Πολιτική Ασφαλείας

ΠΟΛΙΤΙΚΗ ΑΣΦΑΛΕΙΑΣ (Security Plan)

  1. ΕΙΣΑΓΩΓΙΚΑ

Στη παρούσα Πολιτική Ασφαλείας περιγράφονται τα οργανωτικά και τεχνικά μέτρα, καθώς και τα μέτρα φυσικής ασφάλειας που εφαρμόζονται ή/ και πρόκειται να εφαρμοστούν, με ακρίβεια, για την προστασία των πληροφοριών και των προσωπικών δεδομένων γενικά και των ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα που τηρούνται από την ατομική Εταιρία με την επωνυμία «Ειρήνη Σερεμετίδου», καθώς και οι απαραίτητες ενέργειες για την υλοποίησή τους.

Η Πολιτική Ασφαλείας συντάχθηκε σύμφωνα με τον Κανονισμό (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της Οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία των Δεδομένων), καθώς και σύμφωνα με το πρότυπο της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.

Αποτελείται από την περιγραφή του συστήματος επεξεργασίας των προσωπικών δεδομένων, τα οργανωτικά και τεχνικά μέτρα ασφαλείας, τα μέτρα φυσικής ασφάλειας που εφαρμόζονται, τα μέτρα ανάκαμψης από καταστροφές και το πλάνο υλοποίησης και εφαρμογής των μέτρων ασφαλείας, ώστε να διορθώνονται οι παράγοντες που τυχόν οδηγούν σε ανακρίβειες σε δεδομένα προσωπικού χαρακτήρα και να ελαχιστοποιείται ο κίνδυνος σφαλμάτων και να εξασφαλιστεί η  ασφάλεια των δεδομένων κατά τρόπο που να λαμβάνει υπόψη τους πιθανούς κινδύνους που συνδέονται με τα συμφέροντα και τα δικαιώματα του υποκειμένου των δεδομένων.

Τα αναγραφόμενα στην Πολιτική Ασφαλείας είναι δεσμευτικά για όλο το προσωπικό που χειρίζεται καθ’ οιονδήποτε τρόπο προσωπικά δεδομένα και είναι σύμφωνα με την κείμενη εθνική και κοινοτική νομοθεσία.

 

  1. ΒΑΣΙΚΕΣ ΑΡΧΕΣ

Η Εταιρία δεσμεύεται να τηρεί τις βασικές αρχές που απορρέουν από τον Κανονισμό για την Προστασία των Δεδομένων Προσωπικού Χαρακτήρα. Ειδικότερα:

Σύμφωνα με το άρθρο 5 ΓΚΠΠΔ για να είναι νόμιμη η επεξεργασία προσωπικών δεδομένων (απλών και ειδικών κατηγοριών), πρέπει η επεξεργασία να διέπεται από συγκεκριμένες αρχές.

Αυτές είναι:

Η αρχή της νομιμότητας, αντικειμενικότητας και διαφάνειας. Σύμφωνα με τη συγκεκριμένη αυτή αρχή, τα δεδομένα πρέπει να υποβάλλονται σε σύννομη και θεμιτή επεξεργασία, με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων. Η διαφάνεια απαιτεί η ενημέρωση του υποκειμένου να είναι συνοπτική, εύκολα προσβάσιμη, κατανοητή, με σαφή και απλή διατύπωση.

Η αρχή του περιορισμού του σκοπού, σύμφωνα με την οποία, τα δεδομένα πρέπει να συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και να μην υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο με τους σκοπούς αυτούς.

Η αρχή της ελαχιστοποίησης των δεδομένων, σύμφωνα με την οποία τα δεδομένα θα πρέπει να είναι πρόσφορα, συναφή και να περιορίζονται στο αναγκαίο για τους επιδιωκόμενους σκοπούς επεξεργασίας.

Η αρχή της ακρίβειας των δεδομένων, σύμφωνα με την οποία τα δεδομένα θα πρέπει να είναι ακριβή, να επικαιροποιούνται και να λαμβάνονται τα κατάλληλα μέτρα για την άμεση διόρθωση ή διαγραφή ανακριβών σε σχέση με τους επιδιωκόμενους σκοπούς επεξεργασίας δεδομένων.

Η αρχή του καθορισμού της χρονικής διάρκειας της επεξεργασίας («περιορισμός της περιόδου αποθήκευσης»), σύμφωνα με την οποία τα δεδομένα πρέπει να τηρούνται σε μορφή που επιτρέπει την ταυτοποίηση των υποκειμένων των δεδομένων μόνο για το διάστημα που απαιτείται για την επίτευξη των σκοπών της επεξεργασίας.

Η αρχή της «ακεραιότητας και εμπιστευτικότητας», σύμφωνα με την οποία τα δεδομένα πρέπει να υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ασφάλεια και προστασία τους από παράνομη επεξεργασία, απώλεια, καταστροφή ή φθορά τους.

Η αρχή της λογοδοσίας του υπευθύνου επεξεργασίας, σύμφωνα με την οποία ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και πρέπει να είναι σε θέση να αποδείξει τη συμμόρφωσή του με τον ΓΚΠΔ ενώπιον των εποπτικών αρχών και των δικαστηρίων.

 

 

  1. ΣΚΟΠΟΣ ΕΠΕΞΕΡΓΑΣΙΑΣ - ΕΙΔΗ ΔΕΔΟΜΕΝΩΝ

Ο σκοπός συλλογής των δεδομένων προσωπικού χαρακτήρα αφορά στην πώληση προϊόντων σε νέους πελάτες ή την εξυπηρέτηση ήδη υπαρχόντων πελατών σχετικά με την πώληση προϊόντων από το κατάστημα (φυσικό και ηλεκτρονικό) της εταιρείας.

Τα προσωπικά στοιχεία που συλλέγονται, αποθηκεύονται και επεξεργάζονται από την Εταιρία, και τα οποία χρήζουν της δέουσας προστασίας είναι:

  • Ονοματεπώνυμο,
  • Τόπος κατοικίας (Διεύθυνση, ΤΚ, Πόλη, Νομός),
  • Αριθμός Ταυτότητας,
  • ΑΦΜ, ΔΟΥ
  • Σταθερό τηλέφωνο,
  • Κινητό τηλέφωνο,
  • Επάγγελμα,
  • Ημ. γέννησης

 

 

  1. Η ΕΤΑΙΡΕΙΑ ΩΣ «ΕΚΤΕΛΟΥΣΑ ΤΗΝ ΕΠΕΞΕΡΓΑΣΙΑ»

Φύση και σκοπός της επεξεργασίας

Η Εταιρία, ενεργούσα ως «εκτελούσα την επεξεργασία», προβαίνει στην αναγκαία επεξεργασία για την προσήκουσα εκπλήρωση του σκοπού της λειτουργίας της, ο οποίος συνίσταται στην πώληση κοσμημάτων και συναφών ειδών.

