SlideShare ist ein Scribd-Unternehmen logo

τεχνολογιες & ασφαλεια πληροφοριων

Als PPTX, PDF herunterladen
ioannis iglezakis
ioannis iglezakis

Διαχείριση Ασφάλειας

Recht
1 von 28
ΤΕΧΝΟΛΟΓΙΕΣ & ΑΣΦΑΛΕΙΑ ΠΛΗΡΟΦΟΡΙΩΝ ΙΩΑΝΝΗ Δ. ΙΓΓΛΕΖΑΚΗ
Εισαγωγή • Το πρόβλημα της διαχείρισης της ασφάλειας πληροφοριών αποτελεί ένα ιδιαίτερα σημαντικό ζήτημα για τα σύγχρονα πληροφοριακά συστήματα, καθώς επηρεάζει σε παγκόσμια κλίμακα το ηλεκτρονικό επιχειρείν και την ανάπτυξη εθνικών και διεθνών κρίσιμων υποδομών. • Η αξιοποίηση όλο και πιο προηγμένων τεχνολογιών, όπως για παράδειγμα οι σύγχρονες βάσεις δεδομένων, τα δίκτυα και το Διαδίκτυο, προσφέρει σημαντικές δυνατότητες, αλλά αυξάνει ανάλογα και τα προβλήματα που αφορούν την προστασία της εμπιστευτικότητας, της ακεραιότητας και της διαθεσιμότητας των πληροφοριών.
Πληροφοριακό σύστημα: Έννοια • Το οργανωμένο σύνολο από ανθρώπους, λογισμικό, υλικό, διαδικασίες, εγκαταστάσεις και δεδομένα. • Τα στοιχεία αυτά βρίσκονται σε μια συνεχή αλληλεπίδραση μεταξύ τους, αλλά και με το περιβάλλον, με σκοπό την παραγωγή και διαχείριση της πληροφορίας
Σημασία της ασφάλειας πληροφοριών • Οι σύγχρονοι οργανισμοί εξαρτώνται από πληροφοριακά αγαθά σε ότι αφορά την αποτελεσματικότητα και τη κερδοφορία των λειτουργιών τους και για αυτό χρειάζεται να προστατεύουν αυτά τα αγαθά. • Η διασφάλιση (assurance) της εμπιστευτικότητας, της ακεραιότητας και της διαθεσιμότητας των πληροφοριών είναι σημαντική, ανεξάρτητα του κατά πόσον οι πληροφορίες αποτελούν αντικείμενο επεξεργασίας και διαχείρισης ή ανταλλάσσονται μεταξύ των συνεργαζόμενων οργανισμών.
Ασφάλεια Πληροφοριών
Συστήματα Διαχείρισης Ασφάλειας Πληροφοριών • Ο σχεδιασμός της ασφάλειας πληροφοριών ενός οργανισμού είναι μια επιχειρησιακή διεργασία, η οποία αποσκοπεί στο να παρέχονται τα κατάλληλα εργαλεία λήψης αποφάσεων, προκειμένου να μπορεί η διοίκηση να ασκήσει αποτελεσματικά το ρόλο της. Η ασφάλεια πληροφοριών δεν είναι ένα αμιγώς τεχνικό θέμα, αλλά συμπεριλαμβάνει ζητήματα και παραμέτρους από διάφορους χώρους (οικονομία, διοίκηση, κοινωνία κ.λπ.). • Παράγοντες: • Αποδεκτό επίπεδο ασφάλειας. • Λειτουργικότητα του Πληροφοριακού Συστήματος που διαθέτει. • Κόστος που επιθυμεί να επωμισθεί ο οργανισμος.
Μεθοδολογία ανάπτυξης ΣΔΑΠ •Μέθοδος PDCA (Plan-Do-Check-Act) Σχεδιασμός (Plan): Στο βήμα αυτό αναλύεται και μελετάται η ασφάλεια πληροφοριών στον οργανισμό, θέτονται οι στόχοι και ορίζονται οι τρόποι με τους οποίους θα επιτευχθούν οι στόχοι. Υλοποίηση (Do): Εδώ υλοποιούνται τα μέτρα τα οποία ορίστηκαν κατά τη φάση του σχεδιασμού. Έλεγχος (Check): Πραγματοποιείται έλεγχος απόκλισης των αρχικών στόχων και των τελικών αποτελεσμάτων. Δράση (Act): Εφαρμόζονται ενέργειες διόρθωσης και βελτίωσης των μέτρων.
Πρότυπο ISO/IEC 27001 – πλαίσιο διαχείρισης ασφάλειας πληροφοριών
Πρότυπα ISO 27K: οδηγός βέλτιστων πρακτικών για τη διαχείριση της ασφάλειας πληροφοριών και τη διαχείριση της σχετικής επικινδυνότητας • Όνομα Αντικείμενο • ISO/IEC 27000 Εισαγωγή και λεξιλόγιο όρων • ISO/IEC 27001 Απαιτήσεις υλοποίησης και συντήρησης Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών • ISO/IEC 27002 Πρακτικές διαχείρισης της ασφάλειας και επιλογής μέτρων ασφάλειας • ISO/IEC 27003 Οδηγίες σχεδιασμού ενός Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών • ISO/IEC 27004 Μετρικές εκτίμησης της αποτελεσματικότητας υλοποιημένου Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών • ISO/IEC 27005 Οδηγίες διαχείρισης Επικινδυνότητας • ISO/IEC 27006 Οδηγίες ελέγχου και πιστοποίησης Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών • ISO/IEC 27007 Οδηγίες ικανοτήτων ελεγκτών Συστημάτων Διαχείρισης Ασφάλειας Πληροφοριών • ISO/IEC 27008 Οδηγίες ελέγχου της υλοποίησης Συστήματος Διαχείρισης Ασφάλειας και Πληροφοριών • ISO/IEC 27010 Οδηγίες για κοινότητες ανταλλαγής πληροφοριών
Μέτρα προστασίας ΣΔΑΠ • Το έγγραφο της πολιτικής ασφάλειας πληροφοριών. • Ο επιμερισμός καθηκόντων σχετικών με την ασφάλεια πληροφοριών. • Η ευαισθητοποίηση, η εκπαίδευση και η κατάρτιση σε θέματα ασφάλειας πληροφοριών. • Η σωστή λειτουργία των εφαρμογών. • Η διαχείριση των ευπαθειών. • Η διαχείριση της επιχειρησιακής συνέχειας. • Η διαχείριση των συμβάντων ασφάλειας και των συναφών βελτιώσεων που αφορούν την ασφάλεια πληροφοριών του οργανισμού.
Ανάλυση και αποτίμηση επικινδυνότητας Χαρακτηρισμός Συστήματος. Αναγνώριση Απειλής. Αναγνώριση Ευπάθειας. Ανάλυση Μηχανισμών Ασφάλειας. Προσδιορισμός Πιθανότητας. Ανάλυση Επίπτωσης. Προσδιορισμός Επικινδυνότητας. Προτάσεις μηχανισμών Ελέγχου. Τεκμηρίωση Αποτελεσμάτων.
Χαρακτηρισμός συστήματος • Συλλογή πληροφοριών για το ΠΣ (υλικό, λογισμικό, δίκτυο, χρήστες, πολιτικές ασφαλείας, αρχιτεκτονική συστήματος ασφαλείας, διοικητικοί έλεγχοι, ροές πληροφοριών, φυσικό περιβάλλον. • Εργαλεία: • Ερωτηματολόγιο στο προσωπικό • Συνέντευξη με το διοικητικό προσωπικό • Εταιρικά έγγραφα • Αυτοματοποιημένα εργαλεία συλλογής πληροφοριών
Αναγνώριση απειλών • Καταγραφή λίστας από ευπάθειες του πληροφοριακού συστήματος, που θα μπορούσαν να γίνουν αντικείμενο εκμετάλλευσης από ενδεχόμενες απειλές. • Αν το πληροφοριακό σύστημα δεν έχει σχεδιαστεί ακόμη, η αναζήτηση ευπαθειών θα πρέπει να επικεντρωθεί στις πολιτικές ασφάλειας του οργανισμού, στις σχεδιασμένες διαδικασίες ασφαλείας, καθώς και τις απαιτήσεις του συστήματος. • Αν το σύστημα είναι ήδη σε λειτουργία, η αναγνώριση των ευπαθειών θα πρέπει να επεκταθεί ώστε να περιέχει περισσότερη εξειδικευμένη πληροφορία, όπως σχεδιασμένα χαρακτηριστικά ασφάλειας μέσα στα έγγραφα του σχεδίου ασφαλείας, καθώς και αποτελέσματα της αξιολόγησης της ασφάλειας του συστήματος.
