Πολιτικές Ασφάλειας Πληροφοριακών Συστημάτων Σωκράτης Κ. Κάτσικας Τμήμα Μηχ/κών Πληροφοριακών & Επικοινωνιακών Συστημάτων Πανεπιστήμιο Αιγαίου

Στόχοι της παρουσίασης H παρουσίαση αυτή στοχεύει στην απάντηση των εξής ερωτημάτων: Τι είναι οι Πολιτικές Ασφάλειας Πληροφοριακών Συστημάτων και για ποιους λόγους τις χρειαζόμαστε; Πώς μπορούμε να αναπτύξουμε μια Πολιτική Ασφάλειας ΠΣ και τι θα πρέπει να περιλαμβάνει; Ποιοι παράγοντες συμβάλλουν στην αποτελεσματική εφαρμογή μιας Πολιτικής Ασφάλειας ΠΣ;

Διαχείριση Ασφάλειας ΠΣ: Διαδικασίες και Πρακτικές -1- Διαχείριση Ασφάλειας ΠΣ: Διαδικασίες και Πρακτικές -1- Η Διαχείριση της Ασφάλειας ΠΣ στοχεύει στην προστασία των ΠΣ, περιορίζοντας την επικινδυνότητα σε αποδεκτό επίπεδο. Περιλαμβάνει συνοπτικά : Αξιολόγηση της επικινδυνότητας και προσδιορισμό του αποδεκτού επιπέδου ασφάλειας εφαρμογή μεθόδων ανάλυσης και διαχείρισης επικινδυνότητας: π.χ. CRAMM, SBA). επιλογή βασικού επιπέδου ασφάλειας (baseline security) Ανάπτυξη και εφαρμογή μιας Πολιτικής Ασφάλειας με βάση τα αποτελέσματα της ανάλυσης επικινδυνότητας χρησιμοποιώντας τα διαθέσιμα πρότυπα (π.χ. ISO17799) και βέλτιστες πρακτικές.

Διαχείριση Ασφάλειας ΠΣ: Διαδικασίες και Πρακτικές -2- Διαχείριση Ασφάλειας ΠΣ: Διαδικασίες και Πρακτικές -2- Πρακτικές διαχείρισης ασφάλειας ΠΣ (συνέχεια) Δημιουργία κατάλληλου οργανωτικού πλαισίου και εξασφάλιση των απαιτούμενων πόρων για την εφαρμογή της Πολιτικής Ασφάλειας. προσαρμογή οργανογράμματος ενσωμάτωση νέων ρόλων (π.χ. Υπεύθυνος Ασφάλειας, Υπεύθυνος Επεξεργασίας, Υπεύθυνος Ασφάλειας Δικτύων κ.λπ.) Εκπαίδευση, ενημέρωση και ευαισθητοποίηση των χρηστών των ΠΣ για ζητήματα ασφάλειας. σεμινάρια εκπαιδευτικά προγράμματα

Η έννοια της Πολιτικής Ασφάλειας ΠΣ Η Πολιτική Ασφάλειας διατυπώνεται σε ένα έγγραφο, το οποίο θα πρέπει να γνωρίζουν και να εφαρμόζουν όλοι οι χρήστες των ΠΣ. Η Πολιτική Ασφάλειας των Πληροφοριακών Συστημάτων περιλαμβάνει το σκοπό και τους στόχους της ασφάλειας, οδηγίες, διαδικασίες, κανόνες, ρόλους και υπευθυνότητες που αφορούν την προστασία των ΠΣ του οργανισμού.

Σχετικές έννοιες -1-: Μέτρα Aσφάλειας και Σχέδιο Ασφάλειας Οι οδηγίες και οι διαδικασίες που περιλαμβάνονται στην Πολιτική Ασφάλειας υλοποιούνται με την εφαρμογή των μέτρων προστασίας ή ασφάλειας (security measures, security controls). Η Πολιτική Ασφάλειας μαζί με το σύνολο των μέτρων προστασίας αποτελούν το Σχέδιο Ασφάλειας (Security Plan) για τα πληροφοριακά συστήματα ενός οργανισμού.

