Γενικά Μέτρα Προστασίας. Πληροφοριακών Συστημάτων. από Ηλεκτρονικές Επιθέσεις



Σχετικά έγγραφα
ΚΥΡΙΑ ΒΗΜΑΤΑ ΣΥΜΜΟΡΦΩΣΗΣ ΔΙΚΗΓΟΡΙΚΟΥ ΓΡΑΦΕΙΟΥ ΣΥΜΦΩΝΑ ΜΕ ΤΟΝ ΚΑΝΟΝΙΣΜΟ 2016/679

Ασφάλεια Στο Ηλεκτρονικό Εμπόριο. Λάζος Αλέξανδρος Α.Μ. 3530

GDPR και Τεχνικά Μέτρα Ασφάλειας Πληροφοριακών Συστημάτων

ΑΣΦΑΛΕΙΕΣ ΣΤΑ ΔΙΚΤΥΑ

Κεφάλαιο 16 Ασφάλεια και Προστασία στο Διαδίκτυο. Εφαρμογές Πληροφορικής Κεφ. 16 Καραμαούνας Πολύκαρπος

ΑΠΟΦΑΣΗ. (αριθμ.: 53 /2009)

ΑΠΟΦΑΣΗ. (αριθμ.: 52 /2009)

Οι ιοί των υπολογιστών αποτελούν πλέον ένα διαδεδομένο, καθημερινό φαινόμενο. Η γρήγορη εξάπλωση των ιών τα τελευταία χρόνια οφείλονται στο διαδίκτυο

ΑΡΧΗ ΔΙΑΣΦΑΛΙΣΗΣ ΤΟΥ ΑΠΟΡΡΗΤΟΥ ΤΩΝ ΕΠΙΚΟΙΝΩΝΙΩΝ ΣΧΕΔΙΟ

ΕΝΟΤΗΤA Σχολικό εργαστήριο πληροφορικής και εισαγωγή στα θέματα ασφάλειας

Εθνική ΥπηρεσίαΠληροφοριών

ΜΑΘΗΜΑ 7 - ΕΡΩΤΗΣΕΙΣ ΠΟΛΛΑΠΛΗΣ ΕΠΙΛΟΓΗΣ

ΨΗΦΙΑΚΑ ΠΙΣΤΟΠΟΙΗΤΙΚΑ ΓΙΑ ΑΣΦΑΛΗ ΚΑΙ ΠΙΣΤΟΠΟΙΗΜΕΝΗ ΕΠΙΚΟΙΝΩΝΙΑ ΜΕ ΤΗΝ ΤΡΑΠΕΖΑ ΤΗΣ ΕΛΛΑΔΟΣ. Οδηγίες προς τις Συνεργαζόμενες Τράπεζες

ΗΜΕΡΟΛΟΓΙΟ ΓΛΩΣΣΑΡΙ ΔΙΑΔΙΚΤΥΟΥ

ΤΕΧΝΟΛΟΓΙΕΣ & ΑΣΦΑΛΕΙΑ ΠΛΗΡΟΦΟΡΙΩΝ ΙΩΑΝΝΗ Δ. ΙΓΓΛΕΖΑΚΗ

ΠΡΟΣΤΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΣΤΙΣ ΤΕΧΝΟΛΟΓΙΕΣ ΠΛΗΡΟΦΟΡΙΚΗΣ ΚΑΙ ΕΠΙΚΟΙΝΩΝΙΩΝ ΚΑΘΩΣ ΚΑΙ ΣΤΟ ΔΙΑΔΙΚΤΥΟ

ISMS κατά ISO Δεκέμβριος 2016

ΜΑΘΗΤΕΣ:ΑΝΤΩΝΙΟΥ ΕΥΑΓΓΕΛΙΑ,ΔΑΡΑΜΑΡΑ ΑΓΓΕΛΙΚΗ,ΖΑΡΚΑΔΟΥΛΑ ΔΕΣΠΟΙΝΑ,ΚΑΠΟΥΛΑΣ ΑΠΟΣΤΟΛΟΣ,ΚΟΛΟΒΟΣ ΠΑΝΑΓΙΩΤΗΣ ΚΑΘΗΓΗΤΡΙΑ:ΧΑΛΙΜΟΥΡΔΑ ΑΓΓΕΛΙΚΗ ΕΡΕΥΝΗΤΙΚΗ

Κων/νος Λαμπρινουδάκης Αναπληρωτής Καθηγητής Τμήμα Ψηφιακών Συστημάτων Εργαστήριο Ασφάλειας Συστημάτων Πανεπιστήμιο Πειραιώς

