Ασφάλεια πληροφοριακών συστημάτων στη Ναυτιλία ISO 27001

Σχετικά έγγραφα
ISMS κατά ISO Δεκέμβριος 2016

ΤΕΧΝΟΛΟΓΙΕΣ & ΑΣΦΑΛΕΙΑ ΠΛΗΡΟΦΟΡΙΩΝ ΙΩΑΝΝΗ Δ. ΙΓΓΛΕΖΑΚΗ

ΕΛΕΓΧΟΣ ΠΡΟΓΡΑΜΜΑΤΟΣ ΕΠΙΧΕΙΡΗΣΙΑΚΗΣ ΣΥΝΕΧΕΙΑΣ (Auditing Business Continuity Plan & Disaster Recovery Plan)

ΕΚΤΕΛΕΣΤΙΚΟΣ ΚΑΝΟΝΙΣΜΟΣ (ΕΕ) /... ΤΗΣ ΕΠΙΤΡΟΠΗΣ. της

Ζητήματα Ασφάλειας στο σχεδιασμό Επιχειρησιακής Συνέχειας. Τσώχου Αγγελική

ΕταιρικήΠαρουσίαση ΠΟΛΙΤΙΚΕΣ ΚΑΙ ΔΙΑΔΙΚΑΣΙΕΣ ΔΙΑΧΕΙΡΙΣΗΣ ΑΣΦΑΛΕΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΜΑΪΟΣ 2018

ΠΡΟΣΚΛΗΣΗ ΕΝΔΙΑΦΕΡΟΝΤΟΣ KAI ΚΑΤΑΘΕΣΗΣ ΠΡΟΣΦΟΡΩΝ ΓΙΑ ΤΗΝ ΑΝΑΘΕΣΗ ΤΟΥ ΕΡΓΟΥ:

ΠΟΛΙΤΙΚΗ ΑΣΦΑΛΕΙΑΣ ΠΛΗΡΟΦΟΡΙΩΝ

Συστήματα Διαχείρισης Ποιότητας Το πρότυπο ISO9001:2015 και οι εφαρμογές του

Διασφάλιση της Ποιότητας στις Υπηρεσίες Πληροφόρησης

ΕΙΝΑΙ Η ΕΠΙΧΕΙΡΗΣΗ ΜΟΥ ΑΣΦΑΛΗΣ; CHECKLIST

ΤΕΙ ΚΡΗΤΗΣ ΤΜΗΜΑ ΛΟΓΙΣΤΙΚΗΣ ΔΙΟΙΚΗΣΗ ΕΠΙΧΕΙΡΗΣΕΩΝ ΣΥΣΤΗΜΑΤΑ ΠΟΙΟΤΗΤΑΣ

Ασφάλεια Υπολογιστικών Συστηµάτων

Ποιότητα και Πρότυπα στη Διοίκηση Επιχειρήσεων Γενική Επισκόπηση Επισηµάνσεις Διάλεξη 9

Παρουσίαση Μεταπτυχιακής Εργασίας

1.1. Πολιτική Ασφάλειας Πληροφοριών

ΙΤ Governance & Business Continuity Διακυβέρνηση Πληροφορικής & Επιχειρησιακή συνέχεια

ΕΛΟΤ ΕΝ ISO 14001:2015

Ποιότητα και Πρότυπα στη Διοίκηση Επιχειρήσεων Συστήµατα Διασφάλισης Ποιότητας Γενική επισκόποηση και Επεκτάσεις- Διάλεξη 8

Ανάλυση, Αποτίμηση και Διαχείριση Επικινδυνότητας Π.Σ.

ΠΙΣΤΟΠΟΙΗΣΗ ISO. Διαχείριση της Ποιότητας των Υπηρεσιών Φύλαξης

Δ6 Διαδικασία Διαχείρισης και Συντήρησης Υλικοτεχνικής Υποδοµής

ΣΧΕ ΙΟ ΑΣΦΑΛΕΙΑΣ ΚΑΙ ΣΧΕ ΙΟ ΕΚΤΑΚΤΗΣ ΑΝΑΓΚΗΣ

Πρότυπα Πληροφοριακών Συστηµάτων Διοίκησησ

ΕΙΔΙΚΗ ΕΠΙΣΤΗΜΟΝΙΚΗ ΕΠΙΤΡΟΠΗ ΘΕΜΑΤΩΝ ΤΥΠΟΠΟΙΗΣΗΣ, ΠΙΣΤΟΠΟΙΗΣΗΣ ΚΑΙ ΔΙΑΧΕΙΡΙΣΗΣ ΠΟΙΟΤΗΤΑΣ. Εισηγήτρια: Γκαβέλα Σταματία Δρ. Χημικός Μηχανικός ΕΜΠ

Ονοματεπώνυμο: Γιαμαλής Γεώργιος Σειρά: 12 Επιβλέπων Καθηγητής: κ. Καρδαράς Δημήτριος

ΟΡΟΛΟΓΙΑ. απαιτήσεις αξιοπιστίας, στις απαιτήσεις ασφάλειας, στις απαιτήσεις λειτουργίας κλπ.

