Η παρουσίαση φορτώνεται. Παρακαλείστε να περιμένετε

Η παρουσίαση φορτώνεται. Παρακαλείστε να περιμένετε

Πολιτικές & Διαχείριση Ασφάλειας Δρ. Γιώργος Αγγελινός Εισαγωγικά θέματα.

Παρόμοιες παρουσιάσεις


Παρουσίαση με θέμα: "Πολιτικές & Διαχείριση Ασφάλειας Δρ. Γιώργος Αγγελινός Εισαγωγικά θέματα."— Μεταγράφημα παρουσίασης:

1 Πολιτικές & Διαχείριση Ασφάλειας Δρ. Γιώργος Αγγελινός gaggelinos@ssl-unipi.gr Εισαγωγικά θέματα

2 Bruce Schneier If you think technology can solve your security problems, then you don't understand the problems and you don't understand the technology. 2 Τμήμα Ψηφιακών Συστημάτων

3 Το μεγάλο θέμα… Υπάρχει πρόβλημα; 3 Τμήμα Ψηφιακών Συστημάτων

4 Ιστορίες τρόμου…  This week (1 February 2013), we detected unusual access patterns that led to us identifying unauthorized access attempts to Twitter user data. We discovered one live attack and were able to shut it down in process moments later. However, our investigation has thus far indicated that the attackers may have had access to limited user information – usernames, email addresses, session tokens and encrypted/salted versions of passwords – for approximately 250,000 users. https://blog.twitter.com/2013/keeping-our-users-secure https://blog.twitter.com/2013/keeping-our-users-secure  Facebook Inc has inadvertently exposed 6 million users' phone numbers and email addresses to unauthorized viewers over the past year, the world's largest social networking company disclosed late Friday (21 June 2013). http://www.reuters.com/article/2013/06/21/net-us- facebook-security-idUSBRE95K18Y20130621http://www.reuters.com/article/2013/06/21/net-us- facebook-security-idUSBRE95K18Y20130621 4 Τμήμα Ψηφιακών Συστημάτων

5 Ιστορίες τρόμου…  In June 2012 6.5 million (SHA-1) hashed passwords of a large business- focussed social network appeared on public hacker forums. The impact of the breach is not fully known, but millions of users were urged to change their passwords and their personal data could be at risk. http://www.pcworld.com/article/257045/6_5m_linkedin_passwords_ posted_online_after_apparent_hack.html http://www.pcworld.com/article/257045/6_5m_linkedin_passwords_ posted_online_after_apparent_hack.html  In December 2011, the storm Dagmar affected power supplies to electronic communication networks in Norway, Sweden and Finland. As a result millions of users were without telephony or internet for up to two weeks. http://en.wikipedia.org/wiki/Cyclone_Dagmarhttp://en.wikipedia.org/wiki/Cyclone_Dagmar  In October 2011 there was a failure in the UK datacentre of a large smartphone vendor. As a result millions of users across the EU and globally could not send or receive emails, which severely affected the financial sector. http://arstechnica.com/business/2011/10/blackberry- outages-spread-throughout-the-world/http://arstechnica.com/business/2011/10/blackberry- outages-spread-throughout-the-world/ 5 Τμήμα Ψηφιακών Συστημάτων

6 Ιστορίες τρόμου…  Over the summer 2011, a Dutch certificate authority experienced a security breach, allowing attackers to generate fake PKI certificates. The fake certificates, the result of the breach, were used to wiretap the online communications of around half a million Iranian citizens. Following the breach many Dutch e-government websites were offline or declared unsafe to visit. http://www.enisa.europa.eu/media/news- items/operation-black-tuliphttp://www.enisa.europa.eu/media/news- items/operation-black-tulip  In April 2010 a Chinese telecom provider hijacked 15% of the world’s internet traffic through Chinese servers for 20 minutes, routing traffic to some large e-commerce sites, such as www.amazon.de and www.dell.com as well as the.mil and.gov domains, et cetera. As a result, the internet communications of millions of users were exposed (to eavesdropping). http://arstechnica.com/security/2010/11/how- china-swallowed-15-of-net-traffic-for-18-minutes/http://arstechnica.com/security/2010/11/how- china-swallowed-15-of-net-traffic-for-18-minutes/  Ever since Google disclosed in January (2010) that Internet intruders had stolen information from its computers, the exact nature and extent of the theft has been a closely guarded company secret. But a person with direct knowledge of the investigation now says that the losses included one of Google’s crown jewels, a password system that controls access by millions of users worldwide to almost all of the company’s Web services, including e-mail and business applications. http://www.nytimes.com/2010/04/20/technology/20google.html?_r=0 http://www.nytimes.com/2010/04/20/technology/20google.html?_r=0 6 Τμήμα Ψηφιακών Συστημάτων