G D P R : C O M P L I A N C E & P H Y S I C A L S E C U R I T Y

F-Secure Anti-Virus for Mac 2015

Πανελλήνιο Σχολικό Δίκτυο

ΟΔΗΓΙΕΣ ΧΡΗΣΗΣ ΗΛΕΚΤΡΟΝΙΚΟΥ ΤΑΧΥΔΡΟΜΕΙΟΥ ΕΣΔΥ

«ΖΕΥΣ» Εγχειρίδιο Συμμετοχής σε Ψηφοφορία

ΙΤ Infrastructures. Cyber Security Presentation

Κεφάλαιο 1.10: Προστασία και ασφάλεια δεδομένων

«ΖΕΥΣ» Εγχειρίδιο Συμμετοχής σε Ψηφοφορία

«ΖΕΥΣ» Εγχειρίδιο Συμμετοχής σε Ψηφοφορία

«ΖΕΥΣ» Εγχειρίδιο Συμμετοχής σε Ψηφοφορία

Η ΑΡΧΗ ΠΡΟΣΤΑΣΙΑΣ Ε ΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ (Α.Π..Π.Χ.) ΚΑΙ Η ΑΡΧΗ ΙΑΣΦΑΛΙΣΗΣ ΤΟΥ ΑΠΟΡΡΗΤΟΥ

Εφαρμογή Ηλεκτρονικής Διαχείρισης Μετεγγραφών

Ασφάλεια Πληροφοριακών Συστημάτων

Επικοινωνία. Ηλεκτρονικό ταχυδρομείο. Δημιουργία λογαριασμού. Λήψη ηλεκτρονικού μηνύματος. Αποστολή ηλεκτρονικού μηνύματος. Απάντηση και προώθηση

Πολιτική Προστασίας Δεδομένων

Διαδικτυακά εργαλεία και υπηρεσίες στην καθημερινή ζωή

1 Συστήματα Αυτοματισμού Βιβλιοθηκών

Ιδιωτικό ιατρείο στα χρόνια του GDPR. Φελεκίδης Αναστάσιος. Ιατρός Οφθαλμίατρος, Ιατρικός Σύλλογος Ξάνθης

Εισαγωγή 6. Tα πολλά πρόσωπα των απειλών για το PC 8. Οι βασικές ρυθμίσεις ασφαλείας στα Windows 18. Προστασία από το Malware με το Avast Antivirus 34

Ασφάλεια Υπολογιστικών Συστηµάτων

ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Διαχείριση Ασφαλείας (Ι) Απειλές Ασφαλείας Συμμετρική & Μη-Συμμετρική Κρυπτογραφία

Κεφάλαιο 1: Έναρξη...3

Πολιτική Ασφαλείας Δεδομένων Πιστοποίηση ISO 27001:2013 από την TÜV Austria Hellas

ΠΡΟΣΤΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

Προσβασιµότητα στους διαδικτυακούς κόµβους

Προσδιορισμός απαιτήσεων Ασφάλειας (1)

Παρουσίαση Μεταπτυχιακής Εργασίας

ΟΔΗΓΟΣ ΓΡΗΓΟΡΗΣ ΕΝΑΡΞΗΣ

ΔΗΜΟΣΙΑ ΠΟΛΙΤΙΚΗ. για την προστασία Φυσικών Προσώπων έναντι της επεξεργασίας προσωπικών δεδομένων τους

Πολιτική Ασφαλείας Προσωπικών Δεδομένων GDPR General Data Protection Regulation

Κακόβουλο Λογισμικό Ηλιάδης Ιωάννης

1. Ποια δεδομένα προσωπικού χαρακτήρα συλλέγουμε και επεξεργαζόμαστε

Πολιτική Απορρήτου (07/2016)

ΟΔΗΓΟΣ ΓΡΗΓΟΡΗΣ ΕΝΑΡΞΗΣ

Πολιτική Προστασίας Προσωπικών Δεδομένων 2019

Τ.Π.Ε. στον Τουρισμό. Τ.Ε.Ι. Ιονίων Νήσων Σχολή Διοίκησης και Οικονομίας - Λευκάδα

ΚΕΝΤΡΙΚΗ ΕΝΩΣΗ ΕΠΙΜΕΛΗΤΡΙΩΝ (ΚΕΕ)

Αποκήρυξη ευθυνών. Συλλογή Προσωπικών Πληροφοριών

ΟΓΗΓΙΕΣ ΧΡΗΣΗΣ ΗΛΕΚΤΡΟΝΙΚΟΥ ΜΗΤΡΩΟΥ ΑΠΟΒΛΗΤΩΝ. Draft version

ΕταιρικήΠαρουσίαση ΠΟΛΙΤΙΚΕΣ ΚΑΙ ΔΙΑΔΙΚΑΣΙΕΣ ΔΙΑΧΕΙΡΙΣΗΣ ΑΣΦΑΛΕΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΜΑΪΟΣ 2018

F.A.Q. (ΣΥΧΝΕΣ ΕΡΩΤΗΣΕΙΣ)

ΠΟΛΙΤΙΚΗ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ

Ηλεκτρονικό Εμπόριο. Ενότητα 9: Ασφάλεια Ηλεκτρονικού Εμπορίου Σαπρίκης Ευάγγελος Τμήμα Διοίκησης Επιχειρήσεων (Γρεβενά)

