Δεκέμβρης 2006. Δημήτρης Γκρίτζαλης. Σειρά Τεχνικών Αναφορών No. 2 (2006) Κωδικός αναφοράς: AUEB-CIS/MET-0206/v.2.5/28.12.06



Σχετικά έγγραφα
ΕΡΩΤΗΜΑΤΟΛΟΓΙΟ ΑΞΙΟΛΟΓΗΣΗΣ ΑΣΦΑΛΕΙΑΣ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ

Critical ICT Infrastructures Protection: Trends and Perspectives. Dimitris Gritzalis

From Information Security to Cyber Defense. Dimitris Gritzalis

Security in the Cloud Era

Organizing the Protection of Critical ICT Infrastructures. Dimitris Gritzalis

From Secure e-computing to Trusted u-computing. Dimitris Gritzalis

Protecting Critical ICT Infrastructures

ΤΕΙ Θεσσαλίας - Διοίκησης και Οικονομίας (ΣΔΟ) Τμήμα Διοίκησης Επιχειρήσεων

Online Social Networks: Posts that can save lives. Dimitris Gritzalis, Sotiria Giannitsari, Dimitris Tsagkarakis, Despina Mentzelioti April 2016

Critical Infrastructure Protection: A Roadmap for Greece D. Gritzalis

Δημήτρης Γκρίτζαλης. Σειρά Τεχνικών Αναφορών No. 3 (2006) Κωδικός αναφοράς: AUEB-CIS/COD-0306/v.1.1/

Selecting Essential IT Security Projects. Dimitris Gritzalis

(5) (15) 2007 (7) (9) 2007 (6)

έργων (μήνες) Μέτρα Aσφάλειας 2008 (5) (5) (15) 2007 (7) (9) (6) 2007 (6)

Wiley, USA, , D. Gollmann, Computer Security, pp , J. Wiley, USA, 1999.

National Critical Telecommunication Infrastructure Protection: Towards an Holistic Strategy. PanosKotzanikolaou June 2016

Wiley, USA, D. Gollmann, Computer Security, pp , J. Wiley, USA, Δικτύων Υπολογιστών, σελ , Εκδό-

Σχεδιάζοντας ένα σύγχρονο πρόγραµµα εκπαίδευσης στελεχών µικροµεσαίων επιχειρήσεων σε θέµατα ασφάλειας

Secure Cyberspace: New Defense Capabilities

ΕΦΑΡΜΟΣΜΕΝΗΣ ΠΛΗΡΟΦΟΡΙΚΗΣ & ΠΟΛΥΜΕΣΩΝ

Παρουσίαση της μεθοδολογίας Octave

Online Social Networks: Posts that can save lives. Sotiria Giannitsari April 2016

Διασφάλιση της Ποιότητας στις Υπηρεσίες Πληροφόρησης

The SPHINX project report Dimitris Gritzalis

Cyberwar ante portas : The role and importance of national cyber-defense exercises

Critical Infrastructures: The Nervous System of every Welfare State. G. Stergiopoulos, D. Gritzalis

ΠΕΡΙΛΗΨΗ ΑΠΟΦΑΣΗΣ ΥΛΟΠΟΙΗΣΗΣ ΥΠΟΕΡΓΟΥ ΜΕ ΙΔΙΑ ΜΕΣΑ

Δηλώστε συμμετοχή εδώ! Περιορισμένες θέσεις

Ζητήματα Ασφάλειας στο σχεδιασμό Επιχειρησιακής Συνέχειας. Τσώχου Αγγελική

Security Project, Athens 26 May 2017

Συνεργασία PRIORITY & INTERAMERICAN:

Protecting Critical Public Administration ICT Infrastructures. Dimitris Gritzalis

ΘΕΜΑΤΟΛΟΓΙΑ ΣΕΜΙΝΑΡΙΟΥ Data Protection Officer (DPO)

Wiley, USA, Κάτσικα Σ., Γκρίτζαλη Δ., Γκρίτζαλη Σ., Ασφά- AUEB_ISS_Risk_Analysis_v12.pdf 2 Διάλεξη Εκδόσεις Νέων Τεχνολογιών, Αθήνα 2003.

Discussing Security and Privacy Issues in the Age of Surveillance Dimitris Gritzalis

Το Peer Review for EQAVET ως εργαλείο Διασφάλισης της Ποιότητας στην Επαγγελματική Εκπαίδευση και Κατάρτιση

ΗΛΕΚΤΡΟΝΙΚΩΝ ΥΠΟΛΟΓΙΣΤΙΚΩΝ ΣΥΣΤΗΜΑΤΩΝ

Critical ICT Infrastructure Protection: Overview of the Greek National Status

ΤΥΠΟΠΟΙΗΣΗ ΜΕΘΟΔΟΛΟΓΙΑΣ ΣΤΗΝ ΕΠΙΒΛΕΨΗ ΤΩΝ ΔΗΜΟΣΙΩΝ ΕΡΓΩΝ : ΠΡΟΓΡΑΜΜΑΤΑ ΠΟΙΟΤΗΤΑΣ Εισηγητής: Σοφοκλής Τζοβαρίδης Προϊστάμενος Δ11β στη ΓΓΔΕ/ΥΠΕΧΩΔΕ

ΕΛΕΓΧΟΣ ΠΡΟΓΡΑΜΜΑΤΟΣ ΕΠΙΧΕΙΡΗΣΙΑΚΗΣ ΣΥΝΕΧΕΙΑΣ (Auditing Business Continuity Plan & Disaster Recovery Plan)

ΕΝΗΜΕΡΩΤΙΚΟ ΣΗΜΕΙΩΜΑ

Μάθημα: Διεθνείς & Ευρωπαϊκές Πολιτικές για την έρευνα Εξάμηνο Σπουδών:

Έργα Ασφάλειας Πληροφοριών και Προστασίας Κρίσιμων Υποδομών

ΤΗΛΕΠΙΚΟΙΝΩΝΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ ΚΑΙ ΔΙΚΤΥΩΝ

Legal use of personal data to fight telecom fraud

ΟΔΗΓΙΕΣ ΓΙΑ ΤΙΣ ΕΡΕΥΝΗΤΙΚΕΣ ΕΡΓΑΣΙΕΣ

Digital signatures in practice in Greece: Capabilities and limitations. Dimitrios Lekkas, Dimitris Gritzalis

The Greek Data Protection Act: The IT Professional s Perspective

ΕΛΛΗΝΙΚΗ ΔΗΜΟΚΡΑΤΙΑ ΥΠΟΥΡΓΕΙΟ ΟΙΚΟΝΟΜΙΚΩΝ ΓΕΝΙΚΗ ΓΡΑΜΜΑΤΕΙΑ ΥΠΟΥΡΓΕΙΟΥ ΟΙΚΟΝΟΜΙΚΩΝ ΔΙΕΥΘΥΝΣΗ ΠΡΟΜΗΘΕΙΩΝ ΔΙΑΧΕΙΡΙΣΗΣ

ΥΠΟΥΡΓΕΙΟ ΟΙΚΟΝΟΜΙΑΣ & ΑΝΑΠΤΥΞΗΣ ΕΙΔΙΚΗ ΓΡΑΜΜΑΤΕΙΑ ΔΙΑΧΕΙΡΙΣΗΣ ΤΟΜΕΑΚΩΝ ΕΠ ΤΟΥ ΕΚΤ ΕΙΔΙΚΟΣ ΓΡΑΜΜΑΤΕΑΣ. Αθήνα, Αρ. Πρωτ. Ε.Γ.

