Πολιτικές Ασφάλειας Πληροφοριακών Συστημάτων

Slides:



Advertisements
Παρόμοιες παρουσιάσεις
ΕΠΙΧΕΙΡΗΣΙΑΚΟ ΠΡΟΓΡΑΜΜΑ ΔΙΟΙΚΗΤΙΚΗ ΜΕΤΑΡΡΥΘΜΙΣΗ
Advertisements

1 Χ Ο υπό έκδοση νόμος για τις υπηρεσίες πληρωμών στην εσωτερική αγορά Χρήστος Βλ. Γκόρτσος Αναπληρωτής Kαθηγητής Διεθνούς Οικονομικού Δικαίου, Πάντειο.
ΤΡΟΠΟΣ ΑΞΙΟΛΟΓΗΣΗΣ ΤΩΝ ΟΡΓΑΝΩΤΙΚΩΝ ΚΑΙ ΔΙΟΙΚΗΤΙΚΩΝ ΔΕΞΙΟΤΗΤΩΝ ΤΟΥ ΟΡΓΑΝΙΣΜΟΥ  Εκπαιδευτικό Κεφάλαιο 1.1 Τεχνικές δεξιότητες και προσόντα.
Εκπαίδευση Leonardo da Vinci. Παράμετροι που λαμβάνονται υπ’ όψη (1) • Η Παραγωγή ασφαλών τροφίμων είναι το αποτέλεσμα ομαδικών προσπαθειών αλλά και κοινωνικής.
Ισχυρισμοί διατροφής και υγείας Παρόν και μέλλον Βασίλης Μαθιουδάκης
Διαχείριση εργασιακού άγχους στην COMPUSMART Διαχείριση εργασιακού άγχους στην COMPUSMART Ινστιτούτο Εργασίας, Υγείας και Οργάνωσης (I-WHO) Πανεπιστήμιο.
« Βελτιστοποιώντας τη χρήση της γνώσης στη διαμόρφωση δημοσίων πολιτικών και στην ανάπτυξη επιχειρηματικής δραστηριότητας. Η στρατηγική σημασία της ανοιχτής.
OHSAS – ΕΛΟΤ 1801.
1 “Ανάπτυξη και Εφαρμογή Ολοκληρωμένου Συστήματος για τον Έλεγχο και την Παρακολούθηση των Μονάδων Επεξεργασίας Αστικών Λυμάτων στην Κύπρο, COMWATER” (Δεκέμβριος.
ΕΠΙΧΕΙΡΗΣΙΑΚΟ ΠΡΟΓΡΑΜΜΑ «ΚΑΛΛΙΚΡΑΤΗΣ» ΔΕΚΕΜΒΡΙΟΣ 2011.
Στρατηγική & Σχέδιο Δράσης για την Ηλεκτρονική Διακυβέρνηση ---- Εναρμόνιση με την Ψηφιακή Στρατηγική της Χώρας Υπουργείο Διοικητικής.
Αλέξανδρος Σαχινίδης, ΜΒΑ, Ph.D. ΙΟΥΝΙΟΣ 2009
ΤΡΟΠΟΣ ΑΞΙΟΛΟΓΗΣΗΣ ΕΝΟΣ ΠΡΟΓΡΑΜΜΑΤΟΣ ΚΙΝΗΤΙΚΟΤΗΤΑΣ
Διαχείριση Έργου Οργάνωση, σχεδιασμός και προγραμματισμός έργων ανάπτυξης λογισμικού.
ΕΘΝΙΚΟ ΣΥΣΤΗΜΑ ΗΛΕΚΤΡΟΝΙΚΩΝ ΔΗΜΟΣΙΩΝ ΣΥΜΒΑΣΕΩΝ (ΕΣΗΔΗΣ)
Διευθυντής Πληροφοριακών Συστημάτων
ΠΜΣ ΠΡΟΗΓΜΕΝΑ ΣΥΣΤΗΜΑΤΑ ΠΛΗΡΟΦΟΡΙΚΗΣ Κατεύθυνση ΤΕΔΑ Τεχνολογίες Διαχείρισης Ασφάλειας Security Management Engineering Τμήμα Πληροφορικής ΠΑΝΕΠΙΣΤΗΜΙΟ.
Τραπεζική Ι Κ.1 Ο ρόλος και η λειτουργία ενός τραπεζικού οργανισμού
