Η παρουσίαση φορτώνεται. Παρακαλείστε να περιμένετε

Η παρουσίαση φορτώνεται. Παρακαλείστε να περιμένετε

Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Λ. Κηφισίας 1-3, 11523 Αθήνα Β. Ζορκάδης Γενικές Αρχές Ασφάλειας, Κρυπτογραφία και σχετικά.

Παρόμοιες παρουσιάσεις


Παρουσίαση με θέμα: "Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Λ. Κηφισίας 1-3, 11523 Αθήνα Β. Ζορκάδης Γενικές Αρχές Ασφάλειας, Κρυπτογραφία και σχετικά."— Μεταγράφημα παρουσίασης:

1 Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Λ. Κηφισίας 1-3, Αθήνα Β. Ζορκάδης Γενικές Αρχές Ασφάλειας, Κρυπτογραφία και σχετικά Πρότυπα 1 Γενικές Αρχές Ασφάλειας, Κρυπτογραφία και Σχετικά Πρότυπα Βασίλης Ζορκάδης Ηλ. Μηχ., Δρ. Πληροφορικής Παν. Καρλσρούης Αρχή Προστασίας Προσωπικών Δεδομένων Παρουσίαση στο ΕΚΔΔΑ Αθήνα, 22 Ιουνίου 2005

2 Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Λ. Κηφισίας 1-3, Αθήνα Β. Ζορκάδης Γενικές Αρχές Ασφάλειας, Κρυπτογραφία και σχετικά Πρότυπα 2 Περιεχόμενα •Γενικές Αρχές Ασφάλειας –Απειλές ασφάλειας και απειλές κατά της ιδιωτικότητας –Στόχοι της ασφάλειας των πληροφοριακών συστημάτων και δικτύων υπολογιστών –Ανάλυση βασικών εννοιών ασφάλειας –Ασφάλεια λειτουργικών συστημάτων, βάσεων δεδομένων και δικτύων υπολογιστών –Διαχείριση ασφάλειας •Κρυπτογραφία –Βασικές έννοιες, αρχές, μεθοδολογίες και πρακτικές στον τομέα της κρυπτογραφίας –Συμμετρικά συστήματα κρυπτογραφίας –Ασύμμετρα συστήματα κρυπτογραφίας ψηφιακές υπογραφές –Ψηφιακές υπογραφές και υποδομή δημοσίου κλειδιού •Πρότυπα –ISO 17799, Common Criteria, AES, …

3 Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Λ. Κηφισίας 1-3, Αθήνα Β. Ζορκάδης Γενικές Αρχές Ασφάλειας, Κρυπτογραφία και σχετικά Πρότυπα 3 Γενικές Αρχές Ασφάλειας •Απειλές –Άρνηση υπηρεσίας ή διακοπή (denial of service or interruption) •παρεμπόδιση ή διακοπή μιας επικοινωνίας ή η καθυστέρηση κρίσιμων εφαρμογών πραγματικού χρόνου. Μέσω διαγραφής προγραμμάτων, δεδομένων, πινάκων δικαιωμάτων πρόσβασης, η καταστροφή εξυπηρετητών, περιφερειακών μονάδων –Υποκλοπή (interception), ανάλυση δεδομένων κίνησης (traffic data analysis) •μη εξουσιοδοτημένη πρόσβαση σε αποθηκευμένα δεδομένα ή μεταδιδόμενα μηνύματα, αποκάλυψη περιεχομένου επικοινωνιών, αιτημάτων και αναζητήσεων, καθώς και της ύπαρξής τους και ανάλυση δεδομένων κίνησης και ενεργειών –Παραποίηση (modification) •κακόβουλη τροποποίηση τμημάτων λογισμικού ή δεδομένων, καθώς και εξαρτημάτων του υλικού από μη εξουσιοδοτημένους χρήστες

4 Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Λ. Κηφισίας 1-3, Αθήνα Β. Ζορκάδης Γενικές Αρχές Ασφάλειας, Κρυπτογραφία και σχετικά Πρότυπα 4 Γενικές Αρχές Ασφάλειας •Απειλές –Πειρατεία (piracy) •μη εξουσιοδοτημένο μέρος πλαστογραφεί αντικείμενα ενός υπολογιστικού ή επικοινωνιακού συστήματος. Ένα παράδειγμα πειρατείας είναι η αποστολή πλαστών μηνυμάτων ή η προσθήκη πλαστών δεδομένων σε μία βάση δεδομένων –Αμφισβήτηση (repudiation) •όταν αμφισβητείται από ένα χρήστη η δημιουργία ή τροποποίηση αρχείων ή ηλεκτρονικών εγγράφων, η αποστολή ή λήψη μηνυμάτων, ορισμένες ενέργειες αναφορικά με τη διαχείριση, την τεχνική υποστήριξη, τη συντήρηση

5 Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Λ. Κηφισίας 1-3, Αθήνα Β. Ζορκάδης Γενικές Αρχές Ασφάλειας, Κρυπτογραφία και σχετικά Πρότυπα 5 Γενικές Αρχές Ασφάλειας •Απειλές παραβίασης της ιδιωτικότητας –Υποκλοπή περιεχομένου και δεδομένων κίνησης και θέσης ηλεκτρονικών επικοινωνιών –Επιτήρηση/παρακολούθηση με τη βοήθεια ψηφιακών μέσων (monitoring or surveillance systems) –Κλοπή στοιχείων και δεδομένων επαλήθευσης ταυτότητας χρηστών ή μελών –Απώλεια ελέγχου χρήσης και διανομής στοιχείων ταυτότητας –Αθέμιτη χρήση δεδομένων επικοινωνίας (spam) –Δημιουργία μορφοτύπων χρηστών/μελών –Δημιουργία πληροφοριακού πέπλου –Υπολείμματα προσωπικών δεδομένων •Απειλές κατά τη χρήση τεχνολογιών RFID –Αποκάλυψη ενεργειών χρηστών/μελών –Αποκάλυψη θέσης –Προτιμήσεων, ενδιαφερόντων –Συσχετίσεις μελών/χρηστών και συγκεκριμένων αντικειμένων –Δημιουργία πληροφοριακού πέπλου –Αθέμιτη εκμετάλλευση υπολειμμάτων προσωπικών πληροφοριών

