STORM-RM: A Collaborative Risk Management Methodology. T. Ntouskas, D. Gritzalis

Σχετικά έγγραφα
Critical Infrastructures: The Nervous System of every Welfare State. G. Stergiopoulos, D. Gritzalis

Critical Infrastructure Protection: A Roadmap for Greece D. Gritzalis

National Critical Telecommunication Infrastructure Protection: Towards an Holistic Strategy. PanosKotzanikolaou June 2016

National Critical Telecommunication Infrastructure Protection: An Identification and Assessment Methodology. Georgia Lykou June 2016

Security in the Cloud Era

From Information Security to Cyber Defense. Dimitris Gritzalis

Online Social Networks: Posts that can save lives. Dimitris Gritzalis, Sotiria Giannitsari, Dimitris Tsagkarakis, Despina Mentzelioti April 2016

Online Social Networks: Posts that can save lives. Sotiria Giannitsari April 2016

Digital signatures in practice in Greece: Capabilities and limitations. Dimitrios Lekkas, Dimitris Gritzalis

Transport Resilience Georgia Lykou

Cyberwar ante portas : The role and importance of national cyber-defense exercises

The Inherently Hybrid Nature of Online Social Networks. Dimitris Gritzalis April 2016

Παρουσίαση της μεθοδολογίας Octave

ΤΕΧΝΟΛΟΓΙΕΣ & ΑΣΦΑΛΕΙΑ ΠΛΗΡΟΦΟΡΙΩΝ ΙΩΑΝΝΗ Δ. ΙΓΓΛΕΖΑΚΗ

From Secure e-computing to Trusted u-computing. Dimitris Gritzalis

The IT Security Expert Profile

ΠΡΟΣΩΠΙΚΕΣ ΠΛΗΡΟΦΟΡΙΕΣ ΘΕΟΔΩΡΟΣ ΝΤΟΥΣΚΑΣ E U R O P E A N C U R R I C U L U M V I T A E F O R M A T

The Greek Data Protection Act: The IT Professional s Perspective

Ανάλυση, Αποτίμηση και Διαχείριση Επικινδυνότητας Π.Σ.

Critical ICT Infrastructure Protection: Overview of the Greek National Status

ISMS κατά ISO Δεκέμβριος 2016

Legal use of personal data to fight telecom fraud

ΠΑΝΕΠΙΣΤΗΜΙΟ ΠΕΙΡΑΙΩΣ Τμήμα Πληροφορικής ΔΙΔΑΚΤΟΡΙΚΗ ΔΙΑΤΡΙΒΗ. Συστημάτων» «Θεόδωρος Ν. Ντούσκας» Επιβλέπουσα: Επίκουρος Καθηγήτρια Δ.

Συνεργασία PRIORITY & INTERAMERICAN:

Spam over Internet Telephony (SPIT): An emerging threat. Dimitris Gritzalis

η PRIORITY από το 1995 ανάλυση και βελτίωση επιχειρησιακών διαδικασιών σύμφωνα με κανονιστικό πλαίσιο διεθνή πρότυπα και βέλτιστες πρακτικές

Selecting Essential IT Security Projects. Dimitris Gritzalis

SPIT: Still another emerging Internet threat

Ασφάλεια πληροφοριακών συστημάτων στη Ναυτιλία ISO 27001

Ready Business Secure Business

Protecting Critical Public Administration ICT Infrastructures. Dimitris Gritzalis

Organizing the Protection of Critical ICT Infrastructures. Dimitris Gritzalis

Discussing Security and Privacy Issues in the Age of Surveillance Dimitris Gritzalis

Risk Management in Telecoms. Σπυρόπουλος Δημήτριος ΜΤΕ Επιβλέπων καθηγητής: Μαρίνος Θεμιστοκλέους. Πανεπιστήμιο Πειραιά

Η Ασφάλεια Πληροφοριών στο χώρο της Εκκαθάρισης των Χρηµατιστηριακών Συναλλαγών

Πολιτικές Ασφάλειας Πληροφοριακών Συστημάτων. Σωκράτης Κ. Κάτσικας Τμήμα Μηχ/κών Πληροφοριακών & Επικοινωνιακών Συστημάτων Πανεπιστήμιο Αιγαίου

Παρουσίαση Μεταπτυχιακής Εργασίας

(Εννοιολογική θεμελίωση)

Protecting Critical ICT Infrastructures

ICT provide options and threats. Dimitris Gritzalis February 2016

Towards a more Secure Cyberspace

Εκτίμηση κινδύνου και μέτρα ασφαλείας για την προστασία προσωπικών δεδομένων

ΕταιρικήΠαρουσίαση ΠΟΛΙΤΙΚΕΣ ΚΑΙ ΔΙΑΔΙΚΑΣΙΕΣ ΔΙΑΧΕΙΡΙΣΗΣ ΑΣΦΑΛΕΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΜΑΪΟΣ 2018

Secure Cyberspace: New Defense Capabilities

The SPHINX project report Dimitris Gritzalis

Έλλη Παγουρτζή ΚΕ.ΜΕ.Α.

2016 IEEE/ACM International Conference on Mobile Software Engineering and Systems

GDPR: Η αντίστροφη μέτρηση έχει αρχίσει! Δ. Στασινόπουλος, MBA Manager IT Governance

Security and Privacy: From Empiricism to Interdisciplinarity. Dimitris Gritzalis

ΕΛΕΓΧΟΣ ΕΓΓΡΑΦΟΥ ΙΣΤΟΡΙΚΟ ΕΚΔΟΣΕΩΝ

Ασφάλεια Δικτύων. Τι (δεν) είναι Ασφάλεια Δικτύων. Γιάννης Ηλιάδης Υπεύθυνος Ασφάλειας Δικτύου ΤΕΙΡΕΣΙΑΣ Α.Ε. 24/11/07

Ασφαλή Συστήματα Μέθοδοι ελέγχου και εξακρίβωσης ορθής λειτουργίας

Ζητήματα Ασφάλειας στο σχεδιασμό Επιχειρησιακής Συνέχειας. Τσώχου Αγγελική

ΠΡΟΤΥΠΟ ΣΥΝΤΟΝΙΣΤΙΚΟ ΚΕΝΤΡΟ (ΣΚ) ΠΡΟΣΤΑΣΙΑΣ ΚΑΙ ΑΣΦΑΛΕΙΑΣ ΚΡΙΣΙΜΩΝ ΥΠΟΔΟΜΩΝ

ΜΕΘΟΔΟΛΟΓΙΑ ΙMP3ROVE

GDPR/ISO GDPR & SECURITY CONSULTING SERVICES By Cosmos Business Systems

ΕΝΗΜΕΡΩΣΗ. Για περισσότερες πληροφορίες επικοινωνήστε μαζί μας στο

ΕΛΕΓΧΟΣ ΠΡΟΓΡΑΜΜΑΤΟΣ ΕΠΙΧΕΙΡΗΣΙΑΚΗΣ ΣΥΝΕΧΕΙΑΣ (Auditing Business Continuity Plan & Disaster Recovery Plan)