Νέος Επενδυτικός Νόμος Ανάπτυξη στην πράξη – Απάντηση στην κρίση
ΕΓΚΡΙΣΗ ΣΥΣΤΗΜΑΤΟΣ ΔΙΑΧΕΙΡΙΣΗΣ ΚΑΙ ΕΛΕΓΧΟΥ ΕΠΙΧΕΙΡΗΣΙΑΚΩΝ ΠΡΟΓΡΑΜΜΑΤΩΝ ΕΣΠΑ.
Ορθές Πρακτικές Διανομής Φαρμάκων
Μονάδα Διασφάλισης Ποιότητας του ΤΕΙ Σερρών
ΣΤΡΑΤΗΓΙΚΗ ΕΚΤΙΜΗΣΗ ΠΕΡΙΒΑΛΛΟΝΤΙΚΩΝ ΕΠΙΠΤΩΣΕΩΝ ΟΔΗΓΙΑ 2001/42/ΕΚ
1 Συλλογικοί Κατάλογοι & Διαδίκτυο Μιχάλης Σφακάκης.
Η ποιότητα της πληροφορίας στο εκπαιδευτικό υλικό που χρησιμοποιείται ή διανέμεται μέσω του Internet Χρήστος Σαβρανίδης Πανεπιστήμιο Ιωαννίνων Τμήμα ΦΠΨ.
Τι είναι Ανάλυση Τι είναι Συστήματα Πληροφορικής
ΔΙΟΙΚΗΣΗ ΟΛΙΚΗΣ ΠΟΙΟΤΗΤΑΣ
Αποκεντρωμένη Διοίκηση Μακεδονίας Θράκης ∆ιαχείριση έργων επίβλεψης µε σύγχρονα µέσα και επικοινωνία C2G, B2G, G2G Γενική Δ/νση Εσωτερικής Λειτουργίας.
ΠΛΗΡΟΦΟΡΙΑΚΑ ΣΥΣΤΗΜΑΤΑ
Στοιχεία Διοίκησης Επιχειρήσεων
Πολιτικές Ασφάλειας Πληροφοριακών Συστημάτων
Ιόνιο Πανεπιστήμιο Τμήμα Αρχειονομίας & Βιβλιοθηκονομίας Μεταπτυχιακό Πρόγραμμα Σπουδών στην Επιστήμη της Πληροφορίας: Διοίκηση & Οργάνωση Βιβλιοθηκών.
«ΣΧΕΔΙΑΣΜΟΣ ΠΡΟΓΡΑΜΜΑΤΩΝ ΜΑΡΚΕΤΙΝΓΚ »
ΕΚΕΦΕ «Δημόκριτος» Ινστιτούτο Πληροφορικής & Τηλεπικοινωνιών Κοινωνία της Πληροφορίας & Τεχνητή Νοημοσύνη Δρ. Κωνσταντίνος Δ. Σπυρόπουλος Δντής Έρευνας.
Ενιαίο Πλαίσιο Προγράμματος Σπουδών Πληροφορικής.
1 ΕΤΗΣΙΑ ΣΥΝΑΝΤΗΣΗ ΑΝΑΣΚΟΠΗΣΗΣ 2008 Αθήνα, 18 Μαρτίου 2009 ΘΕΜΑ: ΘΕΜΑ: Πρόοδος του Ε.Π. «Διοικητική Μεταρρύθμιση »
ΑΘΗΝΑ 5 ΟΚΤΩΒΡΙΟΥ 2006 ΔΙΑΧΕΙΡΙΣΤΙΚΗ ΑΡΧΗ ΚΠΣ ΚΡΙΤΗΡΙΑ ΔΙΑΧΕΙΡΙΣΤΙΚΗΣ ΕΠΑΡΚΕΙΑΣ ΔΙΚΑΙΟΥΧΩΝ ΠΡΟΓΡΑΜΜΑΤΙΚΗΣ ΠΕΡΙΟΔΟΥ
Μοντέλα Συστημάτων Παρουσιάσεις των συστημάτων των οποίων οι απαιτήσεις αναλύονται.
Ανάπτυξη Πρωτοτύπου Λογισμικού
Διαχείριση Έργων Πληροφορικής
ΔΙΟΙΚΗΣΗ & ΑΞΙΟΠΟΙΗΣΗ ΕΡΓΩΝ ΤΠΕ στη ΔΗΜΟΣΙΑ ΔΙΟΙΚΗΣΗ
Διαχείριση Ψηφιακών Πνευματικών Δικαιωμάτων Ηλεκτρονική Δημοσίευση Στέλλα Λάμπουρα Ιούνιος 2004.
Αρχές Οργάνωσης & Διοίκησης Επιχειρήσεων
Διοίκηση Πληροφοριακών Συστημάτων