Παρουσίαση της μεθοδολογίας Octave

ΔΙΑΣΥΝΔΕΔΕΜΕΝΑ ΣΥΣΤΗΜΑΤΑ ΔΙΑΧΕΙΡΙΣΗΣ ΟΦΕΛΗ ΚΑΙ ΠΡΟΟΠΤΙΚΕΣ

Η Ασφάλεια Πληροφοριών στο χώρο της Εκκαθάρισης των Χρηµατιστηριακών Συναλλαγών

Πρότυπα Συστημάτων Διαχείρισης :

ΑΝΑΘΕΩΡΗΣΗ ΠΡΟΤΥΠΩΝ ISO 9001:2015 & ISO 14001:2015 ΚΑΙ ΟΦΕΛΗ ΑΠΟ ΠΙΣΤΟΠΟΙΗΣΗ

Συνεργασία PRIORITY & INTERAMERICAN:

ΟΡΙΣΜΟΙ. Σύστηµα: το σύνολο αλληλοσχετιζόµενων ή αλληλεπιδρώντων στοιχείων

Σειρά ISO 9000: Συνοπτική παρουσίαση

ΠΛΗΡΟΦΟΡΙΑΚΑ ΣΥΣΤΗΜΑΤΑ ΔΙΟΙΚΗΣΗΣ MANAGEMENT INFORMATION SYSTEMS (M.I.S.)

Πολιτική για την Ιδιωτικότητα και την Προστασία των Προσωπικών Δεδομένων

Συστήματα Διαχείρισης Ποιότητας Το πρότυπο ISO9001:2015 και οι εφαρμογές του

Πίνακας Περιεχομένων

ΑΠΟΦΑΣΗ. ( αριθμός:../2013 ) Θέμα: «Κανονισμός για την Ασφάλεια και την Ακεραιότητα Δικτύων και Υπηρεσιών Ηλεκτρονικών Επικοινωνιών».

ΕΚΘΕΣΗ ΠΡΟΔΙΑΓΡΑΦΩΝ ΔΑΠΑΝΗΣ ΓΙΑ ΤΗΝ ΠΑΡΟΧΗ ΥΠΗΡΕΣΙΩΝ ΥΛΟΠΟΙΗΣΗΣ ΤΕΧΝΙΚΩΝ ΜΕΤΡΩΝ ΑΣΦΑΛΕΙΑΣ ΤΟΥ COMPUTER ROOM ΔΗΜΟΥ ΩΡΑΙΟΚΑΣΤΡΟΥ

ΠΛΗΡΟΦΟΡΙΑΚΑ ΣΥΣΤΗΜΑΤΑ

«Διαχείριση Ποιότητας»

1. Γενικές Προδιαγραφές Πιστοποίησης ΣΔΑΠ

ΕΛΟΤ ΕΝ ISO 9000 και 9001

(Εννοιολογική θεμελίωση)

ΔΗΜΟΣΙΑ ΠΟΛΙΤΙΚΗ. για την προστασία Φυσικών Προσώπων έναντι της επεξεργασίας προσωπικών δεδομένων τους

Risk Management in Telecoms. Σπυρόπουλος Δημήτριος ΜΤΕ Επιβλέπων καθηγητής: Μαρίνος Θεμιστοκλέους. Πανεπιστήμιο Πειραιά

Πολιτική Ασφαλείας Δεδομένων Πιστοποίηση ISO 27001:2013 από την TÜV Austria Hellas

ΠΟΛΙΤΙΚΕΣ ΚΑΙ ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ

ΦΟΡΕΑΣ ΠΙΣΤΟΠΟΙΗΣΗΣ 4. ΑΠΑΙΤΗΣΕΙΣ ΤΟΥ ΣΥΣΤΗΜΑΤΟΣ ΔΙΑΧΕΙΡΙΣΗΣ ΑΣΦΑΛΕΙΑΣ ΤΡΟΦΙΜΩΝ. 5. Ευθύνη της Διοίκησης

GDPR για επιχειρήσεις με λόγια απλά

ΣΥΣΤΗΜΑ ΔΙΑΧΕΙΡΙΣΗΣ ΠΟΙΟΤΗΤΑΣ ΙSO 9001 : 2008

ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΥΓΕΙΑΣ ΕΙΔΙΚΟΣ ΛΟΓΑΡΙΑΣΜΟΣ ΚΟΝΔΥΛΙΩΝ ΕΡΕΥΝΑΣ Λ. Αλεξάνδρας 196, Αθήνα ΠΕΡΙΛΗΨΗ ΠΡΟΣΚΛΗΣΗΣ ΕΚΔΗΛΩΣΗΣ ΕΝΔΙΑΦΕΡΟΝΤΟΣ

ΕΞΕΤΑΣΤΕΑ ΥΛΗ (SYLLABUS) ΣΕΚ η διοίκηση ολικής ποιότητας και η ελληνική μικρομεσαία επιχείρηση ανάλυση του προτύπου 9001: εφαρμογές

Βελτιώστε την απόδοση, εξασφαλίστε το κέρδος.

