ΕΛΕΓΧΟΣ ΕΓΓΡΑΦΟΥ ΙΣΤΟΡΙΚΟ ΕΚΔΟΣΕΩΝ

Transcript

1 ΟΛΟΚΛΗΡΩΜΕΝΟ ΠΛΗΡΟΦΟΡΙΑΚΟ ΣΥΣΤΗΜΑ ΠΟΛΙΤΙΚΗΣ ΠΡΟΣΤΑΣΙΑΣ Εργαστήριο Ασφάλειας Πληροφοριακών και Επικοινωνιακών Συστημάτων, Πανεπιστήμιο Αιγαίου Α Π Ο Τ Ι Μ Η Σ Η Α Γ Α Θ Ω Ν Κ Α Ι Α Ν Α Λ Υ Σ Η Ε Π Ι Κ Υ Ν Δ Υ Ν Ο Τ Η Τ Α Σ Έκδοση: 2.0 Ημερομηνία: Διαβάθμιση: Εμπιστευτικό

2 REF: ΕΛΕΓΧΟΣ ΕΓΓΡΑΦΟΥ ΙΣΤΟΡΙΚΟ ΕΚΔΟΣΕΩΝ Ημερομηνία Έκδοση Συγγραφείς Αλλαγές 20/06/ Μελετητική Ομάδα Ασφάλειας Πανεπιστημίου Αιγαίου 27/06/ Μελετητική Ομάδα Ασφάλειας Πανεπιστημίου Αιγαίου 30/06/ Μελετητική Ομάδα Ασφάλειας Πανεπιστημίου Αιγαίου Αποτίμηση Αγαθών ΟΠΣ Πολιτικής Προστασίας Ενσωμάτωση παρατηρήσεων στελεχών της ΓΓΠΠ Ενσωμάτωση των Αποτελεσμάτων της Ανάλυσης Επικινδυνότητας version / 98

3 REF: Πίνακας Περιεχομένων Εισαγωγή...7 Το Ζήτημα της Ασφάλειας Πληροφοριακών Συστημάτων... 7 Αντικείμενο, σκοπός και στόχοι της μελέτης ασφάλειας του Ο.Π.Σ Πλαίσιο μελέτης ανάλυσης και διαχείρισης επικινδυνότητας...9 Εννοιολογικό πλαίσιο της μελέτης... 9 Εξελίξεις, σύγχρονες τάσεις και προβληματισμοί Αρχή αναλογικότητας και αποτίμηση επικινδυνότητας Αντικείμενο, σκοπός και στόχοι της ανάλυσης και διαχείρισης επικινδυνότητας Πηγές που θα αξιοποιηθούν για τη μελέτη ασφάλειας Εύρος και περιορισμοί της ανάλυσης και διαχείρισης της επικινδυνότητας Μεθοδολογία...18 Η μέθοδος CRAMM Αναλυτική Περιγραφή της CRAMM Εξαγωγή μέτρων προστασίας από το εργαλείο της CRAMM Πλεονεκτήματα και μειονεκτήματα Προϋποθέσεις επιτυχίας της μεθόδου και δυσκολίες εφαρμογής Οριοθέτηση και περιγραφή του Ολοκληρωμένου Πληροφοριακού Συστήματος της Γ.Γ.Π.Π.27 Οριοθέτηση του Συστήματος Γενικές Λειτουργικές Αρχές Υποσύστημα διαχείρισης λειτουργιών του Κέντρου Επιχειρήσεων Υποσύστημα διαχείρισης λειτουργιών του τμήματος Φυσικών Καταστροφών Υποσύστημα διαχείρισης λειτουργιών του τμήματος Τεχνολογικών Καταστροφών Υποσύστημα διαχείρισης λειτουργιών του τμήματος Εθνικού Σχεδιασμού Υποσύστημα τμήματος Ελέγχου και Παρακολούθησης Σχεδίων Υποσύστημα τμήματος Τεκμηρίωσης Ερευνών και Στατιστικής Υποσύστημα διαχείρισης λειτουργιών του τμήματος Διεθνών Σχέσεων Υποσύστημα τμήματος Εθελοντισμού και Εκπαίδευσης Υποσύστημα Οικονομικών και Διοικητικής Διαχείρισης Διαδικτυακή Πύλη Αποτίμηση Αγαθών των Πληροφοριακών Συστημάτων και Εγκαταστάσεων...32 Εισαγωγή Αποτίμηση αξίας δεδομένων Δημόσια Δεδομένα Εμπιστευτικά & Απόρρητα Δεδομένα Απλά Προσωπικά Δεδομένα (Ν. 2472/97) Οικονομικά Δεδομένα Αποτίμηση των Κτηριακών Εγκαταστάσεων της Γ.Γ.Π.Π Μοντελοποίηση των αγαθών...51 Εκτίμηση Επικινδυνότητας...57 Εισαγωγή Απειλές Αδυναμίες και προβλήματα ασφάλειας Εκτίμηση επικινδυνότητας ΠΣ version / 98

4 REF: Εκτίμηση επικινδυνότητας εγκαταστάσεων Παράρτημα Α': Κλίμακες Αποτίμησης Δεδομένων...64 Παράρτημα Β': Αναλυτική Παρουσίαση Εκτίμησης Επικινδυνότητας...67 Παράρτημα Γ': Βασικές βιβλιογραφικές πηγές...97 version / 98

5 REF: Ευρετήριο Πινάκων Πίνακας 1: Στόχοι της μελέτης ασφάλειας...8 Πίνακας 2: Βασικές έννοιες και ορισμοί τους...11 Πίνακας 3: Στόχοι της Μελέτης Ανάλυσης και Διαχείρισης Επικινδυνότητας...16 Πίνακας 4: Στάδια της μεθόδου CRAMM...19 Πίνακας 5: Πλεονεκτήματα και μειονεκτήματα της μεθόδου CRAMM...26 Πίνακας 6: Ομάδες δεδομένων...33 Πίνακας 7: Δημόσια προσπελάσιμη πληροφορία των υποσυστημάτων του Ο.Π.Σ Πίνακας 8: Πληροφορία του Ο.Π.Σ., που χαρακτηρίζεται ως εμπιστευτική ή απόρρητη...35 Πίνακας 9: Απλά προσωπικά δεδομένα κατά το Ν. 2472/97 και τις αποφάσεις της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα...36 Πίνακας 10: Δεδομένα του Ο.Π.Σ., οικονομικής φύσεως...37 Πίνακας 11: Πίνακας Αποτίμησης Δημοσίων Δεδομένων...39 Πίνακας 12: Πίνακας Αποτίμησης Εμπιστευτικών και Απόρρητων Δεδομένων...42 Πίνακας 13: Πίνακας Αποτίμησης Απλών Προσωπικών Δεδομένων...45 Πίνακας 14: Πίνακας Αποτίμησης Οικονομικών Δεδομένων...48 Πίνακας 15: Συγκεντρωτική Αποτίμηση Δεδομένων Ο.Π.Σ version / 98

6 REF: ΕΠΙΤΕΛΙΚΗ ΣΥΝΟΨΗ Σκοπός του έργου είναι η εκπόνηση Μελέτης Ανάλυσης και Διαχείρισης Επικινδυνότητας (risk analysis and management study) του Ολοκληρωμένου Πληροφοριακού Συστήματος της Γενικής Γραμματείας Πολιτικής Προστασίας (Γ.Γ.Π.Π.). Η εν λόγω μελέτη ασφάλειας αποσκοπεί στον εντοπισμό και την αποτίμηση των παραμέτρων που σχετίζονται με την ασφάλεια των Συστημάτων και Εγκαταστάσεων αυτού (πχ. προστατευόμενα αγαθά, αδυναμίες, απειλές, επιπτώσεις, συνέπειες κ.λπ.), καθώς και στην επιλογή και περιγραφή των απαραίτητων διαδικαστικών, οργανωτικών και τεχνικών μέτρων για την προστασία τους. Για την υλοποίηση των στόχων αυτών αξιοποιείται η μέθοδος CRAMM (CCTA Risk Analysis and Management Method), η οποία βασίζεται στη μεθοδολογία Ανάλυσης και Διαχείρισης Επικινδυνότητας όπως αυτή έχει περιγραφεί στο ISO/IEC/JTC GMITS: Information Technology Security Techniques Guidelines for the Management of IT Security. Η εφαρμογή της μεθόδου ακολουθεί τα εξής κύρια στάδια: 1. Προσδιορισμός-αξιολόγηση των αγαθών (identification and valuation of assets). 2. Ανάλυση επικινδυνότητας (risk analysis). 3. Διαχείριση επικινδυνότητας (risk management). Η αξιολόγηση των αγαθών (assets) - και κυρίως η αξιολόγηση των δεδομένων - αποτελεί ίσως την κρισιμότερη δραστηριότητα της μεθόδου, καθώς λαμβάνει υπόψη την εκτίμηση για τις πιθανές επιπτώσεις που ενδέχεται να προκύψουν από την απώλεια μιας εκ των ιδιοτήτων απαιτήσεων ασφάλειας των δεδομένων (εμπιστευτικότητα, ακεραιότητα και διαθεσιμότητα). Για το λόγο αυτό, η μέθοδος αποδίδει ιδιαίτερη σημασία στην επικύρωση των αποτελεσμάτων της αποτίμησης των δεδομένων, έτσι ώστε να διαμορφωθεί μία κοινή αντίληψη ανάμεσα στη μελετητική ομάδα ασφάλειας και τα στελέχη της Γ.Γ.Π.Π. Στο παρόν παραδοτέο περιγράφονται τα αποτελέσματα της αποτίμησης των δεδομένων που διαχειρίζεται το Ολοκληρωμένο Πληροφοριακό Σύστημα της Γ.Γ.Π.Π. καθώς και τα αποτελέσματα της ανάλυσης επικινδυνότητας που διενεργήθηκε. Η μέθοδος CRAMM αποδίδει ιδιαίτερη βαρύτητα στην αποτίμηση των δεδομένων και λιγότερο στην αποτίμηση του υλικού και λογισμικού, καθώς τα τελευταία δύνανται να αποτιμηθούν πλήρως με βάση το κόστος αντικατάστασής τους, ενώ τα δεδομένα θα πρέπει να αποτιμηθούν με βάση τις επιπτώσεις της απώλειας της διαθεσιμότητας (availability), της ακεραιότητας (integrity) και της εμπιστευτικότητας τους (confidentiality). Η αποτίμηση έχει βασιστεί στις συνεντεύξεις με τα στελέχη της Γ.Γ.Π.Π. Οι τιμές που έχουν δοθεί προκύπτουν από τους πίνακες αποτίμησης που συνοδεύουν την CRAMM και οι οποίοι παρατίθενται στο Παράρτημα Α του παρόντος εγγράφου. Σε κάθε περίπτωση, η αποτίμηση αφορά το δυσμενέστερο σενάριο και δε λαμβάνει υπόψη της τα υπάρχοντα μέτρα ασφάλειας. Επιπλέον, στο πλαίσιο της μεθοδολογίας που ακολουθείται, η αποτίμηση δε λαμβάνει υπόψη την πιθανότητα εκδήλωσης μίας απειλής, αλλά μόνο την επίπτωση από την ενδεχόμενη επιτυχή πραγματοποίηση της απειλής αυτής. Ο συνδυασμός των επιπτώσεων, των απειλών και των αδυναμιών προσδιορίζει συνολικά το Επίπεδο Επικινδυνότητας (risk level) που αποτιμάται συνολικά με το Βαθμό Επικινδυνότητας (risk factor). Με βάση το βαθμό επικινδυνότητας θα επιλεγούν τέτοια Μέτρα Προστασίας, ώστε να προσφέρουν επίπεδο προστασίας ανάλογο του βαθμού επικινδυνότητας. version / 98

7 REF: Εισαγωγή Το παραδοτέο αυτό περιλαμβάνει τα αποτελέσματα της αποτίμησης των αγαθών και εγκαταστάσεων του νέου Ολοκληρωμένου Πληροφοριακού Συστήματος (Ο.Π.Σ.) της Γενικής Γραμματείας Πολιτικής Προστασίας. Από την αποτίμηση των αγαθών περιουσιακών στοιχείων του Ο.Π.Σ. προκύπτουν σημαντικές απαιτήσεις σε ότι αφορά την εμπιστευτικότητα, τη διαθεσιμότητα και την ακεραιότητα τους. Οι απαιτήσεις για διατήρηση της εμπιστευτικότητας των δεδομένων απορρέουν κατά μείζονα λόγο από την ανάγκη διασφάλισης της προστασίας των ευαίσθητων και εμπιστευτικών / απόρρητων πληροφοριών της υπηρεσίας Πολιτικής Προστασίας, όπως επίσης και της ιδιωτικότητας (privacy) ατόμων, για τα οποία η Γ.Γ.Π.Π. διατηρεί λίστες με στοιχεία που ο νόμος ορίζει ως εμπιστευτικά και προσωπικά (πχ. εθελοντές). Η απαίτηση για ακεραιότητα και διαθεσιμότητα των δεδομένων προκύπτει από το σημαντικό και κρίσιμο ρόλο του Ο.Π.Σ. στην υποστήριξη των διαδικασιών και των δράσεων της Γ.Γ.Π.Π. σε περιπτώσεις φυσικών (ταχείας ή βραδείας εξέλιξης), τεχνολογικών (συμπεριλαμβανομένων βιολογικών, χημικών και πυρηνικών συμβάντων) και λοιπών καταστροφών που προκαλούν καταστάσεις εκτάκτου ανάγκης. Το Ζήτημα της Ασφάλειας Πληροφοριακών Συστημάτων Η επίτευξη των στόχων ενός οργανισμού εξαρτάται σε μεγάλο βαθμό από τη δυνατότητά του να διασφαλίσει τις υποδομές που είναι απαραίτητες για την αποτελεσματική λειτουργία του. Στους σύγχρονους οργανισμούς, οι Τεχνολογίες Πληροφορικής και Επικοινωνιών (Information and Communication Technologies) αξιοποιούνται για τις περισσότερες από τις ενδοεπιχειρησιακές λειτουργίες και κυρίως για εκείνες που αφορούν τη λήψη αποφάσεων και το συντονισμό των μονάδων τους. Με βάση αυτή τη διαπίστωση προκύπτει ότι το Πληροφοριακό Σύστημα ενός οργανισμού αποτελεί κρίσιμο στοιχείο της υποδομής του και η αποτελεσματική λειτουργία του συνδέεται άρρηκτα με την αποτελεσματική λειτουργία του ίδιου του οργανισμού. Η προαναφερθείσα γενική παρατήρηση έχει άμεση εφαρμογή στην περίπτωση της Γ.Γ.Π.Π. Στα πλαίσια των ηλεκτρονικών υπηρεσιών της υφίσταται σαφής και επιτακτική ανάγκη για τη διασφάλιση των πληροφοριακών συστημάτων, αναγκαιότητα που προκύπτει από: 1) την ποικιλία και ένταση των κινδύνων που αντιμετωπίζουν τα σύγχρονα Π.Σ., 2) το σημαντικό κόστος από τυχόν σκόπιμες παραβιάσεις της ασφάλειας Π.Σ. και των ακούσιων, τυχαίων και φυσικών γεγονότων που απειλούν ένα σύγχρονο Π.Σ. 3) τις νομικές και κανονιστικές απαιτήσεις για προστασία δεδομένων προσωπικού χαρακτήρα, Η ασφάλεια ενός Π.Σ. χαρακτηρίζεται από το πλήθος και την ποικιλομορφία των παραγόντων που πρέπει να ληφθούν υπόψη. Οι παράγοντες αυτοί είναι τόσο τεχνικοί, όσο και διοικητικοίοργανωτικοί. Για το λόγο αυτό, κάθε προσπάθεια προστασίας ενός Π.Σ. θα πρέπει να λαμβάνει υπόψη τις εξής γενικές διαπιστώσεις: Η ασφάλεια των Π.Σ. εξαρτάται από πολλούς παράγοντες και δεν είναι ούτε αποκλειστικά, ούτε κυρίως τεχνικό ζήτημα. Η επίτευξη απόλυτης ασφάλειας δεν είναι εφικτός στόχος. Για κάθε επίπεδο ασφάλειας υπάρχει ένα αντίστοιχο κόστος που θα πρέπει να καταβληθεί για την επίτευξή του. Στο πλαίσιο της γενικής αρχής της αναλογικότητας, τα μέτρα προστασίας που θα version / 98

8 REF: ληφθούν θα πρέπει να αντιστοιχούν στο επίπεδο και τη φύση των πραγματικών κινδύνων που αντιμετωπίζει το Π.Σ. Αντικείμενο, σκοπός και στόχοι της μελέτης ασφάλειας του Ο.Π.Σ. Το Ο.Π.Σ. της Γ.Γ.Π.Π. αξιοποιεί τις τεχνολογίες της Πληροφορικής και των Τηλεπικοινωνιών σε όλο το εύρος των δραστηριοτήτων του. Η πληροφοριακή υποδομή της Γ.Γ.Π.Π. αποτελεί σημαντική οικονομική επένδυση και αποσκοπεί στη βελτίωση της αποτελεσματικότητας της λειτουργίας της γραμματείας και στη βελτίωση των δράσεων που αναπτύσσει (σχεδιασμός πρόληψης και αντιμετώπισης καταστροφών, αντιμετώπιση έκτακτων περιστατικών και καταστροφών, ενημέρωση κοινού κλπ). Με βάση τα ανωτέρω, η προστασία του Ο.Π.Σ. και των εγκαταστάσεων του από ενδεχόμενους κινδύνους αποτελεί δράση μείζονος σημασίας. Σκοπός της μελέτης ασφάλειας του παρόντος έργου είναι η διατύπωση προς τη Γ.Γ.Π.Π. τεκμηριωμένης πρότασης, η οποία αποσκοπεί στη λήψη συγκεκριμένων μέτρων προστασίας του Ο.Π.Σ. και των εγκαταστάσεών του, στην κατεύθυνση της διασφάλισης της απρόσκοπτης λειτουργίας του. Αναλυτικότερα, οι επιμέρους στόχοι της μελέτης ασφάλειας παρουσιάζονται στον Πίνακα 1 που ακολουθεί. Οι μελετητές έχουν λάβει υπόψη τους, στο μέτρο του δυνατού, τις προδιαγραφόμενες εξελίξεις, τόσο στον τομέα των Τεχνολογιών Πληροφορικής και Επικοινωνιών, όσο και στη λειτουργία του Ο.Π.Σ. Είναι σαφές ότι ενδεχόμενες μείζονες αλλαγές σε μία τουλάχιστον από τις προαναφερθείσες συνιστώσες, οψέποτε συμβούν, θα πρέπει άμεσα να οδηγήσουν στην αναθεώρηση και επικαιροποίηση του Σχεδίου Ασφάλειας. Στόχοι της Μελέτης Ασφάλειας του Ο.Π.Σ. Καταγραφή και αποτίμηση τόσο των κινδύνων που υφίστανται τα Πληροφοριακά Συστήματα της Γ.Γ.Π.Π., όσο και των πιθανών επιπτώσεων που είναι δυνατόν να υποστούν τα αγαθά αυτά από ενδεχόμενες κακόβουλες ή άστοχες ενέργειες, προσκληθείσες είτε από εσωτερικές, είτε από εξωτερικές οντότητες, ή τυχαία γεγονότα. Μεθοδική επιλογή των κατάλληλων τεχνολογιών, καθώς και των αντίστοιχων τεχνολογικών μέτρων και οργανωτικών και διαδικαστικών πρωτοβουλιών και ενεργειών, απαραίτητων για την ασφάλεια των Πληροφοριακών Συστημάτων της Γ.Γ.Π.Π.. Καταγραφή και αποτίμηση τόσο των κινδύνων που υφίστανται οι κρίσιμες κτιριακές εγκαταστάσεις της Γ.Γ.Π.Π., όσο και των πιθανών επιπτώσεων από ενδεχόμενες κακόβουλες ενέργειες, άστοχες ενέργειες ή τυχαία γεγονότα. Μεθοδική επιλογή των κατάλληλων τεχνολογιών, καθώς και των αντίστοιχων τεχνολογικών μέτρων και οργανωτικών και διαδικαστικών πρωτοβουλιών και ενεργειών, απαραίτητων για την ασφάλεια των κρίσιμων κτιριακών εγκαταστάσεων της Γ.Γ.Π.Π. Πίνακας 1: Στόχοι της μελέτης ασφάλειας Στο πλαίσιο της υλοποίησης των παραπάνω στόχων, για τη μελέτη ανάλυσης και διαχείρισης της επικινδυνότητας εφαρμόστηκε η πρότυπη μέθοδος CRAMM (UK CCTA Risk Analysis and Management Method). Αναλυτική περιγραφή της μεθόδου CRAMM περιλαμβάνεται στη συνέχεια του παρόντος παραδοτέου. version / 98

9 REF: Πλαίσιο μελέτης ανάλυσης και διαχείρισης επικινδυνότητας Εννοιολογικό πλαίσιο της μελέτης Η παρούσα μελέτη στηρίζεται σε ένα σαφές εννοιολογικό πλαίσιο, το οποίο αναφέρεται στην ασφάλεια των πληροφοριακών συστημάτων και των εγκαταστάσεων, κυρίως δε στην ανάλυση και διαχείριση της επικινδυνότητας. Οι κεντρικές έννοιες που σχετίζονται με την επικινδυνότητα αναπτύσσονται στις παραγράφους που ακολουθούν. Η ασφάλεια ενός πληροφοριακού συστήματος έχει ως στόχο να προστατέψει τα αγαθά που έχουν αξία για τον Οργανισμό, είτε πρόκειται για πληροφορίες είτε για υπολογιστικούς πόρους. Τα τελευταία αναγνωρίζονται ως περιουσιακά στοιχεία ή Αγαθά (assets) και η αξία τους είναι ανάλογη της Επίπτωσης (impact) που θα έχει μία πιθανή Ζημία (damage) ή απώλειά τους. Απαραίτητη προϋπόθεση, ώστε να έχουμε μία Απώλεια στα Αγαθά του πληροφοριακού συστήματος, είναι να συμβεί Παραβίαση (violation) της Ασφάλειάς του. Οι Παραβιάσεις, με τη σειρά τους, προϋποθέτουν την ύπαρξη κάποιας Αδυναμίας (vulnerability) στο σύστημα και την εμφάνιση μίας σχετικής Απειλής (threat). Συνοψίζοντας, σημειώνουμε ότι μία Απειλή εκμεταλλεύεται μία Αδυναμία του συστήματος και προξενεί Ζημία σ ένα Αγαθό. Το γεγονός αυτό αναγνωρίζεται ως Παραβίαση της Ασφάλειας του Πληροφοριακού Συστήματος και προξενεί Επιπτώσεις στον Οργανισμό, ανάλογες της Αξίας του Αγαθού. αυξάνουν αυξάνουν οδηγεί Η Επικινδυνότητα (risk) ενός Πληροφοριακού Συστήματος ορίζεται ως συνάρτηση τριών παραγόντων, των Απειλών που αντιμετωπίζει το Πληροφοριακό Σύστημα, των Ευπαθειών (ή Αδυναμιών) του και των Επιπτώσεων που θα υπάρξουν από την πραγματοποίηση των Απειλών. Για παράδειγμα, η πυρκαγιά είναι μία Απειλή, η οποία για να εξαπλωθεί χρειάζεται να εκμεταλλευτεί version / 98

10 REF: μια αδυναμία, η οποία μπορεί να είναι η ύπαρξη εύφλεκτων υλικών και όταν πραγματοποιηθεί προξενεί βλάβη ή ολική καταστροφή σε ορισμένα Αγαθά του Οργανισμού. Το μέγεθος των συνεπειών που θα έχει η πυρκαγιά είναι ίσο με την Επίπτωση που θα έχει η απώλεια των αντίστοιχων Αγαθών. Η Ανάλυση Επικινδυνότητας αφορά τον προσδιορισμό της Επικινδυνότητας των πληροφοριακών συστημάτων και την εκτίμηση του μεγέθους της. Ορισμένες από τις κύριες έννοιες που αφορούν την παρούσα μελέτη ορίζονται στον πίνακα που ακολουθεί: ΟΡΟΣ Πληροφοριακό Σύστημα (Information System, ΙS) Αγαθά ή Περιουσιακά Στοιχεία (Αssets) Ασφάλεια Πληροφοριακού Συστήματος (IS Security) Εγκυρότητα (Validity) Αυθεντικότητα (Authenticity) Ακεραιότητα (Integrity) Εμπιστευτικότητα (Confidentiality) ΟΡΙΣΜΟΣ Ένα οργανωμένο σύνολο αλληλεπιδρώντων στοιχείων (άνθρωποι, δεδομένα, λογισμικό, υλικός εξοπλισμός, διαδικασίες), το οποίο επεξεργάζεται δεδομένα και παράγει πληροφορίες για λογαριασμό μιας επιχείρησης ή ενός οργανισμού. Πληροφορίες, δεδομένα ή υπολογιστικοί πόροι που έχουν αξία, άρα σπουδαιότητα εκφραζόμενη σε χρηματικούς ή άλλους όρους. Το οργανωμένο πλαίσιο από έννοιες, αρχές, διαδικασίες, τεχνικές και μέτρα που απαιτούνται, για να προστατευθούν τόσο τα στοιχεία του Π.Σ. όσο και ολόκληρο το Π.Σ. από τυχαία ή σκόπιμη απειλή. Απόλυτη ακρίβεια και πληρότητα μιας πληροφορίας. Αποφυγή ατελειών και ανακριβειών κατά την εξουσιοδοτημένη τροποποίηση μιας πληροφορίας. Αποφυγή μη εξουσιοδοτημένης τροποποίησης μιας πληροφορίας. Αποφυγή αποκάλυψης πληροφοριών σε μηεξουσιοδοτημένες οντότητες. Διαθεσιμότητα (Availability) Σημείο Ευπάθειας- Αδυναμία (Vulnerability) Αποφυγή προσωρινής ή μόνιμης άρνησης διάθεσης της πληροφορίας ή των υπολογιστικών πόρων σε νόμιμα εξουσιοδοτημένους χρήστες. Σημείο ενός Π.Σ. που μπορεί να επιτρέψει να συμβεί μία παραβίαση. Χαρακτηριστικά ασφάλειας Π.Σ. Απειλή (Threat) Ζημία (Damage) Παραβίαση (Breach) Μία πιθανή ενέργεια ή ένα γεγονός που μπορεί να προκαλέσει την απώλεια ενός ή περισσοτέρων χαρακτηριστικών ασφάλειας ενός πληροφοριακού συστήματος. Η απώλεια, μερική ή ολική, της αξίας ενός αγαθού. Ένα γεγονός το οποίο προσβάλλει μία ή περισσότερες από τις ακόλουθες ιδιότητες: αυθεντικότητα, διαθεσιμότητα, εμπιστευτικότητα, ακεραιότητα, εγκυρότητα. version / 98

11 REF: ΟΡΟΣ Περιστατικό (Incident) Επίπτωση (Impact) Επικινδυνότητα (Risk) Μέσο / μέτρο προστασίας, αντίμετρο (Security Countermeasure) Πολιτική Ασφάλειας (Security Policy) Αυθεντικοποίηση (Authentication) Ανάδοχος, Συμβατικός συνεργάτης (Partner, Contracted Party) ΟΡΙΣΜΟΣ Ένα γεγονός, το οποίο έχει ως συνέπεια μία παραβίαση ή που αποτελεί μία απόπειρα παραβίασης ή που θέτει σε κίνδυνο την ασφάλεια ενός Π.Σ. Η απώλεια μιας αξίας, η αύξηση του κόστους ή άλλη απώλεια που προκύπτει ως αποτέλεσμα μιας παραβίασης. Συνάρτηση της αξίας ενός αγαθού, της έντασης των απειλών και της σοβαρότητας των αντίστοιχων αδυναμιών. Ένα μέτρο σχεδιασμένο με σκοπό να εμποδίσει μία παραβίαση ή να μειώσει μία αδυναμία-σημείο ευπάθειας ή να μειώσει τις δυνητικές επιπτώσεις. Περιγραφή σε γενικό-αφαιρετικό επίπεδο του συνόλου των κανόνων, των μέτρων και των διαδικασιών που ορίζουν τα φυσικά, διαδικαστικά και προσωπικά μέτρα ασφάλειας, που λαμβάνονται κατά τη διαχείριση, τη διανομή και την προστασία των αγαθών. Η εξακρίβωση της γνησιότητας μίας οντότητας, πληροφορίας ή ταυτότητας χρήστη ή ρόλου, στο πλαίσιο ενός πληροφοριακού συστήματος. Φορείς, εταιρείες, οργανισμοί ή φυσικά πρόσωπα με τους οποίους υπήρξαν, υπάρχουν, ή πρόκειται να υπάρξουν συμβατικές σχέσεις. Πίνακας 2: Βασικές έννοιες και ορισμοί τους Εξελίξεις, σύγχρονες τάσεις και προβληματισμοί Όπως είναι γνωστό, οι σύγχρονες Τεχνολογίες Πληροφορικής και Επικοινωνιών προσφέρουν σημαντικές δυνατότητες συλλογής, διανομής, επεξεργασίας και παρουσίασης πληροφοριών. Ταυτόχρονα, όμως, η χρήση τους συνεπάγεται έκθεση σε κινδύνους οι οποίοι ενδέχεται να απειλήσουν την αποτελεσματική λειτουργία των πληροφοριακών συστημάτων και κατά συνέπεια και την εύρυθμη λειτουργία ενός οργανισμού. Σχετικές έρευνες παρουσιάζουν τους σύγχρονους οργανισμούς και επιχειρήσεις να υφίστανται σημαντικές οικονομικές απώλειες λόγω παραβίασης της ασφάλειας των συστημάτων τους. Για παράδειγμα, τα αποτελέσματα της ετήσιας έρευνας που πραγματοποιεί το CSI (Computer Security Institute) μέχρι και το 2006 την έρευνα την πραγματοποιούσε από κοινού με το FBI (Federal Bureau of Investigation) στις Ηνωμένες Πολιτείες σχετικά με το κυβερνο-έγκλημα (cybercrime) παρουσιάζουν αυξητική τάση στις παραβιάσεις Πληροφοριακών Συστημάτων. Ενδεικτικά, τα βασικά αποτελέσματα της έρευνας για το 2007 έχουν ως εξής (CSI, 2007): Το μέσο ετήσιο κόστος (loss) του 2007 ανήλθε στα USD από τα USD του Σχεδόν το 1/5 των συμμετεχόντων, που δήλωσαν ότι υπέστησαν ένα ή περισσότερα περιστατικά ασφαλείας, πιστεύουν ότι επρόκειτο περί στοχευόμενης επίθεσης (targeted attack), ήτοι επίθεση με χρήση κακόβουλου κώδικα που καταφέρεται εναντίον version / 98

12 REF: (αποκλειστικά) του οργανισμού τους ή οργανισμών που ανήκουν σε ένα μικρό υποσύνολο του γενικού πληθυσμού. Για επτά (7) συναπτά έτη μέχρι και το 2006 οι επιθέσεις με κακόβουλο λογισμικό, ήτοι ιομορφικό λογισμικό (virus), αποτελούσαν τη σημαντικότερη αιτία οικονομικής ζημιάς για τους οργανισμούς. Το 2007 οι οικονομικές απάτες (financial fraud) υπερκέρασαν τις επιθέσεις με κακόβουλο λογισμικό. Η μη εξουσιοδοτημένη πρόσβαση από εξωτερικές οντότητες αποτελεί μια άλλη σημαντική πηγή οικονομικών ζημιών. Η κατάχρηση της δικτυακής πρόσβασης ή/και της υπηρεσίας ηλεκτρονικού ταχυδρομείου από εσωτερικούς χρήστες αποτελεί μαζί με τα περιστατικά μόλυνσης από ιομορφικό λογισμικό τα πιο διαδεδομένα προβλήματα ασφάλειας, με 59% και 52% των ερωτηθέντων να τα δηλώνουν αντίστοιχα. Η λύση της ασφάλισης κατά ηλεκτρονικών συμβάντων (cyber insurance) εξακολουθεί να παραμένει χαμηλής προτεραιότητας. Οι τέσσερις (4) σημαντικότερες κατηγορίες επιθέσεων που παρουσιάζουν άνοδο ή παραμένουν σε υψηλά επίπεδα, σύμφωνα με την έρευνα, περιλαμβάνουν: Κατάχρηση της δικτυακής πρόσβασης από εσωτερικούς χρήστες (Insiders abuse of Net access) (59%, +17%) Ιομορφικό λογισμικό (virus) (52%) Κλοπή φορητών συσκευών (πχ. φορητοί υπολογιστές κλπ.) (Laptop / mobile system theft) (50%, +3%) Ποσοστό 46% των οργανισμών που ρωτήθηκαν δήλωσαν ότι υπέστησαν κάποιου είδους περιστατικό ασφαλείας κατά τη διάρκεια του έτους. Ποσοστό 44% των οργανισμών που ρωτήθηκαν δήλωσαν ότι ο ιστοχώρος τους υπέστη τουλάχιστον μια (1) επίθεση / περιστατικό. Το πλήθος των οργανισμών που καταγγέλλουν περιστατικά ασφαλείας στις διωκτικές υπηρεσίες παραμένει μικρό (29%), αν και παρουσιάζει αυξητικές τάσεις σε σχέση με προηγούμενες έρευνες (25% το 2006). Ο συνήθης λόγος μη καταγγελίας ενός περιστατικού, συνεχίζει να είναι η αποφυγή κακής δημοσιότητας (26%), ενώ ακολουθεί η πεποίθηση ότι οι διωκτικές αρχές δεν μπορούν να προσφέρουν βοήθεια. Πάνω από 88% των ερωτηθέντων οργανισμών πραγματοποιεί ελέγχους ασφαλείας (security audits). Για μια ακόμα χρονιά η πλειονότητα των ερωτηθέντων θεωρεί ότι η εκπαίδευση των χρηστών και η ευαισθητοποίηση τους σε ζητήματα ασφάλειας είναι πολύ σημαντική. Μάλιστα μόνο ένα ποσοστό 18% των οργανισμών δεν προσφέρει προγράμματα εκπαίδευσης και ευαισθητοποίησης. Ωστόσο το πλήθος των οργανισμών, που δεν προσπαθούν να αξιολογήσουν / μετρήσουν την αποτελεσματικότητα των προγραμμάτων εκπαίδευσης και ευαισθητοποίησης παραμένει σημαντικό (35%). Οι τάσεις αυτές επιβεβαιώνονται διεθνώς και από άλλες αξιόπιστες έρευνες, όπως η ετήσια έρευνα της Ernst & Young (Global Information Security Survey, 2007). Οι απώλειες που αναφέρονται από το CSI αφορούν το σχετικά μικρό αριθμό οργανισμών που δημοσιοποιούν τις παραβιάσεις και τις απώλειες που υφίστανται. Η πλειονότητα των οργανισμών αποκρύπτουν τα σχετικά συμβάντα, προσπαθώντας να αποφύγουν επιπλέον αρνητικές συνέπειες από τη δημοσιότητα που ακολουθεί ένα τέτοιο συμβάν. Οι έρευνες που προαναφέρθηκαν αφορούν αποκλειστικά το ηλεκτρονικό έγκλημα ή το κυβερνοέγκλημα, δηλαδή εκείνες τις παράνομες ενέργειες που έχουν ως κύριο στόχο να πλήξουν ένα Π.Σ., είτε με στόχο την αποκόμιση προσωπικού οφέλους, είτε μόνον την πρόκληση ζημίας. Όμως, όπως είναι γνωστό, ένα Π.Σ. αντιμετωπίζει μεγάλη ποικιλία απειλών και κινδύνων. version / 98

13 REF: Γενικά, οι απειλές που αντιμετωπίζει ένα Π.Σ. μπορούν να χωριστούν σε δύο κατηγορίες. Η πρώτη αφορά τις κακόβουλες ενέργειες και η δεύτερη τις ακούσιες ζημίες και τα τυχαία γεγονότα. Οι απειλές που αντιμετωπίζει ένα Π.Σ. περιλαμβάνουν, μεταξύ άλλων: Εισαγωγή κακόβουλου κώδικα ιομορφικού λογισμικού Πλαστή χρήση ταυτότητας νόμιμου χρήση Μη-εξουσιοδοτημένη χρήση εφαρμογών Κατάχρηση πόρων Παρακολούθηση ή/και διήθηση επικοινωνιών Σφάλματα χειρισμού και συντήρησης Τεχνική αστοχία συστήματος Αστοχία λογισμικού Κλοπή υλικού Δολιοφθορά και εγκλήματα ειδικής βίας Απώλεια παροχής ηλεκτρικής ενέργειας Φυσικές καταστροφές Πυρκαγιά Καταστροφή από νερό / πλημμύρα. Αρχή αναλογικότητας και αποτίμηση επικινδυνότητας Η εντατική ερευνητική και μελετητική δραστηριότητα στον τομέα της ασφάλειας πληροφοριακών και επικοινωνιακών συστημάτων τις τελευταίες δεκαετίες έχει προσφέρει ένα σημαντικό αριθμό αποτελεσματικών μηχανισμών και τεχνικών προστασίας τους. Οι αξιοποιούμενοι σήμερα μηχανισμοί και τεχνικές προστασίας μπορούν να προσφέρουν λύσεις στα περισσότερα από τα προβλήματα ασφάλειας που αντιμετωπίζει ένα Ο.Π.Σ. Παρά ταύτα, όπως αποδεικνύουν οι συχνές περιπτώσεις παραβίασης της ασφάλειας ακόμα και εξελιγμένων τεχνολογικά συστημάτων, τα τεχνικά μέσα προστασίας δεν αρκούν από μόνα τους για να εξασφαλίσουν την προστασία των πληροφοριακών και επικοινωνιακών συστημάτων. Η απουσία απόλυτα ασφαλών πληροφοριακών και επικοινωνιακών συστημάτων οφείλεται, κυρίως, στους ακόλουθους λόγους: Στη συνθετότητα και το δυναμικό χαρακτήρα των απειλών Στην ύπαρξη περιορισμών στους διαθέσιμους πόρους Στο σημαντικό ρόλο του ανθρώπινου παράγοντα Οι απειλές που αντιμετωπίζουν τα πληροφοριακά και επικοινωνιακά συστήματα που τα φιλοξενούν χαρακτηρίζονται από ποικιλία, συνθετότητα και συνεχή μεταβλητότητα. Για παράδειγμα, υπάρχουν απειλές μη εξουσιοδοτημένης πρόσβασης στα πληροφοριακά συστήματα (π.χ. cracking, διάρρηξη κ.λπ.), μη διαθεσιμότητας ηλεκτρονικών υπηρεσιών, αστοχίες, εσφαλμένοι χειρισμοί, πράξεις βανδαλισμού, επιθέσεις ειδικής βίας και φυσικές απειλές-καταστροφές (π.χ. πυρκαγιά, σεισμός version / 98

14 REF: κ.λπ.). Όσο το τεχνολογικό περιβάλλον εξελίσσεται διαρκώς και ταχέως, τόσο και οι απειλές μεταβάλλονται και εξελίσσονται. Το κόστος των μέσων ασφάλειας αποτελεί σημαντικό παράγοντα για την προστασία των συστημάτων, εφαρμογών και δεδομένων. Το κόστος αυτό δεν αφορά μόνο στην προμήθεια και εγκατάσταση μηχανισμών και μέσων προστασίας, αλλά περιλαμβάνει και το κόστος από τη χρήση ανθρώπινων πόρων για εκπαίδευση και ευαισθητοποίηση των χρηστών, για λήψη αποφάσεων που αφορούν την ασφάλεια, καθώς και για τη διεκπεραίωση εργασιών και διαδικασιών που αφορούν την ασφάλεια. Για τους παραπάνω λόγους κάθε προσπάθεια ανάπτυξης της ασφάλειας των πληροφοριακών και επικοινωνιακών συστημάτων, δηλαδή της προστασίας ποικίλων απαιτήσεων ασφάλειας, όπως της εμπιστευτικότητας, ακεραιότητας και διαθεσιμότητας τους πρέπει να πληροί τους ακόλουθους όρους: Να λαμβάνει υπόψη τις ιδιαιτερότητες του περιβάλλοντος στο οποίο είναι εγκατεστημένα τα συστήματα, οι εφαρμογές και τα δεδομένα, καθώς και τις συγκεκριμένες απαιτήσεις ασφάλειας που απορρέουν από αυτό. Να λαμβάνει υπόψη τόσο τον τεχνικό, όσο και τον ανθρώπινο παράγοντα. Ο ανθρώπινος παράγοντας λαμβάνεται υπόψη, κυρίως, κατά τον προσδιορισμό των απειλών (threats), των αδυναμιών - σημείων ευπάθειας (vulnerabilities) του συστήματος κατά την επιλογή των τεχνικών, διοικητικών και οργανωτικών αντιμέτρων, καθώς και στην κατάρτιση της πολιτικής ασφάλειας. Να λαμβάνει υπόψη τις σύγχρονες εξελίξεις των Τεχνολογιών Πληροφορικής και Επικοινωνιών και τα επαρκέστερα διαθέσιμα προϊόντα λογισμικού και υλικού. Θα πρέπει να έχει συγκεκριμένους στόχους ακολουθώντας συγκεκριμένη στρατηγική στην αντιμετώπιση των κινδύνων, στόχοι οι οποίοι αποτυπώνονται στην Πολιτική Ασφάλειας (Security Policy). Να λαμβάνει υπόψη τις βέλτιστες πρακτικές στο χώρο της Ασφάλειας των Τεχνολογιών Πληροφορικής και Επικοινωνιών, τις αποτελεσματικότερες τεχνικές ασφάλειας που έχουν προταθεί, καθώς και τυχόν de facto ή de jure σχετικά πρότυπα. Να στηρίζεται σε ένα σύνολο αντιμέτρων (countermeasures / safeguards) που θα παρέχουν προστασία ανάλογη του επιπέδου της επικινδυνότητας των συστημάτων, των εφαρμογών και των δεδομένων. version / 98

15 REF: Υλικό & Λογισμικό Περιεχόμενο Απειλές Ακεραιότητα Διαθεσιμότητα Εμπιστευτικότητα Ευπάθειες Επικοινωνίες Επιττώσεις Άνθρωποι & Πολιτικές Σχήμα 1: Ζητήματα Ασφάλειας σε τεχνο-οικονομικό περιβάλλον Αναφορικά με την τελευταία απαίτηση, η εφαρμογή της αρχής της αναλογικότητας (proportionality) αποτελεί προϋπόθεση για την επιλογή των μέτρων Ασφάλειας και την ανάπτυξη ενός Σχεδίου Ασφάλειας που θα είναι ανταποδοτικό σε όρους κόστους-οφέλους. Δε θα υπάρχει, δηλαδή, σπατάλη πόρων για εφαρμογή αντιμέτρων προστασίας για μη σημαντικές απειλές, ενώ ταυτόχρονα θα αντιμετωπίζονται αποτελεσματικά οι απειλές που είναι σημαντικές. Είναι, άλλωστε, σύνηθες το φαινόμενο να δίνεται βαρύτητα σε προβεβλημένες απειλές που όμως δεν εμφανίζονται στην πράξη τόσο συχνά, ενώ δίνεται λιγότερη βαρύτητα σε άλλες, οι οποίες στην πράξη αποδεικνύονται ιδιαίτερα επικίνδυνες. Η εφαρμογή της αρχής της αναλογικότητας σε θέματα προστασίας προσωπικών και ευαίσθητων προσωπικών δεδομένων αποτελεί ρητή απαίτηση τόσο της εθνικής, όσο και της κοινοτικής σχετικής νομοθεσίας (Νόμος 2472/97, άρθ. 10, παρ. 3, Κοινοτική Οδηγία 95/46/EC άρθ. 17, παρ. 2). Για την εφαρμογή της αρχής της αναλογικότητας κρίνεται απαραίτητη η αξιοποίηση μίας ολοκληρωμένης μεθοδολογίας που θα εξασφαλίζει την αναλογικότητα των μέτρων προστασίας σε σχέση με τους πραγματικούς κινδύνους. Η πλέον διαδεδομένη και έγκυρη μεθοδολογία, όπως προαναφέρθηκε, είναι η Ανάλυση και Διαχείριση Επικινδυνότητας (ISO/IEC/JTC GMITS). Σύμφωνα με τη μεθοδολογία αυτή, το ζήτημα της ασφάλειας αναλύεται με βάση τους παράγοντες που συνθέτουν την επικινδυνότητά του και - ειδικότερα - την αξία των στοιχείων που συνθέτουν το σύστημα, τις απειλές που αυτό αντιμετωπίζει και τις αδυναμίες του. Αντικείμενο, σκοπός και στόχοι της ανάλυσης και διαχείρισης επικινδυνότητας Οι στόχοι της μελέτης ασφάλειας του πληροφοριακού συστήματος και των εγκαταστάσεων της Γ.Γ.Π.Π παρουσιάζονται στον παρακάτω πίνακα: version / 98

16 REF: Στόχοι της Μελέτης Ανάλυσης και Διαχείρισης Επικινδυνότητας του Ο.Π.Σ. Ο εντοπισμός, η περιγραφή και η αποτίμηση των απειλών, των σημείων ευπάθειας, των επιπτώσεων και των κινδύνων του Ο.Π.Σ. και των βασικών εγκαταστάσεων της Γ.Γ.Π.Π. Ο υπολογισμός της επικινδυνότητας του Ο.Π.Σ. και των βασικών εγκαταστάσεων της Γ.Γ.Π.Π. Η εκπόνηση Σχεδίου Ασφαλείας, που περιλαμβάνει την αποτύπωση των υπαρχουσών αδυναμιών και την πρόταση για λήψη Μέτρων Προστασίας σε επίπεδο διοικητικών μέτρων, μέτρων για την ασφάλεια του υπολογιστικού συστήματος, μέτρων για τη φυσική ασφάλεια, καθώς και οργανωτικών μέτρων και ενεργειών για ανάθεση ρόλων και αρμοδιοτήτων. Η διατύπωση προτάσεων για την παρακολούθηση και διαχείριση της επικινδυνότητας, που περιλαμβάνει πλαίσιο ενεργειών για την αντιμετώπιση κινδύνων. Πίνακας 3: Στόχοι της Μελέτης Ανάλυσης και Διαχείρισης Επικινδυνότητας Πηγές που θα αξιοποιηθούν για τη μελέτη ασφάλειας Οι πηγές που θα αξιοποιηθούν κατά την εκπόνηση της μελέτης ασφάλειας του Ο.Π.Σ. περιλαμβάνουν: 1) Τις απόψεις στελεχών διαφορετικών διοικητικών βαθμίδων της Γ.Γ.Π.Π. Για το σκοπό αυτό η Ομάδα Έργου έχει ήδη ξεκινήσει, στα πλαίσια της αποτίμησης των αγαθών του Ο.Π.Σ., συνεντεύξεις με χρήστες των τμημάτων της Γ.Γ.Π.Π, τεχνικά διοικητικά και διευθυντικά στελέχη. 2) Την υπάρχουσα τεκμηρίωση των συστημάτων (υλικού, λογισμικού και εφαρμογών, εγκαταστάσεων και δικτύων, κανονισμών, διαδικασιών και οργανωτικής δομής) της Γ.Γ.Π.Π. 3) Τους Εθνικούς και Ευρωπαϊκούς Κανονισμούς Ασφάλειας. 4) Τη διεθνή σχετική βιβλιογραφία, καθώς και τις συστάσεις και οδηγίες που εκδίδονται από αναγνωρισμένους διεθνείς φορείς. 5) Την προσωπική παρατήρηση των μελών της ομάδας έργου κατά την επίσκεψή τους σε χώρους της Γ.Γ.Π.Π. Εύρος και περιορισμοί της ανάλυσης και διαχείρισης της επικινδυνότητας Η μελέτη αφορά τα πληροφοριακά συστήματα και τις βασικές εγκαταστάσεις της Γ.Γ.Π.Π., όπως αυτά περιγράφονται στο αντίστοιχο κεφάλαιο του παρόντος παραδοτέου. Η μελέτη έχει λάβει υπόψη απειλές που προκύπτουν από φυσικούς και περιβαλλοντικούς παράγοντες, από κακόβουλες ενέργειες τρίτων, από σφάλματα στη χρήση και στη διαχείριση των συστημάτων, από αδυναμίες του υλικού, από τη συνεργασία με αναδόχους εργασιών και από δυνητικές κακόβουλες ενέργειες του προσωπικού που απασχολείται στον οργανισμό. Επίσης έχει λάβει υπόψη τις αδυναμίες της τεχνολογίας, της οργανωτικής υποδομής, της παρούσας τεχνοδιαμόρφωσης του δικτύου, των εφαρμογών και των εγκαταστάσεων της Γ.Γ.Π.Π. Να σημειωθεί ότι ενδεχόμενες αλλαγές κλίμακας, μετά την ολοκλήρωση της μελέτης, σε μία τουλάχιστον από τις προαναφερθείσες συνιστώσες, οδηγούν στην ανάγκη άμεσης επικαιροποίησης της. version / 98

17 REF: Όπως έχει προαναφερθεί, η μελέτη βασίζεται σε μεγάλο βαθμό στις πληροφορίες και στις εκτιμήσεις που δόθηκαν στους μελετητές ασφάλειας από τα στελέχη της Γ.Γ.Π.Π, τους χρήστες και στα στοιχεία της ανάλυσης απαιτήσεων που διενεργεί ο ανάδοχος του έργου. Κατά συνέπεια η ακρίβεια των πληροφοριών αυτών επηρεάζει σημαντικά και την ακρίβεια των αποτελεσμάτων που θα προκύψουν από τη μελέτη. version / 98

18 REF: Μεθοδολογία Έχουν ήδη προαναφερθεί οι λόγοι για τους οποίους η εφαρμογή της αρχής της αναλογικότητας αποτελεί προϋπόθεση για την ανάπτυξη ενός σχεδίου ασφάλειας που θα είναι ανταποδοτικό σε όρους κόστους-οφέλους, δε θα υπάρχει, δηλαδή, σπατάλη πόρων για εφαρμογή αντιμέτρων προστασίας που αντιμετωπίζουν μη σημαντικές απειλές, ενώ ταυτόχρονα θα αντιμετωπίζονται αποτελεσματικά οι απειλές που είναι σημαντικές. Η μεθοδολογία που εξασφαλίζει την εφαρμογή της αρχής της αναλογικότητας είναι η Ανάλυση και Διαχείριση Επικινδυνότητας. Η Ανάλυση και Διαχείριση Επικινδυνότητας στηρίζεται στην ανάλυση των απειλών, των αδυναμιών και των επιπτώσεων. Είναι φανερό ότι το πλήθος, η ποικιλία και η πολυπλοκότητα των Απειλών που αντιμετωπίζει ένα Π.Σ. δεν επιτρέπουν εμπειρική αντιμετώπιση του θέματος. Αν και η εμπειρία και οι ικανότητες ενός αναλυτή ασφάλειας αποτελούν θετικά στοιχεία για να τελεσφορήσει όλη η διαδικασία, ο κίνδυνος παράλειψης ή υποτίμησης μίας απειλής δεν μπορεί να αγνοηθεί. Το ίδιο ισχύει και για τις αδυναμίες του συστήματος. Επιπλέον, οι συνδυασμοί απειλών και αδυναμιών που θα πρέπει να συνεκτιμηθούν, είναι τόσοι ώστε είναι αδύνατη η ανάλυσή τους χωρίς τη χρήση αυτοματοποιημένου εργαλείου. Επίσης, η ορθή επιλογή των αντιμέτρων διευκολύνεται σημαντικά από τη χρήση αυτοματοποιημένου εργαλείου, το οποίο μπορεί να συνδέει άμεσα τα προτεινόμενα αντίμετρα με το μέγεθος και τη φύση της Επικινδυνότητας. Μία μέθοδος Ανάλυσης και Διαχείριση επικινδυνότητας, κατάλληλη για εφαρμογή στο παρόν έργο, θα πρέπει να έχει τα παρακάτω χαρακτηριστικά: Να είναι δοκιμασμένη σε ανάλογου μεγέθους και σημαντικότητας πληροφοριακά συστήματα. Να υπάρχει ικανή εμπειρία από την εφαρμογή της. Να καλύπτει όλα τα στάδια της Ανάλυσης Επικινδυνότητας. Να καλύπτει όλες τις συνιστώσες της ασφάλειας. Να συνοδεύεται από αυτοματοποιημένο εργαλείο. Η μέθοδος CRAMM Για την Ανάλυση και Διαχείριση Επικινδυνότητας των πληροφοριακών συστημάτων της Γ.Γ.Π.Π. χρησιμοποιήθηκε η μέθοδος CRAMM (CCTA Risk Analysis and Management Methodology). Η CRAMM αναπτύχθηκε από την Κεντρική Υπηρεσία Υπολογιστών και Τηλεπικοινωνιών (Central Computer and Telecommunications Agency CCTA) του Ηνωμένου Βασιλείου το 1987 και αποτελεί πρότυπο για τους οργανισμούς του ευρύτερου δημόσιου τομέα στο Ηνωμένο Βασίλειο. Η CRAMM επιλέχθηκε για τους εξής λόγους: Αποτελεί πρότυπη μέθοδο και έχει αναπτυχθεί με σκοπό να εφαρμοστεί κυρίως σε μεγάλης κλίμακας οργανισμούς και επιχειρήσεις κοινής ωφέλειας. Από το 1987 μέχρι σήμερα έχει εφαρμοστεί σε χιλιάδες περιπτώσεων, συνεπώς είναι ώριμη μεθοδολογία ευρισκόμενη ήδη στην τέταρτη εκδοχή της (version). Συνοδεύεται από αυτοματοποιημένο εργαλείο λογισμικού που υποστηρίζει όλα τα στάδια της εφαρμογής της, καθώς και την επιλογή αντιμέτρων. Καλύπτει όλες τις συνιστώσες της ασφάλειας, περιλαμβανομένων του τεχνικού παράγοντα, version / 98

19 REF: των θεμάτων διαδικασιών και προσωπικού, της φυσικής ασφάλειας, της ασφάλειας δικτύων κ.λπ. Το λογισμικό υποστήριξης της CRAMM 1 υποστηρίζει το σύνολο της μεθόδου και αποτελεί αναπόσπαστο τμήμα της. Μέσω του εργαλείου αυτού παρακολουθείται η ορθή, βήμα-προς-βήμα, εφαρμογή της μεθοδολογίας Ανάλυσης και Διαχείρισης Επικινδυνότητας, ενώ αποθηκεύονται και ενημερώνονται όλα τα στοιχεία που συλλέγονται κατά την εφαρμογή της μεθοδολογίας. Επίσης, το εργαλείο CRAMM υποστηρίζει όλους τους σύνθετους υπολογισμούς που απαιτούνται για τον προσδιορισμό της επικινδυνότητας, ενσωματώνει τη βάση των αντιμέτρων και τους μηχανισμούς συμπερασματολογίας που προτείνουν τα αντίμετρα. Αναλυτική Περιγραφή της CRAMM Η CRAMM αποτελείται από τρία βασικά στάδια: Προσδιορισμός-αξιολόγηση των αγαθών (identification and valuation of assets). Ανάλυση επικινδυνότητας (risk analysis). Διαχείριση επικινδυνότητας (risk management). Στάδιο Προσδιορισμός και αξιολόγηση των αγαθών (identification and valuation of assets) Ανάλυση επικινδυνότητας (Risk analysis) Διαχείριση επικινδυνότητας (Risk management) Βήματα σταδίου Βήμα 1.1: Δημιουργία Μοντέλου Π.Σ. Βήμα 1.2: Αποτίμηση αγαθών Βήμα 1.3: Επιβεβαίωση και επικύρωση της αποτίμησης Βήμα 2.1: Προσδιορισμός των απειλών που αφορούν κάθε Αγαθό (asset) Βήμα 2.2: Εκτίμηση απειλών (threat assessment) και αδυναμιών (vulnerability assessment) Βήμα 2.3: Υπολογισμός επικινδυνότητας για κάθε συνδυασμό Αγαθό- Απειλή-Αδυναμία Βήμα 2.4: Επιβεβαίωση και επικύρωση του βαθμού επικινδυνότητας Βήμα 3.1: Προσδιορισμός της λίστας των προτεινόμενων αντιμέτρων Βήμα 3.2: Σχεδιασμός του Σχεδίου Ασφάλειας Πίνακας 4: Στάδια της μεθόδου CRAMM Κάθε στάδιο εκτελείται σε συγκεκριμένα βήματα. Τα στάδια και τα βήματα αυτά περιγράφονται λεπτομερώς στη συνέχεια. Στάδιο 1: Προσδιορισμός και αξιολόγηση των αγαθών Το πρώτο στάδιο αναφέρεται στον προσδιορισμό και την αξιολόγηση των στοιχείων των Π.Σ. που χρειάζονται προστασία. Αποτελείται από τα εξής βήματα: Δημιουργία συνοπτικού μοντέλου των Π.Σ. 1 CRAMM Trademark, Crown Copyright, the Controller of HMSO. version / 98

20 REF: Αποτίμηση των στοιχείων των Π.Σ. Επιβεβαίωση και επικύρωση της αποτίμησης. Στάδιο1, Βήμα 1: Δημιουργία μοντέλου Πληροφοριακού Συστήματος Το πρώτο βήμα αναφέρεται στον προσδιορισμό των στοιχείων των Πληροφοριακών Συστημάτων που απαιτούν προστασία. Τα στοιχεία αυτά είναι, μεταξύ άλλων, τα δεδομένα που χειρίζονται, όπως επίσης το λογισμικό και το υλικό των Πληροφοριακών Συστημάτων. Τα στοιχεία αυτά βρίσκονται σε αλληλεπίδραση. Η συλλογή των απαραίτητων στοιχείων βασίζεται στην τεκμηρίωση του συστήματος και στον πρώτο κύκλο συνεντεύξεων που αφορά το τεχνικό προσωπικό και τους κύριους χρήστες του Ο.Π.Σ. Αυτές οι κατηγορίες προσωπικού μπορούν να προσφέρουν πλήρη εικόνα για τη λειτουργικότητα των Πληροφοριακών Συστημάτων. Το μοντέλο του συστήματος εισάγεται στο εργαλείο λογισμικού της CRAMM και ελέγχεται η συνέπειά του. Στάδιο1, Βήμα 2: Αποτίμηση αγαθών Κατά την αποτίμηση των στοιχείων των πληροφοριακών συστημάτων, δίνεται ιδιαίτερη έμφαση στην αποτίμηση των δεδομένων που διαχειρίζεται προκειμένου να προσδιοριστεί η σπουδαιότητα που έχουν αυτά για την υπηρεσία. Η αξία κάθε ομάδας / κατηγορίας δεδομένων αποτιμάται με βάση την Επίπτωση (impact) που θα είχε η απώλειά της. Εξετάζεται το μέγεθος της επίπτωσης στις περιπτώσεις καταστροφής, μη εξουσιοδοτημένης μεταβολής (modification), αποκάλυψης (disclosure) και μη-διαθεσιμότητας (unavailability). Συγκεκριμένα εξετάζονται οι εξής περιπτώσεις: Μη-διαθεσιμότητα [Λιγότερο από 15 λεπτά, 1 ώρα, 3 ώρες, 12 ώρες, 1 μέρα, 2 μέρες, 1 εβδομάδα, 2 εβδομάδες, 1 μήνα, 2 μήνες και περισσότερο]. Καταστροφή [Απώλεια των δεδομένων μετά τη λήψη του τελευταίου αντιγράφου ασφαλείας, Απώλεια όλων των δεδομένων μαζί με το τηρούμενο αντίγραφο]. Αποκάλυψη [Αποκάλυψη των δεδομένων σε μη εξουσιοδοτημένα άτομα εντός του οργανισμού, Αποκάλυψη των δεδομένων σε άτομα εκτός του οργανισμού, Αποκάλυψη των δεδομένων σε παρόχους υπηρεσιών]. Μη-εξουσιοδοτημένη μεταβολή [Μικρής έκτασης σφάλματα, Μεγάλης έκτασης σφάλματα]. Εκούσια μεταβολή των δεδομένων. Σφάλματα μετάδοσης δεδομένων [Παρεμβολή λανθασμένων μηνυμάτων, Άρνηση αποστολής μηνύματος (repudiation of origin), Άρνηση παραλαβής μηνύματος (repudiation of receipt), Αποτυχία αποστολής μηνύματος, Επανάληψη μηνύματος (replay), Λανθασμένη δρομολόγηση (misrouting), Παρακολούθηση κίνησης (traffic monitoring), Απώλεια ακολουθίας μηνυμάτων (out of sequence)]. Για κάθε περίπτωση εκτιμάται το δυσμενέστερο πιθανό σενάριο και υπολογίζονται οι επιπτώσεις από την πραγματοποίησή του. Το μέγεθος της επίπτωσης εκτιμάται αριθμητικά με βάση κλίμακα Η CRAMM παρέχει οδηγίες (guidelines) για την αποτίμηση των Επιπτώσεων που ανήκουν στις παρακάτω κατηγορίες: Επιπτώσεις στη σωματική ακεραιότητα και τη ζωή φυσικών προσώπων version / 98

21 REF: Επιπτώσεις από την αποκάλυψη προσωπικών ή και ευαίσθητων προσωπικών δεδομένων Νομικές επιπτώσεις Παρεμπόδιση εφαρμογής της δικαιοσύνης και της εξιχνίασης παρανομιών Οικονομικές απώλειες Διατάραξη της δημόσιας τάξης Διεθνείς σχέσεις Άμυνα και εθνική ασφάλεια Εφαρμογή της πολιτικής του οργανισμού Απώλεια της εμπιστοσύνης του κοινού στον οργανισμό. Ακολούθως η CRAMM μέσω του αυτοματοποιημένου εργαλείου υπολογίζει την έμμεση αξία (implied value) των στοιχείων των πληροφοριακών συστημάτων. Η αποτίμηση των πληροφοριακών συστημάτων βασίζεται σε συνεντεύξεις που γίνονται με στελέχη που εμπλέκονται στην αξιοποίηση του Ο.Π.Σ. Στην περίπτωση της παρούσας μελέτης ασφάλειας διεξήχθησαν συνεντεύξεις με το τεχνικό και διοικητικό προσωπικό της Γ.Γ.Π.Π. Το λογισμικό της CRAMM αποθηκεύει και επεξεργάζεται τα δεδομένα που συλλέγονται και πραγματοποιεί το συσχετισμό της αποτίμησης των επιμέρους στοιχείων του συστήματος με το μοντέλο του συστήματος. Έτσι, υπολογίζεται η έμμεση αξία των στοιχείων του συστήματος, υπολογισμός που δε θα μπορούσε να διεξαχθεί με εμπειρικές μεθόδους. Στάδιο1, Βήμα 3: Επιβεβαίωση και επικύρωση της αποτίμησης Η αποτίμηση των αγαθών των πληροφοριακών συστημάτων αποτελεί κρίσιμο παράγοντα για τη συνέχεια της μελέτης ανάλυσης και διαχείρισης επικινδυνότητας. Γι αυτό το λόγο, πριν προχωρήσουν οι μελετητές στα επόμενα στάδια θα πρέπει πρώτα να επικυρωθεί η αποτίμηση. Το κύριο προϊόν αυτού του σταδίου είναι η αποτίμηση των Αγαθών των πληροφοριακών συστημάτων. Τα αποτελέσματα του πρώτου σταδίου παρουσιάζονται σε σχετική έκθεση η οποία περιλαμβάνει: Τον ορισμό του προς ανάλυση συστήματος και των ορίων του. Τη μέθοδο εργασίας που ακολουθήθηκε. Την αποτίμηση των περιουσιακών στοιχείων των Π.Σ. Γενικά συμπεράσματα του πρώτου σταδίου. Στάδιο 2: Ανάλυση επικινδυνότητας (Risk analysis) Στο πρώτο στάδιο υπολογίστηκε ένας από τους τρεις παράγοντες που συνθέτουν την επικινδυνότητα. Συγκεκριμένα, αποτιμήθηκε η αξία των στοιχείων των πληροφοριακών συστημάτων τα οποία εφόσον έχουν αξία θα ονομάζονται Αγαθά ή Περιουσιακά Στοιχεία. Στο δεύτερο στάδιο υπολογίζονται οι άλλοι δύο παράγοντες, το επίπεδο των απειλών (threat level) και το επίπεδο των αδυναμιών του συστήματος (vulnerability level). Ο συνδυασμός των τριών παραγόντων δίδει το βαθμό επικινδυνότητας του συστήματος, έτσι ώστε να επιλεγούν τα version / 98

22 REF: κατάλληλα αντίμετρα. Τα βήματα που ακολουθούνται είναι: 1. Προσδιορισμός των απειλών που αφορούν το κάθε Αγαθό 2. Εκτίμηση απειλών (threat assessment) και αδυναμιών (vulnerability assessment) 3. Υπολογισμός της επικινδυνότητας για κάθε συνδυασμό Αγαθό-Απειλή-Αδυναμία 4. Επιβεβαίωση και επικύρωση του βαθμού επικινδυνότητας. Στάδιο2, Βήμα 1: Προσδιορισμός των απειλών που αφορούν κάθε Αγαθό (Asset) Η μέθοδος CRAMM δεν περιορίζεται στον προσδιορισμό των πιθανών απειλών που υφίσταται ένα πληροφοριακό σύστημα, αλλά επικεντρώνεται στον προσδιορισμό συγκεκριμένων απειλών για κάθε Αγαθό. Η CRAMM παρέχει μία ενδεικτική λίστα απειλών, καθώς και συστάσεις για το ποιες κατηγορίες στοιχείων ενός πληροφοριακού συστήματος αντιμετωπίζουν συνήθως τη συγκεκριμένη απειλή. Όταν ένα από τα στοιχεία των πληροφοριακών συστημάτων αντιμετωπίζει απειλή τότε και τα δεδομένα ή οι υπηρεσίες που αυτό υποστηρίζει αντιμετωπίζουν την ίδια απειλή. Με την CRAMM ο αναλυτής δε χρειάζεται να υπολογίζει ο ίδιος τις συσχετίσεις και αλληλεπιδράσεις. Το CRAMM-εργαλείο ζητά από τους αναλυτές να συσχετίσουν τα Αγαθά με κατηγορίες απειλών από την παραπάνω κατάσταση. Έτσι, το εργαλείο προβαίνει σε συμπεράσματα με βάση το μοντέλο του συστήματος. Για παράδειγμα, αν μία απειλή (π.χ. πυρκαγιά) συσχετισθεί με μία τοποθεσία, τότε το εργαλείο συμπεραίνει ότι η απειλή αυτή αφορά το σύνολο των αγαθών που βρίσκονται στη συγκεκριμένη τοποθεσία. Στάδιο 2, Βήμα 2: Εκτίμηση απειλών (threat assessment) και αδυναμιών (vulnerability assessment) Για κάθε συνδυασμό απειλής-αγαθού εκτιμάται το μέγεθος της απειλής και η σοβαρότητα των αδυναμιών που μπορεί να οδηγήσουν στην πραγματοποίηση της απειλής. Η CRAMM υπολογίζει το επίπεδο της απειλής με βάση απαντήσεις σε ερωτηματολόγια των απειλών. Η εκτίμηση της απειλής γίνεται σε κλίμακα από 1-5 (very low, low, medium, high, very high). Ο αναλυτής μπορεί να παρέμβει και να τροποποιήσει τις τιμές που δίνει η CRAMM, αν το κρίνει σκόπιμο. Αντίστοιχα, για τις αδυναμίες συμπληρώνονται ερωτηματολόγια αδυναμιών και υπολογίζεται η σοβαρότητα της αδυναμίας σε κλίμακα 1-3 (low, medium, high). Οι απαντήσεις που θα δοθούν στα ερωτηματολόγια προκύπτουν από τα στοιχεία που συλλέγουν οι αναλυτές από τους χρήστες του συστήματος. Το εργαλείο της CRAMM παρέχει ερωτηματολόγια για κάθε συνδυασμό απειλής-αγαθού. Οι απαντήσεις σ αυτά εισάγονται στο λογισμικό της CRAMM και υπολογίζεται το επίπεδο των απειλών και των αδυναμιών. Επίσης, παρέχεται η δυνατότητα στους αναλυτές να αλλάξουν τις τιμές που υπολογίστηκαν αυτοματοποιημένα. Επιπλέον, προκύπτει μία αναφορά για την εκτίμηση των απειλών-αδυναμιών ώστε να αξιολογηθούν τα αποτελέσματα αυτής της διαδικασίας. Στάδιο 2, Βήμα 3: Υπολογισμός επικινδυνότητας για κάθε συνδυασμό Αγαθό- Απειλή-Αδυναμία Η CRAMM υπολογίζει για κάθε συνδυασμό Αγαθό-Απειλή-Αδυναμία το βαθμό επικινδυνότητας. Δεν υπολογίζεται, δηλαδή, απλώς ένας βαθμός επικινδυνότητας για όλο το πληροφοριακό version / 98

23 REF: σύστημα, αλλά αποτιμάται η επικινδυνότητα για κάθε συνδυασμό Αγαθό-Απειλή-Αδυναμία. Για το σκοπό αυτό, χρησιμοποιούνται τόσο τα αποτελέσματα της εκτίμησης απειλών και αδυναμιών, όσο και το μοντέλο των πληροφοριακών συστημάτων. Έτσι, ο βαθμός επικινδυνότητας λαμβάνει υπόψη και τη συσχέτιση και τις εξαρτήσεις μεταξύ των στοιχείων των πληροφοριακών συστημάτων. Ο υπολογισμός του βαθμού επικινδυνότητας ακολουθεί μία κλίμακα 1-7 και γίνεται αυτόματα για κάθε συνδυασμό Αγαθό-Απειλή-Αδυναμία. Ο αναλυτής έχει τη δυνατότητα να παρέμβει και να αλλάξει κάποιες τιμές αν το θεωρεί σκόπιμο. Στάδιο 2, Βήμα 4: Επικύρωση του βαθμού επικινδυνότητας Η ομάδα μελέτης μπορεί να χρησιμοποιήσει τις αναφορές που παράγει το λογισμικό της CRAMM και το εργαλείο back-track για να εξετάσει συνολικά το βαθμό επικινδυνότητας. Σε περίπτωση που κριθεί ότι χρειάζεται να γίνουν κάποιες αλλαγές, τότε οι αναλυτές έχουν τη δυνατότητα είτε να αλλάξουν τις τιμές της επικινδυνότητας είτε να αλλάξουν τις τιμές που έχουν προκύψει από την εκτίμηση των απειλών και αδυναμιών και να υπολογίσουν εκ νέου την επικινδυνότητα. Στάδιο 3: Διαχείριση επικινδυνότητας (Risk management) Στηριζόμενοι στα αποτελέσματα της ανάλυσης επικινδυνότητας (Στάδιο 2), η μέθοδος CRAMM παράγει ένα σχέδιο ασφάλειας για το τα πληροφοριακά συστήματα. Αυτό αποτελείται από μία σειρά αντιμέτρων τα οποία κρίνονται απαραίτητα για την αντιμετώπιση και διαχείριση της επικινδυνότητας και τα οποία θα πρέπει να εφαρμοστούν. Το σχέδιο ασφάλειας περιλαμβάνει και μία σειρά επιλογών και εναλλακτικών λύσεων, ώστε να παρέχεται ευελιξία στην εφαρμογή του. Για συστήματα τα οποία έχουν αναπτυχθεί και λειτουργούν ήδη, το προτεινόμενο σχέδιο ασφάλειας μπορεί να συγκριθεί με τα υπάρχοντα αντίμετρα. Η τελική επιλογή των αντιμέτρων που θα εφαρμοστούν λαμβάνει υπόψη και το κόστος που έχουν τα αντίμετρα για τον οργανισμό. Τα βήματα του τρίτου σταδίου περιλαμβάνουν: Τον προσδιορισμό των προτεινόμενων αντιμέτρων. Το σχεδιασμό του σχεδίου ασφάλειας. Στάδιο 3, Βήμα 1: Προσδιορισμός των προτεινόμενων αντιμέτρων Η CRAMM περιλαμβάνει μία ευρεία βάση αντιμέτρων, γνωστή ως βιβλιοθήκη αντιμέτρων. Τα αντίμετρα αυτά είναι τεχνικά, διοικητικά και οργανωτικά. Το λογισμικό της CRAMM μπορεί να επιλέξει αυτόματα μία κατάσταση προτεινόμενων αντιμέτρων με βάση τα αποτελέσματα της ανάλυσης επικινδυνότητας. Τα αντίμετρα χωρίζονται σε ομάδες, ανάλογα με το είδος των απειλών που καλούνται να αντιμετωπίσουν και ανάλογα με το είδος των αγαθών που καλούνται να προστατέψουν. Η βάση των αντιμέτρων περιλαμβάνει τόσο τις εναλλακτικές λύσεις, δηλαδή ποιο αντίμετρο μπορεί να χρησιμοποιηθεί εναλλακτικά άλλου, καθώς και επιλογές υλοποίησής τους. Μεταξύ των προτεινόμενων αντίμετρων πρέπει να γίνουν συγκεκριμένες επιλογές. Οι επιλογές αυτές βασίζονται σε πολύ σημαντικό βαθμό στην εμπειρία των αναλυτών. Η CRAMM βοηθά, ώστε οι επιλογές να ακολουθούν μία δομημένη προσέγγιση και να αιτιολογούνται επαρκώς. Τα κριτήρια που λαμβάνονται υπόψη στην τελική επιλογή περιλαμβάνουν τα εξής: Την επίδραση που θα έχουν τα αντίμετρα στη λειτουργία του οργανισμού. Τον υπάρχοντα προϋπολογισμό για την ασφάλεια των πληροφοριακών συστημάτων. Το κόστος εγκατάστασης και λειτουργίας των αντιμέτρων. version / 98

24 REF: Την άποψη της διοίκησης και τους στόχους της. Ενδεχόμενες ενδείξεις ότι οι απειλές θα αυξηθούν στο μέλλον. Ακολούθως τα προτεινόμενα αντίμετρα συγκρίνονται με τα υπάρχοντα. Το λογισμικό της CRAMM περιέχει μία βάση με περισσότερα από αντίμετρα, ενταγμένα σε ομάδες και ιεραρχημένα ανάλογα με το επίπεδο ασφάλειας που προσφέρουν. Το CRAMM εργαλείο επιλέγει αυτόματα τα αντίμετρα σύμφωνα με τα αποτελέσματα της ανάλυσης επικινδυνότητας. Η κατάσταση-απόφαση για ένα αντίμετρο μπορεί να είναι: Εγκατεστημένο (installed) Προς υλοποίηση (to be installed) Υπό υλοποίηση (implementing recommendation) Προτεινόμενο για υλοποίηση (implemented recommendation) Έχει καλυφθεί ήδη (already covered) Αναλαμβάνεται η επικινδυνότητα (accept level of risk) Υπό συζήτηση (under discussion) Μη εφαρμόσιμο (not applicable) Στάδιο 3, Βήμα 2: Σχεδιασμός του Σχεδίου Ασφάλειας Σχεδιάζεται το σχέδιο ασφάλειας που περιλαμβάνει: Το σχέδιο πολιτικής ασφάλειας Τους ρόλους και τις υποχρεώσεις του κάθε ρόλου Τα συμπληρωματικά έργα που απαιτούνται για την υλοποίηση της ασφάλειας. Το προϊόν του τρίτου σταδίου είναι το Σχέδιο Ασφάλειας. Εξαγωγή μέτρων προστασίας από το εργαλείο της CRAMM Στο παρακάτω διάγραμμα παρουσιάζεται η μέθοδος με την οποία το εργαλείο της CRAMM παράγει τον κατάλογο με τα προτεινόμενα μέτρα προστασίας. version / 98