PYXIDA Institutional Repository
and Digital Library
 Home
Collections :

Title :Μέθοδος εντοπισμού και δημιουργίας σεναρίων επισφάλειας
Creator :Μερτής, Παναγιώτης
Contributor :Τσούμας, Βασίλειος (Επιβλέπων καθηγητής)
Οικονομικό Πανεπιστήμιο Αθηνών, Τμήμα Πληροφορικής (Degree granting institution)
Type :Text
Extent :85σ.
Language :el
Abstract :Η παρούσα εργασία πραγματοποιήθηκε στο πλαίσιο του μαθήματος της ελεγκτικής των πληροφοριακών συστημάτων, πλην όμως εντάσσεται και καλύπτει περιοχή του ευρύτερου κλάδου της ασφάλειας πληροφοριών και προστασίας κρίσιμων πληροφοριακών υποδομών. Στόχο της μεθόδου αποτέλεσε η ανάγκη για την δημιουργία μιας δομημένης και συστηματικής μεθόδου για τον εντοπισμό των κρίσιμων περιοχών, κατά την διαδικασία ελέγχου ενός οργανισμού, για τις οποίες θα πρέπει στη συνέχεια να καταρτιστεί ένα πλάνο ελέγχου. Αν και ο ανωτέρω λόγος αποτέλεσε τον πυρήνα της αρχικής έρευνας και ανάλυσης της μεθόδου, η μελέτη που ακολούθησε έδειξε ότι για την υπό έρευνα περιοχή απουσίαζε μια ολοκληρωμένη μέθοδος, που με επίκεντρο τις επιχειρησιακές διαδικασίες να μπορεί να πραγματοποιηθεί μια αποτίμηση επικινδυνότητας βασισμένη σε σενάρια επισφάλειας, πεδίο το οποίο είναι απαραίτητο και κοινό τόσο για έναν ελεγκτή επικινδυνότητας, όσο αντίστοιχα και για έναν διαχειριστή επικινδυνότητας.Εκ των ως άνω διαμορφώθηκε ένας νέος στόχος, η μέθοδος να εξυπηρετεί για τα εξής:• Εντοπισμό Περιοχών Υψηλής Επικινδυνότητας • Τεκμηρίωση Κρίσιμων Σεναρίων Επισφάλειας • Αυξημένη Διαβεβαίωση • Μείωση Υποκειμενικότητας • Ανταπόκριση στις Αλλαγές στα ΠΣ • Επαναχρησιμοποίηση • Διαρκής Έλεγχος Επικινδυνότητας Ο εντοπισμός των περιοχών υψηλής επικινδυνότητας αποτελεί το κύριο μέλημα της μεθόδου, ο τρόπος όμως, σύμφωνα με τον οποίο αυτές θα προσδιοριστούν, προκύπτει από τις επιχειρησιακές διαδικασίες του εκάστοτε υπό εξέταση οργανισμού. Όπως γίνεται αντιληπτό για να καταστεί κάτι τέτοιο δυνατό χρειάζεται να μοντελοποιηθούν οι διαδικασίες του οργανισμού και κάτι τέτοιο προϋποθέτει οι διαδικασίες αυτές να έχουν σαφώς τεκμηριωθεί. Θα πρέπει σε αυτό το σημείο να τονιστεί ότι κάτι τέτοιο μπορεί να βρεθεί μόνο σε μεγάλους οργανισμούς που θέλουν να κρατούν το επίπεδο επικινδυνότητας υπό έλεγχο, έχουν δηλαδή εκ των προτέρων, τεκμηριωμένες διαδικασίες και ή δυνατόν ένα εφαρμοσμένο, δομημένο πλαίσιο ασφάλειας που θέλουν να το βελτιστοποιήσουν.Έχοντας μια τεκμηριωμένη υποδομή επιχειρησιακών διαδικασιών είναι πολύ πιο εύκολο να εφαρμοστούν ποσοτικές μέθοδοι, έτσι ώστε αυτές να μπορέσουν να αποτιμηθούν και να προκύψει μια ταξινομία διαδικασιών. Κατά αυτόν τον τρόπο, τα επόμενα βήματα της μεθόδου αποκτούν άλλη βαρύτητα, παρέχοντας έτσι αυξημένη διαβεβαίωση για το γεγονός ότι οτιδήποτε ακολουθεί βασίζεται στην ταξινομία, η οποία αντικατοπτρίζει το επιχειρησιακό όραμα, καθώς και τους στόχους του οργανισμού. Παράλληλα η δημιουργία μετρικών από τα πρώτα κιόλας στάδια της μεθόδου, στις οποίες θα στηριχτούν οι επόμενοι υπολογισμοί, έχουν σαν αποτέλεσμα την μείωση της υποκειμενικότητας.