ΠΡΟΣΚΛΗΣΗ ΕΚΔΗΛΩΣΗΣ ΕΝΔΙΑΦΕΡΟΝΤΟΣ Η ΔΗΜΟΤΙΚΗ ΕΠΙΧΕΙΡΗΣΗ ΥΔΡΕΥΣΗΣ ΑΠΟΧΕΤΕΥΣΗΣ ΙΩΑΝΝΙΝΩΝ

Πολιτική για την Ιδιωτικότητα και την Προστασία των Προσωπικών Δεδομένων

OHSAS 18001:2007 / ΕΛΟΤ 1801:2008

Υπεύθυνος Προστασίας Δεδομένων (Data Protection Officer)

Κατευθυντήριες Οδηγίες Ποιότητας. Βιοπαθολογικό Εργαστήριο

Ενότητα 3: : Ασφάλεια Βιολογικών Τροφίμων

Οι αλλαγές του νέου προτύπου ISO 14001:2015

ΑΔΑ: Β4ΛΝΧ-ΙΩΕ ΕΛΛΗΝΙΚΗ ΔΗΜΟΚΡΑΤΙΑ

Μοντέλο συστήματος διαχείρισης της ποιότητας

Συστήματα Διαχείρισης Ποιότητας Το πρότυπο ISO9001:2015 και οι εφαρμογές του

DPO ΓΕΝΙΚΑ. Μια από τις αρχές του GDPR είναι Α. Η λογοδοσία Β. Η ακεραιότητα των δεδομένων Γ. Όλα τα παραπάνω

ΠΡΟΤΥΠΟ ΣΥΝΤΟΝΙΣΤΙΚΟ ΚΕΝΤΡΟ (ΣΚ) ΠΡΟΣΤΑΣΙΑΣ ΚΑΙ ΑΣΦΑΛΕΙΑΣ ΚΡΙΣΙΜΩΝ ΥΠΟΔΟΜΩΝ

Δ12 Διαδικασία Εσωτερικών Επιθεωρήσεων

Ενότητα 2. Πηγές Λογισμικού. Πληροφοριακά Συστήματα Διοίκησης ΙI Νίκος Καρακαπιλίδης 2-1

ΑΠΟΦΑΣΗ. Η Εθνική Επιτροπή Τηλεπικοινωνιών και Ταχυδρομείων (ΕΕΤΤ),

Οδηγός επιβίωσης και ανάπτυξης μεταφορικών επιχειρήσεων Best practices

ΕΚτίµηση ΚΙνδύνου ΕΦαρµογή Της ΣΥστηµικής ΠΡοσέγγισης Στη ΔΙαχείριση ΚΙνδύνου ΠΟιότητας

τεχνογνωσία στην πληροφορική

GDPR: Η αντίστροφη μέτρηση έχει αρχίσει! Δ. Στασινόπουλος, MBA Manager IT Governance

Πολιτική Προστασίας Ιδιωτικότητας και Προσωπικών Δεδομένων στον Δήμο Καλαμαριάς. 2 Πολιτική Προστασίας Ιδιωτικότητας και Προσωπικών Δεδομένων

Πολιτική για την Ιδιωτικότητα και την Προστασία των Προσωπικών Δεδομένων

Διαχείριση Ρίσκου σε Επιχειρήσεις ISO 31000:2009

ΗΜΕΡΙΔΑ ELQA ΣΥΣΤΗΜΑTA ΔΙΑΧΕΙΡΙΣΗΣ ΠΟΙΟΤΗΤΑΣ ISO9001:2008

ISO 9001 σε εργοληπτικές και άλλες επιχειρήσεις μηχανικών

Η Diadilos Solutions παρέχει ολοκληρωμένες λύσεις ενώ ταυτόχρονα διασφαλίζει την πλήρη ικανοποίηση των αναγκών των πελατών της.

ΠΑΝΕΠΙΣΤΗΜΙΟ ΘΕΣΣΑΛΙΑΣ ΤΜΗΜΑ ΠΛΗΡΟΦΟΡΙΚΗ ΜΕ ΕΦΑΡΜΟΓΕΣ ΣΤΗ ΒΙΟΪΑΤΡΙΚΗ

ΑΠΟΤΕΛΕΣΜΑΤΙΚΟΣ ΣΧΕΔΙΑΣΜΟΣ ΚΑΙ ΕΦΑΡΜΟΓΗ ΠΡΟΤΥΠΩΝ

GLOBALGAP (EUREPGAP)

GDPR: Εχθρός (?) προ των πυλών. 18 Απριλίου 2018 Δημήτρης Στασινόπουλος IT Governance Deputy Director

Εισηγητής : Γαλατσάνος Χ.

