Περίληψη : | Η παρούσα Διπλωματική Εργασία πραγματεύεται την Κρισιμότητα και Επικινδυνότητα Κρίσιμων Πληροφοριακών και Επικοινωνιακών Υποδομών. Στόχος της είναι να σχεδιαστεί μια μέθοδος αναγνώρισης εκείνων των πληροφοριακών και επικοινωνιακών υποδομών μιας χώρας οι οποίες έχουν το χαρακτήρα του κρίσιμου (critical). Η μέθοδος αυτή θα πρέπει να παρέχει τη δυνατότητα αποτίμησης της κρισιμότητας (criticality) μιας υποδομής. Στη συνέχεια θα μελετηθούν τα χαρακτηριστικά της περιοχής της Προστασίας Κρίσιμων Πληροφοριακών και Επικοινωνιακών Υποδομών, θα αναλυθεί η διεθνής εμπειρία που αφορά την επιλογή των πληροφοριακών και επικοινωνιακών υποδομών που χαρακτηρίζονται κρίσιμες, αλλά και οι τεχνικές αποτίμησης επικινδυνότητας που αξιοποιούνται για αυτό το σκοπό. Στη συνέχεια, θα σχεδιαστεί μια μέθοδος για την αναγνώριση των κρίσιμων πληροφοριακών και επικοινωνιακών υποδομών μιας χώρας, αλλά και για την ταξινόμησή τους με βάση το επίπεδο κρισιμότητας. H μέθοδος αυτή θα στηρίζεται σε αρχές άλλων γνωστών μεθόδων/μεθοδολογιών προτείνοντας ωστόσο τα εξής νεωτερικά στοιχεία/νέα χαρακτηριστικά:• χρήση ενός μαθηματικού τύπου για την ποσοτικοποιημένη αξιολόγηση του επιπέδου κρισιμότητας μιας κρίσιμης υποδομής.• βαθμολόγηση γνωστών κριτηρίων που μπορούν να χρησιμοποιηθούν για τον υπολογισμό βαρών, χρήσιμων για την ποσοτικοποίηση της κρισιμότητας της υποδομής.• τροποποίηση ενός υπάρχοντος τύπου υπολογισμού της επικινδυνότητας έτσι ώστε να ενσωματώνει τον παράγοντα κρισιμότητα σε συνδυασμό με την χρήση βαρών για την αξιολόγηση των ευπαθειών και απειλών. Τέλος, θα εφαρμοσθεί η παραπάνω μέθοδος για την επιλογή συγκεκριμένων υποδομών και θα αποτιμηθεί το επίπεδο της κρισιμότητάς τους. Αναλυτικότερα:Το πρώτο κεφάλαιο αφορά σε ορισμούς εννοιών οι οποίες είναι απαραίτητες για την περαιτέρω ανάγνωση του παρόντος πονήματος, από την άποψη ότι η παρούσα διπλωματική εργασία έχει ως βάση της έννοιες αυτές και στηρίζει τη μεθοδολογία της σε αυτές. Επίσης παρατίθενται πορίσματα από τη μέχρι τώρα εικόνα των Κρίσιμων Πληροφοριακών και Επικοινωνιακών Υποδομών παγκοσμίως. Στο δεύτερο κεφάλαιο, αφού γίνει μία αναφορά σε συναφείς με την Επικινδυνότητα έννοιες, στη συνέχεια αντιπαραβάλλονται μεθοδολογίες ανάλυσης και διαχείρισης Επικινδυνότητας/Κρισιμότητας Πληροφοριακών Συστημάτων και Πληροφοριακών και Επικοινωνιακών Υποδομών. Αρχικά αναφέρουμε και περιγράφουμε τις κυριότερες μεθοδολογίες Ανάλυσης και Διαχείρισης Επικινδυνότητας ΠΣ (SΒΑ, ΜΑRΙΟΝ, CRAMM). Παράλληλα με τις μεθόδους ανάλυσης και διαχείρισης Επικινδυνότητας ΠΣ υπάρχουν και μεθοδολογίες οι οποίες λειτουργούν σε ένα ευρύτερο πλαίσιο και μπορούν να αποτιμήσουν τις Ευπάθειες και την Επικινδυνότητα Υποδομών (NIPP, CIERM, VAF, VAM, MBVA, NATIONAL RISK ASSESSMENT METHOD GUIDE 2008, HAZOP, ΗΑCCP, καθώς και μεθοδολογίες, οι οποίες μένουν μόνο σε επίπεδο εντοπισμού απειλών (threat assessment): HYDROMET, AFORISM και HYDROL).Στο τρίτο κεφάλαιο, θα αναλυθούν τα κριτήρια που θα χρησιμοποιηθούν στη μεθοδολογία, η οποία θα τα χρησιμοποιεί με κατάλληλα αριθμητικά βάρη για να αποφανθεί ως προς την Κρισιμότητα των Πληροφοριακών και Επικοινωνιακών υποδομών μιας χώρας, καθώς και την ταξινόμησή τους με βάση το επίπεδο κρισιμότητας. Πιο αναλυτικά, τα κριτήρια ως προς τα οποία θα αξιολογηθεί η κρισιμότητα μιας υποδομής, είναι σε σύνολο 18 και αγγίζουν κάθε τομέα του Δημόσιου και Ιδιωτικού κοινωνικού βίου. Εν συνεχεία παρατίθεται η ανάλυση των κριτηρίων, αναλύοντας τα ποιοτικά στοιχεία του καθενός. Κατόπιν γίνεται ανάλυση των προαναφερθέντων κριτηρίων συναρτήσει του κατά πόσο κάθε κριτήριο πληροί τα παρακάτω 3 γενικά είδη επιπτώσεων (Επίπτωση Εύρους, Επίπτωση Χρόνου, Επίπτωση Έντασης). Για κάθε ένα από τα κριτήρια, ανάλογα με τον Τομέα Κρισιμότητας στον/στους οποίο/οποίους υπάγεται, αναλύεται ποσοτικά η σημασία του στην τελική αποτίμηση της Κρισιμότητας μιας υποδομής. Στο τέταρτο κεφάλαιο, θα παρουσιάσουμε τη Μεθοδολογία 4CI (Criticality Computation for Crucial Components of Infrastructure – CCCCI – 4CI) η οποία αφορά στο μαθηματικό υπολογισμό