6 Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Λ. Κηφισίας 1-3, Αθήνα Β. Ζορκάδης Γενικές Αρχές Ασφάλειας, Κρυπτογραφία και σχετικά Πρότυπα 6 Γενικές Αρχές Ασφάλειας •Βασικοί Στόχοι Ασφάλειας –Εμπιστευτικότητα •Εμπιστευτικότητα είναι η ιδιότητα των δεδομένων ή πληροφοριών να είναι προσπελάσιμα μόνο από τις εξουσιοδοτημένες προς τούτο οντότητες. –Ακεραιότητα •Η ακεραιότητα είναι η ιδιότητα των δεδομένων και πληροφοριών και των υπολογιστικών και επικοινωνιακών πόρων να τροποποιούνται μόνο από εξουσιοδοτημένες οντότητες κατά εξουσιοδοτημένο τρόπο. Η ακεραιότητα έχει να κάνει με την ακρίβεια και τη συνέπεια στη λειτουργία συστημάτων και διεργασιών. –Διαθεσιμότητα •Η διαθεσιμότητα είναι η ιδιότητα των δεδομένων ή πληροφοριών και των υπολογιστικών και επικοινωνιακών πόρων να είναι διαθέσιμα στους εξουσιοδοτημένους προς τούτο χρήστες σύμφωνα με τα δικαιώματά τους. Αναφέρεται στα δεδομένα και στις υπηρεσίες, ή αλλιώς στους υπολογιστικούς πόρους (computing resources), στην παρουσία αντικειμένων ή υπηρεσιών σε χρησιμοποιήσιμη μορφή, στην ύπαρξη αρκετά μεγάλης χωρητικότητας για την κάλυψη των όποιων απαιτήσεων, καθώς και στην ποιότητα της παρεχόμενης υπηρεσίας

7 Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Λ. Κηφισίας 1-3, Αθήνα Β. Ζορκάδης Γενικές Αρχές Ασφάλειας, Κρυπτογραφία και σχετικά Πρότυπα 7 Γενικές Αρχές Ασφάλειας •Μέτρα προστασίας ασφάλειας –Οργανωτικά •Πολιτικές και σχέδια ασφαλείας •Σχέδια έκτακτης ανάγκης και ανάκαμψης •Αξιολόγηση επικινδυνότητας και έλεγχος συμμόρφωσης –Τεχνικά •Αυθεντικοποίηση •Εμπιστευτικότητα και προστασία απορρήτου •Ακεραιότητα •Διαθεσιμότητα και διασφάλιση ποιότητας υπηρεσιών •Έλεγχος Πρόσβασης •Ψηφιακές Υπογραφές •Προστασία πνευματικής ιδιοκτησίας

8 Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Λ. Κηφισίας 1-3, Αθήνα Β. Ζορκάδης Γενικές Αρχές Ασφάλειας, Κρυπτογραφία και σχετικά Πρότυπα 8 Γενικές Αρχές Ασφάλειας •Κατηγορίες μηχανισμών ασφαλείας

9 Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Λ. Κηφισίας 1-3, Αθήνα Β. Ζορκάδης Γενικές Αρχές Ασφάλειας, Κρυπτογραφία και σχετικά Πρότυπα 9 Γενικές Αρχές Ασφάλειας •Μέτρα προστασίας ιδιωτικότητας –Πρακτικές – αρχές προστασίας δεδομένων •Σύννομη, θεμιτή και ακριβής επεξεργασία •Σαφείς και νόμιμοι σκοποί, χρόνος τήρησης •Ρητή συγκατάθεση των προσώπων •Δικαιώματα ενημέρωσης, πρόσβασης, αντίρρησης •Διασφάλιση του απορρήτου και της επεξεργασίας –Απαιτήσεις (λειτουργιών και δυνατοτήτων) για την ενίσχυση της ιδιωτικότητας •Πολιτικές προστασίας ιδιωτικότητας •Πιστοποίηση οντοτήτων που εμπλέκονται στην επεξεργασία •Καταγραφή και τήρηση στοιχείων ενεργειών •Έλεγχος πρόσβασης •Διαχείριση σε περιπτώσεις παραβιάσεων •Διεπαφές υπευθύνων επεξεργασίας και υποκειμένων •Διαπραγμάτευση •Έλεγχος ποιότητας δεδομένων –Τεχνικά μέσα πραγματοποίησης και στόχοι •Κρυπτογραφικές τεχνικές και πρωτόκολλα •Ανωνυμία, ψευδώνυμα •Αδυναμία σύνδεσης (unlinkability), •Aδυναμία παρατήρησης (unobservable)

10 Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Λ. Κηφισίας 1-3, Αθήνα Β. Ζορκάδης Γενικές Αρχές Ασφάλειας, Κρυπτογραφία και σχετικά Πρότυπα 10 Γενικές Αρχές Ασφάλειας •Διαχείριση ταυτότητας –On-line ταυτότητες (usernames, pseudonyms, addresses, cookies, etc. –Off-line ταυτότητες (αριθμός ταυτότητας, αριθμός άδειας οδήγησης, αριθμός τηλεφώνου, αριθμός πιστωτικής κάρτας κ.ά.) –Απαιτήσεις •Dependability (προστασία χρηστών από απάτη, αλλά και διασφάλιση υποχρεώσεων συναλλαγών) •Ελεγχόμενη αποκάλυψη πληροφορίας •Υποστήριξη πολλαπλών ταυτοτήτων και φορητότητας –Άλλα θέματα •Διαχείριση κύκλου ζωής •Formats •Cross-domain communication •Ανωνυμία •Διαχείριση εμπιστοσύνης •Ελεγχόμενη διάδοση

11 Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Λ. Κηφισίας 1-3, Αθήνα Β. Ζορκάδης Γενικές Αρχές Ασφάλειας, Κρυπτογραφία και σχετικά Πρότυπα 11 Γενικές Αρχές Ασφάλειας •Ασφάλεια λειτουργικών συστημάτων –Προστασία •μνήμης •Ι/Ο συσκευών, όπως δίσκων και εκτυπωτών •κοινών προγραμμάτων και ρουτινών •δεδομένων και •δικτύων –Μέθοδοι ασφάλειας •Φυσικός διαχωρισμός (διαφορετικές διεργασίες χρησιμοποιούν ξεχωριστά αντικείμενα) •Χρονικός διαχωρισμός (εκτέλεση σε διαφορετικούς χρόνους) •Λογικός διαχωρισμός (δίδεται η εντύπωση σε μια διεργασία ότι είναι η μόνη που εκτελείται) •Κρυπτογραφικός διαχωρισμός (προστασία των δεδομένων και υπολογισμών μιας διεργασίας σε σχέση με άλλες διεργασίες) –Επίπεδα προστασίας •Χωρίς προστασία (ευαίσθητες διεργασίες εκτελούνται σε ξεχωριστά χρονικά διαστήματα) •Απομόνωση (κάθε διεργασία έχει το δικό της χώρο διευθύνσεων, αρχεία και άλλους πόρους) •Διαμοιρασμός όλων ή καθόλου (ο ιδιοκτήτης ενός αντικειμένου το χαρακτηρίζει δημόσιο ή ιδιωτικό) •Διαμοιρασμός μέσω περιορισμένης πρόσβασης (δικαιώματα χρηστών ως προς συγκεκριμένα αντικείμενα, λίστες επιτρεπτών ενεργειών, το ΛΣ φύλακας μεταξύ χρηστών και αντικειμένων, εξουσιοδοτημένη χρήση) •Διαμοιρασμός υπό προϋποθέσεις (δυναμική δημιουργία δικαιωμάτων, σύμφωνα με ιδιοκτήτη και αντικείμενο) •Περιορισμός χρήσης αντικειμένου (όχι μόνο περιορισμός πρόσβασης αλλά και χρήσης, π.χ. δικαίωμα ανάγνωσης αλλά όχι τροποποίησης ή εκτύπωσης)