Ο ΕΛΟΤ ΣΤΟΥΣ ΕΥΡΩΠΑΪΚΟΥΣ ΚΑΙ ΕΘΝΙΚΟΥΣ ΟΡΓΑΝΙΣΜΟΥΣ Ο Ελληνικός Οργανισμός Τυποποίησης (ΕΛΟΤ) είναι ορισμένος ως Εθνικός Οργανισμός Τυποποίησης στους Ορ

Cybersecurity 3. Risk Management 17 Risk Management - σύγχρονες μέθοδοι και εργαλεία 18

Κων/νος Λαμπρινουδάκης Αναπληρωτής Καθηγητής Τμήμα Ψηφιακών Συστημάτων Εργαστήριο Ασφάλειας Συστημάτων Πανεπιστήμιο Πειραιώς

Διοίκηση Οργανισμών και Πιστοποίηση Ποιότητας. Ελένη Αντωνιάδου, Μάγδα Τσολάκη

Συνάντηση Εργασίας. Αθήνα. Παρασκευή 6 Απριλίου, 2012

Σύστημα Ποιότητας (ΣΠ)

G D P R : C O M P L I A N C E & P H Y S I C A L S E C U R I T Y

ΟΜΑ Α ΕΡΓΑΣΙΑΣ H1 Ηλεκτρονικές Υπηρεσίες και Εφαρµογές. Προοπτικές. Εισηγητής: ρ. Νικήτας Νικητάκος

Εσωτερικές Επιθεωρήσεις

η PRIORITY από το 1995 ανάλυση και βελτίωση επιχειρησιακών διαδικασιών σύμφωνα με κανονιστικό πλαίσιο διεθνή πρότυπα και βέλτιστες πρακτικές

Πολιτική για την Ιδιωτικότητα και την Προστασία των Προσωπικών Δεδομένων

Διαχείριση Κρίσεων (Crisis Management) Επιμελητήριο Χανίων Μάρτιος 2013

Αθλητικών Εγκαταστάσεων. ιοίκηση Αθλητικών Εγκαταστάσεων. Ασφάλεια. Σύστηµα Ασφάλειας. Τι είναι έκτακτη ανάγκη; Περιστατικά Έκτακτης Ανάγκης

ΤΕΧΝΙΚΟ ΕΠΙΜΕΛΗΤΗΡΙΟ ΕΛΛΑΔΑΣ

Transcript:

Ασφάλεια πληροφοριακών συστημάτων στη Ναυτιλία ISO 27001 Εργασία στο μάθημα Ναυτιλιακή Πληροφορική (ΜΠ16 - INFS155) Γάκης Βασίλειος (ΑΕΜ 00246) Μυριδάκης Ηλίας (ΑΕΜ 00195) Επιβλέπων Ιωάννης Φιλιππόπουλος

Η ΠΛΗΡΟΦΟΡΙΚΗ ΣΤΗ ΝΑΥΤΙΛΙΑ ΚΑΙ Η ΑΝΑΓΚΑΙΟΤΗΤΑ ΤΗΣ ΑΣΦΑΛΕΙΑΣ ΟΡΙΣΜΟΙ ΝΑΥΤΙΛΙΑ (Τεχνική Οικονομική έννοια) ΝΑΥΤΙΛΙΑΚΗ ΕΠΙΧΕΙΡΗΣΗ (Δομή Περιβάλλον λειτουργίας) 2

ΠΛΗΡΟΦΟΡΙΑΚΑ ΣΥΣΤΗΜΑΤΑ (Information Systems - IS) Τα Συστατικά Μέρη Ενός Πληροφοριακού Συστήματος Οι Άνθρωποι (People) Οι Διαδικασίες (Procedures) Τα Δεδομένα (Data) Το Λογισμικό (Software) Ο Υλικός Εξοπλισμός (Hardware) Το Δίκτυο Επικοινωνιών (Network of Communications) 3

ΠΛΗΡΟΦΟΡΙΑΚΑ ΣΥΣΤΗΜΑΤΑ ΣΤΗ ΝΑΥΤΙΛΙΑ Πληροφοριακό Σύστημα σε μια ναυτιλιακή Δυσκολίες στην υιοθέτηση νέων τεχνολογιών Οι σύγχρονες ανάγκες των Ναυτιλιακών Εταιρειών Πλεονεκτήματα και προοπτικές υιοθέτησης σύγχρονων πληροφοριακών συστημάτων 4

ΠΛΗΡΟΦΟΡΙΑΚΑ ΣΥΣΤΗΜΑΤΑ ΣΤΗ ΝΑΥΤΙΛΙΑ Πλεονεκτήματα και προοπτικές υιοθέτησης σύγχρονων πληροφοριακών συστημάτων Μειώνουν το κόστος λειτουργίας τους Απλοποιούν και αυτοματοποιούν τις διαδικασίες τους Βελτιώνουν σημαντικά την ποιότητα των υπηρεσιών που παρέχουν Αυξάνουν την ασφάλεια της ναυσιπλοΐας 5