Ανάλυση μηχανισμών ασφάλειας • Ο σκοπός αυτού του σταδίου είναι να αναλύσει τους μηχανισμούς ασφάλειας που ήδη εφαρμόζονται, ή σχεδιάζονται για εφαρμογή στον οργανισμό για να ελαττώσουν ή να εξαλείψουν την πιθανότητα εκμετάλλευσης ευπαθειών του συστήματος από διάφορες απειλές.
Προσδιορισμός πιθανότητας • Για τον υπολογισμό της πιθανότητας εμφάνισης ενός περιστατικού ασφάλειας, λαμβάνεται υπόψη το κίνητρο των απειλών και η ικανότητα των δυνητικά επιτιθέμενων, η φύση της ευπάθειας, η ύπαρξη και η αποτελεσματικότητα των υφιστάμενων μέτρων προστασίας • Η πιθανότητα μπορεί να είναι: • Υψηλή, όταν η απειλή έχει υψηλά κίνητρα, μεγάλη αποτελεσματικότητα και τα υφιστάμενα μέτρα προστασίας δεν επαρκούν. • Μεσαία, όταν η απειλή έχει υψηλά κίνητρα και μεγάλη αποτελεσματικότητα, αλλά τα υφιστάμενα μέτρα προστασίας επαρκούν. • Χαμηλή, όταν η απειλή δεν έχει υψηλά κίνητρα, δεν έχει αποτελεσματικότητα και τα υφιστάμενα μέτρα προστασίας επαρκούν.
Ανάλυση επίπτωσης • Η επίπτωση ενός γεγονότος ασφάλειας (π.χ. μιας επίθεσης) μπορεί να περιγραφεί με τους όρους απώλειας ή υποβάθμισης των τριών κύριων χαρακτηριστικών της ασφάλειας: ακεραιότητα, διαθεσιμότητα και εμπιστευτικότητα.
Προσδιορισμός επικινδυνότητας Κλίμακα επικινδυνότητας • Υψηλή επικινδυνότητα: Άμεση ανάγκη για διορθωτικά μέσα. • Μεσαία επικινδυνότητα: Ανάγκη για διορθωτικά μέσα σε εύλογο χρονικό διάστημα. • Χαμηλή επικινδυνότητα: Αποδοχή της ή διορθωτικά μέσα.
Επόμενα βήματα • Προτεινόμενα μέτρα προστασίας • προτείνονται εκείνα τα μέτρα προστασίας, τα οποία μπορούν να περιορίσουν τις ευπάθειες ή να τις εκμηδενίσουν • Τεκμηρίωση αποτελεσμάτων • καταγραφή των αποτελεσμάτων σε μία ολοκληρωμένη αναφορά.
Σχέδιο ασφάλειας • Στόχοι και σχέδια του οργανισμού σε σχέση με την ασφάλεια πληροφοριών. • Ρόλοι και καθήκοντα εμπλεκομένων. • Ρητή δήλωση υποστήριξης της Διοίκησης ως προς τη συμμόρφωση με την πολιτική. • Δέσμευση της διοίκησης για ενεργό συμμετοχή. • Πλάνο ελέγχων των διαδικασιών. • Πλάνο παροχής κατάλληλης κατάρτισης του προσωπικού. • http://noc.eap.gr/index.php/kentriki-politiki-asfaleias-pol20 • πρότυπο ISO/IEC 17799
Πολιτική ασφάλειας • Στόχος της πολιτικής ασφάλειας (security policy) πληροφοριών είναι η παροχή κατευθύνσεων και υποστήριξης για ζητήματα ασφάλειας πληροφοριών. Η διοίκηση του οργανισμού θα πρέπει να καθορίσει μια σαφή και ξεκάθαρη πολιτική, την οποία και θα υποστηρίζει έμπρακτα. Η πολιτική αυτή θα πρέπει να ρυθμίζει ζητήματα ασφάλειας σε όλα τα επίπεδα του οργανισμού. Προτεινόμενα μέτρα: • Έγγραφο της πολιτικής ασφάλειας πληροφοριών. • Αναθεώρηση της πολιτικής ασφάλειας πληροφοριών.
Διαχείριση αγαθών • Απόδοση ευθυνών για αγαθά • Διαβάθμιση πληροφοριών • Ασφάλεια ανθρώπινων πόρων • Φυσική και περιβαλλοντική ασφάλεια • Στόχος είναι η αποτροπή μη-εξουσιοδοτημένης φυσικής πρόσβασης, ζημιάς και παρέμβασης στις εγκαταστάσεις και το πληροφοριακό σύστημα του οργανισμού. Οι κρίσιμής σημασίας εγκαταστάσεις επεξεργασίας δεδομένων θα πρέπει να βρίσκονται σε ασφαλείς περιοχές, προστατευμένες από μια περίμετρο ασφάλειας και από τους κατάλληλους μηχανισμούς. Θα πρέπει να προστατεύονται φυσικά από μη-εξουσιοδοτημένη πρόσβαση, παρεμβολές και καταστροφή.
Διαχείριση αγαθών • Ασφάλεια εξοπλισμού • Τοποθέτηση και προστασία εξοπλισμού. • Μέσα υποστήριξης. • Ασφάλεια καλωδίωσης. • Συντήρηση εξοπλισμού. • Ασφάλεια εξοπλισμού εκτός των χώρων του οργανισμού. • Ασφαλής καταστροφή ή επαναχρησιμοποίηση εξοπλισμού. • Μετακίνηση αγαθών εκτός των χώρων του οργανισμού • Διαχείριση επικοινωνιών και λειτουργιών
(συνέχεια) • Σχεδιασμός και αποδοχή συστήματος • Προστασία από κακόβουλο λογισμικό • Λήψη εφεδρικού αντιγράφου ασφαλείας • Διαχείριση ασφάλειας δικτύου – μέτρα προστασίας δικτύου, ασφάλεια δικτυακών υπηρεσιών • Χειρισμός αποθηκευτικών μέσων • Ασφάλεια υπηρεσιών ηλεκτρονικού εμπορίου • Επίβλεψη
Έλεγχος πρόσβασης • Διαχείριση πρόσβασης χρηστών • Διαδικασία εγγραφής χρηστών. • Διαχείριση προνομίων χρηστών. • Διαχείριση διαπιστευτηρίων (credentials) των χρηστών. • Επιθεώρηση προνομίων των χρηστών • Ευθύνες χρηστών • Έλεγχος πρόσβασης δικτύου • Έλεγχος πρόσβασης σε λειτουργικά συστήματα • Έλεγχος πρόσβασης σε πληροφορίες και εφαρμογές
Προμήθεια, ανάπτυξη και συντήρηση πληροφοριακών συστημάτων • Απαιτήσεις ασφάλειας πληροφοριακών συστημάτων • Ορθή επεξεργασία από τις εφαρμογές • Κρυπτογραφικά μέτρα προστασίας. Σκοπός είναι η προστασία της εμπιστευτικότητας, της ακεραιότητας και της αυθεντικότητας των πληροφοριών με κρυπτογραφικά μέσα. Για το σκοπό αυτό θα πρέπει να αναπτυχθεί μια πολιτική χρήσης κρυπτογραφικών μέτρων προστασίας • Ασφάλεια αρχείων συστήματος. Θα πρέπει να ελέγχεται η πρόσβαση στα αρχεία του συστήματος και στον πηγαίο κώδικα των προγραμμάτων • Διαχείριση τεχνικών ευπαθειών
Συμβάντα ασφάλειας • Αναφορά συμβάντων και ευπαθειών ασφάλειας • Σκοπός είναι η διασφάλιση του ότι τα συμβάντα και οι ευπάθειες ασφάλειας πληροφοριών γνωστοποιούνται με τρόπο που επιτρέπει την έγκαιρη λήψη κατάλληλων ενεργειών. • Διαχείριση συμβάντων ασφάλειας • Σκοπός είναι η διασφάλιση της εφαρμογής μιας συνεπούς και αποτελεσματικής προσέγγισης για τη διαχείριση των συμβάντων ασφάλειας πληροφοριών • Σχεδιασμός επιχειρησιακής συνέχειας
Συμμόρφωση • Καθορισμός της εφαρμοζόμενης νομοθεσίας. • Δικαιώματα πνευματικής ιδιοκτησίας. • Προστασία των αρχείων δεδομένων του οργανισμού. • Προστασία του απόρρητου των προσωπικών πληροφοριών. • Πρόληψη κακής χρήσης των μέσων αποθήκευσης, διακίνησης και επεξεργασίας πληροφοριών. • Νόμιμη χρήση των κρυπτογραφικών μέσων • Συμμόρφωση με πολιτικές ασφάλειας, πρότυπα και τεχνικές • Επιθεώρηση πληροφοριακών συστημάτων
Διακυβέρνηση – Επικινδυνότητα - Συμμόρφωση