Η ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΑΚΥΒΕΡΝΗΣΗ ΣΤΗΝ ΕΥΡΩΠΗ ΚΑΙ ΤΗΝ ΕΛΛΑΔΑ

ΟΜΑ Α ΕΡΓΑΣΙΑΣ H1 Ηλεκτρονικές Υπηρεσίες και Εφαρµογές. Προοπτικές. Εισηγητής: ρ. Νικήτας Νικητάκος

ΠΡΟΣΚΛΗΣΗ ΕΝΔΙΑΦΕΡΟΝΤΟΣ KAI ΚΑΤΑΘΕΣΗΣ ΠΡΟΣΦΟΡΩΝ ΓΙΑ ΤΗΝ ΑΝΑΘΕΣΗ ΤΟΥ ΕΡΓΟΥ:

ΑΞΙΟΛΟΓΗΣΗ ΕΠΙΣΤΗΜΟΝΙΚΩΝ ΚΑΙ ΕΡΓΑΣΤΗΡΙΑΚΩΝ ΣΥΝΕΡΓΑΤΩΝ Μαθηματική Ανάλυση ΚΑΤΑΤΑΞΗ ΕΠΙΣΤΗΜΟΝΙΚΩΝ ΚΑΙ ΕΡΓΑΣΤΗΡΙΑΚΩΝ ΣΥΝΕΡΓΑΤΩΝ ΜΕ ΠΛΗΡΗ ΠΡΟΣΟΝΤΑ

ΕΝΗΜΕΡΩΣΗ. Για περισσότερες πληροφορίες επικοινωνήστε μαζί μας στο

The IT Security Expert Profile

Επίσηµη Εφηµερίδα της Ευρωπαϊκής Ένωσης

ΓΕΝΙΚΟΣ ΚΑΝΟΝΙΣΜΟΣ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ

ΠΙΝΑΚΑΣ ΚΡΙΤΗΡΙΩΝ ΑΞΙΟΛΟΓΗΣΗΣ. Τίτλος Κριτηρίου. Α.1 Οργανωτική Δομή - Οικονομικά στοιχεία 10%

Security and Privacy: From Empiricism to Interdisciplinarity. Dimitris Gritzalis

ΜΑΘΗΜΑ ΣΤΙΣ ΑΣΥΡΜΑΤΕΣ ΤΗΛΕΠΙΚΟΙΝΩΝΙΕΣ ΔΙΔΑΣΚΩΝ ΣΥΝΤΟΝΙΣΤΗΣ ΕΡΓΑΣΙΩΝ: ΧΑΡΗΣ ΣΤΕΛΛΑΚΗΣ.

ΔΙΕΘΝΕΣ ΠΑΝΕΠΙΣΤΗΜΙΟ ΕΛΛΑΔΟΣ Σχολή Επιστημών Τεχνολογίας. Δρ. Κοντόπουλος Ευστράτιος Ακαδημαϊκός Βοηθός Σχολή Επιστημών Τεχνολογίας

ΠΟΛΙΤΙΚΕΣ ΚΑΙ ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ

Έργα Ασφάλειας Πληροφοριών και Προστασίας Κρίσιμων Υποδομών

Used to be Information Security - Now is Critical ICT Infrastructure Protection Dimitris Gritzalis

Towards a more Secure Cyberspace

Spam over Internet Telephony (SPIT): An emerging threat. Dimitris Gritzalis

COORDINATION of RISK, COMPLIANCE & INTERNAL AUDIT

Εκπαιδευτικές δράσεις σε προγράμματα πληροφοριακής παιδείας: Ανάπτυξη ψηφιακών μαθημάτων στο σύστημα διαχείρισης μάθησης LAMS

ΑΠΟΤΕΛΕΣΜΑΤΑ ΔΙΑΒΟΥΛΕΥΣΗΣ (Το έντυπο αποστέλλεται στην ΕΥΔ ΕΠ ΨΣ)

ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΥΓΕΙΑΣ ΕΙΔΙΚΟΣ ΛΟΓΑΡΙΑΣΜΟΣ ΚΟΝΔΥΛΙΩΝ ΕΡΕΥΝΑΣ Λ. Αλεξάνδρας 196, Αθήνα ΠΕΡΙΛΗΨΗ ΠΡΟΣΚΛΗΣΗΣ ΕΚΔΗΛΩΣΗΣ ΕΝΔΙΑΦΕΡΟΝΤΟΣ

Τ.Ε.Ι. ΑΘΗΝΑΣ ΣΧΟΛΗ ΕΠΑΓΓΕΛΜΑΤΩΝ ΥΓΕΙΑΣ & ΠΡΟΝΟΙΑΣ ΤΜΗΜΑ ΑΙΣΘΗΤΙΚΗΣ & ΚΟΣΜΗΤΟΛΟΓΙΑΣ ΕΓΧΕΙΡΙΔΙΟ ΕΚΠΟΝΗΣΗΣ

ΔΙΑΧΕΙΡΙΣΤΙΚΗ ΙΚΑΝΟΤΗΤΑ ΔΥΝΗΤΙΚΩΝ ΔΙΚΑΙΟΥΧΩΝ ΕΣΠΑ Η ΥΓΕΙΟΝΟΜΙΚΗ ΠΕΡΙΦΕΡΕΙΑ ΚΡΗΤΗΣ ΣΥΝΑΝΤΗΣΗ ΔΙΟΙΚΗΤΩΝ Παρασκευή, 11 Σεπτεμβρίου 2015

Πολιτικές Ασφάλειας Πληροφοριακών Συστημάτων. Σωκράτης Κ. Κάτσικας Τμήμα Μηχ/κών Πληροφοριακών & Επικοινωνιακών Συστημάτων Πανεπιστήμιο Αιγαίου

Ημερίδα διάχυσης αποτελεσμάτων έργου Ιωάννινα, 14/10/2015

ΑΞΙΟΛΟΓΗΣΗ ΕΠΙΣΤΗΜΟΝΙΚΩΝ ΚΑΙ ΕΡΓΑΣΤΗΡΙΑΚΩΝ ΣΥΝΕΡΓΑΤΩΝ ΔΙΚΤΥΑ ΥΠΟΛΟΓΙΣΤΩΝ ΘΕΩΡΙΑ ΚΑΤΑΤΑΞΗ ΕΠΙΣΤΗΜΟΝΙΚΩΝ ΚΑΙ ΕΡΓΑΣΤΗΡΙΑΚΩΝ ΣΥΝΕΡΓΑΤΩΝ ΜΕ ΠΛΗΡΗ ΠΡΟΣΟΝΤΑ

2018 / 19 ΜΕΤΑΠΤΥΧΙΑΚΑ ΠΡΟΓΡΑΜΜΑΤΑ ΠΟΛΥΤΕΧΝΙΚΗ ΣΧΟΛΗ ΤΜΗΜΑ ΜΗΧΑΝΙΚΩΝ ΠΛΗΡΟΦΟΡΙΑΚΩΝ & ΕΠΙΚΟΙΝΩΝΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ

«DARIAH-ΑΤΤΙΚΗ Ανάπτυξη της ελληνικής ερευνητικής υποδομής για τις ανθρωπιστικές επιστήμες ΔΥΑΣ» Αθήνα, 26 Φεβρουαρίου 2015

