Ασφάλεια πληροφοριών

Προσθήκη συνδέσεων
Από τη Βικιπαίδεια, την ελεύθερη εγκυκλοπαίδεια
 Αυτό το λήμμα χρειάζεται μορφοποίηση ώστε να ανταποκρίνεται στις προδιαγραφές μορφοποίησης της Βικιπαίδειας. Αυτό μπορεί να σημαίνει την δημιουργία εσωτερικών συνδέσμων, επικεφαλίδων, παραγράφων κλπ.
Για περαιτέρω βοήθεια, δείτε τις σελίδες Πώς να επεξεργαστείτε μια σελίδα και Βικιπαίδεια:Οδηγός μορφοποίησης άρθρων.

Η ασφάλεια πληροφοριών,  είναι η πρακτική της προστασίας των πληροφοριών με τον μετριασμό των κινδύνων πληροφοριών και αποτελεί μέρος της διαχείρισης κινδύνων πληροφοριών. [1]  Συνήθως περιλαμβάνει την πρόληψη ή τη μείωση της πιθανότητας μη εξουσιοδοτημένης/ακατάλληλης πρόσβασης σε δεδομένα ή της παράνομης χρήσης, αποκάλυψης , διακοπής, διαγραφής, διαφθοράς, τροποποίησης, επιθεώρησης, καταγραφής ή υποτίμησης πληροφοριών.  Περιλαμβάνει επίσης ενέργειες που αποσκοπούν στη μείωση των δυσμενών επιπτώσεων τέτοιων συμβάντων. Οι προστατευόμενες πληροφορίες μπορεί να λάβουν οποιαδήποτε μορφή, π.χ. ηλεκτρονική ή φυσική, απτή (πγραφειοκρατία ) ή άυλα (π.χ. γνώση ). [2]  Ο πρωταρχικός στόχος της ασφάλειας πληροφοριών είναι η ισόρροπη προστασία του απορρήτου , της ακεραιότητας και της διαθεσιμότητας των δεδομένων (γνωστά και ως τριάδα της CIA), διατηρώντας παράλληλα την εστίαση στην αποτελεσματική εφαρμογή πολιτικής , όλα αυτά χωρίς να παρεμποδίζεται η παραγωγικότητα του οργανισμού .  Αυτό επιτυγχάνεται σε μεγάλο βαθμό μέσω μιας δομημένης διαδικασίας διαχείρισης κινδύνου που περιλαμβάνει:

  • ταυτοποίηση πληροφοριών και συναφών περιουσιακών στοιχείων , καθώς και πιθανών απειλών , τρωτών σημείων και επιπτώσεων.
  • την αξιολόγηση των κινδύνων
  • λήψη απόφασης για τον τρόπο αντιμετώπισης ή αντιμετώπισης των κινδύνων, δηλαδή την αποφυγή, τον μετριασμό, την κοινή χρήση ή την αποδοχή τους
  • όπου απαιτείται μετριασμός του κινδύνου, επιλέγοντας ή σχεδιάζοντας τους κατάλληλους ελέγχους ασφαλείας και εφαρμόζοντάς τους
  • την παρακολούθηση των δραστηριοτήτων, την πραγματοποίηση προσαρμογών όπως απαιτείται για την αντιμετώπιση τυχόν ζητημάτων, αλλαγών και ευκαιριών βελτίωσης

Για την τυποποίηση αυτού του κλάδου, ακαδημαϊκοί και επαγγελματίες συνεργάζονται για να προσφέρουν καθοδήγηση, πολιτικές και βιομηχανικά πρότυπα σχετικά με τον κωδικό πρόσβασης , το λογισμικό προστασίας από ιούς , το τείχος προστασίας , το λογισμικό κρυπτογράφησης , τη νομική ευθύνη , την ευαισθητοποίηση και εκπαίδευση σε θέματα ασφάλειας κ.λπ. [3]

Ορισμός[Επεξεργασία | επεξεργασία κώδικα]

Παρακάτω προτείνονται διάφοροι ορισμοί της ασφάλειας πληροφοριών, οι οποίοι συνοψίζονται από διαφορετικές πηγές:

  1. "Η προστασία των πληροφοριών και των πληροφοριακών συστημάτων από μη εξουσιοδοτημένη πρόσβαση, χρήση, αποκάλυψη, διακοπή, τροποποίηση ή καταστροφή με σκοπό την παροχή εμπιστευτικότητας, ακεραιότητας και διαθεσιμότητας." (CNSS, 2010) [4]
  2. "Εξασφαλίζει ότι μόνο εξουσιοδοτημένοι χρήστες (εμπιστευτικότητα) έχουν πρόσβαση σε ακριβείς και πλήρεις πληροφορίες (ακεραιότητα) όταν απαιτείται (διαθεσιμότητα)." ( ISACA , 2008) [5]
  3. "...η ασφάλεια των πληροφοριών είναι μια πειθαρχία διαχείρισης κινδύνου, η δουλειά της οποίας είναι να διαχειρίζεται το κόστος του κινδύνου πληροφοριών για την επιχείρηση." (McDermott and Geer, 2001) [6]
  4. «Μια καλά ενημερωμένη αίσθηση βεβαιότητας ότι οι κίνδυνοι και οι έλεγχοι της πληροφορίας βρίσκονται σε ισορροπία». (Anderson, J., 2003) [7]
  5. "Η ασφάλεια των πληροφοριών είναι η προστασία των πληροφοριών και ελαχιστοποιεί τον κίνδυνο έκθεσης πληροφοριών σε μη εξουσιοδοτημένα μέρη." (Venter and Eloff, 2003) [8]
  6. «Η Ασφάλεια Πληροφοριών είναι ένας πολυεπιστημονικός τομέας μελέτης και επαγγελματικής δραστηριότητας που ασχολείται με την ανάπτυξη και εφαρμογή μηχανισμών ασφάλειας όλων των διαθέσιμων τύπων (τεχνικών, οργανωτικών, ανθρωποκεντρικών και νομικών) προκειμένου να διατηρούνται πληροφορίες σε όλες τις τοποθεσίες τους (εντός και έξω από την περίμετρο του οργανισμού) και, κατά συνέπεια, συστήματα πληροφοριών, όπου οι πληροφορίες δημιουργούνται, επεξεργάζονται, αποθηκεύονται, μεταδίδονται και καταστρέφονται  χωρίς απειλές . [9]

Πληροφορία[Επεξεργασία | επεξεργασία κώδικα]

Η πληροφορία είναι μια αφηρημένη έννοια που αναφέρεται σε αυτό που έχει τη δύναμη να ενημερώνει . Στο πιο θεμελιώδες επίπεδο οι πληροφορίες αφορούν την ερμηνεία αυτού που μπορεί να γίνει αισθητό . Οποιαδήποτε φυσική διαδικασία που δεν είναι εντελώς τυχαία και οποιοδήποτε παρατηρήσιμο μοτίβο σε οποιοδήποτε μέσο μπορούμε να πούμε ότι μεταφέρει κάποια ποσότητα πληροφοριών. Ενώ τα ψηφιακά σήματα και άλλα δεδομένα χρησιμοποιούν διακριτές πινακίδες για να μεταφέρουν πληροφορίες, άλλα φαινόμενα και αντικείμενα όπως αναλογικά σήματα , ποιήματα , εικόνες , μουσική ή άλλους ήχους , καιΤα ρεύματα μεταφέρουν πληροφορίες σε πιο συνεχή μορφή.  Η πληροφορία δεν είναι η ίδια η γνώση , αλλά το νόημα που μπορεί να προκύψει από μια αναπαράσταση μέσω της ερμηνείας. [10]

Οι διαθέσιμες πληροφορίες μέσω μιας συλλογής δεδομένων μπορούν να προκύψουν με ανάλυση. Για παράδειγμα, μπορεί να συλλέγονται δεδομένα από την παραγγελία ενός πελάτη σε ένα εστιατόριο. Οι πληροφορίες που είναι διαθέσιμες από πολλές παραγγελίες μπορούν να αναλυθούν και στη συνέχεια να γίνουν γνώσεις που χρησιμοποιούνται όταν η επιχείρηση μπορεί στη συνέχεια να προσδιορίσει το πιο δημοφιλές ή λιγότερο δημοφιλές πιάτο.