Empfohlen

ασφαλεια υπολογιστικων συστηματων
ασφαλεια υπολογιστικων συστηματωνασφαλεια υπολογιστικων συστηματων
ασφαλεια υπολογιστικων συστηματωνStratosDimi
 
Cyber Security Expect the Unexpected
Cyber Security Expect the UnexpectedCyber Security Expect the Unexpected
Cyber Security Expect the Unexpectedisc2-hellenic
 
Εισαγωγή στην Πληροφορική - 6. Οργάνωση, Διοίκηση, Διακυβέρνηση
Εισαγωγή στην Πληροφορική - 6. Οργάνωση, Διοίκηση, ΔιακυβέρνησηΕισαγωγή στην Πληροφορική - 6. Οργάνωση, Διοίκηση, Διακυβέρνηση
Εισαγωγή στην Πληροφορική - 6. Οργάνωση, Διοίκηση, ΔιακυβέρνησηMarina Gavrilaki
 
Practical aspects of gdpr compliance
Practical aspects of gdpr compliancePractical aspects of gdpr compliance
Practical aspects of gdpr complianceLefteris Barbatsalos
 
Security honeypots
Security honeypotsSecurity honeypots
Security honeypotsEvangelosKliaris
 
ΕΥΦΥΗ SIEM (Security Information Event Management)
ΕΥΦΥΗ SIEM (Security Information Event Management)ΕΥΦΥΗ SIEM (Security Information Event Management)
ΕΥΦΥΗ SIEM (Security Information Event Management)Angelos Alevizopoulos
 
Cyber security
Cyber securityCyber security
Cyber securityKonstantinos Demertzis
 
Ασφάλεια ΤΠΕ - 02. Τεχνικά Θέματα Ασφάλειας
Ασφάλεια ΤΠΕ - 02. Τεχνικά Θέματα ΑσφάλειαςΑσφάλεια ΤΠΕ - 02. Τεχνικά Θέματα Ασφάλειας
Ασφάλεια ΤΠΕ - 02. Τεχνικά Θέματα ΑσφάλειαςMarina Gavrilaki
 

Empfohlen

ασφαλεια υπολογιστικων συστηματων
ασφαλεια υπολογιστικων συστηματωνασφαλεια υπολογιστικων συστηματων
ασφαλεια υπολογιστικων συστηματωνStratosDimi
 
Cyber Security Expect the Unexpected
Cyber Security Expect the UnexpectedCyber Security Expect the Unexpected
Cyber Security Expect the Unexpectedisc2-hellenic
 
Εισαγωγή στην Πληροφορική - 6. Οργάνωση, Διοίκηση, Διακυβέρνηση
Εισαγωγή στην Πληροφορική - 6. Οργάνωση, Διοίκηση, ΔιακυβέρνησηΕισαγωγή στην Πληροφορική - 6. Οργάνωση, Διοίκηση, Διακυβέρνηση
Εισαγωγή στην Πληροφορική - 6. Οργάνωση, Διοίκηση, ΔιακυβέρνησηMarina Gavrilaki
 
Practical aspects of gdpr compliance
Practical aspects of gdpr compliancePractical aspects of gdpr compliance
Practical aspects of gdpr complianceLefteris Barbatsalos
 
Security honeypots
Security honeypotsSecurity honeypots
Security honeypotsEvangelosKliaris
 
ΕΥΦΥΗ SIEM (Security Information Event Management)
ΕΥΦΥΗ SIEM (Security Information Event Management)ΕΥΦΥΗ SIEM (Security Information Event Management)
ΕΥΦΥΗ SIEM (Security Information Event Management)Angelos Alevizopoulos
 
Cyber security
Cyber securityCyber security
Cyber securityKonstantinos Demertzis
 
Ασφάλεια ΤΠΕ - 02. Τεχνικά Θέματα Ασφάλειας
Ασφάλεια ΤΠΕ - 02. Τεχνικά Θέματα ΑσφάλειαςΑσφάλεια ΤΠΕ - 02. Τεχνικά Θέματα Ασφάλειας
Ασφάλεια ΤΠΕ - 02. Τεχνικά Θέματα ΑσφάλειαςMarina Gavrilaki
 
Kef8.ppt
Kef8.pptKef8.ppt
Kef8.pptspiman0
 
PROSPER - Module 1 - Unit 5 el.pptx
PROSPER - Module 1 - Unit 5 el.pptxPROSPER - Module 1 - Unit 5 el.pptx
PROSPER - Module 1 - Unit 5 el.pptxcaniceconsulting
 
Θέματα_Κυβερνοασφάλειας.pdf
Θέματα_Κυβερνοασφάλειας.pdfΘέματα_Κυβερνοασφάλειας.pdf
Θέματα_Κυβερνοασφάλειας.pdfssuser9421c7
 
Εκτίμηση αντίκτυπου σχετικά με την προστασία δεδομένων
Εκτίμηση αντίκτυπου σχετικά με την προστασία δεδομένωνΕκτίμηση αντίκτυπου σχετικά με την προστασία δεδομένων
Εκτίμηση αντίκτυπου σχετικά με την προστασία δεδομένωνNikos Mpalatsoukas
 
CS Aware-Cyber Security Awareness, Καθ. Χρήστος Ηλιούδης
CS Aware-Cyber Security Awareness, Καθ. Χρήστος ΗλιούδηςCS Aware-Cyber Security Awareness, Καθ. Χρήστος Ηλιούδης
CS Aware-Cyber Security Awareness, Καθ. Χρήστος ΗλιούδηςOTS SA
 
In t trust_implementing_gdpr_ms_event_2019_09_27
In t trust_implementing_gdpr_ms_event_2019_09_27In t trust_implementing_gdpr_ms_event_2019_09_27
In t trust_implementing_gdpr_ms_event_2019_09_27InTTrust S.A.
 
