ΟΙΚΟΝΟΜΙΚΟ ΠΑΝΕΠΙΣΤΗΜΙΟ ΑΘΗΝΩΝ ΤΜΗΜΑ ΠΛΗΡΟΦΟΡΙΚΗΣ Διευθυντής: Δημήτρης Α. Γκρίτζαλης, Aναπληρωτής Καθηγητής Ασφάλειας στις ΤΠΕ Μέθοδος CIS-ESMI Αξιολόγηση της εφαρμογής των Μέτρων Ασφάλειας Δημήτρης Γκρίτζαλης Σειρά Τεχνικών Αναφορών No. 2 (2006) Κωδικός αναφοράς: AUEB-CIS/MET-0206/v.2.5/28.12.06 Δεκέμβρης 2006 Οικονομικό Πανεπιστήμιο Αθηνών, Τμήμα Πληροφορικής Πατησίων 76, Αθήνα 10434 Tηλ.: 210.8203.505 ή 157, Website: www.cis.aueb.gr
Security should pay, not cost Επαγγελματικό moto Περίληψη: Λέξεις-κλειδιά: Ευχαριστίες: Οι ανάδοχοι πολλών από τα έργα ΤΠΕ που εκπονούνται στο πλαίσιο του Ε.Π. Κοινωνία της Πληροφορίας, ειδικά όσων χαρακτηρίζονται από αυξημένη πολυπλοκότητα, πλαισιώνονται από ένα Σύμβουλο Τεχνικής Υποστήριξης (ΣΤΥ). Το έργο των ΣΤΥ περιλαμβάνει και την εκπόνηση της Μελέτης Ασφάλειας για καθένα από τα αναπτυσσόμενα Πληροφοριακά Συστήματα. Η Μελέτη Ασφάλειας εντοπίζει και περιγράφει, με μεθοδικό τρόπο, τα Μέτρα Ασφάλειας που είναι επαρκή για την προστασία κάθε Ολοκληρωμένου Πληροφοριακού Συστήματος ή/και Κρίσιμης Υ- ποδομής. Στη συνέχεια, ο ανάδοχος κάθε έργου αναλαμβάνει να υλοποιήσει τα μέτρα αυτά, συχνά σε συνεργασία με το φορέα για τον οποίο εκπονείται το έργο. Μετά την υλοποίηση των Μέτρων Ασφάλειας, ο ΣΤΥ οφείλει να αξιολογήσει την ορθότητα και την πληρότητα της εφαρμογής τους. Η παρούσα αναφορά περιγράφει τη μέθοδο CIS-ESMI, η οποία σχεδιάσθηκε για την αξιολόγηση των Μέτρων Ασφάλειας ενός Πληροφοριακού Συστήματος ή/και μιας Κρίσιμης Υποδομής, σύμφωνα με την προαναφερθείσα διαδικασία. Περαιτέρω, η ESMI μπορεί να αξιοποιηθεί και ευρύτερα, εκτός έργων της ΚτΠ ΑΕ, σε παρόμοιες περιπτώσεις. Μελέτη Ασφάλειας, Μέτρα Ασφάλειας, Διαδικασίες Ασφάλειας, Ασφάλεια Πληροφοριών, Προστασία Κρίσιμων Υποδομών, Προστασία Εγκαταστάσεων, Αξιολόγηση Ασφάλειας, Ορθότητα, Πληρότητα. Ευχαριστώ τους συνεργάτες μου Στέλιο Δρίτσα, Μαριάνθη Θεοχαρίδου, Αγγελική Τσώχου, Άγγελο Νακούλα και Γιάννη Μάλλιο, μέλη της Ερευνητικής και Μελετητικής Ομάδας Ασφάλειας Πληροφοριών και Προστασίας Κρίσιμων Υποδομών, για τα σχόλια και τις παρατηρήσεις τους. Πολλά από αυτά προέκυψαν κατά την πιλοτική εφαρμογή της ES- MI στις Μελέτες Ασφάλειας του Συστήματος Ηλεκτρονικών Πολεοδομιών, καθώς και του Ολοκληρωμένου Πληροφοριακού Συστήματος Υγείας της ΔΥΠε Δυτικής Ελλάδας. Την Α. Τσώχου την ευχαριστώ και για την εποπτική περιγραφή της ESMI. Ευχαριστώ, επίσης, τους Κώστα Τσιακατάρα και Αριστόδημο Θωμόπουλο, Partners της εταιρείας ΔΙΑΔΙ- ΚΑΣΙΑ Σύμβουλοι Επιχειρήσεων ΑΕ, η οποία είναι ο ΣTY των προαναφερθέντων έργων, για τη γόνιμη συνεργασία τους κατά την εφαρμογή της ESMI. 2
Πίνακας περιεχομένων 1. Εισαγωγή. 4 2. Δομή μεθόδου. 6 3. Υλοποίηση μεθόδου 9 Βιβλιογραφία.. 14 Λίγα λόγια για το συγγραφέα..16 3