Στρατηγικοί στόχοι του Δικτύου Μακροχρόνιας Φροντίδας. Tο κεντρικό ζητούμενο ενός συστήματος διοίκησης και διαχείρισης των υπηρεσιών Μακροχρόνιας Φροντίδας.
Τεχνολογία ΛογισμικούSlide 1 Τεχνολογία Απαιτήσεων u Καθορίζει τι θέλει ο πελάτης από ένα σύστημα λογισμικού.
Υλοποίηση πράξεων με Ίδια Μέσα Υπόδειγμα Απόφασης Υλοποίησης με ίδια μέσα ΥΠΟΥΡΓΕΙΟ ΠΑΙΔΕΙΑΣ, ΕΡΕΥΝΑΣ ΚΑΙ ΘΡΗΣΚΕΥΜΑΤΩΝ ΓΕΝΙΚΗ ΓΡΑΜΜΑΤΕΙΑ ΕΡΕΥΝΑΣ ΚΑΙ ΤΕΧΝΟΛΟΓΙΑΣ.
Μέρος 1 Εισαγωγή στα Πληροφοριακά Συστήματα. 22/9/20162 Περιεχόμενα  Βασικές έννοιες Πληροφοριακών Συστημάτων  Απαιτήσεις των σύγχρονων επιχειρήσεων.
Ανάπτυξη – Βελτίωση του Ανθρώπινου Δυναμικού
Πολιτικές & Διαχείριση Ασφάλειας Δρ. Γιώργος Αγγελινός Οργανωσιακό πλαίσιο & Πολιτικές Ασφάλειας.
Επιχειρησιακό Πρόγραμμα Μακεδονίας - Θράκης ΕΠΙΒΕΒΑΙΩΣΗ ΔΙΑΧΕΙΡΙΣΤΙΚΗΣ ΕΠΑΡΚΕΙΑΣ ΔΙΚΑΙΟΥΧΩΝ.
Επίσημος ορισμός Ποιότητας (πρότυπο ISO 8402) Σύνολο χαρακτηριστικών μιας οντότητας για την ικανοποίηση εκφρασμένων και συνεπαγόμενων αναγκών. Αντικείμενο.
ΣΥΜΒΑΣΕΙΣ ΔΙΑΣΦΑΛΙΣΗΣ ΕΠΙΠΕΔΟΥ ΠΟΙΟΤΗΤΑΣ ΥΠΗΡΕΣΙΩΝ (ΣΔΕΠΥ - SLA)
Επιχειρηματικός Σχεδιασμός
Έννοια και τρόπος διαχείρισης του Επιχειρηματικού κινδύνου (ΕΚ)
ΑΣΦΑΛΕΙΑ ΙΑΤΡΙΚΩΝ ΔΕΔΟΜΕΝΩΝ
ΔΙΑΛΕΞΗ 5η Συνηγορία Υπευθυνότητα/ευθύνη Συνεργασία Στάση φροντίδας
Διαχείριση Διακινδύνευσης
Ανάλυση και σχεδιασμόσ πληροφοριακών συστημάτων
ΠΟΛΙΤΙΚΕΣ ΚΑΙ ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ
ΣΥΣΤΗΜΑ ΠΟΙΟΤΗΤΑΣ ΛΟΓΙΣΜΙΚΟΥ (QUALITY SYSTEM)
Το κόστος Ποιότητας    
ΔΙΟΙΚΗΣΗ ΟΛΙΚΗΣ ΠΟΙΟΤΗΤΑΣ ΚΑΙ ΔΙΑΧΕΙΡΙΣΗ ΠΕΡΙΒΑΛΛΟΝΤΟΣ
Η έννοια της επιχείρησης
ΔΙΟΙΚΗΣΗ ΟΛΙΚΗΣ ΠΟΙΟΤΗΤΑΣ ΚΑΙ ΔΙΑΧΕΙΡIΣΗ ΠΕΡΙΒΑΛΛΟΝΤΟΣ
Επαγγελματικό Επιμελητήριο Αθηνών, 28 Μαρτίου 2018
Απαραίτητες ενέργειες των επιχειρήσεων για τη συμμόρφωση με τον GDPR
Αξιολόγηση της επίδοσης ενός οργανισμού σε θέματα ασφάλειας
Στρατηγικοί στόχοι του Δικτύου Μακροχρόνιας Φροντίδας.
ΕΠΙΧΕΙΡΗΣΙΑΚΟΣ ΚΙΝΔΥΝΟΣ
Μεταγράφημα παρουσίασης:

Πολιτικές Ασφάλειας Πληροφοριακών Συστημάτων Συγγραφέας: Μαρία Καρύδα

Στόχοι της διάλεξης Η διάλεξη αυτή στοχεύει στην απάντηση των εξής ερωτημάτων: Τι είναι οι Πολιτικές Ασφάλειας ΠΣ και για ποιους λόγους τις χρειαζόμαστε; Πώς μπορούμε να αναπτύξουμε μια Πολιτική Ασφάλειας ΠΣ και τι θα πρέπει να περιλαμβάνει; Ποιοι παράγοντες συμβάλλουν στην αποτελεσματική εφαρμογή μιας Πολιτικής Ασφάλειας ΠΣ;

Διαχείριση Ασφάλειας ΠΣ: Διαδικασίες και Πρακτικές Διαχείριση Ασφάλειας ΠΣ: Διαδικασίες και Πρακτικές Η Διαχείριση της Ασφάλειας ΠΣ στοχεύει στην προστασία των ΠΣ, περιορίζοντας την επικινδυνότητα σε αποδεκτό επίπεδο. Περιλαμβάνει συνοπτικά τις ακόλουθες διαδικασίες: Αποτίμηση της επικινδυνότητας και προσδιορισμό του αποδεκτού επιπέδου επικινδυνότητας Ανάπτυξη και εφαρμογή μιας Πολιτικής Ασφάλειας Δημιουργία κατάλληλου οργανωτικού πλαισίου και εξασφάλιση των απαιτούμενων πόρων για την εφαρμογή της Πολιτικής Ασφάλειας Εκπαίδευση, ενημέρωση και ευαισθητοποίηση των χρηστών των ΠΣ

Η έννοια της Πολιτικής Ασφάλειας ΠΣ Η Πολιτική Ασφάλειας των Πληροφοριακών Συστημάτων περιλαμβάνει το σκοπό και τους στόχους της ασφάλειας, οδηγίες, διαδικασίες, κανόνες, ρόλους και υπευθυνότητες που αφορούν την προστασία των ΠΣ του οργανισμού Η Πολιτική Ασφάλειας διατυπώνεται σε ένα έγγραφο, το οποίο θα πρέπει να γνωρίζουν και να εφαρμόζουν όλοι οι χρήστες των ΠΣ

Μέτρα Aσφάλειας και Σχέδιο Ασφάλειας Οι οδηγίες και οι διαδικασίες που περιλαμβάνονται στην Πολιτική Ασφάλειας υλοποιούνται με την εφαρμογή των μέτρων προστασίας ή ασφάλειας (security measures, security controls) Η Πολιτική Ασφάλειας μαζί με το σύνολο των μέτρων προστασίας αποτελούν το Σχέδιο Ασφάλειας (Security Plan) για τα πληροφοριακά συστήματα ενός οργανισμού.