η PRIORITY από το 1995 ανάλυση και βελτίωση επιχειρησιακών διαδικασιών σύμφωνα με κανονιστικό πλαίσιο διεθνή πρότυπα και βέλτιστες πρακτικές

Β κύκλος εργασιών Οµάδα Εργασίας OE B1

Διάταξη Προγράμματος Σπουδών SAE / Συστήματα Ασύρματης Επικοινωνίας

ΠΡΟΣΚΛΗΣΗ ΕΚΔΗΛΩΣΗΣ ΕΝΔΙΑΦΕΡΟΝΤΟΣ ΓΙΑ ΥΠΟΒΟΛΗ ΠΡΟΤΑΣΗΣ/ΕΩΝ ΓΙΑ ΣΥΝΑΨΗ ΣΥΜΒΑΣΗΣ/ΕΩΝ ΜΙΣΘΩΣΕΩΣ ΕΡΓΟΥ ΙΔΙΩΤΙΚΟΥ ΔΙΚΑΙΟΥ ΓΙΑ:

Πυλώνας Ι Έξυπνη Ανάπτυξη

ΑΔΑ: ΒΛΛΩΟΞΛΔ-ΕΨΘ ΑΝΑΡΤΗΤΕΑ ΣΤΟ ΔΙΑΔΙΚΤΥΟ ΓΡΑΦΕΙΟ ΧΡΗΜΑΤΟΔΟΤΟΥΜΕΝΩΝ ΚΑΙ ΣΥΓΧΡΗΜΑΤΟΔΟΤΟΥΜΕΝΩΝ ΠΡΟΓΡΑΜΜΑΤΩΝ. Αθήνα, Αριθ. Πρωτ.

Κων/νος Λαμπρινουδάκης Αναπληρωτής Καθηγητής Τμήμα Ψηφιακών Συστημάτων Εργαστήριο Ασφάλειας Συστημάτων Πανεπιστήμιο Πειραιώς

Εφαρμογή Υπολογιστικών Τεχνικών στην Γεωργία

Ο ΕΛΟΤ ΣΤΟΥΣ ΕΥΡΩΠΑΪΚΟΥΣ ΚΑΙ ΕΘΝΙΚΟΥΣ ΟΡΓΑΝΙΣΜΟΥΣ Ο Ελληνικός Οργανισμός Τυποποίησης (ΕΛΟΤ) είναι ορισμένος ως Εθνικός Οργανισμός Τυποποίησης στους Ορ

ΑΞΙΟΛΟΓΗΣΗ ΕΠΙΣΤΗΜΟΝΙΚΩΝ ΚΑΙ ΕΡΓΑΣΤΗΡΙΑΚΩΝ ΣΥΝΕΡΓΑΤΩΝ ΔΙΚΤΥΑ ΥΠΟΛΟΓΙΣΤΩΝ ΘΕΩΡΙΑ ΚΑΤΑΤΑΞΗ ΕΠΙΣΤΗΜΟΝΙΚΩΝ ΚΑΙ ΕΡΓΑΣΤΗΡΙΑΚΩΝ ΣΥΝΕΡΓΑΤΩΝ ΜΕ ΠΛΗΡΗ ΠΡΟΣΟΝΤΑ

ΕΛΛΗΝΙΚΗ ΔΗΜΟΚΡΑΤΙΑ ΔΗΜΟΚΡΙΤΕΙΟ ΠΑΝΕΠΙΣΤΗΜΙΟ ΘΡΑΚΗΣ ΕΠΙΤΡΟΠΗ ΕΡΕΥΝΩΝ ΠΑΝΕΠΙΣΤΗΜΙΟΥΠΟΛΗ, ΚΟΜΟΤΗΝΗ ΠΡΟΣΚΛΗΣΗ ΕΚΔΗΛΩΣΗΣ ΕΝΔΙΑΦΕΡΟΝΤΟΣ

Προγράμματα με έγκριση ποιότητας από την ΕΑΙΠ. Σχολή Ανθρωπιστικών Σπουδών, Κοινωνικών Επιστημών και Νομικής

ΕΙΔΙΚΟΣ ΛΟΓΑΡΙΑΣΜΟΣ ΚΟΝΔΥΛΙΩΝ ΕΡΕΥΝΑΣ ΚΑΙ ΕΚΠΑΙΔΕΥΣΗΣ. Για την υποβολή προτάσεων προς σύναψη συμβάσεων μίσθωσης έργου Ιδιωτικού Δικαίου, για την

ΠΡΟΤΑΣΗ ΓΙΑ ΤΗΝ ΕΞΕΙ ΙΚΕΥΣΗ ΚΑΙ ΤΗΝ ΥΠΟΣΤΗΡΙΞΗ ΤΗΣ ΕΦΑΡΜΟΓΗΣ ΤΩΝ ΕΠΙΧΕΙΡΗΣΙΑΚΩΝ ΠΡΟΓΡΑΜΜΑΤΩΝ TOY ΕΣΠΑ

STORM-RM: A Collaborative Risk Management Methodology. T. Ntouskas, D. Gritzalis

ΘΕΜΑ: Διαδικασία ένταξης των σχολικών μονάδων στο πρόγραμμα αναβάθμισης των ψηφιακών υποδομών

ΑΝΑΡΤΗΤΕΑ ΕΥΡΩΠΑΙΚΗ ΕΝΩΣΗ ΕΥΡΩΠΑΙΚΟ ΚΟΙΝΩΝΙΚΟ ΤΑΜΕΙΟ (ΕΚΤ)

Γιατί να κάνω. µεταπτυχιακές σπουδές στα Πληροφοριακά Συστήµατα?

ΝΕΟΣ ΕΥΡΩΠΑΪΚΟΣ ΚΑΝΟΝΙΣΜΟΣ ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ (ΚΑΝΟΝΙΣΜΟΣ 679/2016)

1) Γέρου Βασιλική Διοικητική Διευθύντρια 2) Νικολοπούλου Χαρίκλεια Δ/ντρια Φαρμακείου 3) Τζιάρας Λουκάς ΔΕ Διοικητικών Γραμματέων

ΥΠΟΒΟΛΗ ΠΡΟΤΑΣΕΩΝ / ΠΑΡΑΤΗΡΗΣΕΩΝ

SPIT: Still another emerging Internet threat

Transcript:

ΟΙΚΟΝΟΜΙΚΟ ΠΑΝΕΠΙΣΤΗΜΙΟ ΑΘΗΝΩΝ ΤΜΗΜΑ ΠΛΗΡΟΦΟΡΙΚΗΣ Διευθυντής: Δημήτρης Α. Γκρίτζαλης, Aναπληρωτής Καθηγητής Ασφάλειας στις ΤΠΕ Μέθοδος CIS-ESMI Αξιολόγηση της εφαρμογής των Μέτρων Ασφάλειας Δημήτρης Γκρίτζαλης Σειρά Τεχνικών Αναφορών No. 2 (2006) Κωδικός αναφοράς: AUEB-CIS/MET-0206/v.2.5/28.12.06 Δεκέμβρης 2006 Οικονομικό Πανεπιστήμιο Αθηνών, Τμήμα Πληροφορικής Πατησίων 76, Αθήνα 10434 Tηλ.: 210.8203.505 ή 157, Website: www.cis.aueb.gr