General Data Protection Regulation (GDPR): myths and challenges by Dr. Evange...
General Data Protection Regulation (GDPR): myths and challenges by Dr. Evange...General Data Protection Regulation (GDPR): myths and challenges by Dr. Evange...
General Data Protection Regulation (GDPR): myths and challenges by Dr. Evange...Evangelia Vagena
 
SECURICON - Physical and IT Access Control
SECURICON - Physical and IT Access ControlSECURICON - Physical and IT Access Control
SECURICON - Physical and IT Access ControlPROBOTEK
 
Ασφάλεια ΤΠΕ - 03. GDPR
Ασφάλεια ΤΠΕ - 03. GDPRΑσφάλεια ΤΠΕ - 03. GDPR
Ασφάλεια ΤΠΕ - 03. GDPRMarina Gavrilaki
 
Adoption - Cloud Computing
Adoption - Cloud ComputingAdoption - Cloud Computing
Adoption - Cloud ComputingConstantinos Athanasiou
 
VET4SBO Level 1 module 2 - unit 4 - v1.0 gr
VET4SBO Level 1 module 2 - unit 4 - v1.0 grVET4SBO Level 1 module 2 - unit 4 - v1.0 gr
VET4SBO Level 1 module 2 - unit 4 - v1.0 grKarel Van Isacker
 
CyberSecurity - Γ.Μαρινάκης 24-3-23.pdf
CyberSecurity - Γ.Μαρινάκης 24-3-23.pdfCyberSecurity - Γ.Μαρινάκης 24-3-23.pdf
CyberSecurity - Γ.Μαρινάκης 24-3-23.pdfVasoPolimerou
 
Panoptis 2016
Panoptis 2016Panoptis 2016
Panoptis 2016isc2-hellenic
 
Cloud storage greek_municipalities
Cloud storage greek_municipalitiesCloud storage greek_municipalities
Cloud storage greek_municipalitiesNiki Kyriakou
 
Module 8 - External Crisis – Changing Technology_gr.pptx
Module 8 - External Crisis – Changing Technology_gr.pptxModule 8 - External Crisis – Changing Technology_gr.pptx
Module 8 - External Crisis – Changing Technology_gr.pptxcaniceconsulting
 
Digital Skills for Entrepreneurship (Greek) Hellenic Open University
Digital Skills for Entrepreneurship (Greek) Hellenic Open UniversityDigital Skills for Entrepreneurship (Greek) Hellenic Open University
Digital Skills for Entrepreneurship (Greek) Hellenic Open UniversityNick Achilleopoulos
 
Haccp
HaccpHaccp
HaccpGeorge Diamandis
 
Διαφύλαξη αρχείων επιχείρησης
Διαφύλαξη αρχείων επιχείρησηςΔιαφύλαξη αρχείων επιχείρησης
Διαφύλαξη αρχείων επιχείρησηςEfstratios Misinezis
 
Malicious Software. In Greek.
Malicious Software. In Greek.Malicious Software. In Greek.
Malicious Software. In Greek.John ILIADIS
 
PROSAFE ΕΡΓΑΛΕΙΟ ΒΕΛΤΙΩΣΗΣ ΤΗΣ ΠΟΙΟΤΗΤΑΣ ΦΡΟΝΤΙΔΑΣ ΠΡΟΣ ΤΟΝ ΒΑΡΕΩΣ ΠΑΣΧΟΝΤΑ
PROSAFE ΕΡΓΑΛΕΙΟ ΒΕΛΤΙΩΣΗΣ ΤΗΣ ΠΟΙΟΤΗΤΑΣ ΦΡΟΝΤΙΔΑΣ ΠΡΟΣ ΤΟΝ ΒΑΡΕΩΣ ΠΑΣΧΟΝΤΑPROSAFE ΕΡΓΑΛΕΙΟ ΒΕΛΤΙΩΣΗΣ ΤΗΣ ΠΟΙΟΤΗΤΑΣ ΦΡΟΝΤΙΔΑΣ ΠΡΟΣ ΤΟΝ ΒΑΡΕΩΣ ΠΑΣΧΟΝΤΑ
PROSAFE ΕΡΓΑΛΕΙΟ ΒΕΛΤΙΩΣΗΣ ΤΗΣ ΠΟΙΟΤΗΤΑΣ ΦΡΟΝΤΙΔΑΣ ΠΡΟΣ ΤΟΝ ΒΑΡΕΩΣ ΠΑΣΧΟΝΤΑYIANNIS TALIADOROS
 
Protection of users mobile apps
Protection of users mobile appsProtection of users mobile apps
Protection of users mobile appsioannis iglezakis
 
Κανονισμος Προστασιας Δεδομενων
Κανονισμος Προστασιας ΔεδομενωνΚανονισμος Προστασιας Δεδομενων
Κανονισμος Προστασιας Δεδομενωνioannis iglezakis
 

Weitere ähnliche Inhalte

Ähnlich wie τεχνολογιες & ασφαλεια πληροφοριων

Kef8.ppt
Kef8.pptKef8.ppt
Kef8.pptspiman0
 
PROSPER - Module 1 - Unit 5 el.pptx
PROSPER - Module 1 - Unit 5 el.pptxPROSPER - Module 1 - Unit 5 el.pptx
PROSPER - Module 1 - Unit 5 el.pptxcaniceconsulting
 
Θέματα_Κυβερνοασφάλειας.pdf
Θέματα_Κυβερνοασφάλειας.pdfΘέματα_Κυβερνοασφάλειας.pdf
Θέματα_Κυβερνοασφάλειας.pdfssuser9421c7
 
Εκτίμηση αντίκτυπου σχετικά με την προστασία δεδομένων
Εκτίμηση αντίκτυπου σχετικά με την προστασία δεδομένωνΕκτίμηση αντίκτυπου σχετικά με την προστασία δεδομένων
Εκτίμηση αντίκτυπου σχετικά με την προστασία δεδομένωνNikos Mpalatsoukas
 
CS Aware-Cyber Security Awareness, Καθ. Χρήστος Ηλιούδης
CS Aware-Cyber Security Awareness, Καθ. Χρήστος ΗλιούδηςCS Aware-Cyber Security Awareness, Καθ. Χρήστος Ηλιούδης
CS Aware-Cyber Security Awareness, Καθ. Χρήστος ΗλιούδηςOTS SA
 
In t trust_implementing_gdpr_ms_event_2019_09_27
In t trust_implementing_gdpr_ms_event_2019_09_27In t trust_implementing_gdpr_ms_event_2019_09_27
In t trust_implementing_gdpr_ms_event_2019_09_27InTTrust S.A.
 
General Data Protection Regulation (GDPR): myths and challenges by Dr. Evange...
General Data Protection Regulation (GDPR): myths and challenges by Dr. Evange...General Data Protection Regulation (GDPR): myths and challenges by Dr. Evange...
General Data Protection Regulation (GDPR): myths and challenges by Dr. Evange...Evangelia Vagena
 
SECURICON - Physical and IT Access Control
SECURICON - Physical and IT Access ControlSECURICON - Physical and IT Access Control
SECURICON - Physical and IT Access ControlPROBOTEK
 
Ασφάλεια ΤΠΕ - 03. GDPR
Ασφάλεια ΤΠΕ - 03. GDPRΑσφάλεια ΤΠΕ - 03. GDPR
Ασφάλεια ΤΠΕ - 03. GDPRMarina Gavrilaki
 
VET4SBO Level 1 module 2 - unit 4 - v1.0 gr
VET4SBO Level 1 module 2 - unit 4 - v1.0 grVET4SBO Level 1 module 2 - unit 4 - v1.0 gr
VET4SBO Level 1 module 2 - unit 4 - v1.0 grKarel Van Isacker
 
CyberSecurity - Γ.Μαρινάκης 24-3-23.pdf
CyberSecurity - Γ.Μαρινάκης 24-3-23.pdfCyberSecurity - Γ.Μαρινάκης 24-3-23.pdf
CyberSecurity - Γ.Μαρινάκης 24-3-23.pdfVasoPolimerou
 
Cloud storage greek_municipalities
Cloud storage greek_municipalitiesCloud storage greek_municipalities
Cloud storage greek_municipalitiesNiki Kyriakou
 