Επιπροσθέτως, μια ταξινομία τεκμηριωμένων επιχειρησιακών διαδικασιών αποτελεί μια υποδομή η οποία δεν υπόκειται σε συχνές αλλαγές, αφού για να είναι τεκμηριωμένες (οι διαδικασίες) σημαίνει κατά κανόνα ότι έχουν περάσει από κάποια στάδια ανάλυσης και ποιοτικού ελέγχου, που τις καθιστούν με αυτόν τον τρόπο βέλτιστες για τον οργανισμό. Μια τέτοια υποδομή, στην οποία η αλλαγή δεν είναι ο κανόνας, θεωρήθηκε ιδανική για να οικοδομηθούν τα μεταγενέστερα στάδια της μεθόδου με γνώμονα την δυνατότητα για επαναχρησιμοποίηση. Δόθηκε μεγάλη έμφαση στο να μπορεί το κάθε στάδιο της μεθόδου να επαναχρησιμοποιηθεί διότι επιτυγχάνεται κατ’ επέκταση η ανταπόκριση στην αλλαγή και ουσιαστικά ο διαρκής έλεγχος της επικινδυνότητας. Με βάση τα ανωτέρω διαμορφώθηκαν τα κάτωθι χαρακτηριστικά και προϋποθέσεις που θα έπρεπε να πληροί η μέθοδος:• Πλαίσιο εργασίας (framework) • Έμφαση στην Πρακτικότητα • Συστηματικός Τρόπος Εκτέλεσης • Δομημένη • Έγκαιρη • Δυναμική • Επαναληπτική • Μοντελοποίηση Επιχειρησιακών Διαδικασιών • Τεκμηρίωση • Συνίσταται για οργανισμούς που θέλουν να κρατούν το επίπεδο επικινδυνότητας υπό έλεγχο Όπως θα φανεί και από την εφαρμογή της μεθόδου στην μελέτη περίπτωσης ένα από τα σημεία που πρωτίστως απασχόλησαν στην δημιουργία της, υπήρξε ο στόχος του να δημιουργηθεί ένα πρακτικό και απλό στην χρήση του εργαλείο, παρά μια φορμαλιστική μέθοδος. Παρακάτω ακολουθεί η διάρθρωση της εργασίας.Στο Πρώτο Κεφάλαιο παρουσιάζονται τα πρότυπα πάνω στα οποία βασίστηκε η μέθοδος. Η μέθοδος είναι διαδικασιοκεντρική και σαν αποτέλεσμα υιοθετεί την προσέγγιση της COBIT, ενώ έγινε προσπάθεια να συμμορφώνεται στις αρχές του καινούργιου προτύπου για την διαχείριση της επικινδυνότητας το ISO-31000.Στο Δεύτερο Κεφάλαιο παρουσιάζονται η προσέγγιση της μεθόδου της Ανάλυσης Σεναρίων όπως επίσης και η τεχνική Delphi. Η δημιουργία των σεναρίων είναι κομβική για την μέθοδο που παρουσιάζεται καθώς με την χρήση των σεναρίων είναι δυνατό να συλληφθεί ένας μεγάλος όγκος από πληροφορίες και πιθανότητες, η κάθε μια από αυτές με πολύ μεγάλη ακρίβεια και λεπτομέρεια. Η τεχνική Delphi με την σειρά της παρουσιάστηκε σαν μέθοδος με την οποία μπορούν να αντιμετωπιστούν οι συνεντεύξεις που είναι απαραίτητες σε διάφορα στάδια της μεθόδου.Στο Τρίτο Κεφάλαιο περιγράφονται οι επιχειρησιακές διεργασίες, καθώς και ο τρόπος τεκμηρίωσης αυτών. Η μέθοδος ακολούθησε την προσέγγιση των διαδικασιών καθώς για τη μέτρηση των επιπτώσεων σε έναν οργανισμό από την εμφάνιση ενός ανεπιθύμητου συμβάντος δεν αρκεί ο υπολογισμός της αξίας αντικατάστασης του αγαθού στο οποίο έχει πραγματοποιηθεί η επίθεση, γεγονός στο οποίο επικεντρώνονται οι διάφορες μέθοδοι επικινδυνότητας, αντιθέτως θα πρέπει να ληφθεί υπόψη και το κόστος για τον οργανισμό από την παρακώληση της εύρυθμης λειτουργίας των επιχειρησιακών του διαδικασιών. Στο Τέταρτο Κεφάλαιο γίνεται μια αναφορά στις πιο σημαντικές εργασίες έρευνας που έχουν διεξαχθεί σε αυτήν την γνωστική περιοχή, με γνώμονα την συμβολή τους στην εκπόνηση της παρούσης μεθόδου.Στο Πέμπτο Κεφάλαιο παρουσιάζονται αναλυτικά τα στάδια της μεθόδου ενώ στο έκτο κεφάλαιο εκπονήθηκε μια εικονική μελέτη περίπτωσης για την οποία εφαρμόστηκε η μέθοδος έτσι ώστε να γίνει καλύτερα κατανοητή.Τέλος, στο Έβδομο Κεφάλαιο παρατίθενται τα συμπεράσματα που προέκυψαν από την μέθοδο. 
