ΠΟΛΙΤΙΚΕΣ ΚΑΙ ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ

Σχετικά έγγραφα
ΤΕΧΝΟΛΟΓΙΕΣ & ΑΣΦΑΛΕΙΑ ΠΛΗΡΟΦΟΡΙΩΝ ΙΩΑΝΝΗ Δ. ΙΓΓΛΕΖΑΚΗ

ΕΙΔΙΚΗ ΕΠΙΣΤΗΜΟΝΙΚΗ ΕΠΙΤΡΟΠΗ ΘΕΜΑΤΩΝ ΤΥΠΟΠΟΙΗΣΗΣ, ΠΙΣΤΟΠΟΙΗΣΗΣ ΚΑΙ ΔΙΑΧΕΙΡΙΣΗΣ ΠΟΙΟΤΗΤΑΣ. Εισηγήτρια: Γκαβέλα Σταματία Δρ. Χημικός Μηχανικός ΕΜΠ

ΕΛΟΤ ΕΝ ISO 14001:2015

Σειρά ISO 9000: Συνοπτική παρουσίαση

Πρότυπα Συστημάτων Διαχείρισης :

Διασφάλιση της Ποιότητας στις Υπηρεσίες Πληροφόρησης

Εισηγητής : Γαλατσάνος Χ.

ΠΙΣΤΟΠΟΙΗΣΗ ISO. Διαχείριση της Ποιότητας των Υπηρεσιών Φύλαξης

1. Γενικές Προδιαγραφές Πιστοποίησης ΣΔΑΠ

Ποιότητα και Πρότυπα στη Διοίκηση Επιχειρήσεων Συστήµατα Διασφάλισης Ποιότητας Γενική επισκόποηση και Επεκτάσεις- Διάλεξη 8

Ασφάλεια πληροφοριακών συστημάτων στη Ναυτιλία ISO 27001

Διοίκηση Οργανισμών και Πιστοποίηση Ποιότητας. Ελένη Αντωνιάδου, Μάγδα Τσολάκη

1. Γενικές Προδιαγραφές Πιστοποίησης ΣΔΠ

ISMS κατά ISO Δεκέμβριος 2016

Ζητήματα Ασφάλειας στο σχεδιασμό Επιχειρησιακής Συνέχειας. Τσώχου Αγγελική

«Διαχείριση Ποιότητας»

ΟΡΟΛΟΓΙΑ. απαιτήσεις αξιοπιστίας, στις απαιτήσεις ασφάλειας, στις απαιτήσεις λειτουργίας κλπ.

«Νέες εκδόσεις προτύπων διαχείρισης ποιότητας και περιβάλλοντος»,

ΕΛΟΤ ΕΝ ISO 9000 και 9001

ΔΙΑΣΥΝΔΕΔΕΜΕΝΑ ΣΥΣΤΗΜΑΤΑ ΔΙΑΧΕΙΡΙΣΗΣ ΟΦΕΛΗ ΚΑΙ ΠΡΟΟΠΤΙΚΕΣ

ΠΡΟΤΥΠΟ ΓΙΑ ΤΗΝ ΠΙΣΤΟΠΟΙΗΣΗ ΠΟΙΟΤΗΤΑΣ ΤΟΥ ΕΣΩΤΕΡΙΚΟΥ ΣΥΣΤΗΜΑΤΟΣ ΔΙΑΣΦΑΛΙΣΗΣ ΠΟΙΟΤΗΤΑΣ

ΓΕΝΙΚ Ι Ο Κ Ο Ε ΠΙ Π Τ Ι Ε Τ Λ Ε ΕΙΟ Ι Ο Ε Θ Ε Ν Θ ΙΚ Ι Η Κ Σ Η Α Μ

Ποιότητα και Πρότυπα στη Διοίκηση Επιχειρήσεων Πρότυπα διαχείρισης Επιχειρηµατικών Κινδύνων Διάλεξη 5

Προγραμματισμός και στρατηγική διοίκηση. 4 ο Κεφάλαιο

Συνεργασία PRIORITY & INTERAMERICAN:

Ποιότητα και Πρότυπα στη Διοίκηση Επιχειρήσεων Συστήµατα Διασφάλισης Ποιότητας ISO Διεργασιακή Προσέγγιση Διάλεξη 3

Οι αλλαγές του νέου προτύπου ISO 14001:2015

ΕΛΕΓΧΟΣ ΠΡΟΓΡΑΜΜΑΤΟΣ ΕΠΙΧΕΙΡΗΣΙΑΚΗΣ ΣΥΝΕΧΕΙΑΣ (Auditing Business Continuity Plan & Disaster Recovery Plan)

ΕΓΧΕΙΡΙΔΙΟ ΠΟΙΟΤΗΤΑΣ ΤΗΣ ΕΤΑΙΡΕΙΑΣ AMAZE A.E. ΕΚΔΟΣΗ 02

Συστήματα Διαχείρισης Ποιότητας Το πρότυπο ISO9001:2015 και οι εφαρμογές του

ΓΕΝΙΚΟ ΝΟΣΟΚΟΜΕΙΟ ΘΕΣΣΑΛΟΝΙΚΗΣ «ΙΠΠΟΚΡΑΤΕΙΟ»

Ερωτηµατολόγιο Εσωτερικής Επιθεώρησης

Ελληνική Εταιρεία Πιστοποιημένων Απεντομωτών (Ε.Ε.Π.Α.)

ΕΝΤΥΠΟ ΕΣΩΤΕΡΙΚΗΣ ΟΡΙΖΟΝΤΙΑΣ ΕΠΙΘΕΩΡΗΣΗΣ

Η νέα έκδοση του ISO 14001:2015

Ποιότητα Λογισμικού και Πιστοποίηση

ΠΡΟΣΚΛΗΣΗ ΕΝΔΙΑΦΕΡΟΝΤΟΣ KAI ΚΑΤΑΘΕΣΗΣ ΠΡΟΣΦΟΡΩΝ ΓΙΑ ΤΗΝ ΑΝΑΘΕΣΗ ΤΟΥ ΕΡΓΟΥ:

ΠΟΛΙΤΙΚΗ ΑΣΦΑΛΕΙΑΣ ΠΛΗΡΟΦΟΡΙΩΝ

Ονοματεπώνυμο: Γιαμαλής Γεώργιος Σειρά: 12 Επιβλέπων Καθηγητής: κ. Καρδαράς Δημήτριος

Η Ενεργειακή πιστοποίηση ως εργαλείο για τα Σχέδια Δράσης Αειφόρου Ενέργειας (ΣΔΑΕ)

ΚΑΝΟΝΙΣΜΟΣ ΛΕΙΤΟΥΡΓΙΑΣ ΕΣΩΤΕΡΙΚΟΥ ΕΛΕΓΧΟΥ

Τυποποίηση Μελιού. Διαχειριστικά Συστήματα Ασφαλείας Τροφίμων (ISO, HACCP) & Νομικές Υποχρεώσεις

Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων (GDPR)

Ενότητα 3: : Ασφάλεια Βιολογικών Τροφίμων

ΔΙΟΙΚΗΣΗ ΟΛΙΚΗΣ ΠΟΙΟΤΗΤΑΣ & ΔΙΑΧΕΙΡΙΣΗ ΠΕΡΙΒΑΛΛΟΝΤΟΣ. Σημειώσεις ΔΕΟ 42 ΤΟΜΟΣ Α ΕΠΙΜΕΛΕΙΑ: ΒΙΚΥ ΒΑΡΔΑ. Σελίδα 1

Συνάντηση Εργασίας. Αθήνα. Παρασκευή 6 Απριλίου, 2012

ΕΚΤΕΛΕΣΤΙΚΟΣ ΚΑΝΟΝΙΣΜΟΣ (ΕΕ) /... ΤΗΣ ΕΠΙΤΡΟΠΗΣ. της

ΔΕΟ 42 ΑΝΑΛΥΤΙΚΟ ΦΥΛΛΑΔΙΟ ΣΗΜΕΙΩΣΕΩΝ για τον τόμο Α

ISO 9001: Τι αλλάζει. στο νέο Πρότυπο; Τι είναι το ISO 9001; Οι βασικές Αρχές της Ποιότητας: Πως εφαρμόζεται το ISO 9001;

Εγχειρίδιο Ποιότητας

1.1. Πολιτική Ασφάλειας Πληροφοριών

Συστήματα Διαχείρισης Ποιότητας Το πρότυπο ISO9001:2015 και οι εφαρμογές του

Υποδείγµατα ωριµότητας. Παραδείγµατα Υποδειγµάτων Ωριµότητας

Πρώτες ύλες. Πιθανοί κίνδυνοι σε όλα τα στάδια της παραγωγής. Καθορισµός πιθανότητας επιβίωσης µικροοργανισµών. Εκτίµηση επικινδυνότητας

ΠΕΡΙΓΡΑΦΗ ΥΠΗΡΕΣΙΑΣ ΕΣΩΤΕΡΙΚΟΥ ΕΛΕΓΧΟΥ ΕΣΩΤΕΡΙΚΩΝ ΕΛΕΓΚΤΩΝ ΣΤΙΣ ΜΟΝΑΔΕΣ ΥΓΕΙΑΣ

ΗΜΕΡΙΔΑ ELQA ΣΥΣΤΗΜΑTA ΔΙΑΧΕΙΡΙΣΗΣ ΠΟΙΟΤΗΤΑΣ ISO9001:2008

Η ΣΕΙΡΑ ΠΡΟΤΥΠΩΝ ΔΙΑΧΕΙΡΙΣΗΣ ΠΟΙΟΤΗΤΑΣ ISO Τμήμα Σχεδιασμού και Τεχνολογίας ένδυσης- Κιλκίς

Κων/νος Λαμπρινουδάκης Αναπληρωτής Καθηγητής Τμήμα Ψηφιακών Συστημάτων Εργαστήριο Ασφάλειας Συστημάτων Πανεπιστήμιο Πειραιώς

ΑΠΟΤΕΛΕΣΜΑΤΙΚΟΣ ΣΧΕΔΙΑΣΜΟΣ ΚΑΙ ΕΦΑΡΜΟΓΗ ΠΡΟΤΥΠΩΝ

1

Πολιτική Ασφαλείας Δεδομένων Πιστοποίηση ISO 27001:2013 από την TÜV Austria Hellas

GDPR: Εχθρός (?) προ των πυλών. 18 Απριλίου 2018 Δημήτρης Στασινόπουλος IT Governance Deputy Director

L 320/8 Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης

Το σύστημα ISO9000. Παρουσιάστηκε το 1987, αναθεωρήθηκε το 1994 και το 2000.

Συστήματα Διαχείρισης Ποιότητας Το πρότυπο ISO9001:2015 και οι εφαρμογές του

GLOBALGAP (EUREPGAP)

ΤΕΙ ΚΡΗΤΗΣ ΤΜΗΜΑ ΛΟΓΙΣΤΙΚΗΣ ΔΙΟΙΚΗΣΗ ΕΠΙΧΕΙΡΗΣΕΩΝ ΣΥΣΤΗΜΑΤΑ ΠΟΙΟΤΗΤΑΣ

Νέες εκδόσεις προτύπων συστημάτων διαχείρισης Νέες εκδόσεις προτύπων για συστήματα διαχείρισης της ποιότητας και περιβαλλοντικής διαχείρισης

ιοίκηση Ποιότητας (quality management)

τεχνογνωσία στην πληροφορική

ΚΑΝΟΝΙΣΜΟΣ ΛΕΙΤΟΥΡΓΙΑΣ ΤΗΣ ΥΠΗΡΕΣΙΑΣ ΕΣΩΤΕΡΙΚΟΥ ΕΛΕΓΧΟΥ ΤΟΥ ΤΕΑ-ΕΑΠΑΕ (ΠΑΡΑΡΤΗΜΑ ΙΧ)

Διαχείριση Κινδύνων για Μικρές και Μεσαίες Επιχειρήσεις

Λήψη Αποφάσεων και Πληροφορίες

Πρότυπα Πληροφοριακών Συστηµάτων Διοίκησησ

Ποιότητα και Πρότυπα στη Διοίκηση Επιχειρήσεων Συστήµατα Διασφάλισης Ποιότητας ISO Διεργασιακή Προσέγγιση Διάλεξη 4

«Σχεδιασμός, Οργάνωση, Εκτέλεση, Ηγεσία, Επικοινωνία, και Αξιολόγηση Δράσεων που αναλαμβάνουν τα στελέχη»

Ποιότητα και Πρότυπα στη Διοίκηση Επιχειρήσεων Γενική Επισκόπηση Επισηµάνσεις Διάλεξη 9

ΠΙΣΤΟΠΟΙΗΣΗ ΠΟΙΟΤΗΤΑΣ ΤΟΥ ΕΣΩΤΕΡΙΚΟΥ ΣΥΣΤΗΜΑΤΟΣ ΔΙΑΣΦΑΛΙΣΗΣ ΠΟΙΟΤΗΤΑΣ ΜΟ.ΔΙ.Π. ΤΕΙ ΔΥΤΙΚΗΣ ΕΛΛΑΔΑΣ

ΠΟΛΙΤΙΚΗ ΚΑΙ ΔΙΑΔΙΚΑΣΙΑ ΔΙΑΡΡΟΗΣ ΔΕΔΟΜΕΝΩΝ

Μετάβαση στις νέες εκδόσεις

Πιστοποίηση ποιότητας ISO σε σχολεία

ΦΟΡΕΑΣ ΠΙΣΤΟΠΟΙΗΣΗΣ 4. ΑΠΑΙΤΗΣΕΙΣ ΤΟΥ ΣΥΣΤΗΜΑΤΟΣ ΔΙΑΧΕΙΡΙΣΗΣ ΑΣΦΑΛΕΙΑΣ ΤΡΟΦΙΜΩΝ. 5. Ευθύνη της Διοίκησης

Πολιτικές Ασφάλειας Πληροφοριακών Συστημάτων. Σωκράτης Κ. Κάτσικας Τμήμα Μηχ/κών Πληροφοριακών & Επικοινωνιακών Συστημάτων Πανεπιστήμιο Αιγαίου

ΣΤΡΑΤΗΓΙΚΟ ΜΑΝΑΤΖΜΕΝΤ Ι

«Δημόσιες πολιτικές οργανωτικής & διοικητικής βελτίωσης: το ΚΠΑ στην Ελληνική Δημόσια Διοίκηση»

Περιεχόµενα. Πληροφοριακά Συστήµατα: Κατηγορίες και Κύκλος Ζωής. Π.Σ. ιαχείρισης Πράξεων. Π.Σ. ιοίκησης. Κατηγορίες Π.Σ. Ο κύκλος ζωής Π.Σ.

ΕΝΔΕΙΚΤΙΚΟΣ ΟΔΗΓΟΣ ΥΠΟΜΝΗΜΑΤΟΣ

ΚΥΚΛΟΣ ΠΟΙΟΤΗΤΑΣ DEMING και σχέση με τον έλεγχο και την αξιολόγηση

Βασικές τεχνικές στατιστικού ελέγχου ποιότητας

Μοντέλο συστήματος διαχείρισης της ποιότητας

ΣΥΣΤΗΜΑ ΔΙΑΧΕΙΡΙΣΗΣ ΠΟΙΟΤΗΤΑΣ ΙSO 9001 : 2008

Οδηγός επιβίωσης και ανάπτυξης μεταφορικών επιχειρήσεων Best practices

ΘΕΜΑΤΟΛΟΓΙΑ ΣΕΜΙΝΑΡΙΟΥ Data Protection Officer (DPO)

ISO ISO Βιώσιμη Ανάπτυξη Κοινοτήτων

ίκτυα και Internet στο Επιχειρηματικό Περιβάλλον

Committed to Excellence

Διοίκηση Έργων Κτηματογράφησης

Προγραμματισμός και Επιλογή Συστημάτων

ISO Συστήματα Διαχείρισης της Ενέργειας. Improving performance, reducing risk

ΧΡΟΝΙΚΗ ΔΙΑΡΚΕΙΑ: Η χρονική διάρκεια κάθε έργου ορίζεται από 12 έως 24 μήνες.

Transcript:

ΠΟΛΙΤΙΚΕΣ ΚΑΙ ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ Συστήματα διαχείρισης της ασφάλειας πληροφοριών Λαμπρινουδάκης Κων/νος clam@unipi.gr

Το επαγγελματικό πεδίο της ασφάλειας http://csrc.nist.gov/nice/framework/

Μερικές (όχι τόσο γνωστές) διαπιστώσεις Μόνο το 1/3 του χρόνου του υπεύθυνου ασφάλειας καταναλώνεται σε τεχνικά θέματα. Τα υπόλοιπα δύο τρίτα καταναλώνονται στην ανάπτυξη πολιτικών και διαδικασιών, στην εκπόνηση μελετών ανάλυσης κινδύνων, στη διαμόρφωση σχεδίων επιχειρησιακής συνέχειας και στην ανάληψη δράσεων αύξησης της επίγνωσης που έχει το προσωπικό σχετικά με την ασφάλεια.

Μερικές (όχι τόσο γνωστές) διαπιστώσεις Η ασφάλεια είναι σαν μια αλυσίδα είναι τόσο ισχυρή όσο ο πιο αδύναμος κρίκος της, που είναι πάντα οι άνθρωποι και όχι η τεχνολογία. Οι εργαζόμενοι σε ένα οργανισμό αποτελούν πολύ μεγαλύτερη απειλή για την ασφάλεια πληροφοριών απ ό,τι πρόσωπα εκτός του οργανισμού.

Μερικές (όχι τόσο γνωστές) διαπιστώσεις Το επίπεδο ασφάλειας πληροφοριών σε ένα οργανισμό εξαρτάται από τρεις παράγοντες: τα αποδεκτά επίπεδα κινδύνου που έχει καθορίσει ο οργανισμός, τη λειτουργικότητα του πληροφοριακού συστήματος και το κόστος που προτίθεται ο οργανισμός να πληρώσει για την ασφάλεια

Η ασφάλεια ως διεργασία Η ασφάλεια πληροφοριών δεν είναι μια στατική κατάσταση πραγμάτων είναι μια διεργασία. Ένα σύνολο αλληλοσυσχετιζόμενων ή αλληλεπιδρωσών δραστηριοτήτων που χρησιμοποιεί πόρους προκειμένου να μετασχηματίσει εισόδους σε εξόδους χρησιμοποιώντας πόρους, αναφέρεται ως διεργασία (process).

Ποιος έχει την ευθύνη; H πληροφορία αποτελεί περιουσιακό στοιχείο του οργανισμού ως τέτοιο, η προστασία του αποτελεί ευθύνη της διοίκησης. Το πρόγραμμα προστασίας των πληροφοριών είναι μια επιχειρησιακή διεργασία σχεδιασμένη ώστε να παρέχει στη διοίκηση τα μέσα για να μπορέσει να ασκήσει τα καθήκοντά της.

Επομένως H ασφάλεια πληροφοριών δεν είναι αμιγώς τεχνικό θέμα, αλλά κυρίως θέμα ανθρώπων και θέμα διαχείρισης (management).

Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών Σύστημα Διαχείρισης (management system) είναι ένα πλαίσιο πολιτικών, διαδικασιών, οδηγιών και των πόρων που απαιτούνται προκειμένου να επιτευχθούν οι στόχοι του οργανισμού. Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών ΣΔΑΠ (Information Security Management System ISMS) είναι εκείνο το τμήμα του συνολικού Συστήματος Διαχείρισης του οργανισμού, που αφορά στην ασφάλεια πληροφοριών.

Γιατί χρειάζεται το ΣΔΑΠ Ένδειξη ικανότητας ικανοποίησης απαιτήσεων ασφάλειας. Η ικανότητα αυτή συνδέεται στενά με την ικανότητά του να διασφαλίσει την επιχειρησιακή του συνέχεια, να ελαχιστοποιήσει τις ζημιές και τις απώλειες αν συμβεί κάποιο περιστατικό παραβίασης ασφάλειας, να αποκτήσει συγκριτικά πλεονεκτήματα έναντι των ανταγωνιστών του, να αυξήσει την κερδοφορία και να βελτιώσει τις χρηματορροές του, να συμμορφωθεί με τις απαιτήσεις του νόμου και, εν τέλει, να αποκτήσει καλή φήμη.

Για να είναι αποτελεσματικό το ΣΔΑΠ οι στόχοι και οι δραστηριότητες που προβλέπει πρέπει να μην αποκλίνουν από τους γενικότερους στόχους του οργανισμού. Οι απαιτήσεις ασφάλειας πρέπει να έχουν προσδιοριστεί με βάση μελέτη ανάλυσης και διαχείρισης κινδύνων. Το ΣΔΑΠ πρέπει να έχει τη συνεχή, αταλάντευτη και ορατή απ όλους στήριξη της διοίκησης του οργανισμού, ειδικότερα δε του ανώτατου επιπέδου διοίκησης.

Για να είναι αποτελεσματικό το ΣΔΑΠ Επιπλέον, το ΣΔΑΠ πρέπει να είναι συμβατό με την οργανωσιακή κουλτούρα. Πρέπει να περιλαμβάνει ένα πρόγραμμα ενημέρωσης, κατάρτισης και εκπαίδευσης των εργαζομένων στον οργανισμό, αλλά και των σχετιζόμενων με αυτόν εξωτερικών συνεργατών. Το ΣΔΑΠ πρέπει επίσης να περιλαμβάνει διαδικασίες διαχείρισης περιστατικών παραβίασης ασφάλειας, σχέδιο επιχειρησιακής συνέχειας και ένα σύστημα μέτρησης της ίδιας του της απόδοσης, ώστε να καθίσταται δυνατή η βελτίωσή του.

Η σειρά προτύπων ISO 27k 80s (USA, UK): Baseline best controls 90s (UK): Συγκρότηση ομάδας εμπειρογνωμόνων 1995 (UK): BS 7799-1 (code of practice) 1997 (UK): BS 7799-2 (ISMS specification) 1997-98 (UK): Πιλοτική εφαρμογή πιστοποίησης κατά BS 7799-1

Η σειρά προτύπων ISO 27k 1999: Περίπου 20 χώρες έχουν υιοθετήσει τα BS 7799-1&2 2000: BS 7799-1 δεκτό ως ISO/IEC 17799-1 2002: To ISO/IEC 17799-1 αναριθμείται σε ISO/IEC 27002 2005: To BS 7799-2 δημοσιεύεται ως ISO/IEC 27001.

Η σειρά προτύπων ISO 27k Παρέχει συστάσεις καλών πρακτικών για τη διαχείριση της ασφάλειας πληροφοριών, τη διαχείριση κινδύνων και τα μέτρα ασφάλειας, μέσα στο γενικότερο περιβάλλον ενός ΣΔΑΠ. Ο σχεδιασμός του ΣΔΑΠ μοιάζει με εκείνον των συστημάτων διαχείρισης της διασφάλισης ποιότητας (σειρά προτύπων ISO 9000) και των συστημάτων διαχείρισης της προστασίας του περιβάλλοντος (σειρά προτύπων ISO 14000).

Η σειρά προτύπων ISO 27k Επί του παρόντος, έχουν δημοσιευθεί 44 πρότυπα της σειράς, ενώ αρκετά ακόμη βρίσκονται στο στάδιο της προετοιμασίας. Σχετική και η σειρά ISO29k για ιδιωτικότητα. http://www.iso.org/iso/home/store/catal ogue_tc/catalogue_tc_browse.htm?com mid=45306&published=on&includesc=tr ue

Τομεακές Κατευθυντήριες οδηγίες Γενικές Κατευθυντήριες οδηγίες Γενικές Προδιαγραφές Ορολογία ISO 27000 Επισκόπηση και Ορολογία ISO 27001 Προδιαγραφές ΣΔΑΠ ISO 27006 Προδιαγραφές φορέων ελέγχου και πιστοποίησης ΣΔΑΠ ISO 27002 Καλές πρακτικές διαχείρισης ασφάλειας πληροφοριών ISO 27003 Οδηγίες Υλοποίησης ΣΔΑΠ ISO TR 27008 Κατευθυντήριες οδηγίες για τον έλεγχο των μέτρων ασφάλειας του ΣΔΑΠ ISO 27004 Διαχείριση ασφάλειας πληροφοριών - Μετρήσεων ISO TR 27016 Διαχείριση ασφάλειας πληροφοριών - Οργανωσιακά οικονομικά ISO 27007 Κατευθυντήριες οδηγίες για τον έλεγχο του ΣΔΑΠ ISO 27005 Διαχείριση κινδύνων ασφάλειας πληροφοριών ISO 27011 Κατευθυντήριες οδηγίες διαχείρισης της ασφάλειας πληροφοριών για τηλεπικοινωνιακούς οργανισμούς, βάσει του ISO/IEC 27002 ISO 27010 Κατευθυντήριες οδηγίες διαχείρισης της ασφάλειας πληροφοριών για διατομεακές και δι-οργανωσιακές επικοινωνίες ISO 27013 Κατευθυντήριες οδηγίες για τη συνδυασμένη υλοποίηση των ISO/IEC 27000 και ISO/IEC 20000-1 ISO 27014 Διακυβέρνηση της ασφάλειας πληροφοριών ISO 27799 Πληροφορική Υγείας - Διαχείριση της ασφάλειας πληροφοριών στην Υγεία, βάσει του ISO/IEC 27002 ISO 27015 Κατευθυντήριες οδηγίες διαχείρισης της ασφάλειας πληροφοριών για χρηματοοικονομικές υπηρεσίες Κλειδί: Κανονιστικό πρότυπο (προδιαγραφές) Πλη ροφοριακό πρότυπο (κατευθυντήριες οδηγίες) Υποστηρίζει

Το πρότυπο ISO/IEC 27001:2013 Οδηγίες για τον καθορισμό προδιαγραφών για: το Σχεδιασμό την Υλοποίηση τη Λειτουργία την Παρακολούθηση τον Έλεγχο και Συντήρηση ενός τεκμηριωμένου Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών σε ένα οργανωσιακό πλαίσιο

Το πρότυπο ISO/IEC 27001:2013 Εφαρμόζεται σε όλους τους τύπους οργανισμών και επιχειρήσεων οποιουδήποτε επιχειρηματικού κλάδου: Εμπορικές επιχειρήσεις Κυβερνητικοί οργανισμοί Μη κερδοσκοπικοί οργανισμοί κτλ. Είναι ανεξάρτητο μεγέθους και δραστηριοτήτων του οργανισμού

Το πρότυπο ISO/IEC 27001:2013: Δομή Επτά ενότητες, με υπο-ενότητες Το περιβάλλον του οργανισμού Κατανόηση του οργανισμού και του περιβάλλοντός του Κατανόηση των αναγκών και των προσδοκιών των μετόχων Καθορισμός της έκτασης του ΣΔΑΠ ΣΔΑΠ

Το πρότυπο ISO/IEC 27001:2013: Δομή Η ηγεσία Ηγεσία και δέσμευση Πολιτική Οργανωσιακοί ρόλοι, αρμοδιότητες και καθήκοντα Ο σχεδιασμός Ενέργειες για την αντιμετώπιση κινδύνων και την αξιοποίηση ευκαιριών Στόχοι της ασφάλειας πληροφοριών και σχεδιασμός για την επίτευξή τους

Το πρότυπο ISO/IEC 27001:2013: Δομή Υποστήριξη Πόροι Ικανότητες Επίγνωση Επικοινωνία Τεκμηρίωση Λειτουργία Λειτουργικός σχεδιασμός και έλεγχος Εκτίμηση κινδύνων Διαχείριση κινδύνων

Το πρότυπο ISO/IEC 27001:2013: Δομή Αξιολόγηση επίδοσης Παρακολούθηση, μέτρηση, ανάλυση και αξιολόγηση Εσωτερικός έλεγχος Επανεξέταση από τη διοίκηση Βελτίωση Ασυμμορφία και διορθωτικές ενέργειες Συνεχής βελτίωση

Προσέγγιση Το μοντέλο που προτείνει το πρότυπο ακολουθεί διεργασιακή προσέγγιση Εστίαση στη σημασία: Κατανόησης των απαιτήσεων ασφάλειας Καθιέρωσης των στόχων ασφάλειας και μίας πολιτικής ασφάλειας Υλοποίησης και λειτουργίας μέτρων ασφάλειας κατάλληλων για να αντιμετωπίσουν κινδύνους που εντάσσονται στο συγκεκριμένο οργανωσιακό πλαίσιο 24

Ο κύκλος ζωής της Διαχείρισης Ασφάλειας Πληροφοριών Το πρότυπο ορίζει ένα κύκλο ζωής της Διαχείρισης Ασφάλειας Πληροφοριών που ακολουθεί ένα μοντέλο τεσσάρων επαναλαμβανόμενων σταδίων: Σχεδιασμός Υλοποίηση Έλεγχος Διόρθωση 25

Υλοποίηση Σχεδιασμός Θέσπιση ΣΔΑΠ Υλοποίηση και λειτουργία του ΣΔΑΠ Συντήρηση και Βελτίωση του ΣΔΑΠ Διόρθωση Παρακολούθηση και επανεξέταση ΣΔΑΠ Απαιτήσεις Ασφάλειας Έλεγχος Διαχείριση της Ασφάλειας Πληροφοριών

Ο κύκλος ζωής της Διαχείρισης Ασφάλειας Πληροφοριών Το μοντέλο ακολουθεί την προσέγγιση που εφαρμόζεται στη διαχείριση ποιότητας σύμφωνα με το διαδεδομένο πρότυπο ποιότητας ISO 9001:2008 για συστήματα διαχείρισης ποιότητας 27

Είσοδοι και έξοδοι Είσοδοι (input): Απαιτήσεις των εμπλεκόμενων στην ασφάλεια Προδιαγραφές ασφάλειας Έξοδοι (output): Ασφάλεια πληροφοριών υπό διαχείριση 28

Η φάση σχεδιασμού (Plan) Καθιέρωση ενός πλαισίου Διαχείρισης της Ασφάλειας Πληροφοριών στο συνολικό πλαίσιο των στόχων και πολιτικών του οργανισμού: Στόχοι και επιδιώξεις ασφάλειας Διαδικασίες ασφάλειας Πολιτική του ΣΔΑΠ 29

Η φάση σχεδιασμού (Plan): δραστηριότητες Καθορισμός του πεδίου εφαρμογής του ΣΔΑΠ (τοποθεσία, συστήματα, δεδομένα κ.ά.) Θέσπιση Πολιτικής ΣΔΑΠ Ορισμός μεθόδου ανάλυσης κινδύνων Εκπόνηση μελέτης ανάλυσης κινδύνων Επιλογή στρατηγικής διαχείρισης κινδύνων Έγκριση από τη Διοίκηση Διαμόρφωση Δήλωσης Εφαρμογής 30

Η φάση υλοποίησης (Do) Υλοποίηση των δράσεων που σχεδιάστηκαν στην προηγούμενη φάση (Σχεδιασμού) 31

Η φάση υλοποίησης (Do): Δραστηριότητες Διαμόρφωση σχεδίου διαχείρισης κινδύνων Κατανομή ρόλων και αρμοδιοτήτων Υλοποίηση μέτρων ασφάλειας Σχεδιασμός και υλοποίηση δράσεων ενημέρωσης και κατάρτισης Λειτουργία του ΣΔΑΠ Υλοποίηση των διαδικασιών έγκαιρης ανίχνευσης περιστατικών ασφάλειας Υλοποίηση των διαδικασιών αντιμετώπισης περιστατικών παραβίασης ασφάλειας 32

Η φάση ελέγχου (Check) Παρακολούθηση και έλεγχος του Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών: Αξιολόγηση και μέτρηση (όπου είναι εφικτό) των επιδόσεων Αναφορά αποτελεσμάτων στη Διοίκηση 33

Η φάση ελέγχου (Check): δραστηριότητες Έλεγχος καλής λειτουργίας διαδικασιών για: Έγκαιρη ανίχνευση λαθών Έγκαιρη ανίχνευση περιστατικών ασφάλειας Έλεγχο τήρησης αρμοδιοτήτων ασφάλειας Αποτελεσματικότητα ενεργειών χειρισμού περιστατικών ασφάλειας 34

Η φάση ελέγχου (Check): δραστηριότητες Τακτικοί έλεγχοι αποτελεσματικότητας του ΣΔΑΠ Έλεγχοι αποτελεσματικότητας μέτρων ασφάλειας Έλεγχος στοιχείων της μελέτης ανάλυσης κινδύνων Τακτικοί εσωτερικοί έλεγχοι Τακτική επανεξέταση του ΣΔΑΠ από τη Διοίκηση 35

Η φάση διόρθωσης (Act) Συντήρηση και βελτίωση του Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών σύμφωνα με τους εσωτερικούς ελέγχους και την επανεξέταση από τη Διοίκηση: Διορθωτικές ενέργειες Προληπτικές ενέργειες 36

Η φάση διόρθωσης (Act): δραστηριότητες Διόρθωση σημείων που χρήζουν βελτίωσης Υλοποίηση διορθωτικών ενεργειών Υλοποίηση προληπτικών ενεργειών Ενημέρωση των μετόχων Έλεγχος αποτελεσματικότητας διορθώσεων 37

Η στήριξη της διοίκησης Το ανώτατο επίπεδο διοίκησης κάθε οργανισμού εξετάζει, στο πλαίσιο ενός δεδομένου και πεπερασμένου προϋπολογισμού, εναλλακτικές δράσεις που του προτείνονται με κριτήρια, συνήθως, κόστους - οφέλους για τον οργανισμό. Επομένως, πρέπει να πειστεί το ανώτατο επίπεδο διοίκησης ότι οι το πρόγραμμα ασφάλειας θα αποφέρει οφέλη στον οργανισμό και μάλιστα περισσότερα οφέλη από αυτά που θα αποφέρουν άλλες, ανταγωνιστικές δράσεις.

Η στήριξη της διοίκησης Αναμενόμενα από το ΣΔΑΠ οφέλη οφέλη λόγω της μείωσης του κινδύνου για την ασφάλεια πληροφοριών, οφέλη λόγω της προτυποποίησης, οφέλη λόγω της δομημένης προσέγγισης στο πρόβλημα και οφέλη λόγω της συμμόρφωσης με το πρότυπο ISO/IEC 27001.

Η στήριξη της διοίκησης Το κόστος της δράσης αναλύεται στο κόστος της διαχείρισης της δράσης υλοποίησης του ΣΔΑΠ, σε άλλα κόστη που αφορούν στην υλοποίηση του ΣΔΑΠ (π.χ. το κόστος απογραφής των πληροφοριακών αγαθών και της δημιουργίας σχετικής βάσης δεδομένων, το κόστος υποστηρικτικών μελετών κλπ.), στο κόστος πιστοποίησης και στο κόστος λειτουργίας και συντήρησης του ΣΔΑΠ.

Η στήριξη της διοίκησης υπάρχει όταν Συμμετέχει ενεργά στη διαμόρφωση μιας πολιτικής ασφάλειας Καθορίζει ρόλους και αναθέτει αρμοδιότητες και καθήκοντα για την ασφάλεια πληροφοριών. Φροντίζει να γνωστοποιήσει σε όλον τον οργανισμό τη σημασία που αποδίδει στη συμμόρφωση με την πολιτική ασφάλειας. Διαθέτει τους απαραίτητους ανθρώπινους και οικονομικούς πόρους που απαιτούνται για την ανάπτυξη, τη λειτουργία και τη συντήρηση του ΣΔΑΠ.

Το πεδίο εφαρμογής Καθορίζεται από τη διοίκηση, λαμβάνοντας υπόψη τη φύση του οργανισμού, την οργάνωσή του, τη γεωγραφική του θέση και τα πληροφοριακά αγαθά και τις τεχνολογίες που χρησιμοποιεί. Η βέλτιστη επιλογή είναι το πεδίο εφαρμογής του ΣΔΑΠ να καλύπτει όλα τα πληροφοριακά συστήματα ενός οργανισμού.

Η απογραφή των πληροφοριακών αγαθών Καταχώριση στο μητρώο των πληροφοριακών αγαθών, που συνήθως έχει τη μορφή μιας βάσης δεδομένων ή, για μικρότερα ΣΔΑΠ, ενός βιβλίου εργασίας Excel. Για κάθε αγαθό το μητρώο καταγράφει τον τύπο του, τη μορφή του (π.χ. λογισμικό, φυσικό/έγχαρτο, υπηρεσίες, άνθρωποι, άυλα αγαθά), τη θέση του, πληροφορίες σχετικές με αντίγραφα ασφαλείας (backup), πληροφορίες σχετικές με άδειες χρήσης λογισμικού (licenses) και την επιχειρησιακή του αξία (π.χ. ποιες επιχειρησιακές διεργασίες εξαρτώνται απ αυτό το αγαθό).

Η διεξαγωγή της μελέτης εκτίμησης κινδύνων Όλη η φιλοσοφία του ΣΔΑΠ στηρίζεται στην έννοια του κινδύνου για τα πληροφοριακά αγαθά. Το ISO/IEC 27005, αναφέρεται αποκλειστικά στην ανάλυση και διαχείριση κινδύνων.

Δήλωση εφαρμογής (SOA) και σχέδιο διαχείρισης κινδύνων (RTP) Αναγνώριση και Ανάλυση Κινδύνων Παράρτημα Α Επιλογή Μέτρων Ασφάλειας Ανάλυση Χάσματος Δήλωση Εφαρμογής Υπάρχοντα Μέτρα Ασφάλειας Σχεδιασμός Διαχείρισης Κινδύνων Σχέδιο Διαχείρισης Κινδύνων Στόχοι Ασφάλειας Υλοποίηση Μέτρων Ασφάλειας

Το Παράρτημα Α Περιγραφή των ενοτήτων μέτρων ασφάλειας που πρέπει να καλύπτει ένα ΣΔΑΠ 14 θεματικές ενότητες μέτρων 35 κατηγορίες-στόχοι ασφάλειας που ανήκουν σε αυτές 114 μέτρα ασφάλειας για την ικανοποίηση των στόχων ασφάλειας 47

Άλλες πηγές μέτρων ασφάλειας Το πρότυπο Payment Card Industry Data Security Standard (PCI/DSS), Η εθνική νομοθεσία προστασίας δεδομένων προσωπικού χαρακτήρα ή άλλη σχετική νομοθεσία, Ο κατάλογος SANS Critical Controls, Ο κατάλογος IT Grundschutz της Bundesamt für Sicherheit in der Informationstechnik (BSI), Ο κατάλογος του National Institute of Science and Technology (NIST) Security and Privacy Controls for Federal Information Systems and Organizations κ.α. Δικός μας σχεδιασμός

Διαμόρφωση δήλωσης εφαρμογής Επιλογή επιθυμητών μέτρων ασφάλειας. Προσδιορισμός κατάστασης υλοποίησης μέτρων μέσω Gap analysis (COBIT 4.1 Maturity Model, Carnegie Mellon Software Engineering Institute Capability Maturity Model - CMM).