Εξειδικευμένο λογισμικό για GRC

ΠΡΟΣΚΛΗΣΗ ΕΝΔΙΑΦΕΡΟΝΤΟΣ KAI ΚΑΤΑΘΕΣΗΣ ΠΡΟΣΦΟΡΩΝ ΓΙΑ ΤΗΝ ΑΝΑΘΕΣΗ ΤΟΥ ΕΡΓΟΥ:

Critical ICT Infrastructures Protection: Trends and Perspectives. Dimitris Gritzalis

GDPR : Περιστατικά Παραβίασης Προσωπικών Δεδομένων 8 μήνες μετά

ΑΣΦΑΛΕΙΑ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΚΑΙ ΤΗΛΕΠΙΚΟΙΝΩΝΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ

Used to be Information Security - Now is Critical ICT Infrastructure Protection Dimitris Gritzalis

Από την ιδέα στο έργο

Κων/νος Λαμπρινουδάκης Αναπληρωτής Καθηγητής Τμήμα Ψηφιακών Συστημάτων Εργαστήριο Ασφάλειας Συστημάτων Πανεπιστήμιο Πειραιώς

ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΥΓΕΙΑΣ ΕΙΔΙΚΟΣ ΛΟΓΑΡΙΑΣΜΟΣ ΚΟΝΔΥΛΙΩΝ ΕΡΕΥΝΑΣ Λ. Αλεξάνδρας 196, Αθήνα ΠΕΡΙΛΗΨΗ ΠΡΟΣΚΛΗΣΗΣ ΕΚΔΗΛΩΣΗΣ ΕΝΔΙΑΦΕΡΟΝΤΟΣ

Ασφάλεια Υπολογιστικών Συστηµάτων

Υπηρεσίες Πληροφόρησης στην Ψηφιακή Εποχή: Ζητήματα Ασφάλειας και Προστασίας Ιδιωτικότητας

ΕΠΑΝΑΛΗΠΤΙΚΟ ΤΕΣΤ ΣΤΗΝ ΕΝΟΤΗΤΑ

Ερευνητική+Ομάδα+Τεχνολογιών+ Διαδικτύου+

GDPR/ISO GDPR & SECURITY CONSULTING SERVICES By Cosmos Business Systems

Ασφάλιση Σύγχρονων Επιχειρηματικών Κινδύνων GDPR & Cyber Risks

25/5/2018 αυξημένα πρόστιμα υπεύθυνος προστασίας δεδομένων (DPO) Ποιούς αφορά φορείς του δημοσίου τομέα υπηρεσίες Υγείας ΝΠΔΔ ιδιωτικές εταιρίες

ΑΠΟΦΑΣΗ. ( αριθμός:../2013 ) Θέμα: «Κανονισμός για την Ασφάλεια και την Ακεραιότητα Δικτύων και Υπηρεσιών Ηλεκτρονικών Επικοινωνιών».

Security and Privacy in the Age of Surveillance. Dimitris Gritzalis

Ερευνητικό Κέντρο Ευφυών Συστημάτων και Δικτύων Κοίος

Θέμα : «Παροχή Υπηρεσιών Υποστήριξης για συμμόρφωση με τα διαλαμβανόμενα στον GDPR 2016/679 κανονισμό της Ευρωπαϊκής Ένωσης»

ΛΥΣΕΙΣ ΗΛΕΚΤΡΟΝΙΚΗΣ ΤΙΜΟΛΟΓΗΣΗΣ

Υπεύθυνος Προστασίας Δεδομένων (Data Protection Officer)

Life EWAS: Αποδοτικές & Βιώσιμες Μέθοδοι Διαχείρισης Απορριμμάτων με την Χρήση Εργαλείων ICT για τη Μείωση των Αερίων Θερμοκηπίου

Ασφάλεια Πληροφοριακών Συστημάτων

Everything can be hacked in the Internet-of-Things. Dimitris Gritzalis March 2017

Τεχνολογίες Διαχείρισης Ασφάλειας

RISK BASED INTERNAL AUDIT ΚΑΙ ΝΕΟ ΠΛΑΙΣΙΟ ΕΠΟΠΤΕΙΑΣ ΑΠΟ ΤΗΝ ΤΡΑΠΕΖΑ ΕΛΛΑΔΟΣ (ΠΔΤΕ 2577/2006)

Online Social Networks: Enhancing Social Welfare and Supporting National Defense. Dimitris Gritzalis April 2016

ΟΜΑ Α ΕΡΓΑΣΙΑΣ H1 Ηλεκτρονικές Υπηρεσίες και Εφαρµογές. Προοπτικές. Εισηγητής: ρ. Νικήτας Νικητάκος

1) Γέρου Βασιλική Διοικητική Διευθύντρια 2) Νικολοπούλου Χαρίκλεια Δ/ντρια Φαρμακείου 3) Τζιάρας Λουκάς ΔΕ Διοικητικών Γραμματέων

«Ανάγκες προσαρμογής στις εξελίξεις και ανάπτυξη ελληνικού προτύπου έξυπνης πόλης»

From IT Security to Critical Infrastructure Protection: From the past to the future. Dimitris Gritzalis

ΔΙΠΛΩΜΑΤΙΚΕΣ ΕΡΓΑΣΙΕΣ

Στρατηγική Επιλογή Capital B.O.S. Capital B.O.S.

GDPR: Εχθρός (?) προ των πυλών. 18 Απριλίου 2018 Δημήτρης Στασινόπουλος IT Governance Deputy Director

9η Παρ. Ι. ΘΕΟΤΟΚΗ 1, ΤΗΛ.: , FAX: 44110, Τ.Κ ΚΕΡΚΥΡΑ

Η παροχή εξειδικευμένων εξωτερικών υπηρεσιών διαχείρισης των απειλών ενάντια στα πληροφοριακά συστήματα του ΟΒΙ.

