Η υλοποίηση της βασικής αρχής της ασφάλειας πληροφοριών για μια συνεχή και επαναλαμβανόμενη διεργασία, είναι συνυφασμένη με τη δημιουργία ενός φορέα διαχείρισης της εν λόγω διεργασίας. Ο συγκεκριμένος λόγος, πραγματικός ή εικονικός, επιβάλλεται και από το θεσμικό το πλαίσιο, αλλά και από τα διάφορα σχετικά διεθνή πρότυπα.
Χωρίς να κλείνουμε τα μάτια στην αναγκαιότητα ύπαρξης αλλά και στην ανάγκη αποτελεσματικής λειτουργίας του ρόλου ενός φορέα διαχείρισης της ασφάλειας, σε αυτό το άρθρο θα αναλύσουμε την αποστολή και τις βασικές δραστηριότητες του ρόλου. Ο τρόπος καθημερινής λειτουργίας του φορέα καθώς και η επαρκής στελέχωση, εξαρτώνται από το μέγεθος του Οργανισμού, την κρισιμότητα των πληροφοριών που διαχειρίζεται και το μέγεθος των κανονιστικών απαιτήσεων που τον αφορούν.
Σκοπός λειτουργίας & αποστολή
Η αναγκαιότητα δομημένης διαχείρισης της ασφάλειας πληροφοριών καταδεικνύει την ανάγκη δημιουργίας συγκεκριμένης στρατηγικής και ενός σχεδίου δράσης το οποίο θα υλοποιήσει τη στρατηγική. Στόχος είναι η επαρκής θωράκιση της ασφάλειας των δεδομένων που επεξεργάζεται ο εκάστοτε Οργανισμός και η υλοποίηση ενός επαρκούς επιπέδου ασφάλειας των πληροφοριών του Οργανισμού.
Για να επιτευχθεί ο παραπάνω στόχος είναι απαραίτητη η υιοθέτηση συγκεκριμένου σχεδίου δράσης. Το εν λόγω σχέδιο υλοποιεί τη στρατηγική και οριοθετεί τόσο τις γενικές λειτουργικές δραστηριότητες οι οποίες θα επιφέρουν το επιθυμητό επίπεδο ασφάλειας, όσο και τις δραστηριότητες ενός Φορέα Διαχείρισης της Ασφάλειας Πληροφοριών.
Το σχέδιο δράσης προσδιορίζει τα κύρια βήματα που απαιτούνται για την υλοποίηση μίας συνεχούς και επαναλαμβανόμενης διαδικασίας με στόχο την ασφάλεια των πληροφοριών, η οποία θα συνοδεύει τη λειτουργία του Οργανισμού.
Τα απαραίτητα βήματα υλοποίησης της στρατηγικής για την ασφάλεια πληροφοριών είναι τα ακόλουθα:
1. Σχεδιασμός της συνεχούς διαδικασίας ασφάλειας συστημάτων
. Προσδιορισμός του Ρόλου των Αρμοδιοτήτων & της Οργάνωσης της Υπηρεσίας Ασφάλειας Πληροφοριών.
. Σχεδιασμός και Ανάπτυξη της Πολιτικής Ασφάλειας.
. Σχεδιασμός των αρχών ασφάλειας πληροφοριών (επιμέρους πολιτικές ασφάλειας).
2. Υλοποίηση του σχεδίου ασφάλειας πληροφοριών
. Υλοποίηση των μέτρων προστασίας (τεχνικές & διαχειριστικές δικλείδες ασφάλειας, διαδικασίες).
. Εκπαίδευση και ευαισθητοποίηση προσωπικού.
3. Συντήρηση του επιπέδου ασφάλειας
. Έλεγχος τήρησης και αποτελεσματικότητας των μέτρων προστασίας.
. Έλεγχος διαδικασιών ασφάλειας πληροφοριών και αναθεωρήσεις αυτών.
. Διαχείριση περιστατικών παραβίασης της ασφάλειας.
Ο φορέας διαχείρισης της ασφάλειας πληροφοριών έχει ως στόχο το συντονισμό και τον έλεγχο υλοποίησης και ελέγχου τήρησης των παραπάνω διεργασιών.
