OCTAVE, 1999 temmuz ayinda CERT, DoD, DISA, NCS ve USAF tarafindan Bilgi Guvenligi Risk Degerlendirme metod'u olarak buyuk organizasyonlar icin olusturuldu. Esas amaci US Agency ve Department'larin bu metodolijiyi kullanmasiydi. Henuz cok yeni olan ve 2002 sonunda OCTAVE-S olarak daha gelismis surumun cikarilacagi duyurulan Octave Sekiz adet kisimdan olusuyor.

Octave Asset tabanli Bilgi Guvenligi degerlendirme sistemidir bu baglamda iki tane temel konuya focus olmustur;

• Bilgi Temelli Asset'lerin tanimlanmasi
• Risk ve Threat Analizi kabiliyetlerinin organizasyon icinde islerlik kazanmasi ve degerlendirme kabiliyetinin kazandirilmasi
olarak iki bolume ayrildi. Bu bolumler ISE(Information Security Evaluation) ve SRE(Software Risk Evaluation) olmak uzere 2 temel uzerinde olgunlastirildi.

OCTAVE'i olusturuken gececegimiz 3 ana bolum ise;
• Asset tabanli tehdit profillerinin olusturulmasi
• Alt yapi zayifliklarin tanimlanmasi
• Guvenlik Strateji ve Plan'larin gelistirilmesi

Izleyecegimiz Degerlendirme Duzeni;
• OCTAVE Metod Hazirliklari: Organizasyon tarafindan sponsorship (owner) ve Core Team'in olusturulmasi, OCTAVE icin takvim ve planlarin yapilmasi. Core team calismaya hazir oldugunda;
• Degerlendirme icin gerekli gozlem ve analizlerin yapilmasi
• Katilimcilarin Organizasyon icinden cesitli kesimlerden olusumun saglanmasi
• Workgroup'larin olusturulmasi ve aktiviteler icin takvimin belirlenmesi
• Lojistik ihtiyaclarinin koordine edilmesi

• Iyilestirmeler: Yapilan Audit ve Degerlendirme calismalari sonunda gerekli iyilestirmelerin uygulanmasi
• Ust Duzey Yonetici Aciklamasi : Ust duzey yoneticilerin gorev ve sorumluklarunin role ve asset tabanli olarak yaniden kazandirilmasi.
• Sonuc Aciklamasi: Gorev, Sorumluluklar ve Organizasyon'nun Infosec acisindan konumu, semasi ve role ve gorev tanimlarinin sirket personeline atanmasi ve deklerasyonu.

Sponsorship: Octave'icin karar ve yeni organizasyonu olusacak yetki sahibi olan ust duzey yoneticilerden olusacak olan gurup. Core Team Gibi Sponsor Team'in uygulancak prosedur'lerden haberdar olmasi gerekiyor.
Katilimci ornegi: Yonetim Kurulu, Genel Mudur, Finans Direktoru, Yazilim Direktoru, Is Gelistirme Direktoru gibi organizasyonda yetki sahibi kisilerden olusmasi gerekiyor. Bu gurubun diger bir ozelligi ise Organizasyonda bu calismanin devamini, workshop'larin olusumunu, disiplinin saglanmasi, katilimcilarin katiliminin saglanmasi, katilimcilarin calismaya tesvik ve ikna edilmesi gibi cok onemli temel sorumluluklari kendi icerisinde barindiriyor.

**NOT**: Eger ust duzey yoneticilerdeki bazi kabiliyetler Core Team'da yer almasini gerektiriyorsa Sponsor Team'deki yerini sectigi bir kisiye vekalet etmek suretiyle Core Team'in icinde yer alabilir.

Genel Sorumluluklari
• Gorunur olmak, aktivitenin devamliligini saglamak
• Katilimcilari aktivite icin tesvik etmek
• Butun aktiviteyi yetkilendirmek ve bunu onaylamak
• Core Team'in ihtiyaclarini giderilmesi icin gerekli onay, izin mekanizmasini olusturmak, saglamak ve Core Team'i bu konuda yetkilendirmek
• Degerlendirme sonucunu gozden gecirmek, sonuclara ve/veya kararlarin alinmasini saglamak

Core Team Aktivitenini yonetmenligini ve degerlendirmenin yonunu, amacini tayin edecek organizasyonda kendi islerine uzman ve yetki sahibi kisilerin olusturdugu exper guruptur. Core Team ayni zamanda katilimcilarin secimi gorevini'de ustlenir ve sponsor team'in yukaridaki sorumluklarini yerine getirmesi icin gerekli ortami olusturur.

