ΣΥΣΤΗΜΑΤΑ ΔΙΑΧΕΙΡΙΣΗΣ ΑΣΦΑΛΕΙΑΣ

Slides:



Advertisements
Παρόμοιες παρουσιάσεις
Ηλεκτρονικός Φάκελος Υγείας
Advertisements

« Βελτιστοποιώντας τη χρήση της γνώσης στη διαμόρφωση δημοσίων πολιτικών και στην ανάπτυξη επιχειρηματικής δραστηριότητας. Η στρατηγική σημασία της ανοιχτής.
ΕΙΔΙΚΗ ΓΡΑΜΜΑΤΕΙΑ ΔΙΟΙΚΗΤΙΚΗΣ ΜΕΤΑΡΡΥΘΜΙΣΗΣ ΥΠΟΥΡΓΕΙΟ ΕΣΩΤΕΡΙΚΩΝ, ΑΠΟΚΕΝΤΡΩΣΗΣ ΚΑΙ ΗΛΕΚΤΡΟΝΙΚΗΣ ΔΙΑΚΥΒΕΡΝΗΣΗΣ 14 Δεκεμβρίου 2010, Αθήνα 2η Σύνοδος Διευθυντών.
Κοινωνική αλληλέγγυα οικονομία Εταιρική Κοινωνική Ευθύνη και Κοινωνικές Επιχειρήσεις: Η πρόκληση της εποχής μας Αthens Information Technology Απόστολος.
ΒΕΛΤΙΩΣΗ ΤΗΣ ΠΡΟΣΠΕΛΑΣΙΜΟΤΗΤΑΣ ΣΤΙΣ ΠΑΡΕΧΟΜΕΝΕΣ ΥΠΗΡΕΣΙΕΣ ΟΙΚΟΝΟΜΙΚΟΥ & ΚΟΙΝΩΝΙΚΟΥ ΕΝΔΙΑΦΕΡΟΝΤΟΣ Αναπτυξιακό Συνέδριο Ηπείρου 24/6/2005.
Ελληνικές Βιβλιοθήκες Συνολική Παρουσίαση Θέσεων Ομάδα Εργασίας Δημοσίων Βιβλιοθηκών Ιανουάριος 2011.
Ελληνική Ένωση Διαπιστευμένων Φορέων Επιθεώρησης- Πιστοποίησης ΕΠΟΠΤΕΙΑ ΤΗΣ ΑΓΟΡΑΣ ΔΟΜΙΚΩΝ ΥΛΙΚΩΝ ΜΟΧΛΟΣ ΓΙΑ ΤΗΝ ΟΙΚΟΝΟΜΙΚΗ ΑΝΑΠΤΥΞΗ 02 Μαΐου 2011 ΣΑΒΒΑΣ.
ΠΜΣ ΠΡΟΗΓΜΕΝΑ ΣΥΣΤΗΜΑΤΑ ΠΛΗΡΟΦΟΡΙΚΗΣ Κατεύθυνση ΤΕΔΑ Τεχνολογίες Διαχείρισης Ασφάλειας Security Management Engineering Τμήμα Πληροφορικής ΠΑΝΕΠΙΣΤΗΜΙΟ.
Ε.Ε.Δ.Ε - Κ.Ε.Δ.Κ.Ε. – Ι.Μ.Δ.Δ.Α. « Το Μεταβατικό Σύστημα επιβεβαίωσης της διαχειριστικής επάρκειας των Ο.Τ.Α. » Εισηγητής: Γούπιος Γιάννης Δ/ντής Ανάπτυξης.
Λειτουργικό Σύστημα 2ο μέρος.
Κεφάλαιο 3: Το ενιαίο ρυθμιστικό και νομικό πλαίσιο. 3.1 Η έννοια και το περιεχόμενο του ενιαίου ρυθμιστικού πλαισίου. 3.2 Η αναγκαιότητα δόμησης του.
1 Συλλογικοί Κατάλογοι & Διαδίκτυο Μιχάλης Σφακάκης.
Σχεδιασμός ηλεκτρονικών υπηρεσιών μεγάλης κλίμακας και πολυπλοκότητας 24/10/2002.
Ενιαία Αρχή για τις Δημόσιες Συμβάσεις Ενιαία Αρχή για τις Δημόσιες Συμβάσεις
Η Νέα Προσέγγιση: Νομοθεσία και Πρότυπα
Κεφάλαιο 8 Η νέα οικονομία 8.1 Η μετάβαση από την παλιά στη νέα οικονομία. 8.2 Η έννοια και το περιεχόμενο της νέας ψηφιακής οικονομίας. 8.3 Οι κυριότερες.
Προπαρασκευαστική Δράση σχετικά με την Έρευνα στον Τομέα της Ασφάλειας Ενίσχυση του Ευρωπαϊκού Βιομηχανικού Δυναμικού Έρευνας στον Τομέα της Ασφάλειας.
Τι είναι Ανάλυση Τι είναι Συστήματα Πληροφορικής
