Πολιτικές και διαδικασίες ασφάλειας

Πολιτικές ασφάλειας

Παράμετροι

• Πόσο συγκεκριμένη θα είναι;
• Πόσο έλεγχο θα προσδιορίζει;
• Ποια είναι η κατάλληλη δομή;

Θέματα

• Πολιτική αποδεκτής χρήσης (acceptable use policy)
• Πολιτική λογαριασμών χρηστών (user account policy)
• Πολιτική απομακρυσμένης χρήσης (remote access policy)
• Πολιτική προστασίας δεδομένων (data protection policy)
• Πολιτική για σύνδεση στο δίκτυο (network connection policy)
• Πολιτική για ειδική πρόσβαση (special access policy)

Μοντέλα εμπιστοσύνης

• Εμπιστοσύνη σε συστήματα
  • Ασφάλεια (security)
  • Διαθεσιμότητα (availability)
• Εμπιστοσύνη σε ανθρώπους
  • Όλους πάντα
  • Μερικούς κατά περίπτωση
  • Αυτούς που απαιτείται μόνο όσο απαιτείται
• Ανασκόπηση σε τακτά διαστήματα

Υλοποίηση

• Δεν απαιτείται μεσολάβηση της διοίκησης
• Συντονίζει τις ενέργειες διαφορετικών τμημάτων
• Διαδικασίες διανομής
• Υπεύθυνος ασφάλειας πληροφοριακών συστημάτων (computer security officer)

Ανασκόπηση

• Από τρίτο άτομο
• Ανασκόπηση των λόγων που οδήγησαν σε αποφάσεις
• Νομικές προεκτάσεις
• Χρήση εργαλείων
• Ενημέρωση σύμφωνα με νέα προβλήματα που ανακαλύφθηκαν

Διασφάλιση

• Έλεγχος κατά πόσο τα μέσα για την ασφάλεια υπάρχουν και συνεχίζουν να υπάρχουν
• Αντίμαχες απαιτήσεις με τη λειτουργικότητα των μέσων

Μερικοί τρόποι διασφάλισης

• Διασφάλιση ποιότητας, μέθοδοι τεχνολογίας λογισμικού
• Απλότητα στην υλοποίηση
• Αρχιτεκτονική με αρθρώματα
• Έλεγχος των υποθέσεων και των αποτελεσμάτων τους
• Ιστορικά στοιχεία προβλημάτων και της αντιμετώπισής τους
• Συντηρητισμός
• Ετοιμότητα για μη αναμενόμενες βλάβες
• Αποφυγή μοναδικών σημείων βλάβης (single failure points)
• Πολλαπλά επίπεδα προστασίας
• Διαφορετικοί μηχανισμοί προστασίας
• Αρχή των ελαχίστων προνομίων
• Τα λάθη να οδηγούν σε μειωμένες υπηρεσίες και όχι μειωμένη ασφάλεια
• Απαγόρευση όσων δεν επιτρέπονται
• Προσοχή στον ασθενέστερο κρίκο
• Προσοχή στις εσωτερικές παραβάσεις

Περιστατικά: προετοιμασία και αντίδραση

Κατηγορίες περιστατικών

• Ιοί και σκουλήκια
• Δοκιμές από το Internet
• Μη εξουσιοδοτημένη πρόσβαση από το Internet
• Εσωτερική μη εξουσιοδοτημένη πρόσβαση

Διαδικασία αντίδρασης σε περιστατικά

1. Απομόνωση του συστήματος ή του δικτύου
2. Αναγνώριση του προβλήματος
3. Περιχάραξη του προβλήματος
4. Τερματισμός της επίθεσης
5. Απομάκρυνση της αδυναμίας
6. Επαναλειτουργία των υπηρεσιών
7. Ανάλυση του περιστατικού
8. Ενημέρωση

Καταστροφές: σχεδιασμός και ανάκτηση

1. Αντίδραση από το προσωπικό ασφαλείας
2. Ανάλυση της ζημιάς
3. Μετάβαση σε λειτουργία έκτακτης ανάγκης
4. Αποκατάσταση της κανονικής λειτουργίας

Προσλήψεις

• Προσοχή σε σημάδια των βιογραφικών (π.χ. μέλος ένωσης hacker)
• Έλεγχος των συστάσεων
• Έλεγχοι του περιβάλλοντος
• Υπογραφή συμφωνητικού
• Εκπαίδευση

Νομικά θέματα

• ΠΚ 370 γ
• N. 2472/97 (προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα
• N. 2121/93 (αντιγραφή προγραμμάτων)
• N. 2251/94 (προστασία των καταναλωτών)
• N. 1599/86 (σχέσεις κράτους και πολίτη (π.χ. δικαίωμα λήψης αντιγράφων εγγράφων))
• N. 2465/97 Άδειες τηλεπικοινωνίας

• Περιεχόμενα

 Τελευταία αλλαγή: Σάββατο, 19 Σεπτεμβρίου 1998 5:22 μμ
 Εκτός αν αναφέρεται κάτι διαφορετικό, όλο το πρωτότυπο υλικό της σελίδας αυτής του οποίου δημιουργός είναι ο Διομήδης Σπινέλλης παρέχεται σύμφωνα με τους όρους της άδειας «Creative Commons Attribution-Share Alike 3.0 Greece License».