ΑΥΑΛΕΙΑ ΔΕΔΟΜΕΝΩΝ ΣΗΝ ΚΟΙΝΩΝΙΑ ΣΗ ΠΛΗΡΟΥΟΡΙΑ (Εννοιολογική θεμελίωση) Καλλονιάτης Χρήστος Λέκτορας Τμήμα Πολιτισμικής Τεχνολογίας και Επικοινωνίας, Πανεπιστήμιο Αιγαίου http://www.aegean.gr/culturaltec/kalloniatis
Υπάρχει πρόβλημα; Πρωτογενής όρος Απόδοση Security = Ασφάλεια Safety = Ασφάλεια Insurance = Ασφάλεια Assurance = Ασφάλεια (;) Και αυτό δεν ισχύει μόνο στην Ελληνική γλώσσα... Πληροφορίας (Εννοιολογική θεμελίωση) 2
Βασική ομάδα όρων 1(3) Αγαθό (asset) ονομάζεται ένας πόρος που αξίζει να προστατευθεί. Ζημιά (harm) ονομάζεται ο περιορισμός της αξίας ενός αγαθού. Κίνδυνος (danger) ονομάζεται το ενδεχόμενο ένα αγαθό να υποστεί ζημιά. Ιδιοκτήτης ή χρήστης (owner/user) ενός αγαθού ονομάζεται το φυσικό ή νομικό πρόσωπο που κατέχει ή χρησιμοποιεί νομίμως - αντίστοιχα - το αγαθό αυτό. Πληροφορίας (Εννοιολογική θεμελίωση) 3
Βασική ομάδα όρων 2(3) Μέσο προστασίας (safeguard) ονομάζεται το σύνολο των ενεργειών στις οποίες μπορεί να προβεί ο ιδιοκτήτης ή ο χρήστης ενός αγαθού, προκειμένου να περιορίσει τον κίνδυνο να υποστεί ζημιά το αγαθό αυτό. Κόστος (cost) ονομάζεται η οικονομική ή άλλη επιβάρυνση που προκύπτει από τη χρήση ενός μέσου προστασίας. τόχος της ασφάλειας (infosec goal) ονομάζεται ο αντικειμενικός σκοπός του ιδιοκτήτη ή χρήστη ενός αγαθού, όταν καθορίζει την επιθυμητή ισορροπία μεταξύ του κόστους και της ζημιάς που ενδέχεται να υποστεί το αγαθό αυτό εξαιτίας κάποιου κινδύνου. Πληροφορίας (Εννοιολογική θεμελίωση) 4
Βασική ομάδα όρων 3(3) Εξασφάλιση (assurance) ονομάζεται η βεβαιότητα ότι οι στόχοι της ασφάλειας επιτεύχθηκαν, ως αποτέλεσμα των μέσων προστασίας που υιοθετήθηκαν. Ιδιότητα (attribute) ονομάζεται το συγκεκριμένο χαρακτηριστικό ενός αγαθού, το οποίο πρέπει να προστατευθεί. Πληροφορίας (Εννοιολογική θεμελίωση) 5
Βασική ομάδα: Λειτουργική σύνδεση ΕΞΑΦΑΛΙΗ απαιηούν όηι ηα καθοπίζοςν ΙΔΙΟΚΣΗΣΕ/Υ ΡΗΣΕ έσοςν ΜΕΑ ΠΡΟΣΑΙΑ ΣΟΥΟΤ καηαγπάθοςν ΑΓΑΘΑ Θα πεηύσοςν ηοςρ Για πποζηαζία ΙΔΙΟΣΗΣΕ έσοςν εξοςδεηεπώνοςν ΚΙΝΔΤΝΟΤ Εκηίθενηαι ζε Πληροφορίας (Εννοιολογική θεμελίωση) 6
Περιγραφές όρων με πρωτογενή την έννοια Αξία 1(4) Δεδομένα (data) είναι ένα σύνολο από σύμβολα που έχουν καταγραφεί. Πληροφορία (information) ονομάζονται τα δεδομένα τα οποία συνοδεύονται από τη σημασία (έννοιά) τους Τπολογιστικό συγκρότημα (ΙΤ assembly) ονομάζεται ένα σύνολο λογισμικού και υλικού ή τηλεπικοινωνιακού ή άλλου σχετικού εξοπλισμού, το οποίο χρησιμοποιείται προκειμένου να επεξεργασθεί πληροφορίες. Πληροφορίας (Εννοιολογική θεμελίωση) 7
Περιγραφές όρων με πρωτογενή την έννοια Αξία 2(4) Πληροφοριακό ύστημα (information system) ονομάζεται ένα υπολογιστικό σύστημα μαζί με τις πληροφορίες τις οποίες επεξεργάζεται Τπολογιστικό σύστημα (IT system) ονομάζεται ένα συγκεκριμένο υπολογιστικό συγκρότημα, το οποίο είναι εγκατεστημένο σε συγκεκριμένες τοποθεσίες, λειτουργεί στο πλαίσιο συγκεκριμένου επιχειρησιακού περιβάλλοντος και αποβλέπει στην εκπλήρωση συγκεκριμένων στόχων. Πληροφορίας (Εννοιολογική θεμελίωση) 8
Περιγραφές όρων με πρωτογενή την έννοια Αξία 3(4) Τπολογιστικός πόρος (IT resource) ονομάζεται οτιδήποτε χρησιμοποιείται από ένα υπολογιστικό σύστημα προκειμένου να του επιτρέψει να διαχειριστεί πληροφορίες Εφαρμογή (application) oνομάζεται ένα σύνολο πληροφοριών, λογισμικού και διαδικασιών, σχεδιασμένων προκειμένου να εκπληρώσουν ένα συγκεκριμένο σύνολο στόχων Πληροφορίας (Εννοιολογική θεμελίωση) 9
Περιγραφές όρων με πρωτογενή την έννοια Αξία 4(4) Αξία (value) ονομάζεται η σημαντικότητα ενός αντικειμένου, εκφρασμένη με οικονομικό ή άλλο τρόπο. Αγαθό (asset) αποτελεί κάθε πληροφορία, δεδομένο ή υπολογιστικό πόρο που έχει μια εκτιμώμενη αξία. Πληροφορίας (Εννοιολογική θεμελίωση) 10
Περιγραφές όρων με πρωτογενή την έννοια Ιδιοκτήτης/Χρήστης 1(2) Ιδιοκτήτης (owner) ενός αγαθού ονομάζεται το φυσικό ή νομικό πρόσωπο που κατέχει την κυριότητα ή είναι υπεύθυνο για ένα μέρος ή για το σύνολο του αγαθού αυτού και το οποίο έχει το δικαίωμα να καθορίσει πώς θα χρησιμοποιηθεί ή πώς θα τροποποιηθεί το αγαθό. Ιδιοκτήτης συστήματος (system owner) ονομάζεται ο ιδιοκτήτης κάποιων υπολογιστικών πόρων. ονομάζεται μια οντότητα η οποία αξιοποιεί ένα μέρος ή το σύνολο ενός Πληροφοριακού Συστήματος. Πληροφορίας (Εννοιολογική θεμελίωση) 11
Περιγραφές όρων με πρωτογενή την έννοια Ιδιοκτήτης/Χρήστης 2(2) Ιδιοκτήτης πληροφορίας (information owner) ονομάζεται ο ιδιοκτήτης ενός αγαθού το οποίο έχει τη μορφή πληροφορίας. Εξουσιοδότηση (authorisation) ονομάζεται η διαδικασία κατά την οποία ο ιδιοκτήτης ενός αγαθού παρέχει κάποιο είδος δικαιώματος σε ένα πρόσωπο ή σε μια διαδικασία. Φρήστης (user) ονομάζεται μία οντότητα η οποία αξιοποιεί ένα μέρος ή το σύνολο ενός Πληροφοριακού Συστήματος. Πληροφορίας (Εννοιολογική θεμελίωση) 12
Πρωτογενής όρος Ιδιοκτήτης (owner/user) ΙΔΙΟΚΣΗΣΗ ΤΣΗΜΑΣΟ ΕΞΟΤΙΟΔΟΣΗΜΕΝΟ είναι είναι είναι ΙΔΙΟΚΣΗΣΗ ΠΛΗΡΟΦΟΡΙΩΝ είναι ΙΔΙΟΚΣΗΣΗ Υωπίρ άδεια από ηον έσει άδεια από ηον έσει άδεια από ηον ηων ΤΠΟΛΟΓΙΣΙΚΩΝ ΠΟΡΩΝ Πος αποηελούν Καηέσει ένα ΠΛΗΡΟΦΟΡΙΩΝ Πος αποηελούν δίνει ΑΓΑΘΟ σπηζιμοποιεί Να σπηζιμοποιεί ΦΡΗΣΤΗΣ ΜΗ ΕΞΟΤ- ΙΟΔΟΣΗΜΕΝΟ ημαίνει όηι ο ζηο ΕΞΟΥΣΙΟΔΟΤΗΣΗ Πληροφορίας (Εννοιολογική θεμελίωση) 13
Περιγραφές όρων με πρωτογενή την έννοια Ιδιότητα 1(4) Τπηρεσία (service) ονομάζεται κάθε σύνολο λειτουργιών (functionalities) που παρέχονται σε κάποιο χρήστη από ένα υπολογιστικό σύστημα. Προσπέλαση (access) ονομάζεται η δυνατότητα χρήσης πληροφοριών ή υπολογιστικών πόρων ενός πληροφοριακού συστήματος. Ακεραιότητα (integrity) ονομάζεται η αποφυγή μη εξουσιοδοτημένης τροποποίησης μιας πληροφορίας. Πληροφορίας (Εννοιολογική θεμελίωση) 14
Περιγραφές όρων με πρωτογενή την έννοια Ιδιότητα 2(4) Αυθεντικότητα (authenticity) ονομάζεται η αποφυγή κάποιας ατελούς ή ανακριβούς τροποποίησης μιας πληροφορίας από έναν εξουσιοδοτημένο χρήστη. Εγκυρότητα (validity) ονομάζεται η εξασφάλιση πλήρους ακρίβειας και πληρότητας μιας πληροφορίας. Διαθεσιμότητα (availability) ονομάζεται η αποφυγή της αδικαιολόγητης καθυστέρησης ενός εξουσιοδοτημένου χρήστη να αποκτήσει προσπέλαση σε πληροφορίες ή υπολογιστικούς πόρους. Πληροφορίας (Εννοιολογική θεμελίωση) 15
Περιγραφές όρων με πρωτογενή την έννοια Ιδιότητα 3(4) Εμπιστευτικότητα (confidentiality) ονομάζεται η αποφυγή της αποκάλυψης μιας πληροφορίας χωρίς την άδεια του ιδιοκτήτη της. Ασφάλεια (security) ονομάζεται η προστασία της ακεραιότητας, της διαθεσιμότητας και της εμπιστευτικότητας. Ασφάλεια πληροφορίας (information security) ονομάζεται ο συνδυασμός εμπιστευτικότητας, εγκυρότητας, ακεραιότητας και διαθεσιμότητας μιας πληροφορίας. Πληροφορίας (Εννοιολογική θεμελίωση) 16
Περιγραφές όρων με πρωτογενή την έννοια Ιδιότητα 4(4) Διαθεσιμότητα συστήματος (system availability) ονομάζεται η αποφυγή προσωρινής ή μόνιμης παρακράτησης υπολογιστικών πόρων από χρήστες οι οποίοι έχουν δικαίωμα να τους χρησιμοποιούν. Ασφάλεια υπολογιστικού συστήματος (IT system security) ονομάζεται ο συνδυασμός διαθεσιμότητας συστήματος και ασφάλειας πληροφορίας. Ασφάλεια πληροφοριακού συστήματος (IS security) ονομάζεται ο συνδυασμός ασφάλειας πληροφορίας και ασφάλειας υπολογιστικού συστήματος, σε ένα δεδομένο πληροφοριακό σύστημα. Πληροφορίας (Εννοιολογική θεμελίωση) 17
Πρωτογενής όρος: Ιδιότητα ΑΦΑΛΕΙΑ ΠΛΗΡΟΦΟΡΙΩΝ ΕΜΠΙΣΕΤΣΙΚΟΣΗΣΑ ΕΓΚΤΡΟΣΗΣΑ ΔΙΑΘΕΙΜΟΣΗΣΑ ΠΛΗΡΟΦΟΡΙΩΝ ΑΤΘΕΝΣΙΚΟΣΗΣΑ ΑΚΕΡΑΙΟΣΗΣΑ ΑΦΑΛΕΙΑ ΑΦΑΛΕΙΑ ΠΛΗΡΟΦΟΡΙΑΚΟΤ ΤΣΗΜΑΣΟ ΔΙΑΘΕΙΜΟΣΗΣΑ ΑΦΑΛΕΙΑ ΤΠΟΛΟΓΙΣΙΚΟΤ ΤΣΗΜΑΣΟ ΑΦΑΛΕΙΑ ΠΛΗΡΟΦΟΡΙΩΝ ΔΙΑΘΕΙΜΟΣΗΣΑ ΠΛΗΡΟΦΟΡΙΩΝ ΔΙΑΘΕΙΜΟΣΗΣΑ ΤΣΗΜΑΣΟ (ΕΩΣΕΡΙΚΗ) ΑΦΑΛΕΙΑ ΠΛΗΡΟΦΟΡΙΩΝ Πληροφορίας (Εννοιολογική θεμελίωση) 18
Περιγραφές όρων με πρωτογενή την έννοια Ζημιά Οι έννοιες που συνδέονται με την πρωτογενή έννοια ζημιά είναι: περιορισμένες ως προς το πλήθος απλές και άμεσα κατανοητές συνεπώς εκτιμάται ότι δε χρήζουν περαιτέρω ανάλυσης. Παραδείγματα: Απώλεια εμπιστευτικότητας (loss of confidentiality) Απώλεια διαθεσιμότητας (loss of availability) Πληροφορίας (Εννοιολογική θεμελίωση) 19
Πρωτογενής όρος: Κίνδυνος Threats exploit Vulnerabilities causing harm to Assets Πληροφορίας (Εννοιολογική θεμελίωση) 20
Περιγραφές όρων με πρωτογενή την έννοια Κίνδυνος 1(4) Ρήγμα ασφάλειας (breach of security) ονομάζεται η αποκάλυψη, μετατροπή ή παρακράτηση μιας πληροφορίας χωρίς εξουσιοδότηση. Παραβίαση (violation) ονομάζεται ένα γεγονός κατά τη διάρκεια του οποίου έχει παραβιαστεί το χαρακτηριστικό της αυθεντικότητας ή της διαθεσιμότητας ή της εμπιστευτικότητας ή της ακεραιότητας ή της εγκυρότητας. Πληροφορίας (Εννοιολογική θεμελίωση) 21
Περιγραφές όρων με πρωτογενή την έννοια Κίνδυνος 2(4) Περιστατικό (incident) ονομάζεται ένα γεγονός που ενδέχεται να προέρχεται από την πραγματοποίηση μιας απειλής. Επισφάλεια (hazard) ονομάζεται το ενδεχόμενο να συμβεί κάποια προσβολή. Απειλή (threat) ονομάζεται η ενδεχόμενη απώλεια ενός ή περισσότερων από τις παραμέτρους που ορίζουν την ασφάλεια ενός πληροφοριακού συστήματος. Υυσική απειλή (physical threat) ονομάζεται η απειλή που επιφέρει φυσικές ζημιές σε ένα πληροφοριακό σύστημα. Πληροφορίας (Εννοιολογική θεμελίωση) 22
Περιγραφές όρων με πρωτογενή την έννοια Κίνδυνος 3(4) Απειλή Ανθρώπινη απειλή (human threat) ονομάζεται η απειλή που προέρχεται από ανθρώπινες ενέργειες. Συχαία απειλή (accidental threat) ονομάζεται η απειλή η οποία προέρχεται από ενέργειες που δεν είχαν κακόβουλο χαρακτήρα. κόπιμη απειλή (deliberate threat) ονομάζεται η απειλή η οποία προέρχεται από κακόβουλες ενέργειες. Πληροφορίας (Εννοιολογική θεμελίωση) 23