12 Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Λ. Κηφισίας 1-3, Αθήνα Β. Ζορκάδης Γενικές Αρχές Ασφάλειας, Κρυπτογραφία και σχετικά Πρότυπα 12 Γενικές Αρχές Ασφάλειας •Ασφάλεια λειτουργικών συστημάτων –Προστασία Μνήμης και Διευθύνσεων (πραγματοποίηση στο υλικό) •Fence, fence register (σε κάθε δημιουργία διεύθυνσης δεδομένων, σύγκριση με ---, μειονέκτημα: μόνο προστασία του ΛΣ από έναν χρήση, όχι όμως και ενός σρήστη από έναν άλλο χρήστη) •Relocation •Variable fence registers known as base registers (προστίθενται στις offset διευθύνσεις των προγραμμάτων κατά την κλήση, αποτελούν το κάτω όριο), bound registers – άνω όριο, context switch – μεταφορά ελέγχου από έναν χρήστη σε άλλο. •Segmentation •Paging –Έλεγχος Προσπέλασης σε γενικά αντικείμενα •Ο έλεγχος αφορά αντικείμενα όπως –Μνήμη –Αρχείο ή σύνολο δεδομένων σε αποθηκευτικό μέσο –Εκτελέσιμο πρόγραμμα –Κατάλογος αρχείων –Συσκευή υλικού –Δομή δεδομένων, όπως μια λίστα –Πίνακας του ΛΣ –Εντολές –Συνθηματικά, –Ο μηχανισμός προστασίας •Access Control Lists (λίστα με όλα τα αντικείμενα και σε σχέση με κάθε αντικείμενο τους χρήστες και τα δικαιώματα που έχουν σε αυτό) •and Matrices (οι γραμμές είναι τα υποκείμενα και οι στήλες τα αντικείμενα και το περιεχόμενο κάθε πεδίου είναι τα αντίστοιχα δικαιώματα) •Capabilities (tickets που εκχωρούν δικαιώματα προσπέλασης αντικειμένων από συγκεκριμένο υποκείμενο, π.χ. Kerberos)

13 Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Λ. Κηφισίας 1-3, Αθήνα Β. Ζορκάδης Γενικές Αρχές Ασφάλειας, Κρυπτογραφία και σχετικά Πρότυπα 13 Γενικές Αρχές Ασφάλειας •Ασφάλεια λειτουργικών συστημάτων –Μηχανισμοί Προστασίας Αρχείων •User •Group •World •Δικαιώματα: {read, write, execute, delete}, unix: set userid (suid) •Ταυτοποίηση χρήστη: user ID και group ID –Αυθεντικοποίηση χρήστη μέσω •Πληροφορίας που γνωρίζει ο χρήστης (συνθηματικό, PIN) •Αντικειμένων που κατέχει ο χρήστης (smart cards, φυσικά κλειδιά κ.ά.) •Βιολογικών χαρακτηριστικών ή συμπεριφοράς (βιομετρικές τεχνικές)

14 Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Λ. Κηφισίας 1-3, Αθήνα Β. Ζορκάδης Γενικές Αρχές Ασφάλειας, Κρυπτογραφία και σχετικά Πρότυπα 14 Γενικές Αρχές Ασφάλειας •Ασφάλεια λειτουργικών συστημάτων –Συνθηματικά (passwords) •Επιθέσεις (δοκιμή πιθανών, χρήση λεξικού) •Κριτήρια επιλογής συνθηματικών –Συνδυασμός γραμμάτων (μικρών και κεφαλαίων), αριθμών και συμβόλων ελέγχου –Επιλογή μεγάλου μήκους (μεγαλύτερου του 6) –Αποφυγή ονομάτων ή λέξεων που περιέχονται σε λεξικά –Επιλογή απίθανων συνθηματικών –Τακτική αλλαγή (30 μέρες) –Δεν το σημειώνουμε κάπου –Δεν το λέμε σε κανέναν και ποτέ (social engineering) •Συνθηματικά μιας χρήσης –πχ f(x)=r(x)

15 Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Λ. Κηφισίας 1-3, Αθήνα Β. Ζορκάδης Γενικές Αρχές Ασφάλειας, Κρυπτογραφία και σχετικά Πρότυπα 15 Γενικές Αρχές Ασφάλειας •Ασφάλεια λειτουργικών συστημάτων –Βιομετρικά •Επαλήθευση ταυτότητας: σύγκριση 1:1 •Αναγνώριση ταυτότητας: σύγκριση (1:Ν) •Βιομετρικές τεχνολογίες: επαλήθευση δακτυλικών αποτυπωμάτων, αναγνώριση ίριδας οφθαλμού, ανάλυση αμφιβληστροειδούς, ανάλυση γεωμετρίας χεριού, αναγνώριση φωνής, ανάλυση δυναμικής υπογραφής, κ.λπ. •Δύο τύποι σφάλματος –εσφαλμένη θετική αναγνώριση –εσφαλμένη απόρριψη

16 Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Λ. Κηφισίας 1-3, Αθήνα Β. Ζορκάδης Γενικές Αρχές Ασφάλειας, Κρυπτογραφία και σχετικά Πρότυπα 16 Γενικές Αρχές Ασφάλειας •Ασφάλεια λειτουργικών συστημάτων –Βιομετρικά

17 Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Λ. Κηφισίας 1-3, Αθήνα Β. Ζορκάδης Γενικές Αρχές Ασφάλειας, Κρυπτογραφία και σχετικά Πρότυπα 17 Γενικές Αρχές Ασφάλειας •Ασφάλεια λειτουργικών συστημάτων –Βιομετρικά •Εφαρμογή βιομετρικών τεχνολογιών, εφόσον οι αρχές του σκοπού και της αναλογικότητας ικανοποιούνται, σε συνδυασμό με τη λήψη κατάλληλων μέτρων ασφαλείας. •Μέτρα ασφαλείας σχετικά με συσκευή εισόδου, εξαγωγής χαρακτηριστικών, σύγκρισης, βάση δεδομένων και πρωτοκόλλων επικοινωνίας. •Σε ορισμένες περιπτώσεις, μπορεί να θεωρηθούν συστήματα ενίσχυσης της ιδιωτικότητας αν συνδυαστούν με μείωση των προσωπικών δεδομένων που αποτελούν αντικείμενο επεξεργασίας και των συναφών κινδύνων. • Ανωνυμοποίηση των βιομετρικών στοιχείων οδηγεί στις πλέον φιλικές τεχνολογίες: –Συναρτήσεις κατακερματισμού ή κρυπτογραφικοί αλγόριθμοι για τη δημιουργία μοναδικού κλειδιού ή μυστικού, –Τεχνικές κωδικοποίησης και τεχνητής νοημοσύνης, –Αποτροπή παραβίασης •Σημαντική παράμετρος: –μέσο αποθήκευσης των templates, –τύπος βιομετρικής τεχνολογίας και λήψη των βιομετρικών χαρακτηριστικών –βιομετρικά δεν είναι μυστικά