Οι πληροφορίες μπορούν να μεταδοθούν στο χρόνο, μέσω της αποθήκευσης δεδομένων , και στο χώρο, μέσω επικοινωνίας και τηλεπικοινωνιών .  Οι πληροφορίες εκφράζονται είτε ως περιεχόμενο ενός μηνύματος είτε μέσω άμεσης ή έμμεσης παρατήρησης . Αυτό που γίνεται αντιληπτό μπορεί να ερμηνευθεί ως μήνυμα από μόνο του, και με αυτή την έννοια, όλες οι πληροφορίες μεταφέρονται πάντα ως το περιεχόμενο ενός μηνύματος. [11]

Ασφάλεια[Επεξεργασία | επεξεργασία κώδικα]

Η ασφάλεια είναι η προστασία ή η ανθεκτικότητα έναντι πιθανής βλάβης (ή άλλης ανεπιθύμητης αναγκαστικής αλλαγής) που προκαλείται από άλλους, με τον περιορισμό της ελευθερίας των άλλων να ενεργούν. Δικαιούχοι (τεχνικά αναφορές ) της ασφάλειας μπορεί να είναι άτομα και κοινωνικές ομάδες, αντικείμενα και ιδρύματα, οικοσυστήματα ή οποιαδήποτε άλλη οντότητα ή φαινόμενο ευάλωτο σε ανεπιθύμητες αλλαγές.

Η ασφάλεια αναφέρεται κυρίως στην προστασία από εχθρικές δυνάμεις, αλλά έχει ένα ευρύ φάσμα άλλων αισθήσεων: για παράδειγμα, ως απουσία βλάβης, ως παρουσία βασικού αγαθού, ως ανθεκτικότητα έναντι πιθανής ζημιάς, ως μυστικότητα, ως περιορισμό και ως κατάσταση του νου.

Γενικά[Επεξεργασία | επεξεργασία κώδικα]

Στον πυρήνα της ασφάλειας των πληροφοριών βρίσκεται η διασφάλιση πληροφοριών, η πράξη διατήρησης του απορρήτου, της ακεραιότητας και της διαθεσιμότητας (CIA) των πληροφοριών, διασφαλίζοντας ότι οι πληροφορίες δεν διακυβεύονται με κανέναν τρόπο όταν προκύπτουν κρίσιμα ζητήματα.  Αυτά τα ζητήματα περιλαμβάνουν αλλά δεν περιορίζονται σε φυσικές καταστροφές, δυσλειτουργία υπολογιστή/διακομιστή και φυσική κλοπή.[53] Ενώ οι επιχειρηματικές δραστηριότητες που βασίζονται σε χαρτί εξακολουθούν να επικρατούν, απαιτώντας το δικό τους σύνολο πρακτικών ασφάλειας πληροφοριών, οι ψηφιακές πρωτοβουλίες επιχειρήσεων δίνουν ολοένα και μεγαλύτερη έμφαση, με τη διασφάλιση πληροφοριών να ασχολούνται τώρα συνήθως από ειδικούς σε θέματα ασφάλειας της τεχνολογίας πληροφοριών (IT). Αυτοί οι ειδικοί εφαρμόζουν την ασφάλεια των πληροφοριών στην τεχνολογία (συνήθως κάποια μορφή συστήματος υπολογιστών). Αξίζει να σημειωθεί ότι υπολογιστής δεν σημαίνει απαραίτητα οικιακή επιφάνεια εργασίας. [54] Υπολογιστής είναι οποιαδήποτε συσκευή με επεξεργαστή και λίγη μνήμη. Τέτοιες συσκευές μπορεί να κυμαίνονται από μη δικτυωμένες αυτόνομες συσκευές τόσο απλές όπως οι αριθμομηχανές, έως δικτυωμένες φορητές υπολογιστικές συσκευές όπως smartphone και υπολογιστές tablet. [55] Ειδικοί σε θέματα ασφάλειας πληροφορικής βρίσκονται σχεδόν πάντα σε οποιαδήποτε μεγάλη επιχείρηση/κατάστημα λόγω της φύσης και της αξίας των δεδομένων σε μεγαλύτερες επιχειρήσεις. Είναι υπεύθυνοι για τη διατήρηση όλης της τεχνολογίας εντός της εταιρείας ασφαλή από κακόβουλες επιθέσεις στον κυβερνοχώρο που συχνά προσπαθούν να αποκτήσουν κρίσιμες ιδιωτικές πληροφορίες ή να αποκτήσουν τον έλεγχο των εσωτερικών συστημάτων. [56]

Απειλές[Επεξεργασία | επεξεργασία κώδικα]

Οι απειλές για την ασφάλεια των πληροφοριών παρουσιάζονται σε πολλές διαφορετικές μορφές.  Μερικές από τις πιο κοινές απειλές σήμερα είναι επιθέσεις λογισμικού, κλοπή πνευματικής ιδιοκτησίας, κλοπή ταυτότητας, κλοπή εξοπλισμού ή πληροφοριών, δολιοφθορά και εκβιασμός πληροφοριών.[57]  Ιοί ,  σκουλήκια , επιθέσεις phishing και δούρειοι ίπποι είναι μερικά κοινά παραδείγματα επιθέσεων λογισμικού. Η κλοπή πνευματικής ιδιοκτησίας ήταν επίσης ένα εκτεταμένο ζήτημα για πολλές επιχειρήσεις στον τομέα της τεχνολογίας των πληροφοριών ( ΤΠ ).  [58] Κλοπή ταυτότηταςείναι η προσπάθεια να ενεργήσει κανείς ως άλλος συνήθως για να λάβει τα προσωπικά στοιχεία αυτού του ατόμου ή να επωφεληθεί από την πρόσβασή του σε ζωτικές πληροφορίες μέσω της κοινωνικής μηχανικής . [59]  Η κλοπή εξοπλισμού ή πληροφοριών γίνεται πιο διαδεδομένη σήμερα λόγω του γεγονότος ότι οι περισσότερες συσκευές σήμερα είναι κινητές,  είναι επιρρεπείς στην κλοπή και έχουν γίνει επίσης πολύ πιο επιθυμητές καθώς αυξάνεται η χωρητικότητα δεδομένων. Το σαμποτάζ συνήθως συνίσταται στην καταστροφή της ιστοσελίδας ενός οργανισμού σε μια προσπάθεια να προκαλέσει απώλεια εμπιστοσύνης από την πλευρά των πελατών του. [60] Ο εκβιασμός πληροφοριών συνίσταται σε κλοπή ιδιοκτησίας ή πληροφοριών μιας εταιρείας ως προσπάθεια λήψης πληρωμής με αντάλλαγμα την επιστροφή των πληροφοριών ή της ιδιοκτησίας στον κάτοχό της, όπως συμβαίνει με το ransomware .  Υπάρχουν πολλοί τρόποι για να προστατευθείτε από ορισμένες από αυτές τις επιθέσεις, αλλά μία από τις πιο λειτουργικές προφυλάξεις είναι η περιοδική ενημέρωση των χρηστών.  Η υπ' αριθμόν ένα απειλή για κάθε οργανισμό είναι οι χρήστες ή οι εσωτερικοί υπάλληλοι, ονομάζονται επίσης εσωτερικές απειλές. [61]

Ιστορία[Επεξεργασία | επεξεργασία κώδικα]

