Πολιτικές Ασφάλειας Πληροφοριακών Συστημάτων. Σωκράτης Κ. Κάτσικας Τμήμα Μηχ/κών Πληροφοριακών & Επικοινωνιακών Συστημάτων Πανεπιστήμιο Αιγαίου

Σχετικά έγγραφα
Πολιτικές Ασφάλειας Πληροφοριακών Συστημάτων

Πολιτική και σχέδιο ασφάλειας αρχείου ασθενών Οδοντιατρικής Σχολής ΕΚΠΑ

ΤΕΧΝΟΛΟΓΙΕΣ & ΑΣΦΑΛΕΙΑ ΠΛΗΡΟΦΟΡΙΩΝ ΙΩΑΝΝΗ Δ. ΙΓΓΛΕΖΑΚΗ

Κων/νος Λαμπρινουδάκης Αναπληρωτής Καθηγητής Τμήμα Ψηφιακών Συστημάτων Εργαστήριο Ασφάλειας Συστημάτων Πανεπιστήμιο Πειραιώς

1.1. Πολιτική Ασφάλειας Πληροφοριών

Ζητήματα Ασφάλειας στο σχεδιασμό Επιχειρησιακής Συνέχειας. Τσώχου Αγγελική

ISMS κατά ISO Δεκέμβριος 2016

ΑΣΦΑΛΕΙΑ ΠΛΗΡΟΦΟΡΙΩΝ

ΠΟΛΙΤΙΚΗ ΑΣΦΑΛΕΙΑΣ ΑΡΧΕΙΟΥ ΑΣΘΕΝΩΝ ΟΔΟΝΤΙΑΤΡΙΚΗΣ ΣΧΟΛΗΣ ΕΚΠΑ

ΕΛΕΓΧΟΣ ΠΡΟΓΡΑΜΜΑΤΟΣ ΕΠΙΧΕΙΡΗΣΙΑΚΗΣ ΣΥΝΕΧΕΙΑΣ (Auditing Business Continuity Plan & Disaster Recovery Plan)

ΟΛΟΚΛΗΡΩΜΕΝΟ ΠΛΗΡΟΦΟΡΙΑΚΟ ΣΥΣΤΗΜΑ ΠΟΛΙΤΙΚΗΣ ΠΡΟΣΤΑΣΙΑΣ

Ελληνική Εταιρεία Πιστοποιημένων Απεντομωτών (Ε.Ε.Π.Α.)

ΠΟΛΙΤΙΚΗ ΑΣΦΑΛΕΙΑΣ ΠΛΗΡΟΦΟΡΙΩΝ

GDPR: Η αντίστροφη μέτρηση έχει αρχίσει! Δ. Στασινόπουλος, MBA Manager IT Governance

ΠΟΛΙΤΙΚΗ ΠΟΙΟΤΗΤΑΣ ΕΝΙΑΙΟΥ ΣΥΣΤΗΜΑΤΟΣ ΔΙΑΧΕΙΡΙΣΗΣ ΚΩΔΙΚΟΣ ΑΝΑΘΕΩΡΗΣΗ ΗΜΕΡΟΜΗΝΙΑ ΕΣΔ/ΠΠΔ-Η/ /01/2018 ΙΑΝΟΥΑΡΙΟΣ 2018.

Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων (GDPR)

GDPR και Τεχνικά Μέτρα Ασφάλειας Πληροφοριακών Συστημάτων

Κανονισμός Αξιολόγησης Απόδοσης

ΠΡΟΣΚΛΗΣΗ ΕΚΔΗΛΩΣΗΣ ΕΝΔΙΑΦΕΡΟΝΤΟΣ

Δηλώστε συμμετοχή εδώ! Περιορισμένες θέσεις

Ενημέρωση για την Επεξεργασία και Προστασία Προσωπικών Δεδομένων

Ολοκληρωμένο Πληροφοριακό Σύστημα Εξυπηρέτησης Πολιτών και Παρόχων

Κώδικας Δεοντολογίας Προμηθευτών ΚΡΕΤΑ ΦΑΡΜ ΑΒΕΕ

G D P R : C O M P L I A N C E & P H Y S I C A L S E C U R I T Y

Η παροχή εξειδικευμένων εξωτερικών υπηρεσιών διαχείρισης των απειλών ενάντια στα πληροφοριακά συστήματα του ΟΒΙ.

