ΤΜΗΜΑ ΜΗΧΑΝΙΚΩΝ Η/Υ ΚΑΙ ΠΛΗΡΟΦΟΡΙΚΗΣ

Transcript

1 ΤΜΗΜΑ ΜΗΧΑΝΙΚΩΝ Η/Υ ΚΑΙ ΠΛΗΡΟΦΟΡΙΚΗΣ ΤΙΤΛΟΣ ΔΙΠΛΩΜΑΤΙΚΗΣ: ΘΕΜΑΤΑ ΣΤΗΝ ΕΦΑΡΜΟΓΗ ΠΡΟΤΥΠΩΝ ΠΟΙΟΤΗΤΑΣ ΣΤΗΝ ΑΣΦΑΛΕΙΑ ΤΩΝ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ: Η ΠΕΡΙΠΤΩΣΗ ΤΗΣ ΕΘΝΙΚΗΣ ΤΡΑΠΕΖΑΣ ΤΗΣ ΕΛΛΑΔΟΣ Παναγόπουλος Αιμίλιος-Χρήστος Α.Μ.4127 Επιβλέπων Καθηγητής: Παυλίδης Γεώργιος Πάτρα 2014

2 2

3 3

4 Ευχαριστίες, Θα ήθελα να ευχαριστήσω θερμά τον επιβλέποντα καθηγητή της διπλωματικής μου εργασίας κ. Γεώργιο Παυλίδη για την καθοδήγησή του και τον κ. Δημήτριο Παναγόπουλο της Εθνικής Τράπεζας της Ελλάδος για τη συνεργασία του. Επίσης, θέλω να εκφράσω την ευγνωμοσύνη μου στους γονείς μου για την διαρκή τους υποστήριξη κατά την διάρκεια ολοκλήρωσης των σπουδών μου. Τέλος, θα ήθελα να ευχαριστήσω όλους τους καλούς φίλους και συναδέλφους για τα αξέχαστα αυτά φοιτητικά χρόνια. Παναγόπουλος Αιμίλιος Χρήστος, Σεπτέμβριος

5 ΠΕΡΙΛΗΨΗ Η χρήση των Πληροφοριακών Συστημάτων συνεχώς αυξάνεται. Πλέον οι περισσότεροι οργανισμοί βασίζονται στην λειτουργία τους. Αχίλλειος πτέρνα αυτών είναι η ασφάλεια τους. Στη παρούσα μελέτη παρουσιάζονται τα βασικά θέματα που αφορούν την διαχείριση προσωπικών δεδομένων αναλύοντας την πολιτική ασφαλείας μιας εταιρείας του ελληνικού τραπεζικού τομέα. Αρχικά εντάσσεται η έννοια των Πληροφοριακών Συστημάτων. Ακολουθεί η έννοια της Πολιτικής Ασφάλειας στον ευρύτερο τομέα της Διαχείρισης της Ασφάλειας των Πληροφοριακών Συστημάτων καθώς και οι κατηγοριοποιήσεις των κινδύνων και των ζημιογόνων γεγονότων. Έπειτα προσδιορίζονται οι βασικές αρχές για την ανάπτυξη Πολιτικών Ασφάλειας των Πληροφοριακών Συστημάτων, διευκρινίζοντας το νομικό πλαίσιο προστασίας τραπεζικών δεδομένων και το απόρρητο τους. Η επόμενη ενότητα αφορά την εφαρμογή των Πολιτικών Ασφάλειας στο πλαίσιο της εταιρείας και καταγράφει τα απαραίτητα μέτρα για την επιτυχή και αποτελεσματική εφαρμογή τους. Ακολουθούν τα αποτελέσματα της μελέτης και οι προτάσεις για την βελτιστοποίηση της παρούσας κατάστασης και την αποφυγή μελλοντικών κινδύνων. Λέξεις κλειδιά: Πληροφοριακά Συστήματα(ΠΣ), Συστήματα Διαχείρισης Ασφάλειας Πληροφοριών, Πολιτική Ασφάλειας, Εθνική Τράπεζα της Ελλάδος, Κανονιστική Συμμόρφωση, Λογαριασμοί, Απάτη, Πιστωτικά Ιδρύματα(ΠΙ) 5

6 ABSTRACT The use of Information Systems is constantly increasing. Now most of the organizations rely on them for their operation. Their vulnerable spot is their security. This study presents the main issues related to the management of personal data by analyzing the security policy of a company of Greek banking sector. Firstly, the concept of Information Systems is presented.then a part of the concept of security policy in the broader field of Safety Management Information Systems and classifications of risks and loss events is presented. Afterwards identifying the key principles for the development of Rules of Security of Information Systems, specifying the legal framework for the protection of bank data and their privacy. The next section involves the implementation of security policies within the company and record the necessary steps for the successful and effective implementation. Then are the results of the study presented and recommendations for optimization of this situation and avoiding future risks. Keywords: Information Systems (IS), Information Security Management Systems, Security Policy, National Bank of Greece, Regulatory Compliance, Accounts, Fraud, Credit Institutions (CIs) 6

7 I.ΠΡΟΛΟΓΟΣ Σκοπός της παρούσης διπλωματικής εργασίας είναι η μελέτη ασφαλείας της πληροφορίας και των Πληροφοριακών Συστημάτων (Π.Σ), καθώς επίσης και η ανάλυση και η πρόταση βελτιστοποίησης του σχεδίου ασφαλείας σε ένα ευαίσθητο τμήμα, μιας εταιρείας του ελληνικού τραπεζικού τομέα. Η παρακάτω μελέτη περιλαμβάνει πιο αναλυτικά τα εξής στοιχεία: Στο 1 ο κεφάλαιο γίνεται μια συνολική αναφορά στα βασικά χαρακτηριστικά της μελέτης. Στο 2 ο κεφάλαιο παρουσιάζεται η μεθοδολογία υλοποίησης της μελέτης. Στο 3 ο κεφάλαιο αναλύονται οι τύποι των κινδύνων και κατηγοριοποιούνται τα ζημιογόνα γεγονότα. Στο 4 ο κεφάλαιο παρουσιάζεται περιληπτικά το νομικό πλαίσιο της επεξεργασίας προσωπικών δεδομένων χρηματοπιστοτικού χαρακτήρα και τα νέα ρυθμιστικά πλαίσια. Στο 5 ο κεφάλαιο αναλύεται η οργάνωση και η διοίκηση του τμήματος της Πληροφορικής του Πιστωτικού Ιδρύματος. Στο 6 ο κεφάλαιο παρουσιάζεται το πως οφείλουν να γίνονται η ανάπτυξη και η προμήθεια συστημάτων του Πιστωτικού Ιδρύματος. Στο 7 ο κεφάλαιο αναλύεται η διαδικάσια της λειτουργίας και της υποστήριξης των πληροφοριακών συστημάτων του Πιστωτικού Ιδρύματος. Στο 8 ο κεφάλαιο παρουσιάζεται ο τρόπος με τον οποίο ελέγχονται τα πληροφοριακά συστήματα του Πιστωτικού Ιδρύματος. Στο 9 ο κεφάλαιο αναλύεται η λειτουργία της Μονάδας Εσωτερικής Επιθεώρησης. 7

8 Στο 10 ο κεφάλαιο παρουσιάζεται το αποτέλεσμα της μελέτης και το σχέδιο βελτιστοποίησης της παρούσας κατάστασης. Τέλος στο 11 ο κεφάλαιο δίνονται οι πηγές και οι αναφορές της μελέτης. 8

9 ΠΙΝΑΚΑΣ ΠΕΡΙΕΧΟΜΕΝΩΝ ΠΕΡΙΛΗΨΗ...5 Ι. ΠΡΟΛΟΓΟΣ...7 ΙΙ. ΠΙΝΑΚΑΣ ΕΙΚΟΝΩΝ...12 ΙΙΙ. ΕΙΣΑΓΩΓΗ ΒΑΣΙΚΑ ΧΑΡΑΚΤΗΡΙΣΤΙΚΑ ΜΕΛΕΤΗΣ Σκοπός Μελέτης Τι είναι τα πλήροφοριακα συστήματα Θεμελιώδεις έννοιες ασφάλειας Προϋποθέσεις ασφάλειας πληροφοριακών συστημάτων Εμπλεκόμενοι στην ανάπτυξη πολιτικών ασφάλειας Ανάλυση επικινδυνότητας Οφέλη ανάλυσης επικινδυνότητας Μέθοδος ανάλυσης επικινδυνότητας Τύπος Β>P*L Μέτρα Ασφάλειας ΜΕΘΟΔΟΛΟΓΙΑ ΥΛΟΠΟΙΗΣΗΣ ΜΕΛΕΤΗΣ Μελέτη Υφιστάμενου νομικού πλαισίου Ανάλυση επικινδυνότητας Μελέτη υπάρχουσας πολιτικής ασφάλειας Πρόταση βελτιστοποίησης συστήματος ΑΝΑΛΥΣΗ ΕΠΙΚΙΝΔΥΝΟΤΗΤΑΣ

10 3.1 Απειλές και κίνδυνοι πληροφοριακών συστημάτων και ανάλυση ζημιογόνων γεγονότων Νέες απειλές κατά τραπεζικών πληροφοριακών συστημάτων Κατηγοριοποίηση κινδύνων και ζημιογόνων γεγονότων πιστωτικού ιδρύματος ΝΟΜΙΚΑ ΠΛΑΙΣΙΑ Αρχή Προστασίας Προσωπικών Δεδομένων χρηματοπιστωτικού χαρακτήρα Απόρρητο και ασφάλεια επεξεργασίας Έλεγχος συστημάτων πληροφορικής Εντοπισμός και διαχείριση των κινδύνων ΟΡΓΑΝΩΣΗ ΚΑΙ ΔΙΟΙΚΗΣΗ ΠΛΗΡΟΦΟΡΙΚΗΣ Διακυβέρνηση Πληροφορικής Οργάνωση Υπηρεσιακής Μονάδας Πληροφορικής Σχέσεις με Εξωτερικούς Συνεργάτες ΑΝΑΠΤΥΞΗ ΚΑΙ ΠΡΟΜΗΘΕΙΑ ΣΥΣΤΗΜΑΤΩΝ Ανάπτυξη συστημάτων Προμήθεια Συστημάτων ΛΕΙΤΟΥΡΓΙΑ ΚΑΙ ΥΠΟΣΤΗΡΙΞΗ Λειτουργία συστημάτων Φυσική Ασφάλεια Λογική Ασφάλεια Σχέδια Συνέχειας Εργασιών & Ανάκαμψης από Καταστροφή

11 8. ΕΛΕΓΧΟΣ ΣΥΣΤΗΜΑΤΩΝ ΠΛΗΡΟΦΟΡΙΚΗΣ ΜΟΝΑΔΑ ΕΣΩΤΕΡΙΚΗΣ ΕΠΙΘΕΩΡΗΣΗΣ ΑΠΟΤΕΛΕΣΜΑΤΑ ΜΕΛΕΤΗΣ ΚΙΝΔΥΝΩΝ Σύστημα ΙNTRACODE Kατηγοριοποίηση Ακίνητων Λογαριασμών Δημιουργία και Ιδιότητες Κατηγοριών Κανόνες Λειτουργίας Συστήματος INTRACODE Συσκευή INTRACODE Ελεγκτής VACMAN Διακομιστής Ελέγχου Ταυτότητας IDENTIKEY IV. ΕΠΙΛΟΓΟΣ ΒΙΒΛΙΟΓΡΑΦΙΑ ΚΑΙ ΑΝΑΦΟΡΕΣ

12 ΙΙ.ΠΙΝΑΚΑΣ ΕΙΚΟΝΩΝ Εικόνα 1. Αποτελέσματα έρευνας της Verizon...14 Εικόνα 2. Συχνότητα τύπου επιθέσεων προς κάθε τομέα...16 Εικόνα 3. Κίνητρα των επιθέσεων...17 Εικόνα 4. Ανάλυση Επικινδυνότητας...26 Εικόνα 5. Ανάλυση Επικινδυνότητας Επιπτώσεις και Αντίμετρα...27 Εικόνα 6. Ανάλυση Επικινδυνότητας (2)...30 Εικόνα 7. Τύποι παραβίασης...43 Εικόνα 8. Νομικά Πλαίσια...54 Εικόνα 9. Σύστημα Διαχείρισης Ασφάλειας Πληροφοριακών Αγαθών...61 Εικόνα 10. Σχέσεις με εξωτερικούς συνεργάτες...67 Εικόνα 11. Ανάπτυξη Συστημάτων...71 Εικόνα 12. Έλεγχος Συστημάτων Πληροφορικής...96 Εικόνα 13. Μονάδα Εσωτερικής Επιθεώρησης Εικόνα 14. Πληροφορίες Λογαριασμού Εικόνα 15. Digipass GO Εικόνα 16. Διακομιστής Ελέγχου Ταυτότητας IDENTIKEY

13 III.ΕΙΣΑΓΩΓΗ Η ελεύθερη ροή πληροφοριών, οι ευκολίες που παρέχει το Internet καθώς και το ηλεκτρονικό εμπόριο έχουν ωθήσει μέχρι και τις μικρότερες επιχειρήσεις να επενδύσουν στην χρήση πληροφοριακών συστημάτων και διαδικτυακών εφαρμογών. Η λειτουργικότητα των οργανισμών αυτών στηρίζεται στην λειτουργία των πληροφοριακών συστημάτων και η ορθή και ασφαλή λειτουργία τους κρίνεται απολύτως απαραίτητη για την επίτευξη των στόχων τους. Η παραμικρή δυσλειτουργία, διακοπή ή παράνομη διείσδυση στα συστήματα αυτά μεταφράζεται σε κόστος. Σε συστήματα που περιέχουν ευαίσθητα δεδομένα οι επιπτώσεις δεν είναι μόνο οικονομικές αλλά ζωτικής σημασίας. Ενώ η χρήση πληροφοριακών συστημάτων είναι δεδομένη για κάθε οργανισμό η ασφάλεια τους αντίστοιχα μοιάζει να απειλείται ακόμα περισσότερο. Έρευνες Παραβίασης Δεδομένων (Data Breach Investigations Report, DBIR) που ξεκίνησαν από το 2004[1], έδειξαν ότι στην πραγματικότητα, το 2013 μπορεί να υπερηφανεύεται για τα υψηλά ποσοστά απώλειας δεδομένων. Το 2013 θα μείνει ως έτος της πολιτικής και πολιτισμικής εξέγερσης. Πολίτες επαναστάτησαν, κυβερνήσεις δοκιμάστηκαν και ανατράπηκαν. Τα γεγονότα του 2013 ωστόσο δεν περιορίστηκαν μόνο στον φυσικό κόσμο. Ο διαδικτυακός κόσμος ήταν γεμάτος με συγκρούσεις ιδεωδών που πήραν την μορφή διαμαρτυριών ακτιβισμού, αντίποινων, και φαρσών. Το μεγαλύτερο μέρος των δραστηριοτήτων αυτών ήταν παραβιάσεις δεδομένων των οποίων βασική τους τακτική ήταν η κλοπή εταιρικών και προσωπικών πληροφοριών. Σύμφωνα με έρευνα της Verizon[2], την παγκοσμίως γνωστή εταιρεία τηλεπικοινωνιών, που βασίστηκε σε δεδομένα από διάφορες νομικές υπηρεσίες και από διάφορες πρόσθετες πηγές όπως και από ομάδες CERT (Computer Emergency Response Team), πάνω από το 90% των παραβιάσεων σε πληροφοριακά συστήματα 13

14 είναι αποτέλεσμα εξωτερικών επιθέσεων και σχεδόν το 60% των οργανισμών τις ανακαλύπτει μετά από μήνες ή χρόνια. Η μελέτη αυτή, που πραγματοποιήθηκε από την Ομάδα Ανάλυσης κινδύνου της Verizon σε συνεργασία με την Αυστραλιανή Ομοσπονδιακή Αστυνομία, την Ολλανδική Δίωξη Ηλεκτρονικού Εγκλήματος σε Εθνικό Επίπεδο, την Υπηρεσία Ασφαλείας Πληροφόρησης και Πληροφοριών της Ιρλανδίας, την διεθνή Μονάδα Δίωξης Ηλεκτρονικού Εγκλήματος και την Μυστική Υπηρεσία των ΗΠΑ, έδειξε ότι τα κρούσματα ηλεκτρονικού εγκλήματος εκτινάχτηκαν το 2013 στο 98% των συνολικών απωλειών πληροφορίας, ενώ οι παραβιάσεις που οφείλονταν σε εσωτερικούς παράγοντες, συγκριτικά με άλλες χρονιές, μειώθηκαν στο 4%. Τα αποτελέσματα παρουσιάζονται στο παρακάτω διάγραμμα. Εικόνα 1. Αποτελέσματα έρευνας της Verizon Αναλυτικότερα οι εξωτερικοί παράγοντας οφείλονται σε εξωτερικές απειλές που προέρχονται από πηγές εκτός του οργανισμού και του δικτύου των συνεργατών. Τα παραδείγματα περιλαμβάνουν πρώην εργαζόμενους, hackers, οργανωμένες εγκληματικές ομάδες και κυβερνητικοί φορείς. Σε αυτή την κατηγορία επίσης 14

15 συγκαταλέγονται και οι περιβαλλοντικοί παράγοντες όπως πλημμύρες, σεισμοί, και διακοπές παροχής ρεύματος. Οι εσωτερικοί παράγοντες οφείλονται σε εσωτερικές απειλές προερχόμενες από τον οργανισμό. Αυτό περιλαμβάνει στελέχη της εταιρείας, εργαζόμενους κλπ., καθώς και από τις εσωτερικές υποδομές. Υπάρχει και μια τρίτη κατηγορία παραγόντων που αφορά τους συνεργάτες καθώς και οποιοδήποτε τρίτο μέρος που μοιράζονται μια επιχειρηματική σχέση με τον οργανισμό. Αυτό περιλαμβάνει τους προμηθευτές, πωλητές, παροχείς υπηρεσιών φιλοξενίας, η όποια ανατιθέμενη υπηρεσία υποστήριξης πληροφορικής, κλπ. Το ποσοστό των εξωτερικών παραγόντων ξεπερνά κατά πολύ όλους τους υπόλοιπους παράγοντες. Στους εξωτερικούς παράγοντες συγκαταλέγονται: (α) οι παραβιάσεις από την χρήση κακόβουλου λογισμικό (malware), (β) oι επιθέσεις hacker και οι παραβιάσεις κοινωνικού περιεχομένου σκοπιμοτήτων(social), (γ) η κακής χρήσης των πληροφοριακών συστημάτων (misuse) (δ) οι φυσικές και περιβαλλοντικές απειλές (physical and environmental) και (ε) η εμφάνιση διάφορων σφαλμάτων στα πληροφοριακά συστήματα (errors). Στατιστικές μελέτες έδειξαν ότι την τελευταία δεκαετία το μεγαλύτερο μέρος παραβιάσεων εξωτερικών παραγόντων οφείλεται στις κακόβουλες επιθέσεις (hackers) και ένα μεγάλο ποσοστό στο κακόβουλο λογισμικό (malware). 15

16 Βάσει της έρευνας της Verizon η πιο σημαντική αλλαγή που είδαμε το 2013 ήταν η άνοδος του hacktivism σε όλο τον κόσμο φθάνοντας το ποσοστό 87% - 99% των συνολικών παραβιάσεων. Η ποσοστιαία κλίμακα των τύπων των επιθέσεων προς τους διαφορετικούς τομείς φαίνεται αναλυτικότερα στον παρακάτω πίνακα. Εικόνα 2. Συχνότητα τύπου επιθέσεων προς κάθε τομέα Παρουσιάζεται επίσης μια μικρή πτώση των οικονομικών κινήτρων που οδηγούν στις παραβιάσεις αυτές αλλά αυτό κατά την άποψη των ειδικών αποτελεί προσωρινό φαινόμενο. 16

17 Εικόνα 3. Κίνητρα των επιθέσεων Αποτέλεσμα των παραβιάσεων και των επιθέσεων αυτών, κατά των πληροφοριακών συστημάτων ενός οργανισμού οδηγούν στην ρήξη χαρακτηριστικών όπως η εμπιστευτικότητα, η ακεραιότητα και η διαθεσιμότητα των πληροφοριών που διαχειρίζεται και συνεπώς στην ρήξη της συνολικής ασφάλειας των συστημάτων αυτών. Αυτό αποτελεί σοβαρότατα πρόβλημα καθώς μπορεί που απειληθούν άμεσα ανθρώπινες ζωές αλλά και η ασφάλεια σε τοπικό, εθνικό αλλά και παγκόσμιο επίπεδο. Σαφώς λοιπόν η ασφάλεια των πληροφοριακών συστημάτων αποτελεί ακρογωνιαίο λίθο για την σύγχρονη κοινωνία, για αυτό θα πρέπει να κατέχει πρωτεύοντα ρόλο κατά την σχεδίαση, συντήρηση και χρήση τους. Στην παρούσα μελέτη αναλύονται οι βασικές έννοιες της ασφάλειας των πληροφοριακών συστημάτων και πιο συγκεκριμένα τη πρόταση βελτιστοποίησης των πληροφοριακών συστημάτων και της ασφάλειας τους μιας εταιρείας του ελληνικού τραπεζικού τομέα, της Εθνικής Τράπεζας της Ελλάδος.Μια εταιρεία που διαχειρίζεται άμεσα ευαίσθητα προσωπικά και οικονομικά δεδομένα. 17

18 ΚΕΦΑΛΑΙΟ 1 ο Βασικά χαρακτηριστικά μελέτης 1.1 Σκοπός μελέτης Η παρούσα μελέτη αφορά την ανάλυση των βασικών εννοιών της ασφάλειας των πληροφοριακών συστημάτων και πιο συγκεκριμένα την βελτιστοποίηση του ήδη υπάρχων σχεδίου ασφαλείας του πληροφοριακού συστήματος ενός πιστωτικού ιδρύματος του ελληνικού τραπεζικού τομεα. Η Εθνική Τράπεζα, με μακρόχρονη παρουσία στην ελληνική τραπεζική αγορά αλλά και δυναμικό προφίλ στη ΝΑ Ευρώπη και την Ανατολική Μεσόγειο, ηγείται ενός από τους μεγαλύτερους Ομίλους χρηματοοικονομικών υπηρεσιών στην Ελλάδα. Ο Όμιλος της ΕΤΕ είναι ο πρώτος ελληνικός χρηματοοικονομικός οργανισμός που εισήγαγε με επιτυχία τις μετοχές του στο Χρηματιστήριο της Νέας Υόρκης το Προσφέρει ευρύ φάσμα χρηματοοικονομικών προϊόντων και υπηρεσιών που ανταποκρίνονται στις συνεχώς μεταβαλλόμενες ανάγκες επιχειρήσεων και ιδιωτών όπως καταθέσεις-επενδυτικές εργασίες, χρηματοδοτήσεις, χρηματιστηριακές συναλλαγές, ασφάλειες, εργασίες χρηματοδοτικής μίσθωσης (leasing) και διαχείρισης επιχειρηματικών απαιτήσεων (factoring). Ο Όμιλος δραστηριοποιείται ενεργά σε 12 χώρες και περιλαμβάνει, εκτός της ΕΤΕ, 9 τράπεζες και 64 εταιρείες παροχής χρηματοοικονομικών και λοιπών υπηρεσιών, απασχολώντας συνολικά εργαζόμενους. Διαθέτει ευρύ δίκτυο διανομής 18

19 προϊόντων και υπηρεσιών στο εξωτερικό (1.235 μονάδες) καθώς και το πληρέστερο δίκτυο στην Ελλάδα, με 531 καταστήματα και 1400 ΑΤΜ (στοιχεία ). Όραμα του Ομίλου της ΕΤΕ είναι η διατήρηση της θέσης του στην Ελλάδα και της δυναμικής παρουσίας του στη Νοτιοανατολική Ευρώπη, την Ανατολική Μεσόγειο και εν γένει τις χώρες που έχει παρουσία, λειτουργώντας με αφοσίωση, συνέπεια και διαφάνεια προς όφελος του πελάτη, του μετόχου, του εργαζόμενου και με ευθύνη για την κοινωνία. Η μελέτη περιλαμβάνει: Τον καθορισμό των κανόνων ασφαλείας που πρέπει να τηρούνται για την ορθή χρήση του πληροφοριακού συστήματος Τον προσδιορισμό των χρηστών και των ρόλων τους Την περιγραφή των δικαιωμάτων τους στο πληροφοριακό σύστημα Την ορθή χρήση των συστημάτων Τις περιπτώσεις παραβίασης Τα μέτρα αντιμετώπισης των παραβιάσεων Τη πρόταση βελτιστοποίησης του ήδη υπάρχοντος συστήματος ασφαλείας. 1.2 Τι είναι τα πληροφοριακά συστήματα Πληροφοριακά Συστήματα ( Information Systems ή IS) ονομάζεται ένα σύνολο διαδικασιών, ανθρώπινου δυναμικού και αυτοματοποιημένων υπολογιστικών συστημάτων, που προορίζονται για τη συλλογή, εγγραφή, ανάκτηση, επεξεργασία, αποθήκευση και ανάλυση πληροφοριών[3]. Τα συστήματα αυτά μπορούν να περιλαμβάνουν λογισμικό, υλικό και τηλεπικοινωνιακό σκέλος. 19

20 Τα πληροφοριακά συστήματα αποτελούν το μέσο για την αρμονική συνεργασία ανθρώπινου δυναμικού, δεδομένων, διαδικασιών και τεχνολογιών πληροφορίας και επικοινωνιών. Προέκυψαν ως γέφυρα μεταξύ των πρακτικών εφαρμογών της επιστήμης υπολογιστών και του επιχειρηματικού κόσμου. Σήμερα, σε επίπεδο ανώτατης εκπαίδευσης, σε τμήματα Πληροφορικής παρέχονται κατευθύνσεις εξειδίκευσης στα πληροφοριακά συστήματα, είτε σε προπτυχιακό είτε σε μεταπτυχιακό στάδιο. Τα τμήματα με τίτλο «Εφαρμοσμένης Πληροφορικής» είναι εξορισμού προσανατολισμένα στα πληροφοριακά συστήματα. Κάθε ειδικό πληροφοριακό σύστημα έχει ως στόχο την υποστήριξη των επιχειρήσεων, τη διαχείριση και λήψη αποφάσεων. Σε μια ευρεία έννοια, ο όρος χρησιμοποιείται για να αναφερθεί όχι μόνο στην τεχνολογία της πληροφορίας και της επικοινωνίας, που ένας οργανισμός χρησιμοποιεί, αλλά στο τρόπο με τον οποίο οι άνθρωποι αλληλεπιδρούν με αυτή την τεχνολογία για την υποστήριξη των επιχειρηματικών διαδικασιών. Ως εκ τούτου, τα πληροφοριακά συστήματα σχετίζονται με τα συστήματα διαχείρισης βάσης δεδομένων από τη μία πλευρά και με τα συστήματα δραστηριότητας από την άλλη. Ένα πληροφοριακό σύστημα είναι μια μορφή επικοινωνίας του συστήματος στο οποίο τα δεδομένα αντιπροσωπεύουν και υποβάλλονται σε επεξεργασία ως μια μορφή κοινωνικής μνήμης. Ένα πληροφοριακό σύστημα μπορεί επίσης να θεωρηθεί ως ημι-επίσημη γλώσσα που υποστηρίζει τις ανθρώπινες λήψεις αποφάσεων και δράσης. Ιστορία Πληροφοριακών Συστημάτων Η ιστορία των πληροφοριακών συστημάτων συμπίπτει με την ιστορία της επιστήμης των υπολογιστών, που άρχισε πολύ πριν από τη σύγχρονη επιστήμη της επιστήμης των υπολογιστών που εμφανίστηκε στον εικοστό αιώνα.. Όσον αφορά την κυκλοφορία των πληροφοριών και των ιδεών, πολλά κληροδοτούμενα πληροφοριακά συστήματα εξακολουθούν να υπάρχουν ακόμη και σήμερα, ενώ ανανεώνονται συνεχώς για να προωθήσουν εθνογραφικές προσεγγίσεις, να 20