1. ΕΙΣΑΓΩΓΗ Το Επιχειρησιακό Πρόγραμμα (ΕΠ) Κοινωνία της Πληροφορίας αποτελεί, σήμερα, το βασικό χρηματοδοτικό μοχλό για την ανάπτυξη των Τεχνολογιών Πληροφορικής και Επικοινωνιών (ΤΠΕ) στη χώρα μας. Η Κοινωνία της Πληροφορίας (ΚτΠ) Α.Ε. είναι η εταιρεία η οποία έχει αναλάβει, μεταξύ άλλων φορέων, μεγάλο μέρος της ευθύνης για την εποπτεία της υλοποίησής του. Στο πλαίσιο του προγράμματος αυτού έχει προκηρυχθεί ένας μεγάλος αριθμός έργων ΤΠΕ, τα περισσότερα από τα ο- ποία βρίσκονται ήδη στη φάση της υλοποίησής τους. Για ένα μεγάλο αριθμό από αυτά τα έργα, ειδικά για εκείνα που χαρακτηρίζονται από αυξημένη πολυπλοκότητα, ο ανάδοχός τους πλαισιώνεται από ένα Σύμβουλο Τεχνικής Υποστήριξης (ΣΤΥ), ο ο- ποίος δραστηριοποιείται ως σύμβουλος-συνεργάτης και του αναδόχου, αλλά και της ΚτΠ ΑΕ. Το έργο των ΣΤΥ περιλαμβάνει, μεταξύ άλλων, την εκπόνηση της Μελέτης Ασφάλειας για καθένα από τα εκπονούμενα Ολοκληρωμένα Πληροφοριακά Συστήματα. Η Μελέτη Ασφάλειας εντοπίζει και περιγράφει, με μεθοδικό τρόπο, τα Μέτρα Ασφάλειας που είναι επαρκή (αναγκαία και ικανά) για την προστασία κάθε Ολοκληρωμένου Πληροφοριακού Συστήματος ή/και Κρίσιμης Υποδομής (εγκατάστασης ή/και δικτύου). Στη συνέχεια, ο ανάδοχος κάθε έργου αναλαμβάνει να υλοποιήσει τα μέτρα αυτά, συχνά σε συνεργασία με το φορέα για τον οποίο εκπονείται το έργο. Μετά την υλοποίησή των Μέτρων Ασφάλειας, ο ΣΤΥ οφείλει να αξιολογήσει την ορθότητα και την πληρότητα της εφαρμογής τους και να αναφέρει σχετικά στην ΚτΠ ΑΕ. Η παρούσα τεχνική αναφορά περιγράφει τη μέθοδο CIS-ESMI, η οποία σχεδιάσθηκε για να χρησιμοποιηθεί για την αξιολόγηση της εφαρμογής των Μέτρων Ασφάλειας ενός Πληροφοριακού Συστηματος ή/και μιας Κρίσιμης Υποδομής, σύμφωνα με την προαναφερθείσα διαδικασία. Λόγω της παραμετρικότητάς της, η ESMI μπορεί, επίσης, να αξιοποιηθεί και ευρύτερα, εκτός έργων της ΚτΠ ΑΕ, σε παρόμοιες περιπτώσεις. Η μέθοδος CIS-ESMI (Evaluation of Security Measures Implementation) σχεδιάσθηκε από την Ερευνητική και Μελετητική Ομάδα (CIS), του Τμήματος Πληροφορικής του Οικονομικού Πανεπιστημίου Αθηνών, στο πλαίσιο των πολυάριθμων δραστηριοτήτων της Ομάδας σε σχετικά θέματα. Η μέθοδος αποσκοπεί στην αξιολόγηση της εφαρμογής των Μέτρων Ασφάλειας, τα οποία προκύπτουν από τη μελέτη ανάλυσης και διαχείρισης της επικινδυνότητας (risk analysis and management, RA) ενός Πληροφοριακού Συστηματος ή/- και μιας Κρίσιμης Υποδομής. Η CIS-ESMI είναι συνεργατική μέθοδος, με την έννοια ότι για την εφαρμογή της είναι αναγκαία η συστηματική συνεργασία του αξιολογητή (και ειδικότερα των ειδικών εμπειρογνωμόνων σε θέματα Ασφάλειας του ΣΤΥ) με αρμόδια στελέχη του φορέα που υλοποίησε τα Μέτρα Ασφαλείας (αξιολογούμενου). 4
Η μέθοδος αυτή διευκολύνει την ταχεία και ορθή αποτύπωση της εφαρμογής των Μέτρων Ασφάλειας (δεδομένου ότι η εφαρμογή τους περιγράφεται καταρχήν από τους ίδιους που τα υλοποίησαν), με αποτέλεσμα την αντικειμενικότερη, συνεπέστερη και ταχύτερη αξιολόγηση της εφαρμογής τους από τον ΣΤΥ, καθώς και την αποφυγή μη αναγκαίων τριβών και καθυστερήσεων στην πορεία του έργου. Περαιτέρω, με την ενεργή και συστηματική συμμετοχή του αξιολογούμενου στη διαδικασία αξιολόγησης είναι δυνατός ο εντοπισμός και η διόρθωση τυχόν αβλεψιών που παρείσφρησαν κατά την εκπόνηση της RA, με αποτέλεσμα την αύξηση της ποιότητας του παραγόμενου τελικού αποτελέσματος. 5
