Εφαρμογή Πολιτικών Ασφαλείας

Questions and Answers

Ποιος είναι ο κύριος στόχος μιας Πολιτικής Ασφάλειας Πληροφοριακών Συστημάτων (ΠΣ);

• Να αυξάνει την πολυπλοκότητα των συστημάτων.
• Να προστατεύει τα δεδομένα και τα συστήματα ενός οργανισμού. (correct)
• Να επιτρέπει την ελεύθερη πρόσβαση σε όλες τις πληροφορίες.
• Να καταγράφει όλες τις δραστηριότητες των χρηστών.

Όλοι οι χρήστες ενός πληροφοριακού συστήματος πρέπει να έχουν τον ίδιο βαθμό πρόσβασης στις πληροφορίες.

False (B)

Ποιο είναι ένα παράδειγμα πληροφοριών που θα μπορούσαν να χαρακτηριστούν ως "απόρρητες" (classified/secret access);

Κρατικά μυστικά ή στρατιωτικά δεδομένα

Ένας ___________ (Administrator) έχει πλήρη πρόσβαση και μπορεί να διαχειριστεί ρυθμίσεις, χρήστες και δεδομένα.

Διαχειριστής

Αντιστοιχίστε τα επίπεδα πρόσβασης με τις κατάλληλες περιγραφές:

Δημόσια πρόσβαση = Διαθέσιμη σε όλους χωρίς περιορισμούς Περιορισμένη πρόσβαση = Διαθέσιμη μόνο σε συγκεκριμένα άτομα ή ομάδες χρηστών Εσωτερική πρόσβαση = Προσβάσιμη μόνο σε άτομα που ανήκουν στον οργανισμό Προσωπική/Εμπιστευτική πρόσβαση = Διαθέσιμη μόνο σε συγκεκριμένους χρήστες με εξουσιοδότηση

Ποιος από τους παρακάτω δεν είναι ένας τυπικός κίνδυνος που αντιμετωπίζουν τα πληροφοριακά συστήματα;

Αυτοματοποιημένη δημιουργία αντιγράφων ασφαλείας (C)

Η χρήση απλών κωδικών πρόσβασης είναι μια ασφαλής πρακτική.

False (B)

Αναφέρετε τουλάχιστον δύο μέτρα προστασίας που μπορούν να ληφθούν για την αποφυγή παραβιάσεων ασφαλείας.

Χρήση ισχυρών κωδικών πρόσβασης, τακτικά αντίγραφα ασφαλείας

Η εφαρμογή μιας Πολιτικής Ασφάλειας παρέχει ένα ___________ πλαίσιο για την προστασία των δεδομένων και των συστημάτων.

δομημένο

Αντιστοιχίστε τα είδη πολιτικών ασφαλείας με τις σωστές περιγραφές:

Πολιτικές Ασφάλειας Πληροφοριών = Πρόσβαση στα δεδομένα και προστασία από μη εξουσιοδοτημένη χρήση Πολιτικές Ασφάλειας Λειτουργικών Συστημάτων = Κανόνες για τη χρήση και τη συντήρηση των υπολογιστικών συστημάτων Πολιτικές Ασφάλειας Δικτύων = Προστασία των επικοινωνιών, των δικτύων και του διαδικτύου από επιθέσεις

Ποιος είναι ο κύριος λόγος για τον οποίο ο κωδικός του e-mail πρέπει να είναι ιδιαίτερα ασφαλής;

Επειδή μπορεί να χρησιμοποιηθεί για την αλλαγή των κωδικών πρόσβασης σε άλλες ιστοσελίδες. (A)

Είναι ασφαλές να χρησιμοποιείτε τον ίδιο κωδικό πρόσβασης για όλους τους λογαριασμούς σας.

False (B)

Αναφέρετε ένα κόλπο για τη δημιουργία ενός ασφαλούς κωδικού πρόσβασης που να είναι εύκολος να θυμάστε.