Σκοπιµότητα των firewalls

Ολοκληρωμένο Πληροφοριακό Σύστημα Εξυπηρέτησης Πολιτών και Παρόχων

Οδηγός εκκαθάρισης spam

Ασφάλεια Υπολογιστικών Συστηµάτων

1.1. Πολιτική Ασφάλειας Πληροφοριών

ΔΙΕΥΘΥΝΣΗ ΠΡΟΜΗΘΕΙΩΝ & Αθήνα, 04/08/2016

Πολιτική Κυβερνοάμυνας στις ΕΔ

Εφαρμογή Ηλεκτρονικής Διαχείρισης Μετεγγραφών

ΕΠΙΚΟΙΝΩΝΙΕΣ ΔΕΔΟΜΕΝΩΝ ΚΑΙ ΤΕΧΝΟΛΟΓΙΕΣ INTERNET

Πολιτική Ασφάλειας, Σχέδιο Ασφάλειας και Σχέδιο Ανάκαμψης από Καταστροφές για ασφαλή Επεξεργασία και Προστασία Προσωπικών Δεδομένων

Δήλωση Απορρήτου και Προστασίας Δεδομένων Προσωπικού Χαρακτήρα

Οδηγίες και συμβουλές

ΑΣΦΑΛΕΙΑ ΔΕΔΟΜΕΝΩΝ ΣΤΗΝ ΚΟΙΝΩΝΙΑ ΤΗΣ ΠΛΗΡΟΦΟΡΙΑΣ (Κακόβουλο Λογισμικό)

ΠΟΛΙΤΙΚΗ ΑΣΦΑΛΕΙΑΣ. Ο χρόνος και ο τρόπος τήρησης των αρχείων περιγράφεται στη διδικασία Δ.550, Έλεγχος και τήρηση αρχείων και μητρώων.

Κεφάλαιο 3. Διδακτικοί Στόχοι

ΓΕΝΙΚΗ ΓΡΑΜΜΑΤΕΙΑ ΔΗΜΟΣΙΩΝ ΕΠΕΝΔΥΣΕΩΝ & ΕΣΠΑ

ΟΔΗΓΟΣ ΓΡΗΓΟΡΗΣ ΕΝΑΡΞΗΣ

Πολιτική WHOIS Ονομάτων Τομέα.eu

Βασική προτεραιότητά μας η ασφάλεια των δεδομένων σας.

Πως μπορούν τα μέρη του υλικού ενός υπολογιστή να επικοινωνούν και να συνεργάζονται μεταξύ τους; Επειδή ακολουθούν συγκεκριμένες οδηγίες (εντολές).

για την επιχείρησή σας Λύση Χωρίς Συμβιβασμούς SOLO SMALL BUSINESS GATEWAY

Τ.Ε.Ι. Δυτικής Ελλάδας Τμήμα Διοίκησης Επιχειρήσεων Μεσολόγγι. 9 η Διάλεξη. Μάθημα: Τεχνολογίες Διαδικτύου

Lexicon Software Pachutzu

Εισαγωγή στην πληροφορική

ΕΙΝΑΙ Η ΕΠΙΧΕΙΡΗΣΗ ΜΟΥ ΑΣΦΑΛΗΣ; CHECKLIST

Εγχειρίδιο Εισαγωγής Στοιχείων στο Πληροφοριακό Σύστημα του προγράμματος Εξοικονόμηση Κατ Οίκον ΙΙ, για την υποβολή αιτήσεων

Βασίλειος Κοντογιάννης ΠΕ19

Ενίσχυση Επιχειρήσεων για την υλοποίηση Επενδύσεων στην ψηφιακή ασφάλεια e-security. Ελευθέριος Μεταξούδης Aθανάσιος Τσιακπίνης. Σύμβουλοι ανάπτυξης

Πολιτική για την Ιδιωτικότητα και την Προστασία των Προσωπικών Δεδομένων

ΤΕΙ ΙΟΝΙΩΝ ΝΗΣΩΝ ΣΧΟΛΗ ΔΙΟΙΚΗΣΗΣ ΚΑΙ ΟΙΚΟΝΟΜΙΑΣ ΤΜΗΜΑ ΔΙΟΙΚΗΣΗΣ ΕΠΙΧΕΙΡΗΣΕΩΝ - ΕΙΣ

Πληροφοριακά Συστήματα. Φάσεις ανάπτυξης (1/3) Βασικά στοιχεία Π.Σ. Φάσεις ανάπτυξης (3/3) Φάσεις ανάπτυξης (2/3) Πληροφορική I

Πρότυπα εξασφάλισης του απορρήτου των δεδομένων ( vs Patient Link)

Managing Information. Lecturer: N. Kyritsis, MBA, Ph.D. Candidate Athens University of Economics and Business.

ESET NOD32 ANTIVIRUS 7

Ηλεκτρονικό εμπόριο. HE 6 Ασφάλεια

ΕΡΓΑΣΙΑ: Ετήσιας Συντήρησης και Υποστήριξης Λειτουργίας Δημοτικής Διαδικτυακής Πύλης

ΕΛΕΓΧΟΣ ΠΡΟΓΡΑΜΜΑΤΟΣ ΕΠΙΧΕΙΡΗΣΙΑΚΗΣ ΣΥΝΕΧΕΙΑΣ (Auditing Business Continuity Plan & Disaster Recovery Plan)

Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων (GDPR)

Transcript:

Γενικά Μέτρα Προστασίας Πληροφοριακών Συστημάτων από Ηλεκτρονικές Επιθέσεις Φεβρουάριος 2012

