Συμβούλιο της Ευρωπαϊκής Ένωσης Βρυξέλλες, 6 Μαρτίου 2015 6488/15 CSCI 9 CSC 45 ΣΗΜΕΙΩΜΑ ΣΗΜΕΙΟΥ «I/Α» της: Επιτροπής Ασφαλείας του Συμβουλίου προς: την ΕΜΑ/ το Συμβούλιο Θέμα: Πολιτική ασφαλείας για τη διασφάλιση των πληροφοριών όσον αφορά τη Διασύνδεση 1. Η απόφαση του Συμβουλίου σχετικά με τους κανόνες ασφαλείας για την προστασία των διαβαθμισμένων πληροφοριών της ΕΕ 1 προβλέπει ότι «εφόσον απαιτείται, το Συμβούλιο, κατόπιν συστάσεως της Επιτροπής Ασφαλείας, εγκρίνει πολιτικές ασφαλείας καθορίζοντας μέτρα για την εφαρμογή των διατάξεων της παρούσας απόφασης.» (πρβ. άρθρ. 6, παρ. 1). 2. Η Επιτροπή Ασφαλείας του Συμβουλίου συμφώνησε να εισηγηθεί μία πολιτική που θα θεσπίσει πρότυπα για την διασύνδεση των συστημάτων επικοινωνιών και πληροφοριών (CIS) που χειρίζονται διαβαθμισμένες πληροφορίες της ΕΕ (ΔΠΕΕ) όσον αφορά την εμπιστευτικότητα, την ακεραιότητα, τη διαθεσιμότητα και, όπου απαιτείται, τη γνησιότητα και τη μη άρνηση αναγνώρισης πληροφοριών. 3. Υπό τον όρο επιβεβαίωσης εκ μέρους της ΕΜΑ, το Συμβούλιο καλείται να εγκρίνει τη συνημμένη πολιτική ασφαλείας. 1 Απόφαση 2013/488/ΕΕ του Συμβουλίου, ΕΕ L 274, 15.10.2013, σ. 1 6488/14 ΣΠΚ/σα 1
Η σελίδα παραμένει ηθελημένα κενή 6488/14 ΣΠΚ/σα 2
Πολιτική ασφαλείας για τη διασφάλιση των πληροφοριών όσον αφορά τη Διασύνδεση IASP 3 6488/15 ΣΠΚ/σα 3
ΠΕΡΙΕΧΟΜΕΝΑ I ΣΚΟΠΟΣ ΚΑΙ ΠΕΔΙΟ ΕΦΑΡΜΟΓΗΣ... 5 II ΠΟΛΙΤΙΚΗ... 9 ΟΡΙΣΜΟΙ... 12 Παράρτημα Ι ΜΟΝΤΕΛΟ ΔΙΑΣΥΝΔΕΣΗΣ... 13 Παράρτημα II ΠΤΥΧΕΣ ΠΟΥ ΠΡΕΠΕΙ ΝΑ ΛΗΦΘΟΥΝ ΥΠΟΨΗ ΚΑΤΑ ΤΗ ΔΙΑΧΕΙΡΙΣΗ ΤΟΥ ΚΙΝΔΥΝΟΥ... 16 6488/15 ΣΠΚ/σα 4
1. ΣΚΟΠΟΣ ΚΑΙ ΠΕΔΙΟ ΕΦΑΡΜΟΓΗΣ 1. Η παρούσα πολιτική, που εγκρίθηκε από το Συμβούλιο δυνάμει του άρθρ. 6, παρ. 1 των κανόνων ασφαλείας του Συμβουλίου (στο εξής ΚΑΣ), θεσπίζει κανόνες για την προστασία των διαβαθμισμένων πληροφοριών της ΕΕ (ΔΠΕΕ). Αποτελεί δε δέσμευση για την επιδίωξη αντίστοιχου επιπέδου εφαρμογής των ΚΑΣ. 2. Σκοπός αυτής της πολιτικής είναι να καθορίσει τους κανόνες και τους περιορισμούς της διασύνδεσης ενός CIS που χειρίζεται ΔΠΕΕ με άλλο CIS. Καθορίζει επίσης ένα υπόδειγμα (βλέπε Παράρτημα Ι) που χρησιμοποιείται ως κοινή γλώσσα για την περιγραφή μιας διασύνδεσης. Το έγγραφο καλύπτει μόνο τους πρόσθετους κινδύνους που αντιμετωπίζουν τα CIS οι οποίοι προκύπτουν από τη διασύνδεση. 3. Το Συμβούλιο και η Γενική Γραμματεία του Συμβουλίου (ΓΓΣ) θα εφαρμόζουν την εν λόγω πολιτική ασφάλειας όσον αφορά την προστασία των ΔΠΕΕ στους χώρους τους και στα συστήματα επικοινωνιών και πληροφοριών (CIS) που χρησιμοποιούν. 4. Τα κράτη μέλη ενεργούν σύμφωνα με τους εθνικούς νόμους και κανονισμούς κατά τρόπον ώστε να τηρούνται οι κανόνες που ορίζουν οι πολιτικές ασφαλείας όταν μία ΔΠΕΕ χρησιμοποιείται σε εθνικές δομές, περιλαμβανομένων των εθνικών CIS. 5. Οι οργανισμοί και τα όργανα της ΕΕ που συστάθηκαν δυνάμει του τίτλου V, κεφ. 2, της ΣΕΕ, η Ευρωπόλ και η Eurojust, θα πρέπει να χρησιμοποιούν αυτήν την πολιτική ασφαλείας ως σημείο αναφοράς για την εφαρμογή κανόνων ασφάλειας στις δικές τους δομές. 6488/15 ΣΠΚ/σα 5