ΜΕΘΟΔΟΣ NAIADE ΑΞΙΟΛΟΓΗΣΗ ΣΤΟ ΣΧΕΔΙΑΣΜΟ ΤΟΥ ΧΩΡΟΥ ΠΟΛΥΚΡΙΤΗΡΙΑΚΗ ΑΞΙΟΛΟΓΗΣΗ. Υπεύθυνη Μαθήματος Αναστασία Στρατηγέα Αναπλ. Καθηγ. Ε.Μ.Π.

1.1. Πολιτική Ασφάλειας Πληροφοριών

Εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων

Ανάπτυξη Δυνατοτήτων στην Εκπαίδευση μέσω της Πρωτοβουλίας GEO

Ο Ρόλος των Αρχών στη διασφάλιση του Απορρήτου των Επικοινωνιών στον κόσµο της Νεφοϋπολογιστικής

Transcript:

STORM-RM: A Collaborative Risk Management Methodology T. Ntouskas, D. Gritzalis January 2017

Συνεργατική Μεθοδολογία ΑΔΕ STORM-RM T. Ntouskas, D. Gritzalis Information Security & Critical Infrastructure Protection Laboratory Dept. of Informatics Athens University of Economics & Business

Εισαγωγή Πολύπλοκες αρχιτεκτονικές Απαιτήσεις χρηστών Σύνθετες η /κυπηρεσίες - εφαρμογές Σημερινά Πληροφοριακά Συστήματα Κατανεμημένα Αλληλεξαρτώντα ι από ΠΣ συνεργαζόμενω ν φορέων Πολλοί χρήστες STORM - Δρ. Θεόδωρος Ντούσκας 3

NIST SP 800-30 ISO / IEC 27001:2013 Προσδιορισμός Επιχ. Κινδύνων Ανάλυση Διαχείριση Ασφάλειας AS / NZS 4360 ISO / IEC 27002:2013 Παρακολούθηση Χειρισμός ISO / IEC 27005:2011 STORM - Δρ. Θεόδωρος Ντούσκας 4

Κριτήρια Μεθοδολογίες CRAMM EBIOS OCTAVE Mehari MAGERIT Κόστος Εμπορικό Δωρεάν Δωρεάν Εμπορικό Δωρεάν Εργαλείο/ Κόστος Ναι/ Εμπορικό Ναι/ Δωρεάν Ναι/ Εμπορικό Ναι/ Εμπορικό Ναι/ Εμπορικό Συνεργατικότητα Όχι Όχι Ναι Όχι Όχι Συμβατότητα με πρότυπα Ναι Ναι Όχι Ναι Ναι Παραμετροποιήσιμες Όχι Όχι Ναι Ναι Ναι Πολυγλωσικότητα Μόνο Αγγλικά Ναι Μόνο Αγγλικά Μόνο Γαλλικά Αγγλικά, Ισπανικά STORM - Δρ. Θεόδωρος Ντούσκας 5

Ανοιχτά προβλήματα i. Η διαχείριση ασφάλειας ΔΕΝ αντιμετωπίζεται ως ένα πολυκριτηριακό πρόβλημα. ii. iii. iv. Οι υφιστάμενες μεθοδολογίες ΑΔΕ δεν ανταποκρίνονται στις σημερινές ανάγκες και δεν ικανοποιούν συγκεκριμένα κριτήρια: μη παραμετροποιήσιμες, μη συνεργατικές, πολύπλοκες, ακριβές (απαιτούν πόρους) Τα εργαλεία ΑΔΕ είναι: Δύσχρηστα, εξειδικευμένα (απαιτούν τεχνογνωσία), ακριβά (κόστος, ανθρωποπροσπάθεια), εμπορικά, μη συνεργατικά Έλλειψη ολοκληρωμένων συνεργατικών συστημάτων ΑΔΕ: παροχή υπηρεσιών ΑΔΕ, συνεργασία, εκπαίδευση, ενημέρωση σε θέματα ασφάλειας. STORM - Δρ. Θεόδωρος Ντούσκας 6

Συνεισφορές i. Αντιμετωπίζεται η ΑΔΕ ως πολυκριτηριακό πρόβλημα, λαμβάνοντας υπόψη της τα εξής κριτήρια: ii. iii. τεχνολογικά, επιχειρησιακά, νομικά Αναπτύσσεται ή συνεργατική, πολυκριτηριακή, παραμετροποιήσιμη μεθοδολογία ΑΔΕ, STORM-RM Προδιαγράφονται και αναπτύσσονται συνεργατικές STORM - υπηρεσίες για τη ΑΔΕ, που υλοποιούν τα βήματα της STORM-RM STORM - Δρ. Θεόδωρος Ντούσκας 7

Φάσεις της STORM-RM Φάση 1: Χαρτογράφηση Προσδιορισμός Κρίσιμων η-υπηρεσιών Καταγραφή Αγαθών Αλληλεξαρτήσει ς Αγαθών Υπάρχουσα Κατάσταση STORM-RM Φάση 2: Ασφάλειας Φάση 3: Απειλών Ατομική Προσδιορισμός Απειλών Ομαδική Απειλών Συνολική Μείωση Πολυπλοκότητας Asset model User Model Συνεργατικότητα Συλλογή γνώσης Πολλαπλά κριτήρια Φάση 4: Φάση 5: Επικινδυνότητας Προσδιορισμός Υπολογισμός Επιπέδων Κινδύνων Θεωρητική Προσδιορισμός Επικινδυνότητα ς Πρακτική Συνολική Εύκολα υλοποιήσιμη Φάση 6: Μέτρα Προστασίας - Σχέδιο Ασφάλειας Προτεινόμενα Μέτρα Ασφάλειας Επιλογή Κατάλληλων Μέτρων Ασφάλειας Φάση 7: Αναφορές Ανάλυσης Επικινδυνότητας Ρεαλιστική ΑΔΕ STORM - Δρ. Θεόδωρος Ντούσκας 8

Φάση 1: Χαρτογράφηση Προσδιορισμός Κρίσιμων η-υπηρεσιών Καταγραφή Αγαθών Αλληλεξαρτήσεις Αγαθών Υπάρχουσα Κατάσταση 1. Προσδιορισμός Κρίσιμων η-υπηρεσιών 2. Προσδιορισμός συμμετεχόντων Νόμιμος Εκπρόσωπος 3. Καταγραφή χρηστών 4. Προσδιορισμός δεδομένων Τελικοί Χρήστες 5. Καταγραφή Υλικού - Λογισμικού Νόμιμος Εκπρόσωπος Διοίκηση Διαχειριστές STORM - Δρ. Θεόδωρος Ντούσκας 9

