Selecting Essential IT Security Projects. Dimitris Gritzalis

Σχετικά έγγραφα
Organizing the Protection of Critical ICT Infrastructures. Dimitris Gritzalis

Towards a more Secure Cyberspace

Protecting Critical ICT Infrastructures

The Greek Data Protection Act: The IT Professional s Perspective

Legal use of personal data to fight telecom fraud

Secure Cyberspace: New Defense Capabilities

Critical ICT Infrastructures Protection: Trends and Perspectives. Dimitris Gritzalis

From Secure e-computing to Trusted u-computing. Dimitris Gritzalis

Security and Privacy: From Empiricism to Interdisciplinarity. Dimitris Gritzalis

Cyberwar ante portas : The role and importance of national cyber-defense exercises

Security in the Cloud Era

On the way from e- Health to u-health: Is there a real difference? Dimitris Gritzalis

Medical Information Systems Security: Memories from the Future. Dimitris Gritzalis

GDPR και Τεχνικά Μέτρα Ασφάλειας Πληροφοριακών Συστημάτων

Protecting Critical Public Administration ICT Infrastructures. Dimitris Gritzalis

From IT Security to Critical Infrastructure Protection: From the past to the future. Dimitris Gritzalis

From e-health to u-health: A semantic - and not syntactic - change

ΕΛΕΓΧΟΣ ΠΡΟΓΡΑΜΜΑΤΟΣ ΕΠΙΧΕΙΡΗΣΙΑΚΗΣ ΣΥΝΕΧΕΙΑΣ (Auditing Business Continuity Plan & Disaster Recovery Plan)

Ζητήματα Ασφάλειας στο σχεδιασμό Επιχειρησιακής Συνέχειας. Τσώχου Αγγελική

From Information Security to Cyber Defense. Dimitris Gritzalis

Πολιτικές Ασφάλειας Πληροφοριακών Συστημάτων. Σωκράτης Κ. Κάτσικας Τμήμα Μηχ/κών Πληροφοριακών & Επικοινωνιακών Συστημάτων Πανεπιστήμιο Αιγαίου

EU Cyber Security Policy Ευρωπαϊκό δίκαιο προστασίας και ασφάλειας δεδομένων στα επόμενα χρόνια Θοδωρής Κωνσταντακόπουλος

Critical ICT Infrastructure Protection: Overview of the Greek National Status

Digital signatures in practice in Greece: Capabilities and limitations. Dimitrios Lekkas, Dimitris Gritzalis

ISMS κατά ISO Δεκέμβριος 2016

Hacking in Cyberspace

Electronic Voting: Securely and Reliably

ΤΕΧΝΟΛΟΓΙΕΣ & ΑΣΦΑΛΕΙΑ ΠΛΗΡΟΦΟΡΙΩΝ ΙΩΑΝΝΗ Δ. ΙΓΓΛΕΖΑΚΗ

ΕταιρικήΠαρουσίαση ΠΟΛΙΤΙΚΕΣ ΚΑΙ ΔΙΑΔΙΚΑΣΙΕΣ ΔΙΑΧΕΙΡΙΣΗΣ ΑΣΦΑΛΕΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΜΑΪΟΣ 2018

Συνεργασία PRIORITY & INTERAMERICAN:

Κώδικας Δεοντολογίας Επιστημών Πληροφορικής. Αγγελίδης Βασίλειος. Διευθυντής Πληροφορικής, Γενικό Νοσοκομείο Καβάλας

Υπεύθυνος Προστασίας Δεδομένων (Data Protection Officer)

DPO. Data Protection Officer. Διεξαγωγή Εξειδικευμένου Σεμιναρίου. με πιστοποίηση. Υπεύθυνος Προστασίας Δεδομένων.

(Εννοιολογική θεμελίωση)

ΕΠΑΓΓΕΛΜΑΤΙΚΟ ΣΕΜΙΝΑΡΙΟ

Γενικό Νοσοκομείο Καβάλας

Online Social Networks: Posts that can save lives. Dimitris Gritzalis, Sotiria Giannitsari, Dimitris Tsagkarakis, Despina Mentzelioti April 2016

GDPR σε Φορείς και Επιχειρήσεις

Συστήματα Διαχείρισης Κινδύνου στα Ασύρματα Δίκτυα. Επιμέλεια: Βασίλης Παλιούρας MSc Information Security, MCSA, CCDA, CCA

Security & Privacy. Overview

ΠΛΗΡΟΦΟΡΙΑΚΑ ΣΥΣΤΗΜΑΤΑ ΔΙΟΙΚΗΣΗΣ MANAGEMENT INFORMATION SYSTEMS (M.I.S.)

Ασφάλειας στην Πληροφορική και τις Επικοινωνίες

ΠΛΗΡΟΦΟΡΙΑΚΑ ΣΥΣΤΗΜΑΤΑ. Εισαγωγικές Έννοιες

Discussing Security and Privacy Issues in the Age of Surveillance Dimitris Gritzalis

Security and Privacy in the Age of Surveillance. Dimitris Gritzalis

The IT Security Expert Profile

Η Ασφάλεια Πληροφοριών στο χώρο της Εκκαθάρισης των Χρηµατιστηριακών Συναλλαγών

Κεφάλαιο 3 ΛΟΓΙΣΤΙΚΑ ΠΛΗΡΟΦΟΡΙΑΚΑ ΣΥΣΤΗΜΑΤΑ

Προετοιμασία για μια νέα σχέση με την Αρχή Προστασίας Δεδομένων. Κωνσταντίνος Λιμνιώτης. Γεώργιος Ρουσόπουλος

Εκτίμηση κινδύνου και μέτρα ασφαλείας για την προστασία προσωπικών δεδομένων

Ασφάλεια πληροφοριακών συστημάτων στη Ναυτιλία ISO 27001

ΟΛΟΚΛΗΡΩΜΕΝΟ ΠΛΗΡΟΦΟΡΙΑΚΟ ΣΥΣΤΗΜΑ ΠΟΛΙΤΙΚΗΣ ΠΡΟΣΤΑΣΙΑΣ

1.1. Πολιτική Ασφάλειας Πληροφοριών

GDPR Από τη Θεωρία στην Πράξη Μύθοι και Πραγματικότητα Κώστας Παπαχριστοφής (MSc, MBA)

GDPR: Εχθρός (?) προ των πυλών. 18 Απριλίου 2018 Δημήτρης Στασινόπουλος IT Governance Deputy Director

Used to be Information Security - Now is Critical ICT Infrastructure Protection Dimitris Gritzalis

ΤΕΧΝΙΚΗ ΕΚΘΕΣΗ. Θεσσαλονίκη Αρ. Πρωτ.: 1557

ΙΤ Governance & Business Continuity Διακυβέρνηση Πληροφορικής & Επιχειρησιακή συνέχεια

Hackers - Hacking Hacktivism: From Morris to Chiapas. Dimitris Gritzalis

Θέμα : «Παροχή Υπηρεσιών Υποστήριξης για συμμόρφωση με τα διαλαμβανόμενα στον GDPR 2016/679 κανονισμό της Ευρωπαϊκής Ένωσης»

ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΥΓΕΙΑΣ ΕΙΔΙΚΟΣ ΛΟΓΑΡΙΑΣΜΟΣ ΚΟΝΔΥΛΙΩΝ ΕΡΕΥΝΑΣ Λ. Αλεξάνδρας 196, Αθήνα ΠΕΡΙΛΗΨΗ ΠΡΟΣΚΛΗΣΗΣ ΕΚΔΗΛΩΣΗΣ ΕΝΔΙΑΦΕΡΟΝΤΟΣ

ΝΕΟΣ ΕΥΡΩΠΑΪΚΟΣ ΚΑΝΟΝΙΣΜΟΣ ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ (ΚΑΝΟΝΙΣΜΟΣ 679/2016)

Critical Infrastructure Protection: A Roadmap for Greece D. Gritzalis

ΠΡΟΣΚΛΗΣΗ ΕΝΔΙΑΦΕΡΟΝΤΟΣ KAI ΚΑΤΑΘΕΣΗΣ ΠΡΟΣΦΟΡΩΝ ΓΙΑ ΤΗΝ ΑΝΑΘΕΣΗ ΤΟΥ ΕΡΓΟΥ:

ΠΡΟΣ: BLUE VALUE A.E. (ΕΤΑΙΡEΙΑ ΣΥΜΜΕΤΟΧΩΝ & ΕΠΕΝΔΥΣΕΩΝ) ΠΡΟΣΚΛΗΣΗ

Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων (GDPR)

ΕΝΗΜΕΡΩΣΗ. Για περισσότερες πληροφορίες επικοινωνήστε μαζί μας στο

Online Social Networks: Posts that can save lives. Sotiria Giannitsari April 2016

Η παροχή εξειδικευμένων εξωτερικών υπηρεσιών διαχείρισης των απειλών ενάντια στα πληροφοριακά συστήματα του ΟΒΙ.

Ηλεκτρονικός Φάκελος Υγείας Διασφάλιση ποιότητας Εργαλεία πιστοποίησης

Περιεχόµενα. Πληροφοριακά Συστήµατα: Κατηγορίες και Κύκλος Ζωής. Π.Σ. ιαχείρισης Πράξεων. Π.Σ. ιοίκησης. Κατηγορίες Π.Σ. Ο κύκλος ζωής Π.Σ.

National Critical Telecommunication Infrastructure Protection: Towards an Holistic Strategy. PanosKotzanikolaou June 2016

Πολιτική και σχέδιο ασφάλειας αρχείου ασθενών Οδοντιατρικής Σχολής ΕΚΠΑ

ΠΡΟΣΚΛΗΣΗ ΕΚΔΗΛΩΣΗΣ ΕΝΔΙΑΦΕΡΟΝΤΟΣ

Εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων

ΛΟΓΙΣΤΙΚΑ ΠΛΗΡΟΦΟΡΙΑΚΑ ΣΥΣΤΗΜΑΤΑ

ΑΔΑ: Β4ΛΝΧ-ΙΩΕ ΕΛΛΗΝΙΚΗ ΔΗΜΟΚΡΑΤΙΑ

DPO ΓΕΝΙΚΑ. Μια από τις αρχές του GDPR είναι Α. Η λογοδοσία Β. Η ακεραιότητα των δεδομένων Γ. Όλα τα παραπάνω

Ready Business Secure Business

Πλαίσιο Εργασιών. Στρατηγικές Ευκαιρίες

τεχνογνωσία στην πληροφορική

ΚΩΔΙΚΑΣ ΔΕΟΝΤΟΛΟΓΙΑΣ ΓΙΑ ΤΟΝ ΥΠΕΥΘΥΝΟ ΕΠΕΞΕΡΓΑΣΙΑΣ ΚΑΙ ΤΟ ΠΡΟΣΩΠΙΚΟ ΠΟΥ ΕΠΕΞΕΡΓΑΖΕΤΑΙ ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ ΥΓΕΙΑΣ

Security and Civic Disobedience in Cyberspace

ΠΟΛΙΤΙΚΗ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ ΚΑΙ ΔΕΣΜΕΥΣΕΙΣ

ΔΗΜΟΤΙΚΗ ΕΠΙΧΕΙΡΗΣΗ Λάρισα 11/ 05 /2018 ΥΔΡΕΥΣΗΣ & ΑΠΟΧΕΤΕΥΣΗΣ Αρ. πρωτ ΛΑΡΙΣΑΣ (Δ.Ε.Υ.Α.Λ.)

GDPR: Η αντίστροφη μέτρηση έχει αρχίσει! Δ. Στασινόπουλος, MBA Manager IT Governance

Ο ΕΚΑΛΟΓΟΣ...για θέµατα Ασφάλειας Πληροφοριακών Συστηµάτων και Προστασίας Προσωπικών εδοµένων στο Ηλεκτρονικό Επιχειρείν

Προσδιορισμός απαιτήσεων Ασφάλειας (1)

G D P R. General Data Protection Regulation. Άννα Μαστοράκου

"Η ΑΣΦΑΛΕΙΑ ΤΩΝ ΔΕΔΟΜΕΝΩΝ ΣΤΗΝ ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΑΚΥΒΕΡΝΗΣΗ, ΝΟΜΙΚΕΣ ΠΤΥΧΕΣ."

ΕΘΝΙΚΗ ΣΤΡΑΤΗΓΙΚΗ ΚΥΒΕΡΝΟΑΣΦΑΛΕΙΑΣ - ΑΝΑΘΕΩΡΗΣΗ 2 -

Ασφάλιση Σύγχρονων Επιχειρηματικών Κινδύνων GDPR & Cyber Risks

η PRIORITY από το 1995 ανάλυση και βελτίωση επιχειρησιακών διαδικασιών σύμφωνα με κανονιστικό πλαίσιο διεθνή πρότυπα και βέλτιστες πρακτικές

ΕΛΛΗΝΙΚΑ. Πεδίο Έρευνας και Τεχνολογίας. Όνομα Εργαστηρίου Σχολή Ιστορίας. Έρευνα Εργαστηρίου Α/Α

Προετοιμασία για τον Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR) ΝΟΕΜΒΡΙΟΣ 2017

GDPR/ISO GDPR & SECURITY CONSULTING SERVICES By Cosmos Business Systems

Το Ευρωπαϊκό πλαίσιο για το Υπολογιστικό νέφος

Κων/νος Λαμπρινουδάκης Αναπληρωτής Καθηγητής Τμήμα Ψηφιακών Συστημάτων Εργαστήριο Ασφάλειας Συστημάτων Πανεπιστήμιο Πειραιώς

Ανάλυση, Αποτίμηση και Διαχείριση Επικινδυνότητας Π.Σ.

1) Γέρου Βασιλική Διοικητική Διευθύντρια 2) Νικολοπούλου Χαρίκλεια Δ/ντρια Φαρμακείου 3) Τζιάρας Λουκάς ΔΕ Διοικητικών Γραμματέων

Transcript:

Selecting Essential IT Security Projects Dimitris Gritzalis July 2003

Υπουργείο Οικονομίας και Οικονομικών Εργα Πληροφορικής & Επικοινωνιών στο Ε.Π. Κοινωνία της Πληροφορίας Εθνικό Ιδρυμα Ερευνών, Ιούλιος 2003 Πληροφοριών και Υποδομών Δημήτρης Γκρίτζαλης (dgrit@aueb.gr) Αναπληρωτής Καθηγητής Ασφάλειας στην Πληροφορική και τις Επικοινωνίες Τμήμα Πληροφορικής, Οικονομικό Πανεπιστήμιο Αθηνών Η παρουσίαση βασίζεται στη μελέτη Ενσωμάτωση Λειτουργιών Ασφάλειας και Ιδιωτικότητας σε Πληροφοριακά Συστήματα και Εγκαταστάσεις, η οποία χρηματοδοτήθηκε από την Κοινωνία της Πληροφορίας ΑΕ (Γενάρης 2003).

Κοινωνία της Πληροφορίας και Παγκοσμιοποίηση Παγκόσμιος Ανταγωνισμός Επιβίωση Εκπαιδευμένες Ηγεσίες Νέες πηγές εισοδημάτων Ισχυροποιημένο Επιστημονικό Δυναμικό Κοινωνία Πληροφορίας Νέες μορφές ανταγωνισμού Οργανωτικές Δομές Ανταγωνιστικό Πλεονέκτημα Κέρδη, Ροή Κεφαλαίων Παραγωγικότητα Πληροφοριών και Υποδομών 3

Διαπλοκή και αλληλεπίδραση Εθνική Ασφάλεια Οργάνωση και Διοίκηση Προστασία Πληροφοριών και Υποδομών Επιχειρηματική συνδρομή Κρίσιμες Υποδομές Κουλτούρα Πληροφοριών και Υποδομών 4

Ασφάλεια Πληροφοριών Ασφάλεια Πληροφοριών είναι η προστασία και τήρηση της εμπιστευτικότητας, ακεραιότητας και διαθεσιμότητάς τους (ISO/IEC 17799:2000) Οπου: Εμπιστευτικότητα (Confidentiality) είναι η διασφάλιση της προσπέλασης της πληροφορίας μόνο από εξουσιοδοτημένους χρήστες. Ακεραιότητα (Integrity) είναι η διασφάλιση της ακρίβειας και πληρότητας της πληροφορίας και των μεθόδων επεξεργασίας της. Διαθεσιμότητα (Availability) είναι η διασφάλιση της προσπέλασης της πληροφορίας, από εξουσιοδοτημένους χρήστες, στον εύλογα προσδοκώμενο χρόνο. Πληροφοριών και Υποδομών 5

Συνύπαρξη και διαπλοκή παραγόντων Λογισμικό και Υλικό Περιεχόμενο Απειλές Ακεραιότητα Εμπιστευτικότητα Ευπάθειες Διαθεσιμότητα Επικοινωνίες Επιπτώσεις Ανθρωποι και Πολιτικές Πληροφοριών και Υποδομών 6

Η κομβική έννοια της επικινδυνότητας (risk) Απειλές αξιοποιούν Ευπάθειες προστατεύουν από εκθέτουν σε κίνδυνο Eλεγχοι μειώνουν R i s k Αγαθά οδηγούν σε επιφέροντας Προδιαγραφές Ασφάλειας Επιπτώσεις Πληροφοριών και Υποδομών 7

Προστασία Κρίσιμων Υποδομών Προστασία κρίσιμων υποδομών είναι η προστασία των οργανισμών, δικτύων πληροφοριών και επικοινωνιών και δικτύων διανομής, τα οποία διασφαλίζουν τη διαρκή διανομή των αγαθών και των υπηρεσιών που είναι απαραίτητες για την εθνική άμυνα, οικονομία, δημόσια υγεία και ευμάρεια και ασφάλεια των πολιτών. Τομείς: Γεωργία, Διατροφή, Υδρευση, Δημόσια Υγεία, Επείγουσες Υπηρεσίες, Δημόσια Διοίκηση, Εθνική Αμυνα, Πληροφορική, Ενέργεια, Μεταφορές, Επικοινωνίες, Χρηματοοικονομικά, Χημική Βιομηχανία, Ταχυδρομεία. Πεδίο αναφοράς: Κυβερνοχώρος. Πληροφοριών και Υποδομών 8

Παράδειγμα Οργάνωσης της Προστασίας Κρίσιμων Υποδομών Υπουργείο Ασφάλειας FBI NIPC Πρόεδρος ΗΠΑ Υπουργεία και Ομοσπονδιακές Υπηρεσίες CIAO Συμβουλευτικές Επιτροπές PCIS Υπηρεσίες Εφαρμογής του Νόμου Τοπική και Περιφερειακή Διοίκηση Ιδιωτικοί Οργανισμοί Κρίσιμων Υποδομών Πληροφοριών και Υποδομών 9

Κομβικοί τομείς παρέμβασης για την Ασφάλεια Πληροφοριών και Υποδομών Προστασία Ιδιωτικότητας Αποτίμηση Επικινδυνότητας Σχέδιο (Πολιτική & Μέτρα) Ασφάλειας Συνέχιση Δραστηριοτήτων Πιστοποίηση Ασφάλειας Ανάκαμψη από καταστροφή Ασφάλεια Προσωπικού Αντιμετώπιση Περιστατικών Ασφάλεια Εγκαταστάσεων Πληροφοριών και Υποδομών 10

Προτεραιότητα υλοποίησης Κομβικά έργα Ασφάλειας Πληροφοριών και Υποδομών Σχετική επιρροή του έργου στο σύνολο της παρέμβασης 1. Αποτίμηση Επικινδυνότητας και Πολιτική Ασφάλειας 2α. Μέτρα Ασφάλειας 2β. Προστασία Προσωπικών Δεδομένων 3α. Σχέδιο Συνέχισης Δραστηριοτήτων 3β. Σχέδιο Αντιμετώπισης Περιστατικών 3γ. Σχέδιο Ανάκαμψης από Καταστροφή 4. Πιστοποίηση Ασφάλειας Πληροφοριών και Υποδομών 11

Αποτίμηση Επικινδυνότητας και Πολιτική Ασφάλειας (Risk Assessment and Security Policy) Πρωταρχικό έργο ασφάλειας για κάθε ΠΣ ή εγκατάσταση. Αποτιμά την επικινδυνότητα ενός ΠΣ ή μιας εγκατάστασης, με βάση τις αδυναμίες και τις ευπάθειές τους, καθώς και τις επιπτώσεις και τις συνέπειες που θα υποστούν από ένα περιστατικό ανασφάλειας. Περιγράφει τα τεχνικά και οργανωτικά μέτρα που είναι αναγκαία για την επαρκή ασφάλεια του ΠΣ ή της εγκατάστασης. Παρέχει ένα επεξεργασμένο προσχέδιο πολιτικής ασφάλειας ε- νός ΠΣ ή μιας εγκατάστασης. Είναι υποχρεωτική από το νόμο, τουλάχιστον για την επεξεργασία ευαίσθητων δεδομένων. Πληροφοριών και Υποδομών 12

(Τεχνικά) Μέτρα Ασφάλειας Αναγκαία συμπλήρωση της αποτίμησης επικινδυνότητας. Υλοποιεί τα τεχνικά μέτρα ασφάλειας που υποδείχθηκαν από την αποτίμηση επικινδυνότητας. Διασυνδέει τα τεχνικά μέτρα ασφάλειας με τα οργανωτικά μέτρα ασφάλειας τα οποία υλοποιεί ο κάτοχος του ΠΣ ή της ε- γκατάστασης. Επιδεικνύει την αποτελεσματικότητα και την ορθότητα των μέτρων αυτών. Για λόγους αξιοπιστίας, αλλά και δεοντολογίας, ο υλοποιητής των τεχνικών μέτρων ασφάλειας δεν πρέπει να είναι ο ίδιος με τον αποτιμητή επικινδυνότητας. Πληροφοριών και Υποδομών 13

Προστασία Προσωπικών Δεδομένων και Iδιωτικότητα (Personal Data Protection and Privacy) Ειδικό έργο για την προάσπιση της ιδωτικότητας και την καλλιέργεια μιας γόνιμης παιδείας ασφάλειας (security culture). Αφορά ειδικά και μόνον τα ΠΣ που επεξεργάζονται προσωπικά δεδομένα. Εντοπίζει τις παρεμβάσεις που είναι αναγκαίες για την προσαρμογή της λειτουργίας του ΠΣ (και της εγκατάστασης) στις α- παιτήσεις των Νόμων 2472/97 και 2774/99. Περιγράφει τη διαδικασία βηματικής προσαρμογής του ΠΣ ή της εγκατάστασης στις απαιτήσεις των ως άνω νόμων. Υλοποιεί ορισμένα τμήματα της προσαρμογής αυτής. Πληροφοριών και Υποδομών 14

Σχέδιο Συνέχισης Δραστηριοτήτων (Business Continuity Plan, BCP) Υποδεικνύει τις ενέργειες που πρέπει να γίνουν για τη συνέχιση της λειτουργίας ενός ΠΣ ή μιας εγκατάστασης, μετά από μια σημαντική ζημιά ή καταστροφή. Περιλαμβάνει ενέργειες προετοιμασίας και εφαρμογής των α- ναγκαίων διαδικασιών, με βάση προκαθορισμένους στόχους, οργανωτικά σχήματα, προμήθειες εξοπλισμού, συμφωνίες χρήσης εναλλακτικών πόρων κλπ. Θα μπορούσε να θεωρηθεί ως υπερσύνολο όλων των έργων α- σφάλειας, αλλά τότε θα γινόταν πολύπλοκο και δαπανηρό, άρα μη ελκυστικό για τη μέση διοίκηση. Πληροφοριών και Υποδομών 15

Σχέδιο Αντιμετώπισης Περιστατικών (Incident Handling) Αποτιμά τις συνέπειες που μπορεί να έχει στο ΠΣ ή στην ε- γκατάσταση ένα έκτακτο ανεπιθύμητο περιστατικό ή ένα α- πρόοπτο συμβάν, μη καταστροφικου χαρακτήρα. Υποδεικνύει συστηματκά τις ενέργειες που πρέπει να γίνουν για την αντιμετώπιση τέτοιων περιστατικών. Αναφέρεται σε προετοιμασία υποδομών, διαδικασιών, προμήθεια ειδικού εξοπλισμού, καθώς και σε θέσπιση σχετικών συμφωνιών. Προτείνει το οργανωτικό σχήμα που είναι απαραίτητο για την εφαρμογή του σχεδίου και για την αποτύπωση και μελέτη των σχετικών περιστατικών. Πληροφοριών και Υποδομών 16

Σχέδιο Ανάκαμψης από Καταστροφή (Disaster Recovery) Αποτιμά τις συνέπειες που μπορεί να έχει στο ΠΣ ή στην εγκατάσταση ένα ενδεχόμενο μείζον-καταστρεπτικό συμβάν. Υποδεικνύει συστηματικά τις ενέργειες που πρέπει να γίνουν για την αντιμετώπιση τέτοιων περιστατικών. Αναφέρεται σε προετοιμασία υποδομών, διαδικασιών, προμήθεια ειδικού εξοπλισμού, καθώς και σε θέσπιση σχετικών συμφωνιών. Προτείνει το οργανωτικό σχήμα που είναι απαραίτητο για την εφαρμογή του σχεδίου. Πληροφοριών και Υποδομών 17

Πιστοποίηση Ασφάλειας (Security Certification) Αποτελεί έργο τεχνικο-οργανωτικής ωριμότητας και συνίσταται προς εφαρμογή κυρίως σε ΠΣ ή εγκαταστάσεις που (πρέπει να) παρέχουν επαρκή ή υψηλή ασφάλεια. Επιβεβαιώνει ότι ένα ΠΣ ή μια εγκατάσταση πληροί τις προϋποθέσεις που θέτει ένα πρότυπο ασφάλειας. Η επιλογή του προτύπου δεν είναι μονοσήμαντη, ενώ ενδέχεται να προκαλέσει μη αμελητέα οργανωτική-γραφειοκρατική όξυνση. Ο ανάδοχος θα πρέπει να διαθέτει και ο ίδιος επαρκή εμπειρία και κατάλληλη πιστοποίηση και η αγορά να παρέχει λύσεις. Πληροφοριών και Υποδομών 18

Σ υ ν ο ψ ί ζ ο ν τ α ς... Η ασφάλεια πληροφοριών και υποδομών μπορεί να στηριχθεί σε ορισμένα κομβικά έργα, εφόσον αυτά διασφαλίζουν συνεκτικότητα, ολοκληρωσιμότητα και διαλειτουργικότητα. Το σχέδιο δράσης που σκιαγραφήθηκε: α) Ικανοποιεί τις προϋποθέσεις αυτές. β) Είναι συμβατό με τις διαδικασίες προκήρυξης έργων ΤΠΕ. γ) Προωθεί το συγκερασμό ασφάλειας και ιδιωτικότητας. δ) Εχει ιδιαίτερα ελκυστικό δείκτη κόστους-ωφέλειας. Το σχέδιο δίνει απαντήσεις τόσο σε περιπτώσεις που υπάρχει σοβαρή έλλειψη ασφάλειας, όσο και σε παρεμβάσεις με επείγοντα χαρακτήρα και στενά χρονικά περιθώρια υλοποίησης. Πληροφοριών και Υποδομών 19

References 1. Denault M., Gritzalis D., Karagiannis D., Spirakis P., "Intrusion detection: Evaluation and performance issues of the SECURENET system", Computers & Security, Vol. 13, No. 6, pp. 495-508, 1994. 2. Gritzalis D., Secure Electronic Voting, Springer, USA 2003. 3. Gritzalis D., Principles and requirements for a secure e-voting system, Computers & Security, Vol. 21, No. 6, pp. 539-556, 2002. 4. Gritzalis D., A baseline security policy for distributed healthcare information systems, Computers & Security, Vol. 16, No. 8, pp. 709-719, 1997. 5. Gritzalis D., "Enhancing security and supporting interoperability in healthcare information systems", Medical Informatics, Vol. 23, No. 4, pp. 309-324, 1998. 6. Gritzalis S., Iliadis J., Gritzalis D., Spinellis D., Katsikas S., "Developing secure web-based medical applications", Medical Informatics, Vol. 24, No. 1, pp. 75-90, 1999. 7. Gritzalis S., Gritzalis D., Moulinos K., Iliadis J., "An integrated architecture for deploying a vir tual private medical network over the web", Medical Informatics Journal, Vol. 26, No.1, pp. 49-72, 2001. 8. Katsikas S., Spyrou T., Gritzalis D., Darzentas J., "Model for network behaviour under viral attack", Computer Communications, Vol. 19, No. 2, pp. 124-132, 1996. 9. Spinellis D., Gritzalis D., "PANOPTIS: Intrusion detection using process accounting records", Journal of Computer Security, Vol. 10, No. 2, pp. 159-176, 2002. 10. Spinellis D., Gritzalis S., Iliadis J., Gritzalis D., Katsikas S., "Trusted Third Party services for deploying secure telemedical applications over the WWW", Computers & Security, Vol. 18, No. 7, pp. 627-639, 1999.

2024 © DocPlayer.gr Πολιτική Απορρήτου | Όροι Χρήσης | Σχόλια