Πολιτικές & Διαχείριση Ασφάλειας Δρ. Γιώργος Αγγελινός Ανάλυση, Εκτίμηση & Διαχείριση Κινδύνων.

Slides:



Advertisements
Παρόμοιες παρουσιάσεις
ΕΠΙΧΕΙΡΗΣΙΑΚΟ ΠΡΟΓΡΑΜΜΑ ΔΙΟΙΚΗΤΙΚΗ ΜΕΤΑΡΡΥΘΜΙΣΗ
Advertisements

ΤΡΟΠΟΣ ΑΞΙΟΛΟΓΗΣΗΣ ΤΩΝ ΟΡΓΑΝΩΤΙΚΩΝ ΚΑΙ ΔΙΟΙΚΗΤΙΚΩΝ ΔΕΞΙΟΤΗΤΩΝ ΤΟΥ ΟΡΓΑΝΙΣΜΟΥ  Εκπαιδευτικό Κεφάλαιο 1.1 Τεχνικές δεξιότητες και προσόντα.
OHSAS – ΕΛΟΤ 1801.
ΗΜΕΡΙΔΑ «Λόγος και Αντίλογος για την Επιλογή και Αξιολόγηση των Εκπαιδευτικών : Τάσεις και Προβληματισμοί» Σάββατο, 13 Απριλίου 2013 Ανάπτυξη Μηχανισμών.
Δήμος Καλαμαριάς Γεωργιάδης Γεώργιος Προϊστάμενος Τμήματος Πληροφορικής
Περιβαλλοντική Πιστοποίηση Λιμένων
Information Systems Governance Αγγελής Δημήτριος (ΜΤΕ/0936) IS Governance Ορισμός: Πληροφοριακή Διακυβέρνηση ονομάζουμε εκείνες τις διαδικασίες βάση των.
ΠΜΣ ΠΡΟΗΓΜΕΝΑ ΣΥΣΤΗΜΑΤΑ ΠΛΗΡΟΦΟΡΙΚΗΣ Κατεύθυνση ΤΕΔΑ Τεχνολογίες Διαχείρισης Ασφάλειας Security Management Engineering Τμήμα Πληροφορικής ΠΑΝΕΠΙΣΤΗΜΙΟ.
Βασίλης Παπαχαρίσης ( /
Σχεδιασμός ηλεκτρονικών υπηρεσιών μεγάλης κλίμακας και πολυπλοκότητας 24/10/2002.
Έρευνα Έρευνα :“Συστηματική, ελεγχόμενη, εμπειρική και κριτική διερεύνηση υποθετικών προτάσεων σχετικά με τις εικαζόμενες σχέσεις ανάμεσα σε φυσικά(;)
Μοντέλο Διδασκαλίας Φυσικών Επιστήμων, για την Υποχρεωτική Εκπαίδευση, στην Κατεύθυνση της Ανάπτυξης Γνώσεων και Ικανοτήτων. Π. Κουμαράς.
Σύμφωνα με τον ΣΕΒ, αναμένεται να παρουσιάσουν ζήτηση μέχρι το 2020 Πηγή:
Ανάλυση, Αποτίμηση και Διαχείριση Επικινδυνότητας Π.Σ.
ΠΛΗΡΟΦΟΡΙΑΚΑ ΣΥΣΤΗΜΑΤΑ
ΚΕΦΑΛΑΙΟ 3 ΒΑΣΙΚΕΣ ΕΝΝΟΙΕΣ ΤΩΝ Γ.Σ.Π.. ΟΡΙΣΜΟΙ Ένα σύστημα για τακτικό και συνηθισμένο τρόπο επεξεργασίας δεδομένων και για απάντηση προκαθορισμένων και.
Αξιολόγηση στη φυσική αγωγή
«ΣΧΕΔΙΑΣΜΟΣ ΠΡΟΓΡΑΜΜΑΤΩΝ ΜΑΡΚΕΤΙΝΓΚ »
ΠΑΝΕΠΙΣΤΗΜΙΟ ΑΙΓΑΙΟΥ ΤΜΗΜΑ ΜΗΧΑΝΙΚΩΝ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΚΑΙ ΕΠΙΚΟΙΝΩΝΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ ΠΛΗΡΟΦΟΡΙΑΚΑ ΣΥΣΤΗΜΑΤΑ ΔΙΟΙΚΗΣΗΣ Π.Μ.Σ ΔΗΜΑΚΟΠΟΥΛΟΥ ΕΛΕΥΘΕΡΙΑ.
Αξιολόγηση Επενδύσεων στη Γεωργία (διάλεξη 5η)
ΟΙ «ΔΙΕΡΓΑΣΙΕΣ» ΣΤΙΣ ΟΜΑΔΕΣ