Από τις πρώτες μέρες της επικοινωνίας, οι διπλωμάτες και οι στρατιωτικοί διοικητές κατάλαβαν ότι ήταν απαραίτητο να προβλεφθεί κάποιος μηχανισμός για την προστασία του απορρήτου της αλληλογραφίας και να έχουν κάποια μέσα για τον εντοπισμό παραποίησης. [12]  Στον Ιούλιο Καίσαρα αποδίδεται η εφεύρεση της κρυπτογράφησης του Καίσαρα γ. 50 π.Χ., που δημιουργήθηκε για να αποτρέψει την ανάγνωση των μυστικών μηνυμάτων του σε περίπτωση που κάποιο μήνυμα πέσει σε λάθος χέρια.  Ωστόσο, ως επί το πλείστον η προστασία επιτεύχθηκε μέσω της εφαρμογής διαδικαστικών ελέγχων χειρισμού. [13] Οι ευαίσθητες πληροφορίες επισημάνθηκαν για να υποδείξουν ότι πρέπει να προστατεύονται και να μεταφέρονται από αξιόπιστα άτομα, να φυλάσσονται και να αποθηκεύονται σε ασφαλές περιβάλλον ή ισχυρό κουτί.  Καθώς οι ταχυδρομικές υπηρεσίες επεκτάθηκαν, οι κυβερνήσεις δημιούργησαν επίσημους οργανισμούς για να υποκλέψουν, να αποκρυπτογραφήσουν, να διαβάσουν και να επανασφραγίσουν επιστολές. [14]

Στα μέσα του δέκατου ένατου αιώνα αναπτύχθηκαν πιο πολύπλοκα συστήματα ταξινόμησης για να επιτρέψουν στις κυβερνήσεις να διαχειρίζονται τις πληροφορίες τους σύμφωνα με τον βαθμό ευαισθησίας.[15]  Για παράδειγμα, η βρετανική κυβέρνηση κωδικοποίησε αυτό, σε κάποιο βαθμό, με τη δημοσίευση του επίσημου μυστικού νόμου το 1889. [16]  Το τμήμα 1 του νόμου αφορούσε την κατασκοπεία και την παράνομη αποκάλυψη πληροφοριών, ενώ το τμήμα 2 αφορούσε παραβιάσεις επίσημη εμπιστοσύνη.[17]  Σύντομα προστέθηκε μια υπεράσπιση δημοσίου συμφέροντος για την υπεράσπιση των αποκαλύψεων προς το συμφέρον του κράτους. Ένας παρόμοιος νόμος ψηφίστηκε στην Ινδία το 1889, ο νόμος για τα επίσημα μυστικά της Ινδίας, ο οποίος συνδέθηκε με τη βρετανική αποικιακή εποχή και χρησιμοποιήθηκε για την καταστολή των εφημερίδων που αντιτίθεντο στις πολιτικές του Ρατζ. [18] Μια νεότερη έκδοση εγκρίθηκε το 1923 που επεκτάθηκε σε όλα τα θέματα εμπιστευτικών ή μυστικών πληροφοριών για τη διακυβέρνηση. [19] Την εποχή του Πρώτου Παγκοσμίου Πολέμου , τα συστήματα ταξινόμησης πολλαπλών επιπέδων χρησιμοποιήθηκαν για την επικοινωνία πληροφοριών προς και από διάφορα μέτωπα, τα οποία ενθάρρυναν τη μεγαλύτερη χρήση της δημιουργίας κωδικών και της διάσπασης τμημάτων στα διπλωματικά και στρατιωτικά αρχηγεία.  Η κωδικοποίηση έγινε πιο περίπλοκη μεταξύ των πολέμων καθώς χρησιμοποιήθηκαν μηχανές για την ανακύκλωση και την αποκωδικοποίηση πληροφοριών. [20]

Η καθιέρωση της ασφάλειας των υπολογιστών εγκαινίασε την ιστορία της ασφάλειας των πληροφοριών. Η ανάγκη για τέτοια εμφανίστηκε κατά τη διάρκεια του Β 'Παγκοσμίου Πολέμου .  Ο όγκος των πληροφοριών που μοιράστηκαν οι Συμμαχικές χώρες κατά τη διάρκεια του Β' Παγκοσμίου Πολέμου κατέστησε αναγκαία την επίσημη ευθυγράμμιση των συστημάτων ταξινόμησης και των διαδικαστικών ελέγχων. [21] Μια απόκρυφη σειρά σημάνσεων αναπτύχθηκε για να υποδείξει ποιος μπορούσε να χειριστεί έγγραφα (συνήθως αξιωματικοί και όχι στρατευμένοι) και πού έπρεπε να αποθηκευτούν καθώς αναπτύχθηκαν όλο και πιο περίπλοκα χρηματοκιβώτια και εγκαταστάσεις αποθήκευσης.  Η Μηχανή Enigma , η οποία χρησιμοποιήθηκε από τους Γερμανούς για την κρυπτογράφηση των δεδομένων του πολέμου και αποκρυπτογραφήθηκε με επιτυχία από τον Άλαν Τούρινγκ, μπορεί να θεωρηθεί ως ένα εντυπωσιακό παράδειγμα δημιουργίας και χρήσης ασφαλών πληροφοριών.  Οι διαδικασίες εξελίχθηκαν για να διασφαλιστεί ότι τα έγγραφα καταστράφηκαν σωστά, και η αποτυχία να ακολουθηθούν αυτές οι διαδικασίες ήταν που οδήγησε σε μερικά από τα μεγαλύτερα πραξικοπήματα πληροφοριών του πολέμου.[22]

Διάφοροι υπολογιστές Mainframe συνδέθηκαν διαδικτυακά κατά τη διάρκεια του Ψυχρού Πολέμου για να ολοκληρώσουν πιο εξελιγμένες εργασίες, σε μια διαδικασία επικοινωνίας πιο εύκολη από την αποστολή μαγνητικών ταινιών εμπρός και πίσω από τα κέντρα υπολογιστών. Ως εκ τούτου, η Υπηρεσία Προηγμένων Ερευνητικών Έργων (ARPA), του Υπουργείου Άμυνας των Ηνωμένων Πολιτειών , άρχισε να ερευνά τη σκοπιμότητα ενός δικτυωμένου συστήματος επικοινωνίας για το εμπόριο πληροφοριών εντός των Ενόπλων Δυνάμεων των Ηνωμένων Πολιτειών . Το 1968, το έργο ARPANET διατυπώθηκε από τον Δρ. Larry Roberts , το οποίο αργότερα θα εξελιχθεί σε αυτό που είναι γνωστό ως διαδίκτυο . [23]

Το 1973, σημαντικά στοιχεία της ασφάλειας του ARPANET διαπιστώθηκε από τον πρωτοπόρο του Διαδικτύου Robert Metcalfe ότι είχαν πολλά ελαττώματα όπως: "ευπάθεια της δομής και των μορφών κωδικών πρόσβασης, έλλειψη διαδικασιών ασφαλείας για συνδέσεις μέσω τηλεφώνου και ανύπαρκτη αναγνώριση και εξουσιοδότηση χρήστη", εκτός από από την έλλειψη ελέγχων και διασφαλίσεων για την προστασία των δεδομένων από μη εξουσιοδοτημένη πρόσβαση. Οι χάκερ είχαν αβίαστη πρόσβαση στο ARPANET, καθώς οι αριθμοί τηλεφώνου ήταν γνωστοί στο κοινό.  Λόγω αυτών των προβλημάτων, σε συνδυασμό με τη συνεχή παραβίαση της ασφάλειας των υπολογιστών, καθώς και την εκθετική αύξηση του αριθμού των κεντρικών υπολογιστών και των χρηστών του συστήματος, η "ασφάλεια δικτύου" συχνά αναφερόταν ως "ανασφάλεια δικτύου". [24]

Το τέλος του εικοστού αιώνα και τα πρώτα χρόνια του εικοστού πρώτου αιώνα σημείωσαν ραγδαίες εξελίξεις στις τηλεπικοινωνίες , το υλικό και το λογισμικό υπολογιστών και την κρυπτογράφηση δεδομένων .  Η διαθεσιμότητα μικρότερου, ισχυρότερου και φθηνότερου υπολογιστικού εξοπλισμού έκανε την ηλεκτρονική επεξεργασία δεδομένων να προσεγγίζει τις μικρές επιχειρήσεις και τους οικιακούς χρήστες.  Η καθιέρωση του Transfer Control Protocol/Internetwork Protocol (TCP/IP) στις αρχές της δεκαετίας του 1980 επέτρεψε την επικοινωνία διαφορετικών τύπων υπολογιστών.  Αυτοί οι υπολογιστές συνδέθηκαν γρήγορα μέσω του Διαδικτύου. [25]

Η ταχεία ανάπτυξη και η ευρεία χρήση της ηλεκτρονικής επεξεργασίας δεδομένων και των ηλεκτρονικών επιχειρήσεων που διεξάγονται μέσω του Διαδικτύου, μαζί με πολυάριθμα περιστατικά διεθνούς τρομοκρατίας , τροφοδότησε την ανάγκη για καλύτερες μεθόδους προστασίας των υπολογιστών και των πληροφοριών που αποθηκεύουν, επεξεργάζονται και μεταδίδουν.

