ΠΟΛΙΤΙΚΕΣ ΚΑΙ ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ

ΠΟΛΙΤΙΚΕΣ ΚΑΙ ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ
Ανάλυση, εκτίμηση και διαχείριση κινδύνων Σωκράτης Κάτσικας

Περιεχόμενα Εισαγωγή Η έννοια του κινδύνου
Πώς μετράμε τον κίνδυνο και τα συστατικά του Μέτρηση κινδύνου Μέτρηση αξίας αγαθών Μέτρηση απειλών Μέτρηση ευπαθειών

Περιεχόμενα Μεθοδολογία διαχείρισης κινδύνων Καθορισμός πλαισίου
Εκτίμηση κινδύνων Αναγνώριση κινδύνων Ανάλυση κινδύνων Αξιολόγηση κινδύνων Διαχείριση κινδύνων Αποδοχή κινδύνων Παρουσίαση κινδύνων Παρακολούθηση και ανασκόπηση κινδύνων

Περιεχόμενα Κριτική της μεθοδολογίας Μέθοδοι
Νόμοι, κανονισμοί και πρότυπα

Εισαγωγή Το ενδιαφέρον για την ασφάλεια οδηγεί σε σημαντική έρευνα και ανάπτυξη τεχνικών και εργαλείων. Παρόλα αυτά, Τα επεισόδια παραβίασης συστημάτων αυξάνουν σε πλήθος και σοβαρότητα 6

Συνήθεις δυσκολίες στην ανάπτυξη της ασφάλειας Π.Σ.
Δυσκολία αιτιολόγησης του κόστους της ασφάλειας Δυσκολία επικοινωνίας μεταξύ διοικητικών και τεχνικών στελεχών Δυσκολία εξασφάλισης ενεργητικής συμμετοχής χρηστών και διαρκούς υποστήριξης από τη διοίκηση (Εσφαλμένη) αντίληψη ότι η ασφάλεια είναι μόνο τεχνικό ζήτημα Δυσκολία ανάπτυξης ολοκληρωμένου και αποτελεσματικού σχεδίου ασφάλειας Π.Σ. Προσδιορισμός και αποτίμηση οργανωσιακών επιπτώσεων από την εφαρμογή του σχεδίου ασφάλειας Π.Σ. 7

Η ανάγκη μιας ολιστικής μελέτης ασφάλειας
Ποια στοιχεία του συστήματος θέλουμε να προστατεύσουμε; Ποια είναι τα πιο σημαντικά; Ποιές είναι οι απειλές; Ποιές είναι οι αδυναμίες; Ποιά μέτρα ασφάλειας πρέπει να υλοποιήσουμε;

Η έννοια του κινδύνου (1/3)
Αρχικά ορίστηκε στον 17ο αιώνα στο πλαίσιο της χρήσης μαθηματικών εργαλείων σε τυχερά παιχνίδια. Συνδυασμός πιθανότητας και μεγέθους κερδών ή απωλειών. Στον 18ο αιώνα, η έννοια επεκτάθηκε στον τομέα της ναυτιλιακής ασφάλισης. Στον 19ο αιώνα η έννοια εμφανίζεται στο πλαίσιο των οικονομικών επιστημών και σχετίζεται με τις επενδύσεις. Στον 20ο αιώνα η έννοια προσέλαβε τελείως αρνητική χροιά, αναφερόμενη στους κινδύνους από την τεχνολογική πρόοδο. 10

Στον τομέα της ασφάλειας, ο κίνδυνος (Κ) ορίζεται ως το γινόμενο της Πιθανότητας (Π) πραγματοποίησης ενός επεισοδίου ασφάλειας επί το (οικονομικό ή άλλο) Κόστος (Κ) που θα επιφέρει, δηλαδή Ε=Π*Κ Η πιθανότητα πραγματοποίησης επεισοδίου είναι συνάρτηση της πιθανότητας εμφάνισης μιας απειλής και της σχετικής ευπάθειας Το κόστος είναι συνάρτηση της επίπτωσης στα αγαθά. 11