Security should pay, not cost Επαγγελματικό moto Περίληψη: Λέξεις-κλειδιά: Ευχαριστίες: Οι ανάδοχοι πολλών από τα έργα ΤΠΕ που εκπονούνται στο πλαίσιο του Ε.Π. Κοινωνία της Πληροφορίας, ειδικά όσων χαρακτηρίζονται από αυξημένη πολυπλοκότητα, πλαισιώνονται από ένα Σύμβουλο Τεχνικής Υποστήριξης (ΣΤΥ). Το έργο των ΣΤΥ περιλαμβάνει και την εκπόνηση της Μελέτης Ασφάλειας για καθένα από τα αναπτυσσόμενα Πληροφοριακά Συστήματα. Η Μελέτη Ασφάλειας εντοπίζει και περιγράφει, με μεθοδικό τρόπο, τα Μέτρα Ασφάλειας που είναι επαρκή για την προστασία κάθε Ολοκληρωμένου Πληροφοριακού Συστήματος ή/και Κρίσιμης Υ- ποδομής. Στη συνέχεια, ο ανάδοχος κάθε έργου αναλαμβάνει να υλοποιήσει τα μέτρα αυτά, συχνά σε συνεργασία με το φορέα για τον οποίο εκπονείται το έργο. Μετά την υλοποίηση των Μέτρων Ασφάλειας, ο ΣΤΥ οφείλει να αξιολογήσει την ορθότητα και την πληρότητα της εφαρμογής τους. Η παρούσα αναφορά περιγράφει τη μέθοδο CIS-ESMI, η οποία σχεδιάσθηκε για την αξιολόγηση των Μέτρων Ασφάλειας ενός Πληροφοριακού Συστήματος ή/και μιας Κρίσιμης Υποδομής, σύμφωνα με την προαναφερθείσα διαδικασία. Περαιτέρω, η ESMI μπορεί να αξιοποιηθεί και ευρύτερα, εκτός έργων της ΚτΠ ΑΕ, σε παρόμοιες περιπτώσεις. Μελέτη Ασφάλειας, Μέτρα Ασφάλειας, Διαδικασίες Ασφάλειας, Ασφάλεια Πληροφοριών, Προστασία Κρίσιμων Υποδομών, Προστασία Εγκαταστάσεων, Αξιολόγηση Ασφάλειας, Ορθότητα, Πληρότητα. Ευχαριστώ τους συνεργάτες μου Στέλιο Δρίτσα, Μαριάνθη Θεοχαρίδου, Αγγελική Τσώχου, Άγγελο Νακούλα και Γιάννη Μάλλιο, μέλη της Ερευνητικής και Μελετητικής Ομάδας Ασφάλειας Πληροφοριών και Προστασίας Κρίσιμων Υποδομών, για τα σχόλια και τις παρατηρήσεις τους. Πολλά από αυτά προέκυψαν κατά την πιλοτική εφαρμογή της ES- MI στις Μελέτες Ασφάλειας του Συστήματος Ηλεκτρονικών Πολεοδομιών, καθώς και του Ολοκληρωμένου Πληροφοριακού Συστήματος Υγείας της ΔΥΠε Δυτικής Ελλάδας. Την Α. Τσώχου την ευχαριστώ και για την εποπτική περιγραφή της ESMI. Ευχαριστώ, επίσης, τους Κώστα Τσιακατάρα και Αριστόδημο Θωμόπουλο, Partners της εταιρείας ΔΙΑΔΙ- ΚΑΣΙΑ Σύμβουλοι Επιχειρήσεων ΑΕ, η οποία είναι ο ΣTY των προαναφερθέντων έργων, για τη γόνιμη συνεργασία τους κατά την εφαρμογή της ESMI. 2

Πίνακας περιεχομένων 1. Εισαγωγή. 4 2. Δομή μεθόδου. 6 3. Υλοποίηση μεθόδου 9 Βιβλιογραφία.. 14 Λίγα λόγια για το συγγραφέα..16 3

1. ΕΙΣΑΓΩΓΗ Το Επιχειρησιακό Πρόγραμμα (ΕΠ) Κοινωνία της Πληροφορίας αποτελεί, σήμερα, το βασικό χρηματοδοτικό μοχλό για την ανάπτυξη των Τεχνολογιών Πληροφορικής και Επικοινωνιών (ΤΠΕ) στη χώρα μας. Η Κοινωνία της Πληροφορίας (ΚτΠ) Α.Ε. είναι η εταιρεία η οποία έχει αναλάβει, μεταξύ άλλων φορέων, μεγάλο μέρος της ευθύνης για την εποπτεία της υλοποίησής του. Στο πλαίσιο του προγράμματος αυτού έχει προκηρυχθεί ένας μεγάλος αριθμός έργων ΤΠΕ, τα περισσότερα από τα ο- ποία βρίσκονται ήδη στη φάση της υλοποίησής τους. Για ένα μεγάλο αριθμό από αυτά τα έργα, ειδικά για εκείνα που χαρακτηρίζονται από αυξημένη πολυπλοκότητα, ο ανάδοχός τους πλαισιώνεται από ένα Σύμβουλο Τεχνικής Υποστήριξης (ΣΤΥ), ο ο- ποίος δραστηριοποιείται ως σύμβουλος-συνεργάτης και του αναδόχου, αλλά και της ΚτΠ ΑΕ. Το έργο των ΣΤΥ περιλαμβάνει, μεταξύ άλλων, την εκπόνηση της Μελέτης Ασφάλειας για καθένα από τα εκπονούμενα Ολοκληρωμένα Πληροφοριακά Συστήματα. Η Μελέτη Ασφάλειας εντοπίζει και περιγράφει, με μεθοδικό τρόπο, τα Μέτρα Ασφάλειας που είναι επαρκή (αναγκαία και ικανά) για την προστασία κάθε Ολοκληρωμένου Πληροφοριακού Συστήματος ή/και Κρίσιμης Υποδομής (εγκατάστασης ή/και δικτύου). Στη συνέχεια, ο ανάδοχος κάθε έργου αναλαμβάνει να υλοποιήσει τα μέτρα αυτά, συχνά σε συνεργασία με το φορέα για τον οποίο εκπονείται το έργο. Μετά την υλοποίησή των Μέτρων Ασφάλειας, ο ΣΤΥ οφείλει να αξιολογήσει την ορθότητα και την πληρότητα της εφαρμογής τους και να αναφέρει σχετικά στην ΚτΠ ΑΕ. Η παρούσα τεχνική αναφορά περιγράφει τη μέθοδο CIS-ESMI, η οποία σχεδιάσθηκε για να χρησιμοποιηθεί για την αξιολόγηση της εφαρμογής των Μέτρων Ασφάλειας ενός Πληροφοριακού Συστηματος ή/και μιας Κρίσιμης Υποδομής, σύμφωνα με την προαναφερθείσα διαδικασία. Λόγω της παραμετρικότητάς της, η ESMI μπορεί, επίσης, να αξιοποιηθεί και ευρύτερα, εκτός έργων της ΚτΠ ΑΕ, σε παρόμοιες περιπτώσεις. Η μέθοδος CIS-ESMI (Evaluation of Security Measures Implementation) σχεδιάσθηκε από την Ερευνητική και Μελετητική Ομάδα (CIS), του Τμήματος Πληροφορικής του Οικονομικού Πανεπιστημίου Αθηνών, στο πλαίσιο των πολυάριθμων δραστηριοτήτων της Ομάδας σε σχετικά θέματα. Η μέθοδος αποσκοπεί στην αξιολόγηση της εφαρμογής των Μέτρων Ασφάλειας, τα οποία προκύπτουν από τη μελέτη ανάλυσης και διαχείρισης της επικινδυνότητας (risk analysis and management, RA) ενός Πληροφοριακού Συστηματος ή/- και μιας Κρίσιμης Υποδομής. Η CIS-ESMI είναι συνεργατική μέθοδος, με την έννοια ότι για την εφαρμογή της είναι αναγκαία η συστηματική συνεργασία του αξιολογητή (και ειδικότερα των ειδικών εμπειρογνωμόνων σε θέματα Ασφάλειας του ΣΤΥ) με αρμόδια στελέχη του φορέα που υλοποίησε τα Μέτρα Ασφαλείας (αξιολογούμενου). 4

