ΕΙΝΑΙ Η ΕΠΙΧΕΙΡΗΣΗ ΜΟΥ ΑΣΦΑΛΗΣ; CHECKLIST
Εμείς στην ENERANET IT Systems πιστεύουμε πώς η Ασφάλεια των Δεδομένων και των Πληροφοριακών Συστημάτων πρέπει να έχει προτεραιότητα στην TO DO List κάθε επιχείρησης. Για το λόγο αυτό έχουμε ετοιμάσει την παρακάτω Checklist με την οποία κάθε επιχείρηση μπορεί να αυτο-αξιολογήσει το επίπεδο ασφάλειας των ΤΠΕ (Τεχνολογιών Πληροφοριών & Επικοινωνίας) της και να λάβει τα κατάλληλα μέτρα, ώστε τα Δεδομένα και τα Πληροφοριακά Συστήματα της, να παραμένουν ασφαλή. Για κάθε περαιτέρω πληροφορία ή απορία σας, είμαστε στην διάθεση σας. ENERANET IT Systems W Γ.ΠΑΠΑΝΔΡΕΟΥ 8 85300 ΚΩΣ +30 22420 29413 sales@eneranet.com www.eneranet.com 2
SELF ASSESSMENT IT SECURITY CHECKLIST Διαχείριση Ασφάλειας Δεδομένων Information Security Management: Έχει καθορίσει η Διοίκηση της επιχείρησής σας τους στόχους ασφάλειας ΤΠΕ και έχει υιοθέτηση την σημαντικότητα και αναγκαιότητα αυτών στην γενική επιχειρηματική πολιτική της; Υπάρχει στην επιχείρησή σας Υπεύθυνος Ασφάλειας Πληροφορικής IT Security Officer; Συμπεριλαμβάνετε κανόνες και προϋποθέσεις ασφάλειας ΤΠΕ στις μελέτες νέων Projects σας (π.χ μελέτη δημιουργίας ενός νέου Δικτύου, αγορά νέων συστημάτων ΤΠΕ & Λογισμικού, Outsourcing & Συμβόλαια Τεχνικής Υποστήριξης); Υπάρχει μία γενική επισκόπηση των απαιτήσεων προστασίας των κυριότερων Προγραμμάτων και Συστημάτων ΤΠΕ που χρησιμοποιεί η επιχείρησή σας; Υπάρχει στην επιχείρησή σας ένα Σχέδιο Δράσης το οποίο να δίνει προτεραιότητες στους Στόχους Ασφάλειας ΤΠΕ και να ρυθμίζει την εφαρμογή των Μέτρων Ασφάλειας που έχουν αποφασιστεί; Έχει καθοριστεί για όλα τα Μέτρα Ασφάλειας ΤΠΕ της επιχείρησης ή του οργανισμού σας, εάν εκτελείται η εφαρμογή τους μόνο μία φορά ή ανά τακτά χρονικά διαστήματα? (π.χ. συχνότητα ενημερώσεων Anti-Virus); Έχουν καθοριστεί για όλα τα Μέτρα Ασφάλειας ΤΠΕ, οι αρμοδιότητες και ευθύνες των υπευθύνων; Υπάρχουν Κανόνες Εκπροσώπησης των υπευθύνων μηχανοργάνωσης και είναι ενήμεροι οι εκπρόσωποι για τις αρμοδιότητες τους; Έχουν καταγραφεί οι σημαντικότεροι Κωδικοί Πρόσβασης Συστημάτων για περίπτωση ανάγκης και φυλάσσονται σε ασφαλές μέρος; Γνωρίζουν όλοι οι αρμόδιοι τις ισχύoυσες Οδηγίες Ασφάλειας ΤΠΕ και τις αρμοδιότητες τους; Υπάρχουν Checklists ή Κανόνες που ακολουθούνται στην επιχείρησή σας όταν εισέρχεται ή αποχωρεί Προσωπικό? (π.χ. Δικαιώματα Χρηστών ); Ελέγχεται η αποτελεσματικότητα των Μέτρων Ασφάλειας ΤΠΕ στην επιχείρησή σας σε τακτά χρονικά διαστήματα (Vulnerability Assements, Penetration testing); Υπάρχει στην επιχείρησή σας ένα τεκμηριωμένο Σχέδιο Ασφάλειας ΤΠΕ; 3