Module 8 - External Crisis – Changing Technology_gr.pptx
Module 8 - External Crisis – Changing Technology_gr.pptxModule 8 - External Crisis – Changing Technology_gr.pptx
Module 8 - External Crisis – Changing Technology_gr.pptxcaniceconsulting
 
Digital Skills for Entrepreneurship (Greek) Hellenic Open University
Digital Skills for Entrepreneurship (Greek) Hellenic Open UniversityDigital Skills for Entrepreneurship (Greek) Hellenic Open University
Digital Skills for Entrepreneurship (Greek) Hellenic Open UniversityNick Achilleopoulos
 
Διαφύλαξη αρχείων επιχείρησης
Διαφύλαξη αρχείων επιχείρησηςΔιαφύλαξη αρχείων επιχείρησης
Διαφύλαξη αρχείων επιχείρησηςEfstratios Misinezis
 
Malicious Software. In Greek.
Malicious Software. In Greek.Malicious Software. In Greek.
Malicious Software. In Greek.John ILIADIS
 
PROSAFE ΕΡΓΑΛΕΙΟ ΒΕΛΤΙΩΣΗΣ ΤΗΣ ΠΟΙΟΤΗΤΑΣ ΦΡΟΝΤΙΔΑΣ ΠΡΟΣ ΤΟΝ ΒΑΡΕΩΣ ΠΑΣΧΟΝΤΑ
PROSAFE ΕΡΓΑΛΕΙΟ ΒΕΛΤΙΩΣΗΣ ΤΗΣ ΠΟΙΟΤΗΤΑΣ ΦΡΟΝΤΙΔΑΣ ΠΡΟΣ ΤΟΝ ΒΑΡΕΩΣ ΠΑΣΧΟΝΤΑPROSAFE ΕΡΓΑΛΕΙΟ ΒΕΛΤΙΩΣΗΣ ΤΗΣ ΠΟΙΟΤΗΤΑΣ ΦΡΟΝΤΙΔΑΣ ΠΡΟΣ ΤΟΝ ΒΑΡΕΩΣ ΠΑΣΧΟΝΤΑ
PROSAFE ΕΡΓΑΛΕΙΟ ΒΕΛΤΙΩΣΗΣ ΤΗΣ ΠΟΙΟΤΗΤΑΣ ΦΡΟΝΤΙΔΑΣ ΠΡΟΣ ΤΟΝ ΒΑΡΕΩΣ ΠΑΣΧΟΝΤΑYIANNIS TALIADOROS
 

Ähnlich wie τεχνολογιες & ασφαλεια πληροφοριων (20)

Kef8.ppt
Kef8.pptKef8.ppt
Kef8.ppt
 
PROSPER - Module 1 - Unit 5 el.pptx
PROSPER - Module 1 - Unit 5 el.pptxPROSPER - Module 1 - Unit 5 el.pptx
PROSPER - Module 1 - Unit 5 el.pptx
 
Θέματα_Κυβερνοασφάλειας.pdf
Θέματα_Κυβερνοασφάλειας.pdfΘέματα_Κυβερνοασφάλειας.pdf
Θέματα_Κυβερνοασφάλειας.pdf
 
Εκτίμηση αντίκτυπου σχετικά με την προστασία δεδομένων
Εκτίμηση αντίκτυπου σχετικά με την προστασία δεδομένωνΕκτίμηση αντίκτυπου σχετικά με την προστασία δεδομένων
Εκτίμηση αντίκτυπου σχετικά με την προστασία δεδομένων
 
CS Aware-Cyber Security Awareness, Καθ. Χρήστος Ηλιούδης
CS Aware-Cyber Security Awareness, Καθ. Χρήστος ΗλιούδηςCS Aware-Cyber Security Awareness, Καθ. Χρήστος Ηλιούδης
CS Aware-Cyber Security Awareness, Καθ. Χρήστος Ηλιούδης
 
In t trust_implementing_gdpr_ms_event_2019_09_27
In t trust_implementing_gdpr_ms_event_2019_09_27In t trust_implementing_gdpr_ms_event_2019_09_27
In t trust_implementing_gdpr_ms_event_2019_09_27
 
General Data Protection Regulation (GDPR): myths and challenges by Dr. Evange...
General Data Protection Regulation (GDPR): myths and challenges by Dr. Evange...General Data Protection Regulation (GDPR): myths and challenges by Dr. Evange...
General Data Protection Regulation (GDPR): myths and challenges by Dr. Evange...
 
SECURICON - Physical and IT Access Control
SECURICON - Physical and IT Access ControlSECURICON - Physical and IT Access Control
SECURICON - Physical and IT Access Control
 
Ασφάλεια ΤΠΕ - 03. GDPR
Ασφάλεια ΤΠΕ - 03. GDPRΑσφάλεια ΤΠΕ - 03. GDPR
Ασφάλεια ΤΠΕ - 03. GDPR
 
Adoption - Cloud Computing
Adoption - Cloud ComputingAdoption - Cloud Computing
Adoption - Cloud Computing
 
VET4SBO Level 1 module 2 - unit 4 - v1.0 gr
VET4SBO Level 1 module 2 - unit 4 - v1.0 grVET4SBO Level 1 module 2 - unit 4 - v1.0 gr
VET4SBO Level 1 module 2 - unit 4 - v1.0 gr
 
CyberSecurity - Γ.Μαρινάκης 24-3-23.pdf
CyberSecurity - Γ.Μαρινάκης 24-3-23.pdfCyberSecurity - Γ.Μαρινάκης 24-3-23.pdf
CyberSecurity - Γ.Μαρινάκης 24-3-23.pdf
 
Panoptis 2016
Panoptis 2016Panoptis 2016
Panoptis 2016
 
Cloud storage greek_municipalities
Cloud storage greek_municipalitiesCloud storage greek_municipalities
Cloud storage greek_municipalities
 
Module 8 - External Crisis – Changing Technology_gr.pptx
Module 8 - External Crisis – Changing Technology_gr.pptxModule 8 - External Crisis – Changing Technology_gr.pptx
Module 8 - External Crisis – Changing Technology_gr.pptx
 
Digital Skills for Entrepreneurship (Greek) Hellenic Open University
Digital Skills for Entrepreneurship (Greek) Hellenic Open UniversityDigital Skills for Entrepreneurship (Greek) Hellenic Open University
Digital Skills for Entrepreneurship (Greek) Hellenic Open University
 
Haccp
HaccpHaccp
Haccp
 
Διαφύλαξη αρχείων επιχείρησης
Διαφύλαξη αρχείων επιχείρησηςΔιαφύλαξη αρχείων επιχείρησης
Διαφύλαξη αρχείων επιχείρησης
 
Malicious Software. In Greek.
Malicious Software. In Greek.Malicious Software. In Greek.
Malicious Software. In Greek.
 
PROSAFE ΕΡΓΑΛΕΙΟ ΒΕΛΤΙΩΣΗΣ ΤΗΣ ΠΟΙΟΤΗΤΑΣ ΦΡΟΝΤΙΔΑΣ ΠΡΟΣ ΤΟΝ ΒΑΡΕΩΣ ΠΑΣΧΟΝΤΑ
PROSAFE ΕΡΓΑΛΕΙΟ ΒΕΛΤΙΩΣΗΣ ΤΗΣ ΠΟΙΟΤΗΤΑΣ ΦΡΟΝΤΙΔΑΣ ΠΡΟΣ ΤΟΝ ΒΑΡΕΩΣ ΠΑΣΧΟΝΤΑPROSAFE ΕΡΓΑΛΕΙΟ ΒΕΛΤΙΩΣΗΣ ΤΗΣ ΠΟΙΟΤΗΤΑΣ ΦΡΟΝΤΙΔΑΣ ΠΡΟΣ ΤΟΝ ΒΑΡΕΩΣ ΠΑΣΧΟΝΤΑ
PROSAFE ΕΡΓΑΛΕΙΟ ΒΕΛΤΙΩΣΗΣ ΤΗΣ ΠΟΙΟΤΗΤΑΣ ΦΡΟΝΤΙΔΑΣ ΠΡΟΣ ΤΟΝ ΒΑΡΕΩΣ ΠΑΣΧΟΝΤΑ
 