Η μέθοδος αυτή διευκολύνει την ταχεία και ορθή αποτύπωση της εφαρμογής των Μέτρων Ασφάλειας (δεδομένου ότι η εφαρμογή τους περιγράφεται καταρχήν από τους ίδιους που τα υλοποίησαν), με αποτέλεσμα την αντικειμενικότερη, συνεπέστερη και ταχύτερη αξιολόγηση της εφαρμογής τους από τον ΣΤΥ, καθώς και την αποφυγή μη αναγκαίων τριβών και καθυστερήσεων στην πορεία του έργου. Περαιτέρω, με την ενεργή και συστηματική συμμετοχή του αξιολογούμενου στη διαδικασία αξιολόγησης είναι δυνατός ο εντοπισμός και η διόρθωση τυχόν αβλεψιών που παρείσφρησαν κατά την εκπόνηση της RA, με αποτέλεσμα την αύξηση της ποιότητας του παραγόμενου τελικού αποτελέσματος. 5

2. ΔΟΜΗ ΜΕΘΟΔΟΥ Όπως προαναφέρθηκε, η μέθοδος CIS-ESMI σχεδιάσθηκε για να χρησιμοποιηθεί για την αξιολόγηση της εφαρμογής των Μέτρων Ασφάλειας ενός Πληροφοριακού Συστήματος ή/και μιας Κρίσιμης Υποδομής, Όπως είναι γνωστό, τα Μέτρα Ασφάλειας ενός αντικειμένου προκύπτουν ως άμεσο απότέλεσμα της ανάλυσης της επικινδυνότητάς του (βλ. Διάγραμμα 1). Διάγραμμα 1: Εννοιολογική δομή ανάλυσης επικινδυνότητας Η CIS-ESMI αποτελείται από δύο επάλληλες πράξεις (actions). Κάθε πράξη υλοποιείται με τη χρήση ενός ειδικά δομημένου ερωτηματολογίου (structured questionnaire). 1. Η περιγραφή της εφαρμογής του Μέτρου Ασφάλειας αποτελεί την πρώτη πράξη και υλοποιείται κατά κανόνα μια φορά, αλλά υπάρχει η δυνατότητα να επαναληφθεί εφόσον, για παράδειγμα, υ- πάρχει διχογνωμία αν το συγκεκριμένο Μέτρο Ασφάλειας πρέπει να εφαρμοστεί από τον ανάδοχο του κυρίως έργου ή όχι. 2. Η αξιολόγηση της εφαρμογής του Μέτρου Ασφάλειας αποτελεί τη δεύτερη πράξη και μπορεί να επαναληφθεί περισσότερες της μιας φορές, εάν και εφόσον η εφαρμογή κάποιων Μέτρων Ασφάλειας δεν κριθεί αποδεκτή. Ο Πίνακας 1 περιγράφει, επιγραμματικά, τις δύο πράξεις που απαρτίζουν την CIS-ESMI, τους φορείς που συμμετέχουν σε καθεμία από αυτές, καθώς και το ρόλο καθενός από τους συμμετέχοντες φορείς. Συμπληρωματικά, το Διάγραμμα 2 παρέχει μια εποπτική περιγραφή της μεθόδου CIS-ESMI. 6

Π Ε Ρ Ι Γ Ρ Α Φ Η Μ Ε Θ Ο Δ Ο Υ C I S - E S M I ΠΡΑΞΗ 1: Περιγραφή της εφαρμογής του Μέτρου Ασφάλειας Συμμετέχων Μελετητής Ασφάλειας (αξιολογητής) Υλοποιητής Μέτρων Ασφάλειας (αξιολογούμενος) Επαναληπτικότητα Αποτέλεσμα πράξης Ρόλος Ο ρόλος του Μελετητή Ασφάλειας είναι να περιγράψει 1 το Μέτρο Ασφάλειας, το οποίο πρέπει να εφαρμόσει ο αξιολογούμενος. Ο ρόλος του αξιολογούμενου είναι να περιγράψει, με συνεκτικό, αλλά περιεκτικό και σαφή, τρόπο πώς εφάρμοσε το Μέτρο Ασφάλειας. Υπάρχει δυνατότητα επανάληψης (διόρθωσης) της πράξης εάν πχ. διαπιστωθεί ότι η εφαρμογή κάποιου Μέτρου Ασφάλειας δεν αφορά τον αξιολογούμενο, αλλά κάποιον τρίτο φορέα. Σαφής περιγραφή (της μη τεχνολογικά περιοριστικής προδιαγραφής) του προς υλοποίηση Μέτρου Ασφάλειας, καθώς και του τρόπου με τον οποίο εφαρμόστηκε τεχνικά. ΠΡΑΞΗ 2: Αξιολόγηση της εφαρμογής του Μέτρου Ασφάλειας Συμμετέχων Μελετής Ασφάλειας (αξιολογητής) Επαναληπτικότητα Αποτέλεσμα πράξης Ρόλος Ο ρόλος του Μελετητή Ασφάλειας είναι να αξιολογήσει εάν η εφαρμογή του Μέτρου Ασφάλειας έγινε με τον ενδεδειγμένο τρόπο και αν όχι, σε ποια σημεία αποκλίνει η προδιαγραφή του Μέτρου Ασφάλειας από την εφαρμογή του. Υπάρχει δυνατότητα επανάληψης της πράξης, εάν και εφόσον εκτιμηθεί ότι η εφαρμογή του Μέτρου Ασφάλειας δεν καλύπτει κάποια από τις σχετικές απαιτήσεις πληρότητας ή/και ορθότητας. Η στοιχειοθετημένη εκτίμηση (αξιολόγηση) του Μελετητή Ασφάλειας για την ορθότητα και πληρότητα της εφαρμογής του Μέτρου Α- σφάλειας από τον αξιολογούμενο. Πίνακας 1: Συνοπτική περιγραφή μεθόδου αξιολόγησης CIS-ESMI 1 Η περιγραφή των Μέτρων Ασφάλειας είναι ταυτόσημη με αυτή που υπάρχει στη βάση αντιμέτρων (security measures database) της συγκεκριμένης μεθόδου RA που χρησιμοποιήθηκε (πχ. COBRA, CRAMM, OCTA- VE κλπ.). Συνήθως, η περιγραφή αυτή αποτελεί λειτουργική προδιαγραφή (functional specification) των μέτρων ασφάλειας και δεν εξειδικεύει την τεχνολογία εφαρμογής του μέτρου (εκτός όλως ειδικών εξαιρέσεων). 7

Σύμβολο Επεξήγηση Συμμετέχων Διαδικασία Αποτέλεσμα Πράξης Απόφαση Πιθανές εναλλακτικές τιμές Επανάληψη Διάγραμμα 2: Εποπτική περιγραφή CIS-ESMI 8