Ek olarak Eger Istenilirse, Core Team ve Sponsor gurup hep birlikte butun katilimcilarin olusutulmasini ve onlarin rollerinin olusturulmasini saglayabilirler. Onemli olan Degerlendirmenin yonetim ve yonetmenligini zannedilenin aksine sponsor team yerine core team yapiyor olmasidir. Sponsor team genelde saglayici, duzenleyici ve guard gorevini ustlenir.

Core Team
• Min 3 Max 5 kisiden olusur
• Is Gelistirme/Misyon/Vizyon 'u IT/Savunma sektorlerinin yapisana gore degerlendirebilecek persvektifte
• IT ve Savunma Sektorlerin Business ve Process yapisi hakkinda bilgi sahibi
• Iyi iletisim ve yaraticilik ozelliklerine sahip olmasi
• Efor ve gonullu olarak bu iste calisacak yapida olmasi

Core Team'in Rolleri ve Sorumluluklari
• Sponsor Team'in de fikri alinarak (onay degil) degerlendirmenin asagida ornek olarak verilen parcalarini olusturmak, katilimcilari belirlemek ve takvimi olusturmak
• Sponsor Team'i koordine ederek zayiflik analizlerini Organizasyon ve Teknoloji acisindan gerceklestirmek.
• Degerlendirme suresince datalarin toplanmasi, analiz edilmesi, maintain edilmesini saglanmasi.
• Degerlendirme aktivitelerinin tasarim/yonetmenligini yapar. Degerlendirme yapilirken gereken durumlarda fonksiyonlarin/kisilerin degisimini yapar. Aktivite icinde Sponsor Team ve diger katilimcilar uzerinde yetki sahibidir. Ancak fonksiyon/kisi degisiklerini Sponsor team'e gecerli reasoning sunarak bunu gerceklestirebilir.
• Lojistik ihtiyaclarinin koordine edilmesini saglar

Core Team Uyelerinin Diger Rolleri
• Degerlendirme sonucunda olusumlari takip edecek duzeyde gorus sahibi.
• Iletisim kurma kabiliyetleri gelismis
• Analitik dusunebilen
• Sponsor Team ile ortak platformda caliscabilecek
• Organizasyonun Is gelistirme/Kurma yapisini algilamis
• Bilgi Sistemlerinin nasil monitor edilebilecegi konusunda bilgi sahibi
• Organizasyonun Cevresel Bilgi sistemleri ve network topology'sine hakim
• Genel vulnerability ve exploit mimarileri hakkinda bilgi sahibi
• (Audit Sonrasi) Organizasyonda mantiksal/teknoloji tabanli zayifliklarinin sonuclarini degerlendirme kabiliyetine sahip
• Organizasyon ve Stratejik planlama konusunda deyimli

Lojistik Core Team Lojistik ihtiyaclarini koordine eder. Belirlenen bir(1) kisi tarafindan bu ihtiyaclar giderilir. Bu kisi Core Team'in disindaki bir kisidir disaridan sadece yonetilir/yonlendirilir, Core Team uyesi degildir.

Sorumluluklari
• Ulasim, Toplanti odalarinin, projektor'un, kirtasiye vs gibi ihtiyaclarinin koordine edilmesi.
• Workshop ve toplantilarin ayarlanmasi
• Birbiriyle calisan yer degistiren toplanti veya diger faailiyetlerin koordine edilmesi