Ενημέρωση για τον Γενικό Κανονισμό για την Προστασία των Δεδομένων της ΕΕ (679/2016)

ΤΕΙ ΛΑΡΙΣΑΣ - ΛΑΜΙΑΣ. Ενθάρρυνση Επιχειρηματικών Δράσεων, Καινοτομικών Εφαρμογών και Μαθημάτων Επιλογής Φοιτητών ΤΕΙ Λάρισας - Λαμίας PLEASE ENTER

ΠΛΗΡΟΦΟΡΙΑΚΑ ΣΥΣΤΗΜΑΤΑ

ΔΙΑΔΙΚΑΣΙΑ ΔΡ11.04 Μη συμμορφώσεις - Διορθωτικές και Προληπτικές Ενέργειες

Ενημέρωση για τον Γενικό Κανονισμό για την Προστασία των Δεδομένων της ΕΕ (679/2016) που αφορά τα φαρμακεία

ΕΛΛΗΝΙΚΟΣ ΚΩΔΙΚΑΣ ΕΤΑΙΡΙΚΗΣ ΔΙΑΚΥΒΕΡΝΗΣΗΣ και ΕΣΩΤΕΡΙΚΟΣ ΕΛΕΓΧΟΣ

ΕΓΧΕΙΡΙΔΙΟ ΠΟΙΟΤΗΤΑΣ ΤΗΣ ΕΤΑΙΡΕΙΑΣ AMAZE A.E. ΕΚΔΟΣΗ 02

ΚΩΔΙΚΑΣ ΔΕΟΝΤΟΛΟΓΙΑΣ ΕΡΓΑΖΟΜΕΝΩΝ

ΚΑΝΟΝΙΣΜΟΣ ΛΕΙΤΟΥΡΓΙΑΣ ΤΗΣ ΥΠΗΡΕΣΙΑΣ ΕΣΩΤΕΡΙΚΟΥ ΕΛΕΓΧΟΥ ΤΟΥ ΤΕΑ-ΕΑΠΑΕ (ΠΑΡΑΡΤΗΜΑ ΙΧ)

ΠΟΛΙΤΙΚΗ ΑΠΟΡΡΗΤΟΥ ΔΕΔΟΜEΝΩΝ ΤΗΣ SGS BE DATA SAFE

Δημόσια ανοικτή διαδικασία συλλογής προσφορών για τις Συμβουλευτικές Υπηρεσίες συμμόρφωσης με τον κανονισμό προστασίας δεδομένων

Εκπόνηση σχεδίων. 1a. Διαδικασία Εκκίνησης (Project Initiation) Επιχειρηματικό σχέδιο έργου (Project Business Case)

ΔΗΜΟΣΙΑ ΠΟΛΙΤΙΚΗ. για την προστασία Φυσικών Προσώπων έναντι της επεξεργασίας προσωπικών δεδομένων τους

Τίτλος Ειδικού Θεματικού Προγράμματος: «Διοίκηση, Οργάνωση και Πληροφορική για Μικρομεσαίες Επιχειρήσεις»

Ο Pόλος του Υπεύθυνου Ασφάλειας Πληροφοριών (CISO)

ιαχείριση Μη Συµµορφώσεων ΙΑ ΙΚΑΣΙΑ Ρ04

ΤΟ ΤΑΞΙΔΙ ΤΗΣ ΝΕΑΣ ΓΕΝΙΑΣ ΖΗΡΙΔΗ ΠΡΟΣ ΤΗ ΠΟΙΟΤΗΤΑ

ΚΕΦΑΛΑΙΟ 1ο Η έννοια της επιχείρησης. Καζάκου Γεωργία, ΠΕ09 Οικονομολόγος

1. Γενικές Προδιαγραφές Πιστοποίησης ΣΔΑΠ

Ενότητα 1: Πληροφοριακά Συστήματα και Άνθρωποι

ΕΝΤΥΠΟ ΕΣΩΤΕΡΙΚΗΣ ΟΡΙΖΟΝΤΙΑΣ ΕΠΙΘΕΩΡΗΣΗΣ

ΠΛΗΡΟΦΟΡΙΑΚΑ ΣΥΣΤΗΜΑΤΑ

Ασφάλεια Υπολογιστικών Συστηµάτων

Προσεγγίσεις Ασφάλειας Πληροφοριακών Συστημάτων

ΕΛΟΤ ΕΝ ISO 9000 και 9001

Αβραμίδης Ελευθέριος Επιβλέπων καθηγητής Κωνσταντίνος Διαμαντάρας. ΤΕΙ Θεσσαλονίκης 17/2/2009

Η ενίσχυση των δικαιωμάτων στην πράξη & τα εργαλεία συμμόρφωσης για τη μετάβαση από το ν.2472/1997 στον ΓΚΠΔ