Κατηγορίες Προσωπικών Δεδομένων

Η Εταιρία ως «εκτελούσα την επεξεργασία»  επεξεργάζεται προσωπικά δεδομένα σε σχέση με την εκτέλεση και προσήκουσα εκπλήρωση των κύριων υπηρεσιών. Ειδικότερα η εκτελούσα την επεξεργασία επεξεργάζεται τους ακόλουθους τύπους δεδομένων: προσωπικά αναγνωριστικά και στοιχεία επικοινωνίας. Συγκεκριμένα, επεξεργάζεται προσωπικά δεδομένα στα οποία περιλαμβάνονται μόνο το ονοματεπώνυμο, η διεύθυνση κατοικίας, το τηλέφωνο επικοινωνίας και η ηλεκτρονική διεύθυνση (email), ΑΦΜ και ΔΟΥ.

Χρονική διάρκεια

Η χρονική διάρκεια της επεξεργασίας παραμένει σε ισχύ μέχρι τη λήξη ή την καθ’ οιονδήποτε τρόπο λύση ή λήξη της κάθε άτυπης σύμβασης πώλησης των προϊόντων που πωλεί η εταιρεία. Ο εκτελών την επεξεργασία θα συνεχίσει να επεξεργάζεται τα Δεδομένα Προσωπικού Χαρακτήρα για διάστημα έως και τρεις (3) μήνες από τη λήξη της σύμβασης στο βαθμό που είναι απαραίτητο και απαιτείται σύμφωνα με το ισχύον Νομοθετικό Πλαίσιο και σύμφωνα με τα οριζόμενα στη σύμβαση.

Τεχνικά και οργανωτικά μέτρα

Η εταιρεία τηρεί τα ακόλουθα οργανωτικά και τεχνικά μέτρα, όπως προβλέπονται:

  • Κρυπτογράφηση

Στο πρόγραμμα το οποίο χρησιμοποιείται για καταχώριση των προσωπικών στοιχείων του πελάτη, τηρείται το σύστημα της κρυπτογράφησης (TLS), οπότε προκειμένου να εισέλθει ο κάθε χρήστης απαιτείται να έχει ένα δικό του προσωπικό κωδικό πρόσβασης, ο οποίος του επιτρέπει την είσοδο και ο οποίος αλλάζει κάθε τρεις μήνες και απενεργοποιείται σε περίπτωση αποχώρησης του εκάστοτε υπαλλήλου. Ο χρήστης δεν έχει δικαίωμα εκτύπωσης της database.

  • Αρχείο δραστηριοτήτων (αρχείο Excel)
  • Εκτίμηση αντικτύπου
    (τεχνικά μέτρα που λαμβάνονται βάσει του ΦΕΚ 131622/10-5-2019)
  • DataProcessingImpactAssessment
  • Riskassessment

 

Δέσμευση εμπιστευτικότητας του εκτελούντος

Οι υπάλληλοι και οι εργαζόμενοι της εταιρείας που έχουν πρόσβαση και επεξεργάζονται προσωπικά δεδομένα δεσμεύονται εγγράφως με κατάλληλη δήλωση εμπιστευτικότητας.

 

Τόπος επεξεργασίας

Όταν η Εταιρία δρα υπό την ιδιότητα της ως εκτελούσα την επεξεργασία, η επεξεργασία των δεδομένων προσωπικού χαρακτήρα γίνεται αποκλειστικά και μόνο από την ίδια και στην έδρα της.

 

  1. ΜΕΤΡΑ ΑΣΦΑΛΕΙΑΣ

Στην ενότητα αυτή, περιγράφονται τα μέτρα ασφαλείας που εφαρμόζονται από την Εταιρία “Ειρήνη Σερεμετίδου” και τα οποία εντάσσονται στις παρακάτω κατηγορίες ως υπεύθυνη επεξεργασίας:

ΟΡΓΑΝΩΤΙΚΑ ΜΕΤΡΑ ΑΣΦΑΛΕΙΑΣ

Α. Υπεύθυνος Ασφαλείας

Β. Οργάνωση/Διαχείριση Προσωπικού

Γ. Διαχείριση πληροφοριακών αγαθών

Δ. Μέτρα εκτελούντων την επεξεργασία

Ε. Καταστροφή δεδομένων και αποθηκευτικών μέσων

Στ. Διαχείριση περιστατικών παραβίασης προσωπικών δεδομένων

Ζ. Εκπαίδευση προσωπικού

Η. Έλεγχος

 

ΤΕΧΝΙΚΑ ΜΕΤΡΑ ΑΣΦΑΛΕΙΑΣ

Α. Έλεγχος πρόσβασης

Β. Αντίγραφα Ασφαλείας

Γ. Διαμόρφωση υπολογιστών

Δ. Αρχεία καταγραφής(log files)

Ε. Ασφάλεια επικοινωνιών

ΣΤ. Ασφάλεια αποσπώμενων μέσων αποθήκευσης

Ζ. Ασφάλεια λογισμικού

Η. Διαχείριση αλλαγών

 

ΜΕΤΡΑ ΦΥΣΙΚΗΣ ΑΣΦΑΛΕΙΑΣ

Α. Έλεγχος φυσικής πρόσβασης

Β. Περιβαλλοντική ασφάλεια

Γ. Έκθεση εγγράφων

Δ. Προστασία φορητών μέσων αποθήκευσης

 

ΒΑΣΙΚΑ ΜΕΤΡΑ ΑΝΑΚΑΜΨΗΣ ΑΠΟ ΚΑΤΑΣΤΡΟΦΕΣ

 

Αναλυτικότερα τα μέτρα ασφαλείας κατά κατηγορία:

5.1. ΟΡΓΑΝΩΤΙΚΑ ΜΕΤΡΑ ΑΣΦΑΛΕΙΑΣ

Α. Υπεύθυνος Ασφαλείας

Ως Υπεύθυνος Ασφαλείας ορίζεται η Ειρήνη Σερεμετίδου Πρόκειται για διακριτή θέση με αρχικές αρμοδιότητες την επίβλεψη και τον έλεγχο της εφαρμογής της Πολιτικής Ασφαλείας και των μέτρων ασφάλειας πληροφοριών.

 

Β. Οργάνωση/ Διαχείριση Προσωπικού

1. Ρόλοι/ Εξουσιοδοτήσεις

Οι εργαζόμενοι πρέπει να έχουν δικαίωμα πρόσβασης μόνο στα απολύτως απαραίτητα δεδομένα προσωπικού χαρακτήρα, βάσει των αρμοδιοτήτων και των καθηκόντων που τους έχουν ανατεθεί, να ενημερώνονται αρμοδίως για τις ευθύνες και τις υποχρεώσεις τους σε σχέση με την ασφάλεια πληροφοριών και δεδομένων, ώστε να ελαχιστοποιείται ο κίνδυνος από ανθρώπινα σφάλματα κατά τη διάρκεια της κανονικής τους εργασίας.

