Διαχείριση ασφάλειας πληροφοριακών συστημάτων

Διαχείριση ασφάλειας πληροφοριακών συστημάτων

Γιατί να εφαρμόστε έλεγχο της ασφάλειας των πληροφοριών?

; Οι πληροφορίες είναι σήμερα ένα από τα σημαντικότερα «περιουσιακά στοιχεία» κάθε εταιρίας. Τι σημαίνει για την εταιρεία σας απώλεια στοιχείων, διαρροή εμπιστευτικών δεδομένων ή απλά μια διακοπή στο πληροφοριακό σύστημα; Εάν αυτοί οι κίνδυνοι είναι σημαντικοί για την ανάπτυξη της επιχείρησής σας, ψάξτε την λύση μέσω της εφαρμογής ενός συστήματος ασφάλειας στην διαχείριση πληροφοριών. Από την πιστοποίησή του, μπορείτε να κερδίσετε την εμπιστοσύνη των συνεργατών σας για θέματα πρόσβασης στο σύστημα πληροφοριών τους ή για την αμοιβαία ανταλλαγή δεδομένων και πληροφοριών.

Αναγνώριση κινδύνων

Λήψη διαβαθμισμένων δεδομένων από τους ανταγωνιστές.

Οι ανταγωνιστές σας μπορούν να χρησιμοποιήσουν την βάση δεδομένων των επαφών σας με τους πελάτες, μπορούν να λάβουν τις πληροφορίες για τις προσφορές σας, την εσωτερική τεχνολογία ή τις οδηγίες παραγωγής, και επίσης πληροφορίες για τα στελέχη σας.

Απώλεια στοιχείων.

Η απώλεια μιας βάσης δεδομένων μπορεί να αποτελέσει απειλή για την εταιρεία σας ή την αιτία επιβράδυνσης των δραστηριοτήτων της, την έκτακτη δαπάνη για την αναδημιουργία της και σίγουρα παράπονα πελατών. Στην περίπτωση εισβολής στα αρχεία του λογιστηρίου ή προσωπικών δεδομένων μπορεί ακόμα να υπάρχουν κυρώσεις από το κράτος.

Διακοπή στην λειτουργία της επιχείρησης

Μια ασυνήθιστα συχνή συντήρηση του συστήματος, αφαιρώντας ελαττώματα και δυσλειτουργίες, είναι ανεπιθύμητη. Αυτό σημαίνει ότι αρκετοί υπάλληλοι της επιχείρησης σας αφιερώνουν χρόνο σε διαφορετικές δραστηριότητες από τις προβλεπόμενες. Οι πελάτες κατανοούν τα προσωρινά προβλήματα μόνο εάν αυτά δεν εμφανίζονται συχνά και επανειλημμένα, ειδικά σε θέματα πωλήσεων και αποθήκευσης.

Απειλές (επιλογή)

•Κακή χρήση των δικαιωμάτων • Αμέλεια και χαλαρότητα διαχείρισης δεδομένων • Διαγραφή στοιχείων • απουσία ΙΤ από σχετικές διαπραγματεύσεις • παραβίαση συστημάτων • κακόβουλη και εχθρική εγκατάσταση SW • δυσλειτουργία συστημάτων • Κλοπή στοιχείων •Λάθη και παραλείψεις χρηστών • Ανακριβής δρομολόγηση • δυσμενή συμβάντα σε συστήματα • Φυσική καταστροφή • Αποζημιώσεις πελατών

Που μπορούν να εντοπιστούν κίνδυνοι στην ασφάλεια?

Ο ανθρώπινος παράγοντας.

Ο κίνδυνος προκύπτει οπουδήποτε στο πληροφοριακό σύστημα παρεμβαίνουν εξωτερικοί συνεργάτες. Όσο χρηστή και να είναι εξέλιξη της τεχνολογίας, εμπεριέχει πιθανή αμέλεια του διαχειριστή του συστήματος ή ακόμα και των χρηστών του. Το πρότυπο ISO 27001 εισάγει ένα σύστημα διοικητικής συμμετοχής στον έλεγχο της διαχείρισης πληροφοριακών συστημάτων. Συγχρόνως από την συμμετοχή της διοίκησης δεν επιβαρύνεται επιπλέον το έργο της και δεν απαιτείται ιδιαίτερη εξειδίκευση στα πληροφοριακά συστήματα.

