Β.8 - Μέτρα φυσικής ασφαλείας. Τεχνικά μέτρα ασφαλείας. Διαχείριση αλλαγών






Photo by Icons8 Team on Unsplash


Α) Πολιτική διαχείρισης αλλαγών


Ο υπεύθυνος επεξεργασίας πρέπει να ορίσει σαφή πολιτική διαχείρισης όλων των αλλαγών που πραγματοποιούνται στα πληροφοριακά συστήματα, η οποία να περιέχει κατ’ ελάχιστον: καταγραφή των αιτημάτων αλλαγής, καθορισμό των ρόλων που έχουν δικαίωμα έγκρισης των αλλαγών, καθορισμό των κριτηρίων αποδοχής της αλλαγής και χρονοδιάγραμμα υλοποίησης.

Β) Περιβάλλον δοκιμών


Θα πρέπει να γίνεται δοκιμή των ενημερώσεων λογισμικού, τόσο σε επίπεδο επιμέρους εφαρμογών όσο και σε επίπεδο λειτουργικού συστήματος, σε δοκιμαστικό περιβάλλον. Προαιρετικά, ο υπεύθυνος επεξεργασίας μπορεί να εφαρμόσει κεντρική διαχείριση όλων των ενημερώσεων λογισμικού.

Η ανάπτυξη λογισμικού πρέπει να γίνεται σε δοκιμαστικό περιβάλλον, το οποίο να είναι απομονωμένο από το παραγωγικό σύστημα και επικαιροποιημένο. Κατά την ανάπτυξη ή αναβάθμιση λογισμικού και τη δοκιμή του θα πρέπει να χρησιμοποιούνται δοκιμαστικά και όχι πραγματικά δεδομένα ή δεδομένα του παραγωγικού συστήματος, εκτός εάν κάτι τέτοιο είναι απολύτως απαραίτητο και δεν υπάρχει εναλλακτική λύση. Αν είναι αναγκαίο μπορούν να χρησιμοποιηθούν πραγματικά δεδομένα σε ανωνυμοποιημένη μορφή ή διαφορετικά πρέπει να περιορίζονται στα απολύτως απαραίτητα για τους σκοπούς του ελέγχου.

Γ. Μέτρα φυσικής ασφαλείας

1. Έλεγχος φυσικής πρόσβασης

A) Φυσική πρόσβαση σε εγκαταστάσεις και computer room


Πρέπει να υπάρχουν τα κατάλληλα μέτρα ελέγχου φυσικής πρόσβασης στους κρίσιμους χώρους όπου βρίσκεται ο φυσικός εξοπλισμός (συμπεριλαμβανομένης τηλεπικοινωνιακής και δικτυακής καλωδίωσης) που υποστηρίζει τα πληροφοριακά συστήματα και την επεξεργασία προσωπικών δεδομένων, έτσι ώστε να επιτρέπεται η πρόσβαση μόνο σε εξουσιοδοτημένο προσωπικό (για παράδειγμα, κάποιοι χώροι -όπως αυτοί που βρίσκεται δικτυακός εξοπλισμός- πρέπει να είναι μόνιμα κλειδωμένοι). Σε ορισμένες δε περιπτώσεις (αναλόγως της φύσης των δεδομένων και των υπαρχόντων κινδύνων) ενδέχεται να είναι πρόσφορο να καταγράφεται κάθε πρόσβαση σε συγκεκριμένο φυσικό χώρο.

Β) Τήρηση καταλόγου


Ο υπεύθυνος επεξεργασίας πρέπει να διατηρεί επικαιροποιημένο κατάλογο με τα δικαιώματα φυσικής πρόσβασης του προσωπικού καθώς και με το προσωπικό που διαθέτει κωδικούς, κάρτες εισόδου και κλειδιά για πρόσβαση σε κρίσιμους, ως προς την ασφάλεια, χώρους. Οι κατάλογοι αυτοί θα πρέπει να υπόκεινται σε τακτική αναθεώρηση.

2. Περιβαλλοντική ασφάλεια

Α) Προστασία από φυσικές καταστροφές

Πρέπει να λαμβάνονται τα κατάλληλα μέτρα για την προστασία των κτιρίων, των κρίσιμων χώρων, του computer room, των γραφείων του προσωπικού, του εξοπλισμού πληροφορικής και του χώρου τήρησης φυσικού αρχείου από ζημιές που μπορούν να προκληθούν από φυσικές καταστροφές ή κακόβουλες ενέργειες, όπως πλημμύρα, υπερθέρμανση, πυρκαγιά, σεισμός, έκρηξη, διαρροή νερού, διακοπή ρεύματος, διάρρηξη/κλοπή, βανδαλισμός, κ.λπ. Ενδεικτικά μέτρα προς αυτή την κατεύθυνση είναι τα εξής: συναγερμός, πόρτες και παράθυρα ασφαλείας, πυροπροστασία, απομάκρυνση εξοπλισμού από υδροσωληνώσεις και πηγές σκόνης, ανιχνευτές υγρασίας και πλημμύρας, αδιάλειπτη παροχή ρεύματος μέσω σταθεροποιητών/γεννητριών, κ.λπ.