2. Αναθεώρηση Ρόλων

Οι εξουσιοδοτήσεις και τα δικαιώματα πρόσβασης σε προσωπικά δεδομένα και πληροφορίες επανεξετάζονται από τον Διαχειριστή σε κάθε εργασιακή αλλαγή εργαζομένου: τοποθέτηση, μετακίνηση, αλλαγή καθηκόντων, αποχώρηση κλπ

Επιπρόσθετα, οι εργαζόμενοι πρέπει να ενημερώνονται για τις υποχρεώσεις τους σε σχέση με την τήρηση των όρων εμπιστευτικότητας και εχεμύθειας, όταν αλλάζουν θέση εργασίας ή κατά τη λύση της συμβατικής σχέσης με την Εταιρία.

3. Αποχώρηση υπαλλήλου

Κατά την αποχώρηση μέλους του προσωπικού ακολουθείται διαδικασία προστασίας των πληροφοριών και των προσωπικών δεδομένων με ευθύνη του Διευθυντή και τη λήψη συγκεκριμένων μέτρων:

  • Απενεργοποίηση/κατάργηση των λογαριασμών πρόσβασης και των εξουσιοδοτήσεων σε πληροφοριακά συστήματα, εφαρμογές και υπολογιστές.
  • Κατάργηση των λογαριασμών ηλεκτρονικού ταχυδρομείου και μη ανάθεσή τους σε άλλον (μη επαναχρησιμοποίησή τους).
  • Επιστροφή οποιουδήποτε εξοπλισμού έχει παρασχεθεί, συμπεριλαμβανομένων υπολογιστώ, περιφερειακών, κλειδιών, ηλεκτρονικών καρτών εισόδου/εξόδου, κλπ.

 

Γ. Διαχείριση Πληροφοριακών αγαθών

1. Καταγραφή

Ακολουθείται διαδικασία διαχείρισης υλικού και λογισμικού με την τήρηση επικαιροποιημένου καταλόγου των πληροφοριακών και επικοινωνιακών υποδομών, του λογισμικού και των κατηγοριών αρχείων και δεδομένων που χρησιμοποιούνται ή τηρούνται.

2. Διαχείριση φυσικού αρχείου

Η Εταιρεία δεν τηρεί φυσικό αρχείο. Σε περίπτωση που θα διατηρεί, πρέπει να τηρούνται συγκεκριμένες διαδικασίες για την ορθή οργάνωση, αρχειοθέτηση και ταξινόμηση του φυσικού αρχείου.

3. Δέσμευση εμπιστευτικότητας προσωπικού

Είναι αναγκαία και απαραίτητη η λήψη ειδικών μέτρων για τη δέσμευση του προσωπικού που επεξεργάζεται τα προσωπικά δεδομένα ως προς την εμπιστευτικότητα, ιδίως όταν το εν λόγω προσωπικό δεν δεσμεύεται ήδη από το απόρρητο.

 

Δ. Καταστροφή δεδομένων και αποθηκευτικών μέσων

1. Διαδικασίες καταστροφής δεδομένων

Πριν από την καταστροφή εντύπων ή ηλεκτρονικών αρχείων που περιέχουν προσωπικά δεδομένα θα πρέπει να λαμβάνονται τα κατάλληλα μέτρα ώστε να διασφαλίζεται η πλήρης και μόνιμη διαγραφή των δεδομένων αυτών. Ειδικότερα, θα πρέπει να ακολουθούνται κατ’ ελάχιστο όσα προβλέπονται στην Οδηγία 1/2005 Οδηγία της Αρχής για την ασφαλή καταστροφή των προσωπικών δεδομένων μετά το πέρας της περιόδου που απαιτείται για την πραγματοποίηση του σκοπού της επεξεργασίας.

 

Ε. ΔΙΑΧΕΙΡΙΣΗ ΠΕΡΙΣΤΑΤΙΚΩΝ ΠΑΡΑΒΙΑΣΗΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

Ο Υπεύθυνος Ασφάλειας ενημερώνει τον ΥΠΔ και εφόσον το γνωστοποιημένο συμβάν αφορά προσωπικά δεδομένα τότε το αξιολογούν από κοινού. Σε περίπτωση που το συμβάν αφορά παραβίαση προσωπικών δεδομένων ο ΥΠΔ ακολουθεί την διαδικασία Διαχείρισης Παραβιάσεων Προσωπικών Δεδομένων. Ο Υπεύθυνος Ασφάλειας εφαρμόζει τη διαδικασία Διαχείρισης Περιστατικών Ασφάλειας, η οποία ενεργοποιείται αμελλητί σε κάθε περίπτωση που αξιολογηθεί θετικά η αναφορά συμβάντος ασφάλειας και προβλέπει τις ακόλουθες ενέργειες:

  • τον καθορισμό των ρόλων των εργαζομένων που θα συμμετάσχουν στην αντιμετώπιση του περιστατικού, την καταγραφή στοιχείων για κάθε περιστατικό ασφάλειας (Διατήρηση Μητρώου Παραβιάσεων Ασφάλειας),
  • τη διερεύνηση των αιτιών και τον προσδιορισμό των τεχνικών ή/και οργανωτικών αδυναμιών στις οποίες ενδεχομένως οφείλεται το περιστατικό ασφάλειας,
  • την υλοποίηση των ενεργειών αποκατάστασης με συγκεκριμένο χρονοδιάγραμμα,
  • την ενημέρωση των αρμοδίων διοικητικών οργάνων, και σε περίπτωση που από το περιστατικό ενδέχεται να προκληθεί κίνδυνος στα δικαιώματα και τις ελευθερίες των προσώπων τα οποία αυτό αφορά, την ενημέρωση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.
  • τη διατήρηση των πληροφοριών (έγγραφα ή/και αρχεία) που σχετίζονται με το περιστατικό ασφάλειας, ώστε να τεκμηριώνεται η εκτέλεση των αντίστοιχων προβλεπόμενων ενεργειών,
  • όταν η παραβίαση ενδέχεται να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων τα οποία αφορά το περιστατικό, τότε η παράβαση θα ανακοινώνεται αμελλητί και στα πρόσωπα αυτά. Η ανακοίνωση αυτή θα γίνεται με τον πλέον πρόσφορο και, εφόσον είναι εφικτό, με τη μορφή της προσωποποιημένης πληροφόρησης (π.χ. μέσω τηλεφώνου, e- mail).