ΑΝΑΛΥΣΗ ΚΙΝΔΥΝΩΝ ΣΤΑ ΠΛΗΡΟΦΟΡΙΑΚΑ ΣΥΣΤΗΜΑΤΑ Τα Είδη των Κινδύνων Ως προς την προέλευσή τους Ως προς τη φύση τους Οι Κατηγορίες των Κινδύνων Οι Φυσικές Απειλές (Natural Threats) Οι Ανθρώπινες Απειλές (Human Threats) Οι Κίνδυνοι Τεχνολογίας (Dangers of Technology) Οι Επιχειρησιακοί Κίνδυνοι (Dangers Operational) 6

ΑΣΦΑΛΕΙΑ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ ΣΤΗ ΝΑΥΤΙΛΙΑ Αναγκαιότητα της ασφάλειας Ασφαλή πλεύση ενός πλοίου o Κυβερνοαπειλή o Πειρατεία Κόστος από άμεσες οικονομικές απώλειες 7

ΣΧΕΔΙΑΣΜΟΣ ΣΥΣΤΗΜΑΤΟΣ ΑΣΦΑΛΕΙΑΣ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ ΣΤΗ ΝΑΥΤΙΛΙΑ Είδη απειλής στην ασφάλεια του Π.Σ. Διακοπή (interruption) Παρεμπόδιση (interception) Τροποποίηση (modification ΜΕΘΟΔΟΙ ΑΣΦΑΛΕΙΑΣ Πλαστοποίηση (fabricate) 8

ΣΧΕΔΙΑΣΜΟΣ ΣΥΣΤΗΜΑΤΟΣ ΑΣΦΑΛΕΙΑΣ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ ΣΤΗ ΝΑΥΤΙΛΙΑ ΜΕΘΟΔΟΛΟΓΙΑ ΥΛΟΠΟΙΗΣΗΣ Φάση 1η «Καταγραφή υφιστάμενης κατάστασης» Δεδομένα (Data assets) Υπηρεσίες (End User Services) Υλικά Στοιχεία Τοποθεσίες Λογισμικό (software) 9

ΣΧΕΔΙΑΣΜΟΣ ΣΥΣΤΗΜΑΤΟΣ ΑΣΦΑΛΕΙΑΣ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ ΣΤΗ ΝΑΥΤΙΛΙΑ ΜΕΘΟΔΟΛΟΓΙΑ ΥΛΟΠΟΙΗΣΗΣ Φάση 2η «Ανάλυση επικινδυνότητας» Η αναγνώριση των απειλών Η αναγνώριση των επιμέρους ευπαθειών Η αναγνώριση των πιθανών κατηγοριών απωλειών Η εκτίμηση της πιθανότητας να συμβεί μια απώλεια 10

ΣΧΕΔΙΑΣΜΟΣ ΣΥΣΤΗΜΑΤΟΣ ΑΣΦΑΛΕΙΑΣ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ ΣΤΗ ΝΑΥΤΙΛΙΑ ΜΕΘΟΔΟΛΟΓΙΑ ΥΛΟΠΟΙΗΣΗΣ Φάση 3η «Πολιτική Ασφαλείας» Χαρακτηριστικά της πολιτικής ασφαλείας Αποτελείται από τμήματα Να είναι απόλυτα σαφής Δεν πρέπει να τροποποιείται συχνά Σχέδιο ασφάλειας 11

ΣΧΕΔΙΑΣΜΟΣ ΣΥΣΤΗΜΑΤΟΣ ΑΣΦΑΛΕΙΑΣ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ ΣΤΗ ΝΑΥΤΙΛΙΑ Φάση 4η «Καθορισμός Μέτρων Ασφαλείας» Μέτρα Ασφαλείας Οργανωτικά μέτρα ασφαλείας Τεχνικά μέτρα ασφαλείας Μέτρα φυσικής ασφαλείας ΜΕΘΟΔΟΛΟΓΙΑ ΥΛΟΠΟΙΗΣΗΣ Πλάνο υλοποίησης των μέτρων ασφαλείας 12

ΣΧΕΔΙΑΣΜΟΣ ΣΥΣΤΗΜΑΤΟΣ ΑΣΦΑΛΕΙΑΣ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ ΣΤΗ ΝΑΥΤΙΛΙΑ ΜΕΘΟΔΟΛΟΓΙΑ ΥΛΟΠΟΙΗΣΗΣ Φάση 5η «Σχέδιο έκτακτης ανάγκης» Περιπτώσεις δυσλειτουργίας Περιπτώσεις ολικής καταστροφής 13