Κίνδυνος είναι το αποτέλεσμα της αβεβαιότητας επί των στόχων (ISO/IEC, Information technology – Security techniques-Information security risk management, ISO/IEC 27005:2011) Κίνδυνος είναι το ενδεχόμενο μια δεδομένη απειλή να εκμεταλλευτεί αδυναμίες ενός αγαθού ή μιας ομάδας αγαθών και έτσι να προκαλέσει ζημιά στον οργανισμό (ISO/IEC, Information technology – Security techniques-Information security risk management, ISO/IEC FDIS 27005:2008)

Μέτρηση του κινδύνου Στατιστική κατά Bayes
Αξία των στοιχείων του συστήματος, τα οποία εφόσον έχουν αξία αποκαλούνται αγαθά (assets). Η αξία είναι συνάρτηση της επίπτωσης από την προσβολή του αγαθού Πιθανότητα εκδήλωσης μίας απειλής Πιθανότητα αξιοποίησης μίας ευπάθειας και πραγματοποίησης της απειλής Ανάλυση χωριστά κάθε παράγοντα (αξία αγαθών, πιθανότητα απειλής, σοβαρότητα ευπαθειών). Σύνθεση των παραγόντων για τον υπολογισμό του βαθμού επικινδυνότητας R=f(A,T,V,I) 14

Μέτρηση της αξίας των αγαθών
Κάποια έχουν γνωστή χρηματική αξία. Κάποια άλλα όχι. Έμμεση αποτίμηση μέσω σημασίας για τον οργανισμό. Η σημασία αποτιμάται μέσω της αναμενόμενης επίπτωσης αν το αγαθό καταστραφεί. Η επίπτωση μπορεί να είναι άμεση ή έμμεση. Συνήθως χρησιμοποιείται τρίβαθμη ή πεντάβαθμη κλίμακα.

Μέτρηση των απειλών Οι σκόπιμες απειλές εξαρτώνται από το κίνητρο, τη γνώση, τις δυνατότητες και τους διαθέσιμους πόρους των δυνητικών επιτιθέμενων και από την ελκυστικότητα των αγαθών. Η πιθανότητα εμφάνισης τυχαίων απειλών σχετίζεται με την εγγύτητα του οργανισμού σε πηγές κινδύνου ή σε μέρη όπου μπορεί να εμφανιστούν ακραία καιρικά φαινόμενα. Επίσης, ανθρώπινα λάθη. Ο οργανισμός επιλέγει την κατάλληλη κλίμακα μέτρησης. Είναι κρίσιμο να υπάρχει ενιαία ερμηνεία των τιμών της κλίμακας σε όλο τον οργανισμό.

Μέτρηση των αδυναμιών Σχετίζονται με το φυσικό περιβάλλον του συστήματος, το προσωπικό, τις διαχειριστικές και διοικητικές διαδικασίες και τα μέτρα ασφάλειας εντός του οργανισμού, τις επιχειρησιακές λειτουργίες και την παροχή υπηρεσιών (μη τεχνικές αδυναμίες) ή με το hardware, software ή επικοινωνιακό εξοπλισμό και εγκαταστάσεις (τεχνικές αδυναμίες). Αδυναμίες στην πρώτη κατηγορία μπορούν να αποτιμηθούν με βάση προηγούμενα επεισόδια, νέες εξελίξεις και τάσεις και εμπειρίες. Αδυναμίες στη δεύτερη κατηγορία μπορούν να αποτιμηθούν χρησιμοποιώντας κατάλληλα εργαλεία και τεχνικές. Ο οργανισμός έχει την αρμοδιότητα επιλογής της κλίμακας μέτρησης.