Σχετικές έννοιες -2-

Γιατί εφαρμόζουμε μια Πολιτική Ασφάλειας; -1- …γιατί χρειαζόμαστε ένα συστηματικό και ολοκληρωμένο πλαίσιο που θα καθοδηγήσει την υλοποίηση των μέτρων ασφάλειας. …γιατί λειτουργεί ως το μέσο για την επικοινωνία των εμπλεκομένων στα ζητήματα ασφάλειας (χρήστες, διοίκηση, διαχειριστές συστημάτων κ.λπ.).

Γιατί εφαρμόζουμε μια Πολιτική Ασφάλειας; -2- επίσης, …γιατί δε διαθέτουμε απεριόριστους πόρους (σε χρήματα, χρόνο, ανθρώπινο δυναμικό). …γιατί έτσι θεμελιώνεται η σημασία της ασφάλειας των ΠΣ για όλα τα μέλη του οργανισμού. …γιατί συμβάλλει στη δημιουργία κουλτούρας ασφάλειας.

Γιατί εφαρμόζουμε μια Πολιτική Ασφάλειας; -3- καθώς επίσης και ……γιατί σε ορισμένες περιπτώσεις αποτελεί νομική υποχρέωση (π.χ. Ν.2472/97). …γιατί αποτελεί παράγοντα εμπιστοσύνης στις σχέσεις του οργανισμού με συνεργαζόμενους φορείς και πελάτες.

Είδη Πολιτικών Ασφάλειας -1- Τεχνικές Πολιτικές Ασφάλειας (computer-oriented) Πολιτικές Ασφάλειας Πληροφοριών Υλοποιούν συγκεκριμένους κανόνες πρόσβασης στα δεδομένα, όπως διακριτικό έλεγχο προσπέλασης (Discretionary Access Control) ή υποχρεωτικό έλεγχο προσπέλασης (Mandatory Access Control). Πολιτικές Ασφάλειας Λειτουργικών Συστημάτων. πρώτη εφαρμογή των πολιτικών ασφάλειας Πολιτικές Ασφάλειας Δικτύων Υπολογιστών. Μπορούν να υλοποιηθούν τεχνικά.

Είδη Πολιτικών Ασφάλειας -2- Οργανωσιακές Πολιτικές Ασφάλειας (human-oriented) Πολιτικές Ασφάλειας Πληροφοριακών Συστημάτων. Καλύπτουν όλη την οργάνωση. Εφαρμόζονται από τους χρήστες των ΠΣ.

Μορφές Πολιτικών Ασφάλειας ΠΣ -1- Ατομικές Πολιτικές Ασφάλειας (individual security policies): Ανά σύστημα ή εφαρμογή (π.χ. Πολιτική Ασφάλειας για τη χρήση του e-mail) Αποσπασματική διαχείριση της ασφάλειας ΠΣ, μεγάλη πολυπλοκότητα στη συντήρηση των πολιτικών. Αποτελεσματικές όταν υπάρχουν αυτόνομες εφαρμογές και υπολογιστικά συστήματα που δε συνδέονται μεταξύ τους.

Μορφές Πολιτικών Ασφάλειας ΠΣ -2- Αναλυτικές Πολιτικές Ασφάλειας (Comprehensive Security Policies) Ενιαίο έγγραφο που αναφέρεται σε όλα τα υπολογιστικά συστήματα, τις εφαρμογές και τις διαδικασίες του ΠΣ. Είναι μεγάλες σε όγκο, όχι πολύ εύχρηστες. Οι οδηγίες και διαδικασίες που περιλαμβάνονται είναι σε γενικό επίπεδο, χωρίς λεπτομέρειες.