6. Διασύνδεση συστήματος ορίζεται η άμεση 1 διασύνδεση μονής ή πολλαπλής κατεύθυνσης, δύο ή περισσοτέρων συστημάτων ΙΤ για την ανταλλαγή δεδομένων 2 και άλλων πηγών πληροφοριών (π.χ. επικοινωνία). Ο πρωταρχικός λόγος για τη διασύνδεση συστημάτων είναι η παροχή ή χρήση των ακόλουθων τύπων υπηρεσιών: (α) (β) υπηρεσία ανταλλαγής πληροφοριών, υπηρεσία παροχής τεχνικής υποδομής επικοινωνιών (δεν υπάρχει πρόθεση ανταλλαγής καμίας πληροφορίας). 7. Η παρούσα πολιτική δεν καλύπτει την ανταλλαγή πληροφοριών με αφαιρετά μέσα αποθήκευσης. 8. Η παρούσα πολιτική εφαρμόζεται σε σύστημα επικοινωνίας και πληροφοριών που χειρίζεται ΔΠΕΕ (CIS) το οποίο είναι διασυνδεδεμένο με άλλο σύστημα πληροφοριών (ΣΠ), που δεν χειρίζεται κατ ανάγκη ΔΠΕΕ. Interconnection medium CIS handling EUCI (CIS) Other Information System (IS) Εικόνα 1 Τυπικό μοντέλο διασύνδεσης 1 2 Σε αντίθεση με διαδοχική. "Δεδομένα" στο παρόν έγγραφο νοείται η συγκεκριμένη μορφή των πληροφοριών (π.χ. μια σειρά bytes), η οποία πρέπει να διαθέτει ένα καθορισμένο μορφότυπο που καθορίζει τον τρόπο κωδικοποίησης των πληροφοριών. 6488/15 ΣΠΚ/σα 6
9. Η σύνδεση μεταξύ δύο συστημάτων ΙΤ πρέπει να θεωρείται διασύνδεση όταν τα συστήματα διαφέρουν τουλάχιστον ως προς ένα από τα ακόλουθα χαρακτηριστικά: (α) το ανώτατο επίπεδο ΔΠΕΕ που μπορούν να χειριστούν, (β) στόχοι ασφαλείας 1, (γ) (δ) (ε) επίπεδο ασφάλειας της λειτουργίας, σχετική Αρχή Πιστοποίησης της Ασφάλειας (ΑΠΑ), εφαρμοζόμενες πολιτικές ασφαλείας (π.χ. σύστημα της ΕΕ και εθνικό σύστημα κράτους μέλους), (στ) αρμόδιες επιχειρησιακές αρχές του συστήματος (ΕΑΣ, π.χ. η ΓΓΣ, αποκεντρωμένος οργανισμός της ΕΕ), (η) (ζ) νομικές απαιτήσεις, τυχόν άλλες σχετικές παράμετροι ασφαλείας (need to know ή κοινότητα ενδιαφέροντος, περιορισμοί, ειδικά πρωτόκολλα, παλαιός εξοπλισμός, επίπεδο φυσικής προστασίας, είδος του δικτύου κομιστή, ιδιοκτησία των διαδιδόμενων πληροφοριών). Κάθε αλλαγή του CIS που εισάγει νέα στοιχεία 2, τα οποία δεν πληρούν κανένα από τα κριτήρια που ορίζονται ανωτέρω, κατ αρχήν δεν θεωρείται διασύνδεση. Σε κάθε άλλη περίπτωση η απόφαση αν μια σύνδεση ή εσωτερικός σύνδεσμος αποτελεί διασύνδεση πρέπει να λαμβάνεται από την αρμόδια ή τις αρμόδιες ΑΠΑ. 1 2 Όπως ορίζεται στη δήλωση απαιτήσεων ασφαλείας ειδικών για το συγκεκριμένο σύστημα (SSRS) Για παράδειγμα, ένας νέος σταθμός εργασίας, νέος εξοπλισμός δικτύου, κλπ. 6488/15 ΣΠΚ/σα 7