Mehr von ioannis iglezakis

Protection of users mobile apps
Protection of users mobile appsProtection of users mobile apps
Protection of users mobile appsioannis iglezakis
 
Κανονισμος Προστασιας Δεδομενων
Κανονισμος Προστασιας ΔεδομενωνΚανονισμος Προστασιας Δεδομενων
Κανονισμος Προστασιας Δεδομενωνioannis iglezakis
 
εξελίξεις στη διαδικτυακή πώληση φαρμάκων
εξελίξεις στη διαδικτυακή πώληση φαρμάκωνεξελίξεις στη διαδικτυακή πώληση φαρμάκων
εξελίξεις στη διαδικτυακή πώληση φαρμάκωνioannis iglezakis
 
Όροι χρησης ηλεκτρονικου καταστηματος
Όροι χρησης ηλεκτρονικου καταστηματος Όροι χρησης ηλεκτρονικου καταστηματος
Όροι χρησης ηλεκτρονικου καταστηματος ioannis iglezakis
 
Δυσφήμηση ιατρών μέσω του διαδικτύου
Δυσφήμηση ιατρών μέσω του διαδικτύουΔυσφήμηση ιατρών μέσω του διαδικτύου
Δυσφήμηση ιατρών μέσω του διαδικτύουioannis iglezakis
 
το νομικό πλαίσιο του ηλεκτρονικού χρήματος στην ελλάδα
το νομικό πλαίσιο του ηλεκτρονικού χρήματος στην ελλάδατο νομικό πλαίσιο του ηλεκτρονικού χρήματος στην ελλάδα
το νομικό πλαίσιο του ηλεκτρονικού χρήματος στην ελλάδαioannis iglezakis
 
Intellectual property issues for start ups
Intellectual property issues for start upsIntellectual property issues for start ups
Intellectual property issues for start upsioannis iglezakis
 
The Right To Be Forgotten in the Google Spain Case (case C-131/12): A Clear V...
The Right To Be Forgotten in the Google Spain Case (case C-131/12): A Clear V...The Right To Be Forgotten in the Google Spain Case (case C-131/12): A Clear V...
The Right To Be Forgotten in the Google Spain Case (case C-131/12): A Clear V...ioannis iglezakis
 
Προστασία προσωπικών δεδομένων στις υπηρεσίες κοινωνικής δικτύωσης με βάση τη...
Προστασία προσωπικών δεδομένων στις υπηρεσίες κοινωνικής δικτύωσης με βάση τη...Προστασία προσωπικών δεδομένων στις υπηρεσίες κοινωνικής δικτύωσης με βάση τη...
Προστασία προσωπικών δεδομένων στις υπηρεσίες κοινωνικής δικτύωσης με βάση τη...ioannis iglezakis
 
Papers 201 iglezakis-presentation-en-v001
Papers 201 iglezakis-presentation-en-v001Papers 201 iglezakis-presentation-en-v001
Papers 201 iglezakis-presentation-en-v001ioannis iglezakis
 
Elektronischer Geschäftsverkehr
Elektronischer GeschäftsverkehrElektronischer Geschäftsverkehr
Elektronischer Geschäftsverkehrioannis iglezakis
 

Mehr von ioannis iglezakis (15)

Protection of users mobile apps
Protection of users mobile appsProtection of users mobile apps
Protection of users mobile apps
 
Κανονισμος Προστασιας Δεδομενων
Κανονισμος Προστασιας ΔεδομενωνΚανονισμος Προστασιας Δεδομενων
Κανονισμος Προστασιας Δεδομενων
 
εξελίξεις στη διαδικτυακή πώληση φαρμάκων
εξελίξεις στη διαδικτυακή πώληση φαρμάκωνεξελίξεις στη διαδικτυακή πώληση φαρμάκων
εξελίξεις στη διαδικτυακή πώληση φαρμάκων
 
Όροι χρησης ηλεκτρονικου καταστηματος
Όροι χρησης ηλεκτρονικου καταστηματος Όροι χρησης ηλεκτρονικου καταστηματος
Όροι χρησης ηλεκτρονικου καταστηματος
 
Δυσφήμηση ιατρών μέσω του διαδικτύου
Δυσφήμηση ιατρών μέσω του διαδικτύουΔυσφήμηση ιατρών μέσω του διαδικτύου
Δυσφήμηση ιατρών μέσω του διαδικτύου
 
το νομικό πλαίσιο του ηλεκτρονικού χρήματος στην ελλάδα
το νομικό πλαίσιο του ηλεκτρονικού χρήματος στην ελλάδατο νομικό πλαίσιο του ηλεκτρονικού χρήματος στην ελλάδα
το νομικό πλαίσιο του ηλεκτρονικού χρήματος στην ελλάδα
 
Hate speech on the internet
Hate speech on the internetHate speech on the internet
Hate speech on the internet
 
Identitymanagment
IdentitymanagmentIdentitymanagment
Identitymanagment
 
Intellectual property issues for start ups
Intellectual property issues for start upsIntellectual property issues for start ups
Intellectual property issues for start ups
 
The Right To Be Forgotten in the Google Spain Case (case C-131/12): A Clear V...
The Right To Be Forgotten in the Google Spain Case (case C-131/12): A Clear V...The Right To Be Forgotten in the Google Spain Case (case C-131/12): A Clear V...
The Right To Be Forgotten in the Google Spain Case (case C-131/12): A Clear V...
 
Προστασία προσωπικών δεδομένων στις υπηρεσίες κοινωνικής δικτύωσης με βάση τη...
Προστασία προσωπικών δεδομένων στις υπηρεσίες κοινωνικής δικτύωσης με βάση τη...Προστασία προσωπικών δεδομένων στις υπηρεσίες κοινωνικής δικτύωσης με βάση τη...
Προστασία προσωπικών δεδομένων στις υπηρεσίες κοινωνικής δικτύωσης με βάση τη...
 
Digital Libraries
Digital LibrariesDigital Libraries
Digital Libraries
 
E book competition
E book competitionE book competition
E book competition
 
Papers 201 iglezakis-presentation-en-v001
Papers 201 iglezakis-presentation-en-v001Papers 201 iglezakis-presentation-en-v001
Papers 201 iglezakis-presentation-en-v001
 
Elektronischer Geschäftsverkehr
Elektronischer GeschäftsverkehrElektronischer Geschäftsverkehr
Elektronischer Geschäftsverkehr
 

