Παρουσίαση της μεθοδολογίας Octave



Σχετικά έγγραφα
Ανάλυση, Αποτίμηση και Διαχείριση Επικινδυνότητας Π.Σ.

Ασφάλεια πληροφοριακών συστημάτων στη Ναυτιλία ISO 27001

Διαχείριση Κινδύνου στην Ασφάλεια Πληροφοριακών Συστημάτων ΔΙΠΛΩΜΑΤΙΚΗ ΕΡΓΑΣΙΑ

ISMS κατά ISO Δεκέμβριος 2016

Ζητήματα Ασφάλειας στο σχεδιασμό Επιχειρησιακής Συνέχειας. Τσώχου Αγγελική

ΕΛΕΓΧΟΣ ΠΡΟΓΡΑΜΜΑΤΟΣ ΕΠΙΧΕΙΡΗΣΙΑΚΗΣ ΣΥΝΕΧΕΙΑΣ (Auditing Business Continuity Plan & Disaster Recovery Plan)

RISK BASED INTERNAL AUDIT ΚΑΙ ΝΕΟ ΠΛΑΙΣΙΟ ΕΠΟΠΤΕΙΑΣ ΑΠΟ ΤΗΝ ΤΡΑΠΕΖΑ ΕΛΛΑΔΟΣ (ΠΔΤΕ 2577/2006)

ΑΣΦΑΛΕΙΑ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΚΑΙ ΤΗΛΕΠΙΚΟΙΝΩΝΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ

η PRIORITY από το 1995 ανάλυση και βελτίωση επιχειρησιακών διαδικασιών σύμφωνα με κανονιστικό πλαίσιο διεθνή πρότυπα και βέλτιστες πρακτικές

ΕΛΕΓΧΟΣ ΕΓΓΡΑΦΟΥ ΙΣΤΟΡΙΚΟ ΕΚΔΟΣΕΩΝ

National Critical Telecommunication Infrastructure Protection: Towards an Holistic Strategy. PanosKotzanikolaou June 2016

ΣΧΕ ΙΟ ΑΣΦΑΛΕΙΑΣ ΚΑΙ ΣΧΕ ΙΟ ΕΚΤΑΚΤΗΣ ΑΝΑΓΚΗΣ

Νέα πρότυπα & Αειφορία

(Εννοιολογική θεμελίωση)

ΠΙΣΤΟΠΟΙΗΣΕΙΣ ΣΤΗΝ ΕΦΟΔΙΑΣΤΙΚΗ ΑΛΥΣΙΔΑ. Λευτέρης Βασιλειάδης Business Sector Manager Planning

STORM-RM: A Collaborative Risk Management Methodology. T. Ntouskas, D. Gritzalis

«Επαγγελματικοί Κίνδυνοι στις Τηλεπικοινωνίες: Λαμβάνοντας υπόψη τη φωνή των εργαζομένων»

Ανάλυση, Αποτίμηση και Διαχείριση Επικινδυνότητας ΠΣ

GDPR : Περιστατικά Παραβίασης Προσωπικών Δεδομένων 8 μήνες μετά

Η παροχή εξειδικευμένων εξωτερικών υπηρεσιών διαχείρισης των απειλών ενάντια στα πληροφοριακά συστήματα του ΟΒΙ.

GDPR: Εχθρός (?) προ των πυλών. 18 Απριλίου 2018 Δημήτρης Στασινόπουλος IT Governance Deputy Director

ΠΡΟΤΥΠΟ ΣΥΝΤΟΝΙΣΤΙΚΟ ΚΕΝΤΡΟ (ΣΚ) ΠΡΟΣΤΑΣΙΑΣ ΚΑΙ ΑΣΦΑΛΕΙΑΣ ΚΡΙΣΙΜΩΝ ΥΠΟΔΟΜΩΝ

Critical Infrastructures: The Nervous System of every Welfare State. G. Stergiopoulos, D. Gritzalis

