Πολιτικές Ασφάλειας Πληροφοριακών Συστημάτων

Questions and Answers

Σε ποια βασική κατηγορία εμπίπτουν οι πολιτικές ασφάλειας που αφορούν την προστασία των επικοινωνιών και των δικτύων από επιθέσεις;

• Πολιτικές Ασφάλειας Λειτουργικών Συστημάτων
• Πολιτικές Ασφάλειας Τερματικών Σταθμών
• Πολιτικές Ασφάλειας Πληροφοριών
• Πολιτικές Ασφάλειας Δικτύων (correct)

Ποιος από τους παρακάτω ρόλους χρηστών σε ένα πληροφοριακό σύστημα έχει τη δυνατότητα να δημιουργεί νέους χρήστες και να διαχειρίζεται τις ρυθμίσεις;

• Διαχειριστής (correct)
• Απλός Χρήστης
• Επισκέπτης
• Εξουσιοδοτημένος Χρήστης

Ποιος είναι ο πρωταρχικός στόχος της Πολιτικής Ασφάλειας Πληροφοριακών Συστημάτων (ΠΣ);

• Να επιτρέπει την ελεύθερη πρόσβαση σε όλες τις πληροφορίες για όλους τους χρήστες.
• Να καταγράφει τις δραστηριότητες των χρηστών στους υπολογιστές.
• Να εξασφαλίζει ότι όλοι οι χρήστες γνωρίζουν τους κωδικούς πρόσβασης των άλλων.
• Να προστατεύει τα δεδομένα και τα συστήματα ενός οργανισμού από μη εξουσιοδοτημένη πρόσβαση, αλλοίωση ή καταστροφή. (correct)

Ποια από τις παρακάτω πρακτικές συνιστάται για τη δημιουργία ισχυρών κωδικών πρόσβασης;

Συνδυασμός κεφαλαίων και πεζών γραμμάτων, αριθμών και συμβόλων. (B)

Ποια ενέργεια θα βοηθούσε περισσότερο στην αποφυγή επιθέσεων τύπου phishing;

Εκπαίδευση των χρηστών για την αναγνώριση ύποπτων μηνυμάτων. (C)

Ποιος είναι ο σκοπός της δημιουργίας αντιγράφων ασφαλείας (backups);

Να προστατεύσει τα δεδομένα από απώλεια ή καταστροφή. (B)

Σε ποιον τύπο πρόσβασης πληροφοριών ανήκουν τα ιατρικά αρχεία που επιτρέπεται να βλέπει μόνο ο γιατρός και ο ασθενής;

Προσωπική / Εμπιστευτική πρόσβαση (D)

Γιατί είναι σημαντική η εφαρμογή μιας Πολιτικής Ασφάλειας σε έναν οργανισμό;

Για να παρέχει ένα δομημένο πλαίσιο για την προστασία των δεδομένων και των συστημάτων. (A)

Ποια από τις παρακάτω ενέργειες θα ήταν η πιο κατάλληλη αντίδραση σε μια πιθανή παραβίαση της Πολιτικής Ασφάλειας ενός οργανισμού;

Άμεση αναφορά του συμβάντος στη διοίκηση και διερεύνηση της παραβίασης. (B)

Ποιος είναι ο σκοπός της εφαρμογής γονικού ελέγχου στο διαδίκτυο;

Να προστατεύσει τα παιδιά από ακατάλληλο περιεχόμενο. (D)

Τι περιλαμβάνει η ορθή διαχείριση των πληροφοριών σε ένα πληροφοριακό σύστημα για την προστασία από κακόβουλες επιθέσεις?