2. ΔΟΜΗ ΜΕΘΟΔΟΥ Όπως προαναφέρθηκε, η μέθοδος CIS-ESMI σχεδιάσθηκε για να χρησιμοποιηθεί για την αξιολόγηση της εφαρμογής των Μέτρων Ασφάλειας ενός Πληροφοριακού Συστήματος ή/και μιας Κρίσιμης Υποδομής, Όπως είναι γνωστό, τα Μέτρα Ασφάλειας ενός αντικειμένου προκύπτουν ως άμεσο απότέλεσμα της ανάλυσης της επικινδυνότητάς του (βλ. Διάγραμμα 1). Διάγραμμα 1: Εννοιολογική δομή ανάλυσης επικινδυνότητας Η CIS-ESMI αποτελείται από δύο επάλληλες πράξεις (actions). Κάθε πράξη υλοποιείται με τη χρήση ενός ειδικά δομημένου ερωτηματολογίου (structured questionnaire). 1. Η περιγραφή της εφαρμογής του Μέτρου Ασφάλειας αποτελεί την πρώτη πράξη και υλοποιείται κατά κανόνα μια φορά, αλλά υπάρχει η δυνατότητα να επαναληφθεί εφόσον, για παράδειγμα, υ- πάρχει διχογνωμία αν το συγκεκριμένο Μέτρο Ασφάλειας πρέπει να εφαρμοστεί από τον ανάδοχο του κυρίως έργου ή όχι. 2. Η αξιολόγηση της εφαρμογής του Μέτρου Ασφάλειας αποτελεί τη δεύτερη πράξη και μπορεί να επαναληφθεί περισσότερες της μιας φορές, εάν και εφόσον η εφαρμογή κάποιων Μέτρων Ασφάλειας δεν κριθεί αποδεκτή. Ο Πίνακας 1 περιγράφει, επιγραμματικά, τις δύο πράξεις που απαρτίζουν την CIS-ESMI, τους φορείς που συμμετέχουν σε καθεμία από αυτές, καθώς και το ρόλο καθενός από τους συμμετέχοντες φορείς. Συμπληρωματικά, το Διάγραμμα 2 παρέχει μια εποπτική περιγραφή της μεθόδου CIS-ESMI. 6
Π Ε Ρ Ι Γ Ρ Α Φ Η Μ Ε Θ Ο Δ Ο Υ C I S - E S M I ΠΡΑΞΗ 1: Περιγραφή της εφαρμογής του Μέτρου Ασφάλειας Συμμετέχων Μελετητής Ασφάλειας (αξιολογητής) Υλοποιητής Μέτρων Ασφάλειας (αξιολογούμενος) Επαναληπτικότητα Αποτέλεσμα πράξης Ρόλος Ο ρόλος του Μελετητή Ασφάλειας είναι να περιγράψει 1 το Μέτρο Ασφάλειας, το οποίο πρέπει να εφαρμόσει ο αξιολογούμενος. Ο ρόλος του αξιολογούμενου είναι να περιγράψει, με συνεκτικό, αλλά περιεκτικό και σαφή, τρόπο πώς εφάρμοσε το Μέτρο Ασφάλειας. Υπάρχει δυνατότητα επανάληψης (διόρθωσης) της πράξης εάν πχ. διαπιστωθεί ότι η εφαρμογή κάποιου Μέτρου Ασφάλειας δεν αφορά τον αξιολογούμενο, αλλά κάποιον τρίτο φορέα. Σαφής περιγραφή (της μη τεχνολογικά περιοριστικής προδιαγραφής) του προς υλοποίηση Μέτρου Ασφάλειας, καθώς και του τρόπου με τον οποίο εφαρμόστηκε τεχνικά. ΠΡΑΞΗ 2: Αξιολόγηση της εφαρμογής του Μέτρου Ασφάλειας Συμμετέχων Μελετής Ασφάλειας (αξιολογητής) Επαναληπτικότητα Αποτέλεσμα πράξης Ρόλος Ο ρόλος του Μελετητή Ασφάλειας είναι να αξιολογήσει εάν η εφαρμογή του Μέτρου Ασφάλειας έγινε με τον ενδεδειγμένο τρόπο και αν όχι, σε ποια σημεία αποκλίνει η προδιαγραφή του Μέτρου Ασφάλειας από την εφαρμογή του. Υπάρχει δυνατότητα επανάληψης της πράξης, εάν και εφόσον εκτιμηθεί ότι η εφαρμογή του Μέτρου Ασφάλειας δεν καλύπτει κάποια από τις σχετικές απαιτήσεις πληρότητας ή/και ορθότητας. Η στοιχειοθετημένη εκτίμηση (αξιολόγηση) του Μελετητή Ασφάλειας