Σύμφωνα με τον ΣΕΒ, αναμένεται να παρουσιάσουν ζήτηση μέχρι το 2020 Πηγή:
ΠΛΗΡΟΦΟΡΙΑΚΑ ΣΥΣΤΗΜΑΤΑ
ΚΕΦΑΛΑΙΟ 3 ΒΑΣΙΚΕΣ ΕΝΝΟΙΕΣ ΤΩΝ Γ.Σ.Π.. ΟΡΙΣΜΟΙ Ένα σύστημα για τακτικό και συνηθισμένο τρόπο επεξεργασίας δεδομένων και για απάντηση προκαθορισμένων και.
ΠΑΝΕΠΙΣΤΗΜΙΟ ΜΑΚΕΔΟΝΙΑΣ ΤΜΗΜΑ ΛΟΓΙΣΤΙΚΗΣ ΚΑΙ ΧΡΗΜΑΤΟΟΙΚΟΝΟΜΙΚΗΣ.
Ε.Ψ.Ε.Π.Α. (ΕΠΙΤΡΟΠΗ ΓΙΑ ΤΗΝ ΨΗΦΙΟΠΟΙΗΣΗ ΤΟΥ ΕΛΛΗΝΙΚΟΥ ΠΟΛΙΤΙΣΤΙΚΟΥ ΑΠΟΘΕΜΑΤΟΣ) ΤΙ ΕΙΝΑΙ; ΜΕ ΤΙ ΑΣΧΟΛΕΙΤΑΙ; ΤΑ ΜΕΛΗ ΤΗΣ Η ΔΟΜΗ ΤΗΣ.
ΠΑΝΕΠΙΣΤΗΜΙΟ ΑΙΓΑΙΟΥ ΤΜΗΜΑ ΜΗΧΑΝΙΚΩΝ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΚΑΙ ΕΠΙΚΟΙΝΩΝΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ ΠΛΗΡΟΦΟΡΙΑΚΑ ΣΥΣΤΗΜΑΤΑ ΔΙΟΙΚΗΣΗΣ Π.Μ.Σ ΔΗΜΑΚΟΠΟΥΛΟΥ ΕΛΕΥΘΕΡΙΑ.
ΠΡΟΤΑΣΗ ΠΡΟΓΡΑΜΜΑΤΙΣΜΟΥ ΔΡΑΣΤΗΡΙΟΤΗΤΩΝ ΤΟΥ ΤΟΜΕΑ ΕΡΕΥΝΑΣ, ΤΕΧΝΟΛΟΓΙΑΣ ΚΑΙ ΚΑΙΝΟΤΟΜΙΑΣ ΤΟΥ ΤΕΕ.
ΗΛΕΚΤΡΟΝΙΚΟ ΕΜΠΟΡΙΟ ΑΝΩΤΑΤΟ ΤΕΧΝΟΛΟΓΙΚΟ ΕΚΠΑΙΔΕΥΤΙΚΟ ΙΔΡΥΜΑ ΣΕΡΡΩΝ
Κατάρτιση Στελεχών ΟΤΑ σε θέματα ΤΠΕ: Ηλεκτρονική Μάθηση Λάζαρος Μεράκος Τμήμα Πληροφορικής και Τηλεπικοινωνιών Πανεπιστήμιο Αθηνών.
CALIS (China Academic Library and Information System) Κοινοπραξία ακαδημαϊκών βιβλιοθηκών της Κίνας Σύστημα παροχής πληροφοριών 1998.
Αρχές Οργάνωσης & Διοίκησης Επιχειρήσεων
Καθ. Γκρίτζαλης Στέφανος Ειδικός Γραμματέας Διοικητικής Μεταρρύθμισης
Financial Planning Η εξέλιξη στον χρηματο-ασφαλιστικό χώρο
Powerpoint Templates Heal-Legal: Ανάπτυξη Υπηρεσιών Νομικής Συμβουλευτικής για Θέματα Πνευματικής Ιδιοκτησίας που αφορούν στα Ελληνικά Ακαδημαϊκά Ιδρύματα.
2ο ΕΠΑΛ ΚΑΤΕΡΙΝΗΣ ΤΟΜΕΑΣ ΠΛΗΡΟΦΟΡΙΚΗΣ
Ασφάλεια Δικτύων. “Αγαθά” πληροφοριακού συστήματος Δεδομένα Πληροφορίες Υπολογιστικοί πόροι.
CALIFORNIA DIGITAL LIBRARY CALIFORNIA DIGITAL LIBRARY ΕΡΓΑΣΙΑ ΣΤΟ ΜΑΘΗΜΑ «ΨΗΦΙΑΚΕΣ ΒΙΒΛΙΟΘΗΚΕΣ» ΣΤ΄ ΕΞΑΜΗΝΟ ΣΤ΄ ΕΞΑΜΗΝΟ Μαρία Καραδήμα Μαρία Καραδήμα.
Αξιοποίηση των Τεχνολογιών Πληροφορικής και ΕπικοινωνιώνΗράκλειο Κρήτης για την Ηλεκτρονική Διακυβέρνηση και την Τοπική Ανάπτυξη5 & 6 Μαϊου 2006 Ανάπτυξη.
«ΤΟΠΙΚΗ ΚΑΙ ΠΕΡΙΦΕΡΕΙΑΚΗ ΑΥΤΟΔΙΟΙΚΗΣΗ ΚΑΙ ΑΝΑΠΤΥΞΗ»
Στρατηγικοί στόχοι του Δικτύου Μακροχρόνιας Φροντίδας. Tο κεντρικό ζητούμενο ενός συστήματος διοίκησης και διαχείρισης των υπηρεσιών Μακροχρόνιας Φροντίδας.
