Η παρουσίαση φορτώνεται. Παρακαλείστε να περιμένετε

Η παρουσίαση φορτώνεται. Παρακαλείστε να περιμένετε

23/6/2006 1 ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ Σχέδιο Ασφάλειας (Security Plan) Σχέδιο Αντιμετώπισης Απρόοπτων Συμβάντων (Contingency Plan) Ευφροσύνη Σιουγλέ.

Παρόμοιες παρουσιάσεις


Παρουσίαση με θέμα: "23/6/2006 1 ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ Σχέδιο Ασφάλειας (Security Plan) Σχέδιο Αντιμετώπισης Απρόοπτων Συμβάντων (Contingency Plan) Ευφροσύνη Σιουγλέ."— Μεταγράφημα παρουσίασης:

1 23/6/ ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ Σχέδιο Ασφάλειας (Security Plan) Σχέδιο Αντιμετώπισης Απρόοπτων Συμβάντων (Contingency Plan) Ευφροσύνη Σιουγλέ Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Ελέγκτρια πληροφορικός

2 23/6/ ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ Σχέδιο ασφάλειας  Είναι το έγγραφο, στο οποίο περιγράφονται:  οι απαιτήσεις ασφάλειας ενός οργανισμού ή μιας επιχείρησης,  οι απαραίτητες ενέργειες για την υλοποίησής τους,  τα αναγκαία διοικητικά και οργανωτικά μέτρα ασφαλείας  H κατάρτιση του σχεδίου ασφάλειας μπορεί να βασίζεται στα αποτελέσματα μιας ανάλυσης επικινδυνότητας (risk analysis assessment) της υπολογιστικής και επικοινωνιακής υποδομής  Υπόκειται σε τακτικές επισκοπήσεις και αναθεωρήσεις, δεδομένης της ραγδαίας ανάπτυξης των τεχνολογικών λύσεων και της εφαρμογής τους στα συστήματα πληροφορικής και δικτυακών υποδομών

3 23/6/ ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ Δομικά μέρη του σχεδίου  Πολιτική ασφάλειας  Περιγραφή και αξιολόγηση υφιστάμενης κατάστασης  Προσδιορισμός των απαιτήσεων ασφάλειας της επιχείρησης  Πλάνο υλοποίησης των απαιτήσεων ασφαλείας  Συνεχής επισκόπηση – αναθεώρηση του σχεδίου

4 23/6/ ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ Πολιτική ασφαλείας  Παρουσιάζει τις βασικές επιλογές της διοίκησης μιας επιχείρησης - οργανισμού για την προώθηση της ασφάλειας των ολοκληρωμένων πληροφοριακών συστημάτων και τηλεπικοινωνιακών υποδομών  Περιγράφει τις γενικές αρχές που διέπουν την προστασία των πληροφοριών μιας επιχείρησης και περιλαμβάνει μία σειρά από οδηγίες, κανόνες και πρακτικές για την επίτευξη συγκεκριμένων στόχων ασφαλείας.  Κρίσιμοι παράγοντες επιτυχίας:  η επικύρωση της πολιτικής ασφάλειας από τη διοίκηση της επιχείρησης  η ενημέρωση και συμμόρφωση του προσωπικού

5 23/6/ ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ Βασικοί άξονες ασφάλειας  Φυσική ασφάλεια  Ασφάλεια προσωπικού  Ασφάλεια συστημάτων πληροφορικής και επικοινωνιών  Ασφάλεια ανάπτυξης και συντήρησης που πληροφοριακού συστήματος  Οργάνωση και διαχείριση της ασφάλειας του πληροφοριακού συστήματος  Σχέδιο ανάκαμψης από καταστροφές και σχέδιο συνέχειας διαδικασιών  Έλεγχος και συμμόρφωση

6 23/6/ ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ Φυσική ασφάλεια (1)  Ασφάλεια εγκαταστάσεων  Περίμετρος ασφάλειας  Προστασία από εισβολές – κακόβουλες ενέργειες  Επιτήρηση εισόδων – εξόδων  Κάρτες εισόδου  Διαφορετικές ζώνες ασφάλειας  Προσωπικό ασφαλείας  Προστασία από φυσικές καταστροφές  Συστήματα ανίχνευσης πυρός, εστιών θερμότητας και καπνού  Συστήματα αυτόματης πυρόσβεσης  Επαρκής κλιματισμός και εξαερισμός

7 23/6/ ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ Φυσική ασφάλεια (2)  Ασφάλεια του εξοπλισμού  Εξοπλισμός επεξεργασίας δεδομένων  Προστασία του data center  Υποστήριξη εξοπλισμού  Χρήση ιδιωτικού εξοπλισμού  Σύστημα αδιάλειπτης παροχής ηλεκτρικού ρεύματος  Εφεδρική γεννήτρια  Προστασία τηλεπικοινωνιακών καλωδιώσεων  Προστασία από κλοπή εξοπλισμού  Σταθμοί εργασίας  Πρόσβαση σε σταθμούς εργασίας  Παρακολούθηση εκτυπώσεων