για την ορθότητα και πληρότητα της εφαρμογής του Μέτρου Α- σφάλειας από τον αξιολογούμενο. Πίνακας 1: Συνοπτική περιγραφή μεθόδου αξιολόγησης CIS-ESMI 1 Η περιγραφή των Μέτρων Ασφάλειας είναι ταυτόσημη με αυτή που υπάρχει στη βάση αντιμέτρων (security measures database) της συγκεκριμένης μεθόδου RA που χρησιμοποιήθηκε (πχ. COBRA, CRAMM, OCTA- VE κλπ.). Συνήθως, η περιγραφή αυτή αποτελεί λειτουργική προδιαγραφή (functional specification) των μέτρων ασφάλειας και δεν εξειδικεύει την τεχνολογία εφαρμογής του μέτρου (εκτός όλως ειδικών εξαιρέσεων). 7
Σύμβολο Επεξήγηση Συμμετέχων Διαδικασία Αποτέλεσμα Πράξης Απόφαση Πιθανές εναλλακτικές τιμές Επανάληψη Διάγραμμα 2: Εποπτική περιγραφή CIS-ESMI 8
3. ΥΛΟΠΟΙΗΣΗ ΜΕΘΟΔΟΥ Όπως προαναφέρθηκε, η υλοποίηση κάθε μιας από τις πράξεις της CIS-ESMI βασίζεται στη συμπλήρωση ενός κατάλληλα δομημένου ερωτηματολογίου. Το ερωτηματολόγιο που χρησιμοποιείται κατά την Πράξη 1 περιγράφεται στον Πίνακα 2. Αυτό που χρησιμοποιείται κατά την Πράξη 2 περιγράφεται στον Πίνακα 3. CIS-ESMI Π ε ρ ι γ ρ α φ ή ε φ α ρ μ ο γ ή ς μ έ τ ρ ο υ α σ φ ά λ ε ι α ς (Πράξη 1 από 1/2) Κωδικός μέτρου: Περιγραφή του μέτρου: Γενική κατηγορία: Ποιόν αφορά: Aξιολογούμενο Τρίτο φορέα Και τους δύο Κείμενο αναφοράς: Συνοπτική περιγραφή υλοποίησης του μέτρου: Κείμενα παραπομπής: Αρμόδιοι για την υλοποίηση: Σχόλια και παρατηρήσεις αξιολογητή: Σημειώσεις και παραπομπές: Απάντηση αξιολογούμενου Απάντηση αξιολογούμενου Απάντηση αξιολογούμενου Πίνακας 2: Ερωτηματολόγιο Πράξης 1 (από 1 ή 2) Τα ερωτήματα που τίθενται κατά την Πράξη 1 απαντώνται από τον αξιολογητή ή/και τον ανάδοχο του κυρίως έργου και είναι τα εξής: [1]. Κωδικός μέτρου: Αναγράφεται από τον αξιολογητή ο κωδικός αριθμός του Μέτρου Ασφάλειας, όπως αναφέρεται στα αποτελέσματα της RA. [2]. Γενική κατηγορία: Αναγράφεται από τον αξιολογητή η γενική κατηγορία του Μέτρου Ασφάλειας, όπως αναφέρεται στα αποτελέσματα της RA. [3]. Περιγραφή του μέτρου: Αναγράφεται από τον αξιολογητή η περιγραφή (λειτουργική προδιαγραφή) του Μέτρου Ασφάλειας, όπως αναφέρεται στα αποτελέσματα της RA. Εάν το Μέτρο Ασφάλειας αναλύεται σε περισσότερα των δύο επιπέδων (όπως είναι το σύνηθες), τότε στο χώρο αυτό αναγράφονται όλα τα επιμέρους μέτρα που αφορούν τον αξιολογούμενο. 9
[4]. Ποιόν αφορά: Αναγράφεται από τον αξιολογητή αν το Μέτρο Ασφάλειας αφορά τον αξιολογούμενο ή κάποιον τρίτο φορέα ή και τους δύο. [5]. Κείμενο αναφοράς: Αναφέρεται από τον αξιολογητή η ονομασία του κειμένου στο οποίο περιγράφονται τα Μέτρα Ασφάλειας. [6]. Συνοπτική περιγραφή υλοποίησης του μέτρου: Αναγράφεται από τον αξιολογούμενο η τεχνολογία που επέλεξε για την εφαρμογή του Μέτρου Ασφάλειας, καθώς και ο τρόπος της (τεχνικής) εφαρμογής της. Η περιγραφή αυτή πρέπει να είναι συνοπτική, αλλά σαφής και περιεκτική. [7]. Κείμενα παραπομπής: Αναφέρονται από τον αξιολογούμενο τα κείμενα εκείνα στα οποία είτε υπάρχει περαιτέρω εξειδίκευση του τρόπου εφαρμογής του Μέτρου Ασφάλειας (πχ. Τεχνικό Εγχειρίδιο), είτε παρέχονται οδηγίες στους χρήστες των εφαρμογών για το πώς θα εφαρμόζουν το συγκεκριμένο Μέτρο Ασφάλειας (Οδηγός Χρήσης). [8]. Αρμόδιοι για την υλοποίηση: Αναφέρονται από τον αξιολογούμενο τα ονόματα και οι ιδιότητες των προσώπων (key persons) που σχεδίασαν την εφαρμογή και υλοποίησαν το Μέτρο Ασφάλειας. [9]. Σχόλια και παρατηρήσεις αξιολογητή: Αναφέρονται από τον αξιολογητή, συνοπτικά αλλά περιεκτικά, οι βασικές διαπιστώσεις που αφορούν τον τρόπο εφαρμογής του Μέτρου Ασφάλειας. [10]. Σχόλια και παραπομπές: Στο χώρο αυτό υπάρχει η δυνατότητα να γίνουν ελεύθερα σχόλια από τον αξιολογητή ή τον αξιολογούμενο. Για παράδειγμα, ο αξιολογητής μπορεί να αναφέρει βιβλιογραφικές πηγές που υποστηρίζουν τις διαπιστώσεις του, ενώ ο αξιολογούμενος μπορεί να στοιχειοθετήσει πχ. γιατί το συγκεκριμένο Μέτρο Ασφάλειας δεν τον αφορά, ενώ έχει περιληφθεί σε αυτά που τον αφορούν ή γιατί τον αφορά και δεν έχει περιληφθεί στα αντίστοιχα. Για την περαιτέρω διευκόλυνση του αξιολογούμενου, οι ερωτήσεις στις οποίες πρέπει να απαντήσει (δηλαδή οι ερωτήσεις 6, 7, 8 και ενδεχομένως η 10) είναι διαφορετικά γραμμοσκιασμένες στο ερωτηματολόγιο. 10
CIS-ESMI Α ξ ι ο λ ό γ η σ η ε φ α ρ μ ο γ ή ς μ έ τ ρ ο υ α σ φ ά λ ε ι α ς (Πράξη 2 από 2) Κωδικός: Γενική κατηγορία: Ιστορικό της προσαρμογής μέτρου: Αρχική αξιολόγηση Επιπρόσθετη αξιολόγηση Ιστορικότητα sn/safeguard-code/evaluation-date/ evaluator-name/recommend[cor(a,k),com(b,k)] Αξιολόγηση ορθότητας εφαρμογής του μέτρου: Σχόλια και παρατηρήσεις: Σκοπιμότητα περαιτέρω προσαρμογής μέτρου: Εσφαλμένη Ορθή Αναγκαία Συνιστώμενη Προαιρετική Αξιολόγηση πληρότητας εφαρμογής του μέτρου: Σχόλια και παρατηρήσεις: Σκοπιμότητα περαιτέρω προσαρμογής μέτρου: Αξιολογητής: Επόπτης αξιολόγησης: Ανεπαρκής Ελλιπής Αποδεκτή Πλήρης Αναγκαία Συνιστώμενη Προαιρετική Ημερομηνία:.. Ημερομηνία:.. Πίνακας 3: Ερωτηματολόγιο Πράξης 2 (από 2) Τα ερωτήματα που τίθενται κατά την Πράξη 2 απαντώνται, στο σύνολό τους, από τον αξιολογητή και είναι τα εξής: [1]. Κωδικός μέτρου: Αναγράφεται από τον αξιολογητή ο κωδικός αριθμός του Μέτρου Ασφάλειας, όπως αναφέρεται στα αποτελέσματα της RA. [2]. Γενική κατηγορία: Αναγράφεται από τον αξιολογητή η γενική κατηγορία του Μέτρου Ασφάλειας, όπως αναφέρεται στα αποτελέσματα της RA. [3]. Ιστορικό της προσαρμογής του μέτρου: Εάν πρόκειται για την αρχική αξιολόγηση γίνεται η σχετική αναφορά. Αλλοιώς, υπάρχει και προηγούμενο ερωτηματολόγιο, το οποίο αναφέρεται στο ίδιο Μέτρο Ασφάλειας, γιαυτό σημειώνεται το ιστορικό των αλλαγών με την εξής δομή: sn: αύξων αριθμός αξιολόγησης του μέτρου safeguard-code: κωδικός μέτρου 11