Η Διαχείριση Κινδύνων ως μεθοδολογία…
Μεθοδολογία είναι ένα οργανωμένο σύνολο αρχών και κανόνων που καθοδηγεί τις ενέργειές μας σε ένα συγκεκριμένο γνωστικό πεδίο. Μέθοδος είναι μια συστηματική και οργανωμένη διαδικασία ή διεργασία που ακολουθείται προκειμένου να επιτευχθεί ένας σκοπός. Εργαλείο είναι κάθε όργανο ή συσκευή που απαιτείται για να εκτελεσθεί μια εργασία. 19

…Η Διαχείριση Κινδύνων ως μεθοδολογία
Επομένως, μεθοδολογία είναι η μελέτη ή περιγραφή των μεθόδων. Μια μεθοδολογία υλοποιείται με ένα σύνολο μεθόδων, τεχνικών και εργαλείων. Η μεθοδολογία δεν περιγράφει συγκεκριμένες μεθόδους. Ωστόσο, περιγράφει συγκεκριμένες διαδικασίες που πρέπει να ακολουθηθούν, οι οποίες συγκροτούν ένα γενικό πλαίσιο. Μπορούν να διασπαστούν σε υπο-διαδικασίες, να συνδυαστούν, ή να αλλάξουν σειρά εκτέλεσης. Ωστόσο, οποιοδήποτε έργο διαχείρισης επικινδυνότητας πρέπει να εκτελέσει όλες αυτές τις διαδικασίες με τη μια ή την άλλη μορφή. 20

Οι διεργασίες της Διαχείρισης κινδύνων
ISO/IEC 27005:2011 (E) BS :2006 SP Context establishment Organizational context Risk assessment Risk treatment Risk treatment and management decision making Risk mitigation Risk acceptance Risk communication and consultation Ongoing risk management activities Risk monitoring and review Evaluation and assessment 22

Συστήματα διαχείρισης ασφάλειας πληροφοριών και διαχείριση κινδύνων

Καθορισμός πλαισίου (Context establishment)
Στόχος: να καθοριστεί ο σκοπός της διεργασίας Είσοδος: οποιαδήποτε σχετική πληροφορία για τον οργανισμό Δράσεις: Καθορισμός των βασικών κριτηρίων (αποτίμηση κινδύνων, επιπτώσεις, αποδοχή κινδύνων) Ορισμός του περιεχομένου και των ορίων της διεργασίας Δημιουργία της κατάλληλης οργανωσιακής δομής για τη λειτουργία της διεργασίας Έξοδος: οι προδιαγραφές αυτών των παραμέτρων

Εκτίμηση κινδύνων (Risk assessment)
Στόχος: η αναγνώριση, ποσοτικοποίηση ή ποιοτική περιγραφή κινδύνων και η προτεραιοποίησή τους Είσοδος: η έξοδος της προηγούμενης διεργασίας Δράσεις: αποτελείται από τρεις υπο-διεργασίες Έξοδος: ένας κατάλογος αποτιμημένων κινδύνων με προτεραιότητες σύμφωνα με τα κριτήρια αποτίμησης κινδύνων.

Αναγνώριση κινδύνου (Risk identification)…
Στόχος: να καθοριστεί του τι θα μπορούσε να συμβεί που θα προκαλούσε μια πιθανή απώλεια και να γίνει σαφές το πώς, πού και γιατί θα μπορούσε να υπάρξει απώλεια. Είσοδος: η έκταση και τα όρια της εκτίμησης κινδύνων, κατάλογος αγαθών, πληροφορίες για πιθανές απειλές, τεκμηρίωση υπαρχόντων μέτρων ασφάλειας, ενδεχομένως προϋπάρχοντα σχέδια αντιμετώπισης κινδύνων, κατάλογος επιχειρησιακών διεργασιών.