Επιλέξτε μια φράση που θυμάστε και κρατήστε τα αρχικά

Για να δημιουργήσετε έναν ασφαλή κωδικό, πρέπει να ___________ κεφαλαία και πεζά γράμματα, αριθμούς και σύμβολα.

συνδυάσετε

Αντιστοιχίστε τα παρακάτω στοιχεία με τις σωστές πρακτικές ασφάλειας κωδικών πρόσβασης:

Αποφυγή απλών λέξεων = Δημιουργία πιο δύσκολου κωδικού Αλλαγή κωδικών τακτικά = Μείωση του κινδύνου παραβίασης Μη αποθήκευση κωδικών στο πρόγραμμα περιήγησης = Προστασία από μη εξουσιοδοτημένη πρόσβαση

Ποιος είναι ο σκοπός του Γονικού Ελέγχου στο διαδίκτυο;

Να περιορίζει την πρόσβαση σε ακατάλληλο περιεχόμενο για τα παιδιά. (B)

Η Πολιτική Ασφάλειας ισχύει μόνο για τους διαχειριστές του συστήματος.

False (B)

Σε περίπτωση παραβίασης της Πολιτικής Ασφάλειας, ποια είναι η πιο ήπια μορφή κύρωσης;

Προειδοποίηση και εκπαίδευση

Η ____________ συχνή αλλαγή κωδικών πρόσβασης μειώνει τον κίνδυνο παραβίασης.

τακτική

Αντιστοιχίστε τους ρόλους χρηστών σε ένα εκπαιδευτικό πληροφοριακό σύστημα με τις αντίστοιχες αρμοδιότητες:

Διαχειριστής (Administrator) = Διαχείριση όλου του συστήματος, δημιουργία χρηστών, έλεγχος ασφαλείας Καθηγητής = Πρόσβαση σε βαθμολογίες, προσωπικά στοιχεία μαθητών Μαθητής = Πρόσβαση μόνο στα δικά του δεδομένα

Γιατί είναι σημαντικό να δημιουργείται αυτόματα αντίγραφα ασφαλείας (backups);

Για να προστατευτούν τα δεδομένα σε περίπτωση απώλειας ή καταστροφής. (C)

Επιτρέπεται η χρήση δημόσιων WiFi δικτύων για πρόσβαση στα σχολικά δεδομένα.

False (B)

Ποια είναι μια βασική απαίτηση για τους κωδικούς πρόσβασης σύμφωνα με την πολιτική ασφάλειας;

Τουλάχιστον 8 χαρακτήρες, κεφαλαία, πεζά, αριθμούς, σύμβολα

Όλοι οι υπολογιστές πρέπει να έχουν ενημερωμένο ___________.

antivirus

Αντιστοιχίστε τις κυρώσεις για παραβίαση της πολιτικής ασφάλειας με τις αντίστοιχες ενέργειες:

Προειδοποίηση και εκπαίδευση = Μικρή παραβίαση Προσωρινή απώλεια πρόσβασης = Σοβαρή παραβίαση Οριστική απώλεια δικαιωμάτων = Κακόβουλη ενέργεια

Ποιος είναι ο σκοπός της αναθεώρησης της πολιτικής ασφάλειας;

Να παραμείνει η πολιτική επίκαιρη και αποτελεσματική. (D)

Οι μαθητές επιτρέπεται να εγκαθιστούν προγράμματα στους υπολογιστές του σχολείου χωρίς έγκριση;

False (B)

Τι πρέπει να κάνετε εάν παρατηρήσετε ύποπτη δραστηριότητα στο σύστημα;

Αναφέρετε άμεσα στη διοίκηση

Flashcards

Πολιτική Ασφάλειας Πληροφοριακών Συστημάτων

Ένα σύνολο κανόνων και οδηγιών για την προστασία δεδομένων και συστημάτων.

Επίπεδα πρόσβασης

Διαβαθμίσεις πρόσβασης ανάλογα με το ποιος μπορεί να δει, επεξεργαστεί ή διαχειριστεί δεδομένα.