evaluation-date: ημερομηνία προηγούμενης αξιολόγησης evaluator-name: όνομα αξιολογητή recommend [cor(a,k),com(b,k)]: αξιολόγηση ορθότητας και πληρότητας [4]. Αξιολόγηση ορθότητας μέτρου: Αξιολογείται αν η εφαρμογή του Μέτρου Ασφάλειας έγινε με δόκιμο και επιστημονικά ενδεδειγμένο τρόπο. Η διαπίστωση μπορεί να έχει μια από τις τιμές: {Εσφαλμένη, Ορθή}, συνοδεύεται από σχετική επιγραμματική τεκμηρίωση, καθώς και από ενδεχόμενη σύσταση για περαιτέρω ενέργειες, η οποία μπορεί να έχει μια από τις τιμές: {Αναγκαία, Συνιστώμενη, Προαιρετική}. Αν η τιμή της σύστασης είναι Αναγκαία, τότε ο αξιολογούμενος οφείλει να προσαρμόσει την εφαρμογή του Μέτρου Ασφάλειας σύμφωνα με τη σύσταση του αξιολογητή. Είναι ευνόητο ότι ορισμένοι συνδυασμοί τιμών δεν είναι αποδεκτοί (πχ. {Ορθή, Αναγκαία}). [5]. Αξιολόγηση πληρότητας μέτρου: Αξιολογείται αν η εφαρμογή του Μέτρου Ασφάλειας έγινε με τρόπο που καλύπτει πλήρως την αντίστοιχη προδιαγραφή του. Η διαπίστωση μπορεί να έχει μια από τις τιμές: {Ανεπαρκής, Ελλιπής, Αποδεκτή, Πλήρης}, συνοδεύεται από σχετική συνοπτική τεκμηρίωση, καθώς και από ενδεχόμενη σύσταση για περαιτέρω ενέργειες, η οποία μπορεί να έχει μια από τις τιμές: {Αναγκαία, Συνιστώμενη, Προαιρετική}. Αν η τιμή της σύστασης είναι Αναγκαία, τότε ο αξιολογούμενος οφείλει να επικαιροποιήσει την εφαρμογή του Μέτρου Ασφάλειας σύμφωνα με τη σύσταση του αξιολογητή. Είναι ευνόητο ότι ορισμένοι συνδυασμοί τιμών δεν είναι δυνατοί (πχ. {Πλήρης, Αναγκαία}). [6]. Αξιολογητές: Αναφέρονται τα ονόματα των αξιολογητών, η ημερομηνία της αξιολόγησης, το όνομα του επόπτη της αξιολόγησης και η αντίστοιχη ημερομηνία. Το αποτέλεσμα της τελικής αξιολόγησης είναι οι τιμές που αποδίδουν οι αξιολογητές στην ορθότητα και την πληρότητα της εφαρμογής του Μέτρου Ασφάλειας. Οι περιπτώσεις μη θετικής αξιολόγησης ( απόρριψης της εφαρμογής του Μέτρου Ασφάλειας) είναι οι εξής: 1. Ορθότητα: {Εσφαλμένη, Αναγκαία} ή {Εσφαλμένη, Συνιστώμενη}, συνδυαζόμενη με οποιαδήποτε τιμή Πληρότητας 2. 2. Πληρότητα: {Ανεπαρκής, Αναγκαία} ή {Ανεπαρκής, Συνιστώμενη} ή {Ελλιπής, Αναγκαία} ή {Ελλιπής, Συνιστώμενη}, συνδυαζόμενη με οποιαδήποτε τιμή Ορθότητας. 2 O συνδυασμός {Εσφαλμένη, Προαιρετική} καλύπτει μια ειδική συγκυρία. Συγκεκριμένα, αν ο αξιολογούμενος υλοποίησε με εσφαλμένο τρόπο μια λειτουργικότητα ενός Μέτρου Ασφάλειας, η οποία δεν ζητείτο, τότε η προαιρετικότητα της επικαιροποίησής του Μέτρου Ασφάλειας σημαίνει ότι μπορεί είτε να διορθώσει την υλοποίηση της λειτουργικότητας αυτής, είτε να την αφαιρέσει τελείως (μια και είναι επιπλέον όσων ζητήθηκαν). 12
Σημειώνεται ότι η αξιολόγηση της ορθότητας και της πληρότητας της εφαρμογής ενός Μέτρου Α- σφάλειας γίνεται σειριακά, τυπικά προηγούμενης της αξιολόγησης της ορθότητας της εφαρμογής του, αλλά χωρίς αυτό να έχει σημαντικό χαρακτήρα. Όπως προαναφέρθηκε, το αποτέλεσμα των δύο πράξεων είναι η διαπίστωση εάν η εφαρμογή καθενός από τα Μέτρα Ασφάλειας έγινε με αποδεκτό τρόπο, σύμφωνα με το Νόμο (πχ. σε περιπτώσεις που α- φορούν επεξεργασία προσωπικών/ευαίσθητων δεδομένων) ή/και την Επιστήμη. Για να διευκολυνθεί η διαδικασία αυτή, οι δύο πράξεις συνοδεύονται από ένα συγκεντρωτικό πίνακα, στον οποίον καταγράφεται επιγραμματικά το ιστορικό της επικαιροποίησης όσων Μέτρων Ασφάλειας αξιολογήθηκε