1. Έλεγχος πρόσβασης

 

Διαχείριση λογαριασμών χρηστών

Ο φορέας πρέπει να υιοθετήσει συγκεκριμένες διαδικασίες για τη διαχείριση των λογαριασμών των χρηστών, οι οποίες πρέπει να περιλαμβάνουν κατ’ ελάχιστο διαδικασίες για την προσθήκη, μεταβολή ιδιοτήτων και διαγραφή λογαριασμού. Πρέπει να αποδίδεται διαφορετικός λογαριασμός πρόσβασης σε κάθε χρήστη.


Μηχανισμοί ελέγχου πρόσβασης

Πρέπει να αναπτυχθούν μηχανισμοί που να μην επιτρέπουν προσβάσεις σε πόρους/εφαρμογές/αρχεία από μη εξουσιοδοτημένους χρήστες: ουσιαστικά, πρέπει να υπάρχουν κατάλληλα μέτρα που να εξασφαλίζουν την εγγυημένα ορθή ταυτοποίηση και αυθεντικοποίηση των χρηστών, λαμβάνοντας υπόψη τις υπάρχουσες μεθόδους ταυτοποίησης πολλών παραγόντων και αξιοποιώντας τες όπου κρίνεται απαραίτητο, ενώ ταυτοχρόνως πρέπει να γίνεται σε τεχνικό επίπεδο συγκεκριμένη εκχώρηση δικαιωμάτων/εξουσιοδοτήσεων σε κάθε χρήστη.


Διαχείριση συνθηματικών

Ο φορέας οφείλει να υιοθετήσει συγκεκριμένη πολιτική διαχείρισης των συνθηματικών των χρηστών, η οποία να περιλαμβάνει τουλάχιστον κανόνες αποδοχής για το ελάχιστο μήκος και επιτρεπτούς χαρακτήρες των συνθηματικών (πολυπλοκότητα συνθηματικού), την ιστορικότητα του συνθηματικού και τη συχνότητα αλλαγής του.
Τα συνθηματικά δεν πρέπει να είναι κάπου καταγεγραμμένα στην πραγματική τους μορφή (ούτε σε φυσικό ούτε σε ηλεκτρονικό αρχείο). Εάν τα συνθηματικά διατηρούνται ηλεκτρονικά στο πλαίσιο της διαδικασίας ταυτοποίησης-αυθεντικοποίησης των χρηστών, τότε πρέπει να είναι σε μη αναγνώσιμη μορφή από την οποία δεν πρέπει να είναι εφικτή η ανάκτηση της αρχικής τους μορφής. Επίσης, οι χρήστες πρέπει να υποχρεώνονται να αλλάζουν οι ίδιοι το (προκαθορισμένο) συνθηματικό που τους ανατίθεται εξαρχής, καθώς επίσης και να υποχρεώνονται να αλλάζουν το συνθηματικό τους ανά τακτά χρονικά διαστήματα.


Μη επιτυχημένες προσπάθειες πρόσβασης

Πρέπει να υπάρχουν κατάλληλοι μηχανισμοί ώστε να απαγορεύεται η πρόσβαση σε έναν εξουσιοδοτημένο χρήστη, μετά από ένα πλήθος επαναλαμβανόμενων αποτυχημένων αιτήσεων πρόσβασης (για παράδειγμα, υποβολή λανθασμένων συνθηματικών). Για έναν τέτοιο χρήστη, πρέπει να επανεξετάζεται η εξουσιοδότησή του για να έχει δικαίωμα πρόσβασης.


Αδρανοποιημένος υπολογιστής

Μέτρα πρέπει να ληφθούν προς αποφυγή περιπτώσεων που θα δύναται κάποιος να έχει εύκολα πρόσβαση οποιουδήποτε τύπου σε προσωπικά δεδομένα, λόγω ενός ανοιχτού υπολογιστή, ο οποίος μένει χωρίς επίβλεψη (έστω και για λίγα λεπτά). Προς αυτή την κατεύθυνση μπορούν ενδεικτικά να αναπτυχθούν διαδικασίες αυτόματης αποσύνδεσης (μετά από ένα εύλογο χρονικό διάστημα αδράνειας) ή/και ενεργοποίηση της προφύλαξης οθόνης (screen saver) του υπολογιστή – για την απενεργοποίηση της οποίας θα απαιτείται χρήση συνθηματικού.