Δημόσια πρόσβαση

Πρόσβαση σε δεδομένα διαθέσιμα σε όλους χωρίς περιορισμούς.

Περιορισμένη πρόσβαση

Πρόσβαση σε δεδομένα μόνο για συγκεκριμένα άτομα ή ομάδες.

Εσωτερική πρόσβαση

Πρόσβαση σε δεδομένα μόνο για άτομα εντός ενός οργανισμού.

Προσωπική/Εμπιστευτική πρόσβαση

Πρόσβαση σε δεδομένα μόνο για συγκεκριμένους χρήστες με εξουσιοδότηση.

Απόρρητη πρόσβαση

Πρόσβαση σε πολύ σημαντικές πληροφορίες, μόνο με υψηλή εξουσιοδότηση.

Ρόλοι χρηστών

Κατηγορίες χρηστών με βάση τα δικαιώματα πρόσβασης στο σύστημα.

Διαχειριστής

Πλήρης πρόσβαση για διαχείριση ρυθμίσεων χρηστών και δεδομένων.

Εξουσιοδοτημένος χρήστης

Πρόσβαση σε κρίσιμα δεδομένα.

Απλός χρήστης

Μπορεί να βλέπει και να επεξεργάζεται δεδομένα, αλλά όχι να τα διαχειρίζεται.

Επισκέπτης

Περιορισμένη πρόσβαση μόνο σε βασικές πληροφορίες.

Διαχείριση πληροφοριών

Διαχείριση και προστασία από επιθέσεις, λάθη χρηστών και άλλους κινδύνους.

Κακόβουλες επιθέσεις

Επιθέσεις από χάκερς για κλοπή ή αλλοίωση δεδομένων.

Κακόβουλο λογισμικό

Λογισμικό που κλειδώνει ή καταστρέφει δεδομένα.

Phishing

Απάτες για κλοπή προσωπικών στοιχείων.

Λάθη χρηστών

Διαγραφή αρχείων, κοινοποίηση εμπιστευτικών πληροφοριών, αδύναμοι κωδικοί.

Μέτρα προστασίας

Χρήση ισχυρών κωδικών, αντίγραφα ασφαλείας, ενημερώσεις, εκπαίδευση.

Οργάνωση της ασφάλειας

Δομημένο πλαίσιο για την προστασία δεδομένων και συστημάτων.

Επικοινωνία των κανόνων

Κατανόηση κανόνων από χρήστες, διαχειριστές και διοίκηση.

Οικονομία πόρων

Εφαρμογή ασφάλειας λαμβάνοντας υπόψη χρήματα, χρόνο και προσωπικό.

Δημιουργία κουλτούρας ασφάλειας

Εκπαίδευση εργαζομένων για υπεύθυνη διαχείριση λογαριασμών.

Νομικές υποχρεώσεις

Υποχρέωση ύπαρξης Πολιτικής Ασφάλειας.

Ενίσχυση της εμπιστοσύνης

Διασφάλιση συνεργασίας και εμπιστοσύνης.

Πολιτικές Ασφάλειας Πληροφοριών

Πρόσβαση σε δεδομένα και προστασία από μη εξουσιοδοτημένη χρήση.

Πολιτικές Ασφάλειας Λειτουργικών Συστημάτων

Κανόνες για χρήση και συντήρηση υπολογιστικών συστημάτων.

Πολιτικές Ασφάλειας Δικτύων

Προστασία επικοινωνιών, δικτύων και διαδικτύου από επιθέσεις.

Ισχυρός κωδικός πρόσβασης

Συνδυασμός κεφαλαίων, πεζών, αριθμών και συμβόλων.

Διαφορετικός κωδικός πρόσβασης

Μην χρησιμοποιείτε τον ίδιο κωδικό πρόσβασης!.

Ασφάλεια στο Διαδίκτυο και Γονικός Έλεγχος

Πολιτικές που στοχεύουν στην προστασία των παιδιών από ακατάλληλο περιεχόμενο στο διαδίκτυο.

