Σχέδιο Ασφάλειας (Security Plan)

Σχέδιο Ασφάλειας (Security Plan)
Σχέδιο Αντιμετώπισης Απρόοπτων Συμβάντων (Contingency Plan) Ευφροσύνη Σιουγλέ Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Ελέγκτρια πληροφορικός 23/6/2006 ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ

ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ
Σχέδιο ασφάλειας Είναι το έγγραφο, στο οποίο περιγράφονται: οι απαιτήσεις ασφάλειας ενός οργανισμού ή μιας επιχείρησης, οι απαραίτητες ενέργειες για την υλοποίησής τους, τα αναγκαία διοικητικά και οργανωτικά μέτρα ασφαλείας H κατάρτιση του σχεδίου ασφάλειας μπορεί να βασίζεται στα αποτελέσματα μιας ανάλυσης επικινδυνότητας (risk analysis assessment) της υπολογιστικής και επικοινωνιακής υποδομής Υπόκειται σε τακτικές επισκοπήσεις και αναθεωρήσεις, δεδομένης της ραγδαίας ανάπτυξης των τεχνολογικών λύσεων και της εφαρμογής τους στα συστήματα πληροφορικής και δικτυακών υποδομών 23/6/2006 ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ

Δομικά μέρη του σχεδίου
Πολιτική ασφάλειας Περιγραφή και αξιολόγηση υφιστάμενης κατάστασης Προσδιορισμός των απαιτήσεων ασφάλειας της επιχείρησης Πλάνο υλοποίησης των απαιτήσεων ασφαλείας Συνεχής επισκόπηση – αναθεώρηση του σχεδίου 23/6/2006 ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ

Πολιτική ασφαλείας Παρουσιάζει τις βασικές επιλογές της διοίκησης μιας επιχείρησης - οργανισμού για την προώθηση της ασφάλειας των ολοκληρωμένων πληροφοριακών συστημάτων και τηλεπικοινωνιακών υποδομών Περιγράφει τις γενικές αρχές που διέπουν την προστασία των πληροφοριών μιας επιχείρησης και περιλαμβάνει μία σειρά από οδηγίες, κανόνες και πρακτικές για την επίτευξη συγκεκριμένων στόχων ασφαλείας. Κρίσιμοι παράγοντες επιτυχίας: η επικύρωση της πολιτικής ασφάλειας από τη διοίκηση της επιχείρησης η ενημέρωση και συμμόρφωση του προσωπικού 23/6/2006 ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ

Βασικοί άξονες ασφάλειας
Φυσική ασφάλεια Ασφάλεια προσωπικού Ασφάλεια συστημάτων πληροφορικής και επικοινωνιών Ασφάλεια ανάπτυξης και συντήρησης που πληροφοριακού συστήματος Οργάνωση και διαχείριση της ασφάλειας του πληροφοριακού συστήματος Σχέδιο ανάκαμψης από καταστροφές και σχέδιο συνέχειας διαδικασιών Έλεγχος και συμμόρφωση 23/6/2006 ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ

Φυσική ασφάλεια (1) Ασφάλεια εγκαταστάσεων Περίμετρος ασφάλειας Προστασία από εισβολές – κακόβουλες ενέργειες Επιτήρηση εισόδων – εξόδων Κάρτες εισόδου Διαφορετικές ζώνες ασφάλειας Προσωπικό ασφαλείας Προστασία από φυσικές καταστροφές Συστήματα ανίχνευσης πυρός, εστιών θερμότητας και καπνού Συστήματα αυτόματης πυρόσβεσης Επαρκής κλιματισμός και εξαερισμός 23/6/2006 ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ

Φυσική ασφάλεια (2) Ασφάλεια του εξοπλισμού Εξοπλισμός επεξεργασίας δεδομένων Προστασία του data center Υποστήριξη εξοπλισμού Χρήση ιδιωτικού εξοπλισμού Σύστημα αδιάλειπτης παροχής ηλεκτρικού ρεύματος Εφεδρική γεννήτρια Προστασία τηλεπικοινωνιακών καλωδιώσεων Προστασία από κλοπή εξοπλισμού Σταθμοί εργασίας Πρόσβαση σε σταθμούς εργασίας Παρακολούθηση εκτυπώσεων 23/6/2006 ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ

Ασφάλεια προσωπικού Πρόσληψη Εκπαίδευση – κατάρτιση Περιγραφή θέσεων εργασίας και καθηκόντων Εξουσιοδότηση - διαβάθμιση Εμπιστευτικότητα και απόρρητο πληροφοριών Παράβαση των κανόνων ασφαλείας Πρόσβαση των επισκεπτών στις εγκαταστάσεις και στον εξοπλισμό Πρόσβαση εξωτερικών συνεργατών και αναδόχων 23/6/2006 ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ

Ασφάλεια συστημάτων πληροφορικής και επικοινωνιών
Προστασία από επιβλαβές-ιομορφικό λογισμικό (antivirus, filtering, web filtering, spyware, antispam) Δημιουργία εφεδρικών αντιγράφων ασφαλείας Διαχείριση ασφάλειας δικτύων - τηλεπικοινωνιών Ασφαλής διαχείριση των μέσων αποθήκευσης δεδομένων και της μεταφοράς των δεδομένων Ασφάλεια κατά την μετάδοση δεδομένων μέσω του Internet – κρυπτογράφηση δεδομένων Ασφαλής χρήση του Internet και του ηλεκτρονικού ταχυδρομείου Έλεγχος πρόσβασης των χρηστών – δικαιώματα –ταυτοποίηση και αυθεντικοποίηση Έλεγχος της πρόσβασης στο σύστημα και της χρησιμοποίησής του 23/6/2006 ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ

Ασφάλεια ανάπτυξης και συντήρησης
Ανάλυση και προσδιορισμός απαιτήσεων ασφαλείας Διαχωρισμός περιβαλλόντων ανάπτυξης και δοκιμών από τις εγκαταστάσεις λειτουργίας Διαδικασίες δοκιμών και αποδοχής του συστήματος Έλεγχος της επάρκειας μηχανισμών ασφάλειας του λογισμικού κατά την ανάπτυξη Έλεγχος συντήρησης-αλλαγής-αναβάθμισης λογισμικού και συστημάτων Διαδικασίες διαχείρισης αλλαγών Τεκμηρίωση διαδικασιών λειτουργίας και χρήσης του συστήματος 23/6/2006 ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ

Οργάνωση και διαχείρισης της ασφάλειας
Στρατηγική για την ασφάλεια Επιχειρησιακές διαδικασίες και ευθύνη για την ασφάλεια Οργανωτικό σχήμα διαχείρισης της ασφάλειας Κατανομή καθηκόντων, αρμοδιοτήτων και ρόλων που σχετίζονται με την ασφάλεια Τεκμηρίωση διαδικασιών ασφάλειας Διαχείριση σχέσεων και πρόσβασης τρίτων φορέων στο σύστημα Ενημέρωση και αναθεώρηση σχεδίου ασφαλείας, πολιτικής ασφαλείας και σχεδίου έκτακτης ανάγκης Ενημέρωση και εκπαίδευση των χρηστών Αναφορά περιστατικών παραβίασης ασφάλειας και δυσλειτουργιών του συστήματος 23/6/2006 ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ

Έλεγχος και συμμόρφωση
Εσωτερικός έλεγχος και επιθεώρηση ασφάλειας Ανεξάρτητος εξωτερικός έλεγχος Τήρηση αρχείων καταγραφής συμβάντων Παρακολούθηση και ανάλυση των αρχείων καταγραφής συμβάντων Χρήση εργαλείων αποτίμησης ευπαθειών και υποστήριξης του ελέγχου της ασφάλειας πληροφοριακών συστημάτων και δικτύων Έλεγχος χρήσης λογισμικού Κυρώσεις για την παραβίαση της πολιτικής ασφαλείας Συμμόρφωση με νομοθετικό πλαίσιο 23/6/2006 ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ

Επεξεργασία δεδομένων
Εισαγωγή/τροποποίηση/διαγραφή καταχωρίσεων στο σύστημα Μέτρα για την ποιότητα των δεδομένων (quality measures) 23/6/2006 ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ

Σχέδιο Αντιμετώπισης Απρόοπτων Συμβάντων (Contingency Plan - CP)
Πρόκειται για το γενικό σχέδιο προετοιμασίας, εντοπισμού και αντιμετώπισης απρόοπτων συμβάντων που απειλούν την ομαλή λειτουργία και ασφάλεια των πληροφοριακών συστημάτων και τηλεπικοινωνιακής υποδομής μιας επιχείρησης Βασικός στόχος: η αποκατάσταση των επιχειρησιακών διαδικασιών που υποστηρίζονται από το σύστημα από μικρή ή εκτεταμένη βλάβη με ελαχιστοποίηση των οικονομικών επιπτώσεων και της διατάραξη της απρόσκοπτης λειτουργίας των δραστηριοτήτων της επιχείρησης 23/6/2006 ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ

Επίτευξη στόχων του CP Το σχέδιο αποσκοπεί: Στον περιορισμό των συνεπειών από την εκδήλωση φυσικών καταστροφών ή κακόβουλων ενεργειών, που ενδέχεται να έχουν ως αποτέλεσμα την εκτεταμένη αποτυχία ή καταστροφή των στοιχείων των ΠΣ. Στην ανάκαμψη των ΠΣ, έπειτα από πιθανή αποτυχία ή καταστροφή. Στην αποκατάσταση της ομαλής λειτουργίας των ΠΣ και των δεδομένων που διαχειρίζονται σε συγκεκριμένο χρονικό διάστημα και σειρά προτεραιότητας. 23/6/2006 ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ

Ανάπτυξη του CP (1) Καθορισμός και ιεράρχηση των κρίσιμων διαδικασιών της επιχείρησης Καθορισμός των πόρων του συστήματος που υποστηρίζουν τις διαδικασίες αυτές Βασικά πληροφοριακά και τηλεπικοινωνιακά συστήματα Κύριοι κατασκευαστές/προμηθευτές συστημάτων και υπεύθυνοι συντήρησης Δεδομένα και πληροφορίες Καταγραφή διοικητικής δομής και ανθρώπινου δυναμικού Κτιριακές εγκαταστάσεις και εξοπλισμός Προσδιορισμός απειλών οι οποίες ενδέχεται να οδηγήσουν σε πιθανές καταστροφές και αποτυχίες μεγάλης κλίμακας Φυσικές καταστροφές (φωτιά, σεισμός, πλημμύρα κλπ) Οργανωμένη επίθεση (τρομοκρατική ενέργεια, δολιοφθορά κλπ) Απώλεια δεδομένων, υλικού ή λογισμικού (κλοπή εξοπλισμού, καταστροφή μέσου αποθήκευσης δεδομένων, καταστροφή λογισμικού και δεδομένων κλπ) Βλάβη εξοπλισμού ή συστήματος κλπ 23/6/2006 ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ

Ανάπτυξη του CP (2) Προσδιορισμός και εκτίμηση των πιθανών συνεπειών και επιπτώσεων από την πραγματοποίηση των αποτυχιών - καταστροφών στο σύστημα Επιλογή των στρατηγικών αντιμετώπισης των απρόοπτων συμβάντων Ορισμό διαδικασιών αποκατάστασης της ομαλής λειτουργίας του συστήματος και αντίστοιχων ρόλων και αρμοδιοτήτων Έγκριση διαδικασιών από τη διοίκηση και σύνταξη του σχεδίου Υλοποίηση και εφαρμογή του σχεδίου Έλεγχος και αναθεώρηση του σχεδίου 23/6/2006 ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ

Δομικά τμήματα του CP Σχέδιο αντίδρασης στο περιστατικό (incident response planning): άμεση αντίδραση σε περιστατικά ασφαλείας που εάν κλιμακωθούν μπορεί να οδηγήσουν σε αποτυχίες μεγάλης κλίμακας ή καταστροφές Σχέδιο ανάκαμψης από καταστροφές (disaster recovery planning - DRP) : αποκατάσταση των επιχειρησιακών διαδικασιών μετά από αποτυχίες μεγάλης κλίμακας – καταστροφές στις εγκαταστάσεις λειτουργίας Σχέδιο συνέχειας επιχειρηματικών διαδικασιών (business continuity planning - BCP) : αφορά την συνέχιση των επιχειρησιακών διαδικασιών σε εναλλακτική εγκατάσταση λειτουργίας 23/6/2006 ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ

Contingency Planning 23/6/2006 ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ

Ομάδες του CP Ομάδες που εμπλέκονται στον σχεδιασμό και εφαρμογή του CP: Ομάδα σχεδιασμού του CP (CP team) Ομάδα αποκατάστασης περιστατικού παραβίασης της ασφαλείας (Incident recovery - IR team) Ομάδα αποκατάστασης καταστροφής (Disaster recovery - DR team) Ομάδα διατήρησης συνέχειας λειτουργιών της επιχείρησης (Business continuity plan - BC team) 23/6/2006 ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ

Προετοιμασία για την αντιμετώπιση απρόοπτων συμβάντων
Πρόκειται για ένα σύνολο διαδικασιών που εκτελούνται εκ των προτέρων: Λήψη και διαχείριση εφεδρικών αντιγράφων ασφαλείας Εναλλακτικές - εφεδρικές εγκαταστάσεις λειτουργίας του συστήματος Εφεδρικά συστήματα εξοπλισμού Εφεδρική τροφοδοσία ρεύματος Επείγουσες προμήθειες Κατανομή ρόλων και αρμοδιοτήτων Ενημέρωση, εκπαίδευση, εξάσκηση και εξοικείωση του ανθρώπινου δυναμικού με διαδικασίες έκτακτης ανάγκης Δοκιμές του σχεδίου Διαχείριση αλλαγών Οδηγίες προετοιμασίας και τεκμηρίωσης του σχεδίου Αντίγραφα των συμφωνητικών συντήρησης 23/6/2006 ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ

Σχέδιο αντίδρασης στα περιστατικά παραβίασης ασφάλειας (Incident Response Plan - IRP) Σύνολο διαδικασιών για: την έγκαιρη αναγνώριση, εντοπισμό, διερεύνηση και αντιμετώπιση περιστατικών παραβίασης της ασφάλειας που απειλούν την διατάραξη της ομαλής λειτουργίας του συστήματος περιορισμό της έκτασης των ζημιών και καταστροφών ελαχιστοποίηση των συνεπειών –επιπτώσεων που επιφέρουν στην λειτουργία της επιχείρησης αποφυγή πιθανής κλιμάκωσης των συμβάντων αυτών Όταν μια απειλή αποτελέσει επιτυχημένη επίθεση κατηγοριοποιείται ως περιστατικό παραβίασης ασφάλειας εάν: Επηρεάζει τους πληροφοριακούς πόρους Έχει ρεαλιστικές πιθανότητες επιτυχίας Απειλεί την διαθεσιμότητα, ακεραιότητα ή εμπιστευτικότητα των πληροφοριακών αγαθών Η άμεση αντίδραση στα περιστατικά (Incident Response – IR) τίθεται σε εφαρμογή όταν εντοπίζεται ένα συμβάν έκτακτης ανάγκης Πρόκειται για κατασταλτικό και όχι προληπτικό μέτρο. 23/6/2006 ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ

Εντοπισμός περιστατικών παραβίασης της ασφαλείας – Incident detection
Δυσκολία έγκειται στον καθορισμό ότι ένα γεγονός αποτελεί κανονική χρήση του συστήματος ή περιστατικό παραβίασης της ασφάλειας Ταξινόμηση περιστατικού ασφάλειας: διαδικασία εξέτασης ενός πιθανού περιστατικού παραβίασης της ασφάλειας και καθορισμός εάν αποτελεί πραγματικό περιστατικό Η κατάλληλη εκπαίδευση επιτρέπει στους χρήστες και τους διαχειριστές να τροφοδοτούν με σημαντικές πληροφορίες την ομάδα IR 23/6/2006 ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ

Ενδείξεις παραβίασης ασφάλειας
Ενδείξεις που μπορούν να οδηγήσουν σε περιστατικά παραβίασης της ασφαλείας: Παρουσία αγνώστων αρχείων στο σύστημα Παρουσία ή εκτέλεση αγνώστων προγραμμάτων ή διεργασιών Ασυνήθιστη κατανάλωση των πόρων του συστήματος Ασυνήθιστες αποτυχίες - διακοπές της λειτουργίας του συστήματος Δραστηριότητα του συστήματος σε μη προβλεπόμενες ώρες Αναφορές των χρηστών και των διαχειριστών των συστημάτων Αναφορές των συστημάτων ανίχνευσης εισβολών (IDS) Αναφορές των συστημάτων ανίχνευσης επιβλαβούς – ιομορφικού λογισμικού Παρουσία νέων λογαριασμών χρηστών - χρήση ανενεργών λογαριασμών Παρουσία εργαλείων hacking Αλλαγές στα αρχεία καταγραφής συμβάντων 23/6/2006 ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ

Εμφάνιση πραγματικού περιστατικού παραβίασης της ασφάλειας
Απώλεια διαθεσιμότητας (availability) Availability: εξασφάλιση της διαθεσιμότητας των πληροφοριών Απώλεια ακεραιότητας (integrity) Integrity: αποτροπή μη-εξουσιοδοτημένης τροποποίησης της πληροφορίας Απώλεια εμπιστευτικότητας (confidentiality) Confidentiality: διαφύλαξη της εξουσιοδοτημένης πρόσβασης στα δεδομένα Παραβίαση της πολιτικής ασφαλείας Παραβίαση της νομοθεσίας 23/6/2006 ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ

Άμεση αντίδραση στο περιστατικό – Incident response
Μετά την επιβεβαίωση του πραγματικού περιστατικού και την κατάλληλη ταξινόμησή του η ομάδα IR μεταβαίνει από την φάση του εντοπισμού στη φάση της άμεσης αντίδρασης Στη φάση αυτή οι απαραίτητες ενέργειες πρέπει να γίνουν αμέσως και ταυτόχρονα Οι ενέργειες αυτές περιλαμβάνουν: ενημέρωση των στελεχών του προσωπικού σε θέσεις κλειδιά χρονοπρογραμματισμό με σαφή ανάθεση καθηκόντων για την αποκατάσταση της λειτουργίας του συστήματος καταγραφή του περιστατικού αιτία πρόκλησης περιστατικού μέγεθος της ζημιάς που προκλήθηκε διορθωτικές ενέργειες που δρομολογήθηκαν από τη στιγμή του περιστατικού 23/6/2006 ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ

Ενημέρωση των στελεχών σε θέσεις - κλειδιά
Ενημέρωση, με την κατάλληλη σειρά, των στελεχών σε θέσεις κλειδιά για το περιστατικό Διαθέσιμη κατάσταση με τα στοιχεία επικοινωνίας: των μελών του προσωπικού που πρέπει να ενημερωθούν για το περιστατικό σειριακά ή ιεραρχικά των σημαντικών προμηθευτών υλικού και λογισμικού, των σημαντικών συνεργατών ή πελατών, των ατόμων που βρίσκονται σε διαφορετικές εγκαταστάσεις που θα χρησιμοποιηθούν από την επιχείρηση για τη συνέχιση της λειτουργίας της. Διαθέσιμο κείμενο συνοπτικής περιγραφής του συμβάντος Στελέχη που πρέπει να ενημερωθούν μόνο μετά την επιβεβαίωση του περιστατικού και πριν την ενημέρωση των ΜΜΕ ή άλλων εξωτερικών πηγών 23/6/2006 ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ

Καταγραφή του περιστατικού παραβίασης της ασφάλειας
Αμέσως μετά την επιβεβαίωση του περιστατικού και την ενημέρωση των στελεχών η ομάδα IR πρέπει να ξεκινήσει την καταγραφή Καταγραφή ποιος, πότε, που, πως και γιατί κάθε πράξης που γίνεται κατά την περίοδο εκδήλωσης του περιστατικού Η καταγραφή είναι απαραίτητη για να προσδιορίσει, μετά το περιστατικό, ότι λήφθηκαν οι κατάλληλες ενέργειες και ότι ήταν αποτελεσματικές Αποδεικνύει ότι η επιχείρηση κατέβαλε όλες τις δυνατές προσπάθειες για να αποτρέψει την εξάπλωση του περιστατικού 23/6/2006 ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ

Στρατηγική περιορισμού του περιστατικού παραβίασης ασφάλειας
Βασικό καθήκον τις ομάδας IR είναι να διακόψει το περιστατικό ή να περιορίσει τις επιπτώσεις του στο σύστημα Η στρατηγική περιορισμού του περιστατικού επικεντρώνεται σε δύο σημεία: Διακοπή του περιστατικού Επανάκτηση του ελέγχου του συστήματος Η ομάδα IR επιχειρεί να διακόψει το συμβάν και να ανακτήσει τον έλεγχο μέσω, ενδεικτικά, των παρακάτω: Αποσύνδεση επικοινωνιακών γραμμών ή συνδέσεων που έχουν επηρεαστεί Δυναμική εφαρμογή κανόνων για περιορισμό πρόσβασης στο δίκτυο Απενεργοποίηση λογαριασμών χρηστών Παραμετροποίηση του firewall ώστε να εμποδίσει συγκεκριμένη κίνηση στο δίκτυο Προσωρινή απενεργοποίηση διεργασιών ή υπηρεσιών που επηρεάστηκαν Τερματισμός εφαρμογών ή εξυπηρετητών Τερματισμός σταθμών εργασίας, εξυπηρετητών και δικτυακών συσκευών 23/6/2006 ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ

Κλιμάκωση του περιστατικού
Ένα περιστατικό παραβίασης της ασφάλειας μπορεί να αυξηθεί σε μέγεθος ή ένταση σε σημείο που το IRP να μην μπορεί να το περιορίσει επαρκώς Κάθε επιχείρηση πρέπει να καθορίσει κατά τη διάρκεια διεξαγωγής της ανάλυσης του αντίκτυπου στην επιχειρηματική δραστηριότητα (business Impact Analysis), το σημείο στο οποίο ένα περιστατικό γίνεται καταστροφικό γεγονός Στο σημείο αυτό ενεργοποιείται το σχέδιο ανάκαμψης από καταστροφή (disaster recovery plan – DRP) 23/6/2006 ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ

Εκκίνηση της διαδικασίας αποκατάστασης της ζημίας που προκλήθηκε από το περιστατικό Μετά τον περιορισμό του περιστατικού και την επανάκτηση του ελέγχου του συστήματος ξεκινάει η αποκατάσταση από την ζημιά που προκάλεσε το περιστατικό Η ομάδα IR πρέπει να υπολογίσει την πλήρη έκταση της ζημιάς ώστε να καθορίσει τις ενέργειες που απαιτούνται για την αποκατάσταση των συστημάτων Καθορισμός της εμβέλειας της παραβίασης της εμπιστευτικότητας, της ακεραιότητας και της διαθεσιμότητας των δεδομένων και των πληροφοριακών πόρων Τα μέλη της ομάδας που καταγράφουν την ζημιά πρέπει να έχουν λάβει την κατάλληλη εκπαίδευση ώστε να συλλέξουν και να διατηρήσουν πειστήρια εάν το περιστατικό αποτελεί: αποτελεί εγκληματική ενέργεια ή καταλήγει σε αστική-δικαστική απαίτηση 23/6/2006 ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ

Διαδικασία αποκατάστασης (1)
Μετά τον προσδιορισμό και καταγραφή της έκτασης της ζημιάς – καταστροφής ξεκινάει η διαδικασία αποκατάστασης: Προσδιορισμός και ανάλυση των ευπαθειών που επέτρεψαν την εκδήλωση και εξάπλωση του περιστατικού Προσδιορισμός, ανάλυση, εγκατάσταση και αντικατάσταση-αναβάθμιση των μέτρων ασφαλείας-αντιμέτρων που απέτυχαν να εντοπίσουν, να διακόψουν ή να περιορίσουν το περιστατικό ή αναγνώριση ότι δεν υπήρχαν καθόλου στο σύστημα Αξιολόγηση των διαδικασιών και συστημάτων παρακολούθησης (αν υπάρχουν) για την βελτίωση των μεθόδων εντοπισμού και αναφοράς περιστατικών ή εγκατάσταση νέων συστημάτων 23/6/2006 ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ

Διαδικασία αποκατάστασης (2)
Εγκατάσταση δεδομένων και εφαρμογών από τα εφεδρικά αντίγραφα ασφαλείας Χρήση εφεδρικών συστημάτων πχ εξυπηρετητών Επανεγκατάσταση υπηρεσιών και διεργασιών που διακόπηκαν ή παραβιάστηκαν Συνεχής παρακολούθηση του συστήματος Διαβεβαίωση των ομάδων συμφερόντων της επιχείρησης ότι λήφθηκαν τα κατάλληλα μέτρα για την αποτροπή παρόμοιων περιστατικών 23/6/2006 ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ

Τελική ανασκόπηση Η ομάδα IR προτού επιστρέψει στην καθημερινή επιτέλεση των καθηκόντων της πρέπει να διεξάγει μια τελική ανασκόπηση-αναθεώρηση του περιστατικού Ανασκόπηση μετά την ολοκλήρωση των ενεργειών: λεπτομερής εξέταση των γεγονότων που διαδραματίστηκαν Όλα τα μέλη της ομάδας πρέπει να: αναθεωρήσουν τις ενέργειές τους κατά τη διάρκεια του περιστατικού να προσδιορίσουν περιοχές όπου το IR ήταν αποτελεσματικό ή αναποτελεσματικό ή επιδέχεται βελτίωσης 23/6/2006 ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ

Απόκριση στο περιστατικό και αποκατάσταση μετά από καταστροφή
Απόκριση στο περιστατικό και αποκατάσταση μετά από καταστροφή 23/6/2006 ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ

Ανάκαμψη από καταστροφή (disaster recovery)
Προετοιμασία και ανάκαμψη από καταστροφή είτε προερχόμενη από φυσικά αίτια είτε από ανθρώπινο παράγοντα Γενικά ένα περιστατικό παραβίασης της ασφάλειας αποτελεί καταστροφή όταν: η επιχείρηση αδυνατεί να περιορίσει ή να ελέγξει τον αντίκτυπο και τις επιπτώσεις του στο σύστημα το επίπεδο των ζημιών-καταστροφών είναι τόσο σοβαρό ώστε η επιχείρηση αδυνατεί να ανακάμψει σε εύλογο χρονικό διάστημα Βασικός στόχος του DRP: η αποκατάσταση των επιχειρηματικών λειτουργιών στις βασικές εγκαταστάσεις της επιχείρησης 23/6/2006 ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ

Σχεδιασμός του DPP Ταξινόμηση των καταστροφών: διαχωρισμός των φυσικών καταστροφών από αυτές που προέρχονται από ανθρώπινο παράγοντα διαχωρισμός των καταστροφών σε αυτές που αναπτύσσονται με γρήγορους ρυθμούς και σε αυτές με αργούς Κατηγοριοποίηση του επιπέδου της απειλής για κάθε πιθανή καταστροφή μέσω ανάπτυξης σεναρίων καταστροφών και ανάλυση των επιπτώσεων στην επιχείρηση (business impact analysis – BIA) BIA: Αναγνώριση και προτεραιοποίηση απειλών-επιθέσεων Ανάλυση επιχειρηματικών μονάδων Ανάπτυξη σεναριών επιτυχημένων επιθέσεων Εκτίμηση-αποτίμηση πιθανών ζημιών-καταστροφών Ταξινόμηση επιμέρους σχετικών σχεδίων Σαφής ανάθεση ρόλων και αρμοδιοτήτων εκτέλεσης του DPR Σαφής καθορισμός προτεραιοτήτων ανάκαμψης των πόρων του ΠΣ 23/6/2006 ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ

Εφαρμογή του DRP Διαχείριση της κρίσης: Αξιολόγηση κρισιμότητας της κατάστασης Επιβεβαίωση της κατάστασης του προσωπικού και παροχή υποστήριξης Ενημέρωση των στελεχών σε θέσεις-κλειδιά για την καταστροφή Λήψη ενεργειών για τον μετριασμό-περιορισμό των επιπτώσεων-συνεπειών στο σύστημα Εκτίμηση-αποτίμηση των επιπτώσεων της καταστροφής στη ομαλή διεκπεραίωση των λειτουργιών της επιχείρησης Δήλωση της καταστροφής και ενημέρωση του κοινού σχετικά με το γεγονός Καταγραφή και τεκμηρίωση της καταστροφής Αν οι βασικές εγκαταστάσεις είναι σε καλή κατάσταση τότε ξεκινάει σε αυτές η διαδικασία αποκατάστασης της λειτουργίας του συστήματος Αν οι βασικές εγκαταστάσεις είναι μη χρησιμοποιήσιμες τότε λαμβάνονται εναλλακτικές ενέργειες Όταν η καταστροφή απειλεί την επιχείρηση στις πρωταρχικές εγκαταστάσεις λειτουργίας τότε το DRP γίνεται BCP 23/6/2006 ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ

Σχέδιο Συνέχειας Διαδικασιών (Business Continuity Planning – BCP)
Διασφαλίζει ότι οι κρίσιμες-σημαντικές επιχειρησιακές λειτουργίες θα συνεχίσουν να παρέχονται παρά την καταστροφή που έχει συντελεστεί Το BCP ενεργοποιείται και εκτελείται συγχρόνως και παραλλήλως με το DRP όταν απαιτείται Επικεντρώνεται στην εγκατάσταση των κρίσιμων λειτουργιών της επιχείρησης σε εναλλακτικές εγκαταστάσεις (το DPR επικεντρώνεται στις βασικές εγκαταστάσεις) Βασίζεται: στον προσδιορισμό των κρίσιμων-σημαντικών λειτουργιών της επιχείρησης, στην σειρά προτεραιότητας με την οποία θα τεθούν σε εφαρμογή στις εναλλακτικές εγκαταστάσεις, στους πόρους που απαιτούνται για την υποστήριξή τους 23/6/2006 ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ

Στρατηγικές διασφάλισης συνέχειας
Υπάρχουν αρκετές στρατηγικές συνέχειας των λειτουργικών της επιχείρησης Καθοριστικό παράγοντα αποτελεί το κόστος Επιλογές αποκλειστικής χρήσης: Hot sites Warm sites Cold sites Επιλογές μοιραζόμενης χρήσης: Χρονομερίδια (timeshare) Γραφεία παροχής υπηρεσιών (service bureaus) Συμφωνίας αμοιβαιότητας (mutual agreements) 23/6/2006 ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ

Επιλογές αποκλειστικής χρήσης
Hot sites πλήρως εξοπλισμένη εγκατάσταση λειτουργίας με όλες τις υπηρεσίες, έτοιμη για λειτουργία και χρήση Warm sites όπως το hot site αλλά χωρίς τις εφαρμογές λογισμικού σε πλήρη ετοιμότητα Cold sites Στοιχειώδεις, βασικές υπηρεσίες και πόροι σε ετοιμότητα 23/6/2006 ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ

Επιλογές μοιραζόμενης χρήσης
Χρονομερίδια (timeshares) Μισθωμένη εγκατάσταση λειτουργίας Γραφεία παροχής υπηρεσιών (service bureaus) Πρακτορείο που παρέχει φυσικές εγκαταστάσεις Συμφωνίας αμοιβαιότητας (mutual agreements) Συμφωνητικά μεταξύ δύο επιχειρήσεων να προσφέρουν βοήθεια σε περίπτωση έκτακτης ανάγκης Άλλες εναλλακτικές λύσεις: Κινητές μονάδες υποστήριξης Εξωτερικά αποθηκευμένοι πόροι 23/6/2006 ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ

Αποθήκευση δεδομένων σε εναλλακτικές εγκαταστάσεις
Για να τεθεί άμεσα σε λειτουργία μια BCP εγκατάσταση (site) πρέπει η επιχείρηση να μπορεί να ανακτήσει τα δεδομένα του συστήματος Οι επιλογές περιλαμβάνουν: Electronic vaulting: μεταφορά μεγάλου όγκου (bulk-batch) δεδομένων σε απομακρυσμένες εγκαταστάσεις Remote Journaling: μεταφορά των συναλλαγών - όταν εκτελούνται - σε απομακρυσμένες εγκαταστάσεις Database shadowing or mirroring: αποθήκευση διπλότυπων δεδομένων συναλλαγών 23/6/2006 ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ

Αποκατάσταση από καταστροφή και συνέχιση των λειτουργιών
23/6/2006 ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ

Χρονοδιάγραμμα υλοποίησης του CP
23/6/2006 ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ

Συνόψεις των σχεδίων Σχέδιο Περιγραφή Παράδειγμα Ενεργοποίηση Χρονοδιάγραμμα IRP Ενέργειες που εκτελεί μια επιχείρηση κατά τη διάρκεια περιστατικών παραβίασης της ασφάλειας Κατάλογος βημάτων που εκτελούνται κατά τη διάρκεια αποτυχίας ή καταστροφής Συγκέντρωση στοιχείων Διερεύνηση επεισοδίων Ανάλυση των στοιχείων Όταν ένα περιστατικό ή καταστροφή εκδηλώνεται Άμεση αντίδραση σε πραγματικό χρόνο DRP Προετοιμασία για αποκατάσταση σε περίπτωση που συντελεσθεί καταστροφή Στρατηγική για τον περιορισμό των απωλειών πριν και κατά τη διάρκεια της καταστροφής Σαφείς οδηγίες για επανάκτηση της αρχικής κατάστασης λειτουργίας του συστήματος Διαδικασίες για την ανάκτηση δεδομένων Διαδικασίες για την επανεγκατάσταση υπηρεσιών Τερματισμός διαδικασιών για την προστασία των συστημάτων και των δεδομένων Αμέσως μετά τον χαρακτηρισμό ενός περιστατικού παραβίασης σε καταστροφικό γεγονός Βραχυπρό-θεσμη αποκατάσ-ταση BCP Βήματα που ακολουθούνται για να διασφαλίσουν την συνέχιση των διαδικασιών –λειτουργιών της επιχείρησης όταν η κλίμακα της καταστροφής ξεπερνά την ικανότητα του DRP να αποκαταστήσει γρήγορα τις λειτουργίες Βήματα προετοιμασίας για ενεργοποίηση ενός εναλλακτικού data center Εγκατάσταση ενός hot site σε απομακρυσμένη τοποθεσία Αμέσως όταν η καταστροφή επηρεάσει την συνέχιση των λειτουργιών της επιχείρησης Μακρυπρόθεσμη αποκατάσταση 23/6/2006 ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ

Συνδυασμός του DRP και του BCP
Αυτό το ενιαίο σχέδιο πρέπει να μπορεί να υποστηρίζει επανεγκατάσταση των λειτουργιών της επιχείρησης σε δύο διαφορετικές τοποθεσίες Αμέσως στις εναλλακτικές εγκαταστάσεις Τελικά πίσω στις βασικές – πρωταρχικές εγκαταστάσεις λειτουργίας Ενώ μια ομάδα σχεδιασμού μπορεί να αναπτύξει ένα ενιαίο DRP/BCP σχέδιο, η εκτέλεση και εφαρμογή του απαιτεί δύο διαφορετικές ομάδες 23/6/2006 ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ

Σχέδιο ανάκαμψης από καταστροφή - DRP
Όνομα επιχείρησης Ημερομηνία ολοκλήρωσης ή αναθεώρησης του σχεδίου και ημερομηνία διεξαγωγής ελέγχου Προσωπικό της επιχείρησης που θα κληθεί σε περίπτωση καταστροφής Υπηρεσίες άμεσης ανάγκης που καλούνται (αν απαιτείται) σε περίπτωση καταστροφής Τοποθεσίες in-house εξοπλισμού και προμηθειών σε επείγουσες καταστάσεις Εξωτερικές πηγές εξοπλισμού και προμηθειών Κατάλογος προτεραιοτήτων διάσωσης Διαδικασίες αποκατάστασης από καταστροφή Αξιολόγηση – αναθεώρηση 23/6/2006 ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ

Έλεγχος, συντήρηση και συνεχής βελτίωση του CP
Ο εντοπισμός προβλημάτων κατά: την διεξαγωγή του ελέγχου και την εκτέλεση και εφαρμογή των σχεδίων επιτρέπει τη συνεχή αναθεώρηση και βελτίωσή τους Συχνές δοκιμές ελέγχου και κατάλληλη διαχείριση των αλλαγών των σχεδίων Συστηματική εκπαίδευση και ενημέρωση των χρηστών και των ομάδων Τεκμηρίωση των σχεδίων Οδηγίες για εφαρμογή των σχεδίων Ενσωμάτωση νέων συστημάτων και διαδικασιών της επιχείρησης 23/6/2006 ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ

Ευχαριστώ για την προσοχή σας
Τέλος παρουσίασης Ευχαριστώ για την προσοχή σας 23/6/2006 ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ

Σχέδιο Ασφάλειας (Security Plan)

Παρόμοιες παρουσιάσεις

Παρουσίαση με θέμα: "Σχέδιο Ασφάλειας (Security Plan)"— Μεταγράφημα παρουσίασης:

Παρόμοιες παρουσιάσεις

Σχετικά με το έργο

Σχόλια

Είσοδος

Σύνδεση μέσω των κοινωνικών δικτύων:

Σχέδιο Ασφάλειας (Security Plan)

Παρόμοιες παρουσιάσεις

Παρουσίαση με θέμα: "Σχέδιο Ασφάλειας (Security Plan)"— Μεταγράφημα παρουσίασης:

Παρόμοιες παρουσιάσεις

Σχετικά με το έργο

Σχόλια