Γιατί εφαρμόζουμε μια Πολιτική Ασφάλειας; (1) …γιατί χρειαζόμαστε ένα συστηματικό και ολοκληρωμένο πλαίσιο που θα καθοδηγήσει την υλοποίηση των μέτρων ασφάλειας …γιατί λειτουργεί ως το μέσο για την επικοινωνία των εμπλεκομένων στα ζητήματα ασφάλειας (χρήστες, διοίκηση, διαχειριστές συστημάτων κλπ.) …γιατί δε διαθέτουμε απεριόριστους πόρους (σε χρήματα, χρόνο, ανθρώπινο δυναμικό)

Γιατί εφαρμόζουμε μια Πολιτική Ασφάλειας; (2) …γιατί έτσι θεμελιώνεται η σημασία της ασφάλειας του ΠΣ για όλα τα μέλη του οργανισμού …γιατί συμβάλλει στη δημιουργία κουλτούρας ασφάλειας …γιατί σε ορισμένες περιπτώσεις αποτελεί νομική υποχρέωση …γιατί αποτελεί παράγοντα εμπιστοσύνης στις σχέσεις του οργανισμού με συνεργαζόμενους φορείς και πελάτες

Είδη Πολιτικών Ασφάλειας Τεχνικές Πολιτικές Ασφάλειας (computer-oriented) Πολιτικές Ασφάλειας Πληροφοριών Υλοποιούν συγκεκριμένους κανόνες πρόσβασης στα δεδομένα, όπως διακριτό έλεγχο προσπέλασης (Discretionary Access Control) ή υποχρεωτικό έλεγχο προσπέλασης (Mandatory Access Control). Πολιτικές Ασφάλειας Λειτουργικών Συστημάτων Πολιτικές Ασφάλειας Δικτύων Υπολογιστών Οργανωσιακές Πολιτικές Ασφάλειας (human-oriented) Πολιτικές Ασφάλειας Πληροφοριακών Συστημάτων

Μορφές Πολιτικών Ασφάλειας ΠΣ (1) Ατομικές Πολιτικές Ασφάλειας (individual security policies): Ανά σύστημα ή εφαρμογή (π.χ. Πολιτική Ασφάλειας για τη χρήση του e-mail) Αποσπασματική διαχείριση της ασφάλειας ΠΣ, μεγάλη πολυπλοκότητα στη συντήρηση των πολιτικών Αποτελεσματικές όταν υπάρχουν αυτόνομες εφαρμογές και υπολογιστικά συστήματα που δε συνδέονται μεταξύ τους

Μορφές Πολιτικών Ασφάλειας ΠΣ (2) Αναλυτικές Πολιτικές Ασφάλειας (Comprehensive Security Policies) Ενιαίο έγγραφο που αναφέρεται σε όλα τα υπολογιστικά συστήματα, τις εφαρμογές και τις διαδικασίες του ΠΣ Είναι μεγάλες σε όγκο, όχι πολύ εύχρηστες Οι οδηγίες και διαδικασίες που περιλαμβάνονται είναι σε γενικό επίπεδο, χωρίς λεπτομέρειες Αρθρωτές Πολιτικές Ασφάλειας (Modular Security Policies) Ενιαίο έγγραφο με παραρτήματα που περιγράφουν τις επιμέρους πολιτικές Μπορεί να είναι σε μορφή υπερκειμένου (hypertext)

Πηγές Απαιτήσεων Ασφάλειας Οι απαιτήσεις για την ασφάλεια του ΠΣ που πρέπει να ικανοποιεί η Πολιτική Ασφάλειας προέρχονται από όλους τους εμπλεκόμενους στη χρήση και λειτουργία του ΠΣ ενός οργανισμού, όπως είναι: Οι χρήστες και διαχειριστές των ΠΣ Η διοίκηση του οργανισμού Οι πελάτες του οργανισμού Οι νομικές και κανονιστικές διατάξεις που διέπουν τη λειτουργία του ETSI: European Telecommunications Standards Institute ITU: International Telecommunications Union IETF: Internet Engineering Task Force W3C: www consortium

Ανάπτυξη Πολιτικών Ασφάλειας (1) Για να διαμορφώσουμε μια Πολιτική Ασφάλειας ΠΣ πρέπει να αξιολογήσουμε, κατ’αρχήν, το επίπεδο της ασφάλειάς του. Για το σκοπό αυτό, μπορούμε να χρησιμοποιήσουμε: Μεθόδους Ανάλυσης Επικινδυνότητας (π.χ. OCTAVE, CRAMM ) Πρότυπα διαχείρισης της ασφάλειας των ΠΣ (π.χ. ISO27001, ISO 17799, GMITS)

