Άρθρο 18 – Πολιτική Ασφαλείας Πληροφοριών

18.1 Γενικές απαιτήσεις

Η πολιτική ασφάλειας πληροφοριών ορίζεται με απόφαση του Φ.Ε. ή του οργάνου/ προσώπου που τον εκπροσωπεί νόμιμα, δημοσιεύεται και κοινοποιείται στην Ε.Ε.Ε.Π., στο σύνολο των εμπλεκόμενων εξωτερικών φορέων και στους υπαλλήλους του. Η πολιτική ασφάλειας πληροφοριών πληροί τις ακόλουθες απαιτήσεις:

α) υποβάλλεται σε αναθεώρηση ανά τακτά χρονικά διαστήματα και έκτακτα κάθε φορά που πραγματοποιούνται σημαντικές αλλαγές σε αυτή, ώστε να διασφαλίζεται αδιάλειπτα η πληρότητα και αποτελεσματικότητά της.

β) καθορίζει τα καθήκοντα του προσωπικού του Φ.Ε. και των εμπλεκόμενων εξωτερικών φορέων για τη λειτουργία και τη συντήρηση των συστημάτων.

18.2 Ασφαλείς Χώροι

α) Οι εγκαταστάσεις στις οποίες βρίσκονται τα πληροφορικά συστήματα και τα σχετικά συστήματα επικοινωνιών παρέχουν φυσική προστασία από πυρκαγιά, πλημμύρα, τυφώνα, σεισμού και άλλων φυσικών ή ανθρωπογενών καταστροφών.

β) Οι εγκαταστάσεις στις οποίες βρίσκονται τα συστήματα επεξεργασίας πληροφοριών διαθέτουν περιμέτρους ασφάλειας (εμπόδια, όπως π.χ. τοίχοι, είσοδοι ελεγχόμενες μέσω κάρτας ή στελεχωμένα γραφεία υποδοχής).

γ) Οι ασφαλείς χώροι προστατεύονται μέσω κατάλληλων ελέγχων εισόδου, διασφαλίζοντας ότι η εφαρμόζεται η Διαβαθμισμένη Πρόσβαση.

δ) Κάθε πρόσβαση καταγράφεται και τηρείται σε αρχείο.

ε) Οι ασφαλείς χώροι διαθέτουν σύστημα ανίχνευσης εισβολέων (intrusion detection system) και καταγράφονται οι προσπάθειες τυχόν μη εξουσιοδοτημένης πρόσβασης (logged).

18.3 Ασφάλεια Εξοπλισμού

α) Ο εξοπλισμός τοποθετείται σε ασφαλή χώρο σύμφωνα με την παρούσα.

β) Ο εξοπλισμός τροφοδοτείται με αδιάληπτη και επαρκή παροχή ρεύματος (primary power). Ο εξοπλισμός προστατεύεται από τυχόν διακοπές ρεύματος και άλλου είδους διαταραχές που ενδέχεται να προκληθούν λόγω σφαλμάτων στις υποστηρικτικές εφαρμογές/εγκαταστάσεις.

γ) Τα καλώδια ισχύος ή τηλεπικοινωνιών που μεταφέρουν δεδομένα ή υποστηρίζουν τις υπηρεσίες πληροφοριών προστατεύονται από τυχόν υποκλοπή ή βλάβη.

δ) Ο εξοπλισμός προστατεύεται από μεταβολές θερμοκρασίας που ενδέχεται να επηρεάσουν την ορθή και αδιάλειπτη λειτουργία του.

18.4 Πολιτική προστασίας από ανθρώπινη παρέμβαση

α) Ο Φ.Ε. εκπαιδεύει τους υπαλλήλους του και, κατά περίπτωση, τους υπεργολάβους/αναδόχους (contractors) και τους τρίτους χρήστες επί των πολίτικων και των διαδικασιών με βάση τη Διαβαθμισμένη Πρόσβαση.

β) Ο Φ.Ε. εφαρμόζει ειδικά τεκμηριωμένη πολιτική ελέγχου για κάθε είδους πρόσβαση στα συστήματα, η οποία επανεξετάζεται σε τακτικά ή/και έκτακτα διαστήματα.

γ) Η Διαβαθμισμένη Πρόσβαση των υπαλλήλων, των υπεργολάβων/αναδόχων και τρίτων χρηστών, στις πληροφορίες και τις εγκαταστάσεις επεξεργασίας των πληροφοριών αίρεται μετά τη λήξη της απασχόλησης, του συμβολαίου ή της σύμβασής τους, ή προσαρμόζεται στην εκάστοτε αλλαγή.