ΣΧΕΔΙΑΣΜΟΣ ΣΥΣΤΗΜΑΤΟΣ ΑΣΦΑΛΕΙΑΣ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ ΣΤΗ ΝΑΥΤΙΛΙΑ ΣΧΕΔΙΟ ΑΝΑΚΑΜΨΗΣ ΑΠΟ ΚΑΤΑΣΤΡΟΦΕΣ Ελαχιστοποίηση διακοπών της κανονικής λειτουργίας Περιορισμός της έκτασης των ζημιών και καταστροφών Δυνατότητα ομαλής υποβάθμισης Εγκατάσταση εναλλακτικών μέσων λειτουργίας εκ των προτέρων Εκπαίδευση, εξάσκηση και εξοικείωση του ανθρώπινου δυναμικού με διαδικασίες έκτακτης ανάγκης Δυνατότητα ταχείας και ομαλής αποκατάστασης της λειτουργίας Ελαχιστοποίηση των οικονομικών επιπτώσεων 14

ΚΥΡΙΟΤΕΡΑ ΠΡΟΤΥΠΑ ΠΟΛΙΤΙΚΩΝ ΑΣΦΑΛΕΙΑΣ 15

ΚΥΡΙΟΤΕΡΑ ΠΡΟΤΥΠΑ ΠΟΛΙΤΙΚΩΝ ΑΣΦΑΛΕΙΑΣ ISO/IEC 27001 Πρότυπο Διαχείρισης Ασφάλειας Πληροφοριακών Συστημάτων Οκτώβριος 2005 International Organization for Standardization IT Infrastructure Library (ITIL) - Συλλογή από βιβλία, οπού το καθένα καλύπτει μια συγκεκριμένη πρακτική διαχείρισης του IT (CCTA GB) (1989) CORBIT - Σύνολο βέλτιστων πρακτικών (πλαίσιο) για την τεχνολογία της διαχείρισης των πληροφοριών ISACA και IT Governance Institute (ITGI) (1996) ISM3 (Information Security Management Maturity) - Πλαίσιο για την Διαχείριση Ασφάλειας Πληροφοριακών Συστημάτων. (μέσα δεκαετίας 90) 16

Ασφάλεια πληροφοριών Τρίγωνο C-I-A (C-I-A triad) Εμπιστευτικότητα Διαθεσιμότητα Ακεραιότητα.. 17

Ασφάλεια πληροφοριών PDCA Σχεδιασμός Εφαρμογή Έλεγχος Ενέργειες.. 18

Ασφάλεια πληροφοριών Η πιστοποίηση του ISO/IEC 27001 περιέχει διεργασίες τριών επιπέδων Επίπεδο 1 Είναι το προπαρασκευαστικό στάδιο οπού γίνεται μια ανασκόπηση του υπάρχοντος συστήματος ασφάλειας πληροφοριών. Επίπεδο 2 Στο επίπεδο 2 γίνεται μια ποιο λεπτομερής και επίσημη παρακολούθηση και έλεγχος των συστημάτων ασφάλειας πληροφοριακών συστημάτων. Επίπεδο 3 Σε αυτό το επίπεδο εμπεριέχονται συνεχόμενες εκθέσεις και έλεγχοι για την επιβεβαίωση ότι ο οργανισμός συνεχίζει να είναι εναρμονισμένος με το πρότυπο. 19

Εξέλιξη του προτύπου ISO (International Organization for Standardization/Διεθνής Οργανισμός Τυποποίησης) IEC (International Electrotechnical Commission/Διεθνής Ηλεκτροτεχνική Επιτροπή) 20

Εφαρμογή σε Ναυτιλιακή Εταιρία / Οργανισμό Γενικές Απαιτήσεις Απαιτήσεις Τεκμηρίωσης Ευθύνη της Διοίκησης Εσωτερικές Επιθεωρήσεις του ISMS Ανασκόπηση του ISMS από τη Διοίκηση Βελτίωση του ISMS * ISMS (Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών) 21

Εφαρμογή σε Ναυτιλιακή Εταιρία / Οργανισμό Γενικές Απαιτήσεις Καθιέρωση του ISMS Risk Assessment (Εκτίμηση κινδύνων) Potential risk treatment (Πιθανή «θεραπεία» κινδύνων) Create risk management plan (Σχέδιο διαχείρισης κινδύνων) Εφαρμογή και λειτουργία του ISMS Παρακολούθηση και επανεξέταση του ISMS Συντήρηση και βελτίωση ISMS 22

Εφαρμογή σε Ναυτιλιακή Εταιρία / Οργανισμό Γενικές Απαιτήσεις / Καθιέρωση του ISMS Risk Assessment (Εκτίμηση κινδύνων) Κάθε ενδεχόμενος κίνδυνος διαβαθμίζεται Σοβαρότητα 1 2 3. Κινδύνου Απίθανο Πιθανό Συχνό 3 Επανεξεταστέος Μη-αποδεκτός Μη-αποδεκτός 2 Επανεξεταστέος Επανεξεταστέος Μη-αποδεκτός 1 Αποδεκτός Αποδεκτός Επανεξεταστέος 23

