Πολιτικές & Διαχείριση Ασφάλειας Δρ. Γιώργος Αγγελινός Ανάλυση, Εκτίμηση & Διαχείριση Κινδύνων.

Παρουσίαση με θέμα: "Πολιτικές & Διαχείριση Ασφάλειας Δρ. Γιώργος Αγγελινός Ανάλυση, Εκτίμηση & Διαχείριση Κινδύνων."— Μεταγράφημα παρουσίασης:

1 Πολιτικές & Διαχείριση Ασφάλειας Δρ. Γιώργος Αγγελινός gaggelinos@ssl-unipi.gr Ανάλυση, Εκτίμηση & Διαχείριση Κινδύνων

2  Όταν χρησιμοποιούμε τον όρο «πληροφοριακό σύστημα» εννοούμε ότι αναφερόμαστε σε υπολογιστικά συστήματα; ΝαιΌχι  Το ενδιαφέρον για την ασφάλεια οδηγεί σε σημαντική έρευνα και ανάπτυξη τεχνικών και εργαλείων.  Παρ’ όλα αυτά…  …τα επεισόδια παραβίασης συστημάτων αυξάνουν σε πλήθος και σοβαρότητα. Εισαγωγικές διαπιστώσεις 2 Τμήμα Ψηφιακών Συστημάτων

3 Συνήθεις δυσκολίες στην ανάπτυξη της ασφάλειας των Π.Σ.  Δυσκολία αιτιολόγησης του κόστους της ασφάλειας  Δυσκολία επικοινωνίας μεταξύ διοικητικών και τεχνικών στελεχών  Δυσκολία εξασφάλισης ενεργητικής συμμετοχής χρηστών και διαρκούς υποστήριξης από τη διοίκηση  (Εσφαλμένη) αντίληψη ότι η ασφάλεια είναι μόνο τεχνικό ζήτημα  Δυσκολία ανάπτυξης ολοκληρωμένου και αποτελεσματικού σχεδίου ασφάλειας Π.Σ.  Προσδιορισμός και αποτίμηση οργανωσιακών επιπτώσεων από την εφαρμογή του σχεδίου ασφάλειας Π.Σ. 3 Τμήμα Ψηφιακών Συστημάτων

4 Η ανάγκη μιας ολιστικής μελέτης ασφάλειας Από την οποία θα πρέπει να ληφθούν απαντήσεις σε ερωτήματα, όπως:  Ποια στοιχεία του συστήματος θέλουμε να προστατεύσουμε;  Ποια είναι τα πιο σημαντικά;  Ποιές είναι οι απειλές;  Ποιές είναι οι αδυναμίες;  Ποιά μέτρα ασφάλειας πρέπει να υλοποιήσουμε; 4 Τμήμα Ψηφιακών Συστημάτων

5 Η έννοια του κινδύνου…  Αρχικά ορίστηκε στον 17 ο αιώνα στο πλαίσιο της χρήσης μαθηματικών εργαλείων σε τυχερά παιχνίδια. Συνδυασμός πιθανότητας και μεγέθους κερδών ή απωλειών.  Στον 18 ο αιώνα, η έννοια επεκτάθηκε στον τομέα της ναυτιλιακής ασφάλισης.  Στον 19 ο αιώνα η έννοια εμφανίζεται στο πλαίσιο των οικονομικών επιστημών και σχετίζεται με τις επενδύσεις.  Στον 20 ο αιώνα η έννοια προσέλαβε τελείως αρνητική χροιά, αναφερόμενη στους κινδύνους από την τεχνολογική πρόοδο. 5 Τμήμα Ψηφιακών Συστημάτων

6 …Η έννοια του κινδύνου…  Στον τομέα της ασφάλειας, ο κίνδυνος (ή «Επικινδυνότητα», Ε) ορίζεται ως το γινόμενο της Πιθανότητας (Π) πραγματοποίησης ενός επεισοδίου ασφάλειας επί το (οικονομικό ή άλλο) Κόστος (Κ) που θα επιφέρει, δηλαδή Ε=Π*Κ  Η πιθανότητα πραγματοποίησης επεισοδίου είναι συνάρτηση της πιθανότητας εμφάνισης μιας απειλής και της σχετικής ευπάθειας  Το κόστος είναι συνάρτηση της επίπτωσης στα αγαθά. 6 Τμήμα Ψηφιακών Συστημάτων

7 …Η έννοια του κινδύνου  Κίνδυνος είναι το αποτέλεσμα της αβεβαιότητας επί των στόχων ( ISO/IEC, Information technology – Security techniques-Information security risk management, ISO/IEC 27005:2011 )  Κίνδυνος είναι το ενδεχόμενο μια δεδομένη απειλή να εκμεταλλευτεί αδυναμίες ενός αγαθού ή μιας ομάδας αγαθών και έτσι να προκαλέσει ζημιά στον οργανισμό ( ISO/IEC, Information technology – Security techniques-Information security risk management, ISO/IEC FDIS 27005:2008 ) 7 Τμήμα Ψηφιακών Συστημάτων

8 Μέτρηση του κινδύνου  Στατιστική κατά Bayes  Αξία των στοιχείων του συστήματος, τα οποία εφόσον έχουν αξία αποκαλούνται αγαθά (assets). Η αξία είναι συνάρτηση της επίπτωσης από την προσβολή του αγαθού  Πιθανότητα εκδήλωσης μίας απειλής  Πιθανότητα αξιοποίησης μίας ευπάθειας και πραγματοποίησης της απειλής  Ανάλυση χωριστά κάθε παράγοντα (αξία αγαθών, πιθανότητα απειλής, σοβαρότητα ευπαθειών).  Σύνθεση των παραγόντων για τον υπολογισμό του βαθμού επικινδυνότητας  R=f(A,T,V,I) 8 Τμήμα Ψηφιακών Συστημάτων

9 Μέτρηση της αξίας των αγαθών  Κάποια έχουν γνωστή χρηματική αξία. Κάποια άλλα όχι.  Έμμεση αποτίμηση μέσω σημασίας για τον οργανισμό.  Η σημασία αποτιμάται μέσω της αναμενόμενης επίπτωσης αν το αγαθό καταστραφεί.  Η επίπτωση μπορεί να είναι άμεση ή έμμεση.  Συνήθως χρησιμοποιείται τρίβαθμη ή πεντάβαθμη κλίμακα. 9 Τμήμα Ψηφιακών Συστημάτων

10 Μέτρηση των απειλών  Οι σκόπιμες απειλές εξαρτώνται από το κίνητρο, τη γνώση, τις δυνατότητες και τους διαθέσιμους πόρους των δυνητικών επιτιθέμενων και από την ελκυστικότητα των αγαθών.  Η πιθανότητα εμφάνισης τυχαίων απειλών σχετίζεται με την εγγύτητα του οργανισμού σε πηγές κινδύνου ή σε μέρη όπου μπορεί να εμφανιστούν ακραία καιρικά φαινόμενα. Επίσης, ανθρώπινα λάθη.  Ο οργανισμός επιλέγει την κατάλληλη κλίμακα μέτρησης.  Είναι κρίσιμο να υπάρχει ενιαία ερμηνεία των τιμών της κλίμακας σε όλο τον οργανισμό. 10 Τμήμα Ψηφιακών Συστημάτων

11 Μέτρηση των αδυναμιών  Σχετίζονται με το φυσικό περιβάλλον του συστήματος, το προσωπικό, τις διαχειριστικές και διοικητικές διαδικασίες και τα μέτρα ασφάλειας εντός του οργανισμού, τις επιχειρησιακές λειτουργίες και την παροχή υπηρεσιών (μη τεχνικές αδυναμίες) ή με το hardware, software ή επικοινωνιακό εξοπλισμό και εγκαταστάσεις (τεχνικές αδυναμίες).  Αδυναμίες στην πρώτη κατηγορία μπορούν να αποτιμηθούν με βάση προηγούμενα επεισόδια, νέες εξελίξεις & τάσεις και εμπειρίες.  Αδυναμίες στη δεύτερη κατηγορία μπορούν να αποτιμηθούν χρησιμοποιώντας κατάλληλα εργαλεία και τεχνικές.  Ο οργανισμός έχει την αρμοδιότητα επιλογής της κλίμακας μέτρησης. 11 Τμήμα Ψηφιακών Συστημάτων

12 Η Διαχείριση Κινδύνων ως μεθοδολογία…  Μεθοδολογία είναι ένα οργανωμένο σύνολο αρχών και κανόνων που καθοδηγεί τις ενέργειές μας σε ένα συγκεκριμένο γνωστικό πεδίο.  Μέθοδος είναι μια συστηματική και οργανωμένη διαδικασία ή διεργασία που ακολουθείται προκειμένου να επιτευχθεί ένας σκοπός.  Εργαλείο είναι κάθε όργανο ή συσκευή που απαιτείται για να εκτελεσθεί μια εργασία. 12 Τμήμα Ψηφιακών Συστημάτων

13 …Η Διαχείριση Κινδύνων ως μεθοδολογία  Επομένως, μεθοδολογία είναι η μελέτη ή περιγραφή των μεθόδων.  Μια μεθοδολογία υλοποιείται με ένα σύνολο μεθόδων, τεχνικών και εργαλείων.  Η μεθοδολογία δεν περιγράφει συγκεκριμένες μεθόδους. Ωστόσο, περιγράφει συγκεκριμένες διαδικασίες που πρέπει να ακολουθηθούν, οι οποίες συγκροτούν ένα γενικό πλαίσιο.  Μπορούν να διασπαστούν σε υπο-διαδικασίες, να συνδυαστούν, ή να αλλάξουν σειρά εκτέλεσης. Ωστόσο, οποιοδήποτε έργο διαχείρισης επικινδυνότητας πρέπει να εκτελέσει όλες αυτές τις διαδικασίες με τη μια ή την άλλη μορφή. 13 Τμήμα Ψηφιακών Συστημάτων

14 14 Τμήμα Ψηφιακών Συστημάτων

15 Οι διεργασίες της Διαχείρισης κινδύνων 15 Τμήμα Ψηφιακών Συστημάτων ISO/IEC 27005:20 13 (E) BS 7799-3:2006NIST SP 800-30 Context establishmentOrganizational context Risk assessment Risk treatment Risk treatment and management decision making Risk mitigation Risk acceptance Risk communication and consultation Ongoing risk management activities Risk monitoring and review Evaluation and assessment

16 Συστήματα διαχείρισης ασφάλειας πληροφοριών και διαχείριση κινδύνων 16 Τμήμα Ψηφιακών Συστημάτων

17 Καθορισμός πλαισίου (Context establishment)  Στόχος: να καθοριστεί ο σκοπός της διεργασίας  Είσοδος: οποιαδήποτε σχετική πληροφορία για τον οργανισμό  Δράσεις:  Καθορισμός των βασικών κριτηρίων (αποτίμηση κινδύνων, επιπτώσεις, αποδοχή κινδύνων)  Ορισμός του περιεχομένου και των ορίων της διεργασίας  Δημιουργία της κατάλληλης οργανωσιακής δομής για τη λειτουργία της διεργασίας  Έξοδος: οι προδιαγραφές αυτών των παραμέτρων 17 Τμήμα Ψηφιακών Συστημάτων

18 18 Τμήμα Ψηφιακών Συστημάτων

19 Εκτίμηση κινδύνων (Risk assessment)  Στόχος: η αναγνώριση, ποσοτική ή ποιοτική περιγραφή κινδύνων και η προτεραιοποίησή τους  Είσοδος: η έξοδος της προηγούμενης διεργασίας  Δράσεις: αποτελείται από τρεις υπο-διεργασίες  Έξοδος: ένας κατάλογος αποτιμημένων κινδύνων με προτεραιότητες σύμφωνα με τα κριτήρια αποτίμησης κινδύνων. 19 Τμήμα Ψηφιακών Συστημάτων

20 Αναγνώριση κινδύνου (Risk identification)…  Στόχος: να καθοριστεί το τί θα μπορούσε να συμβεί που θα προκαλούσε μια πιθανή απώλεια και να γίνει σαφές το πώς, πού και γιατί θα μπορούσε να υπάρξει απώλεια.  Ποιο είναι το ερώτημα που δεν μπορεί να απαντηθεί; Πότε  Είσοδος: η έκταση και τα όρια της εκτίμησης κινδύνων, κατάλογος αγαθών, πληροφορίες για πιθανές απειλές, τεκμηρίωση υπαρχόντων μέτρων ασφάλειας, ενδεχομένως προϋπάρχοντα σχέδια αντιμετώπισης κινδύνων, κατάλογος επιχειρησιακών διεργασιών. 20 Τμήμα Ψηφιακών Συστημάτων

21 … Αναγνώριση κινδύνου (Risk identification)…  Δράσεις:  Αναγνώριση αγαθών  Αναγνώριση απειλών  Αναγνώριση υπαρχόντων μέτρων ασφάλειας  Αναγνώριση αδυναμιών  Αναγνώριση συνεπειών 21 Τμήμα Ψηφιακών Συστημάτων

22 … Αναγνώριση κινδύνου (Risk identification)  Έξοδος:  κατάλογος αγαθών των οποίων την επικινδυνότητα πρέπει να διαχειριστούμε μαζί με ένα κατάλογο των επιχειρησιακών διεργασιών που σχετίζονται με τα αγαθά αυτά,  κατάλογος απειλών,  κατάλογος υπαρχόντων και σχεδιαζόμενων μέτρων ασφάλειας μαζί με την κατάσταση υλοποίησης και χρήσης τους,  κατάλογος αδυναμιών σχετιζόμενων με τα αγαθά, τις απειλές και τα ήδη εγκατεστημένα μέτρα ασφάλειας,  κατάλογος αδυναμιών που δεν σχετίζονται με καμία αναγνωρισμένη απειλή, και  κατάλογος σεναρίων επεισοδίων με τις επιπτώσεις τους, συσχετισμένα με αγαθά και επιχειρησιακές διεργασίες 22 Τμήμα Ψηφιακών Συστημάτων

23 Αναγνώριση κινδύνου: Αγαθά…  Πρωτεύοντα  Επιχειρησιακές διεργασίες και δραστηριότητες  Πληροφορίες  Υποστηρικτικά  Hardware  Εξοπλισμός επεξεργασίας δεδομένων (Κινητός, Σταθερός)  Περιφερειακά  Μέσα αποθήκευσης  Software  Λειτουργικό σύστημα  Λογισμικό υπηρεσιών, συντήρησης ή διαχείρισης  Λογισμικό εφαρμογών  Δίκτυο  Μέσο και υποστήριξη  Παθητικοί ή ενεργοί relays  Διεπαφές επικοινωνίας 23 Τμήμα Ψηφιακών Συστημάτων

24 …Αναγνώριση κινδύνου: Αγαθά  Προσωπικό  Ανώτερο (Decision makers)  Χρήστες  Προσωπικό συντήρησης/λειτουργίας  Developers  Φυσικός χώρος  Θέση  Οργανωσιακή Δομή 24 Τμήμα Ψηφιακών Συστημάτων

25 Αναγνώριση κινδύνου: Απειλές  Κατηγοριοποίηση ανάλογα με τον τύπο:  Φυσική καταστροφή  Φυσικά φαινόμενα  Απώλεια βασικών υπηρεσιών  Ενόχληση λόγω ακτινοβολίας  Αποκάλυψη πληροφορίας  Τεχνικές αστοχίες  Μη εξουσιοδοτημένες ενέργειες  Παρενόχληση λειτουργιών  Κατηγοριοποίηση ανάλογα με την πηγή:  Σκόπιμες  Τυχαίες  Περιβαλλοντικές 25 Τμήμα Ψηφιακών Συστημάτων

