Περίληψη : | Βασικός σκοπός της παρούσας εργασίας ήταν η ανάπτυξη μεθοδολογίας και εργαλείου για τον υπολογισμό και επιλογή μέτρων ασφάλειας κατά ISO 27001 και ISO 27002. Ειδικότερα, η εργασία αυτή αποσκοπούσε στην ανάδειξη ταξονομίας τεχνικών μέτρων ασφάλειας κατά ISO και στην ανάπτυξη μεθοδολογίας επιλογής τους για διαχείριση επικινδυνότητας. Για την επίτευξη του ερευνητικού στόχου πραγματοποιήθηκε η απαιτούμενη βιβλιογραφική έρευνα για τη συλλογή του απαραίτητου ερευνητικού υλικού. Η ανασκόπηση αφορούσε τόσο στην κατανόηση και αποτύπωση βασικών εννοιών, όπως η ασφάλεια πληροφοριών, τα συστήματα διαχείρισης ασφάλειας πληροφοριών, όσο και στη συλλογή δεδομένων για την καταγραφή των τεχνικών μέτρων ασφάλειας κατά ISO. Το αποτέλεσμα είναι μια πλήρης συλλογή τεχνικών μέτρων, κατηγοριοποιημένα κατά αγαθό, που χρήζει προστασίας και κατά είδη ευπαθειών που χαρακτηρίζουν κάθε αγαθό. Για κάθε ευπάθεια και μέτρα προστασίας αυτής, έχει γίνει η απαραίτητη αντιστοίχιση με το πρότυπο ISO 27002, ενώ για τα μέτρα προστασίας χρησιμοποιήθηκαν αναφορές από τα ίδια τα ISO 27001 και ISO 27002, από τον οργανισμό NIST, καθώς και από διεθνή βιβλιογραφία που αφορά στην προστασία των προς μελέτη αγαθών. Τα αποτελέσματα της έρευνας ανέδειξαν τον σημαντικό ρόλο των συστημάτων διαχείρισης ασφάλειας πληροφοριών στην αποφυγή επικινδυνότητας και στη διασφάλιση των αγαθών (asset) ενός οργανισμού ή μιας επιχείρησης. The main purpose of this study was to develop a methodology and tool for the calculation and selection of security measures in accordance with ISO 27001 and ISO 27002. In particular, this work aimed at raising taxonomy of ISO technical safety measures and developing a methodology for their selection for risk management. The research objective was satisfied with bibliographic research in order to collect the necessary research material. The review focused on both the understanding and mapping of key concepts such as information security, information security management systems and data collection for the development of the ISO security tool. The result is a complete collection of technical measures categorized per asset deeming protection and per vulnerability types that describe each asset. Each and every vulnerability and technical countermeasure has been correlated with ISO 27001 and ISO 27002 standards, NIST organization and international bibliography that relates to the protection of the surveyed assets. The results of the survey highlighted the important role of information security management systems in avoiding risks and securing the assets of an organization or business.
|
---|