Κάθε συμβάν καταγράφεται σε αρχείο (μητρώο παραβιάσεων ασφαλείας), που περιλαμβάνει τη χρονική στιγμή που έλαβε χώρα, το πρόσωπο που το ανέφερε, σε ποιον το ανέφερε, εκτίμηση των συνεπειών και της κρισιμότητας του περιστατικού, διαδικασίες ανάκαμψης/διόρθωσης που ακολουθήθηκαν, καθώς και ενδεχόμενη διαδικασία ενημέρωσης των θιγομένων ατόμων ανάλογα με την έκταση του περιστατικού, κ.ο.κ.

 

ΣΤ. ΕΚΠΑΙΔΕΥΣΗ ΠΡΟΣΩΠΙΚΟΥ

1. Βασική εκπαίδευση

Η Εταιρία πρέπει να μεριμνά για την εκπαίδευση του προσωπικού σε θέματα προστασίας προσωπικών δεδομένων, καθώς και σε ειδικές σχετικές με ασφάλεια λειτουργίες του πληροφοριακού συστήματος (π.χ. χρήση μη προβλέψιμων κωδικών πρόσβασης και συνθηματικών, τρόπο εντοπισμού και αναφοράς των περιστατικών παραβίασης της ασφαλείας, σωστή χρήση των e-mail και των αποσπώμενων μέσων αποθήκευσης).

Η εκπαίδευση κατά την πρόσληψη πρέπει να περιλαμβάνει κατ’ ελάχιστο την κοινοποίηση στους εργαζόμενους της πολιτικής ασφαλείας, για την οποία πρέπει κατά το δυνατόν να διαπιστωθεί ότι είναι πλήρως κατανοητή από όλους, καθώς επίσης και των διαδικασιών διαχείρισης περιστατικών παραβίασης δεδομένων και ανάκαμψης από καταστροφές, εφόσον άπτονται των αρμοδιοτήτων τους.

Θα πρέπει επίσης η εκπαίδευση να συνεχίζεται και μετά την πρόσληψη, είτε σε σημαντικές αλλαγές των διαδικασιών ασφαλείας είτε κατά την εμφάνιση σημαντικών θεμάτων ασφαλείας.

2. Εξειδικευμένη εκπαίδευση

Πρέπει να παρέχονται οι απαραίτητοι πόροι για την εξειδικευμένη εκπαίδευση του προσωπικού που έχει αναλάβει τη διαχείριση της ασφάλειας και τη διαρκή ενημέρωσή του σχετικά με τις τεχνολογικές εξελίξεις στο χώρο της ασφάλειας πληροφοριών.

3. Ενημερώσεις σε θέματα ασφάλειας

Πρέπει να πραγματοποιούνται συχνά και συστηματικά ενημερώσεις ασφάλειας του προσωπικού από ενημερωμένες και έγκυρες πηγές για την ασφάλεια των πληροφοριών, ώστε κάθε εργαζόμενος να είναι σε θέση να προστατέψει τόσο την Εταιρία όσο και τα προσωπικά δεδομένα που αυτό διαχειρίζεται.

4. Αναφορά Συμβάντος και Ευπαθειών Ασφαλείας

Το προσωπικό της εταιρίας είναι υποχρεωμένο και του έχει υποδειχθεί, ήδη κατά την πρόσληψη, να αναφέρει οποιαδήποτε συμβάν και ευπάθεια αναγνωρίσει ή του αναφερθεί σε σχέση με την ασφάλεια πληροφοριών, όπως τυχαία ή αθέμιτη καταστροφή, τυχαία απώλεια, αλλοίωση, απαγορευμένη διάδοση ή πρόσβαση και κάθε άλλη μορφή αθέμιτης επεξεργασίας. Η γνωστοποίηση θα γίνεται το συντομότερο δυνατόν, στον Υπεύθυνο Ασφάλειας για την αξιολόγηση του συμβάντος και την πιθανή ενεργοποίηση των κατάλληλων διαδικασιών διαχείρισης περιστατικού ασφάλειας και την έγκαιρη εκτέλεση των προβλεπόμενων ενεργειών.

 

Ζ. ΕΛΕΓΧΟΣ

Ο Υπεύθυνος Ασφαλείας εφαρμόζει τουλάχιστον ετησίως διαδικασία εσωτερικού ελέγχου τήρησης των μέτρων ασφαλείας και της αποτελεσματικότητάς τους στην προστασία των πληροφοριακών συστημάτων και του δικτύου.

 

5.2. ΤΕΧΝΙΚΑ ΜΕΤΡΑ ΑΣΦΑΛΕΙΑΣ

Α. ΕΛΕΓΧΟΣ ΠΡΟΣΒΑΣΗΣ

1. Διαχείριση λογαριασμών χρηστών

Τα πληροφοριακά συστήματα και οι εφαρμογές πρέπει να διαθέτουν διαδικασίες για τη διαχείριση των λογαριασμών των χρηστών, οι οποίες πρέπει να περιλαμβάνουν κατ’ ελάχιστον την προσθήκη, τη μεταβολή των ιδιοτήτων και τη διαγραφή λογαριασμού.

2. Μηχανισμοί ελέγχου πρόσβασης

Τα πληροφοριακά συστήματα και οι εφαρμογές πρέπει να διαθέτουν μηχανισμούς που να απαγορεύουν την πρόσβαση από μη εξουσιοδοτημένους χρήστες: ουσιαστικά πρέπει να διαθέτουν κατάλληλα μέτρα που να εξασφαλίζουν την εγγυημένα ορθή ταυτοποίηση και αυθεντικοποίηση χρηστών, ενώ ταυτοχρόνως  πρέπει να γίνεται και σε τεχνικό επίπεδο συγκεκριμένη εκχώρηση δικαιωμάτων/εξουσιοδοτήσεων σε κάθε χρήστη.

Πρέπει να πραγματοποιείται από τους υπεύθυνους των πληροφοριακών συστημάτων περιοδικός έλεγχος των δικαιωμάτων πρόσβασης και να λαμβάνονται τα απαραίτητα διορθωτικά μέτρα στις περιπτώσεις ύπαρξης λογαριασμών χρήστη με δικαιώματα που δεν αντιστοιχούν σε υφιστάμενο ρόλο του εργαζομένου.

3. Διαχείριση συνθηματικών

Η πολιτική διαχείρισης των συνθηματικών των χρηστών, περιλαμβάνει κανόνες αποδοχής για το ελάχιστο μήκος και τους επιτρεπτούς χαρακτήρες των συνθηματικών (πολυπλοκότητα συνθηματικού), την ιστορικότητα του συνθηματικού και τη συχνότητα αλλαγής του.

Συγκεκριμένα τα συνθηματικά των χρηστών θα πρέπει:

  • Να έχουν μήκος τουλάχιστον οκτώ χαρακτήρων.
  • Να περιέχουν χαρακτήρες που να ανήκουν σε τουλάχιστον τρεις από τις τέσσερις ακόλουθες ομάδες:
  1. Μικρά γράμματα
  2. Κεφαλαία γράμματα
  3. Αριθμοί
  4. Ειδικοί Χαρακτήρες
  • Να αλλάζουν οπωσδήποτε εντός διαστήματος μικρότερου το ενός έτους
  • Να μη συμπίπτουν με τα τελευταία 3 συνθηματικά του χρήστη.