Τι είναι η Ψηφιακή Επιμέλεια; Πάνος Κωνσταντόπουλος Μονάδα Ψηφιακής Επιμέλειας, Ερευνητικό Κέντρο «Αθηνά» και Τμήμα Πληροφορικής, Οικονομικό Πανεπιστήμιο.
Μέρος 1 Εισαγωγή στα Πληροφοριακά Συστήματα. 22/9/20162 Περιεχόμενα  Βασικές έννοιες Πληροφοριακών Συστημάτων  Απαιτήσεις των σύγχρονων επιχειρήσεων.
Η ουσία πίσω από τις λέξεις
ΦΑΣΕΙΣ ΚΑΙ ΠΕΡΙΕΧΟΜΕΝΟ ΕΠΙΧΕΙΡΗΣΙΑΚΑ ΠΡΟΓΡΑΜΜΑΤΑ ΔΗΜΩΝ Βίκυ Φλέγγα Οικονομολόγος, Μsc περιφερειακή ανάπτυξη Στέλεχος διεύθυνσης οργάνωσης και πληροφορικής.
Πολιτικές & Διαχείριση Ασφάλειας Δρ. Γιώργος Αγγελινός Εισαγωγικά θέματα.
Επιχειρησιακό Πρόγραμμα Μακεδονίας - Θράκης ΕΠΙΒΕΒΑΙΩΣΗ ΔΙΑΧΕΙΡΙΣΤΙΚΗΣ ΕΠΑΡΚΕΙΑΣ ΔΙΚΑΙΟΥΧΩΝ.
Δημόσιος Vs Ιδιωτικός Τομέας Διαφορές - Ομοιότητες.
Ελληνικά Ταχυδρομεία Α.Ε. Χρήστος Βαρσάμης Διευθύνων Σύμβουλος Ρυθμιστικό Πλαίσιο Ταχυδρομικής Αγοράς – Ρόλος της Ε.Ε.Τ.Τ. 1.
Επίσημος ορισμός Ποιότητας (πρότυπο ISO 8402) Σύνολο χαρακτηριστικών μιας οντότητας για την ικανοποίηση εκφρασμένων και συνεπαγόμενων αναγκών. Αντικείμενο.
Ποιοτικός Έλεγχος Πρώτων Υλών Ενότητα 1: Εισαγωγικές Έννοιες Γεώργιος Νταλός, Καθηγητής, Τμήμα Σχεδιασμού & Τεχνολογίας Ξύλου και Επίπλου, T.E.I. Θεσσαλίας.
Νομικά Θέματα Πληροφορικής
ΣΤΡΑΤΗΓΙΚΗ ΑΝΑΠΤΥΞΗΣ ΤΗΣ ΕΥΦΥΟΥΣ ΠΟΛΗΣ
Επιχειρηματικός Σχεδιασμός
Αποτελέσματα Έργου Έρευνας, Ανάπτυξης και Επίδειξης στα πλαίσια του ΣΥΝΕΡΓΑΣΙΑ11 ΕΣΠΑ Dynamic Cargo Routing on-the-Go Δυναμική Δρομολόγηση.
ΑΣΦΑΛΕΙΑ ΙΑΤΡΙΚΩΝ ΔΕΔΟΜΕΝΩΝ
Διαχείριση Διακινδύνευσης
Επίκουρος Καθηγητής, Τμήμα Γεωγραφίας, Χαροκόπειο Πανεπιστήμιο
ΔΙΟΙΚΗΣΗ ΕΚΠΑΙΔΕΥΤΙΚΩΝ ΜΟΝΑΔΩΝ
ΑΣΦΑΛΕΙΑ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ
Εκπαιδευτική διοίκηση και καινοτομία
ΠΟΛΙΤΙΚΕΣ ΚΑΙ ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ
Θεωρία και Πρακτική της Διοίκησης στο Δημόσιο τομέα
ΕΚΠΑ - Τμήμα Πληροφορικής & Τηλεπικοινωνιών
Εφαρμογές Νέφους ΚΕΦΑΛΑΙΟ 13.
Εφαρμογές Νέφους ΚΕΦΑΛΑΙΟ 13.
Το κόστος Ποιότητας    
ΔΙΟΙΚΗΣΗ ΟΛΙΚΗΣ ΠΟΙΟΤΗΤΑΣ ΚΑΙ ΔΙΑΧΕΙΡΙΣΗ ΠΕΡΙΒΑΛΛΟΝΤΟΣ
Η έννοια της επιχείρησης
Επαγγελματικό Επιμελητήριο Αθηνών, 28 Μαρτίου 2018
ΠΕΡΙΦΕΡΕΙΑ ΚΕΝΤΡΙΚΗΣ ΜΑΚΕΔΟΝΙΑΣ
Παντείου Πανεπιστημίου
ΕΠΙΧΕΙΡΗΣΙΑΚΟΣ ΚΙΝΔΥΝΟΣ
Μεταγράφημα παρουσίασης:

ΣΥΣΤΗΜΑΤΑ ΔΙΑΧΕΙΡΙΣΗΣ ΑΣΦΑΛΕΙΑΣ Εισαγωγικά θέματα Σωκράτης Κάτσικας ska@unipi.gr

http://www.bbc.com/news/world-us-canada-37447016

Προηγούμενα παρόμοια επεισόδια MySpace accounts 359m LinkedIn accounts 164m Adobe accounts 152m Badoo accounts 112m VK accounts 93m Dropbox accounts 68m tumblr accounts 65m iMesh accounts 49m Fling accounts 40m Last.fm accounts 37m Source haveibeenpwned.com

Το πρόβλημα της ασφάλειας… Είναι ένας γενικός όρος για τα προβλήματα που ανακύπτουν όταν προσπαθούμε να πετύχουμε ένα σύνολο λειτουργικών στόχων. Υπάρχουν έξι στοιχεία σ’ αυτό το σύνολο: Τα πληροφοριακά συστήματα πρέπει να κάνουν ακριβώς αυτό για το οποίο σχεδιάστηκαν Τα πληροφοριακά συστήματα δεν πρέπει ποτέ να κάνουν κάτι για το οποίο δεν έχουν σχεδιαστεί Τα πληροφοριακά συστήματα πρέπει να λειτουργούν στο χρόνο που επιβάλλει ο σχεδιασμός τους Τα πληροφοριακά συστήματα δεν πρέπει ποτέ να λειτουργούν εκτός του χρόνου για τον οποίο σχεδιάστηκαν να λειτουργούν Τα πληροφοριακά συστήματα πρέπει να χρησιμοποιούνται μόνο από εξουσιοδοτημένο προσωπικό Τα πληροφοριακά συστήματα δεν πρέπει ποτέ να χρησιμοποιούνται από μη εξουσιοδοτημένο προσωπικό.

…Το πρόβλημα της ασφάλειας Δεν είναι απλά η προστασία του δικτύου. Επομένως «λύσεις» όπως IDS ή firewalls δεν επαρκούν. Ούτε είναι αρκετό να ακολουθήσει κανείς «οδηγίες» ή να πιστοποιηθεί. Το πραγματικό πρόβλημα είναι η κακή σχεδίαση συστημάτων, η ατελής υλοποίηση και η μαζική ανάπτυξη κρίσιμων εφαρμογών σε εγγενώς ανασφαλείς πλατφόρμες. Αυτά δεν σχετίζονται με εργαλεία λογισμικού ή σχεδιασμούς δικτύων, αλλά με το πώς σχεδιάζουμε συστήματα, ποιοί σχεδιάζουν συστήματα και το πώς επιλέγουμε και εγκαθιστούμε συστήματα στους οργανισμούς.

Και ένα ακόμη μικρό πρόβλημα... https://www.youtube.com/watch?v=opRMrEfAIiI

If you think technology can solve your security problems, then you don't understand the problems and you don't understand the technology. Bruce Schneier

Λίγη ιστορία...