… Αναγνώριση κινδύνου (Risk identification)…
Δράσεις: Αναγνώριση αγαθών Αναγνώριση απειλών Αναγνώριση υπαρχόντων μέτρων ασφάλειας Αναγνώριση αδυναμιών Αναγνώριση συνεπειών

… Αναγνώριση κινδύνου (Risk identification)
Έξοδος: κατάλογος αγαθών των οποίων την επικινδυνότητα πρέπει να διαχειριστούμε μαζί με κατάλογο των επιχειρησιακών διεργασιών που σχετίζονται με τα αγαθά αυτά, κατάλογο απειλών, κατάλογο υπαρχόντων και σχεδιαζόμενων μέτρων ασφάλειας μαζί με την κατάσταση υλοποίησης και χρήσης τους, κατάλογο αδυναμιών σχετιζόμενων με τα αγαθά τις απειλές και ήδη εγκατεστημένα μέτρα ασφάλειας, κατάλογο αδυναμιών που δεν σχετίζονται με καμία αναγνωρισμένη απειλή και κατάλογο σεναρίων επεισοδίων με τις επιπτώσεις τους, συσχετισμένα με αγαθά και επιχειρησιακές διεργασίες

Αναγνώριση κινδύνου: Αγαθά
Δίκτυο Μέσο και υποστήριξη Παθητικοί ή ενεργοί relays Διεπαφές επικοινωνίας Προσωπικό Ανώτερο (Decision makers) Χρήστες Προσωπικό συντήρησης/λειτουργίας Developers Φυσικός χώρος Θέση Οργανωσιακή δομή Πρωτεύοντα Επιχειρησιακές διεργασίες και δραστηριότητες Πληροφορίες Υποστηρικτικά Hardware Εξοπλισμός επεξεργασίας δεδομένων (Κινητός, Σταθερός) Περιφερειακά Μέσα αποθήκευσης Software Λειτουργικό σύστημα Λογισμικό υπηρεσιών, συντήρησης ή διαχείρισης Λογισμικό εφαρμογών

Αναγνώριση κινδύνου: Απειλές
Κατηγοριοποίηση ανάλογα με τον τύπο: Φυσική καταστροφή Φυσικά φαινόμενα Απώλεια βασικών υπηρεσιών Ενόχληση λόγω ακτινοβολίας Αποκάλυψη πληροφορίας Τεχνικές αστοχίες Μη εξουσιοδοτημένες ενέργειες Παρενόχληση λειτουργιών Κατηγοριοποίηση ανάλογα με την πηγή: Σκόπιμες Τυχαίες Περιβαλλοντικές

Αναγνώριση κινδύνου: Αδυναμίες
Κατηγοριοποίηση ανάλογα με την κλάση αγαθών με την οποία σχετίζονται: Hardware Software Δίκτυο Προσωπικό Φυσικός χώρος Οργανωσιακή δομή

Ανάλυση κινδύνου (Risk analysis)…
Ποσοτική ή ποιοτική Είσοδος: η έξοδος της διεργασίας αναγνώρισης κινδύνου Δράσεις: Αξιολόγηση συνεπειών Αξιολόγηση πιθανότητας επεισοδίου Καθορισμός επιπέδου επικινδυνότητας Έξοδος: κατάλογος κινδύνων με καθορισμένα επίπεδα

… Ανάλυση κινδύνου: Παράδειγμα πίνακα υπολογισμού κινδύνου
Αξία αγαθού Επίπεδο απειλής Low Medium High Επίπεδο αδυναμίας L M H 1 2 3 4 5 6 7 8

Αξιολόγηση κινδύνου Στόχος: να ληφθούν αποφάσεις για μελλοντικές ενέργειες Είσοδος: η έξοδος της διεργασίας ανάλυσης κινδύνου Δράσεις: σύγκριση των επιπέδων κινδύνου με τα κριτήρια αξιολόγησης κινδύνου και τα κριτήρια αποδοχής κινδύνου που καθορίστηκαν κατά τη διεργασία καθορισμού περιεχομένου Έξοδος: κατάλογος κινδύνων με προτεραιότητες σύμφωνα με τα κριτήρια αξιολόγησης κινδύνου, σχετιζόμενος με τα σενάρια επεισοδίωνπου οδηγούν στους κινδύνους αυτούς.