Κίνδυνοι[Επεξεργασία | επεξεργασία κώδικα]

Σε γενικές γραμμές, ο κίνδυνος είναι η πιθανότητα να συμβεί κάτι κακό που θα προκαλέσει βλάβη σε ένα πληροφοριακό περιουσιακό στοιχείο (ή στην απώλεια του περιουσιακού στοιχείου).  Μια ευπάθεια είναι μια αδυναμία που θα μπορούσε να χρησιμοποιηθεί για να θέσει σε κίνδυνο ή να προκαλέσει βλάβη σε ένα πληροφοριακό στοιχείο. Απειλή είναι οτιδήποτε (ανθρωπογενές ή φυσική πράξη ) που έχει τη δυνατότητα να προκαλέσει βλάβη. [26]  Η πιθανότητα ότι μια απειλή θα χρησιμοποιήσει μια ευπάθεια για να προκαλέσει βλάβη δημιουργεί κίνδυνο. Όταν μια απειλή χρησιμοποιεί μια ευπάθεια για να προκαλέσει βλάβη, έχει αντίκτυπο.  Στο πλαίσιο της ασφάλειας των πληροφοριών, ο αντίκτυπος είναι απώλεια διαθεσιμότητας, ακεραιότητας και εμπιστευτικότητας, και πιθανώς άλλες απώλειες (απώλεια εισοδήματος, απώλεια ζωής, απώλεια ακίνητης περιουσίας). [27]

Το Εγχειρίδιο Ανασκόπησης Πιστοποιημένου Ελεγκτή Πληροφοριακών Συστημάτων (CISA) 2006 ορίζει τη διαχείριση κινδύνου ως «τη διαδικασία εντοπισμού τρωτών σημείων και απειλών για τους πόρους πληροφοριών που χρησιμοποιούνται από έναν οργανισμό για την επίτευξη των επιχειρηματικών στόχων και αποφασίζοντας ποια αντίμετρα ,  εάν υπάρχουν, να λάβει. μείωση του κινδύνου σε ένα αποδεκτό επίπεδο, με βάση την αξία του πόρου πληροφοριών για τον οργανισμό." [28]

Υπάρχουν δύο πράγματα σε αυτόν τον ορισμό που μπορεί να χρειάζονται κάποια διευκρίνιση. Πρώτον, η διαδικασία διαχείρισης κινδύνου είναι μια συνεχής, επαναληπτική διαδικασία . Πρέπει να επαναλαμβάνεται επ' αόριστον. Το επιχειρηματικό περιβάλλον αλλάζει συνεχώς και νέες απειλές και τρωτά σημεία εμφανίζονται καθημερινά.  Δεύτερον, η επιλογή των αντίμετρων ( ελέγχων ) που χρησιμοποιούνται για τη διαχείριση των κινδύνων πρέπει να επιτυγχάνει μια ισορροπία μεταξύ της παραγωγικότητας, του κόστους, της αποτελεσματικότητας του αντιμέτρου και της αξίας του πληροφοριακού στοιχείου που προστατεύεται. Επιπλέον, αυτές οι διαδικασίες έχουν περιορισμούς, καθώς οι παραβιάσεις της ασφάλειας είναι γενικά σπάνιες και εμφανίζονται σε ένα συγκεκριμένο πλαίσιο το οποίο μπορεί να μην είναι εύκολο να αναπαραχθεί. [29] Επομένως, οποιαδήποτε διαδικασία και αντίμετρο θα πρέπει να αξιολογούνται για ευπάθειες.  Δεν είναι δυνατός ο εντοπισμός όλων των κινδύνων, ούτε είναι δυνατόν να εξαλειφθούν όλοι οι κίνδυνοι. Ο υπολειπόμενος κίνδυνος ονομάζεται "υπολειπόμενος κίνδυνος." [30]

Η αξιολόγηση κινδύνου διενεργείται από μια ομάδα ατόμων που έχουν γνώση συγκεκριμένων τομέων της επιχείρησης.  Τα μέλη της ομάδας ενδέχεται να διαφέρουν με την πάροδο του χρόνου καθώς αξιολογούνται διαφορετικά μέρη της επιχείρησης.  Η αξιολόγηση μπορεί να χρησιμοποιεί μια υποκειμενική ποιοτική ανάλυση που βασίζεται σε τεκμηριωμένη γνώμη ή όπου υπάρχουν αξιόπιστα στοιχεία σε δολάρια και ιστορικές πληροφορίες, η ανάλυση μπορεί να χρησιμοποιεί ποσοτική ανάλυση. [31]

Η έρευνα έχει δείξει ότι το πιο ευάλωτο σημείο στα περισσότερα συστήματα πληροφοριών είναι ο άνθρωπος χρήστης, χειριστής, σχεδιαστής ή άλλος άνθρωπος.  Ο κώδικας πρακτικής ISO/IEC 27002:2005 για τη διαχείριση της ασφάλειας πληροφοριών συνιστά να εξεταστούν τα ακόλουθα κατά την αξιολόγηση κινδύνου:

  • πολιτική ασφαλείας ,
  • οργάνωση της ασφάλειας των πληροφοριών,
  • διαχείριση περιουσιακών στοιχείων ,
  • ασφάλεια ανθρώπινου δυναμικού ,
  • φυσική και περιβαλλοντική ασφάλεια ,
  • διαχείριση επικοινωνιών και λειτουργιών,
  • έλεγχος πρόσβασης ,
  • απόκτηση, ανάπτυξη και συντήρηση πληροφοριακών συστημάτων,
  • διαχείριση συμβάντων ασφάλειας πληροφοριών ,
  • διαχείριση της επιχειρηματικής συνέχειας
  • Κανονιστική Συμμόρφωση.

Σε γενικές γραμμές, η διαδικασία διαχείρισης κινδύνου αποτελείται από:

  1. Προσδιορισμός περιουσιακών στοιχείων και εκτίμηση της αξίας τους. Συμπεριλάβετε: άτομα, κτίρια, υλικό, λογισμικό, δεδομένα (ηλεκτρονικά, έντυπα, άλλα), προμήθειες.
  2. Πραγματοποιήστε αξιολόγηση απειλών . Περιλαμβάνονται: Πράξεις της φύσης, πράξεις πολέμου, ατυχήματα, κακόβουλες ενέργειες που προέρχονται από το εσωτερικό ή το εξωτερικό του οργανισμού.
  3. Πραγματοποιήστε μια αξιολόγηση ευπάθειας και για κάθε ευπάθεια, υπολογίστε την πιθανότητα εκμετάλλευσης. Αξιολογήστε πολιτικές, διαδικασίες, πρότυπα, εκπαίδευση, φυσική ασφάλεια , ποιοτικό έλεγχο , τεχνική ασφάλεια.
  4. Υπολογίστε τον αντίκτυπο που θα είχε κάθε απειλή σε κάθε περιουσιακό στοιχείο. Χρησιμοποιήστε ποιοτική ανάλυση ή ποσοτική ανάλυση.
  5. Προσδιορίστε, επιλέξτε και εφαρμόστε τους κατάλληλους ελέγχους. Δώστε μια ανάλογη απάντηση. Λάβετε υπόψη την παραγωγικότητα, τη σχέση κόστους-αποτελεσματικότητας και την αξία του περιουσιακού στοιχείου.
  6. Αξιολογήστε την αποτελεσματικότητα των μέτρων ελέγχου. Βεβαιωθείτε ότι οι έλεγχοι παρέχουν την απαιτούμενη οικονομικά αποδοτική προστασία χωρίς αισθητή απώλεια παραγωγικότητας.