Τακτική ενημέρωση του λογισμικού και των λειτουργικών συστημάτων. (D)

Ποιο από τα παρακάτω είναι παράδειγμα δημόσιας πρόσβασης σε πληροφορίες;

Μια δημόσια ιστοσελίδα ή ένα ανοιχτό έγγραφο στο διαδίκτυο. (D)

Ποιος είναι ο κύριος λόγος για τον οποίο οι οργανισμοί πρέπει να συμμορφώνονται με τις νομικές υποχρεώσεις σχετικά με την Πολιτική Ασφάλειας;

Για να αποφύγουν νομικές κυρώσεις και να διασφαλίσουν τη συμμόρφωση με τη νομοθεσία. (C)

Ποιο από τα παρακάτω δεν αποτελεί μέτρο για την αποφυγή κινδύνων που σχετίζονται με τη διαχείριση πληροφοριών;

Χρήση εύκολων κωδικών που μπορεί να παραβιαστούν εύκολα. (A)

Τι σημαίνει η έννοια της 'ακεραιότητας' των δεδομένων σε ένα πληροφοριακό σύστημα;

Τα δεδομένα είναι ακριβή, πλήρη και δεν έχουν υποστεί μη εξουσιοδοτημένη αλλαγή. (B)

Ποια είναι η συνέπεια για έναν χρήστη που παραβιάζει την Πολιτική Ασφάλειας ενός πληροφοριακού συστήματος;

Προειδοποίηση και εκπαίδευση, προσωρινή ή οριστική απώλεια πρόσβασης. (C)

Ποια είναι η σημασία της ενημέρωσης των χρηστών σχετικά με την Πολιτική Ασφάλειας ενός οργανισμού;

Ελαχιστοποιεί τον κίνδυνο σφαλμάτων και παραβιάσεων λόγω άγνοιας. (C)

Ποιος είναι ο ρόλος των αυτοματοποιημένων αντιγράφων ασφαλείας (backups) σε ένα σύστημα ασφαλείας δεδομένων;

Είναι ζωτικής σημασίας για την αποκατάσταση δεδομένων σε περίπτωση απώλειας. (B)

Ποιος είναι ο κύριος λόγος για τον οποίο απαγορεύεται η χρήση του ίδιου κωδικού σε πολλούς λογαριασμούς;

Διότι αν παραβιαστεί ένας λογαριασμός, κινδυνεύουν όλοι οι υπόλοιποι. (C)

Ποιος είναι ο σκοπός της τακτικής αλλαγής των κωδικών πρόσβασης;

Να εξασφαλίσει την πρόσβαση μόνο σε αυτούς που γνωρίζουν τον τρέχοντα κωδικό, μειώνοντας τον κίνδυνο μη εξουσιοδοτημένης πρόσβασης. (B)

Σε ποιον τύπο πολιτικών ασφάλειας ανήκει ο καθορισμός κανόνων για τη χρήση και τη συντήρηση των υπολογιστικών συστημάτων;

Πολιτικές Ασφάλειας Λειτουργικών Συστημάτων (C)

Σε ποιον τύπο πρόσβασης ανήκουν τα δεδομένα που μπορούν να δουν όλοι οι εργαζόμενοι μιας επιχείρησης, αλλά όχι το κοινό;

Εσωτερική πρόσβαση (Internal Access) (A)

Ποια είναι η σημασία της ύπαρξης μιας Πολιτικής Ασφάλειας για έναν οργανισμό;

Εξασφαλίζει τη συνεργασία με πελάτες και άλλους φορείς, αποδεικνύοντας ότι ο οργανισμός λαμβάνει σοβαρά υπόψη του την ασφάλεια των δεδομένων. (C)

Ποια από τις παρακάτω ενέργειες δεν θα βοηθούσε στην προστασία των δεδομένων από κακόβουλες επιθέσεις;

Αποφυγή χρήσης αντιβιοτικού λογισμικού. (D)

Ποια ενέργεια θα ήταν η πιο αποτελεσματική για την προστασία ενός λογαριασμού email από μη εξουσιοδοτημένη πρόσβαση;

Ενεργοποίηση του ελέγχου ταυτότητας δύο παραγόντων (two-factor authentication). (A)

Flashcards

Πολιτική Ασφάλειας ΠΣ

Σύνολο κανόνων και οδηγιών για την προστασία δεδομένων και συστημάτων ενός οργανισμού.

