ΕΛΕΓΧΟΣ ΕΓΓΡΑΦΟΥ ΙΣΤΟΡΙΚΟ ΕΚΔΟΣΕΩΝ

ΟΛΟΚΛΗΡΩΜΕΝΟ ΠΛΗΡΟΦΟΡΙΑΚΟ ΣΥΣΤΗΜΑ ΠΟΛΙΤΙΚΗΣ ΠΡΟΣΤΑΣΙΑΣ Εργαστήριο Ασφάλειας Πληροφοριακών και Επικοινωνιακών Συστημάτων, Πανεπιστήμιο Αιγαίου Σ Χ Ε Δ Ι Ο Υ Λ Ο Π Ο Ι Η Σ Η Σ Α Σ Φ Α Λ Ε Ι Α Σ Έκδοση: 1.0 Ημερομηνία: 30.06.08 Διαβάθμιση: Εμπιστευτικό

ΕΛΕΓΧΟΣ ΕΓΓΡΑΦΟΥ ΙΣΤΟΡΙΚΟ ΕΚΔΟΣΕΩΝ Ημερομηνία Έκδοση Συγγραφείς Αλλαγές 30/06/2008 1.0 Μελετητική Ομάδα Ασφάλειας Πανεπιστημίου Αιγαίου Προτεινόμενα Μέτρα Ασφάλειας για το ΟΠΣ Πολιτικής Προστασίας 2 / 101

ΠΙΝΑΚΑΣ ΠΕΡΙΕΧΟΜΕΝΩΝ ΕΠΙΤΕΛΙΚΗ ΣΥΝΟΨΗ... 6 ΕΙΣΑΓΩΓΗ... 7 ΈΝΘΕΣΗ ΠΑΡΑΔΟΤΕΟΥ... 7 ΑΝΤΙΚΕΙΜΕΝΟ, ΣΚΟΠΟΣ ΚΑΙ ΣΤΟΧΟΙ ΤΗΣ ΜΕΛΕΤΗΣ ΑΣΦΑΛΕΙΑΣ ΤΟΥ Ο.Π.Σ... 7 ΠΡΟΤΕΙΝΟΜΕΝΑ ΜΕΤΡΑ ΠΡΟΣΤΑΣΙΑΣ... 8 1. ΠΟΛΙΤΙΚΗ ΑΣΦΑΛΕΙΑΣ...10 1.1. ΔΙΑΔΙΚΑΣΙΕΣ ΔΙΑΧΕΙΡΙΣΗΣ ΤΗΣ ΠΟΛΙΤΙΚΗΣ ΑΣΦΑΛΕΙΑΣ...10 1.2. ΚΑΘΟΡΙΣΜΟΣ ΡΟΛΩΝ...11 1.3. ΔΙΑΔΙΚΑΣΙΕΣ ΕΚΠΑΙΔΕΥΣΗΣ ΠΡΟΣΩΠΙΚΟΥ...11 1.4. ΑΣΦΑΛΕΙΑ ΕΓΚΑΤΑΣΤΑΣΕΩΝ...12 1.5. ΑΣΦΑΛΕΙΑ ΕΞΟΠΛΙΣΜΟΥ ΚΑΙ ΜΕΣΩΝ ΛΕΙΤΟΥΡΓΙΑΣ ΤΟΥ Ο.Π.Σ...12 1.6. ΑΣΦΑΛΕΙΑ ΚΑΤΑ ΤΗ ΔΙΑΔΙΚΑΣΙΑ ΑΝΑΠΤΥΞΗΣ ΚΑΙ ΣΥΝΤΗΡΗΣΗΣ ΠΣ...13 1.7. ΑΣΦΑΛΕΙΑ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΚΑΙ ΕΠΙΚΟΙΝΩΝΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ...13 1.8. ΣΧΕΔΙΟ ΑΝΑΚΑΜΨΗΣ ΑΠΟ ΚΑΤΑΣΤΡΟΦΗ...17 1.9. ΟΡΓΑΝΩΣΗ, ΔΙΑΧΕΙΡΙΣΗ ΚΑΙ ΔΙΟΙΚΗΣΗ ΑΣΦΑΛΕΙΑΣ ΠΣ...18 2. ΟΡΓΑΝΩΣΗ ΑΣΦΑΛΕΙΑΣ...20 2.1. ΕΣΩΤΕΡΙΚΗ ΑΣΦΑΛΕΙΑ ΠΛΗΡΟΦΟΡΙΩΝ...20 2.2. ΑΣΦΑΛΕΙΑ ΣΥΝΑΛΛΑΓΩΝ ΥΠΗΡΕΣΙΑΣ ΜΕ ΕΞΩΤΕΡΙΚΟΥΣ ΣΥΝΕΡΓΑΤΕΣ Η ΤΡΙΤΑ ΜΕΡΗ...22 3. ΚΑΤΑΤΑΞΗ ΚΑΙ ΈΛΕΓΧΟΣ ΤΩΝ ΠΕΡΙΟΥΣΙΑΚΩΝ ΣΤΟΙΧΕΙΩΝ...24 3.1. ΑΞΙΟΠΟΙΗΣΗ ΠΟΡΩΝ...24 4. ΑΣΦΑΛΕΙΑ ΠΡΟΣΩΠΙΚΟΥ...25 4.1. ΑΣΦΑΛΕΙΑ ΠΡΟΣΩΠΙΚΟΥ ΠΟΥ ΠΡΟΗΓΕΙΤΑΙ ΤΗΣ ΠΡΟΣΛΗΨΗΣ...25 4.2. ΑΣΦΑΛΕΙΑ ΠΡΟΣΩΠΙΚΟΥ ΚΑΤΑ ΤΗ ΔΙΑΡΚΕΙΑ ΕΡΓΑΣΙΑΣ...25 4.3. ΑΣΦΑΛΕΙΑ ΠΡΟΣΩΠΙΚΟΥ ΚΑΤΑ ΤΟΝ ΤΕΡΜΑΤΙΣΜΟ ΕΡΓΑΣΙΑΣ...28 5. ΦΥΣΙΚΗ ΑΣΦΑΛΕΙΑ ΚΑΙ ΑΣΦΑΛΕΙΑ ΠΕΡΙΒΑΛΛΟΝΤΟΣ...29 5.1. ΦΥΣΙΚΗ ΑΣΦΑΛΕΙΑ ΚΤΗΡΙΑΚΗΣ ΕΓΚΑΤΑΣΤΑΣΗΣ Γ.Γ.Π.Π....29 5.2. ΦΥΣΙΚΗ ΑΣΦΑΛΕΙΑ ΚΤΗΡΙΑΚΗΣ ΕΓΚΑΤΑΣΤΑΣΗΣ ΤΩΝ ΠΕΡΙΦΕΡΕΙΩΝ...31 5.3. ΑΝΤΙΜΕΤΩΠΙΣΗ ΕΚΡΗΚΤΙΚΩΝ ΜΗΧΑΝΙΣΜΩΝ (Γ.Γ.Π.Π.)...31 5.4. ΠΡΟΣΤΑΣΙΑ ΑΠΟ ΚΛΟΠΗ ΕΞΟΠΛΙΣΜΟΥ (Γ.Γ.Π.Π., ΠΕΡΙΦΕΡΕΙΕΣ ΚΑΙ ΝΟΜΑΡΧΙΕΣ)...32 5.5. ΑΣΦΑΛΕΙΑ ΕΞΟΠΛΙΣΜΟΥ (Γ.Γ.Π.Π., ΠΕΡΙΦΕΡΕΙΕΣ ΚΑΙ ΝΟΜΑΡΧΙΕΣ)...33 5.6. ΠΡΟΣΤΑΣΙΑ ΑΠΟ ΠΥΡΚΑΓΙΑ (Γ.Γ.Π.Π., ΠΕΡΙΦΕΡΕΙΕΣ ΚΑΙ ΝΟΜΑΡΧΙΕΣ)...34 5.7. ΠΡΟΣΤΑΣΙΑ ΑΠΟ ΠΛΗΜΜΥΡΑ ΚΑΙ ΑΚΡΑΙΑ ΚΑΙΡΙΚΑ ΦΑΙΝΟΜΕΝΑ (Γ.Γ.Π.Π., ΠΕΡΙΦΕΡΕΙΕΣ ΚΑΙ ΝΟΜΑΡΧΙΕΣ).35 3 / 101