Εφαρμογή σε Ναυτιλιακή Εταιρία / Οργανισμό Γενικές Απαιτήσεις / Καθιέρωση του ISMS Potential risk treatment (Πιθανή «θεραπεία» κινδύνων) Να προσδιορίσει και να αξιολογήσει τις εναλλακτικές επιλογές για την αντιμετώπιση των κινδύνων. 24

Εφαρμογή σε Ναυτιλιακή Εταιρία / Οργανισμό Γενικές Απαιτήσεις / Καθιέρωση του ISMS Πιθανές ενέργειες περιλαμβάνουν: Εφαρμογή κατάλληλων ελέγχων (Μείωση κινδύνου). Εν γνώσει του ο οργανισμός και αντικειμενικά να αποδεχτεί τους κινδύνους, με την προϋπόθεση ότι ο οργανισμός πληροί σαφώς τις πολιτικές και τα κριτήρια για την ανάληψη κινδύνων (Αποδοχή). Αποφυγή των κινδύνων (Αποφυγή). Μεταφορά των κινδύνων που συνδέονται με την επιχείρηση σε άλλα μέρη (π.χ. ασφαλιστές, προμηθευτές) (Μεταβίβαση). 25

Εφαρμογή σε Ναυτιλιακή Εταιρία / Οργανισμό Γενικές Απαιτήσεις / Καθιέρωση του ISMS Create risk management plan (Σχέδιο διαχείρισης κινδύνων) Να επιλέξει στόχους ελέγχων και τους ελέγχους για την αντιμετώπιση των κινδύνων. Να λάβει την έγκριση της διοίκησης όσον αφορά τους προτεινόμενους εναπομένοντες κινδύνους. Να λάβει την άδεια της διοίκησης για την υλοποίηση και τη λειτουργία του ISMS. Να συντάξει μια Δήλωση Εφαρμοσιμότητας. 26

Εφαρμογή σε Ναυτιλιακή Εταιρία / Οργανισμό Απαιτήσεις Τεκμηρίωσης (1/2) Τεκμηριωμένες δηλώσεις της πολιτικής και των στόχων του ISMS. Το πεδίο εφαρμογής του ISMS. Τις διαδικασίες και τους ελέγχους για την υποστήριξη του ISMS. Περιγραφή της μεθοδολογίας αξιολόγησης κινδύνου. Την έκθεση αξιολόγησης των κινδύνων. Το σχέδιο «θεράπευσης» κινδύνου. 27

Εφαρμογή σε Ναυτιλιακή Εταιρία / Οργανισμό Απαιτήσεις Τεκμηρίωσης (2/2) Τις τεκμηριωμένες διαδικασίες που απαιτούνται από τον οργανισμό προκειμένου να διασφαλίζει τον αποτελεσματικό σχεδιασμό, λειτουργία και έλεγχο των διαδικασιών του για την ασφάλεια των πληροφοριών και να περιγράψει τον τρόπο μέτρησης της αποτελεσματικότητας των ελέγχων. Τα αρχεία που απαιτούνται από το προκείμενο Διεθνές Πρότυπο Τη Δήλωση Εφαρμοσιμότητας 28

Εφαρμογή σε Ναυτιλιακή Εταιρία / Οργανισμό Ευθύνη της Διοίκησης Δέσμευση Διοίκησης Παροχή των πόρων 29

Εφαρμογή σε Ναυτιλιακή Εταιρία / Οργανισμό Εσωτερικές Επιθεωρήσεις του ISMS Ο οργανισμός πρέπει να διενεργεί εσωτερικούς ελέγχους στο ISMS σε προγραμματισμένα διαστήματα για να αποφασίζει εάν οι στόχοι των ελέγχων, οι έλεγχοι, οι διεργασίες και οι διαδικασίες του ISMS: Συμμορφώνονται με τις απαιτήσεις του παρόντος διεθνούς προτύπου και τη σχετική νομοθεσία ή κανονισμούς Συμμορφώνονται με τις προσδιορισμένες απαιτήσεις ασφάλειας των πληροφοριών Εφαρμόζονται αποτελεσματικά και να διατηρούνται Εκτελούνται όπως αναμένεται 30

Εφαρμογή σε Ναυτιλιακή Εταιρία / Οργανισμό Ανασκόπηση του ISMS από τη Διοίκηση Εφαρμογή Απαιτήσεων Εισερχόμενα Ανασκοπήσεων Εξερχόμενα Ανασκοπήσεων 31

Εφαρμογή σε Ναυτιλιακή Εταιρία / Οργανισμό Βελτίωση του ISMS Συνεχής βελτίωση Διορθωτικές Ενέργειες Προληπτικές ενέργειες 32

