Άρθρο 18 – Πολιτική Ασφαλείας Πληροφοριών

18.1 Γενικές απαιτήσεις

Η πολιτική ασφάλειας πληροφοριών ορίζεται με απόφαση του Φ.Ε. ή του οργάνου/ προσώπου που τον εκπροσωπεί νόμιμα, δημοσιεύεται και κοινοποιείται στην Ε.Ε.Ε.Π., στο σύνολο των εμπλεκόμενων εξωτερικών φορέων και στους υπαλλήλους του. Η πολιτική ασφάλειας πληροφοριών πληροί τις ακόλουθες απαιτήσεις:

α) υποβάλλεται σε αναθεώρηση ανά τακτά χρονικά διαστήματα και έκτακτα κάθε φορά που πραγματοποιούνται σημαντικές αλλαγές σε αυτή, ώστε να διασφαλίζεται αδιάλειπτα η πληρότητα και αποτελεσματικότητά της.

β) καθορίζει τα καθήκοντα του προσωπικού του Φ.Ε. και των εμπλεκόμενων εξωτερικών φορέων για τη λειτουργία και τη συντήρηση των συστημάτων.

18.2 Ασφαλείς Χώροι

α) Οι εγκαταστάσεις στις οποίες βρίσκονται τα πληροφορικά συστήματα και τα σχετικά συστήματα επικοινωνιών παρέχουν φυσική προστασία από πυρκαγιά, πλημμύρα, τυφώνα, σεισμού και άλλων φυσικών ή ανθρωπογενών καταστροφών.

β) Οι εγκαταστάσεις στις οποίες βρίσκονται τα συστήματα επεξεργασίας πληροφοριών διαθέτουν περιμέτρους ασφάλειας (εμπόδια, όπως π.χ. τοίχοι, είσοδοι ελεγχόμενες μέσω κάρτας ή στελεχωμένα γραφεία υποδοχής).

γ) Οι ασφαλείς χώροι προστατεύονται μέσω κατάλληλων ελέγχων εισόδου, διασφαλίζοντας ότι η εφαρμόζεται η Διαβαθμισμένη Πρόσβαση.

δ) Κάθε πρόσβαση καταγράφεται και τηρείται σε αρχείο.

ε) Οι ασφαλείς χώροι διαθέτουν σύστημα ανίχνευσης εισβολέων (intrusion detection system) και καταγράφονται οι προσπάθειες τυχόν μη εξουσιοδοτημένης πρόσβασης (logged).

18.3 Ασφάλεια Εξοπλισμού

α) Ο εξοπλισμός τοποθετείται σε ασφαλή χώρο σύμφωνα με την παρούσα.

β) Ο εξοπλισμός τροφοδοτείται με αδιάληπτη και επαρκή παροχή ρεύματος (primary power). Ο εξοπλισμός προστατεύεται από τυχόν διακοπές ρεύματος και άλλου είδους διαταραχές που ενδέχεται να προκληθούν λόγω σφαλμάτων στις υποστηρικτικές εφαρμογές/εγκαταστάσεις.

γ) Τα καλώδια ισχύος ή τηλεπικοινωνιών που μεταφέρουν δεδομένα ή υποστηρίζουν τις υπηρεσίες πληροφοριών προστατεύονται από τυχόν υποκλοπή ή βλάβη.

δ) Ο εξοπλισμός προστατεύεται από μεταβολές θερμοκρασίας που ενδέχεται να επηρεάσουν την ορθή και αδιάλειπτη λειτουργία του.

18.4 Πολιτική προστασίας από ανθρώπινη παρέμβαση

α) Ο Φ.Ε. εκπαιδεύει τους υπαλλήλους του και, κατά περίπτωση, τους υπεργολάβους/αναδόχους (contractors) και τους τρίτους χρήστες επί των πολίτικων και των διαδικασιών με βάση τη Διαβαθμισμένη Πρόσβαση.