 

2. Αντίγραφα ασφαλείας

 

Τήρηση αντιγράφων ασφαλείας

Ο φορέας πρέπει να αναπτύξει συγκεκριμένη πολιτική για τη λήψη και διαχείριση των αντιγράφων ασφαλείας. Η πολιτική πρέπει να περιλαμβάνει τουλάχιστον τους κανόνες/διαδικασίες που αφορούν τα εξής: την επιλογή των κρίσιμων πόρων (εφαρμογές, λειτουργικά συστήματα, αρχεία, δεδομένα αρχείων χρηστών, κ.λπ.) που χρήζουν δημιουργίας αντιγράφων ασφαλείας, τη συχνότητα της δημιουργίας/λήψης των αντιγράφων ασφαλείας (ανά τακτά διαστήματα, σε ημερήσια ή εβδομαδιαία βάση, ανάλογα με το μέγεθος και το είδος των δεδομένων, καθώς και με το πότε αυτά μεταβάλλονται), την κατάλληλη επισήμανση  αυτών, την ασφαλή αποθήκευσή τους και την ορθή ανάκτηση των δεδομένων από τα αντίγραφα ασφαλείας (συμπεριλαμβανομένου του περιοδικού ελέγχου ακεραιότητας/αξιοπιστίας των αντιγράφων που λαμβάνονται). Τα παραπάνω πρέπει να εξασφαλίζουν ότι σε περίπτωση εκτάκτων περιστατικών ασφαλείας και απώλειας ή καταστροφής δεδομένων για άλλη αιτία (π.χ. αστοχία υλικού), η διαθεσιμότητα και ακεραιότητα αυτών παραμένει.


Τόπος τήρησης

Κάποιο αντίγραφο ασφαλείας πρέπει να διατηρείται σε διαφορετικό χώρο/φυσική τοποθεσία από τα πρωτογενή δεδομένα, ο οποίος να διαθέτει μέτρα ασφαλείας ανάλογα με τα μέτρα που υιοθετούνται για τα πρωτογενή δεδομένα. Επίσης, να λαμβάνονται μέτρα για την ασφαλή μεταφορά του.

 

3. Διαμόρφωση υπολογιστών

 

Προστασία από κακόβουλο λογισμικό

Πρέπει να υπάρχει προστασία από κακόβουλο λογισμικό όλων των υπολογιστών (τόσο των προσωπικών υπολογιστών των υπαλλήλων όσο και των διακομιστών (servers)) που τηρούν ή επεξεργάζονται δεδομένα προσωπικού χαρακτήρα. Αυτό μπορεί να επιτευχθεί (πέραν της σωστής χρήσης αυτών από τους υπαλλήλους) με αντιβιοτικά προγράμματα (antivirus), καθώς και με χρήση προγραμμάτων τειχών ασφαλείας (firewall). Τόσο το antivirus όσο και τo firewall πρέπει να διαθέτουν ανά πάσα στιγμή τις πλέον πρόσφατες ενημερώσεις. Επιπλέον, στο λειτουργικό σύστημα των υπολογιστών (εφόσον είναι συνδεδεμένοι στο Διαδίκτυο) πρέπει να εγκαθίστανται ανά τακτά διαστήματα ενημερώσεις ασφαλείας.


Ρυθμίσεις υπολογιστών

Δεν πρέπει να επιτρέπονται ενέργειες απλών χρηστών στους υπολογιστές οι οποίες επηρεάζουν τη συνολική τους διαμόρφωση (π.χ. απενεργοποίηση προγραμμάτων ανίχνευσης ιών, εγκατάσταση νέων προγραμμάτων ή αλλαγή ρυθμίσεων υπαρχόντων, κ.λπ.). Πρέπει να γίνεται περιοδικός έλεγχος του εγκατεστημένου λογισμικού για τον τυχόν εντοπισμό προγραμμάτων που έχουν εγκατασταθεί εκτός των εγκεκριμένων διαδικασιών.


Υπολογιστές-διακομιστές

Σε περίπτωση που κάποιος υπολογιστής χρησιμοποιείται σαν κεντρικός διακομιστής (server) για άλλους υπολογιστές, τότε δεν θα πρέπει να μπορεί να χρησιμοποιείται ως σταθμός εργασίας από κάποιον χρήστη.


Σύνδεση αποσπώμενων μέσων

Οι ηλεκτρονικοί υπολογιστές που χρησιμοποιούνται από τους τελικούς χρήστες δεν πρέπει να διαθέτουν δυνατότητα εξαγωγής δεδομένων με τη χρήση αποσπώμενων μέσων (π.χ. USB, CD/DVD) – εκτός αν υπάρχει έγκριση από τον Υπεύθυνο Ασφαλείας (ή άλλης μορφής έγκριση, μέσω διαδικασίας που προβλέπεται στην πολιτική ασφαλείας).


Υπολογιστές με πρόσβαση στο Διαδίκτυο

Δεν πρέπει να αποθηκεύονται δεδομένα προσωπικού χαρακτήρα σε υπολογιστές που έχουν σύνδεση με το διαδίκτυο (εκτός αν κάτι τέτοιο είναι απολύτως απαραίτητο στο πλαίσιο του ρόλου/αρμοδιοτήτων που έχουν ανατεθεί στο χρήστη του υπολογιστή).

 

4. Αρχεία καταγραφής (log files)


Τήρηση και έλεγχος αρχείων καταγραφής

Στα κρίσιμα συστήματα, θα πρέπει να υπάρχουν διαδικασίες για την τήρηση και τον έλεγχο των αρχείων καταγραφής όλων των ενεργειών (log files) των χρηστών, συμπεριλαμβανομένων και των ενεργειών των διαχειριστών των συστημάτων, καθώς και των συμβάντων ασφαλείας. Πρέπει να διασφαλίζεται η προστασία και η ακεραιότητα των αρχείων αυτών.
Στα αρχεία αυτά δύναται να έχουν πρόσβαση ο υπεύθυνος ασφαλείας, οι διαχειριστές συστημάτων και όποια άλλα μέλη του προσωπικού είναι επιφορτισμένα με αρμοδιότητες διαχείρισης περιστατικών ασφαλείας κατόπιν έγγραφης εξουσιοδότησης.


Η πρόσβαση στα αρχεία καταγραφής πρέπει επίσης να καταγράφεται και να υπόκειται στους ίδιους περιορισμούς με τα υπόλοιπα αρχεία καταγραφής.


Ειδικές ενέργειες που πρέπει να καταγράφονται

Πρέπει να ληφθεί μέριμνα ώστε στα αρχεία καταγραφής ενεργειών να τηρούνται οπωσδήποτε, κατ’ ελάχιστο, τα εξής: το αναγνωριστικό του χρήστη που αιτήθηκε την προσπέλαση δεδομένων προσωπικού χαρακτήρα, η ημερομηνία και ώρα του σχετικού αιτήματος, το σύστημα μέσω του οποίου αιτήθηκε την πρόσβαση (υπολογιστής, πρόγραμμα λογισμικού, κ.λπ.), καθώς και αν τελικά προσπέλασε τα αρχεία που αιτήθηκε. Επίσης, πρέπει να καταγράφονται και τα αιτήματα εκτύπωσης αρχείων με προσωπικά δεδομένα, καθώς και οι αλλαγές σε κρίσιμα αρχεία του συστήματος ή στα δικαιώματα των χρηστών. Επίσης, πρέπει να τηρούνται στοιχεία που αφορούν τις προσπάθειες μη εξουσιοδοτημένης πρόσβασης και τις αλλαγές στην παραμετροποίηση εφαρμογών και συστημάτων, τον προκαθορισμό κρίσιμων γεγονότων (events), η καταγραφή των οποίων θα επιβλέπεται άμεσα από τον υπεύθυνο ασφαλείας και τους διαχειριστές των συστημάτων και γενικότερα κάθε ενέργεια η οποία μπορεί να υποδηλώνει διενέργεια επίθεσης, όπως προσπάθειες καταγραφής των προσφερόμενων υπηρεσιών του συστήματος (port scanning).


Διαγραφή αρχείων καταγραφής

Δεν θα πρέπει να υφίσταται δυνατότητα διαγραφής των αρχείων καταγραφής του συστήματος από ένα μόνο άτομο. Τέτοια διαγραφή θα πρέπει να γίνεται με την παρουσία 2 τουλάχιστον ατόμων, τα οποία θα έχουν διαφορετικούς ρόλους (π.χ. υπεύθυνος ασφαλείας ή διοικητικός διευθυντής).

 

5. Ασφάλεια επικοινωνιών

 

Έλεγχος δικτυακών συσκευών

Πρέπει να εξασφαλίζεται επαρκής έλεγχος των συνδεόμενων στο δίκτυο συσκευών (ως προς την πρόσβαση σε αυτές αλλά και τη χρήση τους). Η σύνδεση και χρήση συσκευών των χρηστών (byod) πρέπει να ελέγχεται και να περιορίζεται κατάλληλα.


