Πολιτικές & Διαχείριση Ασφάλειας Δρ. Γιώργος Αγγελινός Οργανωσιακό πλαίσιο & Πολιτικές Ασφάλειας
Εξερεύνηση του οργανωσιακού πλαισίου Ποιο είναι το πλαίσιο, μέσα στο οποίο, ο οργανισμός θα πρέπει να εντάξει την ασφάλεια των πληροφοριών του; Σχέσεις: Ιεραρχικές ή κεντρικοποιημένες; Χαρακτηριστικά; Πόσο διαρκούν; Πώς εντοπίζονται & καθορίζονται; 2 Τμήμα Ψηφιακών Συστημάτων
3
Σκοπιμότητα Ύπαρξης… Συμμόρφωση με τις απαιτήσεις τεκμηρίωσης του ΣΔΑΠ Νομική ή κανονιστική υποχρέωση… …η οποία αιτιολογεί πλήρως την ανάγκη υλοποίησής του πλαισίου Ενιαίο πλαίσιο ένταξης νέων προϊόντων και εργαλείων ασφάλειας Μοχλός καθοδήγησης της επιλογής και υλοποίησης των μέτρων ασφαλείας 4 Τμήμα Ψηφιακών Συστημάτων
…Σκοπιμότητα Ύπαρξης… Κανάλι για την επικοινωνία των εμπλεκομένων στα ζητήματα ασφάλειας (χρήστες, διοίκηση, διαχειριστές συστημάτων κ.λπ.). Υποβοήθηση της ανάπτυξης σχέσεων εμπιστοσύνης με πελάτες και συνεργάτες. Διασφάλιση των απαραίτητων πόρων και αποδοτική διαχείριση της ασφάλειας πληροφοριών. 5 Τμήμα Ψηφιακών Συστημάτων
…Σκοπιμότητα Ύπαρξης Σηματοδοτεί τη βούληση της διοίκησης ώστε η ασφάλεια να αποτελεί σημαντικό ζήτημα. Κεντρική θέση στη δημιουργία κουλτούρας ασφάλειας… …η οποία συμβάλει στην αποτελεσματικότερη προστασία των πληροφοριών, με οποιαδήποτε μορφή κι αν έχουν αυτές! 6 Τμήμα Ψηφιακών Συστημάτων
Πολιτικές ασφάλειας… Πολιτική (Policy) είναι μια τυπική, σύντομη και υψηλού επιπέδου δήλωση ή σχέδιο, που εκφράζει τις γενικές πεποιθήσεις, τους σκοπούς, τους στόχους και τις αποδεκτές διαδικασίες ενός οργανισμού σε μια συγκεκριμένη θεματική περιοχή. 7 Τμήμα Ψηφιακών Συστημάτων
…Πολιτικές ασφάλειας Οι πολιτικές εστιάζουν στα επιθυμητά αποτελέσματα… …και όχι στους τρόπους επίτευξής τους· γι’ αυτό συμπληρώνονται με κανόνες και οδηγίες. Η συμμόρφωση με τις πολιτικές είναι υποχρεωτική, ενώ η μη συμμόρφωση αποτελεί πειθαρχικό παράπτωμα. 8 Τμήμα Ψηφιακών Συστημάτων
Πολιτική ασφάλειας πληροφοριών… Στο ψηλότερο επίπεδο (Tier 1), ο οργανισμός καθορίζει την πολιτική ασφάλειας πληροφοριών (information security policy), η οποία εγκρίνεται από τη διοίκηση και καθορίζει την προσέγγιση του οργανισμού στη διαχείριση των στόχων που έχει σχετικά με την ασφάλεια πληροφοριών. 9 Τμήμα Ψηφιακών Συστημάτων
