ΟΛΟΚΛΗΡΩΜΕΝΟ ΠΛΗΡΟΦΟΡΙΑΚΟ ΣΥΣΤΗΜΑ ΠΟΛΙΤΙΚΗΣ ΠΡΟΣΤΑΣΙΑΣ

Transcript

1 ΟΛΟΚΛΗΡΩΜΕΝΟ ΠΛΗΡΟΦΟΡΙΑΚΟ ΣΥΣΤΗΜΑ ΠΟΛΙΤΙΚΗΣ ΠΡΟΣΤΑΣΙΑΣ Εργαστήριο Ασφάλειας Πληροφοριακών και Επικοινωνιακών Συστημάτων, Πανεπιστήμιο Αιγαίου Π Ο Λ Ι Τ Ι Κ Η Α Σ Φ Α Λ Ε Ι Α Σ Έκδοση: 1.0 Ημερομηνία: Διαβάθμιση: Εμπιστευτικό

2 ΕΛΕΓΧΟΣ ΕΓΓΡΑΦΟΥ ΙΣΤΟΡΙΚΟ ΕΚΔΟΣΕΩΝ Ημερομηνία Έκδοση Συγγραφείς Αλλαγές 30/06/ Μελετητική Ομάδα Ασφάλειας Πανεπιστημίου Αιγαίου 2 / 22

3 ΠΙΝΑΚΑΣ ΠΕΡΙΕΧΟΜΕΝΩΝ ΕΠΙΤΕΛΙΚΗ ΣΥΝΟΨΗ... 4 ΕΙΣΑΓΩΓΗ... 5 ΈΝΘΕΣΗ ΠΑΡΑΔΟΤΕΟΥ... 5 ΑΝΤΙΚΕΙΜΕΝΟ, ΣΚΟΠΟΣ ΚΑΙ ΣΤΟΧΟΙ ΤΗΣ ΠΟΛΙΤΙΚΗΣ ΑΣΦΑΛΕΙΑΣ ΤΟΥ Ο.Π.Σ ΠΡΟΤΕΙΝΟΜΕΝΑ ΜΕΤΡΑ ΠΡΟΣΤΑΣΙΑΣ... 6 ΜΕΘΟΔΟΛΟΓΙΑ ΑΝΑΠΤΥΞΗΣ ΚΑΙ ΚΥΡΙΑ ΣΗΜΕΙΑ ΤΗΣ ΠΟΛΙΤΙΚΗΣ ΑΣΦΑΛΕΙΑΣ... 8 ΕΙΣΑΓΩΓΗ... 8 ΠΟΛΙΤΙΚΗ ΑΣΦΑΛΕΙΑΣ ΚΑΙ ΜΕΛΕΤΗ ΑΝΑΛΥΣΗΣ ΕΠΙΚΙΝΔΥΝΟΤΗΤΑΣ... 8 ΣΤΟΧΟΙ ΚΑΙ ΧΡΗΣΙΜΟΤΗΤΑ ΤΗΣ ΠΟΛΙΤΙΚΗΣ ΑΣΦΑΛΕΙΑΣ... 8 ΕΜΒΕΛΕΙΑ ΤΗΣ ΠΟΛΙΤΙΚΗΣ ΑΣΦΑΛΕΙΑΣ... 9 ΒΑΣΙΚΕΣ ΑΡΧΕΣ ΔΙΑΜΟΡΦΩΣΗΣ ΤΗΣ ΠΟΛΙΤΙΚΗΣ ΑΣΦΑΛΕΙΑΣ... 9 ΑΞΙΟΠΟΙΗΣΗ ΤΗΣ ΠΟΛΙΤΙΚΗΣ ΑΣΦΑΛΕΙΑΣ ΒΑΣΙΚΟΙ ΆΞΟΝΕΣ ΤΗΣ ΠΟΛΙΤΙΚΗΣ ΑΣΦΑΛΕΙΑΣ ΒΑΣΙΚΟΙ ΆΞΟΝΕΣ ΤΗΣ ΠΟΛΙΤΙΚΗ ΑΣΦΑΛΕΙΑΣ ΔΙΑΔΙΚΑΣΙΕΣ ΔΙΑΧΕΙΡΙΣΗΣ ΤΗΣ ΠΟΛΙΤΙΚΗΣ ΑΣΦΑΛΕΙΑΣ ΟΡΓΑΝΩΣΗ ΚΑΙ ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ ΤΟΥ Ο.Π.Σ ΖΗΤΗΜΑΤΑ ΠΡΟΣΩΠΙΚΟΥ: ΑΡΜΟΔΙΟΤΗΤΕΣ & ΚΑΤΑΡΤΙΣΗ ΑΣΦΑΛΕΙΑ ΚΑΙ ΣΥΝΤΗΡΗΣΗ Ο.Π.Σ ΑΣΦΑΛΕΙΑ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΚΑΙ ΕΠΙΚΟΙΝΩΝΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ ΑΣΦΑΛΕΙΑ ΦΥΣΙΚΩΝ ΕΓΚΑΤΑΣΤΑΣΕΩΝ ΚΑΙ ΠΕΡΙΒΑΛΛΟΝΤΟΣ / 22

4 Επιτελική Σύνοψη Στο παρόν παραδοτέο του έργου παρουσιάζονται οι προτάσεις για την του Ολοκληρωμένου Πληροφοριακού Συστήματος της Γ.Γ.Π.Π., καθώς και των συναφών εγκαταστάσεών του. Η περιλαμβάνει ένα σύνολο αρχών και κανόνων που καθορίζουν τον τρόπο με τον οποίο η Γ.Γ.Π.Π. καλείται να διαχειρίζεται και να προστατεύει τους πόρους του Ο.Π.Σ., έτσι ώστε να επιτυγχάνει συγκεκριμένους στόχους ασφάλειας. Οι στόχοι αυτοί έχουν καθοριστεί από την Ανάλυση Επικινδυνότητας που προηγήθηκε και συνοψίζονται στη σύννομη, αδιάλειπτη και αποτελεσματική λειτουργία του Ολοκληρωμένου Πληροφοριακού Συστήματος. 4 / 22

5 Εισαγωγή Ένθεση Παραδοτέου Το παρόν παραδοτέο με τίτλο «του Ο.Π.Σ. και των εγκαταστάσεων» εντάσσεται στη Φάση της Πιλοτικής Λειτουργίας του Έργου ανάπτυξης του Ολοκληρωμένου Πληροφοριακού Συστήματος της Γενικής Γραμματείας Πολιτικής Προστασίας. Αντικείμενο, σκοπός και στόχοι της πολιτικής ασφάλειας του Ο.Π.Σ. Το Ο.Π.Σ. αξιοποιεί τις τεχνολογίες της Πληροφορικής και των Τηλεπικοινωνιών σε όλο το εύρος των δραστηριοτήτων του. Η υλοποίηση του Ο.Π.Σ. της Γ.Γ.Π.Π. αποτελεί σημαντική οικονομική επένδυση και αποσκοπεί στη βελτίωση της αποτελεσματικότητας της λειτουργίας της Πολιτικής Προστασίας, στη βελτίωση των υπηρεσιών που προσφέρονται στους πολίτες και στην υποστήριξη των δράσεων της υπηρεσίας σε περιόδους κρίσεων και εκτάκτων αναγκών. Με βάση τα ανωτέρω, η προστασία του Ο.Π.Σ. και των εγκαταστάσεών του από ενδεχόμενους κινδύνους αποτελεί δράση μείζονος σημασίας. Σκοπός της μελέτης ασφάλειας είναι, μεταξύ άλλων, η διατύπωση προς τη Γ.Γ.Π.Π. μιας δόκιμης Πολιτικής Ασφάλειας. Η ανακλά την πρόθεση της Γ.Γ.Π.Π. να προστατέψει την πληροφοριακή υποδομή και τις συναφείς εγκαταστάσεις του Ο.Π.Σ. Η, που περιλαμβάνεται στο παραδοτέο αυτό, περιγράφει το σύνολο των αρχών και κανόνων που καθορίζουν τον τρόπο με τον οποίο θα πρέπει να διαχειρίζονται και να προστατεύονται οι πόροι του Ο.Π.Σ., έτσι ώστε να επιτυγχάνονται συγκεκριμένοι στόχοι ασφάλειας. Οι στόχοι αυτοί έχουν καθοριστεί από την Ανάλυση Επικινδυνότητας που προηγήθηκε και συνοψίζονται στη σύννομη, αδιάλειπτη και αποτελεσματική λειτουργία του Ολοκληρωμένου Πληροφοριακού Συστήματος της Γ.Γ.Π.Π. 5 / 22

6 Προτεινόμενα Μέτρα Προστασίας Η είναι διαρθρωμένη σε δύο μέρη. Στο πρώτο μέρος παρουσιάζονται τα κύρια σημεία της και η μεθοδολογία ανάπτυξής της, ενώ στο δεύτερο αναλύονται οι βασικοί άξονες ασφάλειας επί των οποίων χαράσσεται η : Άξονες Πολιτικές Διαδικασίες Διαχείρισης της Πολιτικής Ασφάλειας Η Γ.Γ.Π.Π. αποδίδει υψηλή προτεραιότητα στην ασφάλεια του Ο.Π.Σ. Ορισμός της Ασφάλειας του Ο.Π.Σ. Εμβέλεια της Πολιτικής Ασφάλειας Συμμόρφωση με την Νομικές υποχρεώσεις Διαχείριση αλλαγών Εποπτεία εφαρμογής της Πολιτικής Ασφάλειας Οργάνωση και Διαχείριση Ασφάλειας του Ο.Π.Σ. Στρατηγική και Οργάνωση Ασφάλειας Εποπτεία Ασφάλειας Ο.Π.Σ. Διαχείριση Σχέσεων με Τρίτους Φορείς Διαμόρφωση Θετικής Προδιάθεσης προς την Ασφάλεια Ζητήματα Προσωπικού: Αρμοδιότητες & Κατάρτιση Απονομή Αρμοδιοτήτων Εκπαίδευση Προσωπικού σε Θέματα Ασφάλειας ΠΣ Ασφάλεια και Συντήρηση Ο.Π.Σ. 6 / 22

7 Άξονες Πολιτικές Οργάνωση της Συντήρησης του Ο.Π.Σ Ασφάλεια Πληροφοριακών και Επικοινωνιακών Συστημάτων Βασικές Διαδικασίες Ασφάλειας Ελάχιστο Πλαίσιο Ασφαλούς Διαχείρισης Δεδομένων Αυθεντικοποίηση και Έλεγχος Προσπέλασης Χειρισμός Περιστατικών Ανασφάλειας Ασφάλεια Δικτύων και Επικοινωνιών Ασφάλεια Φυσικών Εγκαταστάσεων και Περιβάλλοντος Ασφάλεια Κτηριακών Εγκαταστάσεων Πίνακας 1: Άξονες Πολιτικής Ασφάλειας του Ο.Π.Σ. Ασφάλεια Εξοπλισμού και Μέσων Λειτουργίας του Ο.Π.Σ. Το σύνολο των αξόνων ασφάλειας καλύπτει τις περιοχές εκείνες που η Ανάλυση Επικινδυνότητας υπέδειξαν ως περιοχές-κλειδιά, όσον αφορά τη διασφάλιση βασικών απαιτήσεων ασφάλειας για τη Γ.Γ.Π.Π. Κάθε άξονας αντιπροσωπεύει ένα σύνολο οδηγιών που αφορούν συγκεκριμένους τομείς ασφάλειας, καθένας από τους οποίους αποσκοπεί στην ικανοποίηση ενός αντικειμενικού στόχου ασφάλειας. Οι τομείς αυτοί αναλύονται περαιτέρω σε οδηγίες, οι οποίες οδηγούν στην πραγματοποίηση του αντικειμενικού σκοπού ασφάλειας στον οποίο υπάγονται. 7 / 22

8 Μεθοδολογία Ανάπτυξης και Κύρια Σημεία Της Πολιτικής Ασφάλειας Εισαγωγή Μια για κάποιο Πληροφοριακό Σύστημα, αν και μπορεί να διαφέρει σημαντικά από οργανισμό σε οργανισμό, περιλαμβάνει γενικά το σκοπό και τους στόχους της ασφάλειας καθώς και οδηγίες, διαδικασίες, κανόνες, ρόλους και υπευθυνότητες που αφορούν την προστασία των πληροφοριακών συστημάτων και εγκαταστάσεων του οργανισμού. Οι οδηγίες και οι διαδικασίες που περιλαμβάνονται στην πολιτική ασφάλειας υλοποιούνται µε την εφαρμογή των μέτρων προστασίας για την ασφάλεια των πληροφοριακών συστημάτων, τα οποία περιγράφονται στο Σχέδιο Ασφάλειας. Η διατυπώνεται σε ένα έγγραφο, το οποίο θα πρέπει να γνωρίζουν και να ακολουθούν όλα τα µέλη του οργανισμού, στις δραστηριότητές τους που έχουν σχέση µε τα πληροφοριακά συστήματα που καλύπτει η Πολιτική. Η εφαρμογή της Πολιτικής Ασφάλειας έχει δεσμευτικό χαρακτήρα για όλα τα µέλη του οργανισμού. Αυτό σημαίνει ότι η τήρηση των διαδικασιών και οδηγιών που προβλέπει είναι υποχρεωτική για όλους τους χρήστες των πληροφοριακών συστημάτων. Και Μελέτη Ανάλυσης Επικινδυνότητας Μεθοδολογικά, η διαμόρφωση της πολιτικής ασφάλειας για τα πληροφοριακά συστήματα ενός οργανισμού έπεται της αξιολόγησης του επιπέδου ασφάλειας των συστημάτων. Η αξιολόγηση της ασφάλειας μπορεί να γίνει µε διάφορους τρόπους, ο συνηθέστερος των οποίων είναι η εκπόνηση Μελέτης Ανάλυσης Επικινδυνότητας (Risk Analysis). Στο πλαίσιο του συγκεκριμένου παραδοτέου, η διαμόρφωση της πολιτικής ασφάλειας για το Ολοκληρωμένο Πληροφοριακό Σύστημα και τις εγκαταστάσεις της Γ.Γ.Π.Π. έγινε µε βάση τα αποτελέσματα της ανάλυσης επικινδυνότητας με τη μέθοδο CRAMM, τα οποία περιλαμβάνονται στο αντίστοιχο παραδοτέο. Το σημαντικότερο πλεονέκτημα της προσέγγισης αυτής στη διαμόρφωση της πολιτικής ασφάλειας, έναντι της εναλλακτικής χρήσης κάποιας προτυποποιημένης Πολιτικής Ασφάλειας, είναι ότι η προτεινόμενη Πολιτική ανταποκρίνεται στις ιδιαίτερες ανάγκες και τα ειδικά χαρακτηριστικά της Γ.Γ.Π.Π., το επίπεδο επικινδυνότητας της οποίας έχει αποτιμηθεί προηγουμένως. Με την προσέγγιση αυτή, επίσης, διασφαλίζεται ότι το επίπεδο της παρεχόμενης ασφάλειας είναι αντίστοιχο των κινδύνων που το Πληροφοριακό Σύστημα και η εγκατάσταση αντιμετωπίζει. Περιορισμό της προσέγγισης αυτής αποτελεί το στοιχείο του υποκειμενισμού που αναπόφευκτα υπεισέρχεται στη διαδικασία αποτίμησης της επικινδυνότητας, στην οποία στηρίζεται η προτεινόμενη Πολιτική. Στόχοι και Χρησιμότητα Της Πολιτικής Ασφάλειας Η περιγράφει το σύνολο των βασικών αρχών και κανόνων που καθορίζουν τον τρόπο με τον οποίο η Γ.Γ.Π.Π. προστατεύει το Ο.Π.Σ. και τις εγκαταστάσεις της, έτσι ώστε να επιτυγχάνει συγκεκριμένους στόχους ασφάλειας. Σκοπός της Πολιτικής Ασφάλειας είναι να παράσχει στρατηγική καθοδήγηση σε όλες τις βαθμίδες διοίκησης και στο προσωπικό της Γ.Γ.Π.Π. για την προστασία του πληροφοριακού συστήματος και των δεδομένων του. Η δεν πρέπει να είναι απόλυτη ή 8 / 22

9 στατική, αλλά να προσαρμόζεται ακολουθώντας τις αλλαγές του Ο.Π.Σ. και του τεχνικοκοινωνικού περιβάλλοντος Η του Πληροφοριακού Συστήματος της Γ.Γ.Π.Π. ανακλά την πρόθεση της υπηρεσίας να προστατέψει την πληροφοριακή της υποδομή και τις φυσικές εγκαταστάσεις, που σχετίζονται με αυτήν. Η περιγράφει το σύνολο των αρχών και κανόνων που καθορίζουν τον τρόπο με τον οποίο η Γ.Γ.Π.Π. πρέπει να διαχειρίζεται και να προστατεύει τους πόρους της, έτσι ώστε να επιτυγχάνει συγκεκριμένους στόχους ασφάλειας. Οι στόχοι αυτοί έχουν καθοριστεί από την Ανάλυση Επικινδυνότητας και συνοψίζονται στη σύννομη, αδιάλειπτη και αποτελεσματική λειτουργία των πληροφοριακών συστημάτων της Γ.Γ.Π.Π.. Η Γ.Γ.Π.Π. καλείται να επιτύχει, με τη βοήθεια της Πολιτικής Ασφάλειας, τους ακόλουθους στόχους: Να παράσχει ποιοτικές υπηρεσίες προς τους πολίτες και να διασφαλίσει την κρίσιμη επιχειρησιακή της ικανότητα, ειδικά σε έκτακτες καταστάσεις και καταστροφές, στο βαθμό που αυτή εξαρτάται από την εμπιστευτικότητα, την ακεραιότητα και τη διαθεσιμότητα των δεδομένων και επικοινωνιών στο πλαίσιο του Ο.Π.Σ. Να αξιοποιήσει με το βέλτιστο δυνατό τρόπο την πληροφοριακή υποδομή της. Να συμμορφωθεί πλήρως με τις απαιτήσεις που απορρέουν από την Ελληνική και Ευρωπαϊκή Νομοθεσία. Να προστατεύσει την επένδυση που συνεπάγεται η ανάπτυξη και λειτουργία του Ο.Π.Σ. Η επιχειρεί να ορίσει κοινά αποδεκτές αρχές, τρόπους και αρμοδιότητες που διέπουν τη διαχείριση και το σχεδιασμό της ασφάλειας του Ο.Π.Σ. Αποτελεί το πλαίσιο για την καθοδήγηση της υλοποίησης των προτεινόμενων μέτρων προστασίας του Πληροφοριακού Συστήματος, τα οποία περιλαμβάνονται στο Σχέδιο Ασφάλειας. Ο χαρακτήρας της Πολιτικής Ασφάλειας δεν αφορά μόνον τεχνικά ή οργανωτικά θέματα, αλλά αντιμετωπίζει με την ίδια προσοχή και τις δύο απόψεις διαχείρισης της ασφάλειας των ΠΣ. Εμβέλεια της Πολιτικής Ασφάλειας Η αφορά το Πληροφοριακό Σύστημα και τις συναφείς εγκαταστάσεις της Γ.Γ.Π.Π. Καλύπτει το σύνολο των πληροφοριών που διακινούνται, τυγχάνουν επεξεργασίας, ή αποθηκεύονται σε ηλεκτρονική μορφή, επεκτείνεται, όμως, και στις περιπτώσεις όπου οι ανωτέρω πληροφορίες μετατρέπονται σε άλλες μορφές (π.χ. εκτυπώσεις). Η Πολιτική Ασφάλειας δεν εξαρτάται άμεσα από τη συγκεκριμένη τεχνοδιαμόρφωση του Ο.Π.Σ. και κατά συνέπεια δεν απαιτείται η συχνή ανανέωσή της. Βασικές Αρχές Διαμόρφωσης της Πολιτικής Ασφάλειας Οι κύριες αρχές με βάση τις οποίες συντάχθηκε η είναι οι ακόλουθες: Είναι γενική και συνοπτική, αποφεύγοντας συγκεκριμένες ή εξειδικευμένες αναφορές έτσι ώστε να μην τροποποιείται συχνά, αλλά μόνον όταν συμβαίνουν σημαντικές 9 / 22

10 αλλαγές στη διαχείριση της ασφάλειας το Ο.Π.Σ. Είναι επίκαιρη σε σχέση με τις τρέχουσες τεχνολογικές εξελίξεις. Είναι σαφής, απαλλαγμένη από μη απαραίτητους τεχνικούς όρους και εύκολα εφαρμόσιμη. Είναι γενικεύσιμη, ώστε η εφαρμογή της να είναι επεκτάσιμη σε μελλοντικές εφαρμογές που ενδεχομένως να ενταχθούν στην πληροφοριακή υποδομή της Γ.Γ.Π.Π. Συνδυάζεται με το προτεινόμενο οργανωτικό πλαίσιο ρόλων και αρμοδιοτήτων για τη διαχείριση της ασφάλειας της Γ.Γ.Π.Π.. Αξιοποίηση της Πολιτικής Ασφάλειας Βασικά σημεία για την κατανόηση και αξιοποίηση της Πολιτικής Ασφάλειας αποτελούν οι εξής διαπιστώσεις: Η αποτελεί βασικό μέσο ανάπτυξης κουλτούρας ασφάλειας στα στελέχη της Γ.Γ.Π.Π. Αποτελεί ανοιχτό υπηρεσιακό κείμενο και θα πρέπει να ληφθεί μέριμνα, ώστε όλα τα μέλη του προσωπικού που έχουν ρόλο στη λειτουργία της Γ.Γ.Π.Π., είτε ως χρήστες, είτε ως διαχειριστές, είτε ως διοικητικά στελέχη, να λάβουν γνώση της. Το παρόν κείμενο αποτελεί ένα δυναμικό κείμενο Πολιτικής Ασφάλειας. Η Γ.Γ.Π.Π. μπορεί να ορίσει, με βάση τις κατά καιρούς προτεραιότητές της, το ακριβέστερο εύρος, ύφος και περιεχόμενο της Πολιτικής αυτής. Η βασίστηκε στις εκτιμήσεις των μελετητών του έργου σχετικά με τις απαιτήσεις ασφάλειας του Ο.Π.Σ. και καθορίστηκε από τη θέση και το ρόλο της Γ.Γ.Π.Π., στην ελληνική κοινωνική πραγματικότητα, όπως και τις κατευθύνσεις της διοίκησής της. Βασικοί Άξονες της Πολιτικής Ασφάλειας Η συντάχθηκε με βάση τους άξονες που περιγράφονται στη συνέχεια. Κάθε άξονας αντιπροσωπεύει ένα σύνολο οδηγιών που αφορούν συγκεκριμένους τομείς ασφάλειας. Κάθε τομέας αποσκοπεί στην ικανοποίηση ενός αντικειμενικού στόχου ασφάλειας. Οι τομείς αυτοί αναλύονται περαιτέρω σε οδηγίες, οι οποίες οδηγούν στην πραγματοποίηση του αντικειμενικού σκοπού ασφάλειας στον οποίο υπάγονται. 10 / 22

11 Βασικός άξονας ασφάλειας Διαδικασίες Διαχείρισης της Πολιτικής Ασφάλειας Οργάνωση και Διαχείριση Ασφάλειας του Ο.Π.Σ. Ζητήματα Προσωπικού Ασφάλεια και Συντήρηση Ο.Π.Σ. Ασφάλεια Πληροφοριακών και Επικοινωνιακών Συστημάτων Ασφάλεια Φυσικών Εγκαταστάσεων και Περιβάλλοντος Αντικειμενικός σκοπός Δέσμευση της Διοίκησης και υποχρέωση των υπαλλήλων να εφαρμόζουν την Εξασφάλιση ότι υπάρχει κατάλληλη οργανωτική δομή που διαχειρίζεται και εποπτεύει την ασφάλεια των Π.Σ. και των εγκαταστάσεων. Απονομή αρμοδιοτήτων και κατάρτιση χρηστών σε θέματα ασφάλειας Π.Σ. Εξασφάλιση ότι οι διαδικασίες συντήρησης του Ο.Π.Σ. καλύπτουν συγκεκριμένες απαιτήσεις ασφάλειας. Προστασία των διαδικασιών που υποστηρίζονται ή βασίζονται στο Ο.Π.Σ. από τυχαίες αποτυχίες ή κακόβουλες απειλές. Προστασία των φυσικών εγκαταστάσεων των υπηρεσιών και του εξοπλισμού πληροφορικής από απειλές προερχόμενες από φυσικά αίτια ή παράνομη πρόσβαση. 11 / 22

12 1. Βασικοί Άξονες της 1.1. Διαδικασίες Διαχείρισης της Πολιτικής Ασφάλειας Ο πρώτος άξονας περιλαμβάνει τις οδηγίες που στοχεύουν στην επίτευξη δέσμευσης της Διοίκησης και υποχρέωσης των υπαλλήλων να εφαρμόζουν την Η Γ.Γ.Π.Π. αποδίδει υψηλή προτεραιότητα στην ασφάλεια του Ο.Π.Σ. Με βάση αυτή την αρχή τίθεται σε ισχύ η παρούσα Ορισμός της Ασφάλειας του Ο.Π.Σ. Η ασφάλεια του Ο.Π.Σ. αναφέρεται στην προστασία των πληροφοριών από πιθανή απώλεια της ακεραιότητας (integrity), της διαθεσιμότητας (availability) ή της εμπιστευτικότητας τους (confidentiality), καθώς και στην προστασία της ανθρώπινων πόρων και της υλικοτεχνικής υποδομής που απαιτούνται για τη συλλογή, διαβίβαση, επεξεργασία και διάθεση των πληροφοριών Εμβέλεια της Πολιτικής Ασφάλειας Η αφορά στο σύνολο των πληροφοριών που συλλέγει, αποθηκεύει και επεξεργάζεται το Ο.Π.Σ., καθώς και τη μετατροπή τους σε άλλες μορφές (π.χ. εκτύπωση πληροφοριών) και τη μετέπειτα διαχείρισή τους. Αφορά, επίσης, στο σύνολο του υλικού εξοπλισμού και του λογισμικού που χρησιμοποιείται για την επεξεργασία αυτών των πληροφοριών. Η εφαρμόζεται από όλα τα μέλη του προσωπικού που μετέχουν άμεσα ή έμμεσα στην επεξεργασία, διακίνηση, ή αποθήκευση των πληροφοριών, καθώς και στη χρήση και διαχείριση της σχετικής τεχνολογικής υποδομής Συμμόρφωση με την Η εφαρμογή της Πολιτικής Ασφάλειας και των κανόνων που απορρέουν από αυτήν είναι υποχρεωτική για όλους τους χρήστες του Ο.Π.Σ. Όλοι έχουν την υποχρέωση να συμβάλλουν ενεργά στην επίτευξη των στόχων της Πολιτικής Ασφάλειας ενώ η Γ.Γ.Π.Π. πρέπει να μεριμνά ώστε το σύνολο των χρηστών να λαμβάνει γνώση της Πολιτικής Ασφάλειας. Η Γ.Γ.Π.Π. διατηρεί το δικαίωμα να επιβάλλει κυρώσεις σε περιπτώσεις παραβίασής της. 12 / 22

13 Νομικές υποχρεώσεις Η Γ.Γ.Π.Π. πρέπει να προβαίνει σε όλες τις ενέργειες που απαιτούνται για να γίνεται σεβαστή η νομοθεσία που αφορά στην προστασία των πνευματικών δικαιωμάτων, στην προστασία προσωπικών δεδομένων, στο ηλεκτρονικό έγκλημα και γενικά στη νομοθεσία που αφορά στη χρήση υπολογιστικών και επικοινωνιακών συστημάτων Διαχείριση αλλαγών Η πρέπει να τηρείται κατά το δυνατόν επίκαιρη. Αποτελεί ευθύνη της Γ.Γ.Π.Π. να ορίσει το κατάλληλο πρόσωπο που θα είναι αρμόδιο και θα μεριμνά για τις απαιτούμενες ενέργειες για την επικαιροποίησή της Εποπτεία εφαρμογής της Πολιτικής Ασφάλειας Η εφαρμογή της Πολιτικής Ασφάλειας και των κανόνων που απορρέουν από αυτήν ελέγχεται μέσω κατάλληλων διαδικασιών ελέγχου. 13 / 22

14 1.2. Οργάνωση και Διαχείριση Ασφάλειας του Ο.Π.Σ. Ο δεύτερος άξονας της Πολιτικής Ασφάλειας περιλαμβάνει το σύνολο των οδηγιών που εξασφαλίζουν ότι υπάρχει κατάλληλη οργανωτική δομή για την ανάπτυξη και διαχείριση της ασφάλειας του Πληροφοριακού Συστήματος Στρατηγική και Οργάνωση Ασφάλειας Η Γ.Γ.Π.Π. θα πρέπει να υλοποιήσει ένα βασικό οργανωτικό πλαίσιο σύμφωνα με το οποίο: Η διοίκηση φέρει την τελική ευθύνη για τη στρατηγική αντιμετώπιση του θέματος της ασφάλειας. Η αρχή αυτή πρέπει να εκφράζεται μέσα από την ενεργό συμμετοχή της διοίκησης στα θέματα που σχετίζονται με την ασφάλεια του Ο.Π.Σ. Θα υπάρχει ένα πλαίσιο αρμοδιοτήτων που θα αφορά τη διαχείριση της ασφάλειας του Ο.Π.Σ. Κάθε εργαζόμενος πρέπει να έχει παραλάβει αντίγραφο της Πολιτικής Ασφάλειας του Ο.Π.Σ. και να έχει δηλώσει ότι έχει κατανοήσει την Εποπτεία Ασφάλειας Ο.Π.Σ. Είναι απαραίτητο να θεσπιστούν διαδικασίες επιθεώρησης του Ο.Π.Σ. και συμμόρφωσης με την. Οι επιθεωρήσεις πρέπει να διενεργούνται: ακολουθώντας συγκεκριμένο πρόγραμμα, αλλά και εκτάκτως όταν χρειάζεται από εξειδικευμένο προσωπικό και με χρήση κατάλληλων μεθόδων και εργαλείων από προσωπικό ανεξάρτητο της διαχείρισης του Ο.Π.Σ Διαχείριση Σχέσεων με Τρίτους Φορείς Το επίπεδο ασφάλειας του Ο.Π.Σ. επηρεάζεται από την πρόσβαση σε αυτό τρίτων μερών, από την ανταλλαγή δεδομένων και από τη γενικότερη συνεργασία με άλλους φορείς. Οι κίνδυνοι που προέρχονται από τις διασυνδέσεις του Ο.Π.Σ. με εξωτερικούς φορείς πρέπει να αναλύονται. Στη διαδικασία αυτή πρέπει να εμπλέκονται: εκπρόσωπος της Γ.Γ.Π.Π. ο υπεύθυνος ασφάλειας του Ο.Π.Σ. Οι μηχανισμοί ασφάλειας που καλύπτουν την επικινδυνότητα που προκύπτει από τις σχέσεις με τρίτους φορείς (π.χ. ανάδοχοι εργασιών ανάπτυξης και συντήρησης), πρέπει να τηρούν τις ακόλουθες συνθήκες: 14 / 22

15 Να περιλαμβάνονται στις συμβάσεις συνεργασίας με τρίτα μέρη Να υλοποιούνται πριν την έναρξη οποιασδήποτε συνεργασίας Να εποπτεύονται επαρκώς Διαμόρφωση Θετικής Προδιάθεσης προς την Ασφάλεια Οι χρήστες του Ο.Π.Σ. γνωρίζουν και εκτιμούν την έννοια της ασφάλειας, κατανοούν το περιεχόμενο της Πολιτικής Ασφάλειας και υποστηρίζουν ενεργά και συνειδητά την τήρησή της. Η Γ.Γ.Π.Π. πρέπει να εκπαιδεύει και να ευαισθητοποιεί τους χρήστες αναφορικά με το θέμα της ασφάλειας και να επιδοκιμάζει κάθε προσπάθεια ενίσχυσης των αρχών της προστασίας των πληροφοριών και πόρων. Όπου είναι δυνατόν, ή όταν επιβάλλεται, πρέπει να τηρούνται κώδικες επαγγελματικής δεοντολογίας για το προσωπικό. 15 / 22

16 1.3. Ζητήματα Προσωπικού: Αρμοδιότητες & Κατάρτιση Ο τρίτος άξονας της Πολιτικής Ασφάλειας περιλαμβάνει ένα σύνολο από οδηγίες που αφορούν την απονομή αρμοδιοτήτων και την εκπαίδευση του προσωπικού αποβλέποντας στην ενίσχυση της ενεργού συμμετοχής όλου του προσωπικού στην προσπάθεια διασφάλισης του Πληροφοριακού Συστήματος και των εγκαταστάσεων της Γ.Γ.Π.Π Απονομή Αρμοδιοτήτων Μέσω των αρμοδιοτήτων που απονέμονται στους χρήστες πρέπει να διασφαλίζεται ότι ο καθένας έχει πρόσβαση αποκλειστικά και μόνο στις πληροφορίες εκείνες που είναι απαραίτητες για την εκτέλεση της εργασίας που του έχει ανατεθεί (need to know principle). Είναι απαραίτητο το προσωπικό που εμπλέκεται στη χρήση του Ο.Π.Σ. να γνωρίζει με σαφήνεια το πεδίο και τα όρια των αρμοδιοτήτων του. Ως εκ τούτου είναι επιθυμητό οι ρόλοι που απαιτούνται για τη λειτουργία του Ο.Π.Σ. να είναι καταγεγραμμένοι σε περιγραφές θέσεων εργασίας. Επιπλέον, πρέπει να διασφαλίζεται ότι οι αρμοδιότητες του προσωπικού δεν είναι επικαλυπτόμενες (segregation of duties) και ότι καλύπτονται όλες οι αρμοδιότητες που αφορούν στη διαχείριση της ασφάλειας των Π.Σ Εκπαίδευση Προσωπικού σε Θέματα Ασφάλειας ΠΣ Η Γ.Γ.Π.Π. πρέπει να παρέχει επαρκή και κατάλληλη εκπαίδευση στο προσωπικό, που αξιοποιεί ή διαχειρίζεται την πληροφοριακή υποδομή του Ο.Π.Σ., σε θέματα Ασφάλειας Πληροφοριακών Συστημάτων και Δικτύων, ανάλογα με το ρόλο του κάθε υπαλλήλου. Οι χρήστες του Ο.Π.Σ. πρέπει να είναι εφοδιασμένοι με τα απαραίτητα μέσα (εγχειρίδια, εργαλεία) για την ορθή και ασφαλή χρήση των Π.Σ. 16 / 22

17 1.4. Ασφάλεια και Συντήρηση Ο.Π.Σ. Η διαδικασία συντήρησης του Ο.Π.Σ. απαιτεί τη θέσπιση ρόλων με συγκεκριμένες αρμοδιότητες. Οι ρόλοι που κατ ελάχιστον πρέπει να υπάρχουν είναι: Ιδιοκτήτης συστήματος: υπεύθυνος για την ορθή χρήση, τις αποφάσεις βελτιώσεων και την έγκριση αλλαγών στο σύστημα. Υπεύθυνος συντήρησης: παρακολούθηση της λειτουργίας του συστήματος από τεχνικής πλευράς Οργάνωση της Συντήρησης του Ο.Π.Σ Θα πρέπει να υπάρχουν διαδικασίες διαχείρισης των αλλαγών που πραγματοποιούνται στο σύστημα, έτσι ώστε αυτό να λειτουργεί πάντα σύμφωνα με προδιαγεγραμμένες συνθήκες. Η διαδικασία αλλαγής ή αναβάθμισης εξοπλισμού και λογισμικού πρέπει να ικανοποιεί τουλάχιστον τις ακόλουθες συνθήκες: Να περιορίζεται αυστηρά στις απολύτως απαραίτητες και τεκμηριωμένες αλλαγές. Να μην διακυβεύει τις απαιτήσεις ασφάλειας. Να εγκρίνεται από τον ιδιοκτήτη του συστήματος και να παρακολουθείται από τον υπεύθυνο συντήρησης. Πρέπει να υπάρχει ένα σύστημα καταγραφής των αλλαγών στο σύστημα, προκειμένου να είναι ελεγχόμενη και ιχνηλατήσιμη η τρέχουσα κατάστασή του. 17 / 22

18 1.5. Ασφάλεια Πληροφοριακών και Επικοινωνιακών Συστημάτων Ο πέμπτος άξονας της Πολιτικής Ασφάλειας αφορά στην προστασία των διαδικασιών που υποστηρίζονται ή βασίζονται στο Ο.Π.Σ. από τυχαίες αποτυχίες ή κακόβουλες απειλές Βασικές Διαδικασίες Ασφάλειας Τηρούνται σε επίπεδο καθημερινής λειτουργίας, στοιχειώδεις διαδικασίες για την επίτευξη ενός επαρκούς επιπέδου ακεραιότητας και διαθεσιμότητας των υπηρεσιών που παρέχει το Ο.Π.Σ. Οι διαδικασίες για την καθημερινή χρήση του Ο.Π.Σ. πρέπει να είναι τεκμηριωμένες, σε μορφή εγχειριδίου, διαθέσιμου στο χρήστη. Πρέπει να υπάρχουν διαδικασίες λήψης αντιγράφων ασφάλειας των δεδομένων. Οι διαδικασίες για την τήρηση αντιγράφων ασφαλείας είναι τεκμηριωμένες, σε μορφή εγχειριδίου και ευρέως διαθέσιμες στο αρμόδιο προσωπικό. Η ασφαλής φύλαξη των αντιγράφων είναι πρωταρχικής σημασίας. Πρέπει να υπάρχουν διαδικασίες πρόληψης, εντοπισμού και απαλλαγής από ιομορφικό λογισμικό, που θα προβλέπουν: Χρησιμοποίηση νόμιμου και σύγχρονου λογισμικού προστασίας. Έλεγχο κάθε ξένου ή νέου μέσου ή/και εκτελέσιμου αρχείου που εισάγεται στο σύστημα. Επίβλεψη των πρακτικών που τηρούνται και ανανέωση των εργαλείων προστασίας που χρησιμοποιούνται Μέριμνα για την προστασία των εργαλείων αντιμετώπισης ιομορφικού λογισμικού. Όλες οι μεταβολές που διενεργούνται στο λογισμικό και στο υλικό πρέπει να γίνονται με εξουσιοδότηση και να καταγράφονται σε προστατευόμενα αρχεία. Οι ενέργειες των διαχειριστών ή/και χρηστών που ορίζονται ως κρίσιμες πρέπει να καταγράφονται σε προστατευόμενα αρχεία και να επιθεωρούνται τακτικά. Οι αστοχίες στη λειτουργία του εξοπλισμού και του λογισμικού πρέπει να καταγράφονται και να αξιολογούνται σε σχέση με την προδιαγεγραμμένη λειτουργία. Πρέπει να αξιοποιείται νόμιμο λογισμικό (δεν εξαιρούνται οι εφαρμογές που αποκτούνται μέσω του Internet) Ελάχιστο Πλαίσιο Ασφαλούς Διαχείρισης Δεδομένων Ικανοποίηση ορισμένων πρωταρχικών απαιτήσεων ασφάλειας για την επεξεργασία δεδομένων. 18 / 22

19 Τα δεδομένα πρέπει να είναι κατηγοριοποιημένα σύμφωνα με την προστασία που χρειάζονται, όπως προκύπτει από την Ανάλυση Επικινδυνότητας. Σύμφωνα με την κατηγοριοποίηση, θα ορίζονται οι εξουσιοδοτημένοι αποδέκτες δεδομένων και θα λαμβάνονται τα λοιπά μέτρα ασφάλειας. Κάθε επεξεργασία σε δεδομένα πρέπει να διασφαλίζεται με διαδικαστικά και με τεχνικά μέσα ότι μπορεί να αποδοθεί σε κάποιο άτομο Αυθεντικοποίηση και Έλεγχος Προσπέλασης Η προσπέλαση σε πληροφορίες και πόρους ελέγχεται με βάση ορισμένους κανόνες που δεν διακυβεύουν την ασφάλεια των συστημάτων και των δεδομένων Πρέπει να υπάρχουν διαδικασίες αυθεντικοποίησης των χρηστών, καθώς και των στοιχείων λογισμικού και υλικού του Ο.Π.Σ. Οι διαδικασίες ελέγχου προσπέλασης στο Ο.Π.Σ. πρέπει να αποτελούν συγκερασμό των λειτουργικών αναγκών των χρηστών και να βασίζονται: Στις απαιτήσεις ασφάλειας ως προς την προσπέλαση. Στις πολιτικές επιλογές της Γ.Γ.Π.Π. σχετικά με τη διακίνηση πληροφοριών. Η παροχή δικαιωμάτων προσπέλασης στους χρήστες του Ο.Π.Σ. πρέπει να πληροί συγκεκριμένες αρχές, που συνοψίζονται τουλάχιστον στις ακόλουθες: Αποτελεί ορισμένη διαδικασία που διενεργείται από εξουσιοδοτημένα άτομα και στηρίζεται σε τεκμηριωμένες διαδικασίες ελέγχου προσπέλασης. Εξασφαλίζει ότι ο χρήστης δηλώνει με δεσμευτικό τρόπο την υποχρέωσή του να διαφυλάττει τα μέσα παροχής προσπέλασης (π.χ. κωδικοί, κ.λπ.). Δίνει οδηγίες στο διαχειριστή και στο χρήστη για τη χρήση και ιδιαίτερα για την προστασία των μέσων προσπέλασης. Μεριμνά για τον έλεγχο της προσπέλασης τρίτων μερών στα ΠΣ. Πρέπει να διενεργούνται τακτικοί έλεγχοι, που θα διασφαλίζουν τα ακόλουθα: Τα δικαιώματα προσπέλασης που παρέχονται δεν καταστρατηγούνται. Γίνεται ανάκληση των δικαιωμάτων αυτών, όταν δεν συντρέχουν συγκεκριμένες προϋποθέσεις. Εντοπίζονται οι απόπειρες παρέμβασης στο Ο.Π.Σ. που θα μπορούσαν να προκαλέσουν ρήγμα ασφάλειας της πρόσβασης. Οι διαδικασίες ελέγχου προσπέλασης του Ο.Π.Σ. πρέπει να αλλάζουν με βάση τα ακόλουθα κριτήρια: 19 / 22