Μοντέλο CMM Βαθμός 0: Διεργασία Ανύπαρκτη Βαθμός 1: Διεργασία Αρχική/Ad hoc Βαθμός 2: Διεργασία Επαναλήψιμη, αλλά διαισθητική Βαθμός 3: Διεργασία Καθορισμένη Βαθμός 4: Διεργασία Διαχειριζόμενη και μετρήσιμη Βαθμός 5: Διεργασία Βελτιστοποιημένη

Μέτρα ασφάλειας ISO 27001:2013 Υπάρχοντ α μέτρα ασφάλει ας Παρατηρήσεις (Αιτιολόγηση αποκλεισμού) Επιλεγμένα μέτρα και λόγοι επιλογής Παρατηρήσεις (Κατάσταση υλοποίησης) ΝΑ ΣΥ ΕΑ/Κ Π ΑΑΚ Ενότητα Υποενότητα Μέτρο ασφάλειας ΝΑ =Νομική απαίτηση ΣΥ=Συμβατική υποχρέωση ΕΑ/ΚΠ=Επιχειρησιακή απαίτηση/καλή πρακτική ΑΑΚ= Αποτέλεσμα ανάλυσης κινδύνων

Σχέδιο διαχείρισης κινδύνων Κίνδυνος: μόλυνση του δικτύου από αναπαραγωγούς ή άλλο παρόμοιο κακόβουλο λογισμικό, που προκαλεί διακοπές λειτουργίας του δικτύου, ζημιά στα δεδομένα, μη εξουσιοδοτημένη πρόσβαση σε συστήματα και άλλες συνεπακόλουθες ζημιές ή απώλειες, στις οποίες συμπεριλαμβάνονται και τα κόστη διερεύνησης των περιστατικών και αποκατάστασης.

Σχέδιο διαχείρισης κινδύνων Διαχείριση κινδύνου: Μετριασμός του κινδύνου πρωτίστως με χρήση αντιβιοτικών, καθώς και ελέγχων πρόσβασης στα δίκτυα, στα συστήματα και στα δεδομένα, όπως και διαχείρισης περιστατικών, αντιγράφων ασφάλειας, σχεδίων έκτακτης ανάγκης, πολιτικών, διαδικασιών και οδηγιών. Αναπαραγωγός (worm) είναι τύπος κακόβουλου λογισμικού που αναπαράγεται με σκοπό να εξαπλωθεί σε υπολογιστικά συστήματα.

Ο σχεδιασμός του προγράμματος υλοποίησης του ΣΔΑΠ Τι ακριβώς πρόκειται να γίνει; Τι πόροι θα χρειαστούν; Ποιος θα είναι υπεύθυνος; Πότε θα τελειώσουμε; Πώς θα αξιολογήσουμε τα αποτελέσματα; Προτεραιότητα κάθε μιας δραστηριότητας ασφάλειας;

Η υλοποίηση του ΣΔΑΠ Η δραστηριότητα αυτή μπορεί να είναι και έντασης εργασίας και χρονοβόρα. Δεν είναι ασύνηθες να διαρκεί μήνες ή ακόμη και χρόνια. Κατά την υλοποίηση των μέτρων ασφάλειας, βελτιώνεται ο βαθμός ωριμότητας του ΣΔΑΠ και, επομένως, η δήλωση εφαρμογής πρέπει να επικαιροποιείται αναλόγως.

Η τεκμηρίωση του ΣΔΑΠ Στόχοι και πολιτική του ΣΔΑΠ Πεδίο εφαρμογής του ΣΔΑΠ Διαδικασίες και άλλα μέτρα ασφάλειας που υποστηρίζουν το ΣΔΑΠ Περιγραφή μεθόδου εκτίμησης κινδύνων Έκθεση εκτίμησης κινδύνων Σχέδιο διαχείρισης κινδύνων Διαδικασίες που περιγράφουν πώς θα μετράται η αποτελεσματικότητα των μέτρων ασφάλειας Άλλα αρχεία Δήλωση Εφαρμογής 56

Η επιθεώρηση συμμόρφωσης και η ανάληψη διορθωτικών ενεργειών Κατά την επανεξέταση, εκτιμούμε τα περιθώρια βελτίωσης και την ανάγκη να γίνουν αλλαγές στο ΣΔΑΠ, της πολιτικής και των στόχων ασφάλειας. Τα αποτελέσματα αυτής της διαδικασίας τεκμηριώνονται και συντηρούνται ως αρχεία. Πρέπει να υλοποιήσουμε όσες αναγκαίες διορθωτικές ενέργειες εντοπίσουμε.

Η προ της πιστοποίησης (προκαταρκτική) αξιολόγηση Οι ελεγκτές της πιστοποίησης θα αναζητήσουν αποδείξεις ότι το ΣΔΑΠ λειτουργεί και βελτιώνεται συνεχώς. Τέτοιες αποδείξεις μπορεί να είναι αρχεία διεργασιών όπως εκθέσεις εκτίμησης κινδύνων, επανεξετάσεις από τη διοίκηση, αναφορές περιστατικών παραβίασης ασφάλειας, διορθωτικές ενέργειες κλπ. Επομένως, το ΣΔΑΠ πρέπει να αφεθεί να λειτουργήσει ομαλά για ένα διάστημα, ούτως ώστε να δημιουργηθεί το απαιτούμενο ιστορικό αρχείο της λειτουργίας και της βελτίωσής του, πριν ζητηθεί η πιστοποίησή του.

Ο έλεγχος συμμόρφωσης για την πιστοποίηση του ΣΔΑΠ κατά ISO/IEC 27001 Οδηγίες για τον έλεγχο συμμόρφωσης προκειμένου το ΣΔΑΠ ενός οργανισμού να πιστοποιηθεί κατά ISO/IEC 27001 περιέχονται στο πρότυπο ISO/IEC 27007:2011.

Ευχαριστώ!

2025 © DocPlayer.gr Πολιτική Απορρήτου | Όροι Χρήσης | Σχόλια