Πολιτικές & Διαχείριση Ασφάλειας Δρ. Γιώργος Αγγελινός Επιχειρησιακή Συνέχεια

Βασικοί Ορισμοί  Γεγονός ασφάλειας πληροφοριών (Information security event), ή απλώς γεγονός, είναι η διαπιστωμένη εμφάνιση μιας κατάστασης του συστήματος, μιας υπηρεσίας ή ενός δικτύου που υποδεικνύει ενδεχόμενη παραβίαση της πολιτικής ασφάλειας πληροφοριών ή αστοχία μέτρων ασφάλειας ή μιας μέχρι πρότινος άγνωστης κατάστασης που μπορεί να σχετίζεται με την ασφάλεια. 2 Τμήμα Ψηφιακών Συστημάτων

…Βασικοί Ορισμοί…  Περιστατικό ασφάλειας πληροφοριών (Information security incident), ή απλώς περιστατικό, είναι ένα μοναδικό γεγονός ή μια ακολουθία ανεπιθύμητων ή απρόσμενων γεγονότων που έχουν σημαντική πιθανότητα να θέσουν σε κίνδυνο τις επιχειρησιακές λειτουργίες του οργανισμού ή να απειλήσουν την ασφάλεια πληροφοριών. 3 Τμήμα Ψηφιακών Συστημάτων

…Βασικοί Ορισμοί…  Επιχειρησιακή συνέχεια (Business Continuity) είναι η στρατηγική και λειτουργική ικανότητα του οργανισμού να σχεδιάζει την αντίδρασή του και να αντιμετωπίζει περιστατικά και διακοπές της επιχειρησιακής του λειτουργίας, έτσι ώστε να μπορεί να συνεχίζει τη λειτουργία του, σε ένα προκαθορισμένο αποδεκτό επίπεδο λειτουργικότητας. 4 Τμήμα Ψηφιακών Συστημάτων

…Βασικοί Ορισμοί…  Διαχείριση της Επιχειρησιακής Συνέχειας (Business continuity management) είναι μια ολιστική διεργασία διαχείρισης, που αναγνωρίζει δυνητικές απειλές κατά του οργανισμού, καθώς και τις επιπτώσεις αυτών των απειλών επί των επιχειρησιακών λειτουργιών του οργανισμού και η οποία αποτελεί ένα πλαίσιο ώστε ο οργανισμός να είναι ανθεκτικός απέναντι στην εκδήλωση των απειλών και να είναι σε θέση να αντιδρά σ’ αυτές με τρόπο που να περιφρουρεί συνεχώς τα συμφέροντά του, τη φήμη του και την εικόνα του καθώς και τις παραγωγικές του λειτουργίες. 5 Τμήμα Ψηφιακών Συστημάτων

Κύκλος ζωής διαχείρισης περιστατικού 6 Τμήμα Ψηφιακών Συστημάτων

Γιατί χρειάζεται;...  Καταστροφές  Φυσικά φαινόμενα: Απρόσμενα γεγονότα ( π.χ. σεισμοί, πυρκαγιές, πλημμύρες, τυφώνες, κατολισθήσεις, ηφαιστειακές εκρήξεις, ακραία καιρικά φαινόμενα )  Ανθρώπινη ενέργεια: λάθη, παραλείψεις, άγνοια ή δόλος ( π.χ. ατυχήματα, διαρροή επικίνδυνων ουσιών/μόλυνση, τρομοκρατικές ενέργειες, hacking, κλοπή υλικού/δεδομένων, εξεγέρσεις/κοινωνικές αναταραχές )  Τεχνική αστοχία: δυσλειτουργία τεχνικού εξοπλισμού, λάθη συστήματος, πτώση/απώλεια ενέργειας, απώλεια επικοινωνιών κλπ.  Ειδικού τύπου: π.χ. πανδημίες ή οικονομική κατάρρευση του οργανισμού ή γενικότερη. 7 Τμήμα Ψηφιακών Συστημάτων

…Γιατί χρειάζεται;...  Συνέπειες  Νομικές-κανονιστικές κυρώσεις ( π.χ. πρόστιμα και νομικές κυρώσεις λόγω παραβίασης της νομοθεσίας περί προστασίας προσωπικών δεδομένων, αστικές αποζημιώσεις λόγω παράβασης υποχρεώσεων σύμβασης παροχής υπηρεσιών διασφαλισμένου επιπέδου )  Οικονομικές απώλειες (άμεσες ή έμμεσες)  Λειτουργικές-παραγωγικές συνέπειες ( π.χ. άμεση ή έμμεση μείωση της παραγωγικότητας, πλήρης διακοπή παροχής υπηρεσίας ) 8 Τμήμα Ψηφιακών Συστημάτων