Για κάθε δεδομένο κίνδυνο, η διοίκηση μπορεί να επιλέξει να αποδεχθεί τον κίνδυνο με βάση τη σχετικά χαμηλή αξία του περιουσιακού στοιχείου, τη σχετικά χαμηλή συχνότητα εμφάνισης και τη σχετικά χαμηλή επίπτωση στην επιχείρηση.  Ή, η ηγεσία μπορεί να επιλέξει να μετριάσει τον κίνδυνο επιλέγοντας και εφαρμόζοντας κατάλληλα μέτρα ελέγχου για τη μείωση του κινδύνου. Σε ορισμένες περιπτώσεις, ο κίνδυνος μπορεί να μεταφερθεί σε άλλη επιχείρηση με την αγορά ασφάλισης ή την εξωτερική ανάθεση σε άλλη επιχείρηση.  Η πραγματικότητα ορισμένων κινδύνων μπορεί να αμφισβητηθεί. Σε τέτοιες περιπτώσεις η ηγεσία μπορεί να επιλέξει να αρνηθεί τον κίνδυνο.

Μέτρα ασφαλείας[Επεξεργασία | επεξεργασία κώδικα]

Η επιλογή και η εφαρμογή κατάλληλων ελέγχων ασφαλείας θα βοηθήσει αρχικά έναν οργανισμό να μειώσει τον κίνδυνο σε αποδεκτά επίπεδα. [32]  Η επιλογή ελέγχου θα πρέπει να ακολουθήσει και θα πρέπει να βασίζεται στην εκτίμηση κινδύνου.  Οι έλεγχοι μπορεί να ποικίλλουν ως προς τη φύση, αλλά ουσιαστικά αποτελούν τρόπους προστασίας της εμπιστευτικότητας, της ακεραιότητας ή της διαθεσιμότητας των πληροφοριών. Το ISO/IEC 27001 έχει ορίσει ελέγχους σε διαφορετικούς τομείς.  Οι οργανισμοί μπορούν να εφαρμόσουν πρόσθετους ελέγχους σύμφωνα με τις απαιτήσεις του οργανισμού.  Το ISO/IEC 27002 προσφέρει μια κατευθυντήρια γραμμή για τα πρότυπα ασφάλειας των πληροφοριών του οργανισμού. [33]

Διοικητικοί έλεγχοι[Επεξεργασία | επεξεργασία κώδικα]

Οι διοικητικοί έλεγχοι (ονομάζονται επίσης διαδικαστικοί έλεγχοι) αποτελούνται από εγκεκριμένες γραπτές πολιτικές, διαδικασίες, πρότυπα και κατευθυντήριες γραμμές. Οι διοικητικοί έλεγχοι αποτελούν το πλαίσιο για τη λειτουργία της επιχείρησης και τη διαχείριση ανθρώπων.  Ενημερώνουν τους ανθρώπους για το πώς θα λειτουργεί η επιχείρηση και πώς θα διεξάγονται οι καθημερινές λειτουργίες. [34] Οι νόμοι και οι κανονισμοί που δημιουργούνται από κυβερνητικούς φορείς αποτελούν επίσης ένα είδος διοικητικού ελέγχου επειδή ενημερώνουν την επιχείρηση.  Ορισμένοι κλάδοι έχουν πολιτικές, διαδικασίες, πρότυπα και οδηγίες που πρέπει να ακολουθούνται – το Πρότυπο Ασφάλειας Δεδομένων Βιομηχανίας Καρτών Πληρωμής  (PCI DSS) που απαιτείται από τη Visa και τη MasterCardείναι ένα τέτοιο παράδειγμα. Άλλα παραδείγματα διαχειριστικών ελέγχων περιλαμβάνουν την εταιρική πολιτική ασφάλειας, την πολιτική κωδικού πρόσβασης , τις πολιτικές πρόσληψης και τις πειθαρχικές πολιτικές. [35]

Οι διοικητικοί έλεγχοι αποτελούν τη βάση για την επιλογή και την εφαρμογή λογικών και φυσικών ελέγχων. Οι λογικοί και φυσικοί έλεγχοι είναι εκδηλώσεις διοικητικών ελέγχων, οι οποίοι είναι υψίστης σημασίας.

Λογικοί έλεγχοι[Επεξεργασία | επεξεργασία κώδικα]

Οι λογικοί έλεγχοι (ονομάζονται επίσης τεχνικοί έλεγχοι) χρησιμοποιούν λογισμικό και δεδομένα για την παρακολούθηση και τον έλεγχο της πρόσβασης σε πληροφορίες και υπολογιστικά συστήματα. Οι κωδικοί πρόσβασης, τα τείχη προστασίας δικτύου και κεντρικών υπολογιστών, τα συστήματα ανίχνευσης εισβολής στο δίκτυο , οι λίστες ελέγχου πρόσβασης και η κρυπτογράφηση δεδομένων είναι παραδείγματα λογικών ελέγχων. [36]

Ένας σημαντικός λογικός έλεγχος που συχνά παραβλέπεται είναι η αρχή του ελάχιστου προνομίου, η οποία απαιτεί να μην παραχωρούνται σε ένα άτομο, πρόγραμμα ή διαδικασία συστήματος περισσότερα δικαιώματα πρόσβασης από όσα είναι απαραίτητα για την εκτέλεση της εργασίας.  Ένα κραυγαλέο παράδειγμα της αποτυχίας τήρησης της αρχής των ελάχιστων προνομίων είναι η σύνδεση στα Windows ως διαχειριστής χρήστη για την ανάγνωση email και την περιήγηση στο διαδίκτυο. Παραβιάσεις αυτής της αρχής μπορούν επίσης να συμβούν όταν ένα άτομο συλλέγει πρόσθετα δικαιώματα πρόσβασης με την πάροδο του χρόνου.  Αυτό συμβαίνει όταν αλλάζουν τα εργασιακά καθήκοντα των εργαζομένων, οι εργαζόμενοι προάγονται σε νέα θέση ή οι υπάλληλοι μετατίθενται σε άλλο τμήμα. Τα δικαιώματα πρόσβασης που απαιτούνται από τα νέα τους καθήκοντα προστίθενται συχνά στα ήδη υπάρχοντα δικαιώματα πρόσβασης, τα οποία μπορεί να μην είναι πλέον απαραίτητα ή κατάλληλα. [37]

Φυσικοί έλεγχοι[Επεξεργασία | επεξεργασία κώδικα]

Οι φυσικοί έλεγχοι παρακολουθούν και ελέγχουν το περιβάλλον του χώρου εργασίας και των υπολογιστικών εγκαταστάσεων.  Επίσης, παρακολουθούν και ελέγχουν την πρόσβαση από και προς αυτές τις εγκαταστάσεις και περιλαμβάνουν πόρτες, κλειδαριές, θέρμανση και κλιματισμό, συναγερμούς καπνού και πυρκαγιάς, συστήματα πυρόσβεσης, κάμερες, οδοφράγματα, περιφράξεις, φρουρούς ασφαλείας, κλειδαριές καλωδίων κ.λπ. δίκτυο και το χώρο εργασίας σε λειτουργικές περιοχές αποτελούν επίσης φυσικούς ελέγχους. [38]

Ένας σημαντικός φυσικός έλεγχος που συχνά παραβλέπεται είναι ο διαχωρισμός των καθηκόντων, ο οποίος διασφαλίζει ότι ένα άτομο δεν μπορεί να ολοκληρώσει μόνο του μια κρίσιμη εργασία.  Για παράδειγμα, ένας υπάλληλος που υποβάλλει αίτημα επιστροφής εξόδων δεν θα πρέπει επίσης να μπορεί να εξουσιοδοτήσει την πληρωμή ή να εκτυπώσει την επιταγή.  Ένας προγραμματιστής εφαρμογών δεν θα πρέπει επίσης να είναι ο διαχειριστής διακομιστή ή ο διαχειριστής της βάσης δεδομένων . Αυτοί οι ρόλοι και οι ευθύνες πρέπει να διαχωρίζονται μεταξύ τους. [39]

