Πολιτικές & Διαχείριση Ασφάλειας Δρ. Γιώργος Αγγελινός Συστήματα διαχείρισης της ασφάλειας πληροφοριών.

Παρουσίαση με θέμα: "Πολιτικές & Διαχείριση Ασφάλειας Δρ. Γιώργος Αγγελινός Συστήματα διαχείρισης της ασφάλειας πληροφοριών."— Μεταγράφημα παρουσίασης:

1 Πολιτικές & Διαχείριση Ασφάλειας Δρ. Γιώργος Αγγελινός gaggelinos@ssl-unipi.gr Συστήματα διαχείρισης της ασφάλειας πληροφοριών

2 Μερικές (όχι τόσο γνωστές) διαπιστώσεις… 2 Τμήμα Ψηφιακών Συστημάτων  Μόνο το 1/3 του χρόνου του υπεύθυνου ασφάλειας καταναλώνεται σε τεχνικά θέματα. Τα υπόλοιπα δύο τρίτα καταναλώνονται σε:  ανάπτυξη πολιτικών και διαδικασιών,  εκπόνηση μελετών ανάλυσης κινδύνων,  διαμόρφωση σχεδίων επιχειρησιακής συνέχειας  ανάληψη δράσεων αύξησης της επίγνωσης που έχει το προσωπικό σχετικά με την ασφάλεια,  ελέγχους διασφάλισης της πληροφορίας,  συντήρηση των μέτρων & διαδικασιών κλπ

3 …Μερικές (όχι τόσο γνωστές) διαπιστώσεις…  Η ασφάλεια είναι σαν μια αλυσίδα· είναι τόσο ισχυρή όσο ο πιο αδύναμος κρίκος της, που είναι πάντα οι άνθρωποι και όχι η τεχνολογία.  Οι εργαζόμενοι σε ένα οργανισμό αποτελούν πολύ μεγαλύτερη απειλή για την ασφάλεια πληροφοριών απ’ ό,τι τα πρόσωπα εκτός του οργανισμού.  Ο περιορισμός των εργαζομένων στην αποκάλυψη της πληροφορίας πρέπει να γίνεται συνειδητά και αιτιολογημένα. 3 Τμήμα Ψηφιακών Συστημάτων

4 …Μερικές (όχι τόσο γνωστές) διαπιστώσεις  Το επίπεδο ασφάλειας πληροφοριών σε ένα οργανισμό εξαρτάται από τρεις παράγοντες:  τα αποδεκτά επίπεδα κινδύνου που έχει καθορίσει ο οργανισμός,  τη λειτουργικότητα του πληροφοριακού συστήματος και  το κόστος που προτίθεται ο οργανισμός να πληρώσει για την ασφάλεια. 4 Τμήμα Ψηφιακών Συστημάτων

5 Ολοκληρωμένη διαχείριση  Ποιος…;  Πότε…;  Πώς…;  Πού…;  Γιατί…; Με ποιους τρόπους, διαδικασίες και εργαλεία θα φτάσουμε σε επίπεδο ολοκληρωμένης διαχείρισης της ασφάλειας των πληροφοριών του οργανισμού μας; 5 Τμήμα Ψηφιακών Συστημάτων

6 Η ασφάλεια ως διεργασία  Η ασφάλεια πληροφοριών δεν είναι μια στατική κατάσταση πραγμάτων· είναι μια διεργασία.  Ένα σύνολο αλληλοσυσχετιζόμενων ή αλληλεπιδρωσών δραστηριοτήτων που χρησιμοποιεί πόρους προκειμένου να μετασχηματίσει εισόδους σε εξόδους χρησιμοποιώντας πόρους, αναφέρεται ως διεργασία (process).  Οι κίνδυνοι & η αποτελεσματικότητα των μέτρων ασφάλειας αλλάζουν συν τω χρόνω, σύμφωνα με τις συνθήκες που λειτουργεί ο οργανισμός. 6 Τμήμα Ψηφιακών Συστημάτων

7 Ποιος έχει την ευθύνη;  H πληροφορία αποτελεί περιουσιακό στοιχείο του οργανισμού· ως τέτοιο, η προστασία του αποτελεί ευθύνη της διοίκησης.  Το πρόγραμμα προστασίας των πληροφοριών είναι μια επιχειρησιακή διεργασία σχεδιασμένη ώστε να παρέχει στη διοίκηση τα μέσα για να μπορέσει να ασκήσει τα καθήκοντά της. 7 Τμήμα Ψηφιακών Συστημάτων