8 23/6/ ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ Ασφάλεια προσωπικού  Πρόσληψη  Εκπαίδευση – κατάρτιση  Περιγραφή θέσεων εργασίας και καθηκόντων  Εξουσιοδότηση - διαβάθμιση  Εμπιστευτικότητα και απόρρητο πληροφοριών  Παράβαση των κανόνων ασφαλείας  Πρόσβαση των επισκεπτών στις εγκαταστάσεις και στον εξοπλισμό  Πρόσβαση εξωτερικών συνεργατών και αναδόχων

9 23/6/ ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ Ασφάλεια συστημάτων πληροφορικής και επικοινωνιών  Προστασία από επιβλαβές-ιομορφικό λογισμικό (antivirus, filtering, web filtering, spyware, antispam)  Δημιουργία εφεδρικών αντιγράφων ασφαλείας  Διαχείριση ασφάλειας δικτύων - τηλεπικοινωνιών  Ασφαλής διαχείριση των μέσων αποθήκευσης δεδομένων και της μεταφοράς των δεδομένων  Ασφάλεια κατά την μετάδοση δεδομένων μέσω του Internet – κρυπτογράφηση δεδομένων  Ασφαλής χρήση του Internet και του ηλεκτρονικού ταχυδρομείου  Έλεγχος πρόσβασης των χρηστών – δικαιώματα –ταυτοποίηση και αυθεντικοποίηση  Έλεγχος της πρόσβασης στο σύστημα και της χρησιμοποίησής του

10 23/6/ ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ Ασφάλεια ανάπτυξης και συντήρησης  Ανάλυση και προσδιορισμός απαιτήσεων ασφαλείας  Διαχωρισμός περιβαλλόντων ανάπτυξης και δοκιμών από τις εγκαταστάσεις λειτουργίας  Διαδικασίες δοκιμών και αποδοχής του συστήματος  Έλεγχος της επάρκειας μηχανισμών ασφάλειας του λογισμικού κατά την ανάπτυξη  Έλεγχος συντήρησης-αλλαγής-αναβάθμισης λογισμικού και συστημάτων  Διαδικασίες διαχείρισης αλλαγών  Τεκμηρίωση διαδικασιών λειτουργίας και χρήσης του συστήματος

11 23/6/ ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ Οργάνωση και διαχείρισης της ασφάλειας  Στρατηγική για την ασφάλεια  Επιχειρησιακές διαδικασίες και ευθύνη για την ασφάλεια  Οργανωτικό σχήμα διαχείρισης της ασφάλειας  Κατανομή καθηκόντων, αρμοδιοτήτων και ρόλων που σχετίζονται με την ασφάλεια  Τεκμηρίωση διαδικασιών ασφάλειας  Διαχείριση σχέσεων και πρόσβασης τρίτων φορέων στο σύστημα  Ενημέρωση και αναθεώρηση σχεδίου ασφαλείας, πολιτικής ασφαλείας και σχεδίου έκτακτης ανάγκης  Ενημέρωση και εκπαίδευση των χρηστών  Αναφορά περιστατικών παραβίασης ασφάλειας και δυσλειτουργιών του συστήματος

12 23/6/ ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ Έλεγχος και συμμόρφωση  Εσωτερικός έλεγχος και επιθεώρηση ασφάλειας  Ανεξάρτητος εξωτερικός έλεγχος  Τήρηση αρχείων καταγραφής συμβάντων  Παρακολούθηση και ανάλυση των αρχείων καταγραφής συμβάντων  Χρήση εργαλείων αποτίμησης ευπαθειών και υποστήριξης του ελέγχου της ασφάλειας πληροφοριακών συστημάτων και δικτύων  Έλεγχος χρήσης λογισμικού  Κυρώσεις για την παραβίαση της πολιτικής ασφαλείας  Συμμόρφωση με νομοθετικό πλαίσιο

13 23/6/ ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ Επεξεργασία δεδομένων  Εισαγωγή/τροποποίηση/διαγραφή καταχωρίσεων στο σύστημα  Μέτρα για την ποιότητα των δεδομένων (quality measures)

14 23/6/ ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ Σχέδιο Αντιμετώπισης Απρόοπτων Συμβάντων (Contingency Plan - CP)  Πρόκειται για το γενικό σχέδιο προετοιμασίας, εντοπισμού και αντιμετώπισης απρόοπτων συμβάντων  που απειλούν την ομαλή λειτουργία και  ασφάλεια των πληροφοριακών συστημάτων και τηλεπικοινωνιακής υποδομής μιας επιχείρησης  Βασικός στόχος: η αποκατάσταση των επιχειρησιακών διαδικασιών που υποστηρίζονται από το σύστημα  από μικρή ή εκτεταμένη βλάβη  με ελαχιστοποίηση των οικονομικών επιπτώσεων και  της διατάραξη της απρόσκοπτης λειτουργίας των δραστηριοτήτων της επιχείρησης

15 23/6/ ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ Επίτευξη στόχων του CP  Το σχέδιο αποσκοπεί:  Στον περιορισμό των συνεπειών από την εκδήλωση φυσικών καταστροφών ή κακόβουλων ενεργειών, που ενδέχεται να έχουν ως αποτέλεσμα την εκτεταμένη αποτυχία ή καταστροφή των στοιχείων των ΠΣ.  Στην ανάκαμψη των ΠΣ, έπειτα από πιθανή αποτυχία ή καταστροφή.  Στην αποκατάσταση της ομαλής λειτουργίας των ΠΣ και των δεδομένων που διαχειρίζονται σε συγκεκριμένο χρονικό διάστημα και σειρά προτεραιότητας.