Κώδικας Ανθρωπίνων Δικαιωμάτων & Κοινωνικών Αρχών Ομίλου ΟΤΕ

17334 ΕΦΗΜΕΡΙΣ ΤΗΣ ΚΥΒΕΡΝΗΣΕΩΣ (ΤΕΥΧΟΣ ΔΕΥΤΕΡΟ)

ΣΧΕ ΙΟ ΑΣΦΑΛΕΙΑΣ ΚΑΙ ΣΧΕ ΙΟ ΕΚΤΑΚΤΗΣ ΑΝΑΓΚΗΣ

Ο Ρόλος των Αρχών στη διασφάλιση του Απορρήτου των Επικοινωνιών στον κόσµο της Νεφοϋπολογιστικής

Κώδικας Επαγγελματικής Ηθικής και Δεοντολογίας Μέλους Σ.Ε.Σ.Α.Ε. Σεβασμός, Εμπιστοσύνη, Συνέπεια, Ακεραιότητα, Εντιμότητα

ΠΑΝΕΠΙΣΤΗΜΙΟ ΠΕΙΡΑΙΩΣ ΤΜΗΜΑ ΟΡΓΑΝΩΣΗΣ & ΔΙΟΙΚΗΣΗΣ ΕΠΙΧΕΙΡΗΣΕΩΝ

ΕταιρικήΠαρουσίαση ΠΟΛΙΤΙΚΕΣ ΚΑΙ ΔΙΑΔΙΚΑΣΙΕΣ ΔΙΑΧΕΙΡΙΣΗΣ ΑΣΦΑΛΕΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΜΑΪΟΣ 2018

ΓΕΝΙΚΟΣ ΚΑΝΟΝΙΣΜΟΣ ΠΙΣΤΟΠΟΙΗΣΗΣ ΠΡΟΣΩΠΩΝ Παράρτηµα 1 Όροι και ορισµοί

ΓΚΠΠ - Παράρτηµα 1 Όροι και ορισµοί

ΠΕΡΙΕΧΟΜΕΝΑ ΠΕΡΙΕΧΟΜΕΝΑ

ΗΠρωτοβουλία της ΕΕΤ για την υιοθέτηση του Προτύπου PCI DSS από τις Ελληνικές Επιχειρήσεις

Μέθοδος Επιλογής ιαδικασιών (Process Decision Program Chart)

Managing Information. Lecturer: N. Kyritsis, MBA, Ph.D. Candidate Athens University of Economics and Business.

ΑΠΟΦΑΣΗ. (αριθμ.: 53 /2009)

Πλαίσιο Εργασιών. Στρατηγικές Ευκαιρίες

ΕΝΤΥΠΟ ΕΝΗΜΕΡΩΣΗΣ ΓΙΑ ΤΗΝ ΕΠΕΞΕΡΓΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΣΥΜΦΩΝΑ ΜΕ ΤΟΝ ΚΑΝΟΝΙΣΜΟ (ΕΕ) 2016/679 ΚΑΙ ΤΗ ΣΧΕΤΙΚΗ ΕΛΛΗΝΙΚΗ ΝΟΜΟΘΕΣΙΑ

Αρχές Οργάνωσης και Διοίκησης Επιχειρήσεων και Υπηρεσιών ΕΠΙΜΕΛΕΙΑ: ΝΙΚΟΛΑΟΣ Χ. ΤΖΟΥΜΑΚΑΣ ΟΙΚΟΝΟΜΟΛΟΓΟΣ

ΕΛΛΗΝΙΚΗ ΔΗΜΟΚΡΑΤΙΑ Ανώτατο Εκπαιδευτικό Ίδρυμα Πειραιά Τεχνολογικού Τομέα. Ελεγκτική

ΠΑΝΕΠΙΣΤΗΜΙΟ ΑΙΓΑΙΟΥ Τµήµα Μηχανικών Πληροφοριακών και Επικοινωνιακών Συστηµάτων Εργαστήριο Ασφάλειας Πληροφοριακών και Επικοινωνιακών Συστηµάτων

ΠΟΛΙΤΙΚΗ ΑΣΦΑΛΕΙΑΣ. Ο χρόνος και ο τρόπος τήρησης των αρχείων περιγράφεται στη διδικασία Δ.550, Έλεγχος και τήρηση αρχείων και μητρώων.