8 Επομένως  H ασφάλεια πληροφοριών δεν είναι αμιγώς τεχνικό θέμα, αλλά κυρίως θέμα ανθρώπων και θέμα διαχείρισης (management). 8 Τμήμα Ψηφιακών Συστημάτων

9 Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών  Σύστημα Διαχείρισης (management system) είναι ένα πλαίσιο πολιτικών, διαδικασιών, οδηγιών και των πόρων που απαιτούνται προκειμένου να επιτευχθούν οι στόχοι του οργανισμού.  Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών – ΣΔΑΠ (Information Security Management System – ISMS) είναι εκείνο το τμήμα του συνολικού Συστήματος Διαχείρισης του οργανισμού, που αφορά στην ασφάλεια πληροφοριών. 9 Τμήμα Ψηφιακών Συστημάτων

10 Γιατί χρειάζεται το ΣΔΑΠ  Ένδειξη ικανότητας ικανοποίησης απαιτήσεων ασφάλειας.  Η ικανότητα αυτή συνδέεται στενά με την ικανότητά του να  διασφαλίσει την επιχειρησιακή του συνέχεια,  ελαχιστοποιήσει τις ζημιές και τις απώλειες αν συμβεί κάποιο περιστατικό παραβίασης ασφάλειας,  αποκτήσει συγκριτικά πλεονεκτήματα έναντι των ανταγωνιστών του,  αυξήσει την κερδοφορία και να βελτιώσει τις χρηματοροές του,  συμμορφωθεί με τις απαιτήσεις του νόμου και, εν τέλει,  αποκτήσει καλή φήμη. 10 Τμήμα Ψηφιακών Συστημάτων

11 Για να είναι αποτελεσματικό το ΣΔΑΠ…  …οι στόχοι και οι δραστηριότητες που προβλέπει πρέπει να μην αποκλίνουν από τους γενικότερους στόχους του οργανισμού.  Οι απαιτήσεις ασφάλειας πρέπει να έχουν προσδιοριστεί με βάση μελέτη ανάλυσης και διαχείρισης κινδύνων.  Εν απουσία μελέτης, οι απαιτήσεις ασφάλειας είναι πολύ πιθανό να είναι ελλιπείς.  Το ΣΔΑΠ πρέπει να έχει την πλήρη & εμφανή στήριξη της διοίκησης του οργανισμού, ειδικότερα δε του ανώτατου επιπέδου διοίκησης. 11 Τμήμα Ψηφιακών Συστημάτων

12 …Για να είναι αποτελεσματικό το ΣΔΑΠ  Επιπλέον, το ΣΔΑΠ πρέπει να είναι συμβατό με την οργανωσιακή κουλτούρα.  Πρέπει να περιλαμβάνει ένα πρόγραμμα ενημέρωσης, κατάρτισης και εκπαίδευσης των εργαζομένων στον οργανισμό, αλλά και των σχετιζόμενων με αυτόν εξωτερικών συνεργατών. 12 Τμήμα Ψηφιακών Συστημάτων

13 …Για να είναι αποτελεσματικό το ΣΔΑΠ  …πρέπει επίσης να περιλαμβάνει:  διαδικασίες διαχείρισης περιστατικών παραβίασης ασφάλειας,  σχέδιο επιχειρησιακής συνέχειας και  ένα σύστημα μέτρησης της ίδιας του της απόδοσης, ώστε να καθίσταται δυνατή η βελτίωσή του. 13 Τμήμα Ψηφιακών Συστημάτων

14 Η σειρά προτύπων ISO 27k…  ‘80s (USA, UK): Baseline best controls  Πρόταση για δημιουργία καταλόγου με αποτελεσματικά μέτρα ασφαλείας για εφαρμογή από όλα τα είδη οργανισμών!  ‘90s (UK): Συγκρότηση ομάδας εμπειρογνωμόνων  1995 (UK): BS 7799-1 (code of practice)  1997 (UK): BS 7799-2 (ISMS specification)  1997-98 (UK): Πιλοτική εφαρμογή πιστοποίησης κατά BS 7799-1 14 Τμήμα Ψηφιακών Συστημάτων

15 …Η σειρά προτύπων ISO 27k…  1999: Περίπου 20 χώρες έχουν υιοθετήσει τα BS 7799-1&2  2000: BS 7799-1 δεκτό ως ISO/IEC 17799-1  2002: To ISO/IEC 17799-1 αναριθμείται σε ISO/IEC 27002  2005: To BS 7799-2 δημοσιεύεται ως ISO/IEC 27001. 15 Τμήμα Ψηφιακών Συστημάτων

