Σχέδιο Ασφάλειας Εκτακτης Ανάγκης




ΣΧΕΔΙΟ ΑΣΦΑΛΕΙΑΣ ΚΑΙ ΣΧΕΔΙΟ ΕΚΤΑΚΤΗΣ ΑΝΑΓΚΗΣ



1. ΕΙΣΑΓΩΓΗ
Το σχέδιο ασφάλειας (security plan) είναι το έγγραφο, στο οποίο περιγράφονται οι απαιτήσεις ασφάλειας ενός οργανισμού ή μιας επιχείρησης, οι απαραίτητες ενέργειες για την υλοποίησή τους, καθώς και τα αναγκαία διοικητικά και οργανωτικά μέτρα. Το σχέδιο ασφάλειας υπόκειται σε τακτικές επισκοπήσεις και αναθεωρήσεις, δεδομένης της ραγδαίας ανάπτυξης τεχνολογικών λύσεων και της εφαρμογής τους στα συστήματα πληροφορικής και δικτύων.
Το σχέδιο έκτακτης ανάγκης (Disaster recovery plan and contingency plan) είναι το έγγραφο που αναφέρεται στα μέτρα, τα οποία εφαρμόζονται σε περιπτώσεις έκτακτης ανάγκης, όπως της καταστροφής ενός υπολογιστικού κέντρου.
Η κατάρτιση του σχεδίου ασφάλειας και του σχεδίου έκτακτης ανάγκης μπορεί να βασίζεται στα αποτελέσματα μιας ανάλυσης επικινδυνότητας (risk analysis review) της υπολογιστικής και επικοινωνιακής υποδομής. Η ανάλυση επικινδυνότητας έχει ως στόχο να προσδιορίσει τις απαιτήσεις ασφαλείας ενός πληροφοριακού συστήματος. Αφορά την εκτίμηση των κινδύνων και των απειλών στις οποίες είναι εκτεθειμένο ένα πληροφοριακό σύστημα και την λήψη των κατάλληλων μέτρων ασφαλείας για την αντιμετώπισή τους.
Στη συνέχεια, θα παραθέσουμε συνοπτικά τα βασικά περιεχόμενα του σχεδίου ασφάλειας και του σχεδίου έκτακτης ανάγκης.

2.  ΣΧΕΔΙΟ ΑΣΦΑΛΕΙΑΣ

Το έγγραφο αυτό αποτελείται κυρίως από την πολιτική ασφάλειας, την περιγραφή της υφιστάμενης κατάστασης της υποδομής από τη σκοπιά της ασφάλειας, τις απαιτήσεις ασφάλειας, το πλάνο υλοποίησης και την περιγραφή των διαδικασιών συνεχούς επισκόπησης και αναθεώρησης του σχεδίου ασφάλειας.