Αντιμετώπιση κινδύνου (Risk treatment) …
Στόχος: η επιλογή μέτρων ασφάλειας για να μειωθεί, να διατηρηθεί, να αποφευχθεί ή να μεταφερθεί ο κίνδυνος και ο καθορισμός σχεδίου αντιμετώπισης του κινδύνου Είσοδος: η έξοδος της διεργασίας εκτίμησης κινδύνων Επιλογές αντιμετώπισης: Τροποποίηση Διατήρηση Αποφυγή Διαμοιρασμός Συνδυασμοί

Αντιμετώπιση κινδύνου (Risk treatment) …
Παράγοντες που επηρεάζουν την απόφαση: Κόστος κάθε φορά που συμβαίνει το επεισόδιο Συχνότητα εμφάνισης Στάση απέναντι στον κίνδυνο Ευκολία υλοποίησης των απαιτούμενων μέτρων ασφάλειας Διαθέσιμοι πόροι Τρέχουσες επιχειρησιακές/τεχνολογικές προτεραιότητες Οργανωσιακές και διοικητικές πολιτικές

… Αντιμετώπιση κινδύνου (Risk treatment) …
Μπορούμε να μηδενίσουμε τον κίνδυνο; Μηδενικός κίνδυνος συνεπάγεται μηδενική αξία των στοιχείων του συστήματος ή μηδενική πιθανότητα πραγματοποίηση μιας απειλής. Π.χ. διαθέτουμε λογισμικό που, όμως, δεν μπορούμε να προστατεύσουμε από πειρατεία. Αλλάζουμε το επιχειρηματικό μας σχέδιο και το προσφέρουμε δωρεάν Στόχος: ο περιορισμός του κινδύνου σε «ανεκτά» επίπεδα. Σύνηθες κριτήριο: κόστος αντιμέτρων/μείωση κινδύνου

… Αντιμετώπιση κινδύνου (Risk treatment)
Μείωση πιθανότητας εκδήλωσης απειλών Αντιμετώπιση ευπαθειών Περιορισμός επιπτώσεων Ανάκαμψη Μεταβίβαση κινδύνου Αποδοχή κινδύνου

Επικοινωνία και συμβουλευτική (Risk communication and consultation)
Σκοπός: η επίτευξη συναντίληψης για όλες τις πλευρές κινδύνου μεταξύ όλων των δικαιούχων του οργανισμού Είναι απαραίτητη η ύπαρξη καλά καθορισμένου σχεδίου τόσο για κανονικές συνθήκες όσο και για έκτακτη ανάγκη

Παρακολούθηση και αναθεώρηση κινδύνου (Risk monitoring and review)
Διαρκής διεργασία Σκοπός της παρακολούθησης: η ανίχνευση οποιασδήποτε μείωσης της απόδοσης μηχανισμών και υπηρεσιών και η έναρξη διορθωτικών κινήσεων Συντήρηση μέτρων ασφάλειας Σκοπός της αναθεώρησης: επανυπολογισμός κινδύνου όταν αλλάζουν οι παράγοντες που τον επηρεάζουν Εσωτερικοί έλεγχοι

Συνήθεις δυσκολίες Υποκειμενικότητα εκτίμησης της αξίας αγαθών ή αντίστοιχα του μεγέθους των επιπτώσεων Δυναμικό περιβάλλον – δυναμικές, σύμπλοκες και ποικίλες απειλές Η ανθρώπινη συμπεριφορά δύσκολα προβλέπεται και μοντελοποιείται Οι πόροι που διαθέτουμε είναι πεπερασμένοι 50

Πλεονεκτήματα της Διαχείρισης Κινδύνων ως μεθοδολογίας
Αιτιολόγηση κόστους αντιμέτρων Βελτίωση επικοινωνίας ανάμεσα στους ειδικούς της πληροφορικής και τη διοίκηση του οργανισμού Ευέλικτη μεθοδολογία, μπορεί να εφαρμοστεί με ποικίλους τρόπους Καλύπτει τις απαιτήσεις της νομοθεσίας Βοηθά στην κατανόηση του Π.Σ. Αποτελεί την πλέον διαδεδομένη μεθοδολογία 51