16 …Η σειρά προτύπων ISO 27k…  Παρέχει συστάσεις καλών πρακτικών για τη διαχείριση της ασφάλειας πληροφοριών, τη διαχείριση κινδύνων και τα μέτρα ασφάλειας, μέσα στο γενικότερο περιβάλλον ενός ΣΔΑΠ.  Ο σχεδιασμός του ΣΔΑΠ μοιάζει με εκείνον των συστημάτων διαχείρισης της διασφάλισης ποιότητας (σειρά προτύπων ISO 9000) και των συστημάτων διαχείρισης της προστασίας του περιβάλλοντος (σειρά προτύπων ISO 14000). 16 Τμήμα Ψηφιακών Συστημάτων

17 …Η σειρά προτύπων ISO 27k…  Επί του παρόντος, έχουν δημοσιευθεί 23 πρότυπα της σειράς, ενώ αρκετά ακόμη βρίσκονται στο στάδιο της προετοιμασίας.  http://www.iso.org/iso/home/store/catalogue_tc/ catalogue_tc_browse.htm?commid=45306&publis hed=on&includesc=true http://www.iso.org/iso/home/store/catalogue_tc/ catalogue_tc_browse.htm?commid=45306&publis hed=on&includesc=true 17 Τμήμα Ψηφιακών Συστημάτων

18 18 Τμήμα Ψηφιακών Συστημάτων

19 Πιστοποιήσεις…  Mόνο δύο πρότυπα μπορούν να χρησιμοποιηθούν για πιστοποίηση από ανεξάρτητους φορείς:  ISO/IEC 27001  Με το οποίο πιστοποιείται ένας οργανισμός για τη συμμόρφωση του ΣΔΑΠ με το πρότυπο.  ISO/IEC 27006  Με το οποίο διαπιστεύεται ένας φορέας πιστοποίησης προτύπων. 19 Τμήμα Ψηφιακών Συστημάτων

20 Πιστοποιήσεις & Διαπιστεύσεις  Πιστοποίηση (Certification) είναι η επιβεβαίωση τρίτου μέρους (δηλ. ανεξάρτητου φορέα) ότι έχει ελεγχθεί και τεκμηριωθεί επαρκώς η επαλήθευση των καθορισμένων απαιτήσεων που περιγράφονται σε ένα πρότυπο.  Διαπίστευση (Accreditation) είναι η επιβεβαίωση τρίτου μέρους (δηλ. ανεξάρτητου φορέα) η οποία προσδίδει επίσημη τεκμηρίωση της ικανότητάς του να διεξάγει αξιολόγηση της συμμόρφωσης ενός οργανισμού σύμφωνα με κάποιο πρότυπο. 20 Τμήμα Ψηφιακών Συστημάτων

21 Το πρότυπο ISO/IEC 27001:2013…  Οδηγίες για τον καθορισμό προδιαγραφών για:  το Σχεδιασμό  την Υλοποίηση  τη Λειτουργία  την Παρακολούθηση  τον Έλεγχο και Συντήρηση… …ενός τεκμηριωμένου Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών σε ένα οργανωσιακό πλαίσιο. 21 Τμήμα Ψηφιακών Συστημάτων

22 …Το πρότυπο ISO/IEC 27001:2013…  Εφαρμόζεται σε όλους τους τύπους οργανισμών και επιχειρήσεων οποιουδήποτε επιχειρηματικού κλάδου:  Εμπορικές επιχειρήσεις  Κυβερνητικοί οργανισμοί  Μη κερδοσκοπικοί οργανισμοί,κτλ.  Είναι ανεξάρτητο μεγέθους και δραστηριοτήτων του οργανισμού. 22 Τμήμα Ψηφιακών Συστημάτων

23 Το πρότυπο ISO/IEC 27001:2013: Δομή…  Επτά ενότητες, με υπο-ενότητες  Το περιβάλλον του οργανισμού  Κατανόηση του οργανισμού και του περιβάλλοντός του  Κατανόηση των αναγκών και των προσδοκιών των μετόχων  Καθορισμός της έκτασης του ΣΔΑΠ (S.o.A.)  ΣΔΑΠ 23 Τμήμα Ψηφιακών Συστημάτων

24 …Το πρότυπο ISO/IEC 27001:2013: Δομή…  Η ηγεσία  Ηγεσία και δέσμευση  Πολιτική  Οργανωσιακοί ρόλοι, αρμοδιότητες και καθήκοντα  Ο σχεδιασμός  Ενέργειες για την αντιμετώπιση κινδύνων και την αξιοποίηση ευκαιριών  Στόχοι της ασφάλειας πληροφοριών και σχεδιασμός για την επίτευξή τους 24 Τμήμα Ψηφιακών Συστημάτων

25 …Το πρότυπο ISO/IEC 27001:2013: Δομή…  Υποστήριξη  Πόροι (..για PDCA)  Ικανότητες προσωπικού  Επίγνωση  Επικοινωνία  Τεκμηρίωση  Λειτουργία  Λειτουργικός σχεδιασμός, υλοποίηση και έλεγχος των διεργασιών  Εκτίμηση κινδύνων  Διαχείριση κινδύνων 25 Τμήμα Ψηφιακών Συστημάτων

26 …Το πρότυπο ISO/IEC 27001:2013: Δομή  Αξιολόγηση επίδοσης  Παρακολούθηση, μέτρηση, ανάλυση και αξιολόγηση  Εσωτερικός έλεγχος  Επανεξέταση από τη διοίκηση  Βελτίωση  Ασυμμορφία και διορθωτικές ενέργειες  Συνεχής βελτίωση 26 Τμήμα Ψηφιακών Συστημάτων

27 Προσέγγιση  Το μοντέλο που προτείνει το πρότυπο ακολουθεί διεργασιακή προσέγγιση  Εστίαση στη σημασία:  Κατανόησης των απαιτήσεων ασφάλειας  Καθιέρωσης των στόχων ασφάλειας και μίας πολιτικής ασφάλειας  Υλοποίησης και λειτουργίας μέτρων ασφάλειας κατάλληλων για να αντιμετωπίσουν κινδύνους που εντάσσονται στο συγκεκριμένο οργανωσιακό πλαίσιο 27 Τμήμα Ψηφιακών Συστημάτων

28 Ο κύκλος ζωής της Διαχείρισης Ασφάλειας Πληροφοριών  Το πρότυπο ορίζει ένα κύκλο ζωής της Διαχείρισης Ασφάλειας Πληροφοριών που ακολουθεί ένα μοντέλο τεσσάρων επαναλαμβανόμενων σταδίων:  Σχεδιασμός (Plan)  Υλοποίηση (Do)  Έλεγχος (Check)  Διόρθωση (Act) 28 Τμήμα Ψηφιακών Συστημάτων

29 29 Τμήμα Ψηφιακών Συστημάτων

30 Ο κύκλος ζωής της Διαχείρισης Ασφάλειας Πληροφοριών  Το μοντέλο ακολουθεί την προσέγγιση που εφαρμόζεται στη διαχείριση ποιότητας, σύμφωνα με το διαδεδομένο πρότυπο ISO 9001:2008, για συστήματα διαχείρισης ποιότητας.  Η διεργασιοκεντρική προσέγγιση είναι ίδια ανεξάρτητα εάν πρόκειται για διεργασία διασφάλισης της ποιότητας ή για διεργασία διασφάλισης της ασφάλειας πληροφοριών. 30 Τμήμα Ψηφιακών Συστημάτων

31 Είσοδοι και έξοδοι  Η μέθοδος λαμβάνεται ως ένα σύστημα που έχει εισόδους και έξοδο.  Είσοδοι (input):  Απαιτήσεις των εμπλεκόμενων στην ασφάλεια  Προδιαγραφές ασφάλειας  Έξοδοι (output):  Ασφάλεια πληροφοριών υπό διαχείριση  Με τον ίδιο τρόπο μπορούμε να αντιμετωπίσουμε και τις επιμέρους διεργασίες σε κάθε φάση της μεθόδου. 31 Τμήμα Ψηφιακών Συστημάτων

32 Η φάση σχεδιασμού (Plan)  Καθιέρωση ενός πλαισίου Διαχείρισης της Ασφάλειας Πληροφοριών στο συνολικό πλαίσιο των στόχων και πολιτικών του οργανισμού:  Στόχοι και επιδιώξεις ασφάλειας  Διαδικασίες ασφάλειας  Πολιτική του ΣΔΑΠ 32 Τμήμα Ψηφιακών Συστημάτων

33 Η φάση σχεδιασμού (Plan): δραστηριότητες  Καθορισμός του πεδίου εφαρμογής του ΣΔΑΠ (τοποθεσία, συστήματα, δεδομένα, κ.ά.)  Θέσπιση Πολιτικής ΣΔΑΠ  Ορισμός μεθόδου ανάλυσης κινδύνων  Εκπόνηση μελέτης ανάλυσης κινδύνων  Επιλογή στρατηγικής διαχείρισης κινδύνων  Έγκριση από τη Διοίκηση  Διαμόρφωση Δήλωσης Εφαρμογής 33 Τμήμα Ψηφιακών Συστημάτων

34 Η φάση υλοποίησης (Do)  Υλοποίηση των δράσεων (διαδικασιών και ενεργειών) που σχεδιάστηκαν στην προηγούμενη φάση (Σχεδιασμού) 34 Τμήμα Ψηφιακών Συστημάτων

35 Η φάση υλοποίησης (Do): Δραστηριότητες  Διαμόρφωση σχεδίου διαχείρισης κινδύνων  Κατανομή ρόλων και αρμοδιοτήτων  Υλοποίηση μέτρων ασφάλειας  Σχεδιασμός και υλοποίηση δράσεων ενημέρωσης και κατάρτισης  Λειτουργία του ΣΔΑΠ  Υλοποίηση των διαδικασιών έγκαιρης ανίχνευσης περιστατικών ασφάλειας  Υλοποίηση των διαδικασιών αντιμετώπισης περιστατικών παραβίασης ασφάλειας 35 Τμήμα Ψηφιακών Συστημάτων

36 Η φάση ελέγχου (Check)  Παρακολούθηση και έλεγχος του Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών:  Αξιολόγηση και μέτρηση (όπου είναι εφικτό) των επιδόσεων  Τεκμηρίωση & αναφορά αποτελεσμάτων στη Διοίκηση 36 Τμήμα Ψηφιακών Συστημάτων

37 Η φάση ελέγχου (Check): δραστηριότητες…  Έλεγχος καλής λειτουργίας διαδικασιών για:  Έγκαιρη ανίχνευση λαθών  Έγκαιρη ανίχνευση περιστατικών ασφάλειας  Έλεγχο τήρησης αρμοδιοτήτων ασφάλειας  Αποτελεσματικότητα ενεργειών χειρισμού περιστατικών ασφάλειας 37 Τμήμα Ψηφιακών Συστημάτων

38 …Η φάση ελέγχου (Check): δραστηριότητες  Τακτικοί έλεγχοι αποτελεσματικότητας του ΣΔΑΠ  Έλεγχοι αποτελεσματικότητας μέτρων ασφάλειας  Έλεγχος στοιχείων της μελέτης ανάλυσης κινδύνων  Τακτικοί εσωτερικοί έλεγχοι  Τακτική επανεξέταση του ΣΔΑΠ από τη Διοίκηση 38 Τμήμα Ψηφιακών Συστημάτων

39 Η φάση διόρθωσης (Act)  Συντήρηση και βελτίωση του Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών σύμφωνα με τους εσωτερικούς ελέγχους και την επανεξέταση από τη Διοίκηση:  Διορθωτικές ενέργειες  Προληπτικές ενέργειες 39 Τμήμα Ψηφιακών Συστημάτων

40 Η φάση διόρθωσης (Act): δραστηριότητες  Διόρθωση σημείων που χρήζουν βελτίωσης  Υλοποίηση διορθωτικών ενεργειών  Υλοποίηση προληπτικών ενεργειών  Ενημέρωση των μετόχων  Έλεγχος αποτελεσματικότητας διορθώσεων 40 Τμήμα Ψηφιακών Συστημάτων

41 41 Τμήμα Ψηφιακών Συστημάτων

42 Η στήριξη της διοίκησης…  Το ανώτατο επίπεδο διοίκησης κάθε οργανισμού εξετάζει, στο πλαίσιο ενός δεδομένου και πεπερασμένου προϋπολογισμού, εναλλακτικές δράσεις που του προτείνονται με κριτήρια, συνήθως, κόστους - οφέλους για τον οργανισμό.  Επομένως, πρέπει να πειστεί το ανώτατο επίπεδο διοίκησης ότι το πρόγραμμα ασφάλειας θα αποφέρει οφέλη στον οργανισμό και μάλιστα περισσότερα οφέλη από αυτά που θα αποφέρουν άλλες, ανταγωνιστικές δράσεις (κόστος ευκαιρίας). 42 Τμήμα Ψηφιακών Συστημάτων

43 …Η στήριξη της διοίκησης…  Αναμενόμενα από το ΣΔΑΠ οφέλη…  …λόγω της μείωσης του κινδύνου για την ασφάλεια πληροφοριών,  …λόγω της προτυποποίησης,  …λόγω της δομημένης προσέγγισης στο πρόβλημα και  …λόγω της συμμόρφωσης με το πρότυπο ISO/IEC 27001. 43 Τμήμα Ψηφιακών Συστημάτων

44 …Η στήριξη της διοίκησης…  Το κόστος της δράσης αναλύεται:  στο κόστος της διαχείρισης της δράσης υλοποίησης του ΣΔΑΠ,  σε άλλα κόστη που αφορούν στην υλοποίηση του ΣΔΑΠ (π.χ. το κόστος απογραφής των πληροφοριακών αγαθών και της δημιουργίας σχετικής βάσης δεδομένων, το κόστος υποστηρικτικών μελετών κλπ.),  στο κόστος πιστοποίησης και  στο κόστος λειτουργίας και συντήρησης του ΣΔΑΠ. 44 Τμήμα Ψηφιακών Συστημάτων

45 Η στήριξη της διοίκησης υπάρχει όταν…  Συμμετέχει ενεργά στη διαμόρφωση μιας πολιτικής ασφάλειας.  Καθορίζει ρόλους και αναθέτει αρμοδιότητες και καθήκοντα για την ασφάλεια πληροφοριών.  Φροντίζει να γνωστοποιήσει σε όλον τον οργανισμό τη σημασία που αποδίδει στη συμμόρφωση με την πολιτική ασφάλειας.  Διαθέτει τους απαραίτητους ανθρώπινους και οικονομικούς πόρους που απαιτούνται για την ανάπτυξη, τη λειτουργία και τη συντήρηση του ΣΔΑΠ. 45 Τμήμα Ψηφιακών Συστημάτων

46 46 Τμήμα Ψηφιακών Συστημάτων

47 Το πεδίο εφαρμογής  Καθορίζεται από τη διοίκηση, λαμβάνοντας υπόψη  τη φύση του οργανισμού,  την οργάνωσή του,  τη γεωγραφική του θέση και  τα πληροφοριακά αγαθά και τις τεχνολογίες που χρησιμοποιεί.  Η βέλτιστη επιλογή είναι το πεδίο εφαρμογής του ΣΔΑΠ να καλύπτει όλα τα πληροφοριακά συστήματα ενός οργανισμού.  Οι εξαιρέσεις αιτιολογούνται και τεκμηριώνονται. 47 Τμήμα Ψηφιακών Συστημάτων

48 Η απογραφή των πληροφοριακών αγαθών  Καταχώριση στο μητρώο των πληροφοριακών αγαθών, που συνήθως έχει τη μορφή μιας βάσης δεδομένων ή, για μικρότερα ΣΔΑΠ, ενός βιβλίου εργασίας Excel.  Για κάθε αγαθό το μητρώο καταγράφει:  τον τύπο του, τη μορφή του (π.χ. λογισμικό, φυσικό/έντυπο, υπηρεσίες, άνθρωποι, άυλα αγαθά),  τη θέση του,  πληροφορίες σχετικές με αντίγραφα ασφαλείας (backup),  πληροφορίες σχετικές με άδειες χρήσης λογισμικού (licenses) και  την επιχειρησιακή του αξία (π.χ. ποιες επιχειρησιακές διεργασίες εξαρτώνται απ’ αυτό το αγαθό). 48 Τμήμα Ψηφιακών Συστημάτων

49 Η διεξαγωγή της μελέτης εκτίμησης κινδύνων  Όλη η φιλοσοφία του ΣΔΑΠ στηρίζεται στην έννοια του κινδύνου για τα πληροφοριακά αγαθά.  Το ISO/IEC 27005, αναφέρεται αποκλειστικά στην ανάλυση και διαχείριση κινδύνων. 49 Τμήμα Ψηφιακών Συστημάτων

50 50 Τμήμα Ψηφιακών Συστημάτων

51 Δήλωση εφαρμογής (SoA) και σχέδιο διαχείρισης κινδύνων (RTP) 51 Τμήμα Ψηφιακών Συστημάτων Οι είσοδοι στο σύστημα είναι οι στόχοι ασφάλειας του οργανισμού (μέτρα ασφάλειας Παρ. Α)

52 Το Παράρτημα Α’  Περιγραφή των ενοτήτων μέτρων ασφάλειας που πρέπει να καλύπτει ένα ΣΔΑΠ  14 θεματικές ενότητες μέτρων  35 κατηγορίες-στόχοι ασφάλειας που ανήκουν σε αυτές  114 μέτρα ασφάλειας για την ικανοποίηση των στόχων ασφάλειας 52 Τμήμα Ψηφιακών Συστημάτων

53 Άλλες πηγές μέτρων ασφάλειας  Το πρότυπο Payment Card Industry / Data Security Standard (PCI/DSS),  Η εθνική νομοθεσία προστασίας δεδομένων προσωπικού χαρακτήρα ή άλλη σχετική νομοθεσία,  Ο κατάλογος SANS Critical Controls,  Ο κατάλογος IT Grundschutz της Bundesamt für Sicherheit in der Informationstechnik (BSI),  Ο κατάλογος του National Institute of Science and Technology (NIST) Security and Privacy Controls for Federal Information Systems and Organizations κ.α.  Δικός μας σχεδιασμός 53 Τμήμα Ψηφιακών Συστημάτων

54 Διαμόρφωση δήλωσης εφαρμογής  Επιλογή επιθυμητών μέτρων ασφάλειας ανάλογα με:  τους στόχους ασφαλείας που έχουμε θέσει,  την αλληλεπίδραση των μέτρων  Προσδιορισμός κατάστασης υλοποίησης μέτρων μέσω Gap analysis (COBIT 4.1 Maturity Model, Carnegie Mellon Software Engineering Institute, Capability Maturity Model - CMM). 54 Τμήμα Ψηφιακών Συστημάτων

55 Μοντέλο CMM  Βαθμός 0: Διεργασία Ανύπαρκτη  Βαθμός 1: Διεργασία Αρχική/Ad hoc  Βαθμός 2: Διεργασία Επαναλήψιμη, αλλά διαισθητική  Βαθμός 3: Διεργασία Καθορισμένη  Βαθμός 4: Διεργασία Διαχειριζόμενη και μετρήσιμη  Βαθμός 5: Διεργασία Βελτιστοποιημένη 55 Τμήμα Ψηφιακών Συστημάτων

56 ΝΑ =Νομική απαίτηση, ΣΥ=Συμβατική υποχρέωση, ΕΑ/ΚΠ=Επιχειρησιακή απαίτηση/Καλή πρακτική, ΑΑΚ= Αποτέλεσμα ανάλυσης κινδύνων 56 Τμήμα Ψηφιακών Συστημάτων Μέτρα ασφάλειας ISO 27001:2013 Υπάρχοντα μέτρα ασφάλειας Παρατηρήσεις (Αιτιολόγηση αποκλεισμού) Επιλεγμένα μέτρα και λόγοι επιλογής Παρατηρήσεις (Κατάσταση υλοποίησης) ΝΑΣΥ ΕΑ/ ΚΠ ΑΑΚ Ενότητα Υπο- ενότητα Μέτρο ασφάλειας

57 Δήλωση εφαρμογής 57 Τμήμα Ψηφιακών Συστημάτων  Μετά την επιλογή των μέτρων ασφαλείας και την ανάλυση χάσματος μπορούμε να διαμορφώσουμε τη Δήλωση Εφαρμογής.  Αναθεωρείται όταν υπάρχουν αλλαγές σε όποιον από τους προηγούμενους παράγοντες διαμόρφωσης.

58 Σχέδιο διαχείρισης κινδύνων…  Κίνδυνος: μόλυνση του δικτύου από αναπαραγωγούς ή άλλο παρόμοιο κακόβουλο λογισμικό, που προκαλεί διακοπές λειτουργίας του δικτύου, ζημιά στα δεδομένα, μη εξουσιοδοτημένη πρόσβαση σε συστήματα και άλλες συνεπακόλουθες ζημιές ή απώλειες, στις οποίες συμπεριλαμβάνονται και τα κόστη διερεύνησης των περιστατικών και αποκατάστασης. 58 Τμήμα Ψηφιακών Συστημάτων

59 …Σχέδιο διαχείρισης κινδύνων  Διαχείριση κινδύνου: Μετριασμός του κινδύνου πρωτίστως με χρήση αντιβιοτικών, καθώς και ελέγχων πρόσβασης στα δίκτυα, στα συστήματα και στα δεδομένα, όπως και διαχείρισης περιστατικών, αντιγράφων ασφάλειας, σχεδίων έκτακτης ανάγκης, πολιτικών, διαδικασιών και οδηγιών. 59 Τμήμα Ψηφιακών Συστημάτων