Φάση 1: Χαρτογράφηση Προσδιορισμός Κρίσιμων η-υπηρεσιών Καταγραφή Αγαθών Αλληλεξαρτήσεις Αγαθών Υπάρχουσα Κατάσταση Καταγραφή των η-υπηρεσιών Αξιολόγηση της κρισιμότητας των η-υπηρεσιών (με την βοήθεια της AHP) Εθνικά / Κοινωνικά Κριτήρια: Επιχειρηματικ ά Κριτήρια: STORM - Δρ. Θεόδωρος Ντούσκας 10

Φάση 1: Χαρτογράφηση Προσδιορισμός Κρίσιμων η-υπηρεσιών Καταγραφή Αγαθών Αλληλεξαρτήσεις Αγαθών Υπάρχουσα Κατάσταση η- Υπηρεσίες Φυσικά αγαθά Υλικό Λογισμικό Δεδομένα E 1 Κτίρια Υπολογιστής εξυπηρετητής Λειτουργικό σύστημα Οικονομικά E n Δωμάτια Σταθμός εργασίας Ανεξάρτητη εφαρμογή Προσωπικά Δικτυακή πύλη Εφαρμογή πελάτη Δρομολογητής Λογισμικό διαχείρισης βάσης δεδομένων Μεταγωγέας Λογισμικό παροχής ιστοσελίδων Μέσο αποθήκευσης Λογισμικό υποστήριξης εφαρμογών Εκτυπωτής Ενσωματωμένο λογισμικό Λογισμικό υποστήριξης δικτύωσης STORM - Δρ. Θεόδωρος Ντούσκας 11

Φάση 1: Χαρτογράφηση Προσδιορισμός Κρίσιμων η-υπηρεσιών Καταγραφή Αγαθών Αλληλεξαρτήσεις Αγαθών Υπάρχουσα Κατάσταση Τμήμα Πωλήσεων Τμήμα Πληροφορικής Τμήμα Λογιστηρίου Διοίκηση Νομικό Τμήμα Προϊστάμενος Ασφάλειας Ομάδες Χρηστών Ομάδα Ασφάλειας Εσωτερικός Ελεγκτής Προϊστάμενος Φυσικής Ασφάλειας Διαχειριστές Π.Σ. Δικτύων Εφαρμογών Βάσεων Δεδομένων Συστημάτων Τελικοί Χρήστες Εσωτερικοί Χρήστες Εξωτερικοί Χρήστες STORM - Δρ. Θεόδωρος Ντούσκας 12

Φάση 1: Χαρτογράφηση Προσδιορισμός Κρίσιμων η-υπηρεσιών Καταγραφή Αγαθών Αλληλεξαρτήσεις Αγαθών Υπάρχουσα Κατάσταση η- Υπηρεσία Εξυπηρετητής Σταθμός Εργασίας Χρήστες Δικτυακή πύλη Δρομολογητής Δεδομένα Μεταγωγέας Υλικό (HW) Μέσο αποθήκευσης Εκτυπωτής Λειτουργικό Σύστημα Ανεξάρτητη Εφαρμογή Συστήματα Λογισμικό (SW) Φυσικά Αγαθά Εφαρμογή Πελάτη Λογισμικό Διαχείρισης Βάσης Δεδομένων Λογισμικό Παροχής Ιστοσελίδων Λογισμικό Υποστήριξης Εφαρμογών Λογισμικό Υποστήριξης Δικτύωσης Επίπεδο 0 Επίπεδο 1 Επίπεδο 2 STORM - Δρ. Θεόδωρος Ντούσκας 13

Φάση 1: Χαρτογράφηση Προσδιορισμός Κρίσιμων η-υπηρεσιών Καταγραφή Αγαθών Αλληλεξαρτήσεις Αγαθών Υπάρχουσα Κατάσταση Βαθμός Συσχέτισης (Correlation Factor CF) του Συστήματος S και της η- υπηρεσίας E: CF (System S, Service E) ποσοστό με το οποίο επηρεάζεται η Εμπιστευτικότητα, Ακεραιότητα και Διαθεσιμότητα της η-υπηρεσίας STORM - Δρ. Θεόδωρος Ντούσκας 14

Φάση 1: Χαρτογράφηση Προσδιορισμός Κρίσιμων η-υπηρεσιών Καταγραφή Αγαθών Αλληλεξαρτήσεις Αγαθών Υπάρχουσα Κατάσταση Καταγράφονται όλα τα υφιστάμενα μέτρα προστασίας του υπό εξέταση ΠΣ. Για κάθε ένα αγαθό γίνεται ο έλεγχος με βάση τα μέτρα που ορίζει το ISO 27001 και χαρακτηρίζονται: Πλήρως εγκατεστημένα, Μερικώς Εγκατεστημένα, Μη Εγκατεστημένα. Τα αποτελέσματα του συγκεκριμένου Βήματος θα χρησιμοποιηθούν στο Βήμα 4.1: Ανάλυση καθώς και στο Βήμα 6.1 Προτεινόμενα μέτρα ασφάλειας STORM - Δρ. Θεόδωρος Ντούσκας 15

Φάση 2: Ασφάλειας Ατομική Ομαδική Συνολική Υπηρεσιών CF Δεδομένων Συστημάτων Διοίκηση Διαχειριστές Π.Σ. Τελικοί Χρήστες Διαχειριστές Π.Σ. Διοίκηση Ομάδα Ασφάλειας Υλικού Λογισμικού Φυσικών αγαθών STORM - Δρ. Θεόδωρος Ντούσκας 16

Φάση 2: Ασφάλειας Ατομική Ομαδική Συνολική Επίπεδο Επίπτωσης Βαθμός Περιγραφή Οικονομική Απώλεια Απώλεια Κύκλου Εργασιών Πολύ Υψηλό (ΠΥ) 5 Καταστροφική Επίπτωση > 10.000.000 100% του κύκλου εργασιών Υψηλό (Υ) 4 Σημαντική Επίπτωση έως 10.000.000 75% του κύκλου εργασιών Μέτριο (M) 3 Μέτρια Επίπτωση έως 1.000.000 50% του κύκλου εργασιών Χαμηλό (Χ) 2 Χαμηλή Επίπτωση έως 100.000 25% του κύκλου εργασιών Πολύ Χαμηλό (ΠΧ) 1 Ασήμαντη Επίπτωση έως 10.000 5% του κύκλου εργασιών STORM - Δρ. Θεόδωρος Ντούσκας 17