Προετοιμασία για μια νέα σχέση με την Αρχή Προστασίας Δεδομένων. Κωνσταντίνος Λιμνιώτης. Γεώργιος Ρουσόπουλος

ΠΡΟΤΥΠΟ ΓΙΑ ΤΗΝ ΠΙΣΤΟΠΟΙΗΣΗ ΠΟΙΟΤΗΤΑΣ ΤΟΥ ΕΣΩΤΕΡΙΚΟΥ ΣΥΣΤΗΜΑΤΟΣ ΔΙΑΣΦΑΛΙΣΗΣ ΠΟΙΟΤΗΤΑΣ

Α Π Ο Φ Α Σ Η 14/2019 (Τμήμα)

Συνεργασία PRIORITY & INTERAMERICAN:

Έρευνα Συμμόρφωσης των Ελληνικών Επιχειρήσεων με τον Γενικό Κανονισμό για την Προστασία των Δεδομένων (ΕΕ) 2016/679 GDPR

Επιτροπή Συντονισμού της Ηλεκτρονικής Διακυβέρνησης

Το Ρυθμιστικό Πλαίσιο της Ανοικτής Διακυβέρνησης και των Ανοικτών Δεδομένων Μερος Α: Ποιοτικά Χαρακτηριστικά

Σύστηµα ιαχείρισης Ποιότητας σύµφωνα µε το πρότυπο ISO9001:2008 Εφαρµογή στο ΤΕΙ 2/2/2012

ΠΡΟΣΚΛΗΣΗ ΕΝΔΙΑΦΕΡΟΝΤΟΣ KAI ΚΑΤΑΘΕΣΗΣ ΠΡΟΣΦΟΡΩΝ ΓΙΑ ΤΗΝ ΑΝΑΘΕΣΗ ΤΟΥ ΕΡΓΟΥ:

Ενότητα 2. Πηγές Λογισμικού. Πληροφοριακά Συστήματα Διοίκησης ΙI Νίκος Καρακαπιλίδης 2-1

ΔΗΛΩΣΗ ΠΟΛΙΤΙΚΗΣ ΑΣΦΑΛΕΙΑΣ

(Εννοιολογική θεμελίωση)

ΠΙΣΤΟΠΟΙΗΣΗ ΣΥΣΤΗΜΑΤΩΝ ΔΙΑΧΕΙΡΙΣΗΣ ΑΣΦΑΛΕΙΑΣ ΤΡΟΦΙΜΩΝ ISO 22000, BRC κτλ Aθηνά Παναγιώτου Επικεφαλής Επιθεωρητής Κυπριακή Εταιρεία Πιστοποίησης

ΠΟΛΙΤΙΚΗ ΕΝΤΟΠΙΣΜΟΥ ΚΑΙ ΔΙΑΧΕΙΡΙΣΗΣ ΣΥΓΚΡΟΥΣΕΩΣ ΣΥΜΦΕΡΟΝΤΩΝ

Υπηρεσίες Πληροφόρησης στην Ψηφιακή Εποχή: Ζητήματα Ασφάλειας και Προστασίας Ιδιωτικότητας

05 Ανάλυση απαιτήσεων

η PRIORITY από το 1995 ανάλυση και βελτίωση επιχειρησιακών διαδικασιών σύμφωνα με κανονιστικό πλαίσιο διεθνή πρότυπα και βέλτιστες πρακτικές

ΚΩΔΙΚΑΣ ΔΕΟΝΤΟΛΟΓΙΑΣ. Ιανουάριος 2018

ΣΥΣΤΗΜΑ ΔΙΑΧΕΙΡΙΣΗΣ ΠΟΙΟΤΗΤΑΣ ΙSO 9001 : 2008

Όμιλος FOURLIS Risk Based Audit

Συστήματα Διαχείρισης Ποιότητας Το πρότυπο ISO9001:2015 και οι εφαρμογές του

ΠΥΛΗ ΨΗΦΙΑΚΗΣ ΑΣΦΑΛΕΙΑΣ και ΨΗΦΙΑΚΗ ΑΣΦΑΛΕΙΑ ΣΤΗΝ Α ΓΥΜΝΑΣΙΟΥ

Τ.Ε.Ι. ΚΡΗΤΗΣ, Σ.Δ.Ο., Τμήμα Λογιστικής. ERP Systems

Είναι πλήρως εξοικειωμένος με τους κανόνες λειτουργίας του Ταμείου.