10. Ανεξάρτητα από την προβλεπόμενη κατεύθυνση της ροής πληροφοριών, η διασύνδεση μπορεί να ανοίξει έναν αμφίδρομο δίαυλο επικοινωνίας 1 μεταξύ των δύο CIS και ενδεχομένως να επιτρέψει την πρόσβαση σε πολλές υπηρεσίες και πληροφορίες που υπερβαίνουν ακούσια το πεδίο των επιχειρησιακών απαιτήσεων. 11. Ως εκ τούτου, η διασύνδεση μπορεί να αλλάξει την αξιολόγηση κινδύνου του CIS με τον ακόλουθο τρόπο: (α) (β) (γ) (δ) (ε) οι πηγές απειλής του ΣΠ μπορούν να μεταφερθούν στο CIS, τα τρωτά σημεία του ΣΠ μπορούν να αυξήσουν την πιθανότητα ορισμένων σεναρίων κινδύνου ή/και τις επιπτώσεις τους στο CIS, τα τρωτά σημεία του ΣΠ και της ίδιας της διασύνδεσης μπορούν να εισαγάγουν ορισμένα νέα σενάρια κινδύνου για το CIS, η διασύνδεση εισάγει εξάρτηση τόσο σε επιχειρησιακό όσο και σε τεχνικό επίπεδο και μπορεί επομένως να εισαγάγει κινδύνους που απειλούν τη διαθεσιμότητα, η μίξη των λειτουργιών και των τρωτών σημείων και των δύο διασυνδεδεμένων συστημάτων μπορεί να παράγει συνέργεια και νέους φορείς προσβολής, (στ) τα στοιχεία που χρησιμοποιήθηκαν για την κατασκευή της διασύνδεσης και/ή τον μετριασμό των κινδύνων που εισήγαγε η διασύνδεση μπορούν να είναι τα ίδια στόχοι επίθεσης και μπορούν να εισάγουν νέα τρωτά σημεία. 12. Η υπηρεσία περιφερειακής προστασίας (BPS) είναι μια υπηρεσία που μετριάζει τους κινδύνους ασφαλείας που εισάγει η διασύνδεση. Οι έλεγχοι που προβλέπει η BPS καλούνται στοιχεία περιφερειακής προστασίας «BPC, π.χ. διαδικασία αντιγράφου ασφαλείας, πρόγραμμα κατά των ιών, φυσικός έλεγχος πρόσβασης). Οι ειδικές BPS που διαμεσολαβούν στις ροές πληροφοριών και/ή παρέχουν υπηρεσίες ασφαλείας στο σημείο διασύνδεσης καλούνται Συσκευές Περιφερειακής Προστασίας (BPD, π.χ. τείχος προστασίας (firewall), ρυθμιστής μονόδρομης ροής). 1 Για παράδειγμα, όταν η διασύνδεση στηρίζεται στο πρωτόκολλο TCP. 6488/15 ΣΠΚ/σα 8
2. ΠΟΛΙΤΙΚΗ 13. Ένα CIS πρέπει να αντιμετωπίζει οποιοδήποτε διασυνδεδεμένο CIS ως μη έμπιστο, ως εκ τούτου, κάθε παραδοχή σχετικά με το ΣΠ πρέπει να αντιμετωπίζεται δεόντως ως μέρος της διαδικασίας διαχείρισης κινδύνου. Το CIS οφείλει να εφαρμόζει τους κατάλληλους ελέγχους (π.χ. SLA, υπηρεσίες περιφερειακής προστασίας), ώστε να διασφαλίζεται ότι οι παραδοχές σχετικά με το ΣΠ είναι αληθείς. 14. Η απόφαση για τη διασύνδεση ενός CIS πρέπει να προέρχεται από μια έγκυρη επιχειρησιακή απαίτηση. 15. Το CIS πρέπει να αποτρέπει την ανταλλαγή πληροφοριών και την πρόσβαση σε υπηρεσίες που δεν ορίζονται ρητά από τις επιχειρησιακές απαιτήσεις. Πρέπει να διασφαλίζεται η πρόληψη της διαρροής υψηλότερων διαβαθμισμένων πληροφοριών ή υπηρεσιών προς ένα χαμηλότερα διαβαθμισμένο σύστημα. 16. Η διασύνδεση μεταξύ ενός CIS και ενός χαμηλότερου ή χωρίς διαβάθμιση ΣΠ δεν επιτρέπεται, εκτός εάν το CIS έχει εγκαταστήσει υπηρεσίες περιφερειακής προστασίας μεταξύ του CIS και του ΣΠ, για παράδειγμα χρησιμοποιώντας ένα εγκεκριμένο ρυθμιστή μονόδρομης ροής. Η BPS που επιλέγεται πρέπει να μετριάζει τους εντοπισμένους κινδύνους σε αποδεκτά επίπεδα. 