7 Η έννοια της ασφάλειας Π.Σ.  Για να κατανοήσουμε την έννοια της Ασφάλειας του Πληροφοριακού Συστήματος…  ΠΡΕΠΕΙ πρώτα να προσδιορίσουμε την έννοια του Πληροφοριακού Συστήματος…  ΑΛΛΑ πρώτα πρέπει να προσδιορίσουμε την έννοια του Συστήματος. 7 Τμήμα Ψηφιακών Συστημάτων

8 Η έννοια του Συστήματος  «Ένα πλήθος αλληλεπιδρώντων στοιχείων, που έχουν οργανικά συναρμολογηθεί σε μια ολότητα, έτσι ώστε να εκτελούν μια ορισμένη λειτουργία.»  Άρα:  επιμέρους στοιχεία,  που αλληλεπιδρούν,  χαρακτηρίζεται από οργάνωση και  εξετάζεται ως μία ενιαία ολότητα. 8 Τμήμα Ψηφιακών Συστημάτων

9 Όροι σχετικοί, αλλά όχι ταυτόσημοι 9 Τμήμα Ψηφιακών Συστημάτων Τεχνολογίες Πληροφορικής και Επικοινωνιών (Information and Communication Technology) ή Τεχνολογική Υποδομή (Information Infrastructure) Συλλογή υπολογιστικού υλικού, λογισμικού, τηλεπικοινωνιακού εξοπλισμού ή άλλων υπολογιστικών εξαρτημάτων που χρησιμοποιείται για τη διαχείριση πληροφοριών. Πληροφοριακό Σύστημα = Τεχνολογική Υποδομή + Οργανωσιακό πλαίσιο

10 Το πρόβλημα της ασφάλειας…  Είναι ένας γενικός όρος για τα προβλήματα που ανακύπτουν όταν προσπαθούμε να πετύχουμε ένα σύνολο λειτουργικών στόχων. Υπάρχουν έξι στοιχεία σ’ αυτό το σύνολο:  Τα πληροφοριακά συστήματα πρέπει να κάνουν ακριβώς αυτό για το οποίο σχεδιάστηκαν.  Τα πληροφοριακά συστήματα δεν πρέπει ποτέ να κάνουν κάτι για το οποίο δεν έχουν σχεδιαστεί.  Τα πληροφοριακά συστήματα πρέπει να λειτουργούν στο χρόνο που επιβάλλει ο σχεδιασμός τους.  Τα πληροφοριακά συστήματα δεν πρέπει ποτέ να λειτουργούν εκτός του χρόνου για τον οποίο σχεδιάστηκαν να λειτουργούν.  Τα πληροφοριακά συστήματα πρέπει να χρησιμοποιούνται μόνο από εξουσιοδοτημένο προσωπικό.  Τα πληροφοριακά συστήματα δεν πρέπει ποτέ να χρησιμοποιούνται από μη εξουσιοδοτημένο προσωπικό. 10 Τμήμα Ψηφιακών Συστημάτων

11 …το πρόβλημα της ασφάλειας  Δεν είναι απλά η προστασία του δικτύου.  Επομένως «λύσεις» όπως IDS ή firewalls δεν επαρκούν.  Ούτε είναι αρκετό να ακολουθήσει κανείς «οδηγίες» ή να πιστοποιηθεί.  Το πραγματικό πρόβλημα είναι η κακή σχεδίαση λογισμικού, η ατελής υλοποίηση και η μαζική ανάπτυξη κρίσιμων εφαρμογών σε εγγενώς ανασφαλείς πλατφόρμες.  Αυτά δεν σχετίζονται με εργαλεία λογισμικού ή σχεδιασμούς δικτύων, αλλά με το πώς σχεδιάζουμε λογισμικό, ποιοί σχεδιάζουν λογισμικό και το πώς επιλέγουμε και εγκαθιστούμε λογισμικό στους οργανισμούς. 11 Τμήμα Ψηφιακών Συστημάτων

12 Λίγη ιστορία... 12 Τμήμα Ψηφιακών Συστημάτων

13 1950  Η IBM ήταν ο κυρίαρχος του παιχνιδιού  Οι hardware ISAs (Instruction Set Architectures) άλλαζαν συνεχώς, πράγμα που σήμαινε ότι το “operating software” (πρόγονος του λειτουργικού συστήματος) ξανασχεδιαζόταν με κάθε νέα μηχανή.  Εισάγεται η έννοια του λειτουργικού συστήματος, που συνήθως ήταν “add-on” επειδή τα κέρδη έρχονταν από τις πωλήσεις hardware.  Τα λειτουργικά συστήματα χειρίζονταν λειτουργίες single-user και/ή batch operations και παρείχαν πολύ απλά file systems και τις σχετικές υπηρεσίες αρχείων.  Δεν υπήρχε ανάγκη για ασφάλεια, επειδή δεν υπήρχε απομακρυσμένη πρόσβαση και η φυσική ασφάλεια του κτιρίου και του hardware ισούνταν με την ασφάλεια του πληροφοριακού συστήματος.  Φυσική πρόσβαση σήμαινε ότι ήσουν εξουσιοδοτημένος – απλό και αποτελεσματικό. 13 Τμήμα Ψηφιακών Συστημάτων

14 1960 & 1970…  Η κατασκευή του hardware μετακινείται από το “one-at-a-time” σε αυτοματοποιημένη παραγωγή.  Αναπτύσσονται οι αρχές των λειτουργικών συστημάτων και εισάγεται η έννοια του μικρο-προγραμματισμού από την ΙΒΜ, το 1960 με τη σειρά μηχανών 360.  Οι λεγόμενοι “mini-computers” (π.χ. PDP-8, PDP-12 και η σειρά PDP- 11) εισήχθησαν από την DEC στα μέσα της δεκαετίας του 1960 και στην αρχή της δεκαετίας του 1970.  Στο ίδιο διάστημα, η τεχνολογία λειτουργικών συστημάτων έκανε το άλμα από single-user/batch σε multi-user και time-sharing.  Αυτό το μεγάλο άλμα σήμαινε ότι έπρεπε να εφευρεθούν μηχανισμοί hardware & software που να μην επιτρέπουν τα προγράμματα ενός χρήστη να ξεφεύγουν από τον αποδοθέντα σ’αυτά χώρο μνήμης, επεμβαίνοντας έτσι στη λειτουργία των προγραμμάτων άλλων χρηστών ή του ίδιου του συστήματος.  Έτσι εισήχθη η έννοια της ασφάλειας με τη μορφή της προστασίας μνήμης τόσο στο επίπεδο hardware όσο και στο επίπεδο software. Εισήχθη επίσης η έννοια της διαχείρισης μνήμης, που δημιούργησε την εικονική μνήμη. 14 Τμήμα Ψηφιακών Συστημάτων

15 …1960 & 1970  Η γέννηση των προγραμματιστών – διαχωρισμός λογικού (και αργότερα φυσικού) προγραμματισμού από το hardware  H σχετικά μικρή εγκατεστημένη βάση μηχανών επέτρεπε πολλούς πειραματισμούς. Οι μηχανισμοί προστασίας πολλαπλών χρηστών βελτιώθηκαν, η διαχείριση μνήμης έγινε ευφυής και οι υπηρεσίες των λειτουργικών συστημάτων διευρύνθηκαν σημαντικά.  Οι «μεταφραστές» γίνονται έξυπνοι γιατί το υλικό γίνεται εξυπνότερο  Διευρύνεται η εγκατεστημένη βάση, δημιουργώντας εξάρτηση αλλά και περιορίζοντας την τεχνολογική πρόοδο. 15 Τμήμα Ψηφιακών Συστημάτων

16 Η επανάσταση των desktop...  Το χαμηλό κόστος κατακτά τη λιανική αγορά.  Η ασφάλεια συστήματος συνειδητά παραλείφθηκε στα PCs.  Η ανακάλυψη του Internet  Leonard Kleinrock (MIT αρχές δεκαετίας 1960)(ARPANET), μαζί με DARPA (Defense Advanced Research Projects Agency).  Στόχος: Να δουλέψει!  Τα πρώτα πρωτόκολλα αγνοούν την ασφάλεια. 16 Τμήμα Ψηφιακών Συστημάτων

17 …η επανάσταση των desktop  Τα λειτουργικά συστήματα των PCs δεν είχαν ασφαλείς βάσεις.  Αλλά τα δικτυωμένα PCs απαιτούν ασφαλές Λειτουργικό Σύστημα.  Το μοιραίο σφάλμα: Ανάπτυξη κρίσιμων εφαρμογών σε ανασφαλή περιβάλλοντα. 17 Τμήμα Ψηφιακών Συστημάτων

18 Η ανάγκη προστασίας των πληροφοριών 18 Τμήμα Ψηφιακών Συστημάτων

19 Πληροφορία και παγκοσμιοποίηση της οικονομίας  Η εξάρτηση της μακρο-οικονομίας από την πληροφορία: «Πληροφοριοποιημένη κοινωνία».  Η πληροφορία ως μικρο-οικονομικό αγαθό  Υλικά αγαθά: κόστος αγοράς, πώληση μια φορά, δυνατότητα μεταπώλησης  Υπηρεσίες ως αγαθά  Η πληροφορία έχει αξία  Η πληροφορία δεν καταναλώνεται 19 Τμήμα Ψηφιακών Συστημάτων

20 Η αξία της πληροφορίας  Η συλλογή, δημιουργία ή συντήρηση της πληροφορίας συνεπάγεται κόστος  Η πληροφορία έχει αξία γι’ αυτούς στους οποίους ανήκει, αυτούς που τη χρησιμοποιούν και αυτούς που επιθυμούν να την αποκτήσουν… 20 Τμήμα Ψηφιακών Συστημάτων

21 Παράγοντες διαμόρφωσης της αξίας της πληροφορίας  Η αποκλειστική κατοχή  Η χρησιμότητα  Το κόστος δημιουργίας (απόκτησης) ή αναδημιουργίας (επαναπόκτησης)  Η αστική ή άλλη νομική ευθύνη  Η μετατρεψιμότητα ή διαπραγματευσιμότητα  Η επιχειρησιακή σημασία 21 Τμήμα Ψηφιακών Συστημάτων

22 Η κοινωνική σημασία της πληροφορίας…  Η πληροφορία μπορεί να αποτελέσει και ισχυρό όργανο κοινωνικού ελέγχου  Διαχρονικό πρόβλημα, που εντείνεται με τη διαθεσιμότητα ΤΠΕ  Οι ΤΠΕ επιτρέπουν τη συγκέντρωση, επεξεργασία, αποθήκευση και μετάδοση μεγάλου όγκου πληροφοριών, που μπορεί να οδηγήσει:  Στην ενοποίηση και ολοκληρωμένη παράθεσή τους  Στη συνδυασμένη χρήση πληροφοριών που συλλέχθηκαν για διαφορετικούς σκοπούς  Στη λήψη αποφάσεων με βάση αποκλειστικά αυτοματοποιημένη επεξεργασία πληροφοριών 22 Τμήμα Ψηφιακών Συστημάτων

23 …Η κοινωνική σημασία της πληροφορίας  Πολλά παραδείγματα καταχρηστικής αξιοποίησης πληροφοριών που αρχικά συλλέχθηκαν για κοινωνικά αποδεκτούς σκοπούς.  Η αποχή από τη συλλογή πληροφοριών είναι η ενδεδειγμένη λύση ; 23 Τμήμα Ψηφιακών Συστημάτων

24 Κίνητρα για τη θέσπιση κανόνων  Η αύξηση της διασυνοριακής ροής προσωπικών δεδομένων.  Η σημασία της προστασίας προσωπικών δεδομένων για την εμπιστοσύνη των καταναλωτών στην εποχή της Πληροφορίας.  Η προστασία των ατομικών δικαιωμάτων 24 Τμήμα Ψηφιακών Συστημάτων

25 Η ασφάλεια ως απαίτηση των δικαιούχων  H διοίκηση ενός οργανισμού  Οι ιδιοκτήτες και διαχειριστές δεδομένων και διεργασιών  Οι τελικοί χρήστες  Οι υπεύθυνοι ανάπτυξης του συστήματος  Οι υπεύθυνοι λειτουργίας του  Οι καταναλωτές των τελικών προϊόντων και υπηρεσιών  Η πολιτεία 25 Τμήμα Ψηφιακών Συστημάτων

26 Ένα πλαίσιο για την προστασία των πληροφοριών…  Πρέπει να είναι:  Κοινωνικά αποδεκτό (ανάπτυξη βασισμένη στις απόψεις του κοινωνικού συνόλου)  Πολυδύναμο (ανάπτυξη με βάση τη διεθνή εμπειρία και πρακτική)  Πολυδιάστατο (συνδυασμός θεσμικών ρυθμίσεων, οργανωσιακών ρυθμίσεων και κοινωνικών δράσεων)  Πλαίσια ανά τομέα 26 Τμήμα Ψηφιακών Συστημάτων

27 Θεσμικές και κανονιστικές ρυθμίσεις 27 Τμήμα Ψηφιακών Συστημάτων  Κανονιστικές και νομικές  Υπερεθνικές, εθνικές, τοπικές  Οριζόντιες, κατακόρυφες  Η σύμβαση 108 του Συμβουλίου της Ευρώπης (28.01.1981)  Οι Ευρωπαϊκές οδηγίες 95/46 και 2002/58  Οι Ν. 2472/97 και Ν. 3471/06  Οι οδηγίες για την ασφάλεια ΠΣ του ΟΟΣΑ

28 Βασικές οργανωσιακές ρυθμίσεις  Αναγνώριση γενικών αρχών  Διαμόρφωση πολιτικών ασφάλειας  Διαμόρφωση τεχνικών και διαδικαστικών μέτρων (Σχέδιο ασφάλειας) 28 Τμήμα Ψηφιακών Συστημάτων

29 Κοινωνικές δράσεις  Εκπαιδευτική διαδικασία  Διαδικασίες ενημέρωσης 29 Τμήμα Ψηφιακών Συστημάτων

30 Ο Οργανισμός Οικονομικής Συνεργασίας και Ανάπτυξης  Διεθνής οργανισμός  Στόχος:  Η σύγκριση εφαρμογών πολιτικής στις διάφορες χώρες  Η απάντηση σε κοινά προβλήματα  Ο προσδιορισμός καλών πρακτικών  Ο συντονισμός εθνικών και διεθνών πολιτικών 30 Τμήμα Ψηφιακών Συστημάτων

31 Οι οδηγίες του ΟΟΣΑ για την ασφάλεια ΠΣ  Εκδόθηκαν το 1992, αναθεωρήθηκαν το 1997 και η τρέχουσα έκδοσή τους δημοσιεύτηκε το 2002  Στόχοι:  Αύξηση της ευαισθητοποίησης του κοινού  Παροχή γενικού πλαισίου  Ενίσχυση της συνεργασίας μεταξύ δημόσιου και ιδιωτικού τομέα  Αύξηση της εμπιστοσύνης του κοινού στα ΠΣ  Διευκόλυνση της ανάπτυξης και χρήσης ΠΣ σε διεθνές επίπεδο  Ενίσχυση της διεθνούς συνεργασίας στον τομέα της ασφάλειας ΠΣ  Αφορούν ΠΣ του δημόσιου και του ιδιωτικού τομέα 31 Τμήμα Ψηφιακών Συστημάτων

32 Οι βασικές αρχές του ΟΟΣΑ για την ασφάλεια ΠΣ (2002)  Η αρχή της επίγνωσης (awareness)  Η αρχή της ευθύνης (responsibility)  Η αρχή της αντίδρασης (response)  Η αρχή της δεοντολογίας (ethics)  Η αρχή της δημοκρατίας (democracy)  Η αρχή της εκτίμησης κινδύνων (risk assessment)  Η αρχή του σχεδιασμού και υλοποίησης ασφάλειας (security design and implementation)  Η αρχή της διαχείρισης ασφάλειας (security management)  Η αρχή της επανεκτίμησης (reassessment) 32 Τμήμα Ψηφιακών Συστημάτων

33 Το ελληνικό νομοθετικό πλαίσιο  Σύνταγμα (άρθρο 9 Α & άρθρο 19)  Νόμος 2472/97 για την προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα  Νόμος 3471/06 για την προστασία των προσωπικών δεδομένων στον τομέα των ηλεκτρονικών επικοινωνιών 33 Τμήμα Ψηφιακών Συστημάτων

34 Πρότυπα και προτυποποίηση…  Τεχνικό πρότυπο (technical standard): ένας θεσπισμένος κανόνας ή μια απαίτηση σχετική με τεχνικά συστήματα.  De jure, De facto  Διεθνή, περιφερειακά, εθνικά  Προτυποποίηση (standardization): η διεργασία ανάπτυξης και υλοποίησης τεχνικών προτύπων. 34 Τμήμα Ψηφιακών Συστημάτων

35 …Πρότυπα και προτυποποίηση…  Πιστοποίηση (certification): η επιβεβαίωση της ύπαρξης συγκεκριμένων χαρακτηριστικών σε ένα αντικείμενο, πρόσωπο, ή οργανισμό.  Διαπίστευση (accreditation): μια διεργασία πιστοποίησης μιας ικανότητας, μιας αρμοδιότητας ή της αξιοπιστίας ενός οργανισμού. 35 Τμήμα Ψηφιακών Συστημάτων

36 …Πρότυπα και προτυποποίηση…  Ωφέλειες: Επιχειρήσεις, καταναλωτές, κυβερνήσεις, μεταφορά τεχνογνωσίας.  Πρότυπα στην ασφάλεια: ISO/IEC 27000, Federal Information Security Management Act (FISMA), NIST, IETF, ISF, COBIT (ISACA), BSI-100. 36 Τμήμα Ψηφιακών Συστημάτων

37 …Πρότυπα και προτυποποίηση…  Ο Διεθνής Οργανισμός Προτυποποίησης (International Organization for Standardization – ISO) ιδρύθηκε το 1946.  Έχει δημοσιεύσει περισσότερα από 19.500 διεθνή πρότυπα.  Μέλη του ISO είναι οι εθνικοί φορείς προτυποποίησης.  Σήμερα, ο ISO έχει μέλη από 163 χώρες 37 Τμήμα Ψηφιακών Συστημάτων

38 …Πρότυπα και προτυποποίηση  Η Διεθνής Ηλεκτροτεχνική Επιτροπή (International Electrotechnical Commission – IEC) είναι μη κερδοσκοπικός, μη κυβερνητικός οργανισμός που ιδρύθηκε το 1906.  Τα μέλη της IEC είναι εθνικές επιτροπές, οι οποίες ορίζουν εκπροσώπους προερχόμενους από επιχειρήσεις, κυβερνητικά όργανα, επιστημονικές ενώσεις και την ακαδημαϊκή κοινότητα.  Η IEC συνεργάζεται με τον ISO και με τη Διεθνή Ένωση Τηλεπικοινωνιών (International Telecommunication Union – ITU) του ΟΗΕ. 38 Τμήμα Ψηφιακών Συστημάτων

39 Πληροφορίες ή δεδομένα;  Τι είναι το «30»;  Δεδομένα: Σύνολο καταγεγραμμένων συμβόλων  Πληροφορία: Δεδομένα + Ερμηνεία 39 Τμήμα Ψηφιακών Συστημάτων

40 Εννοιολογική θεμελίωση 40 Τμήμα Ψηφιακών Συστημάτων

41 Η έννοια της ασφάλειας…  …αποδίδει στην ελληνική γλώσσα τους αγγλικούς όρους:  Security  Safety  Insurance  Assurance 41 Τμήμα Ψηφιακών Συστημάτων

42 Στόχος  Πλαίσιο κοινού λεξιλογίου για τη συζήτηση των ζητημάτων Ασφάλειας Πληροφοριακών και Επικοινωνιακών Συστημάτων  Κατανόηση των σχέσεων μεταξύ των διαφορετικών όρων που σχετίζονται με την περιοχή της Ασφάλειας Πληροφοριακών και Επικοινωνιακών Συστημάτων 42 Τμήμα Ψηφιακών Συστημάτων

43 Κύριες έννοιες…  Αγαθό (Asset): ένας πόρος που αξίζει να προστατευθεί  Φυσικά, Πληροφορίες/δεδομένα, Λογισμικό, Άνθρωποι, Άυλα  Αξία (Value): Σπουδαιότητα εκφραζόμενη σε χρηματικούς ή άλλους όρους  Ζημιά (Harm): ο περιορισμός της αξίας ενός αγαθού 43 Τμήμα Ψηφιακών Συστημάτων

44 …Κύριες έννοιες…  Απειλή (Threat): μία πιθανή αιτία που μπορεί να προκαλέσει ζημιά σε ένα αγαθό.  Φυσικές, Τεχνικής φύσης, Ανθρώπινες: Σκόπιμες ή τυχαίες  Ευπάθεια (Vulnerability): Μία αδυναμία ενός αγαθού ή ομάδας αγαθών που μπορεί να την εκμεταλλευτούν μία ή περισσότερες απειλές.  Υλικού, Λογισμικού, Δικτύου, Προσωπικού, Διαχειριστικής φύσης, Κτιρίου.  Επίπτωση (Impact): Αλλαγή (δυσμενής) στο επίπεδο επίτευξης των επιχειρησιακών στόχων που μπορεί να προκύψει ως συνέπεια μιας παραβίασης.  Οικονομική απώλεια, Διακοπή λειτουργίας, Απώλεια καλής φήμης, Βλάβη εμπορικών/οικονομικών συμφερόντων, παραβίαση της νομοθεσίας, παρεμπόδιση της δικαιοσύνης, σωματική βλάβη 44 Τμήμα Ψηφιακών Συστημάτων

45 …Κύριες έννοιες  Κίνδυνος (Risk): Το ενδεχόμενο μια συγκεκριμένη απειλή να εκμεταλλευτεί ευπάθειες και έτσι να προκαλέσει ζημιά.  Αντίμετρο ή μέτρο ασφάλειας (Safeguard): Ένα μέτρο διαχείρισης του κινδύνου.  Πολιτικές, κανόνες, διαδικασίες, οδηγίες, οργανωσιακές πρακτικές, οργανωσιακές δομές.  Υπόλοιπο κινδύνου (Residual risk): Ο κίνδυνος που απομένει μετά την εγκατάσταση των μέτρων ασφάλειας. 45 Τμήμα Ψηφιακών Συστημάτων

46 46 Τμήμα Ψηφιακών Συστημάτων

47 Ασφάλεια Πληροφοριακού Συστήματος  Το οργανωμένο πλαίσιο από έννοιες, αντιλήψεις, αρχές, πολιτικές, διαδικασίες, τεχνικές και μέτρα που απαιτούνται για να προστατευθούν τα στοιχεία του Π.Σ., αλλά και το σύστημα ολόκληρο, από κάθε σκόπιμη ή τυχαία απειλή. 47 Τμήμα Ψηφιακών Συστημάτων