16 23/6/ ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ Ανάπτυξη του CP (1)  Καθορισμός και ιεράρχηση των κρίσιμων διαδικασιών της επιχείρησης  Καθορισμός των πόρων του συστήματος που υποστηρίζουν τις διαδικασίες αυτές  Βασικά πληροφοριακά και τηλεπικοινωνιακά συστήματα  Κύριοι κατασκευαστές/προμηθευτές συστημάτων και υπεύθυνοι συντήρησης  Δεδομένα και πληροφορίες  Καταγραφή διοικητικής δομής και ανθρώπινου δυναμικού  Κτιριακές εγκαταστάσεις και εξοπλισμός  Προσδιορισμός απειλών οι οποίες ενδέχεται να οδηγήσουν σε πιθανές καταστροφές και αποτυχίες μεγάλης κλίμακας  Φυσικές καταστροφές (φωτιά, σεισμός, πλημμύρα κλπ)  Οργανωμένη επίθεση (τρομοκρατική ενέργεια, δολιοφθορά κλπ)  Απώλεια δεδομένων, υλικού ή λογισμικού (κλοπή εξοπλισμού, καταστροφή μέσου αποθήκευσης δεδομένων, καταστροφή λογισμικού και δεδομένων κλπ)  Βλάβη εξοπλισμού ή συστήματος κλπ

17 23/6/ ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ Ανάπτυξη του CP (2)  Προσδιορισμός και εκτίμηση των πιθανών συνεπειών και επιπτώσεων από την πραγματοποίηση των αποτυχιών - καταστροφών στο σύστημα  Επιλογή των στρατηγικών αντιμετώπισης των απρόοπτων συμβάντων  Ορισμό διαδικασιών αποκατάστασης της ομαλής λειτουργίας του συστήματος και αντίστοιχων ρόλων και αρμοδιοτήτων  Έγκριση διαδικασιών από τη διοίκηση και σύνταξη του σχεδίου  Υλοποίηση και εφαρμογή του σχεδίου  Έλεγχος και αναθεώρηση του σχεδίου

18 23/6/ ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ Δομικά τμήματα του CP  Σχέδιο αντίδρασης στο περιστατικό (incident response planning): άμεση αντίδραση σε περιστατικά ασφαλείας που εάν κλιμακωθούν μπορεί να οδηγήσουν σε αποτυχίες μεγάλης κλίμακας ή καταστροφές  Σχέδιο ανάκαμψης από καταστροφές (disaster recovery planning - DRP) : αποκατάσταση των επιχειρησιακών διαδικασιών μετά από αποτυχίες μεγάλης κλίμακας – καταστροφές στις εγκαταστάσεις λειτουργίας  Σχέδιο συνέχειας επιχειρηματικών διαδικασιών (business continuity planning - BCP) : αφορά την συνέχιση των επιχειρησιακών διαδικασιών σε εναλλακτική εγκατάσταση λειτουργίας

19 23/6/ ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ Contingency Planning

20 23/6/ ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ Ομάδες του CP  Ομάδες που εμπλέκονται στον σχεδιασμό και εφαρμογή του CP:  Ομάδα σχεδιασμού του CP (CP team)  Ομάδα αποκατάστασης περιστατικού παραβίασης της ασφαλείας (Incident recovery - IR team)  Ομάδα αποκατάστασης καταστροφής (Disaster recovery - DR team)  Ομάδα διατήρησης συνέχειας λειτουργιών της επιχείρησης (Business continuity plan - BC team)

21 23/6/ ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ Προετοιμασία για την αντιμετώπιση απρόοπτων συμβάντων  Πρόκειται για ένα σύνολο διαδικασιών που εκτελούνται εκ των προτέρων:  Λήψη και διαχείριση εφεδρικών αντιγράφων ασφαλείας  Εναλλακτικές - εφεδρικές εγκαταστάσεις λειτουργίας του συστήματος  Εφεδρικά συστήματα εξοπλισμού  Εφεδρική τροφοδοσία ρεύματος  Επείγουσες προμήθειες  Κατανομή ρόλων και αρμοδιοτήτων  Ενημέρωση, εκπαίδευση, εξάσκηση και εξοικείωση του ανθρώπινου δυναμικού με διαδικασίες έκτακτης ανάγκης  Δοκιμές του σχεδίου  Διαχείριση αλλαγών  Οδηγίες προετοιμασίας και τεκμηρίωσης του σχεδίου  Αντίγραφα των συμφωνητικών συντήρησης