1950 IBM Οι hardware ISAs (Instruction Set Architectures) άλλαζαν συνεχώς. Το “operating software” ξαναασχεδιαζόταν με κάθε νέα μηχανή. Λειτουργικό σύστημα “add-on” επειδή τα κέρδη έρχονταν από τις πωλήσεις hardware. Λειτουργίες single-user και/ή batch operations και πολύ απλά file systems και σχετικές υπηρεσίες αρχείων. Δεν υπήρχε απομακρυσμένη πρόσβαση και η φυσική ασφάλεια του κτιρίου και του hardware ισούνταν με την ασφάλεια του πληροφοριακού συστήματος.

1960 & 1970... Ηardware από το “one-at-a-time” σε αυτοματοποιημένη παραγωγή. Αρχές λειτουργικών συστημάτων και μικροπρογραμματισμού από την ΙΒΜ, το 1960 με τη σειρά μηχανών 360. Οι “mini-computers” (π.χ. PDP-8, PDP-12 και η σειρά PDP-11) εισήχθησαν από την DEC στα μέσα της δεκαετίας του 1960 και στην αρχή της δεκαετίας του 1970. Στο ίδιο διάστημα, η τεχνολογία λειτουργικών συστημάτων έκανε το άλμα από single-user/batch σε multi-user και time-sharing.

1960 & 1970... Αυτό το μεγάλο άλμα σήμαινε ότι έπρεπε να εφευρεθούν μηχανισμοί hardware & software που να μην επιτρέπουν τα προγράμματα ενός χρήστη να ξεφεύγουν από τον αποδοθέντα σ’αυτά χώρο μνήμης, επεμβαίνοντας έτσι στη λειτουργία των προγραμμάτων άλλων χρηστών ή του ίδιου του συστήματος. Έτσι εισήχθη η έννοια της ασφάλειας με τη μορφή της προστασίας μνήμης τόσο στο επίπεδο hardware όσο και στο επίπεδο software. Εισήχθη επίσης η έννοια της διαχείρισης μνήμης, που δημιούργησε την εικονική μνήμη.

1960 & 1970 Η γέννηση των προγραμματιστών – διαχωρισμός λογικού (και αργότερα φυσικού) προγραμματισμού από το hardware H σχετικά μικρή εγκατεστημένη βάση μηχανών επέτρεπε πολλούς πειραματισμούς. Οι μηχανισμοί προστασίας πολλαπλών χρηστών βελτιώθηκαν, η διαχείριση μνήμης έγινε ευφυής και οι υπηρεσίες των λειτουργικών συστημάτων διευρύνθηκαν σημαντικά. Οι μεταφραστές γίνονται έξυπνοι γιατί το υλικό γίνεται εξυπνότερο Διευρύνεται η εγκατεστημένη βάση, δημιουργώντας εξάρτηση αλλά και περιορίζοντας την τεχνολογική πρόοδο

Η επανάσταση των desktop Το χαμηλό κόστος κατακτά τη λιανική αγορά. Η ασφάλεια συστήματος συνειδητά παραλείφθηκε στα PCs Τα λειτουργικά συστήματα των PC δεν είχαν ασφαλείς βάσεις. Αλλά τα δικτυωμένα PCs απαιτούν ασφαλές Λειτουργικό Σύστημα Το μεγάλο σφάλμα: Ανάπτυξη κρίσιμων εφαρμογών σε ανασφαλή περιβάλλοντα

Το διαδίκτυο Η ανακάλυψη του Internet Leonard Kleinrock (MIT αρχές δεκαετίας 1960), μαζί με DARPA (Defense Advanced Research Projects Agency). Στόχος: Να δουλέψει! Τα πρώτα πρωτόκολα αγνοούν την ασφάλεια Το μοιραίο σφάλμα: Η διασύνδεση ανασφαλών συστημάτων μεσω ενος ανασφαλούς μέσου

Το σφάλμα επαναλαμβάνεται…

Το σφάλμα επαναλαμβάνεται

Η ανάγκη προστασίας των πληροφοριών

Πληροφορία και παγκοσμιοποίηση της οικονομίας Η εξάρτηση της μακρο-οικονομίας από την πληροφορία: «Πληροφοριοποιημένη κοινωνία» Η πληροφορία ως μικρο-οικονομικό αγαθό Υλικά αγαθά: κόστος αγοράς, πώληση μια φορά, δυνατότητα μεταπώλησης Υπηρεσίες ως αγαθά Η πληροφορία έχει αξία Η πληροφορία δεν καταναλώνεται

Η αξία της πληροφορίας Η συλλογή, δημιουργία ή συντήρηση της πληροφορίας συνεπάγεται κόστος Η πληροφορία έχει αξία γι’ αυτούς στους οποίους ανήκει, αυτούς που τη χρησιμοποιούν και αυτούς που επιθυμούν να την αποκτήσουν