18.5 Υπηρεσίες τρίτων μερών

α) Οι συμφωνίες με τρίτα μέρη, συμπεριλαμβανομένης της πρόσβασης, επεξεργασίας, κοινοποίησης ή διαχείρισης των πληροφοριών ή των εγκαταστάσεων επεξεργασίας των πληροφοριών, ή η προσθήκη προϊόντων ή υπηρεσιών στις εγκαταστάσεις επεξεργασίας πληροφοριών του Φ.Ε. πρέπει να πληρούν το σύνολο των σχετικών απαιτήσεων ασφάλειας.

β) Οι υπηρεσίες και οι αναφορές που παρέχονται από τρίτα μέρη τελούν υπό παρακολούθηση, έλεγχο και αναθεώρηση σε τακτικά, κατ’ ελάχιστο σε ετήσια βάση, ή/και έκτακτα διαστήματα.

γ) Ο Φ.Ε. κατά τη διαχείριση της παροχής υπηρεσιών και τυχόν αλλαγών αυτών, συμπεριλαμβανομένης της διαχείρισης και της βελτίωσης των υπαρχόντων πολιτικών ασφάλειας πληροφοριών, διαδικασιών και ελέγχων, λαμβάνει υπόψην το βαθμό σπουδαιότητας των επιχειρησιακών συστημάτων και των εμπλεκόμενων διαδικασιών, καθώς και την επαναξιολόγηση των κινδύνων.

18.6 Διαχείριση Περιστατικών

Ο Φ.Ε. σχεδιάζει και εφαρμόζει σχέδια και διαδικασίες για την αντιμετώπιση τυχόν περιστατικών ασφάλειας προκειμένου να εξασφαλιστεί η άμεση, αποτελεσματική και συντονισμένη απόκριση σε αυτά.

18.7 Διαχείριση μέσων (assets)

τα οποία περιέχουν, επεξεργάζονται ή επικοινωνούν ελεγχόμενη πληροφορία,  συμπεριλαμβανομένων και εκείνων που περιλαμβάνουν το λειτουργικό περιβάλλον του συστήματος τυχερών παιγνίων με αλληλεπίδραση ή / και των συστατικών του:

α) χρεώνονται και ορίζεται για αυτά υπόλογος σύμφωνα με την πολιτική ασφαλείας των πληροφοριών.

β) καταρτίζεται απογραφή, η οποία θα συντηρείται, για όλα τα μέσα (assets) που κατέχουν ελεγχόμενα είδη.

β) ταξινομούνται βάση της κρισιμότητας τους, της ευαισθησίας τους, και της αξίας.

γ) Κάθε μέσο θα έχει ένα καθορισμένο «ιδιοκτήτη» (υπόλογο) (designated owner), ο οποίος θα είναι υπεύθυνος να διασφαλίζει ότι οι πληροφορίες και τα στοιχεία της απογραφής είναι κατάλληλα ταξινομημένα, και να καθορίζει και περιοδικά να επανεξετάζει τους περιορισμούς πρόσβασης και τις ταξινομήσεις.

δ) Προβλέπονται και εφαρμόζονται διαδικασίες διαχείρισης των αφαιρούμενων μέσων.

ε) Όλα τα μέσα αποθήκευσης υποβάλλονται σε έλεγχο για την ασφαλή χρήση τους και τη διασφάλιση της ασφαλούς διαγραφής των ευαίσθητων δεδομένων.

στ) Τα μέσα αποθήκευσης καταστρέφονται με τρόπο που διασφαλίζει τη μη διαρροή του περιεχομένου τους, όταν διακόπτεται οριστικά η χρήση τους και σύμφωνα με τις προβλεπόμενες διαδικασίες.

ζ) Προβλέπονται και εφαρμόζονται διαδικασίες διαχείρισης και αποθήκευσης πληροφοριών ώστε να προστατεύονται από τυχόν μη εξουσιοδοτημένη πρόσβαση και χρήση και σύμφωνα με τη Διαβαθμισμένη Πρόσβαση.

η) Η τεκμηρίωση του πληροφοριακού συστήματος προστατεύεται από τυχόν μη εξουσιοδοτημένη πρόσβαση και σύμφωνα με τη Διαβαθμισμένη Πρόσβαση.

18.8 Διαδικασίες ελέγχου αλλαγής (change control)

Οι διαδικασίες ελέγχου αλλαγής των προγραμμάτων διασφαλίζουν την εφαρμογή εκδόσεων των προγραμμάτων που είναι εγκεκριμένες και δοκιμασμένες στο παραγωγικό πληροφορικό σύστημα. Οι έλεγχοι αλλαγών του παραγωγικού συστήματος περιλαμβάνουν τα εξής:

α) Κατάλληλη μέθοδο ή μηχανισμό ελέγχου της έκδοσης λογισμικού για το σύνολο των στοιχείων λογισμικού.

β) Λεπτομέρειες σχετικά με την αιτία της αλλαγής.

