Κατέβασμα παρουσίασης
Η παρουσίαση φορτώνεται. Παρακαλείστε να περιμένετε
1
ΠΟΛΙΤΙΚΕΣ ΚΑΙ ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ
Συστήματα διαχείρισης της ασφάλειας πληροφοριών Σωκράτης Κάτσικας
2
Το επαγγελματικό πεδίο της ασφάλειας
3
Μερικές (όχι τόσο γνωστές) διαπιστώσεις…
Μόνο το 1/3 του χρόνου του υπεύθυνου ασφάλειας καταναλώνεται σε τεχνικά θέματα. Τα υπόλοιπα δύο τρίτα καταναλώνονται στην ανάπτυξη πολιτικών και διαδικασιών, στην εκπόνηση μελετών ανάλυσης κινδύνων, στη διαμόρφωση σχεδίων επιχειρησιακής συνέχειας και στην ανάληψη δράσεων αύξησης της επίγνωσης που έχει το προσωπικό σχετικά με την ασφάλεια.
4
…Μερικές (όχι τόσο γνωστές) διαπιστώσεις…
Η ασφάλεια είναι σαν μια αλυσίδα· είναι τόσο ισχυρή όσο ο πιο αδύναμος κρίκος της, που είναι πάντα οι άνθρωποι και όχι η τεχνολογία. Οι εργαζόμενοι σε ένα οργανισμό αποτελούν πολύ μεγαλύτερη απειλή για την ασφάλεια πληροφοριών απ’ ό,τι πρόσωπα εκτός του οργανισμού.
5
…Μερικές (όχι τόσο γνωστές) διαπιστώσεις
Το επίπεδο ασφάλειας πληροφοριών σε ένα οργανισμό εξαρτάται από τρεις παράγοντες: τα αποδεκτά επίπεδα κινδύνου που έχει καθορίσει ο οργανισμός, τη λειτουργικότητα του πληροφοριακού συστήματος και το κόστος που προτίθεται ο οργανισμός να πληρώσει για την ασφάλεια
6
Η ασφάλεια ως διεργασία
Η ασφάλεια πληροφοριών δεν είναι μια στατική κατάσταση πραγμάτων· είναι μια διεργασία. Ένα σύνολο αλληλοσυσχετιζόμενων ή αλληλεπιδρωσών δραστηριοτήτων που χρησιμοποιεί πόρους προκειμένου να μετασχηματίσει εισόδους σε εξόδους χρησιμοποιώντας πόρους, αναφέρεται ως διεργασία (process).
7
Ποιος έχει την ευθύνη; H πληροφορία αποτελεί περιουσιακό στοιχείο του οργανισμού· ως τέτοιο, η προστασία του αποτελεί ευθύνη της διοίκησης. Το πρόγραμμα προστασίας των πληροφοριών είναι μια επιχειρησιακή διεργασία σχεδιασμένη ώστε να παρέχει στη διοίκηση τα μέσα για να μπορέσει να ασκήσει τα καθήκοντά της.
8
Επομένως H ασφάλεια πληροφοριών δεν είναι αμιγώς τεχνικό θέμα, αλλά κυρίως θέμα ανθρώπων και θέμα διαχείρισης (management).
9
Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών
Σύστημα Διαχείρισης (management system) είναι ένα πλαίσιο πολιτικών, διαδικασιών, οδηγιών και των πόρων που απαιτούνται προκειμένου να επιτευχθούν οι στόχοι του οργανισμού. Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών – ΣΔΑΠ (Information Security Management System – ISMS) είναι εκείνο το τμήμα του συνολικού Συστήματος Διαχείρισης του οργανισμού, που αφορά στην ασφάλεια πληροφοριών.
10
Γιατί χρειάζεται το ΣΔΑΠ
Ένδειξη ικανότητας ικανοποίησης απαιτήσεων ασφάλειας. Η ικανότητα αυτή συνδέεται στενά με την ικανότητά του να διασφαλίσει την επιχειρησιακή του συνέχεια, να ελαχιστοποιήσει τις ζημιές και τις απώλειες αν συμβεί κάποιο περιστατικό παραβίασης ασφάλειας, να αποκτήσει συγκριτικά πλεονεκτήματα έναντι των ανταγωνιστών του, να αυξήσει την κερδοφορία και να βελτιώσει τις χρηματορροές του, να συμμορφωθεί με τις απαιτήσεις του νόμου και, εν τέλει, να αποκτήσει καλή φήμη.
11
Για να είναι αποτελεσματικό το ΣΔΑΠ…
οι στόχοι και οι δραστηριότητες που προβλέπει πρέπει να μην αποκλίνουν από τους γενικότερους στόχους του οργανισμού. Οι απαιτήσεις ασφάλειας πρέπει να έχουν προσδιοριστεί με βάση μελέτη ανάλυσης και διαχείρισης κινδύνων. Το ΣΔΑΠ πρέπει να έχει τη συνεχή, αταλάντευτη και ορατή απ’ όλους στήριξη της διοίκησης του οργανισμού, ειδικότερα δε του ανώτατου επιπέδου διοίκησης.