Απομακρυσμένη πρόσβαση

Ο φορέας πρέπει να υιοθετήσει συγκεκριμένη διαδικασία για τη διαχείριση της απομακρυσμένης πρόσβασης σε συστήματα (π.χ. από εταιρείες συντήρησης) μέσω ασφαλών καναλιών με δυνατή ταυτοποίηση/αυθεντικοποίηση και κρυπτογράφηση. Προς τούτο, επισημαίνεται ιδιαίτερα ότι οι τεχνολογίες απομακρυσμένης πρόσβασης (π.χ. Remote Desktop, VNC, ασύρματη σύνδεση, κ.λπ.) πρέπει να επιτρέπονται μόνο σε εξουσιοδοτημένα πρόσωπα για τα οποία είναι απόλυτα απαραίτητες στο πλαίσιο των αρμοδιοτήτων τους. Συνεπώς, η απομακρυσμένη πρόσβαση πρέπει να γίνεται υπό την εποπτεία και έλεγχο του υπευθύνου επεξεργασίας (π.χ. των διαχειριστών ή/και του υπευθύνου ασφαλείας) και να καταγράφεται.


Κανάλι επικοινωνίας

Πρέπει να εξασφαλίζεται ότι η επικοινωνία μεταξύ υπολογιστών/κόμβων γίνεται μέσω επαρκώς ασφαλούς καναλιού επικοινωνίας (π.χ. με χρήση κρυπτογράφησης ή ιδιωτικών γραμμών ελεγχόμενης φυσικής πρόσβασης). Κάθε παρεχόμενη στο κοινό διαδικτυακή υπηρεσία, στο πλαίσιο της οποίας ο χρήστης εισάγει προσωπικά του δεδομένα (π.χ. αγορά σε ηλεκτρονικό κατάστημα, ηλεκτρονική ταυτοποίηση χρήστη κ.λπ.) θα πρέπει να παρέχεται μέσω κατάλληλου διαδικτυακού πρωτοκόλλου ασφαλείας (π.χ. κατάλληλα ρυθμισμένο TLS).


Πρωτόκολλα δικτύου

Πρέπει να αποφεύγεται η χρήση ευπαθών ως προς την ασφάλεια πρωτοκόλλων όπως FTP, telnet (όπου δεν γίνεται κρυπτογράφηση) και, όταν υπηρεσίες τέτοιων πρωτοκόλλων είναι αναγκαίες, να γίνεται χρήση των αντίστοιχων ασφαλών (όπως, για παράδειγμα, SFTP, SSH).


Περιμετρική ασφάλεια

Πρέπει να υπάρχει διαδικασία για τον επαρκή έλεγχο των δικτυακών συνδέσεων του εσωτερικού δικτύου του υπευθύνου επεξεργασίας από και προς το διαδίκτυο ή άλλα εξωτερικά, μη έμπιστα, δίκτυα όπως μέσω του σημείου ελέγχου της περιμέτρου (firewall). Οι συνδέσεις που ενεργοποιούνται μέσω του firewall και οι υπηρεσίες που εξυπηρετούν πρέπει να εγκρίνονται από τον υπεύθυνο ασφαλείας. Πρέπει, επίσης, να τηρείται επικαιροποιημένος κατάλογος με τις εγκεκριμένες συνδέσεις από και προς το δίκτυο του υπευθύνου επεξεργασίας και τις υπηρεσίες που εξυπηρετούν.

 

6. Ασφάλεια αποσπώμενων μέσων αποθήκευσης

 

Χρήση κρυπτογράφησης

Πρέπει να υπάρχουν διαδικασίες για την αποτελεσματική κρυπτογράφηση (επιλογή σύγχρονων και ισχυρών αλγορίθμων κρυπτογράφησης, κατάλληλο μέγεθος κλειδιών και τεχνικές διαχείρισης αυτών, κ.λπ.) αρχείων με προσωπικά δεδομένα που τηρούνται σε φορητά αποθηκευτικά μέσα (π.χ. USB δίσκους, κ.ο.κ.), αφού για αυτές τις περιπτώσεις ο κίνδυνος διαρροής δεδομένων αυξάνεται.

 

7. Ασφάλεια λογισμικού

 

Σχεδιασμός εφαρμογών

Ο σχεδιασμός των εφαρμογών που χρησιμοποιούνται για την επεξεργασία προσωπικών δεδομένων πρέπει να πραγματοποιείται λαμβάνοντας υπόψη τις βασικές αρχές της προστασίας προσωπικών δεδομένων και να πραγματοποιείται με τρόπο σύμφωνο με τη λογική της προστασίας των δεδομένων ήδη από το σχεδιασμό και εξ ορισμού (άρθρο 25 ΓΚΠΔ). Ως εκ τούτου, οι εφαρμογές πρέπει τουλάχιστον να εξασφαλίζουν την αρχή της ελαχιστοποίησης των δεδομένων, της ακρίβειας των δεδομένων και του χρονικού περιορισμού, περιλαμβάνοντας από το στάδιο της σχεδίασής τους τη δυνατότητα της διαγραφής δεδομένων μετά το χρονικό διάστημα που απαιτείται για την πραγματοποίηση του σκοπού της επεξεργασίας. Επίσης, πρέπει να επιτρέπουν την υλοποίηση όλων των απαιτούμενων τεχνικών μηχανισμών ασφαλείας για την προστασία των δεδομένων από τυχαία ή αθέμιτη καταστροφή, τυχαία απώλεια, αλλοίωση, απαγορευμένη διάδοση ή πρόσβαση και κάθε άλλη μορφή αθέμιτης επεξεργασίας.


Ασφαλής ανάπτυξη εφαρμογών

Σε περίπτωση ανάπτυξης εφαρμογών, είτε εσωτερικά στον οργανισμό είτε από εξωτερικό συνεργάτη, θα πρέπει να προβλέπεται διαδικασία ασφαλούς υλοποίησης λογισμικού, ώστε να εντοπισθούν τυχόν ευπάθειες αυτού ως προς την ασφάλεια προτού αυτό μεταβεί σε λειτουργική φάση. Στις περιπτώσεις όπου η ανάπτυξη των εφαρμογών γίνεται από εξωτερικό συνεργάτη, θα πρέπει να υπάρχουν προδιαγραφές ασφαλείας της εφαρμογής στο έγγραφο περιγραφής απαιτήσεων λογισμικού, το οποίο εμπεριέχεται στη σύμβαση με τον εκάστοτε ανάδοχο.


Προστασία αρχείων λειτουργικών συστημάτων

Τα λειτουργικά αρχεία των συστημάτων (system files), τα δεδομένα ελέγχου συστημάτων (system test data), καθώς και ο πηγαίος κώδικας (source code) των προγραμμάτων λογισμικού πρέπει να ελέγχονται και να προστατεύονται από μη εξουσιοδοτημένη πρόσβαση ή τροποποίηση.

 

8. Διαχείριση αλλαγών

 

Πολιτική διαχείρισης αλλαγών

Ο φορέας πρέπει να ορίσει σαφή πολιτική διαχείρισης όλων των αλλαγών που πραγματοποιούνται στα πληροφοριακά συστήματα, η οποία να περιέχει κατ’ ελάχιστον: καταγραφή των αιτημάτων αλλαγής, καθορισμό των ρόλων που έχουν δικαίωμα έγκρισης των αλλαγών, καθορισμό των κριτηρίων αποδοχής της αλλαγής και χρονοδιάγραμμα υλοποίησης.


Περιβάλλον δοκιμών

Θα πρέπει να γίνεται δοκιμή των ενημερώσεων λογισμικού, τόσο σε επίπεδο επιμέρους εφαρμογών όσο και σε επίπεδο λειτουργικού συστήματος, σε δοκιμαστικό περιβάλλον. Προαιρετικά, ο φορέας μπορεί να εφαρμόσει κεντρική διαχείριση όλων των ενημερώσεων λογισμικού.
Η ανάπτυξη λογισμικού πρέπει να γίνεται σε δοκιμαστικό περιβάλλον, το οποίο να είναι απομονωμένο από το παραγωγικό σύστημα και επικαιροποιημένο. Κατά την ανάπτυξη ή αναβάθμιση λογισμικού και τη δοκιμή του θα πρέπει να χρησιμοποιούνται δοκιμαστικά και όχι πραγματικά δεδομένα ή δεδομένα του παραγωγικού συστήματος, εκτός εάν κάτι τέτοιο είναι απολύτως απαραίτητο και δεν υπάρχει εναλλακτική λύση. Αν είναι αναγκαίο μπορούν να χρησιμοποιηθούν πραγματικά δεδομένα σε ανωνυμοποιημένη μορφή ή διαφορετικά πρέπει να περιορίζονται στα απολύτως απαραίτητα για τους σκοπούς του ελέγχου.