Φάση 2: Ασφάλειας Ατομική Ομαδική Συνολική Κάθε χρήστης U j, j=1,...n, από μια Ομάδα Χρηστών G k, k=1,..., m δίνει το δικό του Impact Value για όλες τις πιθανές επιπτώσεις ασφάλειας (βάσει της STORM-RM κλίμακας) U j,k : Δυσφήμιση: 3 U j,k : Οικονομική Απώλεια : 5 User Impact Value: Απώλεια Διαθεσιμότητας : Ιun j,k (Α i ), Απώλεια Εμπιστευτικότητας: Ι dis j,k (Α i ), Απώλεια Ακεραιότητας: Ι mod j,k (Α i ). U j,k : Νομικές κυρώσεις : 4 Ιun j,k (Α i ) = max (5,4,..,3) STORM - Δρ. Θεόδωρος Ντούσκας 18

Φάση 2: Ασφάλειας Ατομική Ομαδική Συνολική K 1 : Γνώση Επιχειρησιακών Στόχων P 1 P 2 P 3 Βάρη (w i ) P 1 : Διοίκηση 1 3 3 0,600 P 2 : Διαχειριστές 1/3 1 1 0,200 P 3 : Τελικοί Χρήστες 1/3 1 1 0,200 Λόγος Ευαισθησίας (Consistency ratio): 0.00 Κριτήρια K 1 K 2 K 3 Προτεραιότητες Κριτηρίων 0,333 0,333 0,333 Βάρη (w i ) P 1 : Διοίκηση 0,600 0,685 0,574 0,620 P 2 : Διαχειριστές 0,200 0,179 0,286 0,222 P 3 : Τελικοί Χρήστες 0,200 0,136 0,140 0,159 Λόγος Ευαισθησίας (Consistency ratio): 0.00 STORM - Δρ. Θεόδωρος Ντούσκας 19

Φάση 2: Ασφάλειας Ατομική Ομαδική Συνολική U j,k : Δυσφήμησ η: U j,k : Οικονομική Απώλεια U j,k : Νομικές κυρώσεις Ιun j,k (Α i ) I un 2,1 (A i) I un 1,1 (A i) I un 2,2 (A i ) I un 1,2 (A i ) I un 2,m (A i ) I un 1,m (A i ) I un n,1 (A i) I un n,2 (A i ) I un n,m (A i ) Ομάδα Χρηστών G 1 Impact Value Group G 1 Impact Value Group G 2 Impact Value Ομάδα Χρηστών G 2 Impact Value Group G m Impact Value Ομάδα Χρηστών G m Impact Value Final Impact Value STORM - Δρ. Θεόδωρος Ντούσκας 20

Φάση 2: Ασφάλειας Ατομική Ομαδική Συνολική Υπηρεσιών CF Δεδομένων Συστημάτων Διοίκηση Διαχειριστές Π.Σ. Τελικοί Χρήστες Διαχειριστές Π.Σ. Διοίκηση Ομάδα Ασφάλεια ς Υλικού Λογισμικού I un = Ι un (H h ) * CF un (S s, E e ) I dis = Ι dis (H h ) * CF dis (S s, E e ) I mod = Ι mod (H h ) * CF mod (S s, E e ) Φυσικών αγαθών STORM - Δρ. Θεόδωρος Ντούσκας 21

Φάση 3: Απειλών Προσδιορισμός Απειλών Απειλών ΕΙΔΟΣ ΑΓΑΘΟΥ ΦΥΣΙΚΑ ΑΓΑΘΑ ΥΛΙΚΟ ΑΓΑΘΑ ΛΟΓΙΣΜΙΚΟΥ ΑΓΑΘΑ ΔΕΔΟΜΕΝΩΝ ΔΙΚΥΑΚΟΣ ΕΞΟΠΛΙΣΜΟΣ ΑΠΕΙΛΕΣ (OCTAVE, CRAMM, NIST) Πυρκαγιά Σεισμός Πλημμύρα Διακυμάνσεις Ηλεκτρικής Ισχύος Τεχνικές Βλάβες Ηλεκτρονικές Παρεμβολές Μη εξουσιοδοτημένες αλλαγές σε λογισμικό Κακόβουλο Λογισμικό Άρνηση Υπηρεσίας Μη εξουσιοδοτημένη πρόσβαση σε δεδομένα Σφάλμα χειρισμού Κακόβουλη καταστροφή δεδομένων Σφάλματα μετάδοσης Μη ορθή δρομολόγηση επικοινωνιών Εξαπάτηση διεύθυνσης δικτύου (IP Spoofing) STORM - Δρ. Θεόδωρος Ντούσκας 22

Φάση 3: Απειλών Προσδιορισμός Απειλών Απειλών Συνολική αποτίμηση απειλών Επίπεδο Απειλής Βαθμός ς Απειλής Συνολική αποτίμηση απειλών 80 Πολύ Υψηλό (ΠΥ) 1 Μία φορά τον μήνα 60-79 Υψηλό (Υ) 0,33 Μία φορά κάθε 4 μήνες 40-59 Μέτριο (M) 0,1 Μία φορά τον χρόνο 20-39 Χαμηλό (Χ) 0,034 Μία φορά κάθε 3 χρόνια 19 Πολύ Χαμηλό (ΠΧ) 0,01 Το πολύ μία φορά τα 10 χρόνια STORM - Δρ. Θεόδωρος Ντούσκας 23

Φάση 4: Προσδιορισμός Θεωρητική Πρακτική Συνολική Είδος Αγαθού Απειλές- (T i ) Αδυναμίες - (V i ) Φυσικό Αγαθό Υλικό Λογισμικό T 1: Φωτιά T m T 2: Αστοχία Υλικού T m T3: Κακόβουλος κώδικας T m V 11 : Ύπαρξη εύφλεκτων υλικών V 12 : Αστοχία Συστημάτων ανίχνευσης φωτιάς V 13 : Αστοχία φυσικής ασφάλειας V 1 n : Αδυναμία - (για T 1 ) V m1...v mn V 21 : Λανθασμένη Συντήρηση V 22 : Έλλειψη συντήρησης V 2n : Αδυναμία - (για T 2 ) V m1...v mn V 31 : Απουσία Αντι-ικού λογισμικού V 32 : Αποτυχημένη ενημέρωση Αντι-ικού λογισμικού V 33 : Ανεπαρκής εκπαίδευση του προσωπικού για τους ιούς V 3n : Αδυναμία - (για T 3 ) V m1...v mn STORM - Δρ. Θεόδωρος Ντούσκας 24