…Γιατί χρειάζεται;...  συνέπειες στην υγιεινή και ασφάλεια ( π.χ. περιβαλλοντικές καταστροφές, σωματικές βλάβες ή απώλεια ανθρώπινων ζωών )  συνέπειες στις σχέσεις με άλλους οργανισμούς ( π.χ. απώλεια εμπιστοσύνης, αξιοπιστίας, καλής φήμης )  συνέπειες άλλου τύπου, ανάλογα με τη φύση και το αντικείμενο του οργανισμού ( π.χ. έλλειμμα διοίκησης ή ακόμη και κυβερνητικό έλλειμμα, σε περίπτωση κυβερνητικών οργανισμών ). 9 Τμήμα Ψηφιακών Συστημάτων

...Γιατί χρειάζεται; 10 Τμήμα Ψηφιακών Συστημάτων

Κατηγορίες Σχεδίων...  Το Σχέδιο Επιχειρησιακής Συνέχειας (Business Continuity Plan - BCP) περιγράφει τις διαδικασίες που πρέπει να ακολουθήσει ο οργανισμός, ώστε να εξασφαλιστεί η αδιάλειπτη παροχή υπηρεσιών κατά τη διάρκεια ενός περιστατικού, αλλά και μετά από αυτό.  Το σχέδιο αυτό μπορεί να περιλαμβάνει είτε μόνο τη συνέχεια παροχής των κρίσιμων λειτουργιών του οργανισμού είτε να περικλείει όλες τις λειτουργίες του οργανισμού, εστιάζοντας στις επιχειρησιακές λειτουργίες του οργανισμού.  Κρίσιμες λειτουργίες (Critical Business Functions – CBF) είναι ζωτικής σημασίας λειτουργίες του οργανισμού, χωρίς τις οποίες ο οργανισμός δεν μπορεί να επιβιώσει ή/και να επιτύχει αποτελεσματικά τους κρίσιμους στόχους του. 11 Τμήμα Ψηφιακών Συστημάτων

…Κατηγορίες Σχεδίων...  Το Σχέδιο Συνέχειας Λειτουργιών (Continuity of Operations Plan – COOP) αναφέρεται στην αποκατάσταση των κρίσιμων λειτουργιών του οργανισμού σε κάποια εναλλακτική τοποθεσία, που αναφέρεται και ως θέση εφεδρείας.  Διαφοροποιείται από το BCP στο ότι αφορά κυρίως τις κρίσιμες λειτουργίες και απευθύνεται σε κυβερνητικούς οργανισμούς και υπηρεσίες της Αμερικανικής κυβέρνησης. Εστιάζει στις επιχειρησιακές λειτουργίες του οργανισμού. 12 Τμήμα Ψηφιακών Συστημάτων

...Κατηγορίες Σχεδίων...  Το Σχέδιο Επικοινωνιών Κρίσης (Crisis Communication Plan) περιγράφει τις διαδικασίες που πρέπει να ακολουθήσει ο οργανισμός για τους επικοινωνιακούς χειρισμούς του σχετικά με το περιστατικό, τόσο εσωτερικά όσο και στο εξωτερικό περιβάλλον του οργανισμού.  Στόχος του σχεδίου είναι ο έλεγχος της διάχυσης πληροφοριών, με σκοπό την αποφυγή παραπληροφόρησης. Το σχέδιο αυτό συνήθως είναι στην περιοχή ευθύνης του υπεύθυνου δημοσίων σχέσεων του οργανισμού. 13 Τμήμα Ψηφιακών Συστημάτων

...Κατηγορίες Σχεδίων...  Το Σχέδιο Προστασίας Κρίσιμων Υποδομών (Critical Infrastructure Protection Plan-CIP) αφορά κρίσιμες υποδομές και περιλαμβάνει σειρά από πολιτικές και διαδικασίες για την προστασία αυτών από τον κίνδυνο καταστροφών, τον περιορισμό των ευπαθειών αλλά και την αποκατάστασή τους σε περίπτωση προσβολής τους.  Εστιάζει στις υποδομές του οργανισμού. 14 Τμήμα Ψηφιακών Συστημάτων

...Κατηγορίες Σχεδίων...  Σύμφωνα με την Αμερικανική κυβέρνηση, κρίσιμες υποδομές είναι τα αγαθά, τα συστήματα και τα δίκτυα, φυσικά ή εικονικά, που είναι τόσο ζωτικά για τις ΗΠΑ, ώστε η εξουδετέρωση ή καταστροφή τους θα είχε εξουθενωτικές επιδράσεις στην ασφάλεια, την εθνική οικονομική ασφάλεια, την εθνική δημόσια υγεία ή οποιονδήποτε συνδυασμό αυτών.  Σύμφωνα με την Ευρωπαϊκή Επιτροπή, κρίσιμες υποδομές είναι τα αγαθά ή συστήματα που είναι απαραίτητα για τη διατήρηση ζωτικών κοινωνικών λειτουργιών. 15 Τμήμα Ψηφιακών Συστημάτων