Πρόγραμμα εκπαιδευτικού σεμιναρίου (40ώρο 28/04/2018) Υπεύθυνος Προστασίας Δεδομένων (Data Protection Officer - DPO)

Τυποποίηση Μελιού. Διαχειριστικά Συστήματα Ασφαλείας Τροφίμων (ISO, HACCP) & Νομικές Υποχρεώσεις

ΠΡΟΓΡΑΜΜΑ ΣΥΜΜΟΡΦΩΣΗΣ

ΠΟΛΙΤΙΚΗ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ

Transcript:

Πολιτικές Ασφάλειας Πληροφοριακών Συστημάτων Σωκράτης Κ. Κάτσικας Τμήμα Μηχ/κών Πληροφοριακών & Επικοινωνιακών Συστημάτων Πανεπιστήμιο Αιγαίου

Στόχοι της παρουσίασης H παρουσίαση αυτή στοχεύει στην απάντηση των εξής ερωτημάτων: Τι είναι οι Πολιτικές Ασφάλειας Πληροφοριακών Συστημάτων και για ποιους λόγους τις χρειαζόμαστε; Πώς μπορούμε να αναπτύξουμε μια Πολιτική Ασφάλειας ΠΣ και τι θα πρέπει να περιλαμβάνει; Ποιοι παράγοντες συμβάλλουν στην αποτελεσματική εφαρμογή μιας Πολιτικής Ασφάλειας ΠΣ; 2

Διαχείριση Ασφάλειας ΠΣ: Διαδικασίες και Πρακτικές -1- Η Διαχείριση της Ασφάλειας ΠΣ στοχεύει στην προστασία των ΠΣ, περιορίζοντας την επικινδυνότητα σε αποδεκτό επίπεδο. Περιλαμβάνει συνοπτικά : Αξιολόγηση της επικινδυνότητας και προσδιορισμό του αποδεκτού επιπέδου ασφάλειας εφαρμογή μεθόδων ανάλυσης και διαχείρισης επικινδυνότητας: π.χ. CRAMM, SBA). επιλογή βασικού επιπέδου ασφάλειας (baseline security) Ανάπτυξη και εφαρμογή μιας Πολιτικής Ασφάλειας με βάση τα αποτελέσματα της ανάλυσης επικινδυνότητας χρησιμοποιώντας τα διαθέσιμα πρότυπα (π.χ. ISO17799) και βέλτιστες πρακτικές. 3

Διαχείριση Ασφάλειας ΠΣ: Διαδικασίες και Πρακτικές -2- Πρακτικές διαχείρισης ασφάλειας ΠΣ (συνέχεια) Δημιουργία κατάλληλου οργανωτικού πλαισίου και εξασφάλιση των απαιτούμενων πόρων για την εφαρμογή της Πολιτικής Ασφάλειας. προσαρμογή οργανογράμματος ενσωμάτωση νέων ρόλων (π.χ. Υπεύθυνος Ασφάλειας, Υπεύθυνος Επεξεργασίας, Υπεύθυνος Ασφάλειας Δικτύων κ.λπ.) Εκπαίδευση, ενημέρωση και ευαισθητοποίηση των χρηστών των ΠΣ για ζητήματα ασφάλειας. σεμινάρια εκπαιδευτικά προγράμματα 4

Η έννοια της Πολιτικής Ασφάλειας ΠΣ Η Πολιτική Ασφάλειας διατυπώνεται σε ένα έγγραφο, το οποίο θα πρέπει να γνωρίζουν και να εφαρμόζουν όλοι οι χρήστες των ΠΣ. Η Πολιτική Ασφάλειας των Πληροφοριακών Συστημάτων περιλαμβάνει το σκοπό και τους στόχους της ασφάλειας, οδηγίες, διαδικασίες, κανόνες, ρόλους και υπευθυνότητες που αφορούν την προστασία των ΠΣ του οργανισμού. 5

Σχετικές έννοιες -1-: Μέτρα Aσφάλειας και Σχέδιο Ασφάλειας Οι οδηγίες και οι διαδικασίες που περιλαμβάνονται στην Πολιτική Ασφάλειας υλοποιούνται με την εφαρμογή των μέτρων προστασίας ή ασφάλειας (security measures, security controls). Η Πολιτική Ασφάλειας μαζί με το σύνολο των μέτρων προστασίας αποτελούν το Σχέδιο Ασφάλειας (Security Plan) γιαταπληροφοριακά συστήματα ενός οργανισμού. 6

Γιατί εφαρμόζουμε μια Πολιτική Ασφάλειας; -1- γιατί χρειαζόμαστε ένα συστηματικό και ολοκληρωμένο πλαίσιο που θα καθοδηγήσει την υλοποίηση των μέτρων ασφάλειας. γιατί λειτουργεί ως το μέσο για την επικοινωνία των εμπλεκομένων στα ζητήματα ασφάλειας (χρήστες, διοίκηση, διαχειριστές συστημάτων κ.λπ.). 7

Γιατί εφαρμόζουμε μια Πολιτική Ασφάλειας; -2- επίσης, γιατίδεδιαθέτουμεαπεριόριστους πόρους (σε χρήματα, χρόνο, ανθρώπινο δυναμικό). γιατίέτσιθεμελιώνεταιησημασία της ασφάλειας των ΠΣ για όλα τα μέλη του οργανισμού. γιατίσυμβάλλειστηδημιουργία κουλτούρας ασφάλειας. 8