3. ΥΛΟΠΟΙΗΣΗ ΜΕΘΟΔΟΥ Όπως προαναφέρθηκε, η υλοποίηση κάθε μιας από τις πράξεις της CIS-ESMI βασίζεται στη συμπλήρωση ενός κατάλληλα δομημένου ερωτηματολογίου. Το ερωτηματολόγιο που χρησιμοποιείται κατά την Πράξη 1 περιγράφεται στον Πίνακα 2. Αυτό που χρησιμοποιείται κατά την Πράξη 2 περιγράφεται στον Πίνακα 3. CIS-ESMI Π ε ρ ι γ ρ α φ ή ε φ α ρ μ ο γ ή ς μ έ τ ρ ο υ α σ φ ά λ ε ι α ς (Πράξη 1 από 1/2) Κωδικός μέτρου: Περιγραφή του μέτρου: Γενική κατηγορία: Ποιόν αφορά: Aξιολογούμενο Τρίτο φορέα Και τους δύο Κείμενο αναφοράς: Συνοπτική περιγραφή υλοποίησης του μέτρου: Κείμενα παραπομπής: Αρμόδιοι για την υλοποίηση: Σχόλια και παρατηρήσεις αξιολογητή: Σημειώσεις και παραπομπές: Απάντηση αξιολογούμενου Απάντηση αξιολογούμενου Απάντηση αξιολογούμενου Πίνακας 2: Ερωτηματολόγιο Πράξης 1 (από 1 ή 2) Τα ερωτήματα που τίθενται κατά την Πράξη 1 απαντώνται από τον αξιολογητή ή/και τον ανάδοχο του κυρίως έργου και είναι τα εξής: [1]. Κωδικός μέτρου: Αναγράφεται από τον αξιολογητή ο κωδικός αριθμός του Μέτρου Ασφάλειας, όπως αναφέρεται στα αποτελέσματα της RA. [2]. Γενική κατηγορία: Αναγράφεται από τον αξιολογητή η γενική κατηγορία του Μέτρου Ασφάλειας, όπως αναφέρεται στα αποτελέσματα της RA. [3]. Περιγραφή του μέτρου: Αναγράφεται από τον αξιολογητή η περιγραφή (λειτουργική προδιαγραφή) του Μέτρου Ασφάλειας, όπως αναφέρεται στα αποτελέσματα της RA. Εάν το Μέτρο Ασφάλειας αναλύεται σε περισσότερα των δύο επιπέδων (όπως είναι το σύνηθες), τότε στο χώρο αυτό αναγράφονται όλα τα επιμέρους μέτρα που αφορούν τον αξιολογούμενο. 9

[4]. Ποιόν αφορά: Αναγράφεται από τον αξιολογητή αν το Μέτρο Ασφάλειας αφορά τον αξιολογούμενο ή κάποιον τρίτο φορέα ή και τους δύο. [5]. Κείμενο αναφοράς: Αναφέρεται από τον αξιολογητή η ονομασία του κειμένου στο οποίο περιγράφονται τα Μέτρα Ασφάλειας. [6]. Συνοπτική περιγραφή υλοποίησης του μέτρου: Αναγράφεται από τον αξιολογούμενο η τεχνολογία που επέλεξε για την εφαρμογή του Μέτρου Ασφάλειας, καθώς και ο τρόπος της (τεχνικής) εφαρμογής της. Η περιγραφή αυτή πρέπει να είναι συνοπτική, αλλά σαφής και περιεκτική. [7]. Κείμενα παραπομπής: Αναφέρονται από τον αξιολογούμενο τα κείμενα εκείνα στα οποία είτε υπάρχει περαιτέρω εξειδίκευση του τρόπου εφαρμογής του Μέτρου Ασφάλειας (πχ. Τεχνικό Εγχειρίδιο), είτε παρέχονται οδηγίες στους χρήστες των εφαρμογών για το πώς θα εφαρμόζουν το συγκεκριμένο Μέτρο Ασφάλειας (Οδηγός Χρήσης). [8]. Αρμόδιοι για την υλοποίηση: Αναφέρονται από τον αξιολογούμενο τα ονόματα και οι ιδιότητες των προσώπων (key persons) που σχεδίασαν την εφαρμογή και υλοποίησαν το Μέτρο Ασφάλειας. [9]. Σχόλια και παρατηρήσεις αξιολογητή: Αναφέρονται από τον αξιολογητή, συνοπτικά αλλά περιεκτικά, οι βασικές διαπιστώσεις που αφορούν τον τρόπο εφαρμογής του Μέτρου Ασφάλειας. [10]. Σχόλια και παραπομπές: Στο χώρο αυτό υπάρχει η δυνατότητα να γίνουν ελεύθερα σχόλια από τον αξιολογητή ή τον αξιολογούμενο. Για παράδειγμα, ο αξιολογητής μπορεί να αναφέρει βιβλιογραφικές πηγές που υποστηρίζουν τις διαπιστώσεις του, ενώ ο αξιολογούμενος μπορεί να στοιχειοθετήσει πχ. γιατί το συγκεκριμένο Μέτρο Ασφάλειας δεν τον αφορά, ενώ έχει περιληφθεί σε αυτά που τον αφορούν ή γιατί τον αφορά και δεν έχει περιληφθεί στα αντίστοιχα. Για την περαιτέρω διευκόλυνση του αξιολογούμενου, οι ερωτήσεις στις οποίες πρέπει να απαντήσει (δηλαδή οι ερωτήσεις 6, 7, 8 και ενδεχομένως η 10) είναι διαφορετικά γραμμοσκιασμένες στο ερωτηματολόγιο. 10

CIS-ESMI Α ξ ι ο λ ό γ η σ η ε φ α ρ μ ο γ ή ς μ έ τ ρ ο υ α σ φ ά λ ε ι α ς (Πράξη 2 από 2) Κωδικός: Γενική κατηγορία: Ιστορικό της προσαρμογής μέτρου: Αρχική αξιολόγηση Επιπρόσθετη αξιολόγηση Ιστορικότητα sn/safeguard-code/evaluation-date/ evaluator-name/recommend[cor(a,k),com(b,k)] Αξιολόγηση ορθότητας εφαρμογής του μέτρου: Σχόλια και παρατηρήσεις: Σκοπιμότητα περαιτέρω προσαρμογής μέτρου: Εσφαλμένη Ορθή Αναγκαία Συνιστώμενη Προαιρετική Αξιολόγηση πληρότητας εφαρμογής του μέτρου: Σχόλια και παρατηρήσεις: Σκοπιμότητα περαιτέρω προσαρμογής μέτρου: Αξιολογητής: Επόπτης αξιολόγησης: Ανεπαρκής Ελλιπής Αποδεκτή Πλήρης Αναγκαία Συνιστώμενη Προαιρετική Ημερομηνία:.. Ημερομηνία:.. Πίνακας 3: Ερωτηματολόγιο Πράξης 2 (από 2) Τα ερωτήματα που τίθενται κατά την Πράξη 2 απαντώνται, στο σύνολό τους, από τον αξιολογητή και είναι τα εξής: [1]. Κωδικός μέτρου: Αναγράφεται από τον αξιολογητή ο κωδικός αριθμός του Μέτρου Ασφάλειας, όπως αναφέρεται στα αποτελέσματα της RA. [2]. Γενική κατηγορία: Αναγράφεται από τον αξιολογητή η γενική κατηγορία του Μέτρου Ασφάλειας, όπως αναφέρεται στα αποτελέσματα της RA. [3]. Ιστορικό της προσαρμογής του μέτρου: Εάν πρόκειται για την αρχική αξιολόγηση γίνεται η σχετική αναφορά. Αλλοιώς, υπάρχει και προηγούμενο ερωτηματολόγιο, το οποίο αναφέρεται στο ίδιο Μέτρο Ασφάλειας, γιαυτό σημειώνεται το ιστορικό των αλλαγών με την εξής δομή: sn: αύξων αριθμός αξιολόγησης του μέτρου safeguard-code: κωδικός μέτρου 11