Δημόσια πρόσβαση

Πρόσβαση διαθέσιμη σε όλους χωρίς περιορισμούς.

Περιορισμένη πρόσβαση

Πρόσβαση μόνο σε συγκεκριμένα άτομα ή ομάδες.

Εσωτερική πρόσβαση

Πρόσβαση μόνο στα μέλη του οργανισμού.

Εμπιστευτική πρόσβαση

Πρόσβαση μόνο σε εξουσιοδοτημένους χρήστες.

Απόρρητη πρόσβαση

Πρόσβαση μόνο σε άτομα με υψηλό επίπεδο εξουσιοδότησης.

Διαχειριστής

Έχει πλήρη πρόσβαση για διαχείριση ρυθμίσεων, χρηστών και δεδομένων.

Εξουσιοδοτημένος χρήστης

Έχει πρόσβαση σε συγκεκριμένες κρίσιμες πληροφορίες.

Απλός χρήστης

Μπορεί να βλέπει και να επεξεργάζεται δεδομένα, αλλά όχι να τα διαχειρίζεται.

Επισκέπτης

Έχει περιορισμένη πρόσβαση μόνο σε βασικές πληροφορίες.

Κακόβουλες επιθέσεις

Επιθέσεις για κλοπή ή αλλοίωση δεδομένων.

Διάδοση κακόβουλου λογισμικού

Διάδοση κακόβουλου λογισμικού που κλειδώνει ή καταστρέφει δεδομένα.

Phishing

Προσπάθειες κλοπής προσωπικών στοιχείων.

Λάθος διαγραφή

Διαγραφή αρχείων κατά λάθος.

Λανθασμένη κοινοποίηση

Κοινοποίηση εμπιστευτικών πληροφοριών σε λάθος άτομα.

Αδύναμοι κωδικοί

Χρήση εύκολων κωδικών που παραβιάζονται.

Οργάνωση ασφάλειας

Παρέχει ένα πλαίσιο για την προστασία δεδομένων και συστημάτων.

Επικοινωνία κανόνων

Όλοι κατανοούν τι επιτρέπεται και τι όχι.

Δημιουργία κουλτούρας ασφάλειας

Οι εργαζόμενοι μαθαίνουν να διαχειρίζονται υπεύθυνα τους λογαριασμούς και τα δεδομένα τους.

Πολιτικές Ασφάλειας Λειτουργικών Συστημάτων

Σχετίζονται με τους κανόνες για τη χρήση υπολογιστικών συστημάτων.

Πολιτικές Ασφάλειας Δικτύων

Καθορίζουν πως προστατεύονται οι επικοινωνίες και τα δίκτυα.

Ισχυρός κωδικός

Συνδυάστε κεφαλαία, πεζά, αριθμούς και σύμβολα.

Μήκος κωδικού

Χρησιμοποιείστε τουλάχιστον 8 χαρακτήρες.

Καθηγητής (πρόσβαση)

Έχει δικαιώματα σε αρχεία μαθητών της τάξης του.

Ασφαλής κωδικός πρόσβασης

Κωδικοί πρέπει να έχουν 8 χαρακτήρες, πεζά, κεφαλαία, αριθμούς και σύμβολα.

Study Notes

Εφαρμογή Πολιτικών Ασφάλειας

• Η Πολιτική Ασφάλειας των Πληροφοριακών Συστημάτων (ΠΣ) είναι ένα σύνολο κανόνων και οδηγιών, στοχεύοντας στην προστασία δεδομένων και συστημάτων.
• Καθορίζει ποιος έχει πρόσβαση σε πληροφορίες, πώς διαχειρίζονται οι πληροφορίες και τα μέτρα προστασίας από επιθέσεις ή λάθη.
• Η πολιτική καταγράφεται σε έγγραφο, το οποίο πρέπει να γνωρίζουν και να τηρούν όλοι οι χρήστες.