Study Notes

Εφαρμογή Πολιτικών Ασφάλειας

• Η Πολιτική Ασφάλειας των Πληροφοριακών Συστημάτων (ΠΣ) είναι σύνολο κανόνων και οδηγιών για την προστασία δεδομένων και συστημάτων ενός οργανισμού.
• Καθορίζει ποιος έχει πρόσβαση στις πληροφορίες, πώς διαχειρίζονται και τι μέτρα προστασίας λαμβάνονται.
• Είναι καταγεγραμμένη σε έγγραφο που πρέπει να γνωρίζουν και να ακολουθούν οι χρήστες του συστήματος.

Πρόσβαση στις πληροφορίες

• Η πρόσβαση κατηγοριοποιείται σε επίπεδα, ανάλογα με το δικαίωμα χρήσης των δεδομένων.
• Τα βασικά επίπεδα πρόσβασης είναι:
  • Δημόσια (Public): διαθέσιμες σε όλους.
  • Περιορισμένη (Restricted): σε συγκεκριμένα άτομα/ομάδες.
  • Εσωτερική (Internal): μόνο σε άτομα εντός οργανισμού.
  • Προσωπική/Εμπιστευτική (Confidential): σε συγκεκριμένους χρήστες με εξουσιοδότηση.
  • Απόρρητη (Classified/Secret): μόνο σε άτομα με υψηλή εξουσιοδότηση.
• Παραδείγματα:
  • Δημόσια πρόσβαση: δημόσια ιστοσελίδα ή ανοιχτό έγγραφο στο διαδίκτυο.
  • Περιορισμένη πρόσβαση: Έγγραφα εταιρείας που βλέπουν μόνο οι υπάλληλοι.
  • Εσωτερική πρόσβαση: Δεδομένα που βλέπουν οι εργαζόμενοι μιας επιχείρησης, αλλά όχι το κοινό.
  • Προσωπική/Εμπιστευτική πρόσβαση: Ιατρικά αρχεία που βλέπει μόνο ο γιατρός και ο ασθενής.
  • Απόρρητη πρόσβαση: Δεδομένα όπως κρατικά μυστικά, που βλέπουν εξουσιοδοτημένοι αξιωματούχοι.

Ρόλοι Χρηστών

• Οι χρήστες κατηγοριοποιούνται σε ρόλους, ανάλογα με τα δικαιώματα που έχουν.
• Οι ρόλοι περιλαμβάνουν:
  • Διαχειριστής (Administrator): πλήρης πρόσβαση και διαχείριση ρυθμίσεων, χρηστών, δεδομένων.
  • Εξουσιοδοτημένος Χρήστης (Privileged User): πρόσβαση σε συγκεκριμένες κρίσιμες πληροφορίες.
  • Απλός Χρήστης (Regular User): μπορεί να βλέπει και να επεξεργάζεται δεδομένα, αλλά όχι να τα διαχειρίζεται.
  • Επισκέπτης (Guest User): περιορισμένη πρόσβαση μόνο σε βασικές πληροφορίες.
• Τα επίπεδα πρόσβασης και οι ρόλοι χρηστών είναι σημαντικά για την ασφάλεια και τη διαχείριση δεδομένων.

Διαχείριση Πληροφοριών

• Οι πληροφορίες πρέπει να διαχειρίζονται σωστά και να προστατεύονται από κινδύνους.
• Κακόβουλες επιθέσεις:
  • Επιθέσεις από hackers για κλοπή/αλλοίωση δεδομένων.
  • Διάδοση κακόβουλου λογισμικού (ιοί, ransomware).
  • Απάτες τύπου phishing για κλοπή προσωπικών στοιχείων.
• Λάθη χρηστών:
  • Διαγραφή αρχείων κατά λάθος.
  • Κοινοποίηση εμπιστευτικών πληροφοριών σε λάθος άτομα.
  • Χρήση εύκολων κωδικών που μπορούν να παραβιαστούν εύκολα.
• Μέτρα προστασίας:
  • Χρήση ισχυρών κωδικών πρόσβασης
  • Τακτικά αντίγραφα ασφαλείας (backups).
  • Ενημέρωση λογισμικού/λειτουργικών συστημάτων.
  • Εκπαίδευση χρηστών σχετικά με ασφαλείς πρακτικές.
• Η σωστή διαχείριση διασφαλίζει ότι οι κρίσιμες πληροφορίες δεν θα χαθούν, παραβιαστούν ή χρησιμοποιηθούν με κακόβουλο τρόπο.