Core Team ve Lojistik Guruplarinin Zaman Takvimi
Core Team
• 1 -2 gun hazirlik
• 7 gun workshoplar (gerekiyorsa ekstra workshoplar ilave edilebilinir)
• 2-4 gun workshop disi lokal calisma
• 1 - 5 gun zayiflik analizleri, abnormal sistem aktivasyonu vs. gibi IDS testleri
• 1/2 gun aktivitelere hazirlik ve genel bilgilendirme
Lojistik
• Her Workshop oncesi 2-3 saat workshop ve lojistik ihtiyaclarina yonelik on hazirlik
• Aktiviteler boyunca lojistik personeline on-call erisim
• Aktiviteler icin Gerekli dokumantasyon ve bilginin edinilmesi/saglanmasi/arastirilmasi
• Gecerli(en son) Organizasyon Semasinin ve Gorev tanimlarinin cikartilmasi
• Bilgisayar yazilim ve donanim listelerinin cikartilmasi
• Kullanilan Isletim sistemi ve uzerlerinde Major Uygulamalarin detayli listesinin hazirlanmasi
• Detayli Network Diagram/Topoloji Planlarinin hazirlanmasi
• Guvenlik Politika Dokumanlarinin hazirlanmasi
• Guvenlik Prosedur Dokumanlarinin hazirlanmasi
• Organizasyonun Fiziksel Mimari Bilgileri ve Cevresel Planlarinin cikartilmasi.
• Binalarin fiziksel fizibilite calismalarinin raporu
• Gecerli (en son) Guvenlik Egitim ve oryantasyon dokumanlarinin temin edilmesi
• Routers/Firewall/IDS Konfigurasyon Tablolarinin cikartilmasi
• Audit ve Zayiflik Raporlarinin hazirlanmasi
• Server ve Diger araclarin Konfigurasyon tablolarinin cikartilmasi (Http Server, Mail Server vss)
• Bilinen guvenlik zayifliklari ile ilgili haber ve Advisories kaynaklarina erisimin saglanmasi
• Zayiflik Degerlendirmesi icin gerekli tool/checklist/scriptListlerin asagidaki yapilar icin spesifik olarak hazirlanmasi;

1. Isletim Sistemleri
2. Uygulamalar
3. Fiziksel Guvenlik

Lojistik Ihtiyaclarinin Koordine Edilmesi
Bu bolumde Lojistik, Ihtiyaclari ve Planlamasi anlatilmaktadir.
Lojistik bolumu;
• Lojistik Tabanli ihtiyaclarin aktiviteler icin belirlenmesi
• Sponsor Team, Core Team ve diger katilimcilarin aktiviteleri gerceklestircekleri fiziksel ortamin ihtiyaclara gore saglanmasi ve lojistik ihtiyaclarinin giderilmesi
• Toplanti ve workshoplarin gun saat olarak takvim'nin yapilmasi
• Workshop ve toplantilarin yapilacagi odalarin belirlenip ihtiyac duyulan spesifik ekipman ve diger ihtiyaclarin giderilmesi(yemek vs gibi)

Hazirlik Bolumu
• Katilimci ve Sponsor Team'e aktivite hakkinda bilgi verilmesi ve NDA imzasi
• Genel aktivite gorusu ve amacinin katilimcilara aktarilmasi
• Aktiviteler icin Genel Takvimin Sirketin Is durumu baz alinarak cok fazla zorlamiyacak sekilde hazirlanmasi/gelistirilmesi

Core Team Sorumluluklari
•Aktivite takviminin olusuturulmasi ve katilimcilarin(ve/veya guruplarin) bilgilendirilmesi
•Aktiviteleri yurutmek
•Sonuclarin kayit edilmesi
•Detaylandirilmis takvimin sponsor team ile gozden gecirilmesi.

Faz 1: Asset tabanli tehdit profillerinin olusturulmasi
Birinci faz dort adet proses ve bir adet briefing'den olusuyor;
• Ilk Proses Ust duzey yoneticilerin rol, kabiliyet ve sorumluklar acisindan check/tanimlanmasi
• Ikinci Proses Operasyonel yonetim/Is Gelistirme faaliyetlerinin check/tanimlanmasi
• Ucuncu Proses Bilisim/Savunma sektorlerindeki yapi ve organizasyondaki kisilerin rol,kabiliyet ve sorumluluklar acisindan check/tanimlanmasi
• Dorduncu Proses Ilk uc Proses deki sonuclarin:
Organizasyonel yapi, Asset, Threat ve guvenlik stratejilerinin zayifliklar temel alinarak iyilestirilmesi ve uygulanabilir politika haline getirilmesi

Proses 1: Ust duzey yoneticilerin rol, kabiliyet ve sorumluklar acisindan check/tanimlanmasi
Core Team Sorumluluklari
• Toplanti takviminin olusuturulmasi ve katilimcilarin bilgilendirilmesi
• Aktivitenin yurutulmesi
• Sonuclarin kayit edilmesi

