Η παρουσίαση φορτώνεται. Παρακαλείστε να περιμένετε

Η παρουσίαση φορτώνεται. Παρακαλείστε να περιμένετε

23/6/2006ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ1 Ανάλυση και Διαχείριση των Κινδύνων Πληροφοριακών Συστημάτων (Identifying and Assessing Risk) Ευφροσύνη Σιουγλέ.

Παρόμοιες παρουσιάσεις


Παρουσίαση με θέμα: "23/6/2006ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ1 Ανάλυση και Διαχείριση των Κινδύνων Πληροφοριακών Συστημάτων (Identifying and Assessing Risk) Ευφροσύνη Σιουγλέ."— Μεταγράφημα παρουσίασης:

1 23/6/2006ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ1 Ανάλυση και Διαχείριση των Κινδύνων Πληροφοριακών Συστημάτων (Identifying and Assessing Risk) Ευφροσύνη Σιουγλέ Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Ελέγκτρια πληροφορικός

2 23/6/2006ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ2 Διαχείριση του κινδύνου  Πρόκειται για τη διαδικασία προσδιορισμού, μέτρησης, αντιμετώπισης και ελαχιστοποίησης του κινδύνου κατά της ασφάλειας ενός πληροφοριακού συστήματος σε επίπεδο ανάλογο της αξίας των προστατευομένων περιουσιακών αγαθών (NIST):  Αναγνώριση του κινδύνου  Αποτίμηση του κινδύνου  Αντιμετώπιση του κινδύνου

3 23/6/2006ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ3 Υπολογισμός του κινδύνου  Ο κίνδυνος στον οποίο εκτίθεται ένα πληροφοριακό σύστημα εξαρτάται από:  Την αξία των περιουσιακών του αγαθών  Την φύση και το βαθμό των ευπαθειών  Την φύση και την πιθανότητα εμφάνισης απειλών κατά της ασφάλειάς του  Την φύση και την έκταση των επιπτώσεων που θα έχουν οι απειλές αν πραγματοποιηθούν εκμεταλλευόμενες τις αδυναμίες

4 23/6/2006ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ4 Απειλή, ευπάθεια, επίπτωση  Απειλή (threat): είναι οποιαδήποτε πράξη ή γεγονός που θα μπορούσε να παραβιάσει την ασφάλεια ενός συστήματος και να προκαλέσει ζημιά  Ευπάθεια (vulnerability): είναι μια αδυναμία του συστήματος, η ύπαρξη της οποίας μπορεί να επιτρέψει την πραγματοποίηση της απειλής  Επίπτωση (consequence): είναι το αποτέλεσμα της παραβίασης της ασφάλειας και η έκταση της προκληθείσας ζημιάς

5 23/6/2006ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ5 Αντίμετρα  Η έκταση των πιθανών κινδύνων εξισορροπείται με το κόστος εφαρμογής των αντιμέτρων  Αντίμετρο (countermeasure): μηχανισμός ή διαδικασία που αποσκοπεί στην μείωση των επιμέρους κινδύνων στους οποίους εκτίθεται το πληροφοριακό σύστημα

6 23/6/2006ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ6 Μεθοδολογία ανάλυσης και διαχείρισης κινδύνων  Καταγραφή περιουσιακών αγαθών της επιχείρησης  Ταξινόμηση, κατηγοριοποίηση και ομαδοποίηση περιουσιακών αγαθών  Υπολογισμός της αξίας των περιουσιακών αγαθών  Ταξινόμηση των δεδομένων  Ανάλυση και αξιολόγηση των απειλών  Ανάλυση των αξιολόγηση των ευπαθειών  Υπολογισμός κινδύνου  Αξιολόγηση των υπαρχόντων αντιμέτρων  Επιλογή κατάλληλων αντιμέτρων  Παρακολούθηση αν η εφαρμογή των αντιμέτρων είναι αποτελεσματική

