Πολιτικές και Διαδικασίες Διαχείρισης Ασφάλειας Πληροφοριών

Παρουσίαση με θέμα: "Πολιτικές και Διαδικασίες Διαχείρισης Ασφάλειας Πληροφοριών"— Μεταγράφημα παρουσίασης:

1 Πολιτικές και Διαδικασίες Διαχείρισης Ασφάλειας Πληροφοριών
Παναγιώτης Οικονόμου Managing Partner at STEP

2 Τι είναι η ασφάλεια πληροφοριών;

3 Τι είναι η ασφάλεια πληροφοριών;
Ακεραιότητα Διαθεσιμότητα Εμπιστευτικότητα

4 Τι προσπαθούμε να πετύχουμε;

5 Τόσα χρόνια δεν είχαμε κανένα πρόβλημα,
Ο Σχεδιασμός ενός συστήματος πολιτικών και διαδικασιών ασφάλειας είναι: Αυτά δεν εφαρμόζονται εδώ… Έλα μωρέ τώρα… Σε εμάς θα τύχει;… Ώχ βρε αδερφέ… Τόσα χρόνια δεν είχαμε κανένα πρόβλημα, Τώρα θα συμβεί;

6 Πολιτικές & Διαδικασίες
Policy a set of ideas or a plan of what to do in particular situations that has been agreed to officially by a group of people, a business organization, a government, or a political party. Διαδικασία Επιχειρησιακής Συνέχειας Procedure a set of actions that is the official or accepted way of doing something

7 Προσωπικά Δεδομένα Δεδομένα Προσωπικού Χαρακτήρα
Προσωπικά δεδομένα είναι κάθε πληροφορία που αναφέρεται σε και περιγράφει ένα άτομο, όπως: στοιχεία αναγνώρισης (ονοματεπώνυμο, ηλικία, κατοικία, επάγγελμα, οικογενειακή κατάσταση κλπ.), φυσικά χαρακτηριστικά, εκπαίδευση, εργασία (προϋπηρεσία, εργασιακή συμπεριφορά κλπ), οικονομική κατάσταση (έσοδα, περιουσιακά στοιχεία, οικονομική συμπεριφορά), ενδιαφέροντα, δραστηριότητες, συνήθειες. Το άτομο (φυσικό πρόσωπο) στο οποίο αναφέρονται τα δεδομένα ονομάζεται υποκείμενο των δεδομένων.

8 Προσωπικά Δεδομένα Ευαίσθητα Προσωπικά Δεδομένα
Ευαίσθητα χαρακτηρίζονται τα προσωπικά δεδομένα ενός ατόμου που αναφέρονται στη φυλετική ή εθνική του προέλευση, στα πολιτικά του φρονήματα, στις θρησκευτικές ή φιλοσοφικές του πεποιθήσεις, στη συμμετοχή του σε συνδικαλιστική οργάνωση, στην υγεία του, στην κοινωνική του πρόνοια, στην ερωτική του ζωή, τις ποινικές διώξεις και καταδίκες του, καθώς και στη συμμετοχή του σε συναφείς με τα ανωτέρω ενώσεις προσώπων. Τα ευαίσθητα δεδομένα προστατεύονται από τον Νόμο με αυστηρότερες ρυθμίσεις από ότι τα απλά προσωπικά δεδομένα.

9 Προσωπικά Δεδομένα Επεξεργασία Προσωπικών Δεδομένων
Είναι κάθε εργασία που πραγματοποιείται σε δεδομένα προσωπικού χαρακτήρα, όπως: συλλογή, καταχώριση, οργάνωση, διατήρηση ή αποθήκευση, τροποποίηση, εξαγωγή, χρήση, διαβίβαση, διάδοση, συσχέτιση ή συνδυασμός, διασύνδεση, δέσμευση, διαγραφή, καταστροφή. Κάθε φυσικό ή νομικό πρόσωπο του δημόσιου ή ιδιωτικού τομέα που τηρεί και επεξεργάζεται προσωπικά δεδομένα ονομάζεται υπεύθυνος επεξεργασίας. Κάθε φυσικό ή νομικό πρόσωπο του δημόσιου ή ιδιωτικού τομέα που επεξεργάζεται δεδομένα για λογαριασμό κάποιου υπεύθυνου επεξεργασίας ονομάζεται εκτελών την επεξεργασία.