Proses 2: Operasyonel yonetim/Is Gelistirme faaliyetlerinin check/tanimlanmasi
Core Team Sorumluluklari
• Toplanti takviminin olusuturulmasi ve katilimcilarin bilgilendirilmesi
• Aktivitenin yurutulmesi
• Sonuclarin kayit edilmesi

Proses 3: Bilisim/Savunma
Core Team Sorumluluklari
• Toplanti takviminin olusuturulmasi ve katilimcilarin bilgilendirilmesi
• Aktivitenin yurutulmesi
• Sonuclarin kayit edilmesi

Proses 4: Tehdit Profillerinin yaratilmasi
Core Team Sorumluluklari
• Toplanti odasinin Tahsis Edilmesi
• Aktivitenin yurutulmesi
• Sonuclarin Kayit edilmesi

Faz 2: Alt yapi zayifliklarin tanimlanmasi
Ikinci bolum iki proses ve Zayiflik Degerlendirme calismasindan olusuyor.
Amaci; Bilgi teknolojilerinin icerdigi zayifliklarin tespit edilip gerekli iyilesitmelerin yapilmasi ve organizasyon asset'lerin guclerindilmesini amaclamaktadir.

Proses 5: Organizasyonun onemli bilesenlerinin tanimlanmasi
Core Team Sorumluluklari
• IT/Savunma sektorunden personelin cagrilmasi
• Aktivitenin yurutulmesi
• Sonuclarin kayit edilmesi
• Zayiflik degerlendirmesi icin takvimin olusturulmasi, uygulanacak kurallar icin haklarin kazanilmasi, aktivitelere katilmis butun personelin son durum hakkinda bilgilendirilmesi

Proses 6: Secilen Bilesenlerin Degerlendirilmesi
On Calisma: Katilim; Core Team,Sponsor Team, Diger katilimcilar, bilgi sistemlerinin esas kullanicilari ve disardan davet edilen kisiler(danisman,gozetmen)'den olusabilir. Workshoplar'dan once, Zayiflik Degerlendirmesi icin ihtiyac duyulan tool, checklist veya script'ler olusturulmasi gerekmektedir. Zayiflik Degerlendirmesine katilacak olan kisiler(Core Team veya onun atadiklari) Workshop'dan once konular hakkinda gozlem ve analiz yapmasi gerekmetedir. Workshop boyunca katilimcilar zayiflik degerlendirme sonuclarini Organizasyona uygunlugu acisindan Core Team ile birlikte tartismasi/degerlendirmesi gerekmektedir. Hepbirlikte hangi action'larin alinacagina karar verilmesi gerekmektedir. On calisma aktivitesi Zayiflik Degerlendirmesi, atak tespit toolari'nin sonuclariylada desteklenerek yukaridaki calismanin icine alinmalidir. Calismalar bittiginde, IT personeli veya core team uyeleri degerlendirme/aktivitenin tool ihtiyaclarin takvimi cikartilir.
Sonuc olarak gerceklestirilecek olan bu aktivite ve secilen bilesenler organizsayonun altyapisini ve kendisini olusturacaktir.
Core Team Sorumluluklari
• Zayiflik Dergerlendirmesi icin yeni takvimin olusuturulmasi
• Analiz'lerin cikartilan organizasyon kritik asset profilleri baz alinarak yapilmasi
• Sonuclarin kayit edilmesi

Faz 3 : Guvenlik Strateji ve Planlarini Gelistirilmesi
Proses 7: Risk Analizi
Core Team Sorumluluklari
• Aktivitenin yurutulmesi ve ihtiyac duyulan diger katilimcilarin davet edilmesi
• Katilimin saglanmasi
• Sonuclarin kayit edilmesi

Proses 8: Guvenlik Stratejilerinin Gelistirilmesi
Core Team Sorumluklari
• Ihtiyac duyulan diher katilimcilarin davet edilmesi
• Aktivitenin Yurutulmesi
• Prezentasyon ve Tartismalarin Sponsor Team ile birlikte Hazirlanmasi
• Sonuclarin kayit edilmesi
• Sponsor team ile birlikte sonuclarin tartisilmasi

Sonuc Aciklamasi
Core Team Sorumluluklari
• Katilimin yurutulmesi ve butun katilimcilarin katiliminin gerceklesmesi
• Sponsor Team ve Diger Ust Yoneyime Sonucun Yazili ve Prezantasyon esliginde sunulmasi

Ozan Ozkara
24.09.2003

__________________________