ΜΑΘΗΜΑ: ΔΙΑΧΕΙΡΗΣΗ ΕΦΟΔΙΑΤΙΚΗΣ ΑΛΥΣΙΔΑΣ.  E.R.P μπορούμε να πούμε ότι είναι ένα επιχειρησιακό εργαλείο ελέγχου, παρακολούθησης και συντονισμού των διαδικασιών.
Εισαγωγή στην Αξιολόγηση Έργων Πληροφορικής Στρατηγική και Οικονομική των Π.Σ. Βέμου Κωνσταντίνα Τσάμα Ριγκέρς.
ΕΙΣΑΓΩΓΗ ΣΤΑ ΓΕΩΓΡΑΦΙΚΑ ΣΥΣΤΗΜΑΤΑ ΠΛΗΡΟΦΟΡΙΩΝ
ΑΘΗΝΑ 5 ΟΚΤΩΒΡΙΟΥ 2006 ΔΙΑΧΕΙΡΙΣΤΙΚΗ ΑΡΧΗ ΚΠΣ ΚΡΙΤΗΡΙΑ ΔΙΑΧΕΙΡΙΣΤΙΚΗΣ ΕΠΑΡΚΕΙΑΣ ΔΙΚΑΙΟΥΧΩΝ ΠΡΟΓΡΑΜΜΑΤΙΚΗΣ ΠΕΡΙΟΔΟΥ
ΟΙΚΟΝΟΜΙΚΟ ΠΑΝΕΠΙΣΤΗΜΙΟ ΑΘΗΝΩΝ
Sense of Initiative and Entrepreneurship Το σχέδιο αυτό χρηματοδοτήθηκε με την υποστήριξη της Ευρωπαϊκής Επιτροπής. Η παρούσα δημοσίευση(ανακοίνωση) δεσμεύει.
Λουκάς Τσιρώνης1 ΕΙΣΑΓΩΓΗ (1) Διοίκηση είναι η συστηματοποίηση της συλλογικής προσπάθειας μέσω της οποίας στοχεύουμε στην ικανοποίηση των στόχων που έχουν.
Διαχείριση Έργων Πληροφορικής
Το κόστος ποιότητας στην μεταλλουργία Ανδρίτσος Δημήτριος Διπλωματική εργασία ΑΘΗΝΑ 2002.
Μεθοδολογίες και Εργαλεία Ανάλυσης και Σχεδιασμού Π.Σ. Σπύρος Κοκολάκης ΠΑΝΕΠΙΣΤΗΜΙΟ ΑΙΓΑΙΟΥ ΤΜΗΜΑ ΜΗΧΑΝΙΚΩΝ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΚΑΙ ΕΠΙΚΟΙΝΩΝΙΑΚΩΝ.
Παρασκευή 19 Μαρτίου 2010 Εθνικόν και Καποδιστριακόν Πανεπιστήμιον Αθηνών Μάθημα «Οργάνωση και Διοίκηση Επιχειρήσεων» 1 Στοιχεία Διοίκησης Επιχειρήσεων.
ΠΡΟΓΡΑΜΜΑΤΙΣΜΟΣ ΠΟΙΟΤΗΤΑΣ. ΕΙΣΑΓΩΓΙΚΕΣ ΕΝΝΟΙΕΣ Ο προγραμματισμός είναι η πρώτη λειτουργία του μάνατζμεντ. Έχει μελλοντοστρεφή χαρακτήρα, προσφέρει κατεύθυνση.
Τεχνολογία ΛογισμικούSlide 1 Τεχνολογία Απαιτήσεων u Καθορίζει τι θέλει ο πελάτης από ένα σύστημα λογισμικού.
ΔΙΟΙΚΗΣΗ ΑΝΘΡΩΠΙΝΩΝ ΠΟΡΩΝ
 Κύριο αντικείμενο της μελέτης είναι ο καθορισμός της μεθοδολογίας, των προτύπων (standards) και των διαδικασιών (procedures) για τις πρώτες και πιο.
Αρχές Διοίκησης Επιχειρήσεων Νάνσυ Μπουραντά Αγρίνιο, 2016 Πανεπιστήμιο Πατρών Τμήμα Διοίκησης Επιχειρήσεων Αγροτικών Προϊόντων & Τροφίμων.
Μέρος 1 Εισαγωγή στα Πληροφοριακά Συστήματα. 22/9/20162 Περιεχόμενα  Βασικές έννοιες Πληροφοριακών Συστημάτων  Απαιτήσεις των σύγχρονων επιχειρήσεων.
Πολιτικές & Διαχείριση Ασφάλειας Δρ. Γιώργος Αγγελινός Συστήματα διαχείρισης της ασφάλειας πληροφοριών.