20 Τη μελέτη των τεχνολογικών εξελίξεων. Τις ανανεούμενες ανάγκες εργασίας. Τα συμπεράσματα από τους ελέγχους χρήσης των δικαιωμάτων προσπέλασης Χειρισμός Περιστατικών Ανασφάλειας Απαιτείται έγκαιρη αντιμετώπιση των ρηγμάτων ασφάλειας και ελαχιστοποίηση των απωλειών και γενικότερα του αντίκτυπου που επιφέρουν στη λειτουργία του Ο.Π.Σ. Πρέπει να θεσπιστεί διαδικασία υποχρεωτικού χαρακτήρα για την αναφορά των ρηγμάτων ασφάλειας και γενικότερα των δυσλειτουργιών που διαπιστώνονται. Πρέπει να υπάρχει τεκμηριωμένο πλαίσιο διαδικασιών που θα διασφαλίζει την έγκαιρη και αποτελεσματική ανταπόκριση στην εμφάνιση κάποιου περιστατικού ανασφάλειας. Το πλαίσιο αυτό πρέπει να περιλαμβάνει κατ ελάχιστον: Τους ρόλους και τις αρμοδιότητες που θα αναλαμβάνονται. Τη διατήρηση καταγεγραμμένων αποδείξεων των γεγονότων που συνέβησαν. Τη διαδικασία εντοπισμού του αιτίου του ρήγματος ασφάλειας. Τη διαδικασία ανάνηψης Ασφάλεια Δικτύων και Επικοινωνιών Ύπαρξη μέτρων που καλύπτουν τις αυξημένες απαιτήσεις ασφάλειας, που ισχύουν για τα δικτυωμένα περιβάλλοντα Πρέπει να υπάρχει μηχανισμός αυθεντικοποίησης για τα στοιχεία του τοπικού δικτύου. Το τοπικό δίκτυο δεν πρέπει να συνδέεται απευθείας και μόνιμα με εξωτερικά συστήματα ή δίκτυα. Όταν η σύνδεση αυτού του είδους επιβάλλεται για εξυπηρέτηση υπηρεσιακών αναγκών, τότε απαιτείται: Εξουσιοδότηση από τον υπεύθυνο ασφάλειας. Χρήση μηχανισμών που διασφαλίζουν την εμπιστευτικότητα, ακεραιότητα και διαθεσιμότητα των πόρων ή/και δεδομένων του τοπικού δικτύου. Η εμπιστευτικότητα και ακεραιότητα των δεδομένων που μεταφέρονται μέσω δικτύων πρέπει να διασφαλίζεται με σύγχρονα τεχνικά μέσα. Η προστασία των μηχανισμών ασφάλειας του δικτύου (π.χ. ανάχωμα ασφαλείας (firewall)) είναι πρωταρχικής σημασίας. Η εγκαθίδρυση συνδέσεων με το Internet πρέπει να γίνεται με βάση ένα πλαίσιο 20 / 22

21 προϋποθέσεων, που θα καλύπτει τουλάχιστον τα ακόλουθα: Οι συνδέσεις πρέπει να εξυπηρετούν στόχους του Ο.Π.Σ. Πρέπει να λαμβάνονται όλα τα τεχνικά μέτρα, ώστε οι συνδέσεις να μη διακυβεύουν την ασφάλεια των Π.Σ. και των δεδομένων. Επιπρόσθετα, η χρήση του Internet ως μέσου επιτέλεσης λειτουργιών του Ο.Π.Σ. απαιτεί αυξημένων προδιαγραφών μέτρα ασφάλειας. Τα μέτρα θα προκύπτουν μετά από μελέτη, ενώ πρέπει να τεκμηριώνονται οι μηχανισμοί αντιμετώπισης των απειλών Ασφάλεια Φυσικών Εγκαταστάσεων και Περιβάλλοντος Ο έκτος άξονας αφορά στην προστασία των φυσικών εγκαταστάσεων των υπηρεσιών και του εξοπλισμού πληροφορικής από απειλές προερχόμενες από φυσικά αίτια ή παράνομη πρόσβαση Ασφάλεια Κτηριακών Εγκαταστάσεων Παρεμπόδιση μη εξουσιοδοτημένης πρόσβασης ή καταστροφής των φυσικών εγκαταστάσεων που στεγάζουν το Ο.Π.Σ. Η φυσική προστασία πρέπει να στηρίζεται σε περιμετρικά ορισμένες ζώνες προστασίας γύρω από τα στοιχεία του Ο.Π.Σ. και αντίστοιχα τοποθετημένους ελέγχους. Η πρόσβαση στις προστατευόμενες περιοχές πρέπει να περιορίζεται στα εξουσιοδοτημένα άτομα. Οι κτηριακές εγκαταστάσεις που στεγάζουν εξοπλισμό του Ο.Π.Σ. πρέπει να προστατεύονται από το ενδεχόμενο φυσικής καταστροφής, πυρκαγιάς και πλημμύρας. Οι κτηριακές εγκαταστάσεις που στεγάζουν εξοπλισμό του Ο.Π.Σ. πρέπει να προστατεύονται από το ενδεχόμενο βανδαλισμών ή άλλων επιθέσεων Ασφάλεια Εξοπλισμού και Μέσων Λειτουργίας του Ο.Π.Σ. Προστασία της ακεραιότητας του εξοπλισμού πληροφορικής από φυσικές καταστροφές ή αλλοιώσεις, που θα μπορούσαν να προκαλέσουν διακοπή της ομαλής λειτουργίας του Ο.Π.Σ. Ο εξοπλισμός πληροφορικής πρέπει να στεγάζεται σε χώρους όπου η πρόσβαση και οι κίνδυνοι από φυσική αιτία ελέγχονται αποτελεσματικά. Η συντήρηση του εξοπλισμού πληροφορικής πρέπει να ικανοποιεί, τουλάχιστον, τις εξής απαιτήσεις: 21 / 22

22 Να γίνεται σύμφωνα με τις προδιαγραφές του κατασκευαστή. Να προβλέπει επαρκή έλεγχο των ενεργειών του προσωπικού που εκτελεί τη συντήρηση. Για όλα τα μεταφέρσιμα μέσα πρέπει να τηρούνται οι ακόλουθες πρακτικές: Ασφαλής φυσική φύλαξη. Περιορισμός στο ελάχιστο της διακίνησης και διανομής μέσων και δεδομένων. Διατήρηση ημερολογίου των ενεργειών καταστροφής μέσων ή διαγραφής δεδομένων που είναι αποθηκευμένα σε αυτά. Οι φυσικές συνθήκες λειτουργίας του Ο.Π.Σ. (π.χ. υγρασία, θερμοκρασία) και η παροχή ηλεκτρικού ρεύματος πρέπει είναι σύμφωνες με τις προδιαγραφές των κατασκευαστών. 22 / 22