Κατέβασμα παρουσίασης
Η παρουσίαση φορτώνεται. Παρακαλείστε να περιμένετε
1
ΠΟΛΙΤΙΚΕΣ ΚΑΙ ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ
Οργανωσιακό πλαίσιο Ασφάλειας Πληροφοριών Σωκράτης Κ. Κάτσικας
2
Agenda Πολιτικές ασφάλειας Ιεραρχία πολιτικών Σκοπιμότητα ύπαρξης
Πολιτική ασφάλειας πληροφοριών Θεματικές πολιτικές Άλλα στοιχεία του οργανωσιακού πλαισίου Επιθυμητά χαρακτηριστικά πολιτικών Κύκλος ζωής πολιτικών Αρμοδιότητα ανάπτυξης
3
Πολιτικές ασφάλειας… Πολιτική (Policy) είναι μια τυπική, σύντομη και υψηλού επιπέδου δήλωση ή σχέδιο, που εκφράζει τις γενικές πεποιθήσεις, τους σκοπούς, τους στόχους και τις αποδεκτές διαδικασίες ενός οργανισμού σε μια συγκεκριμένη θεματική περιοχή.
4
…Πολιτικές ασφάλειας Οι πολιτικές εστιάζουν στα επιθυμητά αποτελέσματα και όχι στους τρόπους επίτευξής τους· γι’ αυτό συμπληρώνονται με κανόνες και οδηγίες. Η συμμόρφωση με τις πολιτικές είναι υποχρεωτική, ενώ η μη συμμόρφωση αποτελεί πειθαρχικό παράπτωμα.
5
Agenda Πολιτικές ασφάλειας Ιεραρχία πολιτικών Σκοπιμότητα ύπαρξης
Πολιτική ασφάλειας πληροφοριών Θεματικές πολιτικές Άλλα στοιχεία του οργανωσιακού πλαισίου Επιθυμητά χαρακτηριστικά πολιτικών Κύκλος ζωής πολιτικών Αρμοδιότητα ανάπτυξης
7
Agenda Πολιτικές ασφάλειας Ιεραρχία πολιτικών Σκοπιμότητα ύπαρξης
Πολιτική ασφάλειας πληροφοριών Θεματικές πολιτικές Άλλα στοιχεία του οργανωσιακού πλαισίου Επιθυμητά χαρακτηριστικά πολιτικών Κύκλος ζωής πολιτικών Αρμοδιότητα ανάπτυξης
8
8 Σκοπιμότητα Ύπαρξης… Συμμόρφωση με τις απαιτήσεις τεκμηρίωσης του ΣΔΑΠ. Νομική ή κανονιστική υποχρέωση Ενιαίο πλαίσιο ένταξης νέων προϊόντων και εργαλείων ασφάλειας Μοχλός καθοδήγησης της επιλογής και υλοποίησης των μέτρων ασφαλείας
9
…Σκοπιμότητα Ύπαρξης…
9 …Σκοπιμότητα Ύπαρξης… Κανάλι για την επικοινωνία των εμπλεκομένων στα ζητήματα ασφάλειας (χρήστες, διοίκηση, διαχειριστές συστημάτων κ.λπ.). Υποβοήθηση της ανάπτυξης σχέσεων εμπιστοσύνης με πελάτες και συνεργάτες. Διασφάλιση των απαραίτητων πόρων και αποδοτική διαχείριση της ασφάλειας πληροφοριών.
10
10 …Σκοπιμότητα Ύπαρξης Σηματοδοτεί τη βούληση της διοίκησης η ασφάλεια να αποτελεί σημαντικό ζήτημα. Κεντρική θέση στη δημιουργία κουλτούρας ασφάλειας.
11
Agenda Πολιτικές ασφάλειας Ιεραρχία πολιτικών Σκοπιμότητα ύπαρξης
Πολιτική ασφάλειας πληροφοριών Θεματικές πολιτικές Άλλα στοιχεία του οργανωσιακού πλαισίου Επιθυμητά χαρακτηριστικά πολιτικών Κύκλος ζωής πολιτικών Αρμοδιότητα ανάπτυξης
12
Πολιτική ασφάλειας πληροφοριών…
Στο ψηλότερο επίπεδο (Tier 1), ο οργανισμός καθορίζει την πολιτική ασφάλειας πληροφοριών (information security policy), η οποία εγκρίνεται από τη διοίκηση και καθορίζει την προσέγγιση του οργανισμού στη διαχείριση των στόχων που έχει σχετικά με την ασφάλεια πληροφοριών.
13
…Πολιτική ασφάλειας πληροφοριών…
Η πολιτική αυτή αναφέρεται και ως εταιρική (ή οργανωσιακή) πολιτική ασφάλειας πληροφοριών (Corporate/Organizational security policy) ή ως πολιτική ασφάλειας πληροφοριών υψηλού επιπέδου (High level information security policy).
14
…Πολιτική ασφάλειας πληροφοριών…
Πρέπει, κατ’ ελάχιστο, να περιέχει: Τους στόχους και τα σχέδια του οργανισμού σχετικά με την ασφάλεια πληροφοριών Ρόλους και καθήκοντα σχετικά με την ασφάλεια πληροφοριών Επισήμανση της σημασίας που δίνει η διοίκηση στη συμμόρφωση του προσωπικού με την πολιτική
15
…Πολιτική ασφάλειας πληροφοριών…
Δέσμευση σχετικά με τους πόρους που διατίθενται προκειμένου να αναπτυχθεί, να υλοποιηθεί, να λειτουργήσει και να συντηρηθεί το ΣΔΑΠ. Δέσμευση της διοίκησης για την ενεργό συμμετοχή και υποστήριξή της στη συνεχή βελτίωση του ΣΔΑΠ Δέσμευση της διοίκησης για επανεξέταση του ΣΔΑΠ σε τακτά διαστήματα
16
…Πολιτική ασφάλειας πληροφοριών
Διασφάλιση της παροχής κατάλληλης κατάρτισης στο προσωπικό που επηρεάζεται από το ΣΔΑΠ, έτσι ώστε να έχουν τις γνώσεις και δεξιότητες που απαιτούνται προκειμένου να μπορούν να ανταποκριθούν στα καθήκοντά τους.
17
Agenda Πολιτικές ασφάλειας Ιεραρχία πολιτικών Σκοπιμότητα ύπαρξης
Πολιτική ασφάλειας πληροφοριών Θεματικές πολιτικές Άλλα στοιχεία του οργανωσιακού πλαισίου Επιθυμητά χαρακτηριστικά πολιτικών Κύκλος ζωής πολιτικών Αρμοδιότητα ανάπτυξης
18
Θεματικές πολιτικές… Στο αμέσως χαμηλότερο επίπεδο (Tier 2), η πολιτική ασφάλειας πληροφοριών υποστηρίζεται από θεματικές πολιτικές, οι οποίες στοχεύουν είτε σε συγκεκριμένες ομάδες ατόμων μέσα στον οργανισμό ή καλύπτουν συγκεκριμένα θέματα.
19
…Θεματικές πολιτικές…
Παραδείγματα θεματικών πολιτικών που περιέχονται στο πρότυπο ISO/IEC 27002: Πολιτική ελέγχου πρόσβασης Πολιτική κατηγοριοποίησης και χειρισμού πληροφοριών Πολιτική φυσικής και περιβαλλοντικής ασφάλειας
20
…Θεματικές πολιτικές…
Πολιτικές για θέματα τελικού χρήστη, όπως: Πολιτική αποδεκτής χρήσης αγαθών Πολιτική καθαρού γραφείου και καθαρής οθόνης Πολιτική μετάδοσης πληροφοριών Πολιτική κινητών συσκευών και τηλεργασίας Πολιτική περιορισμών στην εγκατάσταση και χρήση λογισμικού
21
…Θεματικές πολιτικές…
Πολιτική αντιγράφων ασφαλείας Πολιτική μετάδοσης πληροφοριών Πολιτική προστασίας από κακόβουλο λογισμικό Πολιτική διαχείρισης τεχνικών ευπαθειών Πολιτική κρυπτογραφικών μέτρων ασφάλειας Πολιτική ασφάλειας επικοινωνιών Πολιτική ιδιωτικότητας και προστασίας πληροφοριών προσωπικού χαρακτήρα Πολιτική σχέσεων με τους προμηθευτές.
22
…Θεματικές πολιτικές…
Μια θεματική πολιτική ασφάλειας πρέπει, κατ’ ελάχιστο, να περιέχει: Το θέμα στο οποίο αφορά. Τους στόχους, τους όρους και τις προϋποθέσεις που θέτει. Τις κατευθύνσεις της διοίκησης για το θέμα. Αυτούς στους οποίους απευθύνεται η πολιτική.
23
…Θεματικές πολιτικές Το πεδίο εφαρμογής της πολιτικής.
Τους ρόλους και τα καθήκοντα του προσωπικού σχετικά με την πολιτική. Τις κυρώσεις σε περίπτωση μη συμμόρφωσης του προσωπικού με την πολιτική. Αυτούς με τους οποίους κάποιος πρέπει να επικοινωνήσει για θέματα σχετικά με την πολιτική.
24
Agenda Πολιτικές ασφάλειας Ιεραρχία πολιτικών Σκοπιμότητα ύπαρξης
Πολιτική ασφάλειας πληροφοριών Θεματικές πολιτικές Άλλα στοιχεία του οργανωσιακού πλαισίου Επιθυμητά χαρακτηριστικά πολιτικών Κύκλος ζωής πολιτικών Αρμοδιότητα ανάπτυξης
25
Πολιτικές συστήματος Τέλος, στο κατώτατο επίπεδο (Tier 3) οι πολιτικές εστιάζουν σε μια συγκεκριμένη εφαρμογή ή σε ένα σύστημα. Μια τέτοια πολιτική καλύπτει θέματα όπως π.χ. ποιος έχει εξουσιοδότηση να διαβάζει ή να τροποποιεί δεδομένα, κάτω από ποιες προϋποθέσεις ισχύουν οι εξουσιοδοτήσεις αυτές, ή πώς ελέγχεται η απομακρυσμένη πρόσβαση σε ένα συγκεκριμένο σύστημα ή εφαρμογή.
