Ασφάλεια Πληροφοριών

Η ασφάλεια πληροφοριακών συστημάτωνασφάλεια υπολογιστικών συστημάτων ή ασφάλεια υπολογιστών, είναι ένα γνωστικό πεδίο της επιστήμης της πληροφορικής, και ειδικότερα του κλάδου των υπολογιστικών συστημάτων, που ασχολείται με την προστασία των υπολογιστών, των δικτύων που τους διασυνδέουν και των δεδομένων σε αυτά τα συστήματα, αποτρέποντας τη μη εξουσιοδοτημένη πρόσβαση ή χρήση τους.

Σχεδιασμός πολιτικής ασφαλείας

Ο σχεδιασμός ασφαλών πολιτικών στα πληροφοριακά συστήματα, συνδέεται άμεσα τόσο με τεχνικές, διαδικασίες και διοικητικά μέτρα όσο και με ηθικό-κοινωνικές αντιλήψεις, αρχές και παραδοχές, προφυλάσσοντας από κάθε είδους απειλή τυχαία ή σκόπιμη. Οι διαδικασίες σχεδιασμού πολιτικών ασφαλείας, δεν θα πρέπει να παρεμβαίνουν στην απρόσκοπτη λειτουργία των πληροφοριακών συστημάτων, ενώ οφείλουν να τηρούν την αρχή της αποκέντρωσης, της ύπαρξης αντικατάστασης και την αρχή της άμυνας σε βάθος. Ως βάση μπορεί να οριστεί ο εντοπισμός, η αξιολόγηση και στη συνεχεία η διαμόρφωση ενός θεωρητικού πλαισίου για το σχεδιασμό πολιτικών σχεδιασμού ασφάλειας.

Το πιο βασικό σημείο στη διαδικασία σχεδιασμού ασφαλών πολιτικών, είναι ο εντοπισμός και χαρακτηρισμός ως εμπιστευτικών των πληροφοριών που πρόκειται να χρησιμοποιηθούν και να προστατευθούν. Εκτός από τις αρχές της Ακεραιότητας Πληροφοριών, την Εμπιστευτικότητα και τη Διαθεσιμότητα Πληροφοριών οι πολιτικές ασφάλειας θα πρέπει να εμπεριέχουν και τους όρους αυθεντικότηταεγκυρότηταμοναδικότητα και μη αποποίηση.

Ωστόσο, οι πολιτικές ασφάλειας προϋποθέτουν την ύπαρξη μίας δέσμης βασικών αρχών, εκφρασμένων με σαφήνεια η οποία να περιλαμβάνει τους σχεδιαστικούς στόχους των λειτουργικών συστημάτων. Κάθε αντικείμενο του συστήματος θα πρέπει να μπορεί να αναγνωρισθεί μονοσήμαντα και να συνοδεύεται από μία ένδειξη του βαθμού εμπιστευτικότητας. Επιπλέον, η ισχύς των ασφαλιστικών μηχανισμών δεν θα πρέπει να βασίζονται στην άγνοια των χρηστών, σχετικά με τις τεχνικές ασφαλείας οι οποίες χρησιμοποιούνται αλλά στην αποτελεσματική τους σχεδίαση.

Στόχος ενός συστήματος πολιτικής ασφάλειας είναι ο περιορισμός επικινδυνότητας σε αποδεκτό επίπεδο. Το σύστημα περιλαμβάνει αξιολόγηση της επικινδυνότητας και περιορισμό του αποδεκτού επιπέδου ασφαλείας, ανάπτυξη και εφαρμογή μιας πολιτικής ασφαλείας καθώς και δημιουργία κατάλληλου οργανωτικού πλαισίου και εξασφάλιση των απαιτούμενων πόρων για την εφαρμογή της πολιτικής ασφάλειας. Η πολιτική ασφάλεια μαζί με το σύνολο των μέτρων προστασίας αποτελούν το σχέδιο ασφαλείας (security plan) για τα πληροφοριακά συστήματα ενός οργανισμού διότι χρειαζόμαστε ένα ολοκληρωμένο πλαίσιο με την καθοδήγηση των μέτρων ασφαλείας να λειτουργεί ως μέσο επικοινωνίας των εμπλεκομένων στα ζητήματα ασφαλείας.

Επιπλέον θεμελιώνεται η σημασία της ασφάλειας του πληροφοριακού συστήματος για τα μέλη του οργανισμού, δημιουργείται μια κουλτούρα ασφαλείας καθώς πολλές φορές αποτελεί νομική υποχρέωση και αποτελεί παράγοντα εμπιστοσύνης μεταξύ οργανισμού και πελατών. Τα είδη των πολιτικών ασφαλείας είναι α)τα τεχνικά (computer oriented) συστήματα πληροφοριών, λειτουργικά συστήματα και δίκτυα υπολογιστών β)τα οργανωτικά (human oriented) και γ)τα ατομικά (individual security policies). Περιλαμβάνει αποσπασματική διαχείριση της ασφάλειας πληροφοριακών συστημάτων και μεγάλη πολυπλοκότητα στη συντήρηση ενώ είναι αποτελεσματική σε αυτόνομες εφαρμογές κ υπολογιστικά συστήματα που δεν συνδέονται μεταξύ τους.

Σε ένα ενιαίο έγγραφο μη εύχρηστο λόγω όγκου και με πληροφορίες γενικού επιπέδου αναφέρονται όλα τα υπολογιστικά συστήματα, οι εφαρμογές και η διαδικασία του πληροφοριακού συστήματος.