Μορφές Πολιτικών Ασφάλειας ΠΣ -3- Αρθρωτές Πολιτικές Ασφάλειας (Modular Security Policies) Ενιαίο έγγραφο με παραρτήματα που περιγράφουν τις επιμέρους πολιτικές. Μπορεί να είναι σε μορφή υπερκειμένου (hypertext)

Πηγές Απαιτήσεων Ασφάλειας Οι απαιτήσεις και οι στόχοι για την ασφάλεια των ΠΣ που πρέπει να ικανοποιεί η Πολιτική Ασφάλειας προέρχονται από όλους τους εμπλεκόμενους στη χρήση και λειτουργία του ΠΣ ενός οργανισμού, όπως είναι: Οι χρήστες και διαχειριστές των ΠΣ. Η διοίκηση του οργανισμού. Οι πελάτες του οργανισμού. Οι νομικές και κανονιστικές διατάξεις που διέπουν τη λειτουργία του. ETSI: European Telecommunications Standards Institute ITU: International Telecommunications Union IETF: Internet Engineering Task Force W3C: www consortium

Ανάπτυξη Πολιτικών Ασφάλειας -1- Για να διαμορφώσουμε μια Πολιτική Ασφάλειας ΠΣ πρέπει να αξιολογήσουμε, κατ’αρχήν, το επίπεδο της ασφάλειάς του. Για το σκοπό αυτό, μπορούμε να χρησιμοποιήσουμε: Μεθόδους Ανάλυσης Επικινδυνότητας (π.χ. SBA, MARION, CRAMM). Πρότυπα διαχείρισης της ασφάλειας των ΠΣ (π.χ. ISO 17799, GMITS).

Ανάπτυξη Πολιτικών Ασφάλειας -2- Η Πολιτική Ασφάλειας ΠΣ που αναπτύσσουμε θα πρέπει να περιλαμβάνει απαντήσεις στα ακόλουθα ερωτήματα: Ποιος είναι ο σκοπός και ποιοι οι στόχοι της Πολιτικής; Ποια είναι τα αγαθά του ΠΣ που χρειάζονται προστασία; Ποιοι είναι οι υπεύθυνοι για την προστασία των αγαθών αυτών και ποιες είναι οι αρμοδιότητές τους; Summary of some important findings

Ανάπτυξη Πολιτικών Ασφάλειας -3- καθώς και στο: Ποιο είναι το εύρος και ποια τα όρια εφαρμογής της; Πώς θα γίνεται ο έλεγχος της εφαρμογής της; Ποια είναι τα χρονικά πλαίσια που ισχύει η Πολιτική;

Περιεχόμενο Πολιτικών Ασφάλειας ΠΣ -1- Οι οδηγίες και τα μέτρα προστασίας που καθορίζει η πολιτική ασφάλειας ΠΣ θα πρέπει να καλύπτουν, τουλάχιστον, τις ακόλουθες κατηγορίες απαιτήσεων ασφάλειας: Ζητήματα Προσωπικού Φυσική Ασφάλεια Έλεγχο Πρόσβασης στα ΠΣ Διαχείριση Υλικού και Λογισμικού

Περιεχόμενο Πολιτικών Ασφάλειας ΠΣ -2- Νομικές υποχρεώσεις Διαχείριση της Πολιτικής Ασφάλειας Οργανωτική Δομή Σχέδιο Συνέχισης Λειτουργίας

Περιεχόμενο Πολιτικής Ασφάλειας ΠΣ: Ζητήματα Προσωπικού -1- Στόχος των οδηγιών και των μέτρων ασφάλειας που ανήκουν σε αυτή την κατηγορία, είναι η μείωση της επικινδυνότητας που οφείλεται σε ανθρώπινα λάθη, απάτη, κλοπή ή κατάχρηση των πόρων των ΠΣ. αντιμετώπιση της «εκ των έσω απειλής» (insider threat)

Περιεχόμενο Πολιτικής Ασφάλειας ΠΣ: Ζητήματα Προσωπικού -2- Τα μέτρα και οι οδηγίες σε αυτήν την κατηγορία αναφέρονται κυρίως σε: Ρόλους και υπευθυνότητες για την προστασία των αγαθών του ΠΣ. ιδιοκτησία πληροφοριακών πόρων. Διαδικασίες επιλογής νέου προσωπικού. έλεγχος ειδικά για τις «ευαίσθητες θέσεις» Εκπαίδευση και ενημέρωση των χρηστών. Διαδικασίες αντιμετώπισης και αναφοράς περιστατικών παραβίασης της ασφάλειας.

Περιεχόμενο Πολιτικής Ασφάλειας ΠΣ: Φυσική Ασφάλεια Περιεχόμενο Πολιτικής Ασφάλειας ΠΣ: Φυσική Ασφάλεια Τα μέτρα που υποστηρίζουν τη φυσική ασφάλεια έχουν ως κύριο στόχο την αποτροπή της μη εξουσιοδοτημένης πρόσβασης στους χώρους του ΠΣ και της καταστροφής των αγαθών του. Αναφέρονται κυρίως σε: Έλεγχο φυσικής πρόσβασης σε κρίσιμους χώρους (π.χ. Server room). Προστασία της υγείας των χρηστών των ΠΣ (safety).

Περιεχόμενο Πολιτικής Ασφάλειας ΠΣ: Έλεγχος Πρόσβασης Η πρόσβαση των χρηστών των ΠΣ στις πληροφορίες, τα υπολογιστικά συστήματα και τις εφαρμογές θα πρέπει να καθορίζεται με βάση τις επιχειρηματικές ανάγκες και τις απαιτήσεις ασφάλειας. Συχνά εφαρμόζεται η αρχή “need to know” για την απονομή δικαιώματος πρόσβασης στους χρήστες. Διαδικασίες ελέγχου εφαρμογής των κανόνων πρόσβασης.

Περιεχόμενο Πολιτικής Ασφάλειας ΠΣ: Διαχείριση Υλικού Προμήθεια και Συντήρηση Υλικού Οι οδηγίες αυτές στοχεύουν στη διατήρηση του επιθυμητού επιπέδου ασφάλειας, προσδιορίζοντας τις διαδικασίες για την αγορά και τη συντήρηση του υλικού π.χ. απαίτηση προμήθειας πιστοποιημένων προϊόντων διαδικασίες “επείγουσας προμήθειας” όροι συντήρησης εξοπλισμού.

Περιεχόμενο Πολιτικής Ασφάλειας ΠΣ: Διαχείριση Λογισμικού Ανάπτυξη και Συντήρηση Λογισμικού Οι οδηγίες που περιλαμβάνονται πρέπει να καλύπτουν τις ακόλουθες περιπτώσεις: Αγορά έτοιμων προϊόντων (πακέτων λογισμικού) από εξωτερικούς προμηθευτές. Ανάπτυξη και συντήρηση λογισμικού από αναδόχους. Εσωτερική ανάπτυξη και συντήρηση των εφαρμογών

Περιεχόμενο Πολιτικής Ασφάλειας ΠΣ: Νομικές Απαιτήσεις Συμμόρφωση με το νομικό και κανονιστικό πλαίσιο, όπως: Ο Νόμος 2472 του 1997 για την “Προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα”. Οι νόμοι για την προστασία των πνευματικών δικαιωμάτων. Οι αποφάσεις των Ανεξάρτητων Διοικητικών Αρχών, όπως η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, η Επιτροπή Τηλεπικοινωνιών και Ταχυδρομείων, η Αρχή Προστασίας του Απορρήτου

Περιεχόμενο Πολιτικής Ασφάλειας ΠΣ: Διαδικασίες Διαχείρισης της Πολιτικής Ασφάλειας Η Πολιτική Ασφάλειας θα πρέπει να προσδιορίζει και τις απαιτούμενες δραστηριότητες για την εφαρμογή της, που αφορούν: Την αξιολόγηση και αναθεώρηση της Πολιτικής Τον έλεγχο εφαρμογής της (audit) και τον καθορισμό των ενεργειών που προβλέπονται στις περιπτώσεις μη τήρησής της από τους χρήστες.

Περιεχόμενο Πολιτικής Ασφάλειας ΠΣ: Οργανωτική Δομή Για να εφαρμοστεί η Πολιτική Ασφάλειας θα πρέπει να υπάρχει η αντίστοιχη οργανωτική και διοικητική δομή Δημιουργία των κατάλληλων ρόλων και κατανομή υπευθυνοτήτων (π.χ. Υπεύθυνος Ασφάλειας). Δημιουργία διαδικασιών για τον εντοπισμό και την αναφορά περιστατικών παραβίασης της ασφάλειας.

Περιεχόμενο Πολιτικής Ασφάλειας ΠΣ: Σχέδιο Συνέχισης Λειτουργίας Ειδικά στις περιπτώσεις κρίσιμων ΠΣ, η Πολιτική Ασφάλειας πρέπει να περιλαμβάνει οδηγίες που αφορούν τις απαιτούμενες ενέργειες μετά την πραγματοποίηση ενός σημαντικού περιστατικού παραβίασης της ασφάλειας, ώστε οι λειτουργίες του οργανισμού να εξακολουθήσουν να πραγματοποιούνται με κάποιους εναλλακτικούς τρόπους, έως ότου αντιμετωπιστεί το πρόβλημα ασφάλειας του ΠΣ π.χ. να υπάρχει εφεδρικό Web Site εφεδρικός εξοπλισμός καταγεγραμμένες διαδικασίες

Χαρακτηριστικά Πολιτικών Ασφάλειας ΠΣ -1- Όταν αναπτύσσουμε μια Πολιτική Ασφάλειας, επιδιώκουμε τα ακόλουθα: Οι οδηγίες και τα μέτρα προστασίας να καλύπτουν το σύνολο των αγαθών του ΠΣ και όλες τις λειτουργίες του (πληρότητα). Να λάβουμε υπόψη τις τρέχουσες τεχνολογικές εξελίξεις (επικαιρότητα). Με κάποιες τροποποιήσεις ή προσθήκες να μπορεί η Πολιτική να καλύπτει μικρές αλλαγές ή επεκτάσεις στα ΠΣ (γενικευσιμότητα).

Χαρακτηριστικά Πολιτικών Ασφάλειας ΠΣ -2- …και πρέπει να λαμβάνουμε υπόψη ότι: η Πολιτική Ασφάλειας απευθύνεται στο σύνολο των μελών του οργανισμού και θα πρέπει να είναι εύκολα κατανοητή από όλους (σαφήνεια και ευκολία κατανόησης). η περιγραφή των μέτρων ασφάλειας δε θα πρέπει να δεσμεύει τον οργανισμό σε συγκεκριμένα προϊόντα και τεχνολογίες (τεχνολογική ανεξαρτησία).

Χαρακτηριστικά Πολιτικών Ασφάλειας ΠΣ -3- και ότι: οι απαιτήσεις ασφάλειας πρέπει να καλύπτουν τις ανάγκες του συγκεκριμένου οργανισμού (καταλληλότητα). τα μέτρα προστασίας θα πρέπει να μπορούν να εφαρμοστούν χωρίς να δυσχεραίνουν δυσανάλογα τις δραστηριότητες των χρηστών του ΠΣ (εφαρμοσιμότητα).

Διαμόρφωση Πολιτικών Ασφάλειας ΠΣ: Προσεγγίσεις Ανάλογα με τον οργανισμό και το ΠΣ για το οποίο αναπτύσσουμε μια Πολιτική Ασφάλειας, μπορούμε να ακολουθήσουμε: Την προσέγγιση της ‘υποχρεωτικής’ εφαρμογής: επιτρεπτές ενέργειες θεωρούνται μόνον εκείνες που προβλέπονται και προδιαγράφονται στην Πολιτική Ασφάλειας. Την προσέγγιση του ‘διακριτικού ελέγχου’: όλες οι ενέργειες που δεν περιλαμβάνονται στις απαγορευμένες θεωρούνται επιτρεπτές και σύμφωνες με την πολιτική. Την προσέγγιση της ‘κατά περίπτωση’ εφαρμογής: οι οδηγίες ασφάλειας της Πολιτικής θεωρούνται υποχρεωτικές, υπάρχει όμως η δυνατότητα να παρακαμφθούν κατά περίπτωση

Εφαρμογή Πολιτικών Ασφάλειας ΠΣ: Παράγοντες Επιτυχίας -1- Μια Πολιτική Ασφάλειας ΠΣ επιτυγχάνει καλύτερα τους στόχους της όταν: υποστηρίζει τους επιχειρηματικούς στόχους του οργανισμού. η ανώτερη διοίκηση του οργανισμού υποστηρίζει και συμμετέχει ενεργά στην εφαρμογή της. είναι κατάλληλη για το συγκεκριμένο περιβάλλον όπου εφαρμόζεται (οργανωσιακή κουλτούρα). οι χρήστες εκπαιδεύονται και ενημερώνονται κατάλληλα.