Εθνική Αρχή Αντιμετώπισης Ηλεκτρονικών Επιθέσεων Εθνικό CERT Αποστολή Η Εθνική Αρχή Αντιμετώπισης Ηλεκτρονικών Επιθέσεων μεριμνά για την πρόληψη και τη στατική και ενεργητική αντιμετώπιση ηλεκτρονικών επιθέσεων κατά δικτύων επικοινωνιών, εγκαταστάσεων αποθήκευσης πληροφοριών και συστημάτων πληροφορικής. Επιπλέον η Αρχή είναι υπεύθυνη για τη συλλογή, την επεξεργασία δεδομένων και την ενημέρωση των αρμόδιων φορέων. Αρμοδιότητες 1. Είναι η αρμόδια Εθνική Αρχή αντιμετώπισης-προστασίας από ηλεκτρονικές απειλές-επιθέσεις κυρίως προς τον Δημόσιο Φορέα και τις Κρίσιμες Υποδομές της χώρας, σύμφωνα με τον Ν. 3649/2008 και το Π.Δ. 126/2009. 2. Διαθέτει το απαραίτητο επιστημονικό προσωπικό και τον απαιτούμενο εξοπλισμό για τον χειρισμό, την ανάπτυξη στρατηγικής και την αντιμετώπιση απειλών-επιθέσεων καθώς και την συλλογή, επεξεργασία και διακίνηση των σχετικών πληροφοριών. 3. Για την αποτελεσματικότερη εκπλήρωση της αποστολής της, συνεργάζεται με άλλα Εθνικά και μη CERT, με τις αντίστοιχες υπηρεσίες άλλων χωρών και διεθνών οργανισμών, καθώς και Υπηρεσίες του Δημόσιου Φορέα για σχετικά θέματα. Υπηρεσίες Η Εθνική Αρχή Αντιμετώπισης Ηλεκτρονικών Επιθέσεων παρέχει υπηρεσίες που άπτονται του αντικειμένου της ασφάλειας των Πληροφοριακών Συστημάτων του ευρύτερου Δημόσιου Τομέα. Ειδικότερα, οι υπηρεσίες που παρέχονται από το Εθνικό CERT είναι οι ακόλουθες: Ενημέρωση του Δημόσιου φορέα για περιστατικά ασφαλείας. Συντονισμό των εμπλεκόμενων για την αντιμετώπιση περιστατικών ασφαλείας. Ανάλυση και αξιολόγηση περιστατικών ασφαλείας. Πρόταση των μέτρων προστασίας που απαιτούνται για εξάλειψη των επιπτώσεων από ένα περιστατικό ασφαλείας. Ανάλυση κακόβουλων λογισμικών. Διενέργεια ελέγχων ασφαλείας σε Π.Σ. του Δημόσιου τομέα. Έκδοση γενικών οδηγιών για την διασφάλιση των Π.Σ. του Δημόσιου τομέα. Επικοινωνία Για οποιοδήποτε θέμα της αρμοδιότητας μας, μην διστάσετε να επικοινωνήσετε μαζί μας. ΕΘΝΙΚΗ ΥΠΗΡΕΣΙΑ ΠΛΗΡΟΦΟΡΙΩΝ Ε Διεύθυνση / 4 ο τμήμα - ΕΘΝΙΚΗ ΑΡΧΗ ΑΝΤΙΜΕΤΩΠΙΣΗΣ ΗΛΕΚΤΡΟΝΙΚΩΝ ΕΠΙΘΕΣΕΩΝ Ταχ. Δ/νση: Π. Κανελλοπούλου 4, Αθήνα 10177 Τηλ.: 210 6973541 Fax: 210 6923239 Email: cert@nis.gr Web: www.cert.gov.gr

Περιεχόμενα 1. Διαχείριση υλικού / λογισμικού...4 2. Προστασία από κακόβουλο λογισμικό...4 3. Ανίχνευση / Παρεμπόδιση εισβολής...5 4. Κωδικοί ασφαλείας...6 5. Κρυπτογραφικές λύσεις...6 6. Εφαρμογές βασισμένες στο Διαδίκτυο...7 7. E-mail...8 8. Πρόσβαση στο Διαδίκτυο...8 9. Απομακρυσμένη πρόσβαση...9 10. Σύστημα αντιγράφων ασφαλείας...9 11. Φυσική ασφάλεια...10 12. Πολιτική ασφάλειας...10 13. Επιπλέον πληροφορίες...10

