Η Ασφάλεια Πληροφοριών στο χώρο της Εκκαθάρισης των Χρηµατιστηριακών Συναλλαγών Η πρόκληση & η πρακτική προσέγγιση Η Προστασία της Κρίσιµης Υποδοµής της Χώρας Αθήνα 14 Μαΐου 2003 Παναγιώτης Ηλιόπουλος, CISA, MSc InfoSec Προϊστάµενος Ασφάλειας
Κεντρικό Αποθετήριο Αξιών Α.Ε. Ιδρύθηκε το 1991 Η εκκαθάριση των χρηµατιστηριακών συναλλαγών του ΧΑ, καθώς και κάθε άλλη δραστηριότητα που είναι συναφής προς τον σκοπό αυτό Η καταχώρηση των αποϋλοποιηµένων, εισηγµένων στο ΧΑ αξιών Η εκκαθάριση των συναπτοµένων στο ΧΑ συναλλαγών επί άυλων τίτλων του ηµοσίου Το Κ.Α.Α. σε αριθµούς 230 εσωτερικοί χρήστες 1000 εξωτερικοί χρήστες 40 διαφορετικά υπολογιστικά συστήµατα 2
Ασφάλεια Πληροφοριών: Επιχειρησιακή Αναγκαιότητα Η ασφάλεια πληροφοριών αποτελεί µόνιµη πρόκληση, δεν αφορά µόνο στην τεχνολογία, είναι επιχειρησιακό θέµα. Αντικειµενικός στόχος είναι η προστασία των συµφερόντων όσων βασίζονται & εµπιστεύονται τις επιχειρησιακές πληροφορίες. Η Πληροφορία αποτελεί πολύτιµο περιουσιακό στοιχείο & η προστασία της είναι απαραίτητη για την λειτουργία της εταιρείας & για την δηµιουργία ανταγωνιστικού πλεονεκτήµατος. Επιτρέπει στην επιχείρηση να εγγυάται την αξιοπιστία των συναλλαγών, της διαθεσιµότητα των παρεχοµένων υπηρεσιών και την εµπιστευτικότητα των των κρίσιµων πληροφοριών. 3
Κρισιµότητα της Πληροφορίας & Απειλές Ασφάλειας Εστίες Απειλών Χρήστες internet Επενδυτές, Εκδότριες, Hackers, Computer Criminals Extranet Users Χρήστες χρηµατιστηριακών εταιρειών, Χρήστες θεµατοφυλάκων, Μηχανικοί πληροφορικής Κίνητρο Πρόκληση Κατασκοπία Αποκάλυψη εµπιστευτικών πληροφοριών Τροποποίηση δεδοµένων Εκβιασµός Εκµετάλλευση στοιχείων Ενέργειες Εκδήλωσης Απειλών Εκµετάλλευση ελλιπούς παραµετροποίησης συστηµάτων. Εκµετάλλευση γνωστών αδυναµιών ασφάλειας. Εκµετάλλευση προγραµµατιστικών λαθών. Εισαγωγή λανθασµένων ή αλλοιωµένων δεδοµένων. Τροποποίηση στοιχείων κατά την διακίνησή τους στο διαδίκτυο. Πλαστοπροσωπία, Μη εξουσιοδοτηµένη πρόσβαση στα συστήµατα. Χρήση υπολογιστικής ισχύς για παρείσδυση σε άλλους διαδικτυακούς τόπους 4
Κρισιµότητα της Πληροφορίας & Απειλές Ασφάλειας Κρισιµότητα εδοµένων Εφαρµογή/Σύστηµα Επίπεδο Κρισιµότητας (Υψηλό, Μέτριο, Χαµηλό) ιαθεσιµότητα Εµπιστευτικότητα Ακεραιότητα Συνολική Αξιολόγηση ΕφαρµογήΕµπιστευτικότητα -1 Εφαρµογή -2 Ακεραιότητα Εφαρµογή -3 Εφαρµογή -4 ιαθεσιµότητα Εφαρµογή -5 Εφαρµογή -6 Συνολική Αξιολόγηση Κρισιµότητας Εφαρµογή -7 Χαµηλή Εφαρµογή -8 Εφαρµογή -9 5
Η Εταιρεία, τα Συστήµατα, η Πρόκληση Banks ATMs Επενδυτές Εκδότριες Εταιρείες Internet PSTN Εσωτερικό ίκτυο Χρηµατιστηριακές Θεµατοφύλακες Client server API s Άϋλοι Τίτλοι Β.. Extranet 6
Ασφάλεια Πληροφοριών, µία ιαρκής ιαδικασία ηµιουργία Κεντρικού Φορέα ιαχείρισης της Ασφάλειας Πληροφοριών: ιαρκής Έλεγχος & Αξιολόγηση της εναρµόνισης µε την Πολιτική Ασφάλειας & της αποτελεσµατικότητας των υφιστάµενων δικλείδων Ασφάλειας Αξιολόγηση Κινδύνων, Προσδιορισµός Απαιτήσεων & ιαµόρφωση Προδιαγραφών ιαµόρφωση Πολιτικής Ασφάλειας & Οδηγιών ιαχείρισης Ασφάλειας Επιβολή της Πολιτικής & των οδηγιών Ασφάλειας, µέσω του προσδιορισµού Των κατάλληλων δικλείδων ασφάλειας & της αξιολόγησης τήρησης των Προδιαγραφών Ασφάλειας 7