18 Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Λ. Κηφισίας 1-3, Αθήνα Β. Ζορκάδης Γενικές Αρχές Ασφάλειας, Κρυπτογραφία και σχετικά Πρότυπα 18 Γενικές Αρχές Ασφάλειας •Ασφάλεια λειτουργικών συστημάτων –Βιομετρικά •Εφαρμογή βιομετρικών τεχνολογιών, εφόσον οι αρχές του σκοπού και της αναλογικότητας ικανοποιούνται, σε συνδυασμό με τη λήψη κατάλληλων μέτρων ασφαλείας. •Μέτρα ασφαλείας σχετικά με συσκευή εισόδου, εξαγωγής χαρακτηριστικών, σύγκρισης, βάση δεδομένων και πρωτοκόλλων επικοινωνίας. •Σε ορισμένες περιπτώσεις, μπορεί να θεωρηθούν συστήματα ενίσχυσης της ιδιωτικότητας αν συνδυαστούν με μείωση των προσωπικών δεδομένων που αποτελούν αντικείμενο επεξεργασίας και των συναφών κινδύνων. • Ανωνυμοποίηση των βιομετρικών στοιχείων οδηγεί στις πλέον φιλικές τεχνολογίες: –Συναρτήσεις κατακερματισμού ή κρυπτογραφικοί αλγόριθμοι για τη δημιουργία μοναδικού κλειδιού ή μυστικού, –Τεχνικές κωδικοποίησης και τεχνητής νοημοσύνης, –Αποτροπή παραβίασης •Σημαντική παράμετρος: –μέσο αποθήκευσης των templates, –τύπος βιομετρικής τεχνολογίας και λήψη των βιομετρικών χαρακτηριστικών –βιομετρικά δεν είναι μυστικά

19 Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Λ. Κηφισίας 1-3, Αθήνα Β. Ζορκάδης Γενικές Αρχές Ασφάλειας, Κρυπτογραφία και σχετικά Πρότυπα 19 Γενικές Αρχές Ασφάλειας •Ασφάλεια βάσεων δεδομένων –Συστατικά στοιχεία βάσεων: records, fields, σχήμα (πίνακες οντοτήτων και σχέσεων), εντολές ή queries. –Απαιτήσεις ασφαλείας: –Φυσική ακεραιότητα (αντιμετώπιση προβλημάτων όπως διακοπής ρεύματος) –Λογική ακεραιότητα (η αλλαγή της τιμής ενός πεδίου δεν επηρεάζει άλλα πεδία) –Ακρίβεια τιμών πεδίων –Έλεγχος πρόσβασης (μόνο εξουσιοδοτημένη πρόσβαση) –Αυθεντικοποίηση χρήστη –Διαθεσιμότητα (σύνολο της βάσης αλλά και των επι μέρους δεδομένων) –Καταγραφή ενεργειών (auditability, ποιος προσπέλασε τι και με ποιο αποτέλεσμα)

20 Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Λ. Κηφισίας 1-3, Αθήνα Β. Ζορκάδης Γενικές Αρχές Ασφάλειας, Κρυπτογραφία και σχετικά Πρότυπα 20 Γενικές Αρχές Ασφάλειας •Ασφάλεια δικτύων υπολογιστών –ISO-OSI Reference Model –TCP – IP –Επιθέσεις •Port scan (πρόγραμμα, το οποίο βρίσκει τα ports που απαντούν σε μηνύματα και επομένως και τις αντίστοιχες υπηρεσίες – πρωτόκολλα – γνωστά προβλήματα) •Social Engineering •Impersonation, Spoofing •Session Hijacking •man–in-the middle attack •Buffer overflow •Addressing errors •Κακόβουλος κώδικας •Υποκλοπή •Ανάλυση δεδομένων κίνησης •Εσφαλμένη μεταφορά •Σφάλματα πρωτοκόλλων •Παραποίηση μηνυμάτων •DNS attack •Denial of service

21 Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Λ. Κηφισίας 1-3, Αθήνα Β. Ζορκάδης Γενικές Αρχές Ασφάλειας, Κρυπτογραφία και σχετικά Πρότυπα 21 Γενικές Αρχές Ασφάλειας •Ασφάλεια δικτύων υπολογιστών –Μέτρα ασφαλείας •Κρυπτογράφηση (link – by – link, end-to-end) •Virtual Private Networks (VPN) •SSL (secure socket layer), •IPsec •PKI και σχετικά Πιστοποιητικά •Kerberos •Firewalls •Intrusion Detection Systems •Μέτρα αντιμετώπισης Spam

22 Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Λ. Κηφισίας 1-3, Αθήνα Β. Ζορκάδης Γενικές Αρχές Ασφάλειας, Κρυπτογραφία και σχετικά Πρότυπα 22 Γενικές Αρχές Ασφάλειας •Ασφάλεια δικτύων υπολογιστών –Μέτρα ασφαλείας •Virtual Private Networks (VPN): αρχικά αυθεντικοποίηση μεταξύ χρήστη και firewall ή authentication server και διαπραγμάτευση κρυπτογραφικού κλειδιού, ακολούθως κρυπτογραφημένη επικοινωνία μεταξύ χρήστη και server εφαρμογών) •SSH (secure shell), καταρχήν για unix,αλλά πλέον και για Windows 2000, καθιστά δυνατή την αυθεντικοποιημένη και κρυπτογραφημένη επικοινωνία με τη shell ή operating system command interpreter). Αντικαθιστά πρωτόκολλα όπως rlogin, rsh, telnet. Διαπραγμάτευση μεταξύ τοπικών και απομακρυσμένων συστημάτων για κρυπτο-αλγόριθμο (DES, IDEA, AES) και αυθεντικοποίηση (public key, Kerberos)

23 Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Λ. Κηφισίας 1-3, Αθήνα Β. Ζορκάδης Γενικές Αρχές Ασφάλειας, Κρυπτογραφία και σχετικά Πρότυπα 23 Γενικές Αρχές Ασφάλειας •Ασφάλεια δικτύων υπολογιστών –Μέτρα ασφαλείας •SSL (secure socket layer), καταρχήν από Netscape για την προστασία της επικοινωνίας μεταξύ web browser και server. Πλέον έχουμε το TLS (transport layer security), μεταξύ εφαρμογών όπως browsers και TCP/IP για την παροχή server authentication, optional client authentication και κρυπτογραφημένη επικοινωνία μεταξύ τους (client και server). Για παράδειγμα, https. Διαπραγμάτευση για κρυπτογραφικό αλγόριθμο, όπως 3DES και SHA1 ή RC4 και MD5. Ο client ζητά καταρχήν μια SSL session. Ο server απαντά με το πιστοποιητικό του δημόσιου κλειδιού, έτσι ώστε να επαληθευτεί η γνησιότητά του. O client επιστρέφει ένα μέρος του κρυπτογραφικού κλειδιού συνόδου, κρυπτογραφημένο με το δημόσιο κλειδί του server. Και οι δύο υπολογίζουν το κλειδί συνόδου και ακολούθως επιδίδονται στην κρυπτογραφημένη επικοινωνία.