6. ΔΙΑΧΕΙΡΙΣΗ ΕΠΙΚΟΙΝΩΝΙΩΝ, ΔΙΚΤΥΩΝ ΚΑΙ ΛΕΙΤΟΥΡΓΙΩΝ...37 6.1. ΛΕΙΤΟΥΡΓΙΚΕΣ ΔΙΑΔΙΚΑΣΙΕΣ ΚΑΙ ΑΡΜΟΔΙΟΤΗΤΕΣ...37 6.2. ΠΡΟΣΤΑΣΙΑ ΑΠΟ ΕΠΙΒΛΑΒΕΣ ΛΟΓΙΣΜΙΚΟ...38 6.3. ΑΝΤΙΓΡΑΦΑ ΑΣΦΑΛΕΙΑΣ...39 6.4. ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΟΥ...41 6.5. ΑΣΦΑΛΕΙΑ ΑΝΤΑΛΛΑΓΗΣ ΠΛΗΡΟΦΟΡΙΩΝ...44 7. ΈΛΕΓΧΟΣ ΠΡΟΣΒΑΣΗΣ...48 7.1. ΠΟΛΙΤΙΚΗ ΕΛΕΓΧΟΥ ΠΡΟΣΒΑΣΗΣ...48 7.2. ΔΙΑΧΕΙΡΙΣΗ ΡΟΛΩΝ ΧΡΗΣΤΩΝ...49 7.3. ΔΙΑΧΕΙΡΙΣΗ ΠΡΟΣΒΑΣΗΣ ΧΡΗΣΤΩΝ...50 7.4. ΈΛΕΓΧΟΣ ΠΡΟΣΒΑΣΗΣ ΣΤΟ ΔΙΚΤΥΟ...54 7.5. ΈΛΕΓΧΟΣ ΠΡΟΣΒΑΣΗΣ ΣΤΟ ΛΕΙΤΟΥΡΓΙΚΟ ΣΥΣΤΗΜΑ...55 7.6. ΈΛΕΓΧΟΣ ΠΡΟΣΒΑΣΗΣ ΣΕ ΕΦΑΡΜΟΓΕΣ ΚΑΙ ΠΛΗΡΟΦΟΡΙΕΣ...57 8. ΑΝΑΠΤΥΞΗ ΚΑΙ ΣΥΝΤΗΡΗΣΗ ΣΥΣΤΗΜΑΤΩΝ...59 8.1. ΑΠΑΙΤΗΣΕΙΣ ΑΣΦΑΛΕΙΑΣ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ ΕΦΑΡΜΟΓΩΝ...59 8.2. ΑΣΦΑΛΕΙΑ ΤΩΝ ΑΡΧΕΙΩΝ ΤΟΥ ΚΩΔΙΚΑ ΤΩΝ ΕΦΑΡΜΟΓΩΝ...61 9. ΔΙΑΧΕΙΡΙΣΗ ΠΕΡΙΣΤΑΤΙΚΩΝ ΑΣΦΑΛΕΙΑΣ...62 9.1. ΑΝΑΦΟΡΑ ΠΕΡΙΣΤΑΤΙΚΩΝ ΑΣΦΑΛΕΙΑΣ ΚΑΙ ΕΥΠΑΘΕΙΩΝ...62 9.2. ΔΙΑΧΕΙΡΙΣΗ ΠΕΡΙΣΤΑΤΙΚΩΝ ΚΑΙ ΕΥΠΑΘΕΙΩΝ...63 10. ΣΥΝΕΧΙΣΗ ΕΡΓΑΣΙΑΣ...65 10.1. ΣΧΕΔΙΟ ΣΥΝΕΧΙΣΗΣ ΛΕΙΤΟΥΡΓΙΑΣ...65 11. ΣΥΜΜΟΡΦΩΣΗ...67 11.1. ΣΥΜΜΟΡΦΩΣΗ ΜΕ ΝΟΜΟΘΕΤΙΚΕΣ ΑΠΑΙΤΗΣΕΙΣ...67 12. ΕΠΙΘΕΩΡΗΣΗ...70 12.1. ΕΠΙΘΕΩΡΗΣΗ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ...70 ΠΑΡΑΡΤΗΜΑ Α : ΔΙΑΣΥΝΔΕΣΗ Ο.Π.Σ...74 ΠΑΡΑΡΤΗΜΑ Β : ΝΕΟΙ ΡΟΛΟΙ ΣΧΕΤΙΖΟΜΕΝΟΙ ΜΕ ΤΗΝ ΑΣΦΑΛΕΙΑ ΤΟΥ Ο.Π.Σ. ΤΗΣ Γ.Γ.Π.Π. (ΑΡΜΟΔΙΟΤΗΤΕΣ ΚΑΙ ΔΕΞΙΟΤΗΤΕΣ)...76 ΥΠΕΥΘΥΝΟΣ ΑΣΦΑΛΕΙΑΣ Ο.Π.Σ. (SECURITY OFFICER)...76 ΜΕΛΟΣ ΕΠΙΤΡΟΠΗΣ ΕΠΟΠΤΕΙΑΣ ΚΑΙ ΕΛΕΓΧΟΥ Ο.Π.Σ. (INTERNAL IT AUDITOR)...78 ΠΑΡΑΡΤΗΜΑ Γ : ΣΧΕΔΙΟ ΑΝΑΚΑΜΨΗΣ ΑΠΟ ΚΑΤΑΣΤΡΟΦΗ...79 ΕΙΣΑΓΩΓΗ ΓΕΝΙΚΕΣ ΠΑΡΑΔΟΧΕΣ...79 4 / 101