60 60 Τμήμα Ψηφιακών Συστημάτων

61 Ο σχεδιασμός του προγράμματος υλοποίησης του ΣΔΑΠ  Τι ακριβώς πρόκειται να γίνει;  Τι πόροι θα χρειαστούν;  Ποιος θα είναι υπεύθυνος;  Πότε θα τελειώσουμε;  Πώς θα αξιολογήσουμε τα αποτελέσματα;  Προτεραιότητα κάθε μιας δραστηριότητας ασφάλειας; 61 Τμήμα Ψηφιακών Συστημάτων

62 Η υλοποίηση του ΣΔΑΠ  Η δραστηριότητα αυτή μπορεί να είναι και έντασης εργασίας και χρονοβόρα.  Δεν είναι ασύνηθες να διαρκεί μήνες ή ακόμη και χρόνια.  Κατά την υλοποίηση των μέτρων ασφάλειας, βελτιώνεται ο βαθμός ωριμότητας του ΣΔΑΠ και, επομένως, η δήλωση εφαρμογής πρέπει να επικαιροποιείται αναλόγως. 62 Τμήμα Ψηφιακών Συστημάτων

63 Η τεκμηρίωση του ΣΔΑΠ  Στόχοι και πολιτική του ΣΔΑΠ  Πεδίο εφαρμογής του ΣΔΑΠ  Διαδικασίες και άλλα μέτρα ασφάλειας που υποστηρίζουν το ΣΔΑΠ  Περιγραφή μεθόδου εκτίμησης κινδύνων  Έκθεση εκτίμησης κινδύνων  Σχέδιο διαχείρισης κινδύνων  Διαδικασίες που περιγράφουν πώς θα μετράται η αποτελεσματικότητα των μέτρων ασφάλειας  Δήλωση Εφαρμογής  Άλλα αρχεία 63 Τμήμα Ψηφιακών Συστημάτων

64 64 Τμήμα Ψηφιακών Συστημάτων

65 Η επιθεώρηση συμμόρφωσης και η ανάληψη διορθωτικών ενεργειών  Κατά την επανεξέταση, εκτιμούμε τα περιθώρια βελτίωσης και την ανάγκη να γίνουν αλλαγές στο ΣΔΑΠ, της πολιτικής και των στόχων ασφάλειας.  Τα αποτελέσματα αυτής της διαδικασίας τεκμηριώνονται και συντηρούνται ως αρχεία.  Πρέπει να υλοποιήσουμε όσες αναγκαίες διορθωτικές ενέργειες εντοπίσουμε. 65 Τμήμα Ψηφιακών Συστημάτων

66 Η προ της πιστοποίησης (προκαταρκτική) αξιολόγηση  Οι ελεγκτές της πιστοποίησης θα αναζητήσουν αποδείξεις ότι το ΣΔΑΠ λειτουργεί και βελτιώνεται συνεχώς.  Τέτοιες αποδείξεις μπορεί να είναι αρχεία διεργασιών όπως εκθέσεις εκτίμησης κινδύνων, επανεξετάσεις από τη διοίκηση, αναφορές περιστατικών παραβίασης ασφάλειας, διορθωτικές ενέργειες κλπ.  Επομένως, το ΣΔΑΠ πρέπει να αφεθεί να λειτουργήσει ομαλά για ένα διάστημα, ούτως ώστε να δημιουργηθεί το απαιτούμενο ιστορικό αρχείο της λειτουργίας και της βελτίωσής του, πριν ζητηθεί η πιστοποίησή του. 66 Τμήμα Ψηφιακών Συστημάτων

67 Ο έλεγχος συμμόρφωσης για την πιστοποίηση του ΣΔΑΠ κατά ISO/IEC 27001  Οδηγίες για τον έλεγχο συμμόρφωσης, προκειμένου το ΣΔΑΠ ενός οργανισμού να πιστοποιηθεί κατά ISO/IEC 27001, περιέχονται στο πρότυπο ISO/IEC 27007:2011. 67 Τμήμα Ψηφιακών Συστημάτων

68 68 Τμήμα Ψηφιακών Συστημάτων

69 69 Τμήμα Ψηφιακών Συστημάτων Ευχαριστώ!