Λειτουργία & δραστηριότητες
Έχοντας σαν οδηγό την υλοποίηση και τον έλεγχο τήρησης των διεργασιών που αναφέρθηκαν στην προηγούμενη παράγραφο, ο φορέας ασφάλειας πληροφοριών χρειάζεται να δομηθεί αντίστοιχα, τόσο σε επίπεδο τεχνογνωσίας όσο και σε επίπεδο αρμοδιοτήτων και στελέχωσης.
Ο Προορισμός του Φορέα διαχείρισης της ασφάλειας πληροφοριών είναι η επίτευξη ενός επιπέδου ασφάλειας το οποίο ανταποκρίνεται στην κρισιμότητα των δεδομένων της εταιρείας, με αποτέλεσμα την άμεση επίτευξη των επιχειρησιακών στόχων της εταιρείας.
Στα παραπάνω πλαίσια, ο Φορέας διαχείρισης της ασφάλειας πληροφοριών διαμορφώνει την Πολιτική Ασφάλειας, τους κανόνες και τις διαδικασίες ασφάλειας και προτείνει τις κατάλληλες δικλείδες ασφάλειας προκειμένου να διασφαλίσει την εμπιστευτικότητα, ακεραιότητα και διαθεσιμότητα των δεδομένων της εταιρείας. Ελέγχει και παρακολουθεί τις διαδικασίες ασφάλειας πληροφοριών, εξασφαλίζοντας ότι οι κανόνες και οι οδηγίες που έχουν προδιαγραφεί εφαρμόζονται και μεριμνά για την επιβολή μέτρων και διαδικασιών που πρέπει να λαμβάνονται για την ασφάλεια των πληροφοριών του Οργανισμού.
Είναι αρμόδιος για την επίβλεψη της λειτουργίας των εξειδικευμένων συστημάτων ασφάλειας, τα οποία λειτουργούν προκειμένου να διασφαλίζεται το απαραίτητο επίπεδο ασφάλειας και να επιβάλλεται η Πολιτική Ασφάλειας.
Οι διεργασίες οι οποίες εκτελούνται στα πλαίσια της λειτουργίας του φορέα Ασφάλειας Πληροφοριών είναι οι ακόλουθες:
Υποδομή Διαχείρισης της Ασφάλειας Πληροφοριών
. Ορισμός και ενημέρωση του στόχου της ασφάλειας πληροφοριών στα πλαίσια της εταιρείας, σε συνεννόηση με τη Διοίκηση.
. Ανάπτυξη και στη συνέχεια ενημέρωση του Οργανισμού αναφορικά με τις βασικές αρχές ασφάλειας πληροφοριών (πολιτική ασφάλειας επιμέρους οδηγίες).
. Υποστήριξη της Διοίκησης στη λήψη αποφάσεων που αφορούν στην ασφάλεια πληροφοριών – αλλά και του ευρύτερου λειτουργικού κινδύνου, μέσα από τις διαδικασίες του προσδιορισμού και της αποτίμησης των κινδύνων και της επιλογής των κατάλληλων μέτρων προστασίας.
. Ανάπτυξη σχεδίου για την υλοποίηση των στόχων και των μέτρων προστασίας, τα οποία προκύπτουν από τις αρχές ασφάλειας πληροφοριών.
. Διαμόρφωση σχεδίου εκπαίδευσης και εγρήγορσης του προσωπικού.
. Σχεδιασμός και εφαρμογή ενός συστήματος πληροφόρησης και αναφορών σχετικά με την ασφάλεια. Παράδειγμα τέτοιων αναφορών, είναι αναφορές αξιολόγησης κινδύνων, αποτελεσματικότητα υφιστάμενων μέτρων προστασίας, απόκλιση από τις κανονιστικές απαιτήσεις.
Συντονισμός εφαρμογής της συνεχούς διαδικασίας ασφάλειας πληροφοριών
. Προσδιορισμός και διαχείριση των πόρων και του προσωπικού που απαιτούνται για το σχεδιασμό και την υλοποίηση των βασικών αρχών της ασφάλειας πληροφοριών.