evaluation-date: ημερομηνία προηγούμενης αξιολόγησης evaluator-name: όνομα αξιολογητή recommend [cor(a,k),com(b,k)]: αξιολόγηση ορθότητας και πληρότητας [4]. Αξιολόγηση ορθότητας μέτρου: Αξιολογείται αν η εφαρμογή του Μέτρου Ασφάλειας έγινε με δόκιμο και επιστημονικά ενδεδειγμένο τρόπο. Η διαπίστωση μπορεί να έχει μια από τις τιμές: {Εσφαλμένη, Ορθή}, συνοδεύεται από σχετική επιγραμματική τεκμηρίωση, καθώς και από ενδεχόμενη σύσταση για περαιτέρω ενέργειες, η οποία μπορεί να έχει μια από τις τιμές: {Αναγκαία, Συνιστώμενη, Προαιρετική}. Αν η τιμή της σύστασης είναι Αναγκαία, τότε ο αξιολογούμενος οφείλει να προσαρμόσει την εφαρμογή του Μέτρου Ασφάλειας σύμφωνα με τη σύσταση του αξιολογητή. Είναι ευνόητο ότι ορισμένοι συνδυασμοί τιμών δεν είναι αποδεκτοί (πχ. {Ορθή, Αναγκαία}). [5]. Αξιολόγηση πληρότητας μέτρου: Αξιολογείται αν η εφαρμογή του Μέτρου Ασφάλειας έγινε με τρόπο που καλύπτει πλήρως την αντίστοιχη προδιαγραφή του. Η διαπίστωση μπορεί να έχει μια από τις τιμές: {Ανεπαρκής, Ελλιπής, Αποδεκτή, Πλήρης}, συνοδεύεται από σχετική συνοπτική τεκμηρίωση, καθώς και από ενδεχόμενη σύσταση για περαιτέρω ενέργειες, η οποία μπορεί να έχει μια από τις τιμές: {Αναγκαία, Συνιστώμενη, Προαιρετική}. Αν η τιμή της σύστασης είναι Αναγκαία, τότε ο αξιολογούμενος οφείλει να επικαιροποιήσει την εφαρμογή του Μέτρου Ασφάλειας σύμφωνα με τη σύσταση του αξιολογητή. Είναι ευνόητο ότι ορισμένοι συνδυασμοί τιμών δεν είναι δυνατοί (πχ. {Πλήρης, Αναγκαία}). [6]. Αξιολογητές: Αναφέρονται τα ονόματα των αξιολογητών, η ημερομηνία της αξιολόγησης, το όνομα του επόπτη της αξιολόγησης και η αντίστοιχη ημερομηνία. Το αποτέλεσμα της τελικής αξιολόγησης είναι οι τιμές που αποδίδουν οι αξιολογητές στην ορθότητα και την πληρότητα της εφαρμογής του Μέτρου Ασφάλειας. Οι περιπτώσεις μη θετικής αξιολόγησης ( απόρριψης της εφαρμογής του Μέτρου Ασφάλειας) είναι οι εξής: 1. Ορθότητα: {Εσφαλμένη, Αναγκαία} ή {Εσφαλμένη, Συνιστώμενη}, συνδυαζόμενη με οποιαδήποτε τιμή Πληρότητας 2. 2. Πληρότητα: {Ανεπαρκής, Αναγκαία} ή {Ανεπαρκής, Συνιστώμενη} ή {Ελλιπής, Αναγκαία} ή {Ελλιπής, Συνιστώμενη}, συνδυαζόμενη με οποιαδήποτε τιμή Ορθότητας. 2 O συνδυασμός {Εσφαλμένη, Προαιρετική} καλύπτει μια ειδική συγκυρία. Συγκεκριμένα, αν ο αξιολογούμενος υλοποίησε με εσφαλμένο τρόπο μια λειτουργικότητα ενός Μέτρου Ασφάλειας, η οποία δεν ζητείτο, τότε η προαιρετικότητα της επικαιροποίησής του Μέτρου Ασφάλειας σημαίνει ότι μπορεί είτε να διορθώσει την υλοποίηση της λειτουργικότητας αυτής, είτε να την αφαιρέσει τελείως (μια και είναι επιπλέον όσων ζητήθηκαν). 12

Σημειώνεται ότι η αξιολόγηση της ορθότητας και της πληρότητας της εφαρμογής ενός Μέτρου Α- σφάλειας γίνεται σειριακά, τυπικά προηγούμενης της αξιολόγησης της ορθότητας της εφαρμογής του, αλλά χωρίς αυτό να έχει σημαντικό χαρακτήρα. Όπως προαναφέρθηκε, το αποτέλεσμα των δύο πράξεων είναι η διαπίστωση εάν η εφαρμογή καθενός από τα Μέτρα Ασφάλειας έγινε με αποδεκτό τρόπο, σύμφωνα με το Νόμο (πχ. σε περιπτώσεις που α- φορούν επεξεργασία προσωπικών/ευαίσθητων δεδομένων) ή/και την Επιστήμη. Για να διευκολυνθεί η διαδικασία αυτή, οι δύο πράξεις συνοδεύονται από ένα συγκεντρωτικό πίνακα, στον οποίον καταγράφεται επιγραμματικά το ιστορικό της επικαιροποίησης όσων Μέτρων Ασφάλειας αξιολογήθηκε ότι χρειάζεται τροποποίηση της εφαρμογής τους. Μέσω του πίνακα αυτού είναι δυνατή η συνολική παρακολούθηση της εφαρμογής των Μέτρων Α- σφάλειας, καθώς και η διαπίστωση της ολοκλήρωσης της αξιολόγησης. Η δομή του πίνακα αυτού περιγράφεται στον Πίνακα 4. Γενική Κατηγορία Μέτρου Ασφάλειας Κωδικός Μέτρου Ασφάλειας Αξιολόγηση Ορθότητας Αξιολόγηση Πληρότητας Τιμή Σύσταση Τιμή Σύσταση Ιστορικότητα 3 : Ιστορικότητα: Υπόμνημα Τιμή Σύσταση Ορθότητα Εσφαλμένη (Ε), Ορθή (Ο) Αναγκαία (Α) Πληρότητα Ανεπαρκής (ΑΝ), Ελλιπής (Ε), Συνιστώμενη (Σ) Αποδεκτή (ΑΠ), Πλήρης (Π) Προαιρετική (Π) Πίνακας 4: Ιστορικό της επικαιροποίησης της εφαρμογής των Μέτρων Ασφάλειας 3 Η ιστορικότητα (sn/safeguard-code/evaluation-date/evaluator-name/recommend[cor(a,k),com(b,k)], για κάθε κύκλο αλλαγών) έχει σημασία στις περιπτώσεις εκείνες στις οποίες η εφαρμογή του Μέτρου Ασφάλειας ε- πικαιροποιήθηκε από τον αξιολογούμενο, μετά την αρχική (απορριπτική) αξιολόγησή της. 13

