Β.8 - Μέτρα φυσικής ασφαλείας. Τεχνικά μέτρα ασφαλείας. Διαχείριση αλλαγών
Photo by Icons8 Team on Unsplash
Α) Πολιτική διαχείρισης αλλαγών
Ο υπεύθυνος επεξεργασίας πρέπει να ορίσει σαφή πολιτική διαχείρισης όλων των αλλαγών που πραγματοποιούνται στα πληροφοριακά συστήματα, η οποία να περιέχει κατ’ ελάχιστον: καταγραφή των αιτημάτων αλλαγής, καθορισμό των ρόλων που έχουν δικαίωμα έγκρισης των αλλαγών, καθορισμό των κριτηρίων αποδοχής της αλλαγής και χρονοδιάγραμμα υλοποίησης.
Β) Περιβάλλον δοκιμών
Θα πρέπει να γίνεται δοκιμή των ενημερώσεων λογισμικού, τόσο σε επίπεδο επιμέρους εφαρμογών όσο και σε επίπεδο λειτουργικού συστήματος, σε δοκιμαστικό περιβάλλον. Προαιρετικά, ο υπεύθυνος επεξεργασίας μπορεί να εφαρμόσει κεντρική διαχείριση όλων των ενημερώσεων λογισμικού.
Η ανάπτυξη λογισμικού πρέπει να γίνεται σε δοκιμαστικό περιβάλλον, το οποίο να είναι απομονωμένο από το παραγωγικό σύστημα και επικαιροποιημένο. Κατά την ανάπτυξη ή αναβάθμιση λογισμικού και τη δοκιμή του θα πρέπει να χρησιμοποιούνται δοκιμαστικά και όχι πραγματικά δεδομένα ή δεδομένα του παραγωγικού συστήματος, εκτός εάν κάτι τέτοιο είναι απολύτως απαραίτητο και δεν υπάρχει εναλλακτική λύση. Αν είναι αναγκαίο μπορούν να χρησιμοποιηθούν πραγματικά δεδομένα σε ανωνυμοποιημένη μορφή ή διαφορετικά πρέπει να περιορίζονται στα απολύτως απαραίτητα για τους σκοπούς του ελέγχου.
Γ. Μέτρα φυσικής ασφαλείας
1. Έλεγχος φυσικής πρόσβασηςA) Φυσική πρόσβαση σε εγκαταστάσεις και computer room
Πρέπει να υπάρχουν τα κατάλληλα μέτρα ελέγχου φυσικής πρόσβασης στους κρίσιμους χώρους όπου βρίσκεται ο φυσικός εξοπλισμός (συμπεριλαμβανομένης τηλεπικοινωνιακής και δικτυακής καλωδίωσης) που υποστηρίζει τα πληροφοριακά συστήματα και την επεξεργασία προσωπικών δεδομένων, έτσι ώστε να επιτρέπεται η πρόσβαση μόνο σε εξουσιοδοτημένο προσωπικό (για παράδειγμα, κάποιοι χώροι -όπως αυτοί που βρίσκεται δικτυακός εξοπλισμός- πρέπει να είναι μόνιμα κλειδωμένοι). Σε ορισμένες δε περιπτώσεις (αναλόγως της φύσης των δεδομένων και των υπαρχόντων κινδύνων) ενδέχεται να είναι πρόσφορο να καταγράφεται κάθε πρόσβαση σε συγκεκριμένο φυσικό χώρο.
Β) Τήρηση καταλόγου
Ο υπεύθυνος επεξεργασίας πρέπει να διατηρεί επικαιροποιημένο κατάλογο με τα δικαιώματα φυσικής πρόσβασης του προσωπικού καθώς και με το προσωπικό που διαθέτει κωδικούς, κάρτες εισόδου και κλειδιά για πρόσβαση σε κρίσιμους, ως προς την ασφάλεια, χώρους. Οι κατάλογοι αυτοί θα πρέπει να υπόκεινται σε τακτική αναθεώρηση.