22 23/6/ ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ Σχέδιο αντίδρασης στα περιστατικά παραβίασης ασφάλειας (Incident Response Plan - IRP)  Σύνολο διαδικασιών για:  την έγκαιρη αναγνώριση, εντοπισμό, διερεύνηση και αντιμετώπιση περιστατικών παραβίασης της ασφάλειας που απειλούν την διατάραξη της ομαλής λειτουργίας του συστήματος  περιορισμό της έκτασης των ζημιών και καταστροφών  ελαχιστοποίηση των συνεπειών –επιπτώσεων που επιφέρουν στην λειτουργία της επιχείρησης  αποφυγή πιθανής κλιμάκωσης των συμβάντων αυτών  Όταν μια απειλή αποτελέσει επιτυχημένη επίθεση κατηγοριοποιείται ως περιστατικό παραβίασης ασφάλειας εάν:  Επηρεάζει τους πληροφοριακούς πόρους  Έχει ρεαλιστικές πιθανότητες επιτυχίας  Απειλεί την διαθεσιμότητα, ακεραιότητα ή εμπιστευτικότητα των πληροφοριακών αγαθών  Η άμεση αντίδραση στα περιστατικά (Incident Response – IR) τίθεται σε εφαρμογή όταν εντοπίζεται ένα συμβάν έκτακτης ανάγκης  Πρόκειται για κατασταλτικό και όχι προληπτικό μέτρο.

23 23/6/ ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ Εντοπισμός περιστατικών παραβίασης της ασφαλείας – Incident detection  Δυσκολία έγκειται στον καθορισμό ότι ένα γεγονός αποτελεί κανονική χρήση του συστήματος ή περιστατικό παραβίασης της ασφάλειας  Ταξινόμηση περιστατικού ασφάλειας : διαδικασία εξέτασης ενός πιθανού περιστατικού παραβίασης της ασφάλειας και καθορισμός εάν αποτελεί πραγματικό περιστατικό  Η κατάλληλη εκπαίδευση επιτρέπει στους χρήστες και τους διαχειριστές να τροφοδοτούν με σημαντικές πληροφορίες την ομάδα IR

24 23/6/ ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ Ενδείξεις παραβίασης ασφάλειας  Ενδείξεις που μπορούν να οδηγήσουν σε περιστατικά παραβίασης της ασφαλείας:  Παρουσία αγνώστων αρχείων στο σύστημα  Παρουσία ή εκτέλεση αγνώστων προγραμμάτων ή διεργασιών  Ασυνήθιστη κατανάλωση των πόρων του συστήματος  Ασυνήθιστες αποτυχίες - διακοπές της λειτουργίας του συστήματος  Δραστηριότητα του συστήματος σε μη προβλεπόμενες ώρες  Αναφορές των χρηστών και των διαχειριστών των συστημάτων  Αναφορές των συστημάτων ανίχνευσης εισβολών (IDS)  Αναφορές των συστημάτων ανίχνευσης επιβλαβούς – ιομορφικού λογισμικού  Παρουσία νέων λογαριασμών χρηστών - χρήση ανενεργών λογαριασμών  Παρουσία εργαλείων hacking  Αλλαγές στα αρχεία καταγραφής συμβάντων

25 23/6/ ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ Εμφάνιση πραγματικού περιστατικού παραβίασης της ασφάλειας  Απώλεια διαθεσιμότητας (availability)  Availability: εξασφάλιση της διαθεσιμότητας των πληροφοριών  Απώλεια ακεραιότητας (integrity)  Integrity: αποτροπή μη-εξουσιοδοτημένης τροποποίησης της πληροφορίας  Απώλεια εμπιστευτικότητας (confidentiality)  Confidentiality: διαφύλαξη της εξουσιοδοτημένης πρόσβασης στα δεδομένα  Παραβίαση της πολιτικής ασφαλείας  Παραβίαση της νομοθεσίας

26 23/6/ ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ Άμεση αντίδραση στο περιστατικό – Incident response  Μετά την επιβεβαίωση του πραγματικού περιστατικού και την κατάλληλη ταξινόμησή του η ομάδα IR μεταβαίνει από την φάση του εντοπισμού στη φάση της άμεσης αντίδρασης  Στη φάση αυτή οι απαραίτητες ενέργειες πρέπει να γίνουν αμέσως και ταυτόχρονα  Οι ενέργειες αυτές περιλαμβάνουν:  ενημέρωση των στελεχών του προσωπικού σε θέσεις κλειδιά  χρονοπρογραμματισμό με σαφή ανάθεση καθηκόντων για την αποκατάσταση της λειτουργίας του συστήματος  καταγραφή του περιστατικού  αιτία πρόκλησης περιστατικού  μέγεθος της ζημιάς που προκλήθηκε  διορθωτικές ενέργειες που δρομολογήθηκαν από τη στιγμή του περιστατικού

