11.1. Σκοπός - Εύρος Πολιτικής
Η Πολιτική Ελέγχου Εφαρμογής της Πολιτικής Ασφάλειας για τη Διασφάλιση του Απορρήτου των Επικοινωνιών καθορίζει τις απαιτήσεις και το πλαίσιο διεξαγωγής ελέγχων που διενεργεί το υπόχρεο πρόσωπο, με σκοπό την ορθή τήρηση των επιμέρους πολιτικών και διαδικασιών, τη διαπίστωση της επάρκειας και αποτελεσματικότητας των μηχανισμών ασφάλειας και τον έλεγχο των τεχνικών ευπαθειών στα ΠΕΣ.
11.2. Γενικές Απαιτήσεις
11.2.1. Το υπόχρεο πρόσωπο οφείλει να προβαίνει σε προγραμματισμό ελέγχου εφαρμογής της Πολιτικής Ασφάλειας για τη Διασφάλιση του Απορρήτου των Επικοινωνιών, ο οποίος καταγράφεται σε αρχείο, καλύπτει όλο το εύρος εφαρμογής της Πολιτικής και πραγματοποιείται κατ’ ελάχιστον ανά δύο (2) έτη.
11.2.2. Ο έλεγχος περιλαμβάνει τη χρήση και την εξέταση των αρχείων καταγραφής κάθε ΠΕΣ, κατά περίπτωση σε συσχετισμό με άλλα αρχεία που προβλέπονται στον παρόντα Κανονισμό.
11.2.3. Οι έλεγχοι είναι δυνατό να πραγματοποιούνται από εξωτερικό φορέα ή από ειδικά εξουσιοδοτημένους προς τούτο, εργαζόμενους του υπόχρεου προσώπου.
11.2.3.1. Στην περίπτωση διεξαγωγής ελέγχου εφαρμογής της Πολιτικής Ασφάλειας για τη Διασφάλιση του Απορρήτου των Επικοινωνιών από εξωτερικό φορέα, θα πρέπει να λαμβάνεται μέριμνα από το υπόχρεο πρόσωπο αναφορικά με ζητήματα τήρησης της εμπιστευτικότητας και μη διαρροής πληροφοριών και δεδομένων, μέσω σχετικής σύμβασης. Καθ’ όλη τη διάρκεια διεξαγωγής του ελέγχου από τον εξωτερικό φορέα, θα πρέπει να παρίσταται ειδικά εξουσιοδοτημένος προς τούτο εργαζόμενος του υπόχρεου προσώπου.
11.2.3.2. Στην περίπτωση διεξαγωγής ελέγχου εφαρμογής της Πολιτικής Ασφάλειας για τη Διασφάλιση του Απορρήτου των Επικοινωνιών από ειδικά εξουσιοδοτημένους προς τούτο εργαζόμενους του υπόχρεου προσώπου, αυτοί θα πρέπει να είναι κατάλληλα εκπαιδευμένοι και να λαμβάνονται υπόψη παράγοντες αντικειμενικότητας και αμεροληψίας. Ενδεικτικά αναφέρεται ότι οι ελεγκτές δεν θα πρέπει να ανήκουν στο Τμήμα ή τη Διεύθυνση της οποίας τα συστήματα ελέγχονται ή να έχουν συμμετάσχει στην ανάπτυξη κώδικα και στην εγκατάσταση ή τη λειτουργία του υπό έλεγχο συστήματος.
11.2.4. Οι αρμοδιότητες των εργαζομένων του υπόχρεου προσώπου, οι οποίοι διενεργούν τους ελέγχους, πρέπει να είναι εκ των προτέρων καθορισμένες και να περιγράφονται αναλυτικά σε σχετικό αρχείο, το οποίο τηρείται από το υπόχρεο πρόσωπο.
11.3. Προετοιμασία Ελέγχου
Τα στάδια προετοιμασίας κάθε ελέγχου περιλαμβάνουν κατ’ ελάχιστον τα ακόλουθα:
i. Τον καθορισμό του συστήματος και των διαδικασιών/μηχανισμών διασφάλισης του απορρήτου που θα ελεγχθούν και των ελέγχων για την εύρεση τεχνικών ευπαθειών
ii. Το χρονοδιάγραμμα διεξαγωγής του ελέγχου
iii. Τη συλλογή των απαιτούμενων πληροφοριών και δεδομένων και
iv. Τον ορισμό των προσώπων που απαρτίζουν την Ομάδα Ελέγχου.
Τα στοιχεία της παρούσας παραγράφου καταγράφονται σε σχετικό αρχείο, το οποίο διατηρείται από το υπόχρεο πρόσωπο.
11.4. Διεξαγωγή Ελέγχου
11.4.1. Τα στάδια διεξαγωγής κάθε ελέγχου, τα σχετικά ευρήματα και οι προτεινόμενες βελτιώσεις ή τροποποιήσεις καταγράφονται σε ειδικό αρχείο, το οποίο διατηρείται από το υπόχρεο πρόσωπο, ακόμη και στην περίπτωση που δεν υπάρχουν ευρήματα από τον έλεγχο.
11.4.2. Η απόδοση σε ένα ή περισσότερα μέλη της Ομάδας Ελέγχου δικαιωμάτων πρόσβασης σε εργαλεία λογισμικού, συστήματα (αναφέρονται ενδεικτικά τα συστήματα ανίχνευσης επισυνδέσεων) ή χώρους των εγκαταστάσεων, θα πρέπει να επιτρέπεται μόνο για το χρονικό διάστημα του αντίστοιχου ελέγχου και να γίνεται σύμφωνα με τις αντίστοιχες Πολιτικές Ασφάλειας του υπόχρεου προσώπου.
11.5. Αποτελέσματα Ελέγχου
Σε περίπτωση που προκύψουν ευρήματα από τον έλεγχο, το υπόχρεο πρόσωπο ορίζει τις απαιτούμενες ενέργειες (όπως είναι ενδεικτικά η αναθεώρηση διαδικασιών/οδηγιών, η επικαιροποίηση λογισμικού, η τροποποίηση παραμέτρων τεχνικής διαμόρφωσης, η μερική ή ολική αντικατάσταση συστήματος ή εφαρμογής), το χρονοδιάγραμμα πραγματοποίησής τους, τις αρμοδιότητες των εργαζομένων ή των συνεργατών του για την πραγματοποίηση των διορθωτικών ενεργειών και τα πρόσωπα που θα είναι ειδικά εξουσιοδοτημένα να ελέγχουν την ορθή υλοποίηση των ενεργειών της παρούσας παραγράφου. Αναλόγως της φύσης και της κρισιμότητας των ευρημάτων, το υπόχρεο πρόσωπο ενεργοποιεί την Πολιτική Διαχείρισης Περιστατικών Ασφάλειας, σύμφωνα με το άρθρο 9 του παρόντος Κανονισμού.
11.6. Διαδικασία Ελέγχου Εφαρμογής της Πολιτικής Ασφάλειας για τη Διασφάλιση του Απορρήτου των Επικοινωνιών
11.6.1. Το υπόχρεο πρόσωπο πρέπει να διαθέτει και να εφαρμόζει διαδικασία στην οποία αποτυπώνονται τα στάδια προετοιμασίας, διεξαγωγής, αποτελεσμάτων και διορθωτικών ενεργειών ελέγχου, σύμφωνα με τα αναφερόμενα στο παρόν άρθρο, και να διατηρεί, για όλους τους διεξαχθέντες ελέγχους, τα αντίστοιχα αρχεία.