Η Αποστολή του Τµήµατος Ασφάλειας Εµπιστευτικότητα Ακεραιότητα ιαθεσιµότητα ιαµόρφωση Επιπέδου Ασφάλειας Ανάλογου της Κρισιµότητας των Επιχειρησιακών εδοµένων Πολιτική Ασφάλειας & Οδηγίες Επιβολή ικλείδων Ασφάλειας & ιαδικασιών Λειτουργία Εξειδικευµένων Εργαλείων Αξιολόγηση Κινδύνων & ικλείδων Ασφάλειας Ασφάλεια Πληροφοριών 8
Το Όραµά µας για την Ασφάλεια Πληροφοριών Η Ασφάλεια Πληροφοριών αποτελεί µία διαρκή διαδικασία Εξασφάλιση επιπέδου ασφάλειας ανάλογου της κρισιµότητας των εδοµένων της Εταιρείας Μεγιστοποίηση της αξιοπιστίας των πληροφοριών της εταιρείας Υλοποίηση διαφανών ικλείδων Ασφάλειας 9
Σύστηµα ιαχείρισης Ασφάλειας Πληροφοριών Πολιτική Ασφάλειας Πληροφοριών Πρότυπες Οδηγίες Ασφάλειας ιαδικασίες Ασφάλειας Ενηµέρωση & Ευαισθητοποίηση Εγχειρίδιο Ασφάλειας (Information Security Manual) Ανάλογο της Κρισιµότητας & της Αξίας των εδοµένων της Εταιρείας Προσδιορισµός απαιτήσεων ασφάλειας: Αξιολόγηση Κρισιµότητας εδοµένων Μεθοδολογία Αξιολόγησης Κινδύνων ιεθνή Πρότυπα Ασφάλειας Πληροφοριών Νοµικές ιατάξεις Εγκεκριµένες ιεθνής Πρακτικές Το κόστος των προτεινόµενων ικλείδων Ασφάλειας (<) ή (=) Κόστος της εκδήλωσης του αποτελέσµατος από την µη υλοποίηση των δικλείδων ασφάλειας 10
Υλοποίηση & Επιβολή Προδιαγραφών Ασφάλειας Επιβολή & Στήριξη της της Πολιτικής Ασφάλειας από από τη τη ιοίκηση Μεθοδική συµµετοχή της της Ασφάλειας κατά κατά την την Ανάπτυξη & Λειτουργία Συστηµάτων. ιαµόρφωση συγκεκριµένων παραδοτέων για για κάθε κάθε Εφαρµογή τεχνολογιών ιαχείρισης, Ελέγχου & Επιβολής της της Πολιτικής Ασφάλειας Αξιολόγηση της της αποτελεσµατικότητας των των υπαρχόντων & πρόταση νέων νέων ικλείδων Ασφάλειας 11
Μηχανισµοί ιαχείρισης Ασφάλειας Πιστοποίηση Ταυτότητας & Έλεγχος Πρόσβασης Access Control Management Σύστηµα Α Single Sign On On Σύστηµα Β Σύστηµα C Εφαρµογή Α Σύστηµα D Εφαρµογή Α 12
Μηχανισµοί Ελέγχου Ασφάλειας Συστηµάτων Σύστηµα ανίχνευσης παρεισδύσεων (Intrusion Detection System) Σύστηµα αποτίµησης αδυναµιών ασφάλειας (Risk Assessment Tools) Μηχανικός Ασφάλειας Εργαλεία εξοµοίωση µεθόδων παρείσδυσης συστηµάτων (Open Source Security & Hacking Tools) Εταιρικοί Χρήστες CSD.GR. Net Εξωτερικοί Χρήστες Extranet Internet Χρήστες Internet 13
ιαρκής Έλεγχος & Αξιολόγηση των ικλείδων Ασφάλειας Έλεγχος εναρµόνισης των των περιοχών ς Κρισιµότητας µε µε την την Πολιτική & τις τις Οδηγίες Ασφάλειας (Μηνιαία & Εβδοµαδιαία βάση) βάση) Αξιολόγηση & Αποτίµηση της της αποτελεσµατικότητας των των δικλείδων ασφάλειας οι οι οποίες οποίες αφορούν στις στις περιοχές ς Κρισιµότητας (Μηνιαία & Εβδοµαδιαία βάση) βάση) Απόκριση & ιαχείριση Περιστατικών Ασφάλειας Παρακολούθηση Τρωτοτήτων & Αδυναµιών Ασφάλειας Αξιολογήσεις Κινδύνων βάση βάση Ετήσιου Πλάνου Κεντρική ιαχείριση των κινδύνων ασφάλειας Πληροφόρηση της ιοίκησης για την παρούσα κατάσταση ασφάλειας της εταιρείας, τους παραµένοντες κινδύνους και την πρόοδο υλοποίησης των διορθωτικών ενεργειών 14
Μελλοντικοί Στόχοι Αναδιαµόρφωση Λειτουργικού πλαισίου Ασφάλειας Πληροφοριών Ενηµέρωση & Ευαισθητοποίηση προσωπικού ISO: 17799 PKi (ενσωµάτωση σε εφαρµογές) 15
Τέλος παρουσίασης P.iliopoulos iliopoulos@csd.ase.gr www.hcsd hcsd.gr