Τα συνθηματικά δεν πρέπει να είναι κάπου καταγεγραμμένα στην πραγματική τους μορφή (ούτε σε φυσικό ούτε σε ηλεκτρονικό αρχείο). Εφόσον διατηρούνται ηλεκτρονικά στο πλαίσιο της διαδικασίας αυθεντικοποίησης των χρηστών, τότε πρέπει να είναι σε μη αναγνώσιμη μορφή ώστε να μην είναι εφικτή η ανάκτηση της αρχικής μορφής (κρυπτογράφηση).

Επίσης σε σχέση με τις πρακτικές που ακολουθούνται στη διαχείριση και χρήση των συνθηματικών από τους χρήστες απαγορεύεται:

  • Οι προσωπικοί κωδικοί πρόσβασης χρηστών να γνωστοποιούνται σε άλλους χρήστες. Η συγκεκριμένη πρακτική ενέχει υψηλό κίνδυνο διαρροής των κωδικών και εμφάνισης περιστατικών μη εξουσιοδοτημένης πρόσβασης σε συστήματα, εφαρμογές και πληροφορίες, καθώς επίσης να περιορίζει την αξιοπιστία του ελέγχου για το ποιος χρήστης έχει πρόσβαση σε ποιο πληροφοριακό πόρο.
  • Οι κωδικοί πρόσβασης να συμπίπτουν με κωδικούς που χρησιμοποιούν οι εργαζόμενοι εκτός της Εταιρίας
  • Να καταγράφονται οι κωδικοί πρόσβασης σε έντυπα μέσα
  • Να αποθηκεύονται οι κωδικοί πρόσβασης σε ηλεκτρονική μορφή χωρίς να κρυπτογραφούνται.

4. Μη επιτυχημένες προσπάθειες πρόσβασης

Πρέπει να καταγράφονται οι επιτυχημένες και οι αποτυχημένες προσπάθειες σύνδεσης των χρηστών σε όλα τα πληροφοριακά συστήματα. Η καταγραφή αυτή μπορεί να αξιοποιηθεί σε προληπτικούς ελέγχους ασφαλείας για προσπάθειες μη εξουσιοδοτημένης πρόσβασης και στη διερεύνηση περιστατικών ασφάλειας.

5. Αδρανοποιημένος υπολογιστής

Προς αποφυγή μη εξουσιοδοτημένης πρόσβασης σε προσωπικά δεδομένα με χρήση ανοικτού υπολογιστή, ο οποίος μένει χωρίς επίβλεψη (έστω και για λίγα λεπτά) πρέπει να ενεργοποιούνται: αυτόματη προφύλαξη της οθόνης (screen saver) του υπολογιστή (μετά από χρονικό διάστημα αδράνειας που προσδιορίζεται στο 1) – για την απενεργοποίηση της οποίας θα απαιτείται χρήση συνθηματικού ή και αυτόματη διαδικασία αποσύνδεσης του χρήστη (μετά από χρονικό διάστημα αδράνειας που προσδιορίζεται στα 3).

 

Β. Αντίγραφα Ασφαλείας

Λήψη και τήρηση αντιγράφων ασφαλείας

Πολιτική για τη λήψη και διαχείριση των αντιγράφων ασφαλείας πρέπει να εφαρμοσθεί σε όλους τους κεντρικούς κρίσιμους πόρους δηλαδή τα πληροφοριακά  συστήματα, εφαρμογές, βάσεις δεδομένων, συστήματα, αρχεία, δεδομένα αρχείων χρηστών, αρχεία καταγραφής (logfiles).

Το αρμόδιο προσωπικό για τη διαχείριση και προστασία του εκάστοτε κρίσιμου πληροφοριακού πόρου συντάσσει συγκεκριμένη πολιτική αντιγράφων ασφαλείας  συμπεριλαμβάνοντας:

  • Τους κατάλληλους μηχανισμούς (τεχνολογίες, λογισμικό και αποθηκευτικά μέσα),
  • Τη συχνότητα της δημιουργίας/ λήψης των αντιγράφων ασφαλείας (ανά τακτά χρονικά διαστήματα, σε ημερήσια ή εβδομαδιαία βάση, ανάλογα με το μέγεθος  και το είδος των δεδομένων, καθώς και με το πότε αυτά μεταβάλλονται),
  • Την κατάλληλη επισήμανση αυτών,
  • Την ασφαλή αποθήκευσή τους,
  • Την ορθή ανάκτηση των δεδομένων από τα αντίγραφα ασφαλείας,
  • Τον περιοδικό έλεγχο ακεραιότητας/ αξιοπιστίας των αντιγράφων που λαμβάνονται.

Η πολιτική διαβιβάζεται στον Υπεύθυνο Ασφαλείας για τον σχετικό έλεγχο.

 

Γ. Διαμόρφωση υπολογιστών

1. Λειτουργικό σύστημα

Το σύνολο των ηλεκτρονικών υπολογιστών χρησιμοποιούν ως λειτουργικό σύστημα Windows…………….…

2. Προστασία από κακόβουλο λογισμικό

Πρέπει να υπάρχει προστασία από κακόβουλο λογισμικό όλων των υπολογιστών, τόσο των προσωπικών υπολογιστών του προσωπικού όσο και των εξυπηρετητών. Αυτό επιτυγχάνεται (πέραν της σωστής χρήσης αυτών από το προσωπικό) με αντιικά προγράμματα (antivirus), καθώς και με χρήση προγραμμάτων τειχών ασφάλειας (firewall). Σε κάθε προσωπικό υπολογιστή με ευθύνη του αρμόδιου προσωπικού υποχρεωτικά εγκαθίσταται και λειτουργεί antivirus και firewall, τα οποία πρέπει να διαθέτουν ανά πάσα στιγμή τις πλέον πρόσφατες ενημερώσεις. Επιπλέον, στο λειτουργικό σύστημα των υπολογιστών (εφόσον είναι συνδεδεμένοι στο Διαδίκτυο) πρέπει να εγκαθίστανται σε τακτά χρονικά διαστήματα οι ενημερώσεις ασφάλειας.

 

 

3. Ρυθμίσεις λογισμικού

Στους υπολογιστές του προσωπικού που λειτουργούν ανεξάρτητα επιτρέπεται η σύνδεση με διαχειριστικούς λογαριασμούς μόνο στον Υπεύθυνο Ασφαλείας. Οι εργαζόμενοι συνδέονται μόνο με δικαιώματα απλού χρήστη και χωρίς δυνατότητες ενεργειών που μπορεί να επηρεάσουν την συνολική λειτουργία και διαμόρφωση π.χ. απενεργοποίηση αντιικών προγραμμάτων, εγκατάσταση νέων προγραμμάτων ή αλλαγή ρυθμίσεων υπαρχόντων, κ.λπ..

