ΠΟΛΙΤΙΚΕΣ ΚΑΙ ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ

Transcript

1 ΠΟΛΙΤΙΚΕΣ ΚΑΙ ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ Συστήματα διαχείρισης της ασφάλειας πληροφοριών Λαμπρινουδάκης Κων/νος

2 Το επαγγελματικό πεδίο της ασφάλειας

3 Μερικές (όχι τόσο γνωστές) διαπιστώσεις Μόνο το 1/3 του χρόνου του υπεύθυνου ασφάλειας καταναλώνεται σε τεχνικά θέματα. Τα υπόλοιπα δύο τρίτα καταναλώνονται στην ανάπτυξη πολιτικών και διαδικασιών, στην εκπόνηση μελετών ανάλυσης κινδύνων, στη διαμόρφωση σχεδίων επιχειρησιακής συνέχειας και στην ανάληψη δράσεων αύξησης της επίγνωσης που έχει το προσωπικό σχετικά με την ασφάλεια.

4 Μερικές (όχι τόσο γνωστές) διαπιστώσεις Η ασφάλεια είναι σαν μια αλυσίδα είναι τόσο ισχυρή όσο ο πιο αδύναμος κρίκος της, που είναι πάντα οι άνθρωποι και όχι η τεχνολογία. Οι εργαζόμενοι σε ένα οργανισμό αποτελούν πολύ μεγαλύτερη απειλή για την ασφάλεια πληροφοριών απ ό,τι πρόσωπα εκτός του οργανισμού.

5 Μερικές (όχι τόσο γνωστές) διαπιστώσεις Το επίπεδο ασφάλειας πληροφοριών σε ένα οργανισμό εξαρτάται από τρεις παράγοντες: τα αποδεκτά επίπεδα κινδύνου που έχει καθορίσει ο οργανισμός, τη λειτουργικότητα του πληροφοριακού συστήματος και το κόστος που προτίθεται ο οργανισμός να πληρώσει για την ασφάλεια

6 Η ασφάλεια ως διεργασία Η ασφάλεια πληροφοριών δεν είναι μια στατική κατάσταση πραγμάτων είναι μια διεργασία. Ένα σύνολο αλληλοσυσχετιζόμενων ή αλληλεπιδρωσών δραστηριοτήτων που χρησιμοποιεί πόρους προκειμένου να μετασχηματίσει εισόδους σε εξόδους χρησιμοποιώντας πόρους, αναφέρεται ως διεργασία (process).

7 Ποιος έχει την ευθύνη; H πληροφορία αποτελεί περιουσιακό στοιχείο του οργανισμού ως τέτοιο, η προστασία του αποτελεί ευθύνη της διοίκησης. Το πρόγραμμα προστασίας των πληροφοριών είναι μια επιχειρησιακή διεργασία σχεδιασμένη ώστε να παρέχει στη διοίκηση τα μέσα για να μπορέσει να ασκήσει τα καθήκοντά της.

8 Επομένως H ασφάλεια πληροφοριών δεν είναι αμιγώς τεχνικό θέμα, αλλά κυρίως θέμα ανθρώπων και θέμα διαχείρισης (management).

9 Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών Σύστημα Διαχείρισης (management system) είναι ένα πλαίσιο πολιτικών, διαδικασιών, οδηγιών και των πόρων που απαιτούνται προκειμένου να επιτευχθούν οι στόχοι του οργανισμού. Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών ΣΔΑΠ (Information Security Management System ISMS) είναι εκείνο το τμήμα του συνολικού Συστήματος Διαχείρισης του οργανισμού, που αφορά στην ασφάλεια πληροφοριών.

10 Γιατί χρειάζεται το ΣΔΑΠ Ένδειξη ικανότητας ικανοποίησης απαιτήσεων ασφάλειας. Η ικανότητα αυτή συνδέεται στενά με την ικανότητά του να διασφαλίσει την επιχειρησιακή του συνέχεια, να ελαχιστοποιήσει τις ζημιές και τις απώλειες αν συμβεί κάποιο περιστατικό παραβίασης ασφάλειας, να αποκτήσει συγκριτικά πλεονεκτήματα έναντι των ανταγωνιστών του, να αυξήσει την κερδοφορία και να βελτιώσει τις χρηματορροές του, να συμμορφωθεί με τις απαιτήσεις του νόμου και, εν τέλει, να αποκτήσει καλή φήμη.