Πρόσβαση στις Πληροφορίες

• Η πρόσβαση κατηγοριοποιείται σε επίπεδα ανάλογα με το δικαίωμα πρόσβασης, επεξεργασίας και διαχείρισης δεδομένων.

Επίπεδα Πρόσβασης:

• Δημόσια Πρόσβαση (Public Access): Πληροφορίες διαθέσιμες σε όλους χωρίς περιορισμούς, π.χ. δημόσια ιστοσελίδα.
• Περιορισμένη Πρόσβαση (Restricted Access): Πληροφορίες διαθέσιμες μόνο σε συγκεκριμένα άτομα ή ομάδες, π.χ. έγγραφα εταιρείας για υπαλλήλους.
• Εσωτερική Πρόσβαση (Internal Access): Πληροφορίες προσβάσιμες μόνο σε άτομα που ανήκουν στον οργανισμό, π.χ. δεδομένα για εργαζομένους, όχι για το κοινό.
• Προσωπική / Εμπιστευτική Πρόσβαση (Confidential Access): Πληροφορίες διαθέσιμες μόνο σε εξουσιοδοτημένους χρήστες, π.χ. ιατρικά αρχεία για γιατρό και ασθενή.
• Απόρρητη Πρόσβαση (Classified/ Secret Access): Πληροφορίες πολύ σημαντικές, επιτρέπονται μόνο σε άτομα με υψηλό επίπεδο εξουσιοδότησης, π.χ. κρατικά μυστικά για αξιωματούχους.

Ρόλοι Χρηστών

• Οι χρήστες κατηγοριοποιούνται σε ρόλους βάσει των δικαιωμάτων τους στο σύστημα.
• Διαχειριστής (Administrator): Πλήρης πρόσβαση για διαχείριση ρυθμίσεων, χρηστών και δεδομένων.
• Εξουσιοδοτημένος Χρήστης (Privileged User): Πρόσβαση σε συγκεκριμένες κρίσιμες πληροφορίες.
• Απλός Χρήστης (Regular User): Δυνατότητα προβολής και επεξεργασίας δεδομένων, αλλά όχι διαχείρισης.
• Επισκέπτης (Guest User): Περιορισμένη πρόσβαση μόνο σε βασικές πληροφορίες.
• Τα επίπεδα πρόσβασης και οι ρόλοι χρηστών είναι θεμελιώδεις για την ασφάλεια και τη διαχείριση δεδομένων σε ένα πληροφοριακό σύστημα.

Διαχείριση Πληροφοριών

• Οι πληροφορίες πρέπει να διαχειρίζονται σωστά και να προστατεύονται από κινδύνους.

Κίνδυνοι

• Κακόβουλες επιθέσεις:
  • Επιθέσεις από χάκερς που κλέβουν ή αλλοιώνουν δεδομένα.
  • Διάδοση κακόβουλου λογισμικού (ιούς, ransomware) που κλειδώνει ή καταστρέφει δεδομένα.
  • Phishing για κλοπή προσωπικών στοιχείων.
• Λάθη χρηστών:
  • Ακούσια διαγραφή αρχείων.
  • Κοινοποίηση εμπιστευτικών πληροφοριών σε λάθος άτομα.
  • Χρήση αδύναμων κωδικών που παραβιάζονται εύκολα.

Μέτρα Προστασίας

• Χρήση ισχυρών κωδικών πρόσβασης.
• Τακτικά αντίγραφα ασφαλείας (backups).
• Ενημέρωση λογισμικού και λειτουργικών συστημάτων.
• Εκπαίδευση χρηστών σε ασφαλείς πρακτικές.
• Η σωστή διαχείριση και προστασία των πληροφοριών διασφαλίζει την ακεραιότητα των προσωπικών δεδομένων.