GDPR: Η αντίστροφη μέτρηση έχει αρχίσει! Δ. Στασινόπουλος, MBA Manager IT Governance

Κεφάλαιο 3 ΛΟΓΙΣΤΙΚΑ ΠΛΗΡΟΦΟΡΙΑΚΑ ΣΥΣΤΗΜΑΤΑ

Πολιτικές Ασφάλειας Πληροφοριακών Συστημάτων. Σωκράτης Κ. Κάτσικας Τμήμα Μηχ/κών Πληροφοριακών & Επικοινωνιακών Συστημάτων Πανεπιστήμιο Αιγαίου

διοίκηση υπηρεσιών και διαδικασιών : μοντέλα CMM

Σχεδιάζοντας ένα σύγχρονο πρόγραµµα εκπαίδευσης στελεχών µικροµεσαίων επιχειρήσεων σε θέµατα ασφάλειας

DPO ΓΕΝΙΚΑ. Μια από τις αρχές του GDPR είναι Α. Η λογοδοσία Β. Η ακεραιότητα των δεδομένων Γ. Όλα τα παραπάνω

ΝΕΟ ΠΡΟΓΡΑΜΜΑ ΣΠΟΥΔΩΝ, ΤΜΗΜΑ ΔΙΟΙΚΗΣΗΣ ΕΠΙΧΕΙΡΗΣΕΩΝ, ΣΧΟΛΗ ΔΙΟΙΚΗΣΗΣ ΚΑΙ ΟΙΚΟΝΟΜΙΑΣ, ΤΕΙ ΙΟΝΙΩΝ ΝΗΣΩΝ ΕΙΣΑΓΩΓΙΚΗ ΚΑΤΕΥΘΥΝΣΗ ΔΙΟΙΚΗΣΗ ΕΠΙΧΕΙΡΗΣΕΩΝ

ΕταιρικήΠαρουσίαση ΠΟΛΙΤΙΚΕΣ ΚΑΙ ΔΙΑΔΙΚΑΣΙΕΣ ΔΙΑΧΕΙΡΙΣΗΣ ΑΣΦΑΛΕΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΜΑΪΟΣ 2018

Κεφάλαιο 11. Διαχείριση Ασφάλειας

Μάθημα: Συστήματα Υποστήριξης Αποφάσεων

Πανεπιστήμιο Πειραιώς Τμήμα Πληροφορικής

Ηλεκτρονική Διακυβέρνηση

Selecting Essential IT Security Projects. Dimitris Gritzalis

Συνεργασία PRIORITY & INTERAMERICAN:

ISO ORGANIZATIONAL RESILIENCE Η Oργανωσιακή Ανθεκτικότητα βήμα-βήμα με βάση το πρότυπο ΙSO 22316

- Ο Γενικός Κανονισμός για την Προστασία Δεδομένων τίθεται σε εφαρμογή το Μάιο του 2018 σε όλα τα κράτη μέλη της Ευρωπαϊκής Ένωσης.

Ερευνητικό Κέντρο Ευφυών Συστημάτων και Δικτύων Κοίος

ΤΕΧΝΟΛΟΓΙΕΣ & ΑΣΦΑΛΕΙΑ ΠΛΗΡΟΦΟΡΙΩΝ ΙΩΑΝΝΗ Δ. ΙΓΓΛΕΖΑΚΗ

Η Ασφάλεια Πληροφοριών στο χώρο της Εκκαθάρισης των Χρηµατιστηριακών Συναλλαγών

Εκτίμηση κινδύνου και μέτρα ασφαλείας για την προστασία προσωπικών δεδομένων

1.1. Πολιτική Ασφάλειας Πληροφοριών

Spam over Internet Telephony (SPIT): An emerging threat. Dimitris Gritzalis

Συντάχθηκε απο τον/την Σεραφείμ Τουρλίδας Τρίτη, 19 Οκτώβριος :35 - Τελευταία Ενημέρωση Πέμπτη, 22 Μάρτιος :30

