Ανάπτυξη και διαχείριση ασφαλείας πληροφοριακών συστημάτων: εννοιολογικό πλαίσιο, μεθοδολογίες και εργαλεία

Abstract

Τα ζητήματα που αφορούν την ασφάλεια πληροφοριακών συστημάτων έχουν συγκεντρώσει τοενδιαφέρον τόσο των επαγγελματιών και επιστημόνων της πληροφορικής όσο και του ευρύτερου κοινού. Η επιστημονική έρευνα στο χώρο αυτό έχει προσφέρει ένα μεγάλο όγκο θεωρητικής γνώσης και πρακτικών μέσων, με ιδιαίτερη έμφαση στα τεχνικά μέσα προστασίας των πληροφοριών. Ενώ υπάρχει ικανό πλήθος τεχνικών και εργαλείων ασφάλειας, τα πληροφοριακά συστήματα οργανισμών και επιχειρήσεων στον ελληνικό και το διεθνή χώρο παραμένουν ευάλωτα και το αίσθημα ανασφάλειας των πολιτών απέναντι στις τεχνολογίες πληροφορικής και επικοινωνιών φαίνεται να οξύνεται. Παράλληλα, νέες μορφές οργανισμών και επιχειρήσεων εμφανίζονται, με ιδιαίτεροχαρακτηριστικό τη συνεργασία μεταξύ ανεξάρτητων διοικητικών μονάδων και τη διασύνδεση των πληροφοριακών τους συστημάτων. Στις νέες μορφές οργάνωσης εμφανίζονται νέα προβλήματα ασφάλειας, όπως οι συγκρούσεις που οφείλονται στην έλλειψη συμβατότητας των πολιτικών ασφάλειας που υιοθετεί το κάθε πληροφοριακό σύστημα. Οι παραπάνω διαπιστώσεις οδηγούν στο συμπέρασμα ότι το ζήτημα της ανάπτυξης και διαχείρισης πληροφοριακών συστημάτων αποτελεί ένα ανοικτό ζήτημα τόσο για τους παραδοσιακούς οργανισμούς όσο και για τις νέες μορφές οργάνωσης. Η ερευνητική προσπάθεια που παρουσιάζεται στην παρούσα διατριβή επικεντρώθηκε σε δύο συγκεκριμένα ζητήματα: 1. Τη μεθοδολογική υποστήριξη της ανάπτυξης και διαχείρισης της ασφάλειας πληροφοριακών συστημάτων. 2. Την αντιμετώπιση των προβλημάτων διαλειτουργικότητας που προκύπτουν από την υιοθέτηση πολλαπλών πολιτικών ασφάλειας, στο πλαίσιο των σύγχρονων μορφών οργάνωσης. Για την αντιμετώπιση του πρώτου ζητήματος προτείνεται μία μεθοδολογία ανάπτυξης και διαχείρισης ασφάλειας πληροφοριακών συστημάτων. Η προτεινόμενη μεθοδολογία συνδυάζει τη συστημική διερεύνηση του προβλήματος, την ανάλυση και μοντελοποίηση του οργανισμού και τη συστηματική ανάλυση της επικινδυνότητας του πληροφοριακού συστήματος. Για την αντιμετώπιση του δεύτερου ζητήματος προτείνεται ένα μεθοδολογικό πλαίσιο για την αντιμετώπιση των προβλημάτων διαλειτουργικότητας σε περιβάλλοντα πολλαπλών πολιτικών ασφάλειας, βασισμένο στην έννοια των μεταπολιτικών ασφάλειας. Το μεθοδολογικό πλαίσιο έχει τη μορφή ενός Συστήματος Ανάπτυξης Μεταπολιτικών (Σ.Α.Μ.). Για την υποστήριξη της πρακτικής εφαρμογής του μεθοδολογικού πλαισίου σχεδιάστηκε ένα Σύστημα Διαχείρισης Πολιτικών Ασφάλειας (ΣΔΠΑ) και υλοποιήθηκαν τα τμήματα (modules) τουΣΔΠΑ που αφορούν τη Διαχείριση των Πολιτικών και τη Βάση Πολιτικών Ασφάλειας. Η έρευνα που παρουσιάζεται στην παρούσα διατριβή συμβάλλει στην αντιμετώπιση των παραπάνω ζητημάτων, ενώ παράλληλα, αναλύοντας και οριοθετώντας τα ζητήματα, δημιουργεί προοπτικές για περαιτέρω έρευνα στον ίδιο ή σε συναφείς τομείς.