Βιβλιογραφία Βιβλία, μελέτες, οδηγίες και πρότυπα 1. Γκρίτζαλης Δ., Ανασφάλεια και Πολιτική Ανυπακοή στο Κυβερνοχώρο, Παπασωτηρίου, Αθήνα 2004. 2. Γκρίτζαλης Δ., Οδηγός προδιαγραφής λειτουργιών ασφάλειας και ιδιωτικότητας σε πληροφοριακά συστήματα και εγκαταστάσεις, Παραδοτέο ΚτΠ-SEC/ΕΕ-1/ΠΑ-1/1.7/25.01.2003, Κοινωνία της Πληροφορίας ΑΕ, Αθήνα 2003. 3. Γκρίτζαλης Σ., Κάτσικας Σ., Γκρίτζαλης Δ., Ασφάλεια Δικτύων Υπολογιστών, Παπασωτηρίου, Α- θήνα 2003. 4. Κάτσικας Σ., Γκρίτζαλης Δ., Γκρίτζαλης Σ., Ασφάλεια Πληροφοριακών Συστημάτων, Εκδόσεις Νέων Τεχνολογιών, Αθήνα 2004. 5. CIAO, Vulnerability Assessment Framework, Critical Infrastructure Assurance Office, USA 1998. 6. CSI/FBI, 11 th Annual Computer Crime and Security Survey, Computer Security Institute, 2006. 7. Denning D., Information Warfare and Security, Addison-Wesley, USA 1999. 8. Dept. of Homeland Security, National Infrastructure Protection Base Plan, USA 2006. 9. Ernst & Young, Global Information Security Survey, USA 2006. 10. Ford W., Baum M., Secure Electronic Commerce, Prentice-Hall (2 nd ed.), USA 2001. 11. Gritzalis D., Theoharidou M., Dritsas S., Marias G., Ambient Intelligence: The promise, the price and the social disruption, Review Report Series, AUEB-CIS/REV-0106/v.2.9/19.03.06, Greece 2006. 12. International Organization for Standardization (ISO), Information technology - Code of practice for information security management, International Standard ISO/IEC 17799, 2005. 13. IST Advisory Group, Trust, dependability, security and privacy for IST in FP6, Office for Official Publications of the European Communities, 2002 (www.cordis.lu/ist/istag-reports.html). 14. NIST, Risk Management Guide for Information Technology Systems, National Institute οf Standards and Technology, SP 800-30, USA 2002. 15. NIST, Guide for Developing Security Plans for Federal Information Systems, National Institute of Standards and Technology, SP 800-18 (rev. 1), USA 2006. 16. NIST, Recommended Security Controls for Federal Information Systems, National Institute of Standards and Technology, SP 800-53 (rev. 1), USA 2006. 17. NIST, Guide to Malware Incident Prevention and Handling, National Institute of Standards and Technology, SP 800-83, USA 2005. 14

18. Pfleeger C., Pfleeger S., Security in Computing, Prentice-Hall (4 th ed.), USA 2007. 19. President s Information Technology Advisory Committee, Cyber Security: A Crisis of Prioritization, Report to the President, USA 2005. 20. The White House, National Strategy to Secure Cyberspace, USA 2003. 21. The White House, The Physical Protection of Critical Infrastructures and Key Assets, USA 2003. Νόμοι και Προεδρικά Διατάγματα 22. Προεδρικό Διάταγμα 150/2001, Προσαρμογή στην Οδηγία 99/93 του Ευρωπαϊκού Κοινοβουλίου σχετικά με το κοινοτικό πλαίσιο για τις ψηφιακές υπογραφές, ΦΕΚ 125, 25 Ιουνίου 2001. 23. Νόμος 2860/2000, Διαχείριση, παρακολούθηση και έλεγχος του Κοινοτικού Πλαισίου Στήριξης και άλλες διατάξεις, ΦΕΚ 251, 14 Νοεμβρίου 2000. 24. Νόμος 2774/1999, Προστασία δεδομένων προσωπικού χαρακτήρα στον τηλεπικοινωνιακό τομέα, ΦΕΚ 287, 22 Δεκεμβρίου 1999. 25. Nόμος 2472/1997, Προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα, ΦΕΚ 50, 10 Απριλίου 1997. 15

Λίγα λόγια για το συγγραφέα Ο Δημήτρης Γκρίτζαλης (dgrit@aueb.gr) είναι Αναπληρωτής Καθηγητής Ασφάλειας στην Πληροφορική και τις Επικοινωνίες, στο Τμήμα Πληροφορικής του Οικονομικού Πανεπιστημίου Αθηνών και Διευθυντής της Ερευνητικής και Μελετητικής Ομάδας Ασφάλειας Πληροφοριών και Προστασίας Κρίσιμων υποδομών (www.cis.aueb.gr). Εχει πτυχίο (BSc) Μαθηματικών του Πανεπιστημίου Πατρών, μεταπτυχιακό δίπλωμα (MSc) στην Επιστήμη των Υπολογιστών του City University of New York και διδακτορικό δίπλωμα (PhD) στην Ασφάλεια Πληροφοριακών Συστημάτων του Πανεπιστημίου Αιγαίου. Τα τρέχοντα επιστημονικά του ενδιαφέροντα περιλαμβάνουν ασφάλεια σε AmI, ο- ντολογίες ασφάλειας, ζητήματα εμπιστοσύνης σε συστήματα VoIP, τεχνολογίες προάσπισης ιδιωτικότητας (ΡΕΤ), εκπαίδευση στην ασφάλεια στις ΤΠΕ. Είναι ο εθνικός εκπρόσωπος της Ελλάδας στην Τεχνική Επιτροπή 11 της IFIP (Protection of Informtion Processing Systems), υπηρέτησε ως μέλος της Αρχής Προστασίας Προσωπικών Δεδομένων, καθώς και ως Πρόεδρος και μέλος του ΔΣ της Ελληνικής Εταιρείας Επιστημόνων Η/Υ και Πληροφορικής (ΕΠΥ). Τα τελευταία 20 χρόνια έχει συμμετάσχει σε δεκάδες έργα Ερευνας και Τεχνολογικής Ανάπτυξης σε θέματα Ασφάλειας Πληροφοριών και Προστασίας Κρίσιμων Υποδομών, στην Ελλάδα και διεθνώς, σε συνεργασία με πλήθος οργανισμών (Ευρωπαϊκή Ένωση, Συμβούλιο της Ευρώπης, EUROPOL, Ευρωπαϊκός Οργανισμός Προτύπων (CEN), Υπ. Εξωτερικών, Υπ. Εσωτερικών, Δημόσιας Διοίκησης και Αποκέντρωσης, Υπ. Υγείας και Πρόνοιας, ΟΤΕ, HellasSAT, BP, ΕΚΟ ΕΛΔΑ, Ανώτατο Συμβούλιο Επιλογής Προσωπικού (ΑΣ- ΕΠ), ΟΑΣΑ, Αττικό Μετρό, EBEA, Ελληνικός Οργανισμός Τυποποίησης, ΤΡΑΜ, Κοινωνία της Πληροφορίας, Q-TELECOM, 6 Νοσοκομεία, 3 ΔΥΠε, ΕΥΔΑΠ κλπ.). 16

2024 © DocPlayer.gr Πολιτική Απορρήτου | Όροι Χρήσης | Σχόλια