Ανάλυση, Αποτίμηση και Διαχείριση Επικινδυνότητας Π.Σ.

Slides:



Advertisements
Παρόμοιες παρουσιάσεις
ΕΠΙΧΕΙΡΗΣΙΑΚΟ ΠΡΟΓΡΑΜΜΑ ΔΙΟΙΚΗΤΙΚΗ ΜΕΤΑΡΡΥΘΜΙΣΗ
Advertisements

ΤΡΟΠΟΣ ΑΞΙΟΛΟΓΗΣΗΣ ΤΩΝ ΟΡΓΑΝΩΤΙΚΩΝ ΚΑΙ ΔΙΟΙΚΗΤΙΚΩΝ ΔΕΞΙΟΤΗΤΩΝ ΤΟΥ ΟΡΓΑΝΙΣΜΟΥ  Εκπαιδευτικό Κεφάλαιο 1.1 Τεχνικές δεξιότητες και προσόντα.
Διαχείριση εργασιακού άγχους στην COMPUSMART Διαχείριση εργασιακού άγχους στην COMPUSMART Ινστιτούτο Εργασίας, Υγείας και Οργάνωσης (I-WHO) Πανεπιστήμιο.
Μάρτιος 2011 Βαρόμετρο ΕΒΕΘ - Καταναλωτές. “Η καθιέρωση ενός αξιόπιστου εργαλείου καταγραφής του οικονομικού, επιχειρηματικού και κοινωνικού γίγνεσθαι.
OHSAS – ΕΛΟΤ 1801.
1 “Ανάπτυξη και Εφαρμογή Ολοκληρωμένου Συστήματος για τον Έλεγχο και την Παρακολούθηση των Μονάδων Επεξεργασίας Αστικών Λυμάτων στην Κύπρο, COMWATER” (Δεκέμβριος.
ΗΜΕΡΙΔΑ «Λόγος και Αντίλογος για την Επιλογή και Αξιολόγηση των Εκπαιδευτικών : Τάσεις και Προβληματισμοί» Σάββατο, 13 Απριλίου 2013 Ανάπτυξη Μηχανισμών.
Οι Μικρομεσαίες Επιχειρήσεις στο περιβάλλον της Βασιλείας ΙΙ
ΕΙΔΙΚΗ ΓΡΑΜΜΑΤΕΙΑ ΔΙΟΙΚΗΤΙΚΗΣ ΜΕΤΑΡΡΥΘΜΙΣΗΣ ΥΠΟΥΡΓΕΙΟ ΕΣΩΤΕΡΙΚΩΝ, ΑΠΟΚΕΝΤΡΩΣΗΣ ΚΑΙ ΗΛΕΚΤΡΟΝΙΚΗΣ ΔΙΑΚΥΒΕΡΝΗΣΗΣ 14 Δεκεμβρίου 2010, Αθήνα 2η Σύνοδος Διευθυντών.
ΕΠΙΧΕΙΡΗΣΙΑΚΟ ΠΡΟΓΡΑΜΜΑ «ΚΑΛΛΙΚΡΑΤΗΣ» ΔΕΚΕΜΒΡΙΟΣ 2011.
ΤΡΟΠΟΣ ΑΞΙΟΛΟΓΗΣΗΣ ΕΝΟΣ ΠΡΟΓΡΑΜΜΑΤΟΣ ΚΙΝΗΤΙΚΟΤΗΤΑΣ
Διαχείριση Έργου Οργάνωση, σχεδιασμός και προγραμματισμός έργων ανάπτυξης λογισμικού.
Επιχειρηματικά Μοντέλα Ανάπτυξης και Προώθησης Δικτύων Οπτικών Ινών
Διαδικασία Προσέγγισης της Διαχείρισης Έργου
ΠΜΣ ΠΡΟΗΓΜΕΝΑ ΣΥΣΤΗΜΑΤΑ ΠΛΗΡΟΦΟΡΙΚΗΣ Κατεύθυνση ΤΕΔΑ Τεχνολογίες Διαχείρισης Ασφάλειας Security Management Engineering Τμήμα Πληροφορικής ΠΑΝΕΠΙΣΤΗΜΙΟ.
Βασίλης Παπαχαρίσης ( /
1 ΠΡΟΤΑΣΕΙΣ ΓΙΑ ΤΗΝ ΟΡΓΑΝΩΤΙΚΗ ΔΟΜΗ ΤΗΣ ΕΡΓΑΣΤΗΡΙΑΚΗΣ ΔΙΕΡΕΥΝΗΣΗΣ ΤΗΣ ΦΥΜΑΤΙΩΣΗΣ ΣΕ ΕΘΝΙΚΟ ΕΠΙΠΕΔΟ Ευάγγελος Μαρίνης Επίτιμος Διευθυντής Μικροβιολογικού.
ΑΣΦΑΛΕΙΑ ΚΡΙΣΙΜΩΝ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΥΠΟΔΟΜΩΝ ΛΙΜΕΝΩΝ
Ορθές Πρακτικές Διανομής Φαρμάκων
Γενική Διεύθυνση Απασχόλησης, Κοινωνικών Υποθέσεων και Ίσων Ευκαιριών
Βαρόμετρο ΕΒΕΘ - Καταναλωτές Σεπτέμβριος “Η καθιέρωση ενός αξιόπιστου εργαλείου καταγραφής του οικονομικού, επιχειρηματικού και κοινωνικού γίγνεσθαι.
ΒΑΡΟΜΕΤΡΟ ΕΒΕΘ – ΣΕΠΤΕΜΒΡΙΟΣ 2014 AD – HOC ΕΡΩΤΗΣΕΙΣ.
Σύμφωνα με τον ΣΕΒ, αναμένεται να παρουσιάσουν ζήτηση μέχρι το 2020 Πηγή:
Χρησιμότητα & Τρόποι Αξιοποίησης από τους Διαπραγματευτές των μερών
ΙΣΟΛΟΓΙΣΜΟΣ ΒΑΣΕΙ Δ.Λ.Π. (ΕΝΑΡΞΗΣ)
Συντάχθηκε για λογαριασμό του Τηλεοπτικού Σταθμού ΑΝΤ1 Οκτώβριος 2011 © ΚΥΠΡΙΑΚΟ ΒΑΡΟΜΕΤΡΟ.
ΠΛΗΡΟΦΟΡΙΑΚΑ ΣΥΣΤΗΜΑΤΑ
Στοιχεία Διοίκησης Επιχειρήσεων
Η επιρροή του χώρου εργασίας των σχολικών τάξεων στη μάθηση
Βαρόμετρο ΕΒΕΘ Μάρτιος “Η καθιέρωση ενός αξιόπιστου εργαλείου καταγραφής του οικονομικού, επιχειρηματικού και κοινωνικού γίγνεσθαι του Νομού Θεσσαλονίκης”
2006 GfK Praha CORRUPTION CLIMATE IN EUROPE % % % %0 - 10% % % % % % ΚΛΙΜΑ ΔΙΑΦΘΟΡΑΣ Η.
Βαρόμετρο ΕΒΕΘ Μάρτιος “Η καθιέρωση ενός αξιόπιστου εργαλείου καταγραφής του οικονομικού, επιχειρηματικού και κοινωνικού γίγνεσθαι του Νομού Θεσσαλονίκης”
«ΣΧΕΔΙΑΣΜΟΣ ΠΡΟΓΡΑΜΜΑΤΩΝ ΜΑΡΚΕΤΙΝΓΚ »