1. Διαχείριση υλικού / λογισμικού hard-/software management (1) Το υλικό που χρησιμοποιείται οφείλει να : (α) Προέρχεται από ελεγμένους και αξιόπιστους προμηθευτές (β) Είναι εγκεκριμένο και καταγεγραμμένο (γ) Διαθέτει drivers ενημερωμένους (δ) Είναι προσβάσιμο μόνο σε εξουσιοδοτημένο προσωπικό (ε) Χρησιμοποιειται μόνο για το σκοπό που έχει ανατεθεί (στ) Ελέγχεται η κάθε αλλαγή σε αυτό (ζ) Ελέγχεται για ύποπτη / μη αναμενόμενη συμπεριφορά (2) Το λογισμικό που χρησιμοποιείται οφείλει να: (α) Είναι γνήσιο και διαθέτει έγκυρη άδεια χρήσης. (β) Προέρχεται από ελεγμένους και αξιόπιστους προμηθευτές (γ) Είναι εγκεκριμένο και καταγεγραμμένο (δ) Είναι ενημερωμένο με τις τελευταίες εκδόσεις (ε) Χρησιμοποιείται μόνο από εξουσιοδοτημένο προσωπικό (στ) Χρησιμοποιείται μόνο για το σκοπό που έχει ανατεθεί (ζ) Ελέγχεται η κάθε αλλαγή σε αυτό (η) Ελέγχεται για ύποπτη / μη αναμενόμενη συμπεριφορά 2. Προστασία από κακόβουλο λογισμικό malware protection (1) Πρέπει να υπάρχει εγκατεστημένη ολοκληρωμένη λύση λογισμικού προστασίας σε όλα τα συστήματα που είναι ευαίσθητα σε επιθέσεις κακόβουλου λογισμικού ειδικά σε αυτά που έχουν πρόσβαση στο Διαδίκτυο. (2) Το λογισμικό προστασίας, εκτός από τους παραπάνω γενικούς κανόνες για λογισμικό, επιπλέον πρέπει να (α) Ενημερώνεται κάθε μέρα και με αυτόματο τρόπο. (β) Προβλέπει προστασία από κάθε είδος κακόβουλου λογισμικού: ιοί, worms, trojan horses, rootkits, spyware και adware. (γ) Είναι ρυθμισμένο να ελέγχει: τη μνήμη του Η/Υ, τα εκτελέσιμα αρχεία, τα προστατευμένα και κρυφά αρχεία, τα αφαιρούμενα μέσα αποθήκευσης ( CDs / DVDs / USB συσκευές), την εισερχόμενη και εξερχόμενη δικτυακή κίνηση του φορέα. Εθνική Αρχή Αντιμετώπισης Ηλεκτρονικών Επιθέσεων - 4 -

(δ) Είναι ρυθμισμένο να πραγματοποιεί ελέγχους σε πραγματικό χρόνο και όχι μετά από απαίτηση του χρήστη (ε) Ενημερώνει έγκαιρα και αποτελεσματικά σε περίπτωση που ανακαλύψει ύποπτο λογισμικό (στ) Απομονώνει το ύποπτο λογισμικό για περαιτέρω ανάλυση (ζ) Απομακρύνει το κακόβουλο λογισμικό και σχετικά αρχεία (η) Εξασφαλίζει ότι δεν υπάρχει δυνατότητα να απενεργοποιούνται σημαντικές ρυθμίσεις και να μην ελαχιστοποιείται η λειτουργικότητα (θ) Διαθέτει μηχανισμό ειδοποίησης για την περίπτωση που είναι ανενεργό (3) Πρέπει να πραγματοποιείται τακτικός έλεγχος στα logs του λογισμικού προστασίας. (4) Δεν πρέπει να επιτρέπειται η εγκατάσταση λογισμικού από οποιονδήποτε χρήστη, αλλά από τον διαχειριστή (Administrator). (5) Δεν πρέπει να επιτρέπεται η χρήση αφαιρούμενων μέσων αποθήκευσης σε κρίσιμα συστήματα. (6) Εάν είναι απαραίτητη η χρήση αφαιρούμενων μέσων αποθήκευσης, πρέπει να απενεργοποιείται η δυνατότητα αυτοματης εκκίνησης (autorun). 3. Ανίχνευση / Παρεμπόδιση εισβολής intrusion detection / prevention (1) Πρέπει να υπάρχει τείχος προστασίας (υλικό ή/και λογισμικό) (firewall) εγκατεστημένο, με σαφώς ορισμένη πολιτική εισερχόμενης / εξερχόμενης κίνησης. (2) Πρέπει να υπάρχει εγκατεστημένος μηχανισμός ανίχνευσης/παρεμπόδισης εισβολής (IDS/IPS) σε κρίσιμα συστήματα. (3) Ο μηχανισμός αυτός πρέπει να μπορεί να ανιχνεύσει και να καταστείλει μη εξουσιοδοτημένη πρόσβαση, μη αναμενόμενη συμπεριφορά χρήστη ή εφαρμογής, μη αναμενόμενο τερματισμό διεργασιών, επιθέσεις άρνησης παροχής υπηρεσιών (DOS) ή δραστηριότητα συσχετισμένη με κακόβουλο λογισμικό. (4) Το λογισμικό ανίχνευσης/παρεμπόδισης εισβολής πρέπει να (α) Ενημερώνεται αυτόματα και συγκεκριμένες ώρες κάθε ημέρα. (β) Παρέχει έγκαιρη και αποτελεσματική ενημέρωση οταν ανιχνεύσει ύποπτη δραστηριότητα (γ) Να ελέγχεται τακτικά όσον αφορά την ενεργοποίησή του, τις ρυθμίσεις του, τις ενημερώσεις του και τα αρχεία καταγραφής συμβάντων (logs) του. Εθνική Αρχή Αντιμετώπισης Ηλεκτρονικών Επιθέσεων - 5 -