ότι χρειάζεται τροποποίηση της εφαρμογής τους. Μέσω του πίνακα αυτού είναι δυνατή η συνολική παρακολούθηση της εφαρμογής των Μέτρων Α- σφάλειας, καθώς και η διαπίστωση της ολοκλήρωσης της αξιολόγησης. Η δομή του πίνακα αυτού περιγράφεται στον Πίνακα 4. Γενική Κατηγορία Μέτρου Ασφάλειας Κωδικός Μέτρου Ασφάλειας Αξιολόγηση Ορθότητας Αξιολόγηση Πληρότητας Τιμή Σύσταση Τιμή Σύσταση Ιστορικότητα 3 : Ιστορικότητα: Υπόμνημα Τιμή Σύσταση Ορθότητα Εσφαλμένη (Ε), Ορθή (Ο) Αναγκαία (Α) Πληρότητα Ανεπαρκής (ΑΝ), Ελλιπής (Ε), Συνιστώμενη (Σ) Αποδεκτή (ΑΠ), Πλήρης (Π) Προαιρετική (Π) Πίνακας 4: Ιστορικό της επικαιροποίησης της εφαρμογής των Μέτρων Ασφάλειας 3 Η ιστορικότητα (sn/safeguard-code/evaluation-date/evaluator-name/recommend[cor(a,k),com(b,k)], για κάθε κύκλο αλλαγών) έχει σημασία στις περιπτώσεις εκείνες στις οποίες η εφαρμογή του Μέτρου Ασφάλειας ε- πικαιροποιήθηκε από τον αξιολογούμενο, μετά την αρχική (απορριπτική) αξιολόγησή της. 13
Βιβλιογραφία Βιβλία, μελέτες, οδηγίες και πρότυπα 1. Γκρίτζαλης Δ., Ανασφάλεια και Πολιτική Ανυπακοή στο Κυβερνοχώρο, Παπασωτηρίου, Αθήνα 2004. 2. Γκρίτζαλης Δ., Οδηγός προδιαγραφής λειτουργιών ασφάλειας και ιδιωτικότητας σε πληροφοριακά συστήματα και εγκαταστάσεις, Παραδοτέο ΚτΠ-SEC/ΕΕ-1/ΠΑ-1/1.7/25.01.2003, Κοινωνία της Πληροφορίας ΑΕ, Αθήνα 2003. 3. Γκρίτζαλης Σ., Κάτσικας Σ., Γκρίτζαλης Δ., Ασφάλεια Δικτύων Υπολογιστών, Παπασωτηρίου, Α- θήνα 2003. 4. Κάτσικας Σ., Γκρίτζαλης Δ., Γκρίτζαλης Σ., Ασφάλεια Πληροφοριακών Συστημάτων, Εκδόσεις Νέων Τεχνολογιών, Αθήνα 2004. 5. CIAO, Vulnerability Assessment Framework, Critical Infrastructure Assurance Office, USA 1998. 6. CSI/FBI, 11 th Annual Computer Crime and Security Survey, Computer Security Institute, 2006. 7. Denning D., Information Warfare and Security, Addison-Wesley, USA 1999. 8. Dept. of Homeland Security, National Infrastructure Protection Base Plan, USA 2006. 9. Ernst & Young, Global Information Security Survey, USA 2006. 10. Ford W., Baum M., Secure Electronic Commerce, Prentice-Hall (2 nd ed.), USA 2001. 11. Gritzalis D., Theoharidou M., Dritsas S., Marias G., Ambient Intelligence: The promise, the price and the social disruption, Review Report Series, AUEB-CIS/REV-0106/v.2.9/19.03.06, Greece 2006. 12. International Organization for Standardization (ISO), Information technology - Code of practice for information security management, International Standard ISO/IEC 17799, 2005. 13. IST Advisory Group, Trust, dependability, security and privacy for IST in FP6, Office for Official Publications of the European Communities, 2002 (www.cordis.lu/ist/istag-reports.html). 14. NIST, Risk Management Guide for Information Technology Systems, National Institute οf Standards and Technology, SP 800-30, USA 2002. 15. NIST, Guide for Developing Security Plans for Federal Information Systems, National Institute of Standards and Technology, SP 800-18 (rev. 1), USA 2006. 16. NIST, Recommended Security Controls for Federal Information Systems, National Institute of Standards and Technology, SP 800-53 (rev. 1), USA 2006. 17. NIST, Guide to Malware Incident Prevention and Handling, National Institute of Standards and Technology, SP 800-83, USA 2005. 14
