Διαχείριση ασφάλειας πληροφοριών κατά ISO/IEC 27001:2013 σε υπηρεσίες ηλεκτρονικής διακυβέρνησης

Abstract

Στα πλαίσια του μεταπτυχιακού προγράμματος σπουδών “Διαχείριση και Ενεργειακή Βελτιστοποίηση Συστημάτων” μιλήσαμε εκτενώς για τα διεθνή πρότυπα συστημάτων διαχείρισης ISO και την σημασία που έχει η εφαρμογή τους σε μια επιχείρηση ή έναν οργανισμό. Σκοπός της παρούσας διπλωματικής είναι η μελέτη του προτύπου ISO/IEC 27001:2013 «Συστήματα Διαχείρισης Ασφάλειας Πληροφοριών – Απαιτήσεις», ενός προτύπου σχετικά καινούργιου όπως φαίνεται από την χρονολογία του αλλά η ιστορία του ξεκινάει από πολύ παλιά, το οποίο όμως γίνεται πολύ επίκαιρο με την εφαρμογή του νέου Γενικού Κανονισμού Προστασίας Δεδομένων (General Data Protection Regulation – GDPR) της Ε.Ε. που θα τεθεί σε πλήρη εφαρμογή από τον Μάιο του 2018. Μέσω της βιβλιογραφικής έρευνας θα επιχειρήσουμε να συλλέξουμε και αναλύσουμε όλα τα δεδομένα για το πως το συγκεκριμένο πρότυπο θα μπορούσε να εφαρμοστεί σε μια υπηρεσία Ηλεκτρονικής Διακυβέρνησης αλλά και γενικότερα στον ευρύτερο Δημόσιο Τομέα. Η παρούσα διπλωματική απαρτίζεται από 6 κεφάλαια, τα οποία δομούνται ως εξής: Στο Κεφάλαιο 1 παρατίθενται οι επίσημοι ορισμοί που έχουν δοθεί για την Ηλεκτρονική Διακυβέρνηση. Στην συνέχεια καταγράφονται τα οφέλη από την εφαρμογή των ηλεκτρονικών υπηρεσιών αλλά και τα τεχνολογικά ζητήματα που προκύπτουν. Επίσης, γίνεται εισαγωγή στην έννοια της Διαλειτουργικότητας και τι ισχύει σε Ευρωπαϊκό επίπεδο ενώ στο τέλος εξετάζεται η εξέλιξη της Ηλεκτρονικής Διακυβέρνησης παγκοσμίως και στην Ελλάδα. Στο Κεφάλαιο 2 τίθενται τα θέματα ιδιωτικότητας που προκύπτουν στις υπηρεσίες Ηλεκτρονικής Διακυβέρνησης και η ανάγκη για την διασφάλιση της. Οι αρχές που ισχύουν για την προστασία της ιδιωτικότητας καθώς και το νομικό και κανονιστικό πλαίσιο σε Ευρωπαϊκό και Εθνικό επίπεδο. Στο Κεφάλαιο 3 γίνεται εισαγωγή στην έννοια της ασφάλειας των πληροφοριών, την σημασία που έχει η διασφάλιση της πληροφορίας καθώς και στον τρόπο διαχείρισης της. Επίσης γίνεται αναφορά στα Συστήματα Διαχείρισης Ασφάλειας Πληροφοριών (ΣΔΑΠ) καθώς και στις μεθόδους που υπάρχουν για την ανάπτυξη τους. Στο Κεφάλαιο 4 θα προσπαθήσουμε να γνωρίσουμε την οικογένεια των προτύπων της σειράς ISO/IEC 27000 και πως δημιουργήθηκαν μέσω εκτενής βιβλιογραφικής ιστορικής αναδρομής. Στην συνέχεια εξετάζουμε την δομή, το πεδίο εφαρμογής και το περιεχόμενο των κυριότερων προτύπων της σειράς που μας ενδιαφέρουν και συγκεκριμένα των: ISO/IEC 27000:2016, ISO/IEC 27001:2013 και ISO/IEC 27002:2013. Στο Κεφάλαιο 5 δίνεται ένα πολύ επιγραμματικό παράδειγμα ανάπτυξης ενός Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών (ΣΔΑΠ) σε έναν οργανισμό και πως κατ’ επέκταση θα μπορούσε να εφαρμοστεί σε μια υπηρεσία Ηλεκτρονικής Διακυβέρνησης, ακολουθώντας τα βήματα που μας παρέχει το πρότυπο ISO/IEC 27001:2013 και ISO/IEC 27002:2013. Στο Κεφάλαιο 6 διατυπώνονται τα συμπεράσματα της συγκεκριμένης διπλωματικής σχετικά με την ασφάλεια των πληροφοριών, την Ηλεκτρονική Διακυβέρνηση και την δυνατότητα εφαρμογής του προτύπου ISO/IEC 27001:2013 γενικά στην Δημόσια Διοίκηση. Τέλος, στο Παράρτημα Ι γίνεται μια προσπάθεια αντιπαραβολής των άρθρων που περιέχει ο νέος Γενικός Κανονισμός Προστασίας Δεδομένων – General Data Protection Regulation της Ε.Ε. με αυτά που εμπεριέχονται στην οικογένεια των προτύπων ISO27K προκειμένου να διαπιστώσουμε την σύγκλιση τους σε πολλά σημεία. Στο σημείο αυτό, πρέπει να τονισθεί ότι η έκταση του προτύπου είναι πολύ μεγάλη, στην παρούσα διπλωματική εργασία αποτυπώνεται ένα μέρος του και ως εκ τούτου, είναι αδύνατον να αποτυπωθούν όλες οι λεπτομέρειες του σε βάθος. Κύριος σκοπός του παρόντος έργου είναι η αποτύπωση των γενικών αρχών του, η γενικότερη μεθοδολογία που ισχύει για την εφαρμογή του και τα οφέλη εφαρμογής του σ’ έναν οργανισμό γενικά.