2.1            Πολιτική ασφάλειας (Security Policy)
Πρόκειται για ένα σύνολο κανόνων, οι οποίοι προσδιορίζουν επακριβώς το ρόλο κάθε εμπλεκόμενου μέσα σε μία εταιρία ή έναν οργανισμό, τις αρμοδιότητες, τις ευθύνες και τα καθήκοντά του.
Μια πολιτική ασφαλείας πρέπει να περιλαμβάνει τα ακόλουθα στοιχεία:
q       Αγαθά (Assets): πρόκειται για τις οντότητες (πχ υλικό, λογισμικό, πληροφορίες, θέσεις κλειδιά του οργανισμού κλπ) του πληροφοριακού συστήματος που έχουν αξία και πρέπει να προστατευθούν
q       Ρόλους και αρμοδιότητες (Roles and Responsibilities): πρόκειται για τους ρόλους και τις υπευθυνότητες, αρμοδιότητες, καθήκοντα, ευθύνες του κάθε ρόλου για θέματα που αφορούν το πληροφοριακό σύστημα και την ασφάλειά του
q       Στόχους (Security policy objectives): πρόκειται για το στόχο (ή τους στόχους) ασφαλείας που καθορίζει συνοπτικά την εστίαση της πολιτικής και θέτει περιορισμούς
q       Πεδίο εφαρμογής της πολιτικής ασφαλείας (Scope of Security Policy): πρόκειται για την εμβέλεια, την έκταση και το χώρο που αφορά η πολιτική ασφαλείας
q       Οδηγίες, κατευθυντήριες γραμμές (Guidelines):
q       Κουλτούρα, άλλες πολιτικές, νομοθεσία (Culture, legislation, other policies): πρόκειται για το σύνολο των πεποιθήσεων, αξιών, αρχών, πολιτικών, κωδίκων δεοντολογίας, νόμων που συνθέτουν την κουλτούρα του οργανισμού και του περιβάλλοντος αυτού και ανατροφοδοτούν τους μηχανισμούς του μέσω μιας διαδικασίας συνεχούς εκμάθησης
q       Υλοποίηση και εφαρμογή της πολιτικής ασφαλείας - Ενημέρωση και συμμόρφωση (Implementation and application of the security policyAwareness, enforcement, breach): πρόκειται για  το οργανωτικό πλαίσιο ρόλων, αρμοδιοτήτων, κανονισμών, επιτροπών για την υλοποίηση και εφαρμογή της πολιτικής ασφαλείας, για την ενημέρωση του προσωπικού σχετικά με την συμμόρφωση και τις ενέργειες που λαμβάνονται στην περίπτωση παραβίασής της πολιτικής ασφαλείας
q       Επισκόπηση και αναθεώρηση της πολιτικής (Review and audit): πρόκειται για την τακτική επισκόπηση και αναθεώρηση της πολιτικής σύμφωνα με τις εκάστοτε συνθήκες ώστε να είναι επίκαιρη και να καλύπτει το σύνολο των δομικών στοιχείων του πληροφοριακού συστήματος και των διαδικασιών διαχείρισης

Τα βασικά χαρακτηριστικά της πολιτικής ασφαλείας πρέπει να είναι τα παρακάτω:

q       Απαιτεί συμμόρφωση από το προσωπικό του οργανισμού. Το έγγραφο της πολιτικής θα πρέπει να είναι στη διάθεση όλου του προσωπικού
q       Εκφράζει γενικότερες απόψεις ή αρχές του οργανισμού
q       Είναι σαφής ώστε να μην παρουσιάζονται δυσκολίες στην κατανόηση και εφαρμογή της και εφαρμόσιμη από άποψη κόστους
q       Είναι γενικεύσιμη ώστε η εφαρμογή της να είναι επεκτάσιμη σε μελλοντικά συστήματα που ενδεχομένως ενταχθούν στο πληροφοριακό σύστημα του οργανισμού
q       Είναι απαλλαγμένη από μη απαραίτητους τεχνικούς όρους και εξειδικευμένες αναφορές ώστε να μην καθίσταται δύσκολη στην εφαρμογή της και εξαρτημένη από τεχνολογικές επιλογές καθώς και να μην τροποποιείται συχνά, παρά μόνο όταν συμβαίνουν σημαντικές αλλαγές στα εξής :
-          Στην οργανωτική δομή και στην κουλτούρα του οργανισμού
-          Στις απαιτήσεις ασφαλείας
-          Στις τεχνολογικές εξελίξεις

2.2            Υφιστάμενη κατάσταση
Η υπολογιστική και επικοινωνιακή υποδομή εξετάζεται σε σχέση με τις αδυναμίες, τους κινδύνους που παρουσιάζονται και τα μέτρα ασφάλειας, τα οποία έχουν ήδη υλοποιηθεί με σκοπό την αντιμετώπιση των αδυναμιών και των κινδύνων του πληροφοριακού συστήματος. Βάση για την εξέταση της υφιστάμενης κατάστασης μπορεί να αποτελέσει και η ανάλυση επικινδυνότητας. Τα υφιστάμενα μέτρα ασφάλειας αξιολογούνται.

