Katmanlı Güvenlik Paradigma Modeli

S İ B E R G Ü V E N L İ K FA R K I N D A L I Ğ I , FA R K I N D A L I K Ö L Ç Ü M Y Ö N T E M V E M O D E L L E R İ
133
renmesi yaklaşımları ile anormallik tespiti, anormallik zekâsı ile 
anormallik önleme ve çok katmanlı elektronik güvenlik farkında-
lık modeli katmanı (MEAM) olmak üzere 3 katmandan oluşmak-
tadır. MEAM yapılacak işlemlere göre uygulamaların kişisel ya da 
kurumsal, çevrimiçi ya da çevrimdışı olmasına, kaynakların harici 
ya da paylaşımlı olmasına, kişilerin teknik personel ya da sıradan 
kullanıcı olmasına, servislerin bağımsız ya da destekleyici olmasına 
göre, yıllık ortalama farkındalık, yıllık ortalama gerçekleşen saldırı 
ağırlığı gibi parametreler ile sezgisel kavramları içeren 7 kural ile 
kullanıcıların önemli verilerle işlem yaparken güvenli davranması-
nı amaçlamaktadır.
ENISA bilgi güvenliği farkındalığı programlarında; 
- 
Planlama (bilgi güvenliği politikaları, risk değerlendirmesi, 
uyumluluk riski, bütçe gibi parametreleri kapsar), 
- 
Uygulama (yüz yüze ve bilgisayar tabanlı eğitimler, Intranet si-
teleri, test ve küçük sınavlar parametreleri kapsar) ve 
- 
Gözden geçirme (Güvenlik olayları kök sebepleri, denetim so-
nuçları, eğitimi tamamlayan kullanıcı sayıları gibi parametreleri 
kapsar) 
adımlarından oluşan iteratif bir modeli benimsemiştir [60].
ISO/IEC 27001 [61] Bilgi Güvenliği Yönetim Sistemi (BGYS); bu 
sistemi kurmak, gerçekleştirmek, işletmek, izlemek, gözden geçir-
mek, sürdürmek, denetlemek ve iyileştirmek için izlenmesi gere-
ken adımları belirlemiştir. Bilgi güvenliği sisteminin yönetimi için 
BGYS politikası, amaçlar, hedefler, süreçler ve prosedürlerin geliş-
tirilmesini kapsayan planlama, BGYS politikası, kontroller, süreçler 
ve prosedürlerin gerçekleştirilip işletilmesini kapsayan uygulama, 
BGYS politikası, amaçlar ve süreç performansının değerlendirilme-
si, uygulanabilen yerlerde ölçülmesi ve sonuçların rapor edilmesi-
ni kapsayan kontrol et ve yönetimin gözden geçirme sonuçlarına 
dayalı olarak, düzeltici ve önleyici faaliyetlerin gerçekleştirilmesini 
kapsayan önlem al adımlarından oluşan PUKÖ Döngüsü Modelini 
önermiştir. PUKÖ (Planla-Uygula-Kontrol Et-Önlem Al) döngüsü-
nün girdisi güvenlik gereksinimleri, çıktısı ise güvenliktir.
Valentine [62] çalışmasında; geleneksel farkındalık programlarının 
çalışılan pozisyon ya da görevlerden bağımsız olarak tüm çalışanlar 

S A L İ H E R D E M E R O L - Ş E R E F S A Ğ I R O Ğ L U
134
için tek tip eğitim yaklaşımını benimsediğini belirtmiştir. Daha ve-
rimli ve maliyet etkin yaklaşım olarak çok fazlı modelin kurumların 
ihtiyaçlarını daha iyi karşılayacağı değerlendirilmiş, hangi varlıkla-
rın korunması gerektiğinin belirlendiği değerlendirme, bu varlık-
larla hangi çalışanların ilişkili olduğunun belirlendiği tanımlama 
ve sonrasında senaryo bazlı eğitimleri de kapsayan eğitim adında 3 
fazdan oluşan bir model önermiştir.

Yüklə 3,91 Mb.

Dostları ilə paylaş: