Ανάλυση, αποτίμηση και διαχείριση επικινδυνότητας πληροφοριακών συστημάτων
Ταφίλη, Ελένη
Αυτή η εργασία εστιάζει στην ανάλυση, την αποτίμηση και την διαχείριση επικινδυνότητας πληροφοριακών συστημάτων και πιο συγκεκριμένα γίνεται εισαγωγή στα πληροφοριακά συστήματα παραθέτοντας γενικά στοιχεία και πλεονεκτήματα - μειονεκτήματα πληροφοριακών συστημάτων. Παρ’ όλα αυτά τα επεισόδια παραβίασης συστημάτων αυξάνονται συνεχώς και κρίνεται σκόπιμο η περιπτωσιολογική μελέτη της επικινδυνότητας των πληροφοριακών συστημάτων. H μεθοδολογία που αναπτύσσεται στην περίπτωση μελέτης. Στόχος της μεθοδολογίας είναι να αναλύσει και να αποτιμήσει τους παράγοντες που συνθέτουν την επικινδυνότητα και να περιορίσει την επικινδυνότητα σε αποδεκτά επίπεδα.
Στη πτυχιακή αυτή, γίνεται αναφορά στη μεθοδολογία της διαχείρισης επικινδυνότητας πληροφοριακών συστημάτων και πιο συγκεκριμένα στις σημαντικότερες μεθόδους που χρησιμοποιούνται (EBIOS, ISF, IT-Grundschutz, MEHARI, OCTAVE, Callio Secura, COBRA, Counter Measures, Proteus, RA2 art of risk, RiskWatch for Information Systems & ISO 17799, Security By Analysis, MARION, CRAMM). Έπειτα γίνεται επιλογή της κατάλληλης μεθόδου - σύμφωνα με ορισμένα κριτήρια - η οποία εξαρτάται από τα ιδιαίτερα χαρακτηριστικά του ΠΣ και κάποιων ιδιαίτερων παραγόντων. Στη συνέχεια εξετάζεται η ασφάλεια και οι απειλές που δέχεται ένα πληροφοριακό σύστημα. Εκτενέστερη προσέγγιση γίνεται στην μελέτη της περίπτωσης έμπιστης τρίτης οντότητας (ΕΤΟ) και στο ρόλος της, τόσο σε θεωρητικό όσο και πρακτικό υπόβαθρο. Ιδιαίτερη προσοχή θα πρέπει να δοθεί στην υποκειμενικότητα των εκτιμήσεων, η οποία συχνά συγκαλύπτεται πίσω από την αυστηρότητα των μαθηματικών μοντέλων, στα οποία στηρίζεται και τη συστηματικότητα των περισσότερων σχετικών μεθόδων. Η υποκειμενικότητα στην εφαρμογή της μεθοδολογίας είναι αναπόφευκτη και δεν θα πρέπει να συγκαλύπτεται, αλλά να γίνεται παραδεκτή και να τυγχάνει συνειδητής διαχείρισης.
