ISO 27001
Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών
H ασφάλεια πληροφοριών (Information Security) αποσκοπεί στην προστασία των πληροφοριών και των πόρων ενός συστήματος πληροφοριών (μέρος του οποίου αποτελεί το πληροφοριακό σύστημα) γενικότερα, από πιθανές ζημιές που μπορεί να προκαλέσουν μείωση της αξίας τους.
Επιπλέον, αποσκοπεί στην παροχή αξιόπιστων πληροφοριών, οι οποίες είναι διαθέσιμες στους εξουσιοδοτημένους χρήστες, όταν τις χρειάζονται.
Μια πιο πρακτική θεώρηση της ασφάλειας πληροφοριών είναι ως ένα δομημένο σύστημα διεργασιών, που αποτελείται από τρία διακριτά βήματα: πρόληψη, ανίχνευση και αντίδραση:
- Πρόληψη είναι το υποσύνολο των διεργασιών κατά των οποίων λαμβάνονται μέτρα προστασίας για την αποφυγή συνεπειών από μη επιθυμητές ενέργειες.
- Ανίχνευση είναι το υποσύνολο των διεργασιών εντοπισμού ενεργειών και αναζήτησης γεγονότων και προσώπων που προκάλεσαν τις ενέργειες αυτές, καθώς και τις όποιες συνέπειές τους.
- Αντίδραση είναι το υποσύνολο των διεργασιών αποκατάστασης των πόρων που υπέστησαν ζημιά και αντιμετώπισης των επιθέσεων που βρίσκονται σε εξέλιξη.
Η διαφύλαξη των πόρων και η προστασία των δεδομένων δεν ορίζεται αόριστα, αλλά στην βάση των τριών (3) θεμελιωδών ιδιοτήτων της Ασφάλειας Πληροφοριών, που είναι:
- Εμπιστευτικότητα (Confidentiality): αφορά την προστασία της πληροφορίας από μη εξουσιοδοτημένη αποκάλυψή (ανάγνωση) της.
- Ακεραιότητα (Integrity): αφορά την προστασία της πληροφορίας από μη εξουσιοδοτημένη μεταβολή (τροποποίηση ή διαγραφή) της.
- Διαθεσιμότητα (Availability): αφορά τη διαφύλαξη της εξουσιοδοτημένης πρόσβασης (είτε για αποκάλυψη είτε για μεταβολή) στην πληροφορία, χωρίς εμπόδια ή καθυστέρηση.
Εκτός από τις παραπάνω βασικές ιδιότητες, η ασφάλεια πληροφοριών συσχετίζεται με την επιτυχημένη εφαρμογή των ακόλουθων μηχανισμών:
- Αναγνώριση (Identification): αφορά τη διεργασία παρουσίασης της ταυτότητας μιας οντότητας (π.χ. πελάτη ή πάροχο) στο σύστημα (π.χ. εξυπηρετητή).
- Αυθεντικοποίηση (Authentication): αφορά τη διεργασία επιβεβαίωσης της ταυτότητας που έχει παρουσιάσει μια οντότητα στο σύστημα.
- Εξουσιοδότηση (Authorization): αφορά τη διεργασία λήψης απόφασης σχετικά με την αποδοχή ή την απόρριψη ενός αιτήματος πρόσβασης μιας αυθεντικοποιημένης οντότητας στο σύστημα, στη βάση των δικαιωμάτων πρόσβασης που της έχουν ήδη εκχωρηθεί και της πολιτικής ελέγχου πρόσβασης του συστήματος.
- Αδυναμία αποποίησης (Non-Repudiation): αφορά τη διεργασία αδιαμφισβήτητου καταλογισμού ευθύνης για την επιτέλεση μιας ενέργειας στο σύστημα.