Ασφάλειας στην Πληροφορική και τις Επικοινωνίες

Transcript

1 Ασφάλεια στην Πληροφορική και τις Επικοινωνίες Εννοιολογική θεμελίωση Δημήτρης Γκρίτζαλης Αναπληρωτής Καθηγητής Ασφάλειας στην Πληροφορική και τις Επικοινωνίες Τμήμα Πληροφορικής, Οικονομικό Πανεπιστήμιο Αθηνών

2 Στόχοι της θεμελίωσης Παροχή κοινής γλώσσας για τη συζήτηση των ζητημάτων Ασφάλειας Πληροφοριών Κατανόηση των σχέσεων μεταξύ των διαφορετικών όρων που σχετίζονται με την περιοχή της Ασφάλειας Πληροφοριών Αμεσος προσδιορισμός των πιο σημαντικών όρων Απόκτηση θεμελιωμένης άποψης για τον τρόπο με τον οποίο πρέπει να χρησιμοποιούνται οι όροι αυτοί Ασφάλεια στις Τεχνολογίες Πληροφοριών & Επικοινωνιών (Εννοιολογική θεμελίωση) 2

3 Υπάρχει πρόβλημα; Πρωτογενής όρος Απόδοση Security = Ασφάλεια Safety = Ασφάλεια Insurance = Ασφάλεια Assurance = Ασφάλεια (;) Ασφάλεια στις Τεχνολογίες Πληροφοριών & Επικοινωνιών (Εννοιολογική θεμελίωση) 3

4 Πώς θα ορισθούν/περιγραφούν οι απαραίτητες έννοιες (1) Θα ορισθούν όλες οι απαραίτητες έννοιες και όχι μόνον όσες σχετίζονται άμεσα και αποκλειστικά με τη γνωστική περιοχή Ασφάλεια Πληροφοριακών Συστημάτων Θα αποφευχθούν περιττές πολυπλοκότητες Κάθε καινούργια έννοια θα συνδυάζεται με τις προϋπάρχουσες, τόσο λεκτικά όσο και διαγραμματικά Ασφάλεια στις Τεχνολογίες Πληροφοριών & Επικοινωνιών (Εννοιολογική θεμελίωση) 4

5 Πώς θα ορισθούν/περιγραφούν οι απαραίτητες έννοιες (2) Οι διαφορές μεταξύ των εννοιολογικά συγγενών όρων θα διευκρινίζονται τόσο λεκτικά όσο και με παραδείγματα Η γλώσσα από την οποία προέρχεται η ορολογία είναι η Αγγλική και αυτό έχει συγκεκριμένες επιπτώσεις στην απόδοσή τους στην Ελληνική Στους ορισμούς που θα ακολουθήσουν δεν περιλαμβάνονται οι έννοιες που σχετίζονται με την Κρυπτολογία Ασφάλεια στις Τεχνολογίες Πληροφοριών & Επικοινωνιών (Εννοιολογική θεμελίωση) 5

6 Βασική ομάδα όρων (1) Αγαθό (asset) ονομάζεται κάτι το οποίο αξίζει να προστατευθεί. Ζημιά (harm) ονομάζεται ο περιορισμός της αξίας ενός αγαθού. Κίνδυνος (danger) ονομάζεται το ενδεχόμενο ένα αγαθό να υποστεί ζημιά. Ιδιοκτήτης ή χρήστης (owner/user) ενός αγαθού ονομάζεται το φυσικό ή νομικό πρόσωπο που κατέχει ή χρησιμοποιεί - αντίστοιχα - το αγαθό αυτό. Ασφάλεια στις Τεχνολογίες Πληροφοριών & Επικοινωνιών (Εννοιολογική θεμελίωση) 6

7 Βασική ομάδα όρων (2) Μέσο προστασίας (safeguard) ονομάζονται οι ενέργειες στις οποίες μπορεί να προβεί ο ιδιοκτήτης ή ο χρήστης ενός αγαθού προκειμένου να περιορίσει τον κίνδυνο να υποστεί ζημιά το αγαθό αυτό. Κόστος (cost) ονομάζεται η οικονομική ή άλλη επιβάρυνση που προκύπτει από τη χρήση ενός μέσου προστασίας. Στόχος της ασφάλειας (infosec goal) ονομάζεται ο αντικειμενικός σκοπός του ιδιοκτήτη ή χρήστη ενός αγαθού, όταν καθορίζει την επιθυμητή ισορροπία μεταξύ του κόστους και της ζημιάς που ενδέχεται να υποστεί το αγαθό αυτό εξαιτίας κάποιου κινδύνου. Ασφάλεια στις Τεχνολογίες Πληροφοριών & Επικοινωνιών (Εννοιολογική θεμελίωση) 7

8 Βασική ομάδα όρων (3) Εξασφάλιση (assurance) ονομάζεται η βεβαιότητα ότι οι στόχοι της ασφάλειας επιτεύχθηκαν, ως αποτέλεσμα των μέσων προστασίας που υιοθετήθηκαν. Ιδιότητα (attribute) ονομάζεται το συγκεκριμένο χαρακτηριστικό ενός αγαθού, το οποίο πρέπει να προστατευθεί. Ασφάλεια στις Τεχνολογίες Πληροφοριών & Επικοινωνιών (Εννοιολογική θεμελίωση) 8

9 Βασική ομάδα: Λειτουργική σύνδεση ΕΞΑΣΦΑΛΙΣΗ απαιτούν ότι τα καθορίζουν ΙΔΙΟΚΤΗΤΕΣ/ ΧΡΗΣΤΕΣ έχουν ΜΕΣΑ ΠΡΟΣΤΑΣΙΑΣ ΣΤΟΧΟΥΣ καταγράφουν ΑΓΑΘΑ Θα πετύχουν τους Για προστασία ΙΔΙΟΤΗΤΕΣ έχουν εξουδετερώνουν ΚΙΝΔΥΝΟΥΣ Εκτίθενται σε Ασφάλεια στις Τεχνολογίες Πληροφοριών & Επικοινωνιών (Εννοιολογική θεμελίωση) 9

10 Ομαδοποίηση όρων α/α Πρωτογενής Δευτερογενής 1 Asset Information, IT resource... 2 User Owner, Authorisation... 3 Attribute Confidentiality, Validity, Αvailability 4 Danger Violation, Vulnerability, Threat... 5 Goal Objective, Requirement... 6 Assurance Αssurance, Acceptance, Evaluation, Accreditation, Security audit... 7 Safeguard Strategy, Policy, Prevention, Risk transfer... Ασφάλεια στις Τεχνολογίες Πληροφοριών & Επικοινωνιών (Εννοιολογική θεμελίωση) 10

11 Πρωτογενής όρος: Αγαθό (asset) Είδη αγαθών: Πληροφορίες (ή δεδομένα) και Υπολογιστικοί πόροι (IT resources) Information system IT system Information User s environment Environment & purpose IT assembly Data Meaning & convention IT resources Ασφάλεια στις Τεχνολογίες Πληροφοριών & Επικοινωνιών (Εννοιολογική θεμελίωση) 11

12 Περιγραφές όρων με πρωτογενή την έννοια Αγαθό (1) Δεδομένα (data) είναι ένα σύνολο από σύμβολα που έχουν καταγραφεί. Πληροφορία (information) ονομάζονται τα δεδομένα τα οποία συνοδεύονται από τη σημασία (έννοιά) τους Υπολογιστικό συγκρότημα (ΙΤ assembly) ονομάζεται ένα σύνολο λογισμικού και υλικού ή τηλεπικοινωνιακού ή άλλου σχετικού εξοπλισμού, το οποίο χρησιμοποιείται προκειμένου να επεξεργασθεί πληροφορίες. Ασφάλεια στις Τεχνολογίες Πληροφοριών & Επικοινωνιών (Εννοιολογική θεμελίωση) 12

13 Περιγραφές όρων με πρωτογενή την έννοια Αγαθό (2) Πληροφοριακό Σύστημα (information system) ονομάζεται ένα υπολογιστικό σύστημα μαζί με τις πληροφορίες τις οποίες επεξεργάζεται Υπολογιστικό σύστημα (IT system) ονομάζεται ένα συγκεκριμένο υπολογιστικό συγκρότημα, το οποίο εναι εγκατεστημένο σε συγκεκριμένες τοποθεσίες, πλαισιώνεται από συγκεκριμένο επιχειρησιακό περιβάλον και αποβλέπει στην εκπλήρωση συγκεκριμένων στόχων. Ασφάλεια στις Τεχνολογίες Πληροφοριών & Επικοινωνιών (Εννοιολογική θεμελίωση) 13

14 Περιγραφές όρων με πρωτογενή την έννοια Αγαθό (3) Υπολογιστικός πόρος (IT resource) ονομάζεται οτιδήποτε χρησιμοποιείται από ένα υπολογιστικό σύστημα προκειμένου να του επιτρέψει να διαχειριστεί πληροφορίες Εφαρμογή (application) ονομάζεται ένα σύνολο πληροφοριών, λογισμικού και διαδικασιών, σχεδιασμένων προκειμένου να εκπληρώσουν ένα συγκεκριμένο σύνολο στόχων. Υπολογιστικό αντικείμενο (IT object) ονομάζεται ένα υπολογιστικό συγκρότημα ή ένα υπολογιστικό σύστημα ή ένα πληροφοριακό σύστημα ή ένα εξάρτημα ή προϊόν πληροφορικής Ασφάλεια στις Τεχνολογίες Πληροφοριών & Επικοινωνιών (Εννοιολογική θεμελίωση) 14

15 Περιγραφές όρων με πρωτογενή την έννοια Αγαθό (4) Αξία (value) ονομάζεται η σημαντικότητα ενός αντικειμένου, εκφρασμένη με οικονομικό ή άλλο τρόπο. Αγαθό (asset) αποτελεί κάθε πληροφορία, δεδομένο ή υπολογιστικός πόρος που έχει μια εκτιμώμενη αξία. Ασφάλεια στις Τεχνολογίες Πληροφοριών & Επικοινωνιών (Εννοιολογική θεμελίωση) 15

16 Πρωτογενής όρος Ιδιοκτήτης (owner/user) ΙΔΙΟΚΤΗΤΗΣ ΣΥΣΤΗΜΑΤΟΣ ΕΞΟΥΣΙΟΔΟΤΗΜΕΝΟΣ είναι είναι είναι ΙΔΙΟΚΤΗΤΗΣ ΠΛΗΡΟΦΟΡΙΩΝ είναι ΙΔΙΟΚΤΗΤΗΣ Χωρίς άδεια από τον έχει άδεια από τον έχει άδεια από τον των ΥΠΟΛΟΓΙΣΤΙΚΩΝ ΠΟΡΩΝ Που αποτελούν Κατέχει ένα ΠΛΗΡΟΦΟΡΙΩΝ Που αποτελούν δίνει ΑΓΑΘΟ χρησιμοποιεί Να χρησιμοποιεί ΧΡΗΣΤΗΣ ΜΗ ΕΞΟΥ- ΣΙΟΔΟΤΗΜΕΝΟΣ Σημαίνει ότι ο στο ΕΞΟΥΣΙΟΔΟΤΗΣΗ Ασφάλεια στις Τεχνολογίες Πληροφοριών & Επικοινωνιών (Εννοιολογική θεμελίωση) 16

17 Περιγραφές όρων με πρωτογενή την έννοια Ιδιοκτήτης/Χρήστης (1) Ιδιοκτήτης (owner) ενός αγαθού ονομάζεται το φυσικό ή νομικό πρόσωπο που κατέχει την κυριότητα ή είναι υπεύθυνο για ένα μέρος ή για το σύνολο του αγαθού αυτού και το οποίο έχει το δικαίωμα να καθορίσει πώς θα χρησιμοποιηθεί ή πώς θα τροποποιηθεί το αγαθό. Ιδιοκτήτης συστήματος (system owner) ονομάζεται ο ιδιοκτήτης κάποιων υπολογιστικών πόρων. ονομάζεται μια οντότητα η οποία αξιοποιεί ένα μέρος ή το σύνολο ενός Πληροφοριακού Συστήματος. Ασφάλεια στις Τεχνολογίες Πληροφοριών & Επικοινωνιών (Εννοιολογική θεμελίωση) 17

18 Περιγραφές όρων με πρωτογενή την έννοια Ιδιοκτήτης/Χρήστης (2) Ιδιοκτήτης πληροφορίας (information owner) ονομάζεται ο ιδιοκτήτης ενός αγαθού το οποίο έχει τη μορφή πληροφορίας. Εξουσιοδότηση (authorisation) ονομάζεται η διαδικασία κατά την οποία ο ιδιοκτήτης ενός αγαθού παρέχει κάποιο είδος δικαιώματος σε ένα πρόσωπο ή σε μια διαδικασία. Χρήστης (user) ονομάζεται μια οντότητα η οποία αξιοποιεί ένα μέρος ή το σύνολο ενός Πληροφοριακού Συστήματος. Ασφάλεια στις Τεχνολογίες Πληροφοριών & Επικοινωνιών (Εννοιολογική θεμελίωση) 18

19 Πρωτογενής όρος: Ιδιότητα ΑΣΦΑΛΕΙΑ ΠΛΗΡΟΦΟΡΙΩΝ ΕΜΠΙΣΤΕΥΤΙΚΟΤΗΤΑ ΕΓΚΥΡΟΤΗΤΑ ΔΙΑΘΕΣΙΜΟΤΗΤΑ ΠΛΗΡΟΦΟΡΙΩΝ ΑΥΘΕΝΤΙΚΟΤΗΤΑ ΑΚΕΡΑΙΟΤΗΤΑ ΑΣΦΑΛΕΙΑ ΑΣΦΑΛΕΙΑ ΠΛΗΡΟΦΟΡΙΑΚΟΥ ΣΥΣΤΗΜΑΤΟΣ ΔΙΑΘΕΣΙΜΟΤΗΤΑ ΑΣΦΑΛΕΙΑ ΥΠΟΛΟΓΙΣΤΙΚΟΥ ΣΥΣΤΗΜΑΤΟΣ ΑΣΦΑΛΕΙΑ ΠΛΗΡΟΦΟΡΙΩΝ ΔΙΑΘΕΣΙΜΟΤΗΤΑ ΠΛΗΡΟΦΟΡΙΩΝ ΔΙΑΘΕΣΙΜΟΤΗΤΑ ΣΥΣΤΗΜΑΤΟΣ (ΕΣΩΤΕΡΙΚΗ) ΑΣΦΑΛΕΙΑ ΠΛΗΡΟΦΟΡΙΩΝ Ασφάλεια στις Τεχνολογίες Πληροφοριών & Επικοινωνιών (Εννοιολογική θεμελίωση) 19

20 Περιγραφές όρων με πρωτογενή την έννοια Ιδιότητα (1) Υπηρεσία (service) ονομάζεται κάθε σύνολο λειτουργιών (functionalities) που παρέχονται σε κάποιο χρήστη από ένα υπολογιστικό σύστημα. Προσπέλαση (access) ονομάζεται η δυνατότητα χρήσης πληροφοριών ή υπολογιστικών πόρων ενός πληροφοριακού συστήματος. Προσπέλαση πληροφορίας (information access) ονομάζεται η δυνατότητα χρήσης συγκεκριμένων πληροφοριών από ένα πληροφοριακό σύστημα.. Ασφάλεια στις Τεχνολογίες Πληροφοριών & Επικοινωνιών (Εννοιολογική θεμελίωση) 20

21 Περιγραφές όρων με πρωτογενή την έννοια Ιδιότητα (2) Προσπέλαση συστήματος (system access) ονομάζεται η δυνατότητα χρήσης συγκεκριμένων υπολογιστικών πόρων ενός πληροφοριακού συστήματος Ακεραιότητα (integrity) ονομάζεται η αποφυγή μη εξουσιοδοτημένης τροποποίησης μιας πληροφορίας. Αυθεντικότητα (authenticity) ονομάζεται η αποφυγή κάποιας ατελούς ή ανακριβούς τροποποίησης μιας πληροφορίας από ένα εξουσιοδοτημένο χρήστη. Ασφάλεια στις Τεχνολογίες Πληροφοριών & Επικοινωνιών (Εννοιολογική θεμελίωση) 21

22 Περιγραφές όρων με πρωτογενή την έννοια Ιδιότητα (3) Εγκυρότητα (validity) ονομάζεται η εξασφάλιση πλήρους ακρίβειας και πληρότητας μιας πληροφορίας. Διαθεσιμότητα (availability) ονομάζεται η αποφυγή της αδικαιολόγητης καθυστέρησης ενός εξουσιοδοτημένου χρήστη να αποκτήσει προσπέλαση σε πληροφορίες ή υπολογιστικούς πόρους. Διαθεσιμότητα πληροφορίας (information availability) ονομάζεται η αποφυγή της προσωρινής ή μόνιμης παρακράτησης μιας πληροφορίας από τους χρήστες που έχουν δικαίωμανατηχρησιμοποιούν. Ασφάλεια στις Τεχνολογίες Πληροφοριών & Επικοινωνιών (Εννοιολογική θεμελίωση) 22

23 Περιγραφές όρων με πρωτογενή την έννοια Ιδιότητα (4) Εμπιστευτικότητα (confidentiality) ονομάζεται η αποφυγή της αποκάλυψης μιας πληροφορίας χωρίς την άδεια του ιδιοκτήτη της. Ασφάλεια (security) ονομάζεται η προστασία της ακεραιότητας, της διαθεσιμότη-τας και της εμπιστευτικότητας. Ασφάλεια πληροφορίας (information security) ονομάζεται ο συνδυασμός εμπιστευτικότητας, συνέπειας, ακεραιότητας και διαθεσιμότητας μιας πληροφορίας. Ασφάλεια στις Τεχνολογίες Πληροφοριών & Επικοινωνιών (Εννοιολογική θεμελίωση) 23

24 Περιγραφές όρων με πρωτογενή την έννοια Ιδιότητα (5) Διαθεσιμότητα συστήματος (system availability) ονομάζεται η αποφυγή προσωρινής ή μόνιμης παρακράτησης υπολογιστικών πόρων από χρήστες οι οποίοι έχουν δικαίωμα να τους χρησιμοποιούν. Ασφάλεια υπολογιστικού συστήματος (IT system security) ονομάζεται ο συνδυασμός διαθεσιμότητας συστήματος και ασφάλειας πληροφορίας. Ασφάλεια πληροφοριακού συστήματος (IS security) ονομάζεται ο συνδυασμός ασφάλειας πληροφορίας και ασφάλειας υπολογιστικού συστήματος, σε ένα δεδομένο πληροφοριακό σύστημα. Ασφάλεια στις Τεχνολογίες Πληροφοριών & Επικοινωνιών (Εννοιολογική θεμελίωση) 24

25 Πρωτογενής όρος: Ζημιά Ζημιά σχετική με κίνδυνο Breach of security Violation Ζημιά σχετική με στόχο Impact Overall risk Residual overall risk Residual hazard Ασφάλεια στις Τεχνολογίες Πληροφοριών & Επικοινωνιών (Εννοιολογική θεμελίωση) 25

26 Περιγραφές όρων με πρωτογενή την έννοια Ζημιά Οι έννοιες που συνδέονται με την πρωτογενή έννοια ζημιά είναι: - περιορισμένες το πλήθος - απλές και άμεσα κατανοητές συνεπώς εκτιμάται ότι δε χρήζουν περαιτέρω ανάλυσης. Παραδείγματα: Απώλεια εμπιστευτικότητας (loss of confidentiality) Απώλεια διαθεσιμότητας (loss of availability) Ασφάλεια στις Τεχνολογίες Πληροφοριών & Επικοινωνιών (Εννοιολογική θεμελίωση) 26

27 Πρωτογενής όρος: Κίνδυνος Threats exploit Vulnerabilities Causing harm to Assets Ασφάλεια στις Τεχνολογίες Πληροφοριών & Επικοινωνιών (Εννοιολογική θεμελίωση) 27

28 Περιγραφές όρων με πρωτογενή την έννοια Κίνδυνος (1) Ρήγμα ασφάλειας (breach of security) ονομάζεται η αποκάλυψη, μετατροπή ή παρακράτηση μιας πληροφορίας χωρίς εξουσιοδότηση. Παραβίαση (violation) ονομάζεται ένα γεγονός κατά τη διάρκεια του οποίου έχει παραβιαστεί το χαρακτηριστικό της αυθεντικότητας ή της διαθεσιμότητας ή της εμπιστευτικότητας ή της ακεραιότητας ή της συνέπειας. Ασφάλεια στις Τεχνολογίες Πληροφοριών & Επικοινωνιών (Εννοιολογική θεμελίωση) 28

29 Περιγραφές όρων με πρωτογενή την έννοια Κίνδυνος (2) Περιστατικό (incident) ονομάζεται ένα γεγονός που ενδέχεται να προέρχεται από την πραγματοποίηση μιας απειλής. Επισφάλεια (hazard) ονομάζεται το ενδεχόμενο να συμβεί κάποια προσβολή. Απειλή (threat) - ονομάζεται η ενδεχόμενη απώλεια ενός ή περισσότερων από τις παραμέτρους που ορίζουν την ασφάλεια ενός πληροφοριακού συστήματος. 1. Φυσική απειλή (physical threat) ονομάζεται η απειλή που επιφέρει φυσικές ζημιές σε ένα πληροφοριακό σύστημα. Ασφάλεια στις Τεχνολογίες Πληροφοριών & Επικοινωνιών (Εννοιολογική θεμελίωση) 29

30 Περιγραφές όρων με πρωτογενή την έννοια Κίνδυνος (3) Απειλή 1. Ανθρώπινη απειλή (human threat) ονομάζεται η απειλή που προέρχεται από ανθρώπινες ενέργειες. 2. Τυχαία απειλή (accidental threat) ονομάζεται η απειλή η οποία προέρχεται από ενέργειες που δεν είχαν κακόβουλο χαρακτήρα. 3. Σκόπιμη απειλή (deliberate threat) ονομάζεται η απειλή η οποία προέρχεται από κακόβουλες ενέργειες. Ασφάλεια στις Τεχνολογίες Πληροφοριών & Επικοινωνιών (Εννοιολογική θεμελίωση) 30

31 Περιγραφές όρων με πρωτογενή την έννοια Κίνδυνος (4) Αδυναμία (vulnerability) ονομάζεται ένα συγκεκριμένο χαρακτηριστικό ενός πληροφοριακού συστήματος, το οποίο ενδεχομένως να επιτρέψει την πραγματοποίηση κάποιας προσβολής. 1. Ανθρώπινη αδυναμία (human vulnerability) ονομάζεται η ευπάθεια που προέρχεται από τα φυσικά πρόσωπα που συμμετέχουν σε ένα υπολογιστικό σύστημα. 2. Τεχνική αδυναμία (technical vulnerability) ονομάζεται η ευπάθεια που προέρχεται από την τεχνολογική αστοχία κάποιου συστατικού του υπολογιστικού συστήματος Ασφάλεια στις Τεχνολογίες Πληροφοριών & Επικοινωνιών (Εννοιολογική θεμελίωση) 31

32 Πρωτογενής όρος: Στόχος Συνέπειες παραβίασης ΥΨΗΛΕΣ Γ Παράγοντες αποδεκτού κόστους Α Ε Β ΧΑΜΗΛΕΣ 0 Πιθανότητα παραβίασης ΧΑΜΗΛΗ Δ ΥΨΗΛΗ Ασφάλεια στις Τεχνολογίες Πληροφοριών & Επικοινωνιών (Εννοιολογική θεμελίωση) 32

33 Πρωτογενής όρος: Στόχος ΑΝΤΙΚΕΙΜΕΝΙΚΟΣ ΣΚΟΠΟΣ ΑΠΟΜΕΝΟΥΣΑ ΣΥΝΟΛΙΚΗ ΕΠΙΚΙΝΔΥΝΟΤΗΤΑ ΜΕΣΑ ΠΡΟΣΤΑΣΙΑΣ - ΑΠΑΙΤΗΣΕΙΣ ΑΠΟΜΕΝΟΥΣΑ ΕΠΙΣΦΑΛΕΙΑ ΣΥΝΟΛΙΚΗ ΕΠΙΚΙΝΔΥΝΟΤΗΤΑ + ΕΠΙΚΙΝΔΥΝΟΤΗΤΑ ΜΕΣΑ ΠΡΟΣΤΑΣΙΑΣ - ΕΠΙΣΦΑΛΕΙΑ Χ ΕΠΙΠΤΩΣΗ ΑΠΕΙΛΗ Χ ΑΔΥΝΑΜΙΑ Ασφάλεια στις Τεχνολογίες Πληροφοριών & Επικοινωνιών (Εννοιολογική θεμελίωση) 33

34 Περιγραφές όρων με πρωτογενή την έννοια Στόχος (1) Κόστος (cost) ονομάζεται η οικονομική ή άλλη επιβάρυνση που προκύπτει από την πραγματοποίηση μιας ενέργειας. Μέσο προστασίας (safeguard) ονομάζεται κάθε ενέργεια που αποσκοπεί στον αποκλεισμό μιας προσβολής ή στην ελαχιστοποίηση των συνεπειών της. Επίπτωση (impact) ονομάζεται η απώλεια ενός αγαθού ή το αυξημένο κόστος ή άλλη ζημιά που μπορεί να συμβεί ως αποτέλεσμα μιας συγκεκριμένης προσβολής. Ασφάλεια στις Τεχνολογίες Πληροφοριών & Επικοινωνιών (Εννοιολογική θεμελίωση) 34

35 Περιγραφές όρων με πρωτογενή την έννοια Στόχος (2) Επικινδυνότητα (risk) ονομάζεται το γινόμενο της επίπτωσης και του απομένοντα κινδύνου. Συνολική επικινδυνότητα (overall risk) ονομάζεται το σύνολο όλων των επικινδυνοτήτων. Απομένουσα συνολική επικινδυνότητα (residual overall risk) ονομάζεται η συνολική επικινδυνότητα που απομένει μετά την εφαρμογή όλων των μέσων προστασίας. Απομένουσα επισφάλεια (residual hazard) ονομάζεται η επισφάλεια που παραμένει μετά την εφαρμογή κάθε σχετικού μέσου προστασίας. Ασφάλεια στις Τεχνολογίες Πληροφοριών & Επικοινωνιών (Εννοιολογική θεμελίωση) 35

36 Περιγραφές όρων με πρωτογενή την έννοια Στόχος (3) Απαίτηση (requirement) ονομάζεται ο καθορισμός από τον ιδιοκτήτη ενός πληροφοριακού συστήματος του επιπέδου της αυθεντικότητας, της διαθεσιμότητας και της ακεραιότητας την οποία πρέπει να υποστηρίζει το σύστημα αυτό. Αντικειμενικός σκοπός (objective) ονομάζεται η μέγιστη απομένουσα συνολική επικινδυνότητα την οποία αποδέχεται ο ιδιοκτήτης ενός πληροφοριακού συστήματος. Ασφάλεια στις Τεχνολογίες Πληροφοριών & Επικοινωνιών (Εννοιολογική θεμελίωση) 36

37 Περιγραφές όρων με πρωτογενή την έννοια Εξασφάλιση (1) Εξασφάλιση (assurance) ονομάζεται η βεβαιότητα ότι ένας ή περισσότεροι αντικειμενικοί σκοποί ή προδιαγραφές έχουν επιτευχθεί. Γλώσσα προσδιορισμού απαιτήσεων (claims language) Ενα υποσύνολο μιας φυσικής γλώσσας, το οποίο χρησιμοποιείται για τον περιορισμό ενδεχόμενων ασαφειών που προκύπτουν κατά την περιγραφή των δυνατοτήτων ενός μέσου προστασίας. Πρότυπο (standard) ονομάζεται μια δημοσιευμένη μέθοδος, δράση ή ιδιότητα προς χρήση σε ένα συγκεκριμένο πεδίο, η οποία επιτρέπει την κοινή περιγραφή και αντιμετώπιση παρόμοιων περιστάσεων. Ασφάλεια στις Τεχνολογίες Πληροφοριών & Επικοινωνιών (Εννοιολογική θεμελίωση) 37

38 Περιγραφές όρων με πρωτογενή την έννοια Εξασφάλιση (2) Τυπική επαλήθευση (formal verification) ονομάζεται η επίδειξη με μαθηματικό μέθοδο ότι ένα πληροφοριακό σύστημα διαθέτει ορισμένα επιθυμητά χαρακτηριστικά. Απόδειξη προγράμματος (program proving) ονομάζεται η διαδικασία κατά την οποία επιδεικνύεται, με μαθηματική μέθοδο, ότι ένα πρόγραμμα διαθέτει ένα σύνολο από επιθυμητά χαρακτηριστικά. Ελεγχος λογισμικού (software testing) ονομάζεται η διαδικασία κατά την οποία, με χρήση αντιπροσωπευτικών δειγμάτων δεδομένων, ελέγχεται αν το λογισμικό διαθέτει τα καθορισμένα χαρακτηριστικά. Ασφάλεια στις Τεχνολογίες Πληροφοριών & Επικοινωνιών (Εννοιολογική θεμελίωση) 38

39 Περιγραφές όρων με πρωτογενή την έννοια Εξασφάλιση (3) Δοκιμή συμμόρφωσης (conformance testing) ονομάζεται μια διαδικασία κατά την οποία επιδεικνύεται ότι ένα υπολογιστικό αντικείμενο ή ένα επιμέρους συστατικό του είναι συμβατό με ένα πρότυπο. Αξιολόγηση (evaluation) ονομάζεται η αποτίμηση ενός υπολογιστικού αντικειμένου, με βάση ένα σύνολο καθορισμένων κριτηρίων. Στοιχεία ελέγχου (audit trail) ονομάζονται τα γραπτά ή άλλης μορφής στοιχεία τα οποία επιτρέπουν τον έλεγχο της ορθότητας των λειτουργιών ενός πληροφοριακού συστήματος. Ασφάλεια στις Τεχνολογίες Πληροφοριών & Επικοινωνιών (Εννοιολογική θεμελίωση) 39

40 Περιγραφές όρων με πρωτογενή την έννοια Εξασφάλιση (4) Ελεγχος ασφάλειας (audit of security) ονομάζεται ο έλεγχος που διεξάγεται από ανεξάρτητους εμπειρογνώμονες και για προκαθορισμένους λόγους, προκειμένου να διαπιστωθεί η ασφάλεια ενός πληροφοριακού συστήματος. Ορθότητα (correctness) ονομάζεται η έκταση της ορθής ανταπόκρισης ενός πληροφοριακού συστήματος στις λειτουργίες που οφείλει να πραγματοποιεί. Αποτελεσματικότητα (effectiveness) ονομάζεται ο βαθμός ανταπόκρισης των μέσων προστασίας ενός πληροφορικού συστήματος στις αντίστοιχες προδιαγραφές. Ασφάλεια στις Τεχνολογίες Πληροφοριών & Επικοινωνιών (Εννοιολογική θεμελίωση) 40

41 Περιγραφές όρων με πρωτογενή την έννοια Εξασφάλιση (5) Αποδοχή (acceptance) ονομάζεται η διαδικασία κατά την οποία συστατικά ή το ίδιο το υπολογιστικό σύστημα αναγνωρίζεται ότι έχουν μεταπέσει από μια στην επόμενη φάση του κύκλου ζωής. Διαπίστευση εργαστηρίου (laboratory accreditation) ονομάζεται η δημόσια αναγνώριση, από έναν έγκυρο φορέα, ότι ένα εργαστήριο πληροί ένα σύνολο καθορισμένων κριτηρίων τα οποία του επιτρέπουν να πραγματοποιεί συγκεκριμένες λειτουργίες. Ασφάλεια στις Τεχνολογίες Πληροφοριών & Επικοινωνιών (Εννοιολογική θεμελίωση) 41

42 Περιγραφές όρων με πρωτογενή την έννοια Εξασφάλιση (6) Πιστοποίηση (certification) ονομάζεται η γραπτή αποδοχή από έναν αναγνωρισμένο φορέα ότι τα χαρακτηριστικά της ασφάλειας ενός υπολογιστικού αντικειμένου αξιολογήθηκαν και διαπιστώθηκε ότι πληρούν καθορισμένα κριτήρια. Πιστοποίηση συστήματος (system accreditation) ονομάζεται η διαδικασία έγγραφης αναγνώρισης, από έναν έγκυρο φορέα, ότι ένα πληροφοριακό σύστημα ικανοποιεί τους αντικειμενικούς στόχους ασφάλειας, που έχουν τεθεί για ένα καθορισμένο σύνολο χρήσεων και σε συγκεκριμένες συνθήκες. Ασφάλεια στις Τεχνολογίες Πληροφοριών & Επικοινωνιών (Εννοιολογική θεμελίωση) 42

43 Πρωτογενής όρος: Μέτρο εξασφάλισης ΑΠΕΙΛΕΣ εκμεταλλεύονται ΑΔΥΝΑΜΙΕΣ ΠΑΡΑΒΙΑΣΕΙΣ Οδηγούν σε προκαλούν ΕΠΙΠΤΩΣΕΙΣ στον ΙΔΙΟΚΤΗΤΗ ήστον ΧΡΗΣΤΗ Ασφάλεια στις Τεχνολογίες Πληροφοριών & Επικοινωνιών (Εννοιολογική θεμελίωση) 43

44 Περιγραφές όρων με πρωτογενή την έννοια Μέτρο εξασφάλισης (1) Στρατηγική (strategy) ονομάζεται ο υψηλού επιπέδου σχεδιασμός για την πραγματοποίηση συγκεκριμένων στόχων σε σχέση με ένα ή περισσότερα πληροφοριακά συστήματα. Πολιτική (policy) ονομάζεται το σύνολο των κανόνων, μέτρων και διαδικασιών που καθορίζονται από τη διοίκηση ενός πληροφοριακού συστήματος και ορίζουν τους ελέγχους που απαιτούνται για την ασφάλεια των αγαθών του συστήματος. Ασφάλεια στις Τεχνολογίες Πληροφοριών & Επικοινωνιών (Εννοιολογική θεμελίωση) 44

45 Περιγραφές όρων με πρωτογενή την έννοια Μέτρο εξασφάλισης (2) Οδηγίες (guidelines) ονομάζονται οι συστάσεις για τη λήψη ενεργειών, για την υιοθέτηση διαδικασιών, μεθόδων ή προτύπων, ή γιατην αγορά εξοπλισμού και οι οποίες πρέπει να πραγματοποιηθούν σε συγκεκριμένες περιστάσεις. Ενημέρωση (awareness) ονομάζεται η γνώση των θεμάτων που σχετίζονται με την ασφάλεια των πληροφοριακών συστημάτων και των συνεπειών της μη ύπαρξής της, στο πλαίσιο ενός συγκεκριμένου χωροχρονικά περιβάλλοντος. Ασφάλεια στις Τεχνολογίες Πληροφοριών & Επικοινωνιών (Εννοιολογική θεμελίωση) 45

46 Περιγραφές όρων με πρωτογενή την έννοια Μέτρο εξασφάλισης (3) Περιορισμός συνεπειών (damage limitation) ονομάζεται η μείωση των συνεπειών μιας προσβολής, με υιοθέτηση κατάλληλων πρωτοβουλιών. Πολιτική προσωπικού (personnel policy) ονομάζεται το σύνολο των προτύπων και οδηγιών που υιοθετούνται από έναν οργανισμό για να εφαρμόζονται από το προσωπικό που εργάζεται σε αυτόν και που αποσκοπούν στην τήρηση των αντικειμενικών του στόχων. Ασφάλεια στις Τεχνολογίες Πληροφοριών & Επικοινωνιών (Εννοιολογική θεμελίωση) 46

47 Περιγραφές όρων με πρωτογενή την έννοια Μέτρο εξασφάλισης (4) Ελεγχος μεταβολών (configuration control) ονομάζεται το σύνολο των διαδικασιών με βάση τις οποίες καταγράφεται και ελέγχεται κάθε τροποποίηση των συστατικών ενός πληροφοριακού συστήματος Πρόληψη (prevention) ονομάζεται η αποτροπή κάθε πραγματικής ή υποθετικής απειλής από το να καταστεί προσβολή. Ασφάλεια στις Τεχνολογίες Πληροφοριών & Επικοινωνιών (Εννοιολογική θεμελίωση) 47

48 Περιγραφές όρων με πρωτογενή την έννοια Μέτρο εξασφάλισης (5) Προληπτικό μέτρο (preventive measure) ονομάζεται κάθε μέτρο που σχεδιάζεται προκειμένου να επιτύχει την πρόληψη συγκεκριμένων τύπων απειλών. Ανίχνευση (detection) ονομάζεται η διαπίστωση ότι ένα περιστατικό ή μια προσβολή έχει ήδη συμβεί. Ανιχνευτική διαδικασία (detective control) ονομάζεται κάθε έλεγχος που αποβλέπει στην ανίχνευση κάποιου περιστατικού ή προσβολής και στην υιοθέτηση των απαραίτητων ενεργειών αποκατάστασης των συνεπειών του. Ασφάλεια στις Τεχνολογίες Πληροφοριών & Επικοινωνιών (Εννοιολογική θεμελίωση) 48

49 Περιγραφές όρων με πρωτογενή την έννοια Μέτρο εξασφάλισης (6) Ελεγχος προσπέλασης συστήματος (system access control) ονομάζεται ο περιορισμός της δυνατότητας προσπέλασης στο σύστημα μόνο σε εξουσιοδοτημένους χρήστες. Ελεγχος προσπέλασης πληροφοριών (information access control) ονομάζεται ο περιορισμός της δυνατότητας προσπέλασης στις πληροφορίες μόνο από εξουσιοδοτημένους χρήστες. Ελεγχος ανάγνωσης (read access control) ονομάζεται ο έλεγχος μιας επικείμενης ανάγνωσης πληροφοριών ή δεδομένων που τηρούνται από ένα συγκεκριμένο πληροφοριακό σύστημα. Ασφάλεια στις Τεχνολογίες Πληροφοριών & Επικοινωνιών (Εννοιολογική θεμελίωση) 49

50 Περιγραφές όρων με πρωτογενή την έννοια Μέτρο εξασφάλισης (7) Ελεγχος εγγραφής (write access control) ονομάζεται ο έλεγχος μιας επικείμενης τροποποίησης πληροφοριών ή δεδομένων σε ένα συγκεκριμένο πληροφοριακό σύστημα Ασφάλεια εκπομπών (emanation security) ονομάζεται ο έλεγχος των ανεπιθύμητων ηλεκτρομαγνητικών ή ακουστικών σημάτων που δημιουργούνται ή επηρεάζουν τον εξοπλισμό. Φυσική προστασία (physical security) ονομάζεται η προστασία που παρέχεται στις συνιστώσες ενός πληροφοριακού συστήματος από φυσικές καταστροφές με τη βοήθεια ειδικών συσκευών ή διαδικασιών. Ασφάλεια στις Τεχνολογίες Πληροφοριών & Επικοινωνιών (Εννοιολογική θεμελίωση) 50

51 Περιγραφές όρων με πρωτογενή την έννοια Μέτρο εξασφάλισης (8) Απονομή ευθυνών (accountability) ονομάζεται η αρχή με βάση την οποία η ευθύνη για κάθε πράξη ή παράλειψη που προκαλεί μια προσβολή ενός ΠΣ μπορεί να κατανεμηθεί σε ένα ή πιο πολλά φυσικά πρόσωπα. Επίβλεψη (monitoring) ονομάζεται η διαδικασία συνεχούς ανίχνευσης όλων των εμφανιζόμενων περιστατικών ή προσβολών. Ανίχνευση περιστατικών (incident detection) ονομάζεται η ανίχνευση των εμφανιζόμενων περιστατικών. Ανίχνευση προσβολών (violation detection) ονομάζεται η ανίχνευση των εμφανιζόμενων προσβολών. Ασφάλεια στις Τεχνολογίες Πληροφοριών & Επικοινωνιών (Εννοιολογική θεμελίωση) 51

52 Ανοχή σε σφάλματα (fault tolerance) ονομάζεται η δυνατότητα ενός υπολογιστικού συστήματος να διατηρεί την ασφάλεια του πληροφοριακού συστήματος παρά τις ενδεχόμενες αστοχίες των συστατικών του. Μεταβίβαση επικινδυνότητας (risk transfer) ονομάζεται κάθε ενέργεια που αποσκοπεί στη μείωση των επιπτώσεων που έχει μια προσβολή στον ιδιοκτήτη μιας πληροφορίας ή ενός συστήματος με μεταφορά της ευθύνης για τηνπροσβολήαυτήσεκάποιοτρίτομέρος. Ανάνηψη (recovery) Περιγραφές όρων με πρωτογενή την έννοια Μέτρο εξασφάλισης (9) ονομάζεται η αποκατάσταση ενός πληροφοριακού συστήματος σε μια συγκεκριμένη φάση της λειτουργίας του, η οποία διακόπηκε εξαιτίας κάποιου γεγονότος. Ασφάλεια στις Τεχνολογίες Πληροφοριών & Επικοινωνιών (Εννοιολογική θεμελίωση) 52

53 Περιγραφές όρων με πρωτογενή την έννοια Μέτρο εξασφάλισης (10) Σχέδιο συνέχειας (continuity plan) ενός πληροφοριακού συστήματος ονομάζεται το σχέδιο που περιλαμβάνει όλες τις ενέργειες που πρέπει να πραγματοποιηθούν για την ανάνηψη του συστήματος μετά από κάποια προσβολή, καθώς και τη συνέχιση της λειτουργίας του. Εφεδρικό αντίγραφο πληροφοριών (information backup) ονομάζεται ένα αντίγραφο των πληροφοριών που μπορεί να χρησιμοποιηθεί - μεταξύ άλλων - και για λόγους ανάνηψης. Μηχανισμός (mechanism) ονομάζεται ο τρόπος εφαρμογής ενός μέσου προστασίας. Ασφάλεια στις Τεχνολογίες Πληροφοριών & Επικοινωνιών (Εννοιολογική θεμελίωση) 53

54 Περιγραφές όρων με πρωτογενή την έννοια Μέτρο εξασφάλισης (11) Λογικός έλεγχος προσπέλασης (logical access control) ονομάζεται ο έλεγχος της προσπέλασης σε μια πληροφορία που τηρείται από ένα υπολογιστικό σύστημα, ο οποίος βασίζεται σε λογικές προτάσεις. Φυσικός έλεγχος προσπέλασης (physical access control) ονομάζεται ο έλεγχος της φυσικής προσπέλασης σε αξίες. Ταυτότητα (identity) ονομάζεται ένα από τα μοναδικά χαρακτηριστικά ενός χρήστη. Ταυτοποίηση χρήστη (user identification) ονομάζεται η διαδικασία με την οποία ένα υπολογιστικό σύστημα αναγνωρίζει ένα χρήστη. Ασφάλεια στις Τεχνολογίες Πληροφοριών & Επικοινωνιών (Εννοιολογική θεμελίωση) 54

55 Περιγραφές όρων με πρωτογενή την έννοια Μέτρο εξασφάλισης (12) Αυθεντικοποίηση χρήστη (user authentication) ονομάζεται η διαδικασία που αποσκοπεί στην επιβεβαίωση της ταυτότητας ενός χρήστη. Συνθηματικό (password) ονομάζεται μια μυστική συμβολοσειρά που χρησιμοποιείται για την αυθεντικοποίηση ενός χρήστη. Χαρακτηριστικό (label) ονομάζεται ένα μέσο που αφορά πληροφορίες ή δεδομένα και το οποίο επιτρέπει τον έλεγχο της προσπέλασης για ανάγνωση ήεγγραφήσταδεδομέναήτιςπληροφορίεςαυτές. Ασφάλεια στις Τεχνολογίες Πληροφοριών & Επικοινωνιών (Εννοιολογική θεμελίωση) 55

56 Περιγραφές όρων με πρωτογενή την έννοια Μέτρο εξασφάλισης (13) Ευαίσθητη πληροφορία (sensitive information) ονομάζεται η πληροφορία της οποίας η αποκάλυψη, τροποποίηση ή παρακράτηση ενδέχεται να προξενήσει απώλεια ή καταστροφή σε ένα αγαθό. Ευαισθησία (sensitivity) ονομάζεται ένα μέτρο της σημαντικότητας μιας ευαίσθητης πληροφορίας που καθορίζεται από τον ιδιοκτήτη της, προκειμένου να ορισθεί η ανάγκη προστασίας της. Διαβάθμιση (classification) ονομάζεται ένα συγκεκριμένο επίπεδο σε ένα πεπερασμένο σύνολο ιεραρχημένων επιπέδων στο οποίο ο ιδιοκτήτης μιας πληροφορίας την κατατάσσει ως προς την ευαισθησία της. Ασφάλεια στις Τεχνολογίες Πληροφοριών & Επικοινωνιών (Εννοιολογική θεμελίωση) 56

57 Περιγραφές όρων με πρωτογενή την έννοια Μέτρο εξασφάλισης (14) Βαθμός εξουσιοδότησης (clearance) ονομάζεται το χαρακτηριστικό ενός χρήστη που καθορίζει το ανώτατο επίπεδο διαβαθμισμένων ευαίσθητων πληροφοριών που έχει δικαίωμα να προσπελάσει ο χρήστης αυτός. Διάκριση καθηκόντων (separation of duties) ονομάζεται μια διαδικασία που εξασφαλίζει ότι τουλάχιστον δύο φυσικά πρόσωπα είναι υπεύθυνα για κάθε ενέργεια που πραγματοποιείται σε έναν οργανισμό. Καταγραφή δραστηριοτήτων (activity logging) ονομάζεται η διαδικασία κατά την οποία ένα πληροφοριακό σύστημα συσχετίζει κάθε δραστηριότητά του με συγκεκριμένες οντότητες. Ασφάλεια στις Τεχνολογίες Πληροφοριών & Επικοινωνιών (Εννοιολογική θεμελίωση) 57

58 Περιγραφές όρων με πρωτογενή την έννοια Μέτρο εξασφάλισης (15) Πλεονασμός (redundancy) των συστατικών ενός πληροφοριακού συστήματος ονομάζεται η ύπαρξή τους σε πολλαπλά αντίγραφα, προκειμένου να μειωθεί η πιθανότητα διακοπής ή υποβάθμισης της λειτουργίας του εξαιτίας κάποιου γεγονότος. Ημερολόγιο κινήσεων (transaction log) ονομάζεται το αρχείο των ενεργειών που πραγματοποιήθηκαν σε ένα πληροφοριακό σύστημα, το οποίο επιτρέπει την παρακολούθηση της διαβίβασης των πληροφοριών ή δεδομένων από την πηγή τους ως τον τελικό αποδέκτη τους. Ασφάλεια στις Τεχνολογίες Πληροφοριών & Επικοινωνιών (Εννοιολογική θεμελίωση) 58

59 Περιγραφές όρων με πρωτογενή την έννοια Μέτρο εξασφάλισης (16) Οδηγός (profile) ονομάζεται ένα σύνολο επιλεγμένων μέσων προστασίας, που καθορίζεται από σχετικά πρότυπα ή πολιτικές, προκειμένου να καθοδηγηθούν οι παραγωγοί λογισμικού ή υλικού. Βασικοί έλεγχοι (baseline controls) ονομάζονται οι έλεγχοι που απαρτίζουν το ελάχιστο αποδεκτό επίπεδο προστασίας πληροφοριακού συστήματος. Γενικοί έλεγχοι (general controls) ονομάζονται οι έλεγχοι που εφαρμόζονται ή μπορούν να εφαρμοσθούν σε ένα σύνολο πληροφοριακών συστημάτων, όταν αυτά κάνουν από κοινού χρήση υπολογιστικών πόρων. Ασφάλεια στις Τεχνολογίες Πληροφοριών & Επικοινωνιών (Εννοιολογική θεμελίωση) 59

60 Περιγραφές όρων με πρωτογενή την έννοια Μέτρο εξασφάλισης (17) Ελεγχοι εφαρμογής (application controls) ονομάζονται οι έλεγχοι που εφαρμόζονται σε συγκεκριμένη εφαρμογή για να διατηρήσουν την αυθεντικότητά της. Πρωτόκολλο (protocol) ονομάζεται ένα σύνολο κανόνων και συμβατικών ρυθμίσεων που αφορούν τη μορφή και τον τρόπο ανταλλαγής δεδομένων μεταξύ επικοινωνούντων υπολογιστικών συστημάτων. Ελεγχος αυθεντικότητας (message authentication) ονομάζεται η επιβεβαίωση ότι ένα μήνυμα στάλθηκε έγκαιρα, χωρίς τροποποίηση και από συγκεκριμένο αποστολέα. Ασφάλεια στις Τεχνολογίες Πληροφοριών & Επικοινωνιών (Εννοιολογική θεμελίωση) 60