Εφαρμογή Πολιτικών Ασφάλειας ΠΣ: Παράγοντες Επιτυχίας -2- …και όταν υπάρχουν διαδικασίες αξιολόγησης της αποτελεσματικότητάς της, ώστε να αναθεωρείται κατάλληλα. εφαρμόζεται σταδιακά, ανάλογα με το βαθμό της αλλαγής που επιφέρει η εφαρμογή της Πολιτικής στις δραστηριότητες των χρηστών. έχουν εύκολη και άμεση πρόσβαση σε αυτήν όλοι οι χρήστες του ΠΣ.

Αναθεώρηση των Πολιτικών Ασφάλειας ΠΣ Το περιεχόμενο και οι διαδικασίες εφαρμογής της Πολιτικής Ασφάλειας θα πρέπει να αναθεωρούνται: Σε τακτικά χρονικά διαστήματα (Τακτικές αναθεωρήσεις). Έπειτα από σημαντικά περιστατικά παραβίασης της ασφάλειας, ουσιώδεις αλλαγές στο υλικό ή το λογισμικό, επέκταση ή διασύνδεση του ΠΣ με άλλα συστήματα (Έκτακτες αναθεωρήσεις).

Σύνοψη -1- Η Πολιτική Ασφάλειας ΠΣ αποτελεί το βασικό εργαλείο για τη διαχείριση της ασφάλειας των ΠΣ. Η ανάπτυξη μιας Πολιτικής απαιτεί την καταγραφή, σε ένα έγγραφο, των βασικών στόχων της ασφάλειας, μαζί με τους τρόπους και τα μέσα επίτευξης των στόχων αυτών.

Σύνοψη -2- Το περιεχόμενο, η μορφή και ο τρόπος εφαρμογής μιας Πολιτικής μπορεί να διαφοροποιηθούν ανάλογα με τον οργανισμό και το ΠΣ. Η αποτελεσματική εφαρμογή της εξαρτάται, μεταξύ άλλων, από την υποστήριξη και συμμετοχή της διοίκησης, τη σταδιακή εφαρμογή και τη συμβολή της Πολιτικής στην επίτευξη των στόχων του οργανισμού.

Μελέτη περίπτωσης: ΠΑΝΔΩΡΑ Α.Ε. (1/4) Μελέτη περίπτωσης: ΠΑΝΔΩΡΑ Α.Ε. (1/4) Η Εταιρεία Μελετών και Κατασκευών «Πανδώρα» αποδίδει υψηλή προτεραιότητα στην Ασφάλεια του Πληροφοριακού της Συστήματος. Τα δεδομένα του πληροφοριακού συστήματος, ανεξάρτητα από τον τρόπο δημιουργίας, μετάδοσης ή αποθήκευσής τους, και ανεξάρτητα από τη μορφή στην οποία βρίσκονται, καθώς και το σύνολο του υλικού εξοπλισμού και του λογισμικού που χρησιμοποιείται για την επεξεργασία τους, αποτελούν αναγκαίους πόρους για τη λειτουργία της Εταιρείας. Η παραβίαση της ασφάλειας του πληροφοριακού συστήματος της Εταιρείας μπορεί να έχει πολλές επιπτώσεις, όπως η μείωση του μεριδίου αγοράς και η απώλεια της καλής της φήμης.

Μελέτη περίπτωσης: ΠΑΝΔΩΡΑ Α.Ε. (2/4) Μελέτη περίπτωσης: ΠΑΝΔΩΡΑ Α.Ε. (2/4) Η παρούσα Πολιτική Ασφάλειας αφορά στο σύνολο των πληροφοριών που συλλέγονται και τυγχάνουν επεξεργασίας στο πλαίσιο του πληροφοριακού συστήματος της Εταιρείας «Πανδώρα», καθώς και στον υλικό εξοπλισμό, στο λογισμικό και στις διαδικασίες που χρησιμοποιούνται για την επεξεργασία αυτών των πληροφοριών.

