ΕΛΕΓΧΟΣ ΕΓΓΡΑΦΟΥ ΙΣΤΟΡΙΚΟ ΕΚΔΟΣΕΩΝ

Μέγεθος: px
Εμφάνιση ξεκινά από τη σελίδα:

Download "ΕΛΕΓΧΟΣ ΕΓΓΡΑΦΟΥ ΙΣΤΟΡΙΚΟ ΕΚΔΟΣΕΩΝ"

Transcript

1 ΟΛΟΚΛΗΡΩΜΕΝΟ ΠΛΗΡΟΦΟΡΙΑΚΟ ΣΥΣΤΗΜΑ ΠΟΛΙΤΙΚΗΣ ΠΡΟΣΤΑΣΙΑΣ Εργαστήριο Ασφάλειας Πληροφοριακών και Επικοινωνιακών Συστημάτων, Πανεπιστήμιο Αιγαίου Α Π Ο Τ Ι Μ Η Σ Η Α Γ Α Θ Ω Ν Κ Α Ι Α Ν Α Λ Υ Σ Η Ε Π Ι Κ Υ Ν Δ Υ Ν Ο Τ Η Τ Α Σ Έκδοση: 2.0 Ημερομηνία: Διαβάθμιση: Εμπιστευτικό

2 REF: ΕΛΕΓΧΟΣ ΕΓΓΡΑΦΟΥ ΙΣΤΟΡΙΚΟ ΕΚΔΟΣΕΩΝ Ημερομηνία Έκδοση Συγγραφείς Αλλαγές 20/06/ Μελετητική Ομάδα Ασφάλειας Πανεπιστημίου Αιγαίου 27/06/ Μελετητική Ομάδα Ασφάλειας Πανεπιστημίου Αιγαίου 30/06/ Μελετητική Ομάδα Ασφάλειας Πανεπιστημίου Αιγαίου Αποτίμηση Αγαθών ΟΠΣ Πολιτικής Προστασίας Ενσωμάτωση παρατηρήσεων στελεχών της ΓΓΠΠ Ενσωμάτωση των Αποτελεσμάτων της Ανάλυσης Επικινδυνότητας version / 98

3 REF: Πίνακας Περιεχομένων Εισαγωγή...7 Το Ζήτημα της Ασφάλειας Πληροφοριακών Συστημάτων... 7 Αντικείμενο, σκοπός και στόχοι της μελέτης ασφάλειας του Ο.Π.Σ Πλαίσιο μελέτης ανάλυσης και διαχείρισης επικινδυνότητας...9 Εννοιολογικό πλαίσιο της μελέτης... 9 Εξελίξεις, σύγχρονες τάσεις και προβληματισμοί Αρχή αναλογικότητας και αποτίμηση επικινδυνότητας Αντικείμενο, σκοπός και στόχοι της ανάλυσης και διαχείρισης επικινδυνότητας Πηγές που θα αξιοποιηθούν για τη μελέτη ασφάλειας Εύρος και περιορισμοί της ανάλυσης και διαχείρισης της επικινδυνότητας Μεθοδολογία...18 Η μέθοδος CRAMM Αναλυτική Περιγραφή της CRAMM Εξαγωγή μέτρων προστασίας από το εργαλείο της CRAMM Πλεονεκτήματα και μειονεκτήματα Προϋποθέσεις επιτυχίας της μεθόδου και δυσκολίες εφαρμογής Οριοθέτηση και περιγραφή του Ολοκληρωμένου Πληροφοριακού Συστήματος της Γ.Γ.Π.Π.27 Οριοθέτηση του Συστήματος Γενικές Λειτουργικές Αρχές Υποσύστημα διαχείρισης λειτουργιών του Κέντρου Επιχειρήσεων Υποσύστημα διαχείρισης λειτουργιών του τμήματος Φυσικών Καταστροφών Υποσύστημα διαχείρισης λειτουργιών του τμήματος Τεχνολογικών Καταστροφών Υποσύστημα διαχείρισης λειτουργιών του τμήματος Εθνικού Σχεδιασμού Υποσύστημα τμήματος Ελέγχου και Παρακολούθησης Σχεδίων Υποσύστημα τμήματος Τεκμηρίωσης Ερευνών και Στατιστικής Υποσύστημα διαχείρισης λειτουργιών του τμήματος Διεθνών Σχέσεων Υποσύστημα τμήματος Εθελοντισμού και Εκπαίδευσης Υποσύστημα Οικονομικών και Διοικητικής Διαχείρισης Διαδικτυακή Πύλη Αποτίμηση Αγαθών των Πληροφοριακών Συστημάτων και Εγκαταστάσεων...32 Εισαγωγή Αποτίμηση αξίας δεδομένων Δημόσια Δεδομένα Εμπιστευτικά & Απόρρητα Δεδομένα Απλά Προσωπικά Δεδομένα (Ν. 2472/97) Οικονομικά Δεδομένα Αποτίμηση των Κτηριακών Εγκαταστάσεων της Γ.Γ.Π.Π Μοντελοποίηση των αγαθών...51 Εκτίμηση Επικινδυνότητας...57 Εισαγωγή Απειλές Αδυναμίες και προβλήματα ασφάλειας Εκτίμηση επικινδυνότητας ΠΣ version / 98

4 REF: Εκτίμηση επικινδυνότητας εγκαταστάσεων Παράρτημα Α': Κλίμακες Αποτίμησης Δεδομένων...64 Παράρτημα Β': Αναλυτική Παρουσίαση Εκτίμησης Επικινδυνότητας...67 Παράρτημα Γ': Βασικές βιβλιογραφικές πηγές...97 version / 98

5 REF: Ευρετήριο Πινάκων Πίνακας 1: Στόχοι της μελέτης ασφάλειας...8 Πίνακας 2: Βασικές έννοιες και ορισμοί τους...11 Πίνακας 3: Στόχοι της Μελέτης Ανάλυσης και Διαχείρισης Επικινδυνότητας...16 Πίνακας 4: Στάδια της μεθόδου CRAMM...19 Πίνακας 5: Πλεονεκτήματα και μειονεκτήματα της μεθόδου CRAMM...26 Πίνακας 6: Ομάδες δεδομένων...33 Πίνακας 7: Δημόσια προσπελάσιμη πληροφορία των υποσυστημάτων του Ο.Π.Σ Πίνακας 8: Πληροφορία του Ο.Π.Σ., που χαρακτηρίζεται ως εμπιστευτική ή απόρρητη...35 Πίνακας 9: Απλά προσωπικά δεδομένα κατά το Ν. 2472/97 και τις αποφάσεις της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα...36 Πίνακας 10: Δεδομένα του Ο.Π.Σ., οικονομικής φύσεως...37 Πίνακας 11: Πίνακας Αποτίμησης Δημοσίων Δεδομένων...39 Πίνακας 12: Πίνακας Αποτίμησης Εμπιστευτικών και Απόρρητων Δεδομένων...42 Πίνακας 13: Πίνακας Αποτίμησης Απλών Προσωπικών Δεδομένων...45 Πίνακας 14: Πίνακας Αποτίμησης Οικονομικών Δεδομένων...48 Πίνακας 15: Συγκεντρωτική Αποτίμηση Δεδομένων Ο.Π.Σ version / 98

6 REF: ΕΠΙΤΕΛΙΚΗ ΣΥΝΟΨΗ Σκοπός του έργου είναι η εκπόνηση Μελέτης Ανάλυσης και Διαχείρισης Επικινδυνότητας (risk analysis and management study) του Ολοκληρωμένου Πληροφοριακού Συστήματος της Γενικής Γραμματείας Πολιτικής Προστασίας (Γ.Γ.Π.Π.). Η εν λόγω μελέτη ασφάλειας αποσκοπεί στον εντοπισμό και την αποτίμηση των παραμέτρων που σχετίζονται με την ασφάλεια των Συστημάτων και Εγκαταστάσεων αυτού (πχ. προστατευόμενα αγαθά, αδυναμίες, απειλές, επιπτώσεις, συνέπειες κ.λπ.), καθώς και στην επιλογή και περιγραφή των απαραίτητων διαδικαστικών, οργανωτικών και τεχνικών μέτρων για την προστασία τους. Για την υλοποίηση των στόχων αυτών αξιοποιείται η μέθοδος CRAMM (CCTA Risk Analysis and Management Method), η οποία βασίζεται στη μεθοδολογία Ανάλυσης και Διαχείρισης Επικινδυνότητας όπως αυτή έχει περιγραφεί στο ISO/IEC/JTC GMITS: Information Technology Security Techniques Guidelines for the Management of IT Security. Η εφαρμογή της μεθόδου ακολουθεί τα εξής κύρια στάδια: 1. Προσδιορισμός-αξιολόγηση των αγαθών (identification and valuation of assets). 2. Ανάλυση επικινδυνότητας (risk analysis). 3. Διαχείριση επικινδυνότητας (risk management). Η αξιολόγηση των αγαθών (assets) - και κυρίως η αξιολόγηση των δεδομένων - αποτελεί ίσως την κρισιμότερη δραστηριότητα της μεθόδου, καθώς λαμβάνει υπόψη την εκτίμηση για τις πιθανές επιπτώσεις που ενδέχεται να προκύψουν από την απώλεια μιας εκ των ιδιοτήτων απαιτήσεων ασφάλειας των δεδομένων (εμπιστευτικότητα, ακεραιότητα και διαθεσιμότητα). Για το λόγο αυτό, η μέθοδος αποδίδει ιδιαίτερη σημασία στην επικύρωση των αποτελεσμάτων της αποτίμησης των δεδομένων, έτσι ώστε να διαμορφωθεί μία κοινή αντίληψη ανάμεσα στη μελετητική ομάδα ασφάλειας και τα στελέχη της Γ.Γ.Π.Π. Στο παρόν παραδοτέο περιγράφονται τα αποτελέσματα της αποτίμησης των δεδομένων που διαχειρίζεται το Ολοκληρωμένο Πληροφοριακό Σύστημα της Γ.Γ.Π.Π. καθώς και τα αποτελέσματα της ανάλυσης επικινδυνότητας που διενεργήθηκε. Η μέθοδος CRAMM αποδίδει ιδιαίτερη βαρύτητα στην αποτίμηση των δεδομένων και λιγότερο στην αποτίμηση του υλικού και λογισμικού, καθώς τα τελευταία δύνανται να αποτιμηθούν πλήρως με βάση το κόστος αντικατάστασής τους, ενώ τα δεδομένα θα πρέπει να αποτιμηθούν με βάση τις επιπτώσεις της απώλειας της διαθεσιμότητας (availability), της ακεραιότητας (integrity) και της εμπιστευτικότητας τους (confidentiality). Η αποτίμηση έχει βασιστεί στις συνεντεύξεις με τα στελέχη της Γ.Γ.Π.Π. Οι τιμές που έχουν δοθεί προκύπτουν από τους πίνακες αποτίμησης που συνοδεύουν την CRAMM και οι οποίοι παρατίθενται στο Παράρτημα Α του παρόντος εγγράφου. Σε κάθε περίπτωση, η αποτίμηση αφορά το δυσμενέστερο σενάριο και δε λαμβάνει υπόψη της τα υπάρχοντα μέτρα ασφάλειας. Επιπλέον, στο πλαίσιο της μεθοδολογίας που ακολουθείται, η αποτίμηση δε λαμβάνει υπόψη την πιθανότητα εκδήλωσης μίας απειλής, αλλά μόνο την επίπτωση από την ενδεχόμενη επιτυχή πραγματοποίηση της απειλής αυτής. Ο συνδυασμός των επιπτώσεων, των απειλών και των αδυναμιών προσδιορίζει συνολικά το Επίπεδο Επικινδυνότητας (risk level) που αποτιμάται συνολικά με το Βαθμό Επικινδυνότητας (risk factor). Με βάση το βαθμό επικινδυνότητας θα επιλεγούν τέτοια Μέτρα Προστασίας, ώστε να προσφέρουν επίπεδο προστασίας ανάλογο του βαθμού επικινδυνότητας. version / 98

7 REF: Εισαγωγή Το παραδοτέο αυτό περιλαμβάνει τα αποτελέσματα της αποτίμησης των αγαθών και εγκαταστάσεων του νέου Ολοκληρωμένου Πληροφοριακού Συστήματος (Ο.Π.Σ.) της Γενικής Γραμματείας Πολιτικής Προστασίας. Από την αποτίμηση των αγαθών περιουσιακών στοιχείων του Ο.Π.Σ. προκύπτουν σημαντικές απαιτήσεις σε ότι αφορά την εμπιστευτικότητα, τη διαθεσιμότητα και την ακεραιότητα τους. Οι απαιτήσεις για διατήρηση της εμπιστευτικότητας των δεδομένων απορρέουν κατά μείζονα λόγο από την ανάγκη διασφάλισης της προστασίας των ευαίσθητων και εμπιστευτικών / απόρρητων πληροφοριών της υπηρεσίας Πολιτικής Προστασίας, όπως επίσης και της ιδιωτικότητας (privacy) ατόμων, για τα οποία η Γ.Γ.Π.Π. διατηρεί λίστες με στοιχεία που ο νόμος ορίζει ως εμπιστευτικά και προσωπικά (πχ. εθελοντές). Η απαίτηση για ακεραιότητα και διαθεσιμότητα των δεδομένων προκύπτει από το σημαντικό και κρίσιμο ρόλο του Ο.Π.Σ. στην υποστήριξη των διαδικασιών και των δράσεων της Γ.Γ.Π.Π. σε περιπτώσεις φυσικών (ταχείας ή βραδείας εξέλιξης), τεχνολογικών (συμπεριλαμβανομένων βιολογικών, χημικών και πυρηνικών συμβάντων) και λοιπών καταστροφών που προκαλούν καταστάσεις εκτάκτου ανάγκης. Το Ζήτημα της Ασφάλειας Πληροφοριακών Συστημάτων Η επίτευξη των στόχων ενός οργανισμού εξαρτάται σε μεγάλο βαθμό από τη δυνατότητά του να διασφαλίσει τις υποδομές που είναι απαραίτητες για την αποτελεσματική λειτουργία του. Στους σύγχρονους οργανισμούς, οι Τεχνολογίες Πληροφορικής και Επικοινωνιών (Information and Communication Technologies) αξιοποιούνται για τις περισσότερες από τις ενδοεπιχειρησιακές λειτουργίες και κυρίως για εκείνες που αφορούν τη λήψη αποφάσεων και το συντονισμό των μονάδων τους. Με βάση αυτή τη διαπίστωση προκύπτει ότι το Πληροφοριακό Σύστημα ενός οργανισμού αποτελεί κρίσιμο στοιχείο της υποδομής του και η αποτελεσματική λειτουργία του συνδέεται άρρηκτα με την αποτελεσματική λειτουργία του ίδιου του οργανισμού. Η προαναφερθείσα γενική παρατήρηση έχει άμεση εφαρμογή στην περίπτωση της Γ.Γ.Π.Π. Στα πλαίσια των ηλεκτρονικών υπηρεσιών της υφίσταται σαφής και επιτακτική ανάγκη για τη διασφάλιση των πληροφοριακών συστημάτων, αναγκαιότητα που προκύπτει από: 1) την ποικιλία και ένταση των κινδύνων που αντιμετωπίζουν τα σύγχρονα Π.Σ., 2) το σημαντικό κόστος από τυχόν σκόπιμες παραβιάσεις της ασφάλειας Π.Σ. και των ακούσιων, τυχαίων και φυσικών γεγονότων που απειλούν ένα σύγχρονο Π.Σ. 3) τις νομικές και κανονιστικές απαιτήσεις για προστασία δεδομένων προσωπικού χαρακτήρα, Η ασφάλεια ενός Π.Σ. χαρακτηρίζεται από το πλήθος και την ποικιλομορφία των παραγόντων που πρέπει να ληφθούν υπόψη. Οι παράγοντες αυτοί είναι τόσο τεχνικοί, όσο και διοικητικοίοργανωτικοί. Για το λόγο αυτό, κάθε προσπάθεια προστασίας ενός Π.Σ. θα πρέπει να λαμβάνει υπόψη τις εξής γενικές διαπιστώσεις: Η ασφάλεια των Π.Σ. εξαρτάται από πολλούς παράγοντες και δεν είναι ούτε αποκλειστικά, ούτε κυρίως τεχνικό ζήτημα. Η επίτευξη απόλυτης ασφάλειας δεν είναι εφικτός στόχος. Για κάθε επίπεδο ασφάλειας υπάρχει ένα αντίστοιχο κόστος που θα πρέπει να καταβληθεί για την επίτευξή του. Στο πλαίσιο της γενικής αρχής της αναλογικότητας, τα μέτρα προστασίας που θα version / 98

8 REF: ληφθούν θα πρέπει να αντιστοιχούν στο επίπεδο και τη φύση των πραγματικών κινδύνων που αντιμετωπίζει το Π.Σ. Αντικείμενο, σκοπός και στόχοι της μελέτης ασφάλειας του Ο.Π.Σ. Το Ο.Π.Σ. της Γ.Γ.Π.Π. αξιοποιεί τις τεχνολογίες της Πληροφορικής και των Τηλεπικοινωνιών σε όλο το εύρος των δραστηριοτήτων του. Η πληροφοριακή υποδομή της Γ.Γ.Π.Π. αποτελεί σημαντική οικονομική επένδυση και αποσκοπεί στη βελτίωση της αποτελεσματικότητας της λειτουργίας της γραμματείας και στη βελτίωση των δράσεων που αναπτύσσει (σχεδιασμός πρόληψης και αντιμετώπισης καταστροφών, αντιμετώπιση έκτακτων περιστατικών και καταστροφών, ενημέρωση κοινού κλπ). Με βάση τα ανωτέρω, η προστασία του Ο.Π.Σ. και των εγκαταστάσεων του από ενδεχόμενους κινδύνους αποτελεί δράση μείζονος σημασίας. Σκοπός της μελέτης ασφάλειας του παρόντος έργου είναι η διατύπωση προς τη Γ.Γ.Π.Π. τεκμηριωμένης πρότασης, η οποία αποσκοπεί στη λήψη συγκεκριμένων μέτρων προστασίας του Ο.Π.Σ. και των εγκαταστάσεών του, στην κατεύθυνση της διασφάλισης της απρόσκοπτης λειτουργίας του. Αναλυτικότερα, οι επιμέρους στόχοι της μελέτης ασφάλειας παρουσιάζονται στον Πίνακα 1 που ακολουθεί. Οι μελετητές έχουν λάβει υπόψη τους, στο μέτρο του δυνατού, τις προδιαγραφόμενες εξελίξεις, τόσο στον τομέα των Τεχνολογιών Πληροφορικής και Επικοινωνιών, όσο και στη λειτουργία του Ο.Π.Σ. Είναι σαφές ότι ενδεχόμενες μείζονες αλλαγές σε μία τουλάχιστον από τις προαναφερθείσες συνιστώσες, οψέποτε συμβούν, θα πρέπει άμεσα να οδηγήσουν στην αναθεώρηση και επικαιροποίηση του Σχεδίου Ασφάλειας. Στόχοι της Μελέτης Ασφάλειας του Ο.Π.Σ. Καταγραφή και αποτίμηση τόσο των κινδύνων που υφίστανται τα Πληροφοριακά Συστήματα της Γ.Γ.Π.Π., όσο και των πιθανών επιπτώσεων που είναι δυνατόν να υποστούν τα αγαθά αυτά από ενδεχόμενες κακόβουλες ή άστοχες ενέργειες, προσκληθείσες είτε από εσωτερικές, είτε από εξωτερικές οντότητες, ή τυχαία γεγονότα. Μεθοδική επιλογή των κατάλληλων τεχνολογιών, καθώς και των αντίστοιχων τεχνολογικών μέτρων και οργανωτικών και διαδικαστικών πρωτοβουλιών και ενεργειών, απαραίτητων για την ασφάλεια των Πληροφοριακών Συστημάτων της Γ.Γ.Π.Π.. Καταγραφή και αποτίμηση τόσο των κινδύνων που υφίστανται οι κρίσιμες κτιριακές εγκαταστάσεις της Γ.Γ.Π.Π., όσο και των πιθανών επιπτώσεων από ενδεχόμενες κακόβουλες ενέργειες, άστοχες ενέργειες ή τυχαία γεγονότα. Μεθοδική επιλογή των κατάλληλων τεχνολογιών, καθώς και των αντίστοιχων τεχνολογικών μέτρων και οργανωτικών και διαδικαστικών πρωτοβουλιών και ενεργειών, απαραίτητων για την ασφάλεια των κρίσιμων κτιριακών εγκαταστάσεων της Γ.Γ.Π.Π. Πίνακας 1: Στόχοι της μελέτης ασφάλειας Στο πλαίσιο της υλοποίησης των παραπάνω στόχων, για τη μελέτη ανάλυσης και διαχείρισης της επικινδυνότητας εφαρμόστηκε η πρότυπη μέθοδος CRAMM (UK CCTA Risk Analysis and Management Method). Αναλυτική περιγραφή της μεθόδου CRAMM περιλαμβάνεται στη συνέχεια του παρόντος παραδοτέου. version / 98

9 REF: Πλαίσιο μελέτης ανάλυσης και διαχείρισης επικινδυνότητας Εννοιολογικό πλαίσιο της μελέτης Η παρούσα μελέτη στηρίζεται σε ένα σαφές εννοιολογικό πλαίσιο, το οποίο αναφέρεται στην ασφάλεια των πληροφοριακών συστημάτων και των εγκαταστάσεων, κυρίως δε στην ανάλυση και διαχείριση της επικινδυνότητας. Οι κεντρικές έννοιες που σχετίζονται με την επικινδυνότητα αναπτύσσονται στις παραγράφους που ακολουθούν. Η ασφάλεια ενός πληροφοριακού συστήματος έχει ως στόχο να προστατέψει τα αγαθά που έχουν αξία για τον Οργανισμό, είτε πρόκειται για πληροφορίες είτε για υπολογιστικούς πόρους. Τα τελευταία αναγνωρίζονται ως περιουσιακά στοιχεία ή Αγαθά (assets) και η αξία τους είναι ανάλογη της Επίπτωσης (impact) που θα έχει μία πιθανή Ζημία (damage) ή απώλειά τους. Απαραίτητη προϋπόθεση, ώστε να έχουμε μία Απώλεια στα Αγαθά του πληροφοριακού συστήματος, είναι να συμβεί Παραβίαση (violation) της Ασφάλειάς του. Οι Παραβιάσεις, με τη σειρά τους, προϋποθέτουν την ύπαρξη κάποιας Αδυναμίας (vulnerability) στο σύστημα και την εμφάνιση μίας σχετικής Απειλής (threat). Συνοψίζοντας, σημειώνουμε ότι μία Απειλή εκμεταλλεύεται μία Αδυναμία του συστήματος και προξενεί Ζημία σ ένα Αγαθό. Το γεγονός αυτό αναγνωρίζεται ως Παραβίαση της Ασφάλειας του Πληροφοριακού Συστήματος και προξενεί Επιπτώσεις στον Οργανισμό, ανάλογες της Αξίας του Αγαθού. αυξάνουν αυξάνουν οδηγεί Η Επικινδυνότητα (risk) ενός Πληροφοριακού Συστήματος ορίζεται ως συνάρτηση τριών παραγόντων, των Απειλών που αντιμετωπίζει το Πληροφοριακό Σύστημα, των Ευπαθειών (ή Αδυναμιών) του και των Επιπτώσεων που θα υπάρξουν από την πραγματοποίηση των Απειλών. Για παράδειγμα, η πυρκαγιά είναι μία Απειλή, η οποία για να εξαπλωθεί χρειάζεται να εκμεταλλευτεί version / 98

10 REF: μια αδυναμία, η οποία μπορεί να είναι η ύπαρξη εύφλεκτων υλικών και όταν πραγματοποιηθεί προξενεί βλάβη ή ολική καταστροφή σε ορισμένα Αγαθά του Οργανισμού. Το μέγεθος των συνεπειών που θα έχει η πυρκαγιά είναι ίσο με την Επίπτωση που θα έχει η απώλεια των αντίστοιχων Αγαθών. Η Ανάλυση Επικινδυνότητας αφορά τον προσδιορισμό της Επικινδυνότητας των πληροφοριακών συστημάτων και την εκτίμηση του μεγέθους της. Ορισμένες από τις κύριες έννοιες που αφορούν την παρούσα μελέτη ορίζονται στον πίνακα που ακολουθεί: ΟΡΟΣ Πληροφοριακό Σύστημα (Information System, ΙS) Αγαθά ή Περιουσιακά Στοιχεία (Αssets) Ασφάλεια Πληροφοριακού Συστήματος (IS Security) Εγκυρότητα (Validity) Αυθεντικότητα (Authenticity) Ακεραιότητα (Integrity) Εμπιστευτικότητα (Confidentiality) ΟΡΙΣΜΟΣ Ένα οργανωμένο σύνολο αλληλεπιδρώντων στοιχείων (άνθρωποι, δεδομένα, λογισμικό, υλικός εξοπλισμός, διαδικασίες), το οποίο επεξεργάζεται δεδομένα και παράγει πληροφορίες για λογαριασμό μιας επιχείρησης ή ενός οργανισμού. Πληροφορίες, δεδομένα ή υπολογιστικοί πόροι που έχουν αξία, άρα σπουδαιότητα εκφραζόμενη σε χρηματικούς ή άλλους όρους. Το οργανωμένο πλαίσιο από έννοιες, αρχές, διαδικασίες, τεχνικές και μέτρα που απαιτούνται, για να προστατευθούν τόσο τα στοιχεία του Π.Σ. όσο και ολόκληρο το Π.Σ. από τυχαία ή σκόπιμη απειλή. Απόλυτη ακρίβεια και πληρότητα μιας πληροφορίας. Αποφυγή ατελειών και ανακριβειών κατά την εξουσιοδοτημένη τροποποίηση μιας πληροφορίας. Αποφυγή μη εξουσιοδοτημένης τροποποίησης μιας πληροφορίας. Αποφυγή αποκάλυψης πληροφοριών σε μηεξουσιοδοτημένες οντότητες. Διαθεσιμότητα (Availability) Σημείο Ευπάθειας- Αδυναμία (Vulnerability) Αποφυγή προσωρινής ή μόνιμης άρνησης διάθεσης της πληροφορίας ή των υπολογιστικών πόρων σε νόμιμα εξουσιοδοτημένους χρήστες. Σημείο ενός Π.Σ. που μπορεί να επιτρέψει να συμβεί μία παραβίαση. Χαρακτηριστικά ασφάλειας Π.Σ. Απειλή (Threat) Ζημία (Damage) Παραβίαση (Breach) Μία πιθανή ενέργεια ή ένα γεγονός που μπορεί να προκαλέσει την απώλεια ενός ή περισσοτέρων χαρακτηριστικών ασφάλειας ενός πληροφοριακού συστήματος. Η απώλεια, μερική ή ολική, της αξίας ενός αγαθού. Ένα γεγονός το οποίο προσβάλλει μία ή περισσότερες από τις ακόλουθες ιδιότητες: αυθεντικότητα, διαθεσιμότητα, εμπιστευτικότητα, ακεραιότητα, εγκυρότητα. version / 98

11 REF: ΟΡΟΣ Περιστατικό (Incident) Επίπτωση (Impact) Επικινδυνότητα (Risk) Μέσο / μέτρο προστασίας, αντίμετρο (Security Countermeasure) Πολιτική Ασφάλειας (Security Policy) Αυθεντικοποίηση (Authentication) Ανάδοχος, Συμβατικός συνεργάτης (Partner, Contracted Party) ΟΡΙΣΜΟΣ Ένα γεγονός, το οποίο έχει ως συνέπεια μία παραβίαση ή που αποτελεί μία απόπειρα παραβίασης ή που θέτει σε κίνδυνο την ασφάλεια ενός Π.Σ. Η απώλεια μιας αξίας, η αύξηση του κόστους ή άλλη απώλεια που προκύπτει ως αποτέλεσμα μιας παραβίασης. Συνάρτηση της αξίας ενός αγαθού, της έντασης των απειλών και της σοβαρότητας των αντίστοιχων αδυναμιών. Ένα μέτρο σχεδιασμένο με σκοπό να εμποδίσει μία παραβίαση ή να μειώσει μία αδυναμία-σημείο ευπάθειας ή να μειώσει τις δυνητικές επιπτώσεις. Περιγραφή σε γενικό-αφαιρετικό επίπεδο του συνόλου των κανόνων, των μέτρων και των διαδικασιών που ορίζουν τα φυσικά, διαδικαστικά και προσωπικά μέτρα ασφάλειας, που λαμβάνονται κατά τη διαχείριση, τη διανομή και την προστασία των αγαθών. Η εξακρίβωση της γνησιότητας μίας οντότητας, πληροφορίας ή ταυτότητας χρήστη ή ρόλου, στο πλαίσιο ενός πληροφοριακού συστήματος. Φορείς, εταιρείες, οργανισμοί ή φυσικά πρόσωπα με τους οποίους υπήρξαν, υπάρχουν, ή πρόκειται να υπάρξουν συμβατικές σχέσεις. Πίνακας 2: Βασικές έννοιες και ορισμοί τους Εξελίξεις, σύγχρονες τάσεις και προβληματισμοί Όπως είναι γνωστό, οι σύγχρονες Τεχνολογίες Πληροφορικής και Επικοινωνιών προσφέρουν σημαντικές δυνατότητες συλλογής, διανομής, επεξεργασίας και παρουσίασης πληροφοριών. Ταυτόχρονα, όμως, η χρήση τους συνεπάγεται έκθεση σε κινδύνους οι οποίοι ενδέχεται να απειλήσουν την αποτελεσματική λειτουργία των πληροφοριακών συστημάτων και κατά συνέπεια και την εύρυθμη λειτουργία ενός οργανισμού. Σχετικές έρευνες παρουσιάζουν τους σύγχρονους οργανισμούς και επιχειρήσεις να υφίστανται σημαντικές οικονομικές απώλειες λόγω παραβίασης της ασφάλειας των συστημάτων τους. Για παράδειγμα, τα αποτελέσματα της ετήσιας έρευνας που πραγματοποιεί το CSI (Computer Security Institute) μέχρι και το 2006 την έρευνα την πραγματοποιούσε από κοινού με το FBI (Federal Bureau of Investigation) στις Ηνωμένες Πολιτείες σχετικά με το κυβερνο-έγκλημα (cybercrime) παρουσιάζουν αυξητική τάση στις παραβιάσεις Πληροφοριακών Συστημάτων. Ενδεικτικά, τα βασικά αποτελέσματα της έρευνας για το 2007 έχουν ως εξής (CSI, 2007): Το μέσο ετήσιο κόστος (loss) του 2007 ανήλθε στα USD από τα USD του Σχεδόν το 1/5 των συμμετεχόντων, που δήλωσαν ότι υπέστησαν ένα ή περισσότερα περιστατικά ασφαλείας, πιστεύουν ότι επρόκειτο περί στοχευόμενης επίθεσης (targeted attack), ήτοι επίθεση με χρήση κακόβουλου κώδικα που καταφέρεται εναντίον version / 98

12 REF: (αποκλειστικά) του οργανισμού τους ή οργανισμών που ανήκουν σε ένα μικρό υποσύνολο του γενικού πληθυσμού. Για επτά (7) συναπτά έτη μέχρι και το 2006 οι επιθέσεις με κακόβουλο λογισμικό, ήτοι ιομορφικό λογισμικό (virus), αποτελούσαν τη σημαντικότερη αιτία οικονομικής ζημιάς για τους οργανισμούς. Το 2007 οι οικονομικές απάτες (financial fraud) υπερκέρασαν τις επιθέσεις με κακόβουλο λογισμικό. Η μη εξουσιοδοτημένη πρόσβαση από εξωτερικές οντότητες αποτελεί μια άλλη σημαντική πηγή οικονομικών ζημιών. Η κατάχρηση της δικτυακής πρόσβασης ή/και της υπηρεσίας ηλεκτρονικού ταχυδρομείου από εσωτερικούς χρήστες αποτελεί μαζί με τα περιστατικά μόλυνσης από ιομορφικό λογισμικό τα πιο διαδεδομένα προβλήματα ασφάλειας, με 59% και 52% των ερωτηθέντων να τα δηλώνουν αντίστοιχα. Η λύση της ασφάλισης κατά ηλεκτρονικών συμβάντων (cyber insurance) εξακολουθεί να παραμένει χαμηλής προτεραιότητας. Οι τέσσερις (4) σημαντικότερες κατηγορίες επιθέσεων που παρουσιάζουν άνοδο ή παραμένουν σε υψηλά επίπεδα, σύμφωνα με την έρευνα, περιλαμβάνουν: Κατάχρηση της δικτυακής πρόσβασης από εσωτερικούς χρήστες (Insiders abuse of Net access) (59%, +17%) Ιομορφικό λογισμικό (virus) (52%) Κλοπή φορητών συσκευών (πχ. φορητοί υπολογιστές κλπ.) (Laptop / mobile system theft) (50%, +3%) Ποσοστό 46% των οργανισμών που ρωτήθηκαν δήλωσαν ότι υπέστησαν κάποιου είδους περιστατικό ασφαλείας κατά τη διάρκεια του έτους. Ποσοστό 44% των οργανισμών που ρωτήθηκαν δήλωσαν ότι ο ιστοχώρος τους υπέστη τουλάχιστον μια (1) επίθεση / περιστατικό. Το πλήθος των οργανισμών που καταγγέλλουν περιστατικά ασφαλείας στις διωκτικές υπηρεσίες παραμένει μικρό (29%), αν και παρουσιάζει αυξητικές τάσεις σε σχέση με προηγούμενες έρευνες (25% το 2006). Ο συνήθης λόγος μη καταγγελίας ενός περιστατικού, συνεχίζει να είναι η αποφυγή κακής δημοσιότητας (26%), ενώ ακολουθεί η πεποίθηση ότι οι διωκτικές αρχές δεν μπορούν να προσφέρουν βοήθεια. Πάνω από 88% των ερωτηθέντων οργανισμών πραγματοποιεί ελέγχους ασφαλείας (security audits). Για μια ακόμα χρονιά η πλειονότητα των ερωτηθέντων θεωρεί ότι η εκπαίδευση των χρηστών και η ευαισθητοποίηση τους σε ζητήματα ασφάλειας είναι πολύ σημαντική. Μάλιστα μόνο ένα ποσοστό 18% των οργανισμών δεν προσφέρει προγράμματα εκπαίδευσης και ευαισθητοποίησης. Ωστόσο το πλήθος των οργανισμών, που δεν προσπαθούν να αξιολογήσουν / μετρήσουν την αποτελεσματικότητα των προγραμμάτων εκπαίδευσης και ευαισθητοποίησης παραμένει σημαντικό (35%). Οι τάσεις αυτές επιβεβαιώνονται διεθνώς και από άλλες αξιόπιστες έρευνες, όπως η ετήσια έρευνα της Ernst & Young (Global Information Security Survey, 2007). Οι απώλειες που αναφέρονται από το CSI αφορούν το σχετικά μικρό αριθμό οργανισμών που δημοσιοποιούν τις παραβιάσεις και τις απώλειες που υφίστανται. Η πλειονότητα των οργανισμών αποκρύπτουν τα σχετικά συμβάντα, προσπαθώντας να αποφύγουν επιπλέον αρνητικές συνέπειες από τη δημοσιότητα που ακολουθεί ένα τέτοιο συμβάν. Οι έρευνες που προαναφέρθηκαν αφορούν αποκλειστικά το ηλεκτρονικό έγκλημα ή το κυβερνοέγκλημα, δηλαδή εκείνες τις παράνομες ενέργειες που έχουν ως κύριο στόχο να πλήξουν ένα Π.Σ., είτε με στόχο την αποκόμιση προσωπικού οφέλους, είτε μόνον την πρόκληση ζημίας. Όμως, όπως είναι γνωστό, ένα Π.Σ. αντιμετωπίζει μεγάλη ποικιλία απειλών και κινδύνων. version / 98

13 REF: Γενικά, οι απειλές που αντιμετωπίζει ένα Π.Σ. μπορούν να χωριστούν σε δύο κατηγορίες. Η πρώτη αφορά τις κακόβουλες ενέργειες και η δεύτερη τις ακούσιες ζημίες και τα τυχαία γεγονότα. Οι απειλές που αντιμετωπίζει ένα Π.Σ. περιλαμβάνουν, μεταξύ άλλων: Εισαγωγή κακόβουλου κώδικα ιομορφικού λογισμικού Πλαστή χρήση ταυτότητας νόμιμου χρήση Μη-εξουσιοδοτημένη χρήση εφαρμογών Κατάχρηση πόρων Παρακολούθηση ή/και διήθηση επικοινωνιών Σφάλματα χειρισμού και συντήρησης Τεχνική αστοχία συστήματος Αστοχία λογισμικού Κλοπή υλικού Δολιοφθορά και εγκλήματα ειδικής βίας Απώλεια παροχής ηλεκτρικής ενέργειας Φυσικές καταστροφές Πυρκαγιά Καταστροφή από νερό / πλημμύρα. Αρχή αναλογικότητας και αποτίμηση επικινδυνότητας Η εντατική ερευνητική και μελετητική δραστηριότητα στον τομέα της ασφάλειας πληροφοριακών και επικοινωνιακών συστημάτων τις τελευταίες δεκαετίες έχει προσφέρει ένα σημαντικό αριθμό αποτελεσματικών μηχανισμών και τεχνικών προστασίας τους. Οι αξιοποιούμενοι σήμερα μηχανισμοί και τεχνικές προστασίας μπορούν να προσφέρουν λύσεις στα περισσότερα από τα προβλήματα ασφάλειας που αντιμετωπίζει ένα Ο.Π.Σ. Παρά ταύτα, όπως αποδεικνύουν οι συχνές περιπτώσεις παραβίασης της ασφάλειας ακόμα και εξελιγμένων τεχνολογικά συστημάτων, τα τεχνικά μέσα προστασίας δεν αρκούν από μόνα τους για να εξασφαλίσουν την προστασία των πληροφοριακών και επικοινωνιακών συστημάτων. Η απουσία απόλυτα ασφαλών πληροφοριακών και επικοινωνιακών συστημάτων οφείλεται, κυρίως, στους ακόλουθους λόγους: Στη συνθετότητα και το δυναμικό χαρακτήρα των απειλών Στην ύπαρξη περιορισμών στους διαθέσιμους πόρους Στο σημαντικό ρόλο του ανθρώπινου παράγοντα Οι απειλές που αντιμετωπίζουν τα πληροφοριακά και επικοινωνιακά συστήματα που τα φιλοξενούν χαρακτηρίζονται από ποικιλία, συνθετότητα και συνεχή μεταβλητότητα. Για παράδειγμα, υπάρχουν απειλές μη εξουσιοδοτημένης πρόσβασης στα πληροφοριακά συστήματα (π.χ. cracking, διάρρηξη κ.λπ.), μη διαθεσιμότητας ηλεκτρονικών υπηρεσιών, αστοχίες, εσφαλμένοι χειρισμοί, πράξεις βανδαλισμού, επιθέσεις ειδικής βίας και φυσικές απειλές-καταστροφές (π.χ. πυρκαγιά, σεισμός version / 98

14 REF: κ.λπ.). Όσο το τεχνολογικό περιβάλλον εξελίσσεται διαρκώς και ταχέως, τόσο και οι απειλές μεταβάλλονται και εξελίσσονται. Το κόστος των μέσων ασφάλειας αποτελεί σημαντικό παράγοντα για την προστασία των συστημάτων, εφαρμογών και δεδομένων. Το κόστος αυτό δεν αφορά μόνο στην προμήθεια και εγκατάσταση μηχανισμών και μέσων προστασίας, αλλά περιλαμβάνει και το κόστος από τη χρήση ανθρώπινων πόρων για εκπαίδευση και ευαισθητοποίηση των χρηστών, για λήψη αποφάσεων που αφορούν την ασφάλεια, καθώς και για τη διεκπεραίωση εργασιών και διαδικασιών που αφορούν την ασφάλεια. Για τους παραπάνω λόγους κάθε προσπάθεια ανάπτυξης της ασφάλειας των πληροφοριακών και επικοινωνιακών συστημάτων, δηλαδή της προστασίας ποικίλων απαιτήσεων ασφάλειας, όπως της εμπιστευτικότητας, ακεραιότητας και διαθεσιμότητας τους πρέπει να πληροί τους ακόλουθους όρους: Να λαμβάνει υπόψη τις ιδιαιτερότητες του περιβάλλοντος στο οποίο είναι εγκατεστημένα τα συστήματα, οι εφαρμογές και τα δεδομένα, καθώς και τις συγκεκριμένες απαιτήσεις ασφάλειας που απορρέουν από αυτό. Να λαμβάνει υπόψη τόσο τον τεχνικό, όσο και τον ανθρώπινο παράγοντα. Ο ανθρώπινος παράγοντας λαμβάνεται υπόψη, κυρίως, κατά τον προσδιορισμό των απειλών (threats), των αδυναμιών - σημείων ευπάθειας (vulnerabilities) του συστήματος κατά την επιλογή των τεχνικών, διοικητικών και οργανωτικών αντιμέτρων, καθώς και στην κατάρτιση της πολιτικής ασφάλειας. Να λαμβάνει υπόψη τις σύγχρονες εξελίξεις των Τεχνολογιών Πληροφορικής και Επικοινωνιών και τα επαρκέστερα διαθέσιμα προϊόντα λογισμικού και υλικού. Θα πρέπει να έχει συγκεκριμένους στόχους ακολουθώντας συγκεκριμένη στρατηγική στην αντιμετώπιση των κινδύνων, στόχοι οι οποίοι αποτυπώνονται στην Πολιτική Ασφάλειας (Security Policy). Να λαμβάνει υπόψη τις βέλτιστες πρακτικές στο χώρο της Ασφάλειας των Τεχνολογιών Πληροφορικής και Επικοινωνιών, τις αποτελεσματικότερες τεχνικές ασφάλειας που έχουν προταθεί, καθώς και τυχόν de facto ή de jure σχετικά πρότυπα. Να στηρίζεται σε ένα σύνολο αντιμέτρων (countermeasures / safeguards) που θα παρέχουν προστασία ανάλογη του επιπέδου της επικινδυνότητας των συστημάτων, των εφαρμογών και των δεδομένων. version / 98

15 REF: Υλικό & Λογισμικό Περιεχόμενο Απειλές Ακεραιότητα Διαθεσιμότητα Εμπιστευτικότητα Ευπάθειες Επικοινωνίες Επιττώσεις Άνθρωποι & Πολιτικές Σχήμα 1: Ζητήματα Ασφάλειας σε τεχνο-οικονομικό περιβάλλον Αναφορικά με την τελευταία απαίτηση, η εφαρμογή της αρχής της αναλογικότητας (proportionality) αποτελεί προϋπόθεση για την επιλογή των μέτρων Ασφάλειας και την ανάπτυξη ενός Σχεδίου Ασφάλειας που θα είναι ανταποδοτικό σε όρους κόστους-οφέλους. Δε θα υπάρχει, δηλαδή, σπατάλη πόρων για εφαρμογή αντιμέτρων προστασίας για μη σημαντικές απειλές, ενώ ταυτόχρονα θα αντιμετωπίζονται αποτελεσματικά οι απειλές που είναι σημαντικές. Είναι, άλλωστε, σύνηθες το φαινόμενο να δίνεται βαρύτητα σε προβεβλημένες απειλές που όμως δεν εμφανίζονται στην πράξη τόσο συχνά, ενώ δίνεται λιγότερη βαρύτητα σε άλλες, οι οποίες στην πράξη αποδεικνύονται ιδιαίτερα επικίνδυνες. Η εφαρμογή της αρχής της αναλογικότητας σε θέματα προστασίας προσωπικών και ευαίσθητων προσωπικών δεδομένων αποτελεί ρητή απαίτηση τόσο της εθνικής, όσο και της κοινοτικής σχετικής νομοθεσίας (Νόμος 2472/97, άρθ. 10, παρ. 3, Κοινοτική Οδηγία 95/46/EC άρθ. 17, παρ. 2). Για την εφαρμογή της αρχής της αναλογικότητας κρίνεται απαραίτητη η αξιοποίηση μίας ολοκληρωμένης μεθοδολογίας που θα εξασφαλίζει την αναλογικότητα των μέτρων προστασίας σε σχέση με τους πραγματικούς κινδύνους. Η πλέον διαδεδομένη και έγκυρη μεθοδολογία, όπως προαναφέρθηκε, είναι η Ανάλυση και Διαχείριση Επικινδυνότητας (ISO/IEC/JTC GMITS). Σύμφωνα με τη μεθοδολογία αυτή, το ζήτημα της ασφάλειας αναλύεται με βάση τους παράγοντες που συνθέτουν την επικινδυνότητά του και - ειδικότερα - την αξία των στοιχείων που συνθέτουν το σύστημα, τις απειλές που αυτό αντιμετωπίζει και τις αδυναμίες του. Αντικείμενο, σκοπός και στόχοι της ανάλυσης και διαχείρισης επικινδυνότητας Οι στόχοι της μελέτης ασφάλειας του πληροφοριακού συστήματος και των εγκαταστάσεων της Γ.Γ.Π.Π παρουσιάζονται στον παρακάτω πίνακα: version / 98

16 REF: Στόχοι της Μελέτης Ανάλυσης και Διαχείρισης Επικινδυνότητας του Ο.Π.Σ. Ο εντοπισμός, η περιγραφή και η αποτίμηση των απειλών, των σημείων ευπάθειας, των επιπτώσεων και των κινδύνων του Ο.Π.Σ. και των βασικών εγκαταστάσεων της Γ.Γ.Π.Π. Ο υπολογισμός της επικινδυνότητας του Ο.Π.Σ. και των βασικών εγκαταστάσεων της Γ.Γ.Π.Π. Η εκπόνηση Σχεδίου Ασφαλείας, που περιλαμβάνει την αποτύπωση των υπαρχουσών αδυναμιών και την πρόταση για λήψη Μέτρων Προστασίας σε επίπεδο διοικητικών μέτρων, μέτρων για την ασφάλεια του υπολογιστικού συστήματος, μέτρων για τη φυσική ασφάλεια, καθώς και οργανωτικών μέτρων και ενεργειών για ανάθεση ρόλων και αρμοδιοτήτων. Η διατύπωση προτάσεων για την παρακολούθηση και διαχείριση της επικινδυνότητας, που περιλαμβάνει πλαίσιο ενεργειών για την αντιμετώπιση κινδύνων. Πίνακας 3: Στόχοι της Μελέτης Ανάλυσης και Διαχείρισης Επικινδυνότητας Πηγές που θα αξιοποιηθούν για τη μελέτη ασφάλειας Οι πηγές που θα αξιοποιηθούν κατά την εκπόνηση της μελέτης ασφάλειας του Ο.Π.Σ. περιλαμβάνουν: 1) Τις απόψεις στελεχών διαφορετικών διοικητικών βαθμίδων της Γ.Γ.Π.Π. Για το σκοπό αυτό η Ομάδα Έργου έχει ήδη ξεκινήσει, στα πλαίσια της αποτίμησης των αγαθών του Ο.Π.Σ., συνεντεύξεις με χρήστες των τμημάτων της Γ.Γ.Π.Π, τεχνικά διοικητικά και διευθυντικά στελέχη. 2) Την υπάρχουσα τεκμηρίωση των συστημάτων (υλικού, λογισμικού και εφαρμογών, εγκαταστάσεων και δικτύων, κανονισμών, διαδικασιών και οργανωτικής δομής) της Γ.Γ.Π.Π. 3) Τους Εθνικούς και Ευρωπαϊκούς Κανονισμούς Ασφάλειας. 4) Τη διεθνή σχετική βιβλιογραφία, καθώς και τις συστάσεις και οδηγίες που εκδίδονται από αναγνωρισμένους διεθνείς φορείς. 5) Την προσωπική παρατήρηση των μελών της ομάδας έργου κατά την επίσκεψή τους σε χώρους της Γ.Γ.Π.Π. Εύρος και περιορισμοί της ανάλυσης και διαχείρισης της επικινδυνότητας Η μελέτη αφορά τα πληροφοριακά συστήματα και τις βασικές εγκαταστάσεις της Γ.Γ.Π.Π., όπως αυτά περιγράφονται στο αντίστοιχο κεφάλαιο του παρόντος παραδοτέου. Η μελέτη έχει λάβει υπόψη απειλές που προκύπτουν από φυσικούς και περιβαλλοντικούς παράγοντες, από κακόβουλες ενέργειες τρίτων, από σφάλματα στη χρήση και στη διαχείριση των συστημάτων, από αδυναμίες του υλικού, από τη συνεργασία με αναδόχους εργασιών και από δυνητικές κακόβουλες ενέργειες του προσωπικού που απασχολείται στον οργανισμό. Επίσης έχει λάβει υπόψη τις αδυναμίες της τεχνολογίας, της οργανωτικής υποδομής, της παρούσας τεχνοδιαμόρφωσης του δικτύου, των εφαρμογών και των εγκαταστάσεων της Γ.Γ.Π.Π. Να σημειωθεί ότι ενδεχόμενες αλλαγές κλίμακας, μετά την ολοκλήρωση της μελέτης, σε μία τουλάχιστον από τις προαναφερθείσες συνιστώσες, οδηγούν στην ανάγκη άμεσης επικαιροποίησης της. version / 98

17 REF: Όπως έχει προαναφερθεί, η μελέτη βασίζεται σε μεγάλο βαθμό στις πληροφορίες και στις εκτιμήσεις που δόθηκαν στους μελετητές ασφάλειας από τα στελέχη της Γ.Γ.Π.Π, τους χρήστες και στα στοιχεία της ανάλυσης απαιτήσεων που διενεργεί ο ανάδοχος του έργου. Κατά συνέπεια η ακρίβεια των πληροφοριών αυτών επηρεάζει σημαντικά και την ακρίβεια των αποτελεσμάτων που θα προκύψουν από τη μελέτη. version / 98

18 REF: Μεθοδολογία Έχουν ήδη προαναφερθεί οι λόγοι για τους οποίους η εφαρμογή της αρχής της αναλογικότητας αποτελεί προϋπόθεση για την ανάπτυξη ενός σχεδίου ασφάλειας που θα είναι ανταποδοτικό σε όρους κόστους-οφέλους, δε θα υπάρχει, δηλαδή, σπατάλη πόρων για εφαρμογή αντιμέτρων προστασίας που αντιμετωπίζουν μη σημαντικές απειλές, ενώ ταυτόχρονα θα αντιμετωπίζονται αποτελεσματικά οι απειλές που είναι σημαντικές. Η μεθοδολογία που εξασφαλίζει την εφαρμογή της αρχής της αναλογικότητας είναι η Ανάλυση και Διαχείριση Επικινδυνότητας. Η Ανάλυση και Διαχείριση Επικινδυνότητας στηρίζεται στην ανάλυση των απειλών, των αδυναμιών και των επιπτώσεων. Είναι φανερό ότι το πλήθος, η ποικιλία και η πολυπλοκότητα των Απειλών που αντιμετωπίζει ένα Π.Σ. δεν επιτρέπουν εμπειρική αντιμετώπιση του θέματος. Αν και η εμπειρία και οι ικανότητες ενός αναλυτή ασφάλειας αποτελούν θετικά στοιχεία για να τελεσφορήσει όλη η διαδικασία, ο κίνδυνος παράλειψης ή υποτίμησης μίας απειλής δεν μπορεί να αγνοηθεί. Το ίδιο ισχύει και για τις αδυναμίες του συστήματος. Επιπλέον, οι συνδυασμοί απειλών και αδυναμιών που θα πρέπει να συνεκτιμηθούν, είναι τόσοι ώστε είναι αδύνατη η ανάλυσή τους χωρίς τη χρήση αυτοματοποιημένου εργαλείου. Επίσης, η ορθή επιλογή των αντιμέτρων διευκολύνεται σημαντικά από τη χρήση αυτοματοποιημένου εργαλείου, το οποίο μπορεί να συνδέει άμεσα τα προτεινόμενα αντίμετρα με το μέγεθος και τη φύση της Επικινδυνότητας. Μία μέθοδος Ανάλυσης και Διαχείριση επικινδυνότητας, κατάλληλη για εφαρμογή στο παρόν έργο, θα πρέπει να έχει τα παρακάτω χαρακτηριστικά: Να είναι δοκιμασμένη σε ανάλογου μεγέθους και σημαντικότητας πληροφοριακά συστήματα. Να υπάρχει ικανή εμπειρία από την εφαρμογή της. Να καλύπτει όλα τα στάδια της Ανάλυσης Επικινδυνότητας. Να καλύπτει όλες τις συνιστώσες της ασφάλειας. Να συνοδεύεται από αυτοματοποιημένο εργαλείο. Η μέθοδος CRAMM Για την Ανάλυση και Διαχείριση Επικινδυνότητας των πληροφοριακών συστημάτων της Γ.Γ.Π.Π. χρησιμοποιήθηκε η μέθοδος CRAMM (CCTA Risk Analysis and Management Methodology). Η CRAMM αναπτύχθηκε από την Κεντρική Υπηρεσία Υπολογιστών και Τηλεπικοινωνιών (Central Computer and Telecommunications Agency CCTA) του Ηνωμένου Βασιλείου το 1987 και αποτελεί πρότυπο για τους οργανισμούς του ευρύτερου δημόσιου τομέα στο Ηνωμένο Βασίλειο. Η CRAMM επιλέχθηκε για τους εξής λόγους: Αποτελεί πρότυπη μέθοδο και έχει αναπτυχθεί με σκοπό να εφαρμοστεί κυρίως σε μεγάλης κλίμακας οργανισμούς και επιχειρήσεις κοινής ωφέλειας. Από το 1987 μέχρι σήμερα έχει εφαρμοστεί σε χιλιάδες περιπτώσεων, συνεπώς είναι ώριμη μεθοδολογία ευρισκόμενη ήδη στην τέταρτη εκδοχή της (version). Συνοδεύεται από αυτοματοποιημένο εργαλείο λογισμικού που υποστηρίζει όλα τα στάδια της εφαρμογής της, καθώς και την επιλογή αντιμέτρων. Καλύπτει όλες τις συνιστώσες της ασφάλειας, περιλαμβανομένων του τεχνικού παράγοντα, version / 98

19 REF: των θεμάτων διαδικασιών και προσωπικού, της φυσικής ασφάλειας, της ασφάλειας δικτύων κ.λπ. Το λογισμικό υποστήριξης της CRAMM 1 υποστηρίζει το σύνολο της μεθόδου και αποτελεί αναπόσπαστο τμήμα της. Μέσω του εργαλείου αυτού παρακολουθείται η ορθή, βήμα-προς-βήμα, εφαρμογή της μεθοδολογίας Ανάλυσης και Διαχείρισης Επικινδυνότητας, ενώ αποθηκεύονται και ενημερώνονται όλα τα στοιχεία που συλλέγονται κατά την εφαρμογή της μεθοδολογίας. Επίσης, το εργαλείο CRAMM υποστηρίζει όλους τους σύνθετους υπολογισμούς που απαιτούνται για τον προσδιορισμό της επικινδυνότητας, ενσωματώνει τη βάση των αντιμέτρων και τους μηχανισμούς συμπερασματολογίας που προτείνουν τα αντίμετρα. Αναλυτική Περιγραφή της CRAMM Η CRAMM αποτελείται από τρία βασικά στάδια: Προσδιορισμός-αξιολόγηση των αγαθών (identification and valuation of assets). Ανάλυση επικινδυνότητας (risk analysis). Διαχείριση επικινδυνότητας (risk management). Στάδιο Προσδιορισμός και αξιολόγηση των αγαθών (identification and valuation of assets) Ανάλυση επικινδυνότητας (Risk analysis) Διαχείριση επικινδυνότητας (Risk management) Βήματα σταδίου Βήμα 1.1: Δημιουργία Μοντέλου Π.Σ. Βήμα 1.2: Αποτίμηση αγαθών Βήμα 1.3: Επιβεβαίωση και επικύρωση της αποτίμησης Βήμα 2.1: Προσδιορισμός των απειλών που αφορούν κάθε Αγαθό (asset) Βήμα 2.2: Εκτίμηση απειλών (threat assessment) και αδυναμιών (vulnerability assessment) Βήμα 2.3: Υπολογισμός επικινδυνότητας για κάθε συνδυασμό Αγαθό- Απειλή-Αδυναμία Βήμα 2.4: Επιβεβαίωση και επικύρωση του βαθμού επικινδυνότητας Βήμα 3.1: Προσδιορισμός της λίστας των προτεινόμενων αντιμέτρων Βήμα 3.2: Σχεδιασμός του Σχεδίου Ασφάλειας Πίνακας 4: Στάδια της μεθόδου CRAMM Κάθε στάδιο εκτελείται σε συγκεκριμένα βήματα. Τα στάδια και τα βήματα αυτά περιγράφονται λεπτομερώς στη συνέχεια. Στάδιο 1: Προσδιορισμός και αξιολόγηση των αγαθών Το πρώτο στάδιο αναφέρεται στον προσδιορισμό και την αξιολόγηση των στοιχείων των Π.Σ. που χρειάζονται προστασία. Αποτελείται από τα εξής βήματα: Δημιουργία συνοπτικού μοντέλου των Π.Σ. 1 CRAMM Trademark, Crown Copyright, the Controller of HMSO. version / 98

20 REF: Αποτίμηση των στοιχείων των Π.Σ. Επιβεβαίωση και επικύρωση της αποτίμησης. Στάδιο1, Βήμα 1: Δημιουργία μοντέλου Πληροφοριακού Συστήματος Το πρώτο βήμα αναφέρεται στον προσδιορισμό των στοιχείων των Πληροφοριακών Συστημάτων που απαιτούν προστασία. Τα στοιχεία αυτά είναι, μεταξύ άλλων, τα δεδομένα που χειρίζονται, όπως επίσης το λογισμικό και το υλικό των Πληροφοριακών Συστημάτων. Τα στοιχεία αυτά βρίσκονται σε αλληλεπίδραση. Η συλλογή των απαραίτητων στοιχείων βασίζεται στην τεκμηρίωση του συστήματος και στον πρώτο κύκλο συνεντεύξεων που αφορά το τεχνικό προσωπικό και τους κύριους χρήστες του Ο.Π.Σ. Αυτές οι κατηγορίες προσωπικού μπορούν να προσφέρουν πλήρη εικόνα για τη λειτουργικότητα των Πληροφοριακών Συστημάτων. Το μοντέλο του συστήματος εισάγεται στο εργαλείο λογισμικού της CRAMM και ελέγχεται η συνέπειά του. Στάδιο1, Βήμα 2: Αποτίμηση αγαθών Κατά την αποτίμηση των στοιχείων των πληροφοριακών συστημάτων, δίνεται ιδιαίτερη έμφαση στην αποτίμηση των δεδομένων που διαχειρίζεται προκειμένου να προσδιοριστεί η σπουδαιότητα που έχουν αυτά για την υπηρεσία. Η αξία κάθε ομάδας / κατηγορίας δεδομένων αποτιμάται με βάση την Επίπτωση (impact) που θα είχε η απώλειά της. Εξετάζεται το μέγεθος της επίπτωσης στις περιπτώσεις καταστροφής, μη εξουσιοδοτημένης μεταβολής (modification), αποκάλυψης (disclosure) και μη-διαθεσιμότητας (unavailability). Συγκεκριμένα εξετάζονται οι εξής περιπτώσεις: Μη-διαθεσιμότητα [Λιγότερο από 15 λεπτά, 1 ώρα, 3 ώρες, 12 ώρες, 1 μέρα, 2 μέρες, 1 εβδομάδα, 2 εβδομάδες, 1 μήνα, 2 μήνες και περισσότερο]. Καταστροφή [Απώλεια των δεδομένων μετά τη λήψη του τελευταίου αντιγράφου ασφαλείας, Απώλεια όλων των δεδομένων μαζί με το τηρούμενο αντίγραφο]. Αποκάλυψη [Αποκάλυψη των δεδομένων σε μη εξουσιοδοτημένα άτομα εντός του οργανισμού, Αποκάλυψη των δεδομένων σε άτομα εκτός του οργανισμού, Αποκάλυψη των δεδομένων σε παρόχους υπηρεσιών]. Μη-εξουσιοδοτημένη μεταβολή [Μικρής έκτασης σφάλματα, Μεγάλης έκτασης σφάλματα]. Εκούσια μεταβολή των δεδομένων. Σφάλματα μετάδοσης δεδομένων [Παρεμβολή λανθασμένων μηνυμάτων, Άρνηση αποστολής μηνύματος (repudiation of origin), Άρνηση παραλαβής μηνύματος (repudiation of receipt), Αποτυχία αποστολής μηνύματος, Επανάληψη μηνύματος (replay), Λανθασμένη δρομολόγηση (misrouting), Παρακολούθηση κίνησης (traffic monitoring), Απώλεια ακολουθίας μηνυμάτων (out of sequence)]. Για κάθε περίπτωση εκτιμάται το δυσμενέστερο πιθανό σενάριο και υπολογίζονται οι επιπτώσεις από την πραγματοποίησή του. Το μέγεθος της επίπτωσης εκτιμάται αριθμητικά με βάση κλίμακα Η CRAMM παρέχει οδηγίες (guidelines) για την αποτίμηση των Επιπτώσεων που ανήκουν στις παρακάτω κατηγορίες: Επιπτώσεις στη σωματική ακεραιότητα και τη ζωή φυσικών προσώπων version / 98

21 REF: Επιπτώσεις από την αποκάλυψη προσωπικών ή και ευαίσθητων προσωπικών δεδομένων Νομικές επιπτώσεις Παρεμπόδιση εφαρμογής της δικαιοσύνης και της εξιχνίασης παρανομιών Οικονομικές απώλειες Διατάραξη της δημόσιας τάξης Διεθνείς σχέσεις Άμυνα και εθνική ασφάλεια Εφαρμογή της πολιτικής του οργανισμού Απώλεια της εμπιστοσύνης του κοινού στον οργανισμό. Ακολούθως η CRAMM μέσω του αυτοματοποιημένου εργαλείου υπολογίζει την έμμεση αξία (implied value) των στοιχείων των πληροφοριακών συστημάτων. Η αποτίμηση των πληροφοριακών συστημάτων βασίζεται σε συνεντεύξεις που γίνονται με στελέχη που εμπλέκονται στην αξιοποίηση του Ο.Π.Σ. Στην περίπτωση της παρούσας μελέτης ασφάλειας διεξήχθησαν συνεντεύξεις με το τεχνικό και διοικητικό προσωπικό της Γ.Γ.Π.Π. Το λογισμικό της CRAMM αποθηκεύει και επεξεργάζεται τα δεδομένα που συλλέγονται και πραγματοποιεί το συσχετισμό της αποτίμησης των επιμέρους στοιχείων του συστήματος με το μοντέλο του συστήματος. Έτσι, υπολογίζεται η έμμεση αξία των στοιχείων του συστήματος, υπολογισμός που δε θα μπορούσε να διεξαχθεί με εμπειρικές μεθόδους. Στάδιο1, Βήμα 3: Επιβεβαίωση και επικύρωση της αποτίμησης Η αποτίμηση των αγαθών των πληροφοριακών συστημάτων αποτελεί κρίσιμο παράγοντα για τη συνέχεια της μελέτης ανάλυσης και διαχείρισης επικινδυνότητας. Γι αυτό το λόγο, πριν προχωρήσουν οι μελετητές στα επόμενα στάδια θα πρέπει πρώτα να επικυρωθεί η αποτίμηση. Το κύριο προϊόν αυτού του σταδίου είναι η αποτίμηση των Αγαθών των πληροφοριακών συστημάτων. Τα αποτελέσματα του πρώτου σταδίου παρουσιάζονται σε σχετική έκθεση η οποία περιλαμβάνει: Τον ορισμό του προς ανάλυση συστήματος και των ορίων του. Τη μέθοδο εργασίας που ακολουθήθηκε. Την αποτίμηση των περιουσιακών στοιχείων των Π.Σ. Γενικά συμπεράσματα του πρώτου σταδίου. Στάδιο 2: Ανάλυση επικινδυνότητας (Risk analysis) Στο πρώτο στάδιο υπολογίστηκε ένας από τους τρεις παράγοντες που συνθέτουν την επικινδυνότητα. Συγκεκριμένα, αποτιμήθηκε η αξία των στοιχείων των πληροφοριακών συστημάτων τα οποία εφόσον έχουν αξία θα ονομάζονται Αγαθά ή Περιουσιακά Στοιχεία. Στο δεύτερο στάδιο υπολογίζονται οι άλλοι δύο παράγοντες, το επίπεδο των απειλών (threat level) και το επίπεδο των αδυναμιών του συστήματος (vulnerability level). Ο συνδυασμός των τριών παραγόντων δίδει το βαθμό επικινδυνότητας του συστήματος, έτσι ώστε να επιλεγούν τα version / 98

22 REF: κατάλληλα αντίμετρα. Τα βήματα που ακολουθούνται είναι: 1. Προσδιορισμός των απειλών που αφορούν το κάθε Αγαθό 2. Εκτίμηση απειλών (threat assessment) και αδυναμιών (vulnerability assessment) 3. Υπολογισμός της επικινδυνότητας για κάθε συνδυασμό Αγαθό-Απειλή-Αδυναμία 4. Επιβεβαίωση και επικύρωση του βαθμού επικινδυνότητας. Στάδιο2, Βήμα 1: Προσδιορισμός των απειλών που αφορούν κάθε Αγαθό (Asset) Η μέθοδος CRAMM δεν περιορίζεται στον προσδιορισμό των πιθανών απειλών που υφίσταται ένα πληροφοριακό σύστημα, αλλά επικεντρώνεται στον προσδιορισμό συγκεκριμένων απειλών για κάθε Αγαθό. Η CRAMM παρέχει μία ενδεικτική λίστα απειλών, καθώς και συστάσεις για το ποιες κατηγορίες στοιχείων ενός πληροφοριακού συστήματος αντιμετωπίζουν συνήθως τη συγκεκριμένη απειλή. Όταν ένα από τα στοιχεία των πληροφοριακών συστημάτων αντιμετωπίζει απειλή τότε και τα δεδομένα ή οι υπηρεσίες που αυτό υποστηρίζει αντιμετωπίζουν την ίδια απειλή. Με την CRAMM ο αναλυτής δε χρειάζεται να υπολογίζει ο ίδιος τις συσχετίσεις και αλληλεπιδράσεις. Το CRAMM-εργαλείο ζητά από τους αναλυτές να συσχετίσουν τα Αγαθά με κατηγορίες απειλών από την παραπάνω κατάσταση. Έτσι, το εργαλείο προβαίνει σε συμπεράσματα με βάση το μοντέλο του συστήματος. Για παράδειγμα, αν μία απειλή (π.χ. πυρκαγιά) συσχετισθεί με μία τοποθεσία, τότε το εργαλείο συμπεραίνει ότι η απειλή αυτή αφορά το σύνολο των αγαθών που βρίσκονται στη συγκεκριμένη τοποθεσία. Στάδιο 2, Βήμα 2: Εκτίμηση απειλών (threat assessment) και αδυναμιών (vulnerability assessment) Για κάθε συνδυασμό απειλής-αγαθού εκτιμάται το μέγεθος της απειλής και η σοβαρότητα των αδυναμιών που μπορεί να οδηγήσουν στην πραγματοποίηση της απειλής. Η CRAMM υπολογίζει το επίπεδο της απειλής με βάση απαντήσεις σε ερωτηματολόγια των απειλών. Η εκτίμηση της απειλής γίνεται σε κλίμακα από 1-5 (very low, low, medium, high, very high). Ο αναλυτής μπορεί να παρέμβει και να τροποποιήσει τις τιμές που δίνει η CRAMM, αν το κρίνει σκόπιμο. Αντίστοιχα, για τις αδυναμίες συμπληρώνονται ερωτηματολόγια αδυναμιών και υπολογίζεται η σοβαρότητα της αδυναμίας σε κλίμακα 1-3 (low, medium, high). Οι απαντήσεις που θα δοθούν στα ερωτηματολόγια προκύπτουν από τα στοιχεία που συλλέγουν οι αναλυτές από τους χρήστες του συστήματος. Το εργαλείο της CRAMM παρέχει ερωτηματολόγια για κάθε συνδυασμό απειλής-αγαθού. Οι απαντήσεις σ αυτά εισάγονται στο λογισμικό της CRAMM και υπολογίζεται το επίπεδο των απειλών και των αδυναμιών. Επίσης, παρέχεται η δυνατότητα στους αναλυτές να αλλάξουν τις τιμές που υπολογίστηκαν αυτοματοποιημένα. Επιπλέον, προκύπτει μία αναφορά για την εκτίμηση των απειλών-αδυναμιών ώστε να αξιολογηθούν τα αποτελέσματα αυτής της διαδικασίας. Στάδιο 2, Βήμα 3: Υπολογισμός επικινδυνότητας για κάθε συνδυασμό Αγαθό- Απειλή-Αδυναμία Η CRAMM υπολογίζει για κάθε συνδυασμό Αγαθό-Απειλή-Αδυναμία το βαθμό επικινδυνότητας. Δεν υπολογίζεται, δηλαδή, απλώς ένας βαθμός επικινδυνότητας για όλο το πληροφοριακό version / 98

23 REF: σύστημα, αλλά αποτιμάται η επικινδυνότητα για κάθε συνδυασμό Αγαθό-Απειλή-Αδυναμία. Για το σκοπό αυτό, χρησιμοποιούνται τόσο τα αποτελέσματα της εκτίμησης απειλών και αδυναμιών, όσο και το μοντέλο των πληροφοριακών συστημάτων. Έτσι, ο βαθμός επικινδυνότητας λαμβάνει υπόψη και τη συσχέτιση και τις εξαρτήσεις μεταξύ των στοιχείων των πληροφοριακών συστημάτων. Ο υπολογισμός του βαθμού επικινδυνότητας ακολουθεί μία κλίμακα 1-7 και γίνεται αυτόματα για κάθε συνδυασμό Αγαθό-Απειλή-Αδυναμία. Ο αναλυτής έχει τη δυνατότητα να παρέμβει και να αλλάξει κάποιες τιμές αν το θεωρεί σκόπιμο. Στάδιο 2, Βήμα 4: Επικύρωση του βαθμού επικινδυνότητας Η ομάδα μελέτης μπορεί να χρησιμοποιήσει τις αναφορές που παράγει το λογισμικό της CRAMM και το εργαλείο back-track για να εξετάσει συνολικά το βαθμό επικινδυνότητας. Σε περίπτωση που κριθεί ότι χρειάζεται να γίνουν κάποιες αλλαγές, τότε οι αναλυτές έχουν τη δυνατότητα είτε να αλλάξουν τις τιμές της επικινδυνότητας είτε να αλλάξουν τις τιμές που έχουν προκύψει από την εκτίμηση των απειλών και αδυναμιών και να υπολογίσουν εκ νέου την επικινδυνότητα. Στάδιο 3: Διαχείριση επικινδυνότητας (Risk management) Στηριζόμενοι στα αποτελέσματα της ανάλυσης επικινδυνότητας (Στάδιο 2), η μέθοδος CRAMM παράγει ένα σχέδιο ασφάλειας για το τα πληροφοριακά συστήματα. Αυτό αποτελείται από μία σειρά αντιμέτρων τα οποία κρίνονται απαραίτητα για την αντιμετώπιση και διαχείριση της επικινδυνότητας και τα οποία θα πρέπει να εφαρμοστούν. Το σχέδιο ασφάλειας περιλαμβάνει και μία σειρά επιλογών και εναλλακτικών λύσεων, ώστε να παρέχεται ευελιξία στην εφαρμογή του. Για συστήματα τα οποία έχουν αναπτυχθεί και λειτουργούν ήδη, το προτεινόμενο σχέδιο ασφάλειας μπορεί να συγκριθεί με τα υπάρχοντα αντίμετρα. Η τελική επιλογή των αντιμέτρων που θα εφαρμοστούν λαμβάνει υπόψη και το κόστος που έχουν τα αντίμετρα για τον οργανισμό. Τα βήματα του τρίτου σταδίου περιλαμβάνουν: Τον προσδιορισμό των προτεινόμενων αντιμέτρων. Το σχεδιασμό του σχεδίου ασφάλειας. Στάδιο 3, Βήμα 1: Προσδιορισμός των προτεινόμενων αντιμέτρων Η CRAMM περιλαμβάνει μία ευρεία βάση αντιμέτρων, γνωστή ως βιβλιοθήκη αντιμέτρων. Τα αντίμετρα αυτά είναι τεχνικά, διοικητικά και οργανωτικά. Το λογισμικό της CRAMM μπορεί να επιλέξει αυτόματα μία κατάσταση προτεινόμενων αντιμέτρων με βάση τα αποτελέσματα της ανάλυσης επικινδυνότητας. Τα αντίμετρα χωρίζονται σε ομάδες, ανάλογα με το είδος των απειλών που καλούνται να αντιμετωπίσουν και ανάλογα με το είδος των αγαθών που καλούνται να προστατέψουν. Η βάση των αντιμέτρων περιλαμβάνει τόσο τις εναλλακτικές λύσεις, δηλαδή ποιο αντίμετρο μπορεί να χρησιμοποιηθεί εναλλακτικά άλλου, καθώς και επιλογές υλοποίησής τους. Μεταξύ των προτεινόμενων αντίμετρων πρέπει να γίνουν συγκεκριμένες επιλογές. Οι επιλογές αυτές βασίζονται σε πολύ σημαντικό βαθμό στην εμπειρία των αναλυτών. Η CRAMM βοηθά, ώστε οι επιλογές να ακολουθούν μία δομημένη προσέγγιση και να αιτιολογούνται επαρκώς. Τα κριτήρια που λαμβάνονται υπόψη στην τελική επιλογή περιλαμβάνουν τα εξής: Την επίδραση που θα έχουν τα αντίμετρα στη λειτουργία του οργανισμού. Τον υπάρχοντα προϋπολογισμό για την ασφάλεια των πληροφοριακών συστημάτων. Το κόστος εγκατάστασης και λειτουργίας των αντιμέτρων. version / 98

24 REF: Την άποψη της διοίκησης και τους στόχους της. Ενδεχόμενες ενδείξεις ότι οι απειλές θα αυξηθούν στο μέλλον. Ακολούθως τα προτεινόμενα αντίμετρα συγκρίνονται με τα υπάρχοντα. Το λογισμικό της CRAMM περιέχει μία βάση με περισσότερα από αντίμετρα, ενταγμένα σε ομάδες και ιεραρχημένα ανάλογα με το επίπεδο ασφάλειας που προσφέρουν. Το CRAMM εργαλείο επιλέγει αυτόματα τα αντίμετρα σύμφωνα με τα αποτελέσματα της ανάλυσης επικινδυνότητας. Η κατάσταση-απόφαση για ένα αντίμετρο μπορεί να είναι: Εγκατεστημένο (installed) Προς υλοποίηση (to be installed) Υπό υλοποίηση (implementing recommendation) Προτεινόμενο για υλοποίηση (implemented recommendation) Έχει καλυφθεί ήδη (already covered) Αναλαμβάνεται η επικινδυνότητα (accept level of risk) Υπό συζήτηση (under discussion) Μη εφαρμόσιμο (not applicable) Στάδιο 3, Βήμα 2: Σχεδιασμός του Σχεδίου Ασφάλειας Σχεδιάζεται το σχέδιο ασφάλειας που περιλαμβάνει: Το σχέδιο πολιτικής ασφάλειας Τους ρόλους και τις υποχρεώσεις του κάθε ρόλου Τα συμπληρωματικά έργα που απαιτούνται για την υλοποίηση της ασφάλειας. Το προϊόν του τρίτου σταδίου είναι το Σχέδιο Ασφάλειας. Εξαγωγή μέτρων προστασίας από το εργαλείο της CRAMM Στο παρακάτω διάγραμμα παρουσιάζεται η μέθοδος με την οποία το εργαλείο της CRAMM παράγει τον κατάλογο με τα προτεινόμενα μέτρα προστασίας. version / 98

Ανάλυση, Αποτίμηση και Διαχείριση Επικινδυνότητας ΠΣ

Ανάλυση, Αποτίμηση και Διαχείριση Επικινδυνότητας ΠΣ Κεφάλαιο 11 Ανάλυση, Αποτίμηση και Διαχείριση Επικινδυνότητας ΠΣ Σπύρος Κοκολάκης Τμήμα Μηχανικών Πληροφοριακών και Επικοινωνιακών Συστημάτων Πανεπιστήμιο Αιγαίου Καρλόβασι, 83200 Σάμος email:sak@aegean.gr

Διαβάστε περισσότερα

Ανάλυση, Αποτίμηση και Διαχείριση Επικινδυνότητας Π.Σ.

Ανάλυση, Αποτίμηση και Διαχείριση Επικινδυνότητας Π.Σ. Ανάλυση, Αποτίμηση και Διαχείριση Επικινδυνότητας Π.Σ. Στηρίζεται στο κεφ. 11 «Ανάλυση, Αποτίμηση και Διαχείριση Επικινδυνότητας ΠΣ» από το βιβλίο Ασφάλεια Πληροφοριακών Συστημάτων» επιμ. Σ. Κάτσικας,

Διαβάστε περισσότερα

(Εννοιολογική θεμελίωση)

(Εννοιολογική θεμελίωση) ΑΥΑΛΕΙΑ ΔΕΔΟΜΕΝΩΝ ΣΗΝ ΚΟΙΝΩΝΙΑ ΣΗ ΠΛΗΡΟΥΟΡΙΑ (Εννοιολογική θεμελίωση) Καλλονιάτης Χρήστος Λέκτορας Τμήμα Πολιτισμικής Τεχνολογίας και Επικοινωνίας, Πανεπιστήμιο Αιγαίου http://www.aegean.gr/culturaltec/kalloniatis

Διαβάστε περισσότερα

ΟΛΟΚΛΗΡΩΜΕΝΟ ΠΛΗΡΟΦΟΡΙΑΚΟ ΣΥΣΤΗΜΑ ΠΟΛΙΤΙΚΗΣ ΠΡΟΣΤΑΣΙΑΣ

ΟΛΟΚΛΗΡΩΜΕΝΟ ΠΛΗΡΟΦΟΡΙΑΚΟ ΣΥΣΤΗΜΑ ΠΟΛΙΤΙΚΗΣ ΠΡΟΣΤΑΣΙΑΣ ΟΛΟΚΛΗΡΩΜΕΝΟ ΠΛΗΡΟΦΟΡΙΑΚΟ ΣΥΣΤΗΜΑ ΠΟΛΙΤΙΚΗΣ ΠΡΟΣΤΑΣΙΑΣ Εργαστήριο Ασφάλειας Πληροφοριακών και Επικοινωνιακών Συστημάτων, Πανεπιστήμιο Αιγαίου Π Ο Λ Ι Τ Ι Κ Η Α Σ Φ Α Λ Ε Ι Α Σ Έκδοση: 1.0 Ημερομηνία: 30.06.08

Διαβάστε περισσότερα

Πολιτικές Ασφάλειας Πληροφοριακών Συστημάτων. Σωκράτης Κ. Κάτσικας Τμήμα Μηχ/κών Πληροφοριακών & Επικοινωνιακών Συστημάτων Πανεπιστήμιο Αιγαίου

Πολιτικές Ασφάλειας Πληροφοριακών Συστημάτων. Σωκράτης Κ. Κάτσικας Τμήμα Μηχ/κών Πληροφοριακών & Επικοινωνιακών Συστημάτων Πανεπιστήμιο Αιγαίου Πολιτικές Ασφάλειας Πληροφοριακών Συστημάτων Σωκράτης Κ. Κάτσικας Τμήμα Μηχ/κών Πληροφοριακών & Επικοινωνιακών Συστημάτων Πανεπιστήμιο Αιγαίου Στόχοι της παρουσίασης H παρουσίαση αυτή στοχεύει στην απάντηση

Διαβάστε περισσότερα

1.1. Πολιτική Ασφάλειας Πληροφοριών

1.1. Πολιτική Ασφάλειας Πληροφοριών 1.1. Πολιτική Ασφάλειας Πληροφοριών Η Voiceland στα πλαίσια των επιχειρησιακών της λειτουργιών διαχειρίζεται τηλεπικοινωνιακά συστήματα μέσω των οποίων προσφέρει υπηρεσίες τηλεφωνίας στην πελατειακή της

Διαβάστε περισσότερα

Ασφάλεια Υπολογιστικών Συστηµάτων

Ασφάλεια Υπολογιστικών Συστηµάτων Ασφάλεια ενός Π.Σ.: Η ικανότητα ενός οργανισµού να προστατεύει τις πληροφορίες/πόρους του από τυχόν αλλοιώσεις, καταστροφές και µη εξουσιοδοτηµένη χρήση Η ικανότητά του να παρέχει ορθές και αξιόπιστες

Διαβάστε περισσότερα

Ζητήματα Ασφάλειας στο σχεδιασμό Επιχειρησιακής Συνέχειας. Τσώχου Αγγελική atsohou@ionio.gr

Ζητήματα Ασφάλειας στο σχεδιασμό Επιχειρησιακής Συνέχειας. Τσώχου Αγγελική atsohou@ionio.gr Ζητήματα Ασφάλειας στο σχεδιασμό Επιχειρησιακής Συνέχειας Τσώχου Αγγελική atsohou@ionio.gr Περιεχόμενα 2 Βασικές έννοιες Επιχειρησιακή Συνέχεια και Ανάλυση Επικινδυνότητας Πλαίσιο Διοίκησης Επιχειρησιακής

Διαβάστε περισσότερα

Security & Privacy. Overview

Security & Privacy. Overview Security & Privacy Καλλονιά Χρήστος Overview Βασικές Έννοιες ενός Πληροφοριακού Συστήματος Ασφάλεια Πληροφοριακών Συστημάτων Βασικές Ιδιότητες Ασφάλειας Ασφάλεια vs Ιδιωτικότητα Βασικές Αρχές Ιδιωτικότητας

Διαβάστε περισσότερα

Ασφάλεια Δεδομένων στην Κοινωνία της Πληροφορίας. Εισαγωγικά θέματα και Εννοιολογική θεμελίωση κατά ISO 27000:2009

Ασφάλεια Δεδομένων στην Κοινωνία της Πληροφορίας. Εισαγωγικά θέματα και Εννοιολογική θεμελίωση κατά ISO 27000:2009 Ασφάλεια Δεδομένων στην Κοινωνία της Πληροφορίας Εισαγωγικά θέματα και Εννοιολογική θεμελίωση κατά ISO 27000:2009 Καθ. Στέφανος Γκρίτζαλης Εργαστήριο Ασφάλειας Πληροφοριακών και Επικοινωνιακών Συστημάτων

Διαβάστε περισσότερα

ΣΧΕΔΙΟ ΓΝΩΜΟΔΟΤΗΣΗΣ. EL Ενωμένη στην πολυμορφία EL 2013/0027(COD) της Επιτροπής Πολιτικών Ελευθεριών, Δικαιοσύνης και Εσωτερικών Υποθέσεων

ΣΧΕΔΙΟ ΓΝΩΜΟΔΟΤΗΣΗΣ. EL Ενωμένη στην πολυμορφία EL 2013/0027(COD) της Επιτροπής Πολιτικών Ελευθεριών, Δικαιοσύνης και Εσωτερικών Υποθέσεων ΕΥΡΩΠΑΪΚΟ ΚΟΙΝΟΒΟΥΛΙΟ 2009-2014 Επιτροπή Πολιτικών Ελευθεριών, Δικαιοσύνης και Εσωτερικών Υποθέσεων 2013/0027(COD) 2.9.2013 ΣΧΕΔΙΟ ΓΝΩΜΟΔΟΤΗΣΗΣ της Επιτροπής Πολιτικών Ελευθεριών, Δικαιοσύνης και Εσωτερικών

Διαβάστε περισσότερα

ΕΛΕΓΧΟΣ ΠΡΟΓΡΑΜΜΑΤΟΣ ΕΠΙΧΕΙΡΗΣΙΑΚΗΣ ΣΥΝΕΧΕΙΑΣ (Auditing Business Continuity Plan & Disaster Recovery Plan)

ΕΛΕΓΧΟΣ ΠΡΟΓΡΑΜΜΑΤΟΣ ΕΠΙΧΕΙΡΗΣΙΑΚΗΣ ΣΥΝΕΧΕΙΑΣ (Auditing Business Continuity Plan & Disaster Recovery Plan) ΕΛΕΓΧΟΣ ΠΡΟΓΡΑΜΜΑΤΟΣ ΕΠΙΧΕΙΡΗΣΙΑΚΗΣ ΣΥΝΕΧΕΙΑΣ (Auditing Business Continuity Plan & Disaster Recovery Plan) CISA, CGEIT, CRISC Project Management Office (PMO) ΘΕΜΑΤΙΚΕΣ ΕΝΟΤΗΤΕΣ ΕΙΣΑΓΩΓΗ ΑΠΑΙΤΗΣΕΙΣ ΚΑΝΟΝΙΣΤΙΚΗΣ

Διαβάστε περισσότερα

Κων/νος Λαμπρινουδάκης Αναπληρωτής Καθηγητής Τμήμα Ψηφιακών Συστημάτων Εργαστήριο Ασφάλειας Συστημάτων Πανεπιστήμιο Πειραιώς

Κων/νος Λαμπρινουδάκης Αναπληρωτής Καθηγητής Τμήμα Ψηφιακών Συστημάτων Εργαστήριο Ασφάλειας Συστημάτων Πανεπιστήμιο Πειραιώς Κων/νος Λαμπρινουδάκης Αναπληρωτής Καθηγητής Τμήμα Ψηφιακών Συστημάτων Εργαστήριο Ασφάλειας Συστημάτων Πανεπιστήμιο Πειραιώς With the financial support of the Prevention of and Fight against Crime Programme

Διαβάστε περισσότερα

Ασφάλειας στην Πληροφορική και τις Επικοινωνίες

Ασφάλειας στην Πληροφορική και τις Επικοινωνίες Ασφάλεια στην Πληροφορική και τις Επικοινωνίες Εννοιολογική θεμελίωση Δημήτρης Γκρίτζαλης Αναπληρωτής Καθηγητής Ασφάλειας στην Πληροφορική και τις Επικοινωνίες Τμήμα Πληροφορικής, Οικονομικό Πανεπιστήμιο

Διαβάστε περισσότερα

ΠΟΛΙΤΙΚΗ ΑΣΦΑΛΕΙΑΣ ΠΛΗΡΟΦΟΡΙΩΝ

ΠΟΛΙΤΙΚΗ ΑΣΦΑΛΕΙΑΣ ΠΛΗΡΟΦΟΡΙΩΝ ΚΩΔΙΚΟΣ: GP2_2 ΣΕΛ: 1 / 9 ΠΟΛΙΤΙΚΗ ΑΣΦΑΛΕΙΑΣ ΠΛΗΡΟΦΟΡΙΩΝ ΤΟΥ ΟΜΙΛΟΥ CQS & Paladino ΕΚΔΟΣΗ 2 η ΑΘΗΝΑ, 01/03/2016 ΚΩΔΙΚΟΣ: GP2_2 ΣΕΛ: 2 / 9 ΠΕΡΙΕΧΟΜΕΝΑ ΠΕΡΙΕΧΟΜΕΝΑ... 2 1 ΕΙΣΑΓΩΓΗ... 3 2 ΠΑΡΟΥΣΙΑΣΗ ΤΟΥ ΟΜΙΛΟΥ...

Διαβάστε περισσότερα

Υπηρεσίες Πληροφόρησης στην Ψηφιακή Εποχή: Ζητήματα Ασφάλειας και Προστασίας Ιδιωτικότητας

Υπηρεσίες Πληροφόρησης στην Ψηφιακή Εποχή: Ζητήματα Ασφάλειας και Προστασίας Ιδιωτικότητας 1 Υπηρεσίες Πληροφόρησης στην Ψηφιακή Εποχή: Ζητήματα Ασφάλειας και Προστασίας Ιδιωτικότητας Βασίλης Ζορκάδης Ηλ. Μηχ., Δρ. Επιστήμης Υπολογιστών Παν. Καρλσρούης Αρχή Προστασίας Προσωπικών Δεδομένων zorkadis@dpa.gr

Διαβάστε περισσότερα

Πανεπιστήμιο Πειραιώς

Πανεπιστήμιο Πειραιώς Πανεπιστήμιο Πειραιώς Τμήμα Ψηφιακών Συστημάτων Π.Μ.Σ. Ασφάλεια Ψηφιακών Συστημάτων Διπλωματική Εργασία Συγκριτική Μελέτη Ανάλυσης Επικινδυνότητας Ευτυχία Χαλβατζή Επιβλέπων: Δρ. Σωκράτης Κάτσικας Καθηγητής

Διαβάστε περισσότερα

ΑΡΧΗ ΔΙΑΣΦΑΛΙΣΗΣ ΤΟΥ ΑΠΟΡΡΗΤΟΥ ΤΩΝ ΕΠΙΚΟΙΝΩΝΙΩΝ ΣΧΕΔΙΟ

ΑΡΧΗ ΔΙΑΣΦΑΛΙΣΗΣ ΤΟΥ ΑΠΟΡΡΗΤΟΥ ΤΩΝ ΕΠΙΚΟΙΝΩΝΙΩΝ ΣΧΕΔΙΟ ΣΧΕΔΙΟ «Κοινή Πράξη της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (Α.Π.Δ.Π.Χ.) και της Αρχής Διασφάλισης του Απορρήτου των Επικοινωνιών (Α.Δ.Α.Ε.) ως προς τις υποχρεώσεις των παρόχων για την προστασία

Διαβάστε περισσότερα

Η παροχή εξειδικευμένων εξωτερικών υπηρεσιών διαχείρισης των απειλών ενάντια στα πληροφοριακά συστήματα του ΟΒΙ.

Η παροχή εξειδικευμένων εξωτερικών υπηρεσιών διαχείρισης των απειλών ενάντια στα πληροφοριακά συστήματα του ΟΒΙ. 1. Εισαγωγή Οι εξωτερικές απειλές χρειάζονται μια και μόνη επιτυχημένη προσπάθεια για να προκαλέσουν σοβαρή ζημιά στα απόρρητα δεδομένα ενός οργανισμού, πλήττοντας την ικανότητα του να παρέχει κρίσιμες

Διαβάστε περισσότερα

ΠΤΥΧΙΑΚΗ ΕΡΓΑΣΙΑ ΜΕ ΘΕΜΑ: ΑΝΑΛΥΣΗ ΚΑΙ ΔΙΑΧΕΙΡΙΣΗ ΕΠΙΚΙΝΔΥΝΟΤΗΤΑΣ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ

ΠΤΥΧΙΑΚΗ ΕΡΓΑΣΙΑ ΜΕ ΘΕΜΑ: ΑΝΑΛΥΣΗ ΚΑΙ ΔΙΑΧΕΙΡΙΣΗ ΕΠΙΚΙΝΔΥΝΟΤΗΤΑΣ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ Τ.Ε.Ι ΚΑΒΑΛΑΣ ΣΧΟΛΗ: ΔΙΟΙΚΗΣΗΣ ΚΑΙ ΟΙΚΟΝΟΜΙΑΣ ΤΜΗΜΑ: ΔΙΑΧΕΙΡΙΣΗΣ ΠΛΗΡΟΦΟΡΙΩΝ ΠΤΥΧΙΑΚΗ ΕΡΓΑΣΙΑ ΜΕ ΘΕΜΑ: ΑΝΑΛΥΣΗ ΚΑΙ ΔΙΑΧΕΙΡΙΣΗ ΕΠΙΚΙΝΔΥΝΟΤΗΤΑΣ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ ΜΑΝΑΦΗ ΚΩΝΣΤΑΝΤΙΝΑ Α.Ε.Μ : 719 ΙΟΥΝΙΟΣ

Διαβάστε περισσότερα

Παρουσίαση της μεθοδολογίας Octave

Παρουσίαση της μεθοδολογίας Octave Operationally Critical Threat, Asset, and Vulnerability Evaluation Παρουσίαση της μεθοδολογίας Octave Συντάκτης: Παρασκευή Κωστάκη Σπύρος Κοκολάκης 1 Δομή παρουσίασης 2 1 Τι είναι η OCTAVE; Δομή: Μια περιεκτική,

Διαβάστε περισσότερα

Προκαταρκτική Φάση Ανάλυσης

Προκαταρκτική Φάση Ανάλυσης Ενότητα 2 Προκαταρκτική Φάση Ανάλυσης Πληροφοριακά Συστήματα Διοίκησης ΙI Ι Διδάσκων: Νίκος Καρακαπιλίδης 2-1 Στόχοι & αντικείμενο ενότητας Εισαγωγικές Έννοιες, εργασίες, τεχνικές, μέθοδοι, εργαλεία Σχέδιο

Διαβάστε περισσότερα

η PRIORITY από το 1995 ανάλυση και βελτίωση επιχειρησιακών διαδικασιών σύμφωνα με κανονιστικό πλαίσιο διεθνή πρότυπα και βέλτιστες πρακτικές

η PRIORITY από το 1995 ανάλυση και βελτίωση επιχειρησιακών διαδικασιών σύμφωνα με κανονιστικό πλαίσιο διεθνή πρότυπα και βέλτιστες πρακτικές η PRIORITY από το 1995 ανάλυση και βελτίωση επιχειρησιακών διαδικασιών σύμφωνα με κανονιστικό πλαίσιο διεθνή πρότυπα και βέλτιστες πρακτικές εξειδίκευση αξιολόγηση κινδύνων ασφάλεια δεδομένων διακυβέρνηση

Διαβάστε περισσότερα

Πληροφορική 2. Τεχνολογία Λογισμικού

Πληροφορική 2. Τεχνολογία Λογισμικού Πληροφορική 2 Τεχνολογία Λογισμικού 1 2 Κρίση Λογισμικού (1968) Στην δεκαετία του 1970 παρατηρήθηκαν μαζικά: Μεγάλες καθυστερήσεις στην ολοκλήρωση κατασκευής λογισμικών Μεγαλύτερα κόστη ανάπτυξης λογισμικού

Διαβάστε περισσότερα

"Η ΑΣΦΑΛΕΙΑ ΤΩΝ ΔΕΔΟΜΕΝΩΝ ΣΤΗΝ ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΑΚΥΒΕΡΝΗΣΗ, ΝΟΜΙΚΕΣ ΠΤΥΧΕΣ."

Η ΑΣΦΑΛΕΙΑ ΤΩΝ ΔΕΔΟΜΕΝΩΝ ΣΤΗΝ ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΑΚΥΒΕΡΝΗΣΗ, ΝΟΜΙΚΕΣ ΠΤΥΧΕΣ. "Η ΑΣΦΑΛΕΙΑ ΤΩΝ ΔΕΔΟΜΕΝΩΝ ΣΤΗΝ ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΑΚΥΒΕΡΝΗΣΗ, ΝΟΜΙΚΕΣ ΠΤΥΧΕΣ." Διπλωματική Εργασία ΡΑΠΤΗΣ ΧΡΗΣΤΟΣ Επιβλέπουσα Καθηγήτρια: ΕΥΓΕΝΙΑ ΑΛΕΞΑΝΔΡΟΠΟΥΛΟΥ ΑΙΓΥΠΤΙΑΔΟΥ ΠΑΝΕΠΙΣΤΗΜΙΟ ΜΑΚΕΔΟΝΙΑΣ, Προγράμματα

Διαβάστε περισσότερα

Ενότητα 1 ΓΕΝΙΚΕΣ ΑΡΧΕΣ ΣΧΕΔΙΑΣΜΟΥ [ΓΕΝΙΚΕΣ ΑΡΧΕΣ ΣΧΕΔΙΑΣΜΟΥ] 1.1. ΓΕΝΙΚΑ ΕΝΟΤΗΤΑ 1

Ενότητα 1 ΓΕΝΙΚΕΣ ΑΡΧΕΣ ΣΧΕΔΙΑΣΜΟΥ [ΓΕΝΙΚΕΣ ΑΡΧΕΣ ΣΧΕΔΙΑΣΜΟΥ] 1.1. ΓΕΝΙΚΑ ΕΝΟΤΗΤΑ 1 Ενότητα 1 ΓΕΝΙΚΕΣ ΑΡΧΕΣ ΣΧΕΔΙΑΣΜΟΥ 1.1. ΓΕΝΙΚΑ Τις τελευταίες δεκαετίες, σε ευρωπαϊκό και παγκόσμιο επίπεδο, καταγράφονται συστηματικές δράσεις Πολιτικής Προστασίας για την αποτελεσματική διαχείριση καταστροφών

Διαβάστε περισσότερα

Διαχείριση έργων. Βασικές αρχές Τεχνολογίας Λογισμικού, 8η αγγ. έκδοση

Διαχείριση έργων. Βασικές αρχές Τεχνολογίας Λογισμικού, 8η αγγ. έκδοση Διαχείριση έργων Στόχοι Ερμηνεία των κύριων εργασιών ενός διευθυντή έργου λογισμικού Παρουσίαση της διαχείρισης έργων λογισμικού και περιγραφή των χαρακτηριστικών που τη διακρίνουν Εξέταση του σχεδιασμού

Διαβάστε περισσότερα

ΡΑΣΤΗΡΙΟΤΗΤΕΣ. Ασφάλεια & Ηλεκτρονική ιακυβέρνηση

ΡΑΣΤΗΡΙΟΤΗΤΕΣ. Ασφάλεια & Ηλεκτρονική ιακυβέρνηση ΡΑΣΤΗΡΙΟΤΗΤΕΣ Ενότητα: Υποενότητα: Ασφάλεια & Ηλεκτρονική ιακυβέρνηση Y1 - ιεθνή πρότυπα ασφάλειας Το εκπαιδευτικό υλικό υπάγεται σε Άδεια Χρήσης Creative Commons Αναφορά Μη-Εµπορική Χρήση Όχι Παράγωγο

Διαβάστε περισσότερα

Δ10 Διαδικασία Παρακολούθησης Εκτέλεσης Έργου

Δ10 Διαδικασία Παρακολούθησης Εκτέλεσης Έργου Δ10 Διαδικασία Παρακολούθησης Εκτέλεσης Έργου Επάρκειας για την υλοποίηση Συγχρηµατοδοτούµενων Έργων Σύµφωνα µε το Πρότυπο ΕΛΟΤ 1429: 2008 Έκδοση Έγκριση 3 η 3 η Ηµεροµηνία 03/06/2016 03/06/2016 Από Εκπρόσωπος

Διαβάστε περισσότερα

Ασφάλεια Υπολογιστικών Συστημάτων

Ασφάλεια Υπολογιστικών Συστημάτων Ασφάλεια Υπολογιστικών Συστημάτων Ενότητα 1: Εισαγωγή Νικολάου Σπύρος Τμήμα Μηχανικών Πληροφορικής ΤΕ Άδειες Χρήσης Το παρόν εκπαιδευτικό υλικό υπόκειται σε άδειες χρήσης Creative Commons. Για εκπαιδευτικό

Διαβάστε περισσότερα

Όροι χρήσης Πολιτική Προστασίας Προσωπικών Δεδομένων

Όροι χρήσης Πολιτική Προστασίας Προσωπικών Δεδομένων Όροι χρήσης Πολιτική Προστασίας Προσωπικών Δεδομένων 1. Η πλατφόρμα διαβούλευσης http://hello.crowdapps.net/participation-roma-ekka/ ανήκει στο Εθνικό Κέντρο Κοινωνικής Αλληλεγγύης. Ο εν λόγω διαδικτυακός

Διαβάστε περισσότερα

EU Cyber Security Policy Ευρωπαϊκό δίκαιο προστασίας και ασφάλειας δεδομένων στα επόμενα χρόνια Θοδωρής Κωνσταντακόπουλος

EU Cyber Security Policy Ευρωπαϊκό δίκαιο προστασίας και ασφάλειας δεδομένων στα επόμενα χρόνια Θοδωρής Κωνσταντακόπουλος EU Cyber Security Policy Ευρωπαϊκό δίκαιο προστασίας και ασφάλειας δεδομένων στα επόμενα χρόνια Θοδωρής Κωνσταντακόπουλος Δικηγόρος M.L.E., LL.M. Senior Associate, Μπάλλας, Πελεκάνος & Συνεργάτες Α.Ε.Δ.Ε.

Διαβάστε περισσότερα

ΕΝΙΑΙΟ ΠΛΑΙΣΙΟ ΠΡΟΓΡΑΜΜΑΤΟΣ ΣΠΟΥΔΩΝ

ΕΝΙΑΙΟ ΠΛΑΙΣΙΟ ΠΡΟΓΡΑΜΜΑΤΟΣ ΣΠΟΥΔΩΝ ΥΠΟΥΡΓΕΙΟ ΕΘΝΙΚΗΣ ΠΑΙΔΕΙΑΣ ΚΑΙ ΘΡΗΣΚΕΥΜΑΤΩΝ ΠΑΙΔΑΓΩΓΙΚΟ ΙΝΣΤΙΤΟΥΤΟ ΕΝΙΑΙΟ ΠΛΑΙΣΙΟ ΠΡΟΓΡΑΜΜΑΤΟΣ ΣΠΟΥΔΩΝ ΠΛΗΡΟΦΟΡΙΚΗΣ ΙΣΧΥΕΙ ΚΑΤΑ ΤΟ ΜΕΡΟΣ ΠΟΥ ΑΦΟΡΑ ΤΟ ΛΥΚΕΙΟ ΓΙΑ ΤΗΝ ΥΠΟΧΡΕΩΤΙΚΗ ΕΚΠΑΙΔΕΥΣΗ ΙΣΧΥΟΥΝ ΤΟ ΔΕΠΠΣ

Διαβάστε περισσότερα

Πίνακας Περιεχομένων

Πίνακας Περιεχομένων Πίνακας Περιεχομένων Πρόλογος 15 Πρώτο Μέρος: Εισαγωγή στα Πληροφοριακά Συστήματα....19 Κεφάλαιο 1 ο : Έννοια του Συστήματος 1.1 Τι είναι Σύστημα... 21 1.2 Αλληλεπίδραση Συστημάτων... 22 1.3 Κατηγοριοποίηση

Διαβάστε περισσότερα

ΠΟΛΙΤΙΚΗ ΑΣΦΑΛΕΙΑΣ ΑΡΧΕΙΟΥ ΑΣΘΕΝΩΝ ΟΔΟΝΤΙΑΤΡΙΚΗΣ ΣΧΟΛΗΣ ΕΚΠΑ

ΠΟΛΙΤΙΚΗ ΑΣΦΑΛΕΙΑΣ ΑΡΧΕΙΟΥ ΑΣΘΕΝΩΝ ΟΔΟΝΤΙΑΤΡΙΚΗΣ ΣΧΟΛΗΣ ΕΚΠΑ ΠΟΛΙΤΙΚΗ ΑΣΦΑΛΕΙΑΣ ΑΡΧΕΙΟΥ ΑΣΘΕΝΩΝ ΟΔΟΝΤΙΑΤΡΙΚΗΣ ΣΧΟΛΗΣ ΕΚΠΑ ΕΙΣΑΓΩΓΗ Στα πλαίσια της εκπαιδευτικής και ερευνητικής διαδικασίας της Σχολής μας τηρείται οδοντιατρικό αρχείο ασθενών με ευαίσθητα και μη προσωπικά

Διαβάστε περισσότερα

Κατευθυντήριες Οδηγίες Ποιότητας. Βιοπαθολογικό Εργαστήριο

Κατευθυντήριες Οδηγίες Ποιότητας. Βιοπαθολογικό Εργαστήριο Κατευθυντήριες Οδηγίες Ποιότητας Ιανουάριος 2013 Περιεχόμενα Υπόμνημα - Επεξηγήσεις... 3 Κεφάλαιο 1: Διαχείριση Προσωπικού... 4 Κεφάλαιο 2: Διαχείριση Εξοπλισμού/ Εγκαταστάσεων... 5 Κεφάλαιο 3: Πρακτικές

Διαβάστε περισσότερα

ΟΡΟΙ & ΠΡΟΥΠΟΘΕΣΕΙΣ Α. ΓΕΝΙΚΟΙ ΟΡΟΙ

ΟΡΟΙ & ΠΡΟΥΠΟΘΕΣΕΙΣ Α. ΓΕΝΙΚΟΙ ΟΡΟΙ ΟΡΟΙ & ΠΡΟΥΠΟΘΕΣΕΙΣ Α. ΓΕΝΙΚΟΙ ΟΡΟΙ 1. Εισαγωγή : Ο παρών διαδικτυακός τόπος αποτελεί την ηλεκτρονική ιστοσελίδα της ανώνυμης εταιρίας με την επωνυμία ΠΕΤΡΟΓΚΑΖ ΑΝΩΝΥΜΗ ΕΛΛΗΝΙΚΗ ΕΤΑΙΡΕΙΑ ΥΓΡΑΕΡΙΩΝ, ΒΙΟΜΗΧΑΝΙΚΩΝ

Διαβάστε περισσότερα

Μεθόδους εφαρμογής των γενικών αρχών και κανόνων αυθεντικοποίησης Στρατηγική για την ιεράρχηση της κρισιμότητας κάθε ηλεκτρονικής υπηρεσίας

Μεθόδους εφαρμογής των γενικών αρχών και κανόνων αυθεντικοποίησης Στρατηγική για την ιεράρχηση της κρισιμότητας κάθε ηλεκτρονικής υπηρεσίας Εξοικείωση με κανόνες και οδηγίες του ΠΨΑ Βασίζονται στο ισχύον νομικό και κανονιστικό πλαίσιο για την προστασία των προσωπικών και ευαίσθητων προσωπικών δεδομένων, καθώς και στην προστασία τηςιδιωτικότητας

Διαβάστε περισσότερα

ΕΛΕΓΧΟΣ ΕΓΓΡΑΦΟΥ ΙΣΤΟΡΙΚΟ ΕΚΔΟΣΕΩΝ

ΕΛΕΓΧΟΣ ΕΓΓΡΑΦΟΥ ΙΣΤΟΡΙΚΟ ΕΚΔΟΣΕΩΝ ΟΛΟΚΛΗΡΩΜΕΝΟ ΠΛΗΡΟΦΟΡΙΑΚΟ ΣΥΣΤΗΜΑ ΠΟΛΙΤΙΚΗΣ ΠΡΟΣΤΑΣΙΑΣ Εργαστήριο Ασφάλειας Πληροφοριακών και Επικοινωνιακών Συστημάτων, Πανεπιστήμιο Αιγαίου Σ Χ Ε Δ Ι Ο Υ Λ Ο Π Ο Ι Η Σ Η Σ Α Σ Φ Α Λ Ε Ι Α Σ Έκδοση: 1.0

Διαβάστε περισσότερα

Στόχος της ψυχολογικής έρευνας:

Στόχος της ψυχολογικής έρευνας: Στόχος της ψυχολογικής έρευνας: Συστηματική περιγραφή και κατανόηση των ψυχολογικών φαινομένων. Η ψυχολογική έρευνα χρησιμοποιεί μεθόδους συστηματικής διερεύνησης για τη συλλογή, την ανάλυση και την ερμηνεία

Διαβάστε περισσότερα

Προσεγγίσεις Ασφάλειας Πληροφοριακών Συστημάτων

Προσεγγίσεις Ασφάλειας Πληροφοριακών Συστημάτων Προσεγγίσεις Ασφάλειας Πληροφοριακών Συστημάτων Βασισμένο στο ομότιτλο άρθρο του Καθηγ. Ε. Κιουντούζη που περιέχεται στο βιβλίο Ασφάλεια Πληροφοριακών Συστημάτων (Επιμέλεια Σ. Κάτσικας, Δ. Γκρίτζαλης,

Διαβάστε περισσότερα

ΑΝΑΛΥΣΗ ΚΑΙ ΔΙΑΧΕΙΡΙΣΗ ΤΟΥ ΚΙΝΔΥΝΟΥ Risk Assessment

ΑΝΑΛΥΣΗ ΚΑΙ ΔΙΑΧΕΙΡΙΣΗ ΤΟΥ ΚΙΝΔΥΝΟΥ Risk Assessment ΑΝΑΛΥΣΗ ΚΑΙ ΔΙΑΧΕΙΡΙΣΗ ΤΟΥ ΚΙΝΔΥΝΟΥ Risk Assessment Η ανάλυση και η διαχείριση του κινδύνου (Risk Assessment) μπορεί να είναι απλό καθήκον για την διαχείριση μιας κρίσης. Η διαδικασία είναι απλή Aρχικά

Διαβάστε περισσότερα

Πολιτική Προστασίας των Προσωπικών Δεδομένων και Ασφαλείας

Πολιτική Προστασίας των Προσωπικών Δεδομένων και Ασφαλείας Πολιτική Προστασίας των Προσωπικών Δεδομένων και Ασφαλείας Η προστασία και ασφάλεια των προσωπικών δεδομένων και των πληροφοριών υγείας είναι πρωταρχικής σημασίας για την εταιρεία Outcome Sciences, Inc.

Διαβάστε περισσότερα

ΠΑΝΕΠΙΣΤΗΜΙΟ ΘΕΣΣΑΛΙΑΣ ΤΜΗΜΑ ΠΛΗΡΟΦΟΡΙΚΗ ΜΕ ΕΦΑΡΜΟΓΕΣ ΣΤΗ ΒΙΟΪΑΤΡΙΚΗ

ΠΑΝΕΠΙΣΤΗΜΙΟ ΘΕΣΣΑΛΙΑΣ ΤΜΗΜΑ ΠΛΗΡΟΦΟΡΙΚΗ ΜΕ ΕΦΑΡΜΟΓΕΣ ΣΤΗ ΒΙΟΪΑΤΡΙΚΗ ΠΑΝΕΠΙΣΤΗΜΙΟ ΘΕΣΣΑΛΙΑΣ ΤΜΗΜΑ ΠΛΗΡΟΦΟΡΙΚΗ ΜΕ ΕΦΑΡΜΟΓΕΣ ΣΤΗ ΒΙΟΪΑΤΡΙΚΗ "Μελέτη, σχεδίαση και υλοποίηση μεθοδολογιών ανάπτυξης και διαχείρισης της επικινδυνότητας ενός Πληροφοριακού Συστήματος" ΦΟΙΤΗΤΡΙΑ:

Διαβάστε περισσότερα

ΠΕΡΙΕΧΟΜΕΝΑ 1. ΕΠΙΤΕΛΙΚΗ ΣΥΝΟΨΗ 2. ΕΙΣΑΓΩΓΗ ΣΚΟΠΟΣ ΤΟΥ ΠΑΡΟΝΤΟΣ 3. ΑΝΑΛΥΣΗ ΥΠΑΡΧΟΥΣΑΣ ΚΑΤΑΣΤΑΣΗΣ 3.1 ΔΡΑΣΤΗΡΙΟΤΗΤΕΣ ΚΑΙ ΠΑΡΕΧΟΜΕΝΕΣ ΥΠΗΡΕΣΙΕΣ

ΠΕΡΙΕΧΟΜΕΝΑ 1. ΕΠΙΤΕΛΙΚΗ ΣΥΝΟΨΗ 2. ΕΙΣΑΓΩΓΗ ΣΚΟΠΟΣ ΤΟΥ ΠΑΡΟΝΤΟΣ 3. ΑΝΑΛΥΣΗ ΥΠΑΡΧΟΥΣΑΣ ΚΑΤΑΣΤΑΣΗΣ 3.1 ΔΡΑΣΤΗΡΙΟΤΗΤΕΣ ΚΑΙ ΠΑΡΕΧΟΜΕΝΕΣ ΥΠΗΡΕΣΙΕΣ ΠΕΡΙΕΧΟΜΕΝΑ 1. ΕΠΙΤΕΛΙΚΗ ΣΥΝΟΨΗ 2. ΕΙΣΑΓΩΓΗ ΣΚΟΠΟΣ ΤΟΥ ΠΑΡΟΝΤΟΣ 3. ΑΝΑΛΥΣΗ ΥΠΑΡΧΟΥΣΑΣ ΚΑΤΑΣΤΑΣΗΣ 3.1 ΔΡΑΣΤΗΡΙΟΤΗΤΕΣ ΚΑΙ ΠΑΡΕΧΟΜΕΝΕΣ ΥΠΗΡΕΣΙΕΣ 3.2 ΟΡΓΑΝΩΤΙΚΗ ΚΑΙ ΛΕΙΤΟΥΡΓΙΚΗ ΔΙΑΡΘΡΩΣΗ 3.2.1 Γενική Γραμματεία

Διαβάστε περισσότερα

1. Σκοπός Πεδίο εφαρμογής

1. Σκοπός Πεδίο εφαρμογής ΠΑΡΑΡΤΗΜΑ 2 ΑΠΟΦΑΣΗ 53 /2009 Θέμα: «Σύσταση για τη διασφάλιση του απορρήτου των επικοινωνιών από τις αρμόδιες αρχές κατά τη λειτουργία του συστήματος άρσης του απορρήτου σε πραγματικό χρόνο» Την Τετάρτη

Διαβάστε περισσότερα

ΠΑΡΑΡΤΗΜΑ: ΓΕΝΙΚΟΣ ΟΔΙΚΟΣ ΧΑΡΤΗΣ. Προκαταρκτική Eργασία: Σύσταση Ομάδων Διοικητικής Aναδιάρθρωσης. Κύριος στόχος Απαιτούμενη ενέργεια Χρονοδιάγραμμα

ΠΑΡΑΡΤΗΜΑ: ΓΕΝΙΚΟΣ ΟΔΙΚΟΣ ΧΑΡΤΗΣ. Προκαταρκτική Eργασία: Σύσταση Ομάδων Διοικητικής Aναδιάρθρωσης. Κύριος στόχος Απαιτούμενη ενέργεια Χρονοδιάγραμμα ΠΑΡΑΡΤΗΜΑ: ΓΕΝΙΚΟΣ ΟΔΙΚΟΣ ΧΑΡΤΗΣ Προκαταρκτική Eργασία: Σύσταση Ομάδων Διοικητικής Aναδιάρθρωσης 0.1 Σύσταση Υψηλού Επιπέδου Ομάδας Αναδιάρθρωσης της Δημόσιας Διοίκησης 0.2 Σύσταση Ομάδας Υποστήριξης της

Διαβάστε περισσότερα

Ηλεκτρονικό Εμπόριο. Ενότητα 9: Ασφάλεια Ηλεκτρονικού Εμπορίου Σαπρίκης Ευάγγελος Τμήμα Διοίκησης Επιχειρήσεων (Γρεβενά)

Ηλεκτρονικό Εμπόριο. Ενότητα 9: Ασφάλεια Ηλεκτρονικού Εμπορίου Σαπρίκης Ευάγγελος Τμήμα Διοίκησης Επιχειρήσεων (Γρεβενά) Ηλεκτρονικό Εμπόριο Ενότητα 9: Ασφάλεια Ηλεκτρονικού Εμπορίου Σαπρίκης Ευάγγελος Τμήμα Διοίκησης Επιχειρήσεων (Γρεβενά) Άδειες Χρήσης Το παρόν εκπαιδευτικό υλικό υπόκειται σε άδειες χρήσης Creative Commons.

Διαβάστε περισσότερα

ΙΤ Infrastructures. Cyber Security Presentation

ΙΤ Infrastructures. Cyber Security Presentation ΙΤ Infrastructures Cyber Security Presentation Σκοπός Παρουσίασης Αρχές ασφαλείας ΙΤ Τομείς Ασφαλείας ΙΤ Δικηγορικά Γραφεία - Προκλήσεις Ασφαλείας ΙΤ Αρχές Ασφαλείας ΙΤ Αναγνώριση Εταιρικών Πόρων & Απειλών

Διαβάστε περισσότερα

Ετήσια έκθεση για τις δραστηριότητες της επιτροπής καταπολέµησης της απάτης της Ευρωπαϊκής Κεντρικής Τράπεζας

Ετήσια έκθεση για τις δραστηριότητες της επιτροπής καταπολέµησης της απάτης της Ευρωπαϊκής Κεντρικής Τράπεζας EL Ετήσια έκθεση για τις δραστηριότητες της επιτροπής καταπολέµησης της απάτης της Ευρωπαϊκής Κεντρικής Τράπεζας για την περίοδο Ιανουαρίου 2001 - Φεβρουαρίου 2002 14 Μαρτίου 2002 ΠΕΡΙΕΧΟΜΕΝΑ 1. Εισαγωγή......3

Διαβάστε περισσότερα

Ηλεκτρονικό εμπόριο. HE 6 Ασφάλεια

Ηλεκτρονικό εμπόριο. HE 6 Ασφάλεια Ηλεκτρονικό εμπόριο HE 6 Ασφάλεια Ηλεκτρονικό εμπόριο και ασφάλεια Δισταγμός χρηστών στην χρήση του ηλεκτρονικού εμπορίου Αναζήτηση ασφαλούς περιβάλλοντος ηλεκτρονικού εμπορίου Ζητούμενο είναι η ασφάλεια

Διαβάστε περισσότερα

ΑΤΥΧΗΜΑΤΑ ΜΕΓΑΛΗΣ ΕΚΤΑΣΗΣ Γενικές διαπιστώσεις. ΑΤΥΧΗΜΑΤΑ ΜΕΓΑΛΗΣ ΕΚΤΑΣΗΣ Η ανάγκη για συνεχή βελτίωση. ΑΤΥΧΗΜΑΤΑ ΜΕΓΑΛΗΣ ΕΚΤΑΣΗΣ Βασικές αρχές-στόχοι

ΑΤΥΧΗΜΑΤΑ ΜΕΓΑΛΗΣ ΕΚΤΑΣΗΣ Γενικές διαπιστώσεις. ΑΤΥΧΗΜΑΤΑ ΜΕΓΑΛΗΣ ΕΚΤΑΣΗΣ Η ανάγκη για συνεχή βελτίωση. ΑΤΥΧΗΜΑΤΑ ΜΕΓΑΛΗΣ ΕΚΤΑΣΗΣ Βασικές αρχές-στόχοι SEVESO ΙΙΙ ΕΠΙΘΕΩΡΗΣΕΙΣ ΥΓΕΙΑ & ΑΣΦΑΛΕΙΑ ΤΩΝ ΕΡΓΑΖΟΜΕΝΩΝ ΕΤΗΣΙΑ ΣΥΣΚΕΨΗ ΕΠΙΘΕΩΡΗΤΩΝ REACH, CLP-2015 & Εθνική Συνάντηση Εργασίας (Workshop) Ευρωπαϊκού Προγράμματος PROTEAS ΑΘΗΝΑ, 27 ΑΠΡΙΛΙΟΥ 2015 ΑΝΤΩΝΙΟΣ

Διαβάστε περισσότερα

Η Ασφάλεια Πληροφοριών στο χώρο της Εκκαθάρισης των Χρηµατιστηριακών Συναλλαγών

Η Ασφάλεια Πληροφοριών στο χώρο της Εκκαθάρισης των Χρηµατιστηριακών Συναλλαγών Η Ασφάλεια Πληροφοριών στο χώρο της Εκκαθάρισης των Χρηµατιστηριακών Συναλλαγών Η πρόκληση & η πρακτική προσέγγιση Η Προστασία της Κρίσιµης Υποδοµής της Χώρας Αθήνα 14 Μαΐου 2003 Παναγιώτης Ηλιόπουλος,

Διαβάστε περισσότερα

Ε.Ε. Π α ρ.ι(i), Α ρ.4175, 25/7/2008

Ε.Ε. Π α ρ.ι(i), Α ρ.4175, 25/7/2008 ΝΟΜΟΣ ΠΟΥ ΤΡΟΠΟΠΟΙΕΙ ΤΟΥΣ ΠΕΡΙ ΚΑΝΟΝΙΣΜΩΝ ΑΣΦΑΛΕΙΑΣ ΔΙΑΒΑΘΜΙΣΜΕΝΩΝ ΠΛΗΡΟΦΟΡΙΩΝ, ΕΓΓΡΑΦΩΝ ΚΑΙ ΥΛΙΚΟΥ ΚΑΙ ΓΙΑ ΣΥΝΑΦΗ ΘΕΜΑΤΑ ΝΟΜΟΥΣ Η Βουλή των Αντιπροσώπων ψηφίζει ως ακολούθως: Συνοπτικός τίτλος. 216(Ι)

Διαβάστε περισσότερα

ΑΠΟΦΑΣΗ. (αριθμ.: 53 /2009)

ΑΠΟΦΑΣΗ. (αριθμ.: 53 /2009) Μαρούσι, 23 Φεβρουαρίου 2009 ΑΠΟΦΑΣΗ (αριθμ.: 53 /2009) Θέμα: «Αρμόδιες Αρχές κατά τη Λειτουργία του Συστήματος Άρσης Απορρήτου σε πραγματικό χρόνο». Την Τετάρτη, 14 Ιανουαρίου 2009 και ώρα 10.30 π.μ συνήλθε

Διαβάστε περισσότερα

ΚΑΤΟΛΟΓΟΣ ΣΗΜΕΙΩΝ ΑΞΙΟΛΟΓΗΣΗΣ ΥΠΟΨΗΦΙΟΥ ΕΝΔΙΑΜΕΣΟΥ ΦΟΡΕΑ:

ΚΑΤΟΛΟΓΟΣ ΣΗΜΕΙΩΝ ΑΞΙΟΛΟΓΗΣΗΣ ΥΠΟΨΗΦΙΟΥ ΕΝΔΙΑΜΕΣΟΥ ΦΟΡΕΑ: ΚΑΤΟΛΟΓΟΣ ΣΗΜΕΙΩΝ ΑΞΙΟΛΟΓΗΣΗΣ ΥΠΟΨΗΦΙΟΥ ΕΝΔΙΑΜΕΣΟΥ ΦΟΡΕΑ: ΕΡΩΤΗΜΑΤΑ ΓΙΑ ΤΗΝ ΑΞΙΟΛΟΓΗΣΗ ΤΟΥ ΦΟΡΕΑ ΣΤΟΝ ΟΠΟΙΟ Η ΔΑ ΘΑ ΑΝΑΘΕΣΕΙ ΑΡΜΟΔΙΟΤΗΤΗΤΕΣ ΔΙΑΧΕΙΡΙΣΗΣ Η ΣΥΓΚΕΚΡΙΜΕΝΑ ΚΑΘΗΚΟΝΤΑ για πράξεις του Επιχειρησιακού

Διαβάστε περισσότερα

Έλεγχος Συστημάτων Πληροφορικής

Έλεγχος Συστημάτων Πληροφορικής Έλεγχος Συστημάτων Πληροφορικής Εθνικό και Καποδιστριακό Πανεπιστήμιο Αθηνών Παναγιώτης Δρούκας, ISACA Athens Chapter 25 Φεβρουαρίου 2013 2 Περιεχόμενα Άυλα Περιουσιακά Στοιχεία Ανάληψη Κινδύνων O Εσωτερικός

Διαβάστε περισσότερα

ΠΙΝΑΚΑΣ ΚΡΙΤΗΡΙΩΝ ΑΞΙΟΛΟΓΗΣΗΣ. Τίτλος Κριτηρίου. Α.1 Οργανωτική Δομή - Οικονομικά στοιχεία 10%

ΠΙΝΑΚΑΣ ΚΡΙΤΗΡΙΩΝ ΑΞΙΟΛΟΓΗΣΗΣ. Τίτλος Κριτηρίου. Α.1 Οργανωτική Δομή - Οικονομικά στοιχεία 10% Κριτήρια Αξιολόγησης Η αξιολόγηση των υποβαλλόμενων προτάσεων θα πραγματοποιηθεί βάσει του ακόλουθου Πίνακα Κριτηρίων Αξιολόγησης. Παράλληλα με τα εν λόγω κριτήρια, θα συνυπολογισθεί η αξιοπιστία της πρότασης

Διαβάστε περισσότερα

Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης L 110/39

Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης L 110/39 1.5.2009 Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης L 110/39 ΑΠΟΦΑΣΗ ΤΗΣ ΕΠΙΤΡΟΠΗΣ της 29ης Απριλίου 2009 για την εναρμόνιση και την τακτική διαβίβαση των πληροφοριών και του ερωτηματολογίου που προβλέπονται

Διαβάστε περισσότερα

ΕΡΓΑΣΙΑ: Ετήσιας Συντήρησης και Υποστήριξης Λειτουργίας Δημοτικής Διαδικτυακής Πύλης

ΕΡΓΑΣΙΑ: Ετήσιας Συντήρησης και Υποστήριξης Λειτουργίας Δημοτικής Διαδικτυακής Πύλης ΕΛΛΗΝΙΚΗ ΔΗΜΟΚΡΑΤΙΑ ΝΟΜΟΣ ΘΕΣΣΑΛΟΝΙΚΗΣ ΔΗΜΟΣ ΠΥΛΑΙΑΣ-ΧΟΡΤΙΑΤΗ Δ/ΝΣΗ ΠΡΟΓΡ/ΣΜΟΥ, ΟΡΓΑΝΩΣΗΣ ΚΑΙ ΠΛΗΡΟΦΟΡΙΚΗΣ ΤΜΗΜΑ ΤΕΧΝΟΛ. ΠΛΗΡΟΦΟΡΙΚΗΣ ΚΑΙ ΕΠΙΚΟΙΝΩΝΙΩΝ Τηλ.: 2313-3010 60,94,95 Fax: 2310-300782 E-mail:

Διαβάστε περισσότερα

ΠΑΝΕΠΙΣΤΗΜΙΟ ΑΙΓΑIΟΥ & ΑΕΙ ΠΕΙΡΑΙΑ Τ.Τ. Τ

ΠΑΝΕΠΙΣΤΗΜΙΟ ΑΙΓΑIΟΥ & ΑΕΙ ΠΕΙΡΑΙΑ Τ.Τ. Τ ΠΑΝΕΠΙΣΤΗΜΙΟ ΑΙΓΑIΟΥ & ΑΕΙ ΠΕΙΡΑΙΑ Τ.Τ. Τ μ ή μ α τ α Ν α υ τ ι λ ί α ς κ α ι Ε π ι χ ε ι ρ η μ α τ ι κ ώ ν Υ π η ρ ε σ ι ώ ν & Μ η χ. Α υ τ ο μ α τ ι σ μ ο ύ Τ Ε 1. ΔΙΙΔΡΥΜΑΤΙΚΟ ΠΡΟΓΡΑΜΜΑ ΜΕΤΑΠΤΥΧΙΑΚΩΝ

Διαβάστε περισσότερα

ΟΡΟΙ ΧΡΗΣΗΣ ΠΟΛΙΤΙΚΗ ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

ΟΡΟΙ ΧΡΗΣΗΣ ΠΟΛΙΤΙΚΗ ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΟΡΟΙ ΧΡΗΣΗΣ ΠΟΛΙΤΙΚΗ ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ 1. Ο παρών διαδικτυακός τόπος «Προδιαγραφές ΕΔ» ανήκει στο ΓΕΕΘΑ. Ο εν λόγω διαδικτυακός τόπος προσφέρει στους χρήστες/επισκέπτες υπηρεσίες ενημέρωσης,

Διαβάστε περισσότερα

ΚΩΔΙΚΑΣ ΔΕΟΝΤΟΛΟΓΙΑΣ ΓΙΑ ΤΟΝ ΥΠΕΥΘΥΝΟ ΕΠΕΞΕΡΓΑΣΙΑΣ ΚΑΙ ΤΟ ΠΡΟΣΩΠΙΚΟ ΠΟΥ ΕΠΕΞΕΡΓΑΖΕΤΑΙ ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ ΥΓΕΙΑΣ

ΚΩΔΙΚΑΣ ΔΕΟΝΤΟΛΟΓΙΑΣ ΓΙΑ ΤΟΝ ΥΠΕΥΘΥΝΟ ΕΠΕΞΕΡΓΑΣΙΑΣ ΚΑΙ ΤΟ ΠΡΟΣΩΠΙΚΟ ΠΟΥ ΕΠΕΞΕΡΓΑΖΕΤΑΙ ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ ΥΓΕΙΑΣ 1 ΚΩΔΙΚΑΣ ΔΕΟΝΤΟΛΟΓΙΑΣ ΓΙΑ ΤΟΝ ΥΠΕΥΘΥΝΟ ΕΠΕΞΕΡΓΑΣΙΑΣ ΚΑΙ ΤΟ ΠΡΟΣΩΠΙΚΟ ΠΟΥ ΕΠΕΞΕΡΓΑΖΕΤΑΙ ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ ΥΓΕΙΑΣ Ο παρών κώδικας δεοντολογίας αναφέρεται και αφορά τόσο τον υπεύθυνο της επεξεργασίας (κατά

Διαβάστε περισσότερα

Καταστατικό επιθεώρησης της ΕΚΤ

Καταστατικό επιθεώρησης της ΕΚΤ Καταστατικό επιθεώρησης της ΕΚΤ (έναρξη ισχύος 3 Μαΐου 2016) Στο παρόν καταστατικό επιθεώρησης η Εκτελεστική Επιτροπή της Ευρωπαϊκής Κεντρικής Τράπεζας (ΕΚΤ) καθορίζει τον σκοπό, τις εξουσίες και τις αρμοδιότητες

Διαβάστε περισσότερα

ΠΕΡΙΛΗΨΗ ΑΠΟΦΑΣΗΣ ΥΛΟΠΟΙΗΣΗΣ ΥΠΟΕΡΓΟΥ ΜΕ ΙΔΙΑ ΜΕΣΑ

ΠΕΡΙΛΗΨΗ ΑΠΟΦΑΣΗΣ ΥΛΟΠΟΙΗΣΗΣ ΥΠΟΕΡΓΟΥ ΜΕ ΙΔΙΑ ΜΕΣΑ ΕΥΡΩΠΑΙΚΗ ΕΝΩΣΗ ΕΥΡΩΠΑΙΚΟ ΚΟΙΝΩΝΙΚΟ ΤΑΜΕΙΟ ΕΘΝΙΚΗ ΣΥΝΟΜΟΣΠΟΝΔΙΑ ΕΛΛΗΝΙΚΟΥ ΕΜΠΟΡΙΟΥ «ΑΝΑΔΙΟΡΓΑΝΩΣΗ ΚΑΙ ΕΝΙΣΧΥΣΗ ΥΠΗΡΕΣΙΩΝ ΕΣΕΕ» ΥΠΟΥΡΓΕΙΟ ΕΡΓΑΣΙΑΣ & ΚΟΙΝΩΝΙΚΗΣ ΑΣΦΑΛΙΣΗΣ Με τη συγχρηματοδότηση της Ελλάδας

Διαβάστε περισσότερα

Θωμάς Κοντογιάννης Καθηγητής Πολυτεχνείου Κρήτης

Θωμάς Κοντογιάννης Καθηγητής Πολυτεχνείου Κρήτης Θωμάς Κοντογιάννης Καθηγητής Πολυτεχνείου Κρήτης ΠΕΡΙΕΧΟΜΕΝΑ ΜΕΡΟΣ Α ΣΥΣΤΗΜΑΤΑ ΔΙΑΧΕΙΡΗΣΗΣ ΑΣΦΑΛΕΙΑΣ: ΘΕΩΡΗΤΙΚΕΣ ΠΡΟΣΕΓΓΙΣΕΙΣ ΚΑΙ ΠΑΡΑΓΟΝΤΕΣ ΕΠΙΡΡΟΗΣ ΚΕΦΑΛΑΙΟ 1 ΣΥΣΤΗΜΑΤΑ ΔΙΑΧΕΙΡΙΣΗΣ ΑΣΦΑΛΕΙΑΣ...3 1.1

Διαβάστε περισσότερα

ΕΙΣΗΓΗΣΗ ΤΟΥ ΠΡΟΕΔΡΟΥ ΤΗΣ ΕΚΤΕΛΕΣΤΙΚΗΣ ΕΠΙΤΡΟΠΗΣ ΓΙΑ ΤΗΝ ΕΓΚΡΙΣΗ ΤΟΥ ΣΧΕΔΙΟΥ ΤΟΥ ΕΠΙΧΕΙΡΗΣΙΑΚΟΥ ΠΡΟΓΡΑΜΜΑΤΟΣ ΔΗΜΟΥ ΔΕΛΦΩΝ (Α ΦΑΣΗ

ΕΙΣΗΓΗΣΗ ΤΟΥ ΠΡΟΕΔΡΟΥ ΤΗΣ ΕΚΤΕΛΕΣΤΙΚΗΣ ΕΠΙΤΡΟΠΗΣ ΓΙΑ ΤΗΝ ΕΓΚΡΙΣΗ ΤΟΥ ΣΧΕΔΙΟΥ ΤΟΥ ΕΠΙΧΕΙΡΗΣΙΑΚΟΥ ΠΡΟΓΡΑΜΜΑΤΟΣ ΔΗΜΟΥ ΔΕΛΦΩΝ (Α ΦΑΣΗ ΕΙΣΗΓΗΣΗ ΤΟΥ ΠΡΟΕΔΡΟΥ ΤΗΣ ΕΚΤΕΛΕΣΤΙΚΗΣ ΕΠΙΤΡΟΠΗΣ ΓΙΑ ΤΗΝ ΕΓΚΡΙΣΗ ΤΟΥ ΣΧΕΔΙΟΥ ΤΟΥ ΕΠΙΧΕΙΡΗΣΙΑΚΟΥ ΠΡΟΓΡΑΜΜΑΤΟΣ ΔΗΜΟΥ ΔΕΛΦΩΝ 2014-2019 (Α ΦΑΣΗ ΣΤΡΑΤΗΓΙΚΟΣ ΣΧΕΔΙΑΣΜΟΣ) Αξιότιμοι συνάδελφοι, Οι Δήμοι, στο πλαίσιο

Διαβάστε περισσότερα

ΑΝΑΠΤΥΞΗ ΕΦΑΡΜΟΓΩΝ ΣΕ Π ΡΟΓΡΑΜΜΑΤΙΣΤΙΚΟ Π ΕΡΙΒΑΛΛΟΝ

ΑΝΑΠΤΥΞΗ ΕΦΑΡΜΟΓΩΝ ΣΕ Π ΡΟΓΡΑΜΜΑΤΙΣΤΙΚΟ Π ΕΡΙΒΑΛΛΟΝ ΥΠΟΥΡΓΕΙΟ ΕΘΝΙΚΗΣ ΠΑΙΔΕΙΑΣ ΚΑΙ ΘΡΗΣΚΕΥΜΑΤΩΝ ΠΑΙΔΑΓΩΓΙΚΟ ΙΝΣΤΙΤΟΥΤΟ ΑΝΑΠΤΥΞΗ ΕΦΑΡΜΟΓΩΝ ΣΕ Π ΡΟΓΡΑΜΜΑΤΙΣΤΙΚΟ Π ΕΡΙΒΑΛΛΟΝ Κ Υ Κ Λ Ο Υ Π Λ Η Ρ Ο Φ Ο Ρ Ι Κ Η Σ Κ Α Ι Υ Π Η Ρ Ε Σ Ι Ω Ν Τ Ε Χ Ν Ο Λ Ο Γ Ι Κ Η

Διαβάστε περισσότερα

Δ7 Διαδικασία Ωρίµανσης και Σχεδιασµού Έργων, Επιλογής Άµεσα Ωφελούµενων Έργων ΕΚΤ και Διαχείρισης Ποιότητας Έργων

Δ7 Διαδικασία Ωρίµανσης και Σχεδιασµού Έργων, Επιλογής Άµεσα Ωφελούµενων Έργων ΕΚΤ και Διαχείρισης Ποιότητας Έργων Δ7 Διαδικασία Ωρίµανσης και Σχεδιασµού Έργων, Επιλογής Άµεσα Ωφελούµενων Έργων ΕΚΤ και Διαχείρισης Ποιότητας Έργων Επάρκειας για την υλοποίηση Συγχρηµατοδοτούµενων Έργων Σύµφωνα µε το Πρότυπο ΕΛΟΤ 1429:

Διαβάστε περισσότερα

GDPR: Η αντίστροφη μέτρηση έχει αρχίσει! Δ. Στασινόπουλος, MBA Manager IT Governance

GDPR: Η αντίστροφη μέτρηση έχει αρχίσει! Δ. Στασινόπουλος, MBA Manager IT Governance GDPR: Η αντίστροφη μέτρηση έχει αρχίσει! Δ. Στασινόπουλος, MBA Manager IT Governance από το 1995 ανάλυση και βελτίωση επιχειρησιακών διαδικασιών σύμφωνα με κανονιστικό πλαίσιο Ποιοι είμαστε διεθνή πρότυπα

Διαβάστε περισσότερα

Τα GIS στην Πρόληψη και ιαχείριση των Φυσικών Καταστροφών

Τα GIS στην Πρόληψη και ιαχείριση των Φυσικών Καταστροφών Ηµερίδα: Πρόληψη - ιαχείριση των Φυσικών Καταστροφών. Ο ρόλος του Αγρονόµου Τοπογράφου Μηχανικού Τα GIS στην Πρόληψη και ιαχείριση των Φυσικών Καταστροφών Γεώργιος Ν.Φώτης Αναπληρωτής Καθηγητής ΠΘ Kωστής

Διαβάστε περισσότερα

ΑΔΑ: 4Α86Φ-ΦΕΕ ΕΛΛΗΝΙΚΗ ΔΗΜΟΚΡΑΤΙΑ ΑΝΑΡΤΗΤΕΑ ΣΤΟ ΔΙΑΔΙΚΤΥΟ

ΑΔΑ: 4Α86Φ-ΦΕΕ ΕΛΛΗΝΙΚΗ ΔΗΜΟΚΡΑΤΙΑ ΑΝΑΡΤΗΤΕΑ ΣΤΟ ΔΙΑΔΙΚΤΥΟ ΑΔΑ: 4Α86Φ-ΦΕΕ ΕΛΛΗΝΙΚΗ ΔΗΜΟΚΡΑΤΙΑ ΥΠΟΥΡΓΕΙΟ ΑΝΑΠΤΥΞΗΣ ΑΝΤΑΓΩΝΙΣΤΙΚΟΤΗΤΑΣ ΚΑΙ ΝΑΥΤΙΛΙΑΣ ΕΙΔΙΚΗ ΓΡΑΜΜΑΤΕΙΑ ΨΗΦΙΑΚΟΥ ΣΧΕΔΙΑΣΜΟΥ ΕΙΔΙΚΗ ΥΠΗΡΕΣΙΑ ΔΙΑΧΕΙΡΙΣΗΣ ΕΠ ΨΗΦΙΑΚΗ ΣΥΓΚΛΙΣΗ Ταχ. Δ/νση : Λέκκα 23-25 Αθήνα

Διαβάστε περισσότερα

Αναδιοργάνωση στους Οργανισμούς

Αναδιοργάνωση στους Οργανισμούς Περιεχόμενα Μέρους Α Αναδιοργάνωση στους Οργανισμούς Αναδιοργάνωση ιαδικασιών Οργανισμών με έμφαση στη ημόσια ιοίκηση (Public Sector BPR) - Μέρος Α - 1) Ορισμοί 2) Τα αναμενόμενα οφέλη από την αναδιοργάνωση

Διαβάστε περισσότερα

Με το παρόν σας υποβάλουµε τις παρατηρήσεις της ΑΠ ΠΧ επί του σχεδίου κανονισµού της Α ΑΕ σχετικά µε τη διασφάλιση του απορρήτου των επικοινωνιών.

Με το παρόν σας υποβάλουµε τις παρατηρήσεις της ΑΠ ΠΧ επί του σχεδίου κανονισµού της Α ΑΕ σχετικά µε τη διασφάλιση του απορρήτου των επικοινωνιών. ιεύθυνση Γραµµατείας Αθήνα, 17.05.2011 Αριθ. Πρωτ.: Γ/ΕΞ/3409 Προς Αρχή ιασφάλισης Απορρήτου των Επικοινωνιών (Α ΑΕ) Ιερού Λόχου 3, Μαρούσι 151 24, Αθήνα Email: kanonismos@adae.gr. ΘΕΜΑ: Παρατηρήσεις της

Διαβάστε περισσότερα

Ready Business Secure Business

Ready Business Secure Business Ready Business Secure Business Κωνσταντίνος Δ. Πανάγος Διευθυντής Εταιρικής Ασφάλειας Διακινδύνευσης Και Συμμόρφωσης Vodafone ΠΑΝΑΦΟΝ ΑΕΕΤ Απρίλιος 2016 Τι θα συζητήσουμε σήμερα Vodafone : Λίγα λόγια,

Διαβάστε περισσότερα

ΕΥΡΩΠΑΪΚΗ ΕΝΩΣΗ. Ημερομηνία : 23/03/2010 Α.Π. : 12785/ΕΥΣΣΑΑΠ 588

ΕΥΡΩΠΑΪΚΗ ΕΝΩΣΗ. Ημερομηνία : 23/03/2010 Α.Π. : 12785/ΕΥΣΣΑΑΠ 588 ΕΛΛΗΝΙΚΗ ΔΗΜΟΚΡΑΤΙΑ ΥΠΟΥΡΓΕΙΟ ΟΙΚΟΝΟΜΙΑΣ ΑΝΤΑΓΩΝΙΣΤΙΚΟΤΗΤΑΣ ΚΑΙ ΝΑΥΤΙΛΙΑΣ ΓΕΝΙΚΗ ΓΡΑΜΜΑΤΕΙΑ ΕΠΕΝΔΥΣΕΩΝ ΚΑΙ ΑΝΑΠΤΥΞΗΣ ΕΘΝΙΚΗ ΑΡΧΗ ΣΥΝΤΟΝΙΣΜΟΥ ΕΙΔΙΚΗ ΥΠΗΡΕΣΙΑ ΣΤΡΑΤΗΓΙΚΗΣ, ΣΧΕΔΙΑΣΜΟΥ ΚΑΙ ΑΞΙΟΛΟΓΗΣΗΣ ΑΝΑΠΤΥΞΙΑΚΩΝ

Διαβάστε περισσότερα

«ΑΝΑΘΕΣΗ ΧΟΡΗΓΗΣΗΣ ΤΟΥ ΚΡΑΤΙΚΟΥ ΠΙΣΤΟΠΟΙΗΤΙΚΟΥ ΠΛΗΡΟΦΟΡΙΚΗΣ»

«ΑΝΑΘΕΣΗ ΧΟΡΗΓΗΣΗΣ ΤΟΥ ΚΡΑΤΙΚΟΥ ΠΙΣΤΟΠΟΙΗΤΙΚΟΥ ΠΛΗΡΟΦΟΡΙΚΗΣ» ΤΕΥΧΟΣ ΠΡΟΚΗΡΥΞΗΣ ΑΝΟΙΧΤΟΥ ΔΙΕΘΝΟΥΣ ΔΙΑΓΩΝΙΣΜΟΥ ΓΙΑ ΤΗ ΣΥΝΑΨΗ ΣΥΜΒΑΣΗΣ ΠΑΡΟΧΗΣ ΥΠΗΡΕΣΙΩΝ ΓΙΑ ΤΟ ΕΡΓΟ: «ΑΝΑΘΕΣΗ ΧΟΡΗΓΗΣΗΣ ΤΟΥ ΚΡΑΤΙΚΟΥ ΠΙΣΤΟΠΟΙΗΤΙΚΟΥ ΠΛΗΡΟΦΟΡΙΚΗΣ» Μέρος Β: Τεχνικές Προδιαγραφές του Έργου

Διαβάστε περισσότερα

Εισηγήτρια: Κατερίνα Γρυμπογιάννη, Επικεφαλής Επιθεωρήτρια της TUV Rheinland Α.Ε. 1 13/7/2012 ΗΜΕΡΙΔΑ: ΠΙΣΤΟΠΟΙΗΣΕΙΣ ΠΟΙΟΤΗΤΑΣ ΣΤΙΣ ΥΠΗΡΕΣΙΕΣ ΥΓΕΙΑΣ

Εισηγήτρια: Κατερίνα Γρυμπογιάννη, Επικεφαλής Επιθεωρήτρια της TUV Rheinland Α.Ε. 1 13/7/2012 ΗΜΕΡΙΔΑ: ΠΙΣΤΟΠΟΙΗΣΕΙΣ ΠΟΙΟΤΗΤΑΣ ΣΤΙΣ ΥΠΗΡΕΣΙΕΣ ΥΓΕΙΑΣ Εφαρμογή Συστημάτων Διαχείρισης Ποιότητας στις υπηρεσίες Υγείας: Προϋπόθεση για την ανάπτυξη και την βελτίωση των παρεχομένων υπηρεσιών. (ISO 9001 ISO 22000 ISO 14001 ISO 27001 ISO 50001 OHSAS 18001) Σχετικές

Διαβάστε περισσότερα

Κακόβουλο Λογισμικό Ηλιάδης Ιωάννης

Κακόβουλο Λογισμικό Ηλιάδης Ιωάννης Κακόβουλο Λογισμικό Ηλιάδης Ιωάννης Τμήμα Μηχανικών Πληροφοριακών και Επικοινωνιακών Συστημάτων Πανεπιστήμιο Αιγαίου jiliad@aegean.gr Αθήνα, Ιούλιος 2004 Η έννοια του Κακόβουλου Λογισμικού Το Λογισμικό

Διαβάστε περισσότερα

Το Ευρωπαϊκό Πρόγραμμα. Motor Challenge

Το Ευρωπαϊκό Πρόγραμμα. Motor Challenge ΕΥΡΩΠΑΪΚΗ ΕΠΙΤΡΟΠΗ Γενική Διεύθυνση Ενέργειας και Μεταφορών Προώθηση των Ανανεώσιμων Πηγών Ενέργειας & Απαιτούμενη Διαχείριση Το Ευρωπαϊκό Πρόγραμμα Motor Challenge Ενότητα Πολιτικής Ενεργειακής Διαχείρισης

Διαβάστε περισσότερα

Στρατηγικό Σχεδιασµό Πληροφοριακών Συστηµάτων

Στρατηγικό Σχεδιασµό Πληροφοριακών Συστηµάτων Μέθοδοι και Τεχνικές για τον Στρατηγικό Σχεδιασµό Πληροφοριακών Συστηµάτων (SISP) Στρατηγική και Διοίκηση Πληροφοριακών Συστηµάτων Μάθηµα 2 No 1 Δοµή της Παρουσίασης l 1. Εισαγωγή l 2. Μεθοδολογία SISP

Διαβάστε περισσότερα

ΕΞΑΣΦΑΛΙΣΗ ΑΔΕΙΑΣ ΓΙΑ ΔΙΕΞΑΓΩΓΗ ΕΡΕΥΝΑΣ ΣΕ ΔΗΜΟΣΙΑ ΣΧΟΛΕΙΑ

ΕΞΑΣΦΑΛΙΣΗ ΑΔΕΙΑΣ ΓΙΑ ΔΙΕΞΑΓΩΓΗ ΕΡΕΥΝΑΣ ΣΕ ΔΗΜΟΣΙΑ ΣΧΟΛΕΙΑ ΕΞΑΣΦΑΛΙΣΗ ΑΔΕΙΑΣ ΓΙΑ ΔΙΕΞΑΓΩΓΗ ΕΡΕΥΝΑΣ ΣΕ ΔΗΜΟΣΙΑ ΣΧΟΛΕΙΑ Η εξασφάλιση άδειας από το Υπουργείο Παιδείας και Πολιτισµού (ΥΠΠ) είναι απαραίτητη για τη διεξαγωγή έρευνας σε δηµόσια σχολεία οποιασδήποτε βαθµίδας.

Διαβάστε περισσότερα

Κατευθυντήρια Οδηγία Ποιότητας. Ακτινοδιάγνωση

Κατευθυντήρια Οδηγία Ποιότητας. Ακτινοδιάγνωση Κατευθυντήρια Οδηγία Ποιότητας Ιανουάριος 2013 Περιεχόμενα Υπόμνημα - Επεξηγήσεις... 2 Κεφάλαιο 1: Οργάνωση- Διοίκηση... 3 Κεφάλαιο 2: Εφαρμογή Πολιτικής και Μέτρων Ακτινοπροστασίας... 4 Κεφάλαιο 3: Γενικά

Διαβάστε περισσότερα

Πολιτική ιδιωτικού απορρήτου

Πολιτική ιδιωτικού απορρήτου Πολιτική ιδιωτικού απορρήτου Στην παρούσα Πολιτική Ιδιωτικού Απορρήτου (Πολιτική), εμείς, η Qualcomm Incorporated και οι θυγατρικές μας (συλλογικά «εμείς», «μας», «εμάς» κλπ) παρέχουμε πληροφορίες για

Διαβάστε περισσότερα

ΚΕΦΑΛΑΙΟ Εισαγωγή Μεθοδολογία της Έρευνας ΕΙΚΟΝΑ 1-1 Μεθοδολογία της έρευνας.

ΚΕΦΑΛΑΙΟ Εισαγωγή Μεθοδολογία της Έρευνας ΕΙΚΟΝΑ 1-1 Μεθοδολογία της έρευνας. ΚΕΦΑΛΑΙΟ 1 Εισαγωγή Η Μεθοδολογία της Έρευνας (research methodology) είναι η επιστήμη που αφορά τη μεθοδολογία πραγματοποίησης μελετών με συστηματικό, επιστημονικό και λογικό τρόπο, με σκοπό την παραγωγή

Διαβάστε περισσότερα

Πολιτική Κυβερνοάμυνας στις ΕΔ

Πολιτική Κυβερνοάμυνας στις ΕΔ ΓΕΝΙΚΟ ΕΠΙΤΕΛΕΙΟ ΕΘΝΙΚΗΣ ΑΜΥΝΑΣ ΔΝΣΗ ΚΥΒΕΡΝΟΑΜΥΝΑΣ ΤΥΠΟΓΡΑΦΕΙΟ ΕΛΛΗΝΙΚΟΥ ΣΤΡΑΤΟΥ Πολιτική Κυβερνοάμυνας στις ΕΔ Φεβρουάριος 2014 ΕΙΣΑΓΩΓΗ - 1-1. Η εκπλήρωση της αποστολής των ΕΔ βασίζεται σε μεγάλο βαθμό

Διαβάστε περισσότερα

Ηλεκτρονική Δήλωση περί Προστασίας Προσωπικών Δεδομένων

Ηλεκτρονική Δήλωση περί Προστασίας Προσωπικών Δεδομένων Ηλεκτρονική Δήλωση περί Προστασίας Προσωπικών Δεδομένων Custom House Financial (UK) Limited Ημερομηνία έναρξης ισχύος: 1 Νοεμβρίου 2014 Στην Κύπρο, οι υπηρεσίες παρέχονται από την Custom House Financial

Διαβάστε περισσότερα

Ασφάλεια ικτύων και Ηλεκτρονικών Συναλλαγών

Ασφάλεια ικτύων και Ηλεκτρονικών Συναλλαγών DERN - Ασφάλεια ικτύων και Ηλεκτρονικών Συναλλαγών Εισαγωγικές Έννοιες DERN - Περιεχόμενα Βασικοί Ορισμοί Ασφάλειας Ασφάλεια Πληροφοριακού Συστήματος Απαιτήσεις για Ασφάλεια Απειλές και η Αντιμετώπιση

Διαβάστε περισσότερα

ΚΑΝΟΝΙΣΜΟΣ ΛΕΙΤΟΥΡΓΙΑΣ ΤΗΣ ΕΠΙΤΡΟΠΗΣ ΕΛΕΓΧΟΥ

ΚΑΝΟΝΙΣΜΟΣ ΛΕΙΤΟΥΡΓΙΑΣ ΤΗΣ ΕΠΙΤΡΟΠΗΣ ΕΛΕΓΧΟΥ ΟΡΓΑΝΙΣΜΟΣ ΤΗΛΕΠΙΚΟΙΝΩΝΙΩΝ ΤΗΣ ΕΛΛΑΔΟΣ Α.Ε. ΚΑΝΟΝΙΣΜΟΣ ΛΕΙΤΟΥΡΓΙΑΣ ΤΗΣ ΕΠΙΤΡΟΠΗΣ ΕΛΕΓΧΟΥ Υιοθετήθηκε από την Επιτροπή Ελέγχου κατά τη συνεδρίασή της υπ' αριθμ. 11/12-5-2004 (θ.1). Εγκρίθηκε από το Δ.Σ.

Διαβάστε περισσότερα

Κεφάλαιο 1. Βασικές έννοιες και ζητήματα ασφάλειας

Κεφάλαιο 1. Βασικές έννοιες και ζητήματα ασφάλειας Κεφάλαιο 1. Βασικές έννοιες και ζητήματα ασφάλειας Σύνοψη H ασφάλεια των δεδομένων, καθώς αυτά μεταδίδονται μέσω των διαφόρων δικτύων υπολογιστών, αποτελεί κρίσιμο παράγοντα για την ανάπτυξη ηλεκτρονικών

Διαβάστε περισσότερα

ΤΕΧΝΙΚΟΣ ΚΑΙ ΛΕΙΤΟΥΡΓΙΚΟΣ ΣΧΕΔΙΑΣΜΟΣ ΈΡΓΟΥ - ΠΡΟΓΡΑΜΜΑΤΙΣΜΟΣ ΑΠΑΙΤΟΥΜΕΝΩΝ ΕΝΕΡΓΕΙΩΝ ΩΡΙΜΑΝΣΗΣ

ΤΕΧΝΙΚΟΣ ΚΑΙ ΛΕΙΤΟΥΡΓΙΚΟΣ ΣΧΕΔΙΑΣΜΟΣ ΈΡΓΟΥ - ΠΡΟΓΡΑΜΜΑΤΙΣΜΟΣ ΑΠΑΙΤΟΥΜΕΝΩΝ ΕΝΕΡΓΕΙΩΝ ΩΡΙΜΑΝΣΗΣ Έναρξη Ισχύος: 5/2009 Σελίδα 1 από 10 1. ΣΚΟΠΟΣ Σκοπός της παρούσας διαδικασίας είναι ο τεχνικός και λειτουργικός σχεδιασμός του έργου και ο λεπτομερής προγραμματισμός των απαιτούμενων ενεργειών για την

Διαβάστε περισσότερα

ΠΟΛΙΤΙΚΗ ΕΝΤΟΠΙΣΜΟΥ ΚΑΙ ΔΙΑΧΕΙΡΙΣΗΣ ΣΥΓΚΡΟΥΣΕΩΣ ΣΥΜΦΕΡΟΝΤΩΝ CONFLICT OF INTEREST POLICY

ΠΟΛΙΤΙΚΗ ΕΝΤΟΠΙΣΜΟΥ ΚΑΙ ΔΙΑΧΕΙΡΙΣΗΣ ΣΥΓΚΡΟΥΣΕΩΣ ΣΥΜΦΕΡΟΝΤΩΝ CONFLICT OF INTEREST POLICY ΠΟΛΙΤΙΚΗ ΕΝΤΟΠΙΣΜΟΥ ΚΑΙ ΔΙΑΧΕΙΡΙΣΗΣ ΣΥΓΚΡΟΥΣΕΩΣ ΣΥΜΦΕΡΟΝΤΩΝ CONFLICT OF INTEREST POLICY Το νομικό και κανονιστικό πλαίσιο (νομοθεσία) που διέπει τις δραστηριότητες της εταιρείας «ΠΑΝΤΕΛΑΚΗΣ ΧΡΗΜΑΤΙΣΤΗΡΙΑΚΗ

Διαβάστε περισσότερα

Επιτροπή Συντονισμού της Ηλεκτρονικής Διακυβέρνησης

Επιτροπή Συντονισμού της Ηλεκτρονικής Διακυβέρνησης Επιτροπή Συντονισμού της Ηλεκτρονικής Διακυβέρνησης Σχέδιο Κειμένου Βασικών Αρχών και Κατευθύνσεων Εθνική Στρατηγική για την Ηλεκτρονική Διακυβέρνηση 22 Μαΐου 2013 1 "Δεν μπορεί να υπάρξει διοικητική μεταρρύθμιση

Διαβάστε περισσότερα

ΚΑΝΟΝΙΣΜΟΣ ΛΕΙΤΟΥΡΓΙΑΣ ΤΗΣ ΥΠΗΡΕΣΙΑΣ ΕΣΩΤΕΡΙΚΟΥ ΕΛΕΓΧΟΥ ΤΟΥ ΤΕΑ-ΕΑΠΑΕ (ΠΑΡΑΡΤΗΜΑ ΙΧ)

ΚΑΝΟΝΙΣΜΟΣ ΛΕΙΤΟΥΡΓΙΑΣ ΤΗΣ ΥΠΗΡΕΣΙΑΣ ΕΣΩΤΕΡΙΚΟΥ ΕΛΕΓΧΟΥ ΤΟΥ ΤΕΑ-ΕΑΠΑΕ (ΠΑΡΑΡΤΗΜΑ ΙΧ) ΚΑΝΟΝΙΣΜΟΣ ΛΕΙΤΟΥΡΓΙΑΣ ΤΗΣ ΥΠΗΡΕΣΙΑΣ ΕΣΩΤΕΡΙΚΟΥ ΕΛΕΓΧΟΥ ΤΟΥ ΤΕΑ-ΕΑΠΑΕ (ΠΑΡΑΡΤΗΜΑ ΙΧ) Πίνακας περιεχομένων 1.ΑΠΟΣΤΟΛΗ - ΣΚΟΠΟΣ 3 2.ΑΝΕΞΑΡΤΗΣΙΑ 4 3.ΔΙΚΑΙΟΔΟΣΙΑ 4 4.ΑΡΜΟΔΙΟΤΗΤΕΣ 4 5.ΑΝΑΦΟΡΕΣ 7 6.ΑΝΑΘΕΣΗ ΕΣΩΤΕΡΙΚΟΥ

Διαβάστε περισσότερα

ΣΥΜΒΟΥΛΙΟ ΤΗΣ ΕΥΡΩΠΑΪΚΗΣ ΕΝΩΣΗΣ. Βρυξέλλες, 25 Μαρτίου 2011 (31.03) (OR. en) 8068/11 PROCIV 32 JAI 182 ENV 223 FORETS 26 AGRI 237 RECH 69

ΣΥΜΒΟΥΛΙΟ ΤΗΣ ΕΥΡΩΠΑΪΚΗΣ ΕΝΩΣΗΣ. Βρυξέλλες, 25 Μαρτίου 2011 (31.03) (OR. en) 8068/11 PROCIV 32 JAI 182 ENV 223 FORETS 26 AGRI 237 RECH 69 ΣΥΜΒΟΥΛΙΟ ΤΗΣ ΕΥΡΩΠΑΪΚΗΣ ΕΝΩΣΗΣ Βρυξέλλες, 25 Μαρτίου 2011 (31.03) (OR. en) 8068/11 PROCIV 32 JAI 182 ENV 223 FORETS 26 AGRI 237 RECH 69 ΣΗΜΕΙΩΜΑ ΣΗΜΕΙΟΥ «I/A» της: Γενικής Γραμματείας προς: την ΕΜΑ/ το

Διαβάστε περισσότερα

Δικαιώματα Πνευματικής και Βιομηχανικής Ιδιοκτησίας

Δικαιώματα Πνευματικής και Βιομηχανικής Ιδιοκτησίας Η χρήση της παρούσας «Δημοτικής Δικτυακής Πύλης» (εφεξής «ΔΔΠ») υπόκειται στους Όρους Χρήσης που παρατίθενται στη συνέχεια. Οι Όροι Χρήσης απευθύνονται σε κάθε άτομο, φυσικό ή νομικό πρόσωπο (εφεξής «χρήστης»

Διαβάστε περισσότερα

Σχεδιασμός και Διεξαγωγή Πειραμάτων

Σχεδιασμός και Διεξαγωγή Πειραμάτων Σχεδιασμός και Διεξαγωγή Πειραμάτων Πρώτο στάδιο: λειτουργικοί ορισμοί της ανεξάρτητης και της εξαρτημένης μεταβλητής Επιλογή της ανεξάρτητης μεταβλητής Επιλέγουμε μια ανεξάρτητη μεταβλητή (ΑΜ), την οποία

Διαβάστε περισσότερα

Όμιλος FOURLIS Risk Based Audit

Όμιλος FOURLIS Risk Based Audit Όμιλος FOURLIS Risk Based Audit Παράδειγμα Εφαρμογής Οκτώβριος 2005 1. Risk based audit: πώς προέκυψε; 2. Risk assessment project: πώς σχεδιάστηκε; 3. Risk assessment method: ποιά επιλέξαμε; 4. Risk assessment

Διαβάστε περισσότερα

ΑΣΦΑΛΕΙΑ ΔΕΔΟΜΕΝΩΝ ΣΤΗΝ ΚΟΙΝΩΝΙΑ ΤΗΣ ΠΛΗΡΟΦΟΡΙΑΣ (Ιδιωτικότητα)

ΑΣΦΑΛΕΙΑ ΔΕΔΟΜΕΝΩΝ ΣΤΗΝ ΚΟΙΝΩΝΙΑ ΤΗΣ ΠΛΗΡΟΦΟΡΙΑΣ (Ιδιωτικότητα) ΑΣΦΑΛΕΙΑ ΔΕΔΟΜΕΝΩΝ ΣΤΗΝ ΚΟΙΝΩΝΙΑ ΤΗΣ ΠΛΗΡΟΦΟΡΙΑΣ (Ιδιωτικότητα) Καλλονιάτης Χρήστος Επίκουρος Καθηγητής Τμήμα Πολιτισμικής Τεχνολογίας και Επικοινωνίας, Πανεπιστήμιο Αιγαίου http://www.ct.aegean.gr/people/kalloniatis

Διαβάστε περισσότερα

Η έλλειψη κεντρικού ελέγχου της αλυσίδας διακίνησης φαρμάκων και υγειονομικών υλικών, έχει σαν αποτέλεσμα μια σειρά επιβλαβών επιπτώσεων

Η έλλειψη κεντρικού ελέγχου της αλυσίδας διακίνησης φαρμάκων και υγειονομικών υλικών, έχει σαν αποτέλεσμα μια σειρά επιβλαβών επιπτώσεων Σύστημα παρακολούθησης της διακίνησης φαρμάκων και υγειονομικών υλικών, με στόχο τον εξορθολογισμό των δημόσιων δαπανών, την αναβάθμιση της δυνατότητας διοικητικής παρέμβασης και εν τέλει, μέσα από την

Διαβάστε περισσότερα