Φάση 4: Προσδιορισμός Θεωρητική Πρακτική Συνολική Προτεραιότητα αδυναμιών Επίπεδο Βαθμός ς Περιγραφή (Πιθανότητα να συμβεί το χειρότερο σενάριο) >66 Υψηλό (Υ) 1 >66% 33-66 Μέτριο (Μ) 0,66 33% - 66% <33 Χαμηλό (Χ) 0,33 < 33% STORM - Δρ. Θεόδωρος Ντούσκας 25

Φάση 4: Προσδιορισμός Θεωρητική Πρακτική Συνολική Καταγραφή ευρημάτων/αποτελεσμάτων από εργαλεία πρακτικής αξιολόγησης. Αντιστοίχιση αδυναμιών με εξεταζόμενα αγαθά και ανάθεση βαθμού αποτίμησης κάθε αδυναμίας. Από την ανάθεση του βαθμού αποτίμησης προκύπτει για κάθε αδυναμία και κάθε αγαθό το επίπεδο της πρακτικής αποτίμησης αδυναμιών, Practical Vulnerability Assessment PV(A i ). STORM - Δρ. Θεόδωρος Ντούσκας 26

Φάση 4: Προσδιορισμός Θεωρητική Πρακτική Συνολική Τελικός επίπεδο αποτίμησης (Final Vulnerability Level) TV (A i ) PV (A i ) FV (A i ) STORM - Δρ. Θεόδωρος Ντούσκας 27

Φάση 5: Επικινδυνότητας Υπολογισμός Επιπέδων Κινδύνων Προσδιορισμός Επικινδυνότητας Κίνδυνος ως προς απώλεια Διαθεσιμότητας: R un (A i ) = I un (A i ) x T(A i ) x FV(A i, ) Κίνδυνος ως προς απώλεια Εμπιστευτικότητας: R dis (A i ) = I dis (A i ) x T(A i ) x FV(A i ) Κίνδυνος ως προς απώλεια Ακεραιότητας: R mod (A i ) = I mod (A i ) x T(A i ) x FV(A i ) Συνολικός Κίνδυνος: R(A i ) = I(A i ) x T(A i ) x FV(A i ), όπου I(A i )= max ( I un (A i ), I dis (A i ), I mod (A i )) STORM - Δρ. Θεόδωρος Ντούσκας 28

Φάση 5: Επικινδυνότητας Υπολογισμός Επιπέδων Κινδύνων Προσδιορισμός Επικινδυνότητας Επίπεδο Επικινδυνότητας Βαθμός Περιγραφή Πολύ Χαμηλή (ΠΧ) 1 R < 1.000 Χαμηλή (Χ) 2 1.000 R < 10.000 Μέτρια (M) 3 10.000 R < 150.000 Υψηλή (Υ) 4 150.000 R < 5.000.000 Πολύ Υψηλή (ΠΥ) 5 αν R 5.000.000 STORM - Δρ. Θεόδωρος Ντούσκας 29

Φάση 6: Μέτρα Προστασίας - Σχέδιο Ασφάλειας Προτεινόμενα Μέτρα Ασφάλειας Επιλογή Κατάλληλων Μέτρων Ασφάλειας Προτείνονται μέτρα ασφάλειας για όλα τα αγαθά και για κάθε συνδυασμό Αγαθού Απειλής Τα μέτρα προστασίας χωρίζονται σε ομάδες, ανάλογα με το είδος των απειλών που καλούνται να αντιμετωπίσουν και ανάλογα με το είδος των αγαθών που καλούνται να προστατέψουν. Προτεινόμενα μέτρα: Τεχνικά Διοικητικά Οργανωτικά STORM - Δρ. Θεόδωρος Ντούσκας 30

Φάση 6: Μέτρα Προστασίας - Σχέδιο Ασφάλειας Προτεινόμενα Μέτρα Ασφάλειας Επιλογή Κατάλληλων Μέτρων Ασφάλειας Τα αποτελέσματα της παραπάνω διαδικασίας είναι μια λίστα με όλα τα μέτρα ανάλογα με τον βαθμό υλοποίησής τους ως εξής: άμεση υλοποίηση, προτεινόμενο για υλοποίηση, υπό συζήτηση, μη εφαρμόσιμο. STORM - Δρ. Θεόδωρος Ντούσκας 31

Φάση 7: Αναφορές Ανάλυσης Επικινδυνότητας Στην τελευταία αυτή Φάση υπάρχει η δυνατότητα δημιουργίας όλων των αποτελεσμάτων από κάθε Φάση και επιμέρους Βήμα της μεθοδολογίας με μορφή αναφοράς: Η λίστα αγαθών και των αλληλεξαρτήσεων, Η Αναφορά Ανάλυσης Επικινδυνότητας, Η Αναφορά κατάλληλων μέτρων προστασίας. STORM - Δρ. Θεόδωρος Ντούσκας 32

STORM TM - Secure TOol for Risk Management STORM - Δρ. Θεόδωρος Ντούσκας 33

STORM Secure TOol for Risk Management Innovative, collaborative, cost effective and user friendly security consultancy environment. Can be used by different type of organizations in order to collaboratively manage their information security. Offers a bundle of targeted services to the ICT users in order to guide them to securely manage their ICT systems. Based on the PDCA model of the ISO27001 security standard. STORM - Δρ. Θεόδωρος Ντούσκας 34

STORM SERVICES Υπηρεσία Χαρτογράφησης (Cartography Service) Προσδιορισμός και καταγραφή όλων των Πληροφοριακών Αγαθών (φυσικά αγαθά, υλικό, λογισμικό, δεδομένα, χρήστες) του υπό εξέταση ΠΣ. Μέσω της συγκεκριμένης υπηρεσίας, οι χρήστες είναι σε θέση να αποθηκεύσουν με την βοήθεια των ειδικά διαμορφωμένων φορμών αλλά και κα να κατεβάσουν σε μορφή PDF αρχείων τις εξής αναφορές (reports): Λίστα Υποδομών (List of Physical Assets) Λίστα Υπηρεσιών (List of Services) Λίστα Χρηστών (List of Users) Λίστα Αγαθών (Asset Inventory) Λίστα Αγαθών και Αλληλεξαρτήσεων (STORM-RM Asset Model) STORM - Δρ. Θεόδωρος Ντούσκας 35