7 23/6/2006ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ7 Καταγραφή περιουσιακών αγαθών  Περιουσιακά αγαθά:  Υλικό  Λογισμικό  Δικτυακός εξοπλισμός  Πληροφορίες και δεδομένα  Προσωπικό  Διαδικασίες

8 23/6/2006ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ8 Υλικό και δικτυακός εξοπλισμός  Καταγραφή του υλικού και του δικτυακού εξοπλισμού  Ενδεικτικά χαρακτηριστικά:  Όνομα  IP διεύθυνση  MAC διεύθυνση  Τύπος  Ποσότητα  Όνομα κατασκευαστή  Όνομα συντηρητή  Μοντέλο κατασκευαστή ή σειριακός αριθμός  Φυσική τοποθεσία  Λογική τοποθεσία κλπ

9 23/6/2006ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ9 Λογισμικό  Καταγραφή του λογισμικού και των εφαρμογών  Ενδεικτικά χαρακτηριστικά:  Όνομα  Περιβάλλον λειτουργίας (υλικό, δικτυακός εξοπλισμός κλπ)  Τύπος  Έκδοση του λογισμικού - εφαρμογών  Αναβάθμιση λογισμικού - εφαρμογών  Όνομα κατασκευαστή  Όνομα συντηρητή  Κόστος κλπ

10 23/6/2006ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ10 Άνθρωποι  Καταγραφή ανθρώπων, διαδικασιών και δεδομένων  Ενδεικτικά χαρακτηριστικά:  Άνθρωποι:  Θέση/όνομα/αναγνωριστικό  Όνομα επιβλέποντος/θέση/αναγνωριστικό  Επίπεδο διαβάθμισης ασφάλειας (security clearance)  Ειδικά καθήκοντα – ικανότητες

11 23/6/2006ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ11 Διαδικασίες  Διαδικασίες  Περιγραφή  Σκοπός  Λογισμικό/υλικό/δικτυακός εξοπλισμός που σχετίζονται με την διαδικασία  Τοποθεσία που είναι αποθηκευμένη η τεκμηρίωση της διαδικασίας  Αναθεώρηση διαδικασίας και διαχείριση αλλαγών κλπ

12 23/6/2006ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ12 Δεδομένα  Δεδομένα  Ταξινόμηση  Ιδιοκτήτης/δημιουργός/διαχειριστής  Μέγεθος και δομή των δεδομένων  On-line ή off-line  Τοποθεσία  Λογισμικό/υλικό/δικτυακός εξοπλισμός που σχετίζονται με τα δεδομένα  Διαδικασία backup

13 23/6/2006ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ13 Μέτρηση της αξίας των αγαθών  Ταξινόμηση και κατηγοριοποίηση των αγαθών  Ταξινόμηση των αγαθών με βάση την σημαντικότητά τους για την επιχείρηση:  Ποια αγαθά υποστηρίζουν τις σημαντικές – κρίσιμες επιχειρησιακές διαδικασίες  Ποια αγαθά αποφέρουν το μεγαλύτερο κέρδος  Ποια αγαθά έχουν το μεγαλύτερο κόστος αντικατάστασης  Ποια αγαθά σχετίζονται με την απώλεια καλής φήμης

14 23/6/2006ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ14 Ταξινόμηση των δεδομένων  Ταξινόμηση των δεδομένων σε:  Δημόσια  Ευαίσθητα  Εμπιστευτικά  Απόρρητα  Άκρως απόρρητα  Καταγραφή των σχέσεων μεταξύ δεδομένων και περιουσιακών αγαθών  Υπολογισμός της τελικής αξίας των περιουσιακών αγαθών

15 23/6/2006ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ15 Ταξινόμηση αγαθών

16 23/6/2006ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ16 Σταθμική ανάλυση αξίας αγαθών