Εφαρμογή σε Ναυτιλιακή Εταιρία / Οργανισμό Παραδείγματα Εφαρμογής Κίνδυνος : Εξάντληση χρόνου ζωής εξοπλισμού Στόχος ελέγχου : Να αποτρέψει τη διακοπή των δραστηριοτήτων του οργανισμού εξαιτίας φθοράς του εξοπλισμού λόγω χρόνου Έλεγχος : A.11.2.4 Equipment maintenance -Έλεγχος εφαρμογής προληπτικής συντήρησης βάσει του «Προγράμματος ελέγχου & προληπτικής συντήρησης» -Έλεγχος ύπαρξης ρήτρας στη σύμβαση για αποζημίωση σε περίπτωση βλάβης με υπαιτιότητα του κατασκευαστή 33

Εφαρμογή σε Ναυτιλιακή Εταιρία / Οργανισμό Παραδείγματα Εφαρμογής Αιτιολόγηση : Ο έλεγχος αυτός επιλέχθηκε διότι ο εξοπλισμός πρέπει να συντηρείται σωστά ώστε να εξασφαλιστεί η συνέχιση της διαθεσιμότητας και της ακεραιότητας του.. 34

Εφαρμογή σε Ναυτιλιακή Εταιρία / Οργανισμό Παραδείγματα Εφαρμογής Κίνδυνος : Φυσικές & εξωτερικές απειλές (σεισμός, πλημμύρα, πυρκαγιά, τρομοκρατική ενέργεια). Στόχος ελέγχου : Να αποτρέψει μη εξουσιοδοτημένη πρόσβαση ή ανεπανόρθωτη ζημιά στις κρίσιμες ναυτιλιακές πληροφορίες του οργανισμού. Έλεγχος : A.11.1.4 Protecting against external and environmental threats -Έλεγχος ύπαρξης πυροσβεστήρων & ανιχνευτών καπνού -Έλεγχος ύπαρξης μιας παρόμοιας εγκατάστασης (server) σε άλλη περιοχή, η οποία να επικοινωνεί με την κεντρική εγκατάσταση (server) και να διαθέτει κατοπτρικά αρχεία -Έλεγχος ύπαρξης ασφάλισης σε περίπτωση πυρκαγιάς, πλημμύρας κλπ 35

Εφαρμογή σε Ναυτιλιακή Εταιρία / Οργανισμό Παραδείγματα Εφαρμογής Αιτιολόγηση : Ο έλεγχος αυτός επιλέχθηκε διότι οι κρίσιμες ναυτιλιακές πληροφορίες πρέπει να προστατεύονται από καταστροφές λόγω πυρκαγιάς, πλημμύρας, σεισμού, έκρηξης και άλλων μορφών φυσικών ή προκαλούμενων από τον άνθρωπο καταστροφών.. 36

Εφαρμογή σε Ναυτιλιακή Εταιρία / Οργανισμό Παραδείγματα Εφαρμογής Κίνδυνος : Μη συγχρονισμός ρολογιών συστήματος Στόχος ελέγχου : Να διασφαλιστεί η αξιοπιστία των κρίσιμων ναυτιλιακών πληροφοριών Έλεγχος : A.12.4.4 Clock synchronization -Έλεγχος ότι όλοι οι διαφορετικοί Η/Υ των εμπλεκόμενων μονάδων έχουν τον ίδιο χρόνο 37

Εφαρμογή σε Ναυτιλιακή Εταιρία / Οργανισμό Παραδείγματα Εφαρμογής Αιτιολόγηση : Ο έλεγχος αυτός επιλέχθηκε διότι τα ρολόγια όλων των εμπλεκόμενων μονάδων του οργανισμού στο «Σύστημα διαχείρισης ασφάλειας πληροφοριών» πρέπει να είναι συγχρονισμένα βάσει ενός συμφωνημένου ακριβή χρόνου.. 38

Ασφάλεια πληροφοριακών συστημάτων στη Ναυτιλία ISO 27001 ΑΝΑΚΕΦΑΛΑΙΩΣΗ Το ISO/IEC 27001 είναι το μόνο διεθνές πρότυπο που μπορεί να επιθεωρηθεί και το οποίο καθορίζει τις απαιτήσεις για ένα Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών (ΣΔΑΠ-ISMS). Το πρότυπο είναι σχεδιασμένο έτσι ώστε να διασφαλίζει την επιλογή επαρκών και ισορροπημένων ελέγχων ασφάλειας. Αυτή η επιλογή βοηθά τον ναυτιλιακό οργανισμό/εταιρία να προστατεύσει τα περιουσιακά του στοιχεία πληροφοριών και να τον εμπιστεύονται τα ενδιαφερόμενα μέρη και ιδιαίτερα οι πελάτες του. 39

Ασφάλεια πληροφοριακών συστημάτων στη Ναυτιλία ISO 27001 Ευχαριστούμε! Γάκης Βασίλειος (ΑΕΜ 00246) Μυριδάκης Ηλίας (ΑΕΜ 00195) Επιβλέπων Ιωάννης Φιλιππόπουλος 40

2025 © DocPlayer.gr Πολιτική Απορρήτου | Όροι Χρήσης | Σχόλια