. Οργάνωση και συντονισμός υλοποίησης των μέτρων προστασίας, τα οποία προκύπτουν από τη πολιτική ασφάλειας και τα ευρήματα των εκάστοτε αξιολογήσεων κινδύνων.
Έλεγχος αποτελεσματικής εφαρμογής της ασφάλειας πληροφοριών
. Έλεγχος της επάρκειας και της αποτελεσματικότητας των δικλείδων ασφαλείας, με βάση αποτελέσματα από διάφορους τύπους ελέγχων.
Σύστημα συνεχούς ελέγχου και παρακολούθησης
Η αποτελεσματική εφαρμογή της ασφάλειας πληροφοριών είναι συνυφασμένη με την αποτελεσματική εφαρμογή ενός πλαισίου συνεχούς παρακολούθησης και ελέγχου. Ο φορέας ασφάλειας πληροφοριών σχεδιάζει και στη συνέχεια εφαρμόζει διαδικασίες επαναλαμβανόμενων ελέγχων, με στόχο τη διατήρηση ενός ικανοποιητικού επιπέδου ασφάλειας πληροφοριών.
Αυτά τα οποία χρειάζεται να παρακολουθούμε και να αξιολογούμε όσον αφορά στην ασφάλεια πληροφοριών, είναι τα ακόλουθα:
. Πληρότητα και αποτελεσματικότητα υφιστάμενων δικλείδων ασφαλείας.
. Τήρηση – συμμόρφωση με την υφιστάμενη πολιτική ασφάλειας.
. Αξιολόγηση των κινδύνων ασφάλειας πληροφοριών.
. Συμμόρφωση με κανονιστικό, θεσμικό πλαίσιο.
Τα παραπάνω είναι ανάγκη να ελέγχονται και να αξιολογούνται ανά τακτά χρονικά διαστήματα, τα οποία προσδιορίζονται από την αξία των ίδιων των πληροφοριών.
Για να γίνει αυτό, χρειάζεται η θέσπιση και εφαρμογή ενός πλαισίου επαναλαμβανόμενων ελέγχων και αξιολογήσεων κινδύνων, το οποίο σε ετήσια βάση θα περιλαμβάνει τα έξης:
1. Έλεγχος πληρότητας συστήματος διαχείρισης ασφάλειας πληροφοριών.
2. Τακτικοί έλεγχοι (έλεγχοι τήρησης μέτρων προστασίας, επαναλαμβανόμενοι σε τακτά χρονικά διαστήματα).
3. Αξιολόγηση κινδύνων ασφάλειας πληροφοριών.
4. Αξιολόγηση ασφάλειας, στο πλαίσιο ανάπτυξης νέων συστημάτων.
Η εφαρμογή ενός τέτοιου πλαισίου αποτελεί ίσως την πιο σημαντική διεργασία του φορέα διαχείρισης της ασφάλειας πληροφοριών. Παράλληλα, απαιτεί σωστή προετοιμασία. Απαιτεί προγραμματισμό και θέσπιση προτεραιοτήτων, βασισμένων στα ακόλουθα:
. Καταγραφή και κατηγοριοποίηση πληροφοριακών πόρων σύμφωνα με την κρισιμότητά τους (σχήμα ταξινόμησης πληροφοριών).
. Προσδιορισμός αναφορικά με το ποια είναι τα πληροφοριακά συστήματα τα οποία επηρεάζουν κρίσιμες επιχειρηματικές διεργασίες ή / και πόρους.
. Αξιολόγηση και προσδιορισμός των κινδύνων που αφορούν στα συγκεκριμένα συστήματα και ταυτόχρονα την επίπτωσή τους στην επιχειρησιακή δραστηριότητα.
. Κατάταξη των πληροφοριακών συστημάτων βάσει των παραπάνω και απόφαση σχετικά με τη συχνότητα και το χρόνο ελέγχου – παρακολούθησης των πληροφοριακών συστημάτων και διεργασιών (τεχνογνωσία, πόροι, εργαλεία ελέγχου, συσχέτιση με νομικό θεσμικό πλαίσιο).