...Κατηγορίες Σχεδίων...  Το Σχέδιο Αντιμετώπισης Περιστατικών (Incident Response Plan-IRP) καθορίζει τις διαδικασίες που πρέπει να ακολουθούνται σε περίπτωση εκδήλωσης περιστατικών που μπορεί να πλήξουν τα πληροφοριακά συστήματα ενός οργανισμού.  Συνήθως, αυτό το σχέδιο αποτελεί προσάρτημα του BCP. Εστιάζει στα πληροφοριακά συστήματα του οργανισμού. 16 Τμήμα Ψηφιακών Συστημάτων

...Κατηγορίες Σχεδίων...  Το Σχέδιο Ανάκαμψης από Καταστροφή (Disaster Recovery Plan-DRP) αφορά συνήθως καταστροφές μεγάλης έκτασης, οι οποίες προσβάλλουν κυρίως τα πληροφοριακά συστήματα ενός οργανισμού.  Σκοπός του είναι να καθορίσει πολιτικές και διαδικασίες ώστε να διασφαλιστεί η αποκατάσταση και η συνέχιση της λειτουργίας των πληροφοριακών συστημάτων, ακόμα και μέσω της μεταφοράς της λειτουργίας τους σε εναλλακτικές εγκαταστάσεις.  Συμπληρώνει τα σχέδια BCP ή COOP ενώ μπορεί να συμπεριλαμβάνει επιμέρους σχέδια ISCP.  Εστιάζει στα πληροφοριακά συστήματα του οργανισμού. 17 Τμήμα Ψηφιακών Συστημάτων

...Κατηγορίες Σχεδίων...  Το Σχέδιο Έκτακτης Ανάγκης Πληροφοριακών Συστημάτων (Information System Contingency Plan-ISCP) στοχεύει στην ανάκαμψη κάποιου πληροφοριακού συστήματος μετά από μερική ή πλήρη καταστροφή.  Περιλαμβάνει αναλυτικά όλα τα ειδικά μέτρα και τις διαδικασίες που πρέπει να ακολουθηθούν προκειμένου να ανακάμψει η λειτουργία κάποιου συγκεκριμένου συστήματος, χωρίς να είναι απαραίτητη η χρήση εναλλακτικής εγκατάστασης.  Συνήθως αποτελεί επιμέρους σχέδιο του DRP.  Εστιάζει στα πληροφοριακά συστήματα του οργανισμού. 18 Τμήμα Ψηφιακών Συστημάτων

...Κατηγορίες Σχεδίων...  Το Σχέδιο Έκτακτης Ανάγκης Παρευρισκομένων (Occupant Emergency Plan-OEP) περιγράφει όλες εκείνες τις ενέργειες που πρέπει να ακολουθηθούν από τους παρευρισκόμενους (εργαζόμενους-επισκέπτες) σε ένα οργανισμό κατά την εκδήλωση κάποιας καταστροφής.  Σκοπός του είναι να καθορίσει τις άμεσες αντιδράσεις των παρευρισκομένων με στόχο την ασφάλεια των ατόμων, του περιβάλλοντος και των εγκαταστάσεων του οργανισμού.  Τα σχέδια είναι προσαρμοσμένα στις εκάστοτε ιδιαιτερότητες των κτιριακών εγκαταστάσεων του οργανισμού.  Εστιάζουν στο προσωπικό του οργανισμού. 19 Τμήμα Ψηφιακών Συστημάτων

...Κατηγορίες Σχεδίων 20 Τμήμα Ψηφιακών Συστημάτων

Σχέση σχεδίων: BCP, DRP & ISCP 21 Τμήμα Ψηφιακών Συστημάτων

Διαπιστώσεις  Η έννοια της «προστασίας» του οργανισμού –ως προς τη συνέχιση των λειτουργιών του– περιλαμβάνει πρώτα ενέργειες για την αντιμετώπιση του περιστατικού αμέσως μετά την εμφάνισή του… … στη συνέχεια ενέργειες για τη διατήρηση ενός αποδεκτού επιπέδου λειτουργίας του οργανισμού… …και μετά, τις ενέργειες για την αποκατάσταση της πλήρους λειτουργίας του. 22 Τμήμα Ψηφιακών Συστημάτων

23 Τμήμα Ψηφιακών Συστημάτων Ευχαριστώ!