STORM SERVICES Υπηρεσία ς Ασφάλειας (Impact Assessment Service) Προσδιορισμός, καταγραφή και ανάλυση των επιπτώσεων απώλειας ασφάλειας (απώλεια διαθεσιμότητας, εμπιστευτικότητας ή/και ακεραιότητας) όλων των αγαθών του υπό εξέταση ΠΣ, με την βοήθεια ηλεκτρονικών ερωτηματολογίων (σύμφωνα με την κλίμακα της μεθοδολογίας STORM-RM). Προβολή αποτελεσμάτων μέσω ειδικά διαμορφωμένων γραφημάτων Εξαγωγή αποτελεσμάτων σε μορφή εγγράφων PDF / Excel STORM - Δρ. Θεόδωρος Ντούσκας 36

STORM SERVICES Υπηρεσία ς Απειλών (Threat Assessment Service) Προσδιορισμός και αξιολόγηση των απειλών που αντιμετωπίζει κάθε αγαθό του υπό εξέταση ΠΣ, με τη βοήθεια ηλεκτρονικών ερωτηματολογίων. Για κάθε αγαθό (ανάλογα με το είδος του) υπάρχει αντιστοίχιση ομάδων απειλών και δίνεται η δυνατότητα αποτίμησης του επιπέδου αποτίμησης απειλών, σύμφωνα με την κλίμακα της μεθοδολογίας STORM-RM. Προβολή αποτελεσμάτων μέσω ειδικά διαμορφωμένων γραφημάτων Εξαγωγή αποτελεσμάτων σε μορφή εγγράφων PDF / Excel STORM - Δρ. Θεόδωρος Ντούσκας 37

STORM SERVICES Υπηρεσία ς (Vulnerability Assessment Service) Προσδιορισμός και αξιολόγηση των αδυναμιών ως προς τις απειλές που αντιμετωπίζει κάθε αγαθό του υπό εξέταση ΠΣ, με τη βοήθεια ηλεκτρονικών ερωτηματολογίων (σύμφωνα με την κλίμακα της μεθοδολογίας STORM-RM). Για κάθε απειλή υπάρχει η αντιστοίχιση των αδυναμιών ασφάλειας που σχετίζονται με αυτή την απειλή. Προβολή αποτελεσμάτων μέσω ειδικά διαμορφωμένων γραφημάτων Εξαγωγή αποτελεσμάτων σε μορφή εγγράφων PDF / Excel STORM - Δρ. Θεόδωρος Ντούσκας 38

STORM SERVICES Υπηρεσία ς Επικινδυνότητας (Risk Evaluation Service) Γίνεται ο υπολογισμός του επιπέδου επικινδυνότητας κάθε αγαθού και παρουσιάζονται όλα τα αποτελέσματα με τη βοήθεια γραφημάτων. Προβολή αποτελεσμάτων μέσω ειδικά διαμορφωμένων γραφημάτων Εξαγωγή αποτελεσμάτων σε μορφή εγγράφων PDF / Excel: Αποτελέσματα αποτίμησης επιπτώσεων (Impact Assessment Report) Αποτελέσματα αποτίμησης απειλών (Threat Assessment Report) Αποτελέσματα αποτίμησης αδυναμιών (Vulnerability Assessment Report) Αποτέλεσμα ανάλυσης επικινδυνότητας (STORM Risk Assessment Report) STORM - Δρ. Θεόδωρος Ντούσκας 39

STORM SERVICES Υπηρεσία Διαχείρισης Επικινδυνότητας (Risk Management Service) Επιλογή κατάλληλων μέτρων ασφάλειας, με σκοπό τη βέλτιστη προστασία των πληροφοριακών αγαθών. Για κάθε συνδυασμό αγαθού-απειλής προτείνονται διαφορετικά μέτρα (π.χ. τεχνικά, οργανωτικά κλπ.) Δημιουργία του Σχεδίου Διαχείρισης Επικινδυνότητας (Risk Treatment Report). Ανάθεση ενεργειών σε χρήστες του οργανισμού STORM - Δρ. Θεόδωρος Ντούσκας 40

STORM SERVICES Υπηρεσία Διαχείρισης εγγράφων ασφάλειας (Security Documents Services) Δημιουργία, ανανέωση, αποθήκευση και εκτύπωση των Σχεδίου Ασφάλειας του υπό εξέταση ΠΣ (βασισμένη στο πρότυπο ασφάλειας ISO 27001:2013), Δημιουργία, ανανέωση, αποθήκευση και εκτύπωση των Πολιτικών Ασφάλειας του υπό εξέταση ΠΣ (βασισμένη στο πρότυπο ασφάλειας ISO 27001:2013), Δημιουργία, ανανέωση, αποθήκευση και εκτύπωση των Διαδικασιών Ασφάλειας του υπό εξέταση ΠΣ (βασισμένη στο πρότυπο ασφάλειας ISO 27001:2013), Δημιουργία, ανανέωση, αποθήκευση και εκτύπωση του Statement Of Applicability του υπό εξέταση ΠΣ (βασισμένη στο πρότυπο ασφάλειας ISO 27001:2013), Αναφορά και διαχείριση των Περιστατικών Ασφάλειας του υπό εξέταση ΠΣ. Στην υπηρεσία αυτή, οι χρήστες είναι σε θέση να καταγράψουν όλα τα περιστατικά ασφάλειας με λεπτομέρειες όπως το αγαθό που επηρεάστηκε, την ημερομηνία εκδήλωσης του περιστατικού, το επίπεδο επίπτωσης, τις διορθωτικές και προληπτικές ενέργειες κλπ, ενώ ταυτόχρονα μπορεί να αποθηκεύσουν και εκτυπώσουν τόσο την φόρμα καταγραφής περιστατικών ασφάλειας όσο και την λίστα με τα υπάρχοντα περιστατικά. Καταγραφή όλων των Ευρημάτων που προκύπτουν από τις εσωτερικές επιθεωρήσεις (internal audits) καθώς και η ανάθεση των διορθωτικών ενεργειών στους κατάλληλους χρήστες προς υλοποίηση μέσω του μηχανισμού task της εφαρμογής. Καταγραφή των Πρακτικών Συναντήσεων της Ομάδας Ασφάλειας STORM - Δρ. Θεόδωρος Ντούσκας 41