τεχνολογιες & ασφαλεια πληροφοριων

  • 2. Εισαγωγή • Το πρόβλημα της διαχείρισης της ασφάλειας πληροφοριών αποτελεί ένα ιδιαίτερα σημαντικό ζήτημα για τα σύγχρονα πληροφοριακά συστήματα, καθώς επηρεάζει σε παγκόσμια κλίμακα το ηλεκτρονικό επιχειρείν και την ανάπτυξη εθνικών και διεθνών κρίσιμων υποδομών. • Η αξιοποίηση όλο και πιο προηγμένων τεχνολογιών, όπως για παράδειγμα οι σύγχρονες βάσεις δεδομένων, τα δίκτυα και το Διαδίκτυο, προσφέρει σημαντικές δυνατότητες, αλλά αυξάνει ανάλογα και τα προβλήματα που αφορούν την προστασία της εμπιστευτικότητας, της ακεραιότητας και της διαθεσιμότητας των πληροφοριών.
  • 3. Πληροφοριακό σύστημα: Έννοια • Το οργανωμένο σύνολο από ανθρώπους, λογισμικό, υλικό, διαδικασίες, εγκαταστάσεις και δεδομένα. • Τα στοιχεία αυτά βρίσκονται σε μια συνεχή αλληλεπίδραση μεταξύ τους, αλλά και με το περιβάλλον, με σκοπό την παραγωγή και διαχείριση της πληροφορίας
  • 4. Σημασία της ασφάλειας πληροφοριών • Οι σύγχρονοι οργανισμοί εξαρτώνται από πληροφοριακά αγαθά σε ότι αφορά την αποτελεσματικότητα και τη κερδοφορία των λειτουργιών τους και για αυτό χρειάζεται να προστατεύουν αυτά τα αγαθά. • Η διασφάλιση (assurance) της εμπιστευτικότητας, της ακεραιότητας και της διαθεσιμότητας των πληροφοριών είναι σημαντική, ανεξάρτητα του κατά πόσον οι πληροφορίες αποτελούν αντικείμενο επεξεργασίας και διαχείρισης ή ανταλλάσσονται μεταξύ των συνεργαζόμενων οργανισμών.
  • 6. Συστήματα Διαχείρισης Ασφάλειας Πληροφοριών • Ο σχεδιασμός της ασφάλειας πληροφοριών ενός οργανισμού είναι μια επιχειρησιακή διεργασία, η οποία αποσκοπεί στο να παρέχονται τα κατάλληλα εργαλεία λήψης αποφάσεων, προκειμένου να μπορεί η διοίκηση να ασκήσει αποτελεσματικά το ρόλο της. Η ασφάλεια πληροφοριών δεν είναι ένα αμιγώς τεχνικό θέμα, αλλά συμπεριλαμβάνει ζητήματα και παραμέτρους από διάφορους χώρους (οικονομία, διοίκηση, κοινωνία κ.λπ.). • Παράγοντες: • Αποδεκτό επίπεδο ασφάλειας. • Λειτουργικότητα του Πληροφοριακού Συστήματος που διαθέτει. • Κόστος που επιθυμεί να επωμισθεί ο οργανισμος.
  • 7. Μεθοδολογία ανάπτυξης ΣΔΑΠ •Μέθοδος PDCA (Plan-Do-Check-Act) Σχεδιασμός (Plan): Στο βήμα αυτό αναλύεται και μελετάται η ασφάλεια πληροφοριών στον οργανισμό, θέτονται οι στόχοι και ορίζονται οι τρόποι με τους οποίους θα επιτευχθούν οι στόχοι. Υλοποίηση (Do): Εδώ υλοποιούνται τα μέτρα τα οποία ορίστηκαν κατά τη φάση του σχεδιασμού. Έλεγχος (Check): Πραγματοποιείται έλεγχος απόκλισης των αρχικών στόχων και των τελικών αποτελεσμάτων. Δράση (Act): Εφαρμόζονται ενέργειες διόρθωσης και βελτίωσης των μέτρων.
  • 8. Πρότυπο ISO/IEC 27001 – πλαίσιο διαχείρισης ασφάλειας πληροφοριών
  • 9. Πρότυπα ISO 27K: οδηγός βέλτιστων πρακτικών για τη διαχείριση της ασφάλειας πληροφοριών και τη διαχείριση της σχετικής επικινδυνότητας • Όνομα Αντικείμενο • ISO/IEC 27000 Εισαγωγή και λεξιλόγιο όρων • ISO/IEC 27001 Απαιτήσεις υλοποίησης και συντήρησης Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών • ISO/IEC 27002 Πρακτικές διαχείρισης της ασφάλειας και επιλογής μέτρων ασφάλειας • ISO/IEC 27003 Οδηγίες σχεδιασμού ενός Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών • ISO/IEC 27004 Μετρικές εκτίμησης της αποτελεσματικότητας υλοποιημένου Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών • ISO/IEC 27005 Οδηγίες διαχείρισης Επικινδυνότητας • ISO/IEC 27006 Οδηγίες ελέγχου και πιστοποίησης Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών • ISO/IEC 27007 Οδηγίες ικανοτήτων ελεγκτών Συστημάτων Διαχείρισης Ασφάλειας Πληροφοριών • ISO/IEC 27008 Οδηγίες ελέγχου της υλοποίησης Συστήματος Διαχείρισης Ασφάλειας και Πληροφοριών • ISO/IEC 27010 Οδηγίες για κοινότητες ανταλλαγής πληροφοριών
  • 10. Μέτρα προστασίας ΣΔΑΠ • Το έγγραφο της πολιτικής ασφάλειας πληροφοριών. • Ο επιμερισμός καθηκόντων σχετικών με την ασφάλεια πληροφοριών. • Η ευαισθητοποίηση, η εκπαίδευση και η κατάρτιση σε θέματα ασφάλειας πληροφοριών. • Η σωστή λειτουργία των εφαρμογών. • Η διαχείριση των ευπαθειών. • Η διαχείριση της επιχειρησιακής συνέχειας. • Η διαχείριση των συμβάντων ασφάλειας και των συναφών βελτιώσεων που αφορούν την ασφάλεια πληροφοριών του οργανισμού.
  • 11. Ανάλυση και αποτίμηση επικινδυνότητας Χαρακτηρισμός Συστήματος. Αναγνώριση Απειλής. Αναγνώριση Ευπάθειας. Ανάλυση Μηχανισμών Ασφάλειας. Προσδιορισμός Πιθανότητας. Ανάλυση Επίπτωσης. Προσδιορισμός Επικινδυνότητας. Προτάσεις μηχανισμών Ελέγχου. Τεκμηρίωση Αποτελεσμάτων.
  • 12. Χαρακτηρισμός συστήματος • Συλλογή πληροφοριών για το ΠΣ (υλικό, λογισμικό, δίκτυο, χρήστες, πολιτικές ασφαλείας, αρχιτεκτονική συστήματος ασφαλείας, διοικητικοί έλεγχοι, ροές πληροφοριών, φυσικό περιβάλλον. • Εργαλεία: • Ερωτηματολόγιο στο προσωπικό • Συνέντευξη με το διοικητικό προσωπικό • Εταιρικά έγγραφα • Αυτοματοποιημένα εργαλεία συλλογής πληροφοριών
  • 13. Αναγνώριση απειλών • Καταγραφή λίστας από ευπάθειες του πληροφοριακού συστήματος, που θα μπορούσαν να γίνουν αντικείμενο εκμετάλλευσης από ενδεχόμενες απειλές. • Αν το πληροφοριακό σύστημα δεν έχει σχεδιαστεί ακόμη, η αναζήτηση ευπαθειών θα πρέπει να επικεντρωθεί στις πολιτικές ασφάλειας του οργανισμού, στις σχεδιασμένες διαδικασίες ασφαλείας, καθώς και τις απαιτήσεις του συστήματος. • Αν το σύστημα είναι ήδη σε λειτουργία, η αναγνώριση των ευπαθειών θα πρέπει να επεκταθεί ώστε να περιέχει περισσότερη εξειδικευμένη πληροφορία, όπως σχεδιασμένα χαρακτηριστικά ασφάλειας μέσα στα έγγραφα του σχεδίου ασφαλείας, καθώς και αποτελέσματα της αξιολόγησης της ασφάλειας του συστήματος.