Μελέτη περίπτωσης: ΠΑΝΔΩΡΑ Α.Ε. (3/4) Μελέτη περίπτωσης: ΠΑΝΔΩΡΑ Α.Ε. (3/4) Η Πολιτική Ασφάλειας έχει καθολική εφαρμογή από όλα τα μέλη της εταιρείας «Πανδώρα», που επεξεργάζονται τέτοιες πληροφορίες. Όλοι οι υπάλληλοι της Εταιρείας είναι υπεύθυνοι για την ασφάλεια των πληροφοριακών συστημάτων, δηλαδή την προστασία των πληροφοριών από πιθανή απώλεια της ακεραιότητας, της διαθεσιμότητας ή της εμπιστευτικότητάς τους, καθώς και την προστασία των ανθρώπινων πόρων και της υλικοτεχνικής υποδομής που απαιτούνται για τη συλλογή, διαβίβαση, επεξεργασία και διάθεση των πληροφοριών αυτών.

Μελέτη περίπτωσης: ΠΑΝΔΩΡΑ Α.Ε. (4/4) Μελέτη περίπτωσης: ΠΑΝΔΩΡΑ Α.Ε. (4/4) Για την υλοποίηση της Πολιτικής Ασφάλειας αναπτύσσεται και διατηρείται επίκαιρο ένα Σχέδιο Ασφάλειας, το οποίο περιλαμβάνει τα μέτρα και τις διαδικασίες προστασίας που πρέπει να λαμβάνονται για τη διασφάλιση του πληροφοριακού συστήματος.

Ζητήματα προσωπικού (1/4) Η Εταιρεία «Πανδώρα» παρέχει επαρκή και κατάλληλη εκπαίδευση σε θέματα ασφάλειας, στο προσωπικό που αξιοποιεί ή διαχειρίζεται το πληροφοριακό σύστημα, ανάλογα με το ρόλο που κάθε υπάλληλος διαδραματίζει στη λειτουργία του συστήματος.

Ζητήματα προσωπικού (2/4) Οι υπάλληλοι της Εταιρείας υποχρεούνται να μην εκθέτουν, με τις ενέργειες ή τις παραλείψεις τους, σε κινδύνους το πληροφοριακό σύστημα και να συμβάλλουν στην αντιμετώπιση των σχετικών κινδύνων. Υποχρεούνται επίσης να προστατεύουν τα συνθηματικά τους και να μην τα αποκαλύπτουν σε κανέναν, να μη χρησιμοποιούν αναξιόπιστο λογισμικό που λαμβάνουν με το ηλεκτρονικό ταχυδρομείο ή που αποκτούν από το διαδίκτυο, και να μην χρησιμοποιούν πειρατικό ή άλλο παράνομο λογισμικό.

Ζητήματα προσωπικού (3/4) Κάθε μέλος του προσωπικού της Εταιρείας, καθώς και κάθε άλλος εμπλεκόμενος στη λειτουργία του πληροφοριακού συστήματος, οφείλει να αναφέρει οποιαδήποτε περίπτωση παραβίασης της Πολιτικής Ασφάλειας υποπίπτει στην αντίληψη του, καθώς και κάθε άλλο γεγονός που κρίνει ότι θέτει σε κίνδυνο την ασφάλεια του πληροφοριακού συστήματος.

Ζητήματα προσωπικού (4/4) Η Εταιρεία επιλέγει, σε θέσεις που είναι σημαντικές για την ασφαλή λειτουργία του πληροφοριακού της συστήματος, προσωπικό με κατάλληλα τυπικά και ουσιαστικά προσόντα.

Φυσική ασφάλεια Η Εταιρεία «Πανδώρα» λαμβάνει μέτρα για την ασφάλεια των εγκαταστάσεων στις οποίες στεγάζονται λειτουργίες του πληροφοριακού συστήματος, ώστε να είναι κατάλληλα οργανωμένες για το σκοπό αυτό.