11 Για να είναι αποτελεσματικό το ΣΔΑΠ οι στόχοι και οι δραστηριότητες που προβλέπει πρέπει να μην αποκλίνουν από τους γενικότερους στόχους του οργανισμού. Οι απαιτήσεις ασφάλειας πρέπει να έχουν προσδιοριστεί με βάση μελέτη ανάλυσης και διαχείρισης κινδύνων. Το ΣΔΑΠ πρέπει να έχει τη συνεχή, αταλάντευτη και ορατή απ όλους στήριξη της διοίκησης του οργανισμού, ειδικότερα δε του ανώτατου επιπέδου διοίκησης.

12 Για να είναι αποτελεσματικό το ΣΔΑΠ Επιπλέον, το ΣΔΑΠ πρέπει να είναι συμβατό με την οργανωσιακή κουλτούρα. Πρέπει να περιλαμβάνει ένα πρόγραμμα ενημέρωσης, κατάρτισης και εκπαίδευσης των εργαζομένων στον οργανισμό, αλλά και των σχετιζόμενων με αυτόν εξωτερικών συνεργατών. Το ΣΔΑΠ πρέπει επίσης να περιλαμβάνει διαδικασίες διαχείρισης περιστατικών παραβίασης ασφάλειας, σχέδιο επιχειρησιακής συνέχειας και ένα σύστημα μέτρησης της ίδιας του της απόδοσης, ώστε να καθίσταται δυνατή η βελτίωσή του.

13 Η σειρά προτύπων ISO 27k 80s (USA, UK): Baseline best controls 90s (UK): Συγκρότηση ομάδας εμπειρογνωμόνων 1995 (UK): BS (code of practice) 1997 (UK): BS (ISMS specification) (UK): Πιλοτική εφαρμογή πιστοποίησης κατά BS

14 Η σειρά προτύπων ISO 27k 1999: Περίπου 20 χώρες έχουν υιοθετήσει τα BS &2 2000: BS δεκτό ως ISO/IEC : To ISO/IEC αναριθμείται σε ISO/IEC : To BS δημοσιεύεται ως ISO/IEC

15 Η σειρά προτύπων ISO 27k Παρέχει συστάσεις καλών πρακτικών για τη διαχείριση της ασφάλειας πληροφοριών, τη διαχείριση κινδύνων και τα μέτρα ασφάλειας, μέσα στο γενικότερο περιβάλλον ενός ΣΔΑΠ. Ο σχεδιασμός του ΣΔΑΠ μοιάζει με εκείνον των συστημάτων διαχείρισης της διασφάλισης ποιότητας (σειρά προτύπων ISO 9000) και των συστημάτων διαχείρισης της προστασίας του περιβάλλοντος (σειρά προτύπων ISO 14000).

16 Η σειρά προτύπων ISO 27k Επί του παρόντος, έχουν δημοσιευθεί 44 πρότυπα της σειράς, ενώ αρκετά ακόμη βρίσκονται στο στάδιο της προετοιμασίας. Σχετική και η σειρά ISO29k για ιδιωτικότητα. ogue_tc/catalogue_tc_browse.htm?com mid=45306&published=on&includesc=tr ue