ΣΚΟΠΟΣ ΣΧΕΔΙΟΥ ΔΗΛΩΣΗ ΕΦΑΡΜΟΣΙΜΟΤΗΤΑΣ...80 ΠΕΔΙΟ ΕΦΑΡΜΟΓΗΣ...81 ΠΛΗΡΟΦΟΡΙΕΣ ΣΧΕΔΙΟΥ...81 ΠΗΓΕΣ ΑΝΑΠΤΥΞΗΣ DRP...82 ΓΕΝΙΚΗ ΕΠΙΣΚΟΠΗΣΗ ΣΧΕΔΙΟΥ...82 ΕΦΑΡΜΟΣΙΜΕΣ ΠΡΟΒΛΕΨΕΙΣ ΚΑΙ ΟΔΗΓΙΕΣ...82 ΕΠΙΔΙΩΞΕΙΣ...83 ΑΝΑΛΥΣΗ ΕΠΙΧΕΙΡΗΣΙΑΚΗΣ ΕΠΙΔΡΑΣΗΣ...83 ΕΚΤΙΜΗΣΗ ΚΙΝΔΥΝΟΥ...84 ΓΕΝΙΚΗ ΣΤΡΑΤΗΓΙΚΗ ΑΝΑΚΑΜΨΗΣ...85 RECOVERY DISASTER HOT SITE...85 ΠΟΛΙΤΙΚΗ ΣΧΕΔΙΟΥ...85 ΟΡΓΑΝΩΣΗ ΣΧΕΔΙΟΥ...87 ΟΜΑΔΑ ΑΝΑΚΑΜΨΗΣ...87 ΓΕΝΙΚΟΣ ΓΡΑΜΜΑΤΕΑΣ ΠΟΛΙΤΙΚΗΣ ΠΡΟΣΤΑΣΙΑΣ...88 ΣΥΝΤΟΝΙΣΤΗΣ ΟΜΑΔΑΣ ΑΝΑΚΑΜΨΗΣ...88 ΥΠΕΥΘΥΝΟΣ ΕΞΟΠΛΙΣΜΟΥ...89 ΥΠΕΥΘΥΝΟΣ ΛΕΙΤΟΥΡΓΙΚΩΝ ΣΥΣΤΗΜΑΤΩΝ & ΒΟΗΘΗΤΙΚΩΝ ΠΡΟΓΡΑΜΜΑΤΩΝ...90 ΥΠΕΥΘΥΝΟΣ ΕΦΑΡΜΟΓΩΝ...91 ΥΠΕΥΘΥΝΟΣ ΒΑΣΕΩΝ ΔΕΔΟΜΕΝΩΝ...92 ΕΞΩΤΕΡΙΚΟΙ ΣΥΝΕΡΓΑΤΕΣ...92 ΚΡΙΤΗΡΙΑ ΕΝΕΡΓΟΠΟΙΗΣΗΣ...93 ΕΞΟΠΛΙΣΜΟΣ...96 ΈΤΟΙΜΟ ΛΟΓΙΣΜΙΚΟ...96 ΕΦΑΡΜΟΓΕΣ...96 ΑΝΤΙΓΡΑΦΑ ΑΣΦΑΛΕΙΑΣ...97 ΚΡΙΤΗΡΙΑ ΕΠΑΝΑΦΟΡΑΣ...97 ΕΦΕΔΡΙΚΟΣ (OFF SITE) ΧΩΡΟΣ...98 ΣΥΝΤΗΡΗΣΗ ΣΧΕΔΙΟΥ...99 ΓΝΩΣΤΟΠΟΙΗΣΗ...101 5 / 101

Επιτελική Σύνοψη Η Μελέτη Ανάλυσης και Διαχείρισης Επικινδυνότητας (Risk Analysis and Management Study) που εκπονήθηκε για τα ΟΠΣ Πολιτικής Προστασίας και τις σχετικές εγκαταστάσεις αποσκοπεί στον εντοπισμό και την αποτίμηση των παραμέτρων που σχετίζονται με την ασφάλεια των Συστημάτων και Εγκαταστάσεων αυτών (π.χ. προστατευόμενα αγαθά, αδυναμίες, απειλές, επιπτώσεις, συνέπειες κ.λπ.), καθώς και στην επιλογή και περιγραφή των απαραίτητων διαδικαστικών και τεχνικών μέτρων για την προστασία τους. Για την υλοποίηση των στόχων αυτών εφαρμόζεται η μέθοδος CRAMM (CCTA Risk Analysis and Management Method), η οποία βασίζεται στη μεθοδολογία Ανάλυσης και Διαχείρισης Επικινδυνότητας όπως αυτή έχει περιγραφεί στο ISO/IEC/JTC1 13335 GMITS: Information Technology Security Techniques Guidelines for the Management of IT Security. Η εφαρμογή της μεθόδου ακολουθεί τα εξής κύρια στάδια: 1. Προσδιορισμός αξιολόγηση των αγαθών (identification and valuation of assets). 2. Ανάλυση επικινδυνότητας (risk analysis). 3. Διαχείριση επικινδυνότητας (risk management). Στο παρόν παραδοτέο του έργου παρουσιάζονται οι προτάσεις για τη Διαχείριση της Επικινδυνότητας του Ολοκληρωμένου Πληροφοριακού Συστήματος της Γ.Γ.Π.Π. καθώς και των συναφών εγκαταστάσεών του. Τα οργανωτικά, διοικητικά και τεχνικά μέτρα που προτείνονται έχουν βασιστεί στα αποτελέσματα της ανάλυσης επικινδυνότητας που έχουν περιγραφεί σε προηγούμενο παραδοτέο. Συγκεκριμένα, ο συνδυασμός των επιπτώσεων, των απειλών και των αδυναμιών προσδιορίζει το Επίπεδο Επικινδυνότητας (risk level) των αγαθών που αποτιμάται συνολικά με το Βαθμό Επικινδυνότητας (risk factor). Με βάση το βαθμό επικινδυνότητας επιλέχθηκαν τα κατάλληλα Μέτρα Προστασίας, ώστε να διασφαλίζεται επίπεδο προστασίας ανάλογο του βαθμού επικινδυνότητας. 6 / 101

Εισαγωγή Ένθεση Παραδοτέου Το παραδοτέο «του Ο.Π.Σ. Πολιτικής Προστασίας» εντάσσεται στη Φάση της Πιλοτικής Λειτουργίας του Έργου ανάπτυξης του Ολοκληρωμένου Πληροφοριακού Συστήματος (Ο.Π.Σ) της Γενικής Γραμματείας Πολιτικής Προστασίας. Σκοπός είναι να προταθούν επαρκή διοικητικά, οργανωτικά και τεχνικά μέτρα ασφαλείας σύμφωνα με τα αποτελέσματα της Μελέτης Ανάλυσης Επικινδυνότητας του Ο.Π.Σ. Αντικείμενο, σκοπός και στόχοι της μελέτης ασφάλειας του Ο.Π.Σ. Το Ο.Π.Σ. αξιοποιεί τις τεχνολογίες της Πληροφορικής και των Τηλεπικοινωνιών σε όλο το εύρος των δραστηριοτήτων του. Η υλοποίηση του Ολοκληρωμένου Πληροφοριακού Συστήματος της Γ.Γ.Π.Π. αποτελεί σημαντική οικονομική επένδυση και αποσκοπεί στη βελτίωση της αποτελεσματικότητας της λειτουργίας της Πολιτικής Προστασίας, στη βελτίωση των υπηρεσιών που προσφέρονται στους πολίτες και στην υποστήριξη των δράσεων της υπηρεσίας σε περιόδους κρίσεων και εκτάκτων αναγκών. Με βάση τα ανωτέρω, η προστασία του Ο.Π.Σ. και των εγκαταστάσεών του από ενδεχόμενους κινδύνους αποτελεί δράση μείζονος σημασίας. Σκοπός της μελέτης ασφάλειας είναι η διατύπωση προς τη Γ.Γ.Π.Π. τεκμηριωμένης πρότασης, η οποία αποσκοπεί στη λήψη συγκεκριμένων μέτρων προστασίας του Ο.Π.Σ. και των εγκαταστάσεών του, στην κατεύθυνση της διασφάλισης της απρόσκοπτης λειτουργίας του. Αναλυτικότερα, οι επιμέρους στόχοι της μελέτης ασφάλειας παρουσιάζονται στον Πίνακα 1 που ακολουθεί. Στόχοι της Μελέτης Ασφάλειας του Ο.Π.Σ. - Καταγραφή και αποτίμηση τόσο των κινδύνων που υφίστανται τα Πληροφοριακά Συστήματα της Γ.Γ.Π.Π., όσο και των πιθανών επιπτώσεων που είναι δυνατόν να υποστούν τα αγαθά αυτά από ενδεχόμενες κακόβουλες ή άστοχες ενέργειες, προκληθείσες είτε από εσωτερικές, είτε από εξωτερικές οντότητες, ή τυχαία γεγονότα. - Μεθοδική επιλογή των κατάλληλων τεχνολογιών, καθώς και των αντίστοιχων τεχνολογικών μέτρων και οργανωτικών και διαδικαστικών πρωτοβουλιών και ενεργειών, απαραίτητων για την ασφάλεια του Ο.Π.Σ. - Καταγραφή και αποτίμηση τόσο των κινδύνων που υφίστανται οι κρίσιμες κτηριακές εγκαταστάσεις της Γ.Γ.Π.Π., όσο και των πιθανών επιπτώσεων από ενδεχόμενες κακόβουλες ενέργειες, άστοχες ενέργειες ή τυχαία γεγονότα. - Μεθοδική επιλογή των κατάλληλων τεχνολογιών, καθώς και των αντίστοιχων τεχνολογικών μέτρων και οργανωτικών και διαδικαστικών πρωτοβουλιών και ενεργειών, απαραίτητων για την ασφάλεια των κρίσιμων κτηριακών εγκαταστάσεων της Γ.Γ.Π.Π. Πίνακας 1: Στόχοι της μελέτης ασφάλειας Στο πλαίσιο της υλοποίησης των προαναφερθέντων στόχων, για τη μελέτη ανάλυσης και διαχείρισης της επικινδυνότητας εφαρμόστηκε η πρότυπη μέθοδος CRAMM (UK CCTA Risk Analysis and Management Method). 7 / 101

Προτεινόμενα Μέτρα Προστασίας Τα προτεινόμενα Μέτρα Προστασίας έχουν κατηγοριοποιηθεί σύμφωνα με τον πίνακα που ακολουθεί: Κατηγορία Υποκατηγορία 1. Πολιτική Ασφάλειας 1.1 Διαδικασίες Διαχείρισης της Πολιτικής Ασφάλειας 1.2 Καθορισμός ρόλων 1.3 Διαδικασίες εκπαίδευσης προσωπικού 1.4 Ασφάλεια εγκαταστάσεων 1.5 Ασφάλεια εξοπλισμού και μέσων λειτουργίας του Ο.Π.Σ. 1.6 Ασφάλεια κατά τη διαδικασία ανάπτυξης και συντήρησης ΠΣ 1.7 Ασφάλεια Πληροφοριακών και Επικοινωνιακών Συστημάτων 1.8 Σχέδιο Ανάκαμψης από Καταστροφή 1.9 Οργάνωση, Διαχείριση και Διοίκηση Ασφάλειας ΠΣ 2 Οργάνωση Ασφάλειας 2.1 Εσωτερική Ασφάλεια Πληροφοριών 3 Κατάταξη και Έλεγχος των Περιουσιακών Στοιχείων 2.2 Ασφάλεια Συναλλαγών Υπηρεσίας με εξωτερικούς συνεργάτες ή τρίτα μέρη 3.1 Αξιοποίηση πόρων 4 Ασφάλεια Προσωπικού 4.1 Ασφάλεια Προσωπικού που προηγείται της Πρόσληψης 5 Φυσική Ασφάλεια και Ασφάλεια Περιβάλλοντος 4.2 Ασφάλεια Προσωπικού κατά τη διάρκεια εργασίας 4.3 Ασφάλεια Προσωπικού κατά τον τερματισμό εργασίας 5.1 Φυσική Ασφάλεια Κτηριακής Εγκατάστασης 5.2 Φυσική Ασφάλεια Κτηριακής Εγκατάστασης 5.3 Αντιμετώπιση εκρηκτικών μηχανισμών 5.4 Προστασία από κλοπή εξοπλισμού 5.5 Ασφάλεια Εξοπλισμού 8 / 101

Κατηγορία 6 Διαχείριση επικοινωνιών, δικτύων και λειτουργιών Υποκατηγορία 5.6 Προστασία από πυρκαγιά 5.7 Προστασία από πλημμύρα και ακραία καιρικά φαινόμενα 6.1 Λειτουργικές διαδικασίες και αρμοδιότητες 6.2 Προστασία από επιβλαβές λογισμικό 6.3 Αντίγραφα ασφαλείας 6.4 Διαχείριση Δικτύου 6.5 Ασφάλεια Ανταλλαγής Πληροφοριών 7 Έλεγχος Πρόσβασης 7.1 Πολιτική ελέγχου πρόσβασης 8 Ανάπτυξη και συντήρηση συστημάτων 9 Διαχείριση Περιστατικών Ασφάλειας 7.2 Διαχείριση ρόλων χρηστών 7.3 Διαχείριση Πρόσβασης χρηστών 7.4 Έλεγχος πρόσβασης στο δίκτυο 7.5 Έλεγχος πρόσβασης στο λειτουργικό σύστημα 7.6 Έλεγχος πρόσβασης σε εφαρμογές και πληροφορίες 8.1 Απαιτήσεις ασφάλειας πληροφοριακών συστημάτων- εφαρμογών 8.2 Ασφάλεια των αρχείων του κώδικα των εφαρμογών 9.1 Αναφορά περιστατικών ασφάλειας και ευπαθειών 9.2 Διαχείριση περιστατικών και ευπαθειών 10 Συνέχιση εργασίας 10.1 Σχέδιο Συνέχισης Λειτουργίας 11 Συμμόρφωση 11.1 Συμμόρφωση με νομοθετικές απαιτήσεις 12 Επιθεώρηση 12.1 Επιθεώρηση πληροφοριακών συστημάτων Πίνακας 2: Κατηγορίες Μέτρων Ασφάλειας του Ο.Π.Σ. Πολιτικής Προστασίας 9 / 101