της Κρισιμότητας και της Επικινδυνότητας μιας Πληροφοριακής και Επικοινωνιακής Υποδομής (ΠΕΥ). Η μέθοδος αυτή έχει σχεδιαστεί για να αναλύει την Κρισιμότητα – Επικινδυνότητα μιας υποδομής στην κλίμακα του χρόνου τόσο κατά τη διάρκεια του περιστατικού (incident), όσο και μετά το πέρας αυτού. Η 4CI εφαρμόζεται σε υποδομές και προσπαθεί να κάνει πρόβλεψη επιπτώσεων όχι μονό κατά τη διάρκεια του συμβάντος, αλλά και μετά την παύση εκδήλωσης αυτού. Στο πέμπτο κεφάλαιο, παρατίθενται εφαρμογές τις Μεθοδολογίας υπολογισμού της Κρισιμότητας και της Επικινδυνότητας μιας Πληροφοριακής και Επικοινωνιακής Υποδομής 4CI σε 2 υποδομές από δύο εκ διαμέτρου αντίθετους Τομείς του Δημόσιου και Ιδιωτικού ελληνικού στερεώματος. Η πρώτη υποδομή (υποδομή e-PHORIA) ανήκει στον τομέα των Υπηρεσιών Διακυβέρνησης, ενώ η δεύτερη υποδομή (ΜΕΤΡΟ-CITY) ανήκει στον τομέα των Μεταφορών. Τέλος παρατίθεται σύγκριση των υποδομών, δεδομένων των αποτελεσμάτων Κρισιμότητας και Επικινδυνότητας της κάθε μίας, όπως αυτά προέκυψαν από την εφαρμογή της μεθοδολογίας 4CI. Στο έκτο κεφάλαιο, παρατίθενται συμπεράσματα που αφορούν στο αντικείμενο της παρούσας διπλωματικής εργασίας καθώς και τις δυνατότητες εξέλιξης και αποτελεσματικής λειτουργικότητας των Κρίσιμων Πληροφοριακών και Επικοινωνιακών Υποδομών σε εθνικό επίπεδο.Συμπερασματικά θα μπορούσαμε να πούμε πως η παρούσα Διπλωματική Εργασία εξετέλεσε το στόχο που αρχικά είχε θέσει, μελετώντας ένα χώρο τόσο καινοτόμο όσο αυτός της Ασφάλειας Κρίσιμων Πληροφοριακών και Επικοινωνιακών Υποδομών. Θέματα όπως αυτά του ορισμού της Κρισιμότητας, της σχέσης της με την Επικινδυνότητα και της ποσοτικοποίησης των Κριτηρίων που παρουσιάζονται, στόχο έχουν να αποτελέσουν έναυσμα για περαιτέρω μελέτη στο χώρο της Ασφάλειας Κρίσιμων Πληροφοριακών και Επικοινωνιακών Υποδομών. The rapid intrusion of ICT, mainly through the development of fully integrated information systems and the spread and combinational exploitation of broadband communication systems, has brought about several major repercussions throughout the world. One of the most crucial ones is that of the shifting of the security issues’ metacenter, which, from Information Systems Security, turned to the field of Protection of Information and Communication Infrastructures - CIIP.Goal of this master thesis is to come up with a method of identifying a nation’s Information and Communication Infrastructures, which are characterized by the factor of “criticality”. This method must also be capable of assessing the infrastructure’s criticality. Moving on, apart from studying the characteristics that describe the field of Protection of Information and Communication Infrastructures, we will also analyse the international experience concerning the selection of the information and communication infrastructures characterised as “critical”, as well as the existing techniques for the criticality assessment of these infrastructures. Coming next, we will design a method which will perform the identification of a country’s Critical Information and Communication Infrastructures, as well as their taxonomy according to their criticality level. The above-mentioned methodology will rely on principles of already existing methods/methodologies, suggesting however new characteristics, as the ones mentioned below:• use of a mathematic formula for the quantitative assessment of an Infrastructure’s Criticality level,• scaling of well known criteria which can be used in order to asses the weighting values that will prove to be useful for the quantitative assessment of an Infrastructure’s Criticality,• modification of an already existing formula calculating Risk,, so as to embody the Criticality factor in conjunction with the use of weighting values used in the vulnerability assessment.Finally, the above-mentioned methodology will be applied to certain Infrastructures so as to assess their level of criticality. More analytically:The first chapter contains definitions which are necessary for the reader so as to be able