Βαρόμετρο ΕΒΕΘ Σεπτέμβριος “Η καθιέρωση ενός αξιόπιστου εργαλείου καταγραφής του οικονομικού, επιχειρηματικού και κοινωνικού γίγνεσθαι του Νομού.
Βαρόμετρο ΕΒΕΘ Μάρτιος “Η καθιέρωση ενός αξιόπιστου εργαλείου καταγραφής του οικονομικού, επιχειρηματικού και κοινωνικού γίγνεσθαι του Νομού Θεσσαλονίκης”
ΕΡΕΥΝΑ ΕΚΘΕΤΩΝ-ΕΠΙΣΚΕΠΤΩΝ KAVALAEXPO 2014
ΜΑΘΗΜΑ: ΔΙΑΧΕΙΡΗΣΗ ΕΦΟΔΙΑΤΙΚΗΣ ΑΛΥΣΙΔΑΣ.  E.R.P μπορούμε να πούμε ότι είναι ένα επιχειρησιακό εργαλείο ελέγχου, παρακολούθησης και συντονισμού των διαδικασιών.
ΕΙΣΑΓΩΓΗ ΣΤΑ ΓΕΩΓΡΑΦΙΚΑ ΣΥΣΤΗΜΑΤΑ ΠΛΗΡΟΦΟΡΙΩΝ
ΑΘΗΝΑ 5 ΟΚΤΩΒΡΙΟΥ 2006 ΔΙΑΧΕΙΡΙΣΤΙΚΗ ΑΡΧΗ ΚΠΣ ΚΡΙΤΗΡΙΑ ΔΙΑΧΕΙΡΙΣΤΙΚΗΣ ΕΠΑΡΚΕΙΑΣ ΔΙΚΑΙΟΥΧΩΝ ΠΡΟΓΡΑΜΜΑΤΙΚΗΣ ΠΕΡΙΟΔΟΥ
1 Διαχείριση Πελατειακών Σχέσεων CRM Μάθημα 3 ο : − Τα 5P του CRM Μάθημα 3 ο : − Τα 5P του CRM.
Μοντέλα Συστημάτων Παρουσιάσεις των συστημάτων των οποίων οι απαιτήσεις αναλύονται.
Ανάπτυξη Πρωτοτύπου Λογισμικού
Βαρόμετρο ΕΒΕΘ - Καταναλωτές Μάρτιος “Η καθιέρωση ενός αξιόπιστου εργαλείου καταγραφής του οικονομικού, επιχειρηματικού και κοινωνικού γίγνεσθαι.
Διαχείριση Έργων Πληροφορικής
Αποτελέσματα Αξιολόγησης Προγράμματος Σπουδών Σπύρος Κοκολάκης Τμ. Μηχ/κών Πληροφοριακών και Επικοινωνιακών Συστημάτων.
Διοίκηση Πληροφοριακών Συστημάτων
Βαρόμετρο ΕΒΕΘ Σεπτέμβριος “Η καθιέρωση ενός αξιόπιστου εργαλείου καταγραφής του οικονομικού, επιχειρηματικού και κοινωνικού γίγνεσθαι του Νομού.
Ανάλυση, Αποτίμηση και Διαχείριση Επικινδυνότητας Π.Σ.
Μεθοδολογίες και Εργαλεία Ανάλυσης και Σχεδιασμού Π.Σ. Σπύρος Κοκολάκης ΠΑΝΕΠΙΣΤΗΜΙΟ ΑΙΓΑΙΟΥ ΤΜΗΜΑ ΜΗΧΑΝΙΚΩΝ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΚΑΙ ΕΠΙΚΟΙΝΩΝΙΑΚΩΝ.
Στρατηγικοί στόχοι του Δικτύου Μακροχρόνιας Φροντίδας. Tο κεντρικό ζητούμενο ενός συστήματος διοίκησης και διαχείρισης των υπηρεσιών Μακροχρόνιας Φροντίδας.
Τεχνολογία ΛογισμικούSlide 1 Τεχνολογία Απαιτήσεων u Καθορίζει τι θέλει ο πελάτης από ένα σύστημα λογισμικού.
ΔΙΟΙΚΗΣΗ ΑΝΘΡΩΠΙΝΩΝ ΠΟΡΩΝ
Πολιτικές & Διαχείριση Ασφάλειας Δρ. Γιώργος Αγγελινός Ανάλυση, Εκτίμηση & Διαχείριση Κινδύνων.
Επιχειρησιακές Επικοινωνίες και Δημόσιες Σχέσεις Αθανάσιος Σ. Δερμετζόπουλος, MSc. Τμήμα Διοίκησης Επιχειρήσεων Κατ. Διοίκησης Τουριστικών.
Ανάπτυξη – Βελτίωση του Ανθρώπινου Δυναμικού
Επίσημος ορισμός Ποιότητας (πρότυπο ISO 8402) Σύνολο χαρακτηριστικών μιας οντότητας για την ικανοποίηση εκφρασμένων και συνεπαγόμενων αναγκών. Αντικείμενο.
ΠΟΛΙΤΙΚΕΣ ΚΑΙ ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ
Επιχειρηματικός Σχεδιασμός
ΑΣΦΑΛΕΙΑ ΙΑΤΡΙΚΩΝ ΔΕΔΟΜΕΝΩΝ
Διαχείριση Διακινδύνευσης
ΠΟΛΙΤΙΚΕΣ ΚΑΙ ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ
ΣΥΣΤΗΜΑ ΠΟΙΟΤΗΤΑΣ ΛΟΓΙΣΜΙΚΟΥ (QUALITY SYSTEM)
Κύρια βήματα της έρευνας Πρωτόκολλο έρευνας
Διαχείριση Κινδύνου Ενότητα 3: Σχέδιο Διαχείρισης Κινδύνου.
Δ ι α χ ε ί ρ ι σ η Έ ρ γ ο υ P r o j e c t M a n a g e m e n t
Το κόστος Ποιότητας    
ΔΙΟΙΚΗΣΗ ΟΛΙΚΗΣ ΠΟΙΟΤΗΤΑΣ ΚΑΙ ΔΙΑΧΕΙΡΙΣΗ ΠΕΡΙΒΑΛΛΟΝΤΟΣ
Β1. Β1 Β2 Close-to-market projects Τεχνική ωριμότητα Τεχνική διεργασία και «τελευταία λέξη της τεχνολογίας» Κλίμακα και αποτέλεσμα – Τέτοια ώστε.
Γενική Εκτίμηση (άπαξ)
Αξιολόγηση της επίδοσης ενός οργανισμού σε θέματα ασφάλειας
Μεταγράφημα παρουσίασης:

Ανάλυση, Αποτίμηση και Διαχείριση Επικινδυνότητας Π.Σ. Σπύρος Κοκολάκης Πανεπιστήμιο Αιγαίου sak@aegean.gr

Περιεχόμενα Εισαγωγή και βασικές έννοιες Η αναγκαιότητα διαχείρισης της επικινδυνότητας Το πρότυπο ISO 27005 Η μεθοδολογία CRAMM Άλλες μεθοδολογίες Κριτική επισκόπηση

Εισαγωγή Το ενδιαφέρον για την ασφάλεια οδηγεί σε σημαντική έρευνα και ανάπτυξη τεχνικών και εργαλείων Εντούτοις Τα επεισόδια παραβίασης συστημάτων αυξάνουν σε πλήθος και σοβαρότητα

Εισαγωγή Συνήθεις δυσκολίες στην ανάπτυξη της ασφάλειας Π.Σ. σε επιχειρήσεις/οργανισμούς: Δυσκολία αιτιολόγησης κόστους ασφάλειας Δυσκολία επικοινωνίας με διοικητικά στελέχη Δυσκολία εξασφάλισης ενεργητικής συμμετοχής χρηστών και διαρκούς υποστήριξης από τη διοίκηση Αντίληψη ότι η ασφάλεια είναι μόνο τεχνικό ζήτημα Δυσκολία ανάπτυξης ολοκληρωμένου και αποτελεσματικού σχεδίου ασφάλειας Π.Σ. Προσδιορισμός και αποτίμηση οργανωσιακών επιπτώσεων από την εφαρμογή του σχεδίου ασφάλειας Π.Σ.

Η έννοια της επικινδυνότητας Η Επικινδυνότητα (Ε) ορίζεται ως το γινόμενο της Πιθανότητας (Π) πραγματοποίησης ενός επεισοδίου ασφάλειας επί το (οικονομικό ή άλλο) Κόστος (Κ) που θα επιφέρει, ήτοι Ε = Π x Κ

Επικινδυνότητα και συναφείς έννοιες Αγαθό έχει Ευπάθεια Απειλή αξιοποιεί οδηγεί Επίπτωση επιφέρει Επικινδυνότητα υπολογίζουν Αντίμετρο ελαττώνει Συνέπεια

Αποτίμηση της επικινδυνότητας Αξία των στοιχείων του συστήματος, τα οποία εφόσον έχουν αξία αποκαλούνται αγαθά (assets). Η αξία είναι συνάρτηση της επίπτωσης από την προσβολή του αγαθού Πιθανότητα εκδήλωσης μίας απειλής Πιθανότητα αξιοποίησης μίας ευπάθειας και πραγματοποίησης της απειλής

Ανάλυση επικινδυνότητας Ανάλυση χωριστά κάθε παράγοντα (αξία αγαθών, πιθανότητα απειλής, σοβαρότητα ευπαθειών). Σύνθεση των παραγόντων για τον υπολογισμό του βαθμού επικινδυνότητας Υιοθετεί την πα-ραδοσιακή (θετι-κιστική) μέθοδο του αναγωγισμού. Βασίζεται στην στατιστική Bayes

Διαχείριση Επικινδυνότητας Η Διαχείριση Επικινδυνότητας ως μεθοδολογία Διαχείριση επικινδυνότητας = Ανάλυση επικινδυνότητας + Αντιμετώπιση της επικινδυνότητας

Διαχείριση Επικινδυνότητας (συνεχ.) Μετά την ανάλυση επικινδυνότητας: Επιλογή αντιμέτρων (countermeasures) Καθορισμός πολιτικής ασφάλειας Σύνταξη σχεδίου ασφάλειας Εφαρμογή και παρακολούθηση Σχεδίου Ασφάλειας Σχέδιο ασφάλειας = Πολιτική ασφάλειας + Μέτρα προστασίας + Στρατηγική εφαρμογής

Περιορισμός επικινδυνότητας Μπορούμε να μηδενίσουμε την επικινδυνότητα; Μηδενική επικινδυνότητα συνεπάγεται μηδενική αξία των στοιχείων του συστήματος ή μηδενική πιθανότητα πραγματοποίηση μιας απειλής. Π.χ. διαθέτουμε λογισμικό που, όμως, δεν μπορούμε να προστατεύσουμε από πειρατεία. Αλλάζουμε το επιχειρηματικό μας σχέδιο και το προσφέρουμε δωρεάν Στόχος: ο περιορισμός της επικινδυνότητας σε "ανεκτά" επίπεδα. Σύνηθες κριτήριο: κόστος αντιμέτρων/μείωση επικινδυνότητας

Τρόποι διαχείρισης επικινδυνότητας Μείωση πιθανότητας εκδήλωσης απειλών Αντιμετώπιση ευπαθειών Περιορισμός επιπτώσεων Ανάκαμψη Μεταβίβαση επικινδυνότητας Αποδοχή επικινδυνότητας

Συνήθεις δυσκολίες Υποκειμενικότητα αποτίμησης αξίας αγαθών ή αντίστοιχα του μεγέθους των επιπτώσεων Δυναμικό περιβάλλον – δυναμικές, σύμπλοκες και ποικίλες απειλές Η ανθρώπινη συμπεριφορά δύσκολα προβλέπεται και μοντελοποιείται Οι πόροι που διαθέτουμε είναι πεπερασμένοι

Πλεονεκτήματα Διαχείρισης Επικινδυνότητας Αιτιολόγηση κόστους αντιμέτρων Βελτίωση επικοινωνίας ανάμεσα στους ειδικούς της πληροφορικής και τη διοίκηση του οργανισμού Ευέλικτη μεθοδολογία, μπορεί να εφαρμοστεί με ποικίλους τρόπους Καλύπτει τις απαιτήσεις της νομοθεσίας Βοηθά στην κατανόηση του Π.Σ. Αποτελεί την πλέον διαδεδομένη μεθοδολογία

Μειονεκτήματα Διαχείρισης Επικινδυνότητας Στηρίζεται σε ένα απλοϊκό μοντέλο του Π.Σ., αγνοώντας τα ιδιαίτερα χαρακτηριστικά του κάθε οργανισμού Εμπεριέχει σημαντική υποκειμενικότητα, που συχνά συγκαλύπτεται μέσω της αυστηρότητας των μαθηματικών-πιθανοτικών μοντέλων Βασίζεται σε απλές στατιστικές μεθόδους

ISO/IEC 27005 ISO/IEC 27005:2011 “Information Technology – Security Techniques – Information security risk management” Ανήκει στη σειρά προτύπων ISO/IEC 27000 Συμπληρώνει το ISO/IEC 27001

ISO/IEC 27005 – Ροή εργασιών

Καθορισμός περιεχομένου – Context establisment Στόχος: να καθοριστεί ο σκοπός της διεργασίας Είσοδος: οποιαδήποτε σχετική πληροφορία για τον οργανισμό Δράσεις: Καθορισμός των βασικών κριτηρίων (αποτίμηση επικινδυνότητας, επιπτώσεις, αποδοχή επικινδυνότητας) Ορισμός του περιεχομένου και των ορίων Δημιουργία της κατάλληλης οργανωσιακής δομής για την εκτέλεση της διεργασίας Έξοδος: οι προδιαγραφές αυτών των παραμέτρων

