Δημιουργία προτύπου ασφάλειας για πληροφοριακά συστήματα οργανισμών τοπικής αυτοδιοίκησης

Abstract

Αντικείμενο της παρούσας εργασίας είναι η δημιουργία προτύπου ασφάλειας (στα πλαίσια του ISO 17799) για τα Πληροφοριακά Συστήματα (Π.Σ.) που χρησιμοποιούνται στην τοπική αυτοδιοίκηση. Το γεγονός ότι οι υπηρεσίες και η διοικητική οργάνωση των Οργανισμών Τοπικής Αυτοδιοίκησης (Ο.Τ.Α.) είναι κοινές σε όλη τη χώρα, έχει ως αποτέλεσμα οι μηχανισμοί ασφάλειας και τα μέτρα προστασίας των πληροφοριακών συστημάτων που απαιτούνται να είναι ως επί το πλείστον παρόμοια. Η προσφορά της παρούσας εργασίας συνίσταται στην αναγνώριση των δεδομένων και λειτουργιών που ισχύουν σε όλους τους Ο.Τ.Α. και η δημιουργία ενός ολοκληρωμένου σχεδίου διαχείρισης της ασφάλειας των Πληροφοριακών Συστημάτων των Οργανισμών Τοπικής Αυτοδιοίκησης (Π.Σ.-Ο.Τ.Α.) με την μορφή προτύπου.Η εργασία, αρχικά, παρουσιάζει τα αποτελέσματα έρευνας που διενεργήσαμε για την τρέχουσα κατάσταση των Π.Σ.-Ο.Τ.Α. Στις μέρες μας είναι εμφανής η προσπάθεια των Ο.Τ.Α. να εκσυγχρονίσουν τα Π.Σ. τους και να βελτιώσουν το επίπεδο παροχής υπηρεσιών προς τους δημότες. Η προσπάθεια όμως αυτή δεν βασίζεται ως επί το πλείστον στις καλύτερες προϋποθέσεις, αφού αφενός η προτροπή της πολιτείας για εκσυγχρονισμό των Π.Σ. δεν συνοδεύεται και με τις κατάλληλες οδηγίες προς τους Ο.Τ.Α., αφετέρου δε οι γνώσεις και η εξειδίκευση των αρμόδιων υπαλλήλων των Τμημάτων Μηχανογράφησης-Πληροφορικής (Μ.-Π.) δεν είναι, πάντα, οι καλύτερες δυνατές. Επιπλέον όσον αφορά στην ασφάλεια των Π.Σ. φαίνεται πως το θέμα αρχίζει να προβληματίζει σιγά, σιγά τα Τμήματα Μ.-Π. των Ο.Τ.Α., αλλά όχι και τις διοικήσεις τους. Ενώ το σύνολο των Ο.Τ.Α. έχει ασχοληθεί με την ασφάλειας των Π.Σ., στις περισσότερες περιπτώσεις τα μέτρα που έχουν ληφθεί είναι επιφανειακά και περιστασιακά, σε αντίθεση με τα προβλήματα που προκύπτουν από παραβιάσεις της ασφάλειας τους τα οποία αυξάνονται συστηματικά. Για τις ανάγκες ασφαλούς ανάπτυξης και διαχείρισης των Π.Σ.-Ο.Τ.Α. στο Παράρτημα Α της εργασίας παρέχεται ένα σύνολο κατευθύνσεων, αλλά και συγκεκριμένων μέτρων προστασίας. Η προσέγγιση που ακολουθήσαμε για την δομή και την παρουσίαση του προτύπου ασφάλειας Π.Σ.-Ο.Τ.Α. συνδυάζει την επιστημονική τεκμηρίωση, που απαιτείται στους χώρους της πληροφορικής, με την σαφήνεια και απλότητα που επιβάλλεται για την ουσιαστική αποδοχή του στους χώρους της τοπικής αυτοδιοίκησης. Επίσης, για την εύκολη και γρήγορη υιοθέτηση του προτύπου από τους Ο.Τ.Α. αναπτύχθηκε κατάλληλο λογισμικό το οποίο παρατίθεται στο Παράρτημα Β.

The purpose of this project is the development of a security standard for the Information Systems (I.S.) which are used by local governments. In particular, it will be mentioned that the services offered by the local governments, as well as their administrative organization, are common in the whole country. As a result the safety organization and their security measures of the I.S. required are, by and large, similar.The project, initially, presents the results of a research carried out, which refers to the current situation of the I.S. of the local governments. The effort made by the local governments to make their I.S. more modern and improve the services offered to the citizens is obvious. This effort is not always made under the best circumstances, since on the one hand the provision of the state for modernization of the I.S.s is not accompanied by the appropriate guidelines to the local governments and on the other hand the knowledge and the specialization of the relevant assistance of the Departments of Engineering and Information are far from being the best. When it comes to I.S. security, it seems that it is beginning to trouble gradually these departments, but not their administrators. While all local governments have taken interest in I.S. security in most cases the measures that have been taken are superficial and temporary, in contrast with the problems which are caused by security violations and which increase gradually.For the needs of safe development and dealing of the I.S.s a number of guidelines can be found in Index A of the project. Particular safety measures can be found as well. The approach described in this project for the structure and the presentation of the security standards I.S. has tried to combine scientific argumentation, which is required in the field of Informative, with the clarity and simplicity which are imposed in order to accept it wholly in the field of local governments. It is believed that taking advantage of this standard can help the local governments and the security designers who are interested in I.S.s and who will be called on the develop and create complete security projects for I.S.s.