Θέματα στην εφαρμογή προτύπων ποιότητας στην ασφάλεια των πληροφοριακών συστημάτων : Η περίπτωση της Εθνικής Τράπεζας της Ελλάδος

Παναγόπουλος, Αιμίλιος-Χρήστος

13 January 2015

Η χρήση των Πληροφοριακών Συστημάτων συνεχώς αυξάνεται. Πλέον οι περισσότεροι οργανισμοί βασίζονται στην λειτουργία τους. Αχίλλειος πτέρνα αυτών είναι η ασφάλεια τους. Στη παρούσα μελέτη παρουσιάζονται τα βασικά θέματα που αφορούν την διαχείριση προσωπικών δεδομένων αναλύοντας την πολιτική ασφαλείας μιας εταιρείας του ελληνικού τραπεζικού τομέα . Αρχικά εντάσσεται η έννοια των Πληροφοριακών Συστημάτων. Ακολουθεί η έννοια της Πολιτικής Ασφάλειας στον ευρύτερο τομέα της Διαχείρισης της Ασφάλειας των Πληροφοριακών Συστημάτων καθώς και οι κατηγοριοποιήσεις των κινδύνων και των ζημιογόνων γεγονότων. Έπειτα προσδιορίζονται οι βασικές αρχές για την ανάπτυξη Πολιτικών Ασφάλειας των Πληροφοριακών Συστημάτων, διευκρινίζοντας το νομικό πλαίσιο προστασίας τραπεζικών δεδομένων και το απόρρητο τους. Η επόμενη ενότητα αφορά την εφαρμογή των Πολιτικών Ασφάλειας στο πλαίσιο της εταιρείας και καταγράφει τα απαραίτητα μέτρα για την επιτυχή και αποτελεσματική εφαρμογή τους. Ακολουθούν τα αποτελέσματα της μελέτης και οι προτάσεις για την βελτιστοποίηση της παρούσας κατάστασης και την αποφυγή μελλοντικών κινδύνων. / The use of Information Systems is constantly increasing. Now most of the organizations rely on them for their operation. Their vulnerable spot is their security. This study presents the main issues related to the management of personal data by analyzing the security policy of a company of Greek banking sector. Firstly, the concept of Information Systems is presented.Then a part of the concept of security policy in the broader field of Safety Management Information Systems and classifications of risks and loss events is presented. Afterwards identifying the key principles for the development of Rules of Security of Information Systems, specifying the legal framework for the protection of bank data and their privacy. The next section involves the implementation of security policies within the company and record the necessary steps for the successful and effective implementation. Then are the results of the study presented and recommendations for optimization of this situation and avoiding future risks.

Πολιτική ασφάλειας

Λογαριασμοί

Απάτη

005.8

Information Systems (IS)

Information security management systems

Security policy

National Bank of Greece

Regulatory compliance

Accounts

Fraud

Credit institutions (CIs)

Εκτίμηση της επικινδυνότητας για ρευστοποίηση των εδαφών στην ευρύτερη περιοχή της πόλης των Πατρών

Καπατσώλου, Αθηνά

07 November 2008

Σκοπός της παρούσας Διατριβής Ειδίκευσης είναι η ανάλυση, η παρουσίαση και η αξιολόγηση των γεωτεχνικών συνθηκών της πόλης των Πατρών, σε σχέση με την εκδήλωση του φαινόμενου της ρευστοποίησης και τις συνθήκες γεωλογικής καταλληλότητας για τις προς δόμηση περιοχές. Στα πλαίσια της διατριβής πραγματοποιήθηκαν γεωτεχνικές έρευνες για είκοσι πέντε (25) γεωτρήσεις που έχουν διανοιχθεί κατά μήκος της πόλης των Πατρών, και αξιολογήθηκαν τα αποτελέσματα των επί τόπου και των εργαστηριακών δοκιμών. Με τη βοήθεια του λογισμικού Petal υπολογίστηκε ο συντελεστής ασφάλειας για ρευστοποίηση σε κάθε γεώτρηση και συντάχθηκαν χάρτες ζωνών επικινδυνότητας για την πόλη των Πατρών. Η έρευνα αυτή πραγματοποιήθηκε για δύο σεισμικά γεγονότα. Για το σεισμό των Πατρών το 1993 με μέγεθος 5.4 Richter και το σεισμό του Αιγίου το 1995 με μέγεθος 6.2 Richter. / The aim of this MSc Project is the presentation, the analysis and the assessment of the geotechnical conditions in city of Patras, Western Greece, for liquefaction phenomenon and geological suitability for construction purposes. In this project were done geotechnical surveys for twenty-five (25) boreholes in area of Patras, and assessment insitu and laboratory tests. Using Petal program we can estimate the factor of safety against liquefaction. The data used to perform mapping, in some zones of liquefaction risk. The survey based on seismic facts. The first one was the earthquake in 1993 in city of Patras with magnitude 5.4 Richter and the second one was the earthquake in city of Aigio in 1995 with magnitude 6.2 Richter.