17 23/6/2006ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ17 Ανάλυση απειλών (1)  Κάθε απειλή αποτελεί δυνητική πρόκληση στην ασφάλεια του συστήματος  Πρέπει να ελέγχεται και να περιορίζονται οι επιπτώσεις της απειλής μέσω συγκεκριμένων μέτρων ασφαλείας του πληροφοριακού συστήματος  Ανάλυση απειλών: κάθε απειλή πρέπει να εξετάζεται για να καθοριστεί η δυνατότητα να επηρεάζει την ασφάλεια του πληροφοριακού συστήματος  Ποιες απειλές αποτελούν κίνδυνο στα αγαθά της επιχείρησης στο συγκεκριμένο περιβάλλον  Πόσο κοστίζει για να ανακάμψει η επιχείρηση από μια επιτυχημένη επίθεση  Η πρόληψη ποιων απειλών έχει το μεγαλύτερο κόστος

18 23/6/2006ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ18 Ανάλυση απειλών (2)  Ανθρώπινο λάθος  Ατυχήματα, λάθη των υπαλλήλων  Διακύβευση της πνευματικής ιδιοκτησίας  Πειρατεία  Κατασκοπεία ή καταπάτηση  Μη εξουσιοδοτημένη πρόσβαση ή/και συλλογή δεδομένων  Εκβιασμός  Εκβιασμός για παροχή πληροφοριών και δεδομένων  Σαμποτάζ – βανδαλισμός  Καταστροφή συστημάτων ή πληροφοριών  Κλοπή  Παράνομη κατοχή εξοπλισμού ή πληροφοριών

19 23/6/2006ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ19 Ανάλυση απειλών (3)  Επιθέσεις στο λογισμικό  Virus, worms, spyware, macros, denial-of-service  Φυσικές καταστροφές  Φωτιά, πλημμύρα, σεισμός  Απόκλιση στις υπηρεσίες των παρόχων  Αποτυχία – αστοχία υλικού  Αποτυχία – αστοχία λογισμικού  Λάθη (bugs), προβλήματα στον κώδικα  Τεχνολογική απαρχαίωση

20 23/6/2006ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ20 Ανάλυση ευπαθειών  Εξέταση κάθε περιουσιακού αγαθού σχετικά με την ευπάθεια που παρουσιάζει απέναντι σε κάθε απειλή  Προσδιορισμός της πιθανότητας επιτυχίας μιας απειλής αξιοποιώντας μια ευπάθεια του συστήματος  Χρήση εργαλείων αποτίμησης ευπαθειών  Χρήση των νέων ευπαθειών που ανακαλύπτονται ή προκύπτουν για προϊόντα, λογισμικό, βάσεις δεδομένων κλπ  = ιστοσελίδα για αναζήτηση ευπάθειες με βάση την έκδοση του προϊόντος (vulnerability scanners: Nessus, ISS Intenet Scanner, Typhon III κλπ)  Ευπάθεια: αδυναμία που εκμεταλλεύεται η απειλή για πρόκληση βλάβης στο σύστημα  Δημιουργία κατάστασης με αγαθά και τις ευπάθειές τους για την επιχείρηση

21 23/6/2006ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ21 Υπολογισμός του κινδύνου  Ο στόχος είναι να υπολογισθεί ο σχετικός κίνδυνος για κάθε καταγεγραμμένη ευπάθεια  Κίνδυνος είναι  Η πιθανότητα της επιτυχούς εκμετάλλευσης μιας ευπάθειας και επιτυχίας μιας απειλής  Πολλαπλασιαζόμενο με  Την αξία του περιουσιακού αγαθού  Πλην  Το ποσοστό του περιορισμού του κινδύνου με τα υπάρχοντα μέτρα ασφαλείας  Συν  Την αβεβαιότητα της τρέχουσας γνώσης μιας ευπάθειας