27 23/6/ ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ Ενημέρωση των στελεχών σε θέσεις - κλειδιά  Ενημέρωση, με την κατάλληλη σειρά, των στελεχών σε θέσεις κλειδιά για το περιστατικό  Διαθέσιμη κατάσταση με τα στοιχεία επικοινωνίας:  των μελών του προσωπικού που πρέπει να ενημερωθούν για το περιστατικό σειριακά ή ιεραρχικά  των σημαντικών προμηθευτών υλικού και λογισμικού,  των σημαντικών συνεργατών ή πελατών,  των ατόμων που βρίσκονται σε διαφορετικές εγκαταστάσεις που θα χρησιμοποιηθούν από την επιχείρηση για τη συνέχιση της λειτουργίας της.  Διαθέσιμο κείμενο συνοπτικής περιγραφής του συμβάντος  Στελέχη που πρέπει να ενημερωθούν μόνο μετά την επιβεβαίωση του περιστατικού και πριν την ενημέρωση των ΜΜΕ ή άλλων εξωτερικών πηγών

28 23/6/ ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ Καταγραφή του περιστατικού παραβίασης της ασφάλειας  Αμέσως μετά την επιβεβαίωση του περιστατικού και την ενημέρωση των στελεχών η ομάδα IR πρέπει να ξεκινήσει την καταγραφή  Καταγραφή ποιος, πότε, που, πως και γιατί κάθε πράξης που γίνεται κατά την περίοδο εκδήλωσης του περιστατικού  Η καταγραφή είναι απαραίτητη για να προσδιορίσει, μετά το περιστατικό, ότι λήφθηκαν οι κατάλληλες ενέργειες και ότι ήταν αποτελεσματικές  Αποδεικνύει ότι η επιχείρηση κατέβαλε όλες τις δυνατές προσπάθειες για να αποτρέψει την εξάπλωση του περιστατικού

29 23/6/ ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ Στρατηγική περιορισμού του περιστατικού παραβίασης ασφάλειας  Βασικό καθήκον τις ομάδας IR είναι να διακόψει το περιστατικό ή να περιορίσει τις επιπτώσεις του στο σύστημα  Η στρατηγική περιορισμού του περιστατικού επικεντρώνεται σε δύο σημεία:  Διακοπή του περιστατικού  Επανάκτηση του ελέγχου του συστήματος  Η ομάδα IR επιχειρεί να διακόψει το συμβάν και να ανακτήσει τον έλεγχο μέσω, ενδεικτικά, των παρακάτω:  Αποσύνδεση επικοινωνιακών γραμμών ή συνδέσεων που έχουν επηρεαστεί  Δυναμική εφαρμογή κανόνων για περιορισμό πρόσβασης στο δίκτυο  Απενεργοποίηση λογαριασμών χρηστών  Παραμετροποίηση του firewall ώστε να εμποδίσει συγκεκριμένη κίνηση στο δίκτυο  Προσωρινή απενεργοποίηση διεργασιών ή υπηρεσιών που επηρεάστηκαν  Τερματισμός εφαρμογών ή εξυπηρετητών  Τερματισμός σταθμών εργασίας, εξυπηρετητών και δικτυακών συσκευών

30 23/6/ ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ Κλιμάκωση του περιστατικού  Ένα περιστατικό παραβίασης της ασφάλειας μπορεί να αυξηθεί σε μέγεθος ή ένταση σε σημείο που το IRP να μην μπορεί να το περιορίσει επαρκώς  Κάθε επιχείρηση πρέπει να καθορίσει κατά τη διάρκεια διεξαγωγής της ανάλυσης του αντίκτυπου στην επιχειρηματική δραστηριότητα (business Impact Analysis), το σημείο στο οποίο ένα περιστατικό γίνεται καταστροφικό γεγονός  Στο σημείο αυτό ενεργοποιείται το σχέδιο ανάκαμψης από καταστροφή (disaster recovery plan – DRP)

31 23/6/ ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ Εκκίνηση της διαδικασίας αποκατάστασης της ζημίας που προκλήθηκε από το περιστατικό  Μετά τον περιορισμό του περιστατικού και την επανάκτηση του ελέγχου του συστήματος ξεκινάει η αποκατάσταση από την ζημιά που προκάλεσε το περιστατικό  Η ομάδα IR πρέπει να υπολογίσει την πλήρη έκταση της ζημιάς ώστε να καθορίσει τις ενέργειες που απαιτούνται για την αποκατάσταση των συστημάτων  Καθορισμός της εμβέλειας της παραβίασης της εμπιστευτικότητας, της ακεραιότητας και της διαθεσιμότητας των δεδομένων και των πληροφοριακών πόρων  Τα μέλη της ομάδας που καταγράφουν την ζημιά πρέπει να έχουν λάβει την κατάλληλη εκπαίδευση ώστε να συλλέξουν και να διατηρήσουν πειστήρια εάν το περιστατικό αποτελεί:  αποτελεί εγκληματική ενέργεια ή  καταλήγει σε αστική-δικαστική απαίτηση