Ρόλοι & Υπευθυνότητες σε σημαντικές διεργασίες
Ολοκληρώνοντας την οριοθέτηση του ρόλου που καλείται να ενσαρκώσει ο φορέας διαχείρισης της ασφάλειας πληροφοριών, παραθέτουμε μερικές από τις κρίσιμες διαδικασίες στις οποίες εμπλέκεται και τον τρόπο αποτελεσματικής διαχείρισης αυτών.
Πολιτική Ασφάλειας Συστημάτων & Συμμόρφωση με Διεθνή Standards – Συγγραφή, εξάπλωση και αναθεώρηση της Πολιτικής Ασφάλειας. Οι ραγδαίες εξελίξεις στο χώρο της πληροφορικής επιβάλλουν τη συμμόρφωση με διάφορα διεθνή standards, αλλά και με το υφιστάμενο κανονιστικό πλαίσιο. Χρειάζεται να προσδιοριστούν τόσο τα standards τα οποία θα ακολουθηθούν, καθώς και να προσδιορισθούν οι αντικειμενικοί στόχοι της συμμόρφωσης με τα συγκεκριμένα standards και τις κανονιστικές απαιτήσεις. Επίσης, στα πλαίσια της συγκεκριμένης ενασχόλησης είναι και η ευθύνη της υλοποίησης τόσο της Πολιτικής ασφάλειας, όσο και των standards που θα επιλεγούν.
Διαδικασίες Ασφάλειας Συστημάτων – Τεκμηρίωση και έλεγχος εφαρμογής όλων των διαδικασιών οι οποίες αφορούν στην εφαρμογή των διαχειριστικών δικλείδων ασφαλείας κατά την καθημερινή λειτουργία του Οργανισμού.
Business Continuity Plan – Συμμετοχή και διαχείριση των σχετικών με την ασφάλεια πληροφοριών, σημείων ενός BCP.
Το BCP προδιαγράφει μία σειρά από ενέργειες οι οποίες θα πρέπει να γίνονται τόσο κατά τη διάρκεια όσο και μετά από περιστατικά έκτακτης ανάγκης, τα οποία έχουν προκαλέσει τη διακοπή σημαντικών λειτουργιών των πληροφοριακών συστημάτων της εταιρείας, τα οποία με τη σειρά τους εξυπηρετούν σημαντικής σημασίας λειτουργίες της εταιρείας. Το BCP περιλαμβάνει διαδικασίες και οδηγίες που αφορούν στην πρόληψη και αντιμετώπιση των περιστατικών έκτακτης ανάγκης, τόσο σε επίπεδο πληροφοριακών συστημάτων, όσο και σε επίπεδο διεκπεραίωσης των λειτουργιών της εταιρείας.
Εκπαίδευση & Ευαισθητοποίηση Εργαζομένων – Η πλειοψηφία των κρουσμάτων που αφορούν στον τομέα της ασφάλειας πληροφοριών προέρχεται από τους ίδιους τους εργαζόμενους της εταιρείας, οι οποίοι είτε παραβιάζουν τα δικαιώματα πρόσβασης τα οποία έχουν είτε προσπαθούν να χρησιμοποιήσουν συστήματα και διαδικασίες για τα οποία δεν είναι εξουσιοδοτημένοι.
Είναι σημαντικό όλοι οι εργαζόμενοι να είναι ενήμεροι τόσο για τους κανόνες και τις διαδικασίες της ασφάλειας πληροφοριών της εταιρείας, όσο και για τις υπευθυνότητες τις οποίες έχουν σε σχέση με την ασφάλεια των συστημάτων και των δεδομένων ευρύτερα. Παράλληλα, πρέπει ενημερωθούν για τον τρόπο αντίδρασης σε περιπτώσεις κατά τις οποίες θα βρεθούν αντιμέτωποι με κρούσματα ηλεκτρονικής απάτης.