Ασφάλιση Σύγχρονων Επιχειρηματικών Κινδύνων GDPR & Cyber Risks

ΠΟΛΙΤΙΚΗ ΑΣΦΑΛΕΙΑΣ ΠΛΗΡΟΦΟΡΙΩΝ

þÿ ɺÁ Ä ÅÂ, ±»Î¼ Neapolis University þÿ Á̳Á±¼¼± ¼Ìù±Â ¹ º à Â, Ç» Ÿ¹º ½ ¼¹ºÎ½ À¹ÃÄ ¼Î½ º±¹ ¹ º à  þÿ ±½µÀ¹ÃÄ ¼¹ µ À»¹Â Æ Å

2 nd AEGIS Technical Meeting and On-Site Visit in Mytilene, Greece

ΠΡΟΣΚΛΗΣΗ ΕΝΔΙΑΦΕΡΟΝΤΟΣ KAI ΚΑΤΑΘΕΣΗΣ ΠΡΟΣΦΟΡΩΝ ΓΙΑ ΤΗΝ ΑΝΑΘΕΣΗ ΤΟΥ ΕΡΓΟΥ:

Critical Infrastructure Protection: A Roadmap for Greece D. Gritzalis

Δεκέμβρης Δημήτρης Γκρίτζαλης. Σειρά Τεχνικών Αναφορών No. 2 (2006) Κωδικός αναφοράς: AUEB-CIS/MET-0206/v.2.5/

ΕΙΝΑΙ Η ΕΠΙΧΕΙΡΗΣΗ ΜΟΥ ΑΣΦΑΛΗΣ; CHECKLIST

Πανεπιστήμιο Πειραιώς

Protecting Critical ICT Infrastructures

ΔΙΕΘΝΕΣ ΠΑΝΕΠΙΣΤΗΜΙΟ ΕΛΛΑΔΟΣ Σχολή Επιστημών Τεχνολογίας. Δρ. Κοντόπουλος Ευστράτιος Ακαδημαϊκός Βοηθός Σχολή Επιστημών Τεχνολογίας

To CSAP Πρόγραμμα, Certified

ΔΗΜΟΤΙΚΕΣ ΕΚΛΟΓΕΣ 18/5/2014 ΑΚΥΡΑ

Ασφάλεια Δεδομένων στην Κοινωνία της Πληροφορίας. Εισαγωγικά θέματα και Εννοιολογική θεμελίωση κατά ISO 27000:2009

Security in the Cloud Era

SPIT: Still another emerging Internet threat

ΠΑΡΑΡΤΗΜΑ. στον. Κατ εξουσιοδότηση κανονισμό της Επιτροπής

Διαχείριση Ρίσκου σε Επιχειρήσεις ISO 31000:2009

Ασφάλειας στην Πληροφορική και τις Επικοινωνίες

ΠΛΗΡΟΦΟΡΙΑΚΑ ΣΥΣΤΗΜΑΤΑ ΔΙΟΙΚΗΣΗΣ MANAGEMENT INFORMATION SYSTEMS (M.I.S.)

DISCUSS. Dr. Randolph Preisinger-Kleine

ΠΑΝΕΠΙΣΤΗΜΙΟ ΘΕΣΣΑΛΙΑΣ ΤΜΗΜΑ ΠΛΗΡΟΦΟΡΙΚΗ ΜΕ ΕΦΑΡΜΟΓΕΣ ΣΤΗ ΒΙΟΪΑΤΡΙΚΗ

RISK BASED INTERNAL AUDIT

Orthology Ltd Όλα γίνονται πιο εύκολα με τα κατάλληλα εργαλεία. Εταιρική Παρουσίαση

Η εταιρία µας στελεχώνεται από: Μηχανικούς Πληροφορικής. ιδάκτορες Πληροφορικής. Επιµελητές κειµένων και Marketing υλικού