γ) Λεπτομέρειες σχετικά με το πρόσωπο που πραγματοποιεί την αλλαγή.

δ) Πλήρη αντίγραφα ασφαλείας προηγούμενων εκδόσεων του λογισμικού.

18.9 Κύκλος ζωής ανάπτυξης λογισμικού

18.9.1 Οι ενημερώσεις κώδικα (patches) και οι λοιπές ενημερώσεις (updates) είναι δοκιμασμένες σε περιβάλλον πανομοιότυπα παραμετροποιημένο με το ΠΣ. Σε περίπτωση αδυναμίας έγκαιρης πραγματοποίησης διεξοδικής δοκιμής των ενημερώσεων κώδικα, εφαρμόζονται διαδικασίες διαχείρισης κινδύνου, απομονώνοντας ή αφαιρώντας το μη δοκιμασμένο κώδικα.

18.9.2 Προβλέπεται και εφαρμόζεται ειδική πολιτική για τις διαδικασίες αλλαγών έκτακτης ανάγκης (emergency change procedures), τύπων (migration) καθώς και διαχωρισμού των καθηκόντων περί αυτών και επικαιροποίησης των τεχνικών εγγράφων.

18.9.3 Το προσωπικό που θα ασχολείται με την ανάπτυξη λογισμικού δε θα πρέπει να έχει πρόσβαση στην προώθηση αλλαγών κώδικα στο περιβάλλον παραγωγής.

18.9.4 Πρέπει να υπάρχει τεκμηριωμένη μέθοδος επιβεβαίωσης ότι το λογισμικό δοκιμής (test software) δεν έχει αναπτυχθεί στο περιβάλλον παραγωγής (is not deployed to the production environment).

18.9.5 Για να αποτραπεί διαρροή των προσωπικών πληροφοριών αναγνώρισης, πρέπει να υπάρχει τεκμηριωμένη μέθοδος για να διασφαλιστεί ότι τα αρχικά δεδομένα μηχανής στο παραγωγικό περιβάλλον (raw production data) δεν χρησιμοποιούνται στις δοκιμές (testing).

18.10 Επιβεβαίωση ταυτότητας

Το ΠΣ επιβεβαιώνει την ταυτότητα, με ασφαλή μέθοδο, κάθε φυσικού προσώπου (χειριστές υπολογιστών κ.λπ.) και υπολογιστικού συστήματος που συνδέεται με αυτό.

18.11   Ανάπτυξη, δοκιμή, υποστήριξη και συντήρηση λογισμικού

Το λογισμικό που εγκαθίσταται σε πολλαπλές πλατφόρμες φέρει σε κάθε μία τον ίδιο κωδικό έκδοσης.

18.12   Ασφάλεια κώδικα

1) Λογισμικό κλειστού κώδικα. Ο κώδικας προστατεύεται από εξωτερικές παρεμβάσεις.
2) Λογισμικό ανοικτού κώδικα. Εάν το λογισμικό υποβάλλεται ως έργο ανοικτού κώδικα:
i. Η ομάδα ανάπτυξης του λογισμικού λαμβάνει έγκυρη άδεια προγραμματισμού ανοικτού κώδικα, προκειμένου να ταξινομηθεί στην κατηγορία υποβολών ανοικτού κώδικα.
ii. Εφαρμόζεται διαδικασία, η οποία εξασφαλίζει ότι δεν παραβιάζεται η αποκτηθείσα άδεια λογισμικού ανοικτού κώδικα και αποτρέπει τυχόν δημοσίευση των τροποποιήσεων κώδικα από τα ίδια τα άτομα που προέβησαν σε αυτές και οι οποίες μπορεί να έχουν ως αποτέλεσμα τη μεταβολή του επιπέδου ασφάλειας και ακεραιότητας του λογισμικού και του ΠΣ.
iii. Το ΠΣ ανιχνεύει τυχόν τροποποιήσεις κώδικα που πραγματοποιήθηκαν από τον τελικό χρήστη και αποτρέπει την εκτέλεση του λογισμικού, στην περίπτωση που οι εν λόγω τροποποιήσεις μπορούν να μεταβάλλουν την ακεραιότητα του Παιγνίου και/ή του ΠΣ.
3) Δυνατότητες παραμετροποίησης μέσω αλλαγών του κώδικα: Εφόσον επιτρέπεται η παραμετροποίηση του τοπικά εγκατεστημένου λογισμικού (client software), πληρούνται οι παρακάτω απαιτήσεις:
i. Το Παίγνιο που είναι εγκατεστημένο στο τερματικό (game client) δύναται να επιτρέπει την παραμετροποίηση από τον Παίκτη. Ωστόσο, εάν η παραμετροποίηση εφαρμόζεται μέσω αλλαγών του κώδικα, ο κώδικας αποτελείται αποκλειστικά από γλώσσες σήμανσης (markup languages).
ii. Απαγορεύεται η χρήση οποιασδήποτε γλώσσας προγραμματισμού για το συγκεκριμένο σκοπό, η οποία μπορεί να εκτελέσει εντολές σε επίπεδο πληροφοριακού συστήματος εποπτείας και ελέγχου.
Τυχόν πακέτα θεμάτων με δυνατότητα δημόσιας εγκατάστασης φιλοξενούνται και παρακολουθούνται από το ΠΣ καθώς και όλα τα θέματα που φορτώνονται επαληθεύονται, ώστε να διασφαλίζεται ότι δεν περιέχουν προγράμματα εκμετάλλευσης ευπαθών ατόμων ή κακόβουλο λογισμικό.