21 εξασφαλίσουν την ακεραιότητα των δεδομένων και να βελτιώσουν την κοινωνική αποτελεσματικότητα και αποδοτικότητα της όλης διαδικασίας. Σε γενικές γραμμές, τα πληροφοριακά συστήματα επικεντρώθηκαν στην επεξεργασία των πληροφοριών εντός των οργανισμών, ιδίως στο πλαίσιο των επιχειρήσεων, και στο διαμοιρασμό των οφελών με την κοινωνία. Πληροφοριακό σύστημα, επίσης, μπορεί να οριστεί ως μια συλλογή από το hardware, το software, τα δεδομένα, τους ανθρώπους και τις διαδικασίες που συνεργάζονται για να παράγουν ποιότητα των πληροφοριών. Πληροφορίες μπορούν επίσης να δοθούν από το πρόσωπο ή την εφαρμογή. Τύποι Πληροφοριακών Συστημάτων Η «κλασική» προβολή των πληροφοριακών συστημάτων από τα βιβλία της δεκαετίας του 1980 ήταν μια πυραμίδα των συστημάτων που αντανακλούσε την ιεραρχία της οργάνωσης, συνήθως τα συστήματα επεξεργασίας συναλλαγών στο κάτω μέρος της πυραμίδας, που ακολουθείται από τα συστήματα διαχείρισης πληροφοριών, συστήματα υποστήριξης αποφάσεων και τελειώνει με συστήματα υποστήριξης διοίκησης στην κορυφή. Αν και το μοντέλο πυραμίδα εξακολουθεί να είναι χρήσιμο, μια σειρά από νέες τεχνολογίες έχουν αναπτυχθεί και νέες κατηγορίες των πληροφοριακών συστημάτων έχουν προκύψει, μερικές από τις οποίες δεν ταιριάζουν εύκολα στο αρχικό μοντέλο πυραμίδας. Μερικά παραδείγματα τέτοιων συστημάτων είναι : αποθήκευση δεδομένων προγραμματισμού παραγωγής και υλικών συστήματα επιχειρήσεων έμπειρα συστήματα μηχανών αναζήτησης γεωγραφικό σύστημα πληροφοριών 21

22 παγκόσμιο σύστημα πληροφοριών αυτοματισμού γραφείου Ένα Υπολογιστικό Σύστημα Πληροφοριών ουσιαστικά χρησιμοποιεί την τεχνολογία των υπολογιστών για την εκτέλεση μερικών ή όλων των προγραμματισμένων εργασιών του. Τα βασικά συστατικά του υπολογιστή με βάση το σύστημα πληροφοριών είναι : Hardware - αυτές είναι οι συσκευές όπως η οθόνη, επεξεργαστή, τον εκτυπωτή και το πληκτρολόγιο, τα οποία συνεργάζονται για να δεχθούν, επεξεργαστούν και να παρουσιάσουν τα στοιχεία και τις πληροφορίες. Software - είναι τα προγράμματα που επιτρέπουν στο υλικό να επεξεργαστεί τα δεδομένα. Βάσεις Δεδομένων - είναι η συγκέντρωση των συνδεδεμένων αρχείων ή πινάκων που περιέχουν τα σχετικά δεδομένα. Δίκτυα - είναι ένα σύστημα σύνδεσης που επιτρέπει σε διάφορους υπολογιστές την κατανομή των πόρων. Διαδικασίες - είναι οι εντολές για το συνδυασμό των ανωτέρω συστατικών, να επεξεργάζονται πληροφορίες και να παράγουν την προτιμώμενη έξοδο. Ανάπτυξη Πληροφοριακών Συστημάτων Τα τμήματα πληροφορικής σε μεγαλύτερες οργανώσεις τείνουν να επηρεάζουν σε μεγάλο βαθμό την ανάπτυξη της τεχνολογίας των πληροφοριών, τη χρήση και την εφαρμογή τους στους οργανισμούς, που μπορεί να είναι μια επιχείρηση ή μια εταιρεία. Μια σειρά από μεθόδους και διαδικασίες μπορούν να χρησιμοποιηθούν για την ανάπτυξη και τη χρήση ενός συστήματος πληροφοριών. Πολλοί προγραμματιστές έχουν αλλάξει και χρησιμοποιούν μια διαφορετική προσέγγιση, όπως η Ανάπτυξη Συστήματος Κύκλου Ζωής (SDLC), η οποία είναι μια συστηματική διαδικασία για την ανάπτυξη ενός συστήματος πληροφοριών μέσα από τα στάδια 22

23 που εμφανίζονται στη σειρά. Ένα σύστημα πληροφοριών μπορεί να αναπτυχθεί στο χώρο (εντός του οργανισμού) είτε να ανατίθενται. Αυτό μπορεί να επιτευχθεί με την εξωτερική ανάθεση ορισμένων συστατικών ή ολόκληρου του σύστηματος. Μια ειδική περίπτωση είναι η γεωγραφική κατανομή της ανάπτυξης (Offshoring, Παγκόσμιο Πληροφοριακό Σύστημα). Ένας υπολογιστής που βασίζεται σε πληροφοριακό σύστημα, σύμφωνα με τον ορισμό της Langefors, είναι : ένα τεχνολογικό εφαρμοσμένο μέσο για την καταγραφή, την αποθήκευση, τη διάδοση των γλωσσικών εκφράσεων καθώς και για την άντληση συμπερασμάτων από τέτοιες εκφράσεις τα οποία μπορούν να μορφοποιηθούν ως ένα γενικευμένο πληροφοριακό συστήματα σχεδιασμού μαθηματικού προγράμματος. Ανάπτυξη του συστήματος γίνεται με βάση του κύκλου ζωής ενός συστήματος : Διερευνητική Μελέτη : αναγνώριση του προβλήματος και προδιαγραφές Μελέτη Σκοπιμότητας : συλλογή πληροφοριών Ανάλυση Απαιτήσεων : προδιαγραφές και απαιτήσεις για το νέο σύστημα Σχεδιασμός : σχεδιασμός του συστήματος Υλοποίηση : κατασκευή του συστήματος Εγκατάσταση : εφαρμογή του συστήματος Συντήρηση : αξιολόγηση και συντήρηση [iii] 1.3 Θεμελιώδεις Έννοιες Ασφαλείας Η ασφάλεια πληροφοριακών συστημάτων είναι κλάδος της επιστήμης της πληροφορικής που ασχολείται με την προστασία των υπολογιστών, των δικτύων που τους συνδέουν και των δεδομένων σε αυτά τα συστήματα, αποτρέποντας τη μη 23

24 εξουσιοδοτημένη πρόσβαση ή χρήση τους. Ανάμεσα στους συγγενικούς τομείς της ασφάλειας πληροφοριακών συστημάτων συμπεριλαμβάνονται η ψηφιακή εγκληματολογία και η εφαρμοσμένη κρυπτογραφία. [4] 1.4 Προϋποθέσεις Ασφάλειας Πληροφοριακών Συστημάτων Η ασφάλεια των πληροφοριακών συστημάτων είναι πολύ σημαντική καθώς στηρίζεται σε τρεις βασικές ιδέες οι οποίες είναι απαραίτητες για την ορθή λειτουργία ενός Π.Σ., και είναι οι εξής: Ακεραιότητα (Integrity): Η ακεραιότητα αναφέρεται στη διατήρηση των δεδομένων ενός πληροφοριακού συστήματος σε μια γνωστή κατάσταση χωρίς ανεπιθύμητες τροποποιήσεις, αφαιρέσεις ή προσθήκες από μη εξουσιοδοτημένα άτομα, καθώς και την αποτροπή της πρόσβασης ή/και χρήσης των υπολογιστών και δικτύων του συστήματος από άτομα χωρίς άδεια. Διαθεσιμότητα (Availability): Η διαθεσιμότητα των δεδομένων και των υπολογιστικών πόρων είναι η εξασφάλιση ότι οι υπολογιστές, τα δίκτυα και τα δεδομένα θα είναι στη διάθεση των χρηστών όποτε απαιτείται η χρήση τους. Μία τυπική απειλή που αντιμετωπίζουν τα σύγχρονα πληροφοριακά συστήματα είναι η επίθεση άρνησης υπηρεσιών (DOS attack), που έχει ως σκοπό να τεθούν εκτός λειτουργίας οι στοχευμένοι πόροι, είτε προσωρινά είτε μόνιμα. Η άρνηση υπηρεσιών δεν προκαλείται αναγκαία από εχθρική επίθεση. Εμπιστευτικότητα (Confidentiality): Η εμπιστευτικότητα σημαίνει ότι ευαίσθητες πληροφορίες δεν θα έπρεπε να αποκαλύπτονται σε μη εξουσιοδοτημένα άτομα. Η διαρροή ευαίσθητων πληροφοριών μπορεί να γίνει με πιο παραδοσιακές μεθόδους από την ψηφιακή υποκλοπή. 24

25 1.5 Εμπλεκόμενοι στην Ανάπτυξη Πολιτικών Ασφάλειας Η ανάπτυξη της πολιτικής ασφάλειας των πληροφοριακών συστημάτων ενός οργανισμού βασίζεται στην καταγραφή των απαιτήσεων ασφάλειας, με βάση τις οποίες διαμορφώνονται οι στόχοι της ασφάλειας, και στον προσδιορισμό των τρόπων για την επίτευξη των στόχων αυτών. Οι απαιτήσεις ασφάλειας μπορεί να προέρχονται από διαφορετικές πηγές, όπως: Οι χρήστες των πληροφοριακών συστημάτων. Η διοίκηση του οργανισμού που επιθυμεί την απρόσκοπτη χρήση των πληροφοριακών συστημάτων στις λειτουργίες του οργανισμού. Οι πελάτες του οργανισμού, εφόσον δεδομένα που τους αφορούν αποτελούν συνιστώσα του πληροφοριακού συστήματος. Το νομικό και ρυθμιστικό πλαίσιο στο οποίο λειτουργεί ο οργανισμός. Η πολιτική ασφάλειας θα πρέπει να ικανοποιεί όλες τις απαιτήσεις ασφάλειας που προκύπτουν για τα πληροφοριακά συστήματα, και μάλιστα με αναλογικό τρόπο, δηλαδή τα μέτρα και οι οδηγίες που περιλαμβάνει να εξασφαλίζουν το επιθυμητό επίπεδο ασφάλειας. [5] 1.6 Ανάλυση Επικινδυνότητας Η διαμόρφωση της πολιτικής ασφάλειας για τα πληροφοριακά συστήματα ενός οργανισμού έπεται της αξιολόγησης του επιπέδου ασφάλειας των συστημάτων αυτών. Η αξιολόγηση της ασφάλειας μπορεί να γίνει με διάφορους τρόπους, οι πιο συνηθισμένοι από αυτούς είναι η εκπόνηση μιας μελέτης ανάλυσης επικινδυνότητας (Risk Analysis) και η χρήση κάποιων από τα πρότυπα (standards) διαχείρισης της ασφάλειας. Για καλύτερη κατανόηση αρχικά δίνονται οι βασικοί ορισμοί που χρησιμοποιούνται ευρέως στην ανάλυση κινδύνων: 25

26 Απειλή: Ένα μη επιθυμητό γεγονός που μπορεί να προκαλέσει μη διαθεσιμότητα του συστήματος και των υπηρεσιών, τυχαία ή με πρόθεση μετατροπή των δεδομένων, καταστροφή των δεδομένων ή του συστήματος και τέλος μη εξουσιοδοτημένη αποκάλυψη ευαίσθητων πληροφοριών. Ευπάθεια: Είναι η αδυναμία ή σχεδιαστική ατέλεια σε ένα σύστημα, στην εφαρμογή ή στην υποδομή που μπορεί να γίνει αιτία για την παραβίαση της ασφάλειας και της ακεραιότητας του συστήματος. Η ευπάθεια μπορεί να οριστεί και με την εξής συνάρτηση: Ευπάθεια = Πιθανότητα να συμβεί μια απειλή x Πιθανότητα να είναι επιτυχής Κίνδυνος: Η πιθανότητα μια συγκεκριμένη απειλή να εκμεταλλευτεί μια συγκεκριμένη ευπάθεια. Ο κίνδυνος εκφράζει το ενδεχόμενο για απώλεια. Αντίμετρο: Μέτρο που λαμβάνεται για την προστασία του πληροφοριακού συστήματος και την αντιμετώπιση των απειλών. Το μέτρο μπορεί να ενεργεί ανιχνεύοντας, προλαμβάνοντας ή μειώνοντας την απώλεια που σχετίζεται με την εμφάνιση μιας απειλής ή κατηγορίας απειλών. Εικόνα 4. Ανάλυση Επικινδυνότητας 26

27 1.6.1 Οφέλη Ανάλυσης Επικινδυνότητας Με την διαδικασία της ανάλυσης των κινδύνων, προκύπτουν τα εξής οφέλη: (α) Γενική βελτίωση της ασφάλειας του πληροφοριακού συστήματος (β) Στόχευση της ασφάλειας (γ) Βελτίωση της κατανόησης του συστήματος (δ) Κατανόηση της αναγκαιότητας της ασφάλειας και (ε) Δικαιολόγηση των δαπανών για την ασφάλεια Εικόνα 5. Ανάλυση Επικινδυνότητας Επιπτώσεις και Αντίμετρα 27

28 1.6.2 Μέθοδοι ανάλυσης επικινδυνότητας Για την αξιολόγηση, ή αλλιώς αποτίμηση, του επιπέδου ασφάλειας των πληροφοριακών συστημάτων μπορούν να εφαρμοστούν διάφορες τεχνικές ανάλυσης επικινδυνότητας. Οι πιο διαδεδομένες από τις οποίες αυτές οι SBA (Security By Analysis), η MARION και η CRAMM (CCTA Risk Analysis and Management Method). Σε αυτήν την περίπτωση, η διαμόρφωση της πολιτικής ασφάλειας γίνεται με βάση τα αποτελέσματα της ανάλυσης επικινδυνότητας. Σημαντικά πλεονεκτήματα της πρακτικής αυτής είναι ότι η πολιτική ασφάλειας ανταποκρίνεται στις ιδιαίτερες ανάγκες του οργανισμού για τον οποίο έχει μελετηθεί η επικινδυνότητα, και ότι το επίπεδο της παρεχόμενης ασφάλειας με την κατάλληλη επιλογή των μέτρων προστασίας είναι αντίστοιχο των κινδύνων που τα πληροφοριακά συστήματα του οργανισμού αντιμετωπίζουν. Μειονέκτημα της προσέγγισης αυτής είναι το στοιχείο του υποκειμενισμού που εμπεριέχεται στις μεθόδους ανάλυσης επικινδυνότητας, τα αποτελέσματα των οποίων εξαρτώνται σεμεγάλο βαθμό από την εμπειρία και τις γνώσεις του αναλυτή Τύπος BPL Καρδιά της ανάλυσης κινδύνων αποτελεί ο τύπος: B > P * L Τα τρία στοιχεία του τύπου BPL είναι: Β = Το κόστος για την πρόληψη μιας απώλειας P = Η πιθανότητα να συμβεί μια απώλεια L = Το συνολικό κόστος μιας απώλειας Ο τύπος αυτός αποτελεί την κεντρική ιδέα πίσω από κάθε ανάλυση κινδύνων, όχι μόνο για πληροφοριακά συστήματα. Την ιδέα του υπολογισμού της πιο συμφέρουσας λύσης. Ωστόσο αν και ο υπολογισμός του τύπου και η πρακτική του εφαρμογή βρίσκουν σημαντικές δυσκολίες, όλες οι μέθοδοι της ανάλυσης κινδύνων βασίζονται πάνω στην λογική του τύπου BPL. 28

29 Το νόημα του τύπου είναι ότι όταν το κόστος της πρόληψης μιας απώλειας είναι μεγαλύτερο από το γινόμενο του κόστους της απώλειας επί την πιθανότητα να συμβεί αυτή τότε η υλοποίηση του μέτρο πρόληψης κρίνεται ως υπερβολική. Στην αντίθετη περίπτωση το μέτρο πρόληψης συμφέρει να υλοποιηθεί. Συνήθως τα μεγέθη υπολογίζονται σε ετήσιες απώλειες και ετήσια πιθανότητα να συμβεί ένα γεγονός. Η αντιστοίχηση των απωλειών με οικονομικά νούμερα δεν είναι πάντα δυνατή διότι πολλές φορές στην ανάλυση κινδύνων αξιολογούνται απώλειες απροσδιόριστες όπως η εικόνα ενός οργανισμού και η εμπιστοσύνη που έχουν οι «πελάτες» του σε αυτόν. 1.7 Μέτρα Ασφαλείας Η πολιτική ασφαλείας συμπληρώνεται από τα Μέτρα Ασφαλείας / Μέτρα Προστασίας (controls) ή Αντίμετρα (countermeasures)}[7], που αφορούν όλες τις διαδικασίες, τις τεχνικές, τις ενέργειες και τις συσκευές που περιορίζουν τις ευπάθειες και τις απειλές του πληροφοριακού συστήματος, καθώς και από το Πλάνο Υλοποίησης τους. Τα αντίμετρα χωρίζονται σε 4 μεγάλες κατηγορίες: (α) Πρόληψη: τα αντίμετρα αυτά προσπαθούν να μειώσουν τον κίνδυνο (β) Διασφάλιση: εργαλεία, έλεγχοι και στρατηγικές που διασφαλίζουν την συνεχή αποτελεσματικότητα των παρόντων αντιμέτρων (γ) Ανίχνευση: προγράμματα και τεχνικές για την έγκαιρη ανίχνευση, αναχαίτιση και αντιμετώπιση περιστατικών (δ) Επαναφορά: διαδικασίες που στοχεύουν στην γρήγορη επαναφορά σε ένα ασφαλές περιβάλλον έπειτα από ρήξη ασφαλείας και στην έρευνα της αιτίας που την προκάλεσε. 29

30 ΚΕΦΑΛΑΙΟ 2 ο Μεθοδολογία υλοποίησης μελέτης Για να επιτευχθεί η προσπάθεια βελτιστοποίησης του συστήματος και να υλοποιηθεί απαιτείται η εκτέλεση συγκεκριμένων βημάτων. 2.1 Μελέτη υφιστάμενου νομικού πλαισίου Στη φάση αυτή θα μελετηθεί η υφιστάμενη κατάσταση των νομικών πλαισίων που αφορούν την προστασία δεδομένων χρηματοπιστωτικού χαρακτήρα. Παρουσιάζονται και αναλύονται επίσης διεθνή ρυθμιστικά και νομικά πλαίσια που αφορούν την επεξεργασία των δεδομένων αυτών από τους εκάστοτε αρμόδιους. 2.2 Ανάλυση επικινδυνότητας Εικόνα 6. Ανάλυση Επικινδυνότητας (2) Στη φάση αυτή πραγματοποιείται ευρεία ανάλυση της επικινδυνότητας και των απειλών που υπονομεύουν την ασφάλεια των πληροφοριακών συστημάτων. Αναλυτικότερα η ανάλυση επικινδυνότητας (Risk Analysis) του πληροφοριακού συστήματος αποτελείται από τα εξής βήματα: 30

31 Βήμα 1 ο Η αναγνώριση των απειλών (threats) κατά του πληροφοριακού συστήματος Για κάθε κατηγορία περιουσιακών στοιχείων υπάρχουν και μια σειρά από απειλές. Στο βήμα αυτό αναγνωρίζονται οι απειλές για κάθε στοιχείο και οι επιπτώσεις που αυτές επιφέρουν. Βήμα 2ο Η αναγνώριση των επιμέρους ευπαθειών (vulnerabilities). Ένα περιουσιακό στοιχείο μπορεί να είναι λιγότερο ευπαθής προς μια απειλή και περισσότερο προς μια άλλη. Διευκρινίζεται η ευπάθεια του κάθε περιουσιακού στοιχείου προς κάθε απειλή ξεχωριστά. Βήμα 3ο. Η αναγνώριση των πιθανών κατηγοριών απωλειών (losses). Η κατηγοριοποίηση γίνεται βάσει του βαθμού κινδύνου που υπολογίζεται ξεχωριστά για κάθε απειλή και είναι συνάρτηση όλων των παραπάνω, δηλαδή των επιπτώσεων μιας απειλής, που έχουν σχέση με την αξία του περιουσιακού στοιχείου, και της ευπάθειας του περιουσιακού στοιχείου ως προς την απειλή. Βήμα 4ο Η εκτίμηση της πιθανότητας να συμβεί μια απώλεια. Αφού τελειώσει το στάδιο της αντιστοίχησης των απειλών τότε πρέπει να γίνει η αξιολόγηση της πιθανότητας να συμβεί μια απειλή σε κάθε περιουσιακό στοιχείο, καθώς και η ευπάθεια του προς την απειλή αυτή. Βήμα 5ο Προσδιορισμό των απαραίτητων προφυλάξεων / αντίμετρων (countermeasures) για την αντιμετώπιση των κινδύνων. Υπάρχουν 3 τρόποι αντιμετώπισης του κινδύνου η αποφυγή του κινδύνου με πλήρη απόσυρση από μια συγκεκριμένη δραστηριότητα, η αποδοχή του κινδύνου και η μείωση του κινδύνου με χρήση αντιμέτρων (μέτρων ασφαλείας). Κατά το βήμα αυτό αναγνωρίζονται τα πιθανά 31

32 αντίμετρα που μπορούν να εφαρμοστούν και επιλέγονται αυτά που συμφέρουν περισσότερο στην εταιρεία. Βήμα 6ο Η διαμόρφωση και υλοποίηση του πλέον αποτελεσματικού και ενδεδειγμένου από άποψη κόστους (cost effective) συστήματος ασφαλείας. Ωστόσο μια συνεχής παρακολούθηση των κινδύνων επιβάλλεται καθώς τα δεδομένα σε ένα πληροφοριακό σύστημα αλλάζουν συνεχώς, εισάγονται νέες απειλές, νέες ευπάθειες, νέες επιπτώσεις κτλ. Τα αντίμετρα που έχουν επιλεχθεί θα πρέπει να ελέγχονται συνεχώς για την αποτελεσματικότητα τους καθώς πολλά από αυτά με τον καιρό σταματούν να συμφέρουν και πρέπει να καταργηθούν ή να αντικατασταθούν από νέα αντίμετρα. Για να είναι πλήρης η ανάλυση της επικινδυνότητας (Risk analysis) ενός ΠΣ, θα πρέπει να ληφθούν υπόψιν όλες οι απειλές είτε είναι ως προς την ασφάλεια του υπολογιστικού συστήματος(computer security), είτε προς τις δικτυακές υποδομές, (network security), είτε ως προς την Φυσική Ασφάλεια (physical security) του συστήματος. Οι απειλές, μπορούν να κατηγοριοποιηθούν με βάση το περιεχόμενο τους σε κατηγορίες απειλών Λογικής Διείσδυσης (logical infiltration), Επικοινωνιακής Διείσδυσης (communications infiltration), Αποτυχίας Εξοπλισμού (failures of equipment) και Φυσικών Απειλών (physical threats) πχ. από φωτιά, πλημμύρα κτλ. Σημαντική κατηγορία απειλών είναι αυτή της Λογικής Διείσδυσης (logical infiltration) στην Ασφάλεια Υπολογιστικού συστήματος. Η ασφάλεια του υπολογιστικού συστήματος αναφέρεται στην προστασία των πληροφοριών του συστήματος που διαχειρίζεται το λειτουργικό σύστημα (εφαρμογές, αρχεία δεδομένων, κ.ά.). Καθώς και στην Ασφάλεια βάσεων δεδομένων (database security) που σχετίζεται με την προστασία των περιεχομένων μιας βάσης δεδομένων. Άλλη μια κατηγορία απειλών που δεν θα πρέπει να παραληφτεί είναι αυτή της Επικοινωνιακής Διείσδυσης (communications infiltration), που αφορά την ασφάλεια 32

33 των δικτύων επικοινωνιών και αναφέρεται στις απειλές στην προστασία των πληροφοριών. Τέλος, θα πρέπει να αναγνωριστούν και οι απειλές ως προς την Φυσική ασφάλεια ενός οργανισμού που περιλαμβάνει τη προστασία ολόκληρου του σχετικού εξοπλισμού του από φυσικές καταστροφές. Στόχος της είναι η πρόληψη απώλειας, ζημιών, έκθεσης των πόρων του οργανισμού και διακοπής των επιχειρησιακών δραστηριοτήτων του οργανισμού. Ο εξοπλισμός θα πρέπει να προστατεύεται φυσικά από κινδύνους ασφάλειας και περιβαλλοντολογικές απειλές. Συνεπώς, η προστασία του εξοπλισμού είναι απαραίτητη προκειμένου να ελαχιστοποιηθεί ο κίνδυνος μη εξουσιοδοτημένης προσπέλασης των δεδομένων, όπως και η προστασία απέναντι στο ενδεχόμενο απώλειας ή καταστροφής. 2.3 Μελέτη της υπάρχουσας πολιτικής ασφάλειας Μελέτη και ανάλυση της υπάρχουσας πολιτικής ασφάλειας γίνεται στο πέμπτο κεφάλαιο όπου και παρουσιάζεται το πλήρες πλάισιο της πολιτικής ασφάλειας του πιστωτικού ιδρύματος.το πλαίσιο αυτό παρουσιάζει τις αρχές της εταιρείας όσον αφορά την λειτουργία και την επέκταση της λειτουργίας των πληροφοριακών συστημάτων όσoν αφορά την αντικατάστασή τους, την οργάνωση και την διαχείριση τους από πλευράς ασφάλειας καθορίζοντας και τα κατάλληλα μέτρα. 2.4 Πρόταση βελτιστοποίησης συστήματος Η τελική πρόταση βελτιστοποίησης αναλύεται αφού έχουν ληφθεί υπόψην όλα τα αποτελέσματα της διαδικασίας της μελέτης. Γίνεται προσπάθεια να καλυφθούν όλα τα απαραίτητα σημεία ώστε να είναι μια πλήρως αποδεκτή πρόταση. 33

34 ΚΕΦΑΛΑΙΟ 3 ο Ανάλυση Επικινδυνότητας 3.1 Απειλές και κίνδυνοι πληροφοριακών συστημάτων και ανάλυση ζημιογόνων γεγονότων Ακολουθεί μια λεπτομερής ανάλυση των απειλών κινδύνων των υπολογιστικών και πληροφοριακών συστημάτων λαμβάνοντας υπόψην την ανθρώπινη παρέμβαση σε αυτά.[8] Κοινές Απειλές Μια ευρεία ποικιλία απειλών που αντιμετωπίζουν τα συστήματα υπολογιστών και οι πληροφορίες που επεξεργάζονται. Με σκοπό τον έλεγχο των κινδύνων και της λειτουργίας ενός συστήματος πληροφοριών, οι διαχειριστές και οι χρήστες πρέπει να γνωρίζουν τα τρωτά σημεία του συστήματος και τις απειλές που μπορούν να το εκμεταλλευτούν. Η γνώση του περιβάλλοντος απειλής επιτρέπει στο διαχειριστή του συστήματος την εφαρμογή των πιο αποδοτικών μέτρων ασφαλείας. Σε ορισμένες περιπτώσεις οι διαχειριστές μπορεί να το βρίσκουν πιο αποδοτικό απλά να ανέχονται τις αναμενόμενες ζημιές. Οι ακόλουθες απειλές και σχετικές απώλειες με βάση τη βαρύτητά τους και τη σημασία τους στο σημερινό περιβάλλον των υπολογιστών και την αναμενόμενη ανάπτυξή του. Κάποιες απειλές μπορεί να συνδυάζουν στοιχεία από περισσότερους από έναν τομείς. Λάθη και Παραλείψεις Οι χρήστες, υπάλληλοι που εισάγουν δεδομένα, οι διαχειριστές του συστήματος και οι προγραμματιστές, κάνουν συχνά ακούσια λάθη που συμβάλλουν στα προβλήματα ασφάλειας, άμεσα και έμμεσα. Μερικές φορές το σφάλμα είναι η 34

35 απειλή, όπως ένα σφάλμα εισαγωγής δεδομένων ή σφάλμα προγραμματισμού που κολλάει το σύστημα. Σε άλλες περιπτώσεις, τα λάθη δημιουργούν τρωτά σημεία. Λάθη μπορεί να συμβούν σε όλες τις φάσεις του κύκλου ζωής του συστήματος. Λάθη προγραμματισμού και ανάπτυξης που συχνά αποκαλούνται σφάλματα, κυμαίνονται σε σοβαρότητα από ήπια έως καταστροφικά. Κατά την τελευταία δεκαετία, η ποιότητα του λογισμικού έχει βελτιωθεί σημαντικά για τη μείωση της απειλής αυτής. Εγκατάσταση λογισμικού και πλημμελή συντήρηση προκαλούν επίσης προβλήματα ασφάλειας. Τα λάθη και οι παραλείψεις είναι σημαντικές απειλές για την ακεραιότητα των δεδομένων. Τα σφάλματα προκαλούνται όχι μόνο από τους υπαλλήλους που επεξεργάζονται και εισάγουν τα δεδομένα από εκατοντάδες συναλλαγές την ημέρα αλλά και από όλους τους χρήστες που δημιουργούν και επεξεργάζονται δεδομένα. Πολλά προγράμματα, ειδικά εκείνα που είναι σχεδιασμένα από τους χρήστες για προσωπικούς υπολογιστές παρουσιάζουν έλλειψη στα μέτρα ελέγχου ποιότητας. Ωστόσο, ακόμη και τα πιο εξελιγμένα προγράμματα δεν μπορούν να εντοπίσουν όλα τα είδη των λαθών ή των παραλείψεων. Οι άνθρωποι συχνά υποθέτουν ότι οι πληροφορίες που λαμβάνουν από ένα σύστημα ηλεκτρονικού υπολογιστή είναι πιο ακριβή από ότι είναι πραγματικά. Πολλοί οργανισμοί απευθύνονται στην διόρθωση σφαλμάτων και παραλείψεων στην ασφάλεια του υπολογιστή, στην ποιότητα λογισμικού καθώς και στα προγράμματα όσον αφορά την ποιότητα των δεδομένων. Απάτη και Κλοπή Η τεχνολογία των πληροφοριών χρησιμοποιείται όλο και περισσότερο για τη διάπραξη απάτης και κλοπής. Τα συστήματα των ηλεκτρονικών υπολογιστών μπορούν να αξιοποιηθούν με διάφορους τρόπους, τόσο με την αυτοματοποίηση των παραδοσιακών μεθόδων απάτης όσο και με τη χρήση νέων μεθόδων. Για παράδειγμα κάποιος μπορεί να χρησιμοποιήσει έναν υπολογιστή για να ξαφρίσει μικρές ποσότητες από ένα μεγάλο αριθμό οικονομικών λογαριασμών δημιουργώντας έτσι ένα σημαντικό ποσό για δική του χρήση. Επίσης, οι καταθέσεις 35

36 μπορεί να είναι σκόπιμα σε λάθος κατεύθυνση. Τα χρηματοπιστωτικά συστήματα δεν είναι τα μόνα που υπόκεινται σε απάτη. Τα συστήματα που ελέγχουν την πρόσβαση σε οποιοδήποτε πόρο είναι στόχοι, όπως είναι συστήματα παρακολούθησης, συστήματα απογραφής, τηλεφωνικά συστήματα και άλλα. Η απάτη μπορεί να διαπραχθεί από μυημένους ή ξένους. Η πλειοψηφία των απατών που αποκαλύφθηκαν σε συστήματα ασκούνταν από άτομα που ήταν εξουσιοδοτημένοι χρήστες του συστήματος. Δεδομένου ότι έχουν την δυνατότητα πρόσβασης και εξοικείωση με το σύστημα του θύματος, όπως τι είδους πόρους ελέγχει και ποιές είναι οι ατέλειες, οι εξουσιοδοτημένοι χρήστες είναι σε καλύτερη θέση για να διαπράξουν απάτη. Πρώην εργαζόμενοι ενός οργανισμού μπορούν επίσης να αποτελέσουν απειλή, ιδιαίτερα εάν η πρόσβασή τους δεν έχει λυθεί αμέσως. Δυσαρεστημένοι Εργαζόμενοι Δυσαρεστημένοι εργαζόμενοι μπορούν να πραγματοποιήσουν φθορά σε ένα σύστημα. Οι εργαζόμενοι είναι η ομάδα που είναι πιο εξοικοιειωμένοι με τους υπολογιστές και τις εφαρμογές του εργοδότη τους, συμπεραλαμβανομένων των ενεργειών που θα μπορούσαν να προκαλέσουν τη μεγαλύτερη ζημιά. Τόσο στο δημόσιο όσο και στον ιδιωτικό τομέα έχουν δημιουργηθεί ομάδες ατόμων με οργανωτικές γνώσεις που μπορούν να διατηρήσουν την δυνατότητα πρόσβασης στο σύστημα. Οι διαχειριστές του συστήματος μπορούν να περιορίσουν την απειλή αυτή με ακύρωση κωδικών πρόσβασης και διαγραφή λογαριασμών από το σύστημα εγκαίρως. Ωστόσο, οι δυσαρεστημένοι εν ενεργεία υπάλληλοι μπορούν στην πραγματικότητα να προκαλέσουν μεγαλύτερη ζημιά από τους πρώην υπαλλήλους. Κοινά παραδείγματα που σχετίζονται με την δολοιφθορά εργαζομένων περιλαμβάνουν: Εισαγωγή εσφαλμένων δεδομένων Αλλαγή δεδομένων Διαγραφή δεδομένων 36

37 Καταστροφή δεδομένων Συντριβή συστημάτων Ομηρεία δεδομένων Καταστροφή υλικού ή εγκαταστάσεων Φυσικές και Υποδομών Η απώλεια υποστήριξης των υποδομών περιλαμβάνει τις διακοπές ρεύματος (συμπεριλαμβανομένων των διακοπών, αιχμές και βυθίσματα), απώλεια επικοινωνίας, διαρροές νερού, προβλήματα αποχέτευσης, έλλειψη υπηρεσίας μεταφορών, πυρκαγιά, πλημμύρα, πολιτικές αναταραχές, απεργίες και ούτω καθεξής. Οι απώλειες αυτές περιλαμβάνουν δραματικά γεγονότα, όπως η έκρηξη στο Παγκόσμιο Κέντρο Εμπορίου καθώς και πιο κοινές εκδηλώσεις όπως ένα σπασμένο σωλήνα νερού. Οι ιδιοκτήτες του συστήματος πρέπει να συνειδητοποιήσουν ότι η μεγαλύτερη απώλεια σχετίζεται με πυρκαγιές και πλημμύρες από ό,τι με τους ιούς και άλλες ευρύτερα γνωστές απειλές. Η απώλεια της υποδομής συχνά οδηγεί σε υπολειτουργία του συστήματος και μερικές φορές με απροσδόκητους τρόπους. Για παράδειγμα, οι εργαζόμενοι μπορεί να μην είναι σε θέση να εργαστούν κατά τη διάρκεια μιας χειμωνιάτικης θύελλας παρόλο που το υπολογιστικό σύστημα μπορεί να είναι λειτουργικό. Κακόβουλος Χάκερ Χάκερς είναι ένας πραγματικός και υπαρκτός κίνδυνος με περισσότερες γνώσεις συστημάτων πληροφορικής που συνδέονται με δίκτυα. Εκτός του οργανισμού, μερικές φορές και από διαφορετική ήπειρο, οι χάκερς μπορούν να εισέλθουν σε συστήματα υπολογιστών και να θέσουν σε κίνδυνο την προστασία της ιδιωτικής ζωής και την ακεραιότητα των δεδομένων πριν ακόμη εντοπιστεί η μη εξουσιοδοτημένη πρόσβαση. Αν και μπορεί να προκληθεί μεγαλύτερη ζημιά απ ότι 37

38 μπορούν να προκαλέσουν οι χάκερς το πρόβλημα παραμένει σοβαρό και εκτεταμένο. Η επίδραση της δραστηριότητας των χάκερς δεν περιορίζεται σε μικρο-απάτες. Μπορούν να επέμβουν στα τηλεπικοινωνιακά συστήματα με αποτέλεσμα να υποβαθμιστεί ή και να διακοπεί η διαθεσιμότητα του συστήματος. Οι μελέτες που έχουν γίνει, ενώ αδυνατούν να καταλήξουν στο συμπέρασμα σχετικά με το βαθμό της απειλής ή του κινδύνου, υπογραμμίζουν ότι η ικανότητα των χάκερ να προκαλέσουν σοβαρή ζημιά. Η απειλή χάκερ δέχεται συχνά περισσότερη προσοχή από πιο συχνές και επικίνδυνες απειλές. Η Μονάδα Ηλεκτρονικού Εγκλήματος του αμερικάνικου Υπουργείο Δικαιοσύνης αναφέρει τρεις λόγους για το οποίο συμβαίνει αυτό. Πρώτον, η απειλή του χάκερ είναι και αυτή που συναντάμε πιο συχνά. Οι οργανισμοί ανέκαθεν ανησυχούσαν για τις ενέργειες των δικών τους εργαζομένων και χρησιμοποιούν πειθαρχικά μέτρα για τη μείωση της απειλής αυτής. Οι έλεγχοι αυτοί ωστόσο, είναι αναποτελεσματικοί εναντίον των ξένων που δεν υπακούν στους κανόνες και κανονισμούς του εργοδότη. Δεύτερον, οι οργανώσεις δεν γνωρίζουν τους σκοπούς ενός χάκερ. Μερικοί χάκερ απλά περιηγούνται, κάποιοι άλλοι κλέβουν, άλλοι προκαλούν ζημιά. Αυτή η ανικανότητα εντοπισμού του σκοπού μπορεί να υποδηλώσει ότι δεν υπάρχουν περιορισμοί στις επιθέσεις των χάκερ. Τέλος, οι επιθέσεις των χάκερ κάνει τους ανθρώπους να αισθάνονται ευάλωτοι γιατί οι δράστες είναι άγνωστοι. Βιομηχανική Κατασκοπεία Βιομηχανική κατασκοπεία συντελείται από τη συλλογή δεδομένων βιομηχανικής ιδιοκτησίας από ιδιωτικές επιχειρήσεις ή κρατικούς οργανισμούς προς όφελος κάποιας άλλας εταιρείας ή οργανισμό. Βιομηχανική κατασκοπεία μπορεί να διαπράττεται είτε από εταιρείες που επιδιώκουν να αποκτήσουν ανταγωνιστικό 38

39 πλεονέκτημα ή από κυβερνήσεις που επιδιώκουν να βοηθήσουν τις εγχώριες βιομηχανίες. Εξωτερική βιομηχανική κατασκοπεία που πραγματοποιείται από μια κυβέρνηση είναι γνωστή και ως οικονομική κατασκοπεία. Η βιομηχανική κατασκοπεία βρίσκεται σε άνοδο. Οι πιο καταστροφικές μορφές των κλεμμένων πληροφοριών περιλαμβάνουν κατασκευή και ανάπτυξη προϊόντων, πωλήσεις και δεδομένα κόστους, λίστες πελατών, την έρευνα και το σχεδιασμό. Εντός του τομέα της οικονομικής κατασκοπείας ο κύριος στόχος είναι η απόκτηση πληροφοριών που σχετίζονται με την τεχνολογία, την πληροφορική και οικονομικούς παράγοντες. Κακόβουλος Κώδικας Ο κακόβουλος κώδικας αναφέρεται σε ιούς(virus), σκουλήκια(worms), δούρειους ίππους(trojan horse), λογικές βόμβες(logic bombs) και άλλο ανεπιθύμητο λογισμικό. Ο κακόβουλος κώδικας συνδέεται λανθασμένα μερικές φορές μόνο με προσωπικούς υπολογιστές ενώ μπορεί να επιτεθεί και σε πιο εξελιγμένα συστήματα. Ωστόσο, το πραγματικό κόστος που συνδέεται με την παρουσία του κακόβουλου κώδικα σχετίζεται κυρίως με την αδυανμία λειτουργία του συστήματος και του χρόνου του προσωπικού που συμμετέχει στην επισκευή των συστημάτων. Παρ όλα αυτά, το κόσοτος αυτό μπορεί να είναι σημαντικό. Κακόβουλο λογισμικό: Βασικοί Όροι Ιός: Ένα τμήμα κώδικα που αναπαράγει μόνο του με την προσάρτηση αντιγράφων τα υπάρχοντα εκτελέσιμα. Το νέο αντίγραφο του ιού εκτελείται όταν ένας χρήστης εκτελεί το νέο πρόγραμμα ξενιστή.ο ιός μπορεί να περιλαμβάνει ένα επιπλέον «ωφέλιμο» φορτίο που προκαλέι δυσλειτουργία του συστήματος όταν πληρούνται οι προϋποθέσεις. Υπάρχουν πολλοί τύποι ιών συμπεριλαμβανομένων των παραλλαγών όπως οι: προσθήκες, κάτοικος, stealth και πολυμορφικός. 39

40 Δούρειος Ίππος: Ένα πρόγραμμα που εκτελεί μια επιθυμητή εργασία, αλλά περιλαμβάνει και απρόσμενη και ανεπιθύμητη λειτουργία. Εξετάζουμε ως παράδειγμα ένα πρόγραμμα επεξεργασιάς για ένα σύστημα πολλαπλών χρηστών. Το πρόγραμμα θα μπορούσε να τροποποιηθεί για να διαγράψει τυχαία ένα από τα αρχεία των χρηστών κάθε φορά που εκτελεί μια χρήσιμη λειτουργία αλλά οι διαγραφές ειναι απροσδόκητες και σιγουρα ανεπιθύμητες. Οι επιθέσεις αυτές είναι επίσης όλο και πιο εξελιγμένες. Το Νο. 1 των τραπεζικών διαπιστευτηρίων που κλέβει με Trojan, ο Δίας, χρησιμοποιείται από εκατοντάδες εγκληματικές οργανώσεις σε όλο τον κόσμο. Μόνο φέτος, ο Δίας έχει συνδεθεί με περίπου 100 εκατομμύρια δολάρια σε οικονομικές απώλειες σε όλο τον κόσμο, σύμφωνα με το Ομοσπονδιακό Γραφείο Ερευνών των Ηνωμένων Πολιτειών της Αμερικής. Συντονισμένες επιθέσεις που δέχεται online banking sites πάσα πιθανότητα θα κάνει την χρήση ισχυρότερης ταυτότητας μια αναγκαιότητα Σκουλήκι: Ένα πρόγραμμα αυτό-αναπαραγωγής το οποίο είναι αυτοτελές και δεν απαιτεί πρόγραμμα υποδοχής. Το πρόγραμμα δημιουργεί ένα αντίγραφο του εαυτού του και εκτελείται χωρίς να μπορεί να παρέμβει ο χρήστης. Χρησιμοποιούνται στις υπηρεσίες του δικτύου και διαδίδεται σε άλλα συστήματα ως ξενιστής. Ο αριθμός των γνωστών ιών και ο ρυθμός εμφάνισης των περιστατικών αυξάνεται καθημερινά. Οι περισσότεροι οργανισμοί χρησιμοποιούν λογισμικό προστασίας από ιούς και άλλα προστατευτικά μέτρα για τον περιορισμό του κινδύνου λοίμωξης από ιό. Εξωτερική Κυβερνητική Κατασκοπεία 40

41 Σε ορισμένες περιπτώσεις υπάρχουν και απειλές που προέρχονται από μια ξένη κυβέρνητική υπηρεσία πληροφοριών. Εκτός από την πιθανή οικονομική κατασκοπεία, οι ξένες μυστικές υπηρεσίες μπορούν να στοχεύουν αταξινόμητα συστήματα για την περαιτέρω διεύρηνση της νοημοσύνης τους. Προστασία Προσωπικών Δεδομένων Η συσσώρευση τεράστιων ποσοτήτων ηλεκτρονικών πληροφοριών σχετικά με άτομα από πιστωτικά γραφεία και ιδιωτικές εταιρείες σε συνδυασμό με την ικανότητα των υπολογιστών για παρακολούθηση και την συνολική καταγραφή πληροφοριών για φυσικά πρόσωπα δημιουργεί μια πραγματική απειλή για την ιδιωτική ζωή. Η πιθανότητα ότι όλες αυτές οι πληροφορίες και η τεχνολογία θα μπορούσαν να συνδυαστούν μεταξύ τους δεσπόζει ως φάντασμα της σύγχρονης πραγματικότητας των πληροφοριών. Αυτό το φαινόμενο είναι και ευρέως γνωστό ως «μεγάλος αδελφός». Η απειλή για την προστασία της ιδιωτικής ζωής προκύπτει από πολλές πηγές. Διάφορες περιπτώσεις έχουν αναφερθεί που αφορούν πώληση προσωπικών πληροφοριών από τις ομοσπονδιακούς και κρατικούς υπαλλήλους σε ιδιώτες ερευνητές ή αλλιώς «μεσίτες πληροφοριών». Μία τέτοια περίπτωση ήταν όταν αποκαλύφθηκε το 1992,όπως ανακοίνωσε το Υπουργείο Δικαιοσύνης των Η.Π.Α. η σύλληψη δεκάδων ατόμων που ασχολούνταν με την αγορά και πώληση πληροφοριών από αρχεία υπολογιστή της Υπηρεσίας Κοινωνικής Ασφάλισης ( SSA ). Κατά τη διάρκεια της έρευνας, οι ελεγκτές έμαθαν ότι οι εργαζόμενοι της SSA είχαν απεριόριστη πρόσβαση σε πάνω από 130 εκατομμύρια αρχεία απασχόλησης. Μόλις πρόσφατα, μια έρευνα διαπίστωσε ότι πέντε τοις εκατό των εργαζομένων σε μια περιοχή της υπηρεσίας εσωτερικού εισοδήματος είχαν περιηγηθεί στα φορολογικά μητρώα των φίλων, συγγενών, και διασημοτήτων. Ορισμένοι από τους εργαζομένους χρησιμοποιήσαν τις πληροφορίες για να δημιουργήσουν επιστροφές φόρων, αλλά πολλοί ενήργησαν απλά από περιέργεια. 41

42 Καθώς όλο και περισσότερες από αυτές τις περιπτώσεις έρχονται στο φως, πολλά άτομα εκφράζουν αυξημένη ανησυχία σχετικά με τις απειλές για την προσωπική τους ζωή.με τα χρόνια, το Κογκρέσο έχει θεσπίσει νομοθεσία, όπως η Πράξη Ιδιωτικότητας του 1974 η οποία καθορίζει τα όρια των θεμιτών τρόπων χρήσης των προσωπικών πληροφοριών που συλλέγονται από την κυβέρνηση. Ενώ το μέγεθος και το κόστος της προστασίας της ιδιωτικής ζωής του κοινωνικού συνόλου απειλή είναι δύσκολο να μετρηθεί,η τεχνολογία των πληροφοριών έχει γίνει αρκετά ισχυρή ώστε να δικαιολογεί τους φόβους τόσο της κυβέρνησης όσο και των ιδιωτικών εταιρειών. συμπέρασμα Τα συστήματα υπολογιστών σήμερα, τα οποία συνδέονται με εθνικά και παγκόσμια δίκτυα, αντιμετωπίζουν ποικίλες απειλές που μπορεί να οδηγήσουν σε σημαντικές απώλειες οικονομικών πληροφοριών. Οι απειλές διαφέρουν σημαντικά,από απειλές ως προς την ακεραιότητα των δεδομένων που προκύπτουν από ακούσια σφάλματα και παραλείψεις εώς και απειλές για την διαθεσιμότητα του συστήματος από κακόβουλους χάκερ που επιδιώκουν την συντριβή ενός συστήματος. Η κατανόηση του τύπου της απειλής σε υπολογιστικό περιβάλλον του σήμερα μπορεί να βοηθήσει έναν διευθυντή ασφαλείας στην επιλογή των κατάλληλων οικονομικά αποδοτικά ελέγχων για να προστατεύτουν οι πολύτιμες πηγές πληροφοριών. Ακολουθεί μια εικόνα που παραθέτει την συχνότητα του τύπου των απειλώνεπιθέσεων κατα των πληροφοριακών συστημάτων. 42

43 Εικόνα 7. Τύποι παραβίασης 3.2 Νέες απειλές κατά τραπεζικών πληροφοριακών συστημάτων Παρακάτω αναλύονται οι απειλές και οι κίνδυνοι των νέων εφαρμογών και προγραμμάτων που επικρατούν την σημερινή εποχή[9]: 1. Mobile Banking Κίνδυνοι Τα κινητά τηλέφωνα που χρησιμοποιούνται για τον τραπεζικό τομέα βρίσκονται σε άνοδο, αλλά το κινητό τηλέφωνο απο πλευράς ασφάλειας αποδεικνύεται όλο και πιο δύσκολο για τις τράπεζες και τα πιστωτικά ιδρύματα καθώς οι έλεγχοι που εφαρμόζονται για την προστασία των παραδοσιακών online τραπεζικών συναλλαγών δεν μεταφράζονται καλά όταν εφαρμόζονται στο κινητό. Τραπεζικές εφαρμογές κινητής τηλεφωνίας από την Bank of America, Chase, Wells Fargo και η TD Ameritrade υποφέρουν από κενά ασφαλείας, και η Citigroup το 2009, ανέφερε κάποια τρωτά σημεία όταν έμαθε οτί μερικές τραπεζικές εφαρμογές αποθηκεύουν ευαίσθητα στοιχεία των χρηστών σε κρυφά αρχεία των λεγόμενων έξυπνων τηλεφώνων. 43

44 Μέχρι πρόσφατα, η λειτουργικότητα του mobile banking ήταν αρκετά περιορισμένη. Αλλά όσο αυξάνεται η χρήση της εφαρμογής τόσο αυξάνεται και η πιθανότητα εμφάνισης απειλών για την ασφάλεια. 2.Μέσα Κοινωνικής Δικτύωσης Η χρήση «έξυπνων» κινητών τηλεφώνων και των μέσων κοινωνικής δικτύωσης αυξάνεται, με τις εφαρμογές Twitter και Facebook εφαρμογές που προσφέρονται για τους χρήστες. Τα δρύματα αγκαλιάζουν την χρήση κινητής τηλεφωνίας και υιοθετούν επίσης την κοινωνική δικτύωση. Με τις περισσότερες τράπεζες στα κοινωνικά δίκτυα, αναμένονται περισσότερες πλαστές ιστοσελίδες που χρησιμοποιούν τα κοινωνικά δίκτυα για να προσπαθήσουν να ξεγελάσουν τους ανθρώπους στο να αποκαλύψουν προσωπικές πληροφορίες ζωτικής σημασίας, συμπεριλαμβανομένων των τραπεζικών διαπιστευτηρίων σύνδεσης. Αλλά οι εξωτερικές απειλές δεν είναι οι μόνοι κίνδυνοι. Οι ιστότοποι κοινωνικής δικτύωσης είναι επίσης ένας χώρος για τους υπαλλήλους του ιδρύματος για την εκ προθέσεως ή εκ παραδρομής εκθεσης ευαίσθητων πληροφοριών. Για την άμβλυνση των εσωτερικών κινδύνων διαρροής δεδομένων, είναι σημαντικό για τους οργανισμούς να διευκρινίζονται οι πολιτικές κοινωνικής δικτύωσης για τους εργαζομένους. Θα πρέπει να γνωρίζουν πότε και πώς να χρησιμοποιούν τα κοινωνικά δίκτυα κατά τη διάρκεια της εργασίας τους, καθώς και ποιες πληροφορίες είναι / δεν είναι σκόπιμο να μοιραστούν. 3.Phising To Phishing είναι μια ενέργεια εξαπάτησης των χρηστών του διαδικτύου, κατά την οποία ο θύτης υποδύεται μία αξιόπιστη οντότητα, καταχρώμενος την ελλειπή προστασία που παρέχουν τα ηλεκτρονικά εργαλεία, και την άγνοια του χρήστηθύματος, με σκοπό την αθέμιτη απόκτηση προσωπικών δεδομένων, όπως είναι ευαίσθητα ιδιωτικά στοιχεία και κωδικοί 44

45 Αν ήταν εφικτό να αποδώσουμε τον όρο στα Ελληνικά, θα μπορούσαμε κάλλιστα να το αποκαλέσουμε Ηλεκτρονικό Ψάρεμα, κι αυτό γιατί αγγλικός όρος δεν απέχει πολύ από αυτό. Ο όρος Phishing, που πρωτοχρησιμοποιήθηκε από τον χάκερkhan C Smith και υιοθετήθηκε στη συνέχεια από όλη την κοινότητα των χάκερς, προέρχεται από το αγγλικό 'fishing' (ψάρεμα), καθώς η διαδικασία με την οποία ο θύτης παρουσιάζεται ως η αξιόπιστη οντότητα ώστε να προσελκύσει τους χρήστες, θυμίζει την διαδικασία του δολώματος στο ψάρεμα. Μία άλλη εξήγηση σε αυτό είναι πως οι πρώτοι phishers, χρησιμοποιούσαν στα chatrooms τον html κωδικό <>< που παραπέμπει σε ψάρι, διότι αυτός ο κωδικός δεν ήταν εύκολο να ανιχνευθεί ή να φιλτραριστεί αφού είναι ο πιο βασικός στην Html. Η αλλαγή του γράμματος f σε ph, πιθανότατα να είναι τυχαία ή να χρησιμοποιήθηκε από τους hackers για την απόκρυψη των ιχνών τους, αλλά σύμφωνα με κάποιους, έχει να κάνει με τον παλαιότερο όρο 'phreaking' ή 'phone freaking. Το phreaking είναι η ενέργεια μη εξουσιοδοτημένου χειρισμού τηλεφωνικών δικτύων. 4.Απάτη με κάρτες Η απάτη με πιστωτικές κάρτες είναι ένα ευρύς όρος για την κλοπή και την απάτη που διαπράττεται με τη χρήση μιας κάρτας πληρωμής, όπως πιστωτική κάρτα ή χρεωστική κάρτα, ως δόλια πηγή κεφαλαίων σε μια συναλλαγή. Ο σκοπός μπορεί να είναι να αποκτήσουν τα εμπορεύματα χωρίς να πληρώνουν ή να αποκτήσουν χρηματικό ποσό από λογαριασμό. Η απάτη με πιστωτικές κάρτες είναι επίσης ένα συμπλήρωμα για την κλοπή ταυτότητας. Σύμφωνα με Ομοσπονδιακή Επιτροπή Εμπορίου των Ηνωμένων Πολιτειών της Αμερικής, παρουσιάστηκε ένα 21 τοις εκατό αύξηση το 2008 στις απάτες με κάρτες. Η συχνότητα της απάτης των πιστωτικών καρτών περιορίζεται σε περίπου 0,1% του συνόλου των συναλλαγών με κάρτα, αυτό έχει οδηγήσει σε τεράστιες οικονομικές απώλειες και πρόκειται για συναλλαγές μεγάλης αξίας. Το 1999, από 12 δισεκατομμύρια συναλλαγές που γίνονται κάθε χρόνο, περίπου 10 εκατομμύρια, ή μία στις 1200 συναλλαγές-αποδείχθηκε ότι ήταν απάτη. Επίσης, 0,04% όλων των μηνιαίων ενεργών λογαριασμών είχαν δημιουργηθεί με σκοπό την απάτη. Ακόμη και με την τεράστια αύξηση της αξίας των συναλλαγών πιστωτικών καρτών από 45

46 τότε, τα ποσοστά αυτά έχουν μείνει το ίδιο ή έχουν μειωθεί λόγω των εξελιγμένων συστημάτων ανίχνευσης καιι την πρόληψη. Τα σημερινά συστήματα ανίχνευσης απάτης έχουν σχεδιαστεί για να αποτρέψουν το ένα δωδέκατο του ένα τοις εκατό του συνόλου των συναλλαγών σε επεξεργασία η οποία εξακολουθεί να μεταφράζεται σε δισεκατομμύρια ευρώ σε ζημιές. Στη δεκαετία του 2008, οι γενικές απώλειες των πιστωτικών καρτών είχαν 7 μονάδες βάσης ή και χαμηλότερα (δηλαδή απώλειες 0,07 δολαρίων ή λιγότερο ανά $ 100 συναλλαγές). Το 2007, η απάτη στο Ηνωμένο Βασίλειο εκτιμήθηκε σε Απειλή Botnet Ένα botnet είναι μια συλλογή προγραμμάτων με σύνδεση στο Internet που επικοινωνούν με άλλα παρόμοια προγράμματα, προκειμένου να εκτελέσουν τα καθήκοντα τους. Αυτό μπορεί να είναι τόσο τετριμμένο, όπως τη διατήρηση του ελέγχου του InternetRelayChat (IRC) του καναλιού, ή θα μπορούσε να χρησιμοποιηθεί για την αποστολή spam-mail ή να συμμετέχουν σε κατανεμημένη άρνηση και εκτός υπηρεσίας επιθέσεων. Η λέξη botnet είναι ένας συνδυασμός των λέξεων ρομπότ και δικτύου. Ο όρος χρησιμοποιείται συνήθως με αρνητική έννοια. Το botnet θέτει σε κίνδυνο μερικές φορές τους υπολογιστές των οποίων η άμυνα ασφαλείας έχει παραβιαστεί και οι έλεγχοι έχουν ανατεθεί σε τρίτους. Κάθε τέτοιο επικίνδυνη συσκευή, γνωστή ως "bot", δημιουργείται όταν ένας υπολογιστής έχει διεισδύσει στο λογισμικό του ένα malware (κακόβουλο λογισμικό) διανομής. Ο ελεγκτής ενός botnet είναι σε θέση να διευθύνει τις δραστηριότητες αυτών των προσβεβλημένων υπολογιστών μέσω των διαύλων επικοινωνίας που σχηματίζεται από τα πρότυπα που βασίζονται σε πρωτόκολλα δικτύου, όπως IRC και το Hypertext Transfer Protocol. 46

47 6. Cloud Computing Το cloud computing είναι κράχτης για την ικανότητά της να περιορίσει την απάτη, αλλά οι απατεώνες που εργάζονται υπερωρίες για να δημιουργήσετε νέες απειλές. Προβλέπετε ότι οι φοροφυγάδες θα εξελίξουν την ικανότητά τους να αξιοποιήσουν τα νέα και ακόμα άγνωστα τρωτά σημεία του cloud computing. Πιθανολογείται η δημιουργία στοχευμένων Trojan (Δούρειος Ίππος) κατά του τραπεζικού τομέα. Η χρήση του cloud computing από τις τράπεζες και τις πιστωτικές ενώσεις αναμένεται να απογειωθεί. Αλλά, όπως κάθε νέα ή αναδυόμενη τεχνολογία, το cloud computing θα αντιμετωπίσει καινούργιες προκλήσεις.[ix] 3.3 Κατηγοριοποίηση κινδύνων και ζημιογόνων γεγονότων Πιστωτικού Ιδρύματος Aκολουθούν οι κατηγοριοποιήσεις των κινδύνων και των ζημιογόνων γεγονότων από την ανάλυση του προαναφερθέντως Πιστωτικού Ιδρύματος [16] Τυποποιημένοι λειτουργικοί κίνδυνοι: Οι τυποποιημένοι λειτουργικοί κίνδυνοι είναι η κατηγορία των κινδύνων που αν λάβουν χώρα επηρεάζουν την ομαλή λειτουργία και την αξιοπιστία του Πιστωτικού Ιδρύματος. Ο κάθε λειτουργικός κίνδυνος έχει διαφορετική βαρύτητα και μπορεί να επηρεάζει διαφορετικούς τομείς της λειτουργίας. Εδώ, θα αναφερθούμε σε αυτούς που επηρεάζουν ή και ενδέχεται να επηρεάσουν την ομαλή λειτουργία των πληροφοριακών συστημάτων. Υπάρχει συγκεκριμένη πολιτική ασφάλειας που ακολουθείται βάσει διεθνών κανονισμών. Η πολιτική αυτή ασφάλειας αναλύεται σε παρακάτω κεφάλαιο. Σε αυτούς τους κίνδυνους περιλαμβάνονται αναλυτικά: Διενέργεια μη εξουσιοδοτημένου τύπου συναλλαγών. 47

48 Μεταφορές χρηματικών ποσών οι οποίες μπορεί να είναι ύποπτες και να αφορούν για παράδειγμα ξέπλυμα χρήματος ή και εσωτερική απάτη. Παρέκκλιση από εγκύκλιες οδηγίες χρήση παραδιαδικασιών Χρήση του συστήματος με τρόπο μη αποδεκτό το οποίο μπορεί να επηρεάσει την σωστή διεκπεραίωση μίας συναλλαγής. Αλλοίωση χρηματοοικονομικών μεγεθών Περιπτώσεις που υπάλληλος έχει αλλοιώσει μέσω του εσωτερικού δικτύου λογαριασμούς πελατών. Χρήση εσωτερικών πληροφοριών για ίδιο όφελος Χρήση των δεδομένων και των πληροφοριών του συστήματος και των πελατών με σκοπό για παράδειγμα το οικονομικό όφελος του υπαλλήλου. Αποκάλυψη / κακή χρήση εμπιστευτικών πληροφοριών Η περίπτωση αυτή μπορεί να είναι αποκάλυψη εμπιστευτικών πληροφοριών του συστήματος προς τρίτους με σκοπό την εκμετάλλευση του συστήματος ή και ζημιά του συστήματος. Παραβίαση θεσμικού πλαισίου περί Προστασίας Προσωπικών Δεδομένων Αποκάλυψη προσωπικών δεδομένων που βρίσκονται καταχωρημένα στο πληροφοριακό σύστημα και προστατεύονται νομικά. Παραβίαση διατάξεων περί συνθηκών ασφαλείας Προσωπική πρωτοβουλία επέμβασης στο υλικό του πληροφοριακού συστήματος από υπάλληλο χωρίς αρμοδιότητα. Πιθανότητες πρόκλησης σωματικής βλάβης και ζημιάς στο υλικό. Έλλειψη πελατοκεντρικής πληροφόρησης 48

49 Ο πελάτης να μην έχει ενημερωθεί σωστά για την ασφάλεια του συστήματος και τον τρόπο λειτουργίας του. Πιθανότητα ο πελάτης να θεωρήσει το σύστημα αναξιόπιστο. Κάθε είδος διάκριση σε βάρος προσωπικού παρενόχληση Να αποκλείεται κάποιος υπάλληλος από εσωτερικές ενημερώσεις του συστήματος παραδείγματος χάρη να μην λαμβάνει ηλεκτρονικό μήνυμα για τις αλλαγές στον τρόπο δουλειάς του. Παρενόχληση υπαλλήλων μέσω ηλεκτρονικών μηνυμάτων του συστήματος. Εξάρτηση από «κρίσιμο» προσωπικό Χρήση εξωτερικού συνεργάτη για την υποστήριξη της λειτουργίας του συστήματος η οποία να μπορεί να χαρακτηριστεί αναξιόπιστη. Ελλιπής καταγραφή ρόλων και αρμοδιοτήτων ελλιπής διαχωρισμός καθηκόντων Χρήση διαδικασιών του συστήματος από μη αρμόδιο υπάλληλο. Μπορεί να βλάψει την σωστή λειτουργία των διαδικασιών καθώς και του συστήματος. Ηλεκτρονικό έγκλημα «Εισβολή» από χάκερ στο σύστημα με σκοπό το προσωπικό όφελος ή και την ζημιά του συστήματος. Εσφαλμένη καταχώρηση δεδομένων Λανθασμένα δεδομένα στο πληροφοριακό σύστημα επηρεάζουν την αξιοπιστία του τραπεζικού οργανισμού. Ελλιπής ασφάλεια (φυσική ή λογική) Τα πληροφοριακά συστήματα να μην είναι αρκετά ασφαλή ως προς φυσικές καταστροφές. Ανεπαρκής υποστήριξη διαδικασιών και προϊόντων 49

50 Να μην εφαρμόζεται συντήρηση του υλικού του πληροφοριακού συστήματος που μπορεί να έχει ως αποτέλεσμα την αποτυχία λειτουργίας του. Αποτυχία λογισμικού Το λογισμικό το οποίο τρέχουν τα συστήματα να μην λειτουργεί όπως έχει προγραμματιστεί με αποτέλεσμα την παύση εργασιών. Αποτυχία τηλεπικοινωνιακών υποδομών και λοιπών παροχών κοινής ωφέλειας Η επικοινωνία μεταξύ των διαφορετικών συστημάτων να παρουσιάζει προβλήματα ή και να μην υπάρχει καθόλου. Αυτό μπορεί να έχει ως αποτέλεσμα την μη δυνατότητα αποστολής ή λήψης σημαντικών δεδομένων. Έλλειψη ή ανεπάρκεια αρχείων καταγραφής πληροφοριακών συστημάτων (audit) Η μη καταγραφή των πληροφοριακών συστημάτων μπορεί να οδηγήσει σε καθυστέρηση επιδιόρθωσης τεχνικού προβλήματος αν δεν μπορεί να εντοπιστεί και δεν υπάρχουν οι απαραίτητες πληροφορίες για αυτό. Εξάρτηση από προμηθευτές ή ανεπαρκές επίπεδο παρεχόμενων υπηρεσιών Για την υποστήριξη ενός συστήματος μπορεί να χρειαστεί η συνεργασία με κάποιον προμηθευτή ο οποίος μπορεί να αποδειχθεί αναξιόπιστος με αποτέλεσμα την καθυστέρηση διεκπεραίωσης εργασιών βελτιστοποίησης και συντήρησης του συστήματος. Αποτυχία διασφάλισης πληροφοριών (back up) και φυσικών αρχείων Σε περίπτωση μιας φυσικής καταστροφής η οποία μπορεί να καταστρέψει και υποδομές τα δεδομένα πρέπει να έχουν αντίγραφα ασφαλείας ώστε να μπορεί να γίνει άμεση ανάκαμψη εργασιών και να μην χαθούν δεδομένα. Διακοπή εργασιών λόγω μη διαθεσιμότητας πληροφοριακών συστημάτων ή δεδομένων 50

51 Στην περίπτωση που δεν είναι διαθέσιμα προς χρήση τα δεδομένα ενός συστήματος δεν μπορεί να διενεργηθεί καμμία εργασία. Ανεπαρκείς ή ανακριβείς αναφορές (εσωτερικές εξωτερικές) Ανακριβής αναφορά όσον αφορά την σωστή λειτουργία του υλικού ενός πληροφοριακού συστήματος μπορεί να οδηγήσει σε καθυστέρηση επαναφοράς του συστήματος σε περίπτωση προβληματικής λειτουργίας. Κατηγοριοποίηση ζημιογόνου γεγονότος: Αναλύονται όλα τα κύρια ζημιογόνα γεγονότα που μπορόυν να συμβούν και προσθέτονται σε κατηγορίες δύο επιπέδων ακολουθούμενες από τον ορισμό τους. Εσωτερική απάτη 1) Μη εξουσιοδοτημένη δραστηριότητα 2) Κλοπές και απάτες 3) Ασφάλεια συστημάτων Ζημιές εξαιτίας πράξεων με πρόθεση την καταδολίευση, υπεξαίρεση περιουσιακών στοιχείων ή καταστράγηση κανονιστικών ή νομοθετικών διατάξεων ή εσωτερικών πολιτικών, εξαιρουμένων των περιπτώσεων που σχετίζονται με πρακτικές αντίθετες με τους κανόνες περί πολιτιστικής πολυμορφίας / διακριτικής μεταχείρισης, και στις οποίες εμπλέκεται τουλάχιστον ένα μέλος του προσωπικού της Τράπεζας. Εξωτερική απάτη 1) Κλοπές και απάτες 2) Ασφάλεια συστημάτων Ζημιές εξαιτίας πράξεων τρίτων με πρόθεση την καταδολίευση, υπεξαίρεση περιουσιακών στοιχείων ή καταστρατήγηση της νομοθεσίας. Θέματα ασφάλειας εργατικού δυναμικού και εργασιακών πρακτικών 1) Εργασιακές σχέσεις 2) Ασφάλεια περιβάλλοντος εργασίας 51

52 3) Διακρίσεις σε βάρος προσωπικού Ζημιές εξαιτίας πράξεων αντίθετων με την εργατική νομοθεσία και τις διατάξεις για την υγιεινή και την ασφάλεια ή που αφορούν σε πληρωμές αποζημιώσεων για σωματική βλάβη ή για πρακτικές αντίθετες με τους κανόνες περί πολιτιστικής πολυμορφίας / διακριτικής μεταχείρισης. Πελάτες, προϊόντα και επιχειρηματικές πρακτικές 1) Ζητήματα εμπιστοσύνης, εντιμότητας, δημοσιοποίησης 2) Καταχρηστικές επιειρηματικές πρακτικές 3) Ελαττώματα προϊόντων 4) Επιλογή, προσέλκυση, έκθεση έναντι πελατείας 5) Συμβουλευτικές δραστηριότητες Ζημιές από ακούσια ή εξ αμελείας παράλειψη εκπλήρωσης επαγγελματικής υποχρέωσης έναντι πελάτη (περιλαμβανομένων των υποχρεώσεων περί εμπιστοσύνης και εντιμότητας) ή από τη φύση ή τα χαρακτηριστικά ενός προϊόντος. Βλάβη σε ενσώματα περιουσιακά στοιχεία 1) Φυσικές καταστροφές και άλλα γεγονότα Ζημιές που οφείλονται σε απώλεια ή βλάβη ενσώματων περιουσιακών στοιχείων λόγω φυσικών καταστροφών ή άλλων γεγονότων. Διακοπή δραστηριότητας και δυσλειτουργία συστημάτων 1) Συστήματα Ζημιές εξαιτίας διακοπής επιχειρηματικής δραστηριότητας ή δυσλειτουργίας συστημάτων. Εκτέλεση, παράδοση και διαχείριση των διαδικασιών 1) Καταχώρηση, διεκπεραίωση και τήρηση συναλλαγών 2) Εποπτεία και συστήματα αναφορών 3) Λήψη και τεκμηρίωση στοιχείων και οδηγιών πελατείας 4) Διαχείριση λογαριασμών πελατείας 5) Αντισυμβαλλόμενοι εμπορικού χαρτοφυλακίου 52

53 6) Προμηθευτές Ζημιές από ανεπάρκειες κατά την διεκπεραίωση ή επεξεργασία των συναλλαγών ή διαδικασιών καθώς και από τις σχέσεις με αντισυμβαλλόμενους εμπορικού χαρτοφυλακίου και προμηθευτές. 53

54 ΚΕΦΑΛΑΙΟ 4 ο Νομικά πλαίσια Εικόνα 12. Νομικά Πλαίσια 4.1 Αρχή Προστασίας Προσωπικών Δεδομένων Χρηματοπιστωτικού Χαρακτήρα Οι τράπεζες οφείλουν να γνωστοποιούν τα αρχεία τους στην Αρχή. Πρέπει ακόμα να ενημερώνουν τα υποκείμενα των δεδομένων για το σκοπό επεξεργασίας των στοιχείων τους, από πού αντλούν τα στοιχεία τους, πού τα διαβιβάζουν (δηλαδή τους αποδέκτες, όπως είναι οι εταιρίες ενημέρωσης οφειλετών ή η ΤΕΙΡΕΣΙΑΣ Α.Ε.), και για τα δικαιώματα που τους παρέχει ο ν.2472/1997.[10] 4.2 Απόρρητο και ασφάλεια της επεξεργασίας 1. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι απόρρητη. Διεξάγεται αποκλειστικά και μόνο από πρόσωπα που τελούν υπό τον έλεγχο του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία και μόνον κατ 54

55 εντολή του. 2. Για τη διεξαγωγή της επεξεργασίας ο υπεύθυνος επεξεργασίας οφείλει να επιλέγει πρόσωπα με αντίστοιχα επαγγελματικά προσόντα που παρέχουν επαρκείς εγγυήσεις από πλευράς τεχνικών γνώσεων και προσωπικής ακεραιότητας για την τήρηση του απορρήτου. 3. Ο υπεύθυνος επεξεργασίας οφείλει να λαμβάνει τα κατάλληλα οργανωτικά και τεχνικά μέτρα για την ασφάλεια των δεδομένων και την προστασία τους από τυχαία ή αθέμιτη καταστροφή, τυχαία απώλεια, αλλοίωση, απαγορευμένη διάδοση ή πρόσβαση και κάθε άλλη μορφή αθέμιτης επεξεργασίας. Αυτά τα μέτρα πρέπει να εξασφαλίζουν επίπεδο ασφαλείας ανάλογο προς τους κινδύνους που συνεπάγεται η επεξεργασία και η φύση των δεδομένων που είναι αντικείμενο της επεξεργασίας. Με την επιφύλαξη άλλων διατάξεων, η Αρχή παρέχει οδηγίες ή εκδίδει κανονιστικές πράξεις σύμφωνα με το άρθρο 19 παρ. 1 ι' για τη ρύθμιση θεμάτων σχετικά με τον βαθμό ασφαλείας των δεδομένων και των υπολογιστικών και επικοινωνιακών υποδομών, τα μέτρα ασφάλειας που είναι αναγκαίο να λαμβάνονται για κάθε κατηγορία και επεξεργασία δεδομένων, καθώς και για τη χρήση τεχνολογιών ενίσχυσης της ιδιωτικότητας. 4. Αν η επεξεργασία διεξάγεται για λογαριασμό του υπεύθυνου από πρόσωπο μη εξαρτώμενο από αυτόν, η σχετική ανάθεση γίνεται υποχρεωτικά εγγράφως. Η ανάθεση προβλέπει υποχρεωτικά ότι ο ενεργών την επεξεργασία την διεξάγει μόνο κατ εντολή του υπεύθυνου και ότι οι λοιπές υποχρεώσεις του παρόντος άρθρου βαρύνουν αναλόγως και αυτόν.[11] 4.3 Έλεγχος συστημάτων πληροφορικής Μία αποτελεσματική ελεγκτική λειτουργία για τα Πληροφοριακά Συστήματα θα πρέπει να εστιάζεται στους κινδύνους που απορρέουν από την ανάπτυξη, ενσωμάτωση και λειτουργία τους, να εξετάζει την επάρκεια των ελεγκτικών μηχανισμών (controls) και διαδικασιών, και να προτείνει, όπου χρειάζεται, τις 55

56 κατάλληλες τροποποιήσεις. Επιπλέον, θα πρέπει να αξιολογεί το βαθμό συμμόρφωσης με την επιχειρησιακή στρατηγική και τις καταγεγραμμένες επιχειρησιακές πολιτικές, τα πρότυπα και τις διαδικασίες, και να παρακολουθεί το βαθμό συμμόρφωσης με τις διαπιστώσεις των πορισμάτων των ελέγχων. Τέλος θα πρέπει να υπάρχει ολοκληρωμένη εικόνα για την λειτουργία των Πληροφοριακών Συστημάτων ώστε να δίνεται η δυνατότητα επαρκούς ενημέρωσης σε τακτική βάση της Επιτροπής Ελέγχου. Για τους λόγους αυτούς, η υπηρεσιακή Μονάδα Εσωτερικής Επιθεώρησης θα πρέπει: 1. να διαθλετει την τεχνογνωσία, την ποιοτική και ποσοτική επάρκεια προσωπικού, μέσων και διαδικασιών για τη διενέργεια εξειδικευμένων ελέγχων στα Πληροφοριακά Συστήματα. Η τεχνογνωσία και η εκπαίδευση του προσωπικού θα πρέπει να είναι τέτοιες ώστε να καλύπτονται ελεγκτικά οι τρέχουσες και οι μελλοντικές μηχανογραφικές λειτουργίες του ΠΙ. 2. Να καταρτίζει και να υλοποιεί ελεγκτικό πρόγραμμα, το οποίο θα βασίζεται σε ανάλυση κινδύνων που έχει διενεργηθεί στα Πληροφοριακά Συστήματα αλλά και σε ευρήματα προγενέστερων ελέγχων. 3. Να ακολουθεί καταγεγραμμένες διαδικασίες σχεδιασμού, οργάνωσης και διενέργειας των ελέγχων, συγγραφής των πορισμάτων καθώς και διαδικασίες επανελέγχου (follow-up). Οι διαδικασίες αυτές, τα κάθε είδους ερωτηματολόγια που χρησιμοποιούνται στους εξειδικευμένους ελέγχους, καθώς και χρησιμοποιούμενη μεθοδολογία ανάλυσης μηχανογραφικών κινδύνων, θα πρέπει να αποτελούν επίσημη τεκμηρίωση της λειτουργίας του ελέγχου των Πληροφοριακών Συστημάτων. 4. Να παρακολουθεί τα θέματα που αφορούν στα Πληροφοριακά Συστήματα του ΠΙ, ώστε να διαμορφώνει εικόνα για τους κινδύνους που υπάρχουν ή ενδέχεται να ανακύψουν. Για τη διαμόρφωση όσο το 56

57 δυνατόν πληρέστερης εικόνας, συνίσταται η παρακολούθηση της λειτουργίας των Πληροφοριακών Συστημάτων μέσω ειδικών προσβάσεων, η συμμετοχή στις διάφορες επιτροπές έργων και η ύπατξη διαδικασιών και μηχανισμών άμεσης ενημέρωσης της Μονάδας Εσωτερικής Επιθεώρησης στις περιπτώσεις εμφάνισης σημαντικών προβλημάτων και εκτάκτων περιστατικών. 5. Να κάνει χρήση ανάλογα με την περίπτωση ειδικού ελεγκτικού λογισμικού για τον αποτελεσματικότερο έλεγχο της ασφάλειας των συστημάτων και της ακεραιότηταε των δεδομένων τους. 6. Να συμμετέχει στη φάση σχεδιασμού των συστημάτων για την διαμόρφωση των κατάλληλων δικλείδων ασφαλείας, των ελεγκτικών αρχείων καταγραφής και αναφορών που παράγονται για τη διευκόλυνση του ελέγχου, καθώς και στη φάση των δοκιμών. 7. Να ελέγχει και να αξιολογεί τις διαδικασίες παραγωγής των στοιχείων που υπαβόλλανται στη διοίκηση του ΠΙ και τις Εποπτικές Αρχές, ώστε να διασφαλίζεται η πληρότητα και ακρίβειά τους. 8. Να μεριμνά για την άμεση και πλήρη ενημέρωση, στις περιπτώσεις σοβαρών προβλημάτων και έκτακτων περιστατικών στα Πληροφοριακά Συστήματα (περιπτώσεις απάτης, παραβίασης της ασφάλειας σημαντικών συστημάτων, μη διαθεσιμότητας κρίσιμων συστημάτων, ενεργοποίησης Σχεδίων Ανάκαμψης από Καταστροφή), της αρμόδιας υπηρεσιακής μονάδας της Διεύθυνσης Εποπτείας Πιστωτικού Συστήματος της Τράπεζας της Ελλάδος, σύμφωνα με τις ισχύουσες διατάξεις. 9. Να ελέγχει και να αξιολογεί την επάρκεια και συμμόρφωση με τις διαδικασίες που διέπουν τις φάσεις συνεργασίας του ΠΙ(επιλογή συνεργάτη, σύναψη και τήρηση συμβολαίου, ποιότητα παρεχόμενων υπηρεσιών) με προμηθευτές και παρόχους μηχανογραφικών υπηρεσιών βάσει των προαναφερθέντων στην ενότητα Α3. 57

58 10. Να επιβλέπει το ελεγκτικό έργο στα συστήματα πληροφορικής σε επίπεδο ομίλου. Για το σκοπό αυτό οφείλει να διατηρεί διαύλους επικοινωνίας με στόχο την αποτελεσματική συνεργασία με τις διοικήσεις και τον εσωτερικό έλεγχο των θυγατρικών και του δικτύου καταστημάτων εξωτερικού. Να αξιολογεί την επάρκεια του ελεγκτικού έργου μέσω περιοδικών αναφορών ή και συμμετοχής του στις Επιτροπές Ελέγχου των θυγατρικών, ειδικά σε αυτές που το μέγεθος και η πολυπλοκότητα των συστημάτων το καθιστούν αναγκαίο. Να αξιολογεί την επάρκεια των διενεργούμενων εξειδικευμένων ελέγχων από εσωτερικούς και εξωτερικούς ελεγκτές. Να προβαίνει σε γενικούς ή ειδικούς ελέγχους ανά περίπτωση, για την κάλυψη των ελεγκτικών αναγκών που είτε δεν καλύπτονται επαρκώς από τον εσωτερικό έλεγχο των εν λόγω μονάδων, είτε κρίνονται απαραίτητοι από τη σχετική ανάλυση κινδύνων. 11. Να μελετά, αξιολογεί και εφαρμόζει, όπου κρίνει πρόσφορο, τα διεθνή πρότυπα και μεθοδολογίες ελέγχου Πληροφοριακών Συστημάτων. Σε ό,τι αφορά στους ελέγχους που ανατίθενται σε εξωτερικούς ελεγκτές, το ΠΙ θα πρέπει να διαθέτει πολιτική για το εύρος και το ρόλο του εξωτερικού ελέγχου στα Πληροφοριακά Συστήματα, καθώς και διαδιακασίες αξιολόγησης των προσφερομένων υπηρεσιών. Η πολιτική θα πρέπει να τεκμηριώνει τις περιπτώσεις που ο εξωτερικός έλγχος δρα, είτε παράλληλα με τον εσωτερικό προσφέροντας μια επιπλέον εξειδικευμένη άποψη, είτε συμπληρωματικά προκειμένου να καλύψει εξειδικευμένες ελεγκτικές απαιτήσεις όπου δεν υπάρχει η δυνατότητα να καλυφθούν εσωτερικά, ή και με τους δύο τρόπους.[12] 4.4 Εντοπισμός και διαχείριση των κινδύνων Τα ποιοτικά και ποσοτικά κριτήρια με τα οποία θα εντοπίζονται οι κατηγορίες υπαλλήλων τραπεζών, των οποίων οι επαγγελματικές δραστηριότητες έχουν ουσιώδη αντίκτυπο στο προφίλ κινδύνου ενός ιδρύματος, εναρμονίζει ο νέος 58

59 κανονισμός που ενέκρινε η Κομισιόν με τη σύμφωνη γνώμη του Συμβουλίου ECOFIN. Ο νέος κανονισμός που θα τεθεί άμεσα σε ισχύ εντάσσεται στο πλαίσιο της οδηγίας 2013/36/Ε.Ε., που απαιτεί από τα ιδρύματα να θεσπίσουν άρτιο πλαίσιο διακυβέρνησης και αποτελεσματικές διαδικασίες εντοπισμού, διαχείρισης, παρακολούθησης και αναφοράς των κινδύνων τους οποίους αναλαμβάνουν ή ενδέχεται να αναλάβουν. Σύμφωνα με την Κομισιόν ο κανονισμός θα παράσχει τη δυνατότητα στα ιδρύματα να ορίσουν κατάλληλα κίνητρα στο πλαίσιο της πολιτικ ς αποδοχών ώστε να εξασφαλίσουν τη συνετή συμπεριφορά των υπαλλήλων και θα διασφαλίσει ότι ο εντοπισμός των υπαλλήλων εκείνων οι επαγγελματικές δραστηριότητες των οποίων έχουν ουσιώδη αντίκτυπο στο προφίλ κινδύνου του ιδρύματος, αντικατοπτρίζει το επίπεδο κινδύνου των διαφόρων δραστηριοτήτων που ασκούνται εντός του ιδρύματος. Τα ρυθμιστικά τεχνικά πρότυπα αναφορικά με τα ποιοτικά και κατάλληλα ποσοτικά κριτήρια εντοπισμού των κατηγοριών υπαλλήλων, οι επαγγελαμτικές δραστηριότητες των οποίων έχουν ουσιώδη αντίκτυπο στο προφίλ κινδύνου ενός ιδρύματος, θα εφαρμόζονται σε επίπεδο ομίλου μητρικής εταιρείας και θυγατρικών, συμπεριλαμβανομένων των ιδρυμάτων που εδρεύουν σε υπεράκτια οικονομικά κέντρα. Ο κανονισμός προβλέπει ότι θεωρείται ότι έχουν ουσιώδη αντίκτυπο στο προφίλ κινδύνου ενός ιδρύματος οι υπάλληλοι που πληρούν οποιαδήποτε από τα ακόλουθα ποιοτικά κριτήρια : 1. Ο υπάλληλος είναι μέλος του διοικητικού οργάνου υπό τη διοικητική του αρμοδιότητα. 2. Ο υπάλληλος είναι μέλος του διοικητικού οργάνου υπό την εποπτική του αρμοδιότητα. 3. Ο υπάλληλος είναι ανώτατο διοικητικό στέλεχος. 59

60 4. Ο υπάλληλος φέρει ευθύνη και λογοδοτεί στο διοικητικό όργανο για τις δραστηριότητές του ανεξαρτήτου τμήματος διαχέιρισης κινδύνου, του τμήματος κανονιστικής συμμόρφωσης ή του τμήματος εσωτερικού ελέγχου. 5. Ο υπάλληλος φέρει συνολική ευθύνη για τη διαχείριση κινδύνου εντός μιας επιχειρηματικής μονάδας, στην οποία κατανεμήθηκε εσωτερικό κεφάλαιο σύμφωνα που αντιστοιχεί σε ποσοστό τουλάχιστον 2% του εσωτερικού κεφαλαίου του ιδρύματος. 6. Ο υπάλληλος διαθέτει διοικητικές αρμοδιότητες σε σημαντική επιχειρηματική μονάδα και αναφέρεται απευθείας στον υπάλληλο που είναι επικεφαλής αυτής της μονάδας. 7. Ο υπάλληλος είναι επικεφαλής τμήματος αρμόδιου για νομικές υποθέσεις, θέματα οικονομικού χαρακτήρα, συμπεριλαμβανομένης της φορολογίας και της κατάρτισης του προϋπολογισμού, τους ανθρώπινους πόρους, την πολιτική αποδοχών, την τεχνολογία των πληροφοριών ή τη διενέργεια οικονομικών αναλύσεων. 8. Ο υπάλληλος είναι αρμόδιος ή αποτελεί μέλος επιτροπής που είναι αρμόδια για τη διαχείριση κατηγορίας κινδύνου πέραν του πιστωτικού κινδύνου και του κινδύνου αγοράς. [13] 60

61 ΚΕΦΑΛΑΙΟ 5 ο Οργάνωση και Διοίκηση Πληροφορικής Στο παρόν κεφάλαιο γίνεται αναφορά στην Διακυβέρνηση της Πληροφορικής, στην οργάνωση της Υπηρεσιακής Μονάδας της Πληροφορικής και στις σχέσεις με τους Εξωτερικούς Συνεργάτες.[14] Θεσμοθετείται Σύστημα Διαχείρισης Ασφαλείας Πληροφοριακών Αγαθών (Information Security Management System ISMS) Εικόνα 9. Σύστημα Διαχείρισης Ασφάλειας Πληροφοριακών Αγαθών 5.1 Διακυβέρνηση Πληροφορικής Η Διακυβέρνηση της Πληροφορικής(Information Technology Governance) είναι ευθύνη της Διοίκησης του ΠΙ. Περιλαμβάνει το σύνολο των κατάλληλων επιχειρησιακών δομών και διαδικασιών μέσω των οποίων διασφαλίζεται ότι η Πληροφορική υποστηρίζει τη στρατηγική και τους στόχους του ΠΙ, διαχειρίζεται αποτελεσματικά τους πόρους που της διατίθενται, αξιολογεί και διαχειρίζεται αποτελεσματικά τους κινδύνους που απορρέουν από την λειτουργία των Πληροφοριακών Συστημάτων, εφαρμόζει πιστά την Πολιτική Ασφάλειας, είναι σε θέση να μετρήσει την αποτελεσματικότητα και αποδοτικότητά της και τέλος 61

62 υλοποιεί ένα σύνολο μηχανισμών ελέγχου στα πλαίσια ενός γενικότερου ελεγκτικού πλαισίου. Για την επίτευξη των προαναφερθέντων το ΠΙ θα πρέπει: 1. να διαθέτει καταγεγραμμένη και εγκεκριμένη στρατηγική για την Πληροφορική, συμβατή με τη γενικότερη επιχειρησιακή στρατηγική του. Η στρατηγική της Πληροφορικής οφείλει, αφενός μεν να υλοποιεί τους επιχειρησιακούς στόχους που έχουν τεθεί από την Διοίκηση του ΠΙ, αφετέρου δε να διαμορφώνει έγκαιρα την απαραίτητη τεχνολογική υποδομή για τις μελλοντικές ανάγκες του οργανισμού. Το ΠΙ πρέπει να διαθέτει τα κατάλληλα υπηρεσιακά όργανα και διαδικασίες για τη χάραξη της στρατηγικής της Πληροφορικής, την τήρηση και την περιοδική ενημέρωσή της, ώστε να εναρμονίζεται διαρκώς με τους εκάστοτε επιχειρησιακούς στόχους και το εκάστοτε ισχύον θεσμικό πλαίσιο. Η εγκεκριμένη στρατηγική της Πληροφορικής πρέπει να περιλαμβάνει τόσο βραχυπρόθεσμα (ετήσια) όσο και μέσο-μακροπρόθεσμα (τριετή) σχέδια. 2. να διαθέτει Ειδική Συντονιστική Επιτροπή για την Πληροφορική (Ι.Τ Steering Committee). Επικεφαλής της επιτροπής συνίσταται να είναι μέλος της Διοίκησης με γνώση των θεμάτων πληροφορικής και μέλη διευθυντικά στελέχη του οργανισμού. Ο ρόλος, τα καθήκοντα και η ελάχιστη σύνθεση της Επιτροπής θα πρέπει να ορίζονται σε επίσημο κανονισμό. Στα καθήκοντα της Επιτροπής, μεταξύ άλλων, περιλαμβάνονται: η αξιολόγηση των βραχυπρόθεσμων και μέσο-μακροπρόθεσμων σχεδίων της Πληροφορικής στα πλαίσια της επιχειρησιακής στρατηγικής, η αξιολόγηση της Ανάλυσης & Διαχείρισης των Κινδύνων που σχετίζονται με τα Πληροφοριακά Συστήματα, η αξιολόγηση και έγκριση μεγάλων προμηθειών υλικού και λογισμικού, η εποπτεία των μεγάλων έργων και του προϋπολογισμού της Πληροφορικής, ο καθορισμός προτεραιοτήτων, 62

63 η αξιολόγηση πολιτικών, προτύπων και διαδικασιών, η έγκριση και εποπτεία συνεργασιών με τρίτους (π.χ. θέματα outsourcing) Η Επιτροπή, τέλος, θα πρέπει να λαμβάνει γνώση των πορισμάτων των ελέγχων που διενεργούνται στα Πληροφοριακά Συστήματα. 3. να αξιολογεί, κατηγοριοποιεί και διαχειρίζεται τους κινδύνους που απορρέουν από την ανάπτυξη και λειτουργία των Πληροφοριακών Συστημάτων. Οι κίνδυνοι αυτοί θα πρέπει να συνεκτιμούνται με τους υπόλοιπους κινδύνους στους οποίους ειναι εκτεθειμένο το ΠΙ. 4. Να διαθέτει καταγεγραμμένη και εγκεκριμένη από την Διοίκηση Πολιτική Ασφάλειας για τα Πληροφοριακά Συστήματα με τη μορφή αρχών δεσμέυσεων, οι οποίες θα προδιαγράφουν τις κατευθύνσεις και τους στόχους του οργανισμού για την αποτελεσματική διαχείριση, προστασία και κατανομή των πληροφοριακών του πόρων. Η Πολιτική Ασφάλειας οφείλει: i. να παραπέμπει σε συγκεκριμένα πρότυπα και διαδικασίες δεσμεύοντας έτσι τις υπηρεσιακές μονάδες στη υλοποίηση και το προσωπικό στην τήρησή τους. ii. iii. να προσφέρει ένα κανονιστικό πλαίσιο βάσει ου οποίου διενεργούνται οι έλεγχοι και να προσαρμόζεται και ενημερώνεται βάσει θεσμοθετημένων διαδικασιών. Τοπεριεχόμενο της Πολιτικής Ασφάλειας θα πρέπει να κοινοποιείται στο προσωπικό του ΠΙ και να υπάρχει από αυτο η έγγραφη αποδοχή του. Η ύπαρξη της Πολιτικής Ασφάλειας, οι στόχοι της,η σύνοψή της, και το περιεχόμενο συγκεκριμένων τμημάτων της αν αυτό απαιτείται -, μπορεί να γνωστοποιείται στο κοινό, έτσι ώστε να προάγεται το αίσθημα εμπιστοσύνης των πελατών απέναντι στο ΠΙ. 5. να διαθέτει, πέραν της Πολιτικής Ασφάλειας, την κατάλληλη διοικητική δομή που θα εγγυάται την ασφάλεια των επιχειρεσιακών πληροφοριών. Στο πλαίσιο αυτής της δομής θα πρέπει τουλάχιστον να προβλέπεται η θέση 63

64 Υπεύθυνου Ασφάλειας ΠΣ, η αμεροληψία και η ανεξαρτησία του οποίου θα πρέπει να διασφαλίζονται μέσω της απευθείας αναφοράς του σε υψηλά κλιμάκια της ιεραρχίας. 6. να μεριμνά ώστε οι υπάρχουσες πολιτικές, πρότυπα, διαδικασίες και μεθοδολογίες να είναι επίσημα καταγεγγραμένες και εγκεκριμένες από τα αρμόδια υπηρεσιακά όργανα. 7. να διαθέτει πρότυπα και μεθοδολογίες για το σχεδιασμό και την ανάπτυξη των Πληροφοριακών Συστημάτων, καθώς και διαδικασίες για την καθημερινή τους λειτουργία και υποστήριξη. 8. να διαθέτει πρότυπα και διαδικασίες για την διαχείριση των έργων πληροφορικής. Στην πρόταση για την υλοποίηση κάθε μεγάλου έργου πληροφορικής πρέπει να προσδιορίζεται ο επιχειρησιακός στόχος, καθώς και τα ποιοτικά και ποσοτικά οφέλη που θα αποφέρει η υλοποίησή του. Η αποτελεσματική έκβαση ενός έργου διασφαλίζεται με την ύπαρξη και τήρηση κατάλληλων μεθοδολογιών και πρακτικών που ακολουθούνται σε όλο τον κύκλο ζωής του. Σε αυτές περιλαμβάνονται, η μεθοδολογία και τα εργαλέια παρακολούθησης του έργου, ο συντονισμός των απαιτούμενων ενεργειών και πόρων, η τήρηση χρονοδιαγραμμάτων, η παρακολούθηση του κόστους, η συμμετοχή των στελεχών τόσο της Πληροφορικής, όσο και των άλλων επιχειρησιακών μονάδων στις διάφορες φάσεις υλοποίησης, η μεθοδολογία διαχείρισης αλλαγών, η εκπαίδευση του προσωπικού. Τέλος, η διασφάλιση της ποιότητας πρέπει να αποτελεί ανεξάρτητη διαδικασία στην οργάνωση και διαχείριση ενός έργου πληροφορικής. 9. να εγγυάται την ποιότητα των παρεχόμενων υπηρεσιών πληροφορικής, μέσω της ύπαρξης διαδικασιών διασφάλισης ποιότητας και εναρμόνισης με τα πρότυπα ποιότητας που έχει θέσει το ΠΙ. Η ποιότητα πρέπει να διασφαλίζεται σε όλα τα στάδια του κύκλου ζωής των συστημάτων και να καλύπτει τα παραδοτέα, την τεκμηρίωση, την εκπαίδευση, τις προδιαγραφές, τις διαδικασίες και τα σχέδια υλοποίησης ενός έργου. 10. να διαθέτει τις κατάλληλες διαδικασίες για τον έγκαιρο εντοπισμό και την αποτελεσματική αντιμετώπιση των προβλημάτων που προκύπτουν στα Πληροφοριακά Συστήματα. 64

65 11. να διαθέτει διαδικασίες καταγραφής και κατηγοριοποίησης των γεγονότων που δημιουργούν λειτουργικό κίνδυνο, συμπεριλαμβανομένων των ζημιών (detailed event type logging and classification) που προέρχονται από τα προβλήματα στα Πληροφοριακά Συστήματα (π.χ. μη εξουσιοδοτημένη δραστηριότητα, κλοπή μηχανογραφικού εξοπλισμού, απάτη, παραβίαση ασφαλείας, μη διαθεσιμότητα συστημάτων, καταστροφή μηχανογραφικού εξοπλισμού, κακόβουλη χρήση, κ.α)και ενημέρωση των αρμόδιων υπηρεσιακών μονάδων (Διαχείρισης Κινδυνών και Εσωτερικής Επιθεώρησης), για την αποτελσματικότερη καταγραφή και αντιμετώπιση του λειτουργικού κινδύνου. Η αποτελεσματικότερη καταγραφή θα πρέπει να είναι συστηματική με στόχο την δημιουργία ιστορικότητας και λεπτομερής έτσι ώστε να περιγράφει με σαφήνεια το γεγονός. Οι σχετικές πληροφορίες θα πρέπει να καταγράφονται ηλεκτρονικά και να δομούνται με τέτοιο τρόπο ώστε να διευκολύνεται η αυτόματη παραγωγή αναφορών αλλά και η άμεση ενημέρωση των εμπλεκόμενων υπηρεσιακών μονάδων. 12. να διαθέτει Σύστημα Διοικητικής Πληροφόρησης(M.I.S. Management Information System), κατάλληλο για την αποτελεσματική πληροφόρηση της Διοίκησης του ΠΙ. Ένα τέτοιο σύστημα θα πρέπει να χαρακτηρίζεται από την ομοιόμορφη και βλαση καταγεγγραμένων διαδικασιών συλλογή και επεξεργασία, την έγκαιρη διάθεση, την ακρίβεια, την αξιοποστία και την πληρότητα των πληροφοριών. Η συλλογή και επεξεργασία των απαραίτητων πληροφοριών θα πρέπει να γίνεται όσο το δυνατόν πιο αυτοματοποιημένα. 13. να γνωρίζει και να συημμορφώνεται με το νομικό, εποπτικό και κανονιστικό πλαίσιο σε ότι αφορά θέματα πληροφορικής. 14. να μελετά, να αξιολογεί και να εφαρμόζει, όπου κρίνεται απαραίτητο, τα διεθνή πρότυπα και μεθοδολογίες διαχείρισης και ασφάλειας των Πληροφοριακών Συστημάτων, καθώς επίσης να παρακολουθεί και να λαμβάνει υπόψη τις διεθνείς εξελίξεις στους συγκεκριμένους τομείς. 65

66 5.2 Οργάνωση Υπηρεσιακής Μονάδας Πληροφορικής Το Πιστωτικό Ίδρυμα θα πρέπει να διαθέτει εξειδικευμένη Υπηρεσιακή Μονάδα Πληροφορικής, λειτουργικά και διοικητικά ανεξάρτητη από τους τελικούς χρήστες των υπηρεσιών πληροφορικής, η οποία θα πρέπει: 1. να διαθέτει οργανόγραμμα στο οποίο: απεικονίζονται οι επιχειρησιακές και οργανωτικές ανάγκες της μονάδας και περιγράφονται με σαφήνεια οι αρμοδιότητες των επί μέρους υπηρεσιακών μονάδων που το αποτελούν. απεικονίζεται ο διαχωρισμός των καθηκόντων προκειμένου να αποκλείεται η ύπαρξη ασυμβίβαστων ρόλων, παρέχεται η δυνατότητα καταλογισμού των ευθυνών και αξιοποιούνται με τον καταλληλότερο τρόπο οι δυνατότητες του προσωπικού. Ειδικότερα, θα πρέπει να διασφαλίζεται ότι διαχωρίζονται πλήρως οι λειτουργίες που σχετίζονται με το σχεδιασμό και την ανάπτυξη των συστημάτων από τις λειτουργίες που αφορούν στην καθημερινή λειτουργία τους. προβλέπεται, ανάλογα με το μέγεθος του ΠΙ και την πολυπλοκότητα των συστημάτων, υπηρεσιακή Μονάδα Ασφάλειας των ΠΣ. Η συγκεκριμένη υπηρεσιακή μονάδα, μαζί με τον Υπεύθυνο Ασφάλειας των ΠΣ, πρέπει να διαμορφώνουν ολοκληρωμένη εικόνα για το επίπεδο ασφάλειας των συστημάτων και τους κινδύνους που απορρέουν από την ανάπτυξη, ενσωμάτωση και λειτουργία τους. Στις αρμοδιότητες που περιλαμβάνονται, μεταξύ άλλων, η συμμετοχή στην αξιολόγηση και διαχείριση των κινδύνων των ΠΣ,η σύνταξη και ενημέρωση της πολιτικής ασφάλειας, η συμμετοχή στην διαδικασία εύρεσης λύσεων για την κάλυψη κενών ασφαλείας και την αντιμετώπιση έκτακτων περιστατικών κ.α. εξασφαλίζεται η αναπλήρωση του προσωπικού τοθλάχιστον στις κρίσιμες μηχανογραφικές λειτουργίες. 66

67 2. να διαθέτει καταγεγγραμένες και επίσημα εγκεκριμένες περιγραφές θέσεων εργασίας στις οποίες θα περιλαμβάνονται οι αρμοδιότητες, οι υπευθυνότητες και οι δεξιότητες που απαιτούνται για κάθε θέση. 5.3 Σχέσεις με Εξωτερικούς Συνεργάτες Εικόνα 10. Σχέσεις με εξωτερικούς συνεργάτες Όταν το ΠΙ συνεργάζεται με εξωτερικούς συνεργάτες σε θέματα πληροφορικής(πάροχοι Υπηρεσιών Πληροφορικής Π.Υ.Π, προμηθευτές, κλπ) κατά τα προβλεπόμενα στο πλαίσιο της ανάθεσης δραστηριοτήτων σε τρίτους (outsourcing), θα πρέπει να λαμβάνονται υπόψη ειδικότερα τα εξής: 1. η χρήση εξωτερικών συνεργατών, ενώ μπορεί βα επιλύει σημαντικά προβλήματα, δημιουργεί πεδίο πρόσθετων κινδύνων για το ΠΙ, οι οποίοι πρέπει να εντοπισθούν, εκτιμηθούν και αντιμετωπισθούν αποτελεσματικά. Στους κινδύνους αυτούς περιλαμβάνονται: η έλλειψη ουσιαστικού ελέγχου στις προσφερόμενες υπηρεσίες, η εξάρτηση από τρίτους, η απώλεια εσωτερικής τεχνογνωσίας, η ενδεχόμενη αδυναμία άμεσης προσαρμογής σστις απαιτήσεις των πελατών και του οικονομικού περιβάλλοντος, η αδιαφανής κοστολόγηση των προσφερόμενων υπηρεσιών, 67

68 η διαφορά νοοτροπίας μεταξύ ΠΙ και παρόχου, κλπ. 2. σε περίπτωση που αποφασίσει να αναθέσει μέρος των εργασιών ή και το σύνολο των υπηρεσιών πληροφορικής σε εξωτερικούς συνεργάτες, πρέπει να τηρούνται οι αρχές του Παραρτήματος 1 της παρούσας Πράξης για: την αξιολόγηση των κινδύνων που απορρέουν από μια πιθανή συνεργασία, τον τρόπο επιλογής των εξωτερικών συνεργατών, την επάρκεια προς υπογραφή συμβολαίων, την εποπετεία και τον έλεγχο της επαρκούς και ασφαλούς λειτουργίας των συστημάτων. 3. η ανάθεση υλοποίησης σημαντικών για το ΠΙ συστημάτων σε τρίτους, θα πρέπει να αιτιολογείται από την Ειδική Συντονιστική Επιτροπή Πληροφορικής εγγράφως προς τη Διοίκηση, η οποία και παρέχει την τελική έγκρισή της. 4. κατά το στάδιο της επιλογής του εξωτερικού συνεργάτη, πέραν της αξιολόγησης των προσφερομένων υπηρεσιών θα πρέπει να αξιολογούνται, με βάση το μέγεθος και την κρισιμότητα της συνεργασίας: η οικονομική κατάσταση και η μακροπρόθεσμη βιωσιμότητά του, η επίδραση του προς υπογραφή συμβολαίου στον κύκλο εργασιών του, η φήμη του στην αγορά, το πελατολόγιο και ο βαθμός ικανοποίησης των πελατών του, η οργανωτική του δομή (για την παροχή και αποτελεσματική υποστήριξη των υπηρεσιών), η αριθμητική και ποιοτική επάρκεια του στελεχικού δυναμικού, η ασφαλιστική του κάλυψη, κλπ. Στις περιπτώσεις που ο εξωτερικός συνεργάτης κάνει χρήση συνεργιών για την υλοποίηση των έργων θα πρέπει να να αξιολογηθούν ανάλογα και οι συνεργίες αυτές. 5. από τεχνικής άποψης θα πρέπει να αξιολογούνται: 68

69 η ποιότητα και επάρκεια της υπάρχουσας Πολιτικής Ασφάλειας του παρόχου, η αξιοπιστία των συστημάτων, η καταλληλότητα της τεχνολογίας πυ χρησιμοποιείται, η πληρότητα των διαδικασιών υποστήριξης των παρεχόμενων υπηρεσιών, τα σχέδια συνέχειας εργασιών και ανάκαμψης από καταστροφή παρόχου. Πορίσματα εσωτερικών και εξωτερικών ελεγκτών για τον εξωτερικό συνεργάτη εάν είναι διαθέσιμα αποτελούν πολύτιμες πηγές πληροφόρησης για τη διαμόρφωση πληρέστερης εικόνας. 6. Στο προς υπογραφή συμβόλαιο θα πρέπει μεταξύ άλλων να περιγράφονται αναλυτικά και με σαφήνεια: τα δικαιώματα και οι υποχρεώσεις των συμβαλλομένων μερών, το συμφωνηθέν επίπεδο παροχής υπηρεσιών (Service Level Agreement SLA) και ο τρόπος τιμολόγησής τους, η δυνατότητα επαναδιαπραγμάτευσης του συμβολαίου, τα θέματα ιδιοκτησίας(ownership), αδειοδότησης (licensing) και πνευματικών δικαιωμάτων, οι περιπτώσεις υπεργολαβίας(sub-contracting), οι διαδικασίες επίλυσης διαφορών, οι διαδικασίες τερματισμού του συμβολαίου (π.χ. οι διαδικασίες παράδοσης του πηγιαίου κώδικα και των δεδομένων τους Escrow Agreement). Ειδική αναφορά θα πρέπει να γινεται: στην ασφάλεια (εμπιστευτικότητα, ακεραιότητα, διαθεσιμότητα και δυνατότητα ανίχνευσης) των πληροφοριών, στην πιστοποίηση των συναλλασσομένων μερών και στη μη αποποίηση των συναλλαγών, 69

70 στην ασφάλεια των διασυνδέσεων μεταξύ του ΠΙ και του εξωτερικού συνεργάτη, στις ποινικές ρήτρες για τις περιπτώσεις παραβίασης των συμφωνηθέντων, στη δυνατότητα διενέργειας ελέγχων εκ μέρους του ΠΙ(Right to Audit), στη δυνατότητα διενέργειας ελέγχων από τρίτους για λογαριασμό του ΠΙ, στο είδος και τη συχνότητα των αναφορών ή αρχείων που θα ανταλλάσουν τα δύο μέρη, στα σχέδια συνέχειας εργασιών και ανάκαμψης από καταστροφή του εξωτερικού συνεργάτη. [xvi] 70

71 ΚΕΦΑΛΑΙΟ 6 ο Ανάπτυξη και Προμήθεια Συστημάτων Στο παρόν κεφάλαιο γίνεται αναφορά στις μεθοδολογίες, τα πρότυπα και τις διαδικασίες ανάπτυξης και προμήθειας Πληροφοριακών Συστημάτων. Εικόνα 11. Ανάπτυξη Συστημάτων O κύκλος ζωής ενός συστήματος πρέπει να χαρακτηρίζεται από διακριτές φάσεις, οι οποίες θα υλοποιούν πρότυπα, μεθοδολογίες και διαδικασίες επίσημα καταγεγραμμένες και εγκεκριμένες. Τέτοιες φάσεις, συνήθως, είναι η φάση της Μελέτης Σκοπιμότητας, της Ανάλυσης των Επιχειρησιακών Απαιτήσεων και του Καθορισμού των Προδιαγραφών, της Τεχνικής Ανάλυσης και του Σχεδιασμού, της Ανάπτυξης, των Δοκιμών, της Αποδοχής και της Μεταφοράς στην Παραγωγή, της Λειτουργίας και Υποστήριξης και τέλος της Απόσυρσης. Η μετάβαση από τη μία φάση στην άλλη προϋποθέτει την ανασκόπηση και έγκριση των αποτελεσμάτων της προηγούμενης. Η εποπτεία του έργου της ανάπτυξης κάθε σημαντικού συστήματος πρέπει να αντιτίθεται στη Συντονιστική Επιτροπή της Πληροφορικής (ΙΤ Steering Committee). Με την ολοκλήρωση της ανάπτυξης του συστήματος, η επιχειρησιακή και τεχνική του εποπτεία θα πρέπει να ανατίθεται στις αρμόδιες υπηρεσιακές μονάδες ή στελέχη. 71

72 Πριν την ανάπτυξη ή προμήθεια ενός σημαντικού συστήματος πρέπει να γίνεται Μελέτη Σκοπιμότητας. Στη φάση αυτή θα πρέπει, μεταξύ άλλων, να ορίζονται οι λειτουργίες που θα καλύπτονται από το νέο σύστημα, να εκτιμάται η σχέση κόστους-οφέλους (μείωση στα τρέχοντα κόστη, αύξηση απόδοσης, βελτίωση της εικόνας του ΠΙ) που θα επιφέρει το νέο σύστημα και να εξετάζεται η δυνατότητα υλοποίησης του συστήματος τόσο από την πλευρά του ανθρώπινου δυναμικού όσο και από αυτή του μηχανογραφικού εξοπλισμού-λογισμικού. Τέλος θα πρέπει να εκτιμάται τι κόστος ανάπτυξης, λειτουργίας και υποστήριξης του συστήματος και να συγκρίνεται το κόστος εσωτερικής ανάπτυξης με αυτό της προμήθειας ή της ανάθεσης σε τρίτους. 6.1 Ανάπτυξη Συστημάτων Στις περιπτώσεις που το ΠΙ επιλέγει την εσωτερική ανάπτυξη ενός Πληροφοριακού Συστήματος θα πρέπει: 1. πριν την έναρξη της ανάπτυξης, να ορισθεί Ομάδα Έργου που θα αναλάβει την διαχείριση του έργου και την κατάρτιση ενός χρονοδιαγράμματος υλοποίησης. Η Ομάδα Έργου ανάλογα με την κρισιμότητα και το μέγεθος του συστήματος θα πρέπει να απαρτίζεται από τον επικεφαλής της, τον υπεύθυνο για την ασφάλεια του συστήματος, αναλυτές-προγραμματιστές και εκπροσώπους χρηστών ή άλλων εμπλεκόμενων μερών. 2. Το χρονοδιάγραμμα υλοποίησης να προσδιορίζει, μεταξύ άλλων, τις φάσεις, τη διάρκεια τους και τους υπεύθυνους για την υλοποίηση της κάθε φάσης, καθώς και τα παραδοτέα. Επιπλέον, στο χρονοδιάγραμμα θα πρέπει να προβλέπεται ο ακριβής χρόνος παράδοσης μηχανογραφικού εξοπλισμού και άλλων υπηρεσιών από προμηθευτές εφόσον επηρεάζει τον χρονοπρογραμματισμό του έργου. 3. να ορίζεται ένα σχέδιο επικοινωνίας, στο οποίο θα καθορίζονται οι διαδικασίες ενημέρωσης των εμπλεκομένων μερών για την πρόοδο του έργου, επικοινωνίας των θεμάτων προς επίλυση προς τα ανώτερα στελέχη, 72

73 επικοινωνίας του Πιστωτικού Ιδρύματος με προμηθευτές και κοινοποίησης των αλλαγών που θα επιφέρει το νέο σύστημα στον οργανισμό. 4. να λαμβάνονται υπόψη θέματα αποδοχής και αποτελεσματικής λειτουργίας του νέου πληροφοριακού συστήματος από το προσωπικό του Πιστωτικού Ιδρύματος και να υιοθετείται σχέδιο διαχείρισης των λειτουργικών αλλαγών ώστε να αντιμετωπιστούν φαινόμενα μη αποτελεσματικής εξυπηρέτησης των πελατών λόγω έλλειψης εξοικείωσης με το νέο πληροφοριακό σύστημα. 5. οι πληροφορίες που συλλέγονται κατά τη διάρκεια της φάσης της Ανάλυσης των Επιχειρησιακών Απαιτήσεων και του Καθορισμού των Προδιαγραφών να αφορούν τα προβλήματα, τις απαιτήσεις και τις ανάγκες βελτίωσης που έχουν εντοπίσει οι χρήστες σχετικά με το σύστημα. Οι απαιτήσεις θα πρέπει να καθορίζουν το τι πρέπει να κάνει το σύστημα και όχι το πως, ενώ οι προδιαγραφές θα πρέπει να προσδιορίζουν σε γενικές γραμμές το πως θα μπορέσουν να υλοποιηθούν οι απαιτήσεις των χρηστών. Κατά τη φάση του καθορισμού των προδιαγραφών του νέου συστήματος θα πρέπει να εξεταστεί κατα πόσο αυτό θα πρέπει να συνεργάζεται και σε ποιο επίπεδο με τα υπάρχοντα συστήματα του ΠΙ. 6. να γίνεται εκτίμηση του όγκου των δεδομένων και του αριθμού των συναλλαγών που θα διαχειρίζεται το νέο σύστημα, λαμβάνοντας υπόψη τις τρέχουσες αλλά και τις μελλοντικές ανάγκες έτσι ώστε να προσδιοριστούν με μεγαλύτερη ακρίβεια οι προδιαγραφές του μηχανογραφικού εξοπλισμού του συστήματος. 7. να γίνει λεπτομερής σχεδιασμός για τη διαχείριση των δεδομένων του προϋπάρχοντος μηχανογραφικού ή μη συστήματος και να περιλαμβάνει θέματα εκκαθάρισης παλαιών δεδομένων(data cleansing), μετατροπής δεδομένων στη μορφή του νέου συστήματος(data conversion) και μετάπτωσης δεδομένων(data migration). 8. στις φάσεις της Τεχνικής Ανάλυσης και του Σχεδιασμού να διενεργείται Ανάλυση Κινδύνων και να καθορίζονται με λεπτομέρεια οι απαιτήσεις ασφαλούς λειτουργίας του συστήματος σύμφωνα με όσα προβλέπει η ισχύουσα Πολιτική Ασφάλειας του ΠΙ, οι τεχνικές προδιαγραφές του (οι οποίες περιλαμβάνουν, μεταξύ άλλων, τον καθορισμό των παραμέτρων της 73

74 λογικής ασφάλειας του συστήματος), ο έλεγχος και η συμφωνία των δεδομένων και η δομή των απαραίτητων αρχείων καταγραφής(audit trails and logs) για τα οποία θα πρέπει να λαμβάνονται υπόψη οι σχετικές συστάσεις της Ευρωπαϊκής Επιτροπής για τα Τραπεζικά Πρότυπα ( The Use of Audit Trails in Security Systems:Guidelines for European Banks ). Στις συγκεκριμένες φάσεις είναι αναγκαία η συνεργασία με τη Μονάδα Εσωτερικής Επιθεώρησης για τη διαμόρφωση των κατάλληλων δικλείδων ασφαλείας, καθώς και των ελεγκτικών αρχείων καταγραφής και αναφορών που θα παράγονται για τη διευκόλυνση του ελέγχου. Η συνεργασία αυτή δεν επηρεάζει το ελεγκτικό έργο της Μονάδας Εσωτερικής Επιθεώρησης για το εν λόγω σύστημα. 9. η Ανάπτυξη του Συστήματος να υλοποιείται σε ξεχωριστό μηχανογραφικό περιβάλλον από αυτό της παραγωγής και να ακολουθεί πρότυπα που έχουν τεθεί από το ΠΙ(π.χ. χρήση συγκεκριμένων εργαλείων και μεθοδολογίας ανάπτυξης προγραμμάτων) με στόχο την ομοιογένεια των Πληροφοριακών Συστημάτων και την ευκολία υποστήριξής τους. 10. οι Δοκιμές του Συστήματος να διενεργούνται σε πρώτη φάση από το προσωπικό της Πληροφορικής σε ξεχωριστό περιβάλλον με προκαθορισμένα σενάρια. Σε δεύτερη φάση θα πρέπει να γίνονται τεκμηριωμένες δοκιμές που περιλαμβάνουν: δοκιμές επαναφοράς(recovery testing) ελέγχοντας την δυνατότητα επαναφοράς του συστήματος σε περιπτώσεις βλάβης του λογισμικού ή του μηχανογραφικού εξοπλισμού, Δοκιμές ασφαλείας(security testing) ελέγχοντας ότι το σύστημα περιλαμβάνει τις δικλείδες ασφαλείας, όπως αυτές προδιαγράφηκαν κατά τον σχεδιασμό του συστήματος, Δοκιμή αντοχής(stress test) του συστήματος σε συνθήκες επεξεργασίας αυξημένου όγκου δεδομένων. Στις δοκιμές αυτές είναι απαραίτητο να συμμετέχουν, πέραν των προγραμματιστών, η Μονάδα Διασφάλισης Ποιότητας(όπου υπάρχει), ο 74

75 Υπεύθυνος Ασφαλείας(Security Officer) και η Μονάδα Εσωτερικής Επιθεώρησης. 11. για την Αποδοχή του Συστήματος να διενεργούνται ολοκληρωμένες δοκιμές με όσο το δυνατόν πιο πιστή προσομοίωση των συνθηκών παραγωγής. Στην περίπτωση που νέο σύστημα αντικαθιστά παλαιότερο θα πρέπει τα δύο συστήματα για ένα χρονικό διάστημα να λειτουργήσουν παράλληλα με τα ίδια δεδομένα(parallel run) και να γίνεται σύγκριση των αποτελεσμάτων τους. Οι συμμετέχοντες θα πρέπει να αποφασίζουν για την αποδοχή ή μη του συστήματος και να γνωστοποιούν εγγράφως την απόφασή τους. 12. η Μεταφορά του νέου Συστήματος στην παραγωγή να πραγματοποιείται από εξειδικευμένο προσωπικό( π.χ. librarians) βάσει καταγεγραμμένων οδηγιών, σε χρονική περίοδο που δεν εκτελούνται άλλες σημαντικές εργασίες και με την πρόβλεψη για τη δυνατότητα σε περίπτωση προβλήματος επαναφοράς στην αρχική κατάσταση. 13. το σύστημα, πριν ακόμα τεθεί σε λειτουργία, να διαθέτει πλήρη τεκμηρίωση που θα ακολουθεί συγκεκριμένα ποιοτικά πρότυπα που έχουν τεθεί από το ίδιο το ΠΙ. Τα εγχειρίδια της τεκμηρίωσης θα πρέπει να έχουν ενιαία μορφή και δομή. 14. να πραγματοποιείται εκπαίδευση των χρηστών του συστήματος σε ξεχωριστό μηχανογραφικό περιβάλλον, το οποίο και δεν θα επηρεάζεται από τα μηχανογραφικά περιβάλλοντα ανάπτυξης και παραγωγής. Τα συγκεκριμένα περιβάλλοντα συνίσταται να παραμένουν ενεργά έτσι ώστε να χρησιμοποιούνται στις περιπτώσεις που το σύστημα υφίσταται αλλαγές. 15. η Λειτουργία και Υποστήριξη του Συστήματος να περιλαμβάνει διαδικασίες ελέγχου των αλλαγών(change control), ελέγχου των εκδόσεων του συστήματος (versioning), ελέγχου ενημερώσεων του συστήματος, λήψης και φύλαξης εφεδρικών αρχείων, συνέχειας των εργασιών, ενημέρωσης του Help Desk για την υποστήριξη των χρηστών του συστήματος, κ.α. 16. η φάση Απόσυρσης του Συστήματος να περιλαμβάνει διαδικασίες γαι την διατήρηση των πληροφοριών σύμφωνα με τις νομικές και εποπτικές οδηγίες(information preservation), τη διαγραφή πληροφοριών από τα μέσα 75

76 αποθήκευσης (media sanitization), την απόσυρση του υλικού και λογισμικού(hardware and software disposal). Στην συγκεκριμένη φάση πρέπει να διασφαλίζεται η αποτελεσματική συνέχεια της λειτουργίας των συστημάτων που διασυνδέονται με το σύστημα που αποσύρεται. 6.2 Προμήθεια Συστημάτων Στις περιπτώσεις που το ΠΙ αποφασίζει την προμήθεια Πληροφοριακών Συστημάτων, θα πρέπει, εκτός των προαναφερθέντων: 1. η όλη διαδικασία προμήθειας να χαρακτηρίζεται από διακριτές φάσεις, οι οποίες θα υλοποιούν πρότυπα, μεθοδολογίες και διαδικασίες επίσημα καταγεγραμμένες και εγκεκριμένες. Τέτοιες φάσεις, είναι αυτές της πρόσκλησης για υποβολή προτάσεων(request for Proposal - RFP) με αναλυτική περιγραφή των αναγκών που θα καλύπτει το προς προμήθεια σύστημα, της επιλογής του εξωτερικού συνεργάτη, της σύναψης της συμφωνίας και της υπογραφής του συμβολαίου, της ένταξης και λειτουργίας των συστημάτων στην παραγωγή, και τέλος, της εποπτείας και του ελέγχου τους. 2. η επιλογή του συστήματος να γίνεται με βάση τις αναλυτικές προδιαγραφές που οφείλει να θέτει το ΠΙ, τις δυνατότητες επέκτασης και προσαρμογής του στις διαρκώς αυξανόμενες επιχειρησιακές ανάγκες, τη φιλικότητα προς το χρήστη, τις δυνατότητες ασφαλούς λειτουργίας(λογική ασφάλεια, audit trails & logs), τα επίπεδα υποστήριξης, το σύστημα αναφορών του κλπ. 3. το είδος παρέμβασης του ΠΙ στο σύστημα να είναι εκ των προτέρων αυστηρά καθορισμένο. Οι όποιες παρεμβάσεις θα πρέπει να εξακολουθούν να είναι εγκεκριμένες και καταγεγραμμένες διαδικασίες, να υλοποιούνται από εξειδικευμένο προσωπικό και να διατηρούνται στο ελάχιστο δυνατό επίπεδο ώστε να μην αλλοιώνεται η φυσιογνωμία του συστήματος και να είναι εύκολη η αναβάθμιση και η συντήρησή του. Σημειώνεται ότι, σε περίπτωση σημαντικής απόκλισης των λειτουργικών διαδικασιών του ΠΙ από 76

77 εκείνες που υποστηρίζει το αγορασθέν σύστημα, το ΠΙ είναι αυτό που συνήθως θα πρέπει να προσαρμόσει τις λειτουργικές του διαδικασίες στα χαρακτηριστικά του συστήματος και όχι το αντίστροφο. 4. στα κεντρικά συστήματα τραπεζικών εργασιών, η ανάπτυξη περιφερειακών εφαρμογών που θα αντλούν πληροφορίες από το κεντρικό σύστημα και θα υλοποιούν τοπικές αλλά και επιχειρησιακές ιδιαιτερότητες να γίνεται με βάση τα ισχύοντα στο ΠΙ πρότυπα για την ανάπτυξη εφαρμογών, έτσι ώστε να διατηρείται η μηχανογραφική ομοιογένεια. 5. ο τρόπος υποστήριξης των συστημάτων να είναι αυστηρά προδιαγεγραμμένος, με σαφή καθορισμό των περιπτώσεων στις οποίες απαιτείται υποστήριξη από τον πάροχο αλλά και των χρονικών περιθωρίων ανταπόκρισής του. 6. οι περιπτώσεις απομακρυσμένης πρόσβασης του παρόχου στα συστήματα του ΠΙ για την επίλυση έκτακτων προβλημάτων, να είναι εξαιρετικά περιορισμένες, να αντιμετωπίζονται με ιδιαίτερη προσοχή, και σε κάθε περίπτωση να υπάρχει πλήρης καταγραφή(logging) των ενεργειών του. 7. να είναι απαραίτητη η απόκτηση τεχνογνωσίας, όχι μόνον μέσω της κατάλληλης εκπαίδευσης του εμπλεκόμενου στη λειτουργία τέτοιων συστημάτων προσωπικού, αλλά κυρίως μέσω της συμμετοχής του σε όλες τις φάσεις εξέλιξης των συστημάτων, έτσι ώστε η εξάρτηση του ΠΙ από τον προμηθευτή βαθμιαία να ελαττώνεται. 8. εφόσον έχουν υλοποιηθεί οι απαιτήσεις του ΠΙ όπως αυτές αναφέρονται στο συμβόλαιο και μετά το πέρας των απαραιτήτων δοκιμών εκ μέρους του παρόχου, να υφίσταται διαδικασία επίσημης αποδοχής και παραλαβής του συστήματος εκ μέρους του ΠΙ με τη συμμετοχή όλων των εμπλεκομένων. [xvi] 77

78 ΚΕΦΑΛΑΙΟ 7 ο Λειτουργία και Υποστήριξη Στο παρόν κεφάλαι γίνεται αναφορά στις διαδικασίες λειτουργίας των συστημάτων, στη φυσική και λογική τους ασφάλεια, καθώς και στην διασφάλιση της συνέχειας των εργασιών του ΠΙ. Η απρόσκοπτη λειτουργία των Πληροφοριακών Συστημάτων και η αποτελεσματική υποστήριξή τους είναι παράγοντες κρίσιμοι τόσο για την εύρυθμη λειτουργία του ΠΙ και τη δημιουργία σχέσεων εμπιστοσύνης με τους πελάτες, όσο και για την αποτελεσματική αντιμετώπιση του λειτουργικού κινδύνου. Η απρόσκοπτη λειτουργία και η αποτελεσματική υποστήριξη των Πληροφοριακών Συστημάτων προϋποθέτουν την τήρηση των πολιτικών, προτύπων και διαδικασιών του ΠΙ από όλες τις εμπλεκόμενες υπηρεσιακές μονάδες, αλλά και τους παρόχους υπηρεσιών πληροφορικής. 7.1 Λειτουργία Συστημάτων Ο όρος «Λειτουργία Συστημάτων» αναφέρεται στο σύνολο των διαδικασιών που απαιτούνται για την καθημερινή λειτουργία των Πληροφοριακών Συστημάτων σε ένα Πιστωτικό Ίδρυμα. Για ένα αποδεκτό επίπεδο ασφαλούς και αποτελεσματικής λειτουργίας τους θα πρέπει να υφίστανται: 1. πλήρης και λεπτομερής καταγραφή του μηχανογραφικού εξοπλισμού(κεντρικά συστήματα, εξυπηρετητές, προσωπικοί υπολογιστές, περιφερειακά, δίκτυα και τηλεπικοινωνίες), του αρχιτεκτονικού σχεδιασμού, του χρησιμοποιούμενου λογισμικού, καθώς και του ιστορικού των εκδόσεων, των ενημερώσεων, και των αδειών χρήσης. Αρχείο πρέπει να 78

79 τηρείται επίσης για τα μέσα που αποθηκεύουν και διακινούν ευαίσθητα δεδομένα του οργανισμού(cartridges, ταινίες, δισκέτες, CDs, εκτυπώσεις, microfiche κα). Τα αρχεία καταγραφής θα πρέπει να ενημερώνονται άμεσα στις περιπτώσεις αλλαγών. 2. τήρηση πλήρους και ενημερωμένης τεκμηρίωσης για κάθε σύστημα με τα επίσημα εγχειρίδια των εταιρειών που προμηθεύουν το υλικό και το λογισμικό των συστημάτων, και τα εγχειρίδια που συντάσσονται από το προσωπικό του ΠΙ. 3. επαρκής συντήρηση και τεχνική υποστήριξη των συστημάτων με βάση πάντοτε τις προδιαγραφές τους και τις ανάγκες που προκύπτουν. 4. υποστήριξη των υπαλλήλων χρηστών εντός, αλλά και των πελατών χρηστών εκτός του οργανισμού(π.χ. ηλεκτρονική τράπεζα), η οποία και θα πρέπει να ανατίθεται σε κατάλληλα οργανωμένες και στελεχωμένες υπηρεσιακές μονάδες(help Desk). Στην υποστήριξη θα πρέπει να λαμβάνεται υπόψη το είδος του χρήστη και η φύση του προβλήματος που αντιμετωπίζει. Το πλήθος και το είδος των προβλημάτων θα πρέπει να καταγράφονται και να τυγχάνουν στατιστικής επεξεργασίας. 5. διαδικασίες διαχείρισης των παραμέτρων λειτουργίας των συστημάτων. 6. διαδικασίες αποτροπής εγκατάστασης και χρήσης μη εγκεκριμένου από το ΠΙ λογισμικού, καθώς επίσης λογισμικού χωρίς την κατάλληλη αδειοδότηση. 7. προγραμματισμός των εργασιών προς εκτέλεση, καταγραφή των προβλημάτων που προκύπτουν και των ενεργειών που πρέπει να γίνονται στις έκτακτες περιπτώσεις, κλπ. Η επιτυχής ή μη εκτέλεση των προγραμματισμένων αλλά και των εκτάκτων εργασιών θα πρέπει να καταχωρείται σε ειδικό ημερολόγιο, το οποίο θα φέρει και τις υπογραφές του προσωπικού που τις εκτέλεσε. Η εκτέλεση εκτάκτων εργασιών θα πρέπει να γίνεται κατόπιν ειδικής έγκρισης. 8. έλεγχος των δεδομένων, για εξασφάλιση της ακεραιότητας, ορθότητας και εμπιστευτικότητας τους σε όλες τις φάσεις επεξεργασίας τους. Οι κάθε είδους ασυμφωνίες θα πρέπει να διαπιστώνονται και αντιμετωπίζονται βάσει καταγεγραμμένων διαδικασιών. 79

80 9. διαδικασίες διαχείρισης της χωρητικότητας, του φόρτου και της απόδοσης των συστημάτων και δικτύων. 10. συνεχής παρακολούθηση της διαθεσιμότητας των συστημάτων και των δικτύων. Ειδικότερα για τα κρίσιμα συστήματα, το Πι πρέπει να είναι σε θέση να υπολογίζει το ποσοστό διαθεσιμότητάς τους σε επίπεδο έτους και να το συγκρίνει με προκαθορισμένους στόχους. Επιπλέον, το ΠΙ θα πρέπει να διαθέτει διαδικασίες λεπτομερούς καταγραφής των συμβάντων μη διαθεσιμότητας (επηρεαζόμενα συστήματα, χρονική διάρκεια μη διαθεσιμότητας, αίτια προβλήματος, τρόπος και χρονική διάρκεια αντιμετώπισης, συχνότητα εμφάνισης, κόστος για το ΠΙ) και άμεσης ενημέρωσης των αρμόδιων λειτουργικών μονάδων (Εσωτερικής Επιθεώρησης, Διαχείρισης Κινδύνων) και της Διοίκησης. 11. επαρκείς διαδικασίες διαχείρισης αντιγράφων ασφαλείας. 12. Ειδικότερα, για τα συστήματα και τις υπηρεσίες Ηλεκτρονικής Τραπεζικής θα πρέπει να υφίστανται: i. επαρκής πληροφόρηση στο διαδικτυακό τόπο (web site) του ΠΙ, έτσι ώστε να μπορούν οι εν δυνάμει πελάτες τους να έχουν μια επαρκή γνώση για την ταυτότητα του ΠΙ και την εποπτεύουσα αρχή που παρέχει την άδεια λειτουργίας, πριν πραγματοποιήσουν τις ηλεκτρονικές τους συναλλαγές. Επίσης, γνωστοποίηση του τρόπου με τον οποίον μπορούν να επικοινωνήσουν οι πελάτες με το σχετικό κέντρο υποστήριξης σε περίπτωση πάσης φύσεως προβλήματος, το ψηφιακό πιστοποιητικό του διαδικτυακού τόπου, το οποίο θα πρέπει να έχει εκδοθεί από επίσημη αρχή πιστοποίησης, πληροφορίες για την ασφαλή χρήση των παρεχόμενων υπηρεσιών κλπ. ii. ενημέρωση των πελατών για την πολιτική εμπιστευτικότητας που εφαρμόζει το ΠΙ σε σχέση με τα προσωπικά τους δεδομένα. Η πληροφόρηση αυτή συνίσταται να παρέχεται και μέσα από το διαδικτυακό τόπο του ιδρύματος. Παροχή επίσης στους πελάτες του δικαιώματος να αρνηθούν την διάθεση εκχώρηση σε τρίτους δεδομένων που δεν τους αφορούν, για προώθηση προϊόντων ή άλλο λόγο. Τα δεδομένα των πελατών θα πρέπει να χρησιμοποιούνται 80

81 μόνο για τους σκοπούς για τους οποίους οι πελάτες γνωρίζουν ότι τα διαθέτουν. iii. σαφής σήμανση στο διαδικτυακό τόπο του Πι των συνδέσεων (links) με διαδικτυακούς τόπους άλλων εταιρειών ή οργανισμών. Πρέπει να φαίνεται έκδηλα στον πελάτη ότι, όταν εγκαταλείπει το διαδικτυακό τόπο του ΠΙ, συνδέεται σε μία εντελώς ξεχωριστή επιχειρηματική μονάδα ή άλλη νομική οντότητα. iv. αυτοματοποιημένα συστήματα παρακολούθησης των συναλλαγών, τα οποία και θα βασίζουν την αποτελεσματική λειτουργία τους στη δημιουργία εκ μέρους του ΠΙ στατιστικών προτύπων κίνησης λογαριασμού για κάθε πελάτη. Τα συστήματα αυτά, με βάση τα διαμορφωμένα χαρακτηριστικά κίνησης των λογαριασμών των πελατών(profiles), θα πρέπει να εντοπίζουν και να καταγράφουν ασυνήθιστες συναλλακτικές συμπεριφορές και να παράγουν, σε πραγματικό χρόνο, προειδοποιητικά μηνύματα(alerts) για τη διερεύνηση ενδεχόμενων περιπτώσεων απάτης. v. αποτελεσματική αντιμετώπιση των κινδύνων νομιμοποίησης εσόδων από εγκληματικές δραστηριότητες(money laundering) και χρηματοδότησης της τρομοκρατίας. Οι συγκεκριμένοι κίνδυνοι στην ηλεκτρονική τραπεζική είναι ιδιαίτερα αυξημένοι λόγω της ευκολίας χρήσης των υπηρεσιών από οπουδήποτε και οποιαδήποτε χρονική στιγμή, της απρόσωπης φύσης των συναλλαγών και της αυτόματης διεκπεραίωσης τους. Ως εκ τούτου, το Πι θα πρέπει να μεριμνά για την εγκατάσταση αυτοματοποιημένων συστημάτων και εργαλείων διαχείρισης των συναλλαγών, τα οποία κατ ελάχιστον θα θέτουν όρια σε συγκεκριμένες ομάδες ή κατηγορίες συναλλαγών, θα παρέχουν τη δυνατότητα καθυστέρησης εκτέλεσης της συναλλαγής μέχρι την εξακρίβωση συγκεκριμένων στοιχείων (filters & monitoring tools/systems) κλπ. vi. δυνατότητα εύκολης προσπέλασης και επεξεργασίας στοιχείων παλαιότερων συναλλαγών, έτσι ώστε να γίνεται εφικτός ο εντοπισμός συναλλακτικών ιδιαιτεροτήτων και ανωμαλιών, για να 81

82 διευκολύνεται η στοιχειοθέτηση αποδεικτικών στοιχείων και η επαρκής πληροφόρηση των εποπτικών αρχών, ειδικά στις περιπτώσεις απάτης και νομιμοποίησης εσόδων από εγκληματικές δραστηριότητες και χρηματοδότηση της τρομοκρατίας, παροχής επενδυτικών υπηρεσιών κλπ. vii. viii. εγχειρίδια σε ηλεκτρονική ή έντυπη μορφή, τα οποία θα ενημερώνουν τους πελάτες για τον τρόπο χρήσης με έμφαση σε θέματα ασφαλείας. Επιπλέον, το Πι θα πρέπει να εφοδιάζει τους χρήστες με πρακτικές ασφαλούς χρήσης των προσωπικών υπολογιστών μέσω των οποίων προσπελαύνονται ορισμένα συστήματα ηλεκτρονικής τραπεζικής και ηλεκτρονικών πληρωμών. Στις πρακτικές αυτές θα πρέπει να γίνεται αναφορά, μεταξύ άλλων, σε θέματα προστασίας από ιούς και άλλο κακόβουλο λογισμικό, ασφαλούς αποθήκευσης και χρήσης προσωπικών κωδικών(ειδικά σε υπολογιστές κοινής χρήσης οι οποίοι γενικά θα πρέπει να αποφεύγονται για τέτοια χρήση). επαρκείς διαδικασίες ασφαλείας με έμφαση στη πιστοποίηση συναλλασσομένων μερών(ψηφιακό πιστοποιητικό διαδικτυακού τόπου ΠΙ, πιστοποίηση δύο επιπέδων για τον πελάτη με χρήση ψηφιακών πιστοποιητικών, Τ.Α.Ν. lists ή άλλης μεθόδου), τη μη αποποίηση των συναλλαγών, την κρυπτογράφηση της επικοινωνίας, την ασφάλεια των συναλλαγών(αποδεικτικά στοιχεία επιτυχούς ολοκλήρωσης, αποσύνδεση σε περίπτωση ανενεργού χρήστη, εντοπισμός ύποπτων συναλλαγών κλπ), και τέλος τη λειτουργία των συστημάτων που υποστηρίζουν τις εν λόγω υπηρεσίες σε ειδικές περιοχές του δικτύου που παρέχουν υψηλή προστασία από κακόβουλες ενέργειες εσωτερικών ή εξωτερικών χρηστών. 82

83 7.2 Φυσική Ασφάλεια Ο όρος «Φυσικά Ασφάλεια» αναφέρεται στα μέτρα που πρέπει να λαμβάνονται για την προστασία των συστημάτων και της υποδομής που τα υποστηρίζει, από κινδύνους που προέρχονται από το περιβάλλον. Ανάλυση κινδύνων είναι απαραίτητο να προηγείται της λήψης μέτρων, αφού οι απαιτήσεις φυσικής ασφάλειας δεν είναι δυνατόν να είναι οι ίδιες για όλες τις περιοχές και χώρους που στεγάζουν συστήματα, ούτε και η κρισιμότητα των συστημάτων είναι η ίδια μέσα σε μια συγκεκριμένη περιοχή ή χώρο. Στα μέτρα φυσικής ασφάλειας πρέπει τουλάχιστον να περιλαμβάνονται: 1. μηχανισμοί ελέγχου φυσικής πρόσβασης(physical Access Controls). Τέτοιοι μηχανισμοί πρέπει να περιορίζουν, να ελέγχουν και να καταγράφουν, αφ ενός μεν την είσοδο και την έξοδο του προσωπικού και των επισκεπτών, αφ ετέρου δε τη διακίνηση μηχανογραφικού εξοπλισμού και αποθηκευτικών μέσων. Μηχανισμοί ελέγχου φυσικής πρόσβασης θα πρέπει να υφίστανται, όχι μόνο σε χώρους που στεγάζουν μηχανογραφικό εξοπλισμό, αλλά και σε χώρους ή σημεία στα οποία υπάρχουν καλωδιώσεις που συνδέουν κρίσιμα συστήματα, υποστηρικτικές συσκευές (π.χ. μονάδες παροχής αδιάλειπτης τάσης, γεννήτριες), μαγνητικά μέσα στα οποία φυλάσσονται αρχεία, κλπ. Επιπλέον, η υλοποίηση τέτοιων μηχανισμών δεν θα πρέπει να περιορίζεται μόνο στους χώρους των μηχανογραφικών κέντρων, αλλά να επεκτείνεται και οπουδήποτε αλλού υπάρχει η σχετική ανάγκη(τοπικά συστήματα καταστημάτων και διευθύνσεων). Το είδος των μηχανισμών ελέγχου που υλοποιούνται θα πρέπει να καθορίζεται από την κρισιμότητα των συστημάτων που καλούνται να προστατεύσουν. 2. μηχανισμοί πρόληψης και αντιμετώπισης καταστροφών από φυσικά αίτια. 3. μηχανισμοί πρόληψης και αντιμετώπισης κακόβουλων ενεργειών(διάρρηξη / κλοπή, βανδαλισμός, τρομοκρατική ενέργεια, κλπ.). Ο ι συγκεκριμένοι κίνδυνοι, όπως και οι κίνδυνοι από φυσικά αίτια, εκτός του ότι μπορούν να προκαλέσουν ολοσχερή καταστροφή των συστημάτων και των δικτύων, είναι δυνατόν να διακυβεύσουν τις ζωές του προσωπικού. 83

84 4. μηχανισμοί πρόληψης και αντιμετώπισης προβλημάτων από διακοπή λειτουργίας και παροχής υπηρεσιών ή βλάβη υποστηρικτικών συσκευών. Τα συστήματα είναι απαραίτητο να λειτουργούν σε ένα αποτελεσματικά υποστηριζόμενο τεχνικά περιβάλλον. 5. η αποτελεσματική διαχείριση της τηλεπικοινωνιακής και δικτυακής καλωδίωσης για την αντιμετώπιση θεμάτων φθοράς, παρεμβολών και έλλειψης κατάλληλης σήμανσης. 6. μηχανισμοί ασφάλειας φορητών συστημάτων. Η χρήση των φορητών υπολογιστών και οποιονδήποτε άλλων συστημάτων θα πρέπει να λαμβάνεται σοβαρά υπόψη στην ανάλυση κινδύνων. Φορητοί υπολογιστές που αποθηκεύουν ευαίσθητα εταιρικά δεδομένα θα πρέπει, αφενός μεν να φυλάσσονται σε ασφαλή σημεία όταν δεν είναι σε χρήση, αφετέρου δε να αποθηκεύουν τα ευαίσθητα δεδομένα σε κρυπτογραφημένη μορφή. 7. η ασφαλής μεταφορά και αποθήκευση των ευαίσθητων εγγράφων και μαγνητικών μέσων. Στην πρώτη κατηγορία ανήκουν οι διαβαθμισμένες αναφορές, οι εφεδρικοί κωδικοί εισόδου των διαχειριστών συστημάτων, τα συνθηματικά των πελατών μέχρι να τους αποσταλούν, η τεκμηρίωση των συστημάτων και εφαρμογών, τα Σχέδια Συνέχειας Εργασιών και Ανάκαμψης από Καταστροφή, κα. Στην δεύτερη ανήκουν τα εφεδρικά αντίγραφα αρχείων, το πλαστικό υλικό των καρτών συναλλαγών κλπ. 8. η επιλογή και κατάλληλη διαμόρφωση των χώρων με σκοπό την ελαχιστοποίηση των προαναφερθέντων κινδύνων, σε σχέση πάντοτε με τη χρήση για την οποία προορίζονται και την κρισιμότητα των συστημάτων που στεγάζουν. 7.3 Λογική Ασφάλεια Ο όρος «Λογική Ασφάλεια» αναφέρεται στο σύνολο των μέτρων που λαμβάνονται για τον περιορισμό της πρόσβασης στους πόρους των συστημάτων (system resources). Ως πόροι των συστημάτων θεωρούνται ο μηχανογραφικός εξοπλισμός, τα δίκτυα, το λογισμικό και τα δεδομένα. Τα μέτρα που υλοποιούν 84

