Abstract : | Βασικός σκοπός της παρούσας εργασίας ήταν η ανάπτυξη μεθοδολογίας και εργαλείου για την επιλογή μέτρων από την πρόσφατη έκδοση του ISO 27002:2022. Ειδικότερα, η εργασία αποσκοπούσε στη μελέτη και ταξινόμηση των μέτρων ασφάλειας του προτύπου και των οδηγιών που περιλαμβάνουν και στην ανάπτυξη μεθοδολογίας επιλογής τους για την διαχείριση επικινδυνότητας. Για την επίτευξη του ερευνητικού στόχου πραγματοποιήθηκε η απαιτούμενη βιβλιογραφική έρευνα για τη συλλογή του απαραίτητου ερευνητικού υλικού. Η ανασκόπηση αφορούσε τόσο στη κατανόηση και αποτύπωση βασικών εννοιών, όπως τα συστήματα διαχείρισης ασφάλειας πληροφοριών, τα πρότυπα και πλαίσια ασφαλείας πληροφοριών και στην συλλογή δεδομένων από το ISO 27002 καθώς και από άλλες έρευνες με παρόμοιο αντικείμενο. Το αποτέλεσμα είναι μια πλήρης συλλογή και ταξινόμηση όλων των οδηγιών ανά μέτρο, καθώς και μια συλλογή με κατηγοριοποιημένα τα βασικά αγαθά ενός οργανισμού που χρήζουν προστασίας και τα είδη ευπαθειών και απειλές που επηρεάζουν κάθε ένα από τα αγαθά. Για κάθε ευπάθεια έχει γίνει η απαραίτητη αντιστοίχιση με τα μέτρα προστασίας του προτύπου ISO 27002 που την μετριάζουν. Τα αποτελέσματα της έρευνας ανέδειξαν τον σημαντικό ρόλο των ΣΔΑΠ και των προτύπων ασφαλείας στην αποφυγή επικινδυνότητας και στη διασφάλιση των αγαθών ενός οργανισμού. Επίσης αναδείχτηκε η δυνατότητα αλλά και οι δυσκολίες υλοποίησης εργαλείων ΣΔΑΠ. The The main purpose of this study was to develop a methodology and a tool for control selection from the latest version of ISO 27002:2022. Specifically, the work aimed to investigate and classify the security controls within the standard and the guidance they provide. Additionally, it sought to create a methodology for their selection in risk assessment. To achieve this research objective, we conducted the necessary bibliographic research to gather essential research materials. Our review encompassed a deep understanding of and mapping of basic concepts such as ISMS (Information Security Management System), information security standards, and frameworks. We also collected data from ISO 27002 and other related studies. The outcome of our efforts was a comprehensive collection and classification of all the ISO guidance documents under their respective controls. We also categorized the core assets that organizations need to protect, along with the vulnerabilities and threats that affect each asset. Each vulnerability-threat pair was matched with ISO 27002 controls designed to mitigate the associated risks. The results of the research emphasized the crucial role of ISMS and information security standards in risk mitigation and safeguarding organizational assets. Furthermore, it shed light on the potential and challenges in the development of ISMS tools.
|
---|