10.1. Σκοπός – Εύρος Πολιτικής
Ο σκοπός της Πολιτικής Ασφάλειας Δικτύου είναι ο λογικός διαχωρισμός των δικτύων του υπόχρεου προσώπου από εξωτερικά δίκτυα και η κατάτμηση των δικτύων του σε ζώνες ασφάλειας ή υποδίκτυα, ανάλογα με το επίπεδο ασφάλειας που απαιτείται, με στόχο την απομόνωση των ΠΕΣ σε ζώνες ασφάλειας, τον διαχωρισμό αυτών σε δικτυακό επίπεδο, και τον έλεγχο της ροής δεδομένων μεταξύ αυτών.
10.2. Γενικές Αρχές Μηχανισμών και Συστημάτων Πολιτικής Ασφάλειας Δικτύου
10.2.1. Το υπόχρεο πρόσωπο οφείλει να καταρτίζει και να διατηρεί διαρκώς ενημερωμένο αρχείο στο οποίο ορίζονται οι μηχανισμοί και τα συστήματα που χρησιμοποιούνται σε υλικό και λογισμικό για τους σκοπούς της Πολιτικής Ασφάλειας Δικτύου, καθώς και οι τρόποι λειτουργίας και τεχνικής διαμόρφωσης αυτών, οι οποίοι θα πρέπει να λαμβάνουν υπόψη τις διεθνείς, ευρέως αποδεκτές πρακτικές και πρότυπα και την αποτίμηση κινδύνου στην οποία έχει προβεί το υπόχρεο πρόσωπο, σε συμφωνία με τις αρχές του εδαφίου 3.3 του παρόντος Κανονισμού. Οι μηχανισμοί και τα συστήματα της Πολιτικής Ασφάλειας Δικτύου περιλαμβάνουν, ενδεικτικά και όχι περιοριστικά: αναχώματα ασφάλειας, συστήματα ανίχνευσης και αποτροπής εισβολών, λίστες ελέγχου πρόσβασης, ιδεατά ιδιωτικά δίκτυα, ιδεατά τοπικά δίκτυα.
10.2.2. Η εγκατάσταση, η επικαιροποίηση και η διαχείριση των αναφερόμενων στην παράγραφο 10.2.1 του παρόντος άρθρου μηχανισμών και συστημάτων είναι σύμφωνη με τις αρχές της Πολιτικής Διαχείρισης και Εγκατάστασης ΠΕΣ του άρθρου 8 του παρόντος Κανονισμού και συμπεριλαμβάνει τους κανόνες πρόσβασης ή ελέγχου που έχουν τεθεί στους εν λόγω μηχανισμούς και συστήματα (ενδεικτικά αναφέρεται η επικαιροποίηση του συστήματος ανίχνευσης/προστασίας εισβολών με υπογραφές νέων εισβολών ή επιθέσεων).
10.2.3. Η λειτουργία των αναφερομένων στην παράγραφο 10.2.1 του παρόντος άρθρου μηχανισμών και συστημάτων πρέπει να είναι συνεχής, με την εξαίρεση των περιπτώσεων προγραμματισμένης συντήρησης ή αναβάθμισης, σύμφωνα με τις αρχές της Πολιτικής Διαχείρισης και Εγκατάστασης ΠΕΣ του άρθρου 8 του παρόντος Κανονισμού.
10.2.4. Σε περίπτωση που ένας μηχανισμός ή σύστημα από τους αναφερόμενους στην παράγραφο 10.2.1 του παρόντος άρθρου εντοπίσει κάποιο μη σύνηθες συμβάν, ενεργοποιείται συναγερμός που είναι ενδεικτικός του είδους, της φύσης και σοβαρότητας του συμβάντος και κάθε διαθέσιμη σχετική πληροφορία καταγράφεται και αποθηκεύεται σε ειδικό αρχείο για περαιτέρω επεξεργασία. Αναλόγως της κρισιμότητας του συμβάντος, το υπόχρεο πρόσωπο ενεργοποιεί την Πολιτική Διαχείρισης Περιστατικών Ασφάλειας, σύμφωνα με το άρθρο 9 του παρόντος Κανονισμού.