26 26 Τμήμα Ψηφιακών Συστημάτων

27 Αναγνώριση κινδύνου: Αδυναμίες  Κατηγοριοποίηση ανάλογα με την κλάση αγαθών με την οποία σχετίζονται:  Hardware  Software  Δίκτυο  Προσωπικό  Φυσικός χώρος  Οργανωσιακή δομή 27 Τμήμα Ψηφιακών Συστημάτων

28 28 Τμήμα Ψηφιακών Συστημάτων

29 Ανάλυση κινδύνου (Risk analysis)…  Ποσοτική ή ποιοτική  Είσοδος: η έξοδος της διεργασίας αναγνώρισης κινδύνου  Δράσεις:  Αξιολόγηση συνεπειών  Αξιολόγηση πιθανότητας επεισοδίου  Καθορισμός επιπέδου επικινδυνότητας  Έξοδος: κατάλογος κινδύνων με καθορισμένα επίπεδα 29 Τμήμα Ψηφιακών Συστημάτων

30 …Ανάλυση κινδύνου : Παράδειγμα πίνακα υπολογισμού κινδύνου 30 Τμήμα Ψηφιακών Συστημάτων Αξία αγαθού Επίπεδο απειλής LowMediumHigh Επίπεδο αδυναμίας LMHLMHLMH 0012123234 1123234345 2234345456 3345456567 4456567678

31 31 Τμήμα Ψηφιακών Συστημάτων

32 Αξιολόγηση κινδύνου  Στόχος: να ληφθούν αποφάσεις για μελλοντικές ενέργειες  Είσοδος: η έξοδος της διεργασίας ανάλυσης κινδύνου  Δράσεις: σύγκριση των επιπέδων κινδύνου με τα κριτήρια αξιολόγησης κινδύνου και τα κριτήρια αποδοχής κινδύνου που καθορίστηκαν κατά τη διεργασία καθορισμού περιεχομένου  Έξοδος: κατάλογος κινδύνων με προτεραιότητες σύμφωνα με τα κριτήρια αξιολόγησης κινδύνου, σχετιζόμενος με τα σενάρια επεισοδίων που οδηγούν στους κινδύνους αυτούς. 32 Τμήμα Ψηφιακών Συστημάτων

33 33 Τμήμα Ψηφιακών Συστημάτων

34 Αντιμετώπιση κινδύνου (Risk treatment)…  Στόχος: η επιλογή μέτρων ασφάλειας για να μειωθεί, να διατηρηθεί, να αποφευχθεί ή να μεταφερθεί ο κίνδυνος και, επίσης, ο καθορισμός σχεδίου αντιμετώπισης του κινδύνου  Είσοδος: η έξοδος της διεργασίας εκτίμησης κινδύνων  Επιλογές αντιμετώπισης:  Τροποποίηση  Διατήρηση  Αποφυγή  Διαμοιρασμός  Συνδυασμοί των παραπάνω επιλογών 34 Τμήμα Ψηφιακών Συστημάτων

35 …Αντιμετώπιση κινδύνου (Risk treatment)…  Παράγοντες που επηρεάζουν την απόφαση:  Κόστος κάθε φορά που συμβαίνει το επεισόδιο  Συχνότητα εμφάνισης  Στάση απέναντι στον κίνδυνο  Ευκολία υλοποίησης των απαιτούμενων μέτρων ασφάλειας  Διαθέσιμοι πόροι  Τρέχουσες επιχειρησιακές/τεχνολογικές προτεραιότητες  Οργανωσιακές και διοικητικές πολιτικές 35 Τμήμα Ψηφιακών Συστημάτων