Στους υπολογιστές αυτούς πρέπει να γίνεται από το αρμόδιο προσωπικό περιοδικός έλεγχος του εγκατεστημένου λογισμικού για τον τυχόν εντοπισμό προγραμμάτων που έχουν εγκατασταθεί με βάση μη εγκεκριμένες διαδικασίες.

4. Σύνδεση αποσπώμενων μέσων

Οι ηλεκτρονικοί υπολογιστές που χρησιμοποιούνται από τους τελικούς χρήστες δεν πρέπει να διαθέτουν δυνατότητα εξαγωγής δεδομένων σε αποσπώμενα μέσα (π.χ. USB, CD/DVD), εκτός αν υπάρχει σχετική έγκριση από την υπηρεσία.

5. Υπολογιστές με πρόσβαση στο Διαδίκτυο

Δεν πρέπει να αποθηκεύονται προσωπικά δεδομένα ειδικών κατηγοριών σε υπολογιστές που έχουν σύνδεση με το διαδίκτυο (εκτός αν κάτι τέτοιο είναι απολύτως απαραίτητο στο πλαίσιο του ρόλου/αρμοδιοτήτων που έχουν ανατεθεί στο χρήστη του υπολογιστή).

 

Δ. ΑΡΧΕΙΑ ΚΑΤΑΓΡΑΦΗΣ

1. Τήρηση και έλεγχος αρχείων καταγραφής

Στα κρίσιμα συστήματα τηρούνται από το αρμόδιο προσωπικό (διαχειριστές) και ελέγχονται σε τακτά χρονικά διαστήματα, τα αρχεία καταγραφής των ενεργειών (log files) των χρηστών, συμπεριλαμβανομένων και των ενεργειών των διαχειριστών των συστημάτων, καθώς και των συμβάντων που σχετίζονται με την ασφάλεια. Πρόσβαση στα αρχεία αυτά, εκτός από τους διαχειριστές συστημάτων, δύναται να έχουν ο Υπεύθυνος Ασφάλειας, και όποια άλλα μέλη του προσωπικού είναι επιφορτισμένα με αρμοδιότητες διαχείρισης περιστατικών ασφάλειας κατόπιν κατάλληλης εξουσιοδότησης.

2. Ειδικές ενέργειες που πρέπει να καταγράφονται

Στα αρχεία καταγραφής ενεργειών (log files) των πληροφοριακών συστημάτων και των υπηρεσιών διαδικτύου τηρούνται οπωσδήποτε, κατ’ ελάχιστο, τα εξής: το αναγνωριστικό του χρήστη που αιτήθηκε την σύνδεση/προσπέλαση (δεδομένων προσωπικού χαρακτήρα), η ημερομηνία και ώρα του σχετικού αιτήματος, το σύστημα μέσω του οποίου αιτήθηκε την πρόσβαση (υπολογιστής, πρόγραμμα λογισμικού, κ.λπ.), καθώς και αν τελικά συνδέθηκε/προσπέλασε την πληροφορία που αιτήθηκε. Επίσης, πρέπει να καταγράφονται στοιχεία που αφορούν τις προσπάθειες μη εξουσιοδοτημένης πρόσβασης και γενικότερα κάθε ενέργεια η οποία μπορεί να υποδηλώνει διενέργεια επίθεσης.

3. Διαγραφή αρχείων καταγραφής

Δεν υφίσταται δυνατότητα διαγραφής των αρχείων καταγραφής του συστήματος από ένα μόνο άτομο. Τέτοια διαγραφή θα γίνεται με την παρουσία δύο τουλάχιστον ατόμων, τα οποία θα έχουν διαφορετικούς ρόλους.

 

Ε. ΑΣΦΑΛΕΙΑ ΕΠΙΚΟΙΝΩΝΙΩΝ

1. Ασφάλεια Δικτύων

Διαθέτει μηχανισμούς και συστήματα ασφάλειας (ενδεικτικά αναφέρονται: αναχώματα ασφάλειας (firewall), συστήματα ανίχνευσης και αποτροπής εισβολών (IPS), των οποίων η λειτουργία και η τεχνική διαμόρφωση λαμβάνει υπόψη τις διεθνείς, ευρέως αποδεκτές πρακτικές και πρότυπα. Το αρμόδιο προσωπικό σε συνεννόηση με τον Υπεύθυνο Ασφάλειας παραμετροποιεί και διαμορφώνει τους προαναφερόμενους μηχανισμούς και συστήματα για την άμεση εφαρμογή των απαραίτητων μέτρων και την αποτελεσματική προστασία του δικτύου, των προσωπικών δεδομένων και πληροφοριών.

2. Πρωτόκολλα δικτύου

Είναι υποχρεωτική η χρήση ασφαλών πρωτοκόλλων επικοινωνίας στο δίκτυο, όπως HTTPS, SFTP, SSH, SMTPS, IMAPS. Τα πληροφοριακά συστήματα και οι εφαρμογές με διεπαφή παγκόσμιου ιστού πρέπει να λειτουργούν αποκλειστικά μέσω ασφαλούς (κρυπτογραφημένου) καναλιού (SSL/HTTPS), καθώς επίσης και οι ιστοσελίδες που περιλαμβάνουν φόρμες υποβολής προσωπικών δεδομένων. Επίσης η μετάδοση των κωδικών πρόσβασης πάνω από το δίκτυο από εφαρμογές, στη φάση της σύνδεσης των χρηστών τους, πρέπει να γίνεται με κρυπτογράφηση, όπου είναι δυνατόν.

3. Χρήση κρυπτογράφησης

Η προστασία της εμπιστευτικότητας, της ακεραιότητας και της αυθεντικότητας των πληροφοριών και των προσωπικών δεδομένων βελτιώνεται σε μεγάλο βαθμό με την χρήση κρυπτογραφικών τεχνικών και προγραμμάτων.

Στους προσωπικούς υπολογιστές του προσωπικού πρέπει να λειτουργεί λογισμικό κρυπτογράφησης, το οποίο θα χρησιμοποιείται υποχρεωτικά για την προστασία αρχείων με ευαίσθητες πληροφορίες και προσωπικά δεδομένα, ειδικά στις παρακάτω περιπτώσεις:

3.1. αποθήκευση αρχείων σε φορητά μέσα (π.χ. USB δίσκους κ.ο.κ.), αφού για αυτές τις περιπτώσεις ο κίνδυνος διαρροής δεδομένων αυξάνεται.