4. Κωδικοί ασφαλείας passwords (1) Πρέπει να χρησιμοποιούνται κωδικοί ασφαλείας, όπου είναι δυνατόν. (2) Οι κωδικοί ασφαλείας πρέπει να είναι προσωπικοί για κάθε χρήστη. (3) Καλό είναι να επιλέγεται διαφορετικός κωδικός ασφαλείας για κάθε λογαριασμό, όταν χρησιμοποιούνται πολλοί λογαριασμοί από τον ίδιο χρήστη. (4) Οι κωδικοί ασφαλείας καλό είναι να έχουν μήκος τουλάχιστον 10 χαρακτήρων και να συμπεριλαμβάνουν αλφαριθμητικούς χαρακτήρες, πεζά και κεφαλαία καθώς και σημεία στίξης. (5) Οι κωδικοί ασφαλείας δεν πρέπει να καταγραφονται, γι αυτό καλό είναι να είναι απομνημονεύσιμοι. (6) ΟΙ κωδικοί ασφαλείας καλό είναι να αλλάζουν περιοδικά, αλλά όχι σε λιγότερο χρονικό διάστημα από ένα μήνα, καθώς έτσι ενισχύεται η χρήση εύκολων κωδικών ή η καταγραφή τους. (7) Παράδειγμα επιλογής κωδικού ασφαλείας Ένας τρόπος επιλογής κωδικού ασφαλείας με τα παραπάνω χαρακτηριστικά είναι η χρήση κάποια φράσης, όπου χρησιμοποιούνται επιλεκτικά οι χαρακτήρες της. Οι χαρακτήρες αυτοί επιπλέον μεταλάσσονται σε αριθμητικούς και σημεία στίξης, ενώ πεζά εναλάσσονται με κεφαλαία με κάποιο εύκολο αλγόριθμο. Π.χ. Φράση: This is a very strong password, which protects my account! Αλγόριθμος: Επιλέγεται κάθε πρώτος χαρακτήρας, όπου a αντικαθίσταται με @, όπου i αντικαθίσταται με 1 και όπου p χρησιμοποιείται το κεφαλαίο P. Κωδικός: T1@vsP,wPm@! 5. Κρυπτογραφικές λύσεις Cryptography (1) Θα πρέπει να υιοθετηθούν λύσεις κρυπτογραφίας στον φορέα, ώστε να: (α) Προστατεύονται ευαίσθητες πληροφορίες (β) Αποφασίζεται αν έχει μεταβληθεί πληροφορία (γ) Παρέχεται ισχυρή αυθεντικοποίηση στους χρήστες εφαρμογών και συστημάτων (δ) Ταυτοποιείται ο ιδιοκτήτης κρίσιμης πληροφορίας (2) Οι κρυπτογραφικές λύσεις που υιοθετούνται οφείλουν να είναι εγκεκριμένες από την αρμόδια Εθνική Αρχή (Ε.Υ.Π.) ή να είναι πιστοποιημένες βάσει κάποιων διεθνών ή εθνικών προτύπων (π.χ. Common Criteria, FIPS κλπ). 6. Εφαρμογές βασισμένες στο Διαδίκτυο web-based applications Εθνική Αρχή Αντιμετώπισης Ηλεκτρονικών Επιθέσεων - 6 -