36 …Αντιμετώπιση κινδύνου (Risk treatment)…  Μπορούμε να μηδενίσουμε τον κίνδυνο;  Μηδενικός κίνδυνος συνεπάγεται μηδενική αξία των στοιχείων του συστήματος ή μηδενική πιθανότητα πραγματοποίησης μιας απειλής.  Π.χ. διαθέτουμε λογισμικό που, όμως, δεν μπορούμε να προστατεύσουμε από πειρατεία. Αλλάζουμε το επιχειρηματικό μας σχέδιο και το προσφέρουμε δωρεάν  Στόχος: ο περιορισμός του κινδύνου σε «ανεκτά» επίπεδα.  Σύνηθες κριτήριο: κόστος αντιμέτρων/μείωση κινδύνου 36 Τμήμα Ψηφιακών Συστημάτων

37 …Αντιμετώπιση κινδύνου (Risk treatment)  Υποβιβάζουμε-μειώνουμε το βαθμό κινδύνου:  Μείωση πιθανότητας εκδήλωσης απειλών  Αντιμετώπιση ευπαθειών  Περιορισμός επιπτώσεων  Ανάκαμψη  Μεταβίβαση κινδύνου  Αποδοχή κινδύνου 37 Τμήμα Ψηφιακών Συστημάτων

38 …Αντιμετώπιση κινδύνου (Risk treatment)  Η απόφαση επιλογής δεν είναι τεχνικό θέμα αλλά επιχειρησιακό με εξάρτηση από:  Επιχειρησιακές απαιτήσεις  Περιβάλλον & συνθήκες λειτουργίας του οργανισμού  Αποδοχή κινδύνου: αν ο εναπομένων κίνδυνος είναι μη αποδεκτός από τον οργανισμός, τότε πρέπει να επαναληφθεί η παρούσα διαδικασία.  Έξοδος: ΣΔΑΠ και Απομένοντες Κίνδυνοι 38 Τμήμα Ψηφιακών Συστημάτων

39 39 Τμήμα Ψηφιακών Συστημάτων

40 Επικοινωνία και συμβουλευτική (Risk communication and consultation)  Σκοπός: η επίτευξη συναντίληψης για όλες τις πλευρές κινδύνου μεταξύ όλων των δικαιούχων του οργανισμού  Η συναντίληψη επηρεάζει τις αποφάσεις που θα ληφθούν και τους τρόπους που θα υλοποιηθούν.  Είναι απαραίτητη η ύπαρξη καλά καθορισμένου σχεδίου τόσο για κανονικές συνθήκες όσο και για έκτακτη ανάγκη 40 Τμήμα Ψηφιακών Συστημάτων

41 Παρακολούθηση και αναθεώρηση κινδύνου (Risk monitoring and review)  Διαρκής διεργασία  Σκοπός της παρακολούθησης: η ανίχνευση οποιασδήποτε μείωσης της απόδοσης μηχανισμών και υπηρεσιών και η έναρξη διορθωτικών κινήσεων  Συντήρηση μέτρων ασφάλειας  Σκοπός της αναθεώρησης: επανυπολογισμός κινδύνου όταν αλλάζουν οι παράγοντες που τον επηρεάζουν  Εσωτερικοί έλεγχοι 41 Τμήμα Ψηφιακών Συστημάτων

42 Συνήθεις δυσκολίες  Υποκειμενικότητα εκτίμησης αξίας αγαθών ή αντίστοιχα του μεγέθους των επιπτώσεων  Δυναμικό περιβάλλον – δυναμικές, σύμπλοκες και ποικίλες απειλές  Η ανθρώπινη συμπεριφορά δύσκολα προβλέπεται και μοντελοποιείται  Οι πόροι που διαθέτουμε είναι πεπερασμένοι 42 Τμήμα Ψηφιακών Συστημάτων

43 Πλεονεκτήματα της Διαχείρισης Κινδύνων ως μεθοδολογίας  Αιτιολόγηση κόστους αντιμέτρων  Βελτίωση επικοινωνίας ανάμεσα στους ειδικούς της πληροφορικής και τη διοίκηση του οργανισμού  Ευέλικτη μεθοδολογία, μπορεί να εφαρμοστεί με ποικίλους τρόπους  Καλύπτει τις απαιτήσεις της νομοθεσίας  Βοηθά στην κατανόηση του Π.Σ.  Αποτελεί την πλέον διαδεδομένη μεθοδολογία 43 Τμήμα Ψηφιακών Συστημάτων