22 23/6/2006ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ22 Πιθανότητα  Ενδεχόμενο εμφάνισης μιας απειλής: η εκτίμηση της πιθανότητας μια απειλή να επιτύχει να επιφέρει βλάβη στο σύστημα εκμεταλλευόμενη μια ευπάθεια  Προσδιορισμός μιας αριθμητικής τιμής σε μια προκαθορισμένη κλίμακα (συνήθως ) της πιθανότητας επιτυχούς εκμεταλλεύσεως μιας ευπάθειας  Σε κάθε ένα από τα αγαθά έχει αντιστοιχηθεί ένας σταθμικός βαθμός με βάση της αξία τους

23 23/6/2006ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ23 Περιορισμός του κινδύνου/αβεβαιότητα  Καταγραφή των υπαρχόντων μέτρων ασφαλείας του συστήματος και του επιπέδου διαβάθμισης ασφάλειας του προσωπικού  Εκτίμηση του ποσοστού ελέγχου μιας ευπάθειας μέσω των υπαρχόντων μέτρων ασφαλείας  Εκτίμηση του βαθμού στον οποίο ένα υπάρχον μέτρο ασφάλειας μπορεί να μειώσει τον κίνδυνο σε ένα επιθυμητό επίπεδο  Η κρίση αυτή βασίζεται και στην εμπειρία διότι δεν είναι δυνατόν η επιχείρηση να γνωρίζει τα πάντα για μια ευπάθεια

24 23/6/2006ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ24 Παράδειγμα υπολογισμού κινδύνου  Το αγαθό Α έχει αξία 50 και μια ευπάθεια #1  Ενδεχόμενο εμφάνισης απειλής 1.0 χωρίς να υπάρχουν μέτρα ασφάλειας  Τα δεδομένα είναι κατά 90% ακριβή  Κίνδυνος: (50 x 1.0) – 0% + 10% = 55  Το αγαθό Β έχει αξία 100 και δύο ευπάθειες  Τα δεδομένα για το αγαθό Β είναι 80% ακριβή  Ευπάθεια #1  Ενδεχόμενο εκμετάλλευσης 0.5 με τα υπάρχοντα μέτρα ασφάλειας που περιορίζουν τον κίνδυνο στο 50%  Κίνδυνος: (100 x 0.5) – 50% + 20% =35  Ευπάθεια #3  Ενδεχόμενο εκμετάλλευσης 0.1 χωρίς μέτρα ασφαλείας  Κίνδυνος: (100 x 0.1) – 0% + 20% = 12

25 23/6/2006ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ25 Προσδιορισμός αντιμέτρων  Για κάθε απειλή και τις σχετικές ευπάθειες που έχουν υπολειπόμενο κίνδυνο (residual risk) πρέπει να δημιουργηθεί μια λίστα με αντίμετρα (controls)  Υπάρχουν οι εξής γενικές κατηγορίες αντιμέτρων:  Φυσικά  Διαδικαστικά  Τεχνικά  Προσωπικού  Τελική επιλογή των κατάλληλων αντιμέτρων

26 23/6/2006ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ26 Παραδοτέα της ανάλυσης  Ταξινόμηση των αγαθών  Καταγραφή των αγαθών και προσδιορισμός των αξίας τους για την επιχείρηση  Σταθμική ανάλυση αξίας αγαθών  Αντιστοίχηση μιας σταθμικής μετρήσιμης αξίας σε κάθε αγαθό  Σταθμική ανάλυση κινδύνου – ευπάθειας  Αντιστοίχηση μιας σταθμικής τιμής για κάθε ομάδα αγαθού-ευπάθειας που έχει υπολειπόμενο κίνδυνο

27 23/6/2006ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ27 Σταθμική ανάλυση κινδύνου- ευπάθειας

28 23/6/2006ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ28 Τέλος παρουσίασης Ευχαριστώ για την προσοχή σας


Κατέβασμα ppt "23/6/2006ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ1 Ανάλυση και Διαχείριση των Κινδύνων Πληροφοριακών Συστημάτων (Identifying and Assessing Risk) Ευφροσύνη Σιουγλέ."

Παρόμοιες παρουσιάσεις


Διαφημίσεις Google