Ανάλυση κινδύνου και Εκτίμηση Αντικτύπου

Infrastructure s Security Plan & Planning

ΠΟΛΙΤΙΚΕΣ ΚΑΙ ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ

Ηλεκτρονικό Εμπόριο. Ενότητα 9: Ασφάλεια Ηλεκτρονικού Εμπορίου Σαπρίκης Ευάγγελος Τμήμα Διοίκησης Επιχειρήσεων (Γρεβενά)

The Greek Data Protection Act: The IT Professional s Perspective

ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΥΓΕΙΑΣ ΕΙΔΙΚΟΣ ΛΟΓΑΡΙΑΣΜΟΣ ΚΟΝΔΥΛΙΩΝ ΕΡΕΥΝΑΣ Λ. Αλεξάνδρας 196, Αθήνα ΠΕΡΙΛΗΨΗ ΠΡΟΣΚΛΗΣΗΣ ΕΚΔΗΛΩΣΗΣ ΕΝΔΙΑΦΕΡΟΝΤΟΣ

ΗΜΕΡΙΔΑ 'ΕΠΑΓΓΕΛΜΑΤΙΚΕΣ ΠΡΟΟΠΤΙΚΕΣ ΑΠΟΦΟΙΤΩΝ ΤΜΗΜΑΤΟΣ ΓΕΩΤΕΧΝΟΛΟΓΙΑΣ & ΠΕΡΙΒΑΛΛΟΝΤΟΣ', 10 Δεκεμβρίου 2007, ΤΕΙ Δυτικής Μακεδονίας, Κοζάνη

Organizing the Protection of Critical ICT Infrastructures. Dimitris Gritzalis

ΕΙΣΑΓΩΓΗ ΕΝΟΣ ΣΥΣΤΗΜΑΤΟΣ ΠΟΙΟΤΗΤΑΣ ΣΤΗΝ ΑΝΑΠΤΥΞΗ ΛΟΓΙΣΜΙΚΟΥ

ΠΜΣ στη Διοίκηση Υπηρεσιών Υγείας

Προσεγγίσεις Ασφάλειας Πληροφοριακών Συστημάτων

Πρότυπα Πληροφοριακών Συστηµάτων Διοίκησησ

6/4/2015. Μηχανογραφημένη Λογιστική ΛΟΓΙΣΤΙΚΑ ΠΛΗΡΟΦΟΡΙΑΚΑ ΣΥΣΤΗΜΑΤΑ ΕΘΝΙΚΟ ΚΑΙ ΚΑΠΟΔΙΣΤΡΙΑΚΟ ΠΑΝΕΠΙΣΤΗΜΙΟ ΑΘΗΝΩΝ

Ποιότητα και Πρότυπα στη Διοίκηση Επιχειρήσεων Γενική Επισκόπηση Επισηµάνσεις Διάλεξη 9

GDPR και Τεχνικά Μέτρα Ασφάλειας Πληροφοριακών Συστημάτων

Ονοματεπώνυμο: Γιαμαλής Γεώργιος Σειρά: 12 Επιβλέπων Καθηγητής: κ. Καρδαράς Δημήτριος

Ανάλυση & Μοντελοποίηση Επιχειρηματικών Συστημάτων & ιαδικασιών

Πληροφορική. Μάθημα Κατεύθυνσης

ΠΡΟΓΡΑΜΜΑ ΑΓΡΟΤΙΚΗΣ ΑΝΑΠΤΥΞΗΣ ΠΛΑΝΟ ΑΞΙΟΛΟΓΗΣΗΣ. Πουρνάρα Σοφία, Μονάδα Α, ΕΥΔ ΠΑΑ

Ασφάλεια ικτύων και Ηλεκτρονικών Συναλλαγών

ΕΚτίµηση ΚΙνδύνου ΕΦαρµογή Της ΣΥστηµικής ΠΡοσέγγισης Στη ΔΙαχείριση ΚΙνδύνου ΠΟιότητας