Ασφάλεια Συστημάτων ΤΠΕ: Χρησιμοποιούνται, στην επιχείρησή σας, Μηχανισμοί Προστασίας σε εφαρμογές και Προγράμματα; Χρησιμοποιούνται, στην επιχείρησή σας και σε όλους τους Η/Υ, Προγράμματα Anti- Virus; Έχουν καθοριστεί, για κάθε Χρήστη του Δικτύου, Δικαιώματα και Προφίλ; Έχουν καθοριστεί τα Δεδομένα στα οποία έχει πρόσβαση ο κάθε Χρήστης στην επιχείρησή σας; Έχουν καθοριστεί, στην επιχείρησή σας, διαφορετικά Δικαιώματα και Προφίλ στους Διαχειριστές (Administrators); Έχουν ρυθμιστεί τα Δικαιώματα Συστήματος που απαιτούν και έχουν λάβει τα Προγράμματα και οι εφαρμογές που χρησιμοποιείται στην επιχείρησή σας και έχει γνωστοποιηθεί αυτό σε σας; Αλλάζουν στην επιχείρησή σας οι σχετικές Ρυθμίσεις Ασφάλειας σε Προγράμματα και Συστήματα ΤΠΕ ή παραμένουν τα Default Settings; Καταργούνται Προγράμματα και Ιδιότητες Προγραμμάτων που δεν χρησιμοποιούνται πλέον από την επιχείρησή σας; Μελετούν οι αρμόδιοι τα Εγχειρίδια Χρήσης των κατασκευαστών των Συστημάτων ΤΠΕ που χρησιμοποιεί η επιχείρησή σας; Δημιουργούνται λεπτομερείς Αναφορές Εγκατάστασης Συστημάτων ΤΠΕ και καταγράφονται συστηματικά και σε τακτά χρονικά διαστήματα αλλαγές σε συστήματα ΤΠΕ και Δικτύων στην επιχείρησή σας; 4
Δικτύωση και Διαδίκτυο: Λειτουργεί στην επιχείρηση ενεργό Firewall / UTM; Ελέγχονται σε τακτά χρονικά διαστήματα οι ρυθμίσεις και λειτουργίες του Firewall στην επιχείρησή σας; Υπάρχει σχεδιασμός και έχουν καταγραφεί τα Δεδομένα που πρέπει να είναι διαθέσιμα εκτός Τοπικού Δικτύου της επιχείρησής σας; Έχει ρυθμιστεί στην επιχείρησή σας η χρήση Επιπρόσθετων Προγραμμάτων (Plugins); Έχουν απενεργοποιηθεί στα συστήματα ΤΠΕ της επιχείρησής σας τυχόν αχρησιμοποίητες Υπηρεσίες Συστήματος και δυνατότητες προγραμμάτων; Έχει ρυθμιστεί η ασφάλεια των Web Browsers και E-Mail Clients που χρησιμοποιούνται στην επιχείρησή σας; Έχουν ενημερωθεί και εκπαιδευτεί κατάλληλα όλοι οι Χρήστες της επιχείρησής σας στην ασφαλή χρήση Η/Υ και του Διαδικτύου; Συμμόρφωση με τις Απαιτήσεις Ασφάλειας ΤΠΕ: Φυλάσσονται, σε κατάλληλο μέρος, εμπιστευτικά Δεδομένα και Μέσα Αποθήκευσης της επιχείρησής σας; Διαγράφονται από τα Μέσα Αποθήκευσης ή τα Συστήματα ΤΠΕ εμπιστευτικά δεδομένα, πριν από κάθε εργασία επισκευής ή συντήρησης στην επιχείρησή σας; Εκπαιδεύονται και ενημερώνονται οι Χρήστες της επιχείρησής σας, σε τακτά χρονικά διαστήματα, για θέματα Ασφάλειας Δεδομένων και ασφαλούς χρήσης Η/Υ; Υπάρχει διαδικασία ευαισθητοποίησης σε θέματα Ασφάλειας ΤΠΕ των Χρηστών στην επιχείρησή σας; Ελέγχεται, στην επιχείρησή σας, η εφαρμογή υφιστάμενων Κανόνων Ασφάλειας ΤΠΕ από τους Χρήστες; 5
