ΣΥΣΤΗΜΑ ΑΣΦΑΛΕΙΑΣ ΠΛΗΡΟΦΟΡΙΑΣ

INFORMATION SECURITY MANAGEMENT SYSTEM

ISO 27001


1.1      ΓΕΝΙΚΑ

Η έννοια της Ασφάλειας Πληροφορίας, έχει πάρει μεγάλες διαστάσεις τα τελευταία χρόνια. Οι επιχειρήσεις μέχρι τώρα θεωρούσαν σημαντικά και προστάτευαν μόνο πληροφορίες οικονομικής φύσεως ή σχετικές με κάποια βιομηχανική πατέντα προϊόντος.

Οι εξελίξεις στα μέτωπα του σκληρού ανταγωνισμού τόσο μεταξύ των εταιρειών άλλα και ολοκλήρων κρατών, της βιομηχανικής κατασκοπίας και της τρομοκρατίας κατέστησαν τις πληροφορίες πολυτιμότατο αγαθό , ίσως το πολυτιμότερο περιουσιακό στοιχείο που διαθέτει κάθε οργανισμός.

1.2      ΠΩΣ ΕΠΙΤΥΓΧΑΝΕΤΑΙ Η ΑΣΦΑΛΕΙΑ ΤΩΝ ΠΛΗΡΟΦΟΡΙΩΝ

Με την ανάπτυξη και εφαρμογή ενός Συστήµατος ∆ιαχείρισης Ασφαλείας Πληροφοριών (Information Security Management System), ώστε να εξασφαλίζεται ότι αναγνωρίζονται και ελέγχονται οι κίνδυνοι, και επιτυγχάνονται οι στόχοι για την ασφάλεια που έχει θέσει ο οργανισμός.

Το Σύστηµα ∆ιαχείρισης Ασφαλείας Πληροφοριών είναι μέρος του συνολικού συστήματος διοίκησης του οργανισμού, συμβατό με άλλα διαχειριστικά συστήματα (ISO 9001, ISO 14001 κ.λ.π.) και αποτελείται από Διαδικασίες και ελέγχους.

Ένα Σύστηµα ∆ιαχείρισης Ασφαλείας Πληροφοριών πιστοποιείται σύμφωνα με το πρότυπο ISO 27001 , από Ανεξάρτητους Φορείς Πιστοποίησης διαχειριστικών συστημάτων.

1.11    ΤΑ ΟΦΕΛΗ ΑΠΟ ΤΗΝ ΕΦΑΡΜΟΓΗ ΕΝΟΣ ΣΥΣΤΗΜΑΤΟΣ ISM

Μερικά από τα οφέλη που αποκομίζει ένας οργανισμός με την εφαρμογή ενός συστήματος ISM είναι τα εξής:

  • Κερδίζει την εμπιστοσύνη του πελάτη
  • Μειώνει τα συμβάντα σχετικά με την ασφάλεια και επομένως αυξάνει την αξιοπιστία του
  • Εξασφαλίζει τα αγαθά και τα περιουσιακά στοιχεία του από υποβάθμιση, απώλεια, ζημιά, κλοπή
  • Βελτιώνει την δημόσια εικόνα του
  • Συμμορφώνεται με την σχετική νομοθεσία (π.χ. Νόμος για τα προσωπικά δεδομένα)
  • Αποκτά ανταγωνιστικό πλεονέκτημα
  • Εχει πρόσβαση σε αγορές και πελάτες που απαιτούν υψηλά επίπεδα ασφαλείας από τους συνεργάτες τους ( άμυνα, διεθνής οργανισμοί )
  • Έχει εξασφαλίσει την άμεση επαναφορά και λειτουργία του οργανισμού σε περίπτωση καταστροφής μεγάλης κλίμακος.