Η καταγραφή και ανάλυση ατυχημάτων ως εργαλείο στήριξης αποφάσεων για την επιλογή παρεμβάσεων στο Ε.Ο. Δίκτυο της Π.Δ.Ε. με στόχο τη βελτίωση της οδικής.
ΤΕΙ Δ.ΜΑΚΕΔΟΝΙΑΣ ΠΜΣ «ΛΟΓΙΣΤΙΚΗ & ΕΛΕΓΚΤΙΚΗ» 1 ΕΚΤΙΜΗΣΗ ΚΙΝΔΥΝΟΥ ΚΑΙ ΔΙΑΔΙΚΑΣΙΑ ΛΗΨΗΣ ΤΗΣ ΑΠΟΦΑΣΗΣ Δρ. Α. Καταραχιά Επίκουρος Καθηγήτρια Τμήμα Λογιστικής.
Πολιτικές & Διαχείριση Ασφάλειας Δρ. Γιώργος Αγγελινός Οργανωσιακό πλαίσιο & Πολιτικές Ασφάλειας.
1 Στρατηγικό Μάνατζμεντ Τηλεπικοινωνιών Εισαγωγικά.
ΗΛΕΚΤΡΙΚΕΣ ΜΕΤΡΗΣΕΙΣ ΣΦΑΛΜΑΤΑ ΜΕΤΡΗΣΗΣ.
Επίσημος ορισμός Ποιότητας (πρότυπο ISO 8402) Σύνολο χαρακτηριστικών μιας οντότητας για την ικανοποίηση εκφρασμένων και συνεπαγόμενων αναγκών. Αντικείμενο.
Διαχείριση κόστους έργων πληροφορικής. 2 Ανάλυση κόστους/οφέλους Η ανάλυση κόστους/οφέλους βασίζεται γενικά στις ακόλουθες οικονομικές αρχές:  Κριτήριο.
ΒΑΜΕ: Σχέδια Αντιμετώπισης και Περιορισμός Επιπτώσεων μέσω Χωροταξικού Σχεδιασμού Αθηνά Πρόγιου Φυσικός D.E.A. Δρ. Μηχανολόγος Μηχανικός.
Ε.Ε.ΚΟΥΣΚΟΥΝΑ.
ΠΟΛΙΤΙΚΕΣ ΚΑΙ ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ
Διαχείριση Κινδύνου Ενότητα 6: Αντιμετώπιση Κινδύνων.
ΠΟΛΙΤΙΚΕΣ ΚΑΙ ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ
Επιχειρηματικός Σχεδιασμός
Έννοια και τρόπος διαχείρισης του Επιχειρηματικού κινδύνου (ΕΚ)
ΔΙΟΙΚΗΣΗ ΟΛΙΚΗΣ ΠΟΙΟΤΗΤΑΣ
Διαχείριση Διακινδύνευσης
Δρ. Α. Ραφαηλίδης Τμ. Διοίκησης Επιχειρήσεων (Πάτρα) ΤΕΙ Δυτ. Ελλάδας
Διαχείριση Έργων Πληροφορικής
Ανάλυση και σχεδιασμόσ πληροφοριακών συστημάτων
ΠΟΛΙΤΙΚΕΣ ΚΑΙ ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ
ΣΥΣΤΗΜΑ ΠΟΙΟΤΗΤΑΣ ΛΟΓΙΣΜΙΚΟΥ (QUALITY SYSTEM)
Διαχείριση Κινδύνου Ενότητα 3: Σχέδιο Διαχείρισης Κινδύνου.
Δ ι α χ ε ί ρ ι σ η Έ ρ γ ο υ P r o j e c t M a n a g e m e n t
Το κόστος Ποιότητας    
ΥΠΟΛΟΓΙΣΜΟΣ ΚΑΘΑΡΟΥ ΚΕΡΔΟΥΣ ΑΠΌ ΤΗΝ ΑΓΡΟΤΙΚΗ ΔΡΑΣΤΗΡΙΟΤΗΤΑ
ΔΙΟΙΚΗΣΗ ΟΛΙΚΗΣ ΠΟΙΟΤΗΤΑΣ ΚΑΙ ΔΙΑΧΕΙΡΙΣΗ ΠΕΡΙΒΑΛΛΟΝΤΟΣ
Η έννοια της επιχείρησης
Λήψη απόφασης για Ενεργειακό Σχεδιασμό
ΕΠΙΧΕΙΡΗΜΑΤΙΚΑ ΣΧΕΔΙΑ: ΟΡΙΣΜΟΙ ΚΑΙ ΘΕΣΜΙΚΟ ΠΛΑΙΣΙΟ
ΠΕΡΙΦΕΡΕΙΑ ΚΕΝΤΡΙΚΗΣ ΜΑΚΕΔΟΝΙΑΣ
Αξιολόγηση της επίδοσης ενός οργανισμού σε θέματα ασφάλειας
Μεταγράφημα παρουσίασης:

Πολιτικές & Διαχείριση Ασφάλειας Δρ. Γιώργος Αγγελινός Ανάλυση, Εκτίμηση & Διαχείριση Κινδύνων

 Όταν χρησιμοποιούμε τον όρο «πληροφοριακό σύστημα» εννοούμε ότι αναφερόμαστε σε υπολογιστικά συστήματα; ΝαιΌχι  Το ενδιαφέρον για την ασφάλεια οδηγεί σε σημαντική έρευνα και ανάπτυξη τεχνικών και εργαλείων.  Παρ’ όλα αυτά…  …τα επεισόδια παραβίασης συστημάτων αυξάνουν σε πλήθος και σοβαρότητα. Εισαγωγικές διαπιστώσεις 2 Τμήμα Ψηφιακών Συστημάτων

Συνήθεις δυσκολίες στην ανάπτυξη της ασφάλειας των Π.Σ.  Δυσκολία αιτιολόγησης του κόστους της ασφάλειας  Δυσκολία επικοινωνίας μεταξύ διοικητικών και τεχνικών στελεχών  Δυσκολία εξασφάλισης ενεργητικής συμμετοχής χρηστών και διαρκούς υποστήριξης από τη διοίκηση  (Εσφαλμένη) αντίληψη ότι η ασφάλεια είναι μόνο τεχνικό ζήτημα  Δυσκολία ανάπτυξης ολοκληρωμένου και αποτελεσματικού σχεδίου ασφάλειας Π.Σ.  Προσδιορισμός και αποτίμηση οργανωσιακών επιπτώσεων από την εφαρμογή του σχεδίου ασφάλειας Π.Σ. 3 Τμήμα Ψηφιακών Συστημάτων

Η ανάγκη μιας ολιστικής μελέτης ασφάλειας Από την οποία θα πρέπει να ληφθούν απαντήσεις σε ερωτήματα, όπως:  Ποια στοιχεία του συστήματος θέλουμε να προστατεύσουμε;  Ποια είναι τα πιο σημαντικά;  Ποιές είναι οι απειλές;  Ποιές είναι οι αδυναμίες;  Ποιά μέτρα ασφάλειας πρέπει να υλοποιήσουμε; 4 Τμήμα Ψηφιακών Συστημάτων

Η έννοια του κινδύνου…  Αρχικά ορίστηκε στον 17 ο αιώνα στο πλαίσιο της χρήσης μαθηματικών εργαλείων σε τυχερά παιχνίδια. Συνδυασμός πιθανότητας και μεγέθους κερδών ή απωλειών.  Στον 18 ο αιώνα, η έννοια επεκτάθηκε στον τομέα της ναυτιλιακής ασφάλισης.  Στον 19 ο αιώνα η έννοια εμφανίζεται στο πλαίσιο των οικονομικών επιστημών και σχετίζεται με τις επενδύσεις.  Στον 20 ο αιώνα η έννοια προσέλαβε τελείως αρνητική χροιά, αναφερόμενη στους κινδύνους από την τεχνολογική πρόοδο. 5 Τμήμα Ψηφιακών Συστημάτων

…Η έννοια του κινδύνου…  Στον τομέα της ασφάλειας, ο κίνδυνος (ή «Επικινδυνότητα», Ε) ορίζεται ως το γινόμενο της Πιθανότητας (Π) πραγματοποίησης ενός επεισοδίου ασφάλειας επί το (οικονομικό ή άλλο) Κόστος (Κ) που θα επιφέρει, δηλαδή Ε=Π*Κ  Η πιθανότητα πραγματοποίησης επεισοδίου είναι συνάρτηση της πιθανότητας εμφάνισης μιας απειλής και της σχετικής ευπάθειας  Το κόστος είναι συνάρτηση της επίπτωσης στα αγαθά. 6 Τμήμα Ψηφιακών Συστημάτων

…Η έννοια του κινδύνου  Κίνδυνος είναι το αποτέλεσμα της αβεβαιότητας επί των στόχων ( ISO/IEC, Information technology – Security techniques-Information security risk management, ISO/IEC 27005:2011 )  Κίνδυνος είναι το ενδεχόμενο μια δεδομένη απειλή να εκμεταλλευτεί αδυναμίες ενός αγαθού ή μιας ομάδας αγαθών και έτσι να προκαλέσει ζημιά στον οργανισμό ( ISO/IEC, Information technology – Security techniques-Information security risk management, ISO/IEC FDIS 27005:2008 ) 7 Τμήμα Ψηφιακών Συστημάτων

Μέτρηση του κινδύνου  Στατιστική κατά Bayes  Αξία των στοιχείων του συστήματος, τα οποία εφόσον έχουν αξία αποκαλούνται αγαθά (assets). Η αξία είναι συνάρτηση της επίπτωσης από την προσβολή του αγαθού  Πιθανότητα εκδήλωσης μίας απειλής  Πιθανότητα αξιοποίησης μίας ευπάθειας και πραγματοποίησης της απειλής  Ανάλυση χωριστά κάθε παράγοντα (αξία αγαθών, πιθανότητα απειλής, σοβαρότητα ευπαθειών).  Σύνθεση των παραγόντων για τον υπολογισμό του βαθμού επικινδυνότητας  R=f(A,T,V,I) 8 Τμήμα Ψηφιακών Συστημάτων

Μέτρηση της αξίας των αγαθών  Κάποια έχουν γνωστή χρηματική αξία. Κάποια άλλα όχι.  Έμμεση αποτίμηση μέσω σημασίας για τον οργανισμό.  Η σημασία αποτιμάται μέσω της αναμενόμενης επίπτωσης αν το αγαθό καταστραφεί.  Η επίπτωση μπορεί να είναι άμεση ή έμμεση.  Συνήθως χρησιμοποιείται τρίβαθμη ή πεντάβαθμη κλίμακα. 9 Τμήμα Ψηφιακών Συστημάτων

Μέτρηση των απειλών  Οι σκόπιμες απειλές εξαρτώνται από το κίνητρο, τη γνώση, τις δυνατότητες και τους διαθέσιμους πόρους των δυνητικών επιτιθέμενων και από την ελκυστικότητα των αγαθών.  Η πιθανότητα εμφάνισης τυχαίων απειλών σχετίζεται με την εγγύτητα του οργανισμού σε πηγές κινδύνου ή σε μέρη όπου μπορεί να εμφανιστούν ακραία καιρικά φαινόμενα. Επίσης, ανθρώπινα λάθη.  Ο οργανισμός επιλέγει την κατάλληλη κλίμακα μέτρησης.  Είναι κρίσιμο να υπάρχει ενιαία ερμηνεία των τιμών της κλίμακας σε όλο τον οργανισμό. 10 Τμήμα Ψηφιακών Συστημάτων