32 23/6/ ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ Διαδικασία αποκατάστασης (1)  Μετά τον προσδιορισμό και καταγραφή της έκτασης της ζημιάς – καταστροφής ξεκινάει η διαδικασία αποκατάστασης:  Προσδιορισμός και ανάλυση των ευπαθειών που επέτρεψαν την εκδήλωση και εξάπλωση του περιστατικού  Προσδιορισμός, ανάλυση, εγκατάσταση και αντικατάσταση- αναβάθμιση  των μέτρων ασφαλείας-αντιμέτρων που απέτυχαν να εντοπίσουν, να διακόψουν ή να περιορίσουν το περιστατικό  ή αναγνώριση ότι δεν υπήρχαν καθόλου στο σύστημα  Αξιολόγηση των διαδικασιών και συστημάτων παρακολούθησης (αν υπάρχουν) για την βελτίωση των μεθόδων εντοπισμού και αναφοράς περιστατικών ή εγκατάσταση νέων συστημάτων

33 23/6/ ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ Διαδικασία αποκατάστασης (2)  Εγκατάσταση δεδομένων και εφαρμογών από τα εφεδρικά αντίγραφα ασφαλείας  Χρήση εφεδρικών συστημάτων πχ εξυπηρετητών  Επανεγκατάσταση υπηρεσιών και διεργασιών που διακόπηκαν ή παραβιάστηκαν  Συνεχής παρακολούθηση του συστήματος  Διαβεβαίωση των ομάδων συμφερόντων της επιχείρησης ότι λήφθηκαν τα κατάλληλα μέτρα για την αποτροπή παρόμοιων περιστατικών

34 23/6/ ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ Τελική ανασκόπηση  Η ομάδα IR προτού επιστρέψει στην καθημερινή επιτέλεση των καθηκόντων της πρέπει να διεξάγει μια τελική ανασκόπηση-αναθεώρηση του περιστατικού  Ανασκόπηση μετά την ολοκλήρωση των ενεργειών: λεπτομερής εξέταση των γεγονότων που διαδραματίστηκαν  Όλα τα μέλη της ομάδας πρέπει να:  αναθεωρήσουν τις ενέργειές τους κατά τη διάρκεια του περιστατικού  να προσδιορίσουν περιοχές όπου το IR ήταν αποτελεσματικό ή αναποτελεσματικό ή επιδέχεται βελτίωσης

35 23/6/ ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ Απόκριση στο περιστατικό και αποκατάσταση μετά από καταστροφή

36 23/6/ ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ Ανάκαμψη από καταστροφή (disaster recovery)  Προετοιμασία και ανάκαμψη από καταστροφή είτε προερχόμενη από φυσικά αίτια είτε από ανθρώπινο παράγοντα  Γενικά ένα περιστατικό παραβίασης της ασφάλειας αποτελεί καταστροφή όταν:  η επιχείρηση αδυνατεί να περιορίσει ή να ελέγξει τον αντίκτυπο και τις επιπτώσεις του στο σύστημα  το επίπεδο των ζημιών-καταστροφών είναι τόσο σοβαρό ώστε η επιχείρηση αδυνατεί να ανακάμψει σε εύλογο χρονικό διάστημα  Βασικός στόχος του DRP: η αποκατάσταση των επιχειρηματικών λειτουργιών στις βασικές εγκαταστάσεις της επιχείρησης

37 23/6/ ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ Σχεδιασμός του DPP  Ταξινόμηση των καταστροφών:  διαχωρισμός των φυσικών καταστροφών από αυτές που προέρχονται από ανθρώπινο παράγοντα  διαχωρισμός των καταστροφών σε αυτές που αναπτύσσονται με γρήγορους ρυθμούς και σε αυτές με αργούς  Κατηγοριοποίηση του επιπέδου της απειλής για κάθε πιθανή καταστροφή μέσω ανάπτυξης σεναρίων καταστροφών και ανάλυση των επιπτώσεων στην επιχείρηση (business impact analysis – BIA)  BIA:  Αναγνώριση και προτεραιοποίηση απειλών-επιθέσεων  Ανάλυση επιχειρηματικών μονάδων  Ανάπτυξη σεναριών επιτυχημένων επιθέσεων  Εκτίμηση-αποτίμηση πιθανών ζημιών-καταστροφών  Ταξινόμηση επιμέρους σχετικών σχεδίων  Σαφής ανάθεση ρόλων και αρμοδιοτήτων εκτέλεσης του DPR  Σαφής καθορισμός προτεραιοτήτων ανάκαμψης των πόρων του ΠΣ