Τοποθέτηση κεντρικών υπολογιστών και άλλων διαχειριστών πληροφοριών.

Πιθανότατα ο πιο ασφαλής εξοπλισμός είναι αυτός που δεν συνδέεται στο σύστημα με καλώδια. Είναι πολύ πιθανό κάποιος να μπορεί να συνδεθεί μαζί του ή να τον πάρει μαζί του. Το πρότυπο ISO 27001 υιοθετεί μέτρα έτσι ώστε τέτοιος ς εξοπλισμός να μην είναι φυσικά προσιτός από αναρμόδιο προσωπικό και να προστατεύεται επίσης από ζημία ή ακόμα και από καταστροφή.

Συντήρηση.

Τα πληροφοριακά συστήματα απαιτούν τακτικούς ελέγχους, συντήρηση και αναβάθμιση λογισμικού προκειμένου να περιοριστούν σε αυτά οι δυσλειτουργίες κατά την χρήση τους. Με το να εισαγάγετε ελέγχους στα συστήματα κατά την συντήρηση τους, μειώνεται ο κίνδυνος ξαφνικής δυσλειτουργίας τους και μειώνεται συνεπώς το λειτουργικό κόστος, αφού ο εξοπλισμός και το λογισμικό δεν επηρεάζονται από τυχαία γεγονότα.

Απειλές (επιλογή)

•Κακή χρήση των δικαιωμάτων • Αμέλεια και χαλαρότητα διαχείρισης δεδομένων • Διαγραφή στοιχείων • απουσία ΙΤ από σχετικές διαπραγματεύσεις • παραβίαση συστημάτων • κακόβουλη και εχθρική εγκατάσταση SW • δυσλειτουργία συστημάτων • Κλοπή στοιχείων •Λάθη και παραλείψεις χρηστών • Ανακριβής δρομολόγηση • δυσμενή συμβάντα σε συστήματα • Φυσική καταστροφή • Αποζημιώσεις πελατών

Βασική ανάλυση

Κίνδυνοι (επιλογή):

• Κατάχρηση των δικαιωμάτων του διαχειριστή • Αμέλεια στη διαχείριση δεδομένων • Διαγραφή δεδομένων • Παράνομη παρακολούθηση σημαντικών διαπραγματεύσεων • Σύστημα hacking • Εγκατάσταση εχθρικού λογισμικού • Μη-λειτουργικό σύστημα • Κλοπή • Χειριστών σφάλματα και παραλείψεις • Λανθασμένη δρομολόγηση • Αποτυχία του συστήματος • Φυσικές καταστροφές • Πελατών αποζημίωση

Αδυναμίες (επιλογή):

• Πρόσβαση στο δωμάτιο server • Ανεπαρκής ασφάλεια των τοπικών σταθμών • Ανεπαρκής έλεγχος εργαλείων • Η πολιτική πρόσβασης και κωδικοί • Πρόσβαση τρίτων (υπεργολάβοι) • Μη-δομημένη ανάπτυξη HW και SW • Υποκλοπή συνδιαλέξεων • Μη επαγγελματικό πρόγραμμα εγκατάστασης • Ενοποίηση των αρμοδιοτήτων • Ανεπαρκής ανάλυση κινδύνων • Ανεπαρκής έλεγχος διαχείρισης δεδομένων και την πρόσβαση σε πληροφορίες πελατών

MANAGEMENT QUIZ (Απαντήστε με Ναι ή Όχι)

