Α. ΑΝΑΓΝΩΡΙΣΗ
Οι απαιτήσεις της κατηγορίας «Αναγνώριση» είναι απαραίτητες για την κατανόηση του επιχειρηματικού πλαισίου, των πόρων που υποστηρίζουν τις βασικές υπηρεσίες και την σχετική διακινδύνευση για την ασφάλεια των συστημάτων δικτύου και πληροφοριών και επιτρέπουν στον Οργανισμό να εστιάσει τις προσπάθειές του και να διαχειριστεί τους πόρους του, με αποτελεσματικό και αποδοτικό τρόπο. Ειδικότερα θα πρέπει να πληρούνται οι κάτωθι απαιτήσεις.
1. Επιχειρησιακό περιβάλλον
Η αποστολή, οι στόχοι, τα ενδιαφερόμενα μέρη, οι δραστηριότητες και οι λοιπές απαιτήσεις (κανονιστικές, νομικές, περιβαλλοντικές, συμβατικές και λειτουργικές) του Οργανισμού που σχετίζονται με τις βασικές του υπηρεσίες, εντοπίζονται και καταγράφονται.
Αυτές οι πληροφορίες χρησιμοποιούνται ως βάση κατά τη διεργασία διαχείρισης διακινδύνευσης σε όλα τα σχετικά στάδια (καθορισμός απαιτήσεων, αναγνώριση, ανάλυση, αποτίμηση και αντιμετώπιση διακινδύνευσης).
2. Διαχείριση πόρων.
Όλοι οι πόροι που απαιτούνται για την παροχή ή υποστήριξη βασικών υπηρεσιών του Οργανισμού θα πρέπει να αναγνωρίζονται, να αναλύονται και να καταγράφονται σε κατάλληλο και ενημερωμένο κατάλογο. Αυτός περιλαμβάνει ενδεικτικά, μεταξύ άλλων, δεδομένα, προσωπικό, δομικά στοιχεία, συσκευές, συστήματα, εγκαταστάσεις, προμηθευτές, διαδικασίες, οδηγούς χρήσης, διαμορφώσεις κ.α.
3. Αποτίμηση διακινδύνευσης
Η διακινδύνευση για την ασφάλεια των συστημάτων δικτύου και πληροφοριών αναγνωρίζεται, αναλύεται και αποτιμάται μέσω κατάλληλης, τεκμηριωμένης και αποτελεσματικής διεργασίας.
4. Στρατηγική διαχείρισης διακινδύνευσης
Καθορίζονται οι προτεραιότητες, περιορισμοί, ανοχές διακινδύνευσης και λοιπές παραδοχές οι οποίες χρησιμοποιούνται για την αιτιολόγηση των αποφάσεων σχετικά με τα επιλεγόμενα μέτρα διαχείρισης και μετριασμού της διακινδύνευσης για την ασφάλεια των συστημάτων δικτύου και πληροφοριών.
5. Διαχείριση διακινδύνευσης αλυσίδας εφοδιασμού
Η διακινδύνευση που αφορά στην αλυσίδα εφοδιασμού (προμηθευτές υλικού ή υπηρεσιών) εντοπίζεται, αξιολογείται και μετριάζεται. Ειδικότερα διασφαλίζεται, μέσω Συμφωνιών Επιπέδου Υπηρεσιών (Service Level Agreements - SLA) ή/και επιθεωρήσεις, ότι οι προμηθευτές εφαρμόζουν κατάλληλα και αναλογικά μέτρα ασφάλειας.
6. Αυτοαξιολόγηση - Βελτίωση
Για την παρακολούθηση και συνεχή βελτίωση της ασφάλειας των συστημάτων δικτύου και πληροφοριών, συντάσσεται αναφορά αυτοαξιολόγησης συνοδευόμενης και από σχετικό πλάνο διορθωτικών ή βελτιωτικών ενεργειών, τα οποία κοινοποιούνται στην Εθνική Αρχή Κυβερνοασφάλειας.
Η αυτοαξιολόγηση διενεργείται σε ετήσια βάση ή κατόπιν πρόκλησης σοβαρής διατάραξης της παροχής βασικής υπηρεσίας από τυχόν συμβάν, με τη χρήση κατάλληλου Οδηγού που εκδίδει και αναθεωρεί η Εθνική Αρχή Κυβερνοασφάλειας.