Μέτρηση των αδυναμιών  Σχετίζονται με το φυσικό περιβάλλον του συστήματος, το προσωπικό, τις διαχειριστικές και διοικητικές διαδικασίες και τα μέτρα ασφάλειας εντός του οργανισμού, τις επιχειρησιακές λειτουργίες και την παροχή υπηρεσιών (μη τεχνικές αδυναμίες) ή με το hardware, software ή επικοινωνιακό εξοπλισμό και εγκαταστάσεις (τεχνικές αδυναμίες).  Αδυναμίες στην πρώτη κατηγορία μπορούν να αποτιμηθούν με βάση προηγούμενα επεισόδια, νέες εξελίξεις & τάσεις και εμπειρίες.  Αδυναμίες στη δεύτερη κατηγορία μπορούν να αποτιμηθούν χρησιμοποιώντας κατάλληλα εργαλεία και τεχνικές.  Ο οργανισμός έχει την αρμοδιότητα επιλογής της κλίμακας μέτρησης. 11 Τμήμα Ψηφιακών Συστημάτων

Η Διαχείριση Κινδύνων ως μεθοδολογία…  Μεθοδολογία είναι ένα οργανωμένο σύνολο αρχών και κανόνων που καθοδηγεί τις ενέργειές μας σε ένα συγκεκριμένο γνωστικό πεδίο.  Μέθοδος είναι μια συστηματική και οργανωμένη διαδικασία ή διεργασία που ακολουθείται προκειμένου να επιτευχθεί ένας σκοπός.  Εργαλείο είναι κάθε όργανο ή συσκευή που απαιτείται για να εκτελεσθεί μια εργασία. 12 Τμήμα Ψηφιακών Συστημάτων

…Η Διαχείριση Κινδύνων ως μεθοδολογία  Επομένως, μεθοδολογία είναι η μελέτη ή περιγραφή των μεθόδων.  Μια μεθοδολογία υλοποιείται με ένα σύνολο μεθόδων, τεχνικών και εργαλείων.  Η μεθοδολογία δεν περιγράφει συγκεκριμένες μεθόδους. Ωστόσο, περιγράφει συγκεκριμένες διαδικασίες που πρέπει να ακολουθηθούν, οι οποίες συγκροτούν ένα γενικό πλαίσιο.  Μπορούν να διασπαστούν σε υπο-διαδικασίες, να συνδυαστούν, ή να αλλάξουν σειρά εκτέλεσης. Ωστόσο, οποιοδήποτε έργο διαχείρισης επικινδυνότητας πρέπει να εκτελέσει όλες αυτές τις διαδικασίες με τη μια ή την άλλη μορφή. 13 Τμήμα Ψηφιακών Συστημάτων

14 Τμήμα Ψηφιακών Συστημάτων

Οι διεργασίες της Διαχείρισης κινδύνων 15 Τμήμα Ψηφιακών Συστημάτων ISO/IEC 27005:20 13 (E) BS :2006NIST SP Context establishmentOrganizational context Risk assessment Risk treatment Risk treatment and management decision making Risk mitigation Risk acceptance Risk communication and consultation Ongoing risk management activities Risk monitoring and review Evaluation and assessment

Συστήματα διαχείρισης ασφάλειας πληροφοριών και διαχείριση κινδύνων 16 Τμήμα Ψηφιακών Συστημάτων

Καθορισμός πλαισίου (Context establishment)  Στόχος: να καθοριστεί ο σκοπός της διεργασίας  Είσοδος: οποιαδήποτε σχετική πληροφορία για τον οργανισμό  Δράσεις:  Καθορισμός των βασικών κριτηρίων (αποτίμηση κινδύνων, επιπτώσεις, αποδοχή κινδύνων)  Ορισμός του περιεχομένου και των ορίων της διεργασίας  Δημιουργία της κατάλληλης οργανωσιακής δομής για τη λειτουργία της διεργασίας  Έξοδος: οι προδιαγραφές αυτών των παραμέτρων 17 Τμήμα Ψηφιακών Συστημάτων

18 Τμήμα Ψηφιακών Συστημάτων

Εκτίμηση κινδύνων (Risk assessment)  Στόχος: η αναγνώριση, ποσοτική ή ποιοτική περιγραφή κινδύνων και η προτεραιοποίησή τους  Είσοδος: η έξοδος της προηγούμενης διεργασίας  Δράσεις: αποτελείται από τρεις υπο-διεργασίες  Έξοδος: ένας κατάλογος αποτιμημένων κινδύνων με προτεραιότητες σύμφωνα με τα κριτήρια αποτίμησης κινδύνων. 19 Τμήμα Ψηφιακών Συστημάτων