Πρόσβαση[Επεξεργασία | επεξεργασία κώδικα]

Η πρόσβαση σε προστατευμένες πληροφορίες πρέπει να περιορίζεται σε άτομα που είναι εξουσιοδοτημένα να έχουν πρόσβαση στις πληροφορίες.  Τα προγράμματα υπολογιστών, και σε πολλές περιπτώσεις οι υπολογιστές που επεξεργάζονται τις πληροφορίες, πρέπει επίσης να είναι εξουσιοδοτημένα.  Αυτό απαιτεί να υπάρχουν μηχανισμοί για τον έλεγχο της πρόσβασης σε προστατευμένες πληροφορίες.  Η πολυπλοκότητα των μηχανισμών ελέγχου πρόσβασης θα πρέπει να είναι ανάλογη με την αξία των πληροφοριών που προστατεύονται. Όσο πιο ευαίσθητες ή πολύτιμες είναι οι πληροφορίες τόσο ισχυρότεροι πρέπει να είναι οι μηχανισμοί ελέγχου.  Η βάση πάνω στην οποία χτίζονται οι μηχανισμοί ελέγχου πρόσβασης ξεκινά με την αναγνώριση και τον έλεγχο ταυτότητας . [40]

Ο έλεγχος πρόσβασης εξετάζεται γενικά σε τρία βήματα: αναγνώριση, έλεγχος ταυτότητας και εξουσιοδότηση .

Ταύτιση[Επεξεργασία | επεξεργασία κώδικα]

Η ταύτιση είναι μια διαβεβαίωση του ποιος είναι κάποιος ή τι είναι κάτι. Εάν ένα άτομο κάνει τη δήλωση "Γεια, με λένε John Doe ", ισχυρίζεται ποιος είναι.  Ωστόσο, ο ισχυρισμός τους μπορεί να είναι ή όχι αληθινός. Προτού παραχωρηθεί στον John Doe πρόσβαση σε προστατευμένες πληροφορίες, θα πρέπει να επαληθευτεί ότι το άτομο που ισχυρίζεται ότι είναι ο John Doe είναι πραγματικά ο John Doe.  Συνήθως η αξίωση έχει τη μορφή ονόματος χρήστη. Με την εισαγωγή αυτού του ονόματος χρήστη ισχυρίζεστε "Είμαι το άτομο στο οποίο ανήκει το όνομα χρήστη". [41]

Ελεγχος ταυτότητας[Επεξεργασία | επεξεργασία κώδικα]

Ο έλεγχος ταυτότητας είναι η πράξη επαλήθευσης μιας αξίωσης ταυτότητας. Όταν ο John Doe πηγαίνει σε μια τράπεζα για να κάνει ανάληψη, λέει στον ταμία της τράπεζας ότι είναι ο John Doe, ισχυριζόμενος την ταυτότητα.  ​​Ο ταμίας της τράπεζας ζητά να δει μια φωτογραφία ταυτότητας, οπότε δίνει στον ταμία την άδεια οδήγησής του .[42]  Ο ταμίας της τράπεζας ελέγχει την άδεια για να βεβαιωθεί ότι έχει τυπωμένη τον John Doe και συγκρίνει τη φωτογραφία στην άδεια με το άτομο που ισχυρίζεται ότι είναι ο John Doe.  Εάν η φωτογραφία και το όνομα ταιριάζουν με το άτομο, τότε ο ταμίας έχει επιβεβαιώσει ότι ο John Doe είναι αυτός που ισχυρίστηκε ότι είναι. Ομοίως, εισάγοντας τον σωστό κωδικό πρόσβασης, ο χρήστης παρέχει αποδεικτικά στοιχεία ότι είναι το άτομο στο οποίο ανήκει το όνομα χρήστη. [43]

Υπάρχουν τρεις διαφορετικοί τύποι πληροφοριών που μπορούν να χρησιμοποιηθούν για έλεγχο ταυτότητας:

  • Κάτι που γνωρίζετε: πράγματα όπως ένα PIN, ένας κωδικός πρόσβασης ή το πατρικό όνομα της μητέρας σας
  • Κάτι που έχετε: άδεια οδήγησης ή κάρτα μαγνητικής ολίσθησης
  • Κάτι που είστε: βιομετρικά στοιχεία , συμπεριλαμβανομένων αποτυπωμάτων παλάμης , δακτυλικών αποτυπωμάτων , φωνητικών αποτυπωμάτων και σαρώσεων αμφιβληστροειδούς (ματιού)

Ο ισχυρός έλεγχος ταυτότητας απαιτεί την παροχή περισσότερων του ενός τύπων πληροφοριών ελέγχου ταυτότητας (έλεγχος ταυτότητας δύο παραγόντων).  Το όνομα χρήστη είναι η πιο κοινή μορφή αναγνώρισης στα συστήματα υπολογιστών σήμερα και ο κωδικός πρόσβασης είναι η πιο κοινή μορφή ελέγχου ταυτότητας.  Τα ονόματα χρήστη και οι κωδικοί πρόσβασης έχουν εξυπηρετήσει τον σκοπό τους, αλλά είναι όλο και πιο ανεπαρκή.  Τα ονόματα χρήστη και οι κωδικοί πρόσβασης αντικαθίστανται σιγά σιγά ή συμπληρώνονται με πιο εξελιγμένους μηχανισμούς ελέγχου ταυτότητας, όπως αλγόριθμους κωδικών πρόσβασης μίας χρήσης που βασίζονται στον χρόνο . [44]

Cryptography[Επεξεργασία | επεξεργασία κώδικα]

Η ασφάλεια πληροφοριών χρησιμοποιεί κρυπτογραφία για να μετατρέψει τις χρησιμοποιήσιμες πληροφορίες σε μια φόρμα που τις καθιστά αχρησιμοποίητες από οποιονδήποτε άλλο εκτός από εξουσιοδοτημένο χρήστη. αυτή η διαδικασία ονομάζεται κρυπτογράφηση .  Οι πληροφορίες που έχουν κρυπτογραφηθεί (καθίστανται άχρηστες) μπορούν να μετατραπούν ξανά στην αρχική τους χρησιμοποιήσιμη μορφή από εξουσιοδοτημένο χρήστη που κατέχει το κρυπτογραφικό κλειδί , μέσω της διαδικασίας αποκρυπτογράφησης.  Η κρυπτογραφία χρησιμοποιείται στην ασφάλεια των πληροφοριών για την προστασία των πληροφοριών από μη εξουσιοδοτημένη ή τυχαία αποκάλυψη κατά τη μεταφορά των πληροφοριών και ενώ οι πληροφορίες βρίσκονται σε αποθήκευση. [45]

Η κρυπτογραφία παρέχει ασφάλεια πληροφοριών και με άλλες χρήσιμες εφαρμογές, συμπεριλαμβανομένων βελτιωμένων μεθόδων ελέγχου ταυτότητας, αναλύσεων μηνυμάτων, ψηφιακών υπογραφών, μη απόρριψης και κρυπτογραφημένων επικοινωνιών δικτύου.  Παλαιότερες, λιγότερο ασφαλείς εφαρμογές όπως το Telnet και το Πρωτόκολλο Μεταφοράς Αρχείων (FTP) αντικαθίστανται σιγά σιγά με πιο ασφαλείς εφαρμογές όπως το Secure Shell (SSH) που χρησιμοποιούν κρυπτογραφημένες επικοινωνίες δικτύου.  ασύρματες επικοινωνίες μπορούν να κρυπτογραφηθούν χρησιμοποιώντας πρωτόκολλα όπως το WPA/WPA2 ή το παλαιότερο (και λιγότερο ασφαλές) WEP .[46] Ενσύρματες επικοινωνίες (όπως ITU‑T G.hn) είναι ασφαλισμένα με χρήση AES για κρυπτογράφηση και X.1035 για έλεγχο ταυτότητας και ανταλλαγή κλειδιών.  Εφαρμογές λογισμικού όπως το GnuPG ή το PGP μπορούν να χρησιμοποιηθούν για την κρυπτογράφηση αρχείων δεδομένων και email.