2.1      ΤΙ ΕΙΝAI TO ISO 27001

To ISO/IEC 27001 “Information Technology – Security Techniques – Information Security Management Systems – Requirements” είναι ένα πρότυπο που σκοπό έχει να καθοδηγήσει τους οργανισμούς όπως ιδιωτικές επιχειρήσεις, δημόσιες υπηρεσίες και κάθε είδους οργανισμό που διαχειρίζεται πληροφορίες, να αναπτύξει, εγκαταστήσει, διατηρήσει και βελτιώσει ένα τεκμηριωμένο Σύστημα Ασφαλούς Διαχείρισης Πληροφορίας (Information Security Management System – ISMS).

2.2      Ο ΚΥΚΛΟΣ ΖΩΗΣ ΕΝΟΣ ΣΥΣΤΗΜΑΤΟΣ ISM

O κύκλος ζωής ενός συστήματος ασφαλούς διαχείρισης πληροφορίας, παρουσιάζεται μέσα από την μεθοδολογία γνωστή ως «Σχεδιάζω – Εκτελώ – Ελέγχω – Ενεργώ» – “Plan – Do – Check – Act” η οποία μπορεί να περιγραφεί ως ακολούθως:

2.4      ΤΙ ΠΕΡΙΛΑΜΒΑΝΕΙ ΕΝΑ ΟΛΟΚΛΗΡΩΜΕΝΟ ΣΥΣΤΗΜΑ ΑΣΦΑΛΕΙΑΣ

Ένα ολοκληρωμένο σύστημα ασφαλούς διαχείρισης πληροφορίας καλύπτει όλους τους τομείς δραστηριότητας της εταιρείας που περιλαμβάνουν, απόκτηση, χρήση, ανταλλαγή και αποθήκευση πληροφοριών.

Οι βασικοί τομείς δραστηριότητας που χαρακτηρίζονται κρίσιμοι και όπου πρέπει να ληφθούν μέτρα και να τεθούν έλεγχοι ( controls) είναι τουλάχιστον οι ακόλουθοι:

  1. Εκπόνηση Πολιτικής Ασφάλειας
  2. Οργάνωση Ασφαλείας – Αρμοδιότητες και Υπευθυνότητες Στελεχών
  3. Διαχείριση της πληροφορίας εντός του Οργανισμού
  4. Ασφάλεια στην πρόσβαση τρίτων και εξωτερικών συνεργατών
  5. Καταγραφή των κρισίμων πληροφοριών και κατάταξη τους ως προς την σπουδαιότητα τους
  6. Ασφάλεια στην διαχείριση του προσωπικού – Αξιολόγηση κατά την πρόσληψη, εμπιστευτικότητα, υποχρεώσεις και όροι απασχόλησης
  7. Εκπαίδευση προσωπικού
  8. Καταγραφή και αξιολόγηση συμβάντων
  9. Ασφάλεια περιμέτρου και χώρων του Οργανισμού
  10. Ασφάλεια εξοπλισμού – παροχή ενέργειας, καλωδιώσεις, κτιριακές εγκαταστάσεις, διάθεση χρησιμοποιημένου εξοπλισμού κ.α.
  11. Διαδικασίες σχετικές με την ασφάλεια
  12. Αποδοχή και δυνατότητες μηχανογραφικού εξοπλισμού
  13. Προστασία Μηχανογραφικών Συστημάτων (Μ/Σ) από ελαττωματικό λογισμικό
  14. Ασφάλεια δικτύων και INTERNET – ιοί, επιθέσεις από Hackers
  15. Ασφάλεια Ηλεκτρονικού Ταχυδρομείου
  16. Ασφάλεια και έλεγχο προσβάσεων τόσο στους χώρους όσο και στα Συστήματα
  17. Ασφάλεια αρχειοθέτησης τόσο ηλεκτρονικών όσο και γραπτών ή άλλων (CD κ.α)
  18. Εξασφάλιση της Συνέχεια της Δραστηριότητας ( Business Continuity)
  19. Έλεγχο και συμμόρφωση με την Νομοθεσία
  20. Ανασκόπηση του Συστήματος και αναθεώρηση του

Στο διάγραμμα που ακολουθεί παρουσιάζεται συνοπτικά η μεθοδολογία ανάπτυξης ενός Συστήματος Ασφάλειας Πληροφοριών ISO 27001.