Έλεγχος πρόσβασης στο ΠΣ Οι υπάλληλοι της Εταιρείας έχουν πρόσβαση σε εκείνες τις πληροφορίες και υπηρεσίες του πληροφοριακού συστήματος, οι οποίες είναι απαραίτητες για την εκτέλεση των εργασιών και αρμοδιοτήτων που τους έχουν ανατεθεί.

Διαχείριση υλικού και λογισμικού (1/2) Κάθε σύστημα, υποσύστημα ή εφαρμογή που αναπτύσσεται από ή για λογαριασμό της Εταιρείας και εντάσσεται στο πληροφοριακό της σύστημα ή επικοινωνεί άμεσα με αυτό, πρέπει να εγγυάται ένα επαρκές επίπεδο ασφάλειας.

Διαχείριση υλικού και λογισμικού (1/2) Κατά την ανάθεση εργασιών συντήρησης ή ανάπτυξης συστημάτων, υποσυστημάτων ή εφαρμογών, που εντάσσονται στο πληροφοριακό σύστημα της Εταιρείας «Πανδώρα» ή επικοινωνούν άμεσα με αυτό, σε αναδόχους λαμβάνεται μέριμνα τήρησης της παρούσας Πολιτικής Ασφάλειας και των κανόνων που απορρέουν από αυτήν.

Συμμόρφωση με νομικές υποχρεώσεις Η Εταιρεία «Πανδώρα» προβαίνει σε όλες τις ενέργειες που απαιτούνται για να γίνεται σεβαστή η νομοθεσία που αφορά τα πνευματικά δικαιώματα, την προστασία προσωπικών δεδομένων, το ηλεκτρονικό έγκλημα και γενικά τη νομοθεσία που αφορά τη χρήση υπολογιστικών και επικοινωνιακών συστημάτων.

Διαδικασίες διαχείρισης της πολιτικής ασφάλειας (1/3) Η Πολιτική Ασφάλειας πρέπει να τηρείται κατά το δυνατόν επίκαιρη. Ο ορισμός του κατάλληλου προσώπου που είναι αρμόδιο για την εξασφάλιση της επικαιρότητάς της και τη διασφάλιση ότι το προσωπικό γνωρίζει το εκάστοτε ισχύον κείμενο, αποτελεί ευθύνη της Διοίκησης της Εταιρείας «Πανδώρα».

Διαδικασίες διαχείρισης της πολιτικής ασφάλειας (2/3) Η εφαρμογή της Πολιτικής Ασφάλειας και των κανόνων που απορρέουν από αυτήν είναι υποχρεωτική για όλους τους εμπλεκόμενους στη λειτουργία του πληροφοριακού συστήματος. Είναι ευθύνη της Εταιρείας να εξασφαλίσει ότι κάθε εργαζόμενος που εμπλέκεται, κατά την εκτέλεση της εργασίας του, στη λειτουργία του πληροφοριακού συστήματος, είναι ενήμερος τόσο για την Πολιτική Ασφάλειας, όσο και για τη χρησιμότητα και τον τρόπο εφαρμογής της.

Διαδικασίες διαχείρισης της πολιτικής ασφάλειας (3/3) Περιοδικές επιθεωρήσεις από εσωτερικούς ελεγκτές θα λαμβάνουν χώρα με σκοπό την διασφάλιση της συμμόρφωσης με την Πολιτική Ασφάλειας. Η Εταιρεία διατηρεί το δικαίωμα να επιβάλλει κυρώσεις σε περιπτώσεις παραβίασής της.

Οργανωτική δομή Η Διοίκηση της Εταιρείας «Πανδώρα» ορίζει τους ρόλους που είναι απαραίτητοι για τη διαχείριση της ασφάλειας του πληροφοριακού συστήματος, τις αρμοδιότητες που αντιστοιχούν σε κάθε ρόλο και αναθέτει τους ρόλους αυτούς σε συγκεκριμένα πρόσωπα.

Σχέδιο επιχειρησιακής συνέχειας Για την εξασφάλιση της συνέχειας της λειτουργίας του πληροφοριακού συστήματος, έπειτα από ενδεχόμενη καταστροφή, εφαρμόζεται Σχέδιο Συνέχισης Λειτουργίας, το οποίο περιγράφεται αναλυτικά στο αντίστοιχο έγγραφο.