Εφαρμογή Πολιτικής Ασφάλειας

• Εφαρμογή της Πολιτικής Ασφάλειας είναι σημαντική για πολλούς λόγους.
• Οργάνωση ασφάλειας: Δομημένο πλαίσιο για προστασία δεδομένων και συστημάτων.
• Επικοινωνία κανόνων: Κατανόηση από όλους για το τι επιτρέπεται.
• Οικονομία πόρων: Εφαρμογή ασφάλειας λαμβάνοντας υπόψη τους περιορισμούς.
• Δημιουργία κουλτούρας ασφάλειας: Εκπαίδευση εργαζομένων στην υπεύθυνη διαχείριση.
• Νομικές υποχρεώσεις: Απαιτείται από το νόμο για πολλούς οργανισμούς.
• Ενίσχυση εμπιστοσύνης: Εξασφαλίζει συνεργασία, αποδεικνύοντας σοβαρή αντιμετώπιση της ασφάλειας.

Είδη Πολιτικών Ασφάλειας

• Πολιτικές Ασφάλειας Πληροφοριών: Προστασία δεδομένων από μη εξουσιοδοτημένη χρήση.
• Πολιτικές Ασφάλειας Λειτουργικών Συστημάτων: Κανόνες για χρήση και συντήρηση υπολογιστικών συστημάτων.
• Πολιτικές Ασφάλειας Δικτύων: Προστασία επικοινωνιών και δικτύων από επιθέσεις.

Κίνδυνοι και Κωδικοί

• Η χρήση ασφαλών κωδικών πρόσβασης είναι θεμελιώδης.

Παραβιάσεις

• Λογαριασμοί χρηστών χακαρισμένοι λόγω αδύναμων κωδικών.

Σημαντικοί Κωδικοί

E-mail: Παραβίαση οδηγεί σε αλλαγή κωδικών και σε άλλες ιστοσελίδες. Κοινωνικά δίκτυα: Κίνδυνος λόγω σύνδεσης πολλών εφαρμογών.

Δημιουργία Ισχυρών Κωδικών

• Συνδυασμός κεφαλαίων, πεζών, αριθμών και συμβόλων.
• Τουλάχιστον 8 χαρακτήρες.
• Αποφυγή απλών λέξεων και διαφορετικοί κωδικοί για κάθε λογαριασμό.
• Τακτική αλλαγή και μη αποθήκευση στον περιηγητή ή κοινοποίηση.
• Κόλπο για ασφαλή κωδικό: Χρήση φράσης, τα αρχικά της και προσθήκη γραμμάτων ιστοσελίδας και συμβόλου.

Ασφάλεια στο Διαδίκτυο και Γονικός Έλεγχος

• Η προστασία των ανηλίκων στο διαδίκτυο είναι σημαντική.
• Εφαρμογές και εργαλεία περιορίζουν την πρόσβαση σε ακατάλληλο περιεχόμενο.
• Οι γονείς πρέπει να είναι ενημερωμένοι και να ενεργοποιούν τις κατάλληλες ρυθμίσεις.

Παράδειγμα Πολιτικής Ασφάλειας Πληροφοριακού Συστήματος

• Τεχνικό Λύκειο "Ασφάλεια & Δίκτυα".
• Τμήμα Διοίκησης & Διαχείρισης Δεδομένων.
• Έγκριση από τη Διεύθυνση Πληροφορικής.
• Έναρξη: 01/01/2025.
• Αναθεώρηση: Ετήσια (κάθε Ιανουάριο).

Σκοπός

• Διασφάλιση της προστασίας, ακεραιότητας και διαθεσιμότητας των πληροφοριακών συστημάτων.