24 Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Λ. Κηφισίας 1-3, Αθήνα Β. Ζορκάδης Γενικές Αρχές Ασφάλειας, Κρυπτογραφία και σχετικά Πρότυπα 24 Γενικές Αρχές Ασφάλειας •Ασφάλεια δικτύων υπολογιστών –Μέτρα ασφαλείας •IPv6 (IPSec, IP Security Protocol Suite), RFCs –Security association (the set of security parameters: encryption algorithm and mode, κλειδί, IV, πρωτόκολλο αυθεντικοποίησης και κλειδί, διάρκεια ζωής, διεύθυνση της άλλης πλευράς) –AH (authentication header) –ESP (encapsulated security payload), περιέχει το σύνηθες TCP πακέτο, αυθεντικοποίηση και κρυπτογράφηση –ISAKAMP (Internet Security Association Key Management Protocol), διαχείριση πρωτοκόλλων, αλγορίθμων και κλειδιών, Diffie-Hellman

25 Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Λ. Κηφισίας 1-3, Αθήνα Β. Ζορκάδης Γενικές Αρχές Ασφάλειας, Κρυπτογραφία και σχετικά Πρότυπα 25 Γενικές Αρχές Ασφάλειας •Ασφάλεια δικτύων υπολογιστών –Μέτρα ασφαλείας •PKI (Public Key Infrastructure) και σχετικά Πιστοποιητικά •Kerberos –Σύστημα επαλήθευσης ταυτότητας (αυθεντικοποίησης) σε κατανεμημένα συστήματα –Client-to-server –Ιδέα: κεντρικός server παρέχει σε αιτούσες εφαρμογές tokens-tickets έτσι ώστε να μπορούν να λάβουν από άλλους εξυπηρετητές υπηρεσίες που επιθυμούν, τα οποία δεν είναι δυνατό να παραποιηθούν, να ξαναχρησιμοποιηθούν και η γνησιότητά τους είναι επαληθεύσιμη. Βασίζεται στα δικαιώματα των χρηστών (authorization).

26 Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Λ. Κηφισίας 1-3, Αθήνα Β. Ζορκάδης Γενικές Αρχές Ασφάλειας, Κρυπτογραφία και σχετικά Πρότυπα 26 Γενικές Αρχές Ασφάλειας •Ασφάλεια δικτύων υπολογιστών - Μέτρα ασφαλείας •Firewalls –Φιλτράρει την κίνηση μεταξύ ενός προστατευόμενου ‘δικτύου’ και του ‘ολιγότερο ασφαλούς εξωτερικού κόσμου’ –Δύο σχολές: ‘ότι δεν απαγορεύεται, επιτρέπεται’ και ‘ότι δεν επιτρέπεται, απαγορεύεται’ –Τύποι: »Packet filtering gateway (βασίζεται στις διευθύνσεις προέλευσης και προορισμού και τα πρωτόκολλα μεταφοράς, πρoβλήματα) »Stateful inspection firewall (λαμβάνονται υπόψη και προηγούμενα πακέτα για ενδεχόμενη ανίχνευση επιθέσεων) »Application proxies (πχ επιβολή λεπτομερών κανόνων πρόσβασης σε εφαρμογές, πρόσβαση στο WWW μέσω proxies) »Guards (σύνθετο σύστημα, λεπτομερείς κανόνες, όπως proxy) »Personal firewalls (εφαρμογή, συμπληρώνει το εργο των άλλων)

27 Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Λ. Κηφισίας 1-3, Αθήνα Β. Ζορκάδης Γενικές Αρχές Ασφάλειας, Κρυπτογραφία και σχετικά Πρότυπα 27 Γενικές Αρχές Ασφάλειας •Ασφάλεια δικτύων υπολογιστών -Μέτρα ασφαλείας •Intrusion Detection Systems –Λειτουργίες »παρακολούθηση ενεργειών χρηστών και συστήματος »Έλεγχος συστήματος για ευπάθειες ή εσφαλμένες ρυθμίσεις »Ανίχνευση – αναγνώριση γνωστών ιχνών – προτύπων επιθέσεων »Ανίχνευση ασυνήθους δραστηριότητας μέσω στατιστικής ανάλυσης »Καταγραφή ενεργειών και επισήμανση παραβιάσεων πολιτικής χρήσης –Τύποι (network-, host-based, real –time) »Signature – based (πχ TCP SYN πακέτα) »Heuristic (ανίχνευση ασυνήθους συμπεριφοράς) –Responding to alarms (monitor, collect data, protect, call a human)

28 Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Λ. Κηφισίας 1-3, Αθήνα Β. Ζορκάδης Γενικές Αρχές Ασφάλειας, Κρυπτογραφία και σχετικά Πρότυπα 28 Γενικές Αρχές Ασφάλειας •Αντιμετώπιση SPAM •Το πρόβλημα της ανεπιθύμητης επικοινωνίας και επεξεργασίας –380 εκ. χρήστες Internet (2004, OECD), 137 εκ. με ευρυζωνική σύνδεση (Ιούλιος 2005, OECD), 83 εκ. Domain names, 75 εκ. Web sites (2005, ) –Ανεπιθύμητη επικοινωνία ανέρχεται σε 65-85% της συνολικής, στην Ε.Ε. 53% spam, 80% στην αγγλική, 80% με προέλευση από USA (Wall Street Journal) –Παραβίαση Ιδιωτικότητας και πρόβλημα ασφάλειας –Επιπτώσεις οικονομικής φύσεως (κόστος, μείωση παραγωγικότητας) –Υποβάθμιση ποιότητας παρεχομένων υπηρεσιών •Εξέλιξη –Αρχικά ως διαφημιστικά μηνύματα προϊόντων και υπηρεσιών και ακολούθως και ως μέσα μεταφοράς επιβλαβούς λογισμικού –Τεχνολογίες: (PCs, PDAs, …), κινητή τηλεφωνία (SMS, MMS), Instant Messaging, Weblogs, VoIP –Περιεχόμενο: ASCII, HTML, phishing, virus, malicious software –Τακτικές:Αποφυγή φίλτρων, απόκρυψη ταυτότητας αποστολέα, εκμετάλλευση υπολογιστικών και επικοινωνιακών πόρων τρίτων

29 Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Λ. Κηφισίας 1-3, Αθήνα Β. Ζορκάδης Γενικές Αρχές Ασφάλειας, Κρυπτογραφία και σχετικά Πρότυπα 29 Γενικές Αρχές Ασφάλειας •Αντιμετώπιση SPAM •Εμπλεκόμενοι, ρόλοι και ανάγκες –Τελικοί χρήστες: θύματα, ανάγκη προστασίας –Νομικά πρόσωπα ως παραλήπτες: θύματα, ορισμός δικαιωμάτων, αντιπροσώπου για την περίπτωση συγκατάθεσης –Αρχές: αρμόδιες για εφαρμογή της νομοθεσίας (αρχές προστασίας δεδομένων, προστασίας καταναλωτή, αστυνομικές και δικαστικές αρχές), συνεργασία –Πάροχοι υπηρεσιών ηλεκτρονικών υπηρεσιών: θύματα (και ίσως και θύτες), επιβολή πολιτικών αποδεκτής χρήσης (Acceptance Use Policy) –Ενώσεις διαφημιστών: κώδικες δεοντολογίας –Ενώσεις προστασίας καταναλωτών: ενημέρωση – ευαισθητοποίηση –Εταιρίες λογισμικού: ευθύνη για εργαλεία συλλογής ηλεκτρονικών διευθύνσεων •Μέτρα, Πρωτοβουλίες –Θεσμικό πλαίσιο –Διεθνής συνεργασία αρμοδίων αρχών –Πρωτοβουλίες και μέτρα εμπλεκόμενων φορέων –Τεχνικά μέτρα φορέων και τελικών χρηστών –Ευαισθητοποίηση - ενημέρωση