Τις απαιτήσεις για την ασφάλεια του πληροφοριακού συστήματος πρέπει να την ικανοποιεί η πολιτική ασφάλεια που προέρχονται από όλους τους εμπλεκόμενους στη χρήση κ στη λειτουργία του πληροφοριακού συστήματος ενός οργανισμού που είναι οι χρήστες κ οι διαχειριστές του πληροφοριακού συστήματος, η διοίκηση του οργανισμού, οι πελάτες του οργανισμού, οι νομικές και κανονιστικές διατάξεις που διέπουν την λειτουργία τους.

Ο καθορισμός της πολιτικής ασφάλειας του πληροφοριακού συστήματος θα πρέπει να καλύπτουν οι ακόλουθες κατηγορίες

  • Ζητήματα προσωπικού
  • Φυσική ασφάλεια
  • Έλεγχος πρόσβασης στο πληροφοριακό σύστημα
  • Διαχείριση υλικών και λογισμικών
  • Νομικές υποχρεώσεις
  • Διαχείριση της πολιτικής ασφάλειας
  • Οργανωτική δομή
  • Σχέδιο συνέχισης λειτουργίας

Όταν εφαρμόζουμε μια πολιτική ασφαλείας επιδιώκουμε:

  • οι οδηγίες και τα μέτρα προστασίας οφείλουν να καλύπτουν το σύνολο των αγαθών και όλες τις λειτουργίες(πληρότητα)
  • να λάβουμε υπόψη τις τρέχουσες τεχνολογικές εξελίξεις (επικαιρότητα)
  • με κάποιες τροποποιήσεις ή προσθήκες να μπορεί η πολιτική να καλύπτει μικρές αλλαγές ή επεκτάσεις στο πληροφοριακό σύστημα (γενικευσιμότητα). Επιπλέον πρέπει να υπάρχει σαφήνεια κ εύκολη κατανόηση, τεχνολογική ανεξαρτησία και καταλληλότητα ανάλογα με τον οργανισμό που απευθύνεται.

Για να είναι επιτυχές ένα σύστημα πολιτικής ασφάλειας οφείλει να υποστηρίζει τους επιχειρηματικούς στόχους, να συμμετέχει η διοίκηση, να είναι κατάλληλη για το περιβάλλον που εφαρμόζεται, οι χρήστες να εκπαιδεύονται κατάλληλα, να υπάρχει αξιολόγηση και η πρόσβαση να είναι εύκολη και άμεση για όλους τους χρήστες του πληροφοριακού συστήματος. Τέλος το περιεχόμενο και οι εφαρμογές πρέπει να ανανεώνονται τακτικά.

Βασικές αρχές

Η ασφάλεια πληροφοριακών συστημάτων στηρίζεται σε τρεις βασικές ιδέες.

Ακεραιότητα

Η ακεραιότητα (Integrity) αναφέρεται στη διατήρηση των δεδομένων ενός πληροφοριακού συστήματος σε μια γνωστή κατάσταση χωρίς ανεπιθύμητες τροποποιήσεις, αφαιρέσεις ή προσθήκες από μη εξουσιοδοτημένα άτομα, καθώς και την αποτροπή της πρόσβασης ή χρήσης των υπολογιστών και δικτύων του συστήματος από άτομα χωρίς άδεια.

Διαθεσιμότητα

Η διαθεσιμότητα (Availability) των δεδομένων και των υπολογιστικών πόρων είναι η εξασφάλιση ότι οι υπολογιστές, τα δίκτυα και τα δεδομένα θα είναι στη διάθεση των χρηστών όποτε απαιτείται η χρήση τους.

Μία τυπική απειλή που αντιμετωπίζουν τα σύγχρονα πληροφοριακά συστήματα είναι η επίθεση άρνησης υπηρεσιών (DοS attack), που έχει ως σκοπό να τεθούν εκτός λειτουργίας οι στοχευμένοι πόροι είτε προσωρινά, είτε μόνιμα. Η άρνηση υπηρεσιών δεν προκαλείται αναγκαία από εχθρική επίθεση. Το φαινόμενο Slashdot, κατά το οποίο ένας σύνδεσμος προς μια ιστοσελίδα φιλοξενούμενη σε διακομιστή με σύνδεση χαμηλής χωρητικότητας δημοσιεύεται σε δημοφιλή ιστότοπο, με συνέπεια εκατοντάδες χιλιάδες αναγνώστες να υπερφορτώσουν τη σύνδεση της αναφερομένης ιστοσελίδας, προκαλεί το ίδιο αποτέλεσμα.

Εμπιστευτικότητα

Η εμπιστευτικότητα (Confidentiality) σημαίνει ότι ευαίσθητες πληροφορίες δεν θα έπρεπε να αποκαλύπτονται σε μη εξουσιοδοτημένα άτομα.

Η διαρροή ευαίσθητων πληροφοριών μπορεί να γίνει με πιο παραδοσιακές μεθόδους από την ψηφιακή υποκλοπή, π.χ. με την κλοπή φορητών υπολογιστών από το κατάλληλο τμήμα μιας εταιρίας. Το 2006 μια μελέτη με τη συνεργασία 480 εταιριών έδειχνε ότι 80% των εταιριών είχε πρόβλημα με διαρροή πληροφοριών λόγο κλοπής φορητού.