2.3            Απαιτήσεις Ασφάλειας
Προσδιορίζονται οι απαιτήσεις ασφάλειας με τη βοήθεια ειδικών μεθόδων ανάλυσης και καταγραφής απαιτήσεων. Ο προσδιορισμός των απαιτήσεων μπορεί να βασίζεται στην ανάλυση επικινδυνότητας, το τελευταίο στάδιο της οποίας είναι εκείνο της ανάλυσης μέγιστου κέρδους - ελάχιστου κόστους (cost benefit analysis) από την εφαρμογή των διαφόρων μέτρων ασφαλείας. Τα μέτρα ασφάλειας πρέπει να προσφέρουν ασφάλεια αντίστοιχη της αξίας του πληροφοριακού συστήματος καθώς και της σοβαρότητας των κινδύνων που αντιμετωπίζει.
Τα μέτρα ασφαλείας αντανακλούν την διασφάλιση των βασικών απαιτήσεων ασφαλείας και περιλαμβάνουν αναλυτικούς κανόνες και οδηγίες για την επίτευξη των στόχων ασφαλείας (βασικών και επιμέρους) που έχουν τεθεί.
Τα μέτρα ασφαλείας του πληροφοριακού συστήματος μπορούν να αναλυθούν στις παρακάτω βασικές κατηγορίες:

Βασικές κατηγορίες μέτρων ασφάλειας του πληροφοριακού συστήματος
Επιμέρους κατηγορίες των βασικών μέτρων ασφάλειας του ΠΣ
¬
Οργάνωση και διαχείριση της ασφάλειας του πληροφοριακού συστήματος
1.      Σχεδιασμός της ασφάλειας του ΠΣ
2.      Κώδικας δεοντολογίας
3.      Έλεγχος, επιθεώρηση και εποπτεία της ασφάλειας του ΠΣ
4.      Ρόλοι και αρμοδιότητες υλοποίησης και διαχείρισης της ασφάλεια του ΠΣ
5.      Τεκμηρίωση και εγχειρίδια χρήσης των διαδικασιών και λειτουργιών σχετικά με την ασφάλεια του ΠΣ
6.      Εκπαίδευση, ευαισθητοποίηση, ενημέρωση χρηστών
­
Ασφάλεια ανάπτυξης και συντήρησης του πληροφοριακού συστήματος
1.      Ανάπτυξη και συντήρηση εφαρμογών (Application development and maintenance)
2.      Διαχείρισης της υποστήριξης και απόκτησης υλικού και λογισμικού από προμηθευτές (Vendor supportcontracts and reliability)
3.      Απογραφή του υλικού και λογισμικού και διαχείριση των αλλαγών (Hardware and software inventory)
®

Φυσική ασφάλεια
1.      Ασφάλεια κτιριακών εγκαταστάσεων
2.      Ασφάλεια εξοπλισμού πληροφορικής και τηλεπικοινωνιακής υποδομής
3.      Προστασία από φυσικές καταστροφές  (Environmental controls)
¯

Ασφάλεια δεδομένων
1.      Μηχανισμοί εξασφάλισης  ακεραιότητας και εμπιστευτικότητας των δεδομένων
2.      Κατηγοριοποίηση, ταξινόμηση των δεδομένων (Classification of data/ information)
°
Ασφάλεια της υπολογιστικής και τηλεπικοινωνιακής υποδομής
1.      Διαδικασίες διαχείρισης εφεδρικών αντιγράφων ασφαλείας
2.      Διαδικασίες αντιμετώπισης ιομορφών
3.      Διαδικασίες διαχείρισης συνθηματικών
4.      Ασφάλεια εφαρμογών-λογισμικού
5.      Ασφάλεια βάσεων δεδομένων
6.      Ασφάλεια δικτύων και τηλεπικοινωνιών και ασφάλεια κατά τη σύνδεση στο Internet
7.      Έλεγχος προσπέλασης του ΠΣ
8.      Μηχανισμοί καταγραφής συμβάντων και περιστατικών ή προσπαθειών παραβίασης της ασφάλειας του ΠΣ
±
Ανάκαμψη από καταστροφές
1.      Σχέδιο έκτακτης ανάγκης