Ρευστοποίηση

Επικινδυνότητα

Λογισμικό

551.8

Liquefaction

Factor of safety

Risk

Standard penetration test (SPT)

Program

Συστημική προσέγγιση της αξιολόγησης επίδοσης ενός οργανισμού σε θέματα εργασιακής ασφάλειας και υγείας

Σγουρού, Εύα

06 December 2013

Η τακτική ανασκόπηση και αξιολόγηση της επίδοσης ενός οργανισμού σε θέματα εργασιακής ασφάλειας και υγείας αποτελεί απαραίτητη διεργασία για την αποτελεσματική διαχείριση των θεμάτων αυτών. Η αξιολόγηση της επίδοσης είναι στενά συνδεδεμένη με την παρακολούθηση, που στην περίπτωση της εργασιακής ασφάλειας και υγείας γίνεται μέσω δεικτών, αποτελεσμάτων και προληπτικών. Και οι δύο διεργασίες έχουν ως στόχο την παροχή πληροφοριών για την τρέχουσα επίδοση και την υποστήριξη αποφάσεων για τη βελτίωσή της. Ωστόσο, η βασική διαφορά τους έγκειται στο ότι η παρακολούθηση αποτελεί μία «περιγραφική» διεργασία, που κυρίως επικεντρώνεται σε διαδικασίες και αποτελέσματα, ενώ η αξιολόγηση αποτελεί μία «ερμηνευτική» διεργασία, που εξετάζει σε βάθος τις αλληλεπιδράσεις παραγόντων και προσπαθεί να ανακαλύψει τα αίτια που οδηγούν σε συγκεκριμένες ενέργειες ή αποτελέσματα. Η παρούσα διατριβή αφορά τη συστημική προσέγγιση που απαιτείται για την ανάπτυξη και εφαρμογή μιας διεργασίας αξιολόγησης της επίδοσης σε θέματα εργασιακής ασφάλειας και υγείας. Προς αυτήν την κατεύθυνση, η διατριβή εξετάζει αρχικά τις θεωρητικές προσεγγίσεις πάνω στο αντικείμενο της αξιολόγησης της επίδοσης σε θέματα ασφάλειας, και τις επαναπροσδιορίζει μέσα από το πρίσμα της ολιστικής προσέγγισης στα θέματα διαχείρισης της ασφάλειας. Η διατριβή στοχεύει κυρίως στη διαμόρφωση ενός θεωρητικού πλαισίου με βασικές θέσεις για τη συστημική προσέγγιση επιμέρους θεμάτων που σχετίζονται με την αξιολόγηση, όπως είναι το επίπεδο της ανάλυσης, οι αλληλεπιδράσεις παραγόντων που επηρεάζουν ή σχετίζονται με τη διαχείριση της ασφάλειας, η καθιέρωση κριτηρίων αξιολόγησης που να προκύπτουν μέσα από μια συμμετοχική διεργασία και να αντανακλούν τον συμβιβασμό μεταξύ διαφορετικών απόψεων και αντιλήψεων. Για την επικύρωση του θεωρητικού πλαισίου, προτείνεται η εφαρμογή της Μεθόδου Μαλακών Συστημάτων (Soft Systems Methodology), η οποία χρησιμοποιείται για την ανάπτυξη και την εφαρμογή μίας διεργασίας αξιολόγησης της επίδοσης σε θέματα εργασιακής ασφάλειας και υγείας σε έναν συγκεκριμένο δημόσιο οργανισμό. / Regular review and evaluation of an organisation’s occupational health and safety performance are essential processes for the effective safety management. Performance evaluation is closely related to monitoring, which, in the case of occupational health and safety is done through reactive and proactive indicators. Both processes, monitoring and evaluation, aim at providing information on the current performance, and at supporting decisions on safety improvement actions. However, their basic difference is based on the fact that monitoring is a “descriptive” process, which is mainly focused on procedures and results, while evaluation is an “interpretivistic” process, which explores the inter-relations of safety related factors and seeks to identify the causes of particular actions or results. The present thesis discusses the systemic approach required for the development and implementation of an occupational health and safety evaluation process. Towards this purpose, the various theoretical positions on the subject of safety performance evaluation are initially examined and redefined through the lens of a holistic safety management approach. This thesis aims mainly at formulating a theoretical framework consisted of basic positions on the systemic approach of specific issues related with safety performance evaluation, such as: level of analysis, inter-relations of safety related factors, evaluation criteria selected through a participatory process, thus reflecting the compromise between different views and beliefs. For the validation of this theoretical framework, Soft Systems Methodology is proposed and implemented for the development and implementation of an occupational health and safety performance evaluation process in a particular organization of the public sector.