Αποτίμηση επικινδυνότητας – Risk assessment Στόχος: η αναγνώριση, ποσοτικοποίηση ή ποιοτική περιγραφή κινδύνων και η προτεραιοποίησή τους Είσοδος: η έξοδος της προηγούμενης διεργασίας Δράσεις: αποτελείται από τρεις υποδιεργασίες (βλ. παρακάτω) Έξοδος: ένας κατάλογος αποτιμημένων κινδύνων με προτεραιότητες σύμφωνα με τα κριτήρια αποτίμησης επικινδυνότητας

Αναγνώριση κινδύνου – Risk identification Στόχος: να καθοριστεί τι θα μπορούσε να συμβεί που θα προκαλούσε μία πιθανή απώλεια και να γίνει σαφές το πώς, πού και γιατί θα μπορούσε να υπάρξει απώλεια Είσοδος: η έκταση και τα όρια της αποτίμησης επικινδυνότητας, κατάλογος αγαθών, πληροφορίες για πιθανές απειλές, τεκμηρίωση υπαρχόντων μέτρων ασφάλειας, ενδεχομένως προϋπάρχοντα σχέδια αντιμετώπισης κινδύνων, κατάλογος επιχειρησιακών διεργασιών.

Αναγνώριση κινδύνου – Risk identification (συνέχεια) Δράσεις: Αναγνώριση αγαθών Αναγνώριση απειλών Αναγνώριση υφιστάμενων μέτρων προστασίας Αναγνώριση αδυναμιών Αναγνώριση συνεπειών

Αναγνώριση κινδύνου – Risk identification (συνέχεια) Έξοδος: κατάλογος αγαθών που χρήζουν προστασίας, σχετικές επιχειρησιακές διεργασίες, σχετικές απειλές, κατάλογος υφιστάμενων και σχεδιαζόμενων μέτρων ασφάλειας, κατάλογος ευπαθειών σχετιζόμενων με τα αγαθά και τις αναγνωρισμένες απειλές, κατάλογος ευπαθειών που δεν σχετίζονται με καμιά αναγνωρισμένη απειλή, κατάλογος σεναρίων επεισοδίων με τις επιπτώσεις τους, τα σχετικά αγαθά και τις σχετικές επιχειρησιακές διεργασίες.

Ανάλυση επικινδυνότητας – Risk analysis Ποσοτική ή ποιοτική Είσοδος: η έξοδος της διεργασίας αναγνώρισης κινδύνου Δράσεις: Αξιολόγηση συνεπειών Αξιολόγηση πιθανότητας επεισοδίου Καθορισμός επιπέδου επικινδυνότητας Έξοδος: κατάλογος κινδύνων με καθορισμένα επίπεδα επικινδυνότητας

Αξιολόγηση επικινδυνότητας – Risk evaluation Στόχος: να ληφθούν αποφάσεις για μελλοντικές ενέργειες Είσοδος: η έξοδος της διεργασίας ανάλυσης επικινδυνότητας Δράσεις: σύγκριση των επιπέδων επικινδυνότητας με τα κριτήρια αξιολόγησης επικινδυνότητας και τα κριτήρια αποδοχής επικινδυνότητας που καθορίστηκαν από τη διεργασία «Καθορισμός περιεχομένου» Έξοδος: κατάλογος κινδύνων με προτεραιότητες

Αντιμετώπιση επικινδυνότητας – Risk treatment

Αντιμετώπιση επικινδυνότητας – Risk treatment (συνέχεια) Στόχος: η επιλογή μέτρων ασφάλειας για να μειωθεί, να διατηρηθεί, να αποφευχθεί, ή να μεταφερθεί η επικινδυνότητα και ο καθορισμός σχεδίου αντιμετώπισης της επικινδυνότητας Είσοδος: η έξοδος της διεργασίας αποτίμησης επικινδυνότητας Επιλογές αντιμετώπισης: Τροποποίηση Διατήρηση Διαμοιρασμός Συνδυασμοί

Αντιμετώπιση επικινδυνότητας – Risk treatment (συνέχεια) Παράγοντες που επηρεάζουν την απόφαση: Κόστος κάθε φορά που συμβαίνει το σχετικό επεισόδιο Συχνότητα εμφάνισης Στάση απέναντι στον κίνδυνο Ευκολία υλοποίησης των απαιτούμενων μέτρων ασφάλειας Διαθέσιμοι πόροι Τρέχουσες επιχειρησιακές/τεχνολογικές προτεραιότητες Οργανωσιακές και διοικητικές πολιτικές

Αντιμετώπιση επικινδυνότητας – Risk treatment (συνέχεια) Μείωση πιθανότητας εκδήλωσης απειλών Αντιμετώπιση ευπαθειών Περιορισμός επιπτώσεων Ανάκαμψη Μεταβίβαση επικινδυνότητας Αποδοχή επικινδυνότητας

Επικοινωνία και συμβουλευτική – Risk communication and consultation Σκοπός: η επίτευξη συναντίληψης για όλες τις πλευρές της επικινδυνότητας μεταξύ των δικαιούχων (stakeholders) του οργανισμού Είναι απαραίτητη η ύπαρξη καλά καθορισμένου σχεδίου τόσο για κανονικές συνθήκε όσο και για έκτακτη ανάγκη

Παρακολούθηση και αναθεώρηση επικινδυνότητας – Risk monitoring and review Διαρκής διεργασία Σκοπός της παρακολούθησης: η ανίχνευση οποιασδήποτε μείωσης της απόδοσης μηχανισμών και υπηρεσιών και η έναρξη διορθωτικών κινήσεων Συντήρηση μέτρων ασφάλειας Σκοπός της αναθεώρησης: επανυπολογισμός επικινδυνότητας οταν αλλάζουν οι παράγοντες που την επηρεάζουν Εσωτερικοί έλεγχοι

Μέθοδοι Διαχείρισης Επικινδυνότητας Μέθοδος είναι "ο συστηματικός και προγραμματισμένος τρόπος προσεγγίσεως, εξετάσεως, αναλύσεως και ερμηνείας προβλημάτων ή φαινομένων βάσει συγκεκριμένων κανόνων…" Είτε ακολουθούμε το ISO27005, είτε όχι, απαιτείται η υιοθέτηση μιας μεθόδου που θα μας καθοδηγήσει στη διαχείριση της επικινδυνότητας

Μέθοδοι Διαχείρισης Επικινδυνότητας Περισσότερες από 100 διαφορετικές μέθοδοι ανάλυσης ή/και διαχείρισης επικινδυνότητας Π.Σ. CRAMM CORAS SBA Callio Secura MEHARI Proteus OCTAVE RiskWatch MAGERIT EBIOS COBRA

Security by Analysis (SBA) Αναπτύχθηκε στη Σουηδία στις αρχές του ’80. Χρησιμοποιείται έκτοτε με επιτυχία σχεδόν αποκλειστικά στις Σκανδιναβικές χώρες. Δεν έχει προσαρμοστεί στο ISO 27005 Δέχεται ότι οι άνθρωποι που συμμετέχουν στην καθημερινή λειτουργία του Π.Σ. έχουν τις περισσότερες πιθανότητες να εντοπίσουν τα προβλήματα και να προτείνουν λύσεις. Αποτελείται από ένα σύνολο μεθόδων με κυριότερες τις SBA Check και SBA Scenario.