48 Ασφάλεια Πληροφοριακού Συστήματος  Έμφαση στο Π.Σ. ως ολότητα αλλά και σε όλα τα επιμέρους στοιχεία του.  Η προστασία αφορά κάθε είδους απειλή (τυχαία ή σκόπιμη).  Η ασφάλεια Π.Σ. συνδέεται άμεσα τόσο με τις τεχνικές, διαδικασίες και διοικητικά μέτρα όσο και με τις αντιλήψεις, αρχές και παραδοχές.  Το πλαίσιο αυτό χαρακτηρίζεται από οργάνωση. 48 Τμήμα Ψηφιακών Συστημάτων

49 Ασφάλεια Πληροφοριών και Τεχνολογικής Υποδομής 49 Τμήμα Ψηφιακών Συστημάτων  Ασφάλεια Πληροφοριών:  Επίτευξη και διατήρηση της ασφάλειας σε σχέση με πληροφορίες ή υπολογιστικά συστήματα διαχείρισης πληροφοριών.  Ασφάλεια τεχνολογιών πληροφορικής και επικοινωνιών:  Επίτευξη και διατήρηση της ασφάλειας των υπολογιστικών πόρων.

50 Κύρια χαρακτηριστικά της ασφάλειας  Εμπιστευτικότητα (Confidentiality): Η διασφάλιση ότι οι πληροφορίες δεν αποκαλύπτονται και δε γίνονται διαθέσιμες σε μη εξουσιοδοτημένα άτομα, οντότητες ή διαδικασίες.  Ακεραιότητα (Integrity): Η διασφάλιση της ορθότητας και πληρότητας ενός αγαθού ή η αποφυγή μη εξουσιοδοτημένης τροποποίησης ενός αγαθού.  Διαθεσιμότητα (Availability): Η διασφάλιση ότι ένα αγαθό είναι διαθέσιμο όταν ζητείται από μία εξουσιοδοτημένη οντότητα. 50 Τμήμα Ψηφιακών Συστημάτων

51 Άλλα χαρακτηριστικά της ασφάλειας…  Αυθεντικότητα (Authenticity): Η διασφάλιση ότι η ταυτότητα μίας οντότητας είναι αυτή που έχει ισχυριστεί.  Η οντότητα αυτή μπορεί να είναι χρήστης, διαδικασία ή σύστημα.  Λογοδοσία (Accountability): Η διασφάλιση ότι όλες οι ενέργειες μίας οντότητας μπορούν να εντοπιστούν μοναδικά για την οντότητα αυτή. 51 Τμήμα Ψηφιακών Συστημάτων

52 …Άλλα χαρακτηριστικά της ασφάλειας  Μη αποποίηση ευθύνης (Non-Repudiation): Η διασφάλιση ότι μπορεί να αποδειχθεί ότι κάθε ενέργεια ή γεγονός έλαβε χώρα, ώστε να μην είναι δυνατόν να αμφισβητηθεί.  Αξιοπιστία (Reliability): Η διασφάλιση ότι μία οντότητα έχει συμπεριφορά και αποτελέσματα που είναι συνεπή με τα επιδιωκόμενα. 52 Τμήμα Ψηφιακών Συστημάτων

53 Τα εισαγωγικά θέματα… …και οι βασικές έννοιες στην ασφάλεια Πληροφοριών και Τεχνολογιών Πληροφορικής & Επικοινωνιών, πληθαίνουν συνεχώς καθώς ο άνθρωπος εξοικειώνεται με τις τεχνολογίες καθιστώντας σήμερα ως «βασικό» αυτό που μέχρι εχθές ήταν «υπερβολή». 53 Τμήμα Ψηφιακών Συστημάτων

54 54 Τμήμα Ψηφιακών Συστημάτων Ευχαριστώ!


Κατέβασμα ppt "Πολιτικές & Διαχείριση Ασφάλειας Δρ. Γιώργος Αγγελινός Εισαγωγικά θέματα."

Παρόμοιες παρουσιάσεις


Διαφημίσεις Google