17. Η διασύνδεση πρέπει να υποβάλλεται σε διαδικασία πιστοποίησης και χρειάζεται την έγκριση της αρμόδιας Αρχής Πιστοποίησης της Ασφάλειας (ΑΠΑ). 18. Η διαδικασία διαχείρισης του κινδύνου για το CIS πρέπει να επαναλαμβάνεται για κάθε νέα διασύνδεση. Κατ ελάχιστο, η διαδικασία πρέπει να λαμβάνει υπόψη τις πτυχές που περιγράφονται στο Παράρτημα ΙΙ. 19. Όταν μια διασύνδεση εισάγει νέους κινδύνους υψηλού επιπέδου για το CIS, το CIS ενδέχεται να χρειάζεται επαναπιστοποίηση. Η επαναπιστοποίηση του CIS είναι αναγκαία όταν διασυνδέεται με μη πιστοποιημένο ΣΠ. 20. Ένα CIS που είναι πιστοποιημένο να χειρίζεται διαβάθμιση TRES SECRET UE/EU TOP SECRET δεν πρέπει να είναι διασυνδεδεμένο με απροστάτευτο ή δημόσιο δίκτυο (ούτε άμεσα ούτε έμμεσα - μέσω άλλου ΣΠ). 6488/15 ΣΠΚ/σα 9
21. Όταν το ΣΠ προσφέρει μόνον την υποδομή επικοινωνιών για τη μεταφορά των δεδομένων και τα δεδομένα έχουν κρυπτογραφηθεί από κρυπτογραφικό προϊόν που έχει λάβει έγκριση σύμφωνα με το άρθρο 10 των ΚΑΣ, η σύνδεση αυτή δεν θεωρείται διασύνδεση. 22. Εάν προβλέπονται νέες διασυνδέσεις σε ένα ΣΠ, το οποίο είναι ήδη διασυνδεδεμένο με ένα CIS, πρέπει να ενημερώνεται η αρμόδια Αρχή Πιστοποίησης της Ασφάλειας (ΑΠΑ). Το ίδιο θα πρέπει να παρέχεται στην ΑΠΑ του ΣΠ στην περίπτωση που το CIS διασυνδέεται ξανά. 23. Μόνο τα πρωτόκολλα, η υπηρεσία δικτύου, και οι πληροφορίες ή οι ροές δεδομένων που απαιτούνται για την εκτέλεση της επιχειρησιακής αποστολής μπορούν να είναι εγκατεστημένα, ρυθμισμένα και να χρησιμοποιούνται με τη διασύνδεση (αρχή της ελαχιστότητας). 24. Οι χρήστες και οι διεργασίες που χρησιμοποιούν ή αποτελούν μέρος της διασύνδεσης μπορούν να διαθέτουν μόνο τα δικαιώματα και τις άδειες που απαιτούνται για την εκτέλεση των καθηκόντων και υποχρεώσεών τους (αρχή του ελάχιστου προνομίου). 25. Ένα διασυνδεδεμένο CIS πρέπει να εφαρμόζει μέτρα για να εμποδίζει οιεσδήποτε δραστηριότητες και ροές πληροφοριών που δεν αποτελούν νόμιμο μέρος της λειτουργίας της διασύνδεσης (αρχή της αυτοπροστασίας). 26. Τα μέτρα προστασίας πρέπει να εφαρμόζονται σε διάφορα στοιχεία της αρχιτεκτονικής της διασύνδεσης 1 για να αποφευχθεί να υπάρχει μόνο μια γραμμή άμυνας (αρχή της εις βάθος άμυνας). 27. Η εφαρμογή μιας διασύνδεσης πρέπει να επαληθεύεται 2 από την αρμόδια ΑΠΑ κατά την αρχική εφαρμογή της διασύνδεσης και σε τακτά διαστήματα στη συνέχεια. Η ΑΠΑ θα πρέπει να συμμετέχει ήδη κατά τη διάρκεια της φάσης προγραμματισμού και σχεδιασμού και κατά την αξιολόγηση του κινδύνου της διασύνδεσης. 1 2 Η αρχιτεκτονική, εκτός από την ίδια τη διασύνδεση, περιλαμβάνει επίσης το CIS και το ΣΠ Ελέγχοντας εάν η εφαρμογή αντικατοπτρίζει το σχεδιασμό και τις αποφάσεις διενέργειας ελέγχων κατά τη διαδικασία αντιμετώπισης του κινδύνου 6488/15 ΣΠΚ/σα 10