β) Ο Φ.Ε. εφαρμόζει ειδικά τεκμηριωμένη πολιτική ελέγχου για κάθε είδους πρόσβαση στα συστήματα, η οποία επανεξετάζεται σε τακτικά ή/και έκτακτα διαστήματα.

γ) Η Διαβαθμισμένη Πρόσβαση των υπαλλήλων, των υπεργολάβων/αναδόχων και τρίτων χρηστών, στις πληροφορίες και τις εγκαταστάσεις επεξεργασίας των πληροφοριών αίρεται μετά τη λήξη της απασχόλησης, του συμβολαίου ή της σύμβασής τους, ή προσαρμόζεται στην εκάστοτε αλλαγή.

18.5 Υπηρεσίες τρίτων μερών

α) Οι συμφωνίες με τρίτα μέρη, συμπεριλαμβανομένης της πρόσβασης, επεξεργασίας, κοινοποίησης ή διαχείρισης των πληροφοριών ή των εγκαταστάσεων επεξεργασίας των πληροφοριών, ή η προσθήκη προϊόντων ή υπηρεσιών στις εγκαταστάσεις επεξεργασίας πληροφοριών του Φ.Ε. πρέπει να πληρούν το σύνολο των σχετικών απαιτήσεων ασφάλειας.

β) Οι υπηρεσίες και οι αναφορές που παρέχονται από τρίτα μέρη τελούν υπό παρακολούθηση, έλεγχο και αναθεώρηση σε τακτικά, κατ’ ελάχιστο σε ετήσια βάση, ή/και έκτακτα διαστήματα.

γ) Ο Φ.Ε. κατά τη διαχείριση της παροχής υπηρεσιών και τυχόν αλλαγών αυτών, συμπεριλαμβανομένης της διαχείρισης και της βελτίωσης των υπαρχόντων πολιτικών ασφάλειας πληροφοριών, διαδικασιών και ελέγχων, λαμβάνει υπόψην το βαθμό σπουδαιότητας των επιχειρησιακών συστημάτων και των εμπλεκόμενων διαδικασιών, καθώς και την επαναξιολόγηση των κινδύνων.

18.6 Διαχείριση Περιστατικών

Ο Φ.Ε. σχεδιάζει και εφαρμόζει σχέδια και διαδικασίες για την αντιμετώπιση τυχόν περιστατικών ασφάλειας προκειμένου να εξασφαλιστεί η άμεση, αποτελεσματική και συντονισμένη απόκριση σε αυτά.

18.7 Διαχείριση μέσων (assets)

τα οποία περιέχουν, επεξεργάζονται ή επικοινωνούν ελεγχόμενη πληροφορία, συμπεριλαμβανομένων και εκείνων που περιλαμβάνουν το λειτουργικό περιβάλλον του συστήματος τυχερών παιγνίων με αλληλεπίδραση ή / και των συστατικών του:

α) χρεώνονται και ορίζεται για αυτά υπόλογος σύμφωνα με την πολιτική ασφαλείας των πληροφοριών.

β) καταρτίζεται απογραφή, η οποία θα συντηρείται, για όλα τα μέσα (assets) που κατέχουν ελεγχόμενα είδη.

β) ταξινομούνται βάση της κρισιμότητας τους, της ευαισθησίας τους, και της αξίας.

γ) Κάθε μέσο θα έχει ένα καθορισμένο «ιδιοκτήτη» (υπόλογο) (designated owner), ο οποίος θα είναι υπεύθυνος να διασφαλίζει ότι οι πληροφορίες και τα στοιχεία της απογραφής είναι κατάλληλα ταξινομημένα, και να καθορίζει και περιοδικά να επανεξετάζει τους περιορισμούς πρόσβασης και τις ταξινομήσεις.

δ) Προβλέπονται και εφαρμόζονται διαδικασίες διαχείρισης των αφαιρούμενων μέσων.