18. Pfleeger C., Pfleeger S., Security in Computing, Prentice-Hall (4 th ed.), USA 2007. 19. President s Information Technology Advisory Committee, Cyber Security: A Crisis of Prioritization, Report to the President, USA 2005. 20. The White House, National Strategy to Secure Cyberspace, USA 2003. 21. The White House, The Physical Protection of Critical Infrastructures and Key Assets, USA 2003. Νόμοι και Προεδρικά Διατάγματα 22. Προεδρικό Διάταγμα 150/2001, Προσαρμογή στην Οδηγία 99/93 του Ευρωπαϊκού Κοινοβουλίου σχετικά με το κοινοτικό πλαίσιο για τις ψηφιακές υπογραφές, ΦΕΚ 125, 25 Ιουνίου 2001. 23. Νόμος 2860/2000, Διαχείριση, παρακολούθηση και έλεγχος του Κοινοτικού Πλαισίου Στήριξης και άλλες διατάξεις, ΦΕΚ 251, 14 Νοεμβρίου 2000. 24. Νόμος 2774/1999, Προστασία δεδομένων προσωπικού χαρακτήρα στον τηλεπικοινωνιακό τομέα, ΦΕΚ 287, 22 Δεκεμβρίου 1999. 25. Nόμος 2472/1997, Προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα, ΦΕΚ 50, 10 Απριλίου 1997. 15
Λίγα λόγια για το συγγραφέα Ο Δημήτρης Γκρίτζαλης (dgrit@aueb.gr) είναι Αναπληρωτής Καθηγητής Ασφάλειας στην Πληροφορική και τις Επικοινωνίες, στο Τμήμα Πληροφορικής του Οικονομικού Πανεπιστημίου Αθηνών και Διευθυντής της Ερευνητικής και Μελετητικής Ομάδας Ασφάλειας Πληροφοριών και Προστασίας Κρίσιμων υποδομών (www.cis.aueb.gr). Εχει πτυχίο (BSc) Μαθηματικών του Πανεπιστημίου Πατρών, μεταπτυχιακό δίπλωμα (MSc) στην Επιστήμη των Υπολογιστών του City University of New York και διδακτορικό δίπλωμα (PhD) στην Ασφάλεια Πληροφοριακών Συστημάτων του Πανεπιστημίου Αιγαίου. Τα τρέχοντα επιστημονικά του ενδιαφέροντα περιλαμβάνουν ασφάλεια σε AmI, ο- ντολογίες ασφάλειας, ζητήματα εμπιστοσύνης σε συστήματα VoIP, τεχνολογίες προάσπισης ιδιωτικότητας (ΡΕΤ), εκπαίδευση στην ασφάλεια στις ΤΠΕ. Είναι ο εθνικός εκπρόσωπος της Ελλάδας στην Τεχνική Επιτροπή 11 της IFIP (Protection of Informtion Processing Systems), υπηρέτησε ως μέλος της Αρχής Προστασίας Προσωπικών Δεδομένων, καθώς και ως Πρόεδρος και μέλος του ΔΣ της Ελληνικής Εταιρείας Επιστημόνων Η/Υ και Πληροφορικής (ΕΠΥ). Τα τελευταία 20 χρόνια έχει συμμετάσχει σε δεκάδες έργα Ερευνας και Τεχνολογικής Ανάπτυξης σε θέματα Ασφάλειας Πληροφοριών και Προστασίας Κρίσιμων Υποδομών, στην Ελλάδα και διεθνώς, σε συνεργασία με πλήθος οργανισμών (Ευρωπαϊκή Ένωση, Συμβούλιο της Ευρώπης, EUROPOL, Ευρωπαϊκός Οργανισμός Προτύπων (CEN), Υπ. Εξωτερικών, Υπ. Εσωτερικών, Δημόσιας Διοίκησης και Αποκέντρωσης, Υπ. Υγείας και Πρόνοιας, ΟΤΕ, HellasSAT, BP, ΕΚΟ ΕΛΔΑ, Ανώτατο Συμβούλιο Επιλογής Προσωπικού (ΑΣ- ΕΠ), ΟΑΣΑ, Αττικό Μετρό, EBEA, Ελληνικός Οργανισμός Τυποποίησης, ΤΡΑΜ, Κοινωνία της Πληροφορίας, Q-TELECOM, 6 Νοσοκομεία, 3 ΔΥΠε, ΕΥΔΑΠ κλπ.). 16