28. Η εξέλιξη διασύνδεσης είναι είτε μέρος του σχεδίου εξέλιξης του CIS είτε ξεχωριστό σχέδιο όταν προστίθεται σε ένα ήδη επιχειρησιακό CIS. Η μεθοδολογία διαχείρισης του σχεδίου, η επιχειρησιακή διαχείριση και ο κύκλος ζωής της διασύνδεσης βρίσκονται εκτός του πεδίου εφαρμογής του παρόντος εγγράφου. Ωστόσο, ο κύκλος ζωής της διασύνδεσης περιλαμβάνει τις φάσεις του κύκλου ζωής της ασφάλειας που περιγράφονται στο IASP-L 1 : (α) αιτιολόγηση της ασφάλειας της διασύνδεσης - στόχος της αιτιολόγησης της ασφάλειας είναι η καταγραφή όλων των απαιτήσεων ασφάλειας για τη διασύνδεση και των απαραίτητων απαιτήσεων ασφάλειας για το ΣΠ, β) σύλληψη και κατασκευή της ασφάλειας της διασύνδεσης - οι απαιτήσεις επιχειρησιακής ασφάλειας μεταφράζονται σε αρχές και ελέγχους ασφαλείας που επιλέγονται και υλοποιούνται από το πρέπον μίγμα ανθρώπων, διαδικασιών και τεχνολογίας. Στο τέλος αυτής της φάσης, η διασύνδεση θα πρέπει να είναι επιχειρησιακή στο περιβάλλον παραγωγής και διαπιστευμένη στο απαιτούμενο επίπεδο, (γ) (δ) διατήρηση της ασφάλειας της διασύνδεσης - μετά την έναρξη λειτουργίας, η διασύνδεση θα πρέπει να συντηρείται και να παρακολουθείται ενεργά για να διασφαλίζεται ότι λειτουργεί ορθά και με ασφάλεια, ασφαλής διάθεση της διασύνδεσης - όταν η ανάγκη διασύνδεσης δεν υφίσταται πλέον ή ένα από τα διασυνδεδεμένα CIS εισέρχεται στο στάδιο διάθεσης, η διασύνδεση απομακρύνεται από την υπηρεσία με χρήση εγκεκριμένων διαδικασιών. 1 IASP-L Πολιτική ασφάλειας για τη διασφάλιση των πληροφοριών όσον αφορά την ασφάλεια καθ όλη τη διάρκεια του κύκλου ζωής του CIS (εγγρ. 14968/2012) 6488/15 ΣΠΚ/σα 11
ΟΡΙΣΜΟΙ Πιστοποίηση Γνησιότητα Διαθεσιμότητα Σύστημα επικοινωνιών και πληροφοριών ΣΕΠ (CIS) Εμπιστευτικότητα Διαβαθμισμένες πληροφορίες της ΕΕ (ΔΠΕΕ) (EUCI) Ακεραιότητα Μη άρνηση αναγνώρισης Κίνδυνος Η διαδικασία που καταλήγει σε τυπική δήλωση της Αρχής Πιστοποίησης της Ασφάλειας (ΕΠΑ) ότι το δεδομένο σύστημα έχει λάβει έγκριση να λειτουργεί με καθορισμένο βαθμό ασφαλείας, με συγκεκριμένο τρόπο ασφαλείας στο επιχειρησιακό του περιβάλλον και με αποδεκτό βαθμό κινδύνου, βασιζόμενο στην παραδοχή ότι εφαρμόζεται εγκεκριμένο σύνολο τεχνικών, φυσικών, οργανωτικών και διαδικαστικών μέτρων ασφαλείας, Η εγγύηση ότι οι πληροφορίες είναι γνήσιες και από καλόπιστες πηγές Η ιδιότητα του συστήματος να είναι διαθέσιμο και έτοιμο προς χρήση κατόπιν αίτησης εξουσιοδοτημένου φορέα. Οιοδήποτε σύστημα επιτρέπει τον χειρισμό πληροφοριών υπό ηλεκτρονική μορφή. Ένα σύστημα επικοινωνίας και πληροφοριών περιλαμβάνει το σύνολο των στοιχείων που απαιτούνται για τη λειτουργία του, συμπεριλαμβανομένων της υποδομής, της οργάνωσης, του προσωπικού και των πληροφοριών. Βλ. άρθρο 10 παράγραφος 2 των ΚΑΣ. Σύστημα Επικοινωνιών και Πληροφοριών που χειρίζεται ΔΠΕΕ. Η ιδιότητα της μη κοινολόγησης πληροφοριών σε μη εξουσιοδοτημένα