Αναγνώριση κινδύνου (Risk identification)…  Στόχος: να καθοριστεί το τί θα μπορούσε να συμβεί που θα προκαλούσε μια πιθανή απώλεια και να γίνει σαφές το πώς, πού και γιατί θα μπορούσε να υπάρξει απώλεια.  Ποιο είναι το ερώτημα που δεν μπορεί να απαντηθεί; Πότε  Είσοδος: η έκταση και τα όρια της εκτίμησης κινδύνων, κατάλογος αγαθών, πληροφορίες για πιθανές απειλές, τεκμηρίωση υπαρχόντων μέτρων ασφάλειας, ενδεχομένως προϋπάρχοντα σχέδια αντιμετώπισης κινδύνων, κατάλογος επιχειρησιακών διεργασιών. 20 Τμήμα Ψηφιακών Συστημάτων

… Αναγνώριση κινδύνου (Risk identification)…  Δράσεις:  Αναγνώριση αγαθών  Αναγνώριση απειλών  Αναγνώριση υπαρχόντων μέτρων ασφάλειας  Αναγνώριση αδυναμιών  Αναγνώριση συνεπειών 21 Τμήμα Ψηφιακών Συστημάτων

… Αναγνώριση κινδύνου (Risk identification)  Έξοδος:  κατάλογος αγαθών των οποίων την επικινδυνότητα πρέπει να διαχειριστούμε μαζί με ένα κατάλογο των επιχειρησιακών διεργασιών που σχετίζονται με τα αγαθά αυτά,  κατάλογος απειλών,  κατάλογος υπαρχόντων και σχεδιαζόμενων μέτρων ασφάλειας μαζί με την κατάσταση υλοποίησης και χρήσης τους,  κατάλογος αδυναμιών σχετιζόμενων με τα αγαθά, τις απειλές και τα ήδη εγκατεστημένα μέτρα ασφάλειας,  κατάλογος αδυναμιών που δεν σχετίζονται με καμία αναγνωρισμένη απειλή, και  κατάλογος σεναρίων επεισοδίων με τις επιπτώσεις τους, συσχετισμένα με αγαθά και επιχειρησιακές διεργασίες 22 Τμήμα Ψηφιακών Συστημάτων

Αναγνώριση κινδύνου: Αγαθά…  Πρωτεύοντα  Επιχειρησιακές διεργασίες και δραστηριότητες  Πληροφορίες  Υποστηρικτικά  Hardware  Εξοπλισμός επεξεργασίας δεδομένων (Κινητός, Σταθερός)  Περιφερειακά  Μέσα αποθήκευσης  Software  Λειτουργικό σύστημα  Λογισμικό υπηρεσιών, συντήρησης ή διαχείρισης  Λογισμικό εφαρμογών  Δίκτυο  Μέσο και υποστήριξη  Παθητικοί ή ενεργοί relays  Διεπαφές επικοινωνίας 23 Τμήμα Ψηφιακών Συστημάτων

…Αναγνώριση κινδύνου: Αγαθά  Προσωπικό  Ανώτερο (Decision makers)  Χρήστες  Προσωπικό συντήρησης/λειτουργίας  Developers  Φυσικός χώρος  Θέση  Οργανωσιακή Δομή 24 Τμήμα Ψηφιακών Συστημάτων

Αναγνώριση κινδύνου: Απειλές  Κατηγοριοποίηση ανάλογα με τον τύπο:  Φυσική καταστροφή  Φυσικά φαινόμενα  Απώλεια βασικών υπηρεσιών  Ενόχληση λόγω ακτινοβολίας  Αποκάλυψη πληροφορίας  Τεχνικές αστοχίες  Μη εξουσιοδοτημένες ενέργειες  Παρενόχληση λειτουργιών  Κατηγοριοποίηση ανάλογα με την πηγή:  Σκόπιμες  Τυχαίες  Περιβαλλοντικές 25 Τμήμα Ψηφιακών Συστημάτων

26 Τμήμα Ψηφιακών Συστημάτων

Αναγνώριση κινδύνου: Αδυναμίες  Κατηγοριοποίηση ανάλογα με την κλάση αγαθών με την οποία σχετίζονται:  Hardware  Software  Δίκτυο  Προσωπικό  Φυσικός χώρος  Οργανωσιακή δομή 27 Τμήμα Ψηφιακών Συστημάτων

28 Τμήμα Ψηφιακών Συστημάτων

Ανάλυση κινδύνου (Risk analysis)…  Ποσοτική ή ποιοτική  Είσοδος: η έξοδος της διεργασίας αναγνώρισης κινδύνου  Δράσεις:  Αξιολόγηση συνεπειών  Αξιολόγηση πιθανότητας επεισοδίου  Καθορισμός επιπέδου επικινδυνότητας  Έξοδος: κατάλογος κινδύνων με καθορισμένα επίπεδα 29 Τμήμα Ψηφιακών Συστημάτων

…Ανάλυση κινδύνου : Παράδειγμα πίνακα υπολογισμού κινδύνου 30 Τμήμα Ψηφιακών Συστημάτων Αξία αγαθού Επίπεδο απειλής LowMediumHigh Επίπεδο αδυναμίας LMHLMHLMH