(1) Οι διαδικτυακοί διακομιστές (web servers) θα πρέπει να: (α) Βρίσκονται διαχωρισμένοι από τα εσωτερικά δίκτυα (π.χ. εφαρμογή «Αποστρατικωποιημενης Ζώνης» - D.M.Z.) (β) Εκτελούνται σε dedicated υπολογιστές, που δεν εκτελούν άλλες εφαρμογές (π.χ. βασεις δεδομένων, e-mail) (γ) Εκτελούν τις εφαρμογές με περιορισμένα δικαιώματα, αφαιρώντας τη δυνατότητα εκτέλεσης με δικαιώματα διαχειριστή (δ) Είναι παραμετροποιημένοι έτσι ώστε να μην εκτελούνται σενάρια (scripts) από μη εξουσιοδοτημένους χρήστες. (ε) Ελέγχονται, ώστε να είναι απενεργοποιημένες περιττές διεργασίες κι υπηρεσίες (στ) Είναι παραμετροποιημένοι, ώστε να διατηρούνται αρχεία καταγραφής συμβάντων (logs) για μεγάλο χρονικό διάστημα, τουλάχιστον δώδεκα (12) μηνών. (2) Οι συνδέσεις μεταξύ των διαδικτυακών διακομιστών και των back office συστημάτων (π.χ. διακομιστών βάσεων δεδομένων) πρέπει να: (α) Προστατεύνται με τείχη προστασίας (β) Περιορίζονται μόνο σε επιτρεπτές υπηρεσίες, απαραίτητες για τις εφαρμογές (γ) Βασίζονται σε αξιόπιστες διεπαφές (application programming interfaces - APIs) (δ) Προστατεύονται με τη χρήση αμοιβαίας αυθεντικοποίησης (3) Δεν πρέπει να υπάρχει άλλος τρόπος σύνδεσης σε back office συστήματα από χρήστες των εφαρμογών, εκτός μέσω του διαδικτυακού διακομιστή. (4) Οι λογαριασμοί χρηστών που χρησιμοποιούνται για τη σύνδεση διαδικτυακών διακομιστών και back office συστημάτων πρέπει να έχουν τα λιγότερα δυνατά δικαιώματα, αφαιρώντας έτσι τη δυαντότητα σύνδεσης με δικαιώματα διαχειριστή. (5) Η πληροφορία που χρησιμοποιείται στις εφαρμογές αυτές πρέπει να προστατεύεται από μη επιτρεπτή αποκάλυψη ή αλλοίωση με τους (α) Τον ελέγχο των δεδομένων εισόδου σε επίπεδο χρήστη αλλά και διακομιστή (β) Την κρυπτογράφηση ευαίσθητων δεδομένων κατά τη μεταφορά τους και την αποθήκευσή (γ) Την προστασία αρχείων που περιέχουν ρυθμίσεις διασύνδεσης, με την τοποθέτησή τους σε τοποθεσίες με περιορισμένη πρόσβαση και περιορισμένα δικαιώματα. (6) Το περιεχόμενο των ιστοτόπων καλό είναι να: (α) Τοποθετείται σε διαφορετικό δίσκο από το λειτουργικό σύστημα (β) Προστατεύται με την ρύθμιση των δικαιωμάτων των αρχείων (γ) Ενημερώνεται από εξουσιοδοτημενα άτομα με εγκεκριμένα εργαλεία (π.χ. με SSH ή SFTP από καθορισμένη IP διεύθυνση) (δ) Ελέγχεται η ακεραιότητά του, ότι οι σύνδεσμοί του είναι έγκυροι και λειτουργικοί και ότι δεν έχουν εισαχθεί τρωτότητες από σενάρια (scripts) ή «κρυφά» πεδία φόρμας. Εθνική Αρχή Αντιμετώπισης Ηλεκτρονικών Επιθέσεων - 7 -

7. E-mail Γενικά μέτρα προστασίας πληροφοριακών συστημάτων απο ηλεκτρονικές επιθέσεις (1) Οι mail servers πρέπει να είναι παραμετροποιημένοι με τέτοιο τρόπο ώστε να εμποδίζεται η υπερφόρτωσή τους με τον περιορισμό των μηνυμάτων ανά mailbox, της χρήσης μεγάλων λιστών παραληπτων και την αυτόματη ανίχνευση και ακύρωση email loops. (2) Τα emails πρέπει να ελέγχονται για (α) Κακόβουλα συνημμένα (β) Φράσεις συσχετισμένες με κακόβουλο λογισμικό (γ) Απαγορευμένες λέξεις (π.χ. αισχρές, προσβλητικές ή ρατσιστικές) (3) Οι mail servers πρέπει να παρέχουν προστασία με το να (α) Αποκλείουν μηνύματα που θεωρούνται μη επιθυμητά (spam) (π.χ. χρησιμοποιώντας κάποια black list με μη επιθυμητούς ιστότοπους ή mail list servers) (β) Ελέγχουν την ακεραιότητα των μηνυμάτων ως προς την πληρότητα του περιεχόμενού τους. (π.χ. ένα μήνυμα να περιλαμβάνει όλα τα απαραίτητα headers. ) (γ) Μην προωθούν αυτόματα emails προς εξωτερικούς παραλήπτες (4) Στα συστήματα ανταλλαγής email καλό είναι να χρησιμοποιούνται ψηφιακές υπογραφές. (5) Θα πρέπει να μην επιτρέπεται η απομακρυσμένη πρόσβαση στα emails του φορέα, εκτός του χώρου του. (6) Καλό είναι να μη χρησιμοποιείται webmail, καθώς προκαλεί περισσότερες τρωτότητες σε ένα σύστημα ανταλλαγής email. (7) Θα πρέπει να μην επιτρέπεται η χρήση email του φορέα για προσωπικούς / μη επαγγελματικούς λόγους του χρήστη. 8. Πρόσβαση στο Διαδίκτυο Internet access (1) Πρέπει να υπάρχει μία συγκεκριμένη πολιτική για πρόσβαση στο Διαδίκτυο από χρήστες εντός του φορέα. Η πολιτική αυτή περιλαμβάνει : (α) Επιτρεπτούς κι απαγορευμένους τύπους διαδικτυακών υπηρεσιών (β) Οδηγίες για τον τρόπο πρόσβασης (π.χ. με ποιο πρόγραμμα περιήγησης στον Ιστό, ποιες ρυθμίσεις ασφαλείας κ.ο.κ.) (γ) Περιορισμό ή απαγόρευση πρόσβασης για προσωπικούς λόγους (δ) Έλεγχο / παρακολούθηση πρόσβασης (2) Οι υπολογιστές που έχουν δυνατότητα σύνδεσης στο Διαδίκτυο, πρέπει να (α) Προστατεύονται με αντιικό λογισμικό, τείχος προστασίας και σύστημα αντιγράφων ασφαλείας (β) Να ενημερώνεται το λογισμικό τους εγκαίρως (γ) Να παρέχουν πρόσβαση στο Διαδίκτυο μέ περιορισμένα δικαιώματα χρήστη Εθνική Αρχή Αντιμετώπισης Ηλεκτρονικών Επιθέσεων - 8 -