Συντήρηση Συστημάτων ΤΠΕ - Ενημερώσεις: Εγκαθίστανται σε τακτά χρονικά διαστήματα Ενημερώσεις Ασφάλειας Λειτουργικών Συστημάτων και Προγραμμάτων στην επιχείρησή σας; Υπάρχει στην επιχείρησή σας, αρμόδιος ο οποίος ενημερώνεται σε τακτά χρονικά διαστήματα για νέες Ενημερώσεις Ασφάλειας και Ιδιότητες Ασφάλειας του Λογισμικού που χρησιμοποιείτε; Υπάρχει στην επιχείρησή σας Σχέδιο Δοκιμών για αλλαγές στο Λογισμικό που χρησιμοποιείτε, πριν γίνει ένα Rollout σε όλες τις θέσεις εργασίας; Κωδικοί Πρόσβασης και Κρυπτογράφηση: Προσφέρουν τα προγράμματα και οι εφαρμογές που χρησιμοποιείτε στην επιχείρησή σας, Μηχανισμούς Ασφάλειας όπως η χρήση Κωδικών Πρόσβασης ή Κρυπτογράφησης; Έχουν ενεργοποιηθεί αυτοί οι Μηχανισμοί Ασφάλειας; Έχουν αλλαχτεί τα Default Passwords σε όλες τις εφαρμογές και τα Συστήματα ΤΠΕ που χρησιμοποιεί η επιχείρησή σας; Έχουν εκπαιδευτεί όλοι οι Χρήστες της επιχείρησής σας να διαλέγουν και να χρησιμοποιούν ασφαλείς Κωδικούς Πρόσβασης; Προστατεύονται και κλειδώνονται οι Η/Υ της επιχείρησής σας, κατά την απουσία του Χρήστη από την θέση του, με Κωδικό Πρόσβασης; Προστατεύονται εμπιστευτικά Δεδομένα ή φορητοί υπολογιστές της επιχείρησης μέσω Κρυπτογράφησης ή άλλων Μέτρων Ασφαλείας; Ετοιμότητα Έκτακτης Ανάγκης: Υπάρχει Σχέδιο Έκτακτης Ανάγκης ΤΠΕ στην επιχείρησή σας και αναγράφονται σε αυτό αναλυτικά και με σαφήνεια οι ενέργειες που πρέπει να ακολουθηθούν; Έχει συμπεριληφθεί στο Σχέδιο Έκτακτης Ανάγκης ΤΠΕ της επιχείρησής σας κάθε πιθανό Σενάριο Κινδύνου; Γνωρίζει ο κάθε Χρήστης της επιχείρησής σας το Σχέδιο Έκτακτης Ανάγκης ΤΠΕ και ποιους αρμόδιους πρέπει να ενημερώσει; 6
Αντίγραφα Ασφάλειας: Υπάρχει στην επιχείρησή σας Σχέδιο Backup; Έχει καθοριστεί σε αυτό, ποιά Δεδομένα αποθηκεύονται και για πόσο χρονικό διάστημα; Συμπεριλαμβάνει το Σχέδιο Backup της επιχείρησής σας και φορητούς Η/Υ, όπως επίσης και συστήματα που δεν είναι συνδεμένα στο Τοπικό Δίκτυο; Ελέγχετε, σε τακτά χρονικά διαστήματα, την εγκυρότητα των Αντιγράφων Ασφαλείας της επιχείρησής σας; Έχουν καταγραφεί στο σχέδιο Backup της επιχείρησής σας οι διαδικασίες δημιουργίας Αντιγράφων Ασφαλείας και Ανάκτησης; Έχει γίνει πλήρης απογραφή του υπάρχοντος Hardware & Software στην επιχείρησή σας; Ασφάλεια Υποδομών ΤΠΕ: Υπάρχουν στην επιχείρησή σας, Μέτρα Προστασίας των συστημάτων ΤΠΕ κατά πυρκαγιάς, πλημμύρας, υπέρτασης και διακοπής ρεύματος; Έχει ρυθμιστεί στην επιχείρησή σας, η πρόσβαση σε σημαντικά Συστήματα ΤΠΕ και Server Rooms; Συνοδεύονται ή εποπτεύονται επισκέπτες και εξωτερικοί τεχνικοί κατά την είσοδο τους στους χώρους της επιχείρησής σας; 7
ENERANET IT Systems W Γ.ΠΑΠΑΝΔΡΕΟΥ 8 85300 ΚΩΣ +30 22420 29413 sales@eneranet.com www.eneranet.com