Η κρυπτογραφία μπορεί να δημιουργήσει προβλήματα ασφάλειας όταν δεν εφαρμόζεται σωστά.  Οι κρυπτογραφικές λύσεις πρέπει να υλοποιηθούν χρησιμοποιώντας λύσεις αποδεκτές από τη βιομηχανία που έχουν υποβληθεί σε αυστηρή αξιολόγηση από ομοτίμους από ανεξάρτητους ειδικούς στην κρυπτογραφία.  Το μήκος και η ισχύς του κλειδιού κρυπτογράφησης είναι επίσης σημαντική.  Ένα κλειδί που είναι αδύναμο ή πολύ μικρό θα παράγει ασθενή κρυπτογράφηση.  Τα κλειδιά που χρησιμοποιούνται για κρυπτογράφηση και αποκρυπτογράφηση πρέπει να προστατεύονται με τον ίδιο βαθμό αυστηρότητας όπως κάθε άλλη εμπιστευτική πληροφορία.  Πρέπει να προστατεύονται από μη εξουσιοδοτημένη αποκάλυψη και καταστροφή και πρέπει να είναι διαθέσιμα όταν χρειάζεται. Οι λύσεις υποδομής δημόσιου κλειδιού (PKI) αντιμετωπίζουν πολλά από τα προβλήματα που περιβάλλουν τη διαχείριση κλειδιών . [47]

Αμυνα σε βάθος[Επεξεργασία | επεξεργασία κώδικα]

Η ασφάλεια των πληροφοριών πρέπει να προστατεύει τις πληροφορίες καθ' όλη τη διάρκεια ζωής τους, από την αρχική δημιουργία των πληροφοριών έως την τελική διάθεση των πληροφοριών.  Οι πληροφορίες πρέπει να προστατεύονται κατά την κίνηση και την ηρεμία. Κατά τη διάρκεια της ζωής τους, η πληροφορία μπορεί να περάσει από πολλά διαφορετικά συστήματα επεξεργασίας πληροφοριών και από πολλά διαφορετικά μέρη συστημάτων επεξεργασίας πληροφοριών.  Υπάρχουν πολλοί διαφορετικοί τρόποι με τους οποίους μπορεί να απειληθούν τα συστήματα πληροφοριών και πληροφοριών.[48] Για την πλήρη προστασία των πληροφοριών κατά τη διάρκεια ζωής τους, κάθε στοιχείο του συστήματος επεξεργασίας πληροφοριών πρέπει να έχει τους δικούς του μηχανισμούς προστασίας.  Η δημιουργία, η επίστρωση και η επικάλυψη μέτρων ασφαλείας ονομάζεται «άμυνα σε βάθος». Σε αντίθεση με μια μεταλλική αλυσίδα, η οποία είναι περίφημα τόσο ισχυρή όσο ο πιο αδύναμος κρίκος της, η στρατηγική άμυνας σε βάθος στοχεύει σε μια δομή όπου, εάν ένα αμυντικό μέτρο αποτύχει, άλλα μέτρα θα συνεχίσουν να παρέχουν προστασία. [49]

Θυμηθείτε την προηγούμενη συζήτηση σχετικά με τους διαχειριστικούς ελέγχους, τους λογικούς ελέγχους και τους φυσικούς ελέγχους. Οι τρεις τύποι ελέγχων μπορούν να χρησιμοποιηθούν για να αποτελέσουν τη βάση πάνω στην οποία θα χτιστεί μια στρατηγική άμυνας σε βάθος.  Με αυτήν την προσέγγιση, η άμυνα σε βάθος μπορεί να θεωρηθεί ως τρία διαφορετικά στρώματα ή επίπεδα τοποθετημένα το ένα πάνω στο άλλο.  Πρόσθετη εικόνα για την άμυνα σε βάθος μπορεί να αποκτηθεί θεωρώντας ότι σχηματίζει τα στρώματα ενός κρεμμυδιού, με δεδομένα στον πυρήνα του κρεμμυδιού, τους ανθρώπους το επόμενο εξωτερικό στρώμα του κρεμμυδιού και την ασφάλεια δικτύου , την ασφάλεια που βασίζεται στον κεντρικό υπολογιστή και ασφάλεια εφαρμογής που σχηματίζει τα εξωτερικά στρώματα του κρεμμυδιού. Και οι δύο προοπτικές είναι εξίσου έγκυρες και καθεμία παρέχει πολύτιμη εικόνα για την εφαρμογή μιας καλής στρατηγικής άμυνας σε βάθος. [50]

Οργανισμοί και Υπηρεσίες[Επεξεργασία | επεξεργασία κώδικα]

Ο Διεθνής Οργανισμός Τυποποίησης (ISO) είναι ένας διεθνής οργανισμός τυποποίησης που οργανώνεται ως κοινοπραξία εθνικών ιδρυμάτων τυποποίησης από 167 χώρες, που συντονίζεται μέσω μιας γραμματείας στη Γενεύη της Ελβετίας. Το ISO είναι ο μεγαλύτερος κατασκευαστής διεθνών προτύπων στον κόσμο. Η Διεθνής Ηλεκτροτεχνική Επιτροπή (IEC) είναι ένας διεθνής οργανισμός προτύπων που ασχολείται με την ηλεκτροτεχνολογία και συνεργάζεται στενά με το ISO.

Το Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας των ΗΠΑ (NIST) είναι μια μη ρυθμιστική ομοσπονδιακή υπηρεσία στο Υπουργείο Εμπορίου των ΗΠΑ . Η Διεύθυνση Ασφάλειας Υπολογιστών NIST αναπτύσσει πρότυπα, μετρήσεις, δοκιμές και προγράμματα επικύρωσης, καθώς και δημοσιεύει πρότυπα και κατευθυντήριες γραμμές για να αυξήσει τον ασφαλή σχεδιασμό, υλοποίηση, διαχείριση και λειτουργία πληροφορικής. Το NIST είναι επίσης ο θεματοφύλακας των εκδόσεων του Ομοσπονδιακού Προτύπου Επεξεργασίας Πληροφοριών των ΗΠΑ (FIPS).

Η Εταιρεία Διαδικτύου είναι μια επαγγελματική ένωση μελών με περισσότερους από 100 οργανισμούς και περισσότερα από 20.000 μεμονωμένα μέλη σε περισσότερες από 180 χώρες. Παρέχει ηγετική θέση στην αντιμετώπιση ζητημάτων που αντιμετωπίζουν το μέλλον του Διαδικτύου και είναι το οργανωτικό σπίτι για τις ομάδες που είναι υπεύθυνες για τα πρότυπα υποδομής Διαδικτύου, συμπεριλαμβανομένης της Ομάδας Εργασίας Μηχανικής Διαδικτύου (IETF) και του Συμβουλίου Αρχιτεκτονικής Διαδικτύου (IAB). Το ISOC φιλοξενεί τα Αιτήματα για Σχόλια (RFC) τα οποία περιλαμβάνουν τα Επίσημα Πρότυπα Πρωτοκόλλου Διαδικτύου και το Εγχειρίδιο ασφάλειας τοποθεσίας RFC-2196 .

Το Φόρουμ Ασφάλειας Πληροφοριών (ISF) είναι ένας παγκόσμιος μη κερδοσκοπικός οργανισμός πολλών εκατοντάδων κορυφαίων οργανισμών στις χρηματοοικονομικές υπηρεσίες, τη μεταποίηση, τις τηλεπικοινωνίες, τα καταναλωτικά αγαθά, την κυβέρνηση και άλλους τομείς. Αναλαμβάνει έρευνα σχετικά με πρακτικές ασφάλειας πληροφοριών και προσφέρει συμβουλές στο Πρότυπο Καλής Πρακτικής του ανά διετία και πιο λεπτομερείς συμβουλές για τα μέλη.