30 Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Λ. Κηφισίας 1-3, Αθήνα Β. Ζορκάδης Γενικές Αρχές Ασφάλειας, Κρυπτογραφία και σχετικά Πρότυπα 30 Γενικές Αρχές Ασφάλειας- Anti-spam •Αντιμετώπιση SPAM - ΘΕΣΜΙΚΟ ΠΛΑΙΣΙΟ •Άρθρο 13 Οδηγίας 2002/58/ΕΚ αναφέρεται στις αυτόκλητες κλήσεις : –Η χρησιμοποίηση αυτόματων συστημάτων κλήσης χωρίς ανθρώπινη παρέμβαση (συσκευές αυτόματων κλήσεων), τηλεομοιοτυπίας ή ηλεκτρονικού ταχυδρομείου για σκοπούς απευθείας προώθησης επιτρέπεται μόνο κατόπιν συγκατάθεσης (opt-in) –Εξαίρεση αν στοιχεία επαφής αποκτήθηκαν στο πλαίσιο πώλησης προϊόντων ή υπηρεσιών (opt-out), –Σε άλλες περιπτώσεις (με ανθρώπινη παρέμβαση), επαφίεται στον εθνικό νομοθέτη να επιλέξει μεταξύ opt-in και opt-out, –Απαγόρευση συγκάλυψης ή απόκρυψης της ταυτότητας του αποστολέα ή του προσώπου προς όφελος του οποίου αποστέλλεται το μήνυμα. Επίσης, απαγόρευση αποστολής μηνυμάτων χωρίς έγκυρη διεύθυνση για ανάκληση συγκατάθεσης ή τερματισμό της επικοινωνίας, –Ισχύς προστασίας και για νομικά πρόσωπα. •Άρθρο 11 νομοσχεδίου που μεταφέρει την Οδηγία –Opt-in για συστήματα κλήσης χωρίς και με ανθρώπινη παρέμβαση. –Ωστόσο, προβλέπει και δυνατότητα δήλωσης συνδρομητών προς τους φορείς παροχής διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών ότι δεν επιθυμούν γενικώς να δέχονται τέτοιες επικοινωνίες.

31 Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Λ. Κηφισίας 1-3, Αθήνα Β. Ζορκάδης Γενικές Αρχές Ασφάλειας, Κρυπτογραφία και σχετικά Πρότυπα 31 Γενικές Αρχές Ασφάλειας- Anti-spam •Αντιμετώπιση SPAM - ΘΕΣΜΙΚΟ ΠΛΑΙΣΙΟ •Διαφορές στα κράτη-μέλη: –Opt-in ή opt-out, –Μητρώα, –Προστασία φυσικών και νομικών προσώπων, –Επιπτώσεις, European Contact Network of Spam Authorities (CNSA) •Νομικό πλαίσιο ΗΠΑ (Controlling the Assault of Non-Solicited Pornography and Marketing - CAN SPAM Act of 2003) –Μελέτη του FTC σχετικά με τη δυνατότητα δημιουργίας Do-Not-Spam-List –Απαγόρευση συγκάλυψης ή απόκρυψης της ταυτότητας του αποστολέα, –Απαγόρευση αυτόματης συλλογής στοιχείων επικοινωνίας από Web sites ή αυτόματης δημιουργίας δυνατών διευθύνσεων, συνδυάζοντας ονόματα, γράμματα ή αριθμούς, –Υποχρέωση συμπερίληψης της πραγματικής φυσική διεύθυνσης του αποστολέα, –Επίσης, έγκυρης διεύθυνσης για δυνατότητα opt-out σε κάθε μήνυμα, –Απαγόρευση αυτόματων μέσων για την εγγραφή και απόκτηση λογαριασμών ηλεκτρονικού ταχυδρομείου, καθώς και των relay δυνατοτήτων τρίτων –Κυρώσεις.

32 Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Λ. Κηφισίας 1-3, Αθήνα Β. Ζορκάδης Γενικές Αρχές Ασφάλειας, Κρυπτογραφία και σχετικά Πρότυπα 32 Γενικές Αρχές Ασφάλειας- Anti-spam •Αντιμετώπιση SPAM -ΤΕΧΝΙΚΑ ΜΕΤΡΑ •Πάροχοι Υπηρεσιών Διαδικτύου και Ηλεκτρονικού Ταχυδρομείου –Blacklists (απόρριψη κάθε μηνύματος με διεύθυνση προέλευσης που περιέχεται στη λίστα γνωστών αποστολέων spam), –Whitelists (στην περίπτωση μαζικών αποστολών, αποδοχή των μηνυμάτων που προέρχονται από εγκεκριμένους-καταχωρημένους στη λίστα αποστολείς, άλλως εκκίνηση μηχανισμού challenge – response με την αυτόματη δημιουργία και μετάδοση μηνύματος προς το αποστολέα και την απαίτηση να καταχωρήσει σε δεδομένο σύνδεσμο στοιχεία από το μήνυμα, καθώς και μη αυτοματοποιημένη επίλυση αποδοχής ή μη), –Greylisting (προσωρινή απόρριψη (4xx failure codes) μηνυμάτων που προέρχονται από άγνωστους αποστολείς, υποθέτοντας εγκατάλειψη της προσπάθειας μετάδοσης στην περίπτωση ανεπιθύμητης επικοινωνίας, σε αντίθεση με την περίπτωση της επιθυμητής επικοινωνίας. Συνδυάζεται με whitelists, όπου περιέχονται όσοι προσπαθούν και πάλι και βασίζεται σε IP, αποστολέα και παραλήπτη, αλλά και σε σύνοψη του μηνύματος. Εναλλακτικά, καθυστέρηση στην προώθηση μηνυμάτων από άγνωστες πηγές θεωρώντας ότι αν είναι από αποστολείς spam, αυτοί θα εμφανιστούν στο μεταξύ σε σχετικές blacklists), προβλήματα (απώλεια επιθυμητών μηνυμάτων, καθυστέρηση στην παράδοση),