Γιατί εφαρμόζουμε μια Πολιτική Ασφάλειας; -3- καθώςεπίσηςκαι γιατί σε ορισμένες περιπτώσεις αποτελεί νομική υποχρέωση (π.χ. Ν.2472/97). γιατί αποτελεί παράγοντα εμπιστοσύνης στις σχέσεις του οργανισμού με συνεργαζόμενους φορείς και πελάτες. 9

Είδη Πολιτικών Ασφάλειας -1- Τεχνικές Πολιτικές Ασφάλειας (computer-oriented) Πολιτικές Ασφάλειας Πληροφοριών Υλοποιούν συγκεκριμένους κανόνες πρόσβασης στα δεδομένα, όπως διακριτικό έλεγχο προσπέλασης (Discretionary Access Control) ή υποχρεωτικό έλεγχο προσπέλασης (Mandatory Access Control). Πολιτικές Ασφάλειας Λειτουργικών Συστημάτων. πρώτη εφαρμογή των πολιτικών ασφάλειας Πολιτικές Ασφάλειας Δικτύων Υπολογιστών. Μπορούν να υλοποιηθούν τεχνικά. 10

Μορφές Πολιτικών Ασφάλειας ΠΣ -1- Ατομικές Πολιτικές Ασφάλειας (individual security policies): Ανά σύστημα ή εφαρμογή (π.χ. Πολιτική Ασφάλειας για τη χρήση του e-mail) Αποσπασματική διαχείριση της ασφάλειας ΠΣ, μεγάλη πολυπλοκότητα στη συντήρηση των πολιτικών. Αποτελεσματικές όταν υπάρχουν αυτόνομες εφαρμογές και υπολογιστικά συστήματα που δε συνδέονται μεταξύ τους. 11

Πηγές Απαιτήσεων Ασφάλειας Οι απαιτήσεις και οι στόχοι για την ασφάλεια των ΠΣ που πρέπει να ικανοποιεί η Πολιτική Ασφάλειας προέρχονται από όλους τους εμπλεκόμενους στη χρήση και λειτουργία του ΠΣ ενός οργανισμού, όπως είναι: Οι χρήστες και διαχειριστές των ΠΣ. Η διοίκηση του οργανισμού. Οι πελάτες του οργανισμού. Οι νομικές και κανονιστικές διατάξεις που διέπουν τη λειτουργία του. 12

Ανάπτυξη Πολιτικών Ασφάλειας -1- Για να διαμορφώσουμε μια Πολιτική Ασφάλειας ΠΣ πρέπει να αξιολογήσουμε, κατ αρχήν, το επίπεδο της ασφάλειάς του. Για το σκοπό αυτό, μπορούμε να χρησιμοποιήσουμε: Μεθόδους Ανάλυσης Επικινδυνότητας (π.χ. SBA, MARION, CRAMM). Πρότυπα διαχείρισης της ασφάλειας των ΠΣ (π.χ. ISO 17799, GMITS). 13

Ανάπτυξη Πολιτικών Ασφάλειας -2- Η Πολιτική Ασφάλειας ΠΣ που αναπτύσσουμε θα πρέπει να περιλαμβάνει απαντήσεις στα ακόλουθα ερωτήματα: Ποιος είναι ο σκοπός και ποιοι οι στόχοι της Πολιτικής; Ποια είναι τα αγαθά του ΠΣ που χρειάζονται προστασία; Ποιοι είναι οι υπεύθυνοι για την προστασία των αγαθών αυτών και ποιες είναι οι αρμοδιότητές τους; 14

Ανάπτυξη Πολιτικών Ασφάλειας -3- καθώς και στο: Ποιο είναι το εύρος και ποια τα όρια εφαρμογής της; Πώς θα γίνεται ο έλεγχος της εφαρμογής της; Ποια είναι τα χρονικά πλαίσια που ισχύει η Πολιτική; 15

Περιεχόμενο Πολιτικών Ασφάλειας ΠΣ -1- Οι οδηγίες και τα μέτρα προστασίας που καθορίζει η πολιτική ασφάλειας ΠΣ θα πρέπει να καλύπτουν, τουλάχιστον, τις ακόλουθες κατηγορίες απαιτήσεων ασφάλειας: Ζητήματα Προσωπικού Φυσική Ασφάλεια Έλεγχο Πρόσβασης στα ΠΣ Διαχείριση Υλικού και Λογισμικού 16