ε) Όλα τα μέσα αποθήκευσης υποβάλλονται σε έλεγχο για την ασφαλή χρήση τους και τη διασφάλιση της ασφαλούς διαγραφής των ευαίσθητων δεδομένων.

στ) Τα μέσα αποθήκευσης καταστρέφονται με τρόπο που διασφαλίζει τη μη διαρροή του περιεχομένου τους, όταν διακόπτεται οριστικά η χρήση τους και σύμφωνα με τις προβλεπόμενες διαδικασίες.

ζ) Προβλέπονται και εφαρμόζονται διαδικασίες διαχείρισης και αποθήκευσης πληροφοριών ώστε να προστατεύονται από τυχόν μη εξουσιοδοτημένη πρόσβαση και χρήση και σύμφωνα με τη Διαβαθμισμένη Πρόσβαση.

η) Η τεκμηρίωση του πληροφοριακού συστήματος προστατεύεται από τυχόν μη εξουσιοδοτημένη πρόσβαση και σύμφωνα με τη Διαβαθμισμένη Πρόσβαση.

18.8 Διαδικασίες ελέγχου αλλαγής (change control)

Οι διαδικασίες ελέγχου αλλαγής των προγραμμάτων διασφαλίζουν την εφαρμογή εκδόσεων των προγραμμάτων που είναι εγκεκριμένες και δοκιμασμένες στο παραγωγικό πληροφορικό σύστημα. Οι έλεγχοι αλλαγών του παραγωγικού συστήματος περιλαμβάνουν τα εξής:

α) Κατάλληλη μέθοδο ή μηχανισμό ελέγχου της έκδοσης λογισμικού για το σύνολο των στοιχείων λογισμικού.

β) Λεπτομέρειες σχετικά με την αιτία της αλλαγής.

γ) Λεπτομέρειες σχετικά με το πρόσωπο που πραγματοποιεί την αλλαγή.

δ) Πλήρη αντίγραφα ασφαλείας προηγούμενων εκδόσεων του λογισμικού.

18.9 Κύκλος ζωής ανάπτυξης λογισμικού

18.9.1 Οι ενημερώσεις κώδικα (patches) και οι λοιπές ενημερώσεις (updates) είναι δοκιμασμένες σε περιβάλλον πανομοιότυπα παραμετροποιημένο με το ΠΣ. Σε περίπτωση αδυναμίας έγκαιρης πραγματοποίησης διεξοδικής δοκιμής των ενημερώσεων κώδικα, εφαρμόζονται διαδικασίες διαχείρισης κινδύνου, απομονώνοντας ή αφαιρώντας το μη δοκιμασμένο κώδικα.

18.9.2 Προβλέπεται και εφαρμόζεται ειδική πολιτική για τις διαδικασίες αλλαγών έκτακτης ανάγκης (emergency change procedures), τύπων (migration) καθώς και διαχωρισμού των καθηκόντων περί αυτών και επικαιροποίησης των τεχνικών εγγράφων.

18.9.3 Το προσωπικό που θα ασχολείται με την ανάπτυξη λογισμικού δε θα πρέπει να έχει πρόσβαση στην προώθηση αλλαγών κώδικα στο περιβάλλον παραγωγής.

18.9.4 Πρέπει να υπάρχει τεκμηριωμένη μέθοδος επιβεβαίωσης ότι το λογισμικό δοκιμής (test software) δεν έχει αναπτυχθεί στο περιβάλλον παραγωγής (is not deployed to the production environment).

18.9.5 Για να αποτραπεί διαρροή των προσωπικών πληροφοριών αναγνώρισης, πρέπει να υπάρχει τεκμηριωμένη μέθοδος για να διασφαλιστεί ότι τα αρχικά δεδομένα μηχανής στο παραγωγικό περιβάλλον (raw production data) δεν χρησιμοποιούνται στις δοκιμές (testing).