Β. ΠΡΟΣΤΑΣΙΑ
Οι απαιτήσεις της κατηγορίας «Προστασία» είναι απαραίτητες προκειμένου να διασφαλιστούν όλοι οι πόροι (άνθρωποι, διαδικασίες και τεχνολογίες) που υποστηρίζουν τις βασικές υπηρεσίες του Οργανισμού. Τα μέτρα που επιλέγονται για την ικανοποίηση των απαιτήσεων αυτής της κατηγορίας, θα πρέπει να λαμβάνουν υπόψη την στρατηγική διαχείρισης διακινδύνευσης. Ειδικότερα θα πρέπει να πληρούνται οι κάτωθι απαιτήσεις.
7. Πολιτικές, διεργασίες και διαδικασίες προστασίας βασικών υπηρεσιών.
Η συνολική οργανωτική προσέγγιση για την διασφάλιση των συστημάτων δικτύου και πληροφοριών που υποστηρίζουν την παροχή βασικών υπηρεσιών του Οργανισμού, καθορίζεται και τεκμηριώνεται μέσω κατάλληλων πολιτικών, διεργασιών και διαδικασιών. Ειδικότερα, η πολιτική ασφάλειας του Οργανισμού θα πρέπει να είναι συμβατή και να ικανοποιεί κατ’ ελάχιστο την Ενιαία Πολιτική Ασφάλειας και τις απαιτήσεις ασφάλειας που εκδίδει η Εθνική Αρχή Κυβερνοασφάλειας.
8. Διαχείριση ταυτότητας και έλεγχος πρόσβασης.
Η πρόσβαση (φυσική ή με ηλεκτρονικά μέσα) στα συστήματα δικτύου και πληροφοριών και στις συναφείς εγκαταστάσεις, περιορίζεται στους εξουσιοδοτημένους προς τούτο χρήστες, διεργασίες και συσκευές, σύμφωνα με την αρχή των λιγότερων προνομίων και διαχειρίζεται αναλογικά και σύμφωνα με την εκτιμώμενη διακινδύνευση. Για το σκοπό αυτό γίνεται χρήση κατάλληλων μηχανισμών αυθεντικοποίησης και διαδικασιών ελέγχου πρόσβασης.
9. Φυσική και περιβαλλοντική ασφάλεια.
Οι εγκαταστάσεις των κέντρων δεδομένων και των χώρων επεξεργασίας πληροφοριών διασφαλίζονται έναντι δυνητικής φυσικής ή περιβαλλοντικής διακινδύνευσης μέσω κατάλληλων και αναλογικών πολιτικών και μέτρων και σύμφωνα με τη στρατηγική διαχείρισης διακινδύνευσης.
10. Ασφάλεια συστημάτων και εφαρμογών.
Τα συστήματα και οι εφαρμογές εγκαθίστανται, αναπτύσσονται και διαχειρίζονται με τρόπο που λαμβάνει υπόψη τις αρχές της ασφάλειας «από τον σχεδιασμό» και «εξ ορισμού», και τηρούνται κατάλληλες και αναλογικές απαιτήσεις ασφάλειας σε όλο τον κύκλο της ζωής τους.
11. Ασφάλεια δεδομένων.
Τα δεδομένα διαχειρίζονται σύμφωνα με τη στρατηγική διαχείρισης διακινδύνευσης με σκοπό την προστασία της εμπιστευτικότητας, της ακεραιότητας και της διαθεσιμότητάς τους. Για το σκοπό αυτό εφαρμόζονται κατάλληλες πολιτικές και διαδικασίες.
12. Αντίγραφα ασφαλείας.
Τα δεδομένα τα οποία είναι απαραίτητα για την παροχή των βασικών υπηρεσιών διασφαλίζονται από πιθανή απώλειά τους μέσω της τήρησης αντιγράφων ασφαλείας σε κατάλληλη μορφή, η οποία δίνει τη δυνατότητα για άμεση ανάκτησή τους. Για το σκοπό αυτό εφαρμόζονται κατάλληλες πολιτικές, διαδικασίες και αυτοματοποιημένα συστήματα λήψης και διατήρησης αντιγράφων ασφαλείας.
13. Τεχνολογίες ασφάλειας.
Για την διασφάλιση της ανθεκτικότητας των συστημάτων έναντι απειλών εγκαθίστανται και χρησιμοποιούνται κατάλληλες και αναλογικές προς το σκοπό αυτό τεχνολογικές λύσεις ασφαλείας. Ειδικότερα, ενθαρρύνεται η χρήση τεχνολογικών λύσεων σχετικά με ανίχνευση, καταγραφή και ανάλυση απειλών.
14. Δοκιμές συστημάτων.
Για την διασφάλιση της ανθεκτικότητας των συστημάτων που υποστηρίζουν βασικές υπηρεσίες έναντι απειλών, εφαρμόζονται κατάλληλες διαδικασίες δοκιμών και τεχνικών ελέγχων.