This thesis took place in the course of the audit of information systems, but is covering a wider area of information security and critical information infrastructures protection. The aim of the method presented was the need to create a structured and systematic method in order to identify critical areas within the control process of an organization for which they must then prepare a plan of control. Although the aforementioned cause was the heart of the original investigation and analysis of the method, studies have shown that the area under investigation was lacking an integrated method, focusing on business processes would be able to make a risk assessment based on scenarios precariousness, field which is necessary for the risk analyst as well as the risk manager. As a result a new target emerged for the method to serve the following as well:• Identify the highest risk areas• Documentation of Critical Scenarios hazard rate• Increased Assurance• Reduce Subjectivity• Response to Changes in IT• Reusability• Continuous Risk MonitoringIdentifying areas of high risk is the main concern of the method; however, the way they arise derives from the operational procedures of each organization concerned. Obviously, modeling the processes of the organization is needed, act which requires that procedures must be clearly documented. At this point, it should be noted that documented processes can only be found in large organizations that want to keep the risk level under control; so they already have documented procedures, as well as a structured security framework that they want to optimize.Having a documented infrastructure of business processes is much easier to apply quantitative methods in order to enable them to monitor and produce a procedures taxonomy. Thus, the next steps of the method above gain more gravity by providing thereby increased assurance that what follows is based on the taxonomy, which reflects the business vision and objectives of the organization. Furthermore, the creation of metrics in the earliest stages of the process, on which the next calculations will be based, will result in the reduction of subjectivity.In addition, a taxonomy of documented business processes can be used as an infrastructure which is not subject to frequent changes, because in order (for the procedures) to be documented, will normally mean that they have gone through some stages of analysis and quality control, rendering them optimal for the organization. Such an infrastructure in which the change is not the norm, it was ideal to build the later stages of process-oriented opportunity for reuse. Heavy focus was given on each stage of the reusability of every stage of the method, because it achieves the response to changes and moreover the constant supervision of risk.Taking the previous information into consideration, the following characteristics and conditions should be fulfilled by the method:• Framework• Emphasis on Practicality• Systematic Method of Execution• Structured• On time• Dynamic• Repetitive • Business Process Modeling• Documentation• Recommended for organizations that want to keep the risk level under controlAs will be seen, by applying the method to a case study, one of the points that was primarily employed in its creation, was the purpose to create a tool, practical and easy to use, than developing a formalistic method.The structure of the thesis is the following.The first chapter presents the standards upon which the proposed method was based. The method is process-centric so adopts the approach of COBIT, while attempting to conform it to the principles of the new standard for risk management in ISO-31000.The second chapter presents the Scenario Analysis method as well as Delphi technique. Creating scenarios is crucial for the method presented and the use of scenarios can control a large volume of information and possibilities, each of them with great precision and detail. The Delphi technique is presented as a method which can handle the interviews needed at various stages of the method.The third chapter describes the business processes and their documentation process. As mentioned earlier, the method followed the approach of procedures. The measure of the impact of the emergence of an adverse event on an organization is not sufficient to be calculated only by the replacement value of the property which has been attacked. It should also taken into account the cost for the organization caused by the hindrance of the smooth operation of its operational procedures.The fourth chapter is a reference to the most important research work carried out in this knowledge area, based on their contribution to the development of this method.The fifth chapter describes in detail each step of the method, while in the sixth chapter analyzes a virtual case study that was conducted in order to apply the method in question.Finally, Chapter Seven lists the conclusions drawn from the method.
Subject :Πρότυπα διαχείρισης επικινδυνότητας
Επικινδυνότητα
Επιχειρησιακές διαδικασίες
Επισφάλεια
Date :28-02-2010
Licence :

File: Mertis_2010.pdf

Type: application/pdf