID  12792023.
  2. ^ Ford, James D .; Barry Smit (Aralık 2004). "Kanada Arktik Bölgesi'ndeki Toplulukların İklim Değişikliğiyle İlişkili Risklere Karşı Hassasiyetini Değerlendirmek İçin Bir Çerçeve". Arktik. 57 (4): 389–400. doi:10.14430 / arctic516. hdl:10535/3095. JSTOR  40512642.
  3. ^ Adger, W. Neil (Ağustos 2006). "Güvenlik Açığı". Küresel Çevresel Değişim. 16 (3): 268–281. doi:10.1016 / j.gloenvcha.2006.02.006.
  4. ^ Fraser, Evan D. G. (Ağustos 2008). "Antik topraklarda seyahat etmek: iklim değişikliğine karşı savunmasız gıda sistemlerini belirlemek için bir uyum / dayanıklılık çerçevesi geliştirmek için geçmişteki kıtlıkları kullanmak". İklim değişikliği. 83 (4): 495–514. doi:10.1007 / s10584-007-9240-9. S2CID  154404797.
  5. ^ Patt, Anthony; Dagmar Schröter; Richard Klein; Anne Cristina de la Vega-Leinert (2010). Küresel çevresel değişime karşı savunmasızlığı değerlendirmek: araştırmayı adaptasyonla ilgili karar verme ve politika için yararlı hale getirmek (1. ciltsiz baskı). Londra: Earthscan. ISBN  9781849711548.
  6. ^ "132-45D Risk ve Güvenlik Açığı Değerlendirme Şirketleri". 20 Mart 2018.
  7. ^ "132-45D Risk ve Güvenlik Açığı Değerlendirmesi". 20 Mart 2018.
  8. ^ Tiepolo, Maurizio (2017). "Tropik Bölgelerin Büyük ve Orta Ölçekli Şehirleri için İklim Planlamasının İlgisi ve Kalitesi". M. Tiepolo ve ark. (Eds.) Tropiklerde İklim Değişikliğiyle Yüzleşmek İçin Yerel Planlamayı Yenilemek. Cham, Springer. Yeşil Enerji ve Teknoloji: 199–226. doi:10.1007/978-3-319-59096-7_10. ISBN  978-3-319-59095-0.
  9. ^ Tiepolo, Maurizio; Bacci, Maurizio (2017). "Açık Kaynak Bilgilerini Kullanarak Haiti'de Belediye Düzeyinde İklim Değişikliği Zafiyetini İzleme". M. Tiepolo ve ark. (Eds.), Tropiklerde İklim Değişikliğiyle Yüzleşmek İçin Yerel Planlamayı Yenileme. Cham, Springer: 103–131. doi:10.1007/978-3-319-59096-7_6.