Καταγραφή πολιτικών ασφάλειας σύμφωνα με το πρότυπο ISO 27002.

Abstract

Ένας οργανισμός/υπηρεσία προκειμένου να έχει την δυνατότητα να επιτυγχάνει τους στόχους του θα πρέπει, μεταξύ άλλων, να διασφαλίσει όσο το δυνατό καλύτερα την απαιτούμενη ασφάλεια της υπολογιστικής υποδομής του καθώς και των ευαίσθητων δεδομένων (βάση νομικών υποχρεώσεων ή λόγω της φύσης του οργανισμού) που αποθηκεύονται η διακινούνται σε αυτή. Η εφαρμογή ενός σχεδίου ασφάλειας σήμερα, σύμφωνα με διεθνή πρότυπα και πρακτικές, αντιμετωπίζεται σαν μία σημαντική διαχειριστική λειτουργία και όχι απλά ως μία τεχνική λειτουργία. Η παρούσα πτυχιακή ασχολείται με την ανάπτυξη, υλοποίηση και υποστήριξη στρατηγικών ασφάλειας σύμφωνα με το σύγχρονο πρότυπο ISO27002. Τα πλεονεκτήματα για τον οργανισμό συνοψίζονται στα εξής: • Εκτίμηση της επικινδυνότητας της υπάρχουσας υποδομής και βελτιστοποίηση αυτής • Καταγραφή των πολιτικών ασφάλειας που ορίζουν την ορθή χρήση της υποδομής • Αποδεδειγμένη συμμόρφωση με το νομικό καθεστώς που διέπει τα πληροφοριακά συστήματα (π.χ. προστασία προσωπικών δεδομένων, ΑΔΑΕ, οδηγίες Ε.Ε.). Το αποτέλεσμα της πτυχιακής είναι δυνατό να εφαρμοστεί στα πλαίσια του ΤΕΙ Κρήτης στο Ηράκλειο. Πρέπει να σημειωθεί ότι οι πολιτικές ασφάλειας αναφέρονται σε ένα σύνολο κανόνων και οδηγιών που οριοθετούν και οργανώνουν εσωτερικές διαδικασίες (εφόσον αυτές σχετίζονται με την ασφάλεια πληροφοριών). Ο στόχος αυτής της προσπάθειας είναι να εφαρμόσουμε ασφαλείς πρακτικές σεβόμενοι ταυτόχρονα την κουλτούρα που διέπει έναν εκπαιδευτικό/ερευνητικό οργανισμό. Για να επιτευχθεί το παραπάνω θα χρειαστεί συνεργασία από όλους η οποία θα κωδικοποιείται σαν διοικητική κατεύθυνση και δέσμευση όσο αφορά στους ρόλους και τις υποχρεώσεις των μελών του ιδρύματος.

An organization/service in order to have the ability to achieve its objectives, should among all, reassure the required security of its calculating infrastructure as well as sensitive data (based on legal obligations or due to the nature of the organization) which is stored or transmitted in it. The implementation of a security plan today, according to international standards and practices, is faced as an important management process and not just as a technical one. The present project deals with the development, concretization and support of security strategies according to modern standard ISO27002. The advantages for the organization are summarised in the followings: • Risk assessment of existing infrastructure and its improvement. • Documentation of security policies which address the proper use of infrastructure. • Valid compliance to the legislation which characterizes the information systems (eg. personal data privacy, ADAE, guidance of European Communion). The result of this project is possible to be applied in the frames of TEI of Crete at Heraklion. It should be mentioned that security policies are referred to a total of rules and guidelines which delimit and organize internal processes (provided that they are related to information security). The objective of this effort is to apply secure practices in respect to the culture that characterizes an educational/researching organization. In order to achieve the above, it will be needed collaboration from all, which is coded as administrative direction and commitment as regards the roles and the responsibilities of members of the institution.