Ανάπτυξη Πολιτικών Ασφάλειας (2) Η Πολιτική Ασφάλειας ΠΣ που αναπτύσσουμε θα πρέπει να περιλαμβάνει απαντήσεις στα ακόλουθα ερωτήματα: Ποιος είναι ο σκοπός και ποιοι οι στόχοι της Πολιτικής; Ποια είναι τα αγαθά (μέρη) του ΠΣ που χρειάζονται προστασία; Ποιοι είναι οι υπεύθυνοι για την προστασία των αγαθών αυτών και ποιες είναι οι αρμοδιότητές τους; Ποιο είναι το εύρος και ποια τα όρια εφαρμογής της; Πώς θα γίνεται ο έλεγχος της εφαρμογής της; Ποια είναι τα χρονικά πλαίσια που ισχύει η Πολιτική; Summary of some important findings

Περιεχόμενο Πολιτικών Ασφάλειας ΠΣ Οι οδηγίες και τα μέτρα προστασίας που καθορίζει η πολιτική ασφάλειας ΠΣ θα πρέπει να καλύπτουν τις ακόλουθες κατηγορίες απαιτήσεων ασφάλειας: Ζητήματα Προσωπικού Φυσική Ασφάλεια Έλεγχος Πρόσβασης στο ΠΣ Διαχείριση Υλικού και Λογισμικού Νομικές υποχρεώσεις Διαχείριση της Πολιτικής Ασφάλειας Οργανωτική Δομή Σχέδιο Συνέχισης Λειτουργίας

Περιεχόμενο Πολιτικής Ασφάλειας ΠΣ (1): Ζητήματα Προσωπικού Περιεχόμενο Πολιτικής Ασφάλειας ΠΣ (1): Ζητήματα Προσωπικού Στόχος των οδηγιών και των μέτρων ασφάλειας που ανήκουν σε αυτή την κατηγορία είναι η μείωση της επικινδυνότητας που οφείλεται σε ανθρώπινα λάθη, απάτη, κλοπή ή κατάχρηση των πόρων του ΠΣ. Αναφέρονται κυρίως σε: Ρόλους και υπευθυνότητες για την προστασία των αγαθών του ΠΣ Διαδικασίες επιλογής νέου προσωπικού Εκπαίδευση και ενημέρωση των χρηστών Αντιμετώπιση και αναφορά περιστατικών παραβίασης της ασφάλειας

Περιεχόμενο Πολιτικής Ασφάλειας ΠΣ (2): Φυσική Ασφάλεια Περιεχόμενο Πολιτικής Ασφάλειας ΠΣ (2): Φυσική Ασφάλεια Τα μέτρα που υποστηρίζουν τη φυσική ασφάλεια έχουν ως κύριο στόχο την αποτροπή της μη εξουσιοδοτημένης πρόσβασης στους χώρους του ΠΣ και της καταστροφής των αγαθών του. Αναφέρονται κυρίως σε: Έλεγχο φυσικής πρόσβασης σε κρίσιμους χώρους (π.χ. Server room) Προστασία της υγείας των χρηστών (safety)

Περιεχόμενο Πολιτικής Ασφάλειας ΠΣ (3): Έλεγχος Πρόσβασης Η πρόσβαση των χρηστών του ΠΣ στις πληροφορίες, τα υπολογιστικά συστήματα και τις εφαρμογές θα πρέπει να καθορίζεται με βάση τις επιχειρηματικές ανάγκες και τις απαιτήσεις ασφάλειας. Συχνά εφαρμόζεται η αρχή “need to know” για την απονομή δικαιώματος πρόσβασης στους χρήστες.