1. Υπάρχει ελεγχόμενη πρόσβαση στο σύστημα, παρέχεται άδεια πρόσβασης μόνο στους αναγκαίους για την λειτουργία και αποτελεσματική διαχείριση του συστήματος. 2. Η βάση δεδομένων σας, προστατεύεται από αναρμόδια πρόσβαση, τα δικαιώματα πρόσβασης και τα δεδομένα απομαστεύονται τακτικά σε μια ασφαλή περιοχή. 3. Η πολιτική κωδικών πρόσβασης διατυπώνεται και ελέγχεται. 4. Πραγματοποιούνται τακτικοί έλεγχοι για αναρμόδια πρόσβαση, αποτυχία του συστήματος, αναβάθμιση των προγραμμάτων προστασίας και λοιπών προγραμμάτων. Το σύστημα επιτρέπει τη σύνδεση με αυτό μόνο εγκεκριμένου εξοπλισμού. 5. Οι αρμοδιότητες και οι ευθύνες του προσωπικού προσδιορίζονται σαφώς και κοινοποιούνται. Τα προσωπικά στοιχεία του προσωπικού προστατεύονται. 6. Οι φυσικοί χώροι των συστημάτων προστατεύονται από είσοδο αναρμόδιων προσώπων, και ειδικά το δωμάτιο των κεντρικών υπολογιστών και χώρων ευαίσθητης πληροφορίας. 7. Η εξ΄αποστάσεως πρόσβαση στο πληροφοριακό σύστημα διασφαλίζεται επαρκώς, η δυνατότητα αναρμόδιας ασύρματης πρόσβασης ελέγχεται. 8. Οι κίνδυνοι από την συνεργασία με τρίτους (υπεργολάβο) και η πρόσβαση τρίτων στις ελεγχόμενες πληροφορίες αναλύονται. 9. Η προμήθεια λογισμικού και εξοπλισμού δεν πραγματοποιείται τυχαία. Τα επιμέρους βασικά τμήματα των πληροφοριακών συστημάτων εντάσσονται στο συνολικό σύστημα μετά από σχετική ανάλυση κινδύνου. 10. Οι δραστηριότητες των υπαλλήλων στη διαχείριση στοιχείων και πληροφοριών πελατών ελέγχονται και αξιολογούνται. Εάν απαντάτε σε 8 από τις 10 ερωτήσεις με ¨ναι¨, μην επικοινωνήσετε μαζί μας.

Διαχειριστές δεδομένων

Κατά την εφαρμογή του προτύπου ISO 27001, πρέπει να είναι κατανοητό ότι η διαχείριση δεδομένων που διασφαλίζεται δεν περιορίζεται στο ΙΤ σύστημα και τοπικό δίκτυο ηλεκτρονικών υπολογιστώ, αλλά ακόμα και σε εκτυπωμένα έγγραφα, πληροφορίες που λαμβάνονται δια τηλεφώνου και προσωπικά. Το παραπάνω συχνά παραβλέπετε κατά την ανάπτυξη συστημάτων διαχείρισης.

ISO 17801

Ένα πρότυπο που καθορίζει αναλυτικά, ειδικές απαιτήσεις για την ανάπτυξη συστήματος προστασίας πληροφοριών και δεδομένων. Δεν αναφέρεται με τον έλεγχο του συστήματος προστασίας των δεδομένων. Συνοπτικά οι απαιτήσεις του ISO 17799 εμπεριέχονται στο Παράρτημα Α του προτύπου ΙSO 27001.

Εδώ

Contact us
+(30) 210 4961964
chrysikopoulos.vagios

News
Sep 1 2018 12:00AM ISO 9001, ISO 14001

Έχετε ενημερωθεί ότι τα πρότυπα πιστοποίησης για συστήματα διαχείρισης ποιότητας και το σύστημα περιβαλλοντικής διαχείρισης ISO 9001: 2008 και ISO 14001: 2004 λήγουν στις 15 Σεπτεμβρίου 2018. Τα αρχεία μας δείχνουν ότι δεν έχετε ακόμη ολοκληρώσει επιθεώρηση μετάβασης στις νέες αναθεωρήσεις αυτών των προτύπων ISO 9001: 2015 ή 14001: 2015.

Mar 1 2013 12:00AM ERCA registration

We started a personnel certification project under the Italian accreditation (ACCREDIA) with a certifcate registration under the scheme ERCA. We offer 12 fields of personnel certification.

older news