44 Μειονεκτήματα της Διαχείρισης Κινδύνων ως μεθοδολογίας  Στηρίζεται σε ένα απλοϊκό μοντέλο του Π.Σ., αγνοώντας τα ιδιαίτερα χαρακτηριστικά του κάθε οργανισμού  Εμπεριέχει σημαντική υποκειμενικότητα, που συχνά συγκαλύπτεται μέσω της αυστηρότητας των μαθηματικών-πιθανοτικών μοντέλων  Βασίζεται σε απλές στατιστικές μεθόδους 44 Τμήμα Ψηφιακών Συστημάτων

45 Μέθοδοι Διαχείρισης Κινδύνων…  Εκατοντάδες διαφορετικές μέθοδοι ανάλυσης ή/και διαχείρισης κινδύνων Π.Σ.. Καταγραφές έχουν γίνει το 1991 (NIST), 1993 (EC) και 2009 (ENISA).  Δεν υπάρχει κοινά αποδεκτό σύνολο κριτηρίων σύγκρισης μεθόδων διαχείρισης κινδύνων.  Μερικές μέθοδοι καλύπτουν μόνο τμήμα όλων των διαδικασιών.  Για παράδειγμα, κάποιες μέθοδοι απλώς υπολογίζουν τον κίνδυνο, χωρίς να καλύπτουν τη διαχείρισή του. Κάποιες άλλες εστιάζουν σε μικρό μόνο μέρος της όλης διαδικασίας (π.χ. Σχεδιασμός ανάκαμψης από κατστροφή). Κάποιες εστιάζουν στον έλεγχο των μέτρων ασφάλειας κλπ. 45 Τμήμα Ψηφιακών Συστημάτων

46 …Μέθοδοι Διαχείρισης Κινδύνων…  Οι μέθοδοι διαφέρουν σημαντικά ως προς το επίπεδο ανάλυσης που χρησιμοποιούν. Κάποιες χρησιμοποιούν υψηλού επιπέδου περιγραφές του μελετώμενου ΠΣ, ενώ άλλες λεπτομερείς περιγραφές.  Κάποιες μέθοδοι δεν είναι διαθέσιμες στο κοινό, γεγονός που κάνει την αξιολόγησή τους πολύ δύσκολη, αν όχι ανέφικτη. 46 Τμήμα Ψηφιακών Συστημάτων

47 …Μέθοδοι Διαχείρισης Κινδύνων  CRAMM  MAGERIT  EBIOS  ISF Standard of good practice  IT-Grundschutz  MEHARI  OCTAVE 47 Τμήμα Ψηφιακών Συστημάτων  Callio Secura  COBRA  CounterMeasures  Proteus  CORAS  RiskWatch  SBA

48 Νόμοι και κανονισμοί από…  Την Ευρωπαϊκή Επιτροπή  Το Ευρωπαϊκό Κοινοβούλιο  Το Συμβούλιο της Ευρώπης  Την Κυβέρνηση των ΗΠΑ  Τον ΟΟΣΑ  Την Επιτροπή της Βασιλείας για την επιτήρηση των Τραπεζών  Το Συμβούλιο προτύπων της βιομηχανίας πιστωτικών καρτών (Payment Card Industry Security Standards Council) 48 Τμήμα Ψηφιακών Συστημάτων

49 Πρότυπα  ISO/IEC 27001:2013  ISO/IEC 27005:2011  ISO 31000:2009  IEC 31010:2009  ISO Guide 73:2009  ISF Standard of Good Practice 49 Τμήμα Ψηφιακών Συστημάτων  BS 7799-3:2006  BSI 100-1, -2, -3, -4  BSI IS Audit guideline  IT-Grundschutz Catalogues  US GAO Guide  NIST SP 800-30  NIST SP 800-39

50 50 Τμήμα Ψηφιακών Συστημάτων Ευχαριστώ!