Ασφάλεια Δεδομένων στην Κοινωνία της Πληροφορίας. Εισαγωγικά θέματα και Εννοιολογική θεμελίωση κατά ISO 27000:2009

Ασφάλεια Δεδομένων στην Κοινωνία της Πληροφορίας Εισαγωγικά θέματα και Εννοιολογική θεμελίωση κατά ISO 27000:2009 Καθ. Στέφανος Γκρίτζαλης Εργαστήριο Ασφάλειας Πληροφοριακών και Επικοινωνιακών Συστημάτων Τμήμα Μηχανικών Πληροφοριακών και Επικοινωνιακών Συστημάτων Δρ. Χρήστος Καλλονιάτης Εργαστήριο Πολιτισμικής Πληροφορικής Τμήμα Πολιτισμικής Τεχνολογίας και Επικοινωνίας

Δομή της παρουσίασης 1. Το πρόβλημα 2. Απαιτήσεις ενός Ασφαλούς Συστήματος 3. Η ανάγκη προστασίας των πληροφοριών 4. Εννοιολογική Θεμελίωση και πρότυπο ISO 27000:2009 5. Βιβλιογραφικές αναφορές 2/69

1. Το πρόβλημα 3/69

1. Το γενικό πρόβλημα (1/2) Ασφάλεια, είναι, κατ αρχάς, γενικός όρος για προβλήματα που ανακύπτουν όταν προσπαθούμε να επιτύχουμε ένα σύνολο λειτουργικών στόχων για τα πληροφοριακά συστήματα, τα οποία απαραιτήτως: Πρέπει να κάνουν ακριβώς αυτό για το οποίο σχεδιάστηκαν Πρέπει να λειτουργούν στο χρόνο που επιβάλλει ο σχεδιασμός τους Πρέπει να χρησιμοποιούνται μόνο από εξουσιοδοτημένο προσωπικό Δεν πρέπει ποτέ να κάνουν κάτι για το οποίο δεν έχουν σχεδιαστεί Δεν πρέπει ποτέ να λειτουργούν εκτός του χρόνου για τον οποίο σχεδιάστηκαν να λειτουργούν Δεν πρέπει ποτέ να χρησιμοποιούνται από μη εξουσιοδοτημένο 4/69 προσωπικό

1. Το γενικό πρόβλημα (2/2) Άρα το ζήτημα δεν είναι απλώς «η προστασία του δικτύου». Οπότε κλασικές λύσεις, όπως firewalls, δεν επαρκούν Δεν είναι αρκετό να ακολουθήσει κανείς «οδηγίες» ή να «πιστοποιηθεί» Το πραγματικό πρόβλημα πηγάζει από την κακή σχεδίαση λογισμικού, την ατελή υλοποίηση και κυρίως τη μαζική ανάπτυξη κρίσιμων εφαρμογών σε εγγενώς ανασφαλείς πλατφόρμες Το πρόβλημα δεν σχετίζεται με εργαλεία λογισμικού ή σχεδιασμό δικτύων, αλλά εδράζεται στα ερωτήματα: πώς σχεδιάζουμε λογισμικό; ποιοι σχεδιάζουν λογισμικό ; πώς επιλέγουμε λογισμικό; πώς εγκαθιστούμε λογισμικό στους οργανισμούς; 5/69

2. Απαιτήσεις ενός Ασφαλούς Συστήματος 6/69

2.1 Απαιτήσεις ενός ασφαλούς συστήματος (1/3) Σκοπός είναι η προστασία πολλαπλών χρηστών και η πρόληψη μη εξουσιοδοτημένης πρόσβασης στο σύστημα Πρέπει, πλέον, ηασφάλειανααποτελείσχεδιαστική απαίτηση ενός O.S. (built_in) και όχι επιπρόσθετο χαρακτηριστικό (add_on) Απαιτήσεις: Πολιτική (policy)» Πολιτική ασφάλειας: Το σύστημα πρέπει να επιβάλλει μια καλά ορισμένη πολιτική ασφάλειας» Χαρακτηρισμός: Το σύστημα πρέπει να συσχετίζει όλα τα αντικείμενα με ετικέτες ελέγχου πρόσβασης 7/69

2.1 Απαιτήσεις ενός ασφαλούς συστήματος (2/3) Λογοδοσία απόδοση ευθύνης (accountability)» Ταυτοποίηση (identification): Το σύστημα πρέπει να ταυτοποιεί τους χρήστες του και τις εξουσιοδοτήσεις τους με ασφαλή τρόπο» Ημερολόγιο ενεργειών (audit trail): Το σύστημα πρέπει να κρατά και να προστατεύει το ημερολόγιο, ώστε οι ενέργειες να μπορούν να αποδοθούν στον υπαίτιο Διασφάλιση (assurance)» Αξιολόγηση: Το σύστημα πρέπει να έχει μηχανισμούς hardware/software που να μπορούν να αξιολογηθούν χωριστά ώστε να διασφαλιστεί η επιβολή πολιτικής και λογοδοσίας» Συνεχής προστασία: Το σύστημα πρέπει να προστατεύει τους έμπιστους μηχανισμούς που επιβάλλουν την πολιτική και τη λογοδοσία έναντι μη εξουσιοδοτημένων παρεμβάσεων 8/69

2.1 Απαιτήσεις ενός ασφαλούς συστήματος (3/3) 9/69

2.2 Η επανάσταση των PC/desktop (1/2) Το χαμηλό κόστος οδηγεί στην κατάκτηση της λιανικής αγοράς Η ασφάλεια του συστήματος συνειδητά παραλείφθηκε στα PCs/desktop Η ανακάλυψη του Internet Leonard Kleinrock (MIT στις αρχές του 60), μαζί με DARPA Defense Advanced Research Projects Agency Στόχος:«Να δουλέψει» Τα πρώτα πρωτόκολλα αδιαφορούν για τα θέματα ασφάλειας 10/69

2.2 Η επανάσταση των PC/desktop (2/2) Τα λειτουργικά συστήματα των PCs δεν είχαν ασφαλείς βάσεις Αλλά τα δικτυωμένα PCs απαιτούν ασφαλές Λειτουργικό Σύστημα Το σημαντικό σφάλμα: Ανάπτυξη κρίσιμων εφαρμογών σε ανασφαλή περιβάλλοντα 11/69

3. Η ανάγκη προστασίας των πληροφοριών 12/69

3.1 Πληροφορία: Παγκοσμιοποίηση της οικονομίας Η εξάρτηση της μακρο-οικονομίας από την πληροφορία μετεξελίσσει την κοινωνία στην «Πληροφοριοποιημένη κοινωνία» Η πληροφορία ως μικρο-οικονομικό αγαθό Υλικά αγαθά: κόστος αγοράς, πώληση μία φορά, δυνατότητα μεταπώλησης Υπηρεσίες ως αγαθά Η πληροφορία έχει αξία Η πληροφορία δεν καταναλώνεται 13/69

3.2 Η αξία της πληροφορίας Η δημιουργία, συλλογή ή συντήρηση της πληροφορίας συνεπάγεται κόστος Η πληροφορία έχει αξία: για αυτούς στους οποίους ανήκει για αυτούς που την αξιοποιούν για αυτούς που επιθυμούν να την αποκτήσουν για αυτούς που επιθυμούν να την προωθήσουν προς ενδιαφερόμενους 14/69

3.3 Παράγοντες διαμόρφωσης της αξίας της πληροφορίας Η αποκλειστική κατοχή της Η χρησιμότητά της Το κόστος δημιουργίας, απόκτησης, αναδημιουργίας και επαναπόκτησής της Η αστική ή άλλη νομική ευθύνη Η μετατρεψιμότητα ή διαπραγματευσιμότητα Η επιχειρησιακή σημασία της 15/69

3.4 Η κοινωνική σημασία της πληροφορίας (1/2) Η πληροφορία μπορεί να αποτελέσει ισχυρό όργανο κοινωνικού ελέγχου Πρόβλημα διαχρονικό, που όμως εντείνεται ιδιαίτερα με τη διαθεσιμότητα των Τεχνολογιών Πληροφορικής και Επικοινωνιών ΤΠΕ (Information and Communication Technologies ICT) Οι ΤΠΕ επιτρέπουν τη συγκέντρωση, επεξεργασία, αποθήκευση και μετάδοση μεγάλου όγκου πληροφοριών, που μπορεί να οδηγήσει: στην ενοποίηση και ολοκληρωμένη παράθεσή τους στη συνδυασμένη χρήση τους, αν και συλλέχθηκαν για διαφορετικούς σκοπούς στη λήψη πολύπλοκων αποφάσεων με βάση αποκλειστικά 16/69 αυτοματοποιημένη επεξεργασία πληροφοριών

3.4 Η κοινωνική σημασία της πληροφορίας (2/2) Καταγράφεται πληθώρα παραδειγμάτων καταχρηστικής αξιοποίησης πληροφοριών που αρχικά συλλέχθηκαν για κοινωνικά αποδεκτούς σκοπούς Άραγε υπάρχει κάποιος που επιθυμεί να απέχει από τη συλλογή χρήσιμων πληροφοριών; 17/69

3.5 Αναγκαιότητα και κίνητρα για θέσπιση κανόνων Η αύξηση της διασυνοριακής ροής δεδομένων προσωπικού χαρακτήρα Η σημασία της προστασίας δεδομένων προσωπικού χαρακτήρα για την εμπιστοσύνη των πολιτών και των καταναλωτών στην εποχή της Κοινωνίας της Πληροφορίας και της Γνώσης Η προστασία της ιδιωτικότητας και των ατομικών δικαιωμάτων 18/69

3.6 Η ασφάλεια ως απαίτηση των δικαιούχων H διοίκηση ενός οργανισμού Οι ιδιοκτήτες και διαχειριστές δεδομένων, διεργασιών και συστημάτων Οι τελικοί χρήστες Οι υπεύθυνοι ανάπτυξης του συστήματος Οι υπεύθυνοι λειτουργίας του συστήματος Οι καταναλωτές προϊόντων και υπηρεσιών Οι πολίτες και η πολιτεία 19/69

3.7 Ορίζοντας ένα πλαίσιο για προστασία των πληροφοριών Το πλαίσιο πρέπει να είναι: Κοινωνικά αποδεκτό: ανάπτυξη βασισμένη στις απόψεις του κοινωνικού συνόλου Πολυδύναμο/πολυτομεακό: ανάπτυξη με βάση τη διεθνή εμπειρία και πρακτική Πολυδιάστατο: συνδυασμός θεσμικών ρυθμίσεων, οργανωσιακών ρυθμίσεων και κοινωνικών δράσεων Ανάπτυξη πλαισίου ανά τομέα 20/69

3.8 Θεσμικές και κανονιστικές ρυθμίσεις Κανονιστικές και νομικές Υπερεθνικές, εθνικές, τοπικές Οριζόντιες, κατακόρυφες Η σύμβαση 108 του Συμβουλίου της Ευρώπης (28.01.1981) Οι Ευρωπαϊκές Οδηγίες 95/46 και 2002/58 Οι Ν. 2472/1997 και Ν. 3471/2006 Οι Οδηγίες για την ασφάλεια ΠΣ του ΟΟΣΑ 21/69

3.9 ΟΟΣΑ (1/4) Διεθνής Οργανισμός ΟΟΣΑ Οργανισμός Οικονομικής Συνεργασίας και Ανάπτυξης (OECD Organization for the Economic Cooperation and Development) Στόχος της λειτουργίας του: Η σύγκριση εφαρμογών πολιτικής στις διάφορες χώρες Η απάντηση σε κοινά προβλήματα Ο προσδιορισμός καλών πρακτικών Ο συντονισμός εθνικών και διεθνών πολιτικών 22/69

3.9 ΟΟΣΑ (2/4): Οδηγίες για την ασφάλεια των ΠΣ Οι οδηγίες του ΟΟΣΑ εκδόθηκαν το 1992, αναθεωρήθηκαν το 1997, ενώ η τρέχουσα έκδοσή τους δημοσιεύτηκε το 2002 Αφορούν ΠΣ του δημόσιου και του ιδιωτικού τομέα Στόχοι: Αύξηση της ευαισθητοποίησης του κοινού Αύξηση της εμπιστοσύνης του κοινού στα ΠΣ Ενίσχυση της συνεργασίας μεταξύ δημόσιου και ιδιωτικού τομέα Διευκόλυνση της ανάπτυξης και χρήσης ΠΣ σε διεθνές επίπεδο Ενίσχυση της διεθνούς συνεργασίας στον τομέα της ασφάλειας ΠΣ 23/69

3.9 ΟΟΣΑ (3/4): Βασικές αρχές για την ασφάλεια ΠΣ (1992, 1997) Η αρχή της λογοδοσίας - απόδοσης ευθύνης (accountability) Η αρχή της ενημερότητας (awareness) Η αρχή της ηθικής (ethics) Ηαρχήτουπολυδύναμου(multidisciplinary) Η αρχή της αναλογικότητας (proportionality) Η αρχή της ολοκλήρωσης (integration) Η αρχή της άμεσης δράσης (timeliness) Ηαρχήτηςδημοκρατίας(democracy) Η αρχή της επανεξέτασης (reassessment) 24/69

3.9 ΟΟΣΑ (4/4): Βασικές αρχές για την ασφάλεια ΠΣ (2002) Η αρχή της ενημερότητας (awareness) Η αρχή της ευθύνης (responsibility) Η αρχή της ανταπόκρισης (response) Η αρχή της αποτίμησης επικινδυνότητας (risk assessment) Η αρχή της σχεδίασης και υλοποίησης ασφάλειας (security design and implementation) Η αρχή της διαχείρισης ασφάλειας (security management) 25/69

3.10 Προστασία των προσωπικών δεδομένων και του απορρήτου των επικοινωνιών: Το νομοθετικό πλαίσιο στην Ελλάδα Σύνταγμα της Ελλάδος (άρθρο 9Α και άρθρο 19) Νόμος 2472/97, όπως ισχύει, για την προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα Νόμος 3471/06, όπως ισχύει, για την προστασία των προσωπικών δεδομένων στον τομέα των ηλεκτρονικών επικοινωνιών 26/69

4. Εννοιολογική θεμελίωση και ISO 27000:2009 27/69

4.1 Στόχος αξιοποίησης του ISO 27000:2009 Πλαίσιο κοινού λεξιλογίου και ορολογία για μελέτη ζητημάτων Ασφάλειας Πληροφοριακών και Επικοινωνιακών Συστημάτων Κατανόηση των σχέσεων μεταξύ διαφορετικών όρων που σχετίζονται με τη γνωστική περιοχή της Ασφάλειας Πληροφοριακών και Επικοινωνιακών Συστημάτων 28/69

4.2 Βασικές έννοιες (1/10) Αγαθό (Asset) Ένας πόρος που έχει αξία για τον οργανισμό και αξίζει να προστατευθεί Αξία (Value) Σπουδαιότητα εκφραζόμενη σε χρηματικούς ή άλλους όρους Ζημία (Harm) Ο περιορισμός της αξίας ενός αγαθού 29/69

4.2 Βασικές έννοιες (2/10) Απειλή (Threat) Μία πιθανή αιτία που μπορεί να προκαλέσει ζημία σε ένα αγαθό, σε ένα σύστημα, σε έναν οργανισμό Ευπάθεια (Vulnerability) Μία αδυναμία ενός αγαθού ήομάδαςαγαθών ή μέτρου ασφάλειας, που ενδέχεται να την εκμεταλλευτούν μία ή περισσότερες απειλές Επίπτωση (Impact) Δυσμενής τροποποίηση στο επίπεδο των επιχειρησιακών στόχων ενός οργανισμού 30/69

4.2 Βασικές έννοιες (3/10) Ιδιοκτήτης (Owner) Οντότητα που κατέχει την ευθύνη για ένα αγαθό και που έχει το δικαίωμα να καθορίσει πως μπορεί αυτό να χρησιμοποιηθεί ή να μεταβληθεί ή να διατεθεί Χρήστης (User) Οντότητα που χρησιμοποιεί ολόκληρο ή μέρος ή αγαθά του πληροφοριακού συστήματος Αυθεντικοποίηση (Authentication) Παροχή διασφάλισης ότι το χαρακτηριστικό που ισχυρίζεται ότι διαθέτει μία οντότητα, είναι ορθό 31/69

4.2 Βασικές έννοιες (4/10) Εξουσιοδότηση (Authorisation) Άδεια που παρέχεται από έναν ιδιοκτήτη ενός αγαθού, σε κάποια οντότητα, για κάποιο σκοπό Επίθεση (Attack) Προσπάθεια για μη εξουσιοδοτημένη πρόσβαση ή μη εξουσιοδοτημένη χρήση ενός αγαθού, ή καταστροφή, έκθεση, τροποποίηση, κλοπή, απενεργοποίηση ενός αγαθού Γεγονός (Event) Η εκδήλωση ενός συνόλου συγκεκριμένων συνθηκών και καταστάσεων 32/69

4.2 Βασικές έννοιες (5/10) Επικινδυνότητα/κίνδυνος (Risk) Το αποτέλεσμα του συνδυασμού της πιθανότητας εκδήλωσης ενός γεγονότος ασφάλειας και της πρόκλησης των επιπτώσεών του Διαχείριση κινδύνου (Risk management) Οργανωμένες δραστηριότητες για τη διεύθυνση και τον έλεγχο ενός οργανισμού σε σχέση με τον κίνδυνο Περιλαμβάνει τους επιμέρους όρους: risk assessment, risk treatment, risk acceptance, risk communication, risk monitoring, risk review 33/69

4.2 Βασικές έννοιες (6/10) Οδηγία (Guideline) Σύσταση για το τι αναμένεται να γίνει ώστε να επιτευχθεί ένας στόχος Διεργασία (Process) Σύνολο από συσχετιζόμενες ή αλληλεπιδρώσες δραστηριότητες (activities), που μετατρέπουν τα στοιχεία εισόδου σε στοιχεία εξόδου Διαδικασία (Procedure) Ένας προσδιορισμένος τρόπος να διεκπεραιωθεί μία διεργασία ή μία δραστηριότητα 34/69

4.2 Βασικές έννοιες (7/10) Πολιτική (Policy) Μία επίσημα καθορισμένη, από τη διοίκηση του οργανισμού, κατεύθυνση και επιδίωξη Αποτελεσματικότητα (Effectiveness) Βαθμός που υλοποιήθηκαν προγραμματισμένες δραστηριότητες και επιτεύχθηκαν αναμενόμενα αποτελέσματα Απόδοση (Efficiency) Συσχέτιση μεταξύ των αποτελεσμάτων που επιτεύχθηκαν και του βαθμού αξιοποίησης των πόρων που χρησιμοποιήθηκαν 35/69

4.2 Βασικές έννοιες (8/10) Επιχειρησιακή συνέχεια (Business continuity) Το σύνολο των διεργασιών και διαδικασιών για τη διασφάλιση της συνέχισης των επιχειρησιακών λειτουργιών Σύστημα διοίκησης (Management system) Πλαίσιο πολιτικών, διαδικασιών, οδηγιών και συσχετιζόμενων πόρων για την επίτευξη των στόχων του οργανισμού 36/69

4.2 Βασικές έννοιες (9/10) Αντίμετρο ή Έλεγχος ή Μέτρο ασφάλειας (Safeguard ή Control ή Countermeasure) Μέσα διαχείρισης κινδύνου, τα οποία μπορεί να είναι τεχνικά, διοικητικά, οργανωτικά, νομικά Μπορεί να περιλαμβάνει πολιτικές, διαδικασίες, οδηγίες, οργανωσιακές δομές, οργανωσιακές πρακτικές Στόχος ελέγχου (Control objective) Δήλωση στην οποία περιγράφεται ο στόχος που πρέπει να επιτευχθεί ως αποτέλεσμα υλοποίησης αντιμέτρων / ελέγχων / μέτρων ασφάλειας 37/69

4.2 Βασικές έννοιες (10/10) Απομένουσα επικινδυνότητα (Residual risk) Επικινδυνότητα που απομένει μετά την εγκατάσταση των αντιμέτρων / ελέγχων / μέτρων ασφαλείας 38/69

4.3 Η έννοια της Ασφάλειας Αποδίδει στην ελληνική γλώσσα τους αγγλικούς όρους: Security Safety Insurance Assurance 39/69

4.4 Η έννοια της ασφάλειας πληροφοριακού συστήματος Για να κατανοήσουμε την έννοια της ασφάλειας πληροφοριακού συστήματος πρέπει να προσδιορίσουμε την έννοια του πληροφοριακού συστήματος οπότε πρέπει πρώτα να προσδιορίσουμε την έννοια του συστήματος 40/69

4.5 Η έννοια του συστήματος Σύστημα είναι ένας αριθμός αλληλεπιδρώντων στοιχείων, τα οποία έχουν οργανικά συντεθεί σε μία ολότητα, ώστε να εκτελούν μία ορισμένη λειτουργία Άρα: επιμέρους στοιχεία που αλληλεπιδρούν χαρακτηρίζεται από οργάνωση εξετάζεται ως ενιαία ολότητα 41/69

4.6 Η έννοια του πληροφοριακού συστήματος Πληροφοριακό σύστημα είναι ένα οργανωμένο σύνολο από πέντε στοιχεία, τα οποία αλληλεπιδρούν και μεταξύ τους και με το περιβάλλον, με σκοπό την παραγωγή και διαχείριση πληροφορίας, για την υποστήριξη των ανθρώπινων δραστηριοτήτων, στο πλαίσιο ενός οργανισμού Άνθρωποι Λογισμικό Υλικό Διαδικασίες Δεδομένα 42/69

4.7 Σχετικοί όροι Τεχνολογίες Πληροφορικής και Επικοινωνιών (Information and Communication Technologies) ή Τεχνολογική Υποδομή (Information Infrastructure) Συλλογή υπολογιστικού υλικού, λογισμικού, τηλεπικοινωνιακού εξοπλισμού ή άλλων υπολογιστικών εξαρτημάτων που χρησιμοποιείται για τη διαχείριση πληροφοριών Πληροφοριακό Σύστημα = Τεχνολογική Υποδομή + Οργανωσιακό πλαίσιο 43/69

4.8 Ασφάλεια πληροφοριακού συστήματος (1/2) Ασφάλεια πληροφοριακού συστήματος (Information System Security) είναι το οργανωμένο πλαίσιο από έννοιες, αντιλήψεις, αρχές, πολιτικές, διαδικασίες, τεχνικές και μέτρα που απαιτούνται, για να προστατευθούν τα επιμέρους στοιχεία του πληροφοριακού συστήματος, αλλά και το σύστημα ολόκληρο, από κάθε σκόπιμη ή τυχαία απειλή 44/69

4.8 Ασφάλεια πληροφοριακού συστήματος (2/2) Έμφαση στο Π.Σ. ως ολότητα, αλλά και σε όλα τα επιμέρους στοιχεία του Η προστασία αφορά κάθε είδους απειλή, είτε τυχαία, είτε σκόπιμη ΗασφάλειαΠ.Σ. συνδέεται άμεσα, τόσο με τις τεχνικές, τις διαδικασίες και τα διοικητικά μέτρα, όσο και με τις αντιλήψεις, τις αρχές και τις παραδοχές Το πλαίσιο αυτό χαρακτηρίζεται από οργάνωση 45/69

4.9 Ασφάλεια Πληροφοριών και Τεχνολογικής Υποδομής Ασφάλεια Πληροφοριών: Επίτευξη και διατήρηση της ασφάλειας σε σχέση με πληροφορίες ή υπολογιστικά συστήματα διαχείρισης πληροφοριών Ασφάλεια Τεχνολογιών Πληροφορικής και Επικοινωνιών: Επίτευξη και διατήρηση της ασφάλειας των υπολογιστικών πόρων 46/69

4.10 Ασφάλεια (1/4): Κύρια χαρακτηριστικά ιδιότητες - απαιτήσεις Εμπιστευτικότητα (Confidentiality) Η ιδιότητα ότι οι πληροφορίες δεν γίνονται διαθέσιμες και δεν αποκαλύπτονται σε μη εξουσιοδοτημένους χρήστες, οντότητες και διαδικασίες Ακεραιότητα (Integrity) Η ιδιότητα της προστασίας της ορθότητας και της πληρότητας ενός αγαθού και της αποφυγής μη εξουσιοδοτημένης τροποποίησής του Διαθεσιμότητα (Availability) Η ιδιότητα ενός αγαθού να είναι διαθέσιμο προς χρήση όταν ζητείται από μία εξουσιοδοτημένη οντότητα 47/69

4.10 Ασφάλεια (2/4): Κύρια χαρακτηριστικά ιδιότητες - απαιτήσεις Ασφάλεια πληροφορίας (Information security) Η προστασία της εμπιστευτικότητας, της ακεραιότητας και της διαθεσιμότητας μιας πληροφορίας 48/69

4.10 Ασφάλεια (3/4): Κύρια χαρακτηριστικά ιδιότητες - απαιτήσεις Αυθεντικότητα (Authenticity) Η ιδιότητα ότι η ταυτότητα μίας οντότητας (δηλ. χρήστη, διαδικασίας, συστήματος) είναι αυτή που εκείνη έχει ισχυριστεί Λογοδοσία Απόδοση ευθύνης (Accountability) Η υπευθυνότητα μίας οντότητας για τις ενέργειες και αποφάσεις της 49/69

4.10 Ασφάλεια (4/4): Κύρια χαρακτηριστικά ιδιότητες - απαιτήσεις Μη αποποίηση ευθύνης (Non-repudiation) Ηδυνατότητανααποδειχθείότιέναγεγονόςή ενέργεια πραγματικά έλαβε χώρα με συγκεκριμένες εμπλεκόμενες οντότητες, ώστε να μην είναι δυνατόν οτιδήποτε από αυτά να αμφισβητηθεί Αξιοπιστία (Reliability) Ηιδιότηταότιμίαοντότηταέχεισυμπεριφοράκαι αποτελέσματα που είναι συνεπή με τα επιδιωκόμενα 50/69

4.11 Σχετικοί όροι (1/3) Έλεγχος προσπέλασης (Access control) Μέσα για να διασφαλιστεί ότι η πρόσβαση σε αγαθά είναι εξουσιοδοτημένη και περιορίζεται με βάση επιχειρησιακές απαιτήσεις και απαιτήσεις ασφάλειας Συμβάν ασφάλειας πληροφοριών (Information security event) Προσδιορισμένο συμβάν συστήματος, υπηρεσίας ή δικτύου, το οποίο υποδηλώνει πιθανό ρήγμα στην ασφάλεια των πληροφοριών ή την πολιτική, ή αποτυχία μέτρων ασφάλειας, ήμετάβασησεάγνωστη κατάσταση η οποία σχετίζεται με την ασφάλεια 51/69

4.11 Σχετικοί όροι (2/3) Επεισόδιο ασφάλειας πληροφοριών (Information security incident) Συμβάν ασφάλειας πληροφοριών ή σειρά ανεπιθύμητων ή απρόσμενων συμβάντων ασφάλειας πληροφοριών, τα οποία παρουσιάζουν σημαντική πιθανότητα παραβίασης των επιχειρησιακών λειτουργιών και απειλής της ασφάλειας πληροφοριών 52/69

4.11 Σχετικοί όροι (3/3) Σύστημα Διοίκησης Ασφάλειας Πληροφοριών (Information Security Management System ISMS) Τμήμα του συνολικού συστήματος διοίκησης (management system), που αποσκοπεί στην εγκατάσταση, υλοποίηση, λειτουργία, παρακολούθηση και βελτίωση μέτρων ασφάλειας των πληροφοριών 53/69

4.12 Παραδείγματα αγαθών Φυσικά αγαθά Υλικό (hardware) Τηλεπικοινωνιακός εξοπλισμός (communication facilities) Κτήρια Πληροφορίες και Δεδομένα Λογισμικό Άνθρωποι, συμπεριλαμβανομένων των γνώσεων, δεξιοτήτων και εμπειριών τους Υπηρεσίες Άυλα αγαθά Φήμη Δημόσια εικόνα 54/69

4.13 Κατηγορίες απειλών (1/5) Φυσικές απειλές Απειλές τεχνικών βλαβών Ανθρώπινες απειλές Σκόπιμες Τυχαίες 55/69

4.13 Κατηγορίες απειλών (2/5) Παραδείγματα φυσικών απειλών Φωτιά Πλημμύρα Σεισμός... 56/69

4.13 Κατηγορίες απειλών (3/5) Παραδείγματα απειλών τεχνικών βλαβών Διακοπή ηλεκτροδότησης Αστοχία λογισμικού συστήματος και δικτύου Αστοχία λογισμικού εφαρμογών Βλάβη εξυπηρετητή Βλάβη συσκευής δικτύου... 57/69

4.13 Κατηγορίες απειλών (4/5) Παραδείγματα τυχαίων ανθρώπινων απειλών Λάθη χρηστών Εσφαλμένη διαγραφή αρχείων Λάθη χειριστών Λανθασμένη δρομολόγηση Λάθος συντήρησης υλικού ή λογισμικού Εισαγωγή κακόβουλου λογισμικού... 58/69

4.13 Κατηγορίες απειλών (5/5) Παραδείγματα σκόπιμων ανθρώπινων απειλών Πλαστοπροσωπία από εσωτερικούς/εξωτερικούς χρήστες ή παρόχους υπηρεσιών Μη εξουσιοδοτημένη χρήση εφαρμογής Μη εξουσιοδοτημένη τροποποίηση δεδομένων Φιλτράρισμα ή παρεμβολές επικοινωνιών Κλοπή υλικού Ηθελημένη πρόκληση βλάβης - βανδαλισμός... 59/69

4.14 Παραδείγματα ευπαθειών (1/3) Ευπάθειες υλικού Έλλειψη ορθών πρακτικών για απόσυρση υλικού Τήρηση υλικού σε μη εγκεκριμένες συνθήκες (π.χ. θερμοκρασία, σκόνη) Ευπάθειες λογισμικού Παράλειψη αποσύνδεσης χρηστών Έλλειψη τεκμηρίωσης των εφαρμογών 60/69

4.14 Παραδείγματα ευπαθειών (2/3) Ευπάθειες δικτύου Μη κρυπτογραφημένη μετάδοση των εμπιστευτικών πληροφοριών Χρήση μη προστατευόμενων δημόσιων δικτύων Ευπάθειες προσωπικού Έλλειψη δράσεων ενημερότητας ασφάλειας Έλλειψη διαδικασιών ασφάλειας 61/69

4.14 Παραδείγματα ευπαθειών (3/3) Ευπάθειες διοίκησης Έλλειψη τεκμηριωμένων διαδικασιών Έλλειψη διαδικασιών αναθεώρησης πολιτικών (ασφάλειας, ελέγχου πρόσβασης κ.λπ.) Ευπάθειες κτηρίου Τοποθεσία σε περιοχές συχνών φαινομένων πλημμύρας Τοποθεσία σε περιοχή όπου το δίκτυο ηλεκτροδότησης είναι ασταθές 62/69

4.15 Παραδείγματα επιπτώσεων Οικονομική Απώλεια Παρεμπόδιση λειτουργίας Απώλεια καλής φήμης Παραβίαση νομοθεσίας Παρεμπόδιση δικαιοσύνης Προσωπική ασφάλεια 63/69

4.16 Εννοιολογική συσχέτιση: Σενάρια (1/3) Σενάριο 1: Ένα μέτρο προστασίας είναι αποτελεσματικό στη μείωση της επικινδυνότητας που σχετίζεται με μία απειλή, η οποία είναι ικανή να εκμεταλλευτεί μία ευπάθεια Η απειλή μπορεί να πραγματοποιηθεί μόνον εφόσον το αγαθό είναι ευπαθές σε αυτή Σενάριο 2: Ένα μέτρο προστασίας είναι αποτελεσματικό στη μείωση της επικινδυνότητας που σχετίζεται με μία απειλή, η οποία είναι ικανή να εκμεταλλευτεί πολλαπλές ευπάθειες 64/69

4.16 Εννοιολογική συσχέτιση: Σενάρια (2/3) Σενάριο 3: Πολλά μέσα προστασίας είναι αποτελεσματικά στη μείωση της επικινδυνότητας που σχετίζεται με πολλαπλές απειλές, οι οποίες είναι ικανές να εκμεταλλευτούν μία ευπάθεια Μερικές φορές επιλέγονται διαφορετικά μέτρα προστασίας, ώστε να μειωθεί η επικινδυνότητα σε αποδεκτό επίπεδο, οπότε η απομένουσα επικινδυνότητα να είναι αποδεκτή 65/69

4.16 Εννοιολογική συσχέτιση: Σενάρια (3/3) Σενάριο 4: Η επικινδυνότητα κρίνεται αποδεκτή και δεν εφαρμόζονται μέτρα προστασίας, παρά το γεγονός ότι απειλές και ευπάθειες υπάρχουν Σενάριο 5: Μίαευπάθειαυφίσταται, αλλά δεν είναι γνωστή καμία απειλή που να μπορεί να την εκμεταλλευτεί 66/69

4.17 Συσχετίσεις όρων και περιορισμοί 67/69

5. Βιβλιογραφικές αναφορές 68/69

5. Βιβλιογραφικές αναφορές ENISA, Cyber incident reporting in the EU, 2012 Steve Bellovin, A brief history of IT security & architecture (How did we get into this mess?), 2010 http://www.enisa.europa.eu/activities/resilience-and-ciip/incidentsreporting/cyber-incident-reporting-in-the-eu www.iqmtm.com/pdf_presentations/securityarticlebrief5-18- 10.pdf Οι Οδηγίες για την Ασφάλεια Πληροφοριακών Συστημάτων και Δικτύων του ΟΟΣΑ, 2010 http://www.oecd.org/internet/interneteconomy/15582260.pdf ISO/IEC 27000:2009 Information technology Security techniques Information security management systems Overview and vocabulary 69/69