12
…Για να είναι αποτελεσματικό το ΣΔΑΠ
Επιπλέον, το ΣΔΑΠ πρέπει να είναι συμβατό με την οργανωσιακή κουλτούρα. Πρέπει να περιλαμβάνει ένα πρόγραμμα ενημέρωσης, κατάρτισης και εκπαίδευσης των εργαζομένων στον οργανισμό, αλλά και των σχετιζόμενων με αυτόν εξωτερικών συνεργατών. Το ΣΔΑΠ πρέπει επίσης να περιλαμβάνει διαδικασίες διαχείρισης περιστατικών παραβίασης ασφάλειας, σχέδιο επιχειρησιακής συνέχειας και ένα σύστημα μέτρησης της ίδιας του της απόδοσης, ώστε να καθίσταται δυνατή η βελτίωσή του.
13
Η σειρά προτύπων ISO 27k… ‘80s (USA, UK): Baseline best controls
‘90s (UK): Συγκρότηση ομάδας εμπειρογνωμόνων 1995 (UK): BS (code of practice) 1997 (UK): BS (ISMS specification) (UK): Πιλοτική εφαρμογή πιστοποίησης κατά BS
14
…Η σειρά προτύπων ISO 27k…
1999: Περίπου 20 χώρες έχουν υιοθετήσει τα BS &2 2000: BS δεκτό ως ISO/IEC 2002: To ISO/IEC αναριθμείται σε ISO/IEC 27002 2005: To BS δημοσιεύεται ως ISO/IEC
15
…Η σειρά προτύπων ISO 27k…
Παρέχει συστάσεις καλών πρακτικών για τη διαχείριση της ασφάλειας πληροφοριών, τη διαχείριση κινδύνων και τα μέτρα ασφάλειας, μέσα στο γενικότερο περιβάλλον ενός ΣΔΑΠ. Ο σχεδιασμός του ΣΔΑΠ μοιάζει με εκείνον των συστημάτων διαχείρισης της διασφάλισης ποιότητας (σειρά προτύπων ISO 9000) και των συστημάτων διαχείρισης της προστασίας του περιβάλλοντος (σειρά προτύπων ISO 14000).
16
…Η σειρά προτύπων ISO 27k…
Επί του παρόντος, έχουν δημοσιευθεί 44 πρότυπα της σειράς, ενώ αρκετά ακόμη βρίσκονται στο στάδιο της προετοιμασίας. Σχετική και η σειρά ISO29k για ιδιωτικότητα.
18
Το πρότυπο ISO/IEC 27001:2013… Οδηγίες για τον καθορισμό προδιαγραφών για: το Σχεδιασμό την Υλοποίηση τη Λειτουργία την Παρακολούθηση τον Έλεγχο και Συντήρηση ενός τεκμηριωμένου Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών σε ένα οργανωσιακό πλαίσιο
19
…Το πρότυπο ISO/IEC 27001:2013… Εφαρμόζεται σε όλους τους τύπους οργανισμών και επιχειρήσεων οποιουδήποτε επιχειρηματικού κλάδου: Εμπορικές επιχειρήσεις Κυβερνητικοί οργανισμοί Μη κερδοσκοπικοί οργανισμοί κτλ. Είναι ανεξάρτητο μεγέθους και δραστηριοτήτων του οργανισμού
20
Το πρότυπο ISO/IEC 27001:2013: Δομή…
Επτά ενότητες, με υπο-ενότητες Το περιβάλλον του οργανισμού Κατανόηση του οργανισμού και του περιβάλλοντός του Κατανόηση των αναγκών και των προσδοκιών των μετόχων Καθορισμός της έκτασης του ΣΔΑΠ ΣΔΑΠ
21
…Το πρότυπο ISO/IEC 27001:2013: Δομή…
Η ηγεσία Ηγεσία και δέσμευση Πολιτική Οργανωσιακοί ρόλοι, αρμοδιότητες και καθήκοντα Ο σχεδιασμός Ενέργειες για την αντιμετώπιση κινδύνων και την αξιοποίηση ευκαιριών Στόχοι της ασφάλειας πληροφοριών και σχεδιασμός για την επίτευξή τους
22
…Το πρότυπο ISO/IEC 27001:2013: Δομή…
Υποστήριξη Πόροι Ικανότητες Επίγνωση Επικοινωνία Τεκμηρίωση Λειτουργία Λειτουργικός σχεδιασμός και έλεγχος Εκτίμηση κινδύνων Διαχείριση κινδύνων
23
…Το πρότυπο ISO/IEC 27001:2013: Δομή
Αξιολόγηση επίδοσης Παρακολούθηση, μέτρηση, ανάλυση και αξιολόγηση Εσωτερικός έλεγχος Επανεξέταση από τη διοίκηση Βελτίωση Ασυμμορφία και διορθωτικές ενέργειες Συνεχής βελτίωση