Παράγοντες διαμόρφωσης της αξίας της πληροφορίας Η αποκλειστική κατοχή Η χρησιμότητα Το κόστος δημιουργίας (απόκτησης) ή αναδημιουργίας (επαναπόκτησης) Η αστική ή άλλη νομική ευθύνη Η μετατρεψιμότητα ή διαπραγματευσιμότητα Η επιχειρησιακή σημασία

Η κοινωνική σημασία της πληροφορίας… Η πληροφορία μπορεί να αποτελέσει και ισχυρό όργανο κοινωνικού ελέγχου Διαχρονικό πρόβλημα, που εντείνεται με τη διαθεσιμότητα ΤΠΕ Οι ΤΠΕ επιτρέπουν τη συγκέντρωση, επεξεργασία, αποθήκευση και μετάδοση μεγάλου όγκου πληροφοριών, που μπορεί να οδηγήσει: Στην ενοποίηση και ολοκληρωμένη παράθεσή τους Στη συνδυασμένη χρήση πληροφοριών που συλλέχθηκαν για διαφορετικούς σκοπούς Στη λήψη αποφάσεων με βάση αποκλειστικά αυτοματοποιημένη επεξεργασία πληροφοριών

…Η κοινωνική σημασία της πληροφορίας Πολλά παραδείγματα καταχρηστικής αξιοποίησης πληροφοριών που αρχικά συλλέχθηκαν για κοινωνικά αποδεκτούς σκοπούς. Είναι η λύση η αποχή από τη συλλογή πληροφοριών;

Κίνητρα για τη θέσπιση κανόνων Η αύξηση της διασυνοριακής ροής προσωπικών δεδομένων Η σημασία της προστασίας προσωπικών δεδομένων για την εμπιστοσύνη των πολιτών στην εποχή της Πληροφορίας Η προστασία των ατομικών δικαιωμάτων

Η ασφάλεια ως απαίτηση των δικαιούχων H διοίκηση ενός οργανισμού Οι ιδιοκτήτες και διαχειριστές δεδομένων και διεργασιών Οι τελικοί χρήστες Οι υπεύθυνοι ανάπτυξης του συστήματος Οι υπεύθυνοι λειτουργίας του Οι καταναλωτές των τελικών προϊόντων και υπηρεσιών Η πολιτεία

Ένα πλαίσιο για την προστασία των πληροφοριών Ένα πλαίσιο για την προστασία των πληροφοριών Πρέπει να είναι: Κοινωνικά αποδεκτό (ανάπτυξη βασισμένη στις απόψεις του κοινωνικού συνόλου) Πολυδύναμο (ανάπτυξη με βάση τη διεθνή εμπειρία και πρακτική) Πολυδιάστατο (συνδυασμός θεσμικών ρυθμίσεων, οργανωσιακών ρυθμίσεων και κοινωνικών δράσεων) Πλαίσια ανά τομέα

Θεσμικές και κανονιστικές ρυθμίσεις Θεσμικές και κανονιστικές ρυθμίσεις Κανονιστικές και νομικές Υπερεθνικές, εθνικές, τοπικές Οριζόντιες, κατακόρυφες Η σύμβαση 108 του Συμβουλίου της Ευρώπης (28.01.1981) Οι Ευρωπαϊκές οδηγίες 95/46 και 2002/58 Η NIS Directive Οι Ν. 2472/97 και Ν. 3471/06 Οι οδηγίες για την ασφάλεια ΠΣ του ΟΟΣΑ

Οργανωσιακές ρυθμίσεις Αναγνώριση γενικών αρχών Διαμόρφωση πολιτικών ασφάλειας Διαμόρφωση τεχνικών και διαδικαστικών μέτρων (Σχέδιο ασφάλειας)

Κοινωνικές δράσεις Εκπαιδευτική διαδικασία Διαδικασίες ενημέρωσης

Ο Οργανισμός Οικονομικής Συνεργασίας και Ανάπτυξης Διεθνής οργανισμός Στόχος: Η σύγκριση εφαρμογών πολιτικής στις διάφορες χώρες Η απάντηση σε κοινά προβλήματα Ο προσδιορισμός καλών πρακτικών Ο συντονισμός εθνικών και διεθνών πολιτικών