to keep pace with the rest of this essay since the following chapters refer to or are based on key terms, without the knowledge of which the reader will not be able to comprehend the steps towards the design of the methodology. Afterwards, we submit corollaries from up-to-date perspectives of Information and Communication Infrastructures throughout the world. In the second chapter, having made a reference to related-to-Risk concepts, we then compare and contrast methodologies on Analysis and Risk Management / Criticality of Information Systems and Information and Communication Infrastructures. Since the Information Systems area is a subset of the Information Communication Infrastructures area, it is worth to mention and describe the main methodologies of IS Risk Analysis and Management (SBA, MARION, CRAMM). Along with the methods of IS Analysis and Risk Management, there are methodologies which operate in a wider context and can assess the Infrastructures’ vulnerabilities and Risk (NIPP, CIERM, VAF VAM, MBVA, NATIONAL RISK ASSESSMENT METHOD GUIDE 2008, HAZOP, HACCP, as well as methodologies, which asses Criticality only in terms of identifying threats (threat assessment): HYDROMET, AFORISM and HYDROL).In the third chapter we will analyze the criteria to be used in the methodology, with their appropriate numerical weights so as to determine the Criticality of a country’s Information and Communication infrastructure, aiming to the ability of classifying Infrastructures based on their level of criticality. More specifically, these criteria sum to a total of 18 and refer to every sector of the Public and Private life. Next we shall present the analysis of these criteria, analyzing the qualitative elements of each one. Moving on, an analysis of the above criteria is performed, on the basis of whether each criterion complies with the following 3 general types of impacts: Range Impact, Time Impact, Intensity Impact. For each of the criteria, depending on the criticality of the Sector(s) to which it/they belong(s), we will present a quantitative analysis of its importance to the final assessment of the infrastructure’s Criticality. In the fourth chapter, we will present the 4CI methodology (Criticality Computation for Crucial Components of Infrastructure – CCCCI – 4CI)) which relates to the mathematical calculation of the Risk and Criticality of an Information and Communication Infrastructure (ICI). This method is designed to analyze the Criticality - Risk of the infrastructure to a scale of time both during and after the incident occurs. In the fifth chapter, we submit applications of the above-mentioned 4CI Methodology so as to calculate the Criticality and Risk of 2 Greek Information and Communication Infrastructures from two diametrically different areas of public and private sectors of Greek society. The first infrastructure (infrastructure e-PHORIA) belongs to the E-Government Services Sector, while the second infrastructure (METRO-CITY) belongs to the Transport Sector. Finally, given the infrastructures’ Criticality and Risk rates, the comparison of results takes place, as they emerged from the application of the 4CI methodology.The sixth chapter lists the conclusions of this Master Thesis along with outlining the perspectives of a future development and efficient functioning of Critical Infrastructure Information and Communication at a national level, throughout the world.As a conclusion, we could assess that the present Master Thesis has successfully completed the goals it has originally set, through studying a progressive scientific field as the one of Critical Information Infrastructures Protection (CIIP). Issues like the ones of defining Criticality and its relation with Risk, as well as the quantification of the presented Criteria aim to enlighten the use of concepts that are yet not clearly defined. These findings aim to provide assistance for the future study on the field of Critical Information Infrastructures Protection.
|
---|