Περιεχόμενο Πολιτικής Ασφάλειας ΠΣ: Ζητήματα Προσωπικού -1- Στόχος των οδηγιών και των μέτρων ασφάλειας που ανήκουν σε αυτή την κατηγορία, είναι η μείωση της επικινδυνότητας που οφείλεται σε ανθρώπινα λάθη, απάτη, κλοπή ή κατάχρηση των πόρων των ΠΣ. αντιμετώπιση της «εκ των έσω απειλής» (insider threat) 17

Περιεχόμενο Πολιτικής Ασφάλειας ΠΣ: Ζητήματα Προσωπικού -2- Τα μέτρα και οι οδηγίες σε αυτήν την κατηγορία αναφέρονται κυρίως σε: Ρόλους και υπευθυνότητες για την προστασία των αγαθών του ΠΣ. ιδιοκτησία πληροφοριακών πόρων. Διαδικασίες επιλογής νέου προσωπικού. έλεγχος ειδικά για τις «ευαίσθητες θέσεις» Εκπαίδευση και ενημέρωση των χρηστών. Διαδικασίες αντιμετώπισης και αναφοράς περιστατικών παραβίασης της ασφάλειας. 18

Περιεχόμενο Πολιτικής Ασφάλειας ΠΣ: Φυσική Ασφάλεια Τα μέτρα που υποστηρίζουν τη φυσική ασφάλεια έχουν ως κύριο στόχο την αποτροπή της μη εξουσιοδοτημένης πρόσβασης στουςχώρουςτου ΠΣ και της καταστροφής τωναγαθώντου. Αναφέρονται κυρίως σε: Έλεγχο φυσικής πρόσβασης σε κρίσιμους χώρους (π.χ. Server room). Προστασία της υγείας των χρηστών των ΠΣ (safety). 19

Περιεχόμενο Πολιτικής Ασφάλειας ΠΣ: Έλεγχος Πρόσβασης Η πρόσβαση των χρηστών των ΠΣ στις πληροφορίες, τα υπολογιστικά συστήματα και τις εφαρμογές θα πρέπει να καθορίζεται με βάση τις επιχειρηματικές ανάγκες και τις απαιτήσεις ασφάλειας. Συχνά εφαρμόζεται η αρχή need to know για την απονομή δικαιώματος πρόσβασης στους χρήστες. Διαδικασίες ελέγχου εφαρμογής των κανόνων πρόσβασης. 20

Περιεχόμενο Πολιτικής Ασφάλειας ΠΣ: Διαχείριση Υλικού Προμήθεια και Συντήρηση Υλικού Οι οδηγίες αυτές στοχεύουν στη διατήρηση του επιθυμητού επιπέδου ασφάλειας, προσδιορίζοντας τις διαδικασίες για την αγορά και τη συντήρηση του υλικού π.χ. απαίτηση προμήθειας πιστοποιημένων προϊόντων διαδικασίες επείγουσας προμήθειας όροι συντήρησης εξοπλισμού. 21

Περιεχόμενο Πολιτικής Ασφάλειας ΠΣ: Διαχείριση Λογισμικού Ανάπτυξη και Συντήρηση Λογισμικού Οι οδηγίες που περιλαμβάνονται πρέπει να καλύπτουν τις ακόλουθες περιπτώσεις: Αγορά έτοιμων προϊόντων (πακέτων λογισμικού) από εξωτερικούς προμηθευτές. Ανάπτυξη και συντήρηση λογισμικού από αναδόχους. Εσωτερική ανάπτυξη και συντήρηση των εφαρμογών 22

Περιεχόμενο Πολιτικής Ασφάλειας ΠΣ: Νομικές Απαιτήσεις Συμμόρφωση με το νομικό και κανονιστικό πλαίσιο, όπως: ΟΝόμος2472 του 1997 για την Προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Οι νόμοι για την προστασία των πνευματικών δικαιωμάτων. Οι αποφάσεις των Ανεξάρτητων Διοικητικών Αρχών, όπως η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, η Επιτροπή Τηλεπικοινωνιών και Ταχυδρομείων, η Αρχή Προστασίας του Απορρήτου 23

Περιεχόμενο Πολιτικής Ασφάλειας ΠΣ: Διαδικασίες Διαχείρισης της Πολιτικής Ασφάλειας Η Πολιτική Ασφάλειας θα πρέπει να προσδιορίζει και τις απαιτούμενες δραστηριότητες για την εφαρμογή της, που αφορούν: Την αξιολόγηση και αναθεώρηση της Πολιτικής Τον έλεγχο εφαρμογής της (audit) και τον καθορισμό των ενεργειών που προβλέπονται στις περιπτώσεις μη τήρησής της από τους χρήστες. 24