1. Πολιτική Ασφάλειας Η Πολιτική Ασφάλειας περιγράφει το σύνολο των αρχών και κανόνων που καθορίζουν τον τρόπο με τον οποίο η Γ.Γ.Π.Π. πρέπει να διαχειρίζεται και να προστατεύει τους πόρους, έτσι ώστε να επιτυγχάνει συγκεκριμένους στόχους ασφάλειας 1.1. Διαδικασίες Διαχείρισης της Πολιτικής Ασφάλειας 1.1.1.1. Η Γ.Γ.Π.Π. αποδίδει υψηλή προτεραιότητα στην ασφάλεια του Ο.Π.Σ. Με βάση αυτή την αρχή τίθεται σε ισχύ η παρούσα Πολιτική Ασφάλειας. 1.1.1.2. Ορισμός της Ασφάλειας του Ο.Π.Σ. Η ασφάλεια του Ο.Π.Σ. αναφέρεται στην προστασία των πληροφοριών από πιθανή απώλεια της ακεραιότητας (integrity), της διαθεσιμότητας (availability) ή της εμπιστευτικότητας τους (confidentiality), καθώς και στην προστασία της ανθρώπινων πόρων και της υλικοτεχνικής υποδομής που απαιτούνται για τη συλλογή, διαβίβαση, επεξεργασία και διάθεση των πληροφοριών. 1.1.1.3. Εμβέλεια της Πολιτικής Ασφάλειας Η Πολιτική Ασφάλειας αφορά στο σύνολο των πληροφοριών που συλλέγει, αποθηκεύει και επεξεργάζεται το Ο.Π.Σ., καθώς και τη μετατροπή τους σε άλλες μορφές (π.χ. εκτύπωση πληροφοριών) και τη μετέπειτα διαχείρισή τους. Αφορά, επίσης, στο σύνολο του υλικού εξοπλισμού και του λογισμικού που χρησιμοποιείται για την επεξεργασία αυτών των πληροφοριών. Η Πολιτική Ασφάλειας εφαρμόζεται από όλα τα μέλη του προσωπικού που μετέχουν άμεσα ή έμμεσα στην επεξεργασία, διακίνηση, ή αποθήκευση των πληροφοριών, καθώς και στη χρήση και διαχείριση της σχετικής τεχνολογικής υποδομής. 1.1.1.4. Συμμόρφωση με την Πολιτική Ασφάλειας Η εφαρμογή της Πολιτικής Ασφάλειας και των κανόνων που απορρέουν από αυτήν είναι υποχρεωτική για όλους τους χρήστες του Ο.Π.Σ. Όλοι έχουν την υποχρέωση να συμβάλλουν ενεργά στην επίτευξη των στόχων της Πολιτικής Ασφάλειας ενώ η Γ.Γ.Π.Π. πρέπει να μεριμνά ώστε το σύνολο των χρηστών να λαμβάνει γνώση της Πολιτικής Ασφάλειας. Η Γ.Γ.Π.Π. διατηρεί το δικαίωμα να επιβάλλει κυρώσεις σε περιπτώσεις παραβίασής της. 1.1.1.5. Νομικές υποχρεώσεις Η Γ.Γ.Π.Π. πρέπει να προβαίνει σε όλες τις ενέργειες που απαιτούνται για να γίνεται σεβαστή η νομοθεσία που αφορά στην προστασία των πνευματικών δικαιωμάτων, στην προστασία προσωπικών δεδομένων, στο ηλεκτρονικό έγκλημα και γενικά στη νομοθεσία που αφορά στη χρήση υπολογιστικών και επικοινωνιακών συστημάτων. 1.1.1.6. Διαχείριση αλλαγών Η Πολιτική Ασφάλειας πρέπει να τηρείται κατά το δυνατόν επίκαιρη. Αποτελεί ευθύνη της Γ.Γ.Π.Π. να ορίσει το κατάλληλο πρόσωπο που θα είναι αρμόδιο και θα μεριμνά για 10 / 101

τις απαιτούμενες ενέργειες για την επικαιροποίησή της. 1.1.1.7. Εποπτεία εφαρμογής της Πολιτικής Ασφάλειας Η εφαρμογή της Πολιτικής Ασφάλειας και των κανόνων που απορρέουν από αυτήν ελέγχεται μέσω κατάλληλων διαδικασιών ελέγχου. 1.2. Καθορισμός ρόλων 1.2.1. Απονομή Αρμοδιοτήτων 1.2.1.1. Μέσω των αρμοδιοτήτων που απονέμονται στους χρήστες πρέπει να διασφαλίζεται ότι καθένας έχει πρόσβαση αποκλειστικά και μόνο στις πληροφορίες εκείνες που είναι απαραίτητες για την εκτέλεση της εργασίας που του έχει ανατεθεί (need to know). 1.2.1.2. Είναι απαραίτητο το προσωπικό που εμπλέκεται στη χρήση του Ο.Π.Σ. να γνωρίζει με σαφήνεια το πεδίο και τα όρια των αρμοδιοτήτων του. 1.2.1.3. Οι ρόλοι (roles) που απαιτούνται για τη λειτουργία του Ο.Π.Σ. να είναι καταγραμμένοι σε περιγραφές θέσεων εργασίας. 1.2.1.4. Πρέπει να διασφαλίζεται ότι οι αρμοδιότητες του προσωπικού δεν είναι επικαλυπτόμενες (segregation of duties) και ότι καλύπτονται όλες οι αρμοδιότητες που αφορούν στη διαχείριση της ασφάλειας των ΠΣ. 1.3. Διαδικασίες εκπαίδευσης προσωπικού 1.3.1. Εκπαίδευση προσωπικού σε θέματα ασφάλειας ΠΣ 1.3.1.1. Η Γ.Γ.Π.Π. πρέπει να παρέχει επαρκή και κατάλληλη εκπαίδευση στο προσωπικό που αξιοποιεί ή διαχειρίζεται την πληροφοριακή υποδομή του Ο.Π.Σ., σε θέματα Ασφάλειας Πληροφοριακών Συστημάτων και Δικτύων, ανάλογα με το ρόλο του κάθε υπαλλήλου. 1.3.1.2. Οι χρήστες του Ο.Π.Σ. πρέπει να είναι εφοδιασμένοι με τα απαραίτητα μέσα (π.χ. εγχειρίδια, εργαλεία κ.λπ.) για την ορθή και ασφαλή χρήση των ΠΣ. 11 / 101

1.4. Ασφάλεια εγκαταστάσεων 1.4.1. Ασφάλεια κτηριακών εγκαταστάσεων Να παρεμποδίζεται η μη εξουσιοδοτημένη πρόσβαση ή καταστροφή των φυσικών εγκαταστάσεων που στεγάζουν το Ο.Π.Σ. 1.4.1.1. Η φυσική προστασία πρέπει να στηρίζεται σε περιμετρικά καθορισμένες ζώνες προστασίας γύρω από τα στοιχεία του Ο.Π.Σ. και αντίστοιχα τοποθετημένους ελέγχους. 1.4.1.2. Η πρόσβαση στις προστατευόμενες περιοχές πρέπει να περιορίζεται στα εξουσιοδοτημένα άτομα. 1.4.1.3. Οι κτηριακές εγκαταστάσεις της Γ.Γ.Π.Π. που στεγάζουν το Ο.Π.Σ. πρέπει να προστατεύονται από το ενδεχόμενο φυσικής καταστροφής και πυρκαγιάς. 1.4.1.4. Οι κτηριακές εγκαταστάσεις που στεγάζουν το Ο.Π.Σ. πρέπει να προστατεύονται από το ενδεχόμενο τρομοκρατικών ή άλλων επιθέσεων. 1.5. Ασφάλεια εξοπλισμού και μέσων λειτουργίας του Ο.Π.Σ. Να προστατεύεται η ακεραιότητα του εξοπλισμού πληροφορικής και επικοινωνιών από φυσικές καταστροφές ή αλλοιώσεις, που θα μπορούσαν να προκαλέσουν διακοπή της ομαλής λειτουργίας του Ο.Π.Σ. 1.5.1.1. Ο εξοπλισμός πληροφορικής και επικοινωνιών πρέπει να στεγάζεται σε χώρους όπου η πρόσβαση και οι κίνδυνοι από φυσική αιτία ελέγχονται αποτελεσματικά. 1.5.1.2. Η συντήρηση του εξοπλισμού πληροφορικής και επικοινωνιών πρέπει να ικανοποιεί, τουλάχιστον, τις εξής απαιτήσεις: Να διεξάγεται σύμφωνα με τις προδιαγραφές του κατασκευαστή Να προβλέπει επαρκή έλεγχο των ενεργειών του προσωπικού που εκτελεί τη συντήρηση. 1.5.1.3. Για όλα τα μεταφέρσιμα μέσα πρέπει να τηρούνται οι ακόλουθες πρακτικές: Ασφαλής φυσική φύλαξη Περιορισμός στο ελάχιστο της διακίνησης και διανομής μέσων και δεδομένων Διατήρηση ημερολογίου των ενεργειών καταστροφής μέσων ή διαγραφής δεδομένων που είναι αποθηκευμένα σε αυτά. 12 / 101

1.5.1.4. Οι φυσικές συνθήκες λειτουργίας των ΠΣ (π.χ. υγρασία, θερμοκρασία, κ.λπ.) και η παροχή ηλεκτρικού ρεύματος πρέπει είναι σύμφωνες με τις προδιαγραφές των κατασκευαστών. 1.6. Ασφάλεια κατά τη διαδικασία ανάπτυξης και συντήρησης ΠΣ 1.6.1. Οργάνωση της Συντήρησης του Ο.Π.Σ. 1.6.1.1. Η διαδικασία συντήρησης του Ο.Π.Σ. απαιτεί θέσπιση ρόλων με συγκεκριμένες αρμοδιότητες. Οι ρόλοι που κατ ελάχιστον πρέπει να περιλαμβάνονται είναι: Ιδιοκτήτης συστήματος: υπεύθυνος για την ορθή χρήση, τις αποφάσεις βελτιώσεων και την έγκριση αλλαγών στο σύστημα. Υπεύθυνος συντήρησης: παρακολούθηση της λειτουργίας του συστήματος, υπό τεχνική οπτική. Θα πρέπει να υπάρχουν διαδικασίες διαχείρισης των αλλαγών που πραγματοποιούνται στο σύστημα, έτσι ώστε αυτό να λειτουργεί πάντα σύμφωνα με προδιαγεγραμμένες συνθήκες. 1.6.1.2. Η διαδικασία αλλαγής ή αναβάθμισης εξοπλισμού και λογισμικού πρέπει να ικανοποιεί τουλάχιστον τις ακόλουθες συνθήκες: Να περιορίζεται αυστηρά στις απολύτως απαραίτητες και τεκμηριωμένες αλλαγές. Να μη διακυβεύει τις απαιτήσεις ασφάλειας. Να εγκρίνεται από τον ιδιοκτήτη του συστήματος και να παρακολουθείται από τον υπεύθυνο συντήρησης. Πρέπει να υπάρχει ένα σύστημα καταγραφής των αλλαγών στο σύστημα, προκειμένου να είναι ελεγχόμενη και ιχνηλατήσιμη η τρέχουσα κατάστασή του. 1.7. Ασφάλεια Πληροφοριακών και Επικοινωνιακών Συστημάτων 1.7.1. Βασικές διαδικασίες ασφάλειας Να τηρούνται, σε επίπεδο καθημερινής λειτουργίας, στοιχειώδεις διαδικασίες για την επίτευξη ενός επαρκούς επιπέδου ακεραιότητας και διαθεσιμότητας των υπηρεσιών που παρέχει το Ο.Π.Σ. 1.7.1.1. Οι διαδικασίες για την καθημερινή χρήση του Ο.Π.Σ. πρέπει να είναι τεκμηριωμένες, σε μορφή εγχειριδίου, διαθέσιμου στο χρήστη. 13 / 101

1.7.1.2. Πρέπει να υπάρχουν διαδικασίες λήψης αντιγράφων ασφάλειας των δεδομένων. Η ασφαλής φύλαξη των αντιγράφων είναι πρωταρχικής σημασίας. 1.7.1.3. Πρέπει να υπάρχουν διαδικασίες πρόληψης, εντοπισμού και απαλλαγής από ιομορφικό λογισμικό, που θα προβλέπουν: Χρησιμοποίηση νόμιμου και σύγχρονου λογισμικού προστασίας Έλεγχο κάθε ξένου ή νέου μέσου ή/και εκτελέσιμου αρχείου που εισάγεται στο σύστημα Επίβλεψη των πρακτικών που τηρούνται και ανανέωση των εργαλείων προστασίας που χρησιμοποιούνται Μέριμνα για την προστασία των εργαλείων αντιμετώπισης ιομορφικού λογισμικού (viral software). 1.7.1.4. Όλες οι μεταβολές που διενεργούνται στο λογισμικό και στο υλικό πρέπει να ακολουθούν σχετική εξουσιοδότηση και να καταγράφονται σε προστατευόμενα αρχεία. 1.7.1.5. Οι ενέργειες των διαχειριστών ή/και χρηστών που ορίζονται ως κρίσιμες πρέπει να καταγράφονται σε προστατευόμενα αρχεία και να επιθεωρούνται τακτικά. 1.7.1.6. Οι αστοχίες στη λειτουργία του εξοπλισμού και του λογισμικού πρέπει να καταγράφονται και να αξιολογούνται σε σχέση με την προδιαγεγραμμένη λειτουργία. 1.7.1.7. Πρέπει να αξιοποιείται νόμιμο λογισμικό. Από την απαίτηση αυτή δεν εξαιρούνται οι εφαρμογές που αποκτούνται μέσω του Internet. 1.7.2. Βασικό πλαίσιο ασφαλούς διαχείρισης δεδομένων Να ικανοποιούνται ορισμένες πρωταρχικές απαιτήσεις ασφάλειας για την επεξεργασία δεδομένων 1.7.2.1. Τα δεδομένα πρέπει να είναι κατηγοριοποιημένα σύμφωνα με την προστασία που χρειάζονται, όπως αυτή προκύπτει από την ανάλυση επικινδυνότητας. Σύμφωνα με την κατηγοριοποίηση, θα ορίζονται οι εξουσιοδοτημένοι αποδέκτες δεδομένων και θα λαμβάνονται τα λοιπά μέτρα ασφάλειας. 1.7.2.2. Κάθε επεξεργασία σε δεδομένα πρέπει να διασφαλίζεται με διαδικαστικά και τεχνικά μέσα ότι μπορεί να αποδοθεί σε συγκεκριμένο άτομο. 14 / 101

1.7.3. Έλεγχος προσπέλασης Η προσπέλαση σε πληροφορίες και πόρους ελέγχεται με βάση ορισμένους κανόνες που δεν διακυβεύουν την ασφάλεια των συστημάτων και των δεδομένων 1.7.3.1. Πρέπει να υπάρχουν διαδικασίες αυθεντικοποίησης των χρηστών, καθώς και των στοιχείων λογισμικού και υλικού του Ο.Π.Σ. 1.7.3.2. Οι διαδικασίες ελέγχου προσπέλασης στο Ο.Π.Σ. πρέπει να αποτελούν συγκερασμό των λειτουργικών αναγκών των χρηστών και να βασίζονται: Στις απαιτήσεις ασφάλειας ως προς την προσπέλαση Στις πολιτικές επιλογές της Γ.Γ.Π.Π. σχετικά με τη διακίνηση πληροφοριών. 1.7.3.3. Η παροχή δικαιωμάτων προσπέλασης (access privileges) στους χρήστες του Ο.Π.Σ. πρέπει να πληροί συγκεκριμένες αρχές, που συνοψίζονται τουλάχιστον στις ακόλουθες: Αποτελεί ορισμένη διαδικασία που διενεργείται από εξουσιοδοτημένα άτομα και βασίζεται σε τεκμηριωμένες διαδικασίες ελέγχου προσπέλασης. Εξασφαλίζει ότι ο χρήστης δηλώνει με δεσμευτικό τρόπο την υποχρέωσή του να διαφυλάττει τα μέσα παροχής προσπέλασης (π.χ. κωδικοί/συνθηματικά). Δίνει οδηγίες στο διαχειριστή και στο χρήστη για τη χρήση και ιδιαίτερα για την προστασία των μέσων προσπέλασης. Μεριμνά για τον έλεγχο της προσπέλασης τρίτων μερών στα ΠΣ. 1.7.3.4. Πρέπει να διενεργούνται τακτικοί έλεγχοι, που θα διασφαλίζουν τα ακόλουθα: Τα δικαιώματα προσπέλασης που παρέχονται δεν καταστρατηγούνται Γίνεται ανάκληση (revocation) των δικαιωμάτων αυτών, όταν δεν συντρέχουν συγκεκριμένες προϋποθέσεις. Εντοπίζονται οι απόπειρες παρέμβασης στο Ο.Π.Σ., οι οποίες θα μπορούσαν να προκαλέσουν ρήγμα ασφάλειας (security breach) της πρόσβασης. 1.7.3.5. Οι διαδικασίες ελέγχου προσπέλασης του Ο.Π.Σ. πρέπει να αλλάζουν με βάση τα ακόλουθα κριτήρια: Τη μελέτη των τεχνολογικών εξελίξεων. Τις ανανεούμενες ανάγκες εργασίας. Τα συμπεράσματα από τους ελέγχους χρήσης των δικαιωμάτων προσπέλασης. 15 / 101