38 23/6/ ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ Εφαρμογή του DRP  Διαχείριση της κρίσης:  Αξιολόγηση κρισιμότητας της κατάστασης  Επιβεβαίωση της κατάστασης του προσωπικού και παροχή υποστήριξης  Ενημέρωση των στελεχών σε θέσεις-κλειδιά για την καταστροφή  Λήψη ενεργειών για τον μετριασμό-περιορισμό των επιπτώσεων-συνεπειών στο σύστημα  Εκτίμηση-αποτίμηση των επιπτώσεων της καταστροφής στη ομαλή διεκπεραίωση των λειτουργιών της επιχείρησης  Δήλωση της καταστροφής και ενημέρωση του κοινού σχετικά με το γεγονός  Καταγραφή και τεκμηρίωση της καταστροφής  Αν οι βασικές εγκαταστάσεις είναι σε καλή κατάσταση τότε ξεκινάει σε αυτές η διαδικασία αποκατάστασης της λειτουργίας του συστήματος  Αν οι βασικές εγκαταστάσεις είναι μη χρησιμοποιήσιμες τότε λαμβάνονται εναλλακτικές ενέργειες  Όταν η καταστροφή απειλεί την επιχείρηση στις πρωταρχικές εγκαταστάσεις λειτουργίας τότε το DRP γίνεται BCP

39 23/6/ ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ Σχέδιο Συνέχειας Διαδικασιών (Business Continuity Planning – BCP)  Διασφαλίζει ότι οι κρίσιμες-σημαντικές επιχειρησιακές λειτουργίες θα συνεχίσουν να παρέχονται παρά την καταστροφή που έχει συντελεστεί  Το BCP ενεργοποιείται και εκτελείται συγχρόνως και παραλλήλως με το DRP όταν απαιτείται  Επικεντρώνεται στην εγκατάσταση των κρίσιμων λειτουργιών της επιχείρησης σε εναλλακτικές εγκαταστάσεις (το DPR επικεντρώνεται στις βασικές εγκαταστάσεις)  Βασίζεται:  στον προσδιορισμό των κρίσιμων-σημαντικών λειτουργιών της επιχείρησης,  στην σειρά προτεραιότητας με την οποία θα τεθούν σε εφαρμογή στις εναλλακτικές εγκαταστάσεις,  στους πόρους που απαιτούνται για την υποστήριξή τους

40 23/6/ ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ Στρατηγικές διασφάλισης συνέχειας  Υπάρχουν αρκετές στρατηγικές συνέχειας των λειτουργικών της επιχείρησης  Καθοριστικό παράγοντα αποτελεί το κόστος  Επιλογές αποκλειστικής χρήσης:  Hot sites  Warm sites  Cold sites  Επιλογές μοιραζόμενης χρήσης:  Χρονομερίδια (timeshare)  Γραφεία παροχής υπηρεσιών (service bureaus)  Συμφωνίας αμοιβαιότητας (mutual agreements)

41 23/6/ ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ Επιλογές αποκλειστικής χρήσης  Hot sites  πλήρως εξοπλισμένη εγκατάσταση λειτουργίας με όλες τις υπηρεσίες, έτοιμη για λειτουργία και χρήση  Warm sites  όπως το hot site αλλά χωρίς τις εφαρμογές λογισμικού σε πλήρη ετοιμότητα  Cold sites  Στοιχειώδεις, βασικές υπηρεσίες και πόροι σε ετοιμότητα

42 23/6/ ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ Επιλογές μοιραζόμενης χρήσης  Χρονομερίδια (timeshares)  Μισθωμένη εγκατάσταση λειτουργίας  Γραφεία παροχής υπηρεσιών (service bureaus)  Πρακτορείο που παρέχει φυσικές εγκαταστάσεις  Συμφωνίας αμοιβαιότητας (mutual agreements)  Συμφωνητικά μεταξύ δύο επιχειρήσεων να προσφέρουν βοήθεια σε περίπτωση έκτακτης ανάγκης  Άλλες εναλλακτικές λύσεις:  Κινητές μονάδες υποστήριξης  Εξωτερικά αποθηκευμένοι πόροι

43 23/6/ ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ Αποθήκευση δεδομένων σε εναλλακτικές εγκαταστάσεις  Για να τεθεί άμεσα σε λειτουργία μια BCP εγκατάσταση (site) πρέπει η επιχείρηση να μπορεί να ανακτήσει τα δεδομένα του συστήματος  Οι επιλογές περιλαμβάνουν:  Electronic vaulting: μεταφορά μεγάλου όγκου (bulk-batch) δεδομένων σε απομακρυσμένες εγκαταστάσεις  Remote Journaling: μεταφορά των συναλλαγών - όταν εκτελούνται - σε απομακρυσμένες εγκαταστάσεις  Database shadowing or mirroring: αποθήκευση διπλότυπων δεδομένων συναλλαγών

44 23/6/ ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ Αποκατάσταση από καταστροφή και συνέχιση των λειτουργιών

45 23/6/ ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ Χρονοδιάγραμμα υλοποίησης του CP