18.10 Επιβεβαίωση ταυτότητας

Το ΠΣ επιβεβαιώνει την ταυτότητα, με ασφαλή μέθοδο, κάθε φυσικού προσώπου (χειριστές υπολογιστών κ.λπ.) και υπολογιστικού συστήματος που συνδέεται με αυτό.

18.11 Ανάπτυξη, δοκιμή, υποστήριξη και συντήρηση λογισμικού

Το λογισμικό που εγκαθίσταται σε πολλαπλές πλατφόρμες φέρει σε κάθε μία τον ίδιο κωδικό έκδοσης.

18.12 Ασφάλεια κώδικα

1) Λογισμικό κλειστού κώδικα. Ο κώδικας προστατεύεται από εξωτερικές παρεμβάσεις.
2) Λογισμικό ανοικτού κώδικα. Εάν το λογισμικό υποβάλλεται ως έργο ανοικτού κώδικα:
i. Η ομάδα ανάπτυξης του λογισμικού λαμβάνει έγκυρη άδεια προγραμματισμού ανοικτού κώδικα, προκειμένου να ταξινομηθεί στην κατηγορία υποβολών ανοικτού κώδικα.
ii. Εφαρμόζεται διαδικασία, η οποία εξασφαλίζει ότι δεν παραβιάζεται η αποκτηθείσα άδεια λογισμικού ανοικτού κώδικα και αποτρέπει τυχόν δημοσίευση των τροποποιήσεων κώδικα από τα ίδια τα άτομα που προέβησαν σε αυτές και οι οποίες μπορεί να έχουν ως αποτέλεσμα τη μεταβολή του επιπέδου ασφάλειας και ακεραιότητας του λογισμικού και του ΠΣ.
iii. Το ΠΣ ανιχνεύει τυχόν τροποποιήσεις κώδικα που πραγματοποιήθηκαν από τον τελικό χρήστη και αποτρέπει την εκτέλεση του λογισμικού, στην περίπτωση που οι εν λόγω τροποποιήσεις μπορούν να μεταβάλλουν την ακεραιότητα του Παιγνίου και/ή του ΠΣ.
3) Δυνατότητες παραμετροποίησης μέσω αλλαγών του κώδικα: Εφόσον επιτρέπεται η παραμετροποίηση του τοπικά εγκατεστημένου λογισμικού (client software), πληρούνται οι παρακάτω απαιτήσεις:
i. Το Παίγνιο που είναι εγκατεστημένο στο τερματικό (game client) δύναται να επιτρέπει την παραμετροποίηση από τον Παίκτη. Ωστόσο, εάν η παραμετροποίηση εφαρμόζεται μέσω αλλαγών του κώδικα, ο κώδικας αποτελείται αποκλειστικά από γλώσσες σήμανσης (markup languages).
ii. Απαγορεύεται η χρήση οποιασδήποτε γλώσσας προγραμματισμού για το συγκεκριμένο σκοπό, η οποία μπορεί να εκτελέσει εντολές σε επίπεδο πληροφοριακού συστήματος εποπτείας και ελέγχου.
Τυχόν πακέτα θεμάτων με δυνατότητα δημόσιας εγκατάστασης φιλοξενούνται και παρακολουθούνται από το ΠΣ καθώς και όλα τα θέματα που φορτώνονται επαληθεύονται, ώστε να διασφαλίζεται ότι δεν περιέχουν προγράμματα εκμετάλλευσης ευπαθών ατόμων ή κακόβουλο λογισμικό.

Το σύστημα ασφαλείας με τα στοιχεία καταγραφής δεδομένων (capturing), σφράγισης (sealing) και εξυπηρετητή αποθήκευσης που πληροί τις προδιαγραφές θα πρέπει να διαθέτει Πιστοποίηση κατά ISO 27001.

18.13 Προστασία αντιγραφής.