Αξιολόγηση Κινδύνων (Risk Analysis) – Προσδιορισμός των κινδύνων οι οποίοι προκύπτουν από την παραμετροποίηση του κάθε πληροφοριακού πόρου αλλά και από τη λειτουργία του, σε συνδυασμό με το σκοπό για τον οποίο χρησιμοποιείται. Η αξιολόγηση κινδύνων προσδιορίζει τους κινδύνους και ταυτόχρονα αξιολογεί την πιθανή αρνητική επίπτωση την οποία μπορεί να προκαλέσουν. Τέλος προτείνει μία σειρά από δικλείδες ασφαλείας οι οποίες θα ελαχιστοποιήσουν τους κινδύνους που έχουν προσδιορισθεί.
Έλεγχοι, τήρηση Πολιτικής Ασφάλειας αλλά και του επιπέδου ασφάλειας το οποίο έχει κριθεί ως ικανοποιητικό για το περιβάλλον εργασίας της εταιρείας.
Διαβάθμιση Δεδομένων & Πληροφοριών – Προσδιορισμός της κατάλληλης μεθόδου η οποία θα χρησιμοποιηθεί για να καθοριστεί η διαβάθμιση των δεδομένων και κατ’ επέκταση των πληροφοριακών συστημάτων. Φροντίζει για την εφαρμογή της διαδικασίας και τον έλεγχο εφαρμογής της.
Χειρισμός έκτακτων περιστατικών παραβίασης της ασφάλειας – Έκτακτα περιστατικά παραβίασης της ασφάλειας θεωρούνται όλα τα περιστατικά τα οποία είναι αντίθετα με τους κανονισμούς ασφάλειας της εταιρείας, καθώς και τα περιστατικά παρείσδυσης σε συστήματα για τα οποία οι χρήστες δεν είναι εξουσιοδοτημένοι. Ο χειρισμός τέτοιων περιστατικών περιλαμβάνει αναφορές προς τη Διοίκηση αλλά και διαδικασίες χειρισμού τους σε περίπτωση που προκληθούν.
Διαμόρφωση υποδομής ασφάλειας συστημάτων – Η υποδομή ασφάλειας συστημάτων περιλαμβάνει την περιγραφή όλων των τεχνολογικών και διαδικαστικών δικλείδων ασφαλείας οι οποίες θα αποτελέσουν τον πυρήνα της καθημερινής υποστήριξης και τήρησης του επιθυμητού επιπέδου ασφάλειας των συστημάτων της εταιρείας.
Πιστοποίηση ταυτότητας χρηστών & πληροφοριακών πόρων – Μελέτη και κατευθύνσεις οι οποίες αφορούν στη λειτουργία συγκεκριμένου σχήματος πιστοποίησης ταυτότητας χρηστών. Το σχήμα θα πρέπει να είναι ανάλογο της αξίας των δεδομένων τα οποία επεξεργάζονται καθημερινά.
Log off
Ο ρόλος και η λειτουργία ενός φορέα διαχείρισης και συντονισμού της ασφάλειας πληροφοριών αποτελεί αναγκαιότητα. Η εικονική λειτουργία ενός τέτοιου ρόλου καλύπτει θεσμικές ή κανονιστικές απαιτήσεις, αλλά στην πραγματικότητα δεν μπορεί να διαχειριστεί αποτελεσματικά τις απαιτήσεις ασφάλειας ενός Οργανισμού.
Στις προηγούμενες παραγράφους αναπτύξαμε ένα οδηγό λειτουργίας, διεργασιών και αρμοδιοτήτων ενός φορέα διαχείρισης της ασφάλειας πληροφοριών, έτσι όπως προκύπτει από τις σύγχρονες απαιτήσεις, τα πρότυπα και τις κανονιστικές διατάξεις. Η λειτουργία ενός τέτοιου φορέα απαιτεί ανεξαρτησία και στήριξη, μα πάνω απ’ όλα θέληση για αποτελεσματικότητα και προστασία.
Του Νότη Ηλιόπουλου
Msc Infosec, ISO 27001 LA, CISA, CISM
niliopoulos@intellisolutions.gr