17 Τομεακές Κατευθυντήριες οδηγίες Γενικές Κατευθυντήριες οδηγίες Γενικές Προδιαγραφές Ορολογία ISO Επισκόπηση και Ορολογία ISO Προδιαγραφές ΣΔΑΠ ISO Προδιαγραφές φορέων ελέγχου και πιστοποίησης ΣΔΑΠ ISO Καλές πρακτικές διαχείρισης ασφάλειας πληροφοριών ISO Οδηγίες Υλοποίησης ΣΔΑΠ ISO TR Κατευθυντήριες οδηγίες για τον έλεγχο των μέτρων ασφάλειας του ΣΔΑΠ ISO Διαχείριση ασφάλειας πληροφοριών - Μετρήσεων ISO TR Διαχείριση ασφάλειας πληροφοριών - Οργανωσιακά οικονομικά ISO Κατευθυντήριες οδηγίες για τον έλεγχο του ΣΔΑΠ ISO Διαχείριση κινδύνων ασφάλειας πληροφοριών ISO Κατευθυντήριες οδηγίες διαχείρισης της ασφάλειας πληροφοριών για τηλεπικοινωνιακούς οργανισμούς, βάσει του ISO/IEC ISO Κατευθυντήριες οδηγίες διαχείρισης της ασφάλειας πληροφοριών για διατομεακές και δι-οργανωσιακές επικοινωνίες ISO Κατευθυντήριες οδηγίες για τη συνδυασμένη υλοποίηση των ISO/IEC και ISO/IEC ISO Διακυβέρνηση της ασφάλειας πληροφοριών ISO Πληροφορική Υγείας - Διαχείριση της ασφάλειας πληροφοριών στην Υγεία, βάσει του ISO/IEC ISO Κατευθυντήριες οδηγίες διαχείρισης της ασφάλειας πληροφοριών για χρηματοοικονομικές υπηρεσίες Κλειδί: Κανονιστικό πρότυπο (προδιαγραφές) Πλη ροφοριακό πρότυπο (κατευθυντήριες οδηγίες) Υποστηρίζει

18 Το πρότυπο ISO/IEC 27001:2013 Οδηγίες για τον καθορισμό προδιαγραφών για: το Σχεδιασμό την Υλοποίηση τη Λειτουργία την Παρακολούθηση τον Έλεγχο και Συντήρηση ενός τεκμηριωμένου Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών σε ένα οργανωσιακό πλαίσιο

19 Το πρότυπο ISO/IEC 27001:2013 Εφαρμόζεται σε όλους τους τύπους οργανισμών και επιχειρήσεων οποιουδήποτε επιχειρηματικού κλάδου: Εμπορικές επιχειρήσεις Κυβερνητικοί οργανισμοί Μη κερδοσκοπικοί οργανισμοί κτλ. Είναι ανεξάρτητο μεγέθους και δραστηριοτήτων του οργανισμού

20 Το πρότυπο ISO/IEC 27001:2013: Δομή Επτά ενότητες, με υπο-ενότητες Το περιβάλλον του οργανισμού Κατανόηση του οργανισμού και του περιβάλλοντός του Κατανόηση των αναγκών και των προσδοκιών των μετόχων Καθορισμός της έκτασης του ΣΔΑΠ ΣΔΑΠ

21 Το πρότυπο ISO/IEC 27001:2013: Δομή Η ηγεσία Ηγεσία και δέσμευση Πολιτική Οργανωσιακοί ρόλοι, αρμοδιότητες και καθήκοντα Ο σχεδιασμός Ενέργειες για την αντιμετώπιση κινδύνων και την αξιοποίηση ευκαιριών Στόχοι της ασφάλειας πληροφοριών και σχεδιασμός για την επίτευξή τους

22 Το πρότυπο ISO/IEC 27001:2013: Δομή Υποστήριξη Πόροι Ικανότητες Επίγνωση Επικοινωνία Τεκμηρίωση Λειτουργία Λειτουργικός σχεδιασμός και έλεγχος Εκτίμηση κινδύνων Διαχείριση κινδύνων

23 Το πρότυπο ISO/IEC 27001:2013: Δομή Αξιολόγηση επίδοσης Παρακολούθηση, μέτρηση, ανάλυση και αξιολόγηση Εσωτερικός έλεγχος Επανεξέταση από τη διοίκηση Βελτίωση Ασυμμορφία και διορθωτικές ενέργειες Συνεχής βελτίωση

24 Προσέγγιση Το μοντέλο που προτείνει το πρότυπο ακολουθεί διεργασιακή προσέγγιση Εστίαση στη σημασία: Κατανόησης των απαιτήσεων ασφάλειας Καθιέρωσης των στόχων ασφάλειας και μίας πολιτικής ασφάλειας Υλοποίησης και λειτουργίας μέτρων ασφάλειας κατάλληλων για να αντιμετωπίσουν κινδύνους που εντάσσονται στο συγκεκριμένο οργανωσιακό πλαίσιο 24