…Πολιτική ασφάλειας πληροφοριών… Η πολιτική αυτή αναφέρεται και ως εταιρική (ή οργανωσιακή) πολιτική ασφάλειας πληροφοριών (Corporate/Organizational security policy) ή ως πολιτική ασφάλειας πληροφοριών υψηλού επιπέδου (High level information security policy). 10 Τμήμα Ψηφιακών Συστημάτων
…Πολιτική ασφάλειας πληροφοριών… Πρέπει, κατ’ ελάχιστο, να περιέχει: Τους στόχους και τα σχέδια του οργανισμού σχετικά με την ασφάλεια πληροφοριών Ρόλους και καθήκοντα σχετικά με την ασφάλεια πληροφοριών Επισήμανση της σημασίας που δίνει η διοίκηση στη συμμόρφωση του προσωπικού με την πολιτική 11 Τμήμα Ψηφιακών Συστημάτων
…Πολιτική ασφάλειας πληροφοριών… Δέσμευση σχετικά με τους πόρους που διατίθενται προκειμένου να αναπτυχθεί, να υλοποιηθεί, να λειτουργήσει και να συντηρηθεί το ΣΔΑΠ Δέσμευση της διοίκησης για την ενεργό συμμετοχή και υποστήριξή της στη συνεχή βελτίωση του ΣΔΑΠ Δέσμευση της διοίκησης για επανεξέταση του ΣΔΑΠ σε τακτά διαστήματα 12 Τμήμα Ψηφιακών Συστημάτων
…Πολιτική ασφάλειας πληροφοριών Διασφάλιση της παροχής κατάλληλης κατάρτισης στο προσωπικό που επηρεάζεται από το ΣΔΑΠ, έτσι ώστε να έχουν τις γνώσεις και δεξιότητες που απαιτούνται προκειμένου να μπορούν να ανταποκριθούν στα καθήκοντά τους. 13 Τμήμα Ψηφιακών Συστημάτων
Θεματικές πολιτικές… Στο αμέσως χαμηλότερο επίπεδο (Tier 2), η πολιτική ασφάλειας πληροφοριών υποστηρίζεται από θεματικές πολιτικές, οι οποίες στοχεύουν είτε σε συγκεκριμένες ομάδες ατόμων μέσα στον οργανισμό είτε καλύπτουν συγκεκριμένα θέματα. 14 Τμήμα Ψηφιακών Συστημάτων
…Θεματικές πολιτικές… Παραδείγματα θεματικών πολιτικών που περιέχονται στο πρότυπο ISO/IEC 27002:2013 Πολιτική ελέγχου πρόσβασης Πολιτική κατηγοριοποίησης και χειρισμού πληροφοριών Πολιτική φυσικής και περιβαλλοντικής ασφάλειας 15 Τμήμα Ψηφιακών Συστημάτων
…Θεματικές πολιτικές… Πολιτικές για θέματα τελικού χρήστη, όπως: Πολιτική αποδεκτής χρήσης αγαθών Πολιτική καθαρού γραφείου και καθαρής οθόνης Πολιτική μετάδοσης πληροφοριών Πολιτική κινητών συσκευών και τηλεργασίας Πολιτική περιορισμών στην εγκατάσταση και χρήση λογισμικού 16 Τμήμα Ψηφιακών Συστημάτων
…Θεματικές πολιτικές… Πολιτική αντιγράφων ασφαλείας Πολιτική μετάδοσης πληροφοριών Πολιτική προστασίας από κακόβουλο λογισμικό Πολιτική διαχείρισης τεχνικών ευπαθειών Πολιτική κρυπτογραφικών μέτρων ασφάλειας Πολιτική ασφάλειας επικοινωνιών Πολιτική ιδιωτικότητας και προστασίας πληροφοριών προσωπικού χαρακτήρα Πολιτική σχέσεων με τους προμηθευτές. 17 Τμήμα Ψηφιακών Συστημάτων