9. Απομακρυσμένη πρόσβαση remote access (1) Η απομακρυσμένη πρόσβαση σε σταθμούς εργασίας καλό είναι να αποφεύγεται. (2) Σε περίπτωση που είναι απαραίτητο, τότε (α) Η πρόσβαση πρέπει να πραγματοποιείται μετά από αυθεντικοποίηση του χρήστη με ισχυρή κρυπτογράφηση του κωδικού πρόσβασης (β) Το σύστημα απομακρυσμένης πρόσβασης πρέπει να προέρχεται από αξιόπιστους προμηθευτές (γ) Τα συστήματα στα οποία πραγματοποιείται η απομακρυσμένη πρόσβαση, πρέπει να έχουν περάσει από έλεγχο, να διαθέτουν λογισμικό και τοίχο προστασίας (δ) Πρέπει να γίνεται καταγραφή των δραστηριοτήτων (logs) στα συστήματα, όπου πραγματοποιείται η απομακρυσμένη πρόσβαση. 10. Σύστημα αντιγράφων ασφαλείας back up (1) Είναι απαραίτητο να δημιουργούνται αντίγραφα ασφαλείας τόσο για πληροφορίες όσο και για το λογισμικό που χρησιμοποιείται, (2) Τα αντίγραφα ασφαλείας πρέπει να δημιουργούνται συχνά και περιοδικά (3) Τα αντίγραφα ασφαλείας καλό είναι να δημιουργούνται με αυτοματοποιημένο τρόπο. (4) Πρέπει να ελέγχεται κατά πόσο είναι δυνατή η ανάκτηση των αντιγράφων ασφαλείας. (5) Τα αντίγραφα ασφαλείας πρέπει να μπορούν να ανακτηθούν στα πλαίσια κρίσιμου χρονικού διαστήματος. (6) Τα αντίγραφα ασφαλείας πρέπει να προστατεύονται από απώλεια, καταστροφή ή μη εξουσιοδοτημένη πρόσβαση με (α) Την αποθήκευσή τους σε μέσα αποθήκευσης σε ασφαλές άφλεκτο μέρος, μέσα στον φορέα, για την γρήγορη ανάκτησή τους (β) Την αποθήκευση αντιγράφων εκτός φορέα, ώστε να ανακτηθούν με τη χρήση εναλλακτικών υποδομών, σε περίπτωση καταστροφής (γ) Τον περιορισμό πρόσβασης, ώστε μόνο εξουσιοδοτημένο προσωπικό να έχει φυσική πρόσβαση. Εθνική Αρχή Αντιμετώπισης Ηλεκτρονικών Επιθέσεων - 9 -

11. Φυσική ασφάλεια physical protection (1) Η φυσική ασφάλεια των πληροφοριακών συστημάτων περιλαμβάνει: (α) Τη προστασία εξοπλισμού και κτιρίων από μη εξουσιοδοτημένη πρόσβαση (β) Την προστασία εξοπλισμού και κτιρίων από φυσικές καταστροφές (2) Ευαίσθητο υλικό πρέπει να: (α) Αποθηκεύεται σε ασφαλή τοποθεσία (β) Προστατεύεται κατά τη μεταφορά (γ) Ελέγχεται η χρήση του (δ) Απορρίπτεται με ασφαλή τρόπο (π.χ. καύση, καταστροφή) (3) Η παροχή ρεύματος πρέπει να προστατεύεται με τη χρήση UPS. (4) Σε κρίσιμα συστήματα πρέπει να υπάρχουν εναλλακτικές γεννήτριες ρεύματος, σε περίπτωση διακοπής ρεύματος. 12. Πολιτική ασφάλειας security policy (1) Πρέπει να υπάρχει σαφώς καθορισμένη και καταγεγραμμένη πολιτική ασφαλείας, στην οποία συμπεριλαμβάνονται τα παραπάνω ενδεικτικά μέτρα. (2) Πρέπει να πραγματοποιείται περιοδικός έλεγχος παραβίασης της πολιτικής ασφάλειας και συνεχής ανάλυση και διερεύνηση των συμβάντων ασφάλειας που παρατηρούνται σε όλα τα κρίσιμα συστήματα. (3) Η πολιτική ασφάλειας πρέπει να είναι δυναμική, να ελέγχεται ανα τακτά χρονικά διαστήματα και να αναθεωρείται με βάση τα αποτελέσματα των παραπάνω διερευνήσεων. 13. Επιπλέον πληροφορίες information Εκτός από τις ανωτέρω γενικές οδηγίες, οι ενδιαφερόμενοι μπορούν να αναζητούν λεπτομερείς πληροφορίες σε αναγνωρισμένα διεθνή πρότυπα ασφάλειας, όπως ειναι η σειρά των προτύπων ISO 27000 και ISO 15408 (Common Criteria). Εθνική Αρχή Αντιμετώπισης Ηλεκτρονικών Επιθέσεων - 10 -

2024 © DocPlayer.gr Πολιτική Απορρήτου | Όροι Χρήσης | Σχόλια