Ανάλυση και Διαχείριση των Κινδύνων Πληροφοριακών Συστημάτων (Identifying and Assessing Risk) Ευφροσύνη Σιουγλέ Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Ελέγκτρια πληροφορικός sefrosini@dpa.gr www.dpa.gr 23/6/2006 ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ

Διαχείριση του κινδύνου Πρόκειται για τη διαδικασία προσδιορισμού, μέτρησης, αντιμετώπισης και ελαχιστοποίησης του κινδύνου κατά της ασφάλειας ενός πληροφοριακού συστήματος σε επίπεδο ανάλογο της αξίας των προστατευομένων περιουσιακών αγαθών (NIST): Αναγνώριση του κινδύνου Αποτίμηση του κινδύνου Αντιμετώπιση του κινδύνου 23/6/2006 ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ

Υπολογισμός του κινδύνου Ο κίνδυνος στον οποίο εκτίθεται ένα πληροφοριακό σύστημα εξαρτάται από: Την αξία των περιουσιακών του αγαθών Την φύση και το βαθμό των ευπαθειών Την φύση και την πιθανότητα εμφάνισης απειλών κατά της ασφάλειάς του Την φύση και την έκταση των επιπτώσεων που θα έχουν οι απειλές αν πραγματοποιηθούν εκμεταλλευόμενες τις αδυναμίες 23/6/2006 ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ

Απειλή, ευπάθεια, επίπτωση Απειλή (threat): είναι οποιαδήποτε πράξη ή γεγονός που θα μπορούσε να παραβιάσει την ασφάλεια ενός συστήματος και να προκαλέσει ζημιά Ευπάθεια (vulnerability): είναι μια αδυναμία του συστήματος, η ύπαρξη της οποίας μπορεί να επιτρέψει την πραγματοποίηση της απειλής Επίπτωση (consequence): είναι το αποτέλεσμα της παραβίασης της ασφάλειας και η έκταση της προκληθείσας ζημιάς 23/6/2006 ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ

ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ Αντίμετρα Η έκταση των πιθανών κινδύνων εξισορροπείται με το κόστος εφαρμογής των αντιμέτρων Αντίμετρο (countermeasure): μηχανισμός ή διαδικασία που αποσκοπεί στην μείωση των επιμέρους κινδύνων στους οποίους εκτίθεται το πληροφοριακό σύστημα 23/6/2006 ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ

Μεθοδολογία ανάλυσης και διαχείρισης κινδύνων Καταγραφή περιουσιακών αγαθών της επιχείρησης Ταξινόμηση, κατηγοριοποίηση και ομαδοποίηση περιουσιακών αγαθών Υπολογισμός της αξίας των περιουσιακών αγαθών Ταξινόμηση των δεδομένων Ανάλυση και αξιολόγηση των απειλών Ανάλυση των αξιολόγηση των ευπαθειών Υπολογισμός κινδύνου Αξιολόγηση των υπαρχόντων αντιμέτρων Επιλογή κατάλληλων αντιμέτρων Παρακολούθηση αν η εφαρμογή των αντιμέτρων είναι αποτελεσματική 23/6/2006 ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ

Καταγραφή περιουσιακών αγαθών Περιουσιακά αγαθά: Υλικό Λογισμικό Δικτυακός εξοπλισμός Πληροφορίες και δεδομένα Προσωπικό Διαδικασίες 23/6/2006 ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ

Υλικό και δικτυακός εξοπλισμός Καταγραφή του υλικού και του δικτυακού εξοπλισμού Ενδεικτικά χαρακτηριστικά: Όνομα IP διεύθυνση MAC διεύθυνση Τύπος Ποσότητα Όνομα κατασκευαστή Όνομα συντηρητή Μοντέλο κατασκευαστή ή σειριακός αριθμός Φυσική τοποθεσία Λογική τοποθεσία κλπ 23/6/2006 ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ

ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ Λογισμικό Καταγραφή του λογισμικού και των εφαρμογών Ενδεικτικά χαρακτηριστικά: Όνομα Περιβάλλον λειτουργίας (υλικό, δικτυακός εξοπλισμός κλπ) Τύπος Έκδοση του λογισμικού - εφαρμογών Αναβάθμιση λογισμικού - εφαρμογών Όνομα κατασκευαστή Όνομα συντηρητή Κόστος κλπ 23/6/2006 ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ

ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ Άνθρωποι Καταγραφή ανθρώπων, διαδικασιών και δεδομένων Ενδεικτικά χαρακτηριστικά: Άνθρωποι: Θέση/όνομα/αναγνωριστικό Όνομα επιβλέποντος/θέση/αναγνωριστικό Επίπεδο διαβάθμισης ασφάλειας (security clearance) Ειδικά καθήκοντα – ικανότητες 23/6/2006 ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ

ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ Διαδικασίες Διαδικασίες Περιγραφή Σκοπός Λογισμικό/υλικό/δικτυακός εξοπλισμός που σχετίζονται με την διαδικασία Τοποθεσία που είναι αποθηκευμένη η τεκμηρίωση της διαδικασίας Αναθεώρηση διαδικασίας και διαχείριση αλλαγών κλπ 23/6/2006 ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ

ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ Δεδομένα Δεδομένα Ταξινόμηση Ιδιοκτήτης/δημιουργός/διαχειριστής Μέγεθος και δομή των δεδομένων On-line ή off-line Τοποθεσία Λογισμικό/υλικό/δικτυακός εξοπλισμός που σχετίζονται με τα δεδομένα Διαδικασία backup 23/6/2006 ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ

Μέτρηση της αξίας των αγαθών Ταξινόμηση και κατηγοριοποίηση των αγαθών Ταξινόμηση των αγαθών με βάση την σημαντικότητά τους για την επιχείρηση: Ποια αγαθά υποστηρίζουν τις σημαντικές – κρίσιμες επιχειρησιακές διαδικασίες Ποια αγαθά αποφέρουν το μεγαλύτερο κέρδος Ποια αγαθά έχουν το μεγαλύτερο κόστος αντικατάστασης Ποια αγαθά σχετίζονται με την απώλεια καλής φήμης 23/6/2006 ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ

Ταξινόμηση των δεδομένων Ταξινόμηση των δεδομένων σε: Δημόσια Ευαίσθητα Εμπιστευτικά Απόρρητα Άκρως απόρρητα Καταγραφή των σχέσεων μεταξύ δεδομένων και περιουσιακών αγαθών Υπολογισμός της τελικής αξίας των περιουσιακών αγαθών 23/6/2006 ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ

ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ Ταξινόμηση αγαθών 23/6/2006 ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ

Σταθμική ανάλυση αξίας αγαθών 23/6/2006 ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ

ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ Ανάλυση απειλών (1) Κάθε απειλή αποτελεί δυνητική πρόκληση στην ασφάλεια του συστήματος Πρέπει να ελέγχεται και να περιορίζονται οι επιπτώσεις της απειλής μέσω συγκεκριμένων μέτρων ασφαλείας του πληροφοριακού συστήματος Ανάλυση απειλών: κάθε απειλή πρέπει να εξετάζεται για να καθοριστεί η δυνατότητα να επηρεάζει την ασφάλεια του πληροφοριακού συστήματος Ποιες απειλές αποτελούν κίνδυνο στα αγαθά της επιχείρησης στο συγκεκριμένο περιβάλλον Πόσο κοστίζει για να ανακάμψει η επιχείρηση από μια επιτυχημένη επίθεση Η πρόληψη ποιων απειλών έχει το μεγαλύτερο κόστος 23/6/2006 ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ

ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ Ανάλυση απειλών (2) Ανθρώπινο λάθος Ατυχήματα, λάθη των υπαλλήλων Διακύβευση της πνευματικής ιδιοκτησίας Πειρατεία Κατασκοπεία ή καταπάτηση Μη εξουσιοδοτημένη πρόσβαση ή/και συλλογή δεδομένων Εκβιασμός Εκβιασμός για παροχή πληροφοριών και δεδομένων Σαμποτάζ – βανδαλισμός Καταστροφή συστημάτων ή πληροφοριών Κλοπή Παράνομη κατοχή εξοπλισμού ή πληροφοριών 23/6/2006 ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ

ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ Ανάλυση απειλών (3) Επιθέσεις στο λογισμικό Virus, worms, spyware, macros, denial-of-service Φυσικές καταστροφές Φωτιά, πλημμύρα, σεισμός Απόκλιση στις υπηρεσίες των παρόχων Αποτυχία – αστοχία υλικού Αποτυχία – αστοχία λογισμικού Λάθη (bugs), προβλήματα στον κώδικα Τεχνολογική απαρχαίωση 23/6/2006 ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ

ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ Ανάλυση ευπαθειών Εξέταση κάθε περιουσιακού αγαθού σχετικά με την ευπάθεια που παρουσιάζει απέναντι σε κάθε απειλή Προσδιορισμός της πιθανότητας επιτυχίας μιας απειλής αξιοποιώντας μια ευπάθεια του συστήματος Χρήση εργαλείων αποτίμησης ευπαθειών Χρήση των νέων ευπαθειών που ανακαλύπτονται ή προκύπτουν για προϊόντα, λογισμικό, βάσεις δεδομένων κλπ www.securityfocus.com/bid = ιστοσελίδα για αναζήτηση ευπάθειες με βάση την έκδοση του προϊόντος (vulnerability scanners: Nessus, ISS Intenet Scanner, Typhon III κλπ) Ευπάθεια: αδυναμία που εκμεταλλεύεται η απειλή για πρόκληση βλάβης στο σύστημα Δημιουργία κατάστασης με αγαθά και τις ευπάθειές τους για την επιχείρηση 23/6/2006 ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ

Υπολογισμός του κινδύνου Ο στόχος είναι να υπολογισθεί ο σχετικός κίνδυνος για κάθε καταγεγραμμένη ευπάθεια Κίνδυνος είναι Η πιθανότητα της επιτυχούς εκμετάλλευσης μιας ευπάθειας και επιτυχίας μιας απειλής Πολλαπλασιαζόμενο με Την αξία του περιουσιακού αγαθού Πλην Το ποσοστό του περιορισμού του κινδύνου με τα υπάρχοντα μέτρα ασφαλείας Συν Την αβεβαιότητα της τρέχουσας γνώσης μιας ευπάθειας 23/6/2006 ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ

ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ Πιθανότητα Ενδεχόμενο εμφάνισης μιας απειλής: η εκτίμηση της πιθανότητας μια απειλή να επιτύχει να επιφέρει βλάβη στο σύστημα εκμεταλλευόμενη μια ευπάθεια Προσδιορισμός μιας αριθμητικής τιμής σε μια προκαθορισμένη κλίμακα (συνήθως 0.1 -1.0) της πιθανότητας επιτυχούς εκμεταλλεύσεως μιας ευπάθειας Σε κάθε ένα από τα αγαθά έχει αντιστοιχηθεί ένας σταθμικός βαθμός με βάση της αξία τους 23/6/2006 ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ

Περιορισμός του κινδύνου/αβεβαιότητα Καταγραφή των υπαρχόντων μέτρων ασφαλείας του συστήματος και του επιπέδου διαβάθμισης ασφάλειας του προσωπικού Εκτίμηση του ποσοστού ελέγχου μιας ευπάθειας μέσω των υπαρχόντων μέτρων ασφαλείας Εκτίμηση του βαθμού στον οποίο ένα υπάρχον μέτρο ασφάλειας μπορεί να μειώσει τον κίνδυνο σε ένα επιθυμητό επίπεδο Η κρίση αυτή βασίζεται και στην εμπειρία διότι δεν είναι δυνατόν η επιχείρηση να γνωρίζει τα πάντα για μια ευπάθεια 23/6/2006 ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ

Παράδειγμα υπολογισμού κινδύνου Το αγαθό Α έχει αξία 50 και μια ευπάθεια #1 Ενδεχόμενο εμφάνισης απειλής 1.0 χωρίς να υπάρχουν μέτρα ασφάλειας Τα δεδομένα είναι κατά 90% ακριβή Κίνδυνος: (50 x 1.0) – 0% + 10% = 55 Το αγαθό Β έχει αξία 100 και δύο ευπάθειες Τα δεδομένα για το αγαθό Β είναι 80% ακριβή Ευπάθεια #1 Ενδεχόμενο εκμετάλλευσης 0.5 με τα υπάρχοντα μέτρα ασφάλειας που περιορίζουν τον κίνδυνο στο 50% Κίνδυνος: (100 x 0.5) – 50% + 20% =35 Ευπάθεια #3 Ενδεχόμενο εκμετάλλευσης 0.1 χωρίς μέτρα ασφαλείας Κίνδυνος: (100 x 0.1) – 0% + 20% = 12 23/6/2006 ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ

Προσδιορισμός αντιμέτρων Για κάθε απειλή και τις σχετικές ευπάθειες που έχουν υπολειπόμενο κίνδυνο (residual risk) πρέπει να δημιουργηθεί μια λίστα με αντίμετρα (controls) Υπάρχουν οι εξής γενικές κατηγορίες αντιμέτρων: Φυσικά Διαδικαστικά Τεχνικά Προσωπικού Τελική επιλογή των κατάλληλων αντιμέτρων 23/6/2006 ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ

Παραδοτέα της ανάλυσης Ταξινόμηση των αγαθών Καταγραφή των αγαθών και προσδιορισμός των αξίας τους για την επιχείρηση Σταθμική ανάλυση αξίας αγαθών Αντιστοίχηση μιας σταθμικής μετρήσιμης αξίας σε κάθε αγαθό Σταθμική ανάλυση κινδύνου – ευπάθειας Αντιστοίχηση μιας σταθμικής τιμής για κάθε ομάδα αγαθού-ευπάθειας που έχει υπολειπόμενο κίνδυνο 23/6/2006 ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ

Σταθμική ανάλυση κινδύνου-ευπάθειας 23/6/2006 ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ

Ευχαριστώ για την προσοχή σας Τέλος παρουσίασης Ευχαριστώ για την προσοχή σας 23/6/2006 ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