Προμήθεια και Συντήρηση Υλικού Περιεχόμενο Πολιτικής Ασφάλειας ΠΣ (4): Διαχείριση Υλικού και Λογισμικού Προμήθεια και Συντήρηση Υλικού Οι οδηγίες αυτές στοχεύουν στη διατήρηση του επιθυμητού επιπέδου ασφάλειας, προσδιορίζοντας τις διαδικασίες για την αγορά και τη συντήρηση του υλικού (π.χ. απαίτηση προμήθειας πιστοποιημένων προϊόντων) Ανάπτυξη και Συντήρηση Λογισμικού Οι οδηγίες που περιλαμβάνονται πρέπει να καλύπτουν τις ακόλουθες περιπτώσεις: Αγορά έτοιμων προϊόντων (πακέτων λογισμικού) από εξωτερικούς προμηθευτές Ανάπτυξη και συντήρηση λογισμικού από αναδόχους Εσωτερική ανάπτυξη και συντήρηση των εφαρμογών

Περιεχόμενο Πολιτικής Ασφάλειας ΠΣ (5): Νομικές Απαιτήσεις Συμμόρφωση με το νομικό και κανονιστικό πλαίσιο, όπως: Ο Νόμος 2472 του 1997 για την “Προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα”. Οι νόμοι για την προστασία των πνευματικών δικαιωμάτων Οι αποφάσεις των Ανεξάρτητων Διοικητικών Αρχών, όπως η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, η Εθνική Επιτροπή Τηλεπικοινωνιών, η Αρχή Διασφάλισης του Απορρήτου των Επικοινωνιών

Περιεχόμενο Πολιτικής Ασφάλειας ΠΣ (6): Διαδικασίες Διαχείρισης της Πολιτικής Ασφάλειας Η Πολιτική Ασφάλειας θα πρέπει να προσδιορίζει και τις απαιτούμενες δραστηριότητες για την εφαρμογή της, που αφορούν: Την αξιολόγηση και αναθεώρηση της Πολιτικής Τον έλεγχο εφαρμογής της και τον καθορισμό των ενεργειών που προβλέπονται στις περιπτώσεις μη τήρησής της από τους χρήστες

Περιεχόμενο Πολιτικής Ασφάλειας ΠΣ (7): Οργανωτική Δομή Για να εφαρμοστεί η Πολιτική Ασφάλειας θα πρέπει να υπάρχει η αντίστοιχη οργανωτική και διοικητική δομή Δημιουργία των κατάλληλων ρόλων και κατανομή υπευθυνοτήτων (π.χ. Υπεύθυνος Ασφάλειας) Δημιουργία διαδικασιών για τον εντοπισμό και την αναφορά περιστατικών παραβίασης της ασφάλειας

Περιεχόμενο Πολιτικής Ασφάλειας ΠΣ (8): Σχέδιο Συνέχισης Λειτουργίας Ειδικά στις περιπτώσεις κρίσιμων ΠΣ, η Πολιτική Ασφάλειας πρέπει να περιλαμβάνει οδηγίες που αφορούν τις απαιτούμενες ενέργειες μετά την πραγματοποίηση ενός σημαντικού περιστατικού παραβίασης της ασφάλειας, ώστε οι λειτουργίες του οργανισμού να εξακολουθήσουν να πραγματοποιούνται με κάποιους εναλλακτικούς τρόπους, έως ότου αντιμετωπιστεί το πρόβλημα ασφάλειας του ΠΣ (π.χ. να υπάρχει εφεδρικό Site).

Χαρακτηριστικά Πολιτικών Ασφάλειας ΠΣ (1) Όταν αναπτύσσουμε μια Πολιτική Ασφάλειας, επιδιώκουμε τα ακόλουθα: Οι οδηγίες και τα μέτρα προστασίας να καλύπτουν το σύνολο των αγαθών του ΠΣ και όλες τις λειτουργίες του (πληρότητα) Να λάβουμε υπόψη τη σύγχρονη τεχνολογία και τις διαφαινόμενες εξελίξεις (επικαιρότητα) Με κάποιες τροποποιήσεις ή προσθήκες να μπορεί η Πολιτική να καλύπτει μικρές αλλαγές ή επεκτάσεις στο ΠΣ (γενικευσιμότητα)

Χαρακτηριστικά Πολιτικών Ασφάλειας ΠΣ (2) …και πρέπει να λαμβάνουμε υπόψη ότι η Πολιτική Ασφάλειας απευθύνεται στο σύνολο των μελών του οργανισμού, και θα πρέπει να είναι εύκολα κατανοητή από όλους (σαφήνεια και ευκολία κατανόησης) η περιγραφή των μέτρων ασφάλειας δε θα πρέπει να δεσμεύει τον οργανισμό σε συγκεκριμένα προϊόντα και τεχνολογίες (τεχνολογική ανεξαρτησία) οι απαιτήσεις ασφάλειας πρέπει να καλύπτουν τις ανάγκες του συγκεκριμένου οργανισμού (καταλληλότητα) τα μέτρα προστασίας θα πρέπει να μπορούν να εφαρμοστούν χωρίς να δυσχεραίνουν δυσανάλογα τις δραστηριότητες των χρηστών του ΠΣ (εφαρμοσιμότητα)