SBA Check Ταχεία αποτίμηση του επιπέδου ασφάλειας του Π.Σ. Στηρίζεται σε ερωτηματολόγια. Έχει ως σημείο αναφοράς το ISO/IEC 27002. Υποστηρίζεται από ειδικό λογισμικό.

SBA Scenario Τρεις επιλογές Main analysis: Πλήρης ανάλυση με στόχο τον προσδιορισμό της πιθανότητας πραγματοποίησης ενός επεισοδίου ασφάλειας και την εκτίμηση του κόστους, με αναλυτικές αριθμητικές μεθόδους. Ten analysis: Ταχεία ανάλυση με την πιθανότητα και το κόστος να προσδιορίζονται στη κλίμακα 1-10. Risk window: Συνοπτική ανάλυση βασισμένη σε μία ποιοτική κλίμακα τεσσάρων βαθμίδων.

Στάδια της SBA Scenario Προετοιμασία (Preparation) Σενάρια (Scenarios) Σύνοψη (Overview) Σχέδιο δράσης (Action plan)

Στάδιο 1: Προετοιμασία Συγκρότηση ομάδων ανάλυσης και διδασκαλία της SBA. Ο ρόλος του ειδικού περιορίζεται στη διδασκαλία της μεθόδου και στο συντονισμό των εργασιών της ομάδας. Χρονοδιάγραμμα, καταγραφή, οριοθέτηση, προσδιορισμός ρόλων, διαμόρφωση συναντίληψης κ.λπ.

Στάδιο 2: Σενάριο Εντοπισμός πιθανών σεναρίων Ανάλυση επικινδυνότητας Δημιουργική φάση εργασίας Ανάλυση επικινδυνότητας Αναλυτική περιγραφή κάθε σεναρίου και καταγραφή όλων των διαθέσιμων στοιχείων που αφορούν το σενάριο. Εκτίμηση πιθανότητας πραγματοποίησης Διαχείριση επικινδυνότητας Προσδιορισμός ευπαθειών που συνδέονται με το σενάριο Επιλογή αντιμέτρων και κοστολόγησή τους

Στάδιο 3: Σύνοψη Καθορισμός προτεραιοτήτων υλοποίησης Προτεραιότητες βάσει των επιπτώσεων (από ενδεχόμενη υλοποίηση του σεναρίου, απουσία των αντιμέτρων) Προτεραιότητες βάσει της μείωσης της επικινδυνότητας που επιτυγχάνεται με την υλοποίηση του αντιμέτρου

Στάδιο 4: Σχέδιο δράσης Κατάρτιση ενός συνολικού σχεδίου δράσης για την ασφάλεια του Π.Σ. και καθορισμός υπευθύνων για την υλοποίηση των μέτρων προστασίας.

Πλεονεκτήματα SBA Υιοθετεί μία ολιστική προσέγγιση του ζητήματος της ασφάλειας. Η ανάλυση γίνεται από τους ίδιους ανθρώπους που χρησιμοποιούν καθημερινά το σύστημα. Είναι αρκετά απλή, κατανοητή από μη-ειδικούς και μπορεί να υλοποιηθεί με μικρό κόστος. Υποστηρίζεται από απλό και εύχρηστο λογισμικό.

Μειονεκτήματα SBA Στηρίζεται σε μεγάλο βαθμό στις ικανότητες, τη φαντασία και τη διάθεση για συνεισφορά των ανθρώπων που εμπλέκονται. Προϋποθέτει την ανάπτυξη ανθρωποκεντρικής και συμμετοχικής κουλτούρας.

Η μέθοδος CRAMM CRAMM, CCTA Risk Analysis and Management Method Η τελευταία έκδοση (V5.0) κυκλοφόρησε το 2003 Νέα έκδοση (V5.2) το 2009 Έχει χρησιμοποιηθεί σε εκατοντάδες μελέτες διεθνώς Παρέχει κατάλογο απειλών και αντιμέτρων

Μέτρηση της επικινδυνότητας Η μέτρηση της επικινδυνότητας (σε κλίμακα 1:7) γίνεται: Με αποτίμηση περιουσιακών στοιχείων (κλίμακα 1:10), βάσει των επιπτώσεων στον οργανισμό Με αξιολόγηση απειλών (κλίμακα 1:5) Με αξιολόγηση ευπαθειών (κλίμακα 1:3)

Στάδια και βήματα της CRAMM Σ1: Προσδιορισμός και αξιολόγηση των αγαθών (assets) – Μοντελοποίηση Π.Σ., Αποτίμηση στοιχείων Π.Σ., Επιβεβαίωση και επικύρωση Σ2: Ανάλυση της Επικινδυνότητας – Προσδιορισμός απειλών για κάθε αγαθό – Εκτίμηση απειλών και αδυναμιών – Υπολογισμός Επικινδυνότητας – Επιβεβαίωση και επικύρωση Σ3: Διαχείριση της Επικινδυνότητας – Προσδιορισμός λίστας προτεινόμενων αντιμέτρων – Κατάρτιση Σχεδίου Ασφάλειας

Στάδιο 1 – Βήμα 1.1 Στάδιο 1: Προσδιορισμός και αξιολόγηση αγαθών – Βήμα 1.1: Δημιουργία του μοντέλου του Π.Σ. Προσδιορισμός των δεδομένων που επεξεργάζεται το Π.Σ. και ομαδοποίηση Προσδιορισμός των υλικών στοιχείων (physical assets) Προσδιορισμός των χώρων και των εγκαταστάσεων Προσδιορισμός του λογισμικού Δημιουργία μοντέλων που συσχετίζουν τα ανωτέρω

Στάδιο 1 – Βήμα 1.2 Στάδιο 1: Προσδιορισμός και αξιολόγηση αγαθών – Βήμα 1.2: Αποτίμηση των στοιχείων του Π.Σ. Κλίμακα 1-10 Εξέταση και αποτίμηση επιπτώσεων Συνεντεύξεις χρηστών Επεξεργασία από το λογισμικό της CRAMM

Στάδιο 1 – Βήμα 1.2 Εξεταζόμενες περιπτώσεις Μη-διαθεσιμότητα Καταστροφή Αποκάλυψη Μη-εξουσιοδοτημένη μεταβολή Ηθελημένη μεταβολή Λάθη μετάδοσης δεδομένων Χρηματική αξία υλικού/λογισμικού (κόστος αντικατάστασης)

Στάδιο 1 – Βήμα 1.2 Επιπτώσεις Σωματική ακεραιότητα και ζωή φυσικών προσώπων Δυσαρέσκεια από έκθεση προσωπικών πληροφοριών Νομικές επιπτώσεις Παρεμπόδιση δικαιοσύνης Οικονομικές απώλειες Διατάραξη δημόσιας τάξης Μη-εφαρμογή πολιτικής οργανισμού Απώλεια της εμπιστοσύνης του κοινού Υπολογισμός αξίας αγαθών, αξιοποιώντας και το μοντέλο.