Η προστασία αντιγραφής για την αποτροπή της μη εξουσιοδοτημένης αλληλεπικάλυψης ή τροποποίησης του λογισμικού πρέπει να πληροί τουλάχιστον τα εξής:

α) Η μέθοδος προστασίας από την αντιγραφή είναι πλήρως τεκμηριωμένη και παρέχεται στο ανεξάρτητο εργαστηριακό εργαστήριο, προκειμένου να εξακριβωθεί ότι οι προστατευτικές εργασίες έχουν περιγραφεί ή

β) Το πρόγραμμα ή το στοιχείο που εμπλέκεται στην επιβολή της προστασίας αντιγραφής μπορεί να επαληθευτεί μεμονωμένα με τη μεθοδολογία που έχει εγκριθεί από την Αρχή.

Πλοήγηση στη Διαβούλευση

2 ΣχόλιαΆρθρο 01 – Oρισμοί
1 ΣχόλιοΆρθρο 02 – Πεδίο εφαρμογής
6 ΣχόλιαΆρθρο 03 – Ηλεκτρονικός Λογαριασμός Παίκτη
4 ΣχόλιαΆρθρο 04 – Λειτουργία Ηλεκτρονικού Λογαριασμού Παίκτη
3 ΣχόλιαΆρθρο 05 – Υπεύθυνο Παιχνίδι
1 ΣχόλιοΆρθρο 06 – Καταγγελίες/Αναφορές/Παράπονα Παικτών
3 ΣχόλιαΆρθρο 07 – Πρόγραμμα ελέγχου
1 ΣχόλιοΆρθρο 08 – Λογισμικό Χρήστη (ClientSoftware)
1 ΣχόλιοΆρθρο 09 – Απενεργοποίηση / Ενεργοποίηση Τυχερών Παιγνίων (Gaming)
1 ΣχόλιοΆρθρο 10 – Ημιτελή Παίγνια (Incomplete Games)
Δεν επιτρέπεται σχολιασμός στο Άρθρο 11 – Τερματισμός και Επανάκτηση (Shutdown and Recovery)Άρθρο 11 – Τερματισμός και Επανάκτηση (Shutdown and Recovery)
1 ΣχόλιοΆρθρο 12 – Δυσλειτουργία (malfunction)
3 ΣχόλιαΆρθρο 13 – Geolocation (Γεωγραφική Τοποθεσία)
Δεν επιτρέπεται σχολιασμός στο Άρθρο 14 – Εμπορική επικοινωνίαΆρθρο 14 – Εμπορική επικοινωνία
4 ΣχόλιαΆρθρο 15 – Προγράμματα Επιβράβευσης Παικτών
4 ΣχόλιαΆρθρο 16 – Σύστημα Αναφορών (Reporting)
Δεν επιτρέπεται σχολιασμός στο Άρθρο 17 – Απαιτήσεις του ΠαιγνίουΆρθρο 17 – Απαιτήσεις του Παιγνίου
4 ΣχόλιαΆρθρο 18 – Πολιτική Ασφαλείας Πληροφοριών
2 ΣχόλιαΆρθρο 19 – Τεχνικοί Έλεγχοι
Δεν επιτρέπεται σχολιασμός στο Άρθρο 20 – Επιχειρηματική Συνέχεια και Ανάκαμψη από Καταστροφή (BUSINESS CONTINUITY ΚΑΙ DISASTER RECOVERY).Άρθρο 20 – Επιχειρηματική Συνέχεια και Ανάκαμψη από Καταστροφή (BUSINESS CONTINUITY ΚΑΙ DISASTER RECOVERY).
6 ΣχόλιαΆρθρο 21 – Στοιχηματισμός Γεγονότων (Event Wagering).
1 ΣχόλιοΆρθρο 22 – Απαιτήσεις παιγνίων με Ζωντανό Γκρουπιέρη
Δεν επιτρέπεται σχολιασμός στο Άρθρο 23 – Απαιτήσεις Ηλεκτρονικών Συσκευών Ανακατέματος και Διανομής ΤραπουλόχαρτωνΆρθρο 23 – Απαιτήσεις Ηλεκτρονικών Συσκευών Ανακατέματος και Διανομής Τραπουλόχαρτων
Δεν επιτρέπεται σχολιασμός στο Άρθρο 24 – Απαιτήσεις Μέσων και Υλικών Διεξαγωγής Επιτραπέζιων ΠαιγνίωνΆρθρο 24 – Απαιτήσεις Μέσων και Υλικών Διεξαγωγής Επιτραπέζιων Παιγνίων
5 ΣχόλιαΆρθρο 25 Απαιτήσεις του ενδιάμεσου συστήματος ελέγχου για το διαδικτυακό παιγνιο – Γενική Αρχιτεκτονική
1 ΣχόλιοΆρθρο 26 – Ασφάλεια Συστημάτων και Υποσυστημάτων διεξαγωγής παιγνίων μέσω διαδικτύου