10.3. Λογικός Διαχωρισμός και Κατάτμηση Δικτύων του Υπόχρεου Προσώπου.
10.3.1. Το υπόχρεο πρόσωπο οφείλει να καταρτίζει και να διατηρεί διαρκώς ενημερωμένο αρχείο, στο οποίο περιγράφεται αναλυτικά, με βάση τους αναφερόμενους στην παράγραφο 10.2.1 του παρόντος άρθρου μηχανισμούς και συστήματα, ο λογικός διαχωρισμός και η κατάτμηση των δικτύων του με αντίστοιχη σχηματική απεικόνιση, περιγράφεται η αρχιτεκτονική που έχει υλοποιηθεί και καταγράφονται όλα τα ΠΕΣ και η ζώνη ασφάλειας στην οποία έχουν τοποθετηθεί. Το υπόχρεο πρόσωπο οφείλει να διατηρεί τις προηγούμενες εκδόσεις του εν λόγω αρχείου.
10.3.2. Σε περίπτωση που το υπόχρεο πρόσωπο διαθέτει στο κοινό υπηρεσίες ηλεκτρονικών επικοινωνιών που απαιτούν πρόσβαση σε εξυπηρετητές από εξωτερικά δίκτυα (αναφέρονται ενδεικτικά οι υπηρεσίες ηλεκτρονικού ταχυδρομείου), τα ΠΕΣ που προσφέρουν τις εν λόγω υπηρεσίες πρέπει να τοποθετούνται σε μία ή περισσότερες αποστρατικοποιημένες ζώνες.
10.3.3. Τα ΠΕΣ του υπόχρεου προσώπου που χρησιμοποιούνται από τους εργαζόμενους και συνεργάτες του για την τέλεση των επιχειρησιακών διαδικασιών και λειτουργιών (ενδεικτικά, τα συστήματα διαχείρισης και εποπτείας, τα συστήματα καταγραφής, τα συστήματα χρέωσης συνδρομητών, οι βάσεις δεδομένων που περιέχουν δεδομένα επικοινωνίας και οι εφαρμογές πρόσβασης σε δεδομένα επικοινωνίας), πρέπει να εντάσσονται σε μία ή περισσότερες εσωτερικές έμπιστες ζώνες, ανάλογα με τις απαιτήσεις ασφάλειας και την κρισιμότητά τους.
10.3.4. Τα ΠΕΣ του υπόχρεου προσώπου, και ιδιαίτερα αυτά που δεν τοποθετούνται σε αποστρατικοποιημένες ή έμπιστες ζώνες, (ενδεικτικά, τα δίκτυα πρόσβασης/μετάδοσης, οι συσκευές και κόμβοι διασύνδεσης με τρίτα/εξωτερικά δίκτυα), ανάλογα με την τεχνολογία τους, είναι δυνατό να υποστηρίζουν την προαιρετική χρήση συγκεκριμένων μηχανισμών ασφάλειας. Στην περίπτωση αυτή, το υπόχρεο πρόσωπο οφείλει να επιλέγει, να ενεργοποιεί και να παραμετροποιεί όλους τους κατάλληλους μηχανισμούς ασφάλειας, εκμεταλλευόμενο τις δυνατότητες και μεθόδους ασφάλειας που διαθέτουν (αναφέρεται ενδεικτικά η κρυπτογράφηση), τις διεθνείς, ευρέως αποδεκτές πρακτικές και πρότυπα, και τα αποτελέσματα που προκύπτουν από την αποτίμηση κινδύνου, σε συμφωνία με τις αρχές του άρθρου 3.3 του παρόντος Κανονισμού. Για τα ΠΕΣ της παρούσας παραγράφου, το υπόχρεο πρόσωπο οφείλει να διατηρεί αρχείο με πλήρη ανάλυση των μέτρων προστασίας και ασφάλειας που έχουν υλοποιηθεί σε αυτά, με σκοπό την προστασία του απορρήτου των επικοινωνιών.