15. Διαχείριση Αλλαγών.
Οι αλλαγές που γίνονται στα συστήματα και τα δομικά στοιχεία που υποστηρίζουν βασικές υπηρεσίες ακολουθούν συγκεκριμένη και καταγεγραμμένη διαδικασία, ώστε να διατηρείται το επίπεδο διακινδύνευσης εντός των ορίων που καθορίζονται στη στρατηγική διαχείρισης διακινδύνευσης και να λαμβάνονται πρόσθετα μέτρα ασφάλειας όταν αυτό απαιτείται.
16. Ευαισθητοποίηση και κατάρτιση.
Το προσωπικό και οι συνεργάτες οι οποίοι χειρίζονται ή υποστηρίζουν τα συστήματα πληροφοριών και δικτύων ενημερώνονται και εκπαιδεύονται κατάλληλα, ώστε να εκπληρώνουν τα καθήκοντά τους με τρόπο που να διατηρεί και να προάγει την ασφάλεια των συστημάτων αυτών. Για το σκοπό αυτό εφαρμόζεται κατάλληλη πολιτική σχετικά με τη διενέργεια ή συμμετοχή σε τακτικά προγράμματα και δράσεις ευαισθητοποίησης ή εκπαίδευσης.
Γ. ΑΝΤΙΜΕΤΩΠΙΣΗ
Οι απαιτήσεις της κατηγορίας «Αντιμετώπιση» είναι απαραίτητες για την ανίχνευση, την απόκριση, και την εν γένει διαχείριση ενός συμβάντος ασφάλειας που ενδέχεται να επηρεάσει την παροχή βασικών υπηρεσιών του Οργανισμού. Παράλληλα αυτή η κατηγορία προωθεί τη μείωση του αντίκτυπου από ένα περιστατικό ασφάλειας, μέσω της διασφάλισης της συνέχειας και της αποκατάστασης της παροχής βασικών υπηρεσιών του Οργανισμού σε αποδεκτό και προκαθορισμένο επίπεδο.
17. Ανίχνευση απειλών.
Οι απειλές και τα συμβάντα που δύναται να επηρεάσουν την ασφάλεια των συστημάτων δικτύου και πληροφοριών ανιχνεύονται έγκαιρα μέσω κατάλληλων τεχνολογικών λύσεων ασφάλειας ή σχετικών διαδικασιών.
18. Διαχείριση Περιστατικών.
Η έγκαιρη ανταπόκριση, ανάλυση και διαχείριση περιστατικών ασφαλείας με πραγματικές ή δυνητικές δυσμενείς επιπτώσεις θα πρέπει να διενεργείται βάσει κατάλληλης πολιτικής και σύμφωνα με προκαθορισμένη διαδικασία.
Ειδικότερα στην περίπτωση που αυτά αξιολογούνται ως κρίσιμα, θα πρέπει να ενημερώνονται οι αρμόδιες ομάδες αντιμετώπισης (CSIRTs ή CERTs), η Εθνική Αρχή Κυβερνοασφάλειας και οι λοιποί εμπλεκόμενοι φορείς και να διευκολύνεται η συνεργασία και η παροχή πληροφοριών, σύμφωνα και με όσα ορίζονται στο ν. 4577/2018 (Α΄ 199), όπως αυτός ισχύει.
19. Επιχειρησιακή συνέχεια.
Διασφαλίζεται η δυνατότητα παροχής των βασικών υπηρεσιών του Οργανισμού, σε αποδεκτό και προσυμφωνημένο επίπεδο, σε περίπτωση που έχει εκδηλωθεί κάποιο περιστατικό ασφάλειας. Για το σκοπό αυτό διερευνώνται εναλλακτικοί τρόποι παροχής των υπηρεσιών, λαμβάνονται κατάλληλα οργανωτικά και τεχνικά μέτρα και καταρτίζεται σχετικό, καταγεγραμμένο και προκαθορισμένο σχέδιο.
20. Ανάκαμψη από καταστροφές.
Διασφαλίζεται η ανάκαμψη και αποκατάσταση των συστημάτων δικτύου και πληροφοριών των βασικών υπηρεσιών του Οργανισμού, τα οποία επηρεάζονται από περιστατικά ασφάλειας, εντός προκαθορισμένου και αποδεκτού χρονικού διαστήματος. Για το σκοπό αυτό λαμβάνονται κατάλληλα οργανωτικά και τεχνικά μέτρα και καταρτίζεται σχετικό, καταγεγραμμένο και προκαθορισμένο σχέδιο.