Περιεχόμενο Πολιτικής Ασφάλειας ΠΣ: Σχέδιο Συνέχισης Λειτουργίας Ειδικά στις περιπτώσεις κρίσιμων ΠΣ, η Πολιτική Ασφάλειας πρέπει να περιλαμβάνει οδηγίες που αφορούν τις απαιτούμενες ενέργειες μετά την πραγματοποίηση ενός σημαντικού περιστατικού παραβίασης της ασφάλειας, ώστε οι λειτουργίες τουοργανισμούναεξακολουθήσουννα πραγματοποιούνται με κάποιους εναλλακτικούς τρόπους, έως ότου αντιμετωπιστεί το πρόβλημα ασφάλειας του ΠΣ π.χ. να υπάρχει εφεδρικό Web Site εφεδρικός εξοπλισμός καταγεγραμμένες διαδικασίες 25

Χαρακτηριστικά Πολιτικών Ασφάλειας ΠΣ -1- Όταν αναπτύσσουμε μια Πολιτική Ασφάλειας, επιδιώκουμε τα ακόλουθα: Οι οδηγίες και τα μέτρα προστασίας να καλύπτουν το σύνολο των αγαθών του ΠΣ και όλες τις λειτουργίες του (πληρότητα). Να λάβουμε υπόψη τις τρέχουσες τεχνολογικές εξελίξεις (επικαιρότητα). Με κάποιες τροποποιήσεις ή προσθήκες να μπορεί η Πολιτική να καλύπτει μικρές αλλαγές ή επεκτάσεις στα ΠΣ (γενικευσιμότητα). 26

Χαρακτηριστικά Πολιτικών Ασφάλειας ΠΣ -2- καιπρέπειναλαμβάνουμευπόψηότι: η Πολιτική Ασφάλειας απευθύνεται στο σύνολο των μελών του οργανισμού και θα πρέπει να είναι εύκολα κατανοητή από όλους (σαφήνεια και ευκολία κατανόησης). η περιγραφή των μέτρων ασφάλειας δε θα πρέπει να δεσμεύει τον οργανισμό σε συγκεκριμένα προϊόντα και τεχνολογίες (τεχνολογική ανεξαρτησία). 27

Χαρακτηριστικά Πολιτικών Ασφάλειας ΠΣ -3- και ότι: οι απαιτήσεις ασφάλειας πρέπει να καλύπτουν τις ανάγκες του συγκεκριμένου οργανισμού (καταλληλότητα). τα μέτρα προστασίας θα πρέπει να μπορούν να εφαρμοστούν χωρίς να δυσχεραίνουν δυσανάλογα τις δραστηριότητες των χρηστών του ΠΣ (εφαρμοσιμότητα). 28

Εφαρμογή Πολιτικών Ασφάλειας ΠΣ: Παράγοντες Επιτυχίας -1- Μια Πολιτική Ασφάλειας ΠΣ επιτυγχάνει καλύτερα τους στόχους της όταν: υποστηρίζει τους επιχειρηματικούς στόχους του οργανισμού. η ανώτερη διοίκηση τουοργανισμούυποστηρίζεικαι συμμετέχει ενεργά στην εφαρμογή της. είναι κατάλληλη για το συγκεκριμένο περιβάλλον όπου εφαρμόζεται (οργανωσιακή κουλτούρα). οι χρήστες εκπαιδεύονται και ενημερώνονται κατάλληλα. 29

Εφαρμογή Πολιτικών Ασφάλειας ΠΣ: Παράγοντες Επιτυχίας -2- και όταν υπάρχουν διαδικασίες αξιολόγησης της αποτελεσματικότητάς της, ώστε να αναθεωρείται κατάλληλα. εφαρμόζεται σταδιακά, ανάλογα με το βαθμό της αλλαγής που επιφέρει η εφαρμογή της Πολιτικής στις δραστηριότητες των χρηστών. έχουν εύκολη και άμεση πρόσβαση σε αυτήν όλοι οι χρήστες του ΠΣ. 30

Σύνοψη -1- Η Πολιτική Ασφάλειας ΠΣ αποτελεί το βασικό εργαλείο για τη διαχείριση της ασφάλειας των ΠΣ. Η ανάπτυξη μιας Πολιτικής απαιτεί την καταγραφή, σε ένα έγγραφο, των βασικών στόχων της ασφάλειας, μαζί με τους τρόπους και τα μέσα επίτευξης των στόχων αυτών. 31

2025 © DocPlayer.gr Πολιτική Απορρήτου | Όροι Χρήσης | Σχόλια