25 Ο κύκλος ζωής της Διαχείρισης Ασφάλειας Πληροφοριών Το πρότυπο ορίζει ένα κύκλο ζωής της Διαχείρισης Ασφάλειας Πληροφοριών που ακολουθεί ένα μοντέλο τεσσάρων επαναλαμβανόμενων σταδίων: Σχεδιασμός Υλοποίηση Έλεγχος Διόρθωση 25

26 Υλοποίηση Σχεδιασμός Θέσπιση ΣΔΑΠ Υλοποίηση και λειτουργία του ΣΔΑΠ Συντήρηση και Βελτίωση του ΣΔΑΠ Διόρθωση Παρακολούθηση και επανεξέταση ΣΔΑΠ Απαιτήσεις Ασφάλειας Έλεγχος Διαχείριση της Ασφάλειας Πληροφοριών

27 Ο κύκλος ζωής της Διαχείρισης Ασφάλειας Πληροφοριών Το μοντέλο ακολουθεί την προσέγγιση που εφαρμόζεται στη διαχείριση ποιότητας σύμφωνα με το διαδεδομένο πρότυπο ποιότητας ISO 9001:2008 για συστήματα διαχείρισης ποιότητας 27

28 Είσοδοι και έξοδοι Είσοδοι (input): Απαιτήσεις των εμπλεκόμενων στην ασφάλεια Προδιαγραφές ασφάλειας Έξοδοι (output): Ασφάλεια πληροφοριών υπό διαχείριση 28

29 Η φάση σχεδιασμού (Plan) Καθιέρωση ενός πλαισίου Διαχείρισης της Ασφάλειας Πληροφοριών στο συνολικό πλαίσιο των στόχων και πολιτικών του οργανισμού: Στόχοι και επιδιώξεις ασφάλειας Διαδικασίες ασφάλειας Πολιτική του ΣΔΑΠ 29

30 Η φάση σχεδιασμού (Plan): δραστηριότητες Καθορισμός του πεδίου εφαρμογής του ΣΔΑΠ (τοποθεσία, συστήματα, δεδομένα κ.ά.) Θέσπιση Πολιτικής ΣΔΑΠ Ορισμός μεθόδου ανάλυσης κινδύνων Εκπόνηση μελέτης ανάλυσης κινδύνων Επιλογή στρατηγικής διαχείρισης κινδύνων Έγκριση από τη Διοίκηση Διαμόρφωση Δήλωσης Εφαρμογής 30

31 Η φάση υλοποίησης (Do) Υλοποίηση των δράσεων που σχεδιάστηκαν στην προηγούμενη φάση (Σχεδιασμού) 31

32 Η φάση υλοποίησης (Do): Δραστηριότητες Διαμόρφωση σχεδίου διαχείρισης κινδύνων Κατανομή ρόλων και αρμοδιοτήτων Υλοποίηση μέτρων ασφάλειας Σχεδιασμός και υλοποίηση δράσεων ενημέρωσης και κατάρτισης Λειτουργία του ΣΔΑΠ Υλοποίηση των διαδικασιών έγκαιρης ανίχνευσης περιστατικών ασφάλειας Υλοποίηση των διαδικασιών αντιμετώπισης περιστατικών παραβίασης ασφάλειας 32

33 Η φάση ελέγχου (Check) Παρακολούθηση και έλεγχος του Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών: Αξιολόγηση και μέτρηση (όπου είναι εφικτό) των επιδόσεων Αναφορά αποτελεσμάτων στη Διοίκηση 33

34 Η φάση ελέγχου (Check): δραστηριότητες Έλεγχος καλής λειτουργίας διαδικασιών για: Έγκαιρη ανίχνευση λαθών Έγκαιρη ανίχνευση περιστατικών ασφάλειας Έλεγχο τήρησης αρμοδιοτήτων ασφάλειας Αποτελεσματικότητα ενεργειών χειρισμού περιστατικών ασφάλειας 34

35 Η φάση ελέγχου (Check): δραστηριότητες Τακτικοί έλεγχοι αποτελεσματικότητας του ΣΔΑΠ Έλεγχοι αποτελεσματικότητας μέτρων ασφάλειας Έλεγχος στοιχείων της μελέτης ανάλυσης κινδύνων Τακτικοί εσωτερικοί έλεγχοι Τακτική επανεξέταση του ΣΔΑΠ από τη Διοίκηση 35

36 Η φάση διόρθωσης (Act) Συντήρηση και βελτίωση του Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών σύμφωνα με τους εσωτερικούς ελέγχους και την επανεξέταση από τη Διοίκηση: Διορθωτικές ενέργειες Προληπτικές ενέργειες 36

37 Η φάση διόρθωσης (Act): δραστηριότητες Διόρθωση σημείων που χρήζουν βελτίωσης Υλοποίηση διορθωτικών ενεργειών Υλοποίηση προληπτικών ενεργειών Ενημέρωση των μετόχων Έλεγχος αποτελεσματικότητας διορθώσεων 37

38

39 Η στήριξη της διοίκησης Το ανώτατο επίπεδο διοίκησης κάθε οργανισμού εξετάζει, στο πλαίσιο ενός δεδομένου και πεπερασμένου προϋπολογισμού, εναλλακτικές δράσεις που του προτείνονται με κριτήρια, συνήθως, κόστους - οφέλους για τον οργανισμό. Επομένως, πρέπει να πειστεί το ανώτατο επίπεδο διοίκησης ότι οι το πρόγραμμα ασφάλειας θα αποφέρει οφέλη στον οργανισμό και μάλιστα περισσότερα οφέλη από αυτά που θα αποφέρουν άλλες, ανταγωνιστικές δράσεις.

40 Η στήριξη της διοίκησης Αναμενόμενα από το ΣΔΑΠ οφέλη οφέλη λόγω της μείωσης του κινδύνου για την ασφάλεια πληροφοριών, οφέλη λόγω της προτυποποίησης, οφέλη λόγω της δομημένης προσέγγισης στο πρόβλημα και οφέλη λόγω της συμμόρφωσης με το πρότυπο ISO/IEC

41 Η στήριξη της διοίκησης Το κόστος της δράσης αναλύεται στο κόστος της διαχείρισης της δράσης υλοποίησης του ΣΔΑΠ, σε άλλα κόστη που αφορούν στην υλοποίηση του ΣΔΑΠ (π.χ. το κόστος απογραφής των πληροφοριακών αγαθών και της δημιουργίας σχετικής βάσης δεδομένων, το κόστος υποστηρικτικών μελετών κλπ.), στο κόστος πιστοποίησης και στο κόστος λειτουργίας και συντήρησης του ΣΔΑΠ.

42 Η στήριξη της διοίκησης υπάρχει όταν Συμμετέχει ενεργά στη διαμόρφωση μιας πολιτικής ασφάλειας Καθορίζει ρόλους και αναθέτει αρμοδιότητες και καθήκοντα για την ασφάλεια πληροφοριών. Φροντίζει να γνωστοποιήσει σε όλον τον οργανισμό τη σημασία που αποδίδει στη συμμόρφωση με την πολιτική ασφάλειας. Διαθέτει τους απαραίτητους ανθρώπινους και οικονομικούς πόρους που απαιτούνται για την ανάπτυξη, τη λειτουργία και τη συντήρηση του ΣΔΑΠ.

43 Το πεδίο εφαρμογής Καθορίζεται από τη διοίκηση, λαμβάνοντας υπόψη τη φύση του οργανισμού, την οργάνωσή του, τη γεωγραφική του θέση και τα πληροφοριακά αγαθά και τις τεχνολογίες που χρησιμοποιεί. Η βέλτιστη επιλογή είναι το πεδίο εφαρμογής του ΣΔΑΠ να καλύπτει όλα τα πληροφοριακά συστήματα ενός οργανισμού.

44 Η απογραφή των πληροφοριακών αγαθών Καταχώριση στο μητρώο των πληροφοριακών αγαθών, που συνήθως έχει τη μορφή μιας βάσης δεδομένων ή, για μικρότερα ΣΔΑΠ, ενός βιβλίου εργασίας Excel. Για κάθε αγαθό το μητρώο καταγράφει τον τύπο του, τη μορφή του (π.χ. λογισμικό, φυσικό/έγχαρτο, υπηρεσίες, άνθρωποι, άυλα αγαθά), τη θέση του, πληροφορίες σχετικές με αντίγραφα ασφαλείας (backup), πληροφορίες σχετικές με άδειες χρήσης λογισμικού (licenses) και την επιχειρησιακή του αξία (π.χ. ποιες επιχειρησιακές διεργασίες εξαρτώνται απ αυτό το αγαθό).

45 Η διεξαγωγή της μελέτης εκτίμησης κινδύνων Όλη η φιλοσοφία του ΣΔΑΠ στηρίζεται στην έννοια του κινδύνου για τα πληροφοριακά αγαθά. Το ISO/IEC 27005, αναφέρεται αποκλειστικά στην ανάλυση και διαχείριση κινδύνων.

46 Δήλωση εφαρμογής (SOA) και σχέδιο διαχείρισης κινδύνων (RTP) Αναγνώριση και Ανάλυση Κινδύνων Παράρτημα Α Επιλογή Μέτρων Ασφάλειας Ανάλυση Χάσματος Δήλωση Εφαρμογής Υπάρχοντα Μέτρα Ασφάλειας Σχεδιασμός Διαχείρισης Κινδύνων Σχέδιο Διαχείρισης Κινδύνων Στόχοι Ασφάλειας Υλοποίηση Μέτρων Ασφάλειας

47 Το Παράρτημα Α Περιγραφή των ενοτήτων μέτρων ασφάλειας που πρέπει να καλύπτει ένα ΣΔΑΠ 14 θεματικές ενότητες μέτρων 35 κατηγορίες-στόχοι ασφάλειας που ανήκουν σε αυτές 114 μέτρα ασφάλειας για την ικανοποίηση των στόχων ασφάλειας 47

48 Άλλες πηγές μέτρων ασφάλειας Το πρότυπο Payment Card Industry Data Security Standard (PCI/DSS), Η εθνική νομοθεσία προστασίας δεδομένων προσωπικού χαρακτήρα ή άλλη σχετική νομοθεσία, Ο κατάλογος SANS Critical Controls, Ο κατάλογος IT Grundschutz της Bundesamt für Sicherheit in der Informationstechnik (BSI), Ο κατάλογος του National Institute of Science and Technology (NIST) Security and Privacy Controls for Federal Information Systems and Organizations κ.α. Δικός μας σχεδιασμός

49 Διαμόρφωση δήλωσης εφαρμογής Επιλογή επιθυμητών μέτρων ασφάλειας. Προσδιορισμός κατάστασης υλοποίησης μέτρων μέσω Gap analysis (COBIT 4.1 Maturity Model, Carnegie Mellon Software Engineering Institute Capability Maturity Model - CMM).

50 Μοντέλο CMM Βαθμός 0: Διεργασία Ανύπαρκτη Βαθμός 1: Διεργασία Αρχική/Ad hoc Βαθμός 2: Διεργασία Επαναλήψιμη, αλλά διαισθητική Βαθμός 3: Διεργασία Καθορισμένη Βαθμός 4: Διεργασία Διαχειριζόμενη και μετρήσιμη Βαθμός 5: Διεργασία Βελτιστοποιημένη

51 Μέτρα ασφάλειας ISO 27001:2013 Υπάρχοντ α μέτρα ασφάλει ας Παρατηρήσεις (Αιτιολόγηση αποκλεισμού) Επιλεγμένα μέτρα και λόγοι επιλογής Παρατηρήσεις (Κατάσταση υλοποίησης) ΝΑ ΣΥ ΕΑ/Κ Π ΑΑΚ Ενότητα Υποενότητα Μέτρο ασφάλειας ΝΑ =Νομική απαίτηση ΣΥ=Συμβατική υποχρέωση ΕΑ/ΚΠ=Επιχειρησιακή απαίτηση/καλή πρακτική ΑΑΚ= Αποτέλεσμα ανάλυσης κινδύνων

52 Σχέδιο διαχείρισης κινδύνων Κίνδυνος: μόλυνση του δικτύου από αναπαραγωγούς ή άλλο παρόμοιο κακόβουλο λογισμικό, που προκαλεί διακοπές λειτουργίας του δικτύου, ζημιά στα δεδομένα, μη εξουσιοδοτημένη πρόσβαση σε συστήματα και άλλες συνεπακόλουθες ζημιές ή απώλειες, στις οποίες συμπεριλαμβάνονται και τα κόστη διερεύνησης των περιστατικών και αποκατάστασης.

53 Σχέδιο διαχείρισης κινδύνων Διαχείριση κινδύνου: Μετριασμός του κινδύνου πρωτίστως με χρήση αντιβιοτικών, καθώς και ελέγχων πρόσβασης στα δίκτυα, στα συστήματα και στα δεδομένα, όπως και διαχείρισης περιστατικών, αντιγράφων ασφάλειας, σχεδίων έκτακτης ανάγκης, πολιτικών, διαδικασιών και οδηγιών. Αναπαραγωγός (worm) είναι τύπος κακόβουλου λογισμικού που αναπαράγεται με σκοπό να εξαπλωθεί σε υπολογιστικά συστήματα.

54 Ο σχεδιασμός του προγράμματος υλοποίησης του ΣΔΑΠ Τι ακριβώς πρόκειται να γίνει; Τι πόροι θα χρειαστούν; Ποιος θα είναι υπεύθυνος; Πότε θα τελειώσουμε; Πώς θα αξιολογήσουμε τα αποτελέσματα; Προτεραιότητα κάθε μιας δραστηριότητας ασφάλειας;

55 Η υλοποίηση του ΣΔΑΠ Η δραστηριότητα αυτή μπορεί να είναι και έντασης εργασίας και χρονοβόρα. Δεν είναι ασύνηθες να διαρκεί μήνες ή ακόμη και χρόνια. Κατά την υλοποίηση των μέτρων ασφάλειας, βελτιώνεται ο βαθμός ωριμότητας του ΣΔΑΠ και, επομένως, η δήλωση εφαρμογής πρέπει να επικαιροποιείται αναλόγως.

56 Η τεκμηρίωση του ΣΔΑΠ Στόχοι και πολιτική του ΣΔΑΠ Πεδίο εφαρμογής του ΣΔΑΠ Διαδικασίες και άλλα μέτρα ασφάλειας που υποστηρίζουν το ΣΔΑΠ Περιγραφή μεθόδου εκτίμησης κινδύνων Έκθεση εκτίμησης κινδύνων Σχέδιο διαχείρισης κινδύνων Διαδικασίες που περιγράφουν πώς θα μετράται η αποτελεσματικότητα των μέτρων ασφάλειας Άλλα αρχεία Δήλωση Εφαρμογής 56

57 Η επιθεώρηση συμμόρφωσης και η ανάληψη διορθωτικών ενεργειών Κατά την επανεξέταση, εκτιμούμε τα περιθώρια βελτίωσης και την ανάγκη να γίνουν αλλαγές στο ΣΔΑΠ, της πολιτικής και των στόχων ασφάλειας. Τα αποτελέσματα αυτής της διαδικασίας τεκμηριώνονται και συντηρούνται ως αρχεία. Πρέπει να υλοποιήσουμε όσες αναγκαίες διορθωτικές ενέργειες εντοπίσουμε.

58 Η προ της πιστοποίησης (προκαταρκτική) αξιολόγηση Οι ελεγκτές της πιστοποίησης θα αναζητήσουν αποδείξεις ότι το ΣΔΑΠ λειτουργεί και βελτιώνεται συνεχώς. Τέτοιες αποδείξεις μπορεί να είναι αρχεία διεργασιών όπως εκθέσεις εκτίμησης κινδύνων, επανεξετάσεις από τη διοίκηση, αναφορές περιστατικών παραβίασης ασφάλειας, διορθωτικές ενέργειες κλπ. Επομένως, το ΣΔΑΠ πρέπει να αφεθεί να λειτουργήσει ομαλά για ένα διάστημα, ούτως ώστε να δημιουργηθεί το απαιτούμενο ιστορικό αρχείο της λειτουργίας και της βελτίωσής του, πριν ζητηθεί η πιστοποίησή του.

59 Ο έλεγχος συμμόρφωσης για την πιστοποίηση του ΣΔΑΠ κατά ISO/IEC Οδηγίες για τον έλεγχο συμμόρφωσης προκειμένου το ΣΔΑΠ ενός οργανισμού να πιστοποιηθεί κατά ISO/IEC περιέχονται στο πρότυπο ISO/IEC 27007:2011.

60 Ευχαριστώ!