10 Πολιτικές

11 Οργάνωση Ασφάλειας Πληροφοριών
Ρόλοι / Συμμετέχοντες Διοίκηση Security Officer Administrators Power Users Users Διαχωρισμός Καθηκόντων Επικοινωνία με τις Αρχές

12 Πολιτική Ασφάλειας Ανθρώπινων Πόρων
Έλεγχος Ασφάλειας πριν την Πρόσληψη (π.χ. επιβεβαίωση πτυχίου) Ασφάλεια κατά τη Διάρκεια της Απασχόλησης (π.χ. εκπαίδευση, κυρώσεις) Τερματισμός / αλλαγή απασχόλησης

13 Πολιτική Διαχείρισης Πληροφοριακών Πόρων
Εποπτεία Πόρων Αποδεκτή χρήση πόρων (π.χ. για ένα υπολογιστή, για το , για τα usb sticks) Κατηγοριοποίηση / Διαβάθμιση Πληροφοριών

14 Πολιτική Διαχείρισης Ελέγχου Πρόσβασης
Χορήγηση Πρόσβασης Διαχείριση δικαιωμάτων Ευθύνες χρηστών

15 25 «σίγουρες» επιλογές password
2. password 5. football 6. qwerty 9. princess 11. login 12. welcome 13. solo 14. abc123 15. admin 17. flower 18. password 19. dragon 20. sunshine 21. master 22. hottie 23. loveme 24. zaq1zaq1 25. password1

16 Πολιτική Φυσικής Ασφάλειας
Μηχανισμοί Φυσικής Ασφάλειας (π.χ. συναγερμός) Μηχανισμοί ελέγχου φυσικής πρόσβασης Ασφάλεια έναντι εξωτερικών περιβαλλοντικών απειλών Ασφάλεια εξοπλισμού εκτός εγκαταστάσεων εταιρείας Clean Screen – Clean Desk

17 Πολιτική Σχέσεων με Προμηθευτές
Ασφάλεια Πληροφοριών στις σχέσεις με τους προμηθευτές (π.χ. NDA) Ειδικές απαιτήσεις ασφάλειας για προμηθευτές/ παρόχους κρίσιμων υπηρεσιών

18 Πολιτική Ασφάλειας Λειτουργιών
Συντήρηση Εγκαταστάσεων Capacity Management Back-up Παρακολούθηση λειτουργίας συστημάτων (log files) Εγκατάσταση λογισμικού

19 Πολιτική Ασφάλειας Επικοινωνιών
Μέτρα ασφάλειας δικτύου Μηχανισμοί ασφάλειας δικτύου (π.χ. Firewall) Διαχωρισμός του δικτύου σε δικτυακές ζώνες Απομακρυσμένη πρόσβαση Διαβίβαση πληροφοριών

20 Πολιτική Διαχείρισης Περιστατικών Ασφάλειας
Σημείο αναφοράς περιστατικού Τρόπος αναφοράς περιστατικού Αναφορά αδυναμιών ασφάλειας Επισκόπηση περιστατικών ασφάλειας

21 Πολιτική Ασφάλειας Πληροφοριών κατά τη Διαχείριση Επιχειρησιακής Συνέχειας
Ποιες επιχειρησιακές λειτουργίες είναι κρίσιμες; Τι επιπτώσεις θα έχουμε στη λειτουργία της επιχείρησης αν σε μια λειτουργία υπάρξει παραβίαση της ασφάλειας των πληροφοριών; Σχέδιο ανάκαμψης πόρων Ομάδα διαχείρισης επιχειρησιακής συνέχειας

22 Διαδικασίες

23 Διαδικασίες

24 Κύριες Διαδικασίες Ασφάλειας Πληροφοριών
Διαδικασία Χορήγησης Πρόσβασης Διαδικασία Λήψης Αντιγράφων Ασφαλείας και Επαναφοράς Δεδομένων Διαδικασία Επιχειρησιακής Συνέχειας

25 Συνοψίζοντας

26 Ποιον χρειάζομαι τελικά για να με βοηθήσει να προσαρμοστώ στον GDPR;

27 Σχεδιάσαμε Πολιτικές και Διαδικασίες. Και τώρα τι;
Υποστήριξη από τη Διοίκηση Εφαρμογή Εκπαίδευση Υποστήριξη από τη Διοίκηση Διορθώσεις / Προσαρμογές Αλλαγή Κουλτούρας Υποστήριξη από τη Διοίκηση

28 Παναγιώτης Οικονόμου Ευχαριστώ πολύ!