Το σύστημα ασφαλείας με τα στοιχεία καταγραφής δεδομένων (capturing), σφράγισης (sealing) και εξυπηρετητή αποθήκευσης που πληροί τις προδιαγραφές θα πρέπει να διαθέτει Πιστοποίηση κατά ISO 27001.

18.13 Προστασία αντιγραφής.

Η προστασία αντιγραφής για την αποτροπή της μη εξουσιοδοτημένης αλληλεπικάλυψης ή τροποποίησης του λογισμικού πρέπει να πληροί τουλάχιστον τα εξής:

α) Η μέθοδος προστασίας από την αντιγραφή είναι πλήρως τεκμηριωμένη και παρέχεται στο ανεξάρτητο εργαστηριακό εργαστήριο, προκειμένου να εξακριβωθεί ότι οι προστατευτικές εργασίες έχουν περιγραφεί ή

β) Το πρόγραμμα ή το στοιχείο που εμπλέκεται στην επιβολή της προστασίας αντιγραφής μπορεί να επαληθευτεί μεμονωμένα με τη μεθοδολογία που έχει εγκριθεί από την Αρχή.

  • 4 Φεβρουαρίου 2019, 13:29 | GML Interactive Limited
    Το βλέπω Θετικά/Αρνητικά:  

    18.12 Σχόλιο: Χρειάζεται να περιγραφεί καλύτερα ο όρος «μη εξουσιοδοτημένη αλληλεπικάλυψη» και το τί είναι το αναφερόμενο «ανεξάρτητο εργαστηριακό εργαστήριο».

  • 4 Φεβρουαρίου 2019, 13:28 | GML Interactive Limited
    Το βλέπω Θετικά/Αρνητικά:  

    18.9.3 Το προσωπικό που θα ασχολείται με την ανάπτυξη λογισμικού δε θα πρέπει να έχει πρόσβαση στην προώθηση αλλαγών κώδικα στο περιβάλλον παραγωγής.

    Σχόλιο: Προτείνουμε να διαμορφωθεί ως εξής:
    18.9.3 Το προσωπικό που θα ασχολείται με την ανάπτυξη λογισμικού δε θα πρέπει να έχει πρόσβαση στην προώθηση αλλαγών κώδικα στο περιβάλλον παραγωγής. Εξαίρεση αποτελεί η χρονικά περιορισμένη πρόσβαση στο πλαίσιο επειγόντων διορθωτικών ενεργειών και προγραμματισμένων εγκαταστασεων νεων εκδόσεων λογισμικού.

  • 1 Φεβρουαρίου 2019, 19:19 | bet365
    Το βλέπω Θετικά/Αρνητικά:  

    “18.8 Change control procedures
    Οι διαδικασίες ελέγχου αλλαγής των προγραμμάτων διασφαλίζουν την εφαρμογή εκδόσεων των προγραμμάτων που είναι εγκεκριμένες και δοκιμασμένες στο παραγωγικό πληροφορικό σύστημα. “

    Απαιτούνται περαιτέρω διευκρινίσεις – Ποιός είναι ο ορισμός “των προγραμμάτων” ;

    “18.13 Προστασία αντιγραφής “

    Απαιτούνται περαιτέρω διευκρινίσεις –ποίος είναι ο στόχος και οι απαιτήσεις της ¨Προστασίας αντιγραφής¨

  • 1 Φεβρουαρίου 2019, 12:36 | ΟΠΑΠ Α.Ε.
    Το βλέπω Θετικά/Αρνητικά:  

    Άρθρο 18 Πολιτική Ασφαλείας Πληροφοριών
    Απόψεις / Παρατηρήσεις – Προτάσεις:
    Στο άρθρο 18.1 προτείνεται η απαλοιφή της λέξης «δημοσιεύεται» ή η αντικατάστασή της από την λέξη «εκδίδεται», καθώς η πολιτική ασφάλειας πληροφοριών δεν θα πρέπει να είναι προσβάσιμη στο κοινό.