31 Τμήμα Ψηφιακών Συστημάτων

Αξιολόγηση κινδύνου  Στόχος: να ληφθούν αποφάσεις για μελλοντικές ενέργειες  Είσοδος: η έξοδος της διεργασίας ανάλυσης κινδύνου  Δράσεις: σύγκριση των επιπέδων κινδύνου με τα κριτήρια αξιολόγησης κινδύνου και τα κριτήρια αποδοχής κινδύνου που καθορίστηκαν κατά τη διεργασία καθορισμού περιεχομένου  Έξοδος: κατάλογος κινδύνων με προτεραιότητες σύμφωνα με τα κριτήρια αξιολόγησης κινδύνου, σχετιζόμενος με τα σενάρια επεισοδίων που οδηγούν στους κινδύνους αυτούς. 32 Τμήμα Ψηφιακών Συστημάτων

33 Τμήμα Ψηφιακών Συστημάτων

Αντιμετώπιση κινδύνου (Risk treatment)…  Στόχος: η επιλογή μέτρων ασφάλειας για να μειωθεί, να διατηρηθεί, να αποφευχθεί ή να μεταφερθεί ο κίνδυνος και, επίσης, ο καθορισμός σχεδίου αντιμετώπισης του κινδύνου  Είσοδος: η έξοδος της διεργασίας εκτίμησης κινδύνων  Επιλογές αντιμετώπισης:  Τροποποίηση  Διατήρηση  Αποφυγή  Διαμοιρασμός  Συνδυασμοί των παραπάνω επιλογών 34 Τμήμα Ψηφιακών Συστημάτων

…Αντιμετώπιση κινδύνου (Risk treatment)…  Παράγοντες που επηρεάζουν την απόφαση:  Κόστος κάθε φορά που συμβαίνει το επεισόδιο  Συχνότητα εμφάνισης  Στάση απέναντι στον κίνδυνο  Ευκολία υλοποίησης των απαιτούμενων μέτρων ασφάλειας  Διαθέσιμοι πόροι  Τρέχουσες επιχειρησιακές/τεχνολογικές προτεραιότητες  Οργανωσιακές και διοικητικές πολιτικές 35 Τμήμα Ψηφιακών Συστημάτων

…Αντιμετώπιση κινδύνου (Risk treatment)…  Μπορούμε να μηδενίσουμε τον κίνδυνο;  Μηδενικός κίνδυνος συνεπάγεται μηδενική αξία των στοιχείων του συστήματος ή μηδενική πιθανότητα πραγματοποίησης μιας απειλής.  Π.χ. διαθέτουμε λογισμικό που, όμως, δεν μπορούμε να προστατεύσουμε από πειρατεία. Αλλάζουμε το επιχειρηματικό μας σχέδιο και το προσφέρουμε δωρεάν  Στόχος: ο περιορισμός του κινδύνου σε «ανεκτά» επίπεδα.  Σύνηθες κριτήριο: κόστος αντιμέτρων/μείωση κινδύνου 36 Τμήμα Ψηφιακών Συστημάτων

…Αντιμετώπιση κινδύνου (Risk treatment)  Υποβιβάζουμε-μειώνουμε το βαθμό κινδύνου:  Μείωση πιθανότητας εκδήλωσης απειλών  Αντιμετώπιση ευπαθειών  Περιορισμός επιπτώσεων  Ανάκαμψη  Μεταβίβαση κινδύνου  Αποδοχή κινδύνου 37 Τμήμα Ψηφιακών Συστημάτων

…Αντιμετώπιση κινδύνου (Risk treatment)  Η απόφαση επιλογής δεν είναι τεχνικό θέμα αλλά επιχειρησιακό με εξάρτηση από:  Επιχειρησιακές απαιτήσεις  Περιβάλλον & συνθήκες λειτουργίας του οργανισμού  Αποδοχή κινδύνου: αν ο εναπομένων κίνδυνος είναι μη αποδεκτός από τον οργανισμός, τότε πρέπει να επαναληφθεί η παρούσα διαδικασία.  Έξοδος: ΣΔΑΠ και Απομένοντες Κίνδυνοι 38 Τμήμα Ψηφιακών Συστημάτων

39 Τμήμα Ψηφιακών Συστημάτων

Επικοινωνία και συμβουλευτική (Risk communication and consultation)  Σκοπός: η επίτευξη συναντίληψης για όλες τις πλευρές κινδύνου μεταξύ όλων των δικαιούχων του οργανισμού  Η συναντίληψη επηρεάζει τις αποφάσεις που θα ληφθούν και τους τρόπους που θα υλοποιηθούν.  Είναι απαραίτητη η ύπαρξη καλά καθορισμένου σχεδίου τόσο για κανονικές συνθήκες όσο και για έκτακτη ανάγκη 40 Τμήμα Ψηφιακών Συστημάτων

Παρακολούθηση και αναθεώρηση κινδύνου (Risk monitoring and review)  Διαρκής διεργασία  Σκοπός της παρακολούθησης: η ανίχνευση οποιασδήποτε μείωσης της απόδοσης μηχανισμών και υπηρεσιών και η έναρξη διορθωτικών κινήσεων  Συντήρηση μέτρων ασφάλειας  Σκοπός της αναθεώρησης: επανυπολογισμός κινδύνου όταν αλλάζουν οι παράγοντες που τον επηρεάζουν  Εσωτερικοί έλεγχοι 41 Τμήμα Ψηφιακών Συστημάτων