24
Προσέγγιση Το μοντέλο που προτείνει το πρότυπο ακολουθεί διεργασιακή προσέγγιση Εστίαση στη σημασία: Κατανόησης των απαιτήσεων ασφάλειας Καθιέρωσης των στόχων ασφάλειας και μίας πολιτικής ασφάλειας Υλοποίησης και λειτουργίας μέτρων ασφάλειας κατάλληλων για να αντιμετωπίσουν κινδύνους που εντάσσονται στο συγκεκριμένο οργανωσιακό πλαίσιο Μία διεργασία αναφέρεται στη χρήση και διαχείριση πόρων για την πραγματοποίηση κάποιας δραστηριότητας και τη μετατροπή ενός στοιχείου εισαγωγής (input) σε ένα αποτέλεσμα (output). Ένα σύνολο διεργασιών, μαζί με τις αλληλεξαρτήσεις του και τον τρόπο διαχείρισής του αποτελεί μία διεργασιακή προσέγγιση. Το πρότυπο ακολουθεί μία τέτοια διεργασιακή προσέγγιση για το σχεδιασμό, υλοποίηση, λειτουργία, παρακολούθηση, έλεγχο και συντήρηση της ασφάλειας πληροφοριών. Ιδιαίτερη εστίαση δίνεται στη σημασία της κατανόησης των απαιτήσεων ασφάλειας για τον οργανισμό, την καθιέρωση μίας πολιτικής ασφάλειας και των στόχων ασφάλειας για τον οργανισμό, την υλοποίηση και λειτουργία μέτρων ασφάλειας που είναι κατάλληλα για την αντιμετώπιση των κινδύνων παραβίασης της ασφάλειας πληροφοριών μέσα στο συνολικό οργανωσιακό πλαίσιο. Τέλος, έμφαση δίνεται στη διαρκή βελτίωση του της διαχείρισης ασφάλειας πληροφοριών με τη διαρκή αναθεώρηση όλων των διεργασιών.
25
Ο κύκλος ζωής της Διαχείρισης Ασφάλειας Πληροφοριών
Το πρότυπο ορίζει ένα κύκλο ζωής της Διαχείρισης Ασφάλειας Πληροφοριών που ακολουθεί ένα μοντέλο τεσσάρων επαναλαμβανόμενων σταδίων: Σχεδιασμός Υλοποίηση Έλεγχος Διόρθωση Το πρότυπο συνθέτει όλες τις διεργασίες του Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών σε ένα κυκλικό μοντέλο τεσσάρων κύριων σταδίων σχεδιασμού/υλοποίησης/ελέγχου/διόρθωσης (Plan/Do/Check/Act).
27
Ο κύκλος ζωής της Διαχείρισης Ασφάλειας Πληροφοριών
Το μοντέλο ακολουθεί την προσέγγιση που εφαρμόζεται στη διαχείριση ποιότητας σύμφωνα με το διαδεδομένο πρότυπο ποιότητας ISO 9001:2008 για συστήματα διαχείρισης ποιότητας Το μοντέλο αυτό έχει χρησιμοποιηθεί ευρέως στη διαχείριση συστημάτων ποιότητας σύμφωνα με το ISO 9001:2008 για συστήματα διαχείρισης ποιότητας.
28
Είσοδοι και έξοδοι Είσοδοι (input): Έξοδοι (output):
Απαιτήσεις των εμπλεκόμενων στην ασφάλεια Προδιαγραφές ασφάλειας Έξοδοι (output): Ασφάλεια πληροφοριών υπό διαχείριση Το μοντέλο του Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών δέχεται διαρκώς ως στοιχεία εισαγωγής τις απαιτήσεις ασφάλειας που θέτουν όσοι εμπλέκονται στην ασφάλεια. Οι εμπλεκόμενοι στην ασφάλεια είναι όλοι όσοι επηρεάζουν και επηρεάζονται από την ασφάλεια πληροφοριών, όπως χρήστες, διοικητικά στελέχη, τεχνικοί κτλ. Επιπρόσθετα, το μοντέλο δέχεται ως εισαγωγή τις προδιαγραφές ασφάλειας οι οποίες μπορεί να προκύπτουν και από εξωτερικές πηγές, όπως νομοθεσία. Το αποτέλεσμα των διεργασιών του Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών είναι η διαχείριση και ο έλεγχος της ασφάλειας πληροφοριών σε ένα συγκεκριμένο επίπεδο.