Στόχοι

• Προστασία δεδομένων από μη εξουσιοδοτημένη πρόσβαση.
• Πρόληψη απώλειας ή αλλοίωσης πληροφοριών.
• Διασφάλιση της ορθής χρήσης των υπολογιστικών συστημάτων.
• Εκπαίδευση μαθητών και προσωπικού.

Επίπεδα Πρόσβασης

• Διαχειριστής (Administrator): Απόρρητη πρόσβαση και διαχείριση όλου του συστήματος.
• Καθηγητής: Εσωτερική πρόσβαση και δικαίωμα πρόσβασης σε βαθμολογίες & στοιχεία μαθητών.
• Μαθητής: Περιορισμένη πρόσβαση μόνο στα δικά του δεδομένα.
• Εξωτερικός επισκέπτης: Δημόσια πρόσβαση σε κοινόχρηστα αρχεία.

Μέτρα Ασφάλειας

Δίκτυο/Υπολογιστές

• Χρήση προσωπικού ονόματος/κωδικού.
• Δικαιώματα καθηγητών μόνο για αρχεία μαθητών τους.
• Απαγόρευση πρόσβασης μαθητών σε διαχειριστικές ρυθμίσεις.
• Απαγόρευση χρήσης δημόσιων WiFi για πρόσβαση σε σχολικά δεδομένα.

Διαχείριση Κωδικών

• Τουλάχιστον 8 χαρακτήρες με κεφαλαία, πεζά, αριθμούς & σύμβολα.
• Απαγόρευση ίδιου κωδικού σε πολλούς λογαριασμούς.
• Αλλαγή κωδικού κάθε 6 μήνες από μαθητές/καθηγητές.
• Απαγόρευση ζήτησης κωδικών άλλων χρηστών από διαχειριστές.

Αντίγραφα Ασφαλείας (Backups)

• Αυτόματη δημιουργία αντιγράφων ασφαλείας εβδομαδιαία.
• Φύλαξη αντιγράφων σε ασφαλές απομακρυσμένο σύστημα.
• Αδυναμία διαγραφής αρχείων μαθητών στους διακομιστές του σχολείου.

USB/Εξωτερικές Συσκευές

• Χρήση μόνο εγκεκριμένων USB από το σχολείο.
• Έλεγχος USB με λογισμικό προστασίας από ιούς πριν τη χρήση.
• Απαγόρευση σύνδεσης προσωπικών συσκευών στα σχολικά δίκτυα χωρίς άδεια.

Ασφάλεια E-mail

• Απαγόρευση αποστολής προσωπικών δεδομένων μέσω μη ασφαλών emails.
• Χρήση μόνο επίσημου σχολικού λογαριασμού email από καθηγητές.
• Απαγόρευση λήψης email από άγνωστες διευθύνσεις στους μαθητές.

Πρόληψη Κακόβουλων Επιθέσεων

• Ενημερωμένο antivirus σε όλους τους υπολογιστές.
• Απαγόρευση εγκατάστασης προγραμμάτων χωρίς έγκριση από μαθητές.
• Αναφορά ύποπτων δραστηριοτήτων άμεσα στη διοίκηση.

Κυρώσεις

• Προειδοποίηση/εκπαίδευση σε μικρές παραβιάσεις.
• Προσωρινή απώλεια πρόσβασης σε σοβαρές παραβιάσεις.
• Οριστική απώλεια δικαιωμάτων/άλλες ποινές σε κακόβουλες ενέργειες (π.χ. hacking).

Τελικές Διατάξεις

• Η Πολιτική Ασφάλειας ισχύει για όλους τους χρήστες.
• Οι αλλαγές ανακοινώνονται εγγράφως.
• Δυνατότητα αναθεώρησης της πολιτικής από το σχολείο.

Σύνοψη

• Εξασφάλιση ασφαλούς περιβάλλοντος πληροφορικής για μαθητές, καθηγητές και προσωπικό, με προστασία δεδομένων και υποδομών.