Σχολή Οικονοµικών Επιστηµών & Διοίκησης/ Σχολή Πληροφορικής

Ασφάλεια Υπολογιστικών Συστημάτων

Agile Project Management σε έργα ανάλυσης απαιτήσεων πληροφοριακών συστημάτων. Φράντζιος Κωνσταντίνος

ΕΦΟΔΙΑΣΤΙΚΗ LOGISTICS

Βασικές Πληροφοριακές Υποδομές Δημοσίου. ΕΛΛΗΝΙΚΗ ΔΗΜΟΚΡΑΤΙΑ Υπουργείο Διοικητικής Μεταρρύθμισης και Ηλεκτρονικής Διακυβέρνησης

ΕΥΡΩΠΑΙΚΟ ΕΡΓΟ SARA «ΥΠΟΣΤΗΡΙΚΤΙΚΕΣ ΕΝΕΡΓΕΙΕΣ ΓΙΑ ΑΥΞΗΣΗ ΚΑΙΝΟΤΟΜΙΑΣ ΣΤΙΣ ΜΜΕ ΤΡΟΦΙΜΩΝ»

ΙΠΛΩΜΑΤΙΚΗ ΕΡΓΑΣΙΑ ιαχείριση ασφαλείας πληροφοριακού συστήµατος Γενικού Νοσοκοµείου µε ευαίσθητα προσωπικά δεδοµένα.

Transcript:

Operationally Critical Threat, Asset, and Vulnerability Evaluation Παρουσίαση της μεθοδολογίας Octave Συντάκτης: Παρασκευή Κωστάκη Σπύρος Κοκολάκης 1 Δομή παρουσίασης 2 1

Τι είναι η OCTAVE; Δομή: Μια περιεκτική, επαναληπτική μεθοδολογία για την αναγνώριση κινδύνων σε δικτυακά συνδεδεμένα συστήματα (networked systems ) μέσω εσωτερικής οργανωσιακής αποτίμησης (organizational self-assessment). Βοηθά τους οργανισμούς να εφαρμόσουν διαχείριση επικινδυνότητας (information security risk management) για να διασφαλίζουν την υπάρχουσα πληροφορική υποδομή τους (information infrastructure) και να προστατεύσουν τα κρίσιμα πληροφοριακά τους δεδομένα (critical information assets). 3.. Για να γεφυρώσει το οργανωσιακό κενό που υπάρχει ανάμεσα στη διοίκηση και το τεχνικό τμήμα ενός οργανισμού στο τι αφορά η ασφάλεια 4 2

.. Προστασία των συστημάτων και κάθε πληροφορίας από μη εξουσιοδοτημένη χρήση, αλλαγή, καταστροφή ή παρέμβαση Για την αποκάλυψη μη εξουσιοδοτημένων ενεργειών Για την δημιουργία σχεδίου ανάκαμψης και την επαναφορά των συστημάτων και δεδομένων Για την γνώση των νομικών ενεργειών σε κάθε περίσταση Για να τεθούν οι προτεραιότητες για την ανάγκη σε ασφάλεια Για την πραγματοποίηση αλλαγών λαμβάνοντας υπόψη τους περιορισμούς σε προϋπολογισμό και μέσα 5 Θεμελιώδης φιλοσοφία της Octave Δεν μπορεί να γίνει μετριασμός όλων των κινδύνων Αναγνωρίζεται ότι υπάρχει περιορισμένος προϋπολογισμός και μέσα Δεν είναι δυνατή η αποφυγή όλων των πιθανών εισβολών Θα πρέπει να γίνεται αναγνώριση, αντίδραση και επανάκτηση από κάθε συμβάν Στόχος η καλύτερη χρήση των περιορισμένων πόρων για την διασφάλιση της βιωσιμότητας Καθολική άποψη Εστίαση στα πιο κρίσιμα 6 3