Σχόλια

4 Φεβρουαρίου 2019, 13:29 | GML Interactive Limited

Μόνιμος Σύνδεσμος

18.12 Σχόλιο: Χρειάζεται να περιγραφεί καλύτερα ο όρος «μη εξουσιοδοτημένη αλληλεπικάλυψη» και το τί είναι το αναφερόμενο «ανεξάρτητο εργαστηριακό εργαστήριο».
4 Φεβρουαρίου 2019, 13:28 | GML Interactive Limited

Μόνιμος Σύνδεσμος

18.9.3 Το προσωπικό που θα ασχολείται με την ανάπτυξη λογισμικού δε θα πρέπει να έχει πρόσβαση στην προώθηση αλλαγών κώδικα στο περιβάλλον παραγωγής.

Σχόλιο: Προτείνουμε να διαμορφωθεί ως εξής:
18.9.3 Το προσωπικό που θα ασχολείται με την ανάπτυξη λογισμικού δε θα πρέπει να έχει πρόσβαση στην προώθηση αλλαγών κώδικα στο περιβάλλον παραγωγής. Εξαίρεση αποτελεί η χρονικά περιορισμένη πρόσβαση στο πλαίσιο επειγόντων διορθωτικών ενεργειών και προγραμματισμένων εγκαταστασεων νεων εκδόσεων λογισμικού.
1 Φεβρουαρίου 2019, 19:19 | bet365

Μόνιμος Σύνδεσμος

“18.8 Change control procedures
Οι διαδικασίες ελέγχου αλλαγής των προγραμμάτων διασφαλίζουν την εφαρμογή εκδόσεων των προγραμμάτων που είναι εγκεκριμένες και δοκιμασμένες στο παραγωγικό πληροφορικό σύστημα. “

Απαιτούνται περαιτέρω διευκρινίσεις – Ποιός είναι ο ορισμός “των προγραμμάτων” ;

“18.13 Προστασία αντιγραφής “

Απαιτούνται περαιτέρω διευκρινίσεις –ποίος είναι ο στόχος και οι απαιτήσεις της ¨Προστασίας αντιγραφής¨
1 Φεβρουαρίου 2019, 12:36 | ΟΠΑΠ Α.Ε.

Μόνιμος Σύνδεσμος

Άρθρο 18 Πολιτική Ασφαλείας Πληροφοριών
Απόψεις / Παρατηρήσεις – Προτάσεις:
Στο άρθρο 18.1 προτείνεται η απαλοιφή της λέξης «δημοσιεύεται» ή η αντικατάστασή της από την λέξη «εκδίδεται», καθώς η πολιτική ασφάλειας πληροφοριών δεν θα πρέπει να είναι προσβάσιμη στο κοινό.

Σχόλια

Ανοικτή Διακυβέρνηση

Δικτυακός Τόπος Διαβουλεύσεων Άλλων Φορέων