πρόσωπα, φορείς ή διαδικασίες, Κάθε πληροφορία ή υλικό που έχει χαρακτηρισθεί με διαβάθμιση ασφαλείας ΕΕ και των οποίων η άνευ αδείας κοινολόγηση μπορεί να βλάψει ποικιλοτρόπως τα συμφέροντα της Ευρωπαϊκής Ένωσης ή ενός ή περισσοτέρων κρατών μελών. Βλ. άρθρο 2 παράγραφος 1 των ΚΑΣ Η ιδιότητα της διαφύλαξης της ακρίβειας και της πληρότητας των πληροφοριών και των στοιχείων, Η ικανότητα απόδειξης της διεξαγωγής ενέργειας ή γεγονότος, ούτως ώστε να μην είναι δυνατή στη συνέχεια η άρνηση της εν λόγω ενέργειας ή του γεγονότος. Η δυνατότητα μιας δεδομένης απειλής να εκμεταλλευθεί τα εσωτερικά και εξωτερικά τρωτά σημεία ενός οργανισμού ή οιουδήποτε από τα συστήματα που χρησιμοποιεί και με αυτόν τον τρόπο να προκαλέσει βλάβη στον οργανισμό και στα υλικά ή άυλα στοιχεία του. Μετράται ως ο συνδυασμός της ενδεχόμενης υλοποίησης των απειλών και των συνεπειών τους. 6488/15 ΣΠΚ/σα 12
ΜΟΝΤΕΛΟ ΔΙΑΣΥΝΔΕΣΗΣ Παράρτημα Ι 1. Το παρόν παράρτημα ορίζει ένα πιθανό μοντέλο για να περιγράψει τη διασύνδεση. Στόχος του μοντέλου είναι να εντοπίσει τους κινδύνους που αντιμετωπίζουν τα CIS οι οποίοι προκύπτουν από τη διασύνδεση. 2. Μια διασύνδεση μπορεί να περιγραφεί με δύο παραμέτρους, τις "Συνθήκες ασφάλειας" και τον "Ρόλο" (βλ. Εικόνα 2), όπου ο όρος "Συνθήκες ασφάλειας" αντιπροσωπεύει ένα σύνολο χαρακτηριστικών γνωρισμάτων, όπως: διαφορές των επιπέδων διαπίστευσης, ιδιοκτησία, τρόποι λειτουργίας κ.λπ. και ο "Ρόλος" περιγράφει τον ρόλο του CIS στη διασύνδεση, που ορίζεται από: (α) (β) την «κατεύθυνση της ροής» (κατεύθυνση της ροής των πληροφοριών) από την πλευρά του CIS, και την «παροχή υπηρεσιών» - ο ρόλος του CIS στην παροχή ή την χρήση των υπηρεσιών που παρέχονται από τη διασύνδεση. Security Conditions one or multiple attributes such as: difference in accreditation levels, ownership, mode of operation Interconnection Role Flow Direction Service Provision none, send, receive or send/receive none, provide, consume or provide/consume Σχήμα 2 Οι παράμετροι που περιγράφουν μια διασύνδεση 6488/15 ΣΠΚ/σα 13
3. Το μοντέλο διασύνδεσης που απαιτείται σε επιχειρησιακό (λογικό) επίπεδο πρέπει να τηρείται από την τεχνική υλοποίηση. Αυτό σημαίνει ότι η τεχνική υλοποίηση δεν θα πρέπει να προσφέρει περισσότερες κατευθύνσεις ροών ή υπηρεσίες απ ό, τι απαιτείται. Τυχόν αποκλίσεις από τις επιχειρηματικές απαιτήσεις σε τεχνικό επίπεδο θα πρέπει να αντιμετωπίζονται ως κίνδυνος και να μετριάζονται κατάλληλα από υπηρεσίες περιφερειακής προστασίας. 