2.4      Πλάνο Υλοποίησης
Τον προσδιορισμό των απαιτήσεων ασφάλειας ακολουθεί η υλοποίησή τους. Το σχετικό πλάνο υλοποίησης αναφέρεται στον καταμερισμό αρμοδιοτήτων και ευθυνών των εμπλεκόμενων, στην κατάτμηση του έργου υλοποίησης σε επιμέρους εργασίες και στον χρονοπρογραμματισμό τους.

2.5    Συνεχής Επισκόπηση – Αναθεώρηση
Προσδιορισμός διαδικασιών για την τακτική ενημέρωση του ίδιου του σχεδίου ασφάλειας. Η επανεξέταση όλων των ελέγχων, καθώς και των λειτουργιών, αποτελεί σημαντικό βήμα προς τη θωράκιση των συστημάτων επιχειρήσεων και οργανισμών, και την ενίσχυση των αμυντικών μηχανισμών τους. Άλλωστε, η τεχνολογία εξελίσσεται με τόσο γρήγορο ρυθμό, που ακόμα και η παραμικρή αλλαγή θα πρέπει να αντικατοπτρίζεται άμεσα στα μέτρα ασφάλειας που τελικά υιοθετούνται. Από την άλλη, αυτό δε σημαίνει απαραίτητα ότι θα υπάρχουν συνεχείς αλλαγές στην πολιτική ασφάλειας, ούτε ότι θα αλλάζουν κάθε τόσο τα καθήκοντα των χρηστών και λοιπών εμπλεκομένων.
Αντιθέτως, όλοι καλούνται να τηρούν πιστά τις οδηγίες που τους έχουν δοθεί, και να φροντίζουν ώστε να ελαχιστοποιούν τα λάθη τους. Επίσης, έχει τεράστια σημασία η καλλιέργεια ενός κλίματος εμπιστοσύνης και αμοιβαίας κατανόησης ανάμεσα στο σύνολο του ανθρώπινου δυναμικού που έρχεται είτε έμμεσα, είτε άμεσα σε επαφή με τα συστήματα πληροφορικής και τηλεπικοινωνιών μέσα σε μία επιχείρηση ή σε έναν οργανισμό.

3. ΣΧΕΔΙΟ ΕΚΤΑΚΤΗΣ ΑΝΑΓΚΗΣ
Στο σχέδιο έκτακτης ανάγκης, το οποίο συμπληρώνει το σχέδιο ασφάλειας, προβλέπονται μέτρα που στοχεύουν στα ακόλουθα:

q       Ελαχιστοποίηση διακοπών της κανονικής λειτουργίας
q       Περιορισμός της έκτασης των ζημιών και καταστροφών, και αποφυγή πιθανής κλιμάκωσης αυτών
q       Δυνατότητα ομαλής υποβάθμισης
q       Εγκατάσταση εναλλακτικών μέσων λειτουργίας εκ των προτέρων
q       Εκπαίδευση, εξάσκηση και εξοικείωση του ανθρώπινου δυναμικού με διαδικασίες έκτακτης ανάγκης
q       Δυνατότητα ταχείας και ομαλής αποκατάστασης της λειτουργίας
q       Ελαχιστοποίηση των οικονομικών επιπτώσεων
Το σχέδιο έκτακτής ανάγκης πρέπει να προσδιορίζει τους πιθανούς κινδύνους και γενικότερα τα κριτήρια που καθορίζουν την κατάσταση ως έκτατη και επιβάλλουν την ενεργοποίηση του σχεδίου. Πρέπει να υπάρχουν σαφείς και γραπτές διαδικασίες που να θέτουν τον οργανισμό σε κατάσταση έκτακτης ανάγκης και να επιτρέπουν ανάκληση του σχεδίου.
Το σχέδιο έκτακτης ανάγκης πρέπει να προσδιορίζει τις σημαντικές λειτουργίες (critical functions and systems) και τα αντίστοιχα συστήματα του οργανισμού, τη στρατηγική προστασίας τους (protection strategy) και την προτεραιότητα με την οποία θα τεθούν σε εφαρμογή οι δραστηριότητες του οργανισμού στο εναλλακτικό σύστημα. Επίσης, το σχέδιο πρέπει να περιέχει μια κατάσταση με τα μέλη του προσωπικού που θα κληθούν στην περίπτωση καταστροφής καθώς και τα τηλέφωνα των προμηθευτών υλικού και λογισμικού, των σημαντικών συνεργατών ή πελατών, των ατόμων που βρίσκονται σε διαφορετικές εγκαταστάσεις που θα χρησιμοποιηθούν από την επιχείρηση για τη συνέχιση της λειτουργίας της. Επίσης το σχέδιο θα πρέπει να περιέχει διαδικασίες για τον υπολογισμό της ζημιάς από την καταστροφή που συντελέστηκε. Ακόμα θα πρέπει να περιέχει έναν ρεαλιστικό χρονοπρογραμματισμό με σαφή ανάθεση καθηκόντων για την αποκατάσταση της λειτουργίας του οργανισμού.
 Το σχέδιο έκτακτης ανάγκης πραγματεύεται, εκτός των άλλων, την ανάκαμψη της λειτουργίας της υπολογιστικής και επικοινωνιακής υποδομής μετά από φυσικές καταστροφές (φωτιές, πλημμύρες, σεισμούς, κτλ.). Για την ταχύτερη δυνατή αντιμετώπιση των έκτακτων περιστάσεων, προτείνεται η τοποθέτηση συναγερμών, οι οποίοι χρησιμοποιούνται τόσο για την ανίχνευση (επικείμενης) ζημιάς λόγω των φαινομένων αυτών, αλλά και για την ανίχνευση εισβολών στα συστήματα.
Αναφορικά με την αντιμετώπιση των έκτακτων καταστάσεων, μπορούν να χρησιμοποιηθούν ειδικές συσκευές φιλτραρίσματος, όπως είναι τα φίλτρα αέρος, που περιορίζουν τις ζημιές από τον καπνό και από άλλα βλαβερά αέρια και τα φίλτρα θορύβου, που ελαττώνουν το άκουσμα εξωτερικών θορύβων. Επίσης, για τους περιβαλλοντικούς ελέγχους υπάρχουν συσκευές ή μέθοδοι που ελέγχουν τη θερμοκρασία, την πίεση, την υγρασία και άλλους περιβαλλοντικούς παράγοντες. Παραδείγματα είναι τα κλιματιστικά, οι ελεγκτές υγρασίας και οι ιονιστές της ατμόσφαιρας.
Για την αντιμετώπιση περιστατικών πυρκαγιάς, μπορεί να τοποθετηθεί ειδικός εξοπλισμός σε ενδεικνυόμενα μέρη. Παραδείγματα αποτελούν οι πυροσβεστήρες, οι ειδικοί αφροί, ειδικά χρηματοκιβώτια για την αποθήκευση σπουδαίων εγγράφων και άλλων σημαντικών αντικειμένων, και οι εγκαταστάσεις αποθήκευσης νερού, οι οποίες έχουν και δυνατότητες άντλησης. Αυτό το τελευταίο είναι πολύ σημαντικό και για την αντιμετώπιση διαρροών νερού.