Συστημική προσέγγιση

363.116

Systemic approach

Safety performance evaluation

Workplace safety and health

Soft systems methodology

Πολυπαραμετρική ανάλυση και αξιολόγηση των ενεργειών προαγωγής της υγείας και ασφάλειας στις επιχειρήσεις ενταγμένη στην ολιστική διοίκηση επαγγελματικών κινδύνων / Multi-factor analysis and assessment of health and safety promoting actions at work in the framework for holistic management of occupational hazards

Σαραφόπουλος, Νικόλαος

25 June 2007

Η παρούσα διατριβή πολυπαραμετρικής ανάλυσης και αξιολόγησης των ενεργειών προαγωγής της υγείας και της ασφάλειας στις επιχειρήσεις ολοκληρώνεται με τη δόμηση ενός ολιστικού προτύπου διαχείρισης ποιότητας της εργασιακής ζωής. Στο πρώτο κεφάλαιο πραγματοποιείται επισκόπηση του πεδίου της υγιεινής και ασφάλειας (επιστημονικές μελέτες, νομοθετικό πλαίσιο, δράσεις κοινωνικών φορέων). Στο δεύτερο κεφάλαιο προσδιορίζεται το πεδίο έρευνας της διατριβής. Η προαγωγή της υγείας και της ασφάλειας αποτελεί σήμερα την αιχμή των ενεργειών πρόληψης των κινδύνων. Στο τρίτο κεφάλαιο καταγράφονται οι τεχνικές πραγματοποίησης και αναλύονται τα δεδομένα της εμπειρικής έρευνας (εξετάσεις, συμπεριφορά, οργάνωση, κοινωνικά προγράμματα, ασφάλεια και φυσικό περιβάλλον). Τέλος στο τέταρτο κεφάλαιο στοιχειοθετείται η τελική πρόταση που περιλαμβάνει τα κεντρικά αποτελέσματα της έρευνας. Δομείται ένα ολιστικό πρότυπο το οποίο απαντά στις απαιτήσεις συνολικότητας στην ποιοτική διαχείριση των επαγγελματικών κινδύνων. / The present thesis lies in the field of working health and safety promotion (WHSP) which is the enabler of all activities aiming at the prevention of occupational hazards.After an extended review of the related literature, legislation and social actions (Chapter 1), we concentrate on the role of WHSP and we develop a framework to be used in its study (Chapter 2). The 3rd chapter discusses the results of an empirical research conducted on the basis of the aforementioned framework that extends over the areas of health screening, health behaviour promotion, organizational change, social welfare and the physical environment. Finally, in the 4th Chapter, based on the results of our research and through a multi-factor analysis we arrive at a set of propositions which are integrated into an holistic model. The model can be used to provide guidelines in response to the requirements concerning occupational hazards within the framework of total quality management.

Επισκόπηση

Ολιστικό πρότυπο

331.25

Safety and health at work

Health and safety promoting actions

Review

Holistic model

Σχεδίαση και υλοποίηση μηχανισμών ασφάλειας για διάχυτες υπηρεσίες υγείας πάνω σε δίκτυα επόμενης γενιάς

Μαντάς, Γεώργιος

01 October 2012

Στην παρούσα διατριβή προτείνονται Μηχανισμοί Ασφάλειας για την ανάπτυξη ασφαλών και αξιόπιστων διάχυτων υπηρεσιών υγείας πάνω σε Δίκτυα Επόμενης Γενιάς (Next Generation Networks – NGN). Οι προτεινόμενοι Μηχανισμοί Ασφάλειας έχουν ως στόχο να λειτουργήσουν προσθετικά στο επίπεδο ασφάλειας που προσφέρουν οι υπάρχοντες μηχανισμοί ασφάλειας που υποστηρίζονται από το NGN. Αυτό είναι αναγκαίο καθώς οι διάχυτες υπηρεσίες υγείας εμπεριέχουν ιδιαιτέρως ευαίσθητη πληροφορία. Επιπρόσθετα, στην παρούσα διατριβή προτείνεται ένα γενικό πλαίσιο εφαρμογής, το οποίο υποστηρίζει τους προτεινόμενους Μηχανισμούς Ασφάλειας, προκειμένου να επιτυγχάνεται γρήγορη και αποτελεσματική ανάπτυξη ασφαλών και αξιόπιστων διάχυτων υπηρεσιών υγείας πάνω σε NGN. Πιο συγκεκριμένα, το προτεινόμενο πλαίσιο βασίζεται στην αρχιτεκτονική του προτύπου ETSI/Parlay και επεκτείνει το σύνολο των Διεπαφών των Χαρακτηριστικών Ικανότητας Υπηρεσίας (Service Capability Features Interfaces – SCFs Interfaces) και το σύνολο των μηχανισμών που υποστηρίζει το Πλαίσιο ETSI/Parlay. Το προτεινόμενο πλαίσιο επεκτείνει το σύνολο των Διεπαφών των Χαρακτηριστικών Ικανότητας Υπηρεσίας προκειμένου αυτό να περιλαμβάνει όχι μόνο τις διεπαφές που σχετίζονται με τις υπηρεσίες του υποκείμενου δικτύου (NGN), αλλά και επιπλέον διεπαφές που δίνουν τη δυνατότητα σε διάχυτες υπηρεσίες υγείας να έχουν πρόσβαση σε ικανότητες επαίσθησης (sensing capabilities) δικτύων αισθητήρων που είναι υπεύθυνα για τη συλλογή πληροφορίας περιβάλλοντος καθώς και βιοπληροφορίας. Επίσης, το προτεινόμενο πλαίσιο επεκτείνει το σύνολο των μηχανισμών που υποστηρίζει το Πλαίσιο ETSI/Parlay προκειμένου να είναι δυνατή η παροχή σε διάχυτες υπηρεσίες υγείας όχι μόνο των βασικών μηχανισμών, που υποστηρίζονται από το προτυποποιημένο Πλαίσιο ETSI/Parlay, αλλά και των Μηχανισμών Δικτύων Αισθητήρων καθώς και των Μηχανισμών Ασφάλειας, οι οποίοι προτείνονται στην παρούσα διατριβή. Οι Μηχανισμοί Ασφάλειας, οι οποίοι προτείνονται, στοχεύουν στην παροχή ασφάλειας στα δεδομένα των τελικών χρηστών καθώς και στην ασφαλή πρόσβαση στις διάχυτες υπηρεσίες υγείας και στην ασφαλή χρήση τους. Πιο συγκεκριμένα, οι προτεινόμενοι Μηχανισμοί Ασφάλειας επικεντρώνονται στη διασφάλιση της εμπιστευτικότητας των δεδομένων, της ακεραιότητας των δεδομένων, της πιστοποίησης αυθεντικότητας καθώς και του ελέγχου πρόσβασης των οντοτήτων που συμμετέχουν σε διάχυτες υπηρεσίες υγείας. Για τη διασφάλιση της εμπιστευτικότητας των δεδομένων προτείνεται ένα γενικό σχήμα κρυπτογράφησης. Αυτό το σχήμα επιτρέπει το σχεδιασμό και την υλοποίηση ασφαλών εξατομικευμένων κρυπτογραφικών αλγορίθμων τμήματος για την κρυπτογράφηση δεδομένων διάχυτων υπηρεσιών υγείας, όπως οι ιατρικοί φάκελοι των ασθενών. Επίσης, προτείνεται ένας μηχανισμός για διασφάλιση της ακεραιότητας των δεδομένων για σύστημα ιατρικής τηλε-παρακολούθησης. Αυτό το σύστημα τηλε-παρακολούθησης λειτουργεί σε περιβάλλον έξυπνου σπιτιού και υποστηρίζει τη μεταφορά βιοσημάτων του ασθενή από τον ασθενή στη Μονάδα Παροχής Υπηρεσιών Υγείας. Επιπρόσθετα, προτείνονται δύο μηχανισμοί για διασφάλιση της πιστοποίησης αυθεντικότητας. Ο πρώτος μηχανισμός είναι ένας ευφυής μηχανισμός πιστοποίησης αυθεντικότητας για εφαρμογές e-Hospital πάνω σε WLAN μέσα σε νοσοκομείο. Ο δεύτερος μηχανισμός είναι ένας μηχανισμός συμφωνίας κλειδιού ομάδας και ανάκτησης σε ad hoc δίκτυα, που χρησιμοποιούνται κατά τη διαχείριση ιατρικών συμβάντων έκτακτης ανάγκης σε περιοχές στις οποίες δεν υπάρχει