Διαμόρφωση Πολιτικών Ασφάλειας ΠΣ: Προσεγγίσεις Ανάλογα με τον οργανισμό και το ΠΣ για το οποίο αναπτύσσουμε μια Πολιτική Ασφάλειας, μπορούμε να ακολουθήσουμε: Την προσέγγιση της ‘υποχρεωτικής’ εφαρμογής: επιτρεπτές ενέργειες θεωρούνται μόνο εκείνες που προβλέπονται και προδιαγράφονται στην Πολιτική Ασφάλειας Την προσέγγιση του ‘διακριτού ελέγχου’: όλες οι ενέργειες που δεν περιλαμβάνονται στις απαγορευμένες θεωρούνται επιτρεπτές και σύμφωνες με την πολιτική Την προσέγγιση της ‘κατά περίπτωση’ εφαρμογής: οι οδηγίες ασφάλειας της Πολιτικής θεωρούνται υποχρεωτικές, υπάρχει όμως η δυνατότητα να παρακαμφθούν κατά περίπτωση

Εφαρμογή Πολιτικών Ασφάλειας ΠΣ: Παράγοντες Επιτυχίας (1) Μια Πολιτική Ασφάλειας ΠΣ επιτυγχάνει καλύτερα τους στόχους της όταν υποστηρίζει τους επιχειρηματικούς στόχους του οργανισμού η ανώτερη διοίκηση του οργανισμού υποστηρίζει και συμμετέχει ενεργά στην εφαρμογή της είναι κατάλληλη για το συγκεκριμένο περιβάλλον όπου εφαρμόζεται (οργανωσιακή κουλτούρα) οι χρήστες εκπαιδεύονται και ενημερώνονται κατάλληλα

Εφαρμογή Πολιτικών Ασφάλειας ΠΣ: Παράγοντες Επιτυχίας (2) …και όταν υπάρχουν διαδικασίες αξιολόγησης της αποτελεσματικότητάς της, ώστε να αναθεωρείται αναλόγως εφαρμόζεται σταδιακά, ανάλογα με το βαθμό της αλλαγής που επιφέρει η εφαρμογή της Πολιτικής στις δραστηριότητες των χρηστών έχουν εύκολη και άμεση πρόσβαση σε αυτήν όλοι οι χρήστες του ΠΣ

Αναθεώρηση των Πολιτικών Ασφάλειας ΠΣ Το περιεχόμενο και οι διαδικασίες εφαρμογής της Πολιτικής Ασφάλειας θα πρέπει να αναθεωρούνται: Σε τακτικά χρονικά διαστήματα (Τακτικές αναθεωρήσεις) Έπειτα από σημαντικά περιστατικά παραβίασης της ασφάλειας, ουσιώδεις αλλαγές στο υλικό ή το λογισμικό, επέκταση ή διασύνδεση του ΠΣ με άλλα συστήματα (Έκτακτες αναθεωρήσεις)

Σύνοψη H Πολιτική Ασφάλειας ΠΣ αποτελεί το βασικό εργαλείο για τη διαχείριση της ασφάλειας των ΠΣ Η ανάπτυξη μιας Πολιτικής απαιτεί την καταγραφή, σε ένα έγγραφο, των βασικών στόχων της ασφάλειας, μαζί με τους τρόπους και τα μέσα επίτευξης των στόχων αυτών Το περιεχόμενο, η μορφή και ο τρόπος εφαρμογής μιας Πολιτικής μπορεί να διαφοροποιηθούν ανάλογα με τον οργανισμό και το ΠΣ Η αποτελεσματική εφαρμογή της εξαρτάται, μεταξύ άλλων, από την υποστήριξη και συμμετοχή της διοίκησης, τη σταδιακή εφαρμογή και τη συμβολή της Πολιτικής στην επίτευξη των στόχων του οργανισμού