1.7.4. Χειρισμός περιστατικών ανασφάλειας Να πραγματοποιείται έγκαιρη αντιμετώπιση των ρηγμάτων ασφάλειας και να επιτυγχάνεται ελαχιστοποίηση των απωλειών και γενικότερα του αντίκτυπου και των επιπτώσεων που επιφέρουν στη λειτουργία του Ο.Π.Σ. 1.7.4.1. Πρέπει να θεσπιστεί διαδικασία υποχρεωτικού χαρακτήρα για την αναφορά των ρηγμάτων ασφάλειας και γενικότερα των δυσλειτουργιών που διαπιστώνονται. 1.7.4.2. Πρέπει να υπάρχει τεκμηριωμένο πλαίσιο διαδικασιών που θα διασφαλίζει την έγκαιρη και αποτελεσματική ανταπόκριση στην εμφάνιση κάποιου περιστατικού ανασφάλειας. Το πλαίσιο αυτό πρέπει να περιλαμβάνει κατ ελάχιστον: Τους ρόλους και τις αρμοδιότητες που θα αναλαμβάνονται Τη διατήρηση καταγεγραμμένων αποδείξεων των γεγονότων που συνέβησαν Τη διαδικασία εντοπισμού του αιτίου του ρήγματος ασφάλειας Τη διαδικασία ανάνηψης. 1.7.5. Ασφάλεια Δικτύων Να υπάρχουν μέτρα που καλύπτουν τις αυξημένες απαιτήσεις ασφάλειας, που ισχύουν για τα δικτυωμένα περιβάλλοντα 1.7.5.1. Το τοπικό δίκτυο δεν πρέπει να συνδέεται απευθείας και μόνιμα με εξωτερικά συστήματα ή δίκτυα. Όταν η σύνδεση αυτού του είδους επιβάλλεται για εξυπηρέτηση υπηρεσιακών αναγκών, τότε απαιτείται: Εξουσιοδότηση από τον υπεύθυνο ασφάλειας Χρήση μηχανισμών που διασφαλίζουν την εμπιστευτικότητα, ακεραιότητα και διαθεσιμότητα των πόρων ή/και δεδομένων του τοπικού δικτύου. 1.7.5.2. Η εμπιστευτικότητα και ακεραιότητα των δεδομένων που μεταφέρονται μέσω δικτύων πρέπει να διασφαλίζεται με σύγχρονα τεχνικά μέσα. 1.7.5.3. Η προστασία των μηχανισμών ασφάλειας του δικτύου (π.χ. ανάχωμα ασφάλειας firewall) είναι πρωταρχικής σημασίας. 1.7.5.4. Η εγκαθίδρυση συνδέσεων με το Διαδίκτυο πρέπει να εντάσσεται σε ένα καλά ορισμένο πλαίσιο προϋποθέσεων, που θα καλύπτει τουλάχιστον τα ακόλουθα γενικά χαρακτηριστικά: Οι συνδέσεις πρέπει να εξυπηρετούν στόχους του Ο.Π.Σ. Πρέπει να λαμβάνονται όλα τα τεχνικά μέτρα, ώστε οι συνδέσεις να μη διακυβεύουν την 16 / 101

ασφάλεια των ΠΣ και των δεδομένων τους. 1.7.5.5. Επιπρόσθετα, η χρήση του Διαδικτύου, ως μέσου επιτέλεσης λειτουργιών του Ο.Π.Σ., απαιτεί αυξημένων προδιαγραφών μέτρα ασφάλειας. Τα μέτρα θα προκύπτουν μετά από μελέτη, ενώ πρέπει να τεκμηριώνονται οι μηχανισμοί αντιμετώπισης των απειλών. 1.8. Σχέδιο Ανάκαμψης από Καταστροφή 1.8.1. Δημιουργία πλάνων ανάκαμψης συνέχειας Να υπάρχουν οργανωμένα σχέδια για την ανάκαμψη των διαδικασιών, που υποστηρίζονται από το Ο.Π.Σ., από μικρή ή εκτεταμένη βλάβη 1.8.1.1. Η κρισιμότητα των ΠΣ. της Γ.Γ.Π.Π. επιβάλει την ύπαρξη σχεδίου ανάκαμψης από βλάβες στη λειτουργία του Ο.Π.Σ., οι οποίες διαταράσσουν την απρόσκοπτη λειτουργία του. Η διαδικασία ορισμού του σχεδίου πρέπει να περιλαμβάνει, τουλάχιστον, τα ακόλουθα: Τον καθορισμό των κρίσιμων διαδικασιών σε λειτουργικό και τεχνικό επίπεδο Την εκτίμηση των συνεπειών στις διαδικασίες από συγκεκριμένου τύπου και έκτασης βλάβες των ΠΣ Τον ορισμό των διαδικασιών ανάκαμψης και συνέχισης καθώς και των αντίστοιχων ρόλων και υπευθυνοτήτων. 1.8.1.2. Η δημιουργία του πλάνου ανάκαμψης πρέπει να προβλέπει τόσο την ανάνηψη από τις τεχνικές δυσλειτουργίες που προκάλεσε η βλάβη, όσο και τη σταθεροποίηση του περιβάλλοντος εργασίας. 1.8.2. Διαχείριση πλάνων ανάκαμψης συνέχειας Το σχέδιο ανάκαμψης από καταστροφή και συνέχισης των διαδικασιών είναι ορθό, λειτουργικό και επίκαιρο 1.8.2.1. Το σχέδιο ανάκαμψης από καταστροφή και συνέχισης των διαδικασιών πρέπει να είναι εγκεκριμένο από τη διοίκηση και καταγεγραμμένο σε εγχειρίδιο. 1.8.2.2. Πρέπει να υπάρχει πλαίσιο διαχείρισης του σχεδίου ανάκαμψης από καταστροφή και συνέχισης των διαδικασιών, το οποίο θα καλύπτει, τουλάχιστον: Την υποβολή του σχεδίου σε προγραμματισμένους ελέγχους για την επιβεβαίωση της 17 / 101