…Θεματικές πολιτικές… Κατ’ ελάχιστο, πρέπει να περιέχουν: Το θέμα στο οποίο αφορά. Τους στόχους, τους όρους και τις προϋποθέσεις που θέτει. Τις κατευθύνσεις της διοίκησης για το θέμα. Αυτούς στους οποίους απευθύνεται η πολιτική. 18 Τμήμα Ψηφιακών Συστημάτων
…Θεματικές πολιτικές Το πεδίο εφαρμογής της πολιτικής. Τους ρόλους και τα καθήκοντα του προσωπικού σχετικά με την πολιτική. Τις κυρώσεις σε περίπτωση μη συμμόρφωσης του προσωπικού με την πολιτική. Αυτούς με τους οποίους κάποιος πρέπει να επικοινωνήσει για θέματα σχετικά με την πολιτική. 19 Τμήμα Ψηφιακών Συστημάτων
Πολιτικές συστήματος Στο κατώτατο επίπεδο (Tier 3) οι πολιτικές εστιάζουν σε μια συγκεκριμένη εφαρμογή ή σε ένα σύστημα. Μια τέτοια πολιτική καλύπτει επιμέρους θέματα με πολύ πιο συγκεκριμένο τρόπο. π.χ. ποιος έχει εξουσιοδότηση να διαβάζει ή να τροποποιεί ποια δεδομένα, κάτω από ποιες προϋποθέσεις ισχύουν οι εξουσιοδοτήσεις αυτές, πώς ελέγχεται η απομακρυσμένη πρόσβαση σε ένα συγκεκριμένο σύστημα ή εφαρμογή, σε ποιες περιπτώσεις αναιρούνται αυτά κλπ 20 Τμήμα Ψηφιακών Συστημάτων
Κανόνες Οι κανόνες (Standards) είναι υποχρεωτικές απαιτήσεις που υποστηρίζουν τις πολιτικές. Καλύπτουν πιο συγκεκριμένα θέματα. π.χ. τι υλικό και λογισμικό πρέπει να χρησιμοποιείται, ποιο πρωτόκολλο απομακρυσμένης πρόσβασης πρέπει να υλοποιηθεί, ποιος είναι αρμόδιος για να εγκρίνει κάτι, κλπ. 21 Τμήμα Ψηφιακών Συστημάτων
Διαδικασίες Διαδικασία (Procedure) είναι μια σειρά βημάτων που ακολουθούμε, υποχρεωτικά, προκειμένου να πετύχουμε ένα τελικό σκοπό. Πολιτικές vs Διαδικασίες. Παράδειγμα: πολιτική συνθηματικών vs διαδικασία διαχείρισης συνθηματικών Δεν είναι απαραίτητο να υπάρχει μια-προς-μια αντιστοιχία μεταξύ πολιτικών και διαδικασιών. 22 Τμήμα Ψηφιακών Συστημάτων
Οδηγίες Οι οδηγίες (Guidelines) είναι γενικές δηλώσεις, συστάσεις ή διοικητικές εντολές που στοχεύουν στην επίτευξη των στόχων μιας πολιτικής, διαμορφώνοντας ένα πλαίσιο για την υλοποίηση των διαδικασιών. Οι οδηγίες δεν είναι υποχρεωτικές. Είναι υποδείξεις. Χρησιμοποιούνται ως πρόδρομοι θεμάτων που κάποια στιγμή θα περάσουν ως στοιχεία πολιτικής. Αλλάζουν συχνά, καθώς αλλάζει το περιβάλλον. 23 Τμήμα Ψηφιακών Συστημάτων
Επιθυμητά χαρακτηριστικά: Η πολιτική είναι… Εύκολα κατανοητή Η πολιτική ασφαλείας είναι ένα κείμενο που απευθύνεται σε όλους τους εργαζομένους και ως εκ τούτου πρέπει να είναι κατανοητά γραμμένο χωρίς ανάγκη για ιδιαίτερες γνώσεις. Εφαρμόσιμη Πρέπει να είναι γραμμένη στα μέτρα και για τις ανάγκες του οργανισμού vs πολιτικές ασφαλείας ομοειδών οργανισμών. 24 Τμήμα Ψηφιακών Συστημάτων