3.2. αποθήκευση αρχείων στο cloud ή σε ιστότοπους που προσφέρουν υπηρεσίες αποθήκευσης

3.3. αποθήκευση αρχείων σε κοινόχρηστους φακέλους

 

Σε περιπτώσεις ύπαρξης αναγκών πρόσβασης από περισσότερους από ένα εργαζόμενο σε κρυπτογραφημένα αρχεία ή folder, εγκαθίσταται στους υπολογιστές των χρηστών κατάλληλο λογισμικό κρυπτογράφησης με αυτά τα ειδικά χαρακτηριστικά.

Επίσης η χρήση κρυπτογραφικών προγραμμάτων προτείνεται στις περιπτώσεις:

  • στην ηλεκτρονική αποθήκευση κωδικών πρόσβασης
  • στην αποστολή συνημμένων αρχείων που περιέχουν ευαίσθητες πληροφορίες (π.χ. προσωπικά δεδομένα) μέσω email
  • στους σκληρούς δίσκους των φορητών υπολογιστών ώστε να ελαχιστοποιείται ο κίνδυνος διαρροής πληροφοριών ή μη εξουσιοδοτημένης πρόσβασης σε περίπτωση κλοπής ή απώλειας της συσκευής.

 

ΣΤ. ΑΣΦΑΛΕΙΑ ΛΟΓΙΣΜΙΚΟΥ

1. Σχεδιασμός εφαρμογών

Ο σχεδιασμός των εφαρμογών που χρησιμοποιούνται στην επεξεργασία προσωπικών δεδομένων πρέπει να πραγματοποιείται λαμβάνοντας υπόψη τις βασικές αρχές της προστασίας προσωπικών δεδομένων και της ιδιωτικότητας (privacy by design). Ως εκ τούτου, οι εφαρμογές πρέπει να ακολουθούν την αρχή της ελαχιστοποίησης των δεδομένων (data minimization), καθώς και της ποιότητας των δεδομένων και να περιλαμβάνουν τη δυνατότητα της διαγραφής δεδομένων μετά το χρονικό διάστημα που απαιτείται για την πραγματοποίηση του σκοπού της επεξεργασίας. Επίσης, πρέπει να επιτρέπουν την υλοποίηση όλων των απαιτούμενων τεχνικών μηχανισμών ασφάλειας για την προστασία των δεδομένων από τυχαία ή αθέμιτη καταστροφή, τυχαία απώλεια, αλλοίωση, απαγορευμένη διάδοση ή πρόσβαση και κάθε άλλη μορφή αθέμιτης επεξεργασίας.

2. Ασφαλής ανάπτυξη εφαρμογών

Σε περίπτωση ανάπτυξης εφαρμογών, είτε εσωτερικά στον οργανισμό είτε από εξωτερικό συνεργάτη, θα πρέπει να προβλέπεται μεθοδολογία ασφαλούς ανάπτυξης λογισμικού, ώστε να αποφευχθούν τυχόν ευπάθειες αυτού ως προς την ασφάλεια προτού αυτό υλοποιηθεί. Η εσωτερική ανάπτυξη εφαρμογών γίνεται αποκλειστικά σε κατάλληλα διαμορφωμένο, ανεξάρτητο, συνεργατικό προγραμματιστικό περιβάλλον και με βάση συγκεκριμένη μεθοδολογία ανάπτυξης κώδικα. Στις περιπτώσεις όπου η ανάπτυξη των εφαρμογών γίνεται από εξωτερικό συνεργάτη, θα πρέπει να υπάρχουν προδιαγραφές ασφάλειας της εφαρμογής στο έγγραφο περιγραφής απαιτήσεων λογισμικού, το οποίο θα εμπεριέχεται στη σύμβαση με τον εκάστοτε ανάδοχο.

3. Αναβάθμιση λογισμικού

Το λογισμικό των κεντρικών υπολογιστικών και δικτυακών υποδομών πρέπει να ενημερώνεται συχνά με τις νέες εκδόσεις ασφάλειας μέσω των προβλεπόμενων διαδικασιών αναβάθμισης. Ως εκ τούτου θα πρέπει να διασφαλίζεται η συνέχεια της άδειας χρήσης του λογισμικού μέσω έγκαιρης σύναψης συμβάσεων συντήρησης για τη παροχή των νέων εκδόσεων, ενημερώσεων και τεχνικής υποστήριξης. Σε περίπτωση που υπάρχει ενημέρωση ότι σταματά η υποστήριξη συγκεκριμένου λογισμικού τότε προγραμματίζεται από το αρμόδιο τμήμα η άμεση αντικατάστασή του με νέα έκδοση του ίδιου λογισμικού ή με αντίστοιχο λογισμικό.

 

Ζ. ΔΙΑΧΕΙΡΙΣΗ ΑΛΛΑΓΩΝ

1. Πολιτική διαχείρισης αλλαγών

Ο υπεύθυνος κάθε πληροφοριακού συστήματος έχει την ευθύνη της διαχείρισης των αλλαγών (Change Management) σε αυτό και οφείλει να μεριμνά κατ’ ελάχιστον για:

  • την καταγραφή των αιτημάτων αλλαγής.
  • τον καθορισμό των ρόλων που έχουν δικαίωμα έγκρισης των αλλαγών
  • τον καθορισμό των κριτηρίων αποδοχής της αλλαγής

Προτείνεται σε όλα τα πληροφοριακά συστήματα και τις εφαρμογές με ευθύνη του Υπεύθυνου να ακολουθείται συγκεκριμένη διαδικασία διαχείρισης αλλαγών σύμφωνα με τα παρακάτω βήματα:

  1. Ενέργειες που απαιτούνται για την υλοποίηση της αλλαγής
  2. Αξιολόγηση των πιθανών επιπτώσεων στη λειτουργικότητα και στην ασφάλεια πληροφοριών.
  3. Πλάνο επαναφοράς σε προηγούμενη κατάσταση σε περίπτωση αποτυχίας υλοποίησης της αλλαγής.
  4. Ενέργειες δοκιμών.
  5. Αποτελέσματα δοκιμών.
  6. Έγκριση αλλαγών.

 

2. Περιβάλλον δοκιμών

Οι δοκιμές του λογισμικού, τόσο σε επίπεδο επιμέρους εφαρμογών όσο και σε επίπεδο λειτουργιών διεξάγονται αποκλειστικά σε δοκιμαστικό περιβάλλον. Επίσης συμπεριλαμβάνουν μεθοδολογία επαλήθευσης της ασφάλειας των εφαρμογών και επισκόπηση του κώδικα, όπου αυτό είναι τεχνικά εφικτό. Το λογισμικό ελέγχεται σε επικαιροποιημένο μη παραγωγικό σύστημα και χρησιμοποιούνται δοκιμαστικά και όχι πραγματικά δεδομένα ή δεδομένα του παραγωγικού συστήματος, εκτός εάν κάτι τέτοιο είναι απολύτως απαραίτητο και δεν υπάρχει εναλλακτική λύση. Αν είναι αναγκαίο μπορούν να χρησιμοποιηθούν πραγματικά δεδομένα σε ανωνυμοποιημένη μορφή ή διαφορετικά πρέπει να περιορίζονται στα απολύτως απαραίτητα για τους σκοπούς του ελέγχου.