Οι οδηγίες του ΟΟΣΑ για την ασφάλεια ΠΣ Εκδόθηκαν το 1992, αναθεωρήθηκαν το 1997 και η τρέχουσα έκδοσή τους δημοσιεύτηκε το 2002 Στόχοι: Αύξηση της ευαισθητοποίησης του κοινού Παροχή γενικού πλαισίου Ενίσχυση της συνεργασίας μεταξύ δημόσιου και ιδιωτικού τομέα Αύξηση της εμπιστοσύνης του κοινού στα ΠΣ Διευκόλυνση της ανάπτυξης και χρήσης ΠΣ σε διεθνές επίπεδο Ενίσχυση της διεθνούς συνεργασίας στον τομέα της ασφάλειας ΠΣ Αφορούν ΠΣ του δημόσιου και του ιδιωτικού τομέα

Οι βασικές αρχές του ΟΟΣΑ για την ασφάλεια ΠΣ (2002) Η αρχή της επίγνωσης (awareness) Η αρχή της ευθύνης (responsibility) Η αρχή της αντίδρασης (response) Η αρχή της δεοντολογίας (ethics) Η αρχή της δημοκρατίας (democracy) Η αρχή της εκτίμησης κινδύνων (risk assessment) Η αρχή του σχεδιασμού και υλοποίησης ασφάλειας (security design and implementation) Η αρχή της διαχείρισης ασφάλειας (security management) Η αρχή της επανεκτίμησης (reassessment)

Το ελληνικό νομοθετικό πλαίσιο Σύνταγμα (άρθρο 9Α & άρθρο 19) Νόμος 2472/97 για την προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα Νόμος 3471/06 για την προστασία των προσωπικών δεδομένων στον τομέα των ηλεκτρονικών επικοινωνιών

Πρότυπα και προτυποποίηση… Τεχνικό πρότυπο (technical standard): ένας θεσπισμένος κανόνας ή μια απαίτηση σχετική με τεχνικά συστήματα. De jure, De facto Διεθνή, περιφερειακά, εθνικά Προτυποποίηση (standardization): η διεργασία ανάπτυξης και υλοποίησης τεχνικών προτύπων.

…Πρότυπα και προτυποποίηση… Πιστοποίηση (certification): η επιβεβαίωση της ύπαρξης συγκεκριμένων χαρακτηριστικών σε ένα αντικείμενο, πρόσωπο, ή οργανισμό. Διαπίστευση (accreditation): μια διεργασία πιστοποίησης μιας ικανότητας, μιας αρμοδιότητας ή της αξιοπιστίας ενός οργανισμού.

…Πρότυπα και προτυποποίηση… Ωφέλειες: Επιχειρήσεις, καταναλωτές, κυβερνήσεις, μεταφορά τεχνογνωσίας. Πρότυπα στην ασφάλεια: ISO/IEC 27000, Federal Information Security Management Act (FISMA), NIST, IETF, ISF, COBIT (ISACA), BSI-100.

…Πρότυπα και προτυποποίηση… Ο Διεθνής Οργανισμός Προτυποποίησης (International Organization for Standardization -ISO) ιδρύθηκε το 1946. Έχει δημοσιεύσει περισσότερα από 19.500 διεθνή πρότυπα. Μέλη του ISO είναι εθνικοί φορείς προτυποποίησης. Σήμερα, ο ISO έχει μέλη από 163 χώρες.

…Πρότυπα και προτυποποίηση Η Διεθνής Ηλεκτροτεχνική Επιτροπή (International Electrotechnical Commission - IEC) είναι μη κερδοσκοπικός, μη κυβερνητικός οργανισμός που ιδρύθηκε το 1906. Τα μέλη της IEC είναι εθνικές επιτροπές, οι οποίες ορίζουν εκπροσώπους προερχόμενους από επιχειρήσεις, κυβερνητικά όργανα, επιστημονικές ενώσεις και την ακαδημαϊκή κοινότητα. Η IEC συνεργάζεται με τον ISO και με τη Διεθνή Ένωση Τηλεπικοινωνιών (International Telecommunication Union – ITU) του ΟΗΕ.

Πληροφορίες ή δεδομένα; Δεδομένα: Σύνολο καταγεγραμμένων συμβόλων Πληροφορία: Δεδομένα + Ερμηνεία

Εννοιολογική θεμελίωση

Η έννοια της ασφάλειας Αποδίδει στην ελληνική γλώσσα τους αγγλικούς όρους: Security Safety Insurance Assurance

Στόχος Πλαίσιο κοινού λεξιλογίου για τη συζήτηση των ζητημάτων Ασφάλειας Πληροφοριακών και Επικοινωνιακών Συστημάτων Κατανόηση των σχέσεων μεταξύ των διαφορετικών όρων που σχετίζονται με την περιοχή της Ασφάλειας Πληροφοριακών και Επικοινωνιακών Συστημάτων