46 23/6/ ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ Συνόψεις των σχεδίων ΣχέδιοΠεριγραφήΠαράδειγμαΕνεργοποίησηΧρονοδιάγραμμαIRP Ενέργειες που εκτελεί μια επιχείρηση  κατά τη διάρκεια περιστατικών παραβίασης της ασφάλειας  Κατάλογος βημάτων που εκτελούνται κατά τη διάρκεια αποτυχίας ή καταστροφής  Συγκέντρωση στοιχείων  Διερεύνηση επεισοδίων  Ανάλυση των στοιχείων Όταν ένα περιστατικό ή καταστροφή εκδηλώνεται Άμεση αντίδραση σε πραγματικό χρόνο DRP  Προετοιμασία για αποκατάσταση σε περίπτωση που συντελεσθεί καταστροφή  Στρατηγική για τον περιορισμό των απωλειών πριν και κατά τη διάρκεια της καταστροφής  Σαφείς οδηγίες για επανάκτηση της αρχικής κατάστασης λειτουργίας του συστήματος  Διαδικασίες για την ανάκτηση δεδομένων  Διαδικασίες για την επανεγκατάσταση υπηρεσιών  Τερματισμός διαδικασιών για την προστασία των συστημάτων και των δεδομένων Αμέσως μετά τον χαρακτηρισμό ενός περιστατικού παραβίασης σε καταστροφικό γεγονός Βραχυπρό- θεσμη αποκατάσ-ταση BCP Βήματα που ακολουθούνται για  να διασφαλίσουν την συνέχιση των διαδικασιών –λειτουργιών της επιχείρησης  όταν η κλίμακα της καταστροφής ξεπερνά την ικανότητα του DRP να αποκαταστήσει γρήγορα τις λειτουργίες  Βήματα προετοιμασίας για ενεργοποίηση ενός εναλλακτικού data center  Εγκατάσταση ενός hot site σε απομακρυσμένη τοποθεσία Αμέσως όταν η καταστροφή επηρεάσει την συνέχιση των λειτουργιών της επιχείρησης Μακρυπρόθεσ μη αποκατάσταση

47 23/6/ ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ Συνδυασμός του DRP και του BCP  Επειδή το DRP και το BCP σχετίζονται σε μεγάλο βαθμό, πολλές επιχειρήσεις αναπτύσσουν τα σχέδια αυτά παραλλήλως και τα συνδυάζουν σε ένα ενιαίο κείμενο  Αυτό το ενιαίο σχέδιο πρέπει να μπορεί να υποστηρίζει επανεγκατάσταση των λειτουργιών της επιχείρησης σε δύο διαφορετικές τοποθεσίες 1. Αμέσως στις εναλλακτικές εγκαταστάσεις 2. Τελικά πίσω στις βασικές – πρωταρχικές εγκαταστάσεις λειτουργίας  Ενώ μια ομάδα σχεδιασμού μπορεί να αναπτύξει ένα ενιαίο DRP/BCP σχέδιο, η εκτέλεση και εφαρμογή του απαιτεί δύο διαφορετικές ομάδες

48 23/6/ ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ Σχέδιο ανάκαμψης από καταστροφή - DRP  Όνομα επιχείρησης  Ημερομηνία ολοκλήρωσης ή αναθεώρησης του σχεδίου και ημερομηνία διεξαγωγής ελέγχου  Προσωπικό της επιχείρησης που θα κληθεί σε περίπτωση καταστροφής  Υπηρεσίες άμεσης ανάγκης που καλούνται (αν απαιτείται) σε περίπτωση καταστροφής  Τοποθεσίες in-house εξοπλισμού και προμηθειών σε επείγουσες καταστάσεις  Εξωτερικές πηγές εξοπλισμού και προμηθειών  Κατάλογος προτεραιοτήτων διάσωσης  Διαδικασίες αποκατάστασης από καταστροφή  Αξιολόγηση – αναθεώρηση

49 23/6/ ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ Έλεγχος, συντήρηση και συνεχής βελτίωση του CP  Ο εντοπισμός προβλημάτων κατά:  την διεξαγωγή του ελέγχου και  την εκτέλεση και εφαρμογή των σχεδίων επιτρέπει τη συνεχή αναθεώρηση και βελτίωσή τους  Συχνές δοκιμές ελέγχου και κατάλληλη διαχείριση των αλλαγών των σχεδίων  Συστηματική εκπαίδευση και ενημέρωση των χρηστών και των ομάδων  Τεκμηρίωση των σχεδίων  Οδηγίες για εφαρμογή των σχεδίων  Ενσωμάτωση νέων συστημάτων και διαδικασιών της επιχείρησης

50 23/6/ ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ Τέλος παρουσίασης Ευχαριστώ για την προσοχή σας


Κατέβασμα ppt "23/6/2006 1 ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ Σχέδιο Ασφάλειας (Security Plan) Σχέδιο Αντιμετώπισης Απρόοπτων Συμβάντων (Contingency Plan) Ευφροσύνη Σιουγλέ."

Παρόμοιες παρουσιάσεις


Διαφημίσεις Google