ΡΑΣΤΗΡΙΟΤΗΤΕΣ Ενότητα: Υποενότητα: Ασφάλεια & Ηλεκτρονική ιακυβέρνηση Y1 - ιεθνή πρότυπα ασφάλειας Το εκπαιδευτικό υλικό υπάγεται σε Άδεια Χρήσης Creative Commons Αναφορά Μη-Εµπορική Χρήση Όχι Παράγωγο Έργο v. 3.0 Λίστα ραστηριοτήτων Κωδικός Τίτλος Επίπεδο Y1. 1 Προσδιορισµός εύρους Συστήµατος ιαχείρισης Ασφάλειας Πληροφοριών L2 Μέτρια Y1. 2 Σχεδιασµός Βασικών Στοιχείων Πολιτικής Ασφάλειας Πληροφοριακού Συστήµατος L3 ύσκολη Ταξινόµηση ραστηριοτήτων L1 - Εύκολες L2 - Μέτριες L3 - ύσκολες Κωδικός Τίτλος Κωδικός Τίτλος Κωδικός Τίτλος Y1. 1 Προσδιορισµός εύρους Συστήµατος ιαχείρισης Ασφάλειας Πληροφοριών Y1. 2 Σχεδιασµός Βασικών Στοιχείων Πολιτικής Ασφάλειας Πληροφοριακού Συστήµατος σελ. 1 από 7
ραστηριότητα : Y1. 1 Προσδιορισµός εύρους Συστήµατος ιαχείρισης Ασφάλειας Πληροφοριών Επίπεδο : L2 Μέτρια (διάρκεια: 25 λεπτά) Σύντοµη Περιγραφή Συµµόρφωση µε υποσύνολο των οδηγιών του προτύπου ISO 27001:2005 για το σχεδιασµό ενός Συστήµατος ιαχείρισης Ασφάλειας Πληροφοριών. Στόχοι ραστηριότητας Η δραστηριότητα αυτή στοχεύει στην βαθύτερη κατανόηση των οδηγιών του προτύπου ISO 27001:2005. Στη συγκεκριµένη δραστηριότητα θα επιχειρήσετε να εφαρµόσετε ένα υποσύνολο οδηγιών του προτύπου σε ένα εικονικό πληροφοριακό σύστηµα. Απαιτούµενη Υποδοµή Οδηγίες Για την υλοποίηση της δραστηριότητας απαιτείται: 1) Το παρακάτω απόσπασµα από το πρότυπο ISO 27001:2005: Προσδιορίστε το εύρος και τα όρια του Συστήµατος ιαχείρισης Ασφάλειας Πληροφοριών σε σχέση µε την επιχείρηση/οργανισµό, το είδος της επιχείρησης, την τοποθεσία, τις υποδοµές, το υλικό, τα δεδοµένα και το λογισµικό. Τεκµηριώστε οποιεσδήποτε εξαιρέσεις από το εύρος του Συστήµατος. 2) Χρήση Η/Υ Σενάριο Έστω ο δηµόσιος φορέας ασφάλισης ΦΑ ο οποίος στεγάζεται κεντρικά στην Αθήνα, Πανεπιστηµίου 34. Ο ΦΑ διατηρεί γραφεία σε όλη τη χώρα και συγκεκριµένα, 180 γραφεία εξυπηρέτησης σε όλη την Ελλάδα. Ο ΦΑ παρέχει ασφαλιστική κάλυψη σε εργαζόµενους έναντι κινδύνων που περιλαµβάνουν τη µητρότητα, τα οικογενειακά βάρη, την ασθένεια, το γήρας, την αναπηρία, το θάνατο, το εργατικό ατύχηµα και την επαγγελµατική ασθένεια. Ο ΦΑ παρέχει επίσης στους δικαιούχους του ένα σύνολο κοινωνικών παροχών, όπως επιδόµατα στέγασης, σελ. 2 από 7
κοινωνικού τουρισµού και αναψυχής τα οποία χορηγούνται µέσω των αρµόδιων οργανισµών. Στα πλαίσια της βελτίωσης της λειτουργίας του ο ΦΑ σχεδιάζει την εγκατάσταση ενός νέου πληροφοριακού συστήµατος το οποίο θα περιλαµβάνει κεντρικό εξοπλισµό που θα εγκατασταθεί στο data center στο κεντρικό κτίριο του οργανισµού, ενώ τα γραφεία εξυπηρέτησης θα συνδέονται δικτυακά. Ο κεντρικός εξοπλισµός του νέου πληροφοριακού συστήµατος περιλαµβάνει ένα εξυπηρετητή δικτύου, ένα εξυπηρετητή εφαρµογών, ένα εξυπηρετητή βάσεων δεδοµένων, µία συστοιχία δίσκων αποθήκευσης και ένα τείχος προστασίας. Ο εξοπλισµός που θα εγκατασταθεί στα γραφεία εξυπηρέτησης περιλαµβάνει 2 σταθµούς εργασίας και ένα εκτυπωτή, ανά γραφείο. Οι υπάλληλοι των γραφείων θα αποκτούν πρόσβαση στις εφαρµογές οικονοµικής διαχείρισης, διαχείρισης ασφαλιστικών παροχών, διαχείρισης ασφαλισµένων και πρωτοκόλλου µέσω της δικτυακής σύνδεσης µε τον κεντρικό εξοπλισµό. Ανάλυση ραστηριότητας Βήµα 1: Προετοιµασία εντύπου καταγραφής του εύρους και των ορίων του Συστήµατος ιαχείρισης Ασφάλειας Πληροφοριών (Σ ΑΠ) 1.1 Ανοίξτε ένα νέο έγγραφο κειµένου (word document) στον υπολογιστή σας. 1.2 Επιλέξτε από τη γραµµή εργαλείων Εισαγωγή και στη συνέχεια Πίνακα. 1.3 Επιλέξτε τη σχεδίαση του πίνακα µε οκτώ γραµµές και δύο στήλες. 1.4 Εισάγετε στην πρώτη γραµµή του τίτλους για την πρώτη στήλη Στοιχεία του Σ ΑΠ και για τη δεύτερη στήλη Περιγραφή. Βήµα 2: Συµπλήρωση του εντύπου καταγραφής µε βάση το απόσπασµα από το πρότυπο 2.1 Αναγνωρίστε από το απόσπασµα του προτύπου τα στοιχεία του Σ ΑΠ που πρέπει να καταγραφούν, άρα τα επτά στοιχεία: επιχείρηση/οργανισµό είδος της επιχείρησης τοποθεσία υποδοµές υλικό δεδοµένα λογισµικό 2.2 Εισάγετε στην πρώτη στήλη και σε όλες τις επιµέρους γραµµές τα επτά στοιχεία. σελ. 3 από 7
Βήµα 3: Συµπλήρωση του εντύπου καταγραφής µε βάση το σενάριο 3.1 Αναγνωρίστε από το σενάριο τα στοιχεία του Σ ΑΠ που πρέπει να καταγραφούν, άρα τα επτά στοιχεία του εν λόγω συστήµατος. 3.2 Συµπληρώστε στη δεύτερη στήλη, στη δεύτερη γραµµή που αναφέρεται ως επιχείρηση/οργανισµό: δηµόσιος φορέας ασφάλισης ΦΑ. 3.3 Συµπληρώστε στη δεύτερη στήλη, στη τρίτη γραµµή που αναφέρεται ως είδος της επιχείρησης: πάροχος ασφαλιστικών υπηρεσιών. 3.4 Συµπληρώστε στη δεύτερη στήλη, στην τέταρτη γραµµή που αναφέρεται ως τοποθεσία: Αθήνα, Πανεπιστηµίου 34. 3.5 Συµπληρώστε στη δεύτερη στήλη, στην πέµπτη γραµµή που αναφέρεται ως υποδοµές: Data center, Αθήνα, Πανεπιστηµίου 34. 3.6 Συµπληρώστε στη δεύτερη στήλη, στην έκτη γραµµή που αναφέρεται ως υλικό: ένας εξυπηρετητής δικτύου, ένας εξυπηρετητής εφαρµογών, ένας εξυπηρετητής βάσεων δεδοµένων, µία συστοιχία δίσκων αποθήκευσης, µία συσκευή τείχους προστασίας, 360 σταθµοί εργασίας, 180 εκτυπωτές 3.7 Συµπληρώστε στη δεύτερη στήλη, στην έβδοµη γραµµή που αναφέρεται ως δεδοµένα: δεδοµένα ασφαλισµένων, οικονοµικά δεδοµένα, δεδοµένα πρωτοκόλλου 3.8 Συµπληρώστε στη δεύτερη στήλη, στην όγδοη γραµµή που αναφέρεται ως λογισµικό: εφαρµογή οικονοµικής διαχείρισης, εφαρµογή διαχείρισης ασφαλιστικών παροχών, εφαρµογή διαχείρισης ασφαλισµένων και εφαρµογή πρωτοκόλλου σελ. 4 από 7
ραστηριότητα : Y1. 2 Σχεδιασµός Βασικών Στοιχείων Πολιτικής Ασφάλειας Πληροφοριακού Συστήµατος Επίπεδο : L3 ύσκολη (διάρκεια: 35 λεπτά) Σύντοµη Περιγραφή Συµµόρφωση µε υποσύνολο των οδηγιών του προτύπου ISO 27002:2005 για το σχεδιασµό µιας Πολιτικής Ασφάλειας Πληροφοριακού Συστήµατος. Στόχοι ραστηριότητας Η δραστηριότητα αυτή στοχεύει στην βαθύτερη κατανόηση των οδηγιών του προτύπου ISO 27002:2005. Στη συγκεκριµένη δραστηριότητα θα επιχειρήσετε να εφαρµόσετε ένα υποσύνολο οδηγιών του προτύπου σε ένα εικονικό πληροφοριακό σύστηµα. Απαιτούµενη Υποδοµή Οδηγίες Για την υλοποίηση της δραστηριότητας απαιτείται 1) Το παρακάτω απόσπασµα από το πρότυπο ISO 27002:2005: Μέτρο ασφάλειας: Μία τεκµηριωµένη πολιτική ασφάλειας πρέπει να εγκριθεί από τη ιοίκηση και να δηµοσιοποιηθεί σε όλο το προσωπικό και τους σχετικούς εξωτερικούς φορείς. Οδηγίες Υλοποίησης: Η Πολιτική Ασφάλειας πρέπει να περιλαµβάνει τουλάχιστον τα παρακάτω στοιχεία: Έναν ορισµό της ασφάλειας πληροφοριών και των στόχων της Μία δήλωση της πρόθεσης υποστήριξης της ιοίκησης των στόχων και αρχών της ασφάλειας πληροφοριών Ένα πλαίσιο για την επιλογή µέτρων ασφάλειας, συµπεριλαµβανοµένων της ανάλυσης και διαχείρισης επικινδυνότητας Σύντοµη περιγραφή των απαιτήσεων ασφάλειας, όπως νοµικών απαιτήσεων, απαιτήσεων ενηµερότητας, κατάρτισης και εκπαίδευσης ασφάλειας, απαιτήσεις επιχειρησιακής συνέχειας Μία περιγραφή των γενικών ρόλων και αρµοδιοτήτων για τη διαχείριση ασφάλειας πληροφοριών σελ. 5 από 7
Τυχόν αναφορές σε άλλα σχετικά επιχειρησιακά έγγραφα. 2) Χρήση Η/Υ Σενάριο Έστω ο δηµόσιος φορέας ασφάλισης ΦΑ ο οποίος στεγάζεται κεντρικά στην Αθήνα, Πανεπιστηµίου 34. Ο ΦΑ διατηρεί γραφεία σε όλη τη χώρα και συγκεκριµένα, 180 γραφεία εξυπηρέτησης σε όλη την Ελλάδα. Ο ΦΑ παρέχει ασφαλιστική κάλυψη σε εργαζόµενους έναντι κινδύνων που περιλαµβάνουν τη µητρότητα, τα οικογενειακά βάρη, την ασθένεια, το γήρας, την αναπηρία, το θάνατο, το εργατικό ατύχηµα και την επαγγελµατική ασθένεια. Ο ΦΑ παρέχει επίσης στους δικαιούχους του ένα σύνολο κοινωνικών παροχών, όπως επιδόµατα στέγασης, κοινωνικού τουρισµού και αναψυχής τα οποία χορηγούνται µέσω των αρµόδιών οργανισµών. Στα πλαίσια της βελτίωσης της λειτουργίας του ο ΦΑ σχεδιάζει την εγκατάσταση ενός νέου πληροφοριακού συστήµατος το οποίο θα περιλαµβάνει κεντρικό εξοπλισµό που θα εγκατασταθεί στο data center στο κεντρικό κτίριο του οργανισµού, ενώ τα γραφεία εξυπηρέτησης θα συνδέονται δικτυακά. Ο κεντρικός εξοπλισµός του νέου πληροφοριακού συστήµατος περιλαµβάνει ένα εξυπηρετητή δικτύου, ένα εξυπηρετητή εφαρµογών, ένα εξυπηρετητή βάσεων δεδοµένων, µία συστοιχία δίσκων αποθήκευσης, και ένα τείχος προστασίας. Ο εξοπλισµός που θα εγκατασταθεί στα γραφεία εξυπηρέτησης περιλαµβάνει 2 σταθµούς εργασίας και ένα εκτυπωτή, ανά γραφείο. Οι υπάλληλοι των γραφείων θα αποκτούν πρόσβαση στις εφαρµογές οικονοµικής διαχείρισης, διαχείρισης ασφαλιστικών παροχών, διαχείρισης ασφαλισµένων και πρωτοκόλλου µέσω της δικτυακής σύνδεσης µε τον κεντρικό εξοπλισµό. Ανάλυση ραστηριότητας Βήµα 1: Προετοιµασία εγγράφου Πολιτικής Ασφάλειας 1.1 Ανοίξτε ένα νέο έγγραφο κειµένου (word document) στον υπολογιστή σας. 1.2 Καταγράψτε τις ενότητες: 1.2.1 Ορισµός της ασφάλειας πληροφοριών και των στόχων της 1.2.2 ήλωση της πρόθεσης υποστήριξης της ιοίκησης των στόχων και αρχών της ασφάλειας πληροφοριών 1.2.3 Πλαίσιο για την επιλογή µέτρων ασφάλειας, συµπεριλαµβανοµένων της ανάλυσης και διαχείρισης επικινδυνότητας 1.2.4 Απαιτήσεις ασφάλειας 1.2.5 Ρόλοι και αρµοδιότητες για τη διαχείριση ασφάλειας πληροφοριών σελ. 6 από 7
Βήµα 2: Συµπλήρωση βασικών στοιχείων Πολιτικής Ασφάλειας 2.1 Συµπληρώστε τον ορισµό της ασφάλειας πληροφοριών και των στόχων της: «Η ασφάλεια πληροφοριών ορίζεται ως η διατήρηση της ακεραιότητας, εµπιστευτικότητας και διαθεσιµότητας των πληροφοριών. Στόχος της ασφάλειας πληροφοριών είναι η προστασία των αγαθών του πληροφοριακού συστήµατος από απειλές που µπορεί να προκαλέσουν ζηµία και η αδιάλειπτη και αποτελεσµατική λειτουργία του Πληροφοριακού Συστήµατος». 2.2 Συµπληρώστε τη δήλωση της πρόθεσης υποστήριξης της ιοίκησης των στόχων και αρχών της ασφάλειας πληροφοριών: «Ο ΦΑ αποδίδει υψηλή προτεραιότητα στην ασφάλεια του Πληροφοριακού Συστήµατος. Η Πολιτική Ασφάλειας του Πληροφοριακού Συστήµατος του ΦΑ αντανακλά την πρόθεση της ιοίκησης του ΦΑ να προστατέψει την πληροφοριακή του υποδοµή και τις συναφείς εγκαταστάσεις που σχετίζονται µε το Πληροφοριακό Σύστηµα». 2.3 Συµπληρώστε το πλαίσιο για την επιλογή µέτρων ασφάλειας: «Τα µέτρα ασφάλειας επιλέγονται για την προστασία του Πληροφοριακού Συστήµατος του ΦΑ ώστε να ικανοποιούν συγκεκριµένους στόχους ασφάλειας όπως έχουν καθοριστεί από την ανάλυση επικινδυνότητας». 2.4 Συµπληρώστε τις απαιτήσεις ασφάλειας: Νοµικές απαιτήσεις: «Το Πληροφοριακό Σύστηµα του ΦΑ διαχειρίζεται προσωπικά δεδοµένα και ευαίσθητα προσωπικά δεδοµένα και εποµένως συµµορφώνεται µε τη νοµοθεσία που αφορά την προστασία προσωπικών δεδοµένων (Νόµος 2472/97 όπως έχει τροποποιηθεί και ισχύει)». Απαιτήσεις ενηµερότητας, κατάρτισης και εκπαίδευσης: «Η ιοίκηση του ΦΑ µεριµνά για την περιοδική πραγµατοποίηση πρωτοβουλιών ενηµερότητας, κατάρτισης και εκπαίδευσης ασφάλειας». Απαιτήσεις επιχειρησιακής συνέχειας: «Ο ΦΑ καταρτίζει και εφαρµόζει Σχέδιο Συνέχισης Λειτουργίας που αποσκοπεί στην αποκατάσταση της λειτουργίας του Πληροφοριακού Συστήµατος σε περίπτωση περιστατικών που διακόπτουν ή παρακωλύουν τη λειτουργία του». 2.5 Συµπληρώστε γενικούς ρόλους και αρµοδιότητες για τη διαχείριση της ασφάλειας πληροφοριών: «Η ιοίκηση του ΦΑ ορίζει τους ρόλους που είναι απαραίτητοι για τη διαχείριση της ασφάλειας του Πληροφοριακού Συστήµατος και τις αρµοδιότητες που αντιστοιχούν σε κάθε ρόλο και αναθέτει τους ρόλους αυτούς σε συγκεκριµένα πρόσωπα, όπως υπεύθυνος ασφάλειας Πληροφοριακού Συστήµατος και υπεύθυνος επεξεργασίας προσωπικών δεδοµένων». σελ. 7 από 7