33 Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Λ. Κηφισίας 1-3, Αθήνα Β. Ζορκάδης Γενικές Αρχές Ασφάλειας, Κρυπτογραφία και σχετικά Πρότυπα 33 Γενικές Αρχές Ασφάλειας- Anti-spam •Αντιμετώπιση SPAM - ΤΕΧΝΙΚΑ ΜΕΤΡΑ •Πάροχοι Υπηρεσιών Διαδικτύου και Ηλεκτρονικού Ταχυδρομείου –Προσφορά ‘disposable’ διευθύνσεων (ο κάτοχος μπορεί να προσδιορίσει τις διευθύνσεις από τις οποίες αποδέχεται μηνύματα, ενώ από άλλες διευθύνσεις απορρίπτονται ή η ισχύς μιας διεύθυνσης εκπνέει μετά από κάποιο χρόνο), –Αυθεντικοποίηση ηλεκτρονικού μηνύματος (emerging) •Sender Policy Framework (SPF), Sender-ID (για να ελεγχθεί αν server authorized to send on behalf of a given domain, διαφέρουν στην ταυτότητα που ελέγχουν, SPF το πεδίο του φακέλου MAIL FROM (rfc 2821) και SENDER-ID την επικεφαλίδα (rfc 2822). SPF και Sender-ID δημοσιεύονται στο DNS. Ακόμα, έλεγχος της IP του server του αποστολέα. •Εφαρμογή ψηφιακής υπογραφής (επισυνάπτεται του μηνύματος και ελέγχεται με τη βοήθεια του δημοσίου ή του κλειδιού επαλήθευσης, που έχει δημοσιοποιηθεί στο DNS) –Φίλτρα ταξινόμησης μηνυμάτων, –Ενημέρωση-ευαισθητοποίηση συνδρομητών σχετικά με open relays, open proxies, συμπεριλαμβανομένου περιοδικού ελέγχου για τον εντοπισμό τους, –Κώδικες δεοντολογίας, αποδεκτές πολιτικές χρήσης

34 Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Λ. Κηφισίας 1-3, Αθήνα Β. Ζορκάδης Γενικές Αρχές Ασφάλειας, Κρυπτογραφία και σχετικά Πρότυπα 34 Γενικές Αρχές Ασφάλειας- Anti-spam •Αντιμετώπιση SPAM - ΤΕΧΝΙΚΑ ΜΕΤΡΑ για τελικούς χρήστες •Φίλτρα ταξινόμησης εισερχομένων μηνυμάτων –Επιλογή χαρακτηριστικών γνωρισμάτων •Ρίζες λέξεων, •Stop terms (δεν λαμβάνονται υπόψη άρθρα, αντωνυμίες και γενικά λέξεις που εμφανίζονται σε κάθε τύπο κειμένου), •Αμοιβαία πληροφορία, •Διάσταση και τύπος διανύσματος γνωρισμάτων. –Αλγόριθμοι ταξινόμησης μηνυμάτων •Naϊve-Bayes, •AdaBoost, •Classification via Regression, •MultiBoost, •Random Committee, •ADTree, •ID3-Tree, •Νευρωνικά δίκτυα, •Γενετικοί. –Εσφαλμένα θετικά versus Εσφαλμένα αρνητικά

35 Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Λ. Κηφισίας 1-3, Αθήνα Β. Ζορκάδης Γενικές Αρχές Ασφάλειας, Κρυπτογραφία και σχετικά Πρότυπα 35 Γενικές Αρχές Ασφάλειας- Anti-spam •Αντιμετώπιση SPAM - ΤΕΧΝΙΚΑ ΜΕΤΡΑ για τελικούς χρήστες •Φίλτρα ταξινόμησης εισερχομένων μηνυμάτων Training StageValidation Stage Legitimate MessagesSpam MessagesLegitimate MessagesSpam Messages AlgorithmBestWorstBestWorstBestWorstBestWorst Naive Bayes AdaBoostM Class.v. Regr MultiBoostAB R. Committee ADTree trees.Id RandomTree

36 Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Λ. Κηφισίας 1-3, Αθήνα Β. Ζορκάδης Γενικές Αρχές Ασφάλειας, Κρυπτογραφία και σχετικά Πρότυπα 36 Γενικές Αρχές Ασφάλειας - Anti-spam •Αντιμετώπιση SPAM -Διεθνείς πρωτοβουλίες –OECD (Anti-Spam ToolKit) –ASTA –ENISA –LONDON ACTION PLAN –CNSA

37 Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Λ. Κηφισίας 1-3, Αθήνα Β. Ζορκάδης Γενικές Αρχές Ασφάλειας, Κρυπτογραφία και σχετικά Πρότυπα 37 Γενικές Αρχές Ασφάλειας •Εξελίξεις –Τεχνολογίες Περιρρέουσας Νοημοσύνης (Ambient Intelligence Technologies) •συστήματα διάχυτου υπολογισμού (ubiquitous computing) •Ubiquitous communications •διεπαφές φιλικές στο χρήση (user-friendly interfaces) •ενσωματωμένη νοημοσύνη (embedded intelligence) •Sensors, and actuators –Επιπτώσεις •οικία, εργασία, εκπαίδευση, πληροφόρηση, υγεία, αγορά, κινητικότητα –Απειλές σε ένα Κόσμο Περιρρέουσας Νοημοσύνης •Privacy, identity, security, trust •Επιτήρηση, spamming, identity theft, επιθέσεις, ψηφιακό χάσμα

38 Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Λ. Κηφισίας 1-3, Αθήνα Β. Ζορκάδης Γενικές Αρχές Ασφάλειας, Κρυπτογραφία και σχετικά Πρότυπα 38 Αρχή Ασφαλείας –Άρθρο 10 ν. 2472/97 και Άρθρα 16 και 17 Οδηγίας 95/46/ΕΚ •Απόρρητο Επεξεργασίας –Η επεξεργασία δεδομένων μόνο από πρόσωπα που τελούν υπό τον έλεγχο του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία είναι απόρρητη. Διεξάγεται αποκλειστικά και μόνον κατ’ εντολή του. •Ασφάλεια Επεξεργασίας –Οργανωτικά και τεχνικά μέτρα ασφαλείας. Ο υπεύθυνος επεξεργασίας οφείλει να λαμβάνει τα κατάλληλα οργανωτικά και τεχνικά μέτρα για την ασφάλεια των δεδομένων και την προστασία τους από τυχαία ή αθέμιτη καταστροφή, τυχαία απώλεια, αλλοίωση, απαγορευμένη διάδοση ή πρόσβαση και κάθε άλλη μορφή αθέμιτης επεξεργασίας, ιδίως εάν η επεξεργασία συμπεριλαμβάνει και διαβίβαση των δεδομένων μέσων δικτύου. Αυτά τα μέτρα πρέπει να εξασφαλίζουν επίπεδο ασφαλείας ανάλογο προς τους κινδύνους που συνεπάγεται η επεξεργασία και η φύση των δεδομένων που είναι αντικείμενο της επεξεργασίας. Η Αρχή παρέχει εκάστοτε οδηγίες για το βαθμό ασφαλείας των δεδομένων καθώς και για τα μέτρα προστασίας που είναι αναγκαίο να λαμβάνονται για κάθε κατηγορία δεδομένων, εν’ όψει και των τεχνολογικών εξελίξεων. –Ασφάλεια Outsourcing Υπηρεσιών. Αν η επεξεργασία διεξάγεται για λογαριασμό του υπεύθυνου από πρόσωπο μη εξαρτώμενο από αυτόν, η σχετική ανάθεση γίνεται υποχρεωτικά εγγράφως. Η ανάθεση προβλέπει υποχρεωτικά ότι ο ενεργών την επεξεργασία την διεξάγει μόνο κατ’ εντολή του υπεύθυνου και ότι οι λοιπές υποχρεώσεις του παρόντος άρθρου βαρύνουν αναλόγως και αυτόν. –Επιλογή κατάλληλων προσώπων. Για τη διεξαγωγή της επεξεργασίας ο υπεύθυνος επεξεργασίας οφείλει να επιλέγει πρόσωπα με αντίστοιχα επαγγελματικά προσόντα που παρέχουν επαρκείς εγγυήσεις από πλευράς τεχνικών γνώσεων και προσωπικής ακεραιότητας για την τήρηση του απορρήτου.

