Ανάλυση και Μελέτη Επικινδυνότητας στη Διαχείριση Ασφάλειας Πληροφοριών

Risk Analysis and Risk Μanagement in Information Security Management (Αγγλική)

  1. MSc thesis
  2. ΚΟΤΣΙΟΥΡΟΥ, ΧΡΙΣΤΙΝΑ
  3. Διαχείριση και Τεχνολογία Ποιότητας (ΔΙΠ)
  4. Οκτώβριος 2016 [2016-10]
  5. Ελληνικά
  6. 137
  7. Λιάκος, Χαρίλαος, Δρ.
  8. Νικόλαος, Λογοθέτης, Δρ.
  9. Διαχείριση Ασφάλειας Πληροφοριών - Information Security Management | Διαχείριση Επικινδυνότητας - Risk Management | Πρότυπο ISO/IEC 27001 - ISO/IEC 27001 Standard | EBIOS
  10. 5
  11. 41
  12. Περιέχει: πίνακες, εικόνες
    • Με τις τεχνολογικές εξελίξεις και την ταχύτατη διάδοση της τεχνογνωσίας η ανάγκη για ασφάλεια των πληροφοριών και προστασία των αγαθών στο επιχειρησιακό περιβάλλον έχει οδηγήσει στην ανάπτυξη προτύπων και μεθοδολογιών για τη διαχείριση της ασφάλειας των πληροφοριών. Η αύξηση των περιστατικών ρηγμάτων ασφαλείας, σκόπιμων ή μη, έχει ενισχύσει το ρόλο της ασφάλειας υπολογιστών γενικότερα αλλά και ειδικότερα της ασφάλειας των επιχειρησιακών πληροφοριών η οποία βασίζεται στις αρχές της εμπιστευτικότητας, της ακεραιότητας και της διαθεσιμότητας. Η προστασία των πληροφοριών αποτελεί μια επιχειρησιακή διεργασία που σχεδιάζεται με τέτοιο τρόπο ώστε να μπορεί η διοίκηση να ασκεί τα καθήκοντα της και επομένως αποτελεί όχι μόνο τεχνικό θέμα αλλά και ζήτημα ανθρώπινων πόρων και διαχείρισης. Στην παρούσα εργασία αναλύονται οι βασικές έννοιες της ασφάλειας πληροφοριών και των συστημάτων διαχείρισης ασφάλειας πληροφοριών. Ακολουθεί ανασκόπηση των βασικών προτύπων και μεθοδολογιών που αφορούν στη διαχείριση της ασφάλειας των πληροφοριών δίνοντας ιδιαίτερη έμφαση στο πρότυπο ISO/IEC 27001:2013 που αφορά στο σχεδιασμό και την υλοποίηση ενός Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών (ΣΔΑΠ). Αναπόσπαστο μέρος της διεργασίας ανάπτυξης ενός ΣΔΑΠ είναι η διαχείριση επικινδυνότητας, καθώς τα αποτελέσματα της μελέτης εκτίμησης επικινδυνότητας καθοδηγούν τις βασικές επιλογές του ΣΔΑΠ και βοηθούν στην λήψη κατάλληλων αποφάσεων για την αποτροπή ή τη μείωση του κινδύνου σε αποδεκτά επίπεδα. Στο πλαίσιο αυτό, σκοπός της παρούσας μελέτης είναι να διεξαχθεί η εκτίμηση επικινδυνότητας σε έναν δημόσιο οργανισμό εξετάζοντας τις μεθοδολογίες που υπάρχουν στον τομέα της διαχείρισης κινδύνων κάτω από το πρίσμα των προτύπων της σειράς ISO/IEC 27000. Η μελέτη περιλαμβάνει τον προσδιορισμό και αξιολόγηση των αγαθών, την ανάλυση επικινδυνότητας και την αναφορά ενδεικτικών προτεινόμενων μέτρων, χρησιμοποιώντας τη μέθοδο EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité ) η οποία θα παρουσιαστεί διεξοδικά. Οι στόχοι της μελέτης είναι να παρουσιαστούν σε αναλυτικό επίπεδο τα αποτελέσματα αξιολόγησης των κινδύνων που διατρέχουν τα πληροφοριακά συστήματα ενός οργανισμού, να προταθούν ενδεικτικά μέτρα για την προστασία των δεδομένων καθώς και να αναφερθούν προτάσεις σχετικά με τον βασικό σχεδιασμό της στρατηγικής και της πολιτικής ασφαλείας του οργανισμού στο πλαίσιο σχεδιασμού και ανάπτυξης ενός Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών με βάση τις αρχές της οικογένειας προτύπων ISO/IEC 27000.
    • Due to the technology advances and the rapid dissemination of knowledge, the need for information security and asset protection in the business environment has lead to the growth of standards and methodologies in the field of information security. The increase of data security breaches, intentional or not, has enforced the role of computer security and especially the business information security that is based on the principles of confidentially, integrity and availability. Information security, as a business process, is not only a technical matter but also a matter of management and human resources. It is elaborated in such a way as to enable the business continuity. The study analyzes the basic concepts of information security and information security management systems. It reviews the basic standards and methodologies related to information security management, with an emphasis on ISO/IEC 27001:2013 standard that is related to the design and implementation of an Information Security Management System (ISMS). The most important part of ISMS development is risk management, because the results of risk assessment lead the basic ISMS choices and assist management in taking appropriate decisions in order to prevent or reduce risks to acceptable levels. In this context, the scope of the case study is to perform a security risk assessment in a public organization by examining existing methodologies under the scope of ISO/IEC 27000 series standards. The study includes asset identification and assessment, risk analysis and proposal of security measures by using EBIOS method (Expression des Besoins et Identification des Objectifs de Sécurité - Expression of Needs and Identification of Security Objectives) that will be presented in detail. The objective of the study is to present analytically the results of risk evaluation and the risks related to the information assets of the organization, to propose indicative measures for data protection and to make proposals about the organization’s security policy and business continuity by designing an Information Security Management System based on ISO/IEC 27000.
  14. Items in Apothesis are protected by copyright, with all rights reserved, unless otherwise indicated.