Εφαρμογή Πολιτικής Ασφάλειας

• Η εφαρμογή είναι σημαντική για:
  • Οργάνωση της ασφάλειας.
  • Επικοινωνία των κανόνων.
  • Οικονομία πόρων.
  • Δημιουργία κουλτούρας ασφάλειας.
  • Νομικές υποχρεώσεις.
  • Ενίσχυση της εμπιστοσύνης
• Η Πολιτική Ασφάλειας παρέχει πλαίσιο για την προστασία δεδομένων και συστημάτων.

Είδη Πολιτικών Ασφάλειας

• Πολιτικές Ασφάλειας Πληροφοριών: Αφορούν την πρόσβαση στα δεδομένα και την προστασία τους.
• Πολιτικές Ασφάλειας Λειτουργικών Συστημάτων: Σχετίζονται με τους κανόνες για τη χρήση και συντήρηση των συστημάτων.
• Πολιτικές Ασφάλειας Δικτύων: Καθορίζουν την προστασία των επικοινωνιών, δικτύων και Διαδικτύου.

Κίνδυνοι και Ασφαλείς Κωδικοί

• Η χρήση ασφαλών κωδικών πρόσβασης είναι σημαντική.
• Αδύναμοι κωδικοί πρόσβασης, όπως "password" ή "123456", είναι επικίνδυνοι.
• Σημαντικοί κωδικοί πρόσβασης:
  • Ο κωδικός του e-mail.
  • Ο κωδικός κοινωνικών δικτύων.
• Για ισχυρούς κωδικούς:
  • Συνδυάστε κεφαλαία/πεζά, αριθμούς/σύμβολα.
  • Χρησιμοποιήστε τουλάχιστον 8 χαρακτήρες.
  • Αποφύγετε απλές λέξεις.
  • Χρησιμοποιήστε διαφορετικούς κωδικούς για κάθε λογαριασμό.
  • Αλλάζετε τους κωδικούς τακτικά.
  • Μην αποθηκεύετε/μοιράζεστε τους κωδικούς.
• Κόλπο για ασφαλή κωδικό: Επιλέξτε φράση, κρατήστε αρχικά και προσθέστε στοιχεία του ιστοτόπου.

Ασφάλεια στο Διαδίκτυο και Γονικός Έλεγχος

• Η προστασία των παιδιών στο διαδίκτυο είναι σημαντική.
• Χρήση εφαρμογών όπως ο Γονικός Έλεγχος στα Windows και τα εργαλεία της Google για περιορισμό της πρόσβασης.
• Ενημέρωση των γονέων και ενεργοποίηση εργαλείων όταν είναι απαραίτητο.

Παράδειγμα Πολιτικής Ασφάλειας Πληροφοριακού Συστήματος

• Οργανισμός: Τεχνικό Λύκειο "Ασφάλεια & Δίκτυα".
• Τμήμα: Διοίκηση & Διαχείριση Δεδομένων.
• Έγκριση: Διεύθυνση Πληροφορικής.
• Ημερομηνία Έναρξης: 01/01/2025.
• Αναθεώρηση: Ετήσια (κάθε Ιανουάριο).

Σκοπός Πολιτικής Ασφάλειας

• Καθορίζει τα μέτρα για την προστασία δεδομένων, την ακεραιότητα και τη διαθεσιμότητα των πληροφοριακών συστημάτων του Τεχνικού Λυκείου "Ασφάλεια & Δίκτυα".
• Στόχοι:
  • Προστασία δεδομένων από μη εξουσιοδοτημένη πρόσβαση.
  • Πρόληψη απώλειας/αλλοίωσης πληροφοριών.
  • Διασφάλιση της ορθής χρήσης των συστημάτων.
  • Εκπαίδευση για σωστή διαχείριση της ασφάλειας.