Όσον αφορά τις εισβολές, για την ανίχνευση και αντιμετώπισή τους μπορούν να χρησιμοποιηθούν ειδικά συστήματα λογισμικού, τα επονομαζόμενα συστήματα ανίχνευσης εισβολών, τα οποία κάνουν χρήση διαφόρων αισθητήρων και δίνουν τακτικές αναφορές στα κέντρα ελέγχου.
Πρέπει να επισημανθεί, ωστόσο, ότι οι κίνδυνοι αυτού του είδους ελαχιστοποιούνται, αν έχει προηγουμένως καταστρωθεί ένα προσεγμένο σχέδιο ασφάλειας. Το σχέδιο έκτακτης ανάγκης, άλλωστε, έρχεται να καλύψει τα κενά που πιθανόν να έχει αφήσει το σχέδιο ασφάλειας.
Ακόμα, στο σχέδιο έκτακτης ανάγκης προβλέπεται τρόπος αντιμετώπισης των διακοπών στην παροχή ηλεκτρικού ρεύματος. Για το λόγο αυτό συνιστάται η χρήση ειδικών γεννητριών, οι οποίες παρέχουν συνεχώς ενέργεια σε ζωτικά τμήματα του εξοπλισμού. Στο σχέδιο έκτακτης ανάγκης περιλαμβάνονται και τα μέτρα για τον έλεγχο της φυσικής πρόσβασης κατά τη διάρκεια της αντιμετώπισης έκτακτων περιστάσεων.
Το σχέδιο έκτακτης ανάγκης αντιμετωπίζει τις περιπτώσεις απώλειας δεδομένων, λογισμικού και υλικού με τη δημιουργία αντιγράφων, τα οποία φυλάσσονται σε άλλους προστατευόμενους χώρους (κτίρια). Αναφορικά με την αντιμετώπισης της έλλειψης διαθεσιμότητας της υποδομής, διακρίνονται κυρίως δύο τρόποι: cold sites (ή shells) και hot sites. Τα πρώτα είναι, στην ουσία, εγκαταστάσεις όπου υπάρχει παροχή ηλεκτρικής ενέργειας και κλιματισμός. Στις εγκαταστάσεις αυτές θα μπορεί να εγκαθίσταται ένα υπολογιστικό σύστημα, όμοιο ακριβώς με αυτό που λειτουργεί στα κυρίως κτίρια, το οποίο θα μπορεί να τίθεται άμεσα σε λειτουργία, κάθε φορά που κάτι τέτοιο θα κρίνεται απαραίτητο. Τα hot sites, από την άλλη, είναι και αυτά εγκαταστάσεις, στις οποίες όμως υπάρχει ήδη εγκατεστημένο ένα υπολογιστικό σύστημα, το οποίο είναι και ανά πάσα στιγμή έτοιμο για λειτουργία και χρήση. Το σύστημα αυτό διαθέτει περιφερειακά, τηλεπικοινωνιακές γραμμές, γεννήτριες, και, ακόμα και προσωπικό για να το χειριστεί άμεσα, σε περίπτωση έκτακτης ανάγκης. Για την ενεργοποίηση ενός hot site, αρκεί να φορτωθούν τα δεδομένα και τα αντίγραφα του γενικού λογισμικού και των εφαρμογών, αντίγραφα των οποίων φυλάσσονται αποθηκευμένα, κατά κανόνα, σε διαφορετικά κτίρια από αυτά που βρίσκονται τα συστήματα κανονικής λειτουργίας του οργανισμού.



Εγγραφή σε: Αναρτήσεις ( Atom )

ΠΡΟΣΦΟΡΕΣ ΣΥΝΑΓΕΡΜΩΝ IDS

  • Cougar

    Οικονομικός Συναγερμός εως 60m2

  • Lions

    Οικονομικός Συναγερμός εως 80m2

  • Snowalker

    Περιμετρικός Συναγερμός Κατοικίας

  • Howling

    Ολοκληρωμένος Συναγερμός Κατοικίας iDS

  • Sunbathing

    Συναγερμός Κατοικίας εως 110m2





.
.
.
Αξιοπιστία Συναγερμού

Η διορατική μελέτη και η σωστή εγκατάσταση, είναι εκείνες που καθορίζουν τη σωστή λειτουργία ενός συστήματος Συναγερμού.
Bookmark and Share

Η διορατική μελέτη και η σωστή τοποθέτηση, είναι αυτά που καθορίζουν τη σωστή λειτουργία ενός Συστήματος Συναγερμού.