 

3. Συντήρηση λογισμικού συστήματος/ ενδιάμεσου λογισμικού / εφαρμογών

Η ενημέρωση, αναβάθμιση και συντήρηση του λογισμικού των κεντρικών υπολογιστικών και δικτυακών συστημάτων και των παρεχόμενων υπηρεσιών τηλεματικής γίνεται από εξειδικευμένο προσωπικό πληροφορικής, χωρίς να διακόπτεται η λειτουργία τους, όπου αυτό είναι τεχνικά εφικτό ή σε ώρες χαμηλής χρήσης/κίνησης.

 

5.3. ΜΕΤΡΑ ΦΥΣΙΚΗΣ ΑΣΦΑΛΕΙΑΣ

Α. ΕΛΕΓΧΟΣ ΦΥΣΙΚΗΣ ΠΡΟΣΒΑΣΗΣ

1. Φυσική πρόσβαση σε εγκαταστάσεις

Στους χώρους που βρίσκεται κεντρικός υπολογιστικός και δικτυακός εξοπλισμός (συμπεριλαμβανομένης της δικτυακής καλωδίωσης) εφαρμόζονται κατάλληλα μέτρα ελέγχου φυσικής πρόσβασης, έτσι ώστε να επιτρέπεται η πρόσβαση μόνο σε κατάλληλα εξουσιοδοτημένο προσωπικό, για παράδειγμα χώροι που βρίσκεται περιφερειακός δικτυακός ενεργητικός και παθητικός εξοπλισμός πρέπει να είναι μόνιμα κλειδωμένοι. Στις περιπτώσεις των Κέντρων Δεδομένων (Data centers) και των Κέντρων Δικτύων (Network centers), λόγω της φύσης του εξοπλισμού, των δεδομένων και των υπαρχόντων κινδύνων, είναι απαραίτητο να ελέγχεται και να καταγράφεται κάθε πρόσβαση στους συγκεκριμένους χώρους.

2. Τήρηση καταλόγου

Διατηρείται με ευθύνη του εκάστοτε αρμοδίου υπευθύνου, επικαιροποιημένος κατάλογος με τα δικαιώματα φυσικής πρόσβασης του προσωπικού καθώς και με το προσωπικό που διαθέτει κωδικούς, κάρτες εισόδου και κλειδιά για πρόσβαση σε χώρους που λειτουργεί ο κεντρικός υπολογιστικός και δικτυακός εξοπλισμός και οι κτιριακοί κατανεμητές δικτύου. Οι κατάλογοι αυτοί υπόκεινται σε τακτική αναθεώρηση.

 

Β. ΠΕΡΙΒΑΛΛΟΝΤΙΚΗ ΑΣΦΑΛΕΙΑ

1. Προστασία από φυσικές καταστροφές

Πρέπει να λαμβάνονται τα κατάλληλα μέτρα για την προστασία των κτιρίων, των κρίσιμων χώρων, των γραφείων του προσωπικού, του εξοπλισμού πληροφορικής και του χώρου τήρησης φυσικού αρχείου από ζημιές που μπορούν να προκληθούν από φυσικές καταστροφές ή κακόβουλες ενέργειες, όπως πλημμύρα, υπερθέρμανση, πυρκαγιά, σεισμός, έκρηξη, διαρροή νερού, διακοπή ρεύματος, διάρρηξη/κλοπή, βανδαλισμός, κ.λπ. Ενδεικτικά μέτρα που πρέπει να τηρούνται προς αυτή την κατεύθυνση είναι τα εξής: συναγερμός, πόρτες και παράθυρα ασφάλειας, πυροπροστασία, απομάκρυνση εξοπλισμού από υδροσωληνώσεις και πηγές σκόνης, ανιχνευτές υγρασίας και πλημμύρας, αδιάλειπτη παροχή ρεύματος μέσω σταθεροποιητών/γεννητριών, κ.λπ.

 

Γ. ΠΡΟΣΤΑΣΙΑ ΦΟΡΗΤΩΝ ΜΕΣΩΝ

Πρέπει να λαμβάνονται τα κατάλληλα μέτρα για τη φυσική ασφάλεια και προστασία των φορητών αποθηκευτικών μέσων - όπως να φυλάσσονται σε ασφαλή σημεία όταν δεν είναι σε χρήση και να είναι πάντα υπό επίβλεψη κατά τη διάρκεια της χρήσης τους.

 

5.4. ΜΕΤΡΑ ΑΝΑΚΑΜΨΗΣ ΑΠΟ ΚΑΤΑΣΤΡΟΦΕΣ

Για την προστασία των προσωπικών δεδομένων σε περίπτωση κάποιου έκτακτου περιστατικού, όπως φυσικές καταστροφές (π.χ. σεισμός, πυρκαγιά, πλημμύρα) ή μεγάλης εμβέλειας περιστατικά ασφάλειας (π.χ. καταστροφή από ιομορφικό λογισμικό) είναι απαραίτητη η λειτουργία κατάλληλα διαμορφωμένου κεντρικού υπολογιστικού και δικτυακού εξοπλισμού σε εναλλακτική εγκατάσταση (χώρο). Σε αυτό το χώρο θα γίνει ανάκαμψη και αποκατάσταση των κρίσιμων πληροφοριακών συστημάτων σε περιπτώσεις έκτακτης ανάγκης. Για την ταχύτερη δυνατή αντιμετώπιση των έκτακτων περιστάσεων στους χώρους λειτουργίας της κρίσιμης υπολογιστικής και δικτυακής υποδομής (π.χ. σεισμός, πυρκαγιά, πλημμύρα, κλοπή), είναι απαραίτητα:

  1. να υπάρχουν συσκευές ή μέθοδοι που ελέγχουν τη θερμοκρασία, την πίεση, την υγρασία και άλλους περιβαλλοντικούς παράγοντες.
  2. η τοποθέτηση συναγερμών, οι οποίοι χρησιμοποιούνται τόσο για την ανίχνευση (επικείμενης) ζημιάς λόγω των φαινομένων αυτών, αλλά και για την ανίχνευση εισβολών στα συστήματα.
  3. η τοποθέτηση πυροσβεστήρων, ειδικών αφρών, ειδικών χρηματοκιβωτίων για την αποθήκευση σπουδαίων εγγράφων, αντιγράφων ασφάλειας και άλλων σημαντικών αντικειμένων, και εγκαταστάσεις αποθήκευσης νερού, οι οποίες να έχουν και δυνατότητες άντλησης.
  4. η χρήση ups και ειδικών γεννητριών, για την αδιάλειπτη παροχή ηλεκτρικής ενέργειας στον εξοπλισμού.