Επιθυμητά χαρακτηριστικά: Η πολιτική είναι… Εφικτή Η προσπάθεια για την «τέλεια» πολιτική μπορεί να θέσει ανέφικτους περιορισμούς που θα δυσχεράνουν τον οργανισμό στην επίτευξη των στόχων του. Εκτελεστή Η εκτέλεση σημείων της πολιτικής δεν θα πρέπει να αντιβαίνει σε Νομικές & Κανονιστικές διατάξεις για να είναι ικανός ο έλεγχός της. 25 Τμήμα Ψηφιακών Συστημάτων
Επιθυμητά χαρακτηριστικά: Η πολιτική… Εφαρμόζεται σταδιακά. Η εφαρμογή μιας πολιτικής με τη μορφή «Off/On» είναι πολύ πιθανό να δημιουργήσει προβλήματα στη ροή των διαδικασιών του οργανισμού. Ένα «σχέδιο» εφαρμογής της πολιτικής, σταδιακά & ενιαία σε όλο τον οργανισμό, κρίνεται απαραίτητο ανάλογα με το μέγεθος της πολιτικής και του οργανισμού Έχει προληπτικό χαρακτήρα. Γράφεται για να προλαμβάνει κι όχι για να διατάσσει. Ωστόσο, η εφαρμογή της είναι επιτακτική 26 Τμήμα Ψηφιακών Συστημάτων
Επιθυμητά χαρακτηριστικά: Η πολιτική… Δεν είναι απόλυτη. Η συγγραφή της γίνεται με διπλωματικό τρόπο ιδιαιτέρως στα σημεία που αφορούν τις επιπτώσεις του προσωπικού λόγω της παραβίασής της. 27 Τμήμα Ψηφιακών Συστημάτων
Κύκλος ζωής πολιτικής 28 Τμήμα Ψηφιακών Συστημάτων
29 Τμήμα Ψηφιακών Συστημάτων ΦάσηΣτάδιοΑρμόδιος ρόλος Πολιτικές ασφάλειαςΚανόνεςΔιαδικασίεςΟδηγίες ΑνάπτυξηΔημιουργίαΟμάδα ασφάλειας Οικεία επιχειρησιακή μονάδα Ομάδα ασφάλειας ΈλεγχοςΕπιτροπή αξιολόγησης πολιτικών Ομάδα ασφάλειας και οικεία επιχειρησιακή μονάδα Επιτροπή αξιολόγησης πολιτικών ΈγκρισηΔιευθύνων Σύμβουλος Διευθυντής πληροφορικής Αρμόδιο εκτελεστικό μέλος του ΔΣ Διευθύνων Σύμβουλος ΥλοποίησηΔημοσιοποίησηΑρμόδια υπηρεσία του οργανισμού Οικεία επιχειρησιακή μονάδα Αρμόδια υπηρεσία του οργανισμού Συμμόρφωση Διευθυντές και υπάλληλοι σε όλον τον οργανισμό ΕξαιρέσειςΕπιτροπή αξιολόγησης πολιτικών Αρμόδιο εκτελεστικό μέλος του ΔΣ Δεν νοούνται ΣυντήρησηΕπίγνωσηΟμάδα ασφάλειας Οικεία επιχειρησιακή μονάδα Ομάδα ασφάλειας Παρακολούθηση Διευθυντές και υπάλληλοι, ομάδα ασφάλειας, ομάδα ελέγχου ΕπιβολήΔιευθυντές Διευθυντές οικείας επιχειρησιακής μονάδας Δεν νοείται ΣυντήρησηΟμάδα ασφάλειας Οικεία επιχειρησιακή μονάδα Ομάδα ασφάλειας Απόσυρση Ομάδα ασφάλειας Οικεία επιχειρησιακή μονάδα Ομάδα ασφάλειας
30 Τμήμα Ψηφιακών Συστημάτων Ευχαριστώ!