Προσέγγιση της Octave 7 Μέθοδος OCTAVE Allegro Βασίζεται σε δύο παλιότερες εκδόσεις, την OCTAVE (για μεγάλου μεγέθους συστήματα) και την OCTAVE-S (για μικρού μεγέθους συστήματα). Η OCTAVE Allegro εφαρμόζεται, συνεργατικά, από μικρές ομάδες εργασίες. Υποστηρίζεται από οδηγούς ανάπτυξης της μεθοδολογίας (διαδικασίες (procedures), οδηγούς (guidance), φύλλα εργασίας (worksheets), καταλόγους πληροφοριών (information catalogs)) και εκπαίδευση 8 4

Σύσταση μελετητικής ομάδας Η μελετητική ομάδα αποτελείται από: Διοικητικά στελέχη του οργανισμού Εξειδικευμένο τεχνικό προσωπικό 9 Φάσεις της OCTAVE Allegro Η OCTAVE αποτελείται από 4 φάσεις (phases): Φάση 1η Φάση 2η Φάσης 3η Φάση 1: Προσδιορισμός κριτηρίων κρίσιμων παραγόντων επιτυχίας για τη διαχείριση της επικινδυνότητας σύμφωνα με τους οργανωσιακούς στόχους. Φάση 2: Δημιουργία προφίλ κάθε αγαθού (asset) και προσδιορισμός των απαιτήσεων ασφάλειας, καθώς και των φορέων του (asset containers) Φάση 3: Αναγνώριση απειλών για κάθε πληροφοριακό αγαθό. Φάση 4: Αναγνώριση και ανάλυση κινδύνων για κάθε πληροφοριακό αγαθό και ανάπτυξη μιας προσέγγισης απομείωσης της επικινδυνότητας 10 5

Προφίλ κινδύνων βασισμένων σε δεδομένα (assets) Φάση 1η Φάση 2η Φάσης 3η 11 Παράδειγμα Προϊόντα Παράδειγμα 12 6

Προϊόντα (Outputs) της OCTAVE Προϊόντα Παράδειγμα 13 Πηγές Introduction to the OCTAVE Approach, http://www.cert.org/octave OCTAVE -S (version 0.9) http://www.cert.org/octave/osig.html OCTAVE Method Implementation Guide Book: Managing Information Security Risks: The OCTAVE Approach. Addison-Wesley OCTAVE -S Implementation Guide, Version 1.0 Risk Management, Alberts, Christopher; Behrens, Sandra; Pethia, Richard; and Wilson, William. (OCTAVESM) Framework, Version 1.0 (CMU/SEI-99-TR-017, ADA 367718). Pittsburgh, PA: Software Engineering Institute, Carnegie Mellon University, 1999. Available online: <http://www.sei.cmu.edu/publications/documents/99.reports/99tr017/99tr017abstract.html>. Alberts, Christopher J. et al. "Health Information Risk Assessment and Management: Toolkit Section 4.5." CPRI Toolkit: Managing Information Security in Health Care, Version 2. Available online: <http://www.cpri-host.org/toolkit/4_5.html> (2000). Alberts, Christopher J. and Dorofee, Audrey J. OCTAVESM Method Implementation Guide, v2.0. Pittsburgh, PA: Software Engineering Institute, Carnegie Mellon University, 2001. Can be ordered online: <http://www.cert.org/octave/omig.html>. Alberts, Christopher and Dorofee, Audrey. Operationally Critical Threat, Asset, and Vulnerability Evaluation (OCTAVESM) Criteria (CMU/SEI-01-TR-016). Pittsburgh, PA: Software Engineering Institute, Carnegie Mellon University, 2001. Available online: <http://www.sei.cmu.edu/publications/documents/01.reports/01tr016/01tr016abstract.html> 14 7

2025 © DocPlayer.gr Πολιτική Απορρήτου | Όροι Χρήσης | Σχόλια