26
Κανόνες Οι κανόνες (Standards) είναι υποχρεωτικές απαιτήσεις που υποστηρίζουν τις πολιτικές. Οι κανόνες καλύπτουν θέματα όπως π.χ. τι υλικό και λογισμικό πρέπει να χρησιμοποιείται, ποιο πρωτόκολο απομακρυσμένης πρόσβασης πρέπει να υλοποιηθεί, ή ποιος είναι αρμόδιος για να εγκρίνει κάτι.
27
Διαδικασίες Διαδικασία (Procedure) είναι μια σειρά βημάτων που ακολουθούμε, υποχρεωτικά, προκειμένου να πετύχουμε ένα τελικό σκοπό. Πολιτικές vs Διαδικασίες. Παράδειγμα: πολιτική συνθηματικών vs διαδικασία διαχείρισης συνθηματικών Δεν είναι απαραίτητο να υπάρχει μια-προς-μια αντιστοιχία μεταξύ πολιτικών και διαδικασιών.
28
Οδηγίες Οι οδηγίες (Guidelines) είναι γενικές δηλώσεις, συστάσεις ή διοικητικές εντολές που στοχεύουν στην επίτευξη των στόχων μιας πολιτικής, διαμορφώνοντας ένα πλαίσιο για την υλοποίηση των διαδικασιών. Οι οδηγίες δεν είναι υποχρεωτικές Μπορούν επίσης να χρησιμοποιηθούν και ως πρόδρομοι θεμάτων που κάποια στιγμή θα περάσουν ως στοιχεία πολιτικής. Αλλάζουν συχνά, καθώς αλλάζει το περιβάλλον.
29
Agenda Πολιτικές ασφάλειας Ιεραρχία πολιτικών Σκοπιμότητα ύπαρξης
Πολιτική ασφάλειας πληροφοριών Θεματικές πολιτικές Άλλα στοιχεία του οργανωσιακού πλαισίου Επιθυμητά χαρακτηριστικά πολιτικών Κύκλος ζωής πολιτικών Αρμοδιότητα ανάπτυξης
30
Επιθυμητά χαρακτηριστικά
Είναι εύκολα κατανοητή. Είναι εφαρμόσιμη. Είναι εφικτή. Είναι εκτελεστή. Εφαρμόζεται σταδιακά. Έχει προληπτικό χαρακτήρα. Δεν είναι απόλυτη.
31
Agenda Πολιτικές ασφάλειας Ιεραρχία πολιτικών Σκοπιμότητα ύπαρξης
Πολιτική ασφάλειας πληροφοριών Θεματικές πολιτικές Άλλα στοιχεία του οργανωσιακού πλαισίου Επιθυμητά χαρακτηριστικά πολιτικών Κύκλος ζωής πολιτικών Αρμοδιότητα ανάπτυξης
32
Κύκλος ζωής πολιτικής
33
Agenda Ιεραρχία πολιτικών Σκοπιμότητα ύπαρξης Πολιτικές ασφάλειας
Πολιτική ασφάλειας πληροφοριών Θεματικές πολιτικές Άλλα στοιχεία του οργανωσιακού πλαισίου Επιθυμητά χαρακτηριστικά πολιτικών Κύκλος ζωής πολιτικών Αρμοδιότητα ανάπτυξης
34
Φάση Στάδιο Αρμόδιος ρόλος Πολιτικές ασφάλειας Κανόνες Διαδικασίες Οδηγίες Ανάπτυξη Δημιουργία Ομάδα ασφάλειας Οικεία επιχειρησιακή μονάδα Έλεγχος Επιτροπή αξιολόγησης πολιτικών Ομάδα ασφάλειας και οικεία επιχειρησιακή μονάδα Έγκριση Διευθύνων Σύμβουλος Διευθυντής πληροφορικής Αρμόδιο εκτελεστικό μέλος του ΔΣ Υλοποίηση Δημοσιοποίηση Αρμόδια υπηρεσία του οργανισμού Συμμόρφωση Διευθυντές και υπάλληλοι σε όλον τον οργανισμό Εξαιρέσεις Δεν νοούνται Συντήρηση Επίγνωση Παρακολούθηση Διευθυντές και υπάλληλοι, ομάδα ασφάλειας, ομάδα ελέγχου Επιβολή Διευθυντές Διευθυντές οικείας επιχειρησιακής μονάδας Δεν νοείται Απόσυρση
Παρόμοιες παρουσιάσεις
© 2024 SlidePlayer.gr Inc.
All rights reserved.