4. Οι τιμές του χαρακτηριστικού "Ρόλος" επεξηγούνται κατωτέρω στον Πίνακα 1. Ιδιότητα Τιμή Περιγραφή κατεύθυνση ροής ουδέν λήψη Δεν υπάρχει καμία επιχειρησιακή απαίτηση για οιαδήποτε ανταλλαγή πληροφοριών μεταξύ του CIS και του ΣΠ. Εντούτοις, ενδέχεται να υπάρχει διασύνδεση σε επίπεδο υποδομής (η οποία μπορεί να προκαλέσει ακούσια ροή πληροφοριών). Το CIS λαμβάνει ορισμένες πληροφορίες από το ΣΠ. αποστολή Το CIS αποστέλλει ορισμένες πληροφορίες στο ΣΠ 1. αποστολή/λήψη ουδέν Το CIS αποστέλλει και λαμβάνει τις πληροφορίες Εφόσον δεν χρησιμοποιείται ή δεν παρέχεται υπηρεσία, δεν υπάρχει επιχειρησιακός λόγος διασύνδεσης δύο συστημάτων. Η εν λόγω κατάσταση δεν επιτρέπεται και η διασύνδεση δεν πρέπει να εγκατασταθεί. παροχή υπηρεσιών κατανάλωση (καταναλωτής υπηρεσίας) παροχή (πάροχος υπηρεσιών) Το CIS χρησιμοποιεί μια υπηρεσία που παρέχεται από το ΣΠ. Στις περισσότερες εφαρμογές το CIS θα ενεργεί ως πελάτης του ΣΠ (υπάρχουν όμως διαφορετικά πιθανά μοντέλα). Το CIS προσφέρει μια υπηρεσία για το ΣΠ. Στόχος της υπηρεσίας μπορεί να είναι η ανταλλαγή πληροφοριών ή η παροχή υποδομής (π.χ. υποδομή επικοινωνιών). Στην περίπτωση της ανταλλαγής πληροφοριών, το CIS ενεργεί συνήθως ως εξυπηρετητής (υπάρχουν όμως διαφορετικά πιθανά μοντέλα). παροχή/κατανάλωση Το CIS υποχρεούται να παρέχει υπηρεσίες και ταυτόχρονα αναμένει ορισμένες υπηρεσίες από το ΣΠ. Πίνακας 1 Οι πιθανές τιμές του χαρακτηριστικού «Ρόλος» στη διασύνδεση 1 Σημειώνεται ότι η βεβαίωση παραλαβής (εφόσον απαιτείται) θεωρείται ροή πληροφοριών από τον παραλήπτη στον αποστολέα 6488/15 ΣΠΚ/σα 14
5. Οι περιορισμοί και οι απαιτήσεις για πρόσθετα μέτρα ασφαλείας για τους «Ρόλους» και τις «Συνθήκες ασφαλείας» θα περιγραφούν στην υποστήριξη των κατευθυντήριων γραμμών ασφαλείας για τη διασφάλιση των πληροφοριών. 6. Το γεγονός ότι δύο διαφορετικές διασυνδέσεις περιγράφονται από τον ίδιο "Ρόλο" και τις ίδιες «Συνθήκες ασφαλείας» καθιστά τις διασυνδέσεις παρόμοιες από άποψης ασφάλειας, αλλά δεν τις καθιστά όμοιες. Ως εκ τούτου, εκτός από τον έλεγχο της συμμόρφωσης με τις κατευθυντήριες γραμμές, σε κάθε περίπτωση η απόφαση εάν μια διασύνδεση είναι «αρκετά ασφαλής» ή όχι πρέπει να λαμβάνεται ως αποτέλεσμα της διαδικασίας διαχείρισης κινδύνων. 6488/15 ΣΠΚ/σα 15
Παράρτημα II ΠΤΥΧΕΣ ΠΟΥ ΠΡΕΠΕΙ ΝΑ ΛΗΦΘΟΥΝ ΥΠΟΨΗ ΚΑΤΑ ΤΗ ΔΙΑΧΕΙΡΙΣΗ ΤΟΥ ΚΙΝΔΥΝΟΥ 1. Ο αντίκτυπος της διασύνδεσης στη διαχείριση κινδύνου (του CIS) εξαρτάται σε μεγάλο βαθμό από την πραγματική κατάσταση (επιχειρησιακές απαιτήσεις, τεχνική υλοποίηση). Το παρόν παράρτημα περιλαμβάνει ένα γενικό κατάλογο των ζητημάτων που πρέπει να λαμβάνονται υπόψη κατά περίπτωση. Οι λεπτομέρειες που συνδέονται με συγκεκριμένα πρότυπα και εφαρμογές, θα καθοριστούν στις κατευθυντήριες γραμμές. 2. Το πεδίο εφαρμογής της διαδικασίας διαχείρισης του κινδύνου κατά πάσα πιθανότητα θα αλλάζει όταν εισάγεται μια διασύνδεση, και συγκεκριμένα πρέπει να αναλύονται τα ακόλουθα στοιχεία: (α) (β) (γ) (δ) Στοιχεία πληροφοριών μπορεί να υπάρχουν νέα στοιχεία στο πεδίο εφαρμογής της διαδικασίας διαχείρισης του κινδύνου, Επιχειρησιακές διαδικασίες κατά πάσα πιθανότητα μία ή περισσότερες από τις επιχειρησιακές διαδικασίες αλλάζουν για να δικαιολογήσουν τη διασύνδεση, Συμβατικές υποχρεώσεις - η διασύνδεση μπορεί να συνεπάγεται συμβατική υποχρέωση για τον ιδιοκτήτη του CIS, Διεπαφές - η διασύνδεση αποτελεί μια νέα διεπαφή. 