σταθερή τηλεπικοινωνιακή υποδομή. Τέλος, προτείνεται μία υποδομή PKI σε ένα ιατρικό δίκτυο μεγάλης κλίμακας που συνδέει ένα ευρύ φάσμα από Μονάδες Παροχής Υπηρεσιών Υγείας. Η προτεινόμενη υποδομή PKI εστιάζεται στη διασφάλιση της πιστοποίησης αυθεντικότητας και του ελέγχου πρόσβασης των επαγγελματιών του χώρου της υγείας που επιθυμούν να αποκτήσουν πρόσβαση σε υπηρεσίες που σχετίζονται με αυτούς καθώς και σε υπηρεσίες υγείας που σχετίζονται με τον ασθενή. / In this dissertation, Security Mechanisms are proposed for the development of secure and reliable pervasive healthcare services over Next Generation Networks (NGN). The proposed Security Mechanisms aim at increasing the security level provided by the existing security mechanisms supported by NGN. It is essential since pervasive healthcare services include extremely sensitive information. Furthermore, in this dissertation, a generic application framework is proposed supporting the proposed Security Mechanisms in order the rapid and efficient development of secure and reliable pervasive healthcare services over NGN to be achieved. In particular, the proposed framework is based on the ETSI/Parlay architecture and extends the set of the Service Capability Features Interfaces (SCFs Interfaces) as well as the set of mechanisms supported by the ETSI/Parlay Framework. The proposed framework extends the set of the SCFs Interfaces in order to integrate not only the interfaces related to the services of the underlying network (NGN), but also additional interfaces enabling pervasive healthcare services to access sensing capabilities of sensor networks which are responsible for gathering context and bio information. Moreover, the proposed framework extends the set of mechanisms supported by the ETSI/Parlay Framework to provide pervasive healthcare services not only with the basic mechanisms supported by the standardized ETSI/Parlay Framework, but also with the Sensor Networks Mechanisms and the Security Mechanisms proposed in this dissertation. The proposed Security Mechanisms aim at securing the end-user data as well as the access to the pervasive healthcare services and the use of them. In particular, the proposed Security Mechanisms focus on ensuring data confidentiality, data integrity, authentication and access control of entities participating in pervasive healthcare services. To ensure data confidentiality, a generic encryption schema is proposed. This schema enables the design and implementation of secure personalized block ciphers for encryption of data included in pervasive healthcare services such as patients’ medical records. Moreover, a data integrity mechanism for a tele-monitoring system is proposed. This tele-monitoring system operates in a smart home environment and supports transmission of patient’s biosignals from the patient to the Healthcare Center. Additionally, two authentication mechanisms are proposed. The first mechanism is an intelligent authentication mechanism for e-Hospital applications over WLAN in a hospital. The second mechanism is a group key agreement and recovery mechanism in ad hoc networks used for handling emergency medical incidents in areas without fixed telecommunications infrastructure. Finally, a PKI infrastructure in a large-scale healthcare network connecting a wide spectrum of Healthcare Centers is proposed. The proposed PKI infrastructure focuses on ensuring authentication and access control of healthcare professionals willing to access services related to them as well as healthcare services related to patient.

Πρότυπο ETSI/Parlay

Μηχανισμοί ασφάλειας

005.8

Pervasive healthcare services

Next generation networks

ETSI/Parlay standard

Security mechanisms