85 τη λογική ασφάλεια καθορίζουν όχι μόνον το «ποιός» ή «τι» (π.χ. πρόγραμμα) θα έχει πρόσβαση σε συγκεκριμένους πόρους του συστήματος, αλλά και το είδος της πρόσβασης που επιτρέπεται να έχει. Τα μέτρα αυτά μπορεί να είναι ενσωματωμένα στα λειτουργικά συστήματα, να υλοποιούνται σε προγράμματα εφαρμογών, σε συστήματα διαχείρισης βάσεων δεδομένων, σε συστήματα επικοινωνιών ή ακόμη να υλοποιούνται μέσω πρόσθετων αυτόνομων πακέτων ασφάλειας. Για την διατήρηση ενός αποδεκτού επιπέδου λογικής ασφάλειας, κρίνεται σκόπιμο: (α) για την ασφάλεια των προσβάσεων στα συστήματα 1. να έχουν όλοι οι χρήστες ένα μοναδικό ατομικό λογαριασμό πρόσβασης σε κάθε σύστημα και μόνο για τους πόρους εκείνους που δικαιούνται πρόσβαση, ώστε κάθε ενέργεια να χρεώνεται μονοσήμαντα. Ως εκ τούτου, κοινοί ομαδικοί λογαριασμοί πρόσβασης δεν θα πρέπει να χρησιμοποιούνται, και όπου αυτό δεν είναι εφικτό, θα πρέπει οι ενέργειες των κατόχων των λογαριασμών αυτών να καταγράφονται και να ελέγχονται σχολαστικά. 2. να υπάρχουν καταγεγραμμένες και εγκεκριμένες διαδικασίες για τη διαχείριση των λογαριασμών πρόσβασης, τον καθορισμό και την αναθεώρηση των δικαιωμάτων που παρέχονται στον κάθε λογαριασμό για όλα τα στάδια της εργασιακής του πορείας του ιδιοκτήτη του λογαριασμού(πρόσληψη, μετακίνηση, αλλαγή αντικειμένου εργασίας, αποχώρηση κλπ.). Να υπάρχει διαχωρισμός αρμοδιοτήτων στην έγκριση, υλοποίηση και έλεγχο των προσβάσεων. 3. να καταγράφονται και να ελέγχονται συστηματικά οι ενέργειες που γίνονται με χρήση των λογαριασμών πρόσβασης με προνομιακά δικαιώματα, όπως λογαριασμών διαχειριστών συστημάτων και γενικά χρηστών με αυξημένα δικαιώματα. 85

86 4. οι λογαριασμοί πρόσβασης να απενεργοποιούνται άμεσα μόλις παύουν να είναι απαραίτητοι ή σε περίπτωση σημαντικής παραβίασης των κανόνων ασφαλείας. 5. να υπάρχει συγκεκριμένη διαδικασία που να προβλέπει τη δημιουργία προσωρινών λογαριασμών πρόσβασης με καθορισμένο επίπεδο εξουσιοδοτήσεων, για συγκεκριμένες εργασίες ή για περιπτώσεις ανάγκης. Η χρήση των λογαριασμών αυτών θα πρέπει να ελέγχεται σχολαστικά, και μόλις εκλείψει η ανάγκη για την οποία δημιουργήθηκαν θα πρέπει να απενεργοποιούνται. 6. να πιστοποιείται ο ιδιοκτήτης ενός λογαριασμού πρόσβασης, κατά τη διαδικασία εισόδου του στο σύστημα μέσω μιας διαδικασίας υψηλής ασφάλειας(όπως π.χ. κωδικός εισόδου, χρήση «έξυπνης» κάρτας, ψηφιακού πιστοποιητικού κλπ). 7. να αλλάζονται άμεσα οι κωδικοί πρόσβασης που έχουν τεθεί από τις κατασκευάστριες εταιρίες σε κάθε νέο τεχνολογικό εξοπλισμό μετά την παραλαβή του. 8. οι κωδικοί πρόσβασης: να δημιουργούνται και να γίνεται η διαχείρισή τους βάσει προτύπων και διαδικασιών να είναι δύσκολα προβλέψιμοι να διατηρούνται μυστικοί με ευθύνη των κατόχων τους να αλλάζουν σε τακτική βάση και οπωσδήποτε την πρώτη φορά εισόδου του κατόχου τους στο σύστημα. Η αλλαγή των κωδικών να επιβάλλεται από το σύστημα και να κρατείται ιστορικό αλλαγών για αποφυγή επανάληψης των ίδιων κωδικών, εφόσον αυτό είναι εφικτό. 9. οι εφεδρικοί κωδικοί των διαχειριστών συστημάτων ή λογαριασμών ειδικών προνομίων θα πρέπει να βρίσκονται αποθηκευμένοι σε ασφαλές σημείο, ώστε να μπορούν να χρησιμοποιηθούν βάσει ειδικής διαδικασίας σε περίπτωση έκτακτης ανάγκης. 86

87 10. όπου κρίνεται αναγκαίο, οι κωδικοί πρόσβασης λογαριασμών ειδικών προνομίων θα πρέπει να μη φυλάσσονται ενιαίοι, αλλά σε τμήματα με ευθύνη διαφορετικών ατόμων. 11. να χρησιμοποιείται - όπου είναι εφικτό ειδικό λογισμικό διαχείρισης και έλεγχοι των προσβάσεων. (β) για την προστασία των δεδομένων 1. να υπάρχουν ενσωματωμένοι μηχανισμοί ελέγχου (controls) των δεδομένων στα διάφορα συστήματα, και ειδικότερα, στην προετοιμασία, εισαγωγή, και επεξεργασία τους. 2. να υπάρχει καταγεγραμμένη και εγκεκριμένη διαβάθμιση των δεδομένων σύμφωνα με το βαθμό ευαισθησίας τους, και να προβλέπονται επιπλέον διαδικασίες ασφάλειας των ευαίσθητων δεδομένων μέσω τεχνικών κρυπτογράφησης ή άλλων μεθόδων προστασίας, 3. για την κρυπτογράφηση: να καθορίζεται σαφώς το πότε και σε ποιο επίπεδο γίνεται κρυπτογράφηση να χρησιμοποιείται υψηλής ασφάλειας κλειδί κρυπτογράφησης σε όλο το λογισμικό να αναπτύσσεται στρατηγική υποδομής Δημόσιου Κλειδιού Ρ.Κ.Ι. (public key infrastructure) για τη διαχείριση των ψηφιακών πιστοποιητικών, κυρίως για την επικοινωνία του Π.Ι. με τους πελάτες του για την παροχή υπηρεσιών ηλεκτρονικής τραπεζικής. να επιδιώκεται η συμμόρφωση με τους εθνικούς και διεθνείς κανονισμούς και πρακτικές κρυπτογράφησης 4. να γίνονται απαραίτητες ενέργειες για τη συμμόρφωση με τη σχετική νομοθεσία και τους κανονισμούς Προστασίας Δεδομένων. 5. να υπάρχει πολιτική σχετικά με την ενημέρωση των πελατών στην περίπτωση διαρροής εμπιστευτικών προσωπικών τους δεδομένων λόγω παραβίασης της ασφάλειας των συστημάτων. 6. για τις βάσεις δεδομένων: 87

88 να υπάρχει ολοκληρωμένη και ακριβής τεκμηρίωση της βάσης που να περιλαμβάνει τουλάχιστον τον λογικό σχεδιασμό, τον φυσικό σχεδιασμό και το λεξικό δεδομένων να γίνεται αναδιοργάνωση της βάσης σε τακτά χρονικά διαστήματα να εξασφαλίζεται η καταχώρηση μόνο ολοκληρωμένων συναλλαγών (commit / rollback) (γ) για την προστασία των συστημάτων 1. να υπάρχει εγκατεστημένο κατ ελάχιστο στα κρίσιμα συστήματα, και όπου αλλού είναι αναγκαίο ειδικό λογισμικό προστασίας από ιούς ή άλλο «κακόβουλο» λογισμικό. Το λογισμικό προστασίας θα πρέπει να ενημερώνεται σε συνεχή βάση και να είναι εγκατεστημένο με τέτοιο τρόπο ώστε να ενεργοποιείται αυτόματα και να μην μπορεί να απενεργοποιηθεί από τους χρήστες των συστημάτων, παρά μόνο από τον αρμόδιο διαχειριστή. 2. να παρέχεται αποτελεσματική προστασία σε ευαίσθητους πόρους των συστημάτων, όπως τα αρχεία συστήματος και εφαρμογών. 3. να συντηρείται αρχείο με το εγκεκριμένο από το ΠΙ λογισμικό. 4. να απεγκαθίσταται ή να απενεργοποείται σε κάθε σύστημα, κάθε λογισμικό ή λειτουργία που δεν κρίνεται απαραίτητη. 5. να ενεργοποιούνται τουλάχιστον οι βασικές λειτουργίες ελέγχου και καταγραφής (auditing & logging functions) σε κάθε σύστημα και να παραμετροποιούνται κατάλληλα σε συνεργασία με τον εσωτερικό έλεγχο. 6. να εξασφαλίζεται όπου αυτό είναι αναγκαίο, κατόπιν σχετικής εγκριτικής διαδικασίας, η συνεχής ενημέρωση των συστημάτων με τις τελευταίες εκδόσεις του λογισμικού και ενημερώσεων σε θέματα ασφάλειας, ώστε να ελαχιστοποιούνται οι αδυναμίες και τα τρωτά τους σημεία. 7. να υπάρχουν καταγεγραμμένες διαδικασίες αποκατάστασης της ασφαλούς λειτουργίας ενός συστήματος σε περίπτωση που παραβιαστεί η ασφάλειά του. 8. να προστατεύεται, όσο είναι αυτό εφικτό, το ηλεκτρονικό ταχυδρομείο από πιθανούς κινδύνους αναξιόπιστης γνησιότητας του αποστολέα, υποκλοπής ή 88

89 και παραποίησης του περιεχομένου, επικίνδυνων προσαρτημάτων, ανεπιθύμητων μηνυμάτων κλπ. 9. να υπάρχουν περιορισμοί στις ενέργειες των χρηστών του Διαδικτύου(π.χ. στις προσβάσεις σε συγκεκριμένους δικτυακούς τόπους, στη διακίνηση αρχείων κλπ.). 10. να γίνεται συνεχής εκπαίδευση και ενημέρωση των χρηστών σε θέματα ασφαλούς λειτουργίας των συστημάτων. 11. να προστατεύονται αποτελεσματικά τα κρίσιμα συστήματα από κακόβουλες ενέργειες εξωτερικών ή εσωτερικών χρηστών. Προς αυτή την κατεύθυνση οφείλουν να υλοποιούνται διαφορετικές τεχνικές, όπως: η χρήση ειδικών συστημάτων(firewalls, filtering routers κλπ.), τα οποία, ως σημεία ελέγχου των προσβάσεων, θα ρυθμίζουν και θα ελέγχουν την επικοινωνία από και προς τις περιοχές του δικτύου οι οποίες είναι συνήθως εκτεθειμένες σε αυξημένους κινδύνους. η δημιουργία στο δίκτυο ειδικών περιοχών(demilitarized Zones DMZ), ανάμεσα σε σημεία ελέγχου προσβάσεων, οι οποίες να λειτουργούν σαν απομονωμένο δίκτυο για τα προσβάσιμα από εσωτερικούς ή εξωτερικούς χρήστες συστήματα του ΠΙ, προστατεύοντας έτσι αποτελεσματικά το υπόλοιπο δίκτυο από κακόβουλες ενέργειες. (δ) για την ασφάλεια της δικτυακής υποδομής και των επικοινωνιών 1. να είναι σαφώς καθορισμένες, καταγεγραμμένες και ελεγχόμενες οι δίοδοι επικοινωνίας(gateways) με εξωτερικά δίκτυα. 2. να εκτιμάται η δυνατότητα κατάτμησης (segmentation) του δικτύου σε ελεγχόμενα επί μέρους υποδίκτυα για τον καλύτερο έλεγχο των προσβάσεων. 3. να μην παραμείνουν ανοιχτές λογικές θύρες επικοινωνίας(ports) σε κάθε συσκευή του δικτύου, επιπλέον όσων έχουν καθοριστεί σαφώς ως αναγκαίες για τις υπηρεσίες που υποστηρίζουν και αφού έχει συνεκτιμηθεί ο συνεπαγόμενος κίνδυνος από τη λειτουργία τους. 4. να περιορίζεται και να ελέγχεται επαρκώς η πρόσβαση στις ειδικές λειτουργίες διαχείρισης και ελέγχου του δικτύου. 89

90 5. να υπάρχει αποτελεσματική διαχείριση των παραμετροποιήσεων των συσκευών του δικτύου. 6. να υπάρχει δυνατότητα εντοπισμού από το διαχειριστή του δικτύου λειτουργίας μη εξουσιοδοτημένων συσκευών. 7. να περιορίζονται στα απολύτως απαραίτητα τα σημεία πρόσβασης στο δίκτυο τα οποία βρίσκονται σε χώρους μη ελεγχόμενης φυσικής πρόσβασης, και εφόσον δε χρησιμοποιούνται να είναι ανενεργά. 8. να περιορίζεται και να ελέγχεται συστηματικά η δυνατότητα ασύρματης σύνδεσης χρηστών στο δίκτυο, ώστε να αποτρέπεται η παρείσφρηση μη εξουσιοδοτημένων χρηστών σε αυτό. 9. να μην παρέχεται η δυνατότητα απομακρυσμένης πρόσβασης στο δίκτυο, και όπου κρίνεται αναγκαία τέτοια πρόσβαση, να καταγράφεται και να ελέγχεται συστηματικά. Ειδικότερα, σε περίπτωση πρόσβασης στο δίκτυο χρηστών μέσω τηλεφωνικής σύνδεσης (dial up), αυτή να πραγματοποιείται κατόπιν διαδικασίας επιστροφής κλήσης(call back) ή άλλης κατάλληλης μεθόδου επαλήθευσης του καλούντος. 10. να χρησιμοποιούνται κατάλληλα πρωτόκολλα επικοινωνίας ανάλογα με το είδος των δεδομένων που μεταδίδονται, αντιμετωπίζοντας αποτελεσματικά θέματα διαχείρισης και ασφάλειάς τους. 11. να εξασφαλίζεται η εμπιστευτικότητα και η ακεραιότητα των δεδομένων που μεταδίδονται μέσω του δικτύου καθ όλη τη διαδρομή τους σε αυτό. 12. να γίνεται χρήση ειδικών εργαλείων λογισμικού για τον εντοπισμό κενών ασφαλείας ή σημείων μειωμένης ασφάλειας στο δίκτυο(vulnerability tests). 13. να υπάρχουν διαδικασίες και συστήματα παρακολούθησης, αποτροπής και αντιμετώπισης προσπαθειών παρείσφρησης στο δίκτυο ή γενικότερα προσπαθειών παραβίασης της ασφάλειας του δικτύου(intrusion detection / prevention systems ). 14. να διενεργούνται σε τακτική βάση, από ειδικευμένες εταιρίες, δοκιμαστικές απόπειρες παραβίασης της ασφάλειας του δικτύου (penetration tests), βάσει καθορισμένων σεναρίων, με στόχο την αξιολόγηση της επάρκειας της ασφάλειας του δικτύου. 90

91 7.4 Σχέδια Συνέχειας Εργασιών & Ανάκαμψης από Καταστροφή Το Πι πρέπει να διαθέτει εγκεκριμένα από τη Διοίκηση Σχέδια Συνέχειας Εργασιών (ΣΣΕ) για τα πληροφοριακά Συστήματα, ενταγμένα στα γενικότερα εταιρικά ΣΣΕ, έτσι ώστε να εξασφαλίζεται η συνέχεια των κρισιμότερων λειτουργιών τους. Επιπλέον, το ΠΙ πρέπει να διαθέτει αποτελεσματικά Σχέδια Ανάκαμψης από Καταστροφή (ΣΑΚ) που θα εφαρμόζονται στις περιπτώσεις καταστροφικών συμβάντων που μπορεί να προκαλέσουν παρατεταμένη διακοπή της λειτουργίας ενός κρίσιμου συστήματος, ή ακόμη και ολόκληρου του μηχανογραφικού κέντρου. Της δημιουργίας ΣΣΕ και ΣΑΚ θα πρέπει να προηγούνται διαδικασίες ανάλυσης επιχειρηματικών επιπτώσεων(business impact analysis) και ανάλυσης κινδύνων (risk assessment). Βάσει αυτών: θα προσδιορίζονται όλες οι κρίσιμες λειτουργίες καθώς και τα συστήματα - πόροι που θα χρησιμοποιούν θα προσδιορίζονται όλοι οι κίνδυνοι που απειλούν τις κρίσιμες λειτουργίες και θα κατατάσσονται σύμφωνα με την πιθανότητα εμφάνισής τους και τις πιθανές επιπτώσεις τους στα συστήματα και τις λειτουργίες θα σταθμίζεται λειτουργικό κόστος από ενδεχόμενη διακοπή των κρίσιμων λειτουργιών και το κόστος ενεργοποίησης του ΣΣΕ και ΣΑΚ για να προσδιορίζονται οι συνθήκες που θα θέτουν σε εφαρμογή το αντίστοιχο σχέδιο θα προσδιορίζεται ο χρόνος ανάκαμψης των κρίσιμων λειτουργιών συστημάτων (recovery time) αλλά και το σημείο ανάκαμψης (recovery point), δηλαδή σε πόσο χρόνο και σε ποια χρονικά όρια θα επανέλθουν τα συστήματα μετά την ανάκαμψη. Πρώτο επίπεδο εξασφάλισης συνέχειας εργασιών θεωρείται η ύπαρξη σχεδίου λήψης και διαχείρισης αντιγράφων ασφαλείας του λογισμικού, των παραμέτρων λειτουργίας και των δεδομένων, καθώς και ύπαρξη του αναγκαίου εφεδρικού 91

92 εξοπλισμού, συσκευών παροχής αδιάλειπτης τάσης, ηλεκτρογεννητριών κλπ, στους χώρους λειτουργίας των συστημάτων. Με στόχο την εξασφάλιση της γρήγορης και επιτυχούς ανάκτησης των δεδομένων και του λογισμικού, θα πρέπει για τα αντίγραφα ασφαλείας να υφίστανται συγκεκριμένες διαδικασίες: δημιουργίας με συχνότητα που υπαγορεύεται από τη κρισιμότητα των πληροφοριών ασφαλούς φύλαξης στο χώρο των συστημάτων ασφαλούς μεταφοράς και φύλαξης σε απομακρυσμένο χώρο των επιπλέον αντιγράφων δοκιμών για τη διασφάλιση της ακεραιότητας των δεδομένων αρχειοθέτησης με αναγραφή στα μέσα αποθήκευσης του περιεχομένου και του χρόνου αποθήκευσης των δεδομένων ανακύκλωσης των μαγνητικών μέσων Σε δεύτερο επίπεδο, ένα ολοκληρωμένο και αποτελεσματικό ΣΣΕ & ΣΑΚ για τα ΠΣ, συνίσταται: 1. να είναι γραμμένο σε απλή και κατανοητή γλώσσα και να κοινοποιείται επίσημα σε όλο το προσωπικό. Τυχόν διαβαθμισμένες πληροφορίες του σχεδίου (όπως π.χ. κωδικοί, κλείδες ασφαλείας κλπ.), θα πρέπει να γνωστοποιούνται μόνο σε εξουσιοδοτημένο προσωπικό. 2. αντίγραφό του να φυλάσσεται σε κατάλληλο χώρο σε ασφαλή απόσταση από το μηχανογραφικό κέντρο. Ένα τέτοιο σχέδιο θα περιλαμβάνει : 3. κατάταξη των συστημάτων βάση λειτουργικής ανάγκης. Στην κατάταξη αυτή θα πρέπει, μεταξύ άλλων, να αναφέρεται ο χρόνος που απαιτείται για την ανάκτηση (recovery time) του κάθε συστήματος καθώς και η ελάχιστη εκτιμώμενη απόδοσή του μετά την ανάκτηση. 92

93 4. τη σαφή ιεραρχική δομή των στελεχών που συμμετέχουν στην εφαρμογή του, τις αρμοδιότητες τους, καθώς και τους υπεύθυνους λήψης αποφάσεων σε κάθε ομάδα έκτακτης ανάγκης. 5. τις διαδικασίες εκτίμησης του εύρους της καταστροφής, με βάση τις οποίες προσδιορίζονται επακριβώς τα τμήματα του σχεδίου τα οποία θα πρέπει να ενεργοποιηθούν. 6. τις διαδικασίες ενεργοποίησης του σχεδίου, ειδοποίησης των στελεχών και κινητοποίησης των ομάδων έκτακτης ανάγκης. 7. τις ενέργειες που θα εκτελούνται σε συγκεκριμένες επείγουσες καταστάσεις, οι οποίες μεταξύ των άλλων θα πρέπει να διασφαλίζουν το προσωπικό σε περίπτωση κινδύνου / καταστροφής (π.χ. φωτιά, σεισμός κλπ). 8. τους εναλλακτικούς χώρους εργασίας των χρηστών, τον εξοπλισμό που θα χρησιμοποιηθεί, καθώς και τις απαιτούμενες προδιαγραφές τους. 9. τις διαδικασίες προετοιμασίας και ενεργοποίησης του εναλλακτικού μηχανογραφικού κέντρου. 10. τα συστήματα του εναλλακτικού κέντρου, την υποδομή τους καθώς και την τοπολογία του δικτύου. 11. λίστα προμηθευτών με τους οποίους υπάρχουν συμβάσεις, οι υπηρεσίες που αυτοί προσφέρουν και οι αναμενόμενοι χρόνοι απόκρισής τους σε περίπτωση έκτακτης ανάγκης. 12. τις διαδικασίες που εξασφαλίζουν ότι τα σχέδια συντηρούνται, προσαρμόζονται και ενημερώνονται σε κάθε αλλαγή στις διαδικασίες λειτουργίας του ΠΙ. 13. τις διαδικασίες εκπαίδευσης του προσωπικού σύμφωνα με τις αρμοδιότητες που αναλαμβάνουν κατά την υλοποίηση του Σχεδίου. 14. τις διαδικασίες εκτέλεσης δοκιμών, σύμφωνα με τις οποίες: θα προσδιορίζεται η συχνότητά τους (κατ ελάχιστο μία φορά το χρόνο) θα υπάρχουν σαφείς στόχοι εκ των προτέρων, είτε για την εξέταση συγκεκριμένων υποσυστημάτων, είτε για την εξέταση του συστήματος στο σύνολό του. Η εκτέλεση δοκιμών της τελευταίας κατηγορίας συνίσταται να περιλαμβάνει την πλήρη κάλυψη όλων των κρίσιμων λειτουργιών όπως αναγράφονται στο σχέδιο και να κάνει αποκλειστική 93

94 χρήση του εναλλακτικού χώρου, του εξοπλισμού και των εφεδρικών αντιγράφων θα διεξάγονται υπό συνθήκες που θα προσομοιώνουν περιπτώσεις έκτακτης ανάγκης θα εξασφαλίζεται η συμμετοχή της Μονάδας Εσωτερικής Επιθεώρησης θα συντάσσεται έκθεση των αποτελεσμάτων μετά την ολοκλήρωση των δοκιμών θα γίνονται οι απαραίτητες διορθώσεις στα σχέδια για όλα τα προβλήματα που διαπιστώνονται θα λαμβάνει γνώση των αποτελεσμάτων η Διοίκηση και η Επιτροπή Ελέγχου Τέλος θα πρέπει : 15. να εξασφαλίζει την αποτελεσματική λειτουργία εναλλακτικού μηχανογραφικού κέντρου, το οποίο θα πρέπει να βρίσκεται σε κατάλληλη απόσταση, ώστε να μην επηρεάζεται από τους ίδιους κινδύνους που μπορεί να πλήξουν το κύριο μηχανογραφικό κέντρο. Το εναλλακτικό κέντρο θα πρέπει να διαθέτει κατάλληλο (εφεδρικό) εξοπλισμό που να παρέχει όλες τις κρίσιμες υπηρεσίες στους χρόνους που έχουν προκαθοριστεί, καθώς και τα εγχειρίδια των διαδικασιών και χρήσης των συστημάτων. Επιπλέον, θα πρέπει να επιτρέπει την απρόσκοπτη χρήση των εναλλακτικών μέσων μέχρι την στιγμή της επαναφοράς των λειτουργιών στο κύριο μηχανογραφικό κέντρο. 16. να διασφαλίζεται η φυσική ασφάλεια του εναλλακτικού κέντρου, καθώς και ένα βασικό επίπεδο λογικής ασφάλειας κατά την εφαρμογή του σχεδίου. 17. να φροντίζει για την ασφαλιστική κάλυψη του ΠΙ απέναντι σε κινδύνους που είναι δυνατόν να προκαλέσουν διακοπή της λειτουργίας των Πληροφοριακών Συστημάτων. 18. σε περίπτωση που οι χώροι λειτουργίας του εναλλακτικού κέντρου, ο εξοπλισμός ή οι υπηρεσίες παρέχονται από τρίτους: να προνοεί, μέσω κατάλληλων συμβάσεων, για την αποτελεσματική συνέχεια των εργασιών σε περίπτωση καταστροφής που θα πλήξει 94

95 ταυτόχρονα πολλούς οργανισμούς οι οποίοι εξυπηρετούνται από τον ίδιο πάροχο. να φροντίζει για την ενημέρωση του παρόχου για τυχόν αλλαγές στα συστήματα που πιθανό να απαιτήσουν αντίστοιχες προσαρμογές ενημερώσεις στα ΣΑΚ. [xvi] 95

96 ΚΕΦΑΛΑΙΟ 8 ο Έλεγχος Συστημάτων Πληροφορικής Στο παρόν κεφάλαιο γίνεται αναφορά σε κανόνες και βασικές απαιτήσεις για την επαρκή και αποτελεσματική λειτουργία της Μονάδας Εσωτερικής Επιθεώρησης αναφορικά με τα Πληροφοριακά Συστήματα. Εικόνα 12. Έλεγχος Συστημάτων Πληροφορικής Μια αποτελεσματική ελεγκτική λειτουργία για τα Πληροφοριακά Συστήματα θα πρέπει να εστιάζεται στους κινδύνους που απορρέουν από την ανάπτυξη, ενσωμάτωση και λειτουργία τους, να εξετάζει την επάρκεια των ελεγκτικών μηχανισμών (controls) και διαδικασιών, και να προτείνει, όπου χρειάζεται, τις κατάλληλες τροποποιήσεις. Επιπλέον, θα πρέπει να αξιολογεί το βαθμό συμμόρφωσης με την επιχειρησιακή στρατηγική και τις καταγεγραμμένες επιχειρησιακές πολιτικές, τα πρότυπα και τις διαδικασίες, και να παρακολουθεί το βαθμό συμμόρφωσης με τις διαπιστώσεις των πορισμάτων των ελέγχων. Τέλος θα πρέπει να υπάρχει ολοκληρωμένη εικόνα για τη λειτουργία των Πληροφοριακών 96