3. Η διαδικασία ταυτοποίησης της απειλής θα πρέπει να λαμβάνει υπόψη τα ακόλουθα ανεπιθύμητα συμβάντα: (α) (β) (γ) μη εξουσιοδοτημένοι χρήστες ή προγράμματα που λειτουργούν στο ΣΠ προσπαθούν να αποκτήσουν πρόσβαση στις υπηρεσίες του CIS, μη εξουσιοδοτημένοι χρήστες ή προγράμματα που λειτουργούν στο CIS προσπαθούν να αποκτήσουν πρόσβαση στις υπηρεσίες του ΣΠ, οι μη κοινοποιήσιμες πληροφορίες στο ΣΠ μεταφέρονται (εκ λάθους ή ηθελημένα) στο ΣΠ, 6488/15 ΣΠΚ/σα 16
(δ) οι μη κοινοποιήσιμες πληροφορίες στο CIS μεταφέρονται από το ΣΠ, (ε) το ΣΠ καθίσταται μη διαθέσιμο (υπάρχουν επιπτώσεις στο CIS;), (στ) η υπηρεσία που παρέχεται από το ΣΠ αναλώνει πολύ χρόνο ή πόρους ή δεν ολοκληρώνεται ποτέ, (ζ) οι πληροφορίες που λαμβάνονται από το ΣΠ έχουν διαμορφωθεί (επίτηδες ή τυχαία) κατά τρόπο που να εκμεταλλεύονται τα τρωτά σημεία του CIS, (η) οι πληροφορίες που διαβιβάζονται από το CIS στο ΣΠ έχουν διαμορφωθεί δόλια, κατά τρόπο που να εκμεταλλεύονται τα τρωτά σημεία του ΣΠ, (θ) το γεγονός ότι μια συναλλαγή έλαβε χώρα (π.χ. μια ανταλλαγή πληροφοριών) καθίσταται γνωστή στους χρήστες του ΣΠ, (ι) οι συναλλαγές (π.χ. αποστολές ή λήψεις) αρνούνται από το ΣΠ, (κ) το CIS δεν είναι σε θέση να λάβει ή να επεξεργαστεί πληροφορίες που εστάλησαν από το ΣΠ (π.χ. μια υπηρεσία δεν είναι διαθέσιμη), (λ) η ποσότητα των πληροφοριών ή ο αριθμός των αιτήσεων προς το CIS από το ΣΠ είναι μεγαλύτερα από τα αναμενόμενα και οδηγούν σε κορεσμό, (μ) η υπηρεσία περιφερειακής προστασίας (BPS) και άλλα στοιχεία που χρησιμοποιήθηκαν για την κατασκευή της διασύνδεσης έχουν εκμεταλλεύσιμα τρωτά σημεία που επιτρέπουν την επίθεση στο CIS, (ν) (ξ) πληροφορίες σχετικά με τις τεχνολογίες, τις υποδομές και τα τρωτά σημεία της αρχιτεκτονικής του CIS γίνονται γνωστές στους χρήστες του ΣΠ, το ΣΠ υφίσταται επιτυχή επίθεση και καθίσταται πηγή επίθεσης στο CIS, (ο) τα συμφωνηθέντα πρωτόκολλα ανταλλαγής πληροφοριών δεν ακολουθούνται. 6488/15 ΣΠΚ/σα 17
4. Η υπηρεσία περιφερειακής προστασίας (BPS) είναι απίθανο να μπορεί να παρέχει από μόνη της επαρκή προστασία από όλες τις πιθανές επιθέσεις ή τον εντοπισμό τους και, ως εκ τούτου, πρέπει να εξεταστούν οι ακόλουθοι έλεγχοι κατά την αντιμετώπιση του κινδύνου: (α) η αρχιτεκτονική του CIS μπορεί να χρειαστεί επανασχεδιασμό (π.χ. ώστε να καταστεί δυνατή η κατάλληλη άμυνα σε βάθος), (β) ενδέχεται να χρειάζεται ευαισθητοποίηση και κατάρτιση για τους χρήστες και τους διαχειριστές του CIS, ώστε να κατανοήσουν τους νέους κινδύνους και να τους εξηγηθούν οι ευθύνες τους όσον αφορά τη διασύνδεση. 6488/15 ΣΠΚ/σα 18