Περιγραφές όρων με πρωτογενή την έννοια Κίνδυνος 4(4) Αδυναμία (vulnerability) ονομάζεται ένα συγκεκριμένο σημείο ευπάθειας ενός πληροφοριακού συστήματος, το οποίο ενδεχομένως να επιτρέψει την πραγματοποίηση κάποιας προσβολής. Ανθρώπινη αδυναμία (human vulnerability) ονομάζεται η ευπάθεια που προέρχεται από τα φυσικά πρόσωπα που συμμετέχουν σε ένα υπολογιστικό σύστημα. Σεχνική αδυναμία (technical vulnerability) ονομάζεται η ευπάθεια που προέρχεται από την τεχνολογική αστοχία κάποιου συστατικού του υπολογιστικού συστήματος Πληροφορίας (Εννοιολογική θεμελίωση) 24
Περιγραφές όρων με πρωτογενή την έννοια Στόχος 1(3) Κόστος (cost) ονομάζεται η οικονομική ή άλλη επιβάρυνση που προκύπτει από την πραγματοποίηση μιας ενέργειας. Μέσο προστασίας (safeguard) ονομάζεται κάθε ενέργεια που αποσκοπεί στον αποκλεισμό μιας προσβολής ή στην ελαχιστοποίηση των συνεπειών της. Επίπτωση (impact) ονομάζεται η απώλεια ενός αγαθού ή το αυξημένο κόστος ή άλλη ζημιά που μπορεί να συμβεί ως αποτέλεσμα μιας συγκεκριμένης προσβολής. Πληροφορίας (Εννοιολογική θεμελίωση) 25
Περιγραφές όρων με πρωτογενή την έννοια Στόχος 2(3) Επικινδυνότητα (risk) ονομάζεται το γινόμενο της επίπτωσης και του απομένοντα κινδύνου. υνολική επικινδυνότητα (overall risk) ονομάζεται το σύνολο όλων των επικινδυνοτήτων. Απομένουσα συνολική επικινδυνότητα (residual overall risk) ονομάζεται η συνολική επικινδυνότητα που απομένει μετά την εφαρμογή όλων των μέσων προστασίας. Απομένουσα επισφάλεια (residual hazard) ονομάζεται η επισφάλεια που παραμένει μετά την εφαρμογή κάθε σχετικού μέσου προστασίας. Πληροφορίας (Εννοιολογική θεμελίωση) 26
Περιγραφές όρων με πρωτογενή την έννοια Στόχος 3(3) Απαίτηση (requirement) ονομάζεται ο καθορισμός από τον ιδιοκτήτη ενός πληροφοριακού συστήματος του επιπέδου της αυθεντικότητας, της διαθεσιμότητας και της ακεραιότητας την οποία πρέπει να υποστηρίζει το σύστημα αυτό. Αντικειμενικός σκοπός (objective) ονομάζεται η μέγιστη απομένουσα συνολική επικινδυνότητα την οποία αποδέχεται ο ιδιοκτήτης ενός πληροφοριακού συστήματος. Πληροφορίας (Εννοιολογική θεμελίωση) 27
Πρωτογενής όρος: Στόχος ΑΝΣΙΚΕΙΜΕΝΙΚΟ ΚΟΠΟ ΑΠΟΜΕΝΟΤΑ ΤΝΟΛΙΚΗ ΕΠΙΚΙΝΔΤΝΟΣΗΣΑ ΤΝΟΛΙΚΗ ΕΠΙΚΙΝΔΤΝΟΣΗΣΑ - ΑΠΑΙΣΗΕΙ ΑΠΟΜΕΝΟΤΑ ΕΠΙΦΑΛΕΙΑ ΜΕΑ ΠΡΟΣΑΙΑ + ΕΠΙΚΙΝΔΤΝΟΣΗΣΑ ΜΕΑ ΠΡΟΣΑΙΑ - ΕΠΙΦΑΛΕΙΑ Υ ΕΠΙΠΣΩΗ ΑΠΕΙΛΗ Υ ΑΔΤΝΑΜΙΑ Πληροφορίας (Εννοιολογική θεμελίωση) 28