STORM SERVICES Υπηρεσίες Εκπαίδευσης και Επαγρύπνησης Ασφάλειας (Security Awareness) Πρόκειται για μια ομάδα συνεργατικών υπηρεσιών (όπως Wiki/Forum/ η-βιβλιοθήκη /ερωτηματολόγια) οι οποίες ως στόχο έχουν να διευκολύνουν την συνεργατικότητα και την ανταλλαγή απόψεων και ιδεών σε θέματα ασφάλειας ΠΣ, ενώ ταυτόχρονα θα είναι σε θέση να βοηθήσουν τους χρήστες στην άμεση εύρεση λύσεων τυχόν καθημερινών προβλημάτων ασφάλειας. Επιπρόσθετα, οι εν λόγω υπηρεσίες έχουν ως στόχο την συνεχή εκπαίδευση και ενημέρωση των χρηστών πάνω σε θέματα ασφάλειας ώστε να είναι διαρκώς ενημερωμένοι με τις διαδικασίες και πολιτικές που εφαρμόζονται στον οργανισμό τους STORM - Δρ. Θεόδωρος Ντούσκας 42

STORM advantages αποτελεσματικότερη αποτύπωση και καταγραφή των κρίσιμων υπηρεσιών της υποκείμενης υποδομής, των εξαρτώμενων αγαθών όπως, επίσης, και των εφαρμοζόμενων μέτρων ασφάλειας, ευέλικτη αποτίμηση των επιπτώσεων που επιφέρει η παραβίαση της ασφάλειας (απώλεια διαθεσιμότητας, εμπιστευτικότητας ή/και ακεραιότητας) των επιμέρους συστατικών της υποδομής, ακριβέστερη αποτίμηση της τρωτότητας των σύνθετων συστημάτων και υποδομών, σαφής καθορισμός των απειλών που αντιμετωπίζουν οι υποδομές, καθορισμός της επικινδυνότητας και της κρισιμότητας των επιμέρους συστατικών της υποδομής με αντικειμενικότερα κριτήρια, και προσδιορισμός των μέτρων ασφάλειας που ικανοποιούν σε μεγαλύτερο βαθμό τις απαιτήσεις ασφάλειας των συστημάτων, ενώ, παράλληλα αντιμετωπίζουν με αποτελεσματικότερο τρόπο τους κινδύνους στους οποίους είναι εκτεθειμένα τα αγαθά. στην αύξηση της κουλτούρας ασφάλειας ΠΣ, στην υιοθέτηση μιας στρατηγικής ασφάλειας η οποία μπορεί να ενσωματωθεί στην υπάρχουσα επιχειρησιακή λειτουργία και λογική των εταιριών. STORM - Δρ. Θεόδωρος Ντούσκας 43

References 1. Gritzalis D., Insider threat prevention through Οpen Source Intelligence based on Online Social Networks, Κeynote address, 13 th European Conference on Cyber Warfare and Security (ΕCCWS-2014), Greece, 2014. 2. Kotzanikolaou P., Theoharidou M., Gritzalis D., Risk assessment of multi-order interdependencies between critical information and communication infrastructures, Critical Information Infrastructure Protection and Resilience in the ICT Sector, pp. 151-170, IGI Global, 2013. 3. Kotzanikolaou P., Theoharidou M., Gritzalis D., Accessing n-order dependencies between critical infrastructures, International Journal of Critical Infrastructure Protection, Vol. 9, Nos, 1-2, pp. 93-110, 2013. 4. Kotzanikolaou P., Theoharidou M., Gritzalis D., Cascading effects of common-cause failures on Critical Infrastructures, in Proc. of the 7 th IFIP International Conference on Critical Infrastructure Protection, pp. 171-182, Springer (AICT 417), USA, March 2013. 5. Kotzanikolaou P., Theoharidou M., Gritzalis D., Interdependencies between Critical Infrastructures: Analyzing the Risk of Cascading Effects, in Proc. of the 6 th International Workshop on Critical Infrastructure Security, pp. 107-118, Springer (LNCS 6983), Switzerland, September 2011. 6. Ntouskas, T., Pentafronimos G., Papastergiou, S., "STORM - Collaborative Security Management Environment", in Proc. of WISTP-2011, Springer, LNCS 6633, pp. 320-335, 2011. 7. Ntouskas, T., Polemi, N., "STORM-RM: a collaborative and multicriteria risk management methodology", Int. Journal of Multicriteria Decision Making, Vol. 2, No. 2, pp. 159 177, 2012. 8. Ntouskas T., Kotzanikolaou P., Polemi N., "Impact Assessment through Collaborative Asset Modeling: The STORM-RM approach", in Proc. of the 1 st International Symposium & 10th Balkan Conference on Operational Research, Thessaloniki, Greece, 2011. 9. Polemi D., Ntouskas T., Georgakakis E., Douligeris C., Theoharidou M., Gritzalis D., S-Port: Collaborative security management of Port Information Systems, in Proc. of the 4 th International Conference on Information, Intelligence, Systems and Applications, IEEE Press, Greece, 2013. 10. Theoharidou M., Kotzanikolaou P., Gritzalis D., Risk-based Criticality Analysis, in Proc. of the 3rd IFIP International Conference on Critical Infrastructure Protection, Springer, USA, March 2009. 11. Theoharidou M., Kotzanikolaou P., Gritzalis D., A multi-layer criticality assessment methodology based on interdependencies, Computers & Security, Vol. 29, No. 6, pp. 643-658, 2010. 12. Theoharidou M., Kotzanikolaou P., Gritzalis D., Risk assessment methodology for interdependent Critical Infrastructures, International Journal of Risk Assessment and Management, Vol. 15, Nos. 2/3, pp. 128-148, 2011. 13. Theoharidou M., Kandias M., Gritzalis D., Securing Transportation-Critical Infrastructures: Trends and Perspectives, in Proc. of the 7 th IEEE International Conference in Global Security, Safety and Sustainability, pp. 171-178, Springer (LNICST 99), Greece, 2012. 14. Stergiopoulos G., Theocharidou M., Kotzanikolaou P., Gritzalis D., Using centrality measures in dependency risk graphs for efficient risk mitigation, in Critical Infrastructure Protection IX, pp. 25-40, Springer, 2015. 15. Stergiopoulos G., Kotzanikolaou P., Theoharidou M., Gritzalis D., "Risk mitigation strategies for Critical Infrastructures based on graph centrality analysis", International Journal of Critical Infrastructure Protection, September 2015. 16. Stergiopoulos G., Theoharidou M., Gritzalis D., "Using logical error detection in remote-terminal units to predict initiating events of Critical Infrastructures failures", Proc. of the 3 rd International Conference on Human Aspects of Information Security, Privacy & Trust, Springer, USA, 2015.

2024 © DocPlayer.gr Πολιτική Απορρήτου | Όροι Χρήσης | Σχόλια