λειτουργικότητας και της ανταπόκρισής του στις προτεραιότητες της Γ.Γ.Π.Π. Την εκπαίδευση του προσωπικού στη λειτουργία του σχεδίου Το συντονισμό της λειτουργίας του σχεδίου σε περίπτωση ενεργοποίησής του Την ενημέρωση του σχεδίου με τις πρόσφατες εξελίξεις και αλλαγές, τόσο στη λειτουργία της Γ.Γ.Π.Π., όσο και στην τεχνολογία Το συνυπολογισμό των επιχειρηματικών και τεχνικών παραμέτρων στο σχέδιο. 1.9. Οργάνωση, Διαχείριση και Διοίκηση Ασφάλειας ΠΣ 1.9.1. Στρατηγική και οργάνωση ασφάλειας Η Γ.Γ.Π.Π. θα πρέπει να υλοποιήσει ένα βασικό οργανωτικό πλαίσιο για την Οργάνωση, Διαχείριση και Διοίκηση της Ασφάλειας ΠΣ 1.9.1.1. Η τελική ευθύνη για τη στρατηγική αντιμετώπιση του θέματος της ασφάλειας ανήκει στη διοίκηση. Η αρχή αυτή πρέπει να εκφράζεται δια της ενεργού συμμετοχής της διοίκησης στα θέματα που σχετίζονται με την ασφάλεια του Ο.Π.Σ. 1.9.1.2. Θα υπάρχει ένα πλαίσιο αρμοδιοτήτων που θα αφορά στη διαχείριση της ασφάλειας του Ο.Π.Σ. Το πλαίσιο αυτό θα περιλαμβάνει, κατ ελάχιστον, τους εξής ρόλους: Υπεύθυνος Ασφάλειας Ο.Π.Σ. Επιτροπή Εποπτείας και Ελέγχου Ο.Π.Σ. 1.9.1.3. Κάθε εργαζόμενος πρέπει να διαθέτει αντίγραφο της Πολιτικής Ασφάλειας του Ο.Π.Σ. και να έχει δεσμευτεί ότι έχει μελετήσει την Πολιτική Ασφάλειας. 1.9.2. Εποπτεία ασφάλειας Ο.Π.Σ. Είναι απαραίτητο να θεσπιστούν διαδικασίες επιθεώρησης του Ο.Π.Σ. και διαδικασίες συμμόρφωσης με την πολιτική ασφάλειας 1.9.2.1. Να διενεργούνται επιθεωρήσεις σύμφωνα με: Συγκεκριμένο πρόγραμμα, αλλά και εκτάκτως όταν χρειάζεται Από εξειδικευμένο προσωπικό και με χρήση κατάλληλων μεθόδων και εργαλείων Από προσωπικό ανεξάρτητο της διαχείρισης του Ο.Π.Σ. 18 / 101

1.9.3. Διαχείριση σχέσεων με άλλους φορείς Το επίπεδο ασφάλειας του Ο.Π.Σ. δεν επηρεάζεται αρνητικά από την πρόσβαση σε αυτά τρίτων μερών, από την ανταλλαγή δεδομένων ή από τη γενικότερη συνεργασία με άλλους φορείς. 1.9.3.1. Οι κίνδυνοι που προέρχονται από τις διασυνδέσεις του Ο.Π.Σ. με εξωτερικούς φορείς πρέπει να αναλύονται. Στη διαδικασία αυτή πρέπει να εμπλέκονται: Εκπρόσωπος της Γ.Γ.Π.Π. Ο Υπεύθυνος Ασφάλειας του Ο.Π.Σ. 1.9.3.2. Οι μηχανισμοί ασφάλειας που καλύπτουν την επικινδυνότητα που προκύπτει από τις σχέσεις με άλλους φορείς, πρέπει να τηρούν τις ακόλουθες συνθήκες: Να περιλαμβάνονται στις συμβάσεις συνεργασίας με τρίτα μέρη Να υλοποιούνται πριν την έναρξη οποιασδήποτε συνεργασίας Να επιτηρούνται επαρκώς. 1.9.4. Διαμόρφωση θετικής προδιάθεσης προς την ασφάλεια Οι χρήστες του Ο.Π.Σ. γνωρίζουν και εκτιμούν την έννοια της ασφάλειας, κατανοούν το περιεχόμενο της Πολιτικής Ασφάλειας και υποστηρίζουν ενεργά και συνειδητά την τήρησή της 1.9.4.1. Η Γ.Γ.Π.Π. πρέπει να εκπαιδεύει και να ευαισθητοποιεί τους χρήστες αναφορικά με το θέμα της ασφάλειας και να επιδοκιμάζει κάθε προσπάθεια ενίσχυσης των αρχών της προστασίας των πληροφοριών και πόρων. 1.9.4.2. Η Γ.Γ.Π.Π. πρέπει να οργανώσει ένα ευρύ σχέδιο ενημερότητας και ευαισθητοποίησης των χρηστών (awareness program) του Ο.Π.Σ. 1.9.4.3. Όπου είναι δυνατό ή όταν επιβάλλεται πρέπει να τηρούνται κώδικες επαγγελματικής δεοντολογίας για το προσωπικό. 19 / 101

2. Οργάνωση Ασφάλειας 2.1. Εσωτερική Ασφάλεια Πληροφοριών 2.1.1. Οργανωτική υποστήριξη υπηρεσιών ασφάλειας Η Διοίκηση της Γ.Γ.Π.Π. πρέπει να υποστηρίζει ενεργά τη διαχείριση της ασφάλειας του Ο.Π.Σ. 2.1.1.1. Η Γ.Γ.Π.Π. πρέπει να ενισχυθεί με καταρτισμένα στελέχη ή να αξιοποιήσει περαιτέρω υπάρχοντα στελέχη με σχετικές γνώσεις, ώστε να έχει τη δυνατότητα να ανταποκριθεί στις απαιτήσεις του παρόντος Σχεδίου Ασφάλειας και τις ανάγκες διαχείρισης του Ο.Π.Σ. 2.1.1.2. Να ανατεθεί ο ρόλος του Υπεύθυνου Ασφάλειας Πληροφοριακών Συστημάτων σε επιστήμονα με ανάλογα προσόντα. Να έχει επαρκή κατάρτιση στην Ασφάλεια Πληροφοριακών Συστημάτων και Δικτύων. Να κατανοεί τη σημασία των ζητημάτων που αφορούν την ασφάλεια. Να έχει την ικανότητα να συνεργάζεται τόσο με στελέχη πληροφορικής, όσο και με διοικητικά στελέχη και χρήστες των συστημάτων. Να έχει επαρκή εμπειρία στη διαχείριση ΠΣ. 2.1.1.3. Να οριστεί αντικαταστάτης του Υπεύθυνου Ασφάλειας Πληροφοριακού Συστήματος για την περίπτωση απουσίας του. 2.1.1.4. Οι αρμοδιότητες του Υπεύθυνου Ασφάλειας Πληροφοριακού Συστήματος να οριστούν με σαφήνεια και να καταγραφούν. Οι αρμοδιότητες αυτές περιλαμβάνουν τουλάχιστον τα ακόλουθα: Να αναφέρεται, για θέματα που αφορούν στην ασφάλεια του συστήματος, απευθείας στη Διοίκηση της Γ.Γ.Π.Π. Να είναι υπεύθυνος για την υλοποίηση και εφαρμογή των μέτρων ασφάλειας. Να διεξάγει τακτικούς και έκτακτους ελέγχους για την εφαρμογή του Σχεδίου Ασφάλειας. Να είναι υπεύθυνος για το σχεδιασμό και το συντονισμό των δραστηριοτήτων εκπαίδευσης και ενημερότητας σε θέματα ασφάλειας. Να αποτελεί κεντρικό σημείο αναφοράς για όλους τους χρήστες σε θέματα ασφάλειας ΠΣ. Να συντονίζει τη διερεύνηση των περιστατικών παραβίασης ή απόπειρας παραβίασης της ασφάλειας. Να συμβάλλει στη διαμόρφωση και ανανέωση του Σχεδίου Ασφάλειας. Να συμμετέχει στο σχεδιασμό κάθε νέου έργου που αφορά στην ανάπτυξη συστημάτων ή εφαρμογών, ώστε να προσδιορίζει τις σχετικές με την ασφάλεια απαιτήσεις. 20 / 101