Μειονεκτήματα της Διαχείρισης Κινδύνων ως μεθοδολογίας
Στηρίζεται σε ένα απλοϊκό μοντέλο του Π.Σ., αγνοώντας τα ιδιαίτερα χαρακτηριστικά του κάθε οργανισμού Εμπεριέχει σημαντική υποκειμενικότητα, που συχνά συγκαλύπτεται μέσω της αυστηρότητας των μαθηματικών-πιθανοτικών μοντέλων Βασίζεται σε απλές στατιστικές μεθόδους 52

Μέθοδοι Διαχείρισης Κινδύνων...
Εκατοντάδες διαφορετικές μέθοδοι ανάλυσης ή/και διαχείρισης κινδύνων Π.Σ. Καταγραφές έχουν γίνει το 1991 (NIST), 1993 (EC) και 2009 (ENISA). Δεν υπάρχει κοινά αποδεκτό σύνολο κριτηρίων σύγκρισης μεθόδων διαχείρισης κινδύνων. Μερικές μέθοδοι καλύπτουν τμήμα μόνο όλων των διαδικασιών. Για παράδειγμα, κάποιες μέθοδοι απλώς υπολογίζουν τον κίνδυνο, χωρίς να καλύπτουν τη διαχείρισή του. Κάποιες άλλες εστιάζουν σε μικρό μόνο μέρος της όλης διαδικασίας (π.χ. Σχεδιασμός ανάκαμψης από καταστροφή). Κάποιες εστιάζουν στον έλεγχο των μέτρων ασφάλειας κλπ. 54

...Μέθοδοι Διαχείρισης Κινδύνων...
Οι μέθοδοι διαφέρουν σημαντικά ως προς το επίπεδο ανάλυσης που χρησιμοποιούν. Κάποιες χρησιμοποιούν υψηλού επιπέδου περιγραφές του μελετώμενου ΠΣ, ενώ άλλες λεπτομερείς περιγραφές. Κάποιες μέθοδοι δεν είναι διαθέσιμες στο κοινό, γεγονός που κάνει την αξιολόγησή τους πολύ δύσκολη, αν όχι ανέφικτη.

… Μέθοδοι Διαχείρισης Κινδύνων
CRAMM MAGERIT EBIOS ISF Standard of good practice IT-Grundschutz MEHARI OCTAVE Callio Secura COBRA CounterMeasures Proteus CORAS RiskWatch SBA

Νόμοι και κανονισμοί από…
Την Ευρωπαϊκή Επιτροπή Το Ευρωπαϊκό Κοινοβούλιο Το Συμβούλιο της Ευρώπης Την Κυβέρνηση των ΗΠΑ Τον ΟΟΣΑ Την Επιτροπή της Βασιλείας για την επιτήρηση των Τραπεζών Το Συμβούλιο προτύπων της βιομηχανίας πιστωτικών καρτών (Payment Card Industry Security Standards Council)

Πρότυπα ISO/IEC 27001:2005 ISO/IEC 27005:2011 ISO 31000:2009
ISO Guide 73:2009 ISF Standard of Good Practice BS :2006 BSI 100-1 BSI 100-2 BSI 100-3 BSI 100-4 BSI IS Audit guideline IT-Grundschutz Catalogues US GAO Guide NIST SP NIST SP

ΠΟΛΙΤΙΚΕΣ ΚΑΙ ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ

Παρόμοιες παρουσιάσεις

Παρουσίαση με θέμα: "ΠΟΛΙΤΙΚΕΣ ΚΑΙ ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ"— Μεταγράφημα παρουσίασης:

Παρόμοιες παρουσιάσεις

Σχετικά με το έργο

Σχόλια

Είσοδος

Σύνδεση μέσω των κοινωνικών δικτύων:

ΠΟΛΙΤΙΚΕΣ ΚΑΙ ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ

Παρόμοιες παρουσιάσεις

Παρουσίαση με θέμα: "ΠΟΛΙΤΙΚΕΣ ΚΑΙ ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ"— Μεταγράφημα παρουσίασης:

Παρόμοιες παρουσιάσεις

Σχετικά με το έργο

Σχόλια