Στάδιο 1 – Βήμα 1.3 Στάδιο 1: Προσδιορισμός και αξιολόγηση αγαθών – Βήμα 1.3: Επιβεβαίωση και επικύρωση της αποτίμησης Παρουσίαση αποτελεσμάτων πρώτου Σταδίου στη διοίκηση υπό μορφή αναφοράς Σύσκεψη επικύρωσης αποτελεσμάτων

Στάδιο 2 – Βήμα 2.1 Στάδιο 2: Ανάλυση Επικινδυνότητας – Βήμα 2.1: Προσδιορισμός των απειλών που αφορούν το κάθε αγαθό Σύνδεση κάθε αγαθού με συγκεκριμένες κατηγορίες απειλών

Στάδιο 2 – Βήμα 2.2 Στάδιο 2: Ανάλυση Επικινδυνότητας – Βήμα 2.2: Εκτίμηση απειλών και αδυναμιών Συμπλήρωση ερωτηματολογίων εκτίμησης απειλών και αδυναμιών Αυτόματη (από το εργαλείο) αποτίμηση απειλών (κλίμακα 1-5) και αδυναμιών (κλίμακα 1-3) Επιβεβαίωση ή/και διόρθωση των τιμών από τους αναλυτές

Στάδιο 2 – Βήμα 2.3 Στάδιο 2: Ανάλυση Επικινδυνότητας – Βήμα 2.3: Υπολογισμός επικινδυνότητας για κάθε συνδυασμό αγαθού-απειλής Αυτόματος (από το εργαλείο) υπολογισμός ενός βαθμού επικινδυνότητας (σε κλίμακα 1-7) για κάθε ζεύγος αγαθού-απειλής.

Στάδιο 2 – Βήμα 2.4 Στάδιο 2: Ανάλυση Επικινδυνότητας – Βήμα 2.4: Επιβεβαίωση και επικύρωση του Βαθμού Επικινδυνότητας Παρουσίαση σε μορφή αναφοράς της ανάλυσης επικινδυνότητας. Επιβεβαίωση της αποτίμησης από τη Διοίκηση σε κοινή σύσκεψη εργασίας με τους αναλυτές.

Στάδιο 3 – Βήμα 3.1 Στάδιο 3: Διαχείριση Επικινδυνότητας – Βήμα 3.1: Προσδιορισμός της λίστας των προτεινόμενων αντιμέτρων Αυτόματη παραγωγή (από το εργαλείο) λίστας προτεινόμενων αντιμέτρων. Επιλογή μέτρων προς υλοποίηση

Στάδιο 3 – Βήμα 3.1 Η επιλογή βασίζεται στα εξής κριτήρια: Επίδραση αντιμέτρων στη λειτουργία του Οργανισμού Διαθέσιμος προϋπολογισμός Κόστος εφαρμογής και διαχείρισης αντιμέτρων (χρηματικό και σε ανθρώπινους πόρους) Άποψη της Διοίκησης και στόχοι του Οργανισμού Ενδείξεις για μελλοντική ένταση ή ύφεση των απειλών Αποτελεσματικότητα αντιμέτρων

Στάδιο 3 – Βήμα 3.1 Κατηγορίες αντιμέτρων σε φθίνουσα σειρά αποτελεσματικότητας Μείωση των απειλών Μείωση των αδυναμιών Μείωση της επίπτωσης Ανίχνευση της παραβίασης Ανάκαμψη (recovery)

Στάδιο 3 – Βήμα 3.1 Καταστάσεις αντιμέτρων Ήδη εγκατεστημένο (installed) Επιλεγμένο για εγκατάσταση (to be installed) Υπό υλοποίηση (implementing recommendation) Έχει υλοποιηθεί (implemented recommendation) Έχει ήδη καλυφθεί από άλλο αντίμετρο (already covered) Αναλαμβάνεται η επικινδυνότητα και δεν υλοποιείται (accept level of risk) Υπό συζήτηση (under discussion) Μη εφαρμόσιμο (not applicable)

Στάδιο 3 – Βήμα 3.2 Στάδιο 3: Διαχείριση Επικινδυνότητας – Βήμα 3.2: Κατάρτιση σχεδίου/πλάνου ασφάλειας Σύνταξη σχεδίου ασφάλειας, το οποίο περιλαμβάνει: (α) Πολιτική Ασφάλειας, (β) Κατάλογος Αντιμέτρων, (γ) Στρατηγική εφαρμογής Κατάθεση του Σχεδίου στη Διοίκηση και επικύρωσή του σε κοινή σύσκεψη

Προϋποθέσεις επιτυχίας Συμμετοχή και υποστήριξη της ανώτερης Διοίκησης Συμμετοχή στελεχών του Οργανισμού Ορθή επιλογή δείγματος στελεχών για την πραγματοποίηση συνεντεύξεων Ακριβής οριοθέτηση της μελέτης

Πλεονεκτήματα CRAMM Καλύπτει όλες τις φάσεις της ανάλυσης και διαχείρισης επικινδυνότητας Καλύπτει όλες τις συνιστώσες ασφάλειας (π.χ. θέματα προσωπικού, διαδικασιών, τεχνικά θέματα, φυσική ασφάλεια κ.ά.) Έχει δοκιμαστεί με επιτυχία και υπάρχει μεγάλη διεθνής εμπειρία Συνοδεύεται από ειδικό εργαλείο που διευκολύνει την εφαρμογή της και παρέχει μία μεγάλη βιβλιοθήκη αντιμέτρων

Μειονεκτήματα CRAMM Στηρίζεται σε μεγάλο βαθμό στη συνεργασία με τους χρήστες και τη διοίκηση του οργανισμού και τις δικές τους (υποκειμενικές απόψεις) Έχει υψηλό κόστος εφαρμογής (χρόνος και ανθρώπινη προσπάθεια) Στηρίζεται σε ένα πολύ απλοϊκό μοντέλο του πληροφοριακού συστήματος Εστιάζει ουσιαστικά μόνο στα δεδομένα και λαμβάνει υπόψη τους ανθρώπους μόνο ως πηγές απειλών

Μειονεκτήματα CRAMM Απαιτεί αρκετές φορές την επέμβαση του αναλυτή και την προσαρμογή των αποτελεσμάτων των αυτόματων υπολογισμών Το τελικό αποτέλεσμα στηρίζεται σε μεγάλο βαθμό σε υποκειμενικές εκτιμήσεις, οι οποίες όμως συχνά δεν γίνονται αντιληπτές ως τέτοιες. Απαιτεί επεξεργασία των προτεινόμενων αντιμέτρων για την προσαρμογή τους στα ιδιαίτερα χαρακτηριστικά του υπό μελέτη Π.Σ. Τα περισσότερα αντίμετρα είναι πολύ γενικά.

Κριτήρια επιλογής κατάλληλης μεθόδου Να ανταποκρίνεται στο μέγεθος και τη συμπλοκότητα του Π.Σ. Να έχει χαμηλότερο κόστος εφαρμογής Να ταιριάζει στα οργανωσιακά χαρακτηριστικά και την κουλτούρα του οργανισμού Να υποστηρίζεται από εξειδικευμένο λογισμικό Να εφαρμοστεί από αναλυτές με εμπειρία στη συγκεκριμένη μέθοδο Να καλύπτει όλους τους παράγοντες που συνδέονται με την ασφάλεια Π.Σ. (τεχνικούς και κοινωνικούς)

Μελέτη περίπτωσης: ΕΤΟ Α.Ε. Έμπιστη Τρίτη Οντότητα Α.Ε. Αρχή Πιστοποίησης: Παροχή και διαχείριση ψηφιακών πιστοποιητικών. Θυγατρική ελληνικής τράπεζας Μικρή ομάδα ειδικών πληροφορικής, έλλειψη στελεχών πληροφορικής Ανάθεση μελέτης ασφάλειας Αρχής Πιστοποίησης σε αναδόχους

Επιλογή μεθόδου CRAMM διότι: Εμπειρία της ομάδας μελέτης στην εφαρμογή της μεθόδου Η CRAMM είναι αναγνωρισμένη και γίνεται αποδεκτή με ευκολία Θεωρείται κατάλληλη για εφαρμογές αυτού του μεγέθους Περιέχει μία ιδιαίτερα πλούσια βιβλιοθήκη αντιμέτρων

Εφαρμογή: γενικά Πρώτες διαπιστώσεις/εκτιμήσεις: Στρατηγική: Η Δνση πληροφορικής διαθέτει 6-7 άτομα και δεν έχει κερδίσει την εμπιστοσύνη της διοίκησης Μεσαία και ανώτερα διοικητικά στελέχη με θετική προδιάθεση, αλλά χωρίς τεχνικές γνώσεις Στρατηγική: Εμπλοκή στο έργο της ανώτερης διοίκησης Συμμετοχή σε όλες τις συνεντεύξεις ενός στελέχους της Δνσης Πληροφορικής (μεταφορά τεχνογνωσίας, διευκολύνσεις στη διεξαγωγή των συνεντεύξεων) Προσεκτική οριοθέτηση της μελέτης

Εφαρμογή CRAMM: Στάδιο 1 Στάδιο 1: Προσδιορισμός και αξιολόγηση των αγαθών Καταγραφή με τη βοήθεια της Δνσης Πληροφορικής Αξιολόγηση βάσει συνεντεύξεων με στελέχη Δνσης Πληροφορικής, Γενικού Δντη, Δντη Πωλήσεων και Μάρκετινγκ, Δνσης Οργάνωσης Αξιολόγηση: Δεδομένων (διαθεσιμότητα, εμπιστευτικότητα, ακεραιότητα) Υλικού (κόστος αντικατάστασης) Λογισμικού (κόστος αντικατάστασης)

Εφαρμογή CRAMM: Στάδιο 1 Δεδομένα: Ιδιωτικό Κλειδί (private key) και Πιστοποιητικό ΕΤΟ (certificate) Πληροφορίες Καταλόγου (directory services) Δημόσιες Πληροφορίες Διοικητικά Δεδομένα

Δεδομένα ΕΤΟ Αγαθό 1 Ωρ 3 Ωρ 12 Ωρ 1 Ημ 2 Ημ Διοικητικά Δεδομένα 1   1 Πληροφορίες Καταλόγου 2 3 Δημόσιες Πληροφορίες Ιδιωτικό Κλειδί

Δεδομένα ΕΤΟ Αγαθό 1 Εβ 2 Εβ 1 Μ 2 Μ ΜΚ Διοικητικά Δεδομένα 3   Πληροφορίες Καταλόγου 5 7 Δημόσιες Πληροφορίες Ιδιωτικό Κλειδί

Δεδομένα ΕΤΟ Αγαθό Ολ ΑΕσ ΑΣ Αεξ Μι Λ Διοικητικά Δεδομένα 3 2 4   Πληροφορίες Καταλόγου 7 Δημόσιες Πληροφορίες Ιδιωτικό Κλειδί 5

Δεδομένα ΕΤΟ Αγαθό Με Λ Ηθ Εισ Αρ ΑπΜ Διοικητικά Δεδομένα 2   2 Πληροφορίες Καταλόγου 5 3 Δημόσιες Πληροφορίες Ιδιωτικό Κλειδί 6

Συντομογραφίες ΦΚ Φυσική Καταστροφή Ολ Ολική καταστροφή (και των εφεδρικών αντιγράφων) 1 Ωρ Απώλεια διαθεσι­ μότητας 1 Ώρα ΑΕσ Αποκάλυψη εντός του οργανισμού 3 Ωρ Απώλεια διαθεσι­ μότητας 3 Ώρες ΑΣ Αποκάλυψη σε συνεργα­ ζόμενους οργανισμούς 12 Ωρ Απώλεια διαθεσι­ μότητας 12 Ώρες ΑΕξ Αποκάλυψη σε τρίτους 1 Ημ Απώλεια διαθεσι­ μότητας 1 Ημέρα ΜιΛ Μικρής έκτασης λάθη 2 Ημ Απώλεια διαθεσι­ μότητας 2 Ημ. ΜεΛ Μεγάλης έκτασης λάθη

Συντομογραφίες 1 Εβ Απώλεια διαθεσι­ μότητας 1 Εβδ. Ηθ Ηθελημένη τροποποίηση 2 Εβ Απώλεια διαθεσι­ μότητας 3 Εβδ. Εισ Εισαγωγή ψευδούς μηνύματος 1 Μ Απώλεια διαθεσι­ μότητας 1 Μήνα Αρ Άρνηση αποστολής μηνύματος 2 Μ Απώλεια διαθεσι­ μότητας 2 Μήνες ΑπΜ Απώλεια Μηνύματος ΜΚ Μερική Καταστροφή  

Εφαρμογή CRAMM: Στάδιο 1 Υλικό: 3 εξυπηρετητές, σταθμοί εργασίας, δικτυακός εξοπλισμός, μέσα αποθήκευσης Συνολικό κόστος αντικατάστασης περί τα 10.000 Ευρώ

Εφαρμογή CRAMM: Στάδιο 1 Λογισμικό: Λειτουργικό σύστημα Εξυπηρετητής ιστού Εξυπηρετητής πιστοποιητικών Λογισμικό υποστήριξης SSL/TLS Διαχειριστής βάσης δεδομένων Εργαλεία αυτοματισμού γραφείου Συνολικό κόστος αντικατάστασης περί τα 15.000 Ευρώ

Εφαρμογή CRAMM: Στάδιο 2 Στάδιο 2: Ανάλυση επικινδυνότητας ·       Πλαστοπροσωπία (Masquerading) ·       Αστοχία λογισμικού δικτύου ·       Μη-εξουσιοδοτημένη χρήση εφαρμογής ·       Αστοχία λογισμικού εφαρμογών ·       Εισαγωγή ιομορφικού λογισμικού ·       Σφάλμα συντήρησης υλικού ·       Τεχνική αστοχία εξυπηρετητή ·       Σφάλμα συντήρησης λογισμικού ·       Διήθηση (filtering) επικοινωνιών ·       Πυρκαγιά

Εφαρμογή CRAMM: Στάδιο 2 ·     Κατάχρηση πόρων συστήματος ·     Πλημμύρα ·     Τεχνική αστοχία μέσου αποθήκευσης ·     Έλλειψη εξειδικευμένου προσωπικού ·     Τεχνική αστοχία εξοπλισμού δικτύου ·     Κλοπή ·     Ηθελημένη πρόκληση βλάβης ·     Τρομοκρατική ενέργεια ·     Απώλεια παροχής ηλεκτρι-κής ενέργειας/πτώση τάσης ·     Διακοπή παροχής υπηρεσίας διαδικτύου

Παράδειγμα εκτίμησης απειλών/αδυναμιών Αγαθό Επίπτωση Απειλή Αδυναμία Πληροφορίες Καταλόγου Απώλεια Δια-θεσιμότητας Υψηλή Μέτρια Πληρ. Καταλ. Αποκάλυψη Ηθελ. Τροπ/ση Παροχή Πιστοποιητικού Πολύ Υψηλή Ηθελημένη Τροποποίηση

Εφαρμογή CRAMM: Στάδιο 2 Σημαντικότερες αδυναμίες (ευπάθειες): Έλλειψη οργανωτικής υποδομής Έλλειψη τεχνογνωσίας ασφάλειας Π.Σ. Ελλιπής φύλαξη κτηρίου Εγκατάσταση στο κέντρο της πόλης Χρήση κοινής δικτυακής υποδομής για ποικιλία εφαρμογών Ελλιπής φυσική προστασία καλωδίωσης Αναξιοπιστία δικτύου παροχής ηλεκτρισμού

Εφαρμογή CRAMM: Στάδιο 2 Υπολογισμός βαθμού επικινδυνότητας, μέγιστες τιμές: Πλαστοπροσωπία χρήστη από εξωτερικούς χρήστες για παροχή πιστοποιητικού Πλαστοπροσωπία χρήστη από εξωτερικούς χρήστες για προσβολή της Ιστοσελίδας Εισαγωγή ιομορφικού λογισμικού στους εξυπηρετητές Διήθηση (filtering) διαδικτυακών επικοινωνιών Πυρκαγιά στο κτήριο της ΕΤΟ Κλοπή βασικού εξοπλισμού Βανδαλισμός, τρομοκρατική ενέργεια

Παράδειγμα: Παροχή πιστοποιητικού Αγαθό Επίπτωση 1Ώρ 3Ώρ 12Ώρ 1Ημ 2Ημ ΑΕξ Ηθ   Απειλή ΠY Αδυναμία M Παροχή Πιστοποιητικού 3 4 6 5 » Κτήριο ΕΤΟ » Δωμάτιο Αρχής Πιστοποίησης » Σκληρός Δίσκος

Εφαρμογή CRAMM: Στάδιο 3 Στάδιο 3: Διαχείριση επικινδυνότητας Το εργαλείο προτείνει περί τα 500 αντίμετρα Πολλά από αυτά μη-εφαρμόσιμα ή πλεονάζοντα Επιλέχθηκαν περί τα 150 και προστέθηκαν αντίμετρα από άλλες πηγές. Επίσης προτάθηκε σαφές και συγκεκριμένο οργανωτικό πλαίσιο διαχείρισης ασφάλειας Π.Σ.

Σχέδιο ασφάλειας Τομείς εστίασης: Δέσμευση της ανώτερης διοίκησης της ΕΤΟ για την προώθηση της ασφάλειας Π.Σ. Καθορισμός νέων ρόλων που αφορούν την ασφάλεια, διανομή τομέων ευθύνης και ανάπτυξη σαφούς οργανογράμματος ασφάλειας Εκπαίδευση του τεχνικού προσωπικού και ενημέρωση του συνόλου του προσωπικού Ενίσχυση της φυσικής ασφάλειας του κτηρίου και του δωματίου που είναι εγκατεστημένοι οι εξυπηρετητές

Σχέδιο ασφάλειας Τομείς εστίασης (συνέχεια): Ενίσχυση της ασφάλειας του δικτύου και εγκατάσταση firewall και συστήματος ανίχνευσης παρεισφρήσεων (intrusion detection system) Εφαρμογή ολοκληρωμένου σχεδίου για τη λήψη και διαχείριση εφεδρικών αντιγράφων δεδομένων Εφαρμογή σχεδίου συνέχειας (business continuity plan) Εφαρμογή της πολιτικής ασφάλειας Π.Σ.

Συμπεράσματα μελέτης περίπτωσης Η ενεργός συμμετοχή της ανώτερης διοίκησης κρίνεται απαραίτητη Η ενεργός συμμετοχή της ανώτερης διοίκησης είναι δύσκολο να επιτευχθεί σε οργανισμούς χωρίς ανεπτυγμένη κουλτούρα πληροφορικής Η οριοθέτηση της μελέτης θα πρέπει να έχει επίσημα επικυρωθεί πριν την έναρξη της ανάλυση επικινδυνότητας Η ομάδα μελέτης θα πρέπει να έχει εξασφαλίσει την αποδοχή των αποτελεσμάτων του κάθε σταδίου πριν προχωρήσει στο επόμενο

Συμπεράσματα μελέτης περίπτωσης Η μελέτη θα πρέπει να λαμβάνει υπόψη το κοινωνικό και οργανωσιακό πλαίσιο λειτουργίας του Π.Σ. Η σχετική αδυναμία της CRAMM είναι εμφανής Η ανάλυση επικινδυνότητας στηρίζεται σε μία περιορισμένη άποψη της ασφάλειας Π.Σ., που εστιάζει στην προστασία των περιουσιακών στοιχείων (αγαθών, assets). Η αξιοποίηση, όμως, της μελέτης απαιτεί αλλαγή της κουλτούρας, αλλά και της δομής του οργανισμού

Σύνοψη Η μεθοδολογία της Ανάλυσης και Διαχείρισης Επικινδυνότητας Οι έννοιες της απειλής (threat), της ευπάθειας (αδυναμίας, vulnerability), του αγαθού (περιουσιακό στοιχείο, asset) και της επίπτωσης (impact) Το πρότυπο ISO/IEC 27005 Εκατοντάδες μέθοδοι. Παραδείγματα: SBA, MEHARI, CRAMM Η πρακτική εφαρμογή απαιτεί κοινωνικές και διοικητικές γνώσεις και ικανότητες επιπλέον των τεχνικών γνώσεων

Ερωτήσεις… Ανάλυση, Αποτίμηση και Διαχείριση Επικινδυνότητας Πληροφοριακών Συστημάτων