3. Έκθεση εγγράφων

Α) Τοποθέτηση φακέλων


Οι φάκελοι που περιέχουν προσωπικά δεδομένα (φυσικό αρχείο) πρέπει να είναι τοποθετημένοι σε φωριαμούς και να μην εκτίθενται σε κοινή θέα.

Β) Μεταφορά φακέλων


Θα πρέπει να καταγράφεται η μεταφορά των φυσικών φακέλων σε διαφορετικά γραφεία ή οργανωτικές μονάδες.

Γ) Clean desk policy


Δεν θα πρέπει να αφήνονται εκτεθειμένα, χωρίς επίβλεψη, έγγραφα και φορητά μέσα αποθήκευσης πάνω σε γραφεία.

Δ) Συσκευές αναπαραγωγής εγγράφων


Λοιπές συσκευές που δύναται να χρησιμοποιηθούν για υποκλοπή ή για την έκθεση προσωπικών δεδομένων σε κοινή θέα, όπως φωτοαντιγραφικά, συσκευές fax, εκτυπωτές, κ.λπ. θα πρέπει να προστατεύονται κατάλληλα.

4. Προστασία φορητών μέσων αποθήκευσης

Α) Ασφάλεια φορητών μέσων


Πρέπει να λαμβάνονται τα κατάλληλα μέτρα για τη φυσική ασφάλεια και προστασία των φορητών αποθηκευτικών μέσων - όπως να φυλάσσονται σε ασφαλή σημεία όταν δεν είναι σε χρήση και να είναι πάντα υπό επίβλεψη κατά τη διάρκεια της χρήσης τους.

5. Εναλλακτικές εγκαταστάσεις

Α) Προστασία εναλλακτικών εγκαταστάσεων


Τα ανωτέρω μέτρα ελέγχου φυσικής πρόσβασης και περιβαλλοντικής ασφαλείας θα πρέπει να εφαρμόζονται και στις εναλλακτικές εγκαταστάσεις και εξοπλισμό που χρησιμοποιεί ο υπεύθυνος επεξεργασίας στο πλαίσιο του σχεδίου ανάκαμψης από καταστροφές.

2.3 Πλάνο υλοποίησης των μέτρων ασφαλείας


Περιγράφονται τα κενά ασφαλείας που έχουν εντοπιστεί για καθεμία από τις κατηγορίες μέτρων ασφαλείας που αναφέρονται ανωτέρω, καθώς και τα μέτρα ασφαλείας τα οποία προτίθεται να εφαρμόσει ο οργανισμός ή η επιχείρηση για την κάλυψή τους. Επίσης αναφέρεται το χρονοδιάγραμμα υλοποίησης των νέων αυτών μέτρων ασφαλείας που πρόκειται να εφαρμοστούν. Μετά την υλοποίηση και εφαρμογή τους, το σχέδιο ασφαλείας επικαιροποιείται.

2.4 Επισκόπηση – αναθεώρηση


Πρέπει να υπάρχουν διαδικασίες για την τακτική ενημέρωση του σχεδίου ασφαλείας. Η επανεξέταση όλων των μέτρων ασφαλείας, καθώς και των λειτουργιών, αποτελεί σημαντικό βήμα προς τη θωράκιση των συστημάτων επιχειρήσεων και οργανισμών και την ενίσχυση των αμυντικών μηχανισμών τους.


πηγή 
Μέσω του BENEFIT Cyber Plan, μπορείτε να ακολουθήσετε τα εξής βήματα για την επίτευξη της συμμόρφωσης με τον Κανονισμό:

Δείτε  τον Οδηγό Συμμόρφωσης 

_____________________



Konstantinos Paterakis
(I write about tech, cyber & finance)

Insurance Risk Management Analyst, CyRM
Co-Founder & Μέλος Δ.Σ. cluster Panormos


view in Linkedin




Σχόλια

Δημοσίευση σχολίου

Δημοφιλείς αναρτήσεις από αυτό το ιστολόγιο

Ο ρόλος του νέου επιχειρηματία ασφαλιστή, πέρα από την ψηφιοποίηση

Εικόνα
Το άμεσο μέλλον απαιτεί από τις ασφαλιστικές επιχειρήσεις διαμεσολάβησης (μεσίτες & πράκτορες ) να αλλάξουν ριζικά το επιχειρηματικό τους μοντέλο , την οργανωτική τους κουλτούρα, την Στρατηγική τους ,  τον τρόπο επικοινωνίας με τους πελάτες και να δημιουργήσουν νέες πηγές εσόδων επανεξετάζοντας τους παραδοσιακούς ρόλους τους και υιοθετώντας μια νοοτροπία οικοσυστήματος.
Διαβάστε περισσότερα

Οι Αλλαγές στις επιχειρήσεις ασφαλιστικής διαμεσολάβησης μέχρι το 2030

Εικόνα
Οι δυνάμεις της παγκοσμιοποίησης και η 4η Βιομηχανική επανάσταση ( Industry 4.0 ) μετασχηματίζουν τις οικονομίες, τους χώρους εργασίας και τις οικογένειες μας και θα συνεχίζουν να το κάνουν ακόμη πιο έντονα τα επόμενα χρόνια.
Διαβάστε περισσότερα