  • 14. Ανάλυση μηχανισμών ασφάλειας • Ο σκοπός αυτού του σταδίου είναι να αναλύσει τους μηχανισμούς ασφάλειας που ήδη εφαρμόζονται, ή σχεδιάζονται για εφαρμογή στον οργανισμό για να ελαττώσουν ή να εξαλείψουν την πιθανότητα εκμετάλλευσης ευπαθειών του συστήματος από διάφορες απειλές.
  • 15. Προσδιορισμός πιθανότητας • Για τον υπολογισμό της πιθανότητας εμφάνισης ενός περιστατικού ασφάλειας, λαμβάνεται υπόψη το κίνητρο των απειλών και η ικανότητα των δυνητικά επιτιθέμενων, η φύση της ευπάθειας, η ύπαρξη και η αποτελεσματικότητα των υφιστάμενων μέτρων προστασίας • Η πιθανότητα μπορεί να είναι: • Υψηλή, όταν η απειλή έχει υψηλά κίνητρα, μεγάλη αποτελεσματικότητα και τα υφιστάμενα μέτρα προστασίας δεν επαρκούν. • Μεσαία, όταν η απειλή έχει υψηλά κίνητρα και μεγάλη αποτελεσματικότητα, αλλά τα υφιστάμενα μέτρα προστασίας επαρκούν. • Χαμηλή, όταν η απειλή δεν έχει υψηλά κίνητρα, δεν έχει αποτελεσματικότητα και τα υφιστάμενα μέτρα προστασίας επαρκούν.
  • 16. Ανάλυση επίπτωσης • Η επίπτωση ενός γεγονότος ασφάλειας (π.χ. μιας επίθεσης) μπορεί να περιγραφεί με τους όρους απώλειας ή υποβάθμισης των τριών κύριων χαρακτηριστικών της ασφάλειας: ακεραιότητα, διαθεσιμότητα και εμπιστευτικότητα.
  • 17. Προσδιορισμός επικινδυνότητας Κλίμακα επικινδυνότητας • Υψηλή επικινδυνότητα: Άμεση ανάγκη για διορθωτικά μέσα. • Μεσαία επικινδυνότητα: Ανάγκη για διορθωτικά μέσα σε εύλογο χρονικό διάστημα. • Χαμηλή επικινδυνότητα: Αποδοχή της ή διορθωτικά μέσα.
  • 18. Επόμενα βήματα • Προτεινόμενα μέτρα προστασίας • προτείνονται εκείνα τα μέτρα προστασίας, τα οποία μπορούν να περιορίσουν τις ευπάθειες ή να τις εκμηδενίσουν • Τεκμηρίωση αποτελεσμάτων • καταγραφή των αποτελεσμάτων σε μία ολοκληρωμένη αναφορά.
  • 19. Σχέδιο ασφάλειας • Στόχοι και σχέδια του οργανισμού σε σχέση με την ασφάλεια πληροφοριών. • Ρόλοι και καθήκοντα εμπλεκομένων. • Ρητή δήλωση υποστήριξης της Διοίκησης ως προς τη συμμόρφωση με την πολιτική. • Δέσμευση της διοίκησης για ενεργό συμμετοχή. • Πλάνο ελέγχων των διαδικασιών. • Πλάνο παροχής κατάλληλης κατάρτισης του προσωπικού. • http://noc.eap.gr/index.php/kentriki-politiki-asfaleias-pol20 • πρότυπο ISO/IEC 17799
  • 20. Πολιτική ασφάλειας • Στόχος της πολιτικής ασφάλειας (security policy) πληροφοριών είναι η παροχή κατευθύνσεων και υποστήριξης για ζητήματα ασφάλειας πληροφοριών. Η διοίκηση του οργανισμού θα πρέπει να καθορίσει μια σαφή και ξεκάθαρη πολιτική, την οποία και θα υποστηρίζει έμπρακτα. Η πολιτική αυτή θα πρέπει να ρυθμίζει ζητήματα ασφάλειας σε όλα τα επίπεδα του οργανισμού. Προτεινόμενα μέτρα: • Έγγραφο της πολιτικής ασφάλειας πληροφοριών. • Αναθεώρηση της πολιτικής ασφάλειας πληροφοριών.
  • 21. Διαχείριση αγαθών • Απόδοση ευθυνών για αγαθά • Διαβάθμιση πληροφοριών • Ασφάλεια ανθρώπινων πόρων • Φυσική και περιβαλλοντική ασφάλεια • Στόχος είναι η αποτροπή μη-εξουσιοδοτημένης φυσικής πρόσβασης, ζημιάς και παρέμβασης στις εγκαταστάσεις και το πληροφοριακό σύστημα του οργανισμού. Οι κρίσιμής σημασίας εγκαταστάσεις επεξεργασίας δεδομένων θα πρέπει να βρίσκονται σε ασφαλείς περιοχές, προστατευμένες από μια περίμετρο ασφάλειας και από τους κατάλληλους μηχανισμούς. Θα πρέπει να προστατεύονται φυσικά από μη-εξουσιοδοτημένη πρόσβαση, παρεμβολές και καταστροφή.
  • 22. Διαχείριση αγαθών • Ασφάλεια εξοπλισμού • Τοποθέτηση και προστασία εξοπλισμού. • Μέσα υποστήριξης. • Ασφάλεια καλωδίωσης. • Συντήρηση εξοπλισμού. • Ασφάλεια εξοπλισμού εκτός των χώρων του οργανισμού. • Ασφαλής καταστροφή ή επαναχρησιμοποίηση εξοπλισμού. • Μετακίνηση αγαθών εκτός των χώρων του οργανισμού • Διαχείριση επικοινωνιών και λειτουργιών
  • 23. (συνέχεια) • Σχεδιασμός και αποδοχή συστήματος • Προστασία από κακόβουλο λογισμικό • Λήψη εφεδρικού αντιγράφου ασφαλείας • Διαχείριση ασφάλειας δικτύου – μέτρα προστασίας δικτύου, ασφάλεια δικτυακών υπηρεσιών • Χειρισμός αποθηκευτικών μέσων • Ασφάλεια υπηρεσιών ηλεκτρονικού εμπορίου • Επίβλεψη
  • 24. Έλεγχος πρόσβασης • Διαχείριση πρόσβασης χρηστών • Διαδικασία εγγραφής χρηστών. • Διαχείριση προνομίων χρηστών. • Διαχείριση διαπιστευτηρίων (credentials) των χρηστών. • Επιθεώρηση προνομίων των χρηστών • Ευθύνες χρηστών • Έλεγχος πρόσβασης δικτύου • Έλεγχος πρόσβασης σε λειτουργικά συστήματα • Έλεγχος πρόσβασης σε πληροφορίες και εφαρμογές
  • 25. Προμήθεια, ανάπτυξη και συντήρηση πληροφοριακών συστημάτων • Απαιτήσεις ασφάλειας πληροφοριακών συστημάτων • Ορθή επεξεργασία από τις εφαρμογές • Κρυπτογραφικά μέτρα προστασίας. Σκοπός είναι η προστασία της εμπιστευτικότητας, της ακεραιότητας και της αυθεντικότητας των πληροφοριών με κρυπτογραφικά μέσα. Για το σκοπό αυτό θα πρέπει να αναπτυχθεί μια πολιτική χρήσης κρυπτογραφικών μέτρων προστασίας • Ασφάλεια αρχείων συστήματος. Θα πρέπει να ελέγχεται η πρόσβαση στα αρχεία του συστήματος και στον πηγαίο κώδικα των προγραμμάτων • Διαχείριση τεχνικών ευπαθειών
  • 26. Συμβάντα ασφάλειας • Αναφορά συμβάντων και ευπαθειών ασφάλειας • Σκοπός είναι η διασφάλιση του ότι τα συμβάντα και οι ευπάθειες ασφάλειας πληροφοριών γνωστοποιούνται με τρόπο που επιτρέπει την έγκαιρη λήψη κατάλληλων ενεργειών. • Διαχείριση συμβάντων ασφάλειας • Σκοπός είναι η διασφάλιση της εφαρμογής μιας συνεπούς και αποτελεσματικής προσέγγισης για τη διαχείριση των συμβάντων ασφάλειας πληροφοριών • Σχεδιασμός επιχειρησιακής συνέχειας
  • 27. Συμμόρφωση • Καθορισμός της εφαρμοζόμενης νομοθεσίας. • Δικαιώματα πνευματικής ιδιοκτησίας. • Προστασία των αρχείων δεδομένων του οργανισμού. • Προστασία του απόρρητου των προσωπικών πληροφοριών. • Πρόληψη κακής χρήσης των μέσων αποθήκευσης, διακίνησης και επεξεργασίας πληροφοριών. • Νόμιμη χρήση των κρυπτογραφικών μέσων • Συμμόρφωση με πολιτικές ασφάλειας, πρότυπα και τεχνικές • Επιθεώρηση πληροφοριακών συστημάτων