97 Συστημάτων ώστε να δίνεται η δυνατότητα επαρκούς ενημέρωσης σε τακτική βάση της Επιτροπής Ελέγχου. Για τους λόγους αυτούς, η υπηρεσιακή Μονάδα Εσωτερικής Επιθεώρησης θα πρέπει: 1. Να διαθέτει την τεχνογνωσία, την ποιοτική και ποσοτική επάρκεια προσωπικού, μέσων και διαδικασιών για τη διενέργεια εξειδικευμένων ελέγχων στα Πληροφοριακά Συστήματα. Η τεχνογνωσία και η εκπαίδευση του προσωπικού θα πρέπει να είναι τέτοιες ώστε να καλύπτονται ελεγκτικά οι τρέχουσες και οι μελλοντικές μηχανογραφικές λειτουργίες του Πιστωτικού Ιδρύματος. 2. Να καταρτίζει και να υλοποιεί ελεγκτικό πρόγραμμα, το οποίο θα βασίζεται σε ανάλυση κινδύνων που έχει διενεργηθεί στα Πληροφοριακά Συστήματα αλλά και σε ευρήματα προγενέστερων ελέγχων. 3. Να ακολουθεί καταγεγραμμένες διαδικασίες σχεδιασμού, οργάνωσης και διενέργειας των ελέγχων, συγγραφής των πορισμάτων καθώς και διαδικασίες επανελέγχου (follow-up). Οι διαδικασίες αυτές, τα κάθε είδους ερωτηματολόγια που χρησιμοποιούνται στους εξειδικευμένους ελέγχους, καθώς και η χρησιμοποιούμενη μεθοδολογία ανάλυσης μηχανογραφικών κινδύνων, θα πρέπει να αποτελούν την επίσημη τεκμηρίωση της λειτουργίας του ελέγχου των Πληροφοριακών Συστημάτων. 4. Να παρακολουθεί τα θέματα που αφορούν στα Πληροφοριακά Συστήματα του Πιστωτικού Ιδρύματος, ώστε να διαμορφώνει εικόνα για τους κινδύνους που υπάρχουν ή ενδέχεται να ανακύψουν. Για τη διαμόρφωση όσο το δυνατόν πληρέστερης εικόνας, συνιστάται η παρακολούθηση της λειτουργίας των Πληροφοριακών Συστημάτων μέσω ειδικών προσβάσεων, συμμετοχή στις διάφορες επιτροπές έργων και η ύπαρξη διαδικασιών και μηχανισμών άμεσης ενημέρωσης της Μονάδας Εσωτερικής Επιθεώρησης στις 97

98 περιπτώσεις εμφάνισης σημαντικών προβλημάτων και εκτάκτων περιστατικών. 5. Να κάνει χρήση (ανάλογα με την περίπτωση) ειδικού ελεγκτικού λογισμικού για τον αποτελεσματικότερο έλεγχο της ασφάλειας των συστημάτων και της ακεραιότητας των δεδομένων τους. 6. Να συμμετέχει στη φάση σχεδιασμού των συστημάτων για τη διαμόρφωση των κατάλληλων δικλείδων ασφαλείας, των ελεγκτικών αρχείων καταγραφής και αναφορών που παράγονται για τη διευκόλυνση του ελέγχου, καθώς και στη φάση των δοκιμών. 7. Να ελέγχει και να αξιολογεί τις διαδικασίες παραγωγής των στοιχείων που υποβάλλονται στη Διοίκηση του Πιστωτικού Ιδρύματος και τις Εποπτικές Αρχές, ώστε να διασφαλίζεται η πληρότητα και ακρίβεια τους. 8. Να μεριμνά για την άμεση και πλήρη ενημέρωση, στις περιπτώσεις σοβαρών προβλημάτων και έκτακτων περιστατικών στα Πληροφοριακά Συστήματα (περιπτώσεις απάτης, παραβίασης της ασφάλειας σημαντικών συστημάτων, μη διαθεσιμότητας κρίσιμων συστημάτων, ενεργοποίησης Σχεδίων Ανάκαμψης από Καταστροφή), της αρμόδιας υπηρεσιακής μονάδας της Διεύθυνσης Εποπτείας Πιστωτικού Συστήματος της Τράπεζας της Ελλάδας, σύμφωνα με τις ισχύουσες διατάξεις. 9. Να ελέγχει και να αξιολογεί την επάρκεια και συμμόρφωση με τις διαδικασίες που διέπουν τις φάσεις συνεργασίας του Πιστωτικού Ιδρύματος (επιλογή συνεργάτη, σύναψη και τήρηση συμβολαίου, ποιότητα παρεχόμενων υπηρεσιών) με προμηθευτές και παρόχους μηχανογραφικών υπηρεσιών βάσει των προαναφερθέντων. 10. Να επιβλέπει το ελεγκτικό έργο στα συστήματα πληροφορικής σε επίπεδο ομίλου. Για το σκοπό αυτό οφείλει να διατηρεί διαύλους επικοινωνίας με στόχο την αποτελεσματική συνεργασία με τις διοικήσεις και τον εσωτερικό έλεγχο των θυγατρικών και του δικτύου καταστημάτων εξωτερικού. Να αξιολογεί την επάρκεια του ελεγκτικού έργου μέσω πειοδικών αναφορών ή και συμμετοχής του 98

99 στις Επιτροπές Ελέγχου των θυγατρικών, ειδικά σε αυτές που το μέγεθος και η πολυπλοκότητα των συστημάγτων το καθιστούν αναγκαίο. Να αξιολογεί την επάρκεια των διενεργούμενων εξειδικευμένων ελέγχων από εσωτερικούς και εξωτερικούς ελεγκτές. Να προβαίνει σε γενικούς και ειδικούς ελέγχους ανά περίπτωση, για την κάλυψη των ελεγκτικών αναγκών που είτε δεν καλύπτονται επαρκώς από τον εσωτερικό έλεγχο των εν λόγω μονάδων, είτε κρίνονται απαραίτητοι από τη σχετική ανάλυση κινδύνων. 11. Να μελετά, να αξιολογεί και να εφαρμόζει, όπου κρίνει πρόσφορο, τα διεθνή πρότπυπα και μεθοδολογίες ελέγχου Πληροφοριακών Συστημάτων. Σε ότι αφορά στους ελέγχους που ανατίθενται σε εξωτερικούς ελεγκτές, το Πιστωτικό Ίδρυμα θα πρέπει να διαθέτει πολιτική για το εύρος και το ρόλο του εξωτερικού ελέγχου στα Πληροφοριακά Συστήματς, καθώς και διαδικασίες αξιολόγησης των προσφερομένων υπηρεσιών. Η πολιτική θα πρέπει να τεκμηριώνει τις περιπτώσεις που ο εξωτερικός έλεγχος δρα, είτε παράλληλα με τον εσωτερικό προσφέροντας μια επιπλέον εξειδικευμένη άποψη, είτε συμπληρωματικά προκειμένου να καλύψει εξειδικευμένες ελεγκτικές απαιτήσεις όπου δεν υπάρχει η δυνατότητα να καλυφθούν εσωτερικά, ή και με τους δύο τρόπους. [xvi] 99

100 ΚΕΦΑΛΑΙΟ 9 ο Μονάδα Εσωτερικής Επιθεώρησης Εικόνα 13. Μονάδα Εσωτερικής Επιθεώρησης Σε όλα τα Πιστωτικά Ιδρύματα πρέπει να υπάρχει υπηρεσιακή Μονάδα Εσωτερικής Επιθεώρησης η οποία: 1. Είναι διοικητικά ανεξάρτητη από μονάδες με εκτελεστικές αρμοδιότητες και από τις υπηρεσίες που είναι αρμόδιες για την πραγματοποίηση ή λογιστικοποίηση συναλλαγών. 2. Αναφέρεται για τα θέματα αρμοδιότητάς της, στο Διοικητικό Συμβούλιο μέσω της Επιτροπής Ελέγχου και στη Διοίκηση, μετά από τον καθορισμό των κατάλληλων προϋποθέσεων που θα διασφαλίζουν την ανεξαρτησία της. Στις κύριες αρμοδιότητες της Μονάδας Εσωτερικής Επιθεώρησης εντάσσονται: 1. Η διενέργεια ελέγχων προκειμένου να διαμορφωθεί αντικειμενική, ανεξάρτητη και τεκμηριωμένη άποψη για την επάρκεια και την αποτελεσματικότητα του Συστήματος Εσωτερικού Ελέγχου, σε επίπεδο Πιστωτικού Ιδρύματος και του ομίλου του οποίου είναι επικεφαλής. 100

101 2. Η διενέργεια ειδικών ελέγχων, στις περιπτώσεις που υπάρχουν ενδείξεις για βλάβη των συμφερόντων του Πιστωτικού Ιδρύματος ή των εταιρειών του ομίλου, με σκοπό τη διεξοδική εξέταση του θέματος και την εξακρίβωση της έκτασης της τυχόν ζημιάς. 3. Η αξιολόγηση, μέσω των ελέγχων που διενεργεί, του βαθμού εφαρμογής και της αποτελεσματικότητας των διαδικασιών που έχουν θεσπιστεί για την διαχείριση κινδύνων που έχουν θεσπιστεί για τη διαχείριση κινδύνων και τον υπολογισμό των παραμέτρων στις οποίες βασίστηκε η εκτίμηση της κεφαλαιακής επάρκειας του Πιστωτικού Ιδρύματος και των εταιρειών του ομίλου, όπου προβλέπεται, καθώς και του βαθμού ενσωμάτωσης του συστήματος διαχείρισης κινδύνων στους μηχανισμούς λήψης αποφάσεων (use tests). 4. Η επιβεβαίωση προς την Τράπεζα της Ελλάδος της πληρότητας και εγκυρότητας των πιο πάνω διαδικασιών και ειδικότερα των διαδικασιών εκτίμησης των παραμέτρων, στις οποίες βασίστηκε η εκτίμηση του ύψους της πιθανής ζημιάς. 5. Η αξιολόγηση της οργανωτικής διάρθρωσης, κατανομής αρμοδιοτήτων και καθηκόντων και διαχείριση ανθρώπινου δυναμικού, καθώς και του βαθμού κατά τον οποίο έχουν καθιερωθεί κατάλληλες πολιτικές και διαδικασίες εταιρικής διακυβέρνησης. 6. Η αξιολόγηση του έργου των τομέων εσωτερικού ελέγχου, όπου υπάρχουν, στις μονάδες του Πιστωτικού Ιδρύματος και των εταιρειών του ομίλου του. 7. Η αξιολόγηση της οργάνωσης και λειτουργίας των συστημάτων και μηχανισμών που αφορούν την παραγωγή αξιόπιστης, πλήρους και έγκαιρης χρηματοοικονομικής και διοικητικής πληροφόρησης, όπου αυτή κατά περίπτωση παρέχεται. 101

102 8. Η αξιολόγηση της οργάνωσης και λειτουργίας των συστημάτων πληροφορικής, κατά τα προβλεπόμενα στο προηγούμενο κεφάλαιο, καθώς και των λογιστικών συστημάτων. 9. Η αξιολόγηση των διαδικασιών που έχουν θεσπιστεί για την κανονιστική συμμόρφωση. 10. Η αξιολόγηση του βαθμού κατά τον οποίο τα συλλογικά όργανα και οι μονάδες του Πιστωτικού Ιδρύματος καθώς και οι εταιρείες του ομίλου: 10.1 Χρησιμοποιούν αποτελεσματικά τα μέσα και τους πόρους που τους διατίθενται για τη συνεπή υλοποίηση της επιχειρησιακής στρατηγικής Τηρούν τις κατευθύνσεις και τις διαδικασίες που έχουν αρμοδίως καθορισθεί με στόχο τη συστηματική παρακολούθηση και διαχείριση της πάσης φύσεως κινδύνων που αναλαμβάνονται (π.χ. θέσπιση και τήρηση ορίων) Μεριμνούν για την διασφάλιση της πληρότητας και ακρίβειας των στοιχείων και πληροφοριών που απαιτούνται για την κατάρτιση αξιόπιστων οικονομικών καταστάσεων, σύμφωνα με τις ισχύουσες λογιστικές αρχές Μεριμνούν για την ενσωμάτωση σε όλες τις διαδικασίες και συναλλαγές που διενεργούνται, των κατάλληλων προληπτικών και κατασταλτικών ελεγκτικών μηχανισμών και ασφαλιστικών δικλείδων (controls). 11. Η υποβολή προτάσεων για τη θεραπεία τυχόν αδυναμιών που εντοπίζονται στο Σύστημα Εσωτερικού Ελέγχου, ή και τη βελτίωση των υφιστάμενων, διαδικασίων και πρακτικών, προκειμένου να επιτυγχάνονται πλήρως οι στόχοι του Συστήματος Εσωτερικού Ελέγχου. 12. Η παρακολούθηση της εφαρμογής και αποτελεσματικότητας των διορθωτικών μέτρων από τις ελεγχόμενες μονάδες του Πιστωτικού 102

103 Ιδρύματος και τις εταιρείες του ομίλου, για την επαρκή αντιμετώπιση των πιο πάνω αδυναμιών και των παρατηρήσεων που καταγράφονται στις εκθέσεις των πάσης φύσεως ελέγχων (εσωτερικών ελεγκτών, εξωτερικών ελεγκτών, εποπτικών αρχών, φορολογικών αρχών κλπ), με σχετική ενημέρωση της Διοίκησης και της Επιτροπής Ελέγχου. 13. Η εύλογη και αντικειμενική διαβεβαίωση του Διοικητικού Συμβουλίου και της Διοίκησης του Πιστωτικού Ιδρύματος σχετικά με την επίτευξη των στόχων του Συστήματος Εσωτερικού Ελέγχου, όσον αφορά το Πιστωτικό Ίδρυμα και τις εταιρείες του ομίλου του οποίου είναι επικεφαλής. Για το σκοπό αυτό η Μονάδα Εσωτερικού Ελέγχου: 13.1 Ενημερώνει εγγράφως, το Διοικητικό Συμβούλιο μέσω της Επιτροπής Ελέγχου και τη Διοίκηση, τουλάχιστον ανά τρίμηνο, καθώς και τις κατά περίπτωση αρμόδιες μονάδες του Πιστωτικού Ιδρύματος για τις κυριότερες διαπιστώσεις των διενεργούμενων ελέγχων και για τις τυχόν συστάσεις στις οποίες έχει προβεί Υποβάλλει, εντός του πρώτου τριμήνου κάθε έτους, στη Διοίκηση και μέσω της Επιτροπής Ελέγχουνστο Διοικητικό Συμβούλιο του Πιστωτικού Ιδρύματος έκθεση σχετικά με: α) την επάρκεια και αποτελεσματικότητα του Συστήματος Εσωτερικού Ελέγχου στο Πιστωτικό Ίδρυμα και στις εταιρείες του ομίλου, β) την αποτελεσματικότητα και την τήρηση των διαδικασιών διαχείρισης κινδύνων και των συναφών πιστοδοτικών διαδικασιών, συμπεριλαμβανομένης της πολιτικής προβλέψεων (με επισήμανση των τυχόν μη καλυπτόμενων κινδύνων), γ) την επάρκεια των διαδικασιών σε σχέση με την εσωτερική αξιολόγηση της κεφαλαιακής επάρκειας του Πιστωτικού Ιδρύματος, δ) την εκτίμηση για την πληρότητα της διαδικασίας ή μεθοδολογίας υπολογισμού της απομείωσης της αξίας των δανείων και άλλων περουσιακών στοιχείων και των 103

104 τυχόν μεταβολών κατά τη διάρκεια της χρήσης, καθώς και το πρόγραμμα δράσης για τον επόμενο χρόνο. 14. Παρέχει στην Τράπεζα της Ελλάδος, κατα κανόνα εγγράφως, οποιαδήποτε στοιχεία ή πληροφορίες ζητηθούν, στο πλαίσιο της ειδικής νομοθεσίας για την εποπτεία των Πιστωτικών Ιδρυμάτων (νοούμενης ως την πέραν των διατάξεων του Νόμου 3016/2002 νομοθεσίας, του Ν.Δ. 588/1948, του Α.Ν. 1965/1951, του Ν. 2076/1992 και του άρθρου 55 Α του Καταστατικού της Τράπεζας της Ελλάδος), τα οποία αφορούν θέματα της αρμοδιότητάς της και διευκολύνει με κάθε δυνατό τρόπο το έργο της. Για την αποτελεσματική άσκηση των αρμοδιοτήτων της, η Μονάδα Εσωτερικής Επιθεώρησης: 1. Έχει πρόσβαση σε όλες τις δραστηριότητες και μονάδες, καθώς και σε όλα τα στοιχεία και πληροφορίες του Πιστωτικού Ιδρύματος και των εταιρειών του ομίλου. 2. Διαθέτει έμπειρο και αριθμητικά επαρκές προσωπικό, το οποίο είναι πλήρους και αποκλειστικής απασχόλησης και δεν υπάγεται ιεραρχικά σε άλλη υπηρεσιακή μονάδα του Πιστωτικού Ιδρύματος. Η Τράπεζα της Ελλάδος δύναται να παρέχει εξαίρεση από την προϋπόθεση της αποκλειστικής απασχόλησης σε ορισμένες κατηγορίες πιστωτικών ιδρυμάτων σύμφωνα με την αρχή της αναλογικότητας. Ο επικεφαλής της Μονάδας Εσωτερικής Επιθεώρησης του Πιστωτικού Ιδρύματος: 1. Ορίζεται απόι το Διοικητικό Συμβούλιο (κατόπιν εισήγησης της Επιτροπής Ελέγχου, όπου υπάρχει) και η τοποθέτησή του όπως και τυχόν αντικατάστασή του γνωστοποιούνται στην Τράπεζα της Ελλάδος (Διεύθυνση Εποπτείας Πιστωτικού Συστήματος). Η Τράπεζα της Ελλάδος διατηρεί την ευχέρεια μα ζητήσει την αντικατάστασή του σε περίπτωση που κρίνει ότι δεν πληρούνται τα κριτήρια καταλληλότητας επάρκειας για την εκπλήρωση των αρμοδιοτήτων του. 104

105 2. Διαθέτει υψηλού επιπέδου γνώσεις και επαρκή εμπειρία επί ελεγκτικών μεθόδων και βέλτιστων διεθνών πρακτικών. 3. Είναι αποκλειστικής και πλήρους απασχόλησης. Η Τράπεζα της Ελλάδος δύναται να παρέχει εξαίρεση από την υποχρέωση αυτή σε ορισμένες κατηγορίες Πιστωτικών Ιδρυμάτων, λαμβάνοντας υπόψη την αρχή της αναλογικότητας. 4. Μεριμνά για την κατάλληλη οργανωτική δομή της Μονάδας Εσωτερικής Επιθεώρησης, καθώς και για την εφαρμογή εκ μέρους της αποτελεσματικών πολιτικών, διαδικασίων και πρακτικών σύμφωνων με τις βέλτιστες ελεγκτικές πρακτικές και τα πρότυπα του εσωτερικού ελέγχου. 5. Ενημερώνει εκ των υστέρων τα αρμόδια όργανα της Τράπεζας της Ελλάδος για σημαντικές μεταβολές σε σχέση με την οργάνωση και λειτουργία της Μονάδας Εσωτερικής Επιθεώρησης. 6. Εποπτεύει και συντονίζει τη δραστηριότητα των μονάδων εσωτερικού ελέγχου στις λοιπές μονάδες του πιστωτικού ιδρύματος, εφόσον υφίστανται, και στις εταιρείες του ομίλου. 7. Παρίσταται στις Γενικές Συνελεύσεις των Μετόχων του Πιστωτικού Ιδρύματος. Η Μονάδα Εσωτερικής Επιθεώρησης είναι υπεύθυνη για τον έλεγχο της εφαρμογής των συμφωνηθέντων και την τήρηση των διαδικασιών όσον αφορά την ανάθεση δραστηριοτήτων σε τρίτους. [xvi] 105

106 ΚΕΦΑΛΑΙΟ 10 ο Αποτελέσματα Μελέτης Κινδύνων Καθώς τα Πληροφοριακά Συστήματα της Εθνικής Τράπεζας της Ελλάδος ακολουθούν όλα τα διεθνή πρότυπα ασφάλειας που αποτελούνται από πολλά και πολλαπλά επίπεδα ελέγχου ασφάλειας των συστημάτων, η ουσιαστική παρουσία εξωτερικού κινδύνου προλαμβάνεται και καθίσταται θεωρητικά αδύνατη η πραγματοποίηση απάτης εις βάρος αυτών. Έπειτα απο συλλογή στατιστικών στοιχείων και μελέτη πραγματικών καταστάσεων κινδύνων αποφασίσαμε να ασχοληθούμε με ένα σημαντικό λειτουργικό κίνδυνο όσων αφορά τα Πληροφοριακά Συστήματα που υπόκειται στην κατηγορία της εσωτερικής απάτης. Αυτό είναι από τα πιο συχνά φαινόμενα καθώς οι δικλείδες ασφαλείας είναι πιο ευάλωτες στους εσωτερικούς κινδύνους απ ότι στους εξωτερικούς.επίσης οι εκάστοτε υπάλληλοι έχουν και εξουσιοδοτημένη πρόσβαση στα συστήματα αυτά κάνοντας πιο εύκολη, κατα κάποιον τρόπο, την υπεξαίρεση χρήματικών ποσών ή την χειραγώγηση των λογαριασμών που είχαν παραμείνει για μεγάλο χρονικό διάστημα χωρίς κίνηση. Κατά την μελέτη των δεδομένων που μας παρουσιάστηκαν παρατηρήθηκαν κάποια σενάρια εσωτερικής απάτης τα οποία θα μπορούσαν να είχαν προληφθεί ή να έχουν ελεγχθεί πολύ νωρίτερα αποφεύγοντας τη δημιουργία προβλημάτων στην ασφάλεια των Πληροφοριακών Συστημάτων. Κάποια από τα σενάρια αυτά αφορούσαν λογαριασμούς οι οποίοι είχαν παραμείνει ακίνητοι για κάποιο μεγάλο χρονικό διάστημα. 106

107 Η πρόταση που δίνεται είναι η δημιουργία ενός προγράμματος συστήματος το οποίο να ελέγχει «σημεία συναγερμού». Όταν αναφέρουμε την έκφραση «σημεία συναγερμού» εννοούμε ύποπτες μετακινήσεις χρηματικών ποσών και κυρίως σε μεταφορές μεταξυ διαφορετικών λογαριασμών. Σύστημα «INTRACODE» Η ιδέα της ονομασίας προέρχεται από το συνδυασμό των αρχικών της έκφρασης INTRAnet COde DEvice (συσκευή κωδικών ιδιωτικού δικτύου). Σκοπός του συστήματος αυτού είναι ο συστηματικός και πλήρης έλεγχος των τραπεζικών λογαριασμών που έχουν παραμείνει ακίνητοι για ένα μεγάλο προκαθορισμένο χρονικό διάστημα Κατηγοριοποίηση Ακίνητων Λογαριασμών Αρχική μας προϋπόθεση είναι οι λογαριασμοί αυτοί να χωριστούν σε πέντε κατηγορίες: 1 η ΚΑΤΗΓΟΡΙΑ Ακίνητοι λογαριασμοί μικρής διάρκειας Η κατηγορία αυτή περιλαμβάνει τους λογαριασμούς στους οποίους δεν έχει πραγματοποιηθεί κίνηση για χρονικό διάστημα από 2 εώς 5 χρόνια. 2 η ΚΑΤΗΓΟΡΙΑ Ακίνητοι λογαριασμοί μεσαίας διάρκειας 107

108 Η κατηγορία αυτή περιλαμβάνει τους λογαριασμούς στους οποίους δεν έχει πραγματοποιηθεί κίνηση για χρονικό διάστημα από 6 εώς 10 χρόνια 3 η ΚΑΤΗΓΟΡΙΑ Ακίνητοι λογαριασμοί μεγάλης διάρκειας Η κατηγορία αυτή περιλαμβάνει τους λογαριασμούς στους οποίους δεν έχει πραγματοποιηθεί κίνηση για χρονικό διάστημα από 11 εώς 20 χρόνια. 4 η ΚΑΤΗΓΟΡΙΑ Λογαριασμοί νομικής αδράνειας Η κατηγορία αυτή περιλαμβάνει τους λογαριασμούς στους οποίους το Πιστωτικό Ίδρυμα βρίσκεται σε δικαστική διένεξη με το φυσικό πρόσωπο που κατέχει τον λογαριασμό. 5 η ΚΑΤΗΓΟΡΙΑ Λογαριασμοί «Προς Μεταφορά» Η κατηγορία αυτή είναι φανερή μόνο στους αρμόδιους χρήστες της Περιφερειακής Διεύθυνσης και της Μονάδας Εσωτερικών Υποθέσεων.Σε αυτή την κατηγορία εμφανίζονται οι ακίνητοι λογαριασμοί όταν παρατηρηθεί κάποια κίνηση σε αυτούς. Οι κατηγορίες που χωρίζονται όσων αφορά τη χρονική διάρκεια αδράνειας σταματούν στα 20 χρόνια καθώς υπάρχει ένα αμφισβητούμενο προς το παρόν νομοθετικό διάταγμα που προβλέπει συγκεκριμένα : Νομοθετικό Διάταγμα 1195 του 1942 «περί παραγραφής υπέρ του Δημοσίου καταθέσεων παρά Τράπεζαις και άλλων τινών αξιών και απαιτήσεων» προβλέπει μεταξύ των άλλων στα άρθρα 2, 3 και 4 ότι: «Καταθέσεις εις μετρητά, και τόκοι αυτών, περιέχονται οριστικώς εις το Ελληνικόν 108

109 Δημόσιον εφόσον αι καταθέσεις επί 20ετίαν αφ ης απέβησαν διαθέσιμοι υπέρ των δικαιούχων, οι δε τόκοι επί 5ετίαν αφ ης κατέστησαν απαιτητοί ή εντός οριζόμενης τυχόν βραχυτέρας συμβατικής αποσβεστικής προθεσμίας δεν εζητήθησαν υπό των δικαιούχων ή οπωσδήποτε δεν απετέλεσαν κατόπιν ειδικής αιτήσεως τούτων αντικείμενον πράξεως τινός, συνεπαγούσης μεταβολήν του σχετικού λογαριασμού».[16] Η ίδια προθεσμία ισχύει και για μετοχές όπως και για ομόλογα κλπ. Αν τίτλοι και χρεόγραφα δεν αναζητηθούν επί 20ετία πηγαίνουν υπέρ του Δημοσίου. Σύμφωνα με νομικούς κύκλους σήμερα οι διατάξεις του εν λόγω νόμου είναι διάτρητες για λόγους συνταγματικότητας. Διότι το κράτος παρεμβαίνει σε μία καθαρά ιδιωτικού δικαίου σχέση τρίτων (δηλαδή της τράπεζας και του πελάτη) με αποτέλεσμα να περιέρχεται τελικά στο Δημόσιο το αντικείμενο αυτής της έννομης σχέσης με την αιτιολογία ότι τα δύο μέρη δεν ασχολήθηκαν με τη σχέση τους αυτή για ορισμένο χρονικό διάστημα Δημιουργία και Ιδιότητες Κατηγοριών Απαιτείται η δημιουργία μιας νέας βάσης δεδομένων που θα περιέχει τις κατηγορίες αυτές.η βάση δεδομένων αυτή θα ελέγχεται σε ανώτερο επίπεδο από την Μονάδα Εσωτερικής Επιθεώρησης.Σε ενδιάμεσο επίπεδο θα ελέγχεται επίσης και από αρμόδιο περιφερειακό διευθυντή υποδιευθυντή. Στις κατηγορίες αυτές θα εισάγονται αντίστοιχα οι λογαριασμοί βάση της διαφοράς του χρονικού διαστήματος τελευταίας κίνησης και της τρέχουσας ημερομηνίας. Η πληροφορία αυτή βρίσκεται υποχρεωτικά στα στοιχεία του κάθε λογαριασμού.[17] Η βάση δεδομένων θεωρητικά θα «κλειδώνει» τους λογαριασμούς αυτούς μέσα στα πληροφοριακά συστήματα δίνοντας τους ένα συγκεκριμένο και μοναδικό 8- ψήφιο id αποτελούμενο από λατινικούς χαρακτήρες(a-z) και αριθμούς (0-9) το οποίο θα σηματοδοτεί ότι ο λογαριασμός έχει παραμείνει ακίνητος για χρονικό διάστημα μεγαλύτερο των δύο ετών. Στο συγκεκριμένο σύστημα δεν θα 109

110 περιλαμβάνονται προφανώς οι προθεσμιακές καταθέσεις καθώς σε αυτές έχει υπάρξει συγκεκριμμένη συμφωνία μεταξύ του πελάτη και του καταστήματος. Μια θεωρητική εικόνα των στοιχείων που θα περιλαμβάνει τις απαραίτητες πληροφορίες του ακίνητου λογαριασμού παρουσιάζεται παρακάτω. Εικόνα 14. Πληροφορίες Λογαριασμού 10.3 Κανόνες Λειτουργίας Συστήματος INTRACODE Το σύστημα αυτό θα ρυθμίζει την βάση δεδομένων βάσει κάποιων συγκεκριμένων κανόνων: 1. Η εισαγωγή λογαριασμού στις αντίστοιχες κατηγορίες θα γίνει αρχικά αυτοματοποιημένα από το σύστημα ελέγχοντας τη διαφορά της ημερομηνίας τελευταίας κίνησης και της τρέχουσας ημερομηνίας και θα δοθεί μοναδικό id σε κάθε λογαριασμό που θα ανήκει σε μία από αυτές τις κατηγορίες ξεχωριστά. 110