Κων/νος Λαμπρινουδάκης Αναπληρωτής Καθηγητής Τμήμα Ψηφιακών Συστημάτων Εργαστήριο Ασφάλειας Συστημάτων Πανεπιστήμιο Πειραιώς

Transcript

1 Κων/νος Λαμπρινουδάκης Αναπληρωτής Καθηγητής Τμήμα Ψηφιακών Συστημάτων Εργαστήριο Ασφάλειας Συστημάτων Πανεπιστήμιο Πειραιώς With the financial support of the Prevention of and Fight against Crime Programme European Commission Directorate-General Home Affairs

2 Περιλαμβάνει τις διαδικασίες: Προσδιορισμός κινδύνων που αντιμετωπίζουν τα Π.Σ. και των αναγκαίων μέτρων προστασίας Καθορισμός της πολιτικής ασφάλειας και προσδιορισμό των διαθέσιμων πόρων Καθορισμός ρόλων, αρμοδιοτήτων, απόδοση υπευθυνοτήτων για τα ζητήματα ασφάλειας Π.Σ. Ενημέρωση και ευαισθητοποίηση χρηστών, εκπαίδευση στην χρήση των μέτρων προστασίας Καθορισμός σχεδίων ανάκαμψης Αξιολόγηση διαδικασιών διαχείρισης της ασφάλειας Π.Σ.

3

4 Αποτίμηση Κινδύνου Αποτελέσματα Κατ ελάχιστον κάθε δύο (2) έτη. Διατήρηση καταλόγου ΠΕΣ με συνοπτική περιγραφή Απειλές παραβίασης του ΠΕΣ από εξωτερικές απειλές, εργαζόμενους ή συνεργάτες του υπόχρεου προσώπου. Σχετικές ευπάθειες των ΠΕΣ. Πιθανές επιπτώσεις των περιστατικών παραβίασης του απορρήτου. Λαμβάνονται υπόψη για τη σύνταξη και την αναθεώρηση της Π.Α. και την υλοποίηση των κατάλληλων μέτρων για την εφαρμογή της. Διατηρούνται από το υπόχρεο πρόσωπο και είναι διαθέσιμα κατά τον τακτικό ή έκτακτο έλεγχο της εφαρμογής της Π.Α.

5 Υποστήριξη της ΠΑ από την κατάλληλη οργανωτική δομή Καθορισμός: Ρόλων Οργανωτικής δομής

6 Στόχος είναι η μείωση της επικινδυνότητας που οφείλεται σε ανθρώπινα λάθη Οδηγίες κανόνες για: Καθορισμός ρόλων και υπεθυνοτήτων Διαδικασίες επιλογής προσωπικού (ειδικά για θέσεις που αφορούν σε χειρισμό προσωπικών δεδομένων) Συμμόρφωση με νομικό πλαίσιο Κατάρτιση ενημέρωση χρηστών Αντιμετώπιση και αναφορά περιστατικών ασφάλειας (διαδικασία, κανάλι επικοινωνίας, κλπ.)

7 Πρόβλεψη μέτρων για την αποτροπή μη εξουσιοδοτημένης φυσικής πρόσβασης στις εγκαταστάσεις του οργανισμού και ο έλεγχος της πρόσβασης σε αυτές. Ορισμός ασφαλών χώρων εντός και εκτός των εγκαταστάσεων του οργανισμού, στους οποίους εγκαθίστανται τα ΠΕΣ. Χρήση μηχανισμών ασφάλειας και ελεγχόμενης πρόσβασης (ενδεικτικά, κάρτες ελεγχόμενης εισόδου). Διαδικασία φυσικής πρόσβασης. Εξουσιοδότηση φυσικής πρόσβασης κατόπιν έγκρισης αρμοδίου. Καταγραφή πρόσβασης (π.χ. όνομα, ιδιότητα, ώρα εισόδου εξόδου).

8 >Σκοπός Εύρος Πολιτικής Η Πολιτική Λογικής Πρόσβασης (Π.Λ.Π.) καθορίζει τη διαβάθμιση των επιπέδων πρόσβασης. Θέτει τις απαιτήσεις για τον έλεγχο πρόσβασης στα ΠΕΣ Ισχύει για τους εργαζόμενους και συνεργάτες του οργανισμού οι οποίοι αποκτούν πρόσβαση στα ΠΕΣ και στα σχετικά δεδομένα και τις πληροφορίες.

9 >Γενικές Απαιτήσεις - Καταγραφής κατηγοριών χρηστών και τα δικαιώματα πρόσβασης αυτών για κάθε ΠΕΣ. ΑΡΧΕΙ Ο - Προσβάσεων των χρηστών των ΠΕΣ σε αυτά. Κατ ελάχιστον καταγράφονται: - το όνομα χρήστη που απέκτησε την πρόσβαση, - ημερομηνία και ώρα εκκίνησης και τερματισμού, - αιτιολόγηση της πρόσβασης. - Τρόπων πρόσβασης των εργαζομένων και συνεργατών του σε δεδομένα των χρηστών των παρεχόμενων δικτύων ή υπηρεσιών.

10 >Προβλεπόμενες Διαδικασίες Διαδικασία Διαχείρισης Χρηστών ΠΕΣ Προσθήκη Διαγραφή Απονομή / μεταβολή δικαιωμάτων Εγκρίσεις Αρμοδίων Τήρηση Αρχείων για - Αιτήσεις - Ιστορικό Δικαιωμάτων Πρόσβασης Διαδικασία Ελέγχου Ορθής Εφαρμογής της Π.Λ.Π. Λογαριασμούς Πρόσβασης Περιοδικοί Έλεγχοι σε Δικαιώματα Πρόσβασης Access Logs

11 >Προβλεπόμενες Διαδικασίες Δημιουργία και Διαχείριση Λογαριασμών Πρόσβασης Κανόνες Ονόματος Χρήστη (Username) Κωδικού Πρόσβασης (Password) Ασφαλή απόδοση σε χρήστες Username/Password Διαδικασίες Τακτική αλλαγή Passwords Αδρανοποίηση λογαριασμού σε περίπτωση επαναλαμβανόμενης εισαγωγής λάθους Username / Password

12 >Επιπλέον για χρήστες Ενημέρωση με κάθε πρόσφορο μέσο για την αναγκαιότητα αλλαγής κωδικού πρόσβασης. Έλεγχος για αλλαγή αρχικού κωδικού από χρήστες ή κατόπιν ανάγκης για αλλαγή του Η πρόσβαση από χρήστες σε προσωπικά δεδομένα τους να γίνεται μέσω ιστοτόπου με χρήση μηχανισμών αυθεντικοποίησης και κρυπτογράφησης. Να γίνεται ενημέρωση των χρηστών είτε κατά την σύναψη της σύμβασης είτε μέσω ιστοτόπου, κανόνων ενδεδειγμένης χρήσης για την προστασία των κωδικών πρόσβασης.

13 Η πρόσβαση πρέπει να περιορίζεται όπου αυτό είναι απαραίτητο. Επιτρέπεται για συγκεκριμένο χρονικό διάστημα με μεταβολή των κωδικών ή κατάργηση των λογαριασμών μετά το πέρας των εργασιών. - Κατάλογος των ΠΕΣ στα οποία επιτρέπεται. ΑΡΧΕΙΟ - Τεχνικές πρόσβασης π.χ. VPN. - Κατάλογος εργαζομένων / συνεργατών που έχουν εξουσιοδότηση και δικαιώματα πρόσβασης.

14 >Σκοπός Εύρος Πολιτικής Σχεδίαση Απόσυρση Διαγραφή Επικαιροποίηση Αναβάθμιση Υποστήριξη Ανάπτυξη Προμήθεια Εγκατάσταση Λειτουργία Διαχείριση

15 >Γενικές Απαιτήσεις Αλλαγές (εισαγωγή / μεταβολή / διαγραφή) στο SW / HW των ΠΕΣ) σχετικές με την Ασφάλεια θα πρέπει να πραγματοποιούνται χωρίς υπαίτια καθυστέρηση. Τήρηση αρχείου καταγραφής των αλλαγών των ΠΕΣ - Ημ/νία - Τρόπος - Αιτιολόγηση - Όνομα εργαζομένου / συνεργάτη

16 >Σκοπός Εύρος Πολιτικής Καταγραφή λεπτομερειών κάθε περιστατικού. Διερεύνηση αιτιών και προσδιορισμός των ενδεχόμενων τεχνικών ή οργανωτικών αδυναμιών. Προσδιορισμός συνεπειών και υλοποίηση ενεργειών αποκατάστασης. Ενημέρωση - Υπεύθυνου Ασφάλειας - Αρμόδια στελέχη του οργανισμού. - Θιγόμενοι χρήστες.

17 > Διαδικασία Διαχείρισης Περιστατικών Ασφάλειας Αμελλητί ενεργοποίηση της διαδικασίας σε κάθε περίπτωση περιστατικού. Καταγραφή των στοιχείων του περιστατικού και ενεργειών για την αντιμετώπισή του με τεκμηρίωση. Πότε; Συλλεχθέντα στοιχεία Μέτρα και Χρονοδιάγραμμα Που ; Πιθανή αιτία Συνέπειες Επαναληπτικότητα Χρόνος Επίλυσης Ενημέρωση θιγόμενων - Έκθεση Άμεσης Αναφοράς Περιστατικού Ασφάλειας. - Τελική Έκθεση Αναφοράς Περιστατικού Ασφάλειας.

18 > Διαδικασία Διαχείρισης Περιστατικών Ασφάλειας Κατάλογος αρμοδίων ατόμων του οργανισμού με τα στοιχεία επικοινωνίας τους, στα οποία αναφέρονται περιστατικά ασφάλειας. Παροχή απλοποιημένων μέσων για την δυνατότητα καταγγελίας προς τον οργανισμό από συνδρομητές / χρήστες. Έλεγχος ετοιμότητας της διαδικασίας ανά τακτά χρονικά διαστήματα

19 >Σκοπός Εύρος Πολιτικής Έλεγχος για την ορθή τήρηση των πολιτικών και διαδικασιών. Διαπίστωση επάρκειας και αποτελεσματικότητας των μηχανισμών ασφάλειας. >Γενικές απαιτήσεις Κατ ελάχιστον κάθε 2 χρόνια. Καλύπτει όλο το φάσμα της Πολιτικής. Εξέταση όλων των αρχείων καταγραφής.

20 >Γενικές Απαιτήσεις Μπορεί να γίνει από: Εσωτερικά από αρμόδιους υπαλλήλους ή Εξωτερικό φορέα Με παρουσία αρμοδίου υπαλλήλου του παρόχου Τήρηση εμπιστευτικότητας Ελεγχόμενος Μη διαρροή Πληροφοριών Αντικειμενικότητα Αμεροληψία Ελεγκτής

21 >Έλεγχος Προετοιμασία Διεξαγωγή Αποτελέσματα - Καθορισμός συστημάτων προς έλεγχο. - Χρονοδιάγραμμα. - Καθορισμός πληροφοριών προς έλεγχο. - Ορισμός ομάδων ελέγχου. Καταγραφή σε αρχείο

22 >Έλεγχος Προετοιμασία Διεξαγωγή Αποτελέσματα - Ευρήματα - Προτεινόμενες βελτιώσεις ή/και τροποποιήσεις - Απόδοση δικαιωμάτων πρόσβασης σε ΠΕΣ στα πλαίσια του ελέγχου σε μέλη των ομάδων ελέγχου Καταγραφή σε αρχείο

23 >Έλεγχος Προετοιμασία Διεξαγωγή Αποτελέσματα - Αποτύπωση προτεινόμενων προτάσεων. - Χρονοδιάγραμμα υλοποίησης. - Ορισμός αρμοδίων για υλοποίηση. - Ορισμός αρμοδίων για έλεγχο ορθής υλοποίησης. Καταγραφή σε αρχείο

24 Λήψη κατάλληλων οργανωτικών και τεχνικών μέσων για την αποτροπή, ανίχνευση και αντιμετώπιση κακόβουλου λογισμικού. Υποχρέωση ενημέρωσης εργαζομένων για κινδύνους και υποχρεώσεις τους. Αποτροπή εξάπλωσης με κατάλληλα μέσα. Έλεγχος ακεραιότητας λογισμικού Αρχείο με τεκμηρίωση των παραπάνω.

25 Εναρμόνιση και συνέπεια με το νομικό και κανονιστικό πλαίσιο Οδηγίες κανόνες για: Συμμόρφωση με το νομικό πλαίσιο Μέτρα για την υλοποίηση του στόχου αυτού

26 Εξασφάλιση συνέχισης λειτουργίας των επιχειρησιακών δραστηριοτήτων Διαδικασίες για: Την αντιμετώπιση ενός περιστατικού ασφαλείας Εναλλακτικοί τρόποι λειτουργίας

27 With the financial support of the Prevention of and Fight against Crime Programme European Commission Directorate-General Home Affairs