Εργαλείο ανάλυσης και διαχείρισης κινδύνων σε πληροφοριακά συστήματα (καταργήθηκε - 1997)
Κατά την ανάπτυξη και τη διαχείριση των πληροφοριακών συστημάτων που
περιέχουν προσωπικά ή ευαίσθητα δεδομένα (σύμφωνα με το Ν. 2472/97
ευαίσθητα δεδομένα είναι αυτά που αφορούν τη
φυλετική ή εθνική προέλευση, τα πολιτικά φρονήματα,
τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις,
τη συμμετοχή σε ένωση, σωματείο και συνδικαλιστική οργάνωση, την υγεία,
την κοινωνική πρόνοια και την ερωτική ζωή, καθώς και τα σχετικά με ποινικές
διώξεις ή καταδίκες) απαιτείται να λαμβάνονται
τα κατάλληλα οργανωτικά και τεχνικά μέτρα για την ασφάλεια
των δεδομένων και την προστασία τους από τυχαία ή αθέμιτη καταστροφή,
τυχαία απώλεια, αλλοίωση, απαγορευμένη διάδοση ή πρόσβαση και κάθε άλλη
μορφή αθέμιτης επεξεργασίας.
Τα μέτρα αυτά πρέπει να εξασφαλίζουν επίπεδο ασφάλειας ανάλογο προς τους
κινδύνους που συνεπάγεται η επεξεργασία και η φύση των δεδομένων που
είναι αντικείμενο της επεξεργασίας.
Στόχος της εργασίας είναι η υλοποίηση ενός εργαλείου το οποίο με τη
χρήση της κατάλληλης μεθόδου (π.χ. της CRAMM: UK Government Risk
Analysis and Management Method) θα βοηθά:
στην ανάλυση του ρίσκου σε πληροφοριακά συστήματα και δίκτυα,
στον προσδιορισμό των απαιτήσεων ασφάλειας και πιθανών λύσεων, και
στον προσδιορισμό των απαιτήσεων αντιμετώπισης
απροβλέπτων γεγονότων και πιθανών λύσεων.
Το εργαλείο θα μπορεί να χρησιμοποιείται σε όλα τα στάδια του κύκλου ζωής
του λογισμικού, από την αρχική μελέτη σκοπιμότητας, το σχεδιασμό και την
υλοποίηση, μέχρι τη συντήρηση.
Βιβλιογραφία
Information Technology Security Evaluation Criteria
, published by the Office for Official Publications of the European Communities.
A Code of Practice for Information Security Management
, (BS7799), published by the British Standards Institute.