39 Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Λ. Κηφισίας 1-3, Αθήνα Β. Ζορκάδης Γενικές Αρχές Ασφάλειας, Κρυπτογραφία και σχετικά Πρότυπα 39 Διαδικασία Ελέγχου Identification of the protection degree of personal data processed for the purpose Principles of: Accuracy Anonymity Accountability Identification of law compliant: Operations performed on personal data Sources for data collection Recipients for disclosing data Time periods for data processing Interconnections of personal data Staff responsible for compliance etc Definition of concrete privacy protection requirements for each data processing purpose and the relevant personal data items Principles of: Lawfulness and fairness Minimality Principle of purpose specification For each legitimate processing purpose Exclusion of non-legitimate purposes Identification of personal data items for the data processing purpose Identification of data processing purposes

40 Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Λ. Κηφισίας 1-3, Αθήνα Β. Ζορκάδης Γενικές Αρχές Ασφάλειας, Κρυπτογραφία και σχετικά Πρότυπα 40 Διαδικασία Ελέγχου Security measures selection processes Specification processes of privacy protection profile for each processing purpose Selection of security measures based on the concrete privacy requirements set, the existing infrastructure and vulnerabilities and security solutions, the security principle, the Common Criteria standard etc Monitoring of security publications, vulnerability analysis results, technological advances Technical measures requirements Authentication Confidentiality Integrity Accountability Anonymity Pseudonymity Unlinkability Unobservability etc Organizational measures requirements Security and Privacy Policy Business Continuity Plan Disaster Recovery Plan Staff selection and training Outsourcing contracts Data transfers outside EU etc Components of computer and communication infrastructure Security principle Sample security plans Baseline manuals Risk assessments Common Criteria standard Concrete privacy protection requirements for each purpose Maintenance process

41 Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Λ. Κηφισίας 1-3, Αθήνα Β. Ζορκάδης Γενικές Αρχές Ασφάλειας, Κρυπτογραφία και σχετικά Πρότυπα 41 Privacy protection profile for each data processing purpose Privacy & Security Policy Revision of privacy protection requirements Principles of Purpose Specification Lawfulness and Fairness, Minimality Accuracy, Anonymity Accountability Evaluate the fulfillment of the privacy protection requirements Evaluate whether the data controller has complied with the privacy protection principles PassFail Evaluate the selected and implemented security measures according to the CC standard, the security principle and the privacy protection profiles FailPass Successful assessment completion Evaluate for operation Evaluate whether the selected organizational and technical security measures are permanently applied PassFail Revision of operation Revision of security measures & implementation

42 Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Λ. Κηφισίας 1-3, Αθήνα Β. Ζορκάδης Γενικές Αρχές Ασφάλειας, Κρυπτογραφία και σχετικά Πρότυπα 42 •Διαδικασία Ελέγχου Revision of security measures Evaluation of security functional requirements Evaluate whether the security measures effectively meet the claimed security functions PassFail Evaluation of security assurance requirements Evaluate whether the security measures meet the security objectives PassFail Revision of security measures & implementation Principle of security Technical measures requirements Organizational measures requirements Successful assessment of the selected security measures

43 Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Λ. Κηφισίας 1-3, Αθήνα Β. Ζορκάδης Γενικές Αρχές Ασφάλειας, Κρυπτογραφία και σχετικά Πρότυπα 43 Σχέδιο Ασφαλείας •Το Σχέδιο Ασφάλειας (Security Plan) είναι το έγγραφο στο οποίο περιγράφεται η πολιτική ενός οργανισμού για την κάλυψη των βασικών απαιτήσεων ασφάλειας, καθώς επίσης και τα κύρια τεχνικά, διοικητικά και οργανωτικά μέτρα ασφάλειας που εφαρμόζονται ή/και πρόκειται να εφαρμοστούν, συμπεριλαμβανομένου του πλάνου πραγματοποίησης και επισκόπησης/αναθεώρησής τους.

44 Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Λ. Κηφισίας 1-3, Αθήνα Β. Ζορκάδης Γενικές Αρχές Ασφάλειας, Κρυπτογραφία και σχετικά Πρότυπα 44 Σχέδιο Ασφαλείας •Ανάλυση Επικινδυνότητας vs. Baseline Security •Βασικά Περιεχόμενα του Πλάνου Ασφαλείας –Πολιτική Ασφαλείας –Υφιστάμενη Κατάσταση –Σχέδιο Έκτακτης Ανάγκης –Απαιτήσεις Ασφαλείας –Πλάνο Πραγματοποίησης –Διαδικασία Περιοδικής Επισκόπησης/Αναθεώρησης

45 Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Λ. Κηφισίας 1-3, Αθήνα Β. Ζορκάδης Γενικές Αρχές Ασφάλειας, Κρυπτογραφία και σχετικά Πρότυπα 45 Σχέδιο Ασφαλείας •Πολιτική Ασφαλείας –Βασικές αρχές ασφαλείας –Αγαθά –Σκοπός –Πεδίο εφαρμογής –Ρόλοι και αρμοδιότητες –Αρχές και νομοθεσία –Εφαρμογή πολιτικής

46 Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Λ. Κηφισίας 1-3, Αθήνα Β. Ζορκάδης Γενικές Αρχές Ασφάλειας, Κρυπτογραφία και σχετικά Πρότυπα 46 Σχέδιο Ασφαλείας •Υφιστάμενη Κατάσταση –Περιγραφή Συστημάτων –Μέτρα Ασφαλείας •Φυσικά Μέτρα Ασφαλείας •Ασφάλεια Προσωπικού •Ασφάλεια Πρόσβασης •Ασφάλεια της υποδομής (υπολογιστικής και επικοινωνιακής) •Ασφάλεια κύκλου ζωής πληροφοριακών συστημάτων –Άλλα Θέματα Ασφαλείας

47 Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Λ. Κηφισίας 1-3, Αθήνα Β. Ζορκάδης Γενικές Αρχές Ασφάλειας, Κρυπτογραφία και σχετικά Πρότυπα 47 Σχέδιο Ασφαλείας •Σχέδιο Έκτακτης Ανάγκης •Απαιτήσεις Ασφαλείας •Πλάνο Πραγματοποίησης •Διαδικασίες Επισκόπησης/Αναθεώρησης


Κατέβασμα ppt "Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Λ. Κηφισίας 1-3, 11523 Αθήνα Β. Ζορκάδης Γενικές Αρχές Ασφάλειας, Κρυπτογραφία και σχετικά."

Παρόμοιες παρουσιάσεις


Διαφημίσεις Google