29
Η φάση σχεδιασμού (Plan)
Καθιέρωση ενός πλαισίου Διαχείρισης της Ασφάλειας Πληροφοριών στο συνολικό πλαίσιο των στόχων και πολιτικών του οργανισμού: Στόχοι και επιδιώξεις ασφάλειας Διαδικασίες ασφάλειας Πολιτική του ΣΔΑΠ Στο στάδιο του Σχεδιασμού περιλαμβάνονται οι διεργασίες που αποσκοπούν στην οριοθέτηση και καθιέρωση του Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών. Για αυτό το σκοπό είναι απαραίτητο να καθοριστούν οι στόχοι, οι επιδιώξεις και οι διαδικασίες που σχετίζονται με τη διαχείριση των κινδύνων και τη βελτίωση της ασφάλειας πληροφοριών. Επιπλέον, σε αυτό το στάδιο καθορίζεται μία πολιτική Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών, η οποία θέτει ένα πλαίσιο στόχων της ασφάλειας για τον οργανισμό και την προτεραιότητα που δίνει ο οργανισμός στην ασφάλεια. Οι διεργασίες του Σχεδιασμού λαμβάνουν υπόψη το συνολικό πλαίσιο οργάνωσης και λειτουργίας του οργανισμού, τους στόχους και τις λοιπές πολιτικές που έχει καθιερώσει ο οργανισμός.
30
Η φάση σχεδιασμού (Plan): δραστηριότητες
Καθορισμός του πεδίου εφαρμογής του ΣΔΑΠ (τοποθεσία, συστήματα, δεδομένα κ.ά.) Θέσπιση Πολιτικής ΣΔΑΠ Ορισμός μεθόδου ανάλυσης κινδύνων Εκπόνηση μελέτης ανάλυσης κινδύνων Επιλογή στρατηγικής διαχείρισης κινδύνων Έγκριση από τη Διοίκηση Διαμόρφωση Δήλωσης Εφαρμογής Η πρώτη ενέργεια που πρέπει να πραγματοποιηθεί για το Σχεδιασμό του Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών είναι η οριοθέτησή του σε σχέση με την τοποθεσία, τις υποδομές, τα δεδομένα, το λογισμικό κτλ. Στη συνέχεια, πρέπει να καθιερωθεί μία Πολιτική ΣΔΑΠ η οποία καταγράφει τις επιδιώξεις του οργανισμού για την ασφάλεια και την κατεύθυνση της Διοίκησης, λαμβάνει υπόψη το κανονιστικό πλαίσιο και θέτει κριτήρια αξιολόγησης των κινδύνων. Σημειώνεται ότι η Πολιτική ΣΔΑΠ είναι ευρύτερη της(-ων) πολιτικής(-ών) ασφάλειας πληροφοριακών συστημάτων. Στη συνέχεια, ορίζεται και εκτελείται μία μέθοδος για την ανάλυση επικινδυνότητας, σύμφωνα με την οποία αναγνωρίζονται οι κίνδυνοι για τα αγαθά (απειλές, ευπάθειες, επιπτώσεις) και αποτιμάται και αξιολογείται η επικινδυνότητα που προκύπτει (η ανάλυση επικινδυνότητας αναλύεται στο πρότυπο ISO 27005:2008).
31
Η φάση υλοποίησης (Do) Υλοποίηση των δράσεων που σχεδιάστηκαν στην προηγούμενη φάση (Σχεδιασμού) Στο στάδιο της Υλοποίησης ο οργανισμός υλοποιεί και θέτει σε λειτουργία τις δράσεις που έχουν σχεδιαστεί στο προηγούμενο στάδιο (Σχεδιασμός). Τα στοιχεία αυτά περιλαμβάνουν την πολιτική του Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών, τις διαδικασίες ασφάλειας αλλά και συνολικά τα μέτρα ασφάλειας που έχουν προδιαγραφεί. Τα μέτρα ασφάλειας αυτά μπορεί να είναι τεχνικά, οργανωσιακά ή διαδικαστικά. Για παράδειγμα, στο στάδιο του Σχεδιασμού μπορεί να καθοριστεί ότι είναι απαραίτητη η εγκατάσταση ενός αναχώματος προστασίας των δικτύων (firewall) και στο στάδιο της Υλοποίησης πραγματοποιείται η εγκατάστασή του και τίθεται σε λειτουργία.
32
Η φάση υλοποίησης (Do): Δραστηριότητες
Διαμόρφωση σχεδίου διαχείρισης κινδύνων Κατανομή ρόλων και αρμοδιοτήτων Υλοποίηση μέτρων ασφάλειας Σχεδιασμός και υλοποίηση δράσεων ενημέρωσης και κατάρτισης Λειτουργία του ΣΔΑΠ Υλοποίηση των διαδικασιών έγκαιρης ανίχνευσης περιστατικών ασφάλειας Υλοποίηση των διαδικασιών αντιμετώπισης περιστατικών παραβίασης ασφάλειας Στο στάδιο της Υλοποίησης ο οργανισμός υλοποιεί και θέτει σε λειτουργία τις δράσεις που έχουν σχεδιαστεί στο προηγούμενο στάδιο (Σχεδιασμός). Τα στοιχεία αυτά περιλαμβάνουν την πολιτική του Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών, τις διαδικασίες ασφάλειας αλλά και συνολικά τα μέτρα ασφάλειας που έχουν προδιαγραφεί. Τα μέτρα ασφάλειας αυτά μπορεί να είναι τεχνικά, οργανωσιακά ή διαδικαστικά. Για παράδειγμα, στο στάδιο του Σχεδιασμού μπορεί να καθοριστεί ότι είναι απαραίτητη η εγκατάσταση ενός αναχώματος προστασίας των δικτύων (firewall) και στο στάδιο της Υλοποίησης πραγματοποιείται η εγκατάστασή του και τίθεται σε λειτουργία.