2. Περιβαλλοντική ασφάλεια
Α) Προστασία από φυσικές καταστροφές
Πρέπει να λαμβάνονται τα κατάλληλα μέτρα για την προστασία των κτιρίων, των κρίσιμων χώρων, του computer room, των γραφείων του προσωπικού, του εξοπλισμού πληροφορικής και του χώρου τήρησης φυσικού αρχείου από ζημιές που μπορούν να προκληθούν από φυσικές καταστροφές ή κακόβουλες ενέργειες, όπως πλημμύρα, υπερθέρμανση, πυρκαγιά, σεισμός, έκρηξη, διαρροή νερού, διακοπή ρεύματος, διάρρηξη/κλοπή, βανδαλισμός, κ.λπ. Ενδεικτικά μέτρα προς αυτή την κατεύθυνση είναι τα εξής: συναγερμός, πόρτες και παράθυρα ασφαλείας, πυροπροστασία, απομάκρυνση εξοπλισμού από υδροσωληνώσεις και πηγές σκόνης, ανιχνευτές υγρασίας και πλημμύρας, αδιάλειπτη παροχή ρεύματος μέσω σταθεροποιητών/γεννητριών, κ.λπ.
3. Έκθεση εγγράφων
Α) Τοποθέτηση φακέλων
Οι φάκελοι που περιέχουν προσωπικά δεδομένα (φυσικό αρχείο) πρέπει να είναι τοποθετημένοι σε φωριαμούς και να μην εκτίθενται σε κοινή θέα.
Β) Μεταφορά φακέλων
Θα πρέπει να καταγράφεται η μεταφορά των φυσικών φακέλων σε διαφορετικά γραφεία ή οργανωτικές μονάδες.
Γ) Clean desk policy
Δεν θα πρέπει να αφήνονται εκτεθειμένα, χωρίς επίβλεψη, έγγραφα και φορητά μέσα αποθήκευσης πάνω σε γραφεία.
Δ) Συσκευές αναπαραγωγής εγγράφων
Λοιπές συσκευές που δύναται να χρησιμοποιηθούν για υποκλοπή ή για την έκθεση προσωπικών δεδομένων σε κοινή θέα, όπως φωτοαντιγραφικά, συσκευές fax, εκτυπωτές, κ.λπ. θα πρέπει να προστατεύονται κατάλληλα.
4. Προστασία φορητών μέσων αποθήκευσης
Α) Ασφάλεια φορητών μέσων
Πρέπει να λαμβάνονται τα κατάλληλα μέτρα για τη φυσική ασφάλεια και προστασία των φορητών αποθηκευτικών μέσων - όπως να φυλάσσονται σε ασφαλή σημεία όταν δεν είναι σε χρήση και να είναι πάντα υπό επίβλεψη κατά τη διάρκεια της χρήσης τους.
5. Εναλλακτικές εγκαταστάσεις
Α) Προστασία εναλλακτικών εγκαταστάσεων
Τα ανωτέρω μέτρα ελέγχου φυσικής πρόσβασης και περιβαλλοντικής ασφαλείας θα πρέπει να εφαρμόζονται και στις εναλλακτικές εγκαταστάσεις και εξοπλισμό που χρησιμοποιεί ο υπεύθυνος επεξεργασίας στο πλαίσιο του σχεδίου ανάκαμψης από καταστροφές.
2.3 Πλάνο υλοποίησης των μέτρων ασφαλείας
Περιγράφονται τα κενά ασφαλείας που έχουν εντοπιστεί για καθεμία από τις κατηγορίες μέτρων ασφαλείας που αναφέρονται ανωτέρω, καθώς και τα μέτρα ασφαλείας τα οποία προτίθεται να εφαρμόσει ο οργανισμός ή η επιχείρηση για την κάλυψή τους. Επίσης αναφέρεται το χρονοδιάγραμμα υλοποίησης των νέων αυτών μέτρων ασφαλείας που πρόκειται να εφαρμοστούν. Μετά την υλοποίηση και εφαρμογή τους, το σχέδιο ασφαλείας επικαιροποιείται.
2.4 Επισκόπηση – αναθεώρηση
Πρέπει να υπάρχουν διαδικασίες για την τακτική ενημέρωση του σχεδίου ασφαλείας. Η επανεξέταση όλων των μέτρων ασφαλείας, καθώς και των λειτουργιών, αποτελεί σημαντικό βήμα προς τη θωράκιση των συστημάτων επιχειρήσεων και οργανισμών και την ενίσχυση των αμυντικών μηχανισμών τους.
πηγή
Μέσω του BENEFIT Cyber Plan, μπορείτε να ακολουθήσετε τα εξής βήματα για την επίτευξη της συμμόρφωσης με τον Κανονισμό:
Δείτε τον Οδηγό Συμμόρφωσης
_____________________
Konstantinos Paterakis
(I write about tech, cyber & finance)
Insurance Risk Management Analyst, CyRM
Co-Founder & Μέλος Δ.Σ. cluster Panormos
view in Linkedin
Σχόλια
Δημοσίευση σχολίου