Το Ινστιτούτο Επαγγελματιών Ασφάλειας Πληροφοριών (IISP) είναι ένας ανεξάρτητος, μη κερδοσκοπικός οργανισμός που διοικείται από τα μέλη του, με κύριο στόχο την προώθηση του επαγγελματισμού των επαγγελματιών της ασφάλειας πληροφοριών και ως εκ τούτου τον επαγγελματισμό του κλάδου στο σύνολό του. Το ινστιτούτο ανέπτυξε το IISP Skills Framework. Αυτό το πλαίσιο περιγράφει το εύρος των ικανοτήτων που αναμένονται από τους επαγγελματίες ασφάλειας πληροφοριών και διασφάλισης πληροφοριών για την αποτελεσματική εκτέλεση των ρόλων τους. Αναπτύχθηκε μέσω της συνεργασίας μεταξύ οργανισμών τόσο του ιδιωτικού όσο και του δημόσιου τομέα, παγκοσμίου φήμης ακαδημαϊκών και ηγετών ασφαλείας. [51]

Το Γερμανικό Ομοσπονδιακό Γραφείο για την Ασφάλεια Πληροφοριών. Τα πρότυπα BSI 100–1 έως 100-4 είναι ένα σύνολο συστάσεων που περιλαμβάνουν «μεθόδους, διαδικασίες, διαδικασίες, προσεγγίσεις και μέτρα σχετικά με την ασφάλεια πληροφοριών ".  Η Μεθοδολογία BSI-Standard 100-2 IT-Grundschutz περιγράφει πώς μπορεί να εφαρμοστεί και να λειτουργήσει η διαχείριση της ασφάλειας πληροφοριών. Το πρότυπο περιλαμβάνει έναν πολύ συγκεκριμένο οδηγό, τους IT Baseline Protection Catalogs (γνωστοί και ως IT-Grundschutz Catalogs). Πριν από το 2005, οι κατάλογοι ήταν παλαιότερα γνωστοί ως " IT Baseline ProtectionΕγχειρίδιο". Οι Κατάλογοι είναι μια συλλογή εγγράφων χρήσιμων για τον εντοπισμό και την καταπολέμηση αδύναμων σημείων που σχετίζονται με την ασφάλεια στο περιβάλλον πληροφορικής (σύμπλεγμα πληροφορικής). Η συλλογή περιλαμβάνει από τον Σεπτέμβριο του 2013 περισσότερες από 4.400 σελίδες με την εισαγωγή και τους καταλόγους. Η προσέγγιση IT-Grundschutz είναι ευθυγραμμισμένο με την οικογένεια ISO/IEC 2700x. [52]

Βιβλιογραφία[Επεξεργασία | επεξεργασία κώδικα]

  1. https://dl.acm.org/doi/10.1145/3210530.3210535
  2. https://www.sans.org/information-security/
  3. https://apps.dtic.mil/sti/citations/ADA421883
  4. https://en.wikipedia.org/wiki/Committee_on_National_Security_Systems
  5. http://www.isaca.org/Knowledge-Center/Documents/Glossary/glossary.pdf
  6. https://doi.org/10.1145%2F508171.508187
  7. https://doi.org/10.1016%2FS0167-4048%2803%2900407-3
  8. https://doi.org/10.1016%2FS0167-4048%2803%2900406-1
  9. https://doi.org/10.1080%2F19393559308551348
  10. https://books.google.com/books?id=Ak__GBAcHU0C
  11. https://byjus.com/biology/difference-between-data-and-information/
  12. https://dx.doi.org/10.1787/645173688502
  13. https://doi.org/10.5040%2F9781474245784.0005
  14. https://doi.org/10.5040%2F9781474245784.0005
  15. https://doi.org/10.2139%2Fssrn.3249510
  16. https://books.google.com/books?id=A8WoNp2vI-cC&pg=PA589
  17. https://dx.doi.org/10.7312/dunn93452-003
  18. https://dx.doi.org/10.4324/9781315542515-21
  19. https://indianexpress.com/article/explained/official-secrets-act-what-it-covers-when-it-has-been-used-questioned-rafale-deal-5616457/
  20. https://dx.doi.org/10.1163/2352-3786_dlws1_b9789004211452_019
  21. https://dx.doi.org/10.3138/9781442617117-003
  22. https://en.wikipedia.org/wiki/ISBN_(identifier)
  23. https://dx.doi.org/10.2307/j.ctt1cg4k28.13
  24. https://dx.doi.org/10.1016/s0097-8493(01)00149-2
  25. https://dx.doi.org/10.1016/s0097-8493(01)00149-2
  26. https://dx.doi.org/10.1136/bmj.311.6999.257
  27. https://dx.doi.org/10.1017/cbo9780511974557.003
  28. https://books.google.com/books?id=kqoyDwAAQBAJ&pg=PT38
  29. https://doi.org/10.1002%2F9781119419211.ch3
  30. https://dx.doi.org/10.1108/14637151211283320
  31. http://eprints.luiss.it/955/
  32. https://dx.doi.org/10.1111/j.1525-139x.2007.00317.x
  33. https://dx.doi.org/10.3403/9780580829109
  34. https://dx.doi.org/10.1201/9780203507933-6
  35. https://www.ideasforleaders.com/ideas/how-time-of-day-impacts-on-business-conversations
  36. https://dx.doi.org/10.1016/s1353-4858(02)09009-8
  37. https://dx.doi.org/10.1093/he/9780198814849.003.0019
  38. https://dx.doi.org/10.1049/pbpo057e_chb3
  39. https://dx.doi.org/10.1007/s11837-001-0195-4
  40. https://dx.doi.org/10.1093/oso/9780190944612.003.0003
  41. https://dx.doi.org/10.1016/0306-4379(88)90026-9
  42. https://dx.doi.org/10.3403/30170670u
  43. http://worldcat.org/oclc/951897116
  44. https://doi.org/10.4324%2F9780203169186_chapter_one
  45. https://books.google.com/books?id=9NI0AwAAQBAJ&pg=PA6
  46. https://dx.doi.org/10.1109/icce-asia.2016.7804782
  47. https://dx.doi.org/10.1007/978-3-642-13365-7_9
  48. https://doi.org/10.48009%2F2_iis_2008_343-350
  49. https://dx.doi.org/10.1201/9780203508046-3
  50. https://books.google.com/books?id=zb916YOr16wC&pg=PA546
  51. https://web.archive.org/web/20140315184556/https://www.iisp.org/imis15/iisp/Accreditation/Our_Skills_Framework/iispv2/Accreditation/Our_Skills_Framework.aspx?hkey=e77a6f03-9498-423e-aa7b-585381290ec4
  52. https://web.archive.org/web/20131203010908/https://www.bsi.bund.de/EN/Publications/BSIStandards/BSIStandards_node.html;jsessionid=8FB8A442EDCF66AECC34651426C22D11.2_cid359
  53. https://web.archive.org/web/20180922115139/http://www.jissec.org/Contents/V10/N3/V10N3-Samonas.html
  54. https://www.gartner.com/en/newsroom/press-releases/2017-10-02-gartner-says-digital-disruptors-are-impacting-all-industries-digital-kpis-are-crucial-to-measuring-success
  55. https://www.gartner.com/en/newsroom/press-releases/2017-04-24-gartner-survey-shows-42-percent-of-ceos-have-begun-digital-business-transformation
  56. https://dx.doi.org/10.3403/bsen61915
  57. https://dx.doi.org/10.1787/734700048756
  58. http://worldcat.org/oclc/1233659973
  59. https://dx.doi.org/10.1017/s1472669608000364
  60. https://dx.doi.org/10.4324/9780429475474-32
  61. https://doi.org/10.1080%2F15536548.2011.10855915
Ανακτήθηκε από "https://el.wikipedia.org/w/index.php?title=Ασφάλεια_πληροφοριών&oldid=9999988"