Κύριες έννοιες… Αγαθό (asset): ένας πόρος που αξίζει να προστατευθεί Φυσικά, Πληροφορίες/δεδομένα, Λογισμικό, Άνθρωποι, Άυλα Αξία (Value): Σπουδαιότητα εκφραζόμενη σε χρηματικούς ή άλλους όρους Ζημιά (Harm): ο περιορισμός της αξίας ενός αγαθού

…Κύριες έννοιες… Απειλή (Threat): μία πιθανή αιτία που μπορεί να προκαλέσει ζημιά σε ένα αγαθό. Φυσικές, Τεχνικής φύσης, Ανθρώπινες: Σκόπιμες ή τυχαίες Ευπάθεια (vulnerability): Μία αδυναμία ενός αγαθού ή ομάδας αγαθών που μπορεί να την εκμεταλλευτούν μία ή περισσότερες απειλές. Υλικού, Λογισμικού, Δικτύου, Προσωπικού, Διαχειριστικής φύσης, Κτιρίου. Επίπτωση (Impact): Αλλαγή (δυσμενής) στο επίπεδο επίτευξης των επιχειρησιακών στόχων που μπορεί να προκύψει ως συνέπεια μιας παραβίασης. Οικονομική απώλεια, Διακοπή λειτουργίας, Απώλεια καλής φήμης, Βλάβη εμπορικών/οικονομικών συμφερόντων, παραβίαση της νομοθεσίας, παρεμπόδιση της δικαιοσύνης, σωματική βλάβη

…Κύριες έννοιες Κίνδυνος (risk): Το ενδεχόμενο μια συγκεκριμένη απειλή να εκμεταλλευτεί ευπάθειες και έτσι να προκαλέσει ζημιά. Αντίμετρο ή μέτρο ασφάλειας (safeguard): Ένα μέτρο διαχείρισης του κινδύνου. Πολιτικές, κανόνες, διαδικασίες, οδηγίες, οργανωσιακές πρακτικές, οργανωσιακές δομές. Υπόλοιπο κινδύνου (Residual risk): Ο κίνδυνος που απομένει μετά την εγκατάσταση των μέτρων ασφάλειας.

Ασφάλεια Π.Σ. Το οργανωμένο πλαίσιο από έννοιες, αντιλήψεις, αρχές, πολιτικές, διαδικασίες, τεχνικές και μέτρα που απαιτούνται για να προστατευθούν τα στοιχεία του Π.Σ., αλλά και το σύστημα ολόκληρο, από κάθε σκόπιμη ή τυχαία απειλή.

Ασφάλεια Πληροφοριών και Τεχνολογικής Υποδομής Ασφάλεια Πληροφοριών: Επίτευξη και διατήρηση της ασφάλειας σε σχέση με πληροφορίες ή υπολογιστικά συστήματα διαχείρισης πληροφοριών. Ασφάλεια τεχνολογιών πληροφορικής και επικοινωνιών: Επίτευξη και διατήρηση της ασφάλειας των υπολογιστικών πόρων.

Κύρια Χαρακτηριστικά της ασφάλειας Εμπιστευτικότητα (Confidentiality): Η διασφάλιση ότι οι πληροφορίες δεν αποκαλύπτονται και δε γίνονται διαθέσιμες σε μη εξουσιοδοτημένα άτομα, οντότητες ή διαδικασίες. Ακεραιότητα (Integrity): Η διασφάλιση της ορθότητας και πληρότητας ενός αγαθού ή η αποφυγή μη εξουσιοδοτημένης τροποποίησης ενός αγαθού. Διαθεσιμότητα (Availability): Η διασφάλιση ότι ένα αγαθό είναι διαθέσιμο όταν ζητείται από μία εξουσιοδοτημένη οντότητα.

Άλλα χαρακτηριστικά της ασφάλειας… Αυθεντικότητα (authenticity): Η διασφάλιση ότι η ταυτότητα μίας οντότητας είναι αυτή που έχει ισχυριστεί. Η οντότητα αυτή μπορεί να είναι χρήστης, διαδικασία ή σύστημα. Λογοδοσία (accountability): Η διασφάλιση ότι όλες οι ενέργειες μίας οντότητας μπορούν να εντοπιστούν μοναδικά για την οντότητα αυτή.

…Άλλα χαρακτηριστικά της ασφάλειας Μη αποποίηση ευθύνης (non-repudiation): Η διασφάλιση ότι μπορεί να αποδειχθεί ότι κάθε ενέργεια ή γεγονός έλαβε χώρα, ώστε να μην είναι δυνατόν να αμφισβητηθεί. Αξιοπιστία (reliability): Η διασφάλιση ότι μία οντότητα έχει συμπεριφορά και αποτελέσματα που είναι συνεπή με τα επιδιωκόμενα.

Ευχαριστώ!