Συνήθεις δυσκολίες  Υποκειμενικότητα εκτίμησης αξίας αγαθών ή αντίστοιχα του μεγέθους των επιπτώσεων  Δυναμικό περιβάλλον – δυναμικές, σύμπλοκες και ποικίλες απειλές  Η ανθρώπινη συμπεριφορά δύσκολα προβλέπεται και μοντελοποιείται  Οι πόροι που διαθέτουμε είναι πεπερασμένοι 42 Τμήμα Ψηφιακών Συστημάτων

Πλεονεκτήματα της Διαχείρισης Κινδύνων ως μεθοδολογίας  Αιτιολόγηση κόστους αντιμέτρων  Βελτίωση επικοινωνίας ανάμεσα στους ειδικούς της πληροφορικής και τη διοίκηση του οργανισμού  Ευέλικτη μεθοδολογία, μπορεί να εφαρμοστεί με ποικίλους τρόπους  Καλύπτει τις απαιτήσεις της νομοθεσίας  Βοηθά στην κατανόηση του Π.Σ.  Αποτελεί την πλέον διαδεδομένη μεθοδολογία 43 Τμήμα Ψηφιακών Συστημάτων

Μειονεκτήματα της Διαχείρισης Κινδύνων ως μεθοδολογίας  Στηρίζεται σε ένα απλοϊκό μοντέλο του Π.Σ., αγνοώντας τα ιδιαίτερα χαρακτηριστικά του κάθε οργανισμού  Εμπεριέχει σημαντική υποκειμενικότητα, που συχνά συγκαλύπτεται μέσω της αυστηρότητας των μαθηματικών-πιθανοτικών μοντέλων  Βασίζεται σε απλές στατιστικές μεθόδους 44 Τμήμα Ψηφιακών Συστημάτων

Μέθοδοι Διαχείρισης Κινδύνων…  Εκατοντάδες διαφορετικές μέθοδοι ανάλυσης ή/και διαχείρισης κινδύνων Π.Σ.. Καταγραφές έχουν γίνει το 1991 (NIST), 1993 (EC) και 2009 (ENISA).  Δεν υπάρχει κοινά αποδεκτό σύνολο κριτηρίων σύγκρισης μεθόδων διαχείρισης κινδύνων.  Μερικές μέθοδοι καλύπτουν μόνο τμήμα όλων των διαδικασιών.  Για παράδειγμα, κάποιες μέθοδοι απλώς υπολογίζουν τον κίνδυνο, χωρίς να καλύπτουν τη διαχείρισή του. Κάποιες άλλες εστιάζουν σε μικρό μόνο μέρος της όλης διαδικασίας (π.χ. Σχεδιασμός ανάκαμψης από κατστροφή). Κάποιες εστιάζουν στον έλεγχο των μέτρων ασφάλειας κλπ. 45 Τμήμα Ψηφιακών Συστημάτων

…Μέθοδοι Διαχείρισης Κινδύνων…  Οι μέθοδοι διαφέρουν σημαντικά ως προς το επίπεδο ανάλυσης που χρησιμοποιούν. Κάποιες χρησιμοποιούν υψηλού επιπέδου περιγραφές του μελετώμενου ΠΣ, ενώ άλλες λεπτομερείς περιγραφές.  Κάποιες μέθοδοι δεν είναι διαθέσιμες στο κοινό, γεγονός που κάνει την αξιολόγησή τους πολύ δύσκολη, αν όχι ανέφικτη. 46 Τμήμα Ψηφιακών Συστημάτων

…Μέθοδοι Διαχείρισης Κινδύνων  CRAMM  MAGERIT  EBIOS  ISF Standard of good practice  IT-Grundschutz  MEHARI  OCTAVE 47 Τμήμα Ψηφιακών Συστημάτων  Callio Secura  COBRA  CounterMeasures  Proteus  CORAS  RiskWatch  SBA

Νόμοι και κανονισμοί από…  Την Ευρωπαϊκή Επιτροπή  Το Ευρωπαϊκό Κοινοβούλιο  Το Συμβούλιο της Ευρώπης  Την Κυβέρνηση των ΗΠΑ  Τον ΟΟΣΑ  Την Επιτροπή της Βασιλείας για την επιτήρηση των Τραπεζών  Το Συμβούλιο προτύπων της βιομηχανίας πιστωτικών καρτών (Payment Card Industry Security Standards Council) 48 Τμήμα Ψηφιακών Συστημάτων

Πρότυπα  ISO/IEC 27001:2013  ISO/IEC 27005:2011  ISO 31000:2009  IEC 31010:2009  ISO Guide 73:2009  ISF Standard of Good Practice 49 Τμήμα Ψηφιακών Συστημάτων  BS :2006  BSI 100-1, -2, -3, -4  BSI IS Audit guideline  IT-Grundschutz Catalogues  US GAO Guide  NIST SP  NIST SP

50 Τμήμα Ψηφιακών Συστημάτων Ευχαριστώ!