Επίπεδα Πρόσβασης

• Διαχειριστής (Administrator): Διαχείριση όλου του συστήματος.
• Καθηγητής: Πρόσβαση σε βαθμολογίες, προσωπικά στοιχεία μαθητών.
• Μαθητής: Πρόσβαση μόνο σε δικά του δεδομένα.
• Εξωτερικός επισκέπτης: Πρόσβαση σε κοινόχρηστα εκπαιδευτικά αρχεία.

Μέτρα Ασφάλειας

• Πρόσβαση στο δίκτυο και υπολογιστές
  • Προσωπικό όνομα χρήστη και κωδικός για όλους.
  • Δικαιώματα καθηγητών μόνο για αρχεία μαθητών.
  • Απαγόρευση πρόσβασης μαθητών σε διαχειριστικές ρυθμίσεις.
  • Δεν επιτρέπεται η χρήση δημόσιων WiFi για πρόσβαση στα σχολικά δεδομένα.
• Διαχείριση Κωδικών Πρόσβασης
  • Τουλάχιστον 8 χαρακτήρες, με κεφαλαία, πεζά, αριθμούς & σύμβολα.
  • Απαγόρευση ίδιου κωδικού σε πολλούς λογαριασμούς.
  • Αλλαγή κωδικού κάθε 6 μήνες για μαθητές/καθηγητές.
  • Απαγόρευση στους διαχειριστές να ζητούν τους κωδικούς άλλων χρηστών.
• Αντίγραφα Ασφαλείας (Backups)
  • Αυτόματη δημιουργία αντιγράφων ασφαλείας κάθε εβδομάδα.
  • Φύλαξη των αντιγράφων σε ασφαλές απομακρυσμένο σύστημα.
  • Απαγόρευση διαγραφής αρχείων από μαθητές στους διακομιστές του σχολείου.
• Χρήση USB & Εξωτερικών Συσκευών
  • Επιτρέπεται μόνο η χρήση USB που έχουν εγκριθεί από το σχολείο.
  • Έλεγχος των USB με λογισμικό προστασίας από ιούς πριν τη χρήση.
  • Απαγόρευση σύνδεσης προσωπικών συσκευών στα σχολικά δίκτυα χωρίς άδεια.
• Ασφάλεια Ηλεκτρονικού Ταχυδρομείου
  • Απαγόρευση αποστολής προσωπικών δεδομένων μέσω μη ασφαλών emails.
  • Χρήση μόνο του επίσημου σχολικού λογαριασμού email από καθηγητές.
  • Απαγόρευση λήψης email από άγνωστες διευθύνσεις για τους μαθητές.
• Πρόληψη Κακόβουλων Επιθέσεων
  • Ενημερωμένο antivirus σε όλους τους υπολογιστές.
  • Απαγόρευση εγκατάστασης προγραμμάτων χωρίς έγκριση για τους μαθητές.
  • Άμεση αναφορά ύποπτων δραστηριοτήτων στη διοίκηση.

Κυρώσεις για Παραβίαση της Πολιτικής Ασφάλειας

• Μη συμμόρφωση μπορεί να οδηγήσει σε:
  • Προειδοποίηση και εκπαίδευση.
  • Προσωρινή απώλεια πρόσβασης.
  • Οριστική απώλεια δικαιωμάτων πρόσβασης ή άλλες ποινές (π.χ. hacking).

Τελικές Διατάξεις

• Η Πολιτική Ασφάλειας ισχύει για όλους τους χρήστες.
• Οποιαδήποτε αλλαγή ανακοινώνεται εγγράφως.
• Το σχολείο μπορεί να αναθεωρήσει την πολιτική όποτε κρίνεται απαραίτητο.