33
Η φάση ελέγχου (Check) Παρακολούθηση και έλεγχος του Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών: Αξιολόγηση και μέτρηση (όπου είναι εφικτό) των επιδόσεων Αναφορά αποτελεσμάτων στη Διοίκηση Στο στάδιο του Ελέγχου πραγματοποιείται παρακολούθηση και έλεγχος του Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών σε σχέση με την πολιτική του Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών και τους στόχους που πρέπει να ικανοποιεί. Ο οργανισμός πραγματοποιεί αξιολόγηση και όπου είναι εφικτό αντικειμενικές μετρήσεις των επιδόσεων του Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών. Τα αποτελέσματα του Ελέγχου καταγράφονται σε αναφορά και δίνονται στη Διοίκηση με σκοπό την επίσημη αναθεώρηση του Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών.
34
Η φάση ελέγχου (Check): δραστηριότητες…
Έλεγχος καλής λειτουργίας διαδικασιών για: Έγκαιρη ανίχνευση λαθών Έγκαιρη ανίχνευση περιστατικών ασφάλειας Έλεγχο τήρησης αρμοδιοτήτων ασφάλειας Αποτελεσματικότητα ενεργειών χειρισμού περιστατικών ασφάλειας Στο στάδιο του Ελέγχου αρχικά υλοποιούνται διαδικασίες παρακολούθησης και αναθεώρησης με σκοπό την έγκαιρη ανίχνευση λαθών και περιστατικών ασφάλειας, τον έλεγχο τήρησης των αρμοδιοτήτων ασφάλειας που έχει αναλάβει το προσωπικό ή υλοποιούνται μέσω τεχνικών μέσων, και την παρακολούθηση της αποτελεσματικότητας των ενεργειών που πραγματοποιήθηκαν για το χειρισμό περιστατικών ασφάλειας.
35
…Η φάση ελέγχου (Check): δραστηριότητες
Τακτικοί έλεγχοι αποτελεσματικότητας του ΣΔΑΠ Έλεγχοι αποτελεσματικότητας μέτρων ασφάλειας Έλεγχος στοιχείων της μελέτης ανάλυσης κινδύνων Τακτικοί εσωτερικοί έλεγχοι Τακτική επανεξέταση του ΣΔΑΠ από τη Διοίκηση Σε τακτικά χρονικά διαστήματα το πρότυπο απαιτεί τον έλεγχο της αποτελεσματικότητας του ΣΔΑΠ λαμβάνοντας υπόψη εσωτερικούς ελέγχους, περιστατικά ασφάλειας, μετρικές και προτάσεις από όλους τους εμπλεκόμενους. Στις ενέργειες Ελέγχου περιλαμβάνεται ο έλεγχος αποτελεσματικότητας των μέτρων ασφάλειας και η αναθεώρηση της ανάλυσης επικινδυνότητας στην περίπτωση αλλαγών στον οργανισμό, όπως εισαγωγή νέας τεχνολογίας ή λογισμικού. Ακόμη απαιτούνται τακτικοί εσωτερικοί έλεγχοι και συνολική αναθεώρηση του ΣΔΑΠ από τη Διοίκηση σε τακτά χρονικά διαστήματα.
36
Η φάση διόρθωσης (Act) Συντήρηση και βελτίωση του Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών σύμφωνα με τους εσωτερικούς ελέγχους και την επανεξέταση από τη Διοίκηση: Διορθωτικές ενέργειες Προληπτικές ενέργειες Στο στάδιο της Διόρθωσης λαμβάνονται διορθωτικές, αλλά και προληπτικές, ενέργειες που προκύπτουν από τους εσωτερικούς ελέγχους και την αναθεώρηση της Διοίκησης (και οποιαδήποτε άλλη σχετική πληροφορία μπορεί να υπάρχει) που πραγματοποιήθηκαν στο προηγούμενο στάδιο. Ο στόχος του σταδίου αυτού είναι η διαρκής διόρθωση και βελτίωση του Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών.
37
Η φάση διόρθωσης (Act): δραστηριότητες
Διόρθωση σημείων που χρήζουν βελτίωσης Υλοποίηση διορθωτικών ενεργειών Υλοποίηση προληπτικών ενεργειών Ενημέρωση των μετόχων Έλεγχος αποτελεσματικότητας διορθώσεων Κατά το στάδιο της Διόρθωσης αρχικά πραγματοποιείται διόρθωση του ΣΔΑΠ σύμφωνα με τις παρατηρήσεις του Ελέγχου. Επιπλέον, υλοποιούνται διορθωτικές ενέργειες (αναγνώριση μη συμμορφώσεων με το πρότυπο, αντιμετώπισή τους, καταγραφή αποτελεσμάτων) και προληπτικές ενέργειες (αποτροπή μη συμμορφώσεων με το πρότυπο, πραγματοποίηση ενεργειών και καταγραφή αποτελεσμάτων). Στη συνέχεια πραγματοποιείται επικοινωνία με όλους τους εμπλεκομένους σε σχέση με τις ενέργειες που εκτελέστηκαν. Τέλος, διεξάγονται έλεγχοι για να διασφαλιστεί ότι οι ενέργειες που πραγματοποιήθηκαν ικανοποιούν τους στόχους τους.
39
Η στήριξη της διοίκησης…
Το ανώτατο επίπεδο διοίκησης κάθε οργανισμού εξετάζει, στο πλαίσιο ενός δεδομένου και πεπερασμένου προϋπολογισμού, εναλλακτικές δράσεις που του προτείνονται με κριτήρια, συνήθως, κόστους - οφέλους για τον οργανισμό. Επομένως, πρέπει να πειστεί το ανώτατο επίπεδο διοίκησης ότι οι το πρόγραμμα ασφάλειας θα αποφέρει οφέλη στον οργανισμό και μάλιστα περισσότερα οφέλη από αυτά που θα αποφέρουν άλλες, ανταγωνιστικές δράσεις.
40
…Η στήριξη της διοίκησης…
Αναμενόμενα από το ΣΔΑΠ οφέλη οφέλη λόγω της μείωσης του κινδύνου για την ασφάλεια πληροφοριών, οφέλη λόγω της προτυποποίησης, οφέλη λόγω της δομημένης προσέγγισης στο πρόβλημα και οφέλη λόγω της συμμόρφωσης με το πρότυπο ISO/IEC
41
…Η στήριξη της διοίκησης…
Το κόστος της δράσης αναλύεται στο κόστος της διαχείρισης της δράσης υλοποίησης του ΣΔΑΠ, σε άλλα κόστη που αφορούν στην υλοποίηση του ΣΔΑΠ (π.χ. το κόστος απογραφής των πληροφοριακών αγαθών και της δημιουργίας σχετικής βάσης δεδομένων, το κόστος υποστηρικτικών μελετών κλπ.), στο κόστος πιστοποίησης και στο κόστος λειτουργίας και συντήρησης του ΣΔΑΠ.
42
Η στήριξη της διοίκησης υπάρχει όταν
Συμμετέχει ενεργά στη διαμόρφωση μιας πολιτικής ασφάλειας Καθορίζει ρόλους και αναθέτει αρμοδιότητες και καθήκοντα για την ασφάλεια πληροφοριών. Φροντίζει να γνωστοποιήσει σε όλον τον οργανισμό τη σημασία που αποδίδει στη συμμόρφωση με την πολιτική ασφάλειας. Διαθέτει τους απαραίτητους ανθρώπινους και οικονομικούς πόρους που απαιτούνται για την ανάπτυξη, τη λειτουργία και τη συντήρηση του ΣΔΑΠ.
43
Το πεδίο εφαρμογής Καθορίζεται από τη διοίκηση, λαμβάνοντας υπόψη
τη φύση του οργανισμού, την οργάνωσή του, τη γεωγραφική του θέση και τα πληροφοριακά αγαθά και τις τεχνολογίες που χρησιμοποιεί. Η βέλτιστη επιλογή είναι το πεδίο εφαρμογής του ΣΔΑΠ να καλύπτει όλα τα πληροφοριακά συστήματα ενός οργανισμού.
44
Η απογραφή των πληροφοριακών αγαθών
Καταχώριση στο μητρώο των πληροφοριακών αγαθών, που συνήθως έχει τη μορφή μιας βάσης δεδομένων ή, για μικρότερα ΣΔΑΠ, ενός βιβλίου εργασίας Excel. Για κάθε αγαθό το μητρώο καταγράφει τον τύπο του, τη μορφή του (π.χ. λογισμικό, φυσικό/έγχαρτο, υπηρεσίες, άνθρωποι, άυλα αγαθά), τη θέση του, πληροφορίες σχετικές με αντίγραφα ασφαλείας (backup), πληροφορίες σχετικές με άδειες χρήσης λογισμικού (licenses) και την επιχειρησιακή του αξία (π.χ. ποιες επιχειρησιακές διεργασίες εξαρτώνται απ’ αυτό το αγαθό).
45
Η διεξαγωγή της μελέτης εκτίμησης κινδύνων
Όλη η φιλοσοφία του ΣΔΑΠ στηρίζεται στην έννοια του κινδύνου για τα πληροφοριακά αγαθά. Το ISO/IEC 27005, αναφέρεται αποκλειστικά στην ανάλυση και διαχείριση κινδύνων.
46
Δήλωση εφαρμογής (SOA) και σχέδιο διαχείρισης κινδύνων (RTP)
47
Το Παράρτημα Α’ Περιγραφή των ενοτήτων μέτρων ασφάλειας που πρέπει να καλύπτει ένα ΣΔΑΠ 14 θεματικές ενότητες μέτρων 35 κατηγορίες-στόχοι ασφάλειας που ανήκουν σε αυτές 114 μέτρα ασφάλειας για την ικανοποίηση των στόχων ασφάλειας Το Παράρτημα Α’ του ISO αποτελεί ένα σημαντικό κομμάτι του. Εντάσσεται ως Παράρτημα καθώς δεν αποτελεί κομμάτι του μοντέλου για το ΣΔΑΠ, αλλά περιγράφει τις ενότητες, τους στόχους και τα μέτρα ασφάλειας που πρέπει να ικανοποιεί ένα ΣΔΑΠ. Ένας οργανισμός οφείλει να καλύπτει όλα τα μέτρα ασφάλειας του Παραρτήματος, με εξαίρεση περιπτώσεις στις οποίες δεν έχουν εφαρμογή κάποια από αυτά. Σε αυτή την περίπτωση οι εξαιρέσεις καταγράφονται στη Δήλωση με Εφαρμοσιμότητας. Η δομή των μέτρων ασφάλειας περιλαμβάνει 11 ενότητες που εξειδικεύονται σε 39 στόχους ασφάλειας και 133 μέτρα ασφάλειας για την επίτευξή τους.
48
Άλλες πηγές μέτρων ασφάλειας
Το πρότυπο Payment Card Industry Data Security Standard (PCI/DSS), Η εθνική νομοθεσία προστασίας δεδομένων προσωπικού χαρακτήρα ή άλλη σχετική νομοθεσία, Ο κατάλογος SANS Critical Controls, Ο κατάλογος IT Grundschutz της Bundesamt für Sicherheit in der Informationstechnik (BSI), Ο κατάλογος του National Institute of Science and Technology (NIST) Security and Privacy Controls for Federal Information Systems and Organizations κ.α. Δικός μας σχεδιασμός
49
Διαμόρφωση δήλωσης εφαρμογής
Επιλογή επιθυμητών μέτρων ασφάλειας. Προσδιορισμός κατάστασης υλοποίησης μέτρων μέσω Gap analysis (COBIT 4.1 Maturity Model, Carnegie Mellon Software Engineering Institute Capability Maturity Model - CMM).
50
Μοντέλο CMM Βαθμός 0: Διεργασία Ανύπαρκτη
Βαθμός 1: Διεργασία Αρχική/Ad hoc Βαθμός 2: Διεργασία Επαναλήψιμη, αλλά διαισθητική Βαθμός 3: Διεργασία Καθορισμένη Βαθμός 4: Διεργασία Διαχειριζόμενη και μετρήσιμη Βαθμός 5: Διεργασία Βελτιστοποιημένη
51
Μέτρα ασφάλειας ISO 27001:2013 Υπάρχοντα μέτρα ασφάλειας Παρατηρήσεις (Αιτιολόγηση αποκλεισμού) Επιλεγμένα μέτρα και λόγοι επιλογής Παρατηρήσεις (Κατάσταση υλοποίησης) ΝΑ ΣΥ ΕΑ/ΚΠ ΑΑΚ Ενότητα Υπο-ενότητα Μέτρο ασφάλειας ΝΑ =Νομική απαίτηση ΣΥ=Συμβατική υποχρέωση ΕΑ/ΚΠ=Επιχειρησιακή απαίτηση/Καλή πρακτική ΑΑΚ= Αποτέλεσμα ανάλυσης κινδύνων
52
Σχέδιο διαχείρισης κινδύνων…
Κίνδυνος: μόλυνση του δικτύου από αναπαραγωγούς ή άλλο παρόμοιο κακόβουλο λογισμικό, που προκαλεί διακοπές λειτουργίας του δικτύου, ζημιά στα δεδομένα, μη εξουσιοδοτημένη πρόσβαση σε συστήματα και άλλες συνεπακόλουθες ζημιές ή απώλειες, στις οποίες συμπεριλαμβάνονται και τα κόστη διερεύνησης των περιστατικών και αποκατάστασης.
53
…Σχέδιο διαχείρισης κινδύνων
Διαχείριση κινδύνου: Μετριασμός του κινδύνου πρωτίστως με χρήση αντιβιοτικών, καθώς και ελέγχων πρόσβασης στα δίκτυα, στα συστήματα και στα δεδομένα, όπως και διαχείρισης περιστατικών, αντιγράφων ασφάλειας, σχεδίων έκτακτης ανάγκης, πολιτικών, διαδικασιών και οδηγιών. Αναπαραγωγός (worm) είναι τύπος κακόβουλου λογισμικού που αναπαράγεται με σκοπό να εξαπλωθεί σε υπολογιστικά συστήματα.
54
Ο σχεδιασμός του προγράμματος υλοποίησης του ΣΔΑΠ
Τι ακριβώς πρόκειται να γίνει; Τι πόροι θα χρειαστούν; Ποιος θα είναι υπεύθυνος; Πότε θα τελειώσουμε; Πώς θα αξιολογήσουμε τα αποτελέσματα; Προτεραιότητα κάθε μιας δραστηριότητας ασφάλειας;
55
Η υλοποίηση του ΣΔΑΠ Η δραστηριότητα αυτή μπορεί να είναι και έντασης εργασίας και χρονοβόρα. Δεν είναι ασύνηθες να διαρκεί μήνες ή ακόμη και χρόνια. Κατά την υλοποίηση των μέτρων ασφάλειας, βελτιώνεται ο βαθμός ωριμότητας του ΣΔΑΠ και, επομένως, η δήλωση εφαρμογής πρέπει να επικαιροποιείται αναλόγως.
56
Η τεκμηρίωση του ΣΔΑΠ Στόχοι και πολιτική του ΣΔΑΠ
Πεδίο εφαρμογής του ΣΔΑΠ Διαδικασίες και άλλα μέτρα ασφάλειας που υποστηρίζουν το ΣΔΑΠ Περιγραφή μεθόδου εκτίμησης κινδύνων Έκθεση εκτίμησης κινδύνων Σχέδιο διαχείρισης κινδύνων Διαδικασίες που περιγράφουν πώς θα μετράται η αποτελεσματικότητα των μέτρων ασφάλειας Άλλα αρχεία Δήλωση Εφαρμογής Το πρότυπο απαιτεί ένα σύνολο από έγγραφα που πρέπει να δημιουργηθούν και να τηρούνται από το ΣΔΑΠ. Αυτά τα έγγραφα είναι: Πολιτική ΣΔΑΠ, η οποία αποτυπώνει τις επιδιώξεις του οργανισμού για την ασφάλεια και την κατεύθυνση της Διοίκησης Εύρος ΣΔΑΠ, δηλαδή η καταγεγραμμένη οριοθέτησή του ΣΔΑΠ σε σχέση με την τοποθεσία, τις υποδομές, τα δεδομένα, το λογισμικό κτλ. Περιγραφή μεθόδου ανάλυσης επικινδυνότητας, δηλαδή η περιγραφή της μεθόδου που επιλέχθηκε για την αποτίμηση επικινδυνότητας Μελέτη ανάλυσης επικινδυνότητας, δηλαδή τα αποτελέσματα της πραγματοποίησης αποτίμησης επικινδυνότητας Σχέδιο διαχείρισης επικινδυνότητας, τα μέτρα ασφάλειας που υλοποιούνται σύμφωνα με τα αποτελέσματα της αποτίμησης επικινδυνότητας Τεκμηριωμένες διαδικασίες λειτουργίας ΣΔΑΠ, δηλαδή τις διαδικασίες που απαιτεί το πρότυπο να καταγραφούν στα διαφορετικά στάδιο του ΣΔΑΠ (π.χ. διαδικασίες για την έγκαιρη ανίχνευση περιστατικών ασφάλειας) Δήλωση μη Εφαρμοσιμότητας, η οποία αναφέρεται στην επίσημη δήλωση των στόχων και μέτρων ασφάλειας που είναι εφαρμόσιμα στον οργανισμό και των στόχων και μέτρων ασφάλειας που δεν είναι εφαρμόσιμα στον οργανισμό
57
Η επιθεώρηση συμμόρφωσης και η ανάληψη διορθωτικών ενεργειών
Κατά την επανεξέταση, εκτιμούμε τα περιθώρια βελτίωσης και την ανάγκη να γίνουν αλλαγές στο ΣΔΑΠ, της πολιτικής και των στόχων ασφάλειας. Τα αποτελέσματα αυτής της διαδικασίας τεκμηριώνονται και συντηρούνται ως αρχεία. Πρέπει να υλοποιήσουμε όσες αναγκαίες διορθωτικές ενέργειες εντοπίσουμε.
58
Η προ της πιστοποίησης (προκαταρκτική) αξιολόγηση
Οι ελεγκτές της πιστοποίησης θα αναζητήσουν αποδείξεις ότι το ΣΔΑΠ λειτουργεί και βελτιώνεται συνεχώς. Τέτοιες αποδείξεις μπορεί να είναι αρχεία διεργασιών όπως εκθέσεις εκτίμησης κινδύνων, επανεξετάσεις από τη διοίκηση, αναφορές περιστατικών παραβίασης ασφάλειας, διορθωτικές ενέργειες κλπ. Επομένως, το ΣΔΑΠ πρέπει να αφεθεί να λειτουργήσει ομαλά για ένα διάστημα, ούτως ώστε να δημιουργηθεί το απαιτούμενο ιστορικό αρχείο της λειτουργίας και της βελτίωσής του, πριν ζητηθεί η πιστοποίησή του.
59
Ο έλεγχος συμμόρφωσης για την πιστοποίηση του ΣΔΑΠ κατά ISO/IEC 27001
Οδηγίες για τον έλεγχο συμμόρφωσης προκειμένου το ΣΔΑΠ ενός οργανισμού να πιστοποιηθεί κατά ISO/IEC περιέχονται στο πρότυπο ISO/IEC 27007